企业商务网站安全的三维模型研究.docVIP

　　企业商务网站安全的三维模型研究 　[摘要] 近年来 企业 商务网站 发展 迅速，而网站本身的信息安全已经成为一个普遍的、急需解决的 问题 。文章构建了信息安全三维模型， 分析 了企业商务网站安全的现状，从三维角度提出加强企业商务网站安全管理的对策。 　　[关键词] 网站 信息 安全管理 　　 　　一、企业商务网站建设的总体情况 　　 　　 电子 商务网站是企业开展电子商务的基础设施和信息平台，是实施电子商务的公司与服务对象之间的交互界面，是电子商务运转的承担者和表现者。一些信息化水平高、 经济 实力雄厚、技术力量强的企业，往往采取自建网站的方式，即企业自己购置硬件设备并构架服务器平台，自行开发网站系统，自行对网站进行控制和管理。与主机托管、租用虚拟主机等网站构建方式相比，这种方式完全自主研发，易于采用新技术，便于扩充、升级，同时企业内部管理数据和商务网站信息高度整合，能提升企业的形象和效益。电子商务网站不容忽视的是随之带来的 网络 信息安全问题，比如：信息污染、病毒泛滥、黑客入侵等等。对于企业自主建设的网站而言，其安全性完全由企业自行控制，风险更大，要求更高。如何加强企业商务网站的安全管理，已成为当务之急，本文试图对此做些探讨。 　　 　　二、信息安全三维模型概述 　　 　　1．信息安全的安全层次结构（层次维L）。从信息安全的作用层面来看，信息安全可以分为物理安全、系统安全、数据安全和信息 内容 安全四层。(1)物理安全：主要体现在通信线路的可靠性、防灾害能力、防干扰能力、设备的运行环境(温度、湿度、烟尘)、不间断电源保障等等。(2)系统安全：指的是 计算 机与网络设备运行过程中的稳定性运行状态，因而又可称之为“运行安全”，包括操作系统的安全、网络方面的安全。(3)数据安全：是指对信息在数据处理、存储、检索、传输、显示等过程中的保护，不被非法冒充、窃取、篡改、抵赖。(4)信息内容安全：是指对信息在网络内流动中的选择性阻断，以保证信息流动的可控能力。在此，被阻断的对象主要是各种不良的、有害的信息。 　　2.PPDRR模型（时间维T）。PPDRR模型是典型的、动态的、自适应的安全模型，包括策略（Policy）、防护（Protection）、检测（Detection）、响应（Response）和恢复（Recovery）5个主要部分。 　　信息安全策略是一个组织解决信息安全问题最重要的步骤，也是这个组织整个信息安全体系的基础，反映出这个组织对现实安全威胁和未来安全风险的预期，反映出组织内部业务人员和技术人员安全风险的认识与应对。防护是安全的第一步；但采取丰富的安全防护措施并不意味着安全性就得到了可靠保障，因此要采取有效的手段对网络进行实时检测，使安全防护从单纯的被动防护演进到积极的主动防御；响应指在遭遇攻击和紧急事件时及时采取措施；恢复指系统受到安全危害与损失后，能迅速恢复系统功能和数据。这个模型中，防护、检测、响应和恢复在安全策略的指导下构成一个完整的、动态的安全循环，是基于时间关系的。 　　3.三大保障（保障维S）。信息安全保障体系由人员保障、管理制度保障、技术手段保障三个要素组成。安全领导小组、安全工作小组和安全工作执行人员分别从决策、监督和具体执行三个层面为网络信息安全工作提供了完整的人员保障， 良好的网络信息安全保障离不开规范严谨的管理制度，同时还需要使用一系列先进的技术工具和手段。 　　4.信息安全三维模型。上述分别从作用层次L、时间关系T及保障体系S这三个层面构成了信息安全的三维模型，这三维是相互关联、互相作用、不可分割的。如果将商务网站信息安全的各项措施明确在这个三维模型中的位置，就能够做到有的放矢，增强针对性和逻辑性。 　　 　　三、基于三维模型的企业商务网站信息安全对策 　　 　　1.物理层。从防护角度看，企业自建商务网站所在机房应具备较好的物理环境，包括UPS、空凋、消防系统等，使设备免受安全威胁和环境危险，如偷窃、火灾、水（或供水故障）、电磁辐射等。从恢复角度看，网站平台要有容灾、冗余备份等措施。在人员方面的措施包括：机房配备管理人员（除了进行岗位操作和技能培训外，还要进行职业道德、 法律 规范的培训）；在管理制度方面的措施包括：机房管理制度（电源管理、环境管理等）、设备常规管理制度；在技术手段方面包括用于防护的视频监控、门禁系统、抗扰处理等技术和用于恢复的容错、容灾、冗余备份等技术。 　　2.系统层。随着 网络 环境越来越复杂， 计算 机病毒及黑客攻击手段越来越智能， 影响 范围越来越广、破坏力也越来越大。商业网站服务器的操作系统、WEB服务器系统如果存在较大安全漏洞，就会被黑客利用，造成整个网站的瘫痪。我们的应对措施涵盖了防护、检测、响应、恢复。这里技