每一个电子商务系统在建设和运行的过程中,都应该接受有关部门的安全审计,以确保企业的安全政策和安全标准得到落实。虽然很多的国际规范以及国内对重要网络的安全规定中都将安全审计放在重要的位置,然而目前仍有一些安全审计还只停留在审查“日志记录”上。如果仅仅是日志功能就满足安全审计的需求,那么目前绝大部分的操作系统、网络设备、网管系统都有不同程度的日志功能,大多数的网络系统都满足了安全审计的需求。但是实际上这些日志根本不能保障系统的安全,而且也无法满足事后的侦查和取证要求。安全审计并非日志功能的简单改进,也并非等同入侵检测。
电子商务系统中需要重点安全审计的内容如下。
1)网络通信系统:主要包括对网络流量中典型协议的分析、识别、判断和记录、Telnet、HTTP、E-mail、FTP、文件共享等的入侵检测,还包括流量监测以及对异常流量的识别和报警、网络设备运行的监测等。
2)重要服务器主机操作系统:主要包括系统启动、运行情况、管理员登录、操作情况、系统配置更改(如注册表、配置文件和用户系统等),以及病毒或蠕虫感染、资源消耗情况的审计,还包括硬盘、CPU、内存、网络负载、进程、操作系统安全日志、系统内部事件、对重要文件的访问等的审计。
3)重要服务器主机应用平台软件:主要包括重要应用平台进程的运行、Web Server、Mail Server、Lotus、Exchange Server和中间件系统等的审计。(www.xing528.com)
4)重要数据库操作的审计:主要包括数据库进程运转情况、绕过应用软件直接操作数据库的违规访问行为、对数据库配置的更改、数据备份操作和其他维护管理操作、对重要数据的访问和更改、数据完整性等的审计。
5)重要应用系统的审计:主要包括办公自动化系统、公文流转和操作、网页完整性、相关业务系统等的审计。
6)重要网络区域的客户机:主要包括病毒感染情况、通过网络进行的文件共享操作、文件复制/打印操作、通过Modem擅自连接外网的情况、非业务异常软件的安装和运行等的审计。
总之,在电子商务安全中,安全管理与安全技术同样重要。在安全管理中,除了前面讨论的安全评估、安全政策、安全标准和安全审计之外,还需要有组织上的保证。在电子商务组织结构中,要有相应的安全管理机构,具体负责落实电子商务安全政策,开展安全宣传、安全培训、安全检查和处理等工作。建立应急技术处理专业队伍,根据安全策略和安全要求,定期对系统开展风险评估分析、安全性评估等方面的工作,对紧急情况进行应急处理。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
