電子商務風險防范論文發(fā)表

　　風險在任何商業(yè)活動都存在,在電子商務發(fā)展過程中也存在一些風險，這些風險亟待解決。下文是學習啦小編為大家搜集整理的關于電子商務風險防范論文發(fā)表的內(nèi)容，歡迎大家閱讀參考!

　　電子商務風險防范論文發(fā)表篇1

　　淺談電子商務系統(tǒng)的風險及防范

　　[摘要] 電子商務系統(tǒng)的風險除了網(wǎng)絡和交易兩方面外，還來自物理環(huán)境、系統(tǒng)硬件、系統(tǒng)軟件、電子商務軟件、外來侵入、內(nèi)部管理等方面。其風險的防范也應通過技術和管理兩個層面來進行。本文將對其進行分析，并從技術和管理兩個層面提出防范的辦法。

　　[關鍵詞] 電子商務系統(tǒng) 風險 防范

　　關于電子商務系統(tǒng)的風險與防范問題，已經(jīng)有了很多話題，但絕大多數(shù)是從網(wǎng)絡和交易兩方面，且總是從技術角度進行討論，然而，電子商務產(chǎn)生風險的原因是多方面的，不僅僅只有網(wǎng)絡和交易兩方面，其防范也不僅只是技術手段，下面就此展開討論。

　　一、物理環(huán)境的風險及防范

　　電子商務系統(tǒng)的物理環(huán)境風險是指系統(tǒng)的外部環(huán)境所造成的風險，包括意外事故和自然災害兩方面：

　　意外事故如設備被盜，突然的斷電、溫度、濕度、電磁場的變化等、操作人員因玩笑、打鬧的誤動作而導致的設備損毀的風險;自然災害如水災、火災、地震等不可抗拒力造成的風險。

　　物理環(huán)境所造成的風險對電子商務系統(tǒng)而言輕則直接造成業(yè)務交易的中斷，給企業(yè)帶來不可估量的損失，重則給電子商務系統(tǒng)帶來毀滅性的打擊。

　　對意外事故產(chǎn)生的風險應是可避免的，如安裝機房環(huán)境的報警系統(tǒng)、采用自動切換的備份電源，以避免外界突然斷電造成的交易中斷，使用空調(diào)保證機房的溫度和濕度，對機房進行電磁屏蔽，從制度上規(guī)范系統(tǒng)操作人員的行為，堅決制止其在操作空間的玩笑和打鬧行為。

　　對自然災害造成的風險雖無法避免，但利用遠程(異地)備份數(shù)據(jù)和恢復機制，則可將損失降至最低。因此，為抵御電子商務系統(tǒng)的滅頂之災，投入一些成本，建立遠程(異地)備份數(shù)據(jù)和恢復機制，則是非常必要的。

　　二、系統(tǒng)硬件的風險及防范

　　系統(tǒng)硬件處于電子商務系統(tǒng)的底層，其風險主要來自構成系統(tǒng)設備存在的安全缺陷和硬件的質(zhì)量。一般質(zhì)量問題容易引起人們的重視，質(zhì)量不好的設備誰也不會買，但硬件自身存在的安全缺陷往往容易被忽視，這類風險的隱蔽較大，但產(chǎn)生的風險卻是最大的。上世紀末，我國就曾對某型號的CPU因存在安全隱患，而不得進入政府辦公系統(tǒng)，做出過明確的規(guī)定。然而人們在購買系統(tǒng)硬件設備時，往往會花很多精力做諸如經(jīng)濟、技術上的論證，反復地考慮設備的性能價格比，卻較少甚至不做有關安全論證。根本意識不到系統(tǒng)硬件缺陷帶來的風險，這是很不可取的。

　　到目前為止，對我們而言，系統(tǒng)硬件最大的缺陷是其制造的核心技術，眾所周知，構成我國信息基礎設施的網(wǎng)絡、硬件等產(chǎn)品幾乎都是建立在以美國為首的少數(shù)幾個發(fā)達國家的核心信息技術之上。由此而產(chǎn)生的風險是不言而喻的。

　　系統(tǒng)硬件風險的防范應從宏觀和微觀兩方面進行:在宏觀上，國家組織力量在關鍵的硬件制造技術上攻關，利用好國內(nèi)外兩個資源，需要以我為主，以創(chuàng)新的思想，超越固有的約束，研制具有中國特色的關鍵芯片，從根本上杜絕系統(tǒng)硬件產(chǎn)生的風險;在微觀上，要建立系統(tǒng)硬件的風險意識，盡管到目前為止，系統(tǒng)硬件的安全不盡人意，但至少要知道風險的存在，同時應該清楚系統(tǒng)中哪些是存在風險的關鍵設備，一旦風險產(chǎn)生，應有規(guī)避風險的措施和辦法，如監(jiān)控系統(tǒng)的出入口上的數(shù)據(jù)流量，一旦出現(xiàn)數(shù)據(jù)流量異常，即刻切斷系統(tǒng)的出入口或關閉設備，這總是做得到的。

　　三、系統(tǒng)軟件的風險及防范

　　系統(tǒng)軟件主要是指計算機操作系統(tǒng)軟件和數(shù)據(jù)庫管理系統(tǒng)軟件，其風險主要來自這兩個軟件的安全漏洞。

　　操作系統(tǒng)軟件處于硬件和上層應用的中間環(huán)節(jié)，可以提供對網(wǎng)絡系統(tǒng)、數(shù)據(jù)庫、應用軟件、用戶的認證管理等，提供全方位的保護。沒有操作系統(tǒng)的保護，就不可能有網(wǎng)絡系統(tǒng)的安全，也不可能有應用軟件信息處理的安全性。由于操作系統(tǒng)是唯一緊靠硬件的基本軟件，其安全職能是其他軟件安全職能的根基, 缺乏這個安全的根基，構筑在其上的應用系統(tǒng)以及安全系統(tǒng)，如PKI、加密解密技術的安全性是得不到根本保障，因此，操作系統(tǒng)也與系統(tǒng)硬件一樣是電子商務系統(tǒng)的安全基礎之一。

　　數(shù)據(jù)庫作為信息的聚集體，是電子商務系統(tǒng)的核心部件，從中可以尋找出一個企業(yè)的組織架構、管理理念、客戶資源、人力資源組成、企業(yè)產(chǎn)能、銷售渠道、合作伙伴、競爭對手等方方面面的信息，風險防范至關重要。

　　由于數(shù)據(jù)庫的安全在很大程度上依賴于數(shù)據(jù)庫管理系統(tǒng)，而數(shù)據(jù)庫管理系統(tǒng)在操作系統(tǒng)下都是以文件形式進行管理的，因此入侵者可以直接利用操作系統(tǒng)的漏洞竊取數(shù)據(jù)庫文件，或者直接利用操作系統(tǒng)工具來非法偽造、篡改數(shù)據(jù)庫文件內(nèi)容。這種隱患一般數(shù)據(jù)庫用戶是難以察覺的。

　　長期以來，我們在構建電子商務系統(tǒng)時，盡管在規(guī)劃階段也會考慮安全問題，但基本上不考慮操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的安全，對其只進行性能上的選擇，這使得電子商務的信息安全體系在基礎上就先天不足，請注意，我國廣泛應用的主流操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)都是從國外引進直接使用的產(chǎn)品。這些系統(tǒng)安全性是很差的。眾所周知Windows中存在著的漏洞和陷門，就不斷引起世界性的“沖擊波”和“震蕩波”，存在極大風險。

　　對系統(tǒng)軟件產(chǎn)生的風險，可從以下方面進行防范：

　　第一仍需國家組織力量攻關，從操作系統(tǒng)的內(nèi)核編程技術入手，以密碼技術為核心，構建具有中國特色的，擁有完全自主知識產(chǎn)權的安全操作系統(tǒng)，從操作系統(tǒng)的根本上解決安全問題。

　　第二在安全操作系統(tǒng)的研制尚未完成時，可對現(xiàn)有的操作系統(tǒng)進行安全加固，只要在它的外部加入一些加固模塊，就能夠起到很好的安全防范作用，例如采用設計安全隔離層?――中間件的方式，增強其安全性，基于應用對象，實施安全封裝、主動服務。

　　第三對數(shù)據(jù)庫文件進行加密處理，是數(shù)據(jù)風險防范的有效方法，可以從操作系統(tǒng)層面、數(shù)據(jù)庫管理系統(tǒng)內(nèi)核層面和數(shù)據(jù)庫管理系統(tǒng)外層這三個層面分別對數(shù)據(jù)庫的數(shù)據(jù)加密，這使得即使數(shù)據(jù)不幸泄露或者丟失，也難以被人破譯和閱讀。

　　四、電子商務軟件的風險與防范

　　電子商務軟件的風險來自系統(tǒng)自身程序的缺陷。這種缺陷主要來自兩方面：一是在設計程序的時候，考慮的都是程序的功能和性能，基本沒有考慮安全問題;二是不影響程序功能和性能的編程錯誤，這種錯誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數(shù);程序員忘記檢查邊界條件，特別是處理字符串的內(nèi)存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行，而不是只有有限的指令子集在特權模式下運行，其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內(nèi)建立一個資源，如一個文件和目錄。不是顯式地設置訪問控制(最少許可)，程序員認為這個缺省的許可是正確的。

　　這些錯誤被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來騙特權程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字符串來實現(xiàn)的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執(zhí)行的命令，特權程序可以執(zhí)行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因?qū)懙?。例如，緩沖溢出攻擊可以向系統(tǒng)中增加一個用戶并賦予這個用戶特權。由于設計時就沒考慮這些風險，程序測試就自然無此項目，而訪問控制系統(tǒng)中沒有什么可以檢測到這些問題。只有通過監(jiān)視系統(tǒng)并尋找違反安全策略的行為，才能發(fā)現(xiàn)這些問題的錯誤。

　　電子商務系統(tǒng)軟件風險的防范，應在電子商務系統(tǒng)規(guī)劃階段就予以充分考慮，對軟件如何防止信息被故意的或偶然的非法授權泄漏、更改、破壞或使信息被非法系統(tǒng)辨識、控制的措施、過程、運行的風險管理、審計跟蹤、備份與恢復、應急等方面都應有具體的措施和內(nèi)容。只有這樣，才能產(chǎn)生相關的程序測試用例，以驗證程序的安全性。

　　由于大多數(shù)軟件測試假定用戶將以某種“隨機”或“有用”的方式工作，檢查程序在“一般”情況下或者在某些最大值下如何工作。與此相反，安全性缺陷通常只出現(xiàn)在使用極其古怪的值的情況時，傳統(tǒng)的測試完全不會檢查這樣的值。因此，進行安全測試時，必須突破傳統(tǒng)測試的框架，盡可能的找出足夠多的安全測試數(shù)據(jù)，進行測試，以保電子商務軟件自身的安全。

　　五、外來入侵的風險及防范

　　外來入侵是指計算機遭到攻擊，主要表現(xiàn)形式是黑客和病毒等對電子商務系統(tǒng)的文件和數(shù)據(jù)的篡改和破壞。

　　黑客在本文是指未經(jīng)許可，闖入他人計算機系統(tǒng)進行破壞的人，黑客們的攻擊行動是無時無刻不在進行的，這些人利用電子商務系統(tǒng)和管理上的一些漏洞，進入計算機系統(tǒng)后，破壞或篡改重要數(shù)據(jù)，盜取機密與資源，控制他人的機器，清除記錄，設置后門，給ERP系統(tǒng)帶來災難性的后果。

　　計算機病毒是人為編寫的一組程序，可以攻擊電子商務系統(tǒng)的數(shù)據(jù)區(qū)、文件和內(nèi)存，可以攻擊計算機的磁盤、COMS，擾亂屏幕顯示，干擾計算機鍵盤和打印機的正常工作，以致使計算機的硬件失靈，軟件癱瘓，數(shù)據(jù)破壞，系統(tǒng)崩潰，造成無法挽回的損失。

　　值得高度關注的是：隨著各種應用工具在計算機網(wǎng)絡上的傳播，黑客己經(jīng)大眾化了,不像過去那樣非電腦高手不能成為黑客。而計算機病毒問世十幾年來，各種新型病毒及其變種迅速增加，并利用計算機網(wǎng)絡這一通道迅速傳播;這就使防范外來入侵的難度大大增加。但是，既然是外來入侵，就必須要有外來的通道，這個通道就是開放的計算機網(wǎng)絡，在此設防，抵御外來入侵事半功倍。目前常用的技術有：

　　1.防火墻。防火墻是應用最廣的一種防范技術。作為系統(tǒng)的第一道防線，其主要作用是監(jiān)控可信任網(wǎng)絡和不可信任網(wǎng)絡之間的訪問通道，可在內(nèi)部與外部網(wǎng)絡之間形成一道防護屏障，攔截來自外部的非法訪問并阻止內(nèi)部信息的外泄，但它無法阻攔來自網(wǎng)絡內(nèi)部的非法操作。它根據(jù)事先設定的規(guī)則來確定是否攔截信息流的進出，但無法動態(tài)識別或自適應地調(diào)整規(guī)則，因而其智能化程度很有限。防火墻技術主要有三種：數(shù)據(jù)包過濾器(packet filter)、代理(proxy)和狀態(tài)分析(stateful inspection)?，F(xiàn)代防火墻產(chǎn)品通?；旌鲜褂眠@幾種技術。

　　2.入侵檢測。入侵檢測(IDS―Instrusion Detection System)是近年來發(fā)展起來的一種防范技術，綜合采用了統(tǒng)計技術、規(guī)則方法、網(wǎng)絡通信技術、人工智能、密碼學、推理等技術和方法，其作用是監(jiān)控網(wǎng)絡和計算機系統(tǒng)是否出現(xiàn)被入侵或濫用的征兆。1987年，Derothy Denning首次提出了一種檢測入侵的思想，經(jīng)過不斷發(fā)展和完善，作為監(jiān)控和識別攻擊的標準解決方案，IDS系統(tǒng)已經(jīng)成為安全防御系統(tǒng)的重要組成部分。入侵檢測采用的分析技術可分為三大類：簽名、統(tǒng)計和數(shù)據(jù)完整性分析法。

　　3.使用防病毒軟件構造全網(wǎng)統(tǒng)一的防病毒體系。支持對網(wǎng)絡、服務器、和工作站的實時病毒監(jiān)控;能夠在中心控制臺向多個目標分發(fā)新版殺毒軟件，并監(jiān)視多個目標的病毒防治情況;支持多種平臺的病毒防范;能夠識別廣泛的已知和未知病毒，包括宏病毒;支持對Internet/ Intranet服務器的病毒防治，能夠阻止惡意的Java或ActiveX小程序的破壞;支持對電子郵件附件的病毒防治，包括WORD、EXCEL中的宏病毒;支持對壓縮文件的病毒檢測;支持廣泛的病毒處理選項，如對染毒文件進行實時殺毒，移出，重新命名等;支持病毒隔離，當客戶機試圖上載一個染毒文件時，服務器可自動關閉對該工作站的連接;提供對病毒特征信息和檢測引擎的定期在線更新服務;支持日志記錄功能;支持多種方式的告警功能(聲音、圖像、電子 郵件等)等。

　　需提請注意的是：在購置實現(xiàn)以上安全技術的產(chǎn)品時，一定要檢驗其合法性，必須是經(jīng)過國家有關管理部門的認可或認證的安全產(chǎn)品;同時要掌握產(chǎn)品的正確使用方法;還要有一套嚴格的管理制度，規(guī)范對安全產(chǎn)品的操作。這三點如不能同時做到，輕則使這些產(chǎn)品起不到應有的作用，重則會使電子商務系統(tǒng)無法正常運行，而給企業(yè)帶來損失。

　　六、內(nèi)部管理的風險及防范

　　內(nèi)部管理的風險主要表現(xiàn)為：一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地，或者員工有意無意泄漏他們所知道的一些重要信息，錯誤地進入數(shù)據(jù)庫、刪除數(shù)據(jù)等等;對于已經(jīng)離職的員工，沒有及時地改變系統(tǒng)地口令并刪除他們的記錄，使他們無法再進入系統(tǒng);當系統(tǒng)出現(xiàn)攻擊行為或受到其它一些安全威脅時(如內(nèi)部人員的違規(guī)操作等)，無法進行實時的檢測、監(jiān)控、報告與預警。同時，當事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對系統(tǒng)的可控性與可審查性。

　　缺乏約束機制，責權不明，管理混亂、安全管理制度不健全及缺乏可操作性等是引起電子商務系統(tǒng)安全風險的根源。這就要求必須從管理上健全相應的規(guī)章制度來規(guī)范和約束員工的行為;根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級;根據(jù)確定的安全等級，確定安全管理的范圍;制訂相應的機房出入管理制度對于安全等級要求較高的系統(tǒng)，要實行分區(qū)控制，限制工作人員出入與己無關的區(qū)域。對人員進行識別、登記管理。制訂嚴格的操作規(guī)程，操作規(guī)程要根據(jù)職責分離和多人負責的原則，各負其責，不能超越自己的管轄范圍;制訂完備的系統(tǒng)維護制度，對系統(tǒng)進行維護時，應采取數(shù)據(jù)保護措施，如數(shù)據(jù)備份等。維護時要首先經(jīng)主管部門批準，并有安全管理人員在場，故障的原因、維護內(nèi)容和維護前后的情況要詳細記錄;制訂應急措施，要制定系統(tǒng)在緊急情況下，如何盡快恢復的應急措施，使損失減至最小;建立人員雇用和解聘制度，對工作調(diào)動和離職人員要及時調(diào)整響應的授權;對系統(tǒng)的訪問活動進行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。

　　七、結(jié)語

　　以上從六個層面討論了電子商務系統(tǒng)存在的風險及防范的辦法，需要強調(diào)的是，每個層面都只是風險防范其中的一個環(huán)節(jié)，還需要各個環(huán)節(jié)的配合，才能達到電子商務系統(tǒng)安全的最佳狀態(tài)。更重要的是，在我們的頭腦中，要“預裝”好風險防范的意識，只有這樣，才能有嚴格的規(guī)章制度，使各種安全技術和產(chǎn)品得到有效的應用，保證電子商務系統(tǒng)的安全。

　　參考文獻:

　　[1]程中東:廣域環(huán)境下的企業(yè)信息系統(tǒng)安全管理分析[J].網(wǎng)絡安全技術與應用，2007.4

　　[2]宋紅吳建軍岳俊梅:計算機安全技術[M].北京：中國鐵道出版社，2003.2

　　[3]茍阿先:電子商務安全環(huán)境探析[J].商場現(xiàn)代化,2006年12月,(下旬刊)總第489期

　　[4]肖質(zhì)紅:電子商務的安全問題和系統(tǒng)建設[J].集團經(jīng)濟研究,2006年9,下旬刊(總第207期)

　　>>>下頁帶來更多的電子商務風險防范論文發(fā)表