¿Cómo afrontar los riesgos operativos de los sistemas de comercio electrónico? Investigación sobre la gestión de riesgos de seguridad del comercio electrónico Lin Liming 1 Li Xinchun 2 (Escuela de Administración, Universidad de Minería y Tecnología de China, Xuzhou, Jiangsu 221008) Basado en los diversos problemas de riesgo que enfrenta actualmente el comercio electrónico seguridad, combinado con algunos métodos actuales de gestión de riesgos, este documento realiza algunos análisis e investigaciones básicos sobre la gestión de riesgos de seguridad de sistemas empresariales para proporcionar una referencia valiosa para la gestión de riesgos de seguridad del comercio electrónico empresarial. Palabras clave seguridad del comercio electrónico, gestión de riesgos, identificación de riesgos, control de riesgos 1 Introducción Con el rápido desarrollo del sistema abierto de Internet, la aplicación y promoción del comercio electrónico ha cambiado en gran medida el trabajo y el estilo de vida de las personas, brindando oportunidades comerciales ilimitadas. Sin embargo, Internet, como plataforma para el desarrollo del comercio electrónico, está llena de enormes y complejos riesgos de seguridad. Los ataques de piratas informáticos y la propagación de virus han dificultado que las empresas de comercio electrónico se lleven a cabo de forma segura y sin problemas. Además, el desarrollo del comercio electrónico también enfrenta graves riesgos internos, como la ceguera ante los problemas de seguridad y la escasa conciencia de seguridad; Dentro de las empresas de comercio electrónico, la alta dirección Los líderes no prestan suficiente atención a la operación y la gestión de seguridad del comercio electrónico, lo que hace que las empresas inevitablemente encuentren riesgos de un tipo u otro al implementar el comercio electrónico. Por lo tanto, mientras investigamos el entorno operativo del comercio electrónico y proporcionamos soluciones de seguridad para el comercio electrónico, debemos centrarnos en los problemas de riesgo que enfrenta el sistema de comercio electrónico y en los métodos eficaces de control y gestión de riesgos. La gestión de riesgos de seguridad del comercio electrónico es un método de gestión científica que identifica, mide y analiza los riesgos de seguridad de los sistemas de comercio electrónico y, sobre esta base, logra la mayor seguridad posible al menor costo y gasto. 2 Riesgos de seguridad que enfrenta el comercio electrónico Debido a la complejidad y vulnerabilidad de la red, el desarrollo del comercio electrónico basado en Internet enfrenta serios problemas de seguridad. En términos generales, el comercio electrónico presenta los siguientes riesgos de seguridad: 1) Interceptación y robo de información. Esto significa que los usuarios o personas ajenas relacionadas con el comercio electrónico pueden interceptar y robar mensajes e información de otras personas a través de diversos medios técnicos sin autorización, y obtener secretos comerciales. 2) Manipulación de la información Los atacantes de la red se basan en diversos métodos y medios técnicos para manipular, eliminar o insertar la información transmitida a mitad de camino y enviarla al destino, destruyendo así la integridad de la información. 3) Denegación de servicio La denegación de servicio significa que el sistema de red o el sistema de servicio del servidor falla por completo dentro de un cierto período de tiempo. Las razones principales provienen de ataques de piratas informáticos y virus y daños ideológicos al hardware de las computadoras. 4) Robo de recursos del sistema En entornos de sistemas de red, el robo de recursos del sistema es una amenaza de seguridad común. 5) La suplantación de información significa que cuando un atacante domina los patrones de los datos de información de la red o la información comercial descifrada, puede hacerse pasar por usuarios legítimos o engañar a otros usuarios haciéndose pasar por información. Se manifiesta principalmente como transacciones ilegales, como hacerse pasar por clientes y falsificar correos electrónicos. 6) Denegación de transacción La denegación de transacción incluye que el remitente niegue haber enviado un determinado mensaje posteriormente; que el comprador no lo reconozca después de realizar el pedido y que el vendedor se niegue a reconocer la transacción original por motivos de diferencia de precio; 3 Reglas de gestión de riesgos En vista de los diversos riesgos de seguridad que enfrenta el comercio electrónico, las empresas de comercio electrónico deben tomar medidas activas para mantener la seguridad de los sistemas de comercio electrónico y monitorear nuevas amenazas y vulnerabilidades. Por lo tanto, es necesario formular reglas de gestión de riesgos de seguridad del comercio electrónico completas y eficientes. En términos generales, el proceso de reglamentación de la gestión de riesgos consta de tres etapas: evaluación, formulación, implementación y operación. (1) Etapa de evaluación La tarea principal de esta etapa es realizar una evaluación integral del estado de seguridad del comercio electrónico, la información que debe protegerse y diversos activos, e identificar y analizar algunos riesgos de seguridad básicos. La evaluación del estado de seguridad del comercio electrónico es la base para formular reglas de gestión de riesgos. La evaluación de la información y los activos se refiere a la evaluación del valor de la información y los activos relevantes que pueden sufrir pérdidas para determinar reglas apropiadas de gestión de riesgos y evitar un desfase grave entre los costos de inversión y la información y los activos a proteger. La identificación de riesgos de seguridad requiere descubrir riesgos de seguridad potenciales tanto como sea posible y recopilar información sobre diversas amenazas, vulnerabilidades, desarrollos y contramedidas. El análisis de riesgos de seguridad es el proceso de identificar riesgos, recopilar información y evaluar posibles pérdidas para estimar el nivel de riesgo, de modo que se puedan tomar decisiones informadas y tomar medidas para evitar riesgos de seguridad. (2) Etapa de desarrollo e implementación. Las tareas en esta etapa incluyen la formulación de medidas correctivas de riesgos, la prueba de medidas correctivas de riesgos y el aprendizaje de conocimientos sobre riesgos. El desarrollo de la corrección de riesgos utiliza los resultados de la fase de evaluación para establecer una nueva estrategia de gestión de la seguridad que incluya gestión de la configuración, gestión de parches, supervisión y auditoría del sistema, etc. Una vez que se desarrollan las medidas de remediación de riesgos, se prueban las medidas de remediación de riesgos de seguridad. Durante el proceso de prueba, se evaluará la eficacia de las contramedidas en función del efecto de control de los riesgos de seguridad. (3) Las principales tareas de la fase operativa incluyen la evaluación de nuevos riesgos de seguridad de acuerdo con las nuevas reglas de gestión de riesgos de seguridad. Este proceso es en realidad un proceso de gestión de cambios y un proceso de implementación de la gestión de la configuración de seguridad. La segunda tarea de la fase de operaciones es probar y desplegar la estabilidad de contramedidas nuevas o modificadas. Este proceso lo implementan los equipos de administración de sistemas, administración de seguridad y administración de redes. Las reglas de gestión de riesgos de las tres etapas anteriores se pueden representar en la siguiente figura: Figura 1 Reglas de gestión de riesgos de las tres etapas 4 Pasos de la gestión de riesgos La gestión de riesgos es un proceso de identificación de riesgos, análisis de riesgos y formulación de planes de gestión de riesgos. Los métodos de gestión y control de los riesgos de seguridad del comercio electrónico incluyen la identificación de riesgos, el análisis de riesgos, el control de riesgos y el seguimiento de riesgos. (1) A través de una evaluación sistemática de riesgos, determinar los requisitos de seguridad de los sistemas de comercio electrónico de identificación de riesgos. Para gestionar eficazmente los riesgos de seguridad del comercio electrónico, identificar los riesgos de seguridad es el primer paso en la gestión de riesgos.

La identificación de riesgos consiste en identificar varios riesgos de seguridad que pueden representar una amenaza potencial para el sistema de comercio electrónico sobre la base de la recopilación de información sobre diversas amenazas, vulnerabilidades y contramedidas relacionadas. Hay muchas maneras de identificar riesgos. Para la seguridad de los sistemas de comercio electrónico, el objetivo de la identificación de riesgos es principalmente identificar los riesgos del entorno de red, los riesgos de existencia de datos y los riesgos de pago en línea de los sistemas de comercio electrónico. Cabe señalar que no todos los riesgos de seguridad del comercio electrónico se pueden gestionar mediante la identificación de riesgos. La identificación de riesgos solo puede descubrir riesgos conocidos o riesgos potenciales fácilmente conocidos basados ​​en riesgos conocidos. La mayoría de los riesgos desconocidos deben resolverse o reducirse mediante el análisis y control de riesgos. (2) Análisis de riesgos El análisis de riesgos consiste en utilizar varios métodos cualitativos y cuantitativos, como análisis, comparación y evaluación, para determinar la importancia de varios factores de riesgo en la seguridad del comercio electrónico, clasificar los riesgos y evaluar su posible impacto en todos los aspectos de El sistema de comercio electrónico. Las consecuencias permiten a los implementadores del proyecto del sistema de comercio electrónico centrarse en responder a algunos riesgos de seguridad importantes y controlar eficazmente el riesgo general del sistema de comercio electrónico. El análisis de riesgos es un método para identificar riesgos y evaluar posibles pérdidas, y es la base para formular medidas de seguridad. El objetivo del análisis de riesgos es identificar riesgos, realizar análisis cualitativos y cuantitativos de los riesgos potenciales que pueden causar daños y, en última instancia, buscar equilibrar económicamente las pérdidas por riesgo y los costos de inversión en riesgo. Los principales métodos utilizados actualmente para el análisis de riesgos incluyen: matriz de evaluación de probabilidad/impacto del riesgo, análisis de sensibilidad, simulación, etc. Al analizar los riesgos de seguridad del comercio electrónico, debido a las dificultades prácticas para cuantificar los factores que influyen, podemos utilizar principalmente métodos cualitativos combinados con una pequeña cantidad de métodos cuantitativos para realizar análisis de riesgos de acuerdo con las necesidades reales, proporcionando una base teórica para formular sistemas de gestión de riesgos y control de riesgos. (3) Control de riesgos El control de riesgos es la selección y aplicación de ciertos métodos de control de riesgos para garantizar que los riesgos se reduzcan a un nivel aceptable. El control de riesgos es el eslabón más importante en la gestión de riesgos y un factor clave que determina el éxito o el fracaso de la gestión de riesgos. El objetivo del control de riesgos de seguridad del comercio electrónico es cambiar el nivel de riesgo de los proyectos corporativos de comercio electrónico. En términos generales, existen dos métodos de control de riesgos: el primero son las medidas de control de riesgos, como reducir, evitar, transferir riesgos y gestionar pérdidas. En la gestión de riesgos de seguridad del comercio electrónico, la transferencia de riesgos y la gestión de pérdidas son métodos comúnmente utilizados. La segunda categoría son las medidas financieras de compensación de riesgos, incluidos los seguros y el riesgo propio. En la gestión de riesgos de seguridad del comercio electrónico, los administradores deben tomar decisiones sobre medidas de financiación para la compensación de riesgos, es decir, elegir un seguro o asumir el riesgo ellos mismos. Además, la selección de métodos de control de riesgos debe considerar plenamente el costo de las pérdidas causadas por los riesgos relativos. Por supuesto, no se pueden ignorar otros impactos, como la buena voluntad corporativa. Para la seguridad del comercio electrónico, un método de control de riesgos eficaz y viable es establecer una solución de seguridad completa y eficiente para reducir los riesgos, dominar algunas tecnologías básicas necesarias para garantizar la seguridad y planificar las soluciones que las empresas deben adoptar cuando se produzcan incidentes de seguridad específicos. . 5 Contramedidas de gestión de riesgos Debido a la importancia de la seguridad del comercio electrónico, es muy urgente implementar un conjunto completo y eficaz de contramedidas de gestión de riesgos para la seguridad del comercio electrónico. El propósito de formular contramedidas de gestión de riesgos de seguridad del comercio electrónico es eliminar posibles amenazas y vulnerabilidades de seguridad, reduciendo así los riesgos que enfrenta el entorno del sistema de comercio electrónico. Actualmente, la estrategia de defensa en profundidad es una estrategia comúnmente utilizada en las contramedidas de gestión de riesgos de seguridad del comercio electrónico. La llamada estrategia de defensa en profundidad se refiere a la seguridad profunda y la seguridad multicapa. Al implementar múltiples capas de protección de seguridad, puede garantizar que cuando se viola una capa, las otras capas aún puedan proporcionar la seguridad necesaria para proteger los recursos del sistema de comercio electrónico. Por ejemplo, si se destruye el firewall externo de una unidad, el intruso no puede obtener los datos confidenciales de la unidad ni destruirlos debido al firewall interno. Idealmente, cada capa proporciona diferentes contramedidas para evitar el uso de los mismos métodos de ataque en diferentes capas. La siguiente figura es una estrategia de defensa en profundidad eficaz: Figura 2 Estrategia de defensa en profundidad eficaz La siguiente es una breve descripción de los principales contenidos de defensa de cada capa desde la capa exterior hasta la capa interior: 1) Seguridad física Física La seguridad es el requisito previo para la seguridad de todo el sistema de comercio electrónico. El propósito de formular una estrategia de seguridad física del comercio electrónico es proteger las entidades de hardware y los enlaces de comunicación de los sistemas de comercio electrónico, como los sistemas informáticos y los servidores de comercio electrónico, de los riesgos de seguridad causados ​​por desastres naturales y destrucción provocada por el hombre. 2) La defensa perimetral protege los límites de la red de ataques externos. Los sistemas de comercio electrónico deben instalar algún tipo de equipo de seguridad en la medida de lo posible para proteger cada nodo de acceso de la red. Técnicamente hablando, los firewalls son el medio más importante de defensa del perímetro de la red. El sistema de comercio electrónico debe instalar uno o más firewalls para garantizar que se minimice el riesgo de ataques externos, y la función de detección de intrusiones debe usarse para detectar rápidamente accesos ilegales y ataques desde el exterior. 3) Defensa de la red La defensa de la red consiste en evaluar el entorno del sistema de red y tomar ciertas medidas para resistir los ataques de piratas informáticos para garantizar que esté adecuadamente protegido. En la actualidad, el comportamiento de defensa de la seguridad de la red es un comportamiento de reacción pasiva y la velocidad de desarrollo de la tecnología de defensa no es tan rápida como la de la tecnología de ataque. Para mejorar las capacidades de defensa de la seguridad de la red y permitir que el sistema de protección de la seguridad de la red tome la iniciativa en confrontaciones ofensivas y defensivas, además de herramientas de seguridad pasivas (cortafuegos, escaneo de vulnerabilidades, etc.), medidas de protección de seguridad activa (como trampas de red , análisis forense de intrusiones, detección de intrusiones, recuperación automática, etc.) deben adoptarse en el sistema de protección de seguridad de la red. 4) Defensa del host La defensa del host consiste en evaluar la seguridad de cada host en el sistema y luego formular las contramedidas correspondientes basadas en los resultados de la evaluación para limitar las tareas realizadas por el servidor. En el host y su entorno, los objetos de protección de seguridad incluyen servidores, clientes, sistemas operativos en el entorno de aplicaciones del usuario y sistemas de aplicaciones instalados en ellos. Estas aplicaciones pueden proporcionar servicios que incluyen acceso, almacenamiento, transmisión e introducción de información.