电子商务信息安全管理体系架构

第26卷 第1期北京信息科技大学学报V o. l 26N o . 1

2011年2月Journa l o f Be iji ng Infor m ati on Sc ience and T echno l ogy U niversity F eb . 2011

文章编号:1674-6864(2011) 01-0021-05

电子商务信息安全管理体系架构

赵 刚, 王兴芬

(北京信息科技大学 信息管理学院, 北京100192)

摘 要:在综合分析电子商务信息安全的基础上, 从电子商务流程出发, 以管理与技术密切联系的方式, 利用信息系统中的信息安全管理体系, 结合我国信息系统安全等级保护体系, 提出电子商务信息安全管理体系三维架构, 并给出易于操作的系统实施方法, 以满足电子商务信息安全的实际需要, 对电子商务发展的瓶颈问题给出了一种有效的解决方案。

关 键 词:电子商务流程; 信息安全管理体系; 信息系统安全等级保护中图分类号:TP 309; F 724 文献标志码:A

Fra m e w ork of i nfor mation security

m anage m ent for electronic co mm erce

Z HAO Gang , WANG X i n g fen

(S chool of In f or m ation M anage m ent , Beiji ng In f or m ation S ci en ce and Technol ogy Un i vers i ty , Beiji ng 100192, Ch i na)

Abstract :Fro m the vie w po i n t o f techn i q ue and m anage m en, t so m e approaches to guarantee the E co mm erce i n f o r m ation security have been pr oposed . H o w ever , further research is necessary to m ake so m e m prove m ent on concern i n g tec hno l o gy fro m m anage m ent and syste i m ic aspec. t Based on the analyses a bout the E co mm erce i n for m ation security prob le m , a three di m ension fra m e w ork of E co mm erce infor m a

ti o n security m anage m ent syste m is proposed , i n cl u ding E co mm erce processes , i n fo r m ation security m an age m ent syste m and classified protection of infor m ati o n syste m security . The operation m et h od is also presented to sati s fy the need of E co mm erce i n for m ation security , wh ich is certa i n l y an effecti v e so lution to the develop m en t o f E co mm erce .

Key w ords :E co mm erce processes ; infor m ati o n security m anage m ent syste m ; classified pr o tection

of infor m ati o n syste m security

0引言

电子商务是应用现代信息技术在互联网上进行的商务活动, 主要包括电子信息服务、电子交易和电子支付等活动。电子商务的信息安全是影响电子商务成败的关键因素。电子商务中普遍存在信息截获、窃取、篡改、伪造、交易抵赖和系统中断等安全威胁。如何保证网上交易的可用性、机密性、完整性、可认证性和不可抵赖性等是电子商务可持续发展的关键

[1]

设施不完善, 电子商务的信息安全方面存在很大的漏洞。

1电子商务信息安全综合分析

电子商务面临6个方面安全问题:计算机网络系统; 交易信息传输过程; 安全支付; 信用; 企业内部管理; 安全法律保障。

我国电子商务安全领域存在以技术为主要安全防范措施的倾向, 忽视了管理的重要性, 导致先进的技术无法发挥应有的效能。少数研究者借鉴国内外信息安全管理相关体系和标准, 逐步在电子商务信息安全领域实施体系化管理。然而, 电子商务信息

。为此, 必须建立电子商务信息安全保障体

系, 从法律层面、组织管理层面和技术层面加以防范。由于我国电子商务起步较晚, 安全技术和基础

收稿日期:

2010 10 22(5028123600)

基金项目:北京市优秀人才项目(60534005); 北京市高校学术创新团队建设计划项目(PHR201106133); 2010年度科研水平提高项目作者简介:赵 刚(1965 ), 男, 辽宁沈阳人, 博士, 副教授, 主要从事物流与供应链管理、信息安全、人工智能等方面研究。

22

北京信息科技大学学报 第26卷

安全管理仍然缺少完整的信息安全策略, 没有形成标准的规范和安全管理体系。一些研究者从技术和管理的角度, 构建和实施安全电子商务系统, 其所强调的基本理论、方法和技术多数在网络管理、系统管理等技术层面上, 尚未上升到信息安全管理层面。目前我国初步建成了国家信息安全组织保障体系, 制定和引进了一批重要的信息安全管理标准。针对组织内的信息系统S i p onen 等

[2]

术, 结合我国信息系统安全等级保护制度, 提出了电子商务信息安全管理三维体系架构。

1) 在体系架构的第一维度上, 建立起面向电子商务流程的整体信息安全管理框架。整体信息安全管理维度由业务、技术和社会3个层面构成, 在各层面上强调安全活动对安全目标的反馈。维度由5个核心过程及2个支撑过程组成。5个核心过程包括业务建模、项目规划、安全分析和设计、实施、维护。2个支撑过程包括组织、人员、业务基础过程。

2) 基于 三分技术、七分管理 的思想, 利用信息安全管理体系, 结合电子商务安全技术架构, 建立起电子商务信息安全管理维度。本维度的重要性在于建立面向电子商务系统的信息安全管理体系, 以充分发挥先进技术的效能。

3) 信息系统安全等级保护制度。电子商务是国家信息化高速发展的新型经济活动的重要组成部分。G2B 、B2B 的电子商务运作模式均有政府和国家的重要企业参加, 支付环节有国家经济体系关键部门即银行业参加, 涉及国家的经济安全和社会稳定。因此, 我国实施电子商务安全管理有必要贯彻我国信息系统安全等级保护制度, 正确选择保护等级以实现适度的安全风险管理控制措施。

电子商务信息安全管理三维体系架构给出了全面、系统的电子商务信息安全管理体系, 架构空间所反映的都是电子商务某一流程需要的安全服务及其所对应的管理方法和技术手段以及信息安全风险等级和保护等级。在实际实施时, 依据信息安全风险评估结果, 确定风险等级, 选择风险控制措施。

提出了实用的

信息安全管理体系及其建立方法, 其中涉及部分电子商务服务安全及其控制方法。我国在电子商务信息安全管理体系研究方面处于起步阶段, 一些学者针对电子商务从商业、技术和社会多视角提出了具有可操作性的整体安全管理架构。然而, 在管理层面上, 仍存在 忽视内部安全防范; 没有从整体上、有计划地考虑信息安全问题; 安全策略无法持续性改进等 的问题。电子商务信息安全是复杂的系统工程, 对于管理层面的研究, 往往缺乏系统性, 缺乏管理层面与技术层面的联系, 缺乏信息安全技术的支持。从电子商务实施流程研究电子商务安全, 在国外处于起步阶段; 结合电子商务实施流程进行电子商务信息安全管理的研究, 在我国仍属空白。

我国信息系统安全等级保护制度从信息系统的角度出发, 重点在于确定信息系统的安全保护等级, 从技术和管理两方面采取保护措施使信息系统具有与其等级相适应的安全保护能力。信息系统安全等级保护制度为电子商务的可持续发展奠定了基础, 能够促进电子商务的安全发展。总体上, 信息系统安全等级保护给出了电子商务安全的方向性指导, 仅涉及管理与技术。欲达到实施操作层面, 还有待于进一步深入研究。

因此, 从国内外针对电子商务信息安全管理体系的研究来看, 尽管从理论上有可借鉴的组织内信息系统安全的最佳管理实践标准, 但有局限性, 就电子商务信息安全体系来说尚需进一步研究。应用上, 针对电子商务信息安全体系建立的实用方法也处于研究的起步阶段。电子商务流程中, 将信息安全管理体系与我国信息系统安全等级保护制度相融合的研究, 仍属空白。建立系统性的、可实施的架构, 以保证电子商务信息安全、促进电子商务发展, 是亟待解决的问题。

[3]

3建立三维体系架构的方法

面向电子商务系统的信息安全管理维度是电子

商务信息安全管理三维体系架构的核心。将电子商务流程与信息安全管理维度相结合是构建三维体系架构实施过程的基础。在建立实施三维体系架构过程中, 电子商务流程确定了信息安全管理体系的范围, 有助于确定资产和实施风险评估。信息系统安全等级保护制度与电子商务信息安全管理维度相融合, 以确定适当的等级, 选择适当的控制措施, 是三维体系架构实施过程中的关键。因此, 本节重点探讨面向电子商务系统的信息安全管理维度的建立以及与其相融合的信息系统安全等级保护。

国标GB /T22080-2008即I SO /I EC 27001:2005(信息技术 安全技术 信息安全管理体系要求) 为建立、实施、运行、监视、评审、保持和改进信

2电子商务信息安全管理体系架构

本文针对电子商务信息安全问题, 面向电子商务流程, 基于信息安全管理体系, 利用信息安全技

第1期 赵 刚等:电子商务信息安全管理体系架构

23

息安全管理体系(Infor m ati o n Security M anage m ent Syste m, IS M S) 提供了模型。该标准可以作为评估组织满足顾客、组织本身及法律法规的信息安全要求能力的依据。国标GB /T22081-2008即I SO /I EC 27002:2005(信息技术 安全技术 信息安全管理实用规则) 为启动、实施、保持和改进信息安全管理提供指南和通用的原则以及有关信息安全管理通常公认的目标和通用指南。

IS M S 采用了 规划(P lan) 、实施(Do ) 、检查(Check) 、处置(Act) 模型, PDCA 模型可应用于所有的I SM S 过程。信息安全管理体系是在整体或特定范围内组织建立信息安全方针和目标, 并完成这些目标所用方法的体系。基于业务风险方法, 建立、实施、运行、监视、评审、保持和改进组织的信息安全管理体系的目的是保障组织的信息安全。信息安全管理体系是直接管理活动的结果, 可表示为方针、原则、目标、方法、过程、核查表等要素的集合。I SM S 的设计和实施受业务需求、安全需求、采用过程以及组织规模和结构的影响。总体来说, 建立信息安全管理体系一般要经过下列6个基本步骤:

1) 体系的策划与准备;

2) 体系文件的编制; 3) 建立信息安全管理框架; 4) 体系的运行; 5) 体系的审核; 6) 体系的管理评审。

建立信息安全管理体系, 能够有效提高信息安全风险控制能力, 与信息系统安全等级保护、风险评估等工作的接续, 可使信息安全管理更加科学有效。参照信息安全管理体系模型, 按照先进的信息安全管理标准建立规划全面、目的明确、部署正确、组织完整的信息安全管理体系, 达到动态、系统、全员参与的、制度化、以预防为主的信息安全管理方式, 实现以最低的成本, 保障信息安全合理水平, 保证业务的有效性与连续性。

国标I SO /IEC 27001:2005不完全适用于电子商务信息安全管理

[4]

针对流程中的具体要素, 运用管理与技术的维度进行风险评估。

建立信息安全管理体系关键步骤之一是风险评估。要实施风险评估就必须准确理解其要素。图1显示了风险评估的各要素及其关系。其中方框部分的内容为风险评估的基本要素, 椭圆形部分的内容是与这些要素相关的属性, 也是风险评估要素的一部分。

图1 风险评估要素及其关系

风险评估的工作是围绕其基本要素、遵循图2所示的风险分析基本原理所展开的。在对基本要素的评估过程中, 需要充分考虑业务战略、资产价值、安全事件、残余风险及与这些基本要素相关的各类因素。

图2 风险分析原理图

建立、健全电子商务信息安全管理体系, 不能单纯依靠技术, 但也决不可离开技术。图3所示为电子商务安全技术体系结构。

。电子商务与信息系统的不

同在于商务流程。只有依托流程, 才能系统、全面、

具体地实现电子商务信息安全管理体系。电子商务流程用以辅助确定IS M S 范围、识别资产、风险评估、确定安全等级, 并采取相应的安全措施和技术手段。以道德、隐私等与信息系统不同的因素构成的社会环境和业务环境为背景, 建立由业务、技术和社会3个层面所构成的整体电子商务信息安全框架。

图3 电子商务安全技术体系结构

24

图4所示为企业网站的安全体系结构

北京信息科技大学学报

[5]

第26卷

。控制措施的制定可以参考I SO /I E C 27001:2005所列举的11个方面、133项控制措施, 如表2所示。也可根据组织的实际情况选择其他控制措施。

表2 IS O /I EC 27001:2005中列举的133项控制措施附录A A5A6

控制措施安全方针信息安全组织资产管理人力资源安全物理和环境安全通信和操作管理

访问控制

信息系统获取、开发和维护信息安全 事件管理业务连续性管理

符合性

控制目标/个[1**********]3

控制措施/项[**************]10

图4 企业网站安全体系结构

A7A8

实现对风险的控制与管理, 可以对风险评估的

结果进行等级化处理, 将风险划分为一定的级别, 等级越高, 风险越高。评估者根据所采用的风险计算方法, 计算每种资产面临的风险值, 根据风险值的分布状况, 为每个等级设定风险值范围, 并对所有风险计算结果进行等级处理。每个等级代表了相应风险的严重程度。表1提供了一种风险等级的划分方法。

表1 风险等级划分表

等级5

标识很高

定义

产生非常严重的经济或社会影响, 如组织信誉严重破坏、严重影响组织的正常经营, 经济损失重大、社会影响恶劣

4321

高中等低很低

产生较大的经济或社会影响, 在一定范围内给组织的经营和组织信誉造成损害造成一定的经济、社会或生产经营影响, 但影响面和影响程度不大

造成的影响程度较低, 一般仅限于组织内部, 通过一定手段很快能解决

造成的影响几乎不存在, 通过简单的措施就能弥补

A9A10A11A12A13A14A15

I SO /I EC 27001:2005规范性附录A. 10. 9中给出的电子商务服务目标是确保电子商务服务的安全, 包括电子商务、在线交易以及公共可用信息等控制措施。在风险评估与风险管理实施过程中, 可以进一步参考I SO /I E C 13335, 其所描述的风险评估过程十分清晰, 同时, 对安全计划、安全策略、控制措施选择等内容的阐述也更加具体。

支付卡行业数据安全标准PC I DSS 的12项条款同样可引入到电子商务信息安全风险评估过程以及风险管理过程中, 例如, 条款1 安装并且维护防火墙以保护持卡人数据 的要求包括:一个正式的流程, 用以对所有的外部网络连接和防火墙配置变更进行批准和测试; 网络图中必须标明连接到持卡人数据的所有连接, 包括所有无线网络连接。在分析评估风险级别的基础上, 推荐控制措施。信息系统安全等级保护为电子商务的可持续发展奠定了基础。在GB /T22239-2008信息系统安全等级保护的基本要求中, 规定了不同安全保护等级信息系统的基本要求, 包括基本技术和基本管理要求。GB /T22240-2008信息系统安全等级保护定级指南规定了信息系统安全等级的定级方法。我国制定的计算机信息系统安全保护等级划分为5

组织根据信息安全风险评估的结果, 针对具体风险, 制定相应的控制目标和控制措施。风险的管理过程如图5所示。

图5 风险管理过程

级, 包括:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。对于电子商务的安全应用, 3级以下的安全产品和系统多

第1期 赵 刚等:电子商务信息安全管理体系架构

25

数可以满足。风险控制的适度要求正确选择保护等级, 需要运用风险评估方法得出结论。风险评估围绕资产、脆弱性、威胁、安全措施展开分析。根据等级保护和风险评估的结果选择安全措施。从某种意义上看, 电子商务将是安全等级保护的第1批受益者。

国家信息系统安全等级保护制度作为信息安全保障的一项基本制度, 重点在于对信息系统进行分类、分级。等级保护制度同样可用于对信息安全产品或系统进行检测、评估和定级。等级保护制度坚持管理与技术并重, 坚持统筹兼顾, 突出重点, 充分体现合理分配资源、保护重点的原则。无论是等级保护制度还是I S M S, 都充分体现了信息安全应重视管理的思想。只有做好安全管理工作, 安全技术才能充分发挥作用, 从技术和管理两方面采取保护措施使信息系统具有与其等级相适应的安全保护能力。IS M S 从组织机构出发, 在一个组织或其特定的范围内建立信息安全管理体系。一个组织可能有1个或多个不同等级的信息系统, 组织的某个特定范围内可能没有或没有一个完整的信息系统。等级保护制度的完整实施贯穿信息系统的整个生命周期, I S M S 的完整实施过程同样贯穿组织或组织某一特定范围的管理体系的整个生命周期。两者可以在相关标准和实施过程2方面融合。在相关标准融合方面通常考虑结构和内容的融合, 电子商务信息安全管理三维体系架构重点考虑实施过程的融合。从等级保护制度的实施过程看, 可以将其归结为I SM S 实施过程所遵循的PDCA 模型, 系统定级和安全规划设计归为P 阶段, 安全实施归为D 阶段, 安全运行维护可视为C 阶段和D 阶段。在实施时, 按照PDCA 模型来组织各项活动。策划阶段, 进行系统定级, 明确信息系统的边界及其安全保护等级, 明确I S M S 的范围, 制定信息安全方针和目标。实施风险评估, 根据其结果从整合的控制措施集合中选择控制措施, 实施风险评估过程中应考虑安全等级的要求。从技术和管理2方面进行安全规划设计, 制定风险处理计划, 形成相关体系文件。1) 实施阶段。按照风险处理计划实施各项控制措施, 进行各种技

术、技能培训, 提供资源; 2) 检查阶段。利用各种检查手段, 监视各项控制措施的实施; 3) 处置阶段。检查阶段中的各种改进措施, 包括预防和纠正措施, 以持续改进信息安全保障能力。

4结束语

在归纳电子商务信息安全需求及信息安全属性的基础上, 综合分析了国内外电子商务信息安全研究的现状。在电子商务信息安全研究领域, 提出了电子商务信息安全管理体系三维架构, 包括电子商务流程维度、信息安全管理体系维度以及信息系统安全等级保护维度。阐述了3个维度在电子商务信息安全管理体系的作用和相互之间的关系, 讨论了三维架构的必要性、充分性和可行性, 提出了易于操作的实施方法。本研究从电子商务流程出发, 结合我国信息系统安全等级保护, 探讨了电子商务信息安全管理体系及其建立方法, 在管理、操作、技术各个层面提出整体一致的控制策略, 形成了电子商务信息安全管理体系并提出了操作性强的体系建立方法, 对解决电子商务发展的瓶颈即电子商务安全问题和保障电子商务的安全起到了较大作用, 从而达到促进电子商务健康发展的目的。

参考文献:

[1]郭长金. 电子商务信息安全风险分析与防范策

略[J].商场现代化, 2007, 57(10):91-92[2]S i p onen M, W illison R. I nfor m ation secur ity m an age m ent standards :prob le m s and so lutions[J].I n

for m ation &M anage m en, t 2009, 46(2):267-270[3]赵战生. 等级保护与电子商务安全[J].信息网络安全, 2002, 2(8):52-55

[4]A l b i n Z . H o listic security m anage m ent fra m e wo r k

app lied i n electronic co mm erce[J].Co m puters &Security , 2007, 26(2):256-265

[5]章剑林, 李班, 丁勇, 等. 企业网站的安全风险和

安全审计技术研究[J].浙江理工大学学报, 2008, 25(5):620-624

第26卷 第1期北京信息科技大学学报V o. l 26N o . 1

2011年2月Journa l o f Be iji ng Infor m ati on Sc ience and T echno l ogy U niversity F eb . 2011

文章编号:1674-6864(2011) 01-0021-05

电子商务信息安全管理体系架构

赵 刚, 王兴芬

(北京信息科技大学 信息管理学院, 北京100192)

摘 要:在综合分析电子商务信息安全的基础上, 从电子商务流程出发, 以管理与技术密切联系的方式, 利用信息系统中的信息安全管理体系, 结合我国信息系统安全等级保护体系, 提出电子商务信息安全管理体系三维架构, 并给出易于操作的系统实施方法, 以满足电子商务信息安全的实际需要, 对电子商务发展的瓶颈问题给出了一种有效的解决方案。

关 键 词:电子商务流程; 信息安全管理体系; 信息系统安全等级保护中图分类号:TP 309; F 724 文献标志码:A

Fra m e w ork of i nfor mation security

m anage m ent for electronic co mm erce

Z HAO Gang , WANG X i n g fen

(S chool of In f or m ation M anage m ent , Beiji ng In f or m ation S ci en ce and Technol ogy Un i vers i ty , Beiji ng 100192, Ch i na)

Abstract :Fro m the vie w po i n t o f techn i q ue and m anage m en, t so m e approaches to guarantee the E co mm erce i n f o r m ation security have been pr oposed . H o w ever , further research is necessary to m ake so m e m prove m ent on concern i n g tec hno l o gy fro m m anage m ent and syste i m ic aspec. t Based on the analyses a bout the E co mm erce i n for m ation security prob le m , a three di m ension fra m e w ork of E co mm erce infor m a

ti o n security m anage m ent syste m is proposed , i n cl u ding E co mm erce processes , i n fo r m ation security m an age m ent syste m and classified protection of infor m ati o n syste m security . The operation m et h od is also presented to sati s fy the need of E co mm erce i n for m ation security , wh ich is certa i n l y an effecti v e so lution to the develop m en t o f E co mm erce .

Key w ords :E co mm erce processes ; infor m ati o n security m anage m ent syste m ; classified pr o tection

of infor m ati o n syste m security

0引言

电子商务是应用现代信息技术在互联网上进行的商务活动, 主要包括电子信息服务、电子交易和电子支付等活动。电子商务的信息安全是影响电子商务成败的关键因素。电子商务中普遍存在信息截获、窃取、篡改、伪造、交易抵赖和系统中断等安全威胁。如何保证网上交易的可用性、机密性、完整性、可认证性和不可抵赖性等是电子商务可持续发展的关键

[1]

设施不完善, 电子商务的信息安全方面存在很大的漏洞。

1电子商务信息安全综合分析

电子商务面临6个方面安全问题:计算机网络系统; 交易信息传输过程; 安全支付; 信用; 企业内部管理; 安全法律保障。

我国电子商务安全领域存在以技术为主要安全防范措施的倾向, 忽视了管理的重要性, 导致先进的技术无法发挥应有的效能。少数研究者借鉴国内外信息安全管理相关体系和标准, 逐步在电子商务信息安全领域实施体系化管理。然而, 电子商务信息

。为此, 必须建立电子商务信息安全保障体

系, 从法律层面、组织管理层面和技术层面加以防范。由于我国电子商务起步较晚, 安全技术和基础

收稿日期:

2010 10 22(5028123600)

基金项目:北京市优秀人才项目(60534005); 北京市高校学术创新团队建设计划项目(PHR201106133); 2010年度科研水平提高项目作者简介:赵 刚(1965 ), 男, 辽宁沈阳人, 博士, 副教授, 主要从事物流与供应链管理、信息安全、人工智能等方面研究。

22

北京信息科技大学学报 第26卷

安全管理仍然缺少完整的信息安全策略, 没有形成标准的规范和安全管理体系。一些研究者从技术和管理的角度, 构建和实施安全电子商务系统, 其所强调的基本理论、方法和技术多数在网络管理、系统管理等技术层面上, 尚未上升到信息安全管理层面。目前我国初步建成了国家信息安全组织保障体系, 制定和引进了一批重要的信息安全管理标准。针对组织内的信息系统S i p onen 等

[2]

术, 结合我国信息系统安全等级保护制度, 提出了电子商务信息安全管理三维体系架构。

1) 在体系架构的第一维度上, 建立起面向电子商务流程的整体信息安全管理框架。整体信息安全管理维度由业务、技术和社会3个层面构成, 在各层面上强调安全活动对安全目标的反馈。维度由5个核心过程及2个支撑过程组成。5个核心过程包括业务建模、项目规划、安全分析和设计、实施、维护。2个支撑过程包括组织、人员、业务基础过程。

2) 基于 三分技术、七分管理 的思想, 利用信息安全管理体系, 结合电子商务安全技术架构, 建立起电子商务信息安全管理维度。本维度的重要性在于建立面向电子商务系统的信息安全管理体系, 以充分发挥先进技术的效能。

3) 信息系统安全等级保护制度。电子商务是国家信息化高速发展的新型经济活动的重要组成部分。G2B 、B2B 的电子商务运作模式均有政府和国家的重要企业参加, 支付环节有国家经济体系关键部门即银行业参加, 涉及国家的经济安全和社会稳定。因此, 我国实施电子商务安全管理有必要贯彻我国信息系统安全等级保护制度, 正确选择保护等级以实现适度的安全风险管理控制措施。

电子商务信息安全管理三维体系架构给出了全面、系统的电子商务信息安全管理体系, 架构空间所反映的都是电子商务某一流程需要的安全服务及其所对应的管理方法和技术手段以及信息安全风险等级和保护等级。在实际实施时, 依据信息安全风险评估结果, 确定风险等级, 选择风险控制措施。

提出了实用的

信息安全管理体系及其建立方法, 其中涉及部分电子商务服务安全及其控制方法。我国在电子商务信息安全管理体系研究方面处于起步阶段, 一些学者针对电子商务从商业、技术和社会多视角提出了具有可操作性的整体安全管理架构。然而, 在管理层面上, 仍存在 忽视内部安全防范; 没有从整体上、有计划地考虑信息安全问题; 安全策略无法持续性改进等 的问题。电子商务信息安全是复杂的系统工程, 对于管理层面的研究, 往往缺乏系统性, 缺乏管理层面与技术层面的联系, 缺乏信息安全技术的支持。从电子商务实施流程研究电子商务安全, 在国外处于起步阶段; 结合电子商务实施流程进行电子商务信息安全管理的研究, 在我国仍属空白。

我国信息系统安全等级保护制度从信息系统的角度出发, 重点在于确定信息系统的安全保护等级, 从技术和管理两方面采取保护措施使信息系统具有与其等级相适应的安全保护能力。信息系统安全等级保护制度为电子商务的可持续发展奠定了基础, 能够促进电子商务的安全发展。总体上, 信息系统安全等级保护给出了电子商务安全的方向性指导, 仅涉及管理与技术。欲达到实施操作层面, 还有待于进一步深入研究。

因此, 从国内外针对电子商务信息安全管理体系的研究来看, 尽管从理论上有可借鉴的组织内信息系统安全的最佳管理实践标准, 但有局限性, 就电子商务信息安全体系来说尚需进一步研究。应用上, 针对电子商务信息安全体系建立的实用方法也处于研究的起步阶段。电子商务流程中, 将信息安全管理体系与我国信息系统安全等级保护制度相融合的研究, 仍属空白。建立系统性的、可实施的架构, 以保证电子商务信息安全、促进电子商务发展, 是亟待解决的问题。

[3]

3建立三维体系架构的方法

面向电子商务系统的信息安全管理维度是电子

商务信息安全管理三维体系架构的核心。将电子商务流程与信息安全管理维度相结合是构建三维体系架构实施过程的基础。在建立实施三维体系架构过程中, 电子商务流程确定了信息安全管理体系的范围, 有助于确定资产和实施风险评估。信息系统安全等级保护制度与电子商务信息安全管理维度相融合, 以确定适当的等级, 选择适当的控制措施, 是三维体系架构实施过程中的关键。因此, 本节重点探讨面向电子商务系统的信息安全管理维度的建立以及与其相融合的信息系统安全等级保护。

国标GB /T22080-2008即I SO /I EC 27001:2005(信息技术 安全技术 信息安全管理体系要求) 为建立、实施、运行、监视、评审、保持和改进信

2电子商务信息安全管理体系架构

本文针对电子商务信息安全问题, 面向电子商务流程, 基于信息安全管理体系, 利用信息安全技

第1期 赵 刚等:电子商务信息安全管理体系架构

23

息安全管理体系(Infor m ati o n Security M anage m ent Syste m, IS M S) 提供了模型。该标准可以作为评估组织满足顾客、组织本身及法律法规的信息安全要求能力的依据。国标GB /T22081-2008即I SO /I EC 27002:2005(信息技术 安全技术 信息安全管理实用规则) 为启动、实施、保持和改进信息安全管理提供指南和通用的原则以及有关信息安全管理通常公认的目标和通用指南。

IS M S 采用了 规划(P lan) 、实施(Do ) 、检查(Check) 、处置(Act) 模型, PDCA 模型可应用于所有的I SM S 过程。信息安全管理体系是在整体或特定范围内组织建立信息安全方针和目标, 并完成这些目标所用方法的体系。基于业务风险方法, 建立、实施、运行、监视、评审、保持和改进组织的信息安全管理体系的目的是保障组织的信息安全。信息安全管理体系是直接管理活动的结果, 可表示为方针、原则、目标、方法、过程、核查表等要素的集合。I SM S 的设计和实施受业务需求、安全需求、采用过程以及组织规模和结构的影响。总体来说, 建立信息安全管理体系一般要经过下列6个基本步骤:

1) 体系的策划与准备;

2) 体系文件的编制; 3) 建立信息安全管理框架; 4) 体系的运行; 5) 体系的审核; 6) 体系的管理评审。

建立信息安全管理体系, 能够有效提高信息安全风险控制能力, 与信息系统安全等级保护、风险评估等工作的接续, 可使信息安全管理更加科学有效。参照信息安全管理体系模型, 按照先进的信息安全管理标准建立规划全面、目的明确、部署正确、组织完整的信息安全管理体系, 达到动态、系统、全员参与的、制度化、以预防为主的信息安全管理方式, 实现以最低的成本, 保障信息安全合理水平, 保证业务的有效性与连续性。

国标I SO /IEC 27001:2005不完全适用于电子商务信息安全管理

[4]

针对流程中的具体要素, 运用管理与技术的维度进行风险评估。

建立信息安全管理体系关键步骤之一是风险评估。要实施风险评估就必须准确理解其要素。图1显示了风险评估的各要素及其关系。其中方框部分的内容为风险评估的基本要素, 椭圆形部分的内容是与这些要素相关的属性, 也是风险评估要素的一部分。

图1 风险评估要素及其关系

风险评估的工作是围绕其基本要素、遵循图2所示的风险分析基本原理所展开的。在对基本要素的评估过程中, 需要充分考虑业务战略、资产价值、安全事件、残余风险及与这些基本要素相关的各类因素。

图2 风险分析原理图

建立、健全电子商务信息安全管理体系, 不能单纯依靠技术, 但也决不可离开技术。图3所示为电子商务安全技术体系结构。

。电子商务与信息系统的不

同在于商务流程。只有依托流程, 才能系统、全面、

具体地实现电子商务信息安全管理体系。电子商务流程用以辅助确定IS M S 范围、识别资产、风险评估、确定安全等级, 并采取相应的安全措施和技术手段。以道德、隐私等与信息系统不同的因素构成的社会环境和业务环境为背景, 建立由业务、技术和社会3个层面所构成的整体电子商务信息安全框架。

图3 电子商务安全技术体系结构

24

图4所示为企业网站的安全体系结构

北京信息科技大学学报

[5]

第26卷

。控制措施的制定可以参考I SO /I E C 27001:2005所列举的11个方面、133项控制措施, 如表2所示。也可根据组织的实际情况选择其他控制措施。

表2 IS O /I EC 27001:2005中列举的133项控制措施附录A A5A6

控制措施安全方针信息安全组织资产管理人力资源安全物理和环境安全通信和操作管理

访问控制

信息系统获取、开发和维护信息安全 事件管理业务连续性管理

符合性

控制目标/个[1**********]3

控制措施/项[**************]10

图4 企业网站安全体系结构

A7A8

实现对风险的控制与管理, 可以对风险评估的

结果进行等级化处理, 将风险划分为一定的级别, 等级越高, 风险越高。评估者根据所采用的风险计算方法, 计算每种资产面临的风险值, 根据风险值的分布状况, 为每个等级设定风险值范围, 并对所有风险计算结果进行等级处理。每个等级代表了相应风险的严重程度。表1提供了一种风险等级的划分方法。

表1 风险等级划分表

等级5

标识很高

定义

产生非常严重的经济或社会影响, 如组织信誉严重破坏、严重影响组织的正常经营, 经济损失重大、社会影响恶劣

4321

高中等低很低

产生较大的经济或社会影响, 在一定范围内给组织的经营和组织信誉造成损害造成一定的经济、社会或生产经营影响, 但影响面和影响程度不大

造成的影响程度较低, 一般仅限于组织内部, 通过一定手段很快能解决

造成的影响几乎不存在, 通过简单的措施就能弥补

A9A10A11A12A13A14A15

I SO /I EC 27001:2005规范性附录A. 10. 9中给出的电子商务服务目标是确保电子商务服务的安全, 包括电子商务、在线交易以及公共可用信息等控制措施。在风险评估与风险管理实施过程中, 可以进一步参考I SO /I E C 13335, 其所描述的风险评估过程十分清晰, 同时, 对安全计划、安全策略、控制措施选择等内容的阐述也更加具体。

支付卡行业数据安全标准PC I DSS 的12项条款同样可引入到电子商务信息安全风险评估过程以及风险管理过程中, 例如, 条款1 安装并且维护防火墙以保护持卡人数据 的要求包括:一个正式的流程, 用以对所有的外部网络连接和防火墙配置变更进行批准和测试; 网络图中必须标明连接到持卡人数据的所有连接, 包括所有无线网络连接。在分析评估风险级别的基础上, 推荐控制措施。信息系统安全等级保护为电子商务的可持续发展奠定了基础。在GB /T22239-2008信息系统安全等级保护的基本要求中, 规定了不同安全保护等级信息系统的基本要求, 包括基本技术和基本管理要求。GB /T22240-2008信息系统安全等级保护定级指南规定了信息系统安全等级的定级方法。我国制定的计算机信息系统安全保护等级划分为5

组织根据信息安全风险评估的结果, 针对具体风险, 制定相应的控制目标和控制措施。风险的管理过程如图5所示。

图5 风险管理过程

级, 包括:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。对于电子商务的安全应用, 3级以下的安全产品和系统多

第1期 赵 刚等:电子商务信息安全管理体系架构

25

数可以满足。风险控制的适度要求正确选择保护等级, 需要运用风险评估方法得出结论。风险评估围绕资产、脆弱性、威胁、安全措施展开分析。根据等级保护和风险评估的结果选择安全措施。从某种意义上看, 电子商务将是安全等级保护的第1批受益者。

国家信息系统安全等级保护制度作为信息安全保障的一项基本制度, 重点在于对信息系统进行分类、分级。等级保护制度同样可用于对信息安全产品或系统进行检测、评估和定级。等级保护制度坚持管理与技术并重, 坚持统筹兼顾, 突出重点, 充分体现合理分配资源、保护重点的原则。无论是等级保护制度还是I S M S, 都充分体现了信息安全应重视管理的思想。只有做好安全管理工作, 安全技术才能充分发挥作用, 从技术和管理两方面采取保护措施使信息系统具有与其等级相适应的安全保护能力。IS M S 从组织机构出发, 在一个组织或其特定的范围内建立信息安全管理体系。一个组织可能有1个或多个不同等级的信息系统, 组织的某个特定范围内可能没有或没有一个完整的信息系统。等级保护制度的完整实施贯穿信息系统的整个生命周期, I S M S 的完整实施过程同样贯穿组织或组织某一特定范围的管理体系的整个生命周期。两者可以在相关标准和实施过程2方面融合。在相关标准融合方面通常考虑结构和内容的融合, 电子商务信息安全管理三维体系架构重点考虑实施过程的融合。从等级保护制度的实施过程看, 可以将其归结为I SM S 实施过程所遵循的PDCA 模型, 系统定级和安全规划设计归为P 阶段, 安全实施归为D 阶段, 安全运行维护可视为C 阶段和D 阶段。在实施时, 按照PDCA 模型来组织各项活动。策划阶段, 进行系统定级, 明确信息系统的边界及其安全保护等级, 明确I S M S 的范围, 制定信息安全方针和目标。实施风险评估, 根据其结果从整合的控制措施集合中选择控制措施, 实施风险评估过程中应考虑安全等级的要求。从技术和管理2方面进行安全规划设计, 制定风险处理计划, 形成相关体系文件。1) 实施阶段。按照风险处理计划实施各项控制措施, 进行各种技

术、技能培训, 提供资源; 2) 检查阶段。利用各种检查手段, 监视各项控制措施的实施; 3) 处置阶段。检查阶段中的各种改进措施, 包括预防和纠正措施, 以持续改进信息安全保障能力。

4结束语

在归纳电子商务信息安全需求及信息安全属性的基础上, 综合分析了国内外电子商务信息安全研究的现状。在电子商务信息安全研究领域, 提出了电子商务信息安全管理体系三维架构, 包括电子商务流程维度、信息安全管理体系维度以及信息系统安全等级保护维度。阐述了3个维度在电子商务信息安全管理体系的作用和相互之间的关系, 讨论了三维架构的必要性、充分性和可行性, 提出了易于操作的实施方法。本研究从电子商务流程出发, 结合我国信息系统安全等级保护, 探讨了电子商务信息安全管理体系及其建立方法, 在管理、操作、技术各个层面提出整体一致的控制策略, 形成了电子商务信息安全管理体系并提出了操作性强的体系建立方法, 对解决电子商务发展的瓶颈即电子商务安全问题和保障电子商务的安全起到了较大作用, 从而达到促进电子商务健康发展的目的。

参考文献:

[1]郭长金. 电子商务信息安全风险分析与防范策

略[J].商场现代化, 2007, 57(10):91-92[2]S i p onen M, W illison R. I nfor m ation secur ity m an age m ent standards :prob le m s and so lutions[J].I n

for m ation &M anage m en, t 2009, 46(2):267-270[3]赵战生. 等级保护与电子商务安全[J].信息网络安全, 2002, 2(8):52-55

[4]A l b i n Z . H o listic security m anage m ent fra m e wo r k

app lied i n electronic co mm erce[J].Co m puters &Security , 2007, 26(2):256-265

[5]章剑林, 李班, 丁勇, 等. 企业网站的安全风险和

安全审计技术研究[J].浙江理工大学学报, 2008, 25(5):620-624