电子商务安全管理策略范文

[摘要]本文试着结合目前的各种电子商务安全技术和安全协议,对基于Internet的电子商务系统的安全管理策略进行一些基本的探索和研究,以期对基于Internet的电子商务安全管理提供了一些有价值的借鉴和参考。

[关键词]电子商务；安全策略

1．引言

随着信息技术和Internet的飞速发展，电子商务，特别是通过Internet进行的电子商务成了电子商务应用和发展的主要推动力。然而，由于Internet的高度开放性而随之带来的安全问题，严重影响了电子商务的广泛应用和发展。而目前的各种电子商务安全技术和安全协议的局限性，使得加强对基于Internet的电子商务安全管理策略的研究，有效地对各种电子商务安全技术和安全协议进行有效协调和应用，对于抵挡各种电子商务安全问题的冲击，无疑为人们在电子商务安全技术研究领域之外，提供了一个新的途径和方法。

2．电子商务安全管理策略的制定

2．1制定电子商务安全管理策略的目的

制定电子商务安全管理策略的目的是为了能够有效地保障电子商务系统安全、完整、正常地运行而不受破坏和于扰；能够有序地、客观地鉴别和测试电子商务系统的安全状态；能够对可能存在的风险有一个基本的评估；而当电子商务系统遭受破坏后能够采取及时有效的恢复措施和手段，并且对其所需代价有一定的估计。

对基于Internet的电子商务活动来说，构建一个安全的电子商务网络系统应首先确定其安全管理策略。解决电子商务安全问题，制定电子商务安全管理策略应从物理安全、网络安全、信息安全访问授权、病毒防范、灾难恢复等多角度、多方面考虑。

2．2电子商务安全管理策略制定原则

电子商务安全管理策略的制定就是针对电子商务系统中所要保护信息的、被攻击的可能性、投入的资金状况等，在电子商务系统管理的整个过程中，根据实际情况具体地对各种电子商务安全措施进行选择。有效的电子商务管理策略可以说是在一定条件下的成本和效率的平衡。虽然电子商务的具体应用环境不同，但我们在制定电子商务安全管理策略时一般都应遵守下面一些原则。

(1)综合性、系统性原则

该原则要求用系统的观点和方法来分析整个电子商务系统的安全问题，要求在综合各方面情况后制定相应的具体可行的安全措施。

(2)平衡分析原则

由于目前技术条件的限制，绝对安全的电子商务系统是做不到的。因此，要在对电子商务系统面临的威胁和可能承担的风险进行充分研究后，再结合目前的技术和资金条件制定相应的安全措旆以达到安全与价值的平衡。

(3)易操作性原则

再好的安全措施，都要由人来完成．因此，如果措施过于复杂，不便操作，那么电子商务系统的安全性也就无从谈起。

(4)适应性和灵活性原则

安全防范措施必须要能够随着电子商务系统性能、技术环境以及安全需求的变化而作出相应的调整以适应安全要求。

(5)多级保护原则

受目前技术条件限制，任何安全措施都有可能被攻破。因此，建立一个多级保护的系统，当其中某一层被破坏时，另外的层次也能起到防护作用。

2．3电子商务安全管理策略制定步骤

制定电子商务安全管理策略通常都包括以下几个步骤：

(1)确定目标

安全管理策略目标包括电子商务系统中被保护的对象，实现的方法和途径。

(2)明确范围

确定电子商务安全管理策略所要保护的资源范围以及相关保护环境的界定。

(3)争取来自高层管理的支持

来自电子商务系统所属单位的高层支持，对于保障电子商务安全管理措施的顺利运行，以及技术资金上的保证，都有重要的意义。

(4)评估危险

尽可能地对影响电子商务安全的各方面因素考虑周全，对可能存在的危险作出较为准确的评估，以便为制定安全管理策略提供依据。

(5)制定策略

完成前面几个步骤后，接着就根据经济和技术实力确定一个相对满意的安全策略。

(6)策略评估调整

在策略制定后，应评估其是否达到目标，以及当安全需求变化时作出适时的调整。

3．电子商务安全管理策略的基本内容

基于Internet的电子商务安全管理策略涵盖范围很广，一个完整的电子商务安全管理策略一般都可以分为物理安全策略、网络安全策略以及灾难恢复策略等。

3．1物理安全策略

物理安全策略是整个电子商务安全管理策略的不可忽视的重要基础。在基于Internet的电子商务整个交易过程中，对电子商务系统包含的相关物理设备有相当高的安全要求。影响电子商务系统安全的物理安全风险主要有自然灾害风险、人为风险和硬件防护风险。相应的物理安全策略也围绕上述三个物理安全风险展开。

(1)自然灾害安全防范策略

主要包括防火、防水和防雷措施。设备所在场所应避免火灾、水灾的发生并采取相应的隔离措施以保证在意外火灾、水灾下的设备防护。另外，电子商务系统的设备主要由电路组成，因此制定全方位、安全灵活的防雷措6S显得非常有必要。

(2)人为风险防范策略

人为风险包括人为的操作错误引起的安全问题、设备防盗以及计算机犯罪问题等。

人为操作方面引起的风险可以通过建立和健全安全制度来加以防止，同时加强和培育安全意识。对于设备防盗问题，如果资金允许，可以建立较为完善的防盗系统，如果资金不足，可以通过加强内部管理的方法加以解决。对于内外部人员的计算机犯罪问题，一是通过法律途径解决；二是加强自身安全防范。

(3)硬件防护策略

硬件防护包括电磁防护和硬件设备维护。

硬件维护包括服务器及其他相关设备的电源保护、有效的防静电措施以及要抑制和防范电磁泄露与电磁干扰。关于硬件设备维护，如果条件允许，可以增加设备信息保护装置。另外除了日常维护以外，还需要定期对设备进行检修。

3．2网络安全策略

网络安全是电子商务系统安全的核心，需要从技术和管理两方面入手，因此，网络安全策略分为技术策略和管理策略。

(1)技术策略

●安装使用网络安全检测设备和相关软件

借助一些专用的网络安全监控设备和软件，加强对各种不法行为的监控和防范。

●加强网络访问控制

访问控制是网络安全防范和保护的主要策略。它包括入网访问控制、网络权限控制、网络监测和锁定控制等。

●采用防火墙技术

防火墙用来检查通过内部网和外部网间的信息往来，它可以鉴别网络服务请求是否合法，以便采取响应或拒绝的措施。

●数据加密

数据加密是采用一定的加密技术，以防在传输过程中数据一旦被截获不致造成信息的泄露，其核心是加密的方式以及密钥的分配和管理。

●引入鉴别机制

鉴别是查明另外一个实体身份和特权的过程，以确定其合法性，并作出响应。

(2)管理策略

●加强电子商务网络系统的日常管理和维护

●建立严格的保密制度

●加强对管理人员监督和培训，落实工作责任制

●建立跟踪、审计和稽核制度

●完善病毒防范制度

●建立健全相关法律法规制度

3．3灾难恢复策略

对于电子商务系统来说，灾难主要指意外的自然灾害以及黑客攻击等原因造成数据库受到的破坏。灾难恢复策略是为了在数据资源遭受破坏后迅速恢复系统功能，最大程度地保持数据资源的完整性，将损失降至最低。因此，灾难恢复主要包括备份和恢复两个环节。

(1)灾难备份

●确定备份方案

●建立数据恢复中心

●建立完善的备份制度

(2)数据恢复

●评估数据损失情况

●确定数据恢复方案

●恢复数据

4．结论

对基于Internet的电子商务系统来说，一个完善的安全管理策略，能够保障系统的正常运行；能够有序地、经常地测试安全状态；能够对可能的安全风险有一个基本的评估；能够在系统遭破坏后及时采取补救措施。

基于Internet的电子商务安全所面临的威胁是多种多样的，各种问题还会不断出现，同样，电子商务安全技术和安全协议也是不断发展的，因此，电子商务安全管理策略需要电子商务理论界和实业界进一步研究和完善。

主要参考文献

[1]甘早斌．电子商务概论(第二版)[M]．华中科技大学出版社，2003．

[2]钟诚．电子商务安全[M]．重庆；重庆大学出版社，2004．6．

[3]唐华．电子商务安全策略[J]．湖南农业大学学报，2002，(6)．

[4]易珊，张学哲．电子商务安全策略分析[J]．科技情报开发与经济2004，(5)．

[5]陈京东，陈国龙．电子商务安全策略的思考[J]．福建电脑，2003(4)．