浅析电子商务信息安全风险和评估

胡运江

[摘要]随着计算机互联网技术的飞速发展，电子商务的应用和推广改变了人们的工作和生活方式，带来了无限的商机。然而，电子商务发展所依托的平台——互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等都使得电子商务业务很难安全顺利地开展，随之而来的便是备受人们关注的信息安全问题及其风险评估。本文在对我国电子商务系统所存在的信息安全问题进行讨论的基础上，分析了我国电子商务信息安全风险评估的现状和改善对策，旨在提高我国电子商务信息安全风险评估意识和技术，建立一套完善的电子商务信息安全及评估机制。

[关键词]电子商务;信息安全;风险评估

一、电子商务安全的风险分析

（一）电子商务安全风险分析的概念

电子商务安全风险评估是信息安全保障体系建立过程中重要的评价方法和决策机制。风险评估也称为风险分析，也就是确认安全风险及其大小的过程，它是风险管理的基础，进行风险评估是制定网络安全策略的依据。

（二）电子商务面临的风险

电子商务以互联网为基础构架，网络安全是实现电子商务发展的保障。目前，互联网技术被广泛应用，企业的电子商务信息系统中保存着大量的商业机密，关系到企业的生存和发展，同时，电子商务安全也关系到公民隐私权的保护。但现如今网络安全面临的问题日益突出，全世界因信息系统受到攻击而导致的经济损失逐年上升。互联网的开放性及网上运行的设备和软件存在不可避免的安全漏洞，使得不法之徒可以利用安全漏洞窃取信息，删改网络系统文件，破坏数据，甚至导致系统崩溃。

1.软件和应用漏洞

软件的复杂性以及程序编写的多样性导致电子商务系统中的软件会由于一些原因而留下安全漏洞。

2.数据的篡改

网络攻击者可依靠各种技术和手段对传输的信息进行篡改、删除或插入，破坏信息的完整性、真实性，造成重大经济损失。

3.电脑病毒问题

随着网络技术的应用越来越广泛，压缩文件、电子邮件等已成为电脑病毒传播的主要途径，加之病毒种类的多样化、破坏性的增强，使得电脑病毒的传播速度大大加快，稍有不慎就会造成不可弥补的经济损失。

4.黑客入侵

黑客对电子商务系统的文件和数据的篡改和破坏，是一种社会道德风险。如果攻击电子商务系统的数据区、文件和内存，致使计算机的硬件失灵、软件瘫痪、数据破坏、系统崩溃，会给企业和商户造成无法挽回的巨大损失。

二、电子商务的风险评估

电子商务风险分析系统的设计包括10个模块，总体包括外部风险分析模块和内部风险分析模块。在外部风险分析模块中，本文除了进行交易安全风险分析、信用风险分析、竞争风险分析、法律政策风险分析，还对这几种外部风险分析进行了综合分析。对于内部分析模块，除了进行技术风险分析、企业内部间风险分析、管理风险分析、投资风险分析，该系统还对这几种内部风险分析进行了综合分析。

（一）外部风险分析

系统根据网上交易的稳定性，不确定性等特性实现交易安全风险分析模块;根据社会信用保障体系完善度和对用户的失信度进行分析，实现信用风险分析模块;根据对客户和供应商提供培训和工具的量进行分析，实现竞争风险分析;根据掌握法律政策的量进行分析，实现法律政策分析。

（二）内部风险分析

内部风险分析是对数据处理速度、技术漏洞多少、数据存取错误多少等数据进行分析;根据网络系统被黑客攻击次数对企业内部网风险进行分析，实现企业内部间的风险分析模块;根据交易流程管理、人员管理、交易技术管理的故障次数对管理风险进行分析，实现管理风险。

三、做好电子商务信息安全的风险与评估对策

第一，进行风险评估可以明确安全需求及确定切实可行的控制措施，它可将风险控制在企业可以接受的范围之内，减少资产受到威胁的次数，避免系统瘫痪。电子商务系统的信息安全风险评估运用科学合理的分析方法、手段，运用系统的观点来分析电子商务信息系统所面临的人为或自然因素的威胁以及自身所存在的脆弱性，努力在网络的“安全等级”和“风险投资”之间找到平衡点。因此，整合传统的网络信息安全技术，并结合现代化的新型技术应用，研究出一套既安全又可靠的电子商务交易安全体系已经成为当前电子商务网络信息安全研究的重要内容之一。

第二，风险评估是信息系统安全的基础性工作，信息和网络安全中的风险评估是传统的风险理论和方法在系统中的运用，是科学地分析和理解系统在保密性、完整性、可用性等方面的工作。只有正确、全面地了解、理解安全風险，才能了解当前状况是否满足信息系统安全运行的要求、系统面临的威胁有哪些以及这些威胁给系统带来的潜在影响，采取哪些措施去处理这些问题。风险评估为安全防护措施的实施提供了严谨的安全理论依据，为决策者制定网络安全策略，构架安全体系以及确定有效的安全措施，选择可靠的安全产品，建立全面的安全防护层次提供了一套完整、规范的指导模型。

本文通过对电子商务交易过程中的风险分析和评估，提出了解决对策。随着信息技术的不断发展，电子商务应用过程中将面临新的风险。希望从信息安全意识、专业人才、新型技术等方面加强我国电子商务信息安全风险评估的研究和发展，为电子商务的发展提供一个安全的环境。

参考文献：

[1]赵刚，王兴芬.电子商务信息安全管理体系架构[J].北京信息科技大学学报（自然科学版），2011，26 （1）：21-25.

[2]伍永锋.基于模糊支持向量机的电子商务交易安全风险评估方法[J].科技通报，2012，28 （9）：181-184.