付 靜

西安科技大學(xué)，陜西西安 710054

保障電子商務(wù)的安全不僅包括技術(shù)手段的安全性，更重要是管理方面的問題。從以往的案例來看，出現(xiàn)安全問題大多數(shù)情況都有管理的責任。電子商務(wù)的安全管理涉及許多方面，不僅包括對安全技術(shù)的管理，還包括對人員的管理、企業(yè)日常維護等方面，甚至還涉及審計、稽核方面管理。

1 信息安全管理制度

國際上對計算機信息安全定義為“為數(shù)據(jù)處理系統(tǒng)建立、采取的技術(shù)和管理的安全進行保護，保護計算機硬件、軟件和數(shù)據(jù)不受偶然因素和惡意因素的破壞、更改和泄露?！备鶕?jù)1994年出臺的《中華人民共和國計算機信息系統(tǒng)安全保護條例》所述，計算機信息系統(tǒng)安全包括信息的采集、加工、存儲、傳輸、檢索等方面的安全。

不論是信息的采集、加工、存儲、傳輸、檢索的哪個環(huán)節(jié)的安全，先進的信息安全技術(shù)都是信息安全的保障。在采集信息時要加強對信息內(nèi)容的審查管理，保障信息內(nèi)容的完整性和真實性。由專門的系統(tǒng)管理人員對所負責的信息安全性進行測評，并對發(fā)現(xiàn)的漏洞及時采取技術(shù)手段進行補救，防治信息被竊取。在信息的加工處理過程中，管理人員應(yīng)該對加工處理信息的系統(tǒng)定期進行安全檢查和維護，避免在信息的加工處理過程中應(yīng)為系統(tǒng)原因造成在系統(tǒng)內(nèi)處理的信息被破壞。信息的存儲設(shè)備也要有專用的設(shè)備和專門的人員進行管理，存儲設(shè)備也要定期檢查。在信息的傳輸過程中是最容易出現(xiàn)問題的環(huán)節(jié)，所以要對傳輸介質(zhì)的安全格外注重。

2 網(wǎng)絡(luò)的日常維護制度

網(wǎng)絡(luò)的日常維護關(guān)系到整個電子商務(wù)活動的安全，所以至關(guān)重要。特別是承擔整個企業(yè)電子商務(wù)活動關(guān)鍵環(huán)節(jié)的網(wǎng)絡(luò)，如資金環(huán)節(jié)（銀行網(wǎng)絡(luò)、財務(wù)內(nèi)網(wǎng)、稅務(wù)網(wǎng)絡(luò)等）、機密環(huán)節(jié)（企業(yè)內(nèi)部電子郵件等）。

同時網(wǎng)絡(luò)的日常維護又是一項繁重又瑣碎的工作。一般而言，我們將電子商務(wù)網(wǎng)絡(luò)的日常維護分為硬件系統(tǒng)維護、軟件系統(tǒng)維護和數(shù)據(jù)備份三個部分。

2.1 硬件的日常維護

對于硬件而言，計算機的廠家、型號、配置等各不相同，網(wǎng)絡(luò)設(shè)備同樣也有很大不同，且安裝情況不同，所以維護起來很費時間。服務(wù)器和用戶機也需要人工操作和維護，所以工作量很大。

網(wǎng)絡(luò)設(shè)備：通常對于網(wǎng)絡(luò)設(shè)備而言，有相應(yīng)的網(wǎng)管軟件，如WorkWin 軟件等。無論網(wǎng)絡(luò)管理系統(tǒng)的大小，基本都是由網(wǎng)絡(luò)管理軟件和支持軟件的網(wǎng)絡(luò)設(shè)備組成的。網(wǎng)絡(luò)管理軟件為網(wǎng)絡(luò)系統(tǒng)提供有關(guān)系統(tǒng)配置、故障、性能和網(wǎng)絡(luò)用戶分布等方面的管理，所以說網(wǎng)管軟件非常重要。

服務(wù)器與用戶機：一般情況下，這部分的日常維護需要人工來完成。對于服務(wù)器和用戶機而言，第一步要為每臺服務(wù)器建立完整的記錄，記錄服務(wù)器的型號、安裝的軟件及使用的數(shù)據(jù)。定期檢查服務(wù)器的電源、硬盤及系統(tǒng)日志，并定期備份。

通信線路：在內(nèi)部網(wǎng)絡(luò)線路建設(shè)初期，最好采用結(jié)構(gòu)化布線，這樣雖然會增加建網(wǎng)投入，但可以大大降低網(wǎng)絡(luò)出現(xiàn)故障的概率，節(jié)約了后期維護成本。

2.2 軟件的日常維護

軟件分為系統(tǒng)軟件和應(yīng)用軟件，系統(tǒng)軟件包括操作系統(tǒng)（Windows、DOS 等）、程序設(shè)計語言（C 語言等）、數(shù)據(jù)庫管理系統(tǒng)（Foxpro，Access 等）和系統(tǒng)輔助處理程序（調(diào)試程序、編輯程序等）。應(yīng)用軟件是專門解決各種具體應(yīng)用問題的軟件，如Word、Excel 等。

對于操作系統(tǒng)的日常維護，要定期進行磁盤碎片整理和磁盤碎片掃描，這是最簡單、最直接的方法，可以安全清理臨時文件、無用文件、備份文件；維護和備份系統(tǒng)注冊表；使用防系統(tǒng)死機工具維護系統(tǒng)穩(wěn)定；查殺病毒等。對于應(yīng)用軟件的日常維護主要是版本控制。在服務(wù)器上安裝應(yīng)用軟件，當需要更新時，通過服務(wù)器遠程對每臺用戶機進行更新，以保證應(yīng)用軟件版本一致。

2.3 數(shù)據(jù)備份

在對網(wǎng)絡(luò)的日常維護中，應(yīng)盡量做到預(yù)防問題的發(fā)生，而數(shù)據(jù)備份是用來彌補發(fā)生問題的最好方式之一，所以對重要數(shù)據(jù)要進行備份。目前數(shù)據(jù)備份主要方式有：LAN 備份、LAN Free 備份和SAN Server-Free 備份三種。LAN 備份針對所有存儲類型都可以使用，LAN Free 備份和SAN Server-Free 備份只能針對SAN 架構(gòu)的存儲。

3 人員管理制度及保密

通過網(wǎng)絡(luò)進行的電子商務(wù)活動具有很強的隱蔽性。同時，進行電子商務(wù)交易的人員既要具有傳統(tǒng)市場營銷的知識和手段，又還必須具備計算機知識，熟悉計算機網(wǎng)絡(luò)。所以他們是一群具有高技術(shù)性的專業(yè)人員，所以加強對這部分人員的管理是維護電子商務(wù)安全的重要一環(huán)。

首先，在人員錄用時，要嚴格遵守選拔制度，要選擇有責任心，守紀律，品德好，同時具有市場營銷知識和計算機知識的人員。有時和專業(yè)知識相比，人員的品質(zhì)更為重要。其次，要與錄用人員簽訂保密協(xié)議，規(guī)定其應(yīng)當承擔的責任和義務(wù)，規(guī)范其行為。定期組織對人員業(yè)務(wù)能力的培訓(xùn)和安全保密培訓(xùn)，對人員違規(guī)行為要堅決按照相關(guān)規(guī)定進行嚴肅處理，絕不姑息。第三，堅決執(zhí)行網(wǎng)上交易安全運作基本原則。包括雙人負責原則：重要業(yè)務(wù)不能安全一個人單獨管理，應(yīng)該由兩人或兩人以上相互制約管理。任期有限原則：任何人員不允許長期擔任和安全有關(guān)的職務(wù)。最小權(quán)限原則：明確規(guī)定只有網(wǎng)絡(luò)管理人員才能進行物理訪問和軟件安裝工作。

進行電子商務(wù)的過程中不可避免會涉及到企業(yè)的機密，比如企業(yè)的財務(wù)狀況，生產(chǎn)成本，市場定位及分布等信息。但不是所有的機密都需要嚴格的保密措施，一般情況下，對于企業(yè)機密可以分為三個等級。

1）絕密級。這類機密數(shù)量最少，包括企業(yè)的經(jīng)營狀況報告、產(chǎn)品的成本價格、公司的戰(zhàn)略規(guī)劃等。這部分網(wǎng)絡(luò)及密碼需要嚴格保密，通常只允許企業(yè)相關(guān)高層管理者掌握。

2）機密級。包括企業(yè)的人員組成情況、日常管理工作資料、會議通知、人員變動情況、出差情況等。此部分網(wǎng)絡(luò)及密碼只限企業(yè)中層以上人員使用。

3）秘密級。包括企業(yè)簡介、組織機構(gòu)設(shè)置、產(chǎn)品介紹、地址電話、郵箱網(wǎng)站等。這部分網(wǎng)絡(luò)及密碼在網(wǎng)絡(luò)上公開，可供大眾查找。帶需要一定程度上的保護，主要需要防止惡意入侵。

4 跟蹤、審計、稽核制度

跟蹤制度要求企業(yè)對網(wǎng)絡(luò)交易情況進行日志式管理，用來記錄網(wǎng)上交易過程中系統(tǒng)運行的數(shù)據(jù)。日至式管理要求記錄包括交易操作時間、操作方式、操作設(shè)備號碼、登陸次數(shù)、運行時間、交易內(nèi)容等數(shù)據(jù)。同時，這些記錄生成的文件必須是系統(tǒng)自動生成，且不可修改的。日志文件對以后系統(tǒng)的升級、故障恢復(fù)、運行監(jiān)督等方面都有幫助。

審計制度是指企業(yè)內(nèi)部對系統(tǒng)日志的審查。這種審查是定期進行的，以便及時發(fā)現(xiàn)系統(tǒng)存在的異常情況，對各種違反安全管理制度的操作進行記錄、監(jiān)控、保存數(shù)據(jù)、維護和管理系統(tǒng)日志。

稽核制度是指國家相關(guān)部門，通過稽核業(yè)務(wù)系統(tǒng)軟件對企業(yè)電子商務(wù)業(yè)務(wù)經(jīng)營活動的情況進行調(diào)閱、查詢、審查的制度。通過稽核制度，相關(guān)部門可以監(jiān)督企業(yè)電子商務(wù)活動的情況，及時發(fā)現(xiàn)漏洞和問題，警示企業(yè)，并對發(fā)現(xiàn)的違規(guī)行為進行處罰。

[1]包文夏，李文龍.電子商務(wù)管理的路徑探析[J].企業(yè)技術(shù)開發(fā)，2012：113-114.

[2]范曉菁.淺談電子商務(wù)安全[J].經(jīng)濟研究，2010：79-80.

[3]李振汕.電子商務(wù)安全管理體系的構(gòu)建[J].計算機安全，2010：65-68.

[4]孫素華.電子商務(wù)安全的安全管理分析[J].衡水學(xué)院學(xué)報，2010：14-15.