ch 09 電子商務安全與詐騙防範.ppt
Download
Report
Transcript ch 09 電子商務安全與詐騙防範.ppt
電子商務支援服務
Chapter 9
電子商務安全與詐騙防範
Chapter 10
電子商務付費系統
電子商務 Chapter 9 電子商務安全與詐騙防範
9-2
Chapter 9
電子商務安全與詐騙防範
了解電子商務用資訊系統安全的重要性與範圍
說明電子商務安全的主要概念與範圍
學習關於主要的電子商務安全威脅、弱點及風險
了解網路釣魚以及其與金融犯罪的關係
說明資訊保證安全原則
找出並評估保護電子商務社群的主要技術與方法
說明保護電子商務網路之主要技術
電子商務 Chapter 9 電子商務安全與詐騙防範
9-3
Chapter 9
電子商務安全與詐騙防範
說明不同類型的控制與特別防禦機制
說明營運持續性與災害復原規劃的角色
討論企業全面性建置電子商務安全議題
了解為何遏止電腦犯罪是不可能的
電子商務 Chapter 9 電子商務安全與詐騙防範
9-4
9.1
資訊安全問題 1/2
何謂電子商務安全?
電腦安全(computer security)
是資料、網路、電腦程式、電腦電源,以及其
他電腦化資訊系統元件的保護。
電腦安全分為兩類
一般的(generic),關於任何資訊系統(如加密)。
電子商務相關的(EC-related),例如買家保護。
電子商務 Chapter 9 電子商務安全與詐騙防範
9-5
在2008年主要的網路攻擊事件
電子商務 Chapter 9 電子商務安全與詐騙防範
9-6
在2008年主要使用的安全防禦技術
電子商務 Chapter 9 電子商務安全與詐騙防範
9-7
資訊安全問題 2/2
電子商務網路安全問題的驅動力
按鍵側錄(keystroke logging)常被稱為keylogging,
是一種擷取與記錄使用者按鍵的方法。
電子商務 Chapter 9 電子商務安全與詐騙防範
9-8
9.2
基本的電子商務安全議題與觀點 1/7
從了解電子商務安全議題上的主要術語開始:
營運持續計畫(business continuity plan)
網絡犯罪(cybercrime)
暴露(exposure)
詐騙(fraud)
惡意軟體(malware/malicious software)
網路釣魚(phishing)
電子商務 Chapter 9 電子商務安全與詐騙防範
9-9
基本的電子商務安全議題與觀點 2/7
風險(risk)
社交工程(social engineering)
垃圾電子郵件(spam)
軟體弱點(vulnerability)
殭屍病毒(zombie)
電子商務 Chapter 9 電子商務安全與詐騙防範
9-10
電子商務安全戰場
電子商務 Chapter 9 電子商務安全與詐騙防範
9-11
基本的電子商務安全議題與觀點 3/7
威脅與攻擊:無意的與蓄意的
無意的威脅(unintentional threats)
人為錯誤(human error)
環境危害(environmental hazards)
電腦系統的故障(malfunctions in the computer
system)
電子商務 Chapter 9 電子商務安全與詐騙防範
9-12
基本的電子商務安全議題與觀點 4/7
蓄意的攻擊與犯罪(intentional attacks and crimes)
在網際網路上進行蓄意的犯罪,被稱為網路犯
罪(cybercrime)。
做這件事的人稱為網路罪犯(cybercriminal),可
簡稱為罪犯(criminal),它包含了駭客與破解者
。
電子商務 Chapter 9 電子商務安全與詐騙防範
9-13
基本的電子商務安全議題與觀點 5/7
駭客(hacker)
指的是某些人取得對公司系統未經授權的存取。破
解者(cracker)則是一種惡意的駭客。
社交工程(social engineering)
罪犯計誘不被懷疑的內部人員給予他們資訊或讀取
那些他們沒有的資料。
電子商務 Chapter 9 電子商務安全與詐騙防範
9-14
基本的電子商務安全議題與觀點 6/7
電子商務安全需求
認證
授權
稽核
可取得性
不可否認性
電子商務 Chapter 9 電子商務安全與詐騙防範
9-15
基本的電子商務安全議題與觀點 7/7
電子商務防禦計畫與策略
這種策略將電子商務安全視為是遏止、防制、偵查
組織的商標、身分、網站、電子郵件、資訊或其他
資產被未經授權使用的流程。
電子商務 Chapter 9 電子商務安全與詐騙防範
9-16
9.3
技術性攻擊方法 1/5
技術性攻擊(technical attack)
運用軟體與系統知識。
電腦病毒就是一種技術性攻擊的例子。
非技術性攻擊(nontechnical attack)
指使用詭計或假表格來欺騙使用者透露其安全資料,
或執行某些動作來通過網路安全性檢查。
多數的攻擊包含多種形式的混合。
電子商務 Chapter 9 電子商務安全與詐騙防範
9-17
技術性攻擊方法 2/5
惡意軟體(malware/malicious software)
是一種軟體,設計來不用經過擁有者同意甚至不用
知道他們所知道的事,便可以進行滲入或破壞一個
電腦系統。
包含電腦病毒(computer virus)、蠕蟲(worms)、特
洛伊木馬病毒(Trojan horses)、多數木馬程式套件
(rootkits)、間諜軟體(spyware)、不實的廣告軟體
(adware)、犯罪軟體(crimeware)及其他惡意與不想
要的軟體。
電子商務 Chapter 9 電子商務安全與詐騙防範
9-18
技術性攻擊方法 3/5
病毒(virus)
是一些程式碼,它自行嵌入含作業系統的主機,然
後再繁殖傳播。它有兩個成分:
藉以繁衍的傳播機制
進行攻擊的裝載機制
蠕蟲(worm)
可以自行傳播而不需要借助於人。
電子商務 Chapter 9 電子商務安全與詐騙防範
9-19
技術性攻擊方法 4/5
巨集病毒或巨集蠕蟲
通常在包含蠕蟲的應用程式啟動,或特定的程序被
執行時就開始運作。
特洛伊木馬病毒(Trojan horses)
外表看起來像一支有用的程式,但包含隱藏、可能
會有安全風險的功能。
電子商務 Chapter 9 電子商務安全與詐騙防範
9-20
技術性攻擊方法 5/5
阻斷服務(denial of service, DoS):是一種攻擊,這種
攻擊送出許多的需求去轟炸一個系統,讓它毀壞或不
能及時回應服務。
網頁伺服器與網頁劫持:網頁伺服器與網頁可能被劫
持與安裝以便進行控制,或重新導向使用者至詐騙或
網路釣魚網站。
殭屍網路(botnet):是一大群受劫持的網際網路電腦,
這些電腦被設定來發送流量,包含垃圾郵件與病毒
(回想章首案例),至其他在網際網路上的電腦。
電子商務 Chapter 9 電子商務安全與詐騙防範
9-21
9.4 網路釣魚、金融詐騙和廣告信
網路釣魚(phishing)
是在電子通訊媒介(通常是電子郵件、即時訊息等)
中,嘗試透過偽裝為一個值得信賴的實體如知名銀
行、信用卡公司、大型社交網路或電信公司等,來
獲取如使用者姓名、密碼與信用卡細節等機密資訊
之犯罪、詐騙過程。
身分盜竊(identity theft)
可視為是偷取一個人的身分;然後這個身分被某些
偽裝為某人的人用來偷取錢財或取得其他利益。
身分詐騙(identity fraud)
非法的使用一個假身分進行詐騙。
電子商務 Chapter 9 電子商務安全與詐騙防範
9-22
如何完成網路釣魚之示意圖
電子商務 Chapter 9 電子商務安全與詐騙防範
9-23
9.5 資訊保證模式與防禦策略 1/4
資訊保證模式(information assurance model, IA model)
提供一個保護資訊系統對付未經授權存取或修改儲
存、處理、傳送於網路之資訊的架構。
資訊保證模式對電子商務的重要性,是它表現出經
由確保它的隱密性、完整性及可取得性等,來保護
資訊的流程。這個模式可以視為是CIA安全三角
(CIA security triad),或簡稱CIA三角(CIA triad)。
隱密性(confidentiality)
完整性(integrity)
可取得性(availability)
電子商務 Chapter 9 電子商務安全與詐騙防範
9-24
資訊保證模式與防禦策略 2/4
電子商務的成功與安全,仰賴:
隱密性:資料隱私的保證。
完整性:資料是精確的或訊息沒有被替換的保證。
可取得性:存取資料、網站或其他電子商務資料服
務,能提供及時的、可取得、可信賴,以及僅限制
給經授權的使用者之保證。
電子商務 Chapter 9 電子商務安全與詐騙防範
9-25
CIA安全三角
電子商務 Chapter 9 電子商務安全與詐騙防範
9-26
資訊保證模式與防禦策略 3/4
認證(authentication)
所有CIA的功能依賴於認證。
認證需要以憑據形式呈現的證據,憑據可以有多種
形式,包含一些已知的(如一個密碼)、持有的
(如智慧卡)、獨特的(如數位簽章或指紋)。
授權(authorization)
需要使用與某一項被存取資源相關的存取控制資訊,
來比較這個人或程式的資訊。
電子商務 Chapter 9 電子商務安全與詐騙防範
9-27
資訊保證模式與防禦策略 4/4
不可否認性 (nonrepudiation)
確保爭執中的一方無法否認或反駁一項聲明或契約
有效性的概念。
電子商務 Chapter 9 電子商務安全與詐騙防範
9-28
電子商務安全架構
電子商務 Chapter 9 電子商務安全與詐騙防範
9-29
9.6
防禦一:存取控制、加密與PKI 1/8
存取控制(access control)機制
決定誰(人、程式或機器)可以合法地使用網路資
源,而又是哪一項資源可以被他、她或它所使用。
存取控制清單(access control list)
決定哪一個使用者可以存取哪一個資源,以及對這
些資源他們擁有哪一種權利。
電子商務 Chapter 9 電子商務安全與詐騙防範
9-30
防禦一:存取控制、加密與PKI 2/8
生物辨識控制(biometric control)
是一種自動化的方法,它以一個人的身體或行為的
特徵為基礎,對一個人的身分進行驗證。
是以生物特徵為基礎之身分識別系統。
拇指指紋或指紋(thumbprint or fingerprint)
視網膜掃描(retinal scan)
聲音掃描(voice scan)
簽章(signature)
電子商務 Chapter 9 電子商務安全與詐騙防範
9-31
加密元件
電子商務 Chapter 9 電子商務安全與詐騙防範
9-32
防禦一:存取控制、加密與PKI 3/8
加密是兩個主要安全系統的根本
僅用一支私密金鑰的對稱式系統。
使用兩支鑰匙的非對稱式系統。
此種方法是公鑰架構 (public key infrastructure,
PKI)系統的根本。
電子商務 Chapter 9 電子商務安全與詐騙防範
9-33
防禦一:存取控制、加密與PKI 4/8
對 稱 式 ( 私 密 ) 金 鑰 加 密 (symmetric/private key
encryption)
使用相同一把鑰匙進行加密與解密明文。
電子商務 Chapter 9 電子商務安全與詐騙防範
9-34
防禦一:存取控制、加密與PKI 5/8
公鑰(非對稱式)金鑰加密(public/asymmetric key
encryption)
使用一對相互配合的鑰匙――一個公鑰(public key)
, 它 可 以公 開給任何人;以及一個 私鑰 (private
key),它僅可以給擁有者知道。
最常用的公鑰加密演算法是RSA(ras.com)。RSA使
用金鑰長度範圍從512位元至1024位元。
用公鑰加密主要的問題是速度,對稱式演算法較非
對稱式演算法快許多。
電子商務 Chapter 9 電子商務安全與詐騙防範
9-35
防禦一:存取控制、加密與PKI 6/8
數 位 簽 章 (digital signature) 或 數 位 憑 證 (digital
certificate)
是一個人簽名的電子版本,它無法被偽造。
以公鑰為基礎,用以認證傳送訊息或文件的人
的身分,也可用以確認電子訊息或文件的原始
內容沒有被改變。
電子商務 Chapter 9 電子商務安全與詐騙防範
9-36
防禦一:存取控制、加密與PKI 7/8
憑證管理中心(certificate authority, CA)
核發數位憑證。一份憑證包含一些如擁有者的姓名、
有效期間、公鑰資訊及憑證資料的簽名雜湊等。
VeriSign (verisign.com) 公司是CA中最知名的。
發行三種類型的憑證
第一類:確認電子郵件的確是由使用者位址
發送的。
第二類:對照一個商業信用卡資料庫,檢查
使用者的身分。
第三類:需要公證的文件。
電子商務 Chapter 9 電子商務安全與詐騙防範
9-37
數
位
簽
章
流
程
示
意
圖
電子商務 Chapter 9 電子商務安全與詐騙防範
9-38
防禦一:存取控制、加密與PKI 8/8
安全通道層通訊協定(Secure Socket Layer, SSL)
由Netscape創造用以認證與資料加密來確保隱私與
機 密 的 標 準 認 證 , SSL 已 成 為 由 Microsoft 與
Netscape提供的網頁瀏覽器與伺服器所採用的現存
標準。
在 1996 年 , SSL 被 改 名 為 傳 輸 層 安 全 (Transport
Layer Security, TLS)。
SSL讓信用卡號碼及其他在網頁瀏覽器與伺服器間
的傳輸受到加密成為可能。
電子商務 Chapter 9 電子商務安全與詐騙防範
9-39
9.7 防禦二:保護電子商務網路 1/4
防火牆
受信賴網路或個人電腦與不值得信賴的網際網路之
間的屏障。
技術上而言,它是一個網路節點,包含硬體及將私
有網路與公開網路隔絕的軟體。
在網際網路上,從一台電腦送至另一台電腦的資料
與需求,被分割為一些資料斷稱作封包。
防火牆檢查所有通過它的封包,然後採取適當的活
動──決定允許或不允許通過。
電子商務 Chapter 9 電子商務安全與詐騙防範
9-40
防禦二:保護電子商務網路 2/4
虛擬私有網路(virtual private network, VPN)
使用公開的網際網路來傳送資訊,但是藉由一些方
法的組合來保有隱私。
方法包括:
使用加密去改變通訊內容。
認證以確保這項資訊未被更改且來自一個合法
源頭。
電子商務 Chapter 9 電子商務安全與詐騙防範
9-41
防禦二:保護電子商務網路 3/4
入侵偵測系統(intrusion detection system, IDS)
是一種軟體、硬體或軟硬體兩者,設計用來偵測想
要非法透過網路存取、操控,或讓電腦系統不能運
作的企圖。
電子商務 Chapter 9 電子商務安全與詐騙防範
9-42
防禦二:保護電子商務網路 4/4
誘捕網路(honeynet)
另一種能偵測與分析入侵的技術。
或稱為蜜網,是由誘捕主機所構成的網路,這些誘捕
主機被設計用以吸引駭客,就像花蜜吸引蜜蜂一樣。
誘捕主機(honeypot)
屬資訊系統資源(防火牆、路由器、網頁伺服器、資
料庫伺服器及其他相似設備)。
入侵測試(penetration test/pen test):是一種透過模擬來
自惡意來源的攻擊,以評估電腦系統或網路安全的方法。
電子商務 Chapter 9 電子商務安全與詐騙防範
9-43
9.8
防禦三:一般控制與其他防禦機制
圖 9.11 主要防禦控制
電子商務 Chapter 9 電子商務安全與詐騙防範
9-44
9.9
營運持續、安全稽核與風險管理 1/6
營運持續計畫(business continuity plan)
主要包含一個災害復原計畫,這個計畫指出一個企
業將從一場重要災害中復原的程序。
風險管理分析
電子商務 Chapter 9 電子商務安全與詐騙防範
9-45
營運持續服務
電子商務 Chapter 9 電子商務安全與詐騙防範
9-46
9.10
建置企業全面性電子商務安全 1/2
一個電子商務安全策略與措施的成功,依賴於管理高
層的承諾與參與,這常稱為「從頂端定調」(tone at
the top)。
圖 9.14 企業面電子商務安全與隱私模式
電子商務 Chapter 9 電子商務安全與詐騙防範
9-47
建置企業全面性電子商務安全 2/2
下面是網際網路犯罪為何難以防範的主要原因:
線上購物會變得不方便
信用卡發卡單位間缺乏合作
購物者的疏忽
忽視實現電子商務安全的最佳做法
設計與架構議題
執行業務缺乏應有的責任與關心
電子商務 Chapter 9 電子商務安全與詐騙防範
9-48