Laudon_Traver_第5章_补充版.PPT.ppt

商店要買單 為何信用卡的安全程序不能應用在線上的環境？ 什麼樣的新科技可以幫助企業減少詐欺交易的發生？ 為何企業應該承擔線上交易詐欺的風險？為何發卡銀行不用承擔此風險？ 有什麼方法可以讓企業減少信用卡詐欺的風險？ 為什麼企業不願意增加一些額外的安全挫施？ 電子商務安全環境：問題範圍 要評估電子商務犯罪的實際發生數量卻很因難。電子商務犯罪只是網路和電腦犯罪中的一部分 在許多時候，企業會因為擔心失去守法客戶的信心，而不願透露遭遇到電子商務犯罪， 就算企業願意承認， 其損失金額也難以估計 電腦系統的攻擊類型 網路犯罪類型 網路詐騙案件的平均損失 電子商務安全的環境 電子商務安全機制 電子商務安全有六個主要機制：完整性、不可否認性、身份辨識性、機密性、私密性、與可取得性 完整性（integrity）確保顯示在網站上、或在網際網路上收送的資訊，不被未授權的第三者以任何方式修改 不可否認性（nonrepudiation）確保電子商務中的參與者不會拒絕承認他們的行為 身份辨識性（authenticity）辨別在網路上進行交易的個人或企業的身份 電子商務安全機制（續） 機密性（confidentiality）只有被授權的人才能夠獲得訊息或資料 私密性（privacy）能否運用客戶資訊的權利 可取得性（availability）保證電子商務能如預期般地持續運作 安全性與其他價值的關聯 使用方便性一般來說，愈多的安全措施附加至電子商務網站上，網站就愈難使用，同時反應速度也降低許多。過多的安全性會有損於獲利率，但安全性不足可能會使你無法繼續營運。 公共安全與罪犯使用網際網路個人欲使用匿名，而政府官員需維持公共安全以避免罪犯或恐怖份子威脅，這兩者間也存在著衝突 電子商務環境中的安全威脅 從技術的觀點來看，在討論電子商務時，有三個脆弱的環節： 用戶端 伺服器 與通訊管道 電子商務網站最常見的安全威脅 惡意程式 網路釣魚 入侵和網路破壞行為 信用卡詐欺／盜取 欺騙 阻斷服務攻擊 網路監聽 內部手腳 設計不當的伺服器和用戶端軟體 典型的電子商務交易 電子商務環境的弱點 惡意程式 惡意程式（malcious code; malware）包括各式各樣的威脅，像是病毒、蠕蟲、木馬程式和bot程式。病毒碼在過去僅用來損害電腦，但最近的目的卻是盜取電子郵件地址、登入資訊、個人資料、與財務資料。 病毒（virus） 一種擁有複製能力且能傳染其他檔案的電腦程式 蠕蟲（worm） 被設計用來在電腦間傳播的惡意程式 木馬程式（ Trojan horse ） 本身並不是病毒，但它是引進其他病毒的一個通道 Bot 程式（rebot的縮寫）一種透過網際網路偷偷安裝在你電腦上的惡意程式。一旦安裝之後，bot 程式便會回應駭客所送的指令。 網路釣魚 網路釣魚（phishing）第三者為了錢財，不當獲取機密性資訊的詐騙攻擊 最有名的網路釣魚攻擊為電子郵件詐騙 許多安全弱點都是使用了叫做「社交工程」（Social Engineering）的技巧來繁衍。這種技巧假裝它就是它所宣稱的單位或人 入侵與網路破壞行為 駭客（hacker）是指蓄意未經許可而入侵電腦系統的人；怪客（cracker）這個字眼則是指有犯罪意圖的駭客 白帽駭客（white hat）好的駭客，協助企業找到並修復安全漏洞 黑帽駭客（black hat）刻意造成傷害的駭客 灰帽駭客（grey hat）認為是為了讓系統更好所以才入侵具有安全漏洞的系統的駭客 信用卡詐欺 最常見的信用卡詐欺原因是卡片遺失或身份被他人盜取用來申請卡片 在傳統商務中，持卡人最大的風險就是卡片遺失並負擔50美金（美國法律限制信用卡持卡人卡片遺失時最多僅需負擔美金50 元）；但在電子商務中，持卡人最大的風險是他們的信用卡資訊會透過商店的伺服器而流落至歹徒手中 許多網站的解決之道就是建立一個身份認證機制 欺騙（網址嫁接） 企圖隱藏真實身份的駭客通常會進行欺騙（spoofing），或利用假的電子郵件偽裝成其他人。網站欺騙通常也被稱為「網址嫁接」（pharming） 雖然欺騙並不會直接損壞檔案或網路伺服器，但它對網站完整性造成威脅。聰明的駭客有辦法能讓人無法辨識真假身份和真假網站 社會觀點 「邪惡雙子星」與「網址嫁接」：跟上駭客的腳步 阻斷服務攻擊 阻斷服務攻擊（Denial of Service (Dos) attack）利用無用的流量灌爆網站並癱瘓網路 分散式阻斷服務攻擊（distributed Denial of Service (DDoS) attack）利用數台電腦，從數個發送點發動攻擊 阻斷服務和分散式阻斷服務攻擊對系統營運是一大威脅，因為它可能造成網站無限期地關閉