1、电商创业风险类别有哪些
1、财务风险 :财务风险是包含有企业可能丧失偿债能力的风险和股东收益的可变性。
随债务、租赁和优先股筹资在企业资本结构中所占比重的提高,企业支出的固定费用将会增加,结果使企业丧失现金偿付能力的可能性也增大了。企业财务风险的另一方面涉及股东可能得到的收益的相对离差。
2、市场风险 :由于基础资产市场价格的不利变动或者急剧波动而导致衍生工具价格或者价值变动的风险。基础资产的市场价格包括市场利率、汇率、股票、债券行情的变动。
3、物流风险 :如公路货运:零担、整车;铁路运输:零担、集装箱、车皮;海运、空运、快递等等不一。每一种运输方式都有不同的注意事项。
4、人力风险 :企业发展过程中必须深入思考并加以解决的重要问题。一般认为企业人力资源主要面临三个方面的风险:人力资源供给不足的风险;劳动力成本大幅度上升的风险;员工队伍稳定的风险。
(1)电子商务风险分析扩展资料:
1、网络自身有局限性:在这一模式上,只有依靠网站的制作和网页设计师对网页把握更加好的模式,向消费者展示商品。
2、搜索功能不够完善
3、交易的安全性得不到保障:电子商务的安全问题仍然是影响电子商务发展的主要因素。
由于Internet的迅速流行,电子商务引起了广泛的注意,被公认为是未来IT业最有潜力的新的增长点。然而,在开放的网络上处理交易,如何保证传输数据的安全成为电子商务能否普及的最重要的因素之一。
调查公司曾对电子商务的应用前景进行过在线调查,当问到为什么不愿意在线购物时,绝大多数的人的问题是担心遭到黑客的侵袭而导致信用卡信息丢失。
因此,有一部分人或企业因担心安全问题而不愿使用电子商务,安全成为电子商务发展中最大的障碍电子商务的安全问题其实也是人与人之间的诚信问题,和现实商业贸易相识,均需双方的共同协作和努力。
电子商务的未来,需要所有网民的共同协作。交易的公正性是电子商务的安全要求之一。
4、电子商务的管理还不够规范
5、税务问题:税务(包括关税和税收)是一个国家重要的财政来源。由于电子商务的交易活动是在没有固定场所的国际信息网络环境下进行,造成国家难以控制和收取电子商务的税金。
6、标准问题:各国的国情不同,电子商务的交易方式和手段当然也存在某些差异,而且我们要面对无国界、全球性的贸易活动,因此需要在电子商务交易活动中建立相关的、统一的国际性标准,以解决电子商务活动的互操作问题。中国电子商务的问题是概念不清,搞电子的搞商务,搞商务的搞电子,呈现一种离散、无序、局部的状态。
7、配送问题:配送是让商家和消费者都很伤脑筋的问题。网上消费者经常遇到交货延迟的现象,而且配送的费用很高。业内人士指出,我国国内缺乏系统化、专业化、全国性的货物配送企业,配送销售组织没有形成一套高效、完备的配送管理系统,这毫无疑问地影响了人们的购物热情。
2、对电商存在的风险有哪些
电商的市场风险:
(一)、信息技术风险
信息是信息化社会的核心,而第三方电子商务交易平台在信息的存储、处理、发布、传递、利用等过程中都有可能会由于技术方面的原因导致信息出现失真、迟滞、泄漏等现象,即使用信息存在风险。信息技术风险的存在不仅会给社会信息化带来负面影响,而且会给抗风险能力第三方电子商务交易平台的经营管理带来直接损失,因此必须加以重视。
信息技术风险可以简单的分为以下几类:
(1).真实性风险
信息的真实性,是指信息的准确度和可靠性,它直接影响到信息使用者对信息的信任程度。如果第三方电子商务交易平台不能保证所获得信息的真实性,那么使用这样的信息就会存在风险。影响信息真实性的因素主要有信息的来源、信息传输过程中的失真、虚假信息等。
(2).实时性风险
信息的实时性是指信息真实、准确、可靠地反映了事物的当前状态和属性。信息具有时效性,一项具体的信息往往只在一段时间内是有用的或起决定性作用的。如果第三方电子商务交易平台不能保证信息的及时发布或者信息在传输过程中延时,就会造成信息不及时。对于第三方电子商务交易平台计算机网络信息系统,传输线路的繁忙、线路故障、网络传输延迟、黑客入侵、系统故障等都可能使获得的信息缺乏实时性。
(3).安全性风险
信息安全性风险,是指第三方电子商务交易平台在信息系统中存储、传递信息时信息可能被恶意窃取、利用和窜改,以及第三方电子商务交易平台在信息处理过程中可能丢失或被破坏等类似的安全问题。这些问题包括计算机恶意代码的破坏、黑客入侵、系统的不正确使用等,显然这些问题所造成的对信息资源的损坏一定会对信息使用者造成严重的影响。
(二)、信用评价系统风险
信用已被看作互联网上刺激购买的一个关键因素,实际交易中所有关系都需要信用这一因素,特别在电子商务不确定环境中发生的交易关系更是如此,因此第三方电子商务交易平台建立一种科学公正信用评价系统、信用监督系统是电子第三方电子商务交易平台进一步发展关键。信用评价风险即是指由于技术问题导致信用评价过程中出现的风险,如:恶意评价、刷信用、交易抵赖、欺诈、欺骗等行为。
第三方电子商务交易平台在整个电子商务交易过程中信用评价风险包括下三个方面:
(1). 对卖方信用评价风险,这里主要指第三方电子商务交易平台在卖方不能按时、按质、按量交割消费者所购的货物,或者不能完全履行与企业购买者签订的购买合同,或者雇人刷信用,第三方电子商务交易平台能否客观的对卖方信用进行评价,所带来的风险。
(2). 对买方信用评价风险,这里主要指第三方电子商务交易平台在消费者个人由于花钱无度和恶意透支,可能在网上使用了没有存款的信用卡进行消费,或是犯罪分子使用非法伪造的信用卡骗取卖方的货物,或者恶意对商家进行评价,或者通过货到付款购买后无故退货等诚信问题,第三方电子商务交易平台能否客观的对买方信用进行评价,所带来的风险。
(3). 对交易抵赖信用评价风险,买卖双方都有可能存在交易抵赖的可能性。在传统市场交易时,由于交易双方直接面对面进行商品交易,这种信用风险的控制往往靠经验和法制来保证,进行电子商务交易后,由于交易环境发生改变,物流和资金流在时间和空间上是相互分离的,交易双方常常互不见面,只有数字化交往,用电子方式谈判、签合同、结帐,当贸易一方发现新的情况出现后原先的交易对自己不利时,可能就会企图否认已做出的电子交易行为。第三方电子商务交易平台能否判断此次交易失败责任归哪方,及时的对这种交易抵赖行为做出信用评价,所带来的风险。
(三)、 管理风险
在交易过程中会不断出现技术问题,因此就需要既懂技术又懂管理的人去处理,当什么重要的事情都集中到一个人身上时,这个人一旦发生问题,管理带来的风险就大了,我们通常把各种由于管理带来的风险通称为管理风险。
由于第三方电子商务交易平台所提供的服务都是基于互联网进行,与传统的产销渠道有很大的区别,其本身也改变了传统的商务运作模式。从而导致第三方电子商务企业管理层 在管理活动中活动中,管理控制风险增大。第三方电子商务交易平台管理风险主要包括一下三个方面:
(1). 沟通风险,主要指第三方电子商务交易平台管理者在与卖家和买家在沟通时所采取的沟通方式和沟通渠道中存在的风险。第三方电子商务交易平台在宣布某项政策和调整 规则之前都应充分与多方进行沟通,特别是基于交易平台的买方和卖方,在这个过程中沟通方式和沟通渠道尤为重要。不恰当的沟通方式和沟通渠道,将为第三方电子商务交易平台本身带来巨大风险,如:本文上述所提到的“淘宝商城”事件,部分原因就是由于淘宝商城管理者在宣布政策之前缺少与商家沟通所导致。
(2). 外部突发事件管理风险,主要指第三方电子商务交易平台管理者在应对公司外部环境带来的突发事件时所采取的措施中存在的风险,如:政府针对第三方电子商务交易平台所颁布的一些法规和限制令;淘宝商家“围攻”淘宝商城事件;阿里巴巴中的商家现“欺诈”事件等等。
(3). 内部员工管理风险,第三方电子商务交易平台对内部工作人员管理常常是在线交易管理的最薄弱环节,近年来我国计算机犯罪大都呈现内部犯罪的趋势,其原因主要是工作人员职业道德修养不高,安全教育和管理松懈所致。
3、电商存在的风险有那些?
如何避免电子商务的风险
在我国市场经济下,任何商业活动都是存在风险的,电子商务也不例外,这时就需要我们正确认识电子商务的风险表现形式,合理进行规避和防范这些风险,以便更好的把握风险,合理控制风险,将风险将为最低,实现利益的最大化。
一、电子商务风险的主要表现形式
目前,电子商务风险的表现形式主要包括以下几种类型:
(一)商业风险
商业风险主要表现在消费者对产品的期望值过高,使得在运营过程中存在很大风险,虽然电子商务的最大优势是便捷和快速,越来越受广大青年朋友的喜爱,不出家门就可以买到自己喜欢的商品,便捷的物流使得第二天就能收到货。然而当消费者真正收到货时,与自己期望的落差过大,导致电子商务已不能满足消费者的需求,更为严重的是还会失去老顾客。这就要求电商在进行电子商务时不能只顾网上销售平台的建立,而忽视客户服务和产品质量等售后工作,要站在消费者角度宏观把控,力争将这种商业风险降到最低,避免给企业带来损失。
(二)技术风险
由于电商企业的特殊性,在进行运营时势必会大量使用各种信息技术,在享受这些新技术带来利益的同时也面临着相应的技术风险。主要表现在信息技术的基础措施没有完善,导致计算机硬件出现故障;还有就是对软件技术的使用,由于操作不当,使得程序里的信息全部泄露,特别是一些重要的客户信息和电商企业的内部机密被盗,给企业带来巨大损失,严重者会导致企业破产,可想而知不完善的程序设计给电子商务带来巨大的技术风险。
(三)法律风险
由于电子商务形成的时间较晚,相应的法律法规还未正式立法,而且适用法律的界限较为模糊,使得电商企业在发展时受到很大局限,加上电子商务是全球性的,导致企业在进行交易时只能不违规现行法律的规定,却又害怕与今后的法律相冲突,严重制约着企业的健康发展。电子商务主要是在虚拟的网络环境下进行交易,在进行交易时许多的电子合同,电子商务认证和网上知识产权都没有明确的法律法规,给企业造成相应的法律风险,合法权益得不到有效保障,不利于企业的正常发展和壮大。
二、电子商务风险的主要控制方法
(一)从技术层面规避风险
根据上面所说的技术风险,就需要电子商务企业在技术方面进行规避风险带来的损失。首先电商企业需要在总体的安全策略方面制度一个有效可行的方案,先熟悉和掌握保证安全性所需具备的基础性技术,然后配备相应人力和物力;其次是要制定具体的战略性方针,让相应的人力落实到位,从而建立起一套完善的管理控制架构来确保降低企业技术风险。建立虚拟专用网络供企业员工进行电子交易,同时还要将公共安全网络设置相应权限,给企业的数据进行加密,做到专用网络性能的服务,真正提高网络安全。当然,培训企业的集体防毒意识更重要,确保每部电脑上都安装可靠的杀毒软件,将企业内网和外网建立防火墙,避免遭到黑客攻击,只有这样才能真正从技术层面确保企业的网络安全,降低风险带来的损失。
(二)从制度层面规避风险
企业在进行重大决策时,首先需要从财务的专业角度去预测风险,以及风险带来的损失,合理把握企业产生的经济收益,这时就需要每个部门进行协助,将各个部门存在的风险都一一上报财务,以便做好防范准备工作。其次,还需要建立风险识别系统,一旦发现有风险,确保每个部门都识别出并及时做出应急措施,提前可以进行多次演练,确保真实发生时做到有条不紊的降低风险,同时,当出现风险时,技术部门需要及时进行总结和分析,找出风险存在的原因和如何规避下次再出现此类现象,从而建立起完善的机制,确保降低企业风险。
(三)从税收层面规避风险
由于我国电子商务市场在实践中的发展还不够完善,在带来许多商机的同时,更需要政府提供更多支持,可以从税收优惠政策和税收减免政策,从而建立起明确的税法,要求电子商务企业进行税务登记制度,将现行税法加以完善,把消费者在进行支付时就直接作为征税环节,制定出更符合电子商务市场发展的税法。以便电子商务企业有享受更多的税收政策,降低企业的税负和税收负担,鼓励更多的电商企业进行运营,从税收层面来降低企业风险。
结束语
综上所述,我们可以看出随着网络技术的不断发展,人们对电子商务的认识也越来越多,希望电子
4、电子商务风险的种类有哪些?
电子商务的基础平台是互联网,电子商务发展的核心和关键问题就是交易的安全,由于Internet本身的开放性,使网上交易面临着种种危险,也由此提出了相应的安全控制要求。
下面从技术手段的角度,从系统安全与数据安全的不同层面来探讨电子商务中出现的网络安全问题。
1.系统安全
在电子商务中,网络安全一般包括以下两个方面:对于一个企业来说,首先是信息的安全与交易者身份的安全,但是信息安全的前提条件是系统的安全。
系统安全采用的技术和手段有冗余技术、网络隔离技术、访问控制技术、身份鉴别技术、加密技术、监控审计技术、安全评估技术等。
(1)网络系统
网络系统安全是网络的开放性、无边界性、自由性造成,安全解决的关键是把被保护的网络从开放、无边界、自由的环境中独立出来,使网络成为可控制、管理的内部系统,由于
网络系统是应用系统的基础,网络安全便成为首问题。解决网络安全主要方式有:
网络冗余——它是解决网络系统单点故障的重要措施。对关键性的网络线路、设备,通常采用双备份或多备份的方式。网络运行时双方对运营状态相互实时监控井自动调整,当网络的一段或一点发生故障或网络信息流量突变时能在有效时间内进行切换分配,保证网络正常的运行。
系统隔离——分为物理隔离和逻辑隔离,主要从网络安全等级考虑划分合理的网络安全边界,使不同安全级别的网络或信息媒介不能相互访问,从而达到安全目的。对业务网络或办公网络采用VLAN技术和通信协议实行逻辑隔离划分不同的应用子网。
访问控制——对于网络不同信任域实现双向控制或有限访问原则,使受控的子网或主机访问权限和信息流向能得到有效控制。具体相对网络对象而言需要解决网络的边界的控制和网络内部的控制,对于网络资源来说保持有限访问的原则,信息流则可根据安全需求实现的单向或双向控制。访问控制最重要的设备就是防火墙,它一般安置在不同点域的出入口处,对进出网络的IP信息包进行过滤并按企业安全政策进行信息流控制,同时实现网络地址转换、实时信息审计警告等功能,高级防火墙还可实现基于用户的细粒度的访问控制。
身份鉴别——是对网络访问者权限的识别,一般通过三种方式验证主体身份,一是主体了解的秘密,如用户名口令、密钥;二是主体携带的物品,如磁卡、IC卡、动态口令卡和令牌卡等;三是主体特征或能力,如指纹、声音、视网膜、签名等。加密是为了防止网络上的窃听、泄漏、篡改和破坏,保证信息传输安全,对网上数据使用加密手段是最为有效的方式。目前加密可以在三个层次来实现,即链路层加密、网络层加密和应用层加密。链路加密侧重通信链路而不考虑信源和信宿,它对网络高层主体是透明的。网络层加密采用IPSEC核心协议,具有加密、认证双重功能,是在IP 层实现的安全标准。通过网络加密可以构造企业内部的虑拟专网,使企业在较少投资下得到安全较大的回报,并保证用户的应用安全。
安全监测——采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发现系统遭受的攻击伤害。网络扫描监测系
统作为对付电脑黑客最有效的技术手段,具有实时、自适应、主动识别和响应等特征,广泛用于各行各业。网络扫描是针对网络设备的安全漏洞进行检测和分析,包括网络通信服务、路由器、防火墙、邮件、WEB服务器等,从而识别能被入侵者利用非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成详细报告,包括位置、详细描述和建议的改进方案,使网答能检测和答理安全风险信息。
(2)操作系统
操作系统是管理计算机资源的核心系统,负责信息发送、管理、设备存储空间和各种系统资源的调度,它作为应用系统的软件平台具有通用性和易用性,操作系统安全性自接关系到应用系统安全,操作系统安全分为应用安全和安全漏洞扫描。
应用安全——面向应用选择可靠的操作系统,可以杜绝使用来历不明的软件。用户可安装操作系统保护与恢复软件,并作相应的备份。
系统扫描——基于主机的安全评估系统是对系统的安全风险级别进行划分,并供完整的安全漏洞检查列表,通过不同版木的操作系统进行扫描分析,对扫描漏洞自动修补形成报告,保护应用程序、数抓免受盗用、破坏。
(3)应用系统
办公系统文件(邮件)的安全存储:利用加密手段,配合相应的身份鉴别和密钥保护机制IC卡、PCMCIA安全PC卡等,使得存储于本机和网络服务器上的个人和单位重要文件处于安全存储的状态,使得他人即使通过各种手段非法获取相关文件或存储介质磁盘等,也无法获得相关文件的内容。
文件邮件的安全传送:对通过网络传送给他人的文件进行安全处理(加密、签名、完整性鉴别等),使得被传送的文件只有指定的收件者通过相应的安全鉴别机制IC卡、 PCMCIA PC卡才能解密井阅读,杜绝了文件在传送或到达对方的存储过程中被截获、篡改等,主要用于信息网中的报表传送、公文卜发等。
5、谁能给个电子商务风险及安全管理的论文参考
电子商务安全风险管理研究
林黎明1 李新春2
( 中国矿业大学 管理学院,江苏 徐州 221008 )
摘要 该文基于目前电子商务安全所面临的各种风险问题,结合当前的一些风险管理方法,对电子商务系统安全风险管理进行一些基本的分析和研究,以期对企业电子商务安全风险管理提供一些有价值的借鉴和参考。
关键词 电子商务安全,风险管理,风险识别,风险控制
1 引言
随着开放的互联网络系统Internet的飞速发展,电子商务的应用和推广极大了改变了人们工作和生活方式,带来了无限的商机。然而,电子商务发展所依托的平台—互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展;此外,电子商务的发展还面临着严峻的内部风险,电子商务企业内部对安全问题的盲目和安全意识的淡薄,高层领导对电子商务的运作和安全管理重视程度不足,使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此,在考察电子商务运行环境、提供电子商务安全解决方案的同时,有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。
电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡量、分析,并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。
2 电子商务面临的安全风险
由于网络的复杂性和脆弱性,以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说,电子商务普遍存在着以下几个安全风险:
1)信息的截获和窃取
这是指电子商务相关用户或外来者未经授权通过各种技术手段截获和窃取他人的文电内容以获取商业机密。
2)信息的篡改
网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或插入,并发往目的地,从而达到破坏信息完整性的目的。
3)拒绝服务
拒绝服务是指在一定时间内,网络系统或服务器服务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的认为破坏。
4)系统资源失窃问题
在网络系统环境中,系统资源失窃是常见的安全威胁。
5)信息的假冒
信息的假冒是指当攻击者掌握了网络信息数据规律或解密了商务信息后,可以假冒合法用户或假冒信息来欺骗其它用户。主要表现形式有假冒客户进行非法交易,伪造电子邮件等。
6)交易的抵赖
交易抵赖包括发信者事后否认曾经发送过某条信息;买家做了定单后不承认;卖家卖出的商品因价格差而不承认原先的交易等。
3 风险管理规则
针对电子商务面临的各种安全风险,电子商务企业不能被动、消极地应付,而应该主动采取措施维护电子商务系统的安全,并监视新的威胁和漏洞。因此,这就需要制定完整高效的电子商务安全风险管理规则。
一般来说,风险管理规则的制定过程有评估、开发和实施以及运行三个阶段。
(1)评估阶段
该阶段的主要任务是对电子商务的安全现状、要保护的信息、各种资产等进行充分的评估以及一些基本的安全风险识别和分析。
对电子商务安全现状的评估是制定风险管理规则的基础。
对信息和资产的评估是指对可能遭受损失的相关信息和资产进行价值的评估,以便确定相适应的风险管理规则,从而避免投入成本和要保护的信息和资产的严重不匹配。
安全风险识别要求尽可能地发现潜在的安全风险,应收集有关各种威胁、漏洞、开发和对策的信息。
安全风险分析是确定风险,收集信息,对可能造成的损失进行评价以估计风险的级别,以便做出明智的决策,从而采取措施来规避安全风险。
(2)开发和实施阶段
该阶段的任务包括风险补救措施开发、风险补救措施测试和风险知识学习。
风险补救措施开发利用评估阶段的成果来建立一个新的安全管理策略,其中涉及配置管
理、修补程序管理、系统监视与审核等等。
在完成对风险补救措施的开发后,即进行安全风险补救措施的测试,在测试过程中,将按照安全风险的控制效果来评估对策的有效性。
(3)运行阶段
运行阶段的主要任务包括在新的安全风险管理规则下评估新的安全风险。这个过程实际上是变更管理的过程,也是执行安全配置管理的过程。
运行阶段的第二个任务是对新的或已更改的对策进行稳定性测试和部署。这个过程由系统管理、安全管理和网络管理小组来共同实施。
以上风险管理规则的三个阶段可以用下图来表示:
图1 风险管理规则的三个阶段
4 风险管理步骤
风险管理是识别风险、分析风险并制定风险管理计划的过程。电子商务安全风险的管理和控制方法,它包括风险识别、风险分析、风险控制以及风险监控等四个方面。
(1)风险识别
电子商务系统的安全要求是通过对风险的系统评估而确认的。为了有效管理电子商务安全风险,识别安全风险是风险管理的第一步。
风险识别是在收集有关各种威胁、漏洞和相关对策等信息的基础上,识别各种可能对电子商务系统造成潜在威胁的安全风险。
风险识别的手段五花八门,对于电子商务系统的安全来说,风险识别的目标是主要是对电子商务系统的网络环境风险、数据存在风险和网上支付风险进行识别。
需要注意的是,并非所有的电子商务安全风险都可以通过风险识别来进行管理,风险识别只能发现已知的风险或根据已知风险较容易获知的潜在风险。而对于大部分的未知风险,则依赖于风险分析和控制来加以解决或降低。
(2)风险分析
风险分析是运用分析、比较、评估等各种定性、定量的方法,确定电子商务安全各风险要素的重要性,对风险排序并评估其对电子商务系统各方面的可能后果,从而使电子商务系统项目实施人员可以将主要精力放在对付为数不多的重要安全风险上,使电子商务系统的整体风险得到有效的控制。风险分析是一种确定风险以及对可能造成的损失进行评估的方法,它是制定安全措施的依据。
风险分析的目标是:确定风险,对可能造成损坏的潜在风险进行定性化和定量化,以及最后在经济上寻求风险损失和对风险投入成本的平衡。
目前,风险分析主要采用的方法有:风险概率/影响评估矩阵,敏感性分析,模拟等。在进行电子商务安全风险分析时,由于各影响因素量化在现实上的困难,可根据实际需要,主要采用定性方法为主辅以少量定量方法相结合来进行风险分析,为制定风险管理制度和风险的控制提供理论上的依据。
(3)风险控制
风险控制就是选择和运用一定的风险控制手段,以保障风险降到一个可以接受的水平。风险控制是风险管理中最重要的一个环节,是决定风险管理成败的关键因素。电子商务安全风险控制的目标在于改变企业电子商务项目所承受的风险程度。
一般来说,风险控制方法有两类:
第一类是风险控制措施,比如降低、避免、转移风险和损失管理等。在电子商务安全风险管理中,比较常用的是转移风险和损失管理。
第二类为风险补偿的筹资措施,包括保险与自担风险。在电子商务安全风险管理中,管理人员需要对风险补偿的筹资措施进行决策,即选择保险还是自担风险。
此外,风险控制方法的选择应当充分考虑相对风险造成损失的成本,当然其它方面的影响也是不容忽视的,如企业商誉等。
对电子商务安全来说,其有效可行的风险控制方法是:建立完整高效的降低风险的安全性解决方案,掌握保障安全性所需的一些基础技术,并规划好发生特定安全事故时企业应该采取的解决方案。
5 风险管理对策
由于电子商务安全的重要性,所以部署一个完整有效的电子商务安全风险管理对策显得十分迫切。制定电子商务安全风险管理对策目的在于消除潜在的威胁和安全漏洞,从而降低电子商务系统环境所面临的风险。
目前的电子商务安全风险管理对策中,较为常用的是纵深防御战略,所谓纵深防御战略,就是深层安全和多层安全。通过部署多层安全保护,可以确保当其中一层遭到破坏时,其它层仍能提供保护电子商务系统资源所需的安全。比如,一个单位外部的防火墙遭到破坏,由于内部防火墙的作用,入侵者也无法获取单位的敏感数据或进行破坏。在较为理想的情况下,每一层均提供不同的对策以免在不同的层中使用相同的攻击方法。
下图为一个有效的纵深防御策略:
图2 有效的纵深防御策略
下面就各层的主要防御内容从外层到里层进行简要的说明:
1)物理安全
物理安全是整个电子商务系统安全的前提。制定电子商务物理安全策略的目的在于保护计算机系统、电子商务服务器等各电子商务系统硬件实体和通信链路免受自然灾害和人为破坏造成的安全风险。
2)周边防御
对网络周边的保护能够起到抵御外界攻击的作用。电子商务系统应尽可能安装某种类型的安全设备来保护网络的每个访问节点。在技术上来说,防火墙是网络周边防御的最主要的手段,电子商务系统应当安装一道或多道防火墙,以确保最大限度地降低外界攻击的风险,并利用入侵检测功能来及时发现外界的非法访问和攻击。
3)网络防御
网络防御是对网络系统环境进行评估,采取一定措施来抵御黑客的攻击,以确保它们得到适当的保护。就目前来说,网络安全防御行为是一种被动式的反应行为,而且,防御技术的发展速度也没有攻击技术发展得那么快。为了提高网络安全防御能力,使网络安全防护系统在攻击与防护的对抗中占据主动地位,在网络安全防护系统中,除了使用被动型安全工具(防火墙、漏洞扫描等)外,也需要采用主动型安全防护措施(如:网络陷阱、入侵取证、入侵检测、自动恢复等)。
4)主机防御
主机防御是对系统中的每一台主机进行安全评估,然后根据评估结果制定相应的对策以限制服务器执行的任务。在主机及其环境中,安全保护对象包括用户应用环境中的服务器、客户机以及其上安装的操作系统和应用系统。这些应用能够提供包括信息访问、存储、传输、录入等在内的服务。根据信息保障技术框架,对主机及其环境的安全保护首先是为了建立防止有恶意的内部人员攻击的首道防线,其次是为了防止外部人员穿越系统保护边界并进行攻击的最后防线。
5)应用程序防御
作为一个防御层,应用程序的加固是任何一种安全模型中都不可缺少的一部分。加强保护操作系统安全只能提供一定程度的保护。因此,电子商务系统的开发人员有责任将安全保护融入到应用程序中,以便对体系结构中应用程序可访问到的区域提供专门的保护。应用程序存在于系统的环境中。
6)数据防御
对许多电子商务企业来说,数据就是企业的资产,一旦落入竞争者手中或损坏将造成不可挽回的损失。因此,加强对电子商务交易及相关数据的防护,对电子商务系统的安全和电子商务项目的正常运行具有重要的现实意义
6 结论
一般来说,风险管理有基本的三个对策,包括管理者采取适当措施来降低风险事故发生的概率;管理者准备并实施一个意外事故应急计划以备不测;还有就是管理者什么都不做。对已选定的对策,应对其潜在的风险有充分的估计,并制定相应的应变计划,以使可能的风险损失降到最低。
风险管理没有铁定的规则,对于电子商务安全风险管理来说,首先是扫描和检测电子商务系统的内外部环境,检查系统的脆弱性和薄弱环节,及时打上补丁和追加设备,以便当风险产生时尽可能地减少损失;其次是对电子商务安全风险进行充分地分析,然后制定相应的规划和措施,并在其实施的每个阶段进行监控和跟踪;最后是根据环境的变化随时调整风险管理措施,制定完备的灾难恢复计划。
参考文献
[1]甘早斌.电子商务概论(第二版).华中科技大学出版社.2003.9
[2]钟诚.电子商务安全.重庆大学出版社.2004.6
[3]才书训.电子商务安全风险管理与控制.东北大学出版社.2004.6
[4]易珊,张学哲.电子商务安全策略分析.科技情报开发与经济.2004.5
[5]高新亚,邹静.电子商务安全的风险分析和风险管理.武汉理工大学学报.信息与管理工程版.2005.8
[6]郭学勤,陈怡.电子商务安全对策.计算机与数字工程.2001.7
[7]李晶.电子商务安全防范措施.安徽科技.2003.4
[8]Greenstein M,FeinmanT M.Electronic Commerce:Security,Risk Management and Control[M].New York:McGraw-Hill Companies,Inc.,2000
[9]Charles Cresson Wood, Essential Controls for Internet Electronic Commerce[M].Network Security,1998
-------------------------------------------------------------------
参考资料:http://www.xinxijishu.org/Article/pc/jingyan/200607/2558.html
6、电子商务交易风险及对策
电子商务安全风险管理研究
林黎明1 李新春2
( 中国矿业大学 管理学院,江苏 徐州 221008 )
摘要 该文基于目前电子商务安全所面临的各种风险问题,结合当前的一些风险管理方法,对电子商务系统安全风险管理进行一些基本的分析和研究,以期对企业电子商务安全风险管理提供一些有价值的借鉴和参考。
关键词 电子商务安全,风险管理,风险识别,风险控制
1 引言
随着开放的互联网络系统Internet的飞速发展,电子商务的应用和推广极大了改变了人们工作和生活方式,带来了无限的商机。然而,电子商务发展所依托的平台—互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展;此外,电子商务的发展还面临着严峻的内部风险,电子商务企业内部对安全问题的盲目和安全意识的淡薄,高层领导对电子商务的运作和安全管理重视程度不足,使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此,在考察电子商务运行环境、提供电子商务安全解决方案的同时,有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。
电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡量、分析,并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。
2 电子商务面临的安全风险
由于网络的复杂性和脆弱性,以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说,电子商务普遍存在着以下几个安全风险:
1)信息的截获和窃取
这是指电子商务相关用户或外来者未经授权通过各种技术手段截获和窃取他人的文电内容以获取商业机密。
2)信息的篡改
网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或插入,并发往目的地,从而达到破坏信息完整性的目的。
3)拒绝服务
拒绝服务是指在一定时间内,网络系统或服务器服务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的认为破坏。
4)系统资源失窃问题
在网络系统环境中,系统资源失窃是常见的安全威胁。
5)信息的假冒
信息的假冒是指当攻击者掌握了网络信息数据规律或解密了商务信息后,可以假冒合法用户或假冒信息来欺骗其它用户。主要表现形式有假冒客户进行非法交易,伪造电子邮件等。
6)交易的抵赖
交易抵赖包括发信者事后否认曾经发送过某条信息;买家做了定单后不承认;卖家卖出的商品因价格差而不承认原先的交易等。
3 风险管理规则
针对电子商务面临的各种安全风险,电子商务企业不能被动、消极地应付,而应该主动采取措施维护电子商务系统的安全,并监视新的威胁和漏洞。因此,这就需要制定完整高效的电子商务安全风险管理规则。
一般来说,风险管理规则的制定过程有评估、开发和实施以及运行三个阶段。
(1)评估阶段
该阶段的主要任务是对电子商务的安全现状、要保护的信息、各种资产等进行充分的评估以及一些基本的安全风险识别和分析。
对电子商务安全现状的评估是制定风险管理规则的基础。
对信息和资产的评估是指对可能遭受损失的相关信息和资产进行价值的评估,以便确定相适应的风险管理规则,从而避免投入成本和要保护的信息和资产的严重不匹配。
安全风险识别要求尽可能地发现潜在的安全风险,应收集有关各种威胁、漏洞、开发和对策的信息。
安全风险分析是确定风险,收集信息,对可能造成的损失进行评价以估计风险的级别,以便做出明智的决策,从而采取措施来规避安全风险。
(2)开发和实施阶段
该阶段的任务包括风险补救措施开发、风险补救措施测试和风险知识学习。
风险补救措施开发利用评估阶段的成果来建立一个新的安全管理策略,其中涉及配置管
理、修补程序管理、系统监视与审核等等。
在完成对风险补救措施的开发后,即进行安全风险补救措施的测试,在测试过程中,将按照安全风险的控制效果来评估对策的有效性。
(3)运行阶段
运行阶段的主要任务包括在新的安全风险管理规则下评估新的安全风险。这个过程实际上是变更管理的过程,也是执行安全配置管理的过程。
运行阶段的第二个任务是对新的或已更改的对策进行稳定性测试和部署。这个过程由系统管理、安全管理和网络管理小组来共同实施。
以上风险管理规则的三个阶段可以用下图来表示:
图1 风险管理规则的三个阶段
4 风险管理步骤
风险管理是识别风险、分析风险并制定风险管理计划的过程。电子商务安全风险的管理和控制方法,它包括风险识别、风险分析、风险控制以及风险监控等四个方面。
(1)风险识别
电子商务系统的安全要求是通过对风险的系统评估而确认的。为了有效管理电子商务安全风险,识别安全风险是风险管理的第一步。
风险识别是在收集有关各种威胁、漏洞和相关对策等信息的基础上,识别各种可能对电子商务系统造成潜在威胁的安全风险。
风险识别的手段五花八门,对于电子商务系统的安全来说,风险识别的目标是主要是对电子商务系统的网络环境风险、数据存在风险和网上支付风险进行识别。
需要注意的是,并非所有的电子商务安全风险都可以通过风险识别来进行管理,风险识别只能发现已知的风险或根据已知风险较容易获知的潜在风险。而对于大部分的未知风险,则依赖于风险分析和控制来加以解决或降低。
(2)风险分析
风险分析是运用分析、比较、评估等各种定性、定量的方法,确定电子商务安全各风险要素的重要性,对风险排序并评估其对电子商务系统各方面的可能后果,从而使电子商务系统项目实施人员可以将主要精力放在对付为数不多的重要安全风险上,使电子商务系统的整体风险得到有效的控制。风险分析是一种确定风险以及对可能造成的损失进行评估的方法,它是制定安全措施的依据。
风险分析的目标是:确定风险,对可能造成损坏的潜在风险进行定性化和定量化,以及最后在经济上寻求风险损失和对风险投入成本的平衡。
目前,风险分析主要采用的方法有:风险概率/影响评估矩阵,敏感性分析,模拟等。在进行电子商务安全风险分析时,由于各影响因素量化在现实上的困难,可根据实际需要,主要采用定性方法为主辅以少量定量方法相结合来进行风险分析,为制定风险管理制度和风险的控制提供理论上的依据。
(3)风险控制
风险控制就是选择和运用一定的风险控制手段,以保障风险降到一个可以接受的水平。风险控制是风险管理中最重要的一个环节,是决定风险管理成败的关键因素。电子商务安全风险控制的目标在于改变企业电子商务项目所承受的风险程度。
一般来说,风险控制方法有两类:
第一类是风险控制措施,比如降低、避免、转移风险和损失管理等。在电子商务安全风险管理中,比较常用的是转移风险和损失管理。
第二类为风险补偿的筹资措施,包括保险与自担风险。在电子商务安全风险管理中,管理人员需要对风险补偿的筹资措施进行决策,即选择保险还是自担风险。
此外,风险控制方法的选择应当充分考虑相对风险造成损失的成本,当然其它方面的影响也是不容忽视的,如企业商誉等。
对电子商务安全来说,其有效可行的风险控制方法是:建立完整高效的降低风险的安全性解决方案,掌握保障安全性所需的一些基础技术,并规划好发生特定安全事故时企业应该采取的解决方案。
5 风险管理对策
由于电子商务安全的重要性,所以部署一个完整有效的电子商务安全风险管理对策显得十分迫切。制定电子商务安全风险管理对策目的在于消除潜在的威胁和安全漏洞,从而降低电子商务系统环境所面临的风险。
目前的电子商务安全风险管理对策中,较为常用的是纵深防御战略,所谓纵深防御战略,就是深层安全和多层安全。通过部署多层安全保护,可以确保当其中一层遭到破坏时,其它层仍能提供保护电子商务系统资源所需的安全。比如,一个单位外部的防火墙遭到破坏,由于内部防火墙的作用,入侵者也无法获取单位的敏感数据或进行破坏。在较为理想的情况下,每一层均提供不同的对策以免在不同的层中使用相同的攻击方法。
下图为一个有效的纵深防御策略:
图2 有效的纵深防御策略
下面就各层的主要防御内容从外层到里层进行简要的说明:
1)物理安全
物理安全是整个电子商务系统安全的前提。制定电子商务物理安全策略的目的在于保护计算机系统、电子商务服务器等各电子商务系统硬件实体和通信链路免受自然灾害和人为破坏造成的安全风险。
2)周边防御
对网络周边的保护能够起到抵御外界攻击的作用。电子商务系统应尽可能安装某种类型的安全设备来保护网络的每个访问节点。在技术上来说,防火墙是网络周边防御的最主要的手段,电子商务系统应当安装一道或多道防火墙,以确保最大限度地降低外界攻击的风险,并利用入侵检测功能来及时发现外界的非法访问和攻击。
3)网络防御
网络防御是对网络系统环境进行评估,采取一定措施来抵御黑客的攻击,以确保它们得到适当的保护。就目前来说,网络安全防御行为是一种被动式的反应行为,而且,防御技术的发展速度也没有攻击技术发展得那么快。为了提高网络安全防御能力,使网络安全防护系统在攻击与防护的对抗中占据主动地位,在网络安全防护系统中,除了使用被动型安全工具(防火墙、漏洞扫描等)外,也需要采用主动型安全防护措施(如:网络陷阱、入侵取证、入侵检测、自动恢复等)。
4)主机防御
主机防御是对系统中的每一台主机进行安全评估,然后根据评估结果制定相应的对策以限制服务器执行的任务。在主机及其环境中,安全保护对象包括用户应用环境中的服务器、客户机以及其上安装的操作系统和应用系统。这些应用能够提供包括信息访问、存储、传输、录入等在内的服务。根据信息保障技术框架,对主机及其环境的安全保护首先是为了建立防止有恶意的内部人员攻击的首道防线,其次是为了防止外部人员穿越系统保护边界并进行攻击的最后防线。
5)应用程序防御
作为一个防御层,应用程序的加固是任何一种安全模型中都不可缺少的一部分。加强保护操作系统安全只能提供一定程度的保护。因此,电子商务系统的开发人员有责任将安全保护融入到应用程序中,以便对体系结构中应用程序可访问到的区域提供专门的保护。应用程序存在于系统的环境中。
6)数据防御
对许多电子商务企业来说,数据就是企业的资产,一旦落入竞争者手中或损坏将造成不可挽回的损失。因此,加强对电子商务交易及相关数据的防护,对电子商务系统的安全和电子商务项目的正常运行具有重要的现实意义
6 结论
一般来说,风险管理有基本的三个对策,包括管理者采取适当措施来降低风险事故发生的概率;管理者准备并实施一个意外事故应急计划以备不测;还有就是管理者什么都不做。对已选定的对策,应对其潜在的风险有充分的估计,并制定相应的应变计划,以使可能的风险损失降到最低。
风险管理没有铁定的规则,对于电子商务安全风险管理来说,首先是扫描和检测电子商务系统的内外部环境,检查系统的脆弱性和薄弱环节,及时打上补丁和追加设备,以便当风险产生时尽可能地减少损失;其次是对电子商务安全风险进行充分地分析,然后制定相应的规划和措施,并在其实施的每个阶段进行监控和跟踪;最后是根据环境的变化随时调整风险管理措施,制定完备的灾难恢复计划。
参考文献
[1]甘早斌.电子商务概论(第二版).华中科技大学出版社.2003.9
[2]钟诚.电子商务安全.重庆大学出版社.2004.6
[3]才书训.电子商务安全风险管理与控制.东北大学出版社.2004.6
[4]易珊,张学哲.电子商务安全策略分析.科技情报开发与经济.2004.5
[5]高新亚,邹静.电子商务安全的风险分析和风险管理.武汉理工大学学报.信息与管理工程版.2005.8
[6]郭学勤,陈怡.电子商务安全对策.计算机与数字工程.2001.7
[7]李晶.电子商务安全防范措施.安徽科技.2003.4
[8]Greenstein M,FeinmanT M.Electronic Commerce:Security,Risk Management and Control[M].New York:McGraw-Hill Companies,Inc.,2000
[9]Charles Cresson Wood, Essential Controls for Internet Electronic Commerce[M].Network Security,1998
7、电子商务平台有什么市场风险?
电子商务平台的市场风险:
(一)、信息技术风险
信息是信息化社会的核心,而第三方电子商务交易平台在信息的存储、处理、发布、传递、利用等过程中都有可能会由于技术方面的原因导致信息出现失真、迟滞、泄漏等现象,即使用信息存在风险。信息技术风险的存在不仅会给社会信息化带来负面影响,而且会给抗风险能力第三方电子商务交易平台的经营管理带来直接损失,因此必须加以重视。
信息技术风险可以简单的分为以下几类:
(1).真实性风险
信息的真实性,是指信息的准确度和可靠性,它直接影响到信息使用者对信息的信任程度。如果第三方电子商务交易平台不能保证所获得信息的真实性,那么使用这样的信息就会存在风险。影响信息真实性的因素主要有信息的来源、信息传输过程中的失真、虚假信息等。
(2).实时性风险
信息的实时性是指信息真实、准确、可靠地反映了事物的当前状态和属性。信息具有时效性,一项具体的信息往往只在一段时间内是有用的或起决定性作用的。如果第三方电子商务交易平台不能保证信息的及时发布或者信息在传输过程中延时,就会造成信息不及时。对于第三方电子商务交易平台计算机网络信息系统,传输线路的繁忙、线路故障、网络传输延迟、黑客入侵、系统故障等都可能使获得的信息缺乏实时性。
(3).安全性风险
信息安全性风险,是指第三方电子商务交易平台在信息系统中存储、传递信息时信息可能被恶意窃取、利用和窜改,以及第三方电子商务交易平台在信息处理过程中可能丢失或被破坏等类似的安全问题。这些问题包括计算机恶意代码的破坏、黑客入侵、系统的不正确使用等,显然这些问题所造成的对信息资源的损坏一定会对信息使用者造成严重的影响。
(二)、信用评价系统风险
信用已被看作互联网上刺激购买的一个关键因素,实际交易中所有关系都需要信用这一因素,特别在电子商务不确定环境中发生的交易关系更是如此,因此第三方电子商务交易平台建立一种科学公正信用评价系统、信用监督系统是电子第三方电子商务交易平台进一步发展关键。信用评价风险即是指由于技术问题导致信用评价过程中出现的风险,如:恶意评价、刷信用、交易抵赖、欺诈、欺骗等行为。
第三方电子商务交易平台在整个电子商务交易过程中信用评价风险包括下三个方面:
(1). 对卖方信用评价风险,这里主要指第三方电子商务交易平台在卖方不能按时、按质、按量交割消费者所购的货物,或者不能完全履行与企业购买者签订的购买合同,或者雇人刷信用,第三方电子商务交易平台能否客观的对卖方信用进行评价,所带来的风险。
(2). 对买方信用评价风险,这里主要指第三方电子商务交易平台在消费者个人由于花钱无度和恶意透支,可能在网上使用了没有存款的信用卡进行消费,或是犯罪分子使用非法伪造的信用卡骗取卖方的货物,或者恶意对商家进行评价,或者通过货到付款购买后无故退货等诚信问题,第三方电子商务交易平台能否客观的对买方信用进行评价,所带来的风险。
(3). 对交易抵赖信用评价风险,买卖双方都有可能存在交易抵赖的可能性。在传统市场交易时,由于交易双方直接面对面进行商品交易,这种信用风险的控制往往靠经验和法制来保证,进行电子商务交易后,由于交易环境发生改变,物流和资金流在时间和空间上是相互分离的,交易双方常常互不见面,只有数字化交往,用电子方式谈判、签合同、结帐,当贸易一方发现新的情况出现后原先的交易对自己不利时,可能就会企图否认已做出的电子交易行为。第三方电子商务交易平台能否判断此次交易失败责任归哪方,及时的对这种交易抵赖行为做出信用评价,所带来的风险。
(三)、 管理风险
在交易过程中会不断出现技术问题,因此就需要既懂技术又懂管理的人去处理,当什么重要的事情都集中到一个人身上时,这个人一旦发生问题,管理带来的风险就大了,我们通常把各种由于管理带来的风险通称为管理风险。
由于第三方电子商务交易平台所提供的服务都是基于互联网进行,与传统的产销渠道有很大的区别,其本身也改变了传统的商务运作模式。从而导致第三方电子商务企业管理层 在管理活动中活动中,管理控制风险增大。第三方电子商务交易平台管理风险主要包括一下三个方面:
(1). 沟通风险,主要指第三方电子商务交易平台管理者在与卖家和买家在沟通时所采取的沟通方式和沟通渠道中存在的风险。第三方电子商务交易平台在宣布某项政策和调整 规则之前都应充分与多方进行沟通,特别是基于交易平台的买方和卖方,在这个过程中沟通方式和沟通渠道尤为重要。不恰当的沟通方式和沟通渠道,将为第三方电子商务交易平台本身带来巨大风险,如:本文上述所提到的“淘宝商城”事件,部分原因就是由于淘宝商城管理者在宣布政策之前缺少与商家沟通所导致。
(2). 外部突发事件管理风险,主要指第三方电子商务交易平台管理者在应对公司外部环境带来的突发事件时所采取的措施中存在的风险,如:政府针对第三方电子商务交易平台所颁布的一些法规和限制令;淘宝商家“围攻”淘宝商城事件;阿里巴巴中的商家现“欺诈”事件等等。
(3). 内部员工管理风险,第三方电子商务交易平台对内部工作人员管理常常是在线交易管理的最薄弱环节,近年来我国计算机犯罪大都呈现内部犯罪的趋势,其原因主要是工作人员职业道德修养不高,安全教育和管理松懈所致。
8、电子商务的安全风险有哪些
客户面临的风险
客户面临的风险是指客户一方的私有信息被盗用或破坏的可能性。例如:客户的账号及密码、信用卡信息、客户计算机系统及数据等。
销售商面临的风险
在电子商务中,销售商面临的风险主要有三方面,即假客户、被封锁服务和数据被窃。
企业自身面临的风险
(1)人为制造的灾难包括计算机病毒和硬件设备的人为破坏。
(2)企业内部网的风险。据统计,对网络系统的攻击有85%是来自企业内部的黑客。
(3)企业与其他企业进行商务活动时的风险。企业在与其他企业进行商务合作或竞争时,其他企业可能利用非法手段窃取该企业的文件或数据。其中的风险为:传输中数据的被盗、企业计算机上的数据及文件的被盗。
电子商务在网络上的运行还不够规范
对于网上的税收、合同以及保险等方面都存在着不规范的现象,在加之法律在网络上的不健全,这些都制约着电子商务在网络的发展。
9、研究企业发展电子商务的风险与对策的目的和意义分别是什么?
引言
随着开放的互联网络系统Internet的飞速发展,电子商务的应用和推广极大了改变了人们工作和生活方式,带来了无限的商机。然而,电子商务发展所依托的平台—互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展;此外,电子商务的发展还面临着严峻的内部风险,电子商务企业内部对安全问题的盲目和安全意识的淡薄,高层领导对电子商务的运作和安全管理重视程度不足,使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此,在考察电子商务运行环境、提供电子商务安全解决方案的同时,有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。
电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡量、分析,并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。
2 电子商务面临的安全风险
由于网络的复杂性和脆弱性,以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说,电子商务普遍存在着以下几个安全风险:
1)信息的截获和窃取
这是指电子商务相关用户或外来者未经授权通过各种技术手段截获和窃取他人的文电内容以获取商业机密。
2)信息的篡改
网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或插入,并发往目的地,从而达到破坏信息完整性的目的。
3)拒绝服务
拒绝服务是指在一定时间内,网络系统或服务器服务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的认为破坏。
4)系统资源失窃问题
在网络系统环境中,系统资源失窃是常见的安全威胁。
5)信息的假冒
信息的假冒是指当攻击者掌握了网络信息数据规律或解密了商务信息后,可以假冒合法用户或假冒信息来欺骗其它用户。主要表现形式有假冒客户进行非法交易,伪造电子邮件等。
6)交易的抵赖
交易抵赖包括发信者事后否认曾经发送过某条信息;买家做了定单后不承认;卖家卖出的商品因价格差而不承认原先的交易等。
3 风险管理规则
针对电子商务面临的各种安全风险,电子商务企业不能被动、消极地应付,而应该主动采取措施维护电子商务系统的安全,并监视新的威胁和漏洞。因此,这就需要制定完整高效的电子商务安全风险管理规则。
一般来说,风险管理规则的制定过程有评估、开发和实施以及运行三个阶段。
(1)评估阶段
该阶段的主要任务是对电子商务的安全现状、要保护的信息、各种资产等进行充分的评估以及一些基本的安全风险识别和分析。
对电子商务安全现状的评估是制定风险管理规则的基础。
对信息和资产的评估是指对可能遭受损失的相关信息和资产进行价值的评估,以便确定相适应的风险管理规则,从而避免投入成本和要保护的信息和资产的严重不匹配。
安全风险识别要求尽可能地发现潜在的安全风险,应收集有关各种威胁、漏洞、开发和对策的信息。
安全风险分析是确定风险,收集信息,对可能造成的损失进行评价以估计风险的级别,以便做出明智的决策,从而采取措施来规避安全风险。
(2)开发和实施阶段
该阶段的任务包括风险补救措施开发、风险补救措施测试和风险知识学习。
风险补救措施开发利用评估阶段的成果来建立一个新的安全管理策略,其中涉及配置管
理、修补程序管理、系统监视与审核等等。
在完成对风险补救措施的开发后,即进行安全风险补救措施的测试,在测试过程中,将按照安全风险的控制效果来评估对策的有效性。
(3)运行阶段
运行阶段的主要任务包括在新的安全风险管理规则下评估新的安全风险。这个过程实际上是变更管理的过程,也是执行安全配置管理的过程。
运行阶段的第二个任务是对新的或已更改的对策进行稳定性测试和部署。这个过程由系统管理、安全管理和网络管理小组来共同实施。
以上风险管理规则的三个阶段可以用下图来表示:
图1 风险管理规则的三个阶段
4 风险管理步骤
风险管理是识别风险、分析风险并制定风险管理计划的过程。电子商务安全风险的管理和控制方法,它包括风险识别、风险分析、风险控制以及风险监控等四个方面。
(1)风险识别
电子商务系统的安全要求是通过对风险的系统评估而确认的。为了有效管理电子商务安全风险,识别安全风险是风险管理的第一步。
风险识别是在收集有关各种威胁、漏洞和相关对策等信息的基础上,识别各种可能对电子商务系统造成潜在威胁的安全风险。
风险识别的手段五花八门,对于电子商务系统的安全来说,风险识别的目标是主要是对电子商务系统的网络环境风险、数据存在风险和网上支付风险进行识别。
需要注意的是,并非所有的电子商务安全风险都可以通过风险识别来进行管理,风险识别只能发现已知的风险或根据已知风险较容易获知的潜在风险。而对于大部分的未知风险,则依赖于风险分析和控制来加以解决或降低。
(2)风险分析
风险分析是运用分析、比较、评估等各种定性、定量的方法,确定电子商务安全各风险要素的重要性,对风险排序并评估其对电子商务系统各方面的可能后果,从而使电子商务系统项目实施人员可以将主要精力放在对付为数不多的重要安全风险上,使电子商务系统的整体风险得到有效的控制。风险分析是一种确定风险以及对可能造成的损失进行评估的方法,它是制定安全措施的依据。
风险分析的目标是:确定风险,对可能造成损坏的潜在风险进行定性化和定量化,以及最后在经济上寻求风险损失和对风险投入成本的平衡。
目前,风险分析主要采用的方法有:风险概率/影响评估矩阵,敏感性分析,模拟等。在进行电子商务安全风险分析时,由于各影响因素量化在现实上的困难,可根据实际需要,主要采用定性方法为主辅以少量定量方法相结合来进行风险分析,为制定风险管理制度和风险的控制提供理论上的依据。
(3)风险控制
风险控制就是选择和运用一定的风险控制手段,以保障风险降到一个可以接受的水平。风险控制是风险管理中最重要的一个环节,是决定风险管理成败的关键因素。电子商务安全风险控制的目标在于改变企业电子商务项目所承受的风险程度。
一般来说,风险控制方法有两类:
第一类是风险控制措施,比如降低、避免、转移风险和损失管理等。在电子商务安全风险管理中,比较常用的是转移风险和损失管理。
第二类为风险补偿的筹资措施,包括保险与自担风险。在电子商务安全风险管理中,管理人员需要对风险补偿的筹资措施进行决策,即选择保险还是自担风险。
此外,风险控制方法的选择应当充分考虑相对风险造成损失的成本,当然其它方面的影响也是不容忽视的,如企业商誉等。
对电子商务安全来说,其有效可行的风险控制方法是:建立完整高效的降低风险的安全性解决方案,掌握保障安全性所需的一些基础技术,并规划好发生特定安全事故时企业应该采取的解决方案。
5 风险管理对策
由于电子商务安全的重要性,所以部署一个完整有效的电子商务安全风险管理对策显得十分迫切。制定电子商务安全风险管理对策目的在于消除潜在的威胁和安全漏洞,从而降低电子商务系统环境所面临的风险。
目前的电子商务安全风险管理对策中,较为常用的是纵深防御战略,所谓纵深防御战略,就是深层安全和多层安全。通过部署多层安全保护,可以确保当其中一层遭到破坏时,其它层仍能提供保护电子商务系统资源所需的安全。比如,一个单位外部的防火墙遭到破坏,由于内部防火墙的作用,入侵者也无法获取单位的敏感数据或进行破坏。在较为理想的情况下,每一层均提供不同的对策以免在不同的层中使用相同的攻击方法。
下图为一个有效的纵深防御策略:
图2 有效的纵深防御策略
下面就各层的主要防御内容从外层到里层进行简要的说明:
1)物理安全
物理安全是整个电子商务系统安全的前提。制定电子商务物理安全策略的目的在于保护计算机系统、电子商务服务器等各电子商务系统硬件实体和通信链路免受自然灾害和人为破坏造成的安全风险。
2)周边防御
对网络周边的保护能够起到抵御外界攻击的作用。电子商务系统应尽可能安装某种类型的安全设备来保护网络的每个访问节点。在技术上来说,防火墙是网络周边防御的最主要的手段,电子商务系统应当安装一道或多道防火墙,以确保最大限度地降低外界攻击的风险,并利用入侵检测功能来及时发现外界的非法访问和攻击。
3)网络防御
网络防御是对网络系统环境进行评估,采取一定措施来抵御黑客的攻击,以确保它们得到适当的保护。就目前来说,网络安全防御行为是一种被动式的反应行为,而且,防御技术的发展速度也没有攻击技术发展得那么快。为了提高网络安全防御能力,使网络安全防护系统在攻击与防护的对抗中占据主动地位,在网络安全防护系统中,除了使用被动型安全工具(防火墙、漏洞扫描等)外,也需要采用主动型安全防护措施(如:网络陷阱、入侵取证、入侵检测、自动恢复等)。
4)主机防御
主机防御是对系统中的每一台主机进行安全评估,然后根据评估结果制定相应的对策以限制服务器执行的任务。在主机及其环境中,安全保护对象包括用户应用环境中的服务器、客户机以及其上安装的操作系统和应用系统。这些应用能够提供包括信息访问、存储、传输、录入等在内的服务。根据信息保障技术框架,对主机及其环境的安全保护首先是为了建立防止有恶意的内部人员攻击的首道防线,其次是为了防止外部人员穿越系统保护边界并进行攻击的最后防线。
5)应用程序防御
作为一个防御层,应用程序的加固是任何一种安全模型中都不可缺少的一部分。加强保护操作系统安全只能提供一定程度的保护。因此,电子商务系统的开发人员有责任将安全保护融入到应用程序中,以便对体系结构中应用程序可访问到的区域提供专门的保护。应用程序存在于系统的环境中。
6)数据防御
对许多电子商务企业来说,数据就是企业的资产,一旦落入竞争者手中或损坏将造成不可挽回的损失。因此,加强对电子商务交易及相关数据的防护,对电子商务系统的安全和电子商务项目的正常运行具有重要的现实意义
6 结论
一般来说,风险管理有基本的三个对策,包括管理者采取适当措施来降低风险事故发生的概率;管理者准备并实施一个意外事故应急计划以备不测;还有就是管理者什么都不做。对已选定的对策,应对其潜在的风险有充分的估计,并制定相应的应变计划,以使可能的风险损失降到最低。
风险管理没有铁定的规则,对于电子商务安全风险管理来说,首先是扫描和检测电子商务系统的内外部环境,检查系统的脆弱性和薄弱环节,及时打上补丁和追加设备,以便当风险产生时尽可能地减少损失;其次是对电子商务安全风险进行充分地分析,然后制定相应的规划和措施,并在其实施的每个阶段进行监控和跟踪;最后是根据环境的变化随时调整风险管理措施,制定完备的灾难恢复计划。
参考文献
[1]甘早斌.电子商务概论(第二版).华中科技大学出版社.2003.9
[2]钟诚.电子商务安全.重庆大学出版社.2004.6
[3]才书训.电子商务安全风险管理与控制.东北大学出版社.2004.6
[4]易珊,张学哲.电子商务安全策略分析.科技情报开发与经济.2004.5
[5]高新亚,邹静.电子商务安全的风险分析和风险管理.武汉理工大学学报.信息与管理工程版.2005.8
[6]郭学勤,陈怡.电子商务安全对策.计算机与数字工程.2001.7
[7]李晶.电子商务安全防范措施.安徽科技.2003.4
[8]Greenstein M,FeinmanT M.Electronic Commerce:Security,Risk Management and Control[M].New York:McGraw-Hill Companies,Inc.,2000
[9]Charles Cresson Wood, Essential Controls for Internet Electronic Commerce[M].Network Security,1998