第一篇:电子商务的安全管理
电子商务安全管理
(学号:XXX 专业:安全科学与工程
XX大学环境与安全工程学院)
摘要:电子商务的发展是互联网上最大的应用趋势,是国际经贸全新的一种形式,是我国经济生活牛的新手段。文章通过简要分析电子商务安全管理存在的隐患,探讨了防范电子商务安全问题的法律手段、技术手段和监管手段,从而为达到完善电子商务安全管理的目的提供理论依据。关键词:电子商务;安全管理;技术;原则
Safety Management of E-commerce
Abstract:Development of electronic commerce on the Internet is the largest application trends, is a new form of international economic and trade.Through a brief analysis of the existence of e-commerce security management problems, discussed the legal means to prevent e-commerce security issues, technical means and means of supervision, so as to achieve the purpose of improving the safety management of e-commerce to provide a theoretical basis.Key words:electronic commerce;safety management;technology;principles
1.引言
电子商务的安全管理,就是通过一个完整的综合保障体系,来规避信息传输风险、信用风险、管理风险和法律风险,以保证网上交易的顺利进行。电子商务安全管理,应采用综合防范的思路,一是技术方面的考虑,如防火墙技术、网络防毒。信息加密、身份认证、授权等。二是必须加强监管,建立各种有关的合理制度,并加强严格监督,如建立交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等。
2.电子商务中存在的安全问题
随着电子商务应用范围的日益扩大,呈现出大规模、跨行业、跨组织的发展趋势。但其发展也正面临着诸多瓶颈性问题,安全问题首当其冲,突出体现在以下几个方面。1.交易的安全性得不到保障
电子商务的安全问题仍然是影响电子商务发展的主要因素。由于网络技术的迅速发展,电子商务引起大家的广泛注意,在开放的网络上进行商贸活动。但如何保证传输数据的安全成为电子商务能否普及的最重要的因素。交易双方进行交易的内容被第三方窃取.交易一方提供给另一方使用的证明文件被第三方非法使用,从而进行商业欺诈。当攻击者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传输的信息数据篡改,然后再发向目的地,破坏数据的真实性和完整性。2.电子商务的管理不规范
电子商务的发展给传统贸易带来了巨大的冲击,带动了经济结构的变革,电子商务给世界带来全新的商务规则和销售方式,这要求在管理卜要做到科学规范。政府应积极介入依存于网络的电子商务管理,促进网络健康稳定的发展,制约网络上的违法行为。电子商务交易平台也是非常重要的,Web交易平台直接面向消费者,是电子商务的门面,内部经营管理体系则是完成电子商务活动的必备条件,它关系到业务最终能不能实现。3.电子支付问题
近年来电子商务快速发展,为了完成电子商务交易,不同的现金支付工具,如信用卡、电子收费等不断出现。人们最常用的还是信用卡,然而,正是信用卡成了影响电子商务进一步发展的主要障碍。信用卡欺诈问题一直困扰着商家和消费者,并且愈演愈烈。银行家和电子技术专家没有对电子银行和电子商务的网络标准完全达成一致,但他们都认识到存在于虚拟空间的网络标准是和金融交易存在着联系的。网络标准是和金融交易存在着联系的。
3.电子商务安全管理对策
电子商务安全管理,不应当只是从单纯技术角度考虑如何懈决的问题,而是应该从综合的安全管理思路来考虑,因为从电子商务的运行环境来看,技术环境是一个重要方面。但是良好的法律法规、政策环境和科学管理环境也是电子商务的顺利运行不可或缺的两个方面。1.加强电子商务安全的技术保障
电子商务的运作涉及资金安全、信息安全、货物安全、商业秘密等多方面的安全问题,任何一点漏洞都可能导致大量资金流失,这些安全首先是对信息技术的依赖。目前电子商务比较成熟的技术安全措施有以下几种:(1)加密技术
为了实现信息的私密性,必须采用信息加密技术。信息加密技术是一种主动的信息安全防范措施,其原理是利一用一定的加密算法,将明文转换成为看似无意义的密文,阻止非法用户理解原始信息,从而确保信息数据的保密性。基于密钥的算法通常有两类:对称密钥算法和非对称密钥算法。(2)安全认证技术
随着电子商务的发展,以互联网为交易平台的交易将越来越多。由于是通过网络签订的合作协议,其中的签名,图章透过—些计算机技术就能够伪造,不少企业因此遭受了巨大的损失。但是如果采用传统的签名方式,将大大降低电子商务的效率,或者就不存在电子商务。目前,在技术上解决这个问题的手段有电子签名技术。电子签名是指在一个数据信息中或附在其后或逻辑上与其有联系的电子形式的签名,其在形式上,与传统签名差别很大,但在功能上,两者却很接近,都是用来鉴别合同的当事人并表明其同意该数据信息的内容。电子签名一方面解决了对用户的认证问题,另一方面解决了用户对商家的认证问题,建立了完善的双向认证机制。在具体的应用中,电子签名技术是通过和加密技术相结合实现的,数字签名保证了电子商务主体的身份,加密技术保证了数字签名的安全。(3)电子商务中的第三方支付
在电子商务活动中,网上支付是必不可少的环节。在这个环节中,消费者、网上商家、交易双方银行、信用卡组织之间都要承担相应的安全方面的义务。但是,尽管目前存在着网上支付的SET、SSL协议等安全协议,作为网上支付工具的网上银行中的资金仍然出现了被他人恶意交易,或者直接被盗走的现象。目前,为了解决网上支付的安全问题,采用第三方支付平台是比较先进的做法。第三方支付平合有两种代表,一种是以首信为代表的网关型支付平台,它为电子商务提供了统一的支付界面、手续费用标准,结算较为便利。另一种是以支付宝为代表的信用担保型第三方支付平台,支付宝保障了电子商务过程中双方尤其是买方的利益,保证了资金流和货物流的顺利对流,它为交易提供了担保,通过改造支付流程,保障了交易资金的安全。(4)病毒防范技术
电子商务系统虽然可以提高交易效率,但也不可避免地为计算机病毒的传播创造了条件。病毒影响并且威胁着电子商务交易的顺利进行,计算机病毒轻则影响计算机的运行速度,重则盗取用户的信息,“替”用户交易,给用户造成巨大的损失。
随着互联网和电子商务的快速发展,利用网络犯罪的行为会大量出现,为了保证电子商务的顺利发展,病毒防范技术是必不可少的。由于病毒的攻击需要突破网关,所以网关防御是至关重要的。
当前CSG(Content Security Galway)内容安全网关是解决网关病毒攻击的一种技术,它支持多种形式的防护,包括使用双病毒扫描引擎的防病毒检测、防垃圾邮件、URL过滤、关键词过滤等。CSG能够真正做到即插式完全透明的网关解决方案,部署到客户网络环境中而无需修改任何设置,即可为客户提供防御保护。基于流式的病毒扫描技术。CSG可满足用户对“高吞吐量、高并发连接、低延迟”的需要。(5)防火墙技术
防火墙是建立在通信技术和信息安全技术之上,由软件或软件和硬件设备组合而成的,主要用于Internet接入和专用网与公用网之间的安全连接。只有被允许的通信才能通过防火墙,在网络之间建立起一个安全屏障,从而起到内部网络与外部公网的隔离,根据制定的策略对网络数据进行过滤、分析和审计,限制外界用户对内部网络的访问,管理内部用户访问外界网络的权限。并对各种攻击提供有效地防范。
防火墙按照基于对象可分为两类:一类是基于包过滤,这类防火墙通常只包括对源和目的IP地址及端口的检查,它对用户完全透明,速度很快,但是不能够对用户进行区分,另一类防火墙是基于代理服务,这种类型的防火墙使用一个客户程序与特定的中间节点(即防火墙)连接,然后中间节点与服务器进行实际连接。这使得内网与外网之间不存在直接连接,大大提高了网络的安全性。但是,这种防火墙在使用过程中会导致网络性能的明显下降,有一定的局限性。在具体应用上可以将这两类防火墙结合起来组成复合式防火墙,充分发挥各自的优势,进而满足安全性要求更高的电子商务的企业需求。2.电子商务安全的管理措施(1)提高网络安全防范意识
现在许多企业虽然建立了技术防范机制,就是运用先进适用的信息安全技术建造起—道道的屏障,阻隔罪犯或竞争对手的入侵,防范和化解风险,保证电子商务的顺利进行。但没有意识到互联网的易受攻击性,据调查,目前国内的网站存在安全问题,其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小,不会成为黑客的攻击目标,如此态度.网络安全更是无从谈起。只有提高网络安全防范意识,构建防范信息风险的心理屏障,才能维护电子商务的信息安全。(2)建立电子商务安全管理组织体系
完善的组织体系应该根据企业目标及安全方针,建立信息安全指导委员会,委员会要由企业高层领导挂帅,各职能部分相关负责人参加,定期召开会议,对组织内的信息安全问题进行讨论并作为决策,为组织的信息安全提供指导与支持。主要职能有:审批信息安全方针、政策,分配信息安全管理职责;确认风险评估,审批信息安全预算计划及设施的购置;评审与监测信息安全措施的实施及安全事故的处理对与信息安全管理有关的重大更改事项进行决策,协调信息安全管理队伍与各部门之间的关系。信息安全管理的队伍,—般由信息安全主管为核心,并由信息安全日常管理、信息安全技术操作两方面的人员组成,在信息安全委员会的指导下具体负责安全管理工作。(3)建立电子商务的信息安全管理制度
制度是搞好管理的依据,应制定科学合理的电子商务信息安全管理制度。每个企业都应该根据自身的特点为网络或网络的各部门划分安全等级,确定具体的安全目标。企业电子商务信息安全管理制度主要包括人员管理制度、保密制度、系统维护制度、病毒防范制度等。3.电子商务安全的法制建设策略
电子商务法制建设是一项非常复杂的系统工程,它包括立法、司法和行政多个方面,涵盖了行业市场准人、信息安全和认证、知识产权保护、电子支付、数字签名、互联网内容管理以及赔偿责任等诸多法律问题。
三、结论及展望
综上所述,电子商务管理体系应具备的特点是与经济体制的一致性,与信息安全保密管理的一致性,与经济安全监督的一致性,与信用体制的一致性。所以政府和企业部门应该重视电子商务安全,只有在法律提供者、安全需求者、信息技术专家和产品供应者的共同努力下,才能创造一个安全的系统环境,促进电子商务的发展。
参考文献
[1]吴渤,张群.电子商务安全管理体制的探讨[J].信息安全,2010,(2). [2]王林国.基于电子商务安全问题的探讨[J].中国商贸,2011,(3).
[3]囊峰,蒋文扬,潘雪松.电子商务安全管理的现状及其对策[J].物流科技,2003(4). [4]申蓓蓓.探析电子商务安全管理思路[J].经济技术协作信息,2010,(18). [5]杨坚争.电子商务安全与电子支付[M].2版,北京:机械工业出版社,2011.
第二篇:电子商务安全管理论文
文 章来
源莲山 课
件 w w w.5Y
k J.Com 7
摘要:防火墙技术作为保证电子商务活动中信息安全的第一道有效屏障,受到越来越多的关注。本文从防火墙的概念和技术出发,详细分析了防火墙的功能,并对其保证安全方法的不同进行了分类研究。
关键词:信息安全防火墙过滤代理迁移
在信息社会中,信息具有和能源、物源同等的价值,在某些时候甚至具有更高的价值。具有价值的信息必然存在安全性的问题,对于企业更是如此。经济社会的发展更要求各用户之间的通信和资源共享,需要将一批计算机连成网络才能保证电子商务活动的正常开展,这样就带来了更多的安全隐患。特别是对当今最大的网络——国际互联网,很容易遭到别有用心者的恶意攻击和破坏。信息的泄露问题也变得日益严重,因此,计算机网络的安全性问题就变得越来越重要。
如何来保证计算机网络的安全性呢?方法虽然很多,但防火墙技术绝对是其中最高效、实用的方法之一。在构建安全的网络环境的过程中,防火墙作为第一道安全防线,正受到越来越多用户的关注。通常一个公司在购买网络安全设备时,总是把防火墙放在首位。目前,防火墙已经成为世界上用得最多的网络安全产品之一。那么,防火墙是如何保证网络系统的安全,又如何实现自身安全的呢?本文从防火墙的概念出发,详细分析了防火墙的功能,并按其保证安全方法的不同进行了分类:包过滤式防火墙、服务代理式防火墙、地址迁移式防火墙等。
一、防火墙介绍
防火墙是指一种将内部网和公众访问网分开的方法,是网络之间一种特殊的访问控制设施。在Internet网络与内部网之间设置的一道屏障,防止黑客进入内部网,由用户制定安全访问策略,抵御各种侵袭的一种隔离技术。它能允许你“同意”的人和数据进入你的网络,将“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息;能限制被保护的网络与互联网络之间,或者与其他网络之间进行的信息存取、传递操作;能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙的安全技术包括包过滤技术、代理技术和地址迁移技术等。
二、防火墙的作用
1.作为网络安全的屏障
只有经过精心选择的应用协议才能通过防火墙,可使网络环境变得更安全。如防火墙可以禁止NFS协议进出受保护的网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如Ip选项中的源路由攻击和ICMp重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
2.可以强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其他的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙身上。
3.可以对网络存取和访问进行监控审计
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等也是非常重要的。
4.可以防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
三、防火墙的技术分类
1.包过滤技术(packet Filter)式防火墙
包过滤是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址,以及包所使用端口确定是否允许该类数据包通过。在互联网这样的信息包交换网络上,所有往来的信息都被分割成许许多多一定长度的信息包,包中包括发送者的Ip地址和接收者的Ip地址。当这些包被送上互联网时,路由器会读取接收者的Ip并选择一条物理上的线路发送出去,信息包可能以不同的路线抵达目的地,当所有的包抵达后会在目的地重新组装还原。包过滤式的防火墙会检查所有通过信息包里的Ip地址,并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定某一Ip为危险的话,从这个地址而来的所有信息都会被防火墙屏蔽掉。这种防火墙的用法很多,比如国家有关部门可以通过包过滤防火墙来禁止国内用户去访问那些违反我国有关规定或者“有问题”的国外站点。包过滤路由器的最大的优点就是它对于用户来说是透明的,也就是说不需要用户名和密码来登录。这种防火墙速度快而且易于维护,通常做为第一道防线。包过滤路由器的弊端也是很明显的,通常它没有用户的使用记录,这样就不能从访问记录中发现黑客的攻击记录。而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的。如“信息包冲击”是黑客比较常用的一种攻击手段,黑客们对包过滤式防火墙发出一系列信息包,不过这些包中的Ip地址已经被替换掉了,取而代之的是一串顺序的Ip地址。一旦有一个包通过了防火墙,黑客便可以用这个Ip地址来伪装他们发出的信息。通常它没有用户的使用记录,这样我们就不能从访问记录中发现黑客的攻击记录;此外,配置繁琐也是包过滤防火墙的一个缺点。它阻挡别人进入内部网络,但也不告诉你何人进入你的系统,或者何人从内部进入网际网路。它可以阻止外部对私有网络的访问,却不能记录内部的访问。包过滤另一个关键的弱点就是不能在用户级别上进行过滤,即不能鉴别不同的用户和防止ip地址盗用。所以说包过滤型防火墙是某种意义上的安全系统。
2.代理服务式防火墙
代理服务是另一种类型的防火墙,它通常是一个软件模块,运行在一台主机上。代理服务器与路由器的合作,路由器实现内部和外部网络交互时的信息流导向,将所有的相关应用服务请求传递给代理服务器。代理服务作用在应用层,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。代理服务的实质是中介作用,它不允许内部网和外部网之间进行直接的通信。
用户希望访问内部网某个应用服务器时,实际上是向运行在防火墙上的代理服务软件提出请求,建立连接;理服务器代表它向要访问的应用系统提出请求,建立连接;应用系统给予代理服务器响应;代理服务器给予外部网用户以响应。外部网用户与应用服务器之间的数据传输全部由代理服务器中转,外部网用户无法直接与应用服务器交互,避免了来自外部用户的攻击。通常代理服务是针对特定的应用服务而言的,不同的应用服务可以设置不同的代理服务器。目前,很多内部网络都同时使用分组过滤路由器和代理服务器来保证内部网络的安全性,并且取得了较好的效果。
3.地址迁移式防火墙
由于多种原因,Ipv4地址逐步面临耗尽的危机,而Ipv6的实际应用还有待时日。随着企业上网的人数增多,企业获得的公共Ip地址(称全局Ip地址,或者实际Ip地址)可能难以和企业上网的实际设备数目匹配,这种现象具有加剧的倾向。一种可能的解决方案是为每个企业分配若干个全局Ip地址,企业网内部使用自定义的Ip地址(称为本地Ip地址或者虚拟Ip地址)。当内外用户希望相互访问时,专门的路由器(NAT路由器)负责全局/本地Ip地址的映射。NAT路由器位于不同地址域的边界处,通过保留部分全局Ip地址的分配权来支持Ip数据报的跨网传输。其工作原理:(1)地址绑定(静态或者动态的建立本地/全局地址的映射关系);(2)地址查找和转换(对数据报中的相关地址信息进行修改);(3)地址解绑定(释放全局地址)。
地址迁移式防火墙实际上融合了分组过滤和应用代理的设计思想,可以根据应用的需求限定允许内外网访问的结点;可以屏蔽内网的地址,保证内网的安全性。数据报分析是NAT路由器必须做的工作(例如,修改Ip数据报携带的高层协议数据单元中的地址信息),因此可以有选择地提供/拒绝部分跨网的应用服务。
四、小结
在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域与安全区域的连接,同时不会妨碍人们对风险区域的访问。随着电子商务的不断发展,防火墙技术必将在网络安全方面着发挥更加重要的作用和价值。
参考文献:
[1]高峰许南山:防火墙包过滤规则问题的研究[J].应用,2003,23(6)
[2]赵启斌梁京章:防火墙过滤规则异常的研究[J].工程,2005.12
[3]谢希仁:计算机网络技术[M].北京:电子工业出版社,1999
文 章来
源莲山 课
件 w w w.5Y
k J.Com 7
第三篇:2 电子商务安全管理 多选
电子商务安全管理 多选 电子商务安全服务中的()都用到数字签名技术。A.隐私保密 B.源鉴别 C.完整性服务 D.不可否认服务 BCD 2 病毒的组成模块包括。A.引导模块 B.存储模块 C.表现模块 D.传染模块 ACD 3 常用的病毒检测方法有哪些? A.特征代码法 B.校验和法 C.行为检测法 D.软件模拟法 ABCD 4 以下哪些属于防火墙技术? A.数据包过滤技术
B.数据包过滤原则 C.代理服务 D.流过滤技术 ABCD 5 关于宏病毒的说法中,正确的是。A.宏病毒是计算机病毒历史上发展最快的病毒,它也是传播最广泛的 B.宏病毒是一类使用宏语言编写的程序 C.宏病毒依赖于EXE和COM等可执行程序传播 D.大多数宏病毒都有发作日期 ABD 6 防范网络病毒应做到()。A.给电脑安装防病毒软件 B.不打开陌生电子邮件 C.认真执行病毒定期清理制度 D.权限控制 ABCD 7 智能防火墙关键技术包括()。A.防攻击技术 B.防扫描技术 C.防欺骗技术 D.入侵防御技术 ABCD 8 智能防火墙的关键技术包括()。A.防攻击技术 B.防扫描技术 C.防欺骗技术 D.入侵防御技术 ABCD 9 目前运用的数据恢复技术包括()。A.瞬时复制技术 B.远程磁盘镜像技术 C.数据库恢复技术 D.数据库备份技术 ABC 10 通过以下()方式可以清除Word系统中的宏病毒。A.选择“工具”菜单的“宏”,删除不明来源的自动执行宏 B.选择“工具”菜单的“Visual Basic编辑器”,在“工程”窗口查找不明来源的自动执行宏,进行删除 C.找到并删除autoexec.doc和normal.doc文件 D.到默认启动目录下查找并删除不是自己拷贝的其他模板文件 ABCD 11 软件日常维护和管理要做到()。A.定期清理日志文件、临时文件 B.定期执行整理文件系统 C.检测服务器上的活动状态和用户注册数 D.处理运行中的死机情况 ABCD 12 采用数字签名能够确认()。A.隐私保密 B.交易内容保密 C.信息由签名者发送 D.信息从签发后到收到为止未做任何修改 CD 13 一个签名方案由()算法构成。A.签署 B.加密 C.验证 D.解密 AC 14 支撑软件的日常维护和管理包括()。A.定期清理日志文件、临时文件 B.定期执行整理文件系统 C.检测服务器上的活动状态和用户注册数 D.处理运行中的死机情况 ABCD 15 电子商务所需的安全性要求包括()。A.保密性 B.认证性 C.完整性 D.可否认性 ABC 16 电子商务信息保密性需求包括()。A.信息的隐私问题 B.交易内容的保密性 C.服务器的真实性 D.交易双方身份的真实性 AB 17 电子商务安全需求包括()。A.交易实体身份真实性的需求 B.信息保密性的需求 C.信息完整性的需求 D.交易信息认可的需求 ABCD 18 下列关于软件模拟法检测病毒的描述,正确的是()。A.利用病毒行为特性来检测病毒 B.主要对付多态性病毒
C.利用检验和来检测病毒 D.是一个软件分析器 BD 19 引导型计算机病毒的预防方法包括()。A.经常备份系统引导扇区 B.安装监控文件系统的杀毒软件 C.坚持从无毒硬盘引导系统 D.经常备份系统文件 AC 20 防范网络病毒需要做到()。A.给电脑安装防病毒软件 B.不打开陌生电子邮件 C.认真执行病毒定期清理制度 D.高度警惕网络陷阱 ABCD 21 数据包过滤的依据包括()。A.IP源地址 B.IP目的地址 C.TCP或UDP源端口 D.TCP或UDP目的端口 ABCD 22 文件型计算机病毒的预防方法包括()。A.经常备份系统引导扇区 B.安装监控文件系统的杀毒软件 C.坚持从无毒硬盘引导系统 D.经常备份系统文件 BD 23 下列属于防火墙技术的是()。A.数据包过滤技术 B.数据包过滤原则 C.流过滤技术 D.智能防火墙技术 ABCD 24 宏病毒的预防方法包括()。A.经常备份系统引导扇区 B.使用Office套装软件之前进行正确设置 C.文件打开提示中选择不执行宏 D.经常备份系统文件 BC 25 堡垒主机的系统软件可用于。A.维护系统日志 B.维护硬件复制日志 C.维护远程日志 D.屏蔽路由器 ABC 26 目前病毒主要由()部分组成。A.宿主模块 B.引导模块 C.传染模块 D.表现模块 BCD 27 通过以下()方法可以清除各种计算机病毒。A.对硬盘做DOS下的FORMAT格式化 B.对软盘做DOS下的FORMAT格式化 C.对硬盘做低级格式化 D.使用杀毒软件和人工检测、实验方法检测查杀已知和未知病毒 BCD 28 下列关于校验和法的描述正确的是()。A.可以识别病毒名称 B.校验和法无法发现未知病毒 C.校验和法可以发现已知病毒 D.检验合法的缺点是容易误报 CD 29 防火墙技术主要包括()。A.数据包过滤技术 B.数据包过滤原则 C.代理服务 D.流过滤技术 ABCD 30 常用的病毒检测方法有()。A.特征代码法 B.检验和法 C.行为检测法 D.软件模拟法 ABCD 31 预防电子邮件病毒的方法包括()。A.坚持从不带计算机病毒的硬盘引导系统 B.不轻易执行附件中的可执行程序 C.不轻易打开附件中的文档文件 D.经常备份系统引导扇区 BC 32 预防引导型计算机病毒,通常采用()方法。A.安装能够实时监控引导扇区的防杀计算机病毒软件 B.经常备份系统引导扇区 C.尽量少关机 D.坚持用不带计算机病毒的磁盘引导系统 ABC 33 在安装防火墙的网络中,代理服务器的作用主要有()。A.阻隔内部网用户和外部服务器的直接通信 B.代理来自代理客户的请求 C.转发经认可的代理客户请求到真正的外部服务器 D.根据安全策略,控制用户能做什么 ABCD 34 防范计算机病毒需做到()。A.给电脑安装防病毒软件 B.不打开陌生电子邮件 C.认真执行病毒定期清理制度 D.控制权限 ABCD 35 常见的病毒检测方法包括()。A.特征代码法 B.检验和法 C.行为监测法 D.软件模拟法 ABCD 36 Windows 2000/XP的加密功能包括()。A.加密文件 B.加密文件夹 C.赋予或撤销其他用户的权限 D.禁止加密功能 ABCD 37 电子商务安全是指()。A.确保通信双方的合法性 B.保持个人的、专用的和高度敏感数据的机密 C.保证所有存储和管理的信息不被篡改。D.保证系统、数据和服务能由合法的人员访问 ABCD 38 下列关于加密文件夹描述正确的是()。A.加密文件夹中的文件不可以复制 B.在加密文件夹中新建的文件自动被加密 C.加密文件夹中的文件不能直接编辑 D.拷贝到加密文件夹中的文件自动被加密 BD 39 下列属于非对称密码算法的是()。A.AES B.RSA C.LUC D.DES BC 40 对邮件服务器服务破坏的防范包括()。A.防止来自外部网络的攻击 B.防止来自内部网络的攻击 C.防止中继攻击 D.邮件服务器应用专门的编程接口 ABCD 41 S/MIME与PGP的不同点在于()。A.公钥与私钥的加密体系 B.层次结构的证书认证机制 C.单向散列算法 D.信件内容加密签名后作为特殊附件传送 BD 42 防范邮件服务器服务破坏的措施包括()。A.防止外部网络攻击 B.防止来自内部的网络攻击 C.防止中继攻击 D.邮件服务器应有专门的编程接口 ABCD 43 下列属于对称密码算法的是()。A.DES B.IDEA C.AES D.LUC ABC 44 PGP软件功能的特点包括()。A.身份验证 B.压缩 C.电子邮件兼容性 D.分段和重组 ABCD 45 下列关于Windows加密功能描述正确的是()。A.普通用户账户默认不允许使用加密功能 B.可以设置特定的文件夹禁止被加密 C.不能设置完全禁止文件加密功能 D.文件夹加密功能被禁止时其子文件夹仍然可以被加密 BD 46 实现电子邮件传输安全的方式包括()。A.利用SSL SMTP将所有TCP/IP传输封装起来 B.利用SSL POP将所有TCP/IP传输封装起来 C.利用SSL SMTP和SSL POP D.利用VPN将所有TCP/IP传输封装起来 CD 47 对邮件服务器的攻击主要分为()。A.病毒感染 B.中继攻击 C.网络入侵 D.服务破坏 CD 48 下列关于传输层安全电子邮件技术的描述正确的是()。A.SMTP是收信的协议标准 B.POP是收信的协议标准 C.SMTP是发信的协议标准 D.POP是发信的协议标准 BC 49 可以通过以下()方式对本地计算机文件进行加密。A.WinZip、WinRAR等压缩软件加密 B.MS Office菜单提供的文件加密功能 C.Windows 2000/XP提供的文件夹加密功能 D.建立包含“[Encryption] Disable=1”内容的文本文件 ABC 50 对邮件服务器的安全攻击主要有网络入侵和服务破坏,以下()是对服务破坏的防范。A.挑选安全性高设计严谨的服务器软件 B.拒绝来自某些可疑IP地址的邮件服务连接请求 C.拒绝收信人数量大于预定上限的邮件 D.按照收信人数限制中继 BCD 51 以下加密算法中,使用相同加密密钥和解密密钥的是()。A.DES B.RSA C.IDEA D.椭圆曲线算法 AC 52 PGP和S/MIME的不同之处在于()。A.加密体系不同 B.信任关系不同 C.证书格式不同 D.安全邮件标准不同 BC 53 DES算法属于()。A.对称密码体制 B.非对称密码体制 C.序列密码体制 D.分组密码体制 AD 54 安全交易体系中具有代表性的交易规范协议不包括。A.TCP/IP B.SET C.SSL D.HTTP AD 55 PGP是一个基于()的邮件加密软件。A.S/MIME B.RSA C.IDEA D.FTP BC 56 OSI安全服务包括()。A.数据保密服务 B.数据完整性服务 C.交易对象认证服务 D.防抵赖安全服务 ABCD 57 电子商务交易实体身份真实性需求包括()。A.信息的隐私问题 B.交易内容的保密性 C.服务器的真实性 D.交易双方身份的真实性 CD 58 在电子商务中,信息以包交换形式传递,如果TCP/IP按照未加密的报文形式传输数据包,则数据包中的()可能被更改。A.源IP地址 B.目的IP地址 C.源TCP端口号 D.目的TCP端口号 ABCD 59 关于电子商务安全交易体系,说法正确的是()。A.PKI是权威的交易协议规范 B.SET采用TCP作为传输协议解决互联网上信息传输的安全性问题 C.SET是一种应用于互联网并以信用卡为基础的电子交付系统协议 D.客户端浏览器可进行SSL设置,浏览器利用HTTP和Web服务器会话 CD 60 目前应用的计算机数据恢复技术主要包括()。A.瞬时复制技术 B.远程磁盘镜像技术 C.数据库恢复技术 D.硬件恢复技术 ABC 61 下列关于加密技术中的摘要函数描述正确的是()。A.摘要是一种防止改动的方法 B.摘要算法的数字签名原理在很多机密算法中都被使用 C.输入消息的每一位对输出摘要都有影响 D.摘要算法从给定的文本块中产生一个数字签名 ABCD 62 认证机构的安全系统应当能够实现哪些功能。A.确定数据电文的归属 B.保证合理的安全程序 C.避免被入侵和人为破坏 D.保持数据电文自始至终不被篡改 ABC 63 电子商务访问控制安全需求包括()。A.入网访问控制的需求 B.网络权限控制需求 C.网络服务器安全控制需求 D.网络节点和端口的安全控制需求 ABCD 64 OSI制定的标准安全服务包括等方面。A.访问控制服务 B.数据完整性服务 C.交易对象认证服务 D.数据保密服务 ABCD 65 电子商务安全服务中()用到数字签名技术。A.源鉴别服务 B.加密服务 C.完整性服务 D.不可否认服务 ACD 66 目前运用的数据恢复技术包括()。A.日志技术 B.瞬时复制技术 C.远程磁盘镜像技术 D.数据库恢复技术 BCD 67 电子商务安全需求中的信息保密性需求包括()。A.身份真实性 B.隐私保密 C.信息完整 D.交易内容保密 BD 68 根据密码算法对明文信息加密方式进行分类,密码体制可分为()。A.对称密码体制 B.分组密码体制 C.序列密码体制 D.非对称密码体制 BC 69 PGP提供()服务。A.身份验证 B.保密性 C.压缩 D.电子邮件兼容 ABCD 70 供应商调查表的内容包括()。A.供应商工艺流程 B.供应商人员技术水平C.供应商质量管理能力 D.供应商经营管理总体情况 BCD 71 关于安全套接层协议,以下说法正确的是()。A.主要应用于B2C电子交易 B.目前公认的用借记卡/信用卡进行网上交易的国际安全交易标准 C.采用TCP作为传输协议来为信息的传输和接收提供可靠性 D.可以同时对客户机和服务器进行认证 CD
第四篇:电子商务安全管理 缩版
对称加密技术:对称加密技术,也称作密钥密码技术,其特点是计算量小、加密速度快。它有各种形式:从简单的替换密码到较复杂的构造方式,其中同一个密钥既用于加密也用于解密所涉及的文本。也就是说加密和解密数据使用同一个密钥,即加密和解密的密钥是对称的。原始数据(即明文)经过对称加密算法处理后,变成了不可读的密文(即乱码)。解密原文时, 必须使用同样的密码算法和密钥, 即信息的加密和解密使用同样的算法和密钥,这种密码系统也称为单密钥密码系统
非对称密码技术:在公钥密码体制出现以前的所有的密码算法都是基于代换和置换这两个基本工具。而公钥密码体制则为密码学的发展提供了新的理论和技术基础,一方面公钥密码算法的基本工具不再通过网络或其他公开途径得到接收方的公钥,然后使用该密钥对信息加密后发送给接收方;接收方用自己的私钥对收到的信息进行解密,得到信息明文。在这里,只有接收方(而不是其他第三方)才能成功地解密该信息,因为只有接收方拥有与之相对应的私有密钥,从而保证了信息的机密性。如果发送方在发送信息时附上自己的数字签名(数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据),则接收方通过验证数字签名可以保证信息的完整性和不可抵赖性
数字摘要:又叫消息摘要,也是一种加密方法,该方法又称为散列编码(Hash 编码)。散列编码利用单向的散列函数将需要加密的明文“摘要”成一串固定长度(如 128 位)的散列值,称为数字摘要,中的技术,即将某些标识数据嵌入到宿主数据中作为水印,使得水印在数据中不可感知和足够安全。用以证明原创作者对作品的所有权,并作为起诉非法侵权者的证据,从而保护了原作者的合法权益。数字版权管理技术:以一定的计算方法实现对数字内容的保护。
信息隐藏:将某一秘密信息秘密地隐藏于另一公开的信息内容中,其形式可以是任何一种数字媒体,如图像、声音、视频或一般的文本文档等,然后通过公开信息的传输来传递秘密信息。
信息系统安全标准:是构建国家信息安全保护体系必须具备的技术、管理规范
测评认证:现代质量认证制度的重要内容,其实质是由一个中立的权威机构,通过科学、规范、公正用于解密,称为秘密密钥,简称秘密钥。因此公钥(5)登记所作的修改,作为系统新的版本向用户及密码体制也称为双钥密码体制。算法有以下重要特操作人员的报告,特别要指明新增加的功能和修改性: 已知密码算法和加密密钥,求解密密钥在计算了的地方 上是不可行的 电商人员管理的工作流程图: 网络防火墙应用模式:屏蔽路由器、双穴主机网关、对数字水印的攻击:1.删除攻击2.解密攻击3,屏蔽主机网关、屏蔽子网网关 几何变形攻击4协议攻击 数字签名执行方式:直接方式和具有仲裁的方式 信息系统安全策略的目的与内容:安全策略的目的电子邮件加密:1捕获邮件正文2检索唯一标识收是提供建立、实施、运作、监控、评审、维护和改件人的信息3执行加密操作,产生加密邮件4用加进信息安全管理体系(ISMS)的规范,实现信息安密邮件替换原始邮件5发送邮件。解密:1接收邮全的机密性、完整性和可用性。件2检索加密邮件3检索唯一标识收件人的信息4内容:1物理安全2网络安全3数据安全4软件安用收件人的唯一信息执行解密操作,产生解密邮件5全5系统管理6灾难恢复 显示解密邮件正文。电子商务领域犯罪的特点:
1、犯罪主体多样化。
2、数字签名提供下列安全功能:1身份验证 2认可3低成本低风险。
3、高智能高技术。
4、共同犯罪居是代换和置换,而是数学函数;另一方面公钥密码又叫做数字指纹(Finger Print)算法是以非对称的形式使用两个密钥,两个密钥的CA(Certificate Authorities):又称认证权威、认证使用对保密性、密钥分配、认证等都有着深刻的意中心、证书授予机构,是承担网上认证服务,能签义。可以说公钥密码体制的出现是密码学史上的一发数字证书并能确认用户身份的受大家信任的第三个伟大的里程碑。方机构。
计算机病毒:《中华人民共和国计算机信息系统安全数字签名原理:数字签名是公钥加密技术与数字摘保护条例》中的定义是:“计算机病毒,是指编制或要两者的结合。它的主要方式是:发送方使用Hash者在计算机程序中插入的破坏计算机功能或者数据,编码算法(SHA)加密,从报文中生成一个散列值(数影响计算机使用,并且能够自我复制的一组计算机字摘要),用自己的私钥对此进行加密,形成发送方指令或者程序代码。” 计算机病毒之父弗雷德•科恩的数字签名,并作为报文的附件与报文一起发送给博士(Fred Cohen)于1983年提出的,将其定义为:接收方。可以看出,文档的信息不同,产生的发送“计算机病毒是一种计算机程序,它通过修改其它者的数字签名也不相同,即数字签名与原文信息唯程序把自身或其演化体插入它们中,从而感染它们。” 一对应,如果没有私有密钥,任何人都无法完成非国外对计算机病毒最流行的定义为:“计算机病毒,法复制。接受方首先从收到的原始报文中算出数字是一段附着在其他程序上的可以实现自我繁殖的程摘要,再用发送方的公钥对报文的数字签名解密;序代码。”
如果生成的两个数字摘要相同,接受方就可以确定黑客:原指热心于计算机技术,水平高超的电脑专该数字签名是发送方的。所以,通过数字签名能够家,尤其是程序设计人员。但到了今天,黑客一词实现对原始报文完整性和不可抵赖性的鉴别 已被用于泛指那些专门利用电脑网络搞破坏或恶作无线应用协议):是一个用于在无线通信设备(手机、剧的家伙。
寻呼机等)。之间进行信息传输的无须授权、也不依数字签名:数字签名是书面文档中具有法律意义的赖平台的协议,可用于Internet访问、WAP网页访传统签名的数字形式。
问、收发电子邮件,等等。
安全超文本传输协议:由Netscape开发并内置于其WAP的层次结构:应用层、无线会话层、传输协议浏览器中,用于对数据进行压缩和解压操作,并返层、安全协议层、数据报协议层。回网络上传送回的结果 WPKI:即“无线公开密钥体系”,它是将互联网电子PKI技术:一种遵循标准的利用公钥加密技术为电子商务中PKI安全机制引入到无线网络环境中的一套商务的开展提供一套安全基础平台的技术和规范。遵循既定标准的密钥及证书管理平台体系,它可以它是建立在公钥密码体制上的信息安全基础设施,用来管理在移动网络环境中使用的公开密钥和数字为应用提供身份认证、加密、数字签名、时间戳等证书,有效地建立安全和值得信赖的无线网络环境。安全服务。
个人信息:是指一切可以识别本人的信息的所有数X.509证书:的出现,为公钥体制的应用了有效的载据资料。这些数据资料包括一个人的生理的、心理体和基础,使用户更容易对公钥进行验证。目前被的、智力的、个体的、社会的、经济的、文化的、广泛采用的PKI 技术(Public Key Infrastructure-公钥家庭的等等方面。即指有关个人的一切数据、资料。基础设施),PKI(公钥基础设施)技术采用证书管理电子商务运行管理:一个电子商务系统投入使用后,公钥,通过第三方的可信任机构--认证中心其主要工作就是管理工作。这里所说的管理工作,CA(Certificate Authority),把用户的公钥和用户的其是指对电子商务系统本身的管理(即运行管理)。这他标识信息(如名称、e-mail、身份证号等)捆绑在里的管理主要是讲技术上的,而不是指一个信息中一起,在Internet 网上验证用户的身份。目前,通心或计算中心的行政管理。所谓运行管理工作或维用的办法是采用基于PKI 结构结合数字证书,通过护工作就是对系统的运行进行控制,记录其运行状把要传输的数字信息进行加密,保证信息传输的保态,进行必要的修改与扩充,以便使系统真正发挥密性、完整性,签名保证身份的真实性和抗抵赖。其作用。
数字证书:用电子手段来证实一个用户的身份和对网络管理:按照国际标准化组织(ISO)的定义,网网络资源的访问权限。
络管理是指规划、监督、控制网络资源的使用和网数字证书的原理:数字证书基于公钥技术。在公开络的各种活动,以使网络的性能达到最优。网络管密钥系统中,为每个用户生成一对相关的密钥:一理的目的在于提供对计算机网络进行规划、设计、个公开密钥和一个私有密钥。公开密钥用于对机密操作运行、管理、监视、分析、控制、评估和扩展信息的加密,通过非保密方式向他人公开;私有密的手段,从而合理地组织和利用系统资源,提供安钥用于对加密信息的解密,由用户自己安全存放。全、可靠、有效和友好的服务。
这样贸易双方进行信息交换的基本过程是:发送方数字水印:是一种将特制的标记隐藏在数字产品之的测试和评估向消费者、购买者(即需方)证实生产者或供方所提供的产品和服务,符合公开、客观和先进的标准。
信息安全策略:是组织对信息系统安全进行管理、保护的指导原则。在安全策略的指导下开展安全技术项目、订立安全管理制度、组织协调实施、监督、检查与改进,并形成为对系统安全的要求和目标进行详细描述的高层的管理文档
网络系统安全审计:是指在网络系统中模拟社会的监察机构对网络系统的活动进行监视和记录的一种机制
网络安全评估:是运用系统的方法,对各种网络安全保护措施、管理机制以及结合所产生的客观效果,对网络系统做出是否安全的结论。
电子商务领域犯罪:是电子商务时代产生的,具有若干共性的一类犯罪,电子商务领域犯罪是 指利用电子商务信息系统特性危害电子商务正常秩序, 具有严重社会危害性的行为。电子商务犯罪的社会预防机制:是要“调动社会上一切积极因素,运用各种手段和采取社会性和专门性的防治措施,限制、消除犯罪产生的原因与条件,以达到防止、遏制和减少犯罪的目的。”;
风险管理:降低各种风险的发生概率,或当某种风险突然降临时,减少损失的管理过程。
风险:危险发生的意外险和不确定性,包括损失发生与否及损失程度大小的不确定性。
风险评估:确定一个信息系统面临的风险级别的过程,是风险管理的基础。通过风险评估确定系统中的残余风险,并判断该风险级别是否可以接受或需要实施附加措施来进一步降低。
风险分析:是运用分析、比较、评估等各种定性、定量的方法,确定电子商务安全各风险要素的重要性,对风险排序并评估其对电子商务系统各方面的可能后果,从而使电子商务系统项目实施人员可以将主要精力放在对付为数不多的重要安全风险上,使电子商务系统的整体风险得到有效的控制。
信用(credit):是个人或组织被他人信任的程度,守承诺的程度。
电商安全内容:计算机网络安全(计算机网络设备安全,计算机网络系统安全,数据库安全等)、商务交易安全(商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保证电子商务交易的顺利进行。即实现电子商务的保密性,完整性,可鉴别性,不可伪造性和不可抵赖性)。
公钥密码体制的原理:公钥密码算法的最大特点是采用两个相关密钥将加密和解密能力分开,其中一个密钥是公开的,用于加密,称为公开密钥,简称公开钥;另一个密钥是用户专用,因而是保密的,数据完整性 PKI的体系结构:1认证机构CA 2证书和证书库3密钥备份及恢复4证书作废处理系统5客户端证书处理系统 数字证书使用流程:电子商务应用中主要有以下五个交易参与方:买家、服务商、供货商、银行和认证中心(CA)。交易流程主要有以下三个阶段: 第一阶段:认证中心(CA)证书的注册申请。交易各方通过认证中心(CA)获取各自的数字安全证书。第二阶段:银行的支付中心对买家的数字安全证书进行验证,通过验证后,将买家的所付款冻结在银行中。此时服务商和供应商也相互进行数字安全证书的验证,通过验证后,可以履行交易内容进行发货。第三阶段:银行验证服务商和供货商的数字安全证书后,将买家冻结在银行中的货款转到服务商和供货商的户头上,完成了此项电子交易。数字签名原理:发送方使用Hash编码算法(SHA)加密,从报文中生成一个散列值(数字摘要),用自己的私钥对此进行加密,形成发送方的数字签名,并作为报文的附件与报文一起发送给接收方。接受方首先从收到的原始报文中算出数字摘要,再用发送方的公钥对报文的数字签名解密;如果生成的两个数字摘要相同,接受方就可以确定该数字签名是发送方的 基于角色访问控制:手机病毒大致有以下四类:(1)EPOC病毒(2)Trojan horse病毒(3)Unavailable病毒(4)Hack-mobile.smsdos病毒 企业电子商务信息安全管理流程: 电子商务信息服务流程: 电子商务信息安全处理架构:第一层:网络层安全;二层:内容与应用流程安全;三层:认证;四层:授权。电子商务系统维护工作内容:1)提出修改的要求可由接触系统的全体人员提出来,只是不能直接向程序员提出,必须以书面的形式向主管人员提出,说明要求修改的内容及原因。(2)由系统主管人员根据系统购情况(功能、目标、效率等)和工作的情况(人员、时间、经费等)来考虑这种修改是否必要、是否可行、是否迫切,从而作出答复:是立即修改,还是以后修改。(3)系统主管人员把修改要求汇集成批,指明修改的内容要求、期限。由于修改要求是不断提出的,所以,系统不能随提随改,必须有计划地一批一批地修改。一般都用版本编号的办法来加以控制。4)在指定的期限内,由系统主管人员验收程序员所修改的部分,并在一个统一的时间,把若干个新模块加人系统,以取代旧的模块,新的功能开始生效。
多。
5、犯罪证据难获取。
6、犯罪具有隐蔽性。
7、犯罪危险影响区域广。
8、犯罪具有连续性。
9、高犯罪黑数。
10、犯罪危害大 社会防控体系的内容:1防控体系以抑制电子商务犯罪和网络犯罪为主要目标,以针对现有防控机制弱和不足的再防控为主要方向2防空体系在控制形成上具有对多重要求和多方选择的容纳能力,既有组织、环境、社区、群体、个体交叉配合,也有对罪前、罪中、罪后防范的介入,还有对社会心理、群体心理、个体心理的渗透3防控体系在决策控制中心化和职责分散化的对立统一中,建立多元化的管理机制,并通过资源的合理配置提高工作效率、监视运行成本4防控体系具备对违法者、被害者的自然监督能力和震慑能力5完善防控体系的功能,实现防控体系目标的首要任务是提高司法体系效能。信息安全风险管理的历史:(一)初级阶段时期(二)标准化时期(三)安全风险管理策略时期 风险管理的内容: 风险管理由三个部分组成:风险评估、风险处理以及基于风险的决策 风险分析的目标是:确定风险,对可能造成损坏的潜在风险进行定性化和定量化,以及最后在经济上寻求风险损失和对风险投入成本的平衡。风险计算原理: 风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))R表示安全风险计算函数,A表示资产,T表示威胁,V表示脆弱性,Ia表示安全事件所作用的资产重要程度,Va表示脆弱性严重程度,L表示威胁利用资产的脆弱性导致安全事件发生的可能性,F表示安全事件发生后产生的损失。风险处理的过程:1对优先级进行排序2评估所建议的安全措施3实施成本效益分析4选择安全措施5分配责任和任务6制定安全措施的实现计划7实现所选择的安全措施 电子商务信用体系的构成:信用体系第一层是政府,负责信用立法与执法;第二层是行业协会,负责准入、评定、制订游戏规则;第三层是中介机构,负责信用服务;第四层是企业与消费者
第五篇:电子商务管理
1、What are some of the risks of e-business change, and how can they be managed?(电子商务的变革存在哪些风险,怎样管理这些风险?)
答:一:电子商务变革主要存在以下风险:
1)模式同质化风险
由于我国的电子商务模式是脱胎于美国的模式,因此在电子商务发展初期,BtoB、BtoC、CtoC三种定式模式在国外布道者的传播下迅速推广开来。国内的电子商务经营者把这些东西学来,当做“圣经”一样去复制和炒作。应该承认这些电子商务模式对推动我国初期电子商务的发展,固然起到了一定的作用。但是,随着电子商务的不断深化,这种同质化、大家都千篇一律的模式显然不能适应消费者需求个性化、多元化的需要,因而企业在实施电子商务时要力求体现个性化,避免踏进同质化的误区,无法提升企业的竞争优势。
2)超前的风险
电子商务固然能够起到跨时空交易、降低成本等作用,但是电子商务并不是万能和普遍适用的,有些企业看到别的企业都在进行轰轰烈烈的电子商务革命,仿佛自己不电子商务一下不够时髦,于是也附和着进行电子商务改造,结果由于企业管理水平跟不上,供应链企业不配合,导致花费巨大的电子商务系统成为一种摆设,没有发挥应有的作用。如某企业主要从事石油制品的生产,决定建立自己的BtoB电子商务网站,在网上对销售体系进行整合,他们认为通过这样的跨越式发展策略可以提高企业管理水平,结果因为他们的合作伙伴不愿意通过此方式进行采购,并继续采用以前的采购方式,致使该项目在产生效益之前就面临淘汰威胁。
3)滞后的风险
与超前风险相反的是,有些企业本该实施电子商务却习惯于传统的思维方式,没有进行电子商务变革,这样的结果同样是阻碍了企业的发展。如某高科技企业其客户主要是各大企事业单位,由于该企业历史短暂,没有形成自己应有的管理体制,所有生产和销售处于一种自发状态,企业领导意识到必须加强企业管理水平,并推行了各种新管理措施,但收效甚微。对于这样的企业要尽快建立自己的ERP和CRM系统,通过电子商务系统来变革企业内部传统的管理,藉此提高企业的竞争力。
4)技术风险
当前我国电子商务面临的突出问题之一是网络应用程度不广,网络结构复杂,不同行业不能实现互通互联,应用落后于技术发展,传统企业难以适应新经济发展要求。我们应本着市场牵引、应用主导、网络共建、资源共享、技术创新和竞争开放的方针,尽快建立和健全相关法律法规,开发关键的技术和产品,形成适合中国国情的电子商务的运营机制。最关键一点,是通过政府、企业等各界的通力合作,借鉴国外先进科技成果和管理经验,尽快建立起拥有自主知识产权的综合服务电子商务平台。此外,目前有关电子商务安全的技术还没有完全解决,包括交易安全、认证安全和数据加密等,由此技术风险容易导致安全风险。
5)信誉风险
中国BtoC电子商务的最大网站my8848的轰然倒闭使人们对电子商务的信誉降至极点,以致整个电子商务行业都不可避免地遭遇一场信誉危机。因此,现在电子商务企业要最大限度地克服信誉风险,落实到企业的行动中去,就是要“勿因善小而不为,勿因恶小而为之”,对于企业的每个订单,每个客户都不能马虎,细微之处见真情。特别要重视搞好消费者关注的售后服务、付款方式,不能交易
一完成,服务就终结,甚至翻脸不认人。短视带来的是电子商务的短命。my8848欺骗消费者的最终结果是自己和倒闭。
6)人才风险
电子商务需要大量计算机人才和网络经济人才,现在连电子商务的倡导者美国都感到这方面人才的缺乏,我国这方面的人才就更加匮乏了,并且有人才向提供高薪就业机会的国家外流的倾向,如今随着WTO的加入,电子商务人才外流的倾向会更加明显且流失也更加容易。特别是随着国外IT企业的大量进入,一场争夺电子商务人才的中外争夺战即将打响。因此,作为电子商务企业要重视人力资源管理,将人才视为企业之本,做到用待遇吸引人,用感情凝聚人,用事业激励人,从而有效地预防人才流失的风险。
二:风险管理步骤
电子商务风险管理就是通过风险的识别、预测和衡量、选择有效的手段,以尽可能降低成本,有计划地处理风险,以获得企业安全运作的经济保障。这就要求企业在日常经营过程中,应对可能发生的风险进行识别,预测各种风险发生后对资源及日常经营造成的消极影响,使企业能够顺利经营。可见,风险的识别、风险的预测和风险的控制是企业风险管理的主要步骤。
1)风险识别
风险识别是在收集有关各种威胁、漏洞和相关对策等信息的基础上,识别各种可能对电子商务系统造成潜在威胁的安全风险。
风险识别的手段五花八门,对于电子商务系统的安全来说,风险识别的目标主要是对电子商务系统的网络环境风险、数据存在风险和网上支付风险进行识别。
2)风险预测
风险预测是指运用分析、比较、总结等各种定性、定量的方法,对未来在电子商务运作过程中可能会遇到的各种问题进行预测和分析,做好可能会出现的大的问题的解决方案,从而使电子商务能够更加顺利得进行。
3)风险控制
风险控制就是选择和运用一定的风险控制手段,以保障风险降到一个可以接受的水平。风险控制是风险管理中最重要的一个环节,是决定风险管理成败的关键因素。电子商务安全风险控制的目标在于改变企业电子商务项目所承受的风险程度。
2、Summarize the main human-resource requirements for an e-commerce implementation.(总结电子商务中重要的人力资源需求。)
答:
一、电子商务人力资源需求现状
1)行业发展迅速,电子商务人力资源总缺口高达200万人/每年。随着电子商务行业井喷似发展,据公开资料显示,仅2008年中国企业新增电子商务人才需求就超过230万,2009年、2010年又分别在前一年的基础上大幅增长。有专家预测,未来10年,中国电子商务专业人才缺口至少在200万,这一数字还不包括整个电子商务生态链的诸多岗位人才需求。
从淘宝方面反馈的数据看,每天发布的电子商务招聘求职类信息,在600~900条。从“前程无忧”一家招聘平台来看,每月发布的电子商务招聘信息不低于6万条,占中国所有行业招聘的4%。
2)培养培训体系乏力,电子商务人力资源总供给量提升艰难,远不足支撑需求。按人才培养供给渠道看,作为主力渠道的大学教育,确实做到了每所大学都开设了电子商务专业。但是从老师到学生,甚至是为数众多的教授,研究生导
师,都没有电子商务实践方面的直接经验或间接经验。在培养过程中,经常是纸上谈兵,完全无法学以致用。笔者曾经招聘过一个国内名校毕业的电子商务博士,讲起来确实是口若悬河、但实际做起来却是连最基本的常识都没有。
作为辅助渠道的职业教育,也因为缺乏教学体系和教学实践的积累。无法真正意义上承担相关培养工作,特别是中层以上含中层的电子商务人才更是如此。全国范围内,规模化开展电子商务培训的就只有淘宝一家,培训主要集中在底端操作员方面,而且大部分是用于淘宝自身体系,对缓解社会的供需矛盾起不到决定性作用。
二、电子商务高级人力资源极度匮乏的行业性原因
1)高级人力资源的综合素质要求极高。
电子商务的主要关键岗位,集中在以下三个方面:
1、电子商务的核心还是商务,商务营销人才首当其冲;
2、电子商务的主要手段是电子化,IT技术人才紧随其后;
3、电子商务的实质是对外缩短供应链,对内实施精细化管理,在销售利润和成本控制两方面寻求企业生存空间,所以运营型人才必不可少。
而这第三个方面人才,恰恰是电子商务公司容易忽略却极其致命的软肋。作为电子商务高管,必须具备跨职能的综合管理能力,其要求可谓非常有挑战性。
2)电子商务行业发展历程较短,成功企业有效,导致掌握成功路经的高管匮乏。
主要表现在以下两个方面:
1、电子商务作为21世纪新兴的行业,从公司治理和内部管理方面,从诞生之日起,就具备系统化,结构化,资源整合化三特性。从而导致低层向中层,中层向高层的自然成长缓慢而困难重重。不像传统行业内部人力资源职能结构简单明确,管理体系因为多年沉淀而成熟,人力资源的自然成长,不管是从知识、咨询还是实际方面都有明确和快速的成长路径;
2、电子商务具备知识密集型和技术密集型两大特点,成为某方面的专才不易。同时成为专才后,要跳出原有的知识和技术格局,向跨职能发展更是挑战。
3)电子商务行业流动性极低,成功企业的成功经验无法在行业内得到有效传递。
电子商务行业流动性极低,核心原因还是电子商务的面对面竞争性,与所有的行业都不同。在传统行业内,因为地域和客户群体的区隔,导致跨区域发展非常困难。传统行业内虽然是竞争对手,但这种竞争不是面对面的,也不是你死我活的。而电子商务明显不同,网络是通达全国的,任何竞争对手,只要做同一行业,就是直接竞争,没有任何缓冲的余地。故此,成功的电子商务公司的人力资源战略,就必然包含了高管层的稳定和忠诚。于是,在这个行业内,我们看到了很多高薪、期权、一夜暴富的例子,对于这个行业而言,反而是理性的合理的。因为这个行业就是因人成事,一将兴邦,也会一臣覆国。所以行业内人士,形象地总结电子商务的高管人才流动性是:动的基本都不强,强的基本都不动。
三、电子商务高级人力资源现状对传统的冲击
1)电子商务和本行业的对接问题:跨行业的人绝对是可遇不可求,要么重金从电子商务行业领导企业挖,而且还要看挖不挖的起,挖不挖的来。成本巨大,成功率低,而且容易引发行业内恶性竞争。要么只能找电子商务的适应本行业,而无法由本行业的去跨越到电子商务。只有这样才能互为领路人,教学相长,优势互补。
2)电子商务对本公司传统冲击,从以下方面来说:
1、是薪酬方式和体系的冲击。从传统行业而言,一般是企业强势,个人更
依赖于企业的平台。而电子商务人才极度匮乏的现状,导致是高管强势,个人有更多机会和选择。所以电子商务的高管薪酬目标主要是长期激励和结构性稳定为导向的。这样就会造成薪酬的数量和结构方式,特别是高管期权方面对传统企业冲击明显。
2、是文化理念和做事方式的冲击。传统行业比较习惯以产能定目标,以资源促发展;而电子商务则习惯以客户价值定目标,以差异化促发展。传统行业的计算模型比较直接和线性,一目了然;而电子商务计算模型因考虑客户和竞争相关因素则相对多元化和复杂化。所以,企业和高管往往对业绩指标,发展方式等核心要素,有很多分歧点。虽然这是正常的,也是企业请高管的价值所在。但企业一直以来从上至下管理模式的习惯心态,往往会随着时间的推移和观念冲突的显性化而不经意的占领了潜意识的高点。如何能克服和避免,理性的看待这个问题,是保障战略设计成功的基础,也是未来战略执行的基石。
点击咨询 