《中国电子商务风险管理研究.doc》由会员分享,可在线阅读,更多相关《中国电子商务风险管理研究.doc(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、中国电子商务风险管理研究摘要:电子商务具有高效率、低支付、高收益和全球性等特点,加快电子商务的基础设施建设,完善风险管理和技术防范,以实际工作中接触的IC卡加油管理系统为例,结合当前的一些风险管理方法,就目前电子商务所面临的各种风险问题,对电子商务系统风险管理进行一些基本的分析和研究,为企业电子商务风险管理提供了解决问题的对策和建议及一些有价值的借鉴和参考。关键词电子商务;风险管理;风险识别;风险控制;风险对策一、引言 电子商务的概念早在1994年就被提出来了,直到20世纪末,随着互联网的飞速发展,电子商务日益显示出了巨大的优越性。电子商务通常是指在全球各地广泛的商业贸易活动中,在因特网开放的
2、网络环境下,基于浏览器或服务器应用方式,实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。电子商务涵盖的范围很广,一般可分为企业对企业(Business-to-Business),或企业对消费者(Business-to-Consumer)两种。另外还有消费者对消费者(Consumer-to-Consumer)这种模式。电子商务的推广和应用极大的改变了人们工作和生活的方式,带来了无限的商机。然而,电子商务发展所依托的平台互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺
3、利地开展;此外,电子商务的发展还面临着严峻的内部风险,企业内部对电子商务安全意识的淡薄和对安全问题的盲目,高层领导对电子商务的运作和安全管理重视程度的不足,使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此,在考察电子商务运行环境,提供电子商务安全解决方案的同时,有必要重点评估电子商务系统面临的风险问题以及对风险的有效管理及控制方法。安全风险管理是开展电子商务的基础,中航油北京陆地石油公司1994年就建立了IC卡加油管理系统,决策时面临的首要问题就是安全风险,分析、识别、控制风险是必需进行和说清楚的工作,当时定的原则是风险管理问题不解决IC卡加油管理系统再方便也不能上。电子商务安全风险
4、管理是对电子商务系统的安全风险进行识别、衡量、分析,并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。二、电子商务面临的安全风险由于网络的复杂性和脆弱性,以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说,电子商务普遍存在着以下几个安全风险:1.系统层的漏洞电子商务系统所使用的硬件设备、软件操作系统及网络整体结构中的安全性漏洞将直接构成电子商务中的安全性隐患。如:我公司IC卡加油管理系统运行所依靠的windows XP操作系统,微软不断为漏洞打补丁。2.存储层的漏洞无论多么稳定的系统,意外情况总是不可避免的,意外情况造成的数据破坏给电子商务系统带来安全隐
5、患。我公司IC卡加油管理系统采取了数据备份方式来减少数据破坏、丢失的风险。3.信息的截获和窃取这是指电子商务相关用户或外来者未经授权通过各种技术手段截获和窃取他人的文电内容以获取商业机密。4.信息的篡改网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或插入,并发往目的地,从而达到破坏信息完整性的目的。5.跨平台数据交换引起的数据丢失如果平台之间的兼容性存在问题,有可能导致电子商务系统中数据的丢失。6.拒绝服务拒绝服务是指在一定时间内,网络系统或服务器服务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的人为破坏。7.系统资源失窃问题在网络系统环境中,系统资源失窃
6、是常见的安全威胁。8. 应用层信息的假冒信息的假冒是指攻击者掌握了网络信息数据规律或解密了商务信息后,假冒合法用户或假冒信息来欺骗其它用户。主要表现形式有假冒客户进行非法交易,伪造电子邮件等。对IC卡加油管理系统,经常有人问IC卡是否会被作假。9.交易的抵赖交易抵赖包括发信者事后否认曾经发送过某条信息;买家做了定单后不承认;卖家卖出的商品因价格差而不承认原先的交易等。三、风险管理规则针对电子商务面临的各种安全风险,电子商务企业不能被动、消极地应付,而应该主动采取措施维护电子商务系统的安全,并监视新的威胁和漏洞。因此,这就需要制定完整高效的电子商务安全风险管理规则。一般来说,风险管理规则的制定过
7、程有评估、开发、实施及运行三个阶段。1.评估阶段该阶段的主要任务是对电子商务的安全现状、要保护的信息、各种资产等进行充分的评估以及一些基本的安全风险识别和分析。对电子商务安全现状的评估是制定风险管理规则的基础。对信息和资产的评估是指对可能遭受损失的相关信息和资产进行价值的评估,以便确定相适应的风险管理规则,从而避免投入成本和要保护的信息和资产的严重不匹配。安全风险识别要求尽可能地发现潜在的安全风险,应收集有关各种威胁、漏洞、开发和对策的信息。安全风险分析是确定风险,收集信息,对可能造成的损失进行评价以估计风险的级别,以便做出明智的决策,从而采取措施来规避安全风险。2.开发和实施阶段该阶段的任务
8、包括风险补救措施开发、风险补救措施测试和风险知识学习。风险补救措施开发利用评估阶段的成果来建立一个新的安全管理策略,其中涉及配置管理、修补程序管理、系统监视与审核等等。在完成对风险补救措施的开发后,即进行安全风险补救措施的测试,在测试过程中,将按照安全风险的控制效果来评估对策的有效性。3.运行阶段运行阶段的主要任务包括在新的安全风险管理规则下评估新的安全风险。这个过程实际上是变更管理的过程,也是执行安全配置管理的过程。运行阶段的第二个任务是对新的或已更改的对策进行稳定性测试和部署。这个过程由系统管理、安全管理和网络管理小组来共同实施。中航油北京陆地石油公司IC卡加油管理系统,同样经历了评估、开
9、发、运行过程,这个过程是运营商和开发商联合开展的,系统要适应运营商的要求,完善系统功能、性能,有一些风险控制措施是根据用户要求定制的。评估、开发、运行是一个动态过程。系统运行后,要根据技术的发展,不断进行评估,补充完善系统,甚至随着技术的发展,更新换代。中航油北京陆地石油公司IC卡加油管理系统2007年进行了更新升级,进一步提高了稳定性、安全性、可靠性。四、风险管理与控制电子商务的安全威胁主要来自:网络物理设备的安全威胁、对网络信息的安全威胁和“信用危机”等。那么,加快电子商务的基础设施是当务之急,完善管理和技术防范是根本,强化监督是保障。1.加快基础设施建设 计算机系统、网络通信设备、网络通
10、信线路、网络服务器等设备,在静电、电磁泄漏和意外事故等情况下会造成数据的丢失,机密信息泄漏。所以,加快电子商务的基础设施建设,选择高性能的网络设备,建设安全、便捷的电子商务应用环境,才能为电子商务交易的信息提供硬件保障。2.实施技术防范措施电子商务的运作涉及资金安全、信息安全、货物安全、商业秘密等多方面的安全问题,任何一点漏洞都可能导致大量资金流失。而这些安全首先是对信息技术的依赖。目前,防火墙技术、电子签名和安全认证,成为电子商务比较成熟的技术安全措施。(1)防火墙技术防火墙是在本地系统或网络与外网之间构筑的一道屏障,用以保护本地系统或网络中的信息、资源等不受来自外网中非法用户的侵犯;用以控
11、制和防止本地系统或网络中的敏感数据流入外网,也控制和防止来自外网的无用数据流入本地系统或网络。所以,防火墙能起到保护本地系统或网络中信息安全保密的重要作用,成为电子商务系统的安全屏障。(2)数字签名技术数字签名是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,代替书写签名或印章。对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证而无法比拟的。数字签名是目前电子商务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。(3)安全证书认证中心网上交易需要由一个权威的第三方来担任信用认证机构,确认买卖双方的身份,这就是电子商务的安全证书认证中心(中心)。中
12、心是承担网上认证服务、能签发数字证书、并能确认用户身份的受大家信任的第三方机构,它的作用在于确保网上交易合同的有效性,确保交易内容、交易双方账号、密码不被他人识别和盗取,防止单方面对交易信息的生成和修改,保证电子商务的交易安全。3.健全管理与控制在电子商务环境下,企业面对一个全新的网上空间,交易信息以光速在网上传递,使得对内部控制制度的依赖性增大。由于电子商务企业一般都是新兴企业,管理制度、管理手段没有传统企业成熟、严密,加上一些电子商务企业一般更注重技术创新而非管理。因而,电子商务建立先进的管理与控制更为迫切。(1)建立交易授权控制制度。电子商务交易程序的简单化,必须在业务流程方面建立严格的
13、业务授权与执行内部控制制度,并对关键业务流程的内部控制进行定期的审核。 (2)建立责任控制制度。它是以经济组织内部各部门、各环节、各层次及其人员的经济责任为中心的内部控制制度,使得各职能部门和经办人员分工明确,职责分明。 (3)建立会计控制和内部牵制制度。主要检查会计事项的处理是否遵循不相容的职务或者经过两个以上的人员或部门的原则,以防止差错、舞弊的发生,保护财产的安全。(4)建立经营方面各个循环系统的控制制度。它是经济组织内部为实现经营目标而实现生产经营和管理所必须经过的环节和业务操作的控制制度。如成本控制、购销控制、物资控制、生产经营过程的控制以及计划、预算、合同管理等控制制度。(5)建立
14、一定的应急措施。在信息流程方面,加强对信息的记录、维护和报告相关环节的控制。例如数据文件的定期备份、备份数据的存放地点、存放条件要求、系统数据文件损坏后的再生规则等。4.开展安全审计监督由于电子商务的安全问题日益突出,使得社会公众不仅关注被审计单位的财务报表,更关注交易的安全性、企业的诚信、企业未来的发展状况等,对审计工作寄予的期望和依赖程度更高。安全审计应之而生,它不仅要对网络经济进行审计、对网络系统进行审计,还可以借助网络进行多单位、跨时空的审计作业。安全审计是指根据一定的安全策略,通过记录和分析历史操作事件及数据,发现能够改进系统性能和系统安全的地方。通过对安全事件的不断收集与积累,并加
15、以分析,能有选择性和针对性地对其中的对象进行审计跟踪,以保证系统的安全。安全审计利用整合测试技术、内嵌式审计模块加入技术、同步式审计技术、电子商务询证等技术进行审计,通过在线监测和远程联网进行审计,对交易过程中敏感和重要环节进行监测,从而达到对电子商务进行鉴证和监督的目的。5.大力培养电子商务专业人才电子商务是信息现代化与商务的有机结合,虽然强调计算机网络技术对交易活动的促进作用,但电子商务实现的关键仍然是人。要发展电子商务,需要大量的掌握现代信息技术和现代商贸理论与实务的复合型人才。政府应充分利用各种途径和手段,培养、引进并合理使用好一批素质较高、层次合理、专业配套的网络、计算机及经营管理等
16、方面的专业人才,以加快我国电子商务的发展。五、结论电子商务的开展是以信息技术为基础,已经在全球广泛应用,已有较为成熟的风险管理理论和实践基础,一般来说,风险管理规则的制定过程有评估、开发和实施及运行三个阶段。包括风险识别、分析、控制以及监控等。电子商务风险是不可能完全消除的,它是与电子商务共生的,是电子商务的必然产物,危害程度随不同的应用领域各不相同,风险管理的目标是将其限制在影响最小的范围之内。另外,再好的安全措施也要规划好发生特定安全事故时企业应该采取的应急方案。电子商务风险管理是一个长期的课题,本文从安全风险管理的角度出发,分析了电子商务中可能存在的管理风险,论述了这些风险的控制策略,希望对企业开展电子商务活动起到一定的积极作用。参考文献:(1) 甘早斌电子商务概论(第二版)华中科技大学出版社2003.9(2) 钟诚电子商务安全重庆大学出版社2004.6(3) 才书训电子商务安全风险管理与控制东北大学出版社2004.6(4) 易珊,张学哲电子商务安全策略分析科技情报开发与经济2004.5(5) 郭学勤,陈怡电子商务安全对策计算机与数字工程2001.7(6) 李晶电子商务安全防范措施安徽科技2003.4(7) 傅少川.企业电子商务风险预防.清华大学出版社.2007.98