網(wǎng)店的安全風險管理控制

1、-作者xxxx-日期xxxx網(wǎng)店的安全風險管理控制【精品文檔】畢業(yè)論文論文題目 網(wǎng)店的安全風險管理控制 學校名稱： 興安職業(yè)技術學院 院系名稱： 計算機科學與信息工程學院 指導教師： 學生姓名： 學 號： 專 業(yè)： 入學時間： 【精品文檔】目 錄一、引言1二、網(wǎng)店面臨的安全風險2（一）信息的截獲和竊取2（二）信息的篡改2（三）拒絕服務2（四）系統(tǒng)資源失竊問題2（五）信息的假冒2（六）交易的抵賴2三、網(wǎng)店風險管理規(guī)則2（一）評估階段3（二）開發(fā)和實施階段3（三）運行階段3四、網(wǎng)店風險管理步驟3（一）風險識別3（二）風險分析4（三）風險控制4五、網(wǎng)店風險管理對策5（一）物理安全5（二）周邊防御5（

2、三）網(wǎng)絡防御5（四）主機防御5（五）應用程序防御6（六）數(shù)據(jù)防御6六、結(jié)論6參考文獻6論文提綱一、引言隨著開放的互聯(lián)網(wǎng)絡系統(tǒng)Internet的飛速發(fā)展，網(wǎng)店極大了改變了人們工作和生活方式，帶來了無限的商機。然而，網(wǎng)店發(fā)展所依托的平臺互聯(lián)網(wǎng)絡卻充滿了巨大、復雜的安全風險。二、網(wǎng)店面臨的安全風險（一）信息的截獲和竊取（二）信息的篡改（三）拒絕服務（四）系統(tǒng)資源失竊問題（五）信息的假冒（六）交易的抵賴三、網(wǎng)店風險管理規(guī)則（一）評估階段（二）開發(fā)和實施階段（三）運行階段四、網(wǎng)店風險管理步驟（一）風險識別（二）風險分析（三）風險控制五、網(wǎng)店風險管理對策（一）物理安全（二）周邊防御（三）網(wǎng)絡防御（四）主機

3、防御（五）應用程序防御（六）數(shù)據(jù)防御六、結(jié)論風險管理沒有鐵定的規(guī)則，對于網(wǎng)店安全風險管理來說，首先是掃描和檢測網(wǎng)店系統(tǒng)的內(nèi)外部環(huán)境，檢查系統(tǒng)的脆弱性和薄弱環(huán)節(jié)，及時打上補丁和追加設備，以便當風險產(chǎn)生時盡可能地減少損失；其次是對網(wǎng)店安全風險進行充分地分析，然后制定相應的規(guī)劃和措施，并在其實施的每個階段進行監(jiān)控和跟蹤；最后是根據(jù)環(huán)境的變化隨時調(diào)整風險管理措施，制定完備的災難恢復計劃。網(wǎng)店的安全風險管理研究【摘要】隨著信息技術的迅猛發(fā)展 ,計算機網(wǎng)絡給商務活動的方式帶來了巨大的變化。利用web提供的通信手段 ,在網(wǎng)絡上進行交易 ,這便是網(wǎng)店 。網(wǎng)店不僅包括信息的傳遞和交換 ,還包括對客戶提供一系列的

4、服務支持。網(wǎng)店的發(fā)展 ,對企業(yè)的信息化程度要求更高 ,這促使企該文基于目前網(wǎng)店安全所面臨的各種風險問題，本文結(jié)合當前的一些風險管理方法，對網(wǎng)店系統(tǒng)安全風險管理進行一些基本的分析和研究，以期對企業(yè)網(wǎng)店安全風險管理提供一些有價值的借鑒和參考?！娟P鍵詞】網(wǎng)店安全，風險管理，風險識別，風險控制一、引言 隨著開放的互聯(lián)網(wǎng)絡系統(tǒng)Internet的飛速發(fā)展，網(wǎng)店極大了改變了人們工作和生活方式，帶來了無限的商機。然而，網(wǎng)店發(fā)展所依托的平臺互聯(lián)網(wǎng)絡卻充滿了巨大、復雜的安全風險。黑客的攻擊、病毒的肆虐等等都使得網(wǎng)店業(yè)務很難安全順利地開展；此外，網(wǎng)店的發(fā)展還面臨著嚴峻的內(nèi)部風險，網(wǎng)店企業(yè)內(nèi)部對安全問題的盲目和安全意

5、識的淡薄，高層領導對網(wǎng)店的運作和安全管理重視程度不足，使得企業(yè)實施網(wǎng)店不可避免地會遇到這樣或那樣的風險。因此，在考察網(wǎng)店運行環(huán)境、提供網(wǎng)店安全解決方案的同時，有必要重點評估網(wǎng)店系統(tǒng)面臨的風險問題以及對風險有效管理和控制方法。 二、網(wǎng)店面臨的安全風險 由于網(wǎng)絡的復雜性和脆弱性，以因特網(wǎng)為主要平臺的網(wǎng)店的發(fā)展面臨著嚴峻的安全問題。一般來說，網(wǎng)店普遍存在著以下幾個安全風險： （一）信息的截獲和竊取 這是指網(wǎng)店相關用戶或外來者未經(jīng)授權(quán)通過各種技術手段截獲和竊取他人的文電內(nèi)容以獲取商業(yè)機密。 （二）信息的篡改 網(wǎng)絡攻擊者依靠各種技術方法和手段對傳輸?shù)男畔⑦M行中途的篡改、刪除或插入，并發(fā)往目的地，從而達到

6、破壞信息完整性的目的。 （三）拒絕服務 拒絕服務是指在一定時間內(nèi)，網(wǎng)絡系統(tǒng)或服務器服務系統(tǒng)的作用完全失效。其主要原因來自黑客和病毒的攻擊以及計算機硬件的認為破壞。 （四）系統(tǒng)資源失竊問題 在網(wǎng)絡系統(tǒng)環(huán)境中，系統(tǒng)資源失竊是常見的安全威脅。 （五）信息的假冒 信息的假冒是指當攻擊者掌握了網(wǎng)絡信息數(shù)據(jù)規(guī)律或解密了商務信息后，可以假冒合法用戶或假冒信息來欺騙其它用戶。主要表現(xiàn)形式有假冒客戶進行非法交易，偽造電子郵件等。 （六）交易的抵賴 交易抵賴包括發(fā)信者事后否認曾經(jīng)發(fā)送過某條信息；買家做了定單后不承認；賣家賣出的商品因價格差而不承認原先的交易等。 三、網(wǎng)店風險管理規(guī)則 針對網(wǎng)店面臨的各種安全風險，網(wǎng)

7、店企業(yè)不能被動、消極地應付，而應該主動采取措施維護網(wǎng)店系統(tǒng)的安全，并監(jiān)視新的威脅和漏洞。因此，這就需要制定完整高效的網(wǎng)店安全風險管理規(guī)則。 一般來說，風險管理規(guī)則的制定過程有評估、開發(fā)和實施以及運行三個階段。 （一）評估階段 該階段的主要任務是對網(wǎng)店的安全現(xiàn)狀、要保護的信息、各種資產(chǎn)等進行充分的評估以及一些基本的安全風險識別和分析。 對網(wǎng)店安全現(xiàn)狀的評估是制定風險管理規(guī)則的基礎。 對信息和資產(chǎn)的評估是指對可能遭受損失的相關信息和資產(chǎn)進行價值的評估，以便確定相適應的風險管理規(guī)則，從而避免投入成本和要保護的信息和資產(chǎn)的嚴重不匹配。 安全風險識別要求盡可能地發(fā)現(xiàn)潛在的安全風險，應收集有關各種威脅、漏

8、洞、開發(fā)和對策的信息。 安全風險分析是確定風險，收集信息，對可能造成的損失進行評價以估計風險的級別，以便做出明智的決策，從而采取措施來規(guī)避安全風險。 （二）開發(fā)和實施階段 該階段的任務包括風險補救措施開發(fā)、風險補救措施測試和風險知識學習。 風險補救措施開發(fā)利用評估階段的成果來建立一個新的安全管理策略，其中涉及配置管理、修補程序管理、系統(tǒng)監(jiān)視與審核等等。 在完成對風險補救措施的開發(fā)后，即進行安全風險補救措施的測試，在測試過程中，將按照安全風險的控制效果來評估對策的有效性。 （三）運行階段 運行階段的主要任務包括在新的安全風險管理規(guī)則下評估新的安全風險。這個過程實際上是變更管理的過程，也是執(zhí)行安全

9、配置管理的過程。 運行階段的第二個任務是對新的或已更改的對策進行穩(wěn)定性測試和部署。這個過程由系統(tǒng)管理、安全管理和網(wǎng)絡管理小組來共同實施。 四、網(wǎng)店風險管理步驟 風險管理是識別風險、分析風險并制定風險管理計劃的過程。網(wǎng)店安全風險的管理和控制方法，它包括風險識別、風險分析、風險控制以及風險監(jiān)控等四個方面。 （一）風險識別 網(wǎng)店系統(tǒng)的安全要求是通過對風險的系統(tǒng)評估而確認的。為了有效管理網(wǎng)店安全風險，識別安全風險是風險管理的第一步。 風險識別是在收集有關各種威脅、漏洞和相關對策等信息的基礎上，識別各種可能對網(wǎng)店系統(tǒng)造成潛在威脅的安全風險。 風險識別的手段五花八門，對于網(wǎng)店系統(tǒng)的安全來說，風險識別的目標

10、是主要是對網(wǎng)店系統(tǒng)的網(wǎng)絡環(huán)境風險、數(shù)據(jù)存在風險和網(wǎng)上支付風險進行識別。 需要注意的是，并非所有的網(wǎng)店安全風險都可以通過風險識別來進行管理，風險識別只能發(fā)現(xiàn)已知的風險或根據(jù)已知風險較容易獲知的潛在風險。而對于大部分的未知風險，則依賴于風險分析和控制來加以解決或降低。 （二）風險分析 風險分析是運用分析、比較、評估等各種定性、定量的方法，確定網(wǎng)店安全各風險要素的重要性，對風險排序并評估其對網(wǎng)店系統(tǒng)各方面的可能后果，從而使網(wǎng)店系統(tǒng)項目實施人員可以將主要精力放在對付為數(shù)不多的重要安全風險上，使網(wǎng)店系統(tǒng)的整體風險得到有效的控制。風險分析是一種確定風險以及對可能造成的損失進行評估的方法，它是制定安全措施的

11、依據(jù)。 風險分析的目標是：確定風險，對可能造成損壞的潛在風險進行定性化和定量化，以及最后在經(jīng)濟上尋求風險損失和對風險投入成本的平衡。 目前，風險分析主要采用的方法有：風險概率/影響評估矩陣，敏感性分析，模擬等。在進行網(wǎng)店安全風險分析時，由于各影響因素量化在現(xiàn)實上的困難，可根據(jù)實際需要，主要采用定性方法為主輔以少量定量方法相結(jié)合來進行風險分析，為制定風險管理制度和風險的控制提供理論上的依據(jù)。 （三）風險控制 風險控制就是選擇和運用一定的風險控制手段，以保障風險降到一個可以接受的水平。風險控制是風險管理中最重要的一個環(huán)節(jié)，是決定風險管理成敗的關鍵因素。網(wǎng)店安全風險控制的目標在于改變企業(yè)網(wǎng)店項目所承

12、受的風險程度。 一般來說，風險控制方法有兩類： 第一類是風險控制措施，比如降低、避免、轉(zhuǎn)移風險和損失管理等。在網(wǎng)店安全風險管理中，比較常用的是轉(zhuǎn)移風險和損失管理。 第二類為風險補償?shù)幕I資措施，包括保險與自擔風險。在網(wǎng)店安全風險管理中，管理人員需要對風險補償?shù)幕I資措施進行決策，即選擇保險還是自擔風險。 此外，風險控制方法的選擇應當充分考慮相對風險造成損失的成本，當然其它方面的影響也是不容忽視的，如企業(yè)商譽等。 對網(wǎng)店安全來說，其有效可行的風險控制方法是：建立完整高效的降低風險的安全性解決方案，掌握保障安全性所需的一些基礎技術，并規(guī)劃好發(fā)生特定安全事故時企業(yè)應該采取的解決方案。 五、網(wǎng)店風險管理對

13、策 由于網(wǎng)店安全的重要性，所以部署一個完整有效的網(wǎng)店安全風險管理對策顯得十分迫切。制定網(wǎng)店安全風險管理對策目的在于消除潛在的威脅和安全漏洞，從而降低網(wǎng)店系統(tǒng)環(huán)境所面臨的風險。 目前的網(wǎng)店安全風險管理對策中，較為常用的是縱深防御戰(zhàn)略，所謂縱深防御戰(zhàn)略，就是深層安全和多層安全。通過部署多層安全保護，可以確保當其中一層遭到破壞時，其它層仍能提供保護網(wǎng)店系統(tǒng)資源所需的安全。比如，一個單位外部的防火墻遭到破壞，由于內(nèi)部防火墻的作用，入侵者也無法獲取單位的敏感數(shù)據(jù)或進行破壞。在較為理想的情況下，每一層均提供不同的對策以免在不同的層中使用相同的攻擊方法。 下面就各層的主要防御內(nèi)容從外層到里層進行簡要的說明：

14、 （一）物理安全 物理安全是整個網(wǎng)店系統(tǒng)安全的前提。制定網(wǎng)店物理安全策略的目的在于保護計算機系統(tǒng)、網(wǎng)店服務器等各網(wǎng)店系統(tǒng)硬件實體和通信鏈路免受自然災害和人為破壞造成的安全風險。 （二）周邊防御 對網(wǎng)絡周邊的保護能夠起到抵御外界攻擊的作用。網(wǎng)店系統(tǒng)應盡可能安裝某種類型的安全設備來保護網(wǎng)絡的每個訪問節(jié)點。在技術上來說，防火墻是網(wǎng)絡周邊防御的最主要的手段，網(wǎng)店系統(tǒng)應當安裝一道或多道防火墻，以確保最大限度地降低外界攻擊的風險，并利用入侵檢測功能來及時發(fā)現(xiàn)外界的非法訪問和攻擊。 （三）網(wǎng)絡防御 網(wǎng)絡防御是對網(wǎng)絡系統(tǒng)環(huán)境進行評估，采取一定措施來抵御黑客的攻擊，以確保它們得到適當?shù)谋Ｗo。就目前來說，網(wǎng)絡安全

15、防御行為是一種被動式的反應行為，而且，防御技術的發(fā)展速度也沒有攻擊技術發(fā)展得那么快。為了提高網(wǎng)絡安全防御能力，使網(wǎng)絡安全防護系統(tǒng)在攻擊與防護的對抗中占據(jù)主動地位，在網(wǎng)絡安全防護系統(tǒng)中，除了使用被動型安全工具（防火墻、漏洞掃描等）外，也需要采用主動型安全防護措施（如：網(wǎng)絡陷阱、入侵取證、入侵檢測、自動恢復等）。 （四）主機防御 主機防御是對系統(tǒng)中的每一臺主機進行安全評估，然后根據(jù)評估結(jié)果制定相應的對策以限制服務器執(zhí)行的任務。在主機及其環(huán)境中，安全保護對象包括用戶應用環(huán)境中的服務器、客戶機以及其上安裝的操作系統(tǒng)和應用系統(tǒng)。這些應用能夠提供包括信息訪問、存儲、傳輸、錄入等在內(nèi)的服務。根據(jù)信息保障技術

16、框架，對主機及其環(huán)境的安全保護首先是為了建立防止有惡意的內(nèi)部人員攻擊的首道防線，其次是為了防止外部人員穿越系統(tǒng)保護邊界并進行攻擊的最后防線。 （五）應用程序防御 作為一個防御層，應用程序的加固是任何一種安全模型中都不可缺少的一部分。加強保護操作系統(tǒng)安全只能提供一定程度的保護。因此，網(wǎng)店系統(tǒng)的開發(fā)人員有責任將安全保護融入到應用程序中，以便對體系結(jié)構(gòu)中應用程序可訪問到的區(qū)域提供專門的保護。應用程序存在于系統(tǒng)的環(huán)境中。 （六）數(shù)據(jù)防御 對許多網(wǎng)店企業(yè)來說，數(shù)據(jù)就是企業(yè)的資產(chǎn)，一旦落入競爭者手中或損壞將造成不可挽回的損失。因此，加強對網(wǎng)店交易及相關數(shù)據(jù)的防護，對網(wǎng)店系統(tǒng)的安全和網(wǎng)店項目的正常運行具有重

17、要的現(xiàn)實意義 六、結(jié)論 一般來說，風險管理有基本的三個對策，包括管理者采取適當措施來降低風險事故發(fā)生的概率；管理者準備并實施一個意外事故應急計劃以備不測；還有就是管理者什么都不做。對已選定的對策，應對其潛在的風險有充分的估計，并制定相應的應變計劃，以使可能的風險損失降到最低。 風險管理沒有鐵定的規(guī)則，對于網(wǎng)店安全風險管理來說，首先是掃描和檢測網(wǎng)店系統(tǒng)的內(nèi)外部環(huán)境，檢查系統(tǒng)的脆弱性和薄弱環(huán)節(jié)，及時打上補丁和追加設備，以便當風險產(chǎn)生時盡可能地減少損失；其次是對網(wǎng)店安全風險進行充分地分析，然后制定相應的規(guī)劃和措施，并在其實施的每個階段進行監(jiān)控和跟蹤；最后是根據(jù)環(huán)境的變化隨時調(diào)整風險管理措施，制定完備的災難恢復計劃。 參考文獻【1】 哈進兵、胡文斌、嚴仰光、網(wǎng)絡化協(xié)同制造系統(tǒng)中的信息安全研究現(xiàn)狀，2004年 【2】 李炅、山秀明、任勇、網(wǎng)絡安全概述，2004年 【3】 王雷、我國中小企業(yè)集群的風險防范與效率改進，2004年【4】 馬香媛、網(wǎng)絡銀行風險的成因分析，2011年 【5】 栗松濤、李春文、孫政順、一種新的B/S系統(tǒng)