河南工程学院 陈俊豪

浅析中小企业电子商务中的信息安全问题

河南工程学院 陈俊豪

随着我国经济和网络技术的发展，电子商务已成为一种新兴市场，这无疑对我国中小企业的创立和发展具有着重大意义。但是，电子商务是一个虚拟的市场，买卖双方以网络为载体进行交流，商品和货币也是通过虚拟的网络进行交易的。因此，在电子商务市场中信息的安全问题是重中之重，所以，本文具体分析了电子商务信息安全问题，主要论述了电子商务信息安全的内涵、信息安全的几种权威理论及其对我国中小企业信息安全的启示，希望对我国中小企业电子商务信息安全的发展具有一定借鉴意义。

电子商务 信息 安全 技术

随着信息技术和网络工程的发展，电子商务逐步走进了我们的视野，电子商务在企业营销中逐步得到了普遍应用，并且企业对于电子商务的依赖性越来越大。但是，电子商务是一个虚拟的市场，其中的买方和卖方以网络为载体进行交流和交易，货币的结算也是通过虚拟的网络来完成的。因此，在电子商务市场中信息的安全问题是重中之重，所以，笔者在此具体分析电子商务信息安全问题。

1 电子商务信息安全的内涵

电子商务对于买方来讲存在着快捷、简单和物美价廉的优点，对于卖方存在着成本低和管理方便等优点，而电子商务最大的缺点就是买方和卖方之间不是传统上的面对面的交流，直接面对货品和货币的交换，而是二者都是通过虚拟的网络进行交易，交易之所以能够成立或者说成功，其本质的原因就是二者之间具有一种诚信。这种诚信应该包括两个方面的具体内容：第一是买方和卖方进行交流时的信息真实，不存在欺骗。第二就是在买卖过程中存在着一种系统软件的安全保障，能够将虚拟的电子货币符号转换成真实的货币，同时保护交易的安全，这种安全主要是指货币账户的安全。在这一部分，本文将具体介绍网络安全中的信息安全，介绍如何在电子商务交易的过程中保护买卖双方的信息安全，这种信息包括买卖双方的个人基本信息、账户信息和交易信息等等。

讨论信息安全首先应该明确信息的基本内涵。信息指的是以多种形式存在的数据、资料和知识等等，在电子商务中这些信息主要指的是关于买卖双方的信息资料，犯罪分子可以通过非法获得这些信息对电子商务中的双方进行诈骗，或者对其账户进行盗窃和网络入侵。在2003年，颁布了国际上公认的信息安全管理标准，这个标准对信息作了权威的定义，即信息是一种资产，它和其他资产一样，对组织是有着重大意义和价值的，应该得到法律的保护。通过分析可知信息安全对于组织和个人来讲至关重要。这个标准将信息进行了分类，认为信息包括八个组成部分，分别是文字资产、数据资产、文档资产、软件资产、物理资产、人力资源资产和服务资产。

前面具体介绍了信息的内涵，那么信息安全的内涵是什么呢？信息安全是一个动态过程，是一个系统，信息安全的维护方方面面都要考虑到，如果一个方面出现了纰漏，就容易造成信息的泄露，从而前功尽弃。众所周知，电子商务是以计算机和网络技术为载体，通过数据传输实现信息化的网络交流，而交流的内容就是网上交易。因此，这种网上交易的安全问题就成为了信息安全领域研究的焦点。目前，对于电子商务信息系统安全问题的研究往往大都集中在技术层面，而对于中小企业来讲，除了技术层面需要改进技术设备之外，在管理层面上也应该加以重视，尽量避免电子商务过程中信息安全问题的发生。

2 电子商务信息安全的几种理论

对于电子商务信息安全的研究，我国在国际上处落后的位置。国际上主要流行三种信息安全理论，分别是信息循环理论、信息安全模型理论和三观理论，具体论述如下：

第一，电子信息的循环理论。电子信息的循环理论也称之为电子信息的PDCA理论，它将网络信息安全的实施过程分为了四个主要部分：第一部分是P，指的是计划；第二部分是D，指的是执行；第三部分是C，指的是检查；第四部分是A，指的是进行改进。这四个过程是一个周期和循环，在这个循环中，把整个过程作为一个安全管理体系，而不是对某一个单独的过程进行管理。

第二，信息安全模型理论。信息安全模型理论又称之为WPDRR理论，这五个字母分别代表着预警、保护、检测、响应和恢复，是信息安全管理发展到一定阶段的产物。这个安全系统理论的重点是主张将信息系统、人、操作和软件有机地结合起来，对网络的信息系统给予全方位的保护。这个理论提倡一种创新的安全理念，提出对于系统信息安全不能单独依靠静态的软件和程序来保护，而要进行动态的保护。同时，提出网络安全的保护不能够单独依赖于技术因素，同时也要依赖于企业的管理去不断地更新安全理念和系统。

第三，三观安全理论。三观安全理论将企业的电子商务安全系统分为三个层面的内容，分别是宏观、中观和微观。在宏观层面上，企业的高层要进行决策，为系统安全提供有力的决策保证，同时进行适当的风险管理。在中观层面上，主要是企业产品的安全和安全地进行生产，保证提供的产品信息和产品的实际相一致。微观层面指的是具体到了产品和服务上，为消费者提供安全的产品和服务。这个理论告诉人们如何从宏观上的安全思想转化为微观的管理思想，从而对生产和服务具有一定的指导作用。

3 电子商务信息安全理论对我国中小企业加强信息安全的几点启示

国际上的三个信息安全理论对我国中小企业的信息安全管理具有重大的启示作用，本文认为可以总结为两个方面：首先是构建信息安全区域，其次是加强中小型企业信息安全组织的构建。

第一方面，构建信息安全区域。前面理论的论述对我国中小企业电子商务信息安全管理具有重大的现实意义，本文认为我国企业应该建立一个信息安全区域。信息安全区域这个理念是由美国的信息安全研究所提出的。信息安全区域指的是，对不同的信息都按照不同的保密级别设置不同的保密程度，并按照用户使用级别的要求安装网络控件，来调取适合用户级别的安全信息。对于中小企业来讲，企业应该具有专门的部门对电子商务中业务往来的信息和资料进行系统的分类，然后进行分级的保密和加密，这些信息一般包括与电子商务相关的数据资产、文档和后台服务资料等等。通过对这些信息的整合、分类、归档和保密，可以促进企业信息调配的安全和快捷。本文认为构建信息安全区域具有以下几个优势：

(1)可以使中小型企业内部的信息分类明晰，便于查找，为以后的企业运营和决策提供数据支持。(2)可以使具有相同安全级别的信息资源放到同一个安全区域之中，并对同等安全级别的信息进行统一管理。(3)可以分出不同的安全区域，对不同安全区域采取不同的安全保护措施。(4)对于不同的安全区域来讲，可以根据数据的重点进行防护，使得用有限的安全资源能够起到很好的保护作用。

第二方面，加强中小企业的信息安全管理组织的构建。对于我国的中小企业来讲，仍然存在着电子商务信息不安全的现象，这与中小型企业内部安全管理部门工作不到位有关，安全工作缺乏统一的领导和管理，对于好多的小型电子商务企业来讲根本就没有专门的信息安全管理机构。本文认为，解决电子商务中的安全问题，中小企业必须有专门的机构和人员来管理和控制安全问题的产生。企业安全管理部门的职能应该包括以下几个方面的内容：

(1)负责企业内部有关安全问题的决策、计划、管理和控制。同时作为企业的一个应急机构，为了避免企业发生严重的信息泄露问题，信息安全部门要进行严格的信息管理。(2)与国家和地区各个信息安全部门和机构建立联系，为企业的信息安全提供新的理念和技术。(3)制定企业网络信息安全的各项措施与规则。(4)组织和协调各个部门的工作共同完成企业的安全战略和目标。(5)执行信息安全报告制度，定期向企业管理层报告信息安全保护管理情况，及时报告重大安全事件。积极争取领导层对信息安全的支持。领导层对信息安全的支持是信息安全管理的重要因素。(6)与人力资源部门协助工作，定期对关键岗位员工进行审查，如发现其违反信息安全规则，则进行重新审查，并控制使用。主导信息安全责任合同以及信息保密协议的制定。定期组织员工进行信息安全保密培训。

[1] 陈光匡,兴华.信息系统安全风险评估研究[J].网络安全技术与应用,2009,(7).

[2] 向宏,艾鹏等.电子政务系统安全域的划分与等级保护[J].重庆工学院学报,2009,(2).

[3] 田丽.网络环境下企业信息安全管理组织机构设计[J].东北财经大学学报,2010,(3).

[4] 李晓勇,刘毅.关于建立信息安全等级保护标准体系的思考[J].网络安全技术与应用,2009,(2).

[5] 李振汕.信息安全管理现状及策略研究[J].中国西部科技,2008,(8).

F724.6

A

1005-5800(2010)11(b)-142-02