收藏
下载资源

电子商务安全CH10课件

上传人:w****i 文档编号:94405592 上传时间:2019-08-06 格式:PPTX 页数:22 大小:446.35KB
返回 下载 相关 举报
电子商务安全CH10课件_第1页
第1页 / 共22页
电子商务安全CH10课件_第2页
第2页 / 共22页
电子商务安全CH10课件_第3页
第3页 / 共22页
电子商务安全CH10课件_第4页
第4页 / 共22页
电子商务安全CH10课件_第5页
第5页 / 共22页
点击查看更多>>
资源描述

《电子商务安全CH10课件》由会员分享,可在线阅读,更多相关《电子商务安全CH10课件(22页珍藏版)》请在金锄头文库上搜索。

1、电子商务安全,中央财经大学 信息学院,第十章 电子商务安全管理,本章学习要点 了解电子商务安全管理需求 掌握电子商务安全管理的方法 了解电子商务安全评估与效益分析 了解网络安全法律规范,主要内容,10.1 电子商务的安全管理 10.2 电子商务安全管理方法 10.3 电子商务安全的相关法律规范,10.1 电子商务的安全管理,10.1.1 电子商务面临的安全管理问题 电子商务面临的安全威胁是指信息的可用性、机密性、完整性和系统资源的合法使用受到破坏的行为或事件。 电子商务系统面临的基本安全威胁有四种:即信息泄露、完整性破坏、拒绝服务和非法使用。 威胁的实现途径和方法有:窃听、假冒、病毒、旁路控制

2、、业务流分析、工作人员疏忽等。 有些安全威胁是偶然的:如操作人员失误、火、洪水等自然灾害;有些威胁是恶意的:如欺骗、黑客、病毒、木马、蓄意破坏等。,10.1.2 电子商务的信息安全管理体系 通过有效地定义、实现、保持和改进信息安全来保护信息资产,对于企业实现其目标并保持和提高法律符合性及自身形象来说是必不可少的。用以指导适当控制措施的实施和处理不可接受的信息安全风险的协调活动,通常被认为是信息安全管理的要素。 信息安全管理体系(ISIM) 电子商务安全保障体系,10.1.2 电子商务的信息安全管理体系 信息安全管理体系(ISIM), ISIM提供了一个建立、实施、运行、监视、评审、保持和改进保

3、护信息资产的模型,以实现组织的业务目标,该目标是基于风险评估和组织为有效处置和管理风险而设定的风险可接受级别来确定的 ISMS运行采取下列步骤: (1)识别信息资产及其相关的安全要求 (2)评估信息安全风险 (3)选择和实施相关控制措施以管理不可接受的风险 (4)监视、保持和改进与组织信息资产相关的安全控制措施的有效性,10.1.2 电子商务的信息安全管理体系 电子商务安全保障体系,10.1.3 电子商务的安全管理需求, 通过安全风险分析可以了解系统的风险状态,可以确认系统受到安全威胁的可能性及其后果,以便把系统在实际运行中可能的弱点和威胁找出来,并记录在一系列的安全风险评估报告中。 电子商务

4、的安全需求来自于两个方面: (1)商务业务本身的安全需求; (2)电子商务系统自身的安全需求。,10.1.4 电子商务的安全管理的内容 1. 信息安全组织管理 2. 日常信息安全管理 3. 信息安全防护管理 4. 信息安全应急管理 5. 信息安全教育培训 6. 信息安全检查,10.2 电子商务安全管理方法,10.2.1 安全评估,安全评估的基本步骤: 1.确定电子商务系统中需要保护的资产,并按照其重要程度进行分类 2. 识别对资产的安全威胁 3. 找出安全漏洞 4. 采取保护措施,10.2.2 安全政策 在安全评估的基础上产生电子商务的安全政策,安全政策包括以下几个方面: 1. 电子商务信息系

5、统安全等级的分类 2. 与安全等级相应的安全措施的要求 3. 对参与系统开发和运行的企业的要求 4. 系统安全的审计规定 5. 安全问题的报告制度和程序 6. 紧急情况的处理和应急措施,10.2.3 安全标准 1. 硬件、软件、人员、系统的安全标准 2. 数据的更新、维护和备份制度 3. 系统运行和维护的规范 4. 环境和系统的物理安全,10.2.4 安全审计 电子商务系统中需要重点安全审计的主要内容有: 1. 网络通信系统 2. 重要服务器主机操作系统 3. 重要服务器主机应用平台软件 4. 重要数据库操作的审计 5. 重要应用系统的审计 6. 重要网络区域的客户机,10.3 电子商务安全的

6、相关法律规范,10.3.1 电子商务中的信息安全法律和规定 电子商务安全管理的国家部门 公安部有关管理规定有关公共安全等 国家密码主管部门有关规定有关密码管理等 国家保密部门有关管理规定有关国家秘密等 国家安全部门有关管理规定有关国家安全等 信息产业部有关管理规定有关电子签名等 国家相关法律、法规法律框架等 电子商务中信息安全的有关制度,10.3.2 国际互联网络行业市场准入 中华人民共和国计算机信息网络国际联网管理暂行规定:计算机信息网络直接进行国际联网,必须使用邮电部国家公用电信网提供的国际出入口信道。任何单位和个人不得自行建立或者使用其他信道进行国际联网 计算机信息网络国际联网安全保护管

7、理办法:互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织,应当自网络正式联通之日起30日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续,10.3.3 互联网内容管理 计算机信息网络国际联网安全保护管理办法:任何单位和个人不得利用国际联网制作、复制、查阅和传播包括分裂国家、煽动仇恨等不良信息。 中华人民共和国计算机信息网络国际联网管理暂行规定实施办法:用户应当服从接入单位的管理,遵守用户守则;不得擅自进入未经许可的计算机系统,篡改他人信息;不得在网络上散发恶意信息,冒用他人名义等。,10.3.4 网络安全的保护 计算机信息网络国际联网安全保护管理办法规定

8、,任何单位和个人不得从事下列危害计算机信息网络安全的活动: 未经允许,进入计算机信息网络或使用计算机信息网络资源的。 未经允许,对计算机信息网络功能进行删除、修改或增加的。 未经允许,对计算机信息网络中存储、处理或传输的数据和应用程序进行删除、修改或增加的。 故意制作、传播计算机病毒等破坏性程序的。其他危害计算机网络安全的。,10.3.5 网络保密管理 计算机信息系统国际联网保密管理规定指出,凡以提供网上信息服务为目的而采集的信息,除在其他新闻媒体上已公开发表的,组织者在上网发布前,应当征得提供信息单位的同意。 涉及国家秘密的信息,不得在国际联网的计算机信息系统中存储、处理、传递。,作业,1. 电子商务面临的非技术安全威胁有哪些? 2. 电子商务安全管理主要包括哪几个方面? 3. 请查阅全国信息安全标准化技术委员会网站了解我国信息安全标准的制定情况,并列出信息安全风险评估的相关标准有哪些?信息安全风险评估的步骤是什么?,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号