第八章电子商务安全风险管理

第8章电子商务安全风险管理问题的提出电子商务在今日充满机遇，可是作为一名电子商务的参与者，你是否了解电子商务中哪些要素的收益和风险是并存的？在大多数情况下，电子商务系统顺利的运行，但可能有时候，一个意外和无法控制的外部事件会扰乱正常的业务操作作好最坏情况的准备，是风险管理的重要方面2019/8/25电子商务安全与管理2抓狂引例1-会计咨询公司ArmstrongGilmour的倒闭90年代末，PhilGilmour是加利福尼亚的一家会计咨询公司ArmstrongGilmour的管理合伙人。公司相当一部分业务是个人委托的管理私人抚恤基金业务。客户的养老金和投资数据存储在一个公司数据库，客户可以在线访问数据库，并核对他们的帐户。Gilmour致力于管理的养老基金业务增长迅速，因为无法处理日益繁忙的存储，数据库崩溃了。幸运的是，公司的计算机系统有一个磁带备份，因此Gilmour认为客户的数据应该是安全的。当该公司试图恢复养老金数据备份磁带的时候，却发现磁带上的数据已经被损坏了。剩下的唯一的选择是昂贵和痛苦的。公司的员工在接下来几个星期内不得不花费很长的时间长重新手动恢复数据库。但这次灾难耗费的总费用可能远远大于员工耗费的时间和用于数据库恢复的数千美元。在公司失去一部分委托人的信任和信誉之后，Gilmour最终损失了数百万美元，以低价出售了公司。2019/8/25电子商务安全与管理3电子商务安全与管理4引例2——汇丰银行网络一天内遭万次攻击顾客信心受损汇丰银行网络所遭受的攻击引发了电子商务时代企业安全风险管理的重视，但是企业该如何加强安全风险管理呢？2019/8/25电子商务安全与管理5电子商务中存在的安全风险8.1电子商务安全风险管理的演进8.2电子商务安全风险管理流程8.3电子商务安全风险管理的整体策略目录2019/8/25思考：电子商务中存在哪些安全风险？自然灾害火灾洪水飓风地震……2019/8/25电子商务安全与管理6与不安全通信网络相关的风险消费者所面临的风险•虚假的或恶意的网站•用户数据的泄露•隐私与cookies的使用2019/8/25电子商务安全与管理7电子商务中存在的安全风险与不安全通信网络相关的风险消费者所面临的风险2019/8/25电子商务安全与管理8电子商务中存在的安全风险与不安全通信网络相关的风险商家所面临的风险•客户假冒•拒绝服务袭击•故意性的破坏网站•数据的失窃•产品或者服务出现问题的赔偿•侵犯版权、商标、专利引起的诉讼•……2019/8/25电子商务安全与管理9电子商务中存在的安全风险与企业内部网相关的风险离职员工的破坏活动在职员工的威胁•不适当地使用电子邮件和互联网•……2019/8/25电子商务安全与管理10电子商务中存在的安全风险贸易伙伴间商业交易数据传输中的风险企业内部网、企业外部网及互联网之间的关系数据截取受保密措施维护的档案文件、主文件与参考数据所面临的风险2019/8/25电子商务安全与管理11电子商务中存在的安全风险电子商务安全与管理128.1电子商务安全风险管理的演进8.1.1电子商务安全管理的发展历程事件驱动时期•只重视技术防御•静态、局部、事后纠正标准化时期•基本形成安全管理体系•安全风险分析不足2019/8/25电子商务安全与管理138.1.1电子商务安全管理的发展历程安全风险管理时期•电子商务安全风险：由于从事电子商务活动过程中相关的网络以及系统存在的安全不确定性而产生的经济或其他利益的损失、自然破坏或损害的可能性8.1电子商务安全风险管理的演进2019/8/25电子商务安全与管理148.1.1电子商务安全管理的发展历程安全风险管理时期•风险管理（RiskManagement）–降低各种风险的发生概率，或当某种风险突然降临时，减少损失的管理过程–宗旨：承认成功的攻击将会存在，但发生的可能性及产生后果的严重程度将被控制在最小值–风险管理最早于1930年起源于美国。由于受到1929－1933年的世界性经济危机的影响，美国约有40％左右的银行和企业破产，经济倒退了约20年。美国企业为应对经营上的危机，许多大中型企业都在内部设立了保险管理部门，负责安排企业的各种保险项目–所属学科：通信科技（一级学科）；政策、法规与管理（二级学科）•IT风险管理与分析8.1电子商务安全风险管理的演进2019/8/25电子商务安全与管理158.1.2电子商务安全风险管理的现状企业已对安全风险管理达成共识安全风险管理的国际标准和各国规范逐渐形成并趋于完善利用外部专业化机构进行安全性评估已成为大部分国家的选择•国内的权威IT技术审计机构/信息安全评测机构8.1电子商务安全风险管理的演进2019/8/25电子商务安全与管理168.1电子商务安全风险管理的演进2019/8/25电子商务安全与管理178.1电子商务安全风险管理的演进2019/8/25电子商务安全与管理188.1电子商务安全风险管理的演进2019/8/25电子商务安全与管理198.1电子商务安全风险管理的演进2019/8/25电子商务安全与管理208.1电子商务安全风险管理的演进2019/8/25电子商务安全与管理218.2电子商务安全风险管理流程8.2.1安全风险管理中的因素关系8.2.2风险识别分析8.2.3风险评估8.2.4风险控制和风险接受8.2.5监控和审计2019/8/25电子商务安全与管理228.2电子商务安全风险管理流程8.2.1安全风险管理中的因素关系2019/8/25有漏洞的电子商务系统一定会出现安全问题吗？受到威胁的电子商务系统一定会出现安全问题吗？No!安全需求信息资产的价值会影响实际风险吗？Yes!No!电子商务安全与管理238.2电子商务安全风险管理流程8.2.1安全风险管理中的因素关系2019/8/25风险识别分析阶段风险评估阶段风险控制阶段电子商务安全与管理248.2电子商务安全风险管理流程8.2.2风险识别分析1.风险识别的一般步骤信息资产的识别与估价•定性方法威胁的识别与评估•分级赋值薄弱点评价2019/8/25定性电子商务安全与管理258.2电子商务安全风险管理流程8.2.2风险识别分析2.风险识别阶段的常用方法风险分析调查表•分类法资产风险分析调查表1.网络设备a.网络设备有无专人管理？b.有无专门的网络设备维护制度？c.网络设备有无备份？d.……2.服务器a.服务器有无专门的管理制度？b.服务器是否有备份？c.服务器内容的访问规则有否？d.……3.数据库a.数据库的更新频率是否符合标准b.数据库内容是否备份？c.企业是否将全部重要信息都集中保存？d.……4.……是否2019/8/25电子商务安全与管理268.2电子商务安全风险管理流程8.2.2风险识别分析2.风险识别阶段的常用方法事故树分析法•事故树分析法（AccidentTreeAnalysis，简称ATA）起源于故障树分析法（FaultTreeAnalysis，简称FTA），是安全系统工程的重要分析方法之一•属于演绎法：从结果入手，分析原因2019/8/25小知识：你知道什么是归纳法吗？电子商务安全与管理278.2电子商务安全风险管理流程8.2.2风险识别分析2.风险识别阶段的常用方法事故树分析法•事故树分析法首先由美国贝尔实验室于1961年为研究民兵式导弹发射控制系统时提出，1974年美国原子能委员会运用FTA对核电站事故进行了风险评价，发表了著名的《拉姆逊报告》。该报告对事故树分析作了大规模有效的应用。此后，在社会各界引起了极大的反响，受到了广泛的重视，从而迅速在许多国家和许多企业应用和推广。•中国开展事故树分析方法的研究是从1978年开始的。80年代末，铁路运输系统开始把事故树分析方法应用到安全生产和劳动保护上来，也已取得了较好的效果。2019/8/25电子商务安全与管理288.2电子商务安全风险管理流程8.2.2风险识别分析2.风险识别阶段的常用方法事故树分析法•事故树由各种符号和其连接的逻辑门组成–矩形符号：表示结果事件–“机动车追尾”–“服务中断”–……–圆形符号：表示基本(原因)事件–“酒后开车”–“拒绝服务攻击”–……–逻辑门符号：表示与、或、非–……2019/8/25电子商务安全与管理298.2电子商务安全风险管理流程8.2.2风险识别分析2.风险识别阶段的常用方法事故树分析法2019/8/25电子商务安全与管理308.2电子商务安全风险管理流程8.2.2风险识别分析2.风险识别阶段的常用方法事故树分析法病毒攻击服务中断设备毁坏管理缺陷泄密制度漏洞火灾损失事故声誉破坏2019/8/25电子商务安全与管理318.2电子商务安全风险管理流程8.2.3风险评估风险识别工作结束后，要利用适当的风险测量方法、工具确定风险的大小与风险等级，这就是风险评估过程请学习P315例1，例22019/8/25定量R=R(PT,PV,I)I=V×CL电子商务安全与管理328.2电子商务安全风险管理流程8.2.3风险评估根据风险计算的结果，可以得到资产风险评估的相对优先顺序，将风险划分为不同的等级，风险级别高的资产需要优先分配资源保护2019/8/25例2中哪个子系统将优先分配资源进行保护？电子商务子系统电子商务安全与管理338.2电子商务安全风险管理流程8.2.4风险控制和风险接受风险控制的基本方法•减少威胁程度•减少薄弱点2019/8/25风险规避风险预防风险分散风险转移电子商务安全与管理348.2电子商务安全风险管理流程8.2.4风险控制和风险接受风险评估－风险接受过程风险评估过程安全控制措施选择实施安全控制降低风险接受残余风险2019/8/25Rr=R0-△R,Rr≤Rt电子商务安全与管理358.2电子商务安全风险管理流程8.2.5监控和审计实时监控•网络安全性扫描•系统漏洞扫描•数据库自动扫描•人员操作情况扫描审计评估•操作系统的审计•应用系统的审计•设备的审计•网络应用的审计专门的审计评估系统的作用2019/8/25反馈电子商务安全与管理368.3电子商务安全风险管理的整体策略8.3.1安全风险管理策略应遵循的原则制定前提•对法律法规要求的依从•对组织业务要求的依从•对经济原则的依从2019/8/25安全策略具体措施指导方针实施细节电子商务安全与管理378.3.1安全风险管理策略应遵循的原则1.控制论和系统论思想的运用信息方法2019/8/258.3电子商务安全风险管理的整体策略电子商务安全与管理388.3.1安全风险管理策略应遵循的原则1.控制论和系统论思想的运用信息方法反馈方法2.借鉴其他领域的风险管理方法目前电子商务安全风险管理方法与传统风险管理方法的差距风险评估矩阵2019/8/258.3电子商务安全风险管理的整体策略电子商务安全与管理392019/8/258.3电子商务安全风险管理的整体策略电子商务安全与管理408.3.1安全风险管理策略应遵循的原则2.借鉴其他领域的风险管理方法目前电子商务安全风险管理方法与传统风险管理方法的差距风险评估矩阵敏感性分析（SensitivityAnalysis）•对模型中参数的小变化可能导致的状态变化的研究•若某参数的小幅度变化能导致经济效果指标的较大变化，则称此参数为敏感性因素，反之则称其为非敏感性因素2019/8/258.3电子商务安全风险管理的整体策略电子商务安全与管理412019/8/258.3电子商务安全风险管理的整体策略电子商务安全与管理428.3.1安全风险管理策略应遵循的原则2.借鉴其他领域的风险管理方法目前电子商务安全风险管理方法与传统风险管理方法的差距风险评估矩阵敏感性分析（SensitivityAnalysis）模拟专家打分法经验判断法……3.融入企业整体风险管理2019/8/258.3电子商务安全风险管理的整体策略电子商务安全与管理438.3.2策略的总体框架在安全风险管理策略系统中技术和管理手段的无缝集成8.3电子商务安全风险管理的整体策略2019/8/25电子商务安全与管理448.3.2策略的总体框架包括电子商务安全风险控制的企业整体风险控制8.3电子商务安全风险管