5 電子商務基礎建設與資訊安全.

Presentation on theme: "5 電子商務基礎建設與資訊安全."— Presentation transcript:

1 5 電子商務基礎建設與資訊安全

2 本章架構 網際網路 基礎建設 分封交換 網路架構 通訊協定 網路管理 電子商務 資訊安全 什麼是網際網路？ 唯一的IP位址 網路攻擊模式
資安黃金三角 資訊安全技術 數位簽章 什麼是網際網路？ 唯一的IP位址 支援TCP/IP 的通訊協定 使用或存取

3 學習目標 5.1 什麼是網際網路? 5.2 網際網路基礎建設：分封交換 5.3 網際網路基礎建設：網路架構 5.4 網際網路基礎建設：通訊協定 5.5 電子商務基礎建設：管理 5.6 電子商務資訊安全令人擔憂 5.7 網路攻擊模式 5.8 資訊安全金三角 5.9 資訊安全技術與數位簽章

4 5.1什麼是網際網路?

5 它必須可以支援TCP/IP的通訊協定，或其他與IP相容之通訊協定。
什麼是網際網路? TCP/IP 它必須藉由一個唯一的IP位址作連結。 它必須可以支援TCP/IP的通訊協定，或其他與IP相容之通訊協定。 它必須提供使用或存取的功能。 網際網路就是「一群網路的網路」（a network of networks） 圖一 網際網路的定義

6 5.2 網際網路基礎建設： 分封交換

7 網際網路基礎建設：分封交換 Circuit Switching Packet Switching 圖二 網際網路基礎建設：訊息交換
線路交換屬於靜態分配線路的方式，當通信的二端一旦接通，雙方便獨占一條實際的實體線路。因為獨占，傳輸延遲通常較小，也不會發生線路衝突，可靠性和即時回應能力都很優異。 Packet Switching 分封交換將所要傳送的訊息分為一個個固定大小的封包（packet），在一條線路中，允許多來源封包同時傳遞，每個封包可視情況各自尋找最佳的路徑，到達目的地之後再重組原始的訊息。但也因它沒有專屬的傳輸線路，故而有時容易發生擁塞、封包損失或失序、以及資訊安全等等問題。 圖二 網際網路基礎建設：訊息交換

8 網際網路基礎建設 網路訊息交換主要有兩種模式 1.線路交換（Circuit Switching）
當通信的兩端一旦接通，便擁有一條實體線路，並由雙方獨佔此線路 2.分封交換技術（Packet Switching） 將所要傳送的訊息分唯一個個固定大小的封包傳送，可同時提供多個來源的訊息傳輸

9 5.3 網際網路基礎建設： 網路架構

10 網際網路基礎建設：網路架構 路由器（router）：高速數位交換器是一台電腦，能夠將兩條骨幹網路、骨幹與地區網路連接起來，做快速的資料交換。如果再加上資訊流通路徑的功能，便叫做路由器。 骨幹網路是由許多高頻寬纜線（如光纖）的集合，作為大量資料快速傳輸之用。到了大城市，也有都會或地區網路。由地區網路連接到終端使用者的那一段稱為「最後一哩」（last mile） 閘道器(Gateway) 網路中連接不同通訊 協定的電腦稱之為 閘道器 LAN 路由器 都會 網路

11 5.4 網際網路基礎建設： 通訊協定

12 OSI(Open System Interconnectin)七層網路參考架構
1.實體層（Physical Layer） 處理在實體傳輸媒質（如電纜、光纖、衛星等）上的位元資料（0或1）之傳輸 2.資料連結層（Data Link Layer） 處理資料封包，將要傳輸的資料封包區分成框架進行傳輸 3.網路層（Network Layer） 處理網路上傳輸封包的路徑和壅塞控制的問題 4.傳輸層（Transport Layer） 確保資料在網路層與會談層之間的傳輸品質

13 OSI(Open System Interconnectin)七層網路參考架構
5.會談層（Session Layer） 在節點間進行各使用者之間資料的交換形式，交換形式有單工、半雙工、及全雙工 6.展示層（Presentation Layer） 處理通訊雙方使用者與電腦溝通上資料格式的轉換 7.應用層（Application Layer） 處理網路應用程式間的資料傳輸，它可讓各種網路應用的使用者有效使用OSI環境

14 網際網路基礎建設：通訊協定 OSI網路七層架構

15 網際網路基礎建設：通訊協定 TCP/IP通訊協定 1.應用層（Application Layer）
大致結合OSI的應用層、展示層與會談層的功能，如HTTP等 2.傳輸層（Host-to-Host Transport Layer） 大致結合OSI的傳輸層，如TCP、UDP等 3.網際網路層（Internet Layer） 大致和OSI網路層一樣，如常見的IP運作等 4.網路界面層（Network Interface Layer） 大致結合OSI的資料連結層、與實體層，如常見的Ethernet、ATM、Frame Relay、Token Ring等

16 網際網路基礎建設：通訊協定 OSI與TCP/IP之比較

17 網際網路基礎建設：通訊協定 其他相關協定 1.網路位址（IP Address） 32位元所構成的數值來進行網路上定址的功能
可分為五個等級：Class A, B, C為實際定址用，Class D為廣播用，Class E 保留 2.網域名稱（Domain Name）與DNS 較為人類所熟悉與記憶的，代表電腦主機，相較於IP Address較利於電腦判讀 3.全球資源定址器（Uniform Resource Locator, URL） 「可以帶你到所要的資源所在地」，簡稱為網址

18 網際網路基礎建設：通訊協定 其他相關協定－ 4.HTTP
Hypertext Transfer Protocol，是瀏覽器與網站之間的通訊協定 5.SMTP、POP SMTP為在網路上送電子郵件到伺服器時所使用的通訊協定 POP為在網路上使用者從伺服器接收電子郵件到用戶端時所使用的通訊協定 6.WAP 一種開放式的無線應用軟體協定，主要是應用在數位式行動電話與其他相關的無線終端裝置上

19 5.5 電子商務基礎建設：管理

20 電子商務基礎建設：管理 圖四 網路管理的四項重點 網路效能管理 伺服器管理 安全管理 程式與資料管理

21 綜合擴充（hybrid scalability 垂直擴充（vertical scalability）
網頁伺服器採水平擴充，並以平衡負載器平衡多台網頁伺服器的流量。 資料庫伺服器採垂直擴充 垂直擴充（vertical scalability） 資料庫伺服器與企業邏輯應用伺服器上的重點在於「運算」，可以採用垂直擴充的方式，採用較強的CPU或是較多顆的CPU，來減少因為伺服器數量增加所帶來的複雜性。 水平擴充（horizontal scalability） 網頁伺服器的重點在「輸出」，可以採用水平擴充方式，並增加伺服器的數量以平衡流量。

22 5.6 電子商務資訊安全令人擔憂

23 電子商務資訊安全令人擔憂 圖六 為何電子商務的安全性令人擔憂? 電腦已經是企業與國家營運的基本工具 資訊安全威脅不容易被發現
網際網路是互聯的(匿名與距離性) 法律的周延 影響範圍更大 圖六 為何電子商務的安全性令人擔憂?

24 5.7 網路攻擊模式

25 網路攻擊模式 圖七 網路攻擊模式 攻擊客戶端的方法 攻擊網路端的方法 攻擊企業伺服器的方法 天災 內部管理與內賊 委外的系統 中斷服務 竄改
偽裝 竊聽 攻擊客戶端的方法 資料的複製 安裝鍵盤側錄程式 藉由他人電腦入侵網路 電腦病毒 惡意程式 安裝來路不明的軟體 圖七 網路攻擊模式

26 加密 文件 解密 Sender Receiver 網路攻擊模式 中斷 竊聽 竄改 偽造 圖八 網路攻擊模式

27 5.8 資訊安全金三角

28 資訊安全金三角 圖九 資訊安全金三角 技術安全 實體安全 程序安全 BS7799-I,II ISO17799 CNS17799, 17800
環境安全 人員控制 技術安全 防火牆 資料加密、認證 資料備份

29 防火牆 過濾的封包欄位 封包類型 來源主機IP 目的主機IP
封包過濾（Packet Filtering ） Internet 過濾的封包欄位 封包類型 來源主機IP 目的主機IP 來源TCP/UDP阜號碼：23, telnet. 25, SMTP. 80, WWW 目標TCP.UDP阜號碼 圖十 防火牆

30 5.9 資訊安全技術與數位簽章

31 電子商務安全要求 圖十一 電子商務安全要求 電子商務安全要求 說明 安全技術 隱密性（Confidentiality）
指傳送的訊息，只允許被授權的發送端與接收端知道 資料加密與解密技術 認證性(Authenticity) 確認訊息的來源正如同其所宣稱的 數位憑證(digital certificate) 與非對稱式加密法。 完整性（Integrity） 確認訊息沒有被更動過 訊息摘要與數位簽章技術 不可否認性(Non-repudiation) 訊息發送端不能否認曾經送出的訊息 數位簽章的技術與電子簽章法的規範 圖十一 電子商務安全要求

32 隱密性的保護：資料加解密技術 對稱式金鑰 非對稱式金鑰 （symmetric key or secrete key encryption）
（asymmetric key or public key encryption）: 優點：當多人使用，也可以有隱密性 缺點：加解密速度慢 每個人有兩個數學相關金鑰，私密金鑰個人保管，公開金鑰讓人人都可以拿到。加解密要用不同的金鑰。 優點：加解密的速度較快 缺點：當多人擁有相同的秘密金鑰時，在資訊安全上便有漏洞。 訊息的加密與解密，靠的都是同一把秘密金鑰（secrete key）。

33 明文 雜湊函數 訊息摘要 發送端私鑰 數位簽章 接收端公鑰 密文 接收端私鑰 發送端公鑰 發送端 接收端

34 SSL加密機制 1.伺服器端會先將自己的數位憑證傳送到使用者端 4.將密文與數位信封一起傳給伺服器
2.瀏覽器中通常包括有世界主要CA的公鑰，因此便能將數位憑證解密，取得CA所認證的伺服器資訊與伺服器端的公鑰。 3.隨機產生一個秘密金鑰。SSL利用此秘密金鑰對信用卡號加密成密文；再以伺服器端的公鑰對此秘密金鑰加密，成為數位信封。 4.將密文與數位信封一起傳給伺服器 5.伺服器先以私鑰解開數位信封取得此次交易所使用的對稱秘密金鑰，再交信用考號解密，完成一次SSL交易。 圖十四 SSL加密機制

35 課後習題 試說明網際網路的正式定義。 試說明電路交換（circuit switching）與分封交換（package switching）間的差異。 試說明網路架構基礎組成元件。 試說明TCP/IP所定義的網路層與各項服務。 試說明網路管理的四項重點。 試說明網際網路攻擊模式。 試說明資訊安全金三角。 試說明有哪些技術能達到隱密性、認證性、完整性與不可否認性四項目標。 試解釋什麼是數位簽章、SSL的運作方式。

36 課堂討論與想想看 若你在一家銀行（或其他行業）工作，試以向老闆說明的角度，解釋什麼是網際網路，並提出網際網路帶給銀行哪些資訊安全的威脅，以及因應之道。 如果你為學校的研究所考試放榜架設網路，你要如何管理網路效能？（提示：你必須要分析網頁是用動態還是靜態的設計？資料種類與頻寬需求。此外，查榜的人數會隨著放榜的天數而遞減，所以，你還要思考擴充或刪減的問題。） 隱密性：你要如何加解密？學生的考卷只有老師看得到，別人看不到。如果你的MSN只希望你女（男）朋友看得到。MP3只有付錢的人聽得到（數位版權）。機密文件只有實驗室的電腦能夠閱讀，到回家就無法閱讀。 認證性：你要如何加解密？今天總經理寄給你一封 ，說你加薪了，你要如何確定是總經理給你的 ？你怎麼知道某學校傳給你的研究所考取簡訊不是同學惡作劇？銀行寄給你的電子帳單如何確定那真是銀行而不是詐騙集團？你怎麼知道MSN的另一端真是你的朋友？ 網路報稅時，如何才能讓漏報的人「不可否認」？