电子商务系统安全.pptVIP

2.安全策略的范围 物理安全策略 网络安全策略 数据安全策略 数据备份策略 病毒防护策略 系统安全策略 身份认证及授权策略 灾难恢复策略 * 2.安全策略的范围 事故处理、紧急响应策略 安全教育策略 口令管理策略 补丁管理策略 系统变更控制策略 商业伙伴、客户关系策略 复查审计策略 * ⑷制定安全策略的工作步骤 制定安全策略，可按下列步骤： ①找出需保护的信息资源。 ②判定信息资源的价值。 ③评定电子商务系统适当的风险承受等级。 ④制订安全策略。 ⑤将安全策略分配在电子商务系统各处。 * 9.4.6制订电子商务系统的安全方案 1. 安全方案的主要内容 ⑴技术体系的建立 ⑵组织机构的建立 ⑶管理体系的建立 ⑷安全方案实施计划 * 2. 制订安全方案 在设计安全方案时请考虑以下几点： ⑴定义范围。 * ⑵确定工程小组 确定工程小组人选时，可以参考下列因素： 管理代表： IT部门技术人员： 安全方案中的用户小组代表。 技术培训人员： 技术支持人员： 外界咨询顾问： * 制订安全方案 ⑶搜集安全需求。 ⑷制定安全方案 ⑸制定安全方案实施计划。 ①工程时限。 ②确定职责。 * END * * 第9章 电子商务系统的安全设计 徐 天 宇 本章内容 ９.1 电子商务系统安全 ９.2 电子商务系统安全体系框架 ９.3 电子商务系统安全设计的原则 ９.4 电子商务系统安全体系的设计 * 9.1电子商务系统安全 电子商务系统安全问题涉及到许多方面。 首先,安全不是一个单一的问题。 其次,安全问题是动态的。 再次，安全问题不能仅仅由技术来完全解决。 * 9.2电子商务系统安全体系框架 电子商务还没有统一建立的标准的系统安全体系框架。可参照信息系统的安全体系框架。 信息系统安全的总需求是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共信息安全的总和。 信息系统安全的最终目的是确保信息的保密性、完整性、可用性、可审计性和不可否认性，以及信息系统主体对信息资源的控制。 * 信息系统安全体系结构示意图 管理体系 法律 制度 培训 组织体系 机构 岗位 人事 技术体系 技术管理 安全策略与服务 密钥管理 审计 技术机制 安全技术 运行环境及系统安全技术 状态 检测 入侵 监控 安全管理 安全机制 安全服务 物理 安全 系统 安全 信息系统安全体系框架 * 9.3电子商务系统安全设计的原则 ⑴均衡性 ⑵整体性 ⑶一致性 ⑷易操作性 ⑸可靠性 ⑹层次性 ⑺可评价性 * 9.4电子商务系统安全体系的设计 制定安全规划的工作步骤包括： 对企业电子商务系统安全风险进行评估 分析企业电子商务系统的安全需求 定义企业电子商务系统安全规划的范围 建立项目小组以设计和实施安全规划 制定企业电子商务系统的安全策略 制定企业电子商务系统的安全方案 评估安全方案的代价和优缺点 测试和实施安全方案 * 9.4.1识别企业信息资产 通过识别用户的信息资产，建立信息资产列表。 企业信息资产包括：数据与文档、硬件，软件，人员四个方面。 * 企业的信息资产 资产类型 说明 硬件 包括服务器、工作站、路由器、交换机、防火墙、入侵检测系统、终端、打印机等整件设备，也包括主版、CPU、硬盘、显示器等散件设备。 软件 包括源代码、应用程序、工具、分析测试软件、操作系统等 数据 包括软硬件运行中的中间数据、备份资料、系统状态、审计日志、数据库资料等 人员 包括用户、管理员、维护人员等 文档 包括软件程序、硬件设备、系统状态、本地管理过程的资料 消耗品 包括纸张、软盘、磁带等 * 资产分类 对信息资产及人分别归类，同时在两者之间建立起对应关系。 信息资产可以通过资产的保护价值进行分类。如：机密级、内部访问级、内部信息、共享级。 对人员的分类类似于信息资产的分类。 * 信息分为四个级别 级别1:公开或未分类信息:该类信息数据不需要经过公司任何批准就可以向大众公开。 级别2:内部信息。外部对这类信息访问是被禁止的， * 信息分为四个级别 级别3:私有信息。如果该类信息被未授权用户访问，将对公司正常运作产生影响，并导致经济上的损失。 级别4:秘密信息。未授权的外部或内部用户对这类数据的访问对公司是非常致命的。 * 列出信息资产清单 在你开发安全方案之前，务必要列出属于上述每个项目的每个信息资产的清单，并确定所有相应的信息资源的安全级别及相应的系统安全性需求。 * 9.4.2电子商务系统风险识别、分析和评估 1.电子商务面临的威胁 电子商务安全主要可划分为 计算机信息系统安全 商务交易安全 * ⑴计算机信息系统面临的威胁 归结起来，针对计算机信息系统安全的威胁主要有三： ①人为的无意失误 ②人为的恶意攻击