《电子商务安全风险管理的规则、步骤和对策.docx》由会员分享,可在线阅读,更多相关《电子商务安全风险管理的规则、步骤和对策.docx(28页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、电子商务安全风险管理的规则、步骤及对策随着开放的互联网络系统Internet的飞速发展, 电子商务的使用和推广极大了改变了人们工作和生活方 式,带来了无限的商机。然而,电子商务发展所依托的平 台一互联网络却充满了巨大、复杂的安全风险。黑客的攻 击、病毒的肆虐等等都使得电子商务业务很难安全顺利地 开展;止匕外,电子商务的发展还面临着严峻的内部风险,全风险识别和分析。对电子商务安全现状的评估是制定安全风险管理规 则的基础。:俺对信息和资产的评估是指对可能遭受损失的相关信 息和资产进行价值的评估,以便确定相适应的安全风险管 理规则,从而避免投入成本和要保护的信息和资产的严 重 不匹配。安全风险识别要
2、求尽可能地发现潜在的安全风险,应采集有关各种威胁、漏洞、开辟和对策的信息。安全风险分析是确定风险,采集信息,对可能造成 的损失进行评价以估计风险的级别,以便做出明智的决 策,从而采取措施来规避安全风险。(2)开辟和实施阶段该阶段的任务包括风险补救措施开辟、风险补救措 施测试和风险知识学习。风险补救措施开辟利用评估阶段的成果来建立一个新的安全管理策略,其中涉及配置管理、修补程序管理、系统监视和审核等等。:樗在完成对风险补救措施的开辟后,即进行安全风险 补救措施的测试 在测试过程中,将按照安全风险的控制效 果来评估对策的有效性。(3)运行阶段运行阶段的主要任务包括在新的安全风险管理规则 下评估新的
3、安全风险。这个过程实际上是变更管理的过*程,也是执行安全配置管理的过程。运行阶段的第二个任务是对新的或者已更改的对策 进行稳定性测试和部署。这个过程由系统管理、安全管理和 网络管理小组来共同实施。以上风险管理规则的三个阶段可以用下图来表示:图1风险管理规则的三个阶段三、安全风险管理步骤安全风险管理是识别风 险、分析风险并制定风险管理计划的过程。电子商务安全风险的管理和控制方法,它 包括风险识别、风险分析、风险控制以及风险监控等四个爨:(1)风险识别 ill电子商务系统的安全要求是通过对风险的系统评 估 而确认的。为了有效管理电子商务安全风险,识别安全 风 险是风险管理的第一步。风险识别是在采集
4、有关各种威胁、漏洞和相关对策 等信息的基础上,识别各种可能对电子商务系统造成潜在 威胁的安全风险。 顷 廖:.冬风险识别的手段五花八门,对于电子商务系统的安 全来说,风险识别的目标是主要是对电子商务系统的网络 环境风险、数据存在风险和网上支付风险进行识别。需要注意的是,并非所有的电子商务安全风险都可 以通过风险识别来进行管理,风险识别只能发现已知的风 险或者根据已知风险较容易获知的潜在风险。而对于大部份的未知风险,则依赖于风险分析和控制来加以解决或者降 低。随著放的互耳触同络系统Internet的来速彝展,! 子商矜的愿用和推廉趣大瞭改燮瞭人伸工作和生活方式,带来瞭瓢限的商檄。然而,霜子商矜赞
5、展所依托的平 一互耳蜉罔络郤充满瞭巨大、彳复雄的安全黑客的攻擎 病毒的肆虐等等都使得霜子商矜棠矜很It安全J版利地展; 此外,霜子商矜的彝展遢面陶著殿峻的内部凰陂,霜子商 矜企棠内部封安全冏题的盲目和安全意的淡薄,rWjJf令真醇擘寸重子商矜的建作和安全凰除管理重视程度不足,使得企施重子商矜不可避免地畲遇到道棣或者那的凰陂。因此,在考察重子商矜建行璟境、提供重子商B安全解决方案的同畤,有必要重黠者平估重子商矜系统面冏题以及封凰陂有效管理和控制方法。霜子商矜安全凰除管理thldl是封重子商矜系统的安全凰 暹行别、衡量、分析,加在it基磁上翥可能地以最低 的成本和代现翥可能大的安全保障的科擘管理方
6、法。一、霜子商矜面陶的安全谿-还由於幺罔格的彳复雄性和脆弱性,以因特区罔卷主要平耋 的霜子商矜的樊展面陶著殿峻的安全冏堰。普通1 子商矜普遍存在著以下黑偃I安全凰陂:1)信息的截掩和藕取造是指霜子商矜相用户或者外来者未授不瞿通谩 各槿技彳杆手段截狸和藕取他人的文重内容以掩取商渠檄ULJ o2)信息的篡改余罔格攻擎者依靠各槿技秫亍方法和手段器寸傅翰的信息 迤行中途的篡改、删除或者插入,加考菱往目的地,彳他而逵到 破壤信息完整性的目的。3)拒服矜拒服矜是指在一定日寺内,区罔络系统或者服矜器 服 矜系统的作用彻底失效。其主要原因来自黑客和病毒的 攻擎以及言十算檄硬件的熬悬破壤。4)系统资源失藕冏题:
7、窿在东周络系统璟境中,系统资源失藕是常兄的安全威Wo5)信息的假冒信息的假冒是指常攻擎者掌握瞭留罔格信息数撼规 律 或者解密瞭商矜信息彼 可以假冒合法用户或者假冒信息来 电子商务企业内部对安全问题的盲目和安全意识的淡薄, 高层领导对电子商务的运作和安全风险管理重视程度不 足,使得企业实施电子商务不可避免地会遇到这样或者那 样的风险。因此,在考察电子商务运行环境、提供电子商 务ill 安全解决方案的同时,有必要重点评估电子商务系统面临 的风险问题以及对风险有效管理和控制方法。欺印扁其它用户。主要表现形式有假冒客户迤行非法交易,偏造重子垂B件等。6)交易的抵赖 冬交易抵赖包括赞信者事彳爰否熬曾经余
8、至赞送谩某脩信息;做瞭定罩彳爰不承者忍;出的商品因格差而 不承者忍原 先的交易等。二、安全凰除管理规划金十封重子商矜面陶的各槿安全凰陂,霜子商矜企渠不能 被勤、消撷地愿付,而主勤采取措施雉子商矜系统的安全,加盛祝新的威宵和漏洞。因此,it就需要制定完整高效的重子商矜安全囤陂管理规邱J。0项普通安全管理规划的制定遇程有押估、.和施以及JS行三彳固P皆段。二(1)押御皆段变皆段的主要任矜是器寸重子商矜的安全垣状、要保 的信息、各槿资羟等暹行充分的吉平估以及一些基本的安 全凰除别和分析。封重子商矜安全现状的押估是制定安全凰陂管理规 期的基碘。举寸信息和资羟的押估是指封可能遭受损失的相信封信 息和资羟
9、暹行值的FP估,以便碓定相遹鹰的安全管 理规划,优而避免投入成本和要保的信息和资羟的殿 重 不匹配。安全凰别要求翥可能地赞现潜在的安全凰除,Jfi采集有各槿威菁、漏洞、Hit和封策的信息。安全凰陂分析是硅定采集信息,器寸可能造成 的损失迤行言刊贾以估言十凰陂的级别,以便做出明智的决策, 彳他而采取措施来规避安全凰除。,(2)和施隋段皆段的任矜包括凰除衲救措施凰除衲救措 施涓雅式和凰陂知雪。凰除衲救措施利用押估陷段的成果来建立一 他新的安全管理策略,其中涉及配置管理、修祷程序管 理、 系统盛祝典寄核等等。在完成茎寸凰除衲救措施的彳爰,即暹行安全凰除 7甫救措施的胴暗式,在演唁式谩程中,揩按照安全
10、凰陂的控制 效果51a平估封策的有效性。 W. (3)iS行B皆段iM行P皆段的主要任矜包括在新的安全凰除管理规 即下押估新的安全凰1。道彳固谩程上是燮更管理的谩 程,也是轨行安全配置管理的谩程。行喀段的第二彳固任矜是封新的或者已更改的封策 暹行稳定性涓唁式和部署。道彳固谩程由系统管理、安全管理 和幺罔给管理小,且来共同施。:俺以上管理规划的三彳固口皆段可以用下圈来表示: H 1凰除管理规划的三彳固陷段 三、安全管理步骤安全管理是言戢别凰分析制定凰除管 理言十副的遇程。霜子商矜安全凰陂的管理和控制方法,它包括凰别、分析、凰除控制以及签控等四他 方面。(DMFOJ,I霜子商矜系统的安全要求是通遇
11、封的系统押 估而碓熬的。卷瞭有效管理重子商矜安全言戢别安全 凰陂是凰除管理的第一步。别是在采集有各槿威宵、漏洞和相举寸策 等信息的基够上,别各槿可能封重子商矜系统造成潜在威耆的安全凰除。别的手段五花八FE,堂寸於重子商矜系统的安全来叫兑, 别的目襟是主要是茎寸霜子商矜系统的余罔格琪境凰、W 存在凰陂和幺罔上支付凰陂暹行别O需要言主意的是,或非所有的霜子商矜安全都可以通谩 凰除别来迤行管理,别堡能赞现已知的或者根撼已 知敕容易掩知的潜在凰除。而器寸於大部份的未知凰口觥即依 赖於凰除分析和控制来加以解决或者降低。电子商务安全风险管理thldl是对电子商务系统的 安全风险进行识别、衡量、分析,并在这
12、基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理 方法。一、电子商务面临的安全风险:俺由于网络的复杂性和脆弱性,以因特网为主要平台 inB)I 的电子商务的发展面临着严峻的安全问题。普通来说,电子商务普遍存在着以下几个安全风险:1)信息的截获和窃取这是指电子商务相关用户或者外来者未经授权通过各种技术手段截获和窃取他人的文电内容以获取商业机2)信息的篡改:俺网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或者插入,并发往目的地,从而 达 到破坏信息完整性的目的。3)拒绝服务拒绝服务是指在一定时间内,网络系统或者服务器 月艮务系统的作用彻底失效。其主要原因来自黑客和
13、病毒的攻 击以及计算机硬件的认为破坏。4)系统资源失窃问题.他在网络系统环境中,系统资源失窃是常见的安全威 胁。5)信息的假冒信息的假冒是指当攻击者掌握了网络信息数据规 律或者解密了商务信息后,可以假冒合法用户或者假冒信息来欺骗其它用户。主要表现形式有假冒客户进行非法交易, 伪造电子邮件等。6)交易的抵赖,俺交易抵赖包括发信者事后否认曾经发送过某条信 息;买家做了定单后不承认;卖家卖出的商品因价格差而 不承认原先的交易等。二、安全风险管理规则针对电子商务面临的各种安全风险,电子商务企业不能被动、消极地对付,而应该主动采取措施维护电子商务 系统的安全,并监视新的威胁和漏洞。因此,这就需要 制 定完整高效的电子商务安全风险管理规则。普通来说安全风险管理规则的制定过程有评估、开 辟和实施以及运行三个阶段。(1)评估阶段该阶段的主要任务是对电子商务的安全现状、要保 护的信息、各种资产等进行充分的评估以及一些基本的安