电子商务技术风险评估(精选12篇)
电子商务技术风险评估 篇1
随着社会经济的不断进步和发展,电子商务作为市场的一个新兴行业,其发展的步伐也在加快,尤其是在现今越来越多的人对电子商务更加青睐,再加上电子商务所牵涉到的范畴比较广泛,不单是通过在互联网上进行实体物品的购买,同时还包括了各种售前、售后、技术服务等。电子商务企业所拥有和给予的各种产品和企业本身十分繁杂,同时由于信息时代的发展,鱼龙混杂的现象一直存在着,因此,提高电子商务企业的技术效率,对于整个市场经济和电子商务企业本身具有非常重要的作用。
1 DEA方法
1.1 概述
DEA方法也称为数据包络分析法,早在1978年的时候,就已出现了首个DEA模型,在经历过时间推移以及研究人员的不断努力探讨之后,现今的DEA模型拥有庞大的数目。虽然每一个DEA模型所具有的前提以及关注点会有稍微的差别,但是DEA方法作为一种最有典范的非参数方法,在对各个行业、各个领域、各个系统的效率评估中始终得到普遍的应用。从一定程度上来说,DEA方法是通过将相对几率的观点作为根本,对同一个类别的多项目标输入以及多项目标所拥有的经济体系进行评估,而不需要对输入和输出两者之间的联系进行具有明确性的表示,DEA方法具有非常强的客观性。通过以往的大量研究可以得出,通过使用DEA方法进行评估,对于所评估的效率等都具备了非常高的稳定性,运用DEA方法对技术效率进行评估和分析在目前得到了广泛的应用。
1.2 主要特征
DEA方法的主要特征将所需要的评估主体产生的输入输出数据进行直接使用,便可以通过计算而获得评估主体的相对性效率。通过使用DEA方法,可以将在松弛变量中所包括的所有数据消息进行运用之后,将外面的影响因素等进行淘汰,然后获得能够更加直接反应企业管理和运营的纯技术效率。通过对周围的环境因素进行调节之后,可以利用DEA技术将企业的技术效率进行分析,从而得出影响企业技术效率最多的一个因素。
2 应用DEA方法进行电子商务企业技术效率评估
2.1 DEA方法的基础模型
在DEA方法当中,其最根本、最主要的DEA模型就是BCC模型和CCR模型。
(1)BCC模型。BCC模型主要对企业的技术效率进行权衡的评估,而且还能够将企业的规模效率得以生成,主要分为输入和输出两种引导式的模型。BCC模型可以将原本属于固定式的报酬进行设置,假定固定式报酬为可以进行改变的规模报酬,以此来计算出DMU的纯技术效率。由于技术效率是纯技术效率与规模效率两者进行相乘计算而得出的结果,那么若规模效率为1的时候,DUM将是固定式的报酬;若规模效率比1小的时候,那么DMU将会是出现逐渐增加或者是逐渐减少的情况。
(2)CCR模型。CCR模型可以说是属于一种处于规模效率固定的前提下,对效率进行评估而计算出DMU的效率综合的模型。此模型通过对线形进行规划方法来计算出各个需要被评估的企业单位的生产效率,主要包括了输入和输出两种对效率进行计算而得出数值。
2.2 DEA方法的完善比较式模型
虽然使用DEA方法中的BCC模型和CCR模型能够对技术效率等进行测试得出,但是其所计算得出的最佳数值其所拥有的最佳结果却不是单一的,有时无法对进行评估的企业单位等进行科学合理的测量,从而无法对评估的企业单位所要求的真实技术效率进行确切的反应。为了能够使被评估的企业单位所测试出的技术效率具有一定程度上的真实性,研究人员提出了完善性的比较式DEA交叉模型,将企业本身所具有的最佳输入输出数据得出的最佳效率与其余企业单位的评估方面的最佳输入输出数据所取得的效率做综合性的效率评估。主要目的不仅是能够对企业本身做自我评估,同时还能够参考其余的被评估企业单位所得出的数据,从而获得企业本身在行业中所处的位置情况,以此来避免基础的DEA方法中可能存在的对于自我评估的主观性,确保技术效率评估的数据和结果具有更加客观的可靠性和合理性。
3 应用DEA方法进行技术效率评估后的数据分析和结论
3.1 技术效率目标的选择
根据技术效率评估的要求,通过对技术效率目标选择,从中计算得出比较合理的相对性生产效率,接着再根据此数据对各个DMU所拥有的具体材料进行对比,从而得出所有需要被评估企业的效率数值。由于输入输出数据的总量和需要进行分析的各个目标之间需要保持着一定的联系,以此来确保DEA模型所进行的评估数据结论具有真实有效性。因此,就需要对输入输出的数据进行初始的选择,接着再将有关的目标进行挑选,应用DEA方法模型进行技术效率的评估分析。
由于在对技术效率的数据进行整理分析的时候,DMU的实际绩效对于被评估企业的输入输出目标具有一定的影响关系,当所处的范畴比较广泛的时候,其所拥有的目标也就越好,再加上这种目标或多或少的都存在着可控或者是不可控的方面,又或者是存在着定性或定数的影响。但是若是选择导入较多数量的目标,那么就会使DMU拥有比较高的效率数据分,而也就是对企业的技术效率进行评估就完全没有任何意义了。由此可见,并不是说选择输入输出的目标越多就是最好的,而是最好尽量地去除一些不需要的目标,从而选择出最恰当的目标。
3.2 技术效率的数据整理
通过对相关的电子商务企业的资料和数据进行考察调查研究,将各个电子商务企业的有关输入输出的目标数据进行整理。由于在进行调查的过程中,所得出的各个企业在同一目标线上有所不同,资金金额等不一样,因此统一将资金表示方式进行转换为千美元,从而得出数据。
3.3 技术效率的评估结论
(1)对各项效率进行分析。通过对各个企业的各个DMU技术效率等应用DEA方法进行计算,然后再根据不同的年份进行每一年的分析,将之前所得出的数据结果进行参考进行综合性的评估结论分析,从而获取更具有科学合理性和更加谨慎的结果,如表1所示。
从表1中得出的效率值可以看出,在各个效率值中其所拥有平均数据都大于0.9,基本上有超过一半的企业其所拥有的各项效率中的DEA是可靠的。通过调查研究可以看出,电子商务企业以及互联网在发展的过程中速度比较快,其技术效率也比较高,而对于环球资源其所拥有的纯技术效率以及技术效率在当中却是最低的,由此可见,电子商务企业的崛起和发展在市场经济中占有较大的数量,这也说明了市场竞争逐渐地白日化。
(2)综合性进行技术效率分析。从表1可以看出,大多数的公司所拥有的效率差距并不大,大部分都是属于DEA有效性的,只是一些少部分的公司在效率数值方面比起其他公司会比较低。这从一定程度上来说,可能是因为电子商务才刚刚起步,因此在同样的或是业务类似的企业中具有明显的优越性,再加上其自身所拥有的环境和硬件软件方面比较好,使企业所拥有的技术效率和其他效率在一定程度上具有较高的数值。同时,由于应用DEA方法进行分析并不是输出效率越大,所产生的技术效率和其他效率就越高,这是需要依据输入输出的数量以相当的比例来进行判断。
从表1中得出,中华网、前程无忧和搜狐等几个企业所拥有的效率值是1,这就说明这几家企业在进行经营和管理方面的效率、技术效率与其他企业比较,相对来说是比较可靠的,但是也不能百分之百肯定应用DEA方法分析所得出的DEA效率就是十分准确可靠的,有时候在实际的生产经营和管理工作过程中会受到各种各样的影响。
(3)不同地区的技术效率分析。从一定程度上来说,企业的技术效率除了受到企业本身因素的影响,同时也受到了周围环境的影响。经过调查研究得出,很多时候,在不同地区所呈现出来的技术效率一直都具有“东高西低”的特点,当对环境所产生的因素能够进行调节,那么技术效率在整体上来说会出现降低的情况,而且在不同的地区、不同的阶段所拥有的特点也各不相同。从一定程度上来说,若是不改变环境因素,那么在各个地区所出现的技术效率组成中,规模效率就比较明显;而若是将各地区的环境情况都调节成同一个程度上,那么纯技术效率在各个地区出现的技术效率组成中较为突出。
4 结语
电子商务企业的技术效率在一定程度上受到了市场经济环境和企业本身等方面因素的影响,虽然说有部分的隐藏着具有发展潜力的技术效率在慢慢的增加,但是在经历了一定的环境影响之后会产生一定程度上的改变。从一定程度上来说,若是不改变环境因素,那么在各个地区所出现的技术效率组成中,规模效率就比较明显;而若是将各地区的环境情况都调节成同一个程度上,那么纯技术效率在各个地区出现的技术效率组成中较为突出。因此,为了提高电子商务的技术效率,这就要求国家政府、相关部门和电子商务企业本身要加强技术水平的能力以及管理能力,完善和健全相关法律法规政策,保障经济和发展的协调统一。
参考文献
[1]甘平.电子商务企业的DEA技术效率评价初探[J].生产力研究,2012,(06).
[2]陶长琪,王志平.技术效率的地区差异及其成因分析——基于三阶段DEA与Bootstrap-DEA方法[J].研究与发展管理,2011,(12).
[3]熊婵,买忆媛,何晓斌,肖仁桥.基于DEA方法的中国高科技创业企业运营效率研究[J].管理科学,2014,(03).
[4]霍云福,王玉彩.基于DEA的城市商贸流通电子商务竞争力比较[J].经营与管理,2013,(06).
[5]刘树安.电子商务企业绩效评价方法研究[J].现代经济信息,2010,(11).
电子商务技术风险评估 篇2
摘要:随着互联网技术的高速发展,电子商务的应用越来越广泛,在当今信息经济时代给企业带来商机,也给人们的工作生活带来了巨大的方便。但同时也带来了许多不容忽视的风险。
1、电子商务风险分析
(1)互联网络的开放化带来的数据破坏风险
在电子商务环境下商务交易必须通过互联网络来进行,而互联网体系使用的是开放式的TCP/IP协议,它以广播的形式进行传播。容易受到计算机病毒、黑客的攻击,商业信息和数据易于搭截侦听、口令试探和窃取,给企业的数据信息安全带来极大威胁,如遭破坏或泄密,将会给电子企业、商户造成巨大的损失
(2)系统软件安全漏洞带来的风险
由于现阶段广泛应用的主流操作系统和数据库管理系统是从国外引进直接使用的产品。核心技术还是使用引进的版本。这些系统安全性存在系统漏洞等不少危及信息安全的问题,例如:Windows操作系统中存在着的漏洞和陷门,就不断引起世界性的“冲击波”和“震荡波”,存在极大风险。系统软件安全漏洞带来的风险主要来自操作系统软件和数据库管理系统软件的安全漏洞。入侵者可以直接利用操作系统的漏洞窃取数据库文件,或者直接利用操作系统工具来非法伪造、篡改数据库文件内容,从而危及到电子商务交易的数据安全。
(3)来自社会的外来入侵风险
电子商务容易被来自社会上的不法分子通过互联网络非法入侵,主要表现形式是黑客和病毒等对电子商务系统的文件和数据的篡改和破坏,是一种社会道德风险。黑客通过闯入他人计算机系统进行破坏,这些人利用电子商务系统和管理上的一些漏洞,进入计算机系统后,破坏或篡改重要数据,盗取机密与资源,控制他人的机器,清除记录。设置后门,给电子商务系统带来灾难性的后果。计算机病毒是人为编写的一组程序,可以攻击电子商务系统的数据区、文件和内存,以致使计算机的硬件失灵,软件瘫痪。数据破坏,系统崩溃,给企业和商户造成无法挽回的巨大损失。
2、电子商务交易运行的风险
(1)信用风险
基于互联网络为交易平台的电子商务形式下,参与商业交易均在互联网上进行,双方并不存在与传统商业模式的见面、磋商、谈判、监证、签署文件等问题,这就需要通过一定的技术手段相互认证,如数据加密技术、数字签名、数字证书等技术来保证电子商务交易的安全。在电子商务环境下,由于电子报表、电子文件、电子合同等无纸介质的使用,无法使用传统的签字方式,从而在辨别真伪上存在新的风险,电子商务的成功与否取决于消费者对网上交易的信任程度,电子商务的信任风险实质是由网络交易的虚拟化造成的,首先是买方信用风险。在网络中个人可以任意伪造信息,可以伪造假信用卡骗取卖方商品。从而给卖方带来风险。然后是卖方信用风险,由于信息不对称的原因消费者不可能全部掌握商家商品信息。卖方商品信息不完全、不准确或商家过分诱导消费者从而误导消费者购买行为;另外,卖家单方面毁约,不履行交易,也会对买方造成损失。
(2)法律风险
电子商务在交易过程中存在法律风险,由于电子商务是在网络间进行的,电子商务交易可以看作是无纸贸易,是一个虚拟环境的交易,当前对这些虚拟交易的法律监管却并不完善,这些问题使得电子商务认证、交易会有不受法律保护的风险。另外,电子商务贸易还存在知识产权的风险,网络是个开放的平台,资源在网络中的传播是畅通的。在网络中资源的共享性使得有知识产权的资源受保护的力度被降低,因此可能带来电子商务交易的知识产权纠纷等法律的风险问题。
3、控制风险的对策
(1)加强技术保证,确保电子商务信息的安全
针对电子商务依靠互联网络平台来开展的网络开放性的特点,特别是要针对互联网体系使用的是开放式的TCP/IP协议,给企业信息和数据安全带来的极大威胁的安全隐患。对如何保障企业的信息数据和重大商业机密,是确保开展电子商务的企业的重要技术保障和前提条件,只有高度重视电子商务的信息安全,才能保证其运行安全,这就需要有强大的技术安全保障措施,不但要制定完善的技术保障措施,更要严格执行制度,才能确保电子商务信息的安全。例如:我们在企业内部网和互联网之间要加一道防火墙,防止黑客或计算机病毒的袭击。保护企业内部网中的机密商业信息数据。另外,利用现有的信息新技术将数字签名技术应用于电子商务的身份认证,可以防止非法用户假冒身份,从而保证电子支付的安全,增强电子商务信息的安全保障措施是电子商务顺利开展的重要技术保障。
(2)健全内部控制制度
实行电子商务的商户,在内部管理制度上应健全相应的规章制度,例如:制定制度来规范和约束员工的行为,根据其工作的重要程度,确定该系统的安全等级。制订相应的机房出入管理制度对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。对操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围;制订完备的系统维护制度,对系统进行维护时。应采取数据保护措施。如数据备份等。另外制定人员激励机制也很重要,应建立人员雇用和解聘制度。及时对工作人员进行评价,制定奖惩制度,调动工作人员的工作责任感和积极性。
(3)加强复合型人才的培养
所谓电子商务的复合型人才是指要求电子商务管理人员既要有计算机知识,还要有管理理论和商务、金融、法律等知识。对电子商务管理人员进行培训,通过学习现代电子网络技术,将经济、金融、法律、网络有机地结合。对商务交易、金融活动的网络化、数字化有比较深刻的认识,加深对电子商务环境下的风险认识和防范。
案例:阿里巴巴
2011年2月21日,阿里巴巴(中国)网络技术公司有限公司宣布,公司CEO卫哲和COO(首席运营官)李旭辉因2010年有1107名客户存在欺诈行为而引咎辞职。
阿里系高层引咎辞职的直接原因是2009年、2010年两年时间,分别有1219家(占比1.1)和1107家(占比0.8%)的“中国供应商”涉嫌欺诈。“中国供应商”是阿里巴巴国际平台的一项服务,供应商可借助“中国供应商”身份在阿里巴巴的电子商务平台上向海外买家展示产品,将产品打入全球市场。一些涉嫌欺诈的“中国供应商”在阿里巴巴平台上被授予“金牌供应商”,这些供应商诱惑海外买家购买笔记本电脑和电视机等家用电器,金额一般在1200美元以下,等钱到账后公司随之消失。受骗人向阿里巴巴投诉。阿里巴巴董事会于三个月前启动了“客户资质独立调查活动”,在揭示涉嫌诈骗的供应商的同时,发现阿里巴巴内部有近百名直销员工,为了追求高业绩高收入,明知是骗子客户而签约。阿
里巴巴可能因此被动涉嫌民事欺诈,3.15临近,如果投诉事件在CCTV曝光,阿里巴巴的诚信形象将严重受损,这对于阿里巴巴高度依赖信誉的电子商务平台来说,不啻为致命一击。阿里巴巴意识到问题的严重性,自揭家丑,开展公关秀,暗示其诚信价值观,淡化负面消息带来的灾难性后果。
从风险管理的角度,这个事件带给我们很多思考。
1、基于核心业务的关键风险事件
这个事件起因于客户投诉。阿里巴巴的主要业务是为供货商提供交易平台,从供货商获取会员费收入。购销业务中,购销双方产生争议是非常普遍的问题。从阿里巴巴角度来看,虽然供货方是其收入主要来源,但供货方愿意付款的原因在于阿里拥有大量的潜在购买者。购买者才是阿里的价值源泉。购销双方的争议是阿里巴巴核心业务上的关键风险事件。关键风险事件的整理和存档会形成关键风险时间的数据库,当关键风险事件经常性出现偏差时,就会发出风险预警信息。从而引起管理层的注意。
2、风险预警信息的独立传导机制
客户投诉会导致阿里平台对供应商进行限制,甚至将供应商逐出平台。对供应商的限制或者驱逐,会直接影响到阿里销售人员的业绩。风险预警信息应独立于业务部门,能够直接向上传导,避免业务部门对风险预警信息的过滤。阿里巴巴关于客户争议的接收、传导、处理、审批和反馈,应独立于销售部门,从而使董事会能够获取到真实的信息,并安排处理。
3、独立的风险调查机制
这起事件中,值得风险管理部门关注的是阿里巴巴进行的“客户资质独立调查活动”。调查活动是基于风险预警信号开展的专项调查,涉及所有客户,由董事会直接指挥,历时三个月。公司最高层的直接指挥,独立的调查部门和预算支持,使调查得以深入进行。
4、剖析问题产生的内部控制原因
这起调查,从表面上看是针对供应商资质的调查。但是,在对涉嫌欺诈的供应商移送司法机关之外,阿里巴巴对产生这些问题的内部控制原因进行了追查。进而发现,近百名销售人员基于销售业绩默许甚至鼓励供应商进行欺诈。从内部控制角度来分析,在“中国供应商”资质审查、“金牌供应商”资质审查这两个环节,要么标准缺失,要么资质审查人员把关不严,要么供应商提供了虚假资料,要么销售人员对供应商“通关”进行了协助。而导致近百名销售人员协助欺诈,已经超越了内部控制,需要阿里巴巴对其核心业务所依托的价值观进行思考了。
5、基于发展战略的风险评估
这起事件,根据阿里巴巴的公开声明,对财务及现金流的影响很小,只有170万美元。因此,如果仅从短期财务报表来看,这个风险是可以忽略不计的。但是,其影响到了阿里巴巴的核心价值创造能力,即,阿里巴巴未来的现金流,究竟是依靠那些诚实守法的经营者,还是依靠那些欺诈者。无论过去怎样,已经成长为一家世界知名企业的阿里巴巴现在必须重新考量。阿里巴巴对外披露这个事件次日,其股价下降了8.87%。相信这就是阿里巴巴董事局对这个风险事件的估值,而这个估值一定是基于阿里巴巴的发展战略。
6、主动的风险应对
在对风险进行评估之后,阿里巴巴选择了主动的风险应对。卫哲的辞职以及阿里巴巴主动进行的媒体公关,都应该看成是阿里巴巴主动选择的风险应对。3.15将至,针对互联网购物的投诉必定是今年CCTV曝光的重头戏,作为网上交易的龙头老大,必然会受当其冲。自报家丑能够赢得主动,短期会造成股票价格下降,但提供给公众的却是其坚守诚信理念的价值观。
所以,风险管理没有铁定的规则,对于电子商务安全风险管理来说,首先是扫描和检测电子商务系统的内部环境,检查系统的脆弱性和薄弱环节,及时打上补丁和追加设备,以便当风险产生时尽可能的减少损失;其次是对电子商务安全风险进行充分的分析,然后制定相应的规划和措施,并在其实施的每个阶段进行监控和跟踪;最后是根据环境的变化随时调整风险管理措施,制定完备的灾难恢复计划。
参考文献:(1)百度文库行业资料
(2)《电子商务安全管理》,胡桃,吕延杰编,机械工业出版社,2007
(3)《计算机网络》,清华大学出版社,2000
(4)《电子商务概论》,西安电子科技大学出版社,2008
(5)《电子商务安全与支付技术》,中国人民大学出版社,2006
电子商务交易风险研究评述 篇3
[摘要] 随着电子商务的蓬勃发展,电子商务的风险问题日益受到关注,其中的电子商务交易风险更加成为研究的热点。本文评述了电子商务交易风险及其特点,论述了电子商务交易风险的分析方法和分析模型,探讨了需要进一步研究的问题。
[关键词] 电子商务 交易风险 研究 评述
由于用户的超大规模、潜在的巨大价值和信息的快速传播,电子商务提供了各种商业机会,但其发展也面临着各种风险灾害和不利因数。电子商务的风险问题引起了人们越来越多的关注,己成为信息时代不可回避的问题。
一、电子商务交易风险及其特点
电子商务交易所涉及的交易各方不是当面交换或直接面谈,而是在网络平台上以电子交易方式进行的,它可以减少消费环节和交易费用,节约时间,跨越空间,作为一种新的经济形式,它既存在高收益又存在高风险。到目前为止,对电子商务交易的风险还没有一个明确的范围划分,但研究中普遍地把信息安全作为电子商务交易风险的一个方面,用“计算机的风险”来定义与电子商务交易有关的风险,包括网上页面的破坏、操纵和非授权访问用户记录,互联网欺骗和长途通信偷窃,版权的侵害和访问拒绝等。有的把与电子商务交易有关的风险看作为机密数据的损失可能性,或是破坏、产生和使用数据的损失可能性,或是程序造成身体、精神和经济上伤害他人的可能性,以及造成硬件损害的可能性。还有的研究关注于电子商务交易管理中的有关商务风险,认为当一个组织发展或实施电子商务交易策略时,对组织自身负面影响的可能性。事实上,产生电子商务交易風险的因素是多方面的,电子商务交易的威胁来自于互联网上的安全入侵、隐私入侵、声望的毁坏、身份的盗用、知识产权的侵犯等多个方面。电子商务交易是一种全球范围内的活动,它还涉及到不同的文化、法规和货币的流通。类似于传统的交易活动,也有难以确定利润、缺少策略、不当的领导和残酷的竞争等风险的存在。此外,电子商务交易风险的存在还在于过多地依靠卖方或其他第三方,缺少技术上的可靠性和没有有效专家意见。因此,电子商务交易风险涉及到策略、领导、声誉、文化、安全、隐私和技术等多个方面。它不仅是技术领域的风险问题,它也是社会科学领域的风险问题。
二、电子商务交易风险分析的方法
风险的识别和评价是风险分析的两个过程。当前应用的风险分析方法有很多种,它主要包括Monte Carlo仿真、失效树分析、事件树分析 、失效模式、基于可信性的风险分析、文档分析和模糊分析法等,这些方法依赖有效的信息和要求不同的细节水平对风险进行定量或定性的评价。在电子商务交易风险风险分析中,研究者多是采用模糊分析法对交易过程的风险进行估计和评价。
Monte Carlo仿真根据不确定事件的要求建立概本模型,对各种风险变量(不确定因家)进行风险辨识,按照各风险变量的概率分布产生伪随机致,使用选定的序列随机数对模型中不确定的量进行限定,然后进行计算,并对结果进行统计分析;计算各指标的风险度。
失效树分析(Fault Tree Analysis, FTA)作为一种复杂系统进行风险预测的方法。在产品设计阶段,失效树分析可帮助判明潜在危险的模式和灾难性危险因素,发现系统的薄弱环节。
事件树分析(Event Tree Analysis, ETA)是风险分析的一种重要方法。它是在给定系统起始事件的情况下,分析此事件可能导致的各种事件的一系列结果,从而定性与定量的评价系统的特性。
失效模式、后果与严重度分析(Failure Modes and Effects Analysis, FMEA)在风险分析中占重要位置,是一种非常有用的方法,主要用于预防失效。它如果与失效后果严重程度分析联合起来(Failure Modes, Effects and Criticality Analysis, FMECA),应用范围更为广泛。FMEA是一种归纳法。对于一个系统内部每个部件的每一种可能的失效模式或不正常运行模式都要进行详细分析,并推断它对于整个系统的影响、可能产生的后果以及如何才能避免或减少损失。基于可信性的风险分析是按照两类危险进行分析的:(1)系统运行过程中,预计进度计划受到干扰,预计的资金被突破或没有到位,可信性达不到预期水平。(2)系统或装置运行时发生失效,其后果可能导致人身伤亡建筑物破坏环境污染造成经济损失。风险分析按照这两类危险可能发生的概率大小和发生后造成的后果来度量。
模糊分析法(the fuzzy analysis),将风险分析中的模糊语言变量用隶属度函数量化。由于在电子商务风险评价指标体系中存在着许多难于精确描述的指标,可以采用模糊综合评价法进行综合评价。具体是确定电子商务企业风险模糊综合评价指标集,给出电子商务企业风险综合评价的等级集,确定评价指标体系中各指标权重,模糊矩阵的统计确定,模糊综合评价,评出电子商务风险的最终综合价值。
三、电子商务交易风险分析的模型
由于电子商务交易是一种新的商务模式,关于它的风险研究还刚刚起步,绝大多数研究者主要是使用解释结构模型和层次分析法、技术接受模型和社会-技术模型等。其中,基于层次分析和解释结构的模型、社会-技术模型主要的分析对象是企业开展电子商务活动的风险,技术接受模型研究的是电子商务活动中消费者购买行为的认知风险。在基于层次分析和解释结构的模型和社会-技术模型的研究分析中,研究者选择构成电子商务交易风险的关键因素,分析各种可能的不确定性和这些不确定性可能产生的影响。在技术接受模型分析研究中,研究人员用改进的技术接受模型解释消费者网上的购物行为,电子商务的网上商店集沟通渠道、交易渠道、配送渠道于一身。消费者在采取购买行为时不仅仅会评价其感知利益,还会评估其感知风险。感知风险和感知利益将共同影响消费者的购买意向,进而决定购买行为。
四、需要进一步研究的问题
电子商务交易是一个新兴的商务模式,它的发展涉及政治、经济、技术和文化等很多方面,是一个庞大复杂的社会、经济、技术系统。电子商务交易活动必然受到交易内部条件和外部环境的影响和制约。电子商务的风险具有复杂性、多样性和隐蔽性等特点,电子商务交易风险管理研究涉及信息技术、市场营销与运作管理等方面,是一个新的涵盖范围较为宽泛的风险研究领域,目前的研究还存在如下的问题:
1.在电子商务交易风险分析模型方面,多是从局部对电子商务活动中的不确定进行探讨,对电子商务风险的模型建立研究尚显欠缺,目前还没有建立反映电子商务特点的完整全面风险分析模型框架。
2.有关研究采用了很多传统的定量和定性的风险分析方法,已经应用的定量技术方法过多地依赖统计学分析,定性的技术方法则更多地依赖主观判断。这些定量或定性的分析,没有考虑多个风险因素的相互作用对未来结果不确定性的影响。很多研究仅仅是提出了电子商务交易活动中可能的风险因素,而没有对这些风险因素可能产生的结果做进一步的定量分析,有的进行了定量分析,但分析仅仅是部分的或不全面的。
3.新的分析方法和技术应用于电子商务交易的风险分析还有待于探索。如应用人工免疫原理和数据挖掘等新的技术,通过对电子商务交易过程中的交易数据进行风险的相关性分析,发现风险因数间内在关系特征以及它们相互的作用对风险的影响。
参考文献:
[1]M. Greenstein, Electronic Commerce: Security Risk Management and Control, McGraw-Hill, New York, 2000
[2]Judy E. Scott. Measuring dimensions of perceived e-business risks. Information Systems and E-Business Management Date: 2004 Volume: 2 Issue: 1 p. 3156
[3]D.W. Viehlandm, Managing business risk in electronic commerce, Americas Conference on Information Systems
[3]李龙沫等:系统工程原理及其应用[M].延边人学出版社,1993.44- 47
[4]许树柏:层次分析原理[M].天津人学出版社,1988. 41-43
[5]F. Davis, R. Bag0zzi and P. Warshaw. User acceptance of user technology: a comparison of two theoretical models. Management Science 35 (1989), PP. 982-1002
[6]H. J. Leavitt, Applied Organization Channel in Industry: Structural, Technical, and Human Approaches[M]. in New Perspectives in Organizational Research, Wiley, Chichester, 1964. 55-71
[7]Bj?rn Axel Gran, Rune Fredriksen, and Atoosa P.-J. Thunem. An Approach for Model-Based Risk Assessment. M. Heisel et al. (Eds.): SAFECOMP 2004, LNCS 3219, pp. 311–324
[8]傅少川張文杰马军:电子商务风险分析及定性评估方法研究[J].情报杂志,2005,(5). 18-20
[9]井淼 周颖:基于TAM模型和感知风险的消费者网上购买行为研究.上海管理科学,2005,(05) 7-9
[10]Jayoung Choi, Kyu-Hye Lee, Risk perception and e-shopping: a cross-cultural study. Journal of Fashion Marketing and Management, Volume 7 Issue 1 2003, pp.49-64
电子护照:新技术抵御安全风险 篇4
目前, 超过104个国家正在生产和使用电子护照, 约占全球护照总数的33%,并且电子护照的制作已带来约400万美元的经济效益。 在传统机读护照中加入了含有生物特征和个人信息的电子芯片,必须满足验证过程中的准确、高效、快速等要求,同时还要保证护照信息的安全性和完整性。 理论上,电子护照应符合国际民航组织的标准技术规范,但是在实际的应用中,各国的电子护照或多或少和技术规范中存在着偏差,可能会严重影响全球的安全性。 本文对照着相关的法律背景,针对这种细微的差别进行描述和讨论。
在近期的机读旅行证件研讨会上, 专家讨论了ICAO机读旅行证件(MRTD)标准和规范, 身份管理的最优实践和相关边境安全事件。 讨论中最重要的就是电子护照,由ICAO定义的载有个人机读资料页信息的非接触式集成电路芯片的护照,生物特征的测量和安全对象保护符合Doc 9303第一部分规范的公钥基础设施密码技术。 ICAO简易手册所定义的电子护照是一种可机读的载有非接触式集成电路芯片的,并依据ICAO 9303 (机读旅行证件) 相关标准的可被用于生物识别的可机读护照。 电子护照可通过封面页的国际电子护照符号轻松识别。
2生物特征识别
值得注意的是,在ICAO条款中明确规定了电子护照中包括生物特征测定数值和一个用公钥基础设施密码技术保护数据的安全对象。 生物特征识别技术涉及可测量的、物理特性或个人化信息,用于个人身份识别。 生物特征识别技术已被定义为“用来描述利用人的生理特征或行为特性来进行活体身份的识别手段的总称。 ”
通过采集人体的生物特征,并把他们存储到数据库中,通过计算机软件识别算法,可将所采集的生物特征与数据库中的数据进行比对。 目前,可成功应用于国际民航组织的生物特征识别技术包括人脸识别、指纹识别和虹膜识别。 生物特征系统分为四个方面:第一是原始生物特征样本的获取;第二是原始生物特征样本数据到中间形式的转换; 第三是中间数据到存储模板的转换; 最后将采集到的电子证件中的生物特征信息与被存储在参考模板中的信息相比较。
每当机读护照的持有者进入一个国家时,其身份可比照为他签发旅行证件时生成的图像进行验证。 这样可以确保持证人是被发予证件的合法人,并且可以提高任何旅客信息预报(API) 系统的效力。 生物特征模板最好和图像一起存储在旅行证件中,这样在无法连接到中央数据库的地方,或者在永久性集中存储生物特征数据是不可接受的管辖区,旅行者的身份也可以得到验证。 此外,可通过三向检测,将旅行者的现有生物特征图像数据,其旅行证件上面的图像,以及存储在中央数据库的图像进行比对(通过为每一种信息建立生物特征模板), 确认旅行证件未被改动。 这项技术是将本人与其护照以及与将签发该护照时存储在护照中的数据记录下来的数据库进行比对;还可通过更有效的四向检测,将三向检测的结果与旅行者护照资料页上的数字照片进行目视比对。
3公钥基础设施(PKI)密码技术
PKI是基于公开密钥理论和技术建立起来的安全体系,是具有普遍性的信息安全服务基础设施。 该体系在同一的安全认证标准和规范基础上提供了在线身份认证,是CA认证、数字证书、数字签名以及相关的安全应用组件的结合,是解决网上身份认证、信息完整性和抗抵赖等安全问题的技术保障体系。
公钥设计目录是由海关设计和提出,并由移民局授权检查护照中的生物特征信息。 这全部在加密的基础上进行,已经是一个被航空界积极考虑的可行性工具, 以故障安全的技术手段去保证护照信息的准确性和完整性。 为了确保接受国检测机构读取证件时旅行证件中生物技术数据的真实性和完整性不被破坏和篡改, 公钥基础设施(PKI)由机读旅行行业超过十年的机读旅行证件技术咨询组(TAG/MRTD)开发。 此方案不用作运算及规定全球实施的公钥加密规范。 但却充当着各国在选择主动或被动认证领域的内的反撇、 访问控制、自动化过境以及其它促进方法的协调工作。 公钥目录的建立,旨在PIK环境中对公钥进行加密。 这与民航组织最终的目标一致。 从远景看,生物识别技术实施的根本要求即是它必须以生物技术的主要互通为形式存在于为验证建立的边境控制设施中。 这同样要求运营商和证件发放单位如此。 这个初始的前提必然要求生物识别技术要被具有一定规范的文件发放人员使用。 特别是以识别为目的,验证与观察名单的建立,更需要大量专业人员的工作。 这也是国际民航组织的远景:各国要尽量避免更换基础设施以及更换供应商。 一种技术,一旦安放到位,必须保证可操作或保持为期十年的可检索性。
4电子护照
一个人从诞生并获得出生证明开始,民事登记就可以记录该公民诞生的时间、事件以及地点,并以这份建立起的主要档案将此人出生时的身份,个人详尽信息提供给国家以方便维持统查和人口统计。
使用此信息的护照,可以在国际旅行的时候提供持有者的姓名和国籍。 护照是空中运输所需要的基本文件。因此,旅行文件具备最基本的重要性。 这不仅为强调国家主权和本国公民的重要性,它也代表了国家与航空运输间的连接不可侵犯。
电子护照的关键考虑因素是全球互用性———关键点需要制定一个普遍的互操作性系统作为生物识别技术的部署。 电子护照所需的逻辑数据结构(LDS)需要具备全球互用性。 它定义了数据标准化组织的规范,数据记录到MRT的非接触式集成电路扩容技术, 当被签发国家或组织所选择后,数据即可被接收国访问。 这需要识别所有强制性和选择性的数据元素,而且规定性的排序和/ 或数据元素的分组必须遵循实现在容量扩展技术包括可选上的电子护照中的全球互用性读取细节(资料元素)的记录。
另一个考虑是一致性———通过制定具体的标准,实际可能地尽量减小各成员国可能应用的各种不同解决方案之间的差异。 技术可靠性———提供一个方针以及参数以确保成员国部署的技术从身份确认的方面能够获得高度可靠性。 而一个国家读取另一个国家的数据编码可以肯定被提供的数据具有足够的质量和完整性,从而确保能够准确验证他们自己的系统。 实用性———需要保证各国能够贯彻执行所制定的规范,而无需为了应付所有可能出现的变化和对标准的各种解释而引入多余的系统和设备。 耐用性———要求引入的系统的使用寿命为10年,与旅行证件的有效期相同,并且未来的升级能够向下兼容。
生物识别系统的主要部件是采集———收集生物特征识别的原始样本;提取———将生物识别的原始样本数据转换为中间体形式;创建模版———转换中间数据为模版存储; 比较———与存储在参考模板中的信息相比较。 在安全存储和个人隐私方面,签发和接受的国家都需要确保在录入信息时存储在集成电路中的数据未经篡改。 另外,根据隐私法和签发国家的规定可能会要求数据在经授权人或者组织批准的情况下才可以访问。
因此国际民航组织在第4节制定了关于现代加密技术的应用程序以及使用的相关规范。 特别是用于国家DOC 9303制作规格中可机读旅行文件内可互操作性公共密钥基础设施(PKI)方案。 其主要目的是增加机读护照的自动化身份验证和国际持有合法化的安全性。 此外,国际电子护照认证并为生物识别和电子商务的应用提供道路也作为建议实施的方法和途径。
在国际民用航空公约中规定,ICAO标准第3.7节中要求国际民航组织成员国需定期更新旅行文件的安全性能。 为了防止相关文件被非法篡改、复制,方便发放后的案件侦破工作,建议实施规程3.9中提议成员国将他们的生物特征数据并入可机读护照中。 在DOC 9303中规定签证和其它官方旅行文件使用一个或者多个选项数据存储技术来填补机读区域。 存储在集成电路芯片中的数据与护照页中印刷的数据(即读取的数据包含机读区域的数字与数字电子图像)相同。 当成员国希望补充护照中除面部特征以外的生物特征数据时,指纹图像或者虹膜图像可以作为选择。 成员国将生物特征数据纳入可机读护照中的非接触式集成电路中, 并符合ISO/IEC14443民航组织指定的逻辑数据编程结构。
5相关法律问题
最基本的法律问题围绕着电子护照签发的个人隐私问题,与国家的内部安全问题。 而需要确保此两项内容均属于国家的本质与职责。 关于隐私,建立了国航民用监管框架的芝加哥公约中强调国家在民用航空方面的基本目的是期望在友国之间交换航空方面国家特权。 芝加哥会议中,罗斯福总统表示:会议在构建持久的和平制度方面做出了伟大的尝试,这个制度不会被小方面的因素所伤害,也不会被莫须有的恐惧所减弱。
6个人隐私问题
在芝加哥会议公约第十三条中规定了旅客在缔约国领土的抵达及离境的相关法律法规。 机组人员或机上货物,相关规定诸如入境、放行、移民、护照、海关、和检验都将以此类乘客为代表。 机组人员或货物都应该在该国领土中入境或者离境。
这一规定确保了缔约国有权建立清理旅客出境的国内法律而且为国家建立法律、规则、和条例留有余地。 以确保旅客在该国机场中的安全。 然而,这一绝对的权利是为了避免国家的独裁权利没有受到约束。 第二十二条规定使得各缔约国同意采取一切可行措施,诸如发放特别规定或其它方法去加速国家之间的飞机航行。
除此以外,还有隐私与显示、存储与个人数据使用的三项权利:(1) 个人有权利决定自己的哪些信息可以分享,并可以控制个人数据的公开;(2)个人有权利知晓哪些数据被披露,哪些数据被收集并存放在哪里,当被讨论的数据涉及到个人,其有权争议数据的不完整或不准确性;(3) 一个有知情权的公民可保持健康和社会安全感,以及检测和评价政府活动。
不容置疑的是,数据的主体有权利决定分享怎样的信息,同时更重要的是,知晓自身的哪些数据被收集上来。 这种权利是由社会权利平衡收集资料中出现的问题。 这是政府行为有序运行的保障。 以数据为准,像其它人一样,对个人的隐私权具有固有的权利。
关于隐私的问题已经被定性为一个关于奇妙的和感性的问题。 隐私的权利是固有的自由权,同时也是公民最宝贵以及最广泛的权利。 这种权利容易被侵蚀,现在的技术能够很容易存储和记录全世界每一个男人、 女人、以及孩子存放的档案。 数据主体的隐私权,当全身扫描应用被ALAN WESTIN关注时,这个男人说:隐私是个人的权利要求,团体和机构可自行决定何时、如何以及在何种程度上将信息传达给他人。 技术在现代商业交易中所扮演的角色已经影响了大量的人与人之间的交往活动。 现今出现的信息高速公路以及伴随出现的自动化发展, 不可避免地改变了社会及个人的生活方式以及个人价值观,创造了意想不到的商机,降低了运营成本, 加快了交易时间, 促进了无障碍的沟通, 缩短了距离,去除了官僚受训。 虽然进展如此,机器赋予人类其自动化的天性,设备、特征和手续被带入到个人的独立生活中去,例如当使用信用卡时,此笔交易便可被追踪。
隐私权是被美国法官Thomas M.Cooley所阐述的, “要独处”的权利作为一个人性格中更常规权利的一部分。 1890年,Samuel D.Warren和Louis D.Brandeis这两位出色的年轻律师进一步推动了这个理念。 介绍这个想法之前, 隐私的定义更主要的是反映实在的财产或生命。
“隐私信息”基金会使得个人决定何时、如何及在何种程度上将有关自己的信息传递给他人,细致地描述了关于个人信息的控制权,而这都是隐私的基石。 随着计算机处理海量数据能力的提升,隐私已经扩展到个人信息的采集、存储、使用和披露。 隐私信息保护的概念,是典型的美国使用,“数据保护”一词在美国和欧洲受到特别流行。 自决原则被作为一种保护个人隐私的权利于1983年在德国Bundesver fassungsgericht首次被司法认可。 美国最高法院在新闻自由记者通讯的司法诉讼中采纳了隐私自决原则(1988)。
在生物信息条款中规定,信息的提供者和接收者都有义务确保该数据不会被用作为商业或增值用途,例如广告(如生物信息已作为报关用的明星的肖像)。
人权的保护是一个现代国家最有意义的重要任务, 尤其当今很多国家都是多种族的。 全球化和跨境移民的增加,正逐步淡化民族和国家之间的关系。 在这种情况下,少数民族频繁地在维护和保护他们身份的方面做出不懈努力,以避免边缘化。 同化敌对势力和保护少数民族身份必将导致零容忍和最终民族武装冲突的加剧。 在这种情况下,政府的首要职责就是确保少数民族社会的权利得以保护。
上述所讨论的隐私权,在绝大多数法律考量中都是至关重要的。 唯一能废除隐私权的因素就是国家安全。 国家安全固有的定义是,国家对其公民及其他在其领土内的人士负有责任。 本文中国家责任的基本问题就是一个国家是否应该考虑为阻止恐怖组织个人行为危害民用航空或抨击原罪者与国家关联中的失败或不作为受到指责。 一种观点认为,这种代理模式,可能在某些情况下打压国家与原罪者之间的代理关系,可以混淆和避免国家行为中有意义的法律研究。
7结束论
最首要的需求是要在各个国家建立起强大的安全意识文化。 为了做到这一点,必须要给政府的职责做出明确定义。 而问责制要成为政府与业内相关人士不可破坏的连接。 一个具备安全意识文化的国家能够意识到他们的权利和义务,而且更重要的是,国家要自主地维护权利和义务, 而人民也会很快受到该方面的教育和告诫,以知晓哪种行为会危及到社会安全文化。 个人的无知、健忘、个人弱点也被列入不安全范围内。 电子护照一定是故障安全组织故障和高效的必然需求和结果,它应该被训练有素的边检人员进行测试。
电子政务和电子身份是国家的最基本安全,这个数字经济体也带来了很多便利。 它推动了世界无纸化进程,这将形成更大的经济体与更精简的流程,这必须建立在全球性统一的基础上。 在这方面,国际民航组织在推进机读旅行证件方案形成至今并取得了显著的进展。 如果统一性意味着全球行为的一致性,那么标准化就意味着符合国际标准。 在这种背景下,统一化和全球化均是不可置疑的。
摘要:随着机读旅行证件的发展,传统旅行证件已升级成为电子旅行证件。它引入了更高一层的安全保障技术,在传统的机读旅行证件中加入了含有个人信息的电子芯片,通过专业读取设备可将芯片中的个人信息进行采集。2012年10月上旬,国际民航组织举办了专题研讨会,各路专家针对于电子护照的发展进行了专题讨论。论文围绕着航空安全法和国际民航组织的标准文件进行阐述。
避免电子商务的风险 篇5
但从整体角度而言,电子商务在发展的过程中,也存在着一定的风险,影响到其可持续性发展。
因而,在新形势下,如何采取措施有效规避电子商务风险,就成为了我们需要重点思考的一大问题。
本文通过电子商务风险的表现形式进行分析,指出相应风险控制方法,供大家在实际操作时参考,希望有所帮助。
[关键词]互联网;电子商务;风险控制
在我国市场经济下,任何商业活动都是存在风险的,电子商务也不例外,这时就需要我们正确认识电子商务的风险表现形式,合理进行规避和防范这些风险,以便更好的把握风险,合理控制风险,将风险将为最低,实现利益的最大化。
一、电子商务风险的主要表现形式
目前,电子商务风险的表现形式主要包括以下几种类型:
(一)商业风险
商业风险主要表现在消费者对产品的期望值过高,使得在运营过程中存在很大风险,虽然电子商务的最大优势是便捷和快速,越来越受广大青年朋友的喜爱,不出家门就可以买到自己喜欢的商品,便捷的物流使得第二天就能收到货。
然而当消费者真正收到货时,与自己期望的落差过大,导致电子商务已不能满足消费者的需求,更为严重的是还会失去老顾客。
这就要求电商在进行电子商务时不能只顾网上销售平台的建立,而忽视客户服务和产品质量等售后工作,要站在消费者角度宏观把控,力争将这种商业风险降到最低,避免给企业带来损失。
(二)技术风险
由于电商企业的特殊性,在进行运营时势必会大量使用各种信息技术,在享受这些新技术带来利益的同时也面临着相应的技术风险。
主要表现在信息技术的基础措施没有完善,导致计算机硬件出现故障;还有就是对软件技术的使用,由于操作不当,使得程序里的信息全部泄露,特别是一些重要的客户信息和电商企业的内部机密被盗,给企业带来巨大损失,严重者会导致企业破产,可想而知不完善的程序设计给电子商务带来巨大的技术风险。
(三)法律风险
由于电子商务形成的时间较晚,相应的法律法规还未正式立法,而且适用法律的界限较为模糊,使得电商企业在发展时受到很大局限,加上电子商务是全球性的,导致企业在进行交易时只能不违规现行法律的规定,却又害怕与今后的法律相冲突,严重制约着企业的健康发展。
电子商务主要是在虚拟的网络环境下进行交易,在进行交易时许多的电子合同,电子商务认证和网上知识产权都没有明确的法律法规,给企业造成相应的法律风险,合法权益得不到有效保障,不利于企业的正常发展和壮大。
二、电子商务风险的主要控制方法
(一)从技术层面规避风险
根据上面所说的技术风险,就需要电子商务企业在技术方面进行规避风险带来的损失。
首先电商企业需要在总体的安全策略方面制度一个有效可行的方案,先熟悉和掌握保证安全性所需具备的基础性技术,然后配备相应人力和物力;其次是要制定具体的战略性方针,让相应的人力落实到位,从而建立起一套完善的管理控制架构来确保降低企业技术风险。
建立虚拟专用网络供企业员工进行电子交易,同时还要将公共安全网络设置相应权限,给企业的数据进行加密,做到专用网络性能的服务,真正提高网络安全。
当然,培训企业的集体防毒意识更重要,确保每部电脑上都安装可靠的杀毒软件,将企业内网和外网建立防火墙,避免遭到黑客攻击,只有这样才能真正从技术层面确保企业的网络安全,降低风险带来的损失。
(二)从制度层面规避风险
企业在进行重大决策时,首先需要从财务的专业角度去预测风险,以及风险带来的损失,合理把握企业产生的经济收益,这时就需要每个部门进行协助,将各个部门存在的风险都一一上报财务,以便做好防范准备工作。
其次,还需要建立风险识别系统,一旦发现有风险,确保每个部门都识别出并及时做出应急措施,提前可以进行多次演练,确保真实发生时做到有条不紊的降低风险,同时,当出现风险时,技术部门需要及时进行总结和分析,找出风险存在的原因和如何规避下次再出现此类现象,从而建立起完善的机制,确保降低企业风险。
(三)从税收层面规避风险
由于我国电子商务市场在实践中的发展还不够完善,在带来许多商机的同时,更需要政府提供更多支持,可以从税收优惠政策和税收减免政策,从而建立起明确的税法,要求电子商务企业进行税务登记制度,将现行税法加以完善,把消费者在进行支付时就直接作为征税环节,制定出更符合电子商务市场发展的税法。
以便电子商务企业有享受更多的税收政策,降低企业的税负和税收负担,鼓励更多的电商企业进行运营,从税收层面来降低企业风险。
结束语
综上所述,我们可以看出随着网络技术的不断发展,人们对电子商务的认识也越来越多,希望电子商务不断改善网络环境,真正为消费者提供更好的消费平台,从技术层面,制度层面和税收层面来规避风险,保证电子商务的安全,按照相应的合法合规流程进行交易,势必可以将风险控制在一个合理范围内,促进我国电子商务的健康快速发展,为消费者提供一个可靠的网络消费环境,让大众越来越喜爱电子商务。
参考文献
[1]徐S,丁婕,张盼.中小企业电子商务使用模式分析:基于阿里巴巴的实证研究[A].第五届中国管理学年会――信息管理分会场论文集[C].2010
[2]黄锦,顾东晓,孙祥.企业实施电子商务风险因素的实证分析――基于皖江城市带数据[J].华东经济管理.(06)
[3]魏明侠,张书海,程梦来.电子商务信用风险认知形成的动力学机制[A].第一届全国神经动力学学术会议程序手册&论文摘要集[C].
电子商务安全支付系统【2】
[摘要]随着信息化网络的普及与应用,电子商务以其便利快捷的优点风靡于经济市场。
电子商务的核心问题就是电子支付,它的安全性影响着电子商务的可持续发展。
因为电子支付是以网络为载体,网络信息的公开性决定了其经营的风险性,所以电子商务支付系统存在着安全性的问题。
这也是电子商务发展亟待解决的难题,只有突破这一发展瓶颈,才能实现电子商务的可持续运营。
文章在电子支付基础上,探究其安全隐患,分析电子安全支付系统的构建,并说明新支付BTOB的应用。
[关键词]电子商务;安全支付系统;信息化网络
电子商务属于信息化商业贸易活动,是一个全球化的经济平台。
网络开辟出了一条信息化的经济渠道,通过电子支付的方式进行网上经济活动。
电子安全支付系统是电子商务发展的重要基础,电子支付安全性受到社会的广泛关注。
但是,由于网络环境的特殊性,支付系统的安全性成为其发展的关键问题。
1电子支付现状
目前来看电子支付方式是适应于电子商务支付的,整合了网络、环境与人的经济平台结合。
与传统经济贸易相比,经济流程发生了巨大的改变,通过通信设备与网络平台完成了商业交易。
随着经济的发展,银行业务的功能需求也相应的增加。
比如,银行信用卡、理财产品、保险业务等,这些业务的有效开展是多方联合的,需要银行与保险公司、证券公司等单位合作,这种合作方式涉及网络互联问题。
银行业务在国民经济命脉中占有主导地位,区别于其他单位业务范围,其安全侧重点也大不相同,这样可能导致银行网络受互联合作单位的安全威胁。
因为其他单位的网络防御系统可能存在漏洞,一旦有攻击者通过这些薄弱环节远程进入银行网络,其后果是不可想象的。
随着信息技术的拓展,推动了银行业务的全国联网形式,对电子支付形成了一定程度的隐患影响,因为联网形式就代表一家同类银行出现网络漏洞,其他银行的电子支付安全也将面临严重的威胁。
2电子支付安全风险分析
电子支付安全风险是指攻击者针对网络环境的脆弱性,盗取资产或者损害他人经济利益的行为,是一种潜在的经济风险,电子支付的关键问题是确保其安全性。
电子商务风险管理研究 篇6
关键词:电子商务;风险分析;管理风险;对策
引言
电子商务作为网络化的新型经济活动,它不简单指基于互联网的新型交易,还可以基于广播电视网和电信网络等电子信息网络的生产、流通和消费活动,以实现贸易活动各环节的电子化,满足解决问题、降低成本、增加利润以及创造新商机的一切商务活动。所以,电子商务企业有必要对电子商务可能面临的风险问题进行评估和研究,并制定相应解决方案,做好科学的长期规划,尽可能降低或控制电子商务风险所带来的经济损失。
一、电子商务的内涵
(一)内涵
电子商务一词源于英文 Electronic Commerce或 Electronic Business,现已经成为当代社会的潮流,其含义有两个内容,其一,电子方式,其二,商贸活动,即整个商务过程的电子化、网络化和数字化,交易双方可以便捷却并不面对面地进行各种商贸活动,利用这种快速、低成本的电子通讯方式,它将覆盖与商务活动有关的方方面面。
针对人们对这个热词理解的不同,电子商务有广义和狭义之分。广义上说,电子商务是指利用一切电子方式所从事的贸易活动。电子方式指的是电子技术设备、电子技术工具及系统,包括早期的电报、电视、电话、传真、Email、广播、电子计算机、电信网络和当今的电子货币、信用卡、网银盾、信息基础设施及互联网等现代通信网络系统。贸易活动则指的是一系列市场经济活动,包括信息发布、询价报价、洽谈、签约、结算支付、商业交易、国内外贸易等等。由于信息技术快速发展和计算机网络的普及使电子商务得到广泛地运用,从狭义上讲,电子商务则是利用计算机网络进行的商务活动。
(二)分类
目前,电子商务按交易内容基本分为直接电子商务和间接电子商务两大类型。直接电子商务是指商家将服务产品和无形商品内容数字化,不需要某种特定物质形式的包装,直接在网上以电子形式传送给消费者,通过互联网或专用网直接实现交易。间接电子商务又称不完全的电子商务,指在网上进行的交易环节只能是订货、支付和部分的售后服务,而商品的配送还需依靠送货的运输系统等外部要素,即由专业的服务机构或现代物流配送公司去完成。
二、电子商务面临的安全风险
(一)系统安全风险。电子商务主要是建立在计算机系统的软硬件的基础上,因此,硬件故障、系统软件错误、网络故障、操作错误、应用程序错误、以及计算机病毒等都可能使系统无法正常工作。
(二)信息数据泄露。随着互联网和信息技术的迅猛发展,在网络系统环境中,信息数据失窃是普遍存在的安全威胁。一个庞大的电子商务系统中必然存在多种操作系统,拥有多个不同型号的电脑设备,采用不同的传输介质,这时候不得不因为存在的兼容性而带来电子商务系统中的信息数据丢失。
(三)黑客及病毒问题。随着电子信息类高端技术的飞速进步,大量新型病毒及其变种迅速增加,黑客已经大众化,“Internet”这一媒介的出现尤为病毒提供了最好的传播途径。
(四)交易风险。在电子商务交易过程中,可能存在交易假冒和交易抵赖的现象。交易假冒是指当攻击者掌握了网络信息数据规律或解密了商务机密后,可以假冒合法用户或伪造电子邮件来欺骗消费者。
三、风险管理具体对策
(一)加强电子商务网络安全的开发及运用
目前电子商务的运作涉及信息、资金、商业秘密等安全问题,由于其电子数据具有无形化的特征,而有关认证机制或者网上安全技术均不够完善,因此有必要对互联网进行本质上的重新设计,使其保证电子商务活动的正常进行,这涉及到多方面的技术应用,如防木马、防火墙、加密、认证等。面对电子商务网络安全威胁,必须采取各种各样的管理措施,满足商务交易运行的安全性。
(二)建立电子商务的信用保障体系
电子商务交易模式与其他交易模式相比具有更多的风险,然而引起这些风险的原因还在于带来这些风险的人的失信行为。消除这些风险的,需要一个第三方信用服务认证机构通过技术手段来帮助参与电子商务交易的各方提出解决方案,使风险降至最低。
(三)完善电子商务税收征管机制
首先,出台相应法律法规,扶持电子商务。我国应出台相关的法律法规,鼓励与扶持国内企业利用电子商务,并应坚持税收中性原则,使企业对市场行为和贸易方式的选择不受征税影响。其次,借助计算机网络,加快税收征管改革。现在,电子商务发展迅速,交易的无纸化使得税务机关必须改革以传统的以纸质凭据作为纳税依据的征管制度,以便税务机关稽查,做到税收无纸化,提高效率,从而适应电子商务发展的要求。最后,加强与银行等中介机构的信息确认,获取真实可靠的征管信息。税务机关应同银行等中介机构合作,通过联网获取企业在电子商务平台中交易的相关信息,对企业的资金流向实施有效监控,防止企业偷逃税。
四、结论
电子商务作为一种新的交易方式,已成为我国经贸发展领域的主流力量,并将成为国际经贸合作的主要平台。然而电子商务所存在的或将出现的风险问题是不可能完全消除的,它是伴随电子商务的产生而出现的必然产物。由于电子商务风险在不同的应用领域所产生的危害程度各不相同,所以电子商务风险管理的目标是将其存在的风险所造成的影响尽可能控制最小的范围之内。此外,无论是再好的安全措施也要有应对突发的安全问题的应急方案。最重要的是政府必须尽快制定并完善相关政策,适应高速发展的电子商务进程,确保电子商务交易的安全、透明、高效。(作者单位:东北大学秦皇岛分校经贸学院)
参考文献
[1]调查报告编委会.1997-2009:中国电子商务十二年调查报告[EB/OL].http://www.b2b.toocle.com,2009-10-12.
[2]贾建华,阚宏.国际贸易理论与实务[M].修订第四版.北京:首都经济贸易大学出版社,2004:143-147.
[3]Ravi Kalakota,Andrew B.Whinstion. Electronic Commerce. Published by Macmiuan 1997.3-5
[4]曲涛.传统企业发展电子商务的风险分析及对策研究.[D].大庆石油学院.2005.5:3-4
[5]王艳波.利群集团电子商务项目风险管理研究[D].中国海洋大学2009.6:15-17
电子商务技术风险评估 篇7
1 称重过程中的风险分析
1.1 电子汽车衡的组成
电子汽车衡由秤台、称重传感器、接线盒、称重仪表组成。
1.2 称重过程描述
运输原材料的车辆 (称之为重车) 进厂, 上秤台, 称取重车重量 (称之为毛重) , 司磅员记录毛重数据, 车辆下秤台开至卸货点卸货, 返回磅房上秤台, 称取空车重量 (称之为皮重) , 司磅员将毛重减去皮重得到货物重量 (称之为净重) , 填写磅单, 完成一次称重过程。
1.3 称重过程的风险分析
上述称重过程中的磅单是买卖双方结算的依据, 看似很简单的一次称重过程, 其实隐藏了巨大的风险, 分析如下:
1) 人工记录重量数据, 其真实性和可靠性完全取决于司磅员, 企业无法对其监控。2) 称取毛重时, 前后车辆上秤台, 增加重量, 较大的毛重可获得更大的净重值。3) 称取皮重时, 车辆没有完全上秤台, 较小的皮重可获得更大的净重值。4) 在模拟式汽车衡上加装遥控装置, 在称重过程中使仪表的称重数据发生改变, 达到作弊的目的。
2 应对风险的技术措施
针对称重过程可能出现的风险和漏洞。确保数据的真实性, 采用计算机对汽车衡进行管理, 并配置车辆定位装置、道闸、视频采集等设备组成称重系统, 开发称重管理软件对称重过程进行管理实现防作弊称重。系统组成示意图如下:
2.1 以称重计算机为系统核心, 对称重过程进行管理和监控
重量信号由计算机采集并存储, 人工无法干预, 磅单由接入称重计算机的票据打印机打印。称重管理软件基于Windows2000、WindowsXP操作系统, 采用Access、SQLServer数据库, 实现了车辆行驶控制、称重数据的采集、过衡车辆的视频显示和抓拍、灵活多样的磅单和报表定制、准确快捷的数据查询等功能。能够满足不同场合的称重需求, 提高了称重操作的工作效率, 切实保障了客户的经济利益。
2.1.1 称重软件的基本功能
1) 用户设置功能:满足系统的个性设置, 完成串口通讯、用户自定义的磅单和报表格式、修改当前用户的登录口令、清屏设置、系统设置及用户权限设置等功能。2) 更换操作员不用退出系统即可重新登录。3) 数据库设置功能:数据库设置、数据上传设置、数据库备份、数据初始化和日志管理功能等。4) 数据维护功能:进行基础数据库 (车皮信息、货物名称、规格、收货单位、发货单位、运输单位、货物流向、地区代码、备用字符 (1~8) 订单信息) 的添加、修改、删除等维护和数据导入。5) 查询打印功能:提供报表查询打印、交易数据查询打印等功能。6) 手工补单功能:满足在特殊情况下的手工输入称重记录的功能。
2.1.2 软件的增强功能
1) 流程配置功能:满足对所有外设的自定义配置。2) 视频功能:支持最多四个摄像头, 支持图像显示、抓拍、图片附加文字的功能。3) 声音控制功能:结合流程, 可以在称重过程中给司机语音提示。4) 中英文切换功能:实现界面文字中英文转换。5) 多种打印方式:可以支持串口打印、并口逐行打印。6) 网络模块启用:可以自定义是否使用网络数据库。7) 网络数据库功能:满足多台秤联网使用。8) 基础数据库可以由Excel表文件或文本文件导入或转出, 便于与企业其它信息系统交换数据。9) 支持交易数据库远传功能, 将本地称重数据上传至远程SQLServer数据库, 方便企业物流管理。10) 海量数据存储:便于企业信息集成管理。
2.1.3 软件特点
1) 图形化界面, 操作直观简便。设置清屏范围, 简化用户操作, 减少重复劳动, 提高操作效率。直观显示仪表读数和接口状态, 便于操作员了解系统运行状态。2) 多称重方式, 适应不同场合。标准、车号配对、简单、皮重、公秤称重、手工置皮、多次称重、磅单号配对等称重方式, 适合多种场合使用。3) 防作弊功能, 确保诚实计量。用户权限设置功能:可为每一个管理人员和操作人员设置不同的权限和密码, 保障数据记录、系统运行安全可靠。自动记录操作日志:以便对重要操作过程进行自动跟踪。设有皮重报警功能:如果用车号配对方式称重时, 当车辆皮重超过一定范围时, 系统会出现车辆皮重超限的提示信息。设有配对时间报警功能:如果用车号配对或磅单号配对方式称重时, 当车辆两次称重时间超过一定的时间间隔, 系统会出现两次称重时间超时的提示信息。称重读数变化限制取数功能, 当在指定的时间内, 重量数据变化超过一定的范围内, 系统将禁止取数。4) 磅单和报表格式的多样化。提供4种简单磅单、4种标准磅单 (1~4联) 。提供4种标准明细表、4种标准汇总表、5种条件报表。用户可按自己需求方便地设计4种自定义磅单格式和20种自定义报表格式, 修改灵活方便。5) 功能扩展性强。多个固有的字符型字段名称可重新定义。另有8个备用的字符型字段可根据用户需要扩展输入特殊信息。8个备用数值字段可定义字段名称, 设置计算公式灵活方便。在主屏幕上可输入、显示除毛重/皮重/净重外的其他数据, 以满足用户的不同需求。例如在粮食收购中, 可输入杂质、水分等, 并自动计算出结算重量, 这些数据均可存入数据库。根据结算方式预设简单计算公式, 提高结算效率。6) 计划量功能, 保证发货准确计划量功能:根据订单计划量实时提示发货状态, 确保发运准确。可设置订单, 并在主屏幕上显示订单余量。还可将某订单的订单余量转入另一订单。针对每笔计划量超量报警和超期报警。7) 多种数据查询方法, 操作方便、快捷、有效。明细表查询:查询某一时间范围内按收货单位、或按发货单位、或按车号、或按货物名分类的交易数据。汇总表查询:查询某一时间范围内按收货单位、或按发货单位、或按车号、或按货物名汇总的交易数据。条件查询:预置的条件报表可按一种或两种组合条件查询, 例如按货名+收货单位的条件报表, 可查询某时间段+各收货单位+各种货物的过车情况;自定义报表可按任意组合条件查询, 例如查询某时间段+某单位+某车号+某种货物的过车情况。自定义条件查询:用户可以自己定义查询的条件, 包括交易数据、临时数据、已删除数据、归档数据等的查询。
2.2 红外光电开关
主要通过检测车辆头尾两端是否在秤上来判断车辆是否完全上秤;车辆定位系统的主要作用:静态称重时, 判断车辆是否完全停止在秤上, 以确保称重位置正确。常用的设备有:反射型光电开关。
反射型光电开关工作原理:把发射器和接收器装入同一个装置内, 在它的前方装一块反射板, 利用反射原理完成光电控制作用的光电开关称为反射型光电开关。正常情况下, 发射器发出的光被反射板反射回来被接收器收到;一旦光路被检测物挡住, 接收器收不到光时, 光电开关就动作, 输出一个开关控制信号。一般光电开关安装在秤台的两端, 通过判断光电开关是否被挡住来判断车辆是否完全行驶到秤上。
2.3 道闸的作用
是控制车辆的过磅方向。
2.4 摄像头1#, 摄像头2#等摄像装置对称重过程进行记录
通过视频采集卡接入计算机存储历史数据。
2.5 对于模拟式汽车衡须进行数字化改造
以应对不断泛滥的在模拟式汽车衡上加装遥控器进行作弊的犯罪行为。地磅遥控器, 就是一种利用无线射频遥控技术, 按照人们的主观意愿, 改变远端地磅称重结果的装置。所谓数字化改造就是将汽车衡传感器改为数字式传感器, 相应的将仪表也改为具有与传感器进行通讯的数字式仪表, 数字式称重传感器受力产生形变后, 数字称重传感器内部除模拟传感器应有的受力检测功能外, 还集成了运算放大、A/D转换、CPU、I/0等功能模块, 输出标准的数字量信号COMA、COMB。数字式称重传感器外形尺寸与模拟式称重传感器相同, 具有密封性好、抗干扰能力强, 精度高, 功能多, 可实现了传感器信号的远距离传输 (280m) , 可直接与计算机通讯。数字式称重传感器在量程范围内均达到0.01%的准确度。
数字式传感器的输出信号一般在+1.9VDC到+2.7VDC, 是模拟式传感器输出信号电压的几百倍, 其抗干扰能力远大于模拟信号的数百倍信号, 输出信号大, 抗干扰能力强, 传输距离远, 信噪比高。
通过数字补偿电路和数字补偿工艺, 可进行线性、滞后、蠕变等补偿, 改善了传感器的性能。经过数字化改造的汽车衡可有效防止在称重回路中加装改变重量的遥控发生器, 在实际应用中起到了明显的效果。
3 总结
一个普通称重系统经过上述技术措施改造后, 进厂原材料称重管理系统比以往有了质的飞跃, 对各类风险的出现有了切实可行的控制手段, 较好的堵塞了管理漏洞, 所实施的技术手段均是为了避免人为因素对称重过程的影响, 提高了过磅过程的公平公正性。但是, 正因为原材料具有量大价高的现实因素, 针对过磅过程的风险还会不断出现, 是买卖双方价值博弈的节点, 今后针对此系统所进行的技术防范措施还会进一步将不断更新。
摘要:在企业的生产过程中, 进出厂的原材料大多采用电子汽车衡进行称重计量, 并以计量数据作为结算的依据。本文将对此应用过程中的风险进行分析, 并提出控制风险的技术措施, 避免计量纠纷, 防止称重过程被认为操控, 防止企业的利益受到损失。
电子商务技术风险评估 篇8
随着信息技术的高速发展, 计算机网络给商务活动的方式带来了前所未有的变化。认识到传统商业模式在生产制造、运输环节、成本、销售等方面出现的不足, 电子商务的出现改变了原有的经济格局以及传统的经济运行方式和发展模式, 所以电子商务是21 世纪一个必然的发展趋势。
层次分析法是在20世纪70年代著名的美国运筹学家T.L.Satty等人提出的一种定性分析与定量分析相结合的多为准则决策方法。它主要通过分析问题的性质和目标逐步分解出组成问题的各个因素, 并按照因素之间的相互关系将因素分为多个层次, 组成一个层次结构模型, 然后按每个层次逐一分析, 最终得到最低层因素对于最高层 (总目标) 的重要性权值。本文以C2C电子商务风险评估系统为例运用层次分析法的定性分析与定量分析相结合科学地评估电子商务中的风险。
1层次分析法的数学模型
层次分析法的六大步骤如下:
1) 明确问题。通过对所要解决问题的深刻认识, 确定与总目标相关的准则层、指标层各个因素和各种约束条件。
2) 建立层次结构模型。用图标的形式把各个因素按从属关系分成若干子层次。
3) 两两比较, 建立判断矩阵。通过两两比较的方式确定每个层次中元素的相对重要性, 并用定量的方法表示, 进而建立判断矩阵。判断元素的值反映人们对各因素相对重要性的认识, 一般采用1-9标度及其倒数的标度方法[3]。
4) 层次单排序及其一致性检验。判断矩阵A的特征及问题Aw=λmax W的解W经归一化后即为同一层次相应因素对上一层次某因素相对重要性的排序权值, 这一过程称为层次单排序[4]。为进行判断矩阵的一致性检验, 需要计算一致性指标CI = (λmax - n ) / (n - 1) 。平均随机一致性指标RI的值参考值为:n=1, RI=0; n=2, RI=0; n=3, RI=0.58; n=4, RI=0.90; n=5, RI=1.12; n=6, RI=1.24; n=7, RI=1.32; n=8, RI=1.41; n=9, RI=1.45。当随机一致性比率CR=CI/RI < 0.10时, 可以认为层次单排序的结构有满意的一致性, 否则需要调整判断矩阵的元素取值。
5) 层次总排序及其一致性检验。计算各层的元素对系统总目标的合成权重, 进行总的排序, 以确定结构图中最低层的每个元素对总目标的重要程度。
6) 根据分析出的结果, 考虑相应的决策。
2层次分析法在C2C电子商务风险评估中的应用
2.1 C2C电子商务风险评估层次结构模型的建立
电子商务风险评估可以通过金融风险、信用风险、技术风险、管理风险、法律风险五个方面进行评价。如图1所示。
金融风险主要考虑的是在交易双方资金转移的过程当中, 资金在支付机构里的大量沉淀形成的资金滞留风险, 电子货币的性质、发行的主体、使用的范围形成的定位模糊风险和不法分子通过“黑客入侵”“网络监听”或伪造假网页等手段, 盗取用户的银行账号密码和其他个人信息, 再以转账盗款、骗去资金划拨或制作假卡等方式获取利益的非法转移与盗取风险这三个方面进行评估。
信用风险主要是由于网络的虚拟性导致的结果, 网上交易相对于现实生活中的交易是比较虚拟化和特殊化的, 买方不可能索要样品或看到不真实的样品, 不能从网站上提供的所谓真实的图片和文字描述中得到产品全面、准确的信息。信用风险主要从卖家欺骗性宣传的风险、买家欺诈与抵赖行为的风险、网站对消费者隐私侵犯风险三方面进行评估。
技术风险主要包括计算机的硬件易出现故障;一些人为的操作故障;一些意外故障产生的信息技术基础设施风险。程序运行中出现缺陷和错误, 程序设计的不完善, 软件安全措施的不健全, 技术漏洞较多, 系统防范能力差的技术应用风险。还有电子商务系统难以和上下其他组织信息系统配套是商业运作风险。
管理风险是指买卖双方在完成交易的过程中发生商情沟通、资金交付、商品配送这三个阶段出现的风险。主要指交易流程中的风险、不完善的技术管理中的风险、人员管理中的风险。
法律风险是指在电子商务的交易活动中所遇的会触犯法律的行为。具体从主体资格风险、不完善的法律风险、知识产权风险三个方面进行评估。
2.2 利用层次分析法确定评估指标权重
根据每个指标层各个因素之间的重要性程度, 进行两两比较, 构造出判断矩阵, 再确定它们评价指标的权重, 并进行一致性检验。如表1—6所示:
由表1-6可得C2C电子商务风险的每一项指标的合成权重 (合成权重=二级指标*三级指标) 。经计算得C2C电子商务风险相关因素对企业经营产生的严重性排序为:技术应用风险, 信息技术商业运作风险, 卖家欺骗性宣传的风险, 信息技术基础设施风险, 交易流程中的风险, 不完善的技术管理中的风险, 买家欺诈与抵赖行为的风险, 定位模糊风险, 网站对消费者隐私侵犯的风险, 知识产权风险, 资金滞留风险, 主体资格风险, 人员管理中的风险, 非法转移与盗取风险, 不完善的法律风险。
3结语
C2C模式是目前我国最流行的电子商务模式, 其发展也面临着各种各样的风险。因此, 需要采用科学的技术和方法, 建立有效的风险评估模型, 对电子商务的风险进行全面定性分析与定量分析。本文利用层次分析法对C2C电子商务可能存在的风险进行了评估, 减少了人为的主观判断, 使结果更加客观合理。企业利用系统分析结果确定其防范重点, 更有利的降低电子商务风险的发生率, 提高企业开展电子商务的活动的水平。这样电子商务在我国才能进行得更加顺利, 发展更加迅速。
摘要:进入21世纪就意味着进入了网络与信息技术时代, 随着电子商务模式的展开, 多方面的风险也日益凸显。文章针对电子商务风险评估复杂、模糊的现状, 通过层次分析法在电子商务风险评估中的应用, 实现了评价过程中定性分析与定量分析的有机结合, 从而得到相对科学的结果和做出正确的决策。
关键词:电子商务,风险评估,层次分析法
参考文献
[1]周权.电子商务安全风险管理探析[J].科技与社会, 2008 (3) :217-218.
[2]格林斯坦.法因曼.电子商务:安全、风险管理与控制 (英文版) [M].北京:机械工业出版社, 2000.
[3]杜栋, 庞庆华.现代综合评价方法与案例精选[M].北京:清华大学出版社, 2006.
电子档案风险评估浅述 篇9
关键词:电子档案,风险,评估
风险评估是风险管理工作的最根本依据。在信息安全风险管理中, 风险评估就是对信息在产生、存储、传输等过程中其保密性、完整性、可用性遭到破坏的可能性以及由此产生的后果的一个估计或评价。所以, 笔者认为电子档案风险评估是指对电子档案信息管理系统及其处理的传输和存储的信息的保密性、完整性和可用性等安全属性进行科学计量和评价的过程。
一、电子档案风险评估的意义和作用
风险评估是电子档案风险管理的基础性工作, 它是对风险要素持续观察的过程。风险评估是分级防护和突出重点的具体体现, 分级保护的出发点就是要突出重点, 而突出重点则是保护要害部位, 分级负责, 分层实施。加强风险评估工作有助于档案工作人员达成共识, 认识电子档案管理中风险的多样性和严重性, 明确责任, 采取或完善安全保障措施, 并使电子档案风险控制措施保持一致性和持续性。
风险评估的作用在于估测出电子档案的价值、电子档案的存在方式、电子档案的传递过程、加工处理过程以及相关资产的情况;要评价出电子档案对保密性、完整性、可用性的要求;要测算出电子档案及相关资产的脆弱性、潜在的威胁、潜在威胁发生的可能性;要评估威胁利用脆弱性对电子档案及相关资产进行破坏所造成的后果, 这一损害后果可以是定量的按价值来测量, 也可以是定性的分析。不论采用定量还是定性的分析方法, 都必须对以上各点内容进行解析, 才能正确地评估电子档案风险。
二、电子档案风险评估的常用方法
在风险评估过程中, 可采用多种操作方法, 包括基于知识的分析方法、基于模型的分析方法、定性分析和定量分析。无论采取何种方法, 其共同的目标都是找出电子档案面临的风险及其影响以及目前安全水平与组织安全需求之间的差距。
1. 基于知识的分析方法。
基于知识的分析方法又称经验方法, 它涉及对来自类似组织 (包括规模、工作目标和市场等) 的“最佳惯例”的重用, 适合一般性的组织实体。组织可以采用基于知识的分析方法来找出目前的安全状况和基线安全标准之间的差距。采用基于知识的分析方法, 组织不需要付出很多精力、时间和资源, 只要通过多种途径采集相关信息, 识别组织的风险所在和当前的安全措施, 与特定的标准或最佳惯例进行比较, 从中找出不符合的地方, 并按照标准或最佳惯例的推荐选择安全措施, 最终达到消减和控制风险的目的。基于知识的分析方法, 最重要的还在于评估信息的采集, 其信息源包括会议讨论, 对当前的档案安全策略和相关文档进行复查, 制作问卷、进行调查, 对相关人员进行访谈, 进行实地考察。为了简化评估工作, 组织可采用一些辅助性的自动化工具, 这些工具可以帮助组织拟订符合特定标准要求的问卷, 然后对解答结果进行综合分析, 在与特定标准比较之后给出最终的推荐报告。
2. 基于模型的分析方法。
2001年1月, 由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开发了一个名为CORAS的项目。该项目的目标是开发一个UML技术的风险评估框架, 它的评估对象是对安全要求很高的一般性的系统, 特别是IT系统的安全。CORAS考虑到技术、人员以及所有与组织安全相关的方面, 通过CORAS风险评估, 组织可以定义、获取并维护IT系统的保密性、完整性、可用性、抗抵赖性、可追溯性、真实性和可靠性。与传统的定性和定量分析类似, CORAS风险评估沿用了识别风险、评价风险并处理风险的过程, 但其度量风险的方法则完全不同。CORAS的优点在于:提高了对安全相关特性描述的精确性, 改善了分析结果的质量;图形化的建模机制便于沟通, 减少了理解上的偏差;加强了不同评估方法互操作的效率等。
3. 定量分析。
定量分析方法居于风险确认和计量的微观层面, 它主要是完成对原始数据的加工、处理上, 其分析方法的思想很明确:对构成风险的各个要素和潜在损失的水平赋予数值或货币金额, 当度量风险的所有要素 (资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等) 都被赋值, 风险评估的整个过程和结果就都可以被量化。简单说, 定量分析就是试图从数字上对安全风险进行分析评估的一种方法。从理论上讲, 通过定量分析可以对安全风险进行准确的分级, 但是需要提供准确的参考数据指标。在信息系统日益复杂的当今社会, 定量分析所依据的数据的可靠性是很难保证的, 再加上数据统计缺乏长期性, 计算过程又极易出错, 目前的电子文件风险评估采用定量分析或者纯定量分析方法非常少见。
4. 定性分析。
定性分析方法是目前采用最为广泛的一种方法, 在风险确认和计量中居于宏观指导地位。它带有很强的主观性, 往往需要凭借分析者的经验和直觉, 或者业界的标准和惯例, 为风险管理诸要素 (资产价值, 威胁的可能性, 弱点被利用的容易度, 现有控制措施的效力等) 的大小或高低程度定性分级。它主要用于风险确认和计量的两端。定性分析的操作方法可以多种多样, 包括小组讨论、检查列表、问卷、人员访谈、调查等。
三、电子档案风险评估模式构建的关键
电子商务技术风险评估 篇10
关键词:电子商务,现代服务业,协调发展,评估指标,评估方法
现代服务业的这个称谓是我国特有的概念, 在1997年中共十五大报告以及随后其他重要报告和规划中都提出要发展现代服务业, 将现代服务业作为一个重要的战略性行业重点发展。在当前的经济全球化条件下, 现代服务业发展状况已经成为衡量一个国家和地区综合进步和现代化程度的一个重要标志。市场中的竞争, 不仅是工业产品的竞争, 同时也是现代服务业的竞争。如何衡量现代服务业企业的发展水平, 正确评估现代服务业与电子商务协调发展状况, 从而促进服务业向现代服务业转型和快速发展, 促进现代服务业的电子商务应用, 进而加快我国经济结构调整和经济增长方式的转变, 显得越来越重要。
1 电子商务与现代服务业协调发展的内涵
电子商务与现代服务业协调发展的内涵主要包括两个方面:
(1) 现代服务业的发展离不开电子商务的推动, 现代服务业是最适宜电子商务应用的行业
现代服务业是现代信息技术与网络技术快速发展环境下对传统服务业的“脱胎换骨”[1], 它的一切服务活动的开展、服务贸易的实现以及服务管理都离不开信息技术与网络技术;而电子商务作为信息与网络环境下的现代电子化贸易手段, 是实现信息与网络环境下的一切商务活动的最有效的工具, 而且正逐步成为集现代科学管理 (如CRM、SCM、ERP等) 、营销 (如现代网络营销) 、服务一体化的综合管理与服务平台, 因此, 电子商务应用到现代服务业中是大势所趋。
(2) 现代服务业的不断细化和新的服务业态的不断出现, 给电子商务提出了新的要求, 由此促进电子商务模式的不断创新, 推动电子商务的快速发展
随着社会分工的不断细化, 服务业中的分工越来越细, 原来的一种服务业态将不断细化为多个“子业态”, 这就要求原来适用于某业态的电子商务模式必须进行“划分”, 改变原有的应用结构和流程, 以适应新的服务业态和服务需求的需要。此外, 社会进步和信息网络技术的发展, 要求现代服务业的服务规模、质量、效率不断提高, 要求电子商务的流程和结构不断调整和升级。
2 电子商务与现代服务业协调发展的评估
2.1 评估目的
评估电子商务与现代服务业协调发展状况的目的在于:
一方面, 通过评估, 分析现代服务业发展过程中存在的问题与不足, 研究和探索在这个最适宜电子商务应用的领域, 如何利用电子商务这个助推器提高现代服务业企业的经营和管理水平、提高现代服务业的绩效和竞争力, 加快现代服务业的发展。
另一方面, 通过评估, 分析和研究现代服务业发展过程中出现的新情况、新问题、新需求, 研究和探索如何利用现代信息和网络技术, 增强和提升电子商务系统的功能, 在服务需求的驱动下, 推动电子商务应用模式的不断创新, 加快电子商务的发展。
最终目的是:通过评估, 实现电子商务与现代服务业的相互促进、共同发展。
2.2 评估原则
构建电子商务与现代服务业协调发展状况的评估指标时应遵循如下原则[2]:
(1) 科学性原则。指标体系的科学性是确保评估结果准确合理的基础, 一项评估活动是否科学很大程度上依赖其指标、标准、程序等方法是否科学。指标体系的科学性主要指以下几个方面:
第一, 特征性。指标应能反映评估对象的特征, 这也是指标这一术语的基本涵义。
第二, 精确性。指标的概念要准确, 涵义要清晰, 不存在歧义。
第三, 完备性。指标体系应围绕评估目的, 全面反映评估对象, 既不遗漏重要方面, 也不偏颇。
第四, 独立性。指标体系中各指标之间不应出现信息包容、涵盖而使指标内涵重叠。
因此, 评价指标体系应能客观、准确地反映评价对象的实际运行情况。指标体系的构建应注意结构合理、层次分明、概念清晰、内涵明确。层次的划分和指标的数量并非是越多越好, 而要根据实际情况而定。如果评价指标数量和层次太多, 不仅会造成评价过程复杂, 还会降低评价精度。
(2) 操作性原则。指标体系的设计应考虑到实际操作的可行性。即指标体系应适应评估方法, 以现有的信息为基础。评估活动是实践性很强的工作, 指标体系的适用性是确保评估活动顺利开展的重要基础。因此, 给出的评估指标应满足如下特点:
第一, 精练简明。指标是对原始信息的提炼与转化, 因而, 指标不宜过于繁琐, 个数不宜过多, 以避免因陷于过多细节而未能把握评估对象本质, 从而影响评估的准确性, 同时, 指标的精练可以减少评估的时间和成本, 使评估活动便于操作。
第二, 易于理解。在评估过程和评估结果使用中, 往往会涉及多方面的人员, 如评估者、咨询专家、管理者、决策者和公众, 指标应易于理解, 以保证评估结果交流的准确性和高效性。
第三, 评估数据易于获取。适应于现有的信息基础, 与指标相关的信息应具有可采集性, 如定量指标可以通过公开出版的统计年鉴、统计年报、统计汇编等获取数据, 以保证评估结果的可信度。
(3) 可比性原则。由于要对不同区域的现代服务业企业单位进行评估, 因此必须在坚持科学性的前提下, 充分考虑各区域间统计指标的差异, 应尽可能选择各地区口径一致、共有的指标, 保证可比性。
(4) 绝对指标和相对指标相结合的原则。从统计分析的角度出发, 每个统计指标都只是反映某一个侧面内容。绝对指标反映的是总量、规模等因素;相对指标则反映的是速度、结构、比率等。结合两类指标进行分析, 可以较准确地反映实际情况。
2.3 评估指标的构建
徐伟[2]和龚炳铮[3]给出了电子商务系统和电子商务网站的评估指标和评估方法, 而李朝鲜[4]、雍红月[5]、杨晋超[6]和邬华明[7]等给出了现代服务业的评估指标和评估方法。综合分析已有的相关评估指标和评估方法, 结合前面关于二者协调发展关系的分析, 我们认为电子商务与现代服务业协调发展的评估指标可分为两个大类:电子商务对现代服务业的助推作用、现代服务业对电子商务的驱动作用。具体可细化为表1。
综合参考文献[2,3,4,5,6], 评估指标的权值确定方法是:电子商务对企业效益和管理水平提高的指标, 其权值或打分可以由企业相关管理人员进行测定或综合打分确定;电子商务对客户管理和客户关系指标的影响可以由企业客户服务部以及广大客户来打分;现代服务业对电子商务的驱动作用指标, 可由企业电子商务系统的开发、维护人员以及企业管理人员、客户共同依据电子商务系统的适应新服务需求的情况、应用情况等进行综合打分。
2.4 评估方法
关于评估方法, 针对不同的“系统”对象, 评估的方法很多, 各有千秋, 并且许多学者和评估机构一直不断探索更为合理、简单易行的评估方法。总体上来说可分为两大类:定性评估方法和定量评估方法。
定性评估方法多适用于对评价指标难以确定或不易量化的对象的评估, 而且多用于“方向性”的把握时的评估。评估时常采用专家集体讨论、评议的方式。其优点是适于对新系统初期阶段的评估, 因为这时还难以明确核心指标;不足之处是不够具体, 评价标准模糊, 结果的不确定性较大。
定量评估方法则适于对核心评价指标已经明朗化、易于定量化的成熟系统的评估。其优点是评价方法固定、评价标准边界清晰、评价结果明确;不足之处是评价方法的选择、指标权值的确定将直接影响评价结果的可信性。
在实际评估实践中, 常常采用定性评估和定量评估相结合的方法, 对于单一原子指标仍采用专家评定权值, 对于复合指标则采用量化公式计算。
综合分析现有的对各种对象的评估方法, 我们认为, 采取多级综合加权评估方法应该比较适合于对电子商务与现代服务业协调发展状况的评估。下面简要给出评估方法和评估步骤。
第一步, 评估指标的选择
选择电子商务与现代服务业协调发展状况的评估指标时, 应以现代服务业利益最大化、提高综合市场竞争力为总目标, 以电子商务与现代服务业相互推动、共同发展为目的。评估指标如表1。
第二步, 各层次指标的权值与评分
采取对业务实践的分析、统计, 以及专家打分、客户打分、员工打分等多种形式, 给出各层次指标对于上层复合指标的权重 (贡献率) 。
第三步, 复合指标的测算
电子商务与现代服务业协调发展的评估可按照由下至上的递阶层次和隶属关系, 采取综合加权的方法, 测算出上层指标的综合评分。最后测算出被评价对象的综合评分, 依此来表征被评价对象的发展状况。具体的递推测算过程如下:
假设:被评估对象的指标体系共有N层, 而且第i层共有mi (i=1, 2, …, N) 个指标, 对应于这mi个指标的评分为Ci, j (j=1, 2, …, mi) , 各指标的权值为Wi, j (其中
第i+1层隶属于Ci, j的指标有mi+1, j个, 对应于这mi+1, j个指标的评分为Ci+1, j, K (1≤k≤mi+1, j) , 各指标的权值为Wi+1, j, k (其中
则:第i层第j个指标的评分Ci, j, 可由下式计算得到:
显然, 最后得到被评价对象的综合评分为:
3 小结
本文在构建电子商务与现代服务业发展状况的评价指标体系时, 首先依据协调发展的内涵, 从相互促进、相互推动的视觉分析和抽象出评估指标, 其次通过对参考文献[2,3,4,5,6]中对电子商务系统、电子商务网站和现代服务业的单项评估指标体系中分离出“协调发展指标”;在选用评估方法时, 考虑到现代服务业的多样性、指标的多层次性和模糊性, 所以采用模糊综合评估方法。但是, 由于电子商务是网络环境下的新的商务模式、现代服务业是一个新兴产业且发展迅速, 对于电子商务与现代服务业协调发展水平的评估, 是一个新问题, 到底什么样叫协调发展、协调程度如何确定优劣等级、协调的指标如何确定、采取什么样的评估方法比较合适等等?都还处于讨论阶段, 还有很多理论和技术、实践问题尚需继续深入地研究。
参考文献
[1]李琪.现代服务学导论[M].北京:机械工业出版社, 2008.
[2]徐伟, 刘秋生, 江裕显.电子商务系统绩效评价指标体系研究[J].中国管理信息化, 2007 (1) :5-7.
[3]龚炳铮.电子商务网站评价指标及评估方法[EB/OL].ht-tp://gongb ingzheng.b log.ccidnet.com/, 2007-10-14 (2008-10-20) .
[4]李朝鲜, 李宝仁.现代服务业评价指标体系与方法研究[M].北京:中国经济出版社, 2007.
[5]雍红月, 李松林.评价服务业发展状况的几个指标[J].内蒙古统计, 2005 (2) :6-9.
[6]杨晋超.如何评价服务业[J].统计与决策, 2003 (5) :57.
电子商务技术风险评估 篇11
关键词:电子商务;信息安全;运行环境;黑客;防火墙
【中图分类号】G710
一、电子商务的概念及优势
电子商务,就是利用计算机技术、网络技术和远程通信技术,实现整个商务过程中的电子化、数字化和网络化。它是将传统商务活动中物流、资金流、信息流的传递方式利用网络科技整合,将重要的信息与分布各地的客户、员工、经销商及供应商连接,创造更具有竞争力的经营优势。
电子商务的特点:第一,交易虚拟化。贸易双方从贸易磋商、签订合同到支付等,无需当面进行,均通过计算机互联网完成。第二,交易成本低,效率高。电子商务将传统的商务流程电子化、数字化,以电子流代替了实物流,减少了人力物力降低了成本。第三,交易透明化。减少了中间环节,使得生产者和消费者的直接交易成为可能。第四,电子商务提供了丰富的信息资源,提高了中小企业的竞争能力。
二、电子商务在企业管理中的重要地位
1、提升服务的个性化水平。运用电子商务这一先进的技术能够帮助企业手机大量的数据信息,并能依据商务数据的处理系统对企业客户的信息以及特点进行分析,提升企业服务的个性化水平。
2、提升决策水平。在对数据分析过程中能够快速提供独具针对性的服务项目,帮助企业成功地占据市场。对客户需求及市场发展进行准确的预测,帮助决策者制定科学合理的发展计划,提升决策水平。
3、完善并优化网站。企业电子商务的站点能够对其网站的消费者或浏览者的交易数据、浏览信息等进行分析,促进企业网站结构得到持续的完善,从而使企业的结构设计更为科学、合理,设置出独具人性化特征的链接以及布置网页,并依此将网站的浏览量提高。
4、提升客服水平。电子商务的站点功能,即客户的数据信息等是实时的、动态的,且能够进行智能分析,从而得到最后的客户群体的消费水平以及消费偏好等信息。这些信息能帮助企业实施针对性强的市场营销策略,提高企业的服务质量,建立良好的客户满意度。
三、电子商务面临的信息安全威胁
1、安全环境恶化。我国在很多硬件核心设备方面依然以进口采购为主要渠道,不能自主生产也意味着不能自主控制,除了生产技术、维护技术也相应依靠国外引进,这也就让国内的电子商务无法看到眼前的威胁以及自身软件的应付能力。
2、商务软件本身存在的漏洞:任何一种商务软件的程序都具有复杂性和编程多样性,程序越复杂漏洞出现的可能性越大。这样的漏洞加上操作系统本身存在的漏洞,再加上TCP/IP通信协议的先天安全缺陷,遭遇威胁的可能性随着计算机网络技术的不断普及而越来越大。
3、平台的自然物理威胁。由于电子商务通过网络传输进行,因此诸如电磁辐射干扰以及网络设备老化带来的传输缓慢甚至中断等自然威胁难以预测,而这些威胁将直接影响信息安全。此外,人为破坏商务系统硬件,篡改删除信息内容等行为,也会给企业造成损失。
4、黑客入侵。在诸多威胁中病毒是最不可控制的,其主要作用是损坏计算机文件,且具有繁殖功能。配合越来越便捷的网络环境,计算机病毒的破坏力与日俱增。而目前黑客所惯用的木马程序则更有目的性,本地计算机所记录的登录信息都会被木马程序篡改,从而造成信息之外的文件和资金遭窃。
5、网络协议、用户信息、电子商务网部安全性问题。企业和用户在电子交易过程中的数据是以数据包的形式来传送的,恶意攻击者很容易对某个电子商务网站展开数据包拦截,甚至对数据包进行修改和假冒。目前,最主要的电子商务形式是基于B/S(Browser/Server)结构的电子商务网站,用户使用浏览器登录网络进行交易。由于用户在登录时使用的有可能是公共计算机,如果计算机中存在恶意木马程序或病毒,这些用户的登录信息,就可能会有丢失的危险。有些企业建立的电子商务网站本身在设计制作时就存在一些安全隐患,服务器操作系统本身也会有漏洞,不法攻击者如果进入电子商务网站,大量用户信息及交易信息将被窃取。
四、电子商务信息安全的防范措施
1、针对病毒的技术。电子商务安全的最大威胁就是计算机病毒。对于病毒,多种预防措施的并行应用很重要,比如对全新计算机硬件、软件进行全面的检测;利用病毒查杀软件对文件进行实时的扫描;定期进行相关数据备份;服务器启动采取硬盘启动;相应网络目录和文件设置相应的访问权限等等。同时在病毒感染时保证文件的及时隔离。在计算机系统感染病毒的情况下,第一时间清除病毒文件并及时恢复系统。
2、防火墙应用。防火墙是已经成为目前最重要的网络防护设备。防火墙是在多个网络间实施访问控制的组件集合。其目的是在网络之间建立一个控制关卡,以“允许”、“拒绝”等选项口令对进出内部网的访问进行审查控制,以此来防止非法用户侵入,保护内部网络设备不被破坏,增强企业内部网络的安全性。
3、数据加密技术。加密技术是保证电子商务安全采用的主要安全措施。数据加密是把原始数据通过某种算法进行再组织,再传输在网络公共信道上。这样处理之后,当有人恶意接收时,由于没有密钥,非法接受者无法得到文件的原始数据而不能达到其非法目的。而合法接收者则可以利用密钥进行解密,得到最真实的原始数据。目前主流的加密体制分为私钥和公钥两大类:一般用公钥来进行加密,用私钥来进行签名;同时私钥用来解密,公钥用来验证签名。
4、CA安全认证。目前对于解决电子商务的安全问题,国际通行的做法是采用CA安全认证系统。CA认证中心是一个受绝大多数人信任的第三方机构,在电子商务中属于仲裁机构。在电子商务系统中,所有的實体数字证书都由CA证书授权中心分发且签名。
5、加强企业内部管理。有了技术保障,可以大大降低电子商务中客户信息的安全威胁。但是如果企业内部管理跟不上,安全设施便形同虚设。为了保障电子商务正常运行,企业要加强内部安全管理,建立系统维护制度,包括审批制度,维护方法、维护内容测试、维护文档编制的规范化制度,维护用机、测试数据域营运机器、实际数据的分割制度,源程序保管控制制度等。
建立信息系统的访问管理制度和操作流程,对员工进行有效地监管。提高员工的素质和品行。提升员工的心理契约,把核心人员及其下属的短期行为长期化,使他们更关注公司长远的发展,以此减少员工的流动性。加强企业员工之间的交流与沟通,创造积极且寻求进步的、支持性的企业文化,提高员工的自我效能和企业凝聚力。
参考文献
[1]连红军.初探电子商务对企业管理的影响[J].中国商贸,2011,(05)
电子商务的安全与评估 篇12
1. 电子商务安全评估的定义。
电子商务安全评估是运用系统的方法, 对电子商务系统、各种电子商务安全保护措施、管理机制以及结合所产生的客观效果作出是否安全的结论。
2. 电子商务安全评估的重要性。
由于信息技术本身有其固有的敏感性和特殊性, 这就使得对企业电子商务产品是否安全, 电子商务安全产品及其网络系统是否可靠, 企业电子商务系统是否健壮, 电子商务管理是否严格, 信息风险防范的准备是否充足等方面都成为需要科学评价和证实的问题。电子商务安全系统所保护的是敏感信息, 评估必须可靠、可信、可操作, 并且能依赖于成熟的信息安全理论、科学的评估方法和完善的标准体系, 具有令人信服的科学性和公正性。
3. 电子商务安全评估的主要内容。
具体来讲, 电子商务安全评估的主要内容有环境控制、应用安全、管理机制、远程通信安全、审计机制等五个方面的内容。环境控制分为实体的、操作系统的及管理的三个部分。应用安全包括输出输入控制、系统内部控制、责任划分、输出的用途、程序的敏感性和脆弱性、用户满意度等。管理机制包括规章制度、紧急恢复措施、人事制度 (如防止工作人员调入、调离对安全的影响) 等。远程通信安全包括加密、数据签名等。审计机制包括系统审计跟踪的功能和成效等。
二、电子商务安全
1. 电子商务安全需求。
在电子商务中, 任何与交易有关的信息都通过网络交换, 都有可能会被篡改、窃听、冒名使用或交易后否认。保证电子商务的安全需提供以下安全保护: (1) 完整性保护。确保消息内容在传输和处理过程中没有被添加、删除或修改。 (2) 真实性保护。能对交易者身份进行鉴别, 为身份的真实性提供保证。 (3) 机密性保护。能防止电子商务参与者的信息在存储、处理、传输过程中泄漏给未经授权的人或实体。 (4) 抗抵赖。抗抵赖就是为交易的双方提供证据, 以解决因否认而产生的纠纷。它实际上建立了交易双方的责任机制。
2. 电子商务安全隐患。
电子商务不但面临着其系统自身的安全性问题, 计算机及通信网络的安全性问题同样会蔓延到电子商务中。归结起来, 电子商务中的安全性隐患主要有其应用层、传输层、存储层和系统层等四个方面: (1) 系统层安全性漏洞。电子商务系统的运作须以系统层的软硬件为基础, 因此系统层所的安全性漏洞将直接会造成电子商务中的安全性隐患。 (2) 存储层的安全漏洞。存储层的安全漏洞包括两个方面的问题:1) 意外情况造成的数据破坏。无论多么稳定的系统, 意外情况总是不可避免的, 电子商务系统也不例外。如果对意外情况造成的损失没有充分的估计和完备的补救措施, 那么意外情况造成的数据破坏是不可避免的。而数据破坏将对整个电子商务系统的稳定性和安全性造成威胁。2) 有意人为侵害造成的破坏。电子商务起步不久, 安全性措施尚不完善, 是网络黑客攻击的焦点。黑客往往利用电子商务系统中的种种安全性漏洞, 窃取和破坏系统数据, 甚至修改系统, 对整个系统的正常运作造成严重危害。因此, 一个成功的电子商务系统必须能有效的防止人为侵害。 (3) 传输层的安全漏洞。传输层的安全漏洞包括传输过程中的数据截获电子商务系统中的数据在传输过程中可能受到截获, 传输过程中的数据完整性破坏以及跨平台数据交换引起的数据丢失等三个方面的问题。 (4) 应用层的安全漏洞。应用层的安全漏洞包括冒充他人身份和抵赖已经做过的交易两个方面的问题。
3. 电子商务安全要求。 (1) 信息的有效性要求。电子形式
贸易信息的有效性则是电子商务活动的前提。电子商务信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。一旦签订交易后, 这项交易就应受到保护以防止被篡改或伪造。 (2) 信息的保密性要求。电子商务作为贸易的一种手段, 其信息直接代表着个人、企业或国家的商业机密。电子商务是建立在开放的网络环境上, 维护商业机密是电子商务全面推广应用的重要保障。因此, 要预防非法的信息存取和信息在传输过程中被非法窃取。 (3) 信息的完整性要求。电子商务简化了贸易过程, 减少了人为的干预, 同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为, 可能导致贸易各方信息的差异。此外, 数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略, 保持贸易各方信息的完整性是电子商务应用的基础。因此, 要预防对信息的随意生成、修改和删除, 同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。 (4) 信息的不可抵赖性要求。电子商务可能直接关系到贸易双方的商业交易, 如何确定要进行交易的贸易方正是进行交易所期望的贸易方, 这一问题则是保证电子商务顺利进行的关键。 (5) 交易身份的真实性要求。交易者身份的真实性是指交易双方确实是存在的。网上交易的双方要使交易成功, 必须互相信任, 确认对方真实, 对商家要考虑客户是否有信誉。 (6) 系统的可靠性要求。电子商务系统的可靠性是指防止由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、数据库出错、计算机病毒和自然灾害所产生的潜在威胁, 并加以控制和预防, 确保系统安全可靠性。保证计算机系统的安全是保证电子商务系统数据传输及电子商务完整性检查的正确和可靠的根基。
4. 电子商务安全技术。
通过使用各种密码技术, 可以满足不同的安全需求。 (1) 完整性保护技术。完整性保护技术是用于提供消息认证的安全机制。典型的完整性保护技术是消息认证码是将利用一个带密钥的杂凑函数对消息进行计算, 产生消息认证码, 并将它附着在消息之后一起传给接收方, 接收方在收到消息后可以重新计算消息认证码, 并将其与接收到的消息认证码进行比较:如果它们相等, 接收方就认为消息没有被篡改;如果它们不相等, 接收方就知道消息在传输过程中被篡改了。 (2) 真实性保护技术。真实性保护技术用来确认某一实体所声称的身份, 以对抗假冒攻击。在电子商务中, 交易信息通过网络转发, 可能在传输过程有一定的延迟, 需要通过数据源鉴别来确认交易信息的真正来源。 (3) 机密性保护技术。机密性保护技术是为了防止敏感数据泄漏给那些未经授权的实体。 (4) 抗抵赖技术。抗抵赖技术是为了防止恶意主体事后否认所发生的事实或行为。要解决上述问题, 必须在每一事件发生时, 留下关于该事件的不可否认证据。当出现纠纷时, 可由可信第三方验证这些留下的证据.这些证据必须具有不可伪造或防篡改的特点。
三、电子商务安全评估的标准
标准是技术性法规, 作为一种依据和尺度。没有标准, 国家有关的立法、执法就会因缺乏相应的技术尺度而失之偏颇, 最终会给国家信息安全的管理带来严重后果, 建立评估标准的目的是建立一个世界各国都能接受的通用的信息安全产品和系统的安全性评价准则, 国家与国家之间可以通过签订互认协议, 决定相互接受的认可级别, 这样就能使大部分的基础性安全机制在任何一个地方通过评估准则评价并得到许可进入国际市场时, 不需要再作评价, 使用国只需要测试与国家主权和安全相关的安全功能即可, 从而可以大幅度节省评价支出并迅速推向市场。但是, 由于信息安全产品和系统的安全性评价事关国家主权和安全利益, 所以没有一个国家会把事关国家安全利益的信息安全产品和系统的安全可信性建立在别人的评价基础上, 而是在充分借鉴国际标准的前提下, 制定自己的测评认证标准。在计算机信息技术安全标准发展的历史上, 美国、加拿大、欧盟以及中国开发出了多种计算机系统及产品安全评估准则与标准。
四、电子商务安全的国际评估标准
1. TCSEC———美国计算机安全标准。
TCSEC—可信计算机系统评估准则。1985年, 美国发布了第一个计算机安全标准, 即现在经常谈论的可信计算机系统评估准则 (TCSEC) , 由于采用了橘色书皮, 也称“橘皮书”。TCSEC中定义的准则主要涉及商用可信自动数据处理系统。准则中描绘了不同安全等级的最低要求特点和可信措施。其目的之一是为生产厂家提供一种安全标准, 二是为国防部评估信息产品可信度提供一种安全量度, 三是为了产品规格中规定的安全要求提供基准。可信计算机系统评估准则的安全等级分为A、B、C、D四级。其中A为最高级, D为最低级。每级的具体划分确定按安全策略、可计算性、可信赖性和文件编制四个方面进行。
2. ITSEC———欧洲信息技术安全评估准则。
欧洲信息技术安全评估准则 (ITSEC) 将安全功能和功能评估的概念区分开来。每个产品最少给出两个基本参数, 其中一个是安全功能, 另一个是实现的准确性。功能性准则的度量范围为F1~F10共十级, 其中F1对应了TCSEC的C1级……F5对应于B3级。F6~F10的功能和规格添加了下述一些概念:F6添加了数据和程序的完整性概念;F7添加了系统可用性概念;F8添加了数据通信完整性概念;F9添加了通信机密性概念;F10添加了网络安全, 包括机密性和完整性概念。
参考文献
[1]刘艳慧.电子商务及其安全性研究与应用[D].天津:天津大学, 2008.
[2]王铁柱, 等.中国电子商务安全性分析与研究[J].河北公安警察职业学院学报, 2010, (3) .
[3]戴卫明.中国电子商务风险及其控制研究[J].生产力研究, 2010, (9) .
【电子商务技术风险评估】推荐阅读:
评估电子商务系统07-31
电子商务的信用风险09-03
电子商务安全技术分析07-16
电子商务安全技术问题07-19
电子商务技术专业介绍07-02
电子商务安全技术总结08-02
电子商务技术应用推广08-03
电子商务网络安全技术09-16
电子商务中的安全技术07-17