天津職業(yè)大學(xué) 趙學(xué)麗

從管理的角度談企業(yè)電子商務(wù)信息安全管理

天津職業(yè)大學(xué) 趙學(xué)麗

隨著互聯(lián)網(wǎng)的迅速發(fā)展，電子商務(wù)成為企業(yè)青睞的商務(wù)模式，而由此引發(fā)的安全問題也日漸突出。本文通過對我國企業(yè)電子商務(wù)信息安全管理情況調(diào)查，得出企業(yè)電子商務(wù)信息安全不僅需要技術(shù)上的支持，更重要的是突出管理，進(jìn)而提出企業(yè)在進(jìn)行電子商務(wù)信息安全管理中所實(shí)施的策略。

信息安全 管理 策略

隨著Internet的飛速發(fā)展和計(jì)算機(jī)技術(shù)的日臻成熟，電子商務(wù)正以其高效率、低成本的優(yōu)勢給社會(huì)帶來了巨大的商機(jī)。而由此引發(fā)的安全問題日漸突出。根據(jù)2009年7月中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)發(fā)布的“中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告”顯示,僅有29.2%的電子商務(wù)交易用戶認(rèn)為互聯(lián)網(wǎng)是安全可靠的。由此可見，電子商務(wù)中的安全問題是企業(yè)實(shí)現(xiàn)電子商務(wù)的關(guān)鍵之所在。

1 企業(yè)電子商務(wù)信息安全管理情況調(diào)查

信息和信息系統(tǒng)已經(jīng)成為企業(yè)管理和經(jīng)營活動(dòng)中不可或缺的內(nèi)容，信息系統(tǒng)的建立和完善是企業(yè)日常辦公和業(yè)務(wù)實(shí)現(xiàn)的有力支撐。因此，一旦企業(yè)信息系統(tǒng)出現(xiàn)安全性問題，就會(huì)直接影響到業(yè)務(wù)的開展，導(dǎo)致巨大的經(jīng)濟(jì)損失，甚至造成不良的社會(huì)影響，損壞公司的形象和品牌。所以，如何保證企業(yè)信息安全,已成為當(dāng)前企業(yè)信息化健康發(fā)展的重要任務(wù)。

根據(jù)CSI和FBI的最新“計(jì)算機(jī)犯罪和安全調(diào)查”，不滿的員工是最有可能發(fā)動(dòng)攻擊的人，如圖1：

圖1

從圖1中可見人員管理常常是網(wǎng)上交易安全管理上的最薄弱的環(huán)節(jié)，近年來我國計(jì)算機(jī)犯罪大都呈現(xiàn)內(nèi)部犯罪的趨勢，除了競爭對手利用企業(yè)招募新人的方式潛入該企業(yè)，或利用不正當(dāng)?shù)姆绞绞召I企業(yè)網(wǎng)絡(luò)交易管理人員，竊取企業(yè)的用戶識別碼、密碼、傳遞方式以及相關(guān)的機(jī)密文件資料。

而通過對多家企業(yè)調(diào)研分析發(fā)現(xiàn)我國從事電子商務(wù)的軟件型企業(yè)比從事電子商務(wù)的貿(mào)易型企業(yè)更加重視信息安全。具體情況如表1：

表1

2 企業(yè)電子商務(wù)信息安全存在的問題

電子商務(wù)信息安全主要存在兩大安全隱患：一種是信息存儲(chǔ)的軟硬件系統(tǒng)的安全風(fēng)險(xiǎn)；另一種是電子商務(wù)的信息安全管理存在漏洞。而目前，大部分企業(yè)將信息安全局限于前者，隨之而來的就是計(jì)算機(jī)技術(shù)企業(yè)所開發(fā)的基于軟硬件系統(tǒng)的防護(hù)技術(shù)，防火墻技術(shù)出現(xiàn)、加密技術(shù)的使用、數(shù)字簽名、身份認(rèn)證的應(yīng)用并沒有從根本上解決企業(yè)電子商務(wù)信息的安全管理，幾乎很少有企業(yè)能夠從自身管理的角度以及人員管理的角度來進(jìn)行電子商務(wù)的信息安全建設(shè)。“三分技術(shù)，七分管理”，闡述了信息安全的本質(zhì)?？偟膩碚f，我國企業(yè)在電子商務(wù)信息安全方面主要存在以下幾個(gè)方面的問題：

(1) “重技術(shù)、輕管理”，由于企業(yè)管理手段不到位，往往導(dǎo)致先進(jìn)的技術(shù)無法發(fā)揮應(yīng)有的效能，從而導(dǎo)致企業(yè)不能做到管理與技術(shù)相得益彰。

(2)企業(yè)管理高層對信息安全的認(rèn)識不夠，缺少信息安全管理配套的人力、物力和財(cái)力。企業(yè)如果沒有一批業(yè)務(wù)能力強(qiáng)，且具有信息網(wǎng)絡(luò)知識、信息安全技術(shù)、法律知識和管理能力的復(fù)合型人才和專門人才，就不可能做好信息安全保障工作。

(3)企業(yè)對員工的信息安全教育不夠。員工的信息安全意識薄弱，90%的安全事故是由于人為疏忽所造成。如：有些企業(yè)不限制內(nèi)部人員使用高科技信息載體(U盤、移動(dòng)硬盤等)，以及筆記本電腦等移動(dòng)辦公設(shè)備。

(4)缺少信息安全的監(jiān)督審計(jì)機(jī)制，導(dǎo)致安全項(xiàng)目實(shí)施完后無法發(fā)揮長期效能，安全策略無法持續(xù)性改進(jìn)。缺少監(jiān)督審計(jì)，就會(huì)使得管理制度流于形式，變得空洞。

(5)缺少完整的信息安全策略，信息安全管理沒有形成標(biāo)準(zhǔn)和規(guī)范，沒有形成一套體系。

3 企業(yè)電子商務(wù)信息安全管理策略

信息安全管理不是單純的技術(shù)問題，而是一個(gè)上至領(lǐng)導(dǎo)下至員工的管理活動(dòng)，涉及到企業(yè)全員的參與，企業(yè)中的任何一個(gè)人、任何一個(gè)崗位、任何一項(xiàng)工作都應(yīng)做到關(guān)注信息安全，并且在企業(yè)文化中務(wù)必融入信息安全管理理念，“管理”是保證信息安全之本。從管理的角度來看，實(shí)現(xiàn)電子商務(wù)信息安全的策略包括三個(gè)方面：“防”——企業(yè)信息資產(chǎn)的保護(hù)；“阻”——信息傳輸通道的管理；“執(zhí)行力”——建立與企業(yè)文化相適應(yīng)的安全體系。

“防”、“阻”、“執(zhí)行力”是信息安全管理的核心凝練，“防”即“保護(hù)”，“阻”即“阻塞”，二者與“執(zhí)行力”一起組成企業(yè)電子商務(wù)信息安全管理的規(guī)則，不論企業(yè)的規(guī)模和性質(zhì)如何，從事信息安全管理的人員可從以下三個(gè)方面的基本內(nèi)容著手。

“防”：對于企業(yè)內(nèi)部核心信息資產(chǎn)的保護(hù)。核心信息資產(chǎn)主要指價(jià)值比較高或一旦泄露可能會(huì)對企業(yè)造成比較大的損失的資產(chǎn)，如企業(yè)的數(shù)據(jù)、紙質(zhì)和電子類的文檔、影像等企業(yè)的核心資產(chǎn)。

“阻”：信息傳輸通道的管理，信息安全管理人員根據(jù)企業(yè)業(yè)務(wù)模塊或業(yè)務(wù)流程分析信息資產(chǎn)傳輸?shù)母鱾€(gè)渠道，禁止非授權(quán)的訪問或傳遞。

人員的安全管理是“阻”的核心，企業(yè)的信息資產(chǎn)都是通過人來管理和控制的。對人的管理實(shí)際是信息安全工作中難度最大的工作，業(yè)界有一句話：“在企業(yè)中信息安全最大的風(fēng)險(xiǎn)是心懷不測的一些員工可能帶來的風(fēng)險(xiǎn)”。

“執(zhí)行力”：將信息安全建設(shè)與企業(yè)文化進(jìn)行有機(jī)地結(jié)合，不同企業(yè)擁有不同的企業(yè)文化，其采用的信息安全方法和管理思路也會(huì)不盡相同，擁有較強(qiáng)“執(zhí)行力”的企業(yè)更多的采用強(qiáng)制管理手段，制定行之有效的信息防護(hù)政策，并通過管理者有力的執(zhí)行以達(dá)到信息安全管理的效果，而“執(zhí)行力”較弱的企業(yè)則需要將完善的技術(shù)與合理的管理方法進(jìn)行有效融合，使企業(yè)的信息安全得到有效的管理和保護(hù)。

4 結(jié)語

企業(yè)電子商務(wù)信息的安全管理依賴一個(gè)完整的強(qiáng)有力的管理體系，從而保證信息安全管理的規(guī)范與長效，企業(yè)需要在良好的信息安全管理基礎(chǔ)之上，制定相應(yīng)的、完善的管理策略以及規(guī)章制度，管理工作所涉及的廣度和深度要根據(jù)企業(yè)電子商務(wù)業(yè)務(wù)對人員及組織的依賴程度決定，也可以根據(jù)本企業(yè)的特點(diǎn)選擇適當(dāng)?shù)姆椒▉硗晟菩畔踩芾硇〗M。管理制度需要隨著環(huán)境的變化不斷改進(jìn)，以達(dá)到信息管理的安全、可靠、穩(wěn)定。

[1] 林寧,吳志剛.我國信息安全技術(shù)標(biāo)準(zhǔn)化現(xiàn)狀[J].中國標(biāo)準(zhǔn)化,2007,(4).

[2] 胡艷春.電子商務(wù)網(wǎng)站建設(shè)中的安全問題研究[J].商場現(xiàn)代,2006,(10).

[3] 劉茹.電子商務(wù)安全技術(shù)[J].科技情報(bào)開發(fā)與經(jīng)濟(jì),2006,(13) .

[4] 林黎明,李新春.基于Internet 的電子商務(wù)安全管理策略研究[J].中國管理信息化,2006,(3).

[5] 董衛(wèi)華.以人為本的信息安全管理[J].內(nèi)蒙古科技與經(jīng)濟(jì),2003,(11).

F272

A

1005-5800(2010)11(c)-102-02