不安全系統(tǒng)中的商務(wù)風(fēng)險(xiǎn)與管理(ppt)
不安全系統(tǒng)中的商務(wù)風(fēng)險(xiǎn)與管理

1 與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn)
本節(jié)講述接入不安全網(wǎng)絡(luò)，尤其是Internet從事一系列商務(wù)（如：外部電子郵件、內(nèi)部地理上相分隔的部門間的電子郵件、市場營銷、電子銷售和采購系統(tǒng)）所面臨的風(fēng)險(xiǎn)。
1.1 與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn)
虛假的或惡意的網(wǎng)站
竊取訪問者的身份證信息與口令、竊取信用卡信息、偷窺訪問者的硬盤或從硬盤中上載文件
注冊、虛假商業(yè)活動、“蟲子”
從銷售代理及Internet服務(wù)商（ISP）處竊取用戶數(shù)據(jù)
信用卡信息保存在銷售代理或ISP處
信用卡信息失竊
隱私與cookies的使用
隱私權(quán)組織的反對
用戶首次訪問網(wǎng)站，Cookies文件建立，分配用戶身份號碼，提高了網(wǎng)站訪問的效率
Cookies被營銷公司利用
1.2 銷售代理所面臨的風(fēng)險(xiǎn)
銷售代理與消費(fèi)者同樣都面臨電子商務(wù)風(fēng)險(xiǎn)
客戶假冒
假冒他人訂購免費(fèi)服務(wù)或商品
收貨拒付
拒絕服務(wù)DoS襲擊
拒絕服務(wù)襲擊用于破壞、關(guān)閉或削弱某電腦或網(wǎng)絡(luò)資源
難以防范、追查
SYN淹沒
數(shù)據(jù)的失竊
2 與企業(yè)內(nèi)部網(wǎng)相關(guān)的風(fēng)險(xiǎn)
對于許多大型企業(yè)而言，公司企業(yè)內(nèi)部網(wǎng)的維護(hù)與安全已經(jīng)變得像一只難馴的野獸一般棘手。在一些大型企業(yè)中，單是能夠及時(shí)了解企業(yè)內(nèi)部網(wǎng)的數(shù)目及其確切位置就是一個不小的難題。
內(nèi)部黑客的威脅
2.1 離職員工的破壞活動
離職員工真會對以前的雇主及其電腦系統(tǒng)進(jìn)行報(bào)復(fù)性活動嗎？ 1998年的CSI/FBI調(diào)查顯示，89%的公司認(rèn)為心懷不滿的員工會進(jìn)行這類襲擊。

2.2 在職員工的威脅
在職員工也會給企業(yè)的電腦系統(tǒng)造成嚴(yán)重破壞。
嗅探器
嗅探－－企業(yè)內(nèi)部網(wǎng)信息（消息、文件、用戶身份、口令）如果由一條共享渠道傳輸，就存在著被另一個電腦站點(diǎn)截取的可能
數(shù)據(jù)下載
內(nèi)部數(shù)據(jù)資料共享
電子郵件假冒
社交伎倆
電話、短信誘騙

3 貿(mào)易伙伴間商業(yè)交易數(shù)據(jù)傳輸中的風(fēng)險(xiǎn)
3.1 企業(yè)內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)及互聯(lián)網(wǎng)之間的關(guān)系
企業(yè)外部網(wǎng)是從事合作業(yè)務(wù)的貿(mào)易伙伴之間，包括供應(yīng)商、客戶、流通服務(wù)商及任何其他商家，利用Internet技術(shù)連接在一起的集團(tuán)網(wǎng)絡(luò)。企業(yè)外部網(wǎng)與互聯(lián)網(wǎng)的區(qū)別何在？為這個問題做一個清楚的答案并不容易。企業(yè)外部網(wǎng)可以使用互聯(lián)網(wǎng)的路徑與互聯(lián)網(wǎng)服務(wù)供應(yīng)商（ISP）傳送數(shù)據(jù)。互聯(lián)網(wǎng)服務(wù)供應(yīng)商就是通過提供互聯(lián)網(wǎng)接入服務(wù)而贏利的公司。

3.2 數(shù)據(jù)截取
在經(jīng)過Internet的數(shù)據(jù)傳輸問題上，無論是在形成企業(yè)外部網(wǎng)連接的兩個公司之間，還是在個體用戶與網(wǎng)上銷售代理或服務(wù)商之間，數(shù)據(jù)截獲都是一個很大的顧慮。圖6-4顯示了公司通過互聯(lián)網(wǎng)傳送數(shù)據(jù)所面臨的風(fēng)險(xiǎn)。



3.3 受保密措施維護(hù)的檔案文件、主文件與參考數(shù)據(jù)所面臨的風(fēng)險(xiǎn)

假如一名黑客闖入了系統(tǒng)，他都能造成什么危害呢？最為可能的危害是：
◆毀壞數(shù)據(jù)——惡意的作惡者會刪除重要交易或主文件數(shù)據(jù)，意圖是破壞公司的運(yùn)營。
◆改動數(shù)據(jù)——惡意的作惡者會改動數(shù)據(jù)。
◆未經(jīng)授權(quán)使用數(shù)據(jù)——作惡者會利用數(shù)據(jù)贏得對其競爭對手的主動。
◆改動應(yīng)用程序——作惡者會改動一個程序，從而導(dǎo)致它的錯誤運(yùn)算。
4風(fēng)險(xiǎn)管理模式
風(fēng)險(xiǎn)本身并不是一個壞事；風(fēng)險(xiǎn)是發(fā)展所不可或缺的因素，而失敗往往又是增長知識的重要因素。但我們必須學(xué)會在風(fēng)險(xiǎn)潛在的負(fù)面影響與其相關(guān)機(jī)遇所帶來的潛在效益之間把握好一個平衡。用來減少損失或傷害可能性的方法就是人們所稱的風(fēng)險(xiǎn)管理。
4.1 風(fēng)險(xiǎn)管理模式
圖6-5描述了一個風(fēng)險(xiǎn)管理模式（risk management paradigm）。該模式是一個連續(xù)的過程，它的設(shè)計(jì)是基于這樣一種認(rèn)識，即風(fēng)險(xiǎn)管理是一個連續(xù)不斷的過程。

4.2 電子商務(wù)風(fēng)險(xiǎn)類型
電子商務(wù)是新的商業(yè)模式，也就有新商業(yè)的特征。作為新的商業(yè)模式，其風(fēng)險(xiǎn)類型有：
1、完整性風(fēng)險(xiǎn)
（1）用戶界面（user interface）
（2）處理（processing）
（3）錯誤處理（error proccssing）
（4）界面（interface）
（5）變化處理（change management）
（6）數(shù)據(jù)（data）
（7）接入風(fēng)險(xiǎn)
2、基礎(chǔ)設(shè)施風(fēng)險(xiǎn)
基礎(chǔ)設(shè)施風(fēng)險(xiǎn)（infrastructure risk）指企業(yè)不具備完整的信息技術(shù)基礎(chǔ)設(shè)施而造成的風(fēng)險(xiǎn)。
基礎(chǔ)設(shè)施風(fēng)險(xiǎn)有下列內(nèi)容：
◆ 組織計(jì)劃（organization planning）
◆ 應(yīng)用系統(tǒng)的定義和開發(fā)（application systems definition and deployment）
◆ 邏輯安全和安全管理（logical security and security administration）
◆ 計(jì)算機(jī)和網(wǎng)絡(luò)操作（computer and network operations）
◆ 數(shù)據(jù)和數(shù)據(jù)庫管理（data and database management）
◆ 核心業(yè)務(wù)數(shù)據(jù)恢復(fù)（business data center recovery）
3、 獲得性風(fēng)險(xiǎn)
獲得性風(fēng)險(xiǎn)（availability risk）是指企業(yè)在獲得數(shù)據(jù)時(shí)的風(fēng)險(xiǎn)，如破壞者經(jīng)常利用郵件轟炸來阻礙服務(wù)，或者對服務(wù)系統(tǒng)提出虛假請求，這給網(wǎng)絡(luò)用戶提供服務(wù)帶來了一種危險(xiǎn)。
◆ 通過事先對行為的監(jiān)督和對系統(tǒng)問題的解決，能夠避免此類的風(fēng)險(xiǎn)。
◆ 獲得性風(fēng)險(xiǎn)與系統(tǒng)的短期中斷相關(guān)聯(lián)
◆ 獲得性風(fēng)險(xiǎn)與信息處理過程長時(shí)間中斷也有關(guān)聯(lián)，其重點(diǎn)是諸如備份與應(yīng)急計(jì)劃等控制手段。
4、其他與商務(wù)相關(guān)的風(fēng)險(xiǎn)
◆ 正確性風(fēng)險(xiǎn)（validity risk）
◆ 效率風(fēng)險(xiǎn)（efficiency risk）
◆ 周期性風(fēng)險(xiǎn)（cycle time risk）
◆ 報(bào)廢風(fēng)險(xiǎn)（obsolescence risk）
◆ 業(yè)務(wù)中斷風(fēng)險(xiǎn)（business interruption risk）
◆ 產(chǎn)品失敗風(fēng)險(xiǎn)（product fail risk）

4.3 內(nèi)部控制體系
1、控制環(huán)境
控制環(huán)境包括以下因素：
◆品行、職業(yè)道德和能力
◆董事會的指導(dǎo)及關(guān)注程度
◆管理層的管理哲學(xué)與經(jīng)營風(fēng)格
◆權(quán)力和責(zé)任的分配
◆人力資源政策和措施
2、風(fēng)險(xiǎn)評估
風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管理在其它地方已經(jīng)討論過。風(fēng)險(xiǎn)評估是設(shè)計(jì)、評價(jià)內(nèi)部控制體系的一個重要組成部分。在企業(yè)層次上，需要考慮的風(fēng)險(xiǎn)：
◆外部因素
◆內(nèi)部因素
3、控制行為
信息系統(tǒng)控制分為兩組：綜合控制（general control）和應(yīng)用控制（application control），圖6列舉了這兩組控制的內(nèi)容。

4、信息與溝通
良好的溝通渠道可以確保反饋信息及時(shí)傳達(dá)給相關(guān)主管人員，在安全評估各層次之間，計(jì)劃與執(zhí)行各階段之間，都應(yīng)該有溝通渠道。

5、監(jiān)控
高效的監(jiān)控應(yīng)該是一個不斷進(jìn)行的過程而不是某一個孤立事件。如果發(fā)現(xiàn)問題，而指定人員由于工作繁忙無法做出反應(yīng)，公司的安全政策與實(shí)際做法之間就會出現(xiàn)安全漏洞，在這種情況下，實(shí)行響應(yīng)報(bào)告制度是十分必要的。響應(yīng)報(bào)告制度要求有關(guān)人員記錄下他們針對報(bào)告的情況所采取的具體措施。
4.4 內(nèi)部控制在風(fēng)險(xiǎn)管理中的作用

除了傳統(tǒng)的獨(dú)立審計(jì)職能外，作為新的會計(jì)師職能，內(nèi)部控制的作用范圍正在日趨擴(kuò)充到整個電子商務(wù)行業(yè)，尤其在信息系統(tǒng)。普華永道是能夠提供這類服務(wù)的代表，它有一個全球風(fēng)險(xiǎn)管理服務(wù)（GRMS）分部，它可以提供下列服務(wù)：

1、戰(zhàn)略性風(fēng)險(xiǎn)管理
2、金融風(fēng)險(xiǎn)管理
3、 運(yùn)作與系統(tǒng)風(fēng)險(xiǎn)管理
4、 技術(shù)風(fēng)險(xiǎn)服務(wù)
5、 具體部署服務(wù)
6、 環(huán)境服務(wù)
5 控制風(fēng)險(xiǎn)與實(shí)施計(jì)劃
5.1 控制支出不足與控制支出風(fēng)險(xiǎn)
控制支出不足（control weakness）一詞用來形容實(shí)施控制的成本小于預(yù)期利潤的情況?？刂浦С鲲L(fēng)險(xiǎn)（control risk）一詞則用來形容額外控制的預(yù)期利潤可能不會超過實(shí)施和保持這些控制的成本的情況。
5.2災(zāi)害拯救計(jì)劃
即使是設(shè)計(jì)最好的系統(tǒng)也避免不了自然災(zāi)害。因此，所有的公司應(yīng)該制定一個災(zāi)害拯救計(jì)劃（disaster recovery plan），其目的是為了在因不可預(yù)見的人或自然災(zāi)害發(fā)生而造成操作中斷時(shí)能恢復(fù)操作。
1、災(zāi)害拯救計(jì)劃的目標(biāo)
完善的拯救應(yīng)涉及以下目標(biāo)：
◆ 評估薄弱環(huán)節(jié)
◆ 防止和減少風(fēng)險(xiǎn)
◆ 設(shè)計(jì)出高效益-低成本的解決方案
◆ 最大限度地減少業(yè)務(wù)中斷，保障業(yè)務(wù)的繼續(xù)進(jìn)行
◆ 提供被選的互聯(lián)網(wǎng)接入模式
◆ 恢復(fù)丟失的數(shù)據(jù)
◆ 提供災(zāi)害拯救的步驟
◆ 訓(xùn)練雇員熟悉災(zāi)害拯救步驟
2、備用第二地址
服務(wù)器的連續(xù)性是評判災(zāi)害拯救計(jì)劃好壞的關(guān)鍵因素。如果公司原地址不能服務(wù)，那么就需要第二地址來繼續(xù)服務(wù)。
6 電子商務(wù)的第三方保證
什么是電子商務(wù)的第三方？廣義地說，是電子商務(wù)交易雙方以外的部門或機(jī)構(gòu)。第三方主要是完成商務(wù)背景的處理，起到商務(wù)運(yùn)作中的標(biāo)準(zhǔn)制定、合法性確認(rèn)、影響機(jī)制和糾紛解決等作用，以降低電子商務(wù)運(yùn)作中雙方交易的風(fēng)險(xiǎn)，這一些就是電子商務(wù)的第三方保證。
1 標(biāo)準(zhǔn)制定
為了降低交易的風(fēng)險(xiǎn)，標(biāo)準(zhǔn)制定必須涵蓋交易的全過程，主要包括：數(shù)據(jù)安全、商業(yè)政策、交易處理完整性、數(shù)據(jù)私密和網(wǎng)站標(biāo)記等。
2 合法性確認(rèn)
必須在符合電子商務(wù)法律規(guī)范的框架下，還要包括：
◆建立行業(yè)支持這種規(guī)范的認(rèn)證；
◆外部中介機(jī)構(gòu)促使認(rèn)證過程的合法化；
◆公司的優(yōu)良承諾保證交易執(zhí)行，減少或杜絕“檸檬”問題。


3 影響機(jī)制
影響機(jī)制能夠刺激交易雙方履行義務(wù)，以減少交易雙方的風(fēng)險(xiǎn)。借助信息中間媒介（information intermediaries）的服務(wù)和網(wǎng)站標(biāo)記，可以有效低刺激影響機(jī)制。信息中間媒介指的是專門從事于不同行業(yè)生產(chǎn)的產(chǎn)品和服務(wù)的質(zhì)量進(jìn)行評估的公司或組織。這種組織對消費(fèi)者交易雙方有很大的促進(jìn)作用。

4 解決糾紛
解決糾紛的手段主要有直接談判、訴諸法律或者采用武力等。解決糾紛的機(jī)構(gòu)或組織，除了傳統(tǒng)法律機(jī)構(gòu)外，網(wǎng)上法庭、認(rèn)證機(jī)構(gòu)、網(wǎng)站標(biāo)記組織等等，應(yīng)該在各自的范圍內(nèi)，促使糾紛的解決。

7 智能代理與電子商務(wù)
7.1 智能代理的定義
智能代理是一種輔助使用者并代表其行動的軟件。智能代理的工作原理就是讓使用者向代理軟件分派（delegate）他們本來可以自己執(zhí)行的任務(wù)。代理可以像助理一樣自動執(zhí)行重復(fù)任務(wù)，記住你忘記的事情，智能化地總結(jié)復(fù)雜的數(shù)據(jù)，向你學(xué)習(xí)，甚至并向你建議。
7.2 智能代理的能力
智能代理能夠執(zhí)行許多功能。吉爾伯特（Gilbert，1997）定義了三個主要標(biāo)準(zhǔn)：代理、智能、移動性。
◆ 代理。能夠進(jìn)行自主行動的程度
◆ 智能。能夠理解其自身內(nèi)部狀態(tài)和外部環(huán)境的程度智能水平可以根據(jù)其反應(yīng)、適應(yīng)、采取主動的能力進(jìn)一步分類。
◆ 靈活性（也稱為代理的交際性）。代理的靈活性是指軟件在不同機(jī)器之間移動并在外部計(jì)算機(jī)上執(zhí)行某些工作的能力。

7.3 代理組合
多個代理一起工作來達(dá)成多樣的、然而是獨(dú)立目標(biāo)的系統(tǒng)和環(huán)境稱為代理組合（agent society）。設(shè)計(jì)代理組合時(shí)頭腦中至少要記住以下五個特點(diǎn)：
◆ 開放性
◆ 組合的復(fù)雜性
◆ 界面技術(shù)
◆ 協(xié)商
◆ 內(nèi)部控制方法
7.4 智能代理與電子商務(wù)
智能代理可能通過很多途徑影響電子商務(wù)。它們可能是：
◆ 幫助實(shí)體更有效、更高效地找到他們的目標(biāo)顧客，包括為了營銷目的以及運(yùn)送商品或信息服務(wù)。
◆ 幫助顧客更有效、更高效地搜集產(chǎn)品信息并進(jìn)行價(jià)格和產(chǎn)品特點(diǎn)的比較；
◆ 向顧客提供更用戶化的服務(wù)；
◆ 幫助企業(yè)更有效、更高效地觀察環(huán)境，以便與新的發(fā)展同步；
◆ 為企業(yè)開發(fā)新的地區(qū)時(shí)常；
◆ 提高電子交易談判的速度和效率


圖10 應(yīng)用智能代理的電子商務(wù)
7.5 代理的局限性
代理技術(shù)有其有前途的一面，但它也有它的局限性。 Jennings和Woolridge（1998）指出了代理模式的三種局限：
1、沒有總體系統(tǒng)控制器（system controller）
代理技術(shù)對下列系統(tǒng)并不合適：必須維持全球限制的系統(tǒng)；必須保障實(shí)時(shí)反應(yīng)的系統(tǒng)；必須比開死鎖或活鎖的系統(tǒng)。
2、非全球視角（global perspective）觀點(diǎn)
代理的當(dāng)?shù)厍闆r決定了代理的行為。從全球的觀點(diǎn)來看，代理可能因其“狹隘的視野”而做出次優(yōu)的決策。多代理系統(tǒng)必須提高合作和談判技術(shù)，以便能產(chǎn)生更多的最佳全球決策。
3、信任（trust）和委托（delegation）
個體必須信任代理所使用的基本技術(shù)和代理的實(shí)際知識基礎(chǔ)，以便能放心地把工作委托給代理。
7.6 代理與安全
代理具有靈活的特點(diǎn)，而這種靈活性帶來了安全問題。要求在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行程序的靈活的代理對安全系統(tǒng)提出了挑戰(zhàn)。在代理模塊中出現(xiàn)惡性代碼的危險(xiǎn)是存在的。管理者必須意識到允許代理組合運(yùn)行的系統(tǒng)所面臨的風(fēng)險(xiǎn)。
復(fù)習(xí)題
1、什么是cookies？
2、嗅探器正反兩面的用途有哪些？
3、互聯(lián)網(wǎng)傳送信息的風(fēng)險(xiǎn)有哪些？
4、智能代理的風(fēng)險(xiǎn)是什么？

不安全系統(tǒng)中的商務(wù)風(fēng)險(xiǎn)與管理(ppt)