第8章电子商务安全风险管理-公开课件.pptVIP

第8章 电子商务安全风险管理 8.1 电子商务安全风险管理的演进 8.2 电子商务安全风险管理流程 8.3 电子商务安全风险管理的整体策略 引例—— 汇丰银行网络一天内遭万次攻击  顾客信心受损 8.1 电子商务安全风险管理的演进 8.1.1 电子商务安全管理的发展历程 事件驱动时期 标准化时期 安全风险管理时期 8.1.2 电子商务安全风险管理的现状 企业已对安全风险管理达成共识 安全风险管理的国际标准和各国规范逐渐形成并趋于完善 利用外部专业化机构进行安全性评估已成为大部分国家的选择： 中国公安部信息安全等级保护评估中心 全国信息安全标准化技术委员会 中国信息安全产品测评认证中心 上海市信息安全产品测评认证中心 上海市信息安全测评认证中心 深圳市信息安全测评中心 8.2 电子商务安全风险管理流程 8.2.1 安全风险管理中的因素关系 8.2.2 风险识别分析 8.2.3 风险评估 8.2.4 风险控制和风险接受 8.2.5 监控和审计 8.2.1 安全风险管理中的因素关系 安全风险管理中各因素之间的联系： 8.2.1 安全风险管理中的因素关系 风险识别分析阶段 风险评估阶段 风险控制阶段 8.2.2 风险识别分析 1.风险识别的一般步骤 信息资产的识别与估价 威胁的识别与评估 薄弱点评价 8.2.2 风险识别分析 2.风险识别阶段的常用方法 风险分析调查表 事故树分析法 8.2.3 风险评估 风险识别工作结束后，要利用适当的风险测量方法、工具确定风险的大小与风险等级，这就是风险评估过程。 根据风险计算的结果，可以得到资产风险评估的相对优先顺序，将风险划分为不同的等级，风险级别高的资产需要优先分配资源保护。 8.2.4 风险控制和风险接受 风险评估－风险接受过程： 8.2.5 监控和审计 专门的审计评估系统可以起到以下作用： 对于已经发生的系统破坏行为提供有力的证据 提供有价值的系统使用日志 提供系统运行的统计日志 8.3 电子商务安全风险管理的整体策略 8.3.1 安全风险管理策略应遵循的原则 1.控制论和系统论思想的运用 信息方法 用信息的观点，把系统看作是借助于信息的获取、传递、加工、处理而实现其有目的性运动的一种研究方法。 反馈方法 把一个系统的输出信息，再引向输入端，并对信息的再输出发生影响的控制方式 2.借鉴其他领域的风险管理方法 3.融入企业整体风险管理 8.3.2 策略的总体框架 在安全风险管理策略系统中技术和管理手段的无缝集成： 8.3.2 策略的总体框架 包括电子商务安全风险控制的企业整体风险控制： *上海财经大学 劳帼龄 * 目录 汇丰银行网络所遭受的攻击引发了电子商务时代企业安全风险管理的重视，但是企业该如何加强安全风险管理呢？ 8.1电子商务安全风险管理的演进 8.2电子商务安全风险管理流程 8.2电子商务安全风险管理流程 8.2电子商务安全风险管理流程 8.2电子商务安全风险管理流程 否 是 网络设备 网络设备有无专人管理？ 有无专门的网络设备维护制度？ 网络设备有无备份？ …… 服务器 服务器有无专门的管理制度？ 服务器是否有备份？ 服务器内容的访问规则有否？ …… 数据库 数据库的更新频率是否符合标准 数据库内容是否备份？ 企业是否将全部重要信息都集中保存？ …… …… 资产风险分析调查表 8.2电子商务安全风险管理流程 病毒攻击 服务中断 设备毁坏 管理缺陷 泄密 制度漏洞 火灾 损失事故 声誉破坏 8.2电子商务安全风险管理流程 8.2电子商务安全风险管理流程 风险评估过程 安全控制措施选择 实施安全控制降低风险 接受残余风险 8.2电子商务安全风险管理流程 8.3电子商务安全风险管理的整体策略 8.3电子商务安全风险管理的整体策略 Insert a map of your country. Insert a map of your country. Insert a map of your country. Insert a map of your country. Insert a map of your country. Insert a map of your country. Insert a map of your country. Insert a map of your country. Insert a map of your country. Insert a map of yo