Security and Encryption

Slides:



Advertisements
Similar presentations
资源平台应用培训 武汉市交通学校信息化建设指导委员会.
Advertisements

◈ 中小企业需要的所有功能 各种功能,可以永久使用的系统 Ecount ERP 每月$55 库存/销售/采购 生产/成本/利润 会计/资金
第四章 内容提要: 电子商务的安全技术 本章从电子商务的安全要求入手,介绍电子商务的几种安全技术,从而说明电子商务安全问题有哪些,其根源何在、带来哪些风险、如何应用安全技术等。
第5章 电子商务安全 学习目标: 1)了解电子商务对安全的基本需求。 2)理解防火墙的功能与技术。 3)掌握数据加密原理与技术。
密码学应用 培训机构名称 讲师名字.
電子商務安全防護 線上交易安全機制.
高 波 华南师范大学经济与管理学院 信息管理系 2008年11月13日
第十四章 無線通訊安全 本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師(下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相關著作物移作他用。
第八讲信息安全技术基础 教学目的与要求: 1.了解计算机病毒的概念及特征 2.掌握计算机病毒的防治 教学重点: 1. 计算机病毒的概念及特征
电子商务基础(第二版).
104年度國立宜蘭大學新進主管研討 主計業務宣導說明
大学计算机基础 主讲:张建国 电话: 实验及交作业网址:
102年實施之高中職及五專多元入學(含免試入學)之招生機制
读者与图书馆 2009年春季版 总第 15 期 山 东 交 通 学 院 图 书 馆 2009年3月.
第三章 網際網路和全球資訊網 : 電子商務基礎建設
第十章 电子支付.
MIE-311 Mobile Network Security
2012级暑期放假安全教育 及宿舍搬迁工作布置会 北京化工大学理学院 辅导员:曹鼎 2013年6月6日.
第九章日治時期的台灣(下).
信息安全保障基本知识 培训机构名称 讲师名字.
企業如何建置安全的作業系統 Windows XP 網路安全
全民健康保險醫療品質資訊.
06資訊安全-加解密.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
計算機概論 蘇俊銘 (Jun Ming Su) 資料加密技術簡介 計算機概論 蘇俊銘 (Jun Ming Su)
2015年云南财经大学图书馆 新生入馆教育考核试题 答题指南
第十一章 網路安全 (Network Security)
10.2 网络安全的基本概念  网络安全的重要性 计算机网络的广泛应用对社会经济、科学研究、文化的发展产生了重大的影响,同时也不可避免地会带来了一些新的社会、道德、政治与法律问题。Internet技术的发展促进了电子商务技术的成熟与广泛的应用。目前,大量的商业信息与大笔资金正在通过计算机网络在世界各地流通,这已经对世界经济的发展产生了重要和积极的影响。政府上网工程的实施,使得各级政府与各个部门之间越来越多地利用网络进行信息交互,实现办公自动化。所有这一切都说明:网络的应用正在改变着人们的工作方
電子商務 11-1 電子商務概論 11-2 電子商務交易安全與 加密機制 11-3 電子商務交易付費機制
计算机应用专业系列教材 计算机网络.
資訊管理 第十五章 資訊使用與倫理.
上海市出口退税网上申报系统V2.0 —— 大连龙图信息技术股份有限公司 ——.
SIEMENS自动化控制系统于VPN网络技术的完美结合
益思科技法律事務所 賴文智律師 網路時代與個人資料保護 益思科技法律事務所 賴文智律師
密碼學簡介與簡單生活應用 Introduction to Cryptography & Simple Applications in Life 2010 Spring ADSP 05/07.
資訊安全-資料加解密 主講:陳建民.
第9章 電子商務安全防範.
IIS網站的安全性管理 羅英嘉 2007年4月.
David liang 数据通信安全教程 防火墙技术及应用 David liang
計資中心教學研究組唐瑤瑤 電腦與網路 計資中心教學研究組唐瑤瑤
Windows 2003 Server IIS網站的架設
Server Load Balancing 飛雅高科技 李村.
CH19資訊安全 認識資訊安全與其重要性 了解傳統與公開金鑰密碼系統, 以及基本的安全性觀念 了解訊息鑑別與雜湊函數 了解數位簽章法
資電學院 計算機概論 F7810 第十七章 資訊安全 陳邦治編著 旗標出版社.
第9章 虛擬私人網路VPN.
9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系 范錚強
远程诊断技术及设备 ---今日坐拥明日之选.
第九章 IPSec VPN技术.
學校資訊保安研討會 資訊保安由學校做起 黃寶財教授 香港中文大學訊息工程學系 香港學校網絡執行總監
第14章虚拟专用网技术与应用实验.
Windows 2003 server 進階介紹 麋鹿.
主講人:黃鎮榮 東方設計學院觀光與休閒事業管理系
PPPoE PPTP L2TP全解 方伟、产品策划 讲师的CSDN博客地址
網路安全期末報告─SSL/TLS 指導教授:梁明章 報告學生:A 徐英智.
黑客反向工程导论 中国科技大学计算机系
為何電子商務的安全性令人擔憂? 電子商務資訊安全 實體商務也擔心安全-但數位化的偽造數量會更多更快
9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系 范錚強
第9章 信息安全.
Source: Journal of Network and Computer Applications, Vol. 125, No
密碼學 Chapter 4 基於電腦的非對稱性金鑰密碼學演算法
Common Security Problems in Business and Standards
資訊安全概論 樹德科技大學 資訊工程系 林峻立 助理教授.
為何電子商務的安全性令人擔憂? 第二節 電子商務資訊安全 實體商務也擔心安全-but數位化的偽造數量會很多 網際網路是互聯的(匿名與距離性)
長期照護機構如何應用資訊工具協助管理 主講:周中和.
Computer Security and Cryptography
Website: 第1章 密码学概论 Website: 年10月27日.
《现代密码学》导入内容 方贤进
黑客反向工程导论 中国科技大学计算机系
深圳信息职业技术学院《电子商务基础》课程组版权所有
Presentation transcript:

Security and Encryption 第五章 電子商務的安全與加密 Security and Encryption

學習目標: 了解EC犯罪&安全問題 說明EC安全性的重要層面 瞭解安全性與其他價值間的緊張關係 說明EC環境中的主要安全性威脅 說明各程加密技術如何協助保護INTERNET傳送訊息安全 說明建立安全INTERNET通訊管道的工具 指出保護網路,SERVER,CLIENT的工具 體會產生安全性的政策,程序,法律的重要

消費者與業者的風險 消費者的基本風險: 無法得到購買的產品/服務,也可能在交易時有人偷了你的錢or虛擬貨幣,也包括失去隱私 (關於你購買行為相關資訊) 業者的風險: 銷售了產品/服務卻沒收到錢

5.1 電子商務的安全性環境 Computer Security Institute:調查583家美國公司,政府機構: 85%:最近12個月有電腦安全性破壞 64%:承認有財務損失 35%:估算損失達$37,700萬 最嚴重損失:專利資訊失竊,金融詐騙 2000年信用卡詐騙達15億 2003年信用卡詐騙可能達150億 IFFC申訴的網路詐騙 線上拍賣詐騙最常見 平均損失;$1,259

電子商務的安全性環境(續) 並非全部的網路罪犯都是為了錢,有些罪犯只是為了污損、破壞、或中斷網站形象受損 專利資訊失竊 金融詐騙行為 (信用卡盜刷) 機構外部的攻擊 拒絕服務攻擊 (使網站停用) 病毒攻擊

什麼是好的電子商務安全性 只要有足夠的資源,怎樣的安全系統都可被破壞,安全不是絕對的,好的電子商務安全性需要有 資訊是有時間價值 電子商務安全性環境:圖5.2 科技 組織政策,程序 法規 在可行範圍內確保個人 與機構免受電子商務 市場上未預期的行為所害

電子商務安全性的層面 定義: 電子商務的安全性就是設計來保護以下六個層面,有任何一方面有危險,就有安全性的問題 完整性 integrity 無可否認性 nonrepudiation 身份辨識性 Authenticity 機密性 Confidentiality 隱私性 Privacy 企業內部政策管理顧客資料 保護資訊不受非法or未許可的使用 可取得性 Availability

電子商務 & 其他價值的權衡 圖5.3 易於使用  安全性 (太安全,可能損及利潤) 公共安全及安全性的犯罪用途 重要

電子商務的安全性威脅 三個主要弱點:客戶端,伺服端,通訊管道

安全性七大威脅 惡意程式 Malicious code 入侵與網路破壞行為Hacking and cybervandalism 信用卡詐欺 / 盜竊 --- 社會觀點: 電子簽章 欺騙 Spoofing 拒絕服務攻擊 Denial of service, DoS 監聽 Sniffing 內部手腳 Insider jobs

5.3 科技解決方案 電子商務網站對抗安全性威脅的第一道防線,就是讓外部人士難以入侵或破壞的一系列技術,參考圖5.5

保護網際網路通訊 最大的安全性威脅發生在網際網路通訊的層級, 有些工具可以用來保護網際網路通訊的安全, 其中最基本的就是訊息加密

加密 加密: 加密可以提供電子商務六個主要層面的其中四個: 是一種把純文字或數據資料轉換成密碼文字的過程, 除了傳送者和接收者以外沒有人可以閱讀 目的:確保儲存資訊安全,確保資訊傳輸安全 加密可以提供電子商務六個主要層面的其中四個: 訊息完整性 無可否認性 身份辨識性 機密性(參考表5.1)

加密(續) 把純文字變成密碼文字的轉換,要利用金鑰來完成 替換密碼: HELLO  JGNNQ 轉移密碼: HELLO  OLLEH 其他: HELLO  HLO EL

對稱金鑰加密法 對稱金鑰加密法(私密金鑰加密法): 要解開加密後的資訊, 接收者必須知道加密的金鑰為何 接收者與傳送者使用相同的金鑰 金鑰必須透過某種通訊媒介來傳送,或是私下交換金鑰 現代的加密系統都是數位化的, 因此金鑰都是數字字串, 使用的有56、128 、256或512位二進位的金鑰 網 際 路 加密 接收者 傳送者

對稱金鑰加密法(續) 今日網際網路最廣泛使用的對秤金耀加密系統是資料加密標準 (DES, Data Encryption Standard) DES是國家安全機構 (NSA)與IBM在1950年代開發的 DES是用56位元的加密金鑰, 為了應付更快速的電腦, 已經改良成三倍DES, 就是把一個訊息加密三次, 每次使用不同的金鑰

公開金鑰加密法 1976 ,Whitfield Diffie & Martin Hellman 私密金鑰(擁有者收藏),公開金鑰(廣為散佈) 二者可用於加密,解密,但不可同時做為二項用途 利用不可逆函數產生金鑰 圖5.6

數位簽章 & 雜湊摘要的公開金鑰加密法 公開金鑰加密法缺少完整性利用雜湊函數 改善之 圖5.7

安全的通訊管道 SSL (Secure Sockets Layer) 利用SSL來建立一個安全協調程序, 注意: URL會從HTTP變成HTTPS 安全協調程序是一種主從式程序, 所請求的URL、內容、表單內容、以及交換的cookie, 全都被加密 提供訊息的完整性, 但不提供不可否認性, 消費者還是可以訂購商品或下載資訊產品後, 宣稱交易未從發生 SSL有40位元以及128位元的層級, 依你使用的瀏覽器不同, 選擇一個最強的共通加密法 SSL協定為TCP/IP連線提供了資料加密、伺服器認證、選擇性客戶端認證、以及訊息的完整性

安全超文字傳輸協定 S-HTTP: Secure HTTP SSL是要建立兩台電腦間的安全連線, S-HTTP是要安全地傳送訊息給個人

圖5.10 SSL的安全協調程序

虛擬私人網路 VPN: Virtual Private Networks 讓遠端使用者可以利用點對點通道協定,安全地在網際網路上存去內部網路 通道 Tunneling 遠端使用者可以撥接到附近的ISP, PPTP就從ISP連線到公司網路上, 就如同使用者直接撥接到公司網路

保護網路 一旦盡可能保護了通訊管道,下一個要考慮的工具就是能保護你的網路、伺服器和客戶端的工具 防火牆: 避免遠端客戶機器連上你內部網路, 檢查所有進出的通訊, 看訊息是否符合公司建立的安全準則 Proxy servers: 限制內部客戶端對外部網際網路伺服器的使用 Gateway Numeric address

圖5.11 防火牆, Proxy servers

保護伺服器與客戶端 作業系統控制 登入帳號 , 密碼確認 存取控制 防毒軟體 記得更新軟體,病毒碼 入侵偵測系統

政策程序與法律 科技不是控制電子商務風險的主要考量,科技提供了基礎,但沒有健全的管理政策的話,就算最棒的科技也可以輕易被打敗 也需要公法以及積極推動網路罪犯條例

安全計畫 : 管理政策 建立電子商務的安全計畫有五個步驟: 風險評估 發展安全政策 產生建置計畫 產生安全小組 安全性審核 Ps:依上述順序為主

法令與公共政策角色 第二代電子商務的公共政策環境與第一代十分不同, 第二代是受管理與監督的 只有在強大的公共法則與執法機制時,電子商務市場才會管用,法令會協助確保有秩序,合理,而公平的市場 這種成長的公共政策環境,正逐漸與電子商務一樣全球化

表5.3 電子商務安全法令

THANKS