文献综述电子商务的风险及其安全管理技术

PAGEPAGE4前言在新千年初，许多商务网站就受到了黑客们不同层次的攻击，这些网站包括eBay，eTrade，Yahoo等著名的公司。不断出现的"梅莉莎""爱虫"等病毒的疯狂肆虐使得全球成千上万台电脑瘫痪，严重地影响了企业的业务运作，直接导致几十亿美元的损伤。电子商务的风险很大。电子商务业务运作模式的开放性和全球化使得安全的含义更为广泛，安全性方面的管理要求更高，所受到重视的程度更高。众所周知，安全才是网络的生存之本。没有安全保障的信息资产，就无法实现自身的价值。作为信息的载体，网络亦然。网络安全的危害性显而易见，而造成网络安全问题的原因各不相同。而企业比以往任何时候都更需要知道其合作伙伴的真实身份。客户需要保证其保密信息不会被暴露。电子商务的安全管理变的尤为重要。电子数据安全是建立在计算机网络安全基础上的一个子项安全系统，它既是计算机网络安全概念的一部分，但又和计算机网络安全紧密相连，从一定意义上讲，计算机网络安全其实质即是电子数据安全。国际标准化组织(ISO)对计算机网络安全的定义为：“计算机系统有保护计算机系统的硬件、软件、数据不被偶然或故意地泄露、更改和破坏。”欧洲几个国家共同提出的“信息技术安全评级准则”，从保密性、完整性和可用性来衡量计算机安全。摘要电子商务不仅给企业带来新的机遇，同样也带来了新的风险。本文将主要分析三种类型的电子商务的风险：商业风险，技术风险和法律风险。企业只有在充分了解了电子商务风险，才能更好的安全管理。电子商务业务运作模式的开放性和全球化使得安全的含义更为广泛，安全性方面的管理要求更高，所受到重视的程度更高。对电子数据安全的基本认识及其电子数据安全的性质的了解。关键词：电子商务；风险；电子数据安全电子商务的风险电子商务不仅给企业带来新的机遇，同样也带来了新的风险。本文将主要分析三种类型的电子商务的风险：商业风险，技术风险和法律风险。企业只有在充分了解了电子商务风险，才能真正享受电子商务带来的成功。1．商业风险给企业带来新的商业风险的是IT技术在企业中的应用，许多企业为了扩展市场开拓新业务，投人了大量资金进行企业的电子化，当IT策略与商务策略整合的时候，计算机、互联网、内联网、数据库等信息技术使企业商务必然形成全新的商业风险。这些新的商业风险归纳起来主要体现在以下几个方面。(1)竞争环境风险。(2)企业流程再造风险。(3)消费者高期望的风险。(4)企业合作风险。2．技术风险(1)信息技术基础设施风险。(2)技术应用风险。3．法律风险1．电子商务交易法律风险2．隐私风险3．知识产权风险2．浅议电子数据安全1．对电子数据安全的基本认识电子数据安全是建立在计算机网络安全基础上的一个子项安全系统，它既是计算机网络安全概念的一部分，但又和计算机网络安全紧密相连，从一定意义上讲，计算机网络安全其实质即是电子数据安全。国际标准化组织(ISO)对计算机网络安全的定义为：“计算机系统有保护计算机系统的硬件、软件、数据不被偶然或故意地泄露、更改和破坏。”欧洲几个国家共同提出的“信息技术安全评级准则”，从保密性、完整性和可用性来衡量计算机安全。对电子数据安全的衡量也可借鉴这三个方面的内容，保密性是指计算机系统能防止非法泄露电子数据；完整性是指计算机系统能防止非法修改和删除电子数据；可用性是指计算机系统能防止非法独占电子数据资源，当用户需要使用计算机资源时能有资源可用。2．电子数据安全的性质电子数据安全包括了广义安全和狭义安全。狭义安全仅仅是计算机系统对外部威胁的防范，而广义的安全是计算机系统在保证电子数据不受破坏并在给定的时间和资源内提供保证质量和确定的服务。在电子数据运行在电子商务等以计算机系统作为一个组织业务目标实现的核心部分时，狭义安全固然重要，但需更多地考虑广义的安全。在广义安全中，安全问题涉及到更多的方面，安全问题的性质更为复杂。(1)电子数据安全的多元性在计算机网络系统环境中，风险点和威胁点不是单一的，而存在多元性。这些威胁点包括物理安全、逻辑安全和安全管理三个主要方面。物理安全涉及到关键设施、设备的安全和硬件资产存放地点的安全等内容；逻辑安全涉及到访问控制和电子数据完整性等方面；安全管理包括人员安全管理政策、组织安全管理政策等内容。电子数据安全出现问题可能是其中一个方面出现了漏洞，也可能是其中两个或是全部出现互相联系的安全事故。(2)电子数据安全的动态性

由于信息技术在不断地更新，电子数据安全问题就具有动态性。因为在今天无关紧要的地方，在明天就可能成为安全系统的隐患；相反，在今天出现问题的地方，在将来就可能已经解决。例如，线路劫持和窃听的可能性会随着加密层协议和密钥技术的广泛应用大大降低，而客户机端由于B0这样的黑客程序存在，同样出现了安全需要。安全问题的动态性导致不可能存在一劳永逸的解决方案。

(3)电子数据安全的复杂性

安全的多元性使仅仅采用安全产品来防范难以奏效。例如不可能用一个防火墙将所有的安全问题挡在门外，因为黑客常常利用防火墙的隔离性，持续几个月在防火墙外试探系统漏洞而未被发觉，并最终攻入系统。另外，攻击者通常会从不同的方面和角度，例如对物理设施或协议、服务等逻辑方式对系统进行试探，可能绕过系统设置的某些安全措施，寻找到系统漏洞而攻入系统。它涉及到计算机和网络的硬件、软件知识，从最底层的计算机物理技术到程序设计内核，可以说无其不包，无所不在，因为攻击行为可能并不是单个人的，而是掌握不同技术的不同人群在各个方向上展开的行动。同样道理，在防范这些问题时，也只有掌握了各种入侵技术和手段，才能有效的将各种侵犯拒之门外，这样就决定了电子数据安全的复杂性。

(4)电子数据安全的安全悖论

目前，在电子数据安全的实施中，通常主要采用的是安全产品。例如防火墙、加密狗、密钥等，一个很自然的问题会被提出：安全产品本身的安全性是如何保证的?这个问题可以递归地问下去，这便是安全的悖论。安全产品放置点往往是系统结构的关键点，如果安全产品自身的安全性差，将会后患无穷。当然在实际中不可能无限层次地进行产品的安全保证，但一般至少需要两层保证，即产品开发的安全保证和产品认证的安全保证。

(5)电子数据安全的适度性

由以上可以看出，电子数据不存在l00％的安全。首先由于安全的多元性和动态性，难以找到一个方法对安全问题实现百分之百的覆盖；其次由于安全的复杂性，不可能在所有方面应付来自各个方面的威胁；再次，即使找到这样的方法，一般从资源和成本考虑也不可能接受。目前，业界普遍遵循的概念是所谓的“适度安全准则”，即根据具体情况提出适度的安全目标并加以实现。

参考文献1.宋玲、电子商务--21世纪的机遇与挑战、电子工业出版社、2000年3月1日2.中国电子商务前景看好、人民日报、2002.11.20第七版3.陈志萱、法国上网购物人数增加、经济时报、2002.11.204.王莉、物流学导论、中国铁道出版社、199