電子商務風險評估報告

『壹』 險公司內部控制評價

保險小編幫您解答，更多疑問可在線答疑。

加強內部控制是貫徹《會計法》及提高企業管理水平、增強企業競爭力的客觀要求。研究和運用內部控制的各種方法是建立和完善內部控制制度的一項極其重要的內容。
一、組織規劃控制
組織規劃是對企業組織機構設置、職務分工的合理性和有效性所進行的控制。企業組織機構有兩個層面：一是法人的治理結構問題，涉及董事會、監事會、經理的設置及相關關系，二是管理部門設置及其關系，對財務管理來說，就是如何確定財務管理的廣度和深度，由此產生集權管理和分級管理的組織模式。職務分工主要解決不相容職務分離。所謂不相容職務分離是指那些由一個人擔任，即可能發生錯誤和弊端又可掩蓋其錯誤和弊端的職務。企業內部主要不相容職務有：授權批准職務、業務經辦職務、財產保管職務、會計記錄職務和審核監督職務。這五種職務之間應實行如下分離：(1)授權批准職務與執行業務職務相分離。(2)業務經辦職務與審核監督職務分離。(3)業務經辦職務與會計記錄職務分離。(4)財產保管職務與會計記錄職務分離。(5)業務經辦職務與財產保管職務相分離。
要建立健全組織規劃控制，目前必須解決兩個問題：(1)設立管理控制機構。例如，目前有些上市公司中依據自身經營特點設立了審計委員會、價格委員會、報酬委員會等就是完善內部控制機制的有益嘗試。機構設置因單位的經營特點和經營規模而異，很難找到一個通用模式。比如設立價格委員會的企業大都是規模很大、採用集中采購方式且采購價格變動較大的企業，這些企業設立價格委員會能夠有效加強采購環節的價格監督與控制。再比如，對於規模大、技術含量很高、高知人員雲集、按勞取酬的企業，通過設立報酬委員會進行管理層持股及股票期權問題研究，能夠提高報酬計劃按勞取酬科學性、加強報酬計劃執行中的透明度和監控力度。(2)推行職務不兼容制度，杜絕高層管理人員交叉任職。交叉任職主要體現在董事長和總經理為一人，董事會和總經理班子人員重疊。在上市公司中，這一問題雖有了較大的改變，但從公司制企業的總體上看，仍普遍存在。這種交叉任職的後果是董事會與總經理班子之間權責不清、制衡力度銳減。關鍵人大權獨攬，一人具有幾乎無所不管的控制權，且常常集控制權、執行權和監督權於一身，並有較大的任意性。交叉任職違背了內部控制的基本原則，必然帶來權責含糊，易於造成辦事程序由一個人操縱的現象出現。事實上，資金調撥、資產處置、對外投資等方面出現的問題重要原因之一在於交叉任職，董事會缺乏獨立性。因此，建立內部控制框架首先要在組織機構設置和人員配備方面做到董事長和總經理分設、董事會和總經理班子分設，避免人員重疊。
二、授權批准控制
授權批準是指企業在處理經濟業務時，必須經過授權批准以便進行控制，授權批准按其形式可分為一般授權和特殊授權。所謂一般授權是指對辦理常規業務時權力、條件和責任的規定，一般授權時效性較長；而特殊授權是對辦理例外業務時權力、條件和責任的規定，一般其時效性較短。不論採用哪一種授權批准方式，企業必須建立授權批准體系，其中包括：(1)授權批準的范圍，通常企業的所有經營活動都應納入其范圍。(2)授權批準的層次，應根據經濟活動的重要性和金額大小確定不同的授權批准層次，從而保證各管理層有權亦有責。(3)授權批準的責任，應當明確被授權者在履行權力時應對哪些方面負責，應避免責任不清，一旦出現問題又難咎其責的情況發生。(4)授權批準的程序，應規定每一類經濟業務審批程序，以便按程序辦理審
批，以避免越級審批、違規審批的情況發生。單位內部的各級管理層必須在授權范圍內行使相應職權，經辦人員也必須在授權范圍內辦理經濟業務。
三、會計系統控制
會計系統控制要求單位必須依據會計法和國家統一的會計制度等法規，制定適合本單位的會計制度、會計憑證、會計賬簿和財務會計報告的處理程序，實行會計人員崗位責任制，建立嚴密的會計控制系統。會計系統控制主要包括：(1)建立健全內部會計管理規范和監督制度，且要充分體現權責明確、相互制約以及及時進行內部審計的要求。(2)統一會計政策，盡管國家制定了統一的會計制度，但其中某些會計政策是可選的。因此，從企業內部管理要求出發，必須統一執行所確定的會計政策，以便統一核算匯總分析和考核，企業會計政策可以專門文件的方式予以頒布。(3)統一會計科目，在實行國家統一一級會計科目的基礎上，企業應根據經營管理需要，統一設定明細科目，特別是集團性公司更有必要統一下級公司的會計明細科目，以便統一口徑，統一核算。(4)明確會計憑證、會計賬簿和財務會計報告的處理程序與方法，遵循會計制度規定的各條核算原則，使會計真正實現為國家宏觀經濟調控和管理提供信息、為企業內部經營管理提供信息、為企業外部各有關方面了解其財務狀況和經營成果提供信息的目標。
四、全面預算控制
全面預算是企業財務管理的重要組成部分，它是為達到企業既定目標編制的經營、資本、財務等年度收支總體計劃，從某種意義上講，全面預算也是對企業經濟業務規劃的授權批准。全面預算控制應抓好以下環節：(1)預算體系的建立，包括預算項目、標准和程序。(2)預算的編制和審定。(3)預算指標的下達及相關責任人或部門的落實。(4)預算執行的授權。(5)預算執行過程的監控。(6)預算差異的分析與調整。(7)預算業績的考核。全面預算是集體性工作，需要企業內各部門人員的相關合作。為此，有條件的企業應設立預算委員會，組織領導企業的全面預算工作，確保預算的執行。
五、財產保全控制
財產保全控制包括：(1)限制直接接觸，限制直接接觸主要指嚴格限制無關人員對實物資產的直接接觸，只有經過授權批準的人員才能夠接觸資產。限制直接接觸的對象包括限制接觸現金、其他易變現資產與存貨。(2)定期盤點，建立資產定期盤點制度，並保證盤點時資產的安全性。通常可採用先盤點實物，再核對賬冊來防止盤盈資產流失的可能性，對盤點中出現的差異應進行調查，對盤虧資產應分析原因、查明責任、完善相關制度。(3)記錄保護，應對企業各種文件資料(尤其是資產、財務、會計等資料)妥善保管，避免記錄受損、被盜、被毀的可能。對某些重要資料應留有後備記錄，以便在遭受意外損失或毀壞時重新恢復，這在當前計算機處理條件下尤為重要。(4)財產保險，通過對資產投保(如火災險、盜竊險、責任險或一切險)增加實物受損補償機會，從而保護實物的安全。(5)財產記錄監控，對企業要建立資產個體檔案，資產增減變動應及時全面予以記錄。加強財產所有權證的管理，改革現有低值易耗品等核銷模式，減少備查簿的形式，使其價值納入財務報表體系內，從而保證賬實的一致性。
六、人力資源控制
對於作為經濟運行的微觀基礎的企業而言，人力資源要素的數量和質量狀況，人力資源所具有的忠誠、向心力和創造力，是企業興旺發達的活力和強大推動力所在。因此，如何充分調動企業人力資源的積極性、主動性、創造性，發揮人力資源的潛能，已成為企業管理的中心任務。人力資源控制應包括：(1)建立嚴格的招聘程序，保證應聘人員符合招聘要求。(2)制定員工工作規范，用以引導考核員工行為。(3)定期對員工進行培訓，幫助其提高業務素質，更好地完成規定的任務。(4)加強和考核獎懲力度，應定期對職工業績進行考核，獎懲分明。(5)對重要崗位員工(如銷售、采購、出納)應建立職業信用保險機制，如簽訂信用承諾書，保薦人推薦或辦理商業信用保險。(6)工作崗位輪換，可以定期或不定期進行工作崗位輪換，通過輪換及時發現存在的錯弊情況。同時也可以挖掘職工的潛在能力。(7)提高工資與福利待遇，加強員工之間的溝通，增強凝聚力。
七、風險防範控制
企業在市場經濟環境中，不可避免會遇到各種風險。風險控制要求單位樹立風險意識，針對各個風險控制點，建立有效的風險管理系統，通過風險預警、風險識別、風險評估、風險報告等措施，對財務風險和經營風險進行全面防範和控制。企業風險評估主要內容有：(1)籌資風險評估，如企業財務結構的確定、籌資結構的安排、籌資幣種金額及期限的制定、籌資成本的估算和籌資的償還計劃等都應事先評估、事中監督、事後考核。(2)投資風險評估，企業對各種債權投資和股權投資都要作可行性研究並根據項目和金額大小確定審批許可權，對投資過程中可能出現的負面因素應制定應對預案。(3)信用風險評估，企業應制定客戶信用評估指標體系，確定信用授予標准，規定客戶信用審批程序，進行信用實施中的實時跟蹤。信用活動規模大的企業，可建立獨立信用部門，管理信用活動、控制信用風險。(4)合同風險評估，企業就建立合同起草、審批、簽訂、履行監督和違約時採取應對措施的控制科學試驗，必要時可聘請律師參與。風險防範控制是企業一項基礎性和經常性的工作，企業必要時可設置風險評估部門或崗位，專門負責有關風險的識別、規避和控制。
八、內部報告控制
為滿足企業內部管理的時效性和針對性，企業應當建立內部管理報告體系，全面反映經濟活動，及時提供業務活動中的重要信息。內部報告體系的建立應體現：反映部門經管責任，符合例外管理的要求，報告形式和內容簡明易懂，並要統籌規劃，避免重復。內部報告要根據管理層次設計報告頻率和內容詳簡。通常，高層管理者報告時間間隔時間長，內容從重、從簡；反之，報告時間間隔短，內容從全、從詳。常用的內部報告有：(1)資金分析報告，包括資金日報、借還款進度表、貸款擔保抵押表、銀行賬戶及印鑒管理表等。(2)經營分析報告。(3)費用分析報告。(4)資產分析報告。(5)投資分析報告。(6)財務分析報告等。
九、管理信息系統控制
管理信息系統控制包括兩方面的內容，一方面是要加強對電子信息系統本身的控制。隨著電子信息技術的發展，企業利用計算機從事經營管理方式手段越來越普遍，除了會計電算化和電子商務的發展外，企業的生產經營與購銷儲運都離不開計算機。為此必須加強對電子信息系統的控制，包括：系統組織和管理控制、系統開發和維護控制、文件資料控制、系統設備、數據、程序、網路安全的控制以及日常應用的控制。另一方面，要運用電子信息技術手段建立控制系統，減少和消除內部人為控制的影響，確保內部控制的有效實施。
十、內部審計控制
內部審計控制是內部控制的一種特殊形式，它是一個企業內部經濟活動和管理制度是否合規、合理和有效的獨立評價機構，在某種意義上講是對其他內部控制的再控制。內部審計內容十分廣泛，按其目的可分為財務審計、經營審計和管理審計。內部審計在企業應保持相對獨立性，應獨立於其他經營管理部門，最好受董事會或下屬的審計委員會領導。
總之，不管採用何種內部控制方法，不管如何建立公司治理結構，都應確立董事會在內部控制系統中的核心地位。從我國《公司法》規定的董事會、股東大會、總經理之間的權責劃分看，董事會在公司管理中居於核心地位。董事會應該對公司內部控制的建立、完善和有效運行負責。原因在於：(1)對於董事會而言，建立內部控制系統是為了通過不喪失控制的授權來保證公司有效運行、完成公司的目標，(2)內部控制是董事會抑制管理人員在獲取短期盈利機會中的機會主義傾向，保證法律、公司政策及董事會決議切實貫徹實施的手段；(3)內部控制以及涉及內部控制的信息流動構成解決信息不對稱、保證會計信息真實可行的重要手段，而確保信息質量是董事會不可推卸的責任。

『貳』 電子商務論文寫作方向！！幫我選擇一個比較好寫點的！並給予題目（最好帶點內容）支持原創！

電子商務安全問題的特徵分析
企業網路安全的核心是企業信息的安全。為防止非法用戶利用網路系統的安全缺陷進行數據的竊取、偽造和破壞，必須建立企業網路信息系統的安全服務體系。關於計算機信息系統安全性的定義到目前為止還沒有統一，國際標准化組織(ISO)的定義為：「為數據處理系統建立和採用的技術和管理的安全保護，保護計算機硬體、軟體和數據不因偶然和惡意的原因遭到破壞、更改和泄露」。計算機安全包括物理安全和邏輯安全，其中物理安全指系統設備及相關設施的物理保護以免於被破壞和丟失，邏輯安全是指信息的可用性、完整性和保密性三要素。 信息安全的隱患存在於信息的共享和傳遞過程中。目前，瀏覽器／伺服器技術已廣泛應用於企業網路信息系統中，而其基礎協議就存在著不少的安全漏洞。 一種基本的安全系統——網路安全系統，也稱為防火牆系統，可以設置在公用網路系統和企業內部網路之間，或者設置在內部網路的不同網段之間，用以保護企業的核心秘密並抵禦外來非法攻擊。隨著企業網上業務的不斷擴大和電子商務的發展，對網路的安全服務提出了新的要求。像用戶認證、信息的加密存貯、信息的加密傳輸、信息的不可否認性、信息的不可修改性等要求，要用密碼技術、數字簽名、數字郵戳、數字憑證和認證中心等技術和手段構成安全電子商務體系。 黑客攻擊企業信息系統的手段 2.1 TCP／IP協議存在安全漏洞 目前使用最廣泛的網路協議是TCP／IP協議，而TCP／IP協議恰恰存在安全漏洞。如IP層協議就有許多安全缺陷。IP地址可以軟體設置，這就造成了地址假冒和地址欺騙兩類安全隱患；IP協議支持源路由方式，即源點可以指定信息包傳送到目的節點的中間路由，這就提供了源路由攻擊的條件。再如應用層協議Telnet、FTP、SMTP等協議缺乏認證和保密措施，這就為否認、拒絕等欺瞞行為開了方便之門。 對運行TCP／IP協議的網路系統，存在著如下五種類型的威脅和攻擊：欺騙攻擊、否認服務、拒絕服務、數據截取和數據纂改。 2.2 黑客攻擊網路信息系統的手段 黑客攻擊的目標不相同，有的黑客注意焦點是美國國防部五角大樓，有的關心是安全局、銀行或者重要企業的信息中心，但他們採用的攻擊方式和手段卻有一定的共同性。一般黑客的攻擊大體有如下三個步驟： 信息收集→對系統的安全弱點探測與分析→實施攻擊。 2.2.1 信息收集 信息收集的目的是為了進入所要攻擊的目標網路的資料庫。黑客會利用下列的公開協議或工具，收集駐留在網路系統中的各個主機系統的相關信息。·SNMP協議 用來查閱網路系統路由器的路由表，從而了解目標主機所在網路的拓撲結構及其內部細節。·TraceRoute程序 能夠用該程序獲得到達目標主機所要經過的網路數和路由器數。 ·Whois協議 該協議的服務信息能提供所有有關的DNS域和相關的管理參數。 ·DNS伺服器 該伺服器提供了系統中可以訪問的主機的IP地址表和它們所對應的主機名。 ·Finger協議 可以用Finger來獲取一個指定主 機上的所有用戶的詳細信息(如用戶注冊名、電話號碼、最後注冊時間以及他們有沒有讀郵件等等)。 ·Ping實用程序 可以用來確定一個指定的主機的位置。 ·自動Wardialing軟體 可以向目標站點一次連續撥出大批電話號碼，直到遇到某一正確的號碼使其MODEM響應。2.2.2 系統安全弱點的探測 在收集到攻擊目標的一批網路信息之後，黑客會探測網路上的每台主機，以尋求該系統的安全漏洞或安全弱點，黑客可能使用下列方式自動掃描駐留網路上的主機。 ·自編程序 對某些產品或者系統，已經發現了一些安全漏洞，該產品或系統的廠商或組織會提供一些「補丁」程序給予彌補。但是用戶並不一定及時使用這些「補丁」程序。黑客發現這些「補丁」程序的介面後會自己編寫程序，通過該介面進入目標系統，這時該目標系統對於黑客來講就變得一覽無余了。 ·利用公開的工具 象Internet的電子安全掃描程序IIS(InternetSecurity Scanner)、審計網路用的安全分析工具SATAN(Security Analysis Toolfor Auditing Network)等這樣的工具，可以對整個網路或子網進行掃描，尋找安全漏洞。這些工具有兩面性，就看是什麼人在使用它們。系統管理員可以使用它們，以幫助發現其管理的網路系統內部隱藏的安全漏洞，從而確定系統中那些主機需要用「補丁」程序去堵塞漏洞。而黑客也可以利用這些工具，收集目標系統的信息，獲取攻擊目標系統的非法訪問權。2.2.3 網路攻擊 黑客使用上述方法，收集或探測到一些「有用」信息之後，就可能會對目標系統實施攻擊。黑客一旦獲得了對攻擊的目標系統的訪問權後，又可能有下述多種選擇： ·該黑客可能試圖毀掉攻擊入侵的痕跡，並在受到損害的系統上建立另外的新的安全漏洞或後門，以便在先前的攻擊點被發現之後，繼續訪問這個系統。 ·該黑客可能在目標系統中安裝探測器軟體，包括特洛伊木馬程序，用來窺探所在系統的活動，收集黑客感興趣的一切信息，如Telnet和FTP的帳號名和口令等等。 ·該黑客可能進一步發現受損系統在網路中的信任等級，這樣黑客就可以通過該系統信任級展開對整個系統的攻擊。 ·如果該黑客在這台受損系統上獲得了特許訪問權，那麼它就可以讀取郵件，搜索和盜竊私人文件，毀壞重要數據，破壞整個系統的信息，造成不堪設想的後果。 防火牆的基本思想 如果網路在沒有防火牆的環境中，網路安全性完全依賴主系統的安全性。在一定意義上，所有主系統必須通力協作來實現均勻一致的高級安全性。子網越大，把所有主系統保持在相同的安全性水平上的可管理能力就越小，隨著安全性的失策和失誤越來越普遍，入侵就時有發生。 防火牆有助於提高主系統總體安全性。 防火牆的基本思想——不是對每台主機系統進行保護，而是讓所有對系統的訪問通過某一點，並且保護這一點，並盡可能地對外界屏蔽保護網路的信息和結構。它是設置在可信任的內部網路和不可信任的外界之間的一道屏障，它可以實施比較廣泛的安全政策來控制信息流，防止不可預料的潛在的入侵破壞。 防火牆系統可以是路由器，也可以是個人機、主系統或者是一批主系統，專門用於把網點或子網同那些可能被子網外的主系統濫用的協議和服務隔絕。 防火牆可以從通信協議的各個層次以及應用中獲取、存儲並管理相關的信息，以便實施系統的訪問安全決策控制。 防火牆的技術已經經歷了三個階段，即包過濾技術、代理技術和狀態監視技術。 包過濾技術 包過濾防火牆的安全性是基於對包的IP地址的校驗。在Internet上，所有信息都是以包的形式傳輸的，信息包中包含發送方的IP地址和接收方的IP地址。包過濾防火牆將所有通過的信息包中發送方IP地址、接收方IP地址、TCP埠、TCP鏈路狀態等信息讀出，並按照預先設定的過濾原則過濾信息包。那些不符合規定的IP地址的信息包會被防火牆過濾掉，以保證網路系統的安全。這是一種基於網路層的安全技術，對於應用層的黑客行為是無能為力的。 代理技術代理伺服器接收客戶請求後會檢查驗證其合法性，如其合法，代理伺服器象一台客戶機一樣取回所需的信息再轉發給客戶。它將內部系統與外界隔離開來，從外面只能看到代理伺服器而看不到任何內部資源。代理伺服器只允許有代理的服務通過，而其他所有服務都完全被封鎖住。這一點對系統安全是很重要的，只有那些被認為「可信賴的」服務才允許通過防火牆。另外代理服務還可以過濾協議，如可以過濾FTP連接，拒絕使用FTP put(放置)命令，以保證用戶不能將文件寫到匿名伺服器。 代理服務具有信息隱蔽、保證有效的認證和登錄、簡化了過濾規則等優點。 網路地址轉換服務(NAT

『叄』 電子商務ICP經營許可證怎麼申請

電子商務ICP經營許可證申請條件：
注冊資金100萬的純內資公司；
伺服器在本地；
域名備案以公司名義備案；
申請條件：
1、公司營業執照副本復印件需清晰有效，並已完成該年度年檢事宜，特別注意營業執照的有效期要在申請資質後一年內有效。
2、公司章程復印件需清晰有效，特別注意章程中的地址及法人、股權結構應與提供的驗資報告/審計報告中股權結構一致。（變更前後完整的章程）
3、股權結構圖要追溯到自然人，且註明「以上資金中均不包含任何外資成分」，法人親筆簽名，蓋公章。
4、法人、股東身份證復印件、學歷證復印件及簡歷。
5、公司的驗資報告/審計報告復印件應清晰有效。如公司成立不足一年，需提供驗資報告；如公司成立一年以上，需提供審計報告；如公司成立一年以上且最近一年內做了增資（注冊資金有變動），需提供最新驗資報告及最近年度審計報告。【北京的可提供驗資報告】
特別注意，所提供的驗資報告與審計報告中的股東股權結構需一致。
6、房屋租賃合同及出租方的房產證明復印件。特別注意房屋租賃合同需以公司的名義簽訂，且承租時間需在申請資質遞交材料日起6個月內有效。
房屋出租方與房產證的權力所有人要一致。
房屋面積至少要大於50平米。
7、所提供法人、股東、主要管理及技術人員的列表需註明職務、畢業院校、學歷、聯系電話。以上人員的身份證、學歷證需清晰有效。如身份證復印件為一代身份證，需特別注意身份證的有效期；如身份證復印件為2代身份證，需特別注意復印件必須為正反兩面。（不少於3人）
8、申請BBS還需要提供2名版主的身份證復印件、畢業證復印件及簡歷。
9、組織機構代碼證需清晰有效。
10、託管合同及託管商資質

11、域名申請證書（如果域名不是該公司注冊的，需要提供域名授權書）

12、域名備案信息

『肆』 電子商務的優點有哪些

1、更廣闊的環境：人們不受時間的限制，不受空間的限制，不受傳統購物的諸多限制，可以隨時隨地在網上交易。

2、更廣闊的市場：在網上這個世界將會變得很小，一個商家可以面對全球的消費者，而一個消費者可以在全球的任何一家商家購物。

3、更快速的流通和低廉的價格：電子商務減少了商品流通的中間環節，節省了大量的開支，從而也大大降低了商品流通和交易的成本。

(4)電子商務風險評估報告擴展閱讀

電子商務的類型

ABC

ABC=Agent、Business、Consumer

ABC模式是新型電子商務模式的一種，被譽為繼阿里巴巴B2B模式、京東商城B2C模式以及淘寶C2C模式之後電子商務界的第四大模式。它由代理商、商家和消費者共同搭建的集生產、經營、消費為一體的電子商務平台。三者之間可以轉化。大家相互服務，相互支持，你中有我，我中有你，真正形成一個利益共同體。

B2B

B2B=Business to Business

商家（泛指企業）對商家的電子商務，即企業與企業之間通過互聯網進行產品、服務及信息的交換。通俗的說法是指進行電子商務交易的供需雙方都是商家（或企業、公司），他們使用Internet的技術或各種商務網路平台（如拓商網），完成商務交易的過程。這些過程包括：發布供求信息，訂貨及確認訂貨，支付過程，票據的簽發、傳送和接收，確定配送方案並監控配送過程等。

『伍』 等級保護和風險評估的區別

一、等級保護的基本概念

信息系統安全等級保護是指對信息安全實行等級化保護和等級化管理。
根據信息系統應用業務重要程度及其實際安全需求，實行分級、分類、分階段實施保護，保障信息安全和系統安全正常運行，維護國家利益、公共利益和社會穩定。
等級保護的核心是對信息系統特別是對業務應用系統安全分等級、按標准進行建設、管理和監督。國家對信息安全等級保護工作運用法律和技術規范逐級加強監管力度。突出重點，保障重要信息資源和重要信息系統的安全。
二、國家相關標准
GB 17859-1999《計算機信息系統安全保護等級劃分准則》
GA/T 387-2002《計算機信息系統安全等級保護網路技術要求》
GA 388-2002 《計算機信息系統安全等級保護操作系統技術要求》
GA/T 389-2002《計算機信息系統安全等級保護資料庫管理系統技術要求》
GA/T 390-2002《計算機信息系統安全等級保護通用技術要求》
GA 391-2002 《計算機信息系統安全等級保護管理要求》

三、等級劃分：
建立包括系統安全功能、系統之間、網路之間、設備之間、用戶之間的可信鑒別保障平台，對信息系統的安全等級從功能上劃分為五個級別的安全保護能力：
第一級：用戶自主保護級、第二級：系統審計保護級、第三級：安全標記保護級、第四級：結構化保護級 （系統整體安全設計）、第五級：訪問驗證保護級。

四、內容組成：
等級保護基本要求的內容分技術和管理兩大部分，其中技術部分分為：物理安全、網路安全、主機安全、應用安全和數據安全及備份恢復等5大類，管理部分分為：安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理等5大類。
風險評估是以安全建設為出發點，它的重要意義就在於改變傳統的以技術驅動為導向的安全體系結構設計及詳細安全方案制定，通過對用戶關心的重要資產的分級、安全威脅發生的可能性及嚴重性分析、對系統物理環境、硬體設備、網路平台、基礎系統平台、業務應用系統、安全管理、運行措施等等方面的安全脆弱性的分析，並通過對已有安全控制措施的確認，藉助定量、定性分析的方法，推斷出用戶關心的重要資產當前的安全風險，並根據風險的嚴重級別制定風險處置計劃，確定下一步的安全需求方向。
等級保護的前提是對系統定級，系統定級根據系統信息的機密性、完整性、可用性等三大性來確定。即是「明確各種信息類型----確定每種信息類型的安全類別----確定系統的安全類別」三個步驟進行系統最終的定級。
等級保護中的系統分類分級的思想和風險評估中對信息資產的重要性分級基本一致，不同的是：等級保護的級別是從系統的業務需求或CIA特性出發，定義系統應具備的安全保障業務等級，而風險評估中最終風險的等級則是綜合考慮了信息的重要性、系統現有安全控制措施的有效性及運行現狀後的綜合評估結果，也就是說，在風險評估中，CIA價值高的信息資產不一定風險等級就高。
可以簡單的理解為等保是標准或體系，評估一種是手段。
等保其實就是幫助用戶分析、評定信息系統的等級，以便在後期的工作中根據不同的等級進行不同級別的安全防護 ，而風險評估是幫助用戶發現目前的安全現狀，以便在後期進行整體的安全規劃與建設。我們可以用風險評估這種手段檢查等保的落實和執行情況。而風險評估的結果可作為實施等級保護等級安全建設的出發點和參考。

『陸』 網路銀行信用風險評估系統

我國網路銀行面臨的風險與對策 論文
[摘 要] 文章從技術上、操作上、社會環境等方面闡述了網路銀行的風險及其相應的防範措施。
[關鍵詞] 網路銀行;風險;防範
我國網路銀行除了具有傳統銀行的流動性風險、利率風險、結算風險、道德風險、新金融工具風險外,還增加了一些網路環境下的新風險。

一、 我國網路銀行面臨的風險

1.系統風險
(1) 操作系統風險。操作系統是作為計算機資源的直接管理者,它直接和硬體打交道並為用戶提供介面,是計算機系統能夠正常、安全運行的基礎。Windows操作系統存在許多安全漏洞,UNIX操作系統是一個開放的系統,源代碼已公開。根據美、荷、法、德、英、加共同制定的通用安全評價標准《Common Criteria for IT Security Evaluation(簡稱CC標准)》,微軟的Windows操作系統、大部分的UNIX操作系統其安全性僅達到C2級安全,而網路銀行的操作系統的安全級別應至少達到B級。
(2)應用系統風險。網路業務系統設計存在漏洞。目前,網路應用軟體存在以下安全漏洞:無效參數、失效的訪問控制、失效的賬戶、跨站點腳本漏洞、緩沖溢出、命令注入漏洞、錯誤處理問題、密碼系統的非安全利用、遠程管理漏洞、網路及應用軟體伺服器錯誤配置。
在設計過程中,只重視「計算機如何完成任務」方面的設計,對運行過程中的程序控制或檢查考慮不全面,系統沒有為審計留下介面,難以進行實時審計。
(3)數據存儲風險。數據存取、保密、硬碟損壞導致的風險。
(4)數據傳輸風險。數據傳輸過程中被竊取、修改等風險。

2.操作風險
網路銀行操作風險是指由於網路銀行中的內部程序、人員、系統的不完善或失誤,以及外部事件而導致網路銀行直接或間接損失的風險。產生操作風險的原因有以下幾點:
(1)網路銀行操作風險意識淡薄。
(2)組織機構職責不清。
(3)內控制度不健全或執行不力。
(4)沒有適合的網路銀行稽核審計部門。

3.信用風險
網路銀行的信用風險主要表現為客戶在網路上使用信用卡進行支付時惡意透支,或使用偽造的信用卡來欺騙銀行。

4.信息不對稱風險
信息不對稱表現在兩個方面,一方面是由於網路銀行無法得到足夠客戶信息,另一方面是由於客戶無法得到有關網路銀行的足夠信息。信息不對稱使得網上客戶更容易隱蔽他們的信息和行動,做出對自己有利而對網路銀行不利的行為,也使得客戶不能正確評價網路銀行的優劣。

5.法律風險
我國對網路銀行和網上交易缺乏相應的法規。如:如何徵收與管理網上稅收、數字簽名是否具有法律效力、交易的跨國界問題、知識產權問題、電子合同問題、電子貨幣問題、電子轉賬問題。

二、 我國網路銀行風險防範對策

1.系統風險的防範
(1)物理安全。主要指對計算機設備場地、計算機系統、網路設備、密鑰等關鍵設備的安全防衛措施。為了防止電磁泄露,要對電源線和信號線加裝濾波器,減少傳輸阻抗和導線間的交叉耦合,同時對輻射進行防護。
(2)應用安全操作系統技術。安全操作系統不僅可以防範黑客利用操作系統平台本身的漏洞來攻擊網路銀行交易系統,而且它還可以在一定程度上屏蔽掉應用軟體系統的某些安全漏洞。美國先後開發了各種級別的安全操作系統,其中作為商用的有Data General公司的DG UX B1/B2安全操作系統,HP公司的HPUX CMW B1級安全操作系統等。國內各大科研機構及公司也研製出高安全級別的操作系統,如:中科院信息安全工程研究中心研製的SECLINUX安全操作系統、中軟總公司研製的COSIX LINUX系統。目前,中國建設銀行的網路銀行系統建立在安全操作系統平台之上,該系統基於HP9000硬體平台,採用HP公司的B1級安全操作系統。
(3)數據通信加密技術的應用。對傳輸中的數據流進行加密,按實現加密的通信層次可分為鏈路加密、節點加密、端到端加密。在鏈路數較多以及對流量分析要求不高的情況下,適合採用「端到端加密」方式。在對流量分析要求較高的情況下,可採用「鏈路加密」與「端到端加密」相結合的方式:用「鏈路加密」對報文的報頭進行加密,防止進行流量分析,再用「端到端加密」對傳送的報文進行加密保護。
對數據進行加密的演算法主要有DES和RSA兩種。DES屬於私鑰加密體制(又稱對稱加密體制),它的優點是加、解密速度快,演算法容易實現,安全性好,缺點是密鑰管理不方便。RSA屬於公鑰加密體制(又稱非對稱加密體制),它的優點是安全性好,網路中容易實現密鑰管理。因此可以採用將DES和RSA相結合的綜合加密體制:用DES演算法對數據進行加密,用RSA演算法對密鑰進行加密。
(4)應用系統安全。應用系統安全主要包括對交易雙方的身份確認和對交易的確認。在網路銀行系統中,用戶的身份認證依靠數字簽名機制和登錄密碼雙重檢驗,將來還可以通過自動指紋認證系統進行身份認證。數字簽名還確保了客戶提交的交易指令的不可否認性。公鑰基礎設施——PKI(Public Key Infrastructure)是解決大規模網路環境中信任和加密問題的很好的解決方案。同時採用安全電子交易協議,目前主要的協議標准有:安全超文本傳輸協議(S-HTTP)、安全套接層協議(SSL)、安全交易技術協議(STT)、安全電子交易協議(SET),其中SET涵蓋了信用卡的交易協定、信息保密、資料完整及數據認證、數字簽名等,已經成為事實上的工業標准。

加強應用系統開發過程的審計,應用系統運行過程中的實時審計。
(5)應用資料庫安全技術。應用存取控制技術、數據加密技術、硬碟分區防護技術、資料庫的安全審計技術、故障恢復技術等。
(6)應用防火牆安全技術。建立綜合計算機病毒檢測技術、代理服務技術和包過濾技術的第四代防火牆,提供DES加密、支持鏈路加密或虛擬專網、病毒掃描等安全服務,並具有實時報告、實時監控、記錄非法登錄、統計分析等功能。設置放火牆時要截止所有從135到142的TCP和UDP連接,改變默認配置埠,拒絕PING 信息包,通過設置ACCESS LIST 的過濾規則來實現包過濾功能。採用防火牆雙機冷備份策略。進行入侵檢測和定期漏洞掃描。

2.操作風險的防範
操作風險主要來自銀行內部,應完善網路銀行的內部控制制度,建立科學的操作規范,嚴格內部制約機制,將不相容職務如管理員與經辦員分離、程序員與操作員分離、製作者與執行者分離,對主管和操作員實行IC卡身份鑒別,並同時加口令,任何進入系統的操作必須有日誌記載。
建立操作風險管理中心,對員工進行防範操作風險的技術培訓,監督各項操作風險管理制度的執行情況,對網路銀行的操作風險進行評估,並採取相應措施。建立操作風險應急反應中心,對業務的影響因素進行研究,識別出可能導致業務中止的情況,系統的備份及定期測試公司的災難應急計劃,對出現的安全問題提供技術支援和解決方案。使用保險來抵補那些「低頻率、高危害」的操作風險。建立操作風險審計中心,對全部的網路銀行業務實時監控、網路掃描,並利用審計記錄,對業務操作人員和計算機系統管理人員進行稽核。
來自外部的操作風險,尤其是網路銀行金融欺詐方面,不但要對個人服務的零售業務進行監控,還要加強對登錄網路銀行的企業加強監控,通過數據挖掘軟體對可疑資金交易進行分析,防範利用網路進行非法資金交易。

3.信用風險的防範
建立全國性的用戶信用管理信息系統,將用戶劃分為不同的信用等級,針對不同等級的用戶採取不同的管理措施。應共享客戶資料信息庫,與其他商業銀行、保險公司等非銀行金融機構、世界各銀行等金融機構合作,及時將客戶的守信情況和違約情況記錄入庫。

4.信息不對稱風險的防範
建立信息披露制度,強化信息披露的質量。應定期發布經注冊會計師審計的關於網路銀行經營活動和財務狀況的公允信息,披露有關網路銀行風險的大小和網路銀行為了規避風險而採取的措施以及消費者權益保護的信息。建立社會監管體系,網路銀行之間進行相互監督。

5.法律風險的防範
應充分利用和執行《網路銀行業務管理暫行辦法》,應充分利用《合同法》、《會計法》、《票據法》、《支付結算辦法》等法律擬訂網路銀行相關協議,制定有關業務流程和業務處理規定,應充分利用目前執行的關於網路安全方面的行政法規,如《計算機信息系統安全保護條例》、《計算機信息網路國際聯網管理暫行規定》等,充分利用中國金融認證中心在認證技術方面的權威性和第三方認證的合理性。網路銀行應注重交易數據的保管,為可能的糾紛或訴訟過程做好證據准備。
建立網路銀行法律監管體系,制定網路銀行的外部懲罰措施以及網路銀行的市場退出機制。建立網路銀行業務運營法律體系,如建立《電子銀行法》、《電子簽名法》、《電子資金劃撥法》等法律法規,同時對已有法律法規進行充實、修改。完善網路銀行配套法律法規建設,主要有稅收征管法、國際稅收法、電子商務法、刑法、訴訟法、票據法、證券法、商業銀行法、消費者權益保護法、反不正當競爭法等相關法律法規。加強與國際立法、司法實踐的交流與合作,加大打擊網上洗錢、網上盜竊等電子犯罪的力度。

『柒』 電子商務運營策劃應該怎麼做

1、店鋪的一切問題都可以從數據中分析出來，從數據出發可以讓你找到問題的關鍵，並且及時作出調整。

2、「支付轉化率」是店鋪最核心的數據，沒有轉化率其他的一切都無從談起。

1）「支付轉化率」要大於「同行同層平均」，「支付轉化率」說明你的產品越受歡迎，訪客價值也越高；

2）店鋪的「支付轉化率」是由具體商品的「支付轉化率」決定的，想提高店鋪的「支付轉化率」應該先提高具體商品的「支付轉化率」。

3

3、店鋪訪客價值越高越好。 如何提高訪客價值？ 1）提高客單價； 2）提高轉化率； 3）提高回購率。

4、店鋪訪客成本越低越好。 如何降低訪客成本？ 1）增加免費流量； 2）提高付費推廣的點擊率； 3）降低付費推廣的點擊單價。

5、流量成本越來越貴怎麼辦？ 答案是： 1）在現有產品的基礎上擴充商品品類，增加客單價； 2）通過增加禮盒、贈品或附加價值等，提高轉化率； 3）通過老顧客維護，提高復購率。

定位:

1、開店前首先需要考慮清楚3個問題：你有什麼產品？你要賣給誰？你有什麼優勢？

2、開店說到底就是競爭，你有實力跟同行競爭就可以成功。 例如你是一個知名品牌所有者，你有成本很低的優質貨源，你有很多忠實粉絲，你有同行無法復制的獨家資源，你有非常雄厚的實力跟同行打價格戰，等等，這些都可能幫助你更快速的成功運營一個店鋪。如果沒有，請看下一條。

3、如果上面的優勢你都沒有，你也可以老老實實的開一家不好不壞的店鋪。 此時最重要是：選擇相對優質的產品、以相對較低的價格出售、提供相對獨特的服務、經常跟顧客互動。

4、到底要開一個什麼類型的店鋪？旗艦店？專賣店？還是C店？ 可以說每個類型的店鋪都有自己的優勢，都有可以成功，主要是看你的產品更適合哪種類型。 1）擁有知名品牌資源的最適合開天貓旗艦店； 2）有獨特優勢的非知名品牌適合開淘寶企業店或者淘寶C店，等成為知名品牌後天貓會邀請你開旗艦店的； 3）線下批發市場適合開專賣店或者專營店； 4）如果沒有任何優勢，勸你不要開店。

5、你要了解你的類目。 剛開始最好選擇自己熟悉的類目，選擇熟悉的消費者，選擇熟悉的產品，這樣你才能夠比較容易的把產品賣出去。如果這些你都不了解，請先對這些做深入了解。

6、你需要成為自己店鋪的第一位消費者。 設想一下，如果你店裡銷售的產品不能吸引你自己購買，你又有什麼理由吸引其他顧客購買呢？所以，在開店之前，先找出一些吸引自己購買的理由。這樣，你就可以吸引其他顧客購買你的產品了。

7、你的店鋪要有故事。 現在的店鋪同質化嚴重，一個顧客在面對同樣的產品和同樣的價格的幾個店鋪，你很難吸引他在你的店鋪購買。如果你是一個有故事的店鋪，那麼可以一下拉近顧客跟你的距離，再顧客不好做決定的時候你的故事會幫助顧客覺得再哪裡購買。什麼是有故事的店鋪？ 1）例如我分享電商運營經驗和圈子成員的故事，開個店鋪賣紙箱膠帶等電商周邊產品會不會火爆？ 2）例如你是一個愛旅遊的人，可以經常把自己的游記分享給顧客，銷售戶外運動裝備會不會火爆？ 3）又例如你是一個喜歡化妝，可以錄制一些化妝的視頻分享給顧客，來銷售各大品牌化妝品會不會火爆？ 實際上，每個人都是獨一無二的，都有自己的優勢，你一定可以分享出獨特的故事給你的顧客。

『捌』 .電子商務網站的安全防範技術

電子商務網站的安全措施

2.1 防火牆技術防火牆是指一個由硬體設備或軟體、或軟硬體組合而成的,在內部網與外部網之間構造的保護屏障。所有的內部網和外部網之間的連接都必須經過此保護層,並由它進行檢查和連接。只有被授權的通信才能通過防火牆,從而使內部網路與外部網路在一定意義下隔離,防止非法入侵、非法使用系統資源、執行安全管制措施。防火牆基本分為兩類:包過濾和基於代理的防火牆。包過濾防火牆對數據包進行分析、選擇,依據系統內事先設定的過濾邏輯來確定是否允許該數據包通過。代理防火牆能夠將網路通信鏈路分為兩段,使內部網與Internet不直接通信,而是使用代理伺服器作為數據轉發的中轉站,只有那些被認為可信賴的數據才允許通過。這兩種防火牆各有其優缺點:包過濾器只能結合源地址、目標地址和埠號才能起作用,如果攻擊者攻破了包過濾防火牆,整個網路就公開了。代理防火牆比包過濾器慢, 當網站訪問量較大時會影響上網速度;代理防火牆在設立和維護規則集時比較復雜,有時會導致錯誤配置和安全漏洞。由於這兩種防火牆各有優缺點,因而在實際應用中常將這兩種防火牆組合使用。目前市場上最新的防火牆產品集成了代理和包過濾技術,提供了管理數據段和實現高吞吐速度的解決方案。這些混合型的設備在安全要求比吞吐速度有更高要求時,能實行代理驗證服務,在需要高速度時,它們能靈活地採用包過濾規則作為保護方法。

2.2 入侵檢測系統防火牆是一種隔離控制技術,一旦入侵者進入了系統,他們便不受任何阻擋。它不能主動檢測和分析網路內外的危險行為,捕捉侵入罪證。而入侵檢測系統能夠監視和跟蹤系統、事件、安全記錄和系統日誌,以及網路中的數據包,識別出任何不希望有的活動,在入侵者對系統發生危害前,檢測到入侵攻擊,並利用報警與防護系統進行報警、阻斷等響應。入侵檢測系統所採用的技術有: (1)特徵檢測:這一檢測假設入侵者活動可以用一種模式來表示,系統的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達「入侵」現象又網路時空不會將正常的活動包含進來。 (2)異常檢測:假設入侵者活動異於正常主體的活動。根據這一理念建立主體正常活動的「活動簡檔」,將當前主體的活動狀況與「活動簡檔」相比較,當違反其統計規律時,認為該活動可能是「入侵」行為。異常檢測的難題在於如何建立「活動簡檔」以及如何設計統計演算法,從而不把正常的操作作為「入侵」或忽略真正的「入侵」行為。

2.3 網路漏洞掃描器沒有絕對安全的網站,任何安全漏洞都可能導致風險產生。網路漏洞掃描器是一個漏洞和風險評估工具,用於發現、發掘和報告安全隱患和可能被黑客利用的網路安全漏洞。網路漏洞掃描器分為內部掃描和外部掃描兩種工作方式: (1)外部掃描:通過遠程檢測目標主機TCP/IP不同埠的服務,記錄目標給予的回答。通過這種方法,可以搜集到很多目標主機的各種信息,例如:是否能用匿名登錄、是否有可寫的FTP目錄、是否能用TELNET等。然後與漏洞掃描系統提供的漏洞庫進行匹配,滿足匹配條件則視為漏洞。也可通過模擬黑客的進攻手法,對目標主機系統進行攻擊性的安全漏洞掃描。如果模擬攻擊成功,則可視為漏洞存在。 (2)內部掃描:漏洞掃描器以root身份登錄目標主機, 記錄系統配置的各項主要參數,將之與安全配置標准庫進行比較和匹配,凡不滿足者即視為漏洞。

2.4 防病毒系統病毒在網路中存儲、傳播、感染的途徑多、速度快、方式各異,對網站的危害較大。因此,應利用全方位防病毒產品, 實施「層層設防、集中控制、以防為主、防殺結合」的防病毒策略,構建全面的防病毒體系。常用的防病毒技術有: (1)反病毒掃描:通過對病毒代碼的分析找出能成為病毒結構線索的唯一特徵。病毒掃描軟體可搜索這些特徵或其它能表示有某種病毒存在的代碼段。 (2)完整性檢查:通過識別文件和系統的改變來發現病毒。完整性檢查程序只有當病毒正在工作並做些什麼事情時才能起作用,而網站可能在完整性檢查程序開始檢測病毒之前已感染了病毒,潛伏的病毒也可以避開檢查。 (3)行為封鎖:行為封鎖的目的是防止病毒的破壞。這種技術試圖在病毒馬上就要開始工作時阻止它。每當某一反常的事情將要發生時,行為封鎖軟體就會檢測到並警告用戶。

2.5 啟用安全認證系統企業電子商務網站的安全除網站本身硬體和軟體的安全外,還應包括傳輸信息的安全。對一些重要的的傳輸信息,應保證信息在傳輸過程中不被他人竊取、偷看或修改。因此,應在網站伺服器中啟用安全認證系統。安全認證系統對重要的信息採用密碼技術進行加密,使它成為一種不可理解的密文。接收方收到密文後再對它進行解密,將密文還原成原來可理解的形式。目前,在電子商務中普遍採用SSL安全協議。SSL安全協議主要提供三方面的服務: (1)認證用戶和伺服器,使得它們能夠確信數據將被發送到正確的客戶機和伺服器上。 (2)加密數據以隱藏被傳送的數據。 (3)維護數據的完整性,確保數據在傳輸過程中不被改變。

3 結束語

任何一種安全措施都有其局限性,企業電子商務網站的設計人員必須在精心的安全分析、風險評估、商業需求分析和網站運行效率分析的基礎上,制定出整體的安全解決方案。為保證整體安全解決方案的效率,各安全產品之間應該實現一種聯動機制。當漏洞掃描器發覺安全問題時,就會通知系統管理員,及時採取補漏措施;當入侵檢測系統檢測到攻擊行為時,就會利用防火牆進行實時阻斷;當防病毒系統發現新病毒時,也會及時更新入侵檢測系統的病毒攻擊庫,以提高入侵檢測系統的檢測效率;由於安全產品和伺服器、安全產品與安全產品之間都需要進行必要的數據通信,為了保證這些通信的保密性和完整性,可以採用安全認證手段。只有當各種安全產品真正實現聯動時,網路安全才能得到保障。