[摘 要] 本文試著結合目前的各種電子商務安全技術和安全協議，對基于Internet的電子商務系統的安全管理策略進行一些基本的探索和研究，以期對基于Internet的電子商務安全管理提供了一些有價值的借鑒和參考。 [關鍵詞] 電子商務；安全策略 1．引言 隨著信息技術和Internet的飛速發展，電子商務，特別是通過Internet進行的電子商務成了電子商務應用和發展的主要推動力。然而，由于Internet的高度開放性而隨之帶來的安全問題，嚴重影響了電子商務的廣泛應用和發展。而目前的各種電子商務安全技術和安全協議的局限性，使得加強對基于Internet的電子商務安全管理策略的研究，有效地對各種電子商務安全技術和安全協議進行有效協調和應用，對于抵擋各種電子商務安全問題的沖擊，無疑為人們在電子商務安全技術研究領域之外，提供了一個新的途徑和方法。 2．電子商務安全管理策略的制定 2．1制定電子商務安全管理策略的目的 制定電子商務安全管理策略的目的是為了能夠有效地保障電子商務系統安全、完整、正常地運行而不受破壞和于擾；能夠有序地、客觀地鑒別和測試電子商務系統的安全狀態；能夠對可能存在的風險有一個基本的評估；而當電子商務系統遭受破壞后能夠采取及時有效的恢復措施和手段，并且對其所需代價有一定的估計。 對基于Internet的電子商務活動來說，構建一個安全的電子商務網絡系統應首先確定其安全管理策略。解決電子商務安全問題，制定電子商務安全管理策略應從物理安全、網絡安全、信息安全訪問授權、病毒防范、災難恢復等多角度、多方面考慮。 2．2 電子商務安全管理策略制定原則 電子商務安全管理策略的制定就是針對電子商務系統中所要保護信息的、被攻擊的可能性、投入的資金狀況等，在電子商務系統管理的整個過程中，根據實際情況具體地對各種電子商務安全措施進行選擇。有效的電子商務管理策略可以說是在一定條件下的成本和效率的平衡。雖然電子商務的具體應用環境不同，但我們在制定電子商務安全管理策略時一般都應遵守下面一些原則。 (1)綜合性、系統性原則 該原則要求用系統的觀點和方法來分析整個電子商務系統的安全問題，要求在綜合各方面情況后制定相應的具體可行的安全措施。 (2)平衡分析原則 由于目前技術條件的限制，絕對安全的電子商務系統是做不到的。因此，要在對電子商務系統面臨的威脅和可能承擔的風險進行充分研究后，再結合目前的技術和資金條件制定相應的安全措旆以達到安全與價值的平衡。 (3)易操作性原則 再好的安全措施，都要由人來完成．因此，如果措施過于復雜，不便操作，那么電子商務系統的安全性也就無從談起。 (4)適應性和靈活性原則 安全防范措施必須要能夠隨著電子商務系統性能、技術環境以及安全需求的變化而作出相應的調整以適應安全要求。 (5)多級保護原則 受目前技術條件限制，任何安全措施都有可能被攻破。因此，建立一個多級保護的系統，當其中某一層被破壞時，另外的層次也能起到防護作用。 2．3 電子商務安全管理策略制定步驟 制定電子商務安全管理策略通常都包括以下幾個步驟： (1)確定目標 安全管理策略目標包括電子商務系統中被保護的對象，實現的方法和途徑。 (2)明確范圍 確定電子商務安全管理策略所要保護的資源范圍以及相關保護環境的界定。 (3)爭取來自高層管理的支持 來自電子商務系統所屬單位的高層支持，對于保障電子商務安全管理措施的順利運行，以及技術資金上的保證，都有重要的意義。 (4)評估危險 盡可能地對影響電子商務安全的各方面因素考慮周全，對可能存在的危險作出較為準確的評估，以便為制定安全管理策略提供依據。 (5)制定策略 完成前面幾個步驟后，接著就根據經濟和技術實力確定一個相對滿意的安全策略。 (6)策略評估調整 在策略制定后，應評估其是否達到目標，以及當安全需求變化時作出適時的調整。 3．電子商務安全管理策略的基本內容 基于Internet的電子商務安全管理策略涵蓋范圍很廣，一個完整的電子商務安全管理策略一般都可以分為物理安全策略、網絡安全策略以及災難恢復策略等。 3．1物理安全策略 物理安全策略是整個電子商務安全管理策略的不可忽視的重要基礎。在基于Internet的電子商務整個交易過程中，對電子商務系統包含的相關物理設備有相當高的安全要求。影響電子商務系統安全的物理安全風險主要有自然災害風險、人為風險和硬件防護風險。相應的物理安全策略也圍繞上述三個物理安全風險展開。 (1)自然災害安全防范策略 主要包括防火、防水和防雷措施。設備所在場所應避免火災、水災的發生并采取相應的隔離措施以保證在意外火災、水災下的設備防護。另外，電子商務系統的設備主要由電路組成，因此制定全方位、安全靈活的防雷措6S顯得非常有必要。

(1)技術策略 ●安裝使用網絡安全檢測設備和相關軟件 借助一些專用的網絡安全監控設備和軟件，加強對各種不法行為的監控和防范。 ●加強網絡訪問控制 訪問控制是網絡安全防范和保護的主要策略。它包括入網訪問控制、網絡權限控制、網絡監測和鎖定控制等。 ●采用防火墻技術 防火墻用來檢查通過內部網和外部網間的信息往來，它可以鑒別網絡服務請求是否合法，以便采取響應或拒絕的措施。 ●數據加密 數據加密是采用一定的加密技術，以防在傳輸過程中數據一旦被截獲不致造成信息的泄露，其核心是加密的方式以及密鑰的分配和管理。 ●引入鑒別機制 鑒別是查明另外一個實體身份和特權的過程，以確定其合法性，并作出響應。 (2)管理策略 ●加強電子商務網絡系統的日常管理和維護 ●建立嚴格的保密制度 ●加強對管理人員監督和培訓，落實工作責任制 ●建立跟蹤、審計和稽核制度 ●完善病毒防范制度 ●建立健全相關法律法規制度 3．3災難恢復策略 對于電子商務系統來說，災難主要指意外的自然災害以及黑客攻擊等原因造成數據庫受到的破壞。災難恢復策略是為了在數據資源遭受破壞后迅速恢復系統功能，最大程度地保持數據資源的完整性，將損失降至最低。因此，災難恢復主要包括備份和恢復兩個環節。 (1)災難備份 ●確定備份方案 ●建立數據恢復中心 ●建立完善的備份制度 (2)數據恢復 ●評估數據損失情況 ●確定數據恢復方案 ●恢復數據 4．結論 對基于Internet的電子商務系統來說，一個完善的安全管理策略，能夠保障系統的正常運行；能夠有序地、經常地測試安全狀態；能夠對可能的安全風險有一個基本的評估；能夠在系統遭破壞后及時采取補救措施。 基于Internet的電子商務安全所面臨的威脅是多種多樣的，各種問題還會不斷出現，同樣，電子商務安全技術和安全協議也是不斷發展的，因此，電子商務安全管理策略需要電子商務理論界和實業界進一步研究和完善。 主要參考文獻 [1]甘早斌．電子商務概論(第二版)[M]．華中科技大學出版社，2003． [2]鐘誠．電子商務安全[M]．重慶；重慶大學出版社，2004．6． [3]唐華．電子商務安全策略[J]．湖南農業大學學報，2002，(6)． [4]易珊，張學哲．電子商務安全策略分析[J]．科技情報開發與經濟2004，(5)． [5]陳京東，陳國龍．電子商務安全策略的思考[J]．福建電腦，2003(4)．