【正文】 28/2023 電子商務(wù) 二、電子商務(wù)系統(tǒng)的安全管理 （ 二 ） 人員及行政安全管理 1． 人員管理 從事電子商務(wù)活動是一種高智力的勞動，接觸電子商務(wù)系統(tǒng)的業(yè)務(wù)管理人員，必須既具有專業(yè)知識，又具有相應(yīng)的計算機網(wǎng)絡(luò)知識和操作技能。由于營銷人員在很大程度上支配著市場經(jīng)濟下的企業(yè)命運，而計算機網(wǎng)絡(luò)犯罪又具有智能型、隱蔽性、連續(xù)性、高危害性等特點，因而，加強對業(yè)務(wù)管理人員的安全管理變得十分重要。 2/28/2023 電子商務(wù) 二、電子商務(wù)系統(tǒng)的安全管理 一方面要嚴(yán)格業(yè)務(wù)管理人員的選拔，將經(jīng)過一定時間考察、責(zé)任心強、講原則、守紀(jì)律、了解市場、懂得營銷、具有基本網(wǎng)絡(luò)知識的人員委派到這種崗位上；另一方面要落實工作責(zé)任制，不僅要求業(yè)務(wù)管理人員完成規(guī)定的工作任務(wù)，而且要求他們嚴(yán)格遵守企業(yè)的安全制度。特別是在當(dāng)前企業(yè)人員流動頻率較高的情況下，更要明確業(yè)務(wù)管理人員的責(zé)任，對違反網(wǎng)絡(luò)交易安全規(guī)定的行為應(yīng)堅決進行打擊，對有關(guān)人員要進行及時的處理。 2/28/2023 電子商務(wù) 二、電子商務(wù)系統(tǒng)的安全管理 貫徹電子商務(wù)系統(tǒng)人員管理安全運作一般要遵循以下基本原則： （ 1） 雙人負(fù)責(zé)原則 重要業(yè)務(wù)不要安排一人單獨管理 ， 實行兩人或多人相互制約的機制 。 （ 2） 任期有限原則 任何人不得長期擔(dān)任與交易安全有關(guān)的職務(wù) 。 （ 3） 最小權(quán)限原則 明確規(guī)定只有網(wǎng)絡(luò)管理員才可進行物理訪問，只有網(wǎng)絡(luò)人員才可進行軟件安裝工作。 2/28/2023 電子商務(wù) 二、電子商務(wù)系統(tǒng)的安全管理 2． 保密管理工作 電子商務(wù)系統(tǒng)涉及企業(yè)的市場 、 生產(chǎn) 、 財務(wù) 、 供應(yīng)等多方面的機密 ，需要很好地劃分信息的安全級別 ， 確定安全防范重點 ， 提出相應(yīng)的保密措施 。 信息的安全級別一般可分為三級： （ 1） 絕密級 如公司經(jīng)營狀況報告 、 訂／出貨價格 、 公司的發(fā)展規(guī)劃等 。 此部分網(wǎng)址 、密碼不在互聯(lián)網(wǎng)絡(luò)上公開 ， 只限于公司高層人員掌握 。 （ 2） 機密級 如公司的日常管理情況 、 會議通知等 。 此部分網(wǎng)址 、 密碼不在互聯(lián)網(wǎng)絡(luò)上公開 ， 只限于公司中層以上人員使用 。 （ 3） 秘密級 如公司簡介、新產(chǎn)品介紹及訂貨方式等。此部分網(wǎng)址、密碼在互聯(lián)網(wǎng)絡(luò)上公開，供消費者瀏覽，但必須有保護程序，防止黑客入侵。 2/28/2023 電子商務(wù) 二、電子商務(wù)系統(tǒng)的安全管理 保密工作的另二個重要問題是對密鑰的管理。大量的交易必然使用大量的密鑰，密鑰管理必須貫穿于密鑰的產(chǎn)生、傳遞和銷毀的全過程。密鑰需要定期更換，否則可能使黑客通過積累密文增加破譯機會。 2/28/2023 電子商務(wù) 二、電子商務(wù)系統(tǒng)的安全管理 3． 跟蹤 、 審計 、 稽核工作 跟蹤工作要求企業(yè)建立網(wǎng)絡(luò)交易系統(tǒng)日志機制，用來記錄系統(tǒng)運行的全過程。系統(tǒng)日志文件是自動生成的，內(nèi)容包括操作日期、操作方式、登錄次數(shù)、運行時間、交易內(nèi)容等。它對系統(tǒng)的運行監(jiān)督、維護分析、故障恢復(fù)，對于防止案件的發(fā)生或在發(fā)生案件后為偵破提供監(jiān)督數(shù)據(jù)，都起到非常重要的作用。 2/28/2023 電子商務(wù) 二、電子商務(wù)系統(tǒng)的安全管理 審計工作包括對系統(tǒng)日志經(jīng)常地檢查 、 審核 ，及時發(fā)現(xiàn)對系統(tǒng)故意入侵行為的記錄和違反系統(tǒng)安全功能的記錄 ， 監(jiān)控和捕捉各種安全事件 ， 保存 、維護和管理系統(tǒng)日志 。 稽核工作是指工商管理、銀行、稅務(wù)人員利用計算機及網(wǎng)絡(luò)系統(tǒng)，借助于稽核業(yè)務(wù)應(yīng)用軟件調(diào)閱、查詢、審核、判斷轄區(qū)內(nèi)各電子商務(wù)參與單位業(yè)務(wù)經(jīng)營活動的合理性、安全性，堵塞漏洞，保證電子商務(wù)交易安全，發(fā)出相應(yīng)的警示或者做出處理處罰的有關(guān)決定的一系列步驟及措施。 2/28/2023 電子商務(wù) 二、電子商務(wù)系統(tǒng)的安全管理 （ 三 ） 主要應(yīng)急措施 應(yīng)急措施是指在計算機災(zāi)難事件，即緊急事件或安全事故發(fā)生時，利用應(yīng)急計劃輔助軟件和應(yīng)急設(shè)施，排除災(zāi)難和故障，保障計算機信息系統(tǒng)繼續(xù)運行或緊急恢復(fù)。在啟動電子商務(wù)系統(tǒng)業(yè)務(wù)時，就必須制定交易安全計劃和應(yīng)急方案，一旦發(fā)生意外，立即實施，最大限度地減少損失，盡快恢復(fù)系統(tǒng)的正常工作。 2/28/2023 電子商務(wù) 二、電子商務(wù)系統(tǒng)的安全管理 電子商務(wù)運行中的災(zāi)難事件指的是導(dǎo)致參加交易活動的計算機不能正常運行的事件。比如說，洪水、地震和其他自然災(zāi)害會直接導(dǎo)致計算機系統(tǒng)不能正常運行；發(fā)電廠的事故、信息服務(wù)商的問題也可以導(dǎo)致計算機系統(tǒng)的非正常運行；計算機系統(tǒng)本身也可導(dǎo)致災(zāi)難的發(fā)生，如系統(tǒng)升級時發(fā)生差錯、嚴(yán)重的操作錯誤、備份中心發(fā)生故障和系統(tǒng)管理員的惡意操作都可能導(dǎo)致重要數(shù)據(jù)的丟失，引發(fā)計算機系統(tǒng)災(zāi)難。 2/28/2023 電子商務(wù) 二、電子商務(wù)系統(tǒng)的安全管理 災(zāi)難恢復(fù)包括許多工作。一方面是硬件的恢復(fù)，使計算機系統(tǒng)重新運轉(zhuǎn)起來；另一方面是數(shù)據(jù)的恢復(fù)。一般來講，數(shù)據(jù)的恢復(fù)更為重要，難度也更大。目前運用的數(shù)據(jù)復(fù)制技術(shù)主要是瞬時復(fù)制技術(shù)、遠(yuǎn)程磁盤鏡像技術(shù)和數(shù)據(jù)庫復(fù)制技術(shù)。 2/28/2023 電子商務(wù) 二、電子商務(wù)系統(tǒng)的安全管理 1． 瞬時復(fù)制技術(shù) 瞬時復(fù)制技術(shù)就是使計算機在某一災(zāi)難時刻自動復(fù)制數(shù)據(jù)的技術(shù)。現(xiàn)有的一種瞬時復(fù)制技術(shù)是通過使用磁盤鏡像技術(shù)來復(fù)制數(shù)據(jù)。利用空白磁盤和每一數(shù)據(jù)磁盤相連，把數(shù)據(jù)拷貝到空白磁盤，在拷貝進行過程中，為保證數(shù)據(jù)的一致性，使用數(shù)據(jù)的應(yīng)用程序被暫時掛起。當(dāng)復(fù)制完成時，瞬時復(fù)制磁盤與數(shù)據(jù)磁盤脫離連接，應(yīng)用程序繼續(xù)運行。瞬時復(fù)制的備份數(shù)據(jù)可以典型地用來產(chǎn)生磁帶備份或用作遠(yuǎn)程恢復(fù)節(jié)點的基本數(shù)據(jù)。目前，大部分的系統(tǒng)廠商、存儲設(shè)備供應(yīng)商和軟件開發(fā)商已利用這一技術(shù)開發(fā)了多種瞬時復(fù)制產(chǎn)品。 IBM公司的 RAM。 AC虛擬陣列和 Veritas軟件公司的軟件都能提供瞬時復(fù)制能力。 2/28/2023 電子商務(wù) 二、電子商務(wù)系統(tǒng)的安全管理 2． 遠(yuǎn)程磁盤鏡像技術(shù) 遠(yuǎn)程磁盤鏡像技術(shù)是在遠(yuǎn)程備份中心提供主數(shù)據(jù)中心的磁盤影像。這種技術(shù)的最主要優(yōu)點是可以把數(shù)據(jù)中心磁盤中的數(shù)據(jù)復(fù)制到遠(yuǎn)程備份中心，而無需考慮數(shù)據(jù)在磁盤上是如何組織的。系統(tǒng)管理員僅僅需要確定哪些磁盤需要備份到遠(yuǎn)程備份中心，存儲在這些磁盤上的數(shù)據(jù)會被全自動地備份到遠(yuǎn)程備份中心，這對應(yīng)用系統(tǒng)的安全是非常有利的。目前計算機系統(tǒng)廠商提供的集成方案主要有： Compaq公司的OpenVMS平臺上的 Volume Shadowing， IBM公司的 DFSMS／ MVS平臺上的 RemoteCopy。這兩種產(chǎn)品都是在操作系統(tǒng)級提供物理磁盤的鏡像復(fù)制 。 2/28/2023 電子商務(wù) 二、電子商務(wù)系統(tǒng)的安全管理 3． 數(shù)據(jù)庫復(fù)制技術(shù) 數(shù)據(jù)庫復(fù)制技術(shù)是產(chǎn)生和維護一份或多份數(shù)據(jù)庫數(shù)據(jù)的復(fù)制。數(shù)據(jù)庫復(fù)制技術(shù)為用戶提供了更大的靈活性，數(shù)據(jù)庫管理員可以準(zhǔn)確地選擇哪些數(shù)據(jù)可以被復(fù)制到哪些地方。對于那些在日常應(yīng)用中使用大量聯(lián)機數(shù)據(jù)的用戶，可以選擇少量最為關(guān)鍵的數(shù)據(jù)復(fù)制到遠(yuǎn)程，用來減少對遠(yuǎn)程接待內(nèi)存儲系統(tǒng)的占有率和對網(wǎng)絡(luò)帶寬的影響。大多數(shù)的復(fù)制服務(wù)器比磁盤鏡像更加靈活，支持對數(shù)據(jù)的多個復(fù)制，同時可選擇哪些數(shù)據(jù)可以被復(fù)制到哪些地方。 2/28/2023 電子商務(wù) 二、電子商務(wù)系統(tǒng)的安全管理 數(shù)據(jù)庫復(fù)制技術(shù)提供了非常靈活的手段，可在災(zāi)難發(fā)生后恢復(fù)應(yīng)用數(shù)據(jù)。但它還不是完整的解決方案，必須考慮其他方法作為補充。這是因為數(shù)據(jù)庫復(fù)制技術(shù)不能復(fù)制非數(shù)據(jù)庫格式的數(shù)據(jù)，一些應(yīng)用系統(tǒng)的主要數(shù)據(jù)存儲于數(shù)據(jù)庫，但通常也使用大量的文本文件。對于一些非常重要的數(shù)據(jù)或從數(shù)據(jù)庫生成的數(shù)據(jù)，通常存放在文件中，有些應(yīng)用系統(tǒng)的數(shù)據(jù)不能轉(zhuǎn)換成數(shù)據(jù)庫數(shù)據(jù)，配置文件、批量控制文件、應(yīng)用程序的鏡像和其他的管理文件通常也不是以數(shù)據(jù)庫格式存儲的。所以，將數(shù)據(jù)庫復(fù)制技術(shù)與遠(yuǎn)程磁盤鏡像技術(shù)配合使用，常?？梢垣@得更為良好的效果。 2/28/2023 電子商務(wù) 演講完畢，謝謝觀看！