Transcript 電子商務資訊安全 - WWW實習網站

網站資訊安全
電子商務資訊安全
 為何電子商務的安全性令人擔憂？
1.
2.
3.
4.
5.
實體商務也擔心安全-但數位化的偽造數量會更多更快
網際網路是互聯的-匿名就找不到？距離遠就不會發現？
網際網路是數位的-較難蒐證
電腦是儲存資料的工具-國防安全
電腦可程式化-犯罪行動可大量複製(入侵100台主機vs.偷
100家便利商店)
6. 法律的周延性不足-立法,蒐證,判決者的資訊素養
1
網站資訊安全
網路攻擊模式
 攻擊客戶端的方法
1. 電腦的實際入侵
2. 電腦病毒與惡意程式的散佈
 攻擊企業伺服器與網路端的方法
1.
2.
3.
4.
中斷服務
竄改- 破壞內容的「完整性」
偽造- 資訊安全需達到可「認證性」
竊聽- 資訊安全需維持「隱密性」
 威脅電子商務安全的人
1.
2.
3.
4.
駭客
犯罪者
競爭對手
內部員工
2
網站資訊安全
資訊安全金三角
 實體安全


1. 環境安全- Ex: 機房控管
2. 人員控制
程序安全
1. 網路安全訓練
2. 存取權力與需要相符
3. 簽入程序
4. 人事控制
技術安全(最後一道防線)
1. 防火牆- 隔離企業內外的網路環境
2. 資料加密、認證
3. 資料備份 (異地備援)
4. 完整的入侵偵測與回應計畫
3
網站資訊安全
資訊安全技術與數位簽章
 電子商務安全的基本要求
1.
2.
3.
4.
隱密性（Confidentiality）
認證性（Authenticity）
完整性（Integrity）
不可否認性（Non-repudiation）
4
網站資訊安全
資訊安全技術與數位簽章
 隱密性的保護：資料加解密技術
1. 對稱式金鑰或秘密金鑰（symmetric key or secrete key
encryption）加解密演算法
2. 非對稱式金鑰或公開金鑰加解密演算法（asymmetric key or
public key encryption）
 認證性的執行：數位憑證技術
1. 公正客觀的第三者：憑證中心（Certificate Authority, CA）
2. 數位憑證（digital certificate）是一個以CA私密金鑰加密的
檔案，內含有個人資訊與公開金鑰。
5
網站資訊安全
資訊安全技術與數位簽章
 完整性與不可否認性的保護：數位簽章技術
1. 數位簽章（Digital Signature）指的是以發送端的私鑰，對訊息摘要加密的檔案
2. 訊息摘要（message digest）指的是將傳送文件的本文，經過單向函數產生的一
3.
個固定長度的文數字，而且與本文之間是獨一的對應關係
單向函數（one way function, or hash function）讓本文變成訊息摘要很容易，但
是反向的由訊息摘要產生本文卻非常困難
6
網站資訊安全
資訊安全技術與數位簽章
 速度的考量：數位信封
以對稱式加解密演算法對大量明文加密，為了安全傳遞秘密金鑰，秘密金
鑰再以非對稱式的方式加密，這種加密後的檔案，便叫做「數位信封」
 綜合應用：SSL
7
網站資訊安全
ＳＳＬ加密流程
商
店
進行認證
店家
資訊
(包含店家
公KEY)
C
A
認
證
機
構
店家
資訊
+
CA私
KEY
數位憑證
顧
客
CA
公
KEY
解
密
店
家
資
訊
包
含
店
家
公
key
8

網站資訊安全
ＳＳＬ加密流程
隨機金鑰
隨機金鑰
顧客信用卡號+
亂碼+
+店家公KEY
數位信封
店家用店私key解密
隨機金鑰
亂碼+
解密
信用卡號
9