電子商務的安全與風險管理

A. 電子商務交易風險及對策

電子商務交易風險及對策
1 引言
隨著互聯網的迅速發展，電子商務的應用和推廣極大地改變了人們的工作和生活方式，帶來了無限的商機。然而，電子商務發展所依賴的平台——互聯網充滿了巨大、復雜的安全風險。黑客的攻擊、病毒的擴散等都使得電子商務業務很難安全順利地開展；此外，電子商務的發展還面臨著嚴峻的內部風險，電子商務企業內部對安全問題的忽視和安全意識的淡薄，高層領導對電子商務的運作和安全管理重視程度不足，使得企業實施電子商務不可避免地會遇到這樣或那樣的風險。因此，在考察電子商務運行環境、提供電子商務安全解決方案的同時，有必要重點評估電子商務系統面臨的風險問題以及對風險有效管理和控制的辦法。
電子商務安全的風險管理是對電子商務系統的安全風險進行識別、衡量、分析，並在這基礎上盡可能地以最低的成本和代價實現盡可能大的安全保障的科學管理方法。
2 電子商務面臨的安全風險
由於網路的復雜性和脆弱性，以網際網路為主要平台的電子商務的發展面臨著嚴峻的安全問題。一般來說，電子商務普遍存在著以下幾個安全風險：
1）信息的截獲和竊取：這是指電子商務相關用戶或外來者未經授權通過鍵信中各種技術手段截獲和竊取他人的文電內容以獲取商業機密。
2）信息的篡改：網路攻擊者依靠各種技術方法和手段對傳輸的信息進行中途的篡改、刪除或插入，並發往目的地，從而達到破壞信息完整性的目的。
3）拒絕服務：拒絕服務是指在一定時間內，網路系統或伺服器服務系統的作用完全失效。其主要原因來自黑客和病毒的攻擊以及計算機硬體的破壞。
4）系統資源失竊問題：在網路系統環境中，系統資源失竊是常見的安全威脅。
5）信息的假冒：信息的假冒是指當攻擊者掌握了網路信息數據規律或解密了商務信息後，可以假冒合法用戶或假冒信息來欺騙其他用戶。主要表現形式有假冒客戶進行非法交易，偽造電子郵件等。
6）交易的抵賴：交易抵賴包括發信者事後否認曾經發送過某條信息；買家做了定單後不承認；賣家賣出的商品因價格差而不承認原先的交易等。
3 風險管理規則
針對電子商務面臨的各種安全風險，電子商務企業不能被動、消極地應付，而應該主動採取措施維護電子商務系統的安全，並監控新的威脅和漏洞。因此，需要制定完整高效的電子商務安全風險管理規則。
一般來說，風險管理規則的制定過程包括評估、開發和實施以及運行三個階段。
（1）評估階段：主要任務是全面評估電子商務的安全現狀、要保護的信息、各種資產等進行風險識別和分析。
（2）開發和實施階段：任務包括風險補救措施的開發、風險補救措施的測試和風險知識的學習。
（3）運行階段：主要任務包括在新的安全風險管理規則下評估新的安全風險，這個過程實際上是變更管理的過程，也是執行安全配置管理的過程。
4 風險管理步驟
風險管理是識別風險、分析風險並制定風險管理計劃的過程。電子商務安全風險的管理和控制方法包括風險識別、風險分析、風險控制以及風險監控等四個方面。
（1）風險識別：電子商務系統的安全要求是通過對風險的系統評估而確認的。為了有效管理電子商務安全風險，識別安全風險是風險管理的第一步。
（2）風險分析：風險分析是運用分析、比較、評估等各種定性、定量的方法，確定電子商務安全各風險要素的重要性，對風險排序並評估其對電子商務系統各方面的可能後果，從而使電子商務系統項目實施人員可以將主要精力放在對付為數不多的重要安全風險上，使電子商務系統的整體風險得到有效的控制。
（3）風險控制：風險控制就是選擇和運用一定的風險控制手段，以保障風險降到一個可以接受的水平。風險控制是風險管理中最重要的一個環節，是決定風險管理成敗的關鍵因素。
（4）風險監控：風險監控是對新的或已更改的對策進行穩定性測試和部署的過程。
5 風險管理對策
由於電子商務安全的重要性，部署一個完整有效的電子商務安全風險管理對策顯得十分迫切。制定電子商務安全風險管理對策目的在於消除潛在的威脅和安全漏洞，從而降低電子商務系統環境所面臨的風險。
目前的電子商務安全風險管理對策中，較為常用的是縱深防禦戰略，所謂縱深防禦戰略，就是深層安全和多層安全。通過部署多層安全保護，可以確保當其中一層遭到破壞時，其它層仍能提供保護電子商務系統資源所需的安全。
6 結論
風險管理沒有固定的規則，對於電子商務安全風險管理來說，首先是掃描和檢測電子商務系統的內外部環境，檢查系統的脆弱性和薄弱環節，及時打上補丁和追加設備，以便當風險產生時盡可能地減少損失；其次是對電子商務安全風險進行充分地分析，然後制定相應的規劃和措施，並在其實施的每個階段進行監控和跟蹤；最後是根據環境的變化隨時調整風險管理措施，制定完備的災難恢復計劃。

B. 電子商務風險管理的三個階段

電子商務風險管理是一個系統的過程，可以分為三個關鍵階段：風險識別、風險評估和風險處理。在風險識別階段，企業需要全面審視自身的電子商務活動，識別可能存在的各種風險因素。這包括但不限於網路安全風險、供應鏈風險、市場風險以及操作風險等。風險識別是風險管理的第一步，通過識別潛在風險，企業能夠更好地了解自己面臨的挑戰。

進入風險評估階段後，企業需要對已識別的風險進行量化分析，評估其對業務可能產生的影響。這一階段通常包括風險概率和影響的評估。通過評估，企業可以確定哪些風險需要優先處理，哪些風險可以暫時擱置。風險評估有助於企業合理分配資源，確保重要風險得到及時關注和處理。

在風險處理階段，企業應制定相應的策略和措施，以減輕或消除已識別和評估的風險。這可能涉及技術措施、管理措施、保險措施等多種手段。例如，企業可以通過加強網路安全防護、優化供應鏈管理、制定市場策略等方式來降低風險。此外，企業還可以通過購買保險來轉移部分風險，確保企業在面對不可預見的風險時能夠獲得及時的支持。

總體而言，電子商務風險管理是一個動態過程，需要企業持續關注和調整。通過有效執行風險識別、風險評估和風險處理這三個階段，企業能夠更好地保護自身利益，應對電子商務領域中的各種挑戰。

C. 簡述電子商務的安全隱患與解決措施

1、數據傳輸安全隱患。

電子商務是在開放的互聯網上進行的貿易，大量的商務信息在計算機和網路上上存放、傳輸，從而形成信息傳輸風險。因此措施可以通過採用數據加密（包括秘密密鑰加密和公開密鑰加密）來實現的，數字信封技術是結合密鑰加密和公開密鑰加密技術實現的。

2、數據完整性的安全隱患。

數據的完整性安全隱患是指數據在傳輸過程中被篡改。因此確保數據不被篡改的措施可以通過採用安全的散列函數和數字簽名技術來實現的。雙重數字簽名可以用於保證多方通信時數據的完整性。

3、身份驗證的安全隱患。

網上通信雙方互不見面，在交易或交換敏感信息時確認對方等真實身份以及確認對方的賬戶信息的真實與否，為身份驗證的安全隱患。解決措施可以通過採用口令技術、公開密鑰技術或數字簽名技術和數字證書技術來實現的。

4、交易抵賴的安全隱患。

網上交易的各方在進行數據傳輸時，當發生交易後交易雙方不認可為本人真實意願的表達而產生的抵賴安全隱患。措施為交易時必須有自身特有的、無法被別人復制的信息，以保證交易發生糾紛時有所對證，可以通過數字簽名技術和數字證書技術來實現的。

(3)電子商務的安全與風險管理擴展閱讀：

電子商務分類：

1、企業對企業的電子商務（B2B）；

2、企業對消費者的電子商務（B2C）；

3、企業對政府的電子商務（B2G）；

4、消費者對政府的電子商務（C2G）；

5、消費者對消費者的電子商務（C2C）；

6、企業、消費者、代理商三者相互轉化的電子商務（ABC）；

7、以消費者為中心的全新商業模式（C2B2S）；

8、以供需方為目標的新型電子商務（P2D）。

D. 電子商務有哪些風險

一、模式同質化風險
在電子商務的早期發展階段，我國的商業模式主要借鑒自美國，如BtoB、BtoC和CtoC等模式。這些模式在初期對電子商務的推廣起到了積極作用。但隨著市場的深化，同質化的商業模式已無法滿足消費者個性化、多樣化的需求。因此，企業在實施電子商務時應注重個性化發展，避免陷入同質化的誤區，以提升競爭優勢。
二、超前的風險
電子商務雖然具有跨越時空、降低成本的優勢，但並非所有企業都適用。有些企業在看到其他企業實施電子商務後，也跟風進行改造，但由於管理水平和供應鏈企業的配合問題，導致巨大的電子商務系統成為擺設。例如，某企業建立BtoB電子商務網站以整合銷售體系，但因合作夥伴不願通過此方式采購，項目面臨淘汰威脅。
三、滯後的風險
與超前風險相反，有些企業本應實施電子商務卻仍固守傳統思維，錯失發展機會。例如，某高科技企業雖意識到需提高管理水平，推行新管理措施，但效果不佳。對於這類企業，應盡快建立ERP和CRM系統，通過電子商務變革傳統管理，提升競爭力。
四、技術風險
我國電子商務面臨的技術問題包括網路應用不廣、網路結構復雜、行業間不能互通互聯等。為此，應建立和完善相關法律法規，開發關鍵技術和產品，形成適應國情的電子商務運營機制。同時，技術風險還體現在安全問題上，如交易安全、認證安全和數據加密等。
五、信譽風險
my8848的倒閉使我國電子商務信譽受到嚴重影響。為克服信譽風險，企業應注重每個訂單、每個客戶的細節，尤其是售後服務和付款方式，不能交易完成後即結束服務。企業應重視長期發展，避免短視行為。
六、人才風險
電子商務對人才的需求日益增加，尤其是計算機和網路經濟人才。我國在這方面的人才缺口較大，且存在向高薪國家外流的趨勢。隨著WTO的加入，人才外流將更加明顯。因此，企業應重視人力資源管理，通過優厚待遇、情感凝聚和事業激勵等措施，防止人才流失。