電子商務安全風險管理的規(guī)則����、步驟及對策
? 需要注意的是����,并非所有的電子商務安全風險都可以通過風險識別來進行管理,風險識別只能發(fā)現已知的風險或根據已知風險較容易獲知的潛在風險����。而對于大部分的未知風險,則依賴于風險分析和控制來加以解決或降低����。
? 隨著開放的互聯網絡系統(tǒng)Internet的飛速發(fā)展,電子商務的應用和推廣極大了改變了人們工作和生活方式����,帶來了無限的商機����。然而����,電子商務發(fā)展所依托的平臺-互聯網絡卻充滿了巨大、復雜的安全風險����。黑客的攻擊、病毒的肆虐等等都使得電子商務業(yè)務很難安全順利地開展����;此外����,電子商務的發(fā)展還面臨著嚴峻的內部風險,電子商務企業(yè)內部對安全問題的盲目和安全意識的淡薄����,高層領導對電子商務的運作和安全風險管理重視程度不足,使得企業(yè)實施電子商務不可避免地會遇到這樣或那樣的風險����。因此����,在考察電子商務運行環(huán)境����、提供電子商務安全解決方案的同時,有必要重點評估電子商務系統(tǒng)面臨的風險問題以及對風險有效管理和控制方法����。
? 電子商務安全風險管理thldl是對電子商務系統(tǒng)的安全風險進行識別、衡量����、分析,并在這基礎上盡可能地以最低的成本和代價實現盡可能大的安全保障的科學管理方法����。
? 一、電子商務面臨的安全風險
? 由於網絡的復雜性和脆弱性����,以因特網為主要平臺的電子商務的發(fā)展面臨著嚴峻的安全問題。一般來說����,電子商務普遍存在著以下幾個安全風險:
? 1)信息的截獲和竊取
? 這是指電子商務相關用戶或外來者未經授權通過各種技術手段截獲和竊取他人的文電內容以獲取商業(yè)機密����。
? 2)信息的篡改
? 網絡攻擊者依靠各種技術方法和手段對傳輸的信息進行中途的篡改����、刪除或插入,并發(fā)往目的地����,從而達到破壞信息完整性的目的。
? 3)拒絕服務
? 拒絕服務是指在一定時間內����,網絡系統(tǒng)或服務器服務系統(tǒng)的作用完全失效。其主要原因來自黑客和病毒的攻擊以及計算機硬件的認為破壞����。
? 4)系統(tǒng)資源失竊問題
? 在網絡系統(tǒng)環(huán)境中����,系統(tǒng)資源失竊是常見的安全威脅。
? 5)信息的假冒
? 信息的假冒是指當攻擊者掌握了網絡信息數據規(guī)律或解密了商務信息後����,可以假冒合法用戶或假冒信息來欺騙其它用戶����。主要表現形式有假冒客戶進行非法交易����,偽造電子郵件等。
? 6)交易的抵賴
? 交易抵賴包括發(fā)信者事後否認曾經發(fā)送過某條信息����;買家做了定單後不承認;賣家賣出的商品因價格差而不承認原先的交易等����。
? 二、安全風險管理規(guī)則
? 針對電子商務面臨的各種安全風險����,電子商務企業(yè)不能被動、消極地應付����,而應該主動采取措施維護電子商務系統(tǒng)的安全,并監(jiān)視新的威脅和漏洞����。因此����,這就需要制定完整高效的電子商務安全風險管理規(guī)則����。
? 一般來說,安全風險管理規(guī)則的制定過程有評估����、開發(fā)和實施以及運行三個階段。
? ?���。?)評估階段
? 該階段的主要任務是對電子商務的安全現狀、要保護的信息����、各種資產等進行充分的評估以及一些基本的安全風險識別和分析。
? 對電子商務安全現狀的評估是制定安全風險管理規(guī)則的基礎����。
? 對信息和資產的評估是指對可能遭受損失的相關信息和資產進行價值的評估����,以便確定相適應的安全風險管理規(guī)則����,從而避免投入成本和要保護的信息和資產的嚴重不匹配����。
? 安全風險識別要求盡可能地發(fā)現潛在的安全風險,應收集有關各種威脅����、漏洞、開發(fā)和對策的信息����。
? 安全風險分析是確定風險,收集信息����,對可能造成的損失進行評價以估計風險的級別,以便做出明智的決策����,從而采取措施來規(guī)避安全風險。
? ?���。?)開發(fā)和實施階段
? 該階段的任務包括風險補救措施開發(fā)����、風險補救措施測試和風險知識學習����。
? 風險補救措施開發(fā)利用評估階段的成果來建立一個新的安全管理策略,其中涉及配置管理����、修補程序管理、系統(tǒng)監(jiān)視與審核等等����。
? 在完成對風險補救措施的開發(fā)後,即進行安全風險補救措施的測試����,在測試過程中,將按照安全風險的控制效果來評估對策的有效性����。
? (3)運行階段
? 運行階段的主要任務包括在新的安全風險管理規(guī)則下評估新的安全風險����。這個過程實際上是變更管理的過程,也是執(zhí)行安全配置管理的過程����。
? 運行階段的第二個任務是對新的或已更改的對策進行穩(wěn)定性測試和部署。這個過程由系統(tǒng)管理����、安全管理和網絡管理小組來共同實施。
? 以上風險管理規(guī)則的三個階段可以用下圖來表示:
? 圖1風險管理規(guī)則的三個階段
? 三����、安全風險管理步驟
? 安全風險管理是識別風險、分析風險并制定風險管理計劃的過程����。電子商務安全風險的管理和控制方法,它包括風險識別����、風險分析、風險控制以及風險監(jiān)控等四個方面����。
? ?���。?)風險識別
? 電子商務系統(tǒng)的安全要求是通過對風險的系統(tǒng)評估而確認的����。為了有效管理電子商務安全風險,識別安全風險是風險管理的第一步����。
? 風險識別是在收集有關各種威脅、漏洞和相關對策等信息的基礎上����,識別各種可能對電子商務系統(tǒng)造成潛在威脅的安全風險。
? 風險識別的手段五花八門����,對於電子商務系統(tǒng)的安全來說,風險識別的目標是主要是對電子商務系統(tǒng)的網絡環(huán)境風險����、數據存在風險和網上支付風險進行識別。
? 需要注意的是����,并非所有的電子商務安全風險都可以通過風險識別來進行管理����,風險識別只能發(fā)現已知的風險或根據已知風險較容易獲知的潛在風險����。而對於大部分的未知風險����,則依賴於風險分析和控制來加以解決或降低。
?
