电子商务安全评估与管理课件

1、电子商务安全评估与管理,第十章 电子商务安全评估与管理,如果没有威胁，也就没有风险； 如果没有漏洞，也就没有风险,10.1 电子商务安全评估 10.1.1 风险管理 风险的概念 漏洞 威胁 目标 代理 事件 威胁+漏洞风险,电子商务安全评估与管理,10.1 电子商务安全评估,风险的识别与测量 风险的识别 识别漏洞 识别现实的威胁 检查对策和预防措施 识别风险,电子商务安全评估与管理,10.1 电子商务安全评估,风险的测量 资金 时间 资源 信誉,电子商务安全评估与管理,10.1 电子商务安全评估,10.1.2 安全成熟度模型 安全计划 技术和配置 运行过程,电子商务安全评估与管理,10.1 电

2、子商务安全评估,10.1.3 威胁 威胁的来源 人为差错和设计缺陷 内部人员 临时员工 自然灾害和环境危害 黑客和其他入侵者 病毒和其他恶意软件,电子商务安全评估与管理,10.1 电子商务安全评估,威胁情况与对策 社会工程(系统管理过程) 电子窃听 软件缺陷 数据驱动攻击(恶意软件) 拒绝服务 DNS欺骗 源路由 内部威胁,电子商务安全评估与管理,10.1 电子商务安全评估,10.1.4 安全评估方法 安全评估过程 网络安全评估 平台安全评估 应用安全评估,电子商务安全评估与管理,10.1 电子商务安全评估,10.1.5 安全评估准则 可信计算机系统评估准则 信息技术安全评估准则 通用安全评估

3、准则 计算机信息系统安全保护等级划分准则,电子商务安全评估与管理,10.2 电子商务安全立法,10.2.1 与网络相关的法律法规 10.2.2 网络安全管理的相关法律法规 网络服务机构设立的条件 网络服务业的对口管理 互联网出入口信道管理 计算机网络系统运行管理 安全责任,电子商务安全评估与管理,10.2 电子商务安全立法,10.2.3 网络用户的法律规范 用户接入互联网的管理 用户使用互联网的管理 10.2.4 互联网信息传播安全管理制度 从事经营性互联网信息服务应具备的条件 从事非经营性互联网信息服务应提交的材料 互联网信息服务提供者的义务 互联网信息服务提供者不得制作、复制、发布、传播的

4、信息,电子商务安全评估与管理,10.2 电子商务安全立法,10.2.5 其他法律法规 有关网络有害信息的法律规范 电子公告服务的法律规定 网上交易的相关法律法规,电子商务安全评估与管理,10.3 电子商务安全管理,10.3.1 安全管理的概念,管理、安全管理和信息安全管理的概念关系,管理的概念组成,电子商务安全评估与管理,10.3 电子商务安全管理,10.3.3 安全管理模型,电子商务安全评估与管理,10.3 电子商务安全管理,10.3.4 安全管理策略 信息安全管理的任务 信息安全管理的目标 信息安全管理的对象 信息安全管理的原则 策略指导原则 风险评估原则 预防为主原则 适度安全原则 立足

5、国内原则,电子商务安全评估与管理,10.3 电子商务安全管理,成熟技术原则 规范标准原则 均衡防护原则 分权制衡原则 全体参与原则 应急恢复原则 持续发展原则 信息安全管理的程序 1.计划 2.执行 3.检查 4.行动 信息安全管理的方法,电子商务安全评估与管理,10.3 电子商务安全管理,10.3.5 安全管理标准 BS7799标准是由英国标准协会(BSI)制定的信息安全管理标准，是国际上具有代表性的信息安全管理体系标准。该标准包括以下两部分： BS77991:1999信息安全管理实施规则； BS77992:1999信息安全管理体系规范。 BS7799于1995年首次出版，它提供了一套综合的、由信息安全最佳实施组成的通用规则，为工商业及大、中、小组织的信息系统在通常情况下所需的安全控制提供标准的参考基准。 BS7799最新版本于1999年5月在BSIDISC的BDD2信息安全管理委员会的指导下制定完成，它取代了被废止的BS7799:1995。这一版充分考虑了信息处理技术，尤其是网络和通信领域应用的近期发展，同时还强调了电子商务所涉及的信息安全及信息安全的责任,电子商务安全评估与管理,思考题,什么是风险？如何识别和测量风险？ 什么是安全成熟度模型？如何运用它来评估安全？ 简述安全评估过程。 如何进行网络