- 1、本文档共28页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第9章 电子商务系统的安全设计 本章内容 9.1 电子商务系统安全 9.2 电子商务系统安全体系框架 9.3 电子商务系统安全设计的原则 9.4 电子商务系统安全体系的设计 9.1 电子商务系统安全 电子商务系统安全问题涉及到许多方面。 首先,安全不是一个单一的问题。 其次,安全问题是动态的。 再次,安全问题不能仅仅由技术来完全解决。 9.2 电子商务系统安全体系框架 电子商务还没有统一建立的标准的系统安全体系框架。可参照信息系统的安全体系框架。 信息系统安全的总需求是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共信息安全的总和。 信息系统安全的最终目的是确保信息的必威体育官网网址性、完整性、可用性、可审计性和不可否认性,以及信息系统主体对信息资源的控制。 信息系统安全体系结构示意图 9.3电子商务系统安全设计的原则 ⑴ 均衡性 ⑵ 整体性 ⑶ 一致性 ⑷ 易操作性 ⑸ 可靠性 ⑹ 层次性 ⑺ 可评价性 9.4 电子商务系统安全体系的设计 制定安全规划的工作步骤包括: 对企业电子商务系统安全风险进行评估 分析企业电子商务系统的安全需求 定义企业电子商务系统安全规划的范围 建立项目小组以设计和实施安全规划 制定企业电子商务系统的安全策略 制定企业电子商务系统的安全方案 评估安全方案的代价和优缺点 测试和实施安全方案 9.4.1 识别企业信息资产 通过识别用户的信息资产,建立信息资产列表。 企业信息资产包括:数据与文档、硬件,软件,人员四个方面。 企业的信息资产 资产分类 对信息资产及人分别归类,同时在两者之间建立起对应关系。 信息资产可以通过资产的保护价值进行分类。如:机密级、内部访问级、内部信息、共享级。 对人员的分类类似于信息资产的分类。 在开发安全方案之前,务必要列出属于上述每个项目的每个信息资产的清单,并确定所有相应的信息资源的安全级别及相应的系统安全性需求。 信息分为四个级别 级别1:公开或未分类信息,该类信息数据不需要经过公司任何批准就可以向大众公开。 级别2:内部信息,外部对这类信息访问是被禁止的。 级别3:私有信息,如果该类信息被未授权用户访问,将对公司正常运作产生影响,并导致经济上的损失。 级别4:秘密信息,未授权的外部或内部用户对这类数据的访问对公司是非常致命的。 9.4.2电子商务系统风险识别、分析和评估 要保障系统安全,首要是对企业资产的识别,其次是对威胁的识别。 1.电子商务面临的威胁 电子商务安全主要可划分为 计算机信息系统安全 商务交易安全 1.电子商务面临的威胁 ⑴计算机信息系统面临的威胁 归结起来,针对计算机信息系统安全的威胁主要有三: ①人为的无意失误 ②人为的恶意攻击 ③软件的漏洞和“后门” ⑵电子商务交易安全威胁类别 目前,一般的电子商务系统都面临着以下几种安全隐患: ①信息的截获和窃取 ②信息的篡改 ③信息假冒 ④交易抵赖 2.电子商务系统风险分析和评估 ⑴ 敏感性/结果 决定电子商务系统敏感性等级的因素有两个: 第一个是事故的直接后果。 第二个应考虑的因素是政治上和企业的敏感性。 ⑵风险评估矩阵 在风险评估矩阵中,应考虑多种因素,而且还应考虑各种因素之间的关系。 在下面的评估矩阵中,首先对各种因素进行评估,如危险性、可见性,然后以一定的关系式把它们联系起来,最后得到评估结果。 风险评估矩阵列表1 风险评估矩阵列表2 风险评估结果 风险评估结果=危险评估×可见性评估+事故结果评估×事故影响评估 然后把“风险评估结果”用下面的值评估。 2~10:低风险 11~29:中等风险 30~50:高风险 风险评估举例 假设我们用Wi表示资源的重要性程度,而用Ri表示资源面临的危险大小; 资源重要性的估计值我们用从0到1中的一个值来代表,0为最低,1为最高; 而资源面临的风险值我们用从0到10中的一个值来代表,0为最低,10为最高。 则WRi=Wi*Ri则表示资源加权后的危险值。 包含权值和危险值的简单网络设计图 风险评估举例 路由器: WR1=R1*W1=6*0.7=4.2 网桥: WR2=R2*W2=6*0.3= 1.8 服务器: WR3=R3* W3=10* 1=10 整个网络系统的危险值: WR=WR1+WR2+WR3 =16 9.4.3 电子商务系统的安全需求分析 通过分析以下因素,可以定义电子商务系统的安全需求: ●需要保护的资源。 ●资源面临的威胁。 ●威胁发生的机率。 9.4.4定义电子商务系统的安全规划的范围 设计安全方案之前,企业必须定义规划的范围,以指明将来的安全方案准备处理哪些风险。 9.4.5电子商务系统安全策略的制定 安全策略是对一种处理安全问题的规则的描述。 根据安全需求制定的系统的安全策略是安全方
您可能关注的文档
- 交流电的阻碍作用.ppt
- 律师在企业专利保护中的重要作用.ppt
- 商务谈判综合演练.ppt
- 深圳市禁止电动车上路惹争议政 治演讲.ppt
- 消防控制室管理规定.ppt
- 长春市社区办公业务 系统建设介绍.ppt
- 阻碍行动6大主因.ppt
- 节能新机制许泓.ppt
- 市场调查方案设计与调查报告.ppt
- 会计基础第十章会计档 案.ppt
- 甘肃省白银市会宁县第一中学2025届高三3月份第一次模拟考试化学试卷含解析.doc
- 2025届吉林市第一中学高考考前模拟生物试题含解析.doc
- 四川省三台县芦溪中学2025届高三下第一次测试生物试题含解析.doc
- 2025届江苏省启东市吕四中学高三适应性调研考试历史试题含解析.doc
- 浙江省宁波市十校2025届高三二诊模拟考试历史试卷含解析.doc
- 甘肃省甘南2025届高考生物必刷试卷含解析.doc
- 河北省石家庄市一中、唐山一中等“五个一”名校2025届高考历史四模试卷含解析.doc
- 江西省南昌市进贤一中2025届高考生物考前最后一卷预测卷含解析.doc
- 甘肃省白银市会宁县第四中学2025届高三第二次模拟考试历史试卷含解析.doc
- 宁夏银川市宁夏大学附属中学2025届高考化学押题试卷含解析.doc
文档评论(0)