電子商務(wù)系統(tǒng)安全規(guī)劃培訓(xùn)資料課件

第６章電子商務(wù)系統(tǒng)安全規(guī)劃1第６章電子商務(wù)系統(tǒng)安全規(guī)劃1本章內(nèi)容６.1電子商務(wù)系統(tǒng)安全６.2電子商務(wù)系統(tǒng)安全體系框架６.3電子商務(wù)系統(tǒng)安全設(shè)計(jì)的原則６.4電子商務(wù)系統(tǒng)安全體系的設(shè)計(jì)2本章內(nèi)容６.1電子商務(wù)系統(tǒng)安全2６.1電子商務(wù)系統(tǒng)安全

電子商務(wù)系統(tǒng)安全問題涉及到許多方面。首先，安全不是一個(gè)單一的問題。其次，安全問題是動(dòng)態(tài)的。再次，安全問題不能僅僅由技術(shù)來完全解決。3６.1電子商務(wù)系統(tǒng)安全

電子商務(wù)系統(tǒng)安全問題涉及到許多方６.2電子商務(wù)系統(tǒng)安全體系框架電子商務(wù)還沒有統(tǒng)一建立的標(biāo)準(zhǔn)的系統(tǒng)安全體系框架。可參照信息系統(tǒng)的安全體系框架。信息系統(tǒng)安全的總需求是物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息內(nèi)容安全、信息基礎(chǔ)設(shè)施安全與公共信息安全的總和。信息系統(tǒng)安全的最終目的是確保信息的保密性、完整性、可用性、可審計(jì)性和不可否認(rèn)性，以及信息系統(tǒng)主體對(duì)信息資源的控制。4６.2電子商務(wù)系統(tǒng)安全體系框架電子商務(wù)還沒有統(tǒng)一建立的標(biāo)準(zhǔn)６.2電子商務(wù)系統(tǒng)安全體系框架信息系統(tǒng)安全體系結(jié)構(gòu)示意圖5６.2電子商務(wù)系統(tǒng)安全體系框架信息系統(tǒng)安全體系結(jié)構(gòu)示意圖5６.3電子商務(wù)系統(tǒng)安全設(shè)計(jì)的原則⑴均衡性⑵整體性⑶一致性⑷易操作性⑸可靠性⑹層次性⑺可評(píng)價(jià)性6６.3電子商務(wù)系統(tǒng)安全設(shè)計(jì)的原則⑴均衡性6６.4電子商務(wù)系統(tǒng)安全體系的設(shè)計(jì)制定安全規(guī)劃的工作步驟包括：對(duì)企業(yè)電子商務(wù)系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估分析企業(yè)電子商務(wù)系統(tǒng)的安全需求定義企業(yè)電子商務(wù)系統(tǒng)安全規(guī)劃的范圍建立項(xiàng)目小組以設(shè)計(jì)和實(shí)施安全規(guī)劃制定企業(yè)電子商務(wù)系統(tǒng)的安全策略制定企業(yè)電子商務(wù)系統(tǒng)的安全方案評(píng)估安全方案的代價(jià)和優(yōu)缺點(diǎn)測(cè)試和實(shí)施安全方案7６.4電子商務(wù)系統(tǒng)安全體系的設(shè)計(jì)制定安全規(guī)劃的工作步驟包括6.4.1識(shí)別企業(yè)信息資產(chǎn)要保護(hù)企業(yè)的電子商務(wù)系統(tǒng)安全，首先要知道企業(yè)中有哪些可識(shí)別的資產(chǎn)，哪些是最關(guān)鍵的、需要重點(diǎn)防護(hù)的，哪些是次要一些的但是也需要保護(hù)的，哪些是不需要專門關(guān)注的。企業(yè)信息資產(chǎn)包括：數(shù)據(jù)與文檔、硬件，軟件，人員四個(gè)方面。86.4.1識(shí)別企業(yè)信息資產(chǎn)要保護(hù)企業(yè)的電子商務(wù)系統(tǒng)安全，首６.4.1識(shí)別企業(yè)信息資產(chǎn)資產(chǎn)類型說明硬件包括服務(wù)器、工作站、路由器、交換機(jī)、防火墻、入侵檢測(cè)系統(tǒng)、終端、打印機(jī)等整件設(shè)備，也包括主板、CPU、硬盤、顯示器等散件設(shè)備軟件包括源代碼、應(yīng)用程序、工具、分析測(cè)試軟件、操作系統(tǒng)等數(shù)據(jù)包括軟硬件運(yùn)行中的中間數(shù)據(jù)、備份資料、系統(tǒng)狀態(tài)、審計(jì)日志、數(shù)據(jù)庫資料等人員包括用戶、管理員、維護(hù)人員等文檔包括軟件程序、硬件設(shè)備、系統(tǒng)狀態(tài)、本地管理過程的資料消耗品包括紙張、軟盤、磁帶等企業(yè)的信息資產(chǎn)9６.4.1識(shí)別企業(yè)信息資產(chǎn)資產(chǎn)類型說明硬件包６.4.2電子商務(wù)系統(tǒng)風(fēng)險(xiǎn)識(shí)別、分析和評(píng)估1.電子商務(wù)系統(tǒng)面臨的威脅電子商務(wù)的核心是通過信息網(wǎng)絡(luò)技術(shù)來傳遞商業(yè)信息和進(jìn)行網(wǎng)絡(luò)交易，所以從整體上來看，電子商務(wù)安全主要可劃分為計(jì)算機(jī)信息系統(tǒng)安全和商務(wù)交易安全等。10６.4.2電子商務(wù)系統(tǒng)風(fēng)險(xiǎn)識(shí)別、分析和評(píng)估1.電子1．電子商務(wù)面臨的威脅（1）計(jì)算機(jī)信息系統(tǒng)面臨的威脅①人為的無意失誤②人為的惡意攻擊③軟件的漏洞和“后門”111．電子商務(wù)面臨的威脅（1）計(jì)算機(jī)信息系統(tǒng)面臨的威脅111．電子商務(wù)面臨的威脅（2）電子商務(wù)交易安全威脅類別。①信息的截獲和竊取。②信息的篡改。③假冒。④交易抵賴。121．電子商務(wù)面臨的威脅（2）電子商務(wù)交易安全威脅類別。122.電子商務(wù)系統(tǒng)風(fēng)險(xiǎn)分析和評(píng)估⑴敏感性／結(jié)果決定電子商務(wù)系統(tǒng)敏感性等級(jí)的因素有兩個(gè)：第一個(gè)是事故的直接后果。第二個(gè)應(yīng)考慮的因素是政治上和企業(yè)的敏感性。132.電子商務(wù)系統(tǒng)風(fēng)險(xiǎn)分析和評(píng)估⑴敏感性／結(jié)果13⑵風(fēng)險(xiǎn)評(píng)估矩陣在風(fēng)險(xiǎn)評(píng)估矩陣中，考慮多種因素，而且還應(yīng)考慮它們之間的關(guān)系。14⑵風(fēng)險(xiǎn)評(píng)估矩陣在風(fēng)險(xiǎn)評(píng)估矩陣中，考慮多種因素，而且還應(yīng)考慮它⑵風(fēng)險(xiǎn)評(píng)估矩陣危險(xiǎn)性評(píng)估可見性評(píng)估分?jǐn)?shù)危險(xiǎn)不太活躍，而且暴露于危險(xiǎn)中的機(jī)會(huì)不很多1很低的可見性，沒有提供任何公共信息服務(wù)，1危險(xiǎn)并不明確，而且危險(xiǎn)是多重的3間斷的提供公共信息服務(wù)，3危險(xiǎn)非常活躍，而且危險(xiǎn)是多重的5持續(xù)提供公共信息服務(wù)，5風(fēng)險(xiǎn)評(píng)估矩陣列表115⑵風(fēng)險(xiǎn)評(píng)估矩陣危險(xiǎn)性評(píng)估可見性評(píng)估分?jǐn)?shù)危險(xiǎn)不太活躍，而且暴露⑵風(fēng)險(xiǎn)評(píng)估矩陣事故結(jié)果評(píng)估事故結(jié)果的影響評(píng)估分?jǐn)?shù)沒有任何影響和損夫；在損失預(yù)算之內(nèi)：風(fēng)險(xiǎn)可以轉(zhuǎn)移1損失在生意運(yùn)作中可以接受：或?qū)ζ髽I(yè)無較大的影響，1企業(yè)內(nèi)部的正常運(yùn)行受到影響超出了損失預(yù)算：存在機(jī)會(huì)成本3對(duì)企業(yè)的運(yùn)轉(zhuǎn)有不可接受的影響3企業(yè)外部的生意受到影響；對(duì)企業(yè)財(cái)政有致命的影響5對(duì)企業(yè)的經(jīng)營管理有不可接受的影響5風(fēng)險(xiǎn)評(píng)估矩陣列表216⑵風(fēng)險(xiǎn)評(píng)估矩陣事故結(jié)果評(píng)估事故結(jié)果的影響評(píng)估分?jǐn)?shù)沒有任何影（3）基本的風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估和管理任務(wù)詳細(xì)風(fēng)險(xiǎn)評(píng)估活動(dòng)資產(chǎn)識(shí)別和估價(jià)列出在安全管理體系范圍內(nèi)被評(píng)估的商業(yè)環(huán)境、運(yùn)作和信息相關(guān)的資產(chǎn)威脅評(píng)估使用通用或一般的常見威脅的列表，列出資產(chǎn)的威脅薄弱點(diǎn)評(píng)估應(yīng)用通用或一般的常見薄弱點(diǎn)的列表，列出資產(chǎn)的薄弱點(diǎn)現(xiàn)有的和計(jì)劃了的安全控制的識(shí)別根據(jù)前期的安全評(píng)審，對(duì)所有與資產(chǎn)相關(guān)聯(lián)的現(xiàn)有的和計(jì)劃了的控制進(jìn)行識(shí)別和文件化風(fēng)險(xiǎn)評(píng)估搜集由上述評(píng)估產(chǎn)生的有關(guān)資產(chǎn)、威脅和薄弱點(diǎn)的信息，以便能夠進(jìn)行一個(gè)系統(tǒng)的、簡(jiǎn)單的風(fēng)險(xiǎn)測(cè)量安全控制和降低風(fēng)險(xiǎn)的識(shí)別和選擇對(duì)于每一項(xiàng)列出的資產(chǎn)，確認(rèn)相關(guān)的控制目標(biāo)。應(yīng)用與這些資產(chǎn)的每一個(gè)方面相關(guān)的威脅和薄弱點(diǎn)，選擇相關(guān)聯(lián)的控制，以完成這些目標(biāo)風(fēng)險(xiǎn)接受在整體的基礎(chǔ)上，通過選擇附加的控制，考慮更進(jìn)一步的降低風(fēng)險(xiǎn)基本的風(fēng)險(xiǎn)評(píng)估活動(dòng)17（3）基本的風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估和管理任務(wù)詳細(xì)風(fēng)險(xiǎn)評(píng)估活動(dòng)資產(chǎn)（4）詳細(xì)的風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估和管理任務(wù)詳細(xì)風(fēng)險(xiǎn)評(píng)估活動(dòng)資產(chǎn)識(shí)別和估價(jià)識(shí)別和列出安全管理范圍內(nèi)被評(píng)估的商業(yè)環(huán)境、運(yùn)作和信息相關(guān)的所有的資產(chǎn)，定義一個(gè)價(jià)值尺度并為每一項(xiàng)資產(chǎn)分配價(jià)值（保密性、完整性和可用性的價(jià)值）威脅評(píng)估識(shí)別與資產(chǎn)相關(guān)的所有威脅，并根據(jù)它們發(fā)生的可能性和嚴(yán)重性為它們賦值薄弱點(diǎn)評(píng)估識(shí)別與資產(chǎn)相關(guān)的所有的薄弱點(diǎn)，并根據(jù)它們?cè)鯓虞p易被威脅利用來為它們賦值現(xiàn)有的和計(jì)劃了的安全控制的識(shí)別根據(jù)前期評(píng)審，將所有現(xiàn)有的和計(jì)劃了的與資產(chǎn)相關(guān)的安全控制進(jìn)行識(shí)別和文件化風(fēng)險(xiǎn)評(píng)估利用上述對(duì)資產(chǎn)、威脅、薄弱點(diǎn)的評(píng)價(jià)結(jié)果，進(jìn)行風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)為資產(chǎn)的相對(duì)價(jià)值、威脅發(fā)生的可能性與薄弱點(diǎn)被利用的可能性的函數(shù)，采用適當(dāng)?shù)娘L(fēng)險(xiǎn)測(cè)量工具進(jìn)行風(fēng)險(xiǎn)計(jì)算安全控制和降低風(fēng)險(xiǎn)的識(shí)別和選擇根據(jù)從上述評(píng)估中識(shí)別的風(fēng)險(xiǎn)，適當(dāng)?shù)陌踩刂菩枰蛔R(shí)別以阻止這些風(fēng)險(xiǎn)。對(duì)于每一項(xiàng)的資產(chǎn)，識(shí)別與每一項(xiàng)被評(píng)估的風(fēng)險(xiǎn)相關(guān)的控制目標(biāo)。根據(jù)對(duì)這些資產(chǎn)的每一項(xiàng)相關(guān)的威脅和薄弱點(diǎn)識(shí)別安全控制，以完成這些目標(biāo)。最后，評(píng)估被選擇的安全控制在多大程度上降低了被識(shí)別的風(fēng)險(xiǎn)風(fēng)險(xiǎn)接受對(duì)殘余的風(fēng)險(xiǎn)加以分類，或是“可接受的”或是“不可接受的”。對(duì)那些被確認(rèn)是“不可接受的”，決定是否應(yīng)該選擇更進(jìn)一步的控制，或者接受殘留風(fēng)險(xiǎn)的水平詳細(xì)的風(fēng)險(xiǎn)評(píng)估活動(dòng)18（4）詳細(xì)的風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估和管理任務(wù)詳細(xì)風(fēng)險(xiǎn)評(píng)估活動(dòng)資產(chǎn)６.4.3電子商務(wù)系統(tǒng)的安全需求分析通過分析以下因素，可以定義電子商務(wù)系統(tǒng)的安全需求：需要保護(hù)的資源。資源面臨的威脅。威脅發(fā)生的機(jī)率。19６.4.3電子商務(wù)系統(tǒng)的安全需求分析通過分析以下因素，可以６.4.4定義電子商務(wù)系統(tǒng)的安全規(guī)劃的范圍安全規(guī)劃首先需要定義規(guī)劃的范圍，以指明規(guī)劃能夠處理哪些風(fēng)險(xiǎn)。規(guī)劃范圍準(zhǔn)確地限定了安全規(guī)劃將處理電子商務(wù)系統(tǒng)中的哪個(gè)區(qū)域。設(shè)計(jì)安全方案之前，企業(yè)必須定義規(guī)劃的范圍，以指明將來的安全方案準(zhǔn)備處理哪些風(fēng)險(xiǎn)。20６.4.4定義電子商務(wù)系統(tǒng)的安全規(guī)劃的范圍安全規(guī)劃首先需６.4.5電子商務(wù)系統(tǒng)安全策略的制定安全策略是對(duì)一種處理安全問題的規(guī)則的描述。管理人員在安全策略方面的抉擇與資源分配、競(jìng)爭(zhēng)的目標(biāo)以及組織策略有關(guān)，涉及技術(shù)、信息資源和員工行為指導(dǎo)。制定安全策略的目的就是決定一個(gè)電子商務(wù)系統(tǒng)怎樣來保護(hù)自己。根據(jù)安全需求制定的系統(tǒng)的安全策略是安全方案的主要內(nèi)容。21６.4.5電子商務(wù)系統(tǒng)安全策略的制定安全策略是對(duì)一種處理６.4.5電子商務(wù)系統(tǒng)安全策略的制定1.權(quán)衡要點(diǎn)制定安全策略是進(jìn)行利與弊的權(quán)衡，一般來說，權(quán)衡的要點(diǎn)如下：●功能和安全性能。●用戶操作的便利性和安全性能。●成本與功能。22６.4.5電子商務(wù)系統(tǒng)安全策略的制定1.權(quán)衡要點(diǎn)222.安全策略的范圍安全策略的范圍232.安全策略的范圍安全策略的范圍232.安全策略的范圍安全策略范圍安全策略內(nèi)容身份認(rèn)證及授權(quán)策略包括認(rèn)證及授權(quán)機(jī)制、方式和審計(jì)記錄等災(zāi)難恢復(fù)策略包括負(fù)責(zé)人員、恢復(fù)機(jī)制、方式、歸檔管理、硬件和軟件等事故處理、緊急響應(yīng)策略包括響應(yīng)小組、聯(lián)系方式、事故處理計(jì)劃和控制過程等安全教育策略包括安全策略的發(fā)布宣傳、執(zhí)行效果的監(jiān)督、安全技能的培訓(xùn)、安全意識(shí)教育等口令管理策略包括口令管理方式、口令設(shè)置規(guī)則和口令適應(yīng)規(guī)則等補(bǔ)丁管理策略包括系統(tǒng)補(bǔ)丁的更新、測(cè)試和安裝等系統(tǒng)變更控制策略包括設(shè)備、軟件配置、控制措施、數(shù)據(jù)變更管理和一致性管理等商業(yè)伙伴、客戶關(guān)系策略包括合同條款安全策略、客戶服務(wù)安全建議等復(fù)查審計(jì)策略包括對(duì)安全策略的定期復(fù)查、對(duì)安全控制及過程的重新評(píng)估、對(duì)系統(tǒng)日志記錄的審計(jì)、對(duì)安全技術(shù)發(fā)展的跟蹤等續(xù)表安全策略的范圍242.安全策略的范圍安全策略范圍安全策略內(nèi)容身份認(rèn)證及授權(quán)3．制定安全策略的步驟制定安全策略時(shí)的步驟253．制定安全策略的步驟制定安全策略時(shí)的步驟25６.4.6制訂電子商務(wù)系統(tǒng)的安全方案1.安全方案的主要內(nèi)容⑴技術(shù)體系的建立⑵組織機(jī)構(gòu)的建立⑶管理體系的建立⑷安全方案實(shí)施計(jì)劃26６.4.6制訂電子商務(wù)系統(tǒng)的安全方案1.安全方案的主要６.4.6制訂電子商務(wù)系統(tǒng)的安全方案2.制定安全方案(1)定義范圍。(2)確定安全方案制定小組。(3)搜集安全需求。(4)定義安全基準(zhǔn)。(5)定義安全基準(zhǔn)。27６.4.6制訂電子商務(wù)系統(tǒng)的安全方案2.制定安全方案26.4.7評(píng)估安全方案安全方案制定出來之后還需要評(píng)估才能確定是否可以采納。評(píng)估一個(gè)安全方案可從以下幾個(gè)方面進(jìn)行：計(jì)劃、設(shè)計(jì)、測(cè)試和開發(fā)該安全方案所需的資源。開發(fā)后管理和維護(hù)該方案所需的資源。培訓(xùn)用戶使用新系統(tǒng)和掌握新技術(shù)所需的資源。支持用戶使用新技術(shù)所需的資源。安全方案實(shí)施后，損失的用戶帶來的影響。增加密碼操作負(fù)載后，計(jì)算機(jī)和網(wǎng)絡(luò)增加的負(fù)載和降低的性能。286.4.7評(píng)估安全方案安全方案制定出來之后還需要評(píng)估才能6.4.8實(shí)施安全方案當(dāng)安全方案獲得采納之后，將開始實(shí)施安全方案。可以建立一個(gè)實(shí)施小組，或者通過系統(tǒng)的實(shí)施小組來實(shí)施，任務(wù)的分配與實(shí)施的時(shí)間進(jìn)度，應(yīng)參照已制定的安全方案實(shí)施計(jì)劃。實(shí)施成功的關(guān)鍵是找到可用資源、時(shí)間進(jìn)度和任務(wù)之間的合理平衡。296.4.8實(shí)施安全方案當(dāng)安全方案獲得采納之后，將開始實(shí)施思考題1．電子商務(wù)系統(tǒng)安全設(shè)計(jì)的原則有哪些？2．制定安全規(guī)劃的工作包括哪些步驟？30思考題1．電子商務(wù)系統(tǒng)安全設(shè)計(jì)的原則有哪些？30END謝謝！31END謝謝！31第６章電子商務(wù)系統(tǒng)安全規(guī)劃32第６章電子商務(wù)系統(tǒng)安全規(guī)劃1本章內(nèi)容６.1電子商務(wù)系統(tǒng)安全６.2電子商務(wù)系統(tǒng)安全體系框架６.3電子商務(wù)系統(tǒng)安全設(shè)計(jì)的原則６.4電子商務(wù)系統(tǒng)安全體系的設(shè)計(jì)33本章內(nèi)容６.1電子商務(wù)系統(tǒng)安全2６.1電子商務(wù)系統(tǒng)安全

電子商務(wù)系統(tǒng)安全問題涉及到許多方面。首先，安全不是一個(gè)單一的問題。其次，安全問題是動(dòng)態(tài)的。再次，安全問題不能僅僅由技術(shù)來完全解決。34６.1電子商務(wù)系統(tǒng)安全

電子商務(wù)系統(tǒng)安全問題涉及到許多方６.2電子商務(wù)系統(tǒng)安全體系框架電子商務(wù)還沒有統(tǒng)一建立的標(biāo)準(zhǔn)的系統(tǒng)安全體系框架?？蓞⒄招畔⑾到y(tǒng)的安全體系框架。信息系統(tǒng)安全的總需求是物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息內(nèi)容安全、信息基礎(chǔ)設(shè)施安全與公共信息安全的總和。信息系統(tǒng)安全的最終目的是確保信息的保密性、完整性、可用性、可審計(jì)性和不可否認(rèn)性，以及信息系統(tǒng)主體對(duì)信息資源的控制。35６.2電子商務(wù)系統(tǒng)安全體系框架電子商務(wù)還沒有統(tǒng)一建立的標(biāo)準(zhǔn)６.2電子商務(wù)系統(tǒng)安全體系框架信息系統(tǒng)安全體系結(jié)構(gòu)示意圖36６.2電子商務(wù)系統(tǒng)安全體系框架信息系統(tǒng)安全體系結(jié)構(gòu)示意圖5６.3電子商務(wù)系統(tǒng)安全設(shè)計(jì)的原則⑴均衡性⑵整體性⑶一致性⑷易操作性⑸可靠性⑹層次性⑺可評(píng)價(jià)性37６.3電子商務(wù)系統(tǒng)安全設(shè)計(jì)的原則⑴均衡性6６.4電子商務(wù)系統(tǒng)安全體系的設(shè)計(jì)制定安全規(guī)劃的工作步驟包括：對(duì)企業(yè)電子商務(wù)系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估分析企業(yè)電子商務(wù)系統(tǒng)的安全需求定義企業(yè)電子商務(wù)系統(tǒng)安全規(guī)劃的范圍建立項(xiàng)目小組以設(shè)計(jì)和實(shí)施安全規(guī)劃制定企業(yè)電子商務(wù)系統(tǒng)的安全策略制定企業(yè)電子商務(wù)系統(tǒng)的安全方案評(píng)估安全方案的代價(jià)和優(yōu)缺點(diǎn)測(cè)試和實(shí)施安全方案38６.4電子商務(wù)系統(tǒng)安全體系的設(shè)計(jì)制定安全規(guī)劃的工作步驟包括6.4.1識(shí)別企業(yè)信息資產(chǎn)要保護(hù)企業(yè)的電子商務(wù)系統(tǒng)安全，首先要知道企業(yè)中有哪些可識(shí)別的資產(chǎn)，哪些是最關(guān)鍵的、需要重點(diǎn)防護(hù)的，哪些是次要一些的但是也需要保護(hù)的，哪些是不需要專門關(guān)注的。企業(yè)信息資產(chǎn)包括：數(shù)據(jù)與文檔、硬件，軟件，人員四個(gè)方面。396.4.1識(shí)別企業(yè)信息資產(chǎn)要保護(hù)企業(yè)的電子商務(wù)系統(tǒng)安全，首６.4.1識(shí)別企業(yè)信息資產(chǎn)資產(chǎn)類型說明硬件包括服務(wù)器、工作站、路由器、交換機(jī)、防火墻、入侵檢測(cè)系統(tǒng)、終端、打印機(jī)等整件設(shè)備，也包括主板、CPU、硬盤、顯示器等散件設(shè)備軟件包括源代碼、應(yīng)用程序、工具、分析測(cè)試軟件、操作系統(tǒng)等數(shù)據(jù)包括軟硬件運(yùn)行中的中間數(shù)據(jù)、備份資料、系統(tǒng)狀態(tài)、審計(jì)日志、數(shù)據(jù)庫資料等人員包括用戶、管理員、維護(hù)人員等文檔包括軟件程序、硬件設(shè)備、系統(tǒng)狀態(tài)、本地管理過程的資料消耗品包括紙張、軟盤、磁帶等企業(yè)的信息資產(chǎn)40６.4.1識(shí)別企業(yè)信息資產(chǎn)資產(chǎn)類型說明硬件包６.4.2電子商務(wù)系統(tǒng)風(fēng)險(xiǎn)識(shí)別、分析和評(píng)估1.電子商務(wù)系統(tǒng)面臨的威脅電子商務(wù)的核心是通過信息網(wǎng)絡(luò)技術(shù)來傳遞商業(yè)信息和進(jìn)行網(wǎng)絡(luò)交易，所以從整體上來看，電子商務(wù)安全主要可劃分為計(jì)算機(jī)信息系統(tǒng)安全和商務(wù)交易安全等。41６.4.2電子商務(wù)系統(tǒng)風(fēng)險(xiǎn)識(shí)別、分析和評(píng)估1.電子1．電子商務(wù)面臨的威脅（1）計(jì)算機(jī)信息系統(tǒng)面臨的威脅①人為的無意失誤②人為的惡意攻擊③軟件的漏洞和“后門”421．電子商務(wù)面臨的威脅（1）計(jì)算機(jī)信息系統(tǒng)面臨的威脅111．電子商務(wù)面臨的威脅（2）電子商務(wù)交易安全威脅類別。①信息的截獲和竊取。②信息的篡改。③假冒。④交易抵賴。431．電子商務(wù)面臨的威脅（2）電子商務(wù)交易安全威脅類別。122.電子商務(wù)系統(tǒng)風(fēng)險(xiǎn)分析和評(píng)估⑴敏感性／結(jié)果決定電子商務(wù)系統(tǒng)敏感性等級(jí)的因素有兩個(gè)：第一個(gè)是事故的直接后果。第二個(gè)應(yīng)考慮的因素是政治上和企業(yè)的敏感性。442.電子商務(wù)系統(tǒng)風(fēng)險(xiǎn)分析和評(píng)估⑴敏感性／結(jié)果13⑵風(fēng)險(xiǎn)評(píng)估矩陣在風(fēng)險(xiǎn)評(píng)估矩陣中，考慮多種因素，而且還應(yīng)考慮它們之間的關(guān)系。45⑵風(fēng)險(xiǎn)評(píng)估矩陣在風(fēng)險(xiǎn)評(píng)估矩陣中，考慮多種因素，而且還應(yīng)考慮它⑵風(fēng)險(xiǎn)評(píng)估矩陣危險(xiǎn)性評(píng)估可見性評(píng)估分?jǐn)?shù)危險(xiǎn)不太活躍，而且暴露于危險(xiǎn)中的機(jī)會(huì)不很多1很低的可見性，沒有提供任何公共信息服務(wù)，1危險(xiǎn)并不明確，而且危險(xiǎn)是多重的3間斷的提供公共信息服務(wù)，3危險(xiǎn)非?；钴S，而且危險(xiǎn)是多重的5持續(xù)提供公共信息服務(wù)，5風(fēng)險(xiǎn)評(píng)估矩陣列表146⑵風(fēng)險(xiǎn)評(píng)估矩陣危險(xiǎn)性評(píng)估可見性評(píng)估分?jǐn)?shù)危險(xiǎn)不太活躍，而且暴露⑵風(fēng)險(xiǎn)評(píng)估矩陣事故結(jié)果評(píng)估事故結(jié)果的影響評(píng)估分?jǐn)?shù)沒有任何影響和損夫；在損失預(yù)算之內(nèi)：風(fēng)險(xiǎn)可以轉(zhuǎn)移1損失在生意運(yùn)作中可以接受：或?qū)ζ髽I(yè)無較大的影響，1企業(yè)內(nèi)部的正常運(yùn)行受到影響超出了損失預(yù)算：存在機(jī)會(huì)成本3對(duì)企業(yè)的運(yùn)轉(zhuǎn)有不可接受的影響3企業(yè)外部的生意受到影響；對(duì)企業(yè)財(cái)政有致命的影響5對(duì)企業(yè)的經(jīng)營管理有不可接受的影響5風(fēng)險(xiǎn)評(píng)估矩陣列表247⑵風(fēng)險(xiǎn)評(píng)估矩陣事故結(jié)果評(píng)估事故結(jié)果的影響評(píng)估分?jǐn)?shù)沒有任何影（3）基本的風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估和管理任務(wù)詳細(xì)風(fēng)險(xiǎn)評(píng)估活動(dòng)資產(chǎn)識(shí)別和估價(jià)列出在安全管理體系范圍內(nèi)被評(píng)估的商業(yè)環(huán)境、運(yùn)作和信息相關(guān)的資產(chǎn)威脅評(píng)估使用通用或一般的常見威脅的列表，列出資產(chǎn)的威脅薄弱點(diǎn)評(píng)估應(yīng)用通用或一般的常見薄弱點(diǎn)的列表，列出資產(chǎn)的薄弱點(diǎn)現(xiàn)有的和計(jì)劃了的安全控制的識(shí)別根據(jù)前期的安全評(píng)審，對(duì)所有與資產(chǎn)相關(guān)聯(lián)的現(xiàn)有的和計(jì)劃了的控制進(jìn)行識(shí)別和文件化風(fēng)險(xiǎn)評(píng)估搜集由上述評(píng)估產(chǎn)生的有關(guān)資產(chǎn)、威脅和薄弱點(diǎn)的信息，以便能夠進(jìn)行一個(gè)系統(tǒng)的、簡(jiǎn)單的風(fēng)險(xiǎn)測(cè)量安全控制和降低風(fēng)險(xiǎn)的識(shí)別和選擇對(duì)于每一項(xiàng)列出的資產(chǎn)，確認(rèn)相關(guān)的控制目標(biāo)。應(yīng)用與這些資產(chǎn)的每一個(gè)方面相關(guān)的威脅和薄弱點(diǎn)，選擇相關(guān)聯(lián)的控制，以完成這些目標(biāo)風(fēng)險(xiǎn)接受在整體的基礎(chǔ)上，通過選擇附加的控制，考慮更進(jìn)一步的降低風(fēng)險(xiǎn)基本的風(fēng)險(xiǎn)評(píng)估活動(dòng)48（3）基本的風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估和管理任務(wù)詳細(xì)風(fēng)險(xiǎn)評(píng)估活動(dòng)資產(chǎn)（4）詳細(xì)的風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估和管理任務(wù)詳細(xì)風(fēng)險(xiǎn)評(píng)估活動(dòng)資產(chǎn)識(shí)別和估價(jià)識(shí)別和列出安全管理范圍內(nèi)被評(píng)估的商業(yè)環(huán)境、運(yùn)作和信息相關(guān)的所有的資產(chǎn)，定義一個(gè)價(jià)值尺度并為每一項(xiàng)資產(chǎn)分配價(jià)值（保密性、完整性和可用性的價(jià)值）威脅評(píng)估識(shí)別與資產(chǎn)相關(guān)的所有威脅，并根據(jù)它們發(fā)生的可能性和嚴(yán)重性為它們賦值薄弱點(diǎn)評(píng)估識(shí)別與資產(chǎn)相關(guān)的所有的薄弱點(diǎn)，并根據(jù)它們?cè)鯓虞p易被威脅利用來為它們賦值現(xiàn)有的和計(jì)劃了的安全控制的識(shí)別根據(jù)前期評(píng)審，將所有現(xiàn)有的和計(jì)劃了的與資產(chǎn)相關(guān)的安全控制進(jìn)行識(shí)別和文件化風(fēng)險(xiǎn)評(píng)估利用上述對(duì)資產(chǎn)、威脅、薄弱點(diǎn)的評(píng)價(jià)結(jié)果，進(jìn)行風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)為資產(chǎn)的相對(duì)價(jià)值、威脅發(fā)生的可能性與薄弱點(diǎn)被利用的可能性的函數(shù)，采用適當(dāng)?shù)娘L(fēng)險(xiǎn)測(cè)量工具進(jìn)行風(fēng)險(xiǎn)計(jì)算安全控制和降低風(fēng)險(xiǎn)的識(shí)別和選擇根據(jù)從上述評(píng)估中識(shí)別的風(fēng)險(xiǎn)，適當(dāng)?shù)陌踩刂菩枰蛔R(shí)別以阻止這些風(fēng)險(xiǎn)。對(duì)于每一項(xiàng)的資產(chǎn)，識(shí)別與每一項(xiàng)被評(píng)估的風(fēng)險(xiǎn)相關(guān)的控制目標(biāo)。根據(jù)對(duì)這些資產(chǎn)的每一項(xiàng)相關(guān)的威脅和薄弱點(diǎn)識(shí)別安全控制，以完成這些目標(biāo)。最后，評(píng)估被選擇的安全控制在多大程度上降低了被識(shí)別的風(fēng)險(xiǎn)風(fēng)險(xiǎn)接受對(duì)殘余的風(fēng)險(xiǎn)加以分類，或是“可接受的”或是“不可接受的”。對(duì)那些被確認(rèn)是“不可接受的”，決定是否應(yīng)該選擇更進(jìn)一步的控制，或者接受殘留風(fēng)險(xiǎn)的水平詳細(xì)的風(fēng)險(xiǎn)評(píng)估活動(dòng)49（4）詳細(xì)的風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估和管理任務(wù)詳細(xì)風(fēng)險(xiǎn)評(píng)估活動(dòng)資產(chǎn)６.4.3電子商務(wù)系統(tǒng)的安全需求分析通過分析以下因素，可以定義電子商務(wù)系統(tǒng)的安全需求：需要保護(hù)的資源。資源面臨的威脅。威脅發(fā)生的機(jī)率。50６.4.3電子商務(wù)系統(tǒng)的安全需求分析通過分析以下因素，可以６.4.4定義電子商務(wù)系統(tǒng)的安全規(guī)劃的范圍安全規(guī)劃首先需要定義規(guī)劃的范圍，以指明規(guī)劃能夠處理哪些風(fēng)險(xiǎn)。規(guī)劃范圍準(zhǔn)確地限定了安全規(guī)劃將處理電子商務(wù)系統(tǒng)中的哪個(gè)區(qū)域。設(shè)計(jì)安全方案之前，企業(yè)必須定義規(guī)劃的范圍，以指明將來的安全方案準(zhǔn)備處理哪些風(fēng)險(xiǎn)。51６.4.4定義電子商務(wù)系統(tǒng)的安全規(guī)劃的范圍安全規(guī)劃首先需６.4.5電子商務(wù)系統(tǒng)安全策略的制定安全策略是對(duì)一種處理安全問題的規(guī)則的描述。管理人員在安全策略方面的抉擇與資源分配、競(jìng)爭(zhēng)的目標(biāo)以及組織策略有關(guān)，涉及技術(shù)、信息資源和員工行為指導(dǎo)。制定安全策略的目的就是決定一個(gè)電子商務(wù)系統(tǒng)怎樣來保護(hù)自己。根據(jù)安全需求制定的系統(tǒng)的安全策略是安全方案的主要內(nèi)容。52６.4.5電子商務(wù)系統(tǒng)安全策略的制定安全策略是對(duì)一種處理６.4.5電子商務(wù)系統(tǒng)安全策略的制定1.權(quán)衡要點(diǎn)制定安全策略是進(jìn)行利與弊的權(quán)衡，一般來說，權(quán)衡的要點(diǎn)如下：●功能和安全性能?！裼脩舨僮鞯谋憷院桶踩阅??！癯杀九c功能。53６.4.5電子商務(wù)系統(tǒng)安全策略的制定1.權(quán)衡要點(diǎn)222.安全策略的范圍安全策略的范圍542.安全策略的范圍安全策略的范圍232.安全策略的范圍安全策略范圍安全策略內(nèi)容身份認(rèn)證及授權(quán)策略包括認(rèn)證及授權(quán)機(jī)制、方式和審計(jì)記錄等災(zāi)難恢復(fù)策略包括負(fù)責(zé)人員、恢復(fù)機(jī)制、方式、歸檔管理、硬件和軟件等事故處理、緊急響應(yīng)策略包括響應(yīng)小組、聯(lián)系方式、事故處理計(jì)劃和控制過程等安全教育策略包括安全策略的發(fā)布宣傳、執(zhí)行效果的監(jiān)督、安全技能的培訓(xùn)、安全意識(shí)教育等口令管理策略包