淺議電子商務網絡信息安全的應對措施
何敏
隨著電子商務的迅速發展,其“瓶頸”問題如網絡信息安全也日趨顯示出來。然而,由于網絡技術本身的缺陷,使得網絡社會的脆弱性大大增加,一旦計算機網絡受到攻擊不能正常運行時,整個社會就會陷入危機。那么,對于“瓶頸”問題應如何應對?
一、電子商務中的信息安全技術
電子商務的信息安全在很大程度上取決于技術的完善,這些技術包括訪問控制、防火墻技術、身份認證與權限管理、入侵檢測、防病毒等等。
1.防火墻技術。防火墻是最重要的安全技術,它的主要功能是加強網絡之間的訪問控制,是一個安全策略的檢查站,對網絡攻擊進行檢測和警告。
2.加密技術。它的主要任務是研究計算機系統和通信網絡內信息的保護方法,以實現系統內信息的安全、保密、真實和完整。
3.數字簽名技術。數字簽名技術是將摘要用發送者的私鑰加密,與原文一起傳送給接收者。在電子商務安全保密系統中,數字簽名技術有著特別重要的地位,在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中都要用到數字簽名技術。
4.數字時間戳技術。在電子商務交易的文件中,時間是十分重要的信息,是證明文件有效性的主要內容。
二、電子商務網絡信息安全的應對措施
網絡信息安全關系到我們每個人的切身利益,研發出真正安全可靠的網絡信息安全產品對保障國家的信息安全、金融安全甚至國家安全都具有十分重要的意義。有人說“三分技術,七分管理”反映了網絡信息安全技術的兩個方面:一是技術問題,二是管理問題。那么,未來網絡信息安全就應從政府、網絡軟件企業、核心用戶、資本、技術、人才等各個方面入手。
1.提高對網絡信息安全重要性的認識。信息技術的發展,使網絡逐漸滲透到社會的各個領域,在未來的軍事和經濟競爭與對抗中,因網絡的崩潰而促成全部或局部的失敗,絕非不可能。我們在思想上要把信息資源共享與信息安全防護有機統一起來,樹立維護信息安全就是保生存、促發展的觀念。
2.加強網絡安全管理。我國網絡安全管理除現有的部門分工外,要建立一個具有高度權威的信息安全領導機構。對于計算機網絡使用單位,要嚴格執行《中華人民共和國計算機信息系統安全保護條例》與《計算機信息網絡安全保護管理辦法》,建立本單位、本部門、本系統的組織領導管理機構,明確領導及工作人員責任,制定管理崗位責任制及有關措施,嚴格內部安全管理機制。 3.加快網絡安全專業人才的培養。我國需要大批信息安全人才來適應新的網絡安全保護形勢。高素質的人才只有在高水平的研究教育環境中才能迅速成長,只有在高素質的隊伍保障中才能不斷提高。應該加大對有良好基礎的科研教育基地的支持和投入,多出人才,多出成果。在人才培養中,要注重加強與國外的經驗技術交流,及時掌握國際上最先進的安全防范手段和技術措施,確保在較高層次上處于主動。要加強對內部人員的網絡安全培訓,防止堡壘從內部攻破。
4.開展網絡安全立法和執法。一是要加快立法進程,健全法律體系;二是要執法必嚴,違法必糾。要建立有利于信息安全案件訴訟與公、檢、法機關辦案的制度,提高執法的效率和質量。
5.把好網絡建設立項關。我國網絡建設立項時的安全評估工作沒有得到應有的重視,這為網絡安全問題埋下了伏筆。在對網絡的開放性、適應性、成熟性、先進性、靈活性、易操作性、可擴充性綜合把關的同時,在立項時更應注重對網絡可靠性、安全性的評估,力爭將安全隱患杜絕于立項、決策階段。
6.抓緊網絡安全基礎設施建設。一個網絡信息系統,只要其芯片、中央處理器等計算機的核心部件以及所使用的軟件是別人設計生產的,就沒有安全可言,這正是我國網絡信息安全致命的弱點。
7.建立網絡風險防范機制。在網絡建設與經營中,因為安全技術滯后、道德規范蒼白、法律疲軟等原因,往往會使網絡經營陷于困境,這就必須建立網絡風險防范機制。
8.強化網絡技術創新。如果在基礎硬件、芯片方面不能自主,將嚴重影響我們對信息安全的監控。為了建立起我國自主的信息安全技術體系,利用好國內外兩個資源,需要以我為主,統一組織進行信息安全關鍵技術攻關,以創新的思想,超越固有的約束,構筑具有中國特色的信息安全體系。特別要重點研究關鍵芯片與內核編程技術和安全基礎理論。
9.注重網絡建設的規范化。沒有統一的技術規范,局部性的網絡就不能互連、互通、互動,沒有技術規范也難以形成網絡安全產業規模。
10.促進網絡安全產業的發展。扶持具有中國特色的信息安全產業的發展是振興民族信息產業的一個切入點,也是維護網絡安全的必要對策。
11.建設網絡安全研究基地。應該把我國現有的從事信息安全研究、應用的人才很好地組織起來,為他們創造更優良的工作學習環境,調動他們在信息安全創新中的積極性。
12.政府部門、網絡軟件企業、核心用戶與技術相結合。長期以來,網絡信息安全技術發達的歐美國家在網絡信息安全技術及產品的出口上一直設置種種障礙,因此,在中國銷售的產品及其安全級別相當低,根本不能真正保證安全。核心用戶積極投入到網絡信息安全體系當中,可以決定整個網絡安全市場的容量和發展的方向。
