PKI,完善的交易体系,立法及政府的认证基础设施为电子商务、电子政务提供了一个良好的基础设施,构成了进行电子商务、电子政务的信任框架。然而,最终在这个舞台上进行交易活动的主体,毕竟是千千万万个企业,而每一个企业的信息系统林林总总。信任的框架和安全平台并没有意味着企业本身就是安全、可信的了。随着现代企业对信息的依赖越来越大,没有各种信息的支持,企业就不能发展。事实上,信息已成为现代企业的一种重要资产,它不仅仅是与计算机、网络相关的数据、资料,也包括:专利、商业档案、文件、标准、专有技术、客户资料、统计数据、图样、配方、报价、规章制度、财务数据、工艺计划、资源配置、管理体系等等。信息系统已经成为企业成功的关键所在。这种资产,更需要加以妥善保护。否则,可能由于人员的原因(疏忽、跳槽、破坏)、竞争对手原因(商业间谍、收买、盗窃、网络***)和自然灾害(火灾、水灾、地震)等原因,在一瞬间被毁灭、消失、损坏、盗窃、贬值、转移,给企业带来致命的打击。
我们可以回想起本书开始描述的那个场景。正是因为基础设施的逐渐完备,企业的商务活动逐渐转移到互联网之上。而在这种情况之下,就意味着企业的信息系统已经完全脱离了封闭的传统的形态。而必然以某种方式连接到互联网这个巨大的世界网络之上。这样,企业的任何安全问题必然影响到它的交易对手、合作伙伴。
甚至,一个企业员工的破坏行为完全可以造成在传统时代想象不到的危害。这一点,我们在本书的信息系统风险分析中已经可以感觉到了。所以,一个企业的系统是否安全已经不是一个企业自身的消极的方面,而是关系到它能否获得对方信任、甚至是企业信用的一个重要的指数。所以,网络安全在这个意义上,已经脱离了传统意义上的消极的角色,成为一个企业竞争力的新要素———一个积极的要素了。而在每天众多的交易当中,如何检验交易对手的信息系统是否安全、是否是一个可以交易的对象呢?当然,我们不可能专门派人去调查、甚至是委托一个专门公司去评估。这样交易的成本就未免太大了,而失去了电子商务本来应有的高效性。这个时候,国际性的安全评估标准的价值就显现出来了。
对企业进行安全评估的标准中最著名的就是BS7799或者ISOIEC17799。
BS7799是由BSI(英国标准协会)制定的在国际上被广泛认同的计算机信息安全标准,它为企业在确定信息安全管理方针、确定ISMS(信息安全管理体系)的范围、进行风险分析、选择控制目标并进行控制、建立业务持续计划、建立并实施安全管理体系时提供了完整的管理规程,为企业的信息安全提供了全面、可观的评估、认证标准,从而使企业的信息风险的发生概率和结果降低到可接受水平,并采取措施保证业务不会因风险的发生而中断。1999年12月BS7799成为国际计算机信息安全标准(ISOIEC17799)的蓝本。BSI(BritishStandardsInstitution)是在1901年由英国贸易产业部支援设立的世界上历史最悠久的国家标准协会,ISO9000系列认证(品质管理)、ISO14000系列认证环境管理等国际知名的标准的蓝本都来自BSI,而BSI也是ISO的创始成员之一。对企业而言,取得BS7799认证就如同取得ISO9000系列认证、ISO14000系列认证一样,成为企业的信息以及信息系统的管理处于安全、合适的状态的客观证明,从而获得客户的信赖,提高企业的竞争力。在进行BS7799审查时,要根据127项规定的管理标准从以下几个角度进行。
1.确立有效的信息安全管理体制、操作规程:确立作为一个组织体维护、提高信息安全所必需的管理体制、操作规程。
2.选择合适的安全措施:要在风险分析的基础上,排除盲点、选择适当强度的安全措施。
3.安全措施的有效实施:信息安全措施是否已经在公司领导、员工当中被充分普及、教育,***到整个公司的组织当中。
4.管理规定的概要:安全策略;安全组织;资产分类及控制;员工的安全;通信、运营管理;物理、环境的管理;访问控制;系统开发、维护;事业持续管理;可依据性。
通过BS7799评估,就可以使企业的信息安全水平达到一个合适的安全状态。
而其结果一是表现在企业的BS7799认证标志,另一方面就是表现在企业有一个明确的安全策略。这个安全策略不仅仅是一个口号,它代表了一个企业如何对待信息安全,以及它对企业信息系统的安全性做出的对外、对内的承诺。有关企业信息系统的安全管理、安全策略以及安全措施,本书将在下一编进行详细分析。另外,BS7799是适用于任何行业的普遍标准,今后以IT行业为先导,在广泛的领域迅速普及。而随着电子商务的逐步发展,与BS7799认证相关的市场必然会迅速成长。
通过本篇关于安全与信任体系的描述,我们可以认识到,在纷繁复杂的互联网环境当中,信任体系是非常重要的,它已经超出了传统的网络安全的范畴,而是一个企业、政府、国际组织共同参与的电子商务的基础设施。而随着这个由技术方案、法律体系、交易系统、安全标准等构成的电子商务信任体系的形成,我们迎来的必然是一个突飞猛进的全新互联网时代。