电子商务安全风险管理课件

1、第8章 电子商务安全风险管理第1页，共48页。问题的提出电子商务在今日充满机遇，可是作为一名电子商务的参与者，你是否了解电子商务中哪些要素的收益和风险是并存的？在大多数情况下，电子商务系统顺利的运行，但可能有时候，一个意外和无法控制的外部事件会扰乱正常的业务操作作好最坏情况的准备，是风险管理的重要方面抓狂2022/8/52电子商务安全与管理第2页，共48页。引例1-会计咨询公司Armstrong Gilmour的倒闭90年代末，Phil Gilmour是加利福尼亚的一家会计咨询公司Armstrong Gilmour的管理合伙人。公司相当一部分业务是个人委托的管理私人抚恤基金业务。客户的养老金和

2、投资数据存储在一个公司数据库，客户可以在线访问数据库，并核对他们的帐户。Gilmour致力于管理的养老基金业务增长迅速，因为无法处理日益繁忙的存储，数据库崩溃了。幸运的是，公司的计算机系统有一个磁带备份，因此Gilmour认为客户的数据应该是安全的。当该公司试图恢复养老金数据备份磁带的时候，却发现磁带上的数据已经被损坏了。剩下的唯一的选择是昂贵和痛苦的。公司的员工在接下来几个星期内不得不花费很长的时间长重新手动恢复数据库。但这次灾难耗费的总费用可能远远大于员工耗费的时间和用于数据库恢复的数千美元。在公司失去一部分委托人的信任和信誉之后，Gilmour最终损失了数百万美元，以低价出售了公司。20

3、22/8/53电子商务安全与管理第3页，共48页。引例2 汇丰银行网络一天内遭万次攻击 顾客信心受损汇丰银行网络所遭受的攻击引发了电子商务时代企业安全风险管理的重视，但是企业该如何加强安全风险管理呢？2022/8/54电子商务安全与管理第4页，共48页。电子商务中存在的安全风险8.1 电子商务安全风险管理的演进8.2 电子商务安全风险管理流程8.3 电子商务安全风险管理的整体策略目录2022/8/55电子商务安全与管理第5页，共48页。思考：电子商务中存在哪些安全风险？自然灾害火灾洪水飓风地震2022/8/56电子商务安全与管理第6页，共48页。与不安全通信网络相关的风险 消费者所面临的风险

4、虚假的或恶意的网站 用户数据的泄露隐私与cookies的使用 电子商务中存在的安全风险2022/8/57电子商务安全与管理第7页，共48页。与不安全通信网络相关的风险 消费者所面临的风险 电子商务中存在的安全风险2022/8/58电子商务安全与管理第8页，共48页。与不安全通信网络相关的风险 商家所面临的风险客户假冒 拒绝服务袭击 故意性的破坏网站数据的失窃产品或者服务出现问题的赔偿侵犯版权、商标、专利引起的诉讼电子商务中存在的安全风险2022/8/59电子商务安全与管理第9页，共48页。与企业内部网相关的风险离职员工的破坏活动 在职员工的威胁不适当地使用电子邮件和互联网电子商务中存在的安全风

5、险2022/8/510电子商务安全与管理第10页，共48页。贸易伙伴间商业交易数据传输中的风险企业内部网、企业外部网及互联网之间的关系 数据截取 受保密措施维护的档案文件、主文件与参考数据所面临的风险 电子商务中存在的安全风险2022/8/511电子商务安全与管理第11页，共48页。8.1 电子商务安全风险管理的演进8.1.1 电子商务安全管理的发展历程事件驱动时期只重视技术防御静态、局部、事后纠正标准化时期基本形成安全管理体系安全风险分析不足2022/8/512电子商务安全与管理第12页，共48页。8.1.1 电子商务安全管理的发展历程安全风险管理时期电子商务安全风险：由于从事电子商务活动过

6、程中相关的网络以及系统存在的安全不确定性而产生的经济或其他利益的损失、自然破坏或损害的可能性8.1电子商务安全风险管理的演进2022/8/513电子商务安全与管理第13页，共48页。8.1.1 电子商务安全管理的发展历程安全风险管理时期风险管理（Risk Management）降低各种风险的发生概率，或当某种风险突然降临时，减少损失的管理过程宗旨：承认成功的攻击将会存在，但发生的可能性及产生后果的严重程度将被控制在最小值风险管理最早于1930年起源于美国。由于受到19291933年的世界性经济危机的影响，美国约有40左右的银行和企业破产，经济倒退了约20年。美国企业为应对经营上的危机，许多大中

7、型企业都在内部设立了保险管理部门，负责安排企业的各种保险项目所属学科： 通信科技（一级学科）；政策、法规与管理（二级学科）IT风险管理与分析8.1电子商务安全风险管理的演进2022/8/514电子商务安全与管理第14页，共48页。8.1.2 电子商务安全风险管理的现状企业已对安全风险管理达成共识安全风险管理的国际标准和各国规范逐渐形成并趋于完善利用外部专业化机构进行安全性评估已成为大部分国家的选择国内的权威IT技术审计机构/信息安全评测机构8.1电子商务安全风险管理的演进2022/8/515电子商务安全与管理第15页，共48页。8.1电子商务安全风险管理的演进2022/8/516电子商务安全与

8、管理第16页，共48页。8.1电子商务安全风险管理的演进2022/8/517电子商务安全与管理第17页，共48页。8.1电子商务安全风险管理的演进2022/8/518电子商务安全与管理第18页，共48页。8.1电子商务安全风险管理的演进2022/8/519电子商务安全与管理第19页，共48页。8.1电子商务安全风险管理的演进2022/8/520电子商务安全与管理第20页，共48页。8.2 电子商务安全风险管理流程8.2.1 安全风险管理中的因素关系8.2.2 风险识别分析8.2.3 风险评估8.2.4 风险控制和风险接受8.2.5 监控和审计2022/8/521电子商务安全与管理第21页，共4

9、8页。8.2电子商务安全风险管理流程8.2.1 安全风险管理中的因素关系有漏洞的电子商务系统一定会出现安全问题吗？受到威胁的电子商务系统一定会出现安全问题吗？No!安全需求信息资产的价值会影响实际风险吗？Yes!No!2022/8/522电子商务安全与管理第22页，共48页。8.2电子商务安全风险管理流程8.2.1 安全风险管理中的因素关系风险识别分析阶段风险评估阶段风险控制阶段2022/8/523电子商务安全与管理第23页，共48页。8.2电子商务安全风险管理流程8.2.2 风险识别分析 1.风险识别的一般步骤信息资产的识别与估价定性方法威胁的识别与评估分级赋值薄弱点评价定性2022/8/5

10、24电子商务安全与管理第24页，共48页。8.2电子商务安全风险管理流程8.2.2 风险识别分析 2.风险识别阶段的常用方法风险分析调查表分类法资产风险分析调查表网络设备网络设备有无专人管理？有无专门的网络设备维护制度？网络设备有无备份？服务器服务器有无专门的管理制度？服务器是否有备份？服务器内容的访问规则有否？数据库数据库的更新频率是否符合标准数据库内容是否备份？企业是否将全部重要信息都集中保存？是否2022/8/525电子商务安全与管理第25页，共48页。8.2电子商务安全风险管理流程8.2.2 风险识别分析 2.风险识别阶段的常用方法事故树分析法事故树分析法（Accident Tree

11、Analysis，简称ATA）起源于故障树分析法（Fault Tree Analysis，简称FTA），是安全系统工程的重要分析方法之一属于演绎法：从结果入手，分析原因小知识：你知道什么是归纳法吗？2022/8/526电子商务安全与管理第26页，共48页。8.2电子商务安全风险管理流程8.2.2 风险识别分析 2.风险识别阶段的常用方法事故树分析法事故树分析法首先由美国贝尔实验室于1961年为研究民兵式导弹发射控制系统时提出，1974年美国原子能委员会运用FTA对核电站事故进行了风险评价，发表了著名的拉姆逊报告。该报告对事故树分析作了大规模有效的应用。此后，在社会各界引起了极大的反响，受到了广

12、泛的重视，从而迅速在许多国家和许多企业应用和推广。中国开展事故树分析方法的研究是从1978年开始的。80年代末，铁路运输系统开始把事故树分析方法应用到安全生产和劳动保护上来，也已取得了较好的效果。2022/8/527电子商务安全与管理第27页，共48页。8.2电子商务安全风险管理流程8.2.2 风险识别分析 2.风险识别阶段的常用方法事故树分析法事故树由各种符号和其连接的逻辑门组成矩形符号：表示结果事件“机动车追尾”“服务中断”圆形符号：表示基本(原因)事件“酒后开车”“拒绝服务攻击”逻辑门符号：表示与、或、非2022/8/528电子商务安全与管理第28页，共48页。8.2电子商务安全风险管理

13、流程8.2.2 风险识别分析 2.风险识别阶段的常用方法事故树分析法2022/8/529电子商务安全与管理第29页，共48页。8.2电子商务安全风险管理流程8.2.2 风险识别分析 2.风险识别阶段的常用方法事故树分析法病毒攻击服务中断设备毁坏管理缺陷泄密制度漏洞火灾损失事故声誉破坏2022/8/530电子商务安全与管理第30页，共48页。8.2电子商务安全风险管理流程8.2.3 风险评估 风险识别工作结束后，要利用适当的风险测量方法、工具确定风险的大小与风险等级，这就是风险评估过程请学习P315 例1，例2定量R=R(PT, PV, I)I=VCL2022/8/531电子商务安全与管理第31

14、页，共48页。8.2电子商务安全风险管理流程8.2.3 风险评估 根据风险计算的结果，可以得到资产风险评估的相对优先顺序，将风险划分为不同的等级，风险级别高的资产需要优先分配资源保护例2中哪个子系统将优先分配资源进行保护？电子商务子系统2022/8/532电子商务安全与管理第32页，共48页。8.2电子商务安全风险管理流程8.2.4 风险控制和风险接受风险控制的基本方法减少威胁程度减少薄弱点风险规避风险预防风险分散风险转移2022/8/533电子商务安全与管理第33页，共48页。8.2电子商务安全风险管理流程8.2.4 风险控制和风险接受风险评估风险接受过程风险评估过程 安全控制措施选择 实施

15、安全控制降低风险 接受残余风险 Rr=R0-R, RrRt2022/8/534电子商务安全与管理第34页，共48页。8.2电子商务安全风险管理流程8.2.5 监控和审计实时监控网络安全性扫描系统漏洞扫描数据库自动扫描人员操作情况扫描 审计评估操作系统的审计应用系统的审计设备的审计网络应用的审计专门的审计评估系统的作用反馈2022/8/535电子商务安全与管理第35页，共48页。8.3 电子商务安全风险管理的整体策略8.3.1 安全风险管理策略应遵循的原则制定前提对法律法规要求的依从对组织业务要求的依从对经济原则的依从安全策略具体措施指导方针实施细节2022/8/536电子商务安全与管理第36页

16、，共48页。8.3.1 安全风险管理策略应遵循的原则1.控制论和系统论思想的运用信息方法8.3电子商务安全风险管理的整体策略2022/8/537电子商务安全与管理第37页，共48页。8.3.1 安全风险管理策略应遵循的原则1.控制论和系统论思想的运用信息方法反馈方法2.借鉴其他领域的风险管理方法目前电子商务安全风险管理方法与传统风险管理方法的差距风险评估矩阵8.3电子商务安全风险管理的整体策略2022/8/538电子商务安全与管理第38页，共48页。8.3电子商务安全风险管理的整体策略2022/8/539电子商务安全与管理第39页，共48页。8.3.1 安全风险管理策略应遵循的原则2.借鉴其他

17、领域的风险管理方法目前电子商务安全风险管理方法与传统风险管理方法的差距风险评估矩阵敏感性分析（Sensitivity Analysis）对模型中参数的小变化可能导致的状态变化的研究若某参数的小幅度变化能导致经济效果指标的较大变化，则称此参数为敏感性因素，反之则称其为非敏感性因素8.3电子商务安全风险管理的整体策略2022/8/540电子商务安全与管理第40页，共48页。8.3电子商务安全风险管理的整体策略2022/8/541电子商务安全与管理第41页，共48页。8.3.1 安全风险管理策略应遵循的原则2.借鉴其他领域的风险管理方法目前电子商务安全风险管理方法与传统风险管理方法的差距风险评估矩阵敏感性分析（Sensitivity Analysis）模拟专家打分法经验判断法3.融入企业整体风险管理8.3电子商务安全风险管理的整体策略2022/8/542电子商务安全与管理第42页，共48页。8.3.2 策略的总体框架在安全风险管理策略系统中技术和管理手段的无缝集成8.3电子商务安全风险管理的整体策略2022/8/543电子商务安全与管理第43页，共48页。8.3.2 策略的总体框架 包括电子商务安全风险控制的企业整体风险控制8.3电子商务安全风险管