第十部分电子商务安全管理教学课件.pptVIP

第十章 电子商务安全管理 目录 10.1 电子商务安全管理体系 10.2 电子商务安全评估 10.3电子商务安全风险管理 10.4电子商务信用管理 电子商务安全管理概述 电子商务安全管理体系 电子商务安全管理体系是组织在整体或特定范围内建立的电子商务安全的方针和目标，以及完成这些目标所用的方法和体系。 它是直接管理活动的结果 安全管理的目标 安全管理是组织在既定的目标驱动下，开展风险管理活动，力求实现组织的4类目标： ① 战略目标，它是组织最高层次的目标，与使命相关联并支撑使命； ②业务目标，高效利用组织资源达到高效果； ③ 保护资产目标，保证组织资产的安全可靠； ④ 合规性目标，遵守适用的法律和法规 风险管理 安全管理的一个重要目标是降低风险，风险就是有害事件发生的可能性。 一个有害事件由三部分组成：威胁、脆弱性和影响。 脆弱性是指资产的脆弱性并可被威胁利用的资产性质。如果不存在脆弱性和威胁，则不存在有害事件，也就不存在风险。 风险管理是调查和量化风险的过程，并建立了组织对风险的承受级别。它是安全管理的一个重要部分 电子商务安全管理的内容 1. 电子商务系统安全漏洞的识别与评估 这里指的安全漏洞既包括电子商务系统中硬件与软件上的安全漏洞，也包括公司组织制度上的漏洞。例如，对离职员工的用户名和口令没有及时吊销，某些员工的访问权限未设置成最小等。这些漏洞的识别一般要聘请专门的评估机构对系统进行全面检查。 2. 对人的因素的控制 在安全管理中，最活跃的因素是人，对人的管理包括法律、法规与政策的约束，安全指南的帮助，安全意识的提高，安全技能的培训，人力资源管理措施，以及企业文化的熏陶等。 电子商务安全管理在行政上应遵循以下四条原则 （1）多人负责的原则。 （2）任期有限的原则。 （3）职责有限、责任分离原则。 （4）最小权限原则： 3 运行控制 （1）计算机使用规定。 （2）网络访问规定。 （3）用户口令的规则。 （4）安全设备使用规则 电子商务安全管理策略 （1）需求、风险、代价平衡的原则 （2）综合性、整体性原则 （3）易操作性原则 （4）适应性、灵活性原则 （5）多重保护的原则 安全管理的PDCA模型 （1）P（Plan）——计划，确定方针和目标，确定活动计划； （2）D（Do）——实施，实际去做，实现计划中的内容； （3）C（Check）——检查，总结执行计划的结果，注意效果，找出问题； （4）A（Action）——行动，对总结检查的结果进行处理，成功的经验加以肯定并适当推广、标准化；失败的教训加以总结，杜绝再次重现，未解决的问题放到下一个PDCA循环中 安全管理的PDCA模型 安全管理的PDCA模型 （1）计划阶段：制订具体的工作计划，提出总的目标。具体又分为四个步骤： 首先，分析信息安全的现状，找出存在的问题；其次，分析产生问题的各种原因及影响因素；再次，分析并找出管理中的主要问题；最后，根据找到的主要原因来制定管理计划，确定管理要点。 （2）实施阶段：按照制订的方案去执行。全面执行制订的方案，管理方案在管理工作中的落实情况，直接影响全过程，所以在实施阶段要坚决按照制订的方案去执行。 （3）检查阶段：即检查实施计划的结果。这是比较重要的一个阶段，是对实施方案是否合理，是否可行，有何不妥的检查，是为下一阶段改进工作创造条件。 （4）处理阶段：根据调查的效果进行处理。 目录 10.1 电子商务安全管理体系 10.2 电子商务安全评估 10.3电子商务安全风险管理 10.4电子商务信用管理 电子商务安全评估的意义 系统安全评估在电子商务安全体系建设中具有重要的意义。它是了解系统安全现状、提出安全解决方案、加强安全监督管理的有效手段 安全评估的主要内容 （1）环境安全。这分为三个部分：实体的、操作系统的及管理的。实体的如机房温度控制。 （2）应用安全。主要内容有输入输出控制、系统内部控制、责任划分、输出的用途、程序的敏感性和脆弱性、用户满意度等。 （3）管理机制。如规章制度、紧急恢复措施、人事制度（如防止因工作人员调入、调离对安全的影响）等。 （4）通信安全。如加密、数字签名等措施。 （5）审计机制，即系统审计跟踪的功能和成效 安全评估标准 标准是技术性法规，作为一种依据和尺度。 建立评估标准的目的是建立一个业界能广泛接受的通用的信息安全产品和系统的安全性评价原则。 对评估标准的要求是具有良好的可操作性，明确的要求 目前信息安全领域比较流行的评估标准是美国国防部开发的计算机安全标准——可信计算机标准评价准则TCSEC（Trusted Computer Standards Evaluation Criteria） TCSEC的安全级别及特征 TCSEC的安全级别及特征 （1）D级是最低的安