自从传统商务平台跟云环境实现技术结合后,网络安全事故就屡见不鲜,各国安全部门对此虽然做了非常大地防范,但始终未能避免被网络黑客的攻击。如今,云电子商务平台的用户已经超过十亿级,一旦再次发生被黑客恶意攻击的网络完全事故,将会有超过十亿级的用户受到影响,造成的损失不容小觑。所以,解决好云电子商务平台的安全审计问题势在必行。 不过,由于将“云领域”放在安全审计的范畴,是一种创新的模式,虽然拓宽了安全审计的智能,但是对安全审计行业是一个很大的挑战。所以,在云审计的理论及实践才刚起步的今天,首先要做的是借鉴国外有关云安全计算相关的先进理论,结合我国电子商务的发展实际,提前设计和规划好云电子商务平台安全审计的流程,搭建出一个具有实操意义的云审计平台。这样才能够对云电子商务的安全问题有的放矢,才能够避免对云电子商务平台的安全审计停留在形式上,而缺乏内涵的意义。 二、云电子商务安全审计风险的梳理与分析 云电子商务是将云计算商业模式与传统商务模式结合的商务平台。通过这个平台,可以整合各方面的资源,真正地实现一体化。同时,因为云商务平台的计算能力和共享能力都很高,通过云商务平台看商务活动更加的高效,也让商务活动更加数据化和个性化。因为云商务平台还搭载了云计算分布处理方式,所以云电子商务平台相比传统商务拥有更好地容错率。既可以优化网络商务行为的数据,又可以实现资源的有效配置。对于云电子商务领域,在进行安全审计时因为电子商务平台对计算机、网络等先进技术要求比较高,所以云电子商务平台的安全审计具有隐蔽性强、破坏性大的特点。目前,主要组成云电子商务平台安全审计风险的因素有以下几个组成: (一)固有风险 如果内部控制不会影响审计云电子商务平台的安全性,那因为受到内部要素和客观因素而造成网络安全事件的几率就是云电子商务的安全审计风险中的固有风险。一般来说,固有风险包括两个部分,分别是技术和管理。其中技术部分包含数据、应用、网络、物理和主机系统等造成的网络安全事故几率。管理方面包含管理的制度、人员、组织、系统建设、系统维护和服务协议等造成网络安全事故的几率。通过表1不难看出,关于固有风险云电子商务牵涉的方面非常的广,任何一面出现了问题,都可能造成云电子平台出现安全事故。例如在云电子商务平台,API是重要组成部分,如果API不安全,那其不安全性就会影响到整个云电子商务平台,从而出现相关的网络安全事故。所以,在进行云电子网络平台的安全审计时,首先要全面地调查云电子商务平台的固有风险有哪些方面,并深入挖掘,找出弱点,同时仔细分析这些固有风险的转化条件和转化程度,认真评估固有风险产生的几率而完成评价云电子商务平台的固有风险。 (二)控制风险 因为内部控制没有及时对可能出现网络安全事故的漏洞进行防御和发型,从而导致网络安全事件发生的概率,被称之为云电子商务平台的控制风险,主要包括制度设计和制度执行两个方面。目前,我国很多的云电子商务平台都在遭受非常大的控制风险的威胁,主要是因为云电子商务“全过程”内部控制没有引起云电子商务的管理者的重视,云电子商务管理者也没有集信息、控制、安全等知识于一体的人才以及云安全控制的技术不高。 云电子商务的内部控制通常会出现层次不清、表述不细致、条款不周密等问题,这会造成不能从本质上控制云电子商务平台的固有风险。在制度执行上出现内部人员执行力不高、执行不彻底等,让平台的内部控制的相关的制度失灵,从而让云电子商务平台的内部控制系统瘫痪。所以,在进行云电子网络平台的安全审计时,需要对内部控制制度设计和执行的有效性、合理性、完善性进行评价。 (三)检查风险 在检查方面,云电子商务的检查风险指的是因为在对云电子商务平台进行安全审计时操作不当而没有及时发现云电子商务平台存在的安全风险,从而造成网络安全事故发生的可能性。云电子商务的安全风险基本是因为审计造成的,原因分客观和主观两个方面。客观上看,体现在云电子商务安全审计制度、流程、方法不明确和我国缺乏云电子商务安全审计人才两个方面。在主观上,审计人员的技术、采用的审计程序和审计的抽样等,都会影响着安全审计的效果。所以,在开展云电子网络平台的安全审计时,作为审计人员一定要全盘规划安全审计流程、技术等,并建立科学专业的审计体系,对云电子商务平台进行细致化的审计。 三、云电子商务安全审计模式的设计与规划 (一)构建审计模式的基础支撑 目前,对于云电子商务的安全审计,可以供安全审计人员利用的模式与系统依然在不断地探索当中。所以,在进行云电子商务安全审计时,应该积极参考和利用目前已经存在的理论、方案和经验方面的研究,从而为设计和规划云电子商务安全审计模式提供坚硬的理论基础。本文认为,我们在设计和规划云电子商务安全模式时,至少需要注意以下几个方面:
(1)技术与方法的汲取。其实,在进行安全审计时,身为安全审计人员,并不缺少审计的方法、手段,只是缺乏有关网络信息安全等方面的专业知识。所以,身为一名审计人员,应该积极汲取专业知识,如数据加密、共享虚拟等。因为只有掌握了云技术相关的技巧、知识才能够深入、彻底地对云电子商务平台进行安全审计。例如目前很多电子商务平台的某些业务是第三方服务商提供的,需要嵌入第三方平台。一旦第三方平台有安全的漏洞,那就会威胁到整个平台。所以,审计人员务必要积极掌握一些数据安全相关的关键技术,这样才能够对云电子商务平台的固有风险、控制风险进行一个有效的审计与测试。