电子商务其他议题与安全防护.ppt

* * * * * * * * * 身分識別與存取控制 帳號 / 密碼 簽名 晶片卡 ( 如：提款卡 / 信用卡等 ) 數位簽章 生物特徵辨識 指紋、人臉、虹膜 中央大學。范錚強 * 防火牆 (Firewall) 封包過濾及狀態檢視 可以是一套獨立的軟硬體系統 也可以是一套安裝在網站伺服器內的監控軟體 中央大學。范錚強 * 加密 (Encryption) 將純文字或數據資料，透過某種演算法，轉換成密碼文字 (cipher text) 的程序 可分為「對稱金鑰加密法」與「非對稱金鑰加密法」兩種 中央大學。范錚強 * 對稱金鑰加密法 (symmetric key encryption) 又稱為「私密金鑰加密法 (secret key encryption) 傳送者必須產生一把自己的金鑰 (key) 用這把金鑰跟資料做數位運算來產生密碼文字 ( 密文 ) 如果這把金鑰丟了，就無法將訊息還原 中央大學。范錚強 * 對稱金鑰加密法 中央大學。范錚強 * 中央大學。范錚強 * 非對稱金鑰 又稱RSA加密 由R/S/A三位學者發明，由數學方式產生一對不相同的金鑰 兩者之間無法經由任何數學運算獲得，必須同時產生 其中之一由私人保存，另一個則公開 經由私鑰加密者，只能由公鑰解密，反過來也一樣 中央大學。范錚強 * 非對稱式金鑰，防止外洩 信息 明文 信息 密文 R公鑰加密 信息 密文 信息 明文 S R R私鑰解密 中央大學。范錚強 * 非對稱式金鑰，防止否認 信息 明文 信息 密文 R公鑰加密 信息 密文 信息 明文 S R R私鑰解密 S公鑰解密 S私鑰加密 中央大學。范錚強 * PKI/CA PKI – Public Key Infrastructure 公開金鑰架構 利用非對稱金鑰來進行的加解密機制 CA – Certificate Authority 憑證中心：公鑰憑證發行單位 需要有公信力 有層級性的發行單位 安全性通訊協定 ─ SSL/SET 安全封包層 (Secure Sockets Layer, SSL) 早期由「網景 (Netscape)」公司所提出 在使用者不察覺的情況之下，利用非對稱方式加解密 信用卡安全付款交易系統 (Secure Electronic Transaction, SET) 由 VISA 和 MasterCard ( 萬事達卡 ) 所發展出來，用來保護電子商務付款交易安全 中央大學。范錚強 * 中央大學。范錚強 * 資訊安全的威脅 惡意 非人為、無意 硬體破壞 竊盜、搗毀 自然災害、儲存媒體損毀 資料破壞 資料竄改、資料增刪、系統性更動資料 程式師無能、不小心、遺漏 資料外洩 資料複製、網路截取、詐騙 不小心 網路入侵 竊取資料、破壞、將受侵電腦作為犯罪工具 ── 中央大學。范錚強 * 安全的基本基本觀念 安全不是絕對的 安全和易用性的兩難 安全是有價的 你願意付出什麼樣的代價？ 你的安全風險 exposure 有多高？ 資訊安全有技術面和人性面 破壞安全者，都是「人」 主要是內部的人 人性！！ 中央大學。范錚強 * 安全和易用性 想一想，你回家和出門時… 進門需要開十個鎖 出門需要鎖十道門… 你十天之後會做什麼？ 風險和安全措施的對稱 中央大學。范錚強 * 資訊安全的確保 評估風險和損失 針對可能的威脅加以防護 以技術加上來制度（或習慣）來防範 瞭解技術的特性 以技術來加強、以制度來確保 鏈條的強度，是最弱一環的強度 中央大學。范錚強 * 你花100萬買了一輛新車 請問：以下什麼行動是合理的？ 你花了50萬裝了一個防盜設備 你雇用專人24小時輪班看守 你花了3萬買失竊險 什麼叫合理？ 中央大學。范錚強 * 你家附近最近小偷猖獗 弟弟提議加裝一套新的鎖頭 你檢驗後，發現新鎖頭雖然是你能負擔的鎖頭中最好的，但還是無法保障100%安全 請問，買不買？ 中央大學。范錚強 * 企業環境 法律環境 保險 安全方案 國際標準 企業體 流程 管制 人事管制 文件 管制 使用者 管制 復原計畫 安全政策 應用軟體 輸入輸出管制 程式 管制 稽核 軌跡 進出管控 隔離 操作管制 安全的「洋蔥」 硬體 資料 通訊管制 中央大學。范錚強 * BS7799/ISO17799/ISO27001 英國的資訊安全標準 BS7799 被國際標準組織接受 原為 ISO17799 後改為 ISO27001 內容：資訊安全的管控 從政策、程序、存取、復原等 完整的資訊安全考量 中央大學。范錚強 * ISO27001 的安全十大項目 安全政策：提供管理面的指導性原則 安全組織 資產分類與管理 依風險和損害對資產採取分級分類 人事管制 減少人為錯誤、偷竊、欺詐或濫用設施的風險 實體和環境安全 中央大學。范錚強 * ISO27001 的