电子商务系统安全规划培训资料.pptx

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,第章 电子商务系统安全规划,1,电子商务系统安全规划培训资料,第1页,本章内容,.1 电子商务系统安全,.2 电子商务系统安全体系框架,.3 电子商务系统安全设计标准,.4 电子商务系统安全体系设计,2,电子商务系统安全规划培训资料,第2页,.1,电子商务系统安全,电子商务系统安全问题包括到许多方面。,首先，安全不是一个单一问题。,其次，安全问题是动态。,再次，安全问题不能仅仅由技术来完全处理,。,3,电子商务系统安全规划培训资料,第3页,.2 电子商务系统安全体系,框架,电子商务还没有统一建立标准系统安全体系框架。可参考信息系统安全体系框架。,信息系统安全,总需求,是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共信息安全总和。,信息系统安全,最终目标,是确保信息保密性、完整性、可用性、可审计性和不可否定性，以及信息系统主体对信息资源控制。,4,电子商务系统安全规划培训资料,第4页,.2 电子商务系统安全体系,框架,信息系统安全体系结构示意图,5,电子商务系统安全规划培训资料,第5页,.3 电子商务系统安全设计标准,均衡性,整体性,一致性,易操作性,可靠性,层次性,可评价性,6,电子商务系统安全规划培训资料,第6页,.4 电子商务系统安全体系设计,制订安全规划,工作步骤,包含：,对企业电子商务系统安全风险进行评定,分析企业电子商务系统安全需求,定义企业电子商务系统安全规划范围,建立项目小组以设计和实施安全规划,制订企业电子商务系统安全策略,制订企业电子商务系统安全方案,评定安全方案代价和优缺点,测试和实施安全方案,7,电子商务系统安全规划培训资料,第7页,6.4.1 识别企业信息资产,要保护企业电子商务系统安全，首先要知道企业中有哪些可识别资产，哪些是最关键、需要重点防护，哪些是次要一些不过也需要保护，哪些是不需要专门关注。,企业信息资产包含：数据与文档、硬件，软件，人员四个方面。,8,电子商务系统安全规划培训资料,第8页,.4.1 识别企业信息资产,资 产 类 型,说 明,硬件,包含服务器、工作站、路由器、交换机、防火墙、入侵检测系统、终端、打印机等整件设备，也包含主板、CPU、硬盘、显示器等散件设备,软件,包含源代码、应用程序、工具、分析测试软件、操作系统等,数据,包含软硬件运行中中间数据、备份资料、系统状态、审计日志、数据库资料等,人员,包含用户、管理员、维护人员等,文档,包含软件程序、硬件设备、系统状态、当地管理过程资料,消耗品,包含纸张、软盘、磁带等,企业信息资产,9,电子商务系统安全规划培训资料,第9页,.4.2 电子商务系统风险识别、分析和评定,1.电子商务系统面临威胁,电子商务关键是经过信息网络技术来传递商业信息和进行网络交易，所以从整体上来看，电子商务安全主要可划分为,计算机信息系统安全和商务交易安全,等。,10,电子商务系统安全规划培训资料,第10页,1电子商务面临威胁,（1）计算机信息系统面临威胁,人为无意失误,人为恶意攻击,软件漏洞和“后门”,11,电子商务系统安全规划培训资料,第11页,1电子商务面临威胁,（2）电子商务交易安全威胁类别。,信息截获和窃取。,信息篡改。,假冒。,交易抵赖。,12,电子商务系统安全规划培训资料,第12页,2.电子商务系统风险分析和评定,敏感性结果,决定电子商务系统敏感性等级原因有两个：,第一个是事故直接后果。,第二个应考虑原因是政治上和企业敏感性,。,13,电子商务系统安全规划培训资料,第13页,风险评定矩阵,在风险评定矩阵中，考虑各种原因，而且还应考虑它们之间关系。,14,电子商务系统安全规划培训资料,第14页,风险评定矩阵,危险性,评定,可见性,评定,分数,危险不太活跃，而且暴露于危险中机会不很多,1,很低可见性，没有提供任何公共信息服务，,1,危险并不明确，而且危险是多重,3,间断提供公共信息服务，,3,危险非常活跃，而且危险是多重,5,连续提供公共信息服务，,5,风险评定矩阵列表1,15,电子商务系统安全规划培训资料,第15页,风险评定矩阵,事故结果,评定,事故结果影响,评定,分数,没有任何影响和损夫；在损失预算之内：风险能够转移,1,损失在生意运作中能够接收：或对企业无较大影响，,1,企业内部正常运行受到影响超出了损失预算：存在机会成本,3,对企业运转有不可接收影响,3,企业外部生意受到影响；对企业财政有致命影响,5,对企业经营管理有不可接收影响,5,风险评定矩阵列表2,16,电子商务系统安全规划培训资料,第16页,（3）基本风险评定,风险评定和管理任务,详细风险评定活动,资产识别和估价,列出在安全管理体系范围内被评定商业环境、运作和信息相关资产,威胁评定,使用通用或普通常见威胁列表，列出资产威胁,微弱点评定,应用通用或普通常见微弱点列表，列出资产微弱点,现有和计划了安全控制识别,依据前期安全评审，对全部与资产相关联现有和计划了控制进行识别和文件化,风险评定,搜集由上述评定产生相关资产、威胁和微弱点信息，方便能够进行一个系统、简单风险测量,安全控制和降低风险识别和选择,对于每一项列出资产，确认相关控制目标。应用与这些资产每一个方面相关威胁和微弱点，选择相关联控制，以完成这些目标,风险接收,在整体基础上，经过选择附加控制，考虑更深入降低风险,基本风险评定活动,17,电子商务系统安全规划培训资料,第17页,（4）详细风险评定,风险评定和管理任务,详细风险评定活动,资产识别和估价,识别和列出安全管理范围内被评定商业环境、运作和信息相关全部资产，定义一个价值尺度并为每一项资产分配价值（保密性、完整性和可用性价值）,威胁评定,识别与资产相关全部威胁，并依据它们发生可能性和严重性为它们赋值,微弱点评定,识别与资产相关全部微弱点，并依据它们怎样轻易被威胁利用来为它们赋值,现有和计划了安全控制识别,依据前期评审，将全部现有和计划了与资产相关安全控制进行识别和文件化,风险评定,利用上述对资产、威胁、微弱点评价结果，进行风险评定，风险为资产相对价值、威胁发生可能性与微弱点被利用可能性函数，采取适当风险测量工具进行风险计算,安全控制和降低风险识别和选择,依据从上述评定中识别风险，适当安全控制需要被识别以阻止这些风险。对于每一项资产，识别与每一项被评定风险相关控制目标。依据对这些资产每一项相关威胁和微弱点识别安全控制，以完成这些目标。最终，评定被选择安全控制在多大程度上降低了被识别风险,风险接收,对残余风险加以分类，或是“可接收”或是“不可接收”。对那些被确认是“不可接收”，决定是否应该选择更深入控制，或者接收残留风险水平,详细风险评定活动,18,电子商务系统安全规划培训资料,第18页,.4.3 电子商务系统安全需求分析,经过分析以下原因，能够定义电子商务系统安全需求：,需要保护资源。,资源面临威胁。,威胁发生机率。,19,电子商务系统安全规划培训资料,第19页,.4.4 定义电子商务系统安全规划范围,安全规划首先需要定义规划范围，以指明规划能够处理哪些风险。,规划范围准确地限定了安全规划将处理电子商务系统中哪个区域。,设计安全方案之前，企业必须定义规划范围，以指明未来安全方案准备处理哪些风险,。,20,电子商务系统安全规划培训资料,第20页,.4.5 电子商务系统安全策略制订,安全策略,是对一个处理安全问题规则描述。,管理人员在安全策略方面抉择与资源分配、竞争目标以及组织策略相关，包括技术、信息资源和员工行为指导。,制订安全策略,目标,就是决定一个电子商务系统怎样来保护自己。依据安全需求制订系统安全策略是安全方案主要内容。,21,电子商务系统安全规划培训资料,第21页,.4.5,电子商务系统安全策略制订,1.权衡关键点,制订安全策略是进行利与弊权衡，普通来说，权衡关键点以下：,功效和安全性能。,用户操作便利性和安全性能。,成本与功效。,22,电子商务系统安全规划培训资料,第22页,2.安全策略范围,安全策略范围,安全策略内容,物理安全策略,包含环境安全、设备安全、媒体安全、信息资产物理分布、人员访问控制、审计统计和异常情况追查等,网络安全策略,包含网络拓扑结构、网络设备管理、网络安全访问方法（防火墙、入侵检测系统、VPN等）、安全扫描、远程访问、不一样级别网络访问控制方式和识别认证机制等,数据安全策略,包含数字摘要、加密算法、适用范围、密钥交换和管理等,数据备份策略,包含适用范围、备份方式、备份数据安全存放、备份周期和责任人等,病毒防护策略,包含防病毒软件安装、配置、对软盘使用和网络下载等作出要求等,系统安全策略,包含WWW访问策略、数据库系统安全策略、邮件系统安全策略、应用服务器系统安全策略、个人桌面系统安全策略，以及其它业务相关系统安全策略等,安全策略范围,23,电子商务系统安全规划培训资料,第23页,2.安全策略范围,安全策略范围,安全策略内容,身份认证及授权策略,包含认证及授权机制、方式和审计统计等,灾难恢复策略,包含责任人员、恢复机制、方式、归档管理、硬件和软件等,事故处理、紧急响应策略,包含响应小组、联络方式、事故处理计划和控制过程等,安全教育策略,包含安全策略公布宣传、执行效果监督、安全技能培训、安全意识教育等,口令管理策略,包含口令管理方式、口令设置规则和口令适应规则等,补丁管理策略,包含系统补丁更新、测试和安装等,系统变更控制策略,包含设备、软件配置、控制方法、数据变更管理和一致性管理等,商业搭档、客户关系策略,包含协议条款安全策略、客户服务安全提议等,复查审计策略,包含对安全策略定时复查、对安全控制及过程重新评定、对系统日志统计审计、对安全技术发展跟踪等,续表,安全策略范围,24,电子商务系统安全规划培训资料,第24页,3制订安全策略步骤,制订安全策略时步骤,25,电子商务系统安全规划培训资料,第25页,.4.6,制订电子商务系统安全方案,1.安全方案,主要内容,技术体系建立,组织机构建立,管理体系建立,安全方案实施计划,26,电子商务系统安全规划培训资料,第26页,.4.6 制订电子商务系统安全方案,2.,制订安全方案,(1)定义范围。,(2)确定安全方案制订小组。,(3)搜集安全需求。,(4)定义安全基准。,(5)定义安全基准。,27,电子商务系统安全规划培训资料,第27页,6.4.7 评定安全方案,安全方案制订出来之后还需要评定才能确定是否能够采纳。评定一个安全方案可从以下几个方面进行：,计划、设计、测试和开发该安全方案所需资源。,开发后管理和维护该方案所需资源。,培训用户使用新系统和掌握新技术所需资源。,支持用户使用新技术所需资源。,安全方案实施后，损失用户带来影响。,增加密码操作负载后，计算机和网络增加负载和降低性能。,28,电子商务系统安全规划培训资料,第28页,6.4.8 实施安全方案,当安全方案取得采纳之后，将开始实施安全方案。,能够建立一个实施小组，或者经过系统实施小组来实施，任务分配与实施时间进度，应参考已制订安全方案实施计划。,实施成功,关键,是找到可用资源、时间进度和任务之间合理平衡。,29,电子商务系统安全规划培训资料,第29页,思索题,1电子商务系统安全设计标准有哪些？,2制订安全规划工作包含哪些步骤？,30,电子商务系统安全规划培训资料,第30页,END,谢谢！,31,电子商务系统安全规划培训资料,第31页,