電子商務(wù)安全風(fēng)險評估模型研究

摘要：安全問題是電子商務(wù)發(fā)展過程中的重要核心問題。文章應(yīng)用信息安全風(fēng)險評估中常用的層次分析法對電子商務(wù)系統(tǒng)的信息流、資金流和物流三大因素所引起的安全風(fēng)險進(jìn)行了層次分析，提出一個較為有效的電子商務(wù)系統(tǒng)安全風(fēng)險評估模型，并對存在于電子商務(wù)活動過程中的風(fēng)險進(jìn)行了定性的評價分析。

關(guān)鍵詞：電子商務(wù)；風(fēng)險評估；模型研究

一、 引言

電子商務(wù)利用EDI和Internet技術(shù)的實現(xiàn)了用戶、企業(yè)和銀行及其他商務(wù)活動相關(guān)要素之間的電子形式的信息交換；完成了電子商務(wù)系統(tǒng)中信息流、物流和資金流的轉(zhuǎn)移。為了促進(jìn)電子商務(wù)應(yīng)用的健康發(fā)展，研究電子商務(wù)中可能存在的安全風(fēng)險并制定相應(yīng)的控制策略是十分重要的。

目前有很多關(guān)于電子商務(wù)安全風(fēng)險研究的文獻(xiàn)，其中有許多模型涉及到信用風(fēng)險或者是交易風(fēng)險的研究，但是直接關(guān)于電子商務(wù)系統(tǒng)安全風(fēng)險評估的研究還不很多。一般關(guān)于電子商務(wù)風(fēng)險評估的研究側(cè)重于網(wǎng)絡(luò)安全方面引起的風(fēng)險，例如信息的完整性和保密性、訪問控制技術(shù)以及安全協(xié)議等方面的研究，也有一些風(fēng)險識別和預(yù)警方面的研究。對電子商務(wù)系統(tǒng)的風(fēng)險評估，多數(shù)還是圍繞信任值（信譽值）的高低來做定性分析，圍繞電子商務(wù)活動過程中的三大要素來評估電子商務(wù)系統(tǒng)風(fēng)險的研究很少。

本文將應(yīng)用信息安全風(fēng)險評估中常用的層次分析法對電子商務(wù)系統(tǒng)的信息流、資金流和物流三大因素所引起的電子商務(wù)系統(tǒng)的安全風(fēng)險進(jìn)行分析，提出一種較為有效的定性風(fēng)險評估方法，對存在于電子商務(wù)系統(tǒng)活動過程中的風(fēng)險進(jìn)行評價和分析。

二、 電子商務(wù)安全風(fēng)險分類分析

電子商務(wù)中的任何一筆交易，都包含著四種基本的“流”，即商流、信息流、資金流、物流。商流是指商品的購、銷之間進(jìn)行交易和商品所有權(quán)轉(zhuǎn)移的運動過程，具體是指商品交易的一系列活動。信息流既包括商品信息的提供、技術(shù)支持、售后服務(wù)等內(nèi)容，也包括諸如詢價單、報價單、付款通知單、轉(zhuǎn)賬通知單等商業(yè)貿(mào)易單證，還包括交易方的支付能力、支付信譽等。資金流主要是指資金的轉(zhuǎn)移過程，包括付款、轉(zhuǎn)帳等過程。物流，作為四流中最為特殊的一種，是指物質(zhì)實體（商品或服務(wù)）的流動過程，具體指運輸、儲存、配送、裝卸、保管、物流信息管理等各種活動。其中，商流是目的，信息流、資金流和物流是交易成功的保障。 因此，電子商務(wù)系統(tǒng)安全風(fēng)險類型可以綜合成信息流安全風(fēng)險、資金流安全風(fēng)險和物流安全風(fēng)險三大類。

1. 信息流安全風(fēng)險。

電子商務(wù)交易過程中涉及交易各方的眾多信息，所有這些信息都存在安全風(fēng)險。信息流風(fēng)險發(fā)生的情況主要有：①被模仿的網(wǎng)站域名；②網(wǎng)站信息內(nèi)容被修改；③顧客隱私及企業(yè)商業(yè)機(jī)密被侵犯；④信息被篡改或破壞；⑤企業(yè)提供虛假信息。

2. 資金流安全風(fēng)險。

資金流是指用戶確認(rèn)購買商品后，將自己的資金轉(zhuǎn)移到商家賬戶上的過程。在電子商務(wù)中，顧客通過瀏覽網(wǎng)頁的方式選購商品或服務(wù)，在選購?fù)瓿珊筻]政在線支付。顧客支付的款項能否安全、及時、方便地到達(dá)商家，關(guān)系到交易的最后成敗。資金流安全風(fēng)險發(fā)生的情況主要表現(xiàn)為：（1）資金賬號、密碼被竊取（2）釣魚網(wǎng)站（3）拒付及拒收（4）硬盤損壞造成電子現(xiàn)金丟失（5）電子貨幣的法律風(fēng)險（由于契約的不完整）。

3. 物流安全風(fēng)險。

物流一直是阻礙我國電子商務(wù)進(jìn)一步高速發(fā)展的極大障礙。物流活動涉及買方、賣方、運輸企業(yè)、倉儲企業(yè)和配送企業(yè)等多個參與方，所以，電子商務(wù)物流安全風(fēng)險相比較更為復(fù)雜。 常見的物流風(fēng)險包括以下六種：①付款后收不到商品；②貨物被損壞；③超過約定物流時間收到商品；④收到的商品與顧客期望不一致；⑤收到虛假商品；⑥物流服務(wù)被拒絕。

三、 應(yīng)用層次分析法評估電子商務(wù)系統(tǒng)的安全風(fēng)險

在研究過程中，為了使問題更加清晰，筆者的文章第二部分對電子商務(wù)安全風(fēng)險因素進(jìn)行了分類，把電子商務(wù)系統(tǒng)三大因素：信息流、資金流和物流做為電子商務(wù)系統(tǒng)安全風(fēng)險評估體系的三個一級指標(biāo)。在二級指標(biāo)的選定上，筆者借鑒前人的研究成果，邀請相關(guān)領(lǐng)域?qū)＜也捎玫聽柗品▽Τ醮未_定的22個指標(biāo)進(jìn)行選擇、修改與合并，最終確定了16個二級指標(biāo)。

1. 建立電子商務(wù)安全風(fēng)險評估的遞階層次結(jié)構(gòu)。

按照層次分析法的步驟，首先，建立如圖1所示的電子商務(wù)系統(tǒng)安全風(fēng)險評價指標(biāo)體系。

2. 構(gòu)造同風(fēng)險因素的兩兩比較判斷矩陣。

根據(jù)指標(biāo)選擇的基本原則，結(jié)合電子商務(wù)系統(tǒng)安全風(fēng)險評價層次，將電子商務(wù)系統(tǒng)安全評價的的指標(biāo)體系分為信息流風(fēng)險、資金流風(fēng)險和物流風(fēng)險三大類，每一類指標(biāo)又包含若干個具體指標(biāo)，如圖1所示。依據(jù)satty的評價指標(biāo)的相對權(quán)重標(biāo)度，通過德爾菲法，構(gòu)造出系統(tǒng)風(fēng)險的判斷矩陣B，C1，C2，C3。準(zhǔn)則層對目標(biāo)層的判斷矩陣為B，子因素對準(zhǔn)則層的判斷矩陣分別為C1，C2，C3。

3. 進(jìn)行層次單排序及一致性檢驗。

記第2層（準(zhǔn)則層）對第1層（目標(biāo)）的權(quán)向量為W（1），經(jīng)計算此判斷矩陣的最大特征根對應(yīng)的特征向量W（1）=（0.163，0.547，0.29）T，最大特征根λ（1）=2.989。由層次分析法可知，該特征向量即為信息流風(fēng)險、資金流風(fēng)險和物流風(fēng)險在電子商務(wù)系統(tǒng)整體風(fēng)險中所占的比重，W（1）即為其權(quán)重向量。對構(gòu)造的判斷矩陣進(jìn)行一致性檢驗，一致性指標(biāo)可根據(jù)CI=（λ-n）/（n-1）公式計算得出。然后，計算得一致性比率CR =CI/RI=0.009<0.1，滿足一致性檢驗。

同理可獲得最下層各風(fēng)險影響因子相對于第2層評價目標(biāo)的權(quán)重系數(shù)及一致性檢驗的結(jié)果。對未通過一致性檢驗的，再與問卷填寫人員進(jìn)一步溝通，適當(dāng)修改和調(diào)整數(shù)值，直到所有判斷矩陣都通過單層一致性檢驗。經(jīng)過計算后得出如表1所示的結(jié)果。

正如表1所示，四個風(fēng)險判斷矩陣均通過了一致性檢驗。

4. 指標(biāo)層相對總目標(biāo)的相對權(quán)重匯總

層次總排序是指每一個判斷矩陣各因素針對目標(biāo)層（最上層）的相對權(quán)重，即計算最下層對目標(biāo)層的組合權(quán)向量。當(dāng)所有的判斷矩陣都滿足相容性條件時，便可根據(jù)層次復(fù)合原理求出組合權(quán)重。

根據(jù)層次復(fù)合原理，求出批指標(biāo)層對總目標(biāo)的綜合權(quán)重并進(jìn)行匯總整理如表2所示。

四、 結(jié)論

利用電子商務(wù)系統(tǒng)的安全風(fēng)險評估模型可以對電子商務(wù)系統(tǒng)的安全問題進(jìn)行量化評估，確認(rèn)其安全等級，然后針對各個系統(tǒng)實施的的具體情況，尋找防范和控制安全風(fēng)險的具體措施和方案。

本文運用了層次分析法對電子商務(wù)系統(tǒng)安全風(fēng)險因素逐個評估，確保制定的風(fēng)險因素管理辦法更具有針對性。如表4所示，就一級指標(biāo)層來看，資金流風(fēng)險遠(yuǎn)高于信息流風(fēng)險和物流風(fēng)險，資金及商品的安全是顧客及企業(yè)最為關(guān)注的因素。但同時也要注意電子商務(wù)安全風(fēng)險管理中電子貨幣的法律風(fēng)險以及拒收和拒付風(fēng)險因素的權(quán)重也占一定的權(quán)重，說明了相應(yīng)的電子商務(wù)安全法律制度的不健全，以及顧客與企業(yè)之間的信任等問題也是電子商務(wù)流通過程中不可忽視的重要因素。

參考文獻(xiàn)：

1. 趙越，黃遵國. 基于層次分析法的信息安全風(fēng)險評估應(yīng)用研究. 保密科學(xué)技術(shù)，2011，（2）： 62-66.

2. 王艷瑋，陳恒. 面向業(yè)務(wù)流程的信息安全風(fēng)險評估方法研究 . 圖書情報工作，2011，（8）： 64-68.

3. 魏建國，張晨鷗. 基于AHP的網(wǎng)絡(luò)銀行交易安全評估模型. 華中農(nóng)業(yè)大學(xué)學(xué)報（社會科學(xué)版），2007，（5）： 90-93.

4. 桂河清.電子商務(wù)流通體系安全風(fēng)險分類研究.江蘇商論，2011，（6）：52-54.

5. 吳潔. 威脅電子商務(wù)安全的因素及實施方案 . 計算機(jī)安全，2010，（9）： 74-76.

作者簡介：王珊君，中央財經(jīng)大學(xué)信息學(xué)院2011級博士生，寧夏財經(jīng)職業(yè)技術(shù)學(xué)院計算機(jī)系副教授；李鍵，中央財經(jīng)大學(xué)商學(xué)院博士生，寧夏大學(xué)人文學(xué)院講師。

收稿日期：2012-12-27。