電子商務(wù)安全風(fēng)險管理.ppt

1、第8章 電子商務(wù)安全風(fēng)險管理,問題的提出,電子商務(wù)在今日充滿機遇，可是作為一名電子商務(wù)的參與者，你是否了解電子商務(wù)中哪些要素的收益和風(fēng)險是并存的？ 在大多數(shù)情況下，電子商務(wù)系統(tǒng)順利的運行，但可能有時候，一個意外和無法控制的外部事件會擾亂正常的業(yè)務(wù)操作 作好最壞情況的準(zhǔn)備，是風(fēng)險管理的重要方面,2020/8/11,電子商務(wù)安全與管理,2,抓 狂,引例1-會計咨詢公司Armstrong Gilmour的倒閉,90年代末，Phil Gilmour是加利福尼亞的一家會計咨詢公司Armstrong Gilmour的管理合伙人。公司相當(dāng)一部分業(yè)務(wù)是個人委托的管理私人撫恤基金業(yè)務(wù)。客戶的養(yǎng)老金和投資數(shù)據(jù)存儲

2、在一個公司數(shù)據(jù)庫，客戶可以在線訪問數(shù)據(jù)庫，并核對他們的帳戶。 Gilmour致力于管理的養(yǎng)老基金業(yè)務(wù)增長迅速，因為無法處理日益繁忙的存儲，數(shù)據(jù)庫崩潰了。幸運的是，公司的計算機系統(tǒng)有一個磁帶備份，因此Gilmour認(rèn)為客戶的數(shù)據(jù)應(yīng)該是安全的。當(dāng)該公司試圖恢復(fù)養(yǎng)老金數(shù)據(jù)備份磁帶的時候，卻發(fā)現(xiàn)磁帶上的數(shù)據(jù)已經(jīng)被損壞了。 剩下的唯一的選擇是昂貴和痛苦的。公司的員工在接下來幾個星期內(nèi)不得不花費很長的時間長重新手動恢復(fù)數(shù)據(jù)庫。但這次災(zāi)難耗費的總費用可能遠(yuǎn)遠(yuǎn)大于員工耗費的時間和用于數(shù)據(jù)庫恢復(fù)的數(shù)千美元。在公司失去一部分委托人的信任和信譽之后，Gilmour最終損失了數(shù)百萬美元，以低價出售了公司。,2020/

3、8/11,電子商務(wù)安全與管理,3,電子商務(wù)安全與管理,4,引例2 匯豐銀行網(wǎng)絡(luò)一天內(nèi)遭萬次攻擊 顧客信心受損,匯豐銀行網(wǎng)絡(luò)所遭受的攻擊引發(fā)了電子商務(wù)時代企業(yè)安全風(fēng)險管理的重視，但是企業(yè)該如何加強安全風(fēng)險管理呢？,2020/8/11,電子商務(wù)安全與管理,5,電子商務(wù)中存在的安全風(fēng)險 8.1 電子商務(wù)安全風(fēng)險管理的演進 8.2 電子商務(wù)安全風(fēng)險管理流程 8.3 電子商務(wù)安全風(fēng)險管理的整體策略,目錄,2020/8/11,思考：電子商務(wù)中存在哪些安全風(fēng)險？,自然災(zāi)害 火災(zāi) 洪水 颶風(fēng) 地震 ,2020/8/11,電子商務(wù)安全與管理,6,與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險 消費者所面臨的風(fēng)險 虛假的或惡意的網(wǎng)站

4、 用戶數(shù)據(jù)的泄露 隱私與cookies的使用,2020/8/11,電子商務(wù)安全與管理,7,電子商務(wù)中存在的安全風(fēng)險,與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險 消費者所面臨的風(fēng)險,2020/8/11,電子商務(wù)安全與管理,8,電子商務(wù)中存在的安全風(fēng)險,與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險 商家所面臨的風(fēng)險 客戶假冒 拒絕服務(wù)襲擊 故意性的破壞網(wǎng)站 數(shù)據(jù)的失竊 產(chǎn)品或者服務(wù)出現(xiàn)問題的賠償 侵犯版權(quán)、商標(biāo)、專利引起的訴訟 ,2020/8/11,電子商務(wù)安全與管理,9,電子商務(wù)中存在的安全風(fēng)險,與企業(yè)內(nèi)部網(wǎng)相關(guān)的風(fēng)險 離職員工的破壞活動 在職員工的威脅 不適當(dāng)?shù)厥褂秒娮余]件和互聯(lián)網(wǎng) ,2020/8/11,電子商務(wù)安全與管理,1

5、0,電子商務(wù)中存在的安全風(fēng)險,貿(mào)易伙伴間商業(yè)交易數(shù)據(jù)傳輸中的風(fēng)險 企業(yè)內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)及互聯(lián)網(wǎng)之間的關(guān)系 數(shù)據(jù)截取 受保密措施維護的檔案文件、主文件與參考數(shù)據(jù)所面臨的風(fēng)險,2020/8/11,電子商務(wù)安全與管理,11,電子商務(wù)中存在的安全風(fēng)險,電子商務(wù)安全與管理,12,8.1 電子商務(wù)安全風(fēng)險管理的演進,8.1.1 電子商務(wù)安全管理的發(fā)展歷程 事件驅(qū)動時期 只重視技術(shù)防御 靜態(tài)、局部、事后糾正 標(biāo)準(zhǔn)化時期 基本形成安全管理體系 安全風(fēng)險分析不足,2020/8/11,電子商務(wù)安全與管理,13,8.1.1 電子商務(wù)安全管理的發(fā)展歷程 安全風(fēng)險管理時期 電子商務(wù)安全風(fēng)險：由于從事電子商務(wù)活動過程中

6、相關(guān)的網(wǎng)絡(luò)以及系統(tǒng)存在的安全不確定性而產(chǎn)生的經(jīng)濟或其他利益的損失、自然破壞或損害的可能性,8.1電子商務(wù)安全風(fēng)險管理的演進,2020/8/11,電子商務(wù)安全與管理,14,8.1.1 電子商務(wù)安全管理的發(fā)展歷程 安全風(fēng)險管理時期 風(fēng)險管理（Risk Management） 降低各種風(fēng)險的發(fā)生概率，或當(dāng)某種風(fēng)險突然降臨時，減少損失的管理過程 宗旨：承認(rèn)成功的攻擊將會存在，但發(fā)生的可能性及產(chǎn)生后果的嚴(yán)重程度將被控制在最小值 風(fēng)險管理最早于1930年起源于美國。由于受到19291933年的世界性經(jīng)濟危機的影響，美國約有40左右的銀行和企業(yè)破產(chǎn)，經(jīng)濟倒退了約20年。美國企業(yè)為應(yīng)對經(jīng)營上的危機，許多大中型

7、企業(yè)都在內(nèi)部設(shè)立了保險管理部門，負(fù)責(zé)安排企業(yè)的各種保險項目 所屬學(xué)科： 通信科技（一級學(xué)科）；政策、法規(guī)與管理（二級學(xué)科） IT風(fēng)險管理與分析,8.1電子商務(wù)安全風(fēng)險管理的演進,2020/8/11,電子商務(wù)安全與管理,15,8.1.2 電子商務(wù)安全風(fēng)險管理的現(xiàn)狀 企業(yè)已對安全風(fēng)險管理達成共識 安全風(fēng)險管理的國際標(biāo)準(zhǔn)和各國規(guī)范逐漸形成并趨于完善 利用外部專業(yè)化機構(gòu)進行安全性評估已成為大部分國家的選擇 國內(nèi)的權(quán)威IT技術(shù)審計機構(gòu)/信息安全評測機構(gòu),8.1電子商務(wù)安全風(fēng)險管理的演進,2020/8/11,電子商務(wù)安全與管理,16,8.1電子商務(wù)安全風(fēng)險管理的演進,2020/8/11,電子商務(wù)安全與管理

8、,17,8.1電子商務(wù)安全風(fēng)險管理的演進,2020/8/11,電子商務(wù)安全與管理,18,8.1電子商務(wù)安全風(fēng)險管理的演進,2020/8/11,電子商務(wù)安全與管理,19,8.1電子商務(wù)安全風(fēng)險管理的演進,2020/8/11,電子商務(wù)安全與管理,20,8.1電子商務(wù)安全風(fēng)險管理的演進,2020/8/11,電子商務(wù)安全與管理,21,8.2 電子商務(wù)安全風(fēng)險管理流程,8.2.1 安全風(fēng)險管理中的因素關(guān)系 8.2.2 風(fēng)險識別分析 8.2.3 風(fēng)險評估 8.2.4 風(fēng)險控制和風(fēng)險接受 8.2.5 監(jiān)控和審計,2020/8/11,電子商務(wù)安全與管理,22,8.2電子商務(wù)安全風(fēng)險管理流程,8.2.1 安全風(fēng)

9、險管理中的因素關(guān)系,2020/8/11,有漏洞的電子商務(wù)系統(tǒng)一定會出現(xiàn)安全問題嗎？,受到威脅的電子商務(wù)系統(tǒng)一定會出現(xiàn)安全問題嗎？,No!,安全需求,信息資產(chǎn)的價值會影響實際風(fēng)險嗎？,Yes!,No!,電子商務(wù)安全與管理,23,8.2電子商務(wù)安全風(fēng)險管理流程,8.2.1 安全風(fēng)險管理中的因素關(guān)系,2020/8/11,風(fēng)險識別分析階段,風(fēng)險評估階段,風(fēng)險控制階段,電子商務(wù)安全與管理,24,8.2電子商務(wù)安全風(fēng)險管理流程,8.2.2 風(fēng)險識別分析 1.風(fēng)險識別的一般步驟 信息資產(chǎn)的識別與估價 定性方法 威脅的識別與評估 分級賦值 薄弱點評價,2020/8/11,定性,電子商務(wù)安全與管理,25,8.2

10、電子商務(wù)安全風(fēng)險管理流程,8.2.2 風(fēng)險識別分析 2.風(fēng)險識別階段的常用方法 風(fēng)險分析調(diào)查表 分類法,2020/8/11,電子商務(wù)安全與管理,26,8.2電子商務(wù)安全風(fēng)險管理流程,8.2.2 風(fēng)險識別分析 2.風(fēng)險識別階段的常用方法 事故樹分析法 事故樹分析法（Accident Tree Analysis，簡稱ATA）起源于故障樹分析法（Fault Tree Analysis，簡稱FTA），是安全系統(tǒng)工程的重要分析方法之一 屬于演繹法：從結(jié)果入手，分析原因,2020/8/11,小知識：你知道什么是歸納法嗎？,電子商務(wù)安全與管理,27,8.2電子商務(wù)安全風(fēng)險管理流程,8.2.2 風(fēng)險識別分析

11、2.風(fēng)險識別階段的常用方法 事故樹分析法 事故樹分析法首先由美國貝爾實驗室于1961年為研究民兵式導(dǎo)彈發(fā)射控制系統(tǒng)時提出，1974年美國原子能委員會運用FTA對核電站事故進行了風(fēng)險評價，發(fā)表了著名的拉姆遜報告。該報告對事故樹分析作了大規(guī)模有效的應(yīng)用。此后，在社會各界引起了極大的反響，受到了廣泛的重視，從而迅速在許多國家和許多企業(yè)應(yīng)用和推廣。 中國開展事故樹分析方法的研究是從1978年開始的。80年代末，鐵路運輸系統(tǒng)開始把事故樹分析方法應(yīng)用到安全生產(chǎn)和勞動保護上來，也已取得了較好的效果。,2020/8/11,電子商務(wù)安全與管理,28,8.2電子商務(wù)安全風(fēng)險管理流程,8.2.2 風(fēng)險識別分析 2.

12、風(fēng)險識別階段的常用方法 事故樹分析法 事故樹由各種符號和其連接的邏輯門組成 矩形符號：表示結(jié)果事件 “機動車追尾” “服務(wù)中斷” 圓形符號：表示基本(原因)事件 “酒后開車” “拒絕服務(wù)攻擊” 邏輯門符號：表示與、或、非 ,2020/8/11,電子商務(wù)安全與管理,29,8.2電子商務(wù)安全風(fēng)險管理流程,8.2.2 風(fēng)險識別分析 2.風(fēng)險識別階段的常用方法 事故樹分析法,2020/8/11,電子商務(wù)安全與管理,30,8.2電子商務(wù)安全風(fēng)險管理流程,8.2.2 風(fēng)險識別分析 2.風(fēng)險識別階段的常用方法 事故樹分析法,2020/8/11,電子商務(wù)安全與管理,31,8.2電子商務(wù)安全風(fēng)險管理流程,8.2

13、.3 風(fēng)險評估 風(fēng)險識別工作結(jié)束后，要利用適當(dāng)?shù)娘L(fēng)險測量方法、工具確定風(fēng)險的大小與風(fēng)險等級，這就是風(fēng)險評估過程 請學(xué)習(xí)P315 例1，例2,2020/8/11,定量,R=R(PT, PV, I),I=VCL,電子商務(wù)安全與管理,32,8.2電子商務(wù)安全風(fēng)險管理流程,8.2.3 風(fēng)險評估 根據(jù)風(fēng)險計算的結(jié)果，可以得到資產(chǎn)風(fēng)險評估的相對優(yōu)先順序，將風(fēng)險劃分為不同的等級，風(fēng)險級別高的資產(chǎn)需要優(yōu)先分配資源保護,2020/8/11,例2中哪個子系統(tǒng)將優(yōu)先分配資源進行保護？,電子商務(wù)子系統(tǒng),電子商務(wù)安全與管理,33,8.2電子商務(wù)安全風(fēng)險管理流程,8.2.4 風(fēng)險控制和風(fēng)險接受 風(fēng)險控制的基本方法 減少威

14、脅程度 減少薄弱點,2020/8/11,風(fēng)險規(guī)避,風(fēng)險預(yù)防,風(fēng)險分散,風(fēng)險轉(zhuǎn)移,電子商務(wù)安全與管理,34,8.2電子商務(wù)安全風(fēng)險管理流程,8.2.4 風(fēng)險控制和風(fēng)險接受 風(fēng)險評估風(fēng)險接受過程,2020/8/11,Rr=R0-R, RrRt,電子商務(wù)安全與管理,35,8.2電子商務(wù)安全風(fēng)險管理流程,8.2.5 監(jiān)控和審計 實時監(jiān)控 網(wǎng)絡(luò)安全性掃描 系統(tǒng)漏洞掃描 數(shù)據(jù)庫自動掃描 人員操作情況掃描 審計評估 操作系統(tǒng)的審計 應(yīng)用系統(tǒng)的審計 設(shè)備的審計 網(wǎng)絡(luò)應(yīng)用的審計 專門的審計評估系統(tǒng)的作用,2020/8/11,反饋,電子商務(wù)安全與管理,36,8.3 電子商務(wù)安全風(fēng)險管理的整體策略,8.3.1 安全

15、風(fēng)險管理策略應(yīng)遵循的原則 制定前提 對法律法規(guī)要求的依從 對組織業(yè)務(wù)要求的依從 對經(jīng)濟原則的依從,2020/8/11,安全策略,具體措施,指導(dǎo)方針,實施細(xì)節(jié),電子商務(wù)安全與管理,37,8.3.1 安全風(fēng)險管理策略應(yīng)遵循的原則 1.控制論和系統(tǒng)論思想的運用 信息方法,2020/8/11,8.3電子商務(wù)安全風(fēng)險管理的整體策略,電子商務(wù)安全與管理,38,8.3.1 安全風(fēng)險管理策略應(yīng)遵循的原則 1.控制論和系統(tǒng)論思想的運用 信息方法 反饋方法 2.借鑒其他領(lǐng)域的風(fēng)險管理方法 目前電子商務(wù)安全風(fēng)險管理方法與傳統(tǒng)風(fēng)險管理方法的差距 風(fēng)險評估矩陣,2020/8/11,8.3電子商務(wù)安全風(fēng)險管理的整體策略,

16、電子商務(wù)安全與管理,39,2020/8/11,8.3電子商務(wù)安全風(fēng)險管理的整體策略,電子商務(wù)安全與管理,40,8.3.1 安全風(fēng)險管理策略應(yīng)遵循的原則 2.借鑒其他領(lǐng)域的風(fēng)險管理方法 目前電子商務(wù)安全風(fēng)險管理方法與傳統(tǒng)風(fēng)險管理方法的差距 風(fēng)險評估矩陣 敏感性分析（Sensitivity Analysis） 對模型中參數(shù)的小變化可能導(dǎo)致的狀態(tài)變化的研究 若某參數(shù)的小幅度變化能導(dǎo)致經(jīng)濟效果指標(biāo)的較大變化，則稱此參數(shù)為敏感性因素，反之則稱其為非敏感性因素,2020/8/11,8.3電子商務(wù)安全風(fēng)險管理的整體策略,電子商務(wù)安全與管理,41,2020/8/11,8.3電子商務(wù)安全風(fēng)險管理的整體策略,電子商務(wù)安全與管理,42,8.3.1 安全風(fēng)險管理策略應(yīng)遵循的原則 2.借鑒其他領(lǐng)域的風(fēng)險管理方法 目前電子商務(wù)安全風(fēng)險管理方法與傳統(tǒng)風(fēng)險管理方法的差距 風(fēng)險評估矩陣 敏感性分析（Sensitivity Analysis） 模擬 專家打分法 經(jīng)驗判斷法 3.融入企業(yè)整體風(fēng)險管理,2020/8/11,8.3電子商務(wù)安全風(fēng)險管理的整體策略,電子商務(wù)安全與管理,43,8.3.2 策略的總體框架 在安全風(fēng)險管理策略系統(tǒng)中技術(shù)和管理手段的無縫集成,8.3電子商務(wù)安全風(fēng)險管理的整體策略,2020/8/11,電子商務(wù)安全與管理,44,8.3.2 策略的總體框架 包括電子商務(wù)安全風(fēng)險控制的企