电子商务安全评估与审计.docVIP

电子商务安全评估与审计 　　摘 要：电子商务安全评估在信息安全体系建设中占有重要的地位，是了解系统安全现状、提出安全解决方案、加强信息安全监督管理的有效手段。电子商务安全是动态的过程，并非一劳永逸，随着系统安全状态的动态变化，应定期对系统进行安全评估，不断开发新的安全产品，健全安全法律法规，电子政务安全是立体而非平面的，需要有整体的、多层次的安全策略，既要考虑实体安全、网络安全，又要注意信息安全和管理安全。 　　 关键词：电子商务；安全；评估；标准 　　 中图分类号：F239 文献标志码：A 文章编号：1673-291X（2012）13-0136-02 　　 一、电子商务安全评估概述 　　 1.电子商务安全评估重要性电子商务安全评估是运用系统的方法，对电子商务系统、各种电子商务安全保护措施、管理机制以及结合所产生的客观效果作出是否安全的结论。由于信息技术本身有其固有的敏感性和特殊性，这就使得对企业电子商务产品是否安全，电子商务安全产品及其网络系统是否可靠，企业电子商务系统是否健壮，电子商务管理是否严格，信息风险防范的准备是否充足等方面都成为需要科学评价和证实的问题。电子商务安全系统所保护的是敏感信息，评估必须可靠、可信、可操作，并且能依赖于成熟的信息安全理论、科学的评估方法和完善的标准体系，具有令人信服的科学性和公正性。 　　 2.电子商务安全评估内容。电子商务安全评估的主要内容有环境控制、应用安全、管理机制、远程通信安全、审计机制等五个方面的内容。环境控制分为实体的、操作系统的及管理的三个部分。应用安全包括输出输入控制、系统内部控制、责任划分、输出的用途、程序的敏感性和脆弱性、用户满意度等。管理机制包括规章制度、紧急恢复措施、人事制度（如防止工作人员调入、调离对安全的影响）等。远程通信安全包括加密、数据签名等。 　　 二、电子商务安全 　　 1.电子商务安全需求与隐患。在电子商务中，任何与交易有关的信息都通过网络交换，都有可能会被篡改、窃听、冒名使用或交易后否认。保证电子商务的安全需提供以下安全保护：（1）完整性保护。确保消息内容在传输和处理过程中没有被添加、删除或修改。（2）真实性保护。能对交易者身份进行鉴别，为身份的真实性提供保证。（3）机密性保护。能防止电子商务参与者的信息在存储、处理、传输过程中泄漏给未经授权的人或实体。（4）抗抵赖。抗抵赖就是为交易的双方提供证据，以解决因否认而产生的纠纷。它实际上建立了交易双方的责任机制。 　　 电子商务面临着其系统自身的安全性问题，计算机及通信网络的安全性问题同样会蔓延到电子商务中。归结起来，电子商务中的安全性隐患主要有其应用层、传输层、存储层和系统层等四个方面：（1）系统层安全性漏洞。电子商务系统的运作须以系统层的软硬件为基础，因此系统层的安全性漏洞将直接会造成电子商务中的安全性隐患。（2）存储层的安全漏洞。存储层的安全漏洞包括两个方面的问题：1）意外情况造成的数据破坏。无论多么稳定的系统，意外情况总是不可避免的，电子商务系统也不例外。如果对意外情况造成的损失没有充分的估计和完备的补救措施，那么意外情祝造成的数据破坏是不可避免的。而数据破坏将对整个电子商务系统的稳定性和安全性造成威胁。2）有意人为侵害造成的破坏。电子商务起步不久，安全性措施尚不完善，是网络黑客攻击的焦点。黑客往往利用电子商务系统中的种种安全性漏洞，窃取和破坏系统数据，甚至修改系统，对整个系统的正常运作造成严重危害。因此，一个成功的电子商务系统必须能有效的防止人为侵害。（3）传输层的安全漏洞。传输层的安全漏洞包括传输过程中的数据截获电子商务系统中的数据在传输过程中可能受到截获，传输过程中的数据完整性破坏以及跨平台数据交换引起的数据丢失等三个方面的问题。（4）应用层的安全漏洞。应用层的安全漏洞包括冒充他人身份和抵赖已经做过的交易两个方面的问题。 　　 2.电子商务安全要求与技术。电子商务安全要求主要有以下六点：（1）信息的有效性要求。电子形式贸易信息的有效性则是电子商务活动的前提。电子商务信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。一旦签订交易后，这项交易就应受到保护以防止被篡改或伪造。（2）信息的必威体育官网网址性要求。电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。电子商务是建立在开放的网络环境上，维护商业机密是电子商务全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。（3）信息的完整性要求。电子商务简化了贸易过程，减少了人为的干预，同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸