电子商务的安全与风险管理

A. 电子商务交易风险及对策

电子商务交易风险及对策
1 引言
随着互联网的迅速发展，电子商务的应用和推广极大地改变了人们的工作和生活方式，带来了无限的商机。然而，电子商务发展所依赖的平台——互联网充满了巨大、复杂的安全风险。黑客的攻击、病毒的扩散等都使得电子商务业务很难安全顺利地开展；此外，电子商务的发展还面临着严峻的内部风险，电子商务企业内部对安全问题的忽视和安全意识的淡薄，高层领导对电子商务的运作和安全管理重视程度不足，使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此，在考察电子商务运行环境、提供电子商务安全解决方案的同时，有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制的办法。
电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡量、分析，并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。
2 电子商务面临的安全风险
由于网络的复杂性和脆弱性，以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说，电子商务普遍存在着以下几个安全风险：
1）信息的截获和窃取：这是指电子商务相关用户或外来者未经授权通过键信中各种技术手段截获和窃取他人的文电内容以获取商业机密。
2）信息的篡改：网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或插入，并发往目的地，从而达到破坏信息完整性的目的。
3）拒绝服务：拒绝服务是指在一定时间内，网络系统或服务器服务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的破坏。
4）系统资源失窃问题：在网络系统环境中，系统资源失窃是常见的安全威胁。
5）信息的假冒：信息的假冒是指当攻击者掌握了网络信息数据规律或解密了商务信息后，可以假冒合法用户或假冒信息来欺骗其他用户。主要表现形式有假冒客户进行非法交易，伪造电子邮件等。
6）交易的抵赖：交易抵赖包括发信者事后否认曾经发送过某条信息；买家做了定单后不承认；卖家卖出的商品因价格差而不承认原先的交易等。
3 风险管理规则
针对电子商务面临的各种安全风险，电子商务企业不能被动、消极地应付，而应该主动采取措施维护电子商务系统的安全，并监控新的威胁和漏洞。因此，需要制定完整高效的电子商务安全风险管理规则。
一般来说，风险管理规则的制定过程包括评估、开发和实施以及运行三个阶段。
（1）评估阶段：主要任务是全面评估电子商务的安全现状、要保护的信息、各种资产等进行风险识别和分析。
（2）开发和实施阶段：任务包括风险补救措施的开发、风险补救措施的测试和风险知识的学习。
（3）运行阶段：主要任务包括在新的安全风险管理规则下评估新的安全风险，这个过程实际上是变更管理的过程，也是执行安全配置管理的过程。
4 风险管理步骤
风险管理是识别风险、分析风险并制定风险管理计划的过程。电子商务安全风险的管理和控制方法包括风险识别、风险分析、风险控制以及风险监控等四个方面。
（1）风险识别：电子商务系统的安全要求是通过对风险的系统评估而确认的。为了有效管理电子商务安全风险，识别安全风险是风险管理的第一步。
（2）风险分析：风险分析是运用分析、比较、评估等各种定性、定量的方法，确定电子商务安全各风险要素的重要性，对风险排序并评估其对电子商务系统各方面的可能后果，从而使电子商务系统项目实施人员可以将主要精力放在对付为数不多的重要安全风险上，使电子商务系统的整体风险得到有效的控制。
（3）风险控制：风险控制就是选择和运用一定的风险控制手段，以保障风险降到一个可以接受的水平。风险控制是风险管理中最重要的一个环节，是决定风险管理成败的关键因素。
（4）风险监控：风险监控是对新的或已更改的对策进行稳定性测试和部署的过程。
5 风险管理对策
由于电子商务安全的重要性，部署一个完整有效的电子商务安全风险管理对策显得十分迫切。制定电子商务安全风险管理对策目的在于消除潜在的威胁和安全漏洞，从而降低电子商务系统环境所面临的风险。
目前的电子商务安全风险管理对策中，较为常用的是纵深防御战略，所谓纵深防御战略，就是深层安全和多层安全。通过部署多层安全保护，可以确保当其中一层遭到破坏时，其它层仍能提供保护电子商务系统资源所需的安全。
6 结论
风险管理没有固定的规则，对于电子商务安全风险管理来说，首先是扫描和检测电子商务系统的内外部环境，检查系统的脆弱性和薄弱环节，及时打上补丁和追加设备，以便当风险产生时尽可能地减少损失；其次是对电子商务安全风险进行充分地分析，然后制定相应的规划和措施，并在其实施的每个阶段进行监控和跟踪；最后是根据环境的变化随时调整风险管理措施，制定完备的灾难恢复计划。

B. 电子商务风险管理的三个阶段

电子商务风险管理是一个系统的过程，可以分为三个关键阶段：风险识别、风险评估和风险处理。在风险识别阶段，企业需要全面审视自身的电子商务活动，识别可能存在的各种风险因素。这包括但不限于网络安全风险、供应链风险、市场风险以及操作风险等。风险识别是风险管理的第一步，通过识别潜在风险，企业能够更好地了解自己面临的挑战。

进入风险评估阶段后，企业需要对已识别的风险进行量化分析，评估其对业务可能产生的影响。这一阶段通常包括风险概率和影响的评估。通过评估，企业可以确定哪些风险需要优先处理，哪些风险可以暂时搁置。风险评估有助于企业合理分配资源，确保重要风险得到及时关注和处理。

在风险处理阶段，企业应制定相应的策略和措施，以减轻或消除已识别和评估的风险。这可能涉及技术措施、管理措施、保险措施等多种手段。例如，企业可以通过加强网络安全防护、优化供应链管理、制定市场策略等方式来降低风险。此外，企业还可以通过购买保险来转移部分风险，确保企业在面对不可预见的风险时能够获得及时的支持。

总体而言，电子商务风险管理是一个动态过程，需要企业持续关注和调整。通过有效执行风险识别、风险评估和风险处理这三个阶段，企业能够更好地保护自身利益，应对电子商务领域中的各种挑战。

C. 简述电子商务的安全隐患与解决措施

1、数据传输安全隐患。

电子商务是在开放的互联网上进行的贸易，大量的商务信息在计算机和网络上上存放、传输，从而形成信息传输风险。因此措施可以通过采用数据加密（包括秘密密钥加密和公开密钥加密）来实现的，数字信封技术是结合密钥加密和公开密钥加密技术实现的。

2、数据完整性的安全隐患。

数据的完整性安全隐患是指数据在传输过程中被篡改。因此确保数据不被篡改的措施可以通过采用安全的散列函数和数字签名技术来实现的。双重数字签名可以用于保证多方通信时数据的完整性。

3、身份验证的安全隐患。

网上通信双方互不见面，在交易或交换敏感信息时确认对方等真实身份以及确认对方的账户信息的真实与否，为身份验证的安全隐患。解决措施可以通过采用口令技术、公开密钥技术或数字签名技术和数字证书技术来实现的。

4、交易抵赖的安全隐患。

网上交易的各方在进行数据传输时，当发生交易后交易双方不认可为本人真实意愿的表达而产生的抵赖安全隐患。措施为交易时必须有自身特有的、无法被别人复制的信息，以保证交易发生纠纷时有所对证，可以通过数字签名技术和数字证书技术来实现的。

(3)电子商务的安全与风险管理扩展阅读：

电子商务分类：

1、企业对企业的电子商务（B2B）；

2、企业对消费者的电子商务（B2C）；

3、企业对政府的电子商务（B2G）；

4、消费者对政府的电子商务（C2G）；

5、消费者对消费者的电子商务（C2C）；

6、企业、消费者、代理商三者相互转化的电子商务（ABC）；

7、以消费者为中心的全新商业模式（C2B2S）；

8、以供需方为目标的新型电子商务（P2D）。

D. 电子商务有哪些风险

一、模式同质化风险
在电子商务的早期发展阶段，我国的商业模式主要借鉴自美国，如BtoB、BtoC和CtoC等模式。这些模式在初期对电子商务的推广起到了积极作用。但随着市场的深化，同质化的商业模式已无法满足消费者个性化、多样化的需求。因此，企业在实施电子商务时应注重个性化发展，避免陷入同质化的误区，以提升竞争优势。
二、超前的风险
电子商务虽然具有跨越时空、降低成本的优势，但并非所有企业都适用。有些企业在看到其他企业实施电子商务后，也跟风进行改造，但由于管理水平和供应链企业的配合问题，导致巨大的电子商务系统成为摆设。例如，某企业建立BtoB电子商务网站以整合销售体系，但因合作伙伴不愿通过此方式采购，项目面临淘汰威胁。
三、滞后的风险
与超前风险相反，有些企业本应实施电子商务却仍固守传统思维，错失发展机会。例如，某高科技企业虽意识到需提高管理水平，推行新管理措施，但效果不佳。对于这类企业，应尽快建立ERP和CRM系统，通过电子商务变革传统管理，提升竞争力。
四、技术风险
我国电子商务面临的技术问题包括网络应用不广、网络结构复杂、行业间不能互通互联等。为此，应建立和完善相关法律法规，开发关键技术和产品，形成适应国情的电子商务运营机制。同时，技术风险还体现在安全问题上，如交易安全、认证安全和数据加密等。
五、信誉风险
my8848的倒闭使我国电子商务信誉受到严重影响。为克服信誉风险，企业应注重每个订单、每个客户的细节，尤其是售后服务和付款方式，不能交易完成后即结束服务。企业应重视长期发展，避免短视行为。
六、人才风险
电子商务对人才的需求日益增加，尤其是计算机和网络经济人才。我国在这方面的人才缺口较大，且存在向高薪国家外流的趋势。随着WTO的加入，人才外流将更加明显。因此，企业应重视人力资源管理，通过优厚待遇、情感凝聚和事业激励等措施，防止人才流失。