本站小編為你精心準備了電子商務非技術風險的防控對策參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

一、電子商務的技術風險

國內外研究普遍認為技術風險對電子商務的發展影響較大,但我們的研究表明在中國現實條件下,非技術風險的存在更會引起消費者(最終消費者和制品需求者)對網上商品提供商的不信任,從而影響電子商務的發展。根據《第18次中國互聯網絡發展狀況統計報告》2006年7月最新調查[1],網民不進行網上交易的原因,有61·5%的人選擇交易安全性得不到保障,有70·1%的網民的電腦在最近半年內受到過病毒或黑客的攻擊,并且對內容的真實性、個人隱私的保護、安全性等感到非常滿意的網民僅為2·9%。

另據加拿大《格瑞貝斯環球財經報道》[2]:中國企業在市場交易中因信用缺失、違反經濟秩序等問題所造成的損失已占到中國GDP的20%,直接和間接經濟損失每年高達5855億元,相當于中國每年財政收入的37%,國民生產總值每年因此至少減少兩個百分點,中國每年由于產品質量低劣或制假售假造成的各種損失達2000億元,同時企業相互拖欠現象也非常嚴重。從8848以網上購物B2C業務起家,引領中國電子商務后又遭受挫折,到雅寶、搜房、美商網、索易等或清盤或賣掉的經歷,無一不說明在我國電子商務非技術風險更應該值得關注和研究。

同時我們不難看出,在中國現階段,困擾電子商務發展的問題不僅是技術的落后,而且還包括與之相關的體制障礙、社會誠信的缺乏和法制法規的效力不足以及社會普遍存在的貧富間的顯著差距、失業等非技術因素,這些都會使從事電子商務活動的風險增加。

但目前對電子商務的研究大多傾向于電子商務應用、電子商務技術、電子商務政策法規環境等方面的討論,對電子商務風險特別是非技術風險的研究卻相對較少,至于研究如何建立起防范體系就更為少見了。本文試圖從電子商務交易主體受攻擊的角度出發,將電子商務非技術風險分為消費者所面臨的風險、銷售商所面臨的風險、電子商務企業所面臨的風險。并從交易主體受攻擊前、受攻擊時和受攻擊后三個時間段來構建一個電子商務非技術風險的技術防范體系。

二、非技術風險的定義和分類

人們依據各自不同的視角對風險進行了不同的分類。A.H.Mowbray(1969)依據風險的可能結果是否帶來盈利將風險分為純粹風險(PureRisk)與投機風險(SpeculativeRisk)兩類,保險專家A.H.Willet(1951)依據外部經濟環境是否發生變化將風險分為靜態風險(StaticRisk)與動態風險(DynamicRisk)兩類,國內有些學者按導致風險損失的原因將風險分為自然風險(PhysicalRisk)、社會風險(So2cialRisk)、經濟風險(EconomicRisk)、政治風險(PoliticalRisk)和技術風險(TechnologicalRisk)五類。以上對傳統風險劃分的三種視角(當然還有其他分類視角)對于電子商務風險而言也是合適的。

本文依據風險的來源,將電子商務風險分為技術風險(TechnologicalRisk)和非技術風險(Non-TechnologicalRisk)兩類。所謂技術風險是指電子商務活動中,涉及終端設備及其連接介質的純技術因素造成的風險;而非技術風險則是指電子商務活動中各種人為因素造成的風險。同時,由風險的基本理論得知,風險與三個因素直接有關,那就是自然狀態的不確定性、人的主觀行為及兩者結合所蘊涵的潛在后果[3]。但目前對電子商務非技術風險的研究和分類主要集中在政策法規、環境和信用等方面。我們認為,風險的產生除了市場和社會約束、控制機制的失靈和不確定性之外,更離不開非技術的主體因素———人的行為。所以,本文的研究視角主要集中在電子商務交易主體(消費者、銷售商、電子商務企業)中人的行為上,并從人在交易中由于本身的不合法攻擊行為將電子商務非技術風險分為消費者面臨的風險、銷售商面臨的風險和電子商務企業面臨的風險。

1.消費者面臨的風險

(1)虛假或惡意網站的人為攻擊。虛假或惡意網站是指利用IE漏洞,嵌入惡意代碼,在用戶不知情的情況下,對用戶的電腦進行篡改或破壞的網站。惡意網站一般都是為竊取訪問者的身份證信息與口令、竊取信用卡信息、偷窺訪問者的硬盤或從訪問者硬盤中下載文件而設立的。攻擊者的手段是設立一個惡意或虛假的網站,要求使用者注冊并給出一個口令,口令是使用者自愿給出的,只有在這同一口令被使者同時應用于許多不同事務時,如自動取款機(ATM)、與工作有關的口令、家庭安全警報口令等,才可能對使用者造成危害。因此,在各種與因特網相關的事務中,一定要堅持使用不同的口令。

(2)隱私問題的人為攻擊。電子商務時代,由于網絡可以聯接到世界各地乃至每一個家庭,各種信息將呈開放或者無序狀態,并且直接涉及并威脅到每個家庭和個人的信息(隱私),在網上個人信息包括個人資料、消費習慣、閱讀習慣、交往信息、通信信息等,都很容易被商家和網絡經營者有意收集和利用,而這些收集和利用不僅會侵犯用戶的一些隱私權,還可能成為其他侵權或騷擾行為的鋪墊。據美國《商業周刊》進行的一項有關電子商務的隱私權方面的調查結果顯示,大多數個人因擔心個人隱私外泄而拒絕電子商務,所以企業實施電子商務時,一定要采取具體有效措施防止對第三方合法權利造成損害。否則,因此而被卷入各種侵權訴訟時,不但企業運作的電子商務模式或者項目可能會被迫夭折,更有可能對企業的商譽、經濟利益造成毀滅性的打擊[4]。目前我國還沒有針對個人隱私保護的法律,并且在其他的法律法規中相關規定也很單薄,隱私權保護尤其是網絡與電子商務中的隱私權保護,在我國法律界還是一個新的課題。

(3)網上存在的有害信息對消費者的不良影響。網上有害信息是指危害國家安全,煽動民族分裂,散布謠言,擾亂社會秩序,影響社會穩定,宣揚邪教和封建迷信,傳播淫穢、色情、暴力、賭博等信息。目前,網上有害信息的涵蓋范圍已相當廣泛,既包括政治法律領域也包括商務生活領域的不道德及不良文化信息、侵權信息、欺詐信息及與教唆犯罪有關的信息等。

2.銷售商面臨的風險

(1)拒絕服務攻擊。拒絕服務攻擊廣義上指任何導致服務器不能正常提供服務的攻擊。確切地說,拒絕服務攻擊是故意攻擊網絡協議實現的缺陷或直接通過各種手段耗盡被攻擊對象的資源,目的是讓目標計算機或網絡無法提供正常的服務,使目標系統停止響應甚至崩潰。這些服務資源包括網絡帶寬、文件系統空間容量、開放的進程或者允許的連接等。拒絕服務攻擊被用于破壞、關閉或削弱某一電腦或網絡的資源,這一攻擊的目的是通過使目標網站的通信端口與記憶緩沖區滿溢,達到阻止合法信息與合法聯接服務要求的接收[5]。

(2)數據被竊。對于那些以數字化形式存貯的,并連接到公共通信線路上的數據文件來說,偷竊者可能通過某種手段很容易將之竊走,而且竊賊可以遠隔千里或遠隔重洋作案。另外如果竊賊害怕暴露,只要馬上斷開連接,就很難查到他的蹤影。

(3)域名被搶注。在電子商務發展的初期,人們對域名的重要性并沒有充分認識,許多企業、公司疏于對網絡世界的關注,對自己的公司名稱、商標、商號、個人姓名等未進行及時的域名注冊,結果導致與他們相關的名稱被他人以相同或者近似的名稱搶先注冊,給企業或其他組織造成較大的損失。

(4)客戶假冒。即客戶與他們所自稱的身份不一致。如果假客戶把自己裝扮成合法客戶,他們就能以各種目的來訂購商品與服務了,目的之一就是訂購某種免費服務或商品,比如購買或下載軟件,以一個假用卡號付款。另一個目的就是讓貨物發出,而沒有任何接貨或付款的打算。這種虛假訂貨技術的惡意使用可以出自種種原因:一是黑客從這種鬧劇的成功中所得到的自我滿足;二是打擊那些有關政策或規定與黑客個人觀點不相符的公司;三是損害競爭對手或前雇主的公司利潤及客戶關系。

3.電子商務企業面臨的風險

電子商務企業是指以商業貿易和計算機網絡技術的發展為基礎,以企業電子化、信息化為核心,以新的交易方式為手段為消費者和銷售商提供服務和交易平臺的電子商務實體[6]。電子商務企業面臨的風險主要有:

(1)企業內部網的黑客攻擊。許多企業已經開始構建內部網Intrane,t隨著網絡技術的發展,企業可以將自己的Intranet同其他企業的Intranet或開放的Internet網相連,構成強大的網絡通訊世界[4]。據統計,對網絡系統的攻擊有85%是來自企業內部的黑客。這些黑客,可能是企業從前的雇員,也可能是在職員工。企業內部網的風險主要有兩種:金融詐騙、盜取文件或數據。金融詐騙是指更改企業計算機內財務方面的記錄,以騙得企業的錢財或為減免稅等。這種風險的作案手段很多,有采用黑客程序的,更多的則是賄賂有關操作人員。盜取文件或數據是一種很常見的黑客方式。由于Intranet將各個雇員的計算機同企業各種重要的數據庫、服務器等連接起來,所以雇員進行越權訪問和復制機密數據或文件的機會就會大大增加。

(2)外部網的人為破壞。包括黑客用戶的惡意攻擊、竊取信息,網絡傳送的病毒和電子郵件夾帶的病毒,來自于Internet瀏覽可能存在的惡意Java/ActiveX控件,等等。三、非技術風險的識別和評估預先識別風險并及時有效地進行處理對于減少風險是十分重要的。所謂風險識別就是分析風險的來源及特征。[7]

電子商務非技術風險識別的手段包括:向風險管理顧問咨詢、財務報表分析、對設備及運營狀況進行檢查、與其他部門交流、相對歷史資料的回顧與分析等[8]。利用解釋結構模型法[9]識別電子商務非技術風險也是十分有效的。該法從電子商務系統進行分析,對雜亂堆積的風險因素進行結構性分析,對可能的風險進行識別在風險識別的基礎上需要對這些風險進行評估和分析,全面、準確地評估這些風險對企業可能產生的影響非常關鍵,因為它們是開展風險控制和風險融資的基礎。目前常用的企業電子商務風險評估方法主要有以下幾種:

1.合理預測

在預測中引入反饋,信息聯系使風險的辨識更加準確[10](其結構如圖2所示),這種方法的主要問題是找出閉環的平衡點及其概率分布。

2.風險樹

對風險進行逐步分解、細化,形成樹狀結構,即風險樹。對風險樹還可以進行進一步的分析和處理,例如可以用來確定風險的概率,這就需要找出所有可能性及其相互聯系,標出各種風險的概率,然后對其進行計算,形成風險概率樹。對于那些不能用以上方法解決的問題,專家調查的方法就得到了廣泛的應用,主要有以下兩種:①頭腦風暴法。這是一種刺激創造性、產生新思想的技術。它由美國人奧斯本于1939年首創。這種方法用于風險識別,根據風險識別的特點做出相應的修改[11]。②德爾菲法。這種方法是由美國著名的咨詢機構蘭德公司于20世紀50年代初發明的,它具有三個特點:參加者相互之間匿名;對各種反映進行統計處理;帶有反饋地反復地進行意見測試[12]。在對預測結果處理時,專家的傾向性和一致性是主要考慮的兩個方面。傾向性是指專家意見的主要傾向是什么或大多數意見是什么,統計上稱此為集中趨勢;一致性是指專家在此傾向性意見分散到什么程度,統計上稱為離散趨勢。專家的傾向性意見常被作為主要參考依據,而一致性程度則表示這一傾向性意見參考價值的大小或其權威程度的大小。

3.綜合風險分析

綜合風險分析的基本步驟如下:①組織頭腦風暴專家小組,這個小組可以通過網絡進行意見交換,而專家的思想都是根據自己的專業背景及經驗對事件的分析而得出的風險因素。②對頭腦風暴專家小組提出的思想進行組合及分類,歸結為一組具有特殊形式的明確問題,然后通過德爾菲專家小組,對以上問題進行評估,并對這些信息進行反饋,利用德爾菲方法使意見收斂,得出確切的風險因素及其可能的概率分布。應該注意的問題是,德爾菲專家小組的成員比頭腦風暴專家小組成員應具有更深的專業知識和實踐背景。③不斷反復利用德爾菲方法來預測企業未來狀態,以形成眾多遠景,向決策人員提供某種未來商機最可能發生的、最好的和最壞的前景,并詳細地給出這三種情況下可能發生的概率和風險,供決策時參考。綜合分析方法可以完成風險分析的主要工作,防止風險分析只圍繞分析者目前的價值觀和信息水平進行。

4.模型評估

通過建立數學模型,運用概率論和數理統計的方法對風險進行定量評估,比如對某特定風險事件發生的概率進行估算,對該風險事件發生后可能造成的損失值進行估算。模型評估的結果雖較定性方法要精確一些,但對所需樣本數量及其質量均有一定要求,而未來事件本身又具不確定性,因此,該法和定性方法相結合運用效果會更好。

四、非技術風險的技術防范策略

1.攻擊發生前的防范

(1)防火墻技術。防火墻是設置在被保護網絡和外部網絡之間的一道屏障,以防止發生不可預測的、潛在破壞性的侵入。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。防火墻可通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況,以此來實現網絡的安全保護。它可以實現保護脆弱的服務、控制對系統的訪問、集中的安全管理、增強的保密性、記錄和統計網絡利用數據以及非法使用數據[13]。防火墻提供了制定和執行網絡安全策略的手段。除了安全作用,防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN。通過PN,將企業在地域上分布在全世界各地的LAV或專用子網有機地聯成一個整體。不僅省去了專用通信線路,而且為信息共享提供了技術保障。

(2)信息加密技術。數據加密技術是網絡中最基本的安全技術,主要是通過對網絡中傳輸的信息進行數據加密來保障其安全性,這是一種主動安全防御策略,用很小的代價即可為信息提供相當大的安全保護。經過加密后,攻擊者無法理解一個適當加密的數據包。一個采用適當密鑰進行加密的數據包,用不適當密鑰將不可能解密成為任何可理解的東西。這極大地限制了攻擊者注入虛假報文的能力。

(3)認證技術。電子商務的認證是保證電子商務安全的必要措施之一。所謂認證,就是通過認證中心對數字證書進行識別。網絡的虛擬性使得要保證每個參與者都能被無誤地識別,就必須使用身份認證技術。身份認證技術包括數字證書、數字簽名、數字時間戳、信息摘要等多種技術。這些技術的采用,就可以在電子商務中建立起信任關系[14]。隨著科學技術的發展,身份認證技術也會不斷完善。認證分為實體認證和信息認證,這里的實體是指個人、客戶程序或服務程序等參與通信的實體。實體認證是對這些參與通信實體的身份認證。對用戶身份的認證,密碼是最常用的,但由于許多用戶采用了很容易被破解的密碼,使得該方法經常失效。信息認證是對信息體進行認證,以決定該信息的合法性。信息認證發生在信息接收者收到信息后,使用相關技術對信息進行認證,以確認信息的發送者是誰,信息在傳遞過程中是否被篡改等。

(4)安全協議。安全協議是指國際組織為保證Internet運行的安全,相繼制定的一些安全規范。目前國際上通行的安全協議主要有安全套接層協議(SSL),安全的超文本傳輸協議(S-HTTP)、安全電子交易規范(SET)等。

(5)漏洞掃描技術。漏洞掃描技術是檢測遠程或本地系統安全脆弱性的一種安全技術,通過與目標主機TCP/IP端口建立連接并請求某些服務(如TELNET/FTP等),記錄目標主機的應答,搜集目標主機相關信息(如匿名用戶是否可以登錄等),從而發現目標主機某些內在的安全弱點,漏洞掃描技術的重要性在于把極為繁瑣的安全檢測,通過程序來自動完成,不僅可以減少管理者的工作,而且縮短了檢測時間,使問題發現得更快。當然,也可以認為掃描技術是一種網絡安全性評估技術。一般而言,掃描技術可以快速、深入地對網絡或目標主機進行評估。漏洞掃描是對系統脆弱性的分析評估,能夠檢查、分析網絡范圍內的設備、網絡服務、操作系統、數據庫系統等系統的安全性,從而為提高網絡安全的等級提供決策的支持。系統管理員利用漏洞掃描技術對局域網絡、Web站點、主機操作系統、系統服務以及防火墻系統的安全漏洞進行掃描,可以了解在運行的網絡系統中存在的不安全的網絡服務,在操作系統上存在的可能導致黑客攻擊的安全漏洞,還可以檢測主機系統中是否被安裝了竊聽程序,防火墻系統是否存在安全漏洞和配置錯誤等等。網絡管理員可以利用安全掃描軟件這把雙刃劍,及時發現網絡漏洞并在網絡攻擊者掃描和利用之前予以修補,從而提高網絡的安全性。

2.攻擊過程中的防范

(1)入侵取證技術。它是指利用計算機軟硬件技術,按照符合法律法規的方式,對計算機網絡入侵、破壞、欺詐、攻擊等犯罪行為進行識別、保存、分析和提交數字證據的過程。其中一個關鍵環節類似于飛機上的黑匣子,它將記錄所有網絡上發生的入侵事件,有了入侵取證技術,我們便可以根據記錄信息對入侵事實予以確認并解釋入侵過程,據此找到入侵者或入侵機器,從而對入侵事件起到證據保存、協助追查的作用,這也對黑客的攻擊行為起到極大的震懾作用。

(2)網絡陷阱技術。它通過提供虛假信息迫使攻擊者攻擊“陷阱機”,既浪費了攻擊者的時間,減弱了其后續攻擊力量,又可獲得攻擊者的攻擊手法和動機等相關信息,便于我們及時采取防范措施,從而保護真正的服務器的安全,提高網絡的安全防護性能。它包括:偽裝技術、誘騙技術、引入技術、信息控制技術、數據捕獲技術及數據統計和分析技術等。

(3)入侵檢測技術。入侵檢測技術是繼“防火墻”、“數據加密”等傳統安全保護措施后新一代的安全保障技術。它可以對計算機和網絡資源上的任何惡意使用行為進行識別和響應,不僅可以檢測來自外部的入侵行為,同時也可以監督內部用戶的未授權活動。[15]入侵檢測技術可以從各種各樣的系統和網絡資源中采集信息(系統運行狀態、網絡流經的信息等),并對這些信息進行分析和判斷,及時發現入侵和異常的信號,為做出響應贏得寶貴時間,必要時還可直接對攻擊行為做出響應,將攻擊行為帶來的破壞和影響降至最低。其主要技術有:數據收集技術、攻擊檢測技術、響應技術。

(4)自動恢復技術。自動恢復技術針對服務器上的關鍵文件和信息進行實時地一致性檢查,一旦發現文件或信息的內容、時間等被非法修改就及時報警,并在極短的時間內進行恢復,其主要技術包括:備份技術、冗余技術、恢復技術、遠程控制技術。

3.攻擊后的應對

我們可以利用防火墻、入侵檢測系統等技術手段對所有錯誤操作的危險動作和蓄意攻擊行為保留詳盡的記錄,而且記錄在一臺專用的安全主機上,這樣可以在攻擊后通過這些記錄來分析黑客的攻擊方式,彌補系統漏洞,防止再次遭受攻擊,并可進行黑客追蹤和查找責任人。

同時,我們也看到,建立在電子商務交易主體受攻擊視角的電子商務非技術風險所伴隨的網絡攻防作為伴隨網絡信息化發展的一對矛盾體,在當前乃至今后都將繼續作為網絡信息化發展的主旋律而存在。而從紛亂復雜的網絡攻擊中我們也可以循跡摸索出各種網絡攻擊的特點,有的放矢地研制各種防護方法或工具。更重要的是,實踐證明,網絡安全和風險防范實際上是三分技術、七分管理。加強管理是保證網絡安全的根本指導思想,而實現管理方式的一些技術方法將用以保障網絡安全。這除了要不斷總結攻擊方法,填補系統漏洞外,還需要加強網絡資源和操作人員的管理,不斷摸索出新的管理方式、方法。這是過去、現在乃至未來對抗網絡攻擊、提高網絡安全、減少電子商務非技術風險的根本途徑。在研制新防護技術的同時,我們更需要查漏補缺,加強各種管理方式和正負反饋機制,從源頭上杜絕網絡安全隱患,提高電子商務非技術風險的防范能力,同時借助現有的防護措施,提高網絡的安全性。