电子商务安全第8章 开 放系统中商务风险.ppt

第8章 开放系统中的商务风险与管理 第8章 开放系统中的商务风险与管理 任务驱动 互联网与电子商务不仅为各种规模的公司提供无尽的前景与商机，也为消费者提供便利。而这些好处的获得，无论对商家还是消费者，都伴随着一定的风险。通过本章学习，学生应该能够了解与开放通信网络相关的风险，熟悉与企业内部网相关以及贸易伙伴间交易数据传输中的风险，掌握风险管理与风险控制的基本内容，了解电子商务第三方保证的标准制定及影响机制，熟悉企业信息化安全的基本策略。 第8章 开放系统中的商务风险与管理 本章内容 8.1与开放通信网络相关的风险 8.2与企业内部网相关的风险 8.3贸易伙伴间商业交易数据传输中的风险 8.4风险管理 8.5控制风险与实施计划 8.6电子商务的第三方保证 8.7企业信息化安全 8.1 与开放通信网络相关的风险 8.1.1 消费者所面临的风险 1．虚假的或恶意的网站 2．从销售代理及Internet服务商(ISP)处窃取用户数据 3．隐私与Cookies的使用 8.1.2 销售代理所面临的风险 1．客户假冒 ⑴黑客从这种闹剧的成功中得到自我满足。 ⑵打击那些社会政策与黑客个人观点不相符的公司。 ⑶损害竞争对手或前雇主的公司利润及客户关系。 2．拒绝服务攻击 3．数据的失窃 8.2 与企业内部网相关的风险 针对企业内部网安全问题，人们普遍认为机构外部人员构成的威胁比内部的大；事实上，有关调查表明，在那些能够确定其侵入源的侵袭事件中，在数量上内部人所为的要多于外部人员。这种认为外部作恶者更为普遍的误解可能归结于媒体对外部黑客作恶的大量报道。许多内部作恶的事件都被掩盖起来，一些大型的、公开的、贸易的机构不愿起诉它们所抓获的、进行恶意的、破坏性的电脑活动的内部知情人，这些大公司害怕这样做会引起公众对其内部管理水平的负面反应。内部黑客非常麻烦，他们能够涉足的信息量可能非常巨大，这就为其在设计作恶计划时提供更多的选择。 8.2 与企业内部网相关的风险 8.2.1离职员工的破坏活动 8.2.2在职员工的威胁 1．嗅探器 2．数据下载 3．电子邮件假冒 4．社交伎俩 8.3贸易伙伴间商业交易数据传输中的风险 8.3.1企业内部网、企业外部网及互联网之间的关系 企业外部网是从事合作业务的贸易伙伴之间，包括供应商、客户、流通服务商及任何其他商家，利用Internet技术连接在一起的集团网络。 企业外部网可以使用互联网的路径与互联网服务供应商(ISP)传送数据。 互联网服务供应商就是通过提供互联网接入服务而赢利的公司。 8.3贸易伙伴间商业交易数据传输中的风险 8.3.2数据截取 1．信息来源验证 2．发送证明 3．信息的完整性与信息的非法浏览 8.3.3受保密措施维护的档案文件、主文件与参考数据所面临的风险 毁坏数据 改动数据 未经授权使用数据 改动应用程序 8.4风险管理 用来减少损失或伤害可能性的方法就是人们所称的风险管理。风险管理有一套方法，旨在： ①评估可能导致不良后果的将来事件发生的可能。 ②实施能够应对这些风险的有成本效益的策略。 这个定义包涵了几个关键因素。第一是将来事件的评估；第二是对于将来未知的、有时甚至根本就不可知的事件的预测；第三是一旦将来可能发生的事件的总体架构得到明确，就可出台一套预防与监测措施。对于潜在风险的详尽分析，及其发生的可能性的大小，必须与要采取的相关预防与监测措施的成本结合起来。所以在风险降低上有个如何把握一个合适的度的问题。 8.4风险管理 8.4.1电子商务风险类型 1．完整性风险 ⑴用户界面(user interface)必须给予正确的设定，有足够的限定，以确保只有有效的数据才能进入系统，并且这些数据是完整的。 ⑵处理(processing)使系统有能力控制处理各种数据，以保证数据的处理完整性和及时性。 ⑶错误处理(error proccssing)。 ⑷界面(interface)应有系统预警显示，以确保各种数据准确完整地传输。 ⑸变化处理(change management)。 ⑹数据(data)。 ⑺接入风险(access risk)。 8.4风险管理 2．基础设施风险 ⑴组织计划 ⑵应用系统的定义和开发 ⑶逻辑安全和安全管理 ⑷计算机和网络操作 ⑸数据和数据库管理 ⑹核心业务数据恢复 8.4风险管理 3．获得性风险 ⑴通过事先对行为的监督和对系统问题的解决，能够避免此类的风险。如硬盘的存储能力对信息系统来说是很重要的，可以不断地予以监督，确保它足以支持企业商务流程的运作。 ⑵获得性风险与系统的短期中断相关联。对此，可运用备份和恢复技术使中断影响的范围最小化。例如，大多数企业已经认识到每天至少一次对关键数据进行备份的重要性，这样在处理过程中丢失数据的影响能被控制在上一次备份以