第8章电子商务安全策略设计与实现

第八章电子商务安全策略设计与实现第八章电子商务安全策略设计与实现•真正的电子商务安全绝对不是单纯的技术向题，而安全体系也不是简单的安全产品的堆积。真正的安全是一项复杂的系统工程，包含了多方面的要素。根据“信息安全三元论”，信息安全有3个要素：安全策略、安全技术和安全管理。•安全策略包括各种安全技术策略、法律法规、规章制度、技术标准、管理规范等，是一个组织解决信息安全问题最重要的步骤，也是整个系统安全保障体系的核心，是整个电子商务系统安全建设的依据。8.1.1安全策略的概念•策略指“以正式形式出现的，经管理层同意和批准的，规定了组织行动方向和行动自由程度的途径”，或者说策略是管理层对某个主题有关意见的一种陈述形式。在电子商务系统安全领域，为实现网络安全，不但靠先进的技术，而且也得靠严格的安全管理，法律约束和安全教育——这些都表现为具体的“策略”。8.1.1安全策略的概念•制定电子商务安全策略的目的是为了保障电子商务系统的机密性、完整性、认证性、不可否认性、不可拒绝性和访问控制性不被破坏；能够有序地、经常地鉴别和测试安全状态；能够对可能的风险有—个基本评估；系统的安全被破坏后的恢复措施和手段，以及所需的代价。8.1.1安全策略的概念•在安全策略中，一般都包含“未经授权的实体，信息不可给与、不被访问、不允许引用、不得修改”等要求，这是按授权区分不同的策略。按授权性质可分为基于规则的安全策略和基于身份的安全策略。授权服务分为管理强加的和动态选取的两种。安全策略将确定哪些安全措施须强制执行，哪些安全措施可根据用户需要选择。大多数安全策略应该是强制执行的。1.基于身份的安全策略2.基于规则的安全策略8.1.2安全策略的基本内容•一个电子商务系统网络信息的总体安全策略，可以概括为“实体可信，行为可控，资源可管，事件可查，运行可靠”几个要求。总体安全策略为其他安全策略的制定提供总的依据。8.1.2安全策略的基本内容•1.系统总体安全策略•2.访问权限控制策略•3.物理安全防范策略•4.信息加密策略•5.黑客策略•6.风险管理策略•7.灾难恢复策略8.1.3制定安全策略的保障1.高水平的信息安全人才与先进的信息安全技术是制定和实现信息系统安全策略的根本保证。2.严格的安全管理是确保安全策略落实的基础。3.严格的标准与法律、法规是制定安全策略的坚强后盾。8.2电子商务安全策略设计•简单来说，安全策略的设计应考虑以下三大要素：1.采用什么策略？2.谁来实施和管理策略？3.怎样向员工传达这些策略？8.2.1设计安全策略的指导思想•建立安全策略的过程应该是一个协商的团体活动，起草小组应该包括业务部门的代表，安全策略草稿完成后，应该将它发放到业务部门去征求意见，弄清安全策略会如何影响各部门的业务活动。同时在这些活动中，发现一些熟悉部门情况能代表部门意见帮助与部门进行沟通的业务联络人员。最终，安全策略是财政现实和安全之间的一种权衡。8.2.1设计安全策略的指导思想•在设计安全策略时，遵守下面的一些要求:1.SMART原则2.四个C的要求3.KISS原则4.统一角色和任务5.抽象级别和弹性8.2.2安全策略的设计范围在设计策略的范围时，主要应考虑的方面如下：•物理安全策略•网络安全策略•数据加密策略•数据备份策略•病毒防护策略•系统安全策略•身份认证策略•灾难恢复策略•事故处理、紧急响应策略•安全教育策略•口令管理策略•补丁管理策略•系统变更控制策略•商业伙伴、客户关系策略•复查审计策略8.2.3安全策略制定原则•在制定安全策略时应邀循如下一些总的原则：1.整体性原则2.平衡分析原则3.综合性、系统性原则4.一致性原则5.易操作性原则6.适应性和灵活性原则7.多重保护原则8.2.4安全策略制定步骤通常电子商务系统安全策略的制定包含如下步骤：1.确定目标2.确定范围3.争取来自高层管理的支持4.其他策略参考5.危险评估6.制定策略与成分决定7.策略评估8.3电子商务安全策略的实施•安全策略的实施分为“技术层面”与“管理层面”两个方面来分别考虑。8.3.1技术层面安全策略的实施框架•技术层面安全策略的实现涉及到以下几个主要部分:1.获取必要的证书2.密钥协商和管理3.身份认征4.安全协作的建立5.安全的实现8.3.3管理层面安全策略的实施1.掌握电子商务安全政策、法规2.建立电子商务安全评估体系3.制定电子商务安全标准4.制定电子商务安全审计制度5.普及企业的信息安全服务意识6.建立快速的预警机制7.制定并执行严格的病毒防治技术规范