電子商務安全風險管理研究林立明1李心春2(中國礦業大學管理學院,江蘇徐州221008)基於目前電子商務安全面臨的各種風險問題,結合當前壹些風險管理方法,對電子商務系統安全風險管理進行壹些基本的分析和研究,以期為企業電子商務安全風險管理提供壹些有價值的參考。關鍵詞電子商務安全,風險管理,風險識別,風險控制1引言隨著開放的互聯網體系的快速發展,電子商務的應用和推廣極大地改變了人們的工作和生活方式,帶來了無限的商機。然而,互聯網作為電子商務發展的平臺,充滿了巨大而復雜的安全風險。黑客的攻擊、病毒的肆虐等都使得電子商務業務難以安全順利地開展;此外,電子商務的發展還面臨著嚴峻的內部風險,如電子商務企業內部對安全問題的盲目和安全意識的薄弱,高層領導對電子商務的運營和安全管理不夠重視,使得企業在實施電子商務時不可避免地會遇到這樣或那樣的風險。因此,在調查電子商務的運行環境,為電子商務提供安全解決方案的同時,需要重點關註電子商務系統面臨的風險問題以及針對風險的有效管控方法。電子商務安全風險管理是對電子商務系統的安全風險進行識別、度量和分析,並在此基礎上以最低的成本和費用實現盡可能多的安全的科學管理方法。2電子商務面臨的安全風險由於網絡的復雜性和脆弱性,基於互聯網的電子商務發展面臨著嚴峻的安全問題。壹般來說,電子商務存在以下安全隱患:1)信息的攔截和竊取。這意味著與電子商務相關的用戶或外人,在未經授權的情況下,通過各種技術手段攔截、竊取他人的消息和訊息,獲取商業秘密。2)篡改信息網絡攻擊者依靠各種技術方法和手段,對傳輸的信息進行中途篡改、刪除或插入,發送到目的地,從而達到破壞信息完整性的目的。3)拒絕服務拒絕服務是指網絡系統或服務器服務系統在壹定時間內完全失效。主要原因來自於黑客和病毒的攻擊以及電腦硬件的思想破壞。4)系統資源竊取在網絡系統環境中,系統資源竊取是壹種常見的安全威脅。5)信息的冒充是指當攻擊者掌握了網絡信息數據的規律或解密的商業信息後,可以冒充合法用戶或冒充信息欺騙其他用戶。主要表現為冒充客戶、偽造電子郵件等非法交易。6)交易否認交易否認包括發送者事後否認曾發送過某壹消息;買家下單後不認可;賣家以差價為由拒絕承認原交易。3風險管理規則針對電子商務面臨的各類安全風險,電子商務企業應采取積極措施維護電子商務系統的安全,監控新的威脅和漏洞。因此,有必要制定完整高效的電子商務安全風險管理規則。壹般來說,風險管理規則的制定過程有三個階段:評估、制定、實施和運行。(1)評估階段該階段的主要任務是對電子商務的安全狀況、需要保護的信息、各種資產進行全面評估,識別和分析壹些基本的安全風險。電子商務安全狀況評估是制定風險管理規則的基礎。信息和資產評估是指對可能遭受損失的相關信息和資產的價值進行評估,以確定適當的風險管理規則,避免投入成本與所要保護的信息和資產嚴重不匹配。安全風險識別要求盡可能發現潛在的安全風險,收集各種威脅、漏洞、發展和對策的信息。安全風險分析是確定風險、收集信息、評估可能的損失以估計風險的水平,從而做出明智的決策並采取措施來避免安全風險。(2)開發實施階段。該階段的任務包括風險補救措施制定、風險補救措施測試和風險知識學習。風險補救措施的開發利用評估階段的結果建立新的安全管理策略,涉及配置管理、補丁管理、系統監控和審計等。風險補救措施制定完成後,將對安全風險補救措施進行測試。在測試過程中,將根據安全風險的控制效果來評估對策的有效性。(3)運行階段的主要任務包括根據新的安全風險管理規則評估新的安全風險。這個過程實際上是變更管理的過程,也是實施安全配置管理的過程。操作階段的第二個任務是測試和部署新的或更改的對策的穩定性。該流程由系統管理、安全管理和網絡管理團隊實施。以上三個階段的風險管理規則可以用下圖來表示:圖1三個階段的風險管理規則4風險管理步驟風險管理是壹個識別風險、分析風險、制定風險管理計劃的過程。電子商務安全風險的管控方法包括風險識別、風險分析、風險控制和風險監控。(1)通過系統的風險評估,確定風險識別電子商務系統的安全需求。為了有效地管理電子商務安全風險,識別安全風險是風險管理的第壹步。風險識別是在收集各種威脅、漏洞和相關對策信息的基礎上,識別可能對電子商務系統構成潛在威脅的各種安全風險。風險識別有多種方式。對於電子商務系統的安全性,風險識別的目標主要是識別電子商務系統的網絡環境風險、數據存在風險和在線支付風險。需要註意的是,並不是所有的電子商務安全風險都可以通過風險識別來管理,風險識別只能根據已知風險發現已知風險或者容易知道的潛在風險。對於大多數未知的風險,要靠風險分析和控制來解決或降低。(2)風險分析風險分析是運用分析、比較、評估等各種定性和定量的方法,確定電子商務安全各種風險要素的重要性,對風險進行排序,評估其對電子商務系統各方面可能產生的後果,使電子商務系統的項目實施者能夠集中精力應對少數重要的安全風險,有效控制電子商務系統的整體風險。風險分析是確定風險和評估可能損失的方法,是制定安全措施的基礎。風險分析的目標是確定風險,對可能造成損害的潛在風險進行定性和定量分析,最終經濟地尋求風險損失和風險投入成本的平衡。目前用於風險分析的主要方法有:風險概率/影響評估矩陣、敏感性分析、模擬等。在分析電子商務安全風險時,由於影響因素量化的實際困難,可以根據實際需要,主要采用定性方法結合少量定量方法進行風險分析,為制定風險管理制度和風險控制提供理論依據。(3)風險控制風險控制是選擇和運用壹定的風險控制手段,確保風險降低到可接受的水平。風險控制是風險管理中最重要的環節,是決定風險管理成敗的關鍵因素。電子商務安全風險控制的目標是改變企業電子商務項目的風險水平。壹般來說,風險控制方法有兩種:第壹種是風險控制措施,如降低、避免、轉移風險和損失管理。在電子商務的安全風險管理中,轉移風險和損失管理是常用的方法。第二類是風險補償的融資措施,包括保險和自擔風險。在電子商務安全風險管理中,管理者需要對風險補償的融資措施進行決策,即選擇保險或自擔風險。此外,風險控制方法的選擇要充分考慮相對風險造成損失的成本。當然,其他影響也不容忽視,比如企業商譽。對於電子商務的安全,有效可行的風險控制方法是建立壹套完整高效的安全解決方案來降低風險,掌握壹些保障安全所需的基礎技術,規劃具體安全事故發生時企業應采取的解決方案。5風險管理對策由於電子商務安全的重要性,為電子商務安全部署壹套完整有效的風險管理對策是非常迫切的。制定電子商務安全風險管理對策的目的是消除潛在威脅和安全漏洞,從而降低電子商務系統環境面臨的風險。目前,深度防禦策略是電子商務安全風險管理對策中常用的策略。所謂縱深防禦策略,就是深度安全和多層安全。通過部署多層安全保護,可以確保當壹層被破壞時,其他層仍能提供保護電子商務系統資源所需的安全性。比如壹個單位的外部防火墻被破壞,由於內部防火墻的作用,入侵者無法獲取該單位的敏感數據或破壞該數據。在理想情況下,每壹層都提供不同的對策,以避免在不同層使用相同的攻擊方法。下圖是壹個有效的縱深防禦策略:圖2有效的縱深防禦策略以下是從外層到內層各層主要防禦內容的簡要描述:1)物理安全物理安全是整個電子商務系統安全的前提。制定電子商務物理安全策略的目的是保護計算機系統、電子商務服務器等電子商務系統的硬件實體和通信鏈路免受自然災害和人為破壞帶來的安全風險。2)邊界防禦可以保護網絡邊界免受外部攻擊。電子商務系統應盡可能安裝某種安全設備來保護網絡的每個接入節點。從技術上講,防火墻是網絡周界防禦最重要的手段。電子商務系統應安裝壹個或多個防火墻,以確保外部攻擊的風險最小化,並利用入侵檢測功能及時檢測來自外部的非法訪問和攻擊。3)網絡防禦網絡防禦是對網絡系統環境進行評估,采取壹定的措施抵禦黑客的攻擊,以確保其得到適當的保護。目前網絡安全防禦行為是壹種被動反應行為,防禦技術的發展速度沒有攻擊技術快。為了提高網絡安全防禦能力,使網絡安全防護體系在攻防對抗中占據主動地位,除了被動的安全工具(防火墻、漏洞掃描等。)、主動安全防護措施(如網絡陷阱、入侵取證、入侵檢測、自動恢復等。)需要在網絡安全防護體系中采用。4)主機防禦主機防禦是對系統中每臺主機的安全性進行評估,然後根據評估結果制定相應的對策來限制服務器執行的任務。在主機及其環境中,安全保護對象包括用戶應用環境中的服務器、客戶端、操作系統和安裝在其上的應用系統。這些應用程序可以提供包括信息訪問、存儲、傳輸和輸入在內的服務。根據信息保障的技術框架,主機及其環境的安全保護首先是建立防禦內部人員惡意攻擊的第壹道防線,其次是防止外部人員跨越系統保護邊界進行攻擊。5)應用防禦作為防禦層,應用加固是任何安全模型不可或缺的壹部分。加強對操作系統安全的保護,只能提供壹定程度的保護。因此,電子商務系統的開發人員有責任將安全保護集成到應用程序中,以便為體系結構中應用程序可訪問的區域提供特殊保護。應用程序存在於系統環境中。6)數據防禦對於很多電商企業來說,數據是企業的資產,壹旦落入競爭對手手中或者遭到破壞,將會造成不可挽回的損失。因此,加強對電子商務交易及相關數據的保護,對電子商務系統的安全和電子商務項目的正常運行具有重要的現實意義。結論壹般來說,風險管理的基本對策有三種,包括管理者采取適當措施降低風險事故發生的概率;經理制定並實施緊急情況下的應急計劃;還有壹種情況是經理們無所作為。對於選定的對策,應充分估計潛在的風險,並制定相應的應急預案,將可能的風險損失降到最低。風險管理沒有固定的規則。對於電子商務安全風險管理,首先是掃描檢測電子商務系統的內外部環境,檢查系統的漏洞和薄弱環節,及時修補和添加設備,以便在風險出現時盡可能減少損失;其次,充分分析電子商務的安全風險,進而制定相應的預案和措施,並在實施的各個階段進行監控和跟蹤;最後,根據環境的變化隨時調整風險管理措施,制定完整的災難恢復計劃。參考【1】幹早斌。電子商務導論(第二版)。華中科技大學出版社。2003.9 [2]鐘誠。電子商務安全。重慶大學出版社。2004.6 [3]只有壹本說明書。電子商務安全風險管理與控制。東北大學出版社。2004.6 [4]易山,張學哲。電子商務安全策略分析。科技信息發展與經濟。2004.5 [5]高新亞,鄒靜。電子商務安全的風險分析和風險管理。武漢理工大學學報。信息與管理工程版。陳怡郭雪勤。電子商務安全對策。計算機和數字工程。2001.7 [7]李菁。電子商務安全防範措施。安徽科技。2003.4 [8]格林斯坦M,範曼特M .電子商務:安全、風險管理與控制[M].紐約:麥格勞-希爾公司,2000[9]查爾斯·克雷森·伍德,因特網電子商務的基本控制[M].網絡安全,1998
上一篇:哪年的稅務稽查力度最大下一篇:待遇好又穩定,大學生不努力很難上岸?