机关网络安全应急方案范文

时间:2023-09-20 17:00:00

导语:如何才能写好一篇机关网络安全应急方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

机关网络安全应急方案

篇1

关键词:计算机网络;网络安全;防火墙技术;应用

随着一系列网络安全漏洞事件的发生,人们对网络安全问题也日益重视起来,防火墙技术作为一种新兴的计算机网络保护及时,已经成为了目前在保护计算机网络信息安全中非常重要的一项技术性措施。近年来,随着计算机技术的不断发展和更新,防火墙的更新和发展也十分迅速,本文就从分析防火墙的分类入手,对防火墙的特点以及应用方面进行简要的探讨。

1 防火墙的作用及分类

防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的网络安全政策。总的来说,防火墙的基本作用概括为以下几个方面:

(1)可以限制他人进入内部网络,过滤掉不安全服务和非法用户;(2) 防止入侵者接近你的防御设施;(3)限定用户访问特殊站点;(4)为监视Internet安全提供方便。

事实上,在Internet上的Web网站中,超过三分之一的Web网站都是由某种形式的防火墙加以保护,这是对黑客防范最严,安全性较强的一种方式,任何关键性的服务器,都建议放在防火墙之后。

内部网络所使用的防火墙技术按照防范的方式和侧重点的不同可分为很多种类型,但总体来说可分为三大类:包过滤型(Packet Filtering)、应用型(Application Proxy)防火墙和状态监视器(Stateful Inspection)。

包过滤型防火墙作用在网络层,检查数据流中的每个数据包,并根据数据包的源地址、目标地址、以及包所使用端口确定是否允许该类数据包通过。

应用服务器作用在应用层,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的程序,实现监控、过滤、记录和报告应用层通信流的功能。

状态监视器采用了一个在网关上执行网络安全策略的软件引擎,利用抽取相关数据的方法对网络通信的各层实施监测,一旦某个访问违反安全规定,安全报警器就会拒绝该访问,并作下记录向系统管理器报告网络状态。

2 防火墙技术的特点和缺陷

2.1 包过滤的优缺点

优点:包过滤最为突出的特点就在于其通过一个过滤路由器就实现整个网络的安全保护工作,数据包在进行过滤时,保持对用户的透明性,同时采用该过滤路由器的过滤速度快、效率高。

缺点:包过滤在进行信息过滤时,对于地址欺骗往往缺少有效的识别,无法彻底杜绝不安全访问信息。同时,一部分网络协议不适合过滤包过滤,就导致一部分正常的信息无法通过过滤路由器的过滤而无法正常运行某些安全策略,进而导致无法防范不安全因素以及黑客等共计。另外,包过滤不支持应用层协议,对于新的安全威胁,无法进行处理。

2.2 技术的优缺点

优点:应用网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有通信都必须经应用层软件转发,访问者任何时候都不能与服务器建立直接的TCP连接,应用层的协议会话过程必须符合的安全策略要求。应用网关的优点是可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。能生成各项记录,能灵活,完全地控制进出的流量、内容;能过滤数据内容,能为用户提供透明的加密机制,可以方便地与其他安全手段集成。

缺点:速度较路由器慢,对用户不透明,对于每项服务可能要求不同的服务器;服务不能保证你免受所有协议弱点的限制,不能改进底层协议的安全性,但是其适应性较弱,逐步被代替。

3 防火墙的应用

用户选择了最适合的防火墙后,还需要正确使用才能发挥出应有效果,否则适得其反。安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。

由于绝大部分的攻击都来自于Internet,所以安装防火墙的位置是应该是用户内部网络与外部Internet的接口处,这是一切防火墙都必需拥有的基本安全保障功能。不论用户内部网络结构如何,只要与Internet相连接,就会有遭受攻击的可能,就必须在这个接口处把大部分攻击拦截在用户内部网络之外。另外,如果企业用户内部网络规模较大,并且设置有虚拟局域网(VLAN)则应该在各个VLAN之间设置防火墙。一个大型企业内部的各个组成部分之间也会存在大量的数据传输和业务往来,如果不在各个VLAN间设置防火墙的话,来自于内部的攻击(包括内部变节者恶意攻击和使用者的失误)同样能够为企业造成重大损失。

作为一种网络安全技术,防火墙具有简单实用的特点,并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。但是,如果防火墙系统被攻破,则被保护的网络处于无保护状态。如果一个企业希望在Internet上开展商业活动,与众多的客户进行通信,则仅靠防火墙不能满足要求,在具体应用防火墙技术时,还要考虑到两个方面:

(1)防火墙是不能防病毒的,尽管有不少的防火墙产品声称其具有这个功能。

(2)防火墙技术的另外一个弱点在于数据在防火墙之间的更新是一个难题,如果延迟太大将无法支持实时服务请求。并且,防火墙采用滤波技术,滤波通常使网络的性能降低50%以上,如果为了改善网络性能而购里高速路由器,又会大大提高经济预算。

结束语

防火墙技术的原理在于通过阻止黑客或者其他不明访问者的访问信息,从而在网络与外部访问之间建立起一道屏障,在现代网络安全中起着重要的作用。随着计算机网络的普及,网络墙技术的应用范围也将越来越广泛,在保护网络信息完全,防止恶意侵入等方面的作用也将越来越突出。

参考文献

[1]林国庆,张玲.计算机网络安全与防火墙技术[J].榆林学院学报,2007,(2).

[2] 徐辉,陈小永.防火墙技术浅谈[J].安徽电子信息职业技术学院学报,2005,(5).

[3]郝玉洁,.网络安全与防火墙技术[J].电子科技大学学报(社科版),2002,(1).

篇2

关键词 计算机网络系统;安全隐患;应急模式

中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)22-0151-01

1 计算机网络系统应急处理现状及遇到的问题

1.1 处理现状

目前,我国政府机关及社会企业单位纷纷成立了以技术管理精英为核心的计算机网络系统应急领导小组,成立了专门的组织部门和机构。计算机专业技术人员以正式文件形式制定并下发网络系统应急方案。大多数企业内部在应急方案的制定上多采用以技术指导为主、业务拓展为辅的模式,并协调组织各部门相互配合,保障实施。当前,我国大部分企业基本上按照国家相关政策规定认真制定了计算机网络系统应急方案,大部分都完成了计算机网络系统风险分析与评估,实现了对内部计算机系统的安全等级划分,应急方案制定较为全面,总体表现良好。据资料显示,八成以上企业单位计算机网络系统应急硬件设备设施基本到位。较之过去,如今的应急处理环境获得较大改善,客户机、服务器、路由器、发电机、UPS电源灯等备用设备纷纷到位,为应急处理打下坚实基础。

1.2 遇到的问题

1)数据中心出现上移现象。经调查研究发现,我国目前计算机网络系统应急处理数据中心出现上移现象。以某市某银行为例,通过数据分析,银行负责人发现近期该市多家金融机构信息数据中心往省级银行、银行总部方向集中,在一定程度上降低了该市银行的金融风险。然而,这种情况发生并不只是带来好处,相反,数据中心出现上移现象的负面影响更大。如果业务处理长期大量依赖远端数据中心及长距离的主干通信网络,一旦上级中心发生故障,下级业务也将受到连带影响,银行整体系统都将终止运行,很难通过本地系统实现修复,事实上大大增加了较低级金融风险应急控制难度。

2)线路单一存在隐患。当前我国大多数企业单位内部使用的通信线路多为一家电信公司,而计算机互联网系统线路的通畅与否又与电信部门设施服务品质息息相关,因此,单一地选用一家电信公司网路存在明显隐患。针对这种情况,目前大多数企业单位都开始尝试使用多家通信公司,使用不同通信介质、服务公司、通信方式为企业内部数据信息完成备份。

2 计算机网络系统存在安全隐患的原因

2.1 计算机操作系统存在严重漏洞

众所周知,计算机系统具有集成、扩散两种基本功能,而且这两种功能结构非常复杂,因此,用户在日常操作中常常会遭遇漏洞问题。漏洞的产生是无法绝对避免的,当前条件下,没有一个计算机系统不受漏洞威胁,也没有任何一种补丁程序能够完美阻止系统自身的漏洞。针对这个问题,这就要求用户在计算机网络系统使用过程中高度重视系统的日常维护,定期对系统进行升级更新,完成漏洞修补。

2.2 网络协议存在漏洞

一般来讲,网络协议(TCP/IP)的漏洞包含两种:协议服务上的漏洞;自身协议的漏洞。数据链接层、网络层、传输层、应用层共同构成网络协议的四个层次,计算机网络系统攻击者就是从这四个层次的漏洞中对计算机网络系统展开攻击。以第一层数据链接层为例,在这一层中,互联网络中的所有计算机都位于同一个网络节点,每台计算机发送的数据包都共用同一条通信通道,由此,攻击者通过更改通道,将错误的数据包发送至通信通道的每一处节点,导致系统故障;除了数据链接层以外,攻击者还可以经由防火墙漏洞或者传输层关闭对计算机网络系统破坏;盗取TFTP服务账户及密码等在应用层中对计算机网络系统产生多种破坏等。

2.3 病毒

随着科学技术的不断进步,近年来,各式各样的网络病毒层出不穷,严重威胁着计算机网络安全,影响人民群众的正常生产生活。病毒的破坏性极大,常见的木马病毒会使计算机系统运行缓慢,降低用户工作效率;严重的病毒甚至会导致计算机系统瘫痪,造成数据文件丢失;更有甚者,直接造成计算机硬件设备的损坏。另外,病毒还具有非常强大的繁殖再生功能,它可以自我复制计算机系统内的程序代码和操作指令,并对这些代码、指令进行修改,从而达到破坏计算机网络系统的目的。值得注意的是,网路病毒的隐蔽性非常强,常常需要防火墙和防病毒软件才能得以发现。

3 计算机网络系统应急接入模式分析

3.1 数字加密

数字加密,顾名思义,即计算机网络系统用户对需要保护的重要数据、信息、文件进行密码保护的过程。经过“数字加密”操作后,即便信息被黑客、攻击者或不法分子通过漏洞盗取,也不会被解密,通过这种应急接入模式的应用,黑客、攻击者或不法分子就无法获得真正的数据系统。应该高度注意的是,在对信息进行数字加密时,应该保证密码的不可解密性,因此,这一模式下密码设置是关键。目前,数字加密技术应用范围已经十分广泛,尤其在金融商贸领域,很多国际订单都采用数字加密对系统数据予以保护,效果显著。

3.2 防病毒软件

随着网络病毒的诞生,防病毒软件也获得了飞速发展。目前市场上的防病毒软件种类多样,各有特色。这些防病毒软件在实际工作中,主要对计算机网络系统内部病毒进行查杀、检测、提醒等,然而,在当前技术条件下,防病毒软件使用过程中又会产生新的计算机病毒,造成网络环境更为复杂,而且这种衍生性病毒对计算机网络系统的危害更大。因此,当防病毒软件提示系统出现病毒威胁时,网络管理员应对产生的病毒进行迅速彻底清除。

3.3 防火墙

当前常见的防火墙有软件防火墙、硬件防火墙、嵌入式防火墙三类。它的工作原理是通过设置屏障(内部网与外部网之间)以保护内网不受黑客、攻击者或不法分子的非法入侵,保护内网系统不受破坏。防火墙还可以对内网不同等级模块设置不同账户和相应密码,以对抗纷繁复杂的漏洞攻击。最后,防火墙还能够通过监控程序记录来访者身份,实现对非法用户的瞬时报警。

参考文献

[1]张鹏,周云.计算机网络应急接入模式研究[A].四川省通信学会.四川省通信学会2010年学术年会论文集[C].四川省通信学会,2010.

[2]丁火平.基于空间信息技术的城市应急管理系统研究[D].中国地质大学(北京),2009.

[3]汤昌娥.关于图书馆计算机网络系统建设的分析与思考[J].科技致富向导,2012(30):266,311.

篇3

云时代到来,带来了大数据的爆炸式增长。我们每一个人都是云计算和大数据的受益者,但另一方面,信息泄露的风险又给每一个受益者带来了隐形的困扰。

云计算安全的几个核心问题包括身份与权限控制、WEB安全防护、虚拟化的安全等。面对云计算的安全问题,现如今有许多基于云服务提供的安全,包括Web和邮件过滤、网络流量访问控制和监控,以及用于支付卡业务的标记化。不同安全服务的一个重要区别是,一些是“在云中”的、一些是“针对云”的,即那些集成到云环境中作为虚拟设备提供给用户使用和控制的安全服务。

什么是网络安全

近些年,国内网络安全概念很热,国家层面在谈、政府在谈、各种公司在谈,各行各业的从业人员也在谈,仿佛网络安全一下子从圈子内专业人员的小众化专业词汇,变成众人热捧的时尚名词,从业人员无论是薪水还是专业地位都得到了前所未有的提高与重视。

从这个词语本身来看,大概在上世纪90年代末期国内出现了与计算机安全有关的内容与要求,称为网络安全,如果对应成英文会更容易理解Network Security,以网络为核心的安全。

当时的环境,信息化建设较早的公司开始建设企业网络,国家也在开始部署“某金工程”,即金卡、金关、金盾等,核心内容就是两个业务系统信息化与跨地域网络联通,这种大环境下,安全的重点就不难理解为网络层面的安全,保护网络的边界,确保联网后不出现重大安全事件。

过了几年,2005~2006年左右,开始采用信息安全这个词语,对应的英文变为Information Security,更加重视保护信息,也就是内容与数据,这时的信息安全所指的安全涵盖范围更广泛,内容更多样,包括了传统的网络安全内容,也包括了信息、数据等安全内容。

近几年,安全的专业词语又发生了变化,同样是网络安全,但这个网络安全不同于最初的网络安全,从英文上看,已经演化为Cyber Security,可以理解为网络空间的安全,这个范围就更大更广泛了,甚至不仅仅是商业视角的范畴了

不管称为网络安全也好,信息安全也罢,词语在更新,内容在演化,涵盖的领域也在不断完善与丰富。

数据的烦恼

腾讯移动安全实验室数据显示,2015年上半年,手机支付木马病毒新增29762个,感染用户总数达到1145.5万,最高峰6月平均每天6.8万名用户中毒。

去年12月25日中国铁路购票网站12306遭遇“撞库”攻击轰动一时,超过13万条用户隐私数据在互联网疯传,用户账号、密码、身份证号、注册邮箱等数据被大范围流传、买卖,铁路公安机关抓获犯罪嫌疑人两名。“撞库”是指黑客将得到的数据在其它网站上进行尝试登录,因为很多用户喜欢使用统一的用户名密码,“撞库”也可以使黑客收获颇丰。

相应的,盗取用户身份证、银行卡号、手机号等隐私信息的黑产团伙周边产业链也不断完善,因网购订单泄漏、快递订单泄漏而导致的诈骗案件频频见诸报端,可见当前互联网黑产的主要危害已经从传统的账号安全逐渐转移至用户个人信息安全。

手机木马盗刷网银已经形成由买卖个人信息、制作植入木马病毒、盗刷、线下转移资金等组成的职业化明显的作案团伙。另外,黑产团伙利用互联网技术跨平台进行非法洗钱销赃,也致使多个互联网平台及电商蒙受信誉及实际经济损失。

互联网深度数据分析公司TOMsInsight在其最新的分析报告《互联网黑市分析:社工库的传说》中指出,全国流量排名前100的网站有近8成的用户数据库已被黑客盗取,变相为网络黑色产业链提供大数据来源。从去年下半年开始,网络上有数以千计的黑产从业人员从传统的点卡、盗号诈骗转移到银行卡盗刷产业。

目前,企业面临的威胁最大的安全风险有网站渗透、僵尸网络、DDoS攻击。这些威胁给企业带来的可能危害有:商业机密被窃取、网站被篡改后导致的名誉受损、触犯国家的法律法规、数据丢失等。

很多企业现在只是把一些非敏感的应用搬到云端,很多真正的IT关键应用实际上并没有向云端迁移,但云计算对很多初创公司却具有难以抗拒的吸引力。随着云计算技术的不断发展,越来越多的企业以及其他社会单位考虑将自己的关键业务放在云端运行,这也带来一个问题――那就是安全,黑客和破坏者们开始将目标瞄向云端了。

云端新挑战

随着云计算、移动互联网技术对企业的一步步“侵蚀”,企业的安全边界被彻底打破。“面对如今复杂的安全形势,传统的安全解决方案早已过时,安全不再是一个产品或者几个产品的组合,而是一整套思路、方法论以及认知。”网络安全企业杭州迪普科技有限公司(以下简称“迪普科技”)总裁王冰称,以云计算、物联网、大数据等技术为代表的下一代互联网技术对安全提出了新的要求。

服务器虚拟化和数据集中部署显著地改变了传统网络应用模式,飞速增长的数据和业务不仅使网络架构变得非常复杂,同时也面临网络安全、应用体验、业务持续可用等巨大挑战。

根据IDC的调查,安全问题一直是云计算中最受关注的方面。国内的报告也有类似的结论,调查的受访对象都有技术安全性方面的担忧,恰恰是这种担忧阻碍其迁移到云计算平台。

事实上,有些云服务提供商会对用户的数据进行加密,同时还会将用户的数据进行备份,一段时间后才会摧毁这些数据,所以企业在走入云端之前务必做好这方面的风险预估以及应急方案。

因此,要让企业和组织大规模应用云计算技术与平台,放心地将自己的数据交付于云服务提供商管理,就必须全面地分析,并着手解决云计算所面临的安全问题。

云计算管理着企业的关键数据,企业和个人是不是会更容易成为黑客的攻击对象呢?这也许不是一个常见的问题,但不是没有发生的可能。

数据威胁。数据问题对每位CIO来说都是头等大事。因为泄露带来的最大噩梦就是自己公司敏感的内部数据落入了竞争者之手,这也让高管们寝食难安,云计算则为这一问题增加了新的挑战。

对于消费者和企业双方而言,数据丢失都是非常严重的问题。而存储在云中的数据则可能因为其他的原因造成丢失。云服务供应商的一次删除误操作,或者火灾等自然因素导致的物理性损害,都可能导致用户数据丢失,除非供应商做了非常到位的备份工作。

但数据丢失的责任并非总是只在供应商一方,比如,如果用户在上传数据之前加密不妥当,然后自己又弄丢了密钥,那么也可能造成数据丢失。

内部操作问题。不论是在企业内部还是云计算服务提供商内部,人员的恶意操作都是非常危险的,同样后果也非常严重。云服务提供商肯定不会透露其雇员在物理服务器和虚拟化方面的水平,更不会告诉你他的分析和报告政策。

恶意的内部人员在安全行业。来自内部恶意人员造成的威胁已经成为一个争议话题。对组织存在威胁的恶意内部人员可能是那些有进入企业组织网络、系统、数据库权限的在任的或曾经的员工、承包商,或者其他业务伙伴,他们滥用权限,导致企业组织的系统和数据的机密性、完整性、可用性受损。

这也就意味着只要有了一定级别的授权,内部人员就可以获得机密数据并控制云服务。其实,用户是可以获得这些操作信息的,只要在签订服务级别协议的时候提出来就可以了。

云时代的数据中心防火墙与传统防火墙最大的不同在于,传统防火墙主要防护的是由数据中心外部来的访问流量,也就是我们称的南北向流量;而云数据中心防火墙除了南北向流量之外,还有东西向的流量,即虚拟机之间、租户之间的互访也需要通过防火墙进行安全防护。因此对于防火墙的性能要求更高,100G吞吐量以上的防火墙需求将会越来越普遍。

篇4

关键词:电子商务 风险管理 解决方法

随着开放的互联网络系统Internet的飞速发展,电子商务的应用和推广极大地改变了人们工作和生活方式,带来了无限的商机。然而,电子商务发展所依托的平台——互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展;此外,电子商务的发展还面临着严峻的内部风险,电子商务企业内部对安全问题的盲目和安全意识的淡薄,高层领导对电子商务的运作和安全管理重视程度不足,使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此,在考察电子商务运行环境、提供电子商务安全解决方案的同时,有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。

电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡量、分析,并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。

1.电子商务的内涵

1.1内涵

电子商务一词源于英文 Electronic Commerce或 Electronic Business,现已经成为当代社会的潮流,其含义有两个内容,其一,电子方式,其二,商贸活动,即整个商务过程的电子化、网络化和数字化,交易双方可以便捷却并不面对面地进行各种商贸活动,利用这种快速、低成本的电子通讯方式,它将覆盖与商务活动有关的方方面面。

针对人们对这个热词理解的不同,电子商务有广义和狭义之分。广义上说,电子商务是指利用一切电子方式所从事的贸易活动。电子方式指的是电子技术设备、电子技术工具及系统,包括早期的电报、电视、电话、传真、Email、广播、电子计算机、电信网络和当今的电子货币、信用卡、网银盾、信息基础设施及互联网等现代通信网络系统。贸易活动则指的是一系列市场经济活动,包括信息、询价报价、洽谈、签约、结算支付、商业交易、国内外贸易等等。由于信息技术快速发展和计算机网络的普及使电子商务得到广泛地运用,从狭义上讲,电子商务则是利用计算机网络进行的商务活动。

1.2分类

目前,电子商务按交易内容基本分为直接电子商务和间接电子商务两大类型。直接电子商务是指商家将服务产品和无形商品内容数字化,不需要某种特定物质形式的包装,直接在网上以电子形式传送给消费者,通过互联网或专用网直接实现交易。间接电子商务又称不完全的电子商务,指在网上进行的交易环节只能是订货、支付和部分的售后服务,而商品的配送还需依靠送货的运输系统等外部要素,即由专业的服务机构或现代物流配送公司去完成。

2.电子商务面临的安全风险

2.1互联网络的开放化带来的数据破坏风险

电子商务是以互联网络为平台的贸易新模式,它的一个最大特点是强调参加交易的各方和所合作的伙伴都要通过Internet密切结合起来,共同从事在阿络环境下的商业电子化应用。在电子商务环境下商务交易必须通过互联网络来进行,而互联网体系使用的是开放式的TCP/IP协议,它以广播的形式进行传播。容易受到计算机病毒、黑客的攻击,商业信息和数据易于搭截侦听、口令试探和窃取,给企业的数据信息安全带来极大威胁,如遭破坏或泄密,将会给电子企业、商户造成巨大的损失。

2.2系统软件安全漏洞带来的风险

由于现阶段广泛应用的主流操作系统和数据库管理系统是从国外引进直接使用的产品。核心技术还是使用引进的版本。这些系统安全性存在系统漏洞等不少危及信息安全的问题。系统软件安全漏洞带来的风险主要来自操作系统软件和数据库管理系统软件的安全漏洞。没有作系统的保护,就不可能有网络系统的安全,也不可能有应用软件信息处理的安全性。

2.3来自社会的外来入侵风险

电子商务容易被来自社会上的不法分子通过互联网络非法入侵,主要表现形式是黑客和病毒等对电子商务系统的文件和数据的篡改和破坏,是一种社会道德风险。黑客通过闯入他人计算机系统进行破坏,这些人利用电子商务系统和管理上的一些漏洞,进入计算机系统后,破坏或篡改重要数据,盗取机密与资源,控制他人的机器,清除记录。设置后门,给电子商务系统带来灾难性的后果。而计算机病毒是人为编写的一组程序,可以攻击电子商务系统的数据区、文件和内存,以致使计算机的硬件失灵,软件瘫痪。数据破坏,系统崩溃,给企业和商户造成无法挽回的巨大损失。

2.4电子商务本身内部监管漏洞带来的风险

电子商务本身如果缺乏约束机制,责权不明,管理混乱、安全管理制度不健全等是引起电子商务系统安全风险的头号风险根源。如果没有严格的可操作性的内部管理制度,容易造成当系统出现攻击行为或受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警,而且,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对系统的可控性与可审查性。

3.电子商务交易运行的风险

3.1信用风险

传统商务交易一般使用以纸为介质形式的手写签名或证明文件等方式来证明或确认商务的交易,应该说比较容易辨认真伪,操作显得比较容易。而在基于互联网络为交易平台的电子商务形式下,参与商业交易均在互联网上进行,双方并不存在与传

统商业模式的见面、磋商、谈判、监证、签署文件等问题,这就需要通过一定的技术手段相互认证,如数据加密技术、数字签名、数字证书等技术来保证电子商务交易的安全。在电子商务环境下,由于电子报表、电子文件、电子合同等无纸介质的使用,无法使用传统的签字方式,从而在辨别真伪上存在新的风险,电子商务的成功与否取决于消费者对网上交易的信任程度,电子商务的信任风险实质是由网络交易的虚拟化造成的,首先是买方信用风险。在网络中个人可以任意伪造信息,可以伪造假信用卡骗取卖方商品。从而给卖方带来风险。然后是卖方信用风险,由于信息不对称的原因消费者不可能全部掌握商家商品信息。卖方商品信息不完全、不准确或商家过分诱导消费者从而误导消费者购买行为;另外,卖家单方面毁约。不履行交易,也会对买方造成损失。所以电子商务应用过程中遇到的信用风险问题,是值得关注的问题。

3.2法律风险

电子商务在交易过程中存在法律风险,由于电子商务是在网络间进行的,电子商务交易可以看作是无纸贸易,是一个虚拟环境的交易,当前对这些虚拟交易的法律监管却并不完善,这些问题使得电子商务认证、交易会有不受法律保护的风险。另外,电子商务贸易还存在知识产权的风险,网络是个开放的平台,资源在网络中的传播是畅通的。在网络中资源的共享性使得有知识产权的资源受保护的力度被降低,因此可能带来电子商务交易的知识产权纠纷等法律的风险问题。

3.3电子商务风险管理

电子商务安全的风险管理(Risk Management)是对电子商务系统的安全风险进行识别、衡量、分析,并在此基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。其本质就是防患于未然:事前加以消减和控制,事后积极响应和处理,为响应和处理所做的准备就是制订应急计划。

4.风险管理步骤

了解了电子商务存在的风险之后,需要对这些风险进行管理和控制。具体包括风险识别、风险分析、风险应对和风险监控4个过程。选择有效的手段,以尽可能降低成本,有计划地处理风险,以获得企业安全运作的经济保障。这就要求企业在日常经营过程中,应对可能发生的风险进行识别,预测各种风险发生后对资源及日常经营造成的消极影响,使企业能够顺利经营。

4.1 风险识别

对电子商务系统的安全而言,风险识别的目标主要是对电子商务系统的网络环境风险、数据存取风险和网上支付风险进行识别。识别风险的方法有很多,主要有:试验数据和结果、专家调查法、事件树分析法。电子商务风险识别最常用的一种方法就是收集各种曾经发生过的电子商务攻击事件(不仅局限于本企业),经过分析提取出若干特征,将其存储到“风险”库,作为识别潜在风险的参考。

4.2风险分析

风险分析的目的是确定每种风险对企业影响的大小,一般是对已经识别出来的电子商务风险进行量化估计。这里量化的概念主要指风险影响指标,风险概率以及风险值。技术安全是电子商务实现的基础,其重要性不言而喻,因此在该项目规划、计划阶段就应充分考虑。

4.3 风险应对(风险控制)

根据风险性质和企业对风险的承受能力制订相应的防范计划,即风险应对。确定风险的应对策略后,就可编制风险应对计划。电子商务的技术风险控制主要是针对网络环境风险、数据存取风险和网上支付风险制订风险应对策略,从硬件、软件两方面加强IT基础设施建设。

4.险监控

制定规划,实施保护措施,在保护措施实施的每一个阶段都要进行监控和跟踪。风险贯穿于电子商务项目的整个生命周期中,因而风险管理是个动态的、连续的过程。因此制订了风险防范计划后,还需要时刻监督风险的发展与变化情况。

5.风险管理规则的制定

5.1评估阶段

该阶段的主耍任务是对电子商务的安全现状、要保护的信息、各种资产等进行充分的评估以及一些基本的安全风险识别和分析。

对电子商务安全现状的评估是制定风险管理规则的基础。

对信息和资产的评估是指对可能遭受损失的相关信息和资产进行价值的评估,以便确定相适应的风险管理规则,从而避免投入成本和要保护的信息和资产的严重不匹配。

安全风险识别要求尽可能地发现潜在的安全风险,应收集有关各种威胁、漏洞、开发和对策的信息。

安全风险分析是确定风险,收集信息,对可能造成的损失进行评价以估计风险的级别,以便做出明智的决策,从而采取措施来规避安全风险。

5.2开发和实施阶段

该阶段的任务包括风险补救措施开发、风险补救措施测试和风险知识学习。 风险补救措施开发利用评估阶段的成果来建立一个新的安全管理策略,其中涉 及配置管理、修补程序管理、系统监视与审核等等。

在完成对风险补救措施的开发后,即进行安全风险补救措施的测试,在测试过程中,将按照安全风险的控制效果来评估对策的有效性。

5.3运行阶段

运行阶段的主耍任务包括在新的安全风险管理规则下评估新的安全风险。这个过程实际上是变更管理的过程,也是执行安全配置管理的过程。运行阶段的第二个任务是对新的或已更改的对策进行稳定性测试和部署。这个 过程由系统管理、安全管理和网络管理小组来共同实施。

6.风险管理对策

由于电子商务安全的重要性,所以部署一个完整有效的电子商务安全风险管理对策显得十分迫切。制定电子商务安全风险管理对策目的在于消除潜在的威胁和安全漏洞,从而降低电子商务系统环境所面临的风险。

6.1缩短电子商务项目周期,增加更多的项目选择

减轻电子商务风险的一个最简单的方法就是缩短电子商务项目周期,因为电子商务所面临的外界环境,如技术环境,竞争环境等变化太快,如果电子商务项目过大,即使你的项目本身成功了,但由于环境的改变,这个成功的电子商务项目未必能给企业带来原先设想的利益。

6.2自上而下的风险意识

很多的企业认为,电子商务项目是个技术项目,只需要相关的技术部门参与就可以了。有调查显示,大多数企业在进行电子商务化的过程中,缺乏高级管理层的重视,这也是电子商务项目成功率不高的原因。而对于成功的电子商务企业,往往在进行电子商务项目时,不仅受到企业决策层的高度关注,而且普通的员工也都非常清楚电子商务化的目标,这样自上而下的对于电子商务知识的了解,也是这些公司成功运作电子商务的原因之一。所以对于将要从事电子商务的企业,不仅要让全体员工了解电子商务的知识,而且要了解电子商务的风险,要形成一个自上而下的全员参与、全员重视的风险意识。

6.3改变企业内部运作流程

现在仍有很多企业认为电子商务无非就是建一个网站,所以这些企业在从事电子商务时,往往会遭遇失败。电子商务给企业提供很好的机会改变其内部和外部商业运作流程,如果企业不改变其商业运作流程,而直接进入电子商务,不仅企业对电子商务的投资会失败而且会影响到整个企业的声誉。所以在企业加入电子商务行业前,一定要改造自己内部的运作流程,使之适应电子商务的要求。实行电子商务的商户,在内部管理制度上应健全相应的规章制度,例如:制定制度来规范和约束员工的行为,根据其工作的重要程度,确定该系统的安全等级。制订相应的机房出入管理制度对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。对操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己

的管辖范围;制订完备的系统维护制度,对系统进行维护时。应采取数据保护措施。如数据备份等。另外制定人员激励机制也很重要,应建立人员雇用和解聘制度。及时对工作人员进行评价,制定奖惩制度,调动工作人员的工作责任感和积极性。

6.4滚动的战略计划

电子商务时代的不确定性和快速变化,使得详细的战略经营计划的作用越来越小。我们现在经常看到的是,电子商务企业有一个明确的五年计划,其中第一年计划较详细,而其他年份则是较粗略的,因为在这些计划实施的时间到来之前,环境可能已经发生变化了。这说明了确保五年目标具有相关性的滚动计划的十分必要的,应当定期修改计划来适应变化了的环境。当然,这种方法的实施也应具体问题具体分析,应当考虑各个企业所面临的具体环境而有所不同。

6.5降低成本与实现可持续发展

电子商务的发展是大势所趋,但电子商务在给企业带来机遇的同时也产生了新的风险。正如在所有的风险管理当中一样,我们考虑的是未来事件出现的不确定性和可能性;在电子商务中,这种不确定性甚至更大,这使得电子商务风险管理成为一项相当繁重的工作。因此要解决好电子商务的安全风险问题,应该针对问题的根源,采用一种综合防范的思路,从多方面去认识,寻找解决方法,这对加快我国电子商务的发展有着重要的意义。

6.6加强技术保证,确保电子商务信息的安全

针对电子商务依靠互联网络平台来开展的网络开放性的特点,特别是要针对互联网体系使用的是开放式的TCP/IP协议,给企业信息和数据安全带来的极大威胁的安全隐患。对如何保障企业的信息数据和重大商业机密,是确保开展电子商务的企业的重要技术保障和前提条件,只有高度重视电子商务的信息安全,才能保证其运行安全,这就需要有强大的技术安全保障措施,不但要制定完善的技术保障措施,更要严格执行制度,才能确保电子商务信息的安全。例如:我们在企业内部网和互联网之间要加一道防火墙,防止黑客或计算机病毒的袭击。保护企业内部网中的机密商业信息数据。另外,利用现有的信息新技术将数字签名技术应用于电子商务的身份认证,可以防止非法用户假冒身份,从而保证电子支付的安全,增强电子商务信息的安全保障措施是电子商务顺利开展的重要技术保障。

6.6.1加强电子商务网络安全的开发及运用

目前电子商务的运作涉及信息、资金、商业秘密等安全问题,由于其电子数据具有无形化的特征,而有关认证机制或者网上安全技术均不够完善,因此有必要对互联网进行本质上的重新设计,使其保证电子商务活动的正常进行,这涉及到多方面的技术应用,如防木马、防火墙、加密、认证等。面对电子商务网络安全威胁,必须采取各种各样的管理措施,满足商务交易运行的安全性。

6.6.2建立电子商务的信用保障体系

电子商务交易模式与其他交易模式相比具有更多的风险,然而引起这些风险的原因还在于带来这些风险的人的失信行为。消除这些风险的,需要一个第三方信用服务认证机构通过技术手段来帮助参与电子商务交易的各方提出解决方案,使风险降至最低。

6.6.3完善电子商务税收征管机制

首先,出台相应法律法规,扶持电子商务。我国应出台相关的法律法规,鼓励与扶持国内企业利用电子商务,并应坚持税收中性原则,使企业对市场行为和贸易方式的选择不受征税影响。其次,借助计算机网络,加快税收征管改革。现在,电子商务发展迅速,交易的无纸化使得税务机关必须改革以传统的以纸质凭据作为纳税依据的征管制度,以便税务机关稽查,做到税收无纸化,提高效率,从而适应电子商务发展的要求。最后,加强与银行等中介机构的信息确认,获取真实可靠的征管信息。税务机关应同银行等中介机构合作,通过联网获取企业在电子商务平台中交易的相关信息,对企业的资金流向实施有效监控,防止企业偷逃税。

6.7加强复合型人才的培养

实现电子商务环境是当今全球经济一体化、信息化时代的一种发展趋势,重视复合型人才的培养是电子商务成功与否的决定因素。所谓电子商务的复合型人才是指要求电子商务管理人员既要有计算机知识,还要有管理理论和商务、金融、法律等知识。对电子商务管理人员进行培训,通过学习现代电子网络技术,将经济、金融、法律、网络有机地结合。对商务交易、金融活动的网络化、数字化有比较深刻的认识,加深对电子商务环境下的风险认识和防范。从而提高员工适应电子商务的工作能力和创新能力,更好地开展电子商务这一新兴的贸易模式。

结论

电子商务的开展以信息技术为基础,如何解决电子商务中存在的安全问题已成为一个迫在眉睫的课题。电子商务风险是不可能完全消除的,因为它是与电子商务共生的,是电子商务的必然产物,但是,可以将风险限制在影响最小的范围之内。只有了解风险,才能规避风险。本文从安全风险管理的角度出发,分析了电子商务中可能存在的技术风险,论述了这些风险的控制策略,希望对企业开展电子商务活动起到一定的积极作用电子商务作为一种新的交易方式,已成为我国经贸发展领域的主流力量,并将成为国际经贸合作的主要平台。然而电子商务所存在的或将出现的风险问题是不可能完全消除的,它是伴随电子商务的产生而出现的必然产物。由于电子商务风险在不同的应用领域所产生的危害程度各不相同,所以电子商务风险管理的目标是将其存在的风险所造成的影响尽可能控制最小的范围之内。此外,无论是再好的安全措施也要有应对突发的安全问题的应急方案。最重要的是政府必须尽快制定并完善相关政策,适应高速发展的电子商务进程,确保电子商务交易的安全、透明、高效。

参考文献

[1]调查报告编委会.1997-2009:中国电子商务十二年调查报告[EB/OL].http://,2009-10-12.

[2]贾建华,阚宏.国际贸易理论与实务[M].修订第四版.北京:首都经济贸易大学出版社,2004:143-147.

[3]邱新泉.电子商务风险与对策研究.信息技术,155-156

[3] 刘伟江,王勇。电子商务风险及控制策略[J].东北师范大学学报:

哲学社会科学版,2005,(11)。

[5] 高新亚,邹静.电子商务安全的风险分析和风险管理.武汉理工大学学报. 信息与管理工程版.2005.8

[6] 郭学勤,陈怡.电子商务安全对策.计算机与数字工程.2001.7 [7] 李晶.电子商务安全防范措施.安徽科技.2003.4

[7]彭连刚. 电子商务及其安全问题探析. 长沙航空职业技术学院学报 , 2005, (02)

[8]专业文献资料