不安全系統(tǒng)中的商務(wù)風(fēng)險(xiǎn)與管理課件

不安全系統(tǒng)中的商務(wù)風(fēng)險(xiǎn)與管理0301不安全系統(tǒng)中的商務(wù)風(fēng)險(xiǎn)與管理03011☆了解不安全網(wǎng)絡(luò)和企業(yè)內(nèi)部網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn)☆掌握商業(yè)交易過(guò)程中數(shù)據(jù)傳輸風(fēng)險(xiǎn)和風(fēng)險(xiǎn)控制手段☆掌握風(fēng)險(xiǎn)管理模式和順序過(guò)程☆理解智能代理與電子商務(wù)的關(guān)系及其影響本章教學(xué)目標(biāo)本章關(guān)鍵術(shù)語(yǔ)☆不安全網(wǎng)絡(luò)☆風(fēng)險(xiǎn)管理模式☆第三方保證☆智能代理0301☆了解不安全網(wǎng)絡(luò)和企業(yè)內(nèi)部網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn)本章教學(xué)目標(biāo)本章關(guān)21與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn)本節(jié)講述接入不安全網(wǎng)絡(luò)，尤其是Internet從事一系列商務(wù)（如：外部電子郵件、內(nèi)部地理上相分隔的部門間的電子郵件、市場(chǎng)營(yíng)銷、電子銷售和采購(gòu)系統(tǒng)）所面臨的風(fēng)險(xiǎn)。03011與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn)本節(jié)講述接入不安全網(wǎng)絡(luò)，尤其是31.1與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn)虛假的或惡意的網(wǎng)站竊取訪問(wèn)者的身份證信息與口令、竊取信用卡信息、偷窺訪問(wèn)者的硬盤或從硬盤中上載文件注冊(cè)、虛假商業(yè)活動(dòng)、“蟲子”從銷售代理及Internet服務(wù)商（ISP）處竊取用戶數(shù)據(jù)信用卡信息保存在銷售代理或ISP處信用卡信息失竊隱私與cookies的使用隱私權(quán)組織的反對(duì)用戶首次訪問(wèn)網(wǎng)站，Cookies文件建立，分配用戶身份號(hào)碼，提高了網(wǎng)站訪問(wèn)的效率Cookies被營(yíng)銷公司利用03011.1與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn)虛假的或惡意的網(wǎng)站03041.2銷售代理所面臨的風(fēng)險(xiǎn)銷售代理與消費(fèi)者同樣都面臨電子商務(wù)風(fēng)險(xiǎn)客戶假冒假冒他人訂購(gòu)免費(fèi)服務(wù)或商品收貨拒付拒絕服務(wù)DoS襲擊拒絕服務(wù)襲擊用于破壞、關(guān)閉或削弱某電腦或網(wǎng)絡(luò)資源難以防范、追查SYN淹沒(méi)數(shù)據(jù)的失竊03011.2銷售代理所面臨的風(fēng)險(xiǎn)銷售代理與消費(fèi)者同樣都面臨電子商52與企業(yè)內(nèi)部網(wǎng)相關(guān)的風(fēng)險(xiǎn)對(duì)于許多大型企業(yè)而言，公司企業(yè)內(nèi)部網(wǎng)的維護(hù)與安全已經(jīng)變得像一只難馴的野獸一般棘手。在一些大型企業(yè)中，單是能夠及時(shí)了解企業(yè)內(nèi)部網(wǎng)的數(shù)目及其確切位置就是一個(gè)不小的難題。內(nèi)部黑客的威脅03012與企業(yè)內(nèi)部網(wǎng)相關(guān)的風(fēng)險(xiǎn)對(duì)于許多大型企業(yè)而言，公司企業(yè)內(nèi)部62.1離職員工的破壞活動(dòng)離職員工真會(huì)對(duì)以前的雇主及其電腦系統(tǒng)進(jìn)行報(bào)復(fù)性活動(dòng)嗎？1998年的CSI/FBI調(diào)查顯示，89%的公司認(rèn)為心懷不滿的員工會(huì)進(jìn)行這類襲擊。03012.1離職員工的破壞活動(dòng)離職員工真會(huì)對(duì)以前的雇主及其電腦系72.2在職員工的威脅在職員工也會(huì)給企業(yè)的電腦系統(tǒng)造成嚴(yán)重破壞。嗅探器嗅探－－企業(yè)內(nèi)部網(wǎng)信息（消息、文件、用戶身份、口令）如果由一條共享渠道傳輸，就存在著被另一個(gè)電腦站點(diǎn)截取的可能數(shù)據(jù)下載內(nèi)部數(shù)據(jù)資料共享電子郵件假冒社交伎倆電話、短信誘騙03012.2在職員工的威脅在職員工也會(huì)給企業(yè)的電腦系統(tǒng)造成嚴(yán)重破83貿(mào)易伙伴間商業(yè)交易數(shù)據(jù)傳輸中的風(fēng)險(xiǎn)3.1企業(yè)內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)及互聯(lián)網(wǎng)之間的關(guān)系

企業(yè)外部網(wǎng)是從事合作業(yè)務(wù)的貿(mào)易伙伴之間，包括供應(yīng)商、客戶、流通服務(wù)商及任何其他商家，利用Internet技術(shù)連接在一起的集團(tuán)網(wǎng)絡(luò)。企業(yè)外部網(wǎng)與互聯(lián)網(wǎng)的區(qū)別何在？為這個(gè)問(wèn)題做一個(gè)清楚的答案并不容易。企業(yè)外部網(wǎng)可以使用互聯(lián)網(wǎng)的路徑與互聯(lián)網(wǎng)服務(wù)供應(yīng)商（ISP）傳送數(shù)據(jù)?；ヂ?lián)網(wǎng)服務(wù)供應(yīng)商就是通過(guò)提供互聯(lián)網(wǎng)接入服務(wù)而贏利的公司。03013貿(mào)易伙伴間商業(yè)交易數(shù)據(jù)傳輸中的風(fēng)險(xiǎn)3.1企業(yè)內(nèi)部網(wǎng)、企93.2數(shù)據(jù)截取在經(jīng)過(guò)Internet的數(shù)據(jù)傳輸問(wèn)題上，無(wú)論是在形成企業(yè)外部網(wǎng)連接的兩個(gè)公司之間，還是在個(gè)體用戶與網(wǎng)上銷售代理或服務(wù)商之間，數(shù)據(jù)截獲都是一個(gè)很大的顧慮。圖6-4顯示了公司通過(guò)互聯(lián)網(wǎng)傳送數(shù)據(jù)所面臨的風(fēng)險(xiǎn)。

圖64通過(guò)互聯(lián)網(wǎng)傳送的信息所面臨的風(fēng)險(xiǎn)03013.2數(shù)據(jù)截取圖64通過(guò)互聯(lián)網(wǎng)傳送的信息所面臨的風(fēng)險(xiǎn)010

3.3受保密措施維護(hù)的檔案文件、主文件與參考數(shù)據(jù)所面臨的風(fēng)險(xiǎn)假如一名黑客闖入了系統(tǒng)，他都能造成什么危害呢？最為可能的危害是：◆毀壞數(shù)據(jù)——惡意的作惡者會(huì)刪除重要交易或主文件數(shù)據(jù)，意圖是破壞公司的運(yùn)營(yíng)?！舾膭?dòng)數(shù)據(jù)——惡意的作惡者會(huì)改動(dòng)數(shù)據(jù)。◆未經(jīng)授權(quán)使用數(shù)據(jù)——作惡者會(huì)利用數(shù)據(jù)贏得對(duì)其競(jìng)爭(zhēng)對(duì)手的主動(dòng)?！舾膭?dòng)應(yīng)用程序——作惡者會(huì)改動(dòng)一個(gè)程序，從而導(dǎo)致它的錯(cuò)誤運(yùn)算。03013.3受保密措施維護(hù)的檔案文件、主文件與參考數(shù)據(jù)所面臨的114風(fēng)險(xiǎn)管理模式風(fēng)險(xiǎn)本身并不是一個(gè)壞事；風(fēng)險(xiǎn)是發(fā)展所不可或缺的因素，而失敗往往又是增長(zhǎng)知識(shí)的重要因素。但我們必須學(xué)會(huì)在風(fēng)險(xiǎn)潛在的負(fù)面影響與其相關(guān)機(jī)遇所帶來(lái)的潛在效益之間把握好一個(gè)平衡。用來(lái)減少損失或傷害可能性的方法就是人們所稱的風(fēng)險(xiǎn)管理。4.1風(fēng)險(xiǎn)管理模式

圖6-5描述了一個(gè)風(fēng)險(xiǎn)管理模式（riskmanagementparadigm）。該模式是一個(gè)連續(xù)的過(guò)程，它的設(shè)計(jì)是基于這樣一種認(rèn)識(shí)，即風(fēng)險(xiǎn)管理是一個(gè)連續(xù)不斷的過(guò)程。圖5.風(fēng)險(xiǎn)管理模式03014風(fēng)險(xiǎn)管理模式風(fēng)險(xiǎn)本身并不是一個(gè)124.2電子商務(wù)風(fēng)險(xiǎn)類型

電子商務(wù)是新的商業(yè)模式，也就有新商業(yè)的特征。作為新的商業(yè)模式，其風(fēng)險(xiǎn)類型有：1、完整性風(fēng)險(xiǎn)（1）用戶界面（userinterface）（2）處理（processing）（3）錯(cuò)誤處理（errorproccssing）（4）界面（interface）（5）變化處理（changemanagement）（6）數(shù)據(jù)（data）（7）接入風(fēng)險(xiǎn)業(yè)務(wù)流程（businessprocess）

應(yīng)用軟件（application）

數(shù)據(jù)和數(shù)據(jù)管理（dataandmanagement）

流程的環(huán)境（processingenvironment）

網(wǎng)絡(luò)（network）

硬件設(shè)備（physical）03014.2電子商務(wù)風(fēng)險(xiǎn)類型電子商務(wù)是新的132、基礎(chǔ)設(shè)施風(fēng)險(xiǎn)

基礎(chǔ)設(shè)施風(fēng)險(xiǎn)（infrastructurerisk）指企業(yè)不具備完整的信息技術(shù)基礎(chǔ)設(shè)施而造成的風(fēng)險(xiǎn)。

基礎(chǔ)設(shè)施風(fēng)險(xiǎn)有下列內(nèi)容：◆組織計(jì)劃（organizationplanning）◆應(yīng)用系統(tǒng)的定義和開(kāi)發(fā)（applicationsystemsdefinitionanddeployment）◆邏輯安全和安全管理（logicalsecurityandsecurityadministration）◆計(jì)算機(jī)和網(wǎng)絡(luò)操作（computerandnetworkoperations）◆數(shù)據(jù)和數(shù)據(jù)庫(kù)管理（dataanddatabasemanagement）◆核心業(yè)務(wù)數(shù)據(jù)恢復(fù)（businessdatacenterrecovery）03012、基礎(chǔ)設(shè)施風(fēng)險(xiǎn)基礎(chǔ)設(shè)施風(fēng)險(xiǎn)（infr143、

獲得性風(fēng)險(xiǎn)

獲得性風(fēng)險(xiǎn)（availabilityrisk）是指企業(yè)在獲得數(shù)據(jù)時(shí)的風(fēng)險(xiǎn)，如破壞者經(jīng)常利用郵件轟炸來(lái)阻礙服務(wù)，或者對(duì)服務(wù)系統(tǒng)提出虛假請(qǐng)求，這給網(wǎng)絡(luò)用戶提供服務(wù)帶來(lái)了一種危險(xiǎn)。

◆通過(guò)事先對(duì)行為的監(jiān)督和對(duì)系統(tǒng)問(wèn)題的解決，能夠避免此類的風(fēng)險(xiǎn)。

◆獲得性風(fēng)險(xiǎn)與系統(tǒng)的短期中斷相關(guān)聯(lián)

◆獲得性風(fēng)險(xiǎn)與信息處理過(guò)程長(zhǎng)時(shí)間中斷也有關(guān)聯(lián)，其重點(diǎn)是諸如備份與應(yīng)急計(jì)劃等控制手段。4、其他與商務(wù)相關(guān)的風(fēng)險(xiǎn)◆正確性風(fēng)險(xiǎn)（validityrisk）◆效率風(fēng)險(xiǎn)（efficiencyrisk）◆周期性風(fēng)險(xiǎn)（cycletimerisk）◆報(bào)廢風(fēng)險(xiǎn)（obsolescencerisk）◆業(yè)務(wù)中斷風(fēng)險(xiǎn)（businessinterruptionrisk）◆產(chǎn)品失敗風(fēng)險(xiǎn)（productfailrisk）03013、獲得性風(fēng)險(xiǎn)獲得性風(fēng)險(xiǎn)（a154.3內(nèi)部控制體系1、控制環(huán)境控制環(huán)境包括以下因素：◆品行、職業(yè)道德和能力◆董事會(huì)的指導(dǎo)及關(guān)注程度◆管理層的管理哲學(xué)與經(jīng)營(yíng)風(fēng)格◆權(quán)力和責(zé)任的分配◆人力資源政策和措施2、風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管理在其它地方已經(jīng)討論過(guò)。風(fēng)險(xiǎn)評(píng)估是設(shè)計(jì)、評(píng)價(jià)內(nèi)部控制體系的一個(gè)重要組成部分。在企業(yè)層次上，需要考慮的風(fēng)險(xiǎn)：◆外部因素◆內(nèi)部因素03014.3內(nèi)部控制體系1、控制環(huán)境0301163、控制行為

信息系統(tǒng)控制分為兩組：綜合控制（generalcontrol）和應(yīng)用控制（applicationcontrol），圖6列舉了這兩組控制的內(nèi)容。圖6信息系統(tǒng)控制03013、控制行為信息系統(tǒng)控制分為17

4、信息與溝通

良好的溝通渠道可以確保反饋信息及時(shí)傳達(dá)給相關(guān)主管人員，在安全評(píng)估各層次之間，計(jì)劃與執(zhí)行各階段之間，都應(yīng)該有溝通渠道。5、監(jiān)控高效的監(jiān)控應(yīng)該是一個(gè)不斷進(jìn)行的過(guò)程而不是某一個(gè)孤立事件。如果發(fā)現(xiàn)問(wèn)題，而指定人員由于工作繁忙無(wú)法做出反應(yīng)，公司的安全政策與實(shí)際做法之間就會(huì)出現(xiàn)安全漏洞，在這種情況下，實(shí)行響應(yīng)報(bào)告制度是十分必要的。響應(yīng)報(bào)告制度要求有關(guān)人員記錄下他們針對(duì)報(bào)告的情況所采取的具體措施。03014、信息與溝通0301184.4內(nèi)部控制在風(fēng)險(xiǎn)管理中的作用除了傳統(tǒng)的獨(dú)立審計(jì)職能外，作為新的會(huì)計(jì)師職能，內(nèi)部控制的作用范圍正在日趨擴(kuò)充到整個(gè)電子商務(wù)行業(yè)，尤其在信息系統(tǒng)。普華永道是能夠提供這類服務(wù)的代表，它有一個(gè)全球風(fēng)險(xiǎn)管理服務(wù)（GRMS）分部，它可以提供下列服務(wù)：

1、戰(zhàn)略性風(fēng)險(xiǎn)管理2、金融風(fēng)險(xiǎn)管理3、運(yùn)作與系統(tǒng)風(fēng)險(xiǎn)管理4、技術(shù)風(fēng)險(xiǎn)服務(wù)5、具體部署服務(wù)6、環(huán)境服務(wù)

03014.4內(nèi)部控制在風(fēng)險(xiǎn)管理中的作用0301195控制風(fēng)險(xiǎn)與實(shí)施計(jì)劃5.1控制支出不足與控制支出風(fēng)險(xiǎn)控制支出不足（controlweakness）一詞用來(lái)形容實(shí)施控制的成本小于預(yù)期利潤(rùn)的情況?？刂浦С鲲L(fēng)險(xiǎn)（controlrisk）一詞則用來(lái)形容額外控制的預(yù)期利潤(rùn)可能不會(huì)超過(guò)實(shí)施和保持這些控制的成本的情況。圖7風(fēng)險(xiǎn)程度與相關(guān)費(fèi)用03015控制風(fēng)險(xiǎn)與實(shí)施計(jì)劃5.1控制支出不足與控制支出風(fēng)險(xiǎn)圖205.2災(zāi)害拯救計(jì)劃即使是設(shè)計(jì)最好的系統(tǒng)也避免不了自然災(zāi)害。因此，所有的公司應(yīng)該制定一個(gè)災(zāi)害拯救計(jì)劃（disasterrecoveryplan），其目的是為了在因不可預(yù)見(jiàn)的人或自然災(zāi)害發(fā)生而造成操作中斷時(shí)能恢復(fù)操作。1、災(zāi)害拯救計(jì)劃的目標(biāo)

完善的拯救應(yīng)涉及以下目標(biāo)：◆評(píng)估薄弱環(huán)節(jié)◆防止和減少風(fēng)險(xiǎn)◆設(shè)計(jì)出高效益-低成本的解決方案◆最大限度地減少業(yè)務(wù)中斷，保障業(yè)務(wù)的繼續(xù)進(jìn)行◆提供被選的互聯(lián)網(wǎng)接入模式◆恢復(fù)丟失的數(shù)據(jù)◆提供災(zāi)害拯救的步驟◆訓(xùn)練雇員熟悉災(zāi)害拯救步驟2、備用第二地址

服務(wù)器的連續(xù)性是評(píng)判災(zāi)害拯救計(jì)劃好壞的關(guān)鍵因素。如果公司原地址不能服務(wù)，那么就需要第二地址來(lái)繼續(xù)服務(wù)。03015.2災(zāi)害拯救計(jì)劃即使是設(shè)計(jì)最好的系216電子商務(wù)的第三方保證什么是電子商務(wù)的第三方？廣義地說(shuō)，是電子商務(wù)交易雙方以外的部門或機(jī)構(gòu)。第三方主要是完成商務(wù)背景的處理，起到商務(wù)運(yùn)作中的標(biāo)準(zhǔn)制定、合法性確認(rèn)、影響機(jī)制和糾紛解決等作用，以降低電子商務(wù)運(yùn)作中雙方交易的風(fēng)險(xiǎn)，這一些就是電子商務(wù)的第三方保證。1標(biāo)準(zhǔn)制定為了降低交易的風(fēng)險(xiǎn)，標(biāo)準(zhǔn)制定必須涵蓋交易的全過(guò)程，主要包括：數(shù)據(jù)安全、商業(yè)政策、交易處理完整性、數(shù)據(jù)私密和網(wǎng)站標(biāo)記等。2合法性確認(rèn)

必須在符合電子商務(wù)法律規(guī)范的框架下，還要包括：

◆建立行業(yè)支持這種規(guī)范的認(rèn)證；◆外部中介機(jī)構(gòu)促使認(rèn)證過(guò)程的合法化；◆公司的優(yōu)良承諾保證交易執(zhí)行，減少或杜絕“檸檬”問(wèn)題。03016電子商務(wù)的第三方保證什么是223影響機(jī)制影響機(jī)制能夠刺激交易雙方履行義務(wù)，以減少交易雙方的風(fēng)險(xiǎn)。借助信息中間媒介（informationintermediaries）的服務(wù)和網(wǎng)站標(biāo)記，可以有效低刺激影響機(jī)制。信息中間媒介指的是專門從事于不同行業(yè)生產(chǎn)的產(chǎn)品和服務(wù)的質(zhì)量進(jìn)行評(píng)估的公司或組織。這種組織對(duì)消費(fèi)者交易雙方有很大的促進(jìn)作用。4解決糾紛

解決糾紛的手段主要有直接談判、訴諸法律或者采用武力等。解決糾紛的機(jī)構(gòu)或組織，除了傳統(tǒng)法律機(jī)構(gòu)外，網(wǎng)上法庭、認(rèn)證機(jī)構(gòu)、網(wǎng)站標(biāo)記組織等等，應(yīng)該在各自的范圍內(nèi)，促使糾紛的解決。03013影響機(jī)制0301237智能代理與電子商務(wù)7.1智能代理的定義智能代理是一種輔助使用者并代表其行動(dòng)的軟件。智能代理的工作原理就是讓使用者向代理軟件分派（delegate）他們本來(lái)可以自己執(zhí)行的任務(wù)。代理可以像助理一樣自動(dòng)執(zhí)行重復(fù)任務(wù)，記住你忘記的事情，智能化地總結(jié)復(fù)雜的數(shù)據(jù)，向你學(xué)習(xí)，甚至并向你建議。7.2智能代理的能力

智能代理能夠執(zhí)行許多功能。吉爾伯特（Gilbert，1997）定義了三個(gè)主要標(biāo)準(zhǔn)：代理、智能、移動(dòng)性?！舸?。能夠進(jìn)行自主行動(dòng)的程度

◆智能。能夠理解其自身內(nèi)部狀態(tài)和外部環(huán)境的程度智能水平可以根據(jù)其反應(yīng)、適應(yīng)、采取主動(dòng)的能力進(jìn)一步分類?！綮`活性（也稱為代理的交際性）。代理的靈活性是指軟件在不同機(jī)器之間移動(dòng)并在外部計(jì)算機(jī)上執(zhí)行某些工作的能力。03017智能代理與電子商務(wù)7.1智能代理的定義0301247.3代理組合

多個(gè)代理一起工作來(lái)達(dá)成多樣的、然而是獨(dú)立目標(biāo)的系統(tǒng)和環(huán)境稱為代理組合（agentsociety）。設(shè)計(jì)代理組合時(shí)頭腦中至少要記住以下五個(gè)特點(diǎn)：◆開(kāi)放性◆組合的復(fù)雜性◆界面技術(shù)◆協(xié)商◆內(nèi)部控制方法7.4智能代理與電子商務(wù)智能代理可能通過(guò)很多途徑影響電子商務(wù)。它們可能是：◆幫助實(shí)體更有效、更高效地找到他們的目標(biāo)顧客，包括為了營(yíng)銷目的以及運(yùn)送商品或信息服務(wù)?！魩椭櫩透行?、更高效地搜集產(chǎn)品信息并進(jìn)行價(jià)格和產(chǎn)品特點(diǎn)的比較；◆向顧客提供更用戶化的服務(wù)；◆幫助企業(yè)更有效、更高效地觀察環(huán)境，以便與新的發(fā)展同步；◆為企業(yè)開(kāi)發(fā)新的地區(qū)時(shí)常；◆提高電子交易談判的速度和效率03017.3代理組合多個(gè)代理一起工作來(lái)達(dá)成多25圖10應(yīng)用智能代理的電子商務(wù)0301圖10應(yīng)用智能代理的電子商務(wù)0301267.5代理的局限性代理技術(shù)有其有前途的一面，但它也有它的局限性。Jennings和Woolridge（1998）指出了代理模式的三種局限：1、沒(méi)有總體系統(tǒng)控制器（systemcontroller）代理技術(shù)對(duì)下列系統(tǒng)并不合適：必須維持全球限制的系統(tǒng)；必須保障實(shí)時(shí)反應(yīng)的系統(tǒng)；必須比開(kāi)死鎖或活鎖的系統(tǒng)。2、非全球視角（globalperspective）觀點(diǎn)代理的當(dāng)?shù)厍闆r決定了代理的行為。從全球的觀點(diǎn)來(lái)看，代理可能因其“狹隘的視野”而做出次優(yōu)的決策。多代理系統(tǒng)必須提高合作和談判技術(shù)，以便能產(chǎn)生更多的最佳全球決策。3、信任（trust）和委托（delegation）個(gè)體必須信任代理所使用的基本技術(shù)和代理的實(shí)際知識(shí)基礎(chǔ)，以便能放心地把工作委托給代理。7.6代理與安全代理具有靈活的特點(diǎn)，而這種靈活性帶來(lái)了安全問(wèn)題。要求在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行程序的靈活的代理對(duì)安全系統(tǒng)提出了挑戰(zhàn)。在代理模塊中出現(xiàn)惡性代碼的危險(xiǎn)是存在的。管理者必須意識(shí)到允許代理組合運(yùn)行的系統(tǒng)所面臨的風(fēng)險(xiǎn)。03017.5代理的局限性代理技術(shù)有其有27復(fù)習(xí)題1、什么是cookies？2、嗅探器正反兩面的用途有哪些？3、互聯(lián)網(wǎng)傳送信息的風(fēng)險(xiǎn)有哪些？4、智能代理的風(fēng)險(xiǎn)是什么？思考題1、風(fēng)險(xiǎn)管理模式的過(guò)程是如何表現(xiàn)的？2、討論Cookies對(duì)電子商務(wù)交易的影響。3、討論Cookies的道德和不道德用途。4、智能代理的使用對(duì)電子商務(wù)模式有針對(duì)性嗎？0301復(fù)習(xí)題1、什么是cookies？思考題1、風(fēng)險(xiǎn)管理模式的過(guò)程28演講完畢，謝謝觀看！演講完畢，謝謝觀看！29不安全系統(tǒng)中的商務(wù)風(fēng)險(xiǎn)與管理0301不安全系統(tǒng)中的商務(wù)風(fēng)險(xiǎn)與管理030130☆了解不安全網(wǎng)絡(luò)和企業(yè)內(nèi)部網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn)☆掌握商業(yè)交易過(guò)程中數(shù)據(jù)傳輸風(fēng)險(xiǎn)和風(fēng)險(xiǎn)控制手段☆掌握風(fēng)險(xiǎn)管理模式和順序過(guò)程☆理解智能代理與電子商務(wù)的關(guān)系及其影響本章教學(xué)目標(biāo)本章關(guān)鍵術(shù)語(yǔ)☆不安全網(wǎng)絡(luò)☆風(fēng)險(xiǎn)管理模式☆第三方保證☆智能代理0301☆了解不安全網(wǎng)絡(luò)和企業(yè)內(nèi)部網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn)本章教學(xué)目標(biāo)本章關(guān)311與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn)本節(jié)講述接入不安全網(wǎng)絡(luò)，尤其是Internet從事一系列商務(wù)（如：外部電子郵件、內(nèi)部地理上相分隔的部門間的電子郵件、市場(chǎng)營(yíng)銷、電子銷售和采購(gòu)系統(tǒng)）所面臨的風(fēng)險(xiǎn)。03011與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn)本節(jié)講述接入不安全網(wǎng)絡(luò)，尤其是321.1與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn)虛假的或惡意的網(wǎng)站竊取訪問(wèn)者的身份證信息與口令、竊取信用卡信息、偷窺訪問(wèn)者的硬盤或從硬盤中上載文件注冊(cè)、虛假商業(yè)活動(dòng)、“蟲子”從銷售代理及Internet服務(wù)商（ISP）處竊取用戶數(shù)據(jù)信用卡信息保存在銷售代理或ISP處信用卡信息失竊隱私與cookies的使用隱私權(quán)組織的反對(duì)用戶首次訪問(wèn)網(wǎng)站，Cookies文件建立，分配用戶身份號(hào)碼，提高了網(wǎng)站訪問(wèn)的效率Cookies被營(yíng)銷公司利用03011.1與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn)虛假的或惡意的網(wǎng)站030331.2銷售代理所面臨的風(fēng)險(xiǎn)銷售代理與消費(fèi)者同樣都面臨電子商務(wù)風(fēng)險(xiǎn)客戶假冒假冒他人訂購(gòu)免費(fèi)服務(wù)或商品收貨拒付拒絕服務(wù)DoS襲擊拒絕服務(wù)襲擊用于破壞、關(guān)閉或削弱某電腦或網(wǎng)絡(luò)資源難以防范、追查SYN淹沒(méi)數(shù)據(jù)的失竊03011.2銷售代理所面臨的風(fēng)險(xiǎn)銷售代理與消費(fèi)者同樣都面臨電子商342與企業(yè)內(nèi)部網(wǎng)相關(guān)的風(fēng)險(xiǎn)對(duì)于許多大型企業(yè)而言，公司企業(yè)內(nèi)部網(wǎng)的維護(hù)與安全已經(jīng)變得像一只難馴的野獸一般棘手。在一些大型企業(yè)中，單是能夠及時(shí)了解企業(yè)內(nèi)部網(wǎng)的數(shù)目及其確切位置就是一個(gè)不小的難題。內(nèi)部黑客的威脅03012與企業(yè)內(nèi)部網(wǎng)相關(guān)的風(fēng)險(xiǎn)對(duì)于許多大型企業(yè)而言，公司企業(yè)內(nèi)部352.1離職員工的破壞活動(dòng)離職員工真會(huì)對(duì)以前的雇主及其電腦系統(tǒng)進(jìn)行報(bào)復(fù)性活動(dòng)嗎？1998年的CSI/FBI調(diào)查顯示，89%的公司認(rèn)為心懷不滿的員工會(huì)進(jìn)行這類襲擊。03012.1離職員工的破壞活動(dòng)離職員工真會(huì)對(duì)以前的雇主及其電腦系362.2在職員工的威脅在職員工也會(huì)給企業(yè)的電腦系統(tǒng)造成嚴(yán)重破壞。嗅探器嗅探－－企業(yè)內(nèi)部網(wǎng)信息（消息、文件、用戶身份、口令）如果由一條共享渠道傳輸，就存在著被另一個(gè)電腦站點(diǎn)截取的可能數(shù)據(jù)下載內(nèi)部數(shù)據(jù)資料共享電子郵件假冒社交伎倆電話、短信誘騙03012.2在職員工的威脅在職員工也會(huì)給企業(yè)的電腦系統(tǒng)造成嚴(yán)重破373貿(mào)易伙伴間商業(yè)交易數(shù)據(jù)傳輸中的風(fēng)險(xiǎn)3.1企業(yè)內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)及互聯(lián)網(wǎng)之間的關(guān)系

企業(yè)外部網(wǎng)是從事合作業(yè)務(wù)的貿(mào)易伙伴之間，包括供應(yīng)商、客戶、流通服務(wù)商及任何其他商家，利用Internet技術(shù)連接在一起的集團(tuán)網(wǎng)絡(luò)。企業(yè)外部網(wǎng)與互聯(lián)網(wǎng)的區(qū)別何在？為這個(gè)問(wèn)題做一個(gè)清楚的答案并不容易。企業(yè)外部網(wǎng)可以使用互聯(lián)網(wǎng)的路徑與互聯(lián)網(wǎng)服務(wù)供應(yīng)商（ISP）傳送數(shù)據(jù)。互聯(lián)網(wǎng)服務(wù)供應(yīng)商就是通過(guò)提供互聯(lián)網(wǎng)接入服務(wù)而贏利的公司。03013貿(mào)易伙伴間商業(yè)交易數(shù)據(jù)傳輸中的風(fēng)險(xiǎn)3.1企業(yè)內(nèi)部網(wǎng)、企383.2數(shù)據(jù)截取在經(jīng)過(guò)Internet的數(shù)據(jù)傳輸問(wèn)題上，無(wú)論是在形成企業(yè)外部網(wǎng)連接的兩個(gè)公司之間，還是在個(gè)體用戶與網(wǎng)上銷售代理或服務(wù)商之間，數(shù)據(jù)截獲都是一個(gè)很大的顧慮。圖6-4顯示了公司通過(guò)互聯(lián)網(wǎng)傳送數(shù)據(jù)所面臨的風(fēng)險(xiǎn)。

圖64通過(guò)互聯(lián)網(wǎng)傳送的信息所面臨的風(fēng)險(xiǎn)03013.2數(shù)據(jù)截取圖64通過(guò)互聯(lián)網(wǎng)傳送的信息所面臨的風(fēng)險(xiǎn)039

3.3受保密措施維護(hù)的檔案文件、主文件與參考數(shù)據(jù)所面臨的風(fēng)險(xiǎn)假如一名黑客闖入了系統(tǒng)，他都能造成什么危害呢？最為可能的危害是：◆毀壞數(shù)據(jù)——惡意的作惡者會(huì)刪除重要交易或主文件數(shù)據(jù)，意圖是破壞公司的運(yùn)營(yíng)?！舾膭?dòng)數(shù)據(jù)——惡意的作惡者會(huì)改動(dòng)數(shù)據(jù)。◆未經(jīng)授權(quán)使用數(shù)據(jù)——作惡者會(huì)利用數(shù)據(jù)贏得對(duì)其競(jìng)爭(zhēng)對(duì)手的主動(dòng)?！舾膭?dòng)應(yīng)用程序——作惡者會(huì)改動(dòng)一個(gè)程序，從而導(dǎo)致它的錯(cuò)誤運(yùn)算。03013.3受保密措施維護(hù)的檔案文件、主文件與參考數(shù)據(jù)所面臨的404風(fēng)險(xiǎn)管理模式風(fēng)險(xiǎn)本身并不是一個(gè)壞事；風(fēng)險(xiǎn)是發(fā)展所不可或缺的因素，而失敗往往又是增長(zhǎng)知識(shí)的重要因素。但我們必須學(xué)會(huì)在風(fēng)險(xiǎn)潛在的負(fù)面影響與其相關(guān)機(jī)遇所帶來(lái)的潛在效益之間把握好一個(gè)平衡。用來(lái)減少損失或傷害可能性的方法就是人們所稱的風(fēng)險(xiǎn)管理。4.1風(fēng)險(xiǎn)管理模式

圖6-5描述了一個(gè)風(fēng)險(xiǎn)管理模式（riskmanagementparadigm）。該模式是一個(gè)連續(xù)的過(guò)程，它的設(shè)計(jì)是基于這樣一種認(rèn)識(shí)，即風(fēng)險(xiǎn)管理是一個(gè)連續(xù)不斷的過(guò)程。圖5.風(fēng)險(xiǎn)管理模式03014風(fēng)險(xiǎn)管理模式風(fēng)險(xiǎn)本身并不是一個(gè)414.2電子商務(wù)風(fēng)險(xiǎn)類型

電子商務(wù)是新的商業(yè)模式，也就有新商業(yè)的特征。作為新的商業(yè)模式，其風(fēng)險(xiǎn)類型有：1、完整性風(fēng)險(xiǎn)（1）用戶界面（userinterface）（2）處理（processing）（3）錯(cuò)誤處理（errorproccssing）（4）界面（interface）（5）變化處理（changemanagement）（6）數(shù)據(jù)（data）（7）接入風(fēng)險(xiǎn)業(yè)務(wù)流程（businessprocess）

應(yīng)用軟件（application）

數(shù)據(jù)和數(shù)據(jù)管理（dataandmanagement）

流程的環(huán)境（processingenvironment）

網(wǎng)絡(luò)（network）

硬件設(shè)備（physical）03014.2電子商務(wù)風(fēng)險(xiǎn)類型電子商務(wù)是新的422、基礎(chǔ)設(shè)施風(fēng)險(xiǎn)

基礎(chǔ)設(shè)施風(fēng)險(xiǎn)（infrastructurerisk）指企業(yè)不具備完整的信息技術(shù)基礎(chǔ)設(shè)施而造成的風(fēng)險(xiǎn)。

基礎(chǔ)設(shè)施風(fēng)險(xiǎn)有下列內(nèi)容：◆組織計(jì)劃（organizationplanning）◆應(yīng)用系統(tǒng)的定義和開(kāi)發(fā)（applicationsystemsdefinitionanddeployment）◆邏輯安全和安全管理（logicalsecurityandsecurityadministration）◆計(jì)算機(jī)和網(wǎng)絡(luò)操作（computerandnetworkoperations）◆數(shù)據(jù)和數(shù)據(jù)庫(kù)管理（dataanddatabasemanagement）◆核心業(yè)務(wù)數(shù)據(jù)恢復(fù)（businessdatacenterrecovery）03012、基礎(chǔ)設(shè)施風(fēng)險(xiǎn)基礎(chǔ)設(shè)施風(fēng)險(xiǎn)（infr433、

獲得性風(fēng)險(xiǎn)

獲得性風(fēng)險(xiǎn)（availabilityrisk）是指企業(yè)在獲得數(shù)據(jù)時(shí)的風(fēng)險(xiǎn)，如破壞者經(jīng)常利用郵件轟炸來(lái)阻礙服務(wù)，或者對(duì)服務(wù)系統(tǒng)提出虛假請(qǐng)求，這給網(wǎng)絡(luò)用戶提供服務(wù)帶來(lái)了一種危險(xiǎn)。

◆通過(guò)事先對(duì)行為的監(jiān)督和對(duì)系統(tǒng)問(wèn)題的解決，能夠避免此類的風(fēng)險(xiǎn)。

◆獲得性風(fēng)險(xiǎn)與系統(tǒng)的短期中斷相關(guān)聯(lián)

◆獲得性風(fēng)險(xiǎn)與信息處理過(guò)程長(zhǎng)時(shí)間中斷也有關(guān)聯(lián)，其重點(diǎn)是諸如備份與應(yīng)急計(jì)劃等控制手段。4、其他與商務(wù)相關(guān)的風(fēng)險(xiǎn)◆正確性風(fēng)險(xiǎn)（validityrisk）◆效率風(fēng)險(xiǎn)（efficiencyrisk）◆周期性風(fēng)險(xiǎn)（cycletimerisk）◆報(bào)廢風(fēng)險(xiǎn)（obsolescencerisk）◆業(yè)務(wù)中斷風(fēng)險(xiǎn)（businessinterruptionrisk）◆產(chǎn)品失敗風(fēng)險(xiǎn)（productfailrisk）03013、獲得性風(fēng)險(xiǎn)獲得性風(fēng)險(xiǎn)（a444.3內(nèi)部控制體系1、控制環(huán)境控制環(huán)境包括以下因素：◆品行、職業(yè)道德和能力◆董事會(huì)的指導(dǎo)及關(guān)注程度◆管理層的管理哲學(xué)與經(jīng)營(yíng)風(fēng)格◆權(quán)力和責(zé)任的分配◆人力資源政策和措施2、風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管理在其它地方已經(jīng)討論過(guò)。風(fēng)險(xiǎn)評(píng)估是設(shè)計(jì)、評(píng)價(jià)內(nèi)部控制體系的一個(gè)重要組成部分。在企業(yè)層次上，需要考慮的風(fēng)險(xiǎn)：◆外部因素◆內(nèi)部因素03014.3內(nèi)部控制體系1、控制環(huán)境0301453、控制行為

信息系統(tǒng)控制分為兩組：綜合控制（generalcontrol）和應(yīng)用控制（applicationcontrol），圖6列舉了這兩組控制的內(nèi)容。圖6信息系統(tǒng)控制03013、控制行為信息系統(tǒng)控制分為46

4、信息與溝通

良好的溝通渠道可以確保反饋信息及時(shí)傳達(dá)給相關(guān)主管人員，在安全評(píng)估各層次之間，計(jì)劃與執(zhí)行各階段之間，都應(yīng)該有溝通渠道。5、監(jiān)控高效的監(jiān)控應(yīng)該是一個(gè)不斷進(jìn)行的過(guò)程而不是某一個(gè)孤立事件。如果發(fā)現(xiàn)問(wèn)題，而指定人員由于工作繁忙無(wú)法做出反應(yīng)，公司的安全政策與實(shí)際做法之間就會(huì)出現(xiàn)安全漏洞，在這種情況下，實(shí)行響應(yīng)報(bào)告制度是十分必要的。響應(yīng)報(bào)告制度要求有關(guān)人員記錄下他們針對(duì)報(bào)告的情況所采取的具體措施。03014、信息與溝通0301474.4內(nèi)部控制在風(fēng)險(xiǎn)管理中的作用除了傳統(tǒng)的獨(dú)立審計(jì)職能外，作為新的會(huì)計(jì)師職能，內(nèi)部控制的作用范圍正在日趨擴(kuò)充到整個(gè)電子商務(wù)行業(yè)，尤其在信息系統(tǒng)。普華永道是能夠提供這類服務(wù)的代表，它有一個(gè)全球風(fēng)險(xiǎn)管理服務(wù)（GRMS）分部，它可以提供下列服務(wù)：

1、戰(zhàn)略性風(fēng)險(xiǎn)管理2、金融風(fēng)險(xiǎn)管理3、運(yùn)作與系統(tǒng)風(fēng)險(xiǎn)管理4、技術(shù)風(fēng)險(xiǎn)服務(wù)5、具體部署服務(wù)6、環(huán)境服務(wù)

03014.4內(nèi)部控制在風(fēng)險(xiǎn)管理中的作用0301485控制風(fēng)險(xiǎn)與實(shí)施計(jì)劃5.1控制支出不足與控制支出風(fēng)險(xiǎn)控制支出不足（controlweakness）一詞用來(lái)形容實(shí)施控制的成本小于預(yù)期利潤(rùn)的情況?？刂浦С鲲L(fēng)險(xiǎn)（controlrisk）一詞則用來(lái)形容額外控制的預(yù)期利潤(rùn)可能不會(huì)超過(guò)實(shí)施和保持這些控制的成本的情況。圖7風(fēng)險(xiǎn)程度與相關(guān)費(fèi)用03015控制風(fēng)險(xiǎn)與實(shí)施計(jì)劃5.1控制支出不足與控制支出風(fēng)險(xiǎn)圖495.2災(zāi)害拯救計(jì)劃即使是設(shè)計(jì)最好的系統(tǒng)也避免不了自然災(zāi)害。因此，所有的公司應(yīng)該制定一個(gè)災(zāi)害拯救計(jì)劃（disasterrecoveryplan），其目的是為了在因不可預(yù)見(jiàn)的人或自然災(zāi)害發(fā)生而造成操作中斷時(shí)能恢復(fù)操作。1、災(zāi)害拯救計(jì)劃的目標(biāo)

完善的拯救應(yīng)涉及以下目標(biāo)：◆評(píng)估薄弱環(huán)節(jié)◆防止和減少風(fēng)險(xiǎn)◆設(shè)計(jì)出高效益-低成本的解決方案◆最大限度地減少業(yè)務(wù)中斷，保障業(yè)務(wù)的繼續(xù)進(jìn)行◆提供被選的互聯(lián)網(wǎng)接入模式◆恢復(fù)丟失的數(shù)據(jù)◆提供災(zāi)害拯救的步驟◆訓(xùn)練雇員熟悉災(zāi)害拯救步驟2、備用第二地址

服務(wù)器的連續(xù)性是評(píng)判災(zāi)害拯救計(jì)劃好壞的關(guān)鍵因素。如果公司原地址不能服務(wù)，那么就需要第二地址來(lái)繼續(xù)服務(wù)。03015.2災(zāi)害拯救計(jì)劃即使是設(shè)計(jì)最好的系506電子商務(wù)的第三方保證什么是電子商務(wù)的第三方？廣義地說(shuō)，是電子商務(wù)交易雙方以外的部門或機(jī)構(gòu)。第三方主要是完成商務(wù)背景的處理，起到商務(wù)運(yùn)作中的標(biāo)準(zhǔn)制定、合法性確認(rèn)、影響機(jī)制和糾紛解決等作用，以降低電子商務(wù)運(yùn)作中雙方交易的風(fēng)險(xiǎn)，這一些就是電子商務(wù)的第三方保證。1標(biāo)準(zhǔn)制定為了降低交易的風(fēng)險(xiǎn)，標(biāo)準(zhǔn)制定必須涵蓋交易的全過(guò)程，主要包括：數(shù)據(jù)安全、商業(yè)政策、交易處理完整性、數(shù)據(jù)私密和網(wǎng)站標(biāo)記等。2合法性確認(rèn)

必須在符合電子商務(wù)法律規(guī)范的框架下，還要包括：

◆建立行業(yè)支持這種規(guī)范的認(rèn)證；◆外部中介機(jī)構(gòu)促使認(rèn)證過(guò)程的合法化；◆公司的優(yōu)良承諾保證交易執(zhí)行，減少或杜絕“檸檬”問(wèn)題。03016電子商務(wù)的第三方保證什么是513影響機(jī)制影響機(jī)制能夠刺激交易雙方履行義務(wù)，以減少交易雙方的風(fēng)險(xiǎn)。借助信息中間媒介（informationintermediaries）的服務(wù)和網(wǎng)站標(biāo)記，可以有效低刺激影響機(jī)制。信息中間媒介指的是專門從事于不同行業(yè)生產(chǎn)的產(chǎn)品和服務(wù)的質(zhì)量進(jìn)行評(píng)估的公司或組織。這種組織對(duì)消費(fèi)者交易雙方有很大的促進(jìn)作用。4解決糾紛

解決糾紛的手段主要有直接談判、訴諸法律或者采用武力等。解決糾紛的機(jī)構(gòu)或組織，除了傳統(tǒng)法律機(jī)構(gòu)外，網(wǎng)上法庭、認(rèn)證機(jī)構(gòu)、網(wǎng)站標(biāo)記組織等等，應(yīng)該在各自的范圍內(nèi)，促使糾紛的解決。03013影響機(jī)制0301527智能代理與電子商務(wù)7.1智能代理的定義智能代理是一種輔助使用者并代表其行動(dòng)的軟件。智能代理的工作原理就是讓使用者向代理軟件分派（delegate）他們本來(lái)可以自己執(zhí)行的任務(wù)。代理可以像助理一樣自動(dòng)執(zhí)行重復(fù)任務(wù)，記住你忘記的事情，智能化地總結(jié)復(fù)雜的數(shù)據(jù)，向你學(xué)習(xí)，甚至并向你建議。7.2智能代理的能力

智能代理能夠執(zhí)行許多功能。吉爾伯特（Gilbert，1997）定義了三個(gè)主要標(biāo)準(zhǔn)：代理、智能、移動(dòng)性。