電子商務安全教學課件作者張波08電子商務安全評估與管理

第8章電子商務平安評估與管理引例

大學生利用黑客病毒網(wǎng)上盜款48萬2006年12月17日，郭浩聯(lián)絡在山東的孫木云，要求其幫助將錢轉出。隨后，兩人連夜將張先生兩張銀行卡內(nèi)的48萬余元分40余筆轉出，打入位于廣州、上海和北京的出售游戲點卡的公司，并將點卡存入虛擬的網(wǎng)絡賬戶。張先生的48萬余元就這樣一夜之間蒸發(fā)了。最后，大學生郭浩被判處有期徒刑12年,罰金人民幣1.2萬元；被告人孫木云犯盜竊罪，判處有期徒刑8年，罰金人民幣8000元。兩名被告人均沒有提出上訴。資料來源:賽迪網(wǎng).://ccidnet/,2021.3.10,作者略有刪改。8.1電子商務平安評估風險管理從本質(zhì)上講，平安就是風險管理。一個組織者如果不了解其信息資產(chǎn)的平安風險，很多資源就會被錯誤地使用。風險管理提供信息資產(chǎn)評估的根底。通過風險識別，可以知道一些特殊類型的資產(chǎn)價值以及包含這些信息的系統(tǒng)的價值。1.風險的概念圖8-1漏洞和威脅的關系〔1〕漏洞〔2〕威脅〔3〕威脅+漏洞＝風險2.風險的識別與測量〔1〕風險的識別對一個組織而言，識別風險除了要識別漏洞和威脅外，還應考慮已有的對策和預防措施，如圖8-2所示。圖8-2一個組織風險評估的組成〔2〕風險的測量風險測量必須識別出在受到攻擊后該組織需要付出的代價。圖8-3表示風險測量的全過程。代價是多方面的，包括資金、時間、資源、信譽以及喪失生意等。圖8-3測量風險平安成熟度模型美國CarnegieMellon大學的軟件工程研究所(SoftwareEngineeringinstitute，SEI)制定了系統(tǒng)平安工程能力成熟度模型(SystemSecurityEngineeringCapabilityMaturityModel，SSE—CMM)。它將平安成熟度能力級別分成4級，以適應不同級別的平安體系結構，如表8-1所示。表8-1平安成熟度能力級別1．平安方案3．運行過程威脅威脅包含3個組成局部：(1)目標，可能受到攻擊的方面。(2)代理，發(fā)出威脅的人或組織。(3)事件，做出威脅的動作類型。作為威脅的代理，必須要有訪問目標的能力，有關于目標的信息類型和級別的知識，還要有對目標發(fā)出威脅的理由。1.威脅的來源〔1〕人為過失和設計缺陷〔2〕內(nèi)部人員〔3〕臨時員工〔4〕自然災害和環(huán)境危害〔5〕黑客和其他入侵者〔6〕病毒和其他惡意軟件2.威脅情況與對策〔1〕社會工程(系統(tǒng)管理過程)〔2〕電子竊聽〔3〕軟件缺陷〔4〕信任轉移(主機之間的信任關系)〔5〕數(shù)據(jù)驅動攻擊(惡意軟件)〔6〕拒絕效勞〔7〕DNS欺騙〔8〕源路由〔9〕內(nèi)部威脅平安評估方法1．平安評估過程圖8-4表示從平安成熟度模型三個方面的平安評估階段。圖8-4基于平安成熟度模型的平安評估階段2．網(wǎng)絡平安評估3．平臺平安評估平臺平安評估的目的是認證平臺的配置(操作系統(tǒng)不易受漏洞損害、文件保護及對配置文件有適當?shù)谋Ｗo)。認證的唯一方法是在該平臺上執(zhí)行一個程序〔有時該程序稱為代理，因為由其開始對全部程序進行集中管理〕。假設平臺已經(jīng)適當加固，那么就要有一個基準配置。評估的第一局部是認證基準配置、操作系統(tǒng)、網(wǎng)絡效勞(FTP、rlogin、telnet、SSH等)沒有變更。因為黑客首先是將這些文件版本替換成自己的版本。黑客的版本通常是記錄管理員的口令，并轉發(fā)給Internet上的攻擊者。所以，假設有文件需要打補丁或需要使用效勞包，代理將通知管理員，進行平安預警以保護平臺平安。評估的第二局部是認證管理員的口令，大局部機器不允許應用程序的用戶登錄到平臺，對應用程序的用戶鑒別是在平臺上運行的應用程序自身來完成，而不是由平臺來完成。此外，還要測試本地口令的強度，如口令長度、口令組成、字典攻擊等。最后，還有跟蹤審計子系統(tǒng)，在黑客作案前就能跟蹤其行跡。4．應用平安評估平安評估準那么8.2電子商務平安立法與網(wǎng)絡相關的法律法規(guī)網(wǎng)絡平安管理的相關法律法規(guī)1．網(wǎng)絡效勞機構設立的條件2．網(wǎng)絡效勞業(yè)的對口管理3．互聯(lián)網(wǎng)出入口信道管理4．計算機網(wǎng)絡系統(tǒng)運行管理5．平安責任網(wǎng)絡用戶的法律標準2．用戶使用互聯(lián)網(wǎng)的管理互聯(lián)網(wǎng)信息傳播平安管理制度2．從事非經(jīng)營性互聯(lián)網(wǎng)信息效勞應提交的材料3．互聯(lián)網(wǎng)信息效勞提供者的義務4．互聯(lián)網(wǎng)信息效勞提供者不得制作、復制、發(fā)布、傳播的信息其他法律法規(guī)1．有關網(wǎng)絡有害信息的法律標準網(wǎng)絡有害信息的主要表現(xiàn)有以下幾種。(1)政治領域中的有害信息。(2)倫理道德領域的有害信息。(3)信息傳播領域的有害信息。(4)計算機病毒。2.即時通訊工具公眾信息效勞的法律規(guī)定即時通訊是指能夠即時發(fā)送和接收互聯(lián)網(wǎng)消息等的業(yè)務。自1998年面世以來，特別是近幾年的迅速開展，即時通訊的功能日益豐富，逐漸集成了電子郵件、博客、音樂、電視、游戲和搜索等多種功能。即時通訊不再是一個單純的聊天工具，它已經(jīng)開展成集交流、資訊、娛樂、搜索、電子商務、辦公協(xié)作和企業(yè)客戶效勞等為一體的綜合化信息平臺，常見的即時通訊工具有QQ、微信和微博等。我國互聯(lián)網(wǎng)信息辦公室于2021年8月7日正式發(fā)布了?即時通訊工具公眾信息效勞開展管理暫行規(guī)定?，規(guī)定自公布之日起施行。?規(guī)定?共十條，對即時通信工具效勞提供者、使用者的效勞和使用行為進行了標準，根據(jù)規(guī)定要求，國家互聯(lián)網(wǎng)信息辦公室負責統(tǒng)籌協(xié)調(diào)指導即時通信工具公眾信息效勞開展管理工作，省級互聯(lián)網(wǎng)信息內(nèi)容主管部門負責本行政區(qū)域的相關工作。?規(guī)定?對通過即時通信工具從事公眾信息效勞活動提出了明確管理要求。?規(guī)定?對即時通信工具和公眾信息效勞都做了明確定義：即時通信工具是指基于互聯(lián)網(wǎng)面向終端使用者提供即時信息交流效勞的應用，微信、QQ、飛信、陌陌等熱門應用均包括在內(nèi)；公眾信息效勞那么指的是即時通信工具的公眾賬號及其他形式向公眾發(fā)布信息的活動，例如微信上的各種公眾號。?規(guī)定?明確要求：3．網(wǎng)上交易的相關法律法規(guī)為標準網(wǎng)上交易及效勞行為，保護消費者和經(jīng)營者的合法權益，促進網(wǎng)絡經(jīng)濟持續(xù)健康開展。2021年，國家工商行政管理總局研究起草發(fā)布了?網(wǎng)絡商品交易及有關效勞行為管理暫行方法?。該方法共分為六章四十四條，主要規(guī)定了立法依據(jù)、立法宗旨和原那么、立法調(diào)整對象、網(wǎng)絡商品經(jīng)營者和網(wǎng)絡效勞經(jīng)營者經(jīng)營原那么、工商行政管理部門促進網(wǎng)絡商品交易及有關效勞行為開展的職責和任務以及行業(yè)自律等方面的內(nèi)容；規(guī)定了網(wǎng)絡商品交易及有關效勞行為標準；規(guī)定了提供網(wǎng)絡交易平臺效勞的經(jīng)營者的義務與責任；規(guī)定了網(wǎng)絡商品交易及有關效勞行為監(jiān)督管理職責；規(guī)定了違反?方法?的法律責任等。2021年1月26日，國家工商行政管理總局公布了?網(wǎng)絡交易管理方法?，自2021年3月15日起施行。同時廢止國家工商行政管理總局2021年5月31日發(fā)布的?網(wǎng)絡商品交易及有關效勞行為管理暫行方法?。從?暫行方法?到?方法?，行政規(guī)章的名稱縮短，涵蓋的范圍卻更加廣泛。新方法充分適應了網(wǎng)絡交易開展的新特點，還細化了對消費者合法權益的各項保護措施。我國電商立法提上日程8.3電子商務平安管理平安管理的概念管理的概念組成如圖8-5所示。平安管理是以管理對象的平安為任務和目標的管理。平安管理的任務是保證管理對象的平安。平安管理的目標是到達管理對象所需的平安級別，將風險控制在可以接受的程度。圖8-5管理的概念組成信息平安管理是以信息及其載體——即信息系統(tǒng)為對象的平安管理。信息平安管理的任務是保證信息的使用平安和信息載體的運行平安。信息平安管理的目標是到達信息系統(tǒng)所需的平安級別，將風險控制在用戶可以接受的程度。信息平安管理有其相應的原那么、程序和方法，來指導和實現(xiàn)一系列的平安管理活動。圖8-6示出了管理、平安管理和信息平安管理的概念關系。圖8-6管理、平安管理和信息平安管理的概念關系平安管理的重要性平安管理模型平安管理應該是一個不斷改進的持續(xù)開展過程。圖8-7給出的平安管理模型就表達出這種持續(xù)改進的模式。平安管理模型遵循管理的一般循環(huán)模式，即方案(Plan)、執(zhí)行(Do)、檢查(Check)和行動(Action)的持續(xù)改進模式，簡稱PDCA模式。圖8-7平安管理模型——PDCA持續(xù)改進模式平安管理策略平安管理標準BS7799標準是由英國標準協(xié)會(BSI)制定的信息平安管理標準，是國際上具有代表性的信息平安管理體系標準。該標準包括以下兩局部：●BS7799—1:1999?信息平安管理實施規(guī)那么?；●BS7799—2:1999?信息平安管理體系標準?。而在2002年9月5日英國標準化協(xié)會又發(fā)布了新版本BS7799-2:2002替代了BS7799-2:1999。BS7799-1(ISO/IEC1799:2000)?信息平安管理實施細那么?是組織建立并實施信息平安管理體系的一個指導性的準那么,主要為組織制定其信息平安策略和進行有效的信息平安控制提供了一個群眾化的最正確慣例。BS7799-2?信息平安管理體系標準?規(guī)定了建立、實施和文件化信息平安管理體系(ISMS)的要求,規(guī)定了根據(jù)獨立組織的需要應實施平安控制的要求。本標準適用以下場合:組織按照本標準要求建立并實施信息平安管理體系,進行有效的信息平安風險管理,