① 研究企業發展電子商務的風險與對策的目的和意義分別是什麼
引言
隨著開放的互聯網路系統Internet的飛速發展,電子商務的應用和推廣極大了改變了人們工作和生活方式,帶來了無限的商機。然而,電子商務發展所依託的平台—互聯網路卻充滿了巨大、復雜的安全風險。黑客的攻擊、病毒的肆虐等等都使得電子商務業務很難安全順利地開展;此外,電子商務的發展還面臨著嚴峻的內部風險,電子商務企業內部對安全問題的盲目和安全意識的淡薄,高層領導對電子商務的運作和安全管理重視程度不足,使得企業實施電子商務不可避免地會遇到這樣或那樣的風險。因此,在考察電子商務運行環境、提供電子商務安全解決方案的同時,有必要重點評估電子商務系統面臨的風險問題以及對風險有效管理和控制方法。
電子商務安全的風險管理是對電子商務系統的安全風險進行識別、衡量、分析,並在這基礎上盡可能地以最低的成本和代價實現盡可能大的安全保障的科學管理方法。
2 電子商務面臨的安全風險
由於網路的復雜性和脆弱性,以網際網路為主要平台的電子商務的發展面臨著嚴峻的安全問題。一般來說,電子商務普遍存在著以下幾個安全風險:
1)信息的截獲和竊取
這是指電子商務相關用戶或外來者未經授權通過各種技術手段截獲和竊取他人的文電內容以獲取商業機密。
2)信息的篡改
網路攻擊者依靠各種技術方法和手段對傳輸的信息進行中途的篡改、刪除或插入,並發往目的地,從而達到破壞信息完整性的目的。
3)拒絕服務
拒絕服務是指在一定時間內,網路系統或伺服器服務系統的作用完全失效。其主要原因來自黑客和病毒的攻擊以及計算機硬體的認為破壞。
4)系統資源失竊問題
在網路系統環境中,系統資源失竊是常見的安全威脅。
5)信息的假冒
信息的假冒是指當攻擊者掌握了網路信息數據規律或解密了商務信息後,可以假冒合法用戶或假冒信息來欺騙其它用戶。主要表現形式有假冒客戶進行非法交易,偽造電子郵件等。
6)交易的抵賴
交易抵賴包括發信者事後否認曾經發送過某條信息;買家做了定單後不承認;賣家賣出的商品因價格差而不承認原先的交易等。
3 風險管理規則
針對電子商務面臨的各種安全風險,電子商務企業不能被動、消極地應付,而應該主動採取措施維護電子商務系統的安全,並監視新的威脅和漏洞。因此,這就需要制定完整高效的電子商務安全風險管理規則。
一般來說,風險管理規則的制定過程有評估、開發和實施以及運行三個階段。
(1)評估階段
該階段的主要任務是對電子商務的安全現狀、要保護的信息、各種資產等進行充分的評估以及一些基本的安全風險識別和分析。
對電子商務安全現狀的評估是制定風險管理規則的基礎。
對信息和資產的評估是指對可能遭受損失的相關信息和資產進行價值的評估,以便確定相適應的風險管理規則,從而避免投入成本和要保護的信息和資產的嚴重不匹配。
安全風險識別要求盡可能地發現潛在的安全風險,應收集有關各種威脅、漏洞、開發和對策的信息。
安全風險分析是確定風險,收集信息,對可能造成的損失進行評價以估計風險的級別,以便做出明智的決策,從而採取措施來規避安全風險。
(2)開發和實施階段
該階段的任務包括風險補救措施開發、風險補救措施測試和風險知識學習。
風險補救措施開發利用評估階段的成果來建立一個新的安全管理策略,其中涉及配置管
理、修補程序管理、系統監視與審核等等。
在完成對風險補救措施的開發後,即進行安全風險補救措施的測試,在測試過程中,將按照安全風險的控制效果來評估對策的有效性。
(3)運行階段
運行階段的主要任務包括在新的安全風險管理規則下評估新的安全風險。這個過程實際上是變更管理的過程,也是執行安全配置管理的過程。
運行階段的第二個任務是對新的或已更改的對策進行穩定性測試和部署。這個過程由系統管理、安全管理和網路管理小組來共同實施。
以上風險管理規則的三個階段可以用下圖來表示:
圖1 風險管理規則的三個階段
4 風險管理步驟
風險管理是識別風險、分析風險並制定風險管理計劃的過程。電子商務安全風險的管理和控制方法,它包括風險識別、風險分析、風險控制以及風險監控等四個方面。
(1)風險識別
電子商務系統的安全要求是通過對風險的系統評估而確認的。為了有效管理電子商務安全風險,識別安全風險是風險管理的第一步。
風險識別是在收集有關各種威脅、漏洞和相關對策等信息的基礎上,識別各種可能對電子商務系統造成潛在威脅的安全風險。
風險識別的手段五花八門,對於電子商務系統的安全來說,風險識別的目標是主要是對電子商務系統的網路環境風險、數據存在風險和網上支付風險進行識別。
需要注意的是,並非所有的電子商務安全風險都可以通過風險識別來進行管理,風險識別只能發現已知的風險或根據已知風險較容易獲知的潛在風險。而對於大部分的未知風險,則依賴於風險分析和控制來加以解決或降低。
(2)風險分析
風險分析是運用分析、比較、評估等各種定性、定量的方法,確定電子商務安全各風險要素的重要性,對風險排序並評估其對電子商務系統各方面的可能後果,從而使電子商務系統項目實施人員可以將主要精力放在對付為數不多的重要安全風險上,使電子商務系統的整體風險得到有效的控制。風險分析是一種確定風險以及對可能造成的損失進行評估的方法,它是制定安全措施的依據。
風險分析的目標是:確定風險,對可能造成損壞的潛在風險進行定性化和定量化,以及最後在經濟上尋求風險損失和對風險投入成本的平衡。
目前,風險分析主要採用的方法有:風險概率/影響評估矩陣,敏感性分析,模擬等。在進行電子商務安全風險分析時,由於各影響因素量化在現實上的困難,可根據實際需要,主要採用定性方法為主輔以少量定量方法相結合來進行風險分析,為制定風險管理制度和風險的控制提供理論上的依據。
(3)風險控制
風險控制就是選擇和運用一定的風險控制手段,以保障風險降到一個可以接受的水平。風險控制是風險管理中最重要的一個環節,是決定風險管理成敗的關鍵因素。電子商務安全風險控制的目標在於改變企業電子商務項目所承受的風險程度。
一般來說,風險控制方法有兩類:
第一類是風險控制措施,比如降低、避免、轉移風險和損失管理等。在電子商務安全風險管理中,比較常用的是轉移風險和損失管理。
第二類為風險補償的籌資措施,包括保險與自擔風險。在電子商務安全風險管理中,管理人員需要對風險補償的籌資措施進行決策,即選擇保險還是自擔風險。
此外,風險控制方法的選擇應當充分考慮相對風險造成損失的成本,當然其它方面的影響也是不容忽視的,如企業商譽等。
對電子商務安全來說,其有效可行的風險控制方法是:建立完整高效的降低風險的安全性解決方案,掌握保障安全性所需的一些基礎技術,並規劃好發生特定安全事故時企業應該採取的解決方案。
5 風險管理對策
由於電子商務安全的重要性,所以部署一個完整有效的電子商務安全風險管理對策顯得十分迫切。制定電子商務安全風險管理對策目的在於消除潛在的威脅和安全漏洞,從而降低電子商務系統環境所面臨的風險。
目前的電子商務安全風險管理對策中,較為常用的是縱深防禦戰略,所謂縱深防禦戰略,就是深層安全和多層安全。通過部署多層安全保護,可以確保當其中一層遭到破壞時,其它層仍能提供保護電子商務系統資源所需的安全。比如,一個單位外部的防火牆遭到破壞,由於內部防火牆的作用,入侵者也無法獲取單位的敏感數據或進行破壞。在較為理想的情況下,每一層均提供不同的對策以免在不同的層中使用相同的攻擊方法。
下圖為一個有效的縱深防禦策略:
圖2 有效的縱深防禦策略
下面就各層的主要防禦內容從外層到里層進行簡要的說明:
1)物理安全
物理安全是整個電子商務系統安全的前提。制定電子商務物理安全策略的目的在於保護計算機系統、電子商務伺服器等各電子商務系統硬體實體和通信鏈路免受自然災害和人為破壞造成的安全風險。
2)周邊防禦
對網路周邊的保護能夠起到抵禦外界攻擊的作用。電子商務系統應盡可能安裝某種類型的安全設備來保護網路的每個訪問節點。在技術上來說,防火牆是網路周邊防禦的最主要的手段,電子商務系統應當安裝一道或多道防火牆,以確保最大限度地降低外界攻擊的風險,並利用入侵檢測功能來及時發現外界的非法訪問和攻擊。
3)網路防禦
網路防禦是對網路系統環境進行評估,採取一定措施來抵禦黑客的攻擊,以確保它們得到適當的保護。就目前來說,網路安全防禦行為是一種被動式的反應行為,而且,防禦技術的發展速度也沒有攻擊技術發展得那麼快。為了提高網路安全防禦能力,使網路安全防護系統在攻擊與防護的對抗中占據主動地位,在網路安全防護系統中,除了使用被動型安全工具(防火牆、漏洞掃描等)外,也需要採用主動型安全防護措施(如:網路陷阱、入侵取證、入侵檢測、自動恢復等)。
4)主機防禦
主機防禦是對系統中的每一台主機進行安全評估,然後根據評估結果制定相應的對策以限制伺服器執行的任務。在主機及其環境中,安全保護對象包括用戶應用環境中的伺服器、客戶機以及其上安裝的操作系統和應用系統。這些應用能夠提供包括信息訪問、存儲、傳輸、錄入等在內的服務。根據信息保障技術框架,對主機及其環境的安全保護首先是為了建立防止有惡意的內部人員攻擊的首道防線,其次是為了防止外部人員穿越系統保護邊界並進行攻擊的最後防線。
5)應用程序防禦
作為一個防禦層,應用程序的加固是任何一種安全模型中都不可缺少的一部分。加強保護操作系統安全只能提供一定程度的保護。因此,電子商務系統的開發人員有責任將安全保護融入到應用程序中,以便對體系結構中應用程序可訪問到的區域提供專門的保護。應用程序存在於系統的環境中。
6)數據防禦
對許多電子商務企業來說,數據就是企業的資產,一旦落入競爭者手中或損壞將造成不可挽回的損失。因此,加強對電子商務交易及相關數據的防護,對電子商務系統的安全和電子商務項目的正常運行具有重要的現實意義
6 結論
一般來說,風險管理有基本的三個對策,包括管理者採取適當措施來降低風險事故發生的概率;管理者准備並實施一個意外事故應急計劃以備不測;還有就是管理者什麼都不做。對已選定的對策,應對其潛在的風險有充分的估計,並制定相應的應變計劃,以使可能的風險損失降到最低。
風險管理沒有鐵定的規則,對於電子商務安全風險管理來說,首先是掃描和檢測電子商務系統的內外部環境,檢查系統的脆弱性和薄弱環節,及時打上補丁和追加設備,以便當風險產生時盡可能地減少損失;其次是對電子商務安全風險進行充分地分析,然後制定相應的規劃和措施,並在其實施的每個階段進行監控和跟蹤;最後是根據環境的變化隨時調整風險管理措施,制定完備的災難恢復計劃。
參考文獻
[1]甘早斌.電子商務概論(第二版).華中科技大學出版社.2003.9
[2]鍾誠.電子商務安全.重慶大學出版社.2004.6
[3]才書訓.電子商務安全風險管理與控制.東北大學出版社.2004.6
[4]易珊,張學哲.電子商務安全策略分析.科技情報開發與經濟.2004.5
[5]高新亞,鄒靜.電子商務安全的風險分析和風險管理.武漢理工大學學報.信息與管理工程版.2005.8
[6]郭學勤,陳怡.電子商務安全對策.計算機與數字工程.2001.7
[7]李晶.電子商務安全防範措施.安徽科技.2003.4
[8]Greenstein M,FeinmanT M.Electronic Commerce:Security,Risk Management and Control[M].New York:McGraw-Hill Companies,Inc.,2000
[9]Charles Cresson Wood, Essential Controls for Internet Electronic Commerce[M].Network Security,1998
② 電商存在的風險有那些
如何避免電子商務的風險
在我國市場經濟下,任何商業活動都是存在風險的,電子商務也不例外,這時就需要我們正確認識電子商務的風險表現形式,合理進行規避和防範這些風險,以便更好的把握風險,合理控制風險,將風險將為最低,實現利益的最大化。
一、電子商務風險的主要表現形式
目前,電子商務風險的表現形式主要包括以下幾種類型:
(一)商業風險
商業風險主要表現在消費者對產品的期望值過高,使得在運營過程中存在很大風險,雖然電子商務的最大優勢是便捷和快速,越來越受廣大青年朋友的喜愛,不出家門就可以買到自己喜歡的商品,便捷的物流使得第二天就能收到貨。然而當消費者真正收到貨時,與自己期望的落差過大,導致電子商務已不能滿足消費者的需求,更為嚴重的是還會失去老顧客。這就要求電商在進行電子商務時不能只顧網上銷售平台的建立,而忽視客戶服務和產品質量等售後工作,要站在消費者角度宏觀把控,力爭將這種商業風險降到最低,避免給企業帶來損失。
(二)技術風險
由於電商企業的特殊性,在進行運營時勢必會大量使用各種信息技術,在享受這些新技術帶來利益的同時也面臨著相應的技術風險。主要表現在信息技術的基礎措施沒有完善,導致計算機硬體出現故障;還有就是對軟體技術的使用,由於操作不當,使得程序里的信息全部泄露,特別是一些重要的客戶信息和電商企業的內部機密被盜,給企業帶來巨大損失,嚴重者會導致企業破產,可想而知不完善的程序設計給電子商務帶來巨大的技術風險。
(三)法律風險
由於電子商務形成的時間較晚,相應的法律法規還未正式立法,而且適用法律的界限較為模糊,使得電商企業在發展時受到很大局限,加上電子商務是全球性的,導致企業在進行交易時只能不違規現行法律的規定,卻又害怕與今後的法律相沖突,嚴重製約著企業的健康發展。電子商務主要是在虛擬的網路環境下進行交易,在進行交易時許多的電子合同,電子商務認證和網上知識產權都沒有明確的法律法規,給企業造成相應的法律風險,合法權益得不到有效保障,不利於企業的正常發展和壯大。
二、電子商務風險的主要控制方法
(一)從技術層面規避風險
根據上面所說的技術風險,就需要電子商務企業在技術方面進行規避風險帶來的損失。首先電商企業需要在總體的安全策略方面制度一個有效可行的方案,先熟悉和掌握保證安全性所需具備的基礎性技術,然後配備相應人力和物力;其次是要制定具體的戰略性方針,讓相應的人力落實到位,從而建立起一套完善的管理控制架構來確保降低企業技術風險。建立虛擬專用網路供企業員工進行電子交易,同時還要將公共安全網路設置相應許可權,給企業的數據進行加密,做到專用網路性能的服務,真正提高網路安全。當然,培訓企業的集體防毒意識更重要,確保每部電腦上都安裝可靠的殺毒軟體,將企業內網和外網建立防火牆,避免遭到黑客攻擊,只有這樣才能真正從技術層面確保企業的網路安全,降低風險帶來的損失。
(二)從制度層面規避風險
企業在進行重大決策時,首先需要從財務的專業角度去預測風險,以及風險帶來的損失,合理把握企業產生的經濟收益,這時就需要每個部門進行協助,將各個部門存在的風險都一一上報財務,以便做好防範准備工作。其次,還需要建立風險識別系統,一旦發現有風險,確保每個部門都識別出並及時做出應急措施,提前可以進行多次演練,確保真實發生時做到有條不紊的降低風險,同時,當出現風險時,技術部門需要及時進行總結和分析,找出風險存在的原因和如何規避下次再出現此類現象,從而建立起完善的機制,確保降低企業風險。
(三)從稅收層面規避風險
由於我國電子商務市場在實踐中的發展還不夠完善,在帶來許多商機的同時,更需要政府提供更多支持,可以從稅收優惠政策和稅收減免政策,從而建立起明確的稅法,要求電子商務企業進行稅務登記制度,將現行稅法加以完善,把消費者在進行支付時就直接作為征稅環節,制定出更符合電子商務市場發展的稅法。以便電子商務企業有享受更多的稅收政策,降低企業的稅負和稅收負擔,鼓勵更多的電商企業進行運營,從稅收層面來降低企業風險。
結束語
綜上所述,我們可以看出隨著網路技術的不斷發展,人們對電子商務的認識也越來越多,希望電子
③ 求電子商務風險管理的案例及其分析
詳細的案例、分析、解決方案等!必須是關於電子商務安全風險管理的,網路風險方面的除外!
這方面的文章,網上有很多
④ 知名企業阿里巴巴對電子商務交易風險的管理採取了哪些措施
1、實名認證:確保資金合法,個人或者企業信息真實;
2、支付寶中介版:包括信用認證、資金中權介、資金擔保;
3、預收保證金抵押:保證買賣雙方合法,用保證金保證雙方利益;
4、淘寶小二的客服介入機制;
5、必要的法律和法務服務。
⑤ 如何管理電子商務項目的風險
1)自上而下的風險意識,縮短電子商務項目周期,增加更多的項目選擇,安全,保密,實用內。在電子務項目容中引入第三方參與的電子商務項目監理管理機制,電子商務項目監理有助於發揮第三方的業化服務功能。
2)從技術角度在實現風險管理過程中項目組可建立電子商務風險管理平台來對項目進行全面、系統、連續風險管理,從而達到實時檢測。
⑥ 電子商務風險管理相關例子
去中國論文資料庫吧,就是CNKI。下載不不了那裡的論文的話,我推薦你去淘寶的(翰林書店)店鋪,我去那裡下過
⑦ 怎樣做好電商系統的過程風險控制
第一,實施ERP應該認真執行「整體規劃、分步實施、關注試點、持續優化」的實施策略。
有些企業做到了「整體規劃,分步實施」,但忽略了「關注試點,持續優化」,在某一階段工作完成後,並未就ERP對管理的促進和需要持續優化方面進行總結,並堅定不移地進行後續推動。ERP「上線」並不是項目的結束,而是一個新過程的開始,後續實施需要培訓和軟體支持,需要持續改進、學習和適應。
第二,ERP的成功實施離不開人的作用。
即ERP建設需要企業內部全體員工參與,要求決策層、管理層、操作層各級相關人員密切配合,而不僅僅是幾個IT人員的事。首先,要有企業高層管理的強力支持。ERP的實施應是一把手工程,如果企業高層不能清醒地認識實施ERP的目的和風險,就不會注入足夠的資源參與到項目中,不會投入足夠的精力參與項目的各種重大決策。不會為ERP項目營造足夠的聲勢,使全體員工在意識上做好迎接管理變革的准備:其次,業務部門要積極參與。很多企業在ERP項目早期會把它當成是IT部門或企劃部門的信息工程項目,項目小組通常只由IT人員和咨詢顧問組成,而沒有業務部門的參與。這樣導致的後果是項目周期的拖長和總體資源的浪費。因為IT人員缺乏業務背景和決策能力,而顧問對企業的了解較少,項目小組的工作結果往往不被業務部門接受,而且項目的決策周期通常很長。
第三,企業實施ERP時,應與咨詢方密切合作。
任何把ERP項目當作是咨詢方的項目都會導致不成功。原因是咨詢方不可能對企業有深刻的了解,也不可能為企業作決策。咨詢方的主要責任是向用戶提供管理改進的建議和技術支持。在日事清上專門創建一個項目小組,增加雙方的溝通,企業只有把ERP項目真正當作自己的項目,才能充分發揮咨詢方的作用和實現管理變革的目標。
第四,選擇合適的軟體及供應商。
企業內部的IT人員雖然也能開發一些管理信息系統軟體,但這些軟體很難體現先進的管理思想,往往是手工管理的翻版,用先進的工具去維護落後的管理思想和制度。由於ERP系統非常龐大復雜,根本不是幾個IT人員所能完成的,並考慮到IT人員的高流動性和系統的高依賴性,因此企業一般來說應當購買成熟的商品化ERP軟體,並針對企業特色,組織本企業內部的IT人員配合軟體供應商進行一定程度的二次開發。同時,ERP選型不單純是選擇軟體,更為重要的是選擇軟體公司。企業應按照最適用原則,貨比三家地選擇合適的軟體和供應商。
第五,充分的數據准備。
沒有準確的數據就沒有成功的ERP。從ERP實施項目開始,就重視數據准備工作,是避免實施風險的重要因素。數據准備包括數據整理、規則統一、數據倒入等工作。明確項目中的數據管理組織及責任是非常必要的。
第六,廣泛的教育和培訓。
使用ERP系統將在很大程度上改變員工現有的操作方式或流程,如果在系統投入使用前不對用戶進行充分的培訓,將直接導致大量數據錯誤或操作錯誤。而ERP系統是整合性很強的系統,業務的操作會自動在財務中體現出來。若有大量的業務操作失誤,財務系統將產生紊亂。這也是部分企業實施ERP失敗的原因之一。
ERP是IT技術與管理思想的融合體,ERP是信息時代的現代企業向國際化發展的更高層管理模式,它能更好地支持企業各方面的集成,達成企業的管理目標,並將給企業帶來更廣泛、更長遠的經濟效益與社會效益。
⑧ 電子商務中的法律風險與防範
電子商務企業內生風險防範體系
所謂電子商務企業內生風險防範體系,是指電子商務企業內部建立的風險防範機構、機制、對策、方法、措施等的綜合。
提高風險防範意識
對IT從業人員進行電子商務運作和安全管理的系統而全面的教育,並培養其相關的風險防範意識,給予其更多的培訓及資格認證,從而使其對企業應用電子商務有一個全面和客觀的認識。
加強內部管理機制
「三分技術、七分管理」的理念不能只停留在理論階段,更重要的是企業應該將其轉化為具體的操作。內部管理機制設計的基本原則是:要求發生在系統內的所有行為都是有定義的行為,並且符合程序控制的要求,所有行為的發生都有審計記錄,管理的有效性,可以解決許多技術層次解決不了的風險問題。
實施風險防範等級管理
此點可借鑒我國實施的「信息安全等級保護政策」,對企業來講,風險可以分為重要風險和一般風險,企業應該堅持安全成本與風險相平衡的原則,根據企業的實際需要,抓住重點,力求具體、明確、到位,講究實效。
建立主動性安全基礎構架
賽門鐵克公司亞太地區副總裁Vince Steckler在2004年3月5日的亞太安全論壇上作了「在企業范圍內建立主動性安全基礎構架」的演講,主要針對企業提供各種前瞻性措施,通過在企業范圍內實施完善的安全措施,有效識別和管理漏洞,將安全策略與商業戰略結合起來,築起一道抵禦不斷升級的風險威脅的重要防線。
外生風險防範體系是指對電子商務企業風險起防範作用的相關法律法規、信用、物流和電子支付等社會體系的總和。
電子商務安全的法制建設
在參考國際《電子商務示範法》的前提下,根據我國的國情,制定一部用以規范電子商務活動的法律或法規,以解決電子商務發展所面臨的法律法規問題。我國電子商務立法的運用范圍,應包括電子合同的效力問題、電子支付及金融管理、稅收與保險、網路管理與信息安全保護、電子證據與電子簽名的法律認定、政府的強制性措施及審查機制、市場准入規則、知識產權保護、消費者合法權益的保護、司法的國際管轄和國際協助等等。
建立電子商務的信用體系環境
電子商務交易涉及廠家、商家、網站、銀行、消費者等多方面利益的信用問題,難以孤立地解決,必須建立一個社會信用體系環境。全社會首先要建立一種自己守信用、人人守信用、也相信別人守信用的心態。其次要健全完善信用制度,通過設置合理的運行機制和運行標准,並通過監督機構,保證參與交易各方按期、按質、按量支付貨款和交送貨物。
加快物流配送體系的建設
一是要逐步開放市場,歡迎國內外的物流公司參與競爭,通過競爭,使我國的物流配送體系日趨完善。二是要重視物流人才培養,除了學校的人才培養外,還要加快物流師職業資格認證的步伐。三是要在物流管理技術化、信息化、柔性化和一體化等方面加強物流管理的創新。
完善電子商務的支付手段
電子商務交易需要信息流、物流和資金流的同時暢通,因此必須完善電子支付系統,提高銀行電子支付水平,建立一個安全、嚴密、可靠的社會范圍的電子貨幣支付系統,並成立電子商務認證機構,盡快成立統一網上結算中心,並逐步開展與國外客戶的網上結算服務。
電子商務企業內外協同防範體系
電子商務企業協同防範體系是指需要電子商務企業和外部共同來完成的技術研究、人才培養、協調機制建設和聯盟建立等方面的總和。
加強電子商務安全技術的研究
有關部門(可以是政府、科研單位、院校和企業聯合)應組織一支精乾的安全技術研究隊伍,集中力量盡快解決電子商務的安全技術問題,包括加密技術、防火牆技術、數字簽名技術、報文摘要技術、認證技術、留痕技術等,並能夠隨著計算機和電子商務技術的發展而不斷改進這些技術。應該建立電子商務安全體系結構和具有權威性和公正性的CA認證機構。此外,還應著手建立相應的國家級的安全控制中心系統,這一系統應包括國際出入口(信息海關)監控、電子交易證書授權、密鑰管理、安全產品評測認證、病毒檢測和防治、系統攻擊與反攻擊等分中心。
大力培養電子商務人才,推廣與普及電子商務知識
必須加強對電子商務人才的培養、大力推廣與普及有關電子商務的知識,一方面要進一步加強各高校電子商務專業建設,另一方面要進一步推進電子商務師職業資格認證培訓,實施持證上崗制度。
建立協調機制
這要求企業和各級信息安全保障中心和信息安全行業協會密切配合,互通風險預警信息,從而共同維護電子商務交易的安全性。同時要加強科研單位、院校對風險管理理論的研究和安全企業實踐應用的協調,要把理論和實踐真正的聯系起來,達到理論與實踐的真正結合。
風險戰略聯盟建設
戰略聯盟不單是在獲取利益、實現市場機會方面發揮著重要作用,在分擔風險、防範風險方面同樣也起著重要作用。2004年2月25日在舊金山舉行的RSA峰會發布的公告,美國數家從事電腦安全的公司倡儀組成一個聯盟組織用以保護企業及基礎網路設施,共同防範信息風險。該組織被稱為信息安全行業聯盟(CSIA—Cyber Security Instry Alliance),將與美國國家安全部、國際及美國的標准組織合作,共防信息風險,支持新興的安全標准和規范。
電子商務企業內生防範體系的自控、外生防範體系的他律和協同防範體系的聯防,三者缺一不可,並共同對電子商務企業風險起著防範制約作用。只有電子商務企業的風險防範措施得當,加上長久連續的風險防範,才能使電子商務健康快速地發展,並成為未來商務的主流形式,才能使電子商務企業實現相應的效益,提高自己的企業競爭力。
⑨ 國內外電子商務風險控制研究現狀
電子商務企業內生風險防範體系
所謂電子商務企業內生風險防範體系,是指電子商務企業內部建立的風險防範機構、機制、對策、方法、措施等的綜合。
提高風險防範意識
對IT從業人員進行電子商務運作和安全管理的系統而全面的教育,並培養其相關的風險防範意識,給予其更多的培訓及資格認證,從而使其對企業應用電子商務有一個全面和客觀的認識。
加強內部管理機制
「三分技術、七分管理」的理念不能只停留在理論階段,更重要的是企業應該將其轉化為具體的操作。內部管理機制設計的基本原則是:要求發生在系統內的所有行為都是有定義的行為,並且符合程序控制的要求,所有行為的發生都有審計記錄,管理的有效性,可以解決許多技術層次解決不了的風險問題。
實施風險防範等級管理
此點可借鑒我國實施的「信息安全等級保護政策」,對企業來講,風險可以分為重要風險和一般風險,企業應該堅持安全成本與風險相平衡的原則,根據企業的實際需要,抓住重點,力求具體、明確、到位,講究實效。
建立主動性安全基礎構架
賽門鐵克公司亞太地區副總裁Vince Steckler在2004年3月5日的亞太安全論壇上作了「在企業范圍內建立主動性安全基礎構架」的演講,主要針對企業提供各種前瞻性措施,通過在企業范圍內實施完善的安全措施,有效識別和管理漏洞,將安全策略與商業戰略結合起來,築起一道抵禦不斷升級的風險威脅的重要防線。
外生風險防範體系是指對電子商務企業風險起防範作用的相關法律法規、信用、物流和電子支付等社會體系的總和。
電子商務安全的法制建設
在參考國際《電子商務示範法》的前提下,根據我國的國情,制定一部用以規范電子商務活動的法律或法規,以解決電子商務發展所面臨的法律法規問題。我國電子商務立法的運用范圍,應包括電子合同的效力問題、電子支付及金融管理、稅收與保險、網路管理與信息安全保護、電子證據與電子簽名的法律認定、政府的強制性措施及審查機制、市場准入規則、知識產權保護、消費者合法權益的保護、司法的國際管轄和國際協助等等。
建立電子商務的信用體系環境
電子商務交易涉及廠家、商家、網站、銀行、消費者等多方面利益的信用問題,難以孤立地解決,必須建立一個社會信用體系環境。全社會首先要建立一種自己守信用、人人守信用、也相信別人守信用的心態。其次要健全完善信用制度,通過設置合理的運行機制和運行標准,並通過監督機構,保證參與交易各方按期、按質、按量支付貨款和交送貨物。
加快物流配送體系的建設
一是要逐步開放市場,歡迎國內外的物流公司參與競爭,通過競爭,使我國的物流配送體系日趨完善。二是要重視物流人才培養,除了學校的人才培養外,還要加快物流師職業資格認證的步伐。三是要在物流管理技術化、信息化、柔性化和一體化等方面加強物流管理的創新。
完善電子商務的支付手段
電子商務交易需要信息流、物流和資金流的同時暢通,因此必須完善電子支付系統,提高銀行電子支付水平,建立一個安全、嚴密、可靠的社會范圍的電子貨幣支付系統,並成立電子商務認證機構,盡快成立統一網上結算中心,並逐步開展與國外客戶的網上結算服務。
電子商務企業內外協同防範體系
電子商務企業協同防範體系是指需要電子商務企業和外部共同來完成的技術研究、人才培養、協調機制建設和聯盟建立等方面的總和。
加強電子商務安全技術的研究
有關部門(可以是政府、科研單位、院校和企業聯合)應組織一支精乾的安全技術研究隊伍,集中力量盡快解決電子商務的安全技術問題,包括加密技術、防火牆技術、數字簽名技術、報文摘要技術、認證技術、留痕技術等,並能夠隨著計算機和電子商務技術的發展而不斷改進這些技術。應該建立電子商務安全體系結構和具有權威性和公正性的CA認證機構。此外,還應著手建立相應的國家級的安全控制中心系統,這一系統應包括國際出入口(信息海關)監控、電子交易證書授權、密鑰管理、安全產品評測認證、病毒檢測和防治、系統攻擊與反攻擊等分中心。
大力培養電子商務人才,推廣與普及電子商務知識
必須加強對電子商務人才的培養、大力推廣與普及有關電子商務的知識,一方面要進一步加強各高校電子商務專業建設,另一方面要進一步推進電子商務師職業資格認證培訓,實施持證上崗制度。
建立協調機制
這要求企業和各級信息安全保障中心和信息安全行業協會密切配合,互通風險預警信息,從而共同維護電子商務交易的安全性。同時要加強科研單位、院校對風險管理理論的研究和安全企業實踐應用的協調,要把理論和實踐真正的聯系起來,達到理論與實踐的真正結合。
⑩ 電子商務交易風險及對策
電子商務安全風險管理研究
林黎明1 李新春2
( 中國礦業大學 管理學院,江蘇 徐州 221008 )
摘要 該文基於目前電子商務安全所面臨的各種風險問題,結合當前的一些風險管理方法,對電子商務系統安全風險管理進行一些基本的分析和研究,以期對企業電子商務安全風險管理提供一些有價值的借鑒和參考。
關鍵詞 電子商務安全,風險管理,風險識別,風險控制
1 引言
隨著開放的互聯網路系統Internet的飛速發展,電子商務的應用和推廣極大了改變了人們工作和生活方式,帶來了無限的商機。然而,電子商務發展所依託的平台—互聯網路卻充滿了巨大、復雜的安全風險。黑客的攻擊、病毒的肆虐等等都使得電子商務業務很難安全順利地開展;此外,電子商務的發展還面臨著嚴峻的內部風險,電子商務企業內部對安全問題的盲目和安全意識的淡薄,高層領導對電子商務的運作和安全管理重視程度不足,使得企業實施電子商務不可避免地會遇到這樣或那樣的風險。因此,在考察電子商務運行環境、提供電子商務安全解決方案的同時,有必要重點評估電子商務系統面臨的風險問題以及對風險有效管理和控制方法。
電子商務安全的風險管理是對電子商務系統的安全風險進行識別、衡量、分析,並在這基礎上盡可能地以最低的成本和代價實現盡可能大的安全保障的科學管理方法。
2 電子商務面臨的安全風險
由於網路的復雜性和脆弱性,以網際網路為主要平台的電子商務的發展面臨著嚴峻的安全問題。一般來說,電子商務普遍存在著以下幾個安全風險:
1)信息的截獲和竊取
這是指電子商務相關用戶或外來者未經授權通過各種技術手段截獲和竊取他人的文電內容以獲取商業機密。
2)信息的篡改
網路攻擊者依靠各種技術方法和手段對傳輸的信息進行中途的篡改、刪除或插入,並發往目的地,從而達到破壞信息完整性的目的。
3)拒絕服務
拒絕服務是指在一定時間內,網路系統或伺服器服務系統的作用完全失效。其主要原因來自黑客和病毒的攻擊以及計算機硬體的認為破壞。
4)系統資源失竊問題
在網路系統環境中,系統資源失竊是常見的安全威脅。
5)信息的假冒
信息的假冒是指當攻擊者掌握了網路信息數據規律或解密了商務信息後,可以假冒合法用戶或假冒信息來欺騙其它用戶。主要表現形式有假冒客戶進行非法交易,偽造電子郵件等。
6)交易的抵賴
交易抵賴包括發信者事後否認曾經發送過某條信息;買家做了定單後不承認;賣家賣出的商品因價格差而不承認原先的交易等。
3 風險管理規則
針對電子商務面臨的各種安全風險,電子商務企業不能被動、消極地應付,而應該主動採取措施維護電子商務系統的安全,並監視新的威脅和漏洞。因此,這就需要制定完整高效的電子商務安全風險管理規則。
一般來說,風險管理規則的制定過程有評估、開發和實施以及運行三個階段。
(1)評估階段
該階段的主要任務是對電子商務的安全現狀、要保護的信息、各種資產等進行充分的評估以及一些基本的安全風險識別和分析。
對電子商務安全現狀的評估是制定風險管理規則的基礎。
對信息和資產的評估是指對可能遭受損失的相關信息和資產進行價值的評估,以便確定相適應的風險管理規則,從而避免投入成本和要保護的信息和資產的嚴重不匹配。
安全風險識別要求盡可能地發現潛在的安全風險,應收集有關各種威脅、漏洞、開發和對策的信息。
安全風險分析是確定風險,收集信息,對可能造成的損失進行評價以估計風險的級別,以便做出明智的決策,從而採取措施來規避安全風險。
(2)開發和實施階段
該階段的任務包括風險補救措施開發、風險補救措施測試和風險知識學習。
風險補救措施開發利用評估階段的成果來建立一個新的安全管理策略,其中涉及配置管
理、修補程序管理、系統監視與審核等等。
在完成對風險補救措施的開發後,即進行安全風險補救措施的測試,在測試過程中,將按照安全風險的控制效果來評估對策的有效性。
(3)運行階段
運行階段的主要任務包括在新的安全風險管理規則下評估新的安全風險。這個過程實際上是變更管理的過程,也是執行安全配置管理的過程。
運行階段的第二個任務是對新的或已更改的對策進行穩定性測試和部署。這個過程由系統管理、安全管理和網路管理小組來共同實施。
以上風險管理規則的三個階段可以用下圖來表示:
圖1 風險管理規則的三個階段
4 風險管理步驟
風險管理是識別風險、分析風險並制定風險管理計劃的過程。電子商務安全風險的管理和控制方法,它包括風險識別、風險分析、風險控制以及風險監控等四個方面。
(1)風險識別
電子商務系統的安全要求是通過對風險的系統評估而確認的。為了有效管理電子商務安全風險,識別安全風險是風險管理的第一步。
風險識別是在收集有關各種威脅、漏洞和相關對策等信息的基礎上,識別各種可能對電子商務系統造成潛在威脅的安全風險。
風險識別的手段五花八門,對於電子商務系統的安全來說,風險識別的目標是主要是對電子商務系統的網路環境風險、數據存在風險和網上支付風險進行識別。
需要注意的是,並非所有的電子商務安全風險都可以通過風險識別來進行管理,風險識別只能發現已知的風險或根據已知風險較容易獲知的潛在風險。而對於大部分的未知風險,則依賴於風險分析和控制來加以解決或降低。
(2)風險分析
風險分析是運用分析、比較、評估等各種定性、定量的方法,確定電子商務安全各風險要素的重要性,對風險排序並評估其對電子商務系統各方面的可能後果,從而使電子商務系統項目實施人員可以將主要精力放在對付為數不多的重要安全風險上,使電子商務系統的整體風險得到有效的控制。風險分析是一種確定風險以及對可能造成的損失進行評估的方法,它是制定安全措施的依據。
風險分析的目標是:確定風險,對可能造成損壞的潛在風險進行定性化和定量化,以及最後在經濟上尋求風險損失和對風險投入成本的平衡。
目前,風險分析主要採用的方法有:風險概率/影響評估矩陣,敏感性分析,模擬等。在進行電子商務安全風險分析時,由於各影響因素量化在現實上的困難,可根據實際需要,主要採用定性方法為主輔以少量定量方法相結合來進行風險分析,為制定風險管理制度和風險的控制提供理論上的依據。
(3)風險控制
風險控制就是選擇和運用一定的風險控制手段,以保障風險降到一個可以接受的水平。風險控制是風險管理中最重要的一個環節,是決定風險管理成敗的關鍵因素。電子商務安全風險控制的目標在於改變企業電子商務項目所承受的風險程度。
一般來說,風險控制方法有兩類:
第一類是風險控制措施,比如降低、避免、轉移風險和損失管理等。在電子商務安全風險管理中,比較常用的是轉移風險和損失管理。
第二類為風險補償的籌資措施,包括保險與自擔風險。在電子商務安全風險管理中,管理人員需要對風險補償的籌資措施進行決策,即選擇保險還是自擔風險。
此外,風險控制方法的選擇應當充分考慮相對風險造成損失的成本,當然其它方面的影響也是不容忽視的,如企業商譽等。
對電子商務安全來說,其有效可行的風險控制方法是:建立完整高效的降低風險的安全性解決方案,掌握保障安全性所需的一些基礎技術,並規劃好發生特定安全事故時企業應該採取的解決方案。
5 風險管理對策
由於電子商務安全的重要性,所以部署一個完整有效的電子商務安全風險管理對策顯得十分迫切。制定電子商務安全風險管理對策目的在於消除潛在的威脅和安全漏洞,從而降低電子商務系統環境所面臨的風險。
目前的電子商務安全風險管理對策中,較為常用的是縱深防禦戰略,所謂縱深防禦戰略,就是深層安全和多層安全。通過部署多層安全保護,可以確保當其中一層遭到破壞時,其它層仍能提供保護電子商務系統資源所需的安全。比如,一個單位外部的防火牆遭到破壞,由於內部防火牆的作用,入侵者也無法獲取單位的敏感數據或進行破壞。在較為理想的情況下,每一層均提供不同的對策以免在不同的層中使用相同的攻擊方法。
下圖為一個有效的縱深防禦策略:
圖2 有效的縱深防禦策略
下面就各層的主要防禦內容從外層到里層進行簡要的說明:
1)物理安全
物理安全是整個電子商務系統安全的前提。制定電子商務物理安全策略的目的在於保護計算機系統、電子商務伺服器等各電子商務系統硬體實體和通信鏈路免受自然災害和人為破壞造成的安全風險。
2)周邊防禦
對網路周邊的保護能夠起到抵禦外界攻擊的作用。電子商務系統應盡可能安裝某種類型的安全設備來保護網路的每個訪問節點。在技術上來說,防火牆是網路周邊防禦的最主要的手段,電子商務系統應當安裝一道或多道防火牆,以確保最大限度地降低外界攻擊的風險,並利用入侵檢測功能來及時發現外界的非法訪問和攻擊。
3)網路防禦
網路防禦是對網路系統環境進行評估,採取一定措施來抵禦黑客的攻擊,以確保它們得到適當的保護。就目前來說,網路安全防禦行為是一種被動式的反應行為,而且,防禦技術的發展速度也沒有攻擊技術發展得那麼快。為了提高網路安全防禦能力,使網路安全防護系統在攻擊與防護的對抗中占據主動地位,在網路安全防護系統中,除了使用被動型安全工具(防火牆、漏洞掃描等)外,也需要採用主動型安全防護措施(如:網路陷阱、入侵取證、入侵檢測、自動恢復等)。
4)主機防禦
主機防禦是對系統中的每一台主機進行安全評估,然後根據評估結果制定相應的對策以限制伺服器執行的任務。在主機及其環境中,安全保護對象包括用戶應用環境中的伺服器、客戶機以及其上安裝的操作系統和應用系統。這些應用能夠提供包括信息訪問、存儲、傳輸、錄入等在內的服務。根據信息保障技術框架,對主機及其環境的安全保護首先是為了建立防止有惡意的內部人員攻擊的首道防線,其次是為了防止外部人員穿越系統保護邊界並進行攻擊的最後防線。
5)應用程序防禦
作為一個防禦層,應用程序的加固是任何一種安全模型中都不可缺少的一部分。加強保護操作系統安全只能提供一定程度的保護。因此,電子商務系統的開發人員有責任將安全保護融入到應用程序中,以便對體系結構中應用程序可訪問到的區域提供專門的保護。應用程序存在於系統的環境中。
6)數據防禦
對許多電子商務企業來說,數據就是企業的資產,一旦落入競爭者手中或損壞將造成不可挽回的損失。因此,加強對電子商務交易及相關數據的防護,對電子商務系統的安全和電子商務項目的正常運行具有重要的現實意義
6 結論
一般來說,風險管理有基本的三個對策,包括管理者採取適當措施來降低風險事故發生的概率;管理者准備並實施一個意外事故應急計劃以備不測;還有就是管理者什麼都不做。對已選定的對策,應對其潛在的風險有充分的估計,並制定相應的應變計劃,以使可能的風險損失降到最低。
風險管理沒有鐵定的規則,對於電子商務安全風險管理來說,首先是掃描和檢測電子商務系統的內外部環境,檢查系統的脆弱性和薄弱環節,及時打上補丁和追加設備,以便當風險產生時盡可能地減少損失;其次是對電子商務安全風險進行充分地分析,然後制定相應的規劃和措施,並在其實施的每個階段進行監控和跟蹤;最後是根據環境的變化隨時調整風險管理措施,制定完備的災難恢復計劃。
參考文獻
[1]甘早斌.電子商務概論(第二版).華中科技大學出版社.2003.9
[2]鍾誠.電子商務安全.重慶大學出版社.2004.6
[3]才書訓.電子商務安全風險管理與控制.東北大學出版社.2004.6
[4]易珊,張學哲.電子商務安全策略分析.科技情報開發與經濟.2004.5
[5]高新亞,鄒靜.電子商務安全的風險分析和風險管理.武漢理工大學學報.信息與管理工程版.2005.8
[6]郭學勤,陳怡.電子商務安全對策.計算機與數字工程.2001.7
[7]李晶.電子商務安全防範措施.安徽科技.2003.4
[8]Greenstein M,FeinmanT M.Electronic Commerce:Security,Risk Management and Control[M].New York:McGraw-Hill Companies,Inc.,2000
[9]Charles Cresson Wood, Essential Controls for Internet Electronic Commerce[M].Network Security,1998