不安全系统中的商务风险与管理.pdf

不安全系统中的商务风险与管理 0301 1 本章教学目标 ☆ 了解不安全网络和企业内部网络相关的风险 ☆ 掌握商业交易过程中数据传输风险和风险控制手段 ☆ 掌握风险管理模式和顺序过程 ☆ 理解智能代理与电子商务的关系及其影响 本章关键术语 ☆ 不安全网络 ☆ 风险管理模式 ☆ 第三方保证 ☆ 智能代理 0301 1 与不安全通信网络相关的风险 • 本节讲述接入不安全网络，尤其是 Internet从事一系列商务（如：外部电子 邮件、内部地理上相分隔的部门间的电子 邮件、市场营销、电子销售和采购系统） 所面临的风险。 0301 1.1 与不安全通信网络相关的风险 • 虚假的或恶意的网站 – 窃取访问者的身份证信息与口令、窃取信用卡信息、偷 窥访问者的硬盘或从硬盘中上载文件 • 注册、虚假商业活动、“虫子” • 从销售代理及Internet服务商（ISP ）处窃取用户 数据 – 信用卡信息保存在销售代理或ISP处 – 信用卡信息失窃 • 隐私与cookies的使用 – 隐私权组织的反对 – 用户首次访问网站，Cookies文件建立，分配用户身份 号码，提高了网站访问的效率 – Cookies被营销公司利用 0301 1.2 销售代理所面临的风险 • 销售代理与消费者同样都面临电子商务风 险 – 客户假冒 • 假冒他人订购免费服务或商品 • 收货拒付 – 拒绝服务DoS袭击 • 拒绝服务袭击用于破坏、关闭或削弱某电脑或网络 资源 • 难以防范、追查 • SYN淹没 – 数据的失窃 0301 2 与企业内部网相关的风险 • 对于许多大型企业而言，公司企业内部网 的维护与安全已经变得像一只难驯的野兽 一般棘手。在一些大型企业中，单是能够 及时了解企业内部网的数目及其确切位置 就是一个不小的难题。 • 内部黑客的威胁 0301 2.1 离职员工的破坏活动 • 离职员工真会对以前的雇主及其电脑系统 进行报复性活动吗？1998年的CSI/FBI调 查显示，89%的公司认为心怀不满的员工 会进行这类袭击。 0301 2.2 在职员工的威胁 • 在职员工也会给企业的电脑系统造成严重 破坏。 – 嗅探器 • 嗅探－－企业内部网信息（消息、文件、用户身份、 口令）如果由一条共享渠道传输，就存在着被另一 个电脑站点截取的可能 – 数据下载 • 内部数据资料共享 – 电子邮件假冒 – 社交伎俩 • 电