電子商務(wù)安全教學(xué)課件作者張波08電子商務(wù)安全評(píng)估與管理

第8章電子商務(wù)平安評(píng)估與管理引例

大學(xué)生利用黑客病毒網(wǎng)上盜款48萬(wàn)2006年12月17日，郭浩聯(lián)絡(luò)在山東的孫木云，要求其幫助將錢(qián)轉(zhuǎn)出。隨后，兩人連夜將張先生兩張銀行卡內(nèi)的48萬(wàn)余元分40余筆轉(zhuǎn)出，打入位于廣州、上海和北京的出售游戲點(diǎn)卡的公司，并將點(diǎn)卡存入虛擬的網(wǎng)絡(luò)賬戶(hù)。張先生的48萬(wàn)余元就這樣一夜之間蒸發(fā)了。最后，大學(xué)生郭浩被判處有期徒刑12年,罰金人民幣1.2萬(wàn)元；被告人孫木云犯盜竊罪，判處有期徒刑8年，罰金人民幣8000元。兩名被告人均沒(méi)有提出上訴。資料來(lái)源:賽迪網(wǎng).://ccidnet/,2021.3.10,作者略有刪改。8.1電子商務(wù)平安評(píng)估風(fēng)險(xiǎn)管理從本質(zhì)上講，平安就是風(fēng)險(xiǎn)管理。一個(gè)組織者如果不了解其信息資產(chǎn)的平安風(fēng)險(xiǎn)，很多資源就會(huì)被錯(cuò)誤地使用。風(fēng)險(xiǎn)管理提供信息資產(chǎn)評(píng)估的根底。通過(guò)風(fēng)險(xiǎn)識(shí)別，可以知道一些特殊類(lèi)型的資產(chǎn)價(jià)值以及包含這些信息的系統(tǒng)的價(jià)值。1.風(fēng)險(xiǎn)的概念圖8-1漏洞和威脅的關(guān)系〔1〕漏洞〔2〕威脅〔3〕威脅+漏洞＝風(fēng)險(xiǎn)2.風(fēng)險(xiǎn)的識(shí)別與測(cè)量〔1〕風(fēng)險(xiǎn)的識(shí)別對(duì)一個(gè)組織而言，識(shí)別風(fēng)險(xiǎn)除了要識(shí)別漏洞和威脅外，還應(yīng)考慮已有的對(duì)策和預(yù)防措施，如圖8-2所示。圖8-2一個(gè)組織風(fēng)險(xiǎn)評(píng)估的組成〔2〕風(fēng)險(xiǎn)的測(cè)量風(fēng)險(xiǎn)測(cè)量必須識(shí)別出在受到攻擊后該組織需要付出的代價(jià)。圖8-3表示風(fēng)險(xiǎn)測(cè)量的全過(guò)程。代價(jià)是多方面的，包括資金、時(shí)間、資源、信譽(yù)以及喪失生意等。圖8-3測(cè)量風(fēng)險(xiǎn)平安成熟度模型美國(guó)CarnegieMellon大學(xué)的軟件工程研究所(SoftwareEngineeringinstitute，SEI)制定了系統(tǒng)平安工程能力成熟度模型(SystemSecurityEngineeringCapabilityMaturityModel，SSE—CMM)。它將平安成熟度能力級(jí)別分成4級(jí)，以適應(yīng)不同級(jí)別的平安體系結(jié)構(gòu)，如表8-1所示。表8-1平安成熟度能力級(jí)別1．平安方案3．運(yùn)行過(guò)程威脅威脅包含3個(gè)組成局部：(1)目標(biāo)，可能受到攻擊的方面。(2)代理，發(fā)出威脅的人或組織。(3)事件，做出威脅的動(dòng)作類(lèi)型。作為威脅的代理，必須要有訪問(wèn)目標(biāo)的能力，有關(guān)于目標(biāo)的信息類(lèi)型和級(jí)別的知識(shí)，還要有對(duì)目標(biāo)發(fā)出威脅的理由。1.威脅的來(lái)源〔1〕人為過(guò)失和設(shè)計(jì)缺陷〔2〕內(nèi)部人員〔3〕臨時(shí)員工〔4〕自然災(zāi)害和環(huán)境危害〔5〕黑客和其他入侵者〔6〕病毒和其他惡意軟件2.威脅情況與對(duì)策〔1〕社會(huì)工程(系統(tǒng)管理過(guò)程)〔2〕電子竊聽(tīng)〔3〕軟件缺陷〔4〕信任轉(zhuǎn)移(主機(jī)之間的信任關(guān)系)〔5〕數(shù)據(jù)驅(qū)動(dòng)攻擊(惡意軟件)〔6〕拒絕效勞〔7〕DNS欺騙〔8〕源路由〔9〕內(nèi)部威脅平安評(píng)估方法1．平安評(píng)估過(guò)程圖8-4表示從平安成熟度模型三個(gè)方面的平安評(píng)估階段。圖8-4基于平安成熟度模型的平安評(píng)估階段2．網(wǎng)絡(luò)平安評(píng)估3．平臺(tái)平安評(píng)估平臺(tái)平安評(píng)估的目的是認(rèn)證平臺(tái)的配置(操作系統(tǒng)不易受漏洞損害、文件保護(hù)及對(duì)配置文件有適當(dāng)?shù)谋Ｗo(hù))。認(rèn)證的唯一方法是在該平臺(tái)上執(zhí)行一個(gè)程序〔有時(shí)該程序稱(chēng)為代理，因?yàn)橛善溟_(kāi)始對(duì)全部程序進(jìn)行集中管理〕。假設(shè)平臺(tái)已經(jīng)適當(dāng)加固，那么就要有一個(gè)基準(zhǔn)配置。評(píng)估的第一局部是認(rèn)證基準(zhǔn)配置、操作系統(tǒng)、網(wǎng)絡(luò)效勞(FTP、rlogin、telnet、SSH等)沒(méi)有變更。因?yàn)楹诳褪紫仁菍⑦@些文件版本替換成自己的版本。黑客的版本通常是記錄管理員的口令，并轉(zhuǎn)發(fā)給Internet上的攻擊者。所以，假設(shè)有文件需要打補(bǔ)丁或需要使用效勞包，代理將通知管理員，進(jìn)行平安預(yù)警以保護(hù)平臺(tái)平安。評(píng)估的第二局部是認(rèn)證管理員的口令，大局部機(jī)器不允許應(yīng)用程序的用戶(hù)登錄到平臺(tái)，對(duì)應(yīng)用程序的用戶(hù)鑒別是在平臺(tái)上運(yùn)行的應(yīng)用程序自身來(lái)完成，而不是由平臺(tái)來(lái)完成。此外，還要測(cè)試本地口令的強(qiáng)度，如口令長(zhǎng)度、口令組成、字典攻擊等。最后，還有跟蹤審計(jì)子系統(tǒng)，在黑客作案前就能跟蹤其行跡。4．應(yīng)用平安評(píng)估平安評(píng)估準(zhǔn)那么8.2電子商務(wù)平安立法與網(wǎng)絡(luò)相關(guān)的法律法規(guī)網(wǎng)絡(luò)平安管理的相關(guān)法律法規(guī)1．網(wǎng)絡(luò)效勞機(jī)構(gòu)設(shè)立的條件2．網(wǎng)絡(luò)效勞業(yè)的對(duì)口管理3．互聯(lián)網(wǎng)出入口信道管理4．計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行管理5．平安責(zé)任網(wǎng)絡(luò)用戶(hù)的法律標(biāo)準(zhǔn)2．用戶(hù)使用互聯(lián)網(wǎng)的管理互聯(lián)網(wǎng)信息傳播平安管理制度2．從事非經(jīng)營(yíng)性互聯(lián)網(wǎng)信息效勞應(yīng)提交的材料3．互聯(lián)網(wǎng)信息效勞提供者的義務(wù)4．互聯(lián)網(wǎng)信息效勞提供者不得制作、復(fù)制、發(fā)布、傳播的信息其他法律法規(guī)1．有關(guān)網(wǎng)絡(luò)有害信息的法律標(biāo)準(zhǔn)網(wǎng)絡(luò)有害信息的主要表現(xiàn)有以下幾種。(1)政治領(lǐng)域中的有害信息。(2)倫理道德領(lǐng)域的有害信息。(3)信息傳播領(lǐng)域的有害信息。(4)計(jì)算機(jī)病毒。2.即時(shí)通訊工具公眾信息效勞的法律規(guī)定即時(shí)通訊是指能夠即時(shí)發(fā)送和接收互聯(lián)網(wǎng)消息等的業(yè)務(wù)。自1998年面世以來(lái)，特別是近幾年的迅速開(kāi)展，即時(shí)通訊的功能日益豐富，逐漸集成了電子郵件、博客、音樂(lè)、電視、游戲和搜索等多種功能。即時(shí)通訊不再是一個(gè)單純的聊天工具，它已經(jīng)開(kāi)展成集交流、資訊、娛樂(lè)、搜索、電子商務(wù)、辦公協(xié)作和企業(yè)客戶(hù)效勞等為一體的綜合化信息平臺(tái)，常見(jiàn)的即時(shí)通訊工具有QQ、微信和微博等。我國(guó)互聯(lián)網(wǎng)信息辦公室于2021年8月7日正式發(fā)布了?即時(shí)通訊工具公眾信息效勞開(kāi)展管理暫行規(guī)定?，規(guī)定自公布之日起施行。?規(guī)定?共十條，對(duì)即時(shí)通信工具效勞提供者、使用者的效勞和使用行為進(jìn)行了標(biāo)準(zhǔn)，根據(jù)規(guī)定要求，國(guó)家互聯(lián)網(wǎng)信息辦公室負(fù)責(zé)統(tǒng)籌協(xié)調(diào)指導(dǎo)即時(shí)通信工具公眾信息效勞開(kāi)展管理工作，省級(jí)互聯(lián)網(wǎng)信息內(nèi)容主管部門(mén)負(fù)責(zé)本行政區(qū)域的相關(guān)工作。?規(guī)定?對(duì)通過(guò)即時(shí)通信工具從事公眾信息效勞活動(dòng)提出了明確管理要求。?規(guī)定?對(duì)即時(shí)通信工具和公眾信息效勞都做了明確定義：即時(shí)通信工具是指基于互聯(lián)網(wǎng)面向終端使用者提供即時(shí)信息交流效勞的應(yīng)用，微信、QQ、飛信、陌陌等熱門(mén)應(yīng)用均包括在內(nèi)；公眾信息效勞那么指的是即時(shí)通信工具的公眾賬號(hào)及其他形式向公眾發(fā)布信息的活動(dòng)，例如微信上的各種公眾號(hào)。?規(guī)定?明確要求：3．網(wǎng)上交易的相關(guān)法律法規(guī)為標(biāo)準(zhǔn)網(wǎng)上交易及效勞行為，保護(hù)消費(fèi)者和經(jīng)營(yíng)者的合法權(quán)益，促進(jìn)網(wǎng)絡(luò)經(jīng)濟(jì)持續(xù)健康開(kāi)展。2021年，國(guó)家工商行政管理總局研究起草發(fā)布了?網(wǎng)絡(luò)商品交易及有關(guān)效勞行為管理暫行方法?。該方法共分為六章四十四條，主要規(guī)定了立法依據(jù)、立法宗旨和原那么、立法調(diào)整對(duì)象、網(wǎng)絡(luò)商品經(jīng)營(yíng)者和網(wǎng)絡(luò)效勞經(jīng)營(yíng)者經(jīng)營(yíng)原那么、工商行政管理部門(mén)促進(jìn)網(wǎng)絡(luò)商品交易及有關(guān)效勞行為開(kāi)展的職責(zé)和任務(wù)以及行業(yè)自律等方面的內(nèi)容；規(guī)定了網(wǎng)絡(luò)商品交易及有關(guān)效勞行為標(biāo)準(zhǔn)；規(guī)定了提供網(wǎng)絡(luò)交易平臺(tái)效勞的經(jīng)營(yíng)者的義務(wù)與責(zé)任；規(guī)定了網(wǎng)絡(luò)商品交易及有關(guān)效勞行為監(jiān)督管理職責(zé)；規(guī)定了違反?方法?的法律責(zé)任等。2021年1月26日，國(guó)家工商行政管理總局公布了?網(wǎng)絡(luò)交易管理方法?，自2021年3月15日起施行。同時(shí)廢止國(guó)家工商行政管理總局2021年5月31日發(fā)布的?網(wǎng)絡(luò)商品交易及有關(guān)效勞行為管理暫行方法?。從?暫行方法?到?方法?，行政規(guī)章的名稱(chēng)縮短，涵蓋的范圍卻更加廣泛。新方法充分適應(yīng)了網(wǎng)絡(luò)交易開(kāi)展的新特點(diǎn)，還細(xì)化了對(duì)消費(fèi)者合法權(quán)益的各項(xiàng)保護(hù)措施。我國(guó)電商立法提上日程8.3電子商務(wù)平安管理平安管理的概念管理的概念組成如圖8-5所示。平安管理是以管理對(duì)象的平安為任務(wù)和目標(biāo)的管理。平安管理的任務(wù)是保證管理對(duì)象的平安。平安管理的目標(biāo)是到達(dá)管理對(duì)象所需的平安級(jí)別，將風(fēng)險(xiǎn)控制在可以接受的程度。圖8-5管理的概念組成信息平安管理是以信息及其載體——即信息系統(tǒng)為對(duì)象的平安管理。信息平安管理的任務(wù)是保證信息的使用平安和信息載體的運(yùn)行平安。信息平安管理的目標(biāo)是到達(dá)信息系統(tǒng)所需的平安級(jí)別，將風(fēng)險(xiǎn)控制在用戶(hù)可以接受的程度。信息平安管理有其相應(yīng)的原那么、程序和方法，來(lái)指導(dǎo)和實(shí)現(xiàn)一系列的平安管理活動(dòng)。圖8-6示出了管理、平安管理和信息平安管理的概念關(guān)系。圖8-6管理、平安管理和信息平安管理的概念關(guān)系平安管理的重要性平安管理模型平安管理應(yīng)該是一個(gè)不斷改進(jìn)的持續(xù)開(kāi)展過(guò)程。圖8-7給出的平安管理模型就表達(dá)出這種持續(xù)改進(jìn)的模式。平安管理模型遵循管理的一般循環(huán)模式，即方案(Plan)、執(zhí)行(Do)、檢查(Check)和行動(dòng)(Action)的持續(xù)改進(jìn)模式，簡(jiǎn)稱(chēng)PDCA模式。圖8-7平安管理模型——PDCA持續(xù)改進(jìn)模式平安管理策略平安管理標(biāo)準(zhǔn)BS7799標(biāo)準(zhǔn)是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)制定的信息平安管理標(biāo)準(zhǔn)，是國(guó)際上具有代表性的信息平安管理體系標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)包括以下兩局部：●BS7799—1:1999?信息平安管理實(shí)施規(guī)那么?；●BS7799—2:1999?信息平安管理體系標(biāo)準(zhǔn)?。而在2002年9月5日英國(guó)標(biāo)準(zhǔn)化協(xié)會(huì)又發(fā)布了新版本BS7799-2:2002替代了BS7799-2:1999。BS7799-1(ISO/IEC1799:2000)?信息平安管理實(shí)施細(xì)那么?是組織建立并實(shí)施信息平安管理體系的一個(gè)指導(dǎo)性的準(zhǔn)那么,主要為組織制定其信息平安策略和進(jìn)行有效的信息平安控制提供了一個(gè)群眾化的最正確慣例。BS7799-2?信息平安管理體系標(biāo)準(zhǔn)?規(guī)定了建立、實(shí)施和文件化信息平安管理體系(ISMS)的要求,規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施平安控制的要求。本標(biāo)準(zhǔn)適用以下場(chǎng)合:組織按照本標(biāo)準(zhǔn)要求建立并實(shí)施信息平安管理體系,進(jìn)行有效的信息平安風(fēng)險(xiǎn)管理,