電子商務安全監(jiān)管體系

1、問題的提出

作為一種新的經濟模式，電子商務以高

效、便捷、方便的優(yōu)勢和全新的企業(yè)經營理

念、經營手段、經營環(huán)境吸引著廣大用戶，

為世界經濟賦予了無限的發(fā)展空間。隨著電

子商務應用范圍的日益擴大，針對電子商務

的各種犯罪活動也19益猖獗。

國內外調查顯示…，52.26%的用戶最

關心的是網上交易的安全可靠性，超過60%

的人由于擔心電子商務的安全問題而不愿

進行網上購物。加強電子商務實施過程中的

安全管理已經成為促進電子商務高速發(fā)展

的重要因素。

電子商務的安全，可分為技術安全和管

理安全兩種類型。所謂技術安全，是指通過

各種黑客手段竊取企業(yè)的用戶1D、密碼以及

相關的機密文件，甚至網絡銀行帳號、密碼

等，給企業(yè)造成經濟損失。而管理安全則是

指缺乏對參與電子商務過程中各個環(huán)節(jié)的

人員的管理預防手段，最終導致的電子商務

安全事件。從美國的花旗銀行和中央情報局

到中國的某家國有商業(yè)銀行，都有過由于內

部人員的違規(guī)和違法操作，導致數(shù)據(jù)被篡改

和泄密的事件發(fā)生。

近幾年的電子商務安全案件表明：人員

是網上交易安全管理中的最薄弱的環(huán)節(jié)，近

年來我國計算機犯罪大都呈現(xiàn)內部犯罪的

趨勢，有的競爭對手利用企也招募新人的方

式潛入對方企業(yè)，或利用不正當?shù)姆绞绞召I

企業(yè)網絡交易管理人員。有的電子商務從業(yè)

人員從本企業(yè)辭職后，迅速把客戶資料、產

品研發(fā)成果等機密出售給競爭對手，給企業(yè)

帶來了不必要的經濟損失。

2、原因分析

電子商務信息安全已經引起很多企業(yè)

的重視，但大多數(shù)企業(yè)往往側重于加強技術

措施，如購買先進的防火墻軟件，采用更高

級的加密方法等，很多企業(yè)認為：員工泄密

的安全事故只是偶然現(xiàn)象，很少從人員管理

的角度來探討出現(xiàn)這些事故的根本原因。

“重技術、輕管理”是當前很多電子商務企

業(yè)的通病。由于管理手段不到位，很多先進

的安全技術無法發(fā)揮應有的效能。之所以出

現(xiàn)上述問題，主要有以下原因：

首先，很多企業(yè)管理高層對人員管理在

信息安全中的地位認識不足。大多數(shù)企業(yè)將

電子商務網絡作為一項純粹的技術工程來

實施，企業(yè)內部缺乏系統(tǒng)的安全管理策略，

只是被動的使用一些技術措施來進行防御，

因此電子商務過程中一旦出現(xiàn)突發(fā)性事件，

往往造成很大的經濟損失。現(xiàn)實中沒有一個

網絡系統(tǒng)是完美無缺的，不安全因素隨時存

在。因此，安全管理措施必須滲透到系統(tǒng)的

每一個環(huán)節(jié)和企業(yè)組織的?個層面，只有構

建一個人與技術相結合的安全管理體系，才

能確保整個電子商務系統(tǒng)得安全。

企業(yè)沒有從整體上、有計劃地考慮信息

安全問題。企業(yè)各部門、各下屬機構都存在

“各自為政的局面，缺少統(tǒng)一規(guī)劃、設計和

管理信息安全強調的是整體上的信息安全

性，而不僅是某一個部門或公司的信息安全。

而各部門、各公司又確實存在個體差異，對

于不同業(yè)務領域來說，信息安全具有不同的

涵義和特征，信息安全保障體系的戰(zhàn)略性必

須涵蓋各部門和各公司的信息安全保障體

系的相關內容。

缺少信息安全管理配套的人力、物力和

財力。人才是信息安全保障工作的關鍵。信

息安全保障工作的專業(yè)性、技術性很強，沒

有一批業(yè)務能力強，且具有信息網絡知識、

信息安全技術、法律知識和管理能力的復合

型人才和專門人才，就不可能做好信息安全

保障工作。應該從信息安全建設和管理對信

息安全人才的實際需求出發(fā)，加快信息安全

人才的培養(yǎng)。

企業(yè)對員工的信息安全教育不夠。員工

的信息安全意識薄弱，90%的安全事故是由

于人為疏忽所造成。如有些企業(yè)不限制內部

人員使用各種高科技信息載體，如U盤、移

動硬盤以及筆記本等移動辦公設備。

3、加強電子商務安全管理的建議

電子商務信息安全管理實踐表明，大多

數(shù)安全問題是由于管理不善造成的。安全管

理是一項系統(tǒng)工程，不僅涉及到企業(yè)的組織

架構、信息技術、人員素質等各個方面，還

牽扯到國家法律和商業(yè)規(guī)則。企業(yè)內部存在

著諸多影響信息安全的因素：改變1T系統(tǒng)

不等于改變企業(yè)的信息安全管理，要使企業(yè)

信息盡可能的安全，必須在技術投人的基礎

上融人人在管理方面的智慧i同時，不僅要

防外，更要防內，即對組織內部人員的管理。

信息安全問題的解決需要技術，但又不能單

純依靠技術。整個電子商務的交易過程，是

人與技術相互融合的過程，如何使管理與技

術相得益彰十分重要。“三分技術，七分管

理”闡述了信息安全的本質。

電子商務的安全管理，就是通過一個完

整的綜合保障體系，來規(guī)避信息傳輸風險、

信用風險、管理風險和法律風險，以保證網

上交易的順利進行。網上交易安全管理，應

采用綜合防范的思路，一是技術方面的考慮,

如防火墻技術、網絡防毒、信息加密、身份

認證、授權等，但必須明確，只有技術措施

并不能完全保證網上交易的安全。二是必須

加強監(jiān)管，建立各種有關的合理制度，并加

強嚴格監(jiān)督，如建立交易的安全制度、交易

安全的實時監(jiān)控、提供實時改變安全策略的

能力、對現(xiàn)有的安全系統(tǒng)漏洞的檢查以及安

全教育等。為了加強企業(yè)電子商務的信息安

全，我們提出如下建議：

提高網絡安全防范意識。

現(xiàn)在許多企業(yè)沒有意識到互聯(lián)網的易

受攻擊性，盲目相信國外的加密軟件，對于

系統(tǒng)的訪問權限和密鑰缺乏有力度的管理。

這樣的系統(tǒng)一旦受到攻擊將十分脆弱，其中

的機密數(shù)據(jù)得不到應有的保護。據(jù)調查，目

前國內90%的網站存在安全問題，其主要原

因是企業(yè)管理者缺少或沒有安全意識。某些

企業(yè)網絡管理員甚至認為其公司規(guī)模較小，

不會成為黑客的攻擊目標，如此態(tài)度，網絡

安全更是無從談起。應該定期由公司或安全

管理小組承辦信息安全講座，只有提高網絡

安全防范意識，才能有效的減少信息安全事

故的發(fā)生。

建立電子商務安全管理組織體系。

一個完整的信息安全管理體系首先應

建立完善的組織體系。即建立由行政領導、

IT技術主管、信息安全主管、本系統(tǒng)用戶代

表和安全顧問組成的安全決策機構。其職責

是建立管理框架，組織審批安全策略、安全

管理制度，指派安全角色，分配安全職責，

并檢查安全職責是否已被正確履行，核準新

信息處理設施的啟用、組織安全管理專題會

等。還應建立由網絡管理員、系統(tǒng)管理員、

安全管理員、用戶管理員等組成的安全執(zhí)行

機構。該機構負責起草網絡系統(tǒng)的安全策略、

執(zhí)行批準后的安全策略、日常的安全運行和

維護、定期的培訓和安全檢查等。如果需要，

還可建立安全顧問機構。安全顧問機構可聘

請信息安全專家擔任系統(tǒng)安全顧問，負責提

供安全建議，特別是在安全事故或違反安全

策略事件發(fā)生后，可以被安全決策機構指定

負責事故調查，并為安全策略評審和評估提

供意見。

制定符合機構安全需求的信息安全策

略。電子商務交

易過程中，需要明確的安全策略主要包

括客戶認證策略、加密策略、日常維護策略、

防病毒策略等安全技術方案的選擇。安全執(zhí)

行機構應根據(jù)本信息網絡的實際情況制定

相應的信息安全策略，策略中應明確安全的

定義、目標、范圍和管理責任，并制定安全

策略的實施細則。安全策略文檔要由安全決

策機構審查、批準，并發(fā)布和傳達給所有的

人安全策略還應由安全決策機構定期進行

有效性審查和評估：在發(fā)生重大的安全事故、

發(fā)現(xiàn)新的脆弱性、組織體系或技術上發(fā)生變

更時，應重新進行安全策略的審查和評估。

人員安全的管理和培訓

參與網上交易的經營管理人員在很大

程度上支配著企業(yè)的命運，他們承擔著防范

網絡犯罪的任務。而計算機網絡犯罪同一般

犯罪不同的是，他們具有智能性、隱蔽性、

連續(xù)性、高效性的特點，因而，加強對有關

人員的管理變得十分重要。首先，在人員錄

用時應做好人員鑒別，人員錄用或人員職位

調整時，一般要簽署保密協(xié)議。當人員到期

離開或協(xié)議到期、工作終止時，要審查保密

協(xié)議。其次對有關人員進行上崗培訓，建立

人員培訓計劃，定期組織安全策略和規(guī)程方

面的培訓。第三，落實工作責任制，在崗位

職責中明確本崗位執(zhí)行安全政策的常規(guī)職

責和本崗位保護特定資產、執(zhí)行特定安全過

程或活動的特別職責，對違反網上交易安全

規(guī)定的人員要進行及時的處理。第四，貫徹

網上交易安全運作基本原則，包括職責分離、

雙人負責、任期有限、最小權限、個人可信

賴性等。

增強法律意識，促進電子商務立法

面對電子商務這種新型的貿易形式，我

國目前尚無專門法規(guī)可依，使得部分違法犯

罪人員沒有得到應有的懲罰。近幾年里，國

家加強了這方面的投入。在全國性的立法文

件中，《合同法》的部分條款可以看作是針

對電子商務的立法。此外，廣東省制定的《廣

東省電子交易管理條例》這個地方性的法規(guī)

可以看作是對加快我國電子商務立法的有

益探索?！吨腥A人民共和國電子簽名法》是

對主要用于電子商務活動，電子政務等其他

應用應該有新的適用法規(guī)。

盡管在電子商務信息安全立法方面取

得了一些成就，但總的來說，我國的電子商

務立法還很不健全，對電子商務活動的安全

保護缺少直接性；相關立法比較分散，而且

效力不高；對新出現(xiàn)的情況缺乏適應能力；

立法速度慢C這些都需要電子商務企業(yè)和國

家有關部門不斷探索，共同促進電子商務信

息安全的法制環(huán)境建設。

4、結論

快捷的電子商務在給企業(yè)帶來發(fā)展機

遇的同時，也使企業(yè)面臨著各種安全風險。

由于缺乏對電子商務信息安全管理體制的

系