电子商务交易风险及对策天蝎工科男商务安全风险管理研究林拂晓1李新春2中国矿业管理学院,江苏徐州221008摘要该文基于目前商务安全所面临的各种风险问题,结合当前的一些风险管理方法,对商务系统安全风险管理进行一些基本的分析和研究,以期对企业商务安全风险管理一些有价值的借鉴和参考。关键词商务安全,风险管理,风险辨别,风险控引言随着开放的互联网络系统Internet的飞速发展,商务的应用和推广极大了改变了人们工作和生活方式,带来了无限的商机。然而,商务发展所依托的平台—互联网络却充斥了宏大、复杂的安全风险。黑客的攻击、病毒的肆等等都使得商务业务很难安全顺利地开展;此外,商务的发展还面临着严峻的内部风险,商务企业内部对安全问题的盲目和安全意识的淡薄,高层对商务的运作和安全管理看重水平不足,使得企业施行商务不可避免地会碰到这样或那样的风险。因而,在考察商务运行环境、商务安全解决方案的同时,有需要重点评估商务系统面临的风险问题以及对风险有效管理和控制方法。商务安全的风险管理是对商务系统的安全风险进行辨别、衡量、分析,并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。商务面临的安全风险由于网络的复杂性和软弱性,以因特网为重要平台的商务的发展面临着严峻的安全问题。一般来说,商务普遍存在着下面几个安全风险:1〕信息的截获和窃取这是指商务相关用户或外来者未经受权通过各种技术手段截获和窃取别人的文电内容以获取商业机密。2〕信息的改动网络攻击者依靠各种技术方法和手段对传输的信息进行半途的改动、删除或插入,并发往目的地,进而到达毁坏信息完好性的目的。3〕回绝效劳回绝效劳是指在一间内,网络系统或效劳器效劳系统的作用完全失效。其重要原因来自黑客和病毒的攻击以及计算机硬件的以为毁坏。系统失窃问题在网络系统环境中,系统失窃是常见的安全威胁。5〕信息的假冒信息的假冒是指当攻击者把握了网络信息规律或解密了商务信息后,能够假冒合法用户或假冒信息来欺骗其它用户。重要表现形式有假冒客户进行非法交易,伪造邮件等。6〕交易的抵赖交易抵赖包含发信者事后否认曾经发送过某条信息;买家做了定单后不成认;卖家卖出的商品因价格差而不成认原先的交易等。风险管理规则针对商务面临的各种安全风险,商务企业不能被动、消极地应付,而应该自动采用办法维护商务系统的安全,并监视新的威胁和漏洞。因而,这就需要制订完好高效的商务安全风险管理规则。一般来说,风险管理规则的制订经过有评估、开发和施行以及运行三个阶段。〔1〕评估阶段阶段的重要任务是对商务的安全现状、要保卫的信息、各种资产等进行充足的评估以及一些基本的安全风险辨别和分对商务安全现状的评估是制订风险管理规则的基础。对信息和资产的评估是指对可能遭遇损失的相关信息和资产进行价值的评估,以便确定相适应的风险管理规则,进而避免投入成本和要保卫的信息和资产的严重不匹配。安全风险辨别要求尽可能地发现潜在的安全风险,应采集有关各种威胁、漏洞、开发和对策的信息。安全风险分析是确定风险,采集信息,对可能造成的损失进行评价以估计风险的级别,以便做出明智的决策,进而采用办法来躲避安全风险。〔2〕开发和施行阶段该阶段的任务包含风险弥补办法开发、风险弥补办法测试和风险知识学习。风险弥补办法开发利用评估阶段的结果来建立一个新的安全管理策略,其中牵涉配置管理、修补程序管理、系统监视与审核等等。在完成对风险弥补办法的开发后,即进行安全风险弥补办法的测试,在测试经过中,将根据安全风险的控制效果来评估对策的有〔3〕运行阶段运行阶段的重要任务包含在新的安全风险管理规则下评估新的安全风险。这个经过实际上是变化管理的经过,也是履行安全配置管理的经过。运行阶段的第二个任务是对新的或已更改的对策进行稳定性测试和部署。这个经过由系pg电子网站统管理、安全管理和网络管理小组来共同施行。以上风险管理规则的三个阶段能够用下列图来表风险管理步骤风险管理是辨别风险、分析风险并制订风险管理计划的经过。商务安全风险的管理和控制方法,它包含风险辨别、风险分析、风险控制以及风险监控等四个方面。〔1〕风险辨别商务系统的安全要求是通过对风险的系统评估而确认的。为了有效管理商务安全风险,辨别安全风险是风险管理的第一步。风险辨别是在采集有关各种威胁、漏洞和相关对策等信息的基础上,辨别各种可能对商务系统造成潜在威胁的安全风险。风险辨别的手段五花八门,对于商务系统的安全来说,风险辨别的目的是重要是对商务系统的网络环境风险、存在风险和网上支付风险进行辨别。需要留意的是,并非所有的商务安全风险都能够通过风险辨别来进行管理,风险辨别只能发现已知的风险或根据已知风险较容易获知的潜在风险。而对于大部分的未知风险,则依靠于风险分析和控制来加以解决或降低。〔2〕风险分析风险分析是运用分析、比较、评估等各种定性、定量的方法,确定商务安全各风险要素的主要性,对风险排序并评估其对商务系统各方面的可能后果,进而使商务系统项目施行人员能够将重要精神放在对付为数不多的主要安全风险上,使商务系统的整体风险得到有效的控制。风险分析是一种确定风险以及对可能造成的损失进行评估的方法,它是制订安全办法的根据。风险分析的目的是:确定风险,对可能造成损坏的潜在风险进行定性化和定量化,以及最后在经济上寻求风险损失和对风险投入成本的平衡。目前,风险分析重要采取的方法有:风险概率/影响评估矩阵,敏感性分析,模仿等。在进行商务安全风险分析时,由于各影响因素量化在现实上的困难,可根据实际需要,重要采取定性方法为主辅以少量定量方法相结合来进行风险分析,为制订风险管理制度和风险的控制理论上的根据。〔3〕风险控制风险控制就是选择和运用一定的风险控制手段,以保障风险降到一个能够承受的水平。风险控制是风险管理中最主要的一个环节,是决定风险管理成败的关键因素。商务安全风险控制的目的在于改变企业商务项目所蒙受的风险水平。一般来说,风险控制方法有两类:第一类是风险控制办法,比方降低、避免、转移风险和损失管理等。在商务安全风险管理中,比较常用的是转移风险和损失管理。第二类为风险补偿的筹资办法,包含保险与自担风险。在商务安全风险管理中,管理人员需要对风险补偿的筹资办法进行决策,即选择保险还是自担风险。此外,风险控制方法的选择应当充足考虑相对风险造成损失的成本,当然其它方面的影响也是不容忽视的,如企业商誉等。对商务安全来说,其有效可行的风险控制方法是:建立完好高效的降低风险的安全性解决方案,把握保障安全性所需的一些基础技术,并规划好发生特定安全事故时企业应该采用的解决方案。风险管理对策由于商务安全的主要性,所以部署一个完好有效的商务安全风险管理对策显得特别迫切。制订商务安全风险管理对策目的在于消除潜在的威胁和安全漏洞,进而降低商务系统环境所面临的风险。目前的商务安全风险管理对策中,较为常用的是纵深防御战略,所谓纵深防御战略,就是深层安全和多层安全。通过部署多层安全保卫,能够确 保当其中一层遭到毁坏时,其它层仍能保卫商务系统所需的 安全。比方,一个单位外部的防火墙遭到毁坏,由于内部防 pg电子网站火墙的作用,入侵者也无法获取单位的敏感或进行毁坏。在 较为理想的情况下,每一层均不同的对策以免在不同的层中 使用一样的攻击方法。 下列图为一个有效的纵深防御策略: 有效的纵深防御策略下面就各层的重要防御内容从外 层到里层进行扼要的说明: 1〕物理安全 物理安全是整个 商务系统安全的前提。制订商务物理安全策略的目的在于保 卫计算机系统、商务效劳器等各商务系统硬件实体和通信链 路免受天然灾祸和人为毁坏造成的安全风险。 2〕周边防御 对网络周边的保卫能够起到抵御外界攻击的作用。商务系统 应尽可能安装某种类型的安全设备来保卫网络的每个访问 节点。在技术上来说,防火墙是网络周边防御的最重要的手 段,商务系统应当安装一道或多道防火墙,以确保最大限度 地降低外界攻击的风险,并利用入侵检测功能来及时发现外 界的非法访问和攻击。 3〕网络防御 网络防御是对网络系 统环境进行评估,采用一定办法来抵御黑客的攻击,以确保 它们得到适当的保卫。就目前来说,网络安全防御行为是一 种被动式的反应行为,而且,防御技术的发展速度也没有攻 击技术发展得那么快。为了提升网络安全防御能力,使网络 安全防护系统在攻击与防护的对抗中占领自动地位,在网络 安全防护系统中,除了使用被动型安全工具〔防火墙、漏洞 扫描等〕外,也需要采取自动型安全防护办法〔如:网络陷 阱、入侵取证、入侵检测、自动恢复等〕。 4〕主机防御 机防御是对系统中的每一台主机进行安全评估,然后根据评估结果制订相应的对策以限务器履行的任务。在主机及其环 境中,安全保卫对象包含用户应用环境中的效劳器、客户机 以及其上安装的作系统和应用系统。这些应用能够包含信息 访问、存储、传输、录入等在内的效劳。根据信息保障技术 框架,对主机及其环境的安全保卫首先是为了建立防止有恶 意的内部人员攻击的首道防线,其次是为了防止外部人员穿 越系统保卫界限并进行攻击的最后防线〕应用程序防御 作为一个防御层,应用程序的加固是任何一种安全模型中都 不可缺少的一部分。加强保卫作系统安全只能一定水平的保 卫。因而,商务系统的开发人员有责任将安全保卫融入到应 用程序中,以便对体系构造中应用程序可访问到的区域专门 的保卫。应用程序存在于系统的环境中。 6〕防御 对很多 商务企业来说,就是企业的资产,一旦落入竞争者手中或损 坏将造成不可挽回的损失。因而,加强对商务交易及相关的 防护,对商务系统的安全和商务项目的正常运行具有主要的 现实意义 结论一般来说,风险管理有基本的三个对策, 包含管理者采用适当办法来降低风险事故发生的概率;管理 者预备并施行一个意外事故应急计划以备意外;还有就是管 理者什么都不做。对已选定的对策,应对其潜在的风险有充 足的估计,并制订相应的应变计划,以使可能的风险损失降 到最低。 风险管理没有铁定的规则,对于商务安全风险管 理来说,首先是扫描和检测商务系统的内外部环境,检查系 统的软弱性和软弱环节,及时打上补丁和追加设备,以便当 风险产生时尽可能地减少损失;其次是对商务安全风险进行 充足地分析,然后制订相应的规划和办法,并在其施行的每 个阶段进行监控和;最后是根据环境的变化随时调整风险管 理办法,制订完备的灾难恢复计划。 参考文献 务概论〔第二版〕.华中科技出版社.2003.9[2]钟诚.商务 安全.重庆出版社.2004.6 [3]才书训.商务安全风险管理与 控制.东北出版社.2004.6 [4]易珊,张学哲.商务安全策略 分析.科技情报开发与经济.2004.5 [5]高新亚,邹静.商务 安全的风险分析和风险管理.武汉理工学报.信息与管理工程 版.2005.8 [6]郭学勤,陈怡.商务安全对策.计算机与数字 工程.2001.7 [7]李晶.商务安全防备办法.安徽科技.ork Security,1998 浏览 469 110时间 2021-12-14
2023年安徽泉州安溪县行政服务中心管理委员会等部门招聘52人笔试《公共基础知识》参考题库(共500题)答案详解版
2023年安徽马鞍山市自然资源和规划局招聘编外聘用人员13人笔试《公共基础知识》参考题库(共500题)答案详解版
2023年安徽省滁州南谯区电子商务公共服务中心招聘16人笔试《公共基础知识》参考题库(共500题)答案详解版
2023年安徽省阜阳市颍东区村级扶贫专干招聘38人笔试《公共基础知识》参考题库(共500题)答案详解版
2023年安徽省安庆市迎江区招聘20人笔试《公共基础知识》参考题库(共500题)答案详解版
2023年安徽省安庆市桐城招聘36人笔试《公共基础知识》参考题库(共500题)答案详解版
2023年安徽省安庆市烈士陵园招聘1人笔试《公共基础知识》参考题库(共500题)答案详解版
2023年安徽马鞍山市疾病预制中心紧急招聘专业技术人员5人笔试《公共基础知识》参考题库(共500题)答案详解版
2023年安徽省亳州市直事业单位招聘48人笔试《公共基础知识》参考题库(共500题)答案详解版