電子商務(wù)安全風(fēng)險(xiǎn)管理課件

1、第8章 電子商務(wù)安全風(fēng)險(xiǎn)管理第1頁，共48頁。問題的提出電子商務(wù)在今日充滿機(jī)遇，可是作為一名電子商務(wù)的參與者，你是否了解電子商務(wù)中哪些要素的收益和風(fēng)險(xiǎn)是并存的？在大多數(shù)情況下，電子商務(wù)系統(tǒng)順利的運(yùn)行，但可能有時(shí)候，一個(gè)意外和無法控制的外部事件會(huì)擾亂正常的業(yè)務(wù)操作作好最壞情況的準(zhǔn)備，是風(fēng)險(xiǎn)管理的重要方面抓狂2022/8/52電子商務(wù)安全與管理第2頁，共48頁。引例1-會(huì)計(jì)咨詢公司Armstrong Gilmour的倒閉90年代末，Phil Gilmour是加利福尼亞的一家會(huì)計(jì)咨詢公司Armstrong Gilmour的管理合伙人。公司相當(dāng)一部分業(yè)務(wù)是個(gè)人委托的管理私人撫恤基金業(yè)務(wù)。客戶的養(yǎng)老金和

2、投資數(shù)據(jù)存儲(chǔ)在一個(gè)公司數(shù)據(jù)庫，客戶可以在線訪問數(shù)據(jù)庫，并核對(duì)他們的帳戶。Gilmour致力于管理的養(yǎng)老基金業(yè)務(wù)增長(zhǎng)迅速，因?yàn)闊o法處理日益繁忙的存儲(chǔ)，數(shù)據(jù)庫崩潰了。幸運(yùn)的是，公司的計(jì)算機(jī)系統(tǒng)有一個(gè)磁帶備份，因此Gilmour認(rèn)為客戶的數(shù)據(jù)應(yīng)該是安全的。當(dāng)該公司試圖恢復(fù)養(yǎng)老金數(shù)據(jù)備份磁帶的時(shí)候，卻發(fā)現(xiàn)磁帶上的數(shù)據(jù)已經(jīng)被損壞了。剩下的唯一的選擇是昂貴和痛苦的。公司的員工在接下來幾個(gè)星期內(nèi)不得不花費(fèi)很長(zhǎng)的時(shí)間長(zhǎng)重新手動(dòng)恢復(fù)數(shù)據(jù)庫。但這次災(zāi)難耗費(fèi)的總費(fèi)用可能遠(yuǎn)遠(yuǎn)大于員工耗費(fèi)的時(shí)間和用于數(shù)據(jù)庫恢復(fù)的數(shù)千美元。在公司失去一部分委托人的信任和信譽(yù)之后，Gilmour最終損失了數(shù)百萬美元，以低價(jià)出售了公司。20

3、22/8/53電子商務(wù)安全與管理第3頁，共48頁。引例2 匯豐銀行網(wǎng)絡(luò)一天內(nèi)遭萬次攻擊 顧客信心受損匯豐銀行網(wǎng)絡(luò)所遭受的攻擊引發(fā)了電子商務(wù)時(shí)代企業(yè)安全風(fēng)險(xiǎn)管理的重視，但是企業(yè)該如何加強(qiáng)安全風(fēng)險(xiǎn)管理呢？2022/8/54電子商務(wù)安全與管理第4頁，共48頁。電子商務(wù)中存在的安全風(fēng)險(xiǎn)8.1 電子商務(wù)安全風(fēng)險(xiǎn)管理的演進(jìn)8.2 電子商務(wù)安全風(fēng)險(xiǎn)管理流程8.3 電子商務(wù)安全風(fēng)險(xiǎn)管理的整體策略目錄2022/8/55電子商務(wù)安全與管理第5頁，共48頁。思考：電子商務(wù)中存在哪些安全風(fēng)險(xiǎn)？自然災(zāi)害火災(zāi)洪水颶風(fēng)地震2022/8/56電子商務(wù)安全與管理第6頁，共48頁。與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn) 消費(fèi)者所面臨的風(fēng)險(xiǎn)

4、虛假的或惡意的網(wǎng)站 用戶數(shù)據(jù)的泄露隱私與cookies的使用 電子商務(wù)中存在的安全風(fēng)險(xiǎn)2022/8/57電子商務(wù)安全與管理第7頁，共48頁。與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn) 消費(fèi)者所面臨的風(fēng)險(xiǎn) 電子商務(wù)中存在的安全風(fēng)險(xiǎn)2022/8/58電子商務(wù)安全與管理第8頁，共48頁。與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn) 商家所面臨的風(fēng)險(xiǎn)客戶假冒 拒絕服務(wù)襲擊 故意性的破壞網(wǎng)站數(shù)據(jù)的失竊產(chǎn)品或者服務(wù)出現(xiàn)問題的賠償侵犯版權(quán)、商標(biāo)、專利引起的訴訟電子商務(wù)中存在的安全風(fēng)險(xiǎn)2022/8/59電子商務(wù)安全與管理第9頁，共48頁。與企業(yè)內(nèi)部網(wǎng)相關(guān)的風(fēng)險(xiǎn)離職員工的破壞活動(dòng) 在職員工的威脅不適當(dāng)?shù)厥褂秒娮余]件和互聯(lián)網(wǎng)電子商務(wù)中存在的安全風(fēng)

5、險(xiǎn)2022/8/510電子商務(wù)安全與管理第10頁，共48頁。貿(mào)易伙伴間商業(yè)交易數(shù)據(jù)傳輸中的風(fēng)險(xiǎn)企業(yè)內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)及互聯(lián)網(wǎng)之間的關(guān)系 數(shù)據(jù)截取 受保密措施維護(hù)的檔案文件、主文件與參考數(shù)據(jù)所面臨的風(fēng)險(xiǎn) 電子商務(wù)中存在的安全風(fēng)險(xiǎn)2022/8/511電子商務(wù)安全與管理第11頁，共48頁。8.1 電子商務(wù)安全風(fēng)險(xiǎn)管理的演進(jìn)8.1.1 電子商務(wù)安全管理的發(fā)展歷程事件驅(qū)動(dòng)時(shí)期只重視技術(shù)防御靜態(tài)、局部、事后糾正標(biāo)準(zhǔn)化時(shí)期基本形成安全管理體系安全風(fēng)險(xiǎn)分析不足2022/8/512電子商務(wù)安全與管理第12頁，共48頁。8.1.1 電子商務(wù)安全管理的發(fā)展歷程安全風(fēng)險(xiǎn)管理時(shí)期電子商務(wù)安全風(fēng)險(xiǎn)：由于從事電子商務(wù)活動(dòng)過

6、程中相關(guān)的網(wǎng)絡(luò)以及系統(tǒng)存在的安全不確定性而產(chǎn)生的經(jīng)濟(jì)或其他利益的損失、自然破壞或損害的可能性8.1電子商務(wù)安全風(fēng)險(xiǎn)管理的演進(jìn)2022/8/513電子商務(wù)安全與管理第13頁，共48頁。8.1.1 電子商務(wù)安全管理的發(fā)展歷程安全風(fēng)險(xiǎn)管理時(shí)期風(fēng)險(xiǎn)管理（Risk Management）降低各種風(fēng)險(xiǎn)的發(fā)生概率，或當(dāng)某種風(fēng)險(xiǎn)突然降臨時(shí)，減少損失的管理過程宗旨：承認(rèn)成功的攻擊將會(huì)存在，但發(fā)生的可能性及產(chǎn)生后果的嚴(yán)重程度將被控制在最小值風(fēng)險(xiǎn)管理最早于1930年起源于美國。由于受到19291933年的世界性經(jīng)濟(jì)危機(jī)的影響，美國約有40左右的銀行和企業(yè)破產(chǎn)，經(jīng)濟(jì)倒退了約20年。美國企業(yè)為應(yīng)對(duì)經(jīng)營(yíng)上的危機(jī)，許多大中

7、型企業(yè)都在內(nèi)部設(shè)立了保險(xiǎn)管理部門，負(fù)責(zé)安排企業(yè)的各種保險(xiǎn)項(xiàng)目所屬學(xué)科： 通信科技（一級(jí)學(xué)科）；政策、法規(guī)與管理（二級(jí)學(xué)科）IT風(fēng)險(xiǎn)管理與分析8.1電子商務(wù)安全風(fēng)險(xiǎn)管理的演進(jìn)2022/8/514電子商務(wù)安全與管理第14頁，共48頁。8.1.2 電子商務(wù)安全風(fēng)險(xiǎn)管理的現(xiàn)狀企業(yè)已對(duì)安全風(fēng)險(xiǎn)管理達(dá)成共識(shí)安全風(fēng)險(xiǎn)管理的國際標(biāo)準(zhǔn)和各國規(guī)范逐漸形成并趨于完善利用外部專業(yè)化機(jī)構(gòu)進(jìn)行安全性評(píng)估已成為大部分國家的選擇國內(nèi)的權(quán)威IT技術(shù)審計(jì)機(jī)構(gòu)/信息安全評(píng)測(cè)機(jī)構(gòu)8.1電子商務(wù)安全風(fēng)險(xiǎn)管理的演進(jìn)2022/8/515電子商務(wù)安全與管理第15頁，共48頁。8.1電子商務(wù)安全風(fēng)險(xiǎn)管理的演進(jìn)2022/8/516電子商務(wù)安全與

8、管理第16頁，共48頁。8.1電子商務(wù)安全風(fēng)險(xiǎn)管理的演進(jìn)2022/8/517電子商務(wù)安全與管理第17頁，共48頁。8.1電子商務(wù)安全風(fēng)險(xiǎn)管理的演進(jìn)2022/8/518電子商務(wù)安全與管理第18頁，共48頁。8.1電子商務(wù)安全風(fēng)險(xiǎn)管理的演進(jìn)2022/8/519電子商務(wù)安全與管理第19頁，共48頁。8.1電子商務(wù)安全風(fēng)險(xiǎn)管理的演進(jìn)2022/8/520電子商務(wù)安全與管理第20頁，共48頁。8.2 電子商務(wù)安全風(fēng)險(xiǎn)管理流程8.2.1 安全風(fēng)險(xiǎn)管理中的因素關(guān)系8.2.2 風(fēng)險(xiǎn)識(shí)別分析8.2.3 風(fēng)險(xiǎn)評(píng)估8.2.4 風(fēng)險(xiǎn)控制和風(fēng)險(xiǎn)接受8.2.5 監(jiān)控和審計(jì)2022/8/521電子商務(wù)安全與管理第21頁，共4

9、8頁。8.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程8.2.1 安全風(fēng)險(xiǎn)管理中的因素關(guān)系有漏洞的電子商務(wù)系統(tǒng)一定會(huì)出現(xiàn)安全問題嗎？受到威脅的電子商務(wù)系統(tǒng)一定會(huì)出現(xiàn)安全問題嗎？No!安全需求信息資產(chǎn)的價(jià)值會(huì)影響實(shí)際風(fēng)險(xiǎn)嗎？Yes!No!2022/8/522電子商務(wù)安全與管理第22頁，共48頁。8.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程8.2.1 安全風(fēng)險(xiǎn)管理中的因素關(guān)系風(fēng)險(xiǎn)識(shí)別分析階段風(fēng)險(xiǎn)評(píng)估階段風(fēng)險(xiǎn)控制階段2022/8/523電子商務(wù)安全與管理第23頁，共48頁。8.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程8.2.2 風(fēng)險(xiǎn)識(shí)別分析 1.風(fēng)險(xiǎn)識(shí)別的一般步驟信息資產(chǎn)的識(shí)別與估價(jià)定性方法威脅的識(shí)別與評(píng)估分級(jí)賦值薄弱點(diǎn)評(píng)價(jià)定性2022/8/5

10、24電子商務(wù)安全與管理第24頁，共48頁。8.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程8.2.2 風(fēng)險(xiǎn)識(shí)別分析 2.風(fēng)險(xiǎn)識(shí)別階段的常用方法風(fēng)險(xiǎn)分析調(diào)查表分類法資產(chǎn)風(fēng)險(xiǎn)分析調(diào)查表網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)設(shè)備有無專人管理？有無專門的網(wǎng)絡(luò)設(shè)備維護(hù)制度？網(wǎng)絡(luò)設(shè)備有無備份？服務(wù)器服務(wù)器有無專門的管理制度？服務(wù)器是否有備份？服務(wù)器內(nèi)容的訪問規(guī)則有否？數(shù)據(jù)庫數(shù)據(jù)庫的更新頻率是否符合標(biāo)準(zhǔn)數(shù)據(jù)庫內(nèi)容是否備份？企業(yè)是否將全部重要信息都集中保存？是否2022/8/525電子商務(wù)安全與管理第25頁，共48頁。8.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程8.2.2 風(fēng)險(xiǎn)識(shí)別分析 2.風(fēng)險(xiǎn)識(shí)別階段的常用方法事故樹分析法事故樹分析法（Accident Tree

11、Analysis，簡(jiǎn)稱ATA）起源于故障樹分析法（Fault Tree Analysis，簡(jiǎn)稱FTA），是安全系統(tǒng)工程的重要分析方法之一屬于演繹法：從結(jié)果入手，分析原因小知識(shí)：你知道什么是歸納法嗎？2022/8/526電子商務(wù)安全與管理第26頁，共48頁。8.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程8.2.2 風(fēng)險(xiǎn)識(shí)別分析 2.風(fēng)險(xiǎn)識(shí)別階段的常用方法事故樹分析法事故樹分析法首先由美國貝爾實(shí)驗(yàn)室于1961年為研究民兵式導(dǎo)彈發(fā)射控制系統(tǒng)時(shí)提出，1974年美國原子能委員會(huì)運(yùn)用FTA對(duì)核電站事故進(jìn)行了風(fēng)險(xiǎn)評(píng)價(jià)，發(fā)表了著名的拉姆遜報(bào)告。該報(bào)告對(duì)事故樹分析作了大規(guī)模有效的應(yīng)用。此后，在社會(huì)各界引起了極大的反響，受到了廣

12、泛的重視，從而迅速在許多國家和許多企業(yè)應(yīng)用和推廣。中國開展事故樹分析方法的研究是從1978年開始的。80年代末，鐵路運(yùn)輸系統(tǒng)開始把事故樹分析方法應(yīng)用到安全生產(chǎn)和勞動(dòng)保護(hù)上來，也已取得了較好的效果。2022/8/527電子商務(wù)安全與管理第27頁，共48頁。8.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程8.2.2 風(fēng)險(xiǎn)識(shí)別分析 2.風(fēng)險(xiǎn)識(shí)別階段的常用方法事故樹分析法事故樹由各種符號(hào)和其連接的邏輯門組成矩形符號(hào)：表示結(jié)果事件“機(jī)動(dòng)車追尾”“服務(wù)中斷”圓形符號(hào)：表示基本(原因)事件“酒后開車”“拒絕服務(wù)攻擊”邏輯門符號(hào)：表示與、或、非2022/8/528電子商務(wù)安全與管理第28頁，共48頁。8.2電子商務(wù)安全風(fēng)險(xiǎn)管理

13、流程8.2.2 風(fēng)險(xiǎn)識(shí)別分析 2.風(fēng)險(xiǎn)識(shí)別階段的常用方法事故樹分析法2022/8/529電子商務(wù)安全與管理第29頁，共48頁。8.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程8.2.2 風(fēng)險(xiǎn)識(shí)別分析 2.風(fēng)險(xiǎn)識(shí)別階段的常用方法事故樹分析法病毒攻擊服務(wù)中斷設(shè)備毀壞管理缺陷泄密制度漏洞火災(zāi)損失事故聲譽(yù)破壞2022/8/530電子商務(wù)安全與管理第30頁，共48頁。8.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程8.2.3 風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)識(shí)別工作結(jié)束后，要利用適當(dāng)?shù)娘L(fēng)險(xiǎn)測(cè)量方法、工具確定風(fēng)險(xiǎn)的大小與風(fēng)險(xiǎn)等級(jí)，這就是風(fēng)險(xiǎn)評(píng)估過程請(qǐng)學(xué)習(xí)P315 例1，例2定量R=R(PT, PV, I)I=VCL2022/8/531電子商務(wù)安全與管理第31

14、頁，共48頁。8.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程8.2.3 風(fēng)險(xiǎn)評(píng)估 根據(jù)風(fēng)險(xiǎn)計(jì)算的結(jié)果，可以得到資產(chǎn)風(fēng)險(xiǎn)評(píng)估的相對(duì)優(yōu)先順序，將風(fēng)險(xiǎn)劃分為不同的等級(jí)，風(fēng)險(xiǎn)級(jí)別高的資產(chǎn)需要優(yōu)先分配資源保護(hù)例2中哪個(gè)子系統(tǒng)將優(yōu)先分配資源進(jìn)行保護(hù)？電子商務(wù)子系統(tǒng)2022/8/532電子商務(wù)安全與管理第32頁，共48頁。8.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程8.2.4 風(fēng)險(xiǎn)控制和風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)控制的基本方法減少威脅程度減少薄弱點(diǎn)風(fēng)險(xiǎn)規(guī)避風(fēng)險(xiǎn)預(yù)防風(fēng)險(xiǎn)分散風(fēng)險(xiǎn)轉(zhuǎn)移2022/8/533電子商務(wù)安全與管理第33頁，共48頁。8.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程8.2.4 風(fēng)險(xiǎn)控制和風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)接受過程風(fēng)險(xiǎn)評(píng)估過程 安全控制措施選擇 實(shí)施

15、安全控制降低風(fēng)險(xiǎn) 接受殘余風(fēng)險(xiǎn) Rr=R0-R, RrRt2022/8/534電子商務(wù)安全與管理第34頁，共48頁。8.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程8.2.5 監(jiān)控和審計(jì)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)安全性掃描系統(tǒng)漏洞掃描數(shù)據(jù)庫自動(dòng)掃描人員操作情況掃描 審計(jì)評(píng)估操作系統(tǒng)的審計(jì)應(yīng)用系統(tǒng)的審計(jì)設(shè)備的審計(jì)網(wǎng)絡(luò)應(yīng)用的審計(jì)專門的審計(jì)評(píng)估系統(tǒng)的作用反饋2022/8/535電子商務(wù)安全與管理第35頁，共48頁。8.3 電子商務(wù)安全風(fēng)險(xiǎn)管理的整體策略8.3.1 安全風(fēng)險(xiǎn)管理策略應(yīng)遵循的原則制定前提對(duì)法律法規(guī)要求的依從對(duì)組織業(yè)務(wù)要求的依從對(duì)經(jīng)濟(jì)原則的依從安全策略具體措施指導(dǎo)方針實(shí)施細(xì)節(jié)2022/8/536電子商務(wù)安全與管理第36頁

16、，共48頁。8.3.1 安全風(fēng)險(xiǎn)管理策略應(yīng)遵循的原則1.控制論和系統(tǒng)論思想的運(yùn)用信息方法8.3電子商務(wù)安全風(fēng)險(xiǎn)管理的整體策略2022/8/537電子商務(wù)安全與管理第37頁，共48頁。8.3.1 安全風(fēng)險(xiǎn)管理策略應(yīng)遵循的原則1.控制論和系統(tǒng)論思想的運(yùn)用信息方法反饋方法2.借鑒其他領(lǐng)域的風(fēng)險(xiǎn)管理方法目前電子商務(wù)安全風(fēng)險(xiǎn)管理方法與傳統(tǒng)風(fēng)險(xiǎn)管理方法的差距風(fēng)險(xiǎn)評(píng)估矩陣8.3電子商務(wù)安全風(fēng)險(xiǎn)管理的整體策略2022/8/538電子商務(wù)安全與管理第38頁，共48頁。8.3電子商務(wù)安全風(fēng)險(xiǎn)管理的整體策略2022/8/539電子商務(wù)安全與管理第39頁，共48頁。8.3.1 安全風(fēng)險(xiǎn)管理策略應(yīng)遵循的原則2.借鑒其他

17、領(lǐng)域的風(fēng)險(xiǎn)管理方法目前電子商務(wù)安全風(fēng)險(xiǎn)管理方法與傳統(tǒng)風(fēng)險(xiǎn)管理方法的差距風(fēng)險(xiǎn)評(píng)估矩陣敏感性分析（Sensitivity Analysis）對(duì)模型中參數(shù)的小變化可能導(dǎo)致的狀態(tài)變化的研究若某參數(shù)的小幅度變化能導(dǎo)致經(jīng)濟(jì)效果指標(biāo)的較大變化，則稱此參數(shù)為敏感性因素，反之則稱其為非敏感性因素8.3電子商務(wù)安全風(fēng)險(xiǎn)管理的整體策略2022/8/540電子商務(wù)安全與管理第40頁，共48頁。8.3電子商務(wù)安全風(fēng)險(xiǎn)管理的整體策略2022/8/541電子商務(wù)安全與管理第41頁，共48頁。8.3.1 安全風(fēng)險(xiǎn)管理策略應(yīng)遵循的原則2.借鑒其他領(lǐng)域的風(fēng)險(xiǎn)管理方法目前電子商務(wù)安全風(fēng)險(xiǎn)管理方法與傳統(tǒng)風(fēng)險(xiǎn)管理方法的差距風(fēng)險(xiǎn)評(píng)估矩陣敏感性分析（Sensitivity Analysis）模擬專家打分法經(jīng)驗(yàn)判斷法3.融入企業(yè)整體風(fēng)險(xiǎn)管理8.3電子商務(wù)安全風(fēng)險(xiǎn)管理的整體策略2022/8/542電子商務(wù)安全與管理第42頁，共48頁。8.3.2 策略的總體框架在安全風(fēng)險(xiǎn)管理策略系統(tǒng)中技術(shù)和管理手段的無縫集成8.3電子商務(wù)安全風(fēng)險(xiǎn)管理的整體策略2022/8/543電子商務(wù)安全與管理第43頁，共48頁。8.3.2 策略的總體框架 包括電子商務(wù)安全風(fēng)險(xiǎn)控制的企業(yè)整體風(fēng)險(xiǎn)控制8.3電子商務(wù)安全風(fēng)險(xiǎn)管