第八章电子商务安全风险管理beaf

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,电子商务安全与管理,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,电子商务安全与管理,*,第,8,章 电子商务安全风险管理,问题的提出,电子商务在今日充满机遇，可是作为一名电子商务的参与者，你是否了解电子商务中哪些要素的收益和风险是并存的？,在大多数情况下，电子商务系统顺利的运行，但可能有时候，一个,意外和无法控制的外部事件,会扰乱正常的业务操作,作好最坏情况的准备，是,风险管理,的重要方面,2024/10/4,电子商务安全与管理,2,抓,狂,引例,1-,会计咨询公司,Armstrong Gilmour,的倒闭,90,年代末，,Phil Gilmour,是加利福尼亚的一家会计咨询公司,Armstrong Gilmour,的管理合伙人。公司相当一部分业务是个人委托的管理私人抚恤基金业务。客户的养老金和投资数据存储在一个,公司数据库,，客户可以在线访问数据库，并核对他们的帐户。,Gilmour,致力于管理的养老基金业务增长迅速，因为无法处理日益繁忙的存储，,数据库崩溃,了。幸运的是，公司的计算机系统有一个磁带备份，因此,Gilmour,认为客户的数据应该是安全的。当该公司试图恢复养老金数据备份磁带的时候，却发现,磁带上的数据已经被损坏,了。,剩下的唯一的选择是昂贵和痛苦的。公司的员工在接下来几个星期内不得不花费很长的时间长重新手动恢复数据库。但这次灾难耗费的总费用可能远远大于员工耗费的时间和用于数据库恢复的数千美元。在公司失去一部分委托人的信任和信誉之后，,Gilmour,最终损失了,数百万美元,，以低价出售了公司。,2024/10/4,电子商务安全与管理,3,电子商务安全与管理,4,引例,2,汇丰银行网络一天内遭万次攻击 顾客信心受损,汇丰银行网络所遭受的攻击引发了电子商务时代企业安全风险管理的重视，但是企业该如何加强安全风险管理呢？,2024/10/4,电子商务安全与管理,5,电子商务中存在的安全风险,8.1,电子商务安全风险管理的演进,8.2,电子商务安全风险管理流程,8.3,电子商务安全风险管理的整体策略,目录,2024/10/4,思考：,电子商务中存在哪些安全风险？,自然灾害,火灾,洪水,飓风,地震,2024/10/4,电子商务安全与管理,6,与不安全通信网络相关的风险,消费者所面临的风险,虚假的或恶意的网站,用户数据的泄露,隐私与,cookies,的使用,2024/10/4,电子商务安全与管理,7,电子商务中存在的安全风险,与不安全通信网络相关的风险,消费者所面临的风险,2024/10/4,电子商务安全与管理,8,电子商务中存在的安全风险,与不安全通信网络相关的风险,商家所面临的风险,客户假冒,拒绝服务袭击,故意性的破坏网站,数据的失窃,产品或者服务出现问题的赔偿,侵犯版权、商标、专利引起的诉讼,2024/10/4,电子商务安全与管理,9,电子商务中存在的安全风险,与企业内部网相关的风险,离职员工的破坏活动,在职员工的威胁,不适当地使用电子邮件和互联网,2024/10/4,电子商务安全与管理,10,电子商务中存在的安全风险,贸易伙伴间商业交易数据传输中的风险,企业内部网、企业外部网及互联网之间的关系,数据截取,受保密措施维护的档案文件、主文件与参考数据所面临的风险,2024/10/4,电子商务安全与管理,11,电子商务中存在的安全风险,电子商务安全与管理,12,8.1,电子商务安全风险管理的演进,8.1.1,电子商务安全管理的发展历程,事件驱动时期,只重视技术防御,静态、局部、事后纠正,标准化时期,基本形成安全管理体系,安全风险分析不足,2024/10/4,电子商务安全与管理,13,8.1.1,电子商务安全管理的发展历程,安全风险管理时期,电子商务安全风险：,由于从事电子商务活动过程中相关的网络以及系统存在的安全不确定性而产生的经济或其他利益的损失、自然破坏或损害的,可能性,8.1,电子商务安全风险管理的演进,2024/10/4,电子商务安全与管理,14,8.1.1,电子商务安全管理的发展历程,安全风险管理时期,风险管理（,Risk Management,）,降低各种风险的发生概率，或当某种风险突然降临时，减少损失的管理过程,宗旨：,承认成功的攻击将会存在，但发生的可能性及产生后果的严重程度将被控制在,最小值,风险管理最早于,1930,年起源于美国。由于受到,1929,1933,年的世界性经济危机的影响，美国约有,40,左右的银行和企业破产，经济倒退了约,20,年。美国企业为应对经营上的危机，许多大中型企业都在内部设立了保险管理部门，负责安排企业的各种,保险,项目,所属学科：通信科技（一级学科）；政策、法规与管理（二级学科）,IT,风险管理与分析,8.1,电子商务安全风险管理的演进,2024/10/4,电子商务安全与管理,15,8.1.2,电子商务安全风险管理的现状,企业已对安全风险管理达成共识,安全风险管理的国际标准和各国规范逐渐形成并趋于完善,利用,外部专业化机构,进行安全性评估已成为大部分国家的选择,国内的权威,IT,技术审计机构,/,信息安全评测机构,8.1,电子商务安全风险管理的演进,2024/10/4,电子商务安全与管理,16,8.1,电子商务安全风险管理的演进,2024/10/4,电子商务安全与管理,17,8.1,电子商务安全风险管理的演进,2024/10/4,电子商务安全与管理,18,8.1,电子商务安全风险管理的演进,2024/10/4,电子商务安全与管理,19,8.1,电子商务安全风险管理的演进,2024/10/4,电子商务安全与管理,20,8.1,电子商务安全风险管理的演进,2024/10/4,电子商务安全与管理,21,8.2,电子商务安全风险管理流程,8.2.1,安全风险管理中的因素关系,8.2.2,风险识别分析,8.2.3,风险评估,8.2.4,风险控制和风险接受,8.2.5,监控和审计,2024/10/4,电子商务安全与管理,22,8.2,电子商务安全风险管理流程,8.2.1,安全风险管理中的因素关系,2024/10/4,有漏洞的电子商务系统一定会出现安全问题吗？,受到威胁的电子商务系统一定会出现安全问题吗？,No!,安全需求,信息资产的价值会影响实际风险吗？,Yes!,No!,电子商务安全与管理,23,8.2,电子商务安全风险管理流程,8.2.1,安全风险管理中的因素关系,2024/10/4,风险识别分析阶段,风险评估阶段,风险控制阶段,电子商务安全与管理,24,8.2,电子商务安全风险管理流程,8.2.2,风险识别分析,1.,风险识别的一般步骤,信息资产的识别与估价,定性方法,威胁的识别与评估,分级赋值,薄弱点评价,2024/10/4,定性,电子商务安全与管理,25,8.2,电子商务安全风险管理流程,8.2.2,风险识别分析,2.,风险识别阶段的常用方法,风险分析调查表,分类法,资产,风险分析调查表,网络设备,网络设备有无专人管理？,有无专门的网络设备维护制度？,网络设备有无备份？,服务器,服务器有无专门的管理制度？,服务器是否有备份？,服务器内容的访问规则有否？,数据库,数据库的更新频率是否符合标准,数据库内容是否备份？,企业是否将全部重要信息都集中保存？,是,否,2024/10/4,电子商务安全与管理,26,8.2,电子商务安全风险管理流程,8.2.2,风险识别分析,2.,风险识别阶段的常用方法,事故树分析法,事故树分析法（,Accident Tree Analysis,，简称,ATA,）起源于故障树分析法（,Fault Tree Analysis,，简称,FTA,），是安全系统工程的重要分析方法之一,属于,演绎法,：从结果入手，分析原因,2024/10/4,小知识：你知道什么是,归纳法,吗？,电子商务安全与管理,27,8.2,电子商务安全风险管理流程,8.2.2,风险识别分析,2.,风险识别阶段的常用方法,事故树分析法,事故树分析法首先由美国贝尔实验室于,1961,年,为研究,民兵式导弹发射控制系统,时提出，,1974,年,美国原子能委员会运用,FTA,对核电站事故进行了风险评价，发表了著名的,拉姆逊报告,。该报告对事故树分析作了大规模有效的应用。此后，在社会各界引起了极大的反响，受到了广泛的重视，从而迅速在许多国家和许多企业应用和推广。,中国开展事故树分析方法的研究是从,1978,年,开始的。,80,年代末,，,铁路运输系统,开始把事故树分析方法应用到安全生产和劳动保护上来，也已取得了较好的效果。,2024/10/4,电子商务安全与管理,28,8.2,电子商务安全风险管理流程,8.2.2,风险识别分析,2.,风险识别阶段的常用方法,事故树分析法,事故树由各种符号和其连接的逻辑门组成,矩形符号：表示结果事件,“机动车追尾”,“服务中断”,圆形符号：表示基本,(,原因,),事件,“酒后开车”,“拒绝服务攻击”,逻辑门符号：表示与、或、非,2024/10/4,电子商务安全与管理,29,8.2,电子商务安全风险管理流程,8.2.2,风险识别分析,2.,风险识别阶段的常用方法,事故树分析法,2024/10/4,电子商务安全与管理,30,8.2,电子商务安全风险管理流程,8.2.2,风险识别分析,2.,风险识别阶段的常用方法,事故树分析法,病毒攻击,服务中断,设备毁坏,管理缺陷,泄密,制度漏洞,火灾,损失事故,声誉破坏,2024/10/4,电子商务安全与管理,31,8.2,电子商务安全风险管理流程,8.2.3,风险评估,风险识别工作结束后，要利用适当的风险测量方法、工具确定风险的大小与风险等级，这就是,风险评估,过程,请学习,P315,例,1,，例,2,2024/10/4,定量,R=R(P,T,P,V,I),I=VC,L,电子商务安全与管理,32,8.2,电子商务安全风险管理流程,8.2.3,风险评估,根据风险计算的结果，可以得到资产风险评估的相对优先顺序，将风险划分为不同的等级，,风险级别高,的资产需要,优先分配资源保护,2024/10/4,例,2,中哪个子系统将优先分配资源进行保护？,电子商务子系统,电子商务安全与管理,33,8.2,电子商务安全风险管理流程,8.2.4,风险控制和风险接受,风险控制的基本方法,减少威胁程度,减少薄弱点,2024/10/4,风险规避,风险预防,风险分散,风险转移,电子商务安全与管理,34,8.2,电子商务安全风险管理流程,8.2.4,风险控制和风险接受,风险评估风险接受过程,风险评估过程,安全控制措施选择,实施安全控制降低风险,接受残余风险,2024/10/4,R,r,=R,0,-,R,R,r,R,t,电子商务安全与管理,35,8.2,电子商务安全风险管理流程,8.2.5,监控和审计,实时监控,网络安全性扫描,系统漏洞扫描,数据库自动扫描,人员操作情况扫描,审计评估,操作系统的审计,应用系统的审计,设备的审计,网络应用的审计,专门的审计评估系统的作用,2024/10/4,反馈,电子商务安全与管理,36,8.3,电子商务安全风险管理的整体策略,8.3.1,安全风险管理策略应遵循的原则,制定前提,对法律法规要求的依从,对组织业务要求的依从,对经济原则的依从,2024/10/4,安全策略,具体措施,指导方针,实施细节,电子商务安全与管理,37,8.3.1,安全风险管理策略应遵循的原则,1.,控制论和系统论思想的运用,信息方法,2024/10/4,8.3,电子商务安全风险管理的整体策略,电子商务安全与管理,38,8.3.1,安全风险管理策略应遵循的原则,1.,控制论和系统论思想的运用,信息方法,反馈方法,2.,借鉴其他领域的风险管理方法,目前电子商务安全风险管理方法与传统风险管理方法的差距,风险评估矩阵,2024/10/4,8.3,电子商务安全风险管理的整体策略,电子商务安全与管理,39,2024/10/4,8.3