|
|
|
电子商务是一个复杂的系统,涉及很多参与角色和活动环节。因此,电子商务的安全除了靠安全技术保障外,还必须加强监管,建立健全相应的安全管理制度,有相关的法律法规作保障。
|
|
|
|
(1)交易安全管理制度。交易安全管理制度主要是为电子商务活动提供安全交易环境,制定相应管理制度和策略,提高信用,规避风险,保证商务活动的公平、公开和公正。
|
|
|
|
(2)风险管理与控制机制。通过风险管理与控制机制的建立能够对潜在风险及其发生的可能性进行分析,从而及时有效地实施应对策略来规避风险。风险管理与控制是一个封闭的连续过程。首先是主动检查系统内外工作环境,找出潜在风险。其次是对潜在风险及其发生的可能性进行分析,在此基础上对可分配的资源进行评估,制定评估计划与实施方案,并予以实现。最后利用实现过程中所获得的监控信息对风险管理的计划与控制进行调整。应对风险要考虑成本效益的问题,应当认真研究和制定风险管理与控制机制,正确把握投入的度,以最小的投入,获得最大的效益。
|
|
|
|
(3)运行、维护和安全监控管理制度。建立日常的电子商务系统运行、维护和安全监控管理制度,定期检查系统日志,对系统的日常工作情况进行记录与监控。特别要对关系系统安全的重大相关事件、操作状况和运行情况进行记录,以便分析查找发现问题,及时妥善解决问题。
|
|
|
|
(4)授权、访问控制策略和责任。授权是指赋予本体(用户、终端、程序等)对客体(数据、程序等)的支配权利,即规定了谁可以对谁进行什么操作。例如,规定某个文件只能由特定人员阅读或修改;人事记录只能由人事部职员进行新增和修改,并且只能由人事部职员、执行经理以及该记录所属于的那个人阅读;在多级安全系统中,只有所持的许可证级别等于或高于相关密级的人员,才有权访问该密级中的信息等。这些安全策略的描述也对各类防护措施提出了要求。在计算机和通信系统中,主要是以一种被称为“访问控制策略”的系统安全策略反映出来的。访问控制策略隶属于系统安全策略,它迫使在计算机系统和网络中自动地执行授权。例如,基于身份的策略,该策略允许或者拒绝执行对明确区分的个体或群体进行访问;基于任务的策略,它是基于身份的策略的一种变形,它给每一个体分配任务,并基于这些任务来使用授权规则;多等级策略,它是基于信息敏感性的等级以及工作人员许可证等级而制定的一般规则的策略。支撑所有安全控制策略的一个根本原则是责任。受到安全策略制约的任何个体在执行任务时,需要对他们的行动负责。
|
|
|
|
(5)人员管理制度。人员管理在电子商务安全管理中处于非常重要的地位,管理的对象包括在职人员和离职人员,管理的内容包括无意的操作失误、有意的攻击与破坏、错误的判断等。内部人员对系统攻击的危害性及发现的难度要远远大于外部人员,因此如何防止系统内部人员对电子商务系统有意的攻击与破坏是重中之重。制定严格的管理制度,加强教育和监督,明确职责和权限,严禁越权操作和使用。建立离职人员的审计和监督制度,杜绝因人员的离职给单位造成不必要的损失。建立在职人员个人情况(特别是经济状况、工作业绩、道德品行等)档案,及时了解在职人员的思想和工作状况,防止蓄意破坏情况的发生。另外,还要在人员录用、安全教育、岗前培训等方面制定相应的管理制度,消除安全隐患,杜绝安全漏洞,防患于未然。
|
|
|
|
(6)保密制度。建立安全保密制度,加强工作人员的安全教育,提高安全意识。严格执行信息披露制度,保证企业的有价值信息、关键性商务运作信息、客户私人信息以及内部重要信息等不被泄露。
|
|
|
|
(7)病毒防范机制。建立病毒的检测与防范机制,通过采用网络防火墙、防病毒软件、控制访问权限等技术和措施,增强安全意识,严格制度管理。认真执行病毒的检测与清理、系统漏洞检查等制度,杜绝安全隐患,防患于未然。
|
|
|
|
(8)安全计划、应急机制和灾难恢复机制。任何系统都会受到自然灾害或者是人为灾害的影响,使系统处于不安全或者不稳定的状态。因此,需要制定安全计划、应急机制和灾难恢复措施。评估系统薄弱环节,防止和减少系统风险。制定完善的安全解决方案,在系统出现突发性事故或不安全事故发生的情况下,能够尽快排除故障,恢复系统正常运行,最大限度地减少损失。制定灾难恢复措施,经常对重要数据进行备份。采用数据恢复技术,以便灾难发生时,能够及时恢复与使用数据。
|
|
|
