电子商务安全管理第10章 信息系统的安全策略.pptVIP

10．2．5 电子商务安全策略方案设计模拟 图10.2 电子商务安全策略方案 10．2．5 电子商务安全策略方案设计模拟 4. 风险分析 该公司的的物理环境、计算机网络设施、信息资源构建、电子交易、数据存取、访问及组织人事等方面都存在安全风险，需要加以保护。 5. 审批与发布 方案经各部门讨论、研究制定后将向各主管部门申报审批。批准后，将由人事组织部门组织全体人员学习并实施。同时由人事组织部门向有关方面通报、沟通。 10．3信息系统安全管理的实施 10.3.1建立信息安全管理体系（ISMS） 10.3.2制定实施方案 10.3.3安全管理的实施  10.3.1建立信息安全管理体系（ISMS） 1. 根据业务的性质、组织、位置、资产和技术定义ISMS范围和界限，以及被排除范围的详细理由。 2. 根据业务的性质、组织、位置、资产和技术定义ISMS策略。 3. 定义组织风险评估的方法。 4. 识别风险。 5. 分析和评估风险。 6. 识别和评价处置风险的选项。 7. 选择风险处置的控制目标和控制措施。 8. 管理层批准建议的残余风险。 9. 获得管理层授权实施和运作的ISMS。 10. 准备适用性声明。 10．3．2 制定实施方案 根据已确定的安全策略，还要制定安全体系实施方案，以具体实现安全策略。 1．实施方案的主要内容 在方案中要提出具体安全防护措施，如系统标识与认证、资源存取控制、密码加密措施、数字签名与认证、完整性控制、多层防御措施、网络防火墙、隐藏内部信息、网络系统平台安全、数据库安全、防杀病毒、紧急恢复、设立安全监控中心、备份(包括关键设备设施、系统软件、信息数据的备份)等。在确定网络总体设计方案的基础上选择安全防火墙的类型，从安全性、开放性及系统开销、通信效率多方面综合考虑选择采用包过滤网关、电路层网关、应用层网关等形式。此外，制定实施方案要考虑资金投入等实际情况，以后还要在“计划一执行一维修”的循环中不断完善安全策略。 10．3．2 制定实施方案 2．选择安全技术 正确评价、选用安全技术对于安全方案的实施非常重要。为做到选择较佳方案组合，可制作详细的征询意见计划，向安全技术专家和安全产品供应商征询意见。征询意见表中至少应包括以下问题说明： 1)内部网与外部网的连接关系，如是单个主机相连还是整个内部网系统相连，希望以什么方式接入外部网络(如拨号灵敏度、专线接入等)。 2)内部网的类型(如Novell、SNA、DECnet、Windows NT)，网络种类的不同将影响到安全方案接口的选择。 10．3．2 制定实施方案 3)内部网是否为所有用户都提供访问外部网的服务，以及都提供哪些服务，或者只是建立一个“虚拟专用网”(如VPN)并限制对特定的网址进行存取s内部网中使用外部网的用户是固定的还是移动的(如有大批移动用户的单位可采取智能卡与堡垒主机式防火墙相结合的方式)。 4)是否有加密要求，以及被加密信息的性质(国家机密、企业或个人敏感数据)、类型(文字、图片、电子邮件等)；加密是针对国内的还是针对国际的等，以便使被咨询机构或人员能够做出正确的反应。 10．3．3 安全管理的实施 1 安全管理的类型 按OSI的安全体系结构标准定义的四种安全管理类型： 1)系统安全管理(system secudty management)，主要是管理整个网络环境的安全。 2)安全服务管理(Security service management)，对单个的安全服务进行管理。 3)安全机制管理(security mechanism management)，即管理安全机制中的有用信息，这些安全机制支持有效的安全服务，安全机制包括密钥管理、加密、数字签名及访问控制等。 4)OSI管理的安全(securrity of OSI management)，所有OSI网络管理函数、控制参数和管理信息的安全都是OSI安全的核心，其安全管理能确保OSI的管理协议和信息被很好地保护起来。 根据这四种类型，网络管理部门可选择适当的工作平台，建立有效的网络安全体系。 10．3．3 安全管理的实施 2 安全管理的行政原则 系统的安全管理在行政安排上遵循三个原则，从以下可以看出遵守这些原则并不困难，关键在于始终坚持。 (1)多人负责原则 每项事关系统安全的工作在进行时应有两人以上在场，并且这些人员应是经过考核的，以确保这些人员忠诚可靠；另一方面，不能将系统安全维系在某个人的身上，至少应有两人能掌握、控制网络系统安全。 (2)系统管理岗位任期有限原则 在一般情况下，系统管理特别是安全管理的职务不能长期由某个人担任，这样一是防