电子商务的风险管理与审计对策研究正文.doc

一、我国电子商务的发展现状及其存在的风险（一）电子商务的定义 电子商务分为广义和狭义两种，狭义的电子商务（Electronic-commerce）指电子交易，侧重商务活动中的交易行为；广义的电子商务（Electronic-business）则是包括电子交易在内的利用网络进行的全部商业活动。它涵盖了企业内部的生产、管理、营销、财务，以及企业间的商务活动等。 李大军.电子商务M.清华大学出版社,2003：7-8.关于电子商务的定义，国内外的学者和专家提出的见解既有区别又有相似之处。总的来说，笔者将其归纳为是运用计算机软件、硬件设备和Internet，通过一定的协议连接起来的电子网络环境进行的各项商务活动。因此，电子商务是利用各种电子工具和电子技术从事各种商务活动的过程，目的是要实现企业乃至全社会高效率、低成本的运作。（二）我国电子商务的发展现状及特点 从1998年3月我国第一笔互连网网上的成功交易起，电子商务已经在我国走过了近十年的发展历程。2005年，我国电子商务交易额达到7400亿元，比2004年同期增长了542%。2004年到2006年，电子支付市场每年以高于30%的速度增长。 郑云成.2005-2006年中国电子商务市场及投资机会年度研究报告EB/OL.:IT专家网，2006-08-31.国内一家知名的市场研究和管理咨询机构的报告 赵国栋.中国电子商务市场进入成长期EB/OL.:北方网IT浪潮,2006-05-16.显示：经过10年的发展，中国的电子商务软硬件环境均得到了明显的改善。网络基础设施更加完善、宽带普及率极大提高，网民数量剧增，行业、企业、个人的电子商务意识和应用日益提高，政府加紧出台相应的法律法规，电子商务市场稳定增长。目前我国电子商务的发展呈现以下特点：1发展理念改变。纵观中国电子商务十多年来的发展历程，经历了从疯狂到迷茫再到理智的过程，全行业内部正在悄然的发生变化。许多企业改变原有的发展理念，开始了新的商业模式的探索，从注意力经济向购买力经济转变。2网站建设发展迅速。近几年来，不仅许多传统行业和知名企业纷纷开始涉足电子商务，建设属于本行业和本企业十分具有特色的网站，不少规模不大的中小企业也相继建立了自己的网站，通过电子商务这条最新的渠道发展业务，网站数量增长迅速，极大地方便了人民群众的日常生活。3五个“金字”工程是中国电子商务发展的重要基础。由于意识到电子商务的高效率，低成本对增强企业竞争力和发展国民经济的推动作用，中国政府从1997年开始相继实施了“金桥”（国家共用信息通信网）、“金卡”（国家金融自动化支付系统及电子货币）、“金关”（外贸业务处理和进出口报关自动化系统）、“金税”（全国增值税专用发票计算机稽核网络系统）以及“金贸”（实施中国电子商务应用的大型工程）等五个“金字”工程，这些工程涉及多个经济领域，形成了我国电子商务的物质基础与技术保障。（三）电子商务存在的风险电子商务这种新型的交易方式，在给企业带来效益，给消费者带来便捷的同时，由于其自身的发展受到社会、经济、技术等各方面环境的制约面临着各种风险的事实是客观存在的。笔者将这些风险归纳为以下几个方面：1安全风险。由于电子商务主要通过网络进行商务活动，因此来自互联网上的黑客的攻击、病毒的侵扰无疑会给电子商务活动增加许多不定的风险。如，未经授权运用各种技术手段窃取篡改他人信息，假冒合法用户发送虚假信息，因为黑客或病毒的攻击造成网络系统无法正常运行等等。全球著名的雅虎等5家大网站曾连续受到黑客的攻击，迫使网站停止服务许多个小时，使企业受到了巨大的损失。2系统风险。系统风险也称为不可分散风险，这种风险不是企业自身能够控制的，而是受企业外部环境所制约的。政治因素、经济形势、社会发展、网络环境变化都是影响电子商务发展的系统风险。3管理风险。在电子商务环境下，电子储存介质代替了传统的纸质工具，客户的订单，企业的发货单、发票、电子货币或收付款凭证等以电磁信息的形式在网上传递。信息的修改和删除变得毫无痕迹，给管理带来了新的难度。全部业务流程通过计算机程序加以实施，增加了企业内部控制的复杂性。另外加上网络管理人员业务素质不高，安全警惕性差，信息的延迟传递，管理制度的缺失或是制度执行的不力，从而产生管理风险。4信用风险。电子商务是以网络为媒介的交易手段，交易过程的虚拟性是形成信用风险的主要原因。据调查，在不愿意选择网上购物方式的消费者中，绝大部分是因为对网上物品的质量和付款方式有所质疑。另一方面，站在卖方角度上看，的确也存有在提供货物或定单以后客户不付款的风险。二、研究文献回顾对于电子商务的风险管理，国内学者孙宝文、李辉 孙宝文、李辉.电子商务的风险管理与审计研究J.中央财经大学学报,2003(5):78-79.提出引入全面风险管理的概念。全面风险管理（Enterprise-wide Risk Management），即公司整体风险管理，是公司用以评估控制、利用、应对、监控所有那些可能影响公司相关方的长短期价值的风险流程。他们认为目前的电子商务风险管理应包括以下几个方面：一是公司信息系统安全漏洞的识别与评估。安全漏洞既包括信息系统中硬件与软件设备的安全漏洞，也包括公司组织制度上的漏洞。它们的识别一般需要聘请专门的安全专家对公司的系统做出全面的调查，并做出对目前系统的改进建议。二是文化管理。即对于人的因素的控制，需要建立经过周密研究、表达明确，并且得到最高管理层支持的政策与程序。三是灾害恢复计划。灾害指的是自然灾害以及其他对公司的整个信息系统造成全面破坏的事件。灾害恢复计划包括备用主机，服务器的设置以及数据库的每日备份等。余晖 余晖.电子商务与风险管理J.科技情报开发与经济,2003(12):34-35.则认为对电子商务产生的风险进行识别、预测、评价的基础之上，优化各种风险处理技术，以一定的风险管理成本达到有效的控制和处理风险的目的。电子商务的风险管理过程包括：第一，风险识别。既识别整个项目过程中可能存在的风险。企业必须结合自身的特点，根据电子商务的性质，从潜在的事件及产生的后果和潜在的后果及其产生的原因来检查风险，收集、整理电子商务可能的风险并充分征求各方意见形成项目的风险列表。第二，风险分析。风险分析的目的是确定每种风险对企业影响的大小，对已识别出来的电子商务风险进行量化估计。第三，风险应对。根据风险性质和企业对风险的承受能力制定相应的防范计划，即风险应对。第四，风险监控。在制定了风险防范计划之后，风险并非不存在，反而有可能会增大或衰退。因此，在实施过程中，需要时刻关注风险的发展变化情况，并确定随着风险消失而带来的新风险。对于电子商务的风险管理杨琴和李卫红 杨琴、李卫红.电子商务环境中基于风险的信息系统审计J.情报探索,2005(4):52-53.提出对信息系统进行较强的控制以减少风险。这种观点认为信息系统审计人员在系统开发过程要发挥重要的作用，并且制定或发布相应的政策来支持审计人员尽早参与信息系统开发，以便在系统开发的早期就进行风险管理，帮助组织建立健全控制制度，调整现有的管理架构和流程，减少组织的损失。目前，国际上对于系统审计较为权威的标准是COBIT（Control Objectives for Information and Related Technology）标准，即信息及相关技术控制目标。该标准由信息系统审计与控制协会（Information System Audit and Control Association,缩写为ISACA）的IT治理学会开发和推广，对信息系统控制与审计有很好的指导作用。 陈婉玲、袁若宾. COBIT及其在信息系统控制与审计中的应用J.审计研究,2006增刊:96.COBIT第三版由六部分组成：执行概要，框架，执行工具集，管理指南，控制目标和审计指南。其中审计指南为信息系统审计师对信息系统的控制进行了解，评估和实施审计提供了建议和指导。这一部分不仅给出了IT审计的一般方法和要求，而且根据COBIT的框架，针对信息系统34个高层次控制目标建议了相应的审计步骤，为信息系统审计师具体检验和评价整个IT过程是否符合318个具体控制目标给出了详细的审计指南，并指出了各控制目标未达时会带来的风险及改进控制的建议，信息系统审计按照信息系统生命周期的不同阶段，也分为系统规划与组织过程的审计。系统获取和实施过程的审计、系统交付与支持过程的审计、系统监控过程的审计。在信息系统审计中，可借助COBIT的“控制目标汇总表”确定各个IT过程的具体审计目标。COBIT不仅可确定每一IT过程的具体审计目标，而且其审计指南建议了每一IT过程具体的审计步骤，并对如何开展审计测试提供了操作规范和方法。国内学者卫剑 卫剑.论ERP系统的系统审计策略J.审计研究,2006增刊:22-24.也认为COBIT对于信息系统审计有十分重要的作用：首先，从管理的角度审视系统审计。COBIT的思想关键在于将信息系统审计与企业自身的管理体制联系在一起，从企业管理的视角来进行信息系统审计，更重要的是将信息系统的管理视为企业管理的一个重要组成部分。其次，用系统的评估指标指导系统审计，COBIT为系统审计提供了较为系统的评估指标，将COBIT评估体系中每一个处理过程所涉及详细控制目标与企业实现实际的管理运作进行比对，评估是否达到详细控制目标的要求，如果达到进行下一个详细控制目标的比对；如果未达到，则与企业协商解决以达到要求。第三，用有效的科学手段支持系统审计，COBIT为系统审计提供了较为有效的科学手段，如控制矩阵、管理明确诊断表、风险评估表等。这些方法都能够支持系统审计的执行和完成。另外，孙宝文和李辉 孙宝文、李辉.电子商务的风险管理与审计研究J.中央财经大学学报,2003(5):79-80.还提出，从外部审计与内部审计两个角度发挥控制电子商务风险的作用。美国注册会计师协会（AICPA）能够对电子商务提供两个方面的保证服务，一是完整性保证系统，保证在数据处理与储存的过程中保持其完整性，没有未经授权的修改。二是安全性保证系统，保证交易双方的身份验证以及电子数据没有未经授权的泄漏，外部审计师通过考察电子商务网站提供网络标识的方法加以确认，消费者可以根据这些标识了解该网站通过了哪些认证，并且通过查询这些第三方组织网站明确该标识的获得要求满足数据安全、商业政策、交易完整性、数据隐私等方面的条件。外部审计师对电子商务开展的新业务与其传统的财务报表审计业务具有完全一样的性质。内部审计的作用主要体现在公司的全面风险管理上，目前审计的职能已经发生了根本性的变化，从传统的财务审计过度到了风险审计与内部控制。西方一些大的公司已将风险控制职能放在审计部门，组成审计与内部控制委员会。电子商务的发展必然会进一步扩大内部审计的职能范围，将对电子商务的风险管理纳入其职责范围。由审计与内部控制委员会的主管兼任首席风险主管，将两个职能合二为一，这种结构将更适于将电子商务风险纳入全面风险管理的要求，更便于进行包含了电子商务风险的VaR的计算与风险监控。三、电子商务的风险管理所谓风险是指能够影响目标实现的不确定因素。消极负面的因素会使目标难以实现，而积极的因素则能促使目标的达成。正因为风险的不确定性，所以要对风险实施管理，有效的风险管理能够根据信息资源对于组织的价值，识别、评价组织的信息资源面临的危险，从而采取适当的措施将风险降低到可接受的水平。一般来说，风险管理包括以下几个阶段：（一）风险分析范围的确定 确定风险分析的范围是风险管理的第一个步骤，一旦确定了范围，风险管理的目的就更为明确也更有效率。电子商务风险存在的范围主要是对网络系统形成威胁的各种因素，但这是一种宽泛的说法，在确定具体范围的时候应该更加详细。如事先划分好存在威胁的风险的种类，是来自系统内部还是系统外部；实施系统保护的范围，确定是哪个层级或部门的系统可能遭遇风险等等，以最大程度的降低风险。（二）风险识别 电子商务风险的识别首先要了解在电子商务活动过程中起关键作用的因素，然后再查找和定位风险，确定风险的来源。电子商务网络系统中未保护的文件或数据存储，无效的监控机制等安全风险暴露了系统固有的脆弱性，而电子商务的系统风险又对整个信息资源构成威胁。脆弱性是系统内部的薄弱点，威胁则是系统的外部环境所带来的威胁，威胁可以通过脆弱性而发挥作用。这样看来识别出电子商务的安全风险就变得尤为重要。（三）风险评估风险评估的目的是对识别出的风险因素做一个总体的认识，掌握各种风险发生的概率以及损失额度。卫成业 卫成业.信息安全风险评估模型J.网络安全技术与应用,2002(4):12.提出对风险进行量化分析，认为风险的评估受到资产、威胁和漏洞三方面的影响，并给出了一个公式：风险=资产威胁漏洞但是卫成业总体上只是从安全风险的构成要素方面进行阐述，并没有再进一步的对信息资产的风险做一个细分，笔者提出一个关于企业的信息资产的风险的公式：企业的信息资产的风险=信息资产的综合价值信息资产所受的威胁信息资产存在的漏洞笔者在此基础上对企业的信息资产、威胁和漏洞进行了细分，并考察了各类信息资产在企业营运与交易的过程中对威胁和漏洞的敏感程度，提出了分析企业信息资产风险的定量方法。BS7799（信息安全国际标准）列出了常见的信息资产有：1数据与文档：数据库和数据文件、系统文件、用户手册、培训材料、运行与支持程序、业务持续性计划、应急安排。2书面文件：合同、指南、企业文件、包含重要业务结果的文件。3软件资产：应用软件、系统软件、开发工具和使用程序。4物理资产：计算机、通讯设备、磁介质（磁盘与磁带），其它技术设备（供电设备、空调设备）、家具、办公场所。5人员：员工、客户。6企业形象与声誉。7服务：计算和通讯服务，其它技术服务（供热、照明、电力、空调）。笔者从审计要素的视角出发提出将信息资产划分为数据、软件、硬件、人员等部分。其中，数据包括涉及资金数据、涉及控制数据、其他数据；软件包括应用软件、专用软件、支持软件；硬件包括数据存储设备、计算设备、其他设备；人员包括专业人员、操作人员、管理人员。如表1所示。表1 信息资产分类表数据涉 及 资 金 数 据涉 及 控 制 数 据其 他 数 据软件应 用 软 件专 用 软 件支 持 软 件硬件数 据 存 储 设 备计 算 设 备其 他 设 备人员专 业 人 员操 作 人 员管 理 人 员虽然对于系统中的信息资产目前还没有一个公认的分类标准，但从加强资产管理，降低企业风险的角度出发，笔者认为还是有必要将这类资产做一个细分，以便于有重点地进行管理。1按照信息资产的购置成本划分企业各项资产的购置均需付出一定的成本，资产价值额高的理应进行重点保护和管理，因为一旦遭到破坏，构成的损失也将是最大的。比如软件资产、物理资产与桌椅等低值易耗品相比，对软件和物理资产的管理当然比对桌椅的管理来得重要得多。另外，企业的人员和企业形象声誉虽不像其它资产那样明码标价，但对企业来说是一种无形的资产，因此在管理上的重要性程度也是非同一般。2按照信息资产的重要性水平划分余立新提出根据资产在安全三个属性中的重要性程度分别赋值，即机密性赋值、完整性赋值、可用性赋值。 余立新.关于资产风险度赋值中一些概念问题的探讨J.信息安全与通信保密，2007(1)：46赋值1、2、3、4、5分别对应识别很低、低、中等、高、很高。假设：A、B、C分别为资产的机密性、完整性、可用性集合，则资产重要性价值集合a=A+B=C，最后综合评出资产重要性等级。笔者认为按照重要性水平划分相对于按照价值额划分更有意义，因为资产的重要性水平体现在对业务目标的贡献上。例如，网络中的2台主机购置成本相等，都被识别为高风险，如果评估限于价值额，那么这2台主机的评估结果是相同的。但是，在组织结构上这2台主机是不同的：1台是重要的Web服务器，而另1台则是较少使用的测试服务器。由于2台主机执行的任务不同，对于拒绝服务来说，Web服务器应该具有更高级别的风险。3按照信息资产相互依赖关系划分余立新的资产重要性水平分类方法有其独到之处，但各项信息资产并不是孤立存在的，只有相互之间的有机结合和协同工作才能实现业务的整体目标，也就是说它们之间存在着必然的依赖关系。既然重要性水平高的资产在整个业务的实现过程中有着举足轻重的作用，那么这类资产能够发挥作用所依赖的其它资产自然应该受到足够的重视。如计算机承载软件的运行、软件承载数据的处理、电力又承载计算机的工作等等，这种依赖关系表达了资产重要程度或影响程度的传递关系，是资产对业务目标的贡献途径。因此在进行资产分类的时候，如果把存在依赖关系的资产看成一个整体进行有效的管理，将有助于更好的规避风险。一旦把它们割裂开来，不仅不利于资产的管理，而且也难以全面地评估风险。将资产按照三种分类标准，分别进行赋值，如表2所示。由于所处的角度不同得出的结论也会大相径庭。企业应该根据自身业务活动的特点，选择最适合自身发展的分类标准有重点的评估风险保护资产。表2 信息资产权重表信息资产种类购置成本重要性水平相互依赖关系HMLHMLHML数据涉及资金数据涉及控制数据其他数据软件应用软件专用软件支持软件硬件数据存储设备计算设备其他设备人员专业人员操作人员管理人员注：表中H、M、L代表高、中、低。威胁是可能对资产或组织造成损害的可能性因素和事件。一项资产可能面临多个威胁，一个威胁也可能对不同的资产造成影响，威胁通过漏洞发生，又利用资产起作用。系统常见的威胁包括：未授权的访问、拒绝服务、系统故障、病毒木马、自然灾害等。以下有两个对威胁进行分类的标准：1按照威胁的来源分威胁按照来源来划分，可以分为：(1)人员造成的威胁，人员包括内部人员和外部人员，内部员工的工作疏忽和外部人员的非法访问以及黑客攻击等都对系统构成威胁。(2)环境造成的威胁，这里的环境既可以指自然环境，如自然灾害，也可以指社会经济政治环境对企业的影响。(3)资产本身的威胁，如设备故障等。威胁按照来源来划分的好处是，可以将威胁依据这种标准分配到不同的部门进行控制，分工明确有助于各司其职，提高风险管理的效率达到更好的效果。2按照威胁的性质分上面已经提到威胁之所以能够产生，是因为企业内部或系统中有漏洞的存在。每个漏洞对系统的威胁程度和等级有很大的不同，有的威胁只要多加防范，就可以消除，但有的威胁不能消除，只能采取降低威胁程度的策略。所以要区别对待各种威胁，对能够消除的威胁要彻底消除，不能消除的威胁也要加强控制。笔者试图对信息资产受到各种威胁的可能性进行赋值，如表3所示。表3 信息资产威胁权重表信息资产的种类威胁的来源威胁的性质人员环境资产本身不可消除BMSBMSBMSBMS数据涉及资金数据涉及控制数据其他数据软件应用软件专用软件支持软件硬件数据存储设备计算设备其他设备人员专业人员操作人员管理人员注：表中B、M、S代表大、中、小。系统中的设计、流程的实现和内部控制中的缺陷或薄弱环节称为漏洞，漏洞可能被有意或无意的利用，对系统构成威胁，导致对安全性的破坏。对漏洞的分类有多种提法，比较特别的是Landwehr等人较早提出了一种多维漏洞分类方法。 马欣、张玉清、顾新、冯涛.一种面向响应网络安全事件分类方法J计算机工程，2004（11）：104这种方法将漏洞从来源、产生的时间和存在的位置3个角度进行详细的分类，目的在于建立更加安全的软件系统。Landwehr的三维漏洞分类具体形式如图1所示。漏洞分类引入时间漏洞来源维护软件应用软件操作系统无恶意恶意漏洞位置硬件软件维护期间按运行期间按开发期间有意无意图1 漏洞的三维分类模型Landwehr的三维分类方法为人们提供了一个新的思路，即从多角度了解事物属性的重要性，这与以前单调的一维分析模式解然不同。尽管如此这种分类方法还是有不尽如人意的地方，它的概念上存在交叉和模糊现象，比如以漏洞来源分为无意和有意中的无恶意就明显界定不清。而且在标准的选择上也显得有些直观和简单，操作性不强。鉴于多维分类模型的复杂性和难以操作性，笔者还是倾向于平面的分类模型，例如：漏洞根据攻击方式分为本地攻击和远程攻击，本地攻击的攻击者是系统本地的合法用户或通过非法手段获得本地权限的用户，远程攻击的攻击者通过网络上连接的任意一台机器实施攻击；根据形成的主要原因细分到各个层次各个阶段；根据危害程度分为几种不同的等级，需要有区别的加以控制等等。这些一维的分类方法，虽然不如多维模型来得立体，但是却更容易运用到实际工作中去。不同的威胁利用漏洞可能给信息资产带来各种不利的影响，笔者下面将举例说明，并对这些影响进行赋值。如表4所示。表4 信息资产漏洞权重表信息资产的种类影响级别描述（举例）数据涉及资金数据H资金数据资料被修改涉及控制数据H控制权限被盗用其他数据L对情况缺乏正确的认识导致数据不真实软件应用软件H应用软件与支持软件不兼容专用软件M防火墙单一的检测手段对复杂多变的入侵攻击手段不能进行有效的监测支持软件H黑客攻击致使系统瘫痪硬件数据存储设备H数据存储设备遭到破坏造成文件丢失计算设备H意外的灾难造成设备损毁使工作不能正常进行其他设备M供电供水等设备故障人员专业人员H有意篡改数据追求个人不正当的利益操作人员M工作中的疏忽管理人员H计算机技术水平不高影响管理成效注：表中H、M、L代表高、中、低。当然风险管理并不只是风险的事中和事后管理，风险的事前管理更有助于企业提高效益，降低成本。对电子商务交易活动来说，建立完善有效的风险预测系统和防范体系，将开展电子商务的预期目标与实际运行结果之间的差距视为风险，进行仔细的分析找出差距存在的原因，是十分可行的风险管理方案之一。四、电子商务风险控制的审计研究随着Internet 的普及与发展，电子商务已成为必然的趋势。企业只要在Internet的一个结点上租用一定的空间，经过数字认证机构的认证，即可在网上开展日常的业务。电子商务大大改变了企业的交易模式，为企业开辟了更为广阔的市场。同时因为电子商务网络经营的特殊性，所以在网络条件下要建立许多新的安全控制，审计则成为控制电子商务风险的一个重要的手段。（一）信息系统审计的内容现代信息系统审计的目标已从运用计算机进行审计的层面上升到一个更高的层次，即对信息系统的安全进行审计。信息系统审计师在对信息的合法性、公允性进行审计的同时，还要对信息系统的软件、硬件，以及整个信息系统的安全性、稳定性，内部控制的有效性进行审计，以此来评价企业内部控制的薄弱环节，提高信息系统的可靠性，预防和控制信息系统各种风险的发生。信息系统审计业务包括硬件及环境审计、系统管理审计、应用软件审计、网络安全审计、商业连续性审计、数据完整性审计，所有这些审计业务完成以后才可以向管理层提供对系统的清楚评估。目前，信息系统审计主要以ISACA（国际信息系统审计与控制协会）发布的信息系统审计准则为依据，该准则体系由基本准则、审计指南和作业程序三个层次组成，以基本准则为核心。审计指南是依据审计准则制定的，它详细规定了信息系统审计师执行各项审计业务、出具审计报告的具体指南，为审计师在执行审计业务中如何遵守审计准则提供指导。作业程序为审计师提供了一般审计业务的程序和步骤，不要求强制执行。信息系统审计既要实现对被审单位信息资产的安全性及系统数据的合法性，完整性的外部审计的鉴证目标，又要达到保证组织价值增值的内部审计的管理目标。一个完整的审计监控系统应具备以下几个功能：1网上登陆系统的审计管理。该功能将对网上登陆系统实施监控，对于非法访问者登陆进行阻断。2文件访问的审计监控。用户每次登陆后访问的具体内容，系统将予以保存记录，用于日后的审计查询。3主机服务审计。根据网络上传输的数据确定计算机开放的服务端口，对某些主机突然开发陌生的服务端口进行报警。4允许用户自定义的设置。用户在设定某些规则的时候可以选择采用哪种响应措施。5进程的审计与监控。进程是黑客进攻计算机的必经之路，对进程进行审计和监控能够有效的防范风险，保证安全，也能为分析、判断提供线索。6系统程序控制功能恰当性和有效性的审计。系统的应用程序极易被篡改并且不留下任何痕迹，在网络环境下，系统信息的可靠性除了受系统的功能影响外，还受制于系统的操作和内部控制，为确保系统的安全可靠和系统输出信息的真实正确，必须对企业内部控制的完整性和有效性进行审计。（二）电子商务的安全审计电子商务审计作为信息系统审计的一个重要的组成部分，除了具有信息系统审计的共性之外，还有其自身的特点。如前文所述，电子商务存在着多重风险，本文将从控制电子商务的安全风险的角度进行研究，即研究电子商务的安全审计。安全审计是根据一定的安全策略，通过记录和分析历史操作时间及数据，发现能够改进系统性能和系统安全的地方。通过对安全事件的不断收集和积累，并加以分析，能有选择性和针对性地对其中的对象进行审计跟踪，以保证系统的安全。 苏菡.电子商务的风险管理与控制J.教育财会研究,2006(5):59.它是电子商务审计的核心，信息技术的飞速发展使得企业数据和消费者个人信息的保密性、可靠性和完整性受到前所未有的挑战。审计人员必须对信息系统的安全管理、物理与环境保护、软件的运行与维护、数据的有效性和完整性控制，突发事件的应急计划等方面进行严格的审查。为了更合理有效的利用审计资源，提高工作效率，审计人员可采用“安全风险矩阵图”A BC D来分析和评价各类审计要素。如图2所示。损失 的 严 大 重 性 大 发生风险的可能性图2 安全风险矩阵图在图2中，横轴表示发生风险的可能性，纵轴表示损失的严重性。其中A类发生风险的可能性大，损失的严重性也大，必须引起足够的重视；B类损失的严重性大，但发生的可能性小，应引起警惕，但它不是主要的风险类型；C类损失的严重性小，发生的可能性大，应当引起注意；D类发生的可能性小，损失的严重性也小，因此可以予以忽略。下面笔者将根据风险评估阶段提出的几类信息资产在资产、威胁、漏洞三方面的赋值情况，并结合安全风险矩阵图来分析电子商务安全审计的主要内容。1 数据涉及资金的数据是电子商务活动中最重要的数据资料，常常会有侵入者对该类数据进行非法的修改。现行的控制方法是对数据进行加密，数据加密利用算法打乱选定的数据，使数据对侵入者是不可读的，这样一来也就阻止了侵入者的不法行为。涉及控制的数据是对用户权限进行定义的一类数据，侵入者往往通过非法看或非法改控制数据获得相应的权限，从而使他们对资金数据的修改有机可趁。目前应用程序级别的防火墙能够提供更高级别的网络安全措施，通过传输日志和审计工具来报告非法的未授权行为。鉴于以上两种控制手法，审计人员应该审查数据加密密钥的管理程序和防火墙的功能是否能达到控制性和方便性两者的最优平衡状态，以防止和发现来自于内部和外部的非法访问，使那些被侵入者捕获到的数据失去作用。数据类信息资产发生风险的可能性大，造成的损失相对而言不会很严重，位于风险矩阵的C类。审计人员应注意做好相关的防范工作，降低风险发生的可能性。2软件应用软件在电子商务过程中扮演着极其重要的角色，它承载着整个活动流程的运行。审计人员对应用软件的审计主要采用黑盒测试和白盒测试这两种方法。对于黑盒测试而言，程序被视为一个黑盒子，完全不考虑程序内部逻辑的具体知识，而是通过分析流程图和询问客户公司的专业人员来了解应用程序的特征。审计人员对应用程序进行测试，主要看应用程序处理的生产输入交易是否和输出结果相一致，分析输出结果以核实应用程序是否符合功能要求。白盒测试则把程序看成一个透明的盒子，按照程序内部的逻辑测试程序，检验程序中每个路径是否能按照预定要求正确工作。白盒测试包括直接测试应用程序逻辑的技术方法，审计人员能够利用已知的变量实行详细测试，获得结果并将结果与计算机结果进行客观的比较。除了应用软件以外，专用软件的审计也是软件审计中的重点。专用软件譬如防火墙的使用能够把局域网与外界的侵入者隔离开来，审计人员在衡量防火墙的有效性时应关注以下方面：(1)防火墙是否足够灵活，以便在安全需求变化时能够提供新的服务。(2)防火墙的过滤技术是否能够拒绝提供那些没有明确许可的服务。(3)能否提供完备的审计和日志工具，用于识别和记录可疑行为。(4)不允许被公众访问的系统是否被隔离在互联网之外。为了确保安全，审计人员应该像黑客一样定期探测防火墙的弱点。支持软件经常会因为病毒之类的破坏程序而瘫痪，因此审计人员应重点检查操作程序，确认是否使用磁盘在工作组间进行日常的数据交换；通过访问操作人员，确认其是否接受过有关计算机病毒的培训，是否清楚病毒以及其他恶意程序的侵入和传播对计算机操作的风险；检查系统管理人员是否实施例行扫描，查找工作站和文件服务器中的病毒。软件类信息资产发生风险的可能性大，造成的损失也相当严重，属于风险矩阵A类。A类的特点决定审计人员要重点关注其发生风险的各种可能，制定好相应防御措施，并在风险发生以后能够迅速有效的将损失降到最低。3硬件 自然灾害、火灾、人为破坏、停电等因素都会对硬件设备造成影响，导致数据的丢失或机器设备的故障，从而使组织丧失其业务能力。企业的灾难恢复计划就是要一方面采用备份软、硬件保证快速、有效的进行数据备份，另一方面还应制定快捷高效的灾难恢复措施。审计师应该检查作为数据存储的设备有无备份，并在非现场安全地存储。对于计算设备而言，要检查物理安全措施是否完备，