《电子商务安全风险管理ppt课件.ppt》由会员分享,可在线阅读,更多相关《电子商务安全风险管理ppt课件.ppt(48页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用第第8章章 电子商务安全风险管理电子商务安全风险管理经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用问题的提出电子商务在今日充满机遇,可是作为一名电子商务的参与者,你是否了解电子商务中哪些要素的收益和风险是并存的?在大多数情况下,电子商务系统顺利的运行,但可能有时候,一个意外和无法控制的外部事件会扰乱正常的业务操作作好最坏情况的准备,是风险管理的重要方面2023/1/16电子商务安全与
2、管理2抓狂经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用引例1-会计咨询公司Armstrong Gilmour的倒闭90年代末,Phil Gilmour是加利福尼亚的一家会计咨询公司Armstrong Gilmour的管理合伙人。公司相当一部分业务是个人委托的管理私人抚恤基金业务。客户的养老金和投资数据存储在一个公司数据库,客户可以在线访问数据库,并核对他们的帐户。Gilmour致力于管理的养老基金业务增长迅速,因为无法处理日益繁忙的存储,数据库崩溃了。幸运的是,公司的计算机系统有一个磁带备份,因此Gilmou
3、r认为客户的数据应该是安全的。当该公司试图恢复养老金数据备份磁带的时候,却发现磁带上的数据已经被损坏了。剩下的唯一的选择是昂贵和痛苦的。公司的员工在接下来几个星期内不得不花费很长的时间长重新手动恢复数据库。但这次灾难耗费的总费用可能远远大于员工耗费的时间和用于数据库恢复的数千美元。在公司失去一部分委托人的信任和信誉之后,Gilmour最终损失了数百万美元,以低价出售了公司。2023/1/16电子商务安全与管理3经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理4引例2 汇丰银行网络一天内遭万次攻击
4、 顾客信心受损 汇丰银行网络所遭受的攻击引发了电子汇丰银行网络所遭受的攻击引发了电子汇丰银行网络所遭受的攻击引发了电子汇丰银行网络所遭受的攻击引发了电子商务时代企业安全风险管理的重视,但是商务时代企业安全风险管理的重视,但是商务时代企业安全风险管理的重视,但是商务时代企业安全风险管理的重视,但是企业该如何加强安全风险管理呢?企业该如何加强安全风险管理呢?企业该如何加强安全风险管理呢?企业该如何加强安全风险管理呢?2023/1/16经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理5电子商务中存在的
5、安全风险电子商务中存在的安全风险8.1 电子商务安全风险管理的演进电子商务安全风险管理的演进8.2 电子商务安全风险管理流程电子商务安全风险管理流程8.3 电子商务安全风险管理的整体策略电子商务安全风险管理的整体策略目录目录2023/1/16经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用思考:电子商务中存在哪些安全风险?自然灾害火灾洪水飓风地震2023/1/16电子商务安全与管理6经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用与
6、不安全通信网络相关的风险 消费者所面临的风险 虚假的或恶意的网站 用户数据的泄露隐私与cookies的使用 2023/1/16电子商务安全与管理7电子商务中存在的安全风险电子商务中存在的安全风险经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用与不安全通信网络相关的风险 消费者所面临的风险 2023/1/16电子商务安全与管理8电子商务中存在的安全风险电子商务中存在的安全风险经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用与不安全通信
7、网络相关的风险 商家所面临的风险客户假冒 拒绝服务袭击 故意性的破坏网站数据的失窃产品或者服务出现问题的赔偿侵犯版权、商标、专利引起的诉讼2023/1/16电子商务安全与管理9电子商务中存在的安全风险电子商务中存在的安全风险经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用与企业内部网相关的风险离职员工的破坏活动 在职员工的威胁不适当地使用电子邮件和互联网2023/1/16电子商务安全与管理10电子商务中存在的安全风险电子商务中存在的安全风险经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损
8、失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用贸易伙伴间商业交易数据传输中的风险企业内部网、企业外部网及互联网之间的关系 数据截取 受保密措施维护的档案文件、主文件与参考数据所面临的风险 2023/1/16电子商务安全与管理11电子商务中存在的安全风险电子商务中存在的安全风险经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理128.1 电子商务安全风险管理的演进电子商务安全风险管理的演进8.1.1 8.1.1 电子商务安全管理的发展历程电子商务安全管理的发展历程事件驱动时期事件驱动时期事
9、件驱动时期事件驱动时期 只重视技术防御只重视技术防御只重视技术防御只重视技术防御 静态、局部、事后纠正静态、局部、事后纠正静态、局部、事后纠正静态、局部、事后纠正标准化时期标准化时期标准化时期标准化时期 基本形成安全管理体系基本形成安全管理体系基本形成安全管理体系基本形成安全管理体系 安全风险分析不足安全风险分析不足安全风险分析不足安全风险分析不足2023/1/16经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理138.1.1 8.1.1 电子商务安全管理的发展历程电子商务安全管理的发展历程安全
10、风险管理时期安全风险管理时期安全风险管理时期安全风险管理时期 电子商务安全风险:电子商务安全风险:电子商务安全风险:电子商务安全风险:由于从事电子商务活动过程中相关的网由于从事电子商务活动过程中相关的网由于从事电子商务活动过程中相关的网由于从事电子商务活动过程中相关的网络以及系统存在的安全不确定性而产生的经济或其他利益的络以及系统存在的安全不确定性而产生的经济或其他利益的络以及系统存在的安全不确定性而产生的经济或其他利益的络以及系统存在的安全不确定性而产生的经济或其他利益的损失、自然破坏或损害的损失、自然破坏或损害的损失、自然破坏或损害的损失、自然破坏或损害的可能性可能性可能性可能性8.1电子
11、商务安全风险管理的演进电子商务安全风险管理的演进2023/1/16经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理148.1.1 8.1.1 电子商务安全管理的发展历程电子商务安全管理的发展历程安全风险管理时期安全风险管理时期安全风险管理时期安全风险管理时期 风险管理(风险管理(风险管理(风险管理(Risk ManagementRisk ManagementRisk ManagementRisk Management)降低各种风险的发生概率,或当某种风险突然降临时,减少损失的管理降低各种风险的发
12、生概率,或当某种风险突然降临时,减少损失的管理降低各种风险的发生概率,或当某种风险突然降临时,减少损失的管理降低各种风险的发生概率,或当某种风险突然降临时,减少损失的管理过程过程过程过程宗旨:宗旨:宗旨:宗旨:承认成功的攻击将会存在,但发生的可能性及产生后果的严重程承认成功的攻击将会存在,但发生的可能性及产生后果的严重程承认成功的攻击将会存在,但发生的可能性及产生后果的严重程承认成功的攻击将会存在,但发生的可能性及产生后果的严重程度将被控制在度将被控制在度将被控制在度将被控制在最小值最小值最小值最小值风险管理最早于风险管理最早于风险管理最早于风险管理最早于1930193019301930年起源
13、于美国。由于受到年起源于美国。由于受到年起源于美国。由于受到年起源于美国。由于受到19291929192919291933193319331933年的世界性经年的世界性经年的世界性经年的世界性经济危机的影响,美国约有济危机的影响,美国约有济危机的影响,美国约有济危机的影响,美国约有40404040左右的银行和企业破产,经济倒退了约左右的银行和企业破产,经济倒退了约左右的银行和企业破产,经济倒退了约左右的银行和企业破产,经济倒退了约20202020年。美国企业为应对经营上的危机,许多大中型企业都在内部设立了保年。美国企业为应对经营上的危机,许多大中型企业都在内部设立了保年。美国企业为应对经营上的
14、危机,许多大中型企业都在内部设立了保年。美国企业为应对经营上的危机,许多大中型企业都在内部设立了保险管理部门,负责安排企业的各种险管理部门,负责安排企业的各种险管理部门,负责安排企业的各种险管理部门,负责安排企业的各种保险保险保险保险项目项目项目项目所属学科:所属学科:所属学科:所属学科:通信科技(一级学科);政策、法规与管理(二级学科)通信科技(一级学科);政策、法规与管理(二级学科)通信科技(一级学科);政策、法规与管理(二级学科)通信科技(一级学科);政策、法规与管理(二级学科)ITITITIT风险管理与分析风险管理与分析风险管理与分析风险管理与分析8.1电子商务安全风险管理的演进电子商
15、务安全风险管理的演进2023/1/16经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理158.1.2 8.1.2 电子商务安全风险管理的现状电子商务安全风险管理的现状企业已对安全风险管理达成共识企业已对安全风险管理达成共识安全风险管理的国际标准和各国规范逐渐形成并趋于完善安全风险管理的国际标准和各国规范逐渐形成并趋于完善利用利用外部专业化机构外部专业化机构进行安全性评估已成为大部分国家的选择进行安全性评估已成为大部分国家的选择国内的权威国内的权威ITIT技术审计机构技术审计机构/信息安全评测机构
16、信息安全评测机构8.1电子商务安全风险管理的演进电子商务安全风险管理的演进2023/1/16经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理168.1电子商务安全风险管理的演进电子商务安全风险管理的演进2023/1/16经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理178.1电子商务安全风险管理的演进电子商务安全风险管理的演进2023/1/16经营者提供商品或者服务有欺诈行为的,应当按照消费者的
17、要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理188.1电子商务安全风险管理的演进电子商务安全风险管理的演进2023/1/16经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理198.1电子商务安全风险管理的演进电子商务安全风险管理的演进2023/1/16经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理208.1电子商务安全风险管理的演进电子商务安全
18、风险管理的演进2023/1/16经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理218.2 电子商务安全风险管理流程电子商务安全风险管理流程8.2.1 8.2.1 安全风险管理中的因素关系安全风险管理中的因素关系8.2.2 8.2.2 风险识别分析风险识别分析8.2.3 8.2.3 风险评估风险评估8.2.4 8.2.4 风险控制和风险接受风险控制和风险接受8.2.5 8.2.5 监控和审计监控和审计2023/1/16经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,
19、增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理228.2电子商务安全风险管理流程电子商务安全风险管理流程8.2.1 8.2.1 安全风险管理中的因素关系安全风险管理中的因素关系2023/1/16有漏洞的电子商务系统一定会出现安全问题吗?受到威胁的电子商务系统一定会出现安全问题吗?No!安全需求信息资产的价值会影响实际风险吗?Yes!No!经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理238.2电子商务安全风险管理流程电子商务安全风险管理流程8.2.1 8.2.1 安全风
20、险管理中的因素关系安全风险管理中的因素关系2023/1/16风险识别分析阶段风险评估阶段风险控制阶段经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理248.2电子商务安全风险管理流程电子商务安全风险管理流程8.2.2 8.2.2 风险识别分析风险识别分析 1.1.风险识别的一般步骤风险识别的一般步骤信息资产的识别与估价信息资产的识别与估价信息资产的识别与估价信息资产的识别与估价 定性方法定性方法定性方法定性方法威胁的识别与评估威胁的识别与评估威胁的识别与评估威胁的识别与评估 分级赋值分级赋值分级
21、赋值分级赋值薄弱点评价薄弱点评价薄弱点评价薄弱点评价2023/1/16定性经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理258.2电子商务安全风险管理流程电子商务安全风险管理流程8.2.2 8.2.2 风险识别分析风险识别分析 2.2.风险识别阶段的常用方法风险识别阶段的常用方法风险分析调查表风险分析调查表风险分析调查表风险分析调查表 分类法分类法分类法分类法资产资产风险分析调查表风险分析调查表1.网络设备网络设备a.网络设备有无专人管理?网络设备有无专人管理?b.有无专门的网络设备维护制度?
22、有无专门的网络设备维护制度?c.网络设备有无备份?网络设备有无备份?d.2.服务器服务器a.服务器有无专门的管理制度?服务器有无专门的管理制度?b.服务器是否有备份?服务器是否有备份?c.服务器内容的访问规则有否?服务器内容的访问规则有否?d.3.数据库数据库a.数据库的更新频率是否符合标准数据库的更新频率是否符合标准b.数据库内容是否备份?数据库内容是否备份?c.企业是否将全部重要信息都集中保存?企业是否将全部重要信息都集中保存?d.4.是否2023/1/16经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子
23、商务安全与管理268.2电子商务安全风险管理流程电子商务安全风险管理流程8.2.2 8.2.2 风险识别分析风险识别分析 2.2.风险识别阶段的常用方法风险识别阶段的常用方法事故树分析法事故树分析法事故树分析法事故树分析法 事故树分析法(事故树分析法(事故树分析法(事故树分析法(Accident Tree AnalysisAccident Tree AnalysisAccident Tree AnalysisAccident Tree Analysis,简,简,简,简称称称称ATAATAATAATA)起源于故障树分析法()起源于故障树分析法()起源于故障树分析法()起源于故障树分析法(Faul
24、t Tree Fault Tree Fault Tree Fault Tree AnalysisAnalysisAnalysisAnalysis,简称,简称,简称,简称FTAFTAFTAFTA),是安全系统工程的重要),是安全系统工程的重要),是安全系统工程的重要),是安全系统工程的重要分析方法之一分析方法之一分析方法之一分析方法之一 属于属于属于属于演绎法演绎法演绎法演绎法:从结果入手,分析原因:从结果入手,分析原因:从结果入手,分析原因:从结果入手,分析原因2023/1/16小知识:你小知识:你知道什么是知道什么是归纳法归纳法吗?吗?经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求
25、增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理278.2电子商务安全风险管理流程电子商务安全风险管理流程 8.2.2 8.2.2 风险识别分析风险识别分析 2.2.风险识别阶段的常用方法风险识别阶段的常用方法事故树分析法事故树分析法事故树分析法事故树分析法 事故树分析法首先由美国贝尔实验室于事故树分析法首先由美国贝尔实验室于事故树分析法首先由美国贝尔实验室于事故树分析法首先由美国贝尔实验室于1961196119611961年年年年为研为研为研为研究究究究民兵式导弹发射控制系统民兵式导弹发射控制系统民兵式导弹发射控制系统民兵式导弹发射控制系统时提出,
26、时提出,时提出,时提出,1974197419741974年年年年美国原美国原美国原美国原子能委员会运用子能委员会运用子能委员会运用子能委员会运用FTAFTAFTAFTA对核电站事故进行了风险评价,对核电站事故进行了风险评价,对核电站事故进行了风险评价,对核电站事故进行了风险评价,发表了著名的发表了著名的发表了著名的发表了著名的拉姆逊报告拉姆逊报告拉姆逊报告拉姆逊报告。该报告对事故树分。该报告对事故树分。该报告对事故树分。该报告对事故树分析作了大规模有效的应用。此后,在社会各界引起析作了大规模有效的应用。此后,在社会各界引起析作了大规模有效的应用。此后,在社会各界引起析作了大规模有效的应用。此后
27、,在社会各界引起了极大的反响,受到了广泛的重视,从而迅速在许了极大的反响,受到了广泛的重视,从而迅速在许了极大的反响,受到了广泛的重视,从而迅速在许了极大的反响,受到了广泛的重视,从而迅速在许多国家和许多企业应用和推广。多国家和许多企业应用和推广。多国家和许多企业应用和推广。多国家和许多企业应用和推广。中国开展事故树分析方法的研究是从中国开展事故树分析方法的研究是从中国开展事故树分析方法的研究是从中国开展事故树分析方法的研究是从1978197819781978年年年年开始的。开始的。开始的。开始的。80808080年代末年代末年代末年代末,铁路运输系统铁路运输系统铁路运输系统铁路运输系统开始把
28、事故树分析方法应开始把事故树分析方法应开始把事故树分析方法应开始把事故树分析方法应用到安全生产和劳动保护上来,也已取得了较好的用到安全生产和劳动保护上来,也已取得了较好的用到安全生产和劳动保护上来,也已取得了较好的用到安全生产和劳动保护上来,也已取得了较好的效果。效果。效果。效果。2023/1/16经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理288.2电子商务安全风险管理流程电子商务安全风险管理流程 8.2.2 8.2.2 风险识别分析风险识别分析 2.2.风险识别阶段的常用方法风险识别阶段
29、的常用方法事故树分析法事故树分析法事故树分析法事故树分析法 事故树由各种符号和其连接的逻辑门组成事故树由各种符号和其连接的逻辑门组成事故树由各种符号和其连接的逻辑门组成事故树由各种符号和其连接的逻辑门组成矩形符号:表示结果事件矩形符号:表示结果事件矩形符号:表示结果事件矩形符号:表示结果事件“机动车追尾机动车追尾机动车追尾机动车追尾”“服务中断服务中断服务中断服务中断”圆形符号:表示基本圆形符号:表示基本圆形符号:表示基本圆形符号:表示基本(原因原因原因原因)事件事件事件事件“酒后开车酒后开车酒后开车酒后开车”“拒绝服务攻击拒绝服务攻击拒绝服务攻击拒绝服务攻击”逻辑门符号:表示与、或、非逻辑门
30、符号:表示与、或、非逻辑门符号:表示与、或、非逻辑门符号:表示与、或、非2023/1/16经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理298.2电子商务安全风险管理流程电子商务安全风险管理流程8.2.2 8.2.2 风险识别分析风险识别分析 2.2.风险识别阶段的常用方法风险识别阶段的常用方法事故树分析法事故树分析法事故树分析法事故树分析法2023/1/16经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商
31、务安全与管理308.2电子商务安全风险管理流程电子商务安全风险管理流程8.2.2 8.2.2 风险识别分析风险识别分析 2.2.风险识别阶段的常用方法风险识别阶段的常用方法事故树分析法事故树分析法事故树分析法事故树分析法病毒攻击病毒攻击服务中断服务中断设备毁坏设备毁坏管理缺陷管理缺陷泄密泄密制度漏洞制度漏洞火灾火灾损失事故损失事故声誉破坏声誉破坏2023/1/16经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理318.2电子商务安全风险管理流程电子商务安全风险管理流程8.2.3 风险评估 风险识
32、别工作结束后,要利用适当的风险测量方法、风险识别工作结束后,要利用适当的风险测量方法、工具确定风险的大小与风险等级,这就是工具确定风险的大小与风险等级,这就是风险评估风险评估过程过程请学习请学习请学习请学习P315 P315 P315 P315 例例例例1 1 1 1,例,例,例,例2 2 2 22023/1/16定量R=R(PT,PV,I)I=VCL经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理328.2电子商务安全风险管理流程电子商务安全风险管理流程8.2.3 风险评估 根据风险计算的结果
33、,可以得到资产风险评估的相对根据风险计算的结果,可以得到资产风险评估的相对优先顺序,将风险划分为不同的等级,优先顺序,将风险划分为不同的等级,风险级别高风险级别高的资产的资产需要需要优先分配资源保护优先分配资源保护2023/1/16例2中哪个子系统将优先分配资源进行保护?电子商务子系统经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理338.2电子商务安全风险管理流程电子商务安全风险管理流程8.2.4 8.2.4 风险控制和风险接受风险控制和风险接受风险控制的基本方法风险控制的基本方法风险控制的基
34、本方法风险控制的基本方法 减少威胁程度减少威胁程度减少威胁程度减少威胁程度 减少薄弱点减少薄弱点减少薄弱点减少薄弱点2023/1/16风险规避风险预防风险分散风险转移经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理348.2电子商务安全风险管理流程电子商务安全风险管理流程8.2.4 8.2.4 风险控制和风险接受风险控制和风险接受风险评估风险接受过程风险评估风险接受过程风险评估风险接受过程风险评估风险接受过程风险评估过程 安全控制措施选择 实施安全控制降低风险 接受残余风险 2023/1/16R
35、r=R0-R,RrRt经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理358.2电子商务安全风险管理流程电子商务安全风险管理流程 8.2.5 8.2.5 监控和审计监控和审计实时监控实时监控实时监控实时监控 网络安全性扫描网络安全性扫描网络安全性扫描网络安全性扫描 系统漏洞扫描系统漏洞扫描系统漏洞扫描系统漏洞扫描 数据库自动扫描数据库自动扫描数据库自动扫描数据库自动扫描 人员操作情况扫描人员操作情况扫描人员操作情况扫描人员操作情况扫描 审计评估审计评估审计评估审计评估 操作系统的审计操作系统的审
36、计操作系统的审计操作系统的审计 应用系统的审计应用系统的审计应用系统的审计应用系统的审计 设备的审计设备的审计设备的审计设备的审计 网络应用的审计网络应用的审计网络应用的审计网络应用的审计专门的审计评估系统的作用专门的审计评估系统的作用专门的审计评估系统的作用专门的审计评估系统的作用2023/1/16反馈经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理368.3 电子商务安全风险管理的整体策略电子商务安全风险管理的整体策略8.3.1 8.3.1 安全风险管理策略应遵循的原则安全风险管理策略应遵循
37、的原则制定前提制定前提 对法律法规要求的依从对法律法规要求的依从 对组织业务要求的依从对组织业务要求的依从 对经济原则的依从对经济原则的依从2023/1/16安全策略具体措施指导方针实施细节经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理378.3.1 8.3.1 安全风险管理策略应遵循的原则安全风险管理策略应遵循的原则1.1.控制论和系统论思想的运用控制论和系统论思想的运用信息方法信息方法信息方法信息方法2023/1/168.3电子商务安全风险管理的整体策略电子商务安全风险管理的整体策略经营者
38、提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理388.3.1 8.3.1 安全风险管理策略应遵循的原则安全风险管理策略应遵循的原则1.1.控制论和系统论思想的运用控制论和系统论思想的运用信息方法信息方法信息方法信息方法反馈方法反馈方法反馈方法反馈方法2.2.借鉴其他领域的风险管理方法借鉴其他领域的风险管理方法目前电子商务安全风险管理方法与传统风险管理方法的差距目前电子商务安全风险管理方法与传统风险管理方法的差距目前电子商务安全风险管理方法与传统风险管理方法的差距目前电子商务安全风险管理方法与传统风险
39、管理方法的差距风险评估矩阵风险评估矩阵风险评估矩阵风险评估矩阵2023/1/168.3电子商务安全风险管理的整体策略电子商务安全风险管理的整体策略经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理392023/1/168.3电子商务安全风险管理的整体策略电子商务安全风险管理的整体策略经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理408.3.1 8.3.1 安全风险管理策略应遵循的原则安全风险管理策
40、略应遵循的原则2.2.借鉴其他领域的风险管理方法借鉴其他领域的风险管理方法目前电子商务安全风险管理方法与传统风险管理方法的差距目前电子商务安全风险管理方法与传统风险管理方法的差距目前电子商务安全风险管理方法与传统风险管理方法的差距目前电子商务安全风险管理方法与传统风险管理方法的差距风险评估矩阵风险评估矩阵风险评估矩阵风险评估矩阵敏感性分析(敏感性分析(敏感性分析(敏感性分析(Sensitivity AnalysisSensitivity AnalysisSensitivity AnalysisSensitivity Analysis)对模型中参数的小变化可能导致的状态变化的研究对模型中参数的小
41、变化可能导致的状态变化的研究对模型中参数的小变化可能导致的状态变化的研究对模型中参数的小变化可能导致的状态变化的研究 若某参数的小幅度变化能导致经济效果指标的较大变化,则称此参若某参数的小幅度变化能导致经济效果指标的较大变化,则称此参若某参数的小幅度变化能导致经济效果指标的较大变化,则称此参若某参数的小幅度变化能导致经济效果指标的较大变化,则称此参数为数为数为数为敏感性因素敏感性因素敏感性因素敏感性因素,反之则称其为,反之则称其为,反之则称其为,反之则称其为非敏感性因素非敏感性因素非敏感性因素非敏感性因素2023/1/168.3电子商务安全风险管理的整体策略电子商务安全风险管理的整体策略经营者
42、提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理412023/1/168.3电子商务安全风险管理的整体策略电子商务安全风险管理的整体策略经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理428.3.1 8.3.1 安全风险管理策略应遵循的原则安全风险管理策略应遵循的原则2.2.借鉴其他领域的风险管理方法借鉴其他领域的风险管理方法目前电子商务安全风险管理方法与传统风险管理方法的差距目前电子商务安全风险管理方
43、法与传统风险管理方法的差距目前电子商务安全风险管理方法与传统风险管理方法的差距目前电子商务安全风险管理方法与传统风险管理方法的差距风险评估矩阵风险评估矩阵风险评估矩阵风险评估矩阵敏感性分析(敏感性分析(敏感性分析(敏感性分析(Sensitivity AnalysisSensitivity AnalysisSensitivity AnalysisSensitivity Analysis)模拟模拟模拟模拟专家打分法专家打分法专家打分法专家打分法经验判断法经验判断法经验判断法经验判断法3.3.融入企业整体风险管理融入企业整体风险管理2023/1/168.3电子商务安全风险管理的整体策略电子商务安全风
44、险管理的整体策略经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理438.3.2 8.3.2 策略的总体框架策略的总体框架在安全风险管理策略系统中技术和管理手段的无缝集成在安全风险管理策略系统中技术和管理手段的无缝集成8.3电子商务安全风险管理的整体策略电子商务安全风险管理的整体策略2023/1/16经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用电子商务安全与管理448.3.2 8.3.2 策略的总体框架策略的总体
45、框架 包括电子商务安全风险控制的企业整体风险控制包括电子商务安全风险控制的企业整体风险控制8.3电子商务安全风险管理的整体策略电子商务安全风险管理的整体策略2023/1/16经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用本章小结电子商务中存在的安全风险电子商务安全风险管理的发展历史以及现状电子商务安全风险管理流程风险识别、风险评估、风险控制与接受电子商务安全风险管理的整体策略系统论、控制论2023/1/16电子商务安全与管理45经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用本章重点电子商务安全风险管理流程及方法(图8-1)2023/1/16电子商务安全与管理46经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用论述题思考P328电子商务安全管理对于企业健康发展的重要意义是什么?2023/1/16电子商务安全与管理47经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用谢谢!