浅谈企业电子商务安全与策略(一)

浅谈企业电子商务安全与策略

电子商务的发展作为一种全新的商业应用形式，改变了企业传统商务的运作模式，提高了运营效率，降低各类经营风险成本 它已成为当今世界贸易活动的基本形态之一。由于电子商务建立在互联网的基础上，网络信息的开放性、共享性等特点，使得网上交易面临种种安全威胁，制约其发展的安全问题变得非常突出。因此，建立一个安全可靠的电子商务应用环境，构建完善企业电子商务的架构，制定安全策略，已经成为影响到企业电子商务发展的关键性因素。

一、电子商务的总体规划与设计原则

近年来，网络技术的发展，电子商务的业务也在日益增长，在享受简便快捷的网络交易的同时。如何作好电子商务系统的安全防范，对其进行安全合理的规划，是保障电子商务信息化成败的关键。

1、电子商务的目标与原则

如今，随着网络信息技术高速发展，伴随企业重组改革的不断深化，企业依赖互联网这个电子商务平台也越来越高。在这种背景下推动下，企业构建电子平台的总体目标是组建IT信息部门，整合企业内部资源，统一规划，分期建设，选择适合的技术，建立起完善的内部网与外部互联网的而连接，确保构建企业办公电子平台的独立性、完善性，能实现收集及管理区域市场信息的收集和整理，并及时向企业领导层传递信息，提供决策依据和支持。为此，设计原则应遵循管理可控、高效、安全和可靠等原则以及业务特点进行设计，从而保障企业未来的发展需要。

2、电子商务系统安全的结构设计

一般来说，要建立一个完善的电子商务系统，在网络结构上需要采用分层的设计思想，这是解决网络系统规模、结构和技术的复杂性的最有效方法。这样企业可以方便、快捷地开展对内、对外的业务。从企业经营环境看，电子商务的应用系统由三部分组成：企业内部服务器端和客户端、网络设备、电子商务应用系统组成；企业具体实施过程是采用跨地域型、网段式型、物理隔离型的三重保护式的网络部署架构。首先，企业当前使用信息系统进行分类，在总局部署中心及控制台，以便对各下级基地进行集中管理，各级基地服务器区配置能接受总局管理中心的管理。以邮件系统举例，系统总架构由多台服务器，两台外发邮件服务器组成。北京、天津、湛江的服务器都互相配置成群集服务器。内部的路由使用DNN来实现自动选择最佳路径。网络交易的时候，服务器首选从最近的路由器路径传输。即湛江的服务器从湛江的信息系统转发送到Internet网上。北京和天津的邮件使用北京的信息系统转发送到Interne网上。其次还有三台防毒服务器成为一个中心，各地的防毒客户端都连续到自己防毒服务器上面。同时强制所有客户端打开邮件及病毒防火墙以进行实时防护，避免用户自行关闭或卸载客户端。配置各地的防毒服务器均在每周进行一次全面扫描。配置提示客户端用户进行两次扫描，杜绝病毒发生。企业在硬件投入方面先后建立了边界防火墙以及硬件防火墙、IPS入侵检测系统、数据备份及容灾系统；最后，企业有序完善企业的门户网站，负责收集及管理属地的客户信息，增加员工的工作效率，促进企业的业务需求发展及管理能力提升。

由此可见，企业面临着更为复杂的市场环境，要从管理、技术两方面着手，通过有效的安全风险评估，有针对性对商务应用系统的弱点进行改进，降低信息安全威胁，保证业务持续高效地稳定运行。

二、企业电子商务面临的安全风险问题分析

电子商务平台面临的安全性威胁是多方面的,确保网络传输的信息在传输过程中没有任何增加、改变、丢失或非法读取,然而目前企业内部网络既面临来自外部的安全威胁,也面临来自内部的安全威胁,其存在的安全隐患主要表现以下几个方面问题。

1、当前企业电子商务面临的外部问题

互联网技术及应用推动了电子商务普及化，提高了企业运营效率，在信息化过程中使得企业内部网通过Internet与其他网络互连得到更多的共享资源也成为必然。这样不可避免要面对诸多不安全因素，如病毒攻击入侵、恶意代码修改、信息软件系统配置的不当或系统漏洞等也会被带入局域网内，造成网络中的非法用户通过窃取用户口令的办法，或设法绕过网络安全认证系统来冒充合法用户，非法查看、下载、修改、删除未授权访问的信息等等安全问题。

2、企业在内部员工引起的网络安全问题

主要的是由人为原因造成的问题。由于用户年龄的不同、知识层次的不同导致独立操作计算机能力的不同，一些无意地干扰网络的畅通运行的误操作可能给网络带来很大的威胁。因此，很多问题都需要技术人员的支持。比如说，用户的个人办公电脑系统配置的不当，造成外部人员私自访问电脑里的信息，并对信息故意或无意她非授权调用或增加、删除、修改。目前网络安全事故的发生最直接的原因还是使用者对病毒、软件漏洞等危害性认识不够，警觉性不高，存在侥幸心理，没有认真地进行安全防护工作。而大多黑客正是通过系统的安全漏洞，欺骗或盗取计算机资料、密码，或是利用DOS攻击等手法，致使用户的计算机系统瘫痪。计算机病毒也是利用系统漏洞或用户安全意识淡薄，通过邮件、安装非法软件、移动设备的使用等渠道，潜入网络系统，传播不良信息引发安全问题，制造危害公司信息网络系统安全的活动，从而达到破坏系统正常运行的目的。

3、其他环境因素