電子商務(wù)系統(tǒng)安全規(guī)劃培訓(xùn)資料課件

第６章電子商務(wù)系統(tǒng)安全規(guī)劃1第６章電子商務(wù)系統(tǒng)安全規(guī)劃1本章內(nèi)容６.1電子商務(wù)系統(tǒng)安全６.2電子商務(wù)系統(tǒng)安全體系框架６.3電子商務(wù)系統(tǒng)安全設(shè)計的原則６.4電子商務(wù)系統(tǒng)安全體系的設(shè)計2本章內(nèi)容６.1電子商務(wù)系統(tǒng)安全2６.1電子商務(wù)系統(tǒng)安全

電子商務(wù)系統(tǒng)安全問題涉及到許多方面。首先，安全不是一個單一的問題。其次，安全問題是動態(tài)的。再次，安全問題不能僅僅由技術(shù)來完全解決。3６.1電子商務(wù)系統(tǒng)安全

電子商務(wù)系統(tǒng)安全問題涉及到許多方６.2電子商務(wù)系統(tǒng)安全體系框架電子商務(wù)還沒有統(tǒng)一建立的標(biāo)準(zhǔn)的系統(tǒng)安全體系框架?？蓞⒄招畔⑾到y(tǒng)的安全體系框架。信息系統(tǒng)安全的總需求是物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息內(nèi)容安全、信息基礎(chǔ)設(shè)施安全與公共信息安全的總和。信息系統(tǒng)安全的最終目的是確保信息的保密性、完整性、可用性、可審計性和不可否認性，以及信息系統(tǒng)主體對信息資源的控制。4６.2電子商務(wù)系統(tǒng)安全體系框架電子商務(wù)還沒有統(tǒng)一建立的標(biāo)準(zhǔn)６.2電子商務(wù)系統(tǒng)安全體系框架信息系統(tǒng)安全體系結(jié)構(gòu)示意圖5６.2電子商務(wù)系統(tǒng)安全體系框架信息系統(tǒng)安全體系結(jié)構(gòu)示意圖5６.3電子商務(wù)系統(tǒng)安全設(shè)計的原則⑴均衡性⑵整體性⑶一致性⑷易操作性⑸可靠性⑹層次性⑺可評價性6６.3電子商務(wù)系統(tǒng)安全設(shè)計的原則⑴均衡性6６.4電子商務(wù)系統(tǒng)安全體系的設(shè)計制定安全規(guī)劃的工作步驟包括：對企業(yè)電子商務(wù)系統(tǒng)安全風(fēng)險進行評估分析企業(yè)電子商務(wù)系統(tǒng)的安全需求定義企業(yè)電子商務(wù)系統(tǒng)安全規(guī)劃的范圍建立項目小組以設(shè)計和實施安全規(guī)劃制定企業(yè)電子商務(wù)系統(tǒng)的安全策略制定企業(yè)電子商務(wù)系統(tǒng)的安全方案評估安全方案的代價和優(yōu)缺點測試和實施安全方案7６.4電子商務(wù)系統(tǒng)安全體系的設(shè)計制定安全規(guī)劃的工作步驟包括6.4.1識別企業(yè)信息資產(chǎn)要保護企業(yè)的電子商務(wù)系統(tǒng)安全，首先要知道企業(yè)中有哪些可識別的資產(chǎn)，哪些是最關(guān)鍵的、需要重點防護的，哪些是次要一些的但是也需要保護的，哪些是不需要專門關(guān)注的。企業(yè)信息資產(chǎn)包括：數(shù)據(jù)與文檔、硬件，軟件，人員四個方面。86.4.1識別企業(yè)信息資產(chǎn)要保護企業(yè)的電子商務(wù)系統(tǒng)安全，首６.4.1識別企業(yè)信息資產(chǎn)資產(chǎn)類型說明硬件包括服務(wù)器、工作站、路由器、交換機、防火墻、入侵檢測系統(tǒng)、終端、打印機等整件設(shè)備，也包括主板、CPU、硬盤、顯示器等散件設(shè)備軟件包括源代碼、應(yīng)用程序、工具、分析測試軟件、操作系統(tǒng)等數(shù)據(jù)包括軟硬件運行中的中間數(shù)據(jù)、備份資料、系統(tǒng)狀態(tài)、審計日志、數(shù)據(jù)庫資料等人員包括用戶、管理員、維護人員等文檔包括軟件程序、硬件設(shè)備、系統(tǒng)狀態(tài)、本地管理過程的資料消耗品包括紙張、軟盤、磁帶等企業(yè)的信息資產(chǎn)9６.4.1識別企業(yè)信息資產(chǎn)資產(chǎn)類型說明硬件包６.4.2電子商務(wù)系統(tǒng)風(fēng)險識別、分析和評估1.電子商務(wù)系統(tǒng)面臨的威脅電子商務(wù)的核心是通過信息網(wǎng)絡(luò)技術(shù)來傳遞商業(yè)信息和進行網(wǎng)絡(luò)交易，所以從整體上來看，電子商務(wù)安全主要可劃分為計算機信息系統(tǒng)安全和商務(wù)交易安全等。10６.4.2電子商務(wù)系統(tǒng)風(fēng)險識別、分析和評估1.電子1．電子商務(wù)面臨的威脅（1）計算機信息系統(tǒng)面臨的威脅①人為的無意失誤②人為的惡意攻擊③軟件的漏洞和“后門”111．電子商務(wù)面臨的威脅（1）計算機信息系統(tǒng)面臨的威脅111．電子商務(wù)面臨的威脅（2）電子商務(wù)交易安全威脅類別。①信息的截獲和竊取。②信息的篡改。③假冒。④交易抵賴。121．電子商務(wù)面臨的威脅（2）電子商務(wù)交易安全威脅類別。122.電子商務(wù)系統(tǒng)風(fēng)險分析和評估⑴敏感性／結(jié)果決定電子商務(wù)系統(tǒng)敏感性等級的因素有兩個：第一個是事故的直接后果。第二個應(yīng)考慮的因素是政治上和企業(yè)的敏感性。132.電子商務(wù)系統(tǒng)風(fēng)險分析和評估⑴敏感性／結(jié)果13⑵風(fēng)險評估矩陣在風(fēng)險評估矩陣中，考慮多種因素，而且還應(yīng)考慮它們之間的關(guān)系。14⑵風(fēng)險評估矩陣在風(fēng)險評估矩陣中，考慮多種因素，而且還應(yīng)考慮它⑵風(fēng)險評估矩陣危險性評估可見性評估分數(shù)危險不太活躍，而且暴露于危險中的機會不很多1很低的可見性，沒有提供任何公共信息服務(wù)，1危險并不明確，而且危險是多重的3間斷的提供公共信息服務(wù)，3危險非常活躍，而且危險是多重的5持續(xù)提供公共信息服務(wù)，5風(fēng)險評估矩陣列表115⑵風(fēng)險評估矩陣危險性評估可見性評估分數(shù)危險不太活躍，而且暴露⑵風(fēng)險評估矩陣事故結(jié)果評估事故結(jié)果的影響評估分數(shù)沒有任何影響和損夫；在損失預(yù)算之內(nèi)：風(fēng)險可以轉(zhuǎn)移1損失在生意運作中可以接受：或?qū)ζ髽I(yè)無較大的影響，1企業(yè)內(nèi)部的正常運行受到影響超出了損失預(yù)算：存在機會成本3對企業(yè)的運轉(zhuǎn)有不可接受的影響3企業(yè)外部的生意受到影響；對企業(yè)財政有致命的影響5對企業(yè)的經(jīng)營管理有不可接受的影響5風(fēng)險評估矩陣列表216⑵風(fēng)險評估矩陣事故結(jié)果評估事故結(jié)果的影響評估分數(shù)沒有任何影（3）基本的風(fēng)險評估風(fēng)險評估和管理任務(wù)詳細風(fēng)險評估活動資產(chǎn)識別和估價列出在安全管理體系范圍內(nèi)被評估的商業(yè)環(huán)境、運作和信息相關(guān)的資產(chǎn)威脅評估使用通用或一般的常見威脅的列表，列出資產(chǎn)的威脅薄弱點評估應(yīng)用通用或一般的常見薄弱點的列表，列出資產(chǎn)的薄弱點現(xiàn)有的和計劃了的安全控制的識別根據(jù)前期的安全評審，對所有與資產(chǎn)相關(guān)聯(lián)的現(xiàn)有的和計劃了的控制進行識別和文件化風(fēng)險評估搜集由上述評估產(chǎn)生的有關(guān)資產(chǎn)、威脅和薄弱點的信息，以便能夠進行一個系統(tǒng)的、簡單的風(fēng)險測量安全控制和降低風(fēng)險的識別和選擇對于每一項列出的資產(chǎn)，確認相關(guān)的控制目標(biāo)。應(yīng)用與這些資產(chǎn)的每一個方面相關(guān)的威脅和薄弱點，選擇相關(guān)聯(lián)的控制，以完成這些目標(biāo)風(fēng)險接受在整體的基礎(chǔ)上，通過選擇附加的控制，考慮更進一步的降低風(fēng)險基本的風(fēng)險評估活動17（3）基本的風(fēng)險評估風(fēng)險評估和管理任務(wù)詳細風(fēng)險評估活動資產(chǎn)（4）詳細的風(fēng)險評估風(fēng)險評估和管理任務(wù)詳細風(fēng)險評估活動資產(chǎn)識別和估價識別和列出安全管理范圍內(nèi)被評估的商業(yè)環(huán)境、運作和信息相關(guān)的所有的資產(chǎn)，定義一個價值尺度并為每一項資產(chǎn)分配價值（保密性、完整性和可用性的價值）威脅評估識別與資產(chǎn)相關(guān)的所有威脅，并根據(jù)它們發(fā)生的可能性和嚴重性為它們賦值薄弱點評估識別與資產(chǎn)相關(guān)的所有的薄弱點，并根據(jù)它們怎樣輕易被威脅利用來為它們賦值現(xiàn)有的和計劃了的安全控制的識別根據(jù)前期評審，將所有現(xiàn)有的和計劃了的與資產(chǎn)相關(guān)的安全控制進行識別和文件化風(fēng)險評估利用上述對資產(chǎn)、威脅、薄弱點的評價結(jié)果，進行風(fēng)險評估，風(fēng)險為資產(chǎn)的相對價值、威脅發(fā)生的可能性與薄弱點被利用的可能性的函數(shù)，采用適當(dāng)?shù)娘L(fēng)險測量工具進行風(fēng)險計算安全控制和降低風(fēng)險的識別和選擇根據(jù)從上述評估中識別的風(fēng)險，適當(dāng)?shù)陌踩刂菩枰蛔R別以阻止這些風(fēng)險。對于每一項的資產(chǎn)，識別與每一項被評估的風(fēng)險相關(guān)的控制目標(biāo)。根據(jù)對這些資產(chǎn)的每一項相關(guān)的威脅和薄弱點識別安全控制，以完成這些目標(biāo)。最后，評估被選擇的安全控制在多大程度上降低了被識別的風(fēng)險風(fēng)險接受對殘余的風(fēng)險加以分類，或是“可接受的”或是“不可接受的”。對那些被確認是“不可接受的”，決定是否應(yīng)該選擇更進一步的控制，或者接受殘留風(fēng)險的水平詳細的風(fēng)險評估活動18（4）詳細的風(fēng)險評估風(fēng)險評估和管理任務(wù)詳細風(fēng)險評估活動資產(chǎn)６.4.3電子商務(wù)系統(tǒng)的安全需求分析通過分析以下因素，可以定義電子商務(wù)系統(tǒng)的安全需求：需要保護的資源。資源面臨的威脅。威脅發(fā)生的機率。19６.4.3電子商務(wù)系統(tǒng)的安全需求分析通過分析以下因素，可以６.4.4定義電子商務(wù)系統(tǒng)的安全規(guī)劃的范圍安全規(guī)劃首先需要定義規(guī)劃的范圍，以指明規(guī)劃能夠處理哪些風(fēng)險。規(guī)劃范圍準(zhǔn)確地限定了安全規(guī)劃將處理電子商務(wù)系統(tǒng)中的哪個區(qū)域。設(shè)計安全方案之前，企業(yè)必須定義規(guī)劃的范圍，以指明將來的安全方案準(zhǔn)備處理哪些風(fēng)險。20６.4.4定義電子商務(wù)系統(tǒng)的安全規(guī)劃的范圍安全規(guī)劃首先需６.4.5電子商務(wù)系統(tǒng)安全策略的制定安全策略是對一種處理安全問題的規(guī)則的描述。管理人員在安全策略方面的抉擇與資源分配、競爭的目標(biāo)以及組織策略有關(guān)，涉及技術(shù)、信息資源和員工行為指導(dǎo)。制定安全策略的目的就是決定一個電子商務(wù)系統(tǒng)怎樣來保護自己。根據(jù)安全需求制定的系統(tǒng)的安全策略是安全方案的主要內(nèi)容。21６.4.5電子商務(wù)系統(tǒng)安全策略的制定安全策略是對一種處理６.4.5電子商務(wù)系統(tǒng)安全策略的制定1.權(quán)衡要點制定安全策略是進行利與弊的權(quán)衡，一般來說，權(quán)衡的要點如下：●功能和安全性能。●用戶操作的便利性和安全性能。●成本與功能。22６.4.5電子商務(wù)系統(tǒng)安全策略的制定1.權(quán)衡要點222.安全策略的范圍安全策略的范圍232.安全策略的范圍安全策略的范圍232.安全策略的范圍安全策略范圍安全策略內(nèi)容身份認證及授權(quán)策略包括認證及授權(quán)機制、方式和審計記錄等災(zāi)難恢復(fù)策略包括負責(zé)人員、恢復(fù)機制、方式、歸檔管理、硬件和軟件等事故處理、緊急響應(yīng)策略包括響應(yīng)小組、聯(lián)系方式、事故處理計劃和控制過程等安全教育策略包括安全策略的發(fā)布宣傳、執(zhí)行效果的監(jiān)督、安全技能的培訓(xùn)、安全意識教育等口令管理策略包括口令管理方式、口令設(shè)置規(guī)則和口令適應(yīng)規(guī)則等補丁管理策略包括系統(tǒng)補丁的更新、測試和安裝等系統(tǒng)變更控制策略包括設(shè)備、軟件配置、控制措施、數(shù)據(jù)變更管理和一致性管理等商業(yè)伙伴、客戶關(guān)系策略包括合同條款安全策略、客戶服務(wù)安全建議等復(fù)查審計策略包括對安全策略的定期復(fù)查、對安全控制及過程的重新評估、對系統(tǒng)日志記錄的審計、對安全技術(shù)發(fā)展的跟蹤等續(xù)表安全策略的范圍242.安全策略的范圍安全策略范圍安全策略內(nèi)容身份認證及授權(quán)3．制定安全策略的步驟制定安全策略時的步驟253．制定安全策略的步驟制定安全策略時的步驟25６.4.6制訂電子商務(wù)系統(tǒng)的安全方案1.安全方案的主要內(nèi)容⑴技術(shù)體系的建立⑵組織機構(gòu)的建立⑶管理體系的建立⑷安全方案實施計劃26６.4.6制訂電子商務(wù)系統(tǒng)的安全方案1.安全方案的主要６.4.6制訂電子商務(wù)系統(tǒng)的安全方案2.制定安全方案(1)定義范圍。(2)確定安全方案制定小組。(3)搜集安全需求。(4)定義安全基準(zhǔn)。(5)定義安全基準(zhǔn)。27６.4.6制訂電子商務(wù)系統(tǒng)的安全方案2.制定安全方案26.4.7評估安全方案安全方案制定出來之后還需要評估才能確定是否可以采納。評估一個安全方案可從以下幾個方面進行：計劃、設(shè)計、測試和開發(fā)該安全方案所需的資源。開發(fā)后管理和維護該方案所需的資源。培訓(xùn)用戶使用新系統(tǒng)和掌握新技術(shù)所需的資源。支持用戶使用新技術(shù)所需的資源。安全方案實施后，損失的用戶帶來的影響。增加密碼操作負載后，計算機和網(wǎng)絡(luò)增加的負載和降低的性能。286.4.7評估安全方案安全方案制定出來之后還需要評估才能6.4.8實施安全方案當(dāng)安全方案獲得采納之后，將開始實施安全方案。可以建立一個實施小組，或者通過系統(tǒng)的實施小組來實施，任務(wù)的分配與實施的時間進度，應(yīng)參照已制定的安全方案實施計劃。實施成功的關(guān)鍵是找到可用資源、時間進度和任務(wù)之間的合理平衡。296.4.8實施安全方案當(dāng)安全方案獲得采納之后，將開始實施思考題1．電子商務(wù)系統(tǒng)安全設(shè)計的原則有哪些？2．制定安全規(guī)劃的工作包括哪些步驟？30思考題1．電子商務(wù)系統(tǒng)安全設(shè)計的原則有哪些？30END謝謝！31END謝謝！31第６章電子商務(wù)系統(tǒng)安全規(guī)劃32第６章電子商務(wù)系統(tǒng)安全規(guī)劃1本章內(nèi)容６.1電子商務(wù)系統(tǒng)安全６.2電子商務(wù)系統(tǒng)安全體系框架６.3電子商務(wù)系統(tǒng)安全設(shè)計的原則６.4電子商務(wù)系統(tǒng)安全體系的設(shè)計33本章內(nèi)容６.1電子商務(wù)系統(tǒng)安全2６.1電子商務(wù)系統(tǒng)安全

電子商務(wù)系統(tǒng)安全問題涉及到許多方面。首先，安全不是一個單一的問題。其次，安全問題是動態(tài)的。再次，安全問題不能僅僅由技術(shù)來完全解決。34６.1電子商務(wù)系統(tǒng)安全

電子商務(wù)系統(tǒng)安全問題涉及到許多方６.2電子商務(wù)系統(tǒng)安全體系框架電子商務(wù)還沒有統(tǒng)一建立的標(biāo)準(zhǔn)的系統(tǒng)安全體系框架?？蓞⒄招畔⑾到y(tǒng)的安全體系框架。信息系統(tǒng)安全的總需求是物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息內(nèi)容安全、信息基礎(chǔ)設(shè)施安全與公共信息安全的總和。信息系統(tǒng)安全的最終目的是確保信息的保密性、完整性、可用性、可審計性和不可否認性，以及信息系統(tǒng)主體對信息資源的控制。35６.2電子商務(wù)系統(tǒng)安全體系框架電子商務(wù)還沒有統(tǒng)一建立的標(biāo)準(zhǔn)６.2電子商務(wù)系統(tǒng)安全體系框架信息系統(tǒng)安全體系結(jié)構(gòu)示意圖36６.2電子商務(wù)系統(tǒng)安全體系框架信息系統(tǒng)安全體系結(jié)構(gòu)示意圖5６.3電子商務(wù)系統(tǒng)安全設(shè)計的原則⑴均衡性⑵整體性⑶一致性⑷易操作性⑸可靠性⑹層次性⑺可評價性37６.3電子商務(wù)系統(tǒng)安全設(shè)計的原則⑴均衡性6６.4電子商務(wù)系統(tǒng)安全體系的設(shè)計制定安全規(guī)劃的工作步驟包括：對企業(yè)電子商務(wù)系統(tǒng)安全風(fēng)險進行評估分析企業(yè)電子商務(wù)系統(tǒng)的安全需求定義企業(yè)電子商務(wù)系統(tǒng)安全規(guī)劃的范圍建立項目小組以設(shè)計和實施安全規(guī)劃制定企業(yè)電子商務(wù)系統(tǒng)的安全策略制定企業(yè)電子商務(wù)系統(tǒng)的安全方案評估安全方案的代價和優(yōu)缺點測試和實施安全方案38６.4電子商務(wù)系統(tǒng)安全體系的設(shè)計制定安全規(guī)劃的工作步驟包括6.4.1識別企業(yè)信息資產(chǎn)要保護企業(yè)的電子商務(wù)系統(tǒng)安全，首先要知道企業(yè)中有哪些可識別的資產(chǎn)，哪些是最關(guān)鍵的、需要重點防護的，哪些是次要一些的但是也需要保護的，哪些是不需要專門關(guān)注的。企業(yè)信息資產(chǎn)包括：數(shù)據(jù)與文檔、硬件，軟件，人員四個方面。396.4.1識別企業(yè)信息資產(chǎn)要保護企業(yè)的電子商務(wù)系統(tǒng)安全，首６.4.1識別企業(yè)信息資產(chǎn)資產(chǎn)類型說明硬件包括服務(wù)器、工作站、路由器、交換機、防火墻、入侵檢測系統(tǒng)、終端、打印機等整件設(shè)備，也包括主板、CPU、硬盤、顯示器等散件設(shè)備軟件包括源代碼、應(yīng)用程序、工具、分析測試軟件、操作系統(tǒng)等數(shù)據(jù)包括軟硬件運行中的中間數(shù)據(jù)、備份資料、系統(tǒng)狀態(tài)、審計日志、數(shù)據(jù)庫資料等人員包括用戶、管理員、維護人員等文檔包括軟件程序、硬件設(shè)備、系統(tǒng)狀態(tài)、本地管理過程的資料消耗品包括紙張、軟盤、磁帶等企業(yè)的信息資產(chǎn)40６.4.1識別企業(yè)信息資產(chǎn)資產(chǎn)類型說明硬件包６.4.2電子商務(wù)系統(tǒng)風(fēng)險識別、分析和評估1.電子商務(wù)系統(tǒng)面臨的威脅電子商務(wù)的核心是通過信息網(wǎng)絡(luò)技術(shù)來傳遞商業(yè)信息和進行網(wǎng)絡(luò)交易，所以從整體上來看，電子商務(wù)安全主要可劃分為計算機信息系統(tǒng)安全和商務(wù)交易安全等。41６.4.2電子商務(wù)系統(tǒng)風(fēng)險識別、分析和評估1.電子1．電子商務(wù)面臨的威脅（1）計算機信息系統(tǒng)面臨的威脅①人為的無意失誤②人為的惡意攻擊③軟件的漏洞和“后門”421．電子商務(wù)面臨的威脅（1）計算機信息系統(tǒng)面臨的威脅111．電子商務(wù)面臨的威脅（2）電子商務(wù)交易安全威脅類別。①信息的截獲和竊取。②信息的篡改。③假冒。④交易抵賴。431．電子商務(wù)面臨的威脅（2）電子商務(wù)交易安全威脅類別。122.電子商務(wù)系統(tǒng)風(fēng)險分析和評估⑴敏感性／結(jié)果決定電子商務(wù)系統(tǒng)敏感性等級的因素有兩個：第一個是事故的直接后果。第二個應(yīng)考慮的因素是政治上和企業(yè)的敏感性。442.電子商務(wù)系統(tǒng)風(fēng)險分析和評估⑴敏感性／結(jié)果13⑵風(fēng)險評估矩陣在風(fēng)險評估矩陣中，考慮多種因素，而且還應(yīng)考慮它們之間的關(guān)系。45⑵風(fēng)險評估矩陣在風(fēng)險評估矩陣中，考慮多種因素，而且還應(yīng)考慮它⑵風(fēng)險評估矩陣危險性評估可見性評估分數(shù)危險不太活躍，而且暴露于危險中的機會不很多1很低的可見性，沒有提供任何公共信息服務(wù)，1危險并不明確，而且危險是多重的3間斷的提供公共信息服務(wù)，3危險非?；钴S，而且危險是多重的5持續(xù)提供公共信息服務(wù)，5風(fēng)險評估矩陣列表146⑵風(fēng)險評估矩陣危險性評估可見性評估分數(shù)危險不太活躍，而且暴露⑵風(fēng)險評估矩陣事故結(jié)果評估事故結(jié)果的影響評估分數(shù)沒有任何影響和損夫；在損失預(yù)算之內(nèi)：風(fēng)險可以轉(zhuǎn)移1損失在生意運作中可以接受：或?qū)ζ髽I(yè)無較大的影響，1企業(yè)內(nèi)部的正常運行受到影響超出了損失預(yù)算：存在機會成本3對企業(yè)的運轉(zhuǎn)有不可接受的影響3企業(yè)外部的生意受到影響；對企業(yè)財政有致命的影響5對企業(yè)的經(jīng)營管理有不可接受的影響5風(fēng)險評估矩陣列表247⑵風(fēng)險評估矩陣事故結(jié)果評估事故結(jié)果的影響評估分數(shù)沒有任何影（3）基本的風(fēng)險評估風(fēng)險評估和管理任務(wù)詳細風(fēng)險評估活動資產(chǎn)識別和估價列出在安全管理體系范圍內(nèi)被評估的商業(yè)環(huán)境、運作和信息相關(guān)的資產(chǎn)威脅評估使用通用或一般的常見威脅的列表，列出資產(chǎn)的威脅薄弱點評估應(yīng)用通用或一般的常見薄弱點的列表，列出資產(chǎn)的薄弱點現(xiàn)有的和計劃了的安全控制的識別根據(jù)前期的安全評審，對所有與資產(chǎn)相關(guān)聯(lián)的現(xiàn)有的和計劃了的控制進行識別和文件化風(fēng)險評估搜集由上述評估產(chǎn)生的有關(guān)資產(chǎn)、威脅和薄弱點的信息，以便能夠進行一個系統(tǒng)的、簡單的風(fēng)險測量安全控制和降低風(fēng)險的識別和選擇對于每一項列出的資產(chǎn)，確認相關(guān)的控制目標(biāo)。應(yīng)用與這些資產(chǎn)的每一個方面相關(guān)的威脅和薄弱點，選擇相關(guān)聯(lián)的控制，以完成這些目標(biāo)風(fēng)險接受在整體的基礎(chǔ)上，通過選擇附加的控制，考慮更進一步的降低風(fēng)險基本的風(fēng)險評估活動48（3）基本的風(fēng)險評估風(fēng)險評估和管理任務(wù)詳細風(fēng)險評估活動資產(chǎn)（4）詳細的風(fēng)險評估風(fēng)險評估和管理任務(wù)詳細風(fēng)險評估活動資產(chǎn)識別和估價識別和列出安全管理范圍內(nèi)被評估的商業(yè)環(huán)境、運作和信息相關(guān)的所有的資產(chǎn)，定義一個價值尺度并為每一項資產(chǎn)分配價值（保密性、完整性和可用性的價值）威脅評估識別與資產(chǎn)相關(guān)的所有威脅，并根據(jù)它們發(fā)生的可能性和嚴重性為它們賦值薄弱點評估識別與資產(chǎn)相關(guān)的所有的薄弱點，并根據(jù)它們怎樣輕易被威脅利用來為它們賦值現(xiàn)有的和計劃了的安全控制的識別根據(jù)前期評審，將所有現(xiàn)有的和計劃了的與資產(chǎn)相關(guān)的安全控制進行識別和文件化風(fēng)險評估利用上述對資產(chǎn)、威脅、薄弱點的評價結(jié)果，進行風(fēng)險評估，風(fēng)險為資產(chǎn)的相對價值、威脅發(fā)生的可能性與薄弱點被利用的可能性的函數(shù)，采用適當(dāng)?shù)娘L(fēng)險測量工具進行風(fēng)險計算安全控制和降低風(fēng)險的識別和選擇根據(jù)從上述評估中識別的風(fēng)險，適當(dāng)?shù)陌踩刂菩枰蛔R別以阻止這些風(fēng)險。對于每一項的資產(chǎn)，識別與每一項被評估的風(fēng)險相關(guān)的控制目標(biāo)。根據(jù)對這些資產(chǎn)的每一項相關(guān)的威脅和薄弱點識別安全控制，以完成這些目標(biāo)。最后，評估被選擇的安全控制在多大程度上降低了被識別的風(fēng)險風(fēng)險接受對殘余的風(fēng)險加以分類，或是“可接受的”或是“不可接受的”。對那些被確認是“不可接受的”，決定是否應(yīng)該選擇更進一步的控制，或者接受殘留風(fēng)險的水平詳細的風(fēng)險評估活動49（4）詳細的風(fēng)險評估風(fēng)險評估和管理任務(wù)詳細風(fēng)險評估活動資產(chǎn)６.4.3電子商務(wù)系統(tǒng)的安全需求分析通過分析以下因素，可以定義電子商務(wù)系統(tǒng)的安全需求：需要保護的資源。資源面臨的威脅。威脅發(fā)生的機率。50６.4.3電子商務(wù)系統(tǒng)的安全需求分析通過分析以下因素，可以６.4.4定義電子商務(wù)系統(tǒng)的安全規(guī)劃的范圍安全規(guī)劃首先需要定義規(guī)劃的范圍，以指明規(guī)劃能夠處理哪些風(fēng)險。規(guī)劃范圍準(zhǔn)確地限定了安全規(guī)劃將處理電子商務(wù)系統(tǒng)中的哪個區(qū)域。設(shè)計安全方案之前，企業(yè)必須定義規(guī)劃的范圍，以指明將來的安全方案準(zhǔn)備處理哪些風(fēng)險。51６.4.4定義電子商務(wù)系統(tǒng)的安全規(guī)劃的范圍安全規(guī)劃首先需６.4.5電子商務(wù)系統(tǒng)安全策略的制定安全策略是對一種處理安全問題的規(guī)則的描述。管理人員在安全策略方面的抉擇與資源分配、競爭的目標(biāo)以及組織策略有關(guān)，涉及技術(shù)、信息資源和員工行為指導(dǎo)。制定安全策略的目的就是決定一個電子商務(wù)系統(tǒng)怎樣來保護自己。根據(jù)安全需求制定的系統(tǒng)的安全策略是安全方案的主要內(nèi)容。52６.4.5電子商務(wù)系統(tǒng)安全策略的制定安全策略是對一種處理６.4.5電子商務(wù)系統(tǒng)安全策略的制定1.權(quán)衡要點制定安全策略是進行利與弊的權(quán)衡，一般來說，權(quán)衡的要點如下：●功能和安全性能。●用戶操作的便利性和安全性能。●成本與功能。53６.4.5電子商務(wù)系統(tǒng)安全策略的制定1.權(quán)衡要點222.安全策略的范圍安全策略的范圍542.安全策略的范圍安全策略的范圍232.安全策略的范圍安全策略范圍安全策略內(nèi)容身份認證及授權(quán)策略包括認證及授權(quán)機制、方式和審計記錄等災(zāi)難恢復(fù)策略包括負責(zé)人員、恢復(fù)機制、方式、歸檔管理、硬件和軟件等事故處理、緊急響應(yīng)策略包括響應(yīng)小組、聯(lián)系方式、事故處理計劃和控制過程等安全教育策略包括安全策略的發(fā)布宣傳、執(zhí)行效果的監(jiān)督、安全技能的培訓(xùn)、安全意識教育等口令管理策略包