摘要：隨著電子商務的發(fā)展，越來越多的商戶和企業(yè)選擇在線銷售商品，但網絡交易中的諸多風險讓商家絞盡腦汁。面對網絡環(huán)境中的黑客攻擊、軟件漏洞，交易中不明身份的買家信用、競爭對手竊取相關資料等風險，網絡商家必須采取不同的風險應對策略，以保障網絡銷售安全。

關鍵詞：網絡  銷售風險  應對策略

一、網絡銷售風險管理概述

1、網絡銷售

網絡銷售從狹義角度講就是網店銷售，從廣義角度講是指通過網絡進行買賣雙方的交易。網絡銷售的技術基礎是以可以實現軟、硬件共享、數據共享等功能的計算機網絡技術為代表的信息技術。

2、風險

對于風險的定義，在經濟學家、統(tǒng)計學家、決策理論家和保險學者中尚無一個適用于他們各個領域的公認定義�，F代漢語詞典中的基本定義：風險是“可能發(fā)生的危險”，美國研究風險的學者A·H·威雷特認為“風險是關于不愿發(fā)生的事件發(fā)生的不確定性之客觀體現”[1]。Tom DeMarco和Timothy Lister在《與熊共舞——軟件項目風險管理》中給出的風險定義為“描繪所有可能的結果及由其引發(fā)的相關后果的加權圖”。美國Cooper D.F和Chapman C.B在《大項目風險分析》一書中給出了較權威的定義“風險是由于從事某項特定活動過程中存在的不確定性而產生的經濟或財務的損失，自然破壞或損傷的可能性。”

風險是一個復雜性的概念，多數人贊同 “風險”一詞包含著“不確定性”。對于某個既定事件而言，風險包含兩個要素：

(1)某事件發(fā)生的可能性；

(2)該事件發(fā)生帶來的后果。

風險的表達公式可寫為風險=f（危險，保險）

3、網絡銷售風險

網絡銷售風險是指商家在銷售過程中遇到的網絡技術、人員管理和網絡欺騙等方面的問題以及這些問題對網絡銷售的影響。網絡銷售風險包括了技術漏洞、人為的惡意攻擊等給商家?guī)淼牟豢深A知的損失或傷害。網絡銷售風險包括引起網絡銷售風險的原因和可能導致的結果。如果用公式表示即為：威脅+薄弱點=風險。

二、網絡銷售風險的類型

1、信用風險

2、拒絕服務攻擊

如果網絡商家的競爭對手或黑客利用DDOS方式對其進行攻擊，就會使得該網絡商家的客戶無法登錄系統(tǒng)，影響正常交易。

攻擊者想辦法讓網絡商家機器停止提供服務，是黑客常用的攻擊手段之一。其實黑客對網絡商家?guī)掃M行的消耗性攻擊只是拒絕服務攻擊的一小部分，只要能夠對網絡商家造成麻煩，使網絡商家的客戶無法登錄，交易無法正常開展等都屬于拒絕服務攻擊。拒絕服務攻擊之所以能夠不斷的發(fā)展并且成為攻擊者的終極手法，究其原因是網絡協(xié)議本身的安全缺陷造成的。攻擊者對網絡商家進行拒絕服務攻擊，實際上是實現兩種效果：一是迫使服務器的緩沖區(qū)滿，不接收新的請求；二是使用IP欺騙，迫使服務器把合法用戶的連接復位，影響合法用戶的連接。攻擊者的最終目的就是讓被攻擊的網絡商家的系統(tǒng)陷入癱瘓，無法開展網上的一切交易，給以沉重的經濟打擊。

3、客戶資料被竊取

惡意競爭對手通過不正當的手段，獲取客戶資料，不僅侵犯了這些客戶的隱私權，更嚴重的是有可能將這部分客戶從原商家搶走從而影響該商家新產品的開發(fā)、業(yè)務的拓展、營銷方案的實施及整體經濟收益的提高。

4、信息傳輸風險

(1)冒名偷竊。網絡商家的競爭對手為了獲取機密數據、資源和信息，采用源IP的方式進行攻擊。

(2)篡改數據。黑客或是網絡商家的競爭對手在未授權的情況下潛入系統(tǒng)，對定單或是客戶資料等重要信息加以刪除、修改，干擾網絡商家的正常決策，影響其提貨、發(fā)貨等正常交易。

(3)信息丟失。因為網絡傳輸線路或是信號的影響導致網絡商家傳輸的信息丟失；如果網絡商家自身的網絡存在安全隱患也會導致信息因被刪除或竊取導致信息丟失；或是在不同OS或有版本差異的軟件上轉換信息亦會導致信息丟失。

5、系統(tǒng)存在漏洞

我們硬件系統(tǒng)上應用的OS或應用軟件在邏輯設計上或多或少存在一定的缺陷或錯誤，這些缺陷和錯誤很容易被不法者利用，通過網絡植入木馬、病毒等方式來攻擊或控制整個電腦，竊取網絡商家電腦中的重要資料和信息，甚至破壞對方的系統(tǒng)。有些黑客利用WEB站點的漏洞選擇在結帳前修改URL，就可以不花錢即可獲得貨物。這是因為在某些WEB站點上，采購信息被保存在URL字符串自身中，其中包括商品的價格。結帳時，WEB站點只通過URL中信息決定劃走多少錢而并不去認定價格的正確性，這就給黑客一個可乘之機。這些網絡上的漏洞如不及時發(fā)現并采取補救措施，同樣會給網絡商家造成嚴重的經濟損失。

三、網絡銷售風險應對策略

（一）網絡環(huán)境中的風險應對

1、防火墻

商家可以通過建立防火墻，以此抵擋外界的侵襲，具體可以從以下三個方面展開。首先是加強網絡安全，可以通過創(chuàng)建一個阻塞點來實現所有的流量都通過這個點，一旦這些阻塞點清楚地建立，防火墻設備就可以監(jiān)控、過濾和檢查所有網絡商家進出的流量。通過強制所有進出流量都通過這些阻塞點，，網絡商家可以集中在比較少的監(jiān)控點來實現安全目的；也可以在防火墻上配置安全軟件如口令、加密、身份認證等。各種安全措施的有機結合，更能有效地對網絡安全性能起到加強作用。其次，可以通過隔離不同網絡以防止網絡商家信息的泄露，企業(yè)秘密是大家普遍非常關心的問題，尤其競爭對手對這些信息更是虎視眈眈，一個內部網絡中不引人注意的細節(jié)可能包含了有關安全的線索而引起黑客或是競爭對手的興趣，甚至因此而暴露了內部網絡的某些安全漏洞。通過隔離不同網絡的方法可以阻塞有關內部網絡中的DNS信息，使得主機的相關信息不會被外界所了解。最后，可以有效地審計和記錄內、外部網絡上的活動。即保證所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并進行日志記錄，同時也能提供網絡使用情況的統(tǒng)計數據，并提供網絡是否受到監(jiān)測和攻擊的詳細信息，可以為網絡商家提供非常重要的安全管理信息。

防火墻有包過濾型，雙宿網關型，屏蔽主機型和屏蔽子網型等類型可供選擇。

2、入侵檢測

入侵檢測是指識別針對計算機或網絡環(huán)境闖入或闖入的企圖，通過安全日志或其它網絡上可以獲得的信息進行阻斷。網絡商家可以通過監(jiān)視、異常行為模式的統(tǒng)計分析、操作系統(tǒng)的審計跟蹤管理等方式實現入侵檢測，防患于未然。

3、身份識別

網絡商家可以通過消費者所擁有的東西來證明對方的身份，如 IC 卡、 USB Key 、個人數字證書等，通過出示這個東西也可以確認對方的身份；也可通過可以提供比用戶名 / 密碼方式更強的用戶認證，如：動態(tài)口令、秘密問題回答、生物特征和客戶端數字證書等。

（二）網絡交易中風險的應對

1、加密

網絡商家為了保證重要信息的安全性，提高信息系統(tǒng)及數據的安全性和保密性，可以通過加密技術實現。與防火墻相比，數據加密與用戶授權訪問控制技術比較靈活。數據加密主要針對動態(tài)信息的保護。在對動態(tài)數據的主動攻擊和被動攻擊中，雖然對于主動攻擊無法避免，但卻可以有效地檢測；而對于被動攻擊，卻可以避免。 

2、加強網絡銷售中各環(huán)節(jié)的管理

網絡銷售的各環(huán)節(jié)也存在一定的風險，如消費者定單的處理、會員管理、客戶反饋意見的處理等都會或多或少的存在漏洞或是失誤的操作，商家應該建立專門的定單處理系統(tǒng)，客戶管理系統(tǒng)等軟件以減少錯誤的發(fā)生，提高工作效率，增加效益。

網絡商家在對重要信息保存時要注意定期備份重要數據，如果遭到致命的攻擊，操作系統(tǒng)和應用軟件可以重裝，而重要的數據很大一部分是無法恢復的，就只能靠商家日常的備份。因此，對于網絡商家而言，無論你采取了多么嚴密的防范措施，也要隨時備份你的重要數據，做到有備無患!

參考文獻：

[1]沈建明．項目風險管理[M]．北京；機械工業(yè)出版社， 2004

[2]Tom DeMarco，Timothy Lister．與熊共舞——軟件項目風險管理[M]．熊節(jié)，馬姍姍譯．北京：機械工業(yè)出版社，2004

[3]Eric Maiwald．網絡安全基礎教程[M]．馬海軍，王澤波譯．北京：清華大學出版社，2005