随着市场竞争的日益激烈,企业间的竞争转向了客户信息资源。客户信息资源对电子商务企业尤其重要,可谓“三分技术、七分管理、十二分数据”。然而,黑客程序智能化的提高使越来越多的非专业人员可轻而易举地对企业关键信息造成破坏。电子商务企业的客户信息面I临着巨大的安全威胁。制定安全策略,防止客户信息遭到泄密或破坏,成为电子商务企业的关键工作之一。
一、电子商务企业客户信息的重要性
客户信息是电子商务企业进行客户关系管理的重要资源。企业通过客户关系管理系统对客户信息进行统计、分析识别客户资源的占有量、流失、消亡和再生。对企业的产品开发、营销策略、客户服务等起着指导作用,并为决策者进行总体决策提供数据依据。
(一)客户信息是企业产品开发的指导
电子商务企业通过分析客户信息,判断客户的购买力、购买习惯、偏好,以及对产品特性的要求等,总结市场的需求和产品特性,直接指导产品的设计和生产过程,并针对不同客户提供个性化产品。
(二)客户信息是企业营销策略制定的指导
电子商务企业通过分析客户信息,对客户进行分类,制定差异化营销策略。通过对客户信息的挖掘,可以从大量的网站访问者中发现潜在客户,使其成为在册客户;从客户的购买记录中发现忠诚客户,进行个性化营销和服务,留住老顾客。
(三)客户信息是企业客户服务的基础
电子商务企业通过分析客户信息,其成果直接指导客户服务,为客户提供更为切合自己、高满意度的服务行为。而高满意度无疑将会带动新一轮销售行为,使企业的客户资源进入良陛的企业价值实现过程中,不断为企业创造利润。
二、电子商务企业面临的客户信息安全问题
客户信息安全是指企业的客户信息不受未经授权的访问、使用、篡改或破坏,主要有三类:保密、完整和即需。保密是人们最常见的问题。中国电子商务研究中心报道,2011年末,中国互联网爆发了有史以来最大的一起网络用户信息泄密事件。2012年1月,有不少被泄露信息的用户发现自己的账户名和密码已被修改,而其中的余额遭到恶意刷干。由此看出客户信息的保密问题涉及到客户的切身利益,已经引起了人们的广泛关注,同时也是电子商务企业最亟待解决的关键问题。客户信息面临的安全问题主要有:
(一)技术方面
服务器及其软件的安全威胁。服务器是整个电子商务活动中最关键的一个环节。
通讯信道的安全威胁。互联网是将电子商务资源和客户连接起来的重要环节。
数据信息存储的安全威胁。电子商务系统使用数据库存储用户数据和商务资料,而现在大多数大型数据库都使用基于用户名和口令的安全措施,这些安全措施是通过权限实施的。
(二)内部管理方面
缺乏网络安全管理制度。一些电子商务企业内部缺乏严密的计算机网络安全制度与策略,没有一套完备的安全管理制度。
缺乏对内部人员的监管。客户信息经过收集、整理、存储、整合,用于企业的各个部门进行管理和决策,涉及信息的人员非常广泛。在企业安全破坏因素中,内部员工泄密占到60%,如图1客户信息泄密渠道所示 。
企业员工的流动频繁。人才流动频繁是电子商务企业面临的一大难题。
三、防范措施
面对客户信息安全问题,电子商务企业需要采取安全防护措施,制定并完善安全策略。安全策略的制定既要包括技术方面的网络安全防护体系又要包括企业内部管理制度。计算机网络安全防护体系用于防止电子商务企业网络遭到破坏和保证企业数据存储和传输安全;内部管理制度用于管理企业内部员工,增强他们的职责意识、法律意识,防止企业客户信息从内部泄露。安全策略通常包含以下内容:
(一)技术防护手段
充分利用各种先进的安全技术,如保护主机安全的防火墙技术、系统漏洞检测技术、黑客跟踪技术等,保护数据存储和传输安全的身份认证技术、访问控制技术、密码技术、安全审计技术等,在恶意攻击者和受保护的企业信息资源间建立多道严密的安全防线,增加恶意攻击的难度,并通过增加审核信息的数量跟踪入侵者。
在实施网络安全防范措施时:首先要加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞,选择高效的系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补。
对于数据库的防护,利用数据存储技术加强数据备份和恢复措施,对敏感的设备和数据要建立必要的物理或逻辑隔离措施。对于数据传输过程中信息的安全防护,从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证,对在公共网络上传输的敏感信息采用非对称密钥加密技术进行高强度加密,保障Web站点间信息传输的安全性。对于整个电子商务系统的防护,安装防病毒软件,加强内部网的整体防病毒措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
(二)加强企业内部管理
有了技术保障,可以大大降低电子商务中客户信息的安全威胁。但是如果企业内部管理跟不上,安全设施便形同虚设。为了保障电子商务正常运行,企业要加强内部安全管理,建立系统维护制度,包括审批制度,维护方法、维护内容测试、维护文档编制的规范化制度,维护用机、测试数据域营运机器、实际数据的分割制度,源程序保管控制制度等。
建立信息系统的访问管理制度和操作流程,对员工进行有效地监管。在电子商务信息系统内部建立操作流程规则和职责体系,对信息的访问进行授权和数据接触监管。对于那些对企业的程序和数据具有访问特权的员工,运用信息技术,通过设置操作13志功能和控制程序等来完成监督,从而达到对系统和数据库操作的实时监控和记录,并对日志文件定期进行安全检查和评估,以此避免信息系统故障和客户信息泄漏。
建立和完善人力资源管理制度,保证和提高员工的素质和品行。加强人员素质培训,明确聘用政策和对内对外交流规定等,在一定程度上规避道德风险。建立激励约束机制,提升员工的心理契约,把核心人员及其下属的短期行为长期化,使他们更关注公司长远的发展,以此减少员工的流动性。加强企业员工之间的交流与沟通,创造积极且寻求进步的、支持性的企业文化,提高员工的自我效能和企业凝聚力。
(三)依靠网络安全法律法规
我国在网络安全方面制定了一系列的法律法规,这些法律法规为维护网络安全起到了一定的作用。电子商务企业可以通过法律法规获得政府和行业的保护,同时借鉴电子商务发展水平较高的国家和国际组织的先进经验。重视它们在电子商务发展方面的示范性作用,他们的技术性规范可以直接为我们所用。
由于电子商务企业的安全是多方面的,安全策略需要综合各方面因素,将多种安全措施协同起来,全方位地对企业的资产和客户信息进行保护,以免遭到泄露、破坏或修改。保护好客户利益,也就是保护好企业的利益。
CIO之家 www.ciozj.com 公众号:imciow