电子商务系统安全PPT课件
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
软件
包括源代码、应用程序、工具、分析测试软件、操作系统等
数据
包括软硬件运行中的中间数据、备份资料、系统状态、审计日志、 数据库资料等
人员
包括用户、管理员、维护人员等
文档
包括软件程序、硬件设备、系统状态、本地管理过程的资料
消耗品 包括纸张、软盘、磁带等
资产分类
对信息资产及人分别归类,同时在两者 之间建立起对应关系。
则WRi=Wi*Ri则表示资源加权后的危险 值。
包含权值和危险值的简单网络设 计图
风险评估举例
路由器:WR1=R1*W1=6*0.7=4.2 网桥:WR2=R2*W2=6*0.3= 1.8 服务器:WR3=R3* W3=10* 1=10 整个网络系统的危险值:WR=
WR1+WR2+WR3 =16
信息系统安全体系结构示意图
信息系统安全体系框架
安
状态 入侵 安全 安全服务
物理
系统
培
全
训
务
策 略
密 检测 钥 管
监控
管理
安全机制
安全
安全
管 理制
与理 服
审计
技术管理
安全技术
运行环境及系统安全技
术
技术机制
体度
系
技术体系
法
机构
律
岗位 组织体系
人事
9.3电子商务系统安全设计的原则
⑴均衡性 ⑵整体性 ⑶一致性 ⑷易操作性 ⑸可靠性 ⑹层次性 ⑺可评价性
企业内部的正常 3 运行受到影响超 出了损失预算: 存在机会成本
企业外部的生意 5 受到影响;对企 业财政有致命的 影响
损失在生意运作中 1 可以接受:或对企 业无较大的影响,
3 对企业的运转有不可
接受的影响
对企业的经营管理有 5 不可接受的影响
风险评估结果
风险评估结果=危险评估×可见性评估 十事故结果评估×事故影响评估,
9.4.3电子商务系统的安全需求分析
通过分析以下因素,可以定义电子商务 系统的安全需求:
⑵风险评估矩阵
在风险评估矩阵中,考虑多种因素,而 且还应考虑它们之间的关系。
在下面的评估矩阵中,首先对各种因素 进行评估,如危险性、可见性,然后以 一定的关系式把它们联系起来,最后得 到评估结果。
⑵风险评估矩阵表 风险评估矩阵列表1
危险性
评估
危险不太活跃, 1 而且暴露于危险
中的机会不很多
电子商务系统安全
本章内容
o 9.1 电子商务系统安全 o 9.2 电子商务系统安全体系框架 o 9.3 电子商务系统安全设计的原则 o 9.4 电子商务系统安全体系的设计
9.1电子商务系统安全
电子商务系统安全问题涉及到许多方面。 首先,安全不是一个单一的问题。 其次,安全问题是动态的。 再次,安全问题不能仅仅由技术来完全解决。
9.4电子商务系统安全体系的设计
制定安全规划的工作步骤包括:
– 对企业电子商务系统安全风险进行评估 – 分析企业电子商务系统的安全需求 – 定义企业电子商务系统安全规划的范围 – 建立项目小组以设计和实施安全规划 – 制定企业电子商务系统的安全策略 – 制定企业电子商务系统的安全方案 – 评估安全方案的代价和优缺点 – 测试和实施安全方案
可见性
评估
很低的可见性,没有 1 提供任何公共信息
服务,
分数
危险并不明确,而 3 且危险是多重的
间断的提供公共信 3 息服务,
危险非常活跃,而 5 且危险ቤተ መጻሕፍቲ ባይዱ多重的
持续提供公共信息服 5 务,
风险评估矩阵列表2
事故结果
评估 事故结果的影响 评估 分数
没有任何影响和损 1 夫;在损失预算 之内:风险可以 转移
然后把“风险评估结果”用下面的值评 估。
●2~10:低风险 ●11~29:中等风险 ●30~50:高风险
风险评估举例
假设我们用Wi表示资源的重要性程度, 而用Ri表示资源面临的危险大小,
资源重要性的估计值我们用从0到1中的 一个值来代表,0为最低,1为最高,
而资源面临的风险值我们用从0到10中的 一个值来代表,0为最低,10为最高。
9.4.1识别企业信息资产
通过识别用户的信息资产,建立信息资 产列表。
企业信息资产包括:数据与文档、硬件, 软件,人员四个方面。
企业的信息资产
资产类型
说明
硬件
包括服务器、工作站、路由器、交换机、防火墙、入侵检测系统、 终端、打印机等整件设备,也包括主版、CPU、硬盘、显示器 等散件设备。
9.4.2电子商务系统风险识别、 分析和评估
1.电子商务面临的威胁
电子商务安全主要可划分为
计算机信息系统安全 商务交易安全
⑴计算机信息系统面临的威胁
归结起来,针对计算机信息系统安全的 威胁主要有三:
①人为的无意失误 ②人为的恶意攻击 ③软件的漏洞和“后门”
⑵电子商务交易安全威胁类别
级别3:私有信息。如果该类信息被未授 权用户访问,将对公司正常运作产生影 响,并导致经济上的损失。
级别4:秘密信息。未授权的外部或内部 用户对这类数据的访问对公司是非常致 命的。
列出信息资产清单
在你开发安全方案之前,务必要列出属 于上述每个项目的每个信息资产的清单, 并确定所有相应的信息资源的安全级别 及相应的系统安全性需求。
目前,一般的电子商务系统都面临着以 下几种安全隐患:
①信息的截获和窃取 ②信息的篡改 ③信息假冒 ④交易抵赖
2.电子商务系统风险分析和评估
⑴敏感性/结果 决定电子商务系统敏感性等级的因素有两个: 第一个是事故的直接后果。 第二个应考虑的因素是政治上和企业的敏感性。
信息资产可以通过资产的保护价值进行 分类。如:机密级、内部访问级、内部 信息、共享级。
对人员的分类类似于信息资产的分类。
信息分为四个级别
级别1:公开或未分类信息:该类信息数据 不需要经过公司任何批准就可以向大众 公开。
级别2:内部信息。外部对这类信息访问 是被禁止的,
信息分为四个级别
9.2电子商务系统安全体系框架
电子商务还没有统一建立的标准的系统安全体 系框架。可参照信息系统的安全体系框架。
信息系统安全的总需求是物理安全、网络安全、 数据安全、信息内容安全、信息基础设施安全 与公共信息安全的总和。
信息系统安全的最终目的是确保信息的保密性、 完整性、可用性、可审计性和不可否认性,以 及信息系统主体对信息资源的控制。