电子商务风险评估报告

『壹』 险公司内部控制评价

保险小编帮您解答，更多疑问可在线答疑。

加强内部控制是贯彻《会计法》及提高企业管理水平、增强企业竞争力的客观要求。研究和运用内部控制的各种方法是建立和完善内部控制制度的一项极其重要的内容。
一、组织规划控制
组织规划是对企业组织机构设置、职务分工的合理性和有效性所进行的控制。企业组织机构有两个层面：一是法人的治理结构问题，涉及董事会、监事会、经理的设置及相关关系，二是管理部门设置及其关系，对财务管理来说，就是如何确定财务管理的广度和深度，由此产生集权管理和分级管理的组织模式。职务分工主要解决不相容职务分离。所谓不相容职务分离是指那些由一个人担任，即可能发生错误和弊端又可掩盖其错误和弊端的职务。企业内部主要不相容职务有：授权批准职务、业务经办职务、财产保管职务、会计记录职务和审核监督职务。这五种职务之间应实行如下分离：(1)授权批准职务与执行业务职务相分离。(2)业务经办职务与审核监督职务分离。(3)业务经办职务与会计记录职务分离。(4)财产保管职务与会计记录职务分离。(5)业务经办职务与财产保管职务相分离。
要建立健全组织规划控制，目前必须解决两个问题：(1)设立管理控制机构。例如，目前有些上市公司中依据自身经营特点设立了审计委员会、价格委员会、报酬委员会等就是完善内部控制机制的有益尝试。机构设置因单位的经营特点和经营规模而异，很难找到一个通用模式。比如设立价格委员会的企业大都是规模很大、采用集中采购方式且采购价格变动较大的企业，这些企业设立价格委员会能够有效加强采购环节的价格监督与控制。再比如，对于规模大、技术含量很高、高知人员云集、按劳取酬的企业，通过设立报酬委员会进行管理层持股及股票期权问题研究，能够提高报酬计划按劳取酬科学性、加强报酬计划执行中的透明度和监控力度。(2)推行职务不兼容制度，杜绝高层管理人员交叉任职。交叉任职主要体现在董事长和总经理为一人，董事会和总经理班子人员重叠。在上市公司中，这一问题虽有了较大的改变，但从公司制企业的总体上看，仍普遍存在。这种交叉任职的后果是董事会与总经理班子之间权责不清、制衡力度锐减。关键人大权独揽，一人具有几乎无所不管的控制权，且常常集控制权、执行权和监督权于一身，并有较大的任意性。交叉任职违背了内部控制的基本原则，必然带来权责含糊，易于造成办事程序由一个人操纵的现象出现。事实上，资金调拨、资产处置、对外投资等方面出现的问题重要原因之一在于交叉任职，董事会缺乏独立性。因此，建立内部控制框架首先要在组织机构设置和人员配备方面做到董事长和总经理分设、董事会和总经理班子分设，避免人员重叠。
二、授权批准控制
授权批准是指企业在处理经济业务时，必须经过授权批准以便进行控制，授权批准按其形式可分为一般授权和特殊授权。所谓一般授权是指对办理常规业务时权力、条件和责任的规定，一般授权时效性较长；而特殊授权是对办理例外业务时权力、条件和责任的规定，一般其时效性较短。不论采用哪一种授权批准方式，企业必须建立授权批准体系，其中包括：(1)授权批准的范围，通常企业的所有经营活动都应纳入其范围。(2)授权批准的层次，应根据经济活动的重要性和金额大小确定不同的授权批准层次，从而保证各管理层有权亦有责。(3)授权批准的责任，应当明确被授权者在履行权力时应对哪些方面负责，应避免责任不清，一旦出现问题又难咎其责的情况发生。(4)授权批准的程序，应规定每一类经济业务审批程序，以便按程序办理审
批，以避免越级审批、违规审批的情况发生。单位内部的各级管理层必须在授权范围内行使相应职权，经办人员也必须在授权范围内办理经济业务。
三、会计系统控制
会计系统控制要求单位必须依据会计法和国家统一的会计制度等法规，制定适合本单位的会计制度、会计凭证、会计账簿和财务会计报告的处理程序，实行会计人员岗位责任制，建立严密的会计控制系统。会计系统控制主要包括：(1)建立健全内部会计管理规范和监督制度，且要充分体现权责明确、相互制约以及及时进行内部审计的要求。(2)统一会计政策，尽管国家制定了统一的会计制度，但其中某些会计政策是可选的。因此，从企业内部管理要求出发，必须统一执行所确定的会计政策，以便统一核算汇总分析和考核，企业会计政策可以专门文件的方式予以颁布。(3)统一会计科目，在实行国家统一一级会计科目的基础上，企业应根据经营管理需要，统一设定明细科目，特别是集团性公司更有必要统一下级公司的会计明细科目，以便统一口径，统一核算。(4)明确会计凭证、会计账簿和财务会计报告的处理程序与方法，遵循会计制度规定的各条核算原则，使会计真正实现为国家宏观经济调控和管理提供信息、为企业内部经营管理提供信息、为企业外部各有关方面了解其财务状况和经营成果提供信息的目标。
四、全面预算控制
全面预算是企业财务管理的重要组成部分，它是为达到企业既定目标编制的经营、资本、财务等年度收支总体计划，从某种意义上讲，全面预算也是对企业经济业务规划的授权批准。全面预算控制应抓好以下环节：(1)预算体系的建立，包括预算项目、标准和程序。(2)预算的编制和审定。(3)预算指标的下达及相关责任人或部门的落实。(4)预算执行的授权。(5)预算执行过程的监控。(6)预算差异的分析与调整。(7)预算业绩的考核。全面预算是集体性工作，需要企业内各部门人员的相关合作。为此，有条件的企业应设立预算委员会，组织领导企业的全面预算工作，确保预算的执行。
五、财产保全控制
财产保全控制包括：(1)限制直接接触，限制直接接触主要指严格限制无关人员对实物资产的直接接触，只有经过授权批准的人员才能够接触资产。限制直接接触的对象包括限制接触现金、其他易变现资产与存货。(2)定期盘点，建立资产定期盘点制度，并保证盘点时资产的安全性。通常可采用先盘点实物，再核对账册来防止盘盈资产流失的可能性，对盘点中出现的差异应进行调查，对盘亏资产应分析原因、查明责任、完善相关制度。(3)记录保护，应对企业各种文件资料(尤其是资产、财务、会计等资料)妥善保管，避免记录受损、被盗、被毁的可能。对某些重要资料应留有后备记录，以便在遭受意外损失或毁坏时重新恢复，这在当前计算机处理条件下尤为重要。(4)财产保险，通过对资产投保(如火灾险、盗窃险、责任险或一切险)增加实物受损补偿机会，从而保护实物的安全。(5)财产记录监控，对企业要建立资产个体档案，资产增减变动应及时全面予以记录。加强财产所有权证的管理，改革现有低值易耗品等核销模式，减少备查簿的形式，使其价值纳入财务报表体系内，从而保证账实的一致性。
六、人力资源控制
对于作为经济运行的微观基础的企业而言，人力资源要素的数量和质量状况，人力资源所具有的忠诚、向心力和创造力，是企业兴旺发达的活力和强大推动力所在。因此，如何充分调动企业人力资源的积极性、主动性、创造性，发挥人力资源的潜能，已成为企业管理的中心任务。人力资源控制应包括：(1)建立严格的招聘程序，保证应聘人员符合招聘要求。(2)制定员工工作规范，用以引导考核员工行为。(3)定期对员工进行培训，帮助其提高业务素质，更好地完成规定的任务。(4)加强和考核奖惩力度，应定期对职工业绩进行考核，奖惩分明。(5)对重要岗位员工(如销售、采购、出纳)应建立职业信用保险机制，如签订信用承诺书，保荐人推荐或办理商业信用保险。(6)工作岗位轮换，可以定期或不定期进行工作岗位轮换，通过轮换及时发现存在的错弊情况。同时也可以挖掘职工的潜在能力。(7)提高工资与福利待遇，加强员工之间的沟通，增强凝聚力。
七、风险防范控制
企业在市场经济环境中，不可避免会遇到各种风险。风险控制要求单位树立风险意识，针对各个风险控制点，建立有效的风险管理系统，通过风险预警、风险识别、风险评估、风险报告等措施，对财务风险和经营风险进行全面防范和控制。企业风险评估主要内容有：(1)筹资风险评估，如企业财务结构的确定、筹资结构的安排、筹资币种金额及期限的制定、筹资成本的估算和筹资的偿还计划等都应事先评估、事中监督、事后考核。(2)投资风险评估，企业对各种债权投资和股权投资都要作可行性研究并根据项目和金额大小确定审批权限，对投资过程中可能出现的负面因素应制定应对预案。(3)信用风险评估，企业应制定客户信用评估指标体系，确定信用授予标准，规定客户信用审批程序，进行信用实施中的实时跟踪。信用活动规模大的企业，可建立独立信用部门，管理信用活动、控制信用风险。(4)合同风险评估，企业就建立合同起草、审批、签订、履行监督和违约时采取应对措施的控制科学试验，必要时可聘请律师参与。风险防范控制是企业一项基础性和经常性的工作，企业必要时可设置风险评估部门或岗位，专门负责有关风险的识别、规避和控制。
八、内部报告控制
为满足企业内部管理的时效性和针对性，企业应当建立内部管理报告体系，全面反映经济活动，及时提供业务活动中的重要信息。内部报告体系的建立应体现：反映部门经管责任，符合例外管理的要求，报告形式和内容简明易懂，并要统筹规划，避免重复。内部报告要根据管理层次设计报告频率和内容详简。通常，高层管理者报告时间间隔时间长，内容从重、从简；反之，报告时间间隔短，内容从全、从详。常用的内部报告有：(1)资金分析报告，包括资金日报、借还款进度表、贷款担保抵押表、银行账户及印鉴管理表等。(2)经营分析报告。(3)费用分析报告。(4)资产分析报告。(5)投资分析报告。(6)财务分析报告等。
九、管理信息系统控制
管理信息系统控制包括两方面的内容，一方面是要加强对电子信息系统本身的控制。随着电子信息技术的发展，企业利用计算机从事经营管理方式手段越来越普遍，除了会计电算化和电子商务的发展外，企业的生产经营与购销储运都离不开计算机。为此必须加强对电子信息系统的控制，包括：系统组织和管理控制、系统开发和维护控制、文件资料控制、系统设备、数据、程序、网络安全的控制以及日常应用的控制。另一方面，要运用电子信息技术手段建立控制系统，减少和消除内部人为控制的影响，确保内部控制的有效实施。
十、内部审计控制
内部审计控制是内部控制的一种特殊形式，它是一个企业内部经济活动和管理制度是否合规、合理和有效的独立评价机构，在某种意义上讲是对其他内部控制的再控制。内部审计内容十分广泛，按其目的可分为财务审计、经营审计和管理审计。内部审计在企业应保持相对独立性，应独立于其他经营管理部门，最好受董事会或下属的审计委员会领导。
总之，不管采用何种内部控制方法，不管如何建立公司治理结构，都应确立董事会在内部控制系统中的核心地位。从我国《公司法》规定的董事会、股东大会、总经理之间的权责划分看，董事会在公司管理中居于核心地位。董事会应该对公司内部控制的建立、完善和有效运行负责。原因在于：(1)对于董事会而言，建立内部控制系统是为了通过不丧失控制的授权来保证公司有效运行、完成公司的目标，(2)内部控制是董事会抑制管理人员在获取短期盈利机会中的机会主义倾向，保证法律、公司政策及董事会决议切实贯彻实施的手段；(3)内部控制以及涉及内部控制的信息流动构成解决信息不对称、保证会计信息真实可行的重要手段，而确保信息质量是董事会不可推卸的责任。

『贰』 电子商务论文写作方向！！帮我选择一个比较好写点的！并给予题目（最好带点内容）支持原创！

电子商务安全问题的特征分析
企业网络安全的核心是企业信息的安全。为防止非法用户利用网络系统的安全缺陷进行数据的窃取、伪造和破坏，必须建立企业网络信息系统的安全服务体系。关于计算机信息系统安全性的定义到目前为止还没有统一，国际标准化组织(ISO)的定义为：“为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露”。计算机安全包括物理安全和逻辑安全，其中物理安全指系统设备及相关设施的物理保护以免于被破坏和丢失，逻辑安全是指信息的可用性、完整性和保密性三要素。 信息安全的隐患存在于信息的共享和传递过程中。目前，浏览器／服务器技术已广泛应用于企业网络信息系统中，而其基础协议就存在着不少的安全漏洞。 一种基本的安全系统——网络安全系统，也称为防火墙系统，可以设置在公用网络系统和企业内部网络之间，或者设置在内部网络的不同网段之间，用以保护企业的核心秘密并抵御外来非法攻击。随着企业网上业务的不断扩大和电子商务的发展，对网络的安全服务提出了新的要求。像用户认证、信息的加密存贮、信息的加密传输、信息的不可否认性、信息的不可修改性等要求，要用密码技术、数字签名、数字邮戳、数字凭证和认证中心等技术和手段构成安全电子商务体系。 黑客攻击企业信息系统的手段 2.1 TCP／IP协议存在安全漏洞 目前使用最广泛的网络协议是TCP／IP协议，而TCP／IP协议恰恰存在安全漏洞。如IP层协议就有许多安全缺陷。IP地址可以软件设置，这就造成了地址假冒和地址欺骗两类安全隐患；IP协议支持源路由方式，即源点可以指定信息包传送到目的节点的中间路由，这就提供了源路由攻击的条件。再如应用层协议Telnet、FTP、SMTP等协议缺乏认证和保密措施，这就为否认、拒绝等欺瞒行为开了方便之门。 对运行TCP／IP协议的网络系统，存在着如下五种类型的威胁和攻击：欺骗攻击、否认服务、拒绝服务、数据截取和数据纂改。 2.2 黑客攻击网络信息系统的手段 黑客攻击的目标不相同，有的黑客注意焦点是美国国防部五角大楼，有的关心是安全局、银行或者重要企业的信息中心，但他们采用的攻击方式和手段却有一定的共同性。一般黑客的攻击大体有如下三个步骤： 信息收集→对系统的安全弱点探测与分析→实施攻击。 2.2.1 信息收集 信息收集的目的是为了进入所要攻击的目标网络的数据库。黑客会利用下列的公开协议或工具，收集驻留在网络系统中的各个主机系统的相关信息。·SNMP协议 用来查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其内部细节。·TraceRoute程序 能够用该程序获得到达目标主机所要经过的网络数和路由器数。 ·Whois协议 该协议的服务信息能提供所有有关的DNS域和相关的管理参数。 ·DNS服务器 该服务器提供了系统中可以访问的主机的IP地址表和它们所对应的主机名。 ·Finger协议 可以用Finger来获取一个指定主 机上的所有用户的详细信息(如用户注册名、电话号码、最后注册时间以及他们有没有读邮件等等)。 ·Ping实用程序 可以用来确定一个指定的主机的位置。 ·自动Wardialing软件 可以向目标站点一次连续拨出大批电话号码，直到遇到某一正确的号码使其MODEM响应。2.2.2 系统安全弱点的探测 在收集到攻击目标的一批网络信息之后，黑客会探测网络上的每台主机，以寻求该系统的安全漏洞或安全弱点，黑客可能使用下列方式自动扫描驻留网络上的主机。 ·自编程序 对某些产品或者系统，已经发现了一些安全漏洞，该产品或系统的厂商或组织会提供一些“补丁”程序给予弥补。但是用户并不一定及时使用这些“补丁”程序。黑客发现这些“补丁”程序的接口后会自己编写程序，通过该接口进入目标系统，这时该目标系统对于黑客来讲就变得一览无余了。 ·利用公开的工具 象Internet的电子安全扫描程序IIS(InternetSecurity Scanner)、审计网络用的安全分析工具SATAN(Security Analysis Toolfor Auditing Network)等这样的工具，可以对整个网络或子网进行扫描，寻找安全漏洞。这些工具有两面性，就看是什么人在使用它们。系统管理员可以使用它们，以帮助发现其管理的网络系统内部隐藏的安全漏洞，从而确定系统中那些主机需要用“补丁”程序去堵塞漏洞。而黑客也可以利用这些工具，收集目标系统的信息，获取攻击目标系统的非法访问权。2.2.3 网络攻击 黑客使用上述方法，收集或探测到一些“有用”信息之后，就可能会对目标系统实施攻击。黑客一旦获得了对攻击的目标系统的访问权后，又可能有下述多种选择： ·该黑客可能试图毁掉攻击入侵的痕迹，并在受到损害的系统上建立另外的新的安全漏洞或后门，以便在先前的攻击点被发现之后，继续访问这个系统。 ·该黑客可能在目标系统中安装探测器软件，包括特洛伊木马程序，用来窥探所在系统的活动，收集黑客感兴趣的一切信息，如Telnet和FTP的帐号名和口令等等。 ·该黑客可能进一步发现受损系统在网络中的信任等级，这样黑客就可以通过该系统信任级展开对整个系统的攻击。 ·如果该黑客在这台受损系统上获得了特许访问权，那么它就可以读取邮件，搜索和盗窃私人文件，毁坏重要数据，破坏整个系统的信息，造成不堪设想的后果。 防火墙的基本思想 如果网络在没有防火墙的环境中，网络安全性完全依赖主系统的安全性。在一定意义上，所有主系统必须通力协作来实现均匀一致的高级安全性。子网越大，把所有主系统保持在相同的安全性水平上的可管理能力就越小，随着安全性的失策和失误越来越普遍，入侵就时有发生。 防火墙有助于提高主系统总体安全性。 防火墙的基本思想——不是对每台主机系统进行保护，而是让所有对系统的访问通过某一点，并且保护这一点，并尽可能地对外界屏蔽保护网络的信息和结构。它是设置在可信任的内部网络和不可信任的外界之间的一道屏障，它可以实施比较广泛的安全政策来控制信息流，防止不可预料的潜在的入侵破坏。 防火墙系统可以是路由器，也可以是个人机、主系统或者是一批主系统，专门用于把网点或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。 防火墙可以从通信协议的各个层次以及应用中获取、存储并管理相关的信息，以便实施系统的访问安全决策控制。 防火墙的技术已经经历了三个阶段，即包过滤技术、代理技术和状态监视技术。 包过滤技术 包过滤防火墙的安全性是基于对包的IP地址的校验。在Internet上，所有信息都是以包的形式传输的，信息包中包含发送方的IP地址和接收方的IP地址。包过滤防火墙将所有通过的信息包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出，并按照预先设定的过滤原则过滤信息包。那些不符合规定的IP地址的信息包会被防火墙过滤掉，以保证网络系统的安全。这是一种基于网络层的安全技术，对于应用层的黑客行为是无能为力的。 代理技术代理服务器接收客户请求后会检查验证其合法性，如其合法，代理服务器象一台客户机一样取回所需的信息再转发给客户。它将内部系统与外界隔离开来，从外面只能看到代理服务器而看不到任何内部资源。代理服务器只允许有代理的服务通过，而其他所有服务都完全被封锁住。这一点对系统安全是很重要的，只有那些被认为“可信赖的”服务才允许通过防火墙。另外代理服务还可以过滤协议，如可以过滤FTP连接，拒绝使用FTP put(放置)命令，以保证用户不能将文件写到匿名服务器。 代理服务具有信息隐蔽、保证有效的认证和登录、简化了过滤规则等优点。 网络地址转换服务(NAT

『叁』 电子商务ICP经营许可证怎么申请

电子商务ICP经营许可证申请条件：
注册资金100万的纯内资公司；
服务器在本地；
域名备案以公司名义备案；
申请条件：
1、公司营业执照副本复印件需清晰有效，并已完成该年度年检事宜，特别注意营业执照的有效期要在申请资质后一年内有效。
2、公司章程复印件需清晰有效，特别注意章程中的地址及法人、股权结构应与提供的验资报告/审计报告中股权结构一致。（变更前后完整的章程）
3、股权结构图要追溯到自然人，且注明“以上资金中均不包含任何外资成分”，法人亲笔签名，盖公章。
4、法人、股东身份证复印件、学历证复印件及简历。
5、公司的验资报告/审计报告复印件应清晰有效。如公司成立不足一年，需提供验资报告；如公司成立一年以上，需提供审计报告；如公司成立一年以上且最近一年内做了增资（注册资金有变动），需提供最新验资报告及最近年度审计报告。【北京的可提供验资报告】
特别注意，所提供的验资报告与审计报告中的股东股权结构需一致。
6、房屋租赁合同及出租方的房产证明复印件。特别注意房屋租赁合同需以公司的名义签订，且承租时间需在申请资质递交材料日起6个月内有效。
房屋出租方与房产证的权力所有人要一致。
房屋面积至少要大于50平米。
7、所提供法人、股东、主要管理及技术人员的列表需注明职务、毕业院校、学历、联系电话。以上人员的身份证、学历证需清晰有效。如身份证复印件为一代身份证，需特别注意身份证的有效期；如身份证复印件为2代身份证，需特别注意复印件必须为正反两面。（不少于3人）
8、申请BBS还需要提供2名版主的身份证复印件、毕业证复印件及简历。
9、组织机构代码证需清晰有效。
10、托管合同及托管商资质

11、域名申请证书（如果域名不是该公司注册的，需要提供域名授权书）

12、域名备案信息

『肆』 电子商务的优点有哪些

1、更广阔的环境：人们不受时间的限制，不受空间的限制，不受传统购物的诸多限制，可以随时随地在网上交易。

2、更广阔的市场：在网上这个世界将会变得很小，一个商家可以面对全球的消费者，而一个消费者可以在全球的任何一家商家购物。

3、更快速的流通和低廉的价格：电子商务减少了商品流通的中间环节，节省了大量的开支，从而也大大降低了商品流通和交易的成本。

(4)电子商务风险评估报告扩展阅读

电子商务的类型

ABC

ABC=Agent、Business、Consumer

ABC模式是新型电子商务模式的一种，被誉为继阿里巴巴B2B模式、京东商城B2C模式以及淘宝C2C模式之后电子商务界的第四大模式。它由代理商、商家和消费者共同搭建的集生产、经营、消费为一体的电子商务平台。三者之间可以转化。大家相互服务，相互支持，你中有我，我中有你，真正形成一个利益共同体。

B2B

B2B=Business to Business

商家（泛指企业）对商家的电子商务，即企业与企业之间通过互联网进行产品、服务及信息的交换。通俗的说法是指进行电子商务交易的供需双方都是商家（或企业、公司），他们使用Internet的技术或各种商务网络平台（如拓商网），完成商务交易的过程。这些过程包括：发布供求信息，订货及确认订货，支付过程，票据的签发、传送和接收，确定配送方案并监控配送过程等。

『伍』 等级保护和风险评估的区别

一、等级保护的基本概念

信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理。
根据信息系统应用业务重要程度及其实际安全需求，实行分级、分类、分阶段实施保护，保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。
等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点，保障重要信息资源和重要信息系统的安全。
二、国家相关标准
GB 17859-1999《计算机信息系统安全保护等级划分准则》
GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》
GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》
GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》
GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》
GA 391-2002 《计算机信息系统安全等级保护管理要求》

三、等级划分：
建立包括系统安全功能、系统之间、网络之间、设备之间、用户之间的可信鉴别保障平台，对信息系统的安全等级从功能上划分为五个级别的安全保护能力：
第一级：用户自主保护级、第二级：系统审计保护级、第三级：安全标记保护级、第四级：结构化保护级 （系统整体安全设计）、第五级：访问验证保护级。

四、内容组成：
等级保护基本要求的内容分技术和管理两大部分，其中技术部分分为：物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类，管理部分分为：安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类。
风险评估是以安全建设为出发点，它的重要意义就在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案制定，通过对用户关心的重要资产的分级、安全威胁发生的可能性及严重性分析、对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运行措施等等方面的安全脆弱性的分析，并通过对已有安全控制措施的确认，借助定量、定性分析的方法，推断出用户关心的重要资产当前的安全风险，并根据风险的严重级别制定风险处置计划，确定下一步的安全需求方向。
等级保护的前提是对系统定级，系统定级根据系统信息的机密性、完整性、可用性等三大性来确定。即是“明确各种信息类型----确定每种信息类型的安全类别----确定系统的安全类别”三个步骤进行系统最终的定级。
等级保护中的系统分类分级的思想和风险评估中对信息资产的重要性分级基本一致，不同的是：等级保护的级别是从系统的业务需求或CIA特性出发，定义系统应具备的安全保障业务等级，而风险评估中最终风险的等级则是综合考虑了信息的重要性、系统现有安全控制措施的有效性及运行现状后的综合评估结果，也就是说，在风险评估中，CIA价值高的信息资产不一定风险等级就高。
可以简单的理解为等保是标准或体系，评估一种是手段。
等保其实就是帮助用户分析、评定信息系统的等级，以便在后期的工作中根据不同的等级进行不同级别的安全防护 ，而风险评估是帮助用户发现目前的安全现状，以便在后期进行整体的安全规划与建设。我们可以用风险评估这种手段检查等保的落实和执行情况。而风险评估的结果可作为实施等级保护等级安全建设的出发点和参考。

『陆』 网络银行信用风险评估系统

我国网络银行面临的风险与对策 论文
[摘 要] 文章从技术上、操作上、社会环境等方面阐述了网络银行的风险及其相应的防范措施。
[关键词] 网络银行;风险;防范
我国网络银行除了具有传统银行的流动性风险、利率风险、结算风险、道德风险、新金融工具风险外,还增加了一些网络环境下的新风险。

一、 我国网络银行面临的风险

1.系统风险
(1) 操作系统风险。操作系统是作为计算机资源的直接管理者,它直接和硬件打交道并为用户提供接口,是计算机系统能够正常、安全运行的基础。Windows操作系统存在许多安全漏洞,UNIX操作系统是一个开放的系统,源代码已公开。根据美、荷、法、德、英、加共同制定的通用安全评价标准《Common Criteria for IT Security Evaluation(简称CC标准)》,微软的Windows操作系统、大部分的UNIX操作系统其安全性仅达到C2级安全,而网络银行的操作系统的安全级别应至少达到B级。
(2)应用系统风险。网络业务系统设计存在漏洞。目前,网络应用软件存在以下安全漏洞:无效参数、失效的访问控制、失效的账户、跨站点脚本漏洞、缓冲溢出、命令注入漏洞、错误处理问题、密码系统的非安全利用、远程管理漏洞、网络及应用软件服务器错误配置。
在设计过程中,只重视“计算机如何完成任务”方面的设计,对运行过程中的程序控制或检查考虑不全面,系统没有为审计留下接口,难以进行实时审计。
(3)数据存储风险。数据存取、保密、硬盘损坏导致的风险。
(4)数据传输风险。数据传输过程中被窃取、修改等风险。

2.操作风险
网络银行操作风险是指由于网络银行中的内部程序、人员、系统的不完善或失误,以及外部事件而导致网络银行直接或间接损失的风险。产生操作风险的原因有以下几点:
(1)网络银行操作风险意识淡薄。
(2)组织机构职责不清。
(3)内控制度不健全或执行不力。
(4)没有适合的网络银行稽核审计部门。

3.信用风险
网络银行的信用风险主要表现为客户在网络上使用信用卡进行支付时恶意透支,或使用伪造的信用卡来欺骗银行。

4.信息不对称风险
信息不对称表现在两个方面,一方面是由于网络银行无法得到足够客户信息,另一方面是由于客户无法得到有关网络银行的足够信息。信息不对称使得网上客户更容易隐蔽他们的信息和行动,做出对自己有利而对网络银行不利的行为,也使得客户不能正确评价网络银行的优劣。

5.法律风险
我国对网络银行和网上交易缺乏相应的法规。如:如何征收与管理网上税收、数字签名是否具有法律效力、交易的跨国界问题、知识产权问题、电子合同问题、电子货币问题、电子转账问题。

二、 我国网络银行风险防范对策

1.系统风险的防范
(1)物理安全。主要指对计算机设备场地、计算机系统、网络设备、密钥等关键设备的安全防卫措施。为了防止电磁泄露,要对电源线和信号线加装滤波器,减少传输阻抗和导线间的交叉耦合,同时对辐射进行防护。
(2)应用安全操作系统技术。安全操作系统不仅可以防范黑客利用操作系统平台本身的漏洞来攻击网络银行交易系统,而且它还可以在一定程度上屏蔽掉应用软件系统的某些安全漏洞。美国先后开发了各种级别的安全操作系统,其中作为商用的有Data General公司的DG UX B1/B2安全操作系统,HP公司的HPUX CMW B1级安全操作系统等。国内各大科研机构及公司也研制出高安全级别的操作系统,如:中科院信息安全工程研究中心研制的SECLINUX安全操作系统、中软总公司研制的COSIX LINUX系统。目前,中国建设银行的网络银行系统建立在安全操作系统平台之上,该系统基于HP9000硬件平台,采用HP公司的B1级安全操作系统。
(3)数据通信加密技术的应用。对传输中的数据流进行加密,按实现加密的通信层次可分为链路加密、节点加密、端到端加密。在链路数较多以及对流量分析要求不高的情况下,适合采用“端到端加密”方式。在对流量分析要求较高的情况下,可采用“链路加密”与“端到端加密”相结合的方式:用“链路加密”对报文的报头进行加密,防止进行流量分析,再用“端到端加密”对传送的报文进行加密保护。
对数据进行加密的算法主要有DES和RSA两种。DES属于私钥加密体制(又称对称加密体制),它的优点是加、解密速度快,算法容易实现,安全性好,缺点是密钥管理不方便。RSA属于公钥加密体制(又称非对称加密体制),它的优点是安全性好,网络中容易实现密钥管理。因此可以采用将DES和RSA相结合的综合加密体制:用DES算法对数据进行加密,用RSA算法对密钥进行加密。
(4)应用系统安全。应用系统安全主要包括对交易双方的身份确认和对交易的确认。在网络银行系统中,用户的身份认证依靠数字签名机制和登录密码双重检验,将来还可以通过自动指纹认证系统进行身份认证。数字签名还确保了客户提交的交易指令的不可否认性。公钥基础设施——PKI(Public Key Infrastructure)是解决大规模网络环境中信任和加密问题的很好的解决方案。同时采用安全电子交易协议,目前主要的协议标准有:安全超文本传输协议(S-HTTP)、安全套接层协议(SSL)、安全交易技术协议(STT)、安全电子交易协议(SET),其中SET涵盖了信用卡的交易协定、信息保密、资料完整及数据认证、数字签名等,已经成为事实上的工业标准。

加强应用系统开发过程的审计,应用系统运行过程中的实时审计。
(5)应用数据库安全技术。应用存取控制技术、数据加密技术、硬盘分区防护技术、数据库的安全审计技术、故障恢复技术等。
(6)应用防火墙安全技术。建立综合计算机病毒检测技术、代理服务技术和包过滤技术的第四代防火墙,提供DES加密、支持链路加密或虚拟专网、病毒扫描等安全服务,并具有实时报告、实时监控、记录非法登录、统计分析等功能。设置放火墙时要截止所有从135到142的TCP和UDP连接,改变默认配置端口,拒绝PING 信息包,通过设置ACCESS LIST 的过滤规则来实现包过滤功能。采用防火墙双机冷备份策略。进行入侵检测和定期漏洞扫描。

2.操作风险的防范
操作风险主要来自银行内部,应完善网络银行的内部控制制度,建立科学的操作规范,严格内部制约机制,将不相容职务如管理员与经办员分离、程序员与操作员分离、制作者与执行者分离,对主管和操作员实行IC卡身份鉴别,并同时加口令,任何进入系统的操作必须有日志记载。
建立操作风险管理中心,对员工进行防范操作风险的技术培训,监督各项操作风险管理制度的执行情况,对网络银行的操作风险进行评估,并采取相应措施。建立操作风险应急反应中心,对业务的影响因素进行研究,识别出可能导致业务中止的情况,系统的备份及定期测试公司的灾难应急计划,对出现的安全问题提供技术支援和解决方案。使用保险来抵补那些“低频率、高危害”的操作风险。建立操作风险审计中心,对全部的网络银行业务实时监控、网络扫描,并利用审计记录,对业务操作人员和计算机系统管理人员进行稽核。
来自外部的操作风险,尤其是网络银行金融欺诈方面,不但要对个人服务的零售业务进行监控,还要加强对登录网络银行的企业加强监控,通过数据挖掘软件对可疑资金交易进行分析,防范利用网络进行非法资金交易。

3.信用风险的防范
建立全国性的用户信用管理信息系统,将用户划分为不同的信用等级,针对不同等级的用户采取不同的管理措施。应共享客户资料信息库,与其他商业银行、保险公司等非银行金融机构、世界各银行等金融机构合作,及时将客户的守信情况和违约情况记录入库。

4.信息不对称风险的防范
建立信息披露制度,强化信息披露的质量。应定期发布经注册会计师审计的关于网络银行经营活动和财务状况的公允信息,披露有关网络银行风险的大小和网络银行为了规避风险而采取的措施以及消费者权益保护的信息。建立社会监管体系,网络银行之间进行相互监督。

5.法律风险的防范
应充分利用和执行《网络银行业务管理暂行办法》,应充分利用《合同法》、《会计法》、《票据法》、《支付结算办法》等法律拟订网络银行相关协议,制定有关业务流程和业务处理规定,应充分利用目前执行的关于网络安全方面的行政法规,如《计算机信息系统安全保护条例》、《计算机信息网络国际联网管理暂行规定》等,充分利用中国金融认证中心在认证技术方面的权威性和第三方认证的合理性。网络银行应注重交易数据的保管,为可能的纠纷或诉讼过程做好证据准备。
建立网络银行法律监管体系,制定网络银行的外部惩罚措施以及网络银行的市场退出机制。建立网络银行业务运营法律体系,如建立《电子银行法》、《电子签名法》、《电子资金划拨法》等法律法规,同时对已有法律法规进行充实、修改。完善网络银行配套法律法规建设,主要有税收征管法、国际税收法、电子商务法、刑法、诉讼法、票据法、证券法、商业银行法、消费者权益保护法、反不正当竞争法等相关法律法规。加强与国际立法、司法实践的交流与合作,加大打击网上洗钱、网上盗窃等电子犯罪的力度。

『柒』 电子商务运营策划应该怎么做

1、店铺的一切问题都可以从数据中分析出来，从数据出发可以让你找到问题的关键，并且及时作出调整。

2、“支付转化率”是店铺最核心的数据，没有转化率其他的一切都无从谈起。

1）“支付转化率”要大于“同行同层平均”，“支付转化率”说明你的产品越受欢迎，访客价值也越高；

2）店铺的“支付转化率”是由具体商品的“支付转化率”决定的，想提高店铺的“支付转化率”应该先提高具体商品的“支付转化率”。

3

3、店铺访客价值越高越好。 如何提高访客价值？ 1）提高客单价； 2）提高转化率； 3）提高回购率。

4、店铺访客成本越低越好。 如何降低访客成本？ 1）增加免费流量； 2）提高付费推广的点击率； 3）降低付费推广的点击单价。

5、流量成本越来越贵怎么办？ 答案是： 1）在现有产品的基础上扩充商品品类，增加客单价； 2）通过增加礼盒、赠品或附加价值等，提高转化率； 3）通过老顾客维护，提高复购率。

定位:

1、开店前首先需要考虑清楚3个问题：你有什么产品？你要卖给谁？你有什么优势？

2、开店说到底就是竞争，你有实力跟同行竞争就可以成功。 例如你是一个知名品牌所有者，你有成本很低的优质货源，你有很多忠实粉丝，你有同行无法复制的独家资源，你有非常雄厚的实力跟同行打价格战，等等，这些都可能帮助你更快速的成功运营一个店铺。如果没有，请看下一条。

3、如果上面的优势你都没有，你也可以老老实实的开一家不好不坏的店铺。 此时最重要是：选择相对优质的产品、以相对较低的价格出售、提供相对独特的服务、经常跟顾客互动。

4、到底要开一个什么类型的店铺？旗舰店？专卖店？还是C店？ 可以说每个类型的店铺都有自己的优势，都有可以成功，主要是看你的产品更适合哪种类型。 1）拥有知名品牌资源的最适合开天猫旗舰店； 2）有独特优势的非知名品牌适合开淘宝企业店或者淘宝C店，等成为知名品牌后天猫会邀请你开旗舰店的； 3）线下批发市场适合开专卖店或者专营店； 4）如果没有任何优势，劝你不要开店。

5、你要了解你的类目。 刚开始最好选择自己熟悉的类目，选择熟悉的消费者，选择熟悉的产品，这样你才能够比较容易的把产品卖出去。如果这些你都不了解，请先对这些做深入了解。

6、你需要成为自己店铺的第一位消费者。 设想一下，如果你店里销售的产品不能吸引你自己购买，你又有什么理由吸引其他顾客购买呢？所以，在开店之前，先找出一些吸引自己购买的理由。这样，你就可以吸引其他顾客购买你的产品了。

7、你的店铺要有故事。 现在的店铺同质化严重，一个顾客在面对同样的产品和同样的价格的几个店铺，你很难吸引他在你的店铺购买。如果你是一个有故事的店铺，那么可以一下拉近顾客跟你的距离，再顾客不好做决定的时候你的故事会帮助顾客觉得再哪里购买。什么是有故事的店铺？ 1）例如我分享电商运营经验和圈子成员的故事，开个店铺卖纸箱胶带等电商周边产品会不会火爆？ 2）例如你是一个爱旅游的人，可以经常把自己的游记分享给顾客，销售户外运动装备会不会火爆？ 3）又例如你是一个喜欢化妆，可以录制一些化妆的视频分享给顾客，来销售各大品牌化妆品会不会火爆？ 实际上，每个人都是独一无二的，都有自己的优势，你一定可以分享出独特的故事给你的顾客。

『捌』 .电子商务网站的安全防范技术

电子商务网站的安全措施

2.1 防火墙技术防火墙是指一个由硬件设备或软件、或软硬件组合而成的,在内部网与外部网之间构造的保护屏障。所有的内部网和外部网之间的连接都必须经过此保护层,并由它进行检查和连接。只有被授权的通信才能通过防火墙,从而使内部网络与外部网络在一定意义下隔离,防止非法入侵、非法使用系统资源、执行安全管制措施。防火墙基本分为两类:包过滤和基于代理的防火墙。包过滤防火墙对数据包进行分析、选择,依据系统内事先设定的过滤逻辑来确定是否允许该数据包通过。代理防火墙能够将网络通信链路分为两段,使内部网与Internet不直接通信,而是使用代理服务器作为数据转发的中转站,只有那些被认为可信赖的数据才允许通过。这两种防火墙各有其优缺点:包过滤器只能结合源地址、目标地址和端口号才能起作用,如果攻击者攻破了包过滤防火墙,整个网络就公开了。代理防火墙比包过滤器慢, 当网站访问量较大时会影响上网速度;代理防火墙在设立和维护规则集时比较复杂,有时会导致错误配置和安全漏洞。由于这两种防火墙各有优缺点,因而在实际应用中常将这两种防火墙组合使用。目前市场上最新的防火墙产品集成了代理和包过滤技术,提供了管理数据段和实现高吞吐速度的解决方案。这些混合型的设备在安全要求比吞吐速度有更高要求时,能实行代理验证服务,在需要高速度时,它们能灵活地采用包过滤规则作为保护方法。

2.2 入侵检测系统防火墙是一种隔离控制技术,一旦入侵者进入了系统,他们便不受任何阻挡。它不能主动检测和分析网络内外的危险行为,捕捉侵入罪证。而入侵检测系统能够监视和跟踪系统、事件、安全记录和系统日志,以及网络中的数据包,识别出任何不希望有的活动,在入侵者对系统发生危害前,检测到入侵攻击,并利用报警与防护系统进行报警、阻断等响应。入侵检测系统所采用的技术有: (1)特征检测:这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又网络时空不会将正常的活动包含进来。 (2)异常检测:假设入侵者活动异于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

2.3 网络漏洞扫描器没有绝对安全的网站,任何安全漏洞都可能导致风险产生。网络漏洞扫描器是一个漏洞和风险评估工具,用于发现、发掘和报告安全隐患和可能被黑客利用的网络安全漏洞。网络漏洞扫描器分为内部扫描和外部扫描两种工作方式: (1)外部扫描:通过远程检测目标主机TCP/IP不同端口的服务,记录目标给予的回答。通过这种方法,可以搜集到很多目标主机的各种信息,例如:是否能用匿名登录、是否有可写的FTP目录、是否能用TELNET等。然后与漏洞扫描系统提供的漏洞库进行匹配,满足匹配条件则视为漏洞。也可通过模拟黑客的进攻手法,对目标主机系统进行攻击性的安全漏洞扫描。如果模拟攻击成功,则可视为漏洞存在。 (2)内部扫描:漏洞扫描器以root身份登录目标主机, 记录系统配置的各项主要参数,将之与安全配置标准库进行比较和匹配,凡不满足者即视为漏洞。

2.4 防病毒系统病毒在网络中存储、传播、感染的途径多、速度快、方式各异,对网站的危害较大。因此,应利用全方位防病毒产品, 实施“层层设防、集中控制、以防为主、防杀结合”的防病毒策略,构建全面的防病毒体系。常用的防病毒技术有: (1)反病毒扫描:通过对病毒代码的分析找出能成为病毒结构线索的唯一特征。病毒扫描软件可搜索这些特征或其它能表示有某种病毒存在的代码段。 (2)完整性检查:通过识别文件和系统的改变来发现病毒。完整性检查程序只有当病毒正在工作并做些什么事情时才能起作用,而网站可能在完整性检查程序开始检测病毒之前已感染了病毒,潜伏的病毒也可以避开检查。 (3)行为封锁:行为封锁的目的是防止病毒的破坏。这种技术试图在病毒马上就要开始工作时阻止它。每当某一反常的事情将要发生时,行为封锁软件就会检测到并警告用户。

2.5 启用安全认证系统企业电子商务网站的安全除网站本身硬件和软件的安全外,还应包括传输信息的安全。对一些重要的的传输信息,应保证信息在传输过程中不被他人窃取、偷看或修改。因此,应在网站服务器中启用安全认证系统。安全认证系统对重要的信息采用密码技术进行加密,使它成为一种不可理解的密文。接收方收到密文后再对它进行解密,将密文还原成原来可理解的形式。目前,在电子商务中普遍采用SSL安全协议。SSL安全协议主要提供三方面的服务: (1)认证用户和服务器,使得它们能够确信数据将被发送到正确的客户机和服务器上。 (2)加密数据以隐藏被传送的数据。 (3)维护数据的完整性,确保数据在传输过程中不被改变。

3 结束语

任何一种安全措施都有其局限性,企业电子商务网站的设计人员必须在精心的安全分析、风险评估、商业需求分析和网站运行效率分析的基础上,制定出整体的安全解决方案。为保证整体安全解决方案的效率,各安全产品之间应该实现一种联动机制。当漏洞扫描器发觉安全问题时,就会通知系统管理员,及时采取补漏措施;当入侵检测系统检测到攻击行为时,就会利用防火墙进行实时阻断;当防病毒系统发现新病毒时,也会及时更新入侵检测系统的病毒攻击库,以提高入侵检测系统的检测效率;由于安全产品和服务器、安全产品与安全产品之间都需要进行必要的数据通信,为了保证这些通信的保密性和完整性,可以采用安全认证手段。只有当各种安全产品真正实现联动时,网络安全才能得到保障。