电子商务安全技术第九章课后习题答案

1. 电子商务安全风险管理的实施步骤是什么？

• (1)应用组织的业务性质、组织、方位、资产和技术确定ISMS的范畴和安全边界即

确定信息安全管理体系的范围

• (2)应用组织的业务性质、组织、方位、资产和技术定义信息安全策略、方针

和指南。

• (3)确定风险评估的系统化的方法，为信息安全管理体系建立方针和目标以降

低风险至可接受的水平。

• (4)确定风险,在信息安全管理体系的范围内，识别资产及其责任人、对这些资

产的威胁、可能被威胁利用的脆弱性。

• (5)评价风险, 评估由于安全故障带来的业务损害,估计风险的等级。

• (6)识别和评价处理风险的可选措施, 应用合适的控制措施, 有目的地接受风

险、避免风险、转移相关业务风险到其他方面。

• (7)选择控制目标和措施处理风险,根据风险评估和风险处理过程的结果调整。

• (8)准备一份适用性声明。

• (9)实施和运营初步的ISMS体系。

• (10)对ISMS运营的过程和效果进行监控。

• (11)在运营中对ISMS进行不断优化。

2. 电子商务安全风险评估的实施步骤是什么

1、询问被审计单位管理层和内部其他相关人员 2、实施分析程序

3、观察和检查

4、其他审计程序和信息来源

3. 电子商务安全风险评估的实施步骤是什么

.风险评估辅助工具

a) 风险评估辅助工具是一套集成了风险评估各类知识和判据的管理信息系

统，或者是用于收集评估所需要数据和资料的日志系统。

安全管理评价系统

b) 安全管理评价系统主要从安全管理方面入手通过结构化的推理过程，建立

模型、输入相关信息,得出评估结论。

系统软件评估工具

c) 系统软件评估工具主要用于对操作系统、数据库系统、网络、设备等的安

全漏洞进行分析，或实施基于漏洞的渗透性测试。

4. 电子商务安全风险管理的对对策有哪些

3.1强技术保证，确保电子商务信息的安全

针对电子商务依靠互联网络平台来开展的网络开放性的特点，特别是要针对互

联网体系使用的是开放式的TCP／IP协议，给企业信息和数据安全带来的极大

威胁的安全隐患。对如何保障企业的信息数据和重大商业机密，是确保开展电

子商务的企业的重要技术保障和前提条件，只有高度重视电子商务的信息安

全，才能保证其运行安全，这就需要有强大的技术安全保障措施，不但要制定

完善的技术保障措施，更要严格执行制度，才能确保电子商务信息的安全。

3.2健全内部控制制度

实行电子商务的商户，在内部管理制度上应健全相应的规章制度，例如：制定

制度来规范和约束员工的行为，根据其工作的重要程度，确定该系统的安全等

级。制订相应的机房出入管理制度对于安全等级要求较高的系统，要实行分区

控制，

3.3加强复合型人才的培养

实现电子商务环境是当今全球经济一体化、信息化时代的一种发展趋势，重视

复合型人才的培养是电子商务成功与否的决定因素。所谓电子商务的复合型人

才是指要求电子商务管理人员既要有计算机知识，还要有管理理论和商务、金

融、法律等知识。

5. 电子商务安全管理的方法主要有哪些？及具体实施措施

人员管理制度

保密制度

跟踪、审计、稽核制度

系统日常维护制度

计算机病毒防范制度

日常操作规范

安全策略配置规范

数据备份规范

攻击事件预警管理规范

日志管理规范

安全事件定期报告规程

电子商务应急事件与相应

电子商务安全培训制度

国外与电子商务相关的立法

国内与电子商务相关的立法

电子签名法

6. 简述国内外电子商务安全立法现状

电子商务的法律保障问题，涉及到两个基本方面。第一，电子商务首先的一种商品交易，其安全问题应当通过民商法加以保护；第二，电子商务交易是通过计算机及其网络而实现的，其安全与否依赖于计算机及其网络自身的安全程度。我国目前还没有出台专门针对电子商务交易的法律法规，究其原因，还是上述两个方面的法律制度尚不完善，因而面对迅速发展的电子商务这种与计算机网络技术结合的新的交易方式难以出台较为完善的安全保障规范性条文。

然而，电子商务的跳跃式发展已不允许我们等待原有法律制度完善之后再考虑电子商务的立法问题。21世纪的竞争是高新技术的竞争。发展电子商务，已不再是单纯的技术问题，而是关系到国家经济生存发展的又一次严峻挑战。通过专门立法，使国家在下个世纪的市场竞争中占据有利地位，已成为世界各国政府的共识。我国传统的“先改后立”的立法思想和技术，对于高新技术的推广来说是弊大于利的。电子商务技术，一方面我

们可以说它已经基本成熟，因为在正常情况下，这种技术已经能够保证交易的安全进行；但另一方面，这种技术又随着计算机网络技术的不断发展而不断更新，具有相对的不稳定性。这种二重性使得电子商务的推广具有一定的难度。因此，电子商务立法必须具有超前性和独立性，以打消人们对电子商务交易安全性的恐惧心理。

7. 与电子商务安全相关的国际标准有哪些？适用范围

ISO/IEC 27001

BS 7799 信息安全管理体系标准强调风险管理的思想。 BS 7799 将IT 策略和组织发展方向统一起来，确保IT 资源用得其所，使与IT 相关的风险受到适当的控制。

BS 7799 主要提供了有效地实施IT 安全管理的建议，介绍了安全管理的方法和程序。用户可以参照这个完整的标准制订出自己的安全管理计划和实施步骤，为发展、实施和估量有效的安全管理实践提供参考依据。

ISO/IEC 27001源于BS7799。

ISO/IEC 15408(CC)

ISO/IEC 15408（CC）于1999年批准为信息技术安全评估准则，它是在TESEC、ITSEC、CTCPEC、FC等信息安全标准的基础上综合形成的。其中心内容是：当在PP（安全保护框架）和ST（安全目标）中描述TOE（评测对象）的安全要求时，应尽可能使用其与第二部分描述的安全功能组件和第三部分描述的安全保证组件相一致。

8. 我国国内的指定信息安全机构有哪些？安全标准有哪些？

中国信息安全测评中心