返回
电子商务系统安全规划

电子商务系统安全规划

ID:37602051

大小:327.36 KB

页数:25页

时间:2019-05-12

电子商务系统安全规划_第1页
电子商务系统安全规划_第2页
电子商务系统安全规划_第3页
电子商务系统安全规划_第4页
电子商务系统安全规划_第5页
资源描述:

《电子商务系统安全规划》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第6章电子商务系统安全规划6.1电子商务系统安全6.2电子商务系统安全体系框架6.3电子商务系统安全设计的原则6.4电子商务系统安全体系的设计6.1电子商务系统安全电子商务系统安全问题涉及到许多方面。首先,安全不是一个单一的问题。其次,安全问题是动态的。再次,安全问题不能仅仅由技术来完全解决。6.2电子商务系统安全体系框架电子商务还没有统一建立的标准的系统安全体系框架。可参照信息系统的安全体系框架。信息系统安全的总需求是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共信息安全的总和。信息系统安全的最终目的是确保信息的保密性、完整性、可用性、可审计性和不可否认性,以及信

2、息系统主体对信息资源的控制。6.2电子商务系统安全体系框架信息系统安全体系结构示意图6.3电子商务系统安全设计的原则⑴均衡性⑵整体性⑶一致性⑷易操作性⑸可靠性⑹层次性⑺可评价性6.4电子商务系统安全体系的设计制定安全规划的工作步骤包括:对企业电子商务系统安全风险进行评估分析企业电子商务系统的安全需求定义企业电子商务系统安全规划的范围建立项目小组以设计和实施安全规划制定企业电子商务系统的安全策略制定企业电子商务系统的安全方案评估安全方案的代价和优缺点测试和实施安全方案6.4.1识别企业信息资产要保护企业的电子商务系统安全,首先要知道企业中有哪些可识别的资产,哪些是最关键的、需要重点防护的

3、,哪些是次要一些的但是也需要保护的,哪些是不需要专门关注的。企业信息资产包括:数据与文档、硬件,软件,人员四个方面。6.4.1识别企业信息资产资产类型说明硬件包括服务器、工作站、路由器、交换机、防火墙、入侵检测系统、终端、打印机等整件设备,也包括主板、CPU、硬盘、显示器等散件设备软件包括源代码、应用程序、工具、分析测试软件、操作系统等数据包括软硬件运行中的中间数据、备份资料、系统状态、审计日志、数据库资料等人员包括用户、管理员、维护人员等文档包括软件程序、硬件设备、系统状态、本地管理过程的资料消耗品包括纸张、软盘、磁带等企业的信息资产6.4.2电子商务系统风险识别、分析和评估1.电子

4、商务系统面临的威胁电子商务的核心是通过信息网络技术来传递商业信息和进行网络交易,所以从整体上来看,电子商务安全主要可划分为计算机信息系统安全和商务交易安全等。1.电子商务面临的威胁(1)计算机信息系统面临的威胁①人为的无意失误②人为的恶意攻击③软件的漏洞和“后门”(2)电子商务交易安全威胁类别。①信息的截获和窃取。②信息的篡改。③假冒。④交易抵赖。2.电子商务系统风险分析和评估⑴敏感性/结果决定电子商务系统敏感性等级的因素有两个:第一个是事故的直接后果。第二个应考虑的因素是政治上和企业的敏感性。⑵风险评估矩阵危险性评估可见性评估分数危险不太活跃,而且暴露于危险中的机会不很多1很低的可见

5、性,没有提供任何公共信息服务,1危险并不明确,而且危险是多重的3间断的提供公共信息服务,3危险非常活跃,而且危险是多重的5持续提供公共信息服务,5风险评估矩阵列表1⑵风险评估矩阵事故结果评估事故结果的影响评估分数没有任何影响和损夫;在损失预算之内:风险可以转移1损失在生意运作中可以接受:或对企业无较大的影响,1企业内部的正常运行受到影响超出了损失预算:存在机会成本3对企业的运转有不可接受的影响3企业外部的生意受到影响;对企业财政有致命的影响5对企业的经营管理有不可接受的影响5风险评估矩阵列表2(3)基本的风险评估风险评估和管理任务详细风险评估活动资产识别和估价列出在安全管理体系范围内被

6、评估的商业环境、运作和信息相关的资产威胁评估使用通用或一般的常见威胁的列表,列出资产的威胁薄弱点评估应用通用或一般的常见薄弱点的列表,列出资产的薄弱点现有的和计划了的安全控制的识别根据前期的安全评审,对所有与资产相关联的现有的和计划了的控制进行识别和文件化风险评估搜集由上述评估产生的有关资产、威胁和薄弱点的信息,以便能够进行一个系统的、简单的风险测量安全控制和降低风险的识别和选择对于每一项列出的资产,确认相关的控制目标。应用与这些资产的每一个方面相关的威胁和薄弱点,选择相关联的控制,以完成这些目标风险接受在整体的基础上,通过选择附加的控制,考虑更进一步的降低风险基本的风险评估活动(4)

7、详细的风险评估风险评估和管理任务详细风险评估活动资产识别和估价识别和列出安全管理范围内被评估的商业环境、运作和信息相关的所有的资产,定义一个价值尺度并为每一项资产分配价值(保密性、完整性和可用性的价值)威胁评估识别与资产相关的所有威胁,并根据它们发生的可能性和严重性为它们赋值薄弱点评估识别与资产相关的所有的薄弱点,并根据它们怎样轻易被威胁利用来为它们赋值现有的和计划了的安全控制的识别根据前期评审,将所有现有的和计划了的与资产相关的安全控制进行识

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。