電子商務安全淺析(二)

　　網絡支付的安全不僅是技術體系的問題，更主要是管理體系的問題。俗話說“三分技術，七分管理”，任何技術措施只能起到增強網絡安全防范能力的作用，只有管理到位，才能保障技術措施充分發揮作用，能否對網絡實施有效的管理和控制是保障支付安全的關鍵。
    一、加強全過程安全管理
    1、在網絡規劃階段就要加強對信息安全建設和管理的規劃。信息安全建設需要投入一定的人力、物力和財力。無論管理工作或技術建設工作都不可能一步到位。因此要根據狀況實事求是地確定網絡的安全總體目標和階段目標、分段實施、降低投資風險。
    2、在工程建設階段，建設管理單位要將安全需求的匯總和安全性能，功能的測試列入工程建設各個階段工作的重要內容，要加強對開發（實施）人員，版本控制的管理，要加強對開發環境，用戶路由設置、關鍵代碼的檢查。
    3、在運行維護階段，要注意以下事項：
   （1）建立有效的安全管理組織架構，明確職責，理順流程，實施高效地管理。領導重視是做好信息安全工作的關鍵，人員落實是做好信息安全工作的保障。
   （2）制定完善的安全管理制度，加強信息網的操作系統、數據庫、網絡設備，應用系統運行維護過程的安全管理。
   （3）要建立應急預察體系，保證業務不間斷運行，包括：主機應急預察、業務應急預察、網絡應急預察、災備系統等。
   （4）信息中心要加強對物理場所的安全管理，包括機房人員出入管理、營業場所出入管理、機房物理安全管理、消防安全管理等。
   （5）加強安全技術和管理培訓，針對已發生的犯罪大多是內部人員或內外勾結犯罪的情況，要加強對內部人員的管理（包括技術人員和營業人員）和教育，讓相關人員知法懂法。
   （6）加強執行力度和違規行為的處罰力度。根據以往教訓，往往是有章不循而且連續幾個環節都沒有遵守規章制度、才讓犯罪分子有機可乘。
    4、在設備報廢階段，對于過期的保密信息（包括電子文檔記錄的信息），要及時，集中銷毀，對于報廢設備，處理時要銷毀遺留在設備上涉及安全的信息。
    二、建立動態的閉環管理流程
    網絡處于不斷地建設和調整中，新的安全漏洞總是不斷地被發現，單純的靜態管理流程已不滿足要求，需要建立動態的、閉環的管理流程。動態、閉環的管理流程就是要在整體安全策略的控制和指導下，通過安全評估和檢測工具（如漏洞掃描，入侵檢測等）及時了解網絡存在的安全問題和安全隱患，據此制定安全建設規劃和加固方案，綜合應用各種安全防護產品（如防火墻、身份認證、審記等手段），將系統調整到相對安全的狀態，如：
    1、對于一個企業而言，安全策略是支付信息安全核心，因此制定明確的、有效的安全策略是非常重要的。安全組織要根據這個策略制定詳細的流程、規章制度、標準和安全建設規劃、方案，保證這一系列策略規范在整個企業范圍內貫徹實施，從而保護企業的投資和信息資源安全。
    2、要制定完善的，符合企業實際的信息安全策略，就必須先對企業信息網的安全狀況進行評估，安全評估即對信息資產的安全技術和管理現狀進行評估，讓企業對自身面臨的安全威脅和問題有全面的了解，從而制定有針對性的安全策略來指導信息安全的建設和管理工作。
安全技術可以說是網絡安全技術中較為尖端的技術，都是非常先進的技術手段，只要運用得當，配合相應的安全管理措施，基本能保證電子商務中網絡支付的安全。但不是100％的絕對安全，而是相對安全。隨著網絡安全技術的進步與信用機制的完善，網絡支付一定會越來越安全。 

首頁 上一頁 1 2 下一頁 尾頁 2/2/2