电子商务信息安全管理体系架构.pdf

第 26卷? 第 1期 2011年 2月 ? ? ? ? ? ? ? 北 京 信 息 科 技 大 学 学 报 JournalofBeijing Infor mation Science and Technology University? ? ? ? ? ? ? Vo.l 26No . 1 Feb . 2011 文 章 编 号: 1674- 6864( 2011) 01- 0021- 05 电子商务信息安全管理体系架构 赵? 刚, 王兴芬 (北京信息科技大学? 信息管理学院, 北京 100192) 摘 ? ? 要: 在综合分析电子商务信息安全的基础上, 从电子商务流程出发, 以管理与技术 密切联系的方式, 利用信息系统中的信息安全管理体系, 结合我国信息系统安全等级保护体系, 提 出电子商务信息安全管理体系三维架构, 并给出易于操作的系统实施方法, 以满足电子商务信息 安全的实际需要, 对电子商务发展的瓶颈问题给出了一种有效的解决方案。 关 ? 键 ? 词: 电子商务流程; 信息安全管理体系; 信息系统安全等级保护 中图分类号:TP 309 ; F 724? ? 文献标志码:A Fra mework of information security manage ment for electronic co mmerce ZHAO Gang, WANG Xing?fen ( School of Infor mationM anagement , Beijing Infor mation Science and Technology University, Beijing 100192, China) Abstract :From the viewpoint of technique andmanagemen, t some approaches to guarantee the E? commerce infor mation security have been proposed . However , further research is necessary to make some i mprovement on concerning technology from management and syste m ic aspec. t Based on the analyses a? bout the E?commerce infor mation security problem, a three di m ension framework of E?comm erce infor ma? tion security manage m ent system is proposed , including E?commerce processes , infor mation security man? agement syste m and classified protection of infor mation system security. The operation m ethod is also presented to satisfy the need of E?commerce information security , which is certainly an effective solution to the develop ment of E?commerce . Keywords :E?commerce processes; infor mation security management system; classified protection of infor m ation system security 0 引言 电子商务是应用现代信息技术在互联网上进行 的商务活动, 主要包括电子信息服务、 电子交易和电 子支付等活动。电子商务的信息安全是影响电子商 务成败的关键因素。电子商务中普遍存在信息截 获、 窃取、 篡改、 伪造、 交易抵赖和系统中断等安全威 胁。如何保证网上交易的可用性、 机密性、 完整性、 可认证性和不可抵赖性等是电子商务可持续发展的 关键 1。为此, 必须建立电子商务信息安全保障体 系, 从法律层面、 组织管理层面和技术层面加以防 范。由于我国电子商务起步较晚, 安全技术和基础 设施不完善, 电子商务的信息安全方面存在很大的 漏洞。 1 电子商务信息安全综合分析 电子商务面临 6个方面安全问题: 计算机网络 系统; 交易信息传输过程; 安全支付; 信用; 企业内部 管理; 安全法律保障。 我国电子商务安全领域存在以技术为主要安全 防范措施的倾向, 忽视了管理的重要性, 导致先进的 技术无法发挥应有的效能。少数研究者借鉴国内外 信息安全管理相关体系和标准, 逐步在电子商务信 息安全领域实施体系化管理。然而, 电子商务信息 收稿日期:2010?10?22 基金项目: 北京市优秀人才项目 ( 60534005); 北京市高校学术创新团队建设计划项目 ( PHR201106133); 2010 年度科研水平提高项目 ( 5028123600) 作者简介: 赵? 刚 ( 1965?), 男, 辽宁沈阳人, 博士, 副教授, 主要从事物流与供应链管理、 信息安全、 人工智能等方面研究。 北京信息科技大学学报 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 第 26卷 安全管理仍然缺少完整的信息安全策略, 没有形成 标准的规范和安全管理体系。一些研究者从技术和 管理的角度, 构建和实施安全电子商务系统, 其所强 调的基本理论、 方法和技术多数在网络管理、 系统管 理等技术层面上, 尚未上升到信息安全管理层面。 目前我国初步建成了国家信息安全组织保障体 系, 制定和引进了一批重要的信息安全管理标准。 针对组织内的信息系统 Siponen等 2 提出了实用的 信息安全管理体系及其建立方法, 其中涉及部分电 子商务服务安全及其控制方法。我国在电子商务信 息安全管理体系研究方面处于起步阶段, 一些学者 针对电子商务从商业、 技术和社会多视角提出了具 有可操作性的整体安全管理架构。然而, 在管理层 面上, 仍存在 ? 忽视内部安全防范; 没有从整体上、 有计划地考虑信息安全问题; 安全策略无法持续性 改进等 ?的问题。电子商务信息安全是复杂的系统 工程, 对于管理层面的研究, 往往缺乏系统性, 缺乏 管理层面与技术层面的联系, 缺乏信息安全技术的 支持。从电子商务实施流程研究电子商务安全, 在 国外处于起步阶段; 结合电子商务实施流程进行电 子商务信息安全管理的研究, 在我国仍属空白。 我国信息系统安全等级保护制度从信息系统的 角度出发, 重点在于确定信息系统的安全保护等级, 从技术和管理两方面采取保护措施使信息系统具有 与其等级相适应的安全保护能力。信息系统安全等 级保护制度为电子商务的可持续发展奠定了基础, 能够促进电子商务的安全发展 3。总体上, 信息系 统安全等级保护给出了电子商务安全的方向性指 导, 仅涉及管理与技术。欲达到实施操作层面, 还有 待于进一步深入研究。 因此, 从国内外针对电子商务信息安全管理体 系的研究来看, 尽管从理论上有可借鉴的组织内信 息系统安全的最佳管理实践标准, 但有局限性, 就电 子商务信息安全体系来说尚需进一步研究。应用 上, 针对电子商务信息安全体系建立的实用方法也 处于研究的起步阶段。电子商务流程中, 将信息安 全管理体系与我国信息系统安全等级保护制度相融 合的研究, 仍属空白。建立系统性的、 可实施的架 构, 以保证电子商务信息安全、 促进电子商务发展, 是亟待解决的问题。 2 电子商务信息安全管理体系架构 本文针对电子商务信息安全问题, 面向电子商 务流程, 基于信息安全管理体系, 利用信息安全技 术, 结合我国信息系统安全等级保护制度, 提出了电 子商务信息安全管理三维体系架构。 1)在体系架构的第一维度上, 建立起面向电子 商务流程的整体信息安全管理框架。整体信息安全 管理维度由业务、 技术和社会 3个层面构成, 在各层 面上强调安全活动对安全目标的反馈。维度由 5个 核心过程及 2个支撑过程组成。5个核心过程包括 业务建模、 项目规划、 安全分析和设计、 实施、 维护。 2个支撑过程包括组织、 人员、 业务基础过程。 2)基于? 三分技术、 七分管理 ?的思想, 利用信 息安全管理体系, 结合电子商务安全技术架构, 建立 起电子商务信息安全管理维度。本维度的重要性在 于建立面向电子商务系统的信息安全管理体系, 以 充分发挥先进技术的效能。 3)信息系统安全等级保护制度。电子商务是 国家信息化高速发展的新型经济活动的重要组成部 分。G2B、 B2B的电子商务运作模式均有政府和国 家的重要企业参加, 支付环节有国家经济体系关键 部门即银行业参加, 涉及国家的经济安全和社会稳 定。因此, 我国实施电子商务安全管理有必要贯彻 我国信息系统安全等级保护制度, 正确选择保护等 级以实现适度的安全风险管理控制措施。 电子商务信息安全管理三维体系架构给出了全 面、 系统的电子商务信息安全管理体系, 架构空间所 反映的都是电子商务某一流程需要的安全服务及其 所对应的管理方法和技术手段以及信息安全风险等 级和保护等级。在实际实施时, 依据信息安全风险 评估结果, 确定风险等级, 选择风险控制措施。 3 建立三维体系架构的方法 面向电子商务系统的信息安全管理维度是电子 商务信息安全管理三维体系架构的核心。将电子商 务流程与信息安全管理维度相结合是构建三维体系 架构实施过程的基础。在建立实施三维体系架构过 程中, 电子商务流程确定了信息安全管理体系的范 围, 有助于确定资产和实施风险评估。信息系统安 全等级保护制度与电子商务信息安全管理维度相融 合, 以确定适当的等级, 选择适当的控制措施, 是三 维体系架构实施过程中的关键。因此, 本节重点探 讨面向电子商务系统的信息安全管理维度的建立以 及与其相融合的信息系统安全等级保护。 国标 GB /T 22080 - 2008 即 ISO/ IEC 27001 : 2005 (信息技术? 安全技术? 信息安全管理体系要 求 )为建立、 实施、 运行、 监视、 评审、 保持和改进信 22 ? 第 1期? ? ? ? ? ? ? ? ? ? ? ? ? 赵? 刚等: 电子商务信息安全管理体系架构 息安全管理体系 ( Infor mation Security Management System, IS MS)提供了模型。该标准可以作为评估组 织满足顾客、 组织本身及法律法规的信息安全要求 能力的依据。国标 GB /T 22081- 2008即 ISO / IEC 27002 : 2005(信息技术? 安全技术? 信息安全管理 实用规则 )为启动、 实施、 保持和改进信息安全管理 提供指南和通用的原则以及有关信息安全管理通常 公认的目标和通用指南。 IS MS采用了 ? 规划 ( P lan)、 实施 ( Do)、 检查 ( Check)、 处置 (Act) ?模型, PDCA模型可应用于所 有的 ISMS过程。信息安全管理体系是在整体或特 定范围内组织建立信息安全方针和目标, 并完成这 些目标所用方法的体系。基于业务风险方法, 建立、 实施、 运行、 监视、 评审、 保持和改进组织的信息安全 管理体系的目的是保障组织的信息安全。信息安全 管理体系是直接管理活动的结果, 可表示为方针、 原 则、 目标、 方法、 过程、 核查表等要素的集合。 ISMS 的设计和实施受业务需求、 安全需求、 采用过程以及 组织规模和结构的影响。总体来说, 建立信息安全 管理体系一般要经过下列 6个基本步骤: 1)体系的策划与准备; 2)体系文件的编制; 3)建立信息安全管理框架; 4)体系的运行; 5)体系的审核; 6)体系的管理评审。 建立信息安全管理体系, 能够有效提高信息安 全风险控制能力, 与信息系统安全等级保护、 风险评 估等工作的接续, 可使信息安全管理更加科学有效。 参照信息安全管理体系模型, 按照先进的信息安全 管理标准建立规划全面、 目的明确、 部署正确、 组织 完整的信息安全管理体系, 达到动态、 系统、 全员参 与的、 制度化、 以预防为主的信息安全管理方式, 实 现以最低的成本, 保障信息安全合理水平, 保证业务 的有效性与连续性。 国标 ISO /IEC 27001: 2005不完全适用于电子 商务信息安全管理 4。电子商务与信息系统的不 同在于商务流程。只有依托流程, 才能系统、 全面、 具体地实现电子商务信息安全管理体系。电子商务 流程用以辅助确定 IS MS范围、 识别资产、 风险评 估、 确定安全等级, 并采取相应的安全措施和技术手 段。以道德、 隐私等与信息系统不同的因素构成的 社会环境和业务环境为背景, 建立由业务、 技术和社 会 3个层面所构成的整体电子商务信息安全框架。 针对流程中的具体要素, 运用管理与技术的维度进 行风险评估。 建立信息安全管理体系关键步骤之一是风险评 估。要实施风险评估就必须准确理解其要素。图 1 显示了风险评估的各要素及其关系。其中方框部分 的内容为风险评估的基本要素, 椭圆形部分的内容 是与这些要素相关的属性, 也是风险评估要素的一 部分。 图 1? 风险评估要素及其关系 ? ? 风险评估的工作是围绕其基本要素、 遵循图 2 所示的风险分析基本原理所展开的。在对基本要素 的评估过程中, 需要充分考虑业务战略、 资产价值、 安全事件、 残余风险及与这些基本要素相关的各类 因素。 图 2? 风险分析原理图 建立、 健全电子商务信息安全管理体系, 不能单 纯依靠技术, 但也决不可离开技术。图 3所示为电 子商务安全技术体系结构。 图 3? 电子商务安全技术体系结构 23 北京信息科技大学学报 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 第 26卷 ? 图 4所示为企业网站的安全体系结构 5。 图 4? 企业网站安全体系结构 实现对风险的控制与管理, 可以对风险评估的 结果进行等级化处理, 将风险划分为一定的级别, 等 级越高, 风险越高。评估者根据所采用的风险计算 方法, 计算每种资产面临的风险值, 根据风险值的分 布状况, 为每个等级设定风险值范围, 并对所有风险 计算结果进行等级处理。每个等级代表了相应风险 的严重程度。表 1提供了一种风险等级的划分方 法。 表 1? 风险等级划分表 等级标识定义 5很高 产生非常严重的经济或社会影响, 如组织信誉严 重破坏、 严重影响组织的正常经营, 经济损失重 大、 社会影响恶劣 4高 产生较大的经济或社会影响, 在一定范围内给组 织的经营和组织信誉造成损害 3中等 造成一定的经济、 社会或生产经营影响, 但影响 面和影响程度不大 2低 造成的影响程度较低, 一般仅限于组织内部, 通 过一定手段很快能解决 1很低 造成的影响几乎不存在, 通过简单的措施就能弥 补 组织根据信息安全风险评估的结果, 针对具体 风险, 制定相应的控制目标和控制措施。风险的管 理过程如图 5所示。 图 5? 风险管理过程 控制措施的制定可以参考 ISO / I EC 27001: 2005 所列举的 11个方面、 133项控制措施, 如表 2所示。 也可根据组织的实际情况选择其他控制措施。 表 2?ISO / IEC 27001 : 2005中列举的 133项控制措施 附录 A控制措施 控制目 标 /个 控制措 施 /项 A5安全方针12 A6信息安全组织211 A7资产管理25 A8人力资源安全39 A9物理和环境安全213 A10通信和操作管理1032 A11访问控制725 A12信息系统获取、 开发和维护616 A13信息安全? 事件管理25 A14业务连续性管理15 A15符合性310 ISO / IEC 27001 : 2005规范性附录 A. 10 . 9中给 出的电子商务服务目标是确保电子商务服务的安 全, 包括电子商务、 在线交易以及公共可用信息等控 制措施。在风险评估与风险管理实施过程中, 可以 进一步参考 ISO / I EC 13335 , 其所描述的风险评估过 程十分清晰, 同时, 对安全计划、 安全策略、 控制措施 选择等内容的阐述也更加具体。 支付卡行业数据安全标准 PCI DSS的 12项条 款同样可引入到电子商务信息安全风险评估过程以 及风险管理过程中, 例如, 条款 1?安装并且维护防 火墙以保护持卡人数据 ?的要求包括: 一个正式的 流程, 用以对所有的外部网络连接和防火墙配置变 更进行批准和测试; 网络图中必须标明连接到持卡 人数据的所有连接, 包括所有无线网络连接。在分 析评估风险级别的基础上, 推荐控制措施。 信息系统安全等级保护为电子商务的可持续发 展奠定了基础。在 GB/T 22239- 2008信息系统安 全等级保护的基本要求中, 规定了不同安全保护等 级信息系统的基本要求, 包括基本技术和基本管理 要求。GB /T 22240- 2008信息系统安全等级保护 定级指南规定了信息系统安全等级的定级方法。我 国制定的计算机信息系统安全保护等级划分为 5 级, 包括: 用户自主保护级、 系统审计保护级、 安全标 记保护级、 结构化保护级、 访问验证保护级。对于电 子商务的安全应用, 3级以下的安全产品和系统多 24 ? 第 1期? ? ? ? ? ? ? ? ? ? ? ? ? 赵? 刚等: 电子商务信息安全管理体系架构 数可以满足。风险控制的适度要求正确选择保护等 级, 需要运用风险评估方法得出结论。风险评估围 绕资产、 脆弱性、 威胁、 安全措施展开分析。根据等 级保护和风险评估的结果选择安全措施。从某种意 义上看, 电子商务将是安全等级保护的第 1批受益 者。 国家信息系统安全等级保护制度作为信息安全 保障的一项基本制度, 重点在于对信息系统进行分 类、 分级。等级保护制度同样可用于对信息安全产 品或系统进行检测、 评估和定级。等级保护制度坚 持管理与技术并重, 坚持统筹兼顾, 突出重点, 充分 体现合理分配资源、 保护重点的原则。无论是等级 保护制度还是 IS MS, 都充分体现了信息安全应重视 管理的思想。只有做好安全管理工作, 安全技术才 能充分发挥作用, 从技术和管理两方面采取保护措 施使信息系统具有与其等级相适应的安全保护能 力。 IS MS从组织机构出发, 在一个组织或其特定的 范围内建立信息安全管理体系。一个组织可能有 1 个或多个不同等级的信息系统, 组织的某个特定范 围内可能没有或没有一个完整的信息系统。等级保 护制度的完整实施贯穿信息系统的整个生命周期, IS MS的完整实施过程同样贯穿组织或组织某一特 定范围的管理体系的整个生命周期。两者可以在相 关标准和实施过程 2方面融合。在相关标准融合方 面通常考虑结构和内容的融合, 电子商务信息安全 管理三维体系架构重点考虑实施过程的融合。从等 级保护制度的实施过程看, 可以将其归结为 ISMS 实施过程所遵循的 PDCA模型, 系统定级和安全规 划设计归为 P阶段, 安全实施归为 D阶段, 安全运 行维护可视为 C阶段和 D阶段。在实施时, 按照 PDCA模型来组织各项活动。策划阶段, 进行系统 定级, 明确信息系统的边界及其安全保护等级, 明确 IS MS的范围, 制定信息安全方针和目标。实施风险 评估, 根据其结果从整合的控制措施集合中选择控 制措施, 实施风险评估过程中应考虑安全等级的要 求。从技术和管理 2方面进行安全规划设计, 制定 风险处理计划, 形成相关体系文件。 1) 实施阶段。 按照风险处理计划实施各项控制措施, 进行各种技 术、 技能培训, 提供资源; 2)检查阶段。利用各种检 查手