【正文】 ，將對(duì)公司正常運(yùn)作產(chǎn)生影響，并導(dǎo)致經(jīng)濟(jì)上的損失。 ? 級(jí)別 4:秘密信息。未授權(quán)的外部或內(nèi)部用戶對(duì)這類數(shù)據(jù)的訪問(wèn)對(duì)公司是非常致命的。 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 877 列出信息資產(chǎn)清單 ? 在你開(kāi)發(fā)安全方案之前，務(wù)必要列出屬于上述每個(gè)項(xiàng)目的每個(gè)信息資產(chǎn)的清單，并確定所有相應(yīng)的信息資源的安全級(jí)別及相應(yīng)的系統(tǒng)安全性需求。 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 878 、 分析和評(píng)估 ? ? 電子商務(wù)安全主要可劃分為 ? 計(jì)算機(jī)信息系統(tǒng)安全 ? 商務(wù)交易安全 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 879 ⑴計(jì)算機(jī)信息系統(tǒng)面臨的威脅 ? 歸結(jié)起來(lái) ， 針對(duì) 計(jì)算機(jī)信息系統(tǒng) 安全的威脅主要有三： ? ① 人為的無(wú)意失誤 ? ② 人為的惡意攻擊 ? ③ 軟件的漏洞和 “ 后門(mén) ” 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 880 ⑵ 電子商務(wù)交易安全威脅類別 ? 目前 ， 一般的電子商務(wù)系統(tǒng)都面臨著以下幾種安全隱患： ? ① 信息的截獲和竊取 ? ② 信息的篡改 ? ③ 信息假冒 ? ④ 交易抵賴 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 881 ? ⑴ 敏感性／結(jié)果 ? 決定電子商務(wù)系統(tǒng)敏感性等級(jí)的因素有兩個(gè)： ? 第一個(gè)是事故的直接后果 。 ? 第二個(gè)應(yīng)考慮的因素是政治上和企業(yè)的敏感性 。 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 882 ⑵ 風(fēng)險(xiǎn)評(píng)估矩陣 ? 在風(fēng)險(xiǎn)評(píng)估矩陣中 ， 考慮多種因素 ， 而且還應(yīng)考慮它們之間的關(guān)系 。 ? 在下面的評(píng)估矩陣中 ， 首先對(duì)各種因素進(jìn)行評(píng)估 ， 如危險(xiǎn)性 、 可見(jiàn)性 ， 然后以一定的關(guān)系式把它們聯(lián)系起來(lái) ， 最后得到評(píng)估結(jié)果 。 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 883 ⑵ 風(fēng) 險(xiǎn) 評(píng) 估 矩 陣 表 風(fēng)險(xiǎn)評(píng)估矩陣列表 1 危險(xiǎn)性 評(píng)估 可見(jiàn)性 評(píng)估 分?jǐn)?shù) 危險(xiǎn)不太活躍，而且暴露于危險(xiǎn)中的機(jī)會(huì)不很多 1 很低的可見(jiàn)性，沒(méi)有提供任何公共信息服務(wù)， 1 危險(xiǎn)并不明確，而且危險(xiǎn)是多重的 3 間斷的提供公共信息服務(wù)， 3 危險(xiǎn)非?；钴S，而且危險(xiǎn)是多重的 5 持續(xù)提供公共信息服務(wù)， 5 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 884 風(fēng)險(xiǎn)評(píng)估矩陣列表 2 事故結(jié)果 評(píng)估 事故結(jié)果的影響 評(píng)估 分?jǐn)?shù) 沒(méi)有任何影響和損夫；在損失預(yù)算之內(nèi)：風(fēng)險(xiǎn)可以轉(zhuǎn)移 1 損失在生意運(yùn)作中可以接受：或?qū)ζ髽I(yè)無(wú)較大的影響， 1 企業(yè)內(nèi)部的正常運(yùn)行受到影響超出了損失預(yù)算：存在機(jī)會(huì)成本 3 對(duì)企業(yè)的運(yùn)轉(zhuǎn)有不可接受的影響 3 企業(yè)外部的生意受到影響；對(duì)企業(yè)財(cái)政有致命的影響 5 對(duì)企業(yè)的經(jīng)營(yíng)管理有不可接受的影響 5 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 885 風(fēng)險(xiǎn)評(píng)估結(jié)果 ? 風(fēng)險(xiǎn)評(píng)估結(jié)果＝危險(xiǎn)評(píng)估 可見(jiàn)性評(píng)估十事故結(jié)果評(píng)估 事故影響評(píng)估 ， ? 然后把 “ 風(fēng)險(xiǎn)評(píng)估結(jié)果 ” 用下面的值評(píng)估 。 ? ● 2～ 10：低風(fēng)險(xiǎn) ? ● 11～ 29：中等風(fēng)險(xiǎn) ? ● 30～ 50：高風(fēng)險(xiǎn) 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 886 風(fēng)險(xiǎn)評(píng)估舉例 ? 假設(shè)我們用 Wi表示資源的重要性程度，而用 Ri表示資源面臨的危險(xiǎn)大小， ? 資源重要性的估計(jì)值我們用從 0到 1中的一個(gè)值來(lái)代表， 0為最低， 1為最高， ? 而資源面臨的風(fēng)險(xiǎn)值我們用從 0到 10中的一個(gè)值來(lái)代表， 0為最低， 10為最高。 ? 則 WRi=Wi*Ri則表示資源加權(quán)后的危險(xiǎn)值。 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 887 包含權(quán)值和危險(xiǎn)值的簡(jiǎn)單網(wǎng)絡(luò)設(shè)計(jì)圖 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 888 風(fēng)險(xiǎn)評(píng)估舉例 ? 路由器 :WR1=R1*W1=6*= ? 網(wǎng)橋 :WR2=R2*W2=6*= ? 服務(wù)器 :WR3=R3* W3=10* 1=10 ? 整個(gè)網(wǎng)絡(luò)系統(tǒng)的危險(xiǎn)值 :WR= WR1+WR2+WR3 =16 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 889 ? 通過(guò)分析以下因素 ， 可以定義電子商務(wù)系統(tǒng)的安全需求： ? ● 需要保護(hù)的資源 。 ? ● 資源面臨的威脅 。 ? ● 威脅發(fā)生的機(jī)率 。 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 890 劃的范圍 ? 設(shè)計(jì)安全方案之前 ， 企業(yè)必須定義規(guī)劃的范圍 ，以指明將來(lái)的安全方案準(zhǔn)備處理哪些風(fēng)險(xiǎn) 。 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 891 ? 安全策略是對(duì)一種處理安全問(wèn)題的規(guī)則的描述 。 ? 根據(jù)安全需求制定的系統(tǒng)的安全策略是安全方案的主要內(nèi)容 。 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 892 策略的制定決定于以下幾個(gè)因素 １ .權(quán)衡要點(diǎn) ? 制定安全策略是進(jìn)行利與弊的權(quán)衡 ? 一般來(lái)說(shuō) ， 權(quán)衡的要點(diǎn)如下： ? ● 功能和安全性能 。 ? ● 用戶操作的便利性和安全性能 。 ? ● 成本與功能 。 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 893 ? 物理安全策略 ? 網(wǎng)絡(luò)安全策略 ? 數(shù)據(jù)安全策略 ? 數(shù)據(jù)備份策略 ? 病毒防護(hù)策略 ? 系統(tǒng)安全策略 ? 身份認(rèn)證及授權(quán)策略 ? 災(zāi)難恢復(fù)策略 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 894 ? 事故處理、緊急響應(yīng)策略 ? 安全教育策略 ? 口令管理策略 ? 補(bǔ)丁管理策略 ? 系統(tǒng)變更控制策略 ? 商業(yè)伙伴、客戶關(guān)系策略 ? 復(fù)查審計(jì)策略 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 895 ⑷ 制定安全策略的工作步驟 ? 制定安全策略 ， 可按下列步驟： ? ① 找出需保護(hù)的信息資源 。 ? ② 判定信息資源的價(jià)值 。 ? ③ 評(píng)定電子商務(wù)系統(tǒng)適當(dāng)?shù)娘L(fēng)險(xiǎn)承受等級(jí) 。 ? ④ 制訂安全策略 。 ? ⑤ 將安全策略分配在電子商務(wù)系統(tǒng)各處 。 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 896 ? 1. 安全方案的主要內(nèi)容 ? ⑴ 技術(shù)體系的建立 ? ⑵ 組織機(jī)構(gòu)的建立 ? ⑶ 管理體系的建立 ? ⑷ 安全方案實(shí)施計(jì)劃 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 897 2. 制訂安全方案 ? 在設(shè)計(jì)安全方案時(shí)請(qǐng)考慮以下幾點(diǎn)： ? ⑴ 定義范圍 。 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 898 ⑵ 確定工程小組 ? 確定工程小組人選時(shí) ， 可以參考下列因素： ? 管理代表： ? IT部門(mén)技術(shù)人員： ? 安全方案中的用戶小組代表 。 ? 技術(shù)培訓(xùn)人員： ? 技術(shù)支持人員： ? 外界咨詢顧問(wèn)： 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 899 制訂安全方案 ? ⑶ 搜集安全需求 。 ? ⑷ 制定安全方案 ? ⑸ 制定安全方案實(shí)施計(jì)劃 。 ? ① 工程時(shí)限 。 ? ② 確定職責(zé) 。 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 8100 END