不安全系統(tǒng)中的商務(wù)風(fēng)險(xiǎn)與管理(ppt)
綜合能力考核表詳細(xì)內(nèi)容
不安全系統(tǒng)中的商務(wù)風(fēng)險(xiǎn)與管理(ppt)
不安全系統(tǒng)中的商務(wù)風(fēng)險(xiǎn)與管理
1 與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn)
本節(jié)講述接入不安全網(wǎng)絡(luò),尤其是Internet從事一系列商務(wù)(如:外部電子郵件、內(nèi)部地理上相分隔的部門間的電子郵件、市場營銷、電子銷售和采購系統(tǒng))所面臨的風(fēng)險(xiǎn)。
1.1 與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn)
虛假的或惡意的網(wǎng)站
竊取訪問者的身份證信息與口令、竊取信用卡信息、偷窺訪問者的硬盤或從硬盤中上載文件
注冊(cè)、虛假商業(yè)活動(dòng)、“蟲子”
從銷售代理及Internet服務(wù)商(ISP)處竊取用戶數(shù)據(jù)
信用卡信息保存在銷售代理或ISP處
信用卡信息失竊
隱私與cookies的使用
隱私權(quán)組織的反對(duì)
用戶首次訪問網(wǎng)站,Cookies文件建立,分配用戶身份號(hào)碼,提高了網(wǎng)站訪問的效率
Cookies被營銷公司利用
1.2 銷售代理所面臨的風(fēng)險(xiǎn)
銷售代理與消費(fèi)者同樣都面臨電子商務(wù)風(fēng)險(xiǎn)
客戶假冒
假冒他人訂購免費(fèi)服務(wù)或商品
收貨拒付
拒絕服務(wù)DoS襲擊
拒絕服務(wù)襲擊用于破壞、關(guān)閉或削弱某電腦或網(wǎng)絡(luò)資源
難以防范、追查
SYN淹沒
數(shù)據(jù)的失竊
2 與企業(yè)內(nèi)部網(wǎng)相關(guān)的風(fēng)險(xiǎn)
對(duì)于許多大型企業(yè)而言,公司企業(yè)內(nèi)部網(wǎng)的維護(hù)與安全已經(jīng)變得像一只難馴的野獸一般棘手。在一些大型企業(yè)中,單是能夠及時(shí)了解企業(yè)內(nèi)部網(wǎng)的數(shù)目及其確切位置就是一個(gè)不小的難題。
內(nèi)部黑客的威脅
2.1 離職員工的破壞活動(dòng)
離職員工真會(huì)對(duì)以前的雇主及其電腦系統(tǒng)進(jìn)行報(bào)復(fù)性活動(dòng)嗎? 1998年的CSI/FBI調(diào)查顯示,89%的公司認(rèn)為心懷不滿的員工會(huì)進(jìn)行這類襲擊。
2.2 在職員工的威脅
在職員工也會(huì)給企業(yè)的電腦系統(tǒng)造成嚴(yán)重破壞。
嗅探器
嗅探--企業(yè)內(nèi)部網(wǎng)信息(消息、文件、用戶身份、口令)如果由一條共享渠道傳輸,就存在著被另一個(gè)電腦站點(diǎn)截取的可能
數(shù)據(jù)下載
內(nèi)部數(shù)據(jù)資料共享
電子郵件假冒
社交伎倆
電話、短信誘騙
3 貿(mào)易伙伴間商業(yè)交易數(shù)據(jù)傳輸中的風(fēng)險(xiǎn)
3.1 企業(yè)內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)及互聯(lián)網(wǎng)之間的關(guān)系
企業(yè)外部網(wǎng)是從事合作業(yè)務(wù)的貿(mào)易伙伴之間,包括供應(yīng)商、客戶、流通服務(wù)商及任何其他商家,利用Internet技術(shù)連接在一起的集團(tuán)網(wǎng)絡(luò)。企業(yè)外部網(wǎng)與互聯(lián)網(wǎng)的區(qū)別何在?為這個(gè)問題做一個(gè)清楚的答案并不容易。企業(yè)外部網(wǎng)可以使用互聯(lián)網(wǎng)的路徑與互聯(lián)網(wǎng)服務(wù)供應(yīng)商(ISP)傳送數(shù)據(jù)?;ヂ?lián)網(wǎng)服務(wù)供應(yīng)商就是通過提供互聯(lián)網(wǎng)接入服務(wù)而贏利的公司。
3.2 數(shù)據(jù)截取
在經(jīng)過Internet的數(shù)據(jù)傳輸問題上,無論是在形成企業(yè)外部網(wǎng)連接的兩個(gè)公司之間,還是在個(gè)體用戶與網(wǎng)上銷售代理或服務(wù)商之間,數(shù)據(jù)截獲都是一個(gè)很大的顧慮。圖6-4顯示了公司通過互聯(lián)網(wǎng)傳送數(shù)據(jù)所面臨的風(fēng)險(xiǎn)。
3.3 受保密措施維護(hù)的檔案文件、主文件與參考數(shù)據(jù)所面臨的風(fēng)險(xiǎn)
假如一名黑客闖入了系統(tǒng),他都能造成什么危害呢?最為可能的危害是:
◆毀壞數(shù)據(jù)——惡意的作惡者會(huì)刪除重要交易或主文件數(shù)據(jù),意圖是破壞公司的運(yùn)營。
◆改動(dòng)數(shù)據(jù)——惡意的作惡者會(huì)改動(dòng)數(shù)據(jù)。
◆未經(jīng)授權(quán)使用數(shù)據(jù)——作惡者會(huì)利用數(shù)據(jù)贏得對(duì)其競爭對(duì)手的主動(dòng)。
◆改動(dòng)應(yīng)用程序——作惡者會(huì)改動(dòng)一個(gè)程序,從而導(dǎo)致它的錯(cuò)誤運(yùn)算。
4風(fēng)險(xiǎn)管理模式
風(fēng)險(xiǎn)本身并不是一個(gè)壞事;風(fēng)險(xiǎn)是發(fā)展所不可或缺的因素,而失敗往往又是增長知識(shí)的重要因素。但我們必須學(xué)會(huì)在風(fēng)險(xiǎn)潛在的負(fù)面影響與其相關(guān)機(jī)遇所帶來的潛在效益之間把握好一個(gè)平衡。用來減少損失或傷害可能性的方法就是人們所稱的風(fēng)險(xiǎn)管理。
4.1 風(fēng)險(xiǎn)管理模式
圖6-5描述了一個(gè)風(fēng)險(xiǎn)管理模式(risk management paradigm)。該模式是一個(gè)連續(xù)的過程,它的設(shè)計(jì)是基于這樣一種認(rèn)識(shí),即風(fēng)險(xiǎn)管理是一個(gè)連續(xù)不斷的過程。
4.2 電子商務(wù)風(fēng)險(xiǎn)類型
電子商務(wù)是新的商業(yè)模式,也就有新商業(yè)的特征。作為新的商業(yè)模式,其風(fēng)險(xiǎn)類型有:
1、完整性風(fēng)險(xiǎn)
(1)用戶界面(user interface)
(2)處理(processing)
(3)錯(cuò)誤處理(error proccssing)
(4)界面(interface)
(5)變化處理(change management)
(6)數(shù)據(jù)(data)
(7)接入風(fēng)險(xiǎn)
2、基礎(chǔ)設(shè)施風(fēng)險(xiǎn)
基礎(chǔ)設(shè)施風(fēng)險(xiǎn)(infrastructure risk)指企業(yè)不具備完整的信息技術(shù)基礎(chǔ)設(shè)施而造成的風(fēng)險(xiǎn)。
基礎(chǔ)設(shè)施風(fēng)險(xiǎn)有下列內(nèi)容:
◆ 組織計(jì)劃(organization planning)
◆ 應(yīng)用系統(tǒng)的定義和開發(fā)(application systems definition and deployment)
◆ 邏輯安全和安全管理(logical security and security administration)
◆ 計(jì)算機(jī)和網(wǎng)絡(luò)操作(computer and network operations)
◆ 數(shù)據(jù)和數(shù)據(jù)庫管理(data and database management)
◆ 核心業(yè)務(wù)數(shù)據(jù)恢復(fù)(business data center recovery)
3、 獲得性風(fēng)險(xiǎn)
獲得性風(fēng)險(xiǎn)(availability risk)是指企業(yè)在獲得數(shù)據(jù)時(shí)的風(fēng)險(xiǎn),如破壞者經(jīng)常利用郵件轟炸來阻礙服務(wù),或者對(duì)服務(wù)系統(tǒng)提出虛假請(qǐng)求,這給網(wǎng)絡(luò)用戶提供服務(wù)帶來了一種危險(xiǎn)。
◆ 通過事先對(duì)行為的監(jiān)督和對(duì)系統(tǒng)問題的解決,能夠避免此類的風(fēng)險(xiǎn)。
◆ 獲得性風(fēng)險(xiǎn)與系統(tǒng)的短期中斷相關(guān)聯(lián)
◆ 獲得性風(fēng)險(xiǎn)與信息處理過程長時(shí)間中斷也有關(guān)聯(lián),其重點(diǎn)是諸如備份與應(yīng)急計(jì)劃等控制手段。
4、其他與商務(wù)相關(guān)的風(fēng)險(xiǎn)
◆ 正確性風(fēng)險(xiǎn)(validity risk)
◆ 效率風(fēng)險(xiǎn)(efficiency risk)
◆ 周期性風(fēng)險(xiǎn)(cycle time risk)
◆ 報(bào)廢風(fēng)險(xiǎn)(obsolescence risk)
◆ 業(yè)務(wù)中斷風(fēng)險(xiǎn)(business interruption risk)
◆ 產(chǎn)品失敗風(fēng)險(xiǎn)(product fail risk)
4.3 內(nèi)部控制體系
1、控制環(huán)境
控制環(huán)境包括以下因素:
◆品行、職業(yè)道德和能力
◆董事會(huì)的指導(dǎo)及關(guān)注程度
◆管理層的管理哲學(xué)與經(jīng)營風(fēng)格
◆權(quán)力和責(zé)任的分配
◆人力資源政策和措施
2、風(fēng)險(xiǎn)評(píng)估
風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管理在其它地方已經(jīng)討論過。風(fēng)險(xiǎn)評(píng)估是設(shè)計(jì)、評(píng)價(jià)內(nèi)部控制體系的一個(gè)重要組成部分。在企業(yè)層次上,需要考慮的風(fēng)險(xiǎn):
◆外部因素
◆內(nèi)部因素
3、控制行為
信息系統(tǒng)控制分為兩組:綜合控制(general control)和應(yīng)用控制(application control),圖6列舉了這兩組控制的內(nèi)容。
4、信息與溝通
良好的溝通渠道可以確保反饋信息及時(shí)傳達(dá)給相關(guān)主管人員,在安全評(píng)估各層次之間,計(jì)劃與執(zhí)行各階段之間,都應(yīng)該有溝通渠道。
5、監(jiān)控
高效的監(jiān)控應(yīng)該是一個(gè)不斷進(jìn)行的過程而不是某一個(gè)孤立事件。如果發(fā)現(xiàn)問題,而指定人員由于工作繁忙無法做出反應(yīng),公司的安全政策與實(shí)際做法之間就會(huì)出現(xiàn)安全漏洞,在這種情況下,實(shí)行響應(yīng)報(bào)告制度是十分必要的。響應(yīng)報(bào)告制度要求有關(guān)人員記錄下他們針對(duì)報(bào)告的情況所采取的具體措施。
4.4 內(nèi)部控制在風(fēng)險(xiǎn)管理中的作用
除了傳統(tǒng)的獨(dú)立審計(jì)職能外,作為新的會(huì)計(jì)師職能,內(nèi)部控制的作用范圍正在日趨擴(kuò)充到整個(gè)電子商務(wù)行業(yè),尤其在信息系統(tǒng)。普華永道是能夠提供這類服務(wù)的代表,它有一個(gè)全球風(fēng)險(xiǎn)管理服務(wù)(GRMS)分部,它可以提供下列服務(wù):
1、戰(zhàn)略性風(fēng)險(xiǎn)管理
2、金融風(fēng)險(xiǎn)管理
3、 運(yùn)作與系統(tǒng)風(fēng)險(xiǎn)管理
4、 技術(shù)風(fēng)險(xiǎn)服務(wù)
5、 具體部署服務(wù)
6、 環(huán)境服務(wù)
5 控制風(fēng)險(xiǎn)與實(shí)施計(jì)劃
5.1 控制支出不足與控制支出風(fēng)險(xiǎn)
控制支出不足(control weakness)一詞用來形容實(shí)施控制的成本小于預(yù)期利潤的情況。控制支出風(fēng)險(xiǎn)(control risk)一詞則用來形容額外控制的預(yù)期利潤可能不會(huì)超過實(shí)施和保持這些控制的成本的情況。
5.2災(zāi)害拯救計(jì)劃
即使是設(shè)計(jì)最好的系統(tǒng)也避免不了自然災(zāi)害。因此,所有的公司應(yīng)該制定一個(gè)災(zāi)害拯救計(jì)劃(disaster recovery plan),其目的是為了在因不可預(yù)見的人或自然災(zāi)害發(fā)生而造成操作中斷時(shí)能恢復(fù)操作。
1、災(zāi)害拯救計(jì)劃的目標(biāo)
完善的拯救應(yīng)涉及以下目標(biāo):
◆ 評(píng)估薄弱環(huán)節(jié)
◆ 防止和減少風(fēng)險(xiǎn)
◆ 設(shè)計(jì)出高效益-低成本的解決方案
◆ 最大限度地減少業(yè)務(wù)中斷,保障業(yè)務(wù)的繼續(xù)進(jìn)行
◆ 提供被選的互聯(lián)網(wǎng)接入模式
◆ 恢復(fù)丟失的數(shù)據(jù)
◆ 提供災(zāi)害拯救的步驟
◆ 訓(xùn)練雇員熟悉災(zāi)害拯救步驟
2、備用第二地址
服務(wù)器的連續(xù)性是評(píng)判災(zāi)害拯救計(jì)劃好壞的關(guān)鍵因素。如果公司原地址不能服務(wù),那么就需要第二地址來繼續(xù)服務(wù)。
6 電子商務(wù)的第三方保證
什么是電子商務(wù)的第三方?廣義地說,是電子商務(wù)交易雙方以外的部門或機(jī)構(gòu)。第三方主要是完成商務(wù)背景的處理,起到商務(wù)運(yùn)作中的標(biāo)準(zhǔn)制定、合法性確認(rèn)、影響機(jī)制和糾紛解決等作用,以降低電子商務(wù)運(yùn)作中雙方交易的風(fēng)險(xiǎn),這一些就是電子商務(wù)的第三方保證。
1 標(biāo)準(zhǔn)制定
為了降低交易的風(fēng)險(xiǎn),標(biāo)準(zhǔn)制定必須涵蓋交易的全過程,主要包括:數(shù)據(jù)安全、商業(yè)政策、交易處理完整性、數(shù)據(jù)私密和網(wǎng)站標(biāo)記等。
2 合法性確認(rèn)
必須在符合電子商務(wù)法律規(guī)范的框架下,還要包括:
◆建立行業(yè)支持這種規(guī)范的認(rèn)證;
◆外部中介機(jī)構(gòu)促使認(rèn)證過程的合法化;
◆公司的優(yōu)良承諾保證交易執(zhí)行,減少或杜絕“檸檬”問題。
3 影響機(jī)制
影響機(jī)制能夠刺激交易雙方履行義務(wù),以減少交易雙方的風(fēng)險(xiǎn)。借助信息中間媒介(information intermediaries)的服務(wù)和網(wǎng)站標(biāo)記,可以有效低刺激影響機(jī)制。信息中間媒介指的是專門從事于不同行業(yè)生產(chǎn)的產(chǎn)品和服務(wù)的質(zhì)量進(jìn)行評(píng)估的公司或組織。這種組織對(duì)消費(fèi)者交易雙方有很大的促進(jìn)作用。
4 解決糾紛
解決糾紛的手段主要有直接談判、訴諸法律或者采用武力等。解決糾紛的機(jī)構(gòu)或組織,除了傳統(tǒng)法律機(jī)構(gòu)外,網(wǎng)上法庭、認(rèn)證機(jī)構(gòu)、網(wǎng)站標(biāo)記組織等等,應(yīng)該在各自的范圍內(nèi),促使糾紛的解決。
7 智能代理與電子商務(wù)
7.1 智能代理的定義
智能代理是一種輔助使用者并代表其行動(dòng)的軟件。智能代理的工作原理就是讓使用者向代理軟件分派(delegate)他們本來可以自己執(zhí)行的任務(wù)。代理可以像助理一樣自動(dòng)執(zhí)行重復(fù)任務(wù),記住你忘記的事情,智能化地總結(jié)復(fù)雜的數(shù)據(jù),向你學(xué)習(xí),甚至并向你建議。
7.2 智能代理的能力
智能代理能夠執(zhí)行許多功能。吉爾伯特(Gilbert,1997)定義了三個(gè)主要標(biāo)準(zhǔn):代理、智能、移動(dòng)性。
◆ 代理。能夠進(jìn)行自主行動(dòng)的程度
◆ 智能。能夠理解其自身內(nèi)部狀態(tài)和外部環(huán)境的程度智能水平可以根據(jù)其反應(yīng)、適應(yīng)、采取主動(dòng)的能力進(jìn)一步分類。
◆ 靈活性(也稱為代理的交際性)。代理的靈活性是指軟件在不同機(jī)器之間移動(dòng)并在外部計(jì)算機(jī)上執(zhí)行某些工作的能力。
7.3 代理組合
多個(gè)代理一起工作來達(dá)成多樣的、然而是獨(dú)立目標(biāo)的系統(tǒng)和環(huán)境稱為代理組合(agent society)。設(shè)計(jì)代理組合時(shí)頭腦中至少要記住以下五個(gè)特點(diǎn):
◆ 開放性
◆ 組合的復(fù)雜性
◆ 界面技術(shù)
◆ 協(xié)商
◆ 內(nèi)部控制方法
7.4 智能代理與電子商務(wù)
智能代理可能通過很多途徑影響電子商務(wù)。它們可能是:
◆ 幫助實(shí)體更有效、更高效地找到他們的目標(biāo)顧客,包括為了營銷目的以及運(yùn)送商品或信息服務(wù)。
◆ 幫助顧客更有效、更高效地搜集產(chǎn)品信息并進(jìn)行價(jià)格和產(chǎn)品特點(diǎn)的比較;
◆ 向顧客提供更用戶化的服務(wù);
◆ 幫助企業(yè)更有效、更高效地觀察環(huán)境,以便與新的發(fā)展同步;
◆ 為企業(yè)開發(fā)新的地區(qū)時(shí)常;
◆ 提高電子交易談判的速度和效率
圖10 應(yīng)用智能代理的電子商務(wù)
7.5 代理的局限性
代理技術(shù)有其有前途的一面,但它也有它的局限性。 Jennings和Woolridge(1998)指出了代理模式的三種局限:
1、沒有總體系統(tǒng)控制器(system controller)
代理技術(shù)對(duì)下列系統(tǒng)并不合適:必須維持全球限制的系統(tǒng);必須保障實(shí)時(shí)反應(yīng)的系統(tǒng);必須比開死鎖或活鎖的系統(tǒng)。
2、非全球視角(global perspective)觀點(diǎn)
代理的當(dāng)?shù)厍闆r決定了代理的行為。從全球的觀點(diǎn)來看,代理可能因其“狹隘的視野”而做出次優(yōu)的決策。多代理系統(tǒng)必須提高合作和談判技術(shù),以便能產(chǎn)生更多的最佳全球決策。
3、信任(trust)和委托(delegation)
個(gè)體必須信任代理所使用的基本技術(shù)和代理的實(shí)際知識(shí)基礎(chǔ),以便能放心地把工作委托給代理。
7.6 代理與安全
代理具有靈活的特點(diǎn),而這種靈活性帶來了安全問題。要求在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行程序的靈活的代理對(duì)安全系統(tǒng)提出了挑戰(zhàn)。在代理模塊中出現(xiàn)惡性代碼的危險(xiǎn)是存在的。管理者必須意識(shí)到允許代理組合運(yùn)行的系統(tǒng)所面臨的風(fēng)險(xiǎn)。
復(fù)習(xí)題
1、什么是cookies?
2、嗅探器正反兩面的用途有哪些?
3、互聯(lián)網(wǎng)傳送信息的風(fēng)險(xiǎn)有哪些?
4、智能代理的風(fēng)險(xiǎn)是什么?
不安全系統(tǒng)中的商務(wù)風(fēng)險(xiǎn)與管理(ppt)
不安全系統(tǒng)中的商務(wù)風(fēng)險(xiǎn)與管理
1 與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn)
本節(jié)講述接入不安全網(wǎng)絡(luò),尤其是Internet從事一系列商務(wù)(如:外部電子郵件、內(nèi)部地理上相分隔的部門間的電子郵件、市場營銷、電子銷售和采購系統(tǒng))所面臨的風(fēng)險(xiǎn)。
1.1 與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn)
虛假的或惡意的網(wǎng)站
竊取訪問者的身份證信息與口令、竊取信用卡信息、偷窺訪問者的硬盤或從硬盤中上載文件
注冊(cè)、虛假商業(yè)活動(dòng)、“蟲子”
從銷售代理及Internet服務(wù)商(ISP)處竊取用戶數(shù)據(jù)
信用卡信息保存在銷售代理或ISP處
信用卡信息失竊
隱私與cookies的使用
隱私權(quán)組織的反對(duì)
用戶首次訪問網(wǎng)站,Cookies文件建立,分配用戶身份號(hào)碼,提高了網(wǎng)站訪問的效率
Cookies被營銷公司利用
1.2 銷售代理所面臨的風(fēng)險(xiǎn)
銷售代理與消費(fèi)者同樣都面臨電子商務(wù)風(fēng)險(xiǎn)
客戶假冒
假冒他人訂購免費(fèi)服務(wù)或商品
收貨拒付
拒絕服務(wù)DoS襲擊
拒絕服務(wù)襲擊用于破壞、關(guān)閉或削弱某電腦或網(wǎng)絡(luò)資源
難以防范、追查
SYN淹沒
數(shù)據(jù)的失竊
2 與企業(yè)內(nèi)部網(wǎng)相關(guān)的風(fēng)險(xiǎn)
對(duì)于許多大型企業(yè)而言,公司企業(yè)內(nèi)部網(wǎng)的維護(hù)與安全已經(jīng)變得像一只難馴的野獸一般棘手。在一些大型企業(yè)中,單是能夠及時(shí)了解企業(yè)內(nèi)部網(wǎng)的數(shù)目及其確切位置就是一個(gè)不小的難題。
內(nèi)部黑客的威脅
2.1 離職員工的破壞活動(dòng)
離職員工真會(huì)對(duì)以前的雇主及其電腦系統(tǒng)進(jìn)行報(bào)復(fù)性活動(dòng)嗎? 1998年的CSI/FBI調(diào)查顯示,89%的公司認(rèn)為心懷不滿的員工會(huì)進(jìn)行這類襲擊。
2.2 在職員工的威脅
在職員工也會(huì)給企業(yè)的電腦系統(tǒng)造成嚴(yán)重破壞。
嗅探器
嗅探--企業(yè)內(nèi)部網(wǎng)信息(消息、文件、用戶身份、口令)如果由一條共享渠道傳輸,就存在著被另一個(gè)電腦站點(diǎn)截取的可能
數(shù)據(jù)下載
內(nèi)部數(shù)據(jù)資料共享
電子郵件假冒
社交伎倆
電話、短信誘騙
3 貿(mào)易伙伴間商業(yè)交易數(shù)據(jù)傳輸中的風(fēng)險(xiǎn)
3.1 企業(yè)內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)及互聯(lián)網(wǎng)之間的關(guān)系
企業(yè)外部網(wǎng)是從事合作業(yè)務(wù)的貿(mào)易伙伴之間,包括供應(yīng)商、客戶、流通服務(wù)商及任何其他商家,利用Internet技術(shù)連接在一起的集團(tuán)網(wǎng)絡(luò)。企業(yè)外部網(wǎng)與互聯(lián)網(wǎng)的區(qū)別何在?為這個(gè)問題做一個(gè)清楚的答案并不容易。企業(yè)外部網(wǎng)可以使用互聯(lián)網(wǎng)的路徑與互聯(lián)網(wǎng)服務(wù)供應(yīng)商(ISP)傳送數(shù)據(jù)?;ヂ?lián)網(wǎng)服務(wù)供應(yīng)商就是通過提供互聯(lián)網(wǎng)接入服務(wù)而贏利的公司。
3.2 數(shù)據(jù)截取
在經(jīng)過Internet的數(shù)據(jù)傳輸問題上,無論是在形成企業(yè)外部網(wǎng)連接的兩個(gè)公司之間,還是在個(gè)體用戶與網(wǎng)上銷售代理或服務(wù)商之間,數(shù)據(jù)截獲都是一個(gè)很大的顧慮。圖6-4顯示了公司通過互聯(lián)網(wǎng)傳送數(shù)據(jù)所面臨的風(fēng)險(xiǎn)。
3.3 受保密措施維護(hù)的檔案文件、主文件與參考數(shù)據(jù)所面臨的風(fēng)險(xiǎn)
假如一名黑客闖入了系統(tǒng),他都能造成什么危害呢?最為可能的危害是:
◆毀壞數(shù)據(jù)——惡意的作惡者會(huì)刪除重要交易或主文件數(shù)據(jù),意圖是破壞公司的運(yùn)營。
◆改動(dòng)數(shù)據(jù)——惡意的作惡者會(huì)改動(dòng)數(shù)據(jù)。
◆未經(jīng)授權(quán)使用數(shù)據(jù)——作惡者會(huì)利用數(shù)據(jù)贏得對(duì)其競爭對(duì)手的主動(dòng)。
◆改動(dòng)應(yīng)用程序——作惡者會(huì)改動(dòng)一個(gè)程序,從而導(dǎo)致它的錯(cuò)誤運(yùn)算。
4風(fēng)險(xiǎn)管理模式
風(fēng)險(xiǎn)本身并不是一個(gè)壞事;風(fēng)險(xiǎn)是發(fā)展所不可或缺的因素,而失敗往往又是增長知識(shí)的重要因素。但我們必須學(xué)會(huì)在風(fēng)險(xiǎn)潛在的負(fù)面影響與其相關(guān)機(jī)遇所帶來的潛在效益之間把握好一個(gè)平衡。用來減少損失或傷害可能性的方法就是人們所稱的風(fēng)險(xiǎn)管理。
4.1 風(fēng)險(xiǎn)管理模式
圖6-5描述了一個(gè)風(fēng)險(xiǎn)管理模式(risk management paradigm)。該模式是一個(gè)連續(xù)的過程,它的設(shè)計(jì)是基于這樣一種認(rèn)識(shí),即風(fēng)險(xiǎn)管理是一個(gè)連續(xù)不斷的過程。
4.2 電子商務(wù)風(fēng)險(xiǎn)類型
電子商務(wù)是新的商業(yè)模式,也就有新商業(yè)的特征。作為新的商業(yè)模式,其風(fēng)險(xiǎn)類型有:
1、完整性風(fēng)險(xiǎn)
(1)用戶界面(user interface)
(2)處理(processing)
(3)錯(cuò)誤處理(error proccssing)
(4)界面(interface)
(5)變化處理(change management)
(6)數(shù)據(jù)(data)
(7)接入風(fēng)險(xiǎn)
2、基礎(chǔ)設(shè)施風(fēng)險(xiǎn)
基礎(chǔ)設(shè)施風(fēng)險(xiǎn)(infrastructure risk)指企業(yè)不具備完整的信息技術(shù)基礎(chǔ)設(shè)施而造成的風(fēng)險(xiǎn)。
基礎(chǔ)設(shè)施風(fēng)險(xiǎn)有下列內(nèi)容:
◆ 組織計(jì)劃(organization planning)
◆ 應(yīng)用系統(tǒng)的定義和開發(fā)(application systems definition and deployment)
◆ 邏輯安全和安全管理(logical security and security administration)
◆ 計(jì)算機(jī)和網(wǎng)絡(luò)操作(computer and network operations)
◆ 數(shù)據(jù)和數(shù)據(jù)庫管理(data and database management)
◆ 核心業(yè)務(wù)數(shù)據(jù)恢復(fù)(business data center recovery)
3、 獲得性風(fēng)險(xiǎn)
獲得性風(fēng)險(xiǎn)(availability risk)是指企業(yè)在獲得數(shù)據(jù)時(shí)的風(fēng)險(xiǎn),如破壞者經(jīng)常利用郵件轟炸來阻礙服務(wù),或者對(duì)服務(wù)系統(tǒng)提出虛假請(qǐng)求,這給網(wǎng)絡(luò)用戶提供服務(wù)帶來了一種危險(xiǎn)。
◆ 通過事先對(duì)行為的監(jiān)督和對(duì)系統(tǒng)問題的解決,能夠避免此類的風(fēng)險(xiǎn)。
◆ 獲得性風(fēng)險(xiǎn)與系統(tǒng)的短期中斷相關(guān)聯(lián)
◆ 獲得性風(fēng)險(xiǎn)與信息處理過程長時(shí)間中斷也有關(guān)聯(lián),其重點(diǎn)是諸如備份與應(yīng)急計(jì)劃等控制手段。
4、其他與商務(wù)相關(guān)的風(fēng)險(xiǎn)
◆ 正確性風(fēng)險(xiǎn)(validity risk)
◆ 效率風(fēng)險(xiǎn)(efficiency risk)
◆ 周期性風(fēng)險(xiǎn)(cycle time risk)
◆ 報(bào)廢風(fēng)險(xiǎn)(obsolescence risk)
◆ 業(yè)務(wù)中斷風(fēng)險(xiǎn)(business interruption risk)
◆ 產(chǎn)品失敗風(fēng)險(xiǎn)(product fail risk)
4.3 內(nèi)部控制體系
1、控制環(huán)境
控制環(huán)境包括以下因素:
◆品行、職業(yè)道德和能力
◆董事會(huì)的指導(dǎo)及關(guān)注程度
◆管理層的管理哲學(xué)與經(jīng)營風(fēng)格
◆權(quán)力和責(zé)任的分配
◆人力資源政策和措施
2、風(fēng)險(xiǎn)評(píng)估
風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管理在其它地方已經(jīng)討論過。風(fēng)險(xiǎn)評(píng)估是設(shè)計(jì)、評(píng)價(jià)內(nèi)部控制體系的一個(gè)重要組成部分。在企業(yè)層次上,需要考慮的風(fēng)險(xiǎn):
◆外部因素
◆內(nèi)部因素
3、控制行為
信息系統(tǒng)控制分為兩組:綜合控制(general control)和應(yīng)用控制(application control),圖6列舉了這兩組控制的內(nèi)容。
4、信息與溝通
良好的溝通渠道可以確保反饋信息及時(shí)傳達(dá)給相關(guān)主管人員,在安全評(píng)估各層次之間,計(jì)劃與執(zhí)行各階段之間,都應(yīng)該有溝通渠道。
5、監(jiān)控
高效的監(jiān)控應(yīng)該是一個(gè)不斷進(jìn)行的過程而不是某一個(gè)孤立事件。如果發(fā)現(xiàn)問題,而指定人員由于工作繁忙無法做出反應(yīng),公司的安全政策與實(shí)際做法之間就會(huì)出現(xiàn)安全漏洞,在這種情況下,實(shí)行響應(yīng)報(bào)告制度是十分必要的。響應(yīng)報(bào)告制度要求有關(guān)人員記錄下他們針對(duì)報(bào)告的情況所采取的具體措施。
4.4 內(nèi)部控制在風(fēng)險(xiǎn)管理中的作用
除了傳統(tǒng)的獨(dú)立審計(jì)職能外,作為新的會(huì)計(jì)師職能,內(nèi)部控制的作用范圍正在日趨擴(kuò)充到整個(gè)電子商務(wù)行業(yè),尤其在信息系統(tǒng)。普華永道是能夠提供這類服務(wù)的代表,它有一個(gè)全球風(fēng)險(xiǎn)管理服務(wù)(GRMS)分部,它可以提供下列服務(wù):
1、戰(zhàn)略性風(fēng)險(xiǎn)管理
2、金融風(fēng)險(xiǎn)管理
3、 運(yùn)作與系統(tǒng)風(fēng)險(xiǎn)管理
4、 技術(shù)風(fēng)險(xiǎn)服務(wù)
5、 具體部署服務(wù)
6、 環(huán)境服務(wù)
5 控制風(fēng)險(xiǎn)與實(shí)施計(jì)劃
5.1 控制支出不足與控制支出風(fēng)險(xiǎn)
控制支出不足(control weakness)一詞用來形容實(shí)施控制的成本小于預(yù)期利潤的情況。控制支出風(fēng)險(xiǎn)(control risk)一詞則用來形容額外控制的預(yù)期利潤可能不會(huì)超過實(shí)施和保持這些控制的成本的情況。
5.2災(zāi)害拯救計(jì)劃
即使是設(shè)計(jì)最好的系統(tǒng)也避免不了自然災(zāi)害。因此,所有的公司應(yīng)該制定一個(gè)災(zāi)害拯救計(jì)劃(disaster recovery plan),其目的是為了在因不可預(yù)見的人或自然災(zāi)害發(fā)生而造成操作中斷時(shí)能恢復(fù)操作。
1、災(zāi)害拯救計(jì)劃的目標(biāo)
完善的拯救應(yīng)涉及以下目標(biāo):
◆ 評(píng)估薄弱環(huán)節(jié)
◆ 防止和減少風(fēng)險(xiǎn)
◆ 設(shè)計(jì)出高效益-低成本的解決方案
◆ 最大限度地減少業(yè)務(wù)中斷,保障業(yè)務(wù)的繼續(xù)進(jìn)行
◆ 提供被選的互聯(lián)網(wǎng)接入模式
◆ 恢復(fù)丟失的數(shù)據(jù)
◆ 提供災(zāi)害拯救的步驟
◆ 訓(xùn)練雇員熟悉災(zāi)害拯救步驟
2、備用第二地址
服務(wù)器的連續(xù)性是評(píng)判災(zāi)害拯救計(jì)劃好壞的關(guān)鍵因素。如果公司原地址不能服務(wù),那么就需要第二地址來繼續(xù)服務(wù)。
6 電子商務(wù)的第三方保證
什么是電子商務(wù)的第三方?廣義地說,是電子商務(wù)交易雙方以外的部門或機(jī)構(gòu)。第三方主要是完成商務(wù)背景的處理,起到商務(wù)運(yùn)作中的標(biāo)準(zhǔn)制定、合法性確認(rèn)、影響機(jī)制和糾紛解決等作用,以降低電子商務(wù)運(yùn)作中雙方交易的風(fēng)險(xiǎn),這一些就是電子商務(wù)的第三方保證。
1 標(biāo)準(zhǔn)制定
為了降低交易的風(fēng)險(xiǎn),標(biāo)準(zhǔn)制定必須涵蓋交易的全過程,主要包括:數(shù)據(jù)安全、商業(yè)政策、交易處理完整性、數(shù)據(jù)私密和網(wǎng)站標(biāo)記等。
2 合法性確認(rèn)
必須在符合電子商務(wù)法律規(guī)范的框架下,還要包括:
◆建立行業(yè)支持這種規(guī)范的認(rèn)證;
◆外部中介機(jī)構(gòu)促使認(rèn)證過程的合法化;
◆公司的優(yōu)良承諾保證交易執(zhí)行,減少或杜絕“檸檬”問題。
3 影響機(jī)制
影響機(jī)制能夠刺激交易雙方履行義務(wù),以減少交易雙方的風(fēng)險(xiǎn)。借助信息中間媒介(information intermediaries)的服務(wù)和網(wǎng)站標(biāo)記,可以有效低刺激影響機(jī)制。信息中間媒介指的是專門從事于不同行業(yè)生產(chǎn)的產(chǎn)品和服務(wù)的質(zhì)量進(jìn)行評(píng)估的公司或組織。這種組織對(duì)消費(fèi)者交易雙方有很大的促進(jìn)作用。
4 解決糾紛
解決糾紛的手段主要有直接談判、訴諸法律或者采用武力等。解決糾紛的機(jī)構(gòu)或組織,除了傳統(tǒng)法律機(jī)構(gòu)外,網(wǎng)上法庭、認(rèn)證機(jī)構(gòu)、網(wǎng)站標(biāo)記組織等等,應(yīng)該在各自的范圍內(nèi),促使糾紛的解決。
7 智能代理與電子商務(wù)
7.1 智能代理的定義
智能代理是一種輔助使用者并代表其行動(dòng)的軟件。智能代理的工作原理就是讓使用者向代理軟件分派(delegate)他們本來可以自己執(zhí)行的任務(wù)。代理可以像助理一樣自動(dòng)執(zhí)行重復(fù)任務(wù),記住你忘記的事情,智能化地總結(jié)復(fù)雜的數(shù)據(jù),向你學(xué)習(xí),甚至并向你建議。
7.2 智能代理的能力
智能代理能夠執(zhí)行許多功能。吉爾伯特(Gilbert,1997)定義了三個(gè)主要標(biāo)準(zhǔn):代理、智能、移動(dòng)性。
◆ 代理。能夠進(jìn)行自主行動(dòng)的程度
◆ 智能。能夠理解其自身內(nèi)部狀態(tài)和外部環(huán)境的程度智能水平可以根據(jù)其反應(yīng)、適應(yīng)、采取主動(dòng)的能力進(jìn)一步分類。
◆ 靈活性(也稱為代理的交際性)。代理的靈活性是指軟件在不同機(jī)器之間移動(dòng)并在外部計(jì)算機(jī)上執(zhí)行某些工作的能力。
7.3 代理組合
多個(gè)代理一起工作來達(dá)成多樣的、然而是獨(dú)立目標(biāo)的系統(tǒng)和環(huán)境稱為代理組合(agent society)。設(shè)計(jì)代理組合時(shí)頭腦中至少要記住以下五個(gè)特點(diǎn):
◆ 開放性
◆ 組合的復(fù)雜性
◆ 界面技術(shù)
◆ 協(xié)商
◆ 內(nèi)部控制方法
7.4 智能代理與電子商務(wù)
智能代理可能通過很多途徑影響電子商務(wù)。它們可能是:
◆ 幫助實(shí)體更有效、更高效地找到他們的目標(biāo)顧客,包括為了營銷目的以及運(yùn)送商品或信息服務(wù)。
◆ 幫助顧客更有效、更高效地搜集產(chǎn)品信息并進(jìn)行價(jià)格和產(chǎn)品特點(diǎn)的比較;
◆ 向顧客提供更用戶化的服務(wù);
◆ 幫助企業(yè)更有效、更高效地觀察環(huán)境,以便與新的發(fā)展同步;
◆ 為企業(yè)開發(fā)新的地區(qū)時(shí)常;
◆ 提高電子交易談判的速度和效率
圖10 應(yīng)用智能代理的電子商務(wù)
7.5 代理的局限性
代理技術(shù)有其有前途的一面,但它也有它的局限性。 Jennings和Woolridge(1998)指出了代理模式的三種局限:
1、沒有總體系統(tǒng)控制器(system controller)
代理技術(shù)對(duì)下列系統(tǒng)并不合適:必須維持全球限制的系統(tǒng);必須保障實(shí)時(shí)反應(yīng)的系統(tǒng);必須比開死鎖或活鎖的系統(tǒng)。
2、非全球視角(global perspective)觀點(diǎn)
代理的當(dāng)?shù)厍闆r決定了代理的行為。從全球的觀點(diǎn)來看,代理可能因其“狹隘的視野”而做出次優(yōu)的決策。多代理系統(tǒng)必須提高合作和談判技術(shù),以便能產(chǎn)生更多的最佳全球決策。
3、信任(trust)和委托(delegation)
個(gè)體必須信任代理所使用的基本技術(shù)和代理的實(shí)際知識(shí)基礎(chǔ),以便能放心地把工作委托給代理。
7.6 代理與安全
代理具有靈活的特點(diǎn),而這種靈活性帶來了安全問題。要求在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行程序的靈活的代理對(duì)安全系統(tǒng)提出了挑戰(zhàn)。在代理模塊中出現(xiàn)惡性代碼的危險(xiǎn)是存在的。管理者必須意識(shí)到允許代理組合運(yùn)行的系統(tǒng)所面臨的風(fēng)險(xiǎn)。
復(fù)習(xí)題
1、什么是cookies?
2、嗅探器正反兩面的用途有哪些?
3、互聯(lián)網(wǎng)傳送信息的風(fēng)險(xiǎn)有哪些?
4、智能代理的風(fēng)險(xiǎn)是什么?
不安全系統(tǒng)中的商務(wù)風(fēng)險(xiǎn)與管理(ppt)
[下載聲明]
1.本站的所有資料均為資料作者提供和網(wǎng)友推薦收集整理而來,僅供學(xué)習(xí)和研究交流使用。如有侵犯到您版權(quán)的,請(qǐng)來電指出,本站將立即改正。電話:010-82593357。
2、訪問管理資源網(wǎng)的用戶必須明白,本站對(duì)提供下載的學(xué)習(xí)資料等不擁有任何權(quán)利,版權(quán)歸該下載資源的合法擁有者所有。
3、本站保證站內(nèi)提供的所有可下載資源都是按“原樣”提供,本站未做過任何改動(dòng);但本網(wǎng)站不保證本站提供的下載資源的準(zhǔn)確性、安全性和完整性;同時(shí)本網(wǎng)站也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的損失或傷害。
4、未經(jīng)本網(wǎng)站的明確許可,任何人不得大量鏈接本站下載資源;不得復(fù)制或仿造本網(wǎng)站。本網(wǎng)站對(duì)其自行開發(fā)的或和他人共同開發(fā)的所有內(nèi)容、技術(shù)手段和服務(wù)擁有全部知識(shí)產(chǎn)權(quán),任何人不得侵害或破壞,也不得擅自使用。
我要上傳資料,請(qǐng)點(diǎn)我!
管理工具分類
ISO認(rèn)證課程講義管理表格合同大全法規(guī)條例營銷資料方案報(bào)告說明標(biāo)準(zhǔn)管理戰(zhàn)略商業(yè)計(jì)劃書市場分析戰(zhàn)略經(jīng)營策劃方案培訓(xùn)講義企業(yè)上市采購物流電子商務(wù)質(zhì)量管理企業(yè)名錄生產(chǎn)管理金融知識(shí)電子書客戶管理企業(yè)文化報(bào)告論文項(xiàng)目管理財(cái)務(wù)資料固定資產(chǎn)人力資源管理制度工作分析績效考核資料面試招聘人才測評(píng)崗位管理職業(yè)規(guī)劃KPI績效指標(biāo)勞資關(guān)系薪酬激勵(lì)人力資源案例人事表格考勤管理人事制度薪資表格薪資制度招聘面試表格崗位分析員工管理薪酬管理績效管理入職指引薪酬設(shè)計(jì)績效管理績效管理培訓(xùn)績效管理方案平衡計(jì)分卡績效評(píng)估績效考核表格人力資源規(guī)劃安全管理制度經(jīng)營管理制度組織機(jī)構(gòu)管理辦公總務(wù)管理財(cái)務(wù)管理制度質(zhì)量管理制度會(huì)計(jì)管理制度代理連鎖制度銷售管理制度倉庫管理制度CI管理制度廣告策劃制度工程管理制度采購管理制度生產(chǎn)管理制度進(jìn)出口制度考勤管理制度人事管理制度員工福利制度咨詢?cè)\斷制度信息管理制度員工培訓(xùn)制度辦公室制度人力資源管理企業(yè)培訓(xùn)績效考核其它
精品推薦
下載排行
- 1社會(huì)保障基礎(chǔ)知識(shí)(ppt) 16695
- 2安全生產(chǎn)事故案例分析(ppt 16695
- 3行政專員崗位職責(zé) 16695
- 4品管部崗位職責(zé)與任職要求 16695
- 5員工守則 16695
- 6軟件驗(yàn)收?qǐng)?bào)告 16695
- 7問卷調(diào)查表(范例) 16695
- 8工資發(fā)放明細(xì)表 16695
- 9文件簽收單 16695
- 10跟我學(xué)禮儀 16695