电子商务安全性毕业论文

第三章 在机遇与障碍中生存——我国电子商务发展的对策分析 面对电子商务可能带来的机遇和挑战，许多国际知名的跨国集团，竞相投入大量人力、财力开拓电子商务网络的硬件及软件支撑系统。各国政府也纷纷制定有关电子商务的政策和发展规划，大力支持本国企业抢占电子商务制高点。事实上，一场以电子网络为工具的新一轮全球经济竞争己经开局。我国要想在新一轮的竞争中立于不败之地，现在就必须制定与未来电子商务时代相适应的发展战略，并针对目前存在的问题，提出切实可行的措施。 第一节 成立专门的协调机构 为了引导全社会的电子商务活动健康、有序地发展，需要一个有代表性、有权威性的协调机构。建议成立由主管副总理或国务委员直接领导的包括政府、企业、消费者社团、教学科研部门各方面人士组成的“全国电子商务促进委员会”及其办事机构，负责全国电子商务的业务、技术、政策、法律、国际合作等总体框架的协调和规划的制定。 第二节 积极参与国际对话 互联网是一个全球性的媒介，不能采用传统的各国独立的方式来发展。积极参与电子商务问题的国际谈判并逐渐起到主导作用，认真研究我国发展电子商务的对策，提出对我国有利的“游戏规则”。目前的电子商务国际谈判主要集中在少数发达国家之间，发展中国家若不及时参与到对话中来，不利于形成电子商务的国际框架。 第三节 确立“市场导向、企业推进、政府监督”的原则 我国电子商务的发展应遵循“市场导向、企业推进、政府监督”的原则。一方面，政府不宜过多地直接干预企业的电子商务，而应让企业根据市场的需求，自主创新、自负盈亏地发展与我国国情相适应的多种多样的电子商务模式。只要不违反国家的有关法令，企业愿意投资发展的都应予以支持。另一方面，又要加强对电子商务政策的研究，积极参与有关电子商务的国际对话和有关规则的制定，借鉴其他国家、国际组织成功的经验，尽快建立一套既符合我国的具体情况又与国际接轨的法规、制度和办法，使我国电子商务的运作有章可循，有法可依。 第四节 有步骤、有重点地推进电子商务的发展 根据我国的现状，目前应以企业内部商务活动的电子化和企业间的电子商务(BTOB)作为发展的重点。这是因为:第一，企业是经济活动的基本组成单位，整个电子商务的发展必须以企业内部商务活动的电子化作为基础。第二，与企业对消费者的商务活动(BTOC)对比，企业对企业的商务活动所占的比重更大利用电子商务来节省交易费用的需求也更为迫切。从国外情况来看，企业对企业的电子商务的发展发展明显快于企业对个人的电子商务。在美国，目前企业对企业电子商务的规模大约为企业对个人电子商务的5倍。第三，从技术、人员配置和法律监管等角度看，企业对企业的电子商务的安全性和技术要求更容易得到保证。 第五节 抓好发展电子商务所必须的信息化基础建设要抓好发展电子商务所必须的基础设施建设，当前尤其要抓好我国高速宽带网的建设，提高上网的速度，降低上网的费用。要组织必要的技术攻关，购置必要的硬件设备，开发和引进相关软件，使我国电子商务基础设施的建设能够跟上世界的步伐。 要采取切实措施，进一步鼓励企业加大对信息投资的力度。大中型企业和有条件的小企业都应建立自己的内部网络和信息系统，尽快实现企业内部信息管理的电子化，为推动全社会电子商务的发展打下坚实的基础。要鼓励企业及时申请和登录自己的域名，建立自己的互联网网站。在电子商务时代，企业的域名就是企业在互联网上的地址和标识，它是一项重要的无形资产。事实上，国际上已经出现过多起因抢注域名引起的官司，己有一些公司不得不花费较多的金钱去收购本来应属于自己而被他人抢注的域名。因此，所有企业都一定要及时注册自己的域名，防止被他人恶意登录，造成不必要的损失。 第六节 加快支撑电子商务的物流配送体系和金融体系的建设 在完善物流配送体系方面，除了要鼓励邮政部门发挥自身的优势，与从事电子商务的部门签订合作协议，积极开展各种新服务外，要逐步开放市场，欢迎国内外的速递公司参与竞争。通过竞争，使我国的物流配送体系日趋完善。 在金融支撑体系方面，要鼓励有条件的银行开设网络银行，提供各种形式的在线服务。在今后条件具备时，成立统一的网上结算中心，并逐步开展与国外客户的网上结算服务。 第七节 对发展电子商务实施一定的鼓励和优惠政策 为了促进全社会电子信息化的进程和电子商务的发展，在一定时期内可采取一些优惠政策和鼓励措施。根据国外企业开展电子商务的一般做法，网上销售的商品价格应低于其在传统经营的同类商品的价格(如下降5%--10%)，以补偿消费者上机、上网所花费的费用。在这些企业实施电子商务采用供应链优化管理取得成本降低效果以前，政府与有关方面要减少其经营电子商务的税费，以有利于推进电子商务的发展。为了推动互联网的普及，还应尽可能地降低社会公众特别是学校等部门的上网收费标准，必要时由政府给以一定的费用补贴。 第八节 大力培养有关人才，推广与普及电子商务知识 发展电子商务的关键在于人刁与知识。如果没有足够的既懂电子通讯技术，又有金融、商贸知识的跨领域的专门人才‘，要想迅速发展我国的电子商务是不可能的。如果社会公众普遍缺乏运用计算机的基木技能和有关电子商务的基本知识，就不可能形成较大规模的对电子商务的需求，电子商务的发展也只能是一句空话。因此，必须加强对有关人才的培养，大力推广与普及有关电子商务的知识，提高计算机和网络利用的普及率。要鼓励各类学校根据社会需要，开设电子商务专业，讲授相关课程。政府给以一定的拨款和其他优惠政策，适当减免教育机构和青少年学生的上网费用。这是美国、日本等发达国家在推广与普及计算机网络过程中行之有效的方法，值得我们借鉴。此外，还要更多地采用在职培训、远程教育等多种多样的形式，使各部门、各单位现有的业务骨干掌握电子商务的应用技能和相关知识。各级领导特别是企业领导在电子商务知识的普及与推广中应起模范带头作用。 第四章 结语 面临网络经济时代这个大背景，企业向Internet迁移是必然的趋势，企业改革的目标是使自己成为面向全球的成功企业，电子商务将成为企业改革的强大动力。虽然，基于Internet的全球电子商务应用还处于发展的初级阶段，从观念到法规、从技术到产品还不成熟;市场机制尚未健全，经济活动和市场行为有待规范，再加上企业信息化意识薄弱、技术支持和信息基础设施水平低、支付结算方式落后、部门沟通协调不够、安全问题尚未完全解决等，都给电子商务的发展带来诸多的困难。但随着政府的支持，基础环境的优化，意识观念的革新，电子商务安全性能的不断提高，相关法规的逐步出台以及全球金融电子化的逐步实现必将会使电子商务迅速兴起并日臻完善。 我们相信，随着计算机网络应用的普及与深入，电子商务的大发展时代已经到来，它的迅猛发展势头一定会给中国企业带来新的机遇，在不远的将来，适合我国国情的电子商务必将为推动我国国民经济的快速发展贡献更大的力量。 谢辞 感谢我的指导老师———老师，在时间很紧的情况下，她给了我们自由发挥的大空间，并在百忙之中指导我们的毕业论文的写作和毕业设计的答辩。我们深深感谢她，并把她作为我们的良师益友。感谢她在百忙之中支持我们，我们不会忘记。 同时我也非常感谢我的专业课老师———教授，是他在专业知识上给予了我们极大的支持和鼓励。非常感谢他的帮助，也十分敬佩他的学术水平。 我也要感谢我的班主任———老师，感谢他平时对我们学习生活的关怀，也感谢我们所有的同学对我学习生活上的关心和帮助。同时我也要借此机会感谢我的室友们，感谢他们对我生活、学习、工作的支持。 在这里我祝福我的老师们事业蒸蒸日上，祝福我的同学们学业有成。衷心感谢你们。 参考文献 [1]戴春爱.我国电子商务发展的障碍、对策分析及发展政策建议.硕士学位论文. 成都：电子科技大学.2001 [2]陶严.网络经济讨论综述.经济理论与经济研究.2003(4) [3]王林，陈志飞.美国电子商务的发展和相关政策.全球科技经济了望.2002(6) [4]关欣.法国电子商务发展动态及因特网经济发展研究.全球科技经济了望.2003(1) [5]曾晓洋.电子商务发展特征与我国的对策取向.中国科技产业.2003(7) [6]张萌，王蕙.电子商务与银行业.金融电子化.2002(9) [7]柳卫宁，宋伟.电子商务中在线支付的安全保障.计算机应用.2002(7) [8]胡马.中国电子商务障碍分析.中国信息导报.2003(3) [9]洪涛.电子商务的本质与网络泡沫.经济日报.2003-5-26 [ 10]龚晓霞.网络经济对未来中国经济的八大影响.经济管理.2003(5) [11]林毅夫.中国该如何发展信息产业:评学术界和决策界在此问题上的争议理论学习与研究.2004(1) [12]董晓钟.经济全球化与发展中国家的对策.2002(6) [13]王昊.中国电子商务发展的问题研究与对策建议.硕士学位论文.武汉：华中师范大学.2004

电子商务安全风险管理研究林黎明1 李新春2（ 中国矿业大学 管理学院，江苏 徐州 221008 ）摘要 该文基于目前电子商务安全所面临的各种风险问题，结合当前的一些风险管理方法，对电子商务系统安全风险管理进行一些基本的分析和研究，以期对企业电子商务安全风险管理提供一些有价值的借鉴和参考。关键词 电子商务安全，风险管理，风险识别，风险控制1 引言随着开放的互联网络系统Internet的飞速发展，电子商务的应用和推广极大了改变了人们工作和生活方式，带来了无限的商机。然而，电子商务发展所依托的平台—互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展；此外，电子商务的发展还面临着严峻的内部风险，电子商务企业内部对安全问题的盲目和安全意识的淡薄，高层领导对电子商务的运作和安全管理重视程度不足，使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此，在考察电子商务运行环境、提供电子商务安全解决方案的同时，有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡量、分析，并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。2 电子商务面临的安全风险由于网络的复杂性和脆弱性，以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说，电子商务普遍存在着以下几个安全风险：1）信息的截获和窃取这是指电子商务相关用户或外来者未经授权通过各种技术手段截获和窃取他人的文电内容以获取商业机密。2）信息的篡改网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或插入，并发往目的地，从而达到破坏信息完整性的目的。3）拒绝服务拒绝服务是指在一定时间内，网络系统或服务器服务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的认为破坏。4）系统资源失窃问题在网络系统环境中，系统资源失窃是常见的安全威胁。5）信息的假冒信息的假冒是指当攻击者掌握了网络信息数据规律或解密了商务信息后，可以假冒合法用户或假冒信息来欺其它用户。主要表现形式有假冒客户进行非法交易，伪造电子邮件等。6）交易的抵赖交易抵赖包括发信者事后否认曾经发送过某条信息；买家做了定单后不承认；卖家卖出的商品因价格差而不承认原先的交易等。3 风险管理规则针对电子商务面临的各种安全风险，电子商务企业不能被动、消极地应付，而应该主动采取措施维护电子商务系统的安全，并监视新的威胁和漏洞。因此，这就需要制定完整高效的电子商务安全风险管理规则。一般来说，风险管理规则的制定过程有评估、开发和实施以及运行三个阶段。（1）评估阶段该阶段的主要任务是对电子商务的安全现状、要保护的信息、各种资产等进行充分的评估以及一些基本的安全风险识别和分析。对电子商务安全现状的评估是制定风险管理规则的基础。对信息和资产的评估是指对可能遭受损失的相关信息和资产进行价值的评估，以便确定相适应的风险管理规则，从而避免投入成本和要保护的信息和资产的严重不匹配。安全风险识别要求尽可能地发现潜在的安全风险，应收集有关各种威胁、漏洞、开发和对策的信息。安全风险分析是确定风险，收集信息，对可能造成的损失进行评价以估计风险的级别，以便做出明智的决策，从而采取措施来规避安全风险。（2）开发和实施阶段该阶段的任务包括风险补救措施开发、风险补救措施测试和风险知识学习。风险补救措施开发利用评估阶段的成果来建立一个新的安全管理策略，其中涉及配置管理、修补程序管理、系统监视与审核等等。在完成对风险补救措施的开发后，即进行安全风险补救措施的测试，在测试过程中，将按照安全风险的控制效果来评估对策的有效性。（3）运行阶段运行阶段的主要任务包括在新的安全风险管理规则下评估新的安全风险。这个过程实际上是变更管理的过程，也是执行安全配置管理的过程。运行阶段的第二个任务是对新的或已更改的对策进行稳定性测试和部署。这个过程由系统管理、安全管理和网络管理小组来共同实施。以上风险管理规则的三个阶段可以用下图来表示：图1 风险管理规则的三个阶段4 风险管理步骤风险管理是识别风险、分析风险并制定风险管理计划的过程。电子商务安全风险的管理和控制方法，它包括风险识别、风险分析、风险控制以及风险监控等四个方面。（1）风险识别电子商务系统的安全要求是通过对风险的系统评估而确认的。为了有效管理电子商务安全风险，识别安全风险是风险管理的第一步。风险识别是在收集有关各种威胁、漏洞和相关对策等信息的基础上，识别各种可能对电子商务系统造成潜在威胁的安全风险。风险识别的手段五花八门，对于电子商务系统的安全来说，风险识别的目标是主要是对电子商务系统的网络环境风险、数据存在风险和网上支付风险进行识别。需要注意的是，并非所有的电子商务安全风险都可以通过风险识别来进行管理，风险识别只能发现已知的风险或根据已知风险较容易获知的潜在风险。而对于大部分的未知风险，则依赖于风险分析和控制来加以解决或降低。（2）风险分析风险分析是运用分析、比较、评估等各种定性、定量的方法，确定电子商务安全各风险要素的重要性，对风险排序并评估其对电子商务系统各方面的可能后果，从而使电子商务系统项目实施人员可以将主要精力放在对付为数不多的重要安全风险上，使电子商务系统的整体风险得到有效的控制。风险分析是一种确定风险以及对可能造成的损失进行评估的方法，它是制定安全措施的依据。风险分析的目标是：确定风险，对可能造成损坏的潜在风险进行定性化和定量化，以及最后在经济上寻求风险损失和对风险投入成本的平衡。目前，风险分析主要采用的方法有：风险概率/影响评估矩阵，敏感性分析，模拟等。在进行电子商务安全风险分析时，由于各影响因素量化在现实上的困难，可根据实际需要，主要采用定性方法为主辅以少量定量方法相结合来进行风险分析，为制定风险管理制度和风险的控制提供理论上的依据。（3）风险控制风险控制就是选择和运用一定的风险控制手段，以保障风险降到一个可以接受的水平。风险控制是风险管理中最重要的一个环节，是决定风险管理成败的关键因素。电子商务安全风险控制的目标在于改变企业电子商务项目所承受的风险程度。一般来说，风险控制方法有两类：第一类是风险控制措施，比如降低、避免、转移风险和损失管理等。在电子商务安全风险管理中，比较常用的是转移风险和损失管理。第二类为风险补偿的筹资措施，包括保险与自担风险。在电子商务安全风险管理中，管理人员需要对风险补偿的筹资措施进行决策，即选择保险还是自担风险。此外，风险控制方法的选择应当充分考虑相对风险造成损失的成本，当然其它方面的影响也是不容忽视的，如企业商誉等。对电子商务安全来说，其有效可行的风险控制方法是：建立完整高效的降低风险的安全性解决方案，掌握保障安全性所需的一些基础技术，并规划好发生特定安全事故时企业应该采取的解决方案。5 风险管理对策由于电子商务安全的重要性，所以部署一个完整有效的电子商务安全风险管理对策显得十分迫切。制定电子商务安全风险管理对策目的在于消除潜在的威胁和安全漏洞，从而降低电子商务系统环境所面临的风险。目前的电子商务安全风险管理对策中，较为常用的是纵深防御战略，所谓纵深防御战略，就是深层安全和多层安全。通过部署多层安全保护，可以确保当其中一层遭到破坏时，其它层仍能提供保护电子商务系统资源所需的安全。比如，一个单位外部的防火墙遭到破坏，由于内部防火墙的作用，入侵者也无法获取单位的敏感数据或进行破坏。在较为理想的情况下，每一层均提供不同的对策以免在不同的层中使用相同的攻击方法。下图为一个有效的纵深防御策略：图2 有效的纵深防御策略下面就各层的主要防御内容从外层到里层进行简要的说明：1）物理安全物理安全是整个电子商务系统安全的前提。制定电子商务物理安全策略的目的在于保护计算机系统、电子商务服务器等各电子商务系统硬件实体和通信链路免受自然灾害和人为破坏造成的安全风险。2）周边防御对网络周边的保护能够起到抵御外界攻击的作用。电子商务系统应尽可能安装某种类型的安全设备来保护网络的每个访问节点。在技术上来说，防火墙是网络周边防御的最主要的手段，电子商务系统应当安装一道或多道防火墙，以确保最大限度地降低外界攻击的风险，并利用入侵检测功能来及时发现外界的非法访问和攻击。3）网络防御网络防御是对网络系统环境进行评估，采取一定措施来抵御黑客的攻击，以确保它们得到适当的保护。就目前来说，网络安全防御行为是一种被动式的反应行为，而且，防御技术的发展速度也没有攻击技术发展得那么快。为了提高网络安全防御能力，使网络安全防护系统在攻击与防护的对抗中占据主动地位，在网络安全防护系统中，除了使用被动型安全工具（防火墙、漏洞扫描等）外，也需要采用主动型安全防护措施（如：网络陷阱、入侵取证、入侵检测、自动恢复等）。4）主机防御主机防御是对系统中的每一台主机进行安全评估，然后根据评估结果制定相应的对策以限制服务器执行的任务。在主机及其环境中，安全保护对象包括用户应用环境中的服务器、客户机以及其上安装的操作系统和应用系统。这些应用能够提供包括信息访问、存储、传输、录入等在内的服务。根据信息保障技术框架，对主机及其环境的安全保护首先是为了建立防止有恶意的内部人员攻击的首道防线，其次是为了防止外部人员穿越系统保护边界并进行攻击的最后防线。5）应用程序防御作为一个防御层，应用程序的加固是任何一种安全模型中都不可缺少的一部分。加强保护操作系统安全只能提供一定程度的保护。因此，电子商务系统的开发人员有责任将安全保护融入到应用程序中，以便对体系结构中应用程序可访问到的区域提供专门的保护。应用程序存在于系统的环境中。6）数据防御对许多电子商务企业来说，数据就是企业的资产，一旦落入竞争者手中或损坏将造成不可挽回的损失。因此，加强对电子商务交易及相关数据的防护，对电子商务系统的安全和电子商务项目的正常运行具有重要的现实意义6 结论一般来说，风险管理有基本的三个对策，包括管理者采取适当措施来降低风险事故发生的概率；管理者准备并实施一个意外事故应急计划以备不测；还有就是管理者什么都不做。对已选定的对策，应对其潜在的风险有充分的估计，并制定相应的应变计划，以使可能的风险损失降到最低。风险管理没有铁定的规则，对于电子商务安全风险管理来说，首先是扫描和检测电子商务系统的内外部环境，检查系统的脆弱性和薄弱环节，及时打上补丁和追加设备，以便当风险产生时尽可能地减少损失；其次是对电子商务安全风险进行充分地分析，然后制定相应的规划和措施，并在其实施的每个阶段进行监控和跟踪；最后是根据环境的变化随时调整风险管理措施，制定完备的灾难恢复计划。参考文献[1]甘早斌．电子商务概论（第二版）．华中科技大学出版社．2003.9[2]钟诚．电子商务安全．重庆大学出版社．2004.6[3]才书训．电子商务安全风险管理与控制．东北大学出版社．2004.6[4]易珊，张学哲．电子商务安全策略分析．科技情报开发与经济．2004.5[5]高新亚，邹静．电子商务安全的风险分析和风险管理．武汉理工大学学报.信息与管理工程版．2005.8[6]郭学勤，陈怡．电子商务安全对策．计算机与数字工程．2001.7[7]李晶．电子商务安全防范措施．安徽科技．2003.4[8]Greenstein M,FeinmanT M.Electronic Commerce:Security,Risk Management and Control[M].New York:McGraw-Hill Companies,Inc.,2000[9]Charles Cresson Wood, Essential Controls for Internet Electronic Commerce[M].Network Security,1998-------------------------------------------------------------------

哎。。不久我们也要写。。