网路安全交易机制.ppt

網路安全交易機制,教授: 莊裕澤 組員: R88725003 吳巴珊 R88725023 顏東寬,大型企業會要求他們的電子商務伙伴執行電腦安全的控管，以達到某種程度以上的安全標準。越來越多的企業在重整其內部的資訊系統的時候，將安全的考量納入整體系統的設計中。 產業龍頭企業所發展的特殊安全規格，將會整合到業界普遍採行的安全標準。安全稽核人員可以用此一標準作為審核企業電腦系統安全的基準。 一旦電腦安全標準成形，且可以客觀衡量時，會有更多的保險業者提出保障網路活動安全的保險種類。 會有更多的系統安全工作委外進行。目前防火牆設備多由企業內部自行建置維護，未來將發展出分散式的防火牆設備。而且，為了作到全天候的系統保護，將會出現防火牆代管的委外服務。隨著系統安全業務委外的盛行，將出現許多小規模的電腦安全公司，而這些小公司會逐漸整合或併購入大公司中。 電腦系統入侵偵測(Intrusion detection monitoring)的業務委外將成業界趨勢，以做到全天候的偵測，並解決全球入侵偵測分析專家不足的窘境。但是屬於殺手級的偵測工具在2001年還不會出現。,2001年十大網路安全趨勢,2001年十大網路安全趨勢(Contd),系統管理人員必須經過系統安全的訓練課程，並最好具備系統安全認證。 軟體業者除了提出軟體的修補程式外，會進一步提醒軟體使用者安裝修補程式，並將提供自動安裝修補程式的服務，或是發展出可以自行更正修補的軟體。 無線傳輸技術將快速發展，並將成為普遍的資訊交流媒體。至於無線技術的安全性，傳輸過程將由加密等機制來保護，但用戶端的設備安全將會是整個安全保護中，最弱的一環。 在電腦數量及網路用戶不斷增加的情況下，電腦系統安全人員的短缺情況將更加嚴重。 PKI的技術及應用將持續進展，但不會有爆炸性的突破。到了2001年，絕大部份網路活動的身份認證仍將藉由密碼和PIN進行。,Source from SANS (System Administration, Networking, and Security),2001年網路安全攻擊趨勢,網路攻擊的演變: 第一波 攻擊有形的電子設備 第二波 攻擊網路運作邏輯 第三波 攻擊資料以及蘊含在資料中的意義 第三波網路攻擊的方法: 網路謠言、假造的訊息發佈、竄改資料庫內容 第三波網路攻擊的對象: “系統” “人”,分類: B2B、B2C、C2C、B2B2C 對象: 消費者、銀行、廠商、認證機構 付款機制: (參考: 付款機制的規劃.doc) 現金 (貨到付款) 信用卡付款 (線上付款, 傳真線上表格) 轉帳 郵政劃撥 儲值 信託付款,網路交易,一、安全控管風險 技術面: 駭客入侵、病毒、資料傳輸安全 管理面: 人員管制 二、功能異常風險 網站操作錯誤疏忽致使客戶資料外洩或銷毀 實體損失風險：火災、竊盜、惡意破壞 三、多媒體風險 違反軟體版權、商標法、毀謗、不當揭露個人資訊等,網路交易風險,一、人性面 NOKIA slogan: 科技始終來至於人性 二、法律面 偽造、變造電子付款系統工具 觸犯刑法第二百零一條第一項之偽造有價證券罪 冒用電子付款系統工具 觸犯刑法第三百三十九條之普通詐欺罪 截取電子付款資訊/電子文件 觸犯刑法第三百二十條之普通竊盜罪 竄改電子付款資訊/電子文件 觸犯刑法第三百五十二條之毀損文書罪,網路安全交易,三、資訊面 基本資料透明化 公司基本資料 、隱私權政策及網站使用政策透明化 交易資訊透明化 產品資訊、訂單處理及付款處理透明化 後續處理資訊透明化 物流處理、退換貨處理、設備安全政策及客戶服務與申訴管道 (參考: 從國際觀點談網路安全交易標準.doc),網路交易安全(Contd),四、技術面 SSL （Secure Socket Layer） 網路交易上最通用的安全機制，由Netscape所開發。 傳送時自動被加密在接受端被解密，是一種採用兩端加密的保護措施。 SSL主要功能 鑑別機制：確定網站的合法性，國內代理商為Hitrust。 訊息隱私性：確保網路中傳輸的資料不被竊取。 訊息完整性：確保網路中傳輸的資料不被更改。 如何判別傳輸受SSL保護 進入SSL保護前電腦螢幕應會出現一個安全性警告的視窗。 瀏覽器的下方也會出現一個鎖頭密合的鎖。 網址Http:會改為Https:,網路交易安全(Contd),四、技術面(Contd) SSL網路購物交易流程 1.消費者瀏覽網路商店並決定選購商品。 2.消費者填寫訂購數量、送貨地址等細節 (受SSL保護) 。 3.消費者以信用卡付款，輸入卡號及有效日期 (受SSL保護)。 4.消費者送出確認訂購訊息與付款指示給特約商店 (受SSL保護)。 5.特約商店發出授權要求給收單銀行 (特約商店與銀行間作業)。 6.銀行回覆授權碼 (特約商店與銀行間作業)。 7.特約商店發出訂貨確認給消費者 (特約商店與銀行間作業)。 8.特約商店將貨品交付消費者。 9.特約商店向銀行收單行請款 (特約商店與銀行間作業)。,網路交易安全(Contd),四、技術面(Contd) SSL的優缺點 優點 1.設置成本低。 2.消費者購物不需輸入任何認證資料。 缺點 1.消費者身分不用事先確認，網路商店的風險提高。 2.商家與收單行間作業流程尚無國際標準 。 3.客戶的資料仍保留在商家 。 (參考: SSL與SET安全機制的優劣比較.doc),網路交易安全(Contd),四、技術面(Contd) SET (Secure Electronic Transaction) 由VISA、MasterCard、IBM、Microsoft、Netscape、GTE、VeriSign、SAIC、Teresa等公司聯合制訂，運用RSA資料安全的公開鑰匙加密技術，保護交易資料之安全及隱密性。 SET的架構 電子錢包 (Electronic Wallet) 。 電子證書 (Digital Certificate) 。 付款轉接站 (Payment Gateway) 。 認證中心 (Certification Authority) 。,網路交易安全(Contd),四、技術面(Contd) SET網路交易模式,網路交易安全(Contd),四、技術面(Contd) SET網路交易流程,網路交易安全(Contd),四、技術面(Contd) SET與SSL之比較 Source from www.SET.com.tw,網路交易安全(Contd),SSL與SET所確保的對象不外乎傳輸過程的安全，然而無法確保的問題，仍在於人。消費者與銀行常忽略的問題，是網路商家業者欠缺對消費者隱私權尊重的問題。 業者未要求員工切結對於消費者隱私權的保障的時候，消費者的信用卡卡號、密碼、身份證帳號等等個人財務資料，極易被別有用心的員工知悉，如果該商家並未要求每一位員工簽署保密條款，如果每一位員工並未具有相關的認知與應有