一种定量的电子商务系统风险评估模型

司应硕，杨文涛，刘 果

(1.郑州航空工业管理学院，河南 郑州450046;2.中国电子科技集团公司第二十七研究所，河南郑州450047)

电子商务是在开放、自由的互联网基础上应运而生的，运营中的安全极为重要.制约我国电子商务发展的主要因素有:基础设施、观念改变、信用机制、支付技术、法律保障、物流配送、信息安全等问题，其中最关键的问题是信息安全问题，必须从技术上为电子商务交易活动提供机密性、完整性、真实性和抗抵赖性等安全保障.

风险评估是电子商务系统安全保障体系建立过程中的重要评价方法和决策机制，没有准确及时的风险评估，将无法对电子商务系统的安全状况做出准确的判断.当前，在电子商务系统的安全问题的研究领域，研究重点逐渐从安全协议、认证技术、加密算法等方面转移到对电子商务系统风险评估上来.笔者论述了当前电子商务安全体系结构，给出了一种定量的电子商务风险评估模型.

1 风险评估

风险评估是分析和说明风险的过程，它的目的就是将风险控制在可接受的程度内.通过风险评估发现网络系统中存在的主要安全问题，便于管理者采取有效措施规避、降低风险.

1.1 风险的定义

在现实生活中，对于风险的定义有多种，文献［1］将风险定义为在达到一个目标或目的(一个属于技术性能、成本或进度安排)要求过程中的不确定性，同时认为风险与不确定性事件发生的概率及其造成的可能损失有关.由此定义的风险度量函数为

式中:x为风险;p表示不确定事件发生的概率;q表示不确定事件发生的后果.

根据风险度量函数的定义，文献［2］提出了如下的风险度量公式:p表示不确定事件未发生的概率，q表示不确定事件未造成损失的概率大小.显然有p=1－p，q=1 －q.由概率测度为变量的风险函数可表示如下:

通过评估与系统风险有直接影响的主要因素，将这些因素对风险的影响通过合理的算法综合于项目的风险度量指标中，便可确定不确定事件发生的概率及其产生后果的影响程度，进而得出系统的风险大小.

1.2 风险评估方法

评估方法的选择直接影响到评估过程中的每个环节，甚至可以左右最终的评估结果，所以需要根据系统的具体情况，选择合适的风险评估方法.当前，存在很多风险评估理论，这些方法遵循了基本的风险评估流程，但是在具体的实施手段和风险的计算方法方面各有不同.从计算方法上区分，分为定性方法和定量方法［3］.

a.定性风险评估一般是根据评估者的知识、经验对信息系统存在的风险进行分析、判断和推理，采用描述性语言描述评估结果.评估较为粗糙，主观性强，对评估者的要求很高，但评估结论比较全面、深刻，在数据资料不充分或分析者数学基础较为薄弱时比较适用.常用的定性分析方法有因素分析法、RMECA等.

b.定量风险评估是一种根据系统中风险的相关数据利用公式进行分析、推导的方法.由于通常以数据形式表达，因此在量化过程中容易使本来比较复杂的事物简单化、模糊化.但评估结果比较客观，在资料比较充分或者风险对信息资产的危害可能比较大时该方法比较适用.故障树分析法是常用的定量分析方法.

2 电子商务系统安全体系结构

2.1 电子商务系统的安全需求

电子商务的实质是商务活动的电子化，所以电子商务系统的关键是保证交易数据和交易过程的安全.Internet本身的开放性使电子商务系统面临各种各样的安全威胁，要解决安全问题要求电子商务系统具备:防止交易信息被非法截获或读取的保密性、防止交易过程被跟踪的匿名性、防止交易信息丢失并保证信息传递次序统一的完整性、防止假冒身份在网上交易和诈骗的可靠性，防止交易各方对已做交易无法抵赖的抗否认性以及原子性等安全要求.在电子商务中引入原子性的概念，是用来规范电子商务中的资金流、信息流和物流.

2.2 电子商务系统安全体系结构

电子商务系统是依赖网络实现的商务系统，需要利用Internet基础设施和标准.所以构成电子商务安全框架的底层是网络服务层.它是各种电子商务应用系统的基础，并提供信息传送的载体和用户接入手段及安全通信服务，保证网络最基本的运行安全.加密技术层、安全认证层、交易协议层，皆为电子交易数据的安全而构筑.其中，交易协议层是加密技术层和安全认证层的安全控制技术的综合运用和完善，它为电子商务安全交易提供保障机制和交易标准.商务系统层则包括B2B，B2C，B2G等各类电子商务应用系统及商业的解决方案.

电子商务的安全控制体系结构［4－5］是保证电子商务数据安全的一个完整的逻辑结构，包含5个部分:网络服务层、加密技术层、安全认证层、交易协议层、商务系统层.

电子商务系统的信息安全是一个动态的复杂过程，它贯穿于电子商务系统的整个生命周期，并非是把所有安全技术简单地组合就可以得到可靠的安全.管理者应对电子商务系统建立一个健全的评估机制，及时发现存在的主要问题和矛盾，并依据风险评估的结果选择有针对性的安全措施，规避、转移和降低风险，妥善应对可能发生的风险，并将风险控制在可接受的范围之内.文章在上述电子商务安全体系结构的基础上，给出了一种定量的电子商务系统评估模型.

3 定量的电子商务系统评估模型

根据上面的电子商务安全体系结构可以得到以下信息:

a.电子商务服务需求共有6个方面，可用集合Q={q1，q2，q3，q4，q5，q6}表示，其中 q1表示数据保密性;q2表示完整性;q3表示匿名性;q4表示抗否性;q5表示可靠性;q6表示原子性.由于每一种服务需求要实现的目标不一样，所以在系统中的权重也不同.

b.每一层的任一威胁事件的发生都可能导致电子商务服务需求遭到破坏，并且威胁事件发生的后果有6种:数据保密性被破坏;完整性被破坏;匿名性被破坏;抗否性被破坏;可靠性被破坏;原子性被破坏.

c.每一层在整个电子商务服务系统中的所扮演的角色不同，所以权重也不同.

定量分析方法利用2个基本的元素:威胁事件发生的概率和可能造成的损失.把这2个元素简单相乘的结果称为ALE(annual loss expectancy)或EAC(estimated annual cost).可以根据ALE计算威胁事件的风险等级，并且做出相应的决策.

式中:P为威胁事件发生的概率;Loss表示威胁事件可能造成的损失.

在电子商务系统的风险评估中，可以先对每一子层进行评估，继而实现对整个电子商务系统的评估.由以上内容可以得出第i层的ALE值为

式中:ALEi为第i层的ALE值;φk为qk在服务需求集合Q中的权重值;Pi(qk)为第i层qk服务需求被破坏的概率;Lossi为第i层被攻击后可能造成的损失，它的价值根据电子商务体系结构中的第i层的地位和数据价值，由管理员确定.

在求得第i层的ALE值后，可以根据下面公式来求整个系统的ALE值，

式中:ALEi为第i层的ALE值;δk为第i层在整个电子商务安全体系结构中的权重值.

在计算出ALEall的值以后，就可以根据ALEall的值来确定系统的当前安全状况，进行风险等级的划分，并做出相应的决策.

4 结语

电子商务的安全问题是电子商务的核心问题，那么对电子商务系统进行有效的风险评估也尤为重要.目前，对电子商务系统的风险评估还没有统一的标准，国际上一直在研究风险计算方法，有相当多的定量或者定性的风险计算方法被提出，但是都没有被公认接受［6］.在电子商务安全体系层次结构的基础上，给出了一种定量的风险评估模型，为电子商务系统的风险评估提供了一种新的思路，但只是初步尝试，尚需深入研究.

［1］胡勇，方勇.信息系统风险分析的工程方法研究［J］.计算机工程，2006，32(13):29 －31.

［2］ Zhao Hengfeng，Qiu Wanhua，Wang Xinzhe.Fuzzy integrative evaluation method of the risk factor［J］.Systems Engineering Theory ＆ Practice，1997，7:93 －96.

［3］冯登国，张阳，张玉清.信息安全风险评估综述［J］.通信学报，2004，25(7):10 －18.

［4］孙宝林，王丽.电子商务的安全体系结构及关键技术研究［J］.武汉科技学院学报，2005，18(1):41 －44.

［5］张一娆，杨世平.基于PRA的电子商务安全风险评估模型［J］.计算机工程与设计，2008，29(17):4420 －4422.

［6］孙强.定量的安全风险评估计算模型的研究及实现［D］.哈尔滨:哈尔滨工程大学，2006.