论文部分内容阅读
[摘要] 近年来企业商务网站发展迅速,而网站本身的信息安全已经成为一个普遍的、急需解决的问题。文章构建了信息安全三维模型,分析了企业商务网站安全的现状,从三维角度提出加强企业商务网站安全管理的对策。
[关键词] 网站 信息 安全管理
一、企业商务网站建设的总体情况
电子商务网站是企业开展电子商务的基础设施和信息平台,是实施电子商务的公司与服务对象之间的交互界面,是电子商务运转的承担者和表现者。一些信息化水平高、经济实力雄厚、技术力量强的企业,往往采取自建网站的方式,即企业自己购置硬件设备并构架服务器平台,自行开发网站系统,自行对网站进行控制和管理。与主机托管、租用虚拟主机等网站构建方式相比,这种方式完全自主研发,易于采用新技术,便于扩充、升级,同时企业内部管理数据和商务网站信息高度整合,能提升企业的形象和效益。电子商务网站不容忽视的是随之带来的网络信息安全问题,比如:信息污染、病毒泛滥、黑客入侵等等。对于企业自主建设的网站而言,其安全性完全由企业自行控制,风险更大,要求更高。如何加强企业商务网站的安全管理,已成为当务之急,本文试图对此做些探讨。
二、信息安全三维模型概述
1.信息安全的安全层次结构(层次维L)。从信息安全的作用层面来看,信息安全可以分为物理安全、系统安全、数据安全和信息内容安全四层。(1)物理安全:主要体现在通信线路的可靠性、防灾害能力、防干扰能力、设备的运行环境(温度、湿度、烟尘)、不间断电源保障等等。(2)系统安全:指的是计算机与网络设备运行过程中的稳定性运行状态,因而又可称之为“运行安全”,包括操作系统的安全、网络方面的安全。(3)数据安全:是指对信息在数据处理、存储、检索、传输、显示等过程中的保护,不被非法冒充、窃取、篡改、抵赖。(4)信息内容安全:是指对信息在网络内流动中的选择性阻断,以保证信息流动的可控能力。在此,被阻断的对象主要是各种不良的、有害的信息。
2.PPDRR模型(时间维T)。PPDRR模型是典型的、动态的、自适应的安全模型,包括策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)和恢复(Recovery)5个主要部分。
信息安全策略是一个组织解决信息安全问题最重要的步骤,也是这个组织整个信息安全体系的基础,反映出这个组织对现实安全威胁和未来安全风险的预期,反映出组织内部业务人员和技术人员安全风险的认识与应对。防护是安全的第一步;但采取丰富的安全防护措施并不意味着安全性就得到了可靠保障,因此要采取有效的手段对网络进行实时检测,使安全防护从单纯的被动防护演进到积极的主动防御;响应指在遭遇攻击和紧急事件时及时采取措施;恢复指系统受到安全危害与损失后,能迅速恢复系统功能和数据。这个模型中,防护、检测、响应和恢复在安全策略的指导下构成一个完整的、动态的安全循环,是基于时间关系的。
3.三大保障(保障维S)。信息安全保障体系由人员保障、管理制度保障、技术手段保障三个要素组成。安全领导小组、安全工作小组和安全工作执行人员分别从决策、监督和具体执行三个层面为网络信息安全工作提供了完整的人员保障, 良好的网络信息安全保障离不开规范严谨的管理制度,同时还需要使用一系列先进的技术工具和手段。
4.信息安全三维模型。上述分别从作用层次L、时间关系T及保障体系S这三个层面构成了信息安全的三维模型,这三维是相互关联、互相作用、不可分割的。如果将商务网站信息安全的各项措施明确在这个三维模型中的位置,就能够做到有的放矢,增强针对性和逻辑性。
三、基于三维模型的企业商务网站信息安全对策
1.物理层。从防护角度看,企业自建商务网站所在机房应具备较好的物理环境,包括UPS、空凋、消防系统等,使设备免受安全威胁和环境危险,如偷窃、火灾、水(或供水故障)、电磁辐射等。从恢复角度看,网站平台要有容灾、冗余备份等措施。在人员方面的措施包括:机房配备管理人员(除了进行岗位操作和技能培训外,还要进行职业道德、法律规范的培训);在管理制度方面的措施包括:机房管理制度(电源管理、环境管理等)、设备常规管理制度;在技术手段方面包括用于防护的视频监控、门禁系统、抗扰处理等技术和用于恢复的容错、容灾、冗余备份等技术。
2.系统层。随着网络环境越来越复杂,计算机病毒及黑客攻击手段越来越智能,影响范围越来越广、破坏力也越来越大。商业网站服务器的操作系统、WEB服务器系统如果存在较大安全漏洞,就会被黑客利用,造成整个网站的瘫痪。我们的应对措施涵盖了防护、检测、响应、恢复。这里技术手段起到了非常重要的作用,当然人员保障和管理制度也是必不可少的。
重要的技术手段包括:(1)访问控制:访问控制是网站安全防范和保护的主要策略,它的主要任务是保证网站资源不被非法使用和访问。它是保证网站安全最重要的核心策略之一。通常的访问控制包括通过Ip地址来控制、通过用户名来控制和采用共用密钥加密的方法来控制。(2)病毒防护:需要建立完整的病毒防护体系,对应用服务器、企业网内部所有的客户机进行全面的防毒扫描,保证建立及时、快速的病毒响应机制,发现病毒即时进行处理,迅速抑制病毒传播。(3)操作系统要及时打上补丁程序,并进行完善的安全配置。(4)系统容错、容灾、冗余备份等技术,使网站一旦发生问题能够及时恢复。
人员保障方面要配备技术拔尖的人才专门从事网站安全管理工作,负责操作系统、web服务器的安全配置。同时,还有有以下管理制度作保障:(1)计算机病毒预报制度和安全漏洞预报制度;(2)操作人员权限管理规定;(3)病毒、安全应急响应及处置预案;(4)安全日志管理制度。
3.数据层。商务网站的数据层安全是最为重要的,主要是保障数据的机密性、真实性、完整性。要能够查证用户的真实身份,交易中的商务信息均有保密的要求。如信用卡的账号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。另外要保证交易的全过程能够被记录并作为审计依据。
数据层的主要管理制度包括:(1)网站账号管理规定。该规定应包括注册账户的资料提供、密码规定、行为规范、操作系统及服务器的账号管理等多个方面。这个规定用于数据层安全问题的防护。(2)关于网站突发事件和急处置工作预案。此预案旨在及时果断处理网上突发事件,内容可包括组织领导、工作网络、宣传教育、管理控制、案件查处等方面。这个规定用于数据层安全问题的响应和恢复。(3)安全日志管理制度,这个规定用于数据层安全问题的检测。
数据层的重要技术手段包括:(3)数据加密,即以加密格式存储和传输敏感数据。(2)身份认证:主要是利用用户有关信息对用户的身份进行确认,包括密码、数字签名、数字证书等方面来避免信息的非法获取。(3)采用具有一定安全级别的SYBASE或ORACLE大型分布式数据库,在此基础上开发一些安全措施,增加相应控件,对数据库分级管理并提供可靠的故障恢复机制。
4.信息内容层。商务网站会有留言板或论坛,便于与客户交流并提供服务。但一些有害信息如垃圾信息、虚假信息、黄色淫秽信息等就有可能在网上出现。有些客户会随意发表一些带有个人偏见的不良信息,造成不良影响。我们的目的是保证各种不良的有害信息不在网站内出现、传播。
信息内容层主要有以下管理制度:(1)信息发布审查制度。(2)BBS及留言版的监控与管理。这两点必须有专人负责。
信息内容层的技术手段主要是信息内容过滤,包括URL或IP限制、文字拦截、图像审查、屏幕监视等等。文字拦截功能可以按关键字拦截本机通过网络传输的信息,不仅是流入的信息, 而且可以是从本地流出的信息,这样可以防止一些本机的机密信息或者其它不良信息的外泄。
四、结束语
在信息安全方面,漏洞无非三种类型,即:技术上的漏洞,管理上的漏洞和人的思想认识上的漏洞。加强领导是做好此项工作的关键,企业可以成立专门的商务网站信息安全领导小组,由有关领导和有关职能部门(如保卫处、信息中心等)的负责人组成。另外,要建立一支网络安全管理队伍,除企业信息中心人员要求技术过硬、思想素质高外,部门要指定一名思想政治觉悟高、工作责任心强、懂电脑的人员担任网站信息安全协助管理员。除了高超的技术, 严密的规章制度,还要从领导干部、技术人员、一般用户三个层面加强宣传教育和安全培训工作。
参考文献:
[1]顾国飞等:全方位的网络信息监控体系[J]. 计算机工程与应用,2003,(10)
[2]王娜方滨兴等:“5432战略”:国家信息安全保障体系框架研究[J].通信学报,2004年07期
[3]庞南:信息安全管理教程[M].中国人民公安大学出版社,2007
[4]高怡新:电子商务网站建设[M].人民邮电出版社,2005年1月
[关键词] 网站 信息 安全管理
一、企业商务网站建设的总体情况
电子商务网站是企业开展电子商务的基础设施和信息平台,是实施电子商务的公司与服务对象之间的交互界面,是电子商务运转的承担者和表现者。一些信息化水平高、经济实力雄厚、技术力量强的企业,往往采取自建网站的方式,即企业自己购置硬件设备并构架服务器平台,自行开发网站系统,自行对网站进行控制和管理。与主机托管、租用虚拟主机等网站构建方式相比,这种方式完全自主研发,易于采用新技术,便于扩充、升级,同时企业内部管理数据和商务网站信息高度整合,能提升企业的形象和效益。电子商务网站不容忽视的是随之带来的网络信息安全问题,比如:信息污染、病毒泛滥、黑客入侵等等。对于企业自主建设的网站而言,其安全性完全由企业自行控制,风险更大,要求更高。如何加强企业商务网站的安全管理,已成为当务之急,本文试图对此做些探讨。
二、信息安全三维模型概述
1.信息安全的安全层次结构(层次维L)。从信息安全的作用层面来看,信息安全可以分为物理安全、系统安全、数据安全和信息内容安全四层。(1)物理安全:主要体现在通信线路的可靠性、防灾害能力、防干扰能力、设备的运行环境(温度、湿度、烟尘)、不间断电源保障等等。(2)系统安全:指的是计算机与网络设备运行过程中的稳定性运行状态,因而又可称之为“运行安全”,包括操作系统的安全、网络方面的安全。(3)数据安全:是指对信息在数据处理、存储、检索、传输、显示等过程中的保护,不被非法冒充、窃取、篡改、抵赖。(4)信息内容安全:是指对信息在网络内流动中的选择性阻断,以保证信息流动的可控能力。在此,被阻断的对象主要是各种不良的、有害的信息。
2.PPDRR模型(时间维T)。PPDRR模型是典型的、动态的、自适应的安全模型,包括策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)和恢复(Recovery)5个主要部分。
信息安全策略是一个组织解决信息安全问题最重要的步骤,也是这个组织整个信息安全体系的基础,反映出这个组织对现实安全威胁和未来安全风险的预期,反映出组织内部业务人员和技术人员安全风险的认识与应对。防护是安全的第一步;但采取丰富的安全防护措施并不意味着安全性就得到了可靠保障,因此要采取有效的手段对网络进行实时检测,使安全防护从单纯的被动防护演进到积极的主动防御;响应指在遭遇攻击和紧急事件时及时采取措施;恢复指系统受到安全危害与损失后,能迅速恢复系统功能和数据。这个模型中,防护、检测、响应和恢复在安全策略的指导下构成一个完整的、动态的安全循环,是基于时间关系的。
3.三大保障(保障维S)。信息安全保障体系由人员保障、管理制度保障、技术手段保障三个要素组成。安全领导小组、安全工作小组和安全工作执行人员分别从决策、监督和具体执行三个层面为网络信息安全工作提供了完整的人员保障, 良好的网络信息安全保障离不开规范严谨的管理制度,同时还需要使用一系列先进的技术工具和手段。
4.信息安全三维模型。上述分别从作用层次L、时间关系T及保障体系S这三个层面构成了信息安全的三维模型,这三维是相互关联、互相作用、不可分割的。如果将商务网站信息安全的各项措施明确在这个三维模型中的位置,就能够做到有的放矢,增强针对性和逻辑性。
三、基于三维模型的企业商务网站信息安全对策
1.物理层。从防护角度看,企业自建商务网站所在机房应具备较好的物理环境,包括UPS、空凋、消防系统等,使设备免受安全威胁和环境危险,如偷窃、火灾、水(或供水故障)、电磁辐射等。从恢复角度看,网站平台要有容灾、冗余备份等措施。在人员方面的措施包括:机房配备管理人员(除了进行岗位操作和技能培训外,还要进行职业道德、法律规范的培训);在管理制度方面的措施包括:机房管理制度(电源管理、环境管理等)、设备常规管理制度;在技术手段方面包括用于防护的视频监控、门禁系统、抗扰处理等技术和用于恢复的容错、容灾、冗余备份等技术。
2.系统层。随着网络环境越来越复杂,计算机病毒及黑客攻击手段越来越智能,影响范围越来越广、破坏力也越来越大。商业网站服务器的操作系统、WEB服务器系统如果存在较大安全漏洞,就会被黑客利用,造成整个网站的瘫痪。我们的应对措施涵盖了防护、检测、响应、恢复。这里技术手段起到了非常重要的作用,当然人员保障和管理制度也是必不可少的。
重要的技术手段包括:(1)访问控制:访问控制是网站安全防范和保护的主要策略,它的主要任务是保证网站资源不被非法使用和访问。它是保证网站安全最重要的核心策略之一。通常的访问控制包括通过Ip地址来控制、通过用户名来控制和采用共用密钥加密的方法来控制。(2)病毒防护:需要建立完整的病毒防护体系,对应用服务器、企业网内部所有的客户机进行全面的防毒扫描,保证建立及时、快速的病毒响应机制,发现病毒即时进行处理,迅速抑制病毒传播。(3)操作系统要及时打上补丁程序,并进行完善的安全配置。(4)系统容错、容灾、冗余备份等技术,使网站一旦发生问题能够及时恢复。
人员保障方面要配备技术拔尖的人才专门从事网站安全管理工作,负责操作系统、web服务器的安全配置。同时,还有有以下管理制度作保障:(1)计算机病毒预报制度和安全漏洞预报制度;(2)操作人员权限管理规定;(3)病毒、安全应急响应及处置预案;(4)安全日志管理制度。
3.数据层。商务网站的数据层安全是最为重要的,主要是保障数据的机密性、真实性、完整性。要能够查证用户的真实身份,交易中的商务信息均有保密的要求。如信用卡的账号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。另外要保证交易的全过程能够被记录并作为审计依据。
数据层的主要管理制度包括:(1)网站账号管理规定。该规定应包括注册账户的资料提供、密码规定、行为规范、操作系统及服务器的账号管理等多个方面。这个规定用于数据层安全问题的防护。(2)关于网站突发事件和急处置工作预案。此预案旨在及时果断处理网上突发事件,内容可包括组织领导、工作网络、宣传教育、管理控制、案件查处等方面。这个规定用于数据层安全问题的响应和恢复。(3)安全日志管理制度,这个规定用于数据层安全问题的检测。
数据层的重要技术手段包括:(3)数据加密,即以加密格式存储和传输敏感数据。(2)身份认证:主要是利用用户有关信息对用户的身份进行确认,包括密码、数字签名、数字证书等方面来避免信息的非法获取。(3)采用具有一定安全级别的SYBASE或ORACLE大型分布式数据库,在此基础上开发一些安全措施,增加相应控件,对数据库分级管理并提供可靠的故障恢复机制。
4.信息内容层。商务网站会有留言板或论坛,便于与客户交流并提供服务。但一些有害信息如垃圾信息、虚假信息、黄色淫秽信息等就有可能在网上出现。有些客户会随意发表一些带有个人偏见的不良信息,造成不良影响。我们的目的是保证各种不良的有害信息不在网站内出现、传播。
信息内容层主要有以下管理制度:(1)信息发布审查制度。(2)BBS及留言版的监控与管理。这两点必须有专人负责。
信息内容层的技术手段主要是信息内容过滤,包括URL或IP限制、文字拦截、图像审查、屏幕监视等等。文字拦截功能可以按关键字拦截本机通过网络传输的信息,不仅是流入的信息, 而且可以是从本地流出的信息,这样可以防止一些本机的机密信息或者其它不良信息的外泄。
四、结束语
在信息安全方面,漏洞无非三种类型,即:技术上的漏洞,管理上的漏洞和人的思想认识上的漏洞。加强领导是做好此项工作的关键,企业可以成立专门的商务网站信息安全领导小组,由有关领导和有关职能部门(如保卫处、信息中心等)的负责人组成。另外,要建立一支网络安全管理队伍,除企业信息中心人员要求技术过硬、思想素质高外,部门要指定一名思想政治觉悟高、工作责任心强、懂电脑的人员担任网站信息安全协助管理员。除了高超的技术, 严密的规章制度,还要从领导干部、技术人员、一般用户三个层面加强宣传教育和安全培训工作。
参考文献:
[1]顾国飞等:全方位的网络信息监控体系[J]. 计算机工程与应用,2003,(10)
[2]王娜方滨兴等:“5432战略”:国家信息安全保障体系框架研究[J].通信学报,2004年07期
[3]庞南:信息安全管理教程[M].中国人民公安大学出版社,2007
[4]高怡新:电子商务网站建设[M].人民邮电出版社,2005年1月