電子商務安全風險管理研究

⑴ 關於電子商務論文《電子商務的安全與管理》

電子商務的安全策略

摘要：

關鍵詞：

電子商務在功能上要求實現實時帳戶信息查詢。這就使電子商務系統必須在物理上與生產系統要有連接，這對於電子商務系統的安全性提出了更高的要求，必須保證外部網路（internet）用戶不能對生產系統構成威脅。為此，需要全方位地制定系統的安全策略。

就整個系統而言，安全性可以分為四個層次，如圖1所示

1．網路節點的安全

2．通訊的安全性

3．應用程序的安全性

4．用戶的認證管理

圖1：安全性四個層次結構
其中2、3、4層是通過操作系統和web伺服器軟體實現，網路節點的安全性依靠防火牆保證，我們應該首先保證網路節點的安全性。

一、網路節點的安全

1．防火牆

防火牆是在連接internet和intranet保證安全最為有效的方法，防火牆能夠有效地監視網路的通信信息，並記憶通信狀態，從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能，制定正確的安全策略，將能提供一個安全、高效的intranet系統。

2．防火牆安全策略

應給予特別注意的是，防火牆不僅僅是路由器、堡壘主機或任何提供網路安全的設備的組合，它是安全策略的一個部分。安全策略建立了全方位的防禦體系來保護機構的信息資源，這種安全策略應包括：規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施，以及管理制度等。所有有可能受到網路攻擊的地方都必須以同樣安全級別加以保護。僅設立防火牆系統，而沒有全面的安全策略，那麼防火牆就形同虛設。

3．安全操作系統

防火牆是基於操作系統的。如果信息通過操作系統的後門繞過防火牆進入內部網，則防火牆失效。所以，要保證防火牆發揮作用，必須保證操作系統的安全。只有在安全操作系統的基礎上，才能充分發揮防火牆的功能。在條件許可的情況下，應考慮將防火牆單獨安裝在硬體設備上。

二、通訊的安全

1．數據通訊

通訊的安全主要依靠對通信數據的加密來保證。在通訊鏈路上的數據安全，一定程度上取決於加密的演算法和加密的強度。 電子商務系統的數據通信主要存在於：

（1）客戶瀏覽器端與電子商務web伺服器端的通訊；

（2）電子商務web伺服器與電子商務資料庫伺服器的通訊；

（3）銀行內部網與業務網之間的數據通訊。其中（3）不在本系統的安全策略范圍內考慮。

2．安全鏈路

在客戶端瀏覽器和電子商務web伺服器之間採用ssl協議建立安全鏈接，所傳遞的重要信息都是經過加密的，這在一定程度上保證了數據在傳輸過程中的安全。目前採用的是瀏覽器預設的4o位加密強度，也可以考慮將加密強度增加到128位。 為在瀏覽器和伺服器之間建立安全機制，ssl首先要求伺服器向瀏覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權機構（ca中心）簽發。瀏覽器要驗征伺服器證書的正確性，必須事先安裝簽發機構提供的基礎公共密鑰（pki）。建立ssl鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立ssl鏈接時客戶只需用戶下載該站點的伺服器證書（下載可以在訪問之前或訪問時）。驗證此證書是合法的伺服器證書通過後利用該證書對稱加密演算法（rsa）與伺服器協商一個對稱演算法及密鑰，然後用此對稱演算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。

三、應用程序的安全性

即使正確地配置了訪問控制規則，要滿足計算機系統的安全性也是不充分的，因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數；程序員忘記檢查邊界條件，特別是處理字元串的內存緩沖時；程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行，而不是只有有限的指令子集在特權模式下運 行，其他的部分只有縮小的許可；程序員從這個特權程序使用范圍內建立一個資源，如一個文件和目錄。不是顯式地設置訪問控制（最少許可），程序員認為這個預設的許可是正確的。

這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一 些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字元串來實現的。程序不檢查輸入字元串長度。假的輸入字元串常常是可執行的命令，特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如，緩沖溢出攻擊可以向系統中增加一個用戶並賦予這個用戶特權。 訪問控制系統中沒有什麼可以檢測到這些問題。只有通過監視系統並尋找違反安全策略的行為，才能發現象這些問題一樣的錯誤。

四、用戶的認證管理

1．身份認證

電子商務企業用戶身份認證可以通過伺服器ca證書與ic卡相結合實現的。ca證書用來認證伺服器的身份，ic卡用來認證企業用戶的身份。個人用戶由於沒有提供交易功能，所以只採用id號和密碼口令的身份確認機制。

2．ca證書

要在網上確認交易各方的身份以及保證交易的不可否認性，需要一份數字證書進行驗證，這份數字證書就是ca證書，它由認證授權中心（ca中心）發行。ca中心一般是社會公認的可靠組織，它對個人、組織進行審核後，為其發放數字證書，證書分為伺服器證書和個人證書。建立ssl安全鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立ssl鏈接時客戶只需用戶下載該站點的伺服器證書（下載可以在訪問之前或訪問時進行）。

五、安全管理

為了確保系統的安全性，除了採用上述技術手段外，還必須建立嚴格的內部安全機制。

對於所有接觸系統的人員，按其職責設定其訪問系統的最小許可權。

按照分級管理原則，嚴格管理內部用戶帳號和密碼，進入系統內部必須通過嚴格的身份確認，防止非法佔用、冒用合法用戶帳號和密碼。

建立網路安全維護日誌，記錄與安全性相關的信息及事件，有情況出現時便於跟蹤查詢。定期檢查日誌，以便及時發現潛在的安全威脅。

對於重要數據要及時進行備份，且對資料庫中存放的數據，資料庫系統應視其重要性提供不同級別的數據加密。

安全實際上就是一種風險管理。任何技術手段都不能保證1oo％的安全。但是，安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。

⑵ 國內外電子商務風險控制研究現狀

電子商務企業內生風險防範體系
所謂電子商務企業內生風險防範體系，是指電子商務企業內部建立的風險防範機構、機制、對策、方法、措施等的綜合。
提高風險防範意識
對IT從業人員進行電子商務運作和安全管理的系統而全面的教育，並培養其相關的風險防範意識，給予其更多的培訓及資格認證，從而使其對企業應用電子商務有一個全面和客觀的認識。
加強內部管理機制
「三分技術、七分管理」的理念不能只停留在理論階段，更重要的是企業應該將其轉化為具體的操作。內部管理機制設計的基本原則是：要求發生在系統內的所有行為都是有定義的行為，並且符合程序控制的要求，所有行為的發生都有審計記錄，管理的有效性，可以解決許多技術層次解決不了的風險問題。
實施風險防範等級管理
此點可借鑒我國實施的「信息安全等級保護政策」，對企業來講，風險可以分為重要風險和一般風險，企業應該堅持安全成本與風險相平衡的原則，根據企業的實際需要，抓住重點，力求具體、明確、到位，講究實效。
建立主動性安全基礎構架
賽門鐵克公司亞太地區副總裁Vince Steckler在2004年3月5日的亞太安全論壇上作了「在企業范圍內建立主動性安全基礎構架」的演講，主要針對企業提供各種前瞻性措施，通過在企業范圍內實施完善的安全措施，有效識別和管理漏洞，將安全策略與商業戰略結合起來，築起一道抵禦不斷升級的風險威脅的重要防線。
外生風險防範體系是指對電子商務企業風險起防範作用的相關法律法規、信用、物流和電子支付等社會體系的總和。
電子商務安全的法制建設
在參考國際《電子商務示範法》的前提下，根據我國的國情，制定一部用以規范電子商務活動的法律或法規，以解決電子商務發展所面臨的法律法規問題。我國電子商務立法的運用范圍，應包括電子合同的效力問題、電子支付及金融管理、稅收與保險、網路管理與信息安全保護、電子證據與電子簽名的法律認定、政府的強制性措施及審查機制、市場准入規則、知識產權保護、消費者合法權益的保護、司法的國際管轄和國際協助等等。
建立電子商務的信用體系環境
電子商務交易涉及廠家、商家、網站、銀行、消費者等多方面利益的信用問題，難以孤立地解決，必須建立一個社會信用體系環境。全社會首先要建立一種自己守信用、人人守信用、也相信別人守信用的心態。其次要健全完善信用制度，通過設置合理的運行機制和運行標准，並通過監督機構，保證參與交易各方按期、按質、按量支付貨款和交送貨物。
加快物流配送體系的建設
一是要逐步開放市場，歡迎國內外的物流公司參與競爭，通過競爭，使我國的物流配送體系日趨完善。二是要重視物流人才培養，除了學校的人才培養外，還要加快物流師職業資格認證的步伐。三是要在物流管理技術化、信息化、柔性化和一體化等方面加強物流管理的創新。
完善電子商務的支付手段
電子商務交易需要信息流、物流和資金流的同時暢通，因此必須完善電子支付系統，提高銀行電子支付水平，建立一個安全、嚴密、可靠的社會范圍的電子貨幣支付系統，並成立電子商務認證機構，盡快成立統一網上結算中心，並逐步開展與國外客戶的網上結算服務。
電子商務企業內外協同防範體系
電子商務企業協同防範體系是指需要電子商務企業和外部共同來完成的技術研究、人才培養、協調機制建設和聯盟建立等方面的總和。
加強電子商務安全技術的研究
有關部門（可以是政府、科研單位、院校和企業聯合）應組織一支精乾的安全技術研究隊伍，集中力量盡快解決電子商務的安全技術問題，包括加密技術、防火牆技術、數字簽名技術、報文摘要技術、認證技術、留痕技術等，並能夠隨著計算機和電子商務技術的發展而不斷改進這些技術。應該建立電子商務安全體系結構和具有權威性和公正性的CA認證機構。此外，還應著手建立相應的國家級的安全控制中心系統，這一系統應包括國際出入口（信息海關）監控、電子交易證書授權、密鑰管理、安全產品評測認證、病毒檢測和防治、系統攻擊與反攻擊等分中心。
大力培養電子商務人才，推廣與普及電子商務知識
必須加強對電子商務人才的培養、大力推廣與普及有關電子商務的知識，一方面要進一步加強各高校電子商務專業建設，另一方面要進一步推進電子商務師職業資格認證培訓，實施持證上崗制度。
建立協調機制
這要求企業和各級信息安全保障中心和信息安全行業協會密切配合，互通風險預警信息，從而共同維護電子商務交易的安全性。同時要加強科研單位、院校對風險管理理論的研究和安全企業實踐應用的協調，要把理論和實踐真正的聯系起來，達到理論與實踐的真正結合。

⑶ 怎樣應對電商系統的運作風險

1.積極籌措ERP系統的實施規劃 ERP整體規劃必須與未來發展戰略相結合，不能單純憑借信息中心的力量，更不能採用主觀臆斷。它的出台需要企業為此建立一個專門機構，既有信息中心的人員參與，也有業務部門的主要領導參與。制定整體規劃時謹防兩個誤區，一是企業由於人才資源有限，常聘請IT公司做規劃，由於IT公司對企業不甚了解，所做出的方案很可能會脫離實際。企業在做ERP規劃時，可以請IT公司提供支持，也可請業內資深專家驗證，但企業始終都必須立足於主體地位。第二個誤區是企業想一勞永逸，作一個規劃就想七、八年不變。然而，IT技術與企業業務的頻繁變化，都使得ERP系統必須適時調整和創新。目前ERP整體規劃的最佳時間應該在三到五年。 2.嚴格控制ERP系統的實施進度 企業實施ERP的關鍵是過程管理，很多企業都遇到ERP實施周期長的困擾，結果軟體商和企業雙方都被拖累，這時很可能改變雙方良好的合作關系，實施過程就變得十分艱難。在雙方出現分歧時，要本著實現系統目標的宗旨，共同探討解決方法，化解矛盾;必要時要考慮更換項目經理。同時，為了控制整個項目的進程，在實施時一定要配備優秀的項目管理人員，要既具有很強的協調與組織能力。企業實施ERP的成功與否最終取決於軟體產品和企業管理。如果產品不成熟，功能不完善，則企業運作ERP便會困難重重;同樣地，如果企業基礎管理不行，又缺乏改革勇氣，實施ERP也會舉步維艱。 3.努力提升企業領導的綜合素質 目前許多企業領導對企業信息化的認識已大大提高。一方面，來自上級主管部門推動的壓力;另一方面，來自企業生存與發展的動力，信息化建設能提升核心競爭力。但是還需繼續強化企業領導的ERP理念，首先是某些領導對ERP的理解不夠深入，以為企業信息化就等於實施ERP。其次，一些領導不知該如何實施ERP，甚至認為，企業一旦上馬ERP，似乎什麼問題都能迎刃而解，這種忽視ERP風險的認識偏差會導致不能取得應用實效。因此，加強對企業中高層領導ERP培訓的力度甚為重要,而且可以通過日事清的員工日誌管理功能增強上下級的溝通。 4.充分發揮ERP系統中信息中心的樞紐功能 信息中心職責是為企業各部門提供IT技術支撐服務，對企業實現ERP的效用是非常重要的。首先，信息中心要大力發揮樞紐功能。目前信息中心人員大多為IT專才，他們對業務不太精通，因此在推行ERP建設時，考慮更多的是軟體的先進性，但對IT如何與業務結合卻缺乏良策，其與業務部門甚至為此而出現矛盾，如業務部門習慣於傳統財務軟體，而為了實現ERP規劃，信息中心卻要求他們使用新軟體等。筆者認為，信息中心首先應幫助各部門順利運用IT整合業務發展。其次，信息中心要推動企業ERP的實施，必須與業務部門及時溝通。再次，信息中心應在企業內部樹立「樣板部門」，以供參照。最後，信息中心一定要積極主動，讓領導真正體會到信息化的優勢，以至能獲取其相應的權力。

⑷ 求畢業論文一篇！題目：電子商務的風險及其安全管理

電子商務安全風險管理研究
林黎明1 李新春2
（ 中國礦業大學 管理學院，江蘇 徐州 221008 ）

摘要 該文基於目前電子商務安全所面臨的各種風險問題，結合當前的一些風險管理方法，對電子商務系統安全風險管理進行一些基本的分析和研究，以期對企業電子商務安全風險管理提供一些有價值的借鑒和參考。
關鍵詞 電子商務安全，風險管理，風險識別，風險控制

1 引言
隨著開放的互聯網路系統Internet的飛速發展，電子商務的應用和推廣極大了改變了人們工作和生活方式，帶來了無限的商機。然而，電子商務發展所依託的平台—互聯網路卻充滿了巨大、復雜的安全風險。黑客的攻擊、病毒的肆虐等等都使得電子商務業務很難安全順利地開展；此外，電子商務的發展還面臨著嚴峻的內部風險，電子商務企業內部對安全問題的盲目和安全意識的淡薄，高層領導對電子商務的運作和安全管理重視程度不足，使得企業實施電子商務不可避免地會遇到這樣或那樣的風險。因此，在考察電子商務運行環境、提供電子商務安全解決方案的同時，有必要重點評估電子商務系統面臨的風險問題以及對風險有效管理和控制方法。
電子商務安全的風險管理是對電子商務系統的安全風險進行識別、衡量、分析，並在這基礎上盡可能地以最低的成本和代價實現盡可能大的安全保障的科學管理方法。
2 電子商務面臨的安全風險
由於網路的復雜性和脆弱性，以網際網路為主要平台的電子商務的發展面臨著嚴峻的安全問題。一般來說，電子商務普遍存在著以下幾個安全風險：
1）信息的截獲和竊取
這是指電子商務相關用戶或外來者未經授權通過各種技術手段截獲和竊取他人的文電內容以獲取商業機密。
2）信息的篡改
網路攻擊者依靠各種技術方法和手段對傳輸的信息進行中途的篡改、刪除或插入，並發往目的地，從而達到破壞信息完整性的目的。
3）拒絕服務
拒絕服務是指在一定時間內，網路系統或伺服器服務系統的作用完全失效。其主要原因來自黑客和病毒的攻擊以及計算機硬體的認為破壞。
4）系統資源失竊問題
在網路系統環境中，系統資源失竊是常見的安全威脅。
5）信息的假冒
信息的假冒是指當攻擊者掌握了網路信息數據規律或解密了商務信息後，可以假冒合法用戶或假冒信息來欺騙其它用戶。主要表現形式有假冒客戶進行非法交易，偽造電子郵件等。
6）交易的抵賴
交易抵賴包括發信者事後否認曾經發送過某條信息；買家做了定單後不承認；賣家賣出的商品因價格差而不承認原先的交易等。
3 風險管理規則
針對電子商務面臨的各種安全風險，電子商務企業不能被動、消極地應付，而應該主動採取措施維護電子商務系統的安全，並監視新的威脅和漏洞。因此，這就需要制定完整高效的電子商務安全風險管理規則。
一般來說，風險管理規則的制定過程有評估、開發和實施以及運行三個階段。
（1）評估階段
該階段的主要任務是對電子商務的安全現狀、要保護的信息、各種資產等進行充分的評估以及一些基本的安全風險識別和分析。
對電子商務安全現狀的評估是制定風險管理規則的基礎。
對信息和資產的評估是指對可能遭受損失的相關信息和資產進行價值的評估，以便確定相適應的風險管理規則，從而避免投入成本和要保護的信息和資產的嚴重不匹配。
安全風險識別要求盡可能地發現潛在的安全風險，應收集有關各種威脅、漏洞、開發和對策的信息。
安全風險分析是確定風險，收集信息，對可能造成的損失進行評價以估計風險的級別，以便做出明智的決策，從而採取措施來規避安全風險。
（2）開發和實施階段
該階段的任務包括風險補救措施開發、風險補救措施測試和風險知識學習。
風險補救措施開發利用評估階段的成果來建立一個新的安全管理策略，其中涉及配置管
理、修補程序管理、系統監視與審核等等。
在完成對風險補救措施的開發後，即進行安全風險補救措施的測試，在測試過程中，將按照安全風險的控制效果來評估對策的有效性。
（3）運行階段
運行階段的主要任務包括在新的安全風險管理規則下評估新的安全風險。這個過程實際上是變更管理的過程，也是執行安全配置管理的過程。
運行階段的第二個任務是對新的或已更改的對策進行穩定性測試和部署。這個過程由系統管理、安全管理和網路管理小組來共同實施。

以上風險管理規則的三個階段可以用下圖來表示：

圖1 風險管理規則的三個階段

4 風險管理步驟
風險管理是識別風險、分析風險並制定風險管理計劃的過程。電子商務安全風險的管理和控制方法，它包括風險識別、風險分析、風險控制以及風險監控等四個方面。
（1）風險識別
電子商務系統的安全要求是通過對風險的系統評估而確認的。為了有效管理電子商務安全風險，識別安全風險是風險管理的第一步。
風險識別是在收集有關各種威脅、漏洞和相關對策等信息的基礎上，識別各種可能對電子商務系統造成潛在威脅的安全風險。
風險識別的手段五花八門，對於電子商務系統的安全來說，風險識別的目標是主要是對電子商務系統的網路環境風險、數據存在風險和網上支付風險進行識別。
需要注意的是，並非所有的電子商務安全風險都可以通過風險識別來進行管理，風險識別只能發現已知的風險或根據已知風險較容易獲知的潛在風險。而對於大部分的未知風險，則依賴於風險分析和控制來加以解決或降低。
（2）風險分析
風險分析是運用分析、比較、評估等各種定性、定量的方法，確定電子商務安全各風險要素的重要性，對風險排序並評估其對電子商務系統各方面的可能後果，從而使電子商務系統項目實施人員可以將主要精力放在對付為數不多的重要安全風險上，使電子商務系統的整體風險得到有效的控制。風險分析是一種確定風險以及對可能造成的損失進行評估的方法，它是制定安全措施的依據。
風險分析的目標是：確定風險，對可能造成損壞的潛在風險進行定性化和定量化，以及最後在經濟上尋求風險損失和對風險投入成本的平衡。
目前，風險分析主要採用的方法有：風險概率/影響評估矩陣，敏感性分析，模擬等。在進行電子商務安全風險分析時，由於各影響因素量化在現實上的困難，可根據實際需要，主要採用定性方法為主輔以少量定量方法相結合來進行風險分析，為制定風險管理制度和風險的控制提供理論上的依據。
（3）風險控制
風險控制就是選擇和運用一定的風險控制手段，以保障風險降到一個可以接受的水平。風險控制是風險管理中最重要的一個環節，是決定風險管理成敗的關鍵因素。電子商務安全風險控制的目標在於改變企業電子商務項目所承受的風險程度。
一般來說，風險控制方法有兩類：
第一類是風險控制措施，比如降低、避免、轉移風險和損失管理等。在電子商務安全風險管理中，比較常用的是轉移風險和損失管理。
第二類為風險補償的籌資措施，包括保險與自擔風險。在電子商務安全風險管理中，管理人員需要對風險補償的籌資措施進行決策，即選擇保險還是自擔風險。
此外，風險控制方法的選擇應當充分考慮相對風險造成損失的成本，當然其它方面的影響也是不容忽視的，如企業商譽等。
對電子商務安全來說，其有效可行的風險控制方法是：建立完整高效的降低風險的安全性解決方案，掌握保障安全性所需的一些基礎技術，並規劃好發生特定安全事故時企業應該採取的解決方案。
5 風險管理對策
由於電子商務安全的重要性，所以部署一個完整有效的電子商務安全風險管理對策顯得十分迫切。制定電子商務安全風險管理對策目的在於消除潛在的威脅和安全漏洞，從而降低電子商務系統環境所面臨的風險。
目前的電子商務安全風險管理對策中，較為常用的是縱深防禦戰略，所謂縱深防禦戰略，就是深層安全和多層安全。通過部署多層安全保護，可以確保當其中一層遭到破壞時，其它層仍能提供保護電子商務系統資源所需的安全。比如，一個單位外部的防火牆遭到破壞，由於內部防火牆的作用，入侵者也無法獲取單位的敏感數據或進行破壞。在較為理想的情況下，每一層均提供不同的對策以免在不同的層中使用相同的攻擊方法。
下圖為一個有效的縱深防禦策略：

圖2 有效的縱深防禦策略

下面就各層的主要防禦內容從外層到里層進行簡要的說明：
1）物理安全
物理安全是整個電子商務系統安全的前提。制定電子商務物理安全策略的目的在於保護計算機系統、電子商務伺服器等各電子商務系統硬體實體和通信鏈路免受自然災害和人為破壞造成的安全風險。
2）周邊防禦
對網路周邊的保護能夠起到抵禦外界攻擊的作用。電子商務系統應盡可能安裝某種類型的安全設備來保護網路的每個訪問節點。在技術上來說，防火牆是網路周邊防禦的最主要的手段，電子商務系統應當安裝一道或多道防火牆，以確保最大限度地降低外界攻擊的風險，並利用入侵檢測功能來及時發現外界的非法訪問和攻擊。
3）網路防禦
網路防禦是對網路系統環境進行評估，採取一定措施來抵禦黑客的攻擊，以確保它們得到適當的保護。就目前來說，網路安全防禦行為是一種被動式的反應行為，而且，防禦技術的發展速度也沒有攻擊技術發展得那麼快。為了提高網路安全防禦能力，使網路安全防護系統在攻擊與防護的對抗中占據主動地位，在網路安全防護系統中，除了使用被動型安全工具（防火牆、漏洞掃描等）外，也需要採用主動型安全防護措施（如：網路陷阱、入侵取證、入侵檢測、自動恢復等）。
4）主機防禦
主機防禦是對系統中的每一台主機進行安全評估，然後根據評估結果制定相應的對策以限制伺服器執行的任務。在主機及其環境中，安全保護對象包括用戶應用環境中的伺服器、客戶機以及其上安裝的操作系統和應用系統。這些應用能夠提供包括信息訪問、存儲、傳輸、錄入等在內的服務。根據信息保障技術框架，對主機及其環境的安全保護首先是為了建立防止有惡意的內部人員攻擊的首道防線，其次是為了防止外部人員穿越系統保護邊界並進行攻擊的最後防線。
5）應用程序防禦
作為一個防禦層，應用程序的加固是任何一種安全模型中都不可缺少的一部分。加強保護操作系統安全只能提供一定程度的保護。因此，電子商務系統的開發人員有責任將安全保護融入到應用程序中，以便對體系結構中應用程序可訪問到的區域提供專門的保護。應用程序存在於系統的環境中。
6）數據防禦
對許多電子商務企業來說，數據就是企業的資產，一旦落入競爭者手中或損壞將造成不可挽回的損失。因此，加強對電子商務交易及相關數據的防護，對電子商務系統的安全和電子商務項目的正常運行具有重要的現實意義
6 結論
一般來說，風險管理有基本的三個對策，包括管理者採取適當措施來降低風險事故發生的概率；管理者准備並實施一個意外事故應急計劃以備不測；還有就是管理者什麼都不做。對已選定的對策，應對其潛在的風險有充分的估計，並制定相應的應變計劃，以使可能的風險損失降到最低。
風險管理沒有鐵定的規則，對於電子商務安全風險管理來說，首先是掃描和檢測電子商務系統的內外部環境，檢查系統的脆弱性和薄弱環節，及時打上補丁和追加設備，以便當風險產生時盡可能地減少損失；其次是對電子商務安全風險進行充分地分析，然後制定相應的規劃和措施，並在其實施的每個階段進行監控和跟蹤；最後是根據環境的變化隨時調整風險管理措施，制定完備的災難恢復計劃。

參考文獻
[1]甘早斌．電子商務概論（第二版）．華中科技大學出版社．2003.9
[2]鍾誠．電子商務安全．重慶大學出版社．2004.6
[3]才書訓．電子商務安全風險管理與控制．東北大學出版社．2004.6
[4]易珊，張學哲．電子商務安全策略分析．科技情報開發與經濟．2004.5
[5]高新亞，鄒靜．電子商務安全的風險分析和風險管理．武漢理工大學學報.信息與管理工程版．2005.8
[6]郭學勤，陳怡．電子商務安全對策．計算機與數字工程．2001.7
[7]李晶．電子商務安全防範措施．安徽科技．2003.4
[8]Greenstein M,FeinmanT M.Electronic Commerce:Security,Risk Management and Control[M].New York:McGraw-Hill Companies,Inc.,2000
[9]Charles Cresson Wood, Essential Controls for Internet Electronic Commerce[M].Network Security,1998

-------------------------------------------------------------------

⑸ 電子商務安全問題國內外研究現狀

一、安全問題是實施電子商務的關鍵

傳統的交易是面對面的，比較容易保證建立交易雙方的信任關系和交易過程的安全性。而電子商務活動中的交易行為是通過網路進行的，買賣雙方互不見面，因而缺乏傳統交易中的信任感和安全感。美國密執安大學一個調查機構通過對23000名網際網路用戶的調查顯示，超過60％的人由於電子商務的安全問題而不願進行網上購物。任何個人、企業或商業機構以及銀行都不會通過一個不安全的網路進行商務交易，這樣會導致商業機密信息或個人隱私的泄露，從而導致巨大的利益損失。根據中國互聯網路信息中心(CNNIC)發布的「中國互聯網路發展狀況統計報告」，在電子商務方面，52．26％的用戶最關心的是交易的安全可靠性。由此可見，電子商務中的網路安全和交易安全問題是實現電子商務的關鍵之所在。

二、電子商務中的安全隱患和安全需求

1、電子商務中的安全隱患有：(1)篡改。電子的交易信息在網路上傳輸的過程中，可能被他人非法的修改，刪除或重放(指只能使用一次的信息被多次使用)，從而使信息失去了真實性和完整性。(2)信息破壞。包括網路硬體和軟體的問題而導致信息傳遞的丟失與謬誤；以及一些惡意程序的破壞而導致電子商務信息遭到破壞。(3)身份識別。如果不進行身份識別．第三方就有可能假冒交易一方的身份，以破壞交易．敗壞被假冒一方的聲譽或盜竊被假冒一方的交易成果等。而不進行身份識別，交易的一方可不為自己的行為負責任，進行否認，相互欺詐。(4)信息泄密。主要包括兩個方面，即交易雙方進行交易的內容被第三方竊取或交易一方提供給另一方使用的文件被第三方非法使用。
2、電子商務的安全性需求：電子商務的安全性需求可以分為兩個方面，一方面是對計算機及網路系統安全性的要求，表現為對系統硬體和軟體運行安全性和可靠性的要求、系統抵禦非法用戶入侵的要求等；另一方面是對電子商務信息安全的要求。(1)信息的保密性：指信息在存儲、傳輸及處理過程中不被他人竊取。(2)信息的完整性：包括信息在存儲中不被篡改和破壞，以及在傳輸過程中收到的信息和原發送信息的一致性。(3)信息的不可否認性：指信息的發送方不可否認已經發送的信息．接收方也不可否認已經收到的信息。(4)交易者身份的真實性：指交易雙方是確實存在的，不是假冒的。(5)系統的可靠性：指計算機及網路系統的硬體和軟體工作的可靠性，是否會因為計算機故障或意外原因造成信息錯誤、失效或丟失。

三、電子商務的安全技術

根據電子商務的這些安全性需求通常採用的安全技術主要有：密鑰加密技術、信息摘要技術、數字簽名、數字證書及CA認證。
1、密鑰加密技術：密碼加密技術有對稱密鑰加密技術和非對稱密鑰加密技術。
(1)對稱密鑰加密技術：對稱密鑰加密技術使用DES(Data En-cryption Standard)演算法，要求加密解密雙方擁有相同的密鑰，密鑰的長度一般為64位或56位。這種加密方法可以解決信息的保密問題，但又帶來了一些新的問題：一是在首次通信前，雙方必須通過網路以外的途徑傳遞統一的密鑰：二是當通信對象增多時，需要相應數量的密鑰，這就使密鑰管理和使用的難度增大；三是對稱加密是建立在共同保守秘密的基礎之上的，在管理和分發密鑰過程中，任何一方的泄露都會造成密鑰的失效，存在著潛在的危險和復雜的管理難度。
(2)非對稱密鑰加密技術：為了克服對稱密鑰加密技術存在的密鑰管理和分發上的問題，1976年Diffie和Hellman以及Merkle分別提出了公開密鑰密碼體制的思想：要求密鑰成對出現，一個為加密密鑰，另一個為解密密鑰，且不可能從其中一個推導出另一個。根據這種思想自1976年以來已經提出了多種公鑰加密演算法。公鑰加密演算法也稱為非對稱密鑰演算法，加密和解密的時候使用兩把密鑰，一把為公鑰，另一把為私鑰。私鑰只有自己知道，嚴密保管，公鑰和加密演算法則可以通過網路等渠道發布出去。公鑰加密演算法主要有：RSA、Fertezza、ElGama等。非對稱加密技術採用的是RSA演算法，是由Rivest、Shanir和Adle-man三人發明的。演算法如下：公鑰n=pq(p，q分別為兩個互異的大素數，必須要保密，n的長度大於512bit)，選一個數e與(p－1)(q－1)互質，私鑰d=e－1(mod(p－1)(q－1))，加密：c=me(mod n)(其中m為明文，c為密文)，解密：m=cd(mod n)。通信時，發送方用接收者的公鑰對明文加密後發送，接收方用自己的私鑰進行解密，這樣既解決了信息保密問題，又克服了對稱加密中密鑰管理與分發傳遞的問題。
2、信息摘要技術：密鑰加密技術只能解決信息的保密性問題，對於信息的完整性則可以用信息摘要技術來保證。信息摘要(Messagedigest)又稱Hash演算法，是Ron Rivest發明的一種單向加密演算法，指從原文中通過Hash演算法而得到一個有固定長度(128位)的散列值，不同的原文所產生的信息摘要必不相同，相同原文產生的信息摘要必定相同，因此信息摘要類似於人類的「指紋」，可以通過「指紋」去鑒別原文的真偽。信息摘要的使用過程如下：1、對原文使用Hash演算法得到信息摘要；2、將信息摘要與原文一起發送；3、接收方對接收到的原文應用Hash演算法產生一個摘要；4、用接收方產生的摘要與發送方發來的摘要進行對比，若兩者相同則表明原文在傳輸過程中沒有被修改，否則就說明原文被修改過
3、數字簽名：數字簽名(Digital Signature)是密鑰加密和信息摘要相結合的技術，可以保證信息的完整性和不可否認性。數字簽名的過程如下：1、發送方用自己的私鑰對信息摘要加密；2、發送方將加密後的信息摘要與原文一起發送；3、接收方用發送方的公鑰對收到的加密摘要進行解密；4、接收方對收到的原文用Hash演算法得到接收方的信息摘要；5、將解密後的摘要與接收方的信息摘要對比，相同說明信息完整且發送方身份是真實的，否則說明信息被修改或不是該發送者發送
由於私鑰是自己保管的他人無法仿冒，同時發送方也不能否認用自己的私鑰加密發送的信息，所以數字簽名解決了信息的完整性和不可否認性問題。數字簽名加密和密鑰加密技術不同，密鑰加密是發送方用接收方的公鑰加密，接收方在用自己的私鑰解密，是多對一的關系；而數字簽名中的加密是發送方用自己的私鑰對摘要進行加密，接收方用發送方的公鑰對數字簽名解密，是一對多的關系，表明公司的任何一個貿易夥伴都可以驗證數字簽名的真偽性。
4、數字證書與CA認證：非對稱加密技術和數字簽名技術都用到了公鑰，當交易的一方通過公開渠道得到了另一方的公鑰後，存在著這樣的問題：這個公鑰到底是不是真正屬於對方的，是否會有其他人假冒對方發布的公鑰。那麼如何確定網上交易雙方真實身份的確認，要用到由認證中心CA頒發的數字證書。
(1)數字證書：數字證書類似於現實生活中的身份證，它是標志網路用戶身份信息的一系列數據，用來在網路應用中識別通訊各方的身份。數字證書採用公鑰體制．即用一對互相匹配的密鑰進行加密、解密。每個用戶擁有一把僅為本人所掌握的私鑰，用它進行解密和數字簽名；同時擁有一把公鑰並可以對外公開，用於信息加密和驗證簽名。當發送一份保密文件時，發送方使用接收方的公鑰對數據進行加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤的到達目的地了。用戶可以採用自己的私鑰對信息加以處理，由於私鑰僅為本人所有，所以能生成別人無法偽造的文件，也就形成了數字簽名。同時，由於數字簽名與信息的內容相關，因此經過簽名的文件如有改動，就會導致數字簽名的驗證過程失敗，這樣就可以保證文件的完整性。
(2)數字證書的內容：主要包括以下內容：1、證書擁有者的姓名；2、證書擁有者的公鑰；3、公鑰的有限期；4、頒發數字證書的單位；5、頒發數字證書單位的數字簽名；6、數字證書的序列號等。
(3)認證中心CA(Certificate Authority)：認證中心是頒發數字證書的第三方權威機構。在電子交易中，商家、客戶、銀行的身份都要由認證中心來認證。因此認證中心主要有以下的功能：1、核發證書：核實申請人的各項資料是否真實，根據核實情況決定是否頒發數字證書。2、管理證書：檢查證書、廢除證書、更新證書。3、搜索證書：查找或下載個人(單位)的數字證書。4、驗證證書：可以幫助確定數字證書是否已被持有人廢除
電子商務的前途是光明的，但道路依然曲折，安全問題是阻礙電子商務廣泛應用的最大問題，改進數字簽名在內的安全技術措施、確定CA認證權的歸屬問題十分關鍵。

⑹ 求關於「電子商務的風險及其安全管理」的電子商務專業論文

電子商務的風險及其安全管理

摘要】 指出了網路系統的安全是電子商務運行的一個關鍵性前提。全面分析了電子商務中可能出現的各類風險 :顧客面臨的風險、銷售商面臨的風險和企業自身面臨的風險。最後提出了電子商務的風險管理及其安全防範措施。

感興趣與我索取全文

⑺ 寧夏大學電商論文選題方向2021

摘要 一、網路營銷3

⑻ 簡述電子商務安全風險的類型及安全管理的方法

電子商務網路系統自身的安全問題
（1）物理實體安全問題
（2）計算機軟體系統潛回在的安全答問題
（3）網路協議的安全漏洞
（4）黑客的惡意攻擊
（5）計算機病毒攻擊
（6）安全產品使用不當
5、電子商務交易信息傳輸過程中面臨哪些安全問題？
（1）信息機密性面臨的威脅：主要指信息在傳輸過程中被盜取。
（2）信息完整性面臨的威脅：主要指信息在傳輸的過程中被篡改、刪除或插入
（3）交易信息的可認性面臨的威脅：主要指交易雙方抵賴已經做過的交易或傳輸的信息。
（4）交易雙方身份真實性面臨的威脅：主要指攻擊者假冒交易者的身份進行交易。 電子商務企業內部安全管理問題（1）網路安全管理制度問題（2）硬體資源的安全管理問題（3）軟體和數據的維護與備份安全管理問題
有什麼不懂的可以問我，我是#華農@百靈#的。

⑼ 電子商務安全威脅及防範措施分別是什麼

1、未進行操作系統相關安全配置

不論採用什麼操作系統，在預設安裝的條件下都會存在一些安全問題，只有專門針對操作系統安全性進行相關的和嚴格的安全配置，才能達到一定的安全程度。千萬不要以為操作系統預設安裝後，再配上很強的密碼系統就算作安全了。網路軟體的漏洞和「後門」是進行網路攻擊的首選目標。

2、未進行CGI程序代碼審計

如果是通用的CGI問題，防範起來還稍微容易一些，但是對於網站或軟體供應商專門開發的一些CGI程序，很多存在嚴重的CGI問題，對於電子商務站點來說，會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重後果。

3、拒絕服務（DoS，DenialofService）攻擊

隨著電子商務的興起，對網站的實時性要求越來越高，DoS或DDoS對網站的威脅越來越大。以網路癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈，破壞性更大，造成危害的速度更快，范圍也更廣，而襲擊者本身的風險卻非常小，甚至可以在襲擊開始前就已經消失得無影無蹤，使對方沒有實行報復打擊的可能。

4、安全產品使用不當

雖然不少網站採用了一些網路安全設備，但由於安全產品本身的問題或使用問題，這些產品並沒有起到應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高，超出對普通網管人員的技術要求，就算是廠家在最初給用戶做了正確的安裝、配置，但一旦系統改動，需要改動相關安全產品的設置時，很容易產生許多安全問題。

5、缺少嚴格的網路安全管理制度

網路安全最重要的還是要思想上高度重視，網站或區域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網路安全制度與策略是真正實現網路安全的基礎。

6、竊取信息

由於未採用加密措施，數據信息在網路上以明文形式傳送，入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規律和格式，進而得到傳輸信息的內容，造成網上傳輸信息泄密。

7、篡改信息

當入侵者掌握了信息的格式和規律後，通過各種技術手段和方法，將網路上傳送的信息數據在中途修改，然後再發向目的地。這種方法並不新鮮，在路由器或網關上都可以做此類工作。

8、假冒

由於掌握了數據的格式，並可以篡改通過的信息，攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。

9、惡意破壞

由於攻擊者可以接入網路，則可能對網路中的信息進行修改，掌握網上的機要信息，甚至可以潛入網路內部，其後果是非常嚴重的。

安全對策

1、保護網路安全。

保護網路安全的主要措施如下：全面規劃網路平台的安全策略，制定網路安全的管理措施，使用防火牆，盡可能記錄網路上的一切活動，注意對網路設備的物理保護，檢驗網路平台系統的脆弱性，建立可靠的識別和鑒別機制。

2、保護應用安全。

應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網路支付等應用的安全性。

3、保護系統安全。

在安裝的軟體中，如瀏覽器軟體、電子錢包軟體、支付網關軟體等，檢查和確認未知的安全漏洞。技術與管理相結合，使系統具有最小穿透風險性。如通過諸多認證才允許連通，對所有接入數據必須進行審計，對系統用戶進行嚴格安全管理。建立詳細的安全審計日誌，以便檢測並跟蹤入侵攻擊等。

4、加密技術

加密技術為電子商務採取的基本安全措施，交易雙方可根據需要在信息交換的階段使用。加密技術分為兩類，即對稱加密和非對稱加密。

5、認證技術。

用電子手段證明發送者和接收者身份及其文件完整性的技術，即確認雙方的身份信息在傳送或存儲過程中未被篡改過。包括數字簽名、數字證書。

6、電子商務的安全協議。

電子商務的運行還有一套完整的安全協議，有SET、SSL等。

(9)電子商務安全風險管理研究擴展閱讀

從電子商務的含義及發展歷程可以看出電子商務具有如下基本特徵：

1、普遍性。電子商務作為一種新型的交易方式，將生產企業、流通企業以及消費者和政府帶入了一個網路經濟、數字化生存的新天地。

2、方便性。在電子商務環境中，人們不再受地域的限制，客戶能以非常簡捷的方式完成過去較為繁雜的商業活動。如通過網路銀行能夠全天候地存取賬戶資金、查詢信息等，同時使企業對客戶的服務質量得以大大提高。在電子商務商業活動中，有大量的人脈資源開發和溝通，從業時間靈活，完成公司要求，有錢有閑。

3、整體性。電子商務能夠規范事務處理的工作流程，將人工操作和電子信息處理集成為一個不可分割的整體，這樣不僅能提高人力和物力的利用率，也可以提高系統運行的嚴密性。

4、安全性。在電子商務中，安全性為一個至關重要的核心問題，它要求網路能提供一種端到端的安全解決方案，如加密機制、簽名機制、安全管理、存取控制、防火牆、防病毒保護等等，這與傳統的商務活動有著很大的不同。

5、協調性。商業活動本身為一種協調過程，它需要客戶與公司內部、生產商、批發商、零售商間的協調。在電子商務環境中，它更要求銀行、配送中心、通信部門、技術服務等多個部門的通力協作，電子商務的全過程往往是一氣呵成的。

⑽ 如何降低電商系統中的運行風險

降險原則一：不斷培訓是重點 ERP培訓管理涉及到軟體提供商和企業兩方面。對於企業來說，通過培訓讓企業的各級人員明確ERP的概念，清楚ERP的實施將給企業帶來的可能變化，並且應該明晰實施ERP後各個崗位的人員的新工作方式和相應帶來的人員變革。 培訓是成功實施ERP系統的重要因素。ERP培訓有兩個重要目的：一是增加人們對ERP相關知識的了解;二是規范管理人員的行為方式。通過培訓要使用戶的各級管理人員不僅要明確什麼是ERP，它的實施將給企業帶來那些變化，並明確實施ERP後各個崗位的人員如何進行新的工作方式。培訓將採用授課和現場培訓的方式進行，將對ERP理論、ERP軟體系統功能、使用操作、數據採集等方面的內容進行不同層次的培訓，可以把相關培訓資料上傳到日事清的筆記模塊，方便復習與回顧。 通過培訓使下列人員達到如下目標： 第一、技術人員：了解ERP原理，理解系統中產品結構的組成和作用;會運用計算機熟練地輸入、查詢、修改產品的組成等;第二、生產管理人員：懂得ERP運行原理，會操作菜單查詢工單狀態，熟悉工作規范，對工單從領料到加工、匯報整個過程清楚，對缺料、拖期工單了解原因，並能進行處理;第三、數據維護人員：理解自己維護的基礎數據在系統中的來源和用途，能熟練操作菜單進行數據維護;第四、系統管理人員：深刻理解ERP運行原理和各模塊間的關系，能夠為各業務部門提供咨詢與培訓，並能對系統進行日常維護;第五、操作員：對ERP的基本概念和原理有一定了解;會正確使用菜單上的功能進行數據輸入;熟悉數據輸入的具體注意事項和規定;熟練地操作計算機。ERP培訓的三個層次是指： 1、面向企業高層管理的培訓。這個層次的培訓目標是使企業高層管理者全面地了解ERP原理、相關管理理論和ERP的實施方法，能用ERP理論及相關的BPR思想來指導企業具體的管理創新和流程再造工作，能在宏觀層面上指導ERP的實施工作。 2、面向中層部門業務骨乾的培訓。這個層次的培訓目標是使企業中層部門業務負責人明確ERP原理、相關管理理論和具體的ERP實施方法，全面了解ERP的各個模塊例如生產管理、財務管理、銷售管理、庫存管理、人力資源管理等的具體運作體系，明確各個部門應該如何具體做好配合工作來保證ERP實施的成功，防止有些部門負責人出於部門利益或個人利益的原因不願意與其他部門實現信息共享，從而導致「信息孤島」現象的出現，為ERP的成功實施埋下隱患。 3、面向基層普通員工的培訓。這個層次的培訓目標是使基層員工基本了解ERP原理和相關管理理論，使ERP的管理理念深入人心，熟悉ERP軟體的具體應用和操作，能解決一些簡單的軟體和硬體故障。另外，在ERP培訓中還需要特別強調的一點是，企業必須通過ERP培訓建立企業在ERP項目實施中的主體意識。 降險原則二：高層必須全力支持並適當放權 ERP系統是一個很耗費企業資源的工程，對企業能否成功藉助此系統進行轉型，具有生死攸關的重要意義。如果沒有企業決策層的正確認識，企業將很難實施、運行這個系統。經常有業內人士把ERP的實施稱為「一把手工程」，也是不無道理。畢竟，ERP是一個牽動全局的管理系統，沒有第一把手的參與和授權，很難調動全局。在實施ERP時，如果每個企業的老總都能夠正確支持並適當放權，ERP項目一定會快速在企業內推廣，減少由於時間所造成的諸多風險。 企業最高管理層的支持對ERP的實施結果至關重要。高層管理者的支持表現在：項目決策的制定、明確授權、解決問題標準保持一致、引入有效的變革管理戰略、選擇企業最恰當的時機實施項目。在中國，尤其需要強調企業最高層領導的認同和參與，在項目規劃和實施各階段進行有效的領導、協調和監督。 ERP系統的實施是一項投入大、風險大、實施難度大的系統工程。是企業管理模式、管理思想、管理方式的一場變革，沒有企業決策者對這一巨大工程的認識、支持與直接參與就沒有成功的可能。大量的實踐表明，高層領導的承諾是企業成功實施ERP的關鍵，主宰著系統的成功與失敗。 往往一些企業做ERP項目時，解決問題的目標訂的很高，但是，不注重企業本身的條件，如本身的素質、高層對項目的認識、高層對項目的參與程度、可能達到的效果都未考慮成熟。所以結果與願望相差很大。 ERP系統的實施是一項投入大、風險大、實施難度大的系統工程。是企業管理模式、管理思想、管理方式的一場變革，沒有企業決策者對這一巨大工程的認識、支持與直接參與就沒有成功的可能。大量的實踐表明，高層領導的承諾是企業成功實施ERP的關鍵，主宰著系統的成功與失敗。