中小電子商務企業的安全措施

張家口教育學院 孫焱 張海濤

金融風暴席卷全球，企業破產、銀行倒閉，傳統的商業模式備受打擊，然而全球電子商務正以前所未有的速度迅猛發展，成為各國增強經濟競爭實力的有效手段。我國中小企業也充分利用電子商務這個有效工具，主動出擊國際市場，謀求更大的生存空間。在電子商務欣欣向榮的發展前景下，我們也充分意識到電子商務的發展越來越受到信息安全的制約，特別是中小電子商務企業的安全問題更亟待解決。

1 當前中小電子商務企業主要存在的安全問題

電子商務是一種基于互聯網上的交易活動，與傳統交易活動有很大的不同。它將傳統的商務流程電子化、數字化，突破了時間和空間的限制，使得企業有效地降低了成本。同時，特別是中小企業也可以擁有和大企業一樣的信息資源，有力的提高了中小企業的競爭能力。盡管大多中小電子商務企業都處于剛剛起步階段，但他們已從電子商務中獲益匪淺，可是由于電子商務網站所具有的開放性，很容易受到攻擊，安全問題成為這些中小電子商務企業發展的瓶頸。目前中小電子商務企業安全問題主要有：

1.1 安全意識淡薄

由于許多中小電子商務企業剛剛起步，自認為企業規模不大，對市場影響較小，不會引起惡意攻擊而心存僥幸，所以總是在受到攻擊后才會想到加強網站安全。還有的企業缺乏對安全技術的了解，認為只要安裝了各類安全產品，就能完全保障網站的安全。

1.2 內部網絡用戶的安全威脅

目前來自于企業內部網絡用戶的安全威脅已經成為企業最大的威脅。例如企業內部員工疏忽或是有意泄露密碼，使得入侵者可以毫不費力的竊取、篡改企業的客戶資料等內部機密；企業員工私自安裝游戲、非法軟件、訪問不安全網站等引發惡意程序；內部用戶對機密數據的非法操作等，這些都足以對企業的網站安全引發致命的危機。

1.3 漏洞和病毒

漏洞是在軟件系統具體實現和具體使用中產生的錯誤，目前絕大多數操作系統和應用軟件都存在漏洞，而黑客會有意利用其中的漏洞，威脅企業網站的安全，造成巨大的損失。

病毒是帶有惡意破壞的可執行程序。在互聯網上病毒無處不在，一旦感染了惡意病毒，就會破壞系統或數據，造成網站癱瘓。

1.4 數據庫的不安全性

電子商務企業的數據庫是很多黑客和不法分子攻擊的重點，因為它們能給攻擊者帶來許多可用于獲利的原始數據。攻擊者使用篡改、刪除、插入等手段對數據文件進行攻擊，以破壞數據的準確性和完整性。此外，還可以偽造電子文件，假冒他人身份消費、栽贓、抵賴已做過的交易等行為，直接破壞了電子商務交易的安全。

2 解決中小電子商務企業安全問題的措施

保證中小電子商務企業的信息安全要從管理和技術兩大方面入手。企業要樹立安全意識，充分利用各種先進的技術，在攻擊者和受保護的資源間建立多道嚴密的安全防線，增加惡意攻擊的難度。具體的措施為：

2.1 加強安全管理

安全管理就是通過一些管理手段來達到保護企業信息安全的目的。它包括人員的安全意識的教育與培訓以及安全管理制度的制定、實施和監督。中小電子商務企業安全管理的重點首先放在加強工作人員的保密觀念，不要將密碼泄露或是將企業的機密隨意拷貝、發布，不訪問非法網站，不輕易下載和安裝程序；其次，要對工作人員進行業務培訓，提高操作水平，防止誤操作對企業造成的損失。最后，要制定嚴格的安全管理制度。安全管理制度可以從系統數據資源的安全保護、網絡硬件設備及機房環境的安全運行、網絡病毒的防治管理以及上網信息安全及電子郵件收發等方面進行制定。

2.2 系統平臺的安全

系統操作平臺是電子商務企業用于實現電子商務的基本架構，成功的電子商務要求基礎設施安全可靠、可擴展及靈活性強。因此，首先要選擇安全性高的操作系統。在安裝操作系統時，要做好安全配置，及時安裝補丁程序，減少漏洞。其次，定期對系統進行漏洞掃描。漏洞掃描系統是用來自動檢測遠程或本地主機安全漏洞的程序。定期對系統的安全漏洞進行掃描可以在第一時間發現安全問題，主動完成有效防護。最后，安裝防病毒軟件。電子商務企業安裝防病毒軟件要從兩個方面著手：不僅要在服務器上安裝防病毒系統，實現對病毒的檢測、清除，提高主機免疫和對抗能力，同時還要安裝網絡防病毒產品。因為，主機防病毒產品只能對單一主機進行保護，而網絡防病毒產品可以起到對外部網絡中病毒進行隔離的作用，可以防止病毒通過郵件等方式從互聯網進入企業內部網。

2.3 內部網絡用戶的分級管理

對于從內部網絡用戶所引起的安全威脅最好采用分級制管理手段。分級制管理是用戶進入系統時必須提供用戶名和口令進行身份驗證。通過身份驗證后，根據用戶的身份決定用戶是否能夠訪問那些系統資源。也就是將企業內部員工按照其工作需求劃分成不同的用戶身份，針對不同的用戶身份來限制用戶對某些信息的訪問，例如銷售人員只可以查看銷售記錄，不能對銷售記錄進行修改、刪除和復制等操作。

2.4 防火墻

防火墻將企業內部網與互聯網有效的隔開，能對企業的內部網起到很好的保護作用。防火墻是一種用來保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包,按照一定的安全策略來實施檢查,決定網絡之間通信的權限,并監視網絡的運行狀態。如我們不允許外部網用戶訪問內部網的服務器，就可以在防火墻安全策略中加入一條，禁止所有外部網用戶到內部網的服務器的連接請求。通過制定這樣的安全策略，就可以保護企業內部網不受到一些已知的安全威脅。

2.5 入侵檢測

設立防火墻后，仍然有些攻擊可以繞過或透過防火墻，作為對防火墻的有益補充，可以在防火墻上聯合部署入侵檢測系統。入侵檢測系統是一種對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。該系統處于防火墻之后,可以和防火墻及路由器配合工作，它能夠對網絡上的信息進行快速分析，當企業的服務器正受到攻擊時，可以向系統管理員報告或是字段阻斷連接，防止攻擊的進一步發生。

2.6 數據備份及災難恢復

要知道任何的安全防御都不是萬能的，對于重要的數據必須要及時備份，這樣才能在發生系統硬件故障、人為失誤、入侵者非授權訪問或對網絡攻擊破壞數據完整時起到保護作用，將損失降到最低。

對于廣大中小型電子商務企業來說，保障網絡系統的順利運行，是其最為關心的問題。有效地網絡備份能為企業解決這個問題。所謂網絡備份是指在分布式網絡環境下，通過專業的數據存儲管理軟件，結合相應的硬件和存儲設備，對網絡的數據備份進行集中管理，從而實現自動化的備份，文件歸檔，數據分級存儲及災難恢復等。企業要想通過網絡進行數據備份，需要購買專業的備份軟件，因為一個專業的備份軟件配合高性能的備份設備，能夠使損壞的系統迅速起死回生。備份設備的選擇考慮到中小型電子商務企業需要大量的數據備份和其經濟能力建議采用磁帶機。其優勢為：容量大并可靈活配置、速度相對適中、介質保存長久、存儲時間超過30年、成本較低、數據安全性高、可實現無人操作的自動備份等。

要想切實解決中小電子商務企業的安全問題，必須要綜合運用這些安全措施，因為電子商務安全是一個復雜系統工程，不僅涉及到安全技術的不斷提高，還需要企業加強安全管理，更需要完善電子商務方面的立法。相信隨著我國對電子商務重視程度的加深，立法的不斷完善，將會構造一個良好的電子商務環境，使得我國電子商務走上快速健康發展的道路，讓更多的中小企業從中獲益。

[1]楊義先等.網絡信息安全與保密[M].北京郵電學院出版社,2001.

[2]戴銀華.網絡安全綜合評價技術研究[D].天津大學,2008.

[3]石志國等.計算機網絡安全教程[M].北京交通大學出版社,2004.