陈达文文
电子商务安全风险管理研究林黎明1 李新春2( 中国矿业大学 管理学院,江苏 徐州 221008 )摘要 该文基于目前电子商务安全所面临的各种风险问题,结合当前的一些风险管理方法,对电子商务系统安全风险管理进行一些基本的分析和研究,以期对企业电子商务安全风险管理提供一些有价值的借鉴和参考。关键词 电子商务安全,风险管理,风险识别,风险控制1 引言随着开放的互联网络系统Internet的飞速发展,电子商务的应用和推广极大了改变了人们工作和生活方式,带来了无限的商机。然而,电子商务发展所依托的平台—互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展;此外,电子商务的发展还面临着严峻的内部风险,电子商务企业内部对安全问题的盲目和安全意识的淡薄,高层领导对电子商务的运作和安全管理重视程度不足,使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此,在考察电子商务运行环境、提供电子商务安全解决方案的同时,有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡量、分析,并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。2 电子商务面临的安全风险由于网络的复杂性和脆弱性,以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说,电子商务普遍存在着以下几个安全风险:1)信息的截获和窃取这是指电子商务相关用户或外来者未经授权通过各种技术手段截获和窃取他人的文电内容以获取商业机密。2)信息的篡改网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或插入,并发往目的地,从而达到破坏信息完整性的目的。3)拒绝服务拒绝服务是指在一定时间内,网络系统或服务器服务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的认为破坏。4)系统资源失窃问题在网络系统环境中,系统资源失窃是常见的安全威胁。5)信息的假冒信息的假冒是指当攻击者掌握了网络信息数据规律或解密了商务信息后,可以假冒合法用户或假冒信息来欺其它用户。主要表现形式有假冒客户进行非法交易,伪造电子邮件等。6)交易的抵赖交易抵赖包括发信者事后否认曾经发送过某条信息;买家做了定单后不承认;卖家卖出的商品因价格差而不承认原先的交易等。3 风险管理规则针对电子商务面临的各种安全风险,电子商务企业不能被动、消极地应付,而应该主动采取措施维护电子商务系统的安全,并监视新的威胁和漏洞。因此,这就需要制定完整高效的电子商务安全风险管理规则。一般来说,风险管理规则的制定过程有评估、开发和实施以及运行三个阶段。(1)评估阶段该阶段的主要任务是对电子商务的安全现状、要保护的信息、各种资产等进行充分的评估以及一些基本的安全风险识别和分析。对电子商务安全现状的评估是制定风险管理规则的基础。对信息和资产的评估是指对可能遭受损失的相关信息和资产进行价值的评估,以便确定相适应的风险管理规则,从而避免投入成本和要保护的信息和资产的严重不匹配。安全风险识别要求尽可能地发现潜在的安全风险,应收集有关各种威胁、漏洞、开发和对策的信息。安全风险分析是确定风险,收集信息,对可能造成的损失进行评价以估计风险的级别,以便做出明智的决策,从而采取措施来规避安全风险。(2)开发和实施阶段该阶段的任务包括风险补救措施开发、风险补救措施测试和风险知识学习。风险补救措施开发利用评估阶段的成果来建立一个新的安全管理策略,其中涉及配置管理、修补程序管理、系统监视与审核等等。在完成对风险补救措施的开发后,即进行安全风险补救措施的测试,在测试过程中,将按照安全风险的控制效果来评估对策的有效性。(3)运行阶段运行阶段的主要任务包括在新的安全风险管理规则下评估新的安全风险。这个过程实际上是变更管理的过程,也是执行安全配置管理的过程。运行阶段的第二个任务是对新的或已更改的对策进行稳定性测试和部署。这个过程由系统管理、安全管理和网络管理小组来共同实施。以上风险管理规则的三个阶段可以用下图来表示:图1 风险管理规则的三个阶段4 风险管理步骤风险管理是识别风险、分析风险并制定风险管理计划的过程。电子商务安全风险的管理和控制方法,它包括风险识别、风险分析、风险控制以及风险监控等四个方面。(1)风险识别电子商务系统的安全要求是通过对风险的系统评估而确认的。为了有效管理电子商务安全风险,识别安全风险是风险管理的第一步。风险识别是在收集有关各种威胁、漏洞和相关对策等信息的基础上,识别各种可能对电子商务系统造成潜在威胁的安全风险。风险识别的手段五花八门,对于电子商务系统的安全来说,风险识别的目标是主要是对电子商务系统的网络环境风险、数据存在风险和网上支付风险进行识别。需要注意的是,并非所有的电子商务安全风险都可以通过风险识别来进行管理,风险识别只能发现已知的风险或根据已知风险较容易获知的潜在风险。而对于大部分的未知风险,则依赖于风险分析和控制来加以解决或降低。(2)风险分析风险分析是运用分析、比较、评估等各种定性、定量的方法,确定电子商务安全各风险要素的重要性,对风险排序并评估其对电子商务系统各方面的可能后果,从而使电子商务系统项目实施人员可以将主要精力放在对付为数不多的重要安全风险上,使电子商务系统的整体风险得到有效的控制。风险分析是一种确定风险以及对可能造成的损失进行评估的方法,它是制定安全措施的依据。风险分析的目标是:确定风险,对可能造成损坏的潜在风险进行定性化和定量化,以及最后在经济上寻求风险损失和对风险投入成本的平衡。目前,风险分析主要采用的方法有:风险概率/影响评估矩阵,敏感性分析,模拟等。在进行电子商务安全风险分析时,由于各影响因素量化在现实上的困难,可根据实际需要,主要采用定性方法为主辅以少量定量方法相结合来进行风险分析,为制定风险管理制度和风险的控制提供理论上的依据。(3)风险控制风险控制就是选择和运用一定的风险控制手段,以保障风险降到一个可以接受的水平。风险控制是风险管理中最重要的一个环节,是决定风险管理成败的关键因素。电子商务安全风险控制的目标在于改变企业电子商务项目所承受的风险程度。一般来说,风险控制方法有两类:第一类是风险控制措施,比如降低、避免、转移风险和损失管理等。在电子商务安全风险管理中,比较常用的是转移风险和损失管理。第二类为风险补偿的筹资措施,包括保险与自担风险。在电子商务安全风险管理中,管理人员需要对风险补偿的筹资措施进行决策,即选择保险还是自担风险。此外,风险控制方法的选择应当充分考虑相对风险造成损失的成本,当然其它方面的影响也是不容忽视的,如企业商誉等。对电子商务安全来说,其有效可行的风险控制方法是:建立完整高效的降低风险的安全性解决方案,掌握保障安全性所需的一些基础技术,并规划好发生特定安全事故时企业应该采取的解决方案。5 风险管理对策由于电子商务安全的重要性,所以部署一个完整有效的电子商务安全风险管理对策显得十分迫切。制定电子商务安全风险管理对策目的在于消除潜在的威胁和安全漏洞,从而降低电子商务系统环境所面临的风险。目前的电子商务安全风险管理对策中,较为常用的是纵深防御战略,所谓纵深防御战略,就是深层安全和多层安全。通过部署多层安全保护,可以确保当其中一层遭到破坏时,其它层仍能提供保护电子商务系统资源所需的安全。比如,一个单位外部的防火墙遭到破坏,由于内部防火墙的作用,入侵者也无法获取单位的敏感数据或进行破坏。在较为理想的情况下,每一层均提供不同的对策以免在不同的层中使用相同的攻击方法。下图为一个有效的纵深防御策略:图2 有效的纵深防御策略下面就各层的主要防御内容从外层到里层进行简要的说明:1)物理安全物理安全是整个电子商务系统安全的前提。制定电子商务物理安全策略的目的在于保护计算机系统、电子商务服务器等各电子商务系统硬件实体和通信链路免受自然灾害和人为破坏造成的安全风险。2)周边防御对网络周边的保护能够起到抵御外界攻击的作用。电子商务系统应尽可能安装某种类型的安全设备来保护网络的每个访问节点。在技术上来说,防火墙是网络周边防御的最主要的手段,电子商务系统应当安装一道或多道防火墙,以确保最大限度地降低外界攻击的风险,并利用入侵检测功能来及时发现外界的非法访问和攻击。3)网络防御网络防御是对网络系统环境进行评估,采取一定措施来抵御黑客的攻击,以确保它们得到适当的保护。就目前来说,网络安全防御行为是一种被动式的反应行为,而且,防御技术的发展速度也没有攻击技术发展得那么快。为了提高网络安全防御能力,使网络安全防护系统在攻击与防护的对抗中占据主动地位,在网络安全防护系统中,除了使用被动型安全工具(防火墙、漏洞扫描等)外,也需要采用主动型安全防护措施(如:网络陷阱、入侵取证、入侵检测、自动恢复等)。4)主机防御主机防御是对系统中的每一台主机进行安全评估,然后根据评估结果制定相应的对策以限制服务器执行的任务。在主机及其环境中,安全保护对象包括用户应用环境中的服务器、客户机以及其上安装的操作系统和应用系统。这些应用能够提供包括信息访问、存储、传输、录入等在内的服务。根据信息保障技术框架,对主机及其环境的安全保护首先是为了建立防止有恶意的内部人员攻击的首道防线,其次是为了防止外部人员穿越系统保护边界并进行攻击的最后防线。5)应用程序防御作为一个防御层,应用程序的加固是任何一种安全模型中都不可缺少的一部分。加强保护操作系统安全只能提供一定程度的保护。因此,电子商务系统的开发人员有责任将安全保护融入到应用程序中,以便对体系结构中应用程序可访问到的区域提供专门的保护。应用程序存在于系统的环境中。6)数据防御对许多电子商务企业来说,数据就是企业的资产,一旦落入竞争者手中或损坏将造成不可挽回的损失。因此,加强对电子商务交易及相关数据的防护,对电子商务系统的安全和电子商务项目的正常运行具有重要的现实意义6 结论一般来说,风险管理有基本的三个对策,包括管理者采取适当措施来降低风险事故发生的概率;管理者准备并实施一个意外事故应急计划以备不测;还有就是管理者什么都不做。对已选定的对策,应对其潜在的风险有充分的估计,并制定相应的应变计划,以使可能的风险损失降到最低。风险管理没有铁定的规则,对于电子商务安全风险管理来说,首先是扫描和检测电子商务系统的内外部环境,检查系统的脆弱性和薄弱环节,及时打上补丁和追加设备,以便当风险产生时尽可能地减少损失;其次是对电子商务安全风险进行充分地分析,然后制定相应的规划和措施,并在其实施的每个阶段进行监控和跟踪;最后是根据环境的变化随时调整风险管理措施,制定完备的灾难恢复计划。参考文献[1]甘早斌.电子商务概论(第二版).华中科技大学出版社.[2]钟诚.电子商务安全.重庆大学出版社.[3]才书训.电子商务安全风险管理与控制.东北大学出版社.[4]易珊,张学哲.电子商务安全策略分析.科技情报开发与经济.[5]高新亚,邹静.电子商务安全的风险分析和风险管理.武汉理工大学学报.信息与管理工程版.[6]郭学勤,陈怡.电子商务安全对策.计算机与数字工程.[7]李晶.电子商务安全防范措施.安徽科技.[8]Greenstein M,FeinmanT Commerce:Security,Risk Management and Control[M].New York:McGraw-Hill Companies,Inc.,2000[9]Charles Cresson Wood, Essential Controls for Internet Electronic Commerce[M].Network Security,1998-------------------------------------------------------------------
余味无穷aa
工程监理与工程项目管理关系分析【摘要】工程监理作为工程项目建设业务中的一个组成部分,如何在与国内外同行的竞争中立于不败之地,并得到长足发展,已成为我国监理企业面临的严峻挑战。如果没有危机感,不提前思考我们的业务转型、发展战略和项目管理模式的创新,监理企业的发展前途不可想象。【关键词】工程监理 项目管理 关系 分析工程监理作为工程项目建设业务中的一个组成部分,如何在与国内外同行的竞争中立于不败之地,并得到长足发展,已成为我国监理企业面临的严峻挑战。由于我国监理起步较迟、定位较低,管理水平低,缺乏国际监理经验,缺少健全有效的体制和先进的管理技术,且对这种新兴业务还缺乏比较深刻的认识,同时我国工程建设市场仍然有着诸多不规范的地方。目前,监理行业尚可维持,入世之后,外资企业的进入和勘察、设计、施工企业的改制,都会对我们监理企业造成极大的冲击。如果没有危机感,不提前思考我们的业务转型、发展战略和项目管理模式的创新,监理企业的发展前途不可想象。一、工程项目管理内涵1、工程项目计划管理。一个大型工程项目的管理工作千头万绪,工作过程中千变万化,没有一个完整的工作计划和综合协调是无法满足业主要求和期望的。其主要过程是:收集各方面信息,汇总并制定一份连贯、一致的计划书,在项目实施过程中,要根据现场变化情况,及时、有效地调整计划,加强控制,以确保计划目标的实现。2、工程项目各阶段任务划分及目标确定。为保证总体目标实现,必须将工程项目所涉及的全部工作细化,分解到各相关单位、部门或人。确定工作范围、工作目标、工作标准。对各项任务的完成情况由综合管理部门收集信息,分析、调整、控制,以各子项目的目标实现保证总体目标实现。3、工程项目进度管理及过程控制。工程项目从项目建议书批准之日起就应抓进度管理,确定各种项目可完成时间,分析各活动之间依赖关系,确认过程所需时间、制定进度计划,调整和控制进度的变化,控制项目进度计划特别是复杂大型的工业建设项目,绝不能仅控制承包商的施工进度,而应控制影响工程项目的全部进度。如设计,对外谈判签约,设备、材料采购,能介质供应,生产人员、技术、物资准备等等。4、投资控制及费用管理。投资控制的目的,是确保在批准的预算内完成工程项目诸过程。根据资源需用计划及价格测算所需资金,编制资金使用计划,并分配到各单项工程和各项工作之中。从工程项目设计开始就应严格控制,限额设计,并通过控制设计变更减少承包商的索赔,达到投资控制的目标。5、质量管理。确定工程项目质量标准,技术要求,定期评价总体项目进展情况,以提高各相关单位、人员满足质量标准的信心,跟据实际情况分析与质量目标的符合性,制定相应措施,消除导致不满意情况发生的因素。6、人力资源管理。有效地使用各种人力资源,发挥相关各方面人员的积极性。通过组织确定分析角色、责任和相互关系。及时补充急需人员,裁减冗员,开发个人或组织的进取心和技能。7、沟通信息。确保及时正确地产生、收集、发布、储存和最终处理项目信息,是工程项目所必须的联络方式,任何一个信息疏漏或沟通不及时都会影响整个工程项目进展。要建立信息编码体系、信息沟通计划及执行情况检查制度。8、采购管理。工程项目所需物资、设备采购品种多,数量大,处理不当都会影响整个工程项目目标的实现,必须对采购工作加强管理和控制。首先要决定何时购何物,确定潜在来源,然后询价、招标、签订合同,督促按时、按质、按量及时供应到位。9、项目风险管理。工程项目管理机构要懂得如何识别风险,分析和应对风险,及时调整对策,使正面事件影响扩大,把负面事件影响减到最小。二、工程项目管理公司的特点要承担大型工程项目管理任务,项目管理公司要全满足业主的明示和潜在的需求。因为工程项目是一种固定产品,各个项目均有不同特点和要求。该产品的形成过程是一种特别复杂的过程,所以要有一批有实践经验的人管理、协调、监督该生产过程,从而使产品达到优质,满足用户需求。(1)独立性。工程项目管理单位虽然是非投资方,不负责筹借资金,但所有建设过程均应按一定规律、国家法规去运作,一切从实际出发,独立执行,为客户服务,不受其他因素干扰和干预,认真细致地履行职责,运用科学分析的方法和手段,做出符合实际的结论,使工程项目经得起历史检验,取得最佳经济效益和社会效益。(2)灵活性。一个工程项目受各种条件制约和影响,必须有灵活机动的思维方式,面对实际,及时处理,任何定式思维都无法适应项目的千变万化的需要。(3)系统性。工程项目从立项到建成使用,都是一个庞大的系统工程,涉及面广,要能运用系统工程理论,随时平衡各种条件,调整各方关系,不因一个小的变更而影响整体工程的进展。真正的项目管理公司要形成自己独特的管理体系和模式,使项目管理单位企业化,服务社会化,管理结果商品化。三、当前工程监理与项目管理的差距及原因推行工程监理制,其本意就是推行工程项目管理,也就是对业主委托的项目进行全过程、全方位的策划、管理、监督工作。虽有部分监理企业承担了些工程项目管理业务,也是不全面,不系统的。大多数监理企业距工程项目管理企业相差很远。为什么工程监理企业与原始构思相差甚远呢?有如下几点原因:(1)监理企业定位及政策不符合推行监理制度的初衷。监理制度的推行本意是改革原有建设管理模式,推行现代化的管理项目理制,在计划经济影响仍十分顽固的情况下,项目业主不肯将投资、进度、合同管理放权。(2)目前监理企业良莠不齐,形式各异。有挂靠的,有出资质的,有低价抢业务的,也有视监理工程为儿戏的,等等,在社会上形成不良影响。因而,相当一部分业主对监理公司承担全过程管理不放心。凡大型工业项目,业主方都要织一套班子来控制工程进度和投资,从而形成恶性循环,智能人才进监理公司无法发挥作用。长此以往,除少数有利的监理公司外,都将被社会所淘汰。(3)尽管有些监理企业承担了部分工程项目管理业务,也基本上局限于施工队伍的“三控,二管,一协调”,大都不承担前期科研和采购工作,与真正意义上的项目管理有差距。(4)多数监理企业人员素质普遍较低,缺乏适合项目管理的人才,尤其是经济、商务、管理、法律等方面的知识和能力不足。缺乏项目经理,双语人才,市场调研人才,方案设计和审查专家,经济评价和投资估算人才,融资管理和企业管理人才。复合型人才和熟悉国际惯的能从事国际工程项目管理的人才。(5)由于对监理企业定位的影响和企业间不公平竞争,不仅人员素质低,结构不合理,考核激励机制不健全,培训费用少,人员调动困难,很难形成具有核心竞争力的项目管理企业。四、监理公司走向项目管理公司的几个问题(1)高水平的建设监理公司应积极创造条件发展成为项目管理公司。建设部在2003年2月以建令[2003]30号文发布了《关于培育发展工程总承包和工程项目管理企业的指导意见》,文中指出:积极推行工程总承包和工程项目管理,是深化我国工程建设组织实施方式变革,提高工程建设管理水平,保证工程质量和投资效益以及规范市场管理的需要,是有关企业调整经营结构,加快和国际接轨的需要,是贯彻“走出去”发展战略,积极开拓国际市场的需要。我国的建设监理公司本身的定位就应该是为业主方服务的项目管理公司。(2)关于项目管理公司的业务范围。对于工程项目管理这几个字,可以从两个角度理解:一个是工程项目的全过程管理,即由项目策划,可行性研究,一直到项目完成和进行项目后评价,另一个指工程实施过程中某一方的项目管理,如业主方的项目管理和承包商方的项目管理,在国外一般说到“项目管理”(Project Management)均指业主方的项目管理。(3)建设监理公司必须努力提高自身水平才能发展成为项目管理公司。虽然目前我国的建筑市场上业主方将工程项目的全部或大部分管理交由项目管理公司的可能性不大,但是由上述对项目管理公司的业务范围的讨论可以看出,项目管理公司是我国比较有实力的建设监理公司的发展方向。每一个项目都是互相联系的,它们之间是会互相影响的。每一个项目的领导者必须要注意他的项目是如何同其他的项目产生相互联系并注意相互协调的。只有定位准确,抓住机遇,研究一些中国国情下的特殊的问题,逐步形成中国特色,结合我国蓬勃发展的建筑市场,监理企业才会进一步壮大,最终将发展成为有能力参与国际竞争的工程项目管理公司。参考文献:[1]全国监理工程师培训教材[M].北京:中国建筑工业出版社,2005.[2]姚兵.施工项目管理概论[M].北京:中国建筑工业出版社,1995.[3]成虎.建筑工程合同管理与索赔[M].南京:东南大学出版社,1996.
房地产开发风险管理系统是将房地产风险管理的各要素,按照风险管理的内在要求,组成的一个各要素相互区别、相互联系、相互制约。下面是我为大家整理的房地产风险管理论文,
晶莹剔透0702 2人参与回答 2023-12-09 毕业论文致谢范文(一) 论文致谢 我首先要感谢我的论文指导老师、xx大学经济与管理学院的xxx老师。x老师对我论文的研究方向做出了指导性的意见和推荐,在论文撰写
人訫可畏 2人参与回答 2023-12-11 电子商务安全风险管理研究林黎明1 李新春2( 中国矿业大学 管理学院,江苏 徐州 221008 )摘要 该文基于目前电子商务安全所面临的各种风险
小涛涛偶巴 2人参与回答 2023-12-07 摘要:建筑工程项目是一个较为复杂的工程项目,其自身的特点决定了它的多风险性,因此,在进行建筑工程项目管理中必须要对风险管理予以重视,笔者根据自己的工作及学习经验
雨丰是小兔 4人参与回答 2023-12-06 企业财务风险的识别与分析是企业财务风险防范的首要环节。下面是我为大家整理的财务风险论文开题 报告 ,供大家参考。 《 公路施工企业全过程财务风险管理实践 》
壹家生活 3人参与回答 2023-12-06