不安全系统中的商务风险与管理ppt课件

1、不平安系统中的商务风险与管理. 了解不平安网络和企业内部网络相关的风险 掌握商业买卖过程中数据传输风险和风险控制手段 掌握风险管理方式和顺序过程 了解智能代理与电子商务的关系及其影响本章教学目的本章关键术语 不平安网络 风险管理方式 第三方保证 智能代理.1 与不平安通讯网络相关的风险本节讲述接入不平安网络，尤其是Internet从事一系列商务如：外部电子邮件、内部地理上相分隔的部门间的电子邮件、市场营销、电子销售和采购系统所面临的风险。.1.1 与不平安通讯网络相关的风险虚伪的或恶意的网站 窃取访问者的身份证信息与口令、窃取信誉卡信息、偷窥访问者的硬盘或从硬盘中上载文件注册、虚伪商业活动、“

2、虫子从销售代理及Internet效力商ISP处窃取用户数据 信誉卡信息保管在销售代理或ISP处信誉卡信息失窃隐私与cookies的运用隐私权组织的反对用户初次访问网站，Cookies文件建立，分配用户身份号码，提高了网站访问的效率Cookies被营销公司利用.1.2 销售代理所面临的风险销售代理与消费者同样都面临电子商务风险 客户冒充 冒充他人订购免费效力或商品收货拒付回绝效力DoS袭击回绝效力袭击用于破坏、封锁或减弱某电脑或网络资源难以防备、清查SYN淹没数据的失窃 .2 与企业内部网相关的风险对于许多大型企业而言，公司企业内部网的维护与平安曾经变得像一只难驯的野兽普通棘手。在一些大型企业中

3、，单是可以及时了解企业内部网的数目及其确切位置就是一个不小的难题。内部黑客的要挟.2.1 离任员工的破坏活动离任员工真会对以前的雇主及其电脑系统进展报仇性活动吗？1998年的CSI/FBI调查显示，89%的公司以为心怀不满的员工会进展这类袭击。 .2.2 在职员工的要挟在职员工也会给企业的电脑系统呵斥严重破坏。嗅探器 嗅探企业内部网信息音讯、文件、用户身份、口令假设由一条共享渠道传输，就存在着被另一个电脑站点截取的能够数据下载内部数据资料共享电子邮件冒充社交手段、短信诱骗.3 贸易同伴间商业买卖数据传输中的风险3.1 企业内部网、企业外部网及互联网之间的关系 企业外部网是从事协作业务的贸易同伴

4、之间，包括供应商、客户、流通效力商及任何其他商家，利用Internet技术衔接在一同的集团网络。企业外部网与互联网的区别何在？为这个问题做一个清楚的答案并不容易。企业外部网可以运用互联网的途径与互联网效力供应商ISP传送数据。互联网效力供应商就是经过提供互联网接入效力而赢利的公司。 .3.2 数据截取在经过Internet的数据传输问题上，无论是在构成企业外部网衔接的两个公司之间，还是在个体用户与网上销售代理或效力商之间，数据截获都是一个很大的顾虑。图6-4显示了公司经过互联网传送数据所面临的风险。 图64 经过互联网传送的信息所面临的风险. 3.3 受严密措施维护的档案文件、主文件与参考数据

5、所面临的风险 假设一名黑客闯入了系统，他都能呵斥什么危害呢？最为能够的危害是： 毁坏数据恶意的作恶者会删除重要买卖或主文件数据，意图是破坏公司的运营。 改动数据恶意的作恶者会改动数据。 未经授权运用数据作恶者会利用数据博得对其竞争对手的自动。 改动运用程序作恶者会改动一个程序，从而导致它的错误运算。.4风险管理方式 风险本身并不是一个坏事；风险是开展所不可或缺的要素，而失败往往又是增长知识的重要要素。但我们必需学会在风险潜在的负面影响与其相关机遇所带来的潜在效益之间把握好一个平衡。用来减少损失或损伤能够性的方法就是人们所称的风险管理。 4.1 风险管理方式 图6-5描画了一个风险管理方式ris

6、k management paradigm。该方式是一个延续的过程，它的设计是基于这样一种认识，即风险管理是一个延续不断的过程。图5 .风险管理方式.4.2 电子商务风险类型 电子商务是新的商业方式，也就有新商业的特征。作为新的商业方式，其风险类型有：1、完好性风险 1用户界面user interface 2处置processing 3错误处置error proccssing 4界面interface 5变化处置change management 6数据data 7接入风险业务流程business process 运用软件application 数据和数据管理data and manageme

7、nt 流程的环境processing environment 网络network 硬件设备physical.2、根底设备风险 根底设备风险infrastructure risk指企业不具备完好的信息技术根底设备而呵斥的风险。 根底设备风险有以下内容： 组织方案organization planning 运用系统的定义和开发application systems definition and deployment 逻辑平安和平安管理logical security and security administration 计算机和网络操作computer and network operation

8、s 数据和数据库管理data and database management 中心业务数据恢复business data center recovery.3、 获得性风险 获得性风险availability risk是指企业在获得数据时的风险，如破坏者经常利用邮件轰炸来妨碍效力，或者对效力系统提出虚伪恳求，这给网络用户提供效力带来了一种危险。 经过事先对行为的监视和对系统问题的处理，可以防止此类的风险。 获得性风险与系统的短期中断相关联 获得性风险与信息处置过程长时间中断也有关联，其重点是诸如备份与应急方案等控制手段。4、其他与商务相关的风险 正确性风险validity risk 效率风险ef

9、ficiency risk 周期性风险cycle time risk 报废风险obsolescence risk 业务中断风险business interruption risk 产品失败风险product fail risk.4.3 内部控制体系1、控制环境 控制环境包括以下要素： 品行、职业品德和才干 董事会的指点及关注程度 管理层的管理哲学与运营风格 权益和责任的分配 人力资源政策和措施2、风险评价 风险和风险管理在其它地方曾经讨论过。风险评价是设计、评价内部控制体系的一个重要组成部分。在企业层次上，需求思索的风险： 外部要素 内部要素.3、控制行为 信息系统控制分为两组：综合控制gen

10、eral control和运用控制application control，图6列举了这两组控制的内容。图6 信息系统控制. 4、信息与沟通 良好的沟通渠道可以确保反响信息及时传达给相关主管人员，在平安评价各层次之间，方案与执行各阶段之间，都应该有沟通渠道。5、监控 高效的监控应该是一个不断进展的过程而不是某一个孤立事件。假设发现问题，而指定人员由于任务忙碌无法做出反响，公司的平安政策与实践做法之间就会出现平安破绽，在这种情况下，实行呼应报告制度是非常必要的。呼应报告制度要求有关人员记录下他们针对报告的情况所采取的详细措施。.4.4 内部控制在风险管理中的作用 除了传统的独立审计职能外，作为新的

11、会计师职能，内部控制的作用范围正在日趋扩展到整个电子商务行业，尤其在信息系统。普华永道是可以提供这类效力的代表，它有一个全球风险管理效力GRMS分部，它可以提供以下效力： 1、战略性风险管理 2、金融风险管理 3、 运作与系统风险管理 4、 技术风险效力 5、 详细部署效力 6、 环境效力 .5 控制风险与实施方案5.1 控制支出缺乏与控制支出风险 控制支出缺乏control weakness一词用来描画实施控制的本钱小于预期利润的情况。控制支出风险control risk一词那么用来描画额外控制的预期利润能够不会超越实施和坚持这些控制的本钱的情况。 图 7 风险程度与相关费用.5.2灾祸挽救

12、方案 即使是设计最好的系统也防止不了自然灾祸。因此，一切的公司应该制定一个灾祸挽救方案disaster recovery plan，其目的是为了在因不可预见的人或自然灾祸发生而呵斥操作中断时能恢复操作。1、灾祸挽救方案的目的 完善的挽救应涉及以下目的： 评价薄弱环节 防止和减少风险 设计出高效益-低本钱的处理方案 最大限制地减少业务中断，保证业务的继续进展 提供被选的互联网接入方式 恢复丧失的数据 提供灾祸挽救的步骤 训练雇员熟习灾祸挽救步骤2、备用第二地址 效力器的延续性是评判灾祸挽救方案好坏的关键要素。假设公司原地址不能效力，那么就需求第二地址来继续效力。.6 电子商务的第三方保证 什么是

13、电子商务的第三方？广义地说，是电子商务买卖双方以外的部门或机构。第三方主要是完成商务背景的处置，起到商务运作中的规范制定、合法性确认、影响机制和纠纷处理等作用，以降低电子商务运作中双方买卖的风险，这一些就是电子商务的第三方保证。1 规范制定 为了降低买卖的风险，规范制定必需涵盖买卖的全过程，主要包括：数据平安、商业政策、买卖处置完好性、数据私密和网站标志等。2 合法性确认 必需在符合电子商务法律规范的框架下，还要包括： 建立行业支持这种规范的认证； 外部中介机构促使认证过程的合法化； 公司的优良承诺保证买卖执行，减少或杜绝“柠檬问题。.3 影响机制 影响机制可以刺激买卖双方履行义务，以减少买卖

14、双方的风险。借助信息中间媒介information intermediaries的效力和网站标志，可以有效低刺激影响机制。信息中间媒介指的是专门从事于不同行业消费的产品和效力的质量进展评价的公司或组织。这种组织对消费者买卖双方有很大的促进作用。4 处理纠纷 处理纠纷的手段主要有直接谈判、诉诸法律或者采用武力等。处理纠纷的机构或组织，除了传统法律机构外，网上法庭、认证机构、网站标志组织等等，应该在各自的范围内，促使纠纷的处理。.7 智能代理与电子商务7.1 智能代理的定义 智能代理是一种辅助运用者并代表其行动的软件。智能代理的任务原理就是让运用者向代理软件分派delegate他们本来可以本人执行

15、的义务。代理可以像助理一样自动执行反复义务，记住他忘记的事情，智能化地总结复杂的数据，向他学习，甚至并向他建议。7.2 智能代理的才干 智能代理可以执行许多功能。吉尔伯特Gilbert，1997定义了三个主要规范：代理、智能、挪动性。 代理。可以进展自主行动的程度 智能。可以了解其本身内部形状和外部环境的程度智能程度可以根据其反响、顺应、采取自动的才干进一步分类。 灵敏性也称为代理的交际性。代理的灵敏性是指软件在不同机器之间挪动并在外部计算机上执行某些任务的才干。 .7.3 代理组合 多个代理一同任务来达成多样的、然而是独立目的的系统和环境称为代理组合agent society。设计代理组合时

16、头脑中至少要记住以下五个特点： 开放性 组合的复杂性 界面技术 协商 内部控制方法7.4 智能代理与电子商务 智能代理能够经过很多途径影响电子商务。它们能够是： 协助实体更有效、更高效地找到他们的目的顾客，包括为了营销目的以及运送商品或信息效力。 协助顾客更有效、更高效地搜集产品信息并进展价钱和产品特点的比较； 向顾客提供更用户化的效力； 协助企业更有效、更高效地察看环境，以便与新的开展同步； 为企业开发新的地域时常； 提高电子买卖谈判的速度和效率 .图10 运用智能代理的电子商务.7.5 代理的局限性 代理技术有其有出路的一面，但它也有它的局限性。Jennings和Woolridge1998指出了代理方式的三种局限：1、没有总体系统控制器system controller 代理技术对以下系统并不适宜：必需维持全球限制的系统；必需保证明时反响的系统；必需比开死锁或活锁的系统。2、非全球视角global perspective观念 代理的当地情况决议了代理的行为。从全球的观念来看，代理能够因其“狭隘的视野而做出次优的决策。多代理系统必需提高协作和谈判技术，以便能产生更多的最正确全球决策。3、信任trust和委托delegation 个体必需信任代理所运用的根本技术和代理的实践知识根底，以便能放心地把任务委