企业电子商务安全管理对策
企业电子商务的安全管理需要一个完整的综合保障体系。应当从技术、管理、法律等方面入手,采取行之有效的综合解决的办法和措施,才能真正实现电子商务的安全运作。其主要安全管理对策体现在以下几个方面:
(一)人员管理
由于人员在很大程度上支配着市场经济下的企业的命运,而计算机网络犯罪又具有智能型性、连续性、高技术性的特点,因而,加强对电子商务人员的管理变得十分重要。
贯彻电子商务安全运作基本原则:
1、双人负责原则:重要业务不要安排一个人单独管理,实行两人或多人相互制约的机制;
2、任期有限原则:任何人不得长期担任与交易安全有关的、职务;
3、最小权限原则:明确规定只有网络管理员才可以进行物理访问,只有网络人员才可进行软件安装工作。
(二)保密管理
电子商务涉及企业的市场、生产、财务、供应等多方面的机密,信息的安全级别又可分为绝密级、机密级和秘密级三级,因此,安全管理需要很好地划分信息的安全防范重点,提出相应的保密措施。
保密工作的另一个重要的问题是对密钥的管理。大量的交易必然使用大量的密钥,密钥管理必须贯穿于密钥的产生、传递和销毁的全过程。密钥需要定期更换,否则可能使“黑客”通过积累密文增加破译机会。
(三)网络系统的日常维护管理
1、硬件的日常管理和维护
企业通过自己的Intranet参与电子商务活动,Intranet的日常管理和维护变得至关重要,这就要求网络管理员必须建立系统设备档案。一般可用一个小型的数据库来完成这项功能,以便于一旦某地设备发生故障,进行网上查询。
对于一些网络设备,应及时安装网管软件。对于不可管设备应通过手工操作来检查状态,做到定期检查与随机抽查相结合,以便及时准确地掌握网络的运行状况,一旦有故障发生能及时处理。
2、软件的日常管理和维护
对于操作系统,所要进行的维护工作主要包括:定期清理日志文件、临时文件;定期执行整理文件系统;监测服务器上的活动状态和用户注册数;处理运行中的死机情况等。
对于应用软件的管理和维护主要是版本控制。为了保持各客户机上的版本一致,应设置一台安装服务器,当远程客户机应用软件需要更新时,就可以从网络上进行远程安装。
(四)数据备份和应急措施
为了保证网络数据安全,必须建立数据备份制度,定期或不定期地对网络数据加以备份。
应急措施是指在计算机灾难事件(即紧急事件或安全事故)发生时,利用应急计划辅助软件和应急设施,排除灾难和故障,保障计算机信息系统继续运行或紧急恢复。在启动电子商务业务时,就必须制定交易安全计划和应急方案,一旦发生意外,立即实施,最大限度地减少损失,尽快恢复系统的正常工作。
灾难恢复包括许多工作。一方面是硬件的恢复,使计算机系统重新运转起来;另一方面是数据的恢复。一般来讲,数据的恢复更为重要,难度也更大。目前运用的数据恢复技术主要是瞬时复制技术、远程磁盘镜像技术和数据库恢复技术。
(五)跟踪与审计管理
跟踪制度要求企业建立网络交易系统日志机制,用于记录系统运行的全过程。系统日志文件是自动生成的,内容包括操作日期、操作方式、登录次数、运行时间、交易内容等。它对系统的运行监督、维护分析、故障恢复,对于防止案件的发生或为侦破案件提供监督数据,起到非常重要的作用。
审计制度包括经常对系统日志的检查、审核,及时发现对系统故意入侵行为的记录和对系统安全功能违反的记录,监控和捕捉各种安全事件,保存、维护和管理系统日志。
(六)病毒防范
抗病毒是电子商务安全的一个新领域。病毒在网络环境下具有更强的传染性,对网络交易的顺利进行和交易数据的妥善保存造成极大的威胁。从事网上交易的企业和个人都应当建立病毒防范制度,排除病毒的骚扰。