电子商务安全风险管理的规则、步骤和对策.docxVIP

电子商务安全风险管理的规则、步骤及对策 随着开放的互联网络系统Internet的飞速发展， 电子商务的使用和推广极大了改变了人们工作和生活方 式，带来了无限的商机。然而，电子商务发展所依托的平 台一互联网络却充满了巨大、复杂的安全风险。黑客的攻 击、病毒的肆虐等等都使得电子商务业务很难安全顺利地 开展；止匕外，电子商务的发展还面临着严峻的内部风险， 全风险识别和分析。 对电子商务安全现状的评估是制定安全风险管理规 则的基础。 ：俺 对信息和资产的评估是指对可能遭受损失的相关信 息和资产进行价值的评估，以便确定相适应的安全风险管 理规则，从而避免投入成本和要保护的信息和资产的严 重 不匹配。 安全风险识别要求尽可能地发现潜在的安全风险， 应采集有关各种威胁、漏洞、开辟和对策的信息。 安全风险分析是确定风险，采集信息，对可能造成 的损失进行评价以估计风险的级别，以便做出明智的决 策，从而采取措施来规避安全风险。 (2)开辟和实施阶段 该阶段的任务包括风险补救措施开辟、风险补救措 施测试和风险知识学习。 风险补救措施开辟利用评估阶段的成果来建立一 个新的安全管理策略，其中涉及配置管理、修补程序管 理、系统监视和审核等等。 ?:樗 在完成对风险补救措施的开辟后，即进行安全风险 补救措施的测试 在测试过程中，将按照安全风险的控制效 果来评估对策的有效性。 (3)运行阶段 运行阶段的主要任务包括在新的安全风险管理规则 下评估新的安全风险。这个过程实际上是变更管理的过 * 程，也是执行安全配置管理的过程。 运行阶段的第二个任务是对新的或者已更改的对策 进行稳定性测试和部署。这个过程由系统管理、安全管理和 网络管理小组来共同实施。 以上风险管理规则的三个阶段可以用下图来表示： 图1风险管理规则的三个阶段 三、安全风险管理步骤安全风险管理是识别风 险、分析风险并制定风险管 理计划的过程。电子商务安全风险的管理和控制方法，它 包括风险识别、风险分析、风险控制以及风险监控等四个 爨 : (1)风险识别 ill 电子商务系统的安全要求是通过对风险的系统评 估 而确认的。为了有效管理电子商务安全风险，识别安全 风 险是风险管理的第一步。 风险识别是在采集有关各种威胁、漏洞和相关对策 等信息的基础上，识别各种可能对电子商务系统造成潜在 威胁的安全风险。 顷 廖：.冬 风险识别的手段五花八门，对于电子商务系统的安 全来说，风险识别的目标是主要是对电子商务系统的网络 环境风险、数据存在风险和网上支付风险进行识别。 需要注意的是，并非所有的电子商务安全风险都可 以通过风险识别来进行管理，风险识别只能发现已知的风 险或者根据已知风险较容易获知的潜在风险。而对于大部份 的未知风险，则依赖于风险分析和控制来加以解决或者降 低。随著^放的互耳触同络系统Internet的来速彝展，! 子商矜的愿用和推廉趣大瞭改燮瞭人伸工作和生活方式， 带来瞭瓢限的商檄。然而，霜子商矜赞展所依托的平 一互耳蜉罔络郤充满瞭巨大、彳复雄的安全^黑客的攻擎 病毒的肆虐等等都使得霜子商矜棠矜很It安全J版利地^展; 此外，霜子商矜的彝展遢面陶著殿峻的内部凰陂，霜子商 矜企棠内部封安全冏题的盲目和安全意^的淡薄， rWjJf令真醇擘寸重子商矜的建作和安全凰除管理重视程度不 足，使得企^^施重子商矜不可避免地畲遇到道棣或者那 ?的凰陂。因此，在考察重子商矜建行璟境、提供重子商 B安全解决方案的同畤，有必要重黠者平估重子商矜系统面 冏题以及封凰陂有效管理和控制方法。 霜子商矜安全凰除管理thldl是封重子商矜系统的安全凰 暹行^别、衡量、分析，加在it基磁上翥可能地以最低 的成本和代^现翥可能大的安全保障的科擘管理 方法。 一、霜子商矜面陶的安全^^ 谿-还 由於幺罔格的彳复雄性和脆弱性，以因特区罔卷主要平耋 的霜子商矜的樊展面陶著殿峻的安全冏堰。普通^1 子商矜普遍存在著以下黑偃I安全凰陂： 1）信息的截掩和藕取 造是指霜子商矜相^用户或者外来者未^授不瞿通谩 各槿技彳杆手段截狸和藕取他人的文重内容以掩取商渠檄 ULJ o 2）信息的篡改 余罔格攻擎者依靠各槿技秫亍方法和手段器寸傅翰的信息 迤行中途的篡改、删除或者插入，加考菱往目的地，彳他而逵到 破壤信息完整性的目的。 3）拒^服矜 拒^服矜是指在一定日寺^内，区罔络系统或者服矜器 服 矜系统的作用彻底失效。其主要原因来自黑客和病毒的 攻 擎以及言十算檄硬件的熬悬破壤。 4）系统资源失藕冏题 ?:窿在 东周络系统璟境中，系统资源失藕是常兄的安全威 Wo 5）信息的假冒 信息的假冒是指常攻擎者掌握瞭留罔格信息数撼规 律 或者解密瞭商矜信息彼 可以假冒合法用户或者假冒信息来 电子商务企业内部对安全问题的盲目和安全意识的淡薄， 高层领导对电子商务的运作和