摘要：隨著電子商務(wù)的發(fā)展，越來越多的商戶和企業(yè)選擇在線銷售商品，但網(wǎng)絡(luò)交易中的諸多風(fēng)險讓商家絞盡腦汁。面對網(wǎng)絡(luò)環(huán)境中的黑客攻擊、軟件漏洞，交易中不明身份的買家信用、競爭對手竊取相關(guān)資料等風(fēng)險，網(wǎng)絡(luò)商家必須采取不同的風(fēng)險應(yīng)對策略，以保障網(wǎng)絡(luò)銷售安全。

關(guān)鍵詞：網(wǎng)絡(luò)  銷售風(fēng)險  應(yīng)對策略

一、網(wǎng)絡(luò)銷售風(fēng)險管理概述

1、網(wǎng)絡(luò)銷售

網(wǎng)絡(luò)銷售從狹義角度講就是網(wǎng)店銷售，從廣義角度講是指通過網(wǎng)絡(luò)進行買賣雙方的交易。網(wǎng)絡(luò)銷售的技術(shù)基礎(chǔ)是以可以實現(xiàn)軟、硬件共享、數(shù)據(jù)共享等功能的計算機網(wǎng)絡(luò)技術(shù)為代表的信息技術(shù)。

2、風(fēng)險

對于風(fēng)險的定義，在經(jīng)濟學(xué)家、統(tǒng)計學(xué)家、決策理論家和保險學(xué)者中尚無一個適用于他們各個領(lǐng)域的公認定義�，F(xiàn)代漢語詞典中的基本定義：風(fēng)險是“可能發(fā)生的危險”，美國研究風(fēng)險的學(xué)者A·H·威雷特認為“風(fēng)險是關(guān)于不愿發(fā)生的事件發(fā)生的不確定性之客觀體現(xiàn)”[1]。Tom DeMarco和Timothy Lister在《與熊共舞——軟件項目風(fēng)險管理》中給出的風(fēng)險定義為“描繪所有可能的結(jié)果及由其引發(fā)的相關(guān)后果的加權(quán)圖”。美國Cooper D.F和Chapman C.B在《大項目風(fēng)險分析》一書中給出了較權(quán)威的定義“風(fēng)險是由于從事某項特定活動過程中存在的不確定性而產(chǎn)生的經(jīng)濟或財務(wù)的損失，自然破壞或損傷的可能性。”

風(fēng)險是一個復(fù)雜性的概念，多數(shù)人贊同 “風(fēng)險”一詞包含著“不確定性”。對于某個既定事件而言，風(fēng)險包含兩個要素：

(1)某事件發(fā)生的可能性；

(2)該事件發(fā)生帶來的后果。

風(fēng)險的表達公式可寫為風(fēng)險=f（危險，保險）

3、網(wǎng)絡(luò)銷售風(fēng)險

網(wǎng)絡(luò)銷售風(fēng)險是指商家在銷售過程中遇到的網(wǎng)絡(luò)技術(shù)、人員管理和網(wǎng)絡(luò)欺騙等方面的問題以及這些問題對網(wǎng)絡(luò)銷售的影響。網(wǎng)絡(luò)銷售風(fēng)險包括了技術(shù)漏洞、人為的惡意攻擊等給商家?guī)淼牟豢深A(yù)知的損失或傷害。網(wǎng)絡(luò)銷售風(fēng)險包括引起網(wǎng)絡(luò)銷售風(fēng)險的原因和可能導(dǎo)致的結(jié)果。如果用公式表示即為：威脅+薄弱點=風(fēng)險。

二、網(wǎng)絡(luò)銷售風(fēng)險的類型

1、信用風(fēng)險

2、拒絕服務(wù)攻擊

如果網(wǎng)絡(luò)商家的競爭對手或黑客利用DDOS方式對其進行攻擊，就會使得該網(wǎng)絡(luò)商家的客戶無法登錄系統(tǒng)，影響正常交易。

攻擊者想辦法讓網(wǎng)絡(luò)商家機器停止提供服務(wù)，是黑客常用的攻擊手段之一。其實黑客對網(wǎng)絡(luò)商家?guī)掃M行的消耗性攻擊只是拒絕服務(wù)攻擊的一小部分，只要能夠?qū)W(wǎng)絡(luò)商家造成麻煩，使網(wǎng)絡(luò)商家的客戶無法登錄，交易無法正常開展等都屬于拒絕服務(wù)攻擊。拒絕服務(wù)攻擊之所以能夠不斷的發(fā)展并且成為攻擊者的終極手法，究其原因是網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的。攻擊者對網(wǎng)絡(luò)商家進行拒絕服務(wù)攻擊，實際上是實現(xiàn)兩種效果：一是迫使服務(wù)器的緩沖區(qū)滿，不接收新的請求；二是使用IP欺騙，迫使服務(wù)器把合法用戶的連接復(fù)位，影響合法用戶的連接。攻擊者的最終目的就是讓被攻擊的網(wǎng)絡(luò)商家的系統(tǒng)陷入癱瘓，無法開展網(wǎng)上的一切交易，給以沉重的經(jīng)濟打擊。

3、客戶資料被竊取

惡意競爭對手通過不正當(dāng)?shù)氖侄�，獲取客戶資料，不僅侵犯了這些客戶的隱私權(quán)，更嚴重的是有可能將這部分客戶從原商家搶走從而影響該商家新產(chǎn)品的開發(fā)、業(yè)務(wù)的拓展、營銷方案的實施及整體經(jīng)濟收益的提高。

4、信息傳輸風(fēng)險

(1)冒名偷竊。網(wǎng)絡(luò)商家的競爭對手為了獲取機密數(shù)據(jù)、資源和信息，采用源IP的方式進行攻擊。

(2)篡改數(shù)據(jù)。黑客或是網(wǎng)絡(luò)商家的競爭對手在未授權(quán)的情況下潛入系統(tǒng)，對定單或是客戶資料等重要信息加以刪除、修改，干擾網(wǎng)絡(luò)商家的正常決策，影響其提貨、發(fā)貨等正常交易。

(3)信息丟失。因為網(wǎng)絡(luò)傳輸線路或是信號的影響導(dǎo)致網(wǎng)絡(luò)商家傳輸?shù)男畔G失；如果網(wǎng)絡(luò)商家自身的網(wǎng)絡(luò)存在安全隱患也會導(dǎo)致信息因被刪除或竊取導(dǎo)致信息丟失；或是在不同OS或有版本差異的軟件上轉(zhuǎn)換信息亦會導(dǎo)致信息丟失。

5、系統(tǒng)存在漏洞

我們硬件系統(tǒng)上應(yīng)用的OS或應(yīng)用軟件在邏輯設(shè)計上或多或少存在一定的缺陷或錯誤，這些缺陷和錯誤很容易被不法者利用，通過網(wǎng)絡(luò)植入木馬、病毒等方式來攻擊或控制整個電腦，竊取網(wǎng)絡(luò)商家電腦中的重要資料和信息，甚至破壞對方的系統(tǒng)。有些黑客利用WEB站點的漏洞選擇在結(jié)帳前修改URL，就可以不花錢即可獲得貨物。這是因為在某些WEB站點上，采購信息被保存在URL字符串自身中，其中包括商品的價格。結(jié)帳時，WEB站點只通過URL中信息決定劃走多少錢而并不去認定價格的正確性，這就給黑客一個可乘之機。這些網(wǎng)絡(luò)上的漏洞如不及時發(fā)現(xiàn)并采取補救措施，同樣會給網(wǎng)絡(luò)商家造成嚴重的經(jīng)濟損失。

三、網(wǎng)絡(luò)銷售風(fēng)險應(yīng)對策略

（一）網(wǎng)絡(luò)環(huán)境中的風(fēng)險應(yīng)對

1、防火墻

商家可以通過建立防火墻，以此抵擋外界的侵襲，具體可以從以下三個方面展開。首先是加強網(wǎng)絡(luò)安全，可以通過創(chuàng)建一個阻塞點來實現(xiàn)所有的流量都通過這個點，一旦這些阻塞點清楚地建立，防火墻設(shè)備就可以監(jiān)控、過濾和檢查所有網(wǎng)絡(luò)商家進出的流量。通過強制所有進出流量都通過這些阻塞點，，網(wǎng)絡(luò)商家可以集中在比較少的監(jiān)控點來實現(xiàn)安全目的；也可以在防火墻上配置安全軟件如口令、加密、身份認證等。各種安全措施的有機結(jié)合，更能有效地對網(wǎng)絡(luò)安全性能起到加強作用。其次，可以通過隔離不同網(wǎng)絡(luò)以防止網(wǎng)絡(luò)商家信息的泄露，企業(yè)秘密是大家普遍非常關(guān)心的問題，尤其競爭對手對這些信息更是虎視眈眈，一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細節(jié)可能包含了有關(guān)安全的線索而引起黑客或是競爭對手的興趣，甚至因此而暴露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。通過隔離不同網(wǎng)絡(luò)的方法可以阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，使得主機的相關(guān)信息不會被外界所了解。最后，可以有效地審計和記錄內(nèi)、外部網(wǎng)絡(luò)上的活動。即保證所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并進行日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息，可以為網(wǎng)絡(luò)商家提供非常重要的安全管理信息。

防火墻有包過濾型，雙宿網(wǎng)關(guān)型，屏蔽主機型和屏蔽子網(wǎng)型等類型可供選擇。

2、入侵檢測

入侵檢測是指識別針對計算機或網(wǎng)絡(luò)環(huán)境闖入或闖入的企圖，通過安全日志或其它網(wǎng)絡(luò)上可以獲得的信息進行阻斷。網(wǎng)絡(luò)商家可以通過監(jiān)視、異常行為模式的統(tǒng)計分析、操作系統(tǒng)的審計跟蹤管理等方式實現(xiàn)入侵檢測，防患于未然。

3、身份識別

網(wǎng)絡(luò)商家可以通過消費者所擁有的東西來證明對方的身份，如 IC 卡、 USB Key 、個人數(shù)字證書等，通過出示這個東西也可以確認對方的身份；也可通過可以提供比用戶名 / 密碼方式更強的用戶認證，如：動態(tài)口令、秘密問題回答、生物特征和客戶端數(shù)字證書等。

（二）網(wǎng)絡(luò)交易中風(fēng)險的應(yīng)對

1、加密

網(wǎng)絡(luò)商家為了保證重要信息的安全性，提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，可以通過加密技術(shù)實現(xiàn)。與防火墻相比，數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)比較靈活。數(shù)據(jù)加密主要針對動態(tài)信息的保護。在對動態(tài)數(shù)據(jù)的主動攻擊和被動攻擊中，雖然對于主動攻擊無法避免，但卻可以有效地檢測；而對于被動攻擊，卻可以避免。 

2、加強網(wǎng)絡(luò)銷售中各環(huán)節(jié)的管理

網(wǎng)絡(luò)銷售的各環(huán)節(jié)也存在一定的風(fēng)險，如消費者定單的處理、會員管理、客戶反饋意見的處理等都會或多或少的存在漏洞或是失誤的操作，商家應(yīng)該建立專門的定單處理系統(tǒng)，客戶管理系統(tǒng)等軟件以減少錯誤的發(fā)生，提高工作效率，增加效益。

網(wǎng)絡(luò)商家在對重要信息保存時要注意定期備份重要數(shù)據(jù)，如果遭到致命的攻擊，操作系統(tǒng)和應(yīng)用軟件可以重裝，而重要的數(shù)據(jù)很大一部分是無法恢復(fù)的，就只能靠商家日常的備份。因此，對于網(wǎng)絡(luò)商家而言，無論你采取了多么嚴密的防范措施，也要隨時備份你的重要數(shù)據(jù)，做到有備無患!

參考文獻：

[1]沈建明．項目風(fēng)險管理[M]．北京；機械工業(yè)出版社， 2004

[2]Tom DeMarco，Timothy Lister．與熊共舞——軟件項目風(fēng)險管理[M]．熊節(jié)，馬姍姍譯．北京：機械工業(yè)出版社，2004

[3]Eric Maiwald．網(wǎng)絡(luò)安全基礎(chǔ)教程[M]．馬海軍，王澤波譯．北京：清華大學(xué)出版社，2005