【正文】 28/2023 電子商務(wù) 二、電子商務(wù)系統(tǒng)的安全管理 （ 二 ） 人員及行政安全管理 1． 人員管理 從事電子商務(wù)活動(dòng)是一種高智力的勞動(dòng)，接觸電子商務(wù)系統(tǒng)的業(yè)務(wù)管理人員，必須既具有專業(yè)知識(shí)，又具有相應(yīng)的計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)和操作技能。由于營銷人員在很大程度上支配著市場經(jīng)濟(jì)下的企業(yè)命運(yùn)，而計(jì)算機(jī)網(wǎng)絡(luò)犯罪又具有智能型、隱蔽性、連續(xù)性、高危害性等特點(diǎn)，因而，加強(qiáng)對(duì)業(yè)務(wù)管理人員的安全管理變得十分重要。 2/28/2023 電子商務(wù) 二、電子商務(wù)系統(tǒng)的安全管理 一方面要嚴(yán)格業(yè)務(wù)管理人員的選拔，將經(jīng)過一定時(shí)間考察、責(zé)任心強(qiáng)、講原則、守紀(jì)律、了解市場、懂得營銷、具有基本網(wǎng)絡(luò)知識(shí)的人員委派到這種崗位上；另一方面要落實(shí)工作責(zé)任制，不僅要求業(yè)務(wù)管理人員完成規(guī)定的工作任務(wù)，而且要求他們嚴(yán)格遵守企業(yè)的安全制度。特別是在當(dāng)前企業(yè)人員流動(dòng)頻率較高的情況下，更要明確業(yè)務(wù)管理人員的責(zé)任，對(duì)違反網(wǎng)絡(luò)交易安全規(guī)定的行為應(yīng)堅(jiān)決進(jìn)行打擊，對(duì)有關(guān)人員要進(jìn)行及時(shí)的處理。 2/28/2023 電子商務(wù) 二、電子商務(wù)系統(tǒng)的安全管理 貫徹電子商務(wù)系統(tǒng)人員管理安全運(yùn)作一般要遵循以下基本原則： （ 1） 雙人負(fù)責(zé)原則 重要業(yè)務(wù)不要安排一人單獨(dú)管理 ， 實(shí)行兩人或多人相互制約的機(jī)制 。 （ 2） 任期有限原則 任何人不得長期擔(dān)任與交易安全有關(guān)的職務(wù) 。 （ 3） 最小權(quán)限原則 明確規(guī)定只有網(wǎng)絡(luò)管理員才可進(jìn)行物理訪問，只有網(wǎng)絡(luò)人員才可進(jìn)行軟件安裝工作。 2/28/2023 電子商務(wù) 二、電子商務(wù)系統(tǒng)的安全管理 2． 保密管理工作 電子商務(wù)系統(tǒng)涉及企業(yè)的市場 、 生產(chǎn) 、 財(cái)務(wù) 、 供應(yīng)等多方面的機(jī)密 ，需要很好地劃分信息的安全級(jí)別 ， 確定安全防范重點(diǎn) ， 提出相應(yīng)的保密措施 。 信息的安全級(jí)別一般可分為三級(jí)： （ 1） 絕密級(jí) 如公司經(jīng)營狀況報(bào)告 、 訂／出貨價(jià)格 、 公司的發(fā)展規(guī)劃等 。 此部分網(wǎng)址 、密碼不在互聯(lián)網(wǎng)絡(luò)上公開 ， 只限于公司高層人員掌握 。 （ 2） 機(jī)密級(jí) 如公司的日常管理情況 、 會(huì)議通知等 。 此部分網(wǎng)址 、 密碼不在互聯(lián)網(wǎng)絡(luò)上公開 ， 只限于公司中層以上人員使用 。 （ 3） 秘密級(jí) 如公司簡介、新產(chǎn)品介紹及訂貨方式等。此部分網(wǎng)址、密碼在互聯(lián)網(wǎng)絡(luò)上公開，供消費(fèi)者瀏覽，但必須有保護(hù)程序，防止黑客入侵。 2/28/2023 電子商務(wù) 二、電子商務(wù)系統(tǒng)的安全管理 保密工作的另二個(gè)重要問題是對(duì)密鑰的管理。大量的交易必然使用大量的密鑰，密鑰管理必須貫穿于密鑰的產(chǎn)生、傳遞和銷毀的全過程。密鑰需要定期更換，否則可能使黑客通過積累密文增加破譯機(jī)會(huì)。 2/28/2023 電子商務(wù) 二、電子商務(wù)系統(tǒng)的安全管理 3． 跟蹤 、 審計(jì) 、 稽核工作 跟蹤工作要求企業(yè)建立網(wǎng)絡(luò)交易系統(tǒng)日志機(jī)制，用來記錄系統(tǒng)運(yùn)行的全過程。系統(tǒng)日志文件是自動(dòng)生成的，內(nèi)容包括操作日期、操作方式、登錄次數(shù)、運(yùn)行時(shí)間、交易內(nèi)容等。它對(duì)系統(tǒng)的運(yùn)行監(jiān)督、維護(hù)分析、故障恢復(fù)，對(duì)于防止案件的發(fā)生或在發(fā)生案件后為偵破提供監(jiān)督數(shù)據(jù)，都起到非常重要的作用。 2/28/2023 電子商務(wù) 二、電子商務(wù)系統(tǒng)的安全管理 審計(jì)工作包括對(duì)系統(tǒng)日志經(jīng)常地檢查 、 審核 ，及時(shí)發(fā)現(xiàn)對(duì)系統(tǒng)故意入侵行為的記錄和違反系統(tǒng)安全功能的記錄 ， 監(jiān)控和捕捉各種安全事件 ， 保存 、維護(hù)和管理系統(tǒng)日志 。 稽核工作是指工商管理、銀行、稅務(wù)人員利用計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)，借助于稽核業(yè)務(wù)應(yīng)用軟件調(diào)閱、查詢、審核、判斷轄區(qū)內(nèi)各電子商務(wù)參與單位業(yè)務(wù)經(jīng)營活動(dòng)的合理性、安全性，堵塞漏洞，保證電子商務(wù)交易安全，發(fā)出相應(yīng)的警示或者做出處理處罰的有關(guān)決定的一系列步驟及措施。 2/28/2023 電子商務(wù) 二、電子商務(wù)系統(tǒng)的安全管理 （ 三 ） 主要應(yīng)急措施 應(yīng)急措施是指在計(jì)算機(jī)災(zāi)難事件，即緊急事件或安全事故發(fā)生時(shí)，利用應(yīng)急計(jì)劃輔助軟件和應(yīng)急設(shè)施，排除災(zāi)難和故障，保障計(jì)算機(jī)信息系統(tǒng)繼續(xù)運(yùn)行或緊急恢復(fù)。在啟動(dòng)電子商務(wù)系統(tǒng)業(yè)務(wù)時(shí)，就必須制定交易安全計(jì)劃和應(yīng)急方案，一旦發(fā)生意外，立即實(shí)施，最大限度地減少損失，盡快恢復(fù)系統(tǒng)的正常工作。 2/28/2023 電子商務(wù) 二、電子商務(wù)系統(tǒng)的安全管理 電子商務(wù)運(yùn)行中的災(zāi)難事件指的是導(dǎo)致參加交易活動(dòng)的計(jì)算機(jī)不能正常運(yùn)行的事件。比如說，洪水、地震和其他自然災(zāi)害會(huì)直接導(dǎo)致計(jì)算機(jī)系統(tǒng)不能正常運(yùn)行；發(fā)電廠的事故、信息服務(wù)商的問題也可以導(dǎo)致計(jì)算機(jī)系統(tǒng)的非正常運(yùn)行；計(jì)算機(jī)系統(tǒng)本身也可導(dǎo)致災(zāi)難的發(fā)生，如系統(tǒng)升級(jí)時(shí)發(fā)生差錯(cuò)、嚴(yán)重的操作錯(cuò)誤、備份中心發(fā)生故障和系統(tǒng)管理員的惡意操作都可能導(dǎo)致重要數(shù)據(jù)的丟失，引發(fā)計(jì)算機(jī)系統(tǒng)災(zāi)難。 2/28/2023 電子商務(wù) 二、電子商務(wù)系統(tǒng)的安全管理 災(zāi)難恢復(fù)包括許多工作。一方面是硬件的恢復(fù)，使計(jì)算機(jī)系統(tǒng)重新運(yùn)轉(zhuǎn)起來；另一方面是數(shù)據(jù)的恢復(fù)。一般來講，數(shù)據(jù)的恢復(fù)更為重要，難度也更大。目前運(yùn)用的數(shù)據(jù)復(fù)制技術(shù)主要是瞬時(shí)復(fù)制技術(shù)、遠(yuǎn)程磁盤鏡像技術(shù)和數(shù)據(jù)庫復(fù)制技術(shù)。 2/28/2023 電子商務(wù) 二、電子商務(wù)系統(tǒng)的安全管理 1． 瞬時(shí)復(fù)制技術(shù) 瞬時(shí)復(fù)制技術(shù)就是使計(jì)算機(jī)在某一災(zāi)難時(shí)刻自動(dòng)復(fù)制數(shù)據(jù)的技術(shù)?，F(xiàn)有的一種瞬時(shí)復(fù)制技術(shù)是通過使用磁盤鏡像技術(shù)來復(fù)制數(shù)據(jù)。利用空白磁盤和每一數(shù)據(jù)磁盤相連，把數(shù)據(jù)拷貝到空白磁盤，在拷貝進(jìn)行過程中，為保證數(shù)據(jù)的一致性，使用數(shù)據(jù)的應(yīng)用程序被暫時(shí)掛起。當(dāng)復(fù)制完成時(shí)，瞬時(shí)復(fù)制磁盤與數(shù)據(jù)磁盤脫離連接，應(yīng)用程序繼續(xù)運(yùn)行。瞬時(shí)復(fù)制的備份數(shù)據(jù)可以典型地用來產(chǎn)生磁帶備份或用作遠(yuǎn)程恢復(fù)節(jié)點(diǎn)的基本數(shù)據(jù)。目前，大部分的系統(tǒng)廠商、存儲(chǔ)設(shè)備供應(yīng)商和軟件開發(fā)商已利用這一技術(shù)開發(fā)了多種瞬時(shí)復(fù)制產(chǎn)品。 IBM公司的 RAM。 AC虛擬陣列和 Veritas軟件公司的軟件都能提供瞬時(shí)復(fù)制能力。 2/28/2023 電子商務(wù) 二、電子商務(wù)系統(tǒng)的安全管理 2． 遠(yuǎn)程磁盤鏡像技術(shù) 遠(yuǎn)程磁盤鏡像技術(shù)是在遠(yuǎn)程備份中心提供主數(shù)據(jù)中心的磁盤影像。這種技術(shù)的最主要優(yōu)點(diǎn)是可以把數(shù)據(jù)中心磁盤中的數(shù)據(jù)復(fù)制到遠(yuǎn)程備份中心，而無需考慮數(shù)據(jù)在磁盤上是如何組織的。系統(tǒng)管理員僅僅需要確定哪些磁盤需要備份到遠(yuǎn)程備份中心，存儲(chǔ)在這些磁盤上的數(shù)據(jù)會(huì)被全自動(dòng)地備份到遠(yuǎn)程備份中心，這對(duì)應(yīng)用系統(tǒng)的安全是非常有利的。目前計(jì)算機(jī)系統(tǒng)廠商提供的集成方案主要有： Compaq公司的OpenVMS平臺(tái)上的 Volume Shadowing， IBM公司的 DFSMS／ MVS平臺(tái)上的 RemoteCopy。這兩種產(chǎn)品都是在操作系統(tǒng)級(jí)提供物理磁盤的鏡像復(fù)制 。 2/28/2023 電子商務(wù) 二、電子商務(wù)系統(tǒng)的安全管理 3． 數(shù)據(jù)庫復(fù)制技術(shù) 數(shù)據(jù)庫復(fù)制技術(shù)是產(chǎn)生和維護(hù)一份或多份數(shù)據(jù)庫數(shù)據(jù)的復(fù)制。數(shù)據(jù)庫復(fù)制技術(shù)為用戶提供了更大的靈活性，數(shù)據(jù)庫管理員可以準(zhǔn)確地選擇哪些數(shù)據(jù)可以被復(fù)制到哪些地方。對(duì)于那些在日常應(yīng)用中使用大量聯(lián)機(jī)數(shù)據(jù)的用戶，可以選擇少量最為關(guān)鍵的數(shù)據(jù)復(fù)制到遠(yuǎn)程，用來減少對(duì)遠(yuǎn)程接待內(nèi)存儲(chǔ)系統(tǒng)的占有率和對(duì)網(wǎng)絡(luò)帶寬的影響。大多數(shù)的復(fù)制服務(wù)器比磁盤鏡像更加靈活，支持對(duì)數(shù)據(jù)的多個(gè)復(fù)制，同時(shí)可選擇哪些數(shù)據(jù)可以被復(fù)制到哪些地方。 2/28/2023 電子商務(wù) 二、電子商務(wù)系統(tǒng)的安全管理 數(shù)據(jù)庫復(fù)制技術(shù)提供了非常靈活的手段，可在災(zāi)難發(fā)生后恢復(fù)應(yīng)用數(shù)據(jù)。但它還不是完整的解決方案，必須考慮其他方法作為補(bǔ)充。這是因?yàn)閿?shù)據(jù)庫復(fù)制技術(shù)不能復(fù)制非數(shù)據(jù)庫格式的數(shù)據(jù)，一些應(yīng)用系統(tǒng)的主要數(shù)據(jù)存儲(chǔ)于數(shù)據(jù)庫，但通常也使用大量的文本文件。對(duì)于一些非常重要的數(shù)據(jù)或從數(shù)據(jù)庫生成的數(shù)據(jù)，通常存放在文件中，有些應(yīng)用系統(tǒng)的數(shù)據(jù)不能轉(zhuǎn)換成數(shù)據(jù)庫數(shù)據(jù)，配置文件、批量控制文件、應(yīng)用程序的鏡像和其他的管理文件通常也不是以數(shù)據(jù)庫格式存儲(chǔ)的。所以，將數(shù)據(jù)庫復(fù)制技術(shù)與遠(yuǎn)程磁盤鏡像技術(shù)配合使用，常?？梢垣@得更為良好的效果。 2/28/2023 電子商務(wù) 演講完畢，謝謝觀看！