电子商务安全风险管理的规则步骤及对策概述

电子商务安全风险管理的规则、环节及对策

伴随开放的互联网络系统Internet的飞速发展，

电子商务的应用和推广极大了变化了人们工作和生活方

式，带来了无限的商机。然而，电子商务发展所依托的平

台一互联网络却充斥了巨大、复杂的安全风险。黑客的1袭

击、病毒的肆虐等等都使得电子商务业务很难安全顺利地

开展；此外，电子商务的I发展还面临着严峻的内部风险，

电子商务企业内部对安全问题的盲目和安全意识的淡薄，

高层领导对电子商务的运作和安全风险管理重视程度局限

性，使得企业实行电子商务不可防止地会碰到这样或那样

的风险。因此，在考察电子商务运行环境、提供电子商务

安全处理方案的同步，有必要重点评估电子商务系统面临

的风险问题以及对风险有效管理和控制措施。

电子商务安全风险管理thldl是对电子商务系统日勺

安全风险进行识别、衡量、分析，并在这基础上尽量地以

最低的成本和代价实现尽量大日勺安全保障的科学管理措

施。

一、电子商务面临的I安全风险

由于网络的复杂性和脆弱性，以因特网为重要平台

的电子商务日勺发展面临着严峻日勺安全问题。一般来说，电

子商务普遍存在着如下儿种安全风险:

1）信息的截获和窃取

这是指电子商务有关顾客或外来者未经授权通过

多种技术手段截获和窃取他人的文电内容以获取商业机

密。

2）信息日勺篡改

网络袭击者依托多种技术措施和手段对传播日勺信

息进行中途的篡改、删除或插入，并发往目的I地，从而到

达破坏信息完整性的目的。

3）拒绝服务

拒绝服务是指在一定期间内，网络系统或服务器服

务系统的作用完全失效。其重要原因来自黑客和病毒的袭

击以及计算机硬件时认为破坏。

4）系统资源失窃问题

在网络系统环境中，系统资源失窃是常见的I安全威

胁。

5）信息的假冒

信息的假冒是指当袭击者掌握了网络信息数据规

律或解密了商务信息后，可以假冒合法顾客或假冒信息来

欺骗其他顾客。重要体现形式有假冒客户进行非法交易，

伪造电子邮件等。

6）交易时抵赖

交易抵赖包括发信者事后否认曾经发送过某条信

息；买家做了定单后不承认；卖家卖出的商品因价格差而

不承认原先的交易等。

二、安全风险管理规则

针对电子商务面临的多种安全风险，电子商务企业

不能被动、消极地应付，而应当积极采用措施维护电子商

务系统的安全，并监视新的威胁和漏洞。因此，这就需要

制定完整高效的电子商务安全风险管理规则。

一般来说，安全风险管理规则的I制定过程有评估、

开发和实行以及运行三个阶段。

(1)评估阶段

该阶段的重要任务是对电子商务的安全现实状况、

要保护的信息、、多种资产等进行充足日勺评估以及某些基本

的安全风险识别和分析。

对电子商务安全现实状况的评估是制定安全风险

管理规则日勺基础。

对信息和资产的评估是指对也许遭受损失的有关

信息和资产进行价值的评估，以便确定相适应的安全风险

管理规则，从而防止投入成本和要保护的信息和资产的严

重不匹配。

安全风险识别规定尽量地发现潜在的安全风险，应

搜集有关多种威胁、漏洞、开发和对策的信息。

安全风险分析是确定风险，搜集信息、，对也许导致

的损失进行评价以估计风险的级别，以便做出明智的决策,

从而采用措施来规避安全风险。

（2）开发和实行阶段

该阶段的任务包括风险补救措施开发、风险补救措

施测试和风险知识学习。

风险补救措施开发运用评估阶段的成果来建立一

种新的安全管理方略，其中波及配置管理、修补程序管理、

系统监视与审核等等。

在完毕对风险补救措施的开发后，即进行安全风险

补救措施的测试，在测试过程中，将按照安全风险的控制

效果来评估对策的有效性。

(3)运行阶段

运行阶段的重要任务包括在新的安全风险管理规

则下评估新的安全风险。这个过程实际上是变更管理的过

程，也是执行安全配置管理的过程，

运行阶段的第二个任务是对新的或已更改的I对策

进行稳定性测试和布署。这个过程由系统管理、安全管理

和网络管理小组来共同实行。

以上风险管理规则的三个阶段可以用下图来表达：

图1风险管理规则的三个阶段

三、安全风险管理环节

安全风险管理是识别风险、分析风险并制定风险管

理计划的过程。电子商务安全风险的管理和控制措施，它

包括风险识别、风险分析、风险控制以及风险监控等四个

方面。

(1)风险识别

电子商务系统的安全规定是通过对风险的系统评

估而确认的I。为了有效管理电子商务安全风险，识别安全

风险是风险管理的第一步。

风险识别是在搜集有关多种威胁、漏洞和有关对策

等信息的基础上，识别多种也许对电子商务系统导致潜在

威胁的安全风险。

风险识别的手段五花八门，对于电子商务系统的安

全来说，风险识别的目的是重要是对电子商务系统的网络

环境风险、数据存在风险和网上支付风险进行识别。

需要注意的是，并非所有的电子商务安全风险都可

以通过风险识别来进行管理，风险识别只能发现已知时风

险或根据已知风险较轻易获知的潜在风险。而对于大部分

的未知风险，则依赖于风险分析和控制来加以处理或减少。

随著^放的互耳触罔络系统Internet的I来速樊展，

霜子商矜的鹰用和推/W撷大瞭改建瞭人俨工作和生活方

式，带来瞭瓢限日勺商檄。然而，霜子商矜樊展所依托的平

耋一互布繇罔格谷13充满瞭巨大、徨亲隹的安全JMIW。黑客的攻

擎、病毒的肆虐等等都使得重子商矜棠矜很it安全顺利地

^展；此外，霜子商矜的赞展遢面陶著殿峻日勺内部^

霜子商矜企渠内部封安全冏魅日勺盲目和安全意^的I淡薄，

高眉领溥封重子商矜的il作和安全^^管理重视程度局限

性，使得企^^施雷子商矜不可防止地曾碰到道檬或那檄

的厘1^。因此，在考察重子商矜^行璟境、提供重子商矜

安全解决方案的同畤，有必要重黑捅平估重子商矜系统面陶

以及封凰陂有效管理和控制措施。

霜子商矜安全^^管理thldl是封重子商矜系统的

安全凰陂迤行耒微别、衡量、分析，加在道基磁上翥也许地

以最低的成本和代翥也许大的安全保障的科擘管理

措施。

一、霜子商矜面陶的安全凰陂

由於？西格时彳复亲隹性和脆弱性，以因特^^重要平耋

的雷:子商才务的赞展面陶著殿峻的安全冏题。一般来言允，!

子商矜普遍存在著如下黑值1安全凰陂：

1）信息日勺截狸和藕取

造是指霜子商矜相展昌用户或外来者未^授槿通谩

各槿技雨手段截狸和藕取他人的文重内容以掩取商渠檄

宓

Ujo

2）信息的篡改

^攻擎者依托各槿技济亍措施和手段封停输的信

息迤行中途的篡改、删除或插入，或考菱往目日勺地，彳定而逵

到破塌信息完整性日勺目日勺。

3）拒^服矜

拒^服矜是指在一定畤^内，^^系统或服矜器服

矜系统的作用完全失效。其重要原因来自黑客和病毒的攻

擎以及言十算檄硬件的言忍卷破土衰。

4）系统资源失藕冏题

在余罔格系统璟境中，系统资源失藕是常兄的安全威

#0

5）信息的假冒

信息的假冒是指富攻擎者掌握瞭信息数撼规

律或解密瞭商矜信息彳爰，可以假冒合法用户或假冒信息来

欺骗其他用户。重要表王兄形式有假冒客户迤行非法交易，

偏造重子垂B件等。

6）交易时抵赖

交易抵赖包括彝信者事彳爰否熬曾^送谩某脩信

息；^像做瞭定军彳爰不承熬；出的商品因^格差而

不承者忍原先的I交易等。

二、安全凰^管理规刖

金十望寸重子商矜面将岳的各槿安全凰除，重子商矜企渠

不能被勤、消趣地愿付，而^^主勤采用措施雉^甯子商

矜系统的安全，加盛祝新的威宵和漏洞。因此，造就需要

制定完整高效的重子商矜安全凰陂管理规划。

一般51a您安全^^管理规即日勺制定谩程有押估、

和^施以及建行三他IP皆段。

（1）押估陷段

^段的重要任矜是封霜子商矜的安全现打犬、要保

II的信息、各槿资羟等暹行充足甲养平估以及某些基本的安

全蜀别和分析。

器寸11子商矜安全现状的言平估是制定安全凰陂管理

规刖的基磁。

螯寸信息和资羟的者平估是指擘寸也许遭受损失的相^

信息和资羟迤行僵值的押估，以便碓定相遹鹰的安全凰1^

管理规划J,彳他而防止投入成本和要保^的信息和资羟的殿

重不匹配。

安全闽陂^别规定翥也许地彝壬居皆在的安全凰陂，

J1搜集有II各槿威菁、漏洞、^和螯寸策的信息。

安全凰分析是碓定凰1^,搜集信息，封也许导致

的损失迤行^以估^凰陂的级别，以便做出明智的;夬策,

彳性而采用措施来规避安全凰陂。

（2）和^施卜皆段

皆段的任矜包括凰陂祷救措施^救措

施旗唁式和^^知^^曾。

凰陂神救措施^运用言平估P皆段日勺成果来建立一

彳固新的I安全管理方略，其中波及配置管理、修祷程序管理、

系统盛视舆塞核等等。

在完毕封蜀^襁救措施的^彳爰，即迤行安全凰

才浦救措施的涓暗式，在涓暗式谩程中，酹按照安全凰［旅的控制

效果51a平估封策的有效性。

（3）行醋段

建行B皆段的重要任矜包括在新的安全凰陂管理规

刖下押估新的安全凰1^。道他I遇程^除上是建更管理的遛!

程，也是轨行安全配置管理的遇程，

51行喀段的第二值1任矜是封新的I或已更改的封策

暹行稳定性涓唁式和布署。道彳固谩程由系统管理、安全管理

和余罔格管理小^来共同^施。

以上^^管理规划时三偃1P皆段可以用下H来表达：

01凰陂管理规即时三偃IP皆段

三、安全凰It管理步骤

安全凰陂管理是^别凰1^、分析^制定^^管

理言十副的谩程。霜子商矜安全凰陂的管理和控制措施，它

包括闽别、凰除分析、凰陂控制以及凰除盛控等四值1

方面。

(1)JMP编戢别

霜子商矜系统的安全规定是通遇器寸^^日勺系统押

估而碓言忍日勺。卷瞭有效管理重子商矜安全闽1^,噂戢别安全

凰陂是凰|^管理的第一步。

别是在搜集有各槿威膂1、漏洞和相［i封策

等信息的基磁上，者微别各槿也许封霜子商矜系?克导致潜在

威耆