相关热词搜索:
电子商务安全风险管理的研究
电子商务安全风险管理的研究 摘要:电子商务不仅改变了消费者的生活方式,同时也使得企业的交 货方式和经营方式发生转变。但是电子商务与其他新生事物一样,既带来了巨大 的机遇,也带来了许多不容忽视的风险,这些风险有待解决。电子商务风险管理 成为电子商务发展的重要任务,因此要解决好电子商务的安全风险问题,针对问 题的根源,采用一种综合防范的思路,从多方面去认识,寻找解决方法。关键词:电子商务 风险管理 解决方法 随着开放的互联网络系统Internet的飞速发展,电子商务的应用和推广 极大地改变了人们工作和生活方式,带来了无限的商机。然而,电子商务发展所 依托的平台——互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的 肆虐等等都使得电子商务业务很难安全顺利地开展;
此外,电子商务的发展还面 临着严峻的内部风险,电子商务企业内部对安全问题的盲目和安全意识的淡薄, 高层领导对电子商务的运作和安全管理重视程度不足,使得企业实施电子商务不 可避免地会遇到这样或那样的风险。因此,在考察电子商务运行环境、提供电子 商务安全解决方案的同时,有必要重点评估电子商务系统面临的风险问题以及对 风险有效管理和控制方法。
电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡 量、分析,并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障 的科学管理方法。
1.电子商务的内涵 1.1内涵 电子商务一词源于英文 Electronic Commerce或 Electronic Business, 现已经成为当代社会的潮流,其含义有两个内容,其一,电子方式,其二,商贸 活动,即整个商务过程的电子化、网络化和数字化,交易双方可以便捷却并不面 对面地进行各种商贸活动,利用这种快速、低成本的电子通讯方式,它将覆盖与 商务活动有关的方方面面。
针对人们对这个热词理解的不同,电子商务有广义和狭义之分。广义 上说,电子商务是指利用一切电子方式所从事的贸易活动。电子方式指的是电子技术设备、电子技术工具及系统,包括早期的电报、电视、电话、传真、Email、 广播、电子计算机、电信网络和当今的电子货币、信用卡、网银盾、信息基础设 施及互联网等现代通信网络系统。贸易活动则指的是一系列市场经济活动,包括 信息发布、询价报价、洽谈、签约、结算支付、商业交易、国内外贸易等等。由 于信息技术快速发展和计算机网络的普及使电子商务得到广泛地运用,从狭义上 讲,电子商务则是利用计算机网络进行的商务活动。
1.2分类 目前,电子商务按交易内容基本分为直接电子商务和间接电子商务两 大类型。直接电子商务是指商家将服务产品和无形商品内容数字化,不需要某种 特定物质形式的包装,直接在网上以电子形式传送给消费者,通过互联网或专用 网直接实现交易。间接电子商务又称不完全的电子商务,指在网上进行的交易环 节只能是订货、支付和部分的售后服务,而商品的配送还需依靠送货的运输系统 等外部要素,即由专业的服务机构或现代物流配送公司去完成。
2.电子商务面临的安全风险 2.1互联网络的开放化带来的数据破坏风险 电子商务是以互联网络为平台的贸易新模式,它的一个最大特点是强 调参加交易的各方和所合作的伙伴都要通过Internet密切结合起来,共同从事在阿 络环境下的商业电子化应用。在电子商务环境下商务交易必须通过互联网络来进 行,而互联网体系使用的是开放式的TCP/IP协议,它以广播的形式进行传播。
容易受到计算机病毒、黑客的攻击,商业信息和数据易于搭截侦听、口令试探和 窃取,给企业的数据信息安全带来极大威胁,如遭破坏或泄密,将会给电子企业、 商户造成巨大的损失。
2.2系统软件安全漏洞带来的风险 由于现阶段广泛应用的主流操作系统和数据库管理系统是从国外引 进直接使用的产品。核心技术还是使用引进的版本。这些系统安全性存在 2.3来自社会的外来入侵风险 电子商务容易被来自社会上的不法分子通过互联网络非法入侵,主要 表现形式是黑客和病毒等对电子商务系统的文件和数据的篡改和破坏,是一种社会道德风险。黑客通过闯入他人计算机系统进行破坏,这些人利用电子商务系统 和管理上的一些漏洞,进入计算机系统后,破坏或篡改重要数据,盗取机密与资 源,控制他人的机器,清除记录。设置后门,给电子商务系统带来灾难性的后果。
而计算机病毒是人为编写的一组程序,可以攻击电子商务系统的数据区、文件和 内存,以致使计算机的硬件失灵,软件瘫痪。数据破坏,系统崩溃,给企业和商 户造成无法挽回的巨大损失。
2.4电子商务本身内部监管漏洞带来的风险 电子商务本身如果缺乏约束机制,责权不明,管理混乱、安全管理制 度不健全等是引起电子商务系统安全风险的头号风险根源。如果没有严格的可操 作性的内部管理制度,容易造成当系统出现攻击行为或受到其它一些安全威胁时 (如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警,而且, 当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对系统 的可控性与可审查性。
3.电子商务交易运行的风险 3.1信用风险 传统商务交易一般使用以纸为介质形式的手写签名或证明文件等方 式来证明或确认商务的交易,应该说比较容易辨认真伪,操作显得比较容易。而 在基于互联网络为交易平台的电子商务形式下,参与商业交易均在互联网上进行, 双方并不存在与传统商业模式的见面、磋商、谈判、监证、签署文件等问题,这 就需要通过一定的技术手段相互认证,如数据加密技术、数字签名、数字证书等 技术来保证电子商务交易的安全。在电子商务环境下,由于电子报表、电子文件、 电子合同等无纸介质的使用,无法使用传统的签字方式,从而在辨别真伪上存在 新的风险,电子商务的成功与否取决于消费者对网上交易的信任程度,电子商务 的信任风险实质是由网络交易的虚拟化造成的,首先是买方信用风险。在网络中 个人可以任意伪造信息,可以伪造假信用卡骗取卖方商品。从而给卖方带来风险。
然后是卖方信用风险,由于信息不对称的原因消费者不可能全部掌握商家商品信 息。卖方商品信息不完全、不准确或商家过分诱导消费者从而误导消费者购买行 为;
另外,卖家单方面毁约。不履行交易,也会对买方造成损失。所以电子商务 应用过程中遇到的信用风险问题,是值得关注的问题。
3.2法律风险电子商务在交易过程中存在法律风险,由于电子商务是在网络间进行 的,电子商务交易可以看作是无纸贸易,是一个虚拟环境的交易,当前对这些虚 拟交易的法律监管却并不完善,这些问题使得电子商务认证、交易会有不受法律 保护的风险。另外,电子商务贸易还存在知识产权的风险,网络是个开放的平台, 资源在网络中的传播是畅通的。在网络中资源的共享性使得有知识产权的资源受 保护的力度被降低,因此可能带来电子商务交易的知识产权纠纷等法律的风险问 题。
3.3电子商务风险管理 电子商务安全的风险管理(Risk Management)是对电子商务系统的 安全风险进行识别、衡量、分析,并在此基础上尽可能地以最低的成本和代价实 现尽可能大的安全保障的科学管理方法。其本质就是防患于未然:事前加以消减 和控制,事后积极响应和处理,为响应和处理所做的准备就是制订应急计划。
4.风险管理步骤 了解了电子商务存在的风险之后,需要对这些风险进行管理和控制。
具体包括风险识别、风险分析、风险应对和风险监控4个过程。选择有效的手段, 以尽可能降低成本,有计划地处理风险,以获得企业安全运作的经济保障。这就 要求企业在日常经营过程中,应对可能发生的风险进行识别,预测各种风险发生 后对资源及日常经营造成的消极影响,使企业能够顺利经营。
4.1 风险识别 对电子商务系统的安全而言,风险识别的目标主要是对电子商务系统 的网络环境风险、数据存取风险和网上支付风险进行识别。识别风险的方法有很 多,主要有:试验数据和 4.2风险分析 风险分析的目的是确定每种风险对企业影响的大小,一般是对已经识 别出来的电子商务风险进行量化估计。这里量化的概念主要指风险影响指标,风 险概率以及风险值。技术安全是电子商务实现的基础,其重要性不言而喻,因此 在该项目规划、计划阶段就应充分考虑。4.3 风险应对(风险控制) 根据风险性质和企业对风险的承受能力制订相应的防范计划,即风险 应对。确定风险的应对策略后,就可编制风险应对计划。电子商务的技术风险控 制主要是针对网络环境风险、数据存取风险和网上支付风险制订风险应对策略, 从硬件、软件两方面加强IT基础设施建设。
4.4风险监控 制定规划,实施保护措施,在保护措施实施的每一个阶段都要进行监 控和跟踪。风险贯穿于电子商务项目的整个生命周期中,因而风险管理是个动态 的、连续的过程。因此制订了风险防范计划后,还需要时刻监督风险的发展与变 化情况。
5.风险管理规则的制定 5.1评估阶段 该阶段的主耍任务是对电子商务的安全现状、要保护的信息、各种资 产等进行充分的评估以及一些基本的安全风险识别和分析。
对电子商务安全现状的评估是制定风险管理规则的基础。
6.4滚动的战略计划 电子商务时代的不确定性和快速变化,使得详细的战略经营计划的作 用越来越小。我们现在经常看到的是,电子商务企业有一个明确的五年计划,其 中第一年计划较详细,而其他年份则是较粗略的,因为在这些计划实施的时间到 来之前,环境可能已经发生变化了。这说明了确保五年目标具有相关性的滚动计 划的十分必要的,应当定期修改计划来适应变化了的环境。当然,这种方法的实 施也应具体问题具体分析,应当考虑各个企业所面临的具体环境而有所不同。
6.5降低成本与实现可持续发展 电子商务的发展是大势所趋,但电子商务在给企业带来机遇的同时也 产生了新的风险。正如在所有的风险管理当中一样,我们考虑的是未来事件出现 的不确定性和可能性;
在电子商务中,这种不确定性甚至更大,这使得电子商务 风险管理成为一项相当繁重的工作。因此要解决好电子商务的安全风险问题,应该针对问题的根源,采用一种综合防范的思路,从多方面去认识,寻找解决方法, 这对加快我国电子商务的发展有着重要的意义。
6.6加强技术保证,确保电子商务信息的安全 针对电子商务依靠互联网络平台来开展的网络开放性的特点,特别是 要针对互联网体系使用的是开放式的TCP/IP协议,给企业信息和数据安全带来 的极大威胁的安全隐患。对如何保障企业的信息数据和重大商业机密,是确保开 展电子商务的企业的重要技术保障和前提条件,只有高度重视电子商务的信息安 全,才能保证其运行安全,这就需要有强大的技术安全保障措施,不但要制定完 善的技术保障措施,更要严格执行制度,才能确保电子商务信息的安全。例如:
我们在企业内部网和互联网之间要加一道防火墙,防止黑客或计算机病毒的袭击。
保护企业内部网中的机密商业信息数据。另外,利用现有的信息新技术将数字签 名技术应用于电子商务的身份认证,可以防止非法用户假冒身份,从而保证电子 支付的安全,增强电子商务信息的安全保障措施是电子商务顺利开展的重要技术 保障。
6.6.1加强电子商务网络安全的开发及运用 目前电子商务的运作涉及信息、资金、商业秘密等安全问题,由于其 电子数据具有无形化的特征,而有关认证机制或者网上安全技术均不够完善,因 此有必要对互联网进行本质上的重新设计,使其保证电子商务活动的正常进行, 这涉及到多方面的技术应用,如防木马、防火墙、加密、认证等。面对电子商务 网络安全威胁,必须采取各种各样的管理措施,满足商务交易运行的安全性。
6.6.2建立电子商务的信用保障体系 电子商务交易模式与其他交易模式相比具有更多的风险,然而引起这 些风险的原因还在于带来这些风险的人的失信行为。消除这些风险的,需要一个 第三方信用服务认证机构通过技术手段来帮助参与电子商务交易的各方提出解 决方案,使风险降至最低。
6.6.3完善电子商务税收征管机制 结论 电子商务的开展以信息技术为基础,如何解决电子商务中存在的安全问题已成为一个迫在眉睫的课题。电子商务风险是不可能完全消除的,因为它是 与电子商务共生的,是电子商务的必然产物,但是,可以将风险限制在影响最小 的范围之内。只有了解风险,才能规避风险。本文从安全风险管理的角度出发, 分析了电子商务中可能存在的技术风险,论述了这些风险的控制策略,希望对企 业开展电子商务活动起到一定的积极作用电子商务作为一种新的交易方式,已成 为我国经贸发展领域的主流力量,并将成为国际经贸合作的主要平台。然而电子 商务所存在的或将出现的风险问题是不可能完全消除的,它是伴随电子商务的产 生而出现的必然产物。由于电子商务风险在不同的应用领域所产生的危害程度各 不相同,所以电子商务风险管理的目标是将其存在的风险所造成的影响尽可能控 制最小的范围之内。此外,无论是再好的安全措施也要有应对突发的安全问题的 应急方案。最重要的是政府必须尽快制定并完善相关政策,适应高速发展的电子 商务进程,确保电子商务交易的安全、透明、高效。
