电子商务安全技术第九章课后习题答案

1、精品文档你我共享1. 电子商务安全风险管理的实施步骤是什么？?(1)应用组织的业务性质、组织、方位、资产和技术确定ISMS的范畴和安全边界即确定信息安全管理体系的范围?(2)应用组织的业务性质、组织、方位、资产和技术定义信息安全策略、方针 和指南。?(3)确定风险评估的系统化的方法，为信息安全管理体系建立方针和目标以降 低风险至可接受的水平。?(4)确定风险，在信息安全管理体系的范围内，识别资产及其责任人、对这些资 产的威胁、可能被威胁利用的脆弱性。?(5)评价风险，评估由于安全故障带来的业务损害，估计风险的等级。?(6)识别和评价处理风险的可选措施，应用合适的控制措施，有目的地接受风险、避免

2、风险、转移相关业务风险到其他方面。?(7)选择控制目标和措施处理风险 ，根据风险评估和风险处理过程的结果调整。 ?(8)准备一份适用性声明。?(9)实施和运营初步的ISMS体系。?(10)对ISMS运营的过程和效果进行监控。 ?(11)在运营中对ISMS进行不断优化。2. 电子商务安全风险评估的实施步骤是什么1、询问被审计单位管理层和内部其他相关人员2、实施分析程序3、观察和检查4、其他审计程序和信息来源3. 电子商务安全风险评估的实施步骤是什么.风险评估辅助工具a) 风险评估辅助工具是一套集成了风险评估各类知识和判据的管理信息系 统，或者是用于收集评估所需要数据和资料的日志系统。安全管理评价

3、系统b) 安全管理评价系统主要从安全管理方面入手通过结构化的推理过程，建立模型、输入相关信息，得出评估结论。系统软件评估工具c) 系统软件评估工具主要用于对操作系统、数据库系统、网络、设备等的安全漏洞进行分析，或实施基于漏洞的渗透性测试。4. 电子商务安全风险管理的对对策有哪些3.1强技术保证，确保电子商务信息的安全针对电子商务依靠互联网络平台来开展的网络开放性的特点，特别是要针对互联网体系使用的是开放式的TCPZ IP协议，给企业信息和数据安全带来的极大威胁的安全隐患。对如何保障企业的信息数据和重大商业机密，是确保开展电 子商务的企业的重要技术保障和前提条件，只有高度重视电子商务的信息安腹有

4、诗书气自华精品文档你我共享全，才能保证其运行安全， 这就需要有强大的技术安全保障措施，不但要制定完善的技术保障措施，更要严格执行制度，才能确保电子商务信息的安全。3.2健全内部控制制度实行电子商务的商户， 在内部管理制度上应健全相应的规章制度，例如：制定制度来规范和约束员工的行为，根据其工作的重要程度，确定该系统的安全等 级。制订相应的机房出入管理制度对于安全等级要求较高的系统，要实行分区控制，3.3加强复合型人才的培养实现电子商务环境是当今全球经济一体化、信息化时代的一种发展趋势，重视复合型人才的培养是电子商务成功与否的决定因素。所谓电子商务的复合型人才是指要求电子商务管理人员既要有计算机知

5、识，还要有管理理论和商务、金融、法律等知识。5. 电子商务安全管理的方法主要有哪些？及具体实施措施 人员管理制度保密制度跟踪、审计、稽核制度系统日常维护制度 计算机病毒防范制度 日常操作规范 安全策略配置规范 数据备份规范 攻击事件预警管理规范 日志管理规范安全事件定期报告规程 电子商务应急事件与相应 电子商务安全培训制度 国外与电子商务相关的立法 国内与电子商务相关的立法 电子签名法6. 简述国内外电子商务安全立法现状电子商务的法律保障问题，涉及到两个基本方面。第一，电子商务首先的一种商品交 易，其安全问题应当通过民商法加以保护；第二，电子商务交易是通过计算机及其网络 而实现的，其安全与否依

6、赖于计算机及其网络自身的安全程度。我国目前还没有出台专 门针对电子商务交易的法律法规，究其原因，还是上述两个方面的法律制度尚不完善， 因而面对迅速发展的电子商务这种与计算机网络技术结合的新的交易方式难以出台较 为完善的安全保障规范性条文。然而，电子商务的跳跃式发展已不允许我们等待原有法律制度完善之后再考虑电子商 务的立法问题。21世纪的竞争是高新技术的竞争。发展电子商务，已不再是单纯的技 术问题，而是关系到国家经济生存发展的又一次严峻挑战。通过专门立法，使国家在下 个世纪的市场竞争中占据有利地位，已成为世界各国政府的共识。我国传统的先改后立的立法思想和技术，对于高新技术的推广来说是弊大于利的。

7、电子商务技术，一方面我们可以说它已经基本成熟，因为在正常情况下，这种技术已经能够保证交易的安全进行；但另一方面，这种技术又随着计算机网络技术的不断发展而不断更新，具有相对的不稳 定性。这种二重性使得电子商务的推广具有一定的难度。因此，电子商务立法必须具有 超前性和独立性，以打消人们对电子商务交易安全性的恐惧心理。7. 与电子商务安全相关的国际标准有哪些？适用范围ISO/IEC 27001BS 7799信息安全管理体系标准强调风险管理的思想。BS 7799将IT策略和组织发展方向统一起来，确保IT资源用得其所，使与IT相关的风险受到适当的控制。BS 7799主要提供了有效地实施IT安全管理的建议

8、，介绍了安全管理的方法和程序。用户可以参照这个完整的标准制订出自己的安全管理计划和实施步骤，为发展、实 施和估量有效的安全管理实践提供参考依据。ISO/IEC 27001 源于 BS7799。ISO/IEC 15408（CC）ISO/IEC 15408（ CC）于1999年批准为信息技术安全评估准则，它是在 TESEC ITSECCTCPEC FC等信息安全标准的基础上综合形成的。其中心内容是：当在PP （安全保护框架）和ST （安全目标）中描述 TOE（评测对象）的安全要求时，应尽可能使用其与第二部分描述 的安全功能组件和第三部分描述的安全保证组件相一致。8. 我国国内的指定信息安全机构有哪

9、些？安全标准有哪些?安全标准体系r管理踪1测评斎1滝J准T电岳产品讦估iJ1 1中国信息安全测评中心出师表两汉：诸葛亮先帝创业未半而中道崩殂，今天下三分，益州疲弊，此诚危急存亡之秋也。然侍卫之臣不懈于内，忠志之士忘身于外者，盖追先帝之殊遇，欲报之于陛下也。诚宜开张圣听，以光 先帝遗德，恢弘志士之气，不宜妄自菲薄，引喻失义，以塞忠谏之路也。宫中府中，俱为一体；陟罚臧否，不宜异同。若有作奸犯科及为忠善者，宜付有司论其 刑赏，以昭陛下平明之理；不宜偏私，使内外异法也。侍中、侍郎郭攸之、费祎、董允等，此皆良实，志虑忠纯，是以先帝简拔以遗陛下：愚 以为宫中之事，事无大小，悉以咨之，然后施行，必能裨补阙漏

10、，有所广益。将军向宠，性行淑均，晓畅军事，试用于昔日，先帝称之曰能”，是以众议举宠为督：愚以为营中之事，悉以咨之，必能使行阵和睦，优劣得所。亲贤臣，远小人，此先汉所以兴隆也； 亲小人，远贤臣，此后汉所以倾颓也。 先帝在时, 每与臣论此事，未尝不叹息痛恨于桓、 灵也。侍中、尚书、长史、参军，此悉贞良死节之臣， 愿陛下亲之、信之，则汉室之隆，可计日而待也 riT臣本布衣，躬耕于南阳，苟全性命于乱世，不求闻达于诸侯。先帝不以臣卑鄙，猥自枉 屈，三顾臣于草庐之中，咨臣以当世之事，由是感激，遂许先帝以驱驰。后值倾覆，受任于 败军之际，奉命于危难之间，尔来二十有一年矣。先帝知臣谨慎，故临崩寄臣以大事也。受命以来，夙夜忧叹，恐托付不效，以伤先帝之 明；故五月渡泸，深入不毛。今南方已定，兵甲已足，当奖率三军，北定中原，庶竭驽钝， 攘除奸凶