网路安全交易机制.ppt

網路安全交易機制,教授:莊裕澤組員:R88725003 吳巴珊R88725023 顏東寬,大型企業會要求他們的電子商務伙伴執行電腦安全的控管，以達到某種程度以上的安全標準。越來越多的企業在重整其內部的資訊系統的時候，將安全的考量納入整體系統的設計中。產業龍頭企業所發展的特殊安全規格，將會整合到業界普遍採行的安全標準。安全稽核人員可以用此一標準作為審核企業電腦系統安全的基準。一旦電腦安全標準成形，且可以客觀衡量時，會有更多的保險業者提出保障網路活動安全的保險種類。會有更多的系統安全工作委外進行。目前防火牆設備多由企業內部自行建置維護，未來將發展出分散式的防火牆設備。而且，為了作到全天候的系統保護，將會出現防火牆代管的委外服務。隨著系統安全業務委外的盛行，將出現許多小規模的電腦安全公司，而這些小公司會逐漸整合或併購入大公司中。電腦系統入侵偵測(Intrusion detection monitoring)的業務委外將成業界趨勢，以做到全天候的偵測，並解決全球入侵偵測分析專家不足的窘境。但是屬於殺手級的偵測工具在2001年還不會出現。,2001年十大網路安全趨勢,2001年十大網路安全趨勢(Contd),系統管理人員必須經過系統安全的訓練課程，並最好具備系統安全認證。軟體業者除了提出軟體的修補程式外，會進一步提醒軟體使用者安裝修補程式，並將提供自動安裝修補程式的服務，或是發展出可以自行更正修補的軟體。無線傳輸技術將快速發展，並將成為普遍的資訊交流媒體。至於無線技術的安全性，傳輸過程將由加密等機制來保護，但用戶端的設備安全將會是整個安全保護中，最弱的一環。在電腦數量及網路用戶不斷增加的情況下，電腦系統安全人員的短缺情況將更加嚴重。PKI的技術及應用將持續進展，但不會有爆炸性的突破。到了2001年，絕大部份網路活動的身份認證仍將藉由密碼和PIN進行。,Source from SANS(System Administration,Networking,and Security),2001年網路安全攻擊趨勢,網路攻擊的演變:第一波 攻擊有形的電子設備第二波 攻擊網路運作邏輯 第三波 攻擊資料以及蘊含在資料中的意義第三波網路攻擊的方法:網路謠言、假造的訊息發佈、竄改資料庫內容第三波網路攻擊的對象:“系統”“人”,分類:B2B、B2C、C2C、B2B2C對象:消費者、銀行、廠商、認證機構付款機制:(參考:付款機制的規劃.doc)現金(貨到付款)信用卡付款(線上付款,傳真線上表格)轉帳郵政劃撥儲值信託付款,網路交易,一、安全控管風險技術面:駭客入侵、病毒、資料傳輸安全管理面:人員管制二、功能異常風險網站操作錯誤疏忽致使客戶資料外洩或銷毀實體損失風險：火災、竊盜、惡意破壞三、多媒體風險違反軟體版權、商標法、毀謗、不當揭露個人資訊等,網路交易風險,一、人性面NOKIA slogan:科技始終來至於人性二、法律面偽造、變造電子付款系統工具 觸犯刑法第二百零一條第一項之偽造有價證券罪冒用電子付款系統工具 觸犯刑法第三百三十九條之普通詐欺罪截取電子付款資訊/電子文件 觸犯刑法第三百二十條之普通竊盜罪竄改電子付款資訊/電子文件 觸犯刑法第三百五十二條之毀損文書罪,網路安全交易,三、資訊面基本資料透明化公司基本資料、隱私權政策及網站使用政策透明化 交易資訊透明化 產品資訊、訂單處理及付款處理透明化 後續處理資訊透明化物流處理、退換貨處理、設備安全政策及客戶服務與申訴管道(參考:從國際觀點談網路安全交易標準.doc),網路交易安全(Contd),四、技術面SSL（Secure Socket Layer）網路交易上最通用的安全機制，由Netscape所開發。傳送時自動被加密在接受端被解密，是一種採用兩端加密的保護措施。SSL主要功能鑑別機制：確定網站的合法性，國內代理商為Hitrust。訊息隱私性：確保網路中傳輸的資料不被竊取。訊息完整性：確保網路中傳輸的資料不被更改。如何判別傳輸受SSL保護 進入SSL保護前電腦螢幕應會出現一個安全性警告的視窗。瀏覽器的下方也會出現一個鎖頭密合的鎖。網址Http:會改為Https:,網路交易安全(Contd),四、技術面(Contd)SSL網路購物交易流程 1.消費者瀏覽網路商店並決定選購商品。2.消費者填寫訂購數量、送貨地址等細節(受SSL保護)。3.消費者以信用卡付款，輸入卡號及有效日期(受SSL保護)。4.消費者送出確認訂購訊息與付款指示給特約商店(受SSL保護)。5.特約商店發出授權要求給收單銀行(特約商店與銀行間作業)。6.銀行回覆授權碼(特約商店與銀行間作業)。7.特約商店發出訂貨確認給消費者(特約商店與銀行間作業)。8.特約商店將貨品交付消費者。9.特約商店向銀行收單行請款(特約商店與銀行間作業)。,網路交易安全(Contd),四、技術面(Contd)SSL的優缺點優點1.設置成本低。2.消費者購物不需輸入任何認證資料。缺點1.消費者身分不用事先確認，網路商店的風險提高。2.商家與收單行間作業流程尚無國際標準。3.客戶的資料仍保留在商家。(參考:SSL與SET安全機制的優劣比較.doc),網路交易安全(Contd),四、技術面(Contd)SET(Secure Electronic Transaction)由VISA、MasterCard、IBM、Microsoft、Netscape、GTE、VeriSign、SAIC、Teresa等公司聯合制訂，運用RSA資料安全的公開鑰匙加密技術，保護交易資料之安全及隱密性。SET的架構 電子錢包(Electronic Wallet)。電子證書(Digital Certificate)。付款轉接站(Payment Gateway)。認證中心(Certification Authority)。,網路交易安全(Contd),四、技術面(Contd)SET網路交易模式,網路交易安全(Contd),四、技術面(Contd)SET網路交易流程,網路交易安全(Contd),四、技術面(Contd)SET與SSL之比較.tw,網路交易安全(Contd),SSL與SET所確保的對象不外乎傳輸過程的安全，然而無法確保的問題，仍在於人。消費者與銀行常忽略的問題，是網路商家業者欠缺對消費者隱私權尊重的問題。業者未要求員工切結對於消費者隱私權的保障的時候，消費者的信用卡卡號、密碼、身份證帳號等等個人財務資料，極易被別有用心的員工知悉，如果該商家並未要求每一位員工簽署保密條款，如果每一位員工並未具有相關的認知與應有的職業道德；那麼消費者的權益就極為容易遭人利用、盜取。技術面的保密機制或許只是整體網路安全交易中最為浮面的一環，而有效確保網路安全交易的真正關鍵仍在於人本身的認知與意識，唯有廠商、銀行、消費者三方對於應有的權益都具備一定的瞭解與尊重的時候，真正的網路安全交易才有希望達成。,SSL、SET安全嗎?,