电子商务系统安全(2)_第1页
电子商务系统安全(2)_第2页
电子商务系统安全(2)_第3页
电子商务系统安全(2)_第4页
电子商务系统安全(2)_第5页
已阅读5页,还剩23页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、第9章 电子商务系统的安全设计整理ppt本章内容.1 电子商务系统安全.2 电子商务系统安全体系框架.3 电子商务系统安全设计的原则.4 电子商务系统安全体系的设计整理ppt9.1 电子商务系统安全电子商务系统安全问题涉及到许多方面。首先,安全不是一个单一的问题。其次,安全问题是动态的。再次,安全问题不能仅仅由技术来完全解决。整理ppt9.2 电子商务系统安全体系框架电子商务还没有统一建立的标准的系统安全体系框架。可参照信息系统的安全体系框架。信息系统安全的总需求是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共信息安全的总和。信息系统安全的最终目的是确保信息的保密性、完整性

2、、可用性、可审计性和不可否认性,以及信息系统主体对信息资源的控制。 整理ppt信息系统安全体系结构示意图 管理体系法律制度培训组织体系机构岗位人事技术体系技术管理安全策略与服务密钥管理审计技术机制安全技术运行环境及系统安全技术状态检测入侵监控安全管理安全机制安全服务物理安全系统安全信息系统安全体系框架整理ppt9.3电子商务系统安全设计的原则 均衡性 整体性 一致性 易操作性 可靠性 层次性 可评价性整理ppt9.4 电子商务系统安全体系的设计制定安全规划的工作步骤包括:对企业电子商务系统安全风险进行评估分析企业电子商务系统的安全需求定义企业电子商务系统安全规划的范围建立项目小组以设计和实施安

3、全规划制定企业电子商务系统的安全策略制定企业电子商务系统的安全方案评估安全方案的代价和优缺点测试和实施安全方案整理ppt9.4.1 识别企业信息资产通过识别用户的信息资产,建立信息资产列表。企业信息资产包括:数据与文档、硬件,软件,人员四个方面。整理ppt企业的信息资产资产类型说明硬件包括服务器、工作站、路由器、交换机、防火墙、入侵检测系统、终端、打印机等整件设备,也包括主版、CPU、硬盘、显示器等散件设备。软件包括源代码、应用程序、工具、分析测试软件、操作系统等数据包括软硬件运行中的中间数据、备份资料、系统状态、审计日志、数据库资料等人员包括用户、管理员、维护人员等文档包括软件程序、硬件设备

4、、系统状态、本地管理过程的资料消耗品包括纸张、软盘、磁带等整理ppt资产分类对信息资产及人分别归类,同时在两者之间建立起对应关系。信息资产可以通过资产的保护价值进行分类。如:机密级、内部访问级、内部信息、共享级。对人员的分类类似于信息资产的分类。在开发安全方案之前,务必要列出属于上述每个项目的每个信息资产的清单,并确定所有相应的信息资源的安全级别及相应的系统安全性需求。整理ppt信息分为四个级别 级别1:公开或未分类信息,该类信息数据不需要经过公司任何批准就可以向大众公开。级别2:内部信息,外部对这类信息访问是被禁止的。级别3:私有信息,如果该类信息被未授权用户访问,将对公司正常运作产生影响,

5、并导致经济上的损失。级别4:秘密信息,未授权的外部或内部用户对这类数据的访问对公司是非常致命的。整理ppt9.4.2电子商务系统风险识别、分析和评估要保障系统安全,首要是对企业资产的识别,其次是对威胁的识别。1.电子商务面临的威胁电子商务安全主要可划分为计算机信息系统安全商务交易安全整理ppt1.电子商务面临的威胁计算机信息系统面临的威胁归结起来,针对计算机信息系统安全的威胁主要有三:人为的无意失误人为的恶意攻击软件的漏洞和“后门” 电子商务交易安全威胁类别目前,一般的电子商务系统都面临着以下几种安全隐患: 信息的截获和窃取 信息的篡改 信息假冒 交易抵赖 整理ppt2.电子商务系统风险分析和

6、评估 敏感性结果决定电子商务系统敏感性等级的因素有两个:第一个是事故的直接后果。第二个应考虑的因素是政治上和企业的敏感性。风险评估矩阵在风险评估矩阵中,应考虑多种因素,而且还应考虑各种因素之间的关系。在下面的评估矩阵中,首先对各种因素进行评估,如危险性、可见性,然后以一定的关系式把它们联系起来,最后得到评估结果。整理ppt风险评估矩阵列表1危险性评估可见性评估分数危险不太活跃,而且暴露于危险中的机会不很多1很低的可见性,没有提供任何公共信息服务1危险并不明确,而且危险是多重的3间断的提供公共信息服务3危险非常活跃,而且危险是多重的5持续提供公共信息服务5整理ppt 风险评估矩阵列表2 事故结果

7、评估事故结果的影响评估分数没有任何影响和损夫;在损失预算之内:风险可以转移1损失在生意运作中可以接受:或对企业无较大的影响,1企业内部的正常运行受到影响超出了损失预算:存在机会成本3对企业的运转有不可接受的影响3企业外部的生意受到影响;对企业财政有致命的影响5对企业的经营管理有不可接受的影响5整理ppt风险评估结果风险评估结果危险评估可见性评估+事故结果评估事故影响评估然后把“风险评估结果”用下面的值评估。210:低风险1129:中等风险3050:高风险整理ppt风险评估举例假设我们用Wi表示资源的重要性程度,而用Ri表示资源面临的危险大小;资源重要性的估计值我们用从0到1中的一个值来代表,0

8、为最低,1为最高;而资源面临的风险值我们用从0到10中的一个值来代表,0为最低,10为最高。则WRi=Wi*Ri则表示资源加权后的危险值。 整理ppt包含权值和危险值的简单网络设计图 整理ppt风险评估举例路由器: WR1=R1*W1=6*0.7=4.2网桥: WR2=R2*W2=6*0.3= 1.8服务器: WR3=R3* W3=10* 1=10整个网络系统的危险值: WR=WR1+WR2+WR3 =16整理ppt9.4.3 电子商务系统的安全需求分析通过分析以下因素,可以定义电子商务系统的安全需求:需要保护的资源。资源面临的威胁。威胁发生的机率。整理ppt9.4.4定义电子商务系统的安全规

9、划的范围设计安全方案之前,企业必须定义规划的范围,以指明将来的安全方案准备处理哪些风险。整理ppt9.4.5电子商务系统安全策略的制定安全策略是对一种处理安全问题的规则的描述。根据安全需求制定的系统的安全策略是安全方案的主要内容。 整理ppt策略的制定决定于以下几个因素.权衡要点制定安全策略是进行利与弊的权衡一般来说,权衡的要点如下:功能和安全性能。用户操作的便利性和安全性能。成本与功能。整理ppt3. 制定安全策略的工作步骤制定安全策略,可按下列步骤:找出需保护的信息资源。判定信息资源的价值。评定电子商务系统适当的风险承受等级。制订安全策略。将安全策略分配在电子商务系统各处。整理ppt9.4.6 制订电子商务系统的安全方案1. 安全方案的主要内容技术体系的建立组织机构的建立 管理体系的建立 安全方案

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论