电子商务安全架构-企业运筹与电子化中心.PPT

9-* 電子商務 Chapter 9 電子商務安全與詐騙防範 防禦一：存取控制、加密與PKI 4/8 對稱式（私密）金鑰加密(symmetric/private key encryption)中，使用相同一把鑰匙進行加密與解密明文。 公鑰（非對稱式）金鑰加密(public/asymmetric key encryption)使用一對相互配合的鑰匙――一個公鑰(public key)，它可以公開給任何人；以及一個私鑰(private key)，它僅可以給擁有者知道。 9-* 電子商務 Chapter 9 電子商務安全與詐騙防範 對稱式（私密）金鑰加密 9-* 電子商務 Chapter 9 電子商務安全與詐騙防範 數位簽章流程示意圖 9-* 電子商務 Chapter 9 電子商務安全與詐騙防範 防禦一：存取控制、加密與PKI 8/8 安全通道層通訊協定(Secure Socket Layer, SSL)是由Netscape創造用以認證與資料加密來確保隱私與機密的標準認證，SSL已成為由Microsoft與Netscape提供的網頁瀏覽器與伺服器所採用的現存標準。在1996年，SSL被改名為傳輸層安全(Transport Layer Security, TLS)。 9-* 電子商務 Chapter 9 電子商務安全與詐騙防範 9.7　防禦二：保護電子商務網路 1/3 防火牆 它是一個網路節點(node)，包含硬體及將私有網路與公開網路隔絕的軟體。 虛擬私有網路 虛擬私有網路(virtual private network, VPN)使用公開的網際網路來傳送資訊，但是藉由一些方法的組合來保有隱私。 9-* 電子商務 Chapter 9 電子商務安全與詐騙防範 防禦二：保護電子商務網路 2/3 入侵偵測系統 入侵偵測系統(intrusion detection system, IDS)是一種軟體、硬體或軟硬體兩者，設計用來偵測想要非法透過網路存取、操控，或讓電腦系統不能運作的企圖。 9-* 電子商務 Chapter 9 電子商務安全與詐騙防範 9.8　防禦三：一般控制與其他防禦機制 圖 9.11 主要防禦控制 9-* 電子商務 Chapter 9 電子商務安全與詐騙防範 9.10　建置企業全面性電子商務安全 2/2 網際網路犯罪為何難以防範的主要原因： 線上購物會變得不方便 (online PIN?) 信用卡發卡單位間缺乏合作 (ISP合作) 購物者的疏忽 忽視實現電子商務安全的最佳做法 設計與架構議題 執行業務缺乏應有的責任與關心 (standard of due care) 9-* 電子商務 Chapter 9 電子商務安全與詐騙防範 電子商務支援服務 Chapter 9　 電子商務安全與詐騙防範 Chapter 10　電子商務付費系統 9-* 電子商務 Chapter 9 電子商務安全與詐騙防範 9.1　資訊安全問題 1/4 何謂電子商務安全？ 電腦安全(computer security)是資料、網路、電腦程式、電腦電源，以及其他電腦化資訊系統元件的保護。 電腦安全分為兩類：一般的(generic)，關於任何資訊系統（如加密）；電子商務相關的(EC-related)，例如買家保護。 9-* 電子商務 Chapter 9 電子商務安全與詐騙防範 在2008年主要的網路攻擊事件 9-* 電子商務 Chapter 9 電子商務安全與詐騙防範 在2008年主要使用的安全防禦技術 9-* 電子商務 Chapter 9 電子商務安全與詐騙防範 9.1　資訊安全問題 4/4 電子商務網路安全問題的驅動力 按鍵側錄(keystroke logging)常被稱為keylogging，是一種擷取與記錄使用者按鍵的方法。 Example: “password” 執法 違法 9-* 電子商務 Chapter 9 電子商務安全與詐騙防範 9.2　基本的電子商務安全議題與觀點 1/6 從了解電子商務安全議題上的主要術語開始： 營運持續計畫(business continuity plan) 網絡犯罪(cybercrime) 暴露(exposure) 詐騙(fraud) 惡意軟體(malware/malicious software) 網路釣魚(phishing) *(cont. - next page) 9-* 電子商務 Chapter 9 電子商務安全與詐騙防範 基本的電子商務安全議題與觀點 2/6 風險(risk) 社交工程(social engineering) 垃圾電子郵件(spam) 軟體弱