电子商务安全风险管理的规则、步骤及对策

电子商务安全风险管理的规则 步电子商务安全风险管理的规则 步 骤及对策骤及对策 随着开放的互联网络系统 internet 的飞速发展 电子商务 的应用和推广极大了改变了人们工作和生活方式 带来了无限 的商机 然而 电子商务发展所依托的平台 互联网络却充满了 巨大 复杂的安全风险 黑客的攻击 病毒的肆虐等等都使得 电子商务业务很难安全顺利地开展 此外 电子商务的发展还 面临着严峻的内部风险 电子商务企业内部对安全问题的盲目 和安全意识的淡薄 高层领导对电子商务的运作和安全风险管 理重视程度不足 使得企业实施电子商务不可避免地会遇到这 样或那样的风险 因此 在考察电子商务运行环境 提供电子 商务安全解决方案的同时 有必要重点评估电子商务系统面临 的风险问题以及对风险有效管理和控制方法 电子商务安全风险管理 thldl 是对电子商务系统的安全风险 进行识别 衡量 分析 并在这基础上尽可能地以最低的成本 和代价实现尽可能大的安全保障的科学管理方法 一 电子商务面临的安全风险 由于网络的复杂性和脆弱性 以因特网为主要平台的电子 商务的发展面临着严峻的安全问题 一般来说 电子商务普遍 存在着以下几个安全风险 1 信息的截获和窃取 这是指电子商务相关用户或外来者未经授权通过各种技术 手段截获和窃取他人的文电内容以获取商业机密 2 信息的篡改 网络攻击者依靠各种技术方法和手段对传输的信息进行中 途的篡改 删除或插入 并发往目的地 从而达到破坏信息完 整性的目的 3 拒绝服务 拒绝服务是指在一定时间内 网络系统或服务器服务系统 的作用完全失效 其主要原因来自黑客和病毒的攻击以及计算 机硬件的认为破坏 4 系统资源失窃问题 在网络系统环境中 系统资源失窃是常见的安全威胁 5 信息的假冒 信息的假冒是指当攻击者掌握了网络信息数据规律或解密 了商务信息后 可以假冒合法用户或假冒信息来欺骗其它用户 主要表现形式有假冒客户进行非法交易 伪造电子邮件等 6 交易的抵赖 交易抵赖包括发信者事后否认曾经发送过某条信息 买家 做了定单后不承认 卖家卖出的商品因价格差而不承认原先的 交易等 二 安全风险管理规则 针对电子商务面临的各种安全风险 电子商务企业不能被 动 消极地应付 而应该主动采取措施维护电子商务系统的安 全 并监视新的威胁和漏洞 因此 这就需要制定完整高效的 电子商务安全风险管理规则 一般来说 安全风险管理规则的制定过程有评估 开发和 实施以及运行三个阶段 1 评估阶段 该阶段的主要任务是对电子商务的安全现状 要保护的信 息 各种资产等进行充分的评估以及一些基本的安全风险识别 和分析 对电子商务安全现状的评估是制定安全风险管理规则的基 础 对信息和资产的评估是指对可能遭受损失的相关信息和资 产进行价值的评估 以便确定相适应的安全风险管理规则 从 而避免投入成本和要保护的信息和资产的严重不匹配 安全风险识别要求尽可能地发现潜在的安全风险 应收集 有关各种威胁 漏洞 开发和对策的信息 安全风险分析是确定风险 收集信息 对可能造成的损失 进行评价以估计风险的级别 以便做出明智的决策 从而采取 措施来规避安全风险 2 开发和实施阶段 该阶段的任务包括风险补救措施开发 风险补救措施测试 和风险知识学习 风险补救措施开发利用评估阶段的成果来建立一个新的安 全管理策略 其中涉及配置管理 修补程序管理 系统监视与 审核等等 在完成对风险补救措施的开发后 即进行安全风险补救措 施的测试 在测试过程中 将按照安全风险的控制效果来评估 对策的有效性 3 运行阶段 运行阶段的主要任务包括在新的安全风险管理规则下评估 新的安全风险 这个过程实际上是变更管理的过程 也是执行 安全配置管理的过程 运行阶段的第二个任务是对新的或已更改的对策进行稳定 性测试和部署 这个过程由系统管理 安全管理和网络管理小 组来共同实施 以上风险管理规则的三个阶段可以用下图来表示 图 1 风险管理规则的三个阶段 三 安全风险管理步骤 安全风险管理是识别风险 分析风险并制定风险管理计划 的过程 电子商务安全风险的管理和控制方法 它包括风险识 别 风险分析 风险控制以及风险监控等四个方面 1 风险识别 电子商务系统的安全要求是通过对风险的系统评估而确认 的 为了有效管理电子商务安全风险 识别安全风险是风险管 理的第一步 风险识别是在收集有关各种威胁 漏洞和相关对策等信息 的基础上 识别各种可能对电子商务系统造成潜在威胁的安全 风险 风险识别的手段五花八门 对于电子商务系统的安全来说 风险识别的目标是主要是对电子商务系统的网络环境风险 数 据存在风险和网上支付风险进行识别 需要注意的是 并非所有的电子商务安全风险都可以通过 风险识别来进行管理 风险识别只能发现已知的风险或根据已 知风险较容易获知的潜在风险 而对于大部分的未知风险 则 依赖于风险分析和控制来加以解决或降低 随着开放的互联网络系统 internet 的飞速发展 电子商务 的应用和推广极大了改变了人们工作和生活方式 带来了无限 的商机 然而 电子商务发展所依托的平台 互联网络却充满了 巨大 复杂的安全风险 黑客的攻击 病毒的肆虐等等都使得 电子商务业务很难安全顺利地开展 此外 电子商务的发展还 面临着严峻的内部风险 电子商务企业内部对安全问题的盲目 和安全意识的淡薄 高层领导对电子商务的运作和安全风险管 理重视程度不足 使得企业实施电子商务不可避免地会遇到这 样或那样的风险 因此 在考察电子商务运行环境 提供电子 商务安全解决方案的同时 有必要重点评估电子商务系统面临 的风险问题以及对风险有效管理和控制方法 电子商务安全风险管理 thldl 是对电子商务系统的安全风险 进行识别 衡量 分析 并在这基础上尽可能地以最低的成本 和代价实现尽可能大的安全保障的科学管理方法 一 电子商务面临的安全风险 由於网络的复杂性和脆弱性 以因特网为主要平台的电子 商务的发展面临着严峻的安全问题 一般来说 电子商务普遍 存在着以下几个安全风险 1 信息的截获和窃取 这是指电子商务相关用户或外来者未经授权通过各种技术 手段截获和窃取他人的文电内容以获取商业机密 2 信息的篡改 网络攻击者依靠各种技术方法和手段对传输的信息进行中 途的篡改 删除或插入 并发往目的地 从而达到破坏信息完 整性的目的 3 拒绝服务 拒绝服务是指在一定时间内 网络系统或服务器服务系统 的作用完全失效 其主要原因来自黑客和病毒的攻击以及计算 机硬件的认为破坏 4 系统资源失窃问题 在网络系统环境中 系统资源失窃是常见的安全威胁 5 信息的假冒 信息的假冒是指当攻击者掌握了网络信息数据规律或解密 了商务信息後 可以假冒合法用户或假冒信息来欺骗其它用户 主要表现形式有假冒客户进行非法交易 伪造电子邮件等 6 交易的抵赖 交易抵赖包括发信者事後否认曾经发送过某条信息 买家 做了定单後不承认 卖家卖出的商品因价格差而不承认原先的 交易等 二 安全风险管理规则 针对电子商务面临的各种安全风险 电子商务企业不能被 动 消极地应付 而应该主动采取措施维护电子商务系统的安 全 并监视新的威胁和漏洞 因此 这就需要制定完整高效的 电子商务安全风险管理规则 一般来说 安全风险管理规则的制定过程有评估 开发和 实施以及运行三个阶段 1 评估阶段 该阶段的主要任务是对电子商务的安全现状 要保护的信 息 各种资产等进行充分的评估以及一些基本的安全风险识别 和分析 对电子商务安全现状的评估是制定安全风险管理规则的基 础 对信息和资产的评估是指对可能遭受损失的相关信息和资 产进行价值的评估 以便确定相适应的安全风险管理规则 从 而避免投入成本和要保护的信息和资产的严重不匹配 安全风险识别要求尽可能地发现潜在的安全风险 应收集 有关各种威胁 漏洞 开发和对策的信息 安全风险分析是确定风险 收集信息 对可能造成的损失 进行评价以估计风险的级别 以便做出明智的决策 从而采取 措施来规避安全风险 2 开发和实施阶段 该阶段的任务包括风险补救措施开发 风险补救措施测试 和风险知识学习 风险补救措施开发利用评估阶段的成果来建立一个新的安 全管理策略 其中涉及配置管理 修补程序管理 系统监视与 审核等等 在完成对风险补救措施的开发後 即进行安全风险补救措 施的测试 在测试过程中 将按照安全风险的控制效果来评估 对策的有效性 3 运行阶段 运行阶段的主要任务包括在新的安全风险管理规则下评估 新的安全风险 这个过程实际上是变更管理的过程 也是执行 安全配置管理的过程 运行阶段的第二个任务是对新的或已更改的对策进行稳定 性测试和部署 这个过程由系统管理 安全管理和网络管理小 组来共同实施 以上风险管理规则的三个阶段可以用下图来表示 图 1 风险管理规则的三个阶段 三 安全风险管理步骤 安全风险管理是识别风险 分析风险并制定风险管理计划 的过程 电子商务安全风险的管理和控制方法 它包括风险识 别 风险分析 风险控制以及风险监控等四个方面 1 风险识别 电子商务系统的安全要求是通过对风险的系统评估而确认 的 为了有效管理电子商务安全风险 识别安全风险是风险管 理的第一步 风险识别是在收集有关各种威胁 漏洞和相关对策等信息 的