关键词:网络安全计算机网络系统安全防范
网络安全的实质也即是确保网络上的信息安全,指网络系统中保存和流动的各种信息数据,不受恶意或偶然的破坏、更改或泄漏,保证网络系统能够正常连续的工作。广义的说,凡是网络上涉及信息的完整性、保密性、真实性、可用性以及可控性的理论及相关技术均是网络安全所研究的领域。随着计算机技术的日益普及,各行各业都在试图通过计算机来提高其生产、经营、学习等方面的效率。然而其运行中也存在着一些安全隐患,亟待我们解决。
1.常见的计算机网络安全隐患
1.1使用操作系统不直接登陆侵入
操作系统自身存在的漏洞,很容易通过一些不正当手段获取计算机的管理权限,并通过远程登陆的方式,实现对计算机数据的破坏和更改,如通过Unix系统中Telent服务器很容易实现对其他计算机的远程非法访问。
1.2利用TCP/IP协议实现破坏
TCP/IP协议组(又称为网络通讯协议),是当前计算机网络互联协议中最重要的协议之一。该网络协议首要考虑的因素也即是网络的开放性和互联性,但其安全性却很少考虑在内。给TCP/IP协议组本身造成很大的不安全性,导致一系列基于此协议的计算机网络服务的不安全性。基于此,一些非法分子就会通过TCP连接时所提供的服务器序列号,侵入到网络中同时非法获取传输的IP数据包,然后通过将信息破坏或篡改后重新发送,以此来影响网络数据传输的正确性和安全性。
1.3利用IP源路径实现破坏
由于IP源路径的不确定,使得计算机网路中的用户在向其他用户发送信息时,一些非法分子通过修改IP路径,将发送信息发送至非法分子指定的IP目标中,以此来非法获取一些用户信息。
1.4更改计算机系统内置文件
计算机网络中潜存的病毒程序或木马程序等,可以有企图的对计算机相关系统文件实现破坏和更改,同时非法的获取计算机用户的一些价值文件和数据,如当前影响较大的“特洛伊木马”等。
2.计算机网络安全的防范策略分析
基于以上存在的问题而言,笔者以为要想防范用户计算机免受网络中木马或病毒的攻击,可通过采用分层控制的方案,实现对计算机网络的分层控制,如内部网络访问控制层、内外网访问控制层等,结合不同层次的计算机,采取相应的防范措施。
2.1内外网间的访问控制层
局域网和互联网之间,用户可通过以下防范实现安全管理:
(1)安全扫描。互联网互动过程中,及时的对计算机安全卫士和杀毒软件等进行升级,以便及时的对流动数据包进行检测,以便及时有效的对网络中发现的木马和病毒采取有效的防护措施。
(2)防火墙系统。防火墙作为计算机网络信息安全防护的第一道屏障,是一种加强网络之间访问控制,它主要用来预防一些非法用户以非法手段使用网络中不公开的信息资源,它可以完成两个或多个数据包之间的传输的检查工作,以此来决定网络之间传输信息的准确性、真实性及安全性。
(3)入侵检测。计算机实现互联网互动时,及时有效的进行安全卫士和杀毒软件系统的升级,对于网络中流动的数据包及时有效的进行检测,以便对网络互动中发现的木马或病毒程序采取及时的防护措施。
2.2内部网的访问控制层
一般情况下,我们可采取以下方法来实现对内部网的访问保护:
(1)用户身份认证。用户入网需要经过用户名验证,用户口令验证以及用户账号验证三个步骤。其关键也即是用户口令,同时需要进行加密实现保护。还应尽量避免多个计算机使用同一账户进行登录。
(2)权限控制。权限的原则也即是管理员、用户等需履行的某一任务而具有的权限,这是有效限制其他非法用户访问网络资源的有效途径。权限设置过程中,首先应确保网络权限设置的合理性,不能因权限的设置影响网络的正常运行,同时为减少病毒的入侵,还应增加相应的加密技术来确保网络的安全,以此来实现对整个网络信息数据的系统性加密,确保网络的安全性和可靠性,来实现对计算机节点信息的实时保护。
(3)加密技术。数据加密也即是通过适当数学函数转换方法来以密文的形式代替明文,并只有特定接受者才能对其进行解密。将其分为对称加密和不对称加密两种方法。
2.3数据存储层
数据存储层的安全对整个系统安全来说同样非常重要。通常我们可通过如下措施,实现对数据存储层的安全防护。
(1)加密技术。可通过一些保密软件来实现对安全性要求较高的数据进行保护,以此来预防病毒和木马的入侵。
(2)选择安全系数较高的数据库系统,实现对数据库系统的安全防护。
(3)确保存储介质的安全性。
(4)及时对数据库进行系统扫描,定时进行系统升级,以此来及时发现数据库系统中存在的漏洞,以便及时有效的进行实时修复。
2.4网络安全法律规范的实施
网络安全法律法规作为网络信息防护的重要放线之一,如果庞大的网络系统没有同意的法律法规进行保障,同样得不到有效的运行。目前国家相关权利机关针对网路信息安全问题专门制定了一系列相关的法律法规,以此来确保网络正常安全运行。
总之,网络安全涉及管理、技术等多方面因素,因此对计算机网络安全问题的防范除了包括信息系统自身的安全问题外,还包括逻辑的和物理的技术措施。网络安全防范作为一项系统的复杂工程,需要我们长期不断强化和完善,以待确保网络更加稳定安全的运行。
参考文献:
关键词:计算机网络;安全;技术;病毒
中图分类号:TP393.08
21世纪是全球信息化的时代,互联网的飞速发展给社会带来了极大的便利和好处。然而,网络是一个虚拟的空间,存在着许多安全隐患。网络入侵、网络欺诈、传播色情等网络犯罪行为屡见不鲜,而所有的网络犯罪有一个共同点,就是利用网络空间存在的安全漏洞实施破坏。网络信息的安全对网民、企业甚至是国家的影响非常大,因此,只有设立明晰的安全策略才能完好、实时地保证信息的完整性和确证性,保证网络的安全。
1什么是计算机网络安全
计算机网络安全的定义为:利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面:物理安全和逻辑安全。
2计算机网络安全存在的问题
影响计算机网络安全的因素很多,总结起来有以下几个方面:
2.1计算机病毒入侵
计算机病毒,是指编制者在计算机程序中插入的破坏计算机功能或数据、影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。网络的互连性促进了计算机病毒的传播,它很容易地通过服务器以软件下载、邮件接收等方式进入网络,窃取网络信息,造成很多损失。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点,是计算机系统安全最大的威胁。
2.2后门和系统漏洞
一般情况下,操作系统的体系结构不可能是天衣无缝、完全没有漏洞的,这恰恰为不法分子攻击提供了目标。一旦某个疏漏被黑客所知,就会从这个突破口对整个网络系统进行攻击。另外,软件的“后门”是为了方便编程人员设置的,一旦“后门”被打开,后果将很严重。
2.3木马程序
木马程序是一种基于远程控制的黑客工具,可以直接入侵、破坏电脑程序,它具有隐蔽性和非授权性的特点。它经常伪装在游戏或者程序里,诱惑用户打开带有木马的文件或邮件附件,而一旦用户打开了这些可执行文件,它们就会马上隐蔽在电脑中,并通过命令服务器程序来控制电脑。
2.4网络入侵
网络入侵是指可以编写和调试计算机程序的人使用非法手段来入侵他方内部网的行为。网络入侵造成的危害一般是系统的写权限、存储权限、访问其他存储内容的权限等非法泄漏、其它系统因此被进入、这个系统被破坏,丧失服务功能。
2.5TCP/IP的脆弱性
作为Internet的基础协议,但设计TCP/IP协议的时候尚未料到网上中存在恶意攻击和威胁,导致协议不够完善,容易被五花八门的攻击方法所袭击,程序对安全考虑不周。
3网络攻击的主要方法
(1)将自己完美的“隐藏”起来;
(2)锁定要攻击的主机,并完整分析;
(3)盗窃主机的账号和密码,登录;
(4)获得主机的控制权,篡改信息。
4加强计算机网络安全的主要措施
针对计算机网络安全面临的威胁,采取必要的防范措施、安全策略对保证计算机网络的安全十分必要,计算机网络安全一般由病毒防护、入侵检测等多个安全组件构成,常用的几项防护措施分别如下。
4.1采用防火墙技术
“防火墙”技术是指假设被保护的网络具有明确定义的边界和服务而采取的一种安全保障技术,它的特点是简明实用,一方面可以阻挡外部不安全因素影响内部网络屏障,防止外部网络没有授权的用户访问内网;另一方面对内屏蔽外部某些危险站点,最大限度保护内部网络。
4.2信息加密技术
信息加密技术主要是指通过对网络传输的信息进行数据加密来保障其安全性,是网络安全技术的基石。通过重新组合信息,将重要信息由明文变为密文,除收发双方外,其他人均无法解码信息,因此信息不会被获取、篡改。网络加密的基本方法包括:链路加密、端点加密、节点加密。
4.3网络入侵检测
网络入侵检测是防止恶意攻击或操作失误而导致网络系统被破坏的一种防御方法,具体指从多种网络及计算机系统中收集信息,通过一系列分析过程,检测对网络资源的恶意使用行为。网络入侵检测具有防范、检测、对入侵攻击作出自动反击等方面的功能,一般与防火墙配合使用。
4.4识别、鉴别技术
识别、鉴别技术是系统核查用户是否具备它所请求资源的存储使用权,这种能力必须保证不会轻易被破坏。系统中最容易实现的识别、鉴别的方法就是用口令字来识别。另外还有一些识别、鉴别的方法,例如:限制用户的访问日期、限制用户登录失败的充实次数、限制网络中同一时间登录的用户数量等。
4.5加强立法,确保网络安全
除了网络系统本身存在一定的漏洞外,我国相关领域法律的不完善也给了犯罪分子可乘之机,导致计算机网络犯罪案件屡屡发生。为了构建安全网络,打击网络犯罪,国家有必要制定、完善一部维护网络安全的法律,有针对性的保护网络安全,并在道德和文化层面明确每个网络使用者的权利与义务;此外,应该增强普通用户的维权意识,遇到网络攻击、诈骗及时走法律途径解决,而非一味“息事宁人”。
4.6培养高素质的网络管理人员
上述的防御措施固然在系统构建的过程中已经通过了测试,但任何一条防御措施都会有其局限性,必须配合高素质的网络管理人员,才能达到好的效果。一个完善的网络应该是由主机系统、应用和服务、网络、网络管理及制度建设等因素决定的,但防御措施对信息安全管理者也提出了巨大的挑战,他们必须知道哪种产品能够适应长期的网络安全的要求,如何正确、适时的使用网络产品。因此,培养一批高素质的网络管理人员在防御网络攻击中是非常必要、不可缺少的。
5应对网络攻击的策略
在加强防范的基础上,还应该有针对性的实施一些策略,建立完善的安全保障体系。做到时刻准备,将重要的数据、资料及时备份,防止丢失。
(1)安装、使用正规的防护软件;
(2)使用服务器,隐藏自己的主机地址;
(3)随时备份资料;
(4)让防黑、查毒成为日常工作惯例。
6结束语
在网络技术促进社会发展和经济飞跃的21世纪,任何一台计算机都难以保证百分之百的安全。网络安全是一个综合性的课题,其中涉及技术、管理、使用、维护等诸多方面,这对网络保护提出了更高的要求。在我国,计算机网络安全方面的技术研究和创新仍处于起步阶段,有大量的研究工作需要开展。保证网络信息的机密性、完整性,才能保证我国计算机网络的安全,推动我国国民经济的高速发展。
参考文献:
[1]官有保,晋国卿.计算机网络安全问题和防范措施[J].科技广场,2011(09).
[2]詹研.计算机网络安全问题及防范措施[J].科技风,2011(19).
[摘要]实施网络财务给企业带来利益的同时也给企业内部控制带来新问题。建立适应互联网环境的内部控制,其措施应基于企业的内部网络和外部网络两大方面来进行。
随着网络财务的逐步实施,企业会计核算与会计管理的环境发生了很大变化,传统会计系统的内部控制机制和手段已不适应于网络环境,从而建立适合于网络环境下的内部控制体系是目前企业急需解决的问题。为建立和加强网络财务系统的内部控制,首先必须要弄清网络财务为企业的内部控制带来的新问题与新要求。
一、网络财务时代企业内部控制面临的新问题
(一)网络财务的应用扩大了企业会计核算范围企业实施网络财务以后,会计核算环境发生了很大的变化。第一,会计部门的组成人员结构发生变化,由原来的财务、会计人员转变为由财务、会计人员和计算机操作员、网络系统维护员、网络系统管理员等组成。第二,会计业务处理范围变大,除完成基本的会计业务外,网络财务同时还集成许多管理以及财务的相关功能,诸如网上支付、网上催账、网上报税、网上报关、网上法规及财务信息查询,以及网上询价、网上采购、网上销售、网上服务、网上银行、网上理财、网上保险、网上证券投资和网上外汇买卖等等。第三,网络财务提供在线办公等服务,从而使会计信息的网上实时处理成为可能,原来由几个部门按预定步骤完成的业务事项可集中在一个部门甚至一个人完成。因此,要保证企业会计系统对企业经济活动反映的正确可靠,达到企业内部控制目标,企业内部控制制度的范围和控制方法较原来系统将更加广泛和复杂。
(二)网络财务使会计信息储存方式和媒介发生变化
网络财务的应用使各类会计凭证和报表的生成方式、会计信息的储存方式和储存媒介发生变化。原始凭证在网络业务交易时自动产生并存入计算机,不再存在传统的原始凭证。会计电算化的第一阶段促进了介质的改变,从账本到磁盘文件。网络财务使会计介质继续发生变化,不仅账表,更多的介质将电子化,出现各种电子单据(如各种发票、结算单据)。存贮形式主要以网络页面数据存贮。发生业务交易时系统不一定打印原始记录;网页数据只能在计算机及相应的程序中阅读;原来在核算过程中进行的各种必要的核对、审核等工作大部分由计算机自动完成。因此,网络环境下会计内部控制的重点由对人的控制为主转变为对人、计算机和互联网的控制。
(三)网络财务使企业面临的安全风险加大
网络财务的应用将原来封闭的局域会计系统面临开放的互联网世界,给财务系统的安全提出了严重的挑战。第一,在网络环境下,过去以计算机机房为中心的“保险箱”式安全措施已不适用,大量的会计信息通过开放的internet传递,途经若干国家与地区,置身于开放的网络中,存在被截取、篡改、泄漏机密等安全风险,很难保证其真实性与完整性。第二,由于互联网的开放特性,给一些非善意访问者以可乘之机。目前黑客肆虐,世界上的各类网站每天都受到成千上万次攻击,网络财务系统无疑也面临巨大的安全风险。第三,计算机病毒的猖撅也为互联网系统带来更大的风险。在互联网中,计算机病毒可以通过e-mail或用户下载文件进行传播,其传播速度是单机的20倍。有效地防治计算机病毒对保障网络财务系统的安全性至关重要。因此,网络财务系统的内部控制不仅难度大、复杂,而且还要有各种控制的先进技术手段。
二、网络财务内部控制措施
(一)基于企业内部网(intranet)的控制措施
1.会计信息资源控制。会计信息来源于网络服务器的数据库系统中,所以网络数据库系统是整个网络财务系统控制的重点目标。威胁数据库系统的安全主要有两个方面:一是网络系统内外人员对数据库的非授权访问;二是系统故障、误操作或人为破坏数据库造成的物理损坏。针对上述威胁,会计信息资源控制应采取以下措施:(1)采用三层式客户机/服务器模式组建企业内部网,即利用中间服务器隔离客户与数据库服务器的联系,实现数据的一致性;(2)采用较为成熟的大型网络数据库产品并合理定义应用子模式。子模式是全部数据资料中面向某一特定用户或应用项目的一个数据处理集,通过它可以分别定义面向用户操作的用户界面,做到特定数据面向特定用户开放;(3)建立会计信息资源授权表制度;(4)采取有效的网络数据备份、恢复及灾难补救计划。
2.系统开发控制。它是一种预防性控制,目的是确保网络财务系统开发过程及内容符合内部控制的要求。财务软件的开发必须遵循国家有关机关和部门制订的标准和规范。(1)在网络财务系统开发之初,要进行详细的可行性研究;(2)在系统开发过程中,内审和风险管理人员要参与系统控制功能的研究与设计,制订有效的内部控制方案并在系统中实施;(3)在系统测试运行阶段,要加强管理与监督,严格按照《商品化会计核算软件评审规则》等各种标准进行;(4)系统运行前对有关人员进行培训,不仅培训系统的操作,还要使受训人员了解系统投入运行后新的内部控制制度和网络财务提供的高质量会计信息的进一步分析与利用等;(5)及时做好新旧系统转换。企业应在系统转换之际采取有效的控制手段,做好各项转换的准备工作,如旧系统的结算、汇总,人员的重新配置,新系统初始数据的安全导入等。
3.系统应用控制。是指具体的应用系统中用来预防、检测和更正错误,以及防止不法行为的内部控制措施。(1)在输入控制中,要求输入的数据应经过必要的授权,并经有关内部控制部门检查,还要采用各种技术手段对输入数据的准确性进行校验,如总数据控制校验、平衡校验、数据类型校验、二次录入校验等;(2)在处理控制中,对数据进行有效性控制和文件控制。有效性控制包括数字的核对、字段和记录长度检查、代码和数值有效范围的检查、记录总数的检查等。文件控制包括检查文件长度、标识和是否染毒等;(3)在输出控制中,一要验证输出结果是否正确和是否处于最新状态,以便用户随时得到最新准确的会计信息;二要确保输出结果能够送发到合法的输出对象,文件传输安全正确。
4.系统维护控制。系统维护包括软件修改、代码结构修改和计算机硬件与通讯设备的维修等,涉及到系统功能的调整、扩充和完善。对网络财务系统进行维护必须经过周密计划和严格记录,维护过程的每一环节都应设置必要的控制,维护的原因和性质必须有书面形式的报告,经批准后才能实施修改。软件修改尤为重要,网络财务系统操作员不能参与软件的修改,所有与系统维护有关的记录都应打印后存档。
5.管理控制。是指企业为加强和完善对网络财务系统涉及的各个部门和人员的管理和控制所建立的内部控制制度。由于网络财务系统是一种分布式处理结构,计算机网络分布于企业各业务部门,实现财务与业务协同处理,因此原来集中处理模式下的行政控制转变为间接业务控制。主要应做好如下几方面的工作:(1)设置适应于网络下作业的组织机构并设置相应的工作站点;(2)合理建立上机管理制度,包括轮流值班制度、上机记录制度、完善的操作手册和上机时间安排并保存完备的操作日志文件等;(3)建立完备的设备管理制度,对硬件设备所处的环境进行温度、湿度、防静电控制,做好网络的绝缘、接地和屏蔽工作,同时对人文环境进行控制,防止无关人员上机操作;(4)建立完备的内审制度。
(二)基于企业外部网(extranet)的控制措施
1.周界控制。是指通过安全区域的周界实施控制来达到保护区域内部系统安全的目的。它是预防外来攻击措施的基础,主要内容包括:(1)设置外部访问区域,明确企业内部网络的边界,防止“黑客”通过电话网络进入系统;(2)建立防火墙(firewall),在内部网和外部网之间的界面上构造保护屏障,防止非法入侵、非法使用系统资源,执行安全管理措施,记录所有可疑事件。
2.大众访问控制。大众访问包括文件传递、电子邮件、网上会计信息查询等。由于互联网络系统是一个全方位开放的系统,对社会大众的网上行为实际上是不可控的,因此,企业应在网络财务系统外部访问区域内采取相应防护措施。外部网络的访问控制主要有:(1)在网络财务系统中设置多重口令,对用户的登录名和口令的合法性进行检查;(2)合理设置网络资源的属主、属性和访问权限。资源的属主体现不同用户对资源的从属关系,如建立者、修改者等;资源的属性表示资源本身的存取特性,如读、写或执行等;访问权限体现用户对网络资源的可用程度;(3)对网络进行实时监视,找出并解决网络上的安全问题,如定位网络故障点、捉住非法入侵者、控制网络访问范围等;(4)审计与跟踪,包括对网络资源的使用、网络故障、系统记账等方面的记录和分析。
3.电子商务控制。网络财务是电子商务的基石,是电子商务的重要组成部分,因此,对电子商务活动也必须进行管理与控制。主要措施有:(1)建立与关联方的电子商务联系模式;(2)建立网上交易活动的授权、确认制度,以及相应的电子会计文件的接收、签发验证制度;(3)建立交易日志的记录与审计制度。
4.远程处理控制。网络财务系统的应用为跨国企业、集团企业实现远程报表、远程报账、远程查账、远程审计以及财务远程监控等远程处理功能创造了条件。这些功能的启用必须采取相应的控制措施,主要有:(1)合理设计网络财务系统各分支系统的安全模式并实施;(2)进行远程处理规程控制。
5.数据通讯控制。数据通讯控制是企业为了防止数据在传输过程中发生错误、丢失、泄密等事故而采取的内部控制措施。企业应采取各种有效手段来保护数据在传输过程中准确、安全、可靠。主要措施有:(1)保证良好的物理安全,在埋设地下电缆的位置设立标牌加以防范,尽量采用结构化布线来安装网络;(2)采用虚拟专用网(vpn)线路传输数据;(3)对传输的数据进行加密与数字签名。在系统的客户端和服务器之间传输的所有数据都进行两层加密保证数据的安全性,使用数字签名确保传输数据的保密性和完整性。
6.防病毒控制。在系统的运行与维护过程中应高度重视计算机病毒的防范及相应的技术手段与措施。可以采用如下控制措施:(1)对不需要本地硬盘和软盘的工作站,尽量采用无盘工作站;(2)采用基于服务器的网络杀毒软件进行实时监控、追踪病毒;(3)在网络服务上采用防病毒卡或芯片等硬件,能有效防治病毒;(4)财务软件可挂接或捆绑第三方反病毒软件,加强软件自身的防病毒能力;(5)对外来软件和传输的数据必须经过病毒检查,在业务系统严禁使用游戏软件;(6)及时升级本系统的防病毒产品。
[参考文献]
[1]严绍业。互联网-改变财务软件的十个方面[j].中国会计电算化,2000,(1):10-12.
关键词:多校区;校园网;信息安全;安全防护策略
一、多校区信息安全的现状
随着我国高等教育体制改革的逐步推进,高校招生规模逐年扩大,带来了校区建设的种种问题,如受原校区周边环境限制,多数学校都建设了新校区。从而造成了一校多区的现状,河南省大多高校也存在着这种现象。但是在我国,随着校园网建设的深入和网络业务的日渐丰富,多校区大学的校园网络建设也面临着诸多问题。网络将常承受上万人同时在线的压力;不同的校区往往由不同的学校转化而来,相互之间校园网建设标准、发展进程、管理模式都不尽相同,网络设备之间的兼容性和安全性需要重新规划;最后,在校园网重新规划升级后,节点增多,网络结构更加复杂,更加需要统一的网络管理。
高校数字信息资源是指以数字化形式存在的各种资源内容的集合,这些资源中相当一部分以零散、隐蔽的形式存在各校区各部门网络环境和个人计算机中,甚至存在于学生或专家个人的主页和博客。信息资源的离散性、隐蔽性和自由性给信息资源管理带来复杂性。
多校区高校的信息安全体系的建立,是一项复杂的系统工程,只有从工程角度系统分析和设计,才能有效地为高校构架一个安全的信息管理体系。所以,多校区的信息安全不是一个单纯的技术问题,而是安全技术、安全策略和安全管理的综合,信息安全的研究工作“任重而道远”。
二、多校区信息安全隐患及成因
在传统网络环境下,数字信息面临的挑战是多种多样的。客观因素上:网络信息泛滥、信息虚假、病毒猖狂、恶意代码、侵犯知识产权等现象仍未得到有效的解决;主观因素上:普遍网络用户的安全意识薄弱;使得技术或信息的无意泄露、管理存在漏洞等;技术角度上:存在创新性不强,软件和硬件过度依赖的现象。这些因素中,人为因素往往容易被忽视,而据有关经调查显示,由于“人祸”所造成的损失达到80%以上。随着云计算技术和web2.0技术的广泛应用,对信息安全技术提出了更高的要求。本文拟对数据归类并分析问题点如下:
(1)物理安全问题。校园网硬件物理设备的放置是否合适、规范措施是否健全、防范措施是否得力、网络互联设备和服务器的软硬件资源配备是否合理。网络资源是否易遭受自然灾害、意外事故或人为破坏,从而造成校园网不能正常运行。物理安全问题。(2)技术人员素质。考察是否有由于高校网络技术人员水平参差不齐,信息安全意识不强,从而导致诸如在使用过程中使计算机病毒侵入、系统损坏等现象,技术人员是否有及时备份信息、处理突发事件的能力等。(3)网络安全漏洞。即使物理设施安全完备,校园网中的网络设备、操作系统、数据库、应用系统都存在难以避免的安全漏洞。许多校园网络拥有
WWW、邮件、数据库等服务器,还有重要的教学服务器,对于非专业人员来说,无法确切了解和解决每个服务器系统和整个网络的安全缺陷及安全漏洞及校园网边界安全等问题。(4)多出口问题。原来各个校区有独立的到互联网络的出口,而随着多校合并、新校区建设等,使得一个学校有多个出口,而甚至一个校区几个出口,网络安全设备的投入和管理的标准是否统一,多出口信息安全问题是否从整体上考虑。(5)安全制度问题。各高校是否具备系统的管理思路和完整统一的安全策略,是否具有完善的、切实可行的管理和技术规范以及规章制度,是否具有安全评估制度。(6)网络安全等级差异问题。拟将高校信息三个等级,分别是自主保护级、系统审计保护级和安全标记保护级。一级即自主保护级包含教务、就业、党籍、团籍、离退休信息等。二级即系统审计保护级包含招生、学籍、图书、科研信息等。三级即安全标记保护级包含档案管理、人事劳资管理、财务管理、资产管理信息。(7)人为因素。从管理层面来讲,管理人员是否具备信息保密意识、是否对工作人员进行信息安全教育,是否对本部门的安全等级做出规范;从用户层面来讲,是否具有异常情况敏感性,是否具有信息使用和管理的安全意识,是否存在对内外交流过程中无意泄密的因素存在。
三、多校区信息安全的策略
(一)安全目标。①保证整个网络的正常运行,尤其在遭受黑客攻击的情况下;②保证信息数据的完整性和保密性,在网络传输时数据不被修改和不被窃取;③具有科学的安全风险评估;④保证网络的稳定性,安全措施不形成网络的负担而且提供全天候满意服务和应用;⑤构筑“绿色网络”,杜绝反动和不良信息的传播。
(二)安全策略。解决安全的策略问题需要从高校需求出发,本文拟从高校安全目标、安全级别、安全范围三个方面入手分析目前高校数字信息面临的挑战和急需解决的问题,以形成需求。进一步以需求出发制定行之有效的策略,主要从三个大的方面阐述,如图1所示。
(1)保障物理安全。首先要制定完善的安全规范管理制度,它是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为破坏事故的规范。其目的是保护计算机系统、web服务器等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和攻击等。(2)统一端口。多条互联网出口,可以对校园网内部访问外部资源的流量进行负载分流和相应备份。但是多校区校园网的多出口更易受到病毒感染和网络攻击,为保护校园网抵御黑客和恶意软件的入侵,可以在出口配置防火墙,在校园网内部建立信息网络监测系统,对关键区域的信息流向进行动态监测,及时发现非法及异常行为,对紧急安全事件快速拦截,对可疑流量进行测试,并对校园网实施访问认证、端口扫描、安全审计等技术措施,防范校园信息资源被非法访问、篡改和破坏。(3)避免安全漏洞。为保障多校区校园网的信息安全,必须做好校园网系统漏洞及补丁管理。可建立多校区校园网络信息安全服务网站,计算机系统安全漏洞公告,分发安全补丁并提供WSUS服务等。(4)建立完善的安全管理制度。安全管理策略包括确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度,建立值班制度、密码管理以及应急措施等;明确系统管理员、网络管理员及系统运行维护人员的分工和职责范围。同时还需要加强校园网络信息安全宣传和培训力度,更好地普及信息网络安全知识,增强应对网络安全事故的处理与应急能力。(5)备份。设备和线路的备份可根据网络运行的故障率准备一定冗余,在网络某部分发生故障时,其他部分可自行启用或迅速切换。为管理的方便和数据的安全,将教务教学信息、图书信息、视频信息和其他管理信息等集中,统一部署数据备份方案。(6)访问控制策略。访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非法访问。采用入网访问控制,网络的权限控制,目录级安全控制,属性安全控制等策略。
参考文献:
关键词:电子政务内网信息安全风险分析
一、前言
政务内网是指政府机关内部专门用于处理业务工作的办公网络,是政府部门内部工作联络、信息传递的现代化信息基础设施。其特点有二:一是与社会信息网络物理隔离、相对独立运行;二是涵盖政府部门用于执行政府职能的信息系统,所涉及的众多信息都带有保密性[1]。
电子政务给传统的政府工作注入了全新活力,大大提高了行政管理效率,改善了政府工作环境,增强了政府行政能力。目前,信息技术已渗透并服务于政府工作的各个领域,正在发挥着越来越重要的作用。但是,信息技术也是一把“双刃剑”,它在提高政府工作效率的同时,也引入了众多安全隐患。特别是在政务内网的信息化建设过程中,从人、管理、技术三个方面衡量,还存在着内部公务人员信息安全意识不高、管理措施不到位、技术手段不足、信息化应用推进与信息安全建设不够同步等问题。在政府信息化推进过程中,这些问题产生的后果有可能给不法分子以可乘之机,而使政府造成损失;严重阻碍政府的行政工作,甚至还会造成政府工作系统的瘫痪,直接危害国家安全。
在信息时代,由网络信息安全问题引发的损失将会全方位地危及一个国家的政治、军事、经济、文化、社会生活的各个方面,使国家处于信息战和高度经济金融风险的威胁之中[2]。保证网络安全运行已提升到维护国家、保护国家安全的高度。因此,如何解决信息安全问题已经成为整个电子政务构建过程中所面临的重要课题。
二、政务内网安全风险分析
随着网络规模的不断扩大,网络及应用系统所受到的安全威胁就越严重。由于政府部门许多应用系统开发建设时间较早,早期的系统开发设计中对信息安全考虑较少,系统较脆弱,所面临的安全风险较大。为了达到信息安全的基本目的,必须积极预防可能出现的针对政务内网信息及其应用系统的各种安全威胁。主要的安全风险包括以下6个方面。
⒈内部人员主动窃密和破坏
一是内部工作人员利用工作、职务之便,将其能接触到的文件、数据、内部工作信息等提供给敌对组织和个人。二是内部人员有意或无意泄密,更改记录信息,内部非授权人员有意或无意偷窃信息,更改网络配置和记录信息,内部人员破坏网络系统,等等。据统计,来自网络内部的攻击占整个安全攻击总量的70%以上[3]。
⒉工作人员安全保密意识薄弱
少数工作人员缺乏基本的信息安全保密知识,不了解信息化过程中对应的安全风险,如内部口令互串;没有意识到信息安全问题不仅仅是职能部门的事,更是每个人必须遵守和维护的重要工作。在具体工作中,违规操作、有章不循、监管不力、“制度如林,落实无人”等现象大量存在。
⒊各种移动存储介质管理和使用混乱
对移动存储介质,移动计算机设备的使用上缺乏有效的监控手段,普遍存在随意处理各类密级文件、随意使用私人存储介质、随意拷贝文件的现象,如此造成知密面扩大,甚至移动设备丢失,直接造成泄密。
⒋对保密信息监管不力
各类电子文档在使用过程中有效的认证、授权使用和监管措施不够。电子文档不同于一般纸质文件,它的拷贝、复制和传递都具有特殊性。电子文档随意拷贝、复制,很有可能造成知密面扩大、文件丢失、文件被篡改甚至发生泄密事件。重要应用系统没有审计功能,或审计功能相对薄弱,对可能发生窃取行为、未经授权或越权使用资源的现象没有有效的记录和取证能力,无法满足事后追究责任的需要。
⒌技术措施不完善
一是在某些应用系统中安全性考虑不够,开发队伍缺乏保证应用安全的经验,应用系统配置和部署考虑安全性还不周到,对重要信息系统中数据的访问控制措施不够。二是内部网络系统由于文件交换等情况感染计算机病毒、网络蠕虫和其他恶意代码,直接造成系统破坏、网络瘫痪、数据丢失等。三是信息安全专职管理人员在数量上和技术上还不能满足政府高标准的安全保密工作需求,这就造成工作人员因人手问题而无法分权管理,因能力问题而不能提供有效保障。
⒍信息安全责任体系尚不健全
政务内网的信息安全责任体系尚不健全,存在各部门职责划分不清,多头指导、政出多门,建设和监督未能有效分离,检查督促不到位,出现问题难以落实到人等问题。这些问题造成内部管理混乱,责任不明确,技术措施不能到位,出现问题互相推诿等现象,严重影响政务内网整体的信息安全防范能力。
三、政务内网信息安全状况
基于以上安全风险分析,当前政务内网的信息安全综合保障能力与政府职能部门对信息安全保密整体要求仍有较大的差距,其突出表现在以下5个方面。
⒈内部工作人员的保密安全意识亟待加强
政府的工作性质决定了对工作人员有很高的保密要求,但是在日常工作中工作人员对信息安全问题还存在不少认知盲区,对网络信息不安全的事实认识不足,误认为政务内网实施了物理隔离就安全无忧了。不少工作人员的安全保密意识淡薄,这种有章不循、有禁不止的现象导致了很大的安全隐患。
⒉信息加密措施不能满足实际需要
加密是信息安全的核心,目前政务信息化建设正在不断深化,许多应用系统已应用于政务内网,越来越多的数据信息通过网络和计算机完成处理和交换任务。虽然目前已经对加密问题采取了一些措施,但加密仍是政务内网信息安全保密工作亟待解决的问题之一。
⒊信息安全组织管理、培训工作滞后
信息安全是一项管理工程,任何技术手段都需要管理来落实。目前政务内网的信息安全管理人员大多属于兼职,缺乏有力的组织保障以及系统和规范的教育培训。组织机构不健全严重影响了信息安全管理工作的落实,造成信息安全管理工作的滞后。
⒋信息安全整体防范工作薄弱
政务内网信息安全工作,仍停留在查缺补漏阶段,防范方式简单,对防范手段缺乏系统的梳理和体系化的规划建设,整体防范能力较低,普遍存在侥幸心理,没有形成主动防范、积极应对的全民意识,更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。这种状况已不能适应政务工作信息化的需求[4]。
⒌缺乏有针对性的信息安全防范技术措施
政府业务应用各类多样,其保密要求高,社会上通用的技术手段远远不能满足其安全需求;急需与之相适应的各类专用安全保密技术措施。
四、政务内网的安全需求
政务内网的安全需求主要包括以下一些方面:
⑴需要与外部社会公共信息网络实施严格的物理隔离或物理隔断;
⑵政务内网需要保护核心网络免遭非信任主体的外部干扰或篡改,或者其安全功能被非信任主体旁路[5];
⑶需要提供访问控制机制,确保对核心网络的不信任连接进行控制与防范,对各类共享信息的安全和有序访问;
⑷需要提供信息在网络系统间的加密传输,保护其机密性和完整性的方法;
⑸需要提生证据的方法,该证据可用于抗抵赖服务;
⑹需要能唯一标识网络用户,在允许用户访问应用系统服务之前通过相应的身份鉴别;
⑺需要授权结果的有效性,确保授权数据源不能被非授权用户访问;
⑻需要提供集中的病毒检查和控制机制,确保所有内网主机系统和数据对病毒的侵扰具有预警和防范能力;
⑼需要提供与安全相关事件的记录和审计手段,并根据事件分析进行预警和防范的能力;
⑽需要提供管理和配置内部网络系统的安全措施,只有获得授权的管理员才能使用这些措施;
⑾需要提供相应的系统及数据备份机制。
五、政务内网信息安全防护对策
⒈强化安全教育
信息安全是电子政务开展各项工作的前提,更是维系工作的关键。信息化和信息安全的建设,需要带着安全保密意识来统一规划、规范指导、有效监管。信息安全是人、管理、技术的有机结合,其中人是根本,管理是关键,技术是保证。通过普及教育、专业培训等方式,对不同类型的人员进行相关的安全教育,要使所有公务人员都能充分认识到“人是安全信息系统的重要组成部分”,没有安全可靠的各级人员的参与,任何信息系统都是不安全的。越是对授予较高权限的人员,越要增强其安全意识。
⒉强化安全管理
建立信息安全责任体系,严格落实岗位责任制,建立全过程、全寿命的信息安全机制。通过加强组织保障、加强管理运行、加强针对措施、加强技术手段来减少人员违规操作和犯错误的机会。相关策略有:建立信息安全运行管理体系,以网络管理中心、审计与风险分析中心、检测与监控中心、CA中心、密钥管理中心、防病毒管理中心等为依托,分别对有关的安全机制进行统一配置和管理,汇集有关信息,并通过对汇集信息的分析做出行动决策;以严格的管理使技术措施发挥作用,以技术手段强化安全管理,使管理钢性化,形成威慑,不给不法分子以可乘之机,严防各类安全事件的发生。
⒊强化安全技术
⑴针对内部人员对网络信息系统的随意访问现象,可采取指纹、智能卡、网络身份认证(PKI/CA)等多种强认证方式实现身份认证和授权管理,保证内部信息的合法使用;
⑵针对内部人员随意拷贝、打印文件,安装、使用与工作无关软件等行为,可采用内部安全监控和审计技术,控制出入口,以保证信息的受控使用;
⑶针对信息的传输加密问题,在链路层和网络层可使用国家密码管理局批准装备使用的密码设备;
⑷针对网络和重要数据库的访问审计薄弱,可采用网络与数据库审计系统,记录所有用户的使用行为,以保证事后追查;
⑸针对网络中的非法访问、攻击和病毒传播等问题,可采用防火墙、入侵检测、防病毒等多种技术手段,以保证基础网络系统的安全;
⑹针对移动介质的使用管理混乱问题,可采取标识和鉴别技术,保证工作用移动介质的授权使用,统一编码,统一管理,同时禁止私人移动存储介质在内部信息系统使用。
六、结束语
在政务信息化推进过程中,信息安全风险分析及信息安全防范工作,是一项长期而复杂的系统工程。各级公务人员必须时刻牢记和必须做到:将安全保密理念贯穿于整个系统的生命周期,保证政务内网在规划、建设、测试、验收、运行、维护、升级以及废弃的全过程中都能处在一个符合规定要求、可接受的低风险状态。
参考文献:
1杨敬.电子政务中的信息安全管理[J].内蒙古科技与经济,2007(16)
2李彦辉,王述洋,王春艳.网络信息安全技术综述[J].林业劳动安全,2007,20(1):25-29
3朱卫未.电子政务系统信息安全策略研究[D].合肥:中国科学技术大学,2006
4陈淑兰.电子政务安全问题探讨[J].沿海企业与科技,2007(8)
5吴晓平.PKI_CA在专用信息系统中的建设及应用研究[D].成都:四川大学,2006
作者简介:
摘要:电子商务正在改变着人们生活以及整个社会的发展进程,贸易网络将引起人们对管理模式、工作和生活方式乃至经营管理思维方式的综合革新。电子商务活动的安全问题探讨不仅关系到个人的信息安全,还涉及到国家经济秩序的稳定问题,所以,探讨安全问题是电子商务活动成功与否的关键所在。
关键词:电子商务;安全问题;解决方案
随着信息技术在贸易和商业领域的广泛应用,利用计算机技术、网络通信技术和因特网实现商务活动的国际化、信息化和无纸化,已成为各国商务发展的一大趋势。电子商务正在改变着人们生活以及整个社会的发展进程,贸易网络将引起人们对管理模式、工作和生活方式,乃至经营管理思维方式的综合革新。对贸易和商业领域来说,电子商务的发展正在改变着传统的贸易方式,缩减交易程序,提高办事效率,许多网站都提供有“商城”,供网民在网上进行购物,可以说,互联网是电子商务的最佳载体,由于其具有充分开放性、防护不足的特点,使电子商务的安全问题日益严重,建立一套能充分信任的安全保障制度,确保信息的真实性、可靠性和保密性,才能够打消人们对网络的顾虑,放心参与电子商务活动,否则,电子商务的发展将失去其支撑点。
一、电子商务安全构成及要求
互联网上进行电子商务的活动过程:用户通过浏览器发出信息,该消息经过Internet到达Web服务器,再由Web服务器调用CGI等相应程序访问数据库,返回用户请求的消息给Web服务器,最后通过Internet传给用户。在这整个过程中我们可以看到,要实现电子商务的安全,应建立相应的商务活动的信息安全保护措施。
1.电子商务系统安全构成
(1)系统实体安全。是保护计算机设备、设施(含网络)以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故(如电磁污染等)破坏的措施过程,由环境安全、设备安全、媒体安全三部分组成。
(2)系统运行安全。保障系统功能的安全实现,提供一套安全措施保护信息处理过程的安全,由风险分析、审计跟踪、备份和恢复、应急四个部分组成。
(3)系统信息安全。防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨认、控制,由操作系统安全、数据库安全、网络安全、计算机病毒防护、访问控制、加密、鉴别七个部分组成。
2.电子商务系统安全需求
针对电子商务的安全问题的构成,只有提供了保密性、完整性、认证性、可控性和不可否认性这五个方面的安全性,才能满足电子商务安全的需求。
(1)保密性。以保护机密信息不被非法存取以及信息在传输过程中不被非法窃取。
(2)完整性。防止信息在传输过程中丢失和重复及非法用户对信息的恶意篡改。
(3)认证性。确保交易信息的真实性和交易双方身份的合法性。
(4)可控性。指保证系统、数据和服务能由合法人员访问。
(5)不可否认性。有效防止通信或交易双方对已进行的业务的否认。
二、电子商务存在的安全技术问题及其产生的原因
在电子商务运作过程中,将面临各种各样的安全问题,分析电子商务的安全问题,就要依据实际考察结果,确定各种可能出现的安全问题,分析其原因和不同程度的危害性,找出电子商务中潜在的安全隐患和安全漏洞,从而有效地运用相关的电子商务安全的技术来加以控制和管理。
1.电子商务的安全问题
典型的电子商务安全问题包括:安全漏洞、病毒感染、黑客攻击、网络仿冒以及来自其他方面的各种不可预测的风险。
(1)安全漏洞。在近几年来,计算机系统的安全漏洞越来越多。安全漏洞的大量存在,使得目前电子商务的安全形势趋于严峻。例如Windows惊现高危漏洞,新图片病毒能攻击所有用户,该漏洞可能发生在所有的Windows操作系统上,如IE浏览器、Office软件等,在用户浏览特定的JPG格式图片时,会导致缓冲区溢出,进而执行病毒攻击代码,包括格式化硬盘、删除文件等。
(2)病毒感染。我国的计算机病毒感染主要就是蠕虫等病毒在网上的猖獗传播。蠕虫主要是利用系统的漏洞进行自动传播复制,由于其传播过程中产生巨大的扫描或其他攻击流量,从而使网络流量急剧上升,造成网络访问速度变慢甚至瘫痪,这对依赖于网络的电子商务是一个严重的威胁。
(3)黑客攻击。主要表现在网页篡改和僵尸网络两方面。僵尸网络也称Bitnet,Bot是robot的简写,通常是指可以自动地执行定义的功能,可以被预定义的命令控制,具有一定人工智能的程序,它可以通过溢出漏洞攻击、蠕虫邮件、网络共享、口令猜测、p2p软件等途径进入用户主机,一旦用户主机被植入Bot,就主动和互联网上的一台或多台控制节点取得联系,进而自动接收黑客通过这些控制点发送的控制命令,这些受害主机和控制服务器就组成了BotNet。
(4)网络仿冒。在国际上通称为Phishing,在我国也称为网络欺诈、网络仿冒或者是网络钓鱼。它通常是通过仿冒正规的网站来欺瞒诱骗用户提供各种个人信息,如银行账户和口令等,甚至干脆通过在假网页或者诱饵邮件中嵌入恶意代码的手段给用户计算机植入木马来直接骗取个人信息。
2.触发电子商务安全问题的原因
从上面的安全问题中我们可以看出,它不是个别的现象,只要有网络的存在,安全问题就不容忽视,它不仅影响了网络的正常运转,还会造成许多直接或间接的经济损失。为了尽可能避免安全损失,首先要了解造成这些问题的症结所在。概括起来有两个方面:先天原因和后天原因。
(1)先天原因。电子商务的实现依赖于网络,没有网络的存在,电子商务无从谈起。但是电子商务却是继网络之后才出现的,是网络发展过程中的产物,所以网络的建立仅考虑了信息的传输这个问题,并没有顾及电子商务安全,这样它的全球性、开放性和共享性就使得电子商务过程中传输的信息安全存在先天不足,黑客们就可以利用公共的网络环境传播各种病毒等。
(2)后天原因。它又可以细分为管理、人和技术三方面。现代化的企业信息建设强调七分管理三分技术,在电子商务安全中也不例外。但是目前从事电子商务的企业多数都欠缺管理,由于拒绝服务攻击在目前还没有十分有效的技术解决方案,所以特别强调安全管理的重要性,但实际上却没有几家网站事先做好了管理。其次,由于目前还缺乏对网络犯罪有效的反击和跟踪手段,黑客对网站恶意攻击同样是威胁电子商务安全的一个原因。大量的网页被篡改事件实际上都是黑客发泄情感的结果。当然有些国家或者企业也会故意攻击网站,触发安全问题来研究新的安全防范措施。很多已经开发出来的软件会存在这样或那样的漏洞,这就给了攻击者可乘之机,通过这些软件漏洞,黑客可以编写代码传播病毒等。同时,软件开发人员为了方便,通常也会在软件里留下“后门”,这也是导致安全问题的一个原因。
三、电子商务安全技术解决方案
针对前面分析的触及电子商务安全问题的后天原因,可采取一定的电子商务的安全防治措施。这些措施包括技术措施和管理措施。
1.技术措施
(1)信息加密技术。信息加密技术是电子商务安全技术中一个重要的组成部分。数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路――链路加密、节点加密、端――端加密、ATM网络加密和卫星通信加密五种方式。应根据信息系统安全策略来制定保密策略,选择合理、合适的加密方式。另外,随着电子商务的进一步发展,非密码技术如信息隐藏、生物特征、量子密码技术得到了快速发展。
(2)数字签名技术。数字签名技术是为了防止他人对传输的文件进行破坏以及如何确定发信人的身份。在电子商务安全技术中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中,都要用到数字签名技术。目前的数字签名是建立在公共密钥体制基础上,RSA签名方法和EIGamal数字签名方法是两种基本的数字签名方法,许多数字签名方法都是基于这两种算法。RSA是可逆的公开密钥加密系统,其数字签名过程中运用了消息的验证模式。而EIGamal是一种非确定性的双钥体制,它对同一消息,由于随机参数选择的不同而有不同的签名。
(3)TCP/IP服务。TCP/IP协议即传输控制/网际协议,以它为基础组建的Internet是目前国际上规模最大的计算机网络,是保证数据完整传输的两个基本的重要协议。以这些协议为基础,TCP/IP提供了一系列标准的服务,包括电子邮件、文件转输、Usenet新闻组、远程终端访问、万维网访问、域名查询等。
(4)防火墙的构造选择。是隔离本地网络与外界网络之间的一道或一组执行策略的防御系统,它作为最成熟、最早产品化的网络安全机制,其最初的设计就是防范外部攻击,改进的防火墙技术更可有效地控制内部和病毒的破坏。在设计防火墙时,必须考虑防火墙的姿态、机构的整体安全策略、费用、基本构件和拓补结构以及维护和管理方案。另外,在选择防火墙的使用时,要考虑诸多原则,包括网络结构、业务应用系统需求、用户及通信流量规模方面的需求以及可靠性、可用性和易用性等方面的需求。
2.管理措施
安全管理措施通常是以制度的形式出现的,即用条文对各项安全要求作出规定。这些制度包括人员管理制度,保密制度,跟踪、审计、稽核制度,系统维护制度,数据备份(容灾)制度,病毒防范制度和应急措施等。
(1)人员管理制度。人是电子商务活动中的主要参与者,对于像网络管理员这样的人员,需要具备相当的职业道德。必须经过严格选拔,认真落实工作责任,并彻底贯彻电子商务安全运作基本原则。
(2)保密制度。从事电子商务工作的企业,内部会涉及很多保密信息,如客户隐私、公司财务状况、密钥等,而每类信息又有不同的安全级别,哪些是可以让客户随意访问的,哪些是公司普通员工可以访问的,哪些又是高级员工才能访问的,这些都应该通过保密制度明确下来。
(3)跟踪、审计、稽核制度。以系统自动生成日志文件的形式来记录系统运行的全过程。审计制度是规定网络审计员应经常对系统的日志文件检查、审核,及时发现异常状况,监控和捕捉各种安全事件,并对系统日志进行保存、维护和管理。稽核制度是指工商管理、银行、税务人员利用计算机及网络系统,借助稽核业务应用软件调阅、查询、审核、判断辖区内电子商务参与单位业务经营活动的合理性、安全性、堵塞漏洞,保证电子商务交易安全,发出相应的警示或作出处理处罚的有关决定的一系列步骤措施。
(4)系统维护制度。包括硬件和软件的日常管理与维护。对于通信线路,一般分为内部线路和租用线路两种,对于内部线路,我们采用结构化布线,而对于租用电信部门的通信线路,企业应记录通信线路的连通情况,一旦故障发生,及时与电信部门联系,以便迅速恢复通信。对于网络设备的维护,我们一般采取在网络设备上安装相应的网管软件,通过这些软件实现自动管理和维护。对于操作系统,通过定期清理日志文件和临时文件、定期整理文件系统、检测服务器上的活动状态和用户注册数、处理运行中的死机情况等来进行维护。而对于应用软件的管理和维护工作,主要是进行版本更新控制。
(5)数据备份(容灾)制度。按照其容灾能力的高低可分为多个层次:从最简单的仅在本地进行磁带备份,到将备份的磁带存储在异地,再建立应用系统实时切换的异地备份系统,恢复时间也可以从几天级到小时级到分钟级、秒级或0数据丢失等。企业应根据自身情况,对不同安全级别的数据制定不同的数据容灾制度。
(6)病毒防范制度。病毒对网络交易的顺利进行和交易数据的妥善保存造成了极大的威胁。从事网上交易的企业和个人都应当建立病毒防范制度,排除病毒的骚扰。一般我们要给自己的计算机安装防病毒软件,认真执行病毒定期清理制度,并设置控制权限,谨慎打开陌生地址的电子邮件,还要高度警惕网络陷阱。
(7)应急措施。在计算机灾难事件发生时,利用应急计划、辅助软件和应急设施,排除灾难和故障,保障计算机信息系统继续运行或紧急恢复正常运行。在启动电子商务业务之初,就必须制订交易安全计划和应急方案,以防万一。
电子商务作为一种全新的业务和服务方式,在为全球用户提供了丰富的商务信息、简捷的交易过程和低廉的交易成本的同时,也把人们引进了安全陷阱。因此,在保证电子商务的正常运作的同时,必须高度重视电子商务活动的安全问题及相应的防治措施和技术。电子商务的安全问题不仅关系到个人的安全还涉及到国家的经济安全、经济秩序稳定问题,而且安全问题也是电子商务成功与否的关键所在。
目前,基于Internet的电子商务还刚刚开始,许多方面都不够完善,并且我国和发达国家之间的差距依然很大,这就要求我们要密切关注电子商务发展的动态,积极研究电子商务中存在的技术问题,把握住这一良好的发展时机。
参考文献:
[1]劳帼龄.电子商务的安全技术[M].北京:中国水利水电出版社,2005.
[2]李琪,钟诚.电子商务安全[M].重庆:重庆大学出版社,2004.