|
电子商务不仅改变了消费者的生活方式,同时也使得企业的交货方式和经营方式发生转变。下面是一篇研究电子商务安全风险管理的论文,欢迎阅读。
摘要:但是电子商务与其他新生事物一样,既带来了巨大的机遇,也带来了许多不容忽视的风险,这些风险有待解决。电子商务风险管理成为电子商务发展的重要任务,因此要解决好电子商务的安全风险问题,针对问题的根源,采用一种综合防范的思路,从多方面去认识,寻找解决方法。
关键词:电子商务 风险管理 解决方法
随着开放的互联网络系统Internet的飞速发展,电子商务的应用和推广极大地改变了人们工作和生活方式,带来了无限的商机。然而,电子商务发展所依托的平台互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展;此外,电子商务的发展还面临着严峻的内部风险,电子商务企业内部对安全问题的盲目和安全意识的淡薄,高层领导对电子商务的运作和安全管理重视程度不足,使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此,在考察电子商务运行环境、提供电子商务安全解决方案的同时,有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。
电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡量、分析,并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。
1.电子商务的内涵
1.1内涵
电子商务一词源于英文 Electronic Commerce或 Electronic Business,现已经成为当代社会的潮流,其含义有两个内容,其一,电子方式,其二,商贸活动,即整个商务过程的电子化、网络化和数字化,交易双方可以便捷却并不面对面地进行各种商贸活动,利用这种快速、低成本的电子通讯方式,它将覆盖与商务活动有关的方方面面。
针对人们对这个热词理解的不同,电子商务有广义和狭义之分。广义上说,电子商务是指利用一切电子方式所从事的贸易活动。电子方式指的是电子技术设备、电子技术工具及系统,包括早期的电报、电视、电话、传真、Email、广播、电子计算机、电信网络和当今的电子货币、信用卡、网银盾、信息基础设施及互联网等现代通信网络系统。贸易活动则指的是一系列市场经济活动,包括信息发布、询价报价、洽谈、签约、结算支付、商业交易、国内外贸易等等。由于信息技术快速发展和计算机网络的普及使电子商务得到广泛地运用,从狭义上讲,电子商务则是利用计算机网络进行的商务活动。
1.2分类
目前,电子商务按交易内容基本分为直接电子商务和间接电子商务两大类型。直接电子商务是指商家将服务产品和无形商品内容数字化,不需要某种特定物质形式的包装,直接在网上以电子形式传送给消费者,通过互联网或专用网直接实现交易。间接电子商务又称不完全的电子商务,指在网上进行的交易环节只能是订货、支付和部分的售后服务,而商品的配送还需依靠送货的运输系统等外部要素,即由专业的服务机构或现代物流配送公司去完成。
2.电子商务面临的安全风险
2.1互联网络的开放化带来的数据破坏风险
电子商务是以互联网络为平台的贸易新模式,它的一个最大特点是强调参加交易的各方和所合作的伙伴都要通过Internet密切结合起来,共同从事在阿络环境下的商业电子化应用。在电子商务环境下商务交易必须通过互联网络来进行,而互联网体系使用的是开放式的TCP/IP协议,它以广播的形式进行传播。容易受到计算机病毒、黑客的攻击,商业信息和数据易于搭截侦听、口令试探和窃取,给企业的数据信息安全带来极大威胁,如遭破坏或泄密,将会给电子企业、商户造成巨大的损失。
2.2系统软件安全漏洞带来的风险
由于现阶段广泛应用的主流操作系统和数据库管理系统是从国外引进直接使用的产品。核心技术还是使用引进的版本。这些系统安全性存在系统漏洞等不少危及信息安全的问题。系统软件安全漏洞带来的风险主要来自操作系统软件和数据库管理系统软件的安全漏洞。没有作系统的保护,就不可能有网络系统的安全,也不可能有应用软件信息处理的安全性。
2.3来自社会的外来入侵风险
电子商务容易被来自社会上的不法分子通过互联网络非法入侵,主要表现形式是黑客和病毒等对电子商务系统的文件和数据的篡改和破坏,是一种社会道德风险。黑客通过闯入他人计算机系统进行破坏,这些人利用电子商务系统和管理上的一些漏洞,进入计算机系统后,破坏或篡改重要数据,盗取机密与资源,控制他人的机器,清除记录。设置后门,给电子商务系统带来灾难性的后果。而计算机病毒是人为编写的一组程序,可以攻击电子商务系统的数据区、文件和内存,以致使计算机的硬件失灵,软件瘫痪。数据破坏,系统崩溃,给企业和商户造成无法挽回的巨大损失。
2.4电子商务本身内部监管漏洞带来的风险
电子商务本身如果缺乏约束机制,责权不明,管理混乱、安全管理制度不健全等是引起电子商务系统安全风险的头号风险根源。如果没有严格的可操作性的内部管理制度,容易造成当系统出现攻击行为或受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警,而且,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对系统的可控性与可审查性。
3.电子商务交易运行的风险
3.1信用风险
传统商务交易一般使用以纸为介质形式的手写签名或证明文件等方式来证明或确认商务的交易,应该说比较容易辨认真伪,操作显得比较容易。而在基于互联网络为交易平台的电子商务形式下,参与商业交易均在互联网上进行,双方并不存在与传统商业模式的见面、磋商、谈判、监证、签署文件等问题,这就需要通过一定的技术手段相互认证,如数据加密技术、数字签名、数字证书等技术来保证电子商务交易的安全。在电子商务环境下,由于电子报表、电子文件、电子合同等无纸介质的使用,无法使用传统的签字方式,从而在辨别真伪上存在新的风险,电子商务的成功与否取决于消费者对网上交易的信任程度,电子商务的信任风险实质是由网络交易的虚拟化造成的,首先是买方信用风险。在网络中个人可以任意伪造信息,可以伪造假信用卡骗取卖方商品。从而给卖方带来风险。然后是卖方信用风险,由于信息不对称的原因消费者不可能全部掌握商家商品信息。卖方商品信息不完全、不准确或商家过分诱导消费者从而误导消费者购买行为;另外,卖家单方面毁约。不履行交易,也会对买方造成损失。所以电子商务应用过程中遇到的信用风险问题,是值得关注的问题。
3.2法律风险
电子商务在交易过程中存在法律风险,由于电子商务是在网络间进行的,电子商务交易可以看作是无纸贸易,是一个虚拟环境的交易,当前对这些虚拟交易的法律监管却并不完善,这些问题使得电子商务认证、交易会有不受法律保护的风险。另外,电子商务贸易还存在知识产权的风险,网络是个开放的平台,资源在网络中的传播是畅通的。在网络中资源的共享性使得有知识产权的资源受保护的力度被降低,因此可能带来电子商务交易的知识产权纠纷等法律的风险问题。
3.3电子商务风险管理
电子商务安全的风险管理(Risk Management)是对电子商务系统的安全风险进行识别、衡量、分析,并在此基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。其本质就是防患于未然:事前加以消减和控制,事后积极响应和处理,为响应和处理所做的准备就是制订应急计划。
4.风险管理步骤
了解了电子商务存在的风险之后,需要对这些风险进行管理和控制。具体包括风险识别、风险分析、风险应对和风险监控4个过程。选择有效的手段,以尽可能降低成本,有计划地处理风险,以获得企业安全运作的经济保障。这就要求企业在日常经营过程中,应对可能发生的风险进行识别,预测各种风险发生后对资源及日常经营造成的消极影响,使企业能够顺利经营。
4.1 风险识别
对电子商务系统的安全而言,风险识别的目标主要是对电子商务系统的网络环境风险、数据存取风险和网上支付风险进行识别。识别风险的方法有很多,主要有:试验数据和结果、专家调查法、事件树分析法。电子商务风险识别最常用的一种方法就是收集各种曾经发生过的电子商务攻击事件(不仅局限于本企业),经过分析提取出若干特征,将其存储到风险库,作为识别潜在风险的参考。
4.2风险分析
风险分析的目的是确定每种风险对企业影响的大小,一般是对已经识别出来的电子商务风险进行量化估计。这里量化的概念主要指风险影响指标,风险概率以及风险值。技术安全是电子商务实现的基础,其重要性不言而喻,因此在该项目规划、计划阶段就应充分考虑。
4.3 风险应对(风险控制)
根据风险性质和企业对风险的承受能力制订相应的防范计划,即风险应对。确定风险的应对策略后,就可编制风险应对计划。电子商务的技术风险控制主要是针对网络环境风险、数据存取风险和网上支付风险制订风险应对策略,从硬件、软件两方面加强IT基础设施建设。
4.4风险监控
制定规划,实施保护措施,在保护措施实施的每一个阶段都要进行监控和跟踪。风险贯穿于电子商务项目的整个生命周期中,因而风险管理是个动态的、连续的过程。因此制订了风险防范计划后,还需要时刻监督风险的发展与变化情况。
5.风险管理规则的制定
5.1评估阶段
该阶段的主耍任务是对电子商务的安全现状、要保护的信息、各种资产等进行充分的评估以及一些基本的安全风险识别和分析。
对电子商务安全现状的评估是制定风险管理规则的基础。
对信息和资产的评估是指对可能遭受损失的相关信息和资产进行价值的评估,以便确定相适应的风险管理规则,从而避免投入成本和要保护的信息和资产的严重不匹配。
安全风险识别要求尽可能地发现潜在的安全风险,应收集有关各种威胁、漏洞、开发和对策的信息。
安全风险分析是确定风险,收集信息,对可能造成的损失进行评价以估计风险的级别,以便做出明智的决策,从而采取措施来规避安全风险。
5.2开发和实施阶段
该阶段的任务包括风险补救措施开发、风险补救措施测试和风险知识学习。 风险补救措施开发利用评估阶段的成果来建立一个新的安全管理策略,其中涉 及配置管理、修补程序管理、系统监视与审核等等。
在完成对风险补救措施的开发后,即进行安全风险补救措施的测试,在测试过程中,将按照安全风险的控制效果来评估对策的有效性。
5.3运行阶段
运行阶段的主耍任务包括在新的安全风险管理规则下评估新的安全风险。这个过程实际上是变更管理的过程,也是执行安全配置管理的过程。运行阶段的第二个任务是对新的或已更改的对策进行稳定性测试和部署。这个 过程由系统管理、安全管理和网络管理小组来共同实施。
6.风险管理对策
由于电子商务安全的重要性,所以部署一个完整有效的电子商务安全风险管理对策显得十分迫切。制定电子商务安全风险管理对策目的在于消除潜在的威胁和安全漏洞,从而降低电子商务系统环境所面临的风险。
6.1缩短电子商务项目周期,增加更多的项目选择
减轻电子商务风险的一个最简单的方法就是缩短电子商务项目周期,因为电子商务所面临的外界环境,如技术环境,竞争环境等变化太快,如果电子商务项目过大,即使你的项目本身成功了,但由于环境的改变,这个成功的电子商务项目未必能给企业带来原先设想的利益。
6.2自上而下的风险意识
很多的企业认为,电子商务项目是个技术项目,只需要相关的技术部门参与就可以了。有调查显示,大多数企业在进行电子商务化的过程中,缺乏高级管理层的重视,这也是电子商务项目成功率不高的原因。而对于成功的电子商务企业,往往在进行电子商务项目时,不仅受到企业决策层的高度关注,而且普通的员工也都非常清楚电子商务化的目标,这样自上而下的对于电子商务知识的了解,也是这些公司成功运作电子商务的原因之一。所以对于将要从事电子商务的企业,不仅要让全体员工了解电子商务的知识,而且要了解电子商务的风险,要形成一个自上而下的全员参与、全员重视的风险意识。
6.3改变企业内部运作流程
现在仍有很多企业认为电子商务无非就是建一个网站,所以这些企业在从事电子商务时,往往会遭遇失败。电子商务给企业提供很好的机会改变其内部和外部商业运作流程,如果企业不改变其商业运作流程,而直接进入电子商务,不仅企业对电子商务的投资会失败而且会影响到整个企业的声誉。所以在企业加入电子商务行业前,一定要改造自己内部的运作流程,使之适应电子商务的要求。实行电子商务的商户,在内部管理制度上应健全相应的规章制度,例如:制定制度来规范和约束员工的行为,根据其工作的重要程度,确定该系统的安全等级。制订相应的机房出入管理制度对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。对操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围;制订完备的系统维护制度,对系统进行维护时。应采取数据保护措施。如数据备份等。另外制定人员激励机制也很重要,应建立人员雇用和解聘制度。及时对工作人员进行评价,制定奖惩制度,调动工作人员的工作责任感和积极性。
6.4滚动的战略计划
电子商务时代的不确定性和快速变化,使得详细的战略经营计划的作用越来越小。我们现在经常看到的是,电子商务企业有一个明确的五年计划,其中第一年计划较详细,而其他年份则是较粗略的,因为在这些计划实施的时间到来之前,环境可能已经发生变化了。这说明了确保五年目标具有相关性的滚动计划的十分必要的,应当定期修改计划来适应变化了的环境。当然,这种方法的实施也应具体问题具体分析,应当考虑各个企业所面临的具体环境而有所不同。
6.5降低成本与实现可持续发展
电子商务的发展是大势所趋,但电子商务在给企业带来机遇的同时也产生了新的风险。正如在所有的风险管理当中一样,我们考虑的是未来事件出现的不确定性和可能性;在电子商务中,这种不确定性甚至更大,这使得电子商务风险管理成为一项相当繁重的工作。因此要解决好电子商务的安全风险问题,应该针对问题的根源,采用一种综合防范的思路,从多方面去认识,寻找解决方法,这对加快我国电子商务的发展有着重要的意义。
6.6加强技术保证,确保电子商务信息的安全
针对电子商务依靠互联网络平台来开展的网络开放性的特点,特别是要针对互联网体系使用的是开放式的TCP/IP协议,给企业信息和数据安全带来的极大威胁的安全隐患。对如何保障企业的信息数据和重大商业机密,是确保开展电子商务的企业的重要技术保障和前提条件,只有高度重视电子商务的信息安全,才能保证其运行安全,这就需要有强大的技术安全保障措施,不但要制定完善的技术保障措施,更要严格执行制度,才能确保电子商务信息的安全。例如:我们在企业内部网和互联网之间要加一道防火墙,防止黑客或计算机病毒的袭击。保护企业内部网中的机密商业信息数据。另外,利用现有的信息新技术将数字签名技术应用于电子商务的身份认证,可以防止非法用户假冒身份,从而保证电子支付的安全,增强电子商务信息的安全保障措施是电子商务顺利开展的重要技术保障。
6.6.1加强电子商务网络安全的开发及运用
目前电子商务的运作涉及信息、资金、商业秘密等安全问题,由于其电子数据具有无形化的特征,而有关认证机制或者网上安全技术均不够完善,因此有必要对互联网进行本质上的重新设计,使其保证电子商务活动的正常进行,这涉及到多方面的技术应用,如防木马、防火墙、加密、认证等。面对电子商务网络安全威胁,必须采取各种各样的管理措施,满足商务交易运行的安全性。
6.6.2建立电子商务的信用保障体系
电子商务交易模式与其他交易模式相比具有更多的风险,然而引起这些风险的原因还在于带来这些风险的人的失信行为。消除这些风险的,需要一个第三方信用服务认证机构通过技术手段来帮助参与电子商务交易的各方提出解决方案,使风险降至最低。
6.6.3完善电子商务税收征管机制
首先,出台相应法律法规,扶持电子商务。我国应出台相关的法律法规,鼓励与扶持国内企业利用电子商务,并应坚持税收中性原则,使企业对市场行为和贸易方式的选择不受征税影响。其次,借助计算机网络,加快税收征管改革。现在,电子商务发展迅速,交易的无纸化使得税务机关必须改革以传统的以纸质凭据作为纳税依据的征管制度,以便税务机关稽查,做到税收无纸化,提高效率,从而适应电子商务发展的要求。最后,加强与银行等中介机构的信息确认,获取真实可靠的征管信息。税务机关应同银行等中介机构合作,通过联网获取企业在电子商务平台中交易的相关信息,对企业的资金流向实施有效监控,防止企业偷逃税。
6.7加强复合型人才的培养
实现电子商务环境是当今全球经济一体化、信息化时代的一种发展趋势,重视复合型人才的培养是电子商务成功与否的决定因素。所谓电子商务的复合型人才是指要求电子商务管理人员既要有计算机知识,还要有管理理论和商务、金融、法律等知识。对电子商务管理人员进行培训,通过学习现代电子网络技术,将经济、金融、法律、网络有机地结合。对商务交易、金融活动的网络化、数字化有比较深刻的认识,加深对电子商务环境下的风险认识和防范。从而提高员工适应电子商务的工作能力和创新能力,更好地开展电子商务这一新兴的贸易模式。
结论
电子商务的开展以信息技术为基础,如何解决电子商务中存在的安全问题已成为一个迫在眉睫的课题。电子商务风险是不可能完全消除的,因为它是与电子商务共生的,是电子商务的必然产物,但是,可以将风险限制在影响最小的范围之内。只有了解风险,才能规避风险。本文从安全风险管理的角度出发,分析了电子商务中可能存在的技术风险,论述了这些风险的控制策略,希望对企业开展电子商务活动起到一定的积极作用电子商务作为一种新的交易方式,已成为我国经贸发展领域的主流力量,并将成为国际经贸合作的主要平台。然而电子商务所存在的或将出现的风险问题是不可能完全消除的,它是伴随电子商务的产生而出现的必然产物。由于电子商务风险在不同的应用领域所产生的危害程度各不相同,所以电子商务风险管理的目标是将其存在的风险所造成的影响尽可能控制最小的范围之内。此外,无论是再好的安全措施也要有应对突发的安全问题的应急方案。最重要的是政府必须尽快制定并完善相关政策,适应高速发展的电子商务进程,确保电子商务交易的安全、透明、高效。
参考文献
[1]调查报告编委会.1997-2009:中国电子商务十二年调查报告[EB/OL].http://www.b2b.toocle.com,2009-10-12.
[2]贾建华,阚宏.国际贸易理论与实务[M].修订第四版.北京:首都经济贸易大学出版社,2004:143-147.
[3]邱新泉.电子商务风险与对策研究.信息技术,155-156
[3] 刘伟江,王勇。电子商务风险及控制策略[J].东北师范大学学报:哲学社会科学版,2005,(11)。
[5] 高新亚,邹静.电子商务安全的风险分析和风险管理.武汉理工大学学报. 信息与管理工程版.2005.8
[6] 郭学勤,陈怡.电子商务安全对策.计算机与数字工程.2001.7 [7] 李晶.电子商务安全防范措施.安徽科技.2003.4
[7]彭连刚. 电子商务及其安全问题探析. 长沙航空职业技术学院学报 , 2005, (02)
[8]专业文献资料http://wenku.baidu.com/view/4b48f37ca26925c52cc5bffd.html
[9]杜宏. 电子商务安全风险研究 内蒙古科技与经济,2004,(01)
[10]易珊,张学哲.电子商务安全策略分析.科技情报开发与经济.2004.5 |
|