電子商務的安全評估與審計

摘 要：電子商務安全評估在信息安全體系建設中占有重要的地位，是了解系統安全現狀、提出安全解決方案、加強信息安全監督管理的有效手段。電子商務安全是動態的過程，并非一勞永逸，隨著系統安全狀態的動態變化，應定期對系統進行安全評估，不斷開發新的安全產品，健全安全法律法規，電子政務安全是立體而非平面的，需要有整體的、多層次的安全策略，既要考慮實體安全、網絡安全，又要注意信息安全和管理安全。

關鍵詞：電子商務；安全；評估；標準

中圖分類號：F239 文獻標志碼：A 文章編號：1673-291X（2012）13-0136-02

一、電子商務安全評估概述

1.電子商務安全評估重要性電子商務安全評估是運用系統的方法，對電子商務系統、各種電子商務安全保護措施、管理機制以及結合所產生的客觀效果作出是否安全的結論。由于信息技術本身有其固有的敏感性和特殊性，這就使得對企業電子商務產品是否安全，電子商務安全產品及其網絡系統是否可靠，企業電子商務系統是否健壯，電子商務管理是否嚴格，信息風險防范的準備是否充足等方面都成為需要科學評價和證實的問題。電子商務安全系統所保護的是敏感信息，評估必須可靠、可信、可操作，并且能依賴于成熟的信息安全理論、科學的評估方法和完善的標準體系，具有令人信服的科學性和公正性。

2.電子商務安全評估內容。電子商務安全評估的主要內容有環境控制、應用安全、管理機制、遠程通信安全、審計機制等五個方面的內容。環境控制分為實體的、操作系統的及管理的三個部分。應用安全包括輸出輸入控制、系統內部控制、責任劃分、輸出的用途、程序的敏感性和脆弱性、用戶滿意度等。管理機制包括規章制度、緊急恢復措施、人事制度（如防止工作人員調入、調離對安全的影響）等。遠程通信安全包括加密、數據簽名等。

二、電子商務安全

1.電子商務安全需求與隱患。在電子商務中，任何與交易有關的信息都通過網絡交換，都有可能會被篡改、竊聽、冒名使用或交易后否認。保證電子商務的安全需提供以下安全保護：（1）完整性保護。確保消息內容在傳輸和處理過程中沒有被添加、刪除或修改。（2）真實性保護。能對交易者身份進行鑒別，為身份的真實性提供保證。（3）機密性保護。能防止電子商務參與者的信息在存儲、處理、傳輸過程中泄漏給未經授權的人或實體。（4）抗抵賴?？沟仲嚲褪菫榻灰椎碾p方提供證據，以解決因否認而產生的糾紛。它實際上建立了交易雙方的責任機制。

電子商務面臨著其系統自身的安全性問題，計算機及通信網絡的安全性問題同樣會蔓延到電子商務中。歸結起來，電子商務中的安全性隱患主要有其應用層、傳輸層、存儲層和系統層等四個方面：（1）系統層安全性漏洞。電子商務系統的運作須以系統層的軟硬件為基礎，因此系統層的安全性漏洞將直接會造成電子商務中的安全性隱患。（2）存儲層的安全漏洞。存儲層的安全漏洞包括兩個方面的問題：1）意外情況造成的數據破壞。無論多么穩定的系統，意外情況總是不可避免的，電子商務系統也不例外。如果對意外情況造成的損失沒有充分的估計和完備的補救措施，那么意外情祝造成的數據破壞是不可避免的。而數據破壞將對整個電子商務系統的穩定性和安全性造成威脅。2）有意人為侵害造成的破壞。電子商務起步不久，安全性措施尚不完善，是網絡黑客攻擊的焦點。黑客往往利用電子商務系統中的種種安全性漏洞，竊取和破壞系統數據，甚至修改系統，對整個系統的正常運作造成嚴重危害。因此，一個成功的電子商務系統必須能有效的防止人為侵害。（3）傳輸層的安全漏洞。傳輸層的安全漏洞包括傳輸過程中的數據截獲電子商務系統中的數據在傳輸過程中可能受到截獲，傳輸過程中的數據完整性破壞以及跨平臺數據交換引起的數據丟失等三個方面的問題。（4）應用層的安全漏洞。應用層的安全漏洞包括冒充他人身份和抵賴已經做過的交易兩個方面的問題。

2.電子商務安全要求與技術。電子商務安全要求主要有以下六點：（1）信息的有效性要求。電子形式貿易信息的有效性則是電子商務活動的前提。電子商務信息的有效性將直接關系到個人、企業或國家的經濟利益和聲譽。一旦簽訂交易后，這項交易就應受到保護以防止被篡改或偽造。（2）信息的保密性要求。電子商務作為貿易的一種手段，其信息直接代表著個人、企業或國家的商業機密。電子商務是建立在開放的網絡環境上，維護商業機密是電子商務全面推廣應用的重要保障。因此，要預防非法的信息存取和信息在傳輸過程中被非法竊取。（3）信息的完整性要求。電子商務簡化了貿易過程，減少了人為的干預，同時也帶來維護貿易各方商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為，可能導致貿易各方信息的差異。此外，數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。貿易各方信息的完整性將影響到貿易各方的交易和經營策略，保持貿易各方信息的完整性是電子商務應用的基礎。因此，要預防對信息的隨意生成、修改和刪除，同時要防止數據傳送過程中信息的丟失和重復并保證信息傳送次序的統一。（4）信息的不可抵賴性要求。電子商務可能直接關系到貿易雙方的商業交易，如何確定要進行交易的貿易方正是進行交易所期望的貿易方，這一問題則是保證電子商務順利進行的關鍵。（5）交易身份的真實性要求。交易者身份的真實性是指交易雙方確實是存在的。網上交易的雙方要使交易成功，必須互相信任，確認對方真實，對商家要考慮客戶是否有信譽。（6）系統的可靠性要求。電子商務系統的可靠性是指防止由于計算機失效、程序錯誤、傳輸錯誤、硬件故障、系統軟件錯誤、數據庫出錯、計算機病毒和自然災害所產生的潛在威脅，并加以控制和預防，確保系統安全可靠性。保證計算機系統的安全是保證電子商務系統數據傳輸及電子商務完整性檢查的正確和可靠的根基。

通過使用以下四種電子商務安全密碼技術，可以基本滿足不同的電子商務安全需求。（1）完整性保護技術。完整性保護技術是用于提供消息認證的安全機制。典型的完整性保護技術是消息認證碼是將利用一個帶密鑰的雜湊函數對消息進行計算，產生消息認證碼，并將它附著在消息之后一起傳給接收方，接收方在收到消息后可以重新計算消息認證碼，并將其與接收到的消息認證碼進行比較:如果它們相等，接收方就認為消息沒有被篡改；如果它們不相等，接收方就知道消息在傳輸過程中被篡改了。（2）真實性保護技術。真實性保護技術用來確認某一實體所聲稱的身份，以對抗假冒攻擊。在電子商務中，交易信息通過網絡轉發，可能在傳輸過程有一定的延遲，需要通過數據源鑒別來確認交易信息的真正來源。（3）機密性保護技術。機密性保護技術是為了防止敏感數據泄漏給那些未經授權的實體。（4）抗抵賴技術?？沟仲嚰夹g是為了防止惡意主體事后否認所發生的事實或行為。要解決上述問題，必須在每一事件發生時，留下關于該事件的不可否認證據。當出現糾紛時，可由可信第三方驗證這些留下的證據.這些證據必須具有不可偽造或防篡改的特點。

三、電子商務安全審計

（一）電子商務安全外部審計

外部審計是指審計師對公司電子商務網站的安全工作進行審計，對消費者提供數據安全、商業政策、交易完整、數據隱私等方面的審計。消費者可以通過查詢這些第三方組織的網站進行了解。1998年美國注冊會計師協會（AICPA）先后成立的Elliott委員會和Cohen委員會，可以對電子商務的這方面內容提供鑒證。AICPA對電子商務提供的保證服務主要分為兩個方面：完整性保證系統（Integrity Assurance System）：電子交易中的數據要素是各方同意達成的，并且在數據處理與存儲的過程中保持其完整性，沒有未經授權的修改。安全性保證系統（SecurityAssuranceSystem）：交易雙方的身份驗證以及電子數據沒有未經授權的泄漏。

（二）電子商務安全內部審計

內部審計的作用主要體現在對于電子商務公司內部系統安全和財務風險的管理上，主要包括兩個方面的內容：對電子商務系統的技術審計；對電子商務公司的財務進行審計。

1.技術審計。對電子商務系統進行技術審計的主要內容有三項：（1）紀錄、跟蹤系統的運行狀況。利用審計工具，監視和紀錄系統的活動情況，如紀錄用戶登錄賬號、登錄時間、登錄的終端以及所訪問的文件、存取操作，并放人系統日志中保存在磁盤上，使影響系統安全性的存取以及其他非法操作留下線索，以便審查。（2）檢測各種安全事故。審計工具能檢測和判定對系統的攻擊，如多次使用非法口令登錄系統的嘗試，及時提供報警甚至自動處理，使系統安全管理人員能夠了解系統的運行情況，及時堵住非法入侵者。審計工具還能識別合法用戶的誤操作等。（3）保存、維護和管理審計日志。由于審計日志記錄了審計、跟蹤、檢測各種安全事件的結果，是查找、分析網絡系統安全事件的客觀依據，是重要的系統文檔，必須有可靠的存儲和管理機制。在現代的經濟環境下對電子商務公司的財務進行審計，其審計的職能已經發生了根本性的變化。審計已經從傳統的財務審計過渡到了風險審計與內部控制。因此，運用內部審計可以很好地控制風險的發生。

2.財務審計。對電子商務系統進行財務審計的主要內容有兩項：（1）對電子商務風險設定非財務化監測工具，這種工具可以是數量化的，也可以是非數量化的。比如實時監測服務器訪問者數量，或者使用嗅探器工具網絡監視工具對公司內部網以及國際互聯網出口進行監測。（2）對電子商務風險實行與商業風險并行的另外一套防范方法，但是這種防范措施要與其他風險的防范一起進入風險管理的總的成本與人員控制。

參考文獻：

[1] 劉艷慧.電子商務及其安全性研究與應用[D].天津:天津大學，2008.

[2] 王鐵柱，等.中國電子商務安全性分析與研究[J].河北公安警察職業學院學報，2010，(3).

[3] 戴衛明.中國電子商務風險及其控制研究[J].生產力研究，2010，(9).

[4] 汪軍.電子商務網絡安全體系的設計[J].實驗室研究與探索，2010，(9).[責任編輯 吳明宇]