（41页PPT）电子商务安全与管理第三版教学课件第八章电子商务安全风险管理.ppt

下载

下载

39积分

49积分

下载

49积分

VIP价：39积分

电子商务安全风险管理 EMERCE SECURITY RISK MANAGEMENT Chapter 8 电子商务安全风险管理概述01 我国的网络安全风险应急响应体系02 网络支付的安全风险与管理03 灰色产业链的安全风险控制04 目录 电子商务安全风险管理流程05 电子商务安全风险管理的整体策略06 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 从2004年起，我国逐步实行了稻谷和小麦的最低收购价政策，通过以最低收购价等方式集中一部分粮源，再以网上交子化手段，使这些粮源在关键时 刻能够快某省市场，达到稳某省市场，进行粮食宏观调控的目的。由此，日趋形成以国家政策粮交、个性化粮食电子商务为辅的粮食电子商务模式。 但是我国粮食电子商务存在诸多安全风险。 1 想一想“互联网+粮食”还遭遇什么安全风险？ 2 在充满不确定性的网络环境下如何才能最大限度地保障自身安全 ？ 3 针对电子商务活动的网络犯罪会对个体、企业和国家带来哪些危害？ 首先是信息安全。如果粮食信息被非法窃取或，往往 引起连锁反应，形成后续风险，典型表现是网络欺诈， 不仅使粮食交在经济上蒙受重大损失，更重要的是可 能会使人们对粮食电子商务这种新的经济形式失去信 心。非法删除交和交丢失可能导致经济纠纷，给交方 或多方造成经济损失。如果不能及时得到准确、完备 的信息，粮某省市场、粮食企业就无法对交正确的分 析和判断，无法做出符合理性的决策。 “互联网+粮食”遭遇三重安全风险 引例 3 其次是交。粮食电子商务交，是指粮食电子商务交中存在 的各种不安全因素，包括交认、货品和服务的提供、货品 和服务的质量、货款的支付等方面的安全问题。众所，粮 食作为大宗商品，交往比较大，对资金的安全性、到账速 度等要求比普通商品贸。资金安全往往是粮食电子商务安 全问题的最终形式，也是粮食电子商务信息安全问题和粮 食电子商务交问题的后果。粮食电子商务资金安全问题主 要表现为财产损失和其他经济损失，如客户的银行资金被 盗；交冒名，其资金被窃取等，使粮食企业的信誉受损， 经济遭受损失；遭受网络攻击或故障，企业电子商务系统 效率下降甚至瘫痪等。 最后是法制的“缺位”。粮食电子商务产业由于利 益驱使和监管缺失，在发展过程中暴露出一些风险问 题，折射出电某省市场存在着交随意修改、无法某省 市场对接、投机资金操纵价格等问题，饱受“变相期 货”的指责，严重影响了中国电某省市场的健康发展。 现有的《大宗商品电子交》仅属于技术管理文件，未 被强制推行。由于无法可依，使得一些不规范的电某 省市场及业内投机钻营分子，利用法律漏洞游走于政 策边缘牟取暴利。 针对当前粮食电子交在的问题，一方面要加强政府部 门对粮食电某省市场的监管，明确监管机构，解决无 管理主体的问题；另一方面，应建立较为严格的核准 制某省市场准入门槛，实行某省市场准入管理。只有 通过制定专门法律规范并切实有效的实施，才能为粮 食电某省市场的正常运行提供法律保障，才能有利某 省市场交，促进我国粮食电子商务的健康发展。 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 PART 1电子商务安全风险管理概述 Outline of Emerce Security Risk management 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 电子商务安全风险的定义 电子商务安全风险 5 • 广义的电子商务安全风险是指威胁电子商务安 全的各类风险，覆盖电子商务的整个流程、全 部参与者、各类软件硬件设施、内外部运行环 境，包括信息安全风险、操作风险、信用风险、 法律风险，政策风险等。 • 狭义的电子商务安全风险则主要关注信息技术 和操作层面，主要包括信息安全风险和操作风 险，不包括商业活动本身的风险。 定义 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 指企业网络遭受攻击瘫痪导致业务无法 正常开展所招致的损失。企业业务中断 会导致潜在客户流失，降低企业的业务 量，减少企业收入。业务中断损失数据 通常无法准确衡量，但是可以通过正常 访问量或业务量进行大致估算。 指由于业务中断造成第三方财产损失而 招致的赔偿费用。当因电子商务安全问 题导致第三方的信息或财产遭受损失时， 第三方可能会要求企业进行连带赔偿； 部分企业也可能会基于商誉考虑主动减 免用户的费用，或根据相关规定进行先 行赔付 指企业将被破坏的电子商务平台及设施 等恢复到正常水平或修复网络漏洞恢复 正常业务过程中的额外投入。为将业务 恢复到正常水平，企业在修复或更换网 络设备、更新系统软件等过程中需要投 入人力及其他资源 业务中断损失 业务恢复投入 赔偿第三方 电子商务安全风险的主要危害 电子商务安全风险 6 直接损失 • 是指网络犯罪直接造成的企业有形和无形财物损害 • 有形财产损失指网络攻击导致的网络硬件及设备损坏 • 无形资产损失包括企业数据信息、商誉、等无形资产的损失 J间接损失 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 1 2 3 4 攻击具有普 遍性，风险 无处不在 信息和数据 成为主要侵 害对象 安全问题造 成的损失日 益增大 风险暴露时间 延长 电子商务安全风险主要特点 电子商务安全风险 7 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 风险管理是指通过各类行之有效的管理手段降低风险发生概率或减少风险造成的损失，目的是将风险引起的对组织资源、收益及现金流出的不利影响 最小化，包括为提供有效的损失预防方案而进行的规划、组织、领导、协调及控制活动。安全风险管理承认损失的存在, 但损失发生的可能性及损害 程度将被控制在可接受范围内, 这便是风险管理的宗旨。 由惠普企业安全（HP Enterprise Security）赞助、 Ponemon Institute开展的2015年网络犯罪研究发现， 参与调查的252家基准企业中，认识到各项风险管理 措施可以减少企业损失的比例为：加密技术，57%； 接入管理工具，45%，数据丢失防护工具，38%；策 略管理工具，36%。目前全球范围内的电子商务安全 风险管理已经基本摆脱了为不同安全事件打补丁的“ 零星追加”阶段，进入到“标准化”安全风险管理时 代。 电子商务安全风险管理的发展现状 8 风险管理的程度是成本与收益平衡的结果。每一单位资金都有机会成 本，应用在风险防范上意味着无法用于投资活动以产生更高的收益， 这就是风险管理的代价。对于从事电子商务活动的各个主体而言，追 求极致安全是没有意义的，那意味着不可想象的高额风险管理成本。 同样也没有放之四海而皆准的统一安全界限。不同的组织或个人有不 同的风险偏好，风险管理的强度只需与其风险接受程度相契合即可。 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 国际标准层出不穷 • 巴塞尔银行监管委员会《电子银行业务风险管理原则》 • 英国标准委员会制订的BS7799 • 国际标准化组织ISO制定的信息安全管理体系（ISMS, Information Security Management System ）中包括一系 列关于信息安全的标准：信息安全管理体系要求 （ ISO/IEC 27001:2013）、信息安全控制实用规则 （ISO/IEC 27002:2013 ）、信息安全管理系统实施指南 （ ISO/IEC 27003:2010 ） 、 信 息 安 全 管 理 度 量 （ ISO/IEC 27004:2009 ） 、 信 息 安 全 风 险 管 理 （ISO/IEC 27005:2008 ）等。该体系已被全球广泛接受 和认可，成为各类组织信息安全问题的有效解决方案 • 美国货币监理署的《电子银行最终规则》 • 香港金融管理局的《电子银行服务的安全风险管理》 • 某著名企业业监督管理委员也于2006年3月1日正式颁布 了《电子银行业务管理办法》、《电子银行安全评估指引 》 新形势下的各国规范1 2 安全风险管理的国际标准和各国规范逐渐形成并趋于完善 电子商务安全风险管理的发展现状 9 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 企业开放性提高使得安全风险管理形势严峻 电子商务安全风险管理的发展现状 10 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 电子商务企业、软件企业以及安 全企业会以悬赏的方式让安全研 究人员和黑客通过攻击测试的方 式来寻找企业漏洞，并对验证有 效的发现支付报酬。这一计划被 称为漏洞悬赏计划（Bug- bounty program） 能够大幅降低企业风险管理成本 能够有效降低企业潜在风险 1 2 外部安全企业和个人发挥的作用日益突显 电子商务安全风险管理的发展现状 11 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 PART 2我国的网络安全风险应急响应体系 Network Security Emergency Response System 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 国家计算机网络应急技术处理协调中心 安全事件应急处理体系的主体 13 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 网络安全信息通报单位 • CERT/CC作为通信行业网络安全信息通报中心，积极贯 彻落实工业和信息化部颁布的《互联网网络安全信息通报 实施办法》，协调和组织各地通信管理局、中国互联网协 会、基础某著名企业企业、域名注册管理和服务机构、非 经营性互联单位、增值某著名企业业务经营企业以及安全 企业开展通信行业网络安全信息通报工作。 • 自2011年1月起CERT/CC建设并启用网络安全协作平台， 试行开展电子化信息报送工作。 • 2015年CERT/CC网络安全协作平台二期全面投入使用， 进一步促进某著名企业和互联网行业内信息共享。 • 为了拓宽掌握互联网宏观网络安全状况和网络安全事件信 息的渠道，增强对重大突发网络安全事件的应对能力，强 化电子商务的网络安全应急技术体系建设，促进互联网网 络安全应急服务的规范化和本地化CERT/CC组织选拔了 一批国某省市级互联网应急服务试点单位，促进我国电子 商务进程中的网络安全预警发现和应急响应能力。 • 我国国家级的网络安全应急服务支撑单位主要有北京天某 著名企业、哈某著名企业、北京启明某著名企业、恒安某 著名企业、中国某著名企业集团系统集成有限责任公司、 某著名企业、沈阳某著名企业等。 应急服务支撑单位 安全事件应急处理体系的主体 14 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 测试 评估 应急 处置 监测 发现 预警 通报 CERT/CC本着“支撑政府监管，服务运营企业”的 原则，以科学的方法、规范的程序、公正的态度、 独立的判断，按照相关标准为企业提供安全评测服 务 CERT/CC依托与运营商、域名注册商、安全服务厂 商等相关部门的快速工作机制和与涉及国计民生的 重要信息系统部门及执法机关密切合作机制实现网 络安全事件的快速处置 工业和信息化颁布实施了《互联网网络安全信息通报实施 办法》，委CERT/CC承担通信行业互联网网络安全信息通 报工作，负责拓展网络安全信息通报单位，挖掘多个渠道 搜集网络安全威胁和事件 依VD和乌云网等平台可以开展对基础网络安全、某著名企 业互联网安全、IDC安全、增值业务安全和网上金融证券 等重要信息系统网络攻击行为的监测发现 网络安全风险应急响应的工作 15 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 网络安全的宣传 • 网络安全技术对抗赛可以宣传普及网络安全知识，提高网 络安全防护意识，推动网络安全技术的发展与应用 • 国家网络安全宣传央网信办、中央编办、教育部、科技部、 工业和信息化部、公安部、中国人民银行、新闻出版广电 总局、共青团中央、中国科协共10个部门共同主办。 • 2011年“国家级计算机安全事件响应小组联合合作备忘 录”签订，根据该备忘录中、日、韩三国连续召开多次中 日韩互联网应急年会 • 中俄外长在两国元首见证下签署了《政府和俄罗斯联邦政 府关于在保障国际信息安全领域合作协定》，协定规划了 中俄开展合作的主要方向 • 中国正尝试建设中国-东盟信息港产业园，搭建信息共享 和经验交流平台，汇聚中国-东盟投资、贸易、应急、公 共管理等方面信息，开展商贸服务、应急联动等方面的信 息共享和交流合作 国际合作 网络安全的相关活动 16 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 PART 3网络支付的安全风险与管理 Safety Control and Risk Hold of E-Payment 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 1 基础关系违法支付账户尚未全面落实实名制，网络支付服务可能会为 违法犯罪行为提供便利，成为黄赌毒、危险品违法交台。 管理违法 网络支付机构在流程、技术和信息安全、资金安全、 规则和人员诚信等管理事项中存在过失和疏漏的情况， 导致产品服务存在缺陷、用户资金被挪用和用户信息 被等风险事件的发生。 外部欺诈层出 外部人员利用各种手段骗取、窃取于支付交的信息和 数据，继而操纵或介入支付交易，以盗窃、诈骗行为 非法侵占支付交人合法权益的情况。常见的方式有网 络钓鱼、木马、病毒等。 配套缺失 • 即使我国已经建立了相应的网络安全风险应急体 系，网络环境依旧存在潜在风险 • 用户的安全意识缺乏，安全教育不能及时跟进， 也没有保护自身权益的思维 • 网络支付风险缺少规范、高效的查处机制等，资 金追回的几率渺茫。 2 3 4 网络支付的风险表现形式 18 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 1 基于网络支付行为要素• 从货币资金的存储角度来看 • 从货币资金的保管角度来看 • 从货币资金创新形态来看 支付指令形态 不同网络支付机构间的支付指令生成机制通用化程度 低，影响了网络支付的效率。其次，受技术进步因素 影响，支付指令生成机制中潜在的安全漏洞威胁着网 络支付的安全 支付指令传输渠道 外部人员利用各种手段骗取、窃取于支付交的信息和 数据，继而操纵或介入支付交易，以盗窃、诈骗行为 非法侵占支付交人合法权益的情况。常见的方式有网 络钓鱼、木马、病毒等。 网络支付清算、结算安排 • 网络支付需要适用更为繁杂的电子商务活动规则、 虚拟账户使用规则和网络支付机构提供“信用中 介”功能的支付模式 • 网络支付清算、结算配套安排的统一性及透明度 对网络支付安全以及用户体验的提高也有着很大 的影响。 2 3 4 网络支付的风险因素 19 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 网络支付机构的安全架构 20 网络支付机构 备付金管理部 风险管理部 法律合规部 审计部 系统安全部 公共关系与用户服 务部 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 1 平衡安全和效率安全和效率的平衡是网络支付发展的核心目标之一。过 度的安全控制措施会大幅度降低网络支付机构的经营效 率，给消费者带来不便，但忽略了安全同样会给用户、 网络支付机构带来损失。 开展深入合作 网络支付机构与银行、网络支付平台之间应当开展深 入的合作，共同开展网络商户和用户的安全教育，有 效降低宣传成本。同时在信贷服务开展过程中，各机 构可以深化安全合作机制，实现“黑名单”共享、病 毒木享等 完善政策 网络支付机构要进一步完善支付系统中各相关部门的 制度规范，加强人员的管理，防范操作风险，尽量部 管理违法。其次，机构应对重点客户加强监控，尤其 是对巨额资金的大进大出以及黄赌毒、危险物品买卖 进行监控，反方利用平台进行非法资金交易。 改进技术 网络支付涉及到资金财产，它不仅需要精心完善平台 的加密技术和认证技术，还需要建立智能实时防控系 统，由计算机完成的通过相应规则对交实时筛查，将 数据分析与挖掘的新技术用到实践中，从而减少人力 成本，提高对网络欺诈、盗窃、作弊、洗钱、套现等 风险的防控效率。 2 3 4 网络支付风险管理 21 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 PART 4灰色产业链的安全风险控制 Safety Control and Risk Hold of Gray Industrial Chain 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 灰色产业链的安全风险控制 23 灰色产业链 信誉类 “买粉” 虚假评论 刷单 经济类 银行卡买卖 套现 技术类 连环扣 暗扣 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 PART 5电子商务安全风险管理流程 Process of Emerce Security Risk management 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 安全风险识别分析是收集信息，确定电 子商务系统的薄弱点和面临的威胁，对 可能造成的损失进行评价。该阶段的主 要任务是全面评估电子商务的安全现状、 要保护的信息及资产等，同时进行基本 的安全风险识别和分析 风险控制阶段的任务是通过实施一系列 的安全控制手段使风险降低到企业可以 接受的水平。风险控制在满足费用和风 险平衡的原则下，可以选择下列途径来 实现风险可接受的目的 风险评估阶段就是确定企业安全需求的 过程。企业在经过了前面的风险识别分 析之后，应利用适当的风险测量工具或 方法确定风险的大小与风险等级，以便 正确识别与选择恰当和正确的安全控制 方法 风险识别分析阶段 风险评估阶段 风险控制阶段 电子商务安全风险管理流程 25 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 评估范围内的资产主要包括数据 与文档、书面合同、软件资产、 人员、服务以及实物资产。列出 所有信息资产后，对每项资产赋 值。由于实际操作中的困难，一 般可采用定性方法建立资产价值 的重要程度等级。 企业需要保护的信息资产存在着 可能被威胁利用的弱点，即漏洞。 企业应针对每一项需要保护的信 息资产，找出每一种威胁所能利 用的薄弱点，并针对薄弱点的严 重性进行评价。例如，非常可能 ＝4，不可能＝3，可能＝2，不 太可能＝1，不可能＝0；企业还 应对已有的安全控制的有效性进 行确认，确保其持续有效性。 即对每一项关键信息资产进行威 胁识别。继而确定威胁发生的可 能性。企业应根据经验或者有关 的统计数据来判断威胁发生的频 率或者概率。一般威胁发生的可 能性采取分级赋值的方法予以确 认。例如采用非常可能＝3，大 概可能＝2，不大可能＝1等此类 分级别赋值的方法。 1.信息资产的识别与估价 2.威胁的识别与评价 3.薄弱点评价 风险识别的一般步骤 风险识别分析 26 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 • 这是风险管理人员及有关专家学者，通过对企业可 能遭受的风险加以详尽的调查与分析，编制各种调 查表供企业参考的一种方法。 • 调查表应尽可能提出比较详尽的问题。一般来说， 这种方法在商业银行以及其他的金融服务机构的传 统风险管理中比较常见。 • 调查表在设计的时候可以按照资产、威胁或薄弱点 分大类，然后在每个大类中提出一些关键问题，根 据最终的调查内容来确定风险状况。 说明 风险识别阶段的常用方法-风险分析调查表 风险识别分析 27 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 • 事故分析树是对可能引起损失的事故进行研究，并 探究其原因和结果的一种方法。 • 事故树是一种图表，用来表示所有可能产生事故的 风险事件。每个节点表示某一具体事件，而连线则 表示事件之间的特点管理，事故树遵循逻辑学演绎 分析方法，从结果入手分析原因。 • 事故树可以识别出各种促成损失的事故的风险因素， 还可以计算出事故的概率，是定性和定量结合的一 种方法，在风险管理中运用很广 • 通常在风险识别的过程中，还要对现有的企业安全 风险控制措施的有效性进行确认 说明 风险识别阶段的常用方法-事故树分析法 风险识别分析 28 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 风险评估 29 为资产受到威胁时的风险； 为威胁发生的可能性； 为薄弱点被利用的可能性； 为威胁的潜在影响，并且有 其中 为价值损失程度 为资产的相对价值。 • 风险识别工作结束之后，要利用适当的风险测量方 法、工具确定风险的大小与风险等级，这就是风险 评估过程。 • 在风险评估中要利用风险测量工具和方法进行风险 衡量 • 一般可以采用如下方法：将风险看成资产所受到的 威胁、存在的薄弱点及威胁利用薄弱点造成潜在影 响三方面的共同作用结果。 说明 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 风险控制与风险接受 30 Rr= R0-△R 且 Rr≤Rt Rr—残余风险； R0—原有风险； △R—已有控制所减少的风险； Rt—可接受风险； 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 监控和审计过程实质上就是对风 险分析效果的一个反馈过程 • 实时监控就是利用各种技术手段来检测网络 攻击模式和其他可疑活动，包括对于黑客行 为、病毒特征、系统弱点、网络协议等的分 析，以图找出存在的安全漏洞和潜在威胁。 • 审计评估是根据网络的实时监控结果、日志 等反映出的有价值的统计和分析信息，运用 统计方法和审计评估机制给出智能化的审计 报告和趋向报告，综合评价安全现状，并将 这些结果作为下一次循环的依据和输入状态 对于已经发生的系统破坏行为提供有力的证据，以便 进一步采取行动。 对于已经发生的系统破坏行为提供有力的证据，以便 进一步采取行动。 提供系统运行的统计日志，使系统管理员能够发现系 统性能上的不足或需要改进与加强的地方。 1 2 3 监控与审计 31 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 PART 6电子商务安全风险管理的整体策略Overall Strategy of Emerce Security Risk Management 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 • 信息方法：用信息的观点，把系统 看作是借助于信息的获取、传递、 加工、处理而实现其有目的性运动 的一种研究方法 • 反馈：把一个系统的输出信息，再 引向输入端，并对信息的再输出发 生影响的控制方式。 • 从理论上来说，传统风险管理与电 子商务安全风险管理策略的结合是 有益的。 • 从实际操作的角度看，将电子商务 安全风险管理策略与传统的商业银 行风险管理结合起来也是必要的。 • 可以考虑借鉴成熟的传统金融风险 度量中的一些方法来改变电子商务 安全风险管理中对资产进行粗略的 优先级别排序的方法 控制论和系统论思想的运用 借鉴其他领域的风险管理方法 融入企业整体风险管理 安全风险管理策略应遵循的原则 33 • 安全策略是指能够接触企业计算机网络的技术和信息的人员必须恪守的一系列规则和条文的明确规定，对每一个用户、管理员和其他 中高层管理者都确定了各自的安全目标， 这些目标大多是基于以下因素的权衡：高质量的服务和安全性，和安全性，安全费用和风险 损失。 • 一种安全策略实质上需要说明系统在进行一般操作时，在安全范围内什么是允，什么是不允。策略通常建立安全技术规范的最高一级， 并不作具体规定，即只是提出重要事项，而不确切地说明如何实现。 • 制定安全策略的主要目的是让用户和管理者牢记自身对保护企业网络技术和信息财产的不可推卸的责任和义务，并为安全问题造成的 预期损失制定一个最高限额。 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 策略的总体框架 34 在安全风险管理策略系统中技术和管理手段的无缝集成 包括电子商务安全风险控制的企业整体风险控制 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 本章小结 35 • 电子商务安全问题来源于方方面面，既有可能是网络支付环节的风险因素，也有可能是灰色产业链中对电子商务的诚信体系、经济安全感以及 技术信任度的打击。 • 电子商务安全风险描述了电子商务安全问题导致损失的可能性，广义来说，会覆盖电子商务的整个流程、全部参与者、各类软件硬件设施、内 外部运行环境。有风险覆盖面广、损失日益增大、风险暴露时间长等特点。为规避风险可能造成的损失，企业可以通过事前风险管理的方式降 低风险发生的概率及事后损失，将风险控制在可承受范围内。 • 风险管理的步骤包括风险的识别、风险评估以及风险控制与接受，在安全风险分析的最后阶段，还必须注意对现有电子商务系统的监控与审计， 以便发现新的风险并将其纳入到整体风险管理策略中去。 • 安全风险管理策略是统筹企业电子商务安全风险管理的指导方针和路线图，企业应立足全局，使电子商务安全风险策略与传统业务的风险管理 策略相适应结合，避免以往的安全和经营管理重复、脱节等现象。 • 一个优秀的电子商务安全风险管理策略应以系统论、控制论思想为指导，将安全管理中的风险分析过程、管理策略的实施、监控和审计作为一 个完整的系统来看待，各个安全管理的步骤有机结合；同时审计得到的新的问题又作为新一轮风险分析的输入内容，因此该系统具备与外界不 断交换信息的能力，利用反馈和控制方法可以不断调整策略总体目标与实际操作结果之间的差距，是一个具有自适应能力的开放系统，可以应 对企业不断变化的内外部环境中的各种安全威胁。同时电子商务安全管理策略还应借鉴企业已有的风险管理方法，注重与企业其他领域风险管 理的结合。 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 关键术语 36 • 风险 • 广义的电子商务安全风险 • 狭义的电子商务安全风险 • 风险管理 • 电子商务安全风险管理策略 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 1 什么是电子商务安全风险？ 电子商务安全风险的危害有哪些？ 我国在网络安全风险应急体系建设过程中开展了 哪些工作？ 2 3 思考题 网络支付的风险因素有哪些？4 37 电子商务中的灰色产业链大致有哪些类别？5 6 什么是风险管理？ 电子商务安全风险管理的步骤有哪些? 风险识别的一般步骤是什么？ 7 8 什么是风险分析调查表？9 电子商务安全风险管理策略框架应当遵循哪些原则 ？ 十 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 诈骗分子之所以如此“疯狂”，是因为他们早已形成了一条完整的黑色产业链，其中有负责木站开发的技术人员、有向受害人手机植入木“种”、进 入账号操作的洗、分次从银行卡取消费的取款人等等，他们分工明确，协同作案；同时，诈骗手法也逐渐由撒网式诈骗向精准式诈骗升级，他们通过 多种渠道掌握受害人的家庭情况、联系方式、个人账户、通话记录等个人信息资料，并编造出各种故事和场景对受害者进行“精准诈骗”。 1 结合上述资料分析现阶段电子商务安全风险的特点。 2 分析大数据诈骗黑色产业链中人员的专业分工和网络关系。 3 评估你受到诈骗的风险等级。 “航班取消” “二胎生育退费”、“推荐必涨股票 ”、“交通违章提醒”、“积分兑换现金”等等，都 是骗子惯用的手法。在这些信息诈骗案例中，诈骗分 子把大数据作为信息诈骗的工具,对个人信息数据进行 分析和分类，并根据用户信息的特点设计诈骗环节和 故事。目前这类精准式诈骗个案的金额也越来越巨大， 数额上百万或千万的案例也越来越多。 大数据时代骗子“更精明” 案例一 38 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 纽约联储收到来自国央行的共计35组转账申请，金额共计近10亿美元。纽约联储以受益人不明为由拒绝了其中30组申请，但其余的转账问询并没有得 到回复。后经调查显示，作案人员成功利用了国间的时间差，美国时间2月5日时国已进入，央行无人上班，等到加拉国方面发现巨款失踪时，这笔73 分钟内被5次提取，后被证实该款项流入菲律宾两家赌场和一名赌团中介商的账户，由于赌场是菲律宾反洗盲区，赃款转入菲律宾后就等于消失。 1 上述案例中哪些环节出现漏洞导致了损害的发生？ 2 不同国家间的安全应急体系建设工作应该如何开展合作? 3 根据你所学习的知识为该银行的风险管理提出建议。 是谁发出的网上银转申请？它如何顺利通过国央行的 网络安全屏障？纽约联储在核查银转汇入地时是否有 疏漏？菲律宾的银行是否有“洗钱”之嫌？其在接到 国方面停止汇款的请求后多久才予以回复？这一系列 问题仍有待调查。不过，此类调查很可能有头无尾， 这不仅是因为丢失巨款已某省市无从查找，而且案件 调查难免涉及多国政商高层，所遇到的阻力可想而知。 国央行被盗案迷雾重重 案例二 39 上海财经大学 劳帼龄《电子商务安全与管理》（第三版）“十二五”国家规划教材 试一试 如同我们在引例中的分析，“互联网+粮食”存在三重重大 的安全风险，农村电子商务开展中“危”机四伏，试试选取 农村电子商务中的一个领域进行安全风险分析，并为进入该 领域的电子商务企业制定风险管理策略的总体框架。 国家互联网应急中心CERT/CC）每年6月前后会发布上一年 的中国互联网网站安全报告年报.阅读最新一年的年报，了解 过去一年我国互联网网络安全的总体情况，在此基础上搜集 整理近期发生的电子商务安全重大事件，思考在未来的一年 内值得关注的安全相关的热点问题有哪些？ 猜一猜1 2 拓展练习 40 Thank You