為何電子商務的安全性令人擔憂? 電子商務資訊安全 實體商務也擔心安全-但數位化的偽造數量會更多更快 網際網路是互聯的-匿名就找不到?距離遠就不會發現? 網際網路是數位的-較難蒐證 電腦是儲存資料的工具-國防安全 電腦可程式化-犯罪行動可大量複製(入侵100台主機vs.偷100家便利商店) 法律的周延性不足-立法,蒐證,判決者的資訊素養
攻擊客戶端的方法 攻擊企業伺服器與網路端的方法 威脅電子商務安全的人 網路攻擊模式 電腦的實際入侵 電腦病毒與惡意程式的散佈 中斷服務 竄改- 破壞內容的「完整性」 偽造- 資訊安全需達到可「認證性」 竊聽- 資訊安全需維持「隱密性」 威脅電子商務安全的人 駭客 犯罪者 競爭對手 內部員工
資訊安全金三角 實體安全 程序安全 技術安全(最後一道防線) 環境安全- Ex: 機房控管 人員控制 網路安全訓練 存取權力與需要相符 簽入程序 人事控制 技術安全(最後一道防線) 防火牆- 隔離企業內外的網路環境 資料加密、認證 資料備份 (異地備援) 完整的入侵偵測與回應計畫
資訊安全技術與數位簽章 電子商務安全的基本要求 隱密性(Confidentiality) 認證性(Authenticity) 完整性(Integrity) 不可否認性(Non-repudiation)
資訊安全技術與數位簽章 隱密性的保護:資料加解密技術 認證性的執行:數位憑證技術 對稱式金鑰或秘密金鑰(symmetric key or secrete key encryption)加解密演算法 非對稱式金鑰或公開金鑰加解密演算法(asymmetric key or public key encryption) 認證性的執行:數位憑證技術 公正客觀的第三者:憑證中心(Certificate Authority, CA) 數位憑證(digital certificate)是一個以CA私密金鑰加密的檔案,內含有個人資訊與公開金鑰。
資訊安全技術與數位簽章 完整性與不可否認性的保護:數位簽章技術 數位簽章(Digital Signature)指的是以發送端的私鑰,對訊息摘要加密的檔案 訊息摘要(message digest)指的是將傳送文件的本文,經過單向函數產生的一個固定長度的文數字,而且與本文之間是獨一的對應關係 單向函數(one way function, or hash function)讓本文變成訊息摘要很容易,但是反向的由訊息摘要產生本文卻非常困難
資訊安全技術與數位簽章 速度的考量:數位信封 綜合應用:SSL 以對稱式加解密演算法對大量明文加密,為了安全傳遞秘密金鑰,秘密金鑰再以非對稱式的方式加密,這種加密後的檔案,便叫做「數位信封」 綜合應用:SSL
SSL加密流程 商 店 店 家 資 訊 顧 客 C A 認 進行認證 證 機 構 店家 CA 資訊 公 (包含店家 KEY 公KEY) 解 + CA私 KEY CA 公 KEY 解 密 包 含 店 家 公 key 數位憑證
SSL加密流程 顧客信用卡號+ 隨機金鑰 +店家公KEY 隨機金鑰 亂碼+ 數位信封 店家用店私key解密 亂碼+ 隨機金鑰 解密 信用卡號