中小企业电子商务安全问题及其对策

浙江工商职业技术学院电子商务专业毕业论文1中小企业电子商务安全问题及其对策摘要当今的中小企业与较大型的企业组织一样，都开始广泛的利用电子商务化手段提升自身的竞争力。电子商务设施可以有效提高中小企业的运营效率，使中小企业可以更快速的发展壮大。然而在获得这些利益的同时，给许多大型企业造成重大损失的电子商务安全问题同样也在困扰着中小企业群体。虽然中小企业的电子商务设施规模相对较小，但是其面临的安全威胁却并不比大型企业为少。本文根据宁波部分中小企业的安全现况,提出一些中小企业电子商务安全的建议。关键词中小企业；电子商务；电子商务安全一、中小企业电子商务安全现状国内中小企业数量众多、网络利用率高，但其自身技术力量薄弱，安全机制普遍不足，这已经成为了这些企业持续发展的主要隐患。那么，国内中小企业当前面对了哪些挑战自身又应当怎样应对呢根据国家统计局年初公布的数字，国内企业总体的99都是中小企业，他们贡献了超过一半的国内GDP。但截止到目前，这些中小企业的电子商务化水平仍然比较落后，其中针对电子商务安全的投入，更是凤毛麟角。在当前互联网时代，企业上网、通过电子邮件进行业务往来、利用网络发布自己的营销电子商务，已经成为企业拓展业务的基础模式。在这个市场环境下，大部分企业充分体会到了互联网的好处，但较少有人关心网络的风险。对于国内占大多数的中小企业来说，如何在充分利用电子商务化优势的同时，更好地保护自身的电子商务资产，已经成为一个严峻的挑战。特别是近两年来，网络上的病毒、攻击事件频发，电子商务安全问题正在成为中小企业电子商务化进程中的难题。二、中小企业电子商务安全存在的问题中小企业普遍面临着电子商务安全形势严峻的状况，这是因为中小企业本身在电子商务安全方面存在着很多问题。下面本文指出一些中小企业常见的电子商务安全问题。中小企业电子商务安全问题及其对策2（一）系统安全一般中小企业网络的应用系统，主要有WEB、EMAIL、OA、业务系统等。而且随着企业的发展，网络体系结构也会变得越来越复杂，应用系统也会越来越多。从整个网络系统的管理上来看，既有内部用户，也有外部用户。因此，整个企业的网络系统存在两个方面的安全性问题。1、INTERNET的安全性目前互联网应用越来越广泛，黑客与病毒无处不在，可以说是无孔不入，这极大地影响了INTERNET的可靠性和安全性，保护INTERNET，加强网络安全建设也是箭在弦上。相关资料显示，美国在网络安全投入方面，占整个网络建设的15一20，而中国却不到1。关注网络安全不是口头上的号召，必须落到实处，尤其是政府机关企业要切实实施网络安全建设，否则将根本无法应对各种电脑病毒和突发的黑客攻击事件。2、内部网络安全企业内部的网络安全同样需要重视，存在的安全隐患主要有未授权访问，破坏数据完整性，拒绝服务攻击，计算机病毒的传播，缺乏一套完整的安全策略、监控和防范技术手段，缺乏有效的手段来评估网络系统和操作系统包括数据库的安全性，缺乏自动化的集中的数据备份以及灾难恢复措施等。（二）计算机病毒计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络环境、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪，是影响企业网络安全的主要因素之一。（三）黑客行为随着现在的网络知识的普及，黑客软件的泛滥，普通人经过一段时间的学习就能够灵活运用INTERNET上下载的现成工具可以对企业进攻击，因此企业不光要面对商业间谍还要对浙江工商职业技术学院电子商务专业毕业论文3付各种来自外部或内部黑客行为。目前，黑客攻击的方式和手段多种多样，按其破坏程度和破坏手法主要分为以下几种1、饱和攻击饱和攻击又称为拒绝服务攻击。其工作机理最为简单，也最难防范。它的攻击原理是通过大量的计算机向同一主机不停地发送IP数据包，使该主机穷于应付这些数据包而无暇处理正常的服务请求，最终保护性的终止一切服务。2、网站修改这种攻击主要是通过修改网站的主网页和网页连接来达到自己目的的一种攻击手段。这种攻击手段对计算机的损害最少，但影响很大。因为主页是一个网站的形象代表，也是该网站的主要经营和表现途径。虽然事后可以通过备份数据很快地加以恢复，但在网页被改的时间内对网站的影响将是致命的。要更改一个网站的网页有多种方式，被采用得较多的方法主要有两种一种是通过WWW方式直接修改，另一种则是通过控制主机进行修改。3、木马攻击木马是指“特洛伊木马”，其含义取典于古希腊特洛伊战争中的木马屠城。其实光从这个词语的出处就可大致了解这种攻击的方式。它需要在远程主机上植入一个应用程序，并让该程序跟主机服务程序一起运行，这个应用程序就称为木马。用户可以通过客户程序程序给木马程序发送指令，指示木马程序完成相应的使命操作。（四）盗用帐号一般来说，企业为每个有电脑的员工分配EMAIL帐号，ERP帐号，上网帐号，PDM帐号等帐号，这些帐号的安全通过口令来加强（安全级别高的企业，还通过其它技术来实现，例如IC卡，MAC梆定IP并指定访问IP,SSH，SSL,数字标枳），并根据其应用范围，分配相应的权限。某些员工为了上网盗用别人的上网帐号为修改电子考勤记录盗用人力资源部的帐号,为了报复而销毁或篡改人事档案记录；有人改变程序设置，引起系统混乱；有人越权处中小企业电子商务安全问题及其对策4理业务，为了个人私利窃取机密数据。这一切都造成了管理的混乱。（五）物理安全保证计算机网络系统各种设备的物理安全是整个网络安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、WEB服务器、打印机等硬件实体和通信设备免受自然灾害、人为破坏和搭线攻击等。它主要包括两个方面。1、环境安全。对系统所在环境的安全保护,确保计算机系统有一个良好的电磁兼容工作环境。2、设备安全。包括设备的防盗、防毁、防电磁电子商务辐射泄漏、抗电磁干扰及电源保护等。（六）技术之外问题1、员工的安全意识在企业网络应用环境中。随着企业网络规模的扩大由于上网与办公地点的扩大，使得网络监管更是难上加难。许多员工的计算机安全意识薄弱、安全知识缺乏，中了病毒也不通知管理员,再则企业的规章制度还不够完善，还不能够有效的规范和约束员工的上网行为。2、适合中小企业的网络管理人才紧缺国家经济这些年来发展迅速，中小企业也都借势发展了起来，随着企业的发展电子商务化程度也飞速提高，有一些企业已经率先使用了ERP企业管理平台为企业的发展铺平了道路，但同时也出现了企业电子商务安全的状况让人极度担忧。虽然目前网络管人方面的人材并不稀缺，但大都不愿意去中小企业工作，原因无外乎几点、中小企业大都不在主流经济圈内，相对地理位置较为偏僻。、中小企业属“发展中”经济体，管理、工资、福利、工作环境均无法与成熟的大型企业相提并论。、网络管理也属于“吃青春饭”网管这一职业技浙江工商职业技术学院电子商务专业毕业论文5术方面有要求“体力”还得跟得上。所以大多网管是趁着年青时多吃点苦多学点技术，等到年龄稍长，技术进步，自然要进再一步，要么去做管理、顾问，要么去做软件行业，要么自己创业，网络技术高超的人,谁会去做网管所以在择业之初当然先选大点的公司，方便自己不用跳槽，以后直接在公司内谋求发展。所以中小企业想招到一个合格的网管是难上加难。通过调查，中小企业中使用网络版防病毒软件者比例很小，更别说硬件防火墙。网络配置方面也大都默认，这样一来网络安全根本无从谈起，而且一旦出现问题对企业的损害可能会是致命的。三、保障中小企业电子商务安全措施根据上文所述，中小企业电子商务安全存在着许多隐患。因此，中小企业需要思考，在2010年，需要做出怎样的电子商务安全规划，并将如何坚定地贯彻实施。2010年将是中小企业将保护其自身业务、员工和客户电子商务安全提到相当高度的一年。所以，以下针对中小企业电子商务安全问题提出几点建议。（一）开展针对公司电子商务与基础架构的自我防护培训面对愈加复杂的电子商务安全威胁，员工一直是保护企业电子商务的攻坚力量。但据2009年美国国家网络安全联盟（NATIONALCYBERSECURITYALLIANCE）与赛门铁克共同进行的一项调查显示，只有28的美国小型企业拥有正规的网络安全政策。另外，也只有35的美国中小企业为员工提供了网络安全的相关培训。我们知道，对于电子商务风险和威胁的防患意识以及可行的预防措施是电子商务系统及网络安全的第一道防线。因此，中小企业必须开展提高安全意识的培训，让员工对于个人网上行为的安全形成足够的重视。1、培训内容要着重点有两点是中小型企业在安全意识培训进程中需要特别注意的。第一点，对全公司都要教授一致的安全电子商务，中小型企业太小而不足以实行具有不同倾向的多种培训计划。并且，这项计划要由电子商务技术部门负责管理。第二点，要谨记你的大部分电脑使用者并不是专中小企业电子商务安全问题及其对策6门人员，培训应该简单且接近日常用户。无论你的侧重点是什么，以下这些在每个计划中都是绝对必要的。2、用户名和密码的处理员工应该学会安全操作用户名和密码。比如，如何选取安全系数高的密码，不要将密码写在纸上或写在粘贴于显示器的便签上，更不要告诉任何人包括技术支援中心。3、网络和邮件的使用员工应该学会提防电子邮件的附件，特别是来自未知发件人的邮件。告诉他们这些附件可能包含病毒、特洛伊木马和其他恶意程序等会损害公司的东西。员工还需要知道公司对合理使用互联网和安全浏览的政策，在办公室的网络接入应该只能于业务用途。色情和赌博网站都会含有恶意程序。这些要在协商中解释以使员工们理解。4、移动设备和便携式电脑安全教导那些以便携式电脑为生经常出差的人如何防止在旅行中电脑被盗，要他们在机场等公共场所登陆时要当心别人偷窥到用户名和密码。员工也要知道在办公室中USB接口和无线接入点能造成的威胁。应该教他们这些移动设备不能在工作中使用。5、社会工程学负责涉外的员工有可能被一些精于记诵的人欺骗，他们会用花言巧语诱骗这些员工透露公司的电子商务或者能够接入重要系统和资料数据的用户名和密码。教这些员工基本的职业诀窍以防止他们被骗。6、应对突发事件如果一个员工感到有些东西可疑或认为出现了漏洞，教给他们应对这些突发事件的程序。让他们知道该去找谁和怎么找。浙江工商职业技术学院电子商务专业毕业论文7美国国家标准与技术研究院发行了本极好的刊物，SP80050，上面提供了该如何策划安全意识培训的模版和指导。这份70页的文件有免费的PDF版可以在研究院的网站上找到。7、内部培训、外部培训或网络培训传统上，有三种途径策划安全意识培训在公司内部寻找培训人员和培训部门，聘请外部培训公司或者依托网络、电脑进行培训。任何一种方案都会超出中小型企业的财力资源。如此，能满足中小型企业想要提高员工电子商务安全意识到正常标准的途径是什么呢有在传统三个方法的基础上加以少许改动的两条途径。中小型企业可以仍然可以使用内部资源进行范围性培训或者购买网络、电脑的培训程序。另外，中小型企业还可以创造性的在办公室张贴些成本低的彩色安全意识海报对员工潜移默化。如果电子商务技术部门能提供一两个人策划培训，一个内部特制的计划也是可行的。按照NIST的指导方针或其他材料，策划一天或半天的课程就足以使让员工认识到有关电脑安全的几点重要问题。也有很多价格合理面向中小型企业的基于网络和电脑的培训。最新奇的途径来自于国家安全研究院的“安全意识“。它以HTML格式向用户发送带有安全电子商务的电子邮件和会直接弹到员工桌面的弹出窗口。它宣传自己是最便宜的，培训五千名员工只需每年995美元。不管你选择哪个计划，请确保它确实适合你的需求并能检验员工学习并完成了课程。通过这些途径，一个中小型企业就能达到安全意识培训的规格标准。（二）获取电子商务人才应注意的问题随着互联网网络销售的兴起，新型的营销模式带动了对新型电子商务人才的需求，越来越多的公司在启动电子商务项目的同时，也存在着不知道引进什么样的人才才能把本公司的项目操作起来的问题。笔者根据多年的电子商务营销实战经历，给即将开展电子商务或已经开始电子商务营销模式的公司提出以下实战知识参考1、电子商务切忌引进理论者中小企业电子商务安全问题及其对策8上世纪的1998年至本世纪的2003年，是互联网的泡沫年，那时的人们对电子商务只提概念，讲得是多么动听，头头是到，可是就是不知道如何实现市场经济的价值，导致了失败。所辛2004年开始，头脑敏锐、具备学习能力的的市场营销人员创新的把这一互联网的新知识结合到了自己的市场营销模式的推广中来，产生了收益，才使互联网电子商务创造出了惊人的经济价值，为越来越多的公司产生了丰厚的利润回报，才使现今的电子商务越来越受到人们的重视，可以说，今后的营销模式很可能是电子商务领导的模式。所以一个公司在引进电子商务人才的时候，应侧重衡量这个人才对电子商务的实战操作能力，而不是只会讲理论的人才，否则，将会使你的项目遥遥无期。2、电子商务人才是营销和新技术的复合型人才电子商务是近几年快速发展的一个技能项目，是营销能力和互联网网络工具操作能力相结合的复合型高科技营销技能，以前大家都没有学习过，基本上都是在工作过程中不断学习积累的，可这样的人毕竟是少数，现在很多大学也开设了电子商务专业，可中国的教育大家也清楚，只是技术知识的学习，出来后不一定能胜任，因为他们缺少营销能力的培养，营销能力不是短时间积累的。所以公司在选择这样的人才时，建议对这样的人才引进时，应在营销和互联网的实战能力都要把握好，可以说，应各占50的衡量力度。3、可以对电子商务人才进行分类毕竟大部分公司在引进合格的电子商务人才方面也不是件容易的事情，因为目前社会本身提供这样的人才比较少，而一旦成功引进了，又能对该公司的创造较高的经济价值。所以可以考虑根据该公司的期望值，适时引进不同级别的电子商务人才。如初级电子商务人才这种人才往往在互联网的技术性强一些，而营销能力可能欠缺一些，需要进一步引进培养，这样的人才目前还是主流中级电子商务人才这种人才往往在营销上强一些，而在技术上需要进一步的培养和引导。浙江工商职业技术学院电子商务专业毕业论文9高级电子商务人才这种人才具备电子商务项目整体操作能力，具备较丰富的电子商务实战经验，这样的人才目前比较紧缺，公司一旦能够成功引进，可快速进入角色，避免浪费时间、金钱、精力。4、电子商务成功者往往都是具备多年营销实战的高级人才目前很多互联网人士都纷纷投入到电子商务的行列中来，认为自己对互联网熟悉，懂技术、操作熟练，就可以做电子商务了，这也是目前很多中小网站、公司、个人不能做成功的原因。其实不然，真正做成功的电子商务人才，往往都是在传统营销上工作了不下6到8年的工作经历，在互联网营销上探索了不下5年的经历才操作成功的。电子商务营销模式是在原来传统营销模式基础上的进一步创新和提炼，是一种更高级的营销能力，不是具备1到3年工作经历就能做得起来的。大家想想，传统的销售是要上门拜访，邮寄资料，出差，多次拜访等，而电子商务的操作大多是靠网上快速处理资料，网上业务谈判，沟通，让客户在没有见面的情况下还要相信你不是骗子，汇款给你，相比传统的营销，你节约了大量的市场营销费用，为公司快速创造了较高的收益，你想想，是不是你的能力要高于传统营销模式的营销技能。如果一个公司要想真正把电子商务操作起来，不对这样的人才有个真确的认识，不舍得花较高的薪水引进这样的人才，是很难把电子商务操作成功的。5、电子商务高级管理人才要具备项目规划的能力做一个电子商务高级管理人才，必须具备项目的规划能力，使公司的目标有可执行性，做任何事情，如果事先都不知道如何推进一个项目，那很可能管理起来就盲目，如果不懂得电子商务项目的规划要素，那操作起整个项目就有较大的风险。所以公司在选择这样的人才时，可能要求就要高一些，对这样的人才就要提出统筹规划的能力了。6、成功引进电子商务人才对公司的收益由于目前很多公司的老板和管理者对电子商务这个新知识不大了解，对这样的人才更不知道如何对待，心中会有纳闷，相对于传统营销人才，花这样较高的成本值吗现在的电子中小企业电子商务安全问题及其对策10商务已经不是2003年前的虚的东西了，而是现在实实在在的在为有远见卓识的领先型公司创造价值。放眼世界经济，传统的营销模式在国外已经不敌电子商务营销模式的销售和利润，看看效益较好的公司，无不在这一块开始投入和重视。很多公司以为建立了一个公司网站，就搭上互联网快车了，其实，这还仅仅是皮毛，当你的公司开始运作起电子商务项目，引入到你现有公司的营销模式中，才会使你真正搭上互联网经济的快车，产生更好的经济价值回报，才能跟上这个社会的变化。（三）远离钓鱼攻击与垃圾邮件在2010年中，对于中小企业来说，保护自己不受钓鱼攻击以及垃圾邮件侵扰至关重要。近期赛门铁克安全调查显示，42的中小企业没有反垃圾邮件解决方案。对于任何一个企业来说，应付钓鱼攻击与垃圾邮件都不是一件简单的事情，但如果忽视预防措施将会造成效率的降低以及经济的损失。从这个角度上说，中小企业对此最好的防护措施便是部署邮件以及网络安全软件，时刻警惕钓鱼以及垃圾邮件的