本著作除另有註明外，採取創用CC「姓名標示－非商業性－相同方式分享」台灣3.0版授權釋出

Presentation on theme: "本著作除另有註明外，採取創用CC「姓名標示－非商業性－相同方式分享」台灣3.0版授權釋出"— Presentation transcript:

1 本著作除另有註明外，採取創用CC「姓名標示－非商業性－相同方式分享」台灣3.0版授權釋出
第 7 講次 (book1:chap13+chap14) 網際網路導論 嘉義大學資訊工程學系李龍盛老師 本著作除另有註明外，採取創用CC「姓名標示－非商業性－相同方式分享」台灣3.0版授權釋出

2 Widget 網路廣播 Content

3 電子商務

4 電子商務簡介 簡言之, 電子商務就是指在網路上進行的任何商業行為, 這包含了整 個交易的所有過程, 例如行銷、商品、銷售、物流、售後服務等。
常見的電子商務, 有上網購物、網路報稅、拍賣網站、企業跟企業間 透過網路進行庫存控管...等。 電子商務的目的是希望將所有傳統的交易行為全部改到線上進行。一 個成功的電子商務模式, 至少有以下幾項特點： 交易不受時空限制：由於電子商務通常是在網站上進行, 因此不會受到 營業時間、營業地點的限制。 理論上, 不管任何時間、任何地點, 只要能連上網站, 就能進行線上交易 。 降低成本：採用電子化經營模式, 可省下傳統的銷售店面、廣告單、電 話客服人員等營運成本。 24 小時行銷：一旦建構好網站, 就能全年無休地提供最新消息、產品及 公司介紹等訊息。 電子商務簡介

5 電子商務簡介 在運作的過程中包含資訊流、金流、物流、商流 4 個層面。 資訊流：資訊流是指訊息的流通與交換, 例如訂單資訊 的流通。
在運作的過程中包含資訊流、金流、物流、商流 4 個層面。 資訊流：資訊流是指訊息的流通與交換, 例如訂單資訊 的流通。 金流：金流是指金錢的流通。在電子商務上有可能是實 體, 也有可能是以數位方式來進行。 物流：物流是指貨物的流通, 例如貨運中心將物品配送 到消費者手上。 商流：商流是指貨物所有權的轉移, 例如物品的所有權 會由商品製造者轉移給消費者。 電子商務簡介

6 電子商務依交易對象區分, 主要可分為 B2B (企 業與企業間的商業行為)、B2C (企業與消費者間 的商業行為) 及 C2C (消費者與消費者間的商業 行為) 3 種。
B2C、B2B 與 C2C

7 B2B (Business to Business, 企業與企業間的 商業行為), 指的是企業與企業之間的線上交易行 為, 包含企業間 (或企業內) 在網路上進行採購、 庫存管理、付款、配送、技術支援…等。 B2B

8 B2C (Business to Customer, 企業與消費者間 的商業行為), 指的是企業與消費者之間的線上交 易行為, 包含了整個交易的過程,
這一類的電子商務行為有很多, 諸如線上購物、 證券交易…等。 B2C

9 C2C (Customer to Customer, 消費者與消費 者間的商業行為), 指的是消費者與消費者之間的 線上交易行為。

10 在討論到電子商務的範疇時, 可能還會常常聽到一些相關的管理資訊 系統 (Management Information System, MIS)。
透過電子商務與管理資訊系統的整合, 可以更容易對顧客進行銷售與 服務。以下我們來討論幾個與電子商務相關的管理資訊系統： ERP (Enterprise Resources Planning, 企業資源規劃)：可提高組織內 部的協調能力, 共享快速、正確、一致、完整的資訊, 並快速反應、降低 成本、提高「即時」接單能力、產銷協調能力、客戶滿意度, 達到提升總 體競爭力的目標。 SCM (Supply Chain Management, 供應鏈管理)：連結供應鏈中的合 作夥伴, 強調組織間的互動與整合, 經由供應鏈管理系統迅速相互傳遞資 訊, 藉此提高鏈結成員的競爭力。 CRM (Customer Relationship Management, 客戶關係管理)：使用 資訊科技建立與客戶互動的管道, 並收集、分析、整合各項顧客資料及資 訊, 以提高對客戶的了解, 並藉此規劃正確的個人化客戶服務, 並調整企業 產品及行銷策略。 電子商務的領域

11 電子商務的付款機制 傳統的交易行為中, 由於大都是當面交易, 因此付 款的方式往往不是問題。
然而電子商務就不一樣了, 由於消費者與店家並 非直接面對面接觸, 因此如何建立一個彼此都能 接受的付款機制, 是決定一個網站成功與否的關 鍵因素之一。 電子商務的付款機制

12 上網交易時, 填寫信用卡卡號及卡片到期日期, 接 著這份資料會被傳送到網站, 再由網站人員向銀 行確認無誤, 並取得授權碼之後, 即可完成付款動 作。
一般而言, 這是線上交易最簡易的付款方式。 雖然這種付款方式有可能在傳送到網站的過程中, 或在網站的資料庫遭人竊取, 使得信用卡資料外 洩, 但由於已行之有年, 因此線上刷卡目前算是普 及的一種付款方式。 線上刷卡

13 貨到付款 金錢的交付方式, 不在網上進行, 而是採用郵局代 收貨款, 或到指定地點 (例如便利商店) 取貨付款 , 甚至直接配送到府。
這類型的交易方式, 由於消費者可以在所訂購的 貨品安全無虞地拿到後, 再進行付款的動作, 因此 廣受歡迎。 貨到付款

14 完成線上訂購之後, 消費者再透過劃撥、支票或 轉帳的方式付款, 最後用傳真或線上填表的方式, 將單據號碼知會消費網站, 完成付款。
由於這種方式需要消費者做最多的事情, 因此一 般而言, 消費者並不太喜歡這種交易方式, 但對企 業而言, 可確保消費者已經付款再寄出貨品, 是最 可靠的方式。 劃撥、支票或轉帳付款

15 除了親自到郵局、銀行進行劃撥、轉帳, 您也可 以坐在電腦前面, 利用瀏覽器連到網路 ATM 頁 面來辦理轉帳付款。

16 電子錢包是一種符合安全電子交易 SET 標準的 交易方式, 消費者必須事先向金融機構或具有公 信力的單位申請認證並取得虛擬電子錢包, 裡面 儲存了持卡人的個人資料, 如信用卡號、電子證 書、信用卡有效期限…等。 交易時會將持卡者的信用資料加密之後再傳至店 家, 因此店家的電腦上只能看到消費者購買物品 的資訊, 至於信用卡的卡號及信用資料等機密內 容, 只有發卡銀行在處理帳務時將訊息解密後才 能看得到, 因此比較沒有線上刷卡資料外洩的顧 慮。 電子錢包

17 由於 HTTP 協定並沒有線上加密的機制, 所以為 了安全起見, 我們需要主動為線上傳送的資料加 密, 一般採用金鑰加密法 (Key Encryption) 進 行。
客戶在傳送資料前, 先用他擁有的金鑰加密, 再將 資料傳給購物網站。購物網站收到此加密過的資 料之後, 再用它所持有的金鑰解密, 才能解讀此資 料。 線上加密：解決資料傳輸隱密性的問題

18 在一般實體交易中, 雙方可用簽名或蓋章方式來 辨認身分, 可是在網路上要如何確認對方身分呢 ？此問題目前可由數位識別碼解決。
數位識別碼同時也解決了網路交易所引發的不可 抵賴性 (Non-Repudiation) 問題。 所謂「不可抵賴性」的意思是指買賣雙方交易完 成之後, 有一方後悔其交易內容, 如果他以交易是 在網路上而拒絕承認此次交易, 如此就會造成網 路交易秩序大亂了。 數位識別碼：解決身分辨認的問題

19 基於線上交易的安全問題, 除了消極地改採傳統 的貨到付款, 或以劃撥、支票或轉帳的方式付款 之外, 目前主要有 SET 及 SSL 2 種安全機制。

20 SET (Secure Electronic Transaction) 是由 VISA 及 MasterCard 為主的二家信用卡公司於 1996 年 2 月所推出的線上安全機制。
消費者與購物網站在消費之前, 均需先向認證中心 取得認證, 然後再經由線上加密的方式進行線上交 易。 在 SET 的交易過程中, 購物網站無法取得消費者 的信用卡資料, 因此得以防範購物網站利用客戶信 用卡資料為非作歹； 而付款銀行也看不到消費者的購物內容, 保障了消 費者的隱私權。 SET 協定

21 使用 SET 交易機制時, 消費者必須要有電子錢包 (Electronic Wallet) 及數位認證 (Digital Certificate) 才行, 以下我們來說明這 2 點：
電子錢包：電子錢包其實是一種軟體, 專門存放您的個人資 料, 例如：信用卡卡號、信用卡到期日、數位認證的申請、 保管及刪除等。 當消費者以 SET 方式進行交易時, 可以確認購物網站的身 份並紀錄電子交易記錄。 數位認證：發卡銀行在確認使用者的身份後, 簽發給該使用 者一個 “信用卡” 的數位認證 (但該發卡銀行必須透過公 正的單位簽發數位認證)。 使用者收到信用卡的 SET 數位認證後, 可以將其儲存在電 子錢包內使用。 SET 交易機制

22 SSL (Secure Socket Layer) 是目前線上交易 最常被使用的安全協定, 由 Netscape 公司於 1995 年 6 月所發表。
此協定採用了 RSA 公司所授權的線上加密法, 用 以解決資料傳輸隱密性的問題；同時也支援了數 位認證機制, 購物網站須向認證中心取得認證之 後, 再加裝到支援 SSL 安全協定的伺服器, 即可 支援 SSL。 由於 SSL 協定具有消費者不需事先取得認證的 好處, 因此, 目前遠較於 SET 來得普及。 SSL 協定

23 以下我們來看看 SET 與 SSL 交易的優缺點：

24 使用者在網路上的隱私問題：如網站對瀏覽者使用 Cookie 的問題、網站非法販賣會員資料的問題、電子郵 件內容被攔截偷窺的問題…等。
網路交易 (電子商務) 的交易安全問題：線上交易時信用 卡卡號被盜用的問題、其他交易資料傳輸的安全問題…等 。 駭客問題：駭客藉由網路入侵電腦, 竄改、竊取資料, 或 攔截網路上傳送的重要資料。 藉由網路散佈的病毒問題：包括電子郵件病毒、藉由網 頁瀏覽而傳播的電腦病毒、藉由區域網路共享功能而散 佈的病毒…等。 網路安全的重要議題

25 常見的網路安全技術 以前述的網路安全重要議題為中心, 常見的網路安全技術 則有下列幾種：
使用者在網路上的隱私問題：瀏覽器隱私權的相關設定 (如：IE 的隱私權設定採用 P3P 隱私權保護規格)、以數位識別碼加密電 子郵件, 以防被攔截偷窺…等。 網路交易 (電子商務) 的交易安全問題：使用 SSL (安全通訊端層 ) 技術、伺服器憑證、加密技術保障線上交易時信用卡卡號與其他 交易資料傳輸的安全、以數位識別碼確認個人身分…等。 駭客問題：以防火牆防止駭客藉由網路入侵電腦、以各種加密技 術將重要資料加密傳輸, 以防駭客攔截偷窺資料…等。 藉由網路散佈的病毒問題：以防毒軟體即時監控所有病毒活動、 設定瀏覽器之安全區域與層級功能, 以避免網頁病毒或不良的網頁 程式肆虐…等。 常見的網路安全技術

26 IE 可讓使用者依照不同的資訊來源、網路通訊協 定、網域, 將網站分為不同的群組, 並針對每個群 組做安全性等級設定, 這種分組的做法便稱為安 全區域。
對於可以完全信任的網站, 我們可以省略下載或 執行各式軟體時的警告訊息；反之, 對於不能信 任的網站, 則必須嚴加把關、隨時提醒。 四種安全區域

27 四種安全區域 我們先來了解一下 IE 提供的四種安全區域：
網際網路區域：在 Internet 中, 未設定為信任的網站或限制的網 站的所有網站, 皆歸在此區域中。此區域預設的安全性等級是中高 安全性。 近端內部網路區域：此區域包括所有放在區域網路上的 Web 網站 , 也就是在區域網路防火牆內的所有網站, 此區域預設的安全性等 級是中低安全性。 信任的網站區域：如果您信任 Internet 中某些網站, 能夠很放心 地從這些網站下載或執行程式, 而不必顧慮安全性的話, 便可將這 些網站歸類到此區域。其預設的安全性等級是中安全性。 限制的網站區域：如果您對某些網站的安全有所顧慮, 或是從報章 雜誌中看到某些素行不良的網站, 那麼就可以將它們歸類到此區域 。此區域預設的安全性等級是高安全性。 四種安全區域

28 在預設狀況下, 沒有任何網站是屬於信任的網站 或限制的網站, 必須由我們手動將信任的網站加 入信任的網站區域, 並將某些風評不佳的網站加 入限制的網站中, 以下我們示範如何將網站加入 到信任的網站區域中。 設定信任或限制的網站

29 除了替網站分類, 加入適當的安全區域 (如前述 信任的網站、限制的網站) 外, 還必須替 4 個安 全區域設定適當的安全性等級, 才算是完成安全 區域的設定。
安全性等級有兩種設定方式：預設等級與自訂等 級。 預設等級是 Windows 幫您設計好的套餐, 如果 您對網路上的各類程式、元件…等的性質、危險 與否並不是那麼的清楚, 建議您使用這種套餐式 的安全性等級設定, 讓 Windows 來替您擬定大 致的安全標準。 設定安全性等級－預設等級

30 自訂等級則可以讓您逐一設定所有安全項目, 比 較適合對網路已十分熟悉的使用者。
設定安全性等級－自訂等級

31 加密 將資訊加密傳送是網路上防範機密資訊外洩的主 要方法。
研究加密 (Encryption) 與解密 (Decryption) 技術的學問稱為「密碼學」, 這門學問的歷史悠 久, 無論是軍事上、政治上或外交上, 都有相關的 應用發展。 而隨著網路交易與政府、軍事單位的資訊化、網 路化, 加密與解密技術在網路方面也已發展出相 當成熟的應用成果。 加密

32 目前兩種通用的加密技術。 對稱加密法 (Symmetric Encryption)：使用對稱加密法, 傳送端與接收端所擁有 的金鑰是一樣的, 就像我們用鑰匙將房子上了鎖, 需要用同一把或複製的鑰匙才能 打開。 此方法也被稱為私密金鑰加密法 (Private Key Encryption) 對稱加密法除了做為資料加密的功能外, 也可以應用在驗證身份上。而利用對稱加 密法來進行身份驗證時的基本原理如下： A、B 兩位使用者各自擁有一把相同的 K 金鑰, 且 A、B 雙方互信對方不會將 K 金鑰分送給他人。 當 A 利用 K 金鑰將一段內容加密後, 將加密的結果送給尚未驗證身份的 X 使用者 。若 X 使用者可用 K 金鑰將加密的內容解密, 則 A 就可以相信 X 即為 B。 反之亦然, 以 B 使用者的角度來看上述動作： B 收到來自不明身份 Y 的一段加密 內容, 若 B 可以用 K 金鑰將加密內容解密, 則 B 就可以相信 Y 就是 A。 非對稱加密法 (Asymmetric Encryption)：非對稱加密法傳送端與接收端所擁有 的金鑰是不一樣的, 傳送端的金鑰稱為公開金鑰, 而接收端所擁有的則為私密金鑰 。 加密的原理

33 雜湊函數 由於非對稱加密法的函數較為複雜, 對電腦運算 而言是一大負擔, 所以在實際應用上, 多會搭配對 稱加密法與雜湊函數一併使用。
由於金鑰長度攸關加密法的安全性, 所以長度通 常都很長, 例如 64 位元或 128 位元。 對於使用者而言, 不可能記憶這麼長的資料, 因此 , 在實際應用上, 使用者通常只要記憶一個很短的 密碼, 再透過雜湊函數, 即可產生 64 位元或 128 位元的雜湊值, 再以它做為私密金鑰。 雜湊函數

34 如果想要為郵件加密, 以 Windows Mail 而言, 其所使用的是非對稱式加密法, 所以您必須先取 得自己的數位識別碼 (有時稱為憑證), 以及收件 人的公開金鑰 (Public key) 才能使用加密郵件 功能。 想要使用數位識別碼, 必須先向網路上的數位認 證中心 (Certificate Authority, CA) 申請, 有些 數位認證中心提供免費或試用的數位識別碼；有 些則必須付費才能取得, 建議您在申請前先參考 網站上的相關說明。 為郵件加密

35 有一些網站會以小型文字檔的形式, 在電腦中儲 存一些資訊, 以辨識您的身分, 或是記錄一些您的 資料與喜好 (如：IP 位址、瀏覽過哪些網頁
如此一來, 當您再度進入該網站時, 網站便可以利 用這些資訊提供您個人化的內容, 而這種小型文 字檔就稱為 Cookie。 認識 Cookie

36 以 Windows Vista 為例, 您可開啟 IE 並按下工 具鈕執行『網際網路選項』命令, 接著在網際網 路選項交談窗的一般頁次中, 按下瀏覽歷程紀錄 區的設定鈕, 便可在開啟的交談窗中得知 Cookie 檔的存放位置 Cookie 在哪裡

37 Cookie 的分類 Cookie 檔可依「時效性」及「來源」來分類。
若以來源來分類, 則可分為「第一方」與「第三 方」兩種, 此種分類與 Windows 的隱私設定原 則密切相關 Cookie 的分類

38 第一方 Cookie：是指直接連線瀏覽網站所建立的 Cookie, 例如連上新浪網時, 新浪網在您電腦中建立的 Cookie。

39 清除 Cookie 由於某些網站會利用 Cookie 來辨認身分, 然後 直接替您登入會員, 或根據您的身分提供特定的 網頁內容。
要清除電腦中的 Cookie 檔 (在多使用者環境下, 只能夠清除自己的), 可以直接開啟 IE 的網際網 路選項交談窗, 按下一般頁次中瀏覽歷程紀錄區 的刪除鈕開啟如下的交談窗 清除 Cookie

40 一般正當經營、有信用的網站都會宣告該網站的隱私 權政策, 而宣告的方式很多, 目前最普遍的是以 HTML 格式寫成一般網頁文件來告知使用者。
近年來, W3C (World Wide Web Consortium, 全 球資訊網協會) 則制定並推行另一種隱私權保護規格 － P3P (以 XML 為基礎的一種隱私權保護規格), Windows Vista 的隱私權設定便支援 P3P 隱私權 保護規格。 隱私權相關設定

41 W3C (World Wide Web Consortium) 創立於 1994 年 10 月, 是負責審核、制定 WWW 相關 技術規格 (包括 HTML、CSS、XML…等) 的一 個組織。
而 XML (Extensible Markup Language, 可擴 充式標示語言) 也是由 W3C 協會審核制定出來 的, 1998 年才正式發表 XML 1.0 版。 關於 W3C 與 XML

42 由於傳統的 HTML 語法只能單純地規範網頁內容 的排版方式, 卻無法標示內容資料的類型、意義, 為了能更精確、有效地在網路上處理文件資料, 才發展出了 XML 這種擴充性高, 能夠自訂標籤 、描述文件結構的標記語言。 XML 的應用範圍很廣, 除了 P3P 隱私權保護規 格外, 串流媒體的 SMIL 技術、網頁向量圖形顯 示技術 SVG…等都是。 關於 W3C 與 XML

43 防範網路釣魚 由於網路釣魚的網站很難分辨真假, 一般人多半 無法察覺, 一不小心就被騙走個人資料、密碼, 甚 至是信用卡號碼、企業機密。
所幸 IE 中內含安全機制, 可防止網路釣魚詐騙個 人資訊。 IE 在開啟網頁時, 會一併啟動網路釣魚篩選器, 過濾您所瀏覽的網站是否有問題。當 IE 認為某 個網站有安全上的疑慮時, 會顯示提示訊息： 防範網路釣魚

44 安全圖章 為防止釣魚網站騙取會員帳號密碼, 目前已有網 站提供防範措施, 讓到站的使用者多一層保障。
Yahoo! 奇摩首創安全圖章 (Sign-in Seal) 機制 , 可讓使用者在登入前, 先透過登入畫面中的安全 圖章來辨識是否為真正的 Yahoo! 奇摩網站。 您可以選擇使用文字、或是上傳個人專屬圖樣做 為圖章樣式, 不僅在安全上多一道防線, 而且也能 讓登入畫面更具個人風格呢！ 安全圖章

45 Based on 第十三章與第十四章 網路應用Internet導論與實作，第二版，施威銘 研究室著，台北：旗標出版公司，F7060。
reference