




已阅读5页,还剩36页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
第十章 电子商务安全管理,10.1 电子商务安全管理体系 10.2 电子商务安全评估 10.3电子商务安全风险管理 10.4电子商务信用管理,目录,电子商务安全管理概述,电子商务安全必须从管理和技术两方面着手,安全技术通过建立安全的主机系统和安全的网络系统,并配备适当的安全产品来实现,在管理层面,则通过构建电子商务安全管理体系来实现,技术层面和管理层面的良好配合,是企业实现电子商务安全的有效途径。,电子商务安全管理体系,电子商务安全管理体系是组织在整体或特定范围内建立的电子商务安全的方针和目标,以及完成这些目标所用的方法和体系。 它是直接管理活动的结果,安全管理的目标,安全管理是组织在既定的目标驱动下,开展风险管理活动,力求实现组织的4类目标: 战略目标,它是组织最高层次的目标,与使命相关联并支撑使命; 业务目标,高效利用组织资源达到高效果; 保护资产目标,保证组织资产的安全可靠; 合规性目标,遵守适用的法律和法规,风险管理,安全管理的一个重要目标是降低风险,风险就是有害事件发生的可能性。 一个有害事件由三部分组成:威胁、脆弱性和影响。 脆弱性是指资产的脆弱性并可被威胁利用的资产性质。如果不存在脆弱性和威胁,则不存在有害事件,也就不存在风险。 风险管理是调查和量化风险的过程,并建立了组织对风险的承受级别。它是安全管理的一个重要部分,电子商务安全管理的内容,1. 电子商务系统安全漏洞的识别与评估 这里指的安全漏洞既包括电子商务系统中硬件与软件上的安全漏洞,也包括公司组织制度上的漏洞。例如,对离职员工的用户名和口令没有及时吊销,某些员工的访问权限未设置成最小等。这些漏洞的识别一般要聘请专门的评估机构对系统进行全面检查。,2. 对人的因素的控制 在安全管理中,最活跃的因素是人,对人的管理包括法律、法规与政策的约束,安全指南的帮助,安全意识的提高,安全技能的培训,人力资源管理措施,以及企业文化的熏陶等。,电子商务安全管理在行政上应遵循以下四条原则 (1)多人负责的原则。 (2)任期有限的原则。 (3)职责有限、责任分离原则。 (4)最小权限原则:,3 运行控制,(1)计算机使用规定。 (2)网络访问规定。 (3)用户口令的规则。 (4)安全设备使用规则,电子商务安全管理策略,(1)需求、风险、代价平衡的原则 (2)综合性、整体性原则 (3)易操作性原则 (4)适应性、灵活性原则 (5)多重保护的原则,安全管理的PDCA模型,(1)P(Plan)计划,确定方针和目标,确定活动计划; (2)D(Do)实施,实际去做,实现计划中的内容; (3)C(Check)检查,总结执行计划的结果,注意效果,找出问题; (4)A(Action)行动,对总结检查的结果进行处理,成功的经验加以肯定并适当推广、标准化;失败的教训加以总结,杜绝再次重现,未解决的问题放到下一个PDCA循环中,安全管理的PDCA模型,安全管理的PDCA模型,(1)计划阶段:制订具体的工作计划,提出总的目标。具体又分为四个步骤: 首先,分析信息安全的现状,找出存在的问题;其次,分析产生问题的各种原因及影响因素;再次,分析并找出管理中的主要问题;最后,根据找到的主要原因来制定管理计划,确定管理要点。 (2)实施阶段:按照制订的方案去执行。全面执行制订的方案,管理方案在管理工作中的落实情况,直接影响全过程,所以在实施阶段要坚决按照制订的方案去执行。 (3)检查阶段:即检查实施计划的结果。这是比较重要的一个阶段,是对实施方案是否合理,是否可行,有何不妥的检查,是为下一阶段改进工作创造条件。 (4)处理阶段:根据调查的效果进行处理。,10.1 电子商务安全管理体系 10.2 电子商务安全评估 10.3电子商务安全风险管理 10.4电子商务信用管理,目录,电子商务安全评估的意义,系统安全评估在电子商务安全体系建设中具有重要的意义。它是了解系统安全现状、提出安全解决方案、加强安全监督管理的有效手段,安全评估的主要内容,(1)环境安全。这分为三个部分:实体的、操作系统的及管理的。实体的如机房温度控制。 (2)应用安全。主要内容有输入输出控制、系统内部控制、责任划分、输出的用途、程序的敏感性和脆弱性、用户满意度等。 (3)管理机制。如规章制度、紧急恢复措施、人事制度(如防止因工作人员调入、调离对安全的影响)等。 (4)通信安全。如加密、数字签名等措施。 (5)审计机制,即系统审计跟踪的功能和成效,安全评估标准,标准是技术性法规,作为一种依据和尺度。 建立评估标准的目的是建立一个业界能广泛接受的通用的信息安全产品和系统的安全性评价原则。 对评估标准的要求是具有良好的可操作性,明确的要求 目前信息安全领域比较流行的评估标准是美国国防部开发的计算机安全标准可信计算机标准评价准则TCSEC(Trusted Computer Standards Evaluation Criteria),TCSEC的安全级别及特征,TCSEC的安全级别及特征,(1)D级是最低的安全级别 (2)C1级是C类的一个安全子级。C1级又称自主安全保护(Discretionary Security Protection)级,它能实现粗粒度的自主访问控制机制 (3)C2级实现更细粒度的可控自主访问控制 (4)B1级称为带标记的访问控制保护级 (5)B2安全级称为结构化保护级 (6)B3级,又称为安全域(Security Domain)级别,TCSEC的安全级别及特征,(7)A级,又称验证设计(Verified Design)级 TCSEC的安全级别中最常见的是C1、C2和B1级,如果一个系统具有身份认证和粗粒度的自主访问控制机制,那么它能达到C1级,如果系统不具备审计功能,则肯定不能达到C2级,如果系统不具备强制访问控制机制,则肯定不能达到B1级,信息管理评估标准,(1)CC(Common Criteria,通用标准)是ISO/IEC 15408(信息技术、安全技术、信息技术安全性评价准则)的简称 (2)BS7799就是以安全管理为基础,提供一个完整的切入、实施和维护的文档化组织内部的信息安全的框架 (3)系统安全工程能力成熟度模型SSE-CMM(System Security Engineering Capability Maturity Mode),10.1 电子商务安全管理体系 10.2 电子商务安全评估 10.3电子商务安全风险管理 10.4电子商务信用管理,目录,风险管理概述,风险是指由于从事某项特定活动过程中存在不确定性而产生的经济或其他利益损失、自然破坏或损伤的可能性 当某个脆弱的资源的价值较高,以及攻击成功的概率较高时,风险也就高;当某个脆弱的资源的价值较低,以及攻击成功的概率较低时,风险也就低 电子商务活动依赖于网络和信息系统环境的支持,而开放的网络环境和复杂的企业商务活动会产生更多的风险,风险的特征,风险是由于人们没有能力预见未来而产生的 (1)风险的客观性 (2)风险的不确定性 (3)风险的不利性 (4)风险的可变性 (5)风险的相对性,风险管理的内容和过程,风险管理由3部分组成:风险评估、风险处理以及基于风险的决策。 风险评估将全面评估企业的资产、威胁、脆弱性以及现有的安全措施,分析安全事件发生的可能性以及可能的损失,从而确定企业的风险,并判断风险的优先级,建议处理风险的措施。 基于风险评估的结果,风险处理过程将考察企业安全措施的成本,选择合适的方法处理风险,将风险控制在可接受的程度。 基于风险的决策旨在由企业的管理者判断残余的风险是否处在可接受的水平之内,基于这一判断,管理者将作出决策,决定是否进行某项电子商务活动,风险评估,风险评估是确定一个电子商务系统面临的风险级别的过程,是风险管理的基础 风险评估的过程 1. 风险评估准备 2. 资产识别 3. 威胁识别 4. 脆弱性识别 5. 风险计算,脆弱性识别内容表,风险计算,风险值 = R(A, T, V) = R (L(T,V), F(Ia, Va) 其中,R表示风险计算函数;A, T, V分别表示资产、威胁和脆弱性;L表示安全事件发生的可能性;F表示安全事件发生后造成的损失;Ia表示资产重要程度;Va表示脆弱性的严重程度,10.1 电子商务安全管理体系 10.2 电子商务安全评估 10.3电子商务安全风险管理 10.4电子商务信用管理,目录,电子商务信用管理概述,电子商务的信用是指电子商务的交易主体(买家和卖家)以及信用信息服务平台所构成的三方相互关联、相互影响的信用关系 所谓信用问题,指的是因缺乏一定的信任关系而导致交易成本上升,社会秩序趋于复杂化、混乱化。,信用管理的有关概念,1. 信任的分类 人格信任 系统信任 2. 信息不对称导致信任危机 3. 改善信息不对称要求实行信用管理,电子商务信用管理的必要性,1)互联网的特征决定了信用管理的必要性 2)电子商务的特性决定了信用管理的必要性 3)信用问题成为电子商务发展的瓶颈,信用管理体系的构成,完整的信用管理体系应包括信用信息采集系统、信用评价及查询系统、信用动态跟踪及反馈系统、信用保障系统等,信用管理体系的建立,1. 信用信息采集的主体 2 信用评价及查询系统 3. 信用动态跟踪及反馈系统 4. 信用保障系统,信用保障和评价机制,1. 电子商务信用保障机制的建设 1)法制角度。 2)政府角度 3)第三方服务机构角度。,2. 电子商务网站的信用评价机制,信用评价体系主要有以下几个方面的作用 (1).对交易主体的交易行为产生约束,降低交易风险,尤其是信用风险,提高交易的成功率,在一定程度上降低了交易成本; (2).便于交易主体了解交易对象的信用状况,帮助用户判断交易对象的信誉度,提高网上交易的成交率。 (3).对交易双方而言,信用评价可以降低交易成本。,淘宝网的信用评价机制,以淘宝网的信用评价机制为例:淘宝网充分调动会员本身的力量去建设和维护整个交易平台的安全运转。采用会员在交易成功后,就该交易互相作出评价的一种行为。这样其他会员就可以根据这些会员已经评价的信息来判断交易方的信用情况,淘宝网的信用评价机制,淘宝网的信用评价机制需要改进的地方 对买家/卖家身份缺乏有效的验证 信用评价模型过于简单。信用评价只设置“好”、“中”、“差”三个评价等级,再加上一般的主观评论 对买家信用和卖家信用分别计算,但对买家的注册行为没有约束,习题,1. 下面哪一项不是风险管理的四阶段之一? ( )
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 母婴护理:胎膜早破的预防与处理
- 七年级上学期班主任德育计划
- 小学生身心健康计划书
- 大学生心理健康调查研究
- 炸鸡创意画课件
- 吉林省长春市2025届九年级数学第一学期期末经典试题含解析
- 农业生物技术发展应用研发协议
- 教育设计实施路径
- 茂名职业技术学院《琴法一》2023-2024学年第一学期期末试卷
- 商业秘密保密及知识产权转让合同
- 水厂反恐培训教材
- 品管圈PDCA改善案例-降低住院患者跌倒发生率
- 煤化工产业链详解文档课件
- 大学英语4综合教程课件教学课件教学
- Module 1 语法Grammar 一般现在时,一般过去时,一般将来时与现在进行时八年级英语上册模块语法精讲精练(外研版)
- 2024年秋新人教版七年级上册英语全册课件(新版教材)
- 癌症患者生活质量量表EORTC-QLQ-C30
- 一般工商贸(轻工)管理人员安全生产考试题库(含答案)
- 2023年山东省艺术本科(美术类)第一次投档分数线
- 护理查房(模板)
- 贵州省毕节地区选调生考试(行政职业能力测验)综合能力题库各版本
评论
0/150
提交评论