不安全系统中的商务风险与管理

不平安系统中的商务风险与管理0301☆了解不平安网络和企业内部网络相关的风险☆掌握商业交易过程中数据传输风险和风险控制手段☆掌握风险管理模式和顺序过程☆理解智能代理与电子商务的关系及其影响本章教学目标本章关键术语☆不平安网络☆风险管理模式☆第三方保证☆智能代理03011与不平安通信网络相关的风险本节讲述接入不平安网络，尤其是Internet从事一系列商务〔如：外部电子邮件、内部地理上相分隔的部门间的电子邮件、市场营销、电子销售和采购系统〕所面临的风险。03011.1与不平安通信网络相关的风险虚假的或恶意的网站窃取访问者的身份证信息与口令、窃取信用卡信息、偷窥访问者的硬盘或从硬盘中上载文件注册、虚假商业活动、“虫子〞从销售代理及Internet效劳商〔ISP〕处窃取用户数据信用卡信息保存在销售代理或ISP处信用卡信息失窃隐私与cookies的使用隐私权组织的反对用户首次访问网站，Cookies文件建立，分配用户身份号码，提高了网站访问的效率Cookies被营销公司利用03011.2销售代理所面临的风险销售代理与消费者同样都面临电子商务风险客户假冒假冒他人订购免费效劳或商品收货拒付拒绝效劳DoS袭击拒绝效劳袭击用于破坏、关闭或削弱某电脑或网络资源难以防范、追查SYN淹没数据的失窃03012与企业内部网相关的风险对于许多大型企业而言，公司企业内部网的维护与平安已经变得像一只难驯的野兽一般棘手。在一些大型企业中，单是能够及时了解企业内部网的数目及其确切位置就是一个不小的难题。内部黑客的威胁03012.1离职员工的破坏活动离职员工真会对以前的雇主及其电脑系统进行报复性活动吗？1998年的CSI/FBI调查显示，89%的公司认为心怀不满的员工会进行这类袭击。03012.2在职员工的威胁在职员工也会给企业的电脑系统造成严重破坏。嗅探器嗅探－－企业内部网信息〔消息、文件、用户身份、口令〕如果由一条共享渠道传输，就存在着被另一个电脑站点截取的可能数据下载内部数据资料共享电子邮件假冒社交手段电话、短信诱骗03013贸易伙伴间商业交易数据传输中的风险3.1企业内部网、企业外部网及互联网之间的关系企业外部网是从事合作业务的贸易伙伴之间，包括供给商、客户、流通效劳商及任何其他商家，利用Internet技术连接在一起的集团网络。企业外部网与互联网的区别何在？为这个问题做一个清楚的答案并不容易。企业外部网可以使用互联网的路径与互联网效劳供给商〔ISP〕传送数据。互联网效劳供给商就是通过提供互联网接入效劳而赢利的公司。03013.2数据截取在经过Internet的数据传输问题上，无论是在形成企业外部网连接的两个公司之间，还是在个体用户与网上销售代理或效劳商之间，数据截获都是一个很大的顾虑。图6-4显示了公司通过互联网传送数据所面临的风险。图64通过互联网传送的信息所面临的风险03013.3受保密措施维护的档案文件、主文件与参考数据所面临的风险假设一名黑客闯入了系统，他都能造成什么危害呢？最为可能的危害是：◆毁坏数据——恶意的作恶者会删除重要交易或主文件数据，意图是破坏公司的运营。◆改动数据——恶意的作恶者会改动数据。◆未经授权使用数据——作恶者会利用数据赢得对其竞争对手的主动。◆改动应用程序——作恶者会改动一个程序，从而导致它的错误运算。03014风险管理模式风险本身并不是一个坏事；风险是开展所不可或缺的因素，而失败往往又是增长知识的重要因素。但我们必须学会在风险潜在的负面影响与其相关机遇所带来的潜在效益之间把握好一个平衡。用来减少损失或伤害可能性的方法就是人们所称的风险管理。4.1风险管理模式图6-5描述了一个风险管理模式〔riskmanagementparadigm〕。该模式是一个连续的过程，它的设计是基于这样一种认识，即风险管理是一个连续不断的过程。图5.风险管理模式03014.2电子商务风险类型电子商务是新的商业模式，也就有新商业的特征。作为新的商业模式，其风险类型有：1、完整性风险〔1〕用户界面〔userinterface〕〔2〕处理〔processing〕〔3〕错误处理〔errorproccssing〕〔4〕界面〔interface〕〔5〕变化处理〔changemanagement〕〔6〕数据〔data〕〔7〕接入风险业务流程〔businessprocess〕应用软件〔application〕数据和数据管理〔dataandmanagement〕流程的环境〔processingenvironment〕网络〔network〕硬件设备〔physical〕03012、根底设施风险根底设施风险〔infrastructurerisk〕指企业不具备完整的信息技术根底设施而造成的风险。根底设施风险有以下内容：◆组织方案〔organizationplanning〕◆应用系统的定义和开发〔applicationsystemsdefinitionanddeployment〕◆逻辑平安和平安管理〔logicalsecurityandsecurityadministration〕◆计算机和网络操作〔computerandnetworkoperations〕◆数据和数据库管理〔dataanddatabasemanagement〕◆核心业务数据恢复〔businessdatacenterrecovery〕03013、

获得性风险

获得性风险〔availabilityrisk〕是指企业在获得数据时的风险，如破坏者经常利用邮件轰炸来阻碍效劳，或者对效劳系统提出虚假请求，这给网络用户提供效劳带来了一种危险。◆通过事先对行为的监督和对系统问题的解决，能够防止此类的风险。◆获得性风险与系统的短期中断相关联◆获得性风险与信息处理过程长时间中断也有关联，其重点是诸如备份与应急方案等控制手段。4、其他与商务相关的风险◆正确性风险〔validityrisk〕◆效率风险〔efficiencyrisk〕◆周期性风险〔cycletimerisk〕◆报废风险〔obsolescencerisk〕◆业务中断风险〔businessinterruptionrisk〕◆产品失败风险〔productfailrisk〕03014.3内部控制体系1、控制环境控制环境包括以下因素：◆品行、职业道德和能力◆董事会的指导及关注程度◆管理层的管理哲学与经营风格◆权力和责任的分配◆人力资源政策和措施2、风险评估风险和风险管理在其它地方已经讨论过。风险评估是设计、评价内部控制体系的一个重要组成局部。在企业层次上，需要考虑的风险：◆外部因素◆内部因素03013、控制行为

信息系统控制分为两组：综合控制〔generalcontrol〕和应用控制〔applicationcontrol〕，图6列举了这两组控制的内容。图6信息系统控制03014、信息与沟通良好的沟通渠道可以确保反响信息及时传达给相关主管人员，在平安评估各层次之间，方案与执行各阶段之间，都应该有沟通渠道。5、监控高效的监控应该是一个不断进行的过程而不是某一个孤立事件。如果发现问题，而指定人员由于工作繁忙无法做出反响，公司的平安政策与实际做法之间就会出现平安漏洞，在这种情况下，实行响应报告制度是十分必要的。响应报告制度要求有关人员记录下他们针对报告的情况所采取的具体措施。03014.4内部控制在风险管理中的作用除了传统的独立审计职能外，作为新的会计师职能，内部控制的作用范围正在日趋扩充到整个电子商务行业，尤其在信息系统。普华永道是能够提供这类效劳的代表，它有一个全球风险管理效劳〔GRMS〕分部，它可以提供以下效劳：

1、战略性风险管理2、金融风险管理3、运作与系统风险管理4、技术风险效劳5、具体部署效劳6、环境效劳03015控制风险与实施方案5.1控制支出缺乏与控制支出风险控制支出缺乏〔controlweakness〕一词用来形容实施控制的本钱小于预期利润的情况。控制支出风险〔controlrisk〕一词那么用来形容额外控制的预期利润可能不会超过实施和保持这些控制的本钱的情况。图7风险程度与相关费用03015.2灾害拯救方案即使是设计最好的系统也防止不了自然灾害。因此，所有的公司应该制定一个灾害拯救方案〔disasterrecoveryplan〕，其目的是为了在因不可预见的人或自然灾害发生而造成操作中断时能恢复操作。1、灾害拯救方案的目标完善的拯救应涉及以下目标：◆评估薄弱环节◆防止和减少风险◆设计出高效益-低本钱的解决方案◆最大限度地减少业务中断，保障业务的继续进行◆提供被选的互联网接入模式◆恢复丧失的数据◆提供灾害拯救的步骤◆训练雇员熟悉灾害拯救步骤2、备用第二地址效劳器的连续性是评判灾害拯救方案好坏的关键因素。如果公司原地址不能效劳，那么就需要第二地址来继续效劳。03016电子商务的第三方保证什么是电子商务的第三方？广义地说，是电子商务交易双方以外的部门或机构。第三方主要是完成商务背景的处理，起到商务运作中的标准制定、合法性确认、影响机制和纠纷解决等作用，以降低电子商务运作中双方交易的风险，这一些就是电子商务的第三方保证。1标准制定为了降低交易的风险，标准制定必须涵盖交易的全过程，主要包括：数据平安、商业政策、交易处理完整性、数据私密和网站标记等。2合法性确认必须在符合电子商务法律标准的框架下，还要包括：◆建立行业支持这种标准的认证；◆外部中介机构促使认证过程的合法化；◆公司的优良承诺保证交易执行，减少或杜绝“柠檬〞问题。03013影响机制影响机制能够刺激交易双方履行义务，以减少交易双方的风险。借助信息中间媒介〔informationintermediaries〕的效劳和网站标记，可以有效低刺激影响机制。信息中间媒介指的是专门从事于不同行业生产的产品和效劳的质量进行评估的公司或组织。这种组织对消费者交易双方有很大的促进作用。4解决纠纷解决纠纷的手段主要有直接谈判、诉诸法律或者采用武力等。解决纠纷的机构或组织，除了传统法律机构外，网上法庭、认证机构、网站标记组织等等，应该在各自的范围内，促使纠纷的解决。03017智能代理与电子商务7.1智能代理的定义智能代理是一种辅助使用者并代表其行动的软件。智能代理的工作原理就是让使用者向代理软件分派〔delegate〕他们本来可以自己执行的任务。代理可以像助理一样自动执行重复任务，记住你忘记的事情，智能化地总结复杂的数据，向你学习，甚至并向你建议。7.2智能代理的能力智能代理能够执行许多功能。吉尔伯特〔Gilbert，1997〕定义了三个主要标准：代理、智能、移动性。◆代理。能够进行自主行动的程度◆智能。能够理解其自身内部状态和外部环境的程度智能水平可以根据其反响、适应、采取主动的能力进一步分类。◆灵活性〔也称为代理的交际性〕。代理的灵活性是指软件在不同机器之间移动并在外部计算机上执行某些工作的能力。03017.3代理组合多个代理一起工作来达成多样的、然而是独立目标的系统和环境称为代理组合〔agentsociety〕。设计代理组合时头脑中至少要记住以下五个特点：◆开放性◆组合的复杂性◆界面技术◆协商◆内部控制方法7.4智能代理与电子商务智能代理可能通过很多途径影响电子商务。它们可能是：◆帮助实体更有效、更高效地找到他们的目标顾客，包括为了营销目的以及运送商品或信息效劳。◆帮助顾客更有效、更高效地搜集产品信息并进行价格和产品特点的比较；◆向顾客提供更用户化的效劳；◆帮助企业更有效、更高效地观察环境，以便与新的开展同步；◆为企业开发新的地区时常；◆提高电子交易谈判的速度和效率0301图10应用智能代理的电子商务03017.5代理的局限