1 / 49

電子商務支援服務 Chapter 9 電子商務安全與詐騙防範 Chapter 10  電子商務付費系統

電子商務支援服務 Chapter 9 電子商務安全與詐騙防範 Chapter 10  電子商務付費系統. Chapter 9. 電子商務安全與詐騙防範. 了解電子商務用資訊系統安全的重要性與範圍 說明電子商務安全的主要概念與範圍 學習關於主要的電子商務安全威脅、弱點及風險 了解網路釣魚以及其與金融犯罪的關係 說明資訊保證安全原則 找出並評估保護電子商務社群的主要技術與方法 說明保護電子商務網路之主要技術. Chapter 9. 電子商務安全與詐騙防範. 說明不同類型的控制與特別防禦機制

chapa
Télécharger la présentation

電子商務支援服務 Chapter 9 電子商務安全與詐騙防範 Chapter 10  電子商務付費系統

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 電子商務支援服務 Chapter 9電子商務安全與詐騙防範 Chapter 10 電子商務付費系統

  2. Chapter 9 電子商務安全與詐騙防範 • 了解電子商務用資訊系統安全的重要性與範圍 • 說明電子商務安全的主要概念與範圍 • 學習關於主要的電子商務安全威脅、弱點及風險 • 了解網路釣魚以及其與金融犯罪的關係 • 說明資訊保證安全原則 • 找出並評估保護電子商務社群的主要技術與方法 • 說明保護電子商務網路之主要技術

  3. Chapter 9 電子商務安全與詐騙防範 • 說明不同類型的控制與特別防禦機制 • 說明營運持續性與災害復原規劃的角色 • 討論企業全面性建置電子商務安全議題 • 了解為何遏止電腦犯罪是不可能的

  4. 9.1 資訊安全問題 1/4 • 何謂電子商務安全? 電腦安全(computer security)是資料、網路、電腦程式、電腦電源,以及其他電腦化資訊系統元件的保護。 電腦安全分為兩類:一般的(generic),關於任何資訊系統(如加密);電子商務相關的(EC-related),例如買家保護。

  5. 在2008年主要的網路攻擊事件

  6. 在2008年主要使用的安全防禦技術

  7. 9.1 資訊安全問題 4/4 • 電子商務網路安全問題的驅動力 按鍵側錄(keystroke logging)常被稱為keylogging,是一種擷取與記錄使用者按鍵的方法。

  8. 9.2 基本的電子商務安全議題與觀點 1/6 • 從了解電子商務安全議題上的主要術語開始: • 營運持續計畫(business continuity plan) • 網絡犯罪(cybercrime) • 暴露(exposure) • 詐騙(fraud) • 惡意軟體(malware/malicious software) • 網路釣魚(phishing)

  9. 基本的電子商務安全議題與觀點 2/6 • 風險(risk) • 社交工程(social engineering) • 垃圾電子郵件(spam) • 軟體弱點(vulnerability) • 殭屍病毒(zombie)

  10. 殭屍病毒:當電腦的作業系統或瀏覽器有漏洞時, 可能因為瀏覽了一個含有惡意程式的網站或是部落格,或是在網路上交換影音或音樂檔的同時, 就不知不覺也下載了病毒。駭客藉此遠端端控制你的電腦,不只會竊取個人隱私、監控上網活動,電腦還會像傀儡一樣被控制,變成駭客竊取他人電腦資料的幫兇!

  11. 電子商務安全戰場

  12. 基本的電子商務安全議題與觀點 4/6 • 威脅與攻擊:無意的與蓄意的 • 無意的威脅(unintentional threats): • 人為錯誤(human error) • 環境危害(environmental hazards) • 電腦系統的故障(malfunctions in the computer system) • 蓄意的攻擊與犯罪(intentional attacks and crimes)

  13. 基本的電子商務安全議題與觀點 5/6 • 在網際網路上進行蓄意的犯罪,被稱為網路犯罪(cybercrime),做這件事的人稱為網路罪犯(cybercriminal),可簡稱為罪犯(criminal),它包含了駭客與破解者。駭客(hacker)指的是某些人取得對公司系統未經授權的存取。破解者(cracker)則是一種惡意的駭客。 • 在一種稱為社交工程(social engineering)的策略中,罪犯計誘不被懷疑的內部人員給予他們資訊或讀取那些他們沒有的資料。

  14. 基本的電子商務安全議題與觀點 6/6 • 電子商務安全需求 • 電子商務防禦計畫與策略 這種策略將電子商務安全視為是遏止、防制、偵查組織的商標、身分、網站、電子郵件、資訊或其他資產被未經授權使用的流程。

  15. 9.3 技術性攻擊方法 1/3 • 軟體與系統知識被用於技術性攻擊(technical attack)。電腦病毒就是一種技術性攻擊的例子。 • 非技術性攻擊(nontechnical attack)是指使用詭計或假表格來欺騙使用者透露其安全資料,或執行某些動作來通過網路安全性檢查。 • 惡意軟體(malware/malicious software)是一種軟體,設計來不用經過擁有者同意甚至不用知道他們所知道的事,便可以進行滲入或破壞一個電腦系統。

  16. 技術性攻擊方法 2/3 • 惡意軟體包含電腦病毒(computer virus)、蠕蟲(worms)、特洛伊木馬病毒(Trojan horses)、多數木馬程式套件(rootkits)、間諜軟體(spyware)、不實的廣告軟體(adware)、犯罪軟體(crimeware)及其他惡意與不想要的軟體。 • 阻斷服務(denial of service, DoS)是一種攻擊,這種攻擊送出許多的需求去轟炸一個系統,讓它毀壞或不能及時回應服務。

  17. 技術性攻擊方法 3/3 • 網頁伺服器與網頁可能被劫持與安裝以便進行控制,或重新導向使用者至詐騙或網路釣魚網站。 • 一個殭屍網路(botnet)是一大群受劫持的網際網路電腦,這些電腦被設定來發送流量,包含垃圾郵件與病毒(回想章首案例),至其他在網際網路上的電腦。

  18. 9.4 網路釣魚、金融詐騙和廣告信 1/7 • 在電腦安全領域內,網路釣魚(phishing)是在電子通訊媒介(通常是電子郵件、即時訊息等)中,嘗試透過偽裝為一個值得信賴的實體如知名銀行、信用卡公司、大型社交網路或電信公司等,來獲取如使用者姓名、密碼與信用卡細節等機密資訊之犯罪、詐騙過程。 • 身分盜竊(identity theft)可視為是偷取一個人的身分;然後這個身分被某些偽裝為某人的人用來偷取錢財或取得其他利益。 • 身分詐騙(identity fraud)與身分盜竊有點不同,身分詐騙是關於非法的使用一個假身分進行詐騙。

  19. 如何完成網路釣魚之示意圖

  20. 垃圾電子郵件助長了網際網路股票詐騙 1/5 • 根據Lerer (2007)的研究報告,股票垃圾電子郵件改變了股票市場。研究人員發現,平均每位投資人在垃圾信宣傳期間(活動)買一張股票,然後在活動結束時賣出,結果造成他或她投資額大約5.5%的損失。相反地,垃圾郵件發送者在垃圾信宣傳活動發送前就買股票,在宣傳活動期間就將股票賣掉,創造了5.79%的投資報酬。

  21. 垃圾電子郵件助長了網際網路股票詐騙 2/5 • 聯邦政府在2007年3月8日登上報紙頭版,其對許多股價已受到操控的蚊型股採取了斷然措施。由美國證券交易委員會(Securities and Exchange Commission, SEC)帶頭的Operation Spamalot行動雖然成功,但是並沒有終止垃圾信件。垃圾電子郵件無法消除有兩個原因:它的確有效以及它能從中獲利。雖然加強了實施、警告及制定聯邦法律,但垃圾信不僅持續,而且更加興旺。想不出SEC還能做出什麼來阻止垃圾信發送。

  22. 垃圾電子郵件助長了網際網路股票詐騙 3/5 • 股票垃圾信的情況在過去幾年變得更糟。結束於2007年3月前的6個月期間,股票垃圾信訊息上升了120%,整體而言,股票的相關訊息使所有電子郵件垃圾信大約增加20%。SEC估計每週有1億封股票垃圾信訊息被傳送。

  23. 垃圾電子郵件助長了網際網路股票詐騙 4/5 • 技術發展增強了垃圾郵件發送者傳送垃圾電子郵件的能力。垃圾郵件發送者通常必須透過一台電腦來傳送所有訊息,這使他們容易被垃圾信過濾器鎖住。今日,垃圾郵件發送者透過被其所控制的殭屍網路(連結的電腦網路)傳送訊息。利用這額外的頻寬,他們傳送數十億封含有宣傳文字並夾帶圖檔的訊息――稱為圖片型垃圾郵件(image spam)。圖片型垃圾郵件看起來與一般垃圾郵件沒什麼兩樣,只是巧妙地躲避了反垃圾信程式,這些程式只會注意到文字,不會處理圖片或照片。

  24. 垃圾電子郵件助長了網際網路股票詐騙 5/5 • 在2006年期間,全球垃圾信數量成長了三倍。在六週的期間內,Secure Computing Research發現垃圾信有50%的成長。垃圾信現在占將近所有信件總量的90%。在那同時,現今占所有垃圾電子郵件總量30%的圖片型垃圾郵件則成長了三倍。

  25. 9.5 資訊保證模式與防禦策略 1/4 • 資訊保證模式(information assurance model, IA model)提供一個保護資訊系統對付未經授權存取或修改儲存、處理、傳送於網路之資訊的架構。資訊保證模式對電子商務的重要性,是它表現出經由確保它的隱密性、完整性及可取得性等,來保護資訊的流程。這個模式可以視為是CIA安全三角(CIA security triad),或簡稱為CIA三角(CIA triad)。 • 隱密性(confidentiality) • 完整性(integrity) • 可取得性(availability)

  26. CIA安全三角

  27. 資訊保證模式與防禦策略 3/4 • 所有CIA的功能依賴於認證。認證(authentication)需要以憑據形式呈現的證據,憑據可以有多種形式,包含一些已知的(如一個密碼)、持有的(如智慧卡)、獨特的(如數位簽章或指紋)。授權(authorization)需要使用與某一項被存取資源相關的存取控制資訊,來比較這個人或程式的資訊。不可否認性 (nonrepudiation)則是確保爭執中的一方無法否認或反駁一項聲明或契約有效性的概念。

  28. 電子商務安全架構

  29. 9.6 防禦一:存取控制、加密與PKI 1/8 • 存取控制(access control)機制決定誰(人、程式或機器)可以合法地使用網路資源,而又是哪一項資源可以被他、她或它所使用。 • 存取控制清單(access control list)決定哪一個使用者可以存取哪一個資源,以及對這些資源他們擁有哪一種權利。

  30. 防禦一:存取控制、加密與PKI 2/8 • 生物辨識控制(biometric control)是一種自動化的方法,它以一個人的身體或行為的特徵為基礎,對一個人的身分進行驗證。 • 生物辨識系統(biometric system)是以生物特徵為基礎之身分識別系統。 • 拇指指紋或指紋(thumbprint or fingerprint) • 視網膜掃描(retinal scan) • 聲音掃描(voice scan) • 簽章(signature)

  31. 加密元件

  32. 防禦一:存取控制、加密與PKI 4/8 • 對稱式(私密)金鑰加密(symmetric/private key encryption)中,使用相同一把鑰匙進行加密與解密明文。 • 公鑰(非對稱式)金鑰加密(public/asymmetric key encryption)使用一對相互配合的鑰匙――一個公鑰(public key),它可以公開給任何人;以及一個私鑰(private key),它僅可以給擁有者知道。

  33. 對稱式(私密)金鑰加密

  34. 防禦一:存取控制、加密與PKI 6/8 • 數位簽章(digital signature)或數位憑證(digital certificate)是一個人簽名的電子版本,它無法被偽造。數位簽章以公鑰為基礎。 • 憑證管理中心:名為憑證管理中心(certificate authority, CA)的第三方,核發數位憑證。一份憑證包含一些如擁有者的姓名、有效期間、公鑰資訊及憑證資料的簽名雜湊等。 • VeriSign (verisign.com)

  35. 數位簽章流程示意圖

  36. 防禦一:存取控制、加密與PKI 8/8 • 安全通道層通訊協定(Secure Socket Layer, SSL)是由Netscape創造用以認證與資料加密來確保隱私與機密的標準認證,SSL已成為由Microsoft與Netscape提供的網頁瀏覽器與伺服器所採用的現存標準。在1996年,SSL被改名為傳輸層安全(Transport Layer Security, TLS)。

  37. 9.7 防禦二:保護電子商務網路 1/3 • 防火牆 它是一個網路節點(node),包含硬體及將私有網路與公開網路隔絕的軟體。 • 虛擬私有網路 虛擬私有網路(virtual private network, VPN)使用公開的網際網路來傳送資訊,但是藉由一些方法的組合來保有隱私。

  38. 防禦二:保護電子商務網路 2/3 • 入侵偵測系統 入侵偵測系統(intrusion detection system, IDS)是一種軟體、硬體或軟硬體兩者,設計用來偵測想要非法透過網路存取、操控,或讓電腦系統不能運作的企圖。

  39. 防禦二:保護電子商務網路 3/3 • 誘捕網路與誘捕主機 誘捕網路是另一種能偵測與分析入侵的技術。誘捕網路(honeynet)或稱為蜜網,是由誘捕主機所構成的網路,這些誘捕主機被設計用以吸引駭客,就像花蜜吸引蜜蜂一樣。 誘捕主機(honeypot)屬資訊系統資源(防火牆、路由器、網頁伺服器、資料庫伺服器及其他相似設備)。 入侵測試(penetration test/pen test)是一種透過模擬來自惡意來源的攻擊,以評估電腦系統或網路安全的方法。

  40. 9.8 防禦三:一般控制與其他防禦機制 圖 9.11 主要防禦控制

  41. 9.9 營運持續、安全稽核與風險管理 1/6 • 營運持續計畫(business continuity plan)主要包含一個災害復原計畫,這個計畫指出一個企業將從一場重要災害中復原的程序。 • 風險管理分析

  42. 營運持續服務

  43. 營運持續與災害復原 1/4 • 依據FBI 2006 InfraGard國際會議的主席Freeman Mendel之研究,93%的公司在5年內會遭受重大的資料損失以致無法營運。即使營運持續/災害復原(BC/DR)是企業生存的議題,許多經理人仍危險地將BC/CR視為是一個IT安全議題。 • 災害給那些沒有建置BC/DR的IT經理人與企業主管上了最好的一課。這些過程的成功或者失敗端賴於IT,如下面的例子所示。

  44. 營運持續與災害復原 2/4 • 美國德州Houston市與Harris郡將Reliant Park與Houston Astrodome改造成一座具有醫療設備、藥局、郵局及市區的暫時性城市,供超過25萬名受Katrina颶風危害而疏散的人員居住。海岸防衛隊的指揮官Joseph J. Leonard領導這整個作業的執行,這個作業運用其在National Incident Command System中的知識。如Leonard解釋,在指揮部的人員與那些位在New Orleans的人員間沒有效率的溝通,造成了一連串的問題,那些New Orleans的人員應該已經通知Houston當局關於撤離人員的人數與特殊需求。除此以外,沒有授權臨場決策制定的機構與組織,讓事情沒有辦法好好地完成。

  45. 營運持續與災害復原 3/4 • 現在在颶風路徑、地震帶及主要的城市都部署了BC/DR計畫,輔以軟體支援,讓他們可以複製、備份重要的應用系統至遠離該主要資料中心的地方。在遭受災害的情況下,公司可以傳輸重要的會計、專案管理或交易系統與紀錄,至他們的災害復原設施,除了在主要位置的損壞以外,停工與資料損失都會減少。

  46. 營運持續與災害復原 4/4 • 在全球,管理者逐漸地更加注意營運持續與復原時間,現在它的衡量單位是以小時計而不是以天來計算。在2005年4月,澳大利亞金融監理機關Australian PrudentialRegulation Authority (APRA)發行其在營運持續方面的執行標準。APRA僅給予澳大利亞的公司12個月的時間去修正其與該執行標準間的差異。

  47. 9.10 建置企業全面性電子商務安全 1/2 • 一個電子商務安全策略與措施的成功,依賴於管理高層的承諾與參與,這常稱為「從頂端定調」(tone at the top)。 圖 9.14 企業面電子商務安全與隱私模式

  48. 9.10 建置企業全面性電子商務安全 2/2 • 下面是網際網路犯罪為何難以防範的主要原因: • 線上購物會變得不方便 • 信用卡發卡單位間缺乏合作 • 購物者的疏忽 • 忽視實現電子商務安全的最佳做法 • 設計與架構議題 • 執行業務缺乏應有的責任與關心

More Related