摘要:近些年,伴随着一些政策法规的出台实施,电子商务得到了迅猛发展,应用领域逐渐拓展,盈利模式日趋丰富,与此同时出现了一些信息安全风险问题,为了提高电子商务信息安全风险意识和技术,提供一个更加完备的评估系统。本文通过线上线下调查研究,分析了电子商务安全问题,并且给出一些改进措施。
关键词:电子商务;信息安全;风险评估;对策
基金项目:郑州科技学院大学生创新创业训练计划项目:电子商务信息安全风险评估关键技术及应用(编号:DCY2019007)
1.引言
电子商务是以互联网为基础,以商城消费者产品物流为构成要素进行的电子商务活动。当电子商务相关部门或人员在进行项目开发时,拥有一套信息安全风险评估系统可以帮助其采用科学合理的方法对潜在威胁进行分析并保证经济系统的安全。所以将信息安全技术与现代化新兴技术结合,将为我们打造一个更加优质的网络环境。
2.电子商务系统中存在的信息安全问题及现状
一般来说,电子商务的信息安全是指在电子商务交易的过程中双方使用各种技术和法律手段等确保交易不会因为意外,恶意或者披露这些不利要求而受到损害的信息安全。在21世纪初叶,我国金融系统中的计算机犯罪率一直在不断地增加,我国金融网络信息安全形势非常严峻,需要加强改善。下面就电子商务网络中的信息安全问题做一个简要介绍,主要涉及以下几个方面:
(1)由于编写的电子商务系统软件可以使用不同的形式,因此在实际应用过程中难以避免的会留下安全漏洞。例如,网络操作系统本身会存在一些安全问题,例如非法访问I/0,这些不完全的调解和混乱的访问控制会造成数据库安全漏洞,而这些漏洞严重影响了电子商务系统的信息安全性.特别是在设开始设计之前就没有考虑TCP/IP通信协议的安全性,这一切都表明当前的电子商务系统网络软件中有一些可以避免或不可避免的安全漏洞。此外信息共享处理带来也存在风险。在信息的传递过程中,需要不断地对信息源进行加工和重现,截取有用信息,不可避免会出现信息转化方面的风险。尤其是在当下“社交+商务”的模式下,一条消息可能瞬间在社交网站上转载数万次或者更多,一旦在信息转载中出现误差,影响非常大,风险应当给予重视。
(2)随着网络技术的广泛应用,计算机病毒带来的问题越来越广泛,压缩文件,电子邮件已经成为计算机病毒传播的主要途径,因为这些病毒的种类非常多样化,破坏性极强,使得计算机病毒的传播速度大大加快了。近年来,新病毒种类的数量迅速增加,互联网为这些病毒的传播提供了良好的媒介。这些病毒可以通过网络大量传播任何粗心大意都会造成无法弥补的经济损失。此外还有信息传递过程所带来的风险。信息是一种重要的资源,良好的流动性能實现信息价值的最大化,但是在信息的传递过程中需要经过许多路径,而在这过程中往往存在一些不安全因素,给信息安全带来一定的风险。
(3)当前的黑客攻击,除了计算机病毒的传播外,黑容的恶意行为也越来越猖狂。特洛伊木马使黑容可以使用计算机病毒从而变得更加有目的性,使得计算机记录的登录信息被特洛伊木马程序恶意篡改,导致很多重要信息、文件,甚至是金钱被盗。
(4)由人为因素造成的电子商务公司的安全问题,大部分保密工作是通过员工的操作来进行的,这就需要员工具有很好的保密性,责任心和责任感等道德素质。如果员工的责任心不强,态度不正确,就容易被别人利用,让无关人员随意进出房间或向他人泄露机密信息,可以让罪犯废除重要信息。如果工作人员缺乏良好的职业道德,可能会非法超出授权范围更改或删除他人的信息,而且还可以利用所学专业知识和工作位置来窃取用户密码和标识符,进行非法出售。
3.电子商务信息安全风险评估存在的问题
经过大量的数据收集与分析不难发现对信息安全风险评估是当前科研工作中噬待解决的问题。目前,国内也有一些关于信息安全风险评估的研究和应用,但是这些研究都只是简单的分析,包括常用的具有风险的风险评估工具。评估矩阵,问卷,风险评估矩阵与问卷方法,专家系统相结合。对于更深层次的探究还需进一步努力。此外,网络信息安全风险评估方法常用定量因子分析方法,时间序列模型,决策树方法和回归模型进行。风险评估方法,定性分析主要包括逻辑分析,Delphi方法,因子分析方法,历史比较方法等。其中,定量和定性评估方法相结合,是由模糊层次分析法,基于D-S证据理论等的评估方法组成。同时网络信息安全风险评估还存在一定问题,例如随着网络的发展,我国从开始的2G迈向4G现在又率先进入5G时代。其中也出现了各种问题,网民数量的增加需要迫切提高他们对信息安全的警惕意识。
3.1欠缺对电子商务信息安全风险评估的认识
当前,许多相关人员对电子商务信息系统面临着巨大的挑战的现状并未有足够的意识,缺少信息安全风险评估经验。因此他们没有重视信息安全风险评估的重要性,其原因如下。第一,公司或单位的风险评估尚未通过标准检验,培训标准,信息安全风险评估工作的研究尚未得到系统的相关理论,方法和技术工具,这是由于一些信息安全评估工作相关领导层和工作人员对信息评估风险评估的重要性的认识不足,因此自然而然不将此类风险评估工作包括在当前的信息安全系统框架中。第二,尽管有许多部门将信息安全工作置于地位重要,但受到人力、物力,财力等方面的限制,社会制度的制约,政策法规的欠缺使得信息安全系统的信息安全风险评估工作无法得到应有的重视。
3.2缺乏信息安全风险评估方面的专业技术人才
首先,信息安全风险评估的技术内容要求非常高,它要求员工具有很高的技术水平,现在很多公司都将通用信息用作风险评估技术人员。其次,信息安全风险评估是一项集综合性,专业性于一体的工作,不仅涉及公司的所有业务信息,也涉及人力,物力和财力的方方面面,因此需要各部门之间相互配合,现在大多数公司仅依靠信息部门,独立的参与信息安全风险评估毫无争议他们要想完成信息安全风险评估工作是非常艰难的。综上所述,培养信息安全风险评估专业技术人员是今后信息技术方面发展的方向。
3.3风险评估工具相对缺乏
当前,除专家系统外,其他分析工具相对来说都比较简易,除此之外还缺乏实用的理论基础。此外,这种信息风险评估工具在应用中的发展呈现的现状。表明国内和外部失衡,在中国相对落后。可见解决信息安全问题的关键在于有成熟的风险评估工具。
4.防范电子商务信息安全及风险的建议
4.1增强电子商务信息安全和风险评估的意识
大多数信息的传输和处理,与人是密不可分的。特别是掌握人员的重要信息和核心业务,人员的个人因素,管理因素和环境存在风险。主要包括人员的技术能力,监控管理,安全性。特别需要做好监督审计公司的工作,确保信息安全风险管理融入实践,充分发挥内部监督作用,促进社会责任认可和实施信息安全风险管理工作。电子商务公司必须对工人进行必要的信息安全知识教育培訓,了解与之相关的法律法规,做好对客户关键信息的隐秘保护。不随意查看和泄露客户购买信息。
企业应该加大力度保障网络通信操作时信息的机密性和完整性,加强密钥管理,提高应对网络攻击能力,采取措施避免越权或滥用,消除用户在交易中的风险。在信息安全风险控制中必须由内到外地保护内部系统环境、网络边界、骨干网安全。为网络信息系统建立完善的管理系统,并提供全面的安全保障。运用端到端策略。对于移动电子商务中用户终端设备种类繁多,安全环境复杂难以控制的问题,必须做好数据传输中的重要环节中的身份鉴定。通过人脸识别、指纹识别等技术有效提高用户访问身份鉴别能力,极大地提高账户的安全性,确保数据传输的安全性,确保交易的真实有效。
4.2提供专业的技术培训,提高专业人员的技能
认真选择第三方合作伙伴,增强信息管理水平,加强绩效监督管理。树立合理的企业内部组织结构和有效资金保障,培养员工信息安全意识,创造良好信息安全工作氛围,加强信息安全专业技术人员对信息安全风险评估的意识和能力,通过大量的实验发现可以通过下列方法培训相关人员:第一,定期开展信息安全风险评估工作,将公司员工集合共同学习相关资料以提升他们对信息安全的意识弥补存在的缺陷。第二,对信息安全部门的员工进行专门的技术培训和指导,可通过模拟分析来提升技术;第三,公司应增加对技术资源的投入,聘请经验丰富的专家学者组成第三方评估机构,引进风险评估设备。以备不时之需;第四,公司应对技术人员进行标准化认证培训,执行职业资格准入制度,提高技术人员的门槛,纳入信息安全风险评估,技术人员的全面质量保证评估。以上这些方法只是单纯就培训方式对于具体的实施以及可能遇到的问题依然需要研究。
4.3提升对信息安全防范技术的研究和应用
为移动数据库存储的数据进行加密以防止泄漏,采用不同的加密方法来保护数据安全,进行身份认证,数据恢复,数据加密存储,物理隔离,防火墙,网络,网络设备,网络入侵检测,网络漏洞扫描,网络设备备份,网络管理,专线,实现网络管理等一系列技术手段,从而提高数据库的安全性。同时提高认识到物理设施的重要性,定期维护物理设施。为了监测信息安全和实施评估系统,我们要保证基本硬件和芯片的独立在建立独立于信息安全的评估体系中,国内外统一组织重要的信息安全技术研究,建立创新的电子商务信息安全与评估体系。
结论
电子商务信息安全问题是一个十分复杂的项目,这既涉及数据信息的传输,又关乎信息的储存。不仅是一个技术问题,也是一个法律问题,是消费群体共同参与的商务活动及其相关非技术性问题。因此,在此基础上,需要在信息安全系统中建立一个良好的评估系统,但是,目前我国信息安全风险测评存在部分缺陷,这就要求我们积极应对难题,敢于挑战,从信息安全意识,专业人才和新技术层面着手,提高风险评估标准。为电子商务的发展提供一个安全可靠的平台。
