電子商務(wù)安全風(fēng)險(xiǎn)管理的規(guī)則、步驟及對(duì)策

1、電子商務(wù)安全風(fēng)險(xiǎn)管理的規(guī)則、步驟及對(duì)策隨著開(kāi)放的互聯(lián)網(wǎng)絡(luò)系統(tǒng)Internet的飛速發(fā)展，電子商務(wù)的應(yīng)用和推廣極大了改變了人們工作和生活方式，帶來(lái)了無(wú)限的商機(jī)。然而，電子商務(wù)發(fā)展所依托的平臺(tái)互聯(lián)網(wǎng)絡(luò)卻充滿了巨大、復(fù)雜的安全風(fēng)險(xiǎn)。黑客的攻擊、病毒的肆虐等等都使得電子商務(wù)業(yè)務(wù)很難安全順利地開(kāi)展；此外，電子商務(wù)的發(fā)展還面臨著嚴(yán)峻的內(nèi)部風(fēng)險(xiǎn)，電子商務(wù)企業(yè)內(nèi)部對(duì)安全問(wèn)題的盲目和安全意識(shí)的淡薄，高層領(lǐng)導(dǎo)對(duì)電子商務(wù)的運(yùn)作和安全風(fēng)險(xiǎn)管理重視程度不足，使得企業(yè)實(shí)施電子商務(wù)不可避免地會(huì)遇到這樣或那樣的風(fēng)險(xiǎn)。因此，在考察電子商務(wù)運(yùn)行環(huán)境、提供電子商務(wù)安全解決方案的同時(shí)，有必要重點(diǎn)評(píng)估電子商務(wù)系統(tǒng)面臨的風(fēng)險(xiǎn)問(wèn)題以及對(duì)風(fēng)

2、險(xiǎn)有效管理和控制方法。電子商務(wù)安全風(fēng)險(xiǎn)管理thldl是對(duì)電子商務(wù)系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行識(shí)別、衡量、分析，并在這基礎(chǔ)上盡可能地以最低的成本和代價(jià)實(shí)現(xiàn)盡可能大的安全保障的科學(xué)管理方法。一、電子商務(wù)面臨的安全風(fēng)險(xiǎn)由于網(wǎng)絡(luò)的復(fù)雜性和脆弱性，以因特網(wǎng)為主要平臺(tái)的電子商務(wù)的發(fā)展面臨著嚴(yán)峻的安全問(wèn)題。一般來(lái)說(shuō)，電子商務(wù)普遍存在著以下幾個(gè)安全風(fēng)險(xiǎn)：1）信息的截獲和竊取這是指電子商務(wù)相關(guān)用戶或外來(lái)者未經(jīng)授權(quán)通過(guò)各種技術(shù)手段截獲和竊取他人的文電內(nèi)容以獲取商業(yè)機(jī)密。2）信息的篡改網(wǎng)絡(luò)攻擊者依靠各種技術(shù)方法和手段對(duì)傳輸?shù)男畔⑦M(jìn)行中途的篡改、刪除或插入，并發(fā)往目的地，從而達(dá)到破壞信息完整性的目的。3）拒絕服務(wù)拒絕服務(wù)是指在

3、一定時(shí)間內(nèi)，網(wǎng)絡(luò)系統(tǒng)或服務(wù)器服務(wù)系統(tǒng)的作用完全失效。其主要原因來(lái)自黑客和病毒的攻擊以及計(jì)算機(jī)硬件的認(rèn)為破壞。4）系統(tǒng)資源失竊問(wèn)題在網(wǎng)絡(luò)系統(tǒng)環(huán)境中，系統(tǒng)資源失竊是常見(jiàn)的安全威脅。5）信息的假冒信息的假冒是指當(dāng)攻擊者掌握了網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密了商務(wù)信息后，可以假冒合法用戶或假冒信息來(lái)欺騙其它用戶。主要表現(xiàn)形式有假冒客戶進(jìn)行非法交易，偽造電子郵件等。6）交易的抵賴交易抵賴包括發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過(guò)某條信息；買家做了定單后不承認(rèn)；賣家賣出的商品因價(jià)格差而不承認(rèn)原先的交易等。二、安全風(fēng)險(xiǎn)管理規(guī)則針對(duì)電子商務(wù)面臨的各種安全風(fēng)險(xiǎn)，電子商務(wù)企業(yè)不能被動(dòng)、消極地應(yīng)付，而應(yīng)該主動(dòng)采取措施維護(hù)電子商務(wù)系統(tǒng)的安全

4、，并監(jiān)視新的威脅和漏洞。因此，這就需要制定完整高效的電子商務(wù)安全風(fēng)險(xiǎn)管理規(guī)則。一般來(lái)說(shuō)，安全風(fēng)險(xiǎn)管理規(guī)則的制定過(guò)程有評(píng)估、開(kāi)發(fā)和實(shí)施以及運(yùn)行三個(gè)階段。（1）評(píng)估階段該階段的主要任務(wù)是對(duì)電子商務(wù)的安全現(xiàn)狀、要保護(hù)的信息、各種資產(chǎn)等進(jìn)行充分的評(píng)估以及一些基本的安全風(fēng)險(xiǎn)識(shí)別和分析。對(duì)電子商務(wù)安全現(xiàn)狀的評(píng)估是制定安全風(fēng)險(xiǎn)管理規(guī)則的基礎(chǔ)。對(duì)信息和資產(chǎn)的評(píng)估是指對(duì)可能遭受損失的相關(guān)信息和資產(chǎn)進(jìn)行價(jià)值的評(píng)估，以便確定相適應(yīng)的安全風(fēng)險(xiǎn)管理規(guī)則，從而避免投入成本和要保護(hù)的信息和資產(chǎn)的嚴(yán)重不匹配。安全風(fēng)險(xiǎn)識(shí)別要求盡可能地發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)，應(yīng)收集有關(guān)各種威脅、漏洞、開(kāi)發(fā)和對(duì)策的信息。安全風(fēng)險(xiǎn)分析是確定風(fēng)險(xiǎn)，收集信

5、息，對(duì)可能造成的損失進(jìn)行評(píng)價(jià)以估計(jì)風(fēng)險(xiǎn)的級(jí)別，以便做出明智的決策，從而采取措施來(lái)規(guī)避安全風(fēng)險(xiǎn)。（2）開(kāi)發(fā)和實(shí)施階段該階段的任務(wù)包括風(fēng)險(xiǎn)補(bǔ)救措施開(kāi)發(fā)、風(fēng)險(xiǎn)補(bǔ)救措施測(cè)試和風(fēng)險(xiǎn)知識(shí)學(xué)習(xí)。風(fēng)險(xiǎn)補(bǔ)救措施開(kāi)發(fā)利用評(píng)估階段的成果來(lái)建立一個(gè)新的安全管理策略，其中涉及配置管理、修補(bǔ)程序管理、系統(tǒng)監(jiān)視與審核等等。在完成對(duì)風(fēng)險(xiǎn)補(bǔ)救措施的開(kāi)發(fā)后，即進(jìn)行安全風(fēng)險(xiǎn)補(bǔ)救措施的測(cè)試，在測(cè)試過(guò)程中，將按照安全風(fēng)險(xiǎn)的控制效果來(lái)評(píng)估對(duì)策的有效性。（3）運(yùn)行階段運(yùn)行階段的主要任務(wù)包括在新的安全風(fēng)險(xiǎn)管理規(guī)則下評(píng)估新的安全風(fēng)險(xiǎn)。這個(gè)過(guò)程實(shí)際上是變更管理的過(guò)程，也是執(zhí)行安全配置管理的過(guò)程。運(yùn)行階段的第二個(gè)任務(wù)是對(duì)新的或已更改的對(duì)策進(jìn)行穩(wěn)定

6、性測(cè)試和部署。這個(gè)過(guò)程由系統(tǒng)管理、安全管理和網(wǎng)絡(luò)管理小組來(lái)共同實(shí)施。以上風(fēng)險(xiǎn)管理規(guī)則的三個(gè)階段可以用下圖來(lái)表示：圖1風(fēng)險(xiǎn)管理規(guī)則的三個(gè)階段三、安全風(fēng)險(xiǎn)管理步驟安全風(fēng)險(xiǎn)管理是識(shí)別風(fēng)險(xiǎn)、分析風(fēng)險(xiǎn)并制定風(fēng)險(xiǎn)管理計(jì)劃的過(guò)程。電子商務(wù)安全風(fēng)險(xiǎn)的管理和控制方法，它包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)控制以及風(fēng)險(xiǎn)監(jiān)控等四個(gè)方面。（1）風(fēng)險(xiǎn)識(shí)別電子商務(wù)系統(tǒng)的安全要求是通過(guò)對(duì)風(fēng)險(xiǎn)的系統(tǒng)評(píng)估而確認(rèn)的。為了有效管理電子商務(wù)安全風(fēng)險(xiǎn)，識(shí)別安全風(fēng)險(xiǎn)是風(fēng)險(xiǎn)管理的第一步。風(fēng)險(xiǎn)識(shí)別是在收集有關(guān)各種威脅、漏洞和相關(guān)對(duì)策等信息的基礎(chǔ)上，識(shí)別各種可能對(duì)電子商務(wù)系統(tǒng)造成潛在威脅的安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)識(shí)別的手段五花八門，對(duì)于電子商務(wù)系統(tǒng)的安全來(lái)說(shuō)，

7、風(fēng)險(xiǎn)識(shí)別的目標(biāo)是主要是對(duì)電子商務(wù)系統(tǒng)的網(wǎng)絡(luò)環(huán)境風(fēng)險(xiǎn)、數(shù)據(jù)存在風(fēng)險(xiǎn)和網(wǎng)上支付風(fēng)險(xiǎn)進(jìn)行識(shí)別。需要注意的是，并非所有的電子商務(wù)安全風(fēng)險(xiǎn)都可以通過(guò)風(fēng)險(xiǎn)識(shí)別來(lái)進(jìn)行管理，風(fēng)險(xiǎn)識(shí)別只能發(fā)現(xiàn)已知的風(fēng)險(xiǎn)或根據(jù)已知風(fēng)險(xiǎn)較容易獲知的潛在風(fēng)險(xiǎn)。而對(duì)于大部分的未知風(fēng)險(xiǎn)，則依賴于風(fēng)險(xiǎn)分析和控制來(lái)加以解決或降低。隨著開(kāi)放的互聯(lián)網(wǎng)絡(luò)系統(tǒng)Internet的飛速發(fā)展，電子商務(wù)的應(yīng)用和推廣極大瞭改變瞭人們工作和生活方式，帶來(lái)瞭無(wú)限的商機(jī)。然而，電子商務(wù)發(fā)展所依托的平臺(tái)互聯(lián)網(wǎng)絡(luò)卻充滿瞭巨大、復(fù)雜的安全風(fēng)險(xiǎn)。黑客的攻擊、病毒的肆虐等等都使得電子商務(wù)業(yè)務(wù)很難安全順利地開(kāi)展；此外，電子商務(wù)的發(fā)展還面臨著嚴(yán)峻的內(nèi)部風(fēng)險(xiǎn)，電子商務(wù)企業(yè)內(nèi)部對(duì)安

8、全問(wèn)題的盲目和安全意識(shí)的淡薄，高層領(lǐng)導(dǎo)對(duì)電子商務(wù)的運(yùn)作和安全風(fēng)險(xiǎn)管理重視程度不足，使得企業(yè)實(shí)施電子商務(wù)不可避免地會(huì)遇到這樣或那樣的風(fēng)險(xiǎn)。因此，在考察電子商務(wù)運(yùn)行環(huán)境、提供電子商務(wù)安全解決方案的同時(shí)，有必要重點(diǎn)評(píng)估電子商務(wù)系統(tǒng)面臨的風(fēng)險(xiǎn)問(wèn)題以及對(duì)風(fēng)險(xiǎn)有效管理和控制方法。電子商務(wù)安全風(fēng)險(xiǎn)管理thldl是對(duì)電子商務(wù)系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行識(shí)別、衡量、分析，並在這基礎(chǔ)上盡可能地以最低的成本和代價(jià)實(shí)現(xiàn)盡可能大的安全保障的科學(xué)管理方法。一、電子商務(wù)面臨的安全風(fēng)險(xiǎn)由於網(wǎng)絡(luò)的復(fù)雜性和脆弱性，以因特網(wǎng)為主要平臺(tái)的電子商務(wù)的發(fā)展面臨著嚴(yán)峻的安全問(wèn)題。一般來(lái)說(shuō)，電子商務(wù)普遍存在著以下幾個(gè)安全風(fēng)險(xiǎn)：1）信息的截獲和竊取這是

9、指電子商務(wù)相關(guān)用戶或外來(lái)者未經(jīng)授權(quán)通過(guò)各種技術(shù)手段截獲和竊取他人的文電內(nèi)容以獲取商業(yè)機(jī)密。2）信息的篡改網(wǎng)絡(luò)攻擊者依靠各種技術(shù)方法和手段對(duì)傳輸?shù)男畔⑦M(jìn)行中途的篡改、刪除或插入，並發(fā)往目的地，從而達(dá)到破壞信息完整性的目的。3）拒絕服務(wù)拒絕服務(wù)是指在一定時(shí)間內(nèi)，網(wǎng)絡(luò)系統(tǒng)或服務(wù)器服務(wù)系統(tǒng)的作用完全失效。其主要原因來(lái)自黑客和病毒的攻擊以及計(jì)算機(jī)硬件的認(rèn)為破壞。4）系統(tǒng)資源失竊問(wèn)題在網(wǎng)絡(luò)系統(tǒng)環(huán)境中，系統(tǒng)資源失竊是常見(jiàn)的安全威脅。5）信息的假冒信息的假冒是指當(dāng)攻擊者掌握瞭網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密瞭商務(wù)信息後，可以假冒合法用戶或假冒信息來(lái)欺騙其它用戶。主要表現(xiàn)形式有假冒客戶進(jìn)行非法交易，偽造電子郵件等。6）交

10、易的抵賴交易抵賴包括發(fā)信者事後否認(rèn)曾經(jīng)發(fā)送過(guò)某條信息；買傢做瞭定單後不承認(rèn)；賣傢賣出的商品因價(jià)格差而不承認(rèn)原先的交易等。二、安全風(fēng)險(xiǎn)管理規(guī)則針對(duì)電子商務(wù)面臨的各種安全風(fēng)險(xiǎn)，電子商務(wù)企業(yè)不能被動(dòng)、消極地應(yīng)付，而應(yīng)該主動(dòng)采取措施維護(hù)電子商務(wù)系統(tǒng)的安全，並監(jiān)視新的威脅和漏洞。因此，這就需要制定完整高效的電子商務(wù)安全風(fēng)險(xiǎn)管理規(guī)則。一般來(lái)說(shuō)，安全風(fēng)險(xiǎn)管理規(guī)則的制定過(guò)程有評(píng)估、開(kāi)發(fā)和實(shí)施以及運(yùn)行三個(gè)階段。（1）評(píng)估階段該階段的主要任務(wù)是對(duì)電子商務(wù)的安全現(xiàn)狀、要保護(hù)的信息、各種資產(chǎn)等進(jìn)行充分的評(píng)估以及一些基本的安全風(fēng)險(xiǎn)識(shí)別和分析。對(duì)電子商務(wù)安全現(xiàn)狀的評(píng)估是制定安全風(fēng)險(xiǎn)管理規(guī)則的基礎(chǔ)。對(duì)信息和資產(chǎn)的評(píng)估是指對(duì)

11、可能遭受損失的相關(guān)信息和資產(chǎn)進(jìn)行價(jià)值的評(píng)估，以便確定相適應(yīng)的安全風(fēng)險(xiǎn)管理規(guī)則，從而避免投入成本和要保護(hù)的信息和資產(chǎn)的嚴(yán)重不匹配。安全風(fēng)險(xiǎn)識(shí)別要求盡可能地發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)，應(yīng)收集有關(guān)各種威脅、漏洞、開(kāi)發(fā)和對(duì)策的信息。安全風(fēng)險(xiǎn)分析是確定風(fēng)險(xiǎn)，收集信息，對(duì)可能造成的損失進(jìn)行評(píng)價(jià)以估計(jì)風(fēng)險(xiǎn)的級(jí)別，以便做出明智的決策，從而采取措施來(lái)規(guī)避安全風(fēng)險(xiǎn)。（2）開(kāi)發(fā)和實(shí)施階段該階段的任務(wù)包括風(fēng)險(xiǎn)補(bǔ)救措施開(kāi)發(fā)、風(fēng)險(xiǎn)補(bǔ)救措施測(cè)試和風(fēng)險(xiǎn)知識(shí)學(xué)習(xí)。風(fēng)險(xiǎn)補(bǔ)救措施開(kāi)發(fā)利用評(píng)估階段的成果來(lái)建立一個(gè)新的安全管理策略，其中涉及配置管理、修補(bǔ)程序管理、系統(tǒng)監(jiān)視與審核等等。在完成對(duì)風(fēng)險(xiǎn)補(bǔ)救措施的開(kāi)發(fā)後，即進(jìn)行安全風(fēng)險(xiǎn)補(bǔ)救措施的測(cè)試，

12、在測(cè)試過(guò)程中，將按照安全風(fēng)險(xiǎn)的控制效果來(lái)評(píng)估對(duì)策的有效性。（3）運(yùn)行階段運(yùn)行階段的主要任務(wù)包括在新的安全風(fēng)險(xiǎn)管理規(guī)則下評(píng)估新的安全風(fēng)險(xiǎn)。這個(gè)過(guò)程實(shí)際上是變更管理的過(guò)程，也是執(zhí)行安全配置管理的過(guò)程。運(yùn)行階段的第二個(gè)任務(wù)是對(duì)新的或已更改的對(duì)策進(jìn)行穩(wěn)定性測(cè)試和部署。這個(gè)過(guò)程由系統(tǒng)管理、安全管理和網(wǎng)絡(luò)管理小組來(lái)共同實(shí)施。以上風(fēng)險(xiǎn)管理規(guī)則的三個(gè)階段可以用下圖來(lái)表示：圖1風(fēng)險(xiǎn)管理規(guī)則的三個(gè)階段三、安全風(fēng)險(xiǎn)管理步驟安全風(fēng)險(xiǎn)管理是識(shí)別風(fēng)險(xiǎn)、分析風(fēng)險(xiǎn)並制定風(fēng)險(xiǎn)管理計(jì)劃的過(guò)程。電子商務(wù)安全風(fēng)險(xiǎn)的管理和控制方法，它包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)控制以及風(fēng)險(xiǎn)監(jiān)控等四個(gè)方面。（1）風(fēng)險(xiǎn)識(shí)別電子商務(wù)系統(tǒng)的安全要求是通過(guò)對(duì)風(fēng)險(xiǎn)的系統(tǒng)評(píng)估而確認(rèn)的。為瞭有效管理電子商務(wù)安全風(fēng)險(xiǎn)，識(shí)別安全風(fēng)險(xiǎn)是風(fēng)險(xiǎn)管理的第一步。風(fēng)險(xiǎn)識(shí)別是在收集有關(guān)各種威脅、漏洞和相關(guān)對(duì)策等信息的基礎(chǔ)上，