电子商务交易风险及对策

电子商务交易风险及对策

1 引言

随着互联网的迅速发展，电子商务的应用和推广极大地改变了人们的工作和生活方式，带来了无限的商机。然而，电子商务发展所依赖的平台——互联网充满了巨大、复杂的安全风险。黑客的攻击、病毒的扩散等都使得电子商务业务很难安全顺利地开展；此外，电子商务的发展还面临着严峻的内部风险，电子商务企业内部对安全问题的忽视和安全意识的淡薄，高层领导对电子商务的运作和安全管理重视程度不足，使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此，在考察电子商务运行环境、提供电子商务安全解决方案的同时，有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制的办法。

电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡量、分析，并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。

2 电子商务面临的安全风险

由于网络的复杂性和脆弱性，以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说，电子商务普遍存在着以下几个安全风险：

1）信息的截获和窃取：这是指电子商务相关用户或外来者未经授权通过键信中各种技术手段截获和窃取他人的文电内容以获取商业机密。

2）信息的篡改：网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或插入，并发往目的地，从而达到破坏信息完整性的目的。

3）拒绝服务：拒绝服务是指在一定时间内，网络系统或服务器服务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的破坏。

4）系统资源失窃问题：在网络系统环境中，系统资源失窃是常见的安全威胁。

5）信息的假冒：信息的假冒是指当攻击者掌握了网络信息数据规律或解密了商务信息后，可以假冒合法用户或假冒信息来欺骗其他用户。主要表现形式有假冒客户进行非法交易，伪造电子邮件等。

6）交易的抵赖：交易抵赖包括发信者事后否认曾经发送过某条信息；买家做了定单后不承认；卖家卖出的商品因价格差而不承认原先的交易等。

3 风险管理规则

针对电子商务面临的各种安全风险，电子商务企业不能被动、消极地应付，而应该主动采取措施维护电子商务系统的安全，并监控新的威胁和漏洞。因此，需要制定完整高效的电子商务安全风险管理规则。

一般来说，风险管理规则的制定过程包括评估、开发和实施以及运行三个阶段。

（1）评估阶段：主要任务是全面评估电子商务的安全现状、要保护的信息、各种资产等进行风险识别和分析。

（2）开发和实施阶段：任务包括风险补救措施的开发、风险补救措施的测试和风险知识的学习。

（3）运行阶段：主要任务包括在新的安全风险管理规则下评估新的安全风险，这个过程实际上是变更管理的过程，也是执行安全配置管理的过程。

4 风险管理步骤

风险管理是识别风险、分析风险并制定风险管理计划的过程。电子商务安全风险的管理和控制方法包括风险识别、风险分析、风险控制以及风险监控等四个方面。

（1）风险识别：电子商务系统的安全要求是通过对风险的系统评估而确认的。为了有效管理电子商务安全风险，识别安全风险是风险管理的第一步。

（2）风险分析：风险分析是运用分析、比较、评估等各种定性、定量的方法，确定电子商务安全各风险要素的重要性，对风险排序并评估其对电子商务系统各方面的可能后果，从而使电子商务系统项目实施人员可以将主要精力放在对付为数不多的重要安全风险上，使电子商务系统的整体风险得到有效的控制。

（3）风险控制：风险控制就是选择和运用一定的风险控制手段，以保障风险降到一个可以接受的水平。风险控制是风险管理中最重要的一个环节，是决定风险管理成败的关键因素。

（4）风险监控：风险监控是对新的或已更改的对策进行稳定性测试和部署的过程。

5 风险管理对策

由于电子商务安全的重要性，部署一个完整有效的电子商务安全风险管理对策显得十分迫切。制定电子商务安全风险管理对策目的在于消除潜在的威胁和安全漏洞，从而降低电子商务系统环境所面临的风险。

目前的电子商务安全风险管理对策中，较为常用的是纵深防御战略，所谓纵深防御战略，就是深层安全和多层安全。通过部署多层安全保护，可以确保当其中一层遭到破坏时，其它层仍能提供保护电子商务系统资源所需的安全。

6 结论

风险管理没有固定的规则，对于电子商务安全风险管理来说，首先是扫描和检测电子商务系统的内外部环境，检查系统的脆弱性和薄弱环节，及时打上补丁和追加设备，以便当风险产生时尽可能地减少损失；其次是对电子商务安全风险进行充分地分析，然后制定相应的规划和措施，并在其实施的每个阶段进行监控和跟踪；最后是根据环境的变化随时调整风险管理措施，制定完备的灾难恢复计划。