返回
电子商务系统规划与设计(二)

电子商务系统规划与设计(二)

ID:5529826

大小:99.00 KB

页数:54页

时间:2017-11-13

电子商务系统规划与设计(二)_第1页
电子商务系统规划与设计(二)_第2页
电子商务系统规划与设计(二)_第3页
电子商务系统规划与设计(二)_第4页
电子商务系统规划与设计(二)_第5页
资源描述:

《电子商务系统规划与设计(二)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、电子商务系统规划与设计(二)支付系统确定电子商务系统的安全策略设计支付系统确定支付大小如微支付需要非常有效快速地处理。而大额支付需要强有力的控制来防止欺诈。额外的安全机制将会计、保险、审计、物理安全和密码技术集合起来,保证认证、实时执行及强大的加密功能,将需要较高的处理费用。电子商务系统的安全策略设计电子商务系统的风险评估电子商务系统安全需求分析电子商务系统安全总体规划设计电子商务系统安全策略设计风险分析和评估⑴鉴别网络资产⑵资产价值⑶威胁和脆弱性⑷风险评估鉴别网络资产硬件:工作站、个人计算机、打印机、路由器、交换机、调制解调器、终端服务器和防火墙

2、。软件源程序、对象程序、应用,诊断程序、操作系统和通信程序。数据在线保存和离线归档的数据、备份、注册记录、数据库以及在通信介质上传输的数据。鉴别网络资产人员用户、管理员和硬件维护人员。文档软件程序、内部硬件和软件的评价。系统以及本地管理程序。公司更应该关注的是他们的资产以及相关的价值,而不是攻击者的动机。资产价值为企业资产评定价值是一个很主观的过程。无形资产(通常是一些软件,数据或文档)用重要程度或关键程度来评价其价值可能是很有用处的。在这种方式下,资产的相对损失变得比财产“精确”的价值更为重要。有形资产的价值可以根据更新的价值,以及像无形资产那样

3、,根据损失的即时影响和损失的结果来确定。更新价值更新价值(replacementvalue)可以包括购买安全硬件(如防火墙和加密设备)和软件(如一次性口令生成器和审核工具)的费用,以及对安全责任人进行再教育的花费。因数据不可访问或被破坏而导致的即时影响可能会错过最后的交货期限,其最终结果可能是导致客户的流失。企业中的数据分类●行政数据。来往信函以及诸如属性记录和个人信息等可以公开的信息。●财务数据。与商业操作有关的预算和开支信息。●客户数据。客户本人的自然属性信息,或者是测试、观察或咨询得到的信息。●研究数据。商业研究活动得到或用于支持商业研究活动

4、的信息。●私人数据。未经所有者同意就不能公开的信息。威胁和脆弱性确定了网络资产后,就应该确定对资产的潜在威胁和资产受此威胁攻击的可能性。威胁可以是任何可能对网络或网络设备造成损害的个人、对象或事件。威胁可能是刻意的(如故意修改敏感信息)或偶然的(如计算错误或意外删除文件)。脆弱性脆弱性是网络中存在的可能被威胁利用的缺陷。例如:可能发生外部人员猜出口令而对网络进行未经授权访问(威胁)的事件。这种情况下,被利用的脆弱性是用户所选择的口令不高明。减少或消除网络的脆弱性就可以减少或消除网络被威胁的风险。威胁通常有如下几种形式●偷听与信息窃取。●网络资源不能

5、访问。●对资源进行未经授权的访问。●数据操作。风险评估定量风险评估采用经验数据和己知的可能性及统计结果来进行评定。定性风险分析则根据直觉进行评价。不论采用哪种机制,重要的是如何将损失及损失发生的可能性进行量化,且保证量化结果对于负责风险决策的人是一致和有意义的。安全准则●人的安全准则:针对使用计算机网络的人,确定他们的权力与义务。在大多数公司中,这些人包括:工作人员、来访者与临时工作人员、系统管理员、服务人员与外部查阅者等。●硬件的安全准则:如果组成硬件的部件没有得到适当的保护,那么即使采用世界上最好的安全措施也毫无用处。风险缓解和安全成本确定它能

6、够接受多高的风险,以及资产需要保护到什么程度。风险缓解是选择适当的控制方式将风险降低到可接受水平的过程。估计损失的价值,不要花比实际损失还要高的钱来提供安全性保护。安全成本性能成本。因为加密和解密都需要消耗时间和处理能力。如果唐突地决定把所有通信数据都加密,就会导致严重的性能退化。机会成本。如果由于通信阻塞和执行安全策略(这里不涉及安全审核)所需的系统开销增大,使公司的反应比竞争对手缓慢,那么损失的机会又是什么呢?成本与利益的权衡实施和管理安全程序的花费必须与潜在利益进行比较。需要弄清楚的是,安全措施并不能保证未授权用户一定不能访问系统信息,也不能

7、保证未授权用户一定不能对网络计算机系统执行未授权任务;安全措施只是使未授权的访问更难发生而已。电子商务系统的安全策略总体设计安全策略的目的就是决定一个组织机构怎样来保护自己。一般来说,策略包括两个部分:总体的策略和具体的规则。总体的策略用于阐明安全策略的总体思想,具体的规则用于说明什么活动是被允许的,什么活动是被禁止的。电子商务系统安全 总体设计内容①确定企业内部网内部信息的安全级别,明确安全防范的重点;②确定企业在安全防范上能有多大的投入;③确定重点防范内部信息的防范方式;④确定企业内部网类型及相关的安全机制及技术措施;⑤确定内部信息对外开发的种

8、类及发布的方式和访问方式;电子商务系统安全 总体设计内容(二)⑥根据信息的发布量级及性质确定是否采用容错计算机系统及异种操

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。