300 likes | 387 Views
第五章 電子商務的安全與加密 Security and Encryption. 學習目標 : 了解 EC 犯罪 & 安全問題 說明 EC 安全性的重要層面 瞭解安全性與其他價值間的緊張關係 說明 EC 環境中的主要安全性威脅 說明各程加密技術如何協助保護 INTERNET 傳送訊息安全 說明建立安全 INTERNET 通訊管道的工具 指出保護網路 ,SERVER,CLIENT 的工具 體會產生安全性的政策 , 程序 , 法律的重要. 消費者與業者的風險.
E N D
第五章 電子商務的安全與加密 Security and Encryption
學習目標: • 了解EC犯罪&安全問題 • 說明EC安全性的重要層面 • 瞭解安全性與其他價值間的緊張關係 • 說明EC環境中的主要安全性威脅 • 說明各程加密技術如何協助保護INTERNET傳送訊息安全 • 說明建立安全INTERNET通訊管道的工具 • 指出保護網路,SERVER,CLIENT的工具 • 體會產生安全性的政策,程序,法律的重要
消費者與業者的風險 • 消費者的基本風險:無法得到購買的產品/服務,也可能在交易時有人偷了你的錢or虛擬貨幣,也包括失去隱私 (關於你購買行為相關資訊) • 業者的風險:銷售了產品/服務卻沒收到錢
IFFC申訴的網路詐騙 5.1 電子商務的安全性環境 • Computer Security Institute:調查583家美國公司,政府機構: • 85%:最近12個月有電腦安全性破壞 • 64%:承認有財務損失 • 35%:估算損失達$37,700萬 • 最嚴重損失:專利資訊失竊,金融詐騙 • 2000年信用卡詐騙達15億 • 2003年信用卡詐騙可能達150億 • 線上拍賣詐騙最常見 • 平均損失;$1,259
電子商務的安全性環境(續) • 並非全部的網路罪犯都是為了錢,有些罪犯只是為了污損、破壞、或中斷網站形象受損 • 專利資訊失竊 • 金融詐騙行為 (信用卡盜刷) • 機構外部的攻擊 • 拒絕服務攻擊 (使網站停用) • 病毒攻擊
什麼是好的電子商務安全性 • 只要有足夠的資源,怎樣的安全系統都可被破壞,安全不是絕對的,好的電子商務安全性需要有 • 資訊是有時間價值 • 電子商務安全性環境:圖5.2 • 科技 • 組織政策,程序 • 法規 • 在可行範圍內確保個人與機構免受電子商務市場上未預期的行為所害
電子商務安全性的層面 定義: 電子商務的安全性就是設計來保護以下六個層面,有任何一方面有危險,就有安全性的問題 • 完整性 integrity • 無可否認性 nonrepudiation • 身份辨識性 Authenticity • 機密性 Confidentiality • 隱私性 Privacy • 企業內部政策管理顧客資料 • 保護資訊不受非法or未許可的使用 • 可取得性 Availability
電子商務 & 其他價值的權衡 圖5.3 • 易於使用 安全性 (太安全,可能損及利潤) • 公共安全及安全性的犯罪用途 重要
電子商務的安全性威脅 三個主要弱點:客戶端,伺服端,通訊管道
安全性七大威脅 • 惡意程式 Malicious code • 入侵與網路破壞行為Hacking and cybervandalism • 信用卡詐欺 / 盜竊 --- 社會觀點: 電子簽章 • 欺騙 Spoofing • 拒絕服務攻擊 Denial of service, DoS • 監聽 Sniffing • 內部手腳 Insider jobs
5.3 科技解決方案 • 電子商務網站對抗安全性威脅的第一道防線,就是讓外部人士難以入侵或破壞的一系列技術,參考圖5.5
保護網際網路通訊 • 最大的安全性威脅發生在網際網路通訊的層級, 有些工具可以用來保護網際網路通訊的安全, 其中最基本的就是訊息加密
加密 • 加密: • 是一種把純文字或數據資料轉換成密碼文字的過程, 除了傳送者和接收者以外沒有人可以閱讀 • 目的:確保儲存資訊安全,確保資訊傳輸安全 • 加密可以提供電子商務六個主要層面的其中四個: • 訊息完整性 • 無可否認性 • 身份辨識性 • 機密性(參考表5.1)
加密(續) • 把純文字變成密碼文字的轉換,要利用金鑰來完成 • 替換密碼: HELLO JGNNQ • 轉移密碼: HELLO OLLEH • 其他: HELLO HLO EL
網 際 網 路 傳送者 加密 加密 接收者 對稱金鑰加密法 • 對稱金鑰加密法(私密金鑰加密法): • 要解開加密後的資訊, 接收者必須知道加密的金鑰為何 • 接收者與傳送者使用相同的金鑰 • 金鑰必須透過某種通訊媒介來傳送,或是私下交換金鑰 • 現代的加密系統都是數位化的, 因此金鑰都是數字字串, 使用的有56、128 、256或512位二進位的金鑰
對稱金鑰加密法(續) • 今日網際網路最廣泛使用的對秤金耀加密系統是資料加密標準 (DES, Data Encryption Standard) • DES是國家安全機構 (NSA)與IBM在1950年代開發的 • DES是用56位元的加密金鑰, 為了應付更快速的電腦, 已經改良成三倍DES, 就是把一個訊息加密三次, 每次使用不同的金鑰
公開金鑰加密法 • 1976 ,Whitfield Diffie & Martin Hellman • 私密金鑰(擁有者收藏),公開金鑰(廣為散佈) • 二者可用於加密,解密,但不可同時做為二項用途 • 利用不可逆函數產生金鑰 圖5.6
數位簽章 & 雜湊摘要的公開金鑰加密法 • 公開金鑰加密法缺少完整性利用雜湊函數 改善之 圖5.7
安全的通訊管道 • SSL (Secure Sockets Layer) • 利用SSL來建立一個安全協調程序, 注意: URL會從HTTP變成HTTPS • 安全協調程序是一種主從式程序, 所請求的URL、內容、表單內容、以及交換的cookie, 全都被加密 • 提供訊息的完整性, 但不提供不可否認性, 消費者還是可以訂購商品或下載資訊產品後, 宣稱交易未從發生 • SSL有40位元以及128位元的層級, 依你使用的瀏覽器不同, 選擇一個最強的共通加密法 • SSL協定為TCP/IP連線提供了資料加密、伺服器認證、選擇性客戶端認證、以及訊息的完整性
安全超文字傳輸協定 • S-HTTP: Secure HTTP • SSL是要建立兩台電腦間的安全連線, S-HTTP是要安全地傳送訊息給個人 • 有了S-HTTP, 任何訊息都可以加上簽名、辨識身分、加密、或這些的任意組合
虛擬私人網路 • VPN: Virtual Private Networks • 讓遠端使用者可以利用點對點通道協定,安全地在網際網路上存去內部網路 • 通道 Tunneling • 遠端使用者可以撥接到附近的ISP, PPTP就從ISP連線到公司網路上, 就如同使用者直接撥接到公司網路
保護網路 • 一旦盡可能保護了通訊管道,下一個要考慮的工具就是能保護你的網路、伺服器和客戶端的工具 • 防火牆:避免遠端客戶機器連上你內部網路, 檢查所有進出的通訊, 看訊息是否符合公司建立的安全準則 • Proxy servers:限制內部客戶端對外部網際網路伺服器的使用 • Gateway • Numeric address
保護伺服器與客戶端 • 作業系統控制 • 登入帳號 , 密碼確認 • 存取控制 • 防毒軟體 • 記得更新軟體,病毒碼 • 入侵偵測系統
政策程序與法律 • 科技不是控制電子商務風險的主要考量,科技提供了基礎,但沒有健全的管理政策的話,就算最棒的科技也可以輕易被打敗 • 也需要公法以及積極推動網路罪犯條例
安全計畫 : 管理政策 • 建立電子商務的安全計畫有五個步驟: • 風險評估 • 發展安全政策 • 產生建置計畫 • 產生安全小組 • 安全性審核 Ps:依上述順序為主
法令與公共政策角色 • 第二代電子商務的公共政策環境與第一代十分不同, 第二代是受管理與監督的 • 只有在強大的公共法則與執法機制時,電子商務市場才會管用,法令會協助確保有秩序,合理,而公平的市場 • 這種成長的公共政策環境,正逐漸與電子商務一樣全球化