《第十章电子商务安全管理》由会员分享,可在线阅读,更多相关《第十章电子商务安全管理(41页珍藏版)》请在金锄头文库上搜索。
1、ISBN 9787113121358 2010年11月本书配套网站 http:/粤苑吼屡绳圆荒心蛊舌卯泽誓绥揽吮鸯帽晃居圭颇皱曳贯甫认狸沥启朵谆第十章电子商务安全管理第十章电子商务安全管理第十章第十章 电子商务安全管理电子商务安全管理 诲酵盂宠暴铃朴曾乃你窜屏裤凸晕啃魏扯科举人币册铬窜库富愤俘潮宇言第十章电子商务安全管理第十章电子商务安全管理http:/v10.1 电子商务安全管理体系电子商务安全管理体系v10.2 电子商务安全评估电子商务安全评估v10.3电子商务安全风险管理电子商务安全风险管理v10.4电子商务信用管理电子商务信用管理目录贴纸骡弄出催牵烩蔑岛翅嘉橙睬疾剃任蝎枉虑臣燃兑伯伺甩
2、酥拢晌福森硝第十章电子商务安全管理第十章电子商务安全管理http:/电子商务安全管理概述电子商务安全必须从管电子商务安全必须从管理和技术两方面着手理和技术两方面着手安全技术通过建立安全的主机系统和安全的安全技术通过建立安全的主机系统和安全的网络系统,并配备适当的安全产品来实现网络系统,并配备适当的安全产品来实现在管理层面,则通过构建电子商务安全管理在管理层面,则通过构建电子商务安全管理体系来实现体系来实现技术层面和管理层面的良好配合,是企技术层面和管理层面的良好配合,是企业实现电子商务安全的有效途径。业实现电子商务安全的有效途径。土匙掳薄藕萧慕力另聋妊液砒瘸不钵辅假务勾氯稀祖油磨讫售碌骂币岂止
3、第十章电子商务安全管理第十章电子商务安全管理http:/电子商务安全管理体系v电子商务安全管理体系是组织在整体或特定范围电子商务安全管理体系是组织在整体或特定范围内建立的电子商务安全的方针和目标,以及完成内建立的电子商务安全的方针和目标,以及完成这些目标所用的方法和体系。这些目标所用的方法和体系。v它是直接管理活动的结果它是直接管理活动的结果勤峙摘填遥悲作贿哥牛奥丹寺旨惭主喧待童升棚颇孟樊订鸭巧狈瞒素灯瘟第十章电子商务安全管理第十章电子商务安全管理http:/安全管理的目标v安全管理是组织在既定的目标驱动下,开展风险安全管理是组织在既定的目标驱动下,开展风险管理活动,力求实现组织的管理活动,力
4、求实现组织的4类目标:类目标: 战略目标,它是组织最高层次的目标,与使命战略目标,它是组织最高层次的目标,与使命相关联并支撑使命;相关联并支撑使命;业务目标,高效利用组织资源达到高效果;业务目标,高效利用组织资源达到高效果; 保护资产目标,保证组织资产的安全可靠;保护资产目标,保证组织资产的安全可靠; 合规性目标,遵守适用的法律和法规合规性目标,遵守适用的法律和法规 房搏副肿挎缝并颊决跳霓矗彪酶倘嘻匿仇满昭廓戍哭舟掇舒礼坑福成虽饮第十章电子商务安全管理第十章电子商务安全管理http:/风险管理v安全管理的一个重要目标是降低风险,风险就是安全管理的一个重要目标是降低风险,风险就是有害事件发生的可
5、能性。有害事件发生的可能性。v一个有害事件由三部分组成:一个有害事件由三部分组成:威胁威胁、脆弱性脆弱性和和影影响响。v脆弱性是指资产的脆弱性并可被威胁利用的资产脆弱性是指资产的脆弱性并可被威胁利用的资产性质。如果不存在脆弱性和威胁,则不存在有害性质。如果不存在脆弱性和威胁,则不存在有害事件,也就不存在风险。事件,也就不存在风险。v风险管理是调查和量化风险的过程,并建立了组风险管理是调查和量化风险的过程,并建立了组织对风险的承受级别。它是安全管理的一个重要织对风险的承受级别。它是安全管理的一个重要部分部分 值涣蕴城执那庄膳疡偿停呸皆仁倚锈广直沮蒜乒蔚近痞库秋身根兽懊艳盘第十章电子商务安全管理第
6、十章电子商务安全管理http:/电子商务安全管理的内容 v1. 电子商务系统安全漏洞的识别与评估电子商务系统安全漏洞的识别与评估v这里指的安全漏洞既包括电子商务系统中硬件与这里指的安全漏洞既包括电子商务系统中硬件与软件上的安全漏洞,也包括公司组织制度上的漏软件上的安全漏洞,也包括公司组织制度上的漏洞。例如,对离职员工的用户名和口令没有及时洞。例如,对离职员工的用户名和口令没有及时吊销,某些员工的访问权限未设置成最小等。这吊销,某些员工的访问权限未设置成最小等。这些漏洞的识别一般要聘请专门的评估机构对系统些漏洞的识别一般要聘请专门的评估机构对系统进行全面检查。进行全面检查。 款痘匪钡赌孟豪悸爸脖
7、渣鼻茫你强阴探蜒泻银誓斯间死睫净嚷迫翔习绽娠第十章电子商务安全管理第十章电子商务安全管理http:/v2. 对人的因素的控制对人的因素的控制v在安全管理中,最活跃的因素是人,对人的管理在安全管理中,最活跃的因素是人,对人的管理包括法律、法规与政策的约束,安全指南的帮助,包括法律、法规与政策的约束,安全指南的帮助,安全意识的提高,安全技能的培训,人力资源管安全意识的提高,安全技能的培训,人力资源管理措施,以及企业文化的熏陶等。理措施,以及企业文化的熏陶等。 馁销撵棋态挠魂抽讲绝肿宦颓亭勉拙宛弯斟延摧俏眩逮盛需肘御既俯惭哈第十章电子商务安全管理第十章电子商务安全管理http:/v电子商务安全管理在
8、行政上应遵循以下四条原则电子商务安全管理在行政上应遵循以下四条原则 v(1)多人负责的原则。)多人负责的原则。v(2)任期有限的原则。)任期有限的原则。v(3)职责有限、责任分离原则。)职责有限、责任分离原则。v(4)最小权限原则:)最小权限原则:挡纤泵雄绢丫绊匿绘疚佣茎朱酪腻仑雷睫惯旨凡拉抑瘴酉锌电傣墟梅旨篡第十章电子商务安全管理第十章电子商务安全管理http:/3 运行控制运行控制v(1)计算机使用规定。)计算机使用规定。v(2)网络访问规定。)网络访问规定。v(3)用户口令的规则。)用户口令的规则。v(4)安全设备使用规则)安全设备使用规则痉陨买蜜熄烩卸菲银散寨赁率行朵锦酬羡恃埃氨纽虑池
9、篇竣施舜戏证秉搂第十章电子商务安全管理第十章电子商务安全管理http:/电子商务安全管理策略 v(1)需求、风险、代价平衡的原则)需求、风险、代价平衡的原则 v(2)综合性、整体性原则)综合性、整体性原则 v(3)易操作性原则)易操作性原则 v(4)适应性、灵活性原则)适应性、灵活性原则v(5)多重保护的原则)多重保护的原则推趣琳土再足扰乏径支娇哈匙焉泣抓屯涧膝叠荆厂锄瞧宾隧澳糖钝煮探嚣第十章电子商务安全管理第十章电子商务安全管理http:/安全管理的PDCA模型 v(1)P(Plan)计划,确定方针和目标,计划,确定方针和目标,确定活动计划;确定活动计划;v(2)D(Do)实施,实际去做,实
10、现计划实施,实际去做,实现计划中的内容;中的内容;v(3)C(Check)检查,总结执行计划的检查,总结执行计划的结果,注意效果,找出问题;结果,注意效果,找出问题;v(4)A(Action)行动,对总结检查的结行动,对总结检查的结果进行处理,成功的经验加以肯定并适当推广、果进行处理,成功的经验加以肯定并适当推广、标准化;失败的教训加以总结,杜绝再次重现,标准化;失败的教训加以总结,杜绝再次重现,未解决的问题放到下一个未解决的问题放到下一个PDCA循环中循环中 鳃爱箔航锄司赴原浊枯槐傲亡颖澈户汞庐账仅赡艇饲贰添踊辕适锗刊供疙第十章电子商务安全管理第十章电子商务安全管理http:/安全管理的PD
11、CA模型计划 Plan行动 Action实施 Do检查 Check企业安全的需求和目标企业管理状态下的安全售厂惕敢程蚌龙柿条禄傀定芒父膊苏恩喀棘畸让匪电作哎晾渗拎垄柒披脉第十章电子商务安全管理第十章电子商务安全管理http:/安全管理的PDCA模型v(1)计划阶段:制订具体的工作计划,提出总的目标。)计划阶段:制订具体的工作计划,提出总的目标。具体又分为四个步骤:具体又分为四个步骤:v首先,分析信息安全的现状,找出存在的问题;其次,首先,分析信息安全的现状,找出存在的问题;其次,分析产生问题的各种原因及影响因素;再次,分析并找分析产生问题的各种原因及影响因素;再次,分析并找出管理中的主要问题;
12、最后,根据找到的主要原因来制出管理中的主要问题;最后,根据找到的主要原因来制定管理计划,确定管理要点。定管理计划,确定管理要点。v(2)实施阶段:按照制订的方案去执行。全面执行制订)实施阶段:按照制订的方案去执行。全面执行制订的方案,管理方案在管理工作中的落实情况,直接影响的方案,管理方案在管理工作中的落实情况,直接影响全过程,所以在实施阶段要坚决按照制订的方案去执行。全过程,所以在实施阶段要坚决按照制订的方案去执行。v(3)检查阶段:即检查实施计划的结果。这是比较重要)检查阶段:即检查实施计划的结果。这是比较重要的一个阶段,是对实施方案是否合理,是否可行,有何的一个阶段,是对实施方案是否合理
13、,是否可行,有何不妥的检查,是为下一阶段改进工作创造条件。不妥的检查,是为下一阶段改进工作创造条件。v(4)处理阶段:根据调查的效果进行处理。)处理阶段:根据调查的效果进行处理。 纤鸵瀑百认盛锈甄狈耿瘟苑娩墙咆垒院殊疤狼鳖彤喝议愁式退妒判憋颁并第十章电子商务安全管理第十章电子商务安全管理http:/v10.1 电子商务安全管理体系电子商务安全管理体系v10.2 电子商务安全评估电子商务安全评估v10.3电子商务安全风险管理电子商务安全风险管理v10.4电子商务信用管理电子商务信用管理目录长从岸驼秧佐乳拽翼稿元运炊缎磷烤武捕伎务倡明碌宴披执美滁颠离卜蹈第十章电子商务安全管理第十章电子商务安全管理
14、http:/电子商务安全评估的意义v系统安全评估在电子商务安全体系建设中具有重系统安全评估在电子商务安全体系建设中具有重要的意义。它是了解系统安全现状、提出安全解要的意义。它是了解系统安全现状、提出安全解决方案、加强安全监督管理的有效手段决方案、加强安全监督管理的有效手段 类鄂嚏斡裁身绳遵壳资炔惺扫耻扎橡椎秒缠标肥冬撕经搜枯哼煞义很虱瑟第十章电子商务安全管理第十章电子商务安全管理http:/安全评估的主要内容安全评估的主要内容 v(1)环境安全。这分为三个部分:实体的、操)环境安全。这分为三个部分:实体的、操作系统的及管理的。实体的如机房温度控制。作系统的及管理的。实体的如机房温度控制。v(2
15、)应用安全。主要内容有输入输出控制、系)应用安全。主要内容有输入输出控制、系统内部控制、责任划分、输出的用途、程序的敏统内部控制、责任划分、输出的用途、程序的敏感性和脆弱性、用户满意度等。感性和脆弱性、用户满意度等。v(3)管理机制。如规章制度、紧急恢复措施、)管理机制。如规章制度、紧急恢复措施、人事制度(如防止因工作人员调入、调离对安全人事制度(如防止因工作人员调入、调离对安全的影响)等。的影响)等。v(4)通信安全。如加密、数字签名等措施。)通信安全。如加密、数字签名等措施。v(5)审计机制,即系统审计跟踪的功能和成效)审计机制,即系统审计跟踪的功能和成效 请哑牟烟境话贬瘟望张飘强歉绽是单
16、啸鹏龙尚束骇课赴主葬贩派秆懈寡消第十章电子商务安全管理第十章电子商务安全管理http:/安全评估标准 v标准是技术性法规,作为一种依据和尺度。标准是技术性法规,作为一种依据和尺度。v建立评估标准的目的是建立一个业界能广泛接受建立评估标准的目的是建立一个业界能广泛接受的通用的信息安全产品和系统的安全性评价原则。的通用的信息安全产品和系统的安全性评价原则。v对评估标准的要求是具有良好的可操作性,明确对评估标准的要求是具有良好的可操作性,明确的要求的要求 v目前信息安全领域比较流行的评估标准是美国国目前信息安全领域比较流行的评估标准是美国国防部开发的计算机安全标准防部开发的计算机安全标准可信计算机标
17、准可信计算机标准评价准则评价准则TCSEC(Trusted Computer Standards Evaluation Criteria) 捕君雕蚤绞疼乙摘遍炬氖抑毛锁蹬函稻桩吹鲍艾炬镍漆沏竿鼎论倦茫俘声第十章电子商务安全管理第十章电子商务安全管理http:/TCSEC的安全级别及特征 类别级别名称主要特征DD低级保护没有安全保护CC1自主安全保护自主存储控制C2受控存储控制单独的可查性,安全标识BB1标识的安全保护强制存取控制,安全标识B2结构化保护面向安全的体系结构,较好的抗渗透能力B3安全区域存取监控、高抗渗透能力AA验证设计形式化的最高级描述和验证分谜烹钻头团超敝掐旧冯专夷峡汀栅们弃痢
18、蛾湍眺绩鸥枉卤却闻破摊稗寸第十章电子商务安全管理第十章电子商务安全管理http:/TCSEC的安全级别及特征v(1)D级是最低的安全级别级是最低的安全级别 v(2)C1级是级是C类的一个安全子级。类的一个安全子级。C1级又称自级又称自主安全保护(主安全保护(Discretionary Security Protection)级,它能实现粗粒度的自主访问控)级,它能实现粗粒度的自主访问控制机制制机制 v(3)C2级实现更细粒度的可控自主访问控制级实现更细粒度的可控自主访问控制 v(4)B1级称为带标记的访问控制保护级级称为带标记的访问控制保护级 v(5)B2安全级称为结构化保护级安全级称为结构化
19、保护级 v(6)B3级,又称为安全域(级,又称为安全域(Security Domain)级别)级别 尖余譬丛炎遂波伍延庆盆阑时骏弧唯狐熔夫宿削饯您枷渗继布冈悔芭台猴第十章电子商务安全管理第十章电子商务安全管理http:/TCSEC的安全级别及特征v(7)A级,又称验证设计(级,又称验证设计(Verified Design)级级 vTCSEC的安全级别中最常见的是的安全级别中最常见的是C1、C2和和B1级,如果一个系统具有身份认证和粗粒度的自主级,如果一个系统具有身份认证和粗粒度的自主访问控制机制,那么它能达到访问控制机制,那么它能达到C1级,如果系统级,如果系统不具备审计功能,则肯定不能达到不
20、具备审计功能,则肯定不能达到C2级,如果级,如果系统不具备强制访问控制机制,则肯定不能达到系统不具备强制访问控制机制,则肯定不能达到B1级级 汹农庐躯吟百烂吴音缆司包桅街壹珍市辊蓝毕铰犬悔钓丫棚属迪日角校凑第十章电子商务安全管理第十章电子商务安全管理http:/信息管理评估标准 v(1)CC(Common Criteria,通用标准)是,通用标准)是ISO/IEC 15408(信息技术、安全技术、信息技(信息技术、安全技术、信息技术安全性评价准则)的简称术安全性评价准则)的简称 v(2)BS7799就是以安全管理为基础,提供一就是以安全管理为基础,提供一个完整的切入、实施和维护的文档化组织内部
21、的个完整的切入、实施和维护的文档化组织内部的信息安全的框架信息安全的框架 v(3)系统安全工程能力成熟度模型)系统安全工程能力成熟度模型SSE-CMM(System Security Engineering Capability Maturity Mode) 缀睁刁卉吟翱蓑水杖逃潍碴炬或盂私攻丁说消宾足翼湘页履甲象汞婆侨投第十章电子商务安全管理第十章电子商务安全管理http:/v10.1 电子商务安全管理体系电子商务安全管理体系v10.2 电子商务安全评估电子商务安全评估v10.3电子商务安全风险管理电子商务安全风险管理v10.4电子商务信用管理电子商务信用管理目录镐齿酸落设民到杂沼邹毒总杭斡
22、逝聚剁暖彤辈顽驮锄网耿隶昆馋糖壳憎哺第十章电子商务安全管理第十章电子商务安全管理http:/风险管理概述 v风险是指由于从事某项特定活动过程中存在不确风险是指由于从事某项特定活动过程中存在不确定性而产生的经济或其他利益损失、自然破坏或定性而产生的经济或其他利益损失、自然破坏或损伤的可能性损伤的可能性 v当某个脆弱的资源的价值较高,以及攻击成功的当某个脆弱的资源的价值较高,以及攻击成功的概率较高时,风险也就高;当某个脆弱的资源的概率较高时,风险也就高;当某个脆弱的资源的价值较低,以及攻击成功的概率较低时,风险也价值较低,以及攻击成功的概率较低时,风险也就低就低 v电子商务活动依赖于网络和信息系统
23、环境的支持,电子商务活动依赖于网络和信息系统环境的支持,而开放的网络环境和复杂的企业商务活动会产生而开放的网络环境和复杂的企业商务活动会产生更多的风险更多的风险 框伺舞徐渺智扑墙骑惠挚脯售量诬喉宋兜郝段杠期尺胶雪舀汕姬手摊嘉柴第十章电子商务安全管理第十章电子商务安全管理http:/风险的特征风险的特征 v风险是由于人们没有能力预见未来而产生的风险是由于人们没有能力预见未来而产生的 v(1)风险的客观性)风险的客观性 v(2)风险的不确定性)风险的不确定性 v(3)风险的不利性)风险的不利性 v(4)风险的可变性)风险的可变性 v(5)风险的相对性)风险的相对性 女泰幻背遂辆呜薄话眠铣坊珐赔伞朵
24、氢躇指痔边李铸花陪爷酌沉稚源新凄第十章电子商务安全管理第十章电子商务安全管理http:/风险管理的内容和过程风险管理的内容和过程 v风险管理由风险管理由3部分组成:风险评估、风险处理以及基于风部分组成:风险评估、风险处理以及基于风险的决策。险的决策。v风险评估将全面评估企业的资产、威胁、脆弱性以及现风险评估将全面评估企业的资产、威胁、脆弱性以及现有的安全措施,分析安全事件发生的可能性以及可能的有的安全措施,分析安全事件发生的可能性以及可能的损失,从而确定企业的风险,并判断风险的优先级,建损失,从而确定企业的风险,并判断风险的优先级,建议处理风险的措施。议处理风险的措施。v基于风险评估的结果,风
25、险处理过程将考察企业安全措基于风险评估的结果,风险处理过程将考察企业安全措施的成本,选择合适的方法处理风险,将风险控制在可施的成本,选择合适的方法处理风险,将风险控制在可接受的程度。接受的程度。v基于风险的决策旨在由企业的管理者判断残余的风险是基于风险的决策旨在由企业的管理者判断残余的风险是否处在可接受的水平之内,基于这一判断,管理者将作否处在可接受的水平之内,基于这一判断,管理者将作出决策,决定是否进行某项电子商务活动出决策,决定是否进行某项电子商务活动 射台抹堡筏痊下汲贤儿耽统儒忠介赦村贩旱铺暑蛀嘻期淬缆岗袍紫玛囱松第十章电子商务安全管理第十章电子商务安全管理http:/风险评估 v风险评
26、估是确定一个电子商务系统面临的风险级风险评估是确定一个电子商务系统面临的风险级别的过程,是风险管理的基础别的过程,是风险管理的基础 v风险评估的过程风险评估的过程v1. 风险评估准备风险评估准备v2. 资产识别资产识别v3. 威胁识别威胁识别v4. 脆弱性识别脆弱性识别v5. 风险计算风险计算盔唉锭兆葬痪茶赁仿儡净梦氛规侮井狄起障沥项裂降品踌如肠搏烈屹殉熏第十章电子商务安全管理第十章电子商务安全管理http:/脆弱性识别内容表 类型识别对象识别内容技术脆弱性物理环境机房场地、机房防火、防雷、防静电、防鼠害、电磁防护、通信线路的保护、机房设备管理服务器用户账号和口令保护、资源共享、事件审计、访问
27、控制、系统配置、注册表、网络安全、系统管理等网络结构网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等数据库认证机制、口令、访问控制、网络和服务设置、备份恢复机制、审计机制应用系统认证机制、访问控制策略、审计机制、数据完整性管理脆弱性技术管理环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性组织管理安全策略、组织安全、资产分类与控制、人员安全、符合性江酚纷提阅矣腰洱啊声焚抱滤廊绅缸翱冻保毖橱唁敢禾倔软企真倡叉芳抱第十章电子商务安全管理第十章电子商务安全管理http:/风险计算 v风险值 = R(A, T, V) = R (L(T,V), F(Ia, Va
28、)v其中,其中,R表示表示风险计算函数;算函数;A, T, V分分别表示表示资产、威、威胁和脆弱性;和脆弱性;L表示安全事件表示安全事件发生的可能生的可能性;性;F表示安全事件表示安全事件发生后造成的生后造成的损失;失;Ia表示表示资产重要程度;重要程度;Va表示脆弱性的表示脆弱性的严重程度重程度 逗叛喧拯汁压慰淫氟辩古爆渴带纸届娱砒卒嗜哲讶编珠弓贫辜嘘谷疵选斑第十章电子商务安全管理第十章电子商务安全管理http:/v10.1 电子商务安全管理体系电子商务安全管理体系v10.2 电子商务安全评估电子商务安全评估v10.3电子商务安全风险管理电子商务安全风险管理v10.4电子商务信用管理电子商务
29、信用管理目录膝魁哮丈慧汹炮炽吕祟酮谱珠酥苫区缺升积捉番折么观角孕匠葬渺雹鼓稀第十章电子商务安全管理第十章电子商务安全管理http:/电子商务信用管理概述 v电子商务的信用是指电子商务的交易主体(买家电子商务的信用是指电子商务的交易主体(买家和卖家)以及信用信息服务平台所构成的三方相和卖家)以及信用信息服务平台所构成的三方相互关联、相互影响的信用关系互关联、相互影响的信用关系 v所谓信用问题,指的是因缺乏一定的信任关系而所谓信用问题,指的是因缺乏一定的信任关系而导致交易成本上升,社会秩序趋于复杂化、混乱导致交易成本上升,社会秩序趋于复杂化、混乱化。化。 斌懊转劳久邵而崇脓苟卡惹葫孟贮踌进勤蛤傻浊
30、尔平恼袒冒嫡鳃贺触撒哪第十章电子商务安全管理第十章电子商务安全管理http:/信用管理的有关概念v1. 信任的分类信任的分类人格信任人格信任系统信任系统信任 v2. 信息不对称导致信任危机信息不对称导致信任危机v3. 改善信息不对称要求实行信用管理改善信息不对称要求实行信用管理伙环轿培粒国辙寅励线闽岁架节唾权蚤输盎傅挽酮监壁童舌瘩幽断浙跌疹第十章电子商务安全管理第十章电子商务安全管理http:/电子商务信用管理的必要性 v1)互联网的特征决定了信用管理的必要性)互联网的特征决定了信用管理的必要性v2)电子商务的特性决定了信用管理的必要性)电子商务的特性决定了信用管理的必要性v3)信用问题成为电
31、子商务发展的瓶颈)信用问题成为电子商务发展的瓶颈蜡悲篆窄套遭蹲萝儒迂柱芝蛹蒲狙稠遇吮沈韶赶衷詹肛奔辞崩彝服横侨铣第十章电子商务安全管理第十章电子商务安全管理http:/信用管理体系的构成 v完整的信用管理体系应包括信用信息采集系统、完整的信用管理体系应包括信用信息采集系统、信用评价及查询系统、信用动态跟踪及反馈系统、信用评价及查询系统、信用动态跟踪及反馈系统、信用保障系统等信用保障系统等 信用评价及信用评价及查询系统查询系统信用动态跟踪信用动态跟踪及反馈系统及反馈系统信用保障系统信用保障系统信用信息信用信息采集系统采集系统锚懈蛹板臣就秩淬滁莽肋斡驳踪鳃办涕憋菌绥幻艰帜拈釉勤浙物交粪寄喘第十章电
32、子商务安全管理第十章电子商务安全管理http:/信用管理体系的建立v1. 信用信息采集的主体信用信息采集的主体v2 信用评价及查询系统信用评价及查询系统v3. 信用动态跟踪及反馈系统信用动态跟踪及反馈系统v4. 信用保障系统信用保障系统恢纬净江烘膝舰凄痰艇九摇壮茅危瘤共缕冉抠竿匠斟目桃蜘搔霄惕钒瞎痉第十章电子商务安全管理第十章电子商务安全管理http:/信用保障和评价机制 v1. 电子商务信用保障机制的建设电子商务信用保障机制的建设v1)法制角度。)法制角度。v2)政府角度)政府角度 v3)第三方服务机构角度。)第三方服务机构角度。 俭挟疟财携殷边澈贪慷擦徊勒蓑炊轩唱鹰月弦谜和孵谣索萝耶氟熔妄
33、貌回第十章电子商务安全管理第十章电子商务安全管理http:/2. 电子商务网站的信用评价机制电子商务网站的信用评价机制v信用评价体系主要有以下几个方面的作用信用评价体系主要有以下几个方面的作用 v(1).对交易主体的交易行为产生约束,降低交易对交易主体的交易行为产生约束,降低交易风险,尤其是信用风险,提高交易的成功率,在风险,尤其是信用风险,提高交易的成功率,在一定程度上降低了交易成本;一定程度上降低了交易成本;v(2).便于交易主体了解交易对象的信用状况,帮便于交易主体了解交易对象的信用状况,帮助用户判断交易对象的信誉度,提高网上交易的助用户判断交易对象的信誉度,提高网上交易的成交率。成交率
34、。 v(3).对交易双方而言,信用评价可以降低交易成对交易双方而言,信用评价可以降低交易成本。本。 谨嚣危玖狂涡搽淄溯凡伪产赠录入奔横岛戴晦偏耿苦屿煞火蔼斜翌邦痞拓第十章电子商务安全管理第十章电子商务安全管理http:/淘宝网的信用评价机制v以淘宝网的信用评价机制为例:淘宝网充分调动以淘宝网的信用评价机制为例:淘宝网充分调动会员本身的力量去建设和维护整个交易平台的安会员本身的力量去建设和维护整个交易平台的安全运转。采用会员在交易成功后,就该交易互相全运转。采用会员在交易成功后,就该交易互相作出评价的一种行为。这样其他会员就可以根据作出评价的一种行为。这样其他会员就可以根据这些会员已经评价的信息
35、来判断交易方的信用情这些会员已经评价的信息来判断交易方的信用情况况 兴古输筷疽赊榨聘草誓貌槐寅兰铀诚哭辐廖调蜒猛卤闺洪硒棵耻鼎陪华遇第十章电子商务安全管理第十章电子商务安全管理http:/淘宝网的信用评价机制v淘宝网的信用评价机制需要改进的地方淘宝网的信用评价机制需要改进的地方v 对买家对买家/卖家身份缺乏有效的验证卖家身份缺乏有效的验证 v 信用评价模型过于简单。信用评价只设置信用评价模型过于简单。信用评价只设置“好好”、“中中”、“差差”三个评价等级,再加上一三个评价等级,再加上一般的主观评论般的主观评论 v 对买家信用和卖家信用分别计算,但对买家对买家信用和卖家信用分别计算,但对买家的注
36、册行为没有约束的注册行为没有约束 搏剑揖豫粗冒祥懦额蝶肃脚则念陇旬泊寄动获峨叮振菱肯揽浑逝消逮溪签第十章电子商务安全管理第十章电子商务安全管理http:/习题v1. 下面哪一项不是风险管理的四阶段之一?下面哪一项不是风险管理的四阶段之一?()vA.计划计划B.开发开发C.评估评估D.执行执行v2. 风险评估不包含下列哪一方面的内容(风险评估不包含下列哪一方面的内容()vA.风险识别风险识别B.脆弱性识别脆弱性识别C.威威胁识别胁识别D.人员识别人员识别v3. 属于电子商务的信用风险。属于电子商务的信用风险。()vA. 信息传输信息传输B.交易抵赖交易抵赖C.交易流程交易流程D.系统安全系统安全v4. 什么是风险管理,它对保障信息系统安全有何作用?什么是风险管理,它对保障信息系统安全有何作用?v5. 什么是信用?什么是信用管理?什么是信用?什么是信用管理?v6. 论述建立信用保障机制的意义。论述建立信用保障机制的意义。v7. 简述制定电子商务安全策略的原则和步骤。简述制定电子商务安全策略的原则和步骤。镰汉役凶溺凝隧提疼艾睡储浦文稚如勺绷渣蛰植垒血樟攫斑崇富惫碳胰权第十章电子商务安全管理第十章电子商务安全管理http:/甸浆下襄四堆吞短缮蔼聋属剧驾恨显屏魔雾啤埠走氢胖掣噬恳拾刺韦碑拢第十章电子商务安全管理第十章电子商务安全管理
