（工商管理专业论文）浪潮集团电子商务网络安全管理策略研究.pdf

原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究所取得的成果。除文中已经注明引用的内容外，本论文不 包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研 究作出重要贡献的个人和集体，均已在文中以明确方式标明。本人完 全意识到本声明的法律责任由本人承担。 论文作者签名：日期： 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同意学 校保留或向国家有关部门或机构送交论文的复印件和电子版，允许论 文被查阅和借阅；本人授权山东大学可以将本学位论文的全部或部分 内容编入有关数据库进行检索，可以采用影印、缩印或其他复制手段 保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：导师签名：日 期： 山东大学硕士学位论文 摘要 近年来，由于电子商务的飞速发展和广阔前景，网络安全得到了前所未有的 关注，因为随着电子商务的载体i n t e m e t 网络与应用的发展，人们发现网络安全已 成为i n t e m e t 进一步发展、网络应用进一步深入的关键问题。这个问题不解决，很 多在网上的应用将被牵制，电子商务的领域也将大大受限。 电子商务涉及到网络安全、信息安全、信用安全和安全管理等几个方面，目 前电子商务的主要安全内容是网络安全，安全策略主要针对技术和管理两个方面。 本文认为安全管理比安全技术更重要，主要研究网络安全的管理策略问题。 企业作为电子商务的主要发起者和主要使用者，企业电子商务的网络安全管 理问题应当引起人们更多的重视和研究，电子商务业务系统是企业应用的核心。 对于业务系统应该具有最高的网络安全措施。 本文以浪潮集团为例，对浪潮集团网络安全现况进行了调查分析，并运用风 险管理、关键因素分析法等方法，系统地分析了企业电子商务所涉及到的网络安全 问题及安全需求，认为企业网络安全的重点包括：确保网络周边的安全；确保网 络内部的安全；确保重要资产的安全；加强监控和审计。参考国际标准化组织i s o 模型，结合企业实际从网络层和应用层进行安全分析，对企业网络安全管理策略 进行了研究，并对浪潮集团网络安全管理的未来发展提出了自己的见解和展望。 关键词：网络安全安全策略浪潮集团电子商务 a b s t r a c t i nr e c e n t y e a r s b e c a u s ed e v e l o p m e n ta n dw i d ep r o s p e c t a tf u l l s p e e do f e - c o m m e r c e ，t h es e c u r i t yo ft h en e t w o r kh a sg o tt h eu n p r e c e d e n t e dc o n c e r n , b e c a u s e w i t ht h ed e v e l o p m e n to fi n t e m e tt h a te - c o m m e r c 息u s e da sc a r r i e r , p e o p l ef i n dt h e n e t w o r ks e c u r i t yh a sa l r e a d yb e c o m et h ek e yp r o b l e mt h a ti n t e r n e ta n dn e t w o r k a p p l i c a t i o nd e v e l o p e df l 删l l e r t h i sp r o b l e mi sn o ts o l v e d ，al o to fa p p l i c a t i o no nt h e n e tw i l lb ep i n n e dd o w n ，t h ef i e l do f e - c o m m e r c ew i l lb el i m i t e dg r e a t l yt o o e - c o m m e r c ei n c l u d e st h en e t w o r ks e c u r i t y ，i n f o r m a t i o ns a f e t y ，c r e d i ts e c u r i t y a n ds a f e t ym a n a g e m e n t , e t e ，t h em a i ns a f ec o n t e n to fe c o m m e r c ei st h en e t w o r k s e c u r i t ya tp r e s e n t , t h es a f et a c t i c si n c l u d e st h ea n dm a n a g e m e n tm a i n l y t h i st e x t t h i n k st h es a f e t ym a n a g e m e n tm o r ei m p o r t a n tt h a nt h es a f et e c h n o l o g y , s ot h i st e x ti s t h es t u d yo f t h em a n a g e m e n tt a c t i c sp r o b l e mo f t h en e t w o r ks e c u r i t ym a i n l y e n t e r p r i s e s ，a st h em a i np r o m o t e ra n dm a i nu s c ro f 争c o m m e r ，t h ep r o b l e mo f m a n a g e m e mo fn e t w o r ks e c u r i t yo fa n t e r p d s e se - c o m b e r c es h o u l dc a u s ep e o p l e sm o r e a t t e n t i o na n ds t u d y ，t h eb u s i n e s ss y s t e mo fe - c o m m e r c ei st h ec o r et h a te n t e r p r i s e su s e p e o p l es h o u l dh a v es u p r e m en e t w o r ks a f e t ym c k s u r e st ot h eb u s i n e s ss y s t e m t h i st e x 。tt a k e sl a n g c h a og r o u pa sa ne x a m p l e ，h a si n v e s t i g a t e da n da n a l y s e dt o t h el a n g c h a og r o u p sn e t w o r ks e c u r i t yp r e s e n ts i t u a t i o n ，1 1 s os u c hm e t h o d sa sr i s k m a n a g e m e m ，a n a l y t i ca p p r o a c ho ft h ek e yf a c t o r ，e t c t h et e x th a ss y s t e m a t i c a l l y a n a l y s e dn e t w o r ks e c u r i t yq u e s t i o na n ds e c u r i t yd e m a n dt h a te m e r p f i s e 。se - c o m m e r c e i n y o l v e s ，t h e f o c a lp 0 m to fe n t e r p r i s e sn e t w o r ks e c u r i t yi n c l u d e s ：g u a r a n t e et h e p e r i p h e r a ls e c u r i t yo ft h en e t w o r k ；g u a r a n t e et h es e c u r i t yw i t h i nt h en e t w o r k ；e n s u r e t h es a f e t yo fi m p o r t a n ta s s e t s ；s u e n g t h e nc o n t r o l l i n ga n da u d i t i n g c o n s u l t i n t e r n a t i o n a ls t a n d a r d so r g a n i z a t i o ni s om o d e l ，c o m b i n e st h ep r a c t i c eo fe n t e r p r i s e s ， w ea n a l y s et h es a f e t ym a n a g e m e n tt 鱼e t i c so f n e t w o r ks u i t a b l ef o re n t e r p r i s e ，a n do n e s o w no p i n i o na n dp r o s p e c th a sp u tf o r w a r dt ot h ef u t u r eo fl a n g c h a og r o u p sn e t w o r k s a f e t ym a n a g e m e n t 4 k e y w o r d s ：n e t w o r ks e c u r i t y ；s e c u r i t y e l e c t r o n i cc o m m e r c e 山东大学硕士学位论文 第一章绪论 i n t e r a c t 的出现是人类历史中一次重大的变革，它改变了我们生活和工作的传 统模式。打破了时间、地域的限制，使人类社会进入了信息时代。伴随着世界经 济的持续发展和信息技术不断进步，经济全球化和信息网络化已经成为整个世界 经济发展进程中不可逆转的大趋势。经济全球化建立在信息网络化的基础之上， 信息网络化反过来又促进了经济全球化。电子商务作为二者结合的产物，是现代 经济发展的必然选择。虽然过去几年当中电子商务有过很多泡沫，但现在理性已 经逐渐回归，电子商务正在展现它应有的一面，其优点是明显的：开展电子商务 可以降低经营和服务的成本，拓展企业的利润空间：使业务的开展不受时间地域 的限制，提高工作效率：使资金和物流的运转速度加快。 近年来，由于电子商务的飞速发展和广阔前景，网络安全得到了前所未有的 关注，因为随着电子商务的载体i n t e m e t 网络与应用的发展，人们发现网络安全成 为i n t e m e t 进一步发展、网络应用进一步深入的关键问题。这个问题不解决，很多 网上应用将被牵制，电子商务的领域也将大大受限。 企业作为电子商务的主要发起者和主要使用者，企业电子商务的安全管理问 题应当引起人们更多的重视和研究。 本文以浪潮集团为例系统地分析了企业电子商务历涉及到的网络安全威胁及 安全需求，并提出了适合企业特点的安全管理策略。 1 1 电子商务概念 自2 0 世纪7 0 年代电子交易以多种形式出现以来，电子商务以无法想象的速 度发展起来，并且改变了整个社会经济生活。 1 1 1 电子商务的定义 被誉为电子商务的前瞻学者的美国学者r a v ik a l a k o t a 认为，对于电子商务 ( e l e c t r o n i cc , o m m e l c e 或e l e c t r o n i cb u s i n e s s ) ，不同的人强调不同的侧面。 1 从通信的角度看，电子商务是在i n t e r a c t 上传递信息、产品、服务或进行支 付： 2 从服务的角度看，电子商务是一个工具，它能满足企业、消费者、管理者 的愿望在提高产品质量和加快产品、服务交付的速度的同时降低服务的成本： 3 从在线的角度看，电子商务提供了通过i n t e m e t 的销售信息、产品和服务。 1 9 9 7 年在比利时首都布鲁塞尔召开的全球信息社会标准大会上提出了一个关 于电子商务的定义：电子商务是各参与方之间以电子方式而不是以物理交换或直 接物理接触方式完成的任何形式的业务交易。 这里的电子方式包括电子数据交换( e o i ) 、电子支付手段、电子订货系统、电 子邮件、网络通信、电子公告系统、条码、图像处理和智能卡等等。 i b m 公司给电子商务赋予了他们自己的理解，并将电子商务的全套解决方案 作为公司的主攻方向。提出“e - b u s i n e s s 的概念。他们给电子商务下的定义是：电 子商务是在i n t e m e t 的广阔联系与传统信息技术系统的丰富资源相结合的背景下 应运而生的一种相互关联的动态商务活动。 m m 公司的电子商务公式：e - b u s i n e s s = w e b + i t + b u s i n e s s 广义上来讲，电子商务强调新兴商机的产生和利用。用比较流行的话来形容， 就是“产生商业价值和以少做多。狭义的电子商务称作电子交易，主要是指利用 w e b 提供的通信手段在网上进行的交易。广义的电子商务是包括电子交易在内的， 利用w e b 进行的全面商务活动，如市场调查分析、财务核算、生产计划安排、客 户联系、物资调配等，所有这些活动涉及企业的整个价值链。电子商务并非仅仅 指基于i n t e m e t 网上的交易，而是指所有利用i n t e m e t 从事的所有商务活动，包括从 销售到市场运作以及生产动作整个过程，电子是手段，而商务是根本。所以说电 子商务只是在i n t e m e t 上的贸易是不正确的，也是不全面的。电子商务是传统商务 在互联网上的延伸。电子商务涵盖的内容之深之广，还需要企业在实践中不断完 善。 电子商务，是指整个贸易活动实现电子化。从涵盖范围方面可以定义为：交 易各方以电子交易方式而不是通过当面交换或直接面谈方式进行的任何形式的商 业交易；从技术方面可以定义为：电子商务是一种多技术的集合体，包括交换数 据( 如电子数据交换、电子邮件) 、获得数据( 共享数据库、电子公告牌) 以及自 动获取数据( 条码) 等。 企业使用电子商务的逻辑思考可以用等式解释：利润= 营业收入成本。一个 公司可以利用科技来减少经营成本或增加收入。电子商务具有为旧产品创造新市 场、创造新服务渠道的潜能，在交易管理方面能更好的调配销售、生产、物流配 送，以减少成本。 l 1 2 电子商务的特点 电子商务是一种全新的商务模式，与传统的商务活动相比，它具有以下特点： 6 ( 1 ) 高效性：电子商务提供买、卖双方进行交易的一种高效服务方式、场所 和机会。 ( 2 ) 方便性：在电子商务环境下，人们不再受地域的限制，他们可以方便地 在更大的范围内寻找交易伙伴、选择商品。 ( 3 ) 虚拟性：电子商务是依托互联网开展的一种商务活动，它将整个活动中 的大部分流程转移到虚拟空间，仅仅通过数字信息的传递即完成商务过程。 ( 4 ) 透明性：i n t e m e t 是一个开放的网络，从而使社会信息得到充分共享。 ( 5 ) 技术依赖性：电子商务发生在以i n t e m e t 等高新技术为主体的信息基础 设施之上。 ( 6 ) 安全敏感性：i n t e m e t 具有开放性、自由性、全球性等特点。这些特点 使得i n t e m e t 飞速扩展，使得电子商务的影响范围越来越大，但是正是这些特点威 胁到了电子商务信息的安全性和完整性。对于消费者而言，无论网上的物品如何 有吸引力，如果他们对交易安全性缺乏把握，他们根本就不敢在网上进行买卖。 企业和企业问的交易更是如此。 ( 7 ) 协作性：在电子商务环境中，它更要求银行、配送中心、通信部门、技 术服务等多个部门通力协作，才能实现全过程的电子商务，才能真正体现电子商 务的优势与价值。 网络是实现电子商务的基础，i n t e m e t 的发展是推动电子商务发展的真正动 力，因此i n t e m e t 的优势和特点也在很大程度上决定了电子商务的优势与特点。 i n t e m e t 具备以下优势： ( 1 ) 快速：网络上的信息是以电磁波速度传递的，跨越任意空间距离的信息 传递在瞬间完成。 ( 2 ) 广泛：网络将全世界连接为一个整体，使人们足不出户就可以走遍世界， 可以轻而易举地拓展自己的生活和工作空间。 ( 3 ) 丰富：i n t e m e t 网络能够发送、传播极为丰富的多媒体信息，内容包罗 万象，涵盖各个领域、各个方面，人们在商务、工作和生活中所需要的几乎所有 信息都可以在网上查到。 ( 4 ) 互动：与传统媒体技术相比，网络的一个突出优势是具有互动性。 ( 5 ) 低成本：与报纸、电视、甚至电话相比，i n t e m e t 的信息传递费用都是 最低的。 电子商务依托网络的以上优势，也具有相应的优势：商务速度更加快捷：商 7 务联系更加广泛：商务信息更加丰富：商务沟通更加充分：商务成本更加低廉。 电子商务也具有一些不可忽视的缺点： ( 1 ) 技术和软件方面，有些业务流程也许永远不能使用电子商务，比如古董 和珠宝不可能远距离鉴定。要实现电子商务的前提是存在大量的潜在顾客，顾客 数量极其关键，所以网上有“眼球经济”一说。 ( 2 ) 企业在投资前要计算收益，对电子商务进行投资时成本和收益就很难计 算。因为电子商务的关键技术发展太快了，而且人才短缺，软件的兼容性都是问 题。比如当当，算是国内比较知名的电子商务网站，最初也是起步维艰，只是在 得到风险投资后才宣称盈利，但因为不是上市公司，无法证实盈利状况。弧马逊 自成立起一直亏损，2 0 0 4 度开始全年盈利，亚马逊的盈利可能也昭示着电子商务 的成熟和普及。 ( 3 ) 文化和法律方面，一些消费者不愿在互联网上发信用卡号码，还有些消 费者不愿改变购物习惯，而喜欢亲自到商场选购。另外电子商务的立法一直滞后 于技术的发展 电子商务涵盖的业务包括：商务信息交换、售前售后服务( 提供产品和服务 的细节、产品使用技术指南、回答顾客意见) 、广告、销售、电子支付( 电子资金 转帐、信用卡、电子支票、电子现金) 、运输( 包括有形商品的发送管理和运输跟 踪，以及可以电子化传送的产品的实际发送) 、组建虚拟企业等。 1 1 3 企业电子商务的分类 e f r a i nt u r b a n 在e l e c t r o n i cc o m m e r c eam a n a g e r i a l p e r s p e c t i v e 一书中将电子商务分为以下几种： ( 1 ) b u s i n e s s - t o - b u s i n e s s ( b 2 b ) 。目前使用较多的一种商务模式，所有参与 这都是企业或其他机构。 ( 2 ) b u s i n e s s - t o - c o n s u m e r ( b 2 c ) 。企业与个人之间的交易。 ( 3 ) c o n s u m e r - t o - c o n s u m e r ( c 2 c ) 。比如一些拍卖网站提供的消费者之间的 交易，济南信息港也提供这种房屋或个人服务的广告。 ( 4 ) c o n s u m e r - t o - b u s i n e s s ( c 2 b ) 。个人向企业出售产品或服务的交易。 ( 5 ) n o n b u s i n e s se c 。主要是一些机构和政府部门来提供特定的服务。 ( 6 ) i n t r a b u s i n e s se c 。即企业内部的部门和个人在内部网上进行的货物、服 务和信息的交换。 以上的分类比较全面，我们一般概念下的电子商务常用的是b 2 b 、b 2 c 和 8 ! ! = = = = = 一坐奎态主堡主堂垡鲨銮 c 2 c 。 而目前企业电子商务可以分y g _ - - 种，一种是企业内部的电子商务，企业内部 各个部t q 2 n ，通过企业内部网( i n t r a n e t ) 的方式处理与交换商贸信息；另一种 是企业对企业的电子商务，即b 2 b 屯子商务i 第三种是企业对个人的电子商务， 即b 2 c 。这三类系统分别提供的服务和功能如下： 1 企业内部电子商务 企业内电子商务借助于防火墙将i n m m e t 与i n t e m e t 隔离，可以用来自动处理 操作流程和工作流程，存取重要的数据和关键系统。共享经验，共同解决客户的 问题，并保持组织问的联系。 2 b 2 b 电子商务 b 2 b 是企业供应链的延伸，企业与企业之间通过互联网进行产品、服务及信 息的交换。企业不仅要同长期签约客户打交道，还应该同全球各地的非签约客户 打交道，客户、合作伙伴都能即时知道你的产品信息。可是当他们开始购买你的 产品时，还是需要给你打电话、发传真或e m a i l 告诉你要买什么。传统的企业 间的交易往往要耗费企业的大量资源和时间，无论是销售和分销还是采购都要占 用产品成本。通过b 2 b 的交易方式买卖双方能够在网上完成整个业务流程，b 2 b 使企业之间的交易减少许多事务性的工作流程和管理费用。降低了企业经营成本。 网络的便利及延伸性使企业扩大了活动范围，通过b 2 b 系统，企业的潜在客户、 合作伙伴可以在全球任何一个角落天2 4 小时、一周7 天随时在你的网站上订 购产品。他们将得到最新的产品信息、相应的优惠、快速生成订单、随时查询订 单处理情况昶发货情况的服务。系统可以随后生成采购订单、审批订单、自动发 给选定的供应商、产品接收入库并跟踪供应商的发货情况。 b 2 b 电子商务系统的主要功能包括：顾客需求信息管理、采购预测、客户数 据库管理、物流的跟踪和库存控制、连续补货系统( c r p ) 、购买流程管理、卖方 流程管理、电子支付等。目前企业要实现完善的b 2 b 需要许多系统共同的支持， 比如制造企业需要有财务系统、企业资源计划e r p 系统、供应链管理s c m 系 统、客户关系管理c r m 系统等，这些系统能有机地整合在一起实现信息共享、 业务流程的完全自动化。 目前企业采用的b 2 b 模式： ( 1 ) 面向制造业或面向商业的垂直b 2 b 。垂直b 2 b 可以分为两个方向， 即上游和下游。生产商或商业零售商可以与上游的供应商之间的形成供货关系， 山东大学硕士学位论文 比如d e l l 电脑公司与上游的芯片和主板翩造商就是通过这种方式进行合作。生 产商与下游的经销商可以形成销货关系，比如c i s e o 与其分销商之间进行的交 易。 ( 2 ) 面向中间交易市场的b 2 b 。这种交易模式是水平b 2 b ，它是将各个 行业中相近的交易过程集中到一个场所，为企业的采购方和供应方提供了一个交 易的机会，像a 1 i b a b a 、环球资源网等。 3 b 2 c 电子商务 b 2 c 的服务对象是满足那些希望通过网络购买商品的最终消费者。一般的消 费者使用浏览器通过网络查询订购公司的商品或取得服务，最后再通过安全交易 及支付机制付款便完成交易。所购买的物品可直接下载( 例如：音乐、程序或病 毒码等) 或经由实体物流通路取得商品。由于这种模式拓宽了客户和企业双方交 易的时间和空间，大大提高了交易效率，节省了不必要的开支。因而网上购物也 正为更多的商业企业所重视，成为缩短厂商同客户距离的最重要途径之一。 b 2 c 系统包括以下主要功能： 1 7 i 查询系统：按照客户的要求对网站数据库进行全方位的检索。 1 ：3 分类检索系统：类似于搜索引擎的分类检索功能，根据不同的类别一层一 层浏览下去，直到显示出所有产品。 在线订货系统：系统提供添加、删除、更改等功能，可以使用户方便的对 已订的商品进行管理。 r l 在线支付系统：用招商银行一卡通或其他银行支付系统进行在线支付。提 供与银行之间联系的接口。 口用户注册、登录系统：用户可进行在线注船，免费成为会员。注册成会员 后可以在网站的登录位置进行登录。 用户管理系统：管理用户的注册信息，添加、更改、删除用户登录的信息。 1 ：3 管理员管理系统： ( 1 ) 对产品的管理：可以方便地添加、删除、修改产品资料。管理界面与用户 浏览界面大致相同，在每项产品处都有添加、删除、修改选项，以便对每项产品 进行管理。 ( 2 ) 对用户的管理：可以方便地对用户资料进行管理，删除没有用的用户资料， 修复损坏的用户信息。 ( 3 ) 对特殊用户( 如累计购买金额达一定数量时) 进行管理( 如升级为v i p 用 1 0 户、进行抽奖、送礼等活动) 。 信息分析系统： ( 1 ) 产品分析系统：以图形和数据的方式分析显示所有产品的热销程度。针对 每一产品分析该产品购买者的年龄层次、学历、工作环境、收入等的分布情况。 ( 2 ) 用户分析系统：分析在该网站进行消费的用户年龄层次、学历、工作环境、 收入等资料的分布情况。针对每一客户，分析客户的消费习惯。 由于具有高效性、方便性、虚拟性、透明性等特点，电子商务具有并充分发 扬了互联网的迅速、低成本等优势，又由于电子商务的技术依赖性、安全敏感性、 协作性等特点，在电子商务环境中，它更要求银行、配送中心、通信部门、技术 服务等多个部门通力协作，才能实现全过程的电子商务，才能真正体现电子商务 的优势与价值。 人们可以预见到，电子商务改变了传统企业的经营模式，将来更会越来越发 挥巨大的作用，因此研究电子商务的各个领域的管理等各个方面是十分必要的。 1 2 电子商务网络安全管理主要理论 由于i n t e m e t 是电子商务的载体，网络安全闯题成为电子商务安全问题的主要 内容。 公安部公共信息网络安全监察局有关负责入表示，造成网络安全事件的主要 原因是安全管理制度不落实和安全防范意识薄弱，其中因未修补、防范软件漏洞 等原因造成的安全事件占总数的6 6 ，登录密码过于简单或未修改密码导致发生 安全事件的占1 9 。同时，调查表明，信息网络使用单位对安全管理工作的重视 程度、落实安全管理措施和采用安全专用技术产品等方面均有所提高和加强，但 是用户安全观念薄弱、安全管理人员缺乏培训，以及缺乏有效的安全信息通报渠 道、安全服务行业发展不能满足社会需要等问题仍然比较突出。 安全问题在很大程度上阻碍了全球电子商务的发展。因此，采取强有力的安 全策略来保障电子商务的安全性将变得尤为重要。 劳帼龄在电子商务安全与管理中把电子商务的安全问题分为四个方面： ( 1 ) 信息安全问题：包括冒名偷窃、篡改数据、信息丢失、信息传递中的问 题。 ( 2 ) 信用的安全问题：包括来自买方、卖方及买卖双方都抵赖的问题。 ( 3 ) 安全的管理问题。 ( 4 ) 安全的法律保障问题。 山东大学硕士学位论文 这种分类具有较好的概括性，并且把安全的管理问题单独列出，强调了安全 管理对于电子商务信息安全的重要性。 安全管理比安全技术更重要。安全管理就是通过一些管理手段来达到保护信 息安全的目的。它所包含的内容有安全管理制度的制定、实施和监督，安全策略 的制定、实施、评估和修改，以及对人员的安全意识的培训、教育等。 f o r l r e x t e c h n o l o g i e s 公司的c l i i e f t e c h n o l o g y o f f i c e r e r i c m a i w a l d 在网络 安全使用指南中将信息安全定义为：为了防止未经授权就对知识、事实、数据 或能力进行使用、溢用、修改或拒绝使用而采取的措施。这种定义把信息安全定 义为一个过程而非产品。是很适合实际的。 英国标准协会( b s i ) 制定的b s7 7 9 9 提出信息安全的涵义主要体现在以下三 个方面： 安全性：确保信息仅可让授权获取的人士访问： 完整性：保护信息和处理方法的准确和完善； 可用性：确保授权人需要时可以获取信息和相应的资产。 这项标准提出了有效地实施1 1 r 安全管理的建议，在该标准中，信息安全己不 只是人们传统意义上的安全，即添加防火墙或路由器等简单的设备就可保证安全， 而是成为一种系统和全局的观念。信息安全是指使信息避免一系列威胁，保障商 务的连续性，最大限度地减少业务的损失，从而最大限度地获取投资和商务的回 报。 传统的网络安全管理基本上还处在一种静态的、局部的、少数人负责的、突 击式、事后纠正式的管理方式，导致的结果是不能从根本上避免、降低各类风险， 也不能降低网络安全故障导致的综合损失。而基于风险管理的思想，指导组织建 立网络安全管理体系，即系统化、程序化和文件化的管理体系，基于系统、全面、 科学的安全风险评估，体现预防控制为主的思想。遵守国家有关信息安全的法律 法规及其他合同方要求，本着控制费用与风险平衡的原则合理选择安全控制方式 保护组织所拥有的关键信息资产，使信息风险的发生概率和结果降低到可接受收 水平，确保信息的保密性完整性和可用性，保持组织业务运作的持续性。 对于网络安全，应该遵循“三分技术，七分管理”的原则，提供一个可持续提 高的信息安全管理环境。包括安全管理的注意事项和安全制度等。并且结合实际 情况进一步加以补充。 1 3 网络安全管理策略 企业或单位要通过网络与用户及其他相关行业系统之间进行交流，提供各种 网上的信息服务，但这些网络用户中，不乏竞争对手和恶意破坏者，这些人可能 会不断地寻找系统内部网络上的漏洞，企图潜入内部网络。一旦网络被人攻破， 机密的数据、资料可能会被盗取、网络可能会被破坏，给系统带来难以预测的损 失。企业通过创建并执行一套全面的网络安全策略来规范用户的行为，从而可以 减少甚至消除这些错误给企业带来的风险。 策略是用来设置一些规则，这些规则规定应该如何配置系统，如何管理组织 的员工行为，如何处理异常情况及恢复等。制定策略是组织的安全管理部门可以 做的最重要的事情。 策略具有两个主要的功能： ( 1 ) 规定组织内部应该具有的安全性； ( 2 ) 规定组织内部员工每个人应该如何傲。 每一项策略包括三个部分： ( 1 ) 目的。说明创建这项策略的原因，以及创建这项策略的预期受益。 网络安全策略包括技术和管理两个方面，规定如何从技术和管理两个方面保 护信息和系统的安全性。 ( 2 ) 范围。说明这项策略规定使用的范围，如适用于某企业的所有计算机及网 络系统。 ( 3 ) 责任。规定对正确实现该策略的有关责任人。该责任人应经过适当的培训， 并了解文档的要求。 企业创建网络安全策略能够： 提供一种程序来审计现有的网络安全； 为实施网络安全提供一个全面的安全架构； 定义哪些行为被允许，哪些行为不被允许； 经常能帮助该机构确定需要哪些工具和步骤： 帮助表达关键决策人员之间的一致意见，并定义用户和管理员的责任； 为处理网络安全事件定义一个流程： 实现全局性的安全实施并执行，计算机安全现在已经是一个涉及整个企业 范围的问题，备计算站点都应该遵守网络安全策略； 如果需要的话，为采取法律行为奠定一个基础。 对于企业来说，制定并有效地实施网络安全策略是很重要的，企业的网络安 全管理策略规定了计算机系统和网络设备在安全方面的技术要求，规定了系统管 理员或网络管理员应该如何配置系统的安全性，并且规定了普通用户的具体行为。 有效的网络安全策略应该包括以下内容： 权威性和规范：这一部分规定谁负责安全策略，以及安全策略覆盖什么区 域： 允许的使用策略：这一部分规定公司对于其信息基础设施将允许什么和不 允许什么； 身份认证策略：这一部分规定公司将使用什么技术，设备或技术与设备的 组合来确保只有被授权的个人才能访问公司数据； i m e r n e t 访问策略：这一部分规定公司认为哪些行为是对公司的i n t e m e t 访问能力的合乎道德的和正当的使用： 园区网访问策略：这一部分规定园区网内的用户应该如何使用公司的数据 基础结构； 远程访问策略：这一部分规定远程用户应该如何访问公司的数据基础结 构： 事件处理流程：这一部分规定公司应该如何组建一支安全事件响应队伍， 以及制定事件发生时和发生后将使用的流程。 1 4 = ! ! 一 当奎盔登堡主兰笙兰苎 - _ - _ _ _ _ _ _ _ _ _ _ _ _ _ _ - - _ _ _ - _ _ _ _ _ _ _ - - - - _ _ _ - _ _ _ _ _ _ - _ _ _ _ _ _ _ _ _ _ - _ _ _ 一一 第二章企业电子商务网络安全管理分析 2 1 企业应用电子商务背景 电子商务作为一种新兴的商业模式，它具有极大的潜力推动企业“打破”原有 企业战略的束缚，彻底改变企业的运作流程，增强顾客与供应商的联系。开拓新 的市场。 不论从电子商务发展方向看，还是从电子商务发展环境看，电子商务竞争及 其竞争结果最终将反映在参与企业的综合竞争力产品竞争力、管理能力、技 术创新能力和其他辅助因素上。 电子商务对参与企业竞争力具有战略性意义，这些意义将表现在对产品竞争 力、管理能力、技术创新能力的促进上。 同时，电子商务应当充分利用信息技术，培育和发展良好的竞争环境，提升 参与企业综合竞争力，构建基于供应链、信息交流和技术创新的战略联盟。对电 子商务狭义的理解或者对电子商务急功近利的盲目随从，都可能忽略电子商务的 潜在的战略意义。 随着信息技术发展和扩散，电子商务进入的技术障碍已经大大缓解，电子商 务竞争程度将会加剧。 时下，随着中国正式加入w t o ，如俺提高中国企业的全球竞争力成了政府、 企业和媒体关注的焦点。几乎所有的企业都意识到，企业信息化是必由之路，其 中，企业电子商务当是信怠化建设中的一项重要内容。建立网络环境下的企业管 理的新型模式，是电子商务系统实施的“本质”。建立企业管理新型模式的任务， 就是要将电子商务系统成为企业信息系统的有机组成部分，这样才能尽享电子商 务对时空突破的优势。 然而，我国企业电子商务应用尚处于起步阶段，进展缓慢的问题日益突出。 我国企业在信息技术应用的投入仍然很低，作为企业电子商务核心的e r p 系统， 实现的企业也寥寥可数。目前，我国企业电子商务发展现状不容乐观，仍有一些 瓶颈因素制约着它的快速发展。 其一，利用互联网开展经营活动的企业极少，没有形成一定的规模效应。开 展电子商务，一定规模的参与量无疑是最为重要的基础因素，即使在这一部分上 山东大学硕士学位论文 网的企业中，他们大多也只是在网上开设了主页和e m a i l 地址，既没有充分利用 网络资源更没有借助网络开展商务活动。美国等国家的企业在这方面远远走在 了我们的前头，已经借助互联网广泛地开展了商务活动。 其二，企业电子商务的成本较高，在一定程度上制约了它的发展。现阶段， 电脑、网络设备等r r 产品仍是较为昂贵的消费品，另外，我国r r 厂商主要为企 业提供p c 机、显示嚣、终端等产品，面能够提供从售前的咨询、摸组化方案， 直至售后的运营维护、系统化设计等一条龙服务的r r 厂商为数不多。这对处于信 息化建设刚刚起步的我国大多数企业来说，面临的就不仅仅是基础设施成本高的 问题，建设周期长、后期维护麻烦都是令他们望而却步的因素。 其三。我国市场经济还不成熟，企业电子商务的相关机制尚未建立。目前， 我国现货市场、有形市场还存在诸多缺陷，企业信用差、资金拖欠问题仍很严重， 开展电子商务所必需的配套的信息系统、物流系统、支付系统和制度保障尚未完 善，这都是导致大多数企业对发展电子商务既渴望又在观望的重要原因。受网络 安全问题、社会商业信用问题、网络支付问题的制约，大多数企业的电子商务尚 处在信息发布、收集、交流的阶段，从事网上采购和网上销售的企业较少，定单 与合同的正式签订、支付及配送等活动基本上还在网下进行。网络安全问题日益 突出，电脑黑客及其所制造的病毒的恶意袭击，造成系统瘫痪、数据丢失，虽然 瑞星等厂商及时推出了防火墙、杀毒等软件，但仍使网络用户防不胜防。为了保 证安全，中国企业当前最直接的做法是将自己的局域网和互联网断开，但这种做 法无疑是以降低工作效率为代价的。 其四，相关人才在我国企业中紧缺。特别在非i t 行业，i t 技术和管理信息人 才几乎是片空白，这显然也阻碍了企业电子商务的发展进程。 实际上，许多问题在政府的重视和协调下都将得到有效解决，企业电子商务 事关重大，稍有不慎，就可能引致金融市场的纠纷和秩序混乱。但企业电子商务 终归是时代发展的一种趋势，它的发展前景还是值得肯定的。 首先，企业电子商务的应用环境将不断改善。 加入世界贸易组织，我国电子商务逐步呈现出快速增长的势头。为参与国际 市场竞争，我国企业必然将在信息化建设上迈出新的步伐，电子商务作为能提高 运营效率的网络活动将得到极大的应用。况且，随着越来越多的企业加入电子商 务行列，规模效应也将产生。 其次，随着技术的不断进步，运营电子商务的相应金融及网络基础设施将日 1 6 渐完善，阿络安全等制约企业电子商务发展的瓶颈将得到有效解决。2 0 0 5 年4 月 1 日将施行的电子签名法被誉为我国第一部真正意义上的信息化法律，无疑 是对电子商务发展的一项有力的促进。 第三，i t 人才问题已受到社会的重视，国家和教育机构正加大对r r 人才的培 养力度，各行各业将完全有条件配备一定数量的i t 技术和管理信息人才，人才瓶 颈可望很快得以突破。此外，一些i t 企业已经看到了企业电子商务的商机，纷纷 推出相关解决方案。其中包含将企业的业务移植到互联网上所需的所有硬件及软 件。总丽言之，我国企业电子商务亟待发展，并且正面临着一个极好的发展时机。 2 2 企业开展电子商务主要安全风险 电子信息安全风险问题是互联网络不可回避的难题，对于日渐火热的电子商 务活动，阻碍其发展的关键问题还是安全问题。因为电子商务是一种网络应用， 它的所有内容都是以数字的形式流转于i n t e r n e t 之上，因此，在电子商务应用中不 可避免地存在着由i n t e m e t 的自由、开放所带来的安全隐患。自1 9 8 6 年初，世界 上爆发了第一例计算机病毒- “巴基斯坦”兄弟病毒以来，随着互联网的发展和普 及，i n t e r n e t 上横行的黑客、肆虐的病毒使用户感觉到目前的电子商务环境缺乏安 全，目前网络病毒、网络攻击和网络犯罪迅速达到空前猖獗的程度，今天的病毒 已能在十几分钟内迅速传遍全球，能在瞬间扰乱全球经济。 e r i cm a i w a l d 认为网络安全风险主要包括两个要素：脆弱性和威胁。这种分 析从根源上对网络安全风险进行了概括。 企业电子商务的主要内容是网络的安全，目前企业的电子商务网络安全风险 主要基于四个要素：信息资产、脆弱性、威胁、安全策略。 1 信息资产及其价值大小与风险的严重性成正比，资产越多，价值越大，风 险越大。 2 脆弱性主要由技术难度和级别来表达，包括计算机系统的安全性、物理地 点的安全性、人员的安全问题和传输中的信息的安全性。 3 威胁的主要事件类型包括： 滥用对信息、系统或站点的合法访问： 恶意或意外修改信息； 对信息、系统的非法访问； 恶意或意外毁坏信息、系统或站点： 对系统或站点进行恶意或意外的物理干扰； 山东大学硬士学位论文 可能对系统或操作进行干扰和破坏的自然事件： 恶意或意外向系统中引入破坏软件； 干扰或有意窃听内部或外部通信： 盗窃网络硬件 4 安全策略的制定、实行情况和控制对风险起着决定性的作用。在安全防御 策略中，人、技术和操作是三个主要核心因素，要保障网络信息系统安全，必须 提供防范针对网络入侵与攻击的能力，并通过系统恢复来有效地应对攻击。提供 支撑性的安全基础设施和安全管理手段。 公安部公布豹2 0 0 4 年( 2 0 0 3 年5 月至2 0 0 4 年5 月) 全国信息网络安全状况调 查结果显示，在被调查的7 0 7 2 家政府、金融证券、教育科研、电信、广电、能源 交通、国防和商贸企业等部门和行业的重要信息网络、信息系统使用单位中，发 生网络安全事件的比例为5 8 。 我国电子商务中在技术和管理方面的问题存在一定的安全隐患因素。 1 网络安全在全球还没有形成一个完整体系。 虽然有关电子商务安全的产品数量不少，但真正通过认证的却相当少。近两 年，有很多有关电子商务安全的产品申请认证，但最后通过的并不多，这主要是 因为其中不少安全措掩是从网上直接宕下来的：另外，不少搞电子商务安全技术 的厂商对网络技术很熟悉，但是对安全技术普遍了解得偏少，因而他们很难开发 出真正实用的、安全性的产品来。 2 安全技术的强度普遍不够 国外有关电子商务的安全技术，虽然整体来看其结构或加密技术都不错，但 这种算法( 无论是对称的还是非对称的) 受到了外国密码政策的限制，因此强度 普遍不够。 3 安全管理存在很大隐患 普遍难以抵御黑客的攻击。这个问题应当引起高度重视，国内电子商务网站 被攻击的事件报道得较少并不表示我们的网站就牢不可破，这是因为我们的网站 本身规模小，对于黑客来说没有多少可攻的价值。 4 电子商务没有真正深入商务领域而仅仅局限于信息领域。以上这些因素的 存在必将影响我国电子商务进一步的发展。 随着我国信息化建设的不断深入，信息化已经成为企业发展的重要推动力量。 企业是电子商务的主要发起者和使用者，如果一个企业不能保证信息在采集、存 储、传输和认证等方面的安全，就不可能获得信息化的效率和效益。网络的安全 管理漏洞，将会给企业带来不可估量的严重后果和巨大的经济损失。据信息安全 厂商赛门铁克公司于2 0 0 4 年9 月2 1 日公布的2 0 0 4 年上半年网络安全威胁报告指 出，黑客最常攻击的产业是电子商务，比去年下半年增加4 0 0 。网络安全成为电 子商务发展的瓶颈，它是一个综合性问题，涉及到技术、产品和管理等。企业必 须要树立正确的网绍安全理念，将电子商务网络安全管理问题提高到战略的高度 来认识和部署，使得不可预期的网络安全危机转变为可预防、可控制，并且有补 救方案的安全防护，从而大大降低电子商务安全的风险。应当加快网络安全基础 设施建设，建立健全网络安全基础设施。如网络监管中心