電子商務安全風險管理

電子商務安全風險管理28.1電子商務安全風險管理的演進8.2電子商務安全風險管理流程8.3電子商務安全風險管理的整體策略目錄3引例——匯豐銀行網(wǎng)絡一天內(nèi)遭萬次攻擊

顧客信心受損

匯豐銀行網(wǎng)絡所遭受的攻擊引發(fā)了電子商務時代企業(yè)安全風險管理的重視，但是企業(yè)該如何加強安全風險管理呢？48.1電子商務安全風險管理的演進8.1.1電子商務安全管理的發(fā)展歷程事件驅動時期標準化時期安全風險管理時期58.1.2電子商務安全風險管理的現(xiàn)狀企業(yè)已對安全風險管理達成共識安全風險管理的國際標準和各國規(guī)范逐漸形成并趨于完善利用外部專業(yè)化機構進行安全性評估已成為大部分國家的選擇：中國公安部信息安全等級保護評估中心全國信息安全標準化技術委員會中國信息安全產(chǎn)品測評認證中心上海市信息安全產(chǎn)品測評認證中心上海市信息安全測評認證中心深圳市信息安全測評中心8.1電子商務安全風險管理的演進68.2電子商務安全風險管理流程8.2.1安全風險管理中的因素關系8.2.2風險識別分析8.2.3風險評估8.2.4風險控制和風險接受8.2.5監(jiān)控和審計78.2電子商務安全風險管理流程8.2.1安全風險管理中的因素關系安全風險管理中各因素之間的聯(lián)系：88.2電子商務安全風險管理流程8.2.1安全風險管理中的因素關系風險識別分析階段風險評估階段風險控制階段98.2電子商務安全風險管理流程8.2.2風險識別分析1.風險識別的一般步驟信息資產(chǎn)的識別與估價威脅的識別與評估薄弱點評價108.2電子商務安全風險管理流程8.2.2風險識別分析2.風險識別階段的常用方法風險分析調查表資產(chǎn)風險分析調查表網(wǎng)絡設備網(wǎng)絡設備有無專人管理？有無專門的網(wǎng)絡設備維護制度？網(wǎng)絡設備有無備份？……服務器服務器有無專門的管理制度？服務器是否有備份？服務器內(nèi)容的訪問規(guī)則有否？……數(shù)據(jù)庫數(shù)據(jù)庫的更新頻率是否符合標準數(shù)據(jù)庫內(nèi)容是否備份？企業(yè)是否將全部重要信息都集中保存？…………是否118.2電子商務安全風險管理流程事故樹分析法病毒攻擊服務中斷設備毀壞管理缺陷泄密制度漏洞火災損失事故聲譽破壞128.2電子商務安全風險管理流程8.2.3風險評估風險識別工作結束后，要利用適當?shù)娘L險測量方法、工具確定風險的大小與風險等級，這就是風險評估過程。根據(jù)風險計算的結果，可以得到資產(chǎn)風險評估的相對優(yōu)先順序，將風險劃分為不同的等級，風險級別高的資產(chǎn)需要優(yōu)先分配資源保護。138.2電子商務安全風險管理流程8.2.4風險控制和風險接受風險評估－風險接受過程：風險評估過程

安全控制措施選擇

實施安全控制降低風險

接受殘余風險

148.2電子商務安全風險管理流程8.2.5監(jiān)控和審計

專門的審計評估系統(tǒng)可以起到以下作用：對于已經(jīng)發(fā)生的系統(tǒng)破壞行為提供有力的證據(jù)提供有價值的系統(tǒng)使用日志提供系統(tǒng)運行的統(tǒng)計日志158.3電子商務安全風險管理的整體策略8.3.1安全風險管理策略應遵循的原則

1.控制論和系統(tǒng)論思想的運用信息方法用信息的觀點，把系統(tǒng)看作是借助于信息的獲取、傳遞、加工、處理而實現(xiàn)其有目的性運動的一種研究方法。反饋方法把一個系統(tǒng)的輸出信息，再引向輸入端，并對信息的再輸出發(fā)生影響的控制方式

2.借鑒其他領域的風險管理方法

3.融入企業(yè)整體風險管理168.3.2策略的總體框架在安全風險管理策略系統(tǒng)中技術和管理手段的無縫集