电子商务安全(第2版) 课件 第12章-电子商务安全评估与管理

第12章电子商务安全评估与管理12.1电子商务安全评估与管理基本概念12.2电子商务安全风险评估

12.3安全风险评估方法 12.4电子商务安全管理12.1电子商务安全评估与管理基本概念目标：电子商务安全风险评估电子商务安全概念：广义理解、狭义理解广义理解：是指保证电子商务过程顺利实施所涉及到的各种因素，包括电子商务系统的可靠性、信任与信用问题、网络与信息安全问题、法律问题、政策因素等狭义理解：即主要讨论和网络与信息安全相关的安全问题风险：是指由于从事某项特定活动过程中存在的不确定性而产生的经济或其它利益损失、自然破坏或损伤的可能性电子商务安全的风险管理：是对电子商务系统的安全风险进行识别、衡量、分析，并在此基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法12.2电子商务安全风险评估12.2.1安全风险分析12.2.2安全风险评估12.2.1安全风险分析信息收集和分析步骤12.2.1安全风险分析安全事件影响因素权重等级量化参考表（1）信息资产定义（2）资产分类（3）资产属性（4）资产价值（5）资产赋值（6）资产等级参考表12.2.1安全风险分析资产评估可的6个方面威胁定义：《信息安全风险规范》中定义“威胁是客观存在的一种对组织及其资产构成潜在破坏的可能性因素”。威胁分类原则①威胁分类项应该是相互排斥、相互独立，穷尽安全所有方面②每一种分类应具有清晰、明确的分类定义标准③威胁分类对缺少知识经验的用户、管理员来说应该是全面而实用，而不仅仅适用于安全专家。12.2.1安全风险分析威胁评估威胁分类：①自然威胁，②人为威胁，③环境威胁风险评估标准OCTAVE方法中威胁分类①通过网络存取的人为因素②通过物理存取的人为因素③系统问题（如硬件缺陷、软件缺陷、病毒、恶意代码等）④其它问题（如自然灾难、电涌等）微软公司STRIDE威胁分类(S)Spoofing：伪装(T)Tampering：欺骗(R)Repudiation：不可否认(I)InforationDisclosure：信息泄露(E)DenialofService：拒绝服务12.2.1安全风险分析威胁评估威胁取决于两方面：一是攻击者的攻击技术级别，二是对组织内部知识的了解程度一个低技能的外部攻击者对组织的威胁是低级别威胁（见图左下块）一个低技能的组织内部员工攻击者，由于对组织内部的制度、系统缺陷的了解，因此，对组织的威胁属于相当严重的级别（见图右下块）一个高技能的外部攻击者如黑客，不仅具有对大范围的站点具有攻击能力，而且还向心怀恶意的组织和个人出售黑客工具，因此具有较大的威胁级别（图第一象限）12.2.1安全风险分析威胁属性风险量化：是在风险识别的基础上，采用适当的方法，确定风险事件发生的可能性和事件发生的后果影响，并对风险等级进行排序。信息系统风险的大小：是威胁利用脆弱性导致安全事件发生的可能性和安全事件发生后被威胁资产造成的后果影响的大小决定

关系描述为：R=f（A，V，T，I）=R（P（A，V，T），L（A，I））安全事件发生的可能性与资产的诱惑能力、脆弱性被威胁利用的可能性、威胁的动机、攻击能力和发生频率有关

其函数关系可表示为：PR=P（A，T，V）=A×T×V12.2.2安全风险评估风险量化1）计算安全事件发生的后果安全事件发生的后果与被威胁资产价值及其后果影响有关，其函数关系为：

LR=L（A，I）=A+I2）计算风险值根据计算出的安全事件发生的可能性以及安全事件发生的后果，计算风险值：风险值=R（安全事件发生的可能性，安全事件发生的后果）=f（A，V，T，I）=R（P（A，V，T），L（A，I））=PR×LR12.2.2安全风险评估风险量化风险等级划分经过风险量化，对所有风险计算结果进行等级处理和汇总，得出整个信息系统的风险等级，并给出风险优先级排序清单。风险结果文档经过风险等级处理后，可以总结出系统的整体风险状况，也可以得出特定资产的风险状况，把它们按照风险值进行分级和排列。12.2.2安全风险评估风险结果12.3安全风险评估方法12.3.1层次分析法12.3.2模糊综合评价方法12.3.3贝叶斯网络方法12.3.4故障树方法12.4电子商务安全管理12.4.1安全管理的目标12.4.2安全意识和培训12.4.3创建安全域12.4.4应急预案12.4.1安全管理的目标电子商务安全管理的三条基本原则（1）资源的可用性（2）信息完整性（3）信息保密性12.4.1安全管理的目标（1）资源的可用性电子商务的资源有软件、硬件和数据。资源可用性是指当需要使用这些资源时候，这些资源应可供使用。为确保资源的可用性，必须清楚资源不可用的原因可控资源不可用的原因是能够分析清楚的最重要的是能够了解不可控资源不可用的原因。当不可控资源不可用的时候，就产生了不可控的运行中断事件这些事件通常由硬件故障、软件缺陷以及病毒和拒绝服务（DoS）攻击等恶意行为引起。12.4.1安全管理的目标安全管理的目标之一是主动采取措施，预防不可控运行中断发生主要措施有：

部署病毒检测软件并及时升级使用入侵检测/预防系统监控网络通信

制订与网络服务相关的策略和操作规程关停服务器上不需要的0S服务程序

审查源代码，从而识别有缺陷或恶意的逻辑管理安全补丁

集成动态邦定的安全“状态”直观显示工具增强身份认证和访问控制功能12.4.1安全管理的目标（2）信息完整性信息完整性是信息未经授权不能进行改变的特性是信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性安全执行官必须清楚的知道其组织机构保存的信息的范围如何与他人共享信息如何依赖于供应商和商业合作伙伴等第三方信息库中的部分信息为保证信息完整，企业必须明确定义并记录重要数据来源在集成应用系统以改进业务流程时，会引入潜在的完整性问题，例如分布式应用系统12.4.1安全管理的目标（3）信息保密性信息的机密性是指信息不被泄露给非授权的用户、实体或过程机密性是在可用性基础上，保障信息安全的重要手段信息机密性的级别不同安全执行官不能严格限制访问所有数据既需要为满足合法的需要而允许访问又需要保证信息资产的机密性和完整性必须在这两者之间权衡企业必须制订：密级方案，规定机密信息范围、访问规则、公开事宜和实施这些规则的手段。12.4.2

安全意识和培训培训目标是：意识到已知的威胁和漏洞，以及采取的应对措施威胁：是攻破和／或损坏系统的潜在途径。漏洞：是在攻破系统的过程中利用的系统属性，是系统中的薄弱环节软件漏洞一个复杂的软件100%的可靠是很难做到的常用程序都有漏洞，漏洞众所周知开发人员通常提供补丁程序修补漏洞但是补丁程序有时破坏代码或环境、太迟、不起作用、难以找到或难以使用安全管理策略的重要组成部分之一就是：检查企业运行的各类软件的补丁程序并更新程序，修补漏洞12.4.2

安全意识和培训配制漏洞包括软硬件配置漏洞，安全的软/硬件如果未正确配置也很容易于受到攻击默认帐户默认系统帐户和互联网端口是两个常见的配制漏洞供应商的通常做法是用预定的管理员帐户和密码安装软件，如操作系统和数据库任何相当熟悉这些系统的人员只需知道默认帐户，即可攻入系统。端口端口是另一个潜在的攻击来源与互联网连接的计算机都有唯一的IP地址入侵者使用端口扫描工具探测和识别正在使用的端口12.4.2安全意识和培训社会漏洞有效的安全策略是技术与人事管理的均衡或合理配合安全产品的技术越来越完善，使用技术的人，就成为整个环节上最为脆弱的部分社会工程学：危害程度有时比直接的技术入侵要大得多安全管理：了解威胁并最大限度地减少漏洞，了解各种威胁产生的后果为了识别具体的威胁和相关漏洞，组织机构应考虑如下因素：信息对竞争对手的价值以及获得该信息的手段；黑客或知情人可以利用的系统接入点的数量和类型，如网站、虚拟专用网局域网和操作员控制台电子邮件、文件传输和域名服务器等互联网服务中，众所周知的漏洞火灾、洪水和地震等自然灾害暴发的可能性以及落实的保护措施12.4