第章电子商务安全评估与管理PPT课件.ppt

第10章电子商务安全评估与管理 10 1电子商务安全评估10 2电子商务安全立法10 3电子商务安全管理 风险管理 安全就是风险管理 是信息资产评估的基础 风险风险是丢失需要保护的资产的可能性 两个组成部分 威胁 漏洞 风险漏洞 Hole 系统硬件或者软件存在某种形式的安全方面的脆弱性 是攻击可能的途径 威胁 Threat 一个可能破坏信息系统环境安全的动作或事件 包含 目标 可能受到攻击的方面 如机密性代理 发出威胁的人或组织 包括访问能力 知识 动机事件 代理采取的行为 威胁的来源 1 人为差错和设计缺陷 2 内部人员 3 临时员工 4 自然灾害和环境危害 5 黑客和其他入侵者 6 病毒和其他恶意软件 威胁 1 社会工程对策 培训所有企业用户 系统管理员 允许外访人员进入严格限制区域的负责人的安全意识 2 电子窃听对策 鉴别和加密 3 软件缺陷 缓冲器溢出 对策 即时更新系统和软件 4 信任转移 把信任关系委托给可信的中介 对策 映射主机之间的信任关系时特别小心 威胁的情况与对策 5 数据驱动式攻击 恶意软件 对策 小心防范数据文件中的内容 尤其是附件 6 拒绝服务对策 保持计算平台和网络设备的即时更新 有效配置防火墙 7 DNS欺骗对策 网络防火墙 依靠双DNS服务器 隐藏内部IP地址 8 源路由 IP的路由事先由发送者来确定 对策 网络防火墙和路由屏幕 9 内部威胁 内部人员作恶或犯罪的威胁 对策 责任分开 最小特权 对个体的可审性 威胁的情况与对策 确定事件发生的可能性 低级别风险是漏洞使组织的风险达到一定水平 然而不一定发生 中级别风险是漏洞使组织的信息系统或场地的风险达到相当的水平 并且已有发生事件的现实可能性 高级别风险是漏洞对组织的信息 系统或场地的机密性 完整性 可用性和可审计性已构成现实危害 风险的度量 风险的识别识别漏洞识别现实的威胁检查对策和预防措施识别风险 风险的识别 即识别出在受到攻击后该组织需要付出的代价 资金时间资源信誉 风险的测量 美国CarnegieMellon大学的软件工程研究所制定了系统安全工程能力成熟度模型 SSE CMM 用来测量组织的解决方案 软件 硬件和系统 的能力和效力 可以就以下3个方面进行分析 安全计划 技术和配置 运行过程 安全成熟度模型 安全管理的概念 安全管理是以管理对象的安全为任务和目标的管理 任务 是保证管理对象的安全目标 达到管理对象所需的安全级别 将风险控制在可以接受的程度 电子商务安全管理 信息安全管理的概念 信息安全管理是以信息及其载体 即信息系统为对象的安全管理 任务 是保证信息的使用安全和信息载体的运行安全目标 达到信息系统所需的安全级别 将风险控制在用户可以接受的程度 电子商务安全管理 三个概念的关系 电子商务安全管理 信息安全管理对象 信息及其载体 安全管理任务 保证管理对象的安全目标 达到所需的安全级别 管理 安全管理模型 任务 保证信息的使用安全和信息载体的运行安全目标 达到信息系统所需的安全级别 将风险控制在用户可以接收的程度 对象 从内涵上讲是信息及其载体 信息系统 从外延上说其范围是由实际应用环境来界定 信息安全管理策略 原则 1 策略指导原则 统一的策略指导 2 风险评估原则 策略依据风险评估结果 3 预防为主原则 不可事后弥补 4 适度安全原则 注重实效 5 立足国内原则 不可未经许可 未能消化改造直接使用境外的安全保密技术和产品设备 6 成熟技术原则 重视新技术成熟的程度 安全管理策略 原则 7 规范标准原则 遵循统一操作规范和技术标准 8 均衡防护原则 注意薄弱环节或漏洞 9 分权制衡原则 要害权限不可交给个人管理 10 全体参与原则 全体相关人员都有责任 11 应急恢复原则 要有应急响应预案 12 持续发展原则 实施动态管理 能持续改进 安全管理策略 1 计划 制定工作计划 明确责任分工 安排工作进度 突出工作重点 形成工作文件 2 执行 按照计划展开各项工作 包括建立权威的安全机构 落实必要的安全措施 开展全员的安全培训等 3 检