對企業而言，信息技術是一把雙刃劍，它既可以為企業帶來“效益”，也可能會帶來“風險”。企業不能只看到效益，而忽略其中的風險，只有很好防范風險，才能使效益得以實現。

　　2004 年1 月9 日，全國信息安全保障會議在北京召開。國家也成立了“信息安全風險評估研究組”，主要研究信息安全的宏觀管理和對電子政務安全的管理。2004 年4 月20 日，第四屆“中國信息安全發展趨勢與戰略”高級研討會在京舉辦。從這些活動中，我們可以看出當前國家和各行業對信息安全的重視程度，但針對電子商務企業級的風險防范偏重于技術的比較多，如提出各種安全技術軟件，缺乏從技術到管理的系統性風險防范措施。

　　電子商務企業的風險管理措施有降低風險、轉嫁風險和防范（避免）風險三種。其中降低風險和轉嫁風險屬于反饋控制，防范風險則是前饋控制，電子商務企業的風險應立足于前饋控制。本文在對電子商務風險因素識別的基礎上，從電子商務企業內生風險防范體系、外生風險防范體系和協同防范體系三方面闡述了如何構建電子商務企業的風險防范體系。

　　內生風險防范體系

　　所謂電子商務企業內生風險防范體系是指電子商務企業內部建立的風險防范機構、機制、對策、方法、措施等的綜合。

　　提高風險防范意識

　　對IT 從業人員進行電子商務運作和安全管理的系統而全面的教育，并培養其相關的風險防范意識，給予其更多的培訓及資格認證，從而使其對企業應用電子商務有一個全面和客觀的認識。

　　加強內部管理機制

　　“三分技術、七分管理”的理念不能只停留在理論階段，更重要的是企業應該將其轉化為具體的操作。內部管理機制設計的基本原則是 ：要求發生在系統內的所有行為都是有定義的行為，并且符合程序控制的要求，所有行為的發生都有審計記錄。管理的有效性可以解決許多技術層次解決不了的風險問題。

　　實施風險防范等級管理

　　此點可借鑒我國實施的“信息安全等級保護政策”，對企業來講，風險可以分為重要風險和一般風險，企業應該堅持安全成本與風險相平衡的原則，根據企業的實際需要，抓住重點，力求具體、明確、到位，講究實效。

　　建立主動性安全基礎構架

　　賽門鐵克公司亞太地區副總裁VinceSteckler 在2004 年3 月5 日的亞太安全論壇上作了“在企業范圍內建立主動性安全基礎構架”的演講，主要針對企業提供各種前瞻性措施，通過在企業范圍內實施完善的安全措施，有效識別和管理漏洞，將安全策略與商業戰略結合起來，筑起一道抵御不斷升級的風險威脅的重要防線。

　　外生風險防范體系

　　外生風險防范體系是指對電子商務企業風險起防范作用的相關法律法規、信用、物流和電子支付等社會體系的總和。

　　電子商務安全的法制建設

　　在參考國際《電子商務示范法》的前提下，根據我國的國情，制定一部用以規范電子商務活動的法律或法規，以解決電子商務發展所面臨的法律法規問題。我國電子商務立法的運用范圍，應包括電子合同的效力問題、電子支付及金融管理、稅收與保險、網絡管理與信息安全保護、電子證據與電子簽名的法律認定、政府的強制性措施及審查機制、市場準入規則、知識產權保護、消費者合法權益的保護、司法的國際管轄和國際協助等等。

　　建立電子商務的信用體系環境

　　電子商務交易涉及廠家、商家、網站、銀行、消費者等多方面利益的信用問題，難以孤立地解決，必須建立一個社會信用體系環境。全社會首先要建立一種自己守信用、人人守信用、也相信別人守信用的心態。其次要健全完善信用制度，通過設置合理的運行機制和運行標準，并通過監督機構，保證參與交易各方按期、按質、按量支付貨款和交送貨物。

　　加快物流配送體系的建設

　　一是要逐步開放市場，歡迎國內外的物流公司參與競爭，通過競爭，使我國的物流配送體系日趨完善。二是要重視物流人才培養，除了學校的人才培養外，還要加快物流師職業資格認證的步伐。三是要在物流管理技術化、信息化、柔性化和一體化等方面加強物流管理的創新。完善電子商務的支付手段電子商務交易需要信息流、物流和資金流的同時暢通，因此必須完善電子支付系統，提高銀行電子支付水平，建立一個安全、嚴密、可靠的社會范圍的電子貨幣支付系統，并成立電子商務認證機構，盡快成立統一網上結算中心，并逐步開展與國外客戶的網上結算服務。

　　內外協同防范體系

　　電子商務企業協同防范體系是指需要電子商務企業和外部共同來完成的技術研究、人才培養、協調機制建設和聯盟建立等方面的總和。

　　加強電子商務安全技術的研究

　　有關部門（可以是政府、科研單位、院校和企業聯合）應組織一支精干的安全技術研究隊伍，集中力量盡快解決電子商務的安全技術問題，包括加密技術、防火墻技術、數字簽名技術、報文摘要技術、認證技術、留痕技術等，并能夠隨著計算機和電子商務技術的發展而不斷改進這些技術。應該建立電子商務安全體系結構和具有權威性和公正性的CA 認證機構。此外，還應著手建立相應的國家級的安全控制中心系統，這一系統應包括國際出入口（信息海關）監控、電子交易證書授權、密鑰管理、安全產品評測認證、病毒檢測和防治、系統攻擊與反攻擊等分中心。大力培養電子商務人才，推廣與普及電子商務知識必須加強對電子商務人才的培養、大力推廣與普及有關電子商務的知識，一方面要進一步加強各高校電子商務專業建設，另一方面要進一步推進電子商務師職業資格認證培訓，實施持證上崗制度。

　　建立協調機制

　　這要求企業和各級信息安全保障中心和信息安全行業協會密切配合，互通風險預警信息，從而共同維護電子商務交易的安全性。同時要加強科研單位、院校對風險管理理論的研究和安全企業實踐應用的協調，要把理論和實踐真正地聯系起來，達到理論與實踐的真正結合。

　　風險戰略聯盟建設

　　戰略聯盟不單是在獲取利益、實現市場機會方面發揮著重要作用，在分擔風險、防范風險方面同樣也起著重要作用。在2004 年2 月25 日在舊金山舉行的RSA峰會發布的公告中，美國數家從事電腦安全的公司倡儀組成一個聯盟組織，用以保護企業及基礎網絡設施，共同防范信息風

　　險。該組織被稱為信息安全行業聯盟（CSIA—Cyber Security IndustryAlliance），將與美國國家安全部、國際及美國的標準組織合作，共防信息風險，支持新興的安全標準和規范。

　　電子商務企業內生防范體系的自控、外生防范體系的他律和協同防范體系的聯防，三者缺一不可，并共同對電子商務企業風險起著防范制約作用。只有電子商務企業的風險防范措施得當，加上長久連續的風險防范，才能使電子商務健康快速地發展，并成為未來商務的主流形式，才能使電子商務企業實現相應的效益，提高自己的企業競爭力。

　?。ㄗ髡呦瞪蜿柟I大學電子商務系講師）

　　本文引自：2004.6 期 電子商務世界