[摘要] 近年來企業(yè)商務(wù)網(wǎng)站發(fā)展迅速，而網(wǎng)站本身的信息安全已經(jīng)成為一個(gè)普遍的、急需解決的問題。文章構(gòu)建了信息安全三維模型，分析了企業(yè)商務(wù)網(wǎng)站安全的現(xiàn)狀，從三維角度提出加強(qiáng)企業(yè)商務(wù)網(wǎng)站安全管理的對(duì)策。

[關(guān)鍵詞] 網(wǎng)站 信息 安全管理

一、企業(yè)商務(wù)網(wǎng)站建設(shè)的總體情況

電子商務(wù)網(wǎng)站是企業(yè)開展電子商務(wù)的基礎(chǔ)設(shè)施和信息平臺(tái)，是實(shí)施電子商務(wù)的公司與服務(wù)對(duì)象之間的交互界面，是電子商務(wù)運(yùn)轉(zhuǎn)的承擔(dān)者和表現(xiàn)者。一些信息化水平高、經(jīng)濟(jì)實(shí)力雄厚、技術(shù)力量強(qiáng)的企業(yè)，往往采取自建網(wǎng)站的方式，即企業(yè)自己購置硬件設(shè)備并構(gòu)架服務(wù)器平臺(tái)，自行開發(fā)網(wǎng)站系統(tǒng)，自行對(duì)網(wǎng)站進(jìn)行控制和管理。與主機(jī)托管、租用虛擬主機(jī)等網(wǎng)站構(gòu)建方式相比，這種方式完全自主研發(fā)，易于采用新技術(shù)，便于擴(kuò)充、升級(jí)，同時(shí)企業(yè)內(nèi)部管理數(shù)據(jù)和商務(wù)網(wǎng)站信息高度整合，能提升企業(yè)的形象和效益。電子商務(wù)網(wǎng)站不容忽視的是隨之帶來的網(wǎng)絡(luò)信息安全問題，比如：信息污染、病毒泛濫、黑客入侵等等。對(duì)于企業(yè)自主建設(shè)的網(wǎng)站而言，其安全性完全由企業(yè)自行控制，風(fēng)險(xiǎn)更大，要求更高。如何加強(qiáng)企業(yè)商務(wù)網(wǎng)站的安全管理，已成為當(dāng)務(wù)之急，本文試圖對(duì)此做些探討。

二、信息安全三維模型概述

1．信息安全的安全層次結(jié)構(gòu)（層次維L）。從信息安全的作用層面來看，信息安全可以分為物理安全、系統(tǒng)安全、數(shù)據(jù)安全和信息內(nèi)容安全四層。(1)物理安全：主要體現(xiàn)在通信線路的可靠性、防災(zāi)害能力、防干擾能力、設(shè)備的運(yùn)行環(huán)境(溫度、濕度、煙塵)、不間斷電源保障等等。(2)系統(tǒng)安全：指的是計(jì)算機(jī)與網(wǎng)絡(luò)設(shè)備運(yùn)行過程中的穩(wěn)定性運(yùn)行狀態(tài)，因而又可稱之為“運(yùn)行安全”，包括操作系統(tǒng)的安全、網(wǎng)絡(luò)方面的安全。(3)數(shù)據(jù)安全：是指對(duì)信息在數(shù)據(jù)處理、存儲(chǔ)、檢索、傳輸、顯示等過程中的保護(hù)，不被非法冒充、竊取、篡改、抵賴。(4)信息內(nèi)容安全：是指對(duì)信息在網(wǎng)絡(luò)內(nèi)流動(dòng)中的選擇性阻斷，以保證信息流動(dòng)的可控能力。在此，被阻斷的對(duì)象主要是各種不良的、有害的信息。

2.PPDRR模型（時(shí)間維T）。PPDRR模型是典型的、動(dòng)態(tài)的、自適應(yīng)的安全模型，包括策略（Policy）、防護(hù)（Protection）、檢測(cè)（Detection）、響應(yīng)（Response）和恢復(fù)（Recovery）5個(gè)主要部分。

信息安全策略是一個(gè)組織解決信息安全問題最重要的步驟，也是這個(gè)組織整個(gè)信息安全體系的基礎(chǔ)，反映出這個(gè)組織對(duì)現(xiàn)實(shí)安全威脅和未來安全風(fēng)險(xiǎn)的預(yù)期，反映出組織內(nèi)部業(yè)務(wù)人員和技術(shù)人員安全風(fēng)險(xiǎn)的認(rèn)識(shí)與應(yīng)對(duì)。防護(hù)是安全的第一步；但采取豐富的安全防護(hù)措施并不意味著安全性就得到了可靠保障，因此要采取有效的手段對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)檢測(cè)，使安全防護(hù)從單純的被動(dòng)防護(hù)演進(jìn)到積極的主動(dòng)防御；響應(yīng)指在遭遇攻擊和緊急事件時(shí)及時(shí)采取措施；恢復(fù)指系統(tǒng)受到安全危害與損失后，能迅速恢復(fù)系統(tǒng)功能和數(shù)據(jù)。這個(gè)模型中，防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)在安全策略的指導(dǎo)下構(gòu)成一個(gè)完整的、動(dòng)態(tài)的安全循環(huán)，是基于時(shí)間關(guān)系的。

3.三大保障（保障維S）。信息安全保障體系由人員保障、管理制度保障、技術(shù)手段保障三個(gè)要素組成。安全領(lǐng)導(dǎo)小組、安全工作小組和安全工作執(zhí)行人員分別從決策、監(jiān)督和具體執(zhí)行三個(gè)層面為網(wǎng)絡(luò)信息安全工作提供了完整的人員保障， 良好的網(wǎng)絡(luò)信息安全保障離不開規(guī)范嚴(yán)謹(jǐn)?shù)墓芾碇贫?，同時(shí)還需要使用一系列先進(jìn)的技術(shù)工具和手段。

4.信息安全三維模型。上述分別從作用層次L、時(shí)間關(guān)系T及保障體系S這三個(gè)層面構(gòu)成了信息安全的三維模型，這三維是相互關(guān)聯(lián)、互相作用、不可分割的。如果將商務(wù)網(wǎng)站信息安全的各項(xiàng)措施明確在這個(gè)三維模型中的位置，就能夠做到有的放矢，增強(qiáng)針對(duì)性和邏輯性。

三、基于三維模型的企業(yè)商務(wù)網(wǎng)站信息安全對(duì)策

1.物理層。從防護(hù)角度看，企業(yè)自建商務(wù)網(wǎng)站所在機(jī)房應(yīng)具備較好的物理環(huán)境，包括UPS、空凋、消防系統(tǒng)等，使設(shè)備免受安全威脅和環(huán)境危險(xiǎn)，如偷竊、火災(zāi)、水（或供水故障）、電磁輻射等。從恢復(fù)角度看，網(wǎng)站平臺(tái)要有容災(zāi)、冗余備份等措施。在人員方面的措施包括：機(jī)房配備管理人員（除了進(jìn)行崗位操作和技能培訓(xùn)外，還要進(jìn)行職業(yè)道德、法律規(guī)范的培訓(xùn)）；在管理制度方面的措施包括：機(jī)房管理制度（電源管理、環(huán)境管理等）、設(shè)備常規(guī)管理制度；在技術(shù)手段方面包括用于防護(hù)的視頻監(jiān)控、門禁系統(tǒng)、抗擾處理等技術(shù)和用于恢復(fù)的容錯(cuò)、容災(zāi)、冗余備份等技術(shù)。

2.系統(tǒng)層。隨著網(wǎng)絡(luò)環(huán)境越來越復(fù)雜，計(jì)算機(jī)病毒及黑客攻擊手段越來越智能，影響范圍越來越廣、破壞力也越來越大。商業(yè)網(wǎng)站服務(wù)器的操作系統(tǒng)、WEB服務(wù)器系統(tǒng)如果存在較大安全漏洞，就會(huì)被黑客利用，造成整個(gè)網(wǎng)站的癱瘓。我們的應(yīng)對(duì)措施涵蓋了防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)。這里技術(shù)手段起到了非常重要的作用，當(dāng)然人員保障和管理制度也是必不可少的。

重要的技術(shù)手段包括：(1)訪問控制：訪問控制是網(wǎng)站安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)站資源不被非法使用和訪問。它是保證網(wǎng)站安全最重要的核心策略之一。通常的訪問控制包括通過Ip地址來控制、通過用戶名來控制和采用共用密鑰加密的方法來控制。(2)病毒防護(hù)：需要建立完整的病毒防護(hù)體系，對(duì)應(yīng)用服務(wù)器、企業(yè)網(wǎng)內(nèi)部所有的客戶機(jī)進(jìn)行全面的防毒掃描，保證建立及時(shí)、快速的病毒響應(yīng)機(jī)制，發(fā)現(xiàn)病毒即時(shí)進(jìn)行處理，迅速抑制病毒傳播。(3)操作系統(tǒng)要及時(shí)打上補(bǔ)丁程序，并進(jìn)行完善的安全配置。(4)系統(tǒng)容錯(cuò)、容災(zāi)、冗余備份等技術(shù)，使網(wǎng)站一旦發(fā)生問題能夠及時(shí)恢復(fù)。

人員保障方面要配備技術(shù)拔尖的人才專門從事網(wǎng)站安全管理工作，負(fù)責(zé)操作系統(tǒng)、web服務(wù)器的安全配置。同時(shí)，還有有以下管理制度作保障：(1)計(jì)算機(jī)病毒預(yù)報(bào)制度和安全漏洞預(yù)報(bào)制度；(2)操作人員權(quán)限管理規(guī)定；(3)病毒、安全應(yīng)急響應(yīng)及處置預(yù)案；(4)安全日志管理制度。

3.數(shù)據(jù)層。商務(wù)網(wǎng)站的數(shù)據(jù)層安全是最為重要的，主要是保障數(shù)據(jù)的機(jī)密性、真實(shí)性、完整性。要能夠查證用戶的真實(shí)身份，交易中的商務(wù)信息均有保密的要求。如信用卡的賬號(hào)和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對(duì)手獲悉，就可能喪失商機(jī)。另外要保證交易的全過程能夠被記錄并作為審計(jì)依據(jù)。

數(shù)據(jù)層的主要管理制度包括:(1)網(wǎng)站賬號(hào)管理規(guī)定。該規(guī)定應(yīng)包括注冊(cè)賬戶的資料提供、密碼規(guī)定、行為規(guī)范、操作系統(tǒng)及服務(wù)器的賬號(hào)管理等多個(gè)方面。這個(gè)規(guī)定用于數(shù)據(jù)層安全問題的防護(hù)。(2)關(guān)于網(wǎng)站突發(fā)事件和急處置工作預(yù)案。此預(yù)案旨在及時(shí)果斷處理網(wǎng)上突發(fā)事件，內(nèi)容可包括組織領(lǐng)導(dǎo)、工作網(wǎng)絡(luò)、宣傳教育、管理控制、案件查處等方面。這個(gè)規(guī)定用于數(shù)據(jù)層安全問題的響應(yīng)和恢復(fù)。(3)安全日志管理制度，這個(gè)規(guī)定用于數(shù)據(jù)層安全問題的檢測(cè)。

數(shù)據(jù)層的重要技術(shù)手段包括：(3)數(shù)據(jù)加密，即以加密格式存儲(chǔ)和傳輸敏感數(shù)據(jù)。(2)身份認(rèn)證：主要是利用用戶有關(guān)信息對(duì)用戶的身份進(jìn)行確認(rèn)，包括密碼、數(shù)字簽名、數(shù)字證書等方面來避免信息的非法獲取。(3)采用具有一定安全級(jí)別的SYBASE或ORACLE大型分布式數(shù)據(jù)庫，在此基礎(chǔ)上開發(fā)一些安全措施，增加相應(yīng)控件，對(duì)數(shù)據(jù)庫分級(jí)管理并提供可靠的故障恢復(fù)機(jī)制。

4.信息內(nèi)容層。商務(wù)網(wǎng)站會(huì)有留言板或論壇，便于與客戶交流并提供服務(wù)。但一些有害信息如垃圾信息、虛假信息、黃色淫穢信息等就有可能在網(wǎng)上出現(xiàn)。有些客戶會(huì)隨意發(fā)表一些帶有個(gè)人偏見的不良信息，造成不良影響。我們的目的是保證各種不良的有害信息不在網(wǎng)站內(nèi)出現(xiàn)、傳播。

信息內(nèi)容層主要有以下管理制度:(1)信息發(fā)布審查制度。(2)BBS及留言版的監(jiān)控與管理。這兩點(diǎn)必須有專人負(fù)責(zé)。

信息內(nèi)容層的技術(shù)手段主要是信息內(nèi)容過濾，包括URL或IP限制、文字?jǐn)r截、圖像審查、屏幕監(jiān)視等等。文字?jǐn)r截功能可以按關(guān)鍵字?jǐn)r截本機(jī)通過網(wǎng)絡(luò)傳輸?shù)男畔?，不僅是流入的信息， 而且可以是從本地流出的信息，這樣可以防止一些本機(jī)的機(jī)密信息或者其它不良信息的外泄。

四、結(jié)束語

在信息安全方面，漏洞無非三種類型，即:技術(shù)上的漏洞，管理上的漏洞和人的思想認(rèn)識(shí)上的漏洞。加強(qiáng)領(lǐng)導(dǎo)是做好此項(xiàng)工作的關(guān)鍵，企業(yè)可以成立專門的商務(wù)網(wǎng)站信息安全領(lǐng)導(dǎo)小組，由有關(guān)領(lǐng)導(dǎo)和有關(guān)職能部門（如保衛(wèi)處、信息中心等）的負(fù)責(zé)人組成。另外，要建立一支網(wǎng)絡(luò)安全管理隊(duì)伍，除企業(yè)信息中心人員要求技術(shù)過硬、思想素質(zhì)高外，部門要指定一名思想政治覺悟高、工作責(zé)任心強(qiáng)、懂電腦的人員擔(dān)任網(wǎng)站信息安全協(xié)助管理員。除了高超的技術(shù)， 嚴(yán)密的規(guī)章制度，還要從領(lǐng)導(dǎo)干部、技術(shù)人員、一般用戶三個(gè)層面加強(qiáng)宣傳教育和安全培訓(xùn)工作。

參考文獻(xiàn):

[1]顧國飛等:全方位的網(wǎng)絡(luò)信息監(jiān)控體系[J]. 計(jì)算機(jī)工程與應(yīng)用，2003，(10)

[2]王娜方濱興等:“5432戰(zhàn)略”:國家信息安全保障體系框架研究[J].通信學(xué)報(bào)，2004年07期

[3]龐南:信息安全管理教程[M].中國人民公安大學(xué)出版社，2007

[4]高怡新:電子商務(wù)網(wǎng)站建設(shè)[M].人民郵電出版社，2005年1月