中国电子商务风险管理研究

 一、引言
    电子商务的概念早在1994年就被提出来了，直到20世纪末，随着互联网的飞速发展，电子商务日益显示出了巨大的优越性。电子商务通常是指在全球各地广泛的商业贸易活动中，在因特网开放的网络环境下，基于浏览器或服务器应用方式，实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。电子商务涵盖的范围很广，一般可分为企业对企业(Business-to-Business)，或企业对消费者(Business-to-Consumer)两种。另外还有消费者对消费者（Consumer-to-Consumer)这种模式。
电子商务的推广和应用极大的改变了人们工作和生活的方式，带来了无限的商机。然而，电子商务发展所依托的平台—互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展；此外，电子商务的发展还面临着严峻的内部风险，企业内部对电子商务安全意识的淡薄和对安全问题的盲目，高层领导对电子商务的运作和安全管理重视程度的不足，使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此，在考察电子商务运行环境，提供电子商务安全解决方案的同时，有必要重点评估电子商务系统面临的风险问题以及对风险的有效管理及控制方法。
安全风险管理是开展电子商务的基础，中航油北京陆地石油公司1994年就建立了IC卡加油管理系统，决策时面临的首要问题就是安全风险，分析、识别、控制风险是必需进行和说清楚的工作，当时定的原则是风险管理问题不解决IC卡加油管理系统再方便也不能上。电子商务安全风险管理是对电子商务系统的安全风险进行识别、衡量、分析，并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。
二、电子商务面临的安全风险
由于网络的复杂性和脆弱性，以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说，电子商务普遍存在着以下几个安全风险：
1.系统层的漏洞
电子商务系统所使用的硬件设备、软件操作系统及网络整体结构中的安全性漏洞将直接构成电子商务中的安全性隐患。如：我公司IC卡加油管理系统运行所依靠的windows XP操作系统，微软不断为漏洞打补丁。
2.存储层的漏洞
无论多么稳定的系统,意外情况总是不可避免的,意外情况造成的数据破坏给电子商务系统带来安全隐患。我公司IC卡加油管理系统采取了数据备份方式来减少数据破坏、丢失的风险。
3.信息的截获和窃取
这是指电子商务相关用户或外来者未经授权通过各种技术手段截获和窃取他人的文电内容以获取商业机密。
4.信息的篡改
网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或插入，并发往目的地，从而达到破坏信息完整性的目的。
5.跨平台数据交换引起的数据丢失
如果平台之间的兼容性存在问题,有可能导致电子商务系统中数据的丢失。
6.拒绝服务
拒绝服务是指在一定时间内,网络系统或服务器服务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的人为破坏。
7.系统资源失窃问题
在网络系统环境中，系统资源失窃是常见的安全威胁。
8. 应用层信息的假冒
信息的假冒是指攻击者掌握了网络信息数据规律或解密了商务信息后，假冒合法用户或假冒信息来欺骗其它用户。主要表现形式有假冒客户进行非法交易，伪造电子邮件等。对IC卡加油管理系统，经常有人问IC卡是否会被作假。
9.交易的抵赖
交易抵赖包括发信者事后否认曾经发送过某条信息；买家做了定单后不承认；卖家卖出的商品因价格差而不承认原先的交易等。
三、风险管理规则
针对电子商务面临的各种安全风险，电子商务企业不能被动、消极地应付，而应该主动采取措施维护电子商务系统的安全，并监视新的威胁和漏洞。因此，这就需要制定完整高效的电子商务安全风险管理规则。
一般来说，风险管理规则的制定过程有评估、开发、实施及运行三个阶段。
1.评估阶段
该阶段的主要任务是对电子商务的安全现状、要保护的信息、各种资产等进行充分的评估以及一些基本的安全风险识别和分析。
对电子商务安全现状的评估是制定风险管理规则的基础。
对信息和资产的评估是指对可能遭受损失的相关信息和资产进行价值的评估，以便确定相适应的风险管理规则，从而避免投入成本和要保护的信息和资产的严重不匹配。
安全风险识别要求尽可能地发现潜在的安全风险，应收集有关各种威胁、漏洞、开发和对策的信息。
安全风险分析是确定风险，收集信息，对可能造成的损失进行评价以估计风险的级别，以便做出明智的决策，从而采取措施来规避安全风险。
2.开发和实施阶段
该阶段的任务包括风险补救措施开发、风险补救措施测试和风险知识学习。
风险补救措施开发利用评估阶段的成果来建立一个新的安全管理策略，其中涉及配置管理、修补程序管理、系统监视与审核等等。
在完成对风险补救措施的开发后，即进行安全风险补救措施的测试，在测试过程中，将按照安全风险的控制效果来评估对策的有效性。
3.运行阶段
运行阶段的主要任务包括在新的安全风险管理规则下评估新的安全风险。这个过程实际上是变更管理的过程，也是执行安全配置管理的过程。
运行阶段的第二个任务是对新的或已更改的对策进行稳定性测试和部署。这个过程由系统管理、安全管理和网络管理小组来共同实施。
中航油北京陆地石油公司IC卡加油管理系统，同样经历了评估、开发、运行过程，这个过程是运营商和开发商联合开展的，系统要适应运营商的要求，完善系统功能、性能，有一些风险控制措施是根据用户要求定制的。
评估、开发、运行是一个动态过程。系统运行后，要根据技术的发展，不断进行评估，补充完善系统，甚至随着技术的发展，更新换代。中航油北京陆地石油公司IC卡加油管理系统2007年进行了更新升级，进一步提高了稳定性、安全性、可靠性。