电子商务安全第8章_开_放系统中的商务风险教材教学课件.ppt

* * 第8章 开放系统中的商务风险与管理 第8章 开放系统中的商务风险与管理 任务驱动 互联网与电子商务不仅为各种规模的公司提供无尽的前景与商机，也为消费者提供便利。而这些好处的获得，无论对商家还是消费者，都伴随着一定的风险。通过本章学习，学生应该能够了解与开放通信网络相关的风险，熟悉与企业内部网相关以及贸易伙伴间交易数据传输中的风险，掌握风险管理与风险控制的基本内容，了解电子商务第三方保证的标准制定及影响机制，熟悉企业信息化安全的基本策略。 第8章 开放系统中的商务风险与管理 本章内容 8.1与开放通信网络相关的风险 8.2与企业内部网相关的风险 8.3贸易伙伴间商业交易数据传输中的风险 8.4风险管理 8.5控制风险与实施计划 8.6电子商务的第三方保证 8.7企业信息化安全 8.1 与开放通信网络相关的风险 8.1.1 消费者所面临的风险 1．虚假的或恶意的网站 2．从销售代理及Internet服务商(ISP)处窃取用户数据 3．隐私与Cookies的使用 8.1.2 销售代理所面临的风险 1．客户假冒 ⑴黑客从这种闹剧的成功中得到自我满足。 ⑵打击那些社会政策与黑客个人观点不相符的公司。 ⑶损害竞争对手或前雇主的公司利润及客户关系。 2．拒绝服务攻击 3．数据的失窃 8.2 与企业内部网相关的风险 针对企业内部网安全问题，人们普遍认为机构外部人员构成的威胁比内部的大；事实上，有关调查表明，在那些能够确定其侵入源的侵袭事件中，在数量上内部人所为的要多于外部人员。这种认为外部作恶者更为普遍的误解可能归结于媒体对外部黑客作恶的大量报道。许多内部作恶的事件都被掩盖起来，一些大型的、公开的、贸易的机构不愿起诉它们所抓获的、进行恶意的、破坏性的电脑活动的内部知情人，这些大公司害怕这样做会引起公众对其内部管理水平的负面反应。内部黑客非常麻烦，他们能够涉足的信息量可能非常巨大，这就为其在设计作恶计划时提供更多的选择。 8.2 与企业内部网相关的风险 8.2.1离职员工的破坏活动 8.2.2在职员工的威胁 1．嗅探器 2．数据下载 3．电子邮件假冒 4．社交伎俩 8.3贸易伙伴间商业交易数据传输中的风险 8.3.1企业内部网、企业外部网及互联网之间的关系 企业外部网是从事合作业务的贸易伙伴之间，包括供应商、客户、流通服务商及任何其他商家，利用Internet技术连接在一起的集团网络。 企业外部网可以使用互联网的路径与互联网服务供应商(ISP)传送数据。 互联网服务供应商就是通过提供互联网接入服务而赢利的公司。 8.4风险管理 2．基础设施风险 ⑴组织计划 ⑵应用系统的定义和开发 ⑶逻辑安全和安全管理 ⑷计算机和网络操作 ⑸数据和数据库管理 ⑹核心业务数据恢复 8.4风险管理 3．获得性风险 ⑴通过事先对行为的监督和对系统问题的解决，能够避免此类的风险。如硬盘的存储能力对信息系统来说是很重要的，可以不断地予以监督，确保它足以支持企业商务流程的运作。 ⑵获得性风险与系统的短期中断相关联。对此，可运用备份和恢复技术使中断影响的范围最小化。例如，大多数企业已经认识到每天至少一次对关键数据进行备份的重要性，这样在处理过程中丢失数据的影响能被控制在上一次备份以后的数据的范围内。 ⑶获得性风险与信息处理过程长时间中断也有关联，其重点是诸如备份与应急计划等控制手段。 8.4风险管理 4．其他与商务相关的风险 ⑴正确性风险 ⑵效率风险 ⑶周期性风险 ⑷报废风险 ⑸业务中断风险 ⑹产品失败风险 8.4风险管理 8.4.2内部控制体系 1．控制环境 ⑴品行、职业道德和能力。 ⑵董事会的指导及关注程度。 ⑶管理层的管理哲学与经营风格。 ⑷权力和责任的分配。 ⑸人力资源政策和措施。 8.4风险管理 2．风险评估 ⑴外部因素。 ⑵内部因素 3．控制行为 4．信息与沟通 5．监控 8.4风险管理 8.4.3 内部控制在风险管理中的作用 1．战略性风险管理 2．金融风险管理 3．运作与系统风险管理 4．技术风险服务 5．具体部署服务 6．环境服务 8.5控制风险与实施计划 8.5.1支出不足与控制支出风险 1．安全漏洞 2．文化管理 ①错误的判断。 ②无意的失误。 ③欺诈行为。 ④病毒破坏。 3．过分严格的控制 ①运作效率低下。 ②灵活度不足。 ③控制支出过大。 ④负面文化气氛。 8.5控制风险与实施计划 良好的风险管理控制的一些特点。 ⑴多重的——将被动控制由主动控制、正式控制与非正式控制结合在一起(如，口令加审查、政策加共识)。 ⑵一致的——如：高层管理人员充当遵守政策的表率；言辞禁止外加防止违禁行为的实际措施。 ⑶表达明确的书面政策——得到广泛传达和实施，这样的书面政策在追究法律责任时也是非常必要的。 ⑷公平的——政策