范文一:电子商务信息安全论文 1电子商务安全威胁与需求 1.1主要安全威胁
电子商务建设主要面临着账户安全威胁、交易安全威胁、基础网络威胁、业务连续性 威胁。
1账户安全威胁。账户安全是电子商务信息安全的基础,账户安全威胁主要來源于账 户被盗与垃圾注册。
2交易安全威胁。现阶段在电子商务交易过程中发生的安全威胁主要包括恶意评价、 交易欺诈、不良信息发布。
3基础网络威胁。电子商务是构建在互联网上的交易平台,同样面临着DDoS、端口扫 描、密码暴力破解、网站后门等安全威胁。
4业务连续性威胁。在电子商务领域主要面临着特有的业务高弹性变化威胁,因为业 务发展过快或网上促销活动等原因,电子商务企业会面临着大量客户访问超出现有系统设 计容量的局面,而中小企业受限于资金规模导致其无力建设后备系统用于满足无法预测的 业务访问量,最终影响电子商务网站对外提供服务的连续性。
1.2安全需求
电子商务信息安全建设的需求主要來口于业务连续性、保护账户和交易信息安全、电 子商务网站自身的安全性。
1业务连续性是电子商务业务的第一要素,应采用防DDoS技术、系统弹性扩容技术來 保障电子商务对外业务的连续性。
2使用公共网络的电子商务账户信息和在线交易中的信息宜受保护,应采用加密技术、 黑名单、防钓鱼、数字签名技术來防止欺诈活动,保证账户和交易信息安全。
3电子商务网站自身的安全性宜受保护,应采取检测网站漏洞、挂马、端口安全、网 站后门等安全手段,防密码暴力破解及管理员异地登录预警等技术來保障系统的安全性。
2电子商务信息安全的关键标准研制
针对目前电子商务信息安全技术、管理、业务应用等领域工作存在的界定不清、内容 不全、深度不统一等问题,通过技术标准、管理标准进行规范统一变得尤为重要。结合电 子商务实际情况,在电子商务信息技术、业务应用、安全管理等方面标准研究的基础上, 主要进
行以下标准研究。
2. 1电子商务信息安全技术标准
确立电子商务信息安全保障总体架构,为电子商务所涉及的信息安全技术、信息业务 应用安全、信息安全管理等方面安全要求的实施提供指导。从需求分析、方案设计、安全 评估、运行等方面对信息安全建设实施给予指导。
2. 1.1业务应用安全业务应用安全是指在物理安全、网络安全等安全环境的支持下, 实现业务应用的安全目标,主要涉及到服务器端与客户端相应的安全服务。
1服务器端的交易服务、数据服务、Web服务、文件服务等部件及其安全方面的属性 要求。交易服务及其安全属性要求,为了使电子交易安全可靠,必须建立一个安全、便捷 的电子商务应用环境,保证整个电子商务交易活动中信息的安全性、匿名性和完整性,交 易信息服务提供了安全、可靠的电子交易在线/离线运算。数据服务及其安全属性要求, 局域网中的一台或多台计算机及其数据库管理系统软件共同构成了数据库服务,数据库服 务为客户应用提供服务。这些服务是查询、更新、事务管理、索引、高速缓存、查询优化、 安全及多用户存取控制等。通过传输层和应用层安全协议、电子签名、标识与鉴别、密码 技术、抗抵赖、内容安全、访问控制和PKI等实现安全防护。Web服务及其安全属性要求, Web服务主要功能是提供信息传输与交换服务。主要解决网络通信和信息交换过程中的访 问控制、实体鉴别以及传输过程中的信息机密性、完整性问题。文件服务及其安全属性耍 求,在计算机网络中,以文件数据共享为目标,需要将多台计算机共享的文件存放丁•一台 计算机中。这台计算机被称为文件服务器,文件服务器具有分时系统管理的全部功能,能 够对全网统一管理,能够提供网络用户访问文件、目录的并发控制和安全保密措施。
2客户端的应用程序模型分类和安全方面的属性要求。客户端的应用程序模型大致分 为两种:C/S客户端/服务器模型和B/S浏览器/服务器模型。客户端的安全性主要是指应 用层次的安全性,主要通过用户权限、角色分配來实现。对于客户端应用程序來说,通常 需要通过公共密钥基础设施PKI为应用提供可靠的安全服务。
2. 1. 2信息安全建设实施电子商务信息安全建设流程可划分为6个阶段:风险评估、需 求分析、方案设计、测试、系统安装调试、正式运行等。
1风险评估。运用风险评估方法计算企业整体的资产价值、弱点、威胁发生的几率及 可能造成的影响等。评估时应考虑下面的因素:①信息安全可能造成的商业损失,并把损 失的潜在后果也考虑进來。②在极为普遍的危害和采取的相应措施的作用下,故障实际发 生的可能性。
2需求分析。在项目的计划阶段,项目需求部门应与项目建设部门共同讨论信息系统 的安全需求,明确重耍的安全需求点,安全需求分析应该作为项目需求分析报告的组成部 分。①项目需求部门与项目建设部门应对系统进行风险分析,考虑业务处理流程中的技术 控制要求、业务系统及其相关在线系统运行过程中的安全控制要求,在满足相关法律、法 规、技术规范和标准等的约束下,确定系统的安全需求。②对系统安全应遵循适度保护的 原则,需在
满足以下基本要求的前提下,实施与业务安全等级相符合的安全机制:通过必 要的技术手段建立适当的安全管控机制,保证数据信息在处理、存储和传输过程中的完整 性和安全性,防止数据信息被非法使用、篡改和复制。实施必要的数据备份和恢复控制。 实施有效的用户和密码管理,能对不同级别的用户进行有限授权,防止非法用户的侵入和 破坏。③系统的安全需求及其分析需经过项目组内部充分讨论,项目需求方和项目建设方 应对安全需求及其分析的理解达成一致。
3方案设计。项目建设部门应根据确定的安全需求设计系统安全技术方案,应满足以 下要求:系统安全技术方案要满足所有安全需求,并符合公安部、工信部和主管部门的法 规和标准要求。系统安全技术方案应至少包括网络安全设计、操作系统和数据库安全、应 用软件安全设计等部分。系统安全技术方案涉及采用的安全产品,应符合国家有关法律法 规。
4测试。①信息系统安全功能测试在信息系统测试阶段,应根据信息系统安全功能需 求进行测试,确保所有设计的安全功能均能得到落实和实现。在测试报告或相关文档中应 明确说明检査列表中各项安全功能的落实和实现情况。②测试过程的安全管理在信息系统 开发测试过程中,对丁•來口业务系统的数据要根据相关规定进行变形处理,禁止在开发或 测试环境中直接使用生产系统的密钥和用户密码等重要数据。测试环境耍依据相关规定进 行合适的管理和安全防护,并通过相应的手段确保与生产系统、开发系统隔离。
5系统安装调试。在信息系统安装部署时,应釆取相应措施确保系统安全功能的实现, 对操作系统、数据库、应用系统等软件的安装部署和配置应该符合相应的安全规范和标准。 信息系统投产前应进行安全评估或审查,通过审査系统设计文档中的安全功能设计、系统 测试文档中的安全功能测试,确保系统本身安全功能的实现。通过审核系统安装与配置过 程或文档,确保系统安全配置的落实与实现。
6正式运行。系统投入正式运行后,需清除系统中各种临时数据,进行管理权交接, 开发方不得随意更改安全策略和系统配置。
2. 2电子商务半台安全管理标准
通过总结现有电子商务交易过程中遇到的安全问题,经过提炼和深化,系统规定电子 商务交易半台安全管理类型,如用户安全管理、交易安全管理、信息安全管理、管理安全 规范等的系统规定。
1用户安全管理:主要对电商企业账户体系的安全和用户信息的安全管理进行规范;对 用户注册、用户信息的使用、用户隐私保护、用户发布信息的管理提供保护措施。
2交易安全管理:主要对电商企业在交易过程中遇到的如商品质量问题、物流安全问 题、交易欺诈问题、评价体系等进行规定;以保障消费者权益,建立健全的网上交易信誉 体系。
3信息安全管理:重点对电商企业在信息的发布、传输、管理、存储、控制等进行规 定。
4管理安全规范:重点对电商企业在安全管理中的人员配备、工作流设置、管理制度 上做规定。
范文二:供电企业信息安全论文
1电力行业信息安全合规管控遇到的难题和挑战
1检查单位多、标准不一目前,供电企业经常面临着诸如安全等级保护、IT治理、安 全督查、一体化风险评估、入网安评等合规标准的检查和执行问题。以上检查标准的关注 点、执行单位、检查要求各不相同。
2检查手段、结果重复每年国家、行业或上级单位会定期下发相关检查要求,并通过 现场检查、远程扫描、配置核査、渗透测试等手段对供电企业进行合规性安全检查,检查 内容和结果容易存在一定的重复性,建立和整合统一风险库也存在一定难度。
3安全合规工作繁重供电企业安全人员在执行安全合规工作的过程中,不可避免地要 在每次合规检查中面临口查、加固、迎检、整改、复查等一系列工作,当此系列工作在一 定时间内重复出现的时候,合规管控工作将变得繁重IL效率不高。
4相关人员协调难度大信息安全管控工作往往跨越多个部门,横向沟通成本较大、难 度也高。最常见的问题就是实施方和相关配合人员因关注点不同而导致的工作分歧,若合 规检查时需要相关部门及人员多次重复性工作,往往导致人员情绪抵触并影响匸作效率。
2多标准合规管控概念的提出
针对以上信息安全合规管控工作中遇到的难题和挑战,本文提出了多标准合规管控的 概念,试图通过对各个合规标准进行研究和学习,探寻一条可以减轻合规管控过程中工作 量繁重、重复的道路,研究一套把多个合规标准整合和统一的方法论。多标准合规管控, 就是以现有的信息安全等级保护、IT治理、安全督查、一体化风险评估、入网安评、安全 基线等标准为理论和参照基础,通过进一步的比对梳理、分析、加工和整合,形成一个更 具体的安全执行标准库,覆盖目前所有的检査要求,是所有检查标准的最大并集,利用此 执行标准指导信息安全的合规管控工作,争取达到一次配置满足多个标准的目的。
3多标准合规管控体系建立
本文以信息安全等级保护、IT治理、安全督査、一体化风险评估、入网安评、安全基 线等标准为理论和参照基础,阐述多标准合规管控体系的建立过程。建立PDCA过程指导 思想:通过对现有各个合规标准的体系文件、测评要求、规范标准进行对比、分析、梳理 和整合,制作出多标准合规管控体系的相关组件文档,具体包括体系文件、配置方法、规 范标准。主要研究步骤如下:
1理解各信息安全检查的要求、目的和目标
① 安全等级保护信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专 有
信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信 息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级 响应、处置。
② IT治理IT治理是企业治理在信息时代的重要发展,用丁•描述企业或政府是否采用 有效的机制,使得IT的应用能够完成组织賦「它的使命,同时平衡信息技术与过程的风 险、确保实现组织的战略目标。
③ 安全督查信息安全督查是供电企业根据国家信息安全管理体系要求、结合供电企业 信息技术监督规范的要求建立的日常工作机制,负责各单位的信息安全技术指导、监督、 检査、督促改进等工作。
④ 入网安评为保障信息系统的正常运行,需加强系统及设备入网管理,规范新设备入 网前的相关活动并进行安全评测,保障每一台入网设备都符合企业安全规范耍求,不会给 现有网络带來新的安全隐患。
2对各合规标准进行对比分析,找出异同点通过仔细的分析对比,找出各合规标准要 求项的差异并进行标注,研究差异的原因,探讨差异点存在的价值。由于企业安全基线经 过多年的实践和修正,具有较高的规范性和实操价值,符合供电企业的IT现状,故以安 全基线文档为底板进行增删减优化操作。
3整合和梳理各合规标准,形成备查项将各合规标准整合到统一文档表格中,并以安 全基线、等级保护测评要求文档为主要参照物,对其他合规耍求进行梳理和排序。通过不 同标准文件对相同控制点的不同描述进行再加工,整合出一个覆盖各个标准耍求的执行标 准。此步骤不仅方便标准集合的制作,也保留了各个标准要求的原貌,方便日后查阅检索。 下表示例说明某个信息安全控制点执行标准集合:
4整合多个合规标准,形成具体执行标准要求通过上一步骤对统一文档产生的执行标 准集合进行提炼和整合,排序形成涵盖多个合规标准的具体执行规范文档。
4多标准合规管控设计重点难点分析
1设计过程考虑最小和最大安全保障问题信息系统安全基线是一个信息系统的最小安 全保证,即该信息系统最基本需耍满足的安全要求;而信息安全执行标准在某一个程度上 是一个信息系统的最大安全保证,即信息安全执行标准已经覆盖了合规管控的多个标准要 求。如何在最小安全保证和最大安全保证之间进行取舍与平衡,是企业面临的首要问题。 本文建议解决办法是保留各个标准的要求文档,供执行人员备查,在实际执行过程中根据 系统级别进行相应的取舍。
2设计过程考虑结果文档的來源问题信息安全执行标准是一个实践性文档,在实践的 过程中难免会存在疑问和顾虑,如何快速并准确地定位到配置耍求的來源和依据是面临的 第二个问题。由于短期无法一次性创造一个安全合规体系,只能先对多个标准体系进行整 合和梳理,因此建议保留初始合规标准的原型,在执行人员出现疑问的时候能够找到相关 的依据。
5结语
本文以多年的供电企业信息安全合规管控执行工作实践为基础,对信息安全多标准合 规管控体系的研究与实践进行了初步探讨,也充分认识到多标准合规管控执行过程中存在 的问题和难点,将结合信息安全要求及技术发展不断评审、完善,逐步体现该体系的实用 性和执行价值,为信息安全合规管控工作提供一定的指导和参考作用。
感谢您的阅读,祝您生活愉快。
因篇幅问题不能全部显示,请点此查看更多更全内容