关于电子商务的安全审计

[浅析我国旅游电子商务]浅析我国旅游电子商务是小编整理的关于旅游管理类的论文，欢迎各位旅游管理毕业的同学借鉴哦! 摘要：随着旅游业的发展，旅游业与电子商务业结合成为一个趋势，在旅游业与电子商务结...+阅读

下面是小编整理的关于电子商务的安全审计的论文，希望可以帮助大家!

摘要：审计是电子商务安全管理中的一条重要防线。电子商务安全审计是指模拟社会的监察机构对电子商务系统运营和电子商务企业财务的活动进行监视和记录的一种机制。它包括外部审计和电子商务公司内部审计两个方面。

关键词：电子商务;安全审计;安全管理

一、外部审计

外部审计是指审计师对企业电子商务网站的安全工作进行审计，对消费者提供数据安全、商业政策、交易完整、数据隐私等方面的审计。

1.制度审计。在电子商务网络系统环境下，网络电子交易数据安全是关系到交易双方切身利益的关键问题，是企业计算机网络应用的最大障碍和审计的最重要问题之一。电子商务的网络数据安全措施，至少包括三个方面：一是网络数据安全技术方面的措施;二是安全管理制度(措施)的制定和实施;三是社会立法和法律保障措施。内部审计师关心的是这些措施实施的情况，通常可从如下几点进行评价：

(1)审查防火墙技术、网络系统反病毒功能、数据加密措施、身份认证和授权等软件技术的应用实施情况;实施这一审查可以用模拟数据对系统的各安全关键点进行全面检查。

(2)审查安全管理制度建立和施行的情况，采用面谈法、访问和实地察看法按预先给定的内控制度评价清单进行。注意检查岗位责任实施、安全日志制度。

(3)审查有关计算机安全的国家法律和管理条例的执行情况。

2.选用内部审计师实施审计。内部审计师是电子商务审计最合适的专业人员。由内部审计师做电子商务内部审计业务，可为电子商务用户提供职业安全保障。

内部审计师进行电子商务审计是国际惯例。内部审计师是从事企业内部审计业务的专家，具有良好的基础背景和良好的声誉。在中国，内部审计师除了参与财务审计，还参与对管理效益和代理人离任内部审计和对企业计算机信息系统的实施情况审计，大量参与税务、财务和评估等咨询服务工作。

内部审计业务是按照特定的审计规范的程序执行，对内部控制与经营、业务审查和评价，内部审计师有着敏锐的专业洞察能力，这是内部审计师发展计算机网络内部审计的良好职业背景基础。

内部审计师的审计具有客观性和公正性。电子商务审计人员必须对交易的双方所提供的电子信息进行必要的审计，其审计本身应当客观、独立、公正和具有可靠的专业技术作为支撑，才能赢得网络交易的多方的信赖，同时他们必须是社会公认的权威审计业务专业人员。在计算机网络化的商务活动中，根据对交易合法性和交易信息的可靠性和安全性，是企业信息系统的内部控制制度及其对顾客提供必要的法律保障的一个重要内容，内部审计师对企业信息系统的内部控制制度设置和施行情况的审查评价，已具有特别的专长和丰富的经验。

3.安全审计系统分析。防火墙、入侵检测、防病毒网关等安全产品越来越多地应用在网络中，它们在运行过程中都会产生大量的日志信息，其中隐藏了非常重要的信息是分析网络安全运行情况的依据。安全审计系统中结合各种信息算法对这些日志数据进行分析，挖掘出其中隐藏的异常动态信息，并利用各个审计源之间的联动及时阻断各种入侵活动。同时，对进出网络内部的电子邮件和传输信息实时跟踪，进行数据截取和还原，更好的维护系统安全。

分析和审计公司电子商务网站的安全审计系统是否具有以下功能：

(1)网络状态实时监控。监视网络中的各种安全设备、主机系统、数据库、进出网络内部的电子邮件和传输信息等情况，全面掌握网络活动和行为。

(2)事件自动响应机制。当发生的网络行为可能威胁到系统安全并且达到预先设定的域值时，系统自动断开该用户的连接并及时向管理员发出报警信号。

(3)自动生成安全信息报告。在固定时间内把系统的运行情况以报表的形式发送给管理员。通过设置合理的审计报表，管理员可以迅速、直观地浏览报表内容，了解系统的当前运行情况和资源使用情况，在减少管理员单纯人为判断和经验参与的情况下，能更好地帮助系统管理员及时采取相应措施，从而使威胁整个网络的潜在破坏最小化，提高系统的安全性能。

(4)系统综合管理。虽然安全审计系统是一个独立运行的软件系统，但是它和其他安全产品如防火墙、VPN，漏洞扫描等并不会产生冲突，相反它们能够相互协调和促进、更好地起到系统安全防护的作用。

二、内部审计

内部审计的作用主要体现在对于电子商务公司内部系统安全和财务风险的管理上，主要包括两个方面的内容：对电子商务系统的技术审计;对电子商务公司的财务进行审计。

(一)技术审计

1.访问控制审计。网络访问控制包括访问权限控制和用户认证。访问权控制的审查，主要是检查是否有端口访问控制情况――进入访问端口前的用户号鉴别回应控制和特别安全保护的访问点控制。用户认证的方法一般可分三类：口令或密钥、身份鉴别(如指纹)和使用权限控制，其中最安全的认证是身份鉴别(用指纹或其他特性)，但制作费用比较昂贵，其他两种方法都是最常用的用户认证法。初步审查除了解各种认证方法外，主要查各类型控制执行的情况。

2.数据加密审计。现在流行的电子商务网络系统是由至少一个计算机服务器和多台客户机联网形成的，并与外部交易有关的国内网络和国际网络系统相连结。客户机一般处理业务数据，网络数据库和软件程序库一般由服务器统一控制管理。由于网络中的数据库具有共享性，很容易受到舞弊人或黑客的修改和破坏，要确保合法的客户对网络数据库访问的便利性和网络数据的完整性，应比非网络系统增加对数据库的加密管理，相应地形成数据库的加密管理审计，其内容：一是审查服务器的数据库加密装置，服务器密码装置的密钥分配，这种审查主要了解系统管理员和相应密钥分配情况。二是审查网络端对端的加密，测试关键的网络数据在传输中的全程加密，此种加密是通过专用的软件实现的，因此，对这类的加密软件要进行特别的安全保护管理。

三.运行审计

关于电子商务的安全审计