浅谈网络销售风险管理

摘要：随着电子商务的发展，越来越多的商户和企业选择在线销售商品，但网络交易中的诸多风险让商家绞尽脑汁。面对网络环境中的黑客攻击、软件漏洞，交易中不明身份的买家信用、竞争对手窃取相关资料等风险，网络商家必须采取不同的风险应对策略，以保障网络销售安全。

关键词：网络  销售风险  应对策略

一、网络销售风险管理概述

1、网络销售

网络销售从狭义角度讲就是网店销售，从广义角度讲是指通过网络进行买卖双方的交易。网络销售的技术基础是以可以实现软、硬件共享、数据共享等功能的计算机网络技术为代表的信息技术。

2、风险

对于风险的定义，在经济学家、统计学家、决策理论家和保险学者中尚无一个适用于他们各个领域的公认定义。现代汉语词典中的基本定义：风险是“可能发生的危险”，美国研究风险的学者A·H·威雷特认为“风险是关于不愿发生的事件发生的不确定性之客观体现”[1]。Tom DeMarco和Timothy Lister在《与熊共舞——软件项目风险管理》中给出的风险定义为“描绘所有可能的结果及由其引发的相关后果的加权图”。美国Cooper D.F和Chapman C.B在《大项目风险分析》一书中给出了较权威的定义“风险是由于从事某项特定活动过程中存在的不确定性而产生的经济或财务的损失，自然破坏或损伤的可能性。”

风险是一个复杂性的概念，多数人赞同 “风险”一词包含着“不确定性”。对于某个既定事件而言，风险包含两个要素：

(1)某事件发生的可能性；

(2)该事件发生带来的后果。

风险的表达公式可写为风险=f（危险，保险）

3、网络销售风险

网络销售风险是指商家在销售过程中遇到的网络技术、人员管理和网络欺骗等方面的问题以及这些问题对网络销售的影响。网络销售风险包括了技术漏洞、人为的恶意攻击等给商家带来的不可预知的损失或伤害。网络销售风险包括引起网络销售风险的原因和可能导致的结果。如果用公式表示即为：威胁+薄弱点=风险。

二、网络销售风险的类型

1、信用风险

2、拒绝服务攻击

如果网络商家的竞争对手或黑客利用DDOS方式对其进行攻击，就会使得该网络商家的客户无法登录系统，影响正常交易。

攻击者想办法让网络商家机器停止提供服务，是黑客常用的攻击手段之一。其实黑客对网络商家带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对网络商家造成麻烦，使网络商家的客户无法登录，交易无法正常开展等都属于拒绝服务攻击。拒绝服务攻击之所以能够不断的发展并且成为攻击者的终极手法，究其原因是网络协议本身的安全缺陷造成的。攻击者对网络商家进行拒绝服务攻击，实际上是实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。攻击者的最终目的就是让被攻击的网络商家的系统陷入瘫痪，无法开展网上的一切交易，给以沉重的经济打击。

3、客户资料被窃取

恶意竞争对手通过不正当的手段，获取客户资料，不仅侵犯了这些客户的隐私权，更严重的是有可能将这部分客户从原商家抢走从而影响该商家新产品的开发、业务的拓展、营销方案的实施及整体经济收益的提高。

4、信息传输风险

(1)冒名偷窃。网络商家的竞争对手为了获取机密数据、资源和信息，采用源IP的方式进行攻击。

(2)篡改数据。黑客或是网络商家的竞争对手在未授权的情况下潜入系统，对定单或是客户资料等重要信息加以删除、修改，干扰网络商家的正常决策，影响其提货、发货等正常交易。

(3)信息丢失。因为网络传输线路或是信号的影响导致网络商家传输的信息丢失；如果网络商家自身的网络存在安全隐患也会导致信息因被删除或窃取导致信息丢失；或是在不同OS或有版本差异的软件上转换信息亦会导致信息丢失。

5、系统存在漏洞

我们硬件系统上应用的OS或应用软件在逻辑设计上或多或少存在一定的缺陷或错误，这些缺陷和错误很容易被不法者利用，通过网络植入木马、病毒等方式来攻击或控制整个电脑，窃取网络商家电脑中的重要资料和信息，甚至破坏对方的系统。有些黑客利用WEB站点的漏洞选择在结帐前修改URL，就可以不花钱即可获得货物。这是因为在某些WEB站点上，采购信息被保存在URL字符串自身中，其中包括商品的价格。结帐时，WEB站点只通过URL中信息决定划走多少钱而并不去认定价格的正确性，这就给黑客一个可乘之机。这些网络上的漏洞如不及时发现并采取补救措施，同样会给网络商家造成严重的经济损失。

三、网络销售风险应对策略

（一）网络环境中的风险应对

1、防火墙

商家可以通过建立防火墙，以此抵挡外界的侵袭，具体可以从以下三个方面展开。首先是加强网络安全，可以通过创建一个阻塞点来实现所有的流量都通过这个点，一旦这些阻塞点清楚地建立，防火墙设备就可以监控、过滤和检查所有网络商家进出的流量。通过强制所有进出流量都通过这些阻塞点，，网络商家可以集中在比较少的监控点来实现安全目的；也可以在防火墙上配置安全软件如口令、加密、身份认证等。各种安全措施的有机结合，更能有效地对网络安全性能起到加强作用。其次，可以通过隔离不同网络以防止网络商家信息的泄露，企业秘密是大家普遍非常关心的问题，尤其竞争对手对这些信息更是虎视眈眈，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起黑客或是竞争对手的兴趣，甚至因此而暴露了内部网络的某些安全漏洞。通过隔离不同网络的方法可以阻塞有关内部网络中的DNS信息，使得主机的相关信息不会被外界所了解。最后，可以有效地审计和记录内、外部网络上的活动。即保证所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并进行日志记录，同时也能提供网络使用情况的统计数据，并提供网络是否受到监测和攻击的详细信息，可以为网络商家提供非常重要的安全管理信息。

防火墙有包过滤型，双宿网关型，屏蔽主机型和屏蔽子网型等类型可供选择。

2、入侵检测

入侵检测是指识别针对计算机或网络环境闯入或闯入的企图，通过安全日志或其它网络上可以获得的信息进行阻断。网络商家可以通过监视、异常行为模式的统计分析、操作系统的审计跟踪管理等方式实现入侵检测，防患于未然。

3、身份识别

网络商家可以通过消费者所拥有的东西来证明对方的身份，如 IC 卡、 USB Key 、个人数字证书等，通过出示这个东西也可以确认对方的身份；也可通过可以提供比用户名 / 密码方式更强的用户认证，如：动态口令、秘密问题回答、生物特征和客户端数字证书等。

（二）网络交易中风险的应对

1、加密

网络商家为了保证重要信息的安全性，提高信息系统及数据的安全性和保密性，可以通过加密技术实现。与防火墙相比，数据加密与用户授权访问控制技术比较灵活。数据加密主要针对动态信息的保护。在对动态数据的主动攻击和被动攻击中，虽然对于主动攻击无法避免，但却可以有效地检测；而对于被动攻击，却可以避免。 

2、加强网络销售中各环节的管理

网络销售的各环节也存在一定的风险，如消费者定单的处理、会员管理、客户反馈意见的处理等都会或多或少的存在漏洞或是失误的操作，商家应该建立专门的定单处理系统，客户管理系统等软件以减少错误的发生，提高工作效率，增加效益。

网络商家在对重要信息保存时要注意定期备份重要数据，如果遭到致命的攻击，操作系统和应用软件可以重装，而重要的数据很大一部分是无法恢复的，就只能靠商家日常的备份。因此，对于网络商家而言，无论你采取了多么严密的防范措施，也要随时备份你的重要数据，做到有备无患!

参考文献：

[1]沈建明．项目风险管理[M]．北京；机械工业出版社， 2004

[2]Tom DeMarco，Timothy Lister．与熊共舞——软件项目风险管理[M]．熊节，马姗姗译．北京：机械工业出版社，2004

[3]Eric Maiwald．网络安全基础教程[M]．马海军，王泽波译．北京：清华大学出版社，2005