第06章-电子商务系统安全规划.ppt

第 章电子商务系统安全规划 本章内容 1电子商务系统安全 2电子商务系统安全体系框架 3电子商务系统安全设计的原则 4电子商务系统安全体系的设计 1电子商务系统安全 电子商务系统安全问题涉及到许多方面 首先 安全不是一个单一的问题 其次 安全问题是动态的 再次 安全问题不能仅仅由技术来完全解决 2电子商务系统安全体系框架 电子商务还没有统一建立的标准的系统安全体系框架 可参照信息系统的安全体系框架 信息系统安全的总需求是物理安全 网络安全 数据安全 信息内容安全 信息基础设施安全与公共信息安全的总和 信息系统安全的最终目的是确保信息的保密性 完整性 可用性 可审计性和不可否认性 以及信息系统主体对信息资源的控制 2电子商务系统安全体系框架 信息系统安全体系结构示意图 3电子商务系统安全设计的原则 均衡性 整体性 一致性 易操作性 可靠性 层次性 可评价性 4电子商务系统安全体系的设计 制定安全规划的工作步骤包括 对企业电子商务系统安全风险进行评估分析企业电子商务系统的安全需求定义企业电子商务系统安全规划的范围建立项目小组以设计和实施安全规划制定企业电子商务系统的安全策略制定企业电子商务系统的安全方案评估安全方案的代价和优缺点测试和实施安全方案 6 4 1识别企业信息资产 要保护企业的电子商务系统安全 首先要知道企业中有哪些可识别的资产 哪些是最关键的 需要重点防护的 哪些是次要一些的但是也需要保护的 哪些是不需要专门关注的 企业信息资产包括 数据与文档 硬件 软件 人员四个方面 4 1识别企业信息资产 企业的信息资产 4 2电子商务系统风险识别 分析和评估 1 电子商务系统面临的威胁电子商务的核心是通过信息网络技术来传递商业信息和进行网络交易 所以从整体上来看 电子商务安全主要可划分为计算机信息系统安全和商务交易安全等 1 电子商务面临的威胁 1 计算机信息系统面临的威胁 人为的无意失误 人为的恶意攻击 软件的漏洞和 后门 1 电子商务面临的威胁 2 电子商务交易安全威胁类别 信息的截获和窃取 信息的篡改 假冒 交易抵赖 2 电子商务系统风险分析和评估 敏感性 结果决定电子商务系统敏感性等级的因素有两个 第一个是事故的直接后果 第二个应考虑的因素是政治上和企业的敏感性 风险评估矩阵 在风险评估矩阵中 考虑多种因素 而且还应考虑它们之间的关系 风险评估矩阵 风险评估矩阵列表1 风险评估矩阵 风险评估矩阵列表2 3 基本的风险评估 基本的风险评估活动 4 详细的风险评估 详细的风险评估活动 4 3电子商务系统的安全需求分析 通过分析以下因素 可以定义电子商务系统的安全需求 需要保护的资源 资源面临的威胁 威胁发生的机率 4 4定义电子商务系统的安全规划的范围 安全规划首先需要定义规划的范围 以指明规划能够处理哪些风险 规划范围准确地限定了安全规划将处理电子商务系统中的哪个区域 设计安全方案之前 企业必须定义规划的范围 以指明将来的安全方案准备处理哪些风险 4 5电子商务系统安全策略的制定 安全策略是对一种处理安全问题的规则的描述 管理人员在安全策略方面的抉择与资源分配 竞争的目标以及组织策略有关 涉及技术 信息资源和员工行为指导 制定安全策略的目的就是决定一个电子商务系统怎样来保护自己 根据安全需求制定的系统的安全策略是安全方案的主要内容 4 5电子商务系统安全策略的制定 1 权衡要点制定安全策略是进行利与弊的权衡 一般来说 权衡的要点如下 功能和安全性能 用户操作的便利性和安全性能 成本与功能 2 安全策略的范围 安全策略的范围 2 安全策略的范围 续表 安全策略的范围 3 制定安全策略的步骤 制定安全策略时的步骤 4 6制订电子商务系统的安全方案 1 安全方案的主要内容 技术体系的建立 组织机构的建立 管理体系的建立 安全方案实施计划 4 6制订电子商务系统的安全方案 2 制定安全方案 1 定义范围 2 确定安全方案制定小组 3 搜集安全需求 4 定义安全基准 5 定义安全基准 6 4 7评估安全方案 安全方案制定出来之后还需要评估才能确定是否可以采纳 评估一个安全方案可从以下几个方面进行 计划 设计 测试和开发该安全方案所需的资源 开发后管理和维护该方案所需的资源 培训用户使用新系统和掌握新技术所需的资源 支持用户使用新技术所需的资源 安全方案实施后 损失的用户带来的影响 增加密码操作负载后 计算机和网络增加的负载和降低的性能 6 4 8实施安全方案 当安全方案获得采纳之后 将开始实施安全方案 可以建立一个实施小组 或者通过系统的实施小组来实施 任务的分配与实