電子商務(wù)的信息安全風(fēng)險(xiǎn)評(píng)估與對(duì)策

申一飛 祥瑩瑩

摘 ? ? ? ? ?要：近些年，伴隨著一些政策法規(guī)的出臺(tái)實(shí)施，電子商務(wù)得到了迅猛發(fā)展，應(yīng)用領(lǐng)域逐漸拓展，盈利模式日趨豐富，與此同時(shí)出現(xiàn)了一些信息安全風(fēng)險(xiǎn)問題，為了提高電子商務(wù)信息安全風(fēng)險(xiǎn)意識(shí)和技術(shù)，提供一個(gè)更加完備的評(píng)估系統(tǒng)。本文通過線上線下調(diào)查研究，分析了電子商務(wù)安全問題，并且給出一些改進(jìn)措施。

關(guān)鍵詞：電子商務(wù);信息安全;風(fēng)險(xiǎn)評(píng)估;對(duì)策

基金項(xiàng)目：鄭州科技學(xué)院大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計(jì)劃項(xiàng)目：電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估關(guān)鍵技術(shù)及應(yīng)用（編號(hào)：DCY2019007）

1.引言

電子商務(wù)是以互聯(lián)網(wǎng)為基礎(chǔ)，以商城消費(fèi)者產(chǎn)品物流為構(gòu)成要素進(jìn)行的電子商務(wù)活動(dòng)。當(dāng)電子商務(wù)相關(guān)部門或人員在進(jìn)行項(xiàng)目開發(fā)時(shí)，擁有一套信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)可以幫助其采用科學(xué)合理的方法對(duì)潛在威脅進(jìn)行分析并保證經(jīng)濟(jì)系統(tǒng)的安全。所以將信息安全技術(shù)與現(xiàn)代化新興技術(shù)結(jié)合，將為我們打造一個(gè)更加優(yōu)質(zhì)的網(wǎng)絡(luò)環(huán)境。

2.電子商務(wù)系統(tǒng)中存在的信息安全問題及現(xiàn)狀

一般來說，電子商務(wù)的信息安全是指在電子商務(wù)交易的過程中雙方使用各種技術(shù)和法律手段等確保交易不會(huì)因?yàn)橐馔?，惡意或者披露這些不利要求而受到損害的信息安全。在21世紀(jì)初葉 ，我國金融系統(tǒng)中的計(jì)算機(jī)犯罪率一直在不斷地增加，我國金融網(wǎng)絡(luò)信息安全形勢(shì)非常嚴(yán)峻，需要加強(qiáng)改善。下面就電子商務(wù)網(wǎng)絡(luò)中的信息安全問題做一個(gè)簡要介紹，主要涉及以下幾個(gè)方面：

（1）由于編寫的電子商務(wù)系統(tǒng)軟件可以使用不同的形式，因此在實(shí)際應(yīng)用過程中難以避免的會(huì)留下安全漏洞。例如，網(wǎng)絡(luò)操作系統(tǒng)本身會(huì)存在一些安全問題，例如非法訪問I/0，這些不完全的調(diào)解和混亂的訪問控制會(huì)造成數(shù)據(jù)庫安全漏洞，而這些漏洞嚴(yán)重影響了電子商務(wù)系統(tǒng)的信息安全性.特別是在設(shè)開始設(shè)計(jì)之前就沒有考慮TCP/IP通信協(xié)議的安全性，這一切都表明當(dāng)前的電子商務(wù)系統(tǒng)網(wǎng)絡(luò)軟件中有一些可以避免或不可避免的安全漏洞。此外信息共享處理帶來也存在風(fēng)險(xiǎn)。在信息的傳遞過程中，需要不斷地對(duì)信息源進(jìn)行加工和重現(xiàn)，截取有用信息，不可避免會(huì)出現(xiàn)信息轉(zhuǎn)化方面的風(fēng)險(xiǎn)。尤其是在當(dāng)下“社交+商務(wù)”的模式下，一條消息可能瞬間在社交網(wǎng)站上轉(zhuǎn)載數(shù)萬次或者更多，一旦在信息轉(zhuǎn)載中出現(xiàn)誤差，影響非常大，風(fēng)險(xiǎn)應(yīng)當(dāng)給予重視。

（2）隨著網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，計(jì)算機(jī)病毒帶來的問題越來越廣泛，壓縮文件，電子郵件已經(jīng)成為計(jì)算機(jī)病毒傳播的主要途徑，因?yàn)檫@些病毒的種類非常多樣化，破壞性極強(qiáng)，使得計(jì)算機(jī)病毒的傳播速度大大加快了。近年來，新病毒種類的數(shù)量迅速增加，互聯(lián)網(wǎng)為這些病毒的傳播提供了良好的媒介。這些病毒可以通過網(wǎng)絡(luò)大量傳播任何粗心大意都會(huì)造成無法彌補(bǔ)的經(jīng)濟(jì)損失。此外還有信息傳遞過程所帶來的風(fēng)險(xiǎn)。信息是一種重要的資源，良好的流動(dòng)性能實(shí)現(xiàn)信息價(jià)值的最大化，但是在信息的傳遞過程中需要經(jīng)過許多路徑，而在這過程中往往存在一些不安全因素，給信息安全帶來一定的風(fēng)險(xiǎn)。

（3）當(dāng)前的黑客攻擊，除了計(jì)算機(jī)病毒的傳播外，黑容的惡意行為也越來越猖狂。特洛伊木馬使黑容可以使用計(jì)算機(jī)病毒從而變得更加有目的性，使得計(jì)算機(jī)記錄的登錄信息被特洛伊木馬程序惡意篡改，導(dǎo)致很多重要信息、文件，甚至是金錢被盜。

（4）由人為因素造成的電子商務(wù)公司的安全問題，大部分保密工作是通過員工的操作來進(jìn)行的，這就需要員工具有很好的保密性，責(zé)任心和責(zé)任感等道德素質(zhì)。如果員工的責(zé)任心不強(qiáng)， 態(tài)度不正確，就容易被別人利用，讓無關(guān)人員隨意進(jìn)出房間或向他人泄露機(jī)密信息， 可以讓罪犯廢除重要信息。如果工作人員缺乏良好的職業(yè)道德，可能會(huì)非法超出授權(quán)范圍更改或刪除他人的信息，而且還可以利用所學(xué)專業(yè)知識(shí)和工作位置來竊取用戶密碼和標(biāo)識(shí)符，進(jìn)行非法出售。

3.電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估存在的問題

經(jīng)過大量的數(shù)據(jù)收集與分析不難發(fā)現(xiàn)對(duì)信息安全風(fēng)險(xiǎn)評(píng)估是當(dāng)前科研工作中噬待解決的問題。目前，國內(nèi)也有一些關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估的研究和應(yīng)用，但是這些研究都只是簡單的分析，包括常用的具有風(fēng)險(xiǎn)的風(fēng)險(xiǎn)評(píng)估工具。評(píng)估矩陣，問卷，風(fēng)險(xiǎn)評(píng)估矩陣與問卷方法，專家系統(tǒng)相結(jié)合。對(duì)于更深層次的探究還需進(jìn)一步努力。此外，網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估方法常用定量因子分析方法，時(shí)間序列模型，決策樹方法和回歸模型進(jìn)行。風(fēng)險(xiǎn)評(píng)估方法，定性分析主要包括邏輯分析，Delphi方法，因子分析方法，歷史比較方法等。其中，定量和定性評(píng)估方法相結(jié)合，是由模糊層次分析法，基于D-S證據(jù)理論等的評(píng)估方法組成。同時(shí)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估還存在一定問題，例如隨著網(wǎng)絡(luò)的發(fā)展，我國從開始的2G邁向4G現(xiàn)在又率先進(jìn)入5G時(shí)代。其中也出現(xiàn)了各種問題，網(wǎng)民數(shù)量的增加需要迫切提高他們對(duì)信息安全的警惕意識(shí)。

3.1 欠缺對(duì)電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估的認(rèn)識(shí)

當(dāng)前，許多相關(guān)人員對(duì)電子商務(wù)信息系統(tǒng)面臨著巨大的挑戰(zhàn)的現(xiàn)狀并未有足夠的意識(shí)，缺少信息安全風(fēng)險(xiǎn)評(píng)估經(jīng)驗(yàn)。因此他們沒有重視信息安全風(fēng)險(xiǎn)評(píng)估的重要性，其原因如下。第一，公司或單位的風(fēng)險(xiǎn)評(píng)估尚未通過標(biāo)準(zhǔn)檢驗(yàn)，培訓(xùn)標(biāo)準(zhǔn)，信息安全風(fēng)險(xiǎn)評(píng)估工作的研究尚未得到系統(tǒng)的相關(guān)理論，方法和技術(shù)工具，這是由于一些信息安全評(píng)估工作相關(guān)領(lǐng)導(dǎo)層和工作人員對(duì)信息評(píng)估風(fēng)險(xiǎn)評(píng)估的重要性的認(rèn)識(shí)不足，因此自然而然不將此類風(fēng)險(xiǎn)評(píng)估工作包括在當(dāng)前的信息安全系統(tǒng)框架中。第二，盡管有許多部門將信息安全工作置于地位重要，但受到人力、物力，財(cái)力等方面的限制，社會(huì)制度的制約，政策法規(guī)的欠缺使得信息安全系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作無法得到應(yīng)有的重視。

3.2 缺乏信息安全風(fēng)險(xiǎn)評(píng)估方面的專業(yè)技術(shù)人才

首先，信息安全風(fēng)險(xiǎn)評(píng)估的技術(shù)內(nèi)容要求非常高，它要求員工具有很高的技術(shù)水平，現(xiàn)在很多公司都將通用信息用作風(fēng)險(xiǎn)評(píng)估技術(shù)人員。其次，信息安全風(fēng)險(xiǎn)評(píng)估是一項(xiàng)集綜合性，專業(yè)性于一體的工作，不僅涉及公司的所有業(yè)務(wù)信息，也涉及人力，物力和財(cái)力的方方面面，因此需要各部門之間相互配合，現(xiàn)在大多數(shù)公司僅依靠信息部門，獨(dú)立的參與信息安全風(fēng)險(xiǎn)評(píng)估毫無爭議他們要想完成信息安全風(fēng)險(xiǎn)評(píng)估工作是非常艱難的。綜上所述，培養(yǎng)信息安全風(fēng)險(xiǎn)評(píng)估專業(yè)技術(shù)人員是今后信息技術(shù)方面發(fā)展的方向。

3.3 風(fēng)險(xiǎn)評(píng)估工具相對(duì)缺乏

當(dāng)前，除專家系統(tǒng)外，其他分析工具相對(duì)來說都比較簡易，除此之外還缺乏實(shí)用的理論基礎(chǔ)。此外，這種信息風(fēng)險(xiǎn)評(píng)估工具在應(yīng)用中的發(fā)展呈現(xiàn)的現(xiàn)狀。 表明國內(nèi)和外部失衡，在中國相對(duì)落后。可見解決信息安全問題的關(guān)鍵在于有成熟的風(fēng)險(xiǎn)評(píng)估工具。

4.防范電子商務(wù)信息安全及風(fēng)險(xiǎn)的建議

4.1 增強(qiáng)電子商務(wù)信息安全和風(fēng)險(xiǎn)評(píng)估的意識(shí)

大多數(shù)信息的傳輸和處理，與人是密不可分的。特別是掌握人員的重要信息和核心業(yè)務(wù)，人員的個(gè)人因素，管理因素和環(huán)境存在風(fēng)險(xiǎn)。主要包括人員的技術(shù)能力，監(jiān)控管理，安全性。特別需要做好監(jiān)督審計(jì)公司的工作，確保信息安全風(fēng)險(xiǎn)管理融入實(shí)踐，充分發(fā)揮內(nèi)部監(jiān)督作用，促進(jìn)社會(huì)責(zé)任認(rèn)可和實(shí)施信息安全風(fēng)險(xiǎn)管理工作。電子商務(wù)公司必須對(duì)工人進(jìn)行必要的信息安全知識(shí)教育培訓(xùn)，了解與之相關(guān)的法律法規(guī)，做好對(duì)客戶關(guān)鍵信息的隱秘保護(hù)。不隨意查看和泄露客戶購買信息。

企業(yè)應(yīng)該加大力度保障網(wǎng)絡(luò)通信操作時(shí)信息的機(jī)密性和完整性，加強(qiáng)密鑰管理，提高應(yīng)對(duì)網(wǎng)絡(luò)攻擊能力，采取措施避免越權(quán)或?yàn)E用，消除用戶在交易中的風(fēng)險(xiǎn)。在信息安全風(fēng)險(xiǎn)控制中必須由內(nèi)到外地保護(hù)內(nèi)部系統(tǒng)環(huán)境、網(wǎng)絡(luò)邊界、骨干網(wǎng)安全。為網(wǎng)絡(luò)信息系統(tǒng)建立完善的管理系統(tǒng)，并提供全面的安全保障。運(yùn)用端到端策略。對(duì)于移動(dòng)電子商務(wù)中用戶終端設(shè)備種類繁多，安全環(huán)境復(fù)雜難以控制的問題，必須做好數(shù)據(jù)傳輸中的重要環(huán)節(jié)中的身份鑒定。通過人臉識(shí)別、指紋識(shí)別等技術(shù)有效提高用戶訪問身份鑒別能力，極大地提高賬戶的安全性，確保數(shù)據(jù)傳輸?shù)陌踩?，確保交易的真實(shí)有效。

4.2 提供專業(yè)的技術(shù)培訓(xùn)，提高專業(yè)人員的技能

認(rèn)真選擇第三方合作伙伴，增強(qiáng)信息管理水平，加強(qiáng)績效監(jiān)督管理。樹立合理的企業(yè)內(nèi)部組織結(jié)構(gòu)和有效資金保障，培養(yǎng)員工信息安全意識(shí)，創(chuàng)造良好信息 安全工作氛圍，加強(qiáng)信息安全專業(yè)技術(shù)人員對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的意識(shí)和能力，通過大量的實(shí)驗(yàn)發(fā)現(xiàn)可以通過下列方法培訓(xùn)相關(guān)人員：第一，定期開展信息安全風(fēng)險(xiǎn)評(píng)估工作，將公司員工集合共同學(xué)習(xí)相關(guān)資料以提升他們對(duì)信息安全的意識(shí)彌補(bǔ)存在的缺陷。第二，對(duì)信息安全部門的員工進(jìn)行專門的技術(shù)培訓(xùn)和指導(dǎo)，可通過模擬分析來提升技術(shù);第三，公司應(yīng)增加對(duì)技術(shù)資源的投入，聘請(qǐng)經(jīng)驗(yàn)豐富的專家學(xué)者組成第三方評(píng)估機(jī)構(gòu)，引進(jìn)風(fēng)險(xiǎn)評(píng)估設(shè)備。以備不時(shí)之需;第四，公司應(yīng)對(duì)技術(shù)人員進(jìn)行標(biāo)準(zhǔn)化認(rèn)證培訓(xùn)，執(zhí)行職業(yè)資格準(zhǔn)入制度，提高技術(shù)人員的門檻，納入信息安全風(fēng)險(xiǎn)評(píng)估，技術(shù)人員的全面質(zhì)量保證評(píng)估。以上這些方法只是單純就培訓(xùn)方式對(duì)于具體的實(shí)施以及可能遇到的問題依然需要研究。

4.3 提升對(duì)信息安全防范技術(shù)的研究和應(yīng)用

為移動(dòng)數(shù)據(jù)庫存儲(chǔ)的數(shù)據(jù)進(jìn)行加密以防止泄漏，采用不同的加密方法來保護(hù)數(shù)據(jù)安全，進(jìn)行身份認(rèn)證，數(shù)據(jù)恢復(fù)，數(shù)據(jù)加密存儲(chǔ)，物理隔離，防火墻，網(wǎng)絡(luò)，網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)入侵檢測(cè)，網(wǎng)絡(luò)漏洞掃描，網(wǎng)絡(luò) 設(shè)備備份，網(wǎng)絡(luò)管理，專線，實(shí)現(xiàn)網(wǎng)絡(luò)管理等一系列技術(shù)手段，從而提高數(shù)據(jù)庫的安全性。同時(shí)提高認(rèn)識(shí)到物理設(shè)施的重要性，定期維護(hù)物理設(shè)施 。為了監(jiān)測(cè)信息安全和實(shí)施評(píng)估系統(tǒng)，我們要保證基本硬件和芯片的獨(dú)立在建立獨(dú)立于信息安全的評(píng)估體系中，國內(nèi)外統(tǒng)一組織重要的信息安全技術(shù)研究，建立創(chuàng)新的電子商務(wù)信息安全與評(píng)估體系。

結(jié)論

電子商務(wù)信息安全問題是一個(gè)十分復(fù)雜的項(xiàng)目，這既涉及數(shù)據(jù)信息的傳輸，又關(guān)乎信息的儲(chǔ)存。不僅是一個(gè)技術(shù)問題，也是一個(gè)法律問題，是消費(fèi)群體共同參與的商務(wù)活動(dòng)及其相關(guān)非技術(shù)性問題。因此，在此基礎(chǔ)上，需要在信息安全系統(tǒng)中建立一個(gè)良好的評(píng)估系統(tǒng)，但是，目前我國信息安全風(fēng)險(xiǎn)測(cè)評(píng)存在部分缺陷，這就要求我們積極應(yīng)對(duì)難題，敢于挑戰(zhàn)，從信息安全意識(shí)，專業(yè)人才和新技術(shù)層面著手，提高風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)。為電子商務(wù)的發(fā)展提供一個(gè)安全可靠的平臺(tái)。

參考文獻(xiàn)：

[1]吳鵬程.電子商務(wù)信息安全與風(fēng)險(xiǎn)管理芻議[J].中國新技術(shù)新產(chǎn)品，2009（07）

[2]趙剛，王杏芬.電子商務(wù)信息安全管理體系架構(gòu)[J].北京信息科技大學(xué)學(xué)報(bào)，2011第26卷第1期

[3]伍永鋒.基于模糊支持向量機(jī)的電子商務(wù)交易安全風(fēng)險(xiǎn)評(píng)估方法[J].科技通報(bào)，2012年第28卷第9期

[4]高博.電子商務(wù)信息安全風(fēng)險(xiǎn)與防范策略研究[J].現(xiàn)代商貿(mào)工業(yè)，2011（14）

[5]連秀珍.電子商務(wù)的安全評(píng)估與審計(jì)[J].經(jīng)濟(jì)研究導(dǎo)刊，2012（13）

[6]范光遠(yuǎn)，辛陽.防火墻審計(jì)方案的分析與設(shè)計(jì)[J].信息網(wǎng)絡(luò)安全，2012（03）：81-84.

[7]郎為民，楊德鵬，李虎生.智能電網(wǎng) WCSN 安全體系架構(gòu)研究[J].信息網(wǎng)絡(luò)安全，2012（04）：19-22.

作者簡介：

申一飛（1988.4- ?），女，漢族，河南鄭州人，碩士，講師，研究方向：教學(xué)。