电子商务资讯安全

網站建置與資訊安全電子商務資訊安全

2026/4/172為何電子商務的安全性令人擔憂？實體商務也擔心安全-但數位化的偽造數量會很多網際網路是互聯的（匿名與距離性）網際網路是數位的-較難蒐證電腦是儲存資料的工具-國防安全電腦可程式化-犯罪行動可大量複製法律的周延性不足-立法,蒐證,判決者的資訊素養2026/4/173不確定性對購物意願之影響

2026/4/174資訊安全特性2026/4/175資訊安全特性電子商務安全的基本要求：2026/4/176網路安全攻擊

攻擊客戶端的方法電腦的實際入侵電腦病毒與惡意程式的散佈威脅電子商務安全的人駭客犯罪者競爭對手內部員工攻擊企業伺服器與網路端的方法：中斷(Interrupt)服務介入(Interception)or竊聽-資訊安全需維持「隱密性」篡改(Modification)-破壞內容的「完整性」假造(Fabrication)-資訊安全需達到可「認證性」2026/4/177中斷

(Interrupt)訊息沒被收到！2026/4/178介入

(Interception)資料被截取竊讀！2026/4/179篡改

(Modification)收到錯誤訊息！2026/4/1710假造

(Fabrication)收到偽造訊息！2026/4/1711資訊安全金三角實體安全環境安全-Ex:機房控管人員控制程序安全網路安全訓練存取權力與需要相符簽入程序人事控制技術安全(最後一道防線)防火牆-隔離企業內外的網路環境資料加密、認證資料備份(異地備援)完整的入侵偵測與回應計畫2026/4/1712認證：身份識別-1

為確認進行交易的是當事人本人現行常見的身份識別機制資料詢問(Ex:身份證號、安全問題)印章簽名密碼(可能被破解盜用)數位簽章實體卡片(Ex:自然人憑證)2026/4/1713認證：身份識別-2新型的身份識別機制無需電子證書的數位簽章銀行直接從資料庫中取出客戶金鑰進行驗證，效率較高。避免PKI的複雜程序。省去建立CA的成本。能在對客戶原先習慣造成最少改變的情況下，提高識別效率的安全機制。生物特徵識別指紋、掌紋、視網膜、聲紋、臉部特徵識別。動態簽章識別參考簽章的速度與力道2026/4/1714加密技術

2026/4/1715加密技術精神與種類加密技術的精神運用加解密技術，將訊息轉換為密文

(Ciphertext)。所以即使訊息在中途遭到攔截，其也無法解讀。通訊雙方共享某機密資訊，例如加解密用的金鑰

(Key)。唯有擁有此資訊者，才能解讀加密過的訊息。公正第三者：擔任機密資訊

(如金鑰)的保管與分配。當通訊雙方發生爭議時，則可扮演仲裁者的角色。負責認證通訊雙方的身份，並核發公開金鑰證書。訊息加解密的方式，又可分為兩大類：對稱式密碼系統

(SymmetricKeyCryptosystem)非對稱式密碼系統

(AsymmetricKeyCryptosystem)2026/4/1716對稱式密碼系統-1PrivateKeyCryptosystem使用者必須產生一把自己的金鑰(Key)，由數個位元(Byte)所組成並用這把金鑰與資料作數位運算，以產生「密文(Ciphertext)」2026/4/1717對稱式密碼系統-2

解密

演算法

原文

原文

密文

加密

演算法

私鑰私鑰2026/4/1718對稱式密碼系統-3資料加密標準DataEncryptionStandard，簡稱DES基本原理，就是混淆

(Confusion)及擴散

(Diffusion)。所謂混淆，就是將明文轉換成其它的樣子所謂擴散，則是指明文中的任何一個小地方的變更，都將之擴散到密文的各部分DES最主要的優點就在於加解密速度快，並且可以用硬體實作。主要的缺點則是金鑰的傳輸過程必須絕對地安全。2026/4/1719非對稱式密碼系統-1公開金鑰加密法PublicKeyEncryption其中一把可以向他人公開的，稱為「公鑰(PublicKey)」，另一把必須自己保存，且不可公開的稱為「私鑰(PrivateKey)」非對稱式密碼系統具有下列工作項目：金鑰管理(KeyManagement)數位簽章(Digitalsignature)資料真確性(Integrity)無法否認性(Non-repudiation)2026/4/1720非對稱式密碼系統-2

解密

演算法

原文

原文

密文

加密

演算法

以公鑰加密

以私鑰解密

2026/4/1721非對稱式密碼系統-3非對稱式加密法的運作方式如下：假設B小姐想傳送機密資料給A先生。A先生必須先將自己的「公鑰」傳送給B小姐（不需任何保護即可，因為「公鑰」本身就是可以公開的）。接著B小姐將資料用A先生的「公鑰」加密過後傳送過去。A先生接收到後，只要用自己的「私鑰」就可以解開這份資料即使中途被截取，也無法揭露訊息內容。RSA技術Rivest、Shamir、Adleman三位學者發表的RSA原理，其運作主要來自以下數學原理：尤拉函數(Euler’sFunction)費碼定理(Fermat’sTheorem)尤拉定理(Euler’sTheorem)有加密速度較慢的問題2026/4/1722資訊安全技術隱密性的保護：資料加解密技術對稱式金鑰或秘密金鑰（symmetrickeyorsecretekeyencryption）加解密演算法非對稱式金鑰或公開金鑰加解密演算法（asymmetrickeyorpublickeyencryption）認證性的執行：數位憑證技術公正客觀的第三者：憑證中心（CertificateAuthority,CA）數位憑證（digitalcertificate）是一個以CA私密金鑰加密的檔案，內含有個人的資訊與公開金鑰。2026/4/1723數位簽章完整性與不可否認性的保護：數位簽章技術數位簽章（DigitalSignature）是以發送端的私鑰，對訊息摘要加密的檔案訊息摘要（messagedigest）是將傳送文件的本文，經過單向函數產生的一個固定長度的文數字，而且與本文之間是獨一的對應關係單向函數（onewayfunction,orhashfunction）讓本文變成訊息摘要很容易，但是反向的由訊息摘要產生本文卻非常困難2026/4/1724數位簽章

(DigitalSignature)主要在確定兩件事情：這份文件到底是不是B先生的「親筆簽名」？如果檢查通過後，再確認文件在傳遞過程中有無被他人竄改過。2026/4/1725數位簽章之產生

雜湊函數私鑰2026/4/1726數位簽章之解讀

雜湊函數公鑰2026/4/1727電子憑證

電子憑證

(DigitalCertificate)又稱「數位證書」主要是用來證明公鑰效力的電子證書。相當於我們在網路上的證明文件，證明這一把公鑰的擁有者就是證書上所記載的使用者。電子憑證的內容包括以下欄位：版本

(Version)序號

(SerialVersion)演算法

(AlgorithmIdentifier)發證者

(Issuer)發證者識別碼

(IssuerUniqueIdentifier)使用者

(Subject)使用者識別碼

(SubjectUniqueIdentifier)公鑰資訊

(PublicKeyInformation)有效日期

(PeriodofValidity)2026/4/1728電子憑證瀏覽器中內建的電子憑證2026/4/1729電子憑證認證中心(CertificationAuthority，簡稱CA)ITU-T的

X.509，可說是金鑰管理系統的始祖。TTP：可信賴之第三者

(TrustedThirdParty);公鑰之認證單位。若要讓這份電子憑證獲得信賴，則必須由一個可以信賴的來源為此份證書作背書，而此信賴的來源稱為認證中心，其乃負責發出公開金鑰的使用憑證。買賣雙方在獲得自己的憑證後，在未來進行電子交易時可用以表明自己身份並確認對方的身份，以防止交易雙方事後否認交易的事情發生。「憑