电子商务安全管理制度

电子商务安全管理制度第1页，课件共64页，创作于2023年2月7.1电子商务系统的维护7.1.1电子商务系统运行管理7.1.2电子商务系统维护工作7.1.3系统运行状况分析

7.1.4电子商务系统的备份及恢复方法7.1.5电子商务系统的网络管理与维护7.1.6电子商务系统数据恢复7.1.7电子商务系统后台管理维护

第2页，课件共64页，创作于2023年2月7.1电子商务系统的维护从某种程度上讲，维护和管理一个电子商务系统要比建立一个电子商务系统难的多，因为建立网站只是一个开始，网站开始了运营就需要不断地维护和管理。每个比较大的网站都要有专门的管理员来完成每日的网站管理和维护工作。有关电子商务系统的维护，其内容主要包括电子商务系统运行管理、电子商务维护工作、信息系统运行情况的分析，电子商务系统的备份和恢复方法，电子商务系统的网络管理和维护，电子商务系统的后台管理与维护方法。第3页，课件共64页，创作于2023年2月7.1.1电子商务系统运行管理一个电子商务系统投入使用后，其主要工作就是管理工作。这里所说的管理工作，是指对电子商务系统本身的管理（即运行管理）。这里的管理主要是讲技术上的，而不是指一个信息中心或计算中心的行政管理。

所谓运行管理工作或维护工作就是对系统的运行进行控制，记录其运行状态，进行必要的修改与扩充，以便使系统真正发挥其作用。

从最广泛的意义上讲，任何机器设备及工具都有一个运行与维护的问题。然而，对于电子商务系统来说，这一工作尤其具有特殊的意义。因为一个大型软件，它具有“样品即产品”的特点，不能像其他产品—样，先制造一个模型式样品，在试用中发现问题，然后再生产正式的产品，它只能在运行中边用边改。第4页，课件共64页，创作于2023年2月7.1.1电子商务系统运行管理电子商务系统运行管理工作主要包括：（1）维护系统的日常运行

包括数据收集工作、数据整理工作、数据录入工作及运行的操作工作、处理结果的整理分发工作，此外还应包括系统的管理工作及有关的辅助工作（如硬件维护、机房管理、空调设备管理、用户服务及管理等等）。作为日常管理工作，系统管理工作并不等同于计算站或机房的工作，如果一个计算站同时有多个系统运行，则电子商务系统应该有自己独立的管理工作，应该与机房工作分开。如果计算站或机房专门为—个电子商务系统服务，那么机房的管理工作应该作为电子商务系统管理工作的一个组成部分来考虑。第5页，课件共64页，创作于2023年2月7.1.1电子商务系统运行管理（2）记录电子商务系统的运行情况

这是科学管理的基础。数据的情况、处理的效率、意外情况的发生及处理，这都必须及时地、确切地、完整地记录下来。否则，很难对电子商务系统功能进行评价与改进。（3）有计划地经常发布企业和商品信息

及时更换商品品种，去掉过期商品，商品价格变动时要及时在网上得以体现，有组织地对系统进行必要的改动，例如主页变更、软件工具升级等，以保证系统能正确地执行用户所要求的任务，同时适应不断变化的环境条件。（4）定期对系统数据进行备份

以便病毒或意外情况造成破坏时，可对系统数据进行恢复减少损失，保证系统连续运转和积累数据的连续性。第6页，课件共64页，创作于2023年2月7.1.1电子商务系统运行管理（5）定期或不定期地对系统的运行情况进行回顾与评价，这一工作也叫审计。一般说来，半年或一年总要进行一次，以便确定系统发展改进的方向。以上这些工作是由不同的人员来完成的，（1）（2）（4）项是属于具体的工作，它们分别由信息收集整理人员、系统操作人员完成。这些工作人员必须经过严格的训练，具有高度责任心，具有严肃的工作态度，具有科学处理问题的能力。操作人员应对系统所用的机器设备有深刻的了解。第3项应该是系统主管人员亲自掌握。对于数据库则要有数据库管理员，负责对数据库进行更新和修改。各级工作人员要积极努力工作，了解熟悉自己的工作，互相配合，密切协作。第7页，课件共64页，创作于2023年2月7.1.1电子商务系统运行管理记录的手段有两大类：手工记录和自动记录。手工记载方式实行起来比较方便易行，也不用增加多少费用开支和资源要求。然而，如果要求不严，制度不紧，就很容易流于形式，不能被严格执行，从而降低了记录数据的价值。用计算机来记载运行信息是比较可靠的，一般系统中有管理软件，其作用就是记载系统中发生的所有事件，例如，什么时候，哪个用户进入系统，他的用户名是什么，用哪一个帐号。网站上除了一般的全系统的管理软件之外，还可以根据用户管理系统来记录某一用户或某一文件的有关信息，如客户档案、顾客访问次数、购物情况、顾客反馈信息等等。利用这些信息除对系统内部运行情况进行分析外，更重要的是可对市场情况、销售情况进行分析、统计，作出销售、库存等报表和进行有关预测。第8页，课件共64页，创作于2023年2月7.1.2电子商务系统维护工作系统是一个整体，各部分、各种功能都是联系在一起的，牵一发而动全身。因此，对于系统的任何修改必须谨慎从事，必须把修改的批准权限掌握在对系统有全面了解，足以权衡利弊、能作出正确决断的人手中。与系统接触的所有人，包括用户、操作人员、数据整理人员、数据录人人员、数据收集人员，都可以根据自己所了解的情况，提出修改的建议和要求。然而如果所有这些人都直接去找程序员修改，而程序员根据所有这些要求去修改系统，那就会给系统带来极大的危害，系统很快就会因为各种互相矛盾的要求和互不一致的修改变得混乱不堪以致完全瘫痪。因此，必须按照下面的步骤，按照一定的手续来组织这种修改工作（见图7.1）第9页，课件共64页，创作于2023年2月7.1.2电子商务系统维护工作

图7.1修改网站的手续第10页，课件共64页，创作于2023年2月7.1.2电子商务系统维护工作（1）提出修改的要求可由接触系统的全体人员提出来，只是不能直接向程序员提出，必须以书面的形式向主管人员提出，说明要求修改的内容及原因。（2）由系统主管人员根据系统购情况（功能、目标、效率等）和工作的情况（人员、时间、经费等）来考虑这种修改是否必要、是否可行、是否迫切，从而作出答复：是立即修改，还是以后修改。（3）系统主管人员把修改要求汇集成批，指明修改的内容要求、期限。由于修改要求是不断提出的，所以，系统不能随提随改，必须有计划地一批一批地修改。一般都用版本编号的办法来加以控制。第11页，课件共64页，创作于2023年2月7.1.2电子商务系统维护工作（4）在指定的期限内，由系统主管人员验收程序员所修改的部分，并在一个统一的时间，把若干个新模块加人系统，以取代旧的模块，新的功能开始生效。（5）登记所作的修改，作为系统新的版本向用户及操作人员的报告，特别要指明新增加的功能和修改了的地方。由上面的步骤可以看出，系统修改的工作类似于新系统的研制工作，必须系统地去考虑及组织，当然，规模要小得多。第12页，课件共64页，创作于2023年2月7.1.2电子商务系统维护工作系统的修改建议可从以下不同的角度提出：（1）系统主管人员或上级审计人员经过审计发现问题，提出修改的要求；（2）操作人员在工作中发现错误及缺点，提出修改的要求；（3）环境变化与商品品种变化、价格变动等所提出的修改要求（包括社会条件的变化及机器硬软件配置的变化）。如前所述，这些改变可以归结为改错、改变及改进。改变的内容常见的有：（1）要求提高效率（速度或吞吐量）；（2）要求增加控制功能（如计算某种统计量）；（3）要求改变数据结构（如每项的行数、某项计算中的比例等）；（4）要求增加某些安全保密措施等等。第13页，课件共64页，创作于2023年2月7.1.3系统运行状况分析系统的运行分析与评价是在平时对系统进行认真科学管理工作的基础上，集中地对电子商务系统运行情况进行的分析。如果平时没有管理好，没有完整的运行记录、资料就无法进行这一工作。进行分析和评价工作的主要目的是：（1）检查系统是否达到了预期的目标，即对用户提出的要求满足了没有或者满足到什么程度，为用户提供服务的质量如何。（2）检查系统中各种资源的利用效率，包括计算机、网络设备、软件力量以及人力和信息资源。（3）系统改进和拓展的方向是什么。根据分析的结果，审计人员可以对系统的状况做出评价：是否对E-B

工作发挥了帮助的作用，有什么缺点或问题，应该从什么方面去改进，可以考虑进行哪一方面的功能扩展。第14页，课件共64页，创作于2023年2月7.1.4电子商务系统的备份及恢复方法电子商务系统及其数据的备份是非常重要的，尤其是对于大、中型电子商务系统。一些管理员往往嫌备份麻烦，常抱侥幸心理不进行备份操作，以致造成无法挽回的损失。这里介绍两种简便、可靠的电子商务系统及其数据的备份方法。1.手工按期备份这时可用磁带或移动硬盘进行人工备份，把备份的盘或磁带故在远离机房的一个铁皮柜中，这些盘可按一定周期进行更新。但如果系统有变动，则要保留，再备份时用新的磁盘或磁带。这些系统数据备份用系统出现故障时进行系统恢复或积累存放。这是企业的宝贵财富，如将来要作企业决策预测，这些数据便是数据仓库的宝贵信息源。第15页，课件共64页，创作于2023年2月7.1.4电子商务系统的备份及恢复方法2．系统自动备份下面根据有关资料介绍一种自动备份和恢复的方法。（1）增加程序：首先在电子商务系统程序中增加如下小程序：CloseallClearallCleardoformBack_upNameback_upLinkedwaittimeout1.5‘’xn-dow（date（））xcubn=”zxd”+”&xc”+”_bak”xdir=”D:\”+xsubnifdirectory（“&xdir”）rundeltreed：\&xsubnendifmdd:\&xsubnruncopye:\zxd\.d:\&xsubncde:\zxdreleaseback_upquit第16页，课件共64页，创作于2023年2月7.1.4电子商务系统的备份及恢复方法2．系统自动备份下面根据有关资料介绍一种自动备份和恢复的方法。（1）增加程序：首先在电子商务系统程序中增加如下小程序：CloseallClearallCleardoformBack_upNameback_upLinkedwaittimeout1.5‘’xn-dow（date（））xcubn=”zxd”+”&xc”+”_bak”xdir=”D:\”+xsubnifdirectory（“&xdir”）rundeltreed：\&xsubnendifmdd:\&xsubnruncopye:\zxd\.d:\&xsubncde:\zxdreleaseback_upQuit在上述程序中，zxd为电子商务系统子目录，整个电子商务系统放在e:\zxd目录下。第17页，课件共64页，创作于2023年2月7.1.4电子商务系统的备份及恢复方法（2）修改菜单：在程序菜单“系统维护”或类似菜单下增加一个子菜单项：“电子商务系统备份”。（3）编写批处理：在管理系统外，用MSDOS命令编写一个名为$retore.bat的系统恢复用批处理命令文件：@EchooffDeltreee:\zxdDird:\zxd?_bak@echoSelectachoice，please:Ifnoterrorlevel2Gotop1Ifnoterrorlevel2Gotop2……Ifnoterrorlevel2Gotop7Gotoend:p1xcopyd:\zxd1_bake;\zxd\/sGotoend:p2xcopyd:\zxd1_bake:\zxd\/sGotoend……:p7xcopyd:\zxd1_bake:\zxd\/s:end@Echoon第18页，课件共64页，创作于2023年2月7.1.4电子商务系统的备份及恢复方法把—上述文件存至e盘根目录下。在程序中设置在d盘上（d盘可以是逻辑盘、另一个物理盘或可读、写光盘）进行电子商务系统备份，并根据备份所在的星期（x），自动建立或重新建立名为zxdx_bak的电子商务系统备份目录。系统恢复采用MSDOS批命令文件主要是因为恢复文件脱离电子商务系统，可不受电子商务系统损坏的影响；亦可以不受Windows系统损坏的影响。（4）恢复：万一因操作不当或其他偶然因素导致电子商务系统损坏时，可以用上述方法随时对电子商务统进行恢复。恢复时可在Windows下双击$restore.bat文件名或在MSDOS状态下执行$restore.bat，即可实现电子商务系统的完全恢复。恢复时按提示删除有问题的电子商务系统，如昨天的备份无法恢复时可用前天的，前天的备份无法恢复时可用大前天的。这样，可以做到万元—失。需要注意的是，恢复后，要对所选用的电子商务系统备份目录的新增数据进行重新输入。如能在备份时，另外进行数据库的增量备份，则更为理想。第19页，课件共64页，创作于2023年2月7.1.5电子商务系统的网络管理与维护由于企业对作为重要资源的网络的高度依赖性，因而在网络的可用性、正常状态和高性能等方面对系统管理员提出了新的挑战。尤其是现在的网络一般都相当复杂，包括多种平台、操作系统、协议和体系结构。另外，网络管理员还会遇到需求之间的互相冲突。他们不但要保证网络性能，同时还要控制成本；他们在必须保证安全性并有效管理越来越复杂的环境可用性的同时，还要保证简单性和易用性。为了管理网络，网络管理员必须准确知道网络上的一切情况。这如何来实现呢？选择、安装网络管理软件便是网络管理员监视网络活动、控制设备运行并对网络上存在的问题及时作出反应的得力助手。那么，到底网络管理软件包含哪些功能？它应遵循什么样的标准？目前主要有哪些网络管理软件可供选择?用户在选择时应遵循什么样的原则呢?下面作以简单介绍。第20页，课件共64页，创作于2023年2月7.1.5电子商务系统的网络管理与维护1．网络管理按照国际标准化组织（ISO）的定义，网络管理是指规划、监督、控制网络资源的使用和网络的各种活动，以使网络的性能达到最优。网络管理的目的在于提供对计算机网络进行规划、设计、操作运行、管理、监视、分析、控制、评估和扩展的手段，从而合理地组织和利用系统资源，提供安全、可靠、有效和友好的服务。网络管理领域是随着通信和计算机技术的发展而发展，网络管理的技术也从最初的面向网络设备的管理演进到面向端到端的全面网络管理。第21页，课件共64页，创作于2023年2月7.1.5电子商务系统的网络管理与维护（1）网络管理的内容①网络资源的表示网络资源就是指网络中的硬件、软件以及所提供的服务等。网络管理系统必须将它们表示出来，才能对其进行管理。②网络管理信息的表示对网络的管理主要是通过传递网络管理信息来实现的。③网络管理的功能包括网络监控和控制台服务。其中，网络监控是所有网络操作的基础控制方法；控制台服务是指用户可以通过面向对象的GUI图形用户界面来管理任务和显示数据，通过控制台可以显示网络拓扑图、设置和网络设备的参数，定义各种请求和实施各种操作。第22页，课件共64页，创作于2023年2月7.1.5电子商务系统的网络管理与维护④软件资源管理和软件分发该功能是指优化管理信息的收集。软件资源管理是对企业所拥有的软件授权数量及安装地点进行管理。软件分发则是通过网络把新软件分发到各个站点并完成安装和配青工作。⑤应用管理应用管理用于测量和监督特定的应用软件及其对网络传输流量的影响。网络管理员通过应用管理可以跟踪网络用户和运行的应用软件，改善网络响应时间。第23页，课件共64页，创作于2023年2月7.1.5电子商务系统的网络管理与维护（2）网络管理的演进①面向网络设备的管理工具对一些关键网络设备的监视和控制，主要是为管理人员提供网络设备或资源的安装配置和监控手段，通常随网络硬件设备一起提供给用户。其主要缺点是只支持特定厂商的设备或资源，不同的管理工具之间很难集成，容易存在管理死区，一般无法承担对整个网络的管理任务，因此也就出现了网络管理平台。②网络管理平台是一个基于标推网管协议的公共管理平台，它能够自动生成网络拓扑固、提供网络事件报警等管理功能。其主要的特点是可集成第三方厂商的网络设备管理软件。它的主要缺点是平台本身提供的功能十分有限，不能提供系统管理、应用管理及资源管理等功能。对OSI七层模型来讲，它们将提供下三层的完整解决方案，而对于上四层，尤其是应用层支持不够。一般情况下，是采用网络管理平台和网络设备管理软件相结合的方式。第24页，课件共64页，创作于2023年2月7.1.5电子商务系统的网络管理与维护③端到端的全面的网络管理其主要特点是在一个开放的网络管理平台上更加关注系统管理、应用管理等功能，对于OSI七层模型来讲，它将提供一至七层的全面解决方案。

（3）网络管理的功能要求网络管理的功能划分为以下五类：①故障管理检测、定位和排除网络硬件和软件中的故障。当出现故障时，该功能确认故障并记录故障，找出故障的位置并尽可能排除这些故障。第25页，课件共64页，创作于2023年2月7.1.5电子商务系统的网络管理与维护②配置管理掌握和控制网络的状态．包括网络内各个设备的状态及其连接关系。配置管理的典型方法是用逻辑图来描绘所有的网络设备及其逻辑关系，并将网络的确切物理布局以适当的比例映射到这个逻辑图上。用精心设计的各种国标来表示各种网络对象，而这些图标又往往涂上不同颜色表示相应设备的不同状态。③账务管理度量各个用户和应用程序对网络资源的使用情况。账务管理提供计其一个特定网络或网段的运行成本的手段。④性能管理主要考察网络运行的好坏。性能管理使网络管理员能够监视网络运行的参数，如吞吐量、响应时间、网络的可用性等。⑤安全管理是对网络资源及其重要信息访问的约束和控制，包括验证网络用户的访问权限和优先级、检测和记录未授权用户企图进行的不应有的操作。第26页，课件共64页，创作于2023年2月7.1.5电子商务系统的网络管理与维护2．网络管理标准

尽管网络管理标准的制定起步很晚，但目前还是产生了不少网络管理国际标准。其中简单网络管理协议（SNMP）算是最著名和应用最广的网络管理标准。SNMP以简单和实用见长，其第一个版本（SNMPVl）非常成功。

（1）简单网络管理协议简单网络管理协议是一个应用层协议，用于在网络设备之间交换管理信息。它是TCP/IP套件的一部分。SNMP使网络管理员能够管理网络，发现并解决网络问题，规划网络的发展。SNMP仅仅需要TCP/IP提供无连接的数据传输服务，所以SNMP容易应用到其他网络上，如OSI网络。第27页，课件共64页，创作于2023年2月7.1.5电子商务系统的网络管理与维护（2）远程监控（RMON）RMON是严格标准监控规范，它可以使这种网络监控器和控制台系统之间交换网络监控数。RMON是在互联网工程任务组（IETF）的帮助下，由用户组织定义的。它在1992年成为推荐标难，即RFCl27l，并在1995年成为草案标准，即RFC1757，同时废除了RFCl271。RMON的目的在于更为有效、更为积极主动地监控远程设备。它是由RMON探测器和RMON控制台管理器结合在一起在网络环境中实施。RMON的监控功能是否有效，关键在于其探测器要具有存储历史统计数据的能力、这样就不需要不停地轮询才能生成—个有关网络运行状况趋势的视图。RMON探测器能够根据用户定义的参数来捕获特定类型的数据。当一个探测器发现一个网段处于一种不正常状态时，它会主动与在中心的控制台管理器联系，并将描述不正常状况的捕获信息转发。第28页，课件共64页，创作于2023年2月7.1.5电子商务系统的网络管理与维护（3）公共管理信息协议（CMIP）CMIP为运行在OSI协议集上的开放系统提供—个网络管理框架CMIP是一个完全面向对象的模型，采用分布式、等级制的对象结构、采用面向连接、可靠的传输服务。具体系结构内四个主要部分组成，它们结合作一起提供非常全面的网络管理方案。该体系结构包括—个信息模型、一个组织模型、一个通信模型和一个功能供型，提供丰富的服务。第29页，课件共64页，创作于2023年2月7.1.5电子商务系统的网络管理与维护3．选择网络管理软件的标准网络一旦出现重大故障，所造成的损失是无法用金钱来计算的。网络管理做得好，企业则可以确保生产和业务不中断；有助于提高工作效率和企业的竞争力；可以确保网络的规模随业务的扩展而扩大；可以确保企业数据的安全和一致性；降低网络维护成本。第30页，课件共64页，创作于2023年2月7.1.6电子商务系统数据恢复随着企业和电子商务数据规模的增加，数据丢失所造成的损失越来越严重。没有哪种方式能保证数据永不丢失。企业时刻会面临损失的威胁。数据备份和数据恢复是两种有效的保护措施，但这两者又有所不同。数据备份是备份主设备的系统信息和数据信息，万一发生意外，可以用备份的数据尽快恢复系统的运行。而数据恢复则是在意外发生之后，把数据从存储介质中捡回来。下边介绍—种数据恢复的工具——FinalData。冠群联想的FinalData是一种简单易用的灾难数据恢复工具，它可将数据从可写存储器（如磁存储介质）中恢复。在多数情况下，用户看到的数据丢失只是意味着从操作系统中读取数据所需要的信息被损坏，而数据仍然存储在数据存储区。FinalData能够直接查询数据存储区，从而挽救“丢失的数据”。第31页，课件共64页，创作于2023年2月7.1.7电子商务系统后台管理维护管理员根据系统开发商提供的后台目录，进入后台登录页面，然后再按照开发商提供的用户名和密码进行登录，登录成功后就能进入到后台管理页面。此时就能看到该页面的导航条中提供如下的一系列后台管理：BtoC管理、BtoB管理、交易市场管理、新闻管理、修改管理员密码等。第32页，课件共64页，创作于2023年2月7.2人员管理制度7.2.1人员管理的工作流程7.2.2人员管理的内容7.2.3电子商务人员管理的有关制度

7.2.4电子商务员工薪管理

第33页，课件共64页，创作于2023年2月7.2人员管理制度参与网上交易的经营管理人员在很大程度上支配着企业的命运，他们面临着防范严重的网络犯罪的任务。而计算机网络犯罪同一般犯罪不同的是，他们具有智能型、隐蔽性、连续性、高效性的特点，因而，加强对有关人员的管理变得十分重要。人员管理的目的有两个，一个是防上非法用户进入系统引起数据的泄密、破坏、另一个是根据工作人员的职责范围，控制其在系统中的操作范围。人员管理主要是系统管理者的任务，这个管理者要为每个系统操作者建立记录、设置密码，以防止非法用户进入系统，并要对每种工作授权，确定某种工作可以进入哪些工作模块。在系统中建立了记录的操作人员，可凭正确的口令进入系统，并进行工作权限内的工作。第34页，课件共64页，创作于2023年2月7.2.1人员管理的工作流程人员管理的工作流程图如图7-2所示。人员管理的主要工作是围绕着“工作人中数据库”和“工作权限数据库”进行的.管理者通过对这两个数据库的操作（增加、删除、修改）完成了人员管理中为操作者建立记录、设置口令及授予权限两大任务。操作者在进入系统工作时，要校验姓名汉语拼音缩写与口令，建立起权限之内的工作范围，都必须检索这两个数据库。操作者进入系统以后，要进入任何模块工作都会被自动校验权限。第35页，课件共64页，创作于2023年2月7.2.1人员管理的工作流程1.关于两个数据库的解释

“工作人员数据库”的结构和工作权限数据库如表1所示。表中每条记录是一位工作人员的情况，其中的“汉字拼音”项为单值，作为主码。口令也是单值的。

表7-1

姓名

工作

任本工作时间

口令

工作名称

工作权限代码蔡小明DBA2008.08abcde系统维护 …………黄磊

出纳2008.09fgjkem财务管理…………………………

第36页，课件共64页，创作于2023年2月7.2.1人员管理的工作流程2.数据的完整性、保密性在建立的“工作人员数据库”中，如果某一位工作人员的工作是“会计2”而在“工作限数据库”内没有此项工作的记录。那么这位工作人员就不能顺利地进入系统工作。这是由于数据不完整造成的错误。为防止此类数据不完整，在以屏幕操作方式进行数据库的增、删、改操作时，辅以必的提示，减少出错次数。另外，对于输入的数据进行必要的检验，彻底避免数据不完整等错误。第37页，课件共64页，创作于2023年2月7.2.1人员管理的工作流程3.人员管理数据的应用及用户友好工作人员进入系统时要校验口令进入某工作模块时要校验权限这就存在着一个使用方便及用户友好的问题。（1）进人系统工作人员进入系统操作时，要校验汉字姓名拼音缩写和口令。首先提示输入汉字姓名拼音缩写，为防止误操作，给予最多三次的输入机会。通过后，提示输入口令，对于误操作，同样也是给予最多三次输入机会。如没有通过，则自动返回到DOS状态。如果某工作人员进入了系统，系统根据其工作，自动映射出其相应的工作区域。第38页，课件共64页，创作于2023年2月7.2.1人员管理的工作流程（2）工作权限的自动校验工作人员要进入某专门模块操作，系统将自动校验权限，控制通行.如果要进入的工作模块是权限之内有，可顺利进入;否则，系统不作反应，工作人员可转而进入其它模块工作。第39页，课件共64页，创作于2023年2月7.2.1人员管理的工作流程图7-2人员管理的工作流程第40页，课件共64页，创作于2023年2月7.2.2人员管理的内容1.对有关人员进行上岗培训人员的培训分为普通操作人员的培训和管理人员的培训。针对人员分工不同，其培训管理制度亦不同。对于普通操作人员，其培训和管理制度要素有：（1）指定计算机或终端操作；（2）程序员、系统管理员、操作员岗位分离；（3）系统运行的机器上作与工作无关的操作；（4）不越权运行程序，不查阅无关参数；（5）操作异常，立即报告。第41页，课件共64页，创作于2023年2月7.2.2人员管理的内容2.对电子商务人员的控制和管理对人员的控制和管理是安全防护的重要环节。除加强法制建设，通过法律制裁形成一种威慑，并通过伦理道德教育，提高整体素质外，还应采取科学的管理措施，减少作案的机会，减少犯罪，以获得安全的环境。（1）落实工作责任制对违反网上交易安全规定的行为应坚决进行打击，对有关人员要进行及时的处理。（2）安全授权计算机网络必须设立网络安全管理机构，网络安全管理机构设置网络安全管理员，如需要还可设立分级网络管理机构和相应的网络管理员。此外，还应建立、健全岗位责任制，指定不同的管理员在岗位上可能处理的最高密级信息，即安全授权。第42页，课件共64页，创作于2023年2月7.2.2人员管理的内容（3）安全审查在工作人员获准接触、保管机密信息前，必须对他们进行安全审查。对新职工按照本人申请表中的个人历史逐一审查，必要时要亲自会见证明人，对以前的经历和人品进行确认。除新职工外，对在职人员也要定期审查。当某工作人员婚姻状况发生变化，或被怀疑违反了安全规则，或是对其可靠性产生怀疑时，都要重新审查。安全警卫员应具有所保卫的重要机房最高密级的授权，应按此标准挑选、审查。对清洁工也要和工作人员一样进行审查，未经严格审查的清洁工在处理保密信息的重要机房工作时，应自始至终处于工作人员的监视之下。第43页，课件共64页，创作于2023年2月7.2.2人员管理的内容（4）调离交接一旦重要机房的工作人员辞职或调离，应立即取消他出入安全区、接触保密信息的授权。应给调离人员一份书面要求，告之他有义务对工作期间接触的涉密信息继续保密，否则将受到行政或刑事处罚。必要时调离人员应签字，说明已接受并对今后的行为负责。调离人员办理手续前，应交回所有的证章、通行证、钥匙、手册、资料等。调离人员走后，所有他接触过、使用过的访问控制物品必须更换或处理。第44页，课件共64页，创作于2023年2月7.2.2人员管理的内容（5）安全教育必须定期对工作人员进行安全教育，包括听讲座，观看影片、录相资料，学习信息安全材料带。以此提高工作人员的信息安全防护意识。要求工作人员随时注意计算机网络安全运行情况。一旦发现从直接上级处接受到违反网络安全规定的指示或观察到其它工作人员违反安全规定的可疑行为时，应立即向安全负责人报告。同时要求任何工作人员不得将网络机房的保密资料带回家中，确有必要带出，必须经负责人批准并备案。第45页，课件共64页，创作于2023年2月7.2.2人员管理的内容3.贯彻网上交易安全运作基本原则包括双人负责原则，重要业务不要安排一个人单独管理，实行两人或多人相互制约的机制；任期有限原则，任何人不得长期担任与交易安全有关的职务；最小权限原则，明确规定只有网络管理员才可进行物理访问，只有网络管理员才可进行软件安装工作。第46页，课件共64页，创作于2023年2月7.2.3电子商务人员管理的有关制度（1）用工制度电子商务人员构成和结构决定了电子商务的用工制度不宜采取终身制，而应当是向职工聘任制发展。所谓聘任制，即在企业和员工双方自愿的基础上，通过合同这种契约形式，确认企业和员工的劳动关系。其中，合同必须明确规定双方的责、权、利，以及期限。聘任制的特点：既可以保证合同期内企业和受聘者个人的工作稳定性，又有助于人才的合理流动，给企业和员工双方留有很大的空间。在电子商务实际运作中，聘任制的确定不能整齐划一。一般而论，企业的聘任制度乐有高市场化和低市场化制度以及介于两者之间的制度。高市场化制度就是短期雇佣制度，低市场化制度就是长期雇佣制度。对于关系到企业核心能力的关键员工，可以采纳低市场化制度，聘任期尽量可能长些。对于一般岗位的员工，可采纳介于两者之间的制度，其雇佣期可稍短一些。对于各种临时员工，可采纳高市场化制服。第47页，课件共64页，创作于2023年2月7.2.3电子商务人员管理的有关制度（2）虚拟员工行为规范电子商务几乎都是远距离条件下的协同合作，我们称之为虚拟团队的工作方式。在虚拟团队里，团队成员无论从地域还是从组织的角度而言，都是分散的，他们之间的交流是通过电子交流系统来实现的。为了进行新型的行之有效的交流，需要建立虚拟团队行为规范，并最终形成一套固定的电子商务文化和价值观。电子商务的虚拟员工行为规范可以分为两个方面：虚拟合作行为规范和虚拟社会化行为规范。前者是面向任务的，它主要是对电子商务各部门、团队以及员工在完成某一任务时的合作行为进行规范，如信任机制规范、交流技能规范、工作日志归档规范等。后者则是面向整个企业的，它将企业视为一个虚拟社区，其主要目的就是建立一个共同遵守的社会化行为规范，以期形成一套固定的电子商务文化和价值观。第48页，课件共64页，创作于2023年2月7.2.3电子商务人员管理的有关制度（3）评估制度由于绩效评估的对象、目的和范围复杂多样，因此企业绩效评估的内容也比较复杂，主要包括德、能、勤、绩四个方面的内容。因此，电子商务的评估制度是对员工的德、能、勤、绩四个方面进行评价和测定的检验制度。其目的在于通过绩效评定，全面了解员工的思想品德、业务水平、创新能力、工作态度、业绩大小等情况，为员工的使用、培养、晋升、奖惩等方面提供依据，从而做到知人善任、晋升有据、报酬合理，以调动员工的积极性和创造性。为此，企业在电子商务运作中必须根据企业战略目标、员工的文化背景建立完善的绩效评估体系。第49页，课件共64页，创作于2023年2月7.2.4电子商务员工薪管理报酬是员工在为企业提供劳动的过程中，可以从企业得到的满足。这里的满足包括物质和精神两方面。与之相对应，企业可以提供给员工的报酬就包括内在报酬和外在报酬两大部分。体现为企业经营成本的主要是外在物质报酬，它的内容包括基本工资，奖金、津贴等部分。内在的报酬包括更大的工作权限和自由度、参与决策等方面。在传统企业中比较流行的是绩效报酬制度，即将员工的报酬同他们的工作业绩挂钩，多以外在报酬为主。在电子商务时代，企业的报酬制度建设有了很大的发展。具体表现为：报酬类型的多样化和付酬方案的高级化、公平化。此外，由于电子商务运作中的员工可以来自不同的地域，因此企业在制定薪酬制度时，必须考虑到员工当地劳动力市场的工资行为、有关的劳动报酬方面的法规和当地的文化倾向，企业要针对不同的员工给出不同的薪酬制度。第50页，课件共64页，创作于2023年2月7.3保密制度7.3.1健全安全管理机制7.3.2加强信息安全法规建设7.3.3采用访问控制策略

7.3.4采用数字签名技术7.3.5采用反病毒技术7.3.6采用身份鉴别技术7.3.7利用防火墙技术7.3.8采用视频干扰、屏蔽和Tempest技术

第51页，课件共64页，创作于2023年2月7.3保密制度保密性是指商业信息在传输过程或存储中不被泄漏.通过对相应的信息进行加密来保证用户信息不被盗取.通过在必要的结点设置防火墙可以防止非法用户对网络资源的的存取.随着计算机、网络技术及通信技术的发展，人们在网络世界享受着技术变迁带来的便利的同时也面临着很多机密信息被泄流的威胁，尤其在电子商务交易中，卖家与卖家的交易均通过网络得以实现，信息流、资金流、商流等信息的传递的安全性问题就成为电子商务世界里受关注的问题。在网络上进行电子交易，安全是最重要的问题，整个电子交易的安全性决定了这个系统的成败。电子商务安全服务是通过安全机制来实现的，电子商务的安全机制是关于电子安全的一个完整的逻辑结构。第52页，课件共64页，创作于2023年2月7.3.1健全安全管理机制机制是以制度为载体存在的，规章制度必须有效地运作，才能称得上机制。网络信息安全管理机制主要有：资源管理、鉴别管理、运行监视、访问控制管理、密钥管理等。每一环节都必须按管理制度办事。要加强在职人员的安全教育，确定管理目标和责任，坚持职责分工原则，切实执行各项有关的安全管理制度。为了保证信息安全管理的实施，必须在各个层次，建立相应的具有权威的安全工作机制，做到有章可循，事有人管。由于电子商务最终要涉及客户机向商务服务器发出订单信息和结算信息，而商务服务器则要向认证机构认证并向客户机返回订单确认信息。如果信息中途被任何人改变，都会给买卖双方带来灾难性的后果，因此保证交易的完整性是极为重要的。第53页，课件共64页，创作于2023年2月7.3.2加强信息安全法规建设在法律上加强电子商务安全管理通过健全法律制度和完善法律体系来保证合法网上交易的权益，对破坏合法网上交易权益的行为进行立法严惩。为适应信息化发展的进程，要及时建立并不断完善各种信息安全保密的法规、制度，坚持依法管理网络信息。信息安全保密法律规范应建立在安全技术标准和实际应用的基础之上。它具有宏观性、科学性、严密性和稳定性，必须明确信息主体、用户和其他有关实体的权利和职责，安全保密监察管理部门的权利和职责。信息由形成、保管、使用全过程必须规定严格的制度，认真落实。对奖励与处罚，违法与犯罪的惩治等都应有明确的规定。由于信息安全保密是一项技术性极强的工作，相关的技术法规也须制定和完善。总之，要以法律形式来保证信息的完整、准确、及时和保密。任何违反法规的行为都必须追究法律责任。第54页，课件共64页，创作于2023年2月7.3.3采用访问控制策略访问控制的主要任务是保证网络资源不被非法使用和非常访问。访问控制是保证网络安全最重要的核心策略之一。访问控制策略包括入网访问控制策略、操作权限控制策略、目录安全控制策略、属性安全控制策略、网络服务器安全控制策略、网络监测和锁定控制策略及网络终端及节点安全控制策略等七个方面的内容。1．入网访问控制入网访问控制为网络访问提供了第一层访问控制。用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。第55页，课件共64页，创作于2023年2月7.3.3采用访问控制策略2．网络的权限控制网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽（IRM）可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。第56页，课件共64页，创作于2023年2月7.3.3采用访问控制策略3．目录级安全控制网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有8种：系统管理员权限（Supervisor）、读权限（Read）、写权限（Write）、创建权限（Create）、删除权限（Erase）、修改权限（Modify）、文件查找权限（FileScan）、存取控制权限（AccessControl）。用户对文件或目标的有效权限取决于以下几个因素：用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权