商务安全论文

前言：想要写出一篇令人眼前一亮的文章吗？我们特意为您整理了5篇商务安全论文范文，相信会为您的写作带来帮助，发现更多的写作思路和灵感。

商务安全论文范文第1篇

随着网络的不断普及和电子商务的迅猛发展，电子商务这种商务活动新模式已经逐渐改变了人们的经济活动方式、工作方式和生活本论文由整理提供方式，越来越多的人们开始接受并喜爱网上购物，可是，电子商务发展的瓶颈——安全问题依然是制约人们进行电子商务交易的最大问题，因此，安全问题是电子商务的核心问题，是实现和保证电子商务顺利进行的关键所在。校园电子商务是电子商务在校园环境下的具体应用与实现，其安全性也同样是其发展所不容忽视的关键问题，因此应当着重研究。

1校园电子商务概述

1.1校园电子商务的概念。

校园电子商务是电子商务在校园这个特定环境下的具体应用，它是指在校园范围内利用校园网络基础、计算机硬件、软件和安全通信手段构建的满足于校本论文由整理提供园内单位、企业和个人进行商务、工作、学习、生活各方面活动需要的一个高可用性、伸缩性和安全性的计算机系统。

1.2校园电子商务的特点。

相对于一般电子商务，校园电子商务具有客户群本论文由整理提供稳定、网络环境优良、物流配送方便、信用机制良好、服务性大于盈利性等特点，这些特点也是校园开展电子商务的优势所在。与传统校园商务活动相比，校园电子商务的特点有：交易不受时间空间限制、快捷方便、交易成本较低。

2校园电子商务的安全问题

2.1校园电子商务安全的内容。

校园电子商务安全内容从整体上可分为两大部分：校园网络安全和校园支付交易安全。校园网络安全内容主要包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。校园支付交易安全的内容涉及传统校园商务活动在校园网应用时所产生的各种安全问题，如网上交易信息、网上支付以及配送服务等。

2.2校园电子商务安全威胁。

校园电子商务安全威胁同样来自网络安全威胁与交易安全威胁。然而，网络安全与交易安全并不是孤立的，而是密不可分且相辅相成的，网络安全是基础，是交易安全的保障。校园网也是一个开放性的网络，它也面临许许多多的安全威胁，比如：身份窃取、非本论文由整理提供授权访问、冒充合法用户、数据窃取、破坏数据的完整性、拒绝服务、交易否认、数据流分析、旁路控制、干扰系统正常运行、病毒与恶意攻击、内部人员的不规范使用和恶意破坏等。校园网的开放性也使得基于它的交易活动的安全性受到严重的威胁，网上交易面临的威胁可以归纳为：信息泄露、篡改信息、假冒和交易抵赖。信息泄露是非法用户通过各种技术手段盗取或截获交易信息致使信息的机密性遭到破坏；篡改信息是非法用户对交易信息插入、删除或修改，破坏信息的完整性；假冒是非法用户冒充合法交易者以伪造交易信息；交易抵赖是交易双方一方或否认交易行为，交易抵赖也是校园电子商务安全面临的主要威胁之一。

2.3校园电子商务安全的基本安全需求。

通过对校园电子商务安全威胁的分析，可以本论文由整理提供看出校园电子商务安全的基本要求是保证交易对象的身份真实性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否认性。通过对校园电子商务系统的整体规划可以提高其安全需求。

3校园电子商务安全解决方案

3.1校园电子商务安全体系结构。

校园电子商务安全是一个复杂的系统工程，因此要从系统的角度对其进行整体的规划。根据校园电子商务的安全需求，通过对校园人文环境、网络环境、应用系统及管理等各方面的统筹考虑和规划，再结合的电子商务的安全技术，总结校园电子商务安全体系本论文由整理提供结构，如图所示：

上述安全体系结构中，人文环境层包括现有的电子商务法律法规以及校园电子商务特有的校园信息文化，它们综合构成了校园电子商务建设的大环境；基础设施层包括校园网、虚拟专网VPN和认证中心；逻辑实体层包括校园一卡通、支付网关、认证服务器和本论文由整理提供交易服务器；安全机制层包括加密技术、认证技术以及安全协议等电子商务安全机制；应用系统层即校园电子商务平台，包括网上交易、支付和配送服务等。

针对上述安全体系结构，具体的方案有：

（1）营造良好校园人文环境。加强大学生本论文由整理提供的道德教育，培养校园电子商务参与者们的信息文化知识与素养、增强高校师生的法律意识和道德观念，共

同营造良好的校园电子商务人文环境，防止人为恶意攻击和破坏。

（2）建立良好网上支付环境。目前我国高校大都建立了校园一卡通工程，校园电子商务系统可以采用一卡通或校园电子帐户作为网上支付的载体而不需要与银行等金融系统互联，由学校结算中心专门处理与金融机构的业务，可以大大提高校园网上支付的安全性。

（3）建立统一身份认证系统。建立校园统一身份认证系统可以为校园电子商务系统提供安全认证的功能。

（4）组织物流配送团队。校园师生居住地点相对集中，一般来说就在学校内部或校园附近，只需要很少的人员就可以解决物流配送问题，而本论文由整理提供不需要委托第三方物流公司，在校园内建立一个物流配送团队就可以准确及时的完成配送服务。

3.2校园网络安全对策。

保障校园网络安全的主要措施有：

（1）防火墙技术。利用防火墙技术来实现校园局域网的安全性，以解决访问控制问题，使只有授权的校园合法用户才能对校园网的资源进行访问本论文由整理提供，防止来自外部互联网对内部网络的破坏。

（2）病毒防治技术。在任何网络环境下，计算机病毒都具有不可估量的威胁性和破坏力，校园网虽然是局域网，可是免不了计算机病毒的威胁，因此，加强病毒防治是保障校园网络安全的重要环节。

（3）VPN技术。目前，我国高校大都已经建立了校园一卡通工程，如果能利用VPN技术建立校园一卡通专网就能大大提高校园信息安全、保证数据的本论文由整理提供安全传输。有效保证了网络的安全性和稳定性且易于维护和改进。

3.3交易信息安全对策。

针对校园电子商务中交易信息安全问题，可以用电子商务的安全机制来解决，例如数据加密技术、认证技术和安全协议技术等。通过数据加密，可以保证信息的机密性；通过采用数字摘要、数字签名、数字信封、数字时间戳和数字证书等安全机制来解本论文由整理提供决信息的完整性和不可否认性的问题；通过安全协议方法，建立安全信息传输通道来保证电子商务交易过程和数据的安全。

（1）数据加密技术。加密技术是电子商务中最基本的信息安全防范措施，其原理是利用一定的加密算法来保证数据的机密，主要有对称加密和非对称加密。对称加密是常规的以口令为基础的技术，加密运算与解密运算使用同样的密钥。不对称加密，即加密密钥不同于解密密钥，加密密钥公之于众，而解密密钥不公开。

（2）认证技术。认证技术是保证电子商务交易安全的一项重要技术，它是网上交易支付的前提，负责对交易各方的身份进行确认。在校园电子商务本论文由整理提供中，网上交易认证可以通过校园统一身份认证系统（例如校园一卡通系统）来进行对交易各方的身份认证。

（3）安全协议技术。目前，电子商务发展较成熟和实用的安全协议是SET和SSL协议。通过对SSL与SET两种协议的比较和校园电子商务的需求分析，校园电子商务更适合采用SSL协议。SSL位于传输层与应用层之间，能够更好地封装应用层数据，不用改变位于应用层的应用程序，对用户是透明的。而且SSL只需要通过一次“握手”过程就可以建立客户与服务器之间的一条安全通信通道，保证传输数据的安全。

3.4基于一卡通的校园电子商务。

目前，我国高校校园网建设和校园一卡通工程建设逐步完善，使用校园一卡通进行校园电子商务的网上支付可以增强校园电子商务的支付安全，可以避免或降低了使用银行卡支付所出现的卡号被盗的风险等。同时，使用校园一卡通作为校园电子支付载体的安全保障有：

（1）校园网是一个内部网络，它自身已经屏蔽了绝大多数来自公网的黑客攻击及病毒入侵，由于有防火墙及反病毒软件等安全防范设施，来自外部网络人员的破坏可能性很小。同时，校园一卡通中心有着良好的安全机制，使得使用校园一卡通在校内进行网上支付被盗取账号密码等信息的可能性微乎其微。超级秘书网

（2）校园一卡通具有统一身份认证系统，能够对参与交易的各方进行身份认证，各方的交易活动受到统一的审计和监控，统一身份认证能够保证网上工作环境的安全可靠。校园网络管理中对不同角色的用户享有不同级别的授权，使其网上活动受到其身份的限制，有效防止一些恶意事情的发生。同时，由于校内人员身份单一，多为学生，交易中一旦发生纠纷，身份容易确认，纠纷就容易解决。

4结束语

开展校园电子商务是推进校园信息化建设的重要内容，随着我国校园信息化建设的不断深入，目前已有许多高校开展了校园电子商务，它极大的方便了校园内师生员工的工作、学习、生活。可是与此同时，安全问题成为制约校园电子商务发展的障碍。因此，如何建立一个安全、便捷的校园电子商务应用环境，让师生能够方便可靠的进行校园在线交易和网上支本论文由整理提供付，是当前校园电子商务发展要着重研究的关键问题。

商务安全论文范文第2篇

1.1对供应商的影响

降低成本，提高效率一直是航空公司经理们所要考虑的问题。在传统情况下，当公司需要进行采购的时候组织采购部门会填写请购单，这个请购单会交付给供应商。表格交付后，确认产品信息确认后付款。采购过程非常耗时。在网络没有出现的年代，寻找要购买的商品通常需要一个半天的时间，而电子采购只需要20分钟。(Chaffey，2002)可以说企业机构从电子采购中获益很多。

1.2对分销商的影响

对航空业来讲，分销是指航空公司如何把机票分配给消费者。在网络没有盛行的年代，旅行社是重要的购买机票的渠道。而现在购买机票方式的变化是显而易见的。许多航空公司设立了官方网站来吸引消费者购票。Law和Leung（2000）认为网络能够在不通过旅行社和电脑预订系统（ComputerReservationSystems，CRS）直接与消费者沟通，从而降低了机票的分销费用。EasyJet航空公司就是通过各种方式来降低不必要成本的典型，比如通过网络售票。2001年9月75%的人上网买票，这可以看作是一种脱媒方式。随着网络的普及，几乎所有的航空公司都建立自己的网站，同时网络订机票的中介也应运而生，这就意味着航空公司之间的竞争越发激烈，尤其对那些以价格为导向的消费者来说，他们更倾向于价格更便宜的机票。以2012年4月22日从伦敦到巴塞罗那的机票为例，大英航空的最低票价为196英镑，而Easyjet的票价只有62.99英镑，可见Easyjet在降低成本上所做的努力。可以看出，网络在降低了航空业分销渠道成本的同时，也加大了行业内部之间的竞争。

1.3对客户关系的影响

如上所述，航空业属于服务业范畴，因而公司与消费者的关系是至关重要的。Chaffey(2002)认为客户关系主要有两个部分，即客户获取（customeracquisition）和客户维系(customerretention)，其中获取一个客户要比维系一个客户成本更高。因而公司希望与已获得的客户保持长期而良好的关系，而网络让维持这种关系变得更加容易。荷兰皇家航空公司（KLM）的网络客户关系管理团队（CRMteam）会根据客户在网上订票后所留下的cookies（小型文本本件）来判定客户的消费习惯，从而为客户提供更加个性化的信息，比如给他们发送专门为他们定制的邮件。他们也为常旅客（frequentflyers）提供专属的服务，并称之为常旅客计划会员（frequentflyerprogrammem-bership）。其次，对消费者来说，网络的产生让消费者能够随时随地查询相关信息，比如网上值机系统（onlinecheck-insystem）能够节省消费者的时间同时也能降低公司人力成本。航空公司通过电子商务（网络，手机等）可以更好与消费者维持良好的关系。廉价航空公司EasyJet通过使用RightNow公司的客户关系管理软件使该公司运行成本降低了75万英镑。

2电子商务在未来发展中的隐患

2.1网络安全问题

对消费者来说网络安全是他们进行网上购物的顾虑之一，这种顾虑不仅仅存在于航空业之中，其中就包括网上转账安全。2011年美国社交网络脸书（Facebook）的大规模用户信息泄露事件让网络安全问题处在了风口浪尖上。网络诈骗及其他网络问题的出现让消费者们对网上转账产生了疑虑。据统计，仅2008年美国航空业损失费用达到14亿美元，占了当年世界航空业总产值的百分之1.3。Cunningham等（2004）认为“对于基于网络和传统的航空预订服务来说，对风险的感知是系统的模式”这就意味着尽管航空公司不断强调他们采用多么现实的网络安全技术，消费者始终会对网上支付有一定的顾虑。其次，消费者也担心在网上注册账号会导致更多的个人信息被泄露。美国廉价航空公司捷蓝（JetBlue）航空在顾客信息保护上面下了很大功夫，公司信息技术副总裁ToddThompson认为“网络能够提升他们为顾客提供优质服务的能力，但不幸的是，电子通信总是会被转发、打印或复制，因此完全的保密是几乎不可能完成的”。捷蓝航空计划为WindowsServerTM2003和微软办公系统使用微软公司的权限管理服务MicrosoftRWindowsRRightsManagementSer-vices(RMS)，这种信息保护技术是建立在文件级别上了，内部信息的交流会降低信息被他人误读，从而提高了消费者信息的安全性。但根据Krishnamurthy(P.5)的研究，通过旅行网站所泄露的个人信息占据所有网站之首，旅行网站的直接泄露指数（directleakageindex）为9，而像购物网站和新闻网站分别只有3和5。由此可以看出，航空业在未来发展电子商务方面还存在着潜在的风险。而且提高升级网络系统容易，但是改变人们对网络隐患的担忧却不是那么容易。

2.2硬件问题

Phaladsingh(2006)认为“个人电脑的普及率”是影响电子商务发展的阻碍之一，这就意味着不管网络技术有多发达，如果人们买不起电脑和其他数码设备，电子商务就很难发挥其作用。对于航空业来说同样是如此，网上值机、网上购票等服务只有在有电脑设备的时候才会体现出其优越性。显而易见，发达国家更容易接触到电子产品也更容易享受到电子产品带来的便捷体验。2004年在美国每1000人中有763个人拥有电脑，而在一些欠发达国家每1000人中平均只有1到2个人拥有电脑，非洲国家尼日尔每1000人中只有0.1716人使用电脑，这个数量在增加，但不可否认的是在发展中国家尤其是一些欠发达国家电子商务并不能产生很好的效果。

3结论

商务安全论文范文第3篇

关键词：电子商务；信息安全技术

一、电子商务发展存在的风险

第三方的电子交易平台在网络上对于信息进行储存、记录、处理、和传递，以此来协助一次网络消费行为的完成。一般情况下，这些信息都具有真实性和保密性，属于大众的隐私。但是，现在的网络环境比较恶劣，有很多网络陷阱以及刻意挖掘用户信息的“黑客”，从而导致基本信息出现失真、泄露和删除的危机，不利于正常电子商务交易的完成。对于电子商务信息大致上可以分为以下几类：第一，信息的真实性；第二，信息的实时性；第三，信息的安全性。首先，是信息的真实性。电子商务上的基本信息是卖家和买家进行认识对方和分辨商品真实性可靠性的唯一途径，应该绝对真实。一旦出现虚假信息，则属于欺骗消费者，是危害消费者权益的不法行为。其次，是信息的实时性。信息的实时性主要是指信息的保质期。因为很多信息只在一段时间内有效，具有时效性，一旦错过这段关键时期，那么该信息则失去自身的价值，变得一文不值。最后，就是信息的安全性，这也是消费者最为关心的问题。电子商务出现的安全性问题主要表现为客户的信息被删除、篡改从而失真，同时也表现为用户的信息被窃取从而达成其他目的，使得用户的隐私被侵犯，正常的生活受到打扰。

二、电子商务的信息安全技术的内容

2.1 备份技术。相信备份技术对于大众来说不是很陌生。但是很多人却错误的将备份理解为拷贝，从而片面的看待这个问题。电子商务对于网络环境有很大的依赖性，网络环境自身却存在极大的不稳定性，这就导致电子商务的发展存在不可避免的风险，如果没有一个数据库对于基本信息进行存储，那么一旦出现系统故障或者误删的情况则信息永远消失，这对于商家来说是极其可怕的，因此，电子商务的第三方有一个信息储存库，旨在在必要的时刻段时间内将客户的信息及时恢复。这种恢复不是简单的、传统意义上的恢复，而是通过备份介质得以完成的。这样的话，在系统故障或者其他原因导致信息在短时间内无法正常恢复时，可以借助储存在备份介质中的信息将信息还原到原来的备份状态。2.2 认证技术。所谓认证技术其实一个专业术语，道理实际上很简单，就是我们常说的登录口令。认证技术的目的主要在于阻止不具有系统授权的用户进行非法的破坏计算机机密数据，是数据库系统为减少和避免各种破坏电子商务安全的重要策略。登陆口令是我们正常用户进行电子商务平台登录的方式，是大众在网络环境下的身份证。我们每一个用户在使用某一个电子商务平台之前都被要求进行注册，从而决定或者获得自己的登陆口令即用户名和密码。这些登录口令都是都是独一无二的，是我们进行网上交易的身份认证和识别。因为电子商务平台往往具有开放性，一旦没有身份认证后果将不堪设想。人们的信息安全更是没有任何保障。2.3 访问控制技术。访问控制技术也可以理解为访问等级制度，电子商务的系统会根据用户的不同等级对于用户对于系统数据的访问进行一定的控制。等级较低时，则用户的访问权限有限，一些重要的关键的信息则被系统禁止访问，只要当等级较高时才能获得相关权限，这就保证了一些重要信息不会被窃取。关于用户的访问权限也有两层含义，首先是用户能够获得数据库中的信息种类和数量，另一层含义则是指用户对于获取的数据库信息进行怎样的操作。

商务安全论文范文第4篇

关键词：计算机安全技术；在电子商务中的应用

1计算机安全技术

计算机安全技术既计算机信息系统安全技术，是指为防止外部破坏、攻击及信息窃取，以保证计算机系统正常运行的防护技术。下面我就从计算机安全技术的研究领域、包括方面两个角度出发来进行探讨。

1.1计算机安全技术主要有两个研究领域

一是计算机防泄漏技术。即通过无线电技术对计算机进行屏蔽、滤波、接地，以达到防泄漏作用。

二是计算机信息系统安全技术。即通过加强安全管理，改进、改造系统的安全配置等方法，以防御由于利用计算机网络服务、系统配置、操作系统及系统源代码等安全隐患而对计算机信息系统进行的攻击，使计算机信息系统安全运行。

1.2计算机安全技术包括方面

计算机的安全技术包括两个方面：个人计算机的安全技术，计算机网络的安全技术。

1.2.1个人计算机的安全技术

个人计算机的安全技术是影响到使用个人电脑的每个用户的大事。它包括硬件安全技术、操作系统安全技术、应用软件安全技术、防病毒技术。在这里我们主要讨论硬件安全技术和操作系统安全技术。

硬件安全技术是指外界强电磁对电脑的干扰、电脑在工作时对外界辐射的电磁影响，电脑电源对电网电压的波动的反应、CPU以及主板的电压和电流适应范围、串并口时热拔插的保护、机箱内绝缘措施、显示器屏幕对周围电磁干扰的反应和存储介质的失效等等。目前，这种单机的硬件保护问题在技术上相对简单一点，一般来说，凡是严格按照IS9001标准进行采购、生产、管理、销售的企业都可以保证上述安全问题能有相应的解决措施。

操作系统安全技术是指目前常用的PC操作系统的安全问题，包括DOS、WINDOWS的安全问题。由于WIN—DOWS系统在日常生活中被大多数人所熟知，这里我们就以WINDOWS系统为例来分析操作系统的安全技术。

WINDOWS系统在安全技术方面采取了软件加密和病毒防治两种手段来保证操作系统的安全。软件加密由三个部分组成：反跟踪、指纹识别、目标程序加/解密变换。三个部分相互配合，反跟踪的目的是保护指纹识别和解密算法。指纹识别判定软件的合法性，而加/解密变换则是避免暴露目标程序。病毒防治原理是由于Windows的文件系统依赖于DOS，所以扩充现有的基于DOS的病毒防治软件。使之能够识别Windows可执行文件格式（NE格式），是一种行之有效的方法，在病毒的检测、清除方面则需要分析Win—dows病毒的传染方式和特征标识，扩充现有的查毒、杀毒软件。

1.2.2计算机网络的安全技术

计算机安全特别是计算机网络安全技术越来越成为能够谋取较高经济效益并具有良好市场发展前景的高新技术及产业。自从计算机网络暴露出安全脆弱问题且受到攻击后，人们就一直在研究计算机网络安全技术，以求把安全漏洞和风险降低到力所能及的限度，因此出现了一批安全技术和产品。

（1）安全内核技术。

人们开始在操作系统的层次上考虑安全性。尝试把系统内核中可能引起安全问题的部分从内核中剔出去。使系统更安全。如So-laris操作系统把静态的口令放在一个隐含文件中，使系统更安全。

（2）Kerberos系统的鉴别技术。

它的安全机制在于首先对发出请求的用户进行身份验证，确认其是否是合法的用户。如是合法用户，再审核该用户是否有权对他所请求的服务或主机进行访问。Kerberos系统在分布式计算机环境中得到了广泛的应用，其特点是：安全性高、明性高、扩展性好。

（3）防火墙技术。

防火墙即在被保护网络和因特网之间，或在其他网络之间限制访问的一种部件或一系列部件。

防火墙技术是目前计算机网络中备受关注的安全技术。在目前的防火墙产品的设计与开发中，安全内核、系统、多级过滤、安全服务器和鉴别与加密是其关键所在。防火墙技术主要有数据包过滤、服务器、SOCKS协议、网络反病毒技术等方面组成，共同完成防火墙的功能效应。

2其在电子商务中的应用

随着网络技术和信息技术的飞速发展

，电子商务得到了越来越广泛的应用，但电子商务是以计算机网络为基础载体的，大量重要的身份信息、会计信息、交易信息都需要在网上进行传递，在这样的情况下，电子商务的安全性是影响其成败的一个关键因素。

2.1电子商务含义

电子商务是利用计算机技术、网络技术和远程通信技术实现整个商务过程中的电子化、数字化和网络化。人们不再是面对面的、看着实实在在的货物、靠纸介质单据进行买卖交易，而是通过网络，通过网上琳琅满目的商品信息、完善的物流配送系统和方便安全的资金结算系统进行交易。

整个交易的过程可以分为三个阶段：第一个阶段是信息交流阶段；第二阶段是签定商品合同阶段；第三阶段是按照合同进行商品交接、资金结算阶段。

2.2电子商务安全隐患

2.2.1截获传输信息

攻击者可能通过公共电话网、互联网或在电磁波辐射范围内安装接收装置等方式。截取机密信息；或通过对信息长度、流量、流向和通信频度等参数进行分析。获得如用户账号、密码等有用信息。

2.2.2伪造电子邮件

虚开网上商店。给用户发电子邮件，伪造大量用户的电子邮件，穷尽商家资源，使合法用户不能访问网络。使有严格时间要求的服务不能及时得到响应。

2.2.3否认已有交易

者事后否认曾发送过某条信息或内容，接收者事后否认曾收到过某条信息或内容；购买者不承认下过订货单；商家不承认卖出过次品等。

2.3电子商务交易中的一些计算机安全安全技术

针对以上问题现在广泛采用了身份识别技术数据加密技术、数字签名技术和放火墙技术。

2.3.1身份识别技术

通过电子网络开展电子商务。身份识别问题是一个必须解决的同题。一方面，只有合法用户才可以使用网络资源，所以网络资源管理要求识别用户的身份；另一方面，传统的交易方式，交易双方可以面对面地谈判交涉。很容易识别对方的身份。通过电子网络交易方式。交易双方不见面，并且通过普通的电子传输信息很难确认对方的身份，因此，电子商务中的身份识别问题显得尤为突出。

2.3.2数据加密技术

加密技术是电子商务中采取的主要安全措施。目前。加密技术分为两类，即对称加密/对称密钥加密/专用密钥加密和非对称加密/公开密钥加密。现在许多机构运用PKI的缩写，即公开密钥体系技术实施构建完整的加密/签名体系，更有效地解决上述难题，在充分利用互联网实现资源共享的前提下，从真正意义上确保了网上交易与信息传递的安全。

商务安全论文范文第5篇

摘要：在电子政务建设中，如何准确把握信息安全与应用建设的关系，既有效减小安全风险，又保证应用顺利开展，是许多信息系统建设者、使用者都会遇到的问题。对于这一问题的圆满解决，既需要有微观上的技术手段，又要宏观上的理论指导和观念更新，尤其是宏观方面的考量，在信息系统建设的整体把握和政策导向方面尤为重要。本文通过对应用与安全两者在信息系统中所处位置的形象比喻，试图理清应用与安全之间既相互矛盾、又互为依存的关系，为信息系统的建设者、使用者提供决策参考依据。

一、随着电子政务应用的进一步深入，信息安全问题越来越成为大家关注的焦点

如何正确把握安全与应用的关系，安全配置的“边”在哪里，“度”又该如何衡量，这些问题在电子政务领域显得尤为突出。“水池定律”即是对这一问题做出的一种解释。

“水池的注、排水口同时开放，只有当单位时间内的注水量大于排水量时，水池内才会存住水，水池才有可能被注满。”—这个道理人人都懂，虽然我们都觉得一边注水一边排水很浪费，但在现实世界中，由于一些不可避免的客观原因所限，类似情况并不少见。

如果把信息系统看作一个水池，水看作利益，则注水相当于得到利益，排水相当于损失利益，一个信息系统能否给它的所有者带来收益，就是看这个水池能否存得住水。问题的关键就是看获得利益的速度是否大于损失利益的速度。

在电子商务领域，利益多表现为有形的资产，可以量化为金钱来衡量。信息系统经过一段时间的运行，它的效益可以从利润中体现出来。对于电子政务，虽然不能简单一概而论，但道理是相似的。业务应用给信息系统的所有者及服务对象带来收益，是注水口，安全风险又会造成损失，是排水口。应用该不该建，安全上怎么防，关键是要让收益速度远远大于损失速度，即单位时间内的注水量大于排水量，这样池子里才存得住水，这个系统才建得值。所以不能单纯、片面地盯住安全问题，而应把它放在信息系统建设的大环境中，从整体上、全局上把握。这样一来，很多我们在信息安全建设中碰到的问题就有了决策的依据。

具体来说，在信息安全建设中，我们经常会碰到以下问题：

现象一：要把水池建成铜墙铁壁，滴水不漏一一信息安全过度配置，防护过度。

现象二：要关闭水池一一把个别安全事件作为普遍现象来衡量得失，从而导致信息化建设大踏步倒退。

现象三：水池没人管，谁都不清楚水池的注水量和排水量是多少一一应用效益缺乏评估，安全建设外紧内松，安全隐患依然存在。

造成上述问题的原因可能是以下一种或多种。

原因一：注水口的水流过小或根本没水—效益没见着，却要承担安全风险；费力不讨好也就罢了，谁愿意花钱找罪受、自讨苦吃?所以看上去是过分强调安全，实质上是应用效益没见着，没有源头活水，自然没有热情和本钱去承担哪怕是很小的一点安全风险。这里需要说明的是，一些服务于社会公众的应用，虽然所有者本身并没有直接获益，但公众获得了便利，相当于政府取得了无形收益，所有者可视为间接受益。

此外，与应用结合的安全建设需要根据应用量体裁衣。量体裁衣不是为了省布料，而是为了更合适。同理，根据应用定制安全也不是为了省钱，而是为了更安全。有了值得保护的应用，才有了评估风险的具体对象，也才好有针对性地制定防范对策。

原因二：注、排水口不在一个池子上。安全风险承担者不是应用效益获得者，两者之间没有共同的利益。

这种现象更为常见，但很多情况是利益链存在“脱节”造成的。比如一个单位的应用取得效益，其荣誉归甲部门；同样是这个应用，安全出问题却要乙部门承担责任，合适吗?这不仅涉及是否公平、合理的问题，更影晌到系统的长远发展、生命力问题。当安全风险承担者较为强势时，可能会片面强调安全，甚至把安全风险混同于具体的安全事故，这种概念混淆就好比以一次空难事故来衡量坐飞机的风险。即使发生了空难，飞机还是有人去坐，首先是因为它快捷，其次空难概率毕竟很小。所以说，安全事故是不能预测的，但安全风险是可以预估的。信息安全建设的所要做的是对可预估的风险采取相应措施，把能做的、该做的事做到位，那么即使事故还是会发生，我们也尽到了责任，问心无愧、不留遗憾。

二、当安全风险承担者较为弱势时，会出现“想管不敢管、想管管不了”的局面。具体表现为缺乏有效的评价、监督机制，即使有，执行起来也是畏首畏尾，难以落到实处

针对以上两种原因，有以下解决办法可供参考。

解决办法一：信息化的目的是为了得到效益，所以没有效益的应用不如不建，在安全适度配置的前提下，要加大向应用要效益的力度；没人用的系统是最安全的，同时也是效用最低的，因此信息安全建设要与应用结合。

解决办法二：统一应用与安全建设的主体，做到业务谁主管，安全谁负责。如果统一主体确实存在困难，则要在两者之间建立利益等效机制，让利益链“环环紧扣”，让利益“流动”起来，这些可以通过调整管理体制，完善评价机制，健全监督机制来具体实现。

当然，实际情况更为复杂，我们要想以不变应万变，不被问题牵着鼻子走，需要把握以下原则：绝对的安全是不存在的。当应用带来的收益远远大于安全带来的风险时，信息化工作才会大踏步地前进。我们应该做的，是大力建设能带来效益应用的同时，把安全风险控制在一个可容忍的较小范围内。也就是在扩大注水口的同时，缩小排水口。

前面为了能够简明地说清问题，我们把注水口简化为应用效益，把排水口简化为安全风险，形成了一个理想上的封闭环境。但正如我们不能将信息安全问题脱离开信息化的大环境去片面、孤立考虑一样，我们也不能把信息化的问题脱离开一个部门的整体大环境去考虑。从更宏观一点的角度考虑，给一个部门带来收益的并不只是信息化应用，给其带来损失的也并不只是信息安全风险。