企业商务网站安全的三维模型研究

来源 :商场现代化 | 被引量 : 0次 | 上传用户:xiaoshang
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  [摘要] 近年来企业商务网站发展迅速,而网站本身的信息安全已经成为一个普遍的、急需解决的问题。文章构建了信息安全三维模型,分析了企业商务网站安全的现状,从三维角度提出加强企业商务网站安全管理的对策。
  [关键词] 网站 信息 安全管理
  
  一、企业商务网站建设的总体情况
  
  电子商务网站是企业开展电子商务的基础设施和信息平台,是实施电子商务的公司与服务对象之间的交互界面,是电子商务运转的承担者和表现者。一些信息化水平高、经济实力雄厚、技术力量强的企业,往往采取自建网站的方式,即企业自己购置硬件设备并构架服务器平台,自行开发网站系统,自行对网站进行控制和管理。与主机托管、租用虚拟主机等网站构建方式相比,这种方式完全自主研发,易于采用新技术,便于扩充、升级,同时企业内部管理数据和商务网站信息高度整合,能提升企业的形象和效益。电子商务网站不容忽视的是随之带来的网络信息安全问题,比如:信息污染、病毒泛滥、黑客入侵等等。对于企业自主建设的网站而言,其安全性完全由企业自行控制,风险更大,要求更高。如何加强企业商务网站的安全管理,已成为当务之急,本文试图对此做些探讨。
  
  二、信息安全三维模型概述
  
  1.信息安全的安全层次结构(层次维L)。从信息安全的作用层面来看,信息安全可以分为物理安全、系统安全、数据安全和信息内容安全四层。(1)物理安全:主要体现在通信线路的可靠性、防灾害能力、防干扰能力、设备的运行环境(温度、湿度、烟尘)、不间断电源保障等等。(2)系统安全:指的是计算机与网络设备运行过程中的稳定性运行状态,因而又可称之为“运行安全”,包括操作系统的安全、网络方面的安全。(3)数据安全:是指对信息在数据处理、存储、检索、传输、显示等过程中的保护,不被非法冒充、窃取、篡改、抵赖。(4)信息内容安全:是指对信息在网络内流动中的选择性阻断,以保证信息流动的可控能力。在此,被阻断的对象主要是各种不良的、有害的信息。
  2.PPDRR模型(时间维T)。PPDRR模型是典型的、动态的、自适应的安全模型,包括策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)和恢复(Recovery)5个主要部分。
  信息安全策略是一个组织解决信息安全问题最重要的步骤,也是这个组织整个信息安全体系的基础,反映出这个组织对现实安全威胁和未来安全风险的预期,反映出组织内部业务人员和技术人员安全风险的认识与应对。防护是安全的第一步;但采取丰富的安全防护措施并不意味着安全性就得到了可靠保障,因此要采取有效的手段对网络进行实时检测,使安全防护从单纯的被动防护演进到积极的主动防御;响应指在遭遇攻击和紧急事件时及时采取措施;恢复指系统受到安全危害与损失后,能迅速恢复系统功能和数据。这个模型中,防护、检测、响应和恢复在安全策略的指导下构成一个完整的、动态的安全循环,是基于时间关系的。
  3.三大保障(保障维S)。信息安全保障体系由人员保障、管理制度保障、技术手段保障三个要素组成。安全领导小组、安全工作小组和安全工作执行人员分别从决策、监督和具体执行三个层面为网络信息安全工作提供了完整的人员保障, 良好的网络信息安全保障离不开规范严谨的管理制度,同时还需要使用一系列先进的技术工具和手段。
  4.信息安全三维模型。上述分别从作用层次L、时间关系T及保障体系S这三个层面构成了信息安全的三维模型,这三维是相互关联、互相作用、不可分割的。如果将商务网站信息安全的各项措施明确在这个三维模型中的位置,就能够做到有的放矢,增强针对性和逻辑性。
  
  三、基于三维模型的企业商务网站信息安全对策
  
  1.物理层。从防护角度看,企业自建商务网站所在机房应具备较好的物理环境,包括UPS、空凋、消防系统等,使设备免受安全威胁和环境危险,如偷窃、火灾、水(或供水故障)、电磁辐射等。从恢复角度看,网站平台要有容灾、冗余备份等措施。在人员方面的措施包括:机房配备管理人员(除了进行岗位操作和技能培训外,还要进行职业道德、法律规范的培训);在管理制度方面的措施包括:机房管理制度(电源管理、环境管理等)、设备常规管理制度;在技术手段方面包括用于防护的视频监控、门禁系统、抗扰处理等技术和用于恢复的容错、容灾、冗余备份等技术。
  2.系统层。随着网络环境越来越复杂,计算机病毒及黑客攻击手段越来越智能,影响范围越来越广、破坏力也越来越大。商业网站服务器的操作系统、WEB服务器系统如果存在较大安全漏洞,就会被黑客利用,造成整个网站的瘫痪。我们的应对措施涵盖了防护、检测、响应、恢复。这里技术手段起到了非常重要的作用,当然人员保障和管理制度也是必不可少的。
  重要的技术手段包括:(1)访问控制:访问控制是网站安全防范和保护的主要策略,它的主要任务是保证网站资源不被非法使用和访问。它是保证网站安全最重要的核心策略之一。通常的访问控制包括通过Ip地址来控制、通过用户名来控制和采用共用密钥加密的方法来控制。(2)病毒防护:需要建立完整的病毒防护体系,对应用服务器、企业网内部所有的客户机进行全面的防毒扫描,保证建立及时、快速的病毒响应机制,发现病毒即时进行处理,迅速抑制病毒传播。(3)操作系统要及时打上补丁程序,并进行完善的安全配置。(4)系统容错、容灾、冗余备份等技术,使网站一旦发生问题能够及时恢复。
  人员保障方面要配备技术拔尖的人才专门从事网站安全管理工作,负责操作系统、web服务器的安全配置。同时,还有有以下管理制度作保障:(1)计算机病毒预报制度和安全漏洞预报制度;(2)操作人员权限管理规定;(3)病毒、安全应急响应及处置预案;(4)安全日志管理制度。
  3.数据层。商务网站的数据层安全是最为重要的,主要是保障数据的机密性、真实性、完整性。要能够查证用户的真实身份,交易中的商务信息均有保密的要求。如信用卡的账号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。另外要保证交易的全过程能够被记录并作为审计依据。
  数据层的主要管理制度包括:(1)网站账号管理规定。该规定应包括注册账户的资料提供、密码规定、行为规范、操作系统及服务器的账号管理等多个方面。这个规定用于数据层安全问题的防护。(2)关于网站突发事件和急处置工作预案。此预案旨在及时果断处理网上突发事件,内容可包括组织领导、工作网络、宣传教育、管理控制、案件查处等方面。这个规定用于数据层安全问题的响应和恢复。(3)安全日志管理制度,这个规定用于数据层安全问题的检测。
  数据层的重要技术手段包括:(3)数据加密,即以加密格式存储和传输敏感数据。(2)身份认证:主要是利用用户有关信息对用户的身份进行确认,包括密码、数字签名、数字证书等方面来避免信息的非法获取。(3)采用具有一定安全级别的SYBASE或ORACLE大型分布式数据库,在此基础上开发一些安全措施,增加相应控件,对数据库分级管理并提供可靠的故障恢复机制。
  4.信息内容层。商务网站会有留言板或论坛,便于与客户交流并提供服务。但一些有害信息如垃圾信息、虚假信息、黄色淫秽信息等就有可能在网上出现。有些客户会随意发表一些带有个人偏见的不良信息,造成不良影响。我们的目的是保证各种不良的有害信息不在网站内出现、传播。
  信息内容层主要有以下管理制度:(1)信息发布审查制度。(2)BBS及留言版的监控与管理。这两点必须有专人负责。
  信息内容层的技术手段主要是信息内容过滤,包括URL或IP限制、文字拦截、图像审查、屏幕监视等等。文字拦截功能可以按关键字拦截本机通过网络传输的信息,不仅是流入的信息, 而且可以是从本地流出的信息,这样可以防止一些本机的机密信息或者其它不良信息的外泄。
  
  四、结束语
  
  在信息安全方面,漏洞无非三种类型,即:技术上的漏洞,管理上的漏洞和人的思想认识上的漏洞。加强领导是做好此项工作的关键,企业可以成立专门的商务网站信息安全领导小组,由有关领导和有关职能部门(如保卫处、信息中心等)的负责人组成。另外,要建立一支网络安全管理队伍,除企业信息中心人员要求技术过硬、思想素质高外,部门要指定一名思想政治觉悟高、工作责任心强、懂电脑的人员担任网站信息安全协助管理员。除了高超的技术, 严密的规章制度,还要从领导干部、技术人员、一般用户三个层面加强宣传教育和安全培训工作。
  
  参考文献:
  [1]顾国飞等:全方位的网络信息监控体系[J]. 计算机工程与应用,2003,(10)
  [2]王娜方滨兴等:“5432战略”:国家信息安全保障体系框架研究[J].通信学报,2004年07期
  [3]庞南:信息安全管理教程[M].中国人民公安大学出版社,2007
  [4]高怡新:电子商务网站建设[M].人民邮电出版社,2005年1月
其他文献
有的人,什么病也没有,老感到口腔里总有一股特殊的味儿:或甜、或咸、或辣、或苦,这些现象属于口腔异味,常是某种疾病的信号,应当引起注意。
近日,在菲律宾召开的第45界菲律宾土地和科学大会上,菲律宾Los Baqos大学的助理教授Jose M.Yorobe Jr透露,商业种植1万公顷转基因抗虫玉米一年来,单位面积产量提高了37%,意味着每公
[摘要] 针对国内体育品牌十项指标进行讨论分析,以便人们更进一步了解认识国内体育品牌所要具备的条件与内涵。在发展我国体育品牌的同时,积极向世界体育品牌看齐。  [关键词] 体育品牌 市场化 国际化    中国加入世贸组织,越来越多的世界名牌体育商品涌入中国市场,同国内名牌体育商品展开了激烈的竞争。当耐克、阿迪达斯、彪马、安波这些体育用品品牌几乎在几年的时间里,挤垮了国内许多老牌子。在我们认真反思营
采用不同胶粉掺量、胶粉细度、拌和温度、拌和时间制备橡胶沥青,并测试橡胶沥青的针入度、软化点、延度、弹性恢复、粘度等指标,研究制备条件对橡胶沥青性能影响;同时,采用四
速生杨是以欧洲杨与美洲黑杨经有性杂交培育而成,具有速生、高产、抗病虫害、适应性广等特点,为目前世界生长最快的杨树品种。当年扦插苗平均高4.5—6.5米,直径3.3—5厘米,五年生干
[摘要] 目前,我国商业银行的国际竞争力与一些发达国家相比还有一些差距,为提高其国际竞争力,必须进行国际化经营。本文简要介绍了商业银行国际化经营的涵义,主要论述了我国商业银行国际化经营的必要性。  [关键词] 商业银行 国际化经营 必要性    一、商业银行国际化经营的涵义  商业银行国际化经营通常是指一个国家或地区的商业银行按照国际通行的惯例和规则,通过在国外开设的分支机构或建立的代理关系,形成
分析了桑园间套种作物和桑园周边大田作物使用农药、农林业使用农药防治害虫、桑园使用成份混杂农药、盲目使用新型农药、土壤中农药残留的污染以及蚕农防毒意识薄弱等造成家
通过车辙、低温弯曲、浸水马歇尔和冻融劈裂等试验,研究不同Elvaloy RET掺量改性沥青混合料的高温、低温和水稳定性能,全面对比和评价了Elvaloy RET掺量对基质沥青性能改善效
针对富水粉细砂层隧道开挖引发典型坍塌问题,采用现场勘查、理论分析、室内试验和数据监测等手段,对桃树坪隧道塌方处地表和双向开挖掌子面提出科学治理方案。通过注浆填充率
[摘 要] 本文在对客户知识管理、客户关系管理内涵及其关系分析的基础上,参考相关文献,构建了旨在提高客户关系管理水平的客户关系管理体系。  [关键词] 客户知识管理 客户关系管理 体系构建    一、相关概念的界定  客户关系管理是通过完善的客户知识平台、客户交互平台、企业生产平台,最大限度地实现客户价值,以使公司潜在客户变成现实客户,使现实客户变成忠诚客户,不断拓展产品的市场和利润空间。其可分为