电子商务安全教学课件作者张波08电子商务安全评估与管理

第8章电子商务平安评估与管理引例

大学生利用黑客病毒网上盗款48万2006年12月17日，郭浩联络在山东的孙木云，要求其帮助将钱转出。随后，两人连夜将张先生两张银行卡内的48万余元分40余笔转出，打入位于广州、上海和北京的出售游戏点卡的公司，并将点卡存入虚拟的网络账户。张先生的48万余元就这样一夜之间蒸发了。最后，大学生郭浩被判处有期徒刑12年,罚金人民币1.2万元；被告人孙木云犯盗窃罪，判处有期徒刑8年，罚金人民币8000元。两名被告人均没有提出上诉。资料来源:赛迪网.://ccidnet/,2021.3.10,作者略有删改。8.1电子商务平安评估风险管理从本质上讲，平安就是风险管理。一个组织者如果不了解其信息资产的平安风险，很多资源就会被错误地使用。风险管理提供信息资产评估的根底。通过风险识别，可以知道一些特殊类型的资产价值以及包含这些信息的系统的价值。1.风险的概念图8-1漏洞和威胁的关系〔1〕漏洞〔2〕威胁〔3〕威胁+漏洞＝风险2.风险的识别与测量〔1〕风险的识别对一个组织而言，识别风险除了要识别漏洞和威胁外，还应考虑已有的对策和预防措施，如图8-2所示。图8-2一个组织风险评估的组成〔2〕风险的测量风险测量必须识别出在受到攻击后该组织需要付出的代价。图8-3表示风险测量的全过程。代价是多方面的，包括资金、时间、资源、信誉以及丧失生意等。图8-3测量风险平安成熟度模型美国CarnegieMellon大学的软件工程研究所(SoftwareEngineeringinstitute，SEI)制定了系统平安工程能力成熟度模型(SystemSecurityEngineeringCapabilityMaturityModel，SSE—CMM)。它将平安成熟度能力级别分成4级，以适应不同级别的平安体系结构，如表8-1所示。表8-1平安成熟度能力级别1．平安方案3．运行过程威胁威胁包含3个组成局部：(1)目标，可能受到攻击的方面。(2)代理，发出威胁的人或组织。(3)事件，做出威胁的动作类型。作为威胁的代理，必须要有访问目标的能力，有关于目标的信息类型和级别的知识，还要有对目标发出威胁的理由。1.威胁的来源〔1〕人为过失和设计缺陷〔2〕内部人员〔3〕临时员工〔4〕自然灾害和环境危害〔5〕黑客和其他入侵者〔6〕病毒和其他恶意软件2.威胁情况与对策〔1〕社会工程(系统管理过程)〔2〕电子窃听〔3〕软件缺陷〔4〕信任转移(主机之间的信任关系)〔5〕数据驱动攻击(恶意软件)〔6〕拒绝效劳〔7〕DNS欺骗〔8〕源路由〔9〕内部威胁平安评估方法1．平安评估过程图8-4表示从平安成熟度模型三个方面的平安评估阶段。图8-4基于平安成熟度模型的平安评估阶段2．网络平安评估3．平台平安评估平台平安评估的目的是认证平台的配置(操作系统不易受漏洞损害、文件保护及对配置文件有适当的保护)。认证的唯一方法是在该平台上执行一个程序〔有时该程序称为代理，因为由其开始对全部程序进行集中管理〕。假设平台已经适当加固，那么就要有一个基准配置。评估的第一局部是认证基准配置、操作系统、网络效劳(FTP、rlogin、telnet、SSH等)没有变更。因为黑客首先是将这些文件版本替换成自己的版本。黑客的版本通常是记录管理员的口令，并转发给Internet上的攻击者。所以，假设有文件需要打补丁或需要使用效劳包，代理将通知管理员，进行平安预警以保护平台平安。评估的第二局部是认证管理员的口令，大局部机器不允许应用程序的用户登录到平台，对应用程序的用户鉴别是在平台上运行的应用程序自身来完成，而不是由平台来完成。此外，还要测试本地口令的强度，如口令长度、口令组成、字典攻击等。最后，还有跟踪审计子系统，在黑客作案前就能跟踪其行迹。4．应用平安评估平安评估准那么8.2电子商务平安立法与网络相关的法律法规网络平安管理的相关法律法规1．网络效劳机构设立的条件2．网络效劳业的对口管理3．互联网出入口信道管理4．计算机网络系统运行管理5．平安责任网络用户的法律标准2．用户使用互联网的管理互联网信息传播平安管理制度2．从事非经营性互联网信息效劳应提交的材料3．互联网信息效劳提供者的义务4．互联网信息效劳提供者不得制作、复制、发布、传播的信息其他法律法规1．有关网络有害信息的法律标准网络有害信息的主要表现有以下几种。(1)政治领域中的有害信息。(2)伦理道德领域的有害信息。(3)信息传播领域的有害信息。(4)计算机病毒。2.即时通讯工具公众信息效劳的法律规定即时通讯是指能够即时发送和接收互联网消息等的业务。自1998年面世以来，特别是近几年的迅速开展，即时通讯的功能日益丰富，逐渐集成了电子邮件、博客、音乐、电视、游戏和搜索等多种功能。即时通讯不再是一个单纯的聊天工具，它已经开展成集交流、资讯、娱乐、搜索、电子商务、办公协作和企业客户效劳等为一体的综合化信息平台，常见的即时通讯工具有QQ、微信和微博等。我国互联网信息办公室于2021年8月7日正式发布了?即时通讯工具公众信息效劳开展管理暂行规定?，规定自公布之日起施行。?规定?共十条，对即时通信工具效劳提供者、使用者的效劳和使用行为进行了标准，根据规定要求，国家互联网信息办公室负责统筹协调指导即时通信工具公众信息效劳开展管理工作，省级互联网信息内容主管部门负责本行政区域的相关工作。?规定?对通过即时通信工具从事公众信息效劳活动提出了明确管理要求。?规定?对即时通信工具和公众信息效劳都做了明确定义：即时通信工具是指基于互联网面向终端使用者提供即时信息交流效劳的应用，微信、QQ、飞信、陌陌等热门应用均包括在内；公众信息效劳那么指的是即时通信工具的公众账号及其他形式向公众发布信息的活动，例如微信上的各种公众号。?规定?明确要求：3．网上交易的相关法律法规为标准网上交易及效劳行为，保护消费者和经营者的合法权益，促进网络经济持续健康开展。2021年，国家工商行政管理总局研究起草发布了?网络商品交易及有关效劳行为管理暂行方法?。该方法共分为六章四十四条，主要规定了立法依据、立法宗旨和原那么、立法调整对象、网络商品经营者和网络效劳经营者经营原那么、工商行政管理部门促进网络商品交易及有关效劳行为开展的职责和任务以及行业自律等方面的内容；规定了网络商品交易及有关效劳行为标准；规定了提供网络交易平台效劳的经营者的义务与责任；规定了网络商品交易及有关效劳行为监督管理职责；规定了违反?方法?的法律责任等。2021年1月26日，国家工商行政管理总局公布了?网络交易管理方法?，自2021年3月15日起施行。同时废止国家工商行政管理总局2021年5月31日发布的?网络商品交易及有关效劳行为管理暂行方法?。从?暂行方法?到?方法?，行政规章的名称缩短，涵盖的范围却更加广泛。新方法充分适应了网络交易开展的新特点，还细化了对消费者合法权益的各项保护措施。我国电商立法提上日程8.3电子商务平安管理平安管理的概念管理的概念组成如图8-5所示。平安管理是以管理对象的平安为任务和目标的管理。平安管理的任务是保证管理对象的平安。平安管理的目标是到达管理对象所需的平安级别，将风险控制在可以接受的程度。图8-5管理的概念组成信息平安管理是以信息及其载体——即信息系统为对象的平安管理。信息平安管理的任务是保证信息的使用平安和信息载体的运行平安。信息平安管理的目标是到达信息系统所需的平安级别，将风险控制在用户可以接受的程度。信息平安管理有其相应的原那么、程序和方法，来指导和实现一系列的平安管理活动。图8-6示出了管理、平安管理和信息平安管理的概念关系。图8-6管理、平安管理和信息平安管理的概念关系平安管理的重要性平安管理模型平安管理应该是一个不断改进的持续开展过程。图8-7给出的平安管理模型就表达出这种持续改进的模式。平安管理模型遵循管理的一般循环模式，即方案(Plan)、执行(Do)、检查(Check)和行动(Action)的持续改进模式，简称PDCA模式。图8-7平安管理模型——PDCA持续改进模式平安管理策略平安管理标准BS7799标准是由英国标准协会(BSI)制定的信息平安管理标准，是国际上具有代表性的信息平安管理体系标准。该标准包括以下两局部：●BS7799—1:1999?信息平安管理实施规那么?；●BS7799—2:1999?信息平安管理体系标准?。而在2002年9月5日英国标准化协会又发布了新版本BS7799-2:2002替代了BS7799-2:1999。BS7799-1(ISO/IEC1799:2000)?信息平安管理实施细那么?是组织建立并实施信息平安管理体系的一个指导性的准那么,主要为组织制定其信息平安策略和进行有效的信息平安控制提供了一个群众化的最正确惯例。BS7799-2?信息平安管理体系标准?规定了建立、实施和文件化信息平安管理体系(ISMS)的要求,规定了根据独立组织的需要应实施平安控制的要求。本标准适用以下场合:组织按照本标准要求建立并实施信息平安管理体系,进行有效的信息平安风险管理,