关键词:电子政务信息安全
0引言
随着电子政务不断推进,社会各阶层对电子政务的依赖程度越来越高,信息安全的重要性日益突出,在电子政务的信息安全管理问题中,基于现实特点的电子政务信息安全体系设计和风险评估[1]模型是突出的热点和难点问题。本文试图就这两个问题给出分析和建议。
1电子政务信息安全的总体要求
随着电子政务应用的不断深入,信息安全问题日益凸显,为了高效安全的进行电子政务,迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全措施[2][3]不仅要保证业务与办公系统和网络的稳定运行,另一方面要保护运行在内部网上的敏感数据与信息的安全,因此应充分保证以下几点:
1.1基础设施的可用性:运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。
1.2数据机密性:对于内部网络,保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。
1.3网络域的可控性:电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全十分重要。
1.4数据备份与容灾:任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。
2电子政务信息安全体系模型设计
完整的电子政务安全保障体系从技术层面上来讲,必须建立在一个强大的技术支撑平台之上,同时具有完备的安全管理机制,并针对物理安全,数据存储安全,数据传输安全和应用安全制定完善的安全策略
在技术支撑平台方面,核心是要解决好权限控制问题。为了解决授权访问的问题,通常是将基于公钥证书(PKC)的PKI(PublicKeyInfrastructure)与基于属性证书(AC)的PMI(PrivilegeManagementInfrastructure)结合起来进行安全性设计,然而由于一个终端用户可以有许多权限,许多用户也可能有相同的权限集,这些权限都必须写入属性证书的属性中,这样就增加了属性证书的复杂性和存储空间,从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题,作者建议根据X.509标准建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP目录服务器等实体组成,在该模型中:
2.1终端用户:向验证服务器发送请求和证书,并与服务器双向验证。
2.2验证服务器:由身份认证模块和授权验证模块组成提供身份认证和访问控制,是安全模型的关键部分。
2.3应用服务器:与资源数据库连接,根据验证通过的用户请求,对资源数据库的数据进行处理,并把处理结果通过验证服务器返回给用户以响应用户请求。
2.4LDAP目录服务器:该模型中采用两个LDAP目录服务器,一个存放公钥证书(PKC)和公钥证书吊销列表(CRL),另一个LDAP目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACRL。
安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实;安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。
3电子政务信息安全管理体系中的风险评估
电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析,构建电子政务系统的风险因素集。
3.1信息系统的安全定级信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,采取相应的安全保护措施以保障信息和信息系统的安全。
3.2采用全面的风险评估办法风险评估具有不同的方法。在ISO/IECTR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子,其他文献,例如NISTSP800-30、AS/NZS4360等也介绍了风险评估的步骤及方法,另外,一些组织还提出了自己的风险评估工具,例如OCTAVE、CRAMM等。
电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南,从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中,资产的评估主要是对资产进行相对估价,其估价准则依赖于对其影响的分析,主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估,主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动,主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息,最终生成风险信息。
在确定风险评估方法后,还应确定接受风险的准则,识别可接受的风险级别。
4结语
电子政务与传统政务相比有显著区别,包括:办公手段不同,信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同,实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同,直接与公众沟通是实施电子政务的目的之一,也是与传统政务的重要区别。在电子政务的信息安全管理中,要抓住其特点,从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案,这样才能达到全方位实施信息安全管理的目的。
参考文献:
[1]范红,冯国登,吴亚非.信息安全风险评估方法与应用.清华大学出版社.2006.
关键词:政府网络安全;网络安全;风险评估;应用模型;电子政务
中图分类号:TP393.08
在新的发展环境下,开放和互联的网络时代给各种信息资源的流通带来了便利的同时,也带来了安全隐患。尤其是政府部门的电子政务信息资产,若是受到非法使用,不但会对政府部门造成资源损失,甚至会威胁到国家、单位部门和个人的安全。因此,对政府网络系统进行安全风险评估,不但能够有效地预防和解决潜在的威胁,而且能够保障整个政府网络系统的安全,促进政府网络建设的发展。
1 政府网络安全风险评估的方法
在电子政务信息系统的建设和运行过程中,需要进行网络安全防御的相关措施,以防止系统中存在的漏洞、隐患,以及人为或非人为因素引起的风险对系统的影响。因此,采取安全风险评估的方法,通过安全风险评估的相关技术的支持,对系统的设备及数据进行分析、确定等级和检查,是有效防范这些情况发生的重要措施。
政府网络安全风险评估的方法主要有安全风险分析、安全等级评估和安全检查评估等三种。
1.1 安全风险分析。在进行政府网络安全风险评估的前期工作中,主要是通过建立评估数据模型的方式进行安全风险分析。其中,主要是根据概率分布、外推法、矩阵图分析、风险发展趋势评价方法、假设前提评价及数据准确度评估等方法,并通过专家评估预测和相关历史数据对指标的选取和数据的采集,估算政府网络安全系统所存在的风险。
1.2 安全等级评估。在此阶段,主要是在政府的电子政务系统建成或是运行的过程中,由第三方权威机构采取强制或非强制的方式,对政府网络安全进行定期安全等级评估,从而确定政府网络系统在建成后,或是在系统更新后是否达到防范风险的可靠级别。
1.3 安全检查评估。在此阶段,主要采用专门的模拟攻击、漏洞扫描等方式,对政府电子政务(包括网络设备、服务器、客户机、数据库和应用系统等)进行安全检查,找出其中可能存在的安全隐患并提供扫描后的相关数据,给予政府电子政务安全检查评估。在安全检查评估中,主要运用到基于主机的(硬件系统)和基于网络的(软件系统)两种技术。通过安全检查评估,能够起到预防网络系统中存在的隐患的作用,并提供科学有效的解决措施,从而更进一步提高网络安全的整体水平。
2 政府网络安全风险评估的模型与应用
2.1 安全风险评估应用模型三阶段。在电子政务系统建设的实施过程,主要分为规划与设计阶段、建设与实施阶段、运行与管理阶段等三个阶段。其中,安全风险分析主要作用于规划与设计阶段,安全等级评估主要作用于建设与施工阶段,安全检查评估主要作用于运行与管理阶段。
安全风险分析,主要是利用风险评估工具对系统的安全问题进行分析。对于信息资产的风险等级的确定,以及其风险的优先控制顺序,可以通过根据电子政务系统的需求,采用定性和定量的方法,制定相关的安全保障方案。
安全等级评估,主要由自评估和他评估两种评估方式构成。被评估电子政务系统的拥有者,通过结合其自身的力量和相关的等级保护标准,进行安全等级评估的方式,称为自评估。而他评估则是指通过第三方权威专业评估机构,依据已颁布的标准或法规进行评估。通过定期或随机的安全等级评估,掌握系统动态、业务调整、网络威胁等动向,能够及时预防和处理系统中存在的安全漏洞、隐患,提高系统的防御能力,并给予合理的安全防范措施等。若电子政务网络系统需要进行较大程度上的更新或变革,则需要重新对系统进行安全等级评估工作。
安全检查评估,主要是在对漏洞扫描、模拟攻击,以及对安全隐患的检查等方面,对电子政务网络系统的运行状态进行监测,并给予解决问题的安全防范措施。
2.2 安全风险分析的应用模型。在政府网络安全风险评估工作中,主要是借助安全风险评测工具和第三方权威机构,对安全风险分析、安全等级评估和安全检查评估等三方面进行评估工作。在此,本文重点要讲述的是安全风险分析的应用模型。在安全风险分析的应用模型中,着重需要考虑到的是其主要因素、基本流程和专家评判法。
(1)主要因素
在资产上,政府的信息资源不但具有经济价值,还拥有者重要的政治因素。因此,要从关键和敏感度出发,确定信息资产。在不足上,政府电子政务网络系统,存在一定的脆弱性和被利用的潜在性。在威胁上,政府电子政务网络系统受到来自内、外部的威胁。在影响上,可能致使信息资源泄露,严重时造成重大的资源损失。
(2)基本流程
根据安全需求,确定政府电子政务网络系统的安全风险等级和目标。
根据政府电子政务网络系统的结构和应用需求,实行区域和安全边界的划分。
识别并估价安全区域内的信息资产。
识别与评价安全区域内的环境对资产的威胁。
识别与分析安全区域内的威胁所对应的资产或组织存在的薄弱点。
建立政府电子政务网络系统的安全风险评估方法和安全风险等级评价原则,并确定其大小与等级。
结合相关的系统安全需求和等级保护,以及费用应当与风险相平衡的原则,对风险控制方法加以探究,从而制定出有效的安全风险控制措施和解决方案。
(3)专家评判法
在建设政府电子政务网络系统的前期决策中,由于缺少相关的数据和资料,因此,可以通过专家评判的方法,为政府电子政务网络系统提供一个大概的参考数值和结果,作为决策前期的基础。
在安全区域内,根据网络拓扑结构(即物理层、网络层、系统层、应用层、数据层、用户层),应用需求和安全需求划分的安全边界和安全区域,建立起风险值计算模型。通过列出从物理层到用户层之间结构所存在的薄弱点,分析其可能为资产所带来的影响,以及这些薄弱点对系统薄弱环节外部可能产生的威胁程度大小,进而通过安全风险评估专家进行评判,得到系统的风险值及排序。
在不同的安全层次中,每个薄弱环节都存在着不同程度的潜在威胁。若是采用多嵌套的计算方法,能够帮助计算出特定安全区域下的资产在这些薄弱环节中的风险值。
3 结语
本文主要通过对政府电子政务网络系统的建设中,所进行的安全风险评估进行研究,分析和探讨在规划与设计阶段、建设与实施阶段、运行与管理阶段三个阶段中政府网络安全建设的相关问题。并在各阶段分别采用安全风险分析、系统建设完成后的安全等级评估。在系统建成后的运行和管理阶段,采用的安全检查评估等方法,保障政府电子政务网络系统的安全。此外,在安全风险分析中,可操作的方法并不多,需要有关部门加强力度,加以研究和探析。在等级安全评估和安全检查评估两个阶段,可以充分利用第三方权威机构的评测工具,来加强政府网络的安全性。
参考文献:
[1]杨志新.政府网络安全风险评估[J].系统工程,2005,4.
[2]王继晔.政府信息网络的安全措施及技术手段[J].交通与计算机,2003,2.
[3]黄炜.我国政府保护网络经济信息安全的现状和对策[J].华南理工大学,2010,5,6.
[4]夏义,李勇.政府网络安全问题分析[J].高校图书情报论坛,2003,2.
关键词:金融机构 电子支付服务 风险 市场准入
一、引言
随着银行业务水平的提升,以及现代技术的发展,电子支付业务快速发展给客户带来了极强的便利性。与之相对应的是,我国金融机构、客户在享受电子支付服务所带来的正面效应同时,电子支付的风险也在不断增大,而我国对金融机构在支付服务中的监管问题还始终处于近乎空白的状态。例如,当前现有的法律法规主要针对电子银行、网上银行业务方面,而针对第三方支付、支付平台内部交易模式的法律法规几乎没有。
2006年,我国出台《支付清算组织管理办法》,尽管在该制度中提供了有关点三方支付的相关法律法规,但是实践过程中,与《电子支付指引(第一号)》存在冲突,此后我国关于金融机构在电子支付服务中的监管的政策,一直处于空白状态,因此,本文针对此方面的研究,具有极为重要的现实意义和理论意义。
二、电子支付服务中的风险分析
(一)技术风险
金融机构电子支付服务中,技术风险主要来源于两个方面,一是技术利用不当造成的风险,二是所使用的技术水平落后,电子支付技术存在安全隐患,因此,按照类型划分,技术风险可以分为另种,一种是安全风险,另一种为技术选择风险。
(二)业务风险
业务风险主要包含以下几种,信用风险、流动性风险、支付和结算风险、法律风险、操作风险、战略风险、资金风险。
(三)管理风险
管理风险主要表现为电子支付管理过程中,可能出现的风险问题,以及电子业务快速发展中,与管理水平低产生的不协调问题和风险,还有在电子支付复杂性监管中可能产生的监管风险。
实践中,由于金融机构业务性质的不同,业务种类的不同,以及管理和监管的差异,造成不同金融机构在支付过程中产生的风险也是不同的,我国金融在电子支付过程中,容易根据实际情况,具体分析,强化监管政策和意见,才能将风险转化为最低。
三、电子支付服务中的监管政策与建议
(一)市场准入的监管
市场准入的监管主要包含以下几个方面:设立最低资本金限制,强化支付中的安全技术,建立保险与保证金问题,加强风险管理和内控机制。
当前我国金融机构的中关于最低资本金的限制,早在《支付清算组织管理办法》就已经开始列出,但是有关执行的细节和程度问题,并没有详细的确定;而在风险管理和内控机制监管方面,自始至终还没有建立相关的法律法规;在电子支付服务中关于安全技术,已经取得了一些成效,例如,完善安全基础技术建设,保障客户电子支付交易活动的安全性,以及电子支付交易活动的真实有效性,这是十分可取的,但是在准入控制方面,依然存在很多问题,我国可以充分利用和借鉴欧盟的经验和教训,充分利用我国《电子银行安全评估指引》,针对我国电子支付做出相关严格规范和控制;对金融机构设立保证金机制,发展电子支付保险。由于当前我国电子支付金融机构之前的竞争十分激烈,造成我国金融机构电子支付业务发展不规范,恶性竞争严重,电子支付的风险不断增大,对此建议对我国金融机构采用政策引导并购,利用国有控股策略,促进合理、稳健和有序发展。
(二)业务范围的监管
金融机构业务范围监管包含对业务运营风险的监管,对客户业务的管理,对机构管理高层的监管,以及对业务操作员工的监管,和金融机构市场退出的监管。
对业务运营中的风险监管,要借鉴并完善《网上银行业务管理办法》;针对金融机构高层管理的监管,可借鉴国内外先进国家相关监管的经验,例如美国、新加坡等,金融机构董事会制定监管政策,设立技术监管总监,使监管过程规范化和合理化;强化内部操作人员监管,禁止个人操作,形成相互联系和牵制的合作机制,健全准入控制;建立健全有关法律法规,对客户资料进行保护,保障客户资金的安全性;完善金融机构市场推出机制,促进金融市场电子支付的有序性和合理性。
(三)监管机构
目前我国针对电子支付服务的监管采用的“银监会+信息产业部+公安部+新闻出版署”的管理组织模式,由于监管中涉及到非金融机构,我国在此类中的监管政策是不健全,发挥银监会的职能作用,加强监管十分重要。
这就要首先要加强对电子支付的技术监管,更新金融机构业务监管重要性的认识,加强内部风险防范和控制,防止电脑犯罪;构建定期监管机制,强化监管在每个时间段内的进行;同时健全金融机构市场退出机制;加强国内外金融合作,利用国内外金融监管经验,防范电子支付跨国风险,强化对国外竞争者的监管,促进国内金融机构电子支付业务的发展。
(四)电子货币
构建规范的法律法规,明确电子货币发行权问题,针对有关电子货币中可能产生的金融机构破产规定、金融机构作为电子活动发行方的风险、金融机构电子货币发行权资质等问题,进行严格的明文规定,完善我国金融机构关于电子货币方面的相关法律法规建设。
(五)法律问题
弥补我国金融机构在电子支付服务监管中的空白,例如加强对电子证据、网上税务和网络安全的法律法规的构建,针对过程中可能存在的法律纠纷作明文规定;完善金融机构在电子支付服务中关于消费者隐私、消费者资料保密等相关立法的构建。
参考文献:
[1]黄晓艳,胡祥培.我国电子现金发行的组织模式研究[[J].中国软科学.2013
[2]郑茂.电子支票在我国的发展模式[[J].武汉金融.2012
对电子政务的安全威胁,包括网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等,应引起足够警惕,采取安全措施,应对这种挑战。
电子政务的安全目标和安全策略
电子政务的安全目标是,保护政务信息资源价值不受侵犯,保证信息资产的拥有者面临最小的风险和获取最大的安全利益,使政务的信息基础设施、信息应用服务和信息内容为抵御上述威胁而具有保密性、完整性、真实性、可用性和可控性的能力。
为实现上述目标应采取积极的安全策略:
国家主导、社会参与。电子政务安全关系到政府的办公决策、行政监管和公共服务的高质量和可信实施的大事,必须由国家统筹规划、社会积极参与,才能有效保障电子政务安全。
全局治理、积极防御。电子政务安全必须采用法律威慑、管理制约、技术保障和安全基础设施支撑的全局治理措施,并且实施防护、检测、恢复和反制的积极防御手段,才能更为有效。
等级保护、保障发展。要根据信息的价值等级及所面临的威胁等级,选择适度的安全机制强度等级和安全技术保障强壮性等级,寻求一个投入和风险可承受能力间的平衡点,保障电子政务系统健康和积极的发展。
电子政务安全保障体系框架
电子政务安全采取“国家推动、社会参与、全局治理、积极防御、等级保护、保障发展”的策略,鉴于电子政务的信息安全面临的是一场高技术的对抗,是一场综合性斗争,涉及法律、管理、标准、技术、产品、服务和基础设施诸多领域,所以电子政务安全,还要从全局来构建其安全保障的体系框架,以保障电子政务的健康发展。
电子政务安全保障体系由六要素组成,即安全法规、安全管理、安全标准、安全服务、安全技术产品和安全基础设施等安全要素。
要素一安全法律与政策
电子政务的工作内容和工作流程涉及到国家秘密与核心政务,它的安全关系到国家的、国家的安全和公众利益,所以电子政务的安全实施和保障,必须以国家法规形式将其固化,形成全国共同遵守的规约,成为电子政务实施和运行的行为准则,成为电子政务国际交往的重要依据,保护守法者和依法者的合法权益,为司法和执法者提供法律依据,对违法、犯法者形成强大的威慑。
《中华人民共和国保护国家秘密法》已实施十多年,已不完全适应我国当前保密工作的现状,特别是电子政务的发展,亟待修订。
政务信息公开是电子政务的重要原则,为了拉近政府和公众的距离,使公众具有知情权、参与权、监督权和享用政府服务的权利,为公众提供良好的信息服务,充分挖掘政务信息的最大效益,开放政务信息资源(非国家和适宜公开部分)服务于民是电子政务的重要特征。尽快制订政务信息公开法,适度的解密和规范开放的规则,保护政府部门间信息的正常交流,保护社会公众对信息的合法享用,打破对政务信息资源的垄断和封锁,提高政府行政透明度和民主进程是非常有利的和必需的。
电子政务亟待电子签章和电子文档的立法保护,国际已有近20多个国家对数字签名和电子文档进行了立法,使数字签名和电子文档在电子政务和电子商务运行中具有法律效力。这将大大促进电子政务和电子商务的健康发展,使电子政务原来的双轨制走向单轨制,这有利于简化程序、降低成本,充分显示电子政务效益是非常有利的。
个人数据保护(隐私法)的需求伴随电子政务的发展日显突出。电子政务在实施行政监管和公众服务中有大量的个人信息(自然人和法人),如户籍、纳税、社保、信用等信息大量进入了政府网络信息数据库,它对完成电子政务职能发挥巨大作用。但是这些个人信息如果保护不力或无意被泄漏,而被非法滥用,就可能成为报复、盗窃、推销、讨债、盯梢的工具。在国外已经出现将盗用的个人隐私信息作为非法商品出售,以牟取暴利的情况,这样直接损害个人的利益,甚至危及个人的生命安危。因此加快个人数据保护法的制订,是必要的。
还有很多法规的制订都直接关系到电子政务的健康发展,加快制订这些法规,势在必行。
要素二安全组织与管理
我国信息安全管理职能的格局已经形成,如国家安全部、国家保密局、国家密码管理委员会、信息产业部、总参……分别执行各自的安全职能,维护国家信息安全。电子政务安全管理涉及到上述众多的国家安全职能部门,其安全管理职能的协调需要由国家信息化领导机构,如国家信息化领导小组及其办公室、国家电子政务协调小组、国家信息安全协调小组等来进行。各地区和部委建立相应的信息安全管理机构,以完成和强化信息安全的管理,形成自顶向下的信息安全管理组织体系,是电子政务安全实施的必要条件。
制订颁发电子政务安全相关的各项管理条例,及时指导电子政务建设的各种行为,从立项、承包、采购、设计、实施、运行、操作、监理、服务等各阶段入手,保障电子政务系统建设全程的安全和安全管理工作的程序化和制度化。
电子政务信息安全域的划分与管理是至关重要的。电子政务有办公决策、行政监管和公共服务等三种类型业务,其业务信息内容涉及国家机密、部门工作秘密、内部敏感信息和开放服务信息。既要保护国家秘密又要便于公开服务,因此对信息安全域的科学划分和管理,将有益于电子政务网络平台的安全设计,有益于电子政务的健康和有效的实现。
制订电子政务工程集成商的资质认证管理办法、工程建设监理机构的管理办法、工程外包商的管理机制和办法,以确保电子政务工程建设的质量和安全,特别是对于电子政务系统的外包制更要有严格的制约和管理手段。对于电子政务中系统工程的承建,还必须有国家保密局颁发的系统集成资质证书,其他部分应具有国家或省市相应的系统集成商的资质证书。对于电子政务部分,不允许托管和外包运行,电子政务其他部分将按相关管理条例执行。
电子政务工程中使用的信息安全产品,国家将制订相应的采购管理政策,涉及密码的信息安全产品需有国家密码主管部门的批准证书,信息安全产品应有通过国家测评主管机构的安全测评的证书,维护信息安全产品的可信性。
电子政务系统信息内容根据管理需求,可以实施对信息内容的安全监控管理,以保护政务信息安全,防止由于内部违规或外部入侵可能造成的网络泄密,同时也阻止有害信息内容在政务网上传播。
制订电子政务系统的人员管理、机构管理、文档管理、操作管理、资产与配置管理、介质管理、服务管理、应急事件管理、保密管理、故障管理、开发与维护管理、作业连续性保障管理、标准与规范遵从性管理、物理环境管理等各种条例,确保电子政务系统的安全运行。
要素三安全标准与规范
信息安全标准有利于安全产品的规范化,有利于保证产品安全可信性、实现产品的互联和互操作性,以支持电子政务系统的互联、更新和可扩展性,支持系统安全的测评与评估,保障电子政务系统的安全可靠。
国家已正式成立“信息安全标准化委员会”,近期成立了信息安全标准体系与协调工作组(WG1)、内容安全分级及标识工作组(WG2)、密码算法与密码模块/KMI/VPN工作组(WG3)、PKI/PMI工作组(WG4)、信息安全评估工作组(WG5)、操作系统与数据库安全工作组(WG6)、身份标识与鉴别协议工作组(WG9)、操作系统与数据库安全工作组(WG10),以开展电子政务安全相关标准的研制工作,支撑电子政务安全对标准制订的需求。
还将制订下列标准:电子文档密级划分和标记格式、内容健康性等级划分与标记、内容敏感性等级划分与标记、密码算法标准、密码模块标准、密钥管理标准、PKI/CA标准、PMI标准、信息系统安全评估和信息安全产品测评标准、应急响应等级、保护目标等级、应急响应指标、电子证据恢复与提取、电子证据有效性界定、电子证据保护、身份标识与鉴别、数据库安全等级、操作系统安全等级、中间件安全等级、信息安全产品接口规范、数字签名……。
要素四安全保障与服务
1.电子政务系统建设,要构建其技术安全保障架构,对大型电子政务系统要建立纵深防御体系。
·设置政务内网的安全与控制策略;
·设置政务外网的安全与控制策略;
·设置进入互联网的安全服务与控制策略;
·设置租用公网干线的安全服务与控制策略,包括有线通信、无线通信和卫星通信的安全服务与控制策略;
·设置政务计算环境的安全服务与机制。
采用纵深防御和多级设防,是电子政务安全保障的重要原则,通过全局性的安全防护、安全检测、快速响应、集成的安全管理与安全设施的联动控制,以达到系统具有防护、检测、反应与恢复能力。
2.推广电子政务信息系统安全工程(ISSE)的控制方法,全面实现安全服务要求。
电子政务安全系统的设计,首先要做好系统资产价值的分析,如物理资产的价值(系统环境、硬件、系统软件)、信息资产的价值、其数据与国家利益和部门利益的关联度;其业务系统(模型、流程、应用软件)正常运行后果所产生的效益,从而确定系统安全应保护的目标,在上述分析的基础上提出整个安全系统的安全需求,进一步定义达到这些安全需求所应具有的安全功能,然后探索系统可能面临的威胁类型,并找出系统自身的脆弱性,这些威胁和脆弱性有:
·网上黑客与计算机犯罪;
·网络病毒的蔓延与破坏;
·机要信息流失与信息间谍潜入;
·网上恐怖活动与信息战;
·内部人员违规与违法;
·网上安全产品的失控;
·网络与系统自身的漏洞与脆弱性。
在这些威胁面前,要分析哪些威胁是本系统主要面临的威胁,哪些是次要的,对系统和任务造成的影响程度如何。进行定性和定量的分析,提出系统安全对策,确定承受风险的能力,寻找投入和风险承受能力间的平衡点,然后确定系统所需要的安全服务及对应的安全机制(见表一),从而配置系统的安全要素。在工程的生命周期中要进行风险管理、风险决策流程(见图2),这种风险管理是要对电子政务全程进行的。
系统投入运行要对其安全性进行有效评估,即评估者给出的评估证据和建设者采用的技术保障设施,的确能使系统拥有者确信已选用技术对策,确实减少了系统的安全风险,满足必要的风险策略(风险策略可以是“零”风险策略、最小风险策略、最大可承受风险策略或不计风险策略),使其达到保护系统资产价值所必需的能力(见图3)。上述有效评估过程可用安全技术保障强壮性级别(IATRn)来描述:
IATRn=f(Vn,Tn,SMLn,EALn)
Tn:威胁等级
Vn:资产价值等级
SMLn:安全机制强度等级
EALn:评估保障等级
要素五安全技术与产品
1.加强安全技术和产品的自主研制和创新。
由于电子政务的国家性,电子政务系统工程的安全保障需要各种有自主知识产权的信息安全技术和产品,全面推动自主研发和创新这些技术和产品是电子政务安全的需要。这些产品和技术可以分为六大类:
·基础类:风险控制、体系结构、协议工程、有效评估、工程方法;
·关键类:密码、安全基、内容安全、抗病毒、IDS、VPN、RBAC、强审计、边界安全隔
离;
·系统类:PKI、PMI、DRI、网络预警、集成管理、KMI;
·应用类:EC、EG、NB、NS、NM、WF、XML、CSCW;
·物理与环境类:TEMPEX、物理识别;
·前瞻性:免疫技术、量子密码、漂移技术、语义理解识别。
2.电子政务安全产品的选择。
整个电子政务的安全,涉及信息安全产品的全局配套和科学布置,产品选择应充分考虑产品的自和自控权。
产品可涉及安全操作系统、安全硬件平台、安全数据库、PKI/CA、PMI、VPN、安全网关、防火墙、数据加密机、入侵检测(IDS)、漏洞扫描、计算机病毒防治工具、强审计工具、安全Web、安全邮件、安全设施集成管理平台、内容识别和过滤产品、安全备份、电磁泄漏防护、安全隔离客户机、安全网闸。
要素六安全基础设施
信息安全基础设施是一种为信息系统应用主体和信息安全执法主体提供信息安全公共服务和支撑的社会基础设施,方便信息应用主体安全防护机制的快速配置,有利于促进信息应用业务的健康发展,有利于信息安全技术和产品的标准化和促进其可信度的提高,有利于信息安全职能部门的监督和执法,有利于增强全社会信息安全移师和防护技能,有利于国家信息安全保障体系的建设。因此,推动电子政务的发展,应重视相关信息安全基础设施的建设。
信息安全基础设施有两大类。
1.社会公共服务类
·基于PKI/PMI数字证书的信任和授权体系;
·基于CC/TCSEC的信息安全产品和系统的测评与评估体系;
·计算机病毒防治与服务体系;
·网络应急响应与支援体系;
·灾难恢复基础设施;
·基于KMI的密钥管理基础设施。
2.行政监管执法类
·网络信息内容安全监控体系;
·网络犯罪监察与防范体系;
·电子信息保密监管体系;
关键词:电子商务,风险,安全管理
1 引言
美国IBM公司从企业电子商务的运作过程中认为电子商务(E-Business)就是企业的“商务整合”,它将IT技术策略与企业商务策略整合起来,形成企业全新的组织构架、全新的商业模式、全新的业务流程。它是传统企业商务电子化的过程,即传统商务向电子商务转型的过程。电子商务作为一种新的生产方式,正在显示其巨大的现代经济管理的价值和社会变革的影响力。
如何使电子商务运作过程的安全性和风险控制得到保证,是关系到电子商务能否顺利发展的关键问题。
2 我国电子商务发展现状
中国互联网络信息中心(CNNIC)最新的中国互联网络发展状况统计报告显示:截至2009年6月底,我国网民数达到3.32亿,互联网普及率更是以25.5%的比例超过了21.9%的全球平均水平。与此同时,有关部门的2008中国网上购物调查报告显示,上半年国内网购交易总额已经达到531.5亿元,参与网购的人群达到1.2亿。
随着网购人数的增长,互联网的各种应用还将从大城市向中小城市渗透,网民数的不断增加和主流消费人群消费习惯的改变,将成为推动中国网购市场激增的重要原因。
3 电子商务发展中面临的风险
互联网正在改变全球经济,电子商务向人们展示了“快、便、省”的优势。
但是电子商务与其它新生事物一样,在带来巨大机遇的同时,也存在着许多风险。
(1)技术风险
具体包括交易安全、认证安全、数据加密、支付安全、网站安全等。
(2)金融与支付风险
具体包括订购、付款、银行结算以及其他金融交易业务的在线安全。论文格式。
(3)税收风险
由于电子商务具有跨地域交易的特点,使得电子商务税收变得十分重要而复杂,国际上普遍接受的是税收中性的观点,即对国际性税收原则不做根本改变,但对全球电子商务发展中面临的有关税收方面的政策改变将大大影响电子商务的发展。
(4)人才与培养风险
电子商务的发展需要大量计算机人才和网络经济商务人才以及相关复合人才,我国在这方面的人才较为欠缺。
(5)政策法规风险
电子商务的发展如同网络的发展一样是非常快的,与之相比国家有关管理部门的政策、法规的制定不可避免的存在滞后的可能,使得新兴的电子商务发展可能处于缺乏保障的地位,而且电子商务中个性化特点日趋突出,给政策、法规的制定也提高了难度。
(6)竞争风险
电子商务的发展将使我国的企业同时面临与国外大公司、企业的竞争,还要面对传统商务与之的竞争。
3.3 电子商务的风险特征
电子商务中出现的风险,虽然多为传统经济中所固有,但它无论在表现形式、强烈程度还是影响范围上与传统经济中的风险都不相同。概括起来说,电子商务风险具有以下特征。
(1) 全球性
电子商务风险具有全球性特征。论文格式。风险既可能来自国内,也可能来自世界任何一个地方。四通八达的通讯网络,把世界各地都紧紧地联系在一起。例如,技术风险就是这样。当黑客发动攻击时,遇到的唯一障碍就是技术上的可行性。
(2) 传染性
电子商务风险可以在全球范围内迅速传播,具有很强的传染性和广泛的影响力,使人们很难进行有效防范。实时性和交互性是电子商务的两个基本特征。一旦风险产生,它就会借助信息的实时传递和市场交易主体之间的交互关系而迅速扩散。
(3) 成长性
在一定条件下,电子商务风险会迅速成长和壮大,具有一股强大的、摧毁一切的力量。这种异乎寻常的成长性,来自于电子商务中所特有的不稳定均衡和正反馈效应。电子商务中的均衡是不稳定均衡。如果企业正处于成长过程中,它就会在正反馈效应的刺激作用下,成长得越来越快、越来越强大,直至成为市场主流,占有决定性的市场份额。反之,一个企业即使是市场的主流,如果受到一些致命的打击,则有可能在正反馈效应的作用下迅速衰退,甚至在很短时期内消逝得无影无踪。
(4) 隐蔽性
电子商务风险具有很强的隐蔽性。风险初起时可能不大容易觉察,当风险变得清晰可辨时,危机就无法避免了。这种隐蔽性,来自信息的非对称性。在网络中,人们可以自由遨游,不需要提供真实的姓名和身份。如果再缺少相关的法律进行约束,投机和欺诈就会泛滥,电子商务就会趋向崩溃。
(5) 复杂性
在电子商务中,风险不是单一的,而是综合的。多种风险往往交叉在一起,它们相互影响和助长,使得风险防范的难度大大增加。
4 电子商务安全管理措施
电子商务交易安全管理,不应当只从单纯技术角度考虑如何解决的问题,而是应该从综合的安全管理思路来考虑,因为从电子商务的运行环境来看,技术环境是一个重要方面,但是良好的法律法规、政策环境和科学管理环境也是电子商务的顺利运行不可或缺的两个方面。安全的电子商务环境包括精心规划的管理体系,严密的技术措施和完善的法律体系。所以电子商务的安全管理应该从技术、管理、法律等方面综合考虑。建立一个完整的电子商务交易安全体系。
4.1 加快基础设施建设
计算机系统、网络通信设备、网络通信线路、网络服务器等设备,在静电、电磁泄漏和意外事故等情况下会造成数据的丢失,机密信息泄漏。所以,加快电子商务的基础设施建设,选择高性能的网络设备, 建设安全、便捷的电子商务应用环境,才能为电子商务交易的信息提供硬件保障。
4.2 实施技术防范措施
电子商务的运作涉及资金安全、信息安全、货物安全、商业秘密等多方面的安全问题,任何一点漏洞都可能导致大量资金流失,这些安全首先是对信息技术的依赖。目前电子商务比较成熟的技术安全措施有以下几种:
(1)防火墙技术:防火墙是在本地系统或网络与Internet 之间构筑的一道屏障,用以保护本地系统或网络中的信息、资源等不受来自Internet 中非法用户的侵犯;用以控制和防止本地系统或网络中的敏感数据流入Internet,也控制和防止来自Internet 的无用数据流入本地系统或网络。所以,防火墙能起到保护本地系统或网络中信息安全保密的重要作用,成为电子商务系统的安全屏障。
(2)数字签名技术:数字签名是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,代替书写签名或印章。对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证而无法比拟的。数字签名是目前电子商务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。
(3)安全证书认证中心(Certification Authority中心):网上交易需要由一个权威的第三方来担任信用认证机构,确认买卖双方的身份,这就是电子商务的安全证书认证中心(CA 中心) 。CA 中心是承担网上认证服务、能签发数字证书、并能确认用户身份的受大家信任的第三方机构,它的作用在于确保网上交易合同的有效性,确保交易内容、交易双方账号、密码不被他人识别和盗取,防止单方面对交易信息的生成和修改,保证电子商务的交易安全。
4.3 健全管理与控制
由于电子商务企业一般都是新兴企业,管理制度、管理手段没有传统企业成熟、严密,加上一些电子商务企业一般更注重技术创新而非管理。因而,电子商务建立先进的管理与控制更为迫切。
建立交易授权控制制度:电子商务交易程序的简单化,必须在业务流程方面建立严格的业务授权与执行内部控制制度,并对关键业务流程的内部控制进行定期的审核。
建立责任控制制度:它是以经济组织内部各部门、各环节、各层次及其人员的经济责任为中心的内部控制制度,使得各职能部门和经办人员分工明确,职责分明。
建立会计控制和内部牵制制度:主要检查会计事项的处理是否遵循不相容的职务或者经过两个以上的人员或部门的原则,以防止差错、舞弊的发生,保护财产的安全。论文格式。
建立经营方面各个循环系统的控制制度:它是经济组织内部为实现经营目标而实现生产经营和管理所必须经过的环节和业务操作的控制制度。如成本控制、购销控制、物资控制、生产经营过程的控制以及计划、预算、合同管理等控制制度。
建立一定的应急措施:在信息流程方面,加强对信息的记录、维护和报告相关环节的控制。例如数据文件的定期备份、备份数据的存放地点、存放条件要求、系统数据文件损坏后的再生规则等。
4. 4 健全法制,倡导诚信
1996 年联合国贸易法委员会制订了《联合国国际贸易法委员会电子商务示范法》,2005 年初,国务院颁发了《加强电子商务的若干意见》,2005 年4 月1 日开始正式实施的《电子签名法》,对我国正在兴起的电子商务给予了强有力的法律支持,为我国电子商务安全认证体系和网络信任体系的建立奠定了基础。但是,网络环境中的诚信问题不是仅仅靠《电子签名法》所能够解决的,要想根本铲除互联网交易中的种种弊端,归根到底要靠安全认证和行业的自律。所以,倡导诚信,维护消费者合法权益,是推动我国电子商务健康发展的内在因素。
4.5 大力培养电子商务专业人才
电子商务是信息现代化与商务的有机结合,虽然强调计算机网络技术对交易活动的促进作用,但电子商务实现的关键仍然是人才。要发展电子商务,需要大量的掌握现代信息技术和现代商贸理论与实务的复合型人才。政府应充分利用各种途径和手段,培养、引进并合理使用好一批素质较高、层次合理、专业配套的网络、计算机及经营管理等方面的专业人才,以加快我国电子商务的发展。
5 结束语
电子商务在给我们带来广泛的机遇的同时,也给我们带来了新的风险。安全的电子商务环境包括精心规划的管理体系,严密的技术措施和完善的法律体系。所以电子商务的安全管理应该从技术、管理、法律等方面综合考虑。建立一个完整的电子商务交易安全体系。
参考文献
1.伊志宏 张航宇著我国电子商务发展中的风险管理 中国期刊网
2.洪国彬 范月娇著《电子商务安全与管理》电子工业出版社 2006年出版
3.董雪兵 朱慧著《电子商务教程》浙江大学出版社
4.陶世怀 徐国芹著《电子商务概论》第二版 大连理工大学出版社
5.瞿彭志著 《网络营销》第二版高等教育出版社
6.第23次中国互联网络发展状况统计报告
1信息技术在电子政务中的引用需求
1.1物质基础设施的建设各个国家都将建设电子政务的步伐加快,以应对人们快速增长的生活需求,和一些国家相比,我国在电子网络的建设方面还比较落后,信息技术的基础设施还不够完善,这也直接导致在电子政务方面的工作不能全面落实,阻碍了政府在网络上创建政务平台的发展。面对这种情况,我国应认清信息技术的发展形式,重视硬件基础设施的建设,以应对人们不断增长的需求,也使我国的电子政务工作得到快速发展。
1.2信息技术应用的可行性现代化的生活中,先进的科技技术层出不穷,人们也希望能亲身去体验,但政府总是不能满足人们的这种需求。我们总是把一些理论上的新技术去应用到实际的工作中,而可行性却非常差,使信息技术的项目与现实的需求脱节,也浪费了人力和财力。还有一些政府部门将电子政务工作当成了简单的计算机去使用,只是为了做好面子工程,追赶社会的潮流,而把正在的电子政务平台当成了摆设,没有发挥其实际的作用,也完全没有意识到在现代化的社会中电子政务这项工作的重要性。现在还有很有群众对政府在网络上提供的各种电子服务认识不够,对一些简单的求职招聘、查询信息等服务比较关注,应用的也比较多,而真正适用于我们生活,能帮助我们的医疗、建筑等服务认识不到位。这样来看,我国在电子政务中应用的信息技术还是不够完善,很多技术领域都不能满足于真正的政务需求,导致了人们应用的可行性也比较低。
2信息技术的应用成本和电子政务的实施
2.1交易成本政府在实施电子政务的同时也会产生相关信息技术的成本,向信息技术的供应商去支付大量资金。现在有很多政府部门没有足够的资金去投入到电子政务中,所以政府与信息技术的开发机构建立一个友好的协作关系就显得尤为重要。即便是这样,也会有很多公共的电子政务平台没有足够的资金投入,再加上要花费大量的人员和技术去维护网络信息等技术,这期间产生的交易成本也是比较大的,也间接的给政府的投资带来风险。
2.2投资成本政府创建网络电子政务平台就是一种投资,其中也伴有一定的风险存在。主要是一些比较大的项目,投入的规模越大,产生的成本也就越大,相应的投资风险也就越高;还有使用新型的信息技术的风险,很多工作人员对新技术都掌握的不娴熟,在操作的过程中就有可能造成信息系统的损坏,也有很多的项目并不适用于政府的办公系统,这也是一种投资的风险;再有就是我国在处理电子政务的技术上也没有足够的经验,在进行信息技术的评估和机构的设立上也会有缺陷。这些因素所产生的电子政务成本,加上信心技术在应用上带来的风险都是阻碍我国信息化技术的建设,也影响了电子政务平台的发展。
3信息技术的有效性和电子政务的评估机制
在应用电子政务的过程中,信息技术的应用是否能起到有效的成果,这是要通过电子政务的评估机制去检测的,评估检测也是治理信息技术项目的有效手段。应用电子政务的评估是不容易把握的,这也和信息技术的本身有一定关系,通常都是信息技术的实施不能达到人们的预期效果,使评估的机制在建设上比较困难。这种评估的机制不仅是对"电子"进行评估,也是对"政务"进行评估的机制,也就是说评估检测的主要内容就是电子政务在实施建设上的完善和相关政府履行职能程度的综合体现。
4信息技术应用的问题和电子政务的运行
信息活动在给人类带来效率与文明的同时,也带来了一系列的新的问题。电子政务是一个复杂的系统工程,它的实现还依赖于众多从社会问题到技术问题的逐步解决与完善。电子政府所提供的服务面临某些威胁、风险和不利条件,这些服务大多涉及敏感的个人信息。敏感信息和交易处理过程需要更大的安全保证。因此,电子政务系统解决迫切需要建立信息资源的安全计划的可行性,以建立一个安全的平台管理活动。
4.1计算机网络安全问题及措施计算机网络安全的内容包括计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面,各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。主要从保护网络安全、保护应用安全、保护系统安全三个方面进行。全面规划网络平台的安全策略,制定网络安全的管理措施,使用防火墙,尽可能记录网络上的一切活动,注意对网络设备的物理保护,检验网络平台系统的脆弱性,建立可靠的识别和鉴别机制。在安装的软件中,检查和确认未知的安全漏洞;技术与管理相结合,使系统具有最小穿透风险性。
4.2信息技术引起的道德行为失范问题信息技术领域的道德行为失范,主要包括:(1)有意制造和传播计算机病毒。(2)侵犯知识产权。(3)信息与网络安全题目。(4)侵犯隐私权。道德行为失范的题目还有很多,包括信息污染,即有人有意地制造和有害的、虚假的、过期的和无用的不良信息而导致的危及人类健康生存和信息活动低效率的状况。现代信息活动中突出的信息污染题目有虚假信息、种族歧视信息和无用信息。因此,技术应用引发的道德题目在精神层面上影响了电子政务的发展。
5结束语
【媒体联络】吴楠:010-68130909-8002,.cn
【参会报名】张晶晶:010-68254718,.cn
【商务咨询】崔罡:010-68130909-6633,.cn
电子政务论坛10月在京召开
本报讯 由国家行政学院、国家发展和改革委员会、工业和信息化部联合主办的2010中国电子政务论坛暨第4届国际电子政务理论与实践交流会(ICEGOV2010)将于10月25日~28日在国家行政学院召开。今年的论坛将结合年度电子政务发展热点,探讨电子政务发展趋势;促进政企合作,推动我国电子政务健康发展。
中国将完善灾备标准体系
本报讯 7月16日,由中国信息安全测评中心主办的第5届“中国灾难恢复行业高层论坛”召开。本届论坛意在进一步贯彻落实国家对信息系统灾难恢复提出的要求和行业管理导引。论坛上,国内首部系统论述数据中心建设与管理的专著《数据中心建设与管理指南》对外。该书是万国数据发起并组织的,适合企事业单位的中高层管理人员和数据中心相关部门的技术人员阅读使用。
华为赛门铁克通过信息安全服务资质最高级别认证
本报讯 近日,记者获悉,华为赛门铁克一次性通过中国信息安全认证中心最高级别的两项信息安全认证:信息安全风险评估服务资质认证(一级)和信息安全应急处理服务资质(一级)。据了解,信息安全风险评估是从风险管理的角度,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,并提出有针对性的抵御威胁的防护对策和整改措施。信息安全应急处理服务是处置网络与信息安全事件时、为降低安全事件给客户造成的损失或影响、信息安全服务提供商所提供的现场或远程的一系列措施和行动。
首批信安风险评估服务单位出炉 浪潮获得一级资质认证
本报讯近日,中国信息安全认证中心在京召开信息安全风险评估服务资质认证证书颁证大会,向国家信息中心等18家从事风险评估的企事业单位颁发了一、二级资质认证证书,其中,浪潮集团凭借着在信息安全领域的深厚实力脱颖而出,获得了一级服务资质认证证书。据悉,这是我国首次在信息安全风险评估领域开展服务资质认证工作,信息安全风险评估服务资质认证证书的颁发表明,我国信息安全服务资质评价制度又取得了一项重要进展。
[关键词]互联网;电子商务;风险控制
在我国市场经济下,任何商业活动都是存在风险的,电子商务也不例外,这时就需要我们正确认识电子商务的风险表现形式,合理进行规避和防范这些风险,以便更好的把握风险,合理控制风险,将风险将为最低,实现利益的最大化。
一、电子商务风险的主要表现形式
目前,电子商务风险的表现形式主要包括以下几种类型:
(一)商业风险
商业风险主要表现在消费者对产品的期望值过高,使得在运营过程中存在很大风险,虽然电子商务的最大优势是便捷和快速,越来越受广大青年朋友的喜爱,不出家门就可以买到自己喜欢的商品,便捷的物流使得第二天就能收到货。然而当消费者真正收到货时,与自己期望的落差过大,导致电子商务已不能满足消费者的需求,更为严重的是还会失去老顾客。这就要求电商在进行电子商务时不能只顾网上销售平台的建立,而忽视客户服务和产品质量等售后工作,要站在消费者角度宏观把控,力争将这种商业风险降到最低,避免给企业带来损失。
(二)技术风险
由于电商企业的特殊性,在进行运营时势必会大量使用各种信息技术,在享受这些新技术带来利益的同时也面临着相应的技术风险。主要表现在信息技术的基础措施没有完善,导致计算机硬件出现故障;还有就是对软件技术的使用,由于操作不当,使得程序里的信息全部泄露,特别是一些重要的客户信息和电商企业的内部机密被盗,给企业带来巨大损失,严重者会导致企业破产,可想而知不完善的程序设计给电子商务带来巨大的技术风险。
(三)法律风险
由于电子商务形成的时间较晚,相应的法律法规还未正式立法,而且适用法律的界限较为模糊,使得电商企业在发展时受到很大局限,加上电子商务是全球性的,导致企业在进行交易时只能不违规现行法律的规定,却又害怕与今后的法律相冲突,严重制约着企业的健康发展。电子商务主要是在虚拟的网络环境下进行交易,在进行交易时许多的电子合同,电子商务认证和网上知识产权都没有明确的法律法规,给企业造成相应的法律风险,合法权益得不到有效保障,不利于企业的正常发展和壮大。
二、电子商务风险的主要控制方法
(一)从技术层面规避风险
根据上面所说的技术风险,就需要电子商务企业在技术方面进行规避风险带来的损失。首先电商企业需要在总体的安全策略方面制度一个有效可行的方案,先熟悉和掌握保证安全性所需具备的基础性技术,然后配备相应人力和物力;其次是要制定具体的战略性方针,让相应的人力落实到位,从而建立起一套完善的管理控制架构来确保降低企业技术风险。建立虚拟专用网络供企业员工进行电子交易,同时还要将公共安全网络设置相应权限,给企业的数据进行加密,做到专用网络性能的服务,真正提高网络安全。当然,培训企业的集体防毒意识更重要,确保每部电脑上都安装可靠的杀毒软件,将企业内网和外网建立防火墙,避免遭到黑客攻击,只有这样才能真正从技术层面确保企业的网络安全,降低风险带来的损失。
(二)从制度层面规避风险
企业在进行重大决策时,首先需要从财务的专业角度去预测风险,以及风险带来的损失,合理把握企业产生的经济收益,这时就需要每个部门进行协助,将各个部门存在的风险都一一上报财务,以便做好防范准备工作。其次,还需要建立风险识别系统,一旦发现有风险,确保每个部门都识别出并及时做出应急措施,提前可以进行多次演练,确保真实发生时做到有条不紊的降低风险,同时,当出现风险时,技术部门需要及时进行总结和分析,找出风险存在的原因和如何规避下次再出现此类现象,从而建立起完善的机制,确保降低企业风险。
(三)从税收层面规避风险
由于我国电子商务市场在实践中的发展还不够完善,在带来许多商机的同时,更需要政府提供更多支持,可以从税收优惠政策和税收减免政策,从而建立起明确的税法,要求电子商务企业进行税务登记制度,将现行税法加以完善,把消费者在进行支付时就直接作为征税环节,制定出更符合电子商务市场发展的税法。以便电子商务企业有享受更多的税收政策,降低企业的税负和税收负担,鼓励更多的电商企业进行运营,从税收层面来降低企业风险。
结束语
综上所述,我们可以看出随着网络技术的不断发展,人们对电子商务的认识也越来越多,希望电子商务不断改善网络环境,真正为消费者提供更好的消费平台,从技术层面,制度层面和税收层面来规避风险,保证电子商务的安全,按照相应的合法合规流程进行交易,势必可以将风险控制在一个合理范围内,促进我国电子商务的健康快速发展,为消费者提供一个可靠的网络消费环境,让大众越来越喜爱电子商务。
参考文献
[1]徐S,丁婕,张盼.中小企业电子商务使用模式分析:基于阿里巴巴的实证研究[A].第五届(2010)中国管理学年会――信息管理分会场论文集[C].2010
[2]黄锦,顾东晓,孙祥.企业实施电子商务风险因素的实证分析――基于皖江城市带数据[J].华东经济管理.2014(06)
[3]魏明侠,张书海,程梦来.电子商务信用风险认知形成的动力学机制[A].第一届全国神经动力学学术会议程序手册&论文摘要集[C].2012
