中国企业党建网WWW.QIYEDANGJIAN.COM电子商务安全风险管理的规则、步骤及对策随着开放的互联网络系统Internet的飞速发展,电子商务的应用和推广极大了改变了人们工作和生活方式,带来了无限的商机。然而,电子商务发展所依托的平台—互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展;此外,电子商务的发展还面临着严峻的内部风险,中国企业党建网WWW.QIYEDANGJIAN.COM电子商务企业内部对安全问题的盲目和安全意识的淡薄,高层领导对电子商务的运作和安全风险管理重视程度不足,使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此,在考察电子商务运行环境、提供电子商务安全解决方案的同时,有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。电子商务安全风险管理thldl是对电子商务系统的安全风险进行识别、衡量、分析,并在这基础上尽可能地中国企业党建网WWW.QIYEDANGJIAN.COM以最低的成本和代价实现尽可能大的安全保障的科学管理方法。一、电子商务面临的安全风险由于网络的复杂性和脆弱性,以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说,电子商务普遍存在着以下几个安全风险:1)信息的截获和窃取这是指电子商务相关用户或外来者未经授权通过中国企业党建网WWW.QIYEDANGJIAN.COM各种技术手段截获和窃取他人的文电内容以获取商业机密。2)信息的篡改网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或插入,并发往目的地,从而达到破坏信息完整性的目的。3)拒绝服务拒绝服务是指在一定时间内,网络系统或服务器服中国企业党建网WWW.QIYEDANGJIAN.COM务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的认为破坏。4)系统资源失窃问题在网络系统环境中,系统资源失窃是常见的安全威胁。5)信息的假冒信息的假冒是指当攻击者掌握了网络信息数据规律或解密了商务信息后,可以假冒合法用户或假冒信息来中国企业党建网WWW.QIYEDANGJIAN.COM欺骗其它用户。主要表现形式有假冒客户进行非法交易,伪造电子邮件等。6)交易的抵赖交易抵赖包括发信者事后否认曾经发送过某条信息;买家做了定单后不承认;卖家卖出的商品因价格差而不承认原先的交易等。二、安全风险管理规则针对电子商务面临的各种安全风险,电子商务企业中国企业党建网WWW.QIYEDANGJIAN.COM不能被动、消极地应付,而应该主动采取措施维护电子商务系统的安全,并监视新的威胁和漏洞。因此,这就需要制定完整高效的电子商务安全风险管理规则。一般来说,安全风险管理规则的制定过程有评估、开发和实施以及运行三个阶段。(1)评估阶段该阶段的主要任务是对电子商务的安全现状、要保护的信息、各种资产等进行充分的评估以及一些基本的安中国企业党建网WWW.QIYEDANGJIAN.COM全风险识别和分析。对电子商务安全现状的评估是制定安全风险管理规则的基础。对信息和资产的评估是指对可能遭受损失的相关信息和资产进行价值的评估,以便确定相适应的安全风险管理规则,从而避免投入成本和要保护的信息和资产的严重不匹配。安全风险识别要求尽可能地发现潜在的安全风险,中国企业党建网WWW.QIYEDANGJIAN.COM应收集有关各种威胁、漏洞、开发和对策的信息。安全风险分析是确定风险,收集信息,对可能造成的损失进行评价以估计风险的级别,以便做出明智的决策,从而采取措施来规避安全风险。(2)开发和实施阶段该阶段的任务包括风险补救措施开发、风险补救措施测试和风险知识学习。风险补救措施开发利用评估阶段的成果来建立一中国企业党建网WWW.QIYEDANGJIAN.COM个新的安全管理策略,其中涉及配置管理、修补程序管理、系统监视与审核等等。在完成对风险补救措施的开发后,即进行安全风险补救措施的测试,在测试过程中,将按照安全风险的控制效果来评估对策的有效性。(3)运行阶段运行阶段的主要任务包括在新的安全风险管理规则下评估新的安全风险。这个过程实际上是变更管理的过中国企业党建网WWW.QIYEDANGJIAN.COM程,也是执行安全配置管理的过程。运行阶段的第二个任务是对新的或已更改的对策进行稳定性测试和部署。这个过程由系统管理、安全管理和网络管理小组来共同实施。以上风险管理规则的三个阶段可以用下图来表示:图1风险管理规则的三个阶段三、安全风险管理步骤安全风险管理是识别风险、分析风险并制定风险管中国企业党建网WWW.QIYEDANGJIAN.COM理计划的过程。电子商务安全风险的管理和控制方法,它包括风险识别、风险分析、风险控制以及风险监控等四个方面。(1)风险识别电子商务系统的安全要求是通过对风险的系统评估而确认的。为了有效管理电子商务安全风险,识别安全风险是风险管理的第一步。风险识别是在收集有关各种威胁、漏洞和相关对策中国企业党建网WWW.QIYEDANGJIAN.COM等信息的基础上,识别各种可能对电子商务系统造成潜在威胁的安全风险。风险识别的手段五花八门,对于电子商务系统的安全来说,风险识别的目标是主要是对电子商务系统的网络环境风险、数据存在风险和网上支付风险进行识别。需要注意的是,并非所有的电子商务安全风险都可以通过风险识别来进行管理,风险识别只能发现已知的风险或根据已知风险较容易获知的潜在风险。而对于大部分中国企业党建网WWW.QIYEDANGJIAN.COM的未知风险,则依赖于风险分析和控制来加以解决或降低。隨著開放的互聯網絡系統Internet的飛速發展,電子商務的應用和推廣極大瞭改變瞭人們工作和生活方式,帶來瞭無限的商機。然而,電子商務發展所依托的平臺—互聯網絡卻充滿瞭巨大、復雜的安全風險。黑客的攻擊、病毒的肆虐等等都使得電子商務業務很難安全順利地開展;此外,電子商務的發展還面臨著嚴峻的內部風險,電子商務企業內部對安全問題的盲目和安全意識的淡薄,中国企业党建网WWW.QIYEDANGJIAN.COM高層領導對電子商務的運作和安全風險管理重視程度不足,使得企業實施電子商務不可避免地會遇到這樣或那樣的風險。因此,在考察電子商務運行環境、提供電子商務安全解決方案的同時,有必要重點評估電子商務系統面臨的風險問題以及對風險有效管理和控制方法。電子商務安全風險管理thldl是對電子商務系統的安全風險進行識別、衡量、分析,並在這基礎上盡可能地以最低的成本和代價實現盡可能大的安全保障的科學管理中国企业党建网WWW.QIYEDANGJIAN.COM方法。一、電子商務面臨的安全風險由於網絡的復雜性和脆弱性,以因特網為主要平臺的電子商務的發展面臨著嚴峻的安全問題。一般來說,電子商務普遍存在著以下幾個安全風險:1)信息的截獲和竊取這是指電子商務相關用戶或外來者未經授權通過各種技術手段截獲和竊取他人的文電內容以獲取商業機中国企业党建网WWW.QIYEDANGJIAN.COM密。2)信息的篡改網絡攻擊者依靠各種技術方法和手段對傳輸的信息進行中途的篡改、刪除或插入,並發往目的地,從而達到破壞信息完整性的目的。3)拒絕服務拒絕服務是指在一定時間內,網絡系統或服務器服務系統的作用完全失效。其主要原因來自黑客和病毒的攻中国企业党建网WWW.QIYEDANGJIAN.COM擊以及計算機硬件的認為破壞。4)系統資源失竊問題在網絡系統環境中,系統資源失竊是常見的安全威脅。5)信息的假冒信息的假冒是指當攻擊者掌握瞭網絡信息數據規律或解密瞭商務信息後,可以假冒合法用戶或假冒信息來欺騙其它用戶。主要表現形式有假冒客戶進行非法交易,中国企业党建网WWW.QIYEDANGJIAN.COM偽造電子郵件等。6)交易的抵賴交易抵賴包括發信者事後否認曾經發送過某條信息;買傢做瞭定單後不承認;賣傢賣出的商品因價格差而不承認原先的交易等。二、安全風險管理規則針對電子商務面臨的各種安全風險,電子商務企業不能被動、消極地應付,而應該主動采取措施維護電子商中国企业党建网WWW.QIYEDANGJIAN.COM務系統的安全,並監視新的威脅和漏洞。因此,這就需要制定完整高效的電子商務安全風險管理規則。一般來說,安全風險管理規則的制定過程有評估、開發和實施以及運行三個階段。(1)評估階段該階段的主要任務是對電子商務的安全現狀、要保護的信息、各種資產等進行充分的評估以及一些基本的安全風險識別和分析。中国企业党建网WWW.QIYEDANGJIAN.COM對電子商務安全現狀的評估是制定安全風險管理規則的基礎。對信息和資產的評估是指對可能遭受損失的相關信息和資產進行價值的評估,以便確定相適應的安全風險管理規則,從而避免投入成本和要保護的信息和資產的嚴重不匹配。安全風險識別要求盡可能地發現潛在的安全風險,應收集有關各種威脅、漏洞、開發和對策的信息。中国企业党建网WWW.QIYEDANGJIAN.COM安全風險分析是確定風險,收集信息,對可能造成的損失進行評價以估計風險的級別,以便做出明智的決策,從而采取措施來規避安全風險。(2)開發和實施階段該階段的任務包括風險補救措施開發、風險補救措施測試和風險知識學習。風險補救措施開發利用評估階段的成果來建立一個新的安全管理策略,其中涉及配置管理、修補程序管理、中国企业党建网WWW.QIYEDANGJIAN.COM系統監視與審核等等。在完成對風險補救措施的開發後,即進行安全風險補救措施的測試,在測試過程中,將按照安全風險的控制效果來評估對策的有效性。(3)運行階段運行階段的主要任務包括在新的安全風險管理規則下評估新的安全風險。這個過程實際上是變更管理的過程,也是執行安全配置管理的過程。中国企业党建网WWW.QIYEDANGJIAN.COM運行階段的第二個任務是對新的或已更改的對策進行穩定性測試和部署。這個過程由系統管理、安全管理和網絡管理小組來共同實施。以上風險管理規則的三個階段可以用下圖來表示:圖1風險管理規則的三個階段三、安全風險管理步驟安全風險管理是識別風險、分析風險並制定風險管理計劃的過程。電子商務安全風險的管理和控制方法,它中国企业党建网WWW.QIYEDANGJIAN.COM包括風險識別、風險分析、風險控制以及風險監控等四個方面。(1)風險識別電子商務系統的安全要求是通過對風險的系統評估而確認的。為瞭有效管理電子商務安全風險,識別安全風險是風險管理的第一步。風險識別是在收集有關各種威脅、漏洞和相關對策等信息的基礎上,識別各種可能對電子商務系統造成潛在中国企业党建网WWW.QIYEDANGJIAN.COM威脅的安全風險。風險識別的手段五花八門,對於電子商務系統的安全來說,風險識別的目標是主要是對電子商務系統的網絡環境風險、數據存在風險和網上支付風險進行識別。需要註意的是,並非所有的電子商務安全風險都可以通過風險識別來進行管理,風險識別隻能發現已知的風險或根據已知風險較容易獲知的潛在風險。而對於大部分的未知風險,則依賴於風險分析和控制來加以解決或降低。