电子商务与信息安全

电子商务与信息安全（精选12篇）

电子商务与信息安全 第1篇

随着科学技术的发展, 我国对于信息档案的建设越来越全面, 向着信息化的方向发展的也是越来越快。而我国在多年来一直都是比较重视对于档案的建设管理, 而对于档案的利用却是非常的少, 导致了档案信息资源的浪费。在现代信息化的社会趋势下, 对于信息的利用是越来越普遍的, 在一定的领域内实现资源共享也是大势所趋, 所以我们要加强对于档案信息的公开利用, 但是, 在对电子档案的公开利用方面, 我们还要注意对于档案信息的安全管理, 使电子档案不仅要发挥其本身的功能, 还要注意对内容的保密工作, 本文将对这方面做出了一定的论述。

1 档案信息安全工作的必要性

档案信息是一种保密性比较强的工作, 在国家的经济建设和相关的政治方面都有所涉猎, 所以对于这些信息的利用要进行妥善的管理, 如果使用不当的话, 将会对国家的安全建设有着重大的影响, 所以要加强对信息档案的安全性建设。在信息高速发展的社会背景下, 网络的应用对于人们的工作和生活都产生了极大的便捷, 但是任何事物的发展都有其两面性, 在网络方便了人们的生活的同时, 还有一部分人利用网络对信息进行窃取, 对国家和人们造成了很大的危害, 所以说对于电子档案的建设要加强安全方面的管理非常有必要。

2 档案信息安全性的范围

档案信息的安全性包括三大范围:机密性:使非合法授权者不得使用;真实性:可确定档案来源的合法性;完整性:确保档案没有被有意或无意地篡改。

根据所归纳的安全性的范围, 所有这些有关通信和信息传输过程中的各种安全需求可以进一步地被归纳为:保密性需求;真实性需求;完整性需求。为了满足这三个安全需求, 需要为电子档案的管理设计一个较为完整的安全系统。

电子文件档案的管理过程完全是通过计算机来完成的。因此, 在计算机网络的各个节点上进行文件数据的自由归档和档案资源的共享, 实现电子档案的信息公开, 就必须建立计算机网络系统。然而, 电子档案在网络环境中传播和存储的过程中, 每个步骤都可能存在安全漏洞, 极易受到黑客攻击, 造成档案泄密、信息被窃、被改写或被删除等严重后果, 从而在很大程度上限制了档案信息的公开推广。因此, 在电子档案安全系统中, 应该准备好预防方案和紧急应对的方式, 以确保档案信息公开的安全性。

3 档案信息的安全性设计

3.1 人员安全

在档案信息实行了电子管理的形式以后, 虽然说对于档案的建设管理都是利用的电子信息化的方式, 但是对于电脑的操作还是需要人为进行的, 所以说在档案的安全性方面要加强对于档案管理人员的管理, 加强操作人员的安全管理。档案的安全性十分重要, 所以说在对信息化档案进行管理的时候, 要加强对于操作人员的管理, 禁止因为认为原因而使档案信心发生泄密事件。在档案管理人员进入到档案库房的时候, 要对其进行相关的身份验证, 没有证件要严禁其进入到库房中。对于信息的管理, 要采取加密技术, 不同的操作岗位, 不同的操作人员对于信息的获取要设置不同的访问权限, 可以设置初级, 正常和超级访问权限, 控制对于信息的获取程度。在信息档案的管理工作中, 有时候会有人员的流动, 包括工作调动或者是离职等, 那么这就需要对档案管理的密码进行定期的改变, 对于其有效期进行控制, 如果这个岗位的人员有所变动, 那么对于相应的密码必须进行更改, 避免因为人员的流动而使信息外泄。对于密码的设置, 要采取严格的保密制度, 一个岗位上的密码只有这个岗位的工作人员才可以知晓, 不得向其他无关人员泄露, 在密码设置上, 要慎重选择, 不要设置让人轻易就可以猜出的密码, 尽量的减少可以猜中的几率。

3.2 档案信息内容安全

档案部门能够提供的公开档案信息, 主要以电子邮件及网页浏览等方式来操作。为了确保公开的档案信息使用安全, 档案信息以电子邮件方式发出前, 应用防毒软件、电子邮件扫描软件进行杀毒;以网页方式发出时, 应用内容过滤系统以及阻隔浏览网页系统来确保发送资料的安全, 并阻止可能发后的攻击事件。

目前的档案全文是以影像为主, 影像扫描的过程, 可能会遇到人为安全问题或者资料输入大致相同的问题。因此, 对提取原卷的过程应加以重视, 扫描前与扫描后务必保持原件的数量一致, 并确保原件并未受到破坏、恶意删改及盗用。

为了防止档案信息被非法窃取, 确保档案部门所公开的档案信息具有唯一性及公信力, 所以文件储存时必须先将文件加密, 同时配合完善的存取控制, 避免权限不足的人员取得资料。然而, 储存加密技术再完善也无法避免系统人员的操作失误, 为了避免操作上的人为疏失, 引起纠纷, 在整套的电子档案操作过程中必须建立完整系统档, 以便日后追踪及调查, 包括操作系统的人、事、时、地、物, 这样才能称得上安全的电子档案操作。此外, 还要制定相关的法律法规, 作为责任归属的依据。

3.3 信息设备安全环境

设备安全是保证档案信息安全的基本要件, 一般都应存放于适当的门禁系统的电脑机房内, 以避免闲杂人等进入。电脑机房要加上密码锁作为主要的门禁系统管理, 只有上级领导及负责机房管理的信息业务负责人有权进入, 其余若有实际需要进入的人员, 必须经过批准, 取得同意后才能进入。以人为方式控制电子档案贮存场所的接触人数, 一旦发现档案信息有泄露的情形时, 即可容易追查可能的外泄人员。同时, 积极规划异地备份工作场所, 即当电子档案贮存场所及贮存媒体被天灾、火灾、战争等外力破坏, 造成档案信息内容无法读取或者辨识时, 可以从第二替代地点取得备份资料, 以恢复正常的工作。

4 结论

对于电子档案的利用, 我国已经具备了一定的成效, 但是档案对于我们国家的很多信息都是非常重要的, 在信息的利用上, 要进行妥善的管理, 如果处理的不好, 就会对我国的安全产生威胁, 所以说在对档案的信息进行公开利用的时候, 要进行适当的管理, 不仅可以为人们的工作和生活带来一定的便利, 还要保障国家的安全。在档案信息的安全管理方面, 不仅要在硬件设施方面进行加强, 还要对人员的管理进行严格的管理。由于对档案的信息实现了网络化的管理方式, 所以对于网络安全方面要进行必要的安全防范, 不可以让有优势的网络成为了对信息的安全破坏的工具。在对相关的操作人员方面要严格要求, 掌控管理人员的个人道德素质, 对于工作要严谨对待, 态度上要端正, 尽量的避免因为人员的操作而使档案的信息泄露。

参考文献

[1]张勇.对新形势下保密工作的思考[J].保密工作, 2004 (1) [1]张勇.对新形势下保密工作的思考[J].保密工作, 2004 (1)

[2]何孟原.档案开放工作管窥[J].兰台世界, 2006 (20) [2]何孟原.档案开放工作管窥[J].兰台世界, 2006 (20)

电子商务与信息安全 第2篇

2003-11-17 15:05

摘要

我国电子政务信息安全风险主要存在于观念、技术、管理和法律方面。要强化电子政务环境下公务员的信息安全意识，建立电子政务信息安全管理机构，完善信息安全基础设施和扶持国有信息安全产业的发展。

1电子政务信息安全的内涵

电子政务是政府管理方式的革命，它是运用信息以及通信技术打破行政机关的组织界限，构建一个电子化的虚拟机关，使公众摆脱传统的层层关卡以及书面审核的作业方式，并依据人们的需求、人们可以获取的方式、人们要求的时间及地点等，高效快捷地向人们提供各种不同的服务选择。政府机关之间以及政府与社会各界之间也经由各种电子化渠道进行相互沟通。电子政务的建立将使政府成为一个更符合环保精神的政府，一个更开放透明的政府，一个更有效率的政府，一个更廉洁勤政的政府。然而，电子政务的职能与优势得以实现的一个根本前提是信息安全的有效保障。因为电子政务信息网络上有相当多的政府公文在流转，其中不乏重要信息，内部网络上有着大量高度机密的数据和信息，直接涉及政府的核心政务，它关系到政府部门、各大系统乃至整个国家的利益，有的甚至涉及国家安全。如果电子政务信息安全得不到保障，电子政务的便利与效率便无从保证，对国家利益将带来严重威胁。电子政务信息安全是制约电子政务建设与发展的首要问题和核心问题。

电子政务的信息安全可以理解为：

(1)从信息的层次看，包括信息的完整性(保证信息的来源、去向、内容真实无误)、保密性(保证信息不会被非法泄露扩散)、不可否认性(保证信息的发送和接收者无法否认自己所做过的操作行为)等。

(2)从网络层次看，包括可靠性(保证网络和信息系统随时可用，运行过程中不出现故障，遇意外事故能够尽量减少损失并尽早恢复正常)、可控性(保证营运者对网络和信息系统有足够的控制和管理能力)、互操作性(保证协议和系统能够互相联接)、可计算性(保证准确跟踪实体运行达到审计和识别的目的)等。

(3)从设备层次看，包括质量保证、设备备份、物理安全等。

(4)从管理层次看，包括人员可靠、规章制度完整等。

2电子政务信息安全风险分析

现阶段，我国电子政务信息安全系数比较低。公安部1998年8月在江苏、上海、广东等省(市)对169信息网进行检测，发现其设防能力十分脆弱，难以抵御任何方式的电子攻击。电子政务信息安全风险主要存在4个方面。

2．1观念方面

著名信息安全专家、中国工程院院士沈昌祥从国家安全利益出发，提出应把信息系统安全建设提高到研制“两弹一星”的高度去认识。1999年政府上网工程启动以来，政府部门越来越重视网络系统建设，看重网络带来的便利与高效，但是有些地方对信息安全工作未引起足够重视。据估计，我国在网络工程中网络安全的投入费用不到2％，同国外的10％相比有较大差距。现阶段，电子政务网络的开放程度不高，一些机密信息目前还没有上网，再加之公众对计算机犯罪的态度较为“宽容”，认为并没有造成直接的人员财产损失，这都使得公务员和普通大众对信息安全问题关注不够，信息安全意识淡薄。

2.2技术方面

(1)计算机系统本身的脆弱性，使得它无法抵御自然灾害的破坏，也难以避免偶然无意造成的危害。如：洪水、火灾、地震的破坏，系统所处环境的影响(温湿度、磁场、碰撞、污染等)，硬件设备故障，突然断电或电压不稳定及各种误操作等。这些危害会损害操作系统设备，有时会丢失或破坏数据，甚至毁掉整个系统。

(2)网络本身存在缺陷。首先，软件本身缺乏安全性。操作系统的设计一般着重于提高信息处理的能力和效率，对于安全只是作为一项附带的条件加以考虑。因此，操作系统中的安全缺陷相当多。其次，通信与网络设备本身有弱点。绝大多数电子政务信息网络运行的是TCP／IP，NetBEUI，IPX／SPX等网络协议，而这些网络协议并非专为安全通讯而设计。利用这些网络进行服务，本身就可能存在多方面的威胁，加之使用者信息安全意识淡薄，管理者管理措施不力等原因，会造成一些常见的安全问题：对物理通路的干扰；网络链路传送的数据被窃听；非授权用户非法使用，信息被拦截或监听；操作系统存在的网络安全漏洞；应用平台的安全，如数据库服务器、电子邮件服务器等均存在大量的安全隐患，很容易受到病毒、黑客攻击；直接面向用户的应用系统存在的信息泄露、信息篡改、信息抵赖、信息假冒等。再次，目前世界上还缺乏统一的操作系统、计算机网络系统和数据库管理系统，缺乏统一的信息安全标准、密码算法和协议，因而无法进行严格的安全确认。

(3)我国具有自主知识产权的信息设备、技术、产品较少，如计算机芯片、骨干路由器和微机主板等基本上从国外进口，且对引进技术和设备缺乏必要的技术改造，尤其是在系统安全和安全协议的研究和应用方面。而美欧等发达国家对我国限制和封锁信息安全高密度产品，出口到我国的信息产品中留有安全隐患。例如，美国出口我国的计算机系统的安全系统只有C2级，是美国国防部规定的8个安全级别之中的倒数第三；在操作系统、数据库管理系统或应用程序中预先安置从事情报收集、受控激发破坏的“特洛伊木马”程序，一旦发生重大情况，那些隐藏在软件中的“特洛伊木马”就能够在某种秘密指令下激活，造成我国电子政务关键软件系统的瘫痪。

2．3管理方面

对现有的网络攻击和入侵事件的一项统计报告显示：国外政府入侵的安全风险指数为21％，黑客入侵的安全风险指数为48％，竞争对手入侵的安全风险指数为72％，组织内部不满雇员入侵的安全风险指数为89％。这说明，电子政务信息安全不是单纯的技术问题。如果没有从管理制度、人员和技术上建立相应的电子化业务安全防范机制，缺乏行之有效的安全检查保护措施，再好的技术和设备都无法确保其信息安全。管理上的漏洞，例如，机房重地随意进出，微机或工作站管理人员在开机状态下擅离岗位，敏感信息临时存放在本地的磁盘上，这些信息处于未保护状态，都会为外部入侵，更为内部破坏埋下隐患。其中，来自内部的安全威胁可能会更大，因为内部人员了解内部的网络、主机和应用系统的结构；能够知道内部网络和系统管理员的工作规律，甚至自己就是管理员；拥有系统的一定的访问权限，可以轻易地绕过许多访问控制机制；在内部系统进行网络刺探、尝试登录、破解密码等都相对容易。如果内部人员为了报复或销毁某些记录而突然发难，在系统中植入病毒或改变某些程序设置，就有可能造成损失。内部人员的破坏活动也并不局限于破坏计算机系统，还包括越权处理公务、窃取国家机密数据等。

2．4法律方面

黑客攻击、病毒入侵等网络犯罪的日益增多与网络信息安全法制不健全和对网络犯罪的惩治不力密不可分。一方面，我国已经出台了一系列与网络信息安全有关的法律法规，例如：《计算机软件保护条例》(1992年)、《中华人民共和国计算机信息系统安全保护条例》(1994年)、《警察法》(1995年)、《公安部关于对国际联网的计算机信息系统进行备案工作的通知》(1996年)、《中华人民共和国信息网络国际联网管理暂行规定》(1997年)、《计算机信息网络国际联网安全保护管理办法》(1997年)，《商用密码管理条例》(1999年)、《计算机信息系统国际联网保密管理规定》(2002年)等。此外，1997年3月颁布的新《刑法》第285条、第286条、第287条，对非法侵入计算机信息系统罪、破坏计算机信息系统罪，以及利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家机密等犯罪行为，作出了规定。尽管这些法律法规的出台和实施对于我国网络信息的安全起到相当积极的作用，但仍难以适应网络发展的需要，信息安全立法还存在相当多的盲区。

另一方面，已颁布实施的法律法规不仅规定了出入口制度和市场准入制度，确定了网络信息安全管理机构，阐明了安全责任，而且明确了法律责任，对于危害网络信息安全的个人和单位，规定了经济处罚、行政处罚和刑事处罚等三大类型。但是由于网络犯罪的隐蔽性和高科技性，给侦破和审理带来了极大困难，再加上其他原因，导致执法部门的打击力度有限，在法律的执行上还有不到位之处，一些违法情况及当事人还未得到及时处理和制裁。

3电子政务信息安全的防范策略

3．1强化电子政务环境下公务员的信息安全意识

所谓的信息安全意识，是指公务员对电子政务中信息安全问题主要表现与危害以及保证政府信息安全的意义的正确认识，发现电子政务中影响信息安全的现象和行为的敏锐性，维护电子政务信息安全的主动性。强化公务员的信息安全意识就是要让公务员认识到电子政务信息安全是电子政务正常而高效运转的基础，是保障国家信息安全甚至国家安全的重要前提，从而牢固树立信息安全第一的思想。我国各级政府部门要利用多种途径对公务员进行电子政务信息安全方面的教育。一是通过大众传播媒介，增强公务员信息安全意识，普及信息安全知识。二是积极组织各种专题讲座和培训班，培养信息安全人才，并确保防范手段和技术措施的先进性和主动性。三是要积极开展安全策略研究，明确安全责任，增强公务员的责任心。

3.2建立电子政务信息安全管理机构

首先，政府部门要严格按照《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络安全保护管理办法》的规定，在国家安全部，国家保密局，国务院有关部门及各省、市、自治区公安厅(局)，地(市)、县(市)公安局负责计算机网络信息系统安全保护的行政管理下，建立本单位、本部门、本系统的组织领导管理机构，明确领导及工作人员责任，制定管理岗位责任制及有关措施，严格内部安全管理机制，并对破坏电子政务信息安全的事件进行调查和处理，确保网络信息的安全。

其次，要完善“网上警察”队伍建设，加大监视和打击网络犯罪活动的力度。我国于1983年成立了公安部计算机管理和监察局，1985年全国人大通过了《警察法》，其目的就是“监督计算机信息系统安全保护工作”。1998年又成立了公安部公共信息网络安全监察局，并逐步形成了一支“网上警察”。当前，公安部门的首要任务是吸纳高级信息安全人才充实到网上警察队伍，提高网上警察的快速反应能力、侦察与追踪水平等。

3．3完善我国信息安全基础设施

当前迫切需要建立的国家信息安全基础设施包括：国际出入口监控中心、安全产品评测认证中心、病毒检测和防治中心、关键网络系统灾难恢复中心、系统攻击和反攻击中心、电子保密标签监管中心、网络安全紧急处置中心、电子交易证书授权中心、密钥恢复监管中心、公钥基础设施与监管中心、信息战防御研究中心等。

3．4倾力扶持国有信息安全产业的发展

自主的信息产业或信息产品国产化是保证电子政务信息安全的根本。信息安全技术、产品受制于他国是对国家安全利益的极大威胁。国家应对国有信息安全产业的发展予以充分的政策和财政支持。当前，应在以下3种技术上求得突破：一是能逐步改善信息安全状况、带有普遍性的关键技术，如密码技术、鉴别技术、病毒防御技术、入侵检测技术等；二是创新性强、可发挥杠杆作用的突破性技术，如网络侦察技术、信息监测技术、风险管理技术、测试评估技术和TEMPEST技术等；三是能形成“撒手锏”的战略性技术，如操作系统、密码专用芯片和安全处理器等。还要狠抓技术及系统的综合集成，以确保电子政务信息系统的安全可靠。令人可喜的是，2002年8月19日由我国自主开发的高性能通用芯片“龙芯1”运行成功，这是我国信息安全产业发展史上具有里程碑意义的事件。

3．5健全法律，严格执法

法律是保障电子政务信息安全的最有力手段，发达国家已经在政府信息安全立法方面积累了成功经验，如美国的《情报自由法》和《阳光下的政府法》、英国的《官方信息保护法》、俄罗斯的《联邦信息、信息化和信息保护法》等。我国立法部门应加快立法进程，吸取和借鉴国外网络信息安全立法的先进经验，尽快制定和颁布个人隐私保护法、数据库振兴法、信息网络安全性法规、预防和打击计算机犯罪法规、数字签名认证法、电子凭证(票据)法、网上知识产权法等，以完善我国的网络信息安全法律体系，使电子政务信息安全管理走上法制化轨道。另外，执法部门还要进一步严格执法，提高执法水平，确保各项法律法规落到实处。对于各种违法犯罪情况要严加追究，绝不姑息，对于各种隐患要及时加以预防和制止。

参考文献

黄志澄．电子政务的内涵及发展．中国信息导报，2002(4)

杨义先，林晓东，邢育森．信息安全综论．电信科学，1997(12)

3，5，7，冯杰，李会欣．我国电子政府安全运行分析．新视野，2002(5)

4，8

崔丽，沈昌祥．国家安全概念：对信息系统的安全应从“两弹一星”的高度去认识．中国青年报，1999-06-18

尹秀莲，于跃武．电子政务与网络信息安全．内蒙古科技与经济，2002(2)

9，10

汤志伟．电子政府的信息网络安全及防范对策．电子科技大学学报(社科版)，2002(1)

娄策群．保障电子政府信息安全的政策选择．情报科学，2002(5)

杨海平．网络信息安全研究．情报科学，2000(10)

蒋坡．国际信息政策法律比较．北京：法律出版社，2001

作者：武汉大学信息管理学院2001级硕士研究生

电子档案的信息安全问题与对策探究 第3篇

关键词 电子档案 信息安全 对策

中图分类号：G271 文献标识码：A

Information Security Issues and Countermeasures of Electronic Files

FENG Aixue， XIAO Yuanyuan， TU Yingxia

（Hubei University of Technology Archives， Wuhan， Hubei 430068）

Abstract Information security is increasingly important electronic files in the information age. The paper analyzed the current outstanding problems facing the information security of electronic records， and the corresponding countermeasures from the aspects of the management of system security， hardware construction and personnel training.

Key words electronic files； information security； countermeasures

1 电子档案优势及信息安全面临的突出问题

1.1 优势及特点

相对于传统的纸质档案，电子档案主要有以下几个优点：（1）纸质档案不利于管理。随着时间的积累，纸质档案积聚如山，需要人手管理，这样就加大了档案部门的工作量。（2）纸质档案不利于处理。对于一些相对而言不太重要的档案，经常是如同鸡肋一样，食之无肉，弃之有味，留着觉得占用空间，处理了又怕将来会用到，让档案部门的同志很是头疼。（3）纸质档案不利于查询、调用。笔者经常可以看到，一些同志因为纸质档案的调用四处奔走，而若采用电子档案，则只需轻点鼠标便可。

1.2 电子档案信息安全面临的突出问题

（1）病毒感染问题。例如上世纪90年代的“米开朗基罗病毒”，它会感染感染软盘的DOS引导扇区和硬盘的主引导扇区，发作时，除了像本来一样进行传染外，还将把硬盘和当时插在软驱中的软盘数据破坏掉，美国的很多电子档案馆和图书馆都深受其害。又如大家熟知的Backorifice特洛伊木马病毒，它是一个windows远程管理工具，能够远程遥控电脑，盗取档案信息资料，危害很大。（2）信息安全保护认识问题。目前，档案部门对于保护档案信息安全的重要性、紧迫性认识普遍不足，通常只是注重纸质档案的保存，或是单纯地关心有多少档案馆建设了电子网络，有多少档案进行了数字化。但是对于档案信息安全这个问题并不太关心，或者说认识不足。与此同时，档案信息管理的操作人员对于安全的意识也过于淡薄，常常利用内部包含有重要档案文件的电脑进行与工作无关的娱乐活动，如看电影，玩游戏等。这样就导致了档案部门内部网络信息的安全面临着极大的隐患，很有可能被外界盗用内部档案信息。

2 信息安全内涵

关于信息安全，国际标准化组织定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和显露”。安全性问题，实际上包含两层内容：（1）信息系统的安全。（2）信息的安全。而保护信息的安全则是最终的目的。信息的安全性通常由保密性、完整性、可用性和可控性等四大特征来表征。从物理上，信息安全的内涵可以分为如下三个层级：（1）网络级安全。网络级安全是指支撑系统运行的物理设备的安全问题，包括网络基础建设如网络布线、网络连接、局域网和外网的安全问题。网络级安全策略是整个系统得以安全运行的基本保障，这是需要在系统规划阶段严格把关的重要内容之一。（2）数据级安全。主要涉及到系统存储的档案数据的安全问题。其中包括操作系统、数据库管理系统、档案数据存储、数据备份、数据格式的转化以及各类电子文件的保管和异地存储等。只有维护好这些数据系统的安全，我们才能够保证数据版本的更新、数据格式的转化、硬件设备的意外损坏、存储介质的老化、失效等造成的数据丢失甚至是计算机系统的破坏和瘫痪。（3）应用级安全。主要是指档案管理信息系统在实际应用操作的过程中应考虑的基本问题，主要取决于档案部门所采用的应用系统的用户模型的定义模型和使用规则。简单点说，就是各个用户的权限不同。比如，两个不同的单位，运用同一个操作模块，能看到的只是各自单位的数据库，并不能查阅到其他单位的数据库。

3 信息安全对策

（1）建立完善的档案管理制度。我们的每一级档案单位必须根据自身不同的具体情况，细化各项档案安全的规章制度。只有完善了规章制度，我们才能够确保最后的档案安全工作能够落到实处，才能够打造适合自身的档案安全体系。不仅如此，我们还应该在各级单位建立一个档案安全的紧急预案措施。这样一来，不仅可以建立档案安全部门面对突发情况的快速应急反应体系，而且还能够提高档案安全工作者的安全意识，同时，明确各个工作者的具体责任。

（2）筑牢安全观念。档案信息系统作为一个安全体系，只要其中有一个环节出现了安全问题，都会对（下转第188页）（上接第173页）整个档案部门造成严重的影响。在工作中，要树立电子档案系统安全的“整体安全”的大概念。从档案的基础管理来讲，档案安全包括对已经收集归档的档案进行齐全、完整的收集，其中也包括电子档案不被泄露出去。档案部门的每一个工作人员都应该从思想上重视起档案的安全管理工作，切不可麻痹大意，因为一个环节出现了问题，整个档案部门都会受到极大的影响，同时，也会对档案的归属者造成极其不好的影响。

（3）提升硬件水平，加强技术防范。在硬件方面，我们应该保证电子计算机的正常维护，保护好所有与档案信息有关的设施器材；在软件方面，我们应该积极运用计算机的加密技术，防止计算机病毒的入侵，同时，定期地更新计算机软件，不让网络病毒有机可乘。根据工作实际，设计一套数据备份方案，定期进行数据转储，以备不测。以技术对抗技术是当前最主要的防范手段，技术防范措施主要有：防火墙技术、信息加密技术、身份认证系统等。

（4）引进和培养既懂档案管理，又懂IT技术的复合型人才。众所周知，人才在档案信息化中始终处于主导性地位，是最重要的建设资源，技术引进得再先进，也要靠人才来运用、维持。当我们档案信息安全管理工作出现问题时，总是认为信息化专业型人才的缺失是一个重要的原因。其实不然，我们回想一下，有多少次，档案部门出了资，工厂技术人员也出了力，但是就是收获不到档案信息的实际运用的效果，笔者认为其根本原因还是做出来的软件系统与各个档案部门的实际工作不相适应。专业的IT公司虽然在技术方面能够写出一流的运用软件，但是做出来的软件是否适合我们具体的某些档案部门，亦或是我们档案部门的人员是不是能够熟练地掌握，这就存在着一些磨合的问题。所以说，复合型人才的培养，是我们档案信息管理部门的重中之重。

我国的档案管理日渐进入网络化管理时代，档案信息必将走向数字化。目前惟有加快推进档案管理信息化的步伐，进一步提高档案信息的保护意识，同时采取必要的安全保障措施，引进和培养专门管理人才，才能保障电子档案的信息安全。

参考文献

[1] 薛四新.现代档案管理基础.机械工业出版社.

[2] 郑金月.信息陷阱.新华出版社.

[3] 孙强.信息安全管理.全球最佳实务与实施指南[M].

[4] 薛会军.我国信息安全面临的威胁及应对策略[J].中国无线电管，2002（4）：34-35.

电子商务的信息安全问题探讨与研究 第4篇

一、电子商务中的信息安全技术

电子商务的信息安全在很大程度上依赖于技术的完善, 包括密码、鉴别、访问控制、信息流控制、数据保护、软件保护、病毒检测及清除、内容分类识别和过滤、网络隐患扫描、系统安全监测报警与审计等技术。

1. 防火墙技术。防火墙主要是加强网络之间的访问控制, 防止外部网络用户以非法手段通过外部网络进入内部网络。

2. 加密技术。

数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据, 当需要时可使用不同的密钥将密文数据还原成明文数据。

3. 数字签名技术。

数字签名技术是将摘要用发送者的私钥加密与原文一起传送给接收者, 接收者只有用发送者的公钥才能解密被加密的摘要。

4. 数字时间戳技术。

时间戳是一个经加密后形成的凭证文档, 包括需加时间戳的文件的摘要、DTS收到文件的日期与时间和DIS数字签名, 用户首先将需要加时间的文件用HASH编码加密形成摘要, 然后将该摘要发送到DTS, DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密, 然后送回用户。

二、电子商务安全防范措施

网络安全是电子商务的基础。网络安全防范技术可以从数据的加密 (解密) 算法、安全的网络协议、网络防火墙、完善的安全管理制度、硬件的加密和物理保护、安全监听系统和防病毒软件等领域来进行考虑和完善。

1. 防火墙技术

用过Internet, 企业可以从异地取回重要数据, 同时又要面对Internet带来的数据安全的新挑战和新危险:即客户、推销商、移动用户、异地员工和内部员工的安全访问;以及保护企业的机密信息不受黑客和工业间谍的入侵。因此, 企业必须加筑安全的“壕沟”而这个“壕沟”就是防火墙.防火墙系统决定了哪些内容服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过, 而且防火墙本身必须能够免于渗透。

2. VPN技术

虚拟专用网简称VPN, 指将物理上分布在不同地点的网络通过公用骨干网联接而形成逻辑上的虚拟“私”网, 依靠IPS或NSP在安全隧道、用户认证和访问控制等相关技术的控制下达到与专用网络类同的安全性能, 从而实现基于Internet安全传输重要信息的效应。目前VPN主要采用四项技术来保证安全, 这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。

3. 数字签名技术

为了保证数据和交易的安全、防止欺骗, 确认交易双方的真实身份, 电子商务必须采用加密技术。数字签名就是基于加密技术的, 它的作用就是用来确定用户是否是真实的。数字签名就是通过一个单向哈希函数对要传送的报文进行处理而得到的用以认证报文是否发生改变的一个字母数字串。发送者用自己的私钥把数据加密后传送给接收者, 接收者用发送者的公钥解开数据后, 就可确认消息来自于谁, 同时也是对发送者发送的信息真实性的一个证明, 发送者对所发信息不可抵赖, 从而实现信息的有效性和不可否认性。

三、电子商务的安全认证体系

随着计算机的发展和社会的进步, 通过网络进行的电子商务活动当今社会越来越频繁, 身份认证是一个不得不解决的重要问题, 它将直接关系到电子商务活动能否高效而有序地进行。认证体系在电子商务中至关重要, 它是用户获得访问权限的关键步骤。现代密码的两个最重要的分支就是加密和认证。加密目的就是防止敌方获得机密信息。认证则是为了防止敌方的主动攻击, 包括验证信息真伪及防止信息在通信过程被篡改删除、插入、伪造及重放等。认证主要包括三个方面:消息认证、身份认证和数字签名。

身份认证一般是通过对被认证对象 (人或事) 的一个或多个参数进行验证。从而确定被认证对象是否名实相符或有效。这要求要验证的参数与被认证对象之间应存在严格的对应关系, 最好是惟一对应的。身份认证是安全系统中的第一道关卡。

数字证书是在互联网通信中标志通信各方身份信息的一系列数据。提供了一种Internet上验证用户身份的方式, 其作用类似于司机的驾驶执照或身份证。它是由一个权威机构CA机构, 又称为证书授权 (Certificate Authority) 中心发行的, 人们可以在网上用它识别彼此的身份。

四、结束语

安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是, 安全技术可以降低系统遭到破坏、攻击的风险。因此, 为进一步促进电子商务体系的完善和行业的健康快速发展, 必须在实际运用中解决电子商务中出现的各类问题, 使电子商务系统相对更安全。电子商务的安全运行必须从多方面入手, 仅在技术角度防范是远远不够的, 还必须完善电子商务立法, 以规范飞速发展的电子商务现实中存在的各类问题, 从而引导和促进我国电子商务快速健康发展。

摘要：电子商务是新兴商务形式, 信息安全的保障是电子商务实施的前提。本文针对电子商务活动中存在的信息安全隐患问题, 实施保障电子商务信息安全的数据加密技术、身份验证技术、防火墙技术等技术性措施, 完善电子商务发展的内外部环境, 促进我国电子商务可持续发展。

关键词：电子商务,信息安全,信息安全技术,数字认证,安全协议

参考文献

[1]劳帼龄.电子商务的安全技术[M].北京:中国水利水电出版社, 2005.

[2]赵泉.网络安全与电子商务[M].北京:清华大学出版社, 2005.

[3]肖和阳, 卢嫣.电子商务安全技术[M].长沙:国防科技大学出版社, 2005.

电子商务网络信息安全问题 第5篇

1.防火墙技术。防火墙(Firewall)是近年来发展的最重要的安全技术，它的主要功能是加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查，来决定网络之间的通信是否被允许，并监视网络运行状态。简单防火墙技术可以在路由器上实现，而专用防火墙提供更加可靠的网络安全控制方法。

防火墙的安全策略有两条。一是“凡是未被准许的就是禁止的”。防火墙先是封闭所有信息流，然后审查要求通过的信息，符合条件的就让通过;二是“凡是未被禁止的就是允许的”，防火墙先是转发所有的信息，然后再逐项剔除有害的内容，被禁止的内容越多，防火墙的作用就越大。网络是动态发展的，安全策略的制定不应建立在静态的基础之上。在制定防火墙安全规则时，应符合“可适应性的安全管理”模型的原则，即：安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。防火墙技术主要有以下三类：

●包过滤技术(PackctFiltering)。它一般用在网络层，主要根据防火墙系统所收到的每个数据包的源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包中的各种标志位来进行判定，根据系统设定的安全策略来决定是否让数据包通过，其核心就是安全策略，即过滤算法的设计。

●代理(Proxy)服务技术。它用来提供应用层服务的控制，起到外部网络向内部网络申请服务时的中间转接作用。内部网络只接受代理提出的服务请求，拒绝外部网络其它节点的直接请求。运行代理服务的主机被称为应用机关。代理服务还可以用于实施较强的数据流监控、过滤、记录等功能。

●状态监控(StatcInnspection)技术。它是一种新的防火墙技术。在网络层完成所有必要的防火墙功能――包过滤与网络服务代理。目前最有效的实现方法是采用CheckPoint)提出的虚拟机方式(InspectVirtualMachine)。

防火墙技术的优点很多，一是通过过滤不安全的服务，极大地提高网络安全和减少子网中主机的风险;二是可以提供对系统的访问控制;三是可以阻击攻击者获取攻击网络系统的有用信息;四是防火墙还可以记录与统计通过它的网络通信，提供关于网络使用的统计数据，根据统计数据来判断可能的攻击和探测;五是防火墙提供制定与执行网络安全策略的手段，它可以对企业内部网实现集中的安全管理。

防火墙技术的不足有三。一是防火墙不能防止绕过防火墙的攻击;二是防火墙经不起人为因素的攻击。由于防火墙对网络安全实施单点控制，因此可能受到黑客的攻击;三是防火墙不能保证数据的秘密性，不能对数据进行鉴别，也不能保证网络不受病毒的攻击。

2.加密技术。数据加密被认为是最可靠的安全保障形式，它可以从根本上满足信息完整性的要求，是一种主动安全防范策略。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥，可用同一加密算法，将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据，称为解密。

密钥加密技术分为对称密钥加密和非对称密钥加密两类。对称加密技术是在加密与解密过程中使用相同的密钥加以控制，它的保密度主要取决于对密钥的保密。它的特点是数字运算量小，加密速度快，弱点是密钥管理困难，一旦密钥泄露，将直接影响到信息的安全。非对称密钥加密法是在加密和解密过程中使用不同的密钥加以控制，加密密钥是公开的，解密密钥是保密的。它的保密度依赖于从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可能性。算法的核心是运用一种特殊的数学函数――单向陷门函数，即从一个方向求值是容易的，但其逆向计算却很困难，从而在实际上成为不可能。

除了密钥加密技术外，还有数据加密技术。一是链路加密技术。链路加密是对通信线路加密;二是节点加密技术。节点加密是指对存储在节点内的文件和数据库信息进行的加密保护。

3.数字签名技术。数字签名(DigitalSignature)技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中，数字签名技术有着特别重要的地位，在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。

在书面文件上签名是确认文件的一种手段，其作用有两点，一是因为自己的签名难以否认，从而确认文件已签署这一事实;二是因为签名不易仿冒，从而确定了文件是真的这一事实。数字签名与书面签名有相同相通之处，也能确认两点，一是信息是由签名者发送的，二是信息自签发后到收到为止未曾做过任何修改。这样，数字签名就可用来防止：电子信息因易于修改而有人作伪;冒用别人名义发送信息;发出(收到)信件后又加以否认。

广泛应用的数字签名方法有RSA签名、DSS签名和Hash签名三种。RSA的最大方便是没有密钥分配问题。公开密钥加密使用两个不同的密钥，其中一个是公开的，另一个是保密的。公开密钥可以保存在系统目录内、未加密的电子邮件信息中、电话黄页上或公告牌里，网上的任何用户都可获得公开密钥。保密密钥是用户专用的，由用户本身持有，它可以对公开密钥加密的信息解密。DSS数字签名是由美国政府颁布实施的，主要用于

跟美国做生意的公司。它只是一个签名系统，而且美国不提倡使用任何削弱政府窃听能力的加密软件。Hash签名是最主要的数字签名方法，跟单独签名的RSA数字签名不同，它是将数字签名和要发送的信息捆在一起，所以更适合电子商务。

4.数字时间戳技术。在电子商务交易的文件中，时间是十分重要的信息，是证明文件有效性的主要内容。在签名时加上一个时间标记，即有数字时间戳(DigitaTimestamp)的数字签名方案：验证签名的人或以确认签名是来自该小组，却不知道是小组中的哪一个人签署的。指定批准人签名的真实性，其他任何人除了得到该指定人或签名者本人的帮助，否则不能验证签名。

时间戳(Time-Stamp)是一个经加密后形成的凭证文档，包括三个部分。一是需加时间戳的文件的摘要(Digest)，二是DTS收到文件的日期与时间，三是DIS数字签名。

时间戳产生的过程是：用户首先将需要加时间的文件用HASH编码加密形成摘要，然后将该摘要发送到DTS，DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名)，然后送回用户。书面签署文件的时间是由签署人自己写上的，数字时间则不然，它是由认证单位DIS来加的，以DIS收到文件的时间为依据。

数字认证及数字认证授权机构

1.数字证书。数字证书也叫数字凭证、数字标识，它含有证书持有者的有关信息，以标识他的身份。数字证书克服了密码在安全性和方便性方面的局限性，可以控制哪些数据库能够被查看，因此提高了总体的保密性。

数字证书的内容格式是CCTTTX.509国际标准规定的，通常包括以下内容：证书所有者的姓名;证书所有者的公共密钥;公共密钥(证书)的有效期;颁发数字证书单位名称;数字证书的序列号;颁发数字证书单位的数字签名。

数字证书通常分为三种类型，即个人证书、企业证书、软件证书。个人证书(PersonalDigital)为某一个用户提供证书，帮助个人在网上安全操作电子交易。个人数字证书是向浏览器申请获得的，认证中心对申请者的电子邮件地址、个人身份及信用卡号等核实后，就发给个人数字证书，并安置在用户所用的浏览器或电子邮件的应用系统中，同时也给申请者发一个通知。企业证书，就是服务器证书(ServerID)，是对网上服务器提供的一个证书，拥有Web服务器的企业可以用具有证书的Internet网站(WebSite)来做安全的电子交易。软件证书通常是为网上下载的软件提供证书，证明该软件的合法性。

2.电子商务数字认证授权机构。电子商务交易需要电子商务证书，而电子商务认证中心(CA)就承担着网上安全电子交易认证服务、签发数字证书并确认用户身份的功能。

CA主要提供下列服务：有效实行安全管理的设施;可靠的风险管理以及得到确认和充分理解。接受该系统服务的电子商务用户也应充分信任该系统的可信度。CA具有证书发放、证书更新、证书撤销、证书验证等四大职能。

电子商务与信息安全 第6篇

【关键词】 等级保护 电子政务 应用

近几年我国电子政务高速发展，同时安全防护问题日益凸显，黑客入侵、信息泄露等危害信息安全事件频发，这严重影响到国民经济和社会信息化的健康发展，应依据电子政务等级保护这一信息安全系统规范对这些安全问题进行认真分析和研究，探讨应对策略和实施等级保护的方式。综合平衡成本和风险，优化信息安全资源的配置，从而对高效、安全防护的方法进行应用和部署，最终实现提高电子政务信息安全保障能力和水平，维护国家安全、社会稳定和公共利益的目标。

一、电子政务等级保护

1、电子政务。电子政务实际上就是政务信息化，运用先进的信息技术打破原来政府各个部门之间的界限，将电子政务网络延伸到省、市、县以及乡镇之中，建设一个电子化的虚拟政府，这可以方便政府办公，提高政府公信力，让公众一起来监督政府的工作；还可以进行网络服务，建设服务型政府，利用电子政务改变行政的管理方式，达到优化政府业务处理流程的目的，从而提高政府的办事效率，保证民情、社会热点信息、经济运行信息以及城市运行管理信息能够及时的上传到信息系统中。

2、等级保护。等级保护是电子政务中至关重要的一种保障方式，在国家经济和社会信息化的发展道路上，提高了信息的安全保障能力和水平，能够在最大限度上维护国家的信息安全。等级保护的核心思路就是等级化，根据电子政务在国家安全、社会稳定、经济安全以及公共利益等方面的重要程度进行划分，同时，结合网络系统面临的安全问题、系统要求和成本开销等因素，划分成不一样的安全保护等级，从而采用相应的安全保护方法，来保证信息或信息系统的保密性和完整性。其主要分为管理层面和技术层面。前者的主要工作是制定电子政务信息安全等级保护的管理方法、基本安全要求以及对电子政务等级保护工作的管理等方面，还可分为安全管理机构、人员安全管理、系统建设管理和系统运维管理。后者的工作主要就是依照管理层的要求对电子政务系统进行网络安全、应用安全、主机安全以及数据安全的确认，然后，确定系统要采取的保障措施，接着就是进行系统的安全设计和建设，最后进行监控和改进。

二、等级保护的技术应用

等级保护的基本原理是按照电子政务系统的使命、目标和重要程度，对系统的保护程度进行划分，设计合理的安全保护措施。

1、基础设施安全。基础设施指为电子政务业务应用提供可靠安全系统服务的一组工程设施，其中有物理机房、设备设施和场地环境等等。可以分为两类：数据中心机房、机房环境；其中要保障数据中心机房的安全，首先要做到机房访问控制，也就是进入机房的人员一定要经过申请或审批，监督访问者，记录进出时间，并且仅允许他们访问已授权的目标；其次在机房重要的区域需要配置电子门禁系统，用来控制、鉴别和记录进入的人员。然后机房环境的安全问题要注意机房的门、墙壁和天花板，以及装修应当参照电子信息系统机房设计的相关标准进行实施；并且要安装防雷系统和防雷的保安器；安装精密空调；电源线路和通信线路隔离铺设，避免发生故障，最后一定要安装机房环境监护系统。

2、通信网络安全。首先要保证网络结构的安全，依照业务系统服务的重要次序来分配带宽的优先级，比如网络拥塞的时候要优先保障重要业务数据流。所以，应当根据各部门的工作职能、重要性和业务流程等重要的因素进行划分。若是重要的业务系统及数据，其网段就不能直接与外部进行连接，要单独划分区域，注意要与其他网段隔离开。其次，网络安全审计主要是用来监控和记录网络中的各类操作的，并检测网络中是否存在现有的或潜在的威胁。这时要安装网络入侵检测系统和网络审计系统，从而保障通信网络的安全。最后要想保证通信的完整性和保密性，一定要利用安全隧道，然后进行认证以及访问权限的控制，从而保障政务网络互联安全、移动办公安全、重点区域的边界防护安全。

3、计算机环境安全。第一，要统一身份管理和授予管理系统。第二，对主机入侵防范要布置漏洞扫描系统，进行系统安全的监测。第三，要防范主机的恶意代码。终端主机和服务器上都要部署防病毒系统，将系统扼杀在源头上。同时，不但要制定防病毒策略，还要及时的更新升级病毒库。第四，一定要保证数据的完整性和保密性。要想检验存储的信息是否具有完整性和保密性，可以采用校验码技术、密码检验函数、消息鉴别码等相关技术。

电子商务与信息安全 第7篇

受到传统观念的影响, 档案工作一直都坚持保密原则, 对档案利用工作不够重视, 导致很多档案被束之高阁。随着计算机、网络、数字等现代化技术的运用, 电子档案信息应运而生, 但在其利用过程中不可避免的会出现丢失、偷窃、黑客入侵等问题, 因此, 关注电子档案信息安全已经迫在眉睫。

1. 加强档案信息安全的重要性

与一般的信息不同, 档案记录着工作部门的重要信息及历史进程, 大部分内容甚至涉及国家重要机密, 影响国家的安全, 对其保密是国家对其最主要的要求。如果这些信息由于某些原因泄露的话, 那么其后果将十分严重, 甚至会威胁到国家的安全, 公众利益也会受到损害。档案信息的一些作用是其他信息所无法取代的, 这就在一定程度上决定了其安全性必须要高于其他信息, 由此不难看出, 档案信息的安全性问题已经成为时代发展的重要问题。

2. 档案信息安全性范围

安全是信息管理的生命, 要保证信息的安全, 就必须要在合理范围内进行利用, 首先就是确保其机密性, 其次要保证档案来源的合法性, 最后要保证所利用档案未经修改的完整性。电子档案最主要的特征就是一切都必须要依赖计算机进行。所以, 不论是文件的传输或者是档案的整理都必须要通过计算机进行, 采取的是信息共享的方式, 实现信息公开。但运用计算机其传输与保存过程中则存在诸多漏洞, 非常容易遭受安全攻击, 导致信息泄露, 进而影响到国家的安全, 限制电子档案信息的公开推广, 这就要求档案工作人员在工作过程中做好预防方案, 保证信息公开过程中的安全性。

3. 做好电子档案信息安全的有效措施

3.1 加强档案人员的安全

不论档案信息系统设计的如何安全, 如何周密, 如果管理人员的安全意识不足也将出现问题, 因此, 要想保证电子档案的安全性就必须要提升档案操作人员的素质, 减少信息被泄露的危险。这就要求在实行档案信息公开前, 必须要加强人员的管理, 减少人为疏失, 通过对内部人员的培训, 宣传安全性等措施减少危险发生。同时, 要加强单位内部的人员管理, 所有利用档案人员必须要确认身份后方可执行利用行为。

除此之外, 还要加强对流动人员的管理, 合理控制其对档案的利用情况, 增强管理质量。不论任何人, 只要接触电脑都必须要得到批准, 根据职位的区别给予其相应的使用权。也可以根据使用者的不同而采取不同的命名方式, 一旦遇到有入侵意图的情况, 必须立即采取措施加以控制, 排除。

3.2 提高操作的安全性

要想保证安全性, 关键是操作的安全性, 而操作的关键是人, 这是保证电子档案信息安全的首要前提。因此, 必须要在单位内部进行必要的宣传, 提升员工的安全意识, 加强对电脑使用的安全管理意识, 做好资料的备份工作, 减少信息公开过程中受到感染而导致资料丢失或损毁, 除了要在工作的计算机上必要的杀毒软件外, 还可以提高信息传递软件质量, 改善环境的安全性。尤其是对特别重要的信息必须要做到多次备份, 将损失降到最低。除此之外, 单位内部也要制定紧急情况应对方案, 根据具体情况定期进行调节与改进, 进而保证信息的安全性。

3.3 增强档案信息内容的安全管理

大众可以接收到的档案信息多数都是以网页或者是邮件的方式接收到的, 而这种公开方式是存在一定弊端的, 因此, 要增强档案信息的安全性, 就有必要改进档案传输的防水, 或者是对原有的传输方式进行改进, 除了必要的杀毒软件外, 还可以采取内容过滤的方式来保证资料的安全性, 降低信息发出后的安全攻击率。

以目前我国的科技发展情况来看, 影像是电子档案最主要的方式, 在进行影像扫描的过程中非常容易出现泄漏等安全问题, 对此, 必须要加强对原卷的管理, 保证扫描后的资料与原卷一致, 并提高对原卷的保管意识。

近年来, 档案信息被非法窃取的情况较为常见, 为了降低这一情况, 提升信息的工公信力, 就必须要对传输文件进行管理, 除了进行加密处理外, 也可以增强存取控制力度, 加强对资料利用人员的管理。但任何管理技术都存在疏忽。所以, 就必须要不断的完善档案管理系统, 提高操作的安全性, 在日益完善的法律法规环境下提高档案信息的利用率。

3.4 加强信息设备的环境安全性

设备室档案信息存储的环境, 要想确保信息安全, 设备安全是关键, 所以, 必须要增强对档案信息管理设备的安全性管理, 对于设备存储的环境也要提升安全性, 除了要进行常规的加密外, 还必须要增强对使用权限的控制, 减少设备的使用人员。用最原始也是最有效的方式进行档案信息的管理, 就是人员管理, 一旦档案出现泄漏或者是任何问题, 至少有可追查的方向。另外, 如果经济条件允许的话, 也要做到备份场所的管理, 一旦遇到不可抗拒的因素外, 至少还有备份信息以供使用, 降低损失外也可以尽快回复工作。

结束语

档案信息是一个单位乃至一个国家的重要资源, 在国家发展进步过程中是不可替代且不可丢失的重要财富, 因此, 其安全问题必须要引起重视, 这就要求有关部门与相关的工作人员必须从自身做起, 提高环境的安全性, 增强人员的安全意识, 对涉及到国家机密的档案仍然要坚持保密, 作为新时期工作人员必须要把握好这个度, 从多个角度维护国家的档案信息安全, 实现信息公开与国家发展的双赢目标。

摘要：时代的进步, 科技的发展, 信息成为新时期人们生活不可或缺的, 实现信息共享是时代发展的必然要求, 实现档案信息公开是必然的, 但其安全问题颇受关注, 下文就来分析电子档案信息公开与档案信息安全之间的问题, 立足实际, 提出有效的改进对策。

关键词：电子档案信息,公开,信息安全

参考文献

[1]王立娜, 闫大伟.培育全员安全文化保障电力信息安全[J].电力安全技术, 2013 (05) .

[2]何孟原.档案开放工作管窥[J].兰台世界, 2006 (20) .

[3]王颖春.浅析档案信息公开[J].黑龙江档案, 2008 (4) .

电子商务与信息安全 第8篇

一、信息化时代电子商务会计信息面临的安全问题

1. 电子商务应用软件、数据库系统以及网络系统软件等存在安全漏洞

互联网的飞速发展给人们的生活带来了前所未有的转变, 但与此同时, 由于互联网的共享性和开放性, 使得网络上的信息安全得不到有效保障, 存在先天的不足之处。数据库软件、网络浏览器软件、微机的操作系统、网络系统以及电子商务应用软件等等, 都极有可能存在设计方面的安全漏洞, 为计算机黑客提供了可乘之机。

2. 缺乏有效地网络安全管理制度

从目前的实际情况来看, 我国的大多数企业严重缺乏网络安全意识, 有些企业甚至缺少必要的安全知识, 绝大多数企业并没有建立有效地网络安全管理制度, 部分企业即便建立起了有效地安全管理制度, 也并没有严格遵守已有的安全管理制度, 因而面对各种各样的网络安全风险问题, 无法进行有效地防范和解决, 使得企业开展电子商务的风险大大增加, 给电子商务会计信息构成安全隐患, 从而制约了电子商务会计信息的健康稳定发展。

二、信息化时代关于如何进行电子商务会计信息内部控制的措施

1. 加强网络安全控制

在信息化时代背景下, 电子商务会计要想安全稳定的运行, 其前提条件是必须建立安全畅通的网络环境, 因此, 不断加强网络安全控制的必要性和重要性不言而喻。加强网络安全的控制工作首先需要对操作系统进行维护, 及时对操作系统进行更新升级, 及时查找并修复漏洞, 经常对操作系统进行扫描和检测[1]。同时, 针对本地计算机, 相关使用人员应该经常进行杀毒和查毒工作, 将外部侵入的病毒及时彻底清除干净。其次, 还需要设立防火墙, 这主要是为了对外部的访问进行控制, 防止外来人员非法侵入本地系统。再次, 需要对相关数据进行加密。对对需要传输的相关会计信息进行加密保护是基本的一项控制措施, 可以有效避免会计数据在传输的过程当中的被拦截和出现泄漏等问题。

2. 加强会计信息系统的开发控制

在信息化时代背景下, 要想确保的电子商务会计信息的完整性和安全性, 还必须不断加强会计信息系统的开发控制。这就要求企业在对会计信息系统进行选择时, 必须预先通过全方面的调查, 最终筛选出具有较高品质和较好信誉度的软件供应商。在进行软件设计工作时, 企业应该积极与相关软件设计人员进行交流和沟通, 将企业自身对软件的实际需求及时告知设计人员。完成软件的设计工作之后, 应该在网络上进行在线测试, 以便及时发现问题。并予以及时修改和解决。同时, 企业可以专门委派内部的相关系统维护人员定期去往软件设计单位进行相关知识的培训和教育, 不断加强信息系统知识的学生的指导熟练掌握, 能够灵活运用, 以便后续对信息系统进行维护时, 能够更加有效地实施监督, 为电子商务会计信息的完整性和安全性提供可靠的保障。

3. 加强内部组织控制

在电子商务会计信息系统中, 对内部组织进行有效控制与传统会计相比要广泛得多, 要想使电子商务会计信息系统的内部组织得到不断完善, 首先应该将监控职责与操作职责区分开来。当操作人员在进行会计数据的录入工作时, 不仅需要操作人员自身进行严格的把关, 同时相关监控人员必须对已经完成录入的会计数据进行及时的审查, 以确保会计数据的真实性, 及时发现问题和解决问题[3]。同时, 还需要不断加强对存储介质的保管工作, 养成备份的良好习惯, 对于特别重要的会计数据, 必须打印出来予以保存。其次, 还应该加强系统安全控制, 要求会计工作人员的计算机应该专人使用, 在平时工作中, 对计算机进行定期检查, 严禁私自使用其他人员的计算机进行操作。

三、结语

综上所述, 在信息化时代背景下, 电子商务得到迅速的发展, 从而推动了电子商务会计的发展, 但由于电子商务的特殊性, 使得电子商务会计信息面临着电子商务应用软件、数据库系统以及网络系统软件等存在安全漏洞和缺乏有效地网络安全管理制度等一系列的安全问题, 基于这些问题, 我们认为, 要想确保电子商务会计信息的完整性和安全性, 首先任务是必须不断加强电子商务会计信息的内部控制,

摘要：本文首先简要分析了信息化时代电子商务会计信息面临的安全问题, 并着重针对关于如何进行电子商务会计信息内部控制的措施进行了认真深入地研究, 以供参考。

关键词：信息化时代,电子商务会计信息,内部控制研究

参考文献

[1]杨川.网络环境下会计电算化的安全隐患防范和控制[J].信息与电脑 (理论版) , 2012, 66 (10) :79-80.

[2]本刊编辑部.中国商业会计学会2014年度理事会暨学术年会在河南郑州召开[J].商业会计, 2014, 06 (15) :03-05.

电子商务与信息安全 第9篇

电子商务是一项与传统交易完全不同的贸易活动, 而其中的网络支付系统就是支持这种新的贸易方式的重要条件和必要支持, 电子商务就是利用相关的计算机技术, 借助Internet而实现在线支付, 即传递商务信息和进行商务活动, 所以它要求数据的传递、交换及处理在网络上能够保障有非常高的安全系数。这就要求电子商务相关部门或人员在进行业务或项目开发时, 对整个项目的信息安全进行风险评估, 得出项目实施可行性等一系列结果。

电子商务系统的信息安全风险评估运用科学合理的分析方法、手段, 运用系统的观点来分析电子商务信息系统所面临的人为或自然因素的威胁以及所存在的脆弱性, 努力在网络的“安全等级”和“风险投资”之间找到一个很好的平衡点。

因此, 整合传统的网络信息安全技术, 并结合现代化的新型技术应用, 研究出一套既安全又可靠的电子商务交易安全体系已经成为当前电子商务网络信息安全研究的重要内容之一。

2 电子商务系统中存在的信息安全问题

一般来讲, 电子商务中所涉及的信息安全性是指在电子商务交易过程中利用各种技术、法律等措施来保证交易信息不会因偶然或恶意原因而遭到破坏或泄露的要求。21世纪初, 我国的金融系统所发生的计算机犯罪率不断攀升。据报道, 2002年一起有关不法分子利用黑客入侵在银行网银服务器植入“木马”病毒程序, 窃取多家客户的保密信息进行不法交易, 所涉金额将近百万。我国金融网络的信息安全现状不容乐观, 亟待改善。

下面我们来简单介绍一下电子商务网络中的信息安全问题, 主要涉及以下几个方面。

(1) 软件和应用漏洞

软件的复杂性以及程序编写的多样性导致电子商务系统中的软件会由于一些原因而留下安全漏洞。例如, 网络操作系统本身就会存在一些安全漏洞, 像I/O的非法访问、不完全中介及访问控制的混乱等都会造成数据库安全漏洞的产生, 这些漏洞严重危害到电子商务系统的信息安全。尤其是在设计初期未考虑到安全性的TCP/IP通信协议, 在连接Internet时就有可能受到外界的恶意攻击或窃取等。这些都显示了目前电子商务系统网络软件存在一些可避免或不可避免的安全漏洞。

(2) 电脑病毒问题

随着网络技术的应用越来越广泛, 压缩文件、电子邮件等已成为电脑病毒传播的主要途径, 加之病毒种类的多样化、破坏性的增强, 使得电脑病毒的传播速度大大加快。而近年来新型病毒种类数量迅速增加, 互联网更是给病毒传播提供了很好的媒介。这些病毒通过网络进行传播甚至是加速传播, 稍有不慎就会造成不可弥补的经济损失。

(3) 黑客入侵

目前, 除了电脑病毒的迅速传播, 黑客的恶意行为也越来越猖狂。黑客常用的木马程序相对于电脑病毒来说更具有目的性, 使得计算机记录的登录信息被木马程序恶意篡改, 最终造成重要信息、文件甚至是资金被盗。

(4) 人为因素造成的安全问题

电子商务公司的大部分保密性工作都是通过工作人员的操作进行的, 因此这需要工作人员具有很好的保密性、严谨性及责任心。如果工作人员的责任心不强、态度不端正, 时常擅离职守, 让无关人员随意进出机房重地, 甚至向他人透露保密信息, 就会让违法分子有机可乘窃取重要信息。再如, 若工作人员缺乏良好的职业道德素质, 便有可能非法超越权限而擅自更改或者删除他人的信息, 也有甚者会利用自己的专业知识与工作职务来窃取相关的用户口令和标识符, 将其非法出卖。

3 电子商务信息安全风险评估的现状及存在问题

通过上面的介绍, 我们可以看出进行信息系统安全风险评估是十分有必要和重要的。目前, 我国也有一些针对信息安全风险评估的研究和应用, 其中常用的风险评估工具有风险评估矩阵、问卷、风险评估矩阵与问卷相结合的方法以及专家系统等。另外, 网络信息安全风险评估常用的方法主要有定量的因子分析法、时序模型、决策树法和回归模型等风险评估方法。定性分析法主要涉及到逻辑分析法、Delphi法、因素分析法、历史比较法等。此外, 还有定量与定性相结合的评估方法, 主要包括模糊层次分析法、基于D-S证据理论的评估方法等。然而, 目前我国的网络信息安全风险评估还存在一定的问题, 需要在以后的研究创新中加以重视和研究。

3.1 对电子商务信息安全风险评估的认识不足

当前, 很多相关人员还没有认识到电子商务信息系统所面临的大挑战, 因此并没有认真重视信息安全风险评估的重要性, 原因有以下几点。一, 目前很多开展信息安全风险评估的公司或单位尚未通过标准、规范的培训, 尚未系统地学习信息安全风险评估工作的相关理论、方法和技术工具等方面内容, 这导致很多与信息安全评估工作相关的领导和工作人员对信息风险评估重要性的认识严重不足, 自然其更没有将这种风险评估的工作纳入到现行的信息安全系统框架里。二, 虽然有不少的单位想将信息安全工作放至重要位置, 但却受到人力、物力、财力等方面的限制, 同时也受到一些财务制度的约束阻碍, 使得信息安全系统前期的信息安全风险评估准备工作得不到应有的重视。

3.2 缺少信息安全风险评估方面的专业技术人才

首先, 就我国现有公司的信息安全风险评估现状来看, 很多公司都缺乏专业的信息安全管理人员, 更不用说专业的风险评估技术人员了。信息安全风险评估的技术含量非常高, 它要求工作人员具有相当高的技术水平, 而现在很多公司都是以普通的信息人员充当风险评估技术人员, 这是不行的。其次, 信息安全风险评估其实是一项综合性很强的工作, 它不仅涉及公司全部的业务信息, 还涉及各方面的人力物力财力, 因此需要各部门相互配合完成, 而现在大多数公司只依靠信息部门进行, 很难较好的完成信息安全风险评估工作。

3.3 风险评估工具相对缺乏

目前, 在电子商务执行过程中的应对工具, 如防火墙、漏洞扫描等都相对成熟, 但是在这些活动前期所涉及的信息安全风险评估工具却较缺乏。例如, 上述我们提到的四个评估工具中, 除专家系统以外, 其他的技术工具都相对较简单, 且缺少实际的理论基础。另外, 这种信息风险评估工具的开发运用方面, 呈现出国内、外极不平衡的状况, 国内相对落后。

4 我国电子商务信息安全及风险评估工作的发展对策

4.1 增强电子商务系统信息安全及风险评估意识

在英国, 曾经做过一项关于信息系统安全问题的调查统计, 结果显示约80%的信息损失是人为因素造成的;在国内, 也经常有因用户口令设置不当、随意将账号借与他人而造成信息安全威胁的现象。防止人为造成的信息安全问题已经成为一个重要内容。因此, 电子商务公司一定要对其从业人员进行必要的信息安全知识教育培训, 最大化地提高他们的信息安全及风险评估意识, 积极防范信息毁损和泄密情况的发生, 从而保证信息的完整性和可靠性, 保障用户利益的同时也可以提高企业的竞争力。

4.2 加强对专业技术人员的培训, 提高风险评估人员的专业技能

针对信息安全风险评估技术人员, 我们可以通过以下方法进行相应的培训:一, 可以整合公司内部的人力资源, 加大风险评估的培训力度, 利用专业的培训教材, 通过学习弥补评估人员的知识缺陷, 提高其技术水平;二, 实行互补型培训, 根据风险评估技术的专业分类, 组织技术人员据此进行相应的培训, 从而培养技术互补型的风险评估队伍;三, 合理利用社会资源, 公司应该加大对技术资源的投资, 可聘请经验丰富的专家学者来组成第三方评估方, 以备公司不时之需;四, 公司人力资源部门可以有计划地对技术人员进行规范化的认证培训, 实施职业技术资格准入制度, 这样就可以从源头提高信息安全风险评估技术人员进入的门槛, 保证评估技术人员的综合素质, 为后期电子商务的信息安全风险评估工作打下坚实的基础。

4.3 积极加强对信息安全防范技术的研究和应用

目前, 常用的保障电子商务系统的信息安全技术主要包括防火墙技术、防病毒技术、入侵检测技术、数据加密和证书技术以及相应的信息安全协议等。电子商务提供了无限的商机与方便, 企业也通过电子商务的开展使得竞争力有所提高。因此, 为了开展安全可靠的电子商务业务, 我们必须在加强对电子商务信息安全及风险评估研究的同时, 进而建立较为科学合理的电子商务信息安全体制。

然而, 如果我国在基础硬件与芯片等方面不能自主, 那么会严重阻碍我们对信息安全监测或评估的实施。在建立自主的信息安全及评估体制时, 要积极利用好国、内外的资源, 统一组织对信息安全重大技术的攻关, 建立创新性的电子商务信息安全及评估体制。

5 结束语

综上所述, 电子商务信息系统的安全问题是一项极其复杂的工程, 这个系统工程既涉及了信息动态传输的安全问题, 还涉及到信息静态存储的安全问题;它既是一项技术问题, 也是一项关乎策略、信用、制度法规和社会公众参与电子商务活动等的非技术问题。而在前面的内容中, 我们就目前电子商务信息系统所可能存在的安全问题进行了介绍, 电脑病毒、软件漏洞、人为因素等相关安全问题不容忽视, 需要加以控制和制止。因此在此基础上, 就需要在信息系统建立之前做好信息安全风险评估工作, 然而面对当前我国信息安全风险评估所存在的缺陷和不足, 要求我们积极做好与此相关的工作, 从信息安全意识、专业人才、新型技术等方面着手加强我国电子商务信息安全风险评估的研究和发展, 为电子商务的发展提供一个良好的信息平台。

摘要：近年来, 电子商务业务在我国的发展日益迅速, 随之而来便是备受人们关注的电子商务系统的信息安全问题及其风险评估。本文在就我国电子商务系统所存在的信息安全问题进行讨论的基础上, 分析了我国电子商务信息安全风险评估的现状与改善对策, 旨在提高我国的电子商务信息安全风险评估意识和技术, 建立一套完善的电子商务信息安全及评估机制。

关键词：电子商务,信息安全,风险评估,对策

参考文献

[1]吴鹏程.电子商务信息安全与风险管理刍议[J].中国新技术新产品, 2009年第7期.

[2]赵刚, 王杏芬.电子商务信息安全管理体系架构[J].北京信息科技大学学报, 2011年第26卷第1期.

[3]伍永锋.基于模糊支持向量机的电子商务交易安全风险评估方法[J].科技通报, 2012年第28卷第9期.

[4]高博.电子商务信息安全风险与防范策略研究[J].现代商贸工业, 2011年第14期.

[5]连秀珍.电子商务的安全评估与审计[J].经济研究导刊, 2012年第13期.

[6]范光远, 辛阳.防火墙审计方案的分析与设计[J].信息网络安全, 2012, (03) :81-84.

电子文件信息安全与保护措施研究 第10篇

关键词：电子文件,信息安全,防护措施

随着时代的发展、社会的进步,电子文件以其独特的优势,越来越多地介入到日常各项事务之中,并且发挥着重要作用,档案部门也逐步将其纳入归档范围。这些电子文件与纸质文件一样,具有凭证作用和参考价值。同时,电子文件的信息安全与防护措施也越来越引起有关人士的高度重视。

一、电子文件定义及其特性

所谓电子文件是人们在社会活动中形成的,以计算机盘片、磁盘、和光盘等化学磁性材料为载体的文字材料。它主要包括电子文书、电子信件、电子报表、电子图纸等等。与纸质文件比较,电子文件有以下特性:一是应用发展的阶段性,二是对设备的依赖性,三是一定条件下信息与载体的相分离性,四是电子文件内容的易改性,五是电子文件的多媒体集成性,六是电子文件非实体归档的可能性,七是电子文件对背景信息和元数据的依赖性。除上述特性以外,电子文件还具有信息共享性、非读性、标准化依赖性以及生存能力的脆弱性等。

二、电子文件与纸质档案在保护技术上的差异

电子文件以其载体和载体与信息结合方式的特殊性对传统档案保护理论造成很大的冲击,电子文件与传统纸质档案在保护技术上有很大的差别,这些差别将是电子时代档案保护技术的新领域。

1. 载体寿命的差异。

纸的耐久性取决于纤维素的性质,尽管纤维素在一定条件下如高温、高湿、酸、酶、氧化剂等,可发生水解和氧化反应,但只要我们在档案保护过程中,注意排除发生两大化学反应需要的条件,就可以使纸质档案的寿命达到上百年甚至上千年。电子文件的载体材料是磁性物质和光盘。这些材料不稳定、易氧化、易与碱溶液发生反应。与纸质档案相比,电子文件载体材料的寿命要短得多,一般仅为5-15年。

2. 环境条件影响的差异。

(1)温湿度影响的差异。不适宜的温湿度对磁性载体、光盘和纸张均有影响。保护纸质档案的标准温度为14℃-24℃,相对湿度为45%-60%,而保存电子文件的理想温度为16℃-20℃。可见,温湿度对电子文件和纸质档案的影响程度是不同的。(2)灰尘影响的差异。灰尘对纸张的危害主要是机械磨损纸张,使纸张发生黏结而形成“档案砖”,给纸张带来霉菌。而灰尘对电子文件载体的损坏主要有物理损坏、化学损坏和生物损坏。一旦对电子文件造成危害,载体上所记录的信息可能局部丢失,在计算机系统上便无法读出原始信息,使电子文件失去保存价值。(3)光线和有害气体影响的差异。光线和有害气体对纸张的危害主要是促进纸张发生水解、氧化反应,导致纸张强度降低。而有害气体和光线特别是紫外线对电子文件的破坏力更大。有害气体在一定条件下腐蚀、破坏磁性载体和光盘,使电子文件信息丢失。光线能使电子文件载体材料发生光氧反应,使盘基、带基老化,强度下降。同时,紫外线的能量足以破坏磁性载体的剩磁的稳定性,导致信号衰减,影响磁性记录信息的读写效果。

3. 信息保护的差异。

纸质档案保护工作的目标是使档案的载体——纸张“延年益寿”,因为载体和记录的信息是结为一体的,保住了纸质档案的载体,以文字记录的信息就得以保存。对电子文件而言,信息与载体是可分离的,电子文件信息与载体的可分离性使文件信息随时面临一个易被忽视的隐形杀手——电脑病毒。

三、电子文件安全漏洞

在电子文件生命周期的各个运动环节中,有关信息安全方面的漏洞主要有以下两个方面:

1. 电子文件具有一般载体文件的特性,同时又具有网上传输的特点,那么计算机和网络的安全隐患必然会威胁到电子文件的安全性。而这些威胁主要是因为系统被非法入侵和数据信息被非法读出、更改、删除等,造成这些威胁的技术原因主要有以下两个方面:网上黑客攻击,这是网上传输数据最不安全的一个因素,使电子文件的机密性、真实性、完整性受到威胁;恶意程序的入侵,危害极大。

2. 管理方面的不安全性。在网络管理方面,操作人员的安全配置不当容易造成安全漏洞;用户安全意识不强,口令选择不慎重,随意将自己的密码记录在醒目位置,都会使他人有机可乘,给网络信息安全带来威胁。

四、采取有效防护措施,确保电子文件信息安全

针对电子文件的特性、电子文件与纸质档案在保护技术上的差异以及信息安全的漏洞,研究相应的措施如下:

1. 物理防护。

(1)从建筑方面远离不安全因素:加厚墙体或者设置空心墙体,房顶隔热保温,避免库房环境波动变化幅度过大,对载体材料造成不良影响;封闭或者不设置窗户,杜绝室外光线、空气粉尘、霉菌等进入库房,对载体造成伤害。(2)从设备方面为电子文件载体营造适宜保存的环境。采用空调等设备将库房温湿度、空气质量控制在适宜范围内,延长载体寿命;为载体配备专门的装具以防止磨损;磁性载体装入具有防磁保温功能的柜、箱,防止受到外界磁场的不良影响等。(3)从安全防护体系上阻断在空间上的不安全因素。建设智能化、综合性的档案馆馆舍,配备严密的安防系统,保证档案馆具有较强的灭火能力,能够对盗窃、水灾、火灾等档案灾害及时作出响应,并迅速予以控制。

2. 技术防护。

(1)信息加密技术。加密是实现信息保密的重要手段,目的是保护网内数据、文件、口令和控制信息的传输,确保数据信息不被非法公开。(2)信息认证。在电子文件的保管和利用过程中,我们要对利用者的身份进行验证,要验证所接收电子文件的数字签名,以确定文件的制作者和法律价值,以及所接收电子文件的完整性和真实性等。(3)信息备份与恢复。信息备份是防止数字信息丢失和失真的补救措施,一旦信息受损或者系统崩溃,它能够提供良好的、有效的恢复手段,使得丢失的信息重新恢复原来的面貌,做到有备无患。要从保证系统安全、完整运营的高度来统筹规划。(4)网络安全防护。网络是电子文件产生和应用的主要环境,网络的安全性是信息安全的重要保障。(5)计算机病毒防治。对于计算机病毒防治,要树立“预防为主、防治结合”的观念,关注病毒信息,及时更新病毒库,灵活运用各种软硬件技术确定查杀方案。

五、从制度上规范管理,确保电子文件信息安全

如果对电子文件管理不严密,就存在被删改的可能,有的单位由于存储器的容量问题,使新产生的电子文件可以不断地覆盖旧的电子文件,造成电子文件的不完整。如果存储过于分散,未实现集中脱机保管,计算机系统如出现问题,电子文件就可能丢失,可能造成更为严重的后果。基于对电子文件特性的研究与认识,基于对电子文件原始性、真实性新概念的建立与确认,我们认识到保护电子文件信息安全不仅要拥有完善的安全技术还要建立规范的管理制度,才能确保电子文件的形成、处理、归档以及保管、利用等各个环节的信息安全。

1. 建立健全管理制度。

(1)实行各级分工责任制。详细规定各级应履行的工作职责。(2)审批制度。集中管理,约束每个用户的访问权限。(3)定期检测制度。定期检测信息的准确性、网络运行情况及病毒等。(4)定期维护制度。包括软硬件维护与系统密码的定期更换。(5)备份制度。包括软硬件系统备份及数据的备份。(6)技术风险评估制度。进行薄弱点检测,加强预防。(7)建立电子档案和设备档案管理制度。

2. 着力提高从业人员素质,增强安全防护意识。

对于电子文件信息安全防护,人们往往重视技术行为而忽视对人员行为的管理。统计数字表明,信息安全事件中有一半以上起因于内部。因此,从业人员的行为也是关系档案信息安全的一项重要因素。所以,一定要采取多种形式、多种渠道,加大人才培养力度。当前,要突出计算机和网络管理、信息安全防护、多媒体等相关知识的学习培训,全面提高从业人员自身素质和能力,增强防护意识,杜绝从业人员内部的不安全因素。

参考文献

[1]肖文建．论网络环境下电子文档信息安全[J]．档案学通讯，2003(1)．

[2]张秀春．电子文件的安全防护[J]．档案学研究1991(1)．

电子商务的信息安全技术分析 第11篇

【关键词】电子商务；信息安全；安全技术

一、引言

现代信息技术的飞速发展使得电子商务成一种新的全世界范围内的商贸方式，电子商务成为一种具有鲜明时代特色的全新的经济运行方式，并体现出平等竞争、高效率、低成本、高质量、透明化的贸易优势，培育了在激烈的市场竞争中能够把握商机、脱颖而出各贸易体，电子商务自其出现伊始就倍受业界青睐，在较短时期内就以席卷之势在世界范围内迅速蓬勃发展壮大了起来。

电子商务是集信息化、程序化和标准化的商务流程以及系统的安全和认证的法律体系为一体的电子交易方式，以交易的双方为主体，通过银行的电子支付和结算作为手段，实现与传统交易模式不同的全新商务模式。因此，电子商务的健康发展就必须解决其实施过程的商务文本产生、传输、确认、生效、执行等环节极其严峻的安全问题，必须建立必要的信息安全保证，由此保证电子商务流程中的保密性、完整性、身份认证、抗抵赖等安全问题，如何保证因特网上商务交易信息安全，已成为发展电子商务的重要环节。

二、电子商务安全技术

目前，电子商务安全主要采用以下技术：

（一）数据加密技术

数据加密就是指对数据进行变换编码，使其看起来毫无意义，类似随机的数据，同时仍保持其可恢复的形式。接收到的加密信息可以被解密，转换成原来可理解的形式。这一概念是密码学的基础。密码技术结合数学、计算机科学、电子与通信等诸多学科，不仅可以保证信息的机密性，而且可以保证信息的完整性和真实性，防止信息被篡改、伪造和假冒，具有数字签名、身份认证、秘密分存和系统安全等功能。一般的加密过程都是根据一个规则或者一个数学算法进行，并且使用一个加密参数（密钥）。有两种主要的加密（编码）方法，它们是组成最简单密码的基础。这两种方法分别是换位和置换。

（二）信息隐藏技术

信息隐藏就是将秘密信息隐藏到一般的非秘密的文件中，从而不让普通用户发现的一种方法。它是把一个有意义的信息隐藏在另一个称为载体的信息中得到隐蔽载体，非法者不知道这个普通信息中是否隐藏了其他的信息，而且即使知道也难以提取或去除隐藏的信息。信息隐藏不同于传统的密码学技术，密码技术主要研究如何将机密信息进行特殊的编码，以形成不可识别的密文进行传递，只能隐藏数据的内容，不能隐藏数据的存在性；而信息隐藏则主要研究如何将某一机密信息隐藏于另一公开的信息中，然后通过公开信息的传输来传递机密信息，隐藏了数据的存在性，安全性更好。信息隐藏技术主要分为隐写术和水印技术两种。隐写术的目的是在不引起任何怀疑的情况下秘密传送消息，数字水印则是嵌入在数字产品中的信号，目的是进行版权保护、所有权证明等。

（三）数据恢复技术

数据恢复就是把遭受到破坏或有硬件缺陷导致不可访问或不可获得，或由于病毒、误操作、意外事故等各种原因导致丢失的数据还原成正常数据的过程。数据恢复的目的即恢复数据本来的“面目”。数据恢复不仅可以对文件进行恢复，还可以恢复物理损伤磁盘的数据，同样，也可以恢复不同操作系统的数据。本质上数据恢复也是从存储介质上读取数据的过程，只不过采用常规的方法没有效果，需要采用特殊的技术和方法。从原理上讲，数据可以得到恢复二是数据在磁盘上是按照有序的方式组织起来的。在计算机取证过程中通常碰到的情况是证据所在的介质被嫌疑人破坏了，或者因使用过久老化了，需要对其进行数据恢复。

（四）入侵和入侵检测信息源技术

电子商务安全的另一个特点就是要能够实现安全事件的详细评估调查。入侵和入侵检测信息源就是属于网络攻防的两个主要方面。入侵检测是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。入侵检测集检测、记录和报警响应于一体的动态安全技术，也是一种主动防御技术，其原理是通过收集网络中的相关信息和数据并对其进行分析，发现隐藏在其中的违反安全策略的行为和遭到入侵的痕迹，并作出相应的响应。入侵检测最典型的应用是是入侵检测系统，专门用来实时或事后发现入侵活动。

1.常见的入侵技术。从入侵者的角度出发，入侵的步骤可分为探测、攻击和隐藏，入侵技术由此可以分为探测技术、攻击技术和隐藏技术三大类。

探测是黑客在攻击开始前必需的情报收集工作，攻击者通过这个过程需要尽可能多的了解攻击目标安全相关的方方面面信息，以便能够集中火力进行攻击。探测又可以分为三个基本步骤：踩点、扫描和查点。踩点指攻击者结合各种工具和技巧，以正常合法的途径对攻击目标进行窥探，对其安全情况建立完整的剖析图。扫描则是攻击者获取活动主机、开放服务、操作系统、安全漏洞等关键信息的重要技术。查点是攻击者常采用的从目标系统中抽取有效账号或导出资源名的技术，获取信息大体可以归为网络资源和共享资源、用户和用户组和服务器程序及其旗标三类。

在攻击阶段，攻击者通过探测阶段掌握的有关攻击目标的安全情况会选择不同的攻击方法来达成其攻击目的。攻击方法层出不穷，一般将其归为听技术、欺骗技术、拒绝服务和数据驱动攻击等四类。窃听技术指攻击者通过非法手段对系统活动的监视从而获得一些安全关键信息。欺骗技术是攻击者通过冒充正常用户以获取对攻击目标访问权或获取关键信息的攻击方法。拒绝服务攻击指中断或者完全拒绝对合法用户、网络、系统和其他资源服务的攻击方法。数据驱动攻击是通过向某个程序发送数据，以产生非预期结果的攻击。

2.入侵检测信息源。入侵检测是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。入侵检测有很多种技术和方法，如安全审计、入侵检测系统以及蜜罐系统等，最典型的是入侵检测系统，专门用来实时或事后发现入侵活动，数据源是入侵检测分析的首要问题。入侵检测数据源主要有：（1）操作系统的审计记录。操作系统审计记录被认为是入侵检测的首选数据源，这是因为：①操作系统的审计系统在设计时，就考虑了审计记录的结构化组织工作以及对审计记录内容的保护机制，因此，操作系统审计记录的安全性得到了较好的保护。②操作系统审计记录提供了在系统内核级的事件发生情况，反映的是系统底层的活动情况并提供相关的详尽信息，这为发现潜在的异常行为特征奠定良好的基础。（2）系统日志记录。系统使用日志机制记录下主机上发生的事情，无论是对日常管理维护，还是对追踪入侵者的痕迹都非常关键。日志可分为操作系统日志和应用程序日志两部分。（3）应用程序的日志记录。信息日益复杂化的系统设计，使得单纯从内核底层级别的数据来源来分析判断当前整个系统活动的情况，变得越来越困难；同时，底层级别安全数据的规模也迅速膨胀，增加了分析的难度。此时，需要采用反映系统活动的较高层次信息，例如应用程序日志，作为分析检测的数据源。应用程序日志因为是用户级别的系统活动抽象信息，所以更加容易理解和处理。其次，网络化计算环境的普及，导致人侵攻击行为的目标越来越集中于提供网络服务的各种特定应用程序。同样，采用应用程序日志作为入侵检测的输人数据源，也存在着问题和风险。首要的问题是应用程序的日志信息通常更易遭到恶意的攻击，包括篡改和删除等操作。其次，尽管很多操作系统提供应用程序级别的审计功能，但是很多特定的应用程序中并不包括这些审计特性，或者是审计功能并没有提供足够详细的信息。最后，特定应用程序同样存在是否值得信赖的问题，等等。（4）基于网络数据的信息源。通过监听的方式进行，网络信息可以很容易获取。

（五）网络安全技术

完整的电子商务系统应建立在安全的网络基础设施之上。网络安全所涉及技术比较多，如操作系统安全、防火墙技术、虚拟专用网技术和各种反黑客技术及漏洞检测技术等。其中最重要的是防火墙技术。防火墙是指一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，它是一种计算机硬件和软件的结合，使因特网与因特网之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。

三、结束语

电子商务交易手段已经多样化，电子商务发展面临的问题较为复杂，其安全面临着巨大的挑战。信息安全技术已经越来越多地被应用到电子商务安全中，加强信息安全立法和提高从业人员素质是保障电子商务安全所必需的，应该引起本行业的高度重视。

参考文献

[1]蒋烨.计算机主机隐秘信息取证技术的研究[D]，上海交通大学，2008

[2]田乐.计算机单机取证系统中的安全性研究[D]，电子科技大学，2009

[3]张作林，陈建华.基于区域的信息隐藏技术[J]福建电脑，2005

[4]刘愫卫.数据恢复技术及其实践研究[J].科技信息，2006

[5]赖滇.一种新的入侵检测系统远程管理安全技术[J].计算机工程，2007

作者简介

电子商务与信息安全 第12篇

(一) 访问控制技术方面。访问控制作为信息安全保障的基础, 是确保数据信息保密及完整的有效途径, 在具体应用中, 其通过限制访问主体, 例如:用户等, 确保信息在特定范围内使用, 避免信息出现被篡改、窃取等风险[1]。

(二) VPN技术方面。VPN主要是指为了通过公用网络而临时搭建的安全的通道, 其并非真正的专用网络, 但是, 却具备专用网络所具备的功能, 一般建立在ISP及NSP基础之上, 在实际应用中, VPN并没有构建节点之间的物理链路, 而是利用某公众网的资源动态组建的图。

(三) 防火墙技术方面。防火墙技术主要避免黑客入侵及未授权用户进入到系统中的方式, 在网络安全策略中得到了广泛应用和普及, 并取得了显著成效。防火墙技术主要包括三种:首先, 包过滤, 在防火墙中包含检查模块, 并设置在网关或者路由器上, 在信息与用户之间构建一道屏障, 对系统进出数据进行有效检查, 及时发现潜在风险, 且能够恢复丢失数据;其次, 状态检查, 该项技术主要设置在网络层, 通过检查模块, 在确保系统稳定运行前提下, 对数据信息实现实时监督和控制, 不仅如此, 其还能够适用于多种协议下, 对应用及服务功能进一步拓展;最后, 地址转换, 利用地址转换技术需要具备主观及客观两方面条件, 前者是指管理员希望对内部网络IP地址进行隐藏处理;后者则是内部网络IP地址无效, 在此背景下, 内部网络仍然能够实现互助访问。

二、基于电子政务系统, 信息安全技术的应用

(一) 合理划分安全区域。结合安全策略, 安全域是由多个子域构成, 合理划分安全区域, 能够实现针对性保护。至此, 结合电子政务业务情况, 可以从三个方面入手:首先, 网络域, 针对网络基础层及其上层区域的保护, 要归入到用户系统当中;其次, 针对处理区域而言, 由于涉及主体较多;最后, 服务域, 服务域主要是指信息安全基础设施构成, 例如:测评中心、应急响应中心等。

(二) 加强对重要信息的控制。电子政务系统运行过程中, 数据控制仅能够减少攻击者供给, 但是, 并不能够从根源上杜绝。通常情况下, 内部网络任何行为都是经过授权允许的, 但是, 如果疏于对从主机出去信息的检查, 极有可能造成信息安全问题, 由此, 可以将防火墙及信息监测技术引入其中, 在主机与外界环境之间构建过滤层, 对主机外联数据信息进行实时监督和控制, 例如:仅允许在特定时间范围内发送一定数量的数据等, 及时发现风险, 采取阻止措施, 避免重要信息的泄露, 并将系统连接进行日志记录, 提高电子政务系统自身抵抗力[2]。

(三) 科学设计系统VPN。建设VPN, 能够实现政府部门之间的良好沟通和交流, 现阶段, VPN建设主要有三种形式:首先, 由Internet服务商发起的ISP建设, 而对企业透明;其次, 政府自建, 对ISP透明;最后, ISP与政府共同组建。三种形式都具有一定优势及不足, 相比较而言, 第二种形式更具有优势, 由于电子政务系统拥有独立的网路、IP地址及设备等, 能够实现自主管理和控制, 不仅如此, 这种形式能够最大程度上减少人力、物力及财力的投入, 且能够实现信息安全目标。

(四) 其他技术的应用。除了上述应用之外, 要想实现电子政务系统信息安全、可靠目标, 还可以通过以下几个途径实现:首先, 控制网络设备, 并在骨干路由器上设置针对性地址段, 简而言之, 必须要经过网管中心主机才能够实现对各个骨干路由器的设备的维护;其次, 针对不安全端口, 要进行拦截, 避免路由泄露;最后, 对重要事件进行日志记录。

结论

根据上文所述, 信息安全建设作为一项系统性工程, 在保证电子政务系统稳定运行方面发挥着重要作用。因此, 政府在开展电子政务过程中, 要认识到信息安全技术的重要性, 并加强对信息安全技术的研究, 了解和掌握核心技术, 明确电子政务系统中存在的安全隐患, 加强对系统各个方面的关注, 调整和优化系统, 提高系统整体性能, 进而促使电子政务发挥最大效用, 为智慧城市建设奠定坚实的基础。

参考文献

[1]宋俊苏.分布式数据库在高职院校办公自动化管理系统中的应用[J].电脑知识与技术, 2010, 18 (03) :259-261.