淺談企業電子商務安全與策略(一)

淺談企業電子商務安全與策略

電子商務的發展作為一種全新的商業應用形式，改變了企業傳統商務的運作模式，提高了運營效率，降低各類經營風險成本 它已成為當今世界貿易活動的基本形態之一。由于電子商務建立在互聯網的基礎上，網絡信息的開放性、共享性等特點，使得網上交易面臨種種安全威脅，制約其發展的安全問題變得非常突出。因此，建立一個安全可靠的電子商務應用環境，構建完善企業電子商務的架構，制定安全策略，已經成為影響到企業電子商務發展的關鍵性因素。

一、電子商務的總體規劃與設計原則

近年來，網絡技術的發展，電子商務的業務也在日益增長，在享受簡便快捷的網絡交易的同時。如何作好電子商務系統的安全防范，對其進行安全合理的規劃，是保障電子商務信息化成敗的關鍵。

1、電子商務的目標與原則

如今，隨著網絡信息技術高速發展，伴隨企業重組改革的不斷深化，企業依賴互聯網這個電子商務平臺也越來越高。在這種背景下推動下，企業構建電子平臺的總體目標是組建IT信息部門，整合企業內部資源，統一規劃，分期建設，選擇適合的技術，建立起完善的內部網與外部互聯網的而連接，確保構建企業辦公電子平臺的獨立性、完善性，能實現收集及管理區域市場信息的收集和整理，并及時向企業領導層傳遞信息，提供決策依據和支持。為此，設計原則應遵循管理可控、高效、安全和可靠等原則以及業務特點進行設計，從而保障企業未來的發展需要。

2、電子商務系統安全的結構設計

一般來說，要建立一個完善的電子商務系統，在網絡結構上需要采用分層的設計思想，這是解決網絡系統規模、結構和技術的復雜性的最有效方法。這樣企業可以方便、快捷地開展對內、對外的業務。從企業經營環境看，電子商務的應用系統由三部分組成：企業內部服務器端和客戶端、網絡設備、電子商務應用系統組成；企業具體實施過程是采用跨地域型、網段式型、物理隔離型的三重保護式的網絡部署架構。首先，企業當前使用信息系統進行分類，在總局部署中心及控制臺，以便對各下級基地進行集中管理，各級基地服務器區配置能接受總局管理中心的管理。以郵件系統舉例，系統總架構由多臺服務器，兩臺外發郵件服務器組成。北京、天津、湛江的服務器都互相配置成群集服務器。內部的路由使用DNN來實現自動選擇最佳路徑。網絡交易的時候，服務器首選從最近的路由器路徑傳輸。即湛江的服務器從湛江的信息系統轉發送到Internet網上。北京和天津的郵件使用北京的信息系統轉發送到Interne網上。其次還有三臺防毒服務器成為一個中心，各地的防毒客戶端都連續到自己防毒服務器上面。同時強制所有客戶端打開郵件及病毒防火墻以進行實時防護，避免用戶自行關閉或卸載客戶端。配置各地的防毒服務器均在每周進行一次全面掃描。配置提示客戶端用戶進行兩次掃描，杜絕病毒發生。企業在硬件投入方面先后建立了邊界防火墻以及硬件防火墻、IPS入侵檢測系統、數據備份及容災系統；最后，企業有序完善企業的門戶網站，負責收集及管理屬地的客戶信息，增加員工的工作效率，促進企業的業務需求發展及管理能力提升。

由此可見，企業面臨著更為復雜的市場環境，要從管理、技術兩方面著手，通過有效的安全風險評估，有針對性對商務應用系統的弱點進行改進，降低信息安全威脅，保證業務持續高效地穩定運行。

二、企業電子商務面臨的安全風險問題分析

電子商務平臺面臨的安全性威脅是多方面的,確保網絡傳輸的信息在傳輸過程中沒有任何增加、改變、丟失或非法讀取,然而目前企業內部網絡既面臨來自外部的安全威脅,也面臨來自內部的安全威脅,其存在的安全隱患主要表現以下幾個方面問題。

1、當前企業電子商務面臨的外部問題

互聯網技術及應用推動了電子商務普及化，提高了企業運營效率，在信息化過程中使得企業內部網通過Internet與其他網絡互連得到更多的共享資源也成為必然。這樣不可避免要面對諸多不安全因素，如病毒攻擊入侵、惡意代碼修改、信息軟件系統配置的不當或系統漏洞等也會被帶入局域網內，造成網絡中的非法用戶通過竊取用戶口令的辦法，或設法繞過網絡安全認證系統來冒充合法用戶，非法查看、下載、修改、刪除未授權訪問的信息等等安全問題。

2、企業在內部員工引起的網絡安全問題

主要的是由人為原因造成的問題。由于用戶年齡的不同、知識層次的不同導致獨立操作計算機能力的不同，一些無意地干擾網絡的暢通運行的誤操作可能給網絡帶來很大的威脅。因此，很多問題都需要技術人員的支持。比如說，用戶的個人辦公電腦系統配置的不當，造成外部人員私自訪問電腦里的信息，并對信息故意或無意她非授權調用或增加、刪除、修改。目前網絡安全事故的發生最直接的原因還是使用者對病毒、軟件漏洞等危害性認識不夠，警覺性不高，存在僥幸心理，沒有認真地進行安全防護工作。而大多黑客正是通過系統的安全漏洞，欺騙或盜取計算機資料、密碼，或是利用DOS攻擊等手法，致使用戶的計算機系統癱瘓。計算機病毒也是利用系統漏洞或用戶安全意識淡薄，通過郵件、安裝非法軟件、移動設備的使用等渠道，潛入網絡系統，傳播不良信息引發安全問題，制造危害公司信息網絡系統安全的活動，從而達到破壞系統正常運行的目的。

3、其他環境因素