摘 要：電子商務(wù)安全評估在信息安全體系建設(shè)中占有重要的地位，是了解系統(tǒng)安全現(xiàn)狀、提出安全解決方案、加強(qiáng)信息安全監(jiān)督管理的有效手段。電子商務(wù)安全是動態(tài)的過程，并非一勞永逸，隨著系統(tǒng)安全狀態(tài)的動態(tài)變化，應(yīng)定期對系統(tǒng)進(jìn)行安全評估，不斷開發(fā)新的安全產(chǎn)品，健全安全法律法規(guī)，電子政務(wù)安全是立體而非平面的，需要有整體的、多層次的安全策略，既要考慮實(shí)體安全、網(wǎng)絡(luò)安全，又要注意信息安全和管理安全。

關(guān)鍵詞：電子商務(wù)；安全；評估；標(biāo)準(zhǔn)

中圖分類號：F239 文獻(xiàn)標(biāo)志碼：A 文章編號：1673-291X（2012）13-0136-02

一、電子商務(wù)安全評估概述

1.電子商務(wù)安全評估重要性電子商務(wù)安全評估是運(yùn)用系統(tǒng)的方法，對電子商務(wù)系統(tǒng)、各種電子商務(wù)安全保護(hù)措施、管理機(jī)制以及結(jié)合所產(chǎn)生的客觀效果作出是否安全的結(jié)論。由于信息技術(shù)本身有其固有的敏感性和特殊性，這就使得對企業(yè)電子商務(wù)產(chǎn)品是否安全，電子商務(wù)安全產(chǎn)品及其網(wǎng)絡(luò)系統(tǒng)是否可靠，企業(yè)電子商務(wù)系統(tǒng)是否健壯，電子商務(wù)管理是否嚴(yán)格，信息風(fēng)險防范的準(zhǔn)備是否充足等方面都成為需要科學(xué)評價和證實(shí)的問題。電子商務(wù)安全系統(tǒng)所保護(hù)的是敏感信息，評估必須可靠、可信、可操作，并且能依賴于成熟的信息安全理論、科學(xué)的評估方法和完善的標(biāo)準(zhǔn)體系，具有令人信服的科學(xué)性和公正性。

2.電子商務(wù)安全評估內(nèi)容。電子商務(wù)安全評估的主要內(nèi)容有環(huán)境控制、應(yīng)用安全、管理機(jī)制、遠(yuǎn)程通信安全、審計機(jī)制等五個方面的內(nèi)容。環(huán)境控制分為實(shí)體的、操作系統(tǒng)的及管理的三個部分。應(yīng)用安全包括輸出輸入控制、系統(tǒng)內(nèi)部控制、責(zé)任劃分、輸出的用途、程序的敏感性和脆弱性、用戶滿意度等。管理機(jī)制包括規(guī)章制度、緊急恢復(fù)措施、人事制度（如防止工作人員調(diào)入、調(diào)離對安全的影響）等。遠(yuǎn)程通信安全包括加密、數(shù)據(jù)簽名等。

二、電子商務(wù)安全

1.電子商務(wù)安全需求與隱患。在電子商務(wù)中，任何與交易有關(guān)的信息都通過網(wǎng)絡(luò)交換，都有可能會被篡改、竊聽、冒名使用或交易后否認(rèn)。保證電子商務(wù)的安全需提供以下安全保護(hù)：（1）完整性保護(hù)。確保消息內(nèi)容在傳輸和處理過程中沒有被添加、刪除或修改。（2）真實(shí)性保護(hù)。能對交易者身份進(jìn)行鑒別，為身份的真實(shí)性提供保證。（3）機(jī)密性保護(hù)。能防止電子商務(wù)參與者的信息在存儲、處理、傳輸過程中泄漏給未經(jīng)授權(quán)的人或?qū)嶓w。（4）抗抵賴?？沟仲嚲褪菫榻灰椎碾p方提供證據(jù)，以解決因否認(rèn)而產(chǎn)生的糾紛。它實(shí)際上建立了交易雙方的責(zé)任機(jī)制。

電子商務(wù)面臨著其系統(tǒng)自身的安全性問題，計算機(jī)及通信網(wǎng)絡(luò)的安全性問題同樣會蔓延到電子商務(wù)中。歸結(jié)起來，電子商務(wù)中的安全性隱患主要有其應(yīng)用層、傳輸層、存儲層和系統(tǒng)層等四個方面：（1）系統(tǒng)層安全性漏洞。電子商務(wù)系統(tǒng)的運(yùn)作須以系統(tǒng)層的軟硬件為基礎(chǔ)，因此系統(tǒng)層的安全性漏洞將直接會造成電子商務(wù)中的安全性隱患。（2）存儲層的安全漏洞。存儲層的安全漏洞包括兩個方面的問題：1）意外情況造成的數(shù)據(jù)破壞。無論多么穩(wěn)定的系統(tǒng)，意外情況總是不可避免的，電子商務(wù)系統(tǒng)也不例外。如果對意外情況造成的損失沒有充分的估計和完備的補(bǔ)救措施，那么意外情祝造成的數(shù)據(jù)破壞是不可避免的。而數(shù)據(jù)破壞將對整個電子商務(wù)系統(tǒng)的穩(wěn)定性和安全性造成威脅。2）有意人為侵害造成的破壞。電子商務(wù)起步不久，安全性措施尚不完善，是網(wǎng)絡(luò)黑客攻擊的焦點(diǎn)。黑客往往利用電子商務(wù)系統(tǒng)中的種種安全性漏洞，竊取和破壞系統(tǒng)數(shù)據(jù)，甚至修改系統(tǒng)，對整個系統(tǒng)的正常運(yùn)作造成嚴(yán)重危害。因此，一個成功的電子商務(wù)系統(tǒng)必須能有效的防止人為侵害。（3）傳輸層的安全漏洞。傳輸層的安全漏洞包括傳輸過程中的數(shù)據(jù)截獲電子商務(wù)系統(tǒng)中的數(shù)據(jù)在傳輸過程中可能受到截獲，傳輸過程中的數(shù)據(jù)完整性破壞以及跨平臺數(shù)據(jù)交換引起的數(shù)據(jù)丟失等三個方面的問題。（4）應(yīng)用層的安全漏洞。應(yīng)用層的安全漏洞包括冒充他人身份和抵賴已經(jīng)做過的交易兩個方面的問題。

2.電子商務(wù)安全要求與技術(shù)。電子商務(wù)安全要求主要有以下六點(diǎn)：（1）信息的有效性要求。電子形式貿(mào)易信息的有效性則是電子商務(wù)活動的前提。電子商務(wù)信息的有效性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟(jì)利益和聲譽(yù)。一旦簽訂交易后，這項(xiàng)交易就應(yīng)受到保護(hù)以防止被篡改或偽造。（2）信息的保密性要求。電子商務(wù)作為貿(mào)易的一種手段，其信息直接代表著個人、企業(yè)或國家的商業(yè)機(jī)密。電子商務(wù)是建立在開放的網(wǎng)絡(luò)環(huán)境上，維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此，要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取。（3）信息的完整性要求。電子商務(wù)簡化了貿(mào)易過程，減少了人為的干預(yù)，同時也帶來維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會導(dǎo)致貿(mào)易各方信息的不同。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略，保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。因此，要預(yù)防對信息的隨意生成、修改和刪除，同時要防止數(shù)據(jù)傳送過程中信息的丟失和重復(fù)并保證信息傳送次序的統(tǒng)一。（4）信息的不可抵賴性要求。電子商務(wù)可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易，如何確定要進(jìn)行交易的貿(mào)易方正是進(jìn)行交易所期望的貿(mào)易方，這一問題則是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。（5）交易身份的真實(shí)性要求。交易者身份的真實(shí)性是指交易雙方確實(shí)是存在的。網(wǎng)上交易的雙方要使交易成功，必須互相信任，確認(rèn)對方真實(shí)，對商家要考慮客戶是否有信譽(yù)。（6）系統(tǒng)的可靠性要求。電子商務(wù)系統(tǒng)的可靠性是指防止由于計算機(jī)失效、程序錯誤、傳輸錯誤、硬件故障、系統(tǒng)軟件錯誤、數(shù)據(jù)庫出錯、計算機(jī)病毒和自然災(zāi)害所產(chǎn)生的潛在威脅，并加以控制和預(yù)防，確保系統(tǒng)安全可靠性。保證計算機(jī)系統(tǒng)的安全是保證電子商務(wù)系統(tǒng)數(shù)據(jù)傳輸及電子商務(wù)完整性檢查的正確和可靠的根基。

通過使用以下四種電子商務(wù)安全密碼技術(shù)，可以基本滿足不同的電子商務(wù)安全需求。（1）完整性保護(hù)技術(shù)。完整性保護(hù)技術(shù)是用于提供消息認(rèn)證的安全機(jī)制。典型的完整性保護(hù)技術(shù)是消息認(rèn)證碼是將利用一個帶密鑰的雜湊函數(shù)對消息進(jìn)行計算，產(chǎn)生消息認(rèn)證碼，并將它附著在消息之后一起傳給接收方，接收方在收到消息后可以重新計算消息認(rèn)證碼，并將其與接收到的消息認(rèn)證碼進(jìn)行比較:如果它們相等，接收方就認(rèn)為消息沒有被篡改；如果它們不相等，接收方就知道消息在傳輸過程中被篡改了。（2）真實(shí)性保護(hù)技術(shù)。真實(shí)性保護(hù)技術(shù)用來確認(rèn)某一實(shí)體所聲稱的身份，以對抗假冒攻擊。在電子商務(wù)中，交易信息通過網(wǎng)絡(luò)轉(zhuǎn)發(fā)，可能在傳輸過程有一定的延遲，需要通過數(shù)據(jù)源鑒別來確認(rèn)交易信息的真正來源。（3）機(jī)密性保護(hù)技術(shù)。機(jī)密性保護(hù)技術(shù)是為了防止敏感數(shù)據(jù)泄漏給那些未經(jīng)授權(quán)的實(shí)體。（4）抗抵賴技術(shù)?？沟仲嚰夹g(shù)是為了防止惡意主體事后否認(rèn)所發(fā)生的事實(shí)或行為。要解決上述問題，必須在每一事件發(fā)生時，留下關(guān)于該事件的不可否認(rèn)證據(jù)。當(dāng)出現(xiàn)糾紛時，可由可信第三方驗(yàn)證這些留下的證據(jù).這些證據(jù)必須具有不可偽造或防篡改的特點(diǎn)。

三、電子商務(wù)安全審計

（一）電子商務(wù)安全外部審計

外部審計是指審計師對公司電子商務(wù)網(wǎng)站的安全工作進(jìn)行審計，對消費(fèi)者提供數(shù)據(jù)安全、商業(yè)政策、交易完整、數(shù)據(jù)隱私等方面的審計。消費(fèi)者可以通過查詢這些第三方組織的網(wǎng)站進(jìn)行了解。1998年美國注冊會計師協(xié)會（AICPA）先后成立的Elliott委員會和Cohen委員會，可以對電子商務(wù)的這方面內(nèi)容提供鑒證。AICPA對電子商務(wù)提供的保證服務(wù)主要分為兩個方面：完整性保證系統(tǒng)（Integrity Assurance System）：電子交易中的數(shù)據(jù)要素是各方同意達(dá)成的，并且在數(shù)據(jù)處理與存儲的過程中保持其完整性，沒有未經(jīng)授權(quán)的修改。安全性保證系統(tǒng)（SecurityAssuranceSystem）：交易雙方的身份驗(yàn)證以及電子數(shù)據(jù)沒有未經(jīng)授權(quán)的泄漏。

（二）電子商務(wù)安全內(nèi)部審計

內(nèi)部審計的作用主要體現(xiàn)在對于電子商務(wù)公司內(nèi)部系統(tǒng)安全和財務(wù)風(fēng)險的管理上，主要包括兩個方面的內(nèi)容：對電子商務(wù)系統(tǒng)的技術(shù)審計；對電子商務(wù)公司的財務(wù)進(jìn)行審計。

1.技術(shù)審計。對電子商務(wù)系統(tǒng)進(jìn)行技術(shù)審計的主要內(nèi)容有三項(xiàng)：（1）紀(jì)錄、跟蹤系統(tǒng)的運(yùn)行狀況。利用審計工具，監(jiān)視和紀(jì)錄系統(tǒng)的活動情況，如紀(jì)錄用戶登錄賬號、登錄時間、登錄的終端以及所訪問的文件、存取操作，并放人系統(tǒng)日志中保存在磁盤上，使影響系統(tǒng)安全性的存取以及其他非法操作留下線索，以便審查。（2）檢測各種安全事故。審計工具能檢測和判定對系統(tǒng)的攻擊，如多次使用非法口令登錄系統(tǒng)的嘗試，及時提供報警甚至自動處理，使系統(tǒng)安全管理人員能夠了解系統(tǒng)的運(yùn)行情況，及時堵住非法入侵者。審計工具還能識別合法用戶的誤操作等。（3）保存、維護(hù)和管理審計日志。由于審計日志記錄了審計、跟蹤、檢測各種安全事件的結(jié)果，是查找、分析網(wǎng)絡(luò)系統(tǒng)安全事件的客觀依據(jù)，是重要的系統(tǒng)文檔，必須有可靠的存儲和管理機(jī)制。在現(xiàn)代的經(jīng)濟(jì)環(huán)境下對電子商務(wù)公司的財務(wù)進(jìn)行審計，其審計的職能已經(jīng)發(fā)生了根本性的變化。審計已經(jīng)從傳統(tǒng)的財務(wù)審計過渡到了風(fēng)險審計與內(nèi)部控制。因此，運(yùn)用內(nèi)部審計可以很好地控制風(fēng)險的發(fā)生。

2.財務(wù)審計。對電子商務(wù)系統(tǒng)進(jìn)行財務(wù)審計的主要內(nèi)容有兩項(xiàng)：（1）對電子商務(wù)風(fēng)險設(shè)定非財務(wù)化監(jiān)測工具，這種工具可以是數(shù)量化的，也可以是非數(shù)量化的。比如實(shí)時監(jiān)測服務(wù)器訪問者數(shù)量，或者使用嗅探器工具網(wǎng)絡(luò)監(jiān)視工具對公司內(nèi)部網(wǎng)以及國際互聯(lián)網(wǎng)出口進(jìn)行監(jiān)測。（2）對電子商務(wù)風(fēng)險實(shí)行與商業(yè)風(fēng)險并行的另外一套防范方法，但是這種防范措施要與其他風(fēng)險的防范一起進(jìn)入風(fēng)險管理的總的成本與人員控制。

參考文獻(xiàn)：

[1] 劉艷慧.電子商務(wù)及其安全性研究與應(yīng)用[D].天津:天津大學(xué)，2008.

[2] 王鐵柱，等.中國電子商務(wù)安全性分析與研究[J].河北公安警察職業(yè)學(xué)院學(xué)報，2010，(3).

[3] 戴衛(wèi)明.中國電子商務(wù)風(fēng)險及其控制研究[J].生產(chǎn)力研究，2010，(9).

[4] 汪軍.電子商務(wù)網(wǎng)絡(luò)安全體系的設(shè)計[J].實(shí)驗(yàn)室研究與探索，2010，(9).[責(zé)任編輯 吳明宇]