電子商務課程內容簡報.pptVIP

電子商務課程內容簡報 第5章電子商務安全機制 張裕幸 資訊安全專有名詞 身份辨識(authentication)--證明訊息的確是由本人送出。 完整性(integrity)--確保資訊不會有意或無意的被更改或破壞。 可靠性(reliability)--確保系統會一致的執行而且維持可接受的品質。 加密(encryption)--一種將資訊加上密碼，只有讓擁有解碼鑰匙的人才能解開的程序 防火牆(firewall)--介於公司網路和internet之間的過濾器，它會對公司網路加以保護，防止入侵者，但是對於公司內的使用者，則轅他們無限制的取用Internet資源。 欺騙(spoofing)--以私人IP(企業內網路)位址建立偽造的封包，以便存取私人網路來偷取資訊。 服務的拒絕 --是一種第三者對資訊及通訊服務的襲擊，它會讓合法的使用者無法使用此基礎建設。 電子商務的安全顧慮 電子商務的安全顧慮可以分成對使用者授權的疑慮及對資料和交易安全的擔心。像個人密碼保護、加密的智慧卡(Smart Card)、生理特徵測定(biometrics)和防火強這些授權的安全措施只能保證合法的使用和程式才能存取使用者帳戶、檔案和資料庫這些資訊資源。像祕密鑰匙密碼法(secret-key encryption)和公共/私密鑰匙密碼法(Public/private key encryption) 的資料和交易安全的方法是用來確保商業交易和訊息的隱密性、一致性和機密性的，而且它們還是電子現金、電子支票這類線上付款系統的基礎。 管理者常認為以密碼保護公司的電腦就已足夠。但是密碼雖然提供了交易安全，但對於防止電腦、資訊和資料庫免於非法的取用卻並沒有太多的幫助。 防火牆 (Screening external access link，SEAL)的防火牆 這個銀行是在認為它的防火牆夠堅固，能夠對它的內部商業網路、資產和客戶的保密性提供足夠的保護之後，才連結到Internet上的。由於大部份的公司的內部網路作業原則都是使用方便，防火牆是對外在Internet駭客的一種必要阻隔。 圖5．1顯示出一個防火牆如何透過提供單一的存取控制和審查來控制內部和外部網路之間的傳輸。 不合法的Internet主機不能直接存取網路裡面的電腦，但合法的內部使用者卻能使用網路外面的Internet服務。防火牆系統通常是置放於閘道點(Gateway point)上，例如一個網站連到internet的地方，但它可以被放在內部的閘道，以便對於少部份的主機或子網(subnet)提供服務。 防火牆 防火牆的定義是只讓具備特殊身份的外在使用者才能連上一個被保護的網路(或網站)的軟體或硬體。典型的防火牆會讓內部的人可以對外取得整體的服務，而對於從外界連接進來的人則以選擇性的條件(以使用者的名稱和密碼、Internet IP位址或網域名稱)來允許其對服務的取用。例如，某個廠商可以在防火牆上設定只讓具有長期購買合約的公司其內部使用者使用特殊網域名稱才能連接到它的網站上。 防火牆的工作原理是在公司網路(安全的網路)和外在的internet(不可信任的網路)之間建立一個屏障。這個屏障可以保護脆弱的公司網路免於來自公共網路之駭客的侵擾。防火牆不只是硬體或軟體，它是種安全策略的實現，也就是定義服務和取用只對某些使用者才適用。換句話說，防火牆強迫讓連接需經由它，而使得資料可以依存取法規審查。 防火牆的種類 防火牆有好幾種，它們提供了各種程度的安全檢查。防火牆最常被實現的方式為在網路和 Internet之間放一台電腦或一個路由器。它們會控制和監控所有外界和區域網路的交通。各式各樣的防火牆包括了簡單的交通記錄系統、IF封包檢查路由器、增強的防火牆主機、和代理(proxy)應用閘道器。 簡單交通記錄系統 在Web伺服器裡最廣泛被使用的防火牆方式是交通記錄系統。這種系統攪所有通過防火牆的網路交通記錄在一個檔案或資料庫裡，以供稽查。在大部份的Web伺服器上，一個HTTP紀錄，也稱為稽查記錄檔案(audit log file)，將會列出在特定網站上每個檔案的取用情形。它記錄了被存取的檔案名稱、使用者進來時的區域名稱、存取的確實秒數和傳送的位元數目 管理者可以藉著分析一個網站的稽查記錄而回答下面的問題:哪幾個小時是尖峰時間？最常被要求存取的目錄和網頁是哪些？首頁被要求存取了多少次？這網站有沒有任何斷掉的內容連結？來訪者所使用的瀏覽器是哪一種？ IP封包審查路由器 審查路由器(也稱為封包過濾閘道)是最簡單的防火牆。 審查路由器的做法是過濾通過防火牆的資訊封包。圖5.2畫出了一個裝有IP封包審查由器的安全防火牆。防火牆路由器根據幾個設計出來審查法則來自動審查通過路由器的IP封包，以決定允許或拒絕服務。最常被使用的審查法則包