전자 상거래 안전 위험 관리 연구 임립명 1 이심춘 2 (중국 광업대 관리학원, 장쑤 서주 22 1008) 는 현재 전자상거래 안전이 직면한 각종 위험 문제를 바탕으로 현재 일부 위험 관리 방법과 함께 전자상거래 시스템 안전 위험 관리에 대한 기본적인 분석과 연구를 진행하고 있습니다. 키워드 전자상거래 보안, 위험관리, 위험인식, 위험통제 1 소개 개방된 인터넷 시스템이 급속히 발전하면서 전자상거래의 응용과 보급은 사람들의 일과 생활방식을 크게 바꿔 무한한 기회를 가져왔다. 그러나 인터넷은 전자 상거래 발전의 플랫폼으로서 거대하고 복잡한 보안 위험으로 가득 차 있습니다. 해커의 공격, 바이러스의 기승을 부리는 등 모두 전자 상거래 업무를 안전하고 순조롭게 전개하기 어렵게 한다. 또한, 전자 상거래의 발전은 심각한 내부 위험에 직면해 있다. 예를 들어, 전자 상거래 기업 내부의 보안 문제에 대한 맹목적인 안전 의식의 약점, 고위 간부들은 전자 상거래의 운영과 안전 관리에 대해 그다지 중시하지 않는다. 기업이 전자 상거래를 실시할 때 불가피하게 이런 위험에 직면하게 된다. 따라서 전자 상거래의 운영 환경을 조사하고 전자 상거래를 위한 보안 솔루션을 제공하는 동시에 전자 상거래 시스템이 직면한 위험 문제와 위험에 대한 효과적인 통제 방법에 초점을 맞춰야 합니다. 전자 상거래 보안 위험 관리는 전자 상거래 시스템의 보안 위험을 식별, 측정 및 분석하고 최소한의 비용과 비용으로 가능한 한 많은 보안을 실현하는 과학적 관리 방법입니다. 2 전자 상거래가 직면한 보안 위험 네트워크의 복잡성과 취약성으로 인해 인터넷 기반 전자 상거래의 발전은 심각한 보안 문제에 직면해 있습니다. 일반적으로 전자 상거래에는 다음과 같은 보안 위험이 있습니다: 1) 정보 차단 및 도용. 즉, 전자 상거래와 관련된 사용자 또는 외부인이 다양한 기술적 수단을 통해 무단 차단, 다른 사람의 메시지 및 메시지 도용, 영업 비밀 획득을 의미합니다. 2) 변조 정보 네트워크 공격자는 다양한 기술적 방법과 수단에 의존하여 전송된 정보를 중간에 변조, 삭제 또는 삽입하여 목적지로 전송하여 정보 무결성을 훼손하는 목적을 달성합니다. 3) 서비스 거부 서비스는 네트워크 시스템 또는 서버 서비스 시스템이 일정 기간 동안 완전히 무효가 되는 것을 의미합니다. 주요 원인은 해커와 바이러스의 공격과 컴퓨터 하드웨어의 사상 파괴에서 비롯된다. 4) 시스템 자원 절도 네트워크 시스템 환경에서 시스템 자원 절도는 일반적인 보안 위협입니다. 5) 정보 가장이란 공격자가 네트워크 정보 데이터의 법칙이나 해독된 비즈니스 정보를 파악한 후 합법적인 사용자로 가장하거나 정보를 가장하여 다른 사용자를 속일 수 있다는 의미입니다. 주로 고객 사칭, 이메일 위조 등 불법 거래로 나타났다. 6) 거래 거부 거래 거부에는 발신자가 나중에 어떤 소식을 보냈다는 사실을 부인하는 것이 포함됩니다. 구매자가 주문한 후에는 인정하지 않습니다. 판매자는 차액을 이유로 원거래 인정을 거부했다. 3 위험 관리 규칙전자 상거래가 직면한 다양한 보안 위험에 대해 전자 상거래 기업은 전자 상거래 시스템의 보안을 유지하고 새로운 위협과 취약점을 모니터링하기 위한 적극적인 조치를 취해야 합니다. 따라서 완전하고 효율적인 전자 상거래 보안 위험 관리 규칙을 제정할 필요가 있다. 일반적으로 위험 관리 규칙 개발 프로세스에는 평가, 개발, 구현 및 운영이라는 세 단계가 있습니다. (1) 평가 단계 이 단계의 주요 임무는 전자 상거래의 보안 상태, 보호해야 할 정보, 각종 자산을 종합적으로 평가하고 몇 가지 기본적인 보안 위험을 식별하고 분석하는 것입니다. 전자 상거래 보안 상태 평가는 위험 관리 규칙 개발의 기초입니다. 정보 및 자산 평가란 손실을 입을 수 있는 관련 정보 및 자산의 가치를 평가하여 적절한 위험 관리 규칙을 결정하고 투자 비용이 보호할 정보 및 자산과 심각하게 일치하지 않도록 하는 것을 말합니다. 보안 위험 식별은 가능한 한 잠재적인 보안 위험을 발견하고 다양한 위협, 취약성, 개발 및 대책에 대한 정보를 수집해야 합니다. 안전 위험 분석은 위험을 식별하고, 정보를 수집하고, 가능한 손실을 평가하여 위험 수준을 추정하고, 현명한 결정을 내리고, 안전 위험을 피하기 위한 조치를 취하는 것입니다. (2) 개발 및 구현 단계. 이 단계의 임무에는 위험 개선 조치 개발, 위험 개선 조치 테스트 및 위험 지식 학습이 포함됩니다. 위험 구제책의 개발은 평가 단계의 결과를 활용하여 구성 관리, 패치 관리, 시스템 모니터링, 감사 등 새로운 보안 관리 정책을 수립합니다. 위험 구제책이 완성되면 안전 위험 구제책이 테스트됩니다. 테스트 과정에서 안전 위험의 통제 효과에 따라 대책의 유효성을 평가할 것이다. (3) 운영 단계의 주요 임무는 새로운 보안 위험 관리 규칙에 따라 새로운 보안 위험을 평가하는 것입니다. 이 프로세스는 실제로 변경 관리 프로세스이자 보안 구성 관리를 구현하는 프로세스입니다. 운영 단계의 두 번째 임무는 신규 또는 변경된 대책의 안정성을 테스트하고 배포하는 것입니다. 이 프로세스는 시스템 관리, 보안 관리 및 네트워크 관리 팀에 의해 구현됩니다. 위 세 단계의 위험 관리 규칙은 다음과 같이 나타낼 수 있습니다. 그림 1 3 단계의 위험 관리 규칙 4 위험 관리 단계 위험 관리는 위험 식별, 위험 분석, 위험 관리 계획 개발 프로세스입니다. 전자 상거래 보안 위험 관리 방법에는 위험 식별, 위험 분석, 위험 통제 및 위험 모니터링이 포함됩니다. (1) 시스템의 위험 평가를 통해 위험 식별 전자 상거래 시스템의 보안 요구 사항을 파악합니다. 전자 상거래 보안 위험을 효과적으로 관리하기 위해서는 보안 위험을 식별하는 것이 위험 관리의 첫 번째 단계입니다. 위험 식별은 다양한 위협, 취약점 및 관련 대책 정보를 수집하여 전자 상거래 시스템에 잠재적 위협이 될 수 있는 다양한 보안 위험을 식별하는 것입니다. 위험 식별에는 여러 가지 방법이 있습니다. 전자 상거래 시스템 보안의 경우 위험 식별의 목표는 주로 전자 상거래 시스템의 네트워크 환경 위험, 데이터 존재 위험 및 온라인 지불 위험을 식별하는 것입니다. 모든 전자 상거래 보안 위험을 위험 식별을 통해 관리할 수 있는 것은 아니며, 위험 식별은 알려진 위험이나 쉽게 알 수 있는 잠재적 위험만 발견할 수 있다는 점에 유의해야 합니다. 대부분의 알 수 없는 위험에 대해서는 위험 분석과 통제를 통해 해결하거나 줄여야 한다. (2) 위험 분석 위험 분석은 분석, 비교, 평가 등 다양한 정성 및 정량 방법을 사용하여 전자 상거래 보안의 다양한 위험 요소의 중요성을 결정하고, 위험을 정렬하고, 전자 상거래 시스템의 모든 측면에 발생할 수 있는 결과를 평가하는 것입니다. 전자 상거래 시스템의 프로젝트 구현자는 몇 가지 중요한 보안 위험에 집중하고 전자 상거래 시스템의 전반적인 위험을 효과적으로 통제할 수 있습니다. 위험 분석은 위험을 식별하고 잠재적 손실을 평가하는 방법이며 안전 조치 개발의 기초입니다. 위험 분석의 목표는 위험을 식별하고, 손상을 초래할 수 있는 잠재적 위험에 대한 질적 및 양적 분석을 수행하고, 결국 위험 손실과 위험 투자 비용의 균형을 경제적으로 찾는 것입니다. 현재 위험 분석에 사용되는 주요 방법은 위험 확률/영향 평가 매트릭스, 민감도 분석, 시뮬레이션 등입니다. 전자상거래 안전위험을 분석할 때 영향요인 수량화의 실질적 어려움으로 인해 실제 필요에 따라 정성적 방법을 소량의 정량 방법과 결합하여 위험분석을 할 수 있으며 위험관리제도와 위험통제를 개발하기 위한 이론적 근거를 제공할 수 있다. (3) 위험 통제 위험 통제는 위험을 수용 가능한 수준으로 낮추기 위해 특정 위험 통제 수단을 선택하고 적용하는 것입니다. 위험 통제는 위험 관리에서 가장 중요한 부분이며 위험 관리의 성패를 결정하는 핵심 요소입니다. 전자 상거래 보안 위험 통제의 목표는 기업 전자 상거래 프로젝트의 위험 수준을 바꾸는 것이다. 일반적으로 위험 통제 방법에는 두 가지가 있습니다. 첫 번째는 위험 감소, 회피, 이전 위험 및 손실 관리와 같은 위험 통제 조치입니다. 이전 위험 및 손실 관리는 전자 상거래의 보안 위험 관리에서 일반적으로 사용되는 방법입니다. 두 번째 범주는 보험과 자기 부담 위험을 포함한 위험 보상의 융자 조치이다. 전자 상거래 보안 위험 관리에서 관리자는 위험 보상에 대한 자금 조달 조치, 즉 보험 또는 자영업 위험을 결정해야 합니다. 또한 위험 통제 방법의 선택은 상대 위험으로 인한 손실 비용을 충분히 고려해야 한다. 물론, 기업의 영업권과 같은 다른 영향도 간과해서는 안 된다. 전자 상거래 보안의 경우, 효과적이고 실행 가능한 위험 통제 방법은 위험을 줄이고, 보안을 보장하는 데 필요한 기본 기술을 익히고, 특정 보안 사고 발생 시 기업이 취해야 할 해결책을 계획하는 완전하고 효율적인 보안 솔루션을 구축하는 것입니다. 5 위험 관리 대책전자 상거래 보안의 중요성 때문에 전자 상거래 보안을 위한 완전하고 효과적인 위험 관리 대책을 구축하는 것이 시급하다. 전자 상거래 보안 위험 관리 대책의 목적은 잠재적인 위협과 보안 취약점을 제거하여 전자 상거래 시스템 환경의 위험을 줄이는 것입니다. 현재 심층 방어 전략은 전자 상거래 보안 위험 관리 대책에서 일반적으로 사용되는 전략입니다. 이른바 심층 방어 전략이란 심도 있는 보안과 다층안전이다. 다중 계층 보안을 구축하면 한 계층이 손상되더라도 다른 계층은 전자 상거래 시스템 리소스를 보호하는 데 필요한 보안을 제공할 수 있습니다. 예를 들어, 한 단위의 외부 방화벽이 손상되어 내부 방화벽의 작용으로 인해 침입자는 해당 단위의 민감한 데이터를 얻거나 데이터를 파괴할 수 없습니다. 이상적으로 각 계층은 서로 다른 계층에서 동일한 공격 방법을 사용하지 않도록 서로 다른 대책을 제공합니다. 다음 그림은 효과적인 심층 방어 전략입니다. 그림 2 효과적인 심층 방어 전략 다음은 외층부터 내층까지 주요 방어 내용을 간략하게 설명한 것입니다. 1) 물리적 보안 물리적 보안은 전체 전자 상거래 시스템 보안의 전제 조건입니다. 전자 상거래 물리적 보안 전략을 개발하는 목적은 컴퓨터 시스템, 전자 상거래 서버 등 전자 상거래 시스템의 하드웨어 실체 및 통신 링크를 자연 재해 및 인위적인 손상으로 인한 보안 위험으로부터 보호하기 위한 것입니다. 2) 경계 방어는 네트워크 경계를 외부 공격으로부터 보호합니다. 전자 상거래 시스템은 네트워크의 각 액세스 노드를 보호하기 위해 가능한 한 보안 장치를 설치해야 합니다. 기술적으로 방화벽은 네트워크 주변 방어의 가장 중요한 수단이다. 전자 상거래 시스템은 외부 공격의 위험을 최소화하고 침입 탐지 기능을 활용하여 외부로부터의 불법 액세스 및 공격을 적시에 탐지할 수 있도록 하나 이상의 방화벽을 설치해야 합니다. 3) 네트워크 방어 네트워크 방어는 네트워크 시스템 환경을 평가하고 해커의 공격에 대비하여 적절한 보호를 보장하는 조치를 취하는 것입니다. 현재 사이버 보안 방어 행위는 수동적인 반응으로 방어 기술의 발전 속도가 공격 기술이 빠르지 않다. 사이버 보안 방어 능력을 높이기 위해 사이버 보안 보호 시스템이 수동 보안 도구 (방화벽, 취약성 검사 등) 를 제외하고는 공격과 방어 대결에서 능동적인 위치를 차지하게 됩니다. ), 사전 예방적 보안 조치 (예: 네트워크 트랩, 침입 법의학, 침입 탐지, 자동 복구 등). ) 네트워크 보안 시스템에 채택해야합니다. 4) 호스트 방어 호스트 방어는 시스템에 있는 각 호스트의 보안을 평가한 다음 평가 결과에 따라 서버가 수행하는 작업을 제한하는 대책을 수립하는 것입니다. 호스트와 해당 환경에서 보안 객체에는 사용자 애플리케이션 환경의 서버, 클라이언트, 운영 체제 및 설치된 애플리케이션 시스템이 포함됩니다. 이러한 애플리케이션은 정보 액세스, 저장, 전송 및 입력을 포함한 서비스를 제공합니다. 정보 보호를 위한 기술 프레임워크에 따르면 호스트와 해당 환경의 보안은 먼저 내부 인력의 악의적인 공격을 방어하는 첫 번째 방어선을 구축하고, 그 다음은 외부 인원이 시스템 보호 경계를 넘어 공격하는 것을 방지하는 것입니다. 5) 방어를 방어층으로 적용하고, 보강을 적용하는 것은 모든 보안 모델의 필수적인 부분입니다. 운영 체제 보안에 대한 보호를 강화하면 어느 정도의 보호만 제공할 수 있다. 따라서 e-business system 개발자는 아키텍처의 애플리케이션이 액세스할 수 있는 영역에 대한 특별한 보호를 제공하기 위해 보안을 애플리케이션에 통합할 책임이 있습니다. 응용 프로그램이 시스템 환경에 존재합니다. 6) 데이터 방어 많은 전자상거래 기업에게 데이터는 기업의 자산이며, 일단 경쟁사의 손에 넘어가거나 파괴되면 돌이킬 수 없는 손실을 초래할 수 있다. 따라서 전자 상거래 거래 및 관련 데이터에 대한 보호를 강화하는 것은 전자 상거래 시스템의 보안과 전자 상거래 프로젝트의 정상적인 운영에 중요한 실용적인 의미가 있습니다. 결론적으로 일반적으로 위험 관리의 기본 대책은 세 가지가 있는데, 여기에는 관리자가 적절한 조치를 취해 위험 사고 발생 확률을 낮추는 것을 포함한다. 관리자는 비상 사태시 비상 계획을 수립하고 시행합니다. 또 다른 상황은 관리자들이 아무것도 하지 않는다는 것이다. 선정 대책의 경우 잠재적 위험을 충분히 추정하고 가능한 위험 손실을 최소화할 수 있는 적절한 비상 대책을 마련해야 한다. 위험 관리에는 고정 된 규칙이 없습니다. 전자 상거래 보안 위험 관리의 경우 먼저 전자 상거래 시스템의 내부 및 외부 환경을 스캔하고, 시스템의 취약점과 취약점을 점검하고, 적시에 장비를 패치하고 추가하여 위험 발생 시 손실을 최소화하는 것입니다. 둘째, 전자 상거래의 보안 위험을 충분히 분석하여 적절한 계획과 조치를 개발하고 구현의 모든 단계에서 모니터링하고 추적합니다. 마지막으로, 환경 변화에 따라 언제든지 위험 관리 조치를 조정하여 완벽한 재해 복구 계획을 수립합니다. 참고 [1] 간조빈. 전자 상거래 소개 (제 2 판). 화중과학기술대학 출판사. 2003.9 [2] 지성. 전자 상거래 보안. 충칭 대학 출판사. 2004.6 [3] 설명서가 한 권밖에 없다. 전자 상거래 보안 위험 관리 및 통제. 동북대학 출판사. 2004.6 [4] 이산, 장학철. 전자 상거래 보안 전략 분석 과학 기술 정보 발전과 경제. 2004.5 [5] 가오 신야, 조정. 전자 상거래 보안 위험 분석 및 위험 관리 우한 이공대학보. 정보 및 관리 엔지니어링 버전. 진이곽설근. 전자 상거래 보안 대책. 컴퓨터와 디지털 공학. 200 1.7 [7] 이징. 전자 상거래 보안 예방 조치. 안후이 과학 기술. 2003.4 [8] 그린스탄 m, 판만트 m. 전자 상거래: 안전, 위험 관리 및 통제 [M]. 뉴욕: 맥그라드 힐, 2000[9] 찰스 크레슨 우드, 인터넷 전자 상거래의 기본 통제