《第8章开放系统中的商务风险.ppt》由会员分享,可在线阅读,更多相关《第8章开放系统中的商务风险.ppt(32页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第第8章章 开放系统中的商务风险与管理开放系统中的商务风险与管理第第8章章 开放系统中的商务风险与管理开放系统中的商务风险与管理任务驱动任务驱动互联网与电子商务不仅为各种规模的公司提供无尽的前景与商机,也为消费者提供便利。而这些好处的获得,无论对商家还是消费者,都伴随着一定的风险。通过本章学习,学生应该能够了解与开放通信网络相关的风险,熟悉与企业内部网相关以及贸易伙伴间交易数据传输中的风险,掌握风险管理与风险控制的基本内容,了解电子商务第三方保证的标准制定及影响机制,熟悉企业信息化安全的基本策略。第第8章章 开放系统中的商务风险与管理开放系统中的商务风险与管理本章内容8.1与开放通信网络相关的
2、风险8.2与企业内部网相关的风险8.3贸易伙伴间商业交易数据传输中的风险8.4风险管理8.5控制风险与实施计划8.6电子商务的第三方保证8.7企业信息化安全8.1 与开放通信网络相关的风险与开放通信网络相关的风险8.1.1 消费者所面临的风险消费者所面临的风险1虚假的或恶意的网站2从销售代理及Internet服务商(ISP)处窃取用户数据3隐私与Cookies的使用8.1.2 销售代理所面临的风险销售代理所面临的风险1客户假冒黑客从这种闹剧的成功中得到自我满足。打击那些社会政策与黑客个人观点不相符的公司。损害竞争对手或前雇主的公司利润及客户关系。2拒绝服务攻击3数据的失窃8.2 与企业内部网相
3、关的风险与企业内部网相关的风险针对企业内部网安全问题,人们普遍认为机构外部人员构成的威胁比内部的大;事实上,有关调查表明,在那些能够确定其侵入源的侵袭事件中,在数量上内部人所为的要多于外部人员。这种认为外部作恶者更为普遍的误解可能归结于媒体对外部黑客作恶的大量报道。许多内部作恶的事件都被掩盖起来,一些大型的、公开的、贸易的机构不愿起诉它们所抓获的、进行恶意的、破坏性的电脑活动的内部知情人,这些大公司害怕这样做会引起公众对其内部管理水平的负面反应。内部黑客非常麻烦,他们能够涉足的信息量可能非常巨大,这就为其在设计作恶计划时提供更多的选择。8.2 与企业内部网相关的风险与企业内部网相关的风险8.2
4、.1离职员工的破坏活动离职员工的破坏活动8.2.2在职员工的威胁在职员工的威胁1嗅探器嗅探器2数据下载数据下载3电子邮件假冒电子邮件假冒4社交伎俩社交伎俩8.3贸易伙伴间商业交易数据传输中的风险贸易伙伴间商业交易数据传输中的风险8.3.1企业内部网、企业外部网及互联网之间的关系企业内部网、企业外部网及互联网之间的关系企业外部网是从事合作业务的贸易伙伴之间,包括供应商、客户、流通服务商及任何其他商家,利用Internet技术连接在一起的集团网络。企业外部网可以使用互联网的路径与互联网服务供应商(ISP)传送数据。互联网服务供应商就是通过提供互联网接入服务而赢利的公司。8.3贸易伙伴间商业交易数据
5、传输中的风险贸易伙伴间商业交易数据传输中的风险8.3.2数据截取数据截取1信息来源验证2发送证明3信息的完整性与信息的非法浏览8.3.3受保密措施维护的档案文件、主文件与参考数受保密措施维护的档案文件、主文件与参考数据所面临的风险据所面临的风险毁坏数据 改动数据 未经授权使用数据 改动应用程序 8.4风险管理风险管理用来减少损失或伤害可能性的方法就是人们所称的风险管理。风险管理有一套方法,旨在:评估可能导致不良后果的将来事件发生的可能。实施能够应对这些风险的有成本效益的策略。这个定义包涵了几个关键因素。第一是将来事件的评估;第二是对于将来未知的、有时甚至根本就不可知的事件的预测;第三是一旦将来
6、可能发生的事件的总体架构得到明确,就可出台一套预防与监测措施。对于潜在风险的详尽分析,及其发生的可能性的大小,必须与要采取的相关预防与监测措施的成本结合起来。所以在风险降低上有个如何把握一个合适的度的问题。8.4风险管理风险管理8.4.1电子商务风险类型电子商务风险类型1完整性风险用户界面(user interface)必须给予正确的设定,有足够的限定,以确保只有有效的数据才能进入系统,并且这些数据是完整的。处理(processing)使系统有能力控制处理各种数据,以保证数据的处理完整性和及时性。错误处理(error proccssing)。界面(interface)应有系统预警显示,以确保各
7、种数据准确完整地传输。变化处理(change management)。数据(data)。接入风险(access risk)。8.4风险管理风险管理2基础设施风险基础设施风险组织计划应用系统的定义和开发 逻辑安全和安全管理 计算机和网络操作 数据和数据库管理 核心业务数据恢复 8.4风险管理风险管理3获得性风险通过事先对行为的监督和对系统问题的解决,能够避免此类的风险。如硬盘的存储能力对信息系统来说是很重要的,可以不断地予以监督,确保它足以支持企业商务流程的运作。获得性风险与系统的短期中断相关联。对此,可运用备份和恢复技术使中断影响的范围最小化。例如,大多数企业已经认识到每天至少一次对关键数据进
8、行备份的重要性,这样在处理过程中丢失数据的影响能被控制在上一次备份以后的数据的范围内。获得性风险与信息处理过程长时间中断也有关联,其重点是诸如备份与应急计划等控制手段。8.4风险管理风险管理4其他与商务相关的风险正确性风险 效率风险 周期性风险 报废风险 业务中断风险 产品失败风险 8.4风险管理风险管理8.4.2内部控制体系内部控制体系1控制环境品行、职业道德和能力。董事会的指导及关注程度。管理层的管理哲学与经营风格。权力和责任的分配。人力资源政策和措施。8.4风险管理风险管理2风险评估外部因素。内部因素 3控制行为4信息与沟通5监控8.4风险管理风险管理8.4.3 内部控制在风险管理中的作
9、用内部控制在风险管理中的作用1战略性风险管理2金融风险管理3运作与系统风险管理4技术风险服务5具体部署服务6环境服务8.5控制风险与实施计划控制风险与实施计划 8.5.1支出不足与控制支出风险支出不足与控制支出风险1安全漏洞2文化管理错误的判断。无意的失误。欺诈行为。病毒破坏。3过分严格的控制运作效率低下。灵活度不足。控制支出过大。负面文化气氛。8.5控制风险与实施计划控制风险与实施计划良好的风险管理控制的一些特点。多重的将被动控制由主动控制、正式控制与非正式控制结合在一起(如,口令加审查、政策加共识)。一致的如:高层管理人员充当遵守政策的表率;言辞禁止外加防止违禁行为的实际措施。表达明确的书
10、面政策得到广泛传达和实施,这样的书面政策在追究法律责任时也是非常必要的。公平的政策的制定必须从公平的角度出发,对于公司中的每一个人都适用。既不过于具体也不过于严格过于具体和过于严格都会增加控制支出,影响有效的运作,助长不信任和不道德的行为。不会取代对雇员的信任应借助于一种企业文化,在这种文化中良好的表现会得到尊重和奖励,同时风险管理被视为所有人的任务。帮助性的而不是对抗性的、惩罚性的。双向沟通的提供有关风险、事故以及控制的改进余地等方面的交流。有助于整个机构的经验积累的从过去的经历中。8.5控制风险与实施计划控制风险与实施计划8.5.2灾害拯救计划灾害拯救计划1灾害拯救计划的目标评估薄弱环节。
11、防止和减少风险。设计出高效益、低成本的解决方案。最大限度地减少业务中断,保障业务的继续进行。提供被选的互联网接入模式。恢复丢失的数据。提供灾害拯救的步骤。训练雇员熟悉灾害拯救步骤。8.5控制风险与实施计划控制风险与实施计划2备用第二地址互助协定。互助协定(mutual aid)是指两个或多个公司达成的灾害发生时互享资源的协定。要使该协定行之有效,前提是:每家公司都必须具有额外的生产能力,或必须能够降低其业务量,以对另一家发生灾害的公司提供帮助。各公司的业务平台必须兼容。所有签约方不能都受到灾害的影响。公司之间具有很高的信任度。冷站(外壳站)即时发货。热站。8.6电子商务的第三方保证电子商务的第
12、三方保证什么是电子商务的第三方?广义地说,是电子商务交易双方以外的部门或机构。第三方主要完成商务背景的处理,起到商务运作中的标准制定、合法性确认、影响机制和纠纷解决等作用,以降低电子商务运作中双方交易的风险,这些就是电子商务的第三方保证。8.6电子商务的第三方保证电子商务的第三方保证8.6.1标准制定标准制定1数据安全针对商务的数据安全问题有:交易双方的数据安全性。交易双方的网站安全性。交易过程中输入和输出该企业时候的数据安全性。2商业政策收费与支付政策。退货政策。收取税款政策。附加的政策信息。8.6电子商务的第三方保证电子商务的第三方保证3交易处理完整性 4数据私密5网站标记技术领域的安全性
13、指的是为客户提供必须的安全项目的详细清单,也包括网站实体的评价和指导性建议。基本内容有:网站的图解。网站标志信息。域名服务信息和配置。协议配置。营运系统维护。实物安全保护装置。逻辑安全保护装置。8.6电子商务的第三方保证电子商务的第三方保证8.6.2合法性确认合法性确认为了做到合法性的确认,必须在符合电子商务法律规范的框架下,还要包括:建立行业支持这种规范的认证。外部中介机构促使认证过程的合法化。公司的优良承诺保证交易执行,减少或杜绝“柠檬”问题。8.6电子商务的第三方保证电子商务的第三方保证8.6.3影响机制影响机制影响机制能够刺激交易双方履行义务,以减少交易双方的风险。声誉影响是一种常见的
14、影响机制,大多数企业总是希望保持自己的声誉。然而,电子商务却向声誉影响的作用提出了挑战。因为在网络环境下,个别用户甚至个人都可以随意地利用这种影响机制,影响一个企业的声誉,而且,他们所产生的影响并不一定客观公正。信息不对称促使交易的成功。区别自己的产品与竞争者生产的低质量产品或服务的方法,就是要通过提高产品质量和服务质量来建立信誉。如果一个公司能够建立起这样的信誉,那么它就能够减少自己在不对称信息中的病态效应中暴露的机会。一旦一个公司建立起生产高质量产品和服务的信誉,它就会继续维护这种信誉,以期用自己的努力吸引更多的回头客。8.6电子商务的第三方保证电子商务的第三方保证8.6.4解决纠纷解决纠
15、纷解决纠纷的手段主要有直接谈判、诉诸法律或者采用武力等。传统的纠纷解决机制和纠纷所带来的影响是局部的,而在电子商务环境下,尤其是在Internet环境下,纠纷的解决将是世界范围的,其影响范围也很广泛。解决纠纷的机构或组织,除了传统法律机构外,网上法庭、认证机构、网站标记组织等,应该在各自的范围内,促使纠纷的解决。8.7 企业信息化安全企业信息化安全8.7.1 企业信息化安全需求概述企业信息化安全需求概述企业信息化应用的信息安全隐患主要有:身份认证。信息的机密性。信息的完整性。信息的不可抵赖性。8.7 企业信息化安全企业信息化安全8.7.2 企业信息化安全现状企业信息化安全现状黑客工具在Inte
16、rnet上很容易获得,这些工具对Internet及内部网络往往具有很大的危害性。这就使内部人员(包括对计算机技术不熟悉的人)能够利用这些工具轻易窃取到企业的核心机密,包括财务数据、客户资料、设计文档等。内部网络由于速度快(有百兆甚至千兆的速度),使得黑客借助黑客工具容易得逞。很多密码破译程序在内网上猜出超级管理员的密码往往只需要几分钟。企业内网安全没有引起足够重视,致使存在安全隐患。企业为了让信息系统简单易用,在内网传输的数据往往是不加密的,这就让一些具有专业破译能力的人员能在网络传输过程中拦截数据。很多企业的管理者有很高的访问权限,但他们自己的密码管理并不严格,或者密码很容易被猜测到,这也让
17、他人有机可乘。缺少精通网络安全的网管人员。8.7 企业信息化安全企业信息化安全8.7.3 企业网络安全策略企业网络安全策略1安全连接2周边安全3入侵检测8.7.4企业信息安全策略的核心企业信息安全策略的核心明确企业的哪些资产需要保护。须完成威胁识别及风险评估的任务。制定并实施安全策略,完成安全策略的责任分配,设立安全标准。企业安全管理还应包括安全厂商与企业共同组织的对企业安全管理人员进行安全培训,以便维护和管理整个安全方案的实施和运行。8.7 企业信息化安全企业信息化安全8.7.5中小企业安全管理实施方案中小企业安全管理实施方案防止私自拷贝。控制网络登录。施行密码管理。过滤访问的网页和通行的邮件。借助安全管理工具。采用第三方安全托管。