11.1.1风险概述
人类的历史本身就是人类面临风险的历史,人类认识到风险的存在已有很长时间,但直到近代才开始对其进行科学、系统的研究,一些学者提出了风险的概念,如美国学者Haynes认为“风险意味着损害的可能性”;DINVDE标准(德国工业标准)将风险定义为“如果事故发生,预计损失的程度,预测事故发生的概率”;我国学者杨梅英在他的《风险管理与保险原理》中提出“风险是人们对未来行为的决策及客观条件的不正确性,而导致的实际结果与预期结果之间偏离的程度”。
因此,风险就是指危险发生的意外性和不确定性,包括损失发生与否及损失程度大小的不确定性。近几年来,随着计算机系统的不断普及,信息安全风险已经极大增加。人们大量利用信息资源,由于违反授权访问内部资料与通信系统而引发的事件明显增多,Internet安全事件的数量与破坏发生的概率也在不断增加。
风险是由于人们没有能力预见未来所产生的,风险具有以下几个特征:
(1)风险的客观性。
风险的客观性,首先表现在它的存在是不以个人的意志为转移的。从根本上说,这是因为决定风险的各种因素对风险主体是独立存在的,不管风险主体是否意识到风险的存在,在一定条件下仍有可能变为现实。其次,还表现在它是无时不有,无所不在的,存在于人类社会的发展过程中,潜藏于人类从事的各种活动之中。
(2)风险的不确定性。
风险的不确定性是指风险的发生是不确定的,即风险的程度有多大,风险何时何地由可能转变为现实均是不确定的。这是由于人们对客观世界的认识受到各种条件的限制,不可能准确预测风险的发生。
(3)风险的不利性。
风险一旦产生,就会对风险的承担者带来不利影响,甚至造成损失,这对风险主体是极为不利的。风险的不利性要求我们在承认风险、认识风险的基础上,做好决策,尽可能地避免风险,将风险的不利性降至最低。
(4)风险的可变性。
风险的可变性是指在一定条件下风险的可以转化。风险的可变性包括以下内容:风险性质的变化;风险量的变化;某些风险在一定空间和时间范围内被消除;新的风险产生。
(5)风险的相对性。
风险的相对性是针对风险主体而言的,即使在相同的风险情况下,不同的风险主体对风险的承受能力也是不同的,主要与收益的大小,投入的大小和风险主体的地位以及拥有的资源量有关。
11.1.2风险管理的概念
风险管理(risk management)是降低各种风险的发生概率,或当某种风险突然降临时,减少损失的管理过程。在控制风险之前,必须识别出公司面临的特殊风险,并且必须详细列出抵御各种风险的有效措施。
风险管理包括为提供有效损失预防方案而进行的规划,组织,领导,协调及控制活动,目的就是将风险引起的对组织资源,收益及现金流出的不利影响最小化。
风险管理和风险分析是有区别的。风险分析对风险决策有很大的帮助,但并不是决策的全部。风险管理承认成功的攻击将会存在,如非授权访问,侵入,信息或服务受到损害或拒绝甚至破坏等,但发生的可能性及产生后果的严重程度将被限制和控制在最小值,这便是风险管理的宗旨。
风险管理的任务是当风险事件发生时,采取措施以降低风险期望值,或者降低基本事件发生概率。风险管理是针对小概率事件的不确定性进行管理,此类事件对经营运作有潜在的不利影响,风险管理的目标是把潜在威胁所造成的冲击限制在一个可以接受的程度内。
风险管理的一个基本前提假设是:信息系统不可能是百分之百的安全。由于任何组织能够用于信息系统安全保护的资源都是有限的,理性的组织管理者必须权衡用于保护其信息系统的各项措施的代价与由此获得的安全收益。将安全风险降低到可以接受的程度是每一个组织采用各种安全措施的目的。实际上,所有安全相关的活动都可以看做风险管理过程的一部分。
1.风险管理的内容和过程
风险管理由三个部分组成:风险评估,风险处理以及基于风险的决策,风险评估过程将全面评估信息系统的资产,威胁,脆弱性及现有的安全措施,分析安全事件发生的可能性以及可能的损失,从而确定信息系统的风险,并判断风险的优先级,建议处理风险的措施。基于风险评估的结果,风险处理过程将考虑信息安全措施的成本,选择合适的方法处理风险,将风险控制在可接受的程度。基于风险的决策措施的成本,选择合适的方法处理风险,将风险控制在可接受的程度。基于风险的决策是风险管理的最后过程,旨在由信息系统的主管者或运营者判断残余风险是否处在可接受的水平之内。基于这一判断,主管或者运营者将做出决策,决定是否信息系统运行。
风险管理的成功取决于:高层管理者的重视;技术团队的全力支持和参与;风险评估队伍的能力;信息系统使用者的意识和合作;单位内对风险进行持续评估和机制。
2.风险管理的目的和意义
风险管理可使信息系统的主管者和运营者在安全措施的成本与资产价值之间寻求平衡,并最终通过对支持其使命的信息系统及数据进行保护而提高其使命能力。风险管理并非仅发生在信息系统环境中,它是人类社会生活的基本特征,遍布于日常生活的各个方面,例如防盗门的成本与房间财物价值的比较。
一个单位的领导必须确保单位具备完成其使命所需的能力,信息安全措施是有成本的,因此对信息安全的成本必须像其他管理决策一样进行全面检查。一套合理的风险管理方法,可以帮助信息系统的主管者和运营者最大限度地提高其信息安全保障能力,以便最有效地实现其使命。
我国大力推行风险管理的总目标是:服务于国家信息化发展,促进信息安全保障体系的建设,提高信息系统的安全保障能力。
3.风险管理的要素及相互关系
风险管理的基本要素包括:使命、资产、资产价值、威胁、脆弱性、事件风险、残余风险、安全需求、安全措施等。
使命依赖于资产去完成,资产拥有价值,信息化的程度越高,对资产的依赖度越高,资产的价值则越大,资产的价值越大则风险越大。风险是由威胁发起的,威胁越大则风险越大,并可能演变成事件。威胁都是利用脆弱性,脆弱性越大则风险越大。脆弱性使资产暴露,是未被满足的安全需求,威胁通过利用脆弱性来危害资产,从而形成风险。资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施得以满足,且是有成本的。安全措施可以抗击威胁,降低风险,减弱事件的影响。风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的残余风险——部分残余风险来自于安全措施可能不当或无效,以后需要继续控制这部分风险,另一部分残余风险则是在综合考虑了安全措施的成本与资产价值后,有意未控制的风险,这部分风险是可以被接受的。残余风险应该密切监视,因为它可能会在将来诱发新的事件。
通过安全措施对资产加以保护,对脆弱性加以弥补,可以降低风险。实施了安全措施后,威胁只能形成残余风险。为了对付某种威胁,往往需要多个安全措施共同起作用。在某些情况下,也会有多个脆弱性被同时利用。脆弱性与威胁是独立的,威胁要利用脆弱性才能造成安全事件。但有时,某些脆弱性可能没有对应的威胁,这可能是由于其对应的威胁不存在,或者威胁的影响极小,可以忽略不计。采取安全措施的目的是处理风险,将残余风险控制在能够接受的程度上。
4.风险管理的角色和责任
风险管理是一项综合过程,该过程中的参与角色一般分为国家信息主管机关,业务主管机关,信息系统拥有者,运营者,信息系统承建者,信息系统安全服务机构,信息系统的关联者(即信息系统互联,信息交换和共享,系统采购等行为与该系统发生产关联的机构)。
5.风险管理与其他安全保障工作的关系
风险管理与其他信息系统安全保障工作不是并列关系,而是管理信息安全风险的过程,是所有信息系统安全保障工作的总称。信息系统的任何安全保障工作,其最终目的都是处理信息安全风险,使残余风险可接受,从而促进信息化建设健康发展。基于风险的思想是所有信息系统安全保障工作的核心思想。
风险管理不只是单纯的管理行为,而是积极调动一切管理和技术资源来评估和处理信息安全风险,并最终由管理层做出决策的一种综合过程。风险管理不只是单纯的管理行为,而是积极调动一切管理和技术资源来评估和处理信息安全风险,并最终由管理层做出决策的一种综合过程。
风险管理突出了“有的放矢”的思路,这个“的”便是信息安全需求。在信息系统生命周期的全过程中,始终会出现新的信息安全需求。
11.1.3电子商务的风险管理与控制
电子商务具有高效率、低支付、高收益和全球性等特点,它不仅从根本上改变传统的商业竞争思维和行为,而且将日益成为网络经济时代全球商界最有效的竞争手段之一。电子商务的商机与风险共存,通过加快电子商务的基础设施建设,完善管理和技术防范,并强化安全审计监督等措施,保障和促进电子商务的健康发展。
随着计算机技术的日趋成熟和互联网的飞速发展,电子商务正以其高效率、低成本的优势和市场全球化等特点,对世界经济的发展产生前所未有的影响。它不但在微观上影响企业的经营行为和消费者的消费行为,而且在宏观上影响到国际贸易关系和国家未来竞争力。然而,在电子商务发展的过程中,商机与风险共存,研究电子商务风险、控制电子商务风险、对电子商务的健康发展至关重要。
1.电子商务环境下的风险
电子商务是以通信网络作为交易平台,计算机及通信网络的安全性问题自然会蔓延到电子商务中。公安部公布的《2004年全国信息网络安全状况》调查结果显示,在被调查的7072家使用网络和信息系统的单位中,有58%的受调查单位发生网络安全事件。内部管理存在的漏洞以及诚信危机等问题也同样给电子商务带来风险。
(1)电子商务的技术安全隐患。
电子商务的技术安全隐患主要表现在:
①系统层安全性漏洞——电子商务系统所使用的硬件设备、软件操作系统及网络整体结构中的安全性漏洞将直接构成电子商务中的安全性隐患。
②存储层的安全漏洞——无论多么稳定的系统,意外情况总是不可避免的,意外情况造成的数据破坏给电子商务系统带来安全隐患。
③传输层的安全漏洞——传输过程中的数据遭到截获。
④人为侵害造成的破坏——电子商务起步不久,安全性措施尚不完善,是网络“黑客”攻击的焦点。2000年2月7~9日,美国多家著名网站先后遭受“黑客”攻击,“黑客”三天来的袭击造成直接和间接损失高达10亿美元。
⑤跨平台数据交换引起的数据丢失——如果平台之间的兼容性存在问题,有可能导致电子商务系统中数据的丢失。
⑥应用层的安全漏洞——假冒合法用户欺骗系统、假冒领导调阅密件等,直接转移、盗取资金,或假冒他人栽赃消费者。
(2)管理控制难度增大。
电子商务本身改变了传统的商业运作模式,不走传统的产购销渠道,企业管理层不熟悉行业的游戏规则,在电子商务中,如何确认没有白纸黑字和签字盖章的电子订单交易,网上信息传递如何保密等问题,管理者深感力不从心,使得管理控制风险增大。
①在电子商务环境中,数据的电子化高度集中,并以磁介质为主要存储载体,电子商务数据易导致机密的数据被不法分子拷贝,甚至对原始数据进行非法修改和删除而不留下任何痕迹。
②电子商务改变了传统的商务运作模式,企业的财务信息存储于信息系统中,会计的确认、计量、记录和报告都集中由计算机按程序指令执行,使得内部控制更加复杂。
③人员的安全意识淡薄,管理、控制的任何环节的忽视,都会给舞弊或攻击者留下可乘之机,内部离职人员的蓄意破坏,将会造成整个系统的瘫痪,这对营运以及资产的安全性将会带来严重的威胁。
④网络管理人员专业素质差,难以及时有效地防御外界的恶意攻击。
(3)诚信危机是关键。
电子商务给人们带来方便的同时,也把人们引进了安全陷阱。根据中消协发布的数据显示。2005年,涉及互联网的投诉达7189起,网购投诉一年增一倍,增幅居各类投诉的首位。电子商务的信用危机,使得人们在网上购物时心存戒备之心。所以,相对网络安全外部威胁而言,诚信不足是制约电子商务发展的毒瘤。
(4)资金安全有风险。
电子商务的运作需要有完善安全认证和安全的支付系统作保证。然而,目前我国网上安全技术及其认证机制均不完善,行业竞争不规范。据北京《娱乐信报》记者2006年4月30日报道,我国目前的140余家电子签名认证服务机构中,仅17家拥有国家电子认证服务许可证,其余的120余家竟未经认证。在无资质的电子签名认证机构竟然占八成的环境下,无疑给电子商务的资金支付带来风险。
2.电子商务的风险管理与控制
电子商务的安全威胁主要来自:网络物理设备的安全威胁、对网络信息的安全威胁和“信用危机”等。那么,加快电子商务的基础设施是当务之急,完善管理和技术防范是根本,强化监督是保障。
(1)加快基础设施建设。
计算机系统、网络通信设备、网络通信线路、网络服务器等设备,在静电、电磁泄漏和意外事故等情况下会造成数据的丢失,机密信息泄漏。所以,加快电子商务的基础设施建设,选择高性能的网络设备,建设安全、便捷的电子商务应用环境,才能为电子商务交易的信息提供硬件保障。
(2)实施技术防范措施。
电子商务的运作涉及资金安全、信息安全、货物安全、商业秘密等多方面的安全问题,任何一点漏洞都可能导致大量资金流失。而这些安全首先是对信息技术的依赖。目前,防火墙技术、电子签名和安全认证,成为电子商务比较成熟的技术安全措施。
防火墙是在本地系统或网络与互联网之间构筑的一道屏障,用以保护本地系统或网络中的信息、资源等不受来自互联网中非法用户的侵犯;用以控制和防止本地系统或网络中的敏感数据流入互联网,也控制和防止来自互联网的无用数据流入本地系统或网络。所以,防火墙能起到保护本地系统或网络中信息安全保密的重要作用,成为电子商务系统的安全屏障。
数字签名是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,代替书写签名或印章。对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证而无法比拟的。数字签名是目前电子商务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。
网上交易需要由一个权威的第三方来担任信用认证机构,确认买卖双方的身份,这就是电子商务的安全证书认证中心(CA中心)。CA中心是承担网上认证服务、能签发数字证书、并能确认用户身份的受大家信任的第三方机构,它的作用在于确保网上交易合同的有效性,确保交易内容、交易双方账号、密码不被他人识别和盗取,防止单方面对交易信息的生成和修改,保证电子商务的交易安全。
(3)健全管理与控制。
在电子商务环境下,企业面对一个全新的网上空间,交易信息以光速在网上传递,使得对内部控制制度的依赖性增大。由于电子商务企业一般都是新兴企业,管理制度、管理手段没有传统企业成熟、严密,加上一些电子商务企业一般更注重技术创新而非管理。因而,电子商务建立先进的管理与控制更为迫切。
①建立交易授权控制制度。电子商务交易程序的简单化,必须在业务流程方面建立严格的业务授权与执行内部控制制度,并对关键业务流程的内部控制进行定期的审核。
②建立责任控制制度。它是以经济组织内部各部门、各环节、各层次及其人员的经济责任为中心的内部控制制度,使得各职能部门和经办人员分工明确,职责分明。
③建立会计控制和内部牵制制度。主要检查会计事项的处理是否遵循不相容的职务或者经过两个以上的人员或部门的原则,以防止差错、舞弊的发生,保护财产的安全。
④建立经营方面各个循环系统的控制制度。它是经济组织内部为实现经营目标而实现生产经营和管理所必须经过的环节和业务操作的控制制度。如成本控制、购销控制、物资控制、生产经营过程的控制以及计划、预算、合同管理等控制制度。
⑤建立一定的应急措施。在信息流程方面,加强对信息的记录、维护和报告相关环节的控制。例如数据文件的定期备份、备份数据的存放地点、存放条件要求、系统数据文件损坏后的再生规则等。
(4)开展安全审计监督。
由于电子商务的安全问题日益突出,使得社会公众不仅关注被审计单位的财务报表,更关注交易的安全性、企业的诚信、企业未来的发展状况等,对审计工作寄予的期望和依赖程度更高。安全审计应运而生,它不仅要对网络经济进行审计、对网络系统进行审计,还可以借助网络进行多单位、跨时空的审计作业。
安全审计是指根据一定的安全策略,通过记录和分析历史操作事件及数据,发现能够改进系统性能和系统安全的地方。通过对安全事件的不断收集与积累,并加以分析,能有选择性和针对性地对其中的对象进行审计跟踪,以保证系统的安全。
安全审计利用整合测试技术、内嵌式审计模块加入技术、同步式审计技术、电子商务询证等技术进行审计,通过在线监测和远程联网进行审计,对交易过程中敏感和重要环节进行监测,从而达到对电子商务进行鉴证和监督的目的。
(5)健全法制,倡导诚信。
1996年联合国贸易法委员会制定了《联合国国际贸易法委员会电子商务示范法》,2005年年初,国务院颁发了《加强电子商务的若干意见》,2005年4月1日开始正式实施的《电子签名法》,对我国正在兴起的电子商务给予了强有力的法律支持,为我国电子商务安全认证体系和网络信任体系的建立奠定了基础。
但是,网络环境中的诚信问题不是仅仅靠《电子签名法》所能够解决的,要想根本铲除互联网交易中的种种弊端,归根到底要靠安全认证和行业的自律。所以,倡导诚信,维护消费者合法权益,是推动我国电子商务健康发展的内在因素。
(6)大力培养电子商务专业人才。
电子商务是信息现代化与商务的有机结合,虽然强调计算机网络技术对交易活动的促进作用,但电子商务实现的关键仍然是人。要发展电子商务,需要大量的掌握现代信息技术和现代商贸理论与实务的复合型人才。政府应充分利用各种途径和手段,培养、引进并合理使用好一批素质较高、层次合理、专业配套的网络、计算机及经营管理等方面的专业人才,以加快我国电子商务的发展。