保障商务网络的安全

如果企业想从在线商务中受益,
它们就必须降低商务网络的安全风险。

作者:A. Martin

当打开您的网络与贸易伙伴和供应商进行B2B 交易时,您是否打开了潘多拉盒子?用自己的网络将应用程序与其他公司的网络连接起来的企业经常会受益匪浅。在一个不确定的经济环境中,企业能够从这些网络连接获得效率提高和潜在的成本节约,包括将薪水和票据处理通过互联网外包给第三方提供商的能力,特别具有吸引力。

与此同时,对网络安全的担心也在与日俱增。例如,企业2002年向CERT协调中心(CERT/CC)报告的安全事件为82,094件,而2001年和2000年则分别为 52,658件和21,756件。CERT/CC隶属于“软件工程研究所”,后者是由联邦政府出资的一个研发中心,由卡内基·梅隆大学负责管理。

B2B交易的安全软肋

从某种程度讲,在线交易比传统交易的安全风险更大。这是Forrester研究公司基础设施与电信领域高级分析员Laura Koetzle所持的观点。在线交易的安全风险之所以更大,其根源在于越来越多的公司为了降低成本而与合作伙伴建立电子联系方式。Koetzle补充说,以任何方式与合作伙伴和供应商打交道从来都不是百分之百安全的。

“过去,交易活动经常是通过传真机进行的,这种方式也并非真的很安全,”Koetzle 说。

与此同时,据市场研究公司阿伯丁集团负责安全与隐私信息的副总裁兼总经理Jim Hurley观察,一些企业,尤其是那些雇员人数少于5000人的企业,经常会在进行B2B交易时冒不必要的风险。例如,一些公司用未加密的E-mail与合作伙伴交流敏感信息,进行不安全的基于Web的交易;而对E-mail系统和浏览器增添额外的安全措施相对来说很容易,也很便宜,但它们却懒得去做。

一家公司给其合作伙伴或供应商的网络权限大小影响该公司的风险水平,合作伙伴的安全战略和数据恢复战略也同样如此。当您将自己的网络与其他公司的网络连成一体时,那么“他们那里发生的任何事情也会在您那里发生,”Koetzle警告说。

B2B交易的安全风险常常涉及隐私问题,包括防止信用卡信息和其他数据被外人看到。身份验证是另一个值得关心的问题。对公司来说,确认与之进行商业交易的人正是其人是非常重要的。

还有一个法律责任问题。“您的网络是否可靠只取决于其最薄弱的环节,”Clint Kreitner说。他是“互联网安全中心”(CIS)的总裁兼CEO,该中心是一个致力于帮助企业管理与数据相关的安全风险的非赢利组织。“如果您连接到一个合作伙伴的网络,并接受了其弱点,那么您会使自己网络上的信息面临风险。如果您的客户的敏感数据被盗,您就要承担法律责任。”

复杂的解决方案

可靠的网络安全使提高生产力和降低运营成本成为可能。通过在整个网络中对安全问题进行统一、分层的管理,您的企业就可以进行只有在网络上才能进行的各种运作,如B2B交易、无线联网、IP通信等等,而面临的风险则可降至最小。

保证网络安全的关键是始终采用最新的安全解决方案,制订强有力的IT安全政策。下面是一些与B2B交易相关的最新安全解决方案:

  • 虚拟个人网络(VPN):根据Hurley所做的调查,全世界3000家顶尖公司中约有65%已经实施了VPN。一个VPN网络对通过公用互联网传输的数据进行加密,使经销商、供应商、合作伙伴和以远程工作方式工作的员工能够安全地登录公司的内部网络。通过与防火墙、入侵监测、身份验证和其他安全工具结合起来,VPN可提供最可靠的、可升级的、低成本安全保障。
  • 安全套接层(SSL):SSL协议在公用互联网上建立一个临时的、基于浏览器的点到点的私人连接。SSL广泛应用于消费者和B2B交易中,当通过互联网传输数据时对其进行加密,但不保护所完成交易的记录。
  • 数字证书:数字证书类似于电子身份证,可确认一个数字签名的真伪。根据计算机安全研究所编辑部主任Robert Richardson的观点,要做到这一点,需要一个“公用密钥基础设施”(PKI),在一个企业内部采用PKI很复杂,如果还要满足合作伙伴和供应商的需要将更加困难。虽然数字证书和签名堪称“一流的技术”,Richardson说,但企业在该技术的采用上却并不积极。
  • XML关键管理规范(XKMS):“可扩展标记语言”(XML)是一种软件工具,可帮助在不同应用之间实现互操作。XKMS是一种正在兴起的基于XML的安全规范,能使使用PKI的企业在网上更容易彼此信任。这是Richardson的观点。

降低网上交易风险

企业可采取多项预防性措施,使其 B2B 交易更加安全,这些措施包括:

  • 雇用一名安全顾问。Koetzle认为,多数公司没有全面实施安全体系的技术能力,所以对它们来说,从安全专家那里获得帮助很重要。
  • 要求合作伙伴或供应商进行内部安全审核。Richardson建议您查看审核结果。如果审核工作能够正确进行,将会暴露出一个公司的安全漏洞,这些漏洞有可能使该公司的网络,甚至您公司的网络面临风险。进行审核的一种办法是采用一种基准检验工具。例如CIS就可提供免费的、可下载的基准检验工具,在各种层次上评估操作系统的安全配置。
  • 获取合作伙伴或供应商的书面形式的安全策略。根据Richardson的调查,小公司往往不将自己的安全策略做成书面形式。但是较大的公司,特别是那些如医疗等受政府管制行业的公司,必须遵守某些安全标准,所以更有可能制订书面策略。

未雨绸缪,防患未然

在不远的将来,企业将会与合作伙伴和供应商建立更多网络联系,以便更有效地参与竞争、降低运营成本,以及简化运作流程。

“在一年左右的时间里,B2B交易将是多数企业需要认真考虑的事情,如果它们还没有认真考虑的话,”Koetzle说。“企业将需要与其供应商和合作伙伴建立更好的、更集成化的网络连接。随之而来的问题之一便是:您如何保障这些网络连接的安全?”

说到底,问题并非是“您的B2B交易有多安全?”,而是“您的网络和您的贸易伙伴的网络有多安全?”

关于作者

作者 James A. Martin,生于旧金山,专长包括互联网、电子商务和移动计算等技术。

返回