電子商務(wù)安全管理制度

電子商務(wù)安全管理制度電子商務(wù)安全管理制度電子商務(wù)的安全控制要求和基本方法電子商務(wù)的核心問(wèn)題是交易的安全性，這是網(wǎng)上交易的基礎(chǔ)，也是電子商務(wù)技術(shù)的難點(diǎn)。近年來(lái)，已采用和制定了系列的方法來(lái)解決網(wǎng)上交易的安全性問(wèn)題。本文將具體地討論這一問(wèn)題。一、河北電腦培訓(xùn)電子商務(wù)的安全控制要求概述電子商務(wù)發(fā)展的核心和關(guān)鍵問(wèn)題是交易的安全性。由于Internet本身的開(kāi)放性，使網(wǎng)上交易面臨了種種危險(xiǎn)，也由此提出了相應(yīng)的安全控制要求。1．信息保密性交易中的商務(wù)信息有保密的要求。如信用卡的帳號(hào)和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競(jìng)爭(zhēng)對(duì)手獲悉，就可能喪失商機(jī)。因此在電子商務(wù)的信息傳播中一般均有加密的要求。2．交易者身份的確定性網(wǎng)上交易的雙方很可能素昧平生，相隔千里。要使交易成功，首先要能確認(rèn)對(duì)方的身份，對(duì)商家要考慮客戶端不能是騙子，而客戶也會(huì)擔(dān)心網(wǎng)上的商店不是一個(gè)玩弄欺詐的黑店。因此能方便而可靠地確認(rèn)對(duì)方身份是交易的前提。3．不可否認(rèn)性由于商情的千變?nèi)f化，交易一旦達(dá)成是不能被否認(rèn)的。否則必然會(huì)損害一方的利益。例如訂購(gòu)黃金，訂貨時(shí)金價(jià)較低，但收到訂單后，金價(jià)上漲了，如收單方能否認(rèn)收到訂單的實(shí)際時(shí)間，甚至否認(rèn)收到訂單的事實(shí)，則訂貨方就會(huì)蒙受損失。因此電子交易通信過(guò)程的各個(gè)環(huán)節(jié)都必須是不可否認(rèn)的。4．不可修改性交易的文件是不可被修改的，如上例所舉的訂購(gòu)黃金。供貨單位在收到訂單后，發(fā)現(xiàn)金價(jià)大幅上漲了，如其能改動(dòng)文件內(nèi)容，將訂購(gòu)數(shù)1噸改為1克，則可大幅受益，那么訂貨單位可能就會(huì)因此而蒙受損失。因此電子交易文件也要能做到不可修改，以保障交易的嚴(yán)肅和公正。(石家莊新華電腦學(xué)校)二、河北電腦培訓(xùn)電子商務(wù)安全交易的有關(guān)標(biāo)準(zhǔn)和實(shí)施方法1．早期曾采用過(guò)的方法河北電腦培訓(xùn)在電子商務(wù)實(shí)施初期，曾采用過(guò)一些簡(jiǎn)易的安全措施，這些措施包括：*部分告知(PartialOrder):即在網(wǎng)上交易最關(guān)鍵的數(shù)據(jù)如信用卡號(hào)碼及成交數(shù)額等略去，然后再用電話告之，以防泄密。*另行確認(rèn)(OrderConfirmation):即當(dāng)在網(wǎng)上傳輸交易信息之后，應(yīng)再用電子郵件對(duì)交易作確認(rèn)，才認(rèn)為有效。*在線服務(wù)(OnlineService):為了保證信息傳輸?shù)陌踩?，用企業(yè)提供的內(nèi)部網(wǎng)來(lái)提供聯(lián)機(jī)服務(wù)。以上所述的種種方法，均有一定的局限性，且操作麻煩，不能實(shí)現(xiàn)真正的安全可靠性。2．近年推出的安全交易標(biāo)準(zhǔn)近年來(lái)，IT業(yè)界(石家莊新華電腦學(xué)校)與金融行業(yè)一起，推出不少更有效的安全交易標(biāo)準(zhǔn)。主要有:安全超文本傳輸協(xié)議(S-HTTP):依靠密鑰對(duì)的加密，保障Web站點(diǎn)間的交易信息傳輸?shù)陌踩浴?安全套接層協(xié)議(SSL:SecureSocketsLayer):由Netscape公司提出的安全交易協(xié)議，提供加密、認(rèn)證服務(wù)和報(bào)文完整性。SSL被用于NetscapeCommunicator和MicrosoftIE瀏覽器，用以完成需要的安全交易操作。安全交易技術(shù)協(xié)議(STT:SecureTransactionTechnology):由Microsoft公司提出，STT將認(rèn)證和解密在瀏覽器中分離開(kāi)，用以提高安全控制能力。Microsoft將在InternetExplorer中采用這一技術(shù)。安全電子交易協(xié)議(SET:SecureElectronicTransaction):年，信用卡國(guó)際組織、資訊業(yè)者及網(wǎng)絡(luò)安全專業(yè)團(tuán)體等開(kāi)始組成策略聯(lián)盟，共同研究開(kāi)發(fā)電子商務(wù)(ElectronicCommerce)的安全交易。年6月，由IBM，MasterCardInternational，VisaInternational，Microsoft，Netscape，GTE，VeriSign，SAIC，Terisa共同制定的標(biāo)準(zhǔn)SET正式公告，涵蓋了信用卡在電子商務(wù)交易中的交易協(xié)定、信息保密、資料完整及數(shù)字認(rèn)證、數(shù)字簽名等。這一標(biāo)準(zhǔn)被公認(rèn)為全球網(wǎng)際網(wǎng)絡(luò)的標(biāo)準(zhǔn)，其交易形態(tài)將成為未來(lái)的規(guī)范。三、河北電腦培訓(xùn)常用的安全電子交易手段在近年來(lái)發(fā)表的多個(gè)安全電子交易協(xié)議或標(biāo)準(zhǔn)中，河北電腦培訓(xùn)新華采納了一些常用的安全電子交易的方法和手段。典型的方法和手段有以下幾種：1．密碼技術(shù)采用密碼技術(shù)對(duì)信息加密，是最常用的安全交易手段。石家莊新華電腦學(xué)校在電子商務(wù)中獲得廣泛應(yīng)用的加密技術(shù)有以下兩種：⑴公共密鑰和私用密鑰(publickeyandprivatekey)這一加密方法亦稱為RSA編碼法，是由Rivest、Shamir和Adlernan三人所研究發(fā)明的。它利用兩個(gè)很大的質(zhì)數(shù)相乘所產(chǎn)生的乘積來(lái)加密。這兩個(gè)質(zhì)數(shù)無(wú)論哪一個(gè)先與原文件編碼相乘，對(duì)文件加密，均可由另一個(gè)質(zhì)數(shù)再相乘來(lái)解密。但要用一個(gè)質(zhì)數(shù)來(lái)求出另一個(gè)質(zhì)數(shù)，則是十分困難的。因此將這一對(duì)質(zhì)數(shù)稱為密鑰對(duì)(KeyPair)。在加密應(yīng)用時(shí)，某個(gè)用戶總是將一個(gè)密鑰公開(kāi)，讓需發(fā)信的人員將信息用其公共密鑰加密后發(fā)給該用戶，而一旦信息加密后，只有用該用戶一個(gè)人知道的私用密鑰才能解密。具有數(shù)字憑證身份的人員的公共密鑰可在網(wǎng)上查到，亦可在請(qǐng)對(duì)方發(fā)信息時(shí)主動(dòng)將公共密鑰傳給對(duì)方，這樣保證在Internet上傳輸信息的保密和安全。數(shù)字摘要(digitaldigest)這一加密方法亦稱安全Hash編碼法(SHA:SecureHashAlgorithm)或MD5(MDStandardsforMessageDigest)，由RonRivest所設(shè)計(jì)。該編碼法采用單向Hash函數(shù)將需加密的明文摘要成一串128bit的密文，這一串密文亦稱為數(shù)字指紋(FingerPrint)，它有固定的長(zhǎng)度，且不同的明文摘要成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。這樣這摘要便可成為驗(yàn)證明文是否是正確的了。上述兩種方法可結(jié)合起來(lái)使用，數(shù)字簽名就是上述兩法結(jié)合使用的實(shí)例。.數(shù)字簽名(digitalsignature)在書面文件上簽名是確認(rèn)文件的一種手段，簽名的作用有兩點(diǎn)，一是因?yàn)樽约旱暮灻y以否認(rèn)，從而確認(rèn)了文件已簽署這一事實(shí)；二是因?yàn)楹灻灰追旅?，從而確定了文件是真的這一事實(shí)。數(shù)字簽名與書面文件簽名有相同之處，采用數(shù)字簽名，也能確認(rèn)以下兩點(diǎn)：*信息是由簽名者發(fā)送的。*信息自簽發(fā)后到收到為止未曾作過(guò)任何修改。這樣數(shù)字簽名就可用來(lái)防止電子信息因易被修改而有人作偽；或冒用別人名義發(fā)送信息；或發(fā)出(收到)信件后又加以否認(rèn)等情況發(fā)生。數(shù)字簽名采用了雙重加密的方法來(lái)實(shí)現(xiàn)防偽、防賴。其原理為：(1)被發(fā)送文件用SHA編碼加密產(chǎn)生128bit的數(shù)字摘要(見(jiàn)上節(jié))。(2)發(fā)送方用自己的私用密鑰對(duì)摘要再加密，這就形成了數(shù)字簽名將原文和加密的摘要同時(shí)傳給對(duì)方。對(duì)方用發(fā)送方的公共密鑰對(duì)摘要解密，同時(shí)對(duì)收到的文件用SHA編碼加密產(chǎn)生又一摘要。將解密后的摘要和收到的文件在接收方重新加密產(chǎn)生的摘要相互對(duì)比。如兩者一致，則說(shuō)明傳送過(guò)程中信息沒(méi)有被破壞或篡改過(guò)。否則不然。?數(shù)字時(shí)間戳(digitaltime-stamp)交易文件中，時(shí)間是十分重要的信息。在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。在電子交易中，同樣需對(duì)交易文件的日期和時(shí)間信息采取安全措施，而數(shù)字時(shí)間戳服務(wù)(DTS:digitaltime-stampservice)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)。數(shù)字時(shí)間戳服務(wù)(DTS)是網(wǎng)上安全服務(wù)項(xiàng)目，由專門的機(jī)構(gòu)提供。時(shí)間戳(time-stamp)是一個(gè)經(jīng)加密后形成的憑證文檔，它包括三個(gè)部分：1)需加時(shí)間戳的文件的摘要(digest)，2)DTS收到文件的日期和時(shí)間，3)DTS的數(shù)字簽名。時(shí)間戳產(chǎn)生的過(guò)程為：用戶首先將需要加時(shí)間戳的文件用HASH編碼加密形成摘要，然后將該摘要發(fā)送到DTS，DTS在加入了收到文件摘要的日期和時(shí)間信息后再對(duì)該文件加密(數(shù)字簽名)，然后送回用戶。由Bellcore創(chuàng)造的DTS采用如下的過(guò)程：加密時(shí)將摘要信息歸并到二叉樹(shù)的數(shù)據(jù)結(jié)構(gòu)；再將二叉樹(shù)的根值發(fā)表在報(bào)紙上，這樣更有效地為文件發(fā)表時(shí)間提供了佐證。注意，書面簽署文件的時(shí)間是由簽署人自己寫上的，而數(shù)字時(shí)間戳則不然，它是由認(rèn)證單位DTS來(lái)加的，以DTS收到文件的時(shí)間為依據(jù)。因此，時(shí)間戳也可作為科學(xué)家的科學(xué)發(fā)明文獻(xiàn)的時(shí)間認(rèn)證。.數(shù)字憑證(digitalcertificate,digitalID)數(shù)字憑證又稱為數(shù)字證書，是用電子手段來(lái)證實(shí)一個(gè)用戶的身份和對(duì)網(wǎng)絡(luò)資源的訪問(wèn)的權(quán)限。在網(wǎng)上的電子交易中，如雙方出示了各自的數(shù)字憑證，并用它來(lái)進(jìn)行交易操作，那么雙方都可不必為對(duì)方身份的真?zhèn)螕?dān)心。數(shù)字憑證可用于電子郵件、電子商務(wù)、群件、電子基金轉(zhuǎn)移等各種用途。數(shù)字憑證的內(nèi)部格式是由CCITTX.509國(guó)際標(biāo)準(zhǔn)所規(guī)定的，它包含了以下幾點(diǎn)：*憑證擁有者的姓名，*憑證擁有者的公共密鑰，*公共密鑰的有效期，*頒發(fā)數(shù)字憑證的單位，*數(shù)字憑證的序列號(hào)(Serialnumber),*頒發(fā)數(shù)字憑證單位的數(shù)字簽名。河北電腦培訓(xùn)數(shù)字憑證有三種類型：*個(gè)人憑證(PersonalDigitalID):它僅僅為某一個(gè)用戶提供憑證，以幫助其個(gè)人在網(wǎng)上進(jìn)行安全交易操作。個(gè)人身份的數(shù)字憑證通常是安裝在客戶端的瀏覽器內(nèi)的。并通過(guò)安全的電子郵件(S/MIME)來(lái)進(jìn)行交易操作。*企業(yè)(服務(wù)器)憑證(ServerID):它通常為網(wǎng)上的某個(gè)Web服務(wù)器提供憑證，擁有Web服務(wù)器的企業(yè)就可以用具有憑證的萬(wàn)維網(wǎng)站點(diǎn)(WebSite)來(lái)進(jìn)行安全電子交易。有憑證的Web服務(wù)器會(huì)自動(dòng)地將其與客戶端Web瀏覽器通信的信息加密。*軟件(開(kāi)發(fā)者)憑證(DeveloperID):它通常為Internet中被下載的軟件提供憑證，該憑證用于和微軟公司Authenticode技術(shù)(合法化軟件)結(jié)合的軟件，以使用戶在下載軟件時(shí)能獲得所需的信息。上述三類憑證中前二類是常用的.憑證，第三類則用于較特殊的場(chǎng)合，大部分認(rèn)證中心提供前兩類憑證，能提供各類憑證的認(rèn)證中心并不普遍。.河北電腦培訓(xùn)：認(rèn)證中心(CA:CertificationAuthority)在電子交易中，無(wú)論是數(shù)字時(shí)間戳服務(wù)(DTS)還是數(shù)字憑證(DigitalID)的發(fā)放，都不是靠交易的雙方自己能完成的而需要有一個(gè)具有權(quán)威性和公正性的第三方(thirdparty)來(lái)完成。認(rèn)證中心(CA)就是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、能簽發(fā)數(shù)字證書、并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu)，主要任務(wù)是受理數(shù)字憑證的申請(qǐng)、簽發(fā)及對(duì)數(shù)字憑證的管理。認(rèn)證中心依據(jù)認(rèn)證操作規(guī)定(CPS:CertificationPracticeStatement)來(lái)實(shí)施服務(wù)操作。目前在全球處于領(lǐng)導(dǎo)地位的認(rèn)證中心是美國(guó)的VeriSign公司，創(chuàng)建于1995年4月，總部在美國(guó)加州的MountainView。該公司所提供的數(shù)字憑證的服務(wù)已遍及全世界50個(gè)國(guó)家，接受該公司的服務(wù)器數(shù)字憑證的Web站點(diǎn)服務(wù)器已超過(guò)45000個(gè)，而使用該公司個(gè)人數(shù)字憑證的用戶已超過(guò)200萬(wàn)名。上述五個(gè)方面河北電腦培訓(xùn)新華——石家莊新華電腦學(xué)校介紹了安全電子交易的常用手段，各種手段常常是結(jié)合在一起使用的，從而構(gòu)成安全電子交易的體系。關(guān)于電子商務(wù)安全管理體制的探討2015-06-1219:36|#2樓當(dāng)前，我國(guó)電子商務(wù)建設(shè)中以技術(shù)為主的安全管理體制，忽視了人員對(duì)電子商務(wù)的安全影響。但近幾年案例表明:企業(yè)缺乏針對(duì)內(nèi)部人員的系統(tǒng)安全管理體制，是導(dǎo)致網(wǎng)絡(luò)交易過(guò)程中泄密和企業(yè)利益損失的主要原因。本文重點(diǎn)分析了企業(yè)在電子商務(wù)安全管理體制方面存在的不足和原因，提出了一些加強(qiáng)人員安全管理的建議，為我國(guó)電子商務(wù)企業(yè)的安全管理提供借鑒。1、問(wèn)題的提出作為一種新的經(jīng)濟(jì)模式，電子商務(wù)以高效、便捷、方便的優(yōu)勢(shì)和全新的企業(yè)經(jīng)營(yíng)理念、經(jīng)營(yíng)手段、經(jīng)營(yíng)環(huán)境吸引著廣大用戶，為世界經(jīng)濟(jì)賦予了無(wú)限的發(fā)展空間。隨著電子商務(wù)應(yīng)用范圍的日益擴(kuò)大，針對(duì)電子商務(wù)的各種犯罪活動(dòng)也19益猖獗。國(guó)內(nèi)夕卜調(diào)查顯示…，52.26%的用戶最關(guān)心的是網(wǎng)上交易的安全可靠性，超過(guò)6O%的人由于擔(dān)心電子商務(wù)的安全問(wèn)題而不愿進(jìn)行網(wǎng)上購(gòu)物。加強(qiáng)電子商務(wù)實(shí)施過(guò)程中的安全管理已經(jīng)成為促進(jìn)電子商務(wù)高速發(fā)展的重要因素。電子商務(wù)的安全，可分為技術(shù)安全和管理安全兩種類型。所謂技術(shù)安全，是指通過(guò)各種黑客手段竊取企業(yè)的用戶ID、密碼以及相關(guān)的機(jī)密文件，甚至網(wǎng)絡(luò)銀行帳號(hào)、密碼等，給企業(yè)造成經(jīng)濟(jì)損失。而管理安全則是指缺乏對(duì)參與電子商務(wù)過(guò)程中各個(gè)環(huán)節(jié)的人員的管理預(yù)防手段，最終導(dǎo)致的電子商務(wù)安全事件。從美國(guó)的花旗銀行和中央情報(bào)局到中國(guó)的某家國(guó)有商業(yè)銀行，都有過(guò)由于內(nèi)部人員的違規(guī)和違法操作，導(dǎo)致數(shù)據(jù)被篡改和泄密的事件發(fā)生。近幾年的電子商務(wù)安全案件表明：人員是網(wǎng)上交易安全管理中的最薄弱的環(huán)節(jié)，近年來(lái)我國(guó)計(jì)算機(jī)犯罪大都呈現(xiàn)內(nèi)部犯罪的趨勢(shì)，有的競(jìng)爭(zhēng)對(duì)手利用企業(yè)招募新人的方式潛入對(duì)方企業(yè)，或利用不正當(dāng)?shù)姆绞绞召I企業(yè)網(wǎng)絡(luò)交易管理人員。有的電子商務(wù)從業(yè)人員從本企業(yè)辭職后，迅速把客戶資料、產(chǎn)品研發(fā)成果等機(jī)密出售給競(jìng)爭(zhēng)對(duì)手，給企業(yè)帶來(lái)了不必要的經(jīng)濟(jì)損失。2、原因分析電子商務(wù)信息安全已經(jīng)引起很多企業(yè)的重視，但大多數(shù)企業(yè)往往側(cè)重于加強(qiáng)技術(shù)措施，如購(gòu)買先進(jìn)的防火墻軟件，采用更高級(jí)的加密方法等，很多企業(yè)認(rèn)為：?jiǎn)T工泄密的安全事故只是偶然現(xiàn)象，很少?gòu)娜藛T管理的角度來(lái)探討出現(xiàn)這些事故的根本原因?！爸丶夹g(shù)、輕管理”是當(dāng)前很多電子商務(wù)企業(yè)的通病。由于管理手段不到位，很多先進(jìn)的安全技術(shù)無(wú)法發(fā)揮應(yīng)有的效能。之所以出現(xiàn)上述問(wèn)題，主要有以下原因：首先，很多企業(yè)管理高層對(duì)人員管理在信息安全中的地位認(rèn)識(shí)不足。大多數(shù)企業(yè)將電子商務(wù)網(wǎng)絡(luò)作為一項(xiàng)純粹的技術(shù)工程來(lái)實(shí)施，企業(yè)內(nèi)部缺乏系統(tǒng)的安全管理策略，只是被動(dòng)的使用一些技術(shù)措施來(lái)進(jìn)行防御，因此電子商務(wù)過(guò)程中一旦出現(xiàn)突發(fā)性事件，往往造成很大的經(jīng)濟(jì)損失?，F(xiàn)實(shí)中沒(méi)有一個(gè)網(wǎng)絡(luò)系統(tǒng)是完美無(wú)缺的，不安全因素隨時(shí)存在。因此，安全管理措施必須滲透到系統(tǒng)的每一個(gè)環(huán)節(jié)和企業(yè)組織的?個(gè)層面，只有構(gòu)建一個(gè)人與技術(shù)相結(jié)合的安全管理體系，才能確保整個(gè)電子商務(wù)系統(tǒng)得安全。企業(yè)沒(méi)有從整體上、有計(jì)劃地考慮信息安全問(wèn)題。企業(yè)各部門、各下屬機(jī)構(gòu)都存在“各自為政的局面，缺少統(tǒng)一規(guī)劃、設(shè)計(jì)和管理信息安全強(qiáng)調(diào)的是整體上的信息安全性，而不僅是某一個(gè)部門或公司的信息安全。而各部門、各公司又確實(shí)存在個(gè)體差異，對(duì)于不同業(yè)務(wù)領(lǐng)域來(lái)說(shuō)，信息安全具有不同的涵義和特征，信息安全保障體系的戰(zhàn)略性必須涵蓋各部門和各公司的信息安全保障體系的相關(guān)內(nèi)容。缺少信息安全管理配套的人力、物力和財(cái)力。人才是信息安全保障工作的關(guān)鍵。信息安全保障工作的專業(yè)性、技術(shù)性很強(qiáng)，沒(méi)有一批業(yè)務(wù)能力強(qiáng)，且具有信息網(wǎng)絡(luò)知識(shí)、信息安全技術(shù)、法律知識(shí)和管理能力的復(fù)合型人才和專門人才，就不可能做好信息安全保障工作。應(yīng)該從信息安全建設(shè)和管理對(duì)信息安全人才的實(shí)際需求出發(fā)，加快信息安全人才的培養(yǎng)。企業(yè)對(duì)員工的信息安全教育不夠。員工的信息安全意識(shí)薄弱，9O%的安全事故是由于人為疏忽所造成。如有些企業(yè)不限制內(nèi)部人員使用各種高科技信息載體，如U盤、移動(dòng)硬盤以及筆記本等移動(dòng)辦公設(shè)備。3、加強(qiáng)電子商務(wù)安全管理的建議電子商務(wù)信息安全管理實(shí)踐表明，大多數(shù)安全問(wèn)題是由于管理不善造成的。安全管理是一項(xiàng)系統(tǒng)工程，不僅涉及到企業(yè)的組織架構(gòu)、信息技術(shù)、人員素質(zhì)等各個(gè)方面，還牽扯到國(guó)家法律和商業(yè)規(guī)則。企業(yè)內(nèi)部存在著諸多影響信息安全的因素：改變lT系統(tǒng)不等于改變企業(yè)的信息安全管理，要使企業(yè)信息盡可能的安全，必須在技術(shù)投人的基礎(chǔ)上融人人在管理方面的智慧i同時(shí)，不僅要防外，更要防內(nèi)，即對(duì)組織內(nèi)部人員的管理。信息安全問(wèn)題的解決需要技術(shù)，但又不能單純依靠技術(shù)。整個(gè)電子商務(wù)的交易過(guò)程，是人與技術(shù)相互融合的過(guò)程，如何使管理與技術(shù)相得益彰十分重要?！叭旨夹g(shù)，七分管理”闡述了信息安全的本質(zhì)。電子商務(wù)的安全管理，就是通過(guò)一個(gè)完整的綜合保障體系，來(lái)規(guī)避信息傳輸風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)，以保證網(wǎng)上交易的順利進(jìn)行。網(wǎng)上交易安全管理，應(yīng)采用綜合防范的思路，一是技術(shù)方面的考慮，如防火墻技術(shù)、網(wǎng)絡(luò)防毒、信息加密、身份認(rèn)證、授權(quán)等，但必須明確，只有技術(shù)措施并不能完全保證網(wǎng)上交易的安全。二是必須加強(qiáng)監(jiān)管，建立各種有關(guān)的合理制度，并加強(qiáng)嚴(yán)格監(jiān)督，如建立交易的安全制度、交易安全的實(shí)時(shí)監(jiān)控、提供實(shí)時(shí)改變安全策略的能力、對(duì)現(xiàn)有的安全系統(tǒng)漏洞的檢查以及安全教育等。為了加強(qiáng)企業(yè)電子商務(wù)的信息安全，我們提出如下建議：提高網(wǎng)絡(luò)安全防范意識(shí)。現(xiàn)在許多企業(yè)沒(méi)有意識(shí)到互聯(lián)網(wǎng)的易受攻擊性，盲目相信國(guó)外的加密軟件，對(duì)于系統(tǒng)的訪問(wèn)權(quán)限和密鑰缺乏有力度的管理。這樣的系統(tǒng)一旦受到攻擊將十分脆弱，其中的機(jī)密數(shù)據(jù)得不到應(yīng)有的保護(hù)。據(jù)調(diào)查，目前國(guó)內(nèi)90%的網(wǎng)站存在安全問(wèn)題，其主要原因是企業(yè)管理者缺少或沒(méi)有安全意識(shí)。某些企業(yè)網(wǎng)絡(luò)管-理-員甚至認(rèn)為其公司規(guī)模較小，不會(huì)成為黑客的攻擊目標(biāo)，如此態(tài)度，網(wǎng)絡(luò)安全更是無(wú)從談起。應(yīng)該定期由公司或安全管理小組承辦信息安全講座，只有提高網(wǎng)絡(luò)安全防范意識(shí)，才能有效的減少信息安全事故的發(fā)生。建立電子商務(wù)安全管理組織體系。一個(gè)完整的信息安全管理體系首先應(yīng)建立完善的組織體系。即建立由行政領(lǐng)導(dǎo)、IT技術(shù)主管、信息安全主管、本系統(tǒng)用戶代表和安全顧問(wèn)組成的安全決策機(jī)構(gòu)。其職責(zé)是建立管理框架，組織審批安全策略、安全管理制度，指派安全角色，分配安全職責(zé)，并檢查安全職責(zé)是否已被正確履行，核準(zhǔn)新信息處理設(shè)施的啟用、組織安全管理專題會(huì)等。還應(yīng)建立由網(wǎng)絡(luò)管-理-員、系統(tǒng)管-理-員、安全管-理-員、用戶管-理-員等組成的安全執(zhí)行機(jī)構(gòu)。該機(jī)構(gòu)負(fù)責(zé)起草網(wǎng)絡(luò)系統(tǒng)的安全策略、執(zhí)行批準(zhǔn)后的安全策略、日常的安全運(yùn)行和維護(hù)、定期的培訓(xùn)和安全檢查等。如果需要，還可建立安全顧問(wèn)機(jī)構(gòu)。安全顧問(wèn)機(jī)構(gòu)可聘請(qǐng)信息安全專家擔(dān)任系統(tǒng)安全顧問(wèn)，負(fù)責(zé)提供安全建議，特別是在安全事故或違反安全策略事件發(fā)生后，可以被安全決策機(jī)構(gòu)指定負(fù)責(zé)事故(事件)調(diào)查，并為安全策略評(píng)審和評(píng)估提供意見(jiàn)。制定符合機(jī)構(gòu)安全需求的信息安全策略。電子商務(wù)交易過(guò)程中，需要明確的安全策略主要包括客戶認(rèn)證策略、加密策略、日常維護(hù)策略、防病毒策略等安全技術(shù)方案的選擇。安全執(zhí)行機(jī)構(gòu)應(yīng)根據(jù)本信息網(wǎng)絡(luò)的實(shí)際情況制定相應(yīng)的信息安全策略，策略中應(yīng)明確安全的定義、目標(biāo)、范圍和管理責(zé)任，并制定安全策略的實(shí)施細(xì)則。安全策略文檔要由安全決策機(jī)構(gòu)審查、批準(zhǔn)，并發(fā)布和傳達(dá)給所有的人安全策略還應(yīng)由安全決策機(jī)構(gòu)定期進(jìn)行有效性審查和評(píng)估：在發(fā)生重大的安全事故、發(fā)現(xiàn)新的脆弱性、組織體系或技術(shù)上發(fā)生變更時(shí)，應(yīng)重新進(jìn)行安全策略的審查和評(píng)估。人員安全的管理和培訓(xùn)參與網(wǎng)上交易的經(jīng)營(yíng)管理人員在很大程度上支配著企業(yè)的命運(yùn)，他們承擔(dān)著防范網(wǎng)絡(luò)犯罪的任務(wù)。而計(jì)算機(jī)網(wǎng)絡(luò)犯罪同一般犯罪不同的是，他們具有智能性、隱蔽性、連續(xù)性、高效性的特點(diǎn)，因而，