為何電子商務的安全性令人擔憂？ 電子商務資訊安全 實體商務也擔心安全-但數位化的偽造數量會更多更快

Presentation on theme: "為何電子商務的安全性令人擔憂？ 電子商務資訊安全 實體商務也擔心安全-但數位化的偽造數量會更多更快"— Presentation transcript:

1 為何電子商務的安全性令人擔憂？ 電子商務資訊安全 實體商務也擔心安全-但數位化的偽造數量會更多更快
網際網路是互聯的-匿名就找不到？距離遠就不會發現？ 網際網路是數位的-較難蒐證 電腦是儲存資料的工具-國防安全 電腦可程式化-犯罪行動可大量複製(入侵100台主機vs.偷100家便利商店) 法律的周延性不足-立法,蒐證,判決者的資訊素養

2 攻擊客戶端的方法 攻擊企業伺服器與網路端的方法 威脅電子商務安全的人 網路攻擊模式 電腦的實際入侵 電腦病毒與惡意程式的散佈 中斷服務
竄改- 破壞內容的「完整性」 偽造- 資訊安全需達到可「認證性」 竊聽- 資訊安全需維持「隱密性」 威脅電子商務安全的人 駭客 犯罪者 競爭對手 內部員工

3 資訊安全金三角 實體安全 程序安全 技術安全(最後一道防線) 環境安全- Ex: 機房控管 人員控制 網路安全訓練 存取權力與需要相符
簽入程序 人事控制 技術安全(最後一道防線) 防火牆- 隔離企業內外的網路環境 資料加密、認證 資料備份 (異地備援) 完整的入侵偵測與回應計畫

4 資訊安全技術與數位簽章 電子商務安全的基本要求 隱密性（Confidentiality） 認證性（Authenticity）
完整性（Integrity） 不可否認性（Non-repudiation）

5 資訊安全技術與數位簽章 隱密性的保護：資料加解密技術 認證性的執行：數位憑證技術
對稱式金鑰或秘密金鑰（symmetric key or secrete key encryption）加解密演算法 非對稱式金鑰或公開金鑰加解密演算法（asymmetric key or public key encryption） 認證性的執行：數位憑證技術 公正客觀的第三者：憑證中心（Certificate Authority, CA） 數位憑證（digital certificate）是一個以CA私密金鑰加密的檔案，內含有個人資訊與公開金鑰。

6 資訊安全技術與數位簽章 完整性與不可否認性的保護：數位簽章技術
數位簽章（Digital Signature）指的是以發送端的私鑰，對訊息摘要加密的檔案 訊息摘要（message digest）指的是將傳送文件的本文，經過單向函數產生的一個固定長度的文數字，而且與本文之間是獨一的對應關係 單向函數（one way function, or hash function）讓本文變成訊息摘要很容易，但是反向的由訊息摘要產生本文卻非常困難

7 資訊安全技術與數位簽章 速度的考量：數位信封 綜合應用：SSL
以對稱式加解密演算法對大量明文加密，為了安全傳遞秘密金鑰，秘密金鑰再以非對稱式的方式加密，這種加密後的檔案，便叫做「數位信封」 綜合應用：SSL

8 ＳＳＬ加密流程 商 店 店 家 資 訊 顧 客 C A 認 進行認證 證 機 構 店家 CA 資訊 公 (包含店家 KEY 公KEY) 解
+ CA私 KEY CA 公 KEY 解 密 包 含 店 家 公 key 數位憑證

9 ＳＳＬ加密流程 顧客信用卡號+ 隨機金鑰 +店家公KEY 隨機金鑰 亂碼+ 數位信封 店家用店私key解密 亂碼+ 隨機金鑰 解密 信用卡號