關(guān)于電子商務(wù)的安全審計.doc

關(guān)于電子商務(wù)的安全審計 下面是小編整理的關(guān)于電子商務(wù)的安全審計的論文希望可以幫助大家 摘要：審計是電子商務(wù)安全管理中的一條重要防線電子商務(wù)安全審計是指模擬社會的監(jiān)察機構(gòu)對電子商務(wù)系統(tǒng)運營和電子商務(wù)企業(yè)財務(wù)的活動進行監(jiān)視和記錄的一種機制它包括外部審計和電子商務(wù)公司內(nèi)部審計兩個方面 關(guān)鍵詞：電子商務(wù);安全審計;安全管理 一、外部審計 外部審計是指審計師對企業(yè)電子商務(wù)網(wǎng)站的安全工作進行審計對消費者提供數(shù)據(jù)安全、商業(yè)政策、交易完整、數(shù)據(jù)隱私等方面的審計 1.制度審計在電子商務(wù)網(wǎng)絡(luò)系統(tǒng)環(huán)境下網(wǎng)絡(luò)電子交易數(shù)據(jù)安全是關(guān)系到交易雙方切身利益的關(guān)鍵問題是企業(yè)計算機網(wǎng)絡(luò)應(yīng)用的最大障礙和審計的最重要問題之一電子商務(wù)的網(wǎng)絡(luò)數(shù)據(jù)安全措施至少包括三個方面：一是網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)方面的措施;二是安全管理制度(措施)的制定和實施;三是社會立法和法律保障措施內(nèi)部審計師關(guān)心的是這些措施實施的情況通?？蓮娜缦聨c進行評價： (1)審查防火墻技術(shù)、網(wǎng)絡(luò)系統(tǒng)反病毒功能、數(shù)據(jù)加密措施、身份認證和授權(quán)等軟件技術(shù)的應(yīng)用實施情況;實施這一審查可以用模擬數(shù)據(jù)對系統(tǒng)的各安全關(guān)鍵點進行全面檢查 (2)審查安全管理制度建立和施行的情況采用面談法、訪問和實地察看法按預(yù)先給定的內(nèi)控制度評價清單進行注意檢查崗位責(zé)任實施、安全日志制度 (3)審查有關(guān)計算機安全的國家法律和管理條例的執(zhí)行情況 2.選用內(nèi)部審計師實施審計內(nèi)部審計師是電子商務(wù)審計最合適的專業(yè)人員由內(nèi)部審計師做電子商務(wù)內(nèi)部審計業(yè)務(wù)可為電子商務(wù)用戶提供職業(yè)安全保障 內(nèi)部審計師進行電子商務(wù)審計是國際慣例內(nèi)部審計師是從事企業(yè)內(nèi)部審計業(yè)務(wù)的專家具有良好的基礎(chǔ)背景和良好的聲譽在中國內(nèi)部審計師除了參與財務(wù)審計還參與對管理效益和代理人離任內(nèi)部審計和對企業(yè)計算機信息系統(tǒng)的實施情況審計大量參與稅務(wù)、財務(wù)和評估等咨詢服務(wù)工作 內(nèi)部審計業(yè)務(wù)是按照特定的審計規(guī)范的程序執(zhí)行對內(nèi)部控制與經(jīng)營、業(yè)務(wù)審查和評價內(nèi)部審計師有著敏銳的專業(yè)洞察能力這是內(nèi)部審計師發(fā)展計算機網(wǎng)絡(luò)內(nèi)部審計的良好職業(yè)背景基礎(chǔ) 內(nèi)部審計師的審計具有客觀性和公正性電子商務(wù)審計人員必須對交易的雙方所提供的電子信息進行必要的審計其審計本身應(yīng)當(dāng)客觀、獨立、公正和具有可靠的專業(yè)技術(shù)作為支撐才能贏得網(wǎng)絡(luò)交易的多方的信賴同時他們必須是社會公認的權(quán)威審計業(yè)務(wù)專業(yè)人員在計算機網(wǎng)絡(luò)化的商務(wù)活動中根據(jù)對交易合法性和交易信息的可靠性和安全性是企業(yè)信息系統(tǒng)的內(nèi)部控制制度及其對顧客提供必要的法律保障的一個重要內(nèi)容內(nèi)部審計師對企業(yè)信息系統(tǒng)的內(nèi)部控制制度設(shè)置和施行情況的審查評價已具有特別的專長和豐富的經(jīng)驗 3.安全審計系統(tǒng)分析防火墻、入侵檢測、防病毒網(wǎng)關(guān)等安全產(chǎn)品越來越多地應(yīng)用在網(wǎng)絡(luò)中它們在運行過程中都會產(chǎn)生大量的日志信息其中隱藏了非常重要的信息是分析網(wǎng)絡(luò)安全運行情況的依據(jù)安全審計系統(tǒng)中結(jié)合各種信息算法對這些日志數(shù)據(jù)進行分析挖掘出其中隱藏的異常動態(tài)信息并利用各個審計源之間的聯(lián)動及時阻斷各種入侵活動同時對進出網(wǎng)絡(luò)內(nèi)部的電子郵件和傳輸信息實時跟蹤進行數(shù)據(jù)截取和還原更好的維護系統(tǒng)安全 分析和審計公司電子商務(wù)網(wǎng)站的安全審計系統(tǒng)是否具有以下功能： (1)網(wǎng)絡(luò)狀態(tài)實時監(jiān)控監(jiān)視網(wǎng)絡(luò)中的各種安全設(shè)備、主機系統(tǒng)、數(shù)據(jù)庫、進出網(wǎng)絡(luò)內(nèi)部的電子郵件和傳輸信息等情況全面掌握網(wǎng)絡(luò)活動和行為 (2)事件自動響應(yīng)機制當(dāng)發(fā)生的網(wǎng)絡(luò)行為可能威脅到系統(tǒng)安全并且達到預(yù)先設(shè)定的域值時系統(tǒng)自動斷開該用戶的連接并及時向管理員發(fā)出報警信號 (3)自動生成安全信息報告在固定時間內(nèi)把系統(tǒng)的運行情況以報表的形式發(fā)送給管理員通過設(shè)置合理的審計報表管理員可以迅速、直觀地瀏覽報表內(nèi)容了解系統(tǒng)的當(dāng)前運行情況和資源使用情況在減少管理員單純?nèi)藶榕袛嗪徒?jīng)驗參與的情況下能更好地幫助系統(tǒng)管理員及時采取相應(yīng)措施從而使威脅整個網(wǎng)絡(luò)的潛在破壞最小化提高系統(tǒng)的安全性能 (4)系統(tǒng)綜合管理雖然安全審計系統(tǒng)是一個獨立運行的軟件系統(tǒng)但是它和其他安全產(chǎn)品如防火墻、VPN漏洞掃描等并不會產(chǎn)生沖突相反它們能夠相互協(xié)調(diào)和促進、更好地起到系統(tǒng)安全防護的作用 二、內(nèi)部審計 內(nèi)部審計的作用主要體現(xiàn)在對于電子商務(wù)公司內(nèi)部系統(tǒng)安全和財務(wù)風(fēng)險的管理上主要包括兩個方面的內(nèi)容：對電子商務(wù)系統(tǒng)的技術(shù)審計;對電子商務(wù)公司的財務(wù)進行審計 (一)技術(shù)審計 1.訪問控制審計網(wǎng)絡(luò)訪問控制包括訪問權(quán)限控制和用戶認證訪問權(quán)控制的審查主要是檢查是否有端口訪問控制情況進入訪問端口前的用戶號鑒別回應(yīng)控制和特別安全保護的訪問點控制用戶認證的方法一般可分三類：口令或密鑰、身份鑒別(如指紋)和使用權(quán)限控制其中最安全的認證是身份鑒別(用指紋或其他特性)但制作費用比較昂貴其他兩種方法都是最常用的用戶認證法初步審查除了解各種認證方法外主要查各類型控制執(zhí)行的情況 2.數(shù)據(jù)加密審計現(xiàn)在流行的電子商務(wù)網(wǎng)絡(luò)系統(tǒng)是由至少一個計算機服務(wù)器和多臺客戶機聯(lián)網(wǎng)形成的并與外部交易有關(guān)的國內(nèi)網(wǎng)絡(luò)和國際網(wǎng)絡(luò)系統(tǒng)相連結(jié)客戶機一般處理業(yè)務(wù)數(shù)據(jù)網(wǎng)絡(luò)數(shù)據(jù)庫和軟件程序庫一般由服務(wù)器統(tǒng)一控制管理由于網(wǎng)絡(luò)中的數(shù)據(jù)庫具有共享性很容易受到舞弊人或黑客的修改和破壞要確保合法的客戶對網(wǎng)絡(luò)數(shù)據(jù)庫訪問的便利性和網(wǎng)絡(luò)數(shù)據(jù)的完整性應(yīng)比非網(wǎng)絡(luò)系統(tǒng)增加對數(shù)據(jù)庫的加密管理相應(yīng)地形成數(shù)據(jù)庫的加密管理審計其內(nèi)容：一是審查服務(wù)器的數(shù)據(jù)庫