中小電子商務(wù)企業(yè)的安全措施

張家口教育學(xué)院 孫焱 張海濤

金融風暴席卷全球，企業(yè)破產(chǎn)、銀行倒閉，傳統(tǒng)的商業(yè)模式備受打擊，然而全球電子商務(wù)正以前所未有的速度迅猛發(fā)展，成為各國增強經(jīng)濟競爭實力的有效手段。我國中小企業(yè)也充分利用電子商務(wù)這個有效工具，主動出擊國際市場，謀求更大的生存空間。在電子商務(wù)欣欣向榮的發(fā)展前景下，我們也充分意識到電子商務(wù)的發(fā)展越來越受到信息安全的制約，特別是中小電子商務(wù)企業(yè)的安全問題更亟待解決。

1 當前中小電子商務(wù)企業(yè)主要存在的安全問題

電子商務(wù)是一種基于互聯(lián)網(wǎng)上的交易活動，與傳統(tǒng)交易活動有很大的不同。它將傳統(tǒng)的商務(wù)流程電子化、數(shù)字化，突破了時間和空間的限制，使得企業(yè)有效地降低了成本。同時，特別是中小企業(yè)也可以擁有和大企業(yè)一樣的信息資源，有力的提高了中小企業(yè)的競爭能力。盡管大多中小電子商務(wù)企業(yè)都處于剛剛起步階段，但他們已從電子商務(wù)中獲益匪淺，可是由于電子商務(wù)網(wǎng)站所具有的開放性，很容易受到攻擊，安全問題成為這些中小電子商務(wù)企業(yè)發(fā)展的瓶頸。目前中小電子商務(wù)企業(yè)安全問題主要有：

1.1 安全意識淡薄

由于許多中小電子商務(wù)企業(yè)剛剛起步，自認為企業(yè)規(guī)模不大，對市場影響較小，不會引起惡意攻擊而心存僥幸，所以總是在受到攻擊后才會想到加強網(wǎng)站安全。還有的企業(yè)缺乏對安全技術(shù)的了解，認為只要安裝了各類安全產(chǎn)品，就能完全保障網(wǎng)站的安全。

1.2 內(nèi)部網(wǎng)絡(luò)用戶的安全威脅

目前來自于企業(yè)內(nèi)部網(wǎng)絡(luò)用戶的安全威脅已經(jīng)成為企業(yè)最大的威脅。例如企業(yè)內(nèi)部員工疏忽或是有意泄露密碼，使得入侵者可以毫不費力的竊取、篡改企業(yè)的客戶資料等內(nèi)部機密；企業(yè)員工私自安裝游戲、非法軟件、訪問不安全網(wǎng)站等引發(fā)惡意程序；內(nèi)部用戶對機密數(shù)據(jù)的非法操作等，這些都足以對企業(yè)的網(wǎng)站安全引發(fā)致命的危機。

1.3 漏洞和病毒

漏洞是在軟件系統(tǒng)具體實現(xiàn)和具體使用中產(chǎn)生的錯誤，目前絕大多數(shù)操作系統(tǒng)和應(yīng)用軟件都存在漏洞，而黑客會有意利用其中的漏洞，威脅企業(yè)網(wǎng)站的安全，造成巨大的損失。

病毒是帶有惡意破壞的可執(zhí)行程序。在互聯(lián)網(wǎng)上病毒無處不在，一旦感染了惡意病毒，就會破壞系統(tǒng)或數(shù)據(jù)，造成網(wǎng)站癱瘓。

1.4 數(shù)據(jù)庫的不安全性

電子商務(wù)企業(yè)的數(shù)據(jù)庫是很多黑客和不法分子攻擊的重點，因為它們能給攻擊者帶來許多可用于獲利的原始數(shù)據(jù)。攻擊者使用篡改、刪除、插入等手段對數(shù)據(jù)文件進行攻擊，以破壞數(shù)據(jù)的準確性和完整性。此外，還可以偽造電子文件，假冒他人身份消費、栽贓、抵賴已做過的交易等行為，直接破壞了電子商務(wù)交易的安全。

2 解決中小電子商務(wù)企業(yè)安全問題的措施

保證中小電子商務(wù)企業(yè)的信息安全要從管理和技術(shù)兩大方面入手。企業(yè)要樹立安全意識，充分利用各種先進的技術(shù)，在攻擊者和受保護的資源間建立多道嚴密的安全防線，增加惡意攻擊的難度。具體的措施為：

2.1 加強安全管理

安全管理就是通過一些管理手段來達到保護企業(yè)信息安全的目的。它包括人員的安全意識的教育與培訓(xùn)以及安全管理制度的制定、實施和監(jiān)督。中小電子商務(wù)企業(yè)安全管理的重點首先放在加強工作人員的保密觀念，不要將密碼泄露或是將企業(yè)的機密隨意拷貝、發(fā)布，不訪問非法網(wǎng)站，不輕易下載和安裝程序；其次，要對工作人員進行業(yè)務(wù)培訓(xùn)，提高操作水平，防止誤操作對企業(yè)造成的損失。最后，要制定嚴格的安全管理制度。安全管理制度可以從系統(tǒng)數(shù)據(jù)資源的安全保護、網(wǎng)絡(luò)硬件設(shè)備及機房環(huán)境的安全運行、網(wǎng)絡(luò)病毒的防治管理以及上網(wǎng)信息安全及電子郵件收發(fā)等方面進行制定。

2.2 系統(tǒng)平臺的安全

系統(tǒng)操作平臺是電子商務(wù)企業(yè)用于實現(xiàn)電子商務(wù)的基本架構(gòu)，成功的電子商務(wù)要求基礎(chǔ)設(shè)施安全可靠、可擴展及靈活性強。因此，首先要選擇安全性高的操作系統(tǒng)。在安裝操作系統(tǒng)時，要做好安全配置，及時安裝補丁程序，減少漏洞。其次，定期對系統(tǒng)進行漏洞掃描。漏洞掃描系統(tǒng)是用來自動檢測遠程或本地主機安全漏洞的程序。定期對系統(tǒng)的安全漏洞進行掃描可以在第一時間發(fā)現(xiàn)安全問題，主動完成有效防護。最后，安裝防病毒軟件。電子商務(wù)企業(yè)安裝防病毒軟件要從兩個方面著手：不僅要在服務(wù)器上安裝防病毒系統(tǒng)，實現(xiàn)對病毒的檢測、清除，提高主機免疫和對抗能力，同時還要安裝網(wǎng)絡(luò)防病毒產(chǎn)品。因為，主機防病毒產(chǎn)品只能對單一主機進行保護，而網(wǎng)絡(luò)防病毒產(chǎn)品可以起到對外部網(wǎng)絡(luò)中病毒進行隔離的作用，可以防止病毒通過郵件等方式從互聯(lián)網(wǎng)進入企業(yè)內(nèi)部網(wǎng)。

2.3 內(nèi)部網(wǎng)絡(luò)用戶的分級管理

對于從內(nèi)部網(wǎng)絡(luò)用戶所引起的安全威脅最好采用分級制管理手段。分級制管理是用戶進入系統(tǒng)時必須提供用戶名和口令進行身份驗證。通過身份驗證后，根據(jù)用戶的身份決定用戶是否能夠訪問那些系統(tǒng)資源。也就是將企業(yè)內(nèi)部員工按照其工作需求劃分成不同的用戶身份，針對不同的用戶身份來限制用戶對某些信息的訪問，例如銷售人員只可以查看銷售記錄，不能對銷售記錄進行修改、刪除和復(fù)制等操作。

2.4 防火墻

防火墻將企業(yè)內(nèi)部網(wǎng)與互聯(lián)網(wǎng)有效的隔開，能對企業(yè)的內(nèi)部網(wǎng)起到很好的保護作用。防火墻是一種用來保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包,按照一定的安全策略來實施檢查,決定網(wǎng)絡(luò)之間通信的權(quán)限,并監(jiān)視網(wǎng)絡(luò)的運行狀態(tài)。如我們不允許外部網(wǎng)用戶訪問內(nèi)部網(wǎng)的服務(wù)器，就可以在防火墻安全策略中加入一條，禁止所有外部網(wǎng)用戶到內(nèi)部網(wǎng)的服務(wù)器的連接請求。通過制定這樣的安全策略，就可以保護企業(yè)內(nèi)部網(wǎng)不受到一些已知的安全威脅。

2.5 入侵檢測

設(shè)立防火墻后，仍然有些攻擊可以繞過或透過防火墻，作為對防火墻的有益補充，可以在防火墻上聯(lián)合部署入侵檢測系統(tǒng)。入侵檢測系統(tǒng)是一種對網(wǎng)絡(luò)傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。該系統(tǒng)處于防火墻之后,可以和防火墻及路由器配合工作，它能夠?qū)W(wǎng)絡(luò)上的信息進行快速分析，當企業(yè)的服務(wù)器正受到攻擊時，可以向系統(tǒng)管理員報告或是字段阻斷連接，防止攻擊的進一步發(fā)生。

2.6 數(shù)據(jù)備份及災(zāi)難恢復(fù)

要知道任何的安全防御都不是萬能的，對于重要的數(shù)據(jù)必須要及時備份，這樣才能在發(fā)生系統(tǒng)硬件故障、人為失誤、入侵者非授權(quán)訪問或?qū)W(wǎng)絡(luò)攻擊破壞數(shù)據(jù)完整時起到保護作用，將損失降到最低。

對于廣大中小型電子商務(wù)企業(yè)來說，保障網(wǎng)絡(luò)系統(tǒng)的順利運行，是其最為關(guān)心的問題。有效地網(wǎng)絡(luò)備份能為企業(yè)解決這個問題。所謂網(wǎng)絡(luò)備份是指在分布式網(wǎng)絡(luò)環(huán)境下，通過專業(yè)的數(shù)據(jù)存儲管理軟件，結(jié)合相應(yīng)的硬件和存儲設(shè)備，對網(wǎng)絡(luò)的數(shù)據(jù)備份進行集中管理，從而實現(xiàn)自動化的備份，文件歸檔，數(shù)據(jù)分級存儲及災(zāi)難恢復(fù)等。企業(yè)要想通過網(wǎng)絡(luò)進行數(shù)據(jù)備份，需要購買專業(yè)的備份軟件，因為一個專業(yè)的備份軟件配合高性能的備份設(shè)備，能夠使損壞的系統(tǒng)迅速起死回生。備份設(shè)備的選擇考慮到中小型電子商務(wù)企業(yè)需要大量的數(shù)據(jù)備份和其經(jīng)濟能力建議采用磁帶機。其優(yōu)勢為：容量大并可靈活配置、速度相對適中、介質(zhì)保存長久、存儲時間超過30年、成本較低、數(shù)據(jù)安全性高、可實現(xiàn)無人操作的自動備份等。

要想切實解決中小電子商務(wù)企業(yè)的安全問題，必須要綜合運用這些安全措施，因為電子商務(wù)安全是一個復(fù)雜系統(tǒng)工程，不僅涉及到安全技術(shù)的不斷提高，還需要企業(yè)加強安全管理，更需要完善電子商務(wù)方面的立法。相信隨著我國對電子商務(wù)重視程度的加深，立法的不斷完善，將會構(gòu)造一個良好的電子商務(wù)環(huán)境，使得我國電子商務(wù)走上快速健康發(fā)展的道路，讓更多的中小企業(yè)從中獲益。

[1]楊義先等.網(wǎng)絡(luò)信息安全與保密[M].北京郵電學(xué)院出版社,2001.

[2]戴銀華.網(wǎng)絡(luò)安全綜合評價技術(shù)研究[D].天津大學(xué),2008.

[3]石志國等.計算機網(wǎng)絡(luò)安全教程[M].北京交通大學(xué)出版社,2004.