神马文学网电子商务的风险及其安全管理
来源:百度文库 编辑:神马文学网 时间:2024/05/01 12:50:25
【关键词】电子商务/风险管理/安全防范
【正文】
随着信息技术的迅猛发展,计算机网络给商务活动的方式带来了巨大的变化。利用Web提供的通信手段,在网络上进行交易,这便是电子商务[1]。电子商务不仅包括信息的传递和交换,还包括对客户提供一系列的服务支持。电子商务的发展,对企业的信息化程度要求更高,这促使企业越来越多地用计算机网络取代纸张进行商务信息的存储、传递、交换等各种商务活动。因此,电子商务的风险性与安全性问题越来越受到人们的关注。从电子商务角度看,风险是指秘密数据丢失的可能性,或者由于数据或程序的被破坏、生成和使用,伤害到他人利益的可能性,这也包括硬件被破坏的可能性[2]。所以,分析电子商务中可能存在的各种风险,并采取相应的风险管理和安全防范措施尤为重要。
一、电子商务风险的类型
在电子商务中,从事交易活动的主要有客户(买方)、销售商及提供产品的企业等。客户指电子商务活动中的买方。销售商主要指利用网络进行商务活动的销售商。根据各个参与电子商务的主体面临的风险不同,我们将电子商务中的风险分为三个方面:客户面临的风险、销售商面临的风险、企业自身面临的风险。
1.客户面临的风险
客户面临的风险是指客户一方的私有信息被盗用或破坏的可能性。私有信息包括:客户的账号及密码、信用卡信息、客户计算机系统及数据等。被盗取的途径主要有以下四种:利用欺骗性网址盗取;从销售商或网络服务提供商(ISP)那里盗取;从客户计算机上的C
【内容提要】kies文件中盗取;直接骗取。
(1)欺骗性网址。欺骗性网址主要有两类:一种是黑客设立的假网址,另一种则是黑客利用现有一些网址程序的漏洞欺骗客户。假网址是指黑客在Internet上设立一个网址,假扮成销售站点。客户在访问或购物时,会被要求提供信用卡号及其他的信息,黑客在骗取了大量的客户信息后,便撤消网站。而黑客利用已有网址程序中的漏洞来欺骗客户,这种情况更不容易被发现。黑客利用一些现有网址程序中的漏洞来监控,记录用户的账号、密码等信息,或利用网络浏览器的漏洞窥探访问者的硬盘,或者由一个临时性的假网址产生一个Bug程序,黑客利用这个程序可以查看用户的硬盘并盗窃客户机器上的文件[3]。
(2)从销售商和网络服务提供商那里盗取客户的信息。在电子商务中,客户在进行商务活动时要提供给销售商和网络服务提供商(ISP)大量的私有信息(如信用卡号等)。如果黑客入侵了销售商和ISP的服务器,客户的私有信息就可能被盗取。对于这一点,客户无从防范。因而,客户在选择ISP时,应该注意选择信誉好、可靠性高的ISP公司。
(3)从Cookies文件中盗取客户的信息。当客户第一次访问一个网址时,主机会分配给用户一个独立的标识码,并创建一个Cookies文件,将用户的账号、密码存放在里面,并将该文件存在用户的机器硬盘上。当用户的计算机被非法访问或侵入时,文件的被盗就会导致用户信息的被盗。
(4)直接骗取。直接骗取是指黑客假扮系统管理员等,通过E-mail或电话与客户联系,谎称网络有故障,要求得到客户的密码。黑客知道密码后就很容易访问客户机器上的数据文件和应用程序,进一步对它们进行破坏、修改等。许多客户对这类风险毫无防范意识。客户应当记住的是,系统出现任何问题,也不会需要管理员向客户询问其私有信息。另外,客户可以使用数字签名技术来加强防范。
2.销售商面临的风险
当提及电子商务的风险时,总习惯认为是客户面临的风险,其实销售商面临的风险也很大。这也是为什么许多生产厂家、销售代理商的电子商务还只停留在单纯做网络广告的阶段,而并没有完全地在网上进行交易。在电子商务中,销售商面临的风险主要有三方面,即假客户、被封锁服务和数据被窃。
(1)假客户。假客户是指一些人假扮客户来订购产品或服务。例如,用假信用卡号来骗取免费服务和免费产品,或者要求送货而没有人来支付。
(2)被封锁服务。被封锁服务是指销售商的计算机和网络资源被黑客攻击和封锁。这类攻击程序的代码,在一些黑客程序的网址上很容易找到,而且很难被追踪到。
(3)数据被窃。数据被窃是销售商们面临的一种很常见的风险。黑客可以随时、随地作案,而且很难被追踪到。针对这一点,销售商应该从加强自身网络的技术措施来加强风险防范。
3.企业自身面临的风险
许多企业已经开始构建内部网Intranet,随着网络技术的发展,企业可以将自己的Intranet同其他企业的Intranet或开放的Internet网相连,构成强大的网络通讯世界[4]。这样,企业内部各部门之间、企业同合作伙伴之间及同顾客之间都可以进行实时的信息交流。但这样的网络互连也存在很大的风险性,归纳起来主要有以下三个方面:灾难性风险、企业内部网的风险、企业间进行商务活动时的风险。
(1)灾难性风险。灾难性风险包括自然灾难和人为制造的灾难。自然灾难包括火、洪水、飓风、地震、大风、电子风暴等。人为制造的灾难包括计算机病毒和硬件设备的人为破坏。
计算机病毒是一种常见的恶意攻击性程序,它隐蔽性强,能破坏计算机的硬盘、程序,且有很强的传染性[5]。它对计算机的破坏力极大,有时甚至造成整个网络的瘫痪。防范计算机病毒的较好方法是经常采用较成熟、信誉好的杀毒软件。另一种情况是用假病毒恐吓。这类风险是利用人们对病毒信息的敏感性,谎说某处计算机上有病毒。虽然这种做法不会破坏计算机系统,但常常需要花费很多的时间、人力等来检测。第三种情况是缓冲区中错误代码的溢出。据统计,通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。这主要是由于对用户的访问没有仔细检查其代码程序。这就需要严格审计技术来加强这方面的防范。
硬件设施的风险问题,主要有网络设备和通讯线路被他人破坏,或者网络线路被他人搭线监听等。对于这方面的风险,企业应从完善计算机设备的日常管理制度来加强监控。
(2)企业内部网的风险。据统计,对网络系统的攻击有85%是来自企业内部的黑客。这些黑客,可能是企业从前的雇员,也可能是在职员工。他们采用的手段类似,但动机不同。从前的雇员在任职期间,因为担心失去工作而事先搜集企业的一些内部情报,一旦真的离开公司,他(她)掌握的情报就会成为攻击的武器。在职员工的动机有两种可能:一种是为了赚取额外收入,这是指雇员将客户的信息卖给下级代理商或企业的竞争对手,以赚取额外收入;另一种是侵吞公司财产。
企业内部网的风险主要有两种:金融诈骗、盗取文件或数据。
金融诈骗是指更改企业计算机内财务方面的记录,以骗得企业的钱财或为减免税等[3]。这种风险的作案手段很多,有采用黑客程序的,更多的则是贿赂有关操作人员。因此,反金融诈骗应从完善内部审计机制入手。
盗取文件或数据是一种很常见的黑客方式。由于Intranet将各个雇员的计算机同企业各种重要的数据库、服务器等连接起来,所以雇员进行越权访问和复制机密数据或文件的机会就会大大增加。这就需要企业加强网络管理及网络的审计、监督机制等来加强防范。
(3)企业与其他企业进行商务活动时的风险。企业在与其他企业进行商务合作或竞争时,其他企业可能利用非法手段窃取该企业的文件或数据。这其中的风险可分为两类:传输中数据的被盗、企业计算机上的数据及文件的被盗。
企业间在进行数据交换时,会面临很多的风险问题。从电子商务的角度看,这类风险主要有:消息源的认证、运送证明、消息的完整性和未授权浏览、消息的及时运送等问题。针对这些风险,可采取信息加密、信息摘要、数字签名、数字时间戳、不否认技术等措施来加强防范[1]。另外一类,是企业机要文件或数据的被窃。由于电子商务的需要,公司有相当多的文档、数据等存放在与Internet相连的网络计算机上,一旦黑客攻击到这些机器,数据和文件便有可能被破坏、修改和窃取。
二、风险管理和安全防范
对于电子商务中的风险管理和安全防范措施,我们主要分两个方面讨论:客户的风险防范、企业的风险管理和防范。销售商面临的风险主要是数据被窃,这一点同企业的数据被窃类似,因而不再单独提出。
1.客户的风险防范
客户的风险防范,归纳起来,主要应从下面三个方面加强。①设定的密码最好避免使用生日等容易被别人破译的密码号,而且要经常更改口令以减少被盗用的几率。②注意在不同的网址使用不同的密码。而且,在选择ISP时,应该注意选择信誉好、可靠性高的公司。③不要轻易将密码告诉他人。尤其不要轻信系统管理员提出的需要你的账号、密码来维护系统的说法。
2.企业的风险管理和安全防范
(1)网络安全管理策略。企业的网络安全策略,应该在对企业的网络风险评估之后,进行如下方面规定:①机房设备和数据的物理安全及其维护;②受到攻击和入侵时的应急处理流程和灾难恢复计划;③网络安全管理职能的分配与责任分担;④各种服务的安全运行级别;⑤用户的权利分级和责任;⑥口令安全管理。网络安全策略是企业安全工作的法律标准,用户和管理员都应严格遵守并执行。
(2)网络安全管理措施。网络管理的安全技术发展很快,现在已经有访问控制、信息加密和数字认证等。访问控制是网络安全防范的核心技术之一,它主要是保证网络资源不被非法使用和访问[6]。它控制的具体操作有:入网访问的控制、网络权限的控制、目录级的安全控制、属性的安全控制、网络服务器的安全控制、网络监测和锁定的控制、网络端口和节点的安全控制、防火墙控制。值得一提的是防火墙控制,这是近年来发展起来的一种很有效的网络安全技术。它通过在网络边界建立起通信监控系统,隔离内外部网络。而且使用多重防火墙技术进行安全防范会更加有效。
(3)安全缺口。安全缺口是指安全措施与安全策略之间的脱节。企业的网络存在安全缺口问题,其原因是:用户缺乏保安方面的专业知识,网络设备的种类繁多,访问方式的多样化和网络自身的不断变化等。为了堵住安全缺口,进行网络安全的评估是很必要的。当然,过严的控制也可能会导致一些无效的控制行为,过多地消耗控制成本,降低灵活性,造成负面影响,因而在实际中要注意把握控制的尺度。
(4)数据传输中的风险防范。数据传输中的风险管理,采用的技术主要有信息加密和数字认证。信息加密是指将数据译成密码进行传递,可以有效地防范数据被截取等问题。数字认证技术发展的也很快,现在已经有数字证书、数字签名、数字时间戳、消息摘要等多种技术。
总之,电子商务的安全是一个系统问题,它不但与网络技术有关,还与安全立法、电子商务的应用环境、人员素质等有关。这需要整个社会的关注,并加大宣传和完善立法等。
【正文】
随着信息技术的迅猛发展,计算机网络给商务活动的方式带来了巨大的变化。利用Web提供的通信手段,在网络上进行交易,这便是电子商务[1]。电子商务不仅包括信息的传递和交换,还包括对客户提供一系列的服务支持。电子商务的发展,对企业的信息化程度要求更高,这促使企业越来越多地用计算机网络取代纸张进行商务信息的存储、传递、交换等各种商务活动。因此,电子商务的风险性与安全性问题越来越受到人们的关注。从电子商务角度看,风险是指秘密数据丢失的可能性,或者由于数据或程序的被破坏、生成和使用,伤害到他人利益的可能性,这也包括硬件被破坏的可能性[2]。所以,分析电子商务中可能存在的各种风险,并采取相应的风险管理和安全防范措施尤为重要。
一、电子商务风险的类型
在电子商务中,从事交易活动的主要有客户(买方)、销售商及提供产品的企业等。客户指电子商务活动中的买方。销售商主要指利用网络进行商务活动的销售商。根据各个参与电子商务的主体面临的风险不同,我们将电子商务中的风险分为三个方面:客户面临的风险、销售商面临的风险、企业自身面临的风险。
1.客户面临的风险
客户面临的风险是指客户一方的私有信息被盗用或破坏的可能性。私有信息包括:客户的账号及密码、信用卡信息、客户计算机系统及数据等。被盗取的途径主要有以下四种:利用欺骗性网址盗取;从销售商或网络服务提供商(ISP)那里盗取;从客户计算机上的C
【内容提要】kies文件中盗取;直接骗取。
(1)欺骗性网址。欺骗性网址主要有两类:一种是黑客设立的假网址,另一种则是黑客利用现有一些网址程序的漏洞欺骗客户。假网址是指黑客在Internet上设立一个网址,假扮成销售站点。客户在访问或购物时,会被要求提供信用卡号及其他的信息,黑客在骗取了大量的客户信息后,便撤消网站。而黑客利用已有网址程序中的漏洞来欺骗客户,这种情况更不容易被发现。黑客利用一些现有网址程序中的漏洞来监控,记录用户的账号、密码等信息,或利用网络浏览器的漏洞窥探访问者的硬盘,或者由一个临时性的假网址产生一个Bug程序,黑客利用这个程序可以查看用户的硬盘并盗窃客户机器上的文件[3]。
(2)从销售商和网络服务提供商那里盗取客户的信息。在电子商务中,客户在进行商务活动时要提供给销售商和网络服务提供商(ISP)大量的私有信息(如信用卡号等)。如果黑客入侵了销售商和ISP的服务器,客户的私有信息就可能被盗取。对于这一点,客户无从防范。因而,客户在选择ISP时,应该注意选择信誉好、可靠性高的ISP公司。
(3)从Cookies文件中盗取客户的信息。当客户第一次访问一个网址时,主机会分配给用户一个独立的标识码,并创建一个Cookies文件,将用户的账号、密码存放在里面,并将该文件存在用户的机器硬盘上。当用户的计算机被非法访问或侵入时,文件的被盗就会导致用户信息的被盗。
(4)直接骗取。直接骗取是指黑客假扮系统管理员等,通过E-mail或电话与客户联系,谎称网络有故障,要求得到客户的密码。黑客知道密码后就很容易访问客户机器上的数据文件和应用程序,进一步对它们进行破坏、修改等。许多客户对这类风险毫无防范意识。客户应当记住的是,系统出现任何问题,也不会需要管理员向客户询问其私有信息。另外,客户可以使用数字签名技术来加强防范。
2.销售商面临的风险
当提及电子商务的风险时,总习惯认为是客户面临的风险,其实销售商面临的风险也很大。这也是为什么许多生产厂家、销售代理商的电子商务还只停留在单纯做网络广告的阶段,而并没有完全地在网上进行交易。在电子商务中,销售商面临的风险主要有三方面,即假客户、被封锁服务和数据被窃。
(1)假客户。假客户是指一些人假扮客户来订购产品或服务。例如,用假信用卡号来骗取免费服务和免费产品,或者要求送货而没有人来支付。
(2)被封锁服务。被封锁服务是指销售商的计算机和网络资源被黑客攻击和封锁。这类攻击程序的代码,在一些黑客程序的网址上很容易找到,而且很难被追踪到。
(3)数据被窃。数据被窃是销售商们面临的一种很常见的风险。黑客可以随时、随地作案,而且很难被追踪到。针对这一点,销售商应该从加强自身网络的技术措施来加强风险防范。
3.企业自身面临的风险
许多企业已经开始构建内部网Intranet,随着网络技术的发展,企业可以将自己的Intranet同其他企业的Intranet或开放的Internet网相连,构成强大的网络通讯世界[4]。这样,企业内部各部门之间、企业同合作伙伴之间及同顾客之间都可以进行实时的信息交流。但这样的网络互连也存在很大的风险性,归纳起来主要有以下三个方面:灾难性风险、企业内部网的风险、企业间进行商务活动时的风险。
(1)灾难性风险。灾难性风险包括自然灾难和人为制造的灾难。自然灾难包括火、洪水、飓风、地震、大风、电子风暴等。人为制造的灾难包括计算机病毒和硬件设备的人为破坏。
计算机病毒是一种常见的恶意攻击性程序,它隐蔽性强,能破坏计算机的硬盘、程序,且有很强的传染性[5]。它对计算机的破坏力极大,有时甚至造成整个网络的瘫痪。防范计算机病毒的较好方法是经常采用较成熟、信誉好的杀毒软件。另一种情况是用假病毒恐吓。这类风险是利用人们对病毒信息的敏感性,谎说某处计算机上有病毒。虽然这种做法不会破坏计算机系统,但常常需要花费很多的时间、人力等来检测。第三种情况是缓冲区中错误代码的溢出。据统计,通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。这主要是由于对用户的访问没有仔细检查其代码程序。这就需要严格审计技术来加强这方面的防范。
硬件设施的风险问题,主要有网络设备和通讯线路被他人破坏,或者网络线路被他人搭线监听等。对于这方面的风险,企业应从完善计算机设备的日常管理制度来加强监控。
(2)企业内部网的风险。据统计,对网络系统的攻击有85%是来自企业内部的黑客。这些黑客,可能是企业从前的雇员,也可能是在职员工。他们采用的手段类似,但动机不同。从前的雇员在任职期间,因为担心失去工作而事先搜集企业的一些内部情报,一旦真的离开公司,他(她)掌握的情报就会成为攻击的武器。在职员工的动机有两种可能:一种是为了赚取额外收入,这是指雇员将客户的信息卖给下级代理商或企业的竞争对手,以赚取额外收入;另一种是侵吞公司财产。
企业内部网的风险主要有两种:金融诈骗、盗取文件或数据。
金融诈骗是指更改企业计算机内财务方面的记录,以骗得企业的钱财或为减免税等[3]。这种风险的作案手段很多,有采用黑客程序的,更多的则是贿赂有关操作人员。因此,反金融诈骗应从完善内部审计机制入手。
盗取文件或数据是一种很常见的黑客方式。由于Intranet将各个雇员的计算机同企业各种重要的数据库、服务器等连接起来,所以雇员进行越权访问和复制机密数据或文件的机会就会大大增加。这就需要企业加强网络管理及网络的审计、监督机制等来加强防范。
(3)企业与其他企业进行商务活动时的风险。企业在与其他企业进行商务合作或竞争时,其他企业可能利用非法手段窃取该企业的文件或数据。这其中的风险可分为两类:传输中数据的被盗、企业计算机上的数据及文件的被盗。
企业间在进行数据交换时,会面临很多的风险问题。从电子商务的角度看,这类风险主要有:消息源的认证、运送证明、消息的完整性和未授权浏览、消息的及时运送等问题。针对这些风险,可采取信息加密、信息摘要、数字签名、数字时间戳、不否认技术等措施来加强防范[1]。另外一类,是企业机要文件或数据的被窃。由于电子商务的需要,公司有相当多的文档、数据等存放在与Internet相连的网络计算机上,一旦黑客攻击到这些机器,数据和文件便有可能被破坏、修改和窃取。
二、风险管理和安全防范
对于电子商务中的风险管理和安全防范措施,我们主要分两个方面讨论:客户的风险防范、企业的风险管理和防范。销售商面临的风险主要是数据被窃,这一点同企业的数据被窃类似,因而不再单独提出。
1.客户的风险防范
客户的风险防范,归纳起来,主要应从下面三个方面加强。①设定的密码最好避免使用生日等容易被别人破译的密码号,而且要经常更改口令以减少被盗用的几率。②注意在不同的网址使用不同的密码。而且,在选择ISP时,应该注意选择信誉好、可靠性高的公司。③不要轻易将密码告诉他人。尤其不要轻信系统管理员提出的需要你的账号、密码来维护系统的说法。
2.企业的风险管理和安全防范
(1)网络安全管理策略。企业的网络安全策略,应该在对企业的网络风险评估之后,进行如下方面规定:①机房设备和数据的物理安全及其维护;②受到攻击和入侵时的应急处理流程和灾难恢复计划;③网络安全管理职能的分配与责任分担;④各种服务的安全运行级别;⑤用户的权利分级和责任;⑥口令安全管理。网络安全策略是企业安全工作的法律标准,用户和管理员都应严格遵守并执行。
(2)网络安全管理措施。网络管理的安全技术发展很快,现在已经有访问控制、信息加密和数字认证等。访问控制是网络安全防范的核心技术之一,它主要是保证网络资源不被非法使用和访问[6]。它控制的具体操作有:入网访问的控制、网络权限的控制、目录级的安全控制、属性的安全控制、网络服务器的安全控制、网络监测和锁定的控制、网络端口和节点的安全控制、防火墙控制。值得一提的是防火墙控制,这是近年来发展起来的一种很有效的网络安全技术。它通过在网络边界建立起通信监控系统,隔离内外部网络。而且使用多重防火墙技术进行安全防范会更加有效。
(3)安全缺口。安全缺口是指安全措施与安全策略之间的脱节。企业的网络存在安全缺口问题,其原因是:用户缺乏保安方面的专业知识,网络设备的种类繁多,访问方式的多样化和网络自身的不断变化等。为了堵住安全缺口,进行网络安全的评估是很必要的。当然,过严的控制也可能会导致一些无效的控制行为,过多地消耗控制成本,降低灵活性,造成负面影响,因而在实际中要注意把握控制的尺度。
(4)数据传输中的风险防范。数据传输中的风险管理,采用的技术主要有信息加密和数字认证。信息加密是指将数据译成密码进行传递,可以有效地防范数据被截取等问题。数字认证技术发展的也很快,现在已经有数字证书、数字签名、数字时间戳、消息摘要等多种技术。
总之,电子商务的安全是一个系统问题,它不但与网络技术有关,还与安全立法、电子商务的应用环境、人员素质等有关。这需要整个社会的关注,并加大宣传和完善立法等。
电子商务的风险及其安全管理
电子商务的风险及其安全管理
电子商务的风险及其安全管理22
中国的现代化及其风险
我国商业银行审计的风险及其防范
矿产勘查投资的风险及其防范
矿产勘查投资的风险及其防范
风险社会及其有效治理的战略
一种现代化的安全管理方法安全管理信息系统
克服安全管理的“六轻六重”
中型施工企业的财务风险及其防范
中型施工企业的财务风险及其防范11
从金融危机看金融机构的去杠杆化及其风险
中型施工企业的财务风险及其防范s
中型施工企业的财务风险及其防范agf
马克思的风险社会思想及其当代价值
政府购买公共服务的风险及其防范
政府购买公共服务的风险及其防范2
中国转型期的社会风险分析及其规避
[风险教育]一些投资者常犯的错误及其防范措施
风险管理在施工项目安全管理中的应用
手术室的安全管理探讨论文
铁路项目的安全管理准则
电子商务中的安全问题及其对策研究