《电子商务安全与管理》第4章.pptx

《电子商务安全与管理》第四章安全防范与对策 2006年8月第一节 安全防范策略概述 需要采取何种程度的安全级别、投资的多少、安全措施是否会影响用户对系统的使用方便性、是否能综合和完整地考虑整个信息系统的安全问题、安全策略是否能适应企业信息系统的发展需求、安全策略是否具备多种手段来实现等等问题，是安全策略制定中的一些原则性问题。 安全策略是一套既定的规则，信息安全所有行为必须遵循此套规则。安全策略的制定与企业信息系统的功能和运作、企业的信息管理策略关系密切。第一节 安全防范策略概述一、安全防范策略的制定原则和步骤 （一）安全防范策略的制定原则 1．整体性原则 2．综合性、系统性原则 3．平衡性原则 4．一致性原则 5．易操作原则 6．适应性、灵活性原则 7．多重保护原则第一节 安全防范策略概述一、安全防范策略的制定原则和步骤 （二）安全防范策略的制定步骤 ① 确定目标； ② 确定范围； ③ 争取来自高层管理的支持； ④ 其他策略参考； ⑤ 危险评估； ⑥ 制定策略与成分决定； ⑦ 策略评估。第一节 安全防范策略概述二、安全防范策略的基本内容 （一）系统总体安全策略 （二）物理安全防范策略 （三）访问权限控制策略 （四）信息加密策略 （五）黑客防范策略 （六）风险管理策略 （七）灾难恢复策略 总之，制定系统安全防范策略，安装电子商务安全系统，确定一套安全机制，只是网络系统安全性实施的第一步，只有各级组织机构都严格执行电子商务安全的各项规定，认真维护各自负责的分系统的网络安全性，才能保证整个电子商务系统的整体安全性。第二节 物理安全防范与访问权限控制 保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提，物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括以下三个方面：环境安全：对系统所在环境的安全保护，如区域保护 和灾难保护；设备安全：主要包括设备的防盗、防毁、防电磁信息 辐射泄漏、防止线路截获、抗电磁干扰及 电源保护等；媒体安全：包括媒体数据的安全及媒体本身的安全。第二节 物理安全防范与访问权限控制一、机房环境安全（一）制度安全（二）建筑安全（三）设备的防火、防盗、防雷、防静电第二节 物理安全防范与访问权限控制二、硬件防护 （一）物理安全 物理安全是指防止意外事件或人为破坏具体的物理设备，如服务器、交换机、路由器、机柜、线路等。机房和机柜的钥匙一定要管理好，不要让无关人员随意进入机房，尤其是网络中心机房，防止人为的蓄意破坏。 （二）设置安全 设置安全是指在设备上进行必要的设置(如服务器、交换机的密码等)，防止黑客取得硬件设备的远程控制权。比如许多网管往往没有在服务器或可网管的交换机上设置必要的密码，懂网络设备管理技术的人可以通过网络来取得服务器或交换机的控制权，这是非常危险的。因为路由器属于接入设备，必然要暴露在互联网黑客攻击的视野之中，因此需要采取更为严格的安全管理措施，比如口令加密、加载严格的访问列表等。第二节 物理安全防范与访问权限控制三、访问权限控制（一）入网访问控制（二）网络的权限控制（三）客户端安全防护策略第三节 风险评估与风险管理一、风险管理的规则与步骤 风险管理的理论具体地把风险管理分为三个部分：风险确认、风险评估以及风险控制。在理论上，每个部分都有其完整的概念以及独立的功能，但在实际的应用上，这三个步骤的关系是紧密而不可分割的。 第三节 风险评估与风险管理一、风险管理的规则与步骤 （一）风险管理的规则 风险管理规则包括以下三个阶段。 1．评估阶段 2．开发和实施阶段 3．运行阶段第三节 风险评估与风险管理一、风险管理的规则与步骤 （二）风险管理步骤 风险管理可分三个主要步骤。 第一步，风险确认。 第二步，风险评估。 第三步，风险控制。第三节 风险评估与风险管理二、风险管理的对策与工具（一）风险管理的对策 通常采用的风险管理对策是纵深防御策略，纵深防御策略图如图4-1所示。 图4-1 纵深防御策略图第三节 风险评估与风险管理二、风险管理的对策与工具（二）风险管理的工具 风险管理工具可以用来发现和纠正网络安全的漏洞。风险管理控制的工具可分为：风险回避、避免损失、降低损失程度、资讯管理、风险转移，以及风险保留等。通俗地说，风险管理就是通过相应的技术、产品，帮助用户了解自身网络的安全性、漏洞所在、被攻击后破坏性有多大，同时帮助用户解决漏洞问题。第三节 风险评估与风险管理三、风险评估（一）风险评估的概念 风险评估（Risk Assessment）是对信息系统面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来的风险可能性的评估。（二）风险评估的三种可行途径 1．基线评估 2．详细评估 3．组合评