不安全系统中的商务风险与管理.pptVIP

不安全系统中的商务风险与管理 1 与不安全通信网络相关的风险 本节讲述接入不安全网络，尤其是Internet从事一系列商务（如：外部电子邮件、内部地理上相分隔的部门间的电子邮件、市场营销、电子销售和采购系统）所面临的风险。 1.1 与不安全通信网络相关的风险 虚假的或恶意的网站 窃取访问者的身份证信息与口令、窃取信用卡信息、偷窥访问者的硬盘或从硬盘中上载文件 注册、虚假商业活动、“虫子” 从销售代理及Internet服务商（ISP）处窃取用户数据 信用卡信息保存在销售代理或ISP处 信用卡信息失窃 隐私与cookies的使用 隐私权组织的反对 用户首次访问网站，Cookies文件建立，分配用户身份号码，提高了网站访问的效率 Cookies被营销公司利用 1.2 销售代理所面临的风险 销售代理与消费者同样都面临电子商务风险 客户假冒 假冒他人订购免费服务或商品 收货拒付 拒绝服务DoS袭击 拒绝服务袭击用于破坏、关闭或削弱某电脑或网络资源 难以防范、追查 SYN淹没 数据的失窃 2 与企业内部网相关的风险 对于许多大型企业而言，公司企业内部网的维护与安全已经变得像一只难驯的野兽一般棘手。在一些大型企业中，单是能够及时了解企业内部网的数目及其确切位置就是一个不小的难题。 内部黑客的威胁 2.1 离职员工的破坏活动 离职员工真会对以前的雇主及其电脑系统进行报复性活动吗？1998年的CSI/FBI调查显示，89%的公司认为心怀不满的员工会进行这类袭击。 2.2 在职员工的威胁 在职员工也会给企业的电脑系统造成严重破坏。 嗅探器 嗅探－－企业内部网信息（消息、文件、用户身份、口令）如果由一条共享渠道传输，就存在着被另一个电脑站点截取的可能 数据下载 内部数据资料共享 电子邮件假冒 社交伎俩 电话、短信诱骗 3 贸易伙伴间商业交易数据传输中的风险 3.1 企业内部网、企业外部网及互联网之间的关系 企业外部网是从事合作业务的贸易伙伴之间，包括供应商、客户、流通服务商及任何其他商家，利用Internet技术连接在一起的集团网络。企业外部网与互联网的区别何在？为这个问题做一个清楚的答案并不容易。企业外部网可以使用互联网的路径与互联网服务供应商（ISP）传送数据。互联网服务供应商就是通过提供互联网接入服务而赢利的公司。 3.2 数据截取 在经过Internet的数据传输问题上，无论是在形成企业外部网连接的两个公司之间，还是在个体用户与网上销售代理或服务商之间，数据截获都是一个很大的顾虑。图6-4显示了公司通过互联网传送数据所面临的风险。 3.3 受保密措施维护的档案文件、主文件与参考数据所面临的风险 假如一名黑客闯入了系统，他都能造成什么危害呢？最为可能的危害是： ◆毁坏数据——恶意的作恶者会删除重要交易或主文件数据，意图是破坏公司的运营。 ◆改动数据——恶意的作恶者会改动数据。 ◆未经授权使用数据——作恶者会利用数据赢得对其竞争对手的主动。 ◆改动应用程序——作恶者会改动一个程序，从而导致它的错误运算。 4风险管理模式 风险本身并不是一个坏事；风险是发展所不可或缺的因素，而失败往往又是增长知识的重要因素。但我们必须学会在风险潜在的负面影响与其相关机遇所带来的潜在效益之间把握好一个平衡。用来减少损失或伤害可能性的方法就是人们所称的风险管理。 4.1 风险管理模式 图6-5描述了一个风险管理模式（risk management paradigm）。该模式是一个连续的过程，它的设计是基于这样一种认识，即风险管理是一个连续不断的过程。 4.2 电子商务风险类型 电子商务是新的商业模式，也就有新商业的特征。作为新的商业模式，其风险类型有： 1、完整性风险 （1）用户界面（user interface） （2）处理（processing） （3）错误处理（error proccssing） （4）界面（interface） （5）变化处理（change management） （6）数据（data） （7）接入风险 2、基础设施风险 基础设施风险（infrastructure risk）指企业不具备完整的信息技术基础设施而造成的风险。 基础设施风险有下列内容： ◆ 组织计划（organization planning） ◆ 应用