乐学视频电商 2023-08-03 20:31:02

怎样应对电商系统的运作风险？

电子商务安全风险管理研究林黎明1 李新春2 （中国矿业大学管理学院，江苏徐州 221008 ）摘要该文基于目前电子商务安全所面临的各种风险问题，结合当前的一些风险管理方法，对电子商务系统安全风险管理进行一些基本的分析和研究，以期对企业电子商务安全风险管理提供一些有价值的借鉴和参考。关键词电子商务安全，风险管理，风险识别，风险控制 1 引言随着开放的互联网络系统Internet的飞速发展，电子商务的应用和推广极大了改变了人们工作和生活方式，带来了无限的商机。然而，电子商务发展所依托的平台—互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展；此外，电子商务的发展还面临着严峻的内部风险，电子商务企业内部对安全问题的盲目和安全意识的淡薄，高层领导对电子商务的运作和安全管理重视程度不足，使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此，在考察电子商务运行环境、提供电子商务安全解决方案的同时，有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡量、分析，并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。 2 电子商务面临的安全风险由于网络的复杂性和脆弱性，以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说，电子商务普遍存在着以下几个安全风险： 1）信息的截获和窃取这是指电子商务相关用户或外来者未经授权通过各种技术手段截获和窃取他人的文电内容以获取商业机密。 2）信息的篡改网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或插入，并发往目的地，从而达到破坏信息完整性的目的。 3）拒绝服务拒绝服务是指在一定时间内，网络系统或服务器服务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的认为破坏。 4）系统资源失窃问题在网络系统环境中，系统资源失窃是常见的安全威胁。 5）信息的假冒信息的假冒是指当攻击者掌握了网络信息数据规律或解密了商务信息后，可以假冒合法用户或假冒信息来欺骗其它用户。主要表现形式有假冒客户进行非法交易，伪造电子邮件等。 6）交易的抵赖交易抵赖包括发信者事后否认曾经发送过某条信息；买家做了定单后不承认；卖家卖出的商品因价格差而不承认原先的交易等。 3 风险管理规则针对电子商务面临的各种安全风险，电子商务企业不能被动、消极地应付，而应该主动采取措施维护电子商务系统的安全，并监视新的威胁和漏洞。因此，这就需要制定完整高效的电子商务安全风险管理规则。一般来说，风险管理规则的制定过程有评估、开发和实施以及运行三个阶段。（1）评估阶段该阶段的主要任务是对电子商务的安全现状、要保护的信息、各种资产等进行充分的评估以及一些基本的安全风险识别和分析。对电子商务安全现状的评估是制定风险管理规则的基础。对信息和资产的评估是指对可能遭受损失的相关信息和资产进行价值的评估，以便确定相适应的风险管理规则，从而避免投入成本和要保护的信息和资产的严重不匹配。安全风险识别要求尽可能地发现潜在的安全风险，应收集有关各种威胁、漏洞、开发和对策的信息。安全风险分析是确定风险，收集信息，对可能造成的损失进行评价以估计风险的级别，以便做出明智的决策，从而采取措施来规避安全风险。（2）开发和实施阶段该阶段的任务包括风险补救措施开发、风险补救措施测试和风险知识学习。风险补救措施开发利用评估阶段的成果来建立一个新的安全管理策略，其中涉及配置管理、修补程序管理、系统监视与审核等等。在完成对风险补救措施的开发后，即进行安全风险补救措施的测试，在测试过程中，将按照安全风险的控制效果来评估对策的有效性。（3）运行阶段运行阶段的主要任务包括在新的安全风险管理规则下评估新的安全风险。这个过程实际上是变更管理的过程，也是执行安全配置管理的过程。运行阶段的第二个任务是对新的或已更改的对策进行稳定性测试和部署。这个过程由系统管理、安全管理和网络管理小组来共同实施。以上风险管理规则的三个阶段可以用下图来表示：图1 风险管理规则的三个阶段 4 风险管理步骤风险管理是识别风险、分析风险并制定风险管理计划的过程。电子商务安全风险的管理和控制方法，它包括风险识别、风险分析、风险控制以及风险监控等四个方面。（1）风险识别电子商务系统的安全要求是通过对风险的系统评估而确认的。为了有效管理电子商务安全风险，识别安全风险是风险管理的第一步。风险识别是在收集有关各种威胁、漏洞和相关对策等信息的基础上，识别各种可能对电子商务系统造成潜在威胁的安全风险。风险识别的手段五花八门，对于电子商务系统的安全来说，风险识别的目标是主要是对电子商务系统的网络环境风险、数据存在风险和网上支付风险进行识别。需要注意的是，并非所有的电子商务安全风险都可以通过风险识别来进行管理，风险识别只能发现已知的风险或根据已知风险较容易获知的潜在风险。而对于大部分的未知风险，则依赖于风险分析和控制来加以解决或降低。（2）风险分析风险分析是运用分析、比较、评估等各种定性、定量的方法，确定电子商务安全各风险要素的重要性，对风险排序并评估其对电子商务系统各方面的可能后果，从而使电子商务系统项目实施人员可以将主要精力放在对付为数不多的重要安全风险上，使电子商务系统的整体风险得到有效的控制。风险分析是一种确定风险以及对可能造成的损失进行评估的方法，它是制定安全措施的依据。风险分析的目标是：确定风险，对可能造成损坏的潜在风险进行定性化和定量化，以及最后在经济上寻求风险损失和对风险投入成本的平衡。目前，风险分析主要采用的方法有：风险概率/影响评估矩阵，敏感性分析，模拟等。在进行电子商务安全风险分析时，由于各影响因素量化在现实上的困难，可根据实际需要，主要采用定性方法为主辅以少量定量方法相结合来进行风险分析，为制定风险管理制度和风险的控制提供理论上的依据。（3）风险控制风险控制就是选择和运用一定的风险控制手段，以保障风险降到一个可以接受的水平。风险控制是风险管理中最重要的一个环节，是决定风险管理成败的关键因素。电子商务安全风险控制的目标在于改变企业电子商务项目所承受的风险程度。一般来说，风险控制方法有两类：第一类是风险控制措施，比如降低、避免、转移风险和损失管理等。在电子商务安全风险管理中，比较常用的是转移风险和损失管理。第二类为风险补偿的筹资措施，包括保险与自担风险。在电子商务安全风险管理中，管理人员需要对风险补偿的筹资措施进行决策，即选择保险还是自担风险。此外，风险控制方法的选择应当充分考虑相对风险造成损失的成本，当然其它方面的影响也是不容忽视的，如企业商誉等。对电子商务安全来说，其有效可行的风险控制方法是：建立完整高效的降低风险的安全性解决方案，掌握保障安全性所需的一些基础技术，并规划好发生特定安全事故时企业应该采取的解决方案。 5 风险管理对策由于电子商务安全的重要性，所以部署一个完整有效的电子商务安全风险管理对策显得十分迫切。制定电子商务安全风险管理对策目的在于消除潜在的威胁和安全漏洞，从而降低电子商务系统环境所面临的风险。目前的电子商务安全风险管理对策中，较为常用的是纵深防御战略，所谓纵深防御战略，就是深层安全和多层安全。通过部署多层安全保护，可以确保当其中一层遭到破坏时，其它层仍能提供保护电子商务系统资源所需的安全。比如，一个单位外部的防火墙遭到破坏，由于内部防火墙的作用，入侵者也无法获取单位的敏感数据或进行破坏。在较为理想的情况下，每一层均提供不同的对策以免在不同的层中使用相同的攻击方法。下图为一个有效的纵深防御策略：图2 有效的纵深防御策略下面就各层的主要防御内容从外层到里层进行简要的说明： 1）物理安全物理安全是整个电子商务系统安全的前提。制定电子商务物理安全策略的目的在于保护计算机系统、电子商务服务器等各电子商务系统硬件实体和通信链路免受自然灾害和人为破坏造成的安全风险。 2）周边防御对网络周边的保护能够起到抵御外界攻击的作用。电子商务系统应尽可能安装某种类型的安全设备来保护网络的每个访问节点。在技术上来说，防火墙是网络周边防御的最主要的手段，电子商务系统应当安装一道或多道防火墙，以确保最大限度地降低外界攻击的风险，并利用入侵检测功能来及时发现外界的非法访问和攻击。 3）网络防御网络防御是对网络系统环境进行评估，采取一定措施来抵御黑客的攻击，以确保它们得到适当的保护。就目前来说，网络安全防御行为是一种被动式的反应行为，而且，防御技术的发展速度也没有攻击技术发展得那么快。为了提高网络安全防御能力，使网络安全防护系统在攻击与防护的对抗中占据主动地位，在网络安全防护系统中，除了使用被动型安全工具（防火墙、漏洞扫描等）外，也需要采用主动型安全防护措施（如：网络陷阱、入侵取证、入侵检测、自动恢复等）。 4）主机防御主机防御是对系统中的每一台主机进行安全评估，然后根据评估结果制定相应的对策以限制服务器执行的任务。在主机及其环境中，安全保护对象包括用户应用环境中的服务器、客户机以及其上安装的 *** 作系统和应用系统。这些应用能够提供包括信息访问、存储、传输、录入等在内的服务。根据信息保障技术框架，对主机及其环境的安全保护首先是为了建立防止有恶意的内部人员攻击的首道防线，其次是为了防止外部人员穿越系统保护边界并进行攻击的最后防线。 5）应用程序防御作为一个防御层，应用程序的加固是任何一种安全模型中都不可缺少的一部分。加强保护 *** 作系统安全只能提供一定程度的保护。因此，电子商务系统的开发人员有责任将安全保护融入到应用程序中，以便对体系结构中应用程序可访问到的区域提供专门的保护。应用程序存在于系统的环境中。 6）数据防御对许多电子商务企业来说，数据就是企业的资产，一旦落入竞争者手中或损坏将造成不可挽回的损失。因此，加强对电子商务交易及相关数据的防护，对电子商务系统的安全和电子商务项目的正常运行具有重要的现实意义 6 结论一般来说，风险管理有基本的三个对策，包括管理者采取适当措施来降低风险事故发生的概率；管理者准备并实施一个意外事故应急计划以备不测；还有就是管理者什么都不做。对已选定的对策，应对其潜在的风险有充分的估计，并制定相应的应变计划，以使可能的风险损失降到最低。风险管理没有铁定的规则，对于电子商务安全风险管理来说，首先是扫描和检测电子商务系统的内外部环境，检查系统的脆弱性和薄弱环节，及时打上补丁和追加设备，以便当风险产生时尽可能地减少损失；其次是对电子商务安全风险进行充分地分析，然后制定相应的规划和措施，并在其实施的每个阶段进行监控和跟踪；最后是根据环境的变化随时调整风险管理措施，制定完备的灾难恢复计划。参考文献 [1]甘早斌．电子商务概论（第二版）．华中科技大学出版社．20039 [2]钟诚．电子商务安全．重庆大学出版社．20046 [3]才书训．电子商务安全风险管理与控制．东北大学出版社．20046 [4]易珊，张学哲．电子商务安全策略分析．科技情报开发与经济．20045 [5]高新亚，邹静．电子商务安全的风险分析和风险管理．武汉理工大学学报信息与管理工程版．20058 [6]郭学勤，陈怡．电子商务安全对策．计算机与数字工程．20017 [7]李晶．电子商务安全防范措施．安徽科技．20034 [8]Greenstein M,FeinmanT MElectronic Commerce:Security,Risk Management and Control[M]New York:McGraw-Hill Companies,Inc,2000 [9]Charles Cresson Wood, Essential Controls for Internet Electronic Commerce[M]Network Security,1998

电子商务中的网络安全问题：
防火墙技术：防火墙（Firewall）是近年来发展的最重要的安全技术，它的主要功能是加强网络之间的访问控制，防止外部网络进入内部网络；
加密技术：数据加密被认为是最可靠的安全保障形式，它可以从根本上满足信息完整性的要求，是一种主动安全防范策略。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据；
数字签名技术：数字签名（DigitalSignature）技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中，数字签名技术有着特别重要的地位，在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术；
数字时间戳技术：在电子商务交易的文件中，时间是十分重要的信息，是证明文件有效性的主要内容。
电子商务中存在以下安全威胁：
1黑客攻击
黑客攻击是指黑客非法进入网络，非法使用网络资源。随着互联网的发展，黑客攻击也是经常发生，防不胜防，黑客利用网上的任何漏洞和缺陷修改网页、非法进入主机、窃取信息等进行相关危害活动。2003年，仅美国国防部的"五角大楼"就受到了了230万次对其网络的尝试性攻击。从这里可以看出，目前黑客攻击已成为了电子商务中计算机网络的重要安全威胁。
2计算机病毒的攻击
病毒是能够破坏计算机系统正常进行，具有传染性的一段程序。随着互联网的发展，病毒利用互联网，使得病毒的传播速度大大加快，它侵入网络，破坏资源，成为了电子商务中计算机网络的又一重要安全威胁。
3拒绝服务攻击
拒绝服务攻击（DoS）是一种破坏性的攻击，它是一个用户采用某种手段故意占用大量的网络资源，使系统没有剩余资源为其他用户提供服务的攻击。目前具有代表性的拒绝服务攻击手段包括SYNflood、ICMPflood、UDPflood等。随着互联网的发展，拒绝服务攻击成为了网络安全中的重要威胁。

湖北3名大学生使用非法手段入侵电商平台隔空盗走73万元，案件发生后，3名大学生已经被武汉洪山分局警方抓获。据悉，3名大学生的行为已经涉嫌盗窃罪和非法控制计算机系统罪，等待他们的将是法律的严惩，下面我们来具体看一下案件的细节以及3名嫌疑人将面临的法律责任！

大学生非法入侵电商平台73万元

嫌疑人张某某、赖某某、曾某都是福建某高校的在校大学生，3个人利用所学的计算机知识在某电商网站上进行了IP跳转，在案发期间分4次入侵网站，将73万元分批盗走。3个人巨额财物后，他们觉得将这笔巨款直接转入自己的 *** 不安全，需要找个“洗钱”团伙，于是他们找到了另外两名嫌疑人，在一家酒店内现场交易，将非法取得的73万元按60%分成转入各自的 *** 内。

3个人的行为涉嫌非法控制计算机系统罪和盗窃罪

3名嫌疑人利用自己的计算机知识非法修改电商平台的系统数据，对网站计算机信息系统实施非法控制, 已经构成了“非法控制计算机系统罪”；3个人非法入侵平台后，又造成了平台损失高达73万元，这种行为已经构成了“盗窃罪”。按照我国相关法律规定，涉嫌“非法控制计算机系统罪 ”情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；涉嫌“盗窃罪”，盗窃数额特别巨大的，将面临十年以上有期徒刑或无期徒刑。3名嫌疑人的盗窃金额高达73万元，在刑法上属于“数额特别巨大”的范围，等待他们的将是漫长的刑期！

这起案件的发生让人觉得非常痛心，3名犯罪嫌疑人都处在青春年华，本应有大好前程，但在巨额利益面前没有把持住自己，酿成大错。

0、github 遭受来自我国加农大炮发出的DDOS攻击（百度担当了本次黑锅侠）
2015年3月份，攻击者劫持百度广告联盟的JS脚本并将其替换成恶意代码，最后利用访问中国网站的海外用户对GitHub发动大规模分布式拒绝服务攻击。
1、大陆境内所有通用顶级域遭DNS劫持（被Big Brother恶意Hack）
2014年1月21日，大陆境内所有通用顶级域（com/net/org等）遭DNS劫持，所有域名均被指向一个位于美国的IP地址（65492178）。根据网络上资料显示，该IP地址属于美国Sophidea公司所有，而Sophidea公司的大客户之一就是著名的加密代理软件XX门的母公司。
2、Lizard Squad劫持联想域名，并泄露部分公司邮件
2014年2月25日，联想域名遭劫持，业内人士预测可能与联想近期收到的大量公开指责有关，该公司的电脑被捆绑了称为快鱼（Superfish）的加密广告程序，引起大量用户不满。在公众的压力下，联想最终决定删除软件，向受影响的用户道歉。
3、携程信息“安全门”事件敲响网络消费安全警钟
2014年3月22日，携程网被指出安全支付日志存在漏洞，导致大量用户 *** 信息泄露，电商如何对用户信息进行保护引发人们思考。
携程安全支付日志可遍历下载导致大量用户 *** 信息泄露(包含持卡人姓名 *** 、 *** 号、卡CVV码、6位卡Bin)
4、温州地区有线电视大面积被黑，播放敏感反动内容
2014年8月1日，浙江省公安厅官方微博通报，温州有线电视网络系统市区部分用户的机顶盒遭黑客攻击，出现一些反动宣传内容，影响了群众正常收看电视，造成了不良影响。
5、江苏公安厅:海康威视监控设备有隐患部分设备已经被境外IP地址控制
2015年2月28日，江苏省公安厅下达《关于立即对全省海康威视视频监控设备进行全面清查和安全加固通知》
6、Apache Struts2连续爆多个高危漏洞，影响国内数百万信息系统安全
2013 年 7 月的 Struts2 漏洞实际带来多大影响？ - Java
7、[心脏流血]OpenSSL “Heartbleed”漏洞
OpenSSL 的 Heartbleed 漏洞的影响到底有多大？ - 信息安全
8、[破壳]Shellshock漏洞
Shellshock的破坏性有多大？有哪些潜在的攻击方式？ - 互联网
9、[贵宾犬]Google发现SSL 30漏洞，让黑客有可乘之机
2014年10月17日，一个存在于 SSL 30 协议中的新漏洞于今日被披露。该漏洞被命名为“贵宾犬”（降级传统加密填充提示），通过此漏洞，第三方可以拦截通过采用 SSL 30 的服务器传输的重要信息。
10、阿里巴巴宣称遭受互联网有史以来最大的DDOS攻击
阿里云的安全产品是如何抵御互联网史上最大一次 DDoS 攻击的？ - 网络安全
11、网易全线线上服务遭受大规模DDOS攻击
2015 年 5 月 11 日，网易骨干网宕机是怎么回事？ - 计算机
13、chinanews被黑涂改首页
怎么看中新网网页被黑一事？ - 新闻

你不太清楚的用户数据泄露事件
仅公安部一年查获被**各类公民个人信息就有近50亿条，而这可能只是泄露信息一小部分，2011年，互联网泄密事件引爆了整个信息安全界，导致传统的用户+密码认证的方式已无法满足现有安全需求。泄露数据包括：天涯：31,758,468条，CSDN：6,428,559条，微博：4,442,915条，人人网：4,445,047条，猫扑：2,644,726条，178：9,072,819条，嘟嘟牛：13,891,418条，7K7K：18,282,404条，小米828万，Adobe：15亿，Cupid Media：4200万，QQ数据库：大于6亿，福布斯：100万，索尼：1016亿，机锋网：2000多万，接近10亿多条。

1、快递公司官网遭入侵泄露1400万用户快递数据
2014年8月12日，警方破获了一起信息泄露案件，犯罪嫌疑人通过快递公司官网漏洞，登录网站后台，然后再通过上传(后门)工具就能获取该网站数据库的访问权限，获取了1400万条用户信息，除了有快递编码外，还详细记录着收货和发货双方的姓名、电话号码、住址等个人隐私信息。
2、机锋网2700万用户数据泄露
2015年1月5日上午，知名微博账号“互联网的那点事”发布消息称，机锋论坛2300万用户数据泄露，包含用户名、邮箱、加密密码在内的用户信息在网上疯传，提醒用户抓紧修改密码。
3、小米800万用户数据泄露
小米论坛被脱裤（数据与官方符合）可能影响小米移动云等敏感信息
4、130万考研用户信息被泄露
国内考研疑似130W报名信息泄漏事件（疑似泄漏到今年11月份，正在被黑产利用）
5、智联招聘86万条求职简历数据遭泄露
看我如何拿下智联招聘八十六万用户简历（包含姓名，地址， *** ，户口等等各种信息）
6、12306网站超13万用户数据遭泄露
大量12306用户数据在互联网疯传包括用户帐号、明文密码、 *** 邮箱等（泄漏途径目前未知）
7、汉庭2000万****遭泄露
由于安全漏洞问题，导致2000万条在2010年下半年至2013年上半年入住酒店的2000多万客户信息泄露。