第8章 电子商务安全相关管理（定稿）.pptVIP

8.4　电子商务信用管理 8.4.3 电子商务信用管理策略 1．信用管理模式 1) 政府网络公证计划模式 “网络公证计划”核心内容包括网上身份认证、网上数据备份保全、电子提存等。 “网络公证计划”以政府信用作为主导，利用公证行业的“中国公证网”平台作身份认证，由政府指定的“公正的第三方”执行技术保障——网上数据担保，从技术层面和法规层面较好地解决了电子商务的安全交易问题，但抛开了电子商务网站的功效，不可避免地会出现交易速度变慢和交易成本过高的问题。 8.4　电子商务信用管理 8.4.3 电子商务信用管理策略 1．信用管理模式 2) 电子商务企业网站信用模式 中介人模式、担保人模式、网站经营模式和委托授权模式等信用模式都是以电子商务企业网站的信用为前提的，所依据的规则主要是企业规范，交易双方必须信任电子商务企业网站的公正性、公平性和安全性。 * 第8章 电子商务安全管理 蔡志文 主编 8.1 电子商务安全管理概述 8.1.1 电子商务安全管理概要 电子商务安全管理是由其相应的原则、程序和方法来指导和实现的一系列安全管理活动，其主要任务是保证电子商务信息的使用安全和电子商务系统的运行安全。 电子商务安全管理的核心是风险评估、安全策略、应急响应、灾难备份与恢复，四者是相互联系的。 电子商务安全管理是一个按周期循环执行的过程 8.1 电子商务安全管理概述 8.1.2 电子商务安全管理的重要性 针对各种风险的安全技术和产品不断涌现，如防火墙、入侵检测、漏洞扫描、病毒防治、数据加密、身份认证，访问控制、安全审计等，但电子商务安全问题并不是单纯地依靠这些安全技术和产品能够完全解决的，因为通过技术手段实现的安全防护能力有限，主要表现在以下两个方面。 (1)许多安全技术和产品未能达到预期的成熟度和要求 (2)即使安全技术和产品的指标和性能达到了实际应用的安全需求，如果配置不当或管理不规范，同样不能真正满足预期的安全目标。 8.1 电子商务安全管理概述 8.1.3 电子商务安全管理的目标 电子商务安全管理的目标是达到电子商务系统所需的安全级别，将风险控制在用户可以接受的范围之内。 虽然不同企业对电子商务安全管理的要求各异，但目前被大多数企业所认可的电子商务安全管理原则有以下5个方面。 1．完整性 2．可用性 3．机密性 4．不可否认性 5．可控性 8.2 电子商务风险管理 8.2.1 电子商务风险管理概述 1．风险的概念 风险是客体为了追求一个想得到的结果而对可能遭受损失的客观期望，包括损失的不确定性、损失的概率、损失的结果和重要性等。根据这样的界定，一次电子商务交易的最大风险值等于商品的价格。 2．风险管理的概念 风险管理(Risk Management)是指经济实体通过风险识别、风险预测、风险评估等，对风险实施有效控制、妥善处理风险所造成的损失，期望以最小的成本获得最大安全保障的管理活动。 8.2 电子商务风险管理 8.2.2 电子商务风险识别 1．风险识别与风险预测 风险识别是风险管理的最初阶段，是在收集各种威胁、漏洞和相关对策等基础上，识别各种可能对电子商务系统造成潜在威胁的安全风险。 风险预测是指运用分析、比较、总结等定性和定量的方法，对未来在电子商务运作过程中可能会遇到的各种问题进行预测和分析，制定可能会出现的安全问题的防御方案，从而使电子商务活动能够顺利地进行。 8.2 电子商务风险管理 8.2.2 电子商务风险识别 2．电子商务风险识别过程 1) 资产识别和评估 通过准备阶段采集的信息，机构应该列出一份与电子商务安全相关的资产清单，如人员、过程、信息、软件、硬件和网络等，更细致地对资产进行分类。 2) 威胁识别 识别并评价资产之后，机构应该识别每项(类)资产可能面临的威胁。 识别资产面临的威胁后，还应评估威胁发生的可能性。 8.2 电子商务风险管理 8.2.2 电子商务风险识别 3．风险感知 风险感知是指个体对存在于外界的各种客观风险的感受和认识，强调个体由直观判断和主观感受获得的经验对认知的影响。 8.2 电子商务风险管理 8.2.3 电子商务风险的类别 电子商务面临的安全风险包括： 1）信息风险:信息虚假、信息滞后、信息不完善、信息过滥、信息垄断等带来的损失。 2）信用风险:由电子商务交易的虚拟化和特殊化导致的主体信用信息不能为对方所了解所引起的风险。 3）感知风险:是消费者对某项购买决策的不确定性、危害性及其后果严重性的主观预期。 8.2 电子商务风险管理 8.2.3 电子商务风险的类别 电子商务面临的安全风险包括： 4）道德风险:从事电子商务活动的人在最大限度地增加自身效用的同时做出一些不利于他人的行动。 5）交易风险:由于交易双方信任的缺失造成