第五章 電子商務的安全與加密 security and encryption
DESCRIPTION
第五章 電子商務的安全與加密 Security and Encryption. 學習目標 : 了解 EC 犯罪 & 安全問題 說明 EC 安全性的重要層面 瞭解安全性與其他價值間的緊張關係 說明 EC 環境中的主要安全性威脅 說明各程加密技術如何協助保護 INTERNET 傳送訊息安全 說明建立安全 INTERNET 通訊管道的工具 指出保護網路 ,SERVER,CLIENT 的工具 體會產生安全性的政策 , 程序 , 法律的重要. 消費者與業者的風險. - PowerPoint PPT PresentationTRANSCRIPT
1
第五章 電子商務的安全與加密
Security and Encryption
2
學習目標 :1.了解 EC 犯罪 & 安全問題2.說明 EC 安全性的重要層面3.瞭解安全性與其他價值間的緊張關係4.說明 EC 環境中的主要安全性威脅5.說明各程加密技術如何協助保護 INTERNET 傳送訊息安全6.說明建立安全 INTERNET 通訊管道的工具7.指出保護網路 ,SERVER,CLIENT 的工具8.體會產生安全性的政策 , 程序 , 法律的重要
3
消費者與業者的風險消費者與業者的風險 消費者的基本風險 :無法得到購買的產品 / 服務 , 也可能在交易時有人偷了你的錢 or 虛擬貨幣 , 也包括失去隱私 ( 關於你購買行為相關資訊 )
業者的風險 :銷售了產品 / 服務卻沒收到錢
4
5.1 5.1 電子商務的安全性環境電子商務的安全性環境 Computer Security Institute: 調查 583 家美國公司 , 政府機構 :
85%: 最近 12 個月有電腦安全性破壞 64%: 承認有財務損失 35%: 估算損失達 $37,700 萬
最嚴重損失 : 專利資訊失竊 , 金融詐騙 2000 年信用卡詐騙達 15 億 2003 年信用卡詐騙可能達 150 億
IFFC 申訴的網路詐騙
•線上拍賣詐騙最常見•平均損失 ;$1,259
5
電子商務的安全性環境電子商務的安全性環境 (( 續續 ))
並非全部的網路罪犯都是為了錢 , 有些罪犯只是為了污損、破壞、或中斷網站形象受損 專利資訊失竊 金融詐騙行為 ( 信用卡盜刷 ) 機構外部的攻擊 拒絕服務攻擊 ( 使網站停用 ) 病毒攻擊
6
什麼是好的電子商務安全性什麼是好的電子商務安全性 只要有足夠的資源 , 怎樣的安全系統都可被破壞 , 安全不是絕對的 , 好的電子商務安全性需要有 資訊是有時間價值 電子商務安全性環境 : 圖 5.2
科技 組織政策 , 程序 法規
在可行範圍內確保個人與機構免受電子商務市場上未預期的行為所害
7
電子商務安全性的層面電子商務安全性的層面定義 :電子商務的安全性就是設計來保護以下六個層面 , 有任何一方面有危險 , 就有安全性的問題1.完整性 integrity2.無可否認性 nonrepudiation3.身份辨識性 Authenticity4.機密性 Confidentiality5.隱私性 Privacy
企業內部政策管理顧客資料 保護資訊不受非法 or 未許可的使用
6.可取得性 Availability
8
電子商務 電子商務 & & 其他價值的權衡其他價值的權衡 易於使用 安全性 (太安全 , 可能損及利潤 ) 公共安全及安全性的犯罪用途
重要
圖 5.3
9
電子商務的安全性威脅電子商務的安全性威脅三個主要弱點 : 客戶端 ,伺服端 , 通訊管道
10
安全性七大威脅安全性七大威脅1. 惡意程式 Malicious code2. 入侵與網路破壞行為 Hacking and cybervandalism3. 信用卡詐欺 / 盜竊 --- 社會觀點 : 電子簽章4. 欺騙 Spoofing5. 拒絕服務攻擊 Denial of service, DoS6. 監聽 Sniffing7. 內部手腳 Insider jobs
11
5.3 5.3 科技解決方案科技解決方案 電子商務網站對抗安全性威脅的第一道防線 ,就是讓外部人士難以入侵或破壞的一系列技術 , 參考圖 5.5
12
保護網際網路通訊保護網際網路通訊 最大的安全性威脅發生在網際網路通訊的層級 , 有些工具可以用來保護網際網路通訊的安全 , 其中最基本的就是訊息加密
13
加密加密 加密 :
是一種把純文字或數據資料轉換成密碼文字的過程 , 除了傳送者和接收者以外沒有人可以閱讀 目的 : 確保儲存資訊安全 , 確保資訊傳輸安全
加密可以提供電子商務六個主要層面的其中四個 : 訊息完整性 無可否認性 身份辨識性 機密性 (參考表 5.1)
14
加密加密 (( 續續 ))
把純文字變成密碼文字的轉換 , 要利用金鑰來完成 替換密碼 : HELLO JGNNQ 轉移密碼 : HELLO OLLEH 其他 : HELLO HLO EL
15
對稱金鑰加密法對稱金鑰加密法 對稱金鑰加密法 ( 私密金鑰加密法 ):
要解開加密後的資訊 , 接收者必須知道加密的金鑰為何 接收者與傳送者使用相同的金鑰 金鑰必須透過某種通訊媒介來傳送 , 或是私下交換金鑰 現代的加密系統都是數位化的 , 因此金鑰都是數字字串 , 使用的有 56 、 128 、 256 或 512位二進位的金鑰
網際網路加密 加密 接收者傳送者
16
對稱金鑰加密法對稱金鑰加密法 (( 續續 ))
今日網際網路最廣泛使用的對秤金耀加密系統是資料加密標準 (DES, Data Encryption Standard) DES 是國家安全機構 (NSA) 與 IBM 在 1950 年代開發的 DES 是用 56位元的加密金鑰 , 為了應付更快速的電腦 , 已經改良成三倍 DES, 就是把一個訊息加密三次 , 每次使用不同的金鑰
17
公開金鑰加密法公開金鑰加密法 1976 ,Whitfield Diffie & Martin Hellman
私密金鑰 (擁有者收藏 ), 公開金鑰 (廣為散佈 ) 二者可用於加密 , 解密 ,但不可同時做為二項用途 利用不可逆函數產生金鑰
圖 5.6
18
數位簽章 數位簽章 & & 雜湊摘要的公開金鑰加密法雜湊摘要的公開金鑰加密法 公開金鑰加密法缺少完整性利用雜湊函數 改善之
圖 5.7
19
安全的通訊管道安全的通訊管道 SSL (Secure Sockets Layer) 利用 SSL 來建立一個安全協調程序 , 注意 : URL 會從 HTTP變成 HTTPS 安全協調程序是一種主從式程序 , 所請求的 URL 、內容、表單內容、以及交換的 cookie, 全都被加密 提供訊息的完整性 , 但不提供不可否認性 , 消費者還是可以訂購商品或下載資訊產品後 , 宣稱交易未從發生 SSL 有 40位元以及 128位元的層級 , 依你使用的瀏覽器不同 , 選擇一個最強的共通加密法 SSL 協定為 TCP/IP連線提供了資料加密、伺服器認證、選擇性客戶端認證、以及訊息的完整性
20
安全超文字傳輸協定安全超文字傳輸協定 S-HTTP: Secure HTTP SSL 是要建立兩台電腦間的安全連線 , S-HTTP 是要安全地傳送訊息給個人 有了 S-HTTP, 任何訊息都可以加上簽名、辨識身分、加密、或這些的任意組合
21
圖圖 5.10 SSL5.10 SSL 的安全協調程序的安全協調程序
22
虛擬私人網路虛擬私人網路 VPN: Virtual Private Networks 讓遠端使用者可以利用點對點通道協定 , 安全地在網際網路上存去內部網路 通道 Tunneling 遠端使用者可以撥接到附近的 ISP, PPTP 就從 ISP連線到公司網路上 , 就如同使用者直接撥接到公司網路
23
保護網路保護網路 一旦盡可能保護了通訊管道 , 下一個要考慮的工具就是能保護你的網路、伺服器和客戶端的工具 防火牆 :避免遠端客戶機器連上你內部網路 , 檢查所有進出的通訊 , 看訊息是否符合公司建立的安全準則 Proxy servers:限制內部客戶端對外部網際網路伺服器的使用
Gateway Numeric address
24
圖圖 5.11 5.11 防火牆防火牆 , Proxy servers, Proxy servers
25
保護伺服器與客戶端保護伺服器與客戶端 作業系統控制
登入帳號 , 密碼確認 存取控制
防毒軟體 記得更新軟體 , 病毒碼 入侵偵測系統
26
政策程序與法律政策程序與法律 科技不是控制電子商務風險的主要考量 , 科技提供了基礎 ,但沒有健全的管理政策的話 , 就算最棒的科技也可以輕易被打敗 也需要公法以及積極推動網路罪犯條例
27
安全計畫 安全計畫 : : 管理政策管理政策 建立電子商務的安全計畫有五個步驟 :
1. 風險評估2. 發展安全政策3. 產生建置計畫4. 產生安全小組5. 安全性審核
Ps:依上述順序為主
28
法令與公共政策角色法令與公共政策角色 第二代電子商務的公共政策環境與第一代十分不同 , 第二代是受管理與監督的 只有在強大的公共法則與執法機制時 , 電子商務市場才會管用 , 法令會協助確保有秩序 ,合理 ,而公平的市場 這種成長的公共政策環境 ,正逐漸與電子商務一樣全球化
29
表表 5.3 5.3 電子商務安全法令電子商務安全法令
THANKS