电子商务安全管理的内容和措施

1．电子商务安全管理的内容

电子商务安全是一项极其复杂的系统工程。在安全技术、安全管理、安全法规的保障措施中，安全技术是信息安全的基础，安全管理是信息安全的关键，安全法规是信息安全的保证。只有安全技术、安全管理与安全法规共同配合，才能有效地保证电子商务系统的安全。电子商务安全管理主要包括以下内容。

（1）信息安全组织管理。加强领导，建立机构，落实责任，完善措施，建立健全信息安全责任机制和工作机制。

（2）日常信息安全管理。制定信息安全工作的总体方针和目标，建立健全信息安全相关管理制度，明确信息安全工作的主要任务和原则，加强对人员、资产、采购、外包等的安全管理，并保证信息安全工作经费投入。

（3）信息安全防护管理。开展企业信息化建设应按照同步规划、同步建设、同步运行的原则，同步规划、设计、建设、运行、管理信息安全设施，建立健全信息安全防护体系。具体内容如下。

①网络边界防护管理：采取访问控制、安全审计、边界完整性检查、入侵防范和恶意代码防范等措施，进行网络边界防护。对网络日志进行管理，定期分析，及时发现安全风险。

②信息系统防护管理：定期对信息系统面临的安全风险和威胁、薄弱环节以及防护措施的有效性等进行分析评估。确定信息系统安全保护等级，对信息系统实施相应等级的安全建设和整改。

③门户网站防护管理：组织专业技术机构对门户网站进行安全测评，对新增应用要进行安全评估，确定信息系统安全保护等级，对信息系统实施相应等级的安全建设和整改。

④电子邮件防护管理：加强电子邮箱系统安全防护，采取反垃圾邮件等技术措施；规范电子邮件注册管理，严格邮箱账户及密码管理，采取相关技术和管理措施确保密码具有一定强度并定期更换。

⑤终端计算机防护管理：采用集中统一管理方式对终端计算机进行管理，统一软件下发，统一安装系统补丁，统一实施病毒库升级和病毒查杀，统一进行漏洞扫描；规范软硬件使用，不得擅自更改软硬件配置，不得擅自安装软件；加强账户及密码管理，使用具有一定强度的密码并定期更换；应对接入互联网的终端计算机采取控制措施，包括实名接入认证、IP地址与MAC（Media Access Control，媒体访问控制）地址绑定等；应定期对终端计算机进行安全审计。

⑥存储介质防护管理：严格存储陈列、磁带库等大容量存储介质的管理，采取技术措施防范外联风险，确保存储数据安全；对移动存储介质进行集中统一管理，记录介质领用、交回、维修、报废和销毁等情况；移动存储介质在接入本部门计算机和信息系统前，应当查杀病毒、木马等恶意代码；应配备必要的电子信息消除和销毁设备，对转为他用的存储介质要消除信息，对废弃的存储介质要进行销毁。

（4）信息安全应急管理。建立健全信息安全应急工作机制，提高应对信息安全事件的能力，预防和减少信息安全事件造成的损失和危害；制订信息安全事件应急预案，并根据实际情况适时修改；组织开展应急预案的宣传和贯彻培训，确保相关人员熟悉应急预案；建立信息安全事件报告和通信机制，提高预防预警能力；明确应急技术支援队伍，做好应急技术支援准备；做好信息安全应急物资保障，确保必要的备机、备件等资源到位；根据业务实际需要，对重要数据和业务系统进行备份。

（5）信息安全教育培训。加强信息安全宣传和教育培训工作，提高信息安全意识，增强信息安全基本防护技能；建立信息安全教育培训制度，把信息安全教育作为工作人员上岗、干部培训、业务学习的重要内容；定期开展对信息安全管理人员和技术人员的专业技能培训，提高信息安全工作能力和水平。

（6）信息安全检查。认真组织开展信息安全检查工作，掌握信息安全总体状况和面临的威胁，查找安全隐患，堵塞安全漏洞，完善安全措施，减少安全风险，提高安全防护能力；重视安全技术检测，采取必要的技术检测手段对门户网站、服务器、终端计算机等进行安全检测。可根据需要委托符合要求的检测机构进行技术检测；加强安全检查过程中的保密管理和风险控制，严格检查人员、有关文档和数据的安全保密管理，制订安全检查应急预案，确保被检查信息系统的正常运行；对安全检查中发现的问题进行分析判断，制定整改措施并及时整改。

2．电子商务安全管理的措施

安全管理的主要任务是建立、强化和实施整个网络系统的安全策略。为了保证电子商务系统安全、可靠地运行，除了采用合适的安全策略和多种安全技术，以及增强安全服务功能、完善系统的安全保密措施外，还必须加强整个系统的安全管理。安全管理是电子商务安全运行的基础和保证。绝对的安全技术是不存在的，安全技术的局限性对电子商务不同的应用有不同的影响，安全技术的局限需要靠完善的安全管理来弥补。另外，为了实现电子商务系统的安全，需要进行成本效益分析，估计在安全上的花费是否能从提高系统资源的安全、减少损失方面得到应有的补偿，因此，需要在成本和效益之间折中，制定成本效益策略以达到效益与风险之间的平衡。电子商务安全管理的主要措施包括安全评估、安全政策、安全标准和安全审计等。

总之，在电子商务安全中，安全管理与安全技术同样重要。在安全管理中，除了安全评估、安全政策、安全标准和安全审计之外，还需要有组织上的保证。在电子商务组织结构中，要有相应的安全管理机构，具体负责落实电子商务安全政策，开展安全宣传、安全培训、安全检查和处理等工作，建立应急技术处理专业队伍，根据安全策略和安全要求，定期对系统开展风险评估分析、安全性评估等方面的工作，对紧急情况进行应急处理。