機關網絡安全應急方案范文

導語：如何才能寫好一篇機關網絡安全應急方案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關鍵詞：計算機網絡；網絡安全；防火墻技術；應用

隨著一系列網絡安全漏洞事件的發生，人們對網絡安全問題也日益重視起來，防火墻技術作為一種新興的計算機網絡保護及時，已經成為了目前在保護計算機網絡信息安全中非常重要的一項技術性措施。近年來，隨著計算機技術的不斷發展和更新，防火墻的更新和發展也十分迅速，本文就從分析防火墻的分類入手，對防火墻的特點以及應用方面進行簡要的探討。

1 防火墻的作用及分類

防火墻的作用是防止不希望的、未授權的通信進出被保護的網絡，迫使單位強化自己的網絡安全政策。總的來說，防火墻的基本作用概括為以下幾個方面：

（1）可以限制他人進入內部網絡，過濾掉不安全服務和非法用戶；（2） 防止入侵者接近你的防御設施；（3）限定用戶訪問特殊站點；（4）為監視Internet安全提供方便。

事實上，在Internet上的Web網站中，超過三分之一的Web網站都是由某種形式的防火墻加以保護，這是對黑客防范最嚴，安全性較強的一種方式，任何關鍵性的服務器，都建議放在防火墻之后。

內部網絡所使用的防火墻技術按照防范的方式和側重點的不同可分為很多種類型，但總體來說可分為三大類：包過濾型（Packet Filtering）、應用型（Application Proxy）防火墻和狀態監視器（Stateful Inspection）。

包過濾型防火墻作用在網絡層，檢查數據流中的每個數據包，并根據數據包的源地址、目標地址、以及包所使用端口確定是否允許該類數據包通過。

應用服務器作用在應用層，其特點是完全“阻隔”了網絡通信流，通過對每種應用服務編制專門的程序，實現監控、過濾、記錄和報告應用層通信流的功能。

狀態監視器采用了一個在網關上執行網絡安全策略的軟件引擎，利用抽取相關數據的方法對網絡通信的各層實施監測，一旦某個訪問違反安全規定，安全報警器就會拒絕該訪問，并作下記錄向系統管理器報告網絡狀態。

2 防火墻技術的特點和缺陷

2.1 包過濾的優缺點

優點：包過濾最為突出的特點就在于其通過一個過濾路由器就實現整個網絡的安全保護工作，數據包在進行過濾時，保持對用戶的透明性，同時采用該過濾路由器的過濾速度快、效率高。

缺點：包過濾在進行信息過濾時，對于地址欺騙往往缺少有效的識別，無法徹底杜絕不安全訪問信息。同時，一部分網絡協議不適合過濾包過濾，就導致一部分正常的信息無法通過過濾路由器的過濾而無法正常運行某些安全策略，進而導致無法防范不安全因素以及黑客等共計。另外，包過濾不支持應用層協議，對于新的安全威脅，無法進行處理。

2.2 技術的優缺點

優點：應用網關防火墻徹底隔斷內網與外網的直接通信，內網用戶對外網的訪問變成防火墻對外網的訪問，然后再由防火墻轉發給內網用戶。所有通信都必須經應用層軟件轉發，訪問者任何時候都不能與服務器建立直接的TCP連接，應用層的協議會話過程必須符合的安全策略要求。應用網關的優點是可以檢查應用層、傳輸層和網絡層的協議特征，對數據包的檢測能力比較強。能生成各項記錄，能靈活，完全地控制進出的流量、內容；能過濾數據內容，能為用戶提供透明的加密機制，可以方便地與其他安全手段集成。

缺點：速度較路由器慢，對用戶不透明，對于每項服務可能要求不同的服務器；服務不能保證你免受所有協議弱點的限制，不能改進底層協議的安全性，但是其適應性較弱，逐步被代替。

3 防火墻的應用

用戶選擇了最適合的防火墻后，還需要正確使用才能發揮出應有效果，否則適得其反。安裝防火墻的基本原則是：只要有惡意侵入的可能，無論是內部網絡還是與外部公網的連接處，都應該安裝防火墻。

由于絕大部分的攻擊都來自于Internet，所以安裝防火墻的位置是應該是用戶內部網絡與外部Internet的接口處，這是一切防火墻都必需擁有的基本安全保障功能。不論用戶內部網絡結構如何，只要與Internet相連接，就會有遭受攻擊的可能，就必須在這個接口處把大部分攻擊攔截在用戶內部網絡之外。另外，如果企業用戶內部網絡規模較大，并且設置有虛擬局域網（VLAN）則應該在各個VLAN之間設置防火墻。一個大型企業內部的各個組成部分之間也會存在大量的數據傳輸和業務往來，如果不在各個VLAN間設置防火墻的話，來自于內部的攻擊（包括內部變節者惡意攻擊和使用者的失誤）同樣能夠為企業造成重大損失。

作為一種網絡安全技術，防火墻具有簡單實用的特點，并且透明度高，可以在不修改原有網絡應用系統的情況下達到一定的安全要求。但是，如果防火墻系統被攻破，則被保護的網絡處于無保護狀態。如果一個企業希望在Internet上開展商業活動，與眾多的客戶進行通信，則僅靠防火墻不能滿足要求，在具體應用防火墻技術時，還要考慮到兩個方面：

（1）防火墻是不能防病毒的，盡管有不少的防火墻產品聲稱其具有這個功能。

（2）防火墻技術的另外一個弱點在于數據在防火墻之間的更新是一個難題，如果延遲太大將無法支持實時服務請求。并且，防火墻采用濾波技術，濾波通常使網絡的性能降低50%以上，如果為了改善網絡性能而購里高速路由器，又會大大提高經濟預算。

結束語

防火墻技術的原理在于通過阻止黑客或者其他不明訪問者的訪問信息，從而在網絡與外部訪問之間建立起一道屏障，在現代網絡安全中起著重要的作用。隨著計算機網絡的普及，網絡墻技術的應用范圍也將越來越廣泛，在保護網絡信息完全，防止惡意侵入等方面的作用也將越來越突出。

參考文獻

[1]林國慶，張玲.計算機網絡安全與防火墻技術[J].榆林學院學報，2007，（2）.

[2] 徐輝，陳小永.防火墻技術淺談[J].安徽電子信息職業技術學院學報，2005，（5）.

[3]郝玉潔，.網絡安全與防火墻技術[J].電子科技大學學報（社科版），2002，（1）.

篇2

關鍵詞 計算機網絡系統；安全隱患；應急模式

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2013）22-0151-01

1 計算機網絡系統應急處理現狀及遇到的問題

1.1 處理現狀

目前，我國政府機關及社會企業單位紛紛成立了以技術管理精英為核心的計算機網絡系統應急領導小組，成立了專門的組織部門和機構。計算機專業技術人員以正式文件形式制定并下發網絡系統應急方案。大多數企業內部在應急方案的制定上多采用以技術指導為主、業務拓展為輔的模式，并協調組織各部門相互配合，保障實施。當前，我國大部分企業基本上按照國家相關政策規定認真制定了計算機網絡系統應急方案，大部分都完成了計算機網絡系統風險分析與評估，實現了對內部計算機系統的安全等級劃分，應急方案制定較為全面，總體表現良好。據資料顯示，八成以上企業單位計算機網絡系統應急硬件設備設施基本到位。較之過去，如今的應急處理環境獲得較大改善，客戶機、服務器、路由器、發電機、UPS電源燈等備用設備紛紛到位，為應急處理打下堅實基礎。

1.2 遇到的問題

1）數據中心出現上移現象。經調查研究發現，我國目前計算機網絡系統應急處理數據中心出現上移現象。以某市某銀行為例，通過數據分析，銀行負責人發現近期該市多家金融機構信息數據中心往省級銀行、銀行總部方向集中，在一定程度上降低了該市銀行的金融風險。然而，這種情況發生并不只是帶來好處，相反，數據中心出現上移現象的負面影響更大。如果業務處理長期大量依賴遠端數據中心及長距離的主干通信網絡，一旦上級中心發生故障，下級業務也將受到連帶影響，銀行整體系統都將終止運行，很難通過本地系統實現修復，事實上大大增加了較低級金融風險應急控制難度。

2）線路單一存在隱患。當前我國大多數企業單位內部使用的通信線路多為一家電信公司，而計算機互聯網系統線路的通暢與否又與電信部門設施服務品質息息相關，因此，單一地選用一家電信公司網路存在明顯隱患。針對這種情況，目前大多數企業單位都開始嘗試使用多家通信公司，使用不同通信介質、服務公司、通信方式為企業內部數據信息完成備份。

2 計算機網絡系統存在安全隱患的原因

2.1 計算機操作系統存在嚴重漏洞

眾所周知，計算機系統具有集成、擴散兩種基本功能，而且這兩種功能結構非常復雜，因此，用戶在日常操作中常常會遭遇漏洞問題。漏洞的產生是無法絕對避免的，當前條件下，沒有一個計算機系統不受漏洞威脅，也沒有任何一種補丁程序能夠完美阻止系統自身的漏洞。針對這個問題，這就要求用戶在計算機網絡系統使用過程中高度重視系統的日常維護，定期對系統進行升級更新，完成漏洞修補。

2.2 網絡協議存在漏洞

一般來講，網絡協議（TCP/IP）的漏洞包含兩種：協議服務上的漏洞；自身協議的漏洞。數據鏈接層、網絡層、傳輸層、應用層共同構成網絡協議的四個層次，計算機網絡系統攻擊者就是從這四個層次的漏洞中對計算機網絡系統展開攻擊。以第一層數據鏈接層為例，在這一層中，互聯網絡中的所有計算機都位于同一個網絡節點，每臺計算機發送的數據包都共用同一條通信通道，由此，攻擊者通過更改通道，將錯誤的數據包發送至通信通道的每一處節點，導致系統故障；除了數據鏈接層以外，攻擊者還可以經由防火墻漏洞或者傳輸層關閉對計算機網絡系統破壞；盜取TFTP服務賬戶及密碼等在應用層中對計算機網絡系統產生多種破壞等。

2.3 病毒

隨著科學技術的不斷進步，近年來，各式各樣的網絡病毒層出不窮，嚴重威脅著計算機網絡安全，影響人民群眾的正常生產生活。病毒的破壞性極大，常見的木馬病毒會使計算機系統運行緩慢，降低用戶工作效率；嚴重的病毒甚至會導致計算機系統癱瘓，造成數據文件丟失；更有甚者，直接造成計算機硬件設備的損壞。另外，病毒還具有非常強大的繁殖再生功能，它可以自我復制計算機系統內的程序代碼和操作指令，并對這些代碼、指令進行修改，從而達到破壞計算機網絡系統的目的。值得注意的是，網路病毒的隱蔽性非常強，常常需要防火墻和防病毒軟件才能得以發現。

3 計算機網絡系統應急接入模式分析

3.1 數字加密

數字加密，顧名思義，即計算機網絡系統用戶對需要保護的重要數據、信息、文件進行密碼保護的過程。經過“數字加密”操作后，即便信息被黑客、攻擊者或不法分子通過漏洞盜取，也不會被解密，通過這種應急接入模式的應用，黑客、攻擊者或不法分子就無法獲得真正的數據系統。應該高度注意的是，在對信息進行數字加密時，應該保證密碼的不可解密性，因此，這一模式下密碼設置是關鍵。目前，數字加密技術應用范圍已經十分廣泛，尤其在金融商貿領域，很多國際訂單都采用數字加密對系統數據予以保護，效果顯著。

3.2 防病毒軟件

隨著網絡病毒的誕生，防病毒軟件也獲得了飛速發展。目前市場上的防病毒軟件種類多樣，各有特色。這些防病毒軟件在實際工作中，主要對計算機網絡系統內部病毒進行查殺、檢測、提醒等，然而，在當前技術條件下，防病毒軟件使用過程中又會產生新的計算機病毒，造成網絡環境更為復雜，而且這種衍生性病毒對計算機網絡系統的危害更大。因此，當防病毒軟件提示系統出現病毒威脅時，網絡管理員應對產生的病毒進行迅速徹底清除。

3.3 防火墻

當前常見的防火墻有軟件防火墻、硬件防火墻、嵌入式防火墻三類。它的工作原理是通過設置屏障（內部網與外部網之間）以保護內網不受黑客、攻擊者或不法分子的非法入侵，保護內網系統不受破壞。防火墻還可以對內網不同等級模塊設置不同賬戶和相應密碼，以對抗紛繁復雜的漏洞攻擊。最后，防火墻還能夠通過監控程序記錄來訪者身份，實現對非法用戶的瞬時報警。

參考文獻

[1]張鵬，周云.計算機網絡應急接入模式研究[A].四川省通信學會.四川省通信學會2010年學術年會論文集[C].四川省通信學會，2010.

[2]丁火平.基于空間信息技術的城市應急管理系統研究[D].中國地質大學（北京），2009.

[3]湯昌娥.關于圖書館計算機網絡系統建設的分析與思考[J].科技致富向導，2012（30）：266，311.

篇3

云時代到來，帶來了大數據的爆炸式增長。我們每一個人都是云計算和大數據的受益者，但另一方面，信息泄露的風險又給每一個受益者帶來了隱形的困擾。

云計算安全的幾個核心問題包括身份與權限控制、WEB安全防護、虛擬化的安全等。面對云計算的安全問題，現如今有許多基于云服務提供的安全，包括Web和郵件過濾、網絡流量訪問控制和監控，以及用于支付卡業務的標記化。不同安全服務的一個重要區別是，一些是“在云中”的、一些是“針對云”的，即那些集成到云環境中作為虛擬設備提供給用戶使用和控制的安全服務。

什么是網絡安全

近些年，國內網絡安全概念很熱，國家層面在談、政府在談、各種公司在談，各行各業的從業人員也在談，仿佛網絡安全一下子從圈子內專業人員的小眾化專業詞匯，變成眾人熱捧的時尚名詞，從業人員無論是薪水還是專業地位都得到了前所未有的提高與重視。

從這個詞語本身來看，大概在上世紀90年代末期國內出現了與計算機安全有關的內容與要求，稱為網絡安全，如果對應成英文會更容易理解Network Security，以網絡為核心的安全。

當時的環境，信息化建設較早的公司開始建設企業網絡，國家也在開始部署“某金工程”，即金卡、金關、金盾等，核心內容就是兩個業務系統信息化與跨地域網絡聯通，這種大環境下，安全的重點就不難理解為網絡層面的安全，保護網絡的邊界，確保聯網后不出現重大安全事件。

過了幾年，2005～2006年左右，開始采用信息安全這個詞語，對應的英文變為Information Security，更加重視保護信息，也就是內容與數據，這時的信息安全所指的安全涵蓋范圍更廣泛，內容更多樣，包括了傳統的網絡安全內容，也包括了信息、數據等安全內容。

近幾年，安全的專業詞語又發生了變化，同樣是網絡安全，但這個網絡安全不同于最初的網絡安全，從英文上看，已經演化為Cyber Security，可以理解為網絡空間的安全，這個范圍就更大更廣泛了，甚至不僅僅是商業視角的范疇了

不管稱為網絡安全也好，信息安全也罷，詞語在更新，內容在演化，涵蓋的領域也在不斷完善與豐富。

數據的煩惱

騰訊移動安全實驗室數據顯示，2015年上半年，手機支付木馬病毒新增29762個，感染用戶總數達到1145.5萬，最高峰6月平均每天6.8萬名用戶中毒。

去年12月25日中國鐵路購票網站12306遭遇“撞庫”攻擊轟動一時，超過13萬條用戶隱私數據在互聯網瘋傳，用戶賬號、密碼、身份證號、注冊郵箱等數據被大范圍流傳、買賣，鐵路公安機關抓獲犯罪嫌疑人兩名。“撞庫”是指黑客將得到的數據在其它網站上進行嘗試登錄，因為很多用戶喜歡使用統一的用戶名密碼，“撞庫”也可以使黑客收獲頗豐。

相應的，盜取用戶身份證、銀行卡號、手機號等隱私信息的黑產團伙周邊產業鏈也不斷完善，因網購訂單泄漏、快遞訂單泄漏而導致的詐騙案件頻頻見諸報端，可見當前互聯網黑產的主要危害已經從傳統的賬號安全逐漸轉移至用戶個人信息安全。

手機木馬盜刷網銀已經形成由買賣個人信息、制作植入木馬病毒、盜刷、線下轉移資金等組成的職業化明顯的作案團伙。另外，黑產團伙利用互聯網技術跨平臺進行非法洗錢銷贓，也致使多個互聯網平臺及電商蒙受信譽及實際經濟損失。

互聯網深度數據分析公司TOMsInsight在其最新的分析報告《互聯網黑市分析：社工庫的傳說》中指出，全國流量排名前100的網站有近8成的用戶數據庫已被黑客盜取，變相為網絡黑色產業鏈提供大數據來源。從去年下半年開始，網絡上有數以千計的黑產從業人員從傳統的點卡、盜號詐騙轉移到銀行卡盜刷產業。

目前，企業面臨的威脅最大的安全風險有網站滲透、僵尸網絡、DDoS攻擊。這些威脅給企業帶來的可能危害有：商業機密被竊取、網站被篡改后導致的名譽受損、觸犯國家的法律法規、數據丟失等。

很多企業現在只是把一些非敏感的應用搬到云端，很多真正的IT關鍵應用實際上并沒有向云端遷移，但云計算對很多初創公司卻具有難以抗拒的吸引力。隨著云計算技術的不斷發展，越來越多的企業以及其他社會單位考慮將自己的關鍵業務放在云端運行，這也帶來一個問題――那就是安全，黑客和破壞者們開始將目標瞄向云端了。

云端新挑戰

隨著云計算、移動互聯網技術對企業的一步步“侵蝕”，企業的安全邊界被徹底打破?！懊鎸θ缃駨碗s的安全形勢，傳統的安全解決方案早已過時，安全不再是一個產品或者幾個產品的組合，而是一整套思路、方法論以及認知?！本W絡安全企業杭州迪普科技有限公司（以下簡稱“迪普科技”）總裁王冰稱，以云計算、物聯網、大數據等技術為代表的下一代互聯網技術對安全提出了新的要求。

服務器虛擬化和數據集中部署顯著地改變了傳統網絡應用模式，飛速增長的數據和業務不僅使網絡架構變得非常復雜，同時也面臨網絡安全、應用體驗、業務持續可用等巨大挑戰。

根據IDC的調查，安全問題一直是云計算中最受關注的方面。國內的報告也有類似的結論，調查的受訪對象都有技術安全性方面的擔憂，恰恰是這種擔憂阻礙其遷移到云計算平臺。

事實上，有些云服務提供商會對用戶的數據進行加密，同時還會將用戶的數據進行備份，一段時間后才會摧毀這些數據，所以企業在走入云端之前務必做好這方面的風險預估以及應急方案。

因此，要讓企業和組織大規模應用云計算技術與平臺，放心地將自己的數據交付于云服務提供商管理，就必須全面地分析，并著手解決云計算所面臨的安全問題。

云計算管理著企業的關鍵數據，企業和個人是不是會更容易成為黑客的攻擊對象呢？這也許不是一個常見的問題，但不是沒有發生的可能。

數據威脅。數據問題對每位CIO來說都是頭等大事。因為泄露帶來的最大噩夢就是自己公司敏感的內部數據落入了競爭者之手，這也讓高管們寢食難安，云計算則為這一問題增加了新的挑戰。

對于消費者和企業雙方而言，數據丟失都是非常嚴重的問題。而存儲在云中的數據則可能因為其他的原因造成丟失。云服務供應商的一次刪除誤操作，或者火災等自然因素導致的物理性損害，都可能導致用戶數據丟失，除非供應商做了非常到位的備份工作。

但數據丟失的責任并非總是只在供應商一方，比如，如果用戶在上傳數據之前加密不妥當，然后自己又弄丟了密鑰，那么也可能造成數據丟失。

內部操作問題。不論是在企業內部還是云計算服務提供商內部，人員的惡意操作都是非常危險的，同樣后果也非常嚴重。云服務提供商肯定不會透露其雇員在物理服務器和虛擬化方面的水平，更不會告訴你他的分析和報告政策。

惡意的內部人員在安全行業。來自內部惡意人員造成的威脅已經成為一個爭議話題。對組織存在威脅的惡意內部人員可能是那些有進入企業組織網絡、系統、數據庫權限的在任的或曾經的員工、承包商，或者其他業務伙伴，他們濫用權限，導致企業組織的系統和數據的機密性、完整性、可用性受損。

這也就意味著只要有了一定級別的授權，內部人員就可以獲得機密數據并控制云服務。其實，用戶是可以獲得這些操作信息的，只要在簽訂服務級別協議的時候提出來就可以了。

云時代的數據中心防火墻與傳統防火墻最大的不同在于，傳統防火墻主要防護的是由數據中心外部來的訪問流量，也就是我們稱的南北向流量；而云數據中心防火墻除了南北向流量之外，還有東西向的流量，即虛擬機之間、租戶之間的互訪也需要通過防火墻進行安全防護。因此對于防火墻的性能要求更高，100G吞吐量以上的防火墻需求將會越來越普遍。

篇4

關鍵詞：電子商務 風險管理 解決方法

隨著開放的互聯網絡系統Internet的飛速發展，電子商務的應用和推廣極大地改變了人們工作和生活方式，帶來了無限的商機。然而，電子商務發展所依托的平臺——互聯網絡卻充滿了巨大、復雜的安全風險。黑客的攻擊、病毒的肆虐等等都使得電子商務業務很難安全順利地開展；此外，電子商務的發展還面臨著嚴峻的內部風險，電子商務企業內部對安全問題的盲目和安全意識的淡薄，高層領導對電子商務的運作和安全管理重視程度不足，使得企業實施電子商務不可避免地會遇到這樣或那樣的風險。因此，在考察電子商務運行環境、提供電子商務安全解決方案的同時，有必要重點評估電子商務系統面臨的風險問題以及對風險有效管理和控制方法。

電子商務安全的風險管理是對電子商務系統的安全風險進行識別、衡量、分析，并在這基礎上盡可能地以最低的成本和代價實現盡可能大的安全保障的科學管理方法。

1.電子商務的內涵

1.1內涵

電子商務一詞源于英文 Electronic Commerce或 Electronic Business，現已經成為當代社會的潮流，其含義有兩個內容，其一，電子方式，其二，商貿活動，即整個商務過程的電子化、網絡化和數字化，交易雙方可以便捷卻并不面對面地進行各種商貿活動，利用這種快速、低成本的電子通訊方式，它將覆蓋與商務活動有關的方方面面。

針對人們對這個熱詞理解的不同，電子商務有廣義和狹義之分。廣義上說，電子商務是指利用一切電子方式所從事的貿易活動。電子方式指的是電子技術設備、電子技術工具及系統，包括早期的電報、電視、電話、傳真、Email、廣播、電子計算機、電信網絡和當今的電子貨幣、信用卡、網銀盾、信息基礎設施及互聯網等現代通信網絡系統。貿易活動則指的是一系列市場經濟活動，包括信息、詢價報價、洽談、簽約、結算支付、商業交易、國內外貿易等等。由于信息技術快速發展和計算機網絡的普及使電子商務得到廣泛地運用，從狹義上講，電子商務則是利用計算機網絡進行的商務活動。

1.2分類

目前，電子商務按交易內容基本分為直接電子商務和間接電子商務兩大類型。直接電子商務是指商家將服務產品和無形商品內容數字化，不需要某種特定物質形式的包裝，直接在網上以電子形式傳送給消費者，通過互聯網或專用網直接實現交易。間接電子商務又稱不完全的電子商務，指在網上進行的交易環節只能是訂貨、支付和部分的售后服務，而商品的配送還需依靠送貨的運輸系統等外部要素，即由專業的服務機構或現代物流配送公司去完成。

2.電子商務面臨的安全風險

2.1互聯網絡的開放化帶來的數據破壞風險

電子商務是以互聯網絡為平臺的貿易新模式，它的一個最大特點是強調參加交易的各方和所合作的伙伴都要通過Internet密切結合起來，共同從事在阿絡環境下的商業電子化應用。在電子商務環境下商務交易必須通過互聯網絡來進行，而互聯網體系使用的是開放式的TCP／IP協議，它以廣播的形式進行傳播。容易受到計算機病毒、黑客的攻擊，商業信息和數據易于搭截偵聽、口令試探和竊取，給企業的數據信息安全帶來極大威脅，如遭破壞或泄密，將會給電子企業、商戶造成巨大的損失。

2.2系統軟件安全漏洞帶來的風險

由于現階段廣泛應用的主流操作系統和數據庫管理系統是從國外引進直接使用的產品。核心技術還是使用引進的版本。這些系統安全性存在系統漏洞等不少危及信息安全的問題。系統軟件安全漏洞帶來的風險主要來自操作系統軟件和數據庫管理系統軟件的安全漏洞。沒有作系統的保護，就不可能有網絡系統的安全，也不可能有應用軟件信息處理的安全性。

2.3來自社會的外來入侵風險

電子商務容易被來自社會上的不法分子通過互聯網絡非法入侵，主要表現形式是黑客和病毒等對電子商務系統的文件和數據的篡改和破壞，是一種社會道德風險。黑客通過闖入他人計算機系統進行破壞，這些人利用電子商務系統和管理上的一些漏洞，進入計算機系統后，破壞或篡改重要數據，盜取機密與資源，控制他人的機器，清除記錄。設置后門，給電子商務系統帶來災難性的后果。而計算機病毒是人為編寫的一組程序，可以攻擊電子商務系統的數據區、文件和內存，以致使計算機的硬件失靈，軟件癱瘓。數據破壞，系統崩潰，給企業和商戶造成無法挽回的巨大損失。

2.4電子商務本身內部監管漏洞帶來的風險

電子商務本身如果缺乏約束機制，責權不明，管理混亂、安全管理制度不健全等是引起電子商務系統安全風險的頭號風險根源。如果沒有嚴格的可操作性的內部管理制度，容易造成當系統出現攻擊行為或受到其它一些安全威脅時（如內部人員的違規操作等），無法進行實時的檢測、監控、報告與預警，而且，當事故發生后，也無法提供黑客攻擊行為的追蹤線索及破案依據，即缺乏對系統的可控性與可審查性。

3.電子商務交易運行的風險

3.1信用風險

傳統商務交易一般使用以紙為介質形式的手寫簽名或證明文件等方式來證明或確認商務的交易，應該說比較容易辨認真偽，操作顯得比較容易。而在基于互聯網絡為交易平臺的電子商務形式下，參與商業交易均在互聯網上進行，雙方并不存在與傳

統商業模式的見面、磋商、談判、監證、簽署文件等問題，這就需要通過一定的技術手段相互認證，如數據加密技術、數字簽名、數字證書等技術來保證電子商務交易的安全。在電子商務環境下，由于電子報表、電子文件、電子合同等無紙介質的使用，無法使用傳統的簽字方式，從而在辨別真偽上存在新的風險，電子商務的成功與否取決于消費者對網上交易的信任程度，電子商務的信任風險實質是由網絡交易的虛擬化造成的，首先是買方信用風險。在網絡中個人可以任意偽造信息，可以偽造假信用卡騙取賣方商品。從而給賣方帶來風險。然后是賣方信用風險，由于信息不對稱的原因消費者不可能全部掌握商家商品信息。賣方商品信息不完全、不準確或商家過分誘導消費者從而誤導消費者購買行為；另外，賣家單方面毀約。不履行交易，也會對買方造成損失。所以電子商務應用過程中遇到的信用風險問題，是值得關注的問題。

3.2法律風險

電子商務在交易過程中存在法律風險，由于電子商務是在網絡間進行的，電子商務交易可以看作是無紙貿易，是一個虛擬環境的交易，當前對這些虛擬交易的法律監管卻并不完善，這些問題使得電子商務認證、交易會有不受法律保護的風險。另外，電子商務貿易還存在知識產權的風險，網絡是個開放的平臺，資源在網絡中的傳播是暢通的。在網絡中資源的共享性使得有知識產權的資源受保護的力度被降低，因此可能帶來電子商務交易的知識產權糾紛等法律的風險問題。

3.3電子商務風險管理

電子商務安全的風險管理（Risk Management）是對電子商務系統的安全風險進行識別、衡量、分析，并在此基礎上盡可能地以最低的成本和代價實現盡可能大的安全保障的科學管理方法。其本質就是防患于未然：事前加以消減和控制，事后積極響應和處理，為響應和處理所做的準備就是制訂應急計劃。

4.風險管理步驟

了解了電子商務存在的風險之后，需要對這些風險進行管理和控制。具體包括風險識別、風險分析、風險應對和風險監控4個過程。選擇有效的手段，以盡可能降低成本，有計劃地處理風險，以獲得企業安全運作的經濟保障。這就要求企業在日常經營過程中，應對可能發生的風險進行識別，預測各種風險發生后對資源及日常經營造成的消極影響，使企業能夠順利經營。

4.1 風險識別

對電子商務系統的安全而言，風險識別的目標主要是對電子商務系統的網絡環境風險、數據存取風險和網上支付風險進行識別。識別風險的方法有很多，主要有：試驗數據和結果、專家調查法、事件樹分析法。電子商務風險識別最常用的一種方法就是收集各種曾經發生過的電子商務攻擊事件（不僅局限于本企業），經過分析提取出若干特征，將其存儲到“風險”庫，作為識別潛在風險的參考。

4.2風險分析

風險分析的目的是確定每種風險對企業影響的大小，一般是對已經識別出來的電子商務風險進行量化估計。這里量化的概念主要指風險影響指標，風險概率以及風險值。技術安全是電子商務實現的基礎，其重要性不言而喻，因此在該項目規劃、計劃階段就應充分考慮。

4.3 風險應對（風險控制）

根據風險性質和企業對風險的承受能力制訂相應的防范計劃，即風險應對。確定風險的應對策略后，就可編制風險應對計劃。電子商務的技術風險控制主要是針對網絡環境風險、數據存取風險和網上支付風險制訂風險應對策略，從硬件、軟件兩方面加強IT基礎設施建設。

4.險監控

制定規劃，實施保護措施，在保護措施實施的每一個階段都要進行監控和跟蹤。風險貫穿于電子商務項目的整個生命周期中，因而風險管理是個動態的、連續的過程。因此制訂了風險防范計劃后，還需要時刻監督風險的發展與變化情況。

5.風險管理規則的制定

5.1評估階段

該階段的主耍任務是對電子商務的安全現狀、要保護的信息、各種資產等進行充分的評估以及一些基本的安全風險識別和分析。

對電子商務安全現狀的評估是制定風險管理規則的基礎。

對信息和資產的評估是指對可能遭受損失的相關信息和資產進行價值的評估，以便確定相適應的風險管理規則，從而避免投入成本和要保護的信息和資產的嚴重不匹配。

安全風險識別要求盡可能地發現潛在的安全風險，應收集有關各種威脅、漏洞、開發和對策的信息。

安全風險分析是確定風險，收集信息，對可能造成的損失進行評價以估計風險的級別，以便做出明智的決策，從而采取措施來規避安全風險。

5.2開發和實施階段

該階段的任務包括風險補救措施開發、風險補救措施測試和風險知識學習。 風險補救措施開發利用評估階段的成果來建立一個新的安全管理策略，其中涉 及配置管理、修補程序管理、系統監視與審核等等。

在完成對風險補救措施的開發后，即進行安全風險補救措施的測試，在測試過程中，將按照安全風險的控制效果來評估對策的有效性。

5.3運行階段

運行階段的主耍任務包括在新的安全風險管理規則下評估新的安全風險。這個過程實際上是變更管理的過程，也是執行安全配置管理的過程。運行階段的第二個任務是對新的或已更改的對策進行穩定性測試和部署。這個 過程由系統管理、安全管理和網絡管理小組來共同實施。

6.風險管理對策

由于電子商務安全的重要性，所以部署一個完整有效的電子商務安全風險管理對策顯得十分迫切。制定電子商務安全風險管理對策目的在于消除潛在的威脅和安全漏洞，從而降低電子商務系統環境所面臨的風險。

6.1縮短電子商務項目周期，增加更多的項目選擇

減輕電子商務風險的一個最簡單的方法就是縮短電子商務項目周期，因為電子商務所面臨的外界環境，如技術環境，競爭環境等變化太快，如果電子商務項目過大，即使你的項目本身成功了，但由于環境的改變，這個成功的電子商務項目未必能給企業帶來原先設想的利益。

6.2自上而下的風險意識

很多的企業認為，電子商務項目是個技術項目，只需要相關的技術部門參與就可以了。有調查顯示，大多數企業在進行電子商務化的過程中，缺乏高級管理層的重視，這也是電子商務項目成功率不高的原因。而對于成功的電子商務企業，往往在進行電子商務項目時，不僅受到企業決策層的高度關注，而且普通的員工也都非常清楚電子商務化的目標，這樣自上而下的對于電子商務知識的了解，也是這些公司成功運作電子商務的原因之一。所以對于將要從事電子商務的企業，不僅要讓全體員工了解電子商務的知識，而且要了解電子商務的風險，要形成一個自上而下的全員參與、全員重視的風險意識。

6.3改變企業內部運作流程

現在仍有很多企業認為電子商務無非就是建一個網站，所以這些企業在從事電子商務時，往往會遭遇失敗。電子商務給企業提供很好的機會改變其內部和外部商業運作流程，如果企業不改變其商業運作流程，而直接進入電子商務，不僅企業對電子商務的投資會失敗而且會影響到整個企業的聲譽。所以在企業加入電子商務行業前，一定要改造自己內部的運作流程，使之適應電子商務的要求。實行電子商務的商戶，在內部管理制度上應健全相應的規章制度，例如：制定制度來規范和約束員工的行為，根據其工作的重要程度，確定該系統的安全等級。制訂相應的機房出入管理制度對于安全等級要求較高的系統，要實行分區控制，限制工作人員出入與己無關的區域。對操作規程要根據職責分離和多人負責的原則，各負其責，不能超越自己

的管轄范圍；制訂完備的系統維護制度，對系統進行維護時。應采取數據保護措施。如數據備份等。另外制定人員激勵機制也很重要，應建立人員雇用和解聘制度。及時對工作人員進行評價，制定獎懲制度，調動工作人員的工作責任感和積極性。

6.4滾動的戰略計劃

電子商務時代的不確定性和快速變化，使得詳細的戰略經營計劃的作用越來越小。我們現在經?？吹降氖牵娮由虅掌髽I有一個明確的五年計劃，其中第一年計劃較詳細，而其他年份則是較粗略的，因為在這些計劃實施的時間到來之前，環境可能已經發生變化了。這說明了確保五年目標具有相關性的滾動計劃的十分必要的，應當定期修改計劃來適應變化了的環境。當然，這種方法的實施也應具體問題具體分析，應當考慮各個企業所面臨的具體環境而有所不同。

6.5降低成本與實現可持續發展

電子商務的發展是大勢所趨，但電子商務在給企業帶來機遇的同時也產生了新的風險。正如在所有的風險管理當中一樣，我們考慮的是未來事件出現的不確定性和可能性；在電子商務中，這種不確定性甚至更大，這使得電子商務風險管理成為一項相當繁重的工作。因此要解決好電子商務的安全風險問題，應該針對問題的根源，采用一種綜合防范的思路，從多方面去認識，尋找解決方法，這對加快我國電子商務的發展有著重要的意義。

6.6加強技術保證，確保電子商務信息的安全

針對電子商務依靠互聯網絡平臺來開展的網絡開放性的特點，特別是要針對互聯網體系使用的是開放式的TCP／IP協議，給企業信息和數據安全帶來的極大威脅的安全隱患。對如何保障企業的信息數據和重大商業機密，是確保開展電子商務的企業的重要技術保障和前提條件，只有高度重視電子商務的信息安全，才能保證其運行安全，這就需要有強大的技術安全保障措施，不但要制定完善的技術保障措施，更要嚴格執行制度，才能確保電子商務信息的安全。例如：我們在企業內部網和互聯網之間要加一道防火墻，防止黑客或計算機病毒的襲擊。保護企業內部網中的機密商業信息數據。另外，利用現有的信息新技術將數字簽名技術應用于電子商務的身份認證，可以防止非法用戶假冒身份，從而保證電子支付的安全，增強電子商務信息的安全保障措施是電子商務順利開展的重要技術保障。

6.6.1加強電子商務網絡安全的開發及運用

目前電子商務的運作涉及信息、資金、商業秘密等安全問題，由于其電子數據具有無形化的特征，而有關認證機制或者網上安全技術均不夠完善，因此有必要對互聯網進行本質上的重新設計，使其保證電子商務活動的正常進行，這涉及到多方面的技術應用，如防木馬、防火墻、加密、認證等。面對電子商務網絡安全威脅，必須采取各種各樣的管理措施，滿足商務交易運行的安全性。

6.6.2建立電子商務的信用保障體系

電子商務交易模式與其他交易模式相比具有更多的風險，然而引起這些風險的原因還在于帶來這些風險的人的失信行為。消除這些風險的，需要一個第三方信用服務認證機構通過技術手段來幫助參與電子商務交易的各方提出解決方案，使風險降至最低。

6.6.3完善電子商務稅收征管機制

首先，出臺相應法律法規，扶持電子商務。我國應出臺相關的法律法規，鼓勵與扶持國內企業利用電子商務，并應堅持稅收中性原則，使企業對市場行為和貿易方式的選擇不受征稅影響。其次，借助計算機網絡，加快稅收征管改革?，F在，電子商務發展迅速，交易的無紙化使得稅務機關必須改革以傳統的以紙質憑據作為納稅依據的征管制度，以便稅務機關稽查，做到稅收無紙化，提高效率，從而適應電子商務發展的要求。最后，加強與銀行等中介機構的信息確認，獲取真實可靠的征管信息。稅務機關應同銀行等中介機構合作，通過聯網獲取企業在電子商務平臺中交易的相關信息，對企業的資金流向實施有效監控，防止企業偷逃稅。

6.7加強復合型人才的培養

實現電子商務環境是當今全球經濟一體化、信息化時代的一種發展趨勢，重視復合型人才的培養是電子商務成功與否的決定因素。所謂電子商務的復合型人才是指要求電子商務管理人員既要有計算機知識，還要有管理理論和商務、金融、法律等知識。對電子商務管理人員進行培訓，通過學習現代電子網絡技術，將經濟、金融、法律、網絡有機地結合。對商務交易、金融活動的網絡化、數字化有比較深刻的認識，加深對電子商務環境下的風險認識和防范。從而提高員工適應電子商務的工作能力和創新能力，更好地開展電子商務這一新興的貿易模式。

結論

電子商務的開展以信息技術為基礎，如何解決電子商務中存在的安全問題已成為一個迫在眉睫的課題。電子商務風險是不可能完全消除的，因為它是與電子商務共生的，是電子商務的必然產物，但是，可以將風險限制在影響最小的范圍之內。只有了解風險，才能規避風險。本文從安全風險管理的角度出發，分析了電子商務中可能存在的技術風險，論述了這些風險的控制策略，希望對企業開展電子商務活動起到一定的積極作用電子商務作為一種新的交易方式，已成為我國經貿發展領域的主流力量，并將成為國際經貿合作的主要平臺。然而電子商務所存在的或將出現的風險問題是不可能完全消除的，它是伴隨電子商務的產生而出現的必然產物。由于電子商務風險在不同的應用領域所產生的危害程度各不相同，所以電子商務風險管理的目標是將其存在的風險所造成的影響盡可能控制最小的范圍之內。此外，無論是再好的安全措施也要有應對突發的安全問題的應急方案。最重要的是政府必須盡快制定并完善相關政策，適應高速發展的電子商務進程，確保電子商務交易的安全、透明、高效。

參考文獻

[1]調查報告編委會.1997-2009：中國電子商務十二年調查報告[EB/OL].http：//，2009-10-12.

[2]賈建華，闞宏.國際貿易理論與實務[M].修訂第四版.北京：首都經濟貿易大學出版社，2004：143-147.

[3]邱新泉.電子商務風險與對策研究.信息技術,155-156

[3] 劉偉江，王勇。電子商務風險及控制策略[J]．東北師范大學學報：

哲學社會科學版，2005，（11）。

[5] 高新亞，鄒靜.電子商務安全的風險分析和風險管理.武漢理工大學學報. 信息與管理工程版.2005.8

[6] 郭學勤，陳怡.電子商務安全對策.計算機與數字工程.2001.7 [7] 李晶.電子商務安全防范措施.安徽科技.2003.4

[7]彭連剛. 電子商務及其安全問題探析. 長沙航空職業技術學院學報 , 2005, (02)

[8]專業文獻資料