电子商务的安全评估与审计

摘 要：电子商务安全评估在信息安全体系建设中占有重要的地位，是了解系统安全现状、提出安全解决方案、加强信息安全监督管理的有效手段。电子商务安全是动态的过程，并非一劳永逸，随着系统安全状态的动态变化，应定期对系统进行安全评估，不断开发新的安全产品，健全安全法律法规，电子政务安全是立体而非平面的，需要有整体的、多层次的安全策略，既要考虑实体安全、网络安全，又要注意信息安全和管理安全。

关键词：电子商务；安全；评估；标准

中图分类号：F239 文献标志码：A 文章编号：1673-291X（2012）13-0136-02

一、电子商务安全评估概述

1.电子商务安全评估重要性电子商务安全评估是运用系统的方法，对电子商务系统、各种电子商务安全保护措施、管理机制以及结合所产生的客观效果作出是否安全的结论。由于信息技术本身有其固有的敏感性和特殊性，这就使得对企业电子商务产品是否安全，电子商务安全产品及其网络系统是否可靠，企业电子商务系统是否健壮，电子商务管理是否严格，信息风险防范的准备是否充足等方面都成为需要科学评价和证实的问题。电子商务安全系统所保护的是敏感信息，评估必须可靠、可信、可操作，并且能依赖于成熟的信息安全理论、科学的评估方法和完善的标准体系，具有令人信服的科学性和公正性。

2.电子商务安全评估内容。电子商务安全评估的主要内容有环境控制、应用安全、管理机制、远程通信安全、审计机制等五个方面的内容。环境控制分为实体的、操作系统的及管理的三个部分。应用安全包括输出输入控制、系统内部控制、责任划分、输出的用途、程序的敏感性和脆弱性、用户满意度等。管理机制包括规章制度、紧急恢复措施、人事制度（如防止工作人员调入、调离对安全的影响）等。远程通信安全包括加密、数据签名等。

二、电子商务安全

1.电子商务安全需求与隐患。在电子商务中，任何与交易有关的信息都通过网络交换，都有可能会被篡改、窃听、冒名使用或交易后否认。保证电子商务的安全需提供以下安全保护：（1）完整性保护。确保消息内容在传输和处理过程中没有被添加、删除或修改。（2）真实性保护。能对交易者身份进行鉴别，为身份的真实性提供保证。（3）机密性保护。能防止电子商务参与者的信息在存储、处理、传输过程中泄漏给未经授权的人或实体。（4）抗抵赖。抗抵赖就是为交易的双方提供证据，以解决因否认而产生的纠纷。它实际上建立了交易双方的责任机制。

电子商务面临着其系统自身的安全性问题，计算机及通信网络的安全性问题同样会蔓延到电子商务中。归结起来，电子商务中的安全患主要有其应用层、传输层、存储层和系统层等四个方面：（1）系统层安全性漏洞。电子商务系统的运作须以系统层的软硬件为基础，因此系统层的安全性漏洞将直接会造成电子商务中的安全患。（2）存储层的安全漏洞。存储层的安全漏洞包括两个方面的问题：1）意外情况造成的数据破坏。无论多么稳定的系统，意外情况总是不可避免的，电子商务系统也不例外。如果对意外情况造成的损失没有充分的估计和完备的补救措施，那么意外情祝造成的数据破坏是不可避免的。而数据破坏将对整个电子商务系统的稳定性和安全性造成威胁。2）有意人为侵害造成的破坏。电子商务起步不久，安全性措施尚不完善，是网络黑客攻击的焦点。黑客往往利用电子商务系统中的种种安全性漏洞，窃取和破坏系统数据，甚至修改系统，对整个系统的正常运作造成严重危害。因此，一个成功的电子商务系统必须能有效的防止人为侵害。（3）传输层的安全漏洞。传输层的安全漏洞包括传输过程中的数据截获电子商务系统中的数据在传输过程中可能受到截获，传输过程中的数据完整性破坏以及跨平台数据交换引起的数据丢失等三个方面的问题。（4）应用层的安全漏洞。应用层的安全漏洞包括冒充他人身份和抵赖已经做过的交易两个方面的问题。

2.电子商务安全要求与技术。电子商务安全要求主要有以下六点：（1）信息的有效性要求。电子形式贸易信息的有效性则是电子商务活动的前提。电子商务信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。一旦签订交易后，这项交易就应受到保护以防止被篡改或伪造。（2）信息的保密性要求。电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。电子商务是建立在开放的网络环境上，维护商业机密是电子商务全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。（3）信息的完整性要求。电子商务简化了贸易过程，减少了人为的干预，同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是电子商务应用的基础。因此，要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。（4）信息的不可抵赖性要求。电子商务可能直接关系到贸易双方的商业交易，如何确定要进行交易的贸易方正是进行交易所期望的贸易方，这一问题则是保证电子商务顺利进行的关键。（5）交易身份的真实性要求。交易者身份的真实性是指交易双方确实是存在的。网上交易的双方要使交易成功，必须互相信任，确认对方真实，对商家要考虑客户是否有信誉。（6）系统的可靠性要求。电子商务系统的可靠性是指防止由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、数据库出错、计算机病毒和自然灾害所产生的潜在威胁，并加以控制和预防，确保系统安全可靠性。保证计算机系统的安全是保证电子商务系统数据传输及电子商务完整性检查的正确和可靠的根基。

通过使用以下四种电子商务安全密码技术，可以基本满足不同的电子商务安全需求。（1）完整性保护技术。完整性保护技术是用于提供消息认证的安全机制。典型的完整性保护技术是消息认证码是将利用一个带密钥的杂凑函数对消息进行计算，产生消息认证码，并将它附着在消息之后一起传给接收方，接收方在收到消息后可以重新计算消息认证码，并将其与接收到的消息认证码进行比较:如果它们相等，接收方就认为消息没有被篡改；如果它们不相等，接收方就知道消息在传输过程中被篡改了。（2）真实性保护技术。真实性保护技术用来确认某一实体所声称的身份，以对抗假冒攻击。在电子商务中，交易信息通过网络转发，可能在传输过程有一定的延迟，需要通过数据源鉴别来确认交易信息的真正来源。（3）机密性保护技术。机密性保护技术是为了防止敏感数据泄漏给那些未经授权的实体。（4）抗抵赖技术。抗抵赖技术是为了防止恶意主体事后否认所发生的事实或行为。要解决上述问题，必须在每一事件发生时，留下关于该事件的不可否认证据。当出现纠纷时，可由可信第三方验证这些留下的证据.这些证据必须具有不可伪造或防篡改的特点。

三、电子商务安全审计

（一）电子商务安全外部审计

外部审计是指审计师对公司电子商务网站的安全工作进行审计，对消费者提供数据安全、商业政策、交易完整、数据隐私等方面的审计。消费者可以通过查询这些第三方组织的网站进行了解。1998年美国注册会计师协会（AICPA）先后成立的Elliott委员会和Cohen委员会，可以对电子商务的这方面内容提供鉴证。AICPA对电子商务提供的保证服务主要分为两个方面：完整性保证系统（Integrity Assurance System）：电子交易中的数据要素是各方同意达成的，并且在数据处理与存储的过程中保持其完整性，没有未经授权的修改。安全性保证系统（SecurityAssuranceSystem）：交易双方的身份验证以及电子数据没有未经授权的泄漏。

（二）电子商务安全内部审计

内部审计的作用主要体现在对于电子商务公司内部系统安全和财务风险的管理上，主要包括两个方面的内容：对电子商务系统的技术审计；对电子商务公司的财务进行审计。

1.技术审计。对电子商务系统进行技术审计的主要内容有三项：（1）纪录、跟踪系统的运行状况。利用审计工具，监视和纪录系统的活动情况，如纪录用户登录账号、登录时间、登录的终端以及所访问的文件、存取操作，并放人系统日志中保存在磁盘上，使影响系统安全性的存取以及其他非法操作留下线索，以便审查。（2）检测各种安全事故。审计工具能检测和判定对系统的攻击，如多次使用非法口令登录系统的尝试，及时提供报警甚至自动处理，使系统安全管理人员能够了解系统的运行情况，及时堵住非法入侵者。审计工具还能识别合法用户的误操作等。（3）保存、维护和管理审计日志。由于审计日志记录了审计、跟踪、检测各种安全事件的结果，是查找、分析网络系统安全事件的客观依据，是重要的系统文档，必须有可靠的存储和管理机制。在现代的经济环境下对电子商务公司的财务进行审计，其审计的职能已经发生了根本性的变化。审计已经从传统的财务审计过渡到了风险审计与内部控制。因此，运用内部审计可以很好地控制风险的发生。

2.财务审计。对电子商务系统进行财务审计的主要内容有两项：（1）对电子商务风险设定非财务化监测工具，这种工具可以是数量化的，也可以是非数量化的。比如实时监测服务器访问者数量，或者使用嗅探器工具网络监视工具对公司内部网以及国际互联网出口进行监测。（2）对电子商务风险实行与商业风险并行的另外一套防范方法，但是这种防范措施要与其他风险的防范一起进入风险管理的总的成本与人员控制。

参考文献：

[1] 刘艳慧.电子商务及其安全性研究与应用[D].天津:天津大学，2008.

[2] 王铁柱，等.中国电子商务安全性分析与研究[J].河北公安警察职业学院学报，2010，(3).

[3] 戴卫明.中国电子商务风险及其控制研究[J].生产力研究，2010，(9).

[4] 汪军.电子商务网络安全体系的设计[J].实验室研究与探索，2010，(9).[责任编辑 吴明宇]