網路交易安全.pptVIP

網路安全交易機制 教授: 莊裕澤 組員: 吳巴珊 顏東寬 2001年十大網路安全趨勢 大型企業會要求他們的電子商務伙伴執行電腦安全的控管，以達到某種程度以上的安全標準。越來越多的企業在重整其內部的資訊系統的時候，將安全的考量納入整體系統的設計中。 產業龍頭企業所發展的特殊安全規格，將會整合到業界普遍採行的安全標準。安全稽核人員可以用此一標準作為審核企業電腦系統安全的基準。 一旦電腦安全標準成形，且可以客觀衡量時，會有更多的保險業者提出保障網路活動安全的保險種類。 會有更多的系統安全工作委外進行。目前防火牆設備多由企業內部自行建置維護，未來將發展出分散式的防火牆設備。而且，為了作到全天候的系統保護，將會出現「防火牆代管」的委外服務。隨著系統安全業務委外的盛行，將出現許多小規模的電腦安全公司，而這些小公司會逐漸整合或併購入大公司中。 電腦系統入侵偵測(Intrusion detection monitoring)的業務委外將成業界趨勢，以做到全天候的偵測，並解決全球入侵偵測分析專家不足的窘境。但是屬於「殺手級」的偵測工具在2001年還不會出現。 2001年十大網路安全趨勢(Cont’d) 系統管理人員必須經過系統安全的訓練課程，並最好具備系統安全認證。 軟體業者除了提出軟體的修補程式外，會進一步提醒軟體使用者安裝修補程式，並將提供自動安裝修補程式的服務，或是發展出可以自行更正修補的軟體。 無線傳輸技術將快速發展，並將成為普遍的資訊交流媒體。至於無線技術的安全性，傳輸過程將由加密等機制來保護，但用戶端的設備安全將會是整個安全保護中，最弱的一環。 在電腦數量及網路用戶不斷增加的情況下，電腦系統安全人員的短缺情況將更加嚴重。 PKI的技術及應用將持續進展，但不會有爆炸性的突破。到了2001年，絕大部份網路活動的身份認證仍將藉由密碼和PIN進行。 2001年網路安全攻擊趨勢 網路攻擊的演變: 第一波 ? 攻擊有形的電子設備 第二波 ? 攻擊網路運作邏輯 第三波 ? 攻擊資料以及蘊含在資料中的意義 第三波網路攻擊的方法: 網路謠言、假造的訊息發佈、竄改資料庫內容 第三波網路攻擊的對象: “系統” ? “人” 網路交易 分類: B2B、B2C、C2C、B2B2C… 對象: 消費者、銀行、廠商、認證機構 付款機制: (參考: 付款機制的規劃.doc) 現金 (貨到付款) 信用卡付款 (線上付款, 傳真線上表格) 轉帳 郵政劃撥 儲值 信託付款 網路交易風險 一、安全控管風險 技術面: 駭客入侵、病毒、資料傳輸安全 管理面: 人員管制 二、功能異常風險 網站操作錯誤疏忽致使客戶資料外洩或銷毀 實體損失風險：火災、竊盜、惡意破壞 三、多媒體風險 違反軟體版權、商標法、毀謗、不當揭露個人資訊等 網路安全交易 一、人性面 NOKIA slogan: 科技始終來至於人性 二、法律面 偽造、變造電子付款系統工具 ? 觸犯刑法第二百零一條第一項之偽造有價證券罪 冒用電子付款系統工具 ? 觸犯刑法第三百三十九條之普通詐欺罪 截取電子付款資訊/電子文件 ? 觸犯刑法第三百二十條之普通竊盜罪 竄改電子付款資訊/電子文件 ? 觸犯刑法第三百五十二條之毀損文書罪 網路交易安全(Cont’d) 三、資訊面 基本資料透明化 公司基本資料 、隱私權政策及網站使用政策透明化 交易資訊透明化 產品資訊、訂單處理及付款處理透明化 後續處理資訊透明化 物流處理、退換貨處理、設備安全政策及客戶服務與申訴管道 (參考: 從國際觀點談網路安全交易標準.doc) 網路交易安全(Cont’d) 四、技術面 SSL （Secure Socket Layer） 網路交易上最通用的安全機制，由Netscape所開發。 傳送時自動被加密在接受端被解密，是一種採用兩端加密的保護措施。 SSL主要功能 鑑別機制：確定網站的合法性，國內代理商為Hitrust。 訊息隱私性：確保網路中傳輸的資料不被竊取。 訊息完整性：確保網路中傳輸的資料不被更改。 如何判別傳輸受SSL保護 進入SSL保護前電腦螢幕應會出現一個「安全性警告」的視窗。 瀏覽器的下方也會出現一個鎖頭密合的鎖。 網址Http:會改為Https: 網路交易安全(Cont’d) 四、技術面(Cont’d) SSL網路購物交易流程 1.消費者瀏覽網路商店並決定選購商品。 2.消費者填寫訂購數量、送貨地址等細節 (受SSL保護) 。 3.消費者以信用卡付款，輸入卡號及有效日期 (受SSL保護)。 4.消費