互联网金融风险的主要类型及其防范措施论文
在学习和工作中,许多人都写过论文吧,论文是对某些学术问题进行研究的手段。你写论文时总是无从下笔?以下是我帮大家整理的互联网金融风险的主要类型及其防范措施论文,供大家参考借鉴,希望可以帮助到有需要的朋友。
摘要:
互联网金融的快速发展得益于当前网络技术与传统金融的结合,利用互联网信息技术实现资金的融通、信息中介服务等新型业务模式。本文通过讨论互联网金融当前所面临的风险,进而讨论从若干体系入手针对互联网金融风险进行应对。
关键词:
互联网金融;风险管理;
引言:
近几年,得益于信息技术的快速发展以及互联网技术的日趋成熟,金融业与互联网慢慢开始融合,并造就了互联网金融这一新兴产物,并逐步发展起来。当前,国内互联网金融正处于快速发展时期,互联网金融生态体系也在逐渐形成。但是,需要关注的是,国内大多数机构对互联网金融风险没有清晰地认识,导致对其评估和监管没有应对措施,其对国家金融体系带来了严重的危害,导致诸多社会不和谐因素。于是,亟待增强对互联网金融风险的剖析,采取一系列措施对风险加以应对,对于国家金融体系的安全有重要意义,也能促使互联网金融健康发展。本文对互联网金融的表现形式以及面临的风险进行分析,进而为互联网金融风险提出管理意见。
1、互联网金融风险的主要表现形式
互联网金融在发展的同时,其所隐含的风险也在逐渐积累,若缺失对风险准确清晰地认知,风险一旦失去控制则会对互联网金融的未来发展带来严重打击,本文拟对互联网金融面临的风险进行分析,为其有效评估和预防提供理论支撑。
1.1、操作风险
随着互联网的发展,消费者处于互联网的世界中,一般消费者的防范心理缺失,加之现在消费者对于流量需求较大,便促使大众网民在有免费热点的时候就会不假思索地连接,有些热点是由不法分子所建立,一旦连接成功,就会有后台监控已经连接的手机,使不法分子对消费者账户肆意妄为,所以,消费者在连接热点时务必当心。
1.2、技术风险
金融业的数字化特征是明显的一个特征,加之互联网金融与现代通信技术相互融合,其所依托的信息技术也比较复杂。首先主要是与技术层面多出状况,开发难度较大,并且开发之后的维护成本较大,维护比较耗费时间,并且技术更新换代较快,若选择了不恰当的方案,则较容易引起开发风险,若互联网金融企业选择了相对陈旧的技术方案,可能会导致业务不通畅,业务成本增加,最终被淘汰;如果出现企业技术支持与客户选择终端无法兼容,便会影响业务的开展和推进。其次,安全对于互联网金融及其重要,互联网金融依靠加密手段确保数据完整和准确,如果技术遭到泄密,便会造成巨大损失。最后,互联网本身是在网络端运行,其自身复杂程度较高,如果遇到病毒侵入事件,可能会致使网络崩溃,严重者会造成体系崩溃;当数据流较大时,系统需要对多单密集的交易数据进行处理,可能会导致服务器过载,导致宕机,影响平台稳定性;在传输数据过程中,一旦数据被窥探,便会影响交易的安全。
1.3、信用风险
信用是互联网金融发展必不可少的驱动因素,如果没有了信用,互联网金融的良性发展将受到极大制约,其信用风险包括违约还有欺诈风险,由于互联网金融属于金融模式的创新,不像传统金融有法律制度的约束和限制,当前缺乏的是互联网金融征信体系,由于缺乏制裁,出现了交底的违约成本,互联网金融违约风险加大,无论是对于互联网金融平台或是其客户,都暗含着较大的违约风险。违约风险在P2P业务中表现尤为明显,对整个行业造成了恶劣影响。金融诈骗在传统金融领域时有发生,当然,在互联网金融领域更是屡见不鲜,比如平台内部人员为一己私利采取的欺诈行为,如篡改数据。外部欺诈的行为也屡见不鲜,盗取账号、盗密码的.事情在互联网金融交易中时有发生,不管是内部或者是外部的这些欺诈,都会给互联网金融行业带来一定的冲击,将会产生失信事件和违法犯罪。
1.4、运营风险
互联网金融运营较为复杂,所面临的风险繁多,涉及面广。常见如流动性风险、市场选择的风险、资金平衡的风险、利益协调机制缺失带来的风险。首先提及的是流动性风险,不管是传统金融或是互联网金融,保持适当的流动性都是必须的,但由于监管缺乏,互联网金融企业并不会准备充足的存款准备金,风险资产拨备制度,如果互联网金融企业突发现金流缺乏和短期负债增加,则很大可能会导致流动性风险,之前许多平台跑路的事情,诸多原因就是流动性风险导致的。其次,是由于互联网金融企业和客户在信息不对称的情况下相互作出的选择,由于信息不对称,平台运营方难以对客户资信程度作出判断,另外由于互联网金融平台信息披露机制不完善加上渠道不通畅,客户对于平台的信用缺乏了解,也会加大市场选择的风险。资金平衡风险也常发生于互联网金融企业中,对于互联网金融运营企业来说,和传统金融业一样,既要保证对汇集的资金进行高效产出,也要留存一定量的资金进行资金应急,进而保证资金合理周转变得复杂,由此引发的资金平衡风险则会给企业带来风险。互联网金融企业在业务开展中,为了吸纳投资者存款,互联网金融企业常以较低风险、较高收益承诺来打广告,但在实际操作中总是会有各种意外,导致承诺失效,投资者利益因此受损,与互联网金融企业有业务关联的第三方平台也会出现利益受损,当前尚未形成有效的利益协调机制,极易导致矛盾。
1.5、法律监管风险
互联网金融随着时间的流逝和其自身发展,法律监管的缺乏是阻碍其良性发展的因素之一。法律法规缺失导致的风险,由于互联网金融发展的时间刚没多久,当前适用于传统金融的法律法规还不足以应对互联网金融这一新事物,互联网金融产业平台验证的制度和方法不够完善,导致监管乏力。主体资格合法性风险,当前我国出台的关于互联网金融的制度和法规还不够完善,导致出台的制度不能有效制约互联网金融的良性发展,以及如何定义互联网金融平台,是否要对其产业内部企业进行牌照制管理,都没有一定的结论,所以,互联网金融企业的合法性风险不可以忽视。由于监管缺乏,导致的洗钱等风险,类似淘宝实名认证却依然有假货横行一样,互联网金融平台实名制也依然不能杜绝洗钱等非法行为的出现。
2、加强互联网金融风险防范的对策
互联网金融在互联网高速发展的前提下发展很快,但是如何对互联网金融风险进行评估是当下必须关注的事情,现提出以下对策和建议,帮助促进互联网金融持续健康发展。
2.1、创建互联网金融普识体系
互联网金融到今天这个程度,许多民众已经知道这个事物并已经亲身接触,但是由于缺乏专业知识,随意对互联网金融的本质缺乏必要的认识,进而导致其风险意识弱化,因此,应当加强宣传互联网金融相关知识。互联网金融虽是在互联网上进行,但是它的属性与功能并未改变,和传统金融的业务模式并无多大区别,支付、投资仍是其主体功能,并未跨越现有金融体系的范围,所以,应当最先普及互联网金融的知识给广大民众,让其对互联网金融有个清晰地认识。再者,对互联网金融风险的认识也有待提高,不管是平台还是平台客户,需谨慎行事,很多投资者一心只想高收益,把自己许多资产投向互联网金融相关平台,几乎没多少人能洞察背后的风险,不懂得投资切忌将鸡蛋放在一个篮子里的原则,盲目信任一个平台,一方面错失了其他的投资机会,另一方面也将自己的资产回收风险加大。最后,应当提升诚信度,提高平台与客户之间的诚信度,坚持诚信原则,方能促进互联网金融发展稳中向好。
2.2、构建互联网金融网络安全体系
由于互联网金融是依托于互联网平台产生的事物,具备一定的网络属性,作为其准入门槛之一的技术风险较高,表现在技术选择、技术支持,及其系统的安全性,都有较高的风险,所以,有必要构建互联网金融网络安全体系。无论是设备如硬件、还是软件,或是通信技术等,都需要减少对外国产品的依赖,提高网络安全,再者,增强网络防护,加强网络环境净化,努力保障互联网金融的健康运行机制,优化用户身份认证体系,防止不法分子入侵,进行数字认证识别为交易的双方提供保障。
2.3、建立互联网金融风险管理体系
信用风险也是所面临的风险之一,尤其是在征信体系不健全的情况下,构建信用风险管理体系迫在眉睫。互联网金融相关企业应增强内控,建立风控机制和团队,从源头上减少风险的发证;另外,提高个人信用,完善国内个人征信体系建设,利用大数据等技术将个人信用评级机制引入互联网金融相关企业,促使其发展稳中向好;同时互联网金融企业及平台应当与传统金融机构数据共享,传统金融机构的数据库中有个人征信记录,资源互通,以便更好服务互联网金融平台和客户自身。
2.4、建立并健全互联网技能运营风险管理体系
互联网金融面临最大的风险就是业务运营的风险,当下需要建立健全运营风险管理体系,相关平台和企业应当搜集有效信息,建立机制保证信息相关可靠及时完整,为客户提供信息保障;加强对资金的监管,谨防互联网金融平台滥用客户资金,最后加强对互联网金融企业合作方的监管,防止风险波及互联网金融企业,进而给客户带来损失。
2.5、完善互联网金融监管和法律体系
互联网金融发展快速,导致政策出台的节奏跟不上互联网金融发展的速度,当前法律法规不够健全,导致较多的互联网金融企业走在法律边缘,所以,互联网金融的监管和法律体系显得十分迫切。首先对互联网金融行业加强监管,进一步提高行业进入门槛,防止风险过度集中;其次,在现有传统金融法律法规基础上,充分考虑互联网金融发展实际,将互联网金融监管有效纳入其中;最后,切实保护消费者全意,有效维护互联网金融市场秩序,促进互联网金融企业健康发展。
3、结语
作为现代信息技术与传统金融业相互融合的产物,互联网金融在一定程度上成为驱动金融创新的力量。作为新生事物,互联网金融在发展过程中呈现出来的问题错综复杂,相关理论研究滞后于实践发展需要。有关互联网金融风险的研究是一项复杂的工程,任重道远,对互联网金融风险进行全面细致,更加合理的评估,才能使互联网金融发展更有保障、更有活力、更有前途。
参考文献
[1]高丽华.互联网金融下余额宝的风险防范[J].海南广播电视大学学报,2019,12(16).
[2]卓武扬,胡阿思,宫兴国,等.我国第三方支付信息安全风险研究[J].西部经济管理论坛,2019(06).
[3]周智祥.浅析互联网金融在企业资金管理中的应用[J].中国商论,2019(22).
[4]董昀,李鑫.中国金融科技思想的发展脉络与前沿动态:文献述评[J].金融经济学研究,2019(05).
[5]余雪扬,孙芳,王伟.后整治时期完善我国P2P网贷行业规范发展的长效机制研究——一个制度供给视角的分析[J].金融理论与实践,2019(12).
[6]罗艾筠,李慧敏.风险防范视域下对股权众筹的法律思考[J].金融理论与实践,2019(12).
互联网企业并购财务风险探索的论文
摘要:在互联网企业大规模并购背后,新企业财务压力通常会更加沉重,部分企业财务危机显现,深刻影响其持续运营能力。本文选择F分数分析模型,以20家完成并购的上市互联网公司财务数据为样本,对其并购财务风险进行研究。结果表明:完成并购后,样本公司财务风险显著增加;并购后第二年开始,经过管理层控制,财务风险水平处于持续降低态势;要有效控制并购财务风险,需要从并购前、并购中及并购后分别采取对策。更多计算机网络论文相关范文尽在职称论文发表网。
关键词:计算机网络论文
一、引言
经过多年迅速发展,互联网行业已经成为国民经济重要参与者,并深刻影响经济、社会以及公众生活。在互联网行业持续高速发展的今天,企业间并购态势越来越强。尤其是2012年以后,经过激烈并购活动,数十家大型互联网公司产生,极大增强了互联网行业公众认知度及影响力。关于企业并购财务风险,众多学者及调研机构进行研究。Edmans(2009)对企业并购后管理成效与财务健康水平进行关联研究,结果发现许多并购失败的案例有一个共同点:由于新企业管理水平不足以支撑新组织,管理效率低下导致财务水平下滑。RobertJ.Borghese等(2011)从组织适应性角度对企业并购财务风险问题进行研究,认为如果新企业组织适应性低,将难以完成两家或者多家企业资源整合,从而导致运行混乱,影响财务健康水平。Megginson等(2012)认为,互联网企业并购并不会必然增加企业价值,它与并购企业业务匹配度等因素有关。DavidW.等(2005)对互联网企业如何应对并购财务风险进行研究,认为资源整合以及组织协调是关键。尽管国内企业并购历程较短,然而相关研究也取得丰硕成果。张远德等(2014)学者对互联网企业并购案例进行大样本研究,发现存在最佳并购方案。然而,该方案非一成不变,它需要根据产品或者服务类型、企业规模以及市场环境进行灵活变化。王蕾(2012)对如何进行并购财务风险评估进行研究,提出AHP-GRAM模型。吴泗宗等(2014)对互联网企业跨国并购进行案例分析,发现财务风险普遍存在。周雪等(2009)认为,在互联网企业并购财务风险控制过程中,关键是做好危机预警。通过量化研究,提出了具有较高参考价值的财务风险模糊预测模型。基于已有研究成果,通过F分数模型以及SPSS分析软件,本研究将对互联网企业并购风险现状进行研究。同时,对如何有效控制财务风险进行讨论。通过相关研究和讨论,希望对改善互联网企业并购效益有积极参考价值。
二、互联网企业并购财务风险评估
(一)财务风险模型的选取
如何进行财务风险分析,研究人员提出过众多理念与方法。经过不断验证,最终受到广泛认可的财务风险模型包括Z-Score模型与F分数模型。二者在适用范围与分析精度等方面存在差异。在分析互联网企业并购财务风险时,为确保相关分析过程及结果具有可靠性,首先须确保所选择分析模型具有最佳可靠度。(1)Z-Score模型。Z-Score模型由美国财务研究人员EdwardAltman于1968年提出。在运用该模型对企业所面临财务风险进行评估时,须对主要财务预警因素赋予一定权重,并根据最终加权得分来表征其财务风险综合水平。基于该理念,Z-Score模型基本表达式为:Z=0.012X1+0.014X2+0.033X3+0.006X4+0.0999X5(1)其中,X1为产规模及其变现能力;X2为企业累计获利能力;X3为总资产利润率(税前);X4为股东权益总值与企业总负债比值;X5为总资产周转率。根据Z值计算结果,不同得分预示所评估企业处于不同财务风险水平。在研究实践中,形成如下判别规则:当Z<1.81时,所评估企业财务风险极高,正面临“财务困境”状态;当1.81
(二)样本数据选取
在选择样本数据时,遵循如下几点基本规则:公司于2013年完成并购;持续经营,且近四年财务数据完整;从互联网上市公司数据库中随机选择,降低主观干扰;以A股互联网上市企业未研究对象。通过新浪财经上市公司数据库,本研究共随机选择20家A股互联网上市企业为研究对象,其公司代码分别为:002649.SZ、002421.SZ、601519.SH、300299.SZ、300170.SZ、300300.SZ、300271.SZ、300264.SZ、300311.SZ、002642.SZ、300079.SZ、300075.SZ、300113.SZ、002405.SZ、300245.SZ、300209.SZ、300168.SZ、300324.SZ、002401.SZ、600756.SH。
(三)财务风险分析
在完成数据收集后,运用SPSS2.0软件进行资产负债率指标计算,结果如表5所示。由表5可知,在完成并购后,所选取互联网上市公司资产负债率总体呈现不断上升态势,发生财务危机风险偏高,须及时采取财务控制措施。如表6所示,为0.95置信区间下样本公司描述性统计F值计算结果。由表6可知,在完成并购前,样本公司财务F值均值为7.930545;在完成并购后,样本公司当年F值降低至5.048085;后续经营过程中,F值持续下降至4.599735、4.123035。可见,在完成并购后,互联网企业财务风险显著增加,且保持连续上升态势。如表7所示,为各个样本公司F值分年度计算结果。如表8所示,为20家样本公司多重比较F值计算结果。结合表7与表8可知:完成并购后,各公司F值呈明显波动,表明并购活动加大了公司财务压力,提升了公司财务危机;在完成并购后第二年,样本公司F值有所提升,表明公司管理层已经意识到自身所面临财务风险,并采取了积极应对措施。并购前一年与并购后第三年的F值均值差达到3.807573,且显著性水平为0.03(小于0.05)。可见,即使上市公司管理层采取了财务危机应对措施,然而其财务风险仍然较高。
三、互联网企业并购财务风险应对措施
在经历“野蛮生长”后,互联网企业之间进行并购是产业规律所致,它不仅有助于增加行业运行效率,而且可以为督促企业为社会提供更加优质的服务。从上文分析结果可知,互联网企业并购的确会增加其财务风险,为此需要在并购前、并购过程中以及并购后分别采取应对策略。(一)并购前的'应对措施在提出并购目标后,须制定完善的并购方案。在制定并购方案时,需要确定资本回报率、短期财务压力以及并购后公司中长期经营目标。互联网技术及产品存在更新换代快、客户群体流动性大等特点,因而在确定并购目标时需要进行全面分析及合理预测。若企业财务储备不足以应对短期财务压力,且并购后可能带来的资本会回报率又难以积极支撑企业发展目标,则需要谨慎做出并购决策。(二)并购过程中的应对措施(1)合理分析财务风险。财务风险的形成与显现有一个过程,在预测时需要确定合理的测试时间长度。对互联网企业而言,至少需要分析并购后三年的财务风险。若预测年限过短,既有可能由于过于短视而夸大财务风险水平,也有可能难以预测到后续财务状况改善的希望。(2)构建适当的财务风险控制体系。在构建财务风险控制体系时,既需要结合原公司、新公司实际情况选择财务指标,也需要根据国内互联网行业发展现状及趋势确定不同指标的权重。尤其是在引进国外财务风险控制体系时,一定要进行合理改造及优化。(三)并购后的应对措施(1)积极改善现金流等财务指标。互联网企业产品研发及推广需要投入大量现金。尤其是在完成并购初期,会对新企业现金周转造成较大压力。因此,对管理层而言,需要制定合理的并购预算,并在完成并购后严格实施预算方案。同时,需要对现金流进行监控,提升资产周转率,并对可能发生的财务危机提供准备金。(2)快速整合并完善公司治理体系。对互联网企业而言,进行并购的目的是改善企业经营水平以及市场竞争力。因此,完成并购仅仅是新企业经营活动的开端。对新企业而言,更重要的是改善其治理体系,尤其是对原公司经营场所、人员结构、资产分布、市场份额以及组织架构等进行有效对接与融合,避免由于治理混乱而带来成本提升,从而有效改善财务水平。
四、结论
本文以20家互联网上市互联网合并企业为样本,对其并购财务风险进行评估,并对如何应对该类风险进行讨论,得出如下几点结论:其一,相比较于并购前一年,完成并购后,样本公司各年度财务风险显著增加;其二,并购后第二年开始,经过管理层控制,财务风险水平处于逐渐降低态势;其三,并购财务风险显现及发生存在时间持续性,要有效控制并购财务风险,需要从并购前、并购中及并购后分别采取对策。
参考文献:
[1]藏秀清、张远德:《并购风险的多层次权重分析研究》,《技术经济》2014年第11期。
[2]王蕾、甘志霞:《企业跨国并购财务风险分析及防范》,《财会通讯》2012年第5期。
[3]杨柳、吴泗宗、佟爱琴:《跨国并购财务风险的实证研究》,《财会通讯》2014年第30期。
[4]周雪、顾晓敏:《动态现金流量模型在高校财务风险预警中的运用》,《财会月刊》2009年第2期。
电子商务安全风险管理研究
林黎明1 李新春2
( 中国矿业大学 管理学院,江苏 徐州 221008 )
摘要 该文基于目前电子商务安全所面临的各种风险问题,结合当前的一些风险管理方法,对电子商务系统安全风险管理进行一些基本的分析和研究,以期对企业电子商务安全风险管理提供一些有价值的借鉴和参考。
关键词 电子商务安全,风险管理,风险识别,风险控制
1 引言
随着开放的互联网络系统Internet的飞速发展,电子商务的应用和推广极大了改变了人们工作和生活方式,带来了无限的商机。然而,电子商务发展所依托的平台—互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展;此外,电子商务的发展还面临着严峻的内部风险,电子商务企业内部对安全问题的盲目和安全意识的淡薄,高层领导对电子商务的运作和安全管理重视程度不足,使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此,在考察电子商务运行环境、提供电子商务安全解决方案的同时,有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。
电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡量、分析,并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。
2 电子商务面临的安全风险
由于网络的复杂性和脆弱性,以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说,电子商务普遍存在着以下几个安全风险:
1)信息的截获和窃取
这是指电子商务相关用户或外来者未经授权通过各种技术手段截获和窃取他人的文电内容以获取商业机密。
2)信息的篡改
网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或插入,并发往目的地,从而达到破坏信息完整性的目的。
3)拒绝服务
拒绝服务是指在一定时间内,网络系统或服务器服务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的认为破坏。
4)系统资源失窃问题
在网络系统环境中,系统资源失窃是常见的安全威胁。
5)信息的假冒
信息的假冒是指当攻击者掌握了网络信息数据规律或解密了商务信息后,可以假冒合法用户或假冒信息来欺骗其它用户。主要表现形式有假冒客户进行非法交易,伪造电子邮件等。
6)交易的抵赖
交易抵赖包括发信者事后否认曾经发送过某条信息;买家做了定单后不承认;卖家卖出的商品因价格差而不承认原先的交易等。
3 风险管理规则
针对电子商务面临的各种安全风险,电子商务企业不能被动、消极地应付,而应该主动采取措施维护电子商务系统的安全,并监视新的威胁和漏洞。因此,这就需要制定完整高效的电子商务安全风险管理规则。
一般来说,风险管理规则的制定过程有评估、开发和实施以及运行三个阶段。
(1)评估阶段
该阶段的主要任务是对电子商务的安全现状、要保护的信息、各种资产等进行充分的评估以及一些基本的安全风险识别和分析。
对电子商务安全现状的评估是制定风险管理规则的基础。
对信息和资产的评估是指对可能遭受损失的相关信息和资产进行价值的评估,以便确定相适应的风险管理规则,从而避免投入成本和要保护的信息和资产的严重不匹配。
安全风险识别要求尽可能地发现潜在的安全风险,应收集有关各种威胁、漏洞、开发和对策的信息。
安全风险分析是确定风险,收集信息,对可能造成的损失进行评价以估计风险的级别,以便做出明智的决策,从而采取措施来规避安全风险。
(2)开发和实施阶段
该阶段的任务包括风险补救措施开发、风险补救措施测试和风险知识学习。
风险补救措施开发利用评估阶段的成果来建立一个新的安全管理策略,其中涉及配置管
理、修补程序管理、系统监视与审核等等。
在完成对风险补救措施的开发后,即进行安全风险补救措施的测试,在测试过程中,将按照安全风险的控制效果来评估对策的有效性。
(3)运行阶段
运行阶段的主要任务包括在新的安全风险管理规则下评估新的安全风险。这个过程实际上是变更管理的过程,也是执行安全配置管理的过程。
运行阶段的第二个任务是对新的或已更改的对策进行稳定性测试和部署。这个过程由系统管理、安全管理和网络管理小组来共同实施。
以上风险管理规则的三个阶段可以用下图来表示:
图1 风险管理规则的三个阶段
4 风险管理步骤
风险管理是识别风险、分析风险并制定风险管理计划的过程。电子商务安全风险的管理和控制方法,它包括风险识别、风险分析、风险控制以及风险监控等四个方面。
(1)风险识别
电子商务系统的安全要求是通过对风险的系统评估而确认的。为了有效管理电子商务安全风险,识别安全风险是风险管理的第一步。
风险识别是在收集有关各种威胁、漏洞和相关对策等信息的基础上,识别各种可能对电子商务系统造成潜在威胁的安全风险。
风险识别的手段五花八门,对于电子商务系统的安全来说,风险识别的目标是主要是对电子商务系统的网络环境风险、数据存在风险和网上支付风险进行识别。
需要注意的是,并非所有的电子商务安全风险都可以通过风险识别来进行管理,风险识别只能发现已知的风险或根据已知风险较容易获知的潜在风险。而对于大部分的未知风险,则依赖于风险分析和控制来加以解决或降低。
(2)风险分析
风险分析是运用分析、比较、评估等各种定性、定量的方法,确定电子商务安全各风险要素的重要性,对风险排序并评估其对电子商务系统各方面的可能后果,从而使电子商务系统项目实施人员可以将主要精力放在对付为数不多的重要安全风险上,使电子商务系统的整体风险得到有效的控制。风险分析是一种确定风险以及对可能造成的损失进行评估的方法,它是制定安全措施的依据。
风险分析的目标是:确定风险,对可能造成损坏的潜在风险进行定性化和定量化,以及最后在经济上寻求风险损失和对风险投入成本的平衡。
目前,风险分析主要采用的方法有:风险概率/影响评估矩阵,敏感性分析,模拟等。在进行电子商务安全风险分析时,由于各影响因素量化在现实上的困难,可根据实际需要,主要采用定性方法为主辅以少量定量方法相结合来进行风险分析,为制定风险管理制度和风险的控制提供理论上的依据。
(3)风险控制
风险控制就是选择和运用一定的风险控制手段,以保障风险降到一个可以接受的水平。风险控制是风险管理中最重要的一个环节,是决定风险管理成败的关键因素。电子商务安全风险控制的目标在于改变企业电子商务项目所承受的风险程度。
一般来说,风险控制方法有两类:
第一类是风险控制措施,比如降低、避免、转移风险和损失管理等。在电子商务安全风险管理中,比较常用的是转移风险和损失管理。
第二类为风险补偿的筹资措施,包括保险与自担风险。在电子商务安全风险管理中,管理人员需要对风险补偿的筹资措施进行决策,即选择保险还是自担风险。
此外,风险控制方法的选择应当充分考虑相对风险造成损失的成本,当然其它方面的影响也是不容忽视的,如企业商誉等。
对电子商务安全来说,其有效可行的风险控制方法是:建立完整高效的降低风险的安全性解决方案,掌握保障安全性所需的一些基础技术,并规划好发生特定安全事故时企业应该采取的解决方案。
5 风险管理对策
由于电子商务安全的重要性,所以部署一个完整有效的电子商务安全风险管理对策显得十分迫切。制定电子商务安全风险管理对策目的在于消除潜在的威胁和安全漏洞,从而降低电子商务系统环境所面临的风险。
目前的电子商务安全风险管理对策中,较为常用的是纵深防御战略,所谓纵深防御战略,就是深层安全和多层安全。通过部署多层安全保护,可以确保当其中一层遭到破坏时,其它层仍能提供保护电子商务系统资源所需的安全。比如,一个单位外部的防火墙遭到破坏,由于内部防火墙的作用,入侵者也无法获取单位的敏感数据或进行破坏。在较为理想的情况下,每一层均提供不同的对策以免在不同的层中使用相同的攻击方法。
下图为一个有效的纵深防御策略:
图2 有效的纵深防御策略
下面就各层的主要防御内容从外层到里层进行简要的说明:
1)物理安全
物理安全是整个电子商务系统安全的前提。制定电子商务物理安全策略的目的在于保护计算机系统、电子商务服务器等各电子商务系统硬件实体和通信链路免受自然灾害和人为破坏造成的安全风险。
2)周边防御
对网络周边的保护能够起到抵御外界攻击的作用。电子商务系统应尽可能安装某种类型的安全设备来保护网络的每个访问节点。在技术上来说,防火墙是网络周边防御的最主要的手段,电子商务系统应当安装一道或多道防火墙,以确保最大限度地降低外界攻击的风险,并利用入侵检测功能来及时发现外界的非法访问和攻击。
3)网络防御
网络防御是对网络系统环境进行评估,采取一定措施来抵御黑客的攻击,以确保它们得到适当的保护。就目前来说,网络安全防御行为是一种被动式的反应行为,而且,防御技术的发展速度也没有攻击技术发展得那么快。为了提高网络安全防御能力,使网络安全防护系统在攻击与防护的对抗中占据主动地位,在网络安全防护系统中,除了使用被动型安全工具(防火墙、漏洞扫描等)外,也需要采用主动型安全防护措施(如:网络陷阱、入侵取证、入侵检测、自动恢复等)。
4)主机防御
主机防御是对系统中的每一台主机进行安全评估,然后根据评估结果制定相应的对策以限制服务器执行的任务。在主机及其环境中,安全保护对象包括用户应用环境中的服务器、客户机以及其上安装的操作系统和应用系统。这些应用能够提供包括信息访问、存储、传输、录入等在内的服务。根据信息保障技术框架,对主机及其环境的安全保护首先是为了建立防止有恶意的内部人员攻击的首道防线,其次是为了防止外部人员穿越系统保护边界并进行攻击的最后防线。
5)应用程序防御
作为一个防御层,应用程序的加固是任何一种安全模型中都不可缺少的一部分。加强保护操作系统安全只能提供一定程度的保护。因此,电子商务系统的开发人员有责任将安全保护融入到应用程序中,以便对体系结构中应用程序可访问到的区域提供专门的保护。应用程序存在于系统的环境中。
6)数据防御
对许多电子商务企业来说,数据就是企业的资产,一旦落入竞争者手中或损坏将造成不可挽回的损失。因此,加强对电子商务交易及相关数据的防护,对电子商务系统的安全和电子商务项目的正常运行具有重要的现实意义
6 结论
一般来说,风险管理有基本的三个对策,包括管理者采取适当措施来降低风险事故发生的概率;管理者准备并实施一个意外事故应急计划以备不测;还有就是管理者什么都不做。对已选定的对策,应对其潜在的风险有充分的估计,并制定相应的应变计划,以使可能的风险损失降到最低。
风险管理没有铁定的规则,对于电子商务安全风险管理来说,首先是扫描和检测电子商务系统的内外部环境,检查系统的脆弱性和薄弱环节,及时打上补丁和追加设备,以便当风险产生时尽可能地减少损失;其次是对电子商务安全风险进行充分地分析,然后制定相应的规划和措施,并在其实施的每个阶段进行监控和跟踪;最后是根据环境的变化随时调整风险管理措施,制定完备的灾难恢复计划。
参考文献
[1]甘早斌.电子商务概论(第二版).华中科技大学出版社.2003.9
[2]钟诚.电子商务安全.重庆大学出版社.2004.6
[3]才书训.电子商务安全风险管理与控制.东北大学出版社.2004.6
[4]易珊,张学哲.电子商务安全策略分析.科技情报开发与经济.2004.5
[5]高新亚,邹静.电子商务安全的风险分析和风险管理.武汉理工大学学报.信息与管理工程版.2005.8
[6]郭学勤,陈怡.电子商务安全对策.计算机与数字工程.2001.7
[7]李晶.电子商务安全防范措施.安徽科技.2003.4
[8]Greenstein M,FeinmanT M.Electronic Commerce:Security,Risk Management and Control[M].New York:McGraw-Hill Companies,Inc.,2000
[9]Charles Cresson Wood, Essential Controls for Internet Electronic Commerce[M].Network Security,1998
-------------------------------------------------------------------