第一章電子商務(wù)安全管理概述

目錄1.1電子商務(wù)與電子商務(wù)安全1.2電子商務(wù)安全需求1.3電子商務(wù)安全管理的內(nèi)容

電子商務(wù)與電子商務(wù)安全一、電子商務(wù)概念的界定定義一：國際商會(huì)的定義

電子商務(wù)（E-commerce,EC）是指對(duì)整個(gè)貿(mào)易活動(dòng)實(shí)現(xiàn)電子化。定義二：歐洲議會(huì)的定義

電子商務(wù)是通過電子方式進(jìn)行的商務(wù)活動(dòng)。定義三：聯(lián)合國經(jīng)濟(jì)合作與發(fā)展組織（OECD）的定義

電子商務(wù)是發(fā)生在開放式網(wǎng)絡(luò)上的，包括企業(yè)之間、企業(yè)和消費(fèi)者之間的商務(wù)交易。

電子商務(wù)與電子商務(wù)安全定義四：《電子商務(wù)模式規(guī)范》

電子商務(wù)是基于互聯(lián)網(wǎng)技術(shù)和網(wǎng)絡(luò)通信手段進(jìn)行貨物或服務(wù)交易，并提供相關(guān)服務(wù)的商業(yè)形態(tài)”。定義五：《第三方電子商務(wù)交易平臺(tái)服務(wù)規(guī)范》電子商務(wù)是指交易當(dāng)事人或參與人利用現(xiàn)代信息技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)（包括互聯(lián)網(wǎng)、移動(dòng)網(wǎng)絡(luò)和其他信息網(wǎng)絡(luò)）所進(jìn)行的各類商業(yè)活動(dòng)，包括貨物交易、服務(wù)交易和知識(shí)產(chǎn)權(quán)交易。電子商務(wù)與電子商務(wù)安全定義六：本書使用的電子商務(wù)概念

《電子商務(wù)法》第2條定義的電子商務(wù)，“是指通過互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)銷售商品或者提供服務(wù)的經(jīng)營活動(dòng)。”第2條第2款將下面的服務(wù)排除在（本法所稱的）電子商務(wù)之外，“金融類產(chǎn)品和服務(wù)，利用信息網(wǎng)絡(luò)提供新聞信息、音視頻節(jié)目、出版以及文化產(chǎn)品等內(nèi)容方面的服務(wù)”。

本書認(rèn)為：以信息網(wǎng)絡(luò)為基礎(chǔ)媒介的商品化的物質(zhì)產(chǎn)品、非物質(zhì)服務(wù)和涉及產(chǎn)權(quán)的交易活動(dòng)，全部是電子商務(wù)。電子商務(wù)與電子商務(wù)安全二、安全視角的電子商務(wù)理解1.電子商務(wù)必須追求系統(tǒng)化安全

（1）電子商務(wù)是一個(gè)巨型系統(tǒng)工程（2）電子商務(wù)安全是系統(tǒng)化安全供應(yīng)商客戶制造商分銷商其他伙伴物流商零售商平臺(tái)運(yùn)營商電子商務(wù)與電子商務(wù)安全2.電子商務(wù)必然走向多元協(xié)同治理（1）電子商務(wù)發(fā)展是一個(gè)多元協(xié)同過程（2）電子商務(wù)發(fā)展亟待多元協(xié)同新型治理模式電子商務(wù)與電子商務(wù)安全3.大跨度經(jīng)濟(jì)社會(huì)整體變遷電子商務(wù)風(fēng)險(xiǎn)（1）社會(huì)經(jīng)濟(jì)變遷中的不協(xié)調(diào)衍生風(fēng)險(xiǎn)（2）電子商務(wù)交易模式產(chǎn)生的衍生風(fēng)險(xiǎn)傳統(tǒng)問題加劇：退款問題、商品質(zhì)量、欺詐、售假、疏忽服務(wù)等新問題頻發(fā)：刷單、炒信、個(gè)人信息過渡收集、隱私信息泄露等電子商務(wù)與電子商務(wù)安全三、電子商務(wù)安全及重要性（一）電子商務(wù)安全的定義1.電子商務(wù)安全的界定

安全：國家標(biāo)準(zhǔn)（GB/T28001）對(duì)“安全”的定義是：“免除了不可接受的損害風(fēng)險(xiǎn)的狀態(tài)”。電子商務(wù)安全：通過持續(xù)的電子商務(wù)危險(xiǎn)識(shí)別和風(fēng)險(xiǎn)管理過程，將參與電子商務(wù)全流程的人員傷害或財(cái)產(chǎn)損失的風(fēng)險(xiǎn)降低并保持在可接受的水平或其以下的一種狀態(tài)，即達(dá)到預(yù)期風(fēng)險(xiǎn)水平標(biāo)準(zhǔn)以下的電子商務(wù)運(yùn)行情況的綜合評(píng)價(jià)。電子商務(wù)與電子商務(wù)安全2.電子商務(wù)安全的構(gòu)成（1）交易安全（2）信息網(wǎng)絡(luò)安全（網(wǎng)絡(luò)涉及服務(wù)器、通道、客戶端，信息則包括數(shù)據(jù)、資料、客戶的身份信息和隱私等。（3）信用與法律（4）人員安全（5）物理安全電子商務(wù)與電子商務(wù)安全3.電子商務(wù)安全的外延

廣義的電子商務(wù)安全風(fēng)險(xiǎn)：是指威脅電子商務(wù)安全的各類風(fēng)險(xiǎn),覆蓋電子商務(wù)的整個(gè)流程,涉及電子商務(wù)的全部參與者、各類軟硬件設(shè)施、內(nèi)外部運(yùn)行環(huán)境，包括信息安全風(fēng)險(xiǎn)、交易風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、人員風(fēng)險(xiǎn)等。

狹義的電子商務(wù)安全風(fēng)險(xiǎn)：則主要關(guān)注支撐商業(yè)活動(dòng)或與商業(yè)活動(dòng)有關(guān)的信息安全風(fēng)險(xiǎn)，不包括商業(yè)活動(dòng)本身的風(fēng)險(xiǎn)。電子商務(wù)與電子商務(wù)安全（三）電子商務(wù)安全的重要性1.電子商務(wù)安全是國家整體安全的有機(jī)組成部分2.電子商務(wù)安全是企業(yè)安全的重要組成3.電子商務(wù)安全是消費(fèi)者安全的重要保障目錄1.1電子商務(wù)與電子商務(wù)安全1.2電子商務(wù)安全需求1.3電子商務(wù)安全管理的內(nèi)容電子商務(wù)安全需求一、電子商務(wù)安全要素1.保密性：通常是指只有發(fā)送方和接收方才能訪問信息的內(nèi)容，非授權(quán)人員不能訪問。2.完整性：是防止未授權(quán)信息的生成，防止信息在存儲(chǔ)和傳輸過程中丟失、重復(fù)及非法用戶對(duì)信息的惡意篡改。3.認(rèn)證性：也可稱為真實(shí)性，即通過可靠的認(rèn)證機(jī)制來確保對(duì)方身份和信息來源是真實(shí)的。4.可控性：又稱為訪問權(quán)限的控制，這是一種通過按照事先設(shè)定的規(guī)則確定主體對(duì)客體的訪問模式是否合法的安全機(jī)制，以此來保證系統(tǒng)、數(shù)據(jù)和服務(wù)是由合法人員訪問、保證數(shù)據(jù)的合法使用。電子商務(wù)安全需求5.不可否認(rèn)性：又稱不可抵賴性，是防止通信或交易雙方對(duì)收發(fā)過的信息或業(yè)務(wù)進(jìn)行否認(rèn)。6.可用性：是指保證信息和信息系統(tǒng)在訪問者需要時(shí)可隨時(shí)為授權(quán)者提供服務(wù)，避免服務(wù)的中斷，哪怕是短暫性的。7.匿名性：是確保合法用戶的隱私不被侵犯?？尚判裕菏侵附灰纂p方在交易身份真實(shí)可靠的基礎(chǔ)上，保障其交易行為是可信的。8.合規(guī)合法性：是指電子商務(wù)的各參與方的活動(dòng)符合國家相關(guān)的標(biāo)準(zhǔn)、法律、法規(guī)。電子商務(wù)安全需求二、電子商務(wù)安全現(xiàn)狀分析（一）信息網(wǎng)絡(luò)系統(tǒng)安全1.漏洞的存在是網(wǎng)絡(luò)安全問題總體趨勢(shì)趨于嚴(yán)峻的重要原因之一2.我國互聯(lián)網(wǎng)面臨的攻擊威脅尤為嚴(yán)重3.網(wǎng)站數(shù)據(jù)和個(gè)人信息泄露屢見不鮮，“衍生災(zāi)害”嚴(yán)重4.移動(dòng)互聯(lián)網(wǎng)惡意程序趨利性更加明確，移動(dòng)互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈已經(jīng)成熟5.敲詐勒索軟件肆虐，嚴(yán)重威脅本地?cái)?shù)據(jù)和智能設(shè)備安全電子商務(wù)安全需求（二）電子商務(wù)安全

傳統(tǒng)商務(wù)安全+新型商務(wù)安全（三）電子商務(wù)安全問題產(chǎn)生的原因1.安全基礎(chǔ)設(shè)施和安全技術(shù)缺乏2.電子商務(wù)安全體系結(jié)構(gòu)不完善（1）電子商務(wù)安全體系構(gòu)成比例不合理（2）電子商務(wù)安全體系未有效涵蓋網(wǎng)絡(luò)經(jīng)濟(jì)的結(jié)構(gòu)3.電子商務(wù)治理思維與模式不匹配（1）重安全技術(shù)輕安全管理（2）未由單一行政管理向多元治理轉(zhuǎn)變4.電子商務(wù)安全基礎(chǔ)環(huán)境不健全電子商務(wù)安全需求四、電子商務(wù)邏輯層次和安全需求（一）運(yùn)行角度安全需求交易層支付層網(wǎng)絡(luò)層

認(rèn)證性可控性保密性完整性不可否認(rèn)性合規(guī)合法性

保密性匿名性認(rèn)證性實(shí)時(shí)性不可否認(rèn)性合規(guī)合法性

可信性保密性完整性可用性不可否認(rèn)性合規(guī)合法性可用性電子商務(wù)安全需求（二）參與主體安全需求安全需求消費(fèi)者角度商家角度保密性我的信息沒有被我指定的接收方之外的其他非授權(quán)者讀取信息或機(jī)密數(shù)據(jù)不能被非授權(quán)者讀取完整性我發(fā)出或接收的信息沒有被篡改或重放信息系統(tǒng)或網(wǎng)站上的數(shù)據(jù)沒有被未授權(quán)者生成、修改或刪除，信息被安全的存儲(chǔ)和傳輸認(rèn)證性確保和我交易的人或商家就是他所聲稱的那個(gè)確保消費(fèi)者的真實(shí)身份可控性我怎樣獲得訪問該網(wǎng)站的權(quán)利，我具有哪些權(quán)利，我需控制個(gè)人信息的使用保證信息系統(tǒng)或網(wǎng)站正常運(yùn)營，保證授權(quán)用戶對(duì)系統(tǒng)資源和服務(wù)的使用，對(duì)用戶個(gè)人信息和數(shù)據(jù)的搜集和使用應(yīng)控制在合理范圍內(nèi)不可否認(rèn)性和我交易的對(duì)方不能否認(rèn)曾經(jīng)進(jìn)行過的交易消費(fèi)者不能否認(rèn)曾經(jīng)訂購過產(chǎn)品，交易對(duì)方不能否認(rèn)發(fā)生的交易可用性在我需要使用電子商務(wù)網(wǎng)站或平臺(tái)時(shí)，隨時(shí)都可以使用保證隨時(shí)可以為用戶提供所需的信息或服務(wù)匿名性我的信息不被泄露，我的交易不能被跟蹤確保交易的匿名性，不可跟蹤性，確保合法用戶的隱私權(quán)可信性無不良消費(fèi)記錄，沒有惡意評(píng)價(jià)信譽(yù)度好，商品無質(zhì)量問題，提供的服務(wù)與承諾的一致，無刷單、炒信行為合規(guī)合法性消費(fèi)行為符合相關(guān)的法律法規(guī)依照國家的相關(guān)法律法規(guī)生產(chǎn)和經(jīng)營，采取有效措施保護(hù)平臺(tái)或信息的安全電子商務(wù)安全需求（二）參與主體安全需求安全需求政府安全需求分析保密性信息或機(jī)密數(shù)據(jù)的合法上傳、讀取和傳輸完整性信息被安全的存儲(chǔ)和傳輸，傳輸系統(tǒng)未受到嚴(yán)重篡改認(rèn)證性確保參與各主體的真實(shí)合法身份可控性保證信息系統(tǒng)正常運(yùn)營，對(duì)用戶個(gè)人信息和數(shù)據(jù)的搜集和使用合法不可否認(rèn)性交易雙方不能否認(rèn)發(fā)生的交易可用性保證系統(tǒng)安全，可以適時(shí)為用戶提供所需的信息或服務(wù)匿名性確保交易的不可跟蹤性，確保合法隱私權(quán)可信性用于交易的網(wǎng)絡(luò)系統(tǒng)符合國家等級(jí)保護(hù)等相關(guān)標(biāo)準(zhǔn)。參與各方均應(yīng)尊重愛護(hù)自身信譽(yù)，無失信行為合規(guī)合法性遵照國家法律法規(guī)，無不良政治企圖，無違反社會(huì)公訓(xùn)良俗的行為目錄1.1電子商務(wù)與電子商務(wù)安全1.2電子商務(wù)安全需求1.3電子商務(wù)安全管理的內(nèi)容電子商務(wù)安全管理的內(nèi)容一、電子商務(wù)安全管理的內(nèi)涵1.管理：是整合資源達(dá)到組織的目標(biāo)的活動(dòng)，主要包括計(jì)劃、組織、協(xié)調(diào)、指揮、控制諸環(huán)節(jié)或不同的手段、方式。2.電子商務(wù)安全管理：是電子商務(wù)的安全管理，不等于電子商務(wù)企業(yè)的安全管理。電子商務(wù)安全管理是電子商務(wù)企業(yè)安全管理的一部分而非全部。電子商務(wù)安全管理的內(nèi)容二、電子商務(wù)安全管理體系結(jié)構(gòu)1.計(jì)劃2.資源與組織3.信息與網(wǎng)絡(luò)安全4.交易安全5.信用安全6.人員安全7.優(yōu)化與創(chuàng)新電子商務(wù)安全管理的內(nèi)容三、安全管理手段（一）技術(shù)手段第一，交易伙伴的真實(shí)性問題：身份認(rèn)證技術(shù)與PKI技術(shù)。第二，電子單證的機(jī)密性問題：數(shù)據(jù)加解密、密鑰管理。第三，電子單證丟失問題：為單證分配序列號(hào)，數(shù)字時(shí)間戳來或其它方式進(jìn)行確認(rèn)，如特定的確認(rèn)報(bào)文、電子郵件、電話等。第四，電子單證的完整性問題：消息摘要來解決第五，電子單證的真實(shí)性問題：數(shù)字簽名第六，交易的否認(rèn)或抵賴問題：CA認(rèn)證、數(shù)字時(shí)間戳除以上技術(shù)外，還需要網(wǎng)絡(luò)安全技術(shù)，如防火墻技術(shù)、入侵檢測(cè)技術(shù)、虛擬專用網(wǎng)技術(shù)等；系統(tǒng)和應(yīng)用安全技術(shù)，如操作系統(tǒng)安全、數(shù)據(jù)庫安全、Web安全、電子郵件安全等；云安全技術(shù)等。電子商務(wù)安全管理的內(nèi)容（二）管理手段1.管理組織

安全管理組織按層次可分為國際組織、國家組織、企業(yè)組織。國際組織包括國際化組織、國家機(jī)構(gòu)、企業(yè)集團(tuán)，企業(yè)組織主要指企業(yè)的安全部門或安全人員等。（1）制定安全標(biāo)準(zhǔn)的組織

（2）我國的安全管理組織（3）企業(yè)安全管理組織電子商務(wù)安全管理的內(nèi)容2.安全管理措施

安全管理措施主要包括組織的管理規(guī)章制度、與電子商務(wù)安全相關(guān)的行業(yè)標(biāo)準(zhǔn)、國家法律法規(guī)、政策等。電子商務(wù)是基于計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行的商務(wù)活動(dòng)，計(jì)算機(jī)信息安全管理制度是企業(yè)管理規(guī)章制度的重要組成部分。對(duì)電子商務(wù)交易過程，包括營銷、銷售、售后等應(yīng)制定相應(yīng)的管理制度。電子商務(wù)的各個(gè)環(huán)節(jié)都需要人來完成，因此需要制定比較完善的人員管理制度。與電子商務(wù)安全相關(guān)的行業(yè)標(biāo)準(zhǔn)、國家法律法規(guī)、政策等。電子商務(wù)安全管理的內(nèi)容四、課程定位1.電子商務(wù)安全管理的目的

能夠準(zhǔn)確識(shí)別電子商務(wù)安全風(fēng)險(xiǎn)、正確的評(píng)估不同風(fēng)險(xiǎn)對(duì)企業(yè)造成損失的嚴(yán)重程度，運(yùn)用管理的理論與方法，有效的將技術(shù)性措施、規(guī)范性措施等運(yùn)用到風(fēng)險(xiǎn)控制的過程中，最大限度的降低電子商務(wù)風(fēng)險(xiǎn)發(fā)生的可能性，從而使電子商務(wù)相關(guān)企業(yè)因風(fēng)險(xiǎn)發(fā)生而遭受的損失降到最低。2.定位

電子商務(wù)安全管理學(xué)是研究如何使電子商務(wù)處于安全狀態(tài)的管理學(xué)科，電子商務(wù)安全管理課程定位應(yīng)是管理學(xué)。第二章電子商務(wù)安全管理計(jì)劃

2.1電子商務(wù)安全管理計(jì)劃的概念2.2電子商務(wù)安全管理計(jì)劃的要素與類型2.3電子商務(wù)安全管理計(jì)劃的編制與優(yōu)化2.4電子商務(wù)安全管理應(yīng)急計(jì)劃目錄電子商務(wù)安全管理計(jì)劃的概念一、計(jì)劃的概念

計(jì)劃是組織根據(jù)自身需求和特點(diǎn)確定在一定時(shí)間內(nèi)達(dá)到的目標(biāo)，并通過協(xié)調(diào)組織各類資源進(jìn)行計(jì)劃編制、執(zhí)行和監(jiān)督以實(shí)現(xiàn)預(yù)期目標(biāo)的過程。二、安全管理計(jì)劃的概念

安全管理計(jì)劃是將安全管理決策者確定的安全管理目標(biāo)具體化，并在協(xié)調(diào)安全管理系統(tǒng)外部環(huán)境、內(nèi)部條件和決策目標(biāo)三者動(dòng)態(tài)上平衡的基礎(chǔ)上，實(shí)現(xiàn)安全管理決策所確定的各項(xiàng)安全目標(biāo)的過程。電子商務(wù)安全管理計(jì)劃的概念三、電子商務(wù)安全管理計(jì)劃的概念

電子商務(wù)安全管理計(jì)劃是電子商務(wù)安全管理者通過編制、執(zhí)行、監(jiān)督等方式，統(tǒng)籌協(xié)調(diào)相關(guān)資源以達(dá)到預(yù)期安全目標(biāo)的過程。。1.狹義的電子商務(wù)安全管理計(jì)劃：指電子商務(wù)企業(yè)在開展電子商務(wù)活動(dòng)的過程中制訂和實(shí)施的安全管理計(jì)劃。2.廣義的電子商務(wù)安全管理計(jì)劃：指電子商務(wù)企業(yè)及相關(guān)行業(yè)、政府、部門等制訂和實(shí)施的安全管理計(jì)劃。2.1電子商務(wù)安全管理計(jì)劃的概念2.2電子商務(wù)安全管理計(jì)劃的要素與類型2.3電子商務(wù)安全管理計(jì)劃的編制與優(yōu)化2.4電子商務(wù)安全管理應(yīng)急計(jì)劃目錄電子商務(wù)安全計(jì)劃的要素與類型一、電子商務(wù)安全管理計(jì)劃的要素1.電子商務(wù)安全管理目標(biāo)2.電子商務(wù)安全管理措施和方法3.電子商務(wù)安全管理步驟電子商務(wù)安全計(jì)劃的要素與類型二、電子商務(wù)安全管理計(jì)劃的類型1.按照期限劃分

長期計(jì)劃、中期計(jì)劃和短期計(jì)劃2.按照組織層次劃分

高層計(jì)劃、中層計(jì)劃和基層計(jì)劃3.按照管理控制程度劃分

指令性計(jì)劃、指導(dǎo)性計(jì)劃2.1電子商務(wù)安全管理計(jì)劃的概念2.2電子商務(wù)安全管理計(jì)劃的要素與類型2.3電子商務(wù)安全管理計(jì)劃的編制與優(yōu)化2.4電子商務(wù)安全管理應(yīng)急計(jì)劃目錄電子商務(wù)安全管理的編制和優(yōu)化一、電子商務(wù)安全管理計(jì)劃的編制1.編制原則（1）科學(xué)性原則（2）系統(tǒng)性原則（3）切實(shí)可行原則電子商務(wù)安全管理的編制和優(yōu)化2.編制程序（1）調(diào)查研究，為計(jì)劃編制提供依據(jù)（2）安全預(yù)測(cè)（3）擬定計(jì)劃方案（4）評(píng)價(jià)和選擇方案電子商務(wù)安全管理的編制和優(yōu)化二、電子商務(wù)安全管理計(jì)劃的優(yōu)化1.電子商務(wù)安全管理計(jì)劃的檢查（1）檢查計(jì)劃是否得以順利實(shí)施（2）檢查計(jì)劃編制是否符合客觀實(shí)際（3）檢查貫穿計(jì)劃執(zhí)行全過程2.電子商務(wù)安全管理計(jì)劃的優(yōu)化2.1電子商務(wù)安全管理計(jì)劃的概念2.2電子商務(wù)安全管理計(jì)劃的要素與類型2.3電子商務(wù)安全管理計(jì)劃的編制與優(yōu)化2.4電子商務(wù)安全管理應(yīng)急計(jì)劃目錄電子商務(wù)安全管理應(yīng)急計(jì)劃一、電子商務(wù)安全管理應(yīng)急計(jì)劃概述1.應(yīng)急計(jì)劃的概念

應(yīng)急計(jì)劃是組織為處理意外事件做準(zhǔn)備的全部過程。應(yīng)急計(jì)劃實(shí)際上是一個(gè)工作程序，用來對(duì)危害組織資產(chǎn)安全和資源安全的事件做準(zhǔn)備，以應(yīng)對(duì)由自然因素和人為因素引起的安全事件。應(yīng)急計(jì)劃的目標(biāo)是在意外事件發(fā)生后，使組織的業(yè)務(wù)在遭受最小損失和破壞的情況下，恢復(fù)到可接受的運(yùn)行狀態(tài)。電子商務(wù)安全管理應(yīng)急計(jì)劃2.應(yīng)急計(jì)劃的組成

應(yīng)急計(jì)劃由應(yīng)急響應(yīng)計(jì)劃、業(yè)務(wù)連續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃組成。

應(yīng)急響應(yīng)計(jì)劃，是指當(dāng)一個(gè)由自然因素或人為因素引起的意外事件，給組織造成實(shí)際損害或損壞，但其嚴(yán)重程度沒有達(dá)到災(zāi)難性程度時(shí)，通常把這樣的事件當(dāng)成事故來處理，啟動(dòng)應(yīng)急響應(yīng)計(jì)劃。

電子商務(wù)安全管理應(yīng)急計(jì)劃

當(dāng)一個(gè)意外事件（事故）發(fā)生時(shí)，如果組織不能抑制或控制事件造成的影響，或者事件導(dǎo)致主要設(shè)施的損害和破壞非常嚴(yán)重，使得組織不能夠迅速從中恢復(fù)，則將該事件確定為災(zāi)難性事件，通常同時(shí)啟動(dòng)災(zāi)難恢復(fù)計(jì)劃和業(yè)務(wù)連續(xù)性計(jì)劃。

業(yè)務(wù)連續(xù)性計(jì)劃是確保災(zāi)難發(fā)生時(shí)關(guān)鍵業(yè)務(wù)得以持續(xù)。電子商務(wù)安全管理應(yīng)急計(jì)劃二、電子商務(wù)安全管理應(yīng)急響應(yīng)計(jì)劃的制訂1.應(yīng)急響應(yīng)計(jì)劃的準(zhǔn)備（1）風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估是指確定信息系統(tǒng)的資產(chǎn)價(jià)值，識(shí)別信息系統(tǒng)面臨的威脅以及信息系統(tǒng)的脆弱性，分析各種威脅發(fā)生的可能性。（2）業(yè)務(wù)影響分析業(yè)務(wù)影響分析（businessimpactanalysis，BIA）是指在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，分析各種信息安全事件可能對(duì)業(yè)務(wù)功能產(chǎn)生的影響，進(jìn)而確定應(yīng)急響應(yīng)的恢復(fù)目標(biāo)。電子商務(wù)安全管理應(yīng)急計(jì)劃（3）應(yīng)急響應(yīng)策略的制訂

第一，確定系統(tǒng)恢復(fù)能力的等級(jí)基本支持、備用場(chǎng)地支持、電子傳輸及部分設(shè)備支持、電子傳輸及完整設(shè)備支持、實(shí)時(shí)數(shù)據(jù)傳輸及完整設(shè)備支持、數(shù)據(jù)零丟失及遠(yuǎn)程集群支持

第二，系統(tǒng)恢復(fù)資源要求數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)處理系統(tǒng)、備用網(wǎng)絡(luò)系統(tǒng)、備用基礎(chǔ)設(shè)施、技術(shù)支持能力、運(yùn)行維護(hù)管理能力、系統(tǒng)恢復(fù)預(yù)案

第三，費(fèi)用考慮。電子商務(wù)安全管理應(yīng)急計(jì)劃2.應(yīng)急響應(yīng)計(jì)劃的編制（1）總則（2）角色及職責(zé)提供建議支持應(yīng)急響應(yīng)實(shí)施小組應(yīng)急響應(yīng)技術(shù)保障小組應(yīng)急響應(yīng)專家小組信息反饋協(xié)助應(yīng)急實(shí)施應(yīng)急響應(yīng)計(jì)劃協(xié)助應(yīng)急應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組組織外信息通報(bào)外部組織或機(jī)構(gòu)提供建議咨詢上級(jí)有關(guān)單位或部門信息上報(bào)應(yīng)急響應(yīng)日常運(yùn)行小組電子商務(wù)安全管理應(yīng)急計(jì)劃（3）預(yù)防和預(yù)警機(jī)制

一方面，組織應(yīng)進(jìn)行信息監(jiān)測(cè)和報(bào)告。

另一方面，組織應(yīng)積極推行信息安全等級(jí)保護(hù)制度，在建設(shè)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)時(shí)還要充分考慮抗毀性與災(zāi)難恢復(fù)機(jī)制。（4）應(yīng)急響應(yīng)流程①信息安全事件通告。信息安全事件通告包括信息通報(bào)、信息上報(bào)和信息披露三個(gè)部分。信息通報(bào)是“橫向”通報(bào)。電子商務(wù)安全管理應(yīng)急計(jì)劃②事件分類與分級(jí)。信息安全事件發(fā)生后，應(yīng)急響應(yīng)日常運(yùn)行小組對(duì)信息安全事件進(jìn)行評(píng)估，確定信息安全事件的類別。

信息安全事件可以是故意、過失或非人為原因引起的。它分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件七個(gè)基本類別。

信息安全事件的分級(jí)主要考慮三個(gè)要素，即信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響。信息系統(tǒng)的重要程度主要根據(jù)信息系統(tǒng)所承載的業(yè)務(wù)對(duì)國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活的重要性以及機(jī)構(gòu)業(yè)務(wù)對(duì)信息系統(tǒng)的依賴程度來確定。電子商務(wù)安全管理應(yīng)急計(jì)劃

可將信息安全事件劃分為四個(gè)級(jí)別：特別重大事件（Ⅰ）、重大事件（Ⅱ）、較大事件（Ⅲ）和一般事件（Ⅳ）。

Ⅳ級(jí)事件屬于日常運(yùn)行維護(hù)服務(wù)范疇，Ⅲ級(jí)事件由日常運(yùn)行維護(hù)人員處理，但需要告知應(yīng)急響應(yīng)有關(guān)人員，Ⅱ級(jí)事件和Ⅰ級(jí)事件屬于應(yīng)急響應(yīng)事件，事件從Ⅳ級(jí)升級(jí)到Ⅲ級(jí)時(shí)，由運(yùn)行維護(hù)人員及時(shí)通知應(yīng)急響應(yīng)小組并啟動(dòng)應(yīng)急響應(yīng)計(jì)劃。

信息安全事件應(yīng)急等級(jí)表如下：電子商務(wù)安全管理應(yīng)急計(jì)劃應(yīng)急響應(yīng)等級(jí)內(nèi)容描述Ⅰ級(jí)事件現(xiàn)有的系統(tǒng)停機(jī)，或遭到嚴(yán)重攻擊行為或安全事件，或?qū)?shù)據(jù)中心的業(yè)務(wù)運(yùn)作有重大影響，持續(xù)時(shí)間小于4h的事件；持續(xù)時(shí)間超過4h的事件則升級(jí)到重大責(zé)任事故Ⅱ級(jí)事件現(xiàn)有系統(tǒng)的操作性能嚴(yán)重降低，或網(wǎng)絡(luò)性能失?；虬踩录?yán)重影響數(shù)據(jù)中心業(yè)務(wù)運(yùn)作，持續(xù)時(shí)間小于8h的事件；持續(xù)時(shí)間超過8h的事件則升級(jí)到Ⅰ級(jí)事件Ⅲ級(jí)事件系統(tǒng)的操作性能受損，信息安全事件（如病毒）在小范圍內(nèi)發(fā)作，但大部分業(yè)務(wù)運(yùn)作仍可正常工作，持續(xù)時(shí)間小于8h的事件；持續(xù)時(shí)間超過8h的事件則升級(jí)到Ⅱ級(jí)事件Ⅳ級(jí)事件需要服務(wù)器、存儲(chǔ)設(shè)備、安全設(shè)備的功能、安裝或配置等方面的信息咨詢或技術(shù)支持。本級(jí)事件對(duì)數(shù)據(jù)中心的業(yè)務(wù)運(yùn)作幾乎無影響，或根本沒有影響，持續(xù)時(shí)間小于4h；持續(xù)時(shí)間超過4h的事件則升級(jí)到Ⅲ級(jí)事件電子商務(wù)安全管理應(yīng)急計(jì)劃③啟動(dòng)應(yīng)急響應(yīng)計(jì)劃。應(yīng)急計(jì)劃的啟動(dòng)將使組織進(jìn)入應(yīng)急狀態(tài)。在啟動(dòng)應(yīng)急響應(yīng)計(jì)劃時(shí)應(yīng)遵循三個(gè)規(guī)則，即啟動(dòng)原則、啟動(dòng)依據(jù)、啟動(dòng)方法。

啟動(dòng)原則：啟動(dòng)應(yīng)急響應(yīng)計(jì)劃要快速、有序，即應(yīng)急響應(yīng)計(jì)劃啟動(dòng)的通知、人員到位、事件處理、外協(xié)單位（如應(yīng)急設(shè)備供應(yīng)商）進(jìn)場(chǎng)等應(yīng)按照應(yīng)急響應(yīng)流程有條不紊地展開。

啟動(dòng)依據(jù)：對(duì)于導(dǎo)致業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等突發(fā)/重大信息安全事件應(yīng)立即啟動(dòng)應(yīng)急響應(yīng)計(jì)劃。

啟動(dòng)方法：由應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組發(fā)布應(yīng)急響應(yīng)計(jì)劃啟動(dòng)命令。電子商務(wù)安全管理應(yīng)急計(jì)劃④應(yīng)急處置。應(yīng)急處置包括恢復(fù)順序、恢復(fù)任務(wù)、恢復(fù)流程。啟動(dòng)應(yīng)急響應(yīng)計(jì)劃后，在確定已有效控制信息安全事件影響后，開始實(shí)施恢復(fù)操作。

恢復(fù)順序就是業(yè)務(wù)影響分析中確定的系統(tǒng)恢復(fù)優(yōu)先級(jí)。

恢復(fù)規(guī)程是為了進(jìn)行恢復(fù)操作，應(yīng)急響應(yīng)計(jì)劃應(yīng)提供恢復(fù)業(yè)務(wù)能力的詳細(xì)規(guī)程?；謴?fù)規(guī)程應(yīng)事先將這些任務(wù)分配給適當(dāng)?shù)幕謴?fù)小組。

應(yīng)根據(jù)恢復(fù)任務(wù)整理出分解給各個(gè)應(yīng)急小組的恢復(fù)流程，恢復(fù)流程不能忽略恢復(fù)規(guī)程中的步驟，并且應(yīng)在應(yīng)急演練中不斷完善。電子商務(wù)安全管理應(yīng)急計(jì)劃⑤后期處置。后期處置包括信息系統(tǒng)重建、應(yīng)急響應(yīng)總結(jié)/事故總結(jié)。

信息系統(tǒng)重建的步驟如下：首先，通過收集各種數(shù)據(jù)，并對(duì)其進(jìn)行統(tǒng)計(jì)分析，查明事故原因。例如，系統(tǒng)日志、入侵檢測(cè)日志、配置日志和其他的文檔提供了損害的類型、范圍和程度等信息。組織應(yīng)指定專人或?qū)I(yè)機(jī)構(gòu)妥善保管各種電子文檔。

其次，對(duì)信息安全事件造成的損失和影響以及恢復(fù)重建能力進(jìn)行分析評(píng)估。再次，認(rèn)真制訂重建計(jì)劃，迅速組織實(shí)施信息系統(tǒng)的重建工作。最后，在重建工作完成后，對(duì)所采取的措施要進(jìn)行風(fēng)險(xiǎn)評(píng)估，為下一次“戰(zhàn)時(shí)狀態(tài)”做好準(zhǔn)備。電子商務(wù)安全管理應(yīng)急計(jì)劃⑥應(yīng)急響應(yīng)總結(jié)。應(yīng)急響應(yīng)總結(jié)的主要工作包括：分析和總結(jié)事件發(fā)生的原因及現(xiàn)象；評(píng)估系統(tǒng)的損害程度及損失；分析和總結(jié)應(yīng)急處置記錄；評(píng)估應(yīng)急響應(yīng)措施的效果和效率，并提出改進(jìn)建議；評(píng)估應(yīng)急響應(yīng)計(jì)劃的效果和效率，并提出改進(jìn)建議。（5）應(yīng)急響應(yīng)保障措施①人力保障②物質(zhì)保障③技術(shù)保障（6）附件

附件提供了應(yīng)急響應(yīng)計(jì)劃主體不包含的關(guān)鍵細(xì)節(jié)。電子商務(wù)安全管理應(yīng)急計(jì)劃3.應(yīng)急響應(yīng)計(jì)劃的實(shí)踐（1）應(yīng)急響應(yīng)計(jì)劃的測(cè)試、培訓(xùn)和演練（2）信息安全應(yīng)急響應(yīng)計(jì)劃文檔的保存、分發(fā)與維護(hù)①保存與分發(fā)②維護(hù)電子商務(wù)安全管理應(yīng)急計(jì)劃三、電子商務(wù)安全管理業(yè)務(wù)連續(xù)性計(jì)劃/災(zāi)難恢復(fù)計(jì)劃的制訂制訂主要包括準(zhǔn)備、編制和實(shí)踐三個(gè)階段1.業(yè)務(wù)連續(xù)性計(jì)劃/災(zāi)難恢復(fù)計(jì)劃的準(zhǔn)備（1）風(fēng)險(xiǎn)評(píng)估（2）業(yè)務(wù)影響分析（3）恢復(fù)策略的制訂①預(yù)防策略②響應(yīng)策略③業(yè)務(wù)接續(xù)策略電子商務(wù)安全管理應(yīng)急計(jì)劃④業(yè)務(wù)恢復(fù)策略⑤復(fù)原策略2.業(yè)務(wù)連續(xù)性計(jì)劃/災(zāi)難恢復(fù)計(jì)劃的編制（1）項(xiàng)目初始化（2）業(yè)務(wù)持續(xù)性/災(zāi)難恢復(fù)策略實(shí)施（3）業(yè)務(wù)連續(xù)性計(jì)劃/災(zāi)難恢復(fù)計(jì)劃開發(fā)（4）培訓(xùn)（5）測(cè)試與維護(hù)第三章電子商務(wù)安全管理資源與組織3.1電子商務(wù)安全管理資源與組織概述3.2電子商務(wù)安全管理資源3.3電子商務(wù)安全管理組織目錄58電子商務(wù)安全管理資源與組織概述一、電子商務(wù)安全管理資源的定義與分類1.電子商務(wù)安全管理資源的定義

電子商務(wù)安全管理資源是組織實(shí)現(xiàn)電子商務(wù)安全管理目標(biāo)及開展相關(guān)活動(dòng)所必不可少的資源支撐。2.電子商務(wù)安全管理資源的分類（1）依據(jù)資源的功能分

人力資源、金融資源、物質(zhì)資源、信息資源、關(guān)系資源（2）依據(jù)資源的來源分

內(nèi)部資源、外部資源電子商務(wù)安全管理資源與組織概述（3）依據(jù)資源的表現(xiàn)形態(tài)分有形資源、無形資源二、電子商務(wù)安全管理組織的含義與作用1.電子商務(wù)安全管理組織的含義

組織有兩種含義，一個(gè)是名詞，一個(gè)是動(dòng)詞。一方面，組織是人們?yōu)槟骋荒繕?biāo)形成的群體，是確保人們社會(huì)活動(dòng)正常進(jìn)行，達(dá)到預(yù)期目標(biāo)的體系。另一方面，組織是管理的一大職能，是人與人之間或人與物之間資源配置的活動(dòng)過程。

電子商務(wù)安全管理組織也具有這兩方面的含義，一方面表現(xiàn)在安全管理組織機(jī)構(gòu)的設(shè)立，另一方面體現(xiàn)在它是安全管理職能之一。電子商務(wù)安全管理資源與組織概述2.電子商務(wù)安全管理組織的作用（1）力量匯聚（2）力量放大（3）個(gè)人與組織之間的交換三、電子商務(wù)安全管理資源與組織的關(guān)系1.資源是組織賴以生存和發(fā)展的基礎(chǔ)2.組織通過管理活動(dòng)實(shí)現(xiàn)資源配置和使用3.二者相互影響，相輔相成3.1電子商務(wù)安全管理資源與組織概述3.2電子商務(wù)安全管理資源3.3電子商務(wù)安全管理組織目錄62電子商務(wù)安全管理資源一、電子商務(wù)安全管理資源概述1.電子商務(wù)安全管理資源的構(gòu)成（1）人力資源（2）技術(shù)資源（3）金融資源（4）信息資源（5）文化資源電子商務(wù)安全管理資源2.電子商務(wù)安全管理資源的有限性（1）組織總體資源的有限性

每個(gè)組織擁有的資源在數(shù)量、質(zhì)量、種類上盡管不同，但總體上一定是有限的。（2）組織資源的不對(duì)等性

組織有限的安全管理資源與組織可調(diào)用的安全管理資源可能不是對(duì)等的。組織可調(diào)用的資源可能大于擁有的資源，也可能小于自己擁有的資源。（3）組織資源的配置需求

組織資源的有限性，需要通過一些活動(dòng)或工作對(duì)有限的資源進(jìn)行安排，以達(dá)到在投入資源既定約束下產(chǎn)出最大，或在產(chǎn)出既定的條件下投入資源最小電子商務(wù)安全管理資源二、電子商務(wù)安全管理資源的配置1.安全管理資源配置概念

安全管理資源配置是指對(duì)有限的不同類型的資源，根據(jù)組織安全管理目標(biāo)，在量、質(zhì)等方面進(jìn)行不同的配比，并使之在產(chǎn)出過程中始終保持相應(yīng)的比例。2.安全管理資源的配置機(jī)制

安全管理組織內(nèi)的資源配置通常依賴行政機(jī)制。配置資源的行政機(jī)制主要指利用科層制行政機(jī)構(gòu)，通過命令、執(zhí)行、檢查監(jiān)督等手段保證資源配置的有效性。電子商務(wù)安全管理資源3.人員的配置（1）人員配置的原則因事?lián)袢说脑瓌t因才使用原則人事動(dòng)態(tài)平衡的原則（2）確定人員類型和需要量

人員配備是在組織設(shè)計(jì)上的進(jìn)行的。根據(jù)行業(yè)的不同，設(shè)置的安全部門、崗位和配備人員的類型和數(shù)量都不同。電子商務(wù)安全管理資源（3）選配人員

為保證擔(dān)任職務(wù)的人員具備職務(wù)要求的知識(shí)和技能，必須對(duì)組織內(nèi)外的候選人進(jìn)行篩選，做出最恰當(dāng)?shù)倪x擇。（4）制定和實(shí)施人員培訓(xùn)計(jì)劃

人的發(fā)展有一個(gè)過程。組織成員在今后的工作中表現(xiàn)出的技術(shù)和能力需要給予一定的培訓(xùn)。4.項(xiàng)目管理中的資源配置（1）資源配置方法

關(guān)鍵路徑法（CPM）

關(guān)鍵鏈法電子商務(wù)安全管理資源

資源平衡法（2）資源配置策略

確定項(xiàng)目各個(gè)環(huán)節(jié)的優(yōu)先級(jí)

項(xiàng)目工作分解

分析資源約束

任務(wù)排序（3）多項(xiàng)目資源配置模型工期評(píng)估確定各項(xiàng)目工期資源識(shí)別識(shí)別各項(xiàng)目所需資源設(shè)定優(yōu)先級(jí)設(shè)定各項(xiàng)目優(yōu)先級(jí)識(shí)別關(guān)鍵鏈找出關(guān)鍵鏈設(shè)定緩沖設(shè)定各個(gè)緩沖編制計(jì)劃編制優(yōu)化進(jìn)度進(jìn)度控制監(jiān)控資源消耗3.1電子商務(wù)安全管理資源與組織概述3.2電子商務(wù)安全管理資源3.3電子商務(wù)安全管理組織目錄69電子商務(wù)安全管理組織1.安全管理組織的基本要求（1）組織結(jié)構(gòu)合理（2）責(zé)任和權(quán)力歸屬明確（3）人員配備合理（4）規(guī)章制度有效落實(shí)（5）信息溝通通暢（6）保障與外界的協(xié)調(diào)電子商務(wù)安全管理組織2.安全組織建立的影響因素（1）企業(yè)戰(zhàn)略（2）企業(yè)規(guī)模（3）資金預(yù)算（4）業(yè)務(wù)和安全需求（5）安全文化電子商務(wù)安全管理組織3.安全組織的建立方式（1）設(shè)置專門的安全部門（2）不設(shè)置專門的安全部門電子商務(wù)安全管理組織4.安全組織架構(gòu)及職能

大型網(wǎng)絡(luò)交易平臺(tái)提供商是指為網(wǎng)絡(luò)交易方提供計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，并進(jìn)行運(yùn)營和服務(wù)的企業(yè)。這類企業(yè)通常規(guī)模較大、業(yè)務(wù)影響范圍廣，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全要求非常高，因此需要一個(gè)一定規(guī)模的安全組織架構(gòu)，并且在安全組織架構(gòu)中通常會(huì)設(shè)置專門的安全部門。（1）大型網(wǎng)絡(luò)交易平臺(tái)提供商安全組織架構(gòu)示例，如下圖所示電子商務(wù)安全管理組織上圖所列的部門都是與安全有關(guān)的部門。全面履行安全職責(zé)的最高級(jí)別的安全部門是安全管理委員會(huì)。電子商務(wù)安全管理組織團(tuán)隊(duì)規(guī)模：例如：阿里巴巴、騰訊（非官方數(shù)字），業(yè)務(wù)團(tuán)隊(duì)（含業(yè)務(wù)安全/風(fēng)控）：2000人，占總?cè)藬?shù)7%，業(yè)務(wù)團(tuán)隊(duì)是攻防的2倍以上。例如：1萬臺(tái)服務(wù)器，安全團(tuán)隊(duì)需60-80人，攻防類20人以上，業(yè)務(wù)類40人以上30-50萬服務(wù)器，安全團(tuán)隊(duì)需800-1000人，攻防類的200人以上，業(yè)務(wù)安全類500人以上。電子商務(wù)安全管理組織（2）中小型電子商務(wù)企業(yè)中小型電子商務(wù)企業(yè)信息安全應(yīng)用結(jié)構(gòu)企業(yè)辦公管理域（辦公業(yè)務(wù)系統(tǒng)）辦公數(shù)據(jù)處理區(qū)（員工身份鑒別、防病毒、系統(tǒng)升級(jí)等）辦公網(wǎng)安全管理區(qū)安全設(shè)備電子商務(wù)服務(wù)域（安全策略、安全系統(tǒng)、身份鑒別系統(tǒng)等）服務(wù)平臺(tái)安全管理區(qū)安全設(shè)備（電商平臺(tái)服務(wù)系統(tǒng)）前端數(shù)據(jù)處理區(qū)（電商平臺(tái)管理系統(tǒng)）后臺(tái)數(shù)據(jù)處理區(qū)互聯(lián)網(wǎng)用戶企業(yè)員工安全管理員電子商務(wù)安全管理組織

中小型電子商務(wù)企業(yè)的信息安全建設(shè)依托物理安全、構(gòu)建網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全與應(yīng)用安全，同時(shí)結(jié)合信息安全管理與運(yùn)營風(fēng)險(xiǎn)控制形成整體信息安全結(jié)構(gòu)，電子商務(wù)安全結(jié)構(gòu)如圖所示。信息安全管理應(yīng)用安全運(yùn)營風(fēng)險(xiǎn)控制數(shù)據(jù)安全主機(jī)安全網(wǎng)絡(luò)安全物理安全電子商務(wù)安全管理組織中小型電子商務(wù)企業(yè)的建設(shè)模式第一，自建模式

應(yīng)用安全數(shù)據(jù)安全主機(jī)安全網(wǎng)絡(luò)安全物理安全自建電子商務(wù)服務(wù)設(shè)施

賣家自建企業(yè)辦公管理設(shè)施

賣家自建企業(yè)辦公管理設(shè)施買家買家圖XXX中小電子商務(wù)企業(yè)自建模式結(jié)構(gòu)圖互聯(lián)網(wǎng)電子商務(wù)安全管理組織第二，資源租用模式：模式1：物理資源租用

電子商務(wù)服務(wù)域

應(yīng)用安全數(shù)據(jù)安全主機(jī)安全網(wǎng)絡(luò)安全物理安全

賣家自建企業(yè)辦公管理設(shè)施

賣家自建企業(yè)辦公管理設(shè)施買家買家圖XXX中小電子商務(wù)企業(yè)資源租用模式1結(jié)構(gòu)圖互聯(lián)網(wǎng)資源租賃電子商務(wù)安全管理組織第二，資源租用模式：模式2：物理和主機(jī)資源租用

網(wǎng)絡(luò)安全電子商務(wù)服務(wù)域主機(jī)安全應(yīng)用安全數(shù)據(jù)安全物理安全

賣家自建企業(yè)辦公管理設(shè)施

賣家自建企業(yè)辦公管理設(shè)施買家買家圖XXX中小電子商務(wù)企業(yè)資源租用模式2結(jié)構(gòu)圖互聯(lián)網(wǎng)

電子商務(wù)安全管理組織第二，資源租用模式：模式3：物理、主機(jī)、網(wǎng)絡(luò)服務(wù)資源租用

網(wǎng)絡(luò)安全電子商務(wù)服務(wù)域

應(yīng)用安全主機(jī)安全數(shù)據(jù)安全物理安全

賣家自建企業(yè)辦公管理設(shè)施

賣家自建企業(yè)辦公管理設(shè)施買家買家圖XXX中小電子商務(wù)企業(yè)資源租用模式3結(jié)構(gòu)圖互聯(lián)網(wǎng)電子商務(wù)安全管理組織第三，店鋪?zhàn)庥媚Ｊ?/p>

網(wǎng)絡(luò)安全電子商務(wù)服務(wù)域應(yīng)用安全主機(jī)安全數(shù)據(jù)安全物理安全

賣家自建企業(yè)辦公管理設(shè)施

賣家自建企業(yè)辦公管理設(shè)施買家買家圖XXX中小電子商務(wù)企業(yè)店鋪?zhàn)庥媚Ｊ浇Y(jié)構(gòu)圖互聯(lián)網(wǎng)資源租賃

電子商務(wù)安全管理組織中小型電子商務(wù)企業(yè)組織架構(gòu)第一，自建模式安全組織架構(gòu)第二，資源租用模式安全組織架構(gòu)人力資源

信息中心

安全部門

其他部門

相關(guān)專家高層管理者高層管理組織安全審計(jì)安全管理安全保衛(wèi)設(shè)備管理系統(tǒng)管理運(yùn)行管理項(xiàng)目管理業(yè)務(wù)應(yīng)用電子商務(wù)安全管理組織第三，店鋪?zhàn)庥媚Ｊ桨踩M織架構(gòu)

其安全組織相對(duì)簡單，可設(shè)置專門的安全部門，配備專門的安全人員，但也可以不設(shè)立專門的安全部門，或者僅配備一名專門負(fù)責(zé)安全的工程師，而將安全外包也是可以采取的方式。電子商務(wù)安全管理組織1.安全管理組織運(yùn)行機(jī)制（1）組織運(yùn)行的動(dòng)力機(jī)制（2）組織運(yùn)行的決策機(jī)制（3）組織運(yùn)行的信息機(jī)制（4）組織運(yùn)行的社會(huì)責(zé)任電子商務(wù)安全管理組織2.安全管理組織運(yùn)行保障（1）安全規(guī)章制度保障（2）安全經(jīng)濟(jì)投入保障（3）績效考核保障（4）安全文化保障電子商務(wù)安全管理組織三、電子商務(wù)安全管理組織的變革1.安全管理組織變革概念

安全管理組織變革是指為實(shí)現(xiàn)組織安全管理目標(biāo)，管理人員主動(dòng)對(duì)原有的組織結(jié)構(gòu)、組織制度、組織成員、組織文化、組織行為等進(jìn)行改變，以適應(yīng)外部環(huán)境變化，提高組織的工作績效。電子商務(wù)安全管理組織2.安全管理組織變革趨勢(shì)（1）組織層級(jí)弱化組織層級(jí)弱化主要表現(xiàn)在：

縱向交流增加

橫向交流增加

人本化管理增強(qiáng)（2）組織結(jié)構(gòu)扁平化（3）組織協(xié)作團(tuán)隊(duì)化、網(wǎng)絡(luò)化電子商務(wù)安全管理組織3.安全管理組織變革驅(qū)動(dòng)因素（1）外部因素（2）內(nèi)部因素4.安全管理組織結(jié)構(gòu)變革影響因素（1）環(huán)境因素（2）戰(zhàn)略因素（3）規(guī)模因素電子商務(wù)安全管理組織5.安全管理組織結(jié)構(gòu)變革流程（1）組織結(jié)構(gòu)診斷（2）確定方案（3）實(shí)施組織結(jié)構(gòu)變革

變革準(zhǔn)備

變革

變革鞏固（4）組織結(jié)構(gòu)評(píng)價(jià)及反饋第四章電子商務(wù)信息安全風(fēng)險(xiǎn)控制4.1電子商務(wù)信息安全風(fēng)險(xiǎn)管理概述4.2電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估與決策4.3電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施目錄92電子商務(wù)信息安全風(fēng)險(xiǎn)管理概述一、信息風(fēng)險(xiǎn)相關(guān)概念1.信息資產(chǎn)

信息資產(chǎn)是對(duì)組織具有價(jià)值的信息或資源，是安全策略保護(hù)的對(duì)象。信息資產(chǎn)以多種形式或多種分類方法存在：（1）物理和邏輯資產(chǎn)（2）有形和無形資產(chǎn)（3）靜態(tài)和動(dòng)態(tài)資產(chǎn)（4）技術(shù)和管理資產(chǎn)電子商務(wù)信息安全風(fēng)險(xiǎn)管理概述2.威脅（threat）

威脅是可能導(dǎo)致信息安全事故或造成組織信息資產(chǎn)損失的潛在的起因。3.脆弱性

脆弱性也可稱為脆弱點(diǎn)，指可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)。脆弱點(diǎn)可能存在于組織架構(gòu)、過程和程序、管理慣例、人員、物理環(huán)境、信息系統(tǒng)配置、硬件、軟件或通訊設(shè)備、對(duì)外部的依賴等。4.風(fēng)險(xiǎn)（Risk）

風(fēng)險(xiǎn)是指事件發(fā)生的不確定性，是指威脅源采用一定的威脅方式利用脆弱性造成不良后果。電子商務(wù)信息安全風(fēng)險(xiǎn)管理概述5.風(fēng)險(xiǎn)管理（RiskManagement）

風(fēng)險(xiǎn)管理是降低各種風(fēng)險(xiǎn)的發(fā)生概率，或當(dāng)某種風(fēng)險(xiǎn)突然降臨時(shí)，減少損失的管理過程。6.信息安全

國際標(biāo)準(zhǔn)化組織對(duì)信息安全的定義是：“在技術(shù)上和管理上為數(shù)據(jù)處理系統(tǒng)建立的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露”。7.信息安全風(fēng)險(xiǎn)（InformationSecurityRisk）

信息安全風(fēng)險(xiǎn)是指人為或自然的威脅利用信息系統(tǒng)以及管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響。電子商務(wù)信息安全風(fēng)險(xiǎn)管理概述二、信息安全風(fēng)險(xiǎn)管理

信息安全風(fēng)險(xiǎn)管理是一個(gè)管理過程。在風(fēng)險(xiǎn)管理框架下，風(fēng)險(xiǎn)管理的具體過程如圖明確狀況明確外部和內(nèi)部狀況風(fēng)險(xiǎn)管理狀況確定風(fēng)險(xiǎn)準(zhǔn)則風(fēng)險(xiǎn)識(shí)別資產(chǎn)識(shí)別威脅識(shí)別脆弱性識(shí)別風(fēng)險(xiǎn)分析確定風(fēng)險(xiǎn)大小風(fēng)險(xiǎn)評(píng)定確定風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)處理回避風(fēng)險(xiǎn)降低風(fēng)險(xiǎn)轉(zhuǎn)移風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)溝

通

和

協(xié)

調(diào)監(jiān)

測(cè)

和

評(píng)

審電子商務(wù)信息安全風(fēng)險(xiǎn)管理概述1.明確狀況：

明確狀況是指明確環(huán)境，包括明確外部和內(nèi)部狀況、風(fēng)險(xiǎn)管理過程狀況、確定風(fēng)險(xiǎn)準(zhǔn)則等。2.風(fēng)險(xiǎn)識(shí)別

風(fēng)險(xiǎn)識(shí)別是發(fā)現(xiàn)和列出風(fēng)險(xiǎn)要素并描述其特征的活動(dòng)。3.風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)分析就是對(duì)已經(jīng)識(shí)別的風(fēng)險(xiǎn)確定風(fēng)險(xiǎn)大小的分析過程。電子商務(wù)信息安全風(fēng)險(xiǎn)管理概述4.風(fēng)險(xiǎn)評(píng)價(jià)

風(fēng)險(xiǎn)評(píng)價(jià)就是將風(fēng)險(xiǎn)分析的結(jié)果與預(yù)先設(shè)定的風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則進(jìn)行比較分析，從而確定風(fēng)險(xiǎn)等級(jí)的過程。5.風(fēng)險(xiǎn)處置

風(fēng)險(xiǎn)處置是選擇和實(shí)施風(fēng)險(xiǎn)應(yīng)對(duì)措施的管理過程。6.風(fēng)險(xiǎn)管理評(píng)審

信息安全風(fēng)險(xiǎn)管理評(píng)審將貫穿于整個(gè)風(fēng)險(xiǎn)管理周期，其目的是通過持續(xù)跟蹤被保護(hù)對(duì)象及其環(huán)境的變化以發(fā)現(xiàn)信息安全問題，并通過相應(yīng)的措施及時(shí)進(jìn)行糾偏，從而確保信息安全風(fēng)險(xiǎn)管理過程持續(xù)有效。電子商務(wù)信息安全風(fēng)險(xiǎn)管理概述三、信息安全風(fēng)險(xiǎn)管理的角色與責(zé)任

信息安全風(fēng)險(xiǎn)管理過程中參與角色一般分為國家信息安全主管機(jī)關(guān)、業(yè)務(wù)主管機(jī)關(guān)、信息系統(tǒng)擁有者或運(yùn)營者、信息系統(tǒng)承建者、信息系統(tǒng)安全服務(wù)或集成機(jī)構(gòu)、信息系統(tǒng)的關(guān)聯(lián)機(jī)構(gòu)（即因信息系統(tǒng)互聯(lián)、信息交換和共享、系統(tǒng)采購等行為與該系統(tǒng)發(fā)生關(guān)聯(lián)的機(jī)構(gòu)）。這些角色在風(fēng)險(xiǎn)管理中承擔(dān)不同的責(zé)任。電子商務(wù)信息安全風(fēng)險(xiǎn)管理概述

國家信息安全主管機(jī)關(guān)負(fù)責(zé)制定信息安全的政策、法規(guī)和標(biāo)準(zhǔn)，督促、檢查和指導(dǎo)各單位的風(fēng)險(xiǎn)管理工作。

業(yè)務(wù)主管部門負(fù)責(zé)提出、組織制定并批準(zhǔn)本單位的信息安全風(fēng)險(xiǎn)管理策略，領(lǐng)導(dǎo)和組織本單位的信息系統(tǒng)安全評(píng)估工作，基于本部門內(nèi)的風(fēng)險(xiǎn)評(píng)估結(jié)果，判斷信息系統(tǒng)的殘余風(fēng)險(xiǎn)是否可按受，并決定是否批準(zhǔn)信息系統(tǒng)投入運(yùn)行。檢查信息系統(tǒng)運(yùn)行中產(chǎn)生的安全狀態(tài)報(bào)告，定期或不定期地開展新的風(fēng)險(xiǎn)評(píng)估工作。電子商務(wù)信息安全風(fēng)險(xiǎn)管理概述

信息系統(tǒng)擁有者或運(yùn)營者負(fù)責(zé)制定風(fēng)險(xiǎn)管理策略和安全計(jì)劃，報(bào)上級(jí)審批、組織實(shí)施信息系統(tǒng)自評(píng)估工作，配合檢查評(píng)估或委托評(píng)估工作，并提供必要的文檔等資源，向主管機(jī)關(guān)提出新一輪風(fēng)險(xiǎn)評(píng)估的建議，改善信息安全措施，處理信息安全風(fēng)險(xiǎn)。

信息系統(tǒng)承建者負(fù)責(zé)將信息系統(tǒng)建設(shè)方案提交給有關(guān)方面進(jìn)行風(fēng)險(xiǎn)分析，根據(jù)風(fēng)險(xiǎn)分析的結(jié)果修正建設(shè)方案，使方案成本合理且積極有效，在方案中有效地控制風(fēng)險(xiǎn)規(guī)范建設(shè)，減少在建設(shè)階段引入的新風(fēng)險(xiǎn)。電子商務(wù)信息安全風(fēng)險(xiǎn)管理概述

信息安全服務(wù)或集成機(jī)構(gòu)負(fù)責(zé)提供獨(dú)立的風(fēng)險(xiǎn)評(píng)估，并在評(píng)估后提出調(diào)整建議，以減少或根除信息系統(tǒng)中的脆弱性，有效對(duì)抗安全威脅，處理風(fēng)險(xiǎn)；保護(hù)評(píng)估中的敏感信息，防止被無關(guān)人員和單位獲得；使用經(jīng)過測(cè)評(píng)認(rèn)證的安全產(chǎn)品，協(xié)助制定風(fēng)險(xiǎn)管理策略和安全計(jì)劃，根據(jù)系統(tǒng)擁有者或運(yùn)營者的需求，對(duì)風(fēng)險(xiǎn)進(jìn)行處理。

信息系統(tǒng)的關(guān)聯(lián)機(jī)構(gòu)負(fù)責(zé)遵守安全笨略、法規(guī)、合同等涉及信息系統(tǒng)交互行為的安全要求，減少信息安全風(fēng)險(xiǎn)，協(xié)助風(fēng)險(xiǎn)管工作確定安全邊界，在風(fēng)險(xiǎn)評(píng)估中提供必要的資源和資料。4.1電子商務(wù)信息安全風(fēng)險(xiǎn)管理概述4.2電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估與決策4.3電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施目錄103電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估與決策一、信息安全風(fēng)險(xiǎn)評(píng)估概述1.信息安全風(fēng)險(xiǎn)評(píng)估概念

信息安全風(fēng)險(xiǎn)評(píng)估（InformationSecurityRiskAssessment）是運(yùn)用科學(xué)的方法和手段評(píng)估信息安全的管理方法。2.風(fēng)險(xiǎn)評(píng)估過程框架

信息安全風(fēng)險(xiǎn)評(píng)估是評(píng)估信息系統(tǒng)的安全風(fēng)險(xiǎn)，應(yīng)按照GB/T20984-2007中規(guī)定的評(píng)估流程實(shí)施，對(duì)各階段的工作進(jìn)行評(píng)估。按工作流程風(fēng)險(xiǎn)評(píng)估過程大致分為三個(gè)階段，即風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)。電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估與決策風(fēng)險(xiǎn)評(píng)估過程框架如圖所示電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估與決策3.風(fēng)險(xiǎn)評(píng)估的形式

風(fēng)險(xiǎn)評(píng)估的形式主要有自評(píng)估和檢查評(píng)估兩種形式。4.風(fēng)險(xiǎn)評(píng)估工具

進(jìn)行風(fēng)險(xiǎn)評(píng)估需要用到多種表格、工具和資料。不同的風(fēng)險(xiǎn)評(píng)估階段所需的表格、工具和資料也有所不同。電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估與決策

風(fēng)險(xiǎn)評(píng)估前期：《單位基本情況調(diào)查表》、《參與測(cè)評(píng)項(xiàng)目相關(guān)人員名單》、《信息資產(chǎn)登記表》、《信息系統(tǒng)等級(jí)情況》、《外聯(lián)線路及設(shè)備端口》（網(wǎng)絡(luò)邊界情況）、《信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)》（環(huán)境情況）、《安全設(shè)備情況》、《網(wǎng)絡(luò)設(shè)備情況》、《物理環(huán)境情況》、《終端設(shè)備情況》、《服務(wù)器設(shè)備情況》、《應(yīng)用系統(tǒng)軟件情況》、《業(yè)務(wù)系統(tǒng)功能登記表》、《信息系統(tǒng)承載業(yè)務(wù)（服務(wù)）表》、《數(shù)據(jù)備份情況》、《應(yīng)用系統(tǒng)軟件處理流程（多表）》、《業(yè)務(wù)數(shù)據(jù)流程》（多表）、《管理文檔情況調(diào)查》、《安全威脅情況》等。電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估與決策

資產(chǎn)識(shí)別：《資產(chǎn)調(diào)查表》、資產(chǎn)管理工具、主動(dòng)探測(cè)工具。威脅識(shí)別需要準(zhǔn)備IDS（入侵檢測(cè)系統(tǒng)）、IPS（入侵防御系統(tǒng)）、流量分析工具、審計(jì)工具、《威脅調(diào)查表》。

脆弱性識(shí)別：訪談表、漏洞掃描工具是為信息系統(tǒng)中常見的組件進(jìn)行手工脆弱性識(shí)別而設(shè)計(jì)的各類檢查表、滲透測(cè)試工具集。

安全措施確認(rèn)：《安全控制措施調(diào)查表》、《安全意識(shí)調(diào)查表》

綜合風(fēng)險(xiǎn)分析：風(fēng)險(xiǎn)分析工具電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估與決策二、信息安全風(fēng)險(xiǎn)評(píng)估過程1.風(fēng)險(xiǎn)識(shí)別

風(fēng)險(xiǎn)識(shí)別階段主要完成對(duì)信息安全風(fēng)險(xiǎn)的構(gòu)成要素，即資產(chǎn)、威脅、脆弱性的識(shí)別，以及對(duì)已有安全控制措施的有效性的分析和確認(rèn)。（1）風(fēng)險(xiǎn)評(píng)估準(zhǔn)備

進(jìn)行風(fēng)險(xiǎn)識(shí)別之前，需要進(jìn)行一些準(zhǔn)備工作，包括建立環(huán)境、前期調(diào)查、工具準(zhǔn)備等。（2）資產(chǎn)識(shí)別

信息資產(chǎn)是具有價(jià)值的資源或者信息，它以多種形式存在，包括有形的、無形的、軟硬件、文檔、代碼、還有服務(wù)、名譽(yù)等。電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估與決策

資產(chǎn)分類分類示例數(shù)據(jù)電子文檔：保存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運(yùn)行管理規(guī)程、計(jì)劃、報(bào)告、用戶手冊(cè)、各類紙質(zhì)的文檔等軟件系統(tǒng)軟件:操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、語句包、開發(fā)系統(tǒng)等；應(yīng)用軟件:辦公軟件、數(shù)據(jù)庫軟件、各類工具軟件等；源程序:各種共享源代碼、自行或合作開發(fā)的各種代碼等。硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機(jī)等；計(jì)算機(jī)設(shè)備：大型機(jī)、小型機(jī)、服務(wù)器、工作站、臺(tái)式計(jì)算機(jī)、便攜計(jì)算機(jī)等；存儲(chǔ)設(shè)備：磁帶機(jī)、磁盤陣列、磁帶、光盤、軟盤、移動(dòng)硬盤等傳輸線路：光纖、雙紋線等；保障設(shè)備：UPS、變電設(shè)備、空調(diào)、保險(xiǎn)柜、文件柜、門禁、消防設(shè)施等；安全設(shè)備：防火墻、人侵檢測(cè)系統(tǒng)、身份鑒別等；其他：打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)等；服務(wù)信息服務(wù)：對(duì)外依賴該系統(tǒng)開展的各類服務(wù)；網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)；辦公服務(wù)：為提高效率而開發(fā)的管理信息系統(tǒng)，包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務(wù)；人員掌握重要信息和核心業(yè)務(wù)的人員，如主機(jī)維護(hù)主管、網(wǎng)絡(luò)維護(hù)主管及應(yīng)用項(xiàng)目經(jīng)理等其他企業(yè)形象、客戶關(guān)系等電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估與決策

資產(chǎn)賦值

信息安全風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來衡量，而是以資產(chǎn)的保密性、完整性和可用性三個(gè)安全屬性為基礎(chǔ)進(jìn)行衡量。資產(chǎn)在保密性、完整性和可用性三個(gè)屬性上的要求不同，則資產(chǎn)的最終價(jià)值也不同。

對(duì)于資產(chǎn)重要性等級(jí)的確定可通過綜合評(píng)定資產(chǎn)的機(jī)密性、完整性和可用性的賦值等級(jí)，得出資產(chǎn)價(jià)值?？梢员容^資產(chǎn)機(jī)密性、完整性和可用性得出最重要的一個(gè)屬性的賦值等級(jí)，最終賦值給資產(chǎn)，也可以將三個(gè)屬性的不同等級(jí)進(jìn)行加權(quán)計(jì)算，最終賦值給資產(chǎn)。電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估與決策（3）威脅識(shí)別

威脅來源。

物理威脅是由電子商務(wù)實(shí)體的不安全引發(fā)的威脅，這類風(fēng)險(xiǎn)發(fā)生頻率較高，且對(duì)電子商務(wù)系統(tǒng)的安全影響極大。

信息與網(wǎng)絡(luò)風(fēng)險(xiǎn)。這類風(fēng)險(xiǎn)發(fā)生頻次非常高，對(duì)電子商務(wù)系統(tǒng)安全的影響范圍大，通常涉及操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用、網(wǎng)絡(luò)等多個(gè)層次。

人員風(fēng)險(xiǎn)。存在于電子商務(wù)的各個(gè)環(huán)節(jié)，是覆蓋范圍最廣的一類風(fēng)險(xiǎn)。電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估與決策

威脅賦值

威脅出現(xiàn)的頻率一定程度上決定了威脅嚴(yán)重程度，以下三個(gè)方面是頻率統(tǒng)計(jì)的重點(diǎn)：第一，過往安全事件報(bào)告中發(fā)生過的威脅及其頻率；第二，實(shí)際環(huán)境中檢測(cè)工具以及各種日志發(fā)現(xiàn)的威脅及其頻率；第三，最近時(shí)間內(nèi)國際組織對(duì)整個(gè)社會(huì)或特定行業(yè)的威脅及其頻率和威脅預(yù)警。

威脅頻率登錄劃分為五級(jí)，即5級(jí)（很高）、4級(jí)（高）、3級(jí)（中）、2級(jí)（低）、1級(jí)（很低），分別代表威脅出現(xiàn)的頻率高低。等級(jí)數(shù)值越大，威脅出現(xiàn)的頻率越高。電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估與決策(4)脆弱性識(shí)別

脆弱性一旦被威脅成功利用就可能損害到資產(chǎn)，脆弱點(diǎn)可能存在于物理環(huán)境、過程、組織、人員、配置、管理、硬件、軟件和信息等各個(gè)方面。

脆弱性賦值：

脆弱性嚴(yán)重可劃分為五級(jí)，即5級(jí)（很高）、4級(jí)（高）、3級(jí)（中）、2級(jí)（低）、1級(jí)（很低），分別代表脆弱性的嚴(yán)重程度的高低。等級(jí)數(shù)值越大，脆弱性嚴(yán)重程度越高。電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估與決策（4）安全措施分析

安全措施（securitymeasure）是管理風(fēng)險(xiǎn)的具體方法，保護(hù)資產(chǎn)、抵御威脅、減少脆弱性、降低安全事件的影響，以及打擊信息犯罪而實(shí)施的各種實(shí)踐、規(guī)程和機(jī)制。

安全措施根據(jù)性質(zhì)的不同可分為技術(shù)性措施和規(guī)范性措施。電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估與決策2.風(fēng)險(xiǎn)分析（1）風(fēng)險(xiǎn)分析原理1.三個(gè)基本要素：資產(chǎn)、威脅、脆弱性2.風(fēng)險(xiǎn)分析圖電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估與決策（2）風(fēng)險(xiǎn)分析方法

風(fēng)險(xiǎn)分析可以采用多種方法，包括基于知識(shí)的方法、基于模型的分析方法、定量分析和定性分析方法，利用這些方法可以找出信息資產(chǎn)面臨的風(fēng)險(xiǎn)及其影響，以及目前安全水平與組織安全需求之間的差距。

定性估算。定性估算采用尺度分級(jí)屬性（如低、中、高）來描述潛在后果的嚴(yán)重性和潛在后果發(fā)生的可能性。

定量估算。定量估算通過數(shù)據(jù)，采用數(shù)字化的尺度對(duì)后果和概率進(jìn)行描述。電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估與決策（3）風(fēng)險(xiǎn)值計(jì)算風(fēng)險(xiǎn)值=R(A，T，V)=R(L(T，V)，F(xiàn)（Ia，Va)）

其中，R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù);A表示資產(chǎn);T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產(chǎn)價(jià)值；Va表示脆弱性嚴(yán)重程度;L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性;F表示安全事件發(fā)生后造成的損失。有以下三個(gè)關(guān)鍵計(jì)算環(huán)節(jié)：電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估與決策

計(jì)算安全事件發(fā)生的可能性安全事件的可能性=L(威脅出現(xiàn)頻率，脆弱性)=L(T，V)

計(jì)算安全事件發(fā)生后造成的損失安全事件造成的損失=F(資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度)=F(Ia，Va)

計(jì)算風(fēng)險(xiǎn)值風(fēng)險(xiǎn)值=R(安全事件的可能性，安全事件造成的損失)=R(L(T，V)，F(xiàn)（Ia，Va)）電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估與決策具體計(jì)算方法矩陣法：通過構(gòu)造一個(gè)二維矩陣，形成安全事件的可能性與安全事件造成的損失之間的二維關(guān)系。相乘法：通過構(gòu)造經(jīng)驗(yàn)函數(shù)，將安全事件的可能性與安全事件造成的損失進(jìn)行運(yùn)算得到風(fēng)險(xiǎn)值。電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估與決策電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估與決策3.風(fēng)險(xiǎn)評(píng)價(jià)電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估與決策三、信息安全風(fēng)險(xiǎn)處置決策1.信息安全風(fēng)險(xiǎn)處置過程（1）確定風(fēng)險(xiǎn)處置目標(biāo)（2）確定各處置項(xiàng)的優(yōu)先級(jí)（3）安全措施成本效益分析（4）制定風(fēng)險(xiǎn)處置方案（5）實(shí)施所選的安全措施2.信息安全風(fēng)險(xiǎn)處置方法

（1）控制方法（2）財(cái)務(wù)方法4.1電子商務(wù)信息安全風(fēng)險(xiǎn)管理概述4.2電子商務(wù)信息安全風(fēng)險(xiǎn)評(píng)估與決策4.3電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施目錄124電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施一、風(fēng)險(xiǎn)控制概述1.風(fēng)險(xiǎn)控制的定義

風(fēng)險(xiǎn)控制是通過采取特定措施以保證組織各項(xiàng)活動(dòng)按計(jì)劃或標(biāo)準(zhǔn)進(jìn)行的過程。2.風(fēng)險(xiǎn)控制分類（1）依據(jù)風(fēng)險(xiǎn)控制策略分回避風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)和接受風(fēng)險(xiǎn)（2）依據(jù)風(fēng)險(xiǎn)控制應(yīng)用層面分單層面的控制、多層面的控制電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施（3）依據(jù)風(fēng)險(xiǎn)控制功能分預(yù)防型控制、檢測(cè)型控制（4）依據(jù)風(fēng)險(xiǎn)控制針對(duì)的安全要素分機(jī)密性控制、完整性控制、可用性控制、認(rèn)證控制、授權(quán)控制、責(zé)任歸屬控制、隱私控制（5）依據(jù)風(fēng)險(xiǎn)控制手段分技術(shù)手段、管理（規(guī)范）手段電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施3.風(fēng)險(xiǎn)控制策略（1）回避風(fēng)險(xiǎn)

制定管理制度

回避威脅

實(shí)施安全技術(shù)保護(hù)

開展教育培訓(xùn)（2）降低風(fēng)險(xiǎn)

減少威脅源

降低威脅能力

減少脆弱性電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施（3）轉(zhuǎn)移風(fēng)險(xiǎn)

轉(zhuǎn)移風(fēng)險(xiǎn)指的是將面臨的資產(chǎn)或價(jià)值通過合同或者非合同的方式轉(zhuǎn)嫁給另一個(gè)人或單位的一種風(fēng)險(xiǎn)處理方式。（4）接受風(fēng)險(xiǎn)

接受風(fēng)險(xiǎn)是對(duì)風(fēng)險(xiǎn)不采取進(jìn)一步的措施，組織自己承擔(dān)風(fēng)險(xiǎn)所造成的損失。電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施4.風(fēng)險(xiǎn)控制成本-效益分析（1）成本-效益分析相關(guān)概念

成本-效益分析。一個(gè)機(jī)構(gòu)對(duì)資產(chǎn)保護(hù)的投入不應(yīng)超出資產(chǎn)本身的價(jià)值，這樣的決策過程被稱為成本-效益分析（CBA），也稱為經(jīng)濟(jì)可行性研究。

成本。成本是為保護(hù)信息資產(chǎn)所進(jìn)行的投入。

效益。效益是組織對(duì)信息資產(chǎn)實(shí)施控制和保護(hù)后產(chǎn)生的好的效果。該結(jié)果用每年損失期望值來（ALE）表示。

資產(chǎn)評(píng)估。資產(chǎn)評(píng)估是指對(duì)設(shè)計(jì)、開發(fā)、安裝、維護(hù)、恢復(fù)以及防止損失和訴訟相關(guān)的實(shí)際和預(yù)測(cè)的成本進(jìn)行評(píng)估。電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施（2）成本-效益分析公式

目前有多種CBA的計(jì)算方法，下面介紹一種使用每年損失期望值（ALE）計(jì)算CBA的方法。

ALE的計(jì)算方法單一損失期望值（SLE）=資產(chǎn)價(jià)值（AV）

暴露因子（EF）暴露因子（EF）是已知漏洞所造成的損失百分比。一般情況下，用年發(fā)生概率（ARO）來表示一個(gè)威脅發(fā)生的可能性。例如，一個(gè)攻擊每兩年發(fā)生一次，則ARO為0.5（50%）。每年損失期望的計(jì)算公式如下：ALE=SLE

ARO電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施例．一個(gè)電商網(wǎng)站的資產(chǎn)評(píng)估價(jià)值為100000元人民幣，網(wǎng)站的10%會(huì)在黑客的攻擊下遭到損壞（暴露因子），黑客攻擊的ARO為0.5，求該網(wǎng)站的ALE是多少？解：SLE=AV

EF=100000

10%=10000（元）ALE=SLE

ARO=10000

0.5=5000（元）因此該網(wǎng)站的ALE是5000元。即如果該電商企業(yè)不提高網(wǎng)站的安全等級(jí)，企業(yè)每年都會(huì)損失5000元。電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施

成本-效益分析公式CBA=ALE（控制方案實(shí)施前）-ALE（控制方案實(shí)施后）-ACS其中：ALE（控制方案實(shí)施前）：控制方案實(shí)施前的ALE值A(chǔ)LE（控制方案實(shí)施后）：控制方案實(shí)施一段時(shí)間后的ALE值A(chǔ)CS：每年的防護(hù)成本二、技術(shù)性措施1.密碼技術(shù)明文：未被加密的原始信息稱為明文密文：經(jīng)過偽裝變換后的信息稱為密文。密碼體制：密碼體制就是加密和解密的算法。密鑰：開啟加密和解密的關(guān)鍵信息。

根據(jù)加密算法與解密算法使用的密鑰是否相同，密碼體制可分為對(duì)稱密碼體制和非對(duì)稱密碼體制。電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施133（1）對(duì)稱密碼體制

對(duì)稱密碼體制是加密密鑰和解密密鑰相同的密碼體制，這種密碼體制只要知道加（解）密算法，就可以反推解（加）密算法。數(shù)據(jù)發(fā)送方把明文加密成密文和數(shù)據(jù)接收方把密文解密成明文使用的是同一個(gè)密鑰。根據(jù)對(duì)明文加密方式的不同，可分為分組密碼和流密碼。常用的分組密碼有數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）、三重DES、高級(jí)加密標(biāo)準(zhǔn)（AES），常用的流密碼有RC4、RC5、SEAL等。電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施134（2）非對(duì)稱密碼體制

非對(duì)稱密碼體制也稱公鑰密碼體制，它有兩個(gè)密鑰，一個(gè)被密鑰擁有者保管，稱為私鑰；另一個(gè)可以對(duì)外公開，稱為公鑰。公鑰和私鑰之間具有緊密聯(lián)系，用公鑰加密的信息只能用相應(yīng)的私鑰解密，而用私鑰加密的信息也只能用相應(yīng)的公鑰解密。非對(duì)稱密碼體制的加密算法和解密算法都是可以公開的。常用的算法有RSA公鑰密碼體制、Diffie-Hellman密鑰交換算法、ElGamal算法等。電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施135①非對(duì)稱密碼體制的算法RSA算法是迄今為止理論上最為成熟完善，安全性能良好的密碼體制之一，它由美國麻省理工學(xué)院的三位教授，RonaldRivest、AdiShamir、LeondardAdleman聯(lián)合發(fā)明的，RSA算法的名字是三位教授名字的縮寫。該算法不僅能夠同時(shí)用于加密和數(shù)字簽名，并且易于理解和操作。RSA的安全性基于數(shù)論中大整數(shù)的素?cái)?shù)分解難題。尋找兩個(gè)大素?cái)?shù)比較簡單，但是將它們的乘積分解開卻是極其困難的。其密鑰對(duì)是一對(duì)大素?cái)?shù)（100-200位十進(jìn)制或更大），從一個(gè)公開密鑰和密文中恢復(fù)出明文的難度等價(jià)于分解兩個(gè)大素?cái)?shù)之積。電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施Diffie-Hellman算法發(fā)明于1976年，該算法的安全性基于求解離散對(duì)數(shù)的困難性。該算法只能用于密鑰分配，而不能用于加密/解密信息或數(shù)字簽名。ElGamal算法于1985年由T.ElGamal提出，它也是一種基于離散對(duì)數(shù)問題的公鑰密碼算法。電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施②非對(duì)稱密碼體制的功能

信息加密：發(fā)送方用接收方的公開密鑰對(duì)發(fā)送信息加密，接收方用自己的私有密鑰對(duì)接收到的加密信息進(jìn)行解密可實(shí)現(xiàn)信息加密功能。身份驗(yàn)證：發(fā)送方用自己的私有密鑰對(duì)發(fā)送的信息進(jìn)行加密，接收方用發(fā)送方的公開密鑰對(duì)接收到的加密信息進(jìn)行解密可實(shí)現(xiàn)身份認(rèn)證功能。電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施③基于非對(duì)稱密鑰體制算法的應(yīng)用第一，保密通信。非對(duì)稱密鑰體制算法可實(shí)現(xiàn)對(duì)信息的保密，由于加密解密需要的計(jì)算量很大，不適合傳輸大量信息的加密。第二，數(shù)字簽名。非對(duì)稱密鑰體制算法可實(shí)現(xiàn)數(shù)字簽名，數(shù)字簽名可替代傳統(tǒng)的手工簽名。在政府機(jī)關(guān)、軍事領(lǐng)域、商業(yè)領(lǐng)域應(yīng)用廣泛，特別是在商業(yè)領(lǐng)域用數(shù)字簽名技術(shù)進(jìn)行合同的簽訂等。第三，認(rèn)證功能。公開信道上傳輸敏感信息可能受到攻擊者的篡改、重放或假冒?？梢允褂脭?shù)字簽名技術(shù)實(shí)現(xiàn)消息的真實(shí)性和完整性驗(yàn)證，通過驗(yàn)證公鑰證書可實(shí)現(xiàn)通信主體的身份認(rèn)證。電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施第四，密鑰共享。密鑰共享技術(shù)是指將一個(gè)秘密信息技術(shù)分拆成n個(gè)共享因子的信息，分發(fā)給n個(gè)成員，只有k（k<n）個(gè)合法成員的共享因子才可以恢復(fù)該秘密通信，其中任何一個(gè)或m（m<k）個(gè)成員合作都不知的該秘密。利用秘密共享技術(shù)可以控制任何需要多個(gè)共同控制的密碼信息、技術(shù)等。另外，非對(duì)稱密碼算法體制還應(yīng)用在安全電子商務(wù)系統(tǒng)、電子現(xiàn)金系統(tǒng)、電子選舉系統(tǒng)、電子招標(biāo)系統(tǒng)等等。電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施（3）對(duì)稱密碼體制與非對(duì)稱密碼體制比較電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施特征對(duì)稱密鑰加密公鑰加密加密/解密所用的密鑰相同不同加密/解密速度快慢得到的密文長度通常等于或小于明文長度大于明文長度密鑰分配大問題沒問題系統(tǒng)所需密鑰總數(shù)大約為參與者的平方個(gè)等于參與者的個(gè)數(shù)用法主要用于加密/解密主要用于加密會(huì)話密鑰，數(shù)字簽名電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施（4）混合加密體制（數(shù)字信封）數(shù)字信封——用對(duì)稱密碼體制的密鑰加密明文，而用公鑰密碼體制的公鑰加密這個(gè)對(duì)稱密鑰，這樣就既能使加密有很高的效率，又不必?fù)?dān)心對(duì)稱密鑰在傳輸中被竊取，實(shí)現(xiàn)了兩全其美的效果。具體過程如圖所示：電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施第一，發(fā)送方生成一個(gè)對(duì)稱密鑰，并對(duì)要發(fā)送的信息用對(duì)稱密鑰進(jìn)行加密。第二，發(fā)送方用接收方的公鑰加密該對(duì)稱密鑰，被公鑰加密后的對(duì)稱密鑰被稱為數(shù)字信封。第三，發(fā)送方把密文和數(shù)字信封通過網(wǎng)絡(luò)傳輸?shù)浇邮辗健５谒?，接收方用自己的私鑰對(duì)發(fā)送方傳送過來的數(shù)字信封進(jìn)行解密，得到對(duì)稱密鑰。第五，接收方用對(duì)稱密鑰對(duì)接收到的密文進(jìn)行解密，得到信息的明文。電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施2.密鑰管理技術(shù)

根據(jù)密碼系統(tǒng)功能復(fù)雜度的不同，可選擇單層密鑰體制或多層密鑰體制。密鑰管理涉及密鑰的生成、使用、存儲(chǔ)、備份/恢復(fù)、更新、銷毀以及密鑰的撤銷等涵蓋密鑰的整個(gè)生命期。電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施3.網(wǎng)絡(luò)加密和信息保護(hù)技術(shù)（1）網(wǎng)絡(luò)加密技術(shù)

鏈路-鏈路加密

鏈路加密將網(wǎng)絡(luò)視為鏈路連接的節(jié)點(diǎn)集合，是一種鏈?zhǔn)竭B接的加密方式，每一個(gè)鏈路被獨(dú)立地加密，所有數(shù)據(jù)在傳輸之前都已進(jìn)行加密，各個(gè)節(jié)點(diǎn)對(duì)接收到數(shù)據(jù)進(jìn)行解密，再使用下一鏈路的密鑰對(duì)數(shù)據(jù)進(jìn)行加密，然后再傳輸，如圖所示電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施②節(jié)點(diǎn)加密

節(jié)點(diǎn)加密是對(duì)鏈路加密的改進(jìn)，其目的是克服鏈路加密在中間節(jié)點(diǎn)上數(shù)據(jù)報(bào)文以明文形式出現(xiàn)的缺點(diǎn)。它與鏈路加密相似，只是在每個(gè)中間節(jié)點(diǎn)里安裝了一個(gè)用于加密、解密的安全模塊。③端-端加密

端-端加密方式建立在OSI參考模型的網(wǎng)絡(luò)層和傳輸層，其目的是為源端用戶到目的端用戶提供數(shù)據(jù)加密保護(hù)。端-端加密方式將網(wǎng)絡(luò)看作一種介質(zhì)，數(shù)據(jù)能安全地從源端到達(dá)目的端。如圖所示電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施（2）無線網(wǎng)絡(luò)中的加密技術(shù)

無線網(wǎng)絡(luò)，尤其是指以無線應(yīng)用協(xié)議（WAP，WirelessApplicationProtocol）和無線局域網(wǎng)（WiFi,WirelessFidelity）為代表的技術(shù)。

無線加密協(xié)議（WEP，WirelessProtocol）有時(shí)也稱為“有線等效加密協(xié)議”（WEP，WiredEquivalentPrivacy），是為無線網(wǎng)絡(luò)能夠達(dá)到有線網(wǎng)絡(luò)同等的安全而設(shè)計(jì)的協(xié)議。WEP可以保護(hù)無線局域網(wǎng)鏈路層數(shù)據(jù)安全，但其保密通信存在諸多安全缺陷，已被WPA或WPA2安全標(biāo)準(zhǔn)代替。電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施WiFi保護(hù)訪問協(xié)議（WPA，WiFiProtectedAccess）是繼承了WEP并改進(jìn)了WEP缺點(diǎn)的一種新技術(shù)，包括WPA和WPA2兩個(gè)標(biāo)準(zhǔn)。

無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)WAPI（WirelessAuthenticationandPrivacyInfrastructure）是于2003年在中國WLAN國家標(biāo)準(zhǔn)GB15629.11中提出的針對(duì)有線等效保密協(xié)議安全問題的無線局域網(wǎng)安全處理方案。這個(gè)方案取得了IEEE注冊(cè)機(jī)構(gòu)的認(rèn)可，是我國目前該領(lǐng)域唯一獲得批準(zhǔn)的協(xié)議，也是中國無線局域網(wǎng)安全強(qiáng)制性標(biāo)準(zhǔn)。電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施（3）信息隱藏與數(shù)字水印技術(shù)①信息隱藏技術(shù)

信息隱藏技術(shù)和加密技術(shù)都可用來保密信息，但與加密技術(shù)不同的是信息隱藏技術(shù)將要保密的信息藏在其他載體信息里，使其他人找不到。主要應(yīng)用領(lǐng)域有以下幾個(gè)：第一，數(shù)字作品的版權(quán)保護(hù)與盜版追蹤。第二，數(shù)據(jù)完整性、真實(shí)性鑒定。第三，數(shù)據(jù)保密通信。第四，身份認(rèn)證與不可抵賴性。電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施②數(shù)字水印

數(shù)字水印是通過一定的算法，在多媒體數(shù)據(jù)，如圖像、視頻、音頻等中嵌入一個(gè)可以標(biāo)示其知識(shí)產(chǎn)權(quán)的水印信息，水印信息可以是文字、商標(biāo)、印章或序列號(hào)等。通過水印信息可以識(shí)別作品的作者、來源、版本、擁有者、發(fā)行人或合法使用人對(duì)數(shù)字產(chǎn)品的擁有權(quán)。數(shù)字水印一般具有以下特點(diǎn)：第一，不需要原始媒體就可進(jìn)行水印還原。第二，數(shù)字水印的嵌入不能導(dǎo)致數(shù)字作品在視覺或聽覺等方面質(zhì)量的下降。電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施第三，水印應(yīng)能在經(jīng)歷無意或有意的處理后仍能保持完整性和鑒別性。第四，非授權(quán)用戶無法檢測(cè)和破壞數(shù)字水印。數(shù)字水印應(yīng)能一致保持存在，除非圖像失真喪失使用價(jià)值。第五，數(shù)字水印的藏入算法可以公開，但嵌入過程，包括嵌入方法和水印結(jié)構(gòu)等應(yīng)該是秘密的。電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施4.密碼算法的應(yīng)用（1）密碼算法的應(yīng)用問題第一，密碼算法及產(chǎn)品受國家政府的控制與管理。第二，密碼算法的后門。第三，密碼算法的側(cè)信道攻擊。（2）國產(chǎn)密碼

國密算法是國際商用密碼管理辦公室（國家密碼管理局與中央密碼工作領(lǐng)導(dǎo)小組辦公室）指定的一系列密碼標(biāo)準(zhǔn)，也就是已經(jīng)被國家密碼管理局認(rèn)定的國產(chǎn)密碼算法，又稱為商用密碼。主要有SSF33、SM1(SCB2)、SM2、SM3、SM4、SM7、SM9和祖沖之序列密碼算法等。電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施

為進(jìn)一步指導(dǎo)應(yīng)用程序開發(fā)，國家密碼管理局發(fā)布了《密碼設(shè)備應(yīng)用接口規(guī)范》（GM/T0018-2012），《通用密碼服務(wù)接口規(guī)范》（GM/T0019-2012），《智能密碼鑰匙密碼應(yīng)用接口規(guī)范》（GM/T0016-2012），《智能密碼鑰匙密碼應(yīng)用接口數(shù)據(jù)格式規(guī)范》（GM/T0017-2012）等行業(yè)標(biāo)準(zhǔn)。2016年3月28日國家密碼管理局又發(fā)布了國家密碼行業(yè)標(biāo)準(zhǔn)（GM/T0044-2016），即SM9。電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施5.新興密碼技術(shù)（1）身份基公鑰密碼

在身份基公鑰密碼體制中，用戶公鑰可以是任意比特串，用戶私鑰可由可信的第三方（私鑰生成中心PKG）生成。一個(gè)身份基加密方案由系統(tǒng)建立算法、密鑰提取算法、加密算法和解密算法構(gòu)成。加密具體過程為：第一，用戶A給用戶B發(fā)送消息，B的公鑰為他的郵箱地址。第二，A使用B的公鑰（郵箱地址）加密消息。第三，B接收加密消息后向PKG認(rèn)證并申請(qǐng)私鑰，B用接收到的私鑰進(jìn)行解密，然后閱讀A發(fā)送的消息。電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施（2）屬性基公鑰密碼

屬性基公鑰密碼（Attribute-BaseCryptography,ABC）是身份基公鑰密碼體制的一種擴(kuò)展，屬性基密碼用一系列描述用戶特征的屬性來代替代表用戶身份的字符串（如工作單位，職位，性別等）。用戶的公鑰、私鑰和密文都與屬性相關(guān)。

在屬性基加密中，加密者根據(jù)需要加密的消息和接收者的屬性構(gòu)造一個(gè)加密策略，當(dāng)屬性滿足加密策略時(shí)，解密者才能進(jìn)行解密。電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施

根據(jù)密文的生成過程，屬性基加密可分為密鑰策略屬性基加密（KeyPolicyAttribute-BasedEncryption,KP-ABE）和密文策略屬性基加密（CiphertexPolicyAttribute-BasedEncryption,CP-ABE)，其均由初始化、密鑰生成、加密、解密算法構(gòu)成。（3）同態(tài)密碼

同態(tài)加密基于數(shù)學(xué)難題的計(jì)算復(fù)雜性理論，對(duì)明文進(jìn)行運(yùn)算后再加密，與加密后再對(duì)密文進(jìn)行相應(yīng)的運(yùn)算，二者的結(jié)果是等價(jià)的。與一般加密方案不同的是，同態(tài)加密注重的是數(shù)據(jù)處理時(shí)的安全，是目前保護(hù)數(shù)據(jù)安全，提高密文處理分析能力的關(guān)鍵技術(shù)。電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施（4）抗量子密碼

基于量子物理學(xué)的量子密碼算法的安全性基于量子物理設(shè)備，其安全與物理實(shí)現(xiàn)密切相關(guān)。

基于生物學(xué)的DNA密碼的安全性建立在生物困難問題上，其密碼以DNA為信息載體，基于現(xiàn)代生物學(xué)技術(shù)，利用DNA的高存儲(chǔ)密度和高并行性等有優(yōu)點(diǎn)實(shí)現(xiàn)加密、認(rèn)證及簽名等功能。

基于數(shù)學(xué)的抗量子密碼是利用量子計(jì)算機(jī)不擅長計(jì)算的數(shù)學(xué)難題構(gòu)造密碼，目前國際上相關(guān)研究主要有基于格的密碼、基于Hash的數(shù)字簽名、基于糾錯(cuò)編碼的密碼和基于多變量的密碼等。電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施（5）輕量級(jí)密碼

輕量密碼算法是為資源受限的設(shè)備專屬定制的密碼解決方案，與普通密碼算法相比，其對(duì)吞吐率要求較低，在實(shí)現(xiàn)適當(dāng)?shù)陌踩缘那疤嵯伦非笏惴ㄔO(shè)計(jì)實(shí)現(xiàn)的資源消耗、效率和實(shí)用性。6.數(shù)字簽名技術(shù)（1）數(shù)字簽名的基本原理首先對(duì)原文用Hash函數(shù)求數(shù)字摘要（散列值），然后發(fā)送方用其私鑰加密該散列值，這個(gè)被發(fā)送方私鑰加密的數(shù)字摘要就是發(fā)送方的數(shù)字簽名，將其附加在原文后，一起發(fā)送給接收方讓其驗(yàn)證簽名。電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施

驗(yàn)證簽名時(shí)，接收方對(duì)收到的明文用哈希函數(shù)計(jì)算獲得數(shù)字摘要，將這個(gè)數(shù)字摘要與解密后的數(shù)字摘要進(jìn)行比較，如果結(jié)果相同就說明文件在傳輸?shù)倪^程中沒有被篡改，表明該簽名是有效的。過程如圖所示電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施（2）特殊的數(shù)字簽名

盲簽名

群盲簽名

門限簽名

數(shù)字時(shí)間戳電子商務(wù)信息安全風(fēng)險(xiǎn)控制的實(shí)施7.認(rèn)證技術(shù)

認(rèn)證（Authentication）也稱鑒別，是遠(yuǎn)程通信中獲得信任的手段，是證實(shí)通信方真實(shí)身份與其所聲明的身份是否相符的過程。（