电子商务安全教学课件ppt作者张波08电子商务安全评估与管理.pptVIP

第8章 电子商务安全评估与管理 学习目的 ●了解电子商务安全管理基础知识； ●了解电子商务风险管理、安全模型及安全威胁，把握电子商务安全评估方法与准则； ●了解电子商务安全相关法律法规和政策制度，树立电子商务安全法律意识； ●认知电子商务安全管理的重要性，掌握电子商务安全管理的模型、策略与标准。 引例大学生利用黑客病毒网上盗款48万 张先生是一家私营企业主，因为去银行排队办理业务太耽误时间，一直使用网上银行进行资金管理。2006年12月22日，当张先生查询自己的银行账户时，突然发现两张银行卡内的48万余元已被划走，仅剩下3元。焦急万分的张先生立即到公安机关报警。民警接到报案后，根据银行查询到的账户POS消费地点记录，立即前往广州、上海等地调查取证。经过各地警方缜密侦查，利用先进网络技术手段，于2007年将犯罪嫌疑人孙木云、郭浩抓获归案。 郭浩，1986年出生，是黑龙江某大学计算机专业的大学生；孙木云，1989年出生，当时在上海某个网吧做网管。2006年12月，郭浩在大学生宿舍内，通过“灰鸽子”病毒软件发现了身在北京的张先生的电脑中了“灰鸽子”病毒。郭浩便通过“灰鸽子”病毒远程监控系统，监控该电脑。在张先生上网进行网络银行卡操作时，郭浩获知了张先生的银行卡账号、密码，而后通过远程监控下载了受害人银行卡的电子证书。 2006年12月17日，郭浩联络在山东的孙木云，要求其帮助将钱转出。随后，两人连夜将张先生两张银行卡内的48万余元分40余笔转出，打入位于广州、上海和北京的出售游戏点卡的公司，并将点卡存入虚拟的网络账户。 张先生的48万余元就这样一夜之间蒸发了。最后，大学生郭浩被判处有期徒刑12年,罚金人民币1.2万元；被告人孙木云犯盗窃罪，判处有期徒刑8年，罚金人民币8000元。两名被告人均没有提出上诉。 资料来源:赛迪网. /,2009.3.10,作者略有删改。 8.1电子商务安全评估 8.1.1风险管理 从本质上讲，安全就是风险管理。一个组织者如果不了解其信息资产的安全风险，很多资源就会被错误地使用。风险管理提供信息资产评估的基础。通过风险识别，可以知道一些特殊类型的资产价值以及包含这些信息的系统的价值。 1. 风险的概念 风险是构成安全基础的基本观念。风险是丢失需要保护的资产的可能性。如果没有风险，就不需要安全了。风险还是从事安全产业者应了解的一个观念。 以传统的保险业为例来了解风险的含义。一个客户因感到危险，所以向保险公司购买保险。买保险前，如果出车祸，他需要花很多修理费，买了保险后就可减少花大笔钱的风险。保险公司设定保险费的依据有两个，一个是汽车修理的费用，另一个是该客户发生车祸的可能性。 从上面的例子可以看出，风险包含两个部分。第一个是车的修理费，如果车祸发生，保险公司就要付这笔费用，将它定为保险公司的漏洞或脆弱性。第二个是客户发生车祸的可能性，这是对保险公司的威胁，因为它有可能使保险公司付修理费。因此漏洞和威胁是测定风险的两个组成部分。图8-1表示漏洞和威胁之间的关系，由图可知，如果没有威胁，也就没有风险；同样地，如果没有漏洞，也就没有风险。 图8-1 漏洞和威胁的关系 （1）漏洞 漏洞是攻击的可能的途径。漏洞有可能存在于计算机系统和网络中，它允许打开系统，使技术攻击得逞。漏洞也有可能存在于管理过程中，它使系统环境对攻击开放。 漏洞的多少是由需要打开系统的技术熟练水平和困难程度来确定的，还要考虑系统暴露的后果。如果漏洞易于暴露，并且一旦受到攻击，攻击者可以完全控制系统，则称高值漏洞或高脆弱性。如果攻击者需要对设备和人员投入很多资源，漏洞才能暴露，并且受到攻击后，也只能获取一般信息，而非敏感信息，则称低值漏洞或低脆弱性。 漏洞不仅和计算机系统、网络有关，而且和物理场地安全、员工的情况、传送中的信息安全等有关。 （2）威胁 威胁是一个可能破坏信息系统环境安全的动作或事件。威胁包含以下3个组成部分： 1）目标 威胁的目标通常是针对安全属性或安全服务，包括机密性、完整性、可用性、可审性等。 2）代理 代理需要有3个特性：·访问。·知识。·动机。 3）事件 事件是代理采取的行为，从而导致对组织的伤害。常见的事件如下： ·对信息、系统、场地滥用授权访问；·恶意地改变信息；·偶然地改变信息；·对信息、系统、场地非授权访问；·恶意地破坏信息、系统、场地；·偶然地破坏信息、系统、场地；·对系统和操作的恶意物理损害；·对系统和操作的偶然物理损害；·由于自然物理事件引起的系统和操作的损害·引入对系统的恶意软件；·