电子商务安全评估与管理
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
上一页
下一页
返回本章首页
电子商务安全
上一页
下一页
返回本章首页
➢风险的识别
• 风险的识别 – 识别漏洞 – 识别现实的威胁 – 检查对策和预防措施 – 识别风险
电子商务安全
上一页
下一页
返回本章首页
电子商务安全
➢风险的测量
即识别出在受到攻击后该组织需要付出的代价。 资金 时间 资源 信誉
上一页
下一页
上一页
下一页
返回本章首页
电子源自文库务安全
第10章 电子商务安全评估与管理
10.1 电子商务安全评估 10.2 电子商务安全立法 10.3 电子商务安全管理
上一页
下一页
返回本章首页
电子商务安全
➢风险管理
安全就是风险管理,是信息资产评估的基础。
➢风险 风险是丢失需要保护的资产的可能性。
两个组成部分:威胁+漏洞=风险
•漏洞(Hole):系统硬件或者软件存在某种形式的安全方面 的脆弱性,是攻击可能的途径。
上一页
下一页
返回本章首页
电子商务安全
➢威胁的情况与对策
(5)数据驱动式攻击(恶意软件) 对策:小心防范数据文件中的内容,尤其是附件 (6)拒绝服务 对策:保持计算平台和网络设备的即时更新,有效配置 防火墙 (7)DNS欺骗 对策:网络防火墙,依靠双DNS服务器,隐藏内部IP地址 (8)源路由(IP的路由事先由发送者来确定) 对策:网络防火墙和路由屏幕。 (9)内部威胁(内部人员作恶或犯罪的威胁) 对策:责任分开、最小特权、对个体的可审性。
上一页
下一页
返回本章首页
➢信息安全管理的程序
电子商务安全
(1)计划:制定工作计划,明确责任分工,安排工 作进度,突出工作重点,形成工作文件。 (2)执行:按照计划展开各项工作,包括建立权威 的安全机构,落实必要的安全措施,开展全员的安全 培训等。 (3)检查:对信息安全管理体系进行符合性检查。 (4)行动:依据上述检查结果,对现有信息安全管 理策略的适宜性进行评审与评估,评价现有信息安全 管理体系的有效性,采取改进措施。
上一页
下一页
返回本章首页
➢电子商务安全管理
➢三个概念的关系
管理
安全管理 任务:保证管理对象的安全 目标:达到所需的安全级别
信息安全管理 对象:信息及其载体
电子商务安全
上一页
下一页
返回本章首页
➢安全管理模型
风险分析
电子商务安全 安全要求
策略 任务、目标、对象、原则、程序、方法
行动(Action)
计划(Plan)
实施改进 检查效果
制定计划 持续发展
建立机构 落实措施 开展培训
检查(Check) 执行(Do)
上一页
下一页
返回本章首页
➢信息安全管理策略
电子商务安全
任务:保证信息的使用安全和信息载体的运行安 全 目标:达到信息系统所需的安全级别,将风险控 制在用户可以接收的程度。 对象:从内涵上讲是信息及其载体——信息系统, 从外延上说其范围是由实际应用环境来界定。
电子商务安全
上一页
下一页
返回本章首页
电子商务安全
➢威胁的情况与对策
(1)社会工程 对策:培训所有企业用户、系统管理员、允许外 访人员进入严格限制区域的负责人的安全意识。 (2)电子窃听 对策:鉴别和加密 (3)软件缺陷(缓冲器溢出) 对策:即时更新系统和软件 (4)信任转移(把信任关系委托给可信的中介) 对策:映射主机之间的信任关系时特别小心。
返回本章首页
电子商务安全
➢安全成熟度模型
美国Carnegie Mellon大学的软件工程研究所制定了系统安全工程能 力成熟度模型(SSE-CMM),用来测量组织的解决方案(软件、硬件 和系统)的能力和效力。 可以就以下3个方面进行分析:安全计划、技术和配置、运行过程。
安全成熟度能力级 说明 别
无效力(50%)
上一页
下一页
返回本章首页
电子商务安全
➢安全管理策略
原则:
(1)策略指导原则(统一的策略指导)
(2)风险评估原则(策略依据风险评估结果)
(3)预防为主原则(不可事后弥补)
(4)适度安全原则(注重实效)
(5)立足国内原则(不可未经许可,未能消化改造直
接使用境外的安全保密技术和产品设备)
(6)成熟技术原则(重视新技术成熟的程度)
上一页
下一页
返回本章首页
电子商务安全
➢风险的度量
确定事件发生的可能性: 低级别风险是漏洞使组织的风险达到一定水平, 然而不一定发生。 中级别风险是漏洞使组织的信息系统或场地的 风险达到相当的水平,并且已有发生事件的现 实可能性。 高级别风险是漏洞对组织的信息、系统或场地 的机密性、完整性、可用性和可审计性已构成 现实危害。
上一页
下一页
返回本章首页
电子商务安全
➢安全管理策略
原则: (7)规范标准原则(遵循统一操作规范和技术标准) (8)均衡防护原则(注意薄弱环节或漏洞) (9)分权制衡原则(要害权限不可交给个人管理) (10)全体参与原则(全体相关人员都有责任) (11)应急恢复原则(要有应急响应预案) (12)持续发展原则(实施动态管理,能持续改进)
•威胁(Threat):一个可能破坏信息系统环境安全的动作或 事件。包含:
•目标:可能受到攻击的方面,如机密性 •代理:发出威胁的人或组织,包括访问能力,知识, 动机
•事件:代理采取的行为
上一页
下一页
返回本章首页
➢威胁
➢威胁的来源 (1)人为差错和设计缺陷 (2)内部人员 (3)临时员工 (4)自然灾害和环境危害 (5)黑客和其他入侵者 (6)病毒和其他恶意软件
总的安全体系结构没有遵从企业安全策略、法规, 以及最佳经营实际
需要改进(65%) 合适(85%)
安全体系结构中无效力的应少于35%
企业的安全计划、部署、配置和过程控制使安全体 系结构能满足总的目标
极好(超过100%) 安全体系结构超过了总的目标及要求
上一页
下一页
返回本章首页
电子商务安全
➢电子商务安全管理
➢安全管理的概念
安全管理是以管理对象的安 全为任务和目标的管理。 任务:是保证管理对象的安全 目标:达到管理对象所需的安 全级别,将风险控制在可以接 受的程度。
上一页
下一页
返回本章首页
电子商务安全
➢电子商务安全管理
➢信息安全管理的概念
信息安全管理是以信息及其载体——即信息系统为 对象的安全管理。 任务:是保证信息的使用安全和信息载体的运行安全 目标:达到信息系统所需的安全级别,将风险控制在 用户可以接受的程度。