下载
加入VIP
  • 专属下载特权
  • 现金文档折扣购买
  • VIP免费专区
  • 千万文档免费下载

上传资料

关闭

关闭

关闭

封号提示

内容

首页 淘宝网店经营风险管理.doc

淘宝网店经营风险管理.doc.doc

淘宝网店经营风险管理.doc

咖啡醉的不解酒
2017-10-08 0人阅读 举报 0 0 暂无简介

简介:本文档为《淘宝网店经营风险管理.docdoc》,可适用于综合领域

淘宝网店经营风险管理doc摘要本文对企业电子商务技术风险管理问题进行了研究从网络安全、数据存取安全和支付安全个方面分析了电子商务中存在的技术风险并在此基础上提出了降低电子商务技术风险的相关安全策略及措施。关键词电子商务技术风险风险管理电子商务(ElectronicCommerceEC)是指通过网络(尤其是Internet)所进行的买卖交易以及相关服务或其他的组织管理活动。交易的安全性能否得到保障是电子商务的核心问题。近几年来我国的电子商务发展较快但各种风险也日趋突出。一般来说电子商务中常见的风险可分为经济风险、管理风险、制度风险、技术风险和信息风险。IT技术是实现电子商务的基础分析研究其技术风险是保障电子商务安全的重要研究课题。为了促进电子商务的健康发展研究电子商务中可能存在的风险及相应的控制策略是十分必要的。本文分析了电子商务中存在的技术风险及其产生的原因并在此基础上提出了降低电子商务技术风险的相关安全策略及措施。电子商务中存在的技术风险由于网络的开放性、共享性和动态性使得任何人都可以自由地接入Internet导致以Internet为主要平台的电子商务的发展面临严峻的安全问题。其主要技术风险包括:网络环境风险网络服务器常遭受到黑客的袭击个别网络中的信息系统受到攻击后无法恢复正常运行网络软件常常被人篡改或破坏网络中存储或传递的数据常常被未经授权者篡改、增删、复制或使用。数据存取风险由于数据存取不当所造成的风险。这种风险主要来自于企业内部。一是未经授权的人员进入系统的数据库修改、删除数据二是企业工作人员操作失误受其错误数据的影响而带来的风险其结果必然是使企业效益受到损失或者是使顾客利益受到损失。网上支付风险网上支付一直被认为是制约中国电子商务发展的最大瓶颈许多企业和个人担心交易的安全性而不愿使用网上支付。电子商务风险管理电子商务安全的风险管理(RiskManagement)是对电子商务系统的安全风险进行识别、衡量、分析并在此基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。其本质就是防患于未然:事前加以消减和控制事后积极响应和处理为响应和处理所做的准备就是制订应急计划。了解了电子商务存在的风险之后需要对这些风险进行管理和控制具体包括风险识别、风险分析、风险应对和风险监控个过程。风险识别对电子商务系统的安全而言风险识别的目标主要是对电子商务系统的网络环境风险、数据存取风险和网上支付风险进行识别。识别风险的方法有很多主要有:试验数据和结果、专家调查法、事件树分析法。电子商务风险识别最常用的一种方法就是收集各种曾经发生过的电子商务攻击事件(不仅局限于本企业)经过分析提取出若干特征将其存储到“风险”库作为识别潜在风险的参考。风险分析风险分析的目的是确定每种风险对企业影响的大小一般是对已经识别出来的电子商务风险进行量化估计。这里量化的概念主要指风险影响指标风险概率以及风险值。技术安全是电子商务实现的基础其重要性不言而喻因此在该项目规划、计划阶段就应充分考虑。风险应对(风险控制)根据风险性质和企业对风险的承受能力制订相应的防范计划即风险应对。确定风险的应对策略后就可编制风险应对计划。电子商务的技术风险控制主要是针对网络环境风险、数据存取风险和网上支付风险制订风险应对策略从硬件、软件两方面加强IT基础设施建设。风险监控制定规划实施保护措施在保护措施实施的每一个阶段都要进行监控和跟踪。风险贯穿于电子商务项目的整个生命周期中因而风险管理是个动态的、连续的过程。因此制订了风险防范计划后还需要时刻监督风险的发展与变化情况。电子商务技术风险控制针对电子商务中潜在的各类技术风险笔者提出利用以下技术手段建立一套完整的风险控制体系将电子商务的风险减少到最小。网络安全技术网络安全是电子商务安全的基础一个完整的电子商务应该建立在安全的网络基础之上。网络安全技术涉及面较广主要包括操作系统安全、防火墙技术、虚拟专用网技术(VPN)、漏洞识别与检测技术。操作系统安全操作系统的安全机制主要有:过滤保护、安全检测保护以及隔离保护。()过滤保护分析所有针对受保护对象的访问过滤恶意攻击以及可能带来不安全因素的非法访问。()安全检测保护对所有用户的操作进行分析阻止那些超越权限的用户操作以及可能给操作系统带来不安全因素的用户操作。()离保护在支持多进程和多线程的操作系统中必须保证同时运行的多个进程和线程之间是相互隔离的即各个进程和线程分别调用不同的系统资源且每一个进程和线程都无法判断是否还有其他的进程或线程在同时运行。一般的隔离保护措施有以下种:物理隔离不同的进程和线程调用的系统资源在物理上是隔离的暂时隔离在特殊需要的时间段内对某一个或某些进程或线程实施隔离该时间段结束后解除隔离软件隔离在软件层面上对各个进程的访问权限实行控制和限制以达到隔离的效果加密隔离采用加密算法对相应的对象进行加密。防火墙技术防火墙是将专用网络与公共网络隔离开来的网络节点由硬件和软件组成其主要功能是通过建立网络通信的过滤机制控制和鉴别出入站点的各种访问进而有效地提高交易的安全性。目前的防火墙技术主要包括两种类型第一类是包过滤技术其运作方式是监视通过它的数据流根据防火墙管理事先制定的系统安全政策选择性地决定是否让这些数据通行第二类是代理网关技术其运作方式是所有要向服务器索取的数据都通过代理服务器来索取。目前防火墙技术的最新发展趋势是分布式和智能化防火墙技术。分布式防火墙是嵌入到操作系统内核中对所有的信息流进行过滤与限制智能化防火墙利用了统计、记忆、概率和决策等智能技术对网络执行访问控制。VPN虚拟专用网(VPN)是依靠Internet服务提供商(ISP)和其他网络服务提供商(NSP)在公用网络中建立专用数据通信网络的技术。VPN实现技术主要有:隧道技术、虚电路技术和基于MPLS(MultiProtocolLabelSwitching多协议标签交换协议)技术。基于MPLS技术的VPN通过改善和加速数据包处理提高VPN效率集隧道技术和路由技术优点于一身组网具有极好的灵活性和扩展性。用户只需一条线路接入VPN网便可以实现任何节点之间的直接通信。不过基于MPLS技术的VPN技术本身还有一个成熟的过程但是它代表了VPN的发展方向。漏洞识别与检测系统大部分管理员采用安全漏洞扫描工具对整个系统进行扫描了解系统的安全状况如MicrosoftBaselineSecurityAnalyze许多国产杀毒软件也提供安全测试程序:将存在的漏洞标示出来并提供相应的解决方法来指导用户进行修补。扫描方式的漏洞检测工具往往无法得到目标系统的准确信息因此无法准确判断目标系统的安全状况。模拟攻击测试是解决这一问题的有效方法可以准确判断目标系统是否存在测试的漏洞。但是由于漏洞的多样性和复杂性现有的模拟攻击测试系统发展缓慢。数据加密技术在网络中计算机的数据以数据包的形式传输。为了防止信息被窃取应当对发送的全部信息进行加密。加密传输形式是一种将传送的内容变成一些不规则的数据只有通过正确的密钥才可以恢复原文的面貌。根据密钥的特点加密算法分为对称密钥加密算法(私钥密码体制)和非对称密钥加密算法(公钥密码体制)。目前常用的对称密钥加密算法有DES(DataEncryptionStandard)算法和IDEA(InternationalDataEncryptionAlgorithm)算法。常用的非对称密钥加密算法有RSA算法和EIGamal算法。非对称密钥加密算法在实际应用中包括以下几种安全技术方式:数字摘要技术即单向哈希函数技术、数字签名技术、数字证书技术等。非数学的加密理论与技术近年来也发展非常迅速成为继传统加密方式后的一种新的选择:()信息隐藏(InformationHiding)即信息伪装也称数据隐藏(DataHiding)、数字水印(DigitalWatermarking)是将秘密信息秘密地隐藏于另一非机密文件之中利用数字化声像信号对于人们的视觉、听觉的冗余进行各种时空域和变换域的信息隐藏从而实现隐藏通信。主要以灰度彩色图像、音频和视频信息以及文本作为信息隐藏的载体代表算法有LSB算法和DCT变换域算法。()量子密码(QuantumCryptography)是以Heisenberg测不准原理和EPR(EinsteinPodolskyRosen)效应为物理基础发展起来的一种密码技术真正实现一次一密码构成理论上不可破译的密码体制。量子密码的研究进展顺利虽然还有很多问题需要解决但某些方面尤其是子密钥分发已经逐步趋于实用。身份认证技术网络的虚拟性使得要保证每个参与者都能被无误地识别就必须使用身份认证技术。在计算机网络中现有的用户身份认证技术基本上可以分为类:()基于口令的认证方式基于口令的认证方式是最基本的认证方式但是存在严重安全隐患。安全性完全依赖于口令一旦口令泄漏用户即被冒充而且用户选择的口令比较简单容易被猜测。()基于安全物品的认证方式主要有电子签名和认证卡两种方式。电子签名是电子形式的数据是与数据电文(电子文件、电子信息)相联系的用于识别签名人的身份和表明签名人认可该数据电文内容的数据。目前广泛应用于电子商务实践的电子签名即数字签名是通过向第三方的签名认证机构提出申请由机构进行审查颁发数字证书来取得自己的数字签名。用户在发送信息时使用自己的私有密钥对信息进行数字签名再使用接受方的公共密钥将信息进行加密传输接收方使用自己的私有密钥解密信息同时使用发送方的公开签名密钥核实信息的数字签名。智能卡认证方式具有硬件加密功能因而具有较高的安全性。进行认证时用户输入个人身份识别码(PIN)智能卡认证PIN成功后即可读出卡中的秘密信息与验证服务器之间进行认证。()基于生物特征的认证方式以人体唯一的、可靠的、稳定的生物特征(如指纹、虹膜、人脸、掌纹、耳郭、声音)为依据利用图像处理与模式识别技术进行认证。基于密码的认证技术存在密码难以记忆容易被黑客破译的缺点。而基于生物特征的认证方式具有很好的安全性、可靠性和有效性正逐渐成为一种新的身份认证方式特别是近几年来全球生物识别技术的飞速发展为生物认证提供了广泛的技术支持。其中基于人脸识别的认证技术已经成为当前的研究热点主要方法有基于几何特征的人脸识别方法与基于统计的人脸识别方法并且已有产品投入网络安全领域如TrueFaceCyberWatch数据库安全机制数据库安全最重要的一点就是确保只授权给有资格的用户访问数据库的权限同时令所有未被授权的人员无法接近数据这主要通过数据库系统的存取控制机制实现。存取控制机制主要包括两部分:()定义用户权限并将用户权限登记到数据字典中。()合法权限检查每当用户发出存取数据库的操作请求后DBMS查找数据字典根据安全规则进行合法权限检查。若用户的操作请求超出了定义的权限系统将拒绝执行此操作。一旦数据遭到破坏就必须采取补救措施。建立严格的数据备份与恢复管理机制是保障数据库系统安全的有效手段。数据备份可以分为个层次:硬件级和软件级。硬件级的备份是指用冗余的硬件来保证系统的连续运行。软件级的备份指的是将系统数据保存到其他介质上当出现错误时可以将系统恢复到备份时的状态这种方法可以完全防止逻辑损坏。第三方认证CA与采用其他交易方式相比采用电子商务交易模式的各方还有更多的风险这些在电子商务中所特有的风险有:卖方在网站上对产品进行不实宣传欺诈行为的风险买方发出恶意订单的风险交易一方对电子合同否认的风险交易信息传送风险如信息被窃、被修改等风险。这些风险的存在需要设立第三方认证技术中心为在网上交易各方交易资料的传递进行加密、验证和对交易过程进行监察。CA认证技术中心是一个确保信任的权威实体它的主要职责是颁发证书验证用户身份的真实性。任何相信CA的人按照第三方信任原则也都应该相信持有证明的用户。CA发放的证书有SSL和SET两种。SSL(SecureSocketsLayer)安全协议又叫“安全套接层协议”主要用于提高应用程序之间数据的安全系数一般服务于银行对企业或企业对企业的电子商务。SET协议(SecureElectronicTransaction)位于应用层用来保证互联网上银行卡支付交易安全性一般服务于持卡消费、网上购物等。结论电子商务的开展以信息技术为基础如何解决电子商务中存在的安全问题已成为一个迫在眉睫的课题。电子商务风险是不可能完全消除的因为它是与电子商务共生的是电子商务的必然产物但是可以将风险限制在影响最小的范围之内。只有了解风险才能规避风险。本文从安全风险管理的角度出发分析了电子商务中可能存在的技术风险论述了这些风险的控制策略希望对企业开展电子商务活动起到一定的积极作用。主要参考文献阮新新。电子商务技术风险管理的探讨J经济问题探索():ThomasFinneInformationSystemsRiskManagement:KeyConceptsandBusinessProcessJComputerandSecurity():刘伟江王勇。电子商务风险及控制策略J东北师范大学学报:哲学社会科学版()。朱亚殊朱荆州。实现操作系统安全的几种策略J计算机与数字工程():张欣。浅析防火墙技术的发展J徐州工程学院学报()

用户评价(0)

关闭

新课改视野下建构高中语文教学实验成果报告(32KB)

抱歉,积分不足下载失败,请稍后再试!

提示

试读已结束,如需要继续阅读或者下载,敬请购买!

文档小程序码

使用微信“扫一扫”扫码寻找文档

1

打开微信

2

扫描小程序码

3

发布寻找信息

4

等待寻找结果

我知道了
评分:

/9

淘宝网店经营风险管理.doc

VIP

在线
客服

免费
邮箱

爱问共享资料服务号

扫描关注领取更多福利