电子商务安全是一项极其复杂的系统工程。在安全法规、安全管理、安全技术的保障措施中,安全技术是信息安全的基础,安全管理是信息安全的关键,安全法规是信息安全的保证。只有安全技术、安全管理与安全法规共同配合,才能有效地保证电子商务系统的安全。
电子商务安全管理主要包括以下内容。
1.信息安全组织管理
加强领导,建立机构,落实责任,完善措施,建立健全信息安全责任制和工作机制。
2.日常信息安全管理
制定信息安全工作的总体方针和目标,建立健全信息安全相关管理制度,明确信息安全工作的主要任务和原则,加强对人员、资产、采购、外包等的安全管理,并保证信息安全工作经费投入。
3.信息安全防护管理
开展企业信息化建设应按照同步规划、同步建设、同步运行的原则,同步规划、设计、建设、运行、管理信息安全设施,建立健全信息安全防护体系。具体内容如下。
1)网络边界防护管理:采取访问控制、安全审计、边界完整性检查、入侵防范和恶意代码防范等措施,进行网络边界防护。对网络日志进行管理,定期分析,及时发现安全风险。
2)信息系统防护管理:定期对信息系统面临的安全风险和威胁、薄弱环节以及防护措施的有效性等进行分析评估。确定信息系统安全保护等级,对信息系统实施相应等级的安全建设和整改。
3)门户网站防护管理:组织专业技术机构对门户网站进行安全测评,对新增应用要进行安全评估;应定期对网站链接进行安全性和有效性检查;采取必要的技术措施,提高网站防篡改、防攻击能力,加强网站敏感信息保护。(www.xing528.com)
4)电子邮件防护管理:加强电子邮箱系统安全防护,采取反垃圾邮件等技术措施;规范电子邮箱注册管理,严格邮箱账户及密码管理,采取相关技术和管理措施确保密码具有一定强度并定期更换。
5)终端计算机防护管理:采用集中统一管理方式对终端计算机进行管理,统一软件下发,统一安装系统补丁,统一实施病毒库升级和病毒查杀,统一进行漏洞扫描;规范软硬件使用,不得擅自更改软硬件配置,不得擅自安装软件;加强账户及密码管理,使用具有一定强度的密码并定期更换;应对接入互联网的终端计算机采取控制措施,包括实名接入认证、IP地址与MAC地址绑定等;应定期对终端计算机进行安全审计。
6)存储介质防护管理:严格存储阵列、磁带库等大容量存储介质的管理,采取技术措施防范外联风险,确保存储数据安全;对移动存储介质进行集中统一管理,记录介质领用、交回、维修、报废和销毁等情况;移动存储介质在接入本部门计算机和信息系统前,应当查杀病毒、木马等恶意代码;应配备必要的电子信息消除和销毁设备,对转为他用的存储介质要消除信息,对废弃的存储介质要进行销毁。
4.信息安全应急管理
建立健全信息安全应急工作机制,提高应对信息安全事件的能力,预防和减少信息安全事件造成的损失和危害;制定信息安全事件应急预案,并根据实际情况适时修订;组织开展应急预案的宣传和贯彻培训,确保相关人员熟悉应急预案;建立信息安全事件报告和通报机制,提高预防预警能力;明确应急技术支援队伍,做好应急技术支援准备;做好信息安全应急物资保障,确保必要的备机、备件等资源到位;根据业务实际需要,对重要数据和业务系统进行备份。
5.信息安全教育培训
加强信息安全宣传和教育培训工作,提高信息安全意识,增强信息安全基本防护技能;建立信息安全教育培训制度,把信息安全教育作为工作人员上岗、干部培训、业务学习的重要内容;定期开展对信息安全管理人员和技术人员的专业技能培训,提高信息安全工作能力和水平。
6.信息安全检查
认真组织开展信息安全检查工作,掌握信息安全总体状况和面临的威胁,查找安全隐患,堵塞安全漏洞,完善安全措施,减少安全风险,提高安全防护能力;重视安全技术检测,采取必要的技术检测手段对门户网站、服务器、终端计算机等进行安全检测。可根据需要委托符合要求的检测机构进行技术检测;加强安全检查过程中的保密管理和风险控制,严格检查人员、有关文档和数据的安全保密管理,制定安全检查应急预案,确保被检查信息系统的正常运行;对安全检查中发现的问题进行分析判断,制定整改措施并及时整改。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。