為何電子商務的安全性令人擔憂? 第二節 電子商務資訊安全 實體商務也擔心安全-but數位化的偽造數量會很多 網際網路是互聯的(匿名與距離性) 第二節 電子商務資訊安全 為何電子商務的安全性令人擔憂? 實體商務也擔心安全-but數位化的偽造數量會很多 網際網路是互聯的(匿名與距離性) 網際網路是數位的-較難蒐證 電腦是儲存資料的工具-國防安全 電腦可程式化-犯罪行動可大量複製 法律的周延性不足-立法,蒐證,判決者的資訊素養
攻擊客戶端的方法 攻擊企業伺服器與網路端的方法 威脅電子商務安全的人 第三節 網路攻擊模式 電腦的實際入侵 電腦病毒與惡意程式的散佈 第三節 網路攻擊模式 攻擊客戶端的方法 電腦的實際入侵 電腦病毒與惡意程式的散佈 攻擊企業伺服器與網路端的方法 中斷服務 竄改- 破壞內容的「完整性」 偽造- 資訊安全需達到可「認證性」 竊聽- 資訊安全需維持「隱密性」 威脅電子商務安全的人 駭客 犯罪者 競爭對手 內部員工
第四節 資訊安全金三角 實體安全 程序安全 技術安全(最後一道防線) 環境安全- Ex: 機房控管 人員控制 網路安全訓練 第四節 資訊安全金三角 實體安全 環境安全- Ex: 機房控管 人員控制 程序安全 網路安全訓練 存取權力與需要相符 簽入程序 人事控制 技術安全(最後一道防線) 防火牆- 隔離企業內外的網路環境 資料加密、認證 資料備份 (異地備援) 完整的入侵偵測與回應計畫
第五節 資訊安全技術與數位簽章 電子商務安全的基本要求 隱密性(Confidentiality) 認證性(Authenticity) 第五節 資訊安全技術與數位簽章 電子商務安全的基本要求 隱密性(Confidentiality) 認證性(Authenticity) 完整性(Integrity) 不可否認性(Non-repudiation)
第五節 資訊安全技術與數位簽章 隱密性的保護:資料加解密技術 認證性的執行:數位憑證技術 第五節 資訊安全技術與數位簽章 隱密性的保護:資料加解密技術 對稱式金鑰或秘密金鑰(symmetric key or secrete key encryption)加解密演算法 非對稱式金鑰或公開金鑰加解密演算法(asymmetric key or public key encryption) 認證性的執行:數位憑證技術 公正客觀的第三者:憑證中心(Certificate Authority, CA) 數位憑證(digital certificate)是一個以CA私密金鑰加密的檔案,內含有個人的資訊與公開金鑰。
第五節 資訊安全技術與數位簽章 完整性與不可否認性的保護:數位簽章技術 第五節 資訊安全技術與數位簽章 完整性與不可否認性的保護:數位簽章技術 數位簽章(Digital Signature)指的是以發送端的私鑰,對訊息摘要加密的檔案 訊息摘要(message digest)指的是將傳送文件的本文,經過單向函數產生的一個固定長度的文數字,而且與本文之間是獨一的對應關係 單向函數(one way function, or hash function)讓本文變成訊息摘要很容易,但是反向的由訊息摘要產生本文卻非常困難
第五節 資訊安全技術與數位簽章 速度的考量:數位信封 綜合應用:SSL 第五節 資訊安全技術與數位簽章 速度的考量:數位信封 以對稱式加解密演算法對大量明文加密,為了安全傳遞秘密金鑰,秘密金鑰再以非對稱式的方式加密,這種加密後的檔案,便叫做「數位信封」 綜合應用:SSL