从管理的角度谈企业电子商务信息安全管理

天津职业大学 赵学丽

从管理的角度谈企业电子商务信息安全管理

天津职业大学 赵学丽

随着互联网的迅速发展，电子商务成为企业青睐的商务模式，而由此引发的安全问题也日渐突出。本文通过对我国企业电子商务信息安全管理情况调查，得出企业电子商务信息安全不仅需要技术上的支持，更重要的是突出管理，进而提出企业在进行电子商务信息安全管理中所实施的策略。

信息安全 管理 策略

随着Internet的飞速发展和计算机技术的日臻成熟，电子商务正以其高效率、低成本的优势给社会带来了巨大的商机。而由此引发的安全问题日渐突出。根据2009年7月中国互联网络信息中心(CNNIC)发布的“中国互联网络发展状况统计报告”显示,仅有29.2%的电子商务交易用户认为互联网是安全可靠的。由此可见，电子商务中的安全问题是企业实现电子商务的关键之所在。

1 企业电子商务信息安全管理情况调查

信息和信息系统已经成为企业管理和经营活动中不可或缺的内容，信息系统的建立和完善是企业日常办公和业务实现的有力支撑。因此，一旦企业信息系统出现安全性问题，就会直接影响到业务的开展，导致巨大的经济损失，甚至造成不良的社会影响，损坏公司的形象和品牌。所以，如何保证企业信息安全,已成为当前企业信息化健康发展的重要任务。

根据CSI和FBI的最新“计算机犯罪和安全调查”，不满的员工是最有可能发动攻击的人，如图1：

图1

从图1中可见人员管理常常是网上交易安全管理上的最薄弱的环节，近年来我国计算机犯罪大都呈现内部犯罪的趋势，除了竞争对手利用企业招募新人的方式潜入该企业，或利用不正当的方式收买企业网络交易管理人员，窃取企业的用户识别码、密码、传递方式以及相关的机密文件资料。

而通过对多家企业调研分析发现我国从事电子商务的软件型企业比从事电子商务的贸易型企业更加重视信息安全。具体情况如表1：

表1

2 企业电子商务信息安全存在的问题

电子商务信息安全主要存在两大安全隐患：一种是信息存储的软硬件系统的安全风险；另一种是电子商务的信息安全管理存在漏洞。而目前，大部分企业将信息安全局限于前者，随之而来的就是计算机技术企业所开发的基于软硬件系统的防护技术，防火墙技术出现、加密技术的使用、数字签名、身份认证的应用并没有从根本上解决企业电子商务信息的安全管理，几乎很少有企业能够从自身管理的角度以及人员管理的角度来进行电子商务的信息安全建设。“三分技术，七分管理”，阐述了信息安全的本质。总的来说，我国企业在电子商务信息安全方面主要存在以下几个方面的问题：

(1) “重技术、轻管理”，由于企业管理手段不到位，往往导致先进的技术无法发挥应有的效能，从而导致企业不能做到管理与技术相得益彰。

(2)企业管理高层对信息安全的认识不够，缺少信息安全管理配套的人力、物力和财力。企业如果没有一批业务能力强，且具有信息网络知识、信息安全技术、法律知识和管理能力的复合型人才和专门人才，就不可能做好信息安全保障工作。

(3)企业对员工的信息安全教育不够。员工的信息安全意识薄弱，90%的安全事故是由于人为疏忽所造成。如：有些企业不限制内部人员使用高科技信息载体(U盘、移动硬盘等)，以及笔记本电脑等移动办公设备。

(4)缺少信息安全的监督审计机制，导致安全项目实施完后无法发挥长期效能，安全策略无法持续性改进。缺少监督审计，就会使得管理制度流于形式，变得空洞。

(5)缺少完整的信息安全策略，信息安全管理没有形成标准和规范，没有形成一套体系。

3 企业电子商务信息安全管理策略

信息安全管理不是单纯的技术问题，而是一个上至领导下至员工的管理活动，涉及到企业全员的参与，企业中的任何一个人、任何一个岗位、任何一项工作都应做到关注信息安全，并且在企业文化中务必融入信息安全管理理念，“管理”是保证信息安全之本。从管理的角度来看，实现电子商务信息安全的策略包括三个方面：“防”——企业信息资产的保护；“阻”——信息传输通道的管理；“执行力”——建立与企业文化相适应的安全体系。

“防”、“阻”、“执行力”是信息安全管理的核心凝练，“防”即“保护”，“阻”即“阻塞”，二者与“执行力”一起组成企业电子商务信息安全管理的规则，不论企业的规模和性质如何，从事信息安全管理的人员可从以下三个方面的基本内容着手。

“防”：对于企业内部核心信息资产的保护。核心信息资产主要指价值比较高或一旦泄露可能会对企业造成比较大的损失的资产，如企业的数据、纸质和电子类的文档、影像等企业的核心资产。

“阻”：信息传输通道的管理，信息安全管理人员根据企业业务模块或业务流程分析信息资产传输的各个渠道，禁止非授权的访问或传递。

人员的安全管理是“阻”的核心，企业的信息资产都是通过人来管理和控制的。对人的管理实际是信息安全工作中难度最大的工作，业界有一句话：“在企业中信息安全最大的风险是心怀不测的一些员工可能带来的风险”。

“执行力”：将信息安全建设与企业文化进行有机地结合，不同企业拥有不同的企业文化，其采用的信息安全方法和管理思路也会不尽相同，拥有较强“执行力”的企业更多的采用强制管理手段，制定行之有效的信息防护政策，并通过管理者有力的执行以达到信息安全管理的效果，而“执行力”较弱的企业则需要将完善的技术与合理的管理方法进行有效融合，使企业的信息安全得到有效的管理和保护。

4 结语

企业电子商务信息的安全管理依赖一个完整的强有力的管理体系，从而保证信息安全管理的规范与长效，企业需要在良好的信息安全管理基础之上，制定相应的、完善的管理策略以及规章制度，管理工作所涉及的广度和深度要根据企业电子商务业务对人员及组织的依赖程度决定，也可以根据本企业的特点选择适当的方法来完善信息安全管理小组。管理制度需要随着环境的变化不断改进，以达到信息管理的安全、可靠、稳定。

[1] 林宁,吴志刚.我国信息安全技术标准化现状[J].中国标准化,2007,(4).

[2] 胡艳春.电子商务网站建设中的安全问题研究[J].商场现代,2006,(10).

[3] 刘茹.电子商务安全技术[J].科技情报开发与经济,2006,(13) .

[4] 林黎明,李新春.基于Internet 的电子商务安全管理策略研究[J].中国管理信息化,2006,(3).

[5] 董卫华.以人为本的信息安全管理[J].内蒙古科技与经济,2003,(11).

F272

A

1005-5800(2010)11(c)-102-02