电子商务之资讯安全与数位监识-长荣大学数位学习平台.PPT

9.6 第三方支付 (Third-Party Payment) 第三方支付指的是非金融機構的業者，以第三方支付機構作為信用中介，並以網路為基礎，透過與銀行達成協議，在消費者、商家和銀行間，建立有效且具交易安全保障的連結，進而實現從消費者到商家以及金融機構之間的貨幣支付、現金流轉及資金結算等一系列功能。 1.優點：方便、快速，提供個人化帳務管理；提供交易擔保（確認收到賣方的商品後，再請第三方支付業者付款），防堵詐騙及減少消費紛爭；減少個人資料外洩風險。 2.風險：成為駭客覬覦對象，造成消費者損失；消費者資金遭不肖業者挪用或惡意倒閉，衍生索償窘境；淪為犯罪洗錢温床，成為洗錢防制漏洞。 第三方支付之交易流程:買方向賣方選購商品後，選擇使用第三方支付服務進行貨款支付；第三方支付服務業者先收受代收款項後，通知賣家貨款收訖，賣家即依買方約定出貨；買方收到商品確認無誤後，可通知第三方支付服務業者付款給賣家。圖9-19，即為第三方支付服務運作示意圖。 9.7 網路釣魚 網路釣魚(Phishing)是新興的網路犯罪模式，而何謂網路釣魚呢？最常見之情況就是有心人士，假造幾可亂真的銀行網站，並透過e-mail之發送，告之無辜受害者，他/她的帳號有人盜用，並要求請被害人立即前往該e-mail所設定之超連結網頁，更改密碼、提供相關個人資料讓系統，如此一來，偽造的網站，就會馬上透過卡片偽造方式，想盡辦法偷完他/她帳號內的錢。而當被害人指控該網站詐欺時，該釣魚網站早就關閉，被害人也求償無門。網路釣魚網站的存活時間相當地短，但是他們會不斷地轉移陣地，海削被害人一票。 圖9-20 典型的網路釣魚方式 圖9-21 典型的網路釣魚方式 圖9-22 典型的網路釣魚方式 圖9-23 典型的網路釣魚方式 9.8資訊安全概論 資訊安全(Information Security)是今日組織企業十分重視的議題，因為資訊歸屬公司的無形資產(Intangible Asset)，一旦造成毀損或失竊，對組織企業之影響可能遠大於公司的實體資產。正因資訊可透過無所不在網路來達到訊息傳遞，但部份資訊列屬機密，不可在網路上公開，且不可經過篡改，必須藉由資保密的管制措施以防範有心人士有意或無意的取得。所有資訊必須進行高規格之保存，以免造成組織企業營運上之威脅。 一般而言，要達成資訊安全目標，數位資料具有以下諸種特性： 1.機密性(Confidentiality): 非屬公開分享之數位資料必須經過個人、組織企業之授權，方可使用。換言之，數位資料也必須是儲存在具安全性之媒體中，以保障數位資料之機密性。不經意被設定為文件分享，造成數位資料外洩，則為常見之資訊安全漏洞。重要之文件，原則上，都不會儲存在可上網的電腦中，並且經由檔案加密、隱藏等技術。例如MD5、SHA(Secure Hash Algorithm)等演算法，將數位資料之機密性提高。 2.完整性(Integrity): 數位文件檔案，均可利用上開之MD5或SHA演算法，將單一文件經過計算而取得相對之數值，只要文件一經過竄改，則相對應之MD5或SHA值，就會立刻更改。如此一來，只要驗證某一數位文件檔案之MD5或SHA值，就可知其完整性。如圖9-24所示，數位文件檔案(china_flight.png)，原始之MD5值經計算之值如上圖所示，就算該圖只被更改一個bit，所得之MD5值也必然不同。 3.不可否認性(Non-repudiation): 在數位時代中，數位足跡(Digital Footprint)必然存在，因此，凡走過必留下痕跡，藉由數位鑑識(Digital Forensics)技術，可還原數位文件檔案或事件的歷程，提出有力且完整之證明，進而建立資訊安全中的交易不可否認性，這一點，在數位化的電子交易市集中，具有非常重要之地位。 電腦犯罪 (Computer Crime)意旨利用數位通訊工具(電腦、平板、智慧型手機)來從事未經授權的行為，自客觀的法律觀點，足以認定犯罪事實者，皆可認定為電腦犯罪。例如：利用一些非法的手段，藉以改變電腦系統中的電磁記錄，進行資料之竄改；經由網路下載程式的方式，同時安裝具破壞性的程式碼，以植入特洛伊木馬(Trojan Horse)程式，造成系統運作失常或進行資料竊取；透過網路下載程式或随身碟，安裝一段破壞性的程式，以電腦病毒，造成使用者無法正常使用系統資源。 特洛伊木馬型病毒並不會自我重製，同時也不以感染其它檔案為主要的目的，而是以更直接的方式，進入使用者電腦系統，藉以完成所希望達成之目的。一般而言，特洛伊木馬型病毒通常會被包裝成一個具有吸引力的系統工具程式或電動玩具，以期待使用者從網路下載，或是大量可轉寄給親朋好友的執行案(*.exe)，同時進行所謂的病毒式行銷，藉以大量癱瘓系統之