云电子商务的安全审计问题研究

作 者:

作者简介:
刘国城,南京大学管理学院博士生,南京审计大学副教授,硕士生导师;王跃堂,南京大学教授,博士生导师,教育部长江学者特聘教授。

原文出处:
兰州学刊

内容提要:

02


期刊代号:V3
分类名称:审计文摘
复印期号:2017 年 08 期

关 键 词:

字号:

      2016年10月21日,美国的亚马逊、Raddit、Tumblr、推特、Airbnb以及Netflix等近百家网站被黑客攻击,商务平台服务器等全面瘫痪。迪恩公司调研发现,本次安全事故源于DDOS攻击进而感染僵尸网络病毒,黑客运用百万台物联网设备发起攻击。自互联网与云计算渗透至各行各业以来,国内外网络安全事件持续发生,影响深远。如今,云电子商务安全问题影响着全世界数十亿级用户,云电子商务安全审计亟待提上议事日程。2015年,国务院发布《电子商务“十三五”规划》,指出以云计算与物联网为代表的新一轮信息技术变革正在兴起,新技术的发展为电子商务创新发展提供更好的技术条件,“十三五”期间,我国将提高电子商务的安全保障,提高电子交易的安全性,通过云服务模式,为电子商务用户提供安全服务。将“云领域”纳入至审计的范畴,创新了传统审计模式,拓展了传统审计职能,对审计行业带来挑战。当下,云审计的理论研究与实务开展正在起步,经验尚未形成,策略尚未建立,有关于云电子商务安全审计的依据与流程都将在摸索中完成。基于此,审计主体有必要做好有关于云计算安全、信息系统控制以及信息技术标准等理论的外来借鉴,结合“十三五”规划,预先做好云电子商务安全审计的顶层设计与全局规划,构建切实可行的云审计过程平台,做到有的放矢,坚决避免流于形式。

      二、相关理论概述与回顾

      (一)云电子商务

      商务是指与商品交易以及服务消费相关联的商业事务,云电子商务是“互联网+”、“商务”、“云计算平台”的有机融合。上海《著云台》团队提出,云电子商务(cloud-commerce)是基于云计算商业模式应用的商务平台服务。借助云电子商务平台,有关于商务活动的服务商、制作商、代理商、供应商、管理机构、法律机构、行业媒体以及行业协会等多方参与主体均集合于该平台之下,整合为一体化的云计算资源池,依托于云计算快速的计算能力与强大的共享能力,高效实现商务活动资源的数字化、个性化、虚拟化与共享化。云电子商务有效利用云计算分布式处理方法,高效引入云计算分布式系统容错机制,运用“云资源”开展对网络商务行为的数据优化管理与资源有效配置。2015年1月30日,国务院发布《关于促进云计算创新发展培育信息产业新业态的意见》,指出发展云计算利于分享信息知识和创新资源,降低全社会创业成本,对稳增长、调结构、惠民生和建设创新型国家具有重要意义。意见中明确了指导思想、基本原则与发展目标,支持云计算与电子商务等服务的创新发展与融合应用,建设协作共赢的云计算服务生态环境,至2017年,在重点领域建立管理创新、服务创新、技术创新三位一体的云计算全新发展格局。

      国内有关于云电子商务理论的研究文献相对较少,截至2016年11月,中国知网关于“云+电子商务”的全部期刊论文总计208篇,其中,CSSCI论文10篇,理论文献呈现分散化、零碎化等特点,对于云计算创新发展培育电子商务信息产业新业态实践,无法提供强有力的理论支撑。相关文献对云电子商务理论的分析侧重于如下方向:(1)基本理论。吴卫华(2011)提出基于“供应链云”与“移动云”的电子商务模式构建的基本思想①霍春辉等(2014)借鉴亚马逊的“弹性云”以及“苏宁云商”等经验构建了基于云技术的新型电子商务模式②;赵杨等(2014)基于服务主体协同、多元服务交互与资源分布存储等层面探索了电子商务云平台的构建策略与运行机制③(2)实务应用。高萍(2013)阐述云计算在电子商务税收监管中的应用,并提出了济南市国家税务局电子商务税源管理云平台的建设思路④陈洁等(2015)构架基于云电子商务的高校数字图书馆云共享平台结构模型,细致分析了云平台运行规程⑤。当前,云电子商务理论研究处于起步阶段,学者们未来的努力需遵循两个层面,其一是基础理论纵深挖掘,其二是实践应用广泛拓展,且二者研究相辅相成,有机协同,唯有此,相关理论才将易于成熟,自成体系。

      (二)云安全与电子商务安全审计

      不可信的云存储环境、虚拟机的非法入侵以及云计算外包都将加大云基础架构的安全风险⑥依照2011年NIST发布的标准报告,云安全涵盖云应用安全、云虚拟化安全与云数据安全三个方面。有关于安全方面的持续审计是云计算健康运行的根本前提⑦有关于“云+安全审计”方面的国内文献极为缺乏,截至2016年11月,中国知网中相关文献累计12篇,7篇为期刊论文,5篇为硕士论文。其中,孔丹(2013)基于Agent与对称加密探索云平台安全审计技术,提出了面向云计算服务平台的安全审计模型⑧包捷等(2014)分析云环境的安全弱点,引入网络与日志审计技术以及分布式系统思想,构架了一套具有针对性的云安全审计体系⑨;谢倩娜(2014)针对云分布存储环境下的数据完整性验证审计协议进行研究,并基于编码学知识设计安全审计方案⑩刘国城(2016)以“过程挖掘”为关键技术,研究云安全审计过程平台的运行机制,构建云安全审计的全新模式(11)国外,Dimitrios Lekkas(2010)、Nir Kshetri(2012)等学者基于云平台架构以及云计算安全等视角对云安全及其审计模式进行深入研究,总结现有安全机制,评价安全审计策略(12)(13)。

相关文章: