除非发生在你身上，不然你不会知道那是什么感觉。

　　穆尔故事的启示

小企业在运营时可能面临各种方面的问题，穆尔的经历可以大体上归类为内部攻击。但不管怎样，一个Web开发人员能够如此容易地对企业和企业主造成如此大的破坏是令人感到非常惊讶的。

穆尔购买了一项服务，但没有要求与这项服务匹配的保障措施。一位身兼互联网服务提供者和网站开发职责的人居然被信任到如此惊人的程度，而原因除了他可以提供网络服务之外无并无其它。没有相关的法规可以保护小企业免受网络服务提供者的侵害，英国的法规对Web开发人员并没有提供专门的准则，除了BCS认证(BCS，the Chartered Institute for IT)之外，英国也没有相应的专业机构，只有1987年颁布的英国消费者保护法案似乎还起些作用。

对小企业而言，检查自己的网页服务提供者的个人背景是非常有用。穆尔女士被这位网页开发者蒙蔽，因为他在互联网及网页应用相关的很多方面都比她要懂行。这种情况对于很多小企业而言可能都成立。人们可能对1998年的数据保护法案(Data Protection Act)和1990年的滥用计算机法案(Computer Misuse Act)有所认识，但很少有公司会对这些提起注意。

在缺乏监管的情况下，犯罪者可以随意滥用自己的知识，他还可能自己计算过风险，并认为能够毁灭证据。如果没有证据，就没法立案。

这些年来，通过《滥用计算机法案》进行定罪的案例非常之少。这个法案是在手机还没数字化的年代颁布的，并仅在2006年修改过一次，以将手机明确地定义为计算设备。尽管最近对所谓网络流氓国家的炒作非常多，但根据一项近期英国企业遭受互联网攻击来源的调查，超过七成的攻击都源自英国本土。

　　对中小企业的网络安全建议

警方处理网络犯罪事件的方式遵循四P原则：预防、保护、准备、追踪(Prevent Protect Prepare Pursue)，这四条原则也揭示了让企业了解潜在的网络风险的重要性。

但警方并没有足够的资源对每一家中小企业中发生的安全事件收集证据并定罪，因此企业只有两种选择，其一，亲自收集证据;其二，雇人来代表他们这么做。

在遭受入侵后，对企业而言最重要的事情就是尽快恢复运转，但企业同时也需要具备足够的技术和法律知识，了解在重新部署服务之前需要保存哪些证据。

在上线一项新的服务之前进行调查是企业的责任。如今初创企业在开发在线服务的过程中获得的建议里并不包括注意信息安全和检查资质，因此在选择网页设计师和网络服务提供商时应尽量小心。如果初创企业没有被事先警告，也就不会注意这些问题，特别是在他们让企业顺利运转方面还需要投入大量精力的时候。

关于数据泄露和网络犯罪的议题应该成为法律和计算机专家的兴趣点，安全不应当只是作为向小企业提供的一项服务，其本身也是创业的一个很棒的切入点。

如果数据泄露的确发生了的话，精通IT知识的律师或受过法律训练的网络专家可以确保用于诉讼的证据通过合适的方式进行获取和存储。IT安全专家们向小企业提供建议的业务已经有所增长，但这一过程需要加速，与此同时一定会有更多不愉快的事情发生，还会有一些网络犯罪无法得到惩罚。

　　建立网上业务时需要注意的要点

穆尔的案例提醒人们，在将自己的用户名/密码交给其他任何人时都需要多加考虑。那位网站开发者拥有李女士的用户名和密码，可以向互联网上的Web服务器上传数据。允许那位Web开发人员同时掌握用户名和密码是出于信任，而在建立信任的过程中并没有经过建立良好商业关系本应经过的步骤。这种信任一旦受到破坏，很难被察觉和制裁。

Web开发人员经常制作商业网站，并在线上进行管理——然而到目前为止这一切都并不受外部监管。这目前是一个靠行业自律运转的行业，也没有什么标准能够判断一位开发人员是否安全，甚至也都没办法判断一位程序员是否优秀。技术上实现得很糟糕的网站对公司的声誉会产生糟糕的影响，还可能为跨站脚本攻击、SQL注入以及其它常见的漏洞大开后门。

在小企业中，网页设计师通常会对选择路由器和配置路由器提出建议，这样会为开发者带来更大的控制权限。业需要注意这些事情，它们应当交给有资质的专业人士处理。具备某种认证或类似的资质应当是招收网页开发人员的最低标准，这个行业的认证有可能是IT领域未来的发展方向。

根据英国政府在2011年进行的一个调查，英国每年由于网络相关犯罪导致的企业和个人损失估计为270亿英镑。2014年的情况还不得而知，但考虑到电子商务和黑客活动都变得愈加频繁，这个数字很可能会让人大吃一惊。

英国政府曾表示，要“将英国变成世界上对企业最安全的场所之一”，现状来看，依然是遥遥无期。

(责任编辑：安博涛)