【正文】 ? ② 確定職責 。 ? ⑷ 制定安全方案 ? ⑸ 制定安全方案實施計劃 。 《 電子商務概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 898 ⑵ 確定工程小組 ? 確定工程小組人選時 ， 可以參考下列因素： ? 管理代表： ? IT部門技術人員： ? 安全方案中的用戶小組代表 。 ? ⑤ 將安全策略分配在電子商務系統(tǒng)各處 。 ? ③ 評定電子商務系統(tǒng)適當?shù)娘L險承受等級 。 《 電子商務概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 893 ? 物理安全策略 ? 網(wǎng)絡安全策略 ? 數(shù)據(jù)安全策略 ? 數(shù)據(jù)備份策略 ? 病毒防護策略 ? 系統(tǒng)安全策略 ? 身份認證及授權策略 ? 災難恢復策略 《 電子商務概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 894 ? 事故處理、緊急響應策略 ? 安全教育策略 ? 口令管理策略 ? 補丁管理策略 ? 系統(tǒng)變更控制策略 ? 商業(yè)伙伴、客戶關系策略 ? 復查審計策略 《 電子商務概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 895 ⑷ 制定安全策略的工作步驟 ? 制定安全策略 ， 可按下列步驟： ? ① 找出需保護的信息資源 。 ? ● 用戶操作的便利性和安全性能 。 ? 根據(jù)安全需求制定的系統(tǒng)的安全策略是安全方案的主要內容 。 《 電子商務概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 890 劃的范圍 ? 設計安全方案之前 ， 企業(yè)必須定義規(guī)劃的范圍 ，以指明將來的安全方案準備處理哪些風險 。 ? ● 資源面臨的威脅 。 ? 則 WRi=Wi*Ri則表示資源加權后的危險值。 《 電子商務概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 883 ⑵ 風 險 評 估 矩 陣 表 風險評估矩陣列表 1 危險性 評估 可見性 評估 分數(shù) 危險不太活躍，而且暴露于危險中的機會不很多 1 很低的可見性，沒有提供任何公共信息服務， 1 危險并不明確，而且危險是多重的 3 間斷的提供公共信息服務， 3 危險非?；钴S，而且危險是多重的 5 持續(xù)提供公共信息服務， 5 《 電子商務概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 884 風險評估矩陣列表 2 事故結果 評估 事故結果的影響 評估 分數(shù) 沒有任何影響和損夫；在損失預算之內：風險可以轉移 1 損失在生意運作中可以接受：或對企業(yè)無較大的影響， 1 企業(yè)內部的正常運行受到影響超出了損失預算：存在機會成本 3 對企業(yè)的運轉有不可接受的影響 3 企業(yè)外部的生意受到影響；對企業(yè)財政有致命的影響 5 對企業(yè)的經(jīng)營管理有不可接受的影響 5 《 電子商務概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 885 風險評估結果 ? 風險評估結果＝危險評估 可見性評估十事故結果評估 事故影響評估 ， ? 然后把 “ 風險評估結果 ” 用下面的值評估 。 《 電子商務概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 882 ⑵ 風險評估矩陣 ? 在風險評估矩陣中 ， 考慮多種因素 ， 而且還應考慮它們之間的關系 。 《 電子商務概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 878 、 分析和評估 ? ? 電子商務安全主要可劃分為 ? 計算機信息系統(tǒng)安全 ? 商務交易安全 《 電子商務概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 879 ⑴計算機信息系統(tǒng)面臨的威脅 ? 歸結起來 ， 針對 計算機信息系統(tǒng) 安全的威脅主要有三： ? ① 人為的無意失誤 ? ② 人為的惡意攻擊 ? ③ 軟件的漏洞和 “ 后門 ” 《 電子商務概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 880 ⑵ 電子商務交易安全威脅類別 ? 目前 ， 一般的電子商務系統(tǒng)都面臨著以下幾種安全隱患： ? ① 信息的截獲和竊取 ? ② 信息的篡改 ? ③ 信息假冒 ? ④ 交易抵賴 《 電子商務概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 881 ? ⑴ 敏感性／結果 ? 決定電子商務系統(tǒng)敏感性等級的因素有兩個： ? 第一個是事故的直接后果 。未授權的外部或內部用戶對這類數(shù)據(jù)的訪問對公司是非常致命的。如果該類信息被未授權用戶訪問，將對公司正常運作產生影響，并導致經(jīng)濟上的損失。 ? 級別 2:內部信息。 ? 對人員的分類類似于信息資產的分類。 ? 信息資產可以通過資產的保護價值進行分類。 《 電子商務概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 873 企業(yè)的信息資產 資產類型 說明 硬件 包括服務器、工作站、路由器、交換機、防火墻、入侵檢測系統(tǒng)、終端、 打印機等整件設備，也包括主版、 CPU、硬盤、顯示器等散件設備。 《 電子商務概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 869 信息系統(tǒng)安全體系結構示意圖 管理體系 法律 制度 培訓 組織體系 機構 崗位 人事 技術體系 技術管理 安全策略與服務 密鑰管理 審計 技術機制 安全技術 運行環(huán)境及系統(tǒng)安全技術 狀態(tài) 檢測 入侵 監(jiān)控 安全管理 安全機制 安全服務 物理 安全 系統(tǒng) 安全 信息系統(tǒng)安全體系框架 《 電子商務概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 870 ? ⑴ 均衡性 ? ⑵ 整體性 ? ⑶ 一致性 ? ⑷ 易操作性 ? ⑸ 可靠性 ? ⑹ 層次性 ? ⑺ 可評價性 《 電子商務概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 871 ? 制定安全規(guī)劃的工作步驟包括： ? 對企業(yè)電子商務系統(tǒng)安全風險進行評估 ? 分析企業(yè)電子商務系統(tǒng)的安全需求 ? 定義企業(yè)電子商務系統(tǒng)安全規(guī)劃的范圍 ? 建立項目小組以設計和實施安全規(guī)劃 ? 制定企業(yè)電子商務系統(tǒng)的安全策略 ? 制定企業(yè)電子商務系統(tǒng)的安全方案 ? 評估安全方案的代價和優(yōu)缺點 ? 測試和實施安全方案 《 電子商務概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 872 ? 通過識別用戶的信息資產，建立信息資產列表。 ? 信息系統(tǒng)安全的總需求是物理安全、網(wǎng)絡安全、數(shù)據(jù)安全、信息內容安全、信息基礎設施安全與公共信息安全的總和。 《 電子商務概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 868 框架 ? 電子商務還沒有統(tǒng)一建立的標準的系統(tǒng)安全體系框架。 ? 其次 ,安全問題是動態(tài)的。 第 9章 電子商務系統(tǒng)的安全設計 徐 天 宇 《 電子商務概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 866 本章內容 ? ９ .1 電子商務系統(tǒng)安全 ? ９ .2 電子商務系統(tǒng)安全體系框架 ? ９ .3 電子商務系統(tǒng)安全設計的原則 ? ９ .4 電子商務系統(tǒng)安全體系的設計 《 電子商務概論》（第 2版） 邵兵家 主編 高等教育出版社 2022版 867 ? 電子商務系統(tǒng)安全問題涉及到許多方面。 ? 7）在線商店發(fā)送貨物或提供服務并通知收單銀行將錢從消費者的帳號轉移到商店帳號，或通知發(fā)卡銀行請求支付。 ? 6）在線商店發(fā)送訂單確認信息給消費者。信息通過支付網(wǎng)關到收單銀行，再到電子貨幣發(fā)行公司確認。 ? 4）在 SET中，消費者必須對訂單和付款指令進行數(shù)字簽名，同時利用雙重簽名技術保證商家看不到消費者的帳號信息。 ? 3）消費者選擇付款方式，確認訂單簽發(fā)付款指令。 《 電子商務概論》（第 2版）