不安全系統(tǒng)中的商務(wù)風(fēng)險(xiǎn)與管理

不平安系統(tǒng)中的商務(wù)風(fēng)險(xiǎn)與管理0301☆了解不平安網(wǎng)絡(luò)和企業(yè)內(nèi)部網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn)☆掌握商業(yè)交易過(guò)程中數(shù)據(jù)傳輸風(fēng)險(xiǎn)和風(fēng)險(xiǎn)控制手段☆掌握風(fēng)險(xiǎn)管理模式和順序過(guò)程☆理解智能代理與電子商務(wù)的關(guān)系及其影響本章教學(xué)目標(biāo)本章關(guān)鍵術(shù)語(yǔ)☆不平安網(wǎng)絡(luò)☆風(fēng)險(xiǎn)管理模式☆第三方保證☆智能代理03011與不平安通信網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn)本節(jié)講述接入不平安網(wǎng)絡(luò)，尤其是Internet從事一系列商務(wù)〔如：外部電子郵件、內(nèi)部地理上相分隔的部門間的電子郵件、市場(chǎng)營(yíng)銷、電子銷售和采購(gòu)系統(tǒng)〕所面臨的風(fēng)險(xiǎn)。03011.1與不平安通信網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn)虛假的或惡意的網(wǎng)站竊取訪問(wèn)者的身份證信息與口令、竊取信用卡信息、偷窺訪問(wèn)者的硬盤或從硬盤中上載文件注冊(cè)、虛假商業(yè)活動(dòng)、“蟲(chóng)子〞從銷售代理及Internet效勞商〔ISP〕處竊取用戶數(shù)據(jù)信用卡信息保存在銷售代理或ISP處信用卡信息失竊隱私與cookies的使用隱私權(quán)組織的反對(duì)用戶首次訪問(wèn)網(wǎng)站，Cookies文件建立，分配用戶身份號(hào)碼，提高了網(wǎng)站訪問(wèn)的效率Cookies被營(yíng)銷公司利用03011.2銷售代理所面臨的風(fēng)險(xiǎn)銷售代理與消費(fèi)者同樣都面臨電子商務(wù)風(fēng)險(xiǎn)客戶假冒假冒他人訂購(gòu)免費(fèi)效勞或商品收貨拒付拒絕效勞DoS襲擊拒絕效勞襲擊用于破壞、關(guān)閉或削弱某電腦或網(wǎng)絡(luò)資源難以防范、追查SYN淹沒(méi)數(shù)據(jù)的失竊03012與企業(yè)內(nèi)部網(wǎng)相關(guān)的風(fēng)險(xiǎn)對(duì)于許多大型企業(yè)而言，公司企業(yè)內(nèi)部網(wǎng)的維護(hù)與平安已經(jīng)變得像一只難馴的野獸一般棘手。在一些大型企業(yè)中，單是能夠及時(shí)了解企業(yè)內(nèi)部網(wǎng)的數(shù)目及其確切位置就是一個(gè)不小的難題。內(nèi)部黑客的威脅03012.1離職員工的破壞活動(dòng)離職員工真會(huì)對(duì)以前的雇主及其電腦系統(tǒng)進(jìn)行報(bào)復(fù)性活動(dòng)嗎？1998年的CSI/FBI調(diào)查顯示，89%的公司認(rèn)為心懷不滿的員工會(huì)進(jìn)行這類襲擊。03012.2在職員工的威脅在職員工也會(huì)給企業(yè)的電腦系統(tǒng)造成嚴(yán)重破壞。嗅探器嗅探－－企業(yè)內(nèi)部網(wǎng)信息〔消息、文件、用戶身份、口令〕如果由一條共享渠道傳輸，就存在著被另一個(gè)電腦站點(diǎn)截取的可能數(shù)據(jù)下載內(nèi)部數(shù)據(jù)資料共享電子郵件假冒社交手段電話、短信誘騙03013貿(mào)易伙伴間商業(yè)交易數(shù)據(jù)傳輸中的風(fēng)險(xiǎn)3.1企業(yè)內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)及互聯(lián)網(wǎng)之間的關(guān)系企業(yè)外部網(wǎng)是從事合作業(yè)務(wù)的貿(mào)易伙伴之間，包括供給商、客戶、流通效勞商及任何其他商家，利用Internet技術(shù)連接在一起的集團(tuán)網(wǎng)絡(luò)。企業(yè)外部網(wǎng)與互聯(lián)網(wǎng)的區(qū)別何在？為這個(gè)問(wèn)題做一個(gè)清楚的答案并不容易。企業(yè)外部網(wǎng)可以使用互聯(lián)網(wǎng)的路徑與互聯(lián)網(wǎng)效勞供給商〔ISP〕傳送數(shù)據(jù)?；ヂ?lián)網(wǎng)效勞供給商就是通過(guò)提供互聯(lián)網(wǎng)接入效勞而贏利的公司。03013.2數(shù)據(jù)截取在經(jīng)過(guò)Internet的數(shù)據(jù)傳輸問(wèn)題上，無(wú)論是在形成企業(yè)外部網(wǎng)連接的兩個(gè)公司之間，還是在個(gè)體用戶與網(wǎng)上銷售代理或效勞商之間，數(shù)據(jù)截獲都是一個(gè)很大的顧慮。圖6-4顯示了公司通過(guò)互聯(lián)網(wǎng)傳送數(shù)據(jù)所面臨的風(fēng)險(xiǎn)。圖64通過(guò)互聯(lián)網(wǎng)傳送的信息所面臨的風(fēng)險(xiǎn)03013.3受保密措施維護(hù)的檔案文件、主文件與參考數(shù)據(jù)所面臨的風(fēng)險(xiǎn)假設(shè)一名黑客闖入了系統(tǒng)，他都能造成什么危害呢？最為可能的危害是：◆毀壞數(shù)據(jù)——惡意的作惡者會(huì)刪除重要交易或主文件數(shù)據(jù)，意圖是破壞公司的運(yùn)營(yíng)?！舾膭?dòng)數(shù)據(jù)——惡意的作惡者會(huì)改動(dòng)數(shù)據(jù)?！粑唇?jīng)授權(quán)使用數(shù)據(jù)——作惡者會(huì)利用數(shù)據(jù)贏得對(duì)其競(jìng)爭(zhēng)對(duì)手的主動(dòng)。◆改動(dòng)應(yīng)用程序——作惡者會(huì)改動(dòng)一個(gè)程序，從而導(dǎo)致它的錯(cuò)誤運(yùn)算。03014風(fēng)險(xiǎn)管理模式風(fēng)險(xiǎn)本身并不是一個(gè)壞事；風(fēng)險(xiǎn)是開(kāi)展所不可或缺的因素，而失敗往往又是增長(zhǎng)知識(shí)的重要因素。但我們必須學(xué)會(huì)在風(fēng)險(xiǎn)潛在的負(fù)面影響與其相關(guān)機(jī)遇所帶來(lái)的潛在效益之間把握好一個(gè)平衡。用來(lái)減少損失或傷害可能性的方法就是人們所稱的風(fēng)險(xiǎn)管理。4.1風(fēng)險(xiǎn)管理模式圖6-5描述了一個(gè)風(fēng)險(xiǎn)管理模式〔riskmanagementparadigm〕。該模式是一個(gè)連續(xù)的過(guò)程，它的設(shè)計(jì)是基于這樣一種認(rèn)識(shí)，即風(fēng)險(xiǎn)管理是一個(gè)連續(xù)不斷的過(guò)程。圖5.風(fēng)險(xiǎn)管理模式03014.2電子商務(wù)風(fēng)險(xiǎn)類型電子商務(wù)是新的商業(yè)模式，也就有新商業(yè)的特征。作為新的商業(yè)模式，其風(fēng)險(xiǎn)類型有：1、完整性風(fēng)險(xiǎn)〔1〕用戶界面〔userinterface〕〔2〕處理〔processing〕〔3〕錯(cuò)誤處理〔errorproccssing〕〔4〕界面〔interface〕〔5〕變化處理〔changemanagement〕〔6〕數(shù)據(jù)〔data〕〔7〕接入風(fēng)險(xiǎn)業(yè)務(wù)流程〔businessprocess〕應(yīng)用軟件〔application〕數(shù)據(jù)和數(shù)據(jù)管理〔dataandmanagement〕流程的環(huán)境〔processingenvironment〕網(wǎng)絡(luò)〔network〕硬件設(shè)備〔physical〕03012、根底設(shè)施風(fēng)險(xiǎn)根底設(shè)施風(fēng)險(xiǎn)〔infrastructurerisk〕指企業(yè)不具備完整的信息技術(shù)根底設(shè)施而造成的風(fēng)險(xiǎn)。根底設(shè)施風(fēng)險(xiǎn)有以下內(nèi)容：◆組織方案〔organizationplanning〕◆應(yīng)用系統(tǒng)的定義和開(kāi)發(fā)〔applicationsystemsdefinitionanddeployment〕◆邏輯平安和平安管理〔logicalsecurityandsecurityadministration〕◆計(jì)算機(jī)和網(wǎng)絡(luò)操作〔computerandnetworkoperations〕◆數(shù)據(jù)和數(shù)據(jù)庫(kù)管理〔dataanddatabasemanagement〕◆核心業(yè)務(wù)數(shù)據(jù)恢復(fù)〔businessdatacenterrecovery〕03013、

獲得性風(fēng)險(xiǎn)

獲得性風(fēng)險(xiǎn)〔availabilityrisk〕是指企業(yè)在獲得數(shù)據(jù)時(shí)的風(fēng)險(xiǎn)，如破壞者經(jīng)常利用郵件轟炸來(lái)阻礙效勞，或者對(duì)效勞系統(tǒng)提出虛假請(qǐng)求，這給網(wǎng)絡(luò)用戶提供效勞帶來(lái)了一種危險(xiǎn)?！敉ㄟ^(guò)事先對(duì)行為的監(jiān)督和對(duì)系統(tǒng)問(wèn)題的解決，能夠防止此類的風(fēng)險(xiǎn)?！臬@得性風(fēng)險(xiǎn)與系統(tǒng)的短期中斷相關(guān)聯(lián)◆獲得性風(fēng)險(xiǎn)與信息處理過(guò)程長(zhǎng)時(shí)間中斷也有關(guān)聯(lián)，其重點(diǎn)是諸如備份與應(yīng)急方案等控制手段。4、其他與商務(wù)相關(guān)的風(fēng)險(xiǎn)◆正確性風(fēng)險(xiǎn)〔validityrisk〕◆效率風(fēng)險(xiǎn)〔efficiencyrisk〕◆周期性風(fēng)險(xiǎn)〔cycletimerisk〕◆報(bào)廢風(fēng)險(xiǎn)〔obsolescencerisk〕◆業(yè)務(wù)中斷風(fēng)險(xiǎn)〔businessinterruptionrisk〕◆產(chǎn)品失敗風(fēng)險(xiǎn)〔productfailrisk〕03014.3內(nèi)部控制體系1、控制環(huán)境控制環(huán)境包括以下因素：◆品行、職業(yè)道德和能力◆董事會(huì)的指導(dǎo)及關(guān)注程度◆管理層的管理哲學(xué)與經(jīng)營(yíng)風(fēng)格◆權(quán)力和責(zé)任的分配◆人力資源政策和措施2、風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管理在其它地方已經(jīng)討論過(guò)。風(fēng)險(xiǎn)評(píng)估是設(shè)計(jì)、評(píng)價(jià)內(nèi)部控制體系的一個(gè)重要組成局部。在企業(yè)層次上，需要考慮的風(fēng)險(xiǎn)：◆外部因素◆內(nèi)部因素03013、控制行為

信息系統(tǒng)控制分為兩組：綜合控制〔generalcontrol〕和應(yīng)用控制〔applicationcontrol〕，圖6列舉了這兩組控制的內(nèi)容。圖6信息系統(tǒng)控制03014、信息與溝通良好的溝通渠道可以確保反響信息及時(shí)傳達(dá)給相關(guān)主管人員，在平安評(píng)估各層次之間，方案與執(zhí)行各階段之間，都應(yīng)該有溝通渠道。5、監(jiān)控高效的監(jiān)控應(yīng)該是一個(gè)不斷進(jìn)行的過(guò)程而不是某一個(gè)孤立事件。如果發(fā)現(xiàn)問(wèn)題，而指定人員由于工作繁忙無(wú)法做出反響，公司的平安政策與實(shí)際做法之間就會(huì)出現(xiàn)平安漏洞，在這種情況下，實(shí)行響應(yīng)報(bào)告制度是十分必要的。響應(yīng)報(bào)告制度要求有關(guān)人員記錄下他們針對(duì)報(bào)告的情況所采取的具體措施。03014.4內(nèi)部控制在風(fēng)險(xiǎn)管理中的作用除了傳統(tǒng)的獨(dú)立審計(jì)職能外，作為新的會(huì)計(jì)師職能，內(nèi)部控制的作用范圍正在日趨擴(kuò)充到整個(gè)電子商務(wù)行業(yè)，尤其在信息系統(tǒng)。普華永道是能夠提供這類效勞的代表，它有一個(gè)全球風(fēng)險(xiǎn)管理效勞〔GRMS〕分部，它可以提供以下效勞：

1、戰(zhàn)略性風(fēng)險(xiǎn)管理2、金融風(fēng)險(xiǎn)管理3、運(yùn)作與系統(tǒng)風(fēng)險(xiǎn)管理4、技術(shù)風(fēng)險(xiǎn)效勞5、具體部署效勞6、環(huán)境效勞03015控制風(fēng)險(xiǎn)與實(shí)施方案5.1控制支出缺乏與控制支出風(fēng)險(xiǎn)控制支出缺乏〔controlweakness〕一詞用來(lái)形容實(shí)施控制的本錢小于預(yù)期利潤(rùn)的情況?？刂浦С鲲L(fēng)險(xiǎn)〔controlrisk〕一詞那么用來(lái)形容額外控制的預(yù)期利潤(rùn)可能不會(huì)超過(guò)實(shí)施和保持這些控制的本錢的情況。圖7風(fēng)險(xiǎn)程度與相關(guān)費(fèi)用03015.2災(zāi)害拯救方案即使是設(shè)計(jì)最好的系統(tǒng)也防止不了自然災(zāi)害。因此，所有的公司應(yīng)該制定一個(gè)災(zāi)害拯救方案〔disasterrecoveryplan〕，其目的是為了在因不可預(yù)見(jiàn)的人或自然災(zāi)害發(fā)生而造成操作中斷時(shí)能恢復(fù)操作。1、災(zāi)害拯救方案的目標(biāo)完善的拯救應(yīng)涉及以下目標(biāo)：◆評(píng)估薄弱環(huán)節(jié)◆防止和減少風(fēng)險(xiǎn)◆設(shè)計(jì)出高效益-低本錢的解決方案◆最大限度地減少業(yè)務(wù)中斷，保障業(yè)務(wù)的繼續(xù)進(jìn)行◆提供被選的互聯(lián)網(wǎng)接入模式◆恢復(fù)喪失的數(shù)據(jù)◆提供災(zāi)害拯救的步驟◆訓(xùn)練雇員熟悉災(zāi)害拯救步驟2、備用第二地址效勞器的連續(xù)性是評(píng)判災(zāi)害拯救方案好壞的關(guān)鍵因素。如果公司原地址不能效勞，那么就需要第二地址來(lái)繼續(xù)效勞。03016電子商務(wù)的第三方保證什么是電子商務(wù)的第三方？廣義地說(shuō)，是電子商務(wù)交易雙方以外的部門或機(jī)構(gòu)。第三方主要是完成商務(wù)背景的處理，起到商務(wù)運(yùn)作中的標(biāo)準(zhǔn)制定、合法性確認(rèn)、影響機(jī)制和糾紛解決等作用，以降低電子商務(wù)運(yùn)作中雙方交易的風(fēng)險(xiǎn)，這一些就是電子商務(wù)的第三方保證。1標(biāo)準(zhǔn)制定為了降低交易的風(fēng)險(xiǎn)，標(biāo)準(zhǔn)制定必須涵蓋交易的全過(guò)程，主要包括：數(shù)據(jù)平安、商業(yè)政策、交易處理完整性、數(shù)據(jù)私密和網(wǎng)站標(biāo)記等。2合法性確認(rèn)必須在符合電子商務(wù)法律標(biāo)準(zhǔn)的框架下，還要包括：◆建立行業(yè)支持這種標(biāo)準(zhǔn)的認(rèn)證；◆外部中介機(jī)構(gòu)促使認(rèn)證過(guò)程的合法化；◆公司的優(yōu)良承諾保證交易執(zhí)行，減少或杜絕“檸檬〞問(wèn)題。03013影響機(jī)制影響機(jī)制能夠刺激交易雙方履行義務(wù)，以減少交易雙方的風(fēng)險(xiǎn)。借助信息中間媒介〔informationintermediaries〕的效勞和網(wǎng)站標(biāo)記，可以有效低刺激影響機(jī)制。信息中間媒介指的是專門從事于不同行業(yè)生產(chǎn)的產(chǎn)品和效勞的質(zhì)量進(jìn)行評(píng)估的公司或組織。這種組織對(duì)消費(fèi)者交易雙方有很大的促進(jìn)作用。4解決糾紛解決糾紛的手段主要有直接談判、訴諸法律或者采用武力等。解決糾紛的機(jī)構(gòu)或組織，除了傳統(tǒng)法律機(jī)構(gòu)外，網(wǎng)上法庭、認(rèn)證機(jī)構(gòu)、網(wǎng)站標(biāo)記組織等等，應(yīng)該在各自的范圍內(nèi)，促使糾紛的解決。03017智能代理與電子商務(wù)7.1智能代理的定義智能代理是一種輔助使用者并代表其行動(dòng)的軟件。智能代理的工作原理就是讓使用者向代理軟件分派〔delegate〕他們本來(lái)可以自己執(zhí)行的任務(wù)。代理可以像助理一樣自動(dòng)執(zhí)行重復(fù)任務(wù)，記住你忘記的事情，智能化地總結(jié)復(fù)雜的數(shù)據(jù)，向你學(xué)習(xí)，甚至并向你建議。7.2智能代理的能力智能代理能夠執(zhí)行許多功能。吉爾伯特〔Gilbert，1997〕定義了三個(gè)主要標(biāo)準(zhǔn)：代理、智能、移動(dòng)性?！舸?。能夠進(jìn)行自主行動(dòng)的程度◆智能。能夠理解其自身內(nèi)部狀態(tài)和外部環(huán)境的程度智能水平可以根據(jù)其反響、適應(yīng)、采取主動(dòng)的能力進(jìn)一步分類?！綮`活性〔也稱為代理的交際性〕。代理的靈活性是指軟件在不同機(jī)器之間移動(dòng)并在外部計(jì)算機(jī)上執(zhí)行某些工作的能力。03017.3代理組合多個(gè)代理一起工作來(lái)達(dá)成多樣的、然而是獨(dú)立目標(biāo)的系統(tǒng)和環(huán)境稱為代理組合〔agentsociety〕。設(shè)計(jì)代理組合時(shí)頭腦中至少要記住以下五個(gè)特點(diǎn)：◆開(kāi)放性◆組合的復(fù)雜性◆界面技術(shù)◆協(xié)商◆內(nèi)部控制方法7.4智能代理與電子商務(wù)智能代理可能通過(guò)很多途徑影響電子商務(wù)。它們可能是：◆幫助實(shí)體更有效、更高效地找到他們的目標(biāo)顧客，包括為了營(yíng)銷目的以及運(yùn)送商品或信息效勞?！魩椭櫩透行А⒏咝У厮鸭a(chǎn)品信息并進(jìn)行價(jià)格和產(chǎn)品特點(diǎn)的比較；◆向顧客提供更用戶化的效勞；◆幫助企業(yè)更有效、更高效地觀察環(huán)境，以便與新的開(kāi)展同步；◆為企業(yè)開(kāi)發(fā)新的地區(qū)時(shí)常；◆提高電子交易談判的速度和效率0301圖10應(yīng)用智能代理的電子商務(wù)03017.5代理的局限