电子商务安全管理第13章 电子商务的风险管理.pptVIP

13.3.2风险处理的针对性 风险处理方式以及安全措施体现了极强的针对性，必须依靠风险评估的结果确定风险处理方式以及具体的安全措施。 在安全措施中，有的针对信息系统中的脆弱性(例如为系统漏洞打补丁)，有的针对威胁(例如使用物理隔离手段，使攻击者无法访问系统)。威胁的属性包括：威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果。针对威胁的措施中，可视具体情况处理不同的威胁属性，以下为若干示例： (1)针对威胁源；采用物理隔离手段，使攻击者无法访问系统，消除威胁源， (2)针对威胁者的能力：采用强加密手段，使一般攻击者无法解密重要信息： (3)针对威胁者的资源：采用层次化的保护和纵深防御措施，使攻击者的资源难以支持其突破信息系统的保护防线， 13.3.3 风险处理的过程 在处理风险时，可遵循如下步骤，旨在解决最大的风险，以最小的成本将风险控制在可接受的水平，同时使风险对使命的影响降至最小。 步骤1：对优先级进行排序。基于在风险评估结果报告中提出的风险级别，对风险处理的工作进行优先级排序。高等级的风险项(例如被定义为“很高”或“高”风险级的风险)应该最优先处理。步骤1的输出：从高优先级到低优先级的行动。 步骤2：评估所建议的安全措施。风险评估过程中建议的安全措施对于具体的单位及其信息系统可能不是最适合和最可行的。在该步骤中，要对所建议的安全措施的可行性(如兼容性、用户接受程度)和有效性(如保护程度和风险控制的级别)进行分析。旨在选择最适当的安全措施，使风险降至最低。 13.1.2风险管理的概念与发展 2. 信息安全风险管理的历史　　信息安全管理的策略大体遵循事件驱动(技术和管理脱节)－-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。 　　(一)初级阶段时期 　　19世纪70年代安全主要是指物理设备和环境的安全，人与计算机之间的交互主要局限在大型计算机上的哑终端，安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段，由事件驱动，没有形成规范的管理流程。在此阶段的前期，只重视技术手段。许多组织对信息安全制定了相应的规章和制度，但安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。  13.1.2风险管理的概念与发展 (二)标准化时期 　　企业开始将安全问题作为整体考虑，形成一套较为完整的安全管理策略，其中包括了安全管理的技术手段和运作管理。几乎所有IT企业都拥有自己的安全策略，内容也包括了技术手段、安全管理制度、人员安全教育等等，基本上形成体系，技术和管理手段综合统一，但是安全风险分析还存在不足。  13.1.2风险管理的概念与发展 (三)安全风险管理策略时期 　　随着电子商务安全管理发展到一个比较高的层次，安全管理策略也演进到安全风险管理阶段。主要特点如下： 　1.安全风险管理成为主流趋势； 　2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。 3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。 4.在许多国家信息系统审计(Is Audit)作为一种信息技术服务被广泛提供，许多知名的咨询公司都提供类似的信息审计服务。 13．1．3 风险管理的内容与要素 1. 风险管理的内容 风险管理由三个部分组成：风险评估、风险处理以及基于风险的决策。 风险评估过程将全面评估信息系统的资产、威胁、脆弱性以及现有的安全措施，分析安全事件发生的可能性以及可能的损失，从而确定信息系统的风险，并判断风险的优先级，建议处理风险的措施。 基于风险评估的结果，风险处理过程将考察信息安全措施的成本，选择合适的方法处理风险，将风险控制在可接受的程度。 13．1．3 风险管理的内容与要素 2. 风险管理的要素 风险管理的基本要素包括：使命，资产、资产价值、威胁、脆弱性、事件、风险、残余风险，安全需求、安全措施。 风险管理各要素之间的关系可如下表述，使命依赖于资产去完成．资产拥有价值，信息化的程度越高。单位的使命越重要、对资产的依赖度越高，资产的价值则越大，资产的价值越大则风险越大。风险是由威胁发起的，威胁越大则风险越大，并可能演变成事件。 13.1.4 风险管理模式与过程 1. 风险管理模式 风险管理过程包括四个阶段：风险处理计划、处理组织的确定、处理的指导和处理的管制。风险处理计划即通过对各种风险的科学考察，判断风险的性质和后果，制定并选择风险处理方案，编制风险处理的实施计划。风险处理的组织即根据风险处理计划，组织处理手段，包括业务分工、权利和组织上的调整等，即合理安排人力、物力，以为达到经营管理的目的和实现管理计划创造合适的条件。风险处理的指导，则采用信息交流的方式，组织管理计划的实现过程