电子商务的安全管理策略优化

14.4.1　电子商务安全管理制度

电子商务是伴随着信息网络技术和通信技术发展起来的，作为一个代的产物，其产生带着强烈的时代标记。电子商务的发展也在逐步走向成熟和完善，安全性能也在不断得到加强和改进；作为社会经济活动的一部分，在推动社会经济不断增长和保证经济安全方面，发挥了重大作用。

移动商务是个不断发展的概念，是电子商务发展的新形势和新阶段，当前在安全管理制度方面还是存有不少问题。

电子商务安全管理制度是一种行业规范和准则，目的是为保障电子商务的正常开展。主要范围包括以下几方面内容：人员管理制度、保密制度和系统维护制度等。

14.4.1.1　人员管理制度

电子商务是在电子商务基础上发展而来，是通信技术和传统电子商务的有效结合。从事电子商务的人员都是知识分子，既有专业基础知识，同时还有比较强的操作能力。商务活动参与人员是市场经济条件下企事业单位进行经济活动的主体，和商务系统的安全有着直接关系。因此，对于商务系统的参与人员的管理就显得十分必要。①要在商务人员的选拔上进行把关。选拔一些立场坚定、有知识、懂管理的人员来任职；②对上岗人员进行培训。对于相关上岗人员进行培训，内容包括理论基础培训、技术能力实践和相关管理技能培训，目的是提高商务系统参与人员的整体素质，尤其是安全意识；③严格落实安全责任制度。商务系统安全管理需落实到个人，实行责任惩罚制度，对于违反安全制度和规定的人员要及时教育并进行严肃处理；④实行激励保障措施。对于安全遵守管理规定并能很好完成安全任务的人员实行激励保障措施，激发其工作积极性；⑤遵循交易系统安全运作的基本原则。比如对一些重要业务实行多人负责，相互制约：对于安全管理人员，要经常调换岗位；安全操作人员不得越权操作，只能在本职责范围内进行。

14.4.1.2　保密制度

保密制度是为保障公司信息安全而设立的监管制度，目的是为了增强员工的安全保密意识，加强公司的保密工作。电子商务活动同样需要保密制度。

保密级别按照轻重级别不同，分为“绝密”“机密”和“秘密”三种级别。绝密是指最重要的秘密，若被泄露则会使公司利益得到特别严重损害，比如公司的专利技术和产品策略等信息；机密级别是重要的公司秘密，若被泄露则会使公司权益和利益遭受到严重损害，比如公司的财务报表和会议安排等；秘密级别指的是一般的公司秘密，若被泄露公司的权益和利益会遭受损害，比如公司的一些产品介绍或是人事档案等。

商务系统安全方案中，经常会用到加密技术，因此密钥管理也十分重要。密钥管理涉及密钥的产生、分发、更新、存储和销毁等方面。对于商务系统中用到的加解密密钥，要做好密钥管理工作。

14.4.1.3　跟踪、审计、稽核制度

跟踪制度要求企业建立网络交易系统日志机制，用来记录系统运行的全过程。系统日志文件是自动生成的，内容包括操作日期、操作方式、登录次数、运行时间和交易内容等。其对系统的运行监督、维护分析、故障恢复，对防止案件的发生或在发生案件后为侦破提供监督数据，都可以起到非常重要的作用。

审计制度包括经常对系统日志的检查、审核、及时发现对系统故障入侵行为的记录和对系统安全功能违反的记录，监控和捕捉各种安全事件，保存、维护和管理系统日志。稽核制度是指工商管理、银行、税务人员利用计算机及网络系统，借助于稽核业务应用软件调阅、查询。审核、判断辖区内各电子商务参与单位业务经营活动的合理性、安全性、堵塞漏洞，保证电子商务交易安全，发出相应的警示或做出处理处罚的有关决定的一系列步骤及措施。

14.4.1.4　系统维护制度

任何电子系统都需要经常定期维护，移动商务系统也是如此。系统管理维护人员要定期对通信基站、交换机和服务器设备进行维护，借用一些相应网关软件来完成对于一些网络设备参数的估计，判断系统是否正常工作。对于系统软件方面，则是包括对支撑软件和应用安装软件的维护。对于系统支撑软件主要是一些系统本身软件，包括有操作系统（Os），数据库等，定期对系统进行优化，完成对数据库系统备份，最好采用双数据库系统来保障信息的安全性；对于应用软件要做好版本控制工作。

对于经常出现的木马和病毒，要做好防范意识，采取必要策略，通过安装防火墙和杀毒软件来增强系统安全级别。以上制度对于保障商务系统的安全运行会起到很大保障，关键在于这些安全管理制度能否得到真正落实，真正得到贯彻执行。除了上述三点之外，还应加强对于移动服务市场的安全监管工作，对于利用手机或是其他终端设备进行通信的用户，要进行实名身份认证，运营商对于用户注册信息需做好保密工作，不得利用用户信息进行其他用途。一个成熟的商务系统安全方案包含很多专业领域内容，需要各方面通力合作，需要制定并执行信息系统安全管理制度，政府和安全机构做好安全监督和审查工作。

14.4.1.5　数据备份制度

备份与恢复主要是利用多种介质，如磁介质、光盘、微缩载体等，对信息系统数据进行存储、备份和恢复。还包括对系统设备的备份，都作为保护措施。

14.4.2　电子商务安全法制建设

电子商务是在国外源起并逐步发展起来，商务活动的正常开展需要信息技术做基础，另外还需要系统的管理制度以及完善的法律法规的建设。国外对于电子商务安全法制方面，早已立法，通过法律来监管电子商务活动的正常开展。我国电子商务发展较晚，尽管发展很快，但是很多方面还是不健全，当前我国还没有针对移动商务安全的专门法律。

14.4.2.1　电子商务立法的必要性(www.xing528.com)

系统安全专家从各个角度开发了许多电子商务交易安全的技术保障措施。但是仍然不能保障电子商务安全的交易，电子商务的参与者对电子商务活动仍然心存疑虑。电子合同的执行、赔偿、个人隐私、资金安全、知识产权保护、税收以及其他可能出现的问题使电子商务参与者裹足不前。这就要求必须制定相应的法律保障措施。

（1）电子商务安全交易的需要

电子商务交易安全的保护涉及两个方面：第一，电子商务交易是一种商品交易方式，它的安全问题应当通过民商法方面加以保护；第二，电子商务是通过计算机及其网络来实现的，它的安全依赖于计算机自身及其网络的安全程度。目前我国在这两个方面的法律制度还不完善，因而需要从商品交易和计算机网络技术相结合的新的角度制定相应的法律规范。

（2）电子商务安全支付的需要

电子支付不同于传统的支付方式，它还涉及第三方银行的责任，因而需要制定相应的法律规范来明确电子支付的当事人包括支付人、收款人和银行之间的法律关系，认可电子签名的合法性。

14.4.3　电子商务法律保护

电子商务安全性方面的法律保护涉及以下几个方面。

14.4.3.1　用户个人隐私权的保护

在我国根据有关的政策和法规要求网络经营单位做好网络信息的安全管理工作。一般采用“使用协议”或声名的方式，来明确双方的权利、义务和服务商对网络使用用户个人信息所采取的使用和保护策略。尽管如此，由于这些使用协议或声明一般是有经营单位用户单方拟定的，因此对于有关协议和声明中对经营商有利的免责条款的限制，以及对协议声明内容切实履行情况的监督、违约的处罚等方面，需要相应的立法去进一步明确和细化。

14.4.3.2　加密和解密系统

我国有关的《商用密码管理条例》中对加密和解密技术软件、设备和产品的开发、生产、销售及使用实行专控管理制度做了规定。但在实际的实施过程中可能出现新的问题。如是否纳入该条例的密码产品及含有密码技术的设备。只限于加密解密为核心功能的共用硬件和软件。

14.4.3.3　安全性认证的法律保护

在我国应该而且必须建立一个国家级的电子商务认证中心（CA），以便在全国范围内成立一个既具有权威性但又是完全独立的非政府性的认证机构。认证机构可以在全国建立分支机构以形成一个集中领导、分级管理的认证体系也可以与现有的一些地方级认证中心合作。认证的安全性主要通过建立一个公共钥匙系统来实现。

14.4.3.4　计算机违法和犯罪问题

不强调网络行为的负责性就不可能形成虚拟社会的自律。我国目前信息安全管理现实的做法是，注重安全审计和开发安全检测技术及相关的法律法规。电子商务中的知识产权保护问题。

（1）网络上的侵权和违法行为的法律责任问题

对于实施侵权或违法行为的网站的拥有人或经营者，应当承担的法律责任比较清楚。根据实施的侵权行为，依据相应的法律实体来主张权利，而网站的拥有人或经营者，应当依法承担相应的民事或刑事责任。

（2）域名和商标的冲突和保护

目前我国商标注册遵循《商标法》，域名注册遵循《中国互联网域名注册暂行办法》。域名注册管理与商标管理的协调还很有问题，包括立法层次的不一致，法律规定的不统一，及对法律空隙缺乏规范，如不同行业，不同产品，商标雷同现象很多，而域名却是一对一，现实中这些问题在法律上还没有得到解决。商标法在立法时没有考虑到互联网和电子商务的发展，已经不能满足需要。因而商标法及其实施细节应当针对电子商务发展的实际做出相应的调整和修改。此外，还有信息基础设施和市场准入方面的法律问题，司法管辖及法律冲突，及电子商务税收政策等方面，都需要制度相应的法律去规范和制约。