【正文】 ，將對公司正常運作產(chǎn)生影響，并導(dǎo)致經(jīng)濟上的損失。 ? 級別 4:秘密信息。未授權(quán)的外部或內(nèi)部用戶對這類數(shù)據(jù)的訪問對公司是非常致命的。 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 877 列出信息資產(chǎn)清單 ? 在你開發(fā)安全方案之前，務(wù)必要列出屬于上述每個項目的每個信息資產(chǎn)的清單，并確定所有相應(yīng)的信息資源的安全級別及相應(yīng)的系統(tǒng)安全性需求。 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 878 、 分析和評估 ? ? 電子商務(wù)安全主要可劃分為 ? 計算機信息系統(tǒng)安全 ? 商務(wù)交易安全 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 879 ⑴計算機信息系統(tǒng)面臨的威脅 ? 歸結(jié)起來 ， 針對 計算機信息系統(tǒng) 安全的威脅主要有三： ? ① 人為的無意失誤 ? ② 人為的惡意攻擊 ? ③ 軟件的漏洞和 “ 后門 ” 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 880 ⑵ 電子商務(wù)交易安全威脅類別 ? 目前 ， 一般的電子商務(wù)系統(tǒng)都面臨著以下幾種安全隱患： ? ① 信息的截獲和竊取 ? ② 信息的篡改 ? ③ 信息假冒 ? ④ 交易抵賴 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 881 ? ⑴ 敏感性／結(jié)果 ? 決定電子商務(wù)系統(tǒng)敏感性等級的因素有兩個： ? 第一個是事故的直接后果 。 ? 第二個應(yīng)考慮的因素是政治上和企業(yè)的敏感性 。 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 882 ⑵ 風(fēng)險評估矩陣 ? 在風(fēng)險評估矩陣中 ， 考慮多種因素 ， 而且還應(yīng)考慮它們之間的關(guān)系 。 ? 在下面的評估矩陣中 ， 首先對各種因素進行評估 ， 如危險性 、 可見性 ， 然后以一定的關(guān)系式把它們聯(lián)系起來 ， 最后得到評估結(jié)果 。 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 883 ⑵ 風(fēng) 險 評 估 矩 陣 表 風(fēng)險評估矩陣列表 1 危險性 評估 可見性 評估 分?jǐn)?shù) 危險不太活躍，而且暴露于危險中的機會不很多 1 很低的可見性，沒有提供任何公共信息服務(wù)， 1 危險并不明確，而且危險是多重的 3 間斷的提供公共信息服務(wù)， 3 危險非常活躍，而且危險是多重的 5 持續(xù)提供公共信息服務(wù)， 5 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 884 風(fēng)險評估矩陣列表 2 事故結(jié)果 評估 事故結(jié)果的影響 評估 分?jǐn)?shù) 沒有任何影響和損夫；在損失預(yù)算之內(nèi)：風(fēng)險可以轉(zhuǎn)移 1 損失在生意運作中可以接受：或?qū)ζ髽I(yè)無較大的影響， 1 企業(yè)內(nèi)部的正常運行受到影響超出了損失預(yù)算：存在機會成本 3 對企業(yè)的運轉(zhuǎn)有不可接受的影響 3 企業(yè)外部的生意受到影響；對企業(yè)財政有致命的影響 5 對企業(yè)的經(jīng)營管理有不可接受的影響 5 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 885 風(fēng)險評估結(jié)果 ? 風(fēng)險評估結(jié)果＝危險評估 可見性評估十事故結(jié)果評估 事故影響評估 ， ? 然后把 “ 風(fēng)險評估結(jié)果 ” 用下面的值評估 。 ? ● 2～ 10：低風(fēng)險 ? ● 11～ 29：中等風(fēng)險 ? ● 30～ 50：高風(fēng)險 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 886 風(fēng)險評估舉例 ? 假設(shè)我們用 Wi表示資源的重要性程度，而用 Ri表示資源面臨的危險大小， ? 資源重要性的估計值我們用從 0到 1中的一個值來代表， 0為最低， 1為最高， ? 而資源面臨的風(fēng)險值我們用從 0到 10中的一個值來代表， 0為最低， 10為最高。 ? 則 WRi=Wi*Ri則表示資源加權(quán)后的危險值。 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 887 包含權(quán)值和危險值的簡單網(wǎng)絡(luò)設(shè)計圖 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 888 風(fēng)險評估舉例 ? 路由器 :WR1=R1*W1=6*= ? 網(wǎng)橋 :WR2=R2*W2=6*= ? 服務(wù)器 :WR3=R3* W3=10* 1=10 ? 整個網(wǎng)絡(luò)系統(tǒng)的危險值 :WR= WR1+WR2+WR3 =16 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 889 ? 通過分析以下因素 ， 可以定義電子商務(wù)系統(tǒng)的安全需求： ? ● 需要保護的資源 。 ? ● 資源面臨的威脅 。 ? ● 威脅發(fā)生的機率 。 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 890 劃的范圍 ? 設(shè)計安全方案之前 ， 企業(yè)必須定義規(guī)劃的范圍 ，以指明將來的安全方案準(zhǔn)備處理哪些風(fēng)險 。 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 891 ? 安全策略是對一種處理安全問題的規(guī)則的描述 。 ? 根據(jù)安全需求制定的系統(tǒng)的安全策略是安全方案的主要內(nèi)容 。 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 892 策略的制定決定于以下幾個因素 １ .權(quán)衡要點 ? 制定安全策略是進行利與弊的權(quán)衡 ? 一般來說 ， 權(quán)衡的要點如下： ? ● 功能和安全性能 。 ? ● 用戶操作的便利性和安全性能 。 ? ● 成本與功能 。 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 893 ? 物理安全策略 ? 網(wǎng)絡(luò)安全策略 ? 數(shù)據(jù)安全策略 ? 數(shù)據(jù)備份策略 ? 病毒防護策略 ? 系統(tǒng)安全策略 ? 身份認證及授權(quán)策略 ? 災(zāi)難恢復(fù)策略 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 894 ? 事故處理、緊急響應(yīng)策略 ? 安全教育策略 ? 口令管理策略 ? 補丁管理策略 ? 系統(tǒng)變更控制策略 ? 商業(yè)伙伴、客戶關(guān)系策略 ? 復(fù)查審計策略 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 895 ⑷ 制定安全策略的工作步驟 ? 制定安全策略 ， 可按下列步驟： ? ① 找出需保護的信息資源 。 ? ② 判定信息資源的價值 。 ? ③ 評定電子商務(wù)系統(tǒng)適當(dāng)?shù)娘L(fēng)險承受等級 。 ? ④ 制訂安全策略 。 ? ⑤ 將安全策略分配在電子商務(wù)系統(tǒng)各處 。 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 896 ? 1. 安全方案的主要內(nèi)容 ? ⑴ 技術(shù)體系的建立 ? ⑵ 組織機構(gòu)的建立 ? ⑶ 管理體系的建立 ? ⑷ 安全方案實施計劃 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 897 2. 制訂安全方案 ? 在設(shè)計安全方案時請考慮以下幾點： ? ⑴ 定義范圍 。 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 898 ⑵ 確定工程小組 ? 確定工程小組人選時 ， 可以參考下列因素： ? 管理代表： ? IT部門技術(shù)人員： ? 安全方案中的用戶小組代表 。 ? 技術(shù)培訓(xùn)人員： ? 技術(shù)支持人員： ? 外界咨詢顧問： 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 899 制訂安全方案 ? ⑶ 搜集安全需求 。 ? ⑷ 制定安全方案 ? ⑸ 制定安全方案實施計劃 。 ? ① 工程時限 。 ? ② 確定職責(zé) 。 《 電子商務(wù)概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 8100 END