文獻(xiàn)綜述電子商務(wù)的風(fēng)險及其安全管理技術(shù)

PAGEPAGE4前言在新千年初，許多商務(wù)網(wǎng)站就受到了黑客們不同層次的攻擊，這些網(wǎng)站包括eBay，eTrade，Yahoo等著名的公司。不斷出現(xiàn)的"梅莉莎""愛蟲"等病毒的瘋狂肆虐使得全球成千上萬臺電腦癱瘓，嚴(yán)重地影響了企業(yè)的業(yè)務(wù)運(yùn)作，直接導(dǎo)致幾十億美元的損傷。電子商務(wù)的風(fēng)險很大。電子商務(wù)業(yè)務(wù)運(yùn)作模式的開放性和全球化使得安全的含義更為廣泛，安全性方面的管理要求更高，所受到重視的程度更高。眾所周知，安全才是網(wǎng)絡(luò)的生存之本。沒有安全保障的信息資產(chǎn)，就無法實(shí)現(xiàn)自身的價值。作為信息的載體，網(wǎng)絡(luò)亦然。網(wǎng)絡(luò)安全的危害性顯而易見，而造成網(wǎng)絡(luò)安全問題的原因各不相同。而企業(yè)比以往任何時候都更需要知道其合作伙伴的真實(shí)身份。客戶需要保證其保密信息不會被暴露。電子商務(wù)的安全管理變的尤為重要。電子數(shù)據(jù)安全是建立在計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)上的一個子項(xiàng)安全系統(tǒng)，它既是計算機(jī)網(wǎng)絡(luò)安全概念的一部分，但又和計算機(jī)網(wǎng)絡(luò)安全緊密相連，從一定意義上講，計算機(jī)網(wǎng)絡(luò)安全其實(shí)質(zhì)即是電子數(shù)據(jù)安全。國際標(biāo)準(zhǔn)化組織(ISO)對計算機(jī)網(wǎng)絡(luò)安全的定義為：“計算機(jī)系統(tǒng)有保護(hù)計算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)不被偶然或故意地泄露、更改和破壞?！睔W洲幾個國家共同提出的“信息技術(shù)安全評級準(zhǔn)則”，從保密性、完整性和可用性來衡量計算機(jī)安全。摘要電子商務(wù)不僅給企業(yè)帶來新的機(jī)遇，同樣也帶來了新的風(fēng)險。本文將主要分析三種類型的電子商務(wù)的風(fēng)險：商業(yè)風(fēng)險，技術(shù)風(fēng)險和法律風(fēng)險。企業(yè)只有在充分了解了電子商務(wù)風(fēng)險，才能更好的安全管理。電子商務(wù)業(yè)務(wù)運(yùn)作模式的開放性和全球化使得安全的含義更為廣泛，安全性方面的管理要求更高，所受到重視的程度更高。對電子數(shù)據(jù)安全的基本認(rèn)識及其電子數(shù)據(jù)安全的性質(zhì)的了解。關(guān)鍵詞：電子商務(wù)；風(fēng)險；電子數(shù)據(jù)安全電子商務(wù)的風(fēng)險電子商務(wù)不僅給企業(yè)帶來新的機(jī)遇，同樣也帶來了新的風(fēng)險。本文將主要分析三種類型的電子商務(wù)的風(fēng)險：商業(yè)風(fēng)險，技術(shù)風(fēng)險和法律風(fēng)險。企業(yè)只有在充分了解了電子商務(wù)風(fēng)險，才能真正享受電子商務(wù)帶來的成功。1．商業(yè)風(fēng)險給企業(yè)帶來新的商業(yè)風(fēng)險的是IT技術(shù)在企業(yè)中的應(yīng)用，許多企業(yè)為了擴(kuò)展市場開拓新業(yè)務(wù)，投人了大量資金進(jìn)行企業(yè)的電子化，當(dāng)IT策略與商務(wù)策略整合的時候，計算機(jī)、互聯(lián)網(wǎng)、內(nèi)聯(lián)網(wǎng)、數(shù)據(jù)庫等信息技術(shù)使企業(yè)商務(wù)必然形成全新的商業(yè)風(fēng)險。這些新的商業(yè)風(fēng)險歸納起來主要體現(xiàn)在以下幾個方面。(1)競爭環(huán)境風(fēng)險。(2)企業(yè)流程再造風(fēng)險。(3)消費(fèi)者高期望的風(fēng)險。(4)企業(yè)合作風(fēng)險。2．技術(shù)風(fēng)險(1)信息技術(shù)基礎(chǔ)設(shè)施風(fēng)險。(2)技術(shù)應(yīng)用風(fēng)險。3．法律風(fēng)險1．電子商務(wù)交易法律風(fēng)險2．隱私風(fēng)險3．知識產(chǎn)權(quán)風(fēng)險2．淺議電子數(shù)據(jù)安全1．對電子數(shù)據(jù)安全的基本認(rèn)識電子數(shù)據(jù)安全是建立在計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)上的一個子項(xiàng)安全系統(tǒng)，它既是計算機(jī)網(wǎng)絡(luò)安全概念的一部分，但又和計算機(jī)網(wǎng)絡(luò)安全緊密相連，從一定意義上講，計算機(jī)網(wǎng)絡(luò)安全其實(shí)質(zhì)即是電子數(shù)據(jù)安全。國際標(biāo)準(zhǔn)化組織(ISO)對計算機(jī)網(wǎng)絡(luò)安全的定義為：“計算機(jī)系統(tǒng)有保護(hù)計算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)不被偶然或故意地泄露、更改和破壞?！睔W洲幾個國家共同提出的“信息技術(shù)安全評級準(zhǔn)則”，從保密性、完整性和可用性來衡量計算機(jī)安全。對電子數(shù)據(jù)安全的衡量也可借鑒這三個方面的內(nèi)容，保密性是指計算機(jī)系統(tǒng)能防止非法泄露電子數(shù)據(jù)；完整性是指計算機(jī)系統(tǒng)能防止非法修改和刪除電子數(shù)據(jù)；可用性是指計算機(jī)系統(tǒng)能防止非法獨(dú)占電子數(shù)據(jù)資源，當(dāng)用戶需要使用計算機(jī)資源時能有資源可用。2．電子數(shù)據(jù)安全的性質(zhì)電子數(shù)據(jù)安全包括了廣義安全和狹義安全。狹義安全僅僅是計算機(jī)系統(tǒng)對外部威脅的防范，而廣義的安全是計算機(jī)系統(tǒng)在保證電子數(shù)據(jù)不受破壞并在給定的時間和資源內(nèi)提供保證質(zhì)量和確定的服務(wù)。在電子數(shù)據(jù)運(yùn)行在電子商務(wù)等以計算機(jī)系統(tǒng)作為一個組織業(yè)務(wù)目標(biāo)實(shí)現(xiàn)的核心部分時，狹義安全固然重要，但需更多地考慮廣義的安全。在廣義安全中，安全問題涉及到更多的方面，安全問題的性質(zhì)更為復(fù)雜。(1)電子數(shù)據(jù)安全的多元性在計算機(jī)網(wǎng)絡(luò)系統(tǒng)環(huán)境中，風(fēng)險點(diǎn)和威脅點(diǎn)不是單一的，而存在多元性。這些威脅點(diǎn)包括物理安全、邏輯安全和安全管理三個主要方面。物理安全涉及到關(guān)鍵設(shè)施、設(shè)備的安全和硬件資產(chǎn)存放地點(diǎn)的安全等內(nèi)容；邏輯安全涉及到訪問控制和電子數(shù)據(jù)完整性等方面；安全管理包括人員安全管理政策、組織安全管理政策等內(nèi)容。電子數(shù)據(jù)安全出現(xiàn)問題可能是其中一個方面出現(xiàn)了漏洞，也可能是其中兩個或是全部出現(xiàn)互相聯(lián)系的安全事故。(2)電子數(shù)據(jù)安全的動態(tài)性

由于信息技術(shù)在不斷地更新，電子數(shù)據(jù)安全問題就具有動態(tài)性。因?yàn)樵诮裉鞜o關(guān)緊要的地方，在明天就可能成為安全系統(tǒng)的隱患；相反，在今天出現(xiàn)問題的地方，在將來就可能已經(jīng)解決。例如，線路劫持和竊聽的可能性會隨著加密層協(xié)議和密鑰技術(shù)的廣泛應(yīng)用大大降低，而客戶機(jī)端由于B0這樣的黑客程序存在，同樣出現(xiàn)了安全需要。安全問題的動態(tài)性導(dǎo)致不可能存在一勞永逸的解決方案。

(3)電子數(shù)據(jù)安全的復(fù)雜性

安全的多元性使僅僅采用安全產(chǎn)品來防范難以奏效。例如不可能用一個防火墻將所有的安全問題擋在門外，因?yàn)楹诳统３＠梅阑饓Φ母綦x性，持續(xù)幾個月在防火墻外試探系統(tǒng)漏洞而未被發(fā)覺，并最終攻入系統(tǒng)。另外，攻擊者通常會從不同的方面和角度，例如對物理設(shè)施或協(xié)議、服務(wù)等邏輯方式對系統(tǒng)進(jìn)行試探，可能繞過系統(tǒng)設(shè)置的某些安全措施，尋找到系統(tǒng)漏洞而攻入系統(tǒng)。它涉及到計算機(jī)和網(wǎng)絡(luò)的硬件、軟件知識，從最底層的計算機(jī)物理技術(shù)到程序設(shè)計內(nèi)核，可以說無其不包，無所不在，因?yàn)楣粜袨榭赡懿⒉皇菃蝹€人的，而是掌握不同技術(shù)的不同人群在各個方向上展開的行動。同樣道理，在防范這些問題時，也只有掌握了各種入侵技術(shù)和手段，才能有效的將各種侵犯拒之門外，這樣就決定了電子數(shù)據(jù)安全的復(fù)雜性。

(4)電子數(shù)據(jù)安全的安全悖論

目前，在電子數(shù)據(jù)安全的實(shí)施中，通常主要采用的是安全產(chǎn)品。例如防火墻、加密狗、密鑰等，一個很自然的問題會被提出：安全產(chǎn)品本身的安全性是如何保證的?這個問題可以遞歸地問下去，這便是安全的悖論。安全產(chǎn)品放置點(diǎn)往往是系統(tǒng)結(jié)構(gòu)的關(guān)鍵點(diǎn)，如果安全產(chǎn)品自身的安全性差，將會后患無窮。當(dāng)然在實(shí)際中不可能無限層次地進(jìn)行產(chǎn)品的安全保證，但一般至少需要兩層保證，即產(chǎn)品開發(fā)的安全保證和產(chǎn)品認(rèn)證的安全保證。

(5)電子數(shù)據(jù)安全的適度性

由以上可以看出，電子數(shù)據(jù)不存在l00％的安全。首先由于安全的多元性和動態(tài)性，難以找到一個方法對安全問題實(shí)現(xiàn)百分之百的覆蓋；其次由于安全的復(fù)雜性，不可能在所有方面應(yīng)付來自各個方面的威脅；再次，即使找到這樣的方法，一般從資源和成本考慮也不可能接受。目前，業(yè)界普遍遵循的概念是所謂的“適度安全準(zhǔn)則”，即根據(jù)具體情況提出適度的安全目標(biāo)并加以實(shí)現(xiàn)。

參考文獻(xiàn)1.宋玲、電子商務(wù)--21世紀(jì)的機(jī)遇與挑戰(zhàn)、電子工業(yè)出版社、2000年3月1日2.中國電子商務(wù)前景看好、人民日報、2002.11.20第七版3.陳志萱、法國上網(wǎng)購物人數(shù)增加、經(jīng)濟(jì)時報、2002.11.204.王莉、物流學(xué)導(dǎo)論、中國鐵道出版社、199