电子商务安全监管体系

电子商务安全监管体系

1、问题的提出

作为一种新的经济模式，电子商务以高

效、便捷、方便的优势和全新的企业经营理

念、经营手段、经营环境吸引着广大用户，

为世界经济赋予了无限的发展空间。随着电

子商务应用范围的日益扩大，针对电子商务

的各种犯罪活动也19益猖獗。

国内外调查显示…，52.26%的用户最

关心的是网上交易的安全可靠性，超过60%

的人由于担心电子商务的安全问题而不愿

进行网上购物。加强电子商务实施过程中的

安全管理已经成为促进电子商务高速发展

的重要因素。

电子商务的安全，可分为技术安全和管

理安全两种类型。所谓技术安全，是指通过

各种黑客手段窃取企业的用户1D、密码以及

相关的机密文件，甚至网络银行帐号、密码

等，给企业造成经济损失。而管理安全则是

指缺乏对参与电子商务过程中各个环节的

人员的管理预防手段，最终导致的电子商务

安全事件。从美国的花旗银行和中央情报局

到中国的某家国有商业银行，都有过由于内

部人员的违规和违法操作，导致数据被篡改

和泄密的事件发生。

近几年的电子商务安全案件表明：人员

是网上交易安全管理中的最薄弱的环节，近

年来我国计算机犯罪大都呈现内部犯罪的

趋势，有的竞争对手利用企也招募新人的方

式潜入对方企业，或利用不正当的方式收买

企业网络交易管理人员。有的电子商务从业

人员从本企业辞职后，迅速把客户资料、产

品研发成果等机密出售给竞争对手，给企业

带来了不必要的经济损失。

2、原因分析

电子商务信息安全已经引起很多企业

的重视，但大多数企业往往侧重于加强技术

措施，如购买先进的防火墙软件，采用更高

级的加密方法等，很多企业认为：员工泄密

的安全事故只是偶然现象，很少从人员管理

的角度来探讨出现这些事故的根本原因。

“重技术、轻管理”是当前很多电子商务企

业的通病。由于管理手段不到位，很多先进

的安全技术无法发挥应有的效能。之所以出

现上述问题，主要有以下原因：

首先，很多企业管理高层对人员管理在

信息安全中的地位认识不足。大多数企业将

电子商务网络作为一项纯粹的技术工程来

实施，企业内部缺乏系统的安全管理策略，

只是被动的使用一些技术措施来进行防御，

因此电子商务过程中一旦出现突发性事件，

往往造成很大的经济损失。现实中没有一个

网络系统是完美无缺的，不安全因素随时存

在。因此，安全管理措施必须渗透到系统的

每一个环节和企业组织的〜个层面，只有构

建一个人与技术相结合的安全管理体系，才

能确保整个电子商务系统得安全。

企业没有从整体上、有计划地考虑信息

安全问题。企业各部门、各下属机构都存在

“各自为政的局面，缺少统一规划、设计和

管理信息安全强调的是整体上的信息安全

性，而不仅是某一个部门或公司的信息安全。

而各部门、各公司又确实存在个体差异，对

于不同业务领域来说，信息安全具有不同的

涵义和特征，信息安全保障体系的战略性必

须涵盖各部门和各公司的信息安全保障体

系的相关内容。

缺少信息安全管理配套的人力、物力和

财力。人才是信息安全保障工作的关键。信

息安全保障工作的专业性、技术性很强，没

有一批业务能力强，且具有信息网络知识、

信息安全技术、法律知识和管理能力的复合

型人才和专门人才，就不可能做好信息安全

保障工作。应该从信息安全建设和管理对信

息安全人才的实际需求出发，加快信息安全

人才的培养。

企业对员工的信息安全教育不够。员工

的信息安全意识薄弱，90%的安全事故是由

于人为疏忽所造成。如有些企业不限制内部

人员使用各种高科技信息载体，如U盘、移

动硬盘以及笔记本等移动办公设备。

3、加强电子商务安全管理的建议

电子商务信息安全管理实践表明，大多

数安全问题是由于管理不善造成的。安全管

理是一项系统工程，不仅涉及到企业的组织

架构、信息技术、人员素质等各个方面，还

牵扯到国家法律和商业规则。企业内部存在

着诸多影响信息安全的因素：改变1T系统

不等于改变企业的信息安全管理，要使企业

信息尽可能的安全，必须在技术投人的基础

上融人人在管理方面的智慧i同时，不仅要

防外，更要防内，即对组织内部人员的管理。

信息安全问题的解决需要技术，但又不能单

纯依靠技术。整个电子商务的交易过程，是

人与技术相互融合的过程，如何使管理与技

术相得益彰十分重要。“三分技术，七分管

理”阐述了信息安全的本质。

电子商务的安全管理，就是通过一个完

整的综合保障体系，来规避信息传输风险、

信用风险、管理风险和法律风险，以保证网

上交易的顺利进行。网上交易安全管理，应

采用综合防范的思路，一是技术方面的考虑,

如防火墙技术、网络防毒、信息加密、身份

认证、授权等，但必须明确，只有技术措施

并不能完全保证网上交易的安全。二是必须

加强监管，建立各种有关的合理制度，并加

强严格监督，如建立交易的安全制度、交易

安全的实时监控、提供实时改变安全策略的

能力、对现有的安全系统漏洞的检查以及安

全教育等。为了加强企业电子商务的信息安

全，我们提出如下建议：

提高网络安全防范意识。

现在许多企业没有意识到互联网的易

受攻击性，盲目相信国外的加密软件，对于

系统的访问权限和密钥缺乏有力度的管理。

这样的系统一旦受到攻击将十分脆弱，其中

的机密数据得不到应有的保护。据调查，目

前国内90%的网站存在安全问题，其主要原

因是企业管理者缺少或没有安全意识。某些

企业网络管理员甚至认为其公司规模较小，

不会成为黑客的攻击目标，如此态度，网络

安全更是无从谈起。应该定期由公司或安全

管理小组承办信息安全讲座，只有提高网络

安全防范意识，才能有效的减少信息安全事

故的发生。

建立电子商务安全管理组织体系。

一个完整的信息安全管理体系首先应

建立完善的组织体系。即建立由行政领导、

IT技术主管、信息安全主管、本系统用户代

表和安全顾问组成的安全决策机构。其职责

是建立管理框架，组织审批安全策略、安全

管理制度，指派安全角色，分配安全职责，

并检查安全职责是否已被正确履行，核准新

信息处理设施的启用、组织安全管理专题会

等。还应建立由网络管理员、系统管理员、

安全管理员、用户管理员等组成的安全执行

机构。该机构负责起草网络系统的安全策略、

执行批准后的安全策略、日常的安全运行和

维护、定期的培训和安全检查等。如果需要，

还可建立安全顾问机构。安全顾问机构可聘

请信息安全专家担任系统安全顾问，负责提

供安全建议，特别是在安全事故或违反安全

策略事件发生后，可以被安全决策机构指定

负责事故调查，并为安全策略评审和评估提

供意见。

制定符合机构安全需求的信息安全策

略。电子商务交

易过程中，需要明确的安全策略主要包

括客户认证策略、加密策略、日常维护策略、

防病毒策略等安全技术方案的选择。安全执

行机构应根据本信息网络的实际情况制定

相应的信息安全策略，策略中应明确安全的

定义、目标、范围和管理责任，并制定安全

策略的实施细则。安全策略文档要由安全决

策机构审查、批准，并发布和传达给所有的

人安全策略还应由安全决策机构定期进行

有效性审查和评估：在发生重大的安全事故、

发现新的脆弱性、组织体系或技术上发生变

更时，应重新进行安全策略的审查和评估。

人员安全的管理和培训

参与网上交易的经营管理人员在很大

程度上支配着企业的命运，他们承担着防范

网络犯罪的任务。而计算机网络犯罪同一般

犯罪不同的是，他们具有智能性、隐蔽性、

连续性、高效性的特点，因而，加强对有关

人员的管理变得十分重要。首先，在人员录

用时应做好人员鉴别，人员录用或人员职位

调整时，一般要签署保密协议。当人员到期

离开或协议到期、工作终止时，要审查保密

协议。其次对有关人员进行上岗培训，建立

人员培训计划，定期组织安全策略和规程方

面的培训。第三，落实工作责任制，在岗位

职责中明确本岗位执行安全政策的常规职

责和本岗位保护特定资产、执行特定安全过

程或活动的特别职责，对违反网上交易安全

规定的人员要进行及时的处理。第四，贯彻

网上交易安全运作基本原则，包括职责分离、

双人负责、任期有限、最小权限、个人可信

赖性等。

增强法律意识，促进电子商务立法

面对电子商务这种新型的贸易形式，我

国目前尚无专门法规可依，使得部分违法犯

罪人员没有得到应有的惩罚。近几年里，国

家加强了这方面的投入。在全国性的立法文

件中，《合同法》的部分条款可以看作是针

对电子商务的立法。此外，广东省制定的《广

东省电子交易管理条例》这个地方性的法规

可以看作是对加快我国电子商务立法的有

益探索。《中华人民共和国电子签名法》是

对主要用于电子商务活动，电子政务等其他

应用应该有新的适用法规。

尽管在电子商务信息安全立法方面取

得了一些成就，但总的来说，我国的电子商

务立法还很不健全，对电子商务活动的安全

保护缺少直接性；相关立法比较分散，而且

效力不高；对新出现的情况缺乏适应能力；

立法速度慢C这些都需要电子商务企业和国

家有关部门不断探索，共同促进电子商务信

息安全的法制环境建设。

4、结论

快捷的电子商务在给企业带来发展机

遇的同时，也使企业面临着各种安全风险。

由于缺乏对电子商务信息安全管理体制的

系