电子商务的安全不仅包括技术手段的安全性,更重要是管理方面的问题。从以往的案例来看,出现安全问题大多数情况都有管理的责任。电子商务的安全管理涉及许多方面,不仅包括对安全技术的管理,还包括对人员的管理、企业日常维护等方面,甚至还涉及审计、稽核方面管理。
1 信息安全管理制度
国际上对计算机信息安全定义为“为数据处理系统建立、采取的技术和管理的安全进行保护,保护计算机硬件、软件和数据不受偶然因素和恶意因素的破坏、更改和泄露。”根据1994年出台的《中华人民共和国计算机信息系统安全保护条例》所述,计算机信息系统安全包括信息的采集、加工、存储、传输、检索等方面的安全。
不论是信息的采集、加工、存储、传输、检索的哪个环节的安全,先进的信息安全技术都是信息安全的保障。在采集信息时要加强对信息内容的审查管理,保障信息内容的完整性和真实性。由专门的系统管理人员对所负责的信息安全性进行测评,并对发现的漏洞及时采取技术手段进行补救,防治信息被窃取。在信息的加工处理过程中,管理人员应该对加工处理信息的系统定期进行安全检查和维护,避免在信息的加工处理过程中应为系统原因造成在系统内处理的信息被破坏。信息的存储设备也要有专用的设备和专门的人员进行管理,存储设备也要定期检查。在信息的传输过程中是最容易出现问题的环节,所以要对传输介质的安全格外注重。
2 网络的日常维护制度
网络的日常维护关系到整个电子商务活动的安全,所以至关重要。特别是承担整个企业电子商务活动关键环节的网络,如资金环节(银行网络、财务内网、税务网络等)、机密环节(企业内部电子邮件等)。
同时网络的日常维护又是一项繁重又琐碎的工作。一般而言,我们将电子商务网络的日常维护分为硬件系统维护、软件系统维护和数据备份三个部分。
2.1 硬件的日常维护
对于硬件而言,计算机的厂家、型号、配置等各不相同,网络设备同样也有很大不同,且安装情况不同,所以维护起来很费时间。服务器和用户机也需要人工操作和维护,所以工作量很大。
网络设备:通常对于网络设备而言,有相应的网管软件,如WorkWin软件等。无论网络管理系统的大小,基本都是由网络管理软件和支持软件的网络设备组成的。网络管理软件为网络系统提供有关系统配置、故障、性能和网络用户分布等方面的管理,所以说网管软件非常重要。
服务器与用户机:一般情况下,这部分的日常维护需要人工来完成。对于服务器和用户机而言,第一步要为每台服务器建立完整的记录,记录服务器的型号、安装的软件及使用的数据。定期检查服务器的电源、硬盘及系统日志,并定期备份。
通信线路:在内部网络线路建设初期,最好采用结构化布线,这样虽然会增加建网投入,但可以大大降低网络出现故障的概率,节约了后期维护成本。
2.2 软件的日常维护
软件分为系统软件和应用软件,系统软件包括操作系统(Windows、DOS等)、程序设计语言(C语言等)、数据库管理系统(Foxpro,Access等)和系统辅助处理程序(调试程序、编辑程序等)。应用软件是专门解决各种具体应用问题的软件,如Word、Excel等。
对于操作系统的日常维护,要定期进行磁盘碎片整理和磁盘碎片扫描,这是最简单、最直接的方法,可以安全清理临时文件、无用文件、备份文件;维护和备份系统注册表;使用防系统死机工具维护系统稳定;查杀病毒等。对于应用软件的日常维护主要是版本控制。在服务器上安装应用软件,当需要更新时,通过服务器远程对每台用户机进行更新,以保证应用软件版本一致。
2.3 数据备份
在对网络的日常维护中,应尽量做到预防问题的发生,而数据备份是用来弥补发生问题的最好方式之一,所以对重要数据要进行备份。目前数据备份主要方式有:LAN 备份、LAN Free备份和SAN Server-Free备份三种。LAN 备份针对所有存储类型都可以使用,LAN Free备份和SAN Server-Free备份只能针对SAN架构的存储。
3 人员管理制度及保密
通过网络进行的电子商务活动具有很强的隐蔽性。同时,进行电子商务交易的人员既要具有传统市场营销的知识和手段,又还必须具备计算机知识,熟悉计算机网络。所以他们是一群具有高技术性的专业人员,所以加强对这部分人员的管理是维护电子商务安全的重要
一环。
首先,在人员录用时,要严格遵守选拔制度,要选择有责任心,守纪律,品德好,同时具有市场营销知识和计算机知识的人员。有时和专业知识相比,人员的品质更为重要。其次,要与录用人员签订保密协议,规定其应当承担的责任和义务,规范其行为。定期组织对人员业务能力的培训和安全保密培训,对人员违规行为要坚决按照相关规定进行严肃处理,绝不姑息。第三,坚决执行网上交易安全运作基本原则。包括双人负责原则:重要业务不能安全一个人单独管理,应该由两人或两人以上相互制约管理。任期有限原则:任何人员不允许长期担任和安全有关的职务。最小权限原则:明确规定只有网络管理人员才能进行物理访问和软件安装工作。
进行电子商务的过程中不可避免会涉及到企业的机密,比如企业的财务状况,生产成本,市场定位及分布等信息。但不是所有的机密都需要严格的保密措施,一般情况下,对于企业机密可以分为三个等级。
1)绝密级。这类机密数量最少,包括企业的经营状况报告、产品的成本价格、公司的战略规划等。这部分网络及密码需要严格保密,通常只允许企业相关高层管理者掌握。
2)机密级。包括企业的人员组成情况、日常管理工作资料、会议通知、人员变动情况、出差情况等。此部分网络及密码只限企业中层以上人员使用。
3)秘密级。包括企业简介、组织机构设置、产品介绍、地址电话、邮箱网站等。这部分网络及密码在网络上公开,可供大众查找。带需要一定程度上的保护,主要需要防止恶意入侵。
4 跟踪、审计、稽核制度
跟踪制度要求企业对网络交易情况进行日志式管理,用来记录网上交易过程中系统运行的数据。日至式管理要求记录包括交易操作时间、操作方式、操作设备号码、登陆次数、运行时间、交易内容等数据。同时,这些记录生成的文件必须是系统自动生成,且不可修改的。日志文件对以后系统的升级、故障恢复、运行监督等方面都有帮助。
审计制度是指企业内部对系统日志的审查。这种审查是定期进行的,以便及时发现系统存在的异常情况,对各种违反安全管理制度的操作进行记录、监控、保存数据、维护和管理系统日志。
稽核制度是指国家相关部门,通过稽核业务系统软件对企业电子商务业务经营活动的情况进行调阅、查询、审查的制度。通过稽核制度,相关部门可以监督企业电子商务活动的情况,及时发现漏洞和问题,警示企业,并对发现的违规行为进行处罚。