张家口教育学院 孙焱 张海涛

金融风暴席卷全球，企业破产、银行倒闭，传统的商业模式备受打击，然而全球电子商务正以前所未有的速度迅猛发展，成为各国增强经济竞争实力的有效手段。我国中小企业也充分利用电子商务这个有效工具，主动出击国际市场，谋求更大的生存空间。在电子商务欣欣向荣的发展前景下，我们也充分意识到电子商务的发展越来越受到信息安全的制约，特别是中小电子商务企业的安全问题更亟待解决。

1 当前中小电子商务企业主要存在的安全问题

电子商务是一种基于互联网上的交易活动，与传统交易活动有很大的不同。它将传统的商务流程电子化、数字化，突破了时间和空间的限制，使得企业有效地降低了成本。同时，特别是中小企业也可以拥有和大企业一样的信息资源，有力的提高了中小企业的竞争能力。尽管大多中小电子商务企业都处于刚刚起步阶段，但他们已从电子商务中获益匪浅，可是由于电子商务网站所具有的开放性，很容易受到攻击，安全问题成为这些中小电子商务企业发展的瓶颈。目前中小电子商务企业安全问题主要有：

1.1 安全意识淡薄

由于许多中小电子商务企业刚刚起步，自认为企业规模不大，对市场影响较小，不会引起恶意攻击而心存侥幸，所以总是在受到攻击后才会想到加强网站安全。还有的企业缺乏对安全技术的了解，认为只要安装了各类安全产品，就能完全保障网站的安全。

1.2 内部网络用户的安全威胁

目前来自于企业内部网络用户的安全威胁已经成为企业最大的威胁。例如企业内部员工疏忽或是有意泄露密码，使得入侵者可以毫不费力的窃取、篡改企业的客户资料等内部机密；企业员工私自安装游戏、非法软件、访问不安全网站等引发恶意程序；内部用户对机密数据的非法操作等，这些都足以对企业的网站安全引发致命的危机。

1.3 漏洞和病毒

漏洞是在软件系统具体实现和具体使用中产生的错误，目前绝大多数操作系统和应用软件都存在漏洞，而黑客会有意利用其中的漏洞，威胁企业网站的安全，造成巨大的损失。

病毒是带有恶意破坏的可执行程序。在互联网上病毒无处不在，一旦感染了恶意病毒，就会破坏系统或数据，造成网站瘫痪。

1.4 数据库的不安全性

电子商务企业的数据库是很多黑客和不法分子攻击的重点，因为它们能给攻击者带来许多可用于获利的原始数据。攻击者使用篡改、删除、插入等手段对数据文件进行攻击，以破坏数据的准确性和完整性。此外，还可以伪造电子文件，假冒他人身份消费、栽赃、抵赖已做过的交易等行为，直接破坏了电子商务交易的安全。

2 解决中小电子商务企业安全问题的措施

保证中小电子商务企业的信息安全要从管理和技术两大方面入手。企业要树立安全意识，充分利用各种先进的技术，在攻击者和受保护的资源间建立多道严密的安全防线，增加恶意攻击的难度。具体的措施为：

2.1 加强安全管理

安全管理就是通过一些管理手段来达到保护企业信息安全的目的。它包括人员的安全意识的教育与培训以及安全管理制度的制定、实施和监督。中小电子商务企业安全管理的重点首先放在加强工作人员的保密观念，不要将密码泄露或是将企业的机密随意拷贝、发布，不访问非法网站，不轻易下载和安装程序；其次，要对工作人员进行业务培训，提高操作水平，防止误操作对企业造成的损失。最后，要制定严格的安全管理制度。安全管理制度可以从系统数据资源的安全保护、网络硬件设备及机房环境的安全运行、网络病毒的防治管理以及上网信息安全及电子邮件收发等方面进行制定。

2.2 系统平台的安全

系统操作平台是电子商务企业用于实现电子商务的基本架构，成功的电子商务要求基础设施安全可靠、可扩展及灵活性强。因此，首先要选择安全性高的操作系统。在安装操作系统时，要做好安全配置，及时安装补丁程序，减少漏洞。其次，定期对系统进行漏洞扫描。漏洞扫描系统是用来自动检测远程或本地主机安全漏洞的程序。定期对系统的安全漏洞进行扫描可以在第一时间发现安全问题，主动完成有效防护。最后，安装防病毒软件。电子商务企业安装防病毒软件要从两个方面着手：不仅要在服务器上安装防病毒系统，实现对病毒的检测、清除，提高主机免疫和对抗能力，同时还要安装网络防病毒产品。因为，主机防病毒产品只能对单一主机进行保护，而网络防病毒产品可以起到对外部网络中病毒进行隔离的作用，可以防止病毒通过邮件等方式从互联网进入企业内部网。

2.3 内部网络用户的分级管理

对于从内部网络用户所引起的安全威胁最好采用分级制管理手段。分级制管理是用户进入系统时必须提供用户名和口令进行身份验证。通过身份验证后，根据用户的身份决定用户是否能够访问那些系统资源。也就是将企业内部员工按照其工作需求划分成不同的用户身份，针对不同的用户身份来限制用户对某些信息的访问，例如销售人员只可以查看销售记录，不能对销售记录进行修改、删除和复制等操作。

2.4 防火墙

防火墙将企业内部网与互联网有效的隔开，能对企业的内部网起到很好的保护作用。防火墙是一种用来保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包,按照一定的安全策略来实施检查,决定网络之间通信的权限,并监视网络的运行状态。如我们不允许外部网用户访问内部网的服务器，就可以在防火墙安全策略中加入一条，禁止所有外部网用户到内部网的服务器的连接请求。通过制定这样的安全策略，就可以保护企业内部网不受到一些已知的安全威胁。

2.5 入侵检测

设立防火墙后，仍然有些攻击可以绕过或透过防火墙，作为对防火墙的有益补充，可以在防火墙上联合部署入侵检测系统。入侵检测系统是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。该系统处于防火墙之后,可以和防火墙及路由器配合工作，它能够对网络上的信息进行快速分析，当企业的服务器正受到攻击时，可以向系统管理员报告或是字段阻断连接，防止攻击的进一步发生。

2.6 数据备份及灾难恢复

要知道任何的安全防御都不是万能的，对于重要的数据必须要及时备份，这样才能在发生系统硬件故障、人为失误、入侵者非授权访问或对网络攻击破坏数据完整时起到保护作用，将损失降到最低。

对于广大中小型电子商务企业来说，保障网络系统的顺利运行，是其最为关心的问题。有效地网络备份能为企业解决这个问题。所谓网络备份是指在分布式网络环境下，通过专业的数据存储管理软件，结合相应的硬件和存储设备，对网络的数据备份进行集中管理，从而实现自动化的备份，文件归档，数据分级存储及灾难恢复等。企业要想通过网络进行数据备份，需要购买专业的备份软件，因为一个专业的备份软件配合高性能的备份设备，能够使损坏的系统迅速起死回生。备份设备的选择考虑到中小型电子商务企业需要大量的数据备份和其经济能力建议采用磁带机。其优势为：容量大并可灵活配置、速度相对适中、介质保存长久、存储时间超过30年、成本较低、数据安全性高、可实现无人操作的自动备份等。

要想切实解决中小电子商务企业的安全问题，必须要综合运用这些安全措施，因为电子商务安全是一个复杂系统工程，不仅涉及到安全技术的不断提高，还需要企业加强安全管理，更需要完善电子商务方面的立法。相信随着我国对电子商务重视程度的加深，立法的不断完善，将会构造一个良好的电子商务环境，使得我国电子商务走上快速健康发展的道路，让更多的中小企业从中获益。

[1]杨义先等.网络信息安全与保密[M].北京邮电学院出版社,2001.

[2]戴银华.网络安全综合评价技术研究[D].天津大学,2008.

[3]石志国等.计算机网络安全教程[M].北京交通大学出版社,2004.