1、第8章 電子商務(wù)安全風(fēng)險(xiǎn)管理,問題的提出,電子商務(wù)在今日充滿機(jī)遇，可是作為一名電子商務(wù)的參與者，你是否了解電子商務(wù)中哪些要素的收益和風(fēng)險(xiǎn)是并存的？ 在大多數(shù)情況下，電子商務(wù)系統(tǒng)順利的運(yùn)行，但可能有時(shí)候，一個(gè)意外和無法控制的外部事件會(huì)擾亂正常的業(yè)務(wù)操作 作好最壞情況的準(zhǔn)備，是風(fēng)險(xiǎn)管理的重要方面,2020/8/11,電子商務(wù)安全與管理,2,抓 狂,引例1-會(huì)計(jì)咨詢公司Armstrong Gilmour的倒閉,90年代末，Phil Gilmour是加利福尼亞的一家會(huì)計(jì)咨詢公司Armstrong Gilmour的管理合伙人。公司相當(dāng)一部分業(yè)務(wù)是個(gè)人委托的管理私人撫恤基金業(yè)務(wù)。客戶的養(yǎng)老金和投資數(shù)據(jù)存儲(chǔ)

2、在一個(gè)公司數(shù)據(jù)庫，客戶可以在線訪問數(shù)據(jù)庫，并核對(duì)他們的帳戶。 Gilmour致力于管理的養(yǎng)老基金業(yè)務(wù)增長迅速，因?yàn)闊o法處理日益繁忙的存儲(chǔ)，數(shù)據(jù)庫崩潰了。幸運(yùn)的是，公司的計(jì)算機(jī)系統(tǒng)有一個(gè)磁帶備份，因此Gilmour認(rèn)為客戶的數(shù)據(jù)應(yīng)該是安全的。當(dāng)該公司試圖恢復(fù)養(yǎng)老金數(shù)據(jù)備份磁帶的時(shí)候，卻發(fā)現(xiàn)磁帶上的數(shù)據(jù)已經(jīng)被損壞了。 剩下的唯一的選擇是昂貴和痛苦的。公司的員工在接下來幾個(gè)星期內(nèi)不得不花費(fèi)很長的時(shí)間長重新手動(dòng)恢復(fù)數(shù)據(jù)庫。但這次災(zāi)難耗費(fèi)的總費(fèi)用可能遠(yuǎn)遠(yuǎn)大于員工耗費(fèi)的時(shí)間和用于數(shù)據(jù)庫恢復(fù)的數(shù)千美元。在公司失去一部分委托人的信任和信譽(yù)之后，Gilmour最終損失了數(shù)百萬美元，以低價(jià)出售了公司。,2020/

3、8/11,電子商務(wù)安全與管理,3,電子商務(wù)安全與管理,4,引例2 匯豐銀行網(wǎng)絡(luò)一天內(nèi)遭萬次攻擊 顧客信心受損,匯豐銀行網(wǎng)絡(luò)所遭受的攻擊引發(fā)了電子商務(wù)時(shí)代企業(yè)安全風(fēng)險(xiǎn)管理的重視，但是企業(yè)該如何加強(qiáng)安全風(fēng)險(xiǎn)管理呢？,2020/8/11,電子商務(wù)安全與管理,5,電子商務(wù)中存在的安全風(fēng)險(xiǎn) 8.1 電子商務(wù)安全風(fēng)險(xiǎn)管理的演進(jìn) 8.2 電子商務(wù)安全風(fēng)險(xiǎn)管理流程 8.3 電子商務(wù)安全風(fēng)險(xiǎn)管理的整體策略,目錄,2020/8/11,思考：電子商務(wù)中存在哪些安全風(fēng)險(xiǎn)？,自然災(zāi)害 火災(zāi) 洪水 颶風(fēng) 地震 ,2020/8/11,電子商務(wù)安全與管理,6,與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn) 消費(fèi)者所面臨的風(fēng)險(xiǎn) 虛假的或惡意的網(wǎng)站

4、 用戶數(shù)據(jù)的泄露 隱私與cookies的使用,2020/8/11,電子商務(wù)安全與管理,7,電子商務(wù)中存在的安全風(fēng)險(xiǎn),與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn) 消費(fèi)者所面臨的風(fēng)險(xiǎn),2020/8/11,電子商務(wù)安全與管理,8,電子商務(wù)中存在的安全風(fēng)險(xiǎn),與不安全通信網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn) 商家所面臨的風(fēng)險(xiǎn) 客戶假冒 拒絕服務(wù)襲擊 故意性的破壞網(wǎng)站 數(shù)據(jù)的失竊 產(chǎn)品或者服務(wù)出現(xiàn)問題的賠償 侵犯版權(quán)、商標(biāo)、專利引起的訴訟 ,2020/8/11,電子商務(wù)安全與管理,9,電子商務(wù)中存在的安全風(fēng)險(xiǎn),與企業(yè)內(nèi)部網(wǎng)相關(guān)的風(fēng)險(xiǎn) 離職員工的破壞活動(dòng) 在職員工的威脅 不適當(dāng)?shù)厥褂秒娮余]件和互聯(lián)網(wǎng) ,2020/8/11,電子商務(wù)安全與管理,1

5、0,電子商務(wù)中存在的安全風(fēng)險(xiǎn),貿(mào)易伙伴間商業(yè)交易數(shù)據(jù)傳輸中的風(fēng)險(xiǎn) 企業(yè)內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)及互聯(lián)網(wǎng)之間的關(guān)系 數(shù)據(jù)截取 受保密措施維護(hù)的檔案文件、主文件與參考數(shù)據(jù)所面臨的風(fēng)險(xiǎn),2020/8/11,電子商務(wù)安全與管理,11,電子商務(wù)中存在的安全風(fēng)險(xiǎn),電子商務(wù)安全與管理,12,8.1 電子商務(wù)安全風(fēng)險(xiǎn)管理的演進(jìn),8.1.1 電子商務(wù)安全管理的發(fā)展歷程 事件驅(qū)動(dòng)時(shí)期 只重視技術(shù)防御 靜態(tài)、局部、事后糾正 標(biāo)準(zhǔn)化時(shí)期 基本形成安全管理體系 安全風(fēng)險(xiǎn)分析不足,2020/8/11,電子商務(wù)安全與管理,13,8.1.1 電子商務(wù)安全管理的發(fā)展歷程 安全風(fēng)險(xiǎn)管理時(shí)期 電子商務(wù)安全風(fēng)險(xiǎn)：由于從事電子商務(wù)活動(dòng)過程中

6、相關(guān)的網(wǎng)絡(luò)以及系統(tǒng)存在的安全不確定性而產(chǎn)生的經(jīng)濟(jì)或其他利益的損失、自然破壞或損害的可能性,8.1電子商務(wù)安全風(fēng)險(xiǎn)管理的演進(jìn),2020/8/11,電子商務(wù)安全與管理,14,8.1.1 電子商務(wù)安全管理的發(fā)展歷程 安全風(fēng)險(xiǎn)管理時(shí)期 風(fēng)險(xiǎn)管理（Risk Management） 降低各種風(fēng)險(xiǎn)的發(fā)生概率，或當(dāng)某種風(fēng)險(xiǎn)突然降臨時(shí)，減少損失的管理過程 宗旨：承認(rèn)成功的攻擊將會(huì)存在，但發(fā)生的可能性及產(chǎn)生后果的嚴(yán)重程度將被控制在最小值 風(fēng)險(xiǎn)管理最早于1930年起源于美國。由于受到19291933年的世界性經(jīng)濟(jì)危機(jī)的影響，美國約有40左右的銀行和企業(yè)破產(chǎn)，經(jīng)濟(jì)倒退了約20年。美國企業(yè)為應(yīng)對(duì)經(jīng)營上的危機(jī)，許多大中型

7、企業(yè)都在內(nèi)部設(shè)立了保險(xiǎn)管理部門，負(fù)責(zé)安排企業(yè)的各種保險(xiǎn)項(xiàng)目 所屬學(xué)科： 通信科技（一級(jí)學(xué)科）；政策、法規(guī)與管理（二級(jí)學(xué)科） IT風(fēng)險(xiǎn)管理與分析,8.1電子商務(wù)安全風(fēng)險(xiǎn)管理的演進(jìn),2020/8/11,電子商務(wù)安全與管理,15,8.1.2 電子商務(wù)安全風(fēng)險(xiǎn)管理的現(xiàn)狀 企業(yè)已對(duì)安全風(fēng)險(xiǎn)管理達(dá)成共識(shí) 安全風(fēng)險(xiǎn)管理的國際標(biāo)準(zhǔn)和各國規(guī)范逐漸形成并趨于完善 利用外部專業(yè)化機(jī)構(gòu)進(jìn)行安全性評(píng)估已成為大部分國家的選擇 國內(nèi)的權(quán)威IT技術(shù)審計(jì)機(jī)構(gòu)/信息安全評(píng)測(cè)機(jī)構(gòu),8.1電子商務(wù)安全風(fēng)險(xiǎn)管理的演進(jìn),2020/8/11,電子商務(wù)安全與管理,16,8.1電子商務(wù)安全風(fēng)險(xiǎn)管理的演進(jìn),2020/8/11,電子商務(wù)安全與管理

8、,17,8.1電子商務(wù)安全風(fēng)險(xiǎn)管理的演進(jìn),2020/8/11,電子商務(wù)安全與管理,18,8.1電子商務(wù)安全風(fēng)險(xiǎn)管理的演進(jìn),2020/8/11,電子商務(wù)安全與管理,19,8.1電子商務(wù)安全風(fēng)險(xiǎn)管理的演進(jìn),2020/8/11,電子商務(wù)安全與管理,20,8.1電子商務(wù)安全風(fēng)險(xiǎn)管理的演進(jìn),2020/8/11,電子商務(wù)安全與管理,21,8.2 電子商務(wù)安全風(fēng)險(xiǎn)管理流程,8.2.1 安全風(fēng)險(xiǎn)管理中的因素關(guān)系 8.2.2 風(fēng)險(xiǎn)識(shí)別分析 8.2.3 風(fēng)險(xiǎn)評(píng)估 8.2.4 風(fēng)險(xiǎn)控制和風(fēng)險(xiǎn)接受 8.2.5 監(jiān)控和審計(jì),2020/8/11,電子商務(wù)安全與管理,22,8.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程,8.2.1 安全風(fēng)

9、險(xiǎn)管理中的因素關(guān)系,2020/8/11,有漏洞的電子商務(wù)系統(tǒng)一定會(huì)出現(xiàn)安全問題嗎？,受到威脅的電子商務(wù)系統(tǒng)一定會(huì)出現(xiàn)安全問題嗎？,No!,安全需求,信息資產(chǎn)的價(jià)值會(huì)影響實(shí)際風(fēng)險(xiǎn)嗎？,Yes!,No!,電子商務(wù)安全與管理,23,8.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程,8.2.1 安全風(fēng)險(xiǎn)管理中的因素關(guān)系,2020/8/11,風(fēng)險(xiǎn)識(shí)別分析階段,風(fēng)險(xiǎn)評(píng)估階段,風(fēng)險(xiǎn)控制階段,電子商務(wù)安全與管理,24,8.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程,8.2.2 風(fēng)險(xiǎn)識(shí)別分析 1.風(fēng)險(xiǎn)識(shí)別的一般步驟 信息資產(chǎn)的識(shí)別與估價(jià) 定性方法 威脅的識(shí)別與評(píng)估 分級(jí)賦值 薄弱點(diǎn)評(píng)價(jià),2020/8/11,定性,電子商務(wù)安全與管理,25,8.2

10、電子商務(wù)安全風(fēng)險(xiǎn)管理流程,8.2.2 風(fēng)險(xiǎn)識(shí)別分析 2.風(fēng)險(xiǎn)識(shí)別階段的常用方法 風(fēng)險(xiǎn)分析調(diào)查表 分類法,2020/8/11,電子商務(wù)安全與管理,26,8.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程,8.2.2 風(fēng)險(xiǎn)識(shí)別分析 2.風(fēng)險(xiǎn)識(shí)別階段的常用方法 事故樹分析法 事故樹分析法（Accident Tree Analysis，簡稱ATA）起源于故障樹分析法（Fault Tree Analysis，簡稱FTA），是安全系統(tǒng)工程的重要分析方法之一 屬于演繹法：從結(jié)果入手，分析原因,2020/8/11,小知識(shí)：你知道什么是歸納法嗎？,電子商務(wù)安全與管理,27,8.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程,8.2.2 風(fēng)險(xiǎn)識(shí)別分析

11、2.風(fēng)險(xiǎn)識(shí)別階段的常用方法 事故樹分析法 事故樹分析法首先由美國貝爾實(shí)驗(yàn)室于1961年為研究民兵式導(dǎo)彈發(fā)射控制系統(tǒng)時(shí)提出，1974年美國原子能委員會(huì)運(yùn)用FTA對(duì)核電站事故進(jìn)行了風(fēng)險(xiǎn)評(píng)價(jià)，發(fā)表了著名的拉姆遜報(bào)告。該報(bào)告對(duì)事故樹分析作了大規(guī)模有效的應(yīng)用。此后，在社會(huì)各界引起了極大的反響，受到了廣泛的重視，從而迅速在許多國家和許多企業(yè)應(yīng)用和推廣。 中國開展事故樹分析方法的研究是從1978年開始的。80年代末，鐵路運(yùn)輸系統(tǒng)開始把事故樹分析方法應(yīng)用到安全生產(chǎn)和勞動(dòng)保護(hù)上來，也已取得了較好的效果。,2020/8/11,電子商務(wù)安全與管理,28,8.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程,8.2.2 風(fēng)險(xiǎn)識(shí)別分析 2.

12、風(fēng)險(xiǎn)識(shí)別階段的常用方法 事故樹分析法 事故樹由各種符號(hào)和其連接的邏輯門組成 矩形符號(hào)：表示結(jié)果事件 “機(jī)動(dòng)車追尾” “服務(wù)中斷” 圓形符號(hào)：表示基本(原因)事件 “酒后開車” “拒絕服務(wù)攻擊” 邏輯門符號(hào)：表示與、或、非 ,2020/8/11,電子商務(wù)安全與管理,29,8.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程,8.2.2 風(fēng)險(xiǎn)識(shí)別分析 2.風(fēng)險(xiǎn)識(shí)別階段的常用方法 事故樹分析法,2020/8/11,電子商務(wù)安全與管理,30,8.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程,8.2.2 風(fēng)險(xiǎn)識(shí)別分析 2.風(fēng)險(xiǎn)識(shí)別階段的常用方法 事故樹分析法,2020/8/11,電子商務(wù)安全與管理,31,8.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程,8.2

13、.3 風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)識(shí)別工作結(jié)束后，要利用適當(dāng)?shù)娘L(fēng)險(xiǎn)測(cè)量方法、工具確定風(fēng)險(xiǎn)的大小與風(fēng)險(xiǎn)等級(jí)，這就是風(fēng)險(xiǎn)評(píng)估過程 請(qǐng)學(xué)習(xí)P315 例1，例2,2020/8/11,定量,R=R(PT, PV, I),I=VCL,電子商務(wù)安全與管理,32,8.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程,8.2.3 風(fēng)險(xiǎn)評(píng)估 根據(jù)風(fēng)險(xiǎn)計(jì)算的結(jié)果，可以得到資產(chǎn)風(fēng)險(xiǎn)評(píng)估的相對(duì)優(yōu)先順序，將風(fēng)險(xiǎn)劃分為不同的等級(jí)，風(fēng)險(xiǎn)級(jí)別高的資產(chǎn)需要優(yōu)先分配資源保護(hù),2020/8/11,例2中哪個(gè)子系統(tǒng)將優(yōu)先分配資源進(jìn)行保護(hù)？,電子商務(wù)子系統(tǒng),電子商務(wù)安全與管理,33,8.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程,8.2.4 風(fēng)險(xiǎn)控制和風(fēng)險(xiǎn)接受 風(fēng)險(xiǎn)控制的基本方法 減少威

14、脅程度 減少薄弱點(diǎn),2020/8/11,風(fēng)險(xiǎn)規(guī)避,風(fēng)險(xiǎn)預(yù)防,風(fēng)險(xiǎn)分散,風(fēng)險(xiǎn)轉(zhuǎn)移,電子商務(wù)安全與管理,34,8.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程,8.2.4 風(fēng)險(xiǎn)控制和風(fēng)險(xiǎn)接受 風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)接受過程,2020/8/11,Rr=R0-R, RrRt,電子商務(wù)安全與管理,35,8.2電子商務(wù)安全風(fēng)險(xiǎn)管理流程,8.2.5 監(jiān)控和審計(jì) 實(shí)時(shí)監(jiān)控 網(wǎng)絡(luò)安全性掃描 系統(tǒng)漏洞掃描 數(shù)據(jù)庫自動(dòng)掃描 人員操作情況掃描 審計(jì)評(píng)估 操作系統(tǒng)的審計(jì) 應(yīng)用系統(tǒng)的審計(jì) 設(shè)備的審計(jì) 網(wǎng)絡(luò)應(yīng)用的審計(jì) 專門的審計(jì)評(píng)估系統(tǒng)的作用,2020/8/11,反饋,電子商務(wù)安全與管理,36,8.3 電子商務(wù)安全風(fēng)險(xiǎn)管理的整體策略,8.3.1 安全

15、風(fēng)險(xiǎn)管理策略應(yīng)遵循的原則 制定前提 對(duì)法律法規(guī)要求的依從 對(duì)組織業(yè)務(wù)要求的依從 對(duì)經(jīng)濟(jì)原則的依從,2020/8/11,安全策略,具體措施,指導(dǎo)方針,實(shí)施細(xì)節(jié),電子商務(wù)安全與管理,37,8.3.1 安全風(fēng)險(xiǎn)管理策略應(yīng)遵循的原則 1.控制論和系統(tǒng)論思想的運(yùn)用 信息方法,2020/8/11,8.3電子商務(wù)安全風(fēng)險(xiǎn)管理的整體策略,電子商務(wù)安全與管理,38,8.3.1 安全風(fēng)險(xiǎn)管理策略應(yīng)遵循的原則 1.控制論和系統(tǒng)論思想的運(yùn)用 信息方法 反饋方法 2.借鑒其他領(lǐng)域的風(fēng)險(xiǎn)管理方法 目前電子商務(wù)安全風(fēng)險(xiǎn)管理方法與傳統(tǒng)風(fēng)險(xiǎn)管理方法的差距 風(fēng)險(xiǎn)評(píng)估矩陣,2020/8/11,8.3電子商務(wù)安全風(fēng)險(xiǎn)管理的整體策略,

16、電子商務(wù)安全與管理,39,2020/8/11,8.3電子商務(wù)安全風(fēng)險(xiǎn)管理的整體策略,電子商務(wù)安全與管理,40,8.3.1 安全風(fēng)險(xiǎn)管理策略應(yīng)遵循的原則 2.借鑒其他領(lǐng)域的風(fēng)險(xiǎn)管理方法 目前電子商務(wù)安全風(fēng)險(xiǎn)管理方法與傳統(tǒng)風(fēng)險(xiǎn)管理方法的差距 風(fēng)險(xiǎn)評(píng)估矩陣 敏感性分析（Sensitivity Analysis） 對(duì)模型中參數(shù)的小變化可能導(dǎo)致的狀態(tài)變化的研究 若某參數(shù)的小幅度變化能導(dǎo)致經(jīng)濟(jì)效果指標(biāo)的較大變化，則稱此參數(shù)為敏感性因素，反之則稱其為非敏感性因素,2020/8/11,8.3電子商務(wù)安全風(fēng)險(xiǎn)管理的整體策略,電子商務(wù)安全與管理,41,2020/8/11,8.3電子商務(wù)安全風(fēng)險(xiǎn)管理的整體策略,電子商務(wù)安全與管理,42,8.3.1 安全風(fēng)險(xiǎn)管理策略應(yīng)遵循的原則 2.借鑒其他領(lǐng)域的風(fēng)險(xiǎn)管理方法 目前電子商務(wù)安全風(fēng)險(xiǎn)管理方法與傳統(tǒng)風(fēng)險(xiǎn)管理方法的差距 風(fēng)險(xiǎn)評(píng)估矩陣 敏感性分析（Sensitivity Analysis） 模擬 專家打分法 經(jīng)驗(yàn)判斷法 3.融入企業(yè)整體風(fēng)險(xiǎn)管理,2020/8/11,8.3電子商務(wù)安全風(fēng)險(xiǎn)管理的整體策略,電子商務(wù)安全與管理,43,8.3.2 策略的總體框架 在安全風(fēng)險(xiǎn)管理策略系統(tǒng)中技術(shù)和管理手段的無縫集成,8.3電子商務(wù)安全風(fēng)險(xiǎn)管理的整體策略,2020/8/11,電子商務(wù)安全與管理,44,8.3.2 策略的總體框架 包括電子商務(wù)安全風(fēng)險(xiǎn)控制的企