




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)
文檔簡介
1、第8章 電子商務(wù)安全風(fēng)險管理,問題的提出,電子商務(wù)在今日充滿機遇,可是作為一名電子商務(wù)的參與者,你是否了解電子商務(wù)中哪些要素的收益和風(fēng)險是并存的? 在大多數(shù)情況下,電子商務(wù)系統(tǒng)順利的運行,但可能有時候,一個意外和無法控制的外部事件會擾亂正常的業(yè)務(wù)操作 作好最壞情況的準(zhǔn)備,是風(fēng)險管理的重要方面,2020/8/11,電子商務(wù)安全與管理,2,抓 狂,引例1-會計咨詢公司Armstrong Gilmour的倒閉,90年代末,Phil Gilmour是加利福尼亞的一家會計咨詢公司Armstrong Gilmour的管理合伙人。公司相當(dāng)一部分業(yè)務(wù)是個人委托的管理私人撫恤基金業(yè)務(wù)。客戶的養(yǎng)老金和投資數(shù)據(jù)存儲
2、在一個公司數(shù)據(jù)庫,客戶可以在線訪問數(shù)據(jù)庫,并核對他們的帳戶。 Gilmour致力于管理的養(yǎng)老基金業(yè)務(wù)增長迅速,因為無法處理日益繁忙的存儲,數(shù)據(jù)庫崩潰了。幸運的是,公司的計算機系統(tǒng)有一個磁帶備份,因此Gilmour認(rèn)為客戶的數(shù)據(jù)應(yīng)該是安全的。當(dāng)該公司試圖恢復(fù)養(yǎng)老金數(shù)據(jù)備份磁帶的時候,卻發(fā)現(xiàn)磁帶上的數(shù)據(jù)已經(jīng)被損壞了。 剩下的唯一的選擇是昂貴和痛苦的。公司的員工在接下來幾個星期內(nèi)不得不花費很長的時間長重新手動恢復(fù)數(shù)據(jù)庫。但這次災(zāi)難耗費的總費用可能遠(yuǎn)遠(yuǎn)大于員工耗費的時間和用于數(shù)據(jù)庫恢復(fù)的數(shù)千美元。在公司失去一部分委托人的信任和信譽之后,Gilmour最終損失了數(shù)百萬美元,以低價出售了公司。,2020/
3、8/11,電子商務(wù)安全與管理,3,電子商務(wù)安全與管理,4,引例2 匯豐銀行網(wǎng)絡(luò)一天內(nèi)遭萬次攻擊 顧客信心受損,匯豐銀行網(wǎng)絡(luò)所遭受的攻擊引發(fā)了電子商務(wù)時代企業(yè)安全風(fēng)險管理的重視,但是企業(yè)該如何加強安全風(fēng)險管理呢?,2020/8/11,電子商務(wù)安全與管理,5,電子商務(wù)中存在的安全風(fēng)險 8.1 電子商務(wù)安全風(fēng)險管理的演進 8.2 電子商務(wù)安全風(fēng)險管理流程 8.3 電子商務(wù)安全風(fēng)險管理的整體策略,目錄,2020/8/11,思考:電子商務(wù)中存在哪些安全風(fēng)險?,自然災(zāi)害 火災(zāi) 洪水 颶風(fēng) 地震 ,2020/8/11,電子商務(wù)安全與管理,6,與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險 消費者所面臨的風(fēng)險 虛假的或惡意的網(wǎng)站
4、 用戶數(shù)據(jù)的泄露 隱私與cookies的使用,2020/8/11,電子商務(wù)安全與管理,7,電子商務(wù)中存在的安全風(fēng)險,與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險 消費者所面臨的風(fēng)險,2020/8/11,電子商務(wù)安全與管理,8,電子商務(wù)中存在的安全風(fēng)險,與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險 商家所面臨的風(fēng)險 客戶假冒 拒絕服務(wù)襲擊 故意性的破壞網(wǎng)站 數(shù)據(jù)的失竊 產(chǎn)品或者服務(wù)出現(xiàn)問題的賠償 侵犯版權(quán)、商標(biāo)、專利引起的訴訟 ,2020/8/11,電子商務(wù)安全與管理,9,電子商務(wù)中存在的安全風(fēng)險,與企業(yè)內(nèi)部網(wǎng)相關(guān)的風(fēng)險 離職員工的破壞活動 在職員工的威脅 不適當(dāng)?shù)厥褂秒娮余]件和互聯(lián)網(wǎng) ,2020/8/11,電子商務(wù)安全與管理,1
5、0,電子商務(wù)中存在的安全風(fēng)險,貿(mào)易伙伴間商業(yè)交易數(shù)據(jù)傳輸中的風(fēng)險 企業(yè)內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)及互聯(lián)網(wǎng)之間的關(guān)系 數(shù)據(jù)截取 受保密措施維護的檔案文件、主文件與參考數(shù)據(jù)所面臨的風(fēng)險,2020/8/11,電子商務(wù)安全與管理,11,電子商務(wù)中存在的安全風(fēng)險,電子商務(wù)安全與管理,12,8.1 電子商務(wù)安全風(fēng)險管理的演進,8.1.1 電子商務(wù)安全管理的發(fā)展歷程 事件驅(qū)動時期 只重視技術(shù)防御 靜態(tài)、局部、事后糾正 標(biāo)準(zhǔn)化時期 基本形成安全管理體系 安全風(fēng)險分析不足,2020/8/11,電子商務(wù)安全與管理,13,8.1.1 電子商務(wù)安全管理的發(fā)展歷程 安全風(fēng)險管理時期 電子商務(wù)安全風(fēng)險:由于從事電子商務(wù)活動過程中
6、相關(guān)的網(wǎng)絡(luò)以及系統(tǒng)存在的安全不確定性而產(chǎn)生的經(jīng)濟或其他利益的損失、自然破壞或損害的可能性,8.1電子商務(wù)安全風(fēng)險管理的演進,2020/8/11,電子商務(wù)安全與管理,14,8.1.1 電子商務(wù)安全管理的發(fā)展歷程 安全風(fēng)險管理時期 風(fēng)險管理(Risk Management) 降低各種風(fēng)險的發(fā)生概率,或當(dāng)某種風(fēng)險突然降臨時,減少損失的管理過程 宗旨:承認(rèn)成功的攻擊將會存在,但發(fā)生的可能性及產(chǎn)生后果的嚴(yán)重程度將被控制在最小值 風(fēng)險管理最早于1930年起源于美國。由于受到19291933年的世界性經(jīng)濟危機的影響,美國約有40左右的銀行和企業(yè)破產(chǎn),經(jīng)濟倒退了約20年。美國企業(yè)為應(yīng)對經(jīng)營上的危機,許多大中型
7、企業(yè)都在內(nèi)部設(shè)立了保險管理部門,負(fù)責(zé)安排企業(yè)的各種保險項目 所屬學(xué)科: 通信科技(一級學(xué)科);政策、法規(guī)與管理(二級學(xué)科) IT風(fēng)險管理與分析,8.1電子商務(wù)安全風(fēng)險管理的演進,2020/8/11,電子商務(wù)安全與管理,15,8.1.2 電子商務(wù)安全風(fēng)險管理的現(xiàn)狀 企業(yè)已對安全風(fēng)險管理達成共識 安全風(fēng)險管理的國際標(biāo)準(zhǔn)和各國規(guī)范逐漸形成并趨于完善 利用外部專業(yè)化機構(gòu)進行安全性評估已成為大部分國家的選擇 國內(nèi)的權(quán)威IT技術(shù)審計機構(gòu)/信息安全評測機構(gòu),8.1電子商務(wù)安全風(fēng)險管理的演進,2020/8/11,電子商務(wù)安全與管理,16,8.1電子商務(wù)安全風(fēng)險管理的演進,2020/8/11,電子商務(wù)安全與管理
8、,17,8.1電子商務(wù)安全風(fēng)險管理的演進,2020/8/11,電子商務(wù)安全與管理,18,8.1電子商務(wù)安全風(fēng)險管理的演進,2020/8/11,電子商務(wù)安全與管理,19,8.1電子商務(wù)安全風(fēng)險管理的演進,2020/8/11,電子商務(wù)安全與管理,20,8.1電子商務(wù)安全風(fēng)險管理的演進,2020/8/11,電子商務(wù)安全與管理,21,8.2 電子商務(wù)安全風(fēng)險管理流程,8.2.1 安全風(fēng)險管理中的因素關(guān)系 8.2.2 風(fēng)險識別分析 8.2.3 風(fēng)險評估 8.2.4 風(fēng)險控制和風(fēng)險接受 8.2.5 監(jiān)控和審計,2020/8/11,電子商務(wù)安全與管理,22,8.2電子商務(wù)安全風(fēng)險管理流程,8.2.1 安全風(fēng)
9、險管理中的因素關(guān)系,2020/8/11,有漏洞的電子商務(wù)系統(tǒng)一定會出現(xiàn)安全問題嗎?,受到威脅的電子商務(wù)系統(tǒng)一定會出現(xiàn)安全問題嗎?,No!,安全需求,信息資產(chǎn)的價值會影響實際風(fēng)險嗎?,Yes!,No!,電子商務(wù)安全與管理,23,8.2電子商務(wù)安全風(fēng)險管理流程,8.2.1 安全風(fēng)險管理中的因素關(guān)系,2020/8/11,風(fēng)險識別分析階段,風(fēng)險評估階段,風(fēng)險控制階段,電子商務(wù)安全與管理,24,8.2電子商務(wù)安全風(fēng)險管理流程,8.2.2 風(fēng)險識別分析 1.風(fēng)險識別的一般步驟 信息資產(chǎn)的識別與估價 定性方法 威脅的識別與評估 分級賦值 薄弱點評價,2020/8/11,定性,電子商務(wù)安全與管理,25,8.2
10、電子商務(wù)安全風(fēng)險管理流程,8.2.2 風(fēng)險識別分析 2.風(fēng)險識別階段的常用方法 風(fēng)險分析調(diào)查表 分類法,2020/8/11,電子商務(wù)安全與管理,26,8.2電子商務(wù)安全風(fēng)險管理流程,8.2.2 風(fēng)險識別分析 2.風(fēng)險識別階段的常用方法 事故樹分析法 事故樹分析法(Accident Tree Analysis,簡稱ATA)起源于故障樹分析法(Fault Tree Analysis,簡稱FTA),是安全系統(tǒng)工程的重要分析方法之一 屬于演繹法:從結(jié)果入手,分析原因,2020/8/11,小知識:你知道什么是歸納法嗎?,電子商務(wù)安全與管理,27,8.2電子商務(wù)安全風(fēng)險管理流程,8.2.2 風(fēng)險識別分析
11、2.風(fēng)險識別階段的常用方法 事故樹分析法 事故樹分析法首先由美國貝爾實驗室于1961年為研究民兵式導(dǎo)彈發(fā)射控制系統(tǒng)時提出,1974年美國原子能委員會運用FTA對核電站事故進行了風(fēng)險評價,發(fā)表了著名的拉姆遜報告。該報告對事故樹分析作了大規(guī)模有效的應(yīng)用。此后,在社會各界引起了極大的反響,受到了廣泛的重視,從而迅速在許多國家和許多企業(yè)應(yīng)用和推廣。 中國開展事故樹分析方法的研究是從1978年開始的。80年代末,鐵路運輸系統(tǒng)開始把事故樹分析方法應(yīng)用到安全生產(chǎn)和勞動保護上來,也已取得了較好的效果。,2020/8/11,電子商務(wù)安全與管理,28,8.2電子商務(wù)安全風(fēng)險管理流程,8.2.2 風(fēng)險識別分析 2.
12、風(fēng)險識別階段的常用方法 事故樹分析法 事故樹由各種符號和其連接的邏輯門組成 矩形符號:表示結(jié)果事件 “機動車追尾” “服務(wù)中斷” 圓形符號:表示基本(原因)事件 “酒后開車” “拒絕服務(wù)攻擊” 邏輯門符號:表示與、或、非 ,2020/8/11,電子商務(wù)安全與管理,29,8.2電子商務(wù)安全風(fēng)險管理流程,8.2.2 風(fēng)險識別分析 2.風(fēng)險識別階段的常用方法 事故樹分析法,2020/8/11,電子商務(wù)安全與管理,30,8.2電子商務(wù)安全風(fēng)險管理流程,8.2.2 風(fēng)險識別分析 2.風(fēng)險識別階段的常用方法 事故樹分析法,2020/8/11,電子商務(wù)安全與管理,31,8.2電子商務(wù)安全風(fēng)險管理流程,8.2
13、.3 風(fēng)險評估 風(fēng)險識別工作結(jié)束后,要利用適當(dāng)?shù)娘L(fēng)險測量方法、工具確定風(fēng)險的大小與風(fēng)險等級,這就是風(fēng)險評估過程 請學(xué)習(xí)P315 例1,例2,2020/8/11,定量,R=R(PT, PV, I),I=VCL,電子商務(wù)安全與管理,32,8.2電子商務(wù)安全風(fēng)險管理流程,8.2.3 風(fēng)險評估 根據(jù)風(fēng)險計算的結(jié)果,可以得到資產(chǎn)風(fēng)險評估的相對優(yōu)先順序,將風(fēng)險劃分為不同的等級,風(fēng)險級別高的資產(chǎn)需要優(yōu)先分配資源保護,2020/8/11,例2中哪個子系統(tǒng)將優(yōu)先分配資源進行保護?,電子商務(wù)子系統(tǒng),電子商務(wù)安全與管理,33,8.2電子商務(wù)安全風(fēng)險管理流程,8.2.4 風(fēng)險控制和風(fēng)險接受 風(fēng)險控制的基本方法 減少威
14、脅程度 減少薄弱點,2020/8/11,風(fēng)險規(guī)避,風(fēng)險預(yù)防,風(fēng)險分散,風(fēng)險轉(zhuǎn)移,電子商務(wù)安全與管理,34,8.2電子商務(wù)安全風(fēng)險管理流程,8.2.4 風(fēng)險控制和風(fēng)險接受 風(fēng)險評估風(fēng)險接受過程,2020/8/11,Rr=R0-R, RrRt,電子商務(wù)安全與管理,35,8.2電子商務(wù)安全風(fēng)險管理流程,8.2.5 監(jiān)控和審計 實時監(jiān)控 網(wǎng)絡(luò)安全性掃描 系統(tǒng)漏洞掃描 數(shù)據(jù)庫自動掃描 人員操作情況掃描 審計評估 操作系統(tǒng)的審計 應(yīng)用系統(tǒng)的審計 設(shè)備的審計 網(wǎng)絡(luò)應(yīng)用的審計 專門的審計評估系統(tǒng)的作用,2020/8/11,反饋,電子商務(wù)安全與管理,36,8.3 電子商務(wù)安全風(fēng)險管理的整體策略,8.3.1 安全
15、風(fēng)險管理策略應(yīng)遵循的原則 制定前提 對法律法規(guī)要求的依從 對組織業(yè)務(wù)要求的依從 對經(jīng)濟原則的依從,2020/8/11,安全策略,具體措施,指導(dǎo)方針,實施細(xì)節(jié),電子商務(wù)安全與管理,37,8.3.1 安全風(fēng)險管理策略應(yīng)遵循的原則 1.控制論和系統(tǒng)論思想的運用 信息方法,2020/8/11,8.3電子商務(wù)安全風(fēng)險管理的整體策略,電子商務(wù)安全與管理,38,8.3.1 安全風(fēng)險管理策略應(yīng)遵循的原則 1.控制論和系統(tǒng)論思想的運用 信息方法 反饋方法 2.借鑒其他領(lǐng)域的風(fēng)險管理方法 目前電子商務(wù)安全風(fēng)險管理方法與傳統(tǒng)風(fēng)險管理方法的差距 風(fēng)險評估矩陣,2020/8/11,8.3電子商務(wù)安全風(fēng)險管理的整體策略,
16、電子商務(wù)安全與管理,39,2020/8/11,8.3電子商務(wù)安全風(fēng)險管理的整體策略,電子商務(wù)安全與管理,40,8.3.1 安全風(fēng)險管理策略應(yīng)遵循的原則 2.借鑒其他領(lǐng)域的風(fēng)險管理方法 目前電子商務(wù)安全風(fēng)險管理方法與傳統(tǒng)風(fēng)險管理方法的差距 風(fēng)險評估矩陣 敏感性分析(Sensitivity Analysis) 對模型中參數(shù)的小變化可能導(dǎo)致的狀態(tài)變化的研究 若某參數(shù)的小幅度變化能導(dǎo)致經(jīng)濟效果指標(biāo)的較大變化,則稱此參數(shù)為敏感性因素,反之則稱其為非敏感性因素,2020/8/11,8.3電子商務(wù)安全風(fēng)險管理的整體策略,電子商務(wù)安全與管理,41,2020/8/11,8.3電子商務(wù)安全風(fēng)險管理的整體策略,電子商務(wù)安全與管理,42,8.3.1 安全風(fēng)險管理策略應(yīng)遵循的原則 2.借鑒其他領(lǐng)域的風(fēng)險管理方法 目前電子商務(wù)安全風(fēng)險管理方法與傳統(tǒng)風(fēng)險管理方法的差距 風(fēng)險評估矩陣 敏感性分析(Sensitivity Analysis) 模擬 專家打分法 經(jīng)驗判斷法 3.融入企業(yè)整體風(fēng)險管理,2020/8/11,8.3電子商務(wù)安全風(fēng)險管理的整體策略,電子商務(wù)安全與管理,43,8.3.2 策略的總體框架 在安全風(fēng)險管理策略系統(tǒng)中技術(shù)和管理手段的無縫集成,8.3電子商務(wù)安全風(fēng)險管理的整體策略,2020/8/11,電子商務(wù)安全與管理,44,8.3.2 策略的總體框架 包括電子商務(wù)安全風(fēng)險控制的企
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025至2030中國白色家電行業(yè)產(chǎn)業(yè)運行態(tài)勢及投資規(guī)劃深度研究報告
- 當(dāng)前教育質(zhì)量監(jiān)測評價研究的熱點問題
- 庫房備件擺放培訓(xùn)課件
- 從基礎(chǔ)到精英汽車工程師的職業(yè)規(guī)劃全解析
- 教育平臺中虛擬現(xiàn)實VR技術(shù)的商業(yè)應(yīng)用與體驗提升
- 提升學(xué)習(xí)效果教育心理學(xué)的實踐方法
- 教育科技項目的成功要素與評估體系構(gòu)建
- 智慧城市環(huán)境下的網(wǎng)絡(luò)安全培訓(xùn)需求
- 醫(yī)療領(lǐng)域中的智能助手-教育機器人分析
- 心理驅(qū)動下的學(xué)習(xí)團隊構(gòu)建與協(xié)作技巧
- 江蘇譯林版小學(xué)英語單詞匯總表-帶音標(biāo)可打印
- 高壓靜電場對儲藏果蔬保鮮效果的影響
- 護理規(guī)培結(jié)業(yè)考試復(fù)習(xí)題庫800題(含答案)
- 大學(xué)物理A1試卷B稿及參考答案
- 2023年考研考博-考博英語-揚州大學(xué)考試歷年高頻考點真題薈萃帶答案
- 企業(yè)管理一6S推行
- 滁州市機電工程學(xué)校工作人員招聘考試真題2022
- 診斷學(xué)血管檢查
- 無腳手架安裝方法講師用培訓(xùn)修改版
- 職業(yè)衛(wèi)生(副)高級職稱考試案例分析題及答案
- 紅旗農(nóng)貿(mào)擴建項目建議書
評論
0/150
提交評論