电子商务安全风险管理.ppt

《电子商务安全风险管理.ppt》由会员分享，可在线阅读，更多相关《电子商务安全风险管理.ppt（48页珍藏版）》请在装配图网上搜索。

1、第8章 电子商务安全风险管理,问题的提出,电子商务在今日充满机遇，可是作为一名电子商务的参与者，你是否了解电子商务中哪些要素的收益和风险是并存的？ 在大多数情况下，电子商务系统顺利的运行，但可能有时候，一个意外和无法控制的外部事件会扰乱正常的业务操作 作好最坏情况的准备，是风险管理的重要方面,2020/9/5,电子商务安全与管理,2,抓 狂,引例1-会计咨询公司Armstrong Gilmour的倒闭,90年代末，Phil Gilmour是加利福尼亚的一家会计咨询公司Armstrong Gilmour的管理合伙人。公司相当一部分业务是个人委托的管理私人抚恤基金业务。客户的养老金和投资数据存储在

2、一个公司数据库，客户可以在线访问数据库，并核对他们的帐户。 Gilmour致力于管理的养老基金业务增长迅速，因为无法处理日益繁忙的存储，数据库崩溃了。幸运的是，公司的计算机系统有一个磁带备份，因此Gilmour认为客户的数据应该是安全的。当该公司试图恢复养老金数据备份磁带的时候，却发现磁带上的数据已经被损坏了。 剩下的唯一的选择是昂贵和痛苦的。公司的员工在接下来几个星期内不得不花费很长的时间长重新手动恢复数据库。但这次灾难耗费的总费用可能远远大于员工耗费的时间和用于数据库恢复的数千美元。在公司失去一部分委托人的信任和信誉之后，Gilmour最终损失了数百万美元，以低价出售了公司。,2020/9

3、/5,电子商务安全与管理,3,电子商务安全与管理,4,引例2 汇丰银行网络一天内遭万次攻击 顾客信心受损,汇丰银行网络所遭受的攻击引发了电子商务时代企业安全风险管理的重视，但是企业该如何加强安全风险管理呢？,2020/9/5,电子商务安全与管理,5,电子商务中存在的安全风险 8.1 电子商务安全风险管理的演进 8.2 电子商务安全风险管理流程 8.3 电子商务安全风险管理的整体策略,目录,2020/9/5,思考：电子商务中存在哪些安全风险？,自然灾害 火灾 洪水 飓风 地震 ,2020/9/5,电子商务安全与管理,6,与不安全通信网络相关的风险 消费者所面临的风险 虚假的或恶意的网站 用户数据

4、的泄露 隐私与cookies的使用,2020/9/5,电子商务安全与管理,7,电子商务中存在的安全风险,与不安全通信网络相关的风险 消费者所面临的风险,2020/9/5,电子商务安全与管理,8,电子商务中存在的安全风险,与不安全通信网络相关的风险 商家所面临的风险 客户假冒 拒绝服务袭击 故意性的破坏网站 数据的失窃 产品或者服务出现问题的赔偿 侵犯版权、商标、专利引起的诉讼 ,2020/9/5,电子商务安全与管理,9,电子商务中存在的安全风险,与企业内部网相关的风险 离职员工的破坏活动 在职员工的威胁 不适当地使用电子邮件和互联网 ,2020/9/5,电子商务安全与管理,10,电子商务中存在

5、的安全风险,贸易伙伴间商业交易数据传输中的风险 企业内部网、企业外部网及互联网之间的关系 数据截取 受保密措施维护的档案文件、主文件与参考数据所面临的风险,2020/9/5,电子商务安全与管理,11,电子商务中存在的安全风险,电子商务安全与管理,12,8.1 电子商务安全风险管理的演进,8.1.1 电子商务安全管理的发展历程 事件驱动时期 只重视技术防御 静态、局部、事后纠正 标准化时期 基本形成安全管理体系 安全风险分析不足,2020/9/5,电子商务安全与管理,13,8.1.1 电子商务安全管理的发展历程 安全风险管理时期 电子商务安全风险：由于从事电子商务活动过程中相关的网络以及系统存在

6、的安全不确定性而产生的经济或其他利益的损失、自然破坏或损害的可能性,8.1电子商务安全风险管理的演进,2020/9/5,电子商务安全与管理,14,8.1.1 电子商务安全管理的发展历程 安全风险管理时期 风险管理（Risk Management） 降低各种风险的发生概率，或当某种风险突然降临时，减少损失的管理过程 宗旨：承认成功的攻击将会存在，但发生的可能性及产生后果的严重程度将被控制在最小值 风险管理最早于1930年起源于美国。由于受到19291933年的世界性经济危机的影响，美国约有40左右的银行和企业破产，经济倒退了约20年。美国企业为应对经营上的危机，许多大中型企业都在内部设立了保险管

7、理部门，负责安排企业的各种保险项目 所属学科： 通信科技（一级学科）；政策、法规与管理（二级学科） IT风险管理与分析,8.1电子商务安全风险管理的演进,2020/9/5,电子商务安全与管理,15,8.1.2 电子商务安全风险管理的现状 企业已对安全风险管理达成共识 安全风险管理的国际标准和各国规范逐渐形成并趋于完善 利用外部专业化机构进行安全性评估已成为大部分国家的选择 国内的权威IT技术审计机构/信息安全评测机构,8.1电子商务安全风险管理的演进,2020/9/5,电子商务安全与管理,16,8.1电子商务安全风险管理的演进,2020/9/5,电子商务安全与管理,17,8.1电子商务安全风险

8、管理的演进,2020/9/5,电子商务安全与管理,18,8.1电子商务安全风险管理的演进,2020/9/5,电子商务安全与管理,19,8.1电子商务安全风险管理的演进,2020/9/5,电子商务安全与管理,20,8.1电子商务安全风险管理的演进,2020/9/5,电子商务安全与管理,21,8.2 电子商务安全风险管理流程,8.2.1 安全风险管理中的因素关系 8.2.2 风险识别分析 8.2.3 风险评估 8.2.4 风险控制和风险接受 8.2.5 监控和审计,2020/9/5,电子商务安全与管理,22,8.2电子商务安全风险管理流程,8.2.1 安全风险管理中的因素关系,2020/9/5,有

9、漏洞的电子商务系统一定会出现安全问题吗？,受到威胁的电子商务系统一定会出现安全问题吗？,No!,安全需求,信息资产的价值会影响实际风险吗？,Yes!,No!,电子商务安全与管理,23,8.2电子商务安全风险管理流程,8.2.1 安全风险管理中的因素关系,2020/9/5,风险识别分析阶段,风险评估阶段,风险控制阶段,电子商务安全与管理,24,8.2电子商务安全风险管理流程,8.2.2 风险识别分析 1.风险识别的一般步骤 信息资产的识别与估价 定性方法 威胁的识别与评估 分级赋值 薄弱点评价,2020/9/5,定性,电子商务安全与管理,25,8.2电子商务安全风险管理流程,8.2.2 风险识别

10、分析 2.风险识别阶段的常用方法 风险分析调查表 分类法,2020/9/5,电子商务安全与管理,26,8.2电子商务安全风险管理流程,8.2.2 风险识别分析 2.风险识别阶段的常用方法 事故树分析法 事故树分析法（Accident Tree Analysis，简称ATA）起源于故障树分析法（Fault Tree Analysis，简称FTA），是安全系统工程的重要分析方法之一 属于演绎法：从结果入手，分析原因,2020/9/5,小知识：你知道什么是归纳法吗？,电子商务安全与管理,27,8.2电子商务安全风险管理流程,8.2.2 风险识别分析 2.风险识别阶段的常用方法 事故树分析法 事故树分

11、析法首先由美国贝尔实验室于1961年为研究民兵式导弹发射控制系统时提出，1974年美国原子能委员会运用FTA对核电站事故进行了风险评价，发表了著名的拉姆逊报告。该报告对事故树分析作了大规模有效的应用。此后，在社会各界引起了极大的反响，受到了广泛的重视，从而迅速在许多国家和许多企业应用和推广。 中国开展事故树分析方法的研究是从1978年开始的。80年代末，铁路运输系统开始把事故树分析方法应用到安全生产和劳动保护上来，也已取得了较好的效果。,2020/9/5,电子商务安全与管理,28,8.2电子商务安全风险管理流程,8.2.2 风险识别分析 2.风险识别阶段的常用方法 事故树分析法 事故树由各种符

12、号和其连接的逻辑门组成 矩形符号：表示结果事件 “机动车追尾” “服务中断” 圆形符号：表示基本(原因)事件 “酒后开车” “拒绝服务攻击” 逻辑门符号：表示与、或、非 ,2020/9/5,电子商务安全与管理,29,8.2电子商务安全风险管理流程,8.2.2 风险识别分析 2.风险识别阶段的常用方法 事故树分析法,2020/9/5,电子商务安全与管理,30,8.2电子商务安全风险管理流程,8.2.2 风险识别分析 2.风险识别阶段的常用方法 事故树分析法,2020/9/5,电子商务安全与管理,31,8.2电子商务安全风险管理流程,8.2.3 风险评估 风险识别工作结束后，要利用适当的风险测量方

13、法、工具确定风险的大小与风险等级，这就是风险评估过程 请学习P315 例1，例2,2020/9/5,定量,R=R(PT, PV, I),I=VCL,电子商务安全与管理,32,8.2电子商务安全风险管理流程,8.2.3 风险评估 根据风险计算的结果，可以得到资产风险评估的相对优先顺序，将风险划分为不同的等级，风险级别高的资产需要优先分配资源保护,2020/9/5,例2中哪个子系统将优先分配资源进行保护？,电子商务子系统,电子商务安全与管理,33,8.2电子商务安全风险管理流程,8.2.4 风险控制和风险接受 风险控制的基本方法 减少威胁程度 减少薄弱点,2020/9/5,风险规避,风险预防,风险

14、分散,风险转移,电子商务安全与管理,34,8.2电子商务安全风险管理流程,8.2.4 风险控制和风险接受 风险评估风险接受过程,2020/9/5,Rr=R0-R, RrRt,电子商务安全与管理,35,8.2电子商务安全风险管理流程,8.2.5 监控和审计 实时监控 网络安全性扫描 系统漏洞扫描 数据库自动扫描 人员操作情况扫描 审计评估 操作系统的审计 应用系统的审计 设备的审计 网络应用的审计 专门的审计评估系统的作用,2020/9/5,反馈,电子商务安全与管理,36,8.3 电子商务安全风险管理的整体策略,8.3.1 安全风险管理策略应遵循的原则 制定前提 对法律法规要求的依从 对组织业务

15、要求的依从 对经济原则的依从,2020/9/5,安全策略,具体措施,指导方针,实施细节,电子商务安全与管理,37,8.3.1 安全风险管理策略应遵循的原则 1.控制论和系统论思想的运用 信息方法,2020/9/5,8.3电子商务安全风险管理的整体策略,电子商务安全与管理,38,8.3.1 安全风险管理策略应遵循的原则 1.控制论和系统论思想的运用 信息方法 反馈方法 2.借鉴其他领域的风险管理方法 目前电子商务安全风险管理方法与传统风险管理方法的差距 风险评估矩阵,2020/9/5,8.3电子商务安全风险管理的整体策略,电子商务安全与管理,39,2020/9/5,8.3电子商务安全风险管理的整

16、体策略,电子商务安全与管理,40,8.3.1 安全风险管理策略应遵循的原则 2.借鉴其他领域的风险管理方法 目前电子商务安全风险管理方法与传统风险管理方法的差距 风险评估矩阵 敏感性分析（Sensitivity Analysis） 对模型中参数的小变化可能导致的状态变化的研究 若某参数的小幅度变化能导致经济效果指标的较大变化，则称此参数为敏感性因素，反之则称其为非敏感性因素,2020/9/5,8.3电子商务安全风险管理的整体策略,电子商务安全与管理,41,2020/9/5,8.3电子商务安全风险管理的整体策略,电子商务安全与管理,42,8.3.1 安全风险管理策略应遵循的原则 2.借鉴其他领域

17、的风险管理方法 目前电子商务安全风险管理方法与传统风险管理方法的差距 风险评估矩阵 敏感性分析（Sensitivity Analysis） 模拟 专家打分法 经验判断法 3.融入企业整体风险管理,2020/9/5,8.3电子商务安全风险管理的整体策略,电子商务安全与管理,43,8.3.2 策略的总体框架 在安全风险管理策略系统中技术和管理手段的无缝集成,8.3电子商务安全风险管理的整体策略,2020/9/5,电子商务安全与管理,44,8.3.2 策略的总体框架 包括电子商务安全风险控制的企业整体风险控制,8.3电子商务安全风险管理的整体策略,2020/9/5,本章小结,电子商务中存在的安全风险 电子商务安全风险管理的发展历史以及现状 电子商务安全风险管理流程 风险识别、风险评估、风险控制与接受 电子商务安全风险管理的整体策略 系统论、控制论,2020/9/5,电子商务安全与管理,45,本章重点,电子商务安全风险管理流程及方法（图8-1）,2020/9/5,电子商务安全与管理,46,论述题思考,P328 电子商务安全管理对于企业健康发展的重要意义是什么？,2020/9/5,电子商务安全与管理,47,谢谢！,