基于敏感数据流的电子商务安全体系研究(3)
2014-08-11 01:07
导读:④对重要的数据、软件和计算机有备份措施。针对自然灾难、物理损坏、设备故障等要有容灾技术措施和快速恢复方案,如使用RAID技术、远程磁盘镜像技
④对重要的数据、软件和计算机有备份措施。针对自然灾难、物理损坏、设备故障等要有容灾技术措施和快速恢复方案,如使用RAID技术、远程磁盘镜像技术或数据库复制技术等。
⑤环境、设备设施应符合相应的技术规范。
(2)加强性工作
①对敏感数据要进行加密存储和传送,以确保其安全。
②加强重要计算机用户权限和数据存取权限及方式的治理,如采用分级访问控制技术,即通过PKI的认证安全服务,对客户端用户提供的X.509证书进行正当性、有效期的验证,再根据用户证书中的信息得到该用户的访问权限,从而决定是否答应该用户对某目录或文件的访问。通过它可以有效地维护系统的保密性、完整性和可用性。还应使用安全性高的文件系统,设置高强度的口令,并加强口令治理。
③加强日志治理,防止日志被非法修改或清除,加强安全审计和安全跟踪措施。
④加强网络监控,对网络异常流量变化也要加以监控和分析。
⑤配备相应的进侵检测系统并制定相应的对策。进侵检测系统的一个特征是具有基于规则的参考引擎,因此,需要在第一时间更新模式数据库。
(3)可选工作
①采用web页面原始性鉴别技术。即对原始页面文件通过Hash算法天生数据摘要,再对数据摘要用私钥进行加密。当Internet用户每次访问页面时,对页面再天生数据摘要,与解密的原数据摘要进行比对,从而避免被进侵黑客修改的页面传给Internet用户的可能。
②加强共享的治理,以避免SMB攻击。
③加强各类程序运行的治理,以避免缓冲区溢出等攻击。
④加强环境干扰的技术防范措施,如对电磁辐射的防护等。
⑤加强重要计算机操纵系统的安全性设置,如采取屏保、痕迹销毁和操纵失误检测及报警等技术。
以上这些技术方面的措施应该尽量实施,但实施的程度要视自身情况区别对待。我们知道,这些电子商务的安全措施是有本钱的。安全度越高,相应的投进和效率等方面的代价就越大。因此,必须在可接受的安全和本钱之间寻求相对平衡。从治理方面来讲,也是如此。
(二)治理方面。治理在电子商务安全体系中的地位并不次于技术方面,甚至由于较轻易出题目而显得更为重要。治理可以分为对企业的治理和对社会的治理。也就是说,一方面,企业必须就电子商务安全治理制定全面系统的
规章制度,这是主要方面。另一方面,国家也应就此制定和完善相应的法律法规。
1 企业方面
(1)总体上必须参照相关国际安全治理标准来建立企业的信息安全治理体系,即明确包括信息安全治理的任务、目标、对象、原则、程序和方法在内的治理策略,然后可以遵循治理的一般循环模式,即PDCA模式开展治理活动。
(2)在物理安全方面,应通过安装门禁系统、监控系统等,加强对计算机系统、网络设备、通讯线路等关键设备及信息的安全防范措施。
(3)在职员安全方面,应通过职员审查、
培训和权限治理,加强业务职员和专业职员的安全意识和安全能力,并明确安全责任。建立有领导层参加的安全治理论坛,建立提出信息安全建议的渠道,保持与业界的紧密联系。
(4)电子商务的安全既是相对的,也是发展的,没有一劳永逸的安全,要有电子商务的风险意识。为此,必须进行电子商务安全评估。可以参照国际上常用的安全成熟度模型,对计划、布局和配置、运行过程进行评估。通过评估不仅可以了解本企业电子商务的安全状况,而且更重要的是可以发现一些隐含的安全题目,通过改进来进步安全程度。
(科教作文网http://zw.ΝsΕAc.Com编辑整理)
2 社会方面
(1)电子商务安全法制建设。国际上针对电子商务安全的立法是从1993年开始的,我国从1994年开始也颁布了很多关于电子交易方面的法律法规,但是,对电子商务运作环境和行为实质性的规范还未几,对电子商务违法行为的认定尚处于摸索阶段。对我国来说,还有必要进一步加快针对电子商务安全的法律建设。要制定相关的电子支付制度、电子商务公约,以保障电子商务的顺利进行。针对电子商务全球化特征,应加强国际合作,使我国的政策、制度逐步国际化、规范化。在刑事上也要加强针对侵犯电子商务安全犯罪行为的制度建设,以有效震慑犯罪分子。同时,由于电子商务纠纷量大、跨地域,应加强建立健全电子商务中的非诉讼争端解决机制,争取更多的以仲裁、调解和专家认定等方式来解决纠纷题目。
