1、論電子商務風險管理及改進建議電子商務安全風險管理策略成為理論與實踐中必須重視的 課題。剖析現階段電子商務安全網風險策略的薄弱點，隨著商業銀行網上業務的不斷發展，商業銀行從事金融業務面臨著市場風險、信用風險、以及操作風險等，而電子商務的出 現則加劇了上述各類風險發生的可能性以及風險發生之后的破 壞程度。2009年以來，我國面臨的網絡仿冒威脅正在逐漸加大， 仿冒對象主要是金融網站和電子商務網站。2010年上半年共收到網絡安全事件報告 65679件，超過2010年全年案件數，商業 銀行電子商務安全風險管理策略已成為理論與實踐中必須重視 的課題。一、信息安全管理的歷史演進與現階段的特點（一）以事件驅動

2、的初級階段時期19世紀70年代安全主要是指物理設備和環境的安全，人與 計算機之間的交互主要局限在大型計算機上的啞終端，安全問題只涉及能訪問終端的少數人。安全管理策略處于初級階段，由事 件驅動，沒有形成規范的管理流程。在此階段的前期，只重視技 術手段。后期開始重視管理手段，但是技術和管理之間脫節。許 多組織對信息安全制定了相應的規章和制度，但組織的信息安全管理基本上還處在一種靜態、局部、少數人負責、突擊式、事后 糾正式的管理方式。（二）標準化時期企業開始將安全問題作為整體考慮，形成一套較為完整的安 全管理策略，其中包括了安全管理的技術手段和管理制度（或稱運作管理）。幾乎所有從事電子商務的企業都擁

3、有自己的安全策 略，內容也包括了技術手段、安全管理制度、人員安全教育等等， 基本上形成體系，技術和管理手段綜合統一， 但是安全風險分析 還存在不足之處。（三）安全風險管理策略時期隨著電子商務安全管理發展到一個比較高的層次，安全管理策略也演進到安全風險管理階段。主要特點如下：1. 安全風險管理成為主流趨勢；在安全管理策略的演進過程中，技術和管理手段綜合統一、又融入了風險管理的分析、防范 策略，從而安全管理進入了安全風險管理時期。西方商業銀行已對安全風險管理形成共識。2. 安全風險管理的國際標準和各國的規范逐漸形成并趨于完善。國際上關于安全風險管理的標準有巴塞爾銀行監管委員會的電子銀行業務風險管理

4、原則、英國標準協會制訂的 BS7799 等。各國也日益重視安全風險管理，制定了許多規范。例如美國 貨幣監理署（OCC）的電子銀行最終規則、香港金融管理局的電 子銀行服務的安全風險管理 等。中國銀行業監督管理委員也于 2006年頒布了電子銀行業務管理辦法，對國內企業的電子商 務安全風險管理給出了指導意見。3. 利用外部專業化機構對金融機構的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術風險， 在相當程度 上取決于采用的信息技術的先進程度，系統的設計開發水平，以及相關設施設備及其供應商的選擇等；銀行依靠傳統的風險管理 機制已很難識別、監測、控制和管理相關風險。同樣，監管機構 也難以完全

5、依靠自身的力量對電子銀行的安全性進行準確評價 和監控。因此，大部分國家都采用了依靠外部專業化機構定期對 電子銀行安全性進行評估的辦法， 加強對電子銀行安全性和技術 風險的管理和監管。4. 在許多國家信息系統審計作為一種信息技術服務被廣泛 提供，許多知名的咨詢公司都提供類似的信息審計服務。業界的IT風險分析師也成為一種職業，專門從事電子商務的安全風險 工作，從經濟學的角度出發分析風險，充分衡量保持安全的代價 和收益之間的關系，尋求用最小的代價實現最大的效用， 在風險 分析中也形成一套較為成熟的模式。二、我國商業銀行電子商務安全風險管理策略的薄弱點（一）系統管理思想缺乏目前的電子商務安全風險管理策

6、略， 在全局上缺乏系統論理 論的指導，在實際操作中受到多種多樣的安全攻擊時會不可避免 地出現安全漏洞，無法形成一張全面有序的安全網絡。實踐中被采用的安全風險管理策略， 以及作為指導意見的規 則規范，如信息安全管理實務準則、信息技術安全性評估準 則，盡管提出了比較全面的安全風險管理方案，層次上也比較 清晰，但是還不足以作為一個風險防范系統。實踐中，電子商務 組織是一個復雜的系統組織，電子商務的安全風險管理體系和過 程也是個復雜的系統。系統論、控制論的思想在電子商務安全風 險管理中是不可或缺的。（二）風險分析的模型與方法不成熟，定量分析不足電子商務模式自身的發展歷史也不過 20幾年，在風險分析 的

7、定量技術上并不成熟；如 BS7799中推薦的電子商務安全風險 管理中實施風險評估時，往往將威脅發生的可能性定性劃分為幾 個級別，將威脅所造成的影響也定性劃分為15級，實質上是將一些按照概率發生的事件定義為不連續的幾個級別，在操作上易行，但造成了度量的不精確。在進行監控和審計之后，也存在 無法量化、對比的問題。（三）忽視與原有的傳統風險管理策略的結合本質上，電子商務的安全風險無非是新興的商業模式對傳統 的風險的改變，以及產生的在傳統風險控制領域暫時無法明晰的 新風險；現有管理策略只從信息技術的角度、或者從偏重技術的角度看待問題，站在金融領域本身來分析研究較少。這種狀況導致了對電子商務安全風險管理

8、的研究無法立足于一個比較高的 層次；忽略了風險的整體性，只進行偏信息和技術的研究，導致 了現有的電子商務安全風險管理策略與金融機構原有的傳統業 務風險管理策略存在差距。對于商業銀行而言，傳統金融業務的 風險控制與電子商務的技術風險控制，兩個方面存在脫節，同樣 屬于商業銀行的風險，存在著不同的管理策略，導致多頭管理、資源浪費、機構之間的扯皮，乃至缺位管理。（四）風險管理策略無法依賴外部的信息安全管理行業 在發達國家，信息系統審計作為一種信息技術服務被廣泛提供，許多知名的咨詢公司都提供類似的信息審計服務。IT風險分析師也成為一種職業，專門從事電子商務的安全風險工作。商業銀行采用依靠外部專業化機構定

9、期對電子銀行的安全性進行 評估的辦法，提高對電子銀行安全性和技術風險的管理和監管。 而國內初步建立了國家信息安全組織保障體系，制定和引進了一批重要的信息安全管理標準、 法律法規，風險評估工作得到了一 定重視，但與發達國家成熟完善的外部信息安全管理行業仍有很 大差距。（五）風險轉自管理策略中商業銀行的內部風險控制能力薄弱我國商業銀行目前均建立起統一的風險管理部門；但風險控制部門的職能、權限與花旗銀行等體制較為先進的銀行相比仍然 存在較大差距，風險控制實質上仍然分散在各個子部門；風險的評估、防范與控制實質上完全依靠商業銀行的電子交易部門；風險管理部門、內審稽核部門實質上無法控制電子商務安全風險。

10、例如，風險管理部門接受了電子交易部的風險控制報告，表面上履行的內控審核的流程，但審核作用有限，無法完成電子商務安 全風險管理中的監控與審計環節。三、商業銀行的電子商務安全風險管理策略的改進建議（一）基于系統的思想構建商業銀行電子商務安全風險管理 策略框架利用系統理論作為總體的指導思想，將電子商務安全風險管 理策略本身當作一個開放的自適應系統。 將商業銀行電子商務安 全風險管理中的各個環節組成循環上升的系統。在商業銀行電子商務安全風險控制的流程中，經過信息安全的風險評估、資產識別和選擇、實施控制降低風險的措施、將風 險控制在可接受的范圍內， 然后進行監控和審計；尤其重要的是 把監控和審計所得到的

11、內容作為新一輪風險分析輸入，從而開始新一輪的風險管理過程。商業銀行電子商務安全風險管理的各個 步驟為動態的循環系統。每完成一個循環，安全風險管理的有效 性就上一個臺階，商業銀行的安全管理水平變得到了提高。（二）電子商務安全風險管理中定量分析中的改進思路商業銀行可以借鑒成熟的傳統金融風險度量中的一些方法 來改變電子商務安全風險管理中對資產進行粗略的優先級別排 序的方法。實踐中，商業銀行對操作風險的管理與對電子商務安 全風險管理有其相似之處。巴塞爾委員會對商業銀行的操作風險 的內部計量法中規定，商業銀行內部估計風險敞口指標、 損失事 件發生的概率、風險損失，巴塞爾委員會制定資本要求的轉換系 數；在

12、度量損失的分布時，主要利用統計和精算技術。商業銀行 應通過數據庫將威脅發生的頻率、威脅所造成的影響等精確記錄下來，利用現有的度量方法進行精確的風險定量分析的嘗試。(三) 將商業銀行電子商務安全風險納入商業銀行總體風險 管理范疇將商業銀行所面臨的全部風險放在一個框架中考慮。傳統風險管理以及電子商務安全風險管理都是風險管理系統中子系統， 二者相互聯系、相互影響，不可分割。嘗試借鑒信用風險與操作 風險度量的方法與思想，短期內將其與信用風險控制銜接，最終形成一個全面的商業銀行安全風險管理框架。(四) 商業銀行要積極促進電子商務安全風險管理策略的改 進(1) 、充分利用國內或國外能夠獲得的信息系統審計、

13、外部信息安全評估等服務，采取定期評估審計、不斷采取措施改善風 險狀態的策略；(2) 、在目前商業銀行的組織與管理體制下，風險控制部門 與傳統金融業務部門的流程需不斷改善，商業銀行必須創造條件，加強風險管理部門與電子商務部門的交叉配合，包括各部門人員的配臵、培訓等各方面；使風險管理部門能夠履行安全風險 管理的監控與審計職能；(3) 、商業銀行必須重視對傳統金融風險與電子商務安全風險的統一度量問題的研究，不斷提高風險管理部門綜合控制風險 的能力，充分考慮電子商務安全風險與信用風險、操作風險的交叉問題，為實現全面風險管理奠定基礎。 依賴外部的信息安全管理行業在發達國家，信息系統審計作為一種信息技術服

14、務被廣泛提供，許多知名的咨詢公司都提供類似的信息審計服務。IT風險分析師也成為一種職業，專門從事電子商務的安全風險工作。 商業銀行采用依靠外部專業化機構定期對電子銀行的安全性進 行評估的辦法，提高對電子銀行安全性和技術風險的管理和監 管。而國內初步建立了國家信息安全組織保障體系，制定和引進了一批重要的信息安全管理標準、 法律法規，風險評估工作得到 了一定重視，但與發達國家成熟完善的外部信息安全管理行業仍 有很大差距。（五）風險管理策略中商業銀行的內部風險控制能力薄弱我國商業銀行目前均建立起統一的風險管理部門；但風險控制部門的職能、權限與花旗銀行等體制較為先進的銀行相比仍然 存在較大差距，風險控制實質上仍然分散在各個子部門；風險的評估、防范與控制實質上完全依靠商業銀行的電子交易部門；風險管理部門、內審稽核部門實質上無法控制電子商務安全風險。 例如，風險管理部門接受了電子交易部的