文档介绍:第9章电子商务系统的安全设计
徐天宇
本章内容
电子商务系统安全
电子商务系统安全体系框架
电子商务系统安全设计的原则
电子商务系统安全体系的设计
电子商务系统安全问题涉及到许多方面。
首先,安全不是一个单一的问题。
其次,安全问题是动态的。
再次,安全问题不能仅仅由技术来完全解决。
电子商务还没有统一建立的标准的系统安全体系框架。可参照信息系统的安全体系框架。
信息系统安全的总需求是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共信息安全的总和。
信息系统安全的最终目的是确保信息的保密性、完整性、可用性、可审计性和不可否认性,以及信息系统主体对信息资源的控制。
信息系统安全体系结构示意图
管理体系
法律
制度
培训
组织体系
机构
岗位
人事
技术体系
技术管理
安全策略与服务
密钥管理
审计
技术机制
安全技术
运行环境及系统安全技术
状态
检测
入侵
监控
安全管理
安全机制
安全服务
物理
安全
系统
安全
信息系统安全体系框架
⑴均衡性
⑵整体性
⑶一致性
⑷易操作性
⑸可靠性
⑹层次性
⑺可评价性
制定安全规划的工作步骤包括:
对企业电子商务系统安全风险进行评估
分析企业电子商务系统的安全需求
定义企业电子商务系统安全规划的范围
建立项目小组以设计和实施安全规划
制定企业电子商务系统的安全策略
制定企业电子商务系统的安全方案
评估安全方案的代价和优缺点
测试和实施安全方案
通过识别用户的信息资产,建立信息资产列表。
企业信息资产包括:数据与文档、硬件,软件,人员四个方面。
企业的信息资产
资产类型
说明
硬件
包括服务器、工作站、路由器、交换机、防火墙、入侵检测系统、终端、打印机等整件设备,也包括主版、CPU、硬盘、显示器等散件设备。
软件
包括源代码、应用程序、工具、分析测试软件、操作系统等
数据
包括软硬件运行中的中间数据、备份资料、系统状态、审计日志、数据库资料等
人员
包括用户、管理员、维护人员等
文档
包括软件程序、硬件设备、系统状态、本地管理过程的资料
消耗品
包括纸张、软盘、磁带等
资产分类
对信息资产及人分别归类,同时在两者之间建立起对应关系。
信息资产可以通过资产的保护价值进行分类。如:机密级、内部访问级、内部信息、共享级。
对人员的分类类似于信息资产的分类。