2025年电子商务信息安全建构探究论文.docx

电子商务信息安全建构探究论文 关键词：电子政务信息安全应用 摘要：在电子政务建设中，怎样精确把握信息安全与应用建设关系，既有效减小安全风险，又保证应用顺利开展，是许多信息系统建设者、使用者都会遇到问题。对于这一问题圆满处理，既需要有微观上技术手段，又要宏观上理论指导和观念更新，尤其是宏观方面考量，在信息系统建设整体把握和政策导向方面尤为重要。本文通过对应用与安全两者在信息系统中所处位置形象比方，试图理清应用与安全之间既互相矛盾、又互为依存关系，为信息系统建设者、使用者提供决策参照根据。 一、伴随电子政务应用深入深入，信息安全问题越来越成为大家关注焦点 怎样对把握安全与应用关系，安全配置“边”在哪里，“度”又该怎样衡量，这些问题在电子政务领域显得尤为突出。“水池定律”即是对这一问题做出一种解释。 “水池注、排水口同步开放，只有当单位时间内注水量不小于排水量时，水池内才会存住水，水池才有也许被注满。”—这个道理人人都懂，虽然我们都觉得一边注水一边排水很挥霍，但在现实世界中，由于某些不可避免客观原因所限，类似状况并不少见。 假如把信息系统看作一种水池，水看作利益，则注水相称于得到利益，排水相称于损败北益，一种信息系统能否给它所有者带来收益，就是看这个水池能否存得住水。问题关键就是看获得利益速度与否不小于损败北益速度。 在电子商务领域，利益多体现为有形资产，可以量化为金钱来衡量。信息系统通过一段时间运行，它效益可以从利润中体现出来。对于电子政务，虽然不能简单一概而论，但道理是相似。业务应用给信息系统所有者及服务对象带来收益，是注水口，安全风险又会导致损失，是排水口。应用该不该建，安全上怎么防，关键是要让收益速度远远不小于损失速度，即单位时间内注水量不小于排水量，这样池子里才存得住水，这个系统才建得值。因此不能单纯、片面地盯住安全问题，而应把它放在信息系统建设大环境中，从整体上、全局上把握。这样一来，诸多我们在信息安全建设中碰到问题就有了决策根据。 详细来说，在信息安全建设中，我们常常会碰到如下问题： 现象一：要把水池建成铜墙铁壁，滴水不漏一一信息安全过度配置，防护过度。 现象二：要关闭水池一一把个别安全事件作为普遍现象来衡量得失，从而导致信息化建设大踏步倒退。 现象三：水池没人管，谁都不清晰水池注水量和排水量是多少一一应用效益缺乏评估，安全建设外紧内松，安全隐患仍然存在。 导致上述问题原因也许是如下一种或多种。 原因一：注水口水流过小或主线没水—效益没见着，却要承担安全风险；费力不讨好也就罢了，谁乐意花钱找罪受、自讨苦吃?因此看上去是过度强调安全，实质上是应用效益没见着，没有源头活水，自然没有热情和本钱去承担哪怕是很小一点安全风险。这里需要阐明是，某些服务于社会公众应用，虽然所有者自身并没有直接获益，但公众获得了便利，相称于政府获得了无形收益，所有者可视为间接受益。 此外，与应用结合安全建设需要根据应用量体裁衣。量体裁衣不是为了省布料，而是为了更合适。同理，根据应用定制安全也不是为了省钱，而是为了更安全。有了值得保护应用，才有了评估风险详细对象，也才好有针对性地制定防备对策。 原因二：注、排水口不在一种池子上。安全风险承担者不是应用效益获得者，两者之间没有共同利益。 这种现象更为常见，但诸多状况是利益链存在“脱节”导致。例如一种单位应用获得效益，其荣誉归甲部门；同样是这个应用，安全出问题却要乙部门承担责任，合适吗?这不仅波及与否公平、合理问题，更影晌到系统长远发展、生命力问题。当安全风险承担者较为强势时，也许会片面强调安全，甚至把安全风险混淆于详细安全事故，这种概念混淆就好比以一次空难事故来衡量坐飞机风险。虽然发生了空难，飞机还是有人去坐，首先是由于它快捷，另一方面空难概率毕竟很小。因此说，安全事故是不能预测，但安全风险是可以预估。信息安全建设所要做是对可预估风险采用对应措施，把能做、该做事做到位，那么虽然事故还是会发生，我们也尽到了责任，问心无愧、不留遗憾。 二、当安全风险承担者较为弱势时，会出现“想管不敢管、想管管不了”局面。详细体现为缺乏有效评价、监督机制，虽然有，执行起来也是畏首畏尾，难以落到实处 针对以上两种原因，有如下处理措施可供参照。 处理措施一：信息化目是为了得到效益，因此没有效益应用不如不建，在安全适度配置前提下，要加大向应用要效益力度；没人用系统是最安全，同步也是效用最低，因此信息安全建设要与应用结合。 处理措施二：统一应用与安全建设主体，做到业务谁主管，安全谁负责。假如统一主体确实存在困难，则要在两者之间建立利益等效机制，让利益链“环环紧紧围绕”，让利益“流动”起来，这些可以通过调整管理体制，完善评价机制，健全监督机制来详细实现。 当然，实际状况更为复杂，我们要想以不变应万变，不被问题牵着鼻子走，需要把握如下原则：绝对安全是不存在。当应用带来收益远远不小于安全带来风险时，信息化工作才会大踏步地前进。我们应当做，是大力建设能带来效益应用同步，把安全风险控制在一种可容忍较小范围内。也就是在扩大注水口同步，缩小排水口。 前面为了可以简要地说清问题，我们把注水口简化为应用效益，把排水口简化为安全风险，形成了一种理想上封闭环境。但正如我们不能将信息安全问题脱离开信息化大环境去片面、孤立考虑同样，我们也不能把信息化问题脱离开一种部门整体大环境去考虑。从更宏观一点角度考虑，给一种部门带来收益并不只是信息化应用，给其带来损失也并不只是信息安全风险。公务员之家 信息化启动前，部门运作老式方式有着自已收支平衡；信息化一旦启动，信息安全风险必然存在，整体平衡被打破。安全防得再严，也不也许回到信息化前水平，这时只有通过向应用要效益来重建平衡；随即一种很长时期内，信息化都处在初级阶段，对老式方式影响甚微，这时应以低风险、小应用滚动发展，逐渐向老式方式渗透；当信息化发展到高级阶段，信息化应用在很大程度上取代了老式方式，则老式风险也逐渐被信息安全风险所替代(例如办公假如真能实现无纸化，则老式纸质办公失密风险会大为减少；网络假如真能集中管理，会比分散单机、小网运行更便于监控)，这时整体安全风险才有也许低于信息化前。初级阶段抓应用，高级阶段抓安全，这与发展中国家重发展，发达国家重安全有异曲同工之处。 “不发展是最大不安全”。应用与安全关系，和我国社会主义初级阶段发展与稳定关系十分类似。我们既不能跨越阶段，也不应止步不前，而应围绕应用建安全，建设安全应用，向应用要效益一一这才是电子政务初级阶段信息安全问题处理之道。 5 / 5