_资讯安全与线上付款机制.ppt

* 第十五章 資訊安全與線上付款機制 * 防火牆的系統架構 網站服務系統安置在防火牆之內 優點是服務系統可以得到安全保護 缺點是對使用者造成不便。尤其是對希望從網站得到服務的顧客而言。 網站服務系統安置在防火牆之外 優點是把不安全因素隔絕在公司外部，對內部而言比較安全 缺點是服務系統容易遭受破壞，必須有修復機制。 網站服務系統安置在防火牆之上 直接把服務系統架置在防火牆上，是介於上述兩者之間的方案 兼具上述兩者的優缺點。尤其是當服務系統受到破壞，整個企業就陷入高危險狀態，必須防範。 * 第十五章 資訊安全與線上付款機制 * S-MIME：安全電子郵件標準 MIME 是 Multi-purpose Internet Mail Extension 的縮寫，它是一系列開放性的標準文件，改變了過去傳統純文字型態的電子郵件模式，而在電子郵件中整合了多媒體，如圖片、音效、Rich文字、壓縮檔等等；另外也提供多種語系的支援，以及不同電腦系統之間的整合性。 S-MIME (Safe Multi-purpose Internet Mail Extensions) 則是針對 MIME 標準所設計的一種安全電子訊息交換規格，能針對網路上訊息傳遞所可能產生的威脅加以保護，目前以電子郵件安全為主要的應用的領域。其為 MIME 規格的加強版，除了支援原本 MIME 格式之外，另外並提供了許多安全功能，其中包括： 發送方身份識別 訊息的真確性 訊息傳遞過程的機密性 * 第十五章 資訊安全與線上付款機制 * 資訊安全問題 常見資安問題：病毒、蠕蟲、木馬、駭客入侵、封包癱瘓、魁儡程式、垃圾郵件、網路釣魚 最氾濫的就是病毒/蠕蟲（78.3%）及垃圾郵件（74.3%） 需要跨企業交換資訊，如醫療（61.9%）與教育（54.1%）等產業，很容易受到覬覦而遭受木馬與後門攻擊 金融（28.4%）與電信（24.2%）等提供服務的產業，則易受DoS/DDoS攻擊 * 第十五章 資訊安全與線上付款機制 * 資安信心迷思 企業e化程度與資訊安全的信心度不一定是正相關 資安信心迷思：高階主管誤以為很安全 因為MIS人員解決完資安問題後，通常只報喜不報憂 高層普遍都認為，每年花那麼多錢採購設備，應該很安全了，實際上可能卻不然 * 第十五章 資訊安全與線上付款機制 * 資訊安全3A 網路安全只是資訊安全的其中一項 資訊安全3A：Authorization、Authentication、Administration 國外資安主流趨勢是在談3A，牽涉到工作流程、文件管理、標準作業、資訊控管流程 國內則仍圍繞著網路安全打轉 * 第十五章 資訊安全與線上付款機制 * 魁儡程式Bot Bot是Robot的簡稱，原本叫作遠端監控程式，現在又稱為魁儡程式 Bot最早是被設計來模擬人的動作的人工智慧程式，可以協助網路自己練習需要由多人對戰的線上遊戲 Bot會透過病毒、電子郵件或木馬植入 * 第十五章 資訊安全與線上付款機制 * 魁儡程式Bot -2 分成主動型與被動型 被動型的Bot就像是後門程式，等待被喚醒 主動型的Bot則像是間諜軟體，會收集各種資訊，定時的往外發送。 病毒和蠕蟲等攻擊程式主要是搞破壞，會在短時間內大量散布，Bot的特性則是儘量不佔用系統資源，希望存活的越久越好 * 第十五章 資訊安全與線上付款機制 * 入侵防禦雙雄：IDS與IPS IDS（Intrusion Detection System，入侵偵測系統）只能偵測入侵者 IPS（Intrusion Prevention System，入侵防禦系統）則具備即時阻擋的能力。 IDS就像銀行保險庫裡的閉路電視，只能監視，無法逮捕搶犯 IPS則是可以直接拘捕罪犯的警察 * 第十五章 資訊安全與線上付款機制 * IDS與IPS適用情況不同 IDS是一個監聽裝置，不會影響網路上的效能 敏感度可以設定的比較寬鬆 但不具備即時阻擋的能力 IPS會影響到網路效能 還要花很多的時間去調校敏感度，不然很容易產生誤判 IDS能夠用比較少的預算，監控比較大的範圍；相對的，IPS的成本就比較高 * 第十五章 資訊安全與線上付款機制 * 網路釣魚 垃圾郵件所衍生的另一個問題 超過五千萬消費者曾經收過網路釣魚詐騙郵件 APWG（Anti-Phishing Working Group，反網路釣魚工作小組） 網路釣魚（Phshing）：Fishing ＋ Phone 網路釣魚（Phshing）：寄發垃圾郵件，要求消費者連結到所附的URL，在冒牌網站上填寫個人身分資料然後竊取之。 * 第十五章 資訊安全與線上付款機制 * 電子付款機制 劃撥。 匯款。 貨到付款。 電子現金。 電子錢包。 電子支票。 信用卡轉帳。 智慧卡。 小額付款機制。 預付卡。 虛