導(dǎo)語：如何才能寫好一篇機關(guān)網(wǎng)絡(luò)安全應(yīng)急方案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：計算機網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；防火墻技術(shù)；應(yīng)用

隨著一系列網(wǎng)絡(luò)安全漏洞事件的發(fā)生，人們對網(wǎng)絡(luò)安全問題也日益重視起來，防火墻技術(shù)作為一種新興的計算機網(wǎng)絡(luò)保護及時，已經(jīng)成為了目前在保護計算機網(wǎng)絡(luò)信息安全中非常重要的一項技術(shù)性措施。近年來，隨著計算機技術(shù)的不斷發(fā)展和更新，防火墻的更新和發(fā)展也十分迅速，本文就從分析防火墻的分類入手，對防火墻的特點以及應(yīng)用方面進行簡要的探討。

1 防火墻的作用及分類

防火墻的作用是防止不希望的、未授權(quán)的通信進出被保護的網(wǎng)絡(luò)，迫使單位強化自己的網(wǎng)絡(luò)安全政策?？偟膩碚f，防火墻的基本作用概括為以下幾個方面：

（1）可以限制他人進入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶；（2） 防止入侵者接近你的防御設(shè)施；（3）限定用戶訪問特殊站點；（4）為監(jiān)視Internet安全提供方便。

事實上，在Internet上的Web網(wǎng)站中，超過三分之一的Web網(wǎng)站都是由某種形式的防火墻加以保護，這是對黑客防范最嚴，安全性較強的一種方式，任何關(guān)鍵性的服務(wù)器，都建議放在防火墻之后。

內(nèi)部網(wǎng)絡(luò)所使用的防火墻技術(shù)按照防范的方式和側(cè)重點的不同可分為很多種類型，但總體來說可分為三大類：包過濾型（Packet Filtering）、應(yīng)用型（Application Proxy）防火墻和狀態(tài)監(jiān)視器（Stateful Inspection）。

包過濾型防火墻作用在網(wǎng)絡(luò)層，檢查數(shù)據(jù)流中的每個數(shù)據(jù)包，并根據(jù)數(shù)據(jù)包的源地址、目標地址、以及包所使用端口確定是否允許該類數(shù)據(jù)包通過。

應(yīng)用服務(wù)器作用在應(yīng)用層，其特點是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的程序，實現(xiàn)監(jiān)控、過濾、記錄和報告應(yīng)用層通信流的功能。

狀態(tài)監(jiān)視器采用了一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，利用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實施監(jiān)測，一旦某個訪問違反安全規(guī)定，安全報警器就會拒絕該訪問，并作下記錄向系統(tǒng)管理器報告網(wǎng)絡(luò)狀態(tài)。

2 防火墻技術(shù)的特點和缺陷

2.1 包過濾的優(yōu)缺點

優(yōu)點：包過濾最為突出的特點就在于其通過一個過濾路由器就實現(xiàn)整個網(wǎng)絡(luò)的安全保護工作，數(shù)據(jù)包在進行過濾時，保持對用戶的透明性，同時采用該過濾路由器的過濾速度快、效率高。

缺點：包過濾在進行信息過濾時，對于地址欺騙往往缺少有效的識別，無法徹底杜絕不安全訪問信息。同時，一部分網(wǎng)絡(luò)協(xié)議不適合過濾包過濾，就導(dǎo)致一部分正常的信息無法通過過濾路由器的過濾而無法正常運行某些安全策略，進而導(dǎo)致無法防范不安全因素以及黑客等共計。另外，包過濾不支持應(yīng)用層協(xié)議，對于新的安全威脅，無法進行處理。

2.2 技術(shù)的優(yōu)缺點

優(yōu)點：應(yīng)用網(wǎng)關(guān)防火墻徹底隔斷內(nèi)網(wǎng)與外網(wǎng)的直接通信，內(nèi)網(wǎng)用戶對外網(wǎng)的訪問變成防火墻對外網(wǎng)的訪問，然后再由防火墻轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶。所有通信都必須經(jīng)應(yīng)用層軟件轉(zhuǎn)發(fā)，訪問者任何時候都不能與服務(wù)器建立直接的TCP連接，應(yīng)用層的協(xié)議會話過程必須符合的安全策略要求。應(yīng)用網(wǎng)關(guān)的優(yōu)點是可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征，對數(shù)據(jù)包的檢測能力比較強。能生成各項記錄，能靈活，完全地控制進出的流量、內(nèi)容；能過濾數(shù)據(jù)內(nèi)容，能為用戶提供透明的加密機制，可以方便地與其他安全手段集成。

缺點：速度較路由器慢，對用戶不透明，對于每項服務(wù)可能要求不同的服務(wù)器；服務(wù)不能保證你免受所有協(xié)議弱點的限制，不能改進底層協(xié)議的安全性，但是其適應(yīng)性較弱，逐步被代替。

3 防火墻的應(yīng)用

用戶選擇了最適合的防火墻后，還需要正確使用才能發(fā)揮出應(yīng)有效果，否則適得其反。安裝防火墻的基本原則是：只要有惡意侵入的可能，無論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處，都應(yīng)該安裝防火墻。

由于絕大部分的攻擊都來自于Internet，所以安裝防火墻的位置是應(yīng)該是用戶內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處，這是一切防火墻都必需擁有的基本安全保障功能。不論用戶內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)如何，只要與Internet相連接，就會有遭受攻擊的可能，就必須在這個接口處把大部分攻擊攔截在用戶內(nèi)部網(wǎng)絡(luò)之外。另外，如果企業(yè)用戶內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置有虛擬局域網(wǎng)（VLAN）則應(yīng)該在各個VLAN之間設(shè)置防火墻。一個大型企業(yè)內(nèi)部的各個組成部分之間也會存在大量的數(shù)據(jù)傳輸和業(yè)務(wù)往來，如果不在各個VLAN間設(shè)置防火墻的話，來自于內(nèi)部的攻擊（包括內(nèi)部變節(jié)者惡意攻擊和使用者的失誤）同樣能夠為企業(yè)造成重大損失。

作為一種網(wǎng)絡(luò)安全技術(shù)，防火墻具有簡單實用的特點，并且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達到一定的安全要求。但是，如果防火墻系統(tǒng)被攻破，則被保護的網(wǎng)絡(luò)處于無保護狀態(tài)。如果一個企業(yè)希望在Internet上開展商業(yè)活動，與眾多的客戶進行通信，則僅靠防火墻不能滿足要求，在具體應(yīng)用防火墻技術(shù)時，還要考慮到兩個方面：

（1）防火墻是不能防病毒的，盡管有不少的防火墻產(chǎn)品聲稱其具有這個功能。

（2）防火墻技術(shù)的另外一個弱點在于數(shù)據(jù)在防火墻之間的更新是一個難題，如果延遲太大將無法支持實時服務(wù)請求。并且，防火墻采用濾波技術(shù)，濾波通常使網(wǎng)絡(luò)的性能降低50%以上，如果為了改善網(wǎng)絡(luò)性能而購里高速路由器，又會大大提高經(jīng)濟預(yù)算。

結(jié)束語

防火墻技術(shù)的原理在于通過阻止黑客或者其他不明訪問者的訪問信息，從而在網(wǎng)絡(luò)與外部訪問之間建立起一道屏障，在現(xiàn)代網(wǎng)絡(luò)安全中起著重要的作用。隨著計算機網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)墻技術(shù)的應(yīng)用范圍也將越來越廣泛，在保護網(wǎng)絡(luò)信息完全，防止惡意侵入等方面的作用也將越來越突出。

參考文獻

[1]林國慶，張玲.計算機網(wǎng)絡(luò)安全與防火墻技術(shù)[J].榆林學(xué)院學(xué)報，2007，（2）.

[2] 徐輝，陳小永.防火墻技術(shù)淺談[J].安徽電子信息職業(yè)技術(shù)學(xué)院學(xué)報，2005，（5）.

[3]郝玉潔，.網(wǎng)絡(luò)安全與防火墻技術(shù)[J].電子科技大學(xué)學(xué)報（社科版），2002，（1）.

篇2

關(guān)鍵詞 計算機網(wǎng)絡(luò)系統(tǒng)；安全隱患；應(yīng)急模式

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2013）22-0151-01

1 計算機網(wǎng)絡(luò)系統(tǒng)應(yīng)急處理現(xiàn)狀及遇到的問題

1.1 處理現(xiàn)狀

目前，我國政府機關(guān)及社會企業(yè)單位紛紛成立了以技術(shù)管理精英為核心的計算機網(wǎng)絡(luò)系統(tǒng)應(yīng)急領(lǐng)導(dǎo)小組，成立了專門的組織部門和機構(gòu)。計算機專業(yè)技術(shù)人員以正式文件形式制定并下發(fā)網(wǎng)絡(luò)系統(tǒng)應(yīng)急方案。大多數(shù)企業(yè)內(nèi)部在應(yīng)急方案的制定上多采用以技術(shù)指導(dǎo)為主、業(yè)務(wù)拓展為輔的模式，并協(xié)調(diào)組織各部門相互配合，保障實施。當(dāng)前，我國大部分企業(yè)基本上按照國家相關(guān)政策規(guī)定認真制定了計算機網(wǎng)絡(luò)系統(tǒng)應(yīng)急方案，大部分都完成了計算機網(wǎng)絡(luò)系統(tǒng)風(fēng)險分析與評估，實現(xiàn)了對內(nèi)部計算機系統(tǒng)的安全等級劃分，應(yīng)急方案制定較為全面，總體表現(xiàn)良好。據(jù)資料顯示，八成以上企業(yè)單位計算機網(wǎng)絡(luò)系統(tǒng)應(yīng)急硬件設(shè)備設(shè)施基本到位。較之過去，如今的應(yīng)急處理環(huán)境獲得較大改善，客戶機、服務(wù)器、路由器、發(fā)電機、UPS電源燈等備用設(shè)備紛紛到位，為應(yīng)急處理打下堅實基礎(chǔ)。

1.2 遇到的問題

1）數(shù)據(jù)中心出現(xiàn)上移現(xiàn)象。經(jīng)調(diào)查研究發(fā)現(xiàn)，我國目前計算機網(wǎng)絡(luò)系統(tǒng)應(yīng)急處理數(shù)據(jù)中心出現(xiàn)上移現(xiàn)象。以某市某銀行為例，通過數(shù)據(jù)分析，銀行負責(zé)人發(fā)現(xiàn)近期該市多家金融機構(gòu)信息數(shù)據(jù)中心往省級銀行、銀行總部方向集中，在一定程度上降低了該市銀行的金融風(fēng)險。然而，這種情況發(fā)生并不只是帶來好處，相反，數(shù)據(jù)中心出現(xiàn)上移現(xiàn)象的負面影響更大。如果業(yè)務(wù)處理長期大量依賴遠端數(shù)據(jù)中心及長距離的主干通信網(wǎng)絡(luò)，一旦上級中心發(fā)生故障，下級業(yè)務(wù)也將受到連帶影響，銀行整體系統(tǒng)都將終止運行，很難通過本地系統(tǒng)實現(xiàn)修復(fù)，事實上大大增加了較低級金融風(fēng)險應(yīng)急控制難度。

2）線路單一存在隱患。當(dāng)前我國大多數(shù)企業(yè)單位內(nèi)部使用的通信線路多為一家電信公司，而計算機互聯(lián)網(wǎng)系統(tǒng)線路的通暢與否又與電信部門設(shè)施服務(wù)品質(zhì)息息相關(guān)，因此，單一地選用一家電信公司網(wǎng)路存在明顯隱患。針對這種情況，目前大多數(shù)企業(yè)單位都開始嘗試使用多家通信公司，使用不同通信介質(zhì)、服務(wù)公司、通信方式為企業(yè)內(nèi)部數(shù)據(jù)信息完成備份。

2 計算機網(wǎng)絡(luò)系統(tǒng)存在安全隱患的原因

2.1 計算機操作系統(tǒng)存在嚴重漏洞

眾所周知，計算機系統(tǒng)具有集成、擴散兩種基本功能，而且這兩種功能結(jié)構(gòu)非常復(fù)雜，因此，用戶在日常操作中常常會遭遇漏洞問題。漏洞的產(chǎn)生是無法絕對避免的，當(dāng)前條件下，沒有一個計算機系統(tǒng)不受漏洞威脅，也沒有任何一種補丁程序能夠完美阻止系統(tǒng)自身的漏洞。針對這個問題，這就要求用戶在計算機網(wǎng)絡(luò)系統(tǒng)使用過程中高度重視系統(tǒng)的日常維護，定期對系統(tǒng)進行升級更新，完成漏洞修補。

2.2 網(wǎng)絡(luò)協(xié)議存在漏洞

一般來講，網(wǎng)絡(luò)協(xié)議（TCP/IP）的漏洞包含兩種：協(xié)議服務(wù)上的漏洞；自身協(xié)議的漏洞。數(shù)據(jù)鏈接層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層共同構(gòu)成網(wǎng)絡(luò)協(xié)議的四個層次，計算機網(wǎng)絡(luò)系統(tǒng)攻擊者就是從這四個層次的漏洞中對計算機網(wǎng)絡(luò)系統(tǒng)展開攻擊。以第一層數(shù)據(jù)鏈接層為例，在這一層中，互聯(lián)網(wǎng)絡(luò)中的所有計算機都位于同一個網(wǎng)絡(luò)節(jié)點，每臺計算機發(fā)送的數(shù)據(jù)包都共用同一條通信通道，由此，攻擊者通過更改通道，將錯誤的數(shù)據(jù)包發(fā)送至通信通道的每一處節(jié)點，導(dǎo)致系統(tǒng)故障；除了數(shù)據(jù)鏈接層以外，攻擊者還可以經(jīng)由防火墻漏洞或者傳輸層關(guān)閉對計算機網(wǎng)絡(luò)系統(tǒng)破壞；盜取TFTP服務(wù)賬戶及密碼等在應(yīng)用層中對計算機網(wǎng)絡(luò)系統(tǒng)產(chǎn)生多種破壞等。

2.3 病毒

隨著科學(xué)技術(shù)的不斷進步，近年來，各式各樣的網(wǎng)絡(luò)病毒層出不窮，嚴重威脅著計算機網(wǎng)絡(luò)安全，影響人民群眾的正常生產(chǎn)生活。病毒的破壞性極大，常見的木馬病毒會使計算機系統(tǒng)運行緩慢，降低用戶工作效率；嚴重的病毒甚至?xí)?dǎo)致計算機系統(tǒng)癱瘓，造成數(shù)據(jù)文件丟失；更有甚者，直接造成計算機硬件設(shè)備的損壞。另外，病毒還具有非常強大的繁殖再生功能，它可以自我復(fù)制計算機系統(tǒng)內(nèi)的程序代碼和操作指令，并對這些代碼、指令進行修改，從而達到破壞計算機網(wǎng)絡(luò)系統(tǒng)的目的。值得注意的是，網(wǎng)路病毒的隱蔽性非常強，常常需要防火墻和防病毒軟件才能得以發(fā)現(xiàn)。

3 計算機網(wǎng)絡(luò)系統(tǒng)應(yīng)急接入模式分析

3.1 數(shù)字加密

數(shù)字加密，顧名思義，即計算機網(wǎng)絡(luò)系統(tǒng)用戶對需要保護的重要數(shù)據(jù)、信息、文件進行密碼保護的過程。經(jīng)過“數(shù)字加密”操作后，即便信息被黑客、攻擊者或不法分子通過漏洞盜取，也不會被解密，通過這種應(yīng)急接入模式的應(yīng)用，黑客、攻擊者或不法分子就無法獲得真正的數(shù)據(jù)系統(tǒng)。應(yīng)該高度注意的是，在對信息進行數(shù)字加密時，應(yīng)該保證密碼的不可解密性，因此，這一模式下密碼設(shè)置是關(guān)鍵。目前，數(shù)字加密技術(shù)應(yīng)用范圍已經(jīng)十分廣泛，尤其在金融商貿(mào)領(lǐng)域，很多國際訂單都采用數(shù)字加密對系統(tǒng)數(shù)據(jù)予以保護，效果顯著。

3.2 防病毒軟件

隨著網(wǎng)絡(luò)病毒的誕生，防病毒軟件也獲得了飛速發(fā)展。目前市場上的防病毒軟件種類多樣，各有特色。這些防病毒軟件在實際工作中，主要對計算機網(wǎng)絡(luò)系統(tǒng)內(nèi)部病毒進行查殺、檢測、提醒等，然而，在當(dāng)前技術(shù)條件下，防病毒軟件使用過程中又會產(chǎn)生新的計算機病毒，造成網(wǎng)絡(luò)環(huán)境更為復(fù)雜，而且這種衍生性病毒對計算機網(wǎng)絡(luò)系統(tǒng)的危害更大。因此，當(dāng)防病毒軟件提示系統(tǒng)出現(xiàn)病毒威脅時，網(wǎng)絡(luò)管理員應(yīng)對產(chǎn)生的病毒進行迅速徹底清除。

3.3 防火墻

當(dāng)前常見的防火墻有軟件防火墻、硬件防火墻、嵌入式防火墻三類。它的工作原理是通過設(shè)置屏障（內(nèi)部網(wǎng)與外部網(wǎng)之間）以保護內(nèi)網(wǎng)不受黑客、攻擊者或不法分子的非法入侵，保護內(nèi)網(wǎng)系統(tǒng)不受破壞。防火墻還可以對內(nèi)網(wǎng)不同等級模塊設(shè)置不同賬戶和相應(yīng)密碼，以對抗紛繁復(fù)雜的漏洞攻擊。最后，防火墻還能夠通過監(jiān)控程序記錄來訪者身份，實現(xiàn)對非法用戶的瞬時報警。

參考文獻

[1]張鵬，周云.計算機網(wǎng)絡(luò)應(yīng)急接入模式研究[A].四川省通信學(xué)會.四川省通信學(xué)會2010年學(xué)術(shù)年會論文集[C].四川省通信學(xué)會，2010.

[2]丁火平.基于空間信息技術(shù)的城市應(yīng)急管理系統(tǒng)研究[D].中國地質(zhì)大學(xué)（北京），2009.

[3]湯昌娥.關(guān)于圖書館計算機網(wǎng)絡(luò)系統(tǒng)建設(shè)的分析與思考[J].科技致富向?qū)В?012（30）：266，311.

篇3

云時代到來，帶來了大數(shù)據(jù)的爆炸式增長。我們每一個人都是云計算和大數(shù)據(jù)的受益者，但另一方面，信息泄露的風(fēng)險又給每一個受益者帶來了隱形的困擾。

云計算安全的幾個核心問題包括身份與權(quán)限控制、WEB安全防護、虛擬化的安全等。面對云計算的安全問題，現(xiàn)如今有許多基于云服務(wù)提供的安全，包括Web和郵件過濾、網(wǎng)絡(luò)流量訪問控制和監(jiān)控，以及用于支付卡業(yè)務(wù)的標記化。不同安全服務(wù)的一個重要區(qū)別是，一些是“在云中”的、一些是“針對云”的，即那些集成到云環(huán)境中作為虛擬設(shè)備提供給用戶使用和控制的安全服務(wù)。

什么是網(wǎng)絡(luò)安全

近些年，國內(nèi)網(wǎng)絡(luò)安全概念很熱，國家層面在談、政府在談、各種公司在談，各行各業(yè)的從業(yè)人員也在談，仿佛網(wǎng)絡(luò)安全一下子從圈子內(nèi)專業(yè)人員的小眾化專業(yè)詞匯，變成眾人熱捧的時尚名詞，從業(yè)人員無論是薪水還是專業(yè)地位都得到了前所未有的提高與重視。

從這個詞語本身來看，大概在上世紀90年代末期國內(nèi)出現(xiàn)了與計算機安全有關(guān)的內(nèi)容與要求，稱為網(wǎng)絡(luò)安全，如果對應(yīng)成英文會更容易理解Network Security，以網(wǎng)絡(luò)為核心的安全。

當(dāng)時的環(huán)境，信息化建設(shè)較早的公司開始建設(shè)企業(yè)網(wǎng)絡(luò)，國家也在開始部署“某金工程”，即金卡、金關(guān)、金盾等，核心內(nèi)容就是兩個業(yè)務(wù)系統(tǒng)信息化與跨地域網(wǎng)絡(luò)聯(lián)通，這種大環(huán)境下，安全的重點就不難理解為網(wǎng)絡(luò)層面的安全，保護網(wǎng)絡(luò)的邊界，確保聯(lián)網(wǎng)后不出現(xiàn)重大安全事件。

過了幾年，2005～2006年左右，開始采用信息安全這個詞語，對應(yīng)的英文變?yōu)镮nformation Security，更加重視保護信息，也就是內(nèi)容與數(shù)據(jù)，這時的信息安全所指的安全涵蓋范圍更廣泛，內(nèi)容更多樣，包括了傳統(tǒng)的網(wǎng)絡(luò)安全內(nèi)容，也包括了信息、數(shù)據(jù)等安全內(nèi)容。

近幾年，安全的專業(yè)詞語又發(fā)生了變化，同樣是網(wǎng)絡(luò)安全，但這個網(wǎng)絡(luò)安全不同于最初的網(wǎng)絡(luò)安全，從英文上看，已經(jīng)演化為Cyber Security，可以理解為網(wǎng)絡(luò)空間的安全，這個范圍就更大更廣泛了，甚至不僅僅是商業(yè)視角的范疇了

不管稱為網(wǎng)絡(luò)安全也好，信息安全也罷，詞語在更新，內(nèi)容在演化，涵蓋的領(lǐng)域也在不斷完善與豐富。

數(shù)據(jù)的煩惱

騰訊移動安全實驗室數(shù)據(jù)顯示，2015年上半年，手機支付木馬病毒新增29762個，感染用戶總數(shù)達到1145.5萬，最高峰6月平均每天6.8萬名用戶中毒。

去年12月25日中國鐵路購票網(wǎng)站12306遭遇“撞庫”攻擊轟動一時，超過13萬條用戶隱私數(shù)據(jù)在互聯(lián)網(wǎng)瘋傳，用戶賬號、密碼、身份證號、注冊郵箱等數(shù)據(jù)被大范圍流傳、買賣，鐵路公安機關(guān)抓獲犯罪嫌疑人兩名。“撞庫”是指黑客將得到的數(shù)據(jù)在其它網(wǎng)站上進行嘗試登錄，因為很多用戶喜歡使用統(tǒng)一的用戶名密碼，“撞庫”也可以使黑客收獲頗豐。

相應(yīng)的，盜取用戶身份證、銀行卡號、手機號等隱私信息的黑產(chǎn)團伙周邊產(chǎn)業(yè)鏈也不斷完善，因網(wǎng)購訂單泄漏、快遞訂單泄漏而導(dǎo)致的詐騙案件頻頻見諸報端，可見當(dāng)前互聯(lián)網(wǎng)黑產(chǎn)的主要危害已經(jīng)從傳統(tǒng)的賬號安全逐漸轉(zhuǎn)移至用戶個人信息安全。

手機木馬盜刷網(wǎng)銀已經(jīng)形成由買賣個人信息、制作植入木馬病毒、盜刷、線下轉(zhuǎn)移資金等組成的職業(yè)化明顯的作案團伙。另外，黑產(chǎn)團伙利用互聯(lián)網(wǎng)技術(shù)跨平臺進行非法洗錢銷贓，也致使多個互聯(lián)網(wǎng)平臺及電商蒙受信譽及實際經(jīng)濟損失。

互聯(lián)網(wǎng)深度數(shù)據(jù)分析公司TOMsInsight在其最新的分析報告《互聯(lián)網(wǎng)黑市分析：社工庫的傳說》中指出，全國流量排名前100的網(wǎng)站有近8成的用戶數(shù)據(jù)庫已被黑客盜取，變相為網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈提供大數(shù)據(jù)來源。從去年下半年開始，網(wǎng)絡(luò)上有數(shù)以千計的黑產(chǎn)從業(yè)人員從傳統(tǒng)的點卡、盜號詐騙轉(zhuǎn)移到銀行卡盜刷產(chǎn)業(yè)。

目前，企業(yè)面臨的威脅最大的安全風(fēng)險有網(wǎng)站滲透、僵尸網(wǎng)絡(luò)、DDoS攻擊。這些威脅給企業(yè)帶來的可能危害有：商業(yè)機密被竊取、網(wǎng)站被篡改后導(dǎo)致的名譽受損、觸犯國家的法律法規(guī)、數(shù)據(jù)丟失等。

很多企業(yè)現(xiàn)在只是把一些非敏感的應(yīng)用搬到云端，很多真正的IT關(guān)鍵應(yīng)用實際上并沒有向云端遷移，但云計算對很多初創(chuàng)公司卻具有難以抗拒的吸引力。隨著云計算技術(shù)的不斷發(fā)展，越來越多的企業(yè)以及其他社會單位考慮將自己的關(guān)鍵業(yè)務(wù)放在云端運行，這也帶來一個問題――那就是安全，黑客和破壞者們開始將目標瞄向云端了。

云端新挑戰(zhàn)

隨著云計算、移動互聯(lián)網(wǎng)技術(shù)對企業(yè)的一步步“侵蝕”，企業(yè)的安全邊界被徹底打破。“面對如今復(fù)雜的安全形勢，傳統(tǒng)的安全解決方案早已過時，安全不再是一個產(chǎn)品或者幾個產(chǎn)品的組合，而是一整套思路、方法論以及認知?！本W(wǎng)絡(luò)安全企業(yè)杭州迪普科技有限公司（以下簡稱“迪普科技”）總裁王冰稱，以云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)等技術(shù)為代表的下一代互聯(lián)網(wǎng)技術(shù)對安全提出了新的要求。

服務(wù)器虛擬化和數(shù)據(jù)集中部署顯著地改變了傳統(tǒng)網(wǎng)絡(luò)應(yīng)用模式，飛速增長的數(shù)據(jù)和業(yè)務(wù)不僅使網(wǎng)絡(luò)架構(gòu)變得非常復(fù)雜，同時也面臨網(wǎng)絡(luò)安全、應(yīng)用體驗、業(yè)務(wù)持續(xù)可用等巨大挑戰(zhàn)。

根據(jù)IDC的調(diào)查，安全問題一直是云計算中最受關(guān)注的方面。國內(nèi)的報告也有類似的結(jié)論，調(diào)查的受訪對象都有技術(shù)安全性方面的擔(dān)憂，恰恰是這種擔(dān)憂阻礙其遷移到云計算平臺。

事實上，有些云服務(wù)提供商會對用戶的數(shù)據(jù)進行加密，同時還會將用戶的數(shù)據(jù)進行備份，一段時間后才會摧毀這些數(shù)據(jù)，所以企業(yè)在走入云端之前務(wù)必做好這方面的風(fēng)險預(yù)估以及應(yīng)急方案。

因此，要讓企業(yè)和組織大規(guī)模應(yīng)用云計算技術(shù)與平臺，放心地將自己的數(shù)據(jù)交付于云服務(wù)提供商管理，就必須全面地分析，并著手解決云計算所面臨的安全問題。

云計算管理著企業(yè)的關(guān)鍵數(shù)據(jù)，企業(yè)和個人是不是會更容易成為黑客的攻擊對象呢？這也許不是一個常見的問題，但不是沒有發(fā)生的可能。

數(shù)據(jù)威脅。數(shù)據(jù)問題對每位CIO來說都是頭等大事。因為泄露帶來的最大噩夢就是自己公司敏感的內(nèi)部數(shù)據(jù)落入了競爭者之手，這也讓高管們寢食難安，云計算則為這一問題增加了新的挑戰(zhàn)。

對于消費者和企業(yè)雙方而言，數(shù)據(jù)丟失都是非常嚴重的問題。而存儲在云中的數(shù)據(jù)則可能因為其他的原因造成丟失。云服務(wù)供應(yīng)商的一次刪除誤操作，或者火災(zāi)等自然因素導(dǎo)致的物理性損害，都可能導(dǎo)致用戶數(shù)據(jù)丟失，除非供應(yīng)商做了非常到位的備份工作。

但數(shù)據(jù)丟失的責(zé)任并非總是只在供應(yīng)商一方，比如，如果用戶在上傳數(shù)據(jù)之前加密不妥當(dāng)，然后自己又弄丟了密鑰，那么也可能造成數(shù)據(jù)丟失。

內(nèi)部操作問題。不論是在企業(yè)內(nèi)部還是云計算服務(wù)提供商內(nèi)部，人員的惡意操作都是非常危險的，同樣后果也非常嚴重。云服務(wù)提供商肯定不會透露其雇員在物理服務(wù)器和虛擬化方面的水平，更不會告訴你他的分析和報告政策。

惡意的內(nèi)部人員在安全行業(yè)。來自內(nèi)部惡意人員造成的威脅已經(jīng)成為一個爭議話題。對組織存在威脅的惡意內(nèi)部人員可能是那些有進入企業(yè)組織網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫權(quán)限的在任的或曾經(jīng)的員工、承包商，或者其他業(yè)務(wù)伙伴，他們?yōu)E用權(quán)限，導(dǎo)致企業(yè)組織的系統(tǒng)和數(shù)據(jù)的機密性、完整性、可用性受損。

這也就意味著只要有了一定級別的授權(quán)，內(nèi)部人員就可以獲得機密數(shù)據(jù)并控制云服務(wù)。其實，用戶是可以獲得這些操作信息的，只要在簽訂服務(wù)級別協(xié)議的時候提出來就可以了。

云時代的數(shù)據(jù)中心防火墻與傳統(tǒng)防火墻最大的不同在于，傳統(tǒng)防火墻主要防護的是由數(shù)據(jù)中心外部來的訪問流量，也就是我們稱的南北向流量；而云數(shù)據(jù)中心防火墻除了南北向流量之外，還有東西向的流量，即虛擬機之間、租戶之間的互訪也需要通過防火墻進行安全防護。因此對于防火墻的性能要求更高，100G吞吐量以上的防火墻需求將會越來越普遍。

篇4

關(guān)鍵詞：電子商務(wù) 風(fēng)險管理 解決方法

隨著開放的互聯(lián)網(wǎng)絡(luò)系統(tǒng)Internet的飛速發(fā)展，電子商務(wù)的應(yīng)用和推廣極大地改變了人們工作和生活方式，帶來了無限的商機。然而，電子商務(wù)發(fā)展所依托的平臺——互聯(lián)網(wǎng)絡(luò)卻充滿了巨大、復(fù)雜的安全風(fēng)險。黑客的攻擊、病毒的肆虐等等都使得電子商務(wù)業(yè)務(wù)很難安全順利地開展；此外，電子商務(wù)的發(fā)展還面臨著嚴峻的內(nèi)部風(fēng)險，電子商務(wù)企業(yè)內(nèi)部對安全問題的盲目和安全意識的淡薄，高層領(lǐng)導(dǎo)對電子商務(wù)的運作和安全管理重視程度不足，使得企業(yè)實施電子商務(wù)不可避免地會遇到這樣或那樣的風(fēng)險。因此，在考察電子商務(wù)運行環(huán)境、提供電子商務(wù)安全解決方案的同時，有必要重點評估電子商務(wù)系統(tǒng)面臨的風(fēng)險問題以及對風(fēng)險有效管理和控制方法。

電子商務(wù)安全的風(fēng)險管理是對電子商務(wù)系統(tǒng)的安全風(fēng)險進行識別、衡量、分析，并在這基礎(chǔ)上盡可能地以最低的成本和代價實現(xiàn)盡可能大的安全保障的科學(xué)管理方法。

1.電子商務(wù)的內(nèi)涵

1.1內(nèi)涵

電子商務(wù)一詞源于英文 Electronic Commerce或 Electronic Business，現(xiàn)已經(jīng)成為當(dāng)代社會的潮流，其含義有兩個內(nèi)容，其一，電子方式，其二，商貿(mào)活動，即整個商務(wù)過程的電子化、網(wǎng)絡(luò)化和數(shù)字化，交易雙方可以便捷卻并不面對面地進行各種商貿(mào)活動，利用這種快速、低成本的電子通訊方式，它將覆蓋與商務(wù)活動有關(guān)的方方面面。

針對人們對這個熱詞理解的不同，電子商務(wù)有廣義和狹義之分。廣義上說，電子商務(wù)是指利用一切電子方式所從事的貿(mào)易活動。電子方式指的是電子技術(shù)設(shè)備、電子技術(shù)工具及系統(tǒng)，包括早期的電報、電視、電話、傳真、Email、廣播、電子計算機、電信網(wǎng)絡(luò)和當(dāng)今的電子貨幣、信用卡、網(wǎng)銀盾、信息基礎(chǔ)設(shè)施及互聯(lián)網(wǎng)等現(xiàn)代通信網(wǎng)絡(luò)系統(tǒng)。貿(mào)易活動則指的是一系列市場經(jīng)濟活動，包括信息、詢價報價、洽談、簽約、結(jié)算支付、商業(yè)交易、國內(nèi)外貿(mào)易等等。由于信息技術(shù)快速發(fā)展和計算機網(wǎng)絡(luò)的普及使電子商務(wù)得到廣泛地運用，從狹義上講，電子商務(wù)則是利用計算機網(wǎng)絡(luò)進行的商務(wù)活動。

1.2分類

目前，電子商務(wù)按交易內(nèi)容基本分為直接電子商務(wù)和間接電子商務(wù)兩大類型。直接電子商務(wù)是指商家將服務(wù)產(chǎn)品和無形商品內(nèi)容數(shù)字化，不需要某種特定物質(zhì)形式的包裝，直接在網(wǎng)上以電子形式傳送給消費者，通過互聯(lián)網(wǎng)或?qū)Ｓ镁W(wǎng)直接實現(xiàn)交易。間接電子商務(wù)又稱不完全的電子商務(wù)，指在網(wǎng)上進行的交易環(huán)節(jié)只能是訂貨、支付和部分的售后服務(wù)，而商品的配送還需依靠送貨的運輸系統(tǒng)等外部要素，即由專業(yè)的服務(wù)機構(gòu)或現(xiàn)代物流配送公司去完成。

2.電子商務(wù)面臨的安全風(fēng)險

2.1互聯(lián)網(wǎng)絡(luò)的開放化帶來的數(shù)據(jù)破壞風(fēng)險

電子商務(wù)是以互聯(lián)網(wǎng)絡(luò)為平臺的貿(mào)易新模式，它的一個最大特點是強調(diào)參加交易的各方和所合作的伙伴都要通過Internet密切結(jié)合起來，共同從事在阿絡(luò)環(huán)境下的商業(yè)電子化應(yīng)用。在電子商務(wù)環(huán)境下商務(wù)交易必須通過互聯(lián)網(wǎng)絡(luò)來進行，而互聯(lián)網(wǎng)體系使用的是開放式的TCP／IP協(xié)議，它以廣播的形式進行傳播。容易受到計算機病毒、黑客的攻擊，商業(yè)信息和數(shù)據(jù)易于搭截偵聽、口令試探和竊取，給企業(yè)的數(shù)據(jù)信息安全帶來極大威脅，如遭破壞或泄密，將會給電子企業(yè)、商戶造成巨大的損失。

2.2系統(tǒng)軟件安全漏洞帶來的風(fēng)險

由于現(xiàn)階段廣泛應(yīng)用的主流操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)是從國外引進直接使用的產(chǎn)品。核心技術(shù)還是使用引進的版本。這些系統(tǒng)安全性存在系統(tǒng)漏洞等不少危及信息安全的問題。系統(tǒng)軟件安全漏洞帶來的風(fēng)險主要來自操作系統(tǒng)軟件和數(shù)據(jù)庫管理系統(tǒng)軟件的安全漏洞。沒有作系統(tǒng)的保護，就不可能有網(wǎng)絡(luò)系統(tǒng)的安全，也不可能有應(yīng)用軟件信息處理的安全性。

2.3來自社會的外來入侵風(fēng)險

電子商務(wù)容易被來自社會上的不法分子通過互聯(lián)網(wǎng)絡(luò)非法入侵，主要表現(xiàn)形式是黑客和病毒等對電子商務(wù)系統(tǒng)的文件和數(shù)據(jù)的篡改和破壞，是一種社會道德風(fēng)險。黑客通過闖入他人計算機系統(tǒng)進行破壞，這些人利用電子商務(wù)系統(tǒng)和管理上的一些漏洞，進入計算機系統(tǒng)后，破壞或篡改重要數(shù)據(jù)，盜取機密與資源，控制他人的機器，清除記錄。設(shè)置后門，給電子商務(wù)系統(tǒng)帶來災(zāi)難性的后果。而計算機病毒是人為編寫的一組程序，可以攻擊電子商務(wù)系統(tǒng)的數(shù)據(jù)區(qū)、文件和內(nèi)存，以致使計算機的硬件失靈，軟件癱瘓。數(shù)據(jù)破壞，系統(tǒng)崩潰，給企業(yè)和商戶造成無法挽回的巨大損失。

2.4電子商務(wù)本身內(nèi)部監(jiān)管漏洞帶來的風(fēng)險

電子商務(wù)本身如果缺乏約束機制，責(zé)權(quán)不明，管理混亂、安全管理制度不健全等是引起電子商務(wù)系統(tǒng)安全風(fēng)險的頭號風(fēng)險根源。如果沒有嚴格的可操作性的內(nèi)部管理制度，容易造成當(dāng)系統(tǒng)出現(xiàn)攻擊行為或受到其它一些安全威脅時（如內(nèi)部人員的違規(guī)操作等），無法進行實時的檢測、監(jiān)控、報告與預(yù)警，而且，當(dāng)事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對系統(tǒng)的可控性與可審查性。

3.電子商務(wù)交易運行的風(fēng)險

3.1信用風(fēng)險

傳統(tǒng)商務(wù)交易一般使用以紙為介質(zhì)形式的手寫簽名或證明文件等方式來證明或確認商務(wù)的交易，應(yīng)該說比較容易辨認真?zhèn)危僮黠@得比較容易。而在基于互聯(lián)網(wǎng)絡(luò)為交易平臺的電子商務(wù)形式下，參與商業(yè)交易均在互聯(lián)網(wǎng)上進行，雙方并不存在與傳

統(tǒng)商業(yè)模式的見面、磋商、談判、監(jiān)證、簽署文件等問題，這就需要通過一定的技術(shù)手段相互認證，如數(shù)據(jù)加密技術(shù)、數(shù)字簽名、數(shù)字證書等技術(shù)來保證電子商務(wù)交易的安全。在電子商務(wù)環(huán)境下，由于電子報表、電子文件、電子合同等無紙介質(zhì)的使用，無法使用傳統(tǒng)的簽字方式，從而在辨別真?zhèn)紊洗嬖谛碌娘L(fēng)險，電子商務(wù)的成功與否取決于消費者對網(wǎng)上交易的信任程度，電子商務(wù)的信任風(fēng)險實質(zhì)是由網(wǎng)絡(luò)交易的虛擬化造成的，首先是買方信用風(fēng)險。在網(wǎng)絡(luò)中個人可以任意偽造信息，可以偽造假信用卡騙取賣方商品。從而給賣方帶來風(fēng)險。然后是賣方信用風(fēng)險，由于信息不對稱的原因消費者不可能全部掌握商家商品信息。賣方商品信息不完全、不準確或商家過分誘導(dǎo)消費者從而誤導(dǎo)消費者購買行為；另外，賣家單方面毀約。不履行交易，也會對買方造成損失。所以電子商務(wù)應(yīng)用過程中遇到的信用風(fēng)險問題，是值得關(guān)注的問題。

3.2法律風(fēng)險

電子商務(wù)在交易過程中存在法律風(fēng)險，由于電子商務(wù)是在網(wǎng)絡(luò)間進行的，電子商務(wù)交易可以看作是無紙貿(mào)易，是一個虛擬環(huán)境的交易，當(dāng)前對這些虛擬交易的法律監(jiān)管卻并不完善，這些問題使得電子商務(wù)認證、交易會有不受法律保護的風(fēng)險。另外，電子商務(wù)貿(mào)易還存在知識產(chǎn)權(quán)的風(fēng)險，網(wǎng)絡(luò)是個開放的平臺，資源在網(wǎng)絡(luò)中的傳播是暢通的。在網(wǎng)絡(luò)中資源的共享性使得有知識產(chǎn)權(quán)的資源受保護的力度被降低，因此可能帶來電子商務(wù)交易的知識產(chǎn)權(quán)糾紛等法律的風(fēng)險問題。

3.3電子商務(wù)風(fēng)險管理

電子商務(wù)安全的風(fēng)險管理（Risk Management）是對電子商務(wù)系統(tǒng)的安全風(fēng)險進行識別、衡量、分析，并在此基礎(chǔ)上盡可能地以最低的成本和代價實現(xiàn)盡可能大的安全保障的科學(xué)管理方法。其本質(zhì)就是防患于未然：事前加以消減和控制，事后積極響應(yīng)和處理，為響應(yīng)和處理所做的準備就是制訂應(yīng)急計劃。

4.風(fēng)險管理步驟

了解了電子商務(wù)存在的風(fēng)險之后，需要對這些風(fēng)險進行管理和控制。具體包括風(fēng)險識別、風(fēng)險分析、風(fēng)險應(yīng)對和風(fēng)險監(jiān)控4個過程。選擇有效的手段，以盡可能降低成本，有計劃地處理風(fēng)險，以獲得企業(yè)安全運作的經(jīng)濟保障。這就要求企業(yè)在日常經(jīng)營過程中，應(yīng)對可能發(fā)生的風(fēng)險進行識別，預(yù)測各種風(fēng)險發(fā)生后對資源及日常經(jīng)營造成的消極影響，使企業(yè)能夠順利經(jīng)營。

4.1 風(fēng)險識別

對電子商務(wù)系統(tǒng)的安全而言，風(fēng)險識別的目標主要是對電子商務(wù)系統(tǒng)的網(wǎng)絡(luò)環(huán)境風(fēng)險、數(shù)據(jù)存取風(fēng)險和網(wǎng)上支付風(fēng)險進行識別。識別風(fēng)險的方法有很多，主要有：試驗數(shù)據(jù)和結(jié)果、專家調(diào)查法、事件樹分析法。電子商務(wù)風(fēng)險識別最常用的一種方法就是收集各種曾經(jīng)發(fā)生過的電子商務(wù)攻擊事件（不僅局限于本企業(yè)），經(jīng)過分析提取出若干特征，將其存儲到“風(fēng)險”庫，作為識別潛在風(fēng)險的參考。

4.2風(fēng)險分析

風(fēng)險分析的目的是確定每種風(fēng)險對企業(yè)影響的大小，一般是對已經(jīng)識別出來的電子商務(wù)風(fēng)險進行量化估計。這里量化的概念主要指風(fēng)險影響指標，風(fēng)險概率以及風(fēng)險值。技術(shù)安全是電子商務(wù)實現(xiàn)的基礎(chǔ)，其重要性不言而喻，因此在該項目規(guī)劃、計劃階段就應(yīng)充分考慮。

4.3 風(fēng)險應(yīng)對（風(fēng)險控制）

根據(jù)風(fēng)險性質(zhì)和企業(yè)對風(fēng)險的承受能力制訂相應(yīng)的防范計劃，即風(fēng)險應(yīng)對。確定風(fēng)險的應(yīng)對策略后，就可編制風(fēng)險應(yīng)對計劃。電子商務(wù)的技術(shù)風(fēng)險控制主要是針對網(wǎng)絡(luò)環(huán)境風(fēng)險、數(shù)據(jù)存取風(fēng)險和網(wǎng)上支付風(fēng)險制訂風(fēng)險應(yīng)對策略，從硬件、軟件兩方面加強IT基礎(chǔ)設(shè)施建設(shè)。

4.險監(jiān)控

制定規(guī)劃，實施保護措施，在保護措施實施的每一個階段都要進行監(jiān)控和跟蹤。風(fēng)險貫穿于電子商務(wù)項目的整個生命周期中，因而風(fēng)險管理是個動態(tài)的、連續(xù)的過程。因此制訂了風(fēng)險防范計劃后，還需要時刻監(jiān)督風(fēng)險的發(fā)展與變化情況。

5.風(fēng)險管理規(guī)則的制定

5.1評估階段

該階段的主耍任務(wù)是對電子商務(wù)的安全現(xiàn)狀、要保護的信息、各種資產(chǎn)等進行充分的評估以及一些基本的安全風(fēng)險識別和分析。

對電子商務(wù)安全現(xiàn)狀的評估是制定風(fēng)險管理規(guī)則的基礎(chǔ)。

對信息和資產(chǎn)的評估是指對可能遭受損失的相關(guān)信息和資產(chǎn)進行價值的評估，以便確定相適應(yīng)的風(fēng)險管理規(guī)則，從而避免投入成本和要保護的信息和資產(chǎn)的嚴重不匹配。

安全風(fēng)險識別要求盡可能地發(fā)現(xiàn)潛在的安全風(fēng)險，應(yīng)收集有關(guān)各種威脅、漏洞、開發(fā)和對策的信息。

安全風(fēng)險分析是確定風(fēng)險，收集信息，對可能造成的損失進行評價以估計風(fēng)險的級別，以便做出明智的決策，從而采取措施來規(guī)避安全風(fēng)險。

5.2開發(fā)和實施階段

該階段的任務(wù)包括風(fēng)險補救措施開發(fā)、風(fēng)險補救措施測試和風(fēng)險知識學(xué)習(xí)。 風(fēng)險補救措施開發(fā)利用評估階段的成果來建立一個新的安全管理策略，其中涉 及配置管理、修補程序管理、系統(tǒng)監(jiān)視與審核等等。

在完成對風(fēng)險補救措施的開發(fā)后，即進行安全風(fēng)險補救措施的測試，在測試過程中，將按照安全風(fēng)險的控制效果來評估對策的有效性。

5.3運行階段

運行階段的主耍任務(wù)包括在新的安全風(fēng)險管理規(guī)則下評估新的安全風(fēng)險。這個過程實際上是變更管理的過程，也是執(zhí)行安全配置管理的過程。運行階段的第二個任務(wù)是對新的或已更改的對策進行穩(wěn)定性測試和部署。這個 過程由系統(tǒng)管理、安全管理和網(wǎng)絡(luò)管理小組來共同實施。

6.風(fēng)險管理對策

由于電子商務(wù)安全的重要性，所以部署一個完整有效的電子商務(wù)安全風(fēng)險管理對策顯得十分迫切。制定電子商務(wù)安全風(fēng)險管理對策目的在于消除潛在的威脅和安全漏洞，從而降低電子商務(wù)系統(tǒng)環(huán)境所面臨的風(fēng)險。

6.1縮短電子商務(wù)項目周期，增加更多的項目選擇

減輕電子商務(wù)風(fēng)險的一個最簡單的方法就是縮短電子商務(wù)項目周期，因為電子商務(wù)所面臨的外界環(huán)境，如技術(shù)環(huán)境，競爭環(huán)境等變化太快，如果電子商務(wù)項目過大，即使你的項目本身成功了，但由于環(huán)境的改變，這個成功的電子商務(wù)項目未必能給企業(yè)帶來原先設(shè)想的利益。

6.2自上而下的風(fēng)險意識

很多的企業(yè)認為，電子商務(wù)項目是個技術(shù)項目，只需要相關(guān)的技術(shù)部門參與就可以了。有調(diào)查顯示，大多數(shù)企業(yè)在進行電子商務(wù)化的過程中，缺乏高級管理層的重視，這也是電子商務(wù)項目成功率不高的原因。而對于成功的電子商務(wù)企業(yè)，往往在進行電子商務(wù)項目時，不僅受到企業(yè)決策層的高度關(guān)注，而且普通的員工也都非常清楚電子商務(wù)化的目標，這樣自上而下的對于電子商務(wù)知識的了解，也是這些公司成功運作電子商務(wù)的原因之一。所以對于將要從事電子商務(wù)的企業(yè)，不僅要讓全體員工了解電子商務(wù)的知識，而且要了解電子商務(wù)的風(fēng)險，要形成一個自上而下的全員參與、全員重視的風(fēng)險意識。

6.3改變企業(yè)內(nèi)部運作流程

現(xiàn)在仍有很多企業(yè)認為電子商務(wù)無非就是建一個網(wǎng)站，所以這些企業(yè)在從事電子商務(wù)時，往往會遭遇失敗。電子商務(wù)給企業(yè)提供很好的機會改變其內(nèi)部和外部商業(yè)運作流程，如果企業(yè)不改變其商業(yè)運作流程，而直接進入電子商務(wù)，不僅企業(yè)對電子商務(wù)的投資會失敗而且會影響到整個企業(yè)的聲譽。所以在企業(yè)加入電子商務(wù)行業(yè)前，一定要改造自己內(nèi)部的運作流程，使之適應(yīng)電子商務(wù)的要求。實行電子商務(wù)的商戶，在內(nèi)部管理制度上應(yīng)健全相應(yīng)的規(guī)章制度，例如：制定制度來規(guī)范和約束員工的行為，根據(jù)其工作的重要程度，確定該系統(tǒng)的安全等級。制訂相應(yīng)的機房出入管理制度對于安全等級要求較高的系統(tǒng)，要實行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域。對操作規(guī)程要根據(jù)職責(zé)分離和多人負責(zé)的原則，各負其責(zé)，不能超越自己

的管轄范圍；制訂完備的系統(tǒng)維護制度，對系統(tǒng)進行維護時。應(yīng)采取數(shù)據(jù)保護措施。如數(shù)據(jù)備份等。另外制定人員激勵機制也很重要，應(yīng)建立人員雇用和解聘制度。及時對工作人員進行評價，制定獎懲制度，調(diào)動工作人員的工作責(zé)任感和積極性。

6.4滾動的戰(zhàn)略計劃

電子商務(wù)時代的不確定性和快速變化，使得詳細的戰(zhàn)略經(jīng)營計劃的作用越來越小。我們現(xiàn)在經(jīng)?？吹降氖?，電子商務(wù)企業(yè)有一個明確的五年計劃，其中第一年計劃較詳細，而其他年份則是較粗略的，因為在這些計劃實施的時間到來之前，環(huán)境可能已經(jīng)發(fā)生變化了。這說明了確保五年目標具有相關(guān)性的滾動計劃的十分必要的，應(yīng)當(dāng)定期修改計劃來適應(yīng)變化了的環(huán)境。當(dāng)然，這種方法的實施也應(yīng)具體問題具體分析，應(yīng)當(dāng)考慮各個企業(yè)所面臨的具體環(huán)境而有所不同。

6.5降低成本與實現(xiàn)可持續(xù)發(fā)展

電子商務(wù)的發(fā)展是大勢所趨，但電子商務(wù)在給企業(yè)帶來機遇的同時也產(chǎn)生了新的風(fēng)險。正如在所有的風(fēng)險管理當(dāng)中一樣，我們考慮的是未來事件出現(xiàn)的不確定性和可能性；在電子商務(wù)中，這種不確定性甚至更大，這使得電子商務(wù)風(fēng)險管理成為一項相當(dāng)繁重的工作。因此要解決好電子商務(wù)的安全風(fēng)險問題，應(yīng)該針對問題的根源，采用一種綜合防范的思路，從多方面去認識，尋找解決方法，這對加快我國電子商務(wù)的發(fā)展有著重要的意義。

6.6加強技術(shù)保證，確保電子商務(wù)信息的安全

針對電子商務(wù)依靠互聯(lián)網(wǎng)絡(luò)平臺來開展的網(wǎng)絡(luò)開放性的特點，特別是要針對互聯(lián)網(wǎng)體系使用的是開放式的TCP／IP協(xié)議，給企業(yè)信息和數(shù)據(jù)安全帶來的極大威脅的安全隱患。對如何保障企業(yè)的信息數(shù)據(jù)和重大商業(yè)機密，是確保開展電子商務(wù)的企業(yè)的重要技術(shù)保障和前提條件，只有高度重視電子商務(wù)的信息安全，才能保證其運行安全，這就需要有強大的技術(shù)安全保障措施，不但要制定完善的技術(shù)保障措施，更要嚴格執(zhí)行制度，才能確保電子商務(wù)信息的安全。例如：我們在企業(yè)內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之間要加一道防火墻，防止黑客或計算機病毒的襲擊。保護企業(yè)內(nèi)部網(wǎng)中的機密商業(yè)信息數(shù)據(jù)。另外，利用現(xiàn)有的信息新技術(shù)將數(shù)字簽名技術(shù)應(yīng)用于電子商務(wù)的身份認證，可以防止非法用戶假冒身份，從而保證電子支付的安全，增強電子商務(wù)信息的安全保障措施是電子商務(wù)順利開展的重要技術(shù)保障。

6.6.1加強電子商務(wù)網(wǎng)絡(luò)安全的開發(fā)及運用

目前電子商務(wù)的運作涉及信息、資金、商業(yè)秘密等安全問題，由于其電子數(shù)據(jù)具有無形化的特征，而有關(guān)認證機制或者網(wǎng)上安全技術(shù)均不夠完善，因此有必要對互聯(lián)網(wǎng)進行本質(zhì)上的重新設(shè)計，使其保證電子商務(wù)活動的正常進行，這涉及到多方面的技術(shù)應(yīng)用，如防木馬、防火墻、加密、認證等。面對電子商務(wù)網(wǎng)絡(luò)安全威脅，必須采取各種各樣的管理措施，滿足商務(wù)交易運行的安全性。

6.6.2建立電子商務(wù)的信用保障體系

電子商務(wù)交易模式與其他交易模式相比具有更多的風(fēng)險，然而引起這些風(fēng)險的原因還在于帶來這些風(fēng)險的人的失信行為。消除這些風(fēng)險的，需要一個第三方信用服務(wù)認證機構(gòu)通過技術(shù)手段來幫助參與電子商務(wù)交易的各方提出解決方案，使風(fēng)險降至最低。

6.6.3完善電子商務(wù)稅收征管機制

首先，出臺相應(yīng)法律法規(guī)，扶持電子商務(wù)。我國應(yīng)出臺相關(guān)的法律法規(guī)，鼓勵與扶持國內(nèi)企業(yè)利用電子商務(wù)，并應(yīng)堅持稅收中性原則，使企業(yè)對市場行為和貿(mào)易方式的選擇不受征稅影響。其次，借助計算機網(wǎng)絡(luò)，加快稅收征管改革。現(xiàn)在，電子商務(wù)發(fā)展迅速，交易的無紙化使得稅務(wù)機關(guān)必須改革以傳統(tǒng)的以紙質(zhì)憑據(jù)作為納稅依據(jù)的征管制度，以便稅務(wù)機關(guān)稽查，做到稅收無紙化，提高效率，從而適應(yīng)電子商務(wù)發(fā)展的要求。最后，加強與銀行等中介機構(gòu)的信息確認，獲取真實可靠的征管信息。稅務(wù)機關(guān)應(yīng)同銀行等中介機構(gòu)合作，通過聯(lián)網(wǎng)獲取企業(yè)在電子商務(wù)平臺中交易的相關(guān)信息，對企業(yè)的資金流向?qū)嵤┯行ПO(jiān)控，防止企業(yè)偷逃稅。

6.7加強復(fù)合型人才的培養(yǎng)

實現(xiàn)電子商務(wù)環(huán)境是當(dāng)今全球經(jīng)濟一體化、信息化時代的一種發(fā)展趨勢，重視復(fù)合型人才的培養(yǎng)是電子商務(wù)成功與否的決定因素。所謂電子商務(wù)的復(fù)合型人才是指要求電子商務(wù)管理人員既要有計算機知識，還要有管理理論和商務(wù)、金融、法律等知識。對電子商務(wù)管理人員進行培訓(xùn)，通過學(xué)習(xí)現(xiàn)代電子網(wǎng)絡(luò)技術(shù)，將經(jīng)濟、金融、法律、網(wǎng)絡(luò)有機地結(jié)合。對商務(wù)交易、金融活動的網(wǎng)絡(luò)化、數(shù)字化有比較深刻的認識，加深對電子商務(wù)環(huán)境下的風(fēng)險認識和防范。從而提高員工適應(yīng)電子商務(wù)的工作能力和創(chuàng)新能力，更好地開展電子商務(wù)這一新興的貿(mào)易模式。

結(jié)論

電子商務(wù)的開展以信息技術(shù)為基礎(chǔ)，如何解決電子商務(wù)中存在的安全問題已成為一個迫在眉睫的課題。電子商務(wù)風(fēng)險是不可能完全消除的，因為它是與電子商務(wù)共生的，是電子商務(wù)的必然產(chǎn)物，但是，可以將風(fēng)險限制在影響最小的范圍之內(nèi)。只有了解風(fēng)險，才能規(guī)避風(fēng)險。本文從安全風(fēng)險管理的角度出發(fā)，分析了電子商務(wù)中可能存在的技術(shù)風(fēng)險，論述了這些風(fēng)險的控制策略，希望對企業(yè)開展電子商務(wù)活動起到一定的積極作用電子商務(wù)作為一種新的交易方式，已成為我國經(jīng)貿(mào)發(fā)展領(lǐng)域的主流力量，并將成為國際經(jīng)貿(mào)合作的主要平臺。然而電子商務(wù)所存在的或?qū)⒊霈F(xiàn)的風(fēng)險問題是不可能完全消除的，它是伴隨電子商務(wù)的產(chǎn)生而出現(xiàn)的必然產(chǎn)物。由于電子商務(wù)風(fēng)險在不同的應(yīng)用領(lǐng)域所產(chǎn)生的危害程度各不相同，所以電子商務(wù)風(fēng)險管理的目標是將其存在的風(fēng)險所造成的影響盡可能控制最小的范圍之內(nèi)。此外，無論是再好的安全措施也要有應(yīng)對突發(fā)的安全問題的應(yīng)急方案。最重要的是政府必須盡快制定并完善相關(guān)政策，適應(yīng)高速發(fā)展的電子商務(wù)進程，確保電子商務(wù)交易的安全、透明、高效。

參考文獻

[1]調(diào)查報告編委會.1997-2009：中國電子商務(wù)十二年調(diào)查報告[EB/OL].http：//，2009-10-12.

[2]賈建華，闞宏.國際貿(mào)易理論與實務(wù)[M].修訂第四版.北京：首都經(jīng)濟貿(mào)易大學(xué)出版社，2004：143-147.

[3]邱新泉.電子商務(wù)風(fēng)險與對策研究.信息技術(shù),155-156

[3] 劉偉江，王勇。電子商務(wù)風(fēng)險及控制策略[J]．東北師范大學(xué)學(xué)報：

哲學(xué)社會科學(xué)版，2005，（11）。

[5] 高新亞，鄒靜.電子商務(wù)安全的風(fēng)險分析和風(fēng)險管理.武漢理工大學(xué)學(xué)報. 信息與管理工程版.2005.8

[6] 郭學(xué)勤，陳怡.電子商務(wù)安全對策.計算機與數(shù)字工程.2001.7 [7] 李晶.電子商務(wù)安全防范措施.安徽科技.2003.4

[7]彭連剛. 電子商務(wù)及其安全問題探析. 長沙航空職業(yè)技術(shù)學(xué)院學(xué)報 , 2005, (02)

[8]專業(yè)文獻資料