論文摘要：當(dāng)前，我國電子商務(wù)建設(shè)中以技術(shù)為主的安全管理體制，忽視了人員對電子商務(wù)的安全影響。但近幾年案例表明：企業(yè)缺乏針對內(nèi)部人員的系統(tǒng)安全管理體制，是導(dǎo)致網(wǎng)絡(luò)交易過程中泄密和企業(yè)利益損失的主要原因。本文重點分析了企業(yè)在電子商務(wù)安全管理體制方面存在的不足和原因，提出了一些加強人員安全管理的建議，為我國電子商務(wù)企業(yè)的安全管理提供借鑒。

　　1、問題的提出

　　作為一種新的經(jīng)濟模式，電子商務(wù)以高效、便捷、方便的優(yōu)勢和全新的企業(yè)經(jīng)營理念、經(jīng)營手段、經(jīng)營環(huán)境吸引著廣大用戶，為世界經(jīng)濟賦予了無限的發(fā)展空間。隨著電子商務(wù)應(yīng)用范圍的日益擴大，針對電子商務(wù)的各種犯罪活動也19益猖獗。國內(nèi)外調(diào)查顯示…，52．26％的用戶最關(guān)心的是網(wǎng)上交易的安全可靠性，超過6O％的人由于擔(dān)心電子商務(wù)的安全問題而不愿進行網(wǎng)上購物。加強電子商務(wù)實施過程中的安全管理已經(jīng)成為促進電子商務(wù)高速發(fā)展的重要因素。

　　電子商務(wù)的安全，可分為技術(shù)安全和管理安全兩種類型。所謂技術(shù)安全，是指通過各種黑客手段竊取企業(yè)的用戶lD、密碼以及相關(guān)的機密文件，甚至網(wǎng)絡(luò)銀行帳號、密碼等，給企業(yè)造成經(jīng)濟損失。而管理安全則是指缺乏對參與電子商務(wù)過程中各個環(huán)節(jié)的人員的管理預(yù)防手段，最終導(dǎo)致的電子商務(wù)安全事件。從美國的花旗銀行和中央情報局到中國的某家國有商業(yè)銀行，都有過由于內(nèi)部人員的違規(guī)和違法操作，導(dǎo)致數(shù)據(jù)被篡改和泄密的事件發(fā)生。

　　近幾年的電子商務(wù)安全案件表明：人員是網(wǎng)上交易安全管理中的最薄弱的環(huán)節(jié)，近年來我國計算機犯罪大都呈現(xiàn)內(nèi)部犯罪的趨勢，有的競爭對手利用企業(yè)招募新人的方式潛入對方企業(yè)，或利用不正當(dāng)?shù)姆绞绞召I企業(yè)網(wǎng)絡(luò)交易管理人員。有的電子商務(wù)從業(yè)人員從本企業(yè)辭職后，迅速把客戶資料、產(chǎn)品研發(fā)成果等機密出售給競爭對手，給企業(yè)帶來了不必要的經(jīng)濟損失。

　　2、原因分析

　　電子商務(wù)信息安全已經(jīng)引起很多企業(yè)的重視，但大多數(shù)企業(yè)往往側(cè)重于加強技術(shù)措施，如購買先進的防火墻軟件，采用更高級的加密方法等，很多企業(yè)認(rèn)為：員工泄密的安全事故只是偶然現(xiàn)象，很少從人員管理的角度來探討出現(xiàn)這些事故的根本原因。“重技術(shù)、輕管理”是當(dāng)前很多電子商務(wù)企業(yè)的通病。由于管理手段不到位，很多先進的安全技術(shù)無法發(fā)揮應(yīng)有的效能。之所以出現(xiàn)上述問題，主要有以下原因：

　　首先，很多企業(yè)管理高層對人員管理在信息安全中的地位認(rèn)識不足。大多數(shù)企業(yè)將電子商務(wù)網(wǎng)絡(luò)作為一項純粹的技術(shù)工程來實施，企業(yè)內(nèi)部缺乏系統(tǒng)的安全管理策略，只是被動的使用一些技術(shù)措施來進行防御，因此電子商務(wù)過程中一旦出現(xiàn)突發(fā)性事件，往往造成很大的經(jīng)濟損失?，F(xiàn)實中沒有一個網(wǎng)絡(luò)系統(tǒng)是完美無缺的，不安全因素隨時存在。因此，安全管理措施必須滲透到系統(tǒng)的每一個環(huán)節(jié)和企業(yè)組織的～個層面，只有構(gòu)建一個人與技術(shù)相結(jié)合的安全管理體系，才能確保整個電子商務(wù)系統(tǒng)得安全。

　　企業(yè)沒有從整體上、有計劃地考慮信息安全問題。企業(yè)各部門、各下屬機構(gòu)都存在“各自為政的局面，缺少統(tǒng)一規(guī)劃、設(shè)計和管理信息安全強調(diào)的是整體上的信息安全性，而不僅是某一個部門或公司的信息安全。而各部門、各公司又確實存在個體差異，對于不同業(yè)務(wù)領(lǐng)域來說，信息安全具有不同的涵義和特征，信息安全保障體系的戰(zhàn)略性必須涵蓋各部門和各公司的信息安全保障體系的相關(guān)內(nèi)容。

　　缺少信息安全管理配套的人力、物力和財力。人才是信息安全保障工作的關(guān)鍵。信息安全保障工作的專業(yè)性、技術(shù)性很強，沒有一批業(yè)務(wù)能力強，且具有信息網(wǎng)絡(luò)知識、信息安全技術(shù)、法律知識和管理能力的復(fù)合型人才和專門人才，就不可能做好信息安全保障工作。應(yīng)該從信息安全建設(shè)和管理對信息安全人才的實際需求出發(fā)，加快信息安全人才的培養(yǎng)。

　　企業(yè)對員工的信息安全教育不夠。員工的信息安全意識薄弱，9O％的安全事故是由于人為疏忽所造成。如有些企業(yè)不限制內(nèi)部人員使用各種高科技信息載體，如U盤、移動硬盤以及筆記本等移動辦公設(shè)備。

　　3、加強電子商務(wù)安全管理的建議

　　電子商務(wù)信息安全管理實踐表明，大多數(shù)安全問題是由于管理不善造成的。安全管理是一項系統(tǒng)工程，不僅涉及到企業(yè)的組織架構(gòu)、信息技術(shù)、人員素質(zhì)等各個方面，還牽扯到國家法律和商業(yè)規(guī)則。企業(yè)內(nèi)部存在著諸多影響信息安全的因素：改變lT系統(tǒng)不等于改變企業(yè)的信息安全管理，要使企業(yè)信息盡可能的安全，必須在技術(shù)投人的基礎(chǔ)上融人人在管理方面的智慧i同時，不僅要防外，更要防內(nèi)，即對組織內(nèi)部人員的管理。信息安全問題的解決需要技術(shù)，但又不能單純依靠技術(shù)。整個電子商務(wù)的交易過程，是人與技術(shù)相互融合的過程，如何使管理與技術(shù)相得益彰十分重要。“三分技術(shù)，七分管理”闡述了信息安全的本質(zhì)。

　　電子商務(wù)的安全管理，就是通過一個完整的綜合保障體系，來規(guī)避信息傳輸風(fēng)險、信用風(fēng)險、管理風(fēng)險和法律風(fēng)險，以保證網(wǎng)上交易的順利進行。網(wǎng)上交易安全管理，應(yīng)采用綜合防范的思路，一是技術(shù)方面的考慮，如防火墻技術(shù)、網(wǎng)絡(luò)防毒、信息加密、身份認(rèn)證、授權(quán)等，但必須明確，只有技術(shù)措施并不能完全保證網(wǎng)上交易的安全。二是必須加強監(jiān)管，建立各種有關(guān)的合理制度，并加強嚴(yán)格監(jiān)督，如建立交易的安全制度、交易安全的實時監(jiān)控、提供實時改變安全策略的能力、對現(xiàn)有的安全系統(tǒng)漏洞的檢查以及安全教育等。為了加強企業(yè)電子商務(wù)的信息安全，我們提出如下建議：

　　(1)提高網(wǎng)絡(luò)安全防范意識。

　　現(xiàn)在許多企業(yè)沒有意識到互聯(lián)網(wǎng)的易受攻擊性，盲目相信國外的加密軟件，對于系統(tǒng)的訪問權(quán)限和密鑰缺乏有力度的管理。這樣的系統(tǒng)一旦受到攻擊將十分脆弱，其中的機密數(shù)據(jù)得不到應(yīng)有的保護。據(jù)調(diào)查，目前國內(nèi)90％的網(wǎng)站存在安全問題，其主要原因是企業(yè)管理者缺少或沒有安全意識。某些企業(yè)網(wǎng)絡(luò)管理員甚至認(rèn)為其公司規(guī)模較小，不會成為黑客的攻擊目標(biāo)，如此態(tài)度，網(wǎng)絡(luò)安全更是無從談起。應(yīng)該定期由公司或安全管理小組承辦信息安全講座，只有提高網(wǎng)絡(luò)安全防范意識，才能有效的減少信息安全事故的發(fā)生。

　　(2)建立電子商務(wù)安全管理組織體系。

　　一個完整的信息安全管理體系首先應(yīng)建立完善的組織體系。即建立由行政領(lǐng)導(dǎo)、IT技術(shù)主管、信息安全主管、本系統(tǒng)用戶代表和安全顧問組成的安全決策機構(gòu)。其職責(zé)是建立管理框架，組織審批安全策略、安全管理制度，指派安全角色，分配安全職責(zé)，并檢查安全職責(zé)是否已被正確履行，核準(zhǔn)新信息處理設(shè)施的啟用、組織安全管理專題會等。還應(yīng)建立由網(wǎng)絡(luò)管理員、系統(tǒng)管理員、安全管理員、用戶管理員等組成的安全執(zhí)行機構(gòu)。該機構(gòu)負(fù)責(zé)起草網(wǎng)絡(luò)系統(tǒng)的安全策略、執(zhí)行批準(zhǔn)后的安全策略、日常的安全運行和維護、定期的培訓(xùn)和安全檢查等。如果需要，還可建立安全顧問機構(gòu)。安全顧問機構(gòu)可聘請信息安全專家擔(dān)任系統(tǒng)安全顧問，負(fù)責(zé)提供安全建議，特別是在安全事故或違反安全策略事件發(fā)生后，可以被安全決策機構(gòu)指定負(fù)責(zé)事故(事件)調(diào)查，并為安全策略評審和評估提供意見。

　　(3)制定符合機構(gòu)安全需求的信息安全策略。電子商務(wù)交

　　易過程中，需要明確的安全策略主要包括客戶認(rèn)證策略、加密策略、日常維護策略、防病毒策略等安全技術(shù)方案的選擇。安全執(zhí)行機構(gòu)應(yīng)根據(jù)本信息網(wǎng)絡(luò)的實際情況制定相應(yīng)的信息安全策略，策略中應(yīng)明確安全的定義、目標(biāo)、范圍和管理責(zé)任，并制定安全策略的實施細(xì)則。安全策略文檔要由安全決策機構(gòu)審查、批準(zhǔn)，并發(fā)布和傳達(dá)給所有的人安全策略還應(yīng)由安全決策機構(gòu)定期進行有效性審查和評估：在發(fā)生重大的安全事故、發(fā)現(xiàn)新的脆弱性、組織體系或技術(shù)上發(fā)生變更時，應(yīng)重新進行安全策略的審查和評估。

　　(4)人員安全的管理和培訓(xùn)

　　參與網(wǎng)上交易的經(jīng)營管理人員在很大程度上支配著企業(yè)的命運，他們承擔(dān)著防范網(wǎng)絡(luò)犯罪的任務(wù)。而計算機網(wǎng)絡(luò)犯罪同一般犯罪不同的是，他們具有智能性、隱蔽性、連續(xù)性、高效性的特點，因而，加強對有關(guān)人員的管理變得十分重要。首先，在人員錄用時應(yīng)做好人員鑒別，人員錄用或人員職位調(diào)整時，一般要簽署保密協(xié)議。當(dāng)人員到期離開或協(xié)議到期、工作終止時，要審查保密協(xié)議。其次對有關(guān)人員進行上崗培訓(xùn)，建立人員培訓(xùn)計劃，定期組織安全策略和規(guī)程方面的培訓(xùn)。第三，落實工作責(zé)任制，在崗位職責(zé)中明確本崗位執(zhí)行安全政策的常規(guī)職責(zé)和本崗位保護特定資產(chǎn)、執(zhí)行特定安全過程或活動的特別職責(zé)，對違反網(wǎng)上交易安全規(guī)定的人員要進行及時的處理。第四，貫徹網(wǎng)上交易安全運作基本原則，包括職責(zé)分離、雙人負(fù)責(zé)、任期有限、最小權(quán)限、個人可信賴性等。

　　(5)增強法律意識，促進電子商務(wù)立法

　　面對電子商務(wù)這種新型的貿(mào)易形式，我國目前尚無專門法規(guī)可依，使得部分違法犯罪人員沒有得到應(yīng)有的懲罰。近幾年里，國家加強了這方面的投入。在全國性的立法文件中，《合同法》的部分條款可以看作是針對電子商務(wù)的立法。此外，廣東省制定的《廣東省電子交易管理條例》這個地方性的法規(guī)可以看作是對加快我國電子商務(wù)立法的有益探索?！吨腥A人民共和國電子簽名法》是對主要用于電子商務(wù)活動，電子政務(wù)等其他應(yīng)用應(yīng)該有新的適用法規(guī)。

　　盡管在電子商務(wù)信息安全立法方面取得了一些成就，但總的來說，我國的電子商務(wù)立法還很不健全，對電子商務(wù)活動的安全保護缺少直接性；相關(guān)立法比較分散，而且效力不高；對新出現(xiàn)的情況缺乏適應(yīng)能力；立法速度慢。這些都需要電子商務(wù)企業(yè)和國家有關(guān)部門不斷探索，共同促進電子商務(wù)信息安全的法制環(huán)境建設(shè)。

　　4、結(jié)論

　　快捷的電子商務(wù)在給企業(yè)帶來發(fā)展機遇的同時，也使企業(yè)面臨著各種安全風(fēng)險。由于缺乏對電子商務(wù)信息安全管理體制的系統(tǒng)認(rèn)識，很多企業(yè)都把其電子商務(wù)信息安全作為一項技術(shù)工程來實施，而忽略了交易過程中，各種參與人員對安全的影響。分析了企業(yè)在電子商務(wù)安全管理體制方面存在的不足和原因，從安全防范意識、管理組織體系、信息安全技術(shù)策略、人員管理與培訓(xùn)、電子商務(wù)立法等方面提出了一些加強人員安全管理的建議。在企業(yè)走向電子商務(wù)時代，只有管理與技術(shù)并重，才能確保企業(yè)電子商務(wù)交易過程中的信息安全。