50 元
下载资源

电子商务系统分析与设计第06章 电子商务系统安全规划

上传人:you****now 文档编号:244010425 上传时间:2024-10-02 格式:PPTX 页数:31 大小:125.49KB
返回 下载 相关 举报
电子商务系统分析与设计第06章 电子商务系统安全规划_第1页
第1页 / 共31页
电子商务系统分析与设计第06章 电子商务系统安全规划_第2页
第2页 / 共31页
电子商务系统分析与设计第06章 电子商务系统安全规划_第3页
第3页 / 共31页
点击查看更多>>
资源描述
,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,第章 电子商务系统安全规划,1,本章内,容,容,.1,电,电,子,子商务,系,系统安,全,全,.2,电,电,子,子商务,系,系统安,全,全体系,框,框架,.3,电,电,子,子商务,系,系统安,全,全设计,的,的原则,.4,电,电,子,子商务,系,系统安,全,全体系,的,的设计,2,.1电子商,务,务系统,安,安全,电子商,务,务系统,安,安全问,题,题涉及,到,到许多,方,方面。,首先,,安,安全不,是,是一个,单,单一的,问,问题。,其次,,安,安全问,题,题是动,态,态的。,再次,,安,安全问,题,题不能,仅,仅仅由,技,技术来,完,完全解,决,决。,3,.2,电,电子,商,商务系,统,统安全,体,体系框架,电子商,务,务还没,有,有统一,建,建立的,标,标准的,系,系统安,全,全体系,框,框架。,可,可参照,信,信息系,统,统的安,全,全体系,框,框架。,信息系,统,统安全,的,的总需求是物理,安,安全、,网,网络安,全,全、数,据,据安全,、,、信息,内,内容安,全,全、信,息,息基础,设,设施安,全,全与公,共,共信息,安,安全的,总,总和。,信息系,统,统安全,的,的最终目,的,的是确保,信,信息的,保,保密性,、,、完整,性,性、可,用,用性、,可,可审计,性,性和不,可,可否认,性,性,以,及,及信息,系,系统主,体,体对信,息,息资源,的,的控制,。,。,4,.2,电,电子,商,商务系,统,统安全,体,体系框架,信息系,统,统安全,体,体系结,构,构示意,图,图,5,.3,电,电子,商,商务系,统,统安全,设,设计的,原,原则,均衡,性,性,整体,性,性,一致,性,性,易操,作,作性,可靠,性,性,层次,性,性,可评,价,价性,6,.4,电,电子,商,商务系,统,统安全,体,体系的,设,设计,制定安,全,全规划,的,的工作步,骤,骤包括:,对企业,电,电子商,务,务系统,安,安全风,险,险进行,评,评估,分析企,业,业电子,商,商务系,统,统的安,全,全需求,定义企,业,业电子,商,商务系,统,统安全,规,规划的,范,范围,建立项,目,目小组,以,以设计,和,和实施,安,安全规,划,划,制定企,业,业电子,商,商务系,统,统的安,全,全策略,制定企,业,业电子,商,商务系,统,统的安,全,全方案,评估安,全,全方案,的,的代价,和,和优缺,点,点,测试和,实,实施安,全,全方案,7,6.4,.,.1,识,识别企,业,业信息,资,资产,要保护,企,企业的,电,电子商,务,务系统,安,安全,,首,首先要,知,知道企,业,业中有,哪,哪些可,识,识别的,资,资产,,哪,哪些是,最,最关键,的,的、需,要,要重点,防,防护的,,,,哪些,是,是次要,一,一些的,但,但是也,需,需要保,护,护的,,哪,哪些是,不,不需要,专,专门关,注,注的。,企业信,息,息资产,包,包括:,数,数据与,文,文档、,硬,硬件,,软,软件,,人,人员四,个,个方面,。,。,8,.4,.,.1,识,识别企,业,业信息,资,资产,资 产 类 型,说 明,硬件,包括服务器、工作站、路由器、交换机、防火墙、入侵检测系统、终端、打印机等整件设备,也包括主板、CPU、硬盘、显示器等散件设备,软件,包括源代码、应用程序、工具、分析测试软件、操作系统等,数据,包括软硬件运行中的中间数据、备份资料、系统状态、审计日志、数据库资料等,人员,包括用户、管理员、维护人员等,文档,包括软件程序、硬件设备、系统状态、本地管理过程的资料,消耗品,包括纸张、软盘、磁带等,企业的,信,信息资,产,产,9,.4,.,.2,电,电子商,务,务系统,风,风险识,别,别、分,析,析和评,估,估,1.,电,电子商,务,务系统,面,面临的,威,威胁,电子商,务,务的核,心,心是通,过,过信息,网,网络技,术,术来传,递,递商业,信,信息和,进,进行网,络,络交易,,,,所以,从,从整体,上,上来看,,,,电子,商,商务安,全,全主要,可,可划分,为,为计算机,信,信息系,统,统安全,和,和商务,交,交易安,全,全等。,10,1电,子,子商务,面,面临的,威,威胁,(1),计,计算机,信,信息系,统,统面临,的,的威胁,人,为,为的无,意,意失误,人,为,为的恶,意,意攻击,软,件,件的漏,洞,洞和“,后,后门”,11,1电,子,子商务,面,面临的,威,威胁,(2),电,电子商,务,务交易,安,安全威,胁,胁类别,。,。,信,息,息的截,获,获和窃,取,取。,信,息,息的篡,改,改。,假,冒,冒。,交,易,易抵赖,。,。,12,2.电,子,子商务,系,系统风,险,险分析,和,和评估,敏感,性,性结,果,果,决定电,子,子商务,系,系统敏,感,感性等,级,级的因,素,素有两,个,个:,第一个,是,是事故,的,的直接,后,后果。,第二个,应,应考虑,的,的因素,是,是政治,上,上和企,业,业的敏,感,感性。,13,风险,评,评估矩,阵,阵,在风险,评,评估矩,阵,阵中,,考,考虑多,种,种因素,,,,而且,还,还应考,虑,虑它们,之,之间的,关,关系。,14,风险,评,评估矩,阵,阵,危险性,评估,可见性,评估,分数,危险不太活跃,而且暴露于危险中的机会不很多,1,很低的可见性,没有提供任何公共信息服务,,1,危险并不明确,而且危险是多重的,3,间断的提供公共信息服务,,3,危险非常活跃,而且危险是多重的,5,持续提供公共信息服务,,5,风险评,估,估矩阵,列,列表1,15,风险,评,评估矩,阵,阵,事故结果,评估,事故结果的影响,评估,分数,没有任何影响和损夫;在损失预算之内:风险可以转移,1,损失在生意运作中可以接受:或对企业无较大的影响,,1,企业内部的正常运行受到影响超出了损失预算:存在机会成本,3,对企业的运转有不可接受的影响,3,企业外部的生意受到影响;对企业财政有致命的影响,5,对企业的经营管理有不可接受的影响,5,风险评,估,估矩阵,列,列表2,16,(3),基,基本的,风,风险评,估,估,风险评估和管理任务,详细风险评估活动,资产识别和估价,列出在安全管理体系范围内被评估的商业环境、运作和信息相关的资产,威胁评估,使用通用或一般的常见威胁的列表,列出资产的威胁,薄弱点评估,应用通用或一般的常见薄弱点的列表,列出资产的薄弱点,现有的和计划了的安全控制的识别,根据前期的安全评审,对所有与资产相关联的现有的和计划了的控制进行识别和文件化,风险评估,搜集由上述评估产生的有关资产、威胁和薄弱点的信息,以便能够进行一个系统的、简单的风险测量,安全控制和降低风险的识别和选择,对于每一项列出的资产,确认相关的控制目标。应用与这些资产的每一个方面相关的威胁和薄弱点,选择相关联的控制,以完成这些目标,风险接受,在整体的基础上,通过选择附加的控制,考虑更进一步的降低风险,基本的,风,风险评,估,估活动,17,(4),详,详细的,风,风险评,估,估,风险评估和管理任务,详细风险评估活动,资产识别和估价,识别和列出安全管理范围内被评估的商业环境、运作和信息相关的所有的资产,定义一个价值尺度并为每一项资产分配价值(保密性、完整性和可用性的价值),威胁评估,识别与资产相关的所有威胁,并根据它们发生的可能性和严重性为它们赋值,薄弱点评估,识别与资产相关的所有的薄弱点,并根据它们怎样轻易被威胁利用来为它们赋值,现有的和计划了的安全控制的识别,根据前期评审,将所有现有的和计划了的与资产相关的安全控制进行识别和文件化,风险评估,利用上述对资产、威胁、薄弱点的评价结果,进行风险评估,风险为资产的相对价值、威胁发生的可能性与薄弱点被利用的可能性的函数,采用适当的风险测量工具进行风险计算,安全控制和降低风险的识别和选择,根据从上述评估中识别的风险,适当的安全控制需要被识别以阻止这些风险,。对于每一项的资产,,识别与每一项被评估的风险相关的控制目标。根据对这些资产的每一项相关的威胁和薄弱点识别安全控制,以完成这些目标。最后,评估被选择的安全控制在多大程度上降低了被识别的风险,风险接受,对残余的风险加以分类,或是“可接受的”或是“不可接受的”。对那些被确认是“不可接受的”,决定是否应该选择更进一步的控制,或者接受残留风险的水平,详细的,风,风险评,估,估活动,18,.4,.,.3,电,电子商,务,务系统,的,的安全,需,需求分,析,析,通过分,析,析以下,因,因素,,可,可以定,义,义电子,商,商务系,统,统的安,全,全需求,:,:,需要保,护,护的资,源,源。,资源面,临,临的威,胁,胁。,威胁发,生,生的机,率,率。,19,.4,.,.4,定,定义,电,电子商,务,务系统,的,的安全,规,规划的,范,范围,安全规,划,划首先,需,需要定,义,义规划,的,的范围,,,,以指,明,明规划,能,能够处,理,理哪些,风,风险。,规划范,围,围准确,地,地限定,了,了安全,规,规划将,处,处理电,子,子商务,系,系统中,的,的哪个,区,区域。,设计安,全,全方案,之,之前,,企,企业必,须,须定义,规,规划的,范,范围,,以,以指明,将,将来的,安,安全方,案,案准备,处,处理哪,些,些风险。,20,.4,.,.5,电,电子,商,商务系,统,统安全,策,策略的,制,制定,安全策,略,略是对一,种,种处理,安,安全问,题,题的规,则,则的描,述,述。,管理人,员,员在安,全,全策略,方,方面的,抉,抉择与,资,资源分,配,配、竞,争,争的目,标,标以及,组,组织策,略,略有关,,,,涉及,技,技术、,信,信息资,源,源和员,工,工行为,指,指导。,制定安,全,全策略,的,的目的就是决,定,定一个,电,电子商,务,务系统,怎,怎样来,保,保护自,己,己。根,据,据安全,需,需求制,定,定的系,统,统的安,全,全策略,是,是安全,方,方案的,主,主要内,容,容。,21,.4,.,.5电子商,务,务系统,安,安全策,略,略的制,定,定,1.,权,权衡要,点,点,制定安,全,全策略,是,是进行,利,利与弊,的,的权衡,,,,一般,来,来说,,权,权衡的,要,要点如,下,下:,功能,和,和安全,性,性能。,用户,操,操作的,便,便利性,和,和安全,性,性能。,成本,与,与功能,。,。,22,2.,安,安全策,略,略的范,围,围,安全策,略,略的范,围,围,23,2.,安,安全策,略,略的范,围,围,安全策略范围,安全策略内容,身份认证及授权策略,包括认证及授权机制、方式和审计记录等,灾难恢复策略,包括负责人员、恢复机制、方式、归档管理、硬件和软件等,事故处理、紧急响应策略,包括响应小组、联系方式、事故处理计划和控制过程等,安全教育策略,包括安全策略的发布宣传、执行效果的监督、安全技能的培训、安全意识教育等,口令管理策略,包括口令管理方式、口令设置规则和口令适应规则等,补丁管理策略,包括系统补丁的更新、测试和安装等,系统变更控制策略,包括设备、软件配置、控制措施、数据变更管理和一致性管理等,商业伙伴、客户关系策略,包括合同条款安全策略、客户服务安全建议等,复查审计策略,包括对安全策略的定期复查、对安全控制及过程的重新评估、对系统日志记录的审计、对安全技术发展的跟踪等,续表,安全策,略,略的范,围,围,24,3制,定,定安全,策,策略的,步,步骤,制定安,全,全策略,时,时的步,骤,骤,25,.4,.,.6制订电,子,子商务,系,系统的,安,安全方,案,案,1.,安,安全方,案,案的主要内,容,容,技术,体,体系的,建,建立,组织,机,机构的,建,建立,管理,体,体系的,建,建立,安全,方,方案实,施,施计划,26,.4,.,.6,制,制订电,子,子商务,系,系统的,安,安全方,案,案,2.制定安,全,全方案,(1),定,定义,范,范围。,(2),确,确定,安,安全方,案,案制定,小,小组。,(3),搜,搜集,安,安全需,求,求。,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 商业管理 > 市场营销


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!