第十四周电子商务的安全与加密档案.ppt

第七章電子商務的安全與加密 (一) 主講人:黃鎮榮 東方設計學院觀光與休閒事業管理系 E-mail: asjwhuang@.tw 本章課程大綱 7.1網路安全性環境 7.2電子商務環境中的安全性威脅 7.3網路安全政策 7.4資料加密、解密與驗證 7.5防火牆 7.6惡意程式 7.7網路攻擊 7.1網路安全性環境 7.1.1網路不安全的原因 7.1.2網路安全風險的來源 7.1.3網路安全服務 7.1.1網路不安全的原因 (一)用戶端的電腦通常是不安全的 (二)區域網路容易被入侵 (三)網際網路的中間網路是公開的 (四)目的地伺服器可能也是不安全的 7.1.2網路安全風險的來源 (一)物理破壞 -- 火災、水災、電源損壞等 (二)人為錯誤 -- 偶然的或不經意的行為造成破壞 (三)設備故障 -- 系統及週邊設備的故障 (四)內、外部攻擊 -- 內部人員、外部駭客的有無目的 的攻擊 (五)資料誤用 -- 共用機密資料，資料被竊 (六)資料遺失 -- 故意或非故意的以破壞方式遺失資料 (七)程式錯誤 -- 計算錯誤、輸入錯誤、緩衝區溢出等 7.1.3網路安全服務 企業在e化前，應先了解網路安全服務，方能制定適合企業安全的解決方案。主要網路安全服務有： (一)認證(Authentication)：確認使用者身份。 (二)授權(Authorization)：決定使用者權限。 (三)隱密性(Confidentiality)：確保系統或網路中之資料，只 會被經授權的人所看到。 (四)完整性(Integrity)：確保系統或網路中之資料，不會被未 經授權的人員修改。 (五)可獲得性(Availability)：確保當經過授權之人員，要求 存取某項資源時，系統及傳輸媒介是可獲得的。 (六)不可否認性(Non-Repudiation)：驗證使用者確實已接受 過某項服務，或使用過某項資源。 完善的網路安全服務 防毒服務： 免除病毒攻擊的風險，建置適當的計畫，減少安全缺口與病毒破壞的財務影響。我們會評估您目前的防禦措施，並提供實際的產品方案，改善安全保護的態勢。 電子郵件安全管理： 透過共同的代理程式、登入設備提昇效率。從一系列完整的威脅、攻擊及惡意程式碼，包括病毒、蠕蟲、間諜程式、鍵盤側錄程式與特洛伊病毒等，提出警告、進行偵測、分析並提供補救措施，以減少風險、系統停機時間及產能降低的情況。 完善的網路安全服務 網站安全管理 網路管理的目標在於控制成本、提升網路的穩定度、改善網路的效率與服務品質、同時也控制網路的複雜度。 企業信箱管理 保護員工與重要企業資訊資產不受到間諜軟體、垃圾郵件、不當網頁內容、網路釣魚攻擊、已知病毒、蠕蟲，以及木馬程式等威脅的困擾。企業信箱管理具備良好的整合能力與彈性，能讓您與組織在小型企業安全的挑戰中勝出。 7.2電子商務環境中的安全性威脅 7.2.1電子商務所衍生的風險與安全需求 7.2.2電子商務系統存在之威脅 7.2.1電子商務所衍生的風險與安全需求 美國國家電腦安全協會(NCSA)提出安全電子商務的基石在於： (一)隱私性(Privacy) 。 (二)確實性(assurance) (三)完整性 (四)不可否認性 而一個成功且安全的網際網路交易的四項基本要求，則是 (一)隱私性(Privacy) (二)身分驗證(Authentication) (三)完整性(Integrity) (四)不可否認性(Non-Repudiation) 7.2.1電子商務所衍生的風險與安全需求 目前網路上交易安全的需求考量可分兩個方面來探討： (一)使用者的身分鑑別：只有經過身分鑑別(Authenticity)與合法授權(Authorized)的使用者，才能在合理的範圍內進行資料的存取(Access control)。 (二)資料與交易安全的保護：即在電子商務交易時，資料傳遞的機密性(Confidentiality)、完整性(Integrity)與不可否認性(Non-repudiation)的要求。 7.2.2電子商務系統存在之威脅 隨著電腦科技之快速發展，人類和電腦之關係愈形密切，對電腦之依賴也日益漸深，企業利用電腦來增進本身的效能與效率，因此許多重要的資料也隨之存放在電腦裡，但是當企業一旦連上網路時，許多資料便可透過網路傳輸至其他人的電腦，因此有心人士便可能透過網路來存取企業的機密資料；也就是說當網路的組合越來越大時，使得本來是區域性小範圍的漏洞，轉變成整個網路上的一大威脅。 7.2.2電子商務系統存在之威脅 網路的五大特性 (一)資源共用 (二)系統複雜度 (三)界限模糊 (四)多處攻擊點 (五)傳輸路徑的不確定 7.2.2電子商務系統存