构建安全可信的电子商务环境

构建一个安全的电子商务环境是开展电子商务的基础，但是构建安全的电子商务环境需要资金的投入和时间成本的付出，而且长期以来形成的习惯和意识也会成为安全的障碍。

1.构建安全电子商务环境面临的挑战

（1）安全会带来不方便

在一个运行环境中，安全机制越完善，人们会感觉越不方便。以某银行网上银行为例，在安装相应软件后，每次进行网银支付时，都要在登录页面输入账户名、密码、验证码才能登录，然后还需要插入U盾，再输入U盾密码，才能进行支付。

（2）多数人并不了解计算机复杂而且强大的功能

目前，个人计算机已经成为存储个人资料的“仓库”，其中可能存储着用户的家庭照片，收集的音乐和电影，个人财务数据和医疗记录等，计算机成为人们日常工作和生活的基本工具，许多人已经忘记了计算机是一个功能强大而构造复杂的设备。由于计算机操作系统界面友好，操作简单，使得人们不需要了解屏幕背后计算机真正的功能就可以使用计算机。绝大多数用户不了解计算机真正的功能，如Windows的注册表、端口、服务等，甚至会认为Windows的开机密码就能够保护计算机中数据的安全。

（3）计算机用户缺乏对计算机的深入了解，而攻击者经验丰富

许多计算机用户以为能够熟练使用Excel处理电子表格、使用Word进行文字处理、使用Powerpoint制作漂亮的演示文稿，他们就懂计算机了。准确地说，他们只是熟悉计算机的基本应用，并不了解计算机的原理和安全机制，不了解企业的信息安全政策。与此相反，攻击者都是“训练有素”且经验丰富的高手，面对没有经验的用户，入侵会更加容易。

（4）计算机安全技术滞后

计算机的发展始终是以提高运算速度和性能为核心的，关注的是能做什么，而不是能够抵御什么攻击，使得计算机安全技术发展滞后。

（5）计算机的发展趋势是信息共享，而不是保护

尽管泄密事件屡有发生，但是人们仍然愿意与他人共享信息，而且Internet的普及使得共享信息更加容易和方便。人们需要随时随地访问企业网站获取数据。此外，社会网络（Social Network）使人与人之间的联系更加广泛，信息获取更加容易。

（6）安全不只是硬件和软件，还有管理

一些企业认为只要购买足够的安全硬件和软件产品，就可以建立一个安全的体系结构。而事实上，没有相应的安全管理机制是远远不够的。信息安全是一个动态的过程，安全硬件和软件需要不断进行维护，就如同杀毒软件需要不断更新病毒库一样，否则安全机制不可能持续发挥有效的作用。从“木桶原理”来看，一只水桶能盛多少水，并不取决于长的那些木板，而是取决于最短的那块木板。因此，信息安全体系结构中要避免“短板”。(www.xing528.com)

2.构建安全环境

构建企业信息安全环境，需要注意以下问题。

1）评估风险与面临的威胁。构建安全的运行环境，首先要确定保护的资产并分配安全资源。但是对于信息安全来说，并不能完全从其资产价值的高低来分配安全资源，例如，信息安全体系结构的价值不高，但是其重要性与高价值资产一样。因此，应该从以下几个方面评估所面临的安全威胁：

●基于组织的体系结构模型确定安全威胁。

●基于企业业务确定安全威胁。

●所属产业所面临的安全威胁。

●全球性的安全威胁。

面对各种安全威胁，要区分所面临的风险，哪些是可忽略的、哪些是可接受的、哪些是可转移的、哪些是可以降低几率的，从而采取不同的对策。

2）统一思想，重视信息安全。在网络环境下，任何一个组织的信息系统都有可能成为攻击目标，不能存有侥幸心理。任何人都有可能对组织的信息构成威胁，需要有健全的机制保障信息安全。

3）对员工进行信息安全培训，建立企业信息安全文化。

4）充分利用操作系统和应用软件本身所提供的安全机制。

5）必要时请第三方进行安全审计。

6）要及时“打补丁”。