本文是一篇风险管理论文,本论文以 V 企业 APP 信息安全风险管理为研究主体,采用访谈法、鱼骨图、问卷调查以及层次分析法,全面的分析了互联网企业信息安全风险评估的相关问题,提出一种互联网 APP 信息安全风险评估方法。
第一章 绪论
1.1 研究背景
技术的发展,推动了行业的转型,同时也推动了人们生活习惯的转变。以前传统模式下人们在线下进行交互,现今,曾经人们的一些旅游、住宿、购物、出行等基本生活购物需求都转变成了线上行为,各种信息开始在互联网上记录和传递,互联网已经渗透到了人们的基础生活之中。众多 APP 为生活带来了便利性,那么拥有海量数据的 APP企业,承载了大量用户的服务,在提高人们生活便利性的同时,更需要考虑做好企业内部信息安全的风险防护。同时电商企业 APP 产品本身是否足够安全健壮,也决定了企业和用户的信息安全程度,从用户注册开始,到商品浏览、下单、物流、客服、运营支撑等,企业会为用户提供不同维度的服务支撑,企业内部信息安全可以帮助企业更稳定安全的运营,但随着业务量的增加,企业安全风险也在随之增加。
当某一企业承载的信息达到一定的数据规模时,企业自身安全风险和社会责任就变的更加重大,监管机构也会提高对企业的要求和监管力度,过去的几年,我国的监管部门也不断的出台一些管理规范,对于监管机构抽检不符合安全要求的 APP,媒体会进行整改通报,严重者监管机构也会要求下架。因此,一但发生信息安全事件,将直接对企业和用户的经济资产造成损失,企业自身也将承担安全风险事件所带来的法律风险和不可挽回的名誉损失。
......................
1.2 研究意义
目前,随着国内外对安全的重视程度的逐渐增加,监管机构陆续出来了一些安全相关的法律法规,众多 APP 企业也开始重视信息安全。那么什么是 APP 信息安全风险?企业在运营市场上发布 APP 后,用户下载访问 APP,企业运营维护 APP,在前后端交互的过程中产品产生了服务,进而产生了一系列的安全风险。APP 所有者建立了自有的信息安全团队,然而在企业发展阶段的不同时期,安全风险防控的重点应该在哪里,是每个企业安全风险管理需要面临的问题,必须根据企业当前的安全风险状态分析解决安全风险问题。
对企业外部来说,企业大量与用户相关的数据,从用户的个人信息、消费行为信息数据,到后期用户信息的流转,安全风险管理对企业安全的挑战是巨大的;对企业内部来说,企业的业务安全经营的风险看似随时发生,企业对安全的管理程度,内部人员的安全意识,基础安全设施的配备,业务安全风险的有效识别,为企业的业务提前预防安全风险的发生。本文中,对 V 企业面临的安全问题,必须组织专业的人士对实际的安全风险进行识别和分析,结合国内外的安全风险管理研究标准和方法,对问题进行深入剖析,最终根据企业评估出的安全风险评级,形成最终的解决方案,实施策略解决企业 APP 的安全问题,对 V 企业的风险规避具有实际操作的价值,加强了企业安全风险防御的能力,又给行业内的 APP 企业带来一定的借鉴意义。
....................
第二章 信息安全行业以及 V 企业信息安全现状
2.1 整体行业现状
2018 年欧盟颁布执行史上最严的数据保护条例《通用数据保护条例》(GDPR),标志着对数据安全的重视上升到了有史以来的新高度。虽然条例上不断提高管理要求,但安全问题仍然在不断增加。
2.1.1 行业信息安全事件
过去一年多,各类的信息安全事件的泄露已经连续 5 年突破历史记录,并没有因为我们技术的升级,安全问题就有所减少,安全风险源的技术也在升级,而随着全球信息化程度的不断提高,这一情况也会不断加剧。信息泄露的途径主要是内部人员或第三方的合作伙伴的泄露,信息系统本身漏洞泄露,机构本身的防护机制不健全,以及对安全配置的疏忽大意等问题。
过去一年多发生的数据泄露事件:
...........................
2.2 V 企业简介
V 企业成立于 2000 年之后,面向用户的产品包括:女装、美妆、居家、配饰、鞋包、电器、电子产品等全品类商品的电子商务公司。为会员精选国际和国内的知名品牌,企业现有员工 10000 多,APP 单日独立访客超过 2000 万,注册会员数超过 1 亿,现有合作品牌超过 2 万家,日均订单量超 100 万单。2018 年,全年总订单 4 亿以上。2019 年前三季度,全年总订单量 6 亿以上,同比增长超过 50%。自公司成立以来,已连续 30 多个季度实现盈利,是全球最大的电商网站之一。
截至 2019 年,V 企业建成覆盖全国的 7 大物流中心,拥有亚洲、欧洲、美国等 5 个海外仓,海外仓面积 3.9 万平米。目前,该企业投入使用的总仓储面积达 308 万平米。
V 企业坚持为用户打造安全诚信的交易平台、提供优质的服务。企业成立后,顺应市场的变化,也做了一些转型,目前主要的业务都在企业的 APP,承载了 80%以上用户流量,产品的业务流程图如下:
..........................
第三章 V 企业 APP 安全风险识别与分析...............................16
3.1 风险识别与分析工具 ..................................16
3.2 业务子模块风险识别与分析过程 .....................17
第四章 V 企业 APP 安全风险评估...................32
4.1 风险评估步骤......................32
4.1.1 建立风险评估结构模型..........................32
4.1.2 设计风险评估调查问卷...........................33
第五章 V 企业 APP 安全风险解决对策.........................42
5.1 风险应对策略划分..............................42
5.2 风险解决实施策略 ..............................43
第六章 安全风险改进效果评估以及保障措施
6.1 安全风险改进效果
6.1.1 安全客诉改进效果
经过企业风险分析和评估,得知安全客诉的来源有前端业务风险、数据风险、安全漏洞导致,针对业务安全风险和数据安全风险进行风险应对策略的实施。商家 6-8 月突然激增的安全客诉问题,业务安全上加强了数据安全的风险控制,强化权限管理,数据传输使用的加密处理;在安全意识培训上对第三方实施了安全培训和安全考试,参与度100%,限期通过安全培训和考试才能继续运营;安全处罚上下线掉不配合整改的 ISV 店铺,另外要求单独签署信息安全保密协议。实施了风险解决对策后,在 2019 年 10 月到2020 年 2 月之间的客户安全问题的投诉量锐减。
下图是 V 企业针对几个层面的风险来源,客户安全投诉量数据说明:出于数据保密原因,为保持结论客观,结论数据已和第二章中的企业安全风险数据做了同等数量级处理。
..........................
结论与展望
本论文以 V 企业 APP 信息安全风险管理为研究主体,采用访谈法、鱼骨图、问卷调查以及层次分析法,全面的分析了互联网企业信息安全风险评估的相关问题,提出一种互联网 APP 信息安全风险评估方法。研究得到的成果主要是:
1、通过分析 V 企业 APP 当前业务主要面临的信息安全风险问题,在子模块上进行风险的识别和分析,根据识别后的风险分类构建了信息安全风险评估体系,包含: 1 个一级指标、5 个二级指标和 18 个三级指标;
2、利用层次分析法,建立多层次分析的风险评估模型,开展调查问卷与层次分析法结合,实现对 V 企业 APP 信息安全风险量化的评价,在企业内可操作性较强;
3、除了评估 V 企业 APP 的信息安全风险,还针对风险评估后的结论,提出了具备较强的应用价值的安全防护措施
本论文对 V 企业 APP 风险进行了识别和分析,并建立层次分析模型开展了评估风险,对提出的风险进行改进,但仍需要进一步的完善和深入:
1、互联网的技术是不断发展的,运营模式也在不断的更新升级,面临的安全风险也在不断的变化,本论文建立的互联网 APP 信息安全风险评估仍需要紧密结合市场的发展,不断的进行优化和调整;
2、本论文将所有问卷安全参与人做出的结果认定为权重一致,对 10 份调查问卷的结果采取了算数平均分。如能进一步考虑专家不同的背景、职级,岗位等因素,增加判断的权重,可以更好的反应层次分析法中的矩阵结果,推导出更加客观的 APP 信息安全风险评估结果;
参考文献(略)
