单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,第8章 电子商务平安评估与管理,学习目的,了解电子商务平安管理根底知识；,了解电子商务风险管理、平安模型及平安威胁，把握电子商务平安评估方法与准那么；,了解电子商务平安相关法律法规和政策制度，树立电子商务平安法律意识；,认知电子商务平安管理的重要性，掌握电子商务平安管理的模型、策略与标准。,引例大学生利用黑客病毒网上盗款48万,张先生是一家私营企业主，因为去银行排队办理业务太耽误时间，一直使用网上银行进行资金管理。2006年12月22日，当张先生查询自己的银行账户时，突然发现两张银行卡内的48万余元已被划走，仅剩下3元。焦急万分的张先生立即到公安机关报警。民警接到报案后，根据银行查询到的账户POS消费地点记录，立即前往广州、上海等地调查取证。经过各地警方缜密侦查，利用先进网络技术手段，于2007年将犯罪嫌疑人孙木云、郭浩抓获归案。,郭浩，1986年出生，是黑龙江某大学计算机专业的大学生；孙木云，1989年出生，当时在上海某个网吧做网管。2006年12月，郭浩在大学生宿舍内，通过“灰鸽子病毒软件发现了身在北京的张先生的电脑中了“灰鸽子病毒。郭浩便通过“灰鸽子病毒远程监控系统，监控该电脑。在张先生上网进行网络银行卡操作时，郭浩获知了张先生的银行卡账号、密码，而后通过远程监控下载了受害人银行卡的电子证书。,2006年12月17日，郭浩联络在山东的孙木云，要求其帮助将钱转出。随后，两人连夜将张先生两张银行卡内的48万余元分40余笔转出，打入位于广州、上海和北京的出售游戏点卡的公司，并将点卡存入虚拟的网络账户。,张先生的48万余元就这样一夜之间蒸发了。最后，大学生郭浩被判处有期徒刑12年,罚金人民币1.2万元；被告人孙木云犯盗窃罪，判处有期徒刑8年，罚金人民币8000元。两名被告人均没有提出上诉。,资料来源:赛迪网.:/ccidnet /,2021.3.10,作者略有删改。,8.1电子商务平安评估,风险管理,从本质上讲，平安就是风险管理。一个组织者如果不了解其信息资产的平安风险，很多资源就会被错误地使用。风险管理提供信息资产评估的根底。通过风险识别，可以知道一些特殊类型的资产价值以及包含这些信息的系统的价值。,1.风险的概念,风险是构成平安根底的根本观念。风险是丧失需要保护的资产的可能性。如果没有风险，就不需要平安了。风险还是从事平安产业者应了解的一个观念。,以传统的保险业为例来了解风险的含义。一个客户因感到危险，所以向保险公司购置保险。买保险前，如果出车祸，他需要花很多修理费，买了保险后就可减少花大笔钱的风险。保险公司设定保险费的依据有两个，一个是汽车修理的费用，另一个是该客户发生车祸的可能性。,从上面的例子可以看出，风险包含两个局部。第一个是车的修理费，如果车祸发生，保险公司就要付这笔费用，将它定为保险公司的漏洞或脆弱性。第二个是客户发生车祸的可能性，这是对保险公司的威胁，因为它有可能使保险公司付修理费。因此漏洞和威胁是测定风险的两个组成局部。图8-1表示漏洞和威胁之间的关系，由图可知，如果没有威胁，也就没有风险；同样地，如果没有漏洞，也就没有风险。,图8-1 漏洞和威胁的关系,1漏洞,漏洞是攻击的可能的途径。漏洞有可能存在于计算机系统和网络中，它允许翻开系统，使技术攻击得逞。漏洞也有可能存在于管理过程中，它使系统环境对攻击开放。,漏洞的多少是由需要翻开系统的技术熟练水平和困难程度来确定的，还要考虑系统暴露的后果。如果漏洞易于暴露，并且一旦受到攻击，攻击者可以完全控制系统，那么称高值漏洞或高脆弱性。如果攻击者需要对设备和人员投入很多资源，漏洞才能暴露，并且受到攻击后，也只能获取一般信息，而非敏感信息，那么称低值漏洞或低脆弱性。,漏洞不仅和计算机系统、网络有关，而且和物理场地平安、员工的情况、传送中的信息平安等有关。,2威胁,威胁是一个可能破坏信息系统环境平安的动作或事件。威胁包含以下3个组成局部：,1目标,威胁的目标通常是针对平安属性或平安效劳，包括机密性、完整性、可用性、可审性等。,2代理,代理需要有3个特性：访问。知识。动机。,3事件,事件是代理采取的行为，从而导致对组织的伤害。常见的事件如下：,对信息、系统、场地滥用授权访问；恶意地改变信息；偶然地改变信息；对信息、系统、场地非授权访问；恶意地破坏信息、系统、场地；偶然地破坏信息、系统、场地；对系统和操作的恶意物理损害；对系统和操作的偶然物理损害；由于自然物理事件引起的系统和操作的损害引入对系统的恶意软件；破坏内部或外部的通信；被动地窃听内部或外部的通信；偷窃硬件。,3威胁+漏洞风险,风险是威胁和漏洞的综合结果。没有漏洞的威胁没有风险，没有威胁的漏洞也没有风险。风险的度量是要确定事件发生的可能性。风险可划分成低、中、高3个级别。,1低级别风险是漏洞使组织的风险到达一定水平，然而不一定发生。如有可能应将这些漏洞去除，但应权衡去除漏洞的代价和能减少的风险损失。,2中级别风险是漏洞使组织的信息系统或场地的风险(机密性、完整性、可用性、可审性)到达相当的水平，并且已有发生事件的现实可能性。应采取措施去除漏洞。,3高级别风险是漏洞对组织的信息、系统或场地的机密性、完整性、可用性和可审性已构成现实危害。必须立即采取措施去除漏洞。,2.风险的识别与测量,1风险的识别,对一个组织而言，识别风险除了要识别漏洞和威胁外，还应考虑已有的对策和预防措施，如图8-2所示。,图8-2 一个组织风险评估的组成,2风险的测量,风险测量必须识别出在受到攻击后该组织需要付出的代价。图8-3表示风险测量的全过程。代价是多方面的，包括资金、时间、资源、信誉以及丧失生意等。,图8-3 测量风险,平安成熟度模型,美国Carnegie Mellon大学的软件工程研究所(Software Engineering institute，SEI)制定了系统平安工程能力成熟度模型(System Security Engineering Capability Maturity Model，SSECMM)。它将平安成熟度能力级别分成4级，以适应不同级别的平安体系结构，如表8-1所示。,表8-1 平安成熟度能力级别,1平安方案,一个好的平安体系结构必须建立在一个巩固的平安方案根底之上。方案的文本必须清晰、完整。很多组织的平安策略、标准和指南存在以下一些问题：,(1)内容太旧，已过时，不适用于当前的应用。平安策略应每年更新，以适应技术的变化。,(2)文本有很多用户，如开发者、风险管理者、审计人员，所用语言又适用于多种解释。如果陈述太抽象，那么实施时将无效力。,(3)表达不够详细。很多组织的平安策略观念只是一个口令管理。组织平安策略文本中通常缺少信息的等级分类以及访问控制方案文本。,(4)用户需要知道有关平安的文本。如果用户不能方便地获得和阅读文本，就会无意地犯规，然而难以追查责任。,2技术和配置,当今，市场上有很多平安厂商和平安产品，但是没有一个产品能提供完全的平安解决方案。诸如防火墙、IDS、VPN、鉴别效劳器等产品都只是解决有限的问题。平安专业人员应能适当地选择产品，正确地将它们安置在根底设施中，适宜地配置和支持。然而，他们经常会不正确地采购平安产品，例如，有人认为只要在需要保护的有价值的资产前放置一个防火墙，就什么问题都能解决。从网络的观点看局部正确，但防火墙不提供给用和平台的保护，也不提供有用的入侵检测信息。,平安产品的适宜配置也是一个挑战。有时产品的默认配置是拒绝所有访问，只有清晰的允许规那么能通过通信。平安产品配置的最大挑战是需要有熟练的专业人员来配置和管理。,3运行过程,运行过程包括平安组件需要的必要支持和维护、变更管理、经营业务的连续性、用户平安意识培训、平安管理，以及平安报警与监控。平安根底设施组件的支持和维护类似于主机和应用效劳器所需的支持。允许的变更管理要有能退回到目前工作版本的设施，并且要和经营业务连续性方案协调一致。,平安设备会产生一些不规那么的日志信息，这对管理员来说是复杂的，一旦配置有过失，就会阻止访问网络、应用或平台。对各种人员的培训是任何平安体系结构成功的关键。最后，识别平安事故的能力且按照一个逐步升级的过程来恢复是最重要的。,技术变化十分迅速，对从事于平安事业的人员增加了很多困难，因此选择高水平的人员从事该项工作是必须的。特别是，从事平安培训的专业人员是有效信息平安程序的关键，要使用各种有效媒体进行平安培训课程。每个企业员工都要接受平安培训，要对不同的人员(例如平安管理员、最终用户、数据拥有者)有针对性地进行培训。,威胁,威胁包含3个组成局部：,(1)目标，可能受到攻击的方面。,(2)代理，发出威胁的人或组织。,(3)事件，做出威胁的动作类型。作为威胁的代理，必须要有访问目标的能力，有关于目标的信息类型和级别的知识，还要有对目标发出威胁的理由。,1.威胁的来源,1人为过失和设计缺陷,2内部人员,3临时员工,4自然灾害和环境危害,5黑客和其他入侵者,6病毒和其他恶意软件,2.威胁情况与对策,1社会工程(系统管理过程),2电子窃听,3软件缺陷,4信任转移(主机之间的信任关系),5数据驱动攻击(恶意软件),6拒绝效劳,7DNS欺骗,8源路由,9内部威胁,平安评估方法,1平安评估过程,图8-4表示从平安成熟度模型三个方面的平安评估阶段。,图8-4 基于平安成熟度模型的平安评估阶段,2网络平安评估,网络评估的第一步是了解网络的拓扑。假设防火墙在阻断跟踪路由分组，这就比较复杂，因为跟踪路由器是用来绘制网络拓扑的。,第二步是获取公共访问机器的名字和IP地址，这是比较容易完成的。只要使用DNS并在ARIN(American Registry for Internet Number)试注册所有的公共地址。,最后一步是对全部可达主机做端口扫描的处理。端口是用于TCPIP和UDP网络中将一个端口标识到一个逻辑连接的术语。端口号标识端口的类型，例如80号端口专用于HTTP通信。假设给定端口有响应，那么将测试所有的漏洞。,3平台平安评估,平台平安评估的目的是认证平台的配置(操作系统不易受漏洞损害、文件保护及对配置文件有适当的保护)。认证的唯一方法是在该平台上执行一个程序有时该程序称为代理，因为由其开始对全部程序进行集中管理。假设平台已经适当加固，那么就要有一个基准配置。评估的第一局部是认证基准配置、操作系统、网络效劳(FTP、rlogin、telnet、SSH等)没有变更。因为黑客首先是将这些文件版本替换成自己的版本。黑客的版本通常是记录管理员的口令，并转发给Internet上的攻击者。所以，假设有文件需要打补丁或需要使用效劳包，代理将通知管理员，进行平安预警以保护平台平安。,评估的第二局部是认证管理员的口令，大局部机器不允许应用程序的用户登录到平台，对应用程序的用户鉴别是在平台上运行的应用程序自身来完成，而不是由平台来完成。此外，还要测试本地口令的强度，如口令长度、口令组成、字典攻击等。最后，还有跟踪审计子系统，在黑客作案前就能跟踪其行迹。,4应用平安评估,应用平安评估比使用像网络和平台扫描这些自开工具而言，需要更高的技术水平。黑客的目标是透过系统平台得到对应用程序的访问，强迫应用程序执行某些非授权用户的行为。很多基于Web应用的开发者使用通用网关接口(Common Gateway Interface，CGI)来分析表格，黑客能利用很多漏洞来访问使用CGI开发的Web效劳器平台(例如放入“&这些额外的字符)。,编写质量低的应用程序，其最大风险是允许访问执行应用程序的平台。当一个应用程序损坏时，平安体系结构必须将黑客纳入平台平安评估中，防止应用程序造成平安问题。一旦一台在公共层的机器受损，黑客就可用它来攻击其他机器。黑客最通用的方法是在受损的机器上安装一台口令探测器以获得口令进行攻击。,平安评估准那么,1可信计算机系统评估准那么,2信息技术平安评估准那么,3通用平安评估准那么,4计算机信息系统平安保护等级划分准那么,8