《网路安全交易机制.ppt》由会员分享,可在线阅读,更多相关《网路安全交易机制.ppt(16页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网路安全交易机制 Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望1.1.大型企業會要求他們的電子商務伙伴執行電腦安全的控管,以達到某大型企業會要求他們的電子商務伙伴執行電腦安全的控管,以達到某種程度以上的安全標準。越來越多的企業在重整其內部的資訊系統的種程度以上的安全標準。越來越多的企業在重整其內部的資訊系統的時候,將安全的考量納入整體系統的設計中。時候,將安全的考量納入整體系統的設計中。2.2.產業龍頭產業龍頭產業龍頭產業龍頭企業所發展的特殊安全規格,將會整合到
2、業界普遍採行的安企業所發展的特殊安全規格,將會整合到業界普遍採行的安全標準。安全稽核人員可以用此一標準作為審核企業電腦系統安全的全標準。安全稽核人員可以用此一標準作為審核企業電腦系統安全的基準。基準。3.3.一旦電腦安全標準成形,且可以客觀衡量時,會有更多的一旦電腦安全標準成形,且可以客觀衡量時,會有更多的保險業者保險業者保險業者保險業者提提出保障網路活動安全的保險種類。出保障網路活動安全的保險種類。4.4.會有更多的系統安全工作委外進行。目前防火牆設備多由企業內部自會有更多的系統安全工作委外進行。目前防火牆設備多由企業內部自行建置維護,未來將發展出行建置維護,未來將發展出分散式的防火牆設備分
3、散式的防火牆設備分散式的防火牆設備分散式的防火牆設備。而且,為了作到全。而且,為了作到全天候的系統保護,將會出現防火牆代管的委外服務。隨著系統安天候的系統保護,將會出現防火牆代管的委外服務。隨著系統安全業務委外的盛行,將出現許多小規模的電腦安全公司,而這些小公全業務委外的盛行,將出現許多小規模的電腦安全公司,而這些小公司會逐漸整合或併購入大公司中。司會逐漸整合或併購入大公司中。5.5.電腦系統入侵偵測電腦系統入侵偵測(Intrusion detection monitoring)Intrusion detection monitoring)的業務委外將成的業務委外將成業界趨勢,以做到全天候的偵
4、測,並解決全球入侵偵測分析專家不足業界趨勢,以做到全天候的偵測,並解決全球入侵偵測分析專家不足的窘境。但是屬於殺手級的偵測工具在的窘境。但是屬於殺手級的偵測工具在20012001年還不會出現。年還不會出現。2001年十大年十大網路安全網路安全趨勢趨勢2001年十大年十大網路安全網路安全趨勢趨勢(Contd)6.6.系統管理人員必須經過系統安全的訓練課程,並最好具備系統安全認系統管理人員必須經過系統安全的訓練課程,並最好具備系統安全認證。證。7.7.軟體業者除了提出軟體的修補程式外,會進一步提醒軟體使用者安裝軟體業者除了提出軟體的修補程式外,會進一步提醒軟體使用者安裝修補程式,並將提供自動安裝修
5、補程式的服務,或是發展出可以自行修補程式,並將提供自動安裝修補程式的服務,或是發展出可以自行更正修補的軟體。更正修補的軟體。8.8.無線傳輸技術將快速發展,並將成為普遍的資訊交流媒體。至於無線無線傳輸技術將快速發展,並將成為普遍的資訊交流媒體。至於無線技術的安全性,傳輸過程將由加密等機制來保護,但技術的安全性,傳輸過程將由加密等機制來保護,但用戶端用戶端的設備安的設備安全將會是整個安全保護中,最弱的一環。全將會是整個安全保護中,最弱的一環。9.9.在電腦數量及網路用戶不斷增加的情況下,在電腦數量及網路用戶不斷增加的情況下,電腦系統安全人員電腦系統安全人員的短缺的短缺情況將更加嚴重。情況將更加嚴
6、重。10.10.PKIPKI的技術及應用將持續進展,但不會有爆炸性的突破。到了的技術及應用將持續進展,但不會有爆炸性的突破。到了20012001年,年,絕大部份網路活動的身份認證仍將藉由密碼和絕大部份網路活動的身份認證仍將藉由密碼和PINPIN進行。進行。Source from SANS(System Administration,Networking,and Security)2001年年網路安全網路安全攻擊趨勢攻擊趨勢網路攻擊的網路攻擊的演變演變演變演變:第一波第一波 攻擊有形的電子設備攻擊有形的電子設備第二波第二波 攻擊網路運作邏輯攻擊網路運作邏輯 第三波第三波 攻擊資料以及蘊含在資料中
7、的意義攻擊資料以及蘊含在資料中的意義第三波網路攻擊的第三波網路攻擊的方法方法方法方法:網路謠言、假造的訊息發佈、竄改資料庫內容網路謠言、假造的訊息發佈、竄改資料庫內容第三波網路攻擊的第三波網路攻擊的對象對象對象對象:“:“系統系統”“人人”分類分類分類分類:B2BB2B、B2CB2C、C2CC2C、B2B2CB2B2C對象對象對象對象:消費者、銀行、廠商、認證機構消費者、銀行、廠商、認證機構付款機制付款機制付款機制付款機制:(參考參考:付款機制的規劃付款機制的規劃.docdoc)現金現金(貨到付款貨到付款)信用卡付款信用卡付款(線上付款線上付款,傳真線上表格傳真線上表格)轉帳轉帳郵政劃撥郵政劃
8、撥儲值儲值信託付款信託付款網路交易一、安全控管風險一、安全控管風險技術面技術面:駭客入侵、病毒、資料傳輸安全駭客入侵、病毒、資料傳輸安全管理面管理面:人員管制人員管制二、功能異常風險二、功能異常風險網站操作錯誤疏忽致使客戶資料外洩或銷毀網站操作錯誤疏忽致使客戶資料外洩或銷毀實體損失風險:火災、竊盜、惡意破壞實體損失風險:火災、竊盜、惡意破壞三、多媒體風險三、多媒體風險違反軟體版權、商標法、毀謗、不當揭露個人資違反軟體版權、商標法、毀謗、不當揭露個人資訊等訊等網路交易風險一、人性面一、人性面一、人性面一、人性面NOKIA slogan:NOKIA slogan:科技始終來至於人性科技始終來至於人
9、性二、法律面二、法律面二、法律面二、法律面偽造、變造電子付款系統工具偽造、變造電子付款系統工具偽造、變造電子付款系統工具偽造、變造電子付款系統工具 觸犯刑法第二百零一條第一項之偽造有價證券罪觸犯刑法第二百零一條第一項之偽造有價證券罪冒用電子付款系統工具冒用電子付款系統工具冒用電子付款系統工具冒用電子付款系統工具 觸犯刑法第三百三十九條之普通詐欺罪觸犯刑法第三百三十九條之普通詐欺罪截取電子付款資訊截取電子付款資訊截取電子付款資訊截取電子付款資訊/電子文件電子文件電子文件電子文件 觸犯刑法第三百二十條之普通竊盜罪觸犯刑法第三百二十條之普通竊盜罪竄改電子付款資訊竄改電子付款資訊竄改電子付款資訊竄改電
10、子付款資訊/電子文件電子文件電子文件電子文件 觸犯刑法第三百五十二條之毀損文書罪觸犯刑法第三百五十二條之毀損文書罪網路安全交易三、資訊面三、資訊面三、資訊面三、資訊面1.1.基本資料透明化基本資料透明化公司基本資料公司基本資料 、隱私權政策及網站使用政策透明化、隱私權政策及網站使用政策透明化 2.2.交易資訊透明化交易資訊透明化 產品資訊、訂單處理及付款處理透明化產品資訊、訂單處理及付款處理透明化 3.3.後續處理資訊透明化後續處理資訊透明化物流處理、退換貨處理、設備安全政策及客戶服務與申物流處理、退換貨處理、設備安全政策及客戶服務與申訴管道訴管道 (參考參考:從國際觀點談網路安全交易標準從國
11、際觀點談網路安全交易標準.docdoc)網路交易安全(Contd)1.1.四、技術面四、技術面四、技術面四、技術面2.2.SSL SSL(Secure Socket LayerSecure Socket Layer)1.1.網路交易上最通用的安全機制,由網路交易上最通用的安全機制,由NetscapeNetscape所開發。所開發。2.2.傳送時自動被加密在接受端被解密,是一種採用兩端加密的保護措施。傳送時自動被加密在接受端被解密,是一種採用兩端加密的保護措施。3.3.SSLSSL主要功能主要功能主要功能主要功能1.1.鑑別機制鑑別機制:確定網站的合法性確定網站的合法性,國內代理商為,國內代理商
12、為HitrustHitrust。2.2.訊息隱私性:確保網路中傳輸的資料不被竊取。訊息隱私性:確保網路中傳輸的資料不被竊取。3.3.訊息完整性:確保網路中傳輸的資料不被更改。訊息完整性:確保網路中傳輸的資料不被更改。4.4.如何判別傳輸受如何判別傳輸受如何判別傳輸受如何判別傳輸受SSLSSL保護保護保護保護 1.1.進入進入SSLSSL保護前電腦螢幕應會出現一個安全性警告的視窗。保護前電腦螢幕應會出現一個安全性警告的視窗。2.2.瀏覽器的下方也會出現一個鎖頭密合的鎖。瀏覽器的下方也會出現一個鎖頭密合的鎖。3.3.網址網址Http:Http:會改為會改為HttpsHttps:網路交易安全(Con
13、td)四、技術面四、技術面四、技術面四、技術面(Contd)Contd)SSLSSL網路購物交易流程網路購物交易流程網路購物交易流程網路購物交易流程 1.1.消費者瀏覽網路商店並決定選購商品。消費者瀏覽網路商店並決定選購商品。2.2.消費者填寫訂購數量、送貨地址等細節消費者填寫訂購數量、送貨地址等細節(受受受受SSLSSL保護保護保護保護)。3.3.消費者以信用卡付款,消費者以信用卡付款,輸入卡號及有效日期輸入卡號及有效日期 (受受受受SSLSSL保護保護保護保護)。4.4.消費者送出確認訂購訊息與付款指示給特約商店消費者送出確認訂購訊息與付款指示給特約商店(受受受受SSLSSL保護保護保護保
14、護)。5.5.特約商店發出授權要求給收單銀行特約商店發出授權要求給收單銀行(特約商店與銀行間作業特約商店與銀行間作業特約商店與銀行間作業特約商店與銀行間作業)。6.6.銀行回覆授權碼銀行回覆授權碼(特約商店與銀行間作業特約商店與銀行間作業特約商店與銀行間作業特約商店與銀行間作業)。7.7.特約商店發出訂貨確認給消費者特約商店發出訂貨確認給消費者(特約商店與銀行間作業特約商店與銀行間作業特約商店與銀行間作業特約商店與銀行間作業)。8.8.特約商店將貨品交付消費者。特約商店將貨品交付消費者。9.9.特約商店向銀行收單行請款特約商店向銀行收單行請款(特約商店與銀行間作業特約商店與銀行間作業特約商店與
15、銀行間作業特約商店與銀行間作業)。網路交易安全(Contd)四、技術面四、技術面四、技術面四、技術面(Contd)Contd)SSLSSL的優缺點的優缺點的優缺點的優缺點優點優點1.1.設置成本低。設置成本低。2.2.消費者購物不需輸入任何認證資料。消費者購物不需輸入任何認證資料。缺點缺點1.1.消費者身分不用事先確認,網路商店的風險提高。消費者身分不用事先確認,網路商店的風險提高。2.2.商家與收單行間作業流程尚無國際標準商家與收單行間作業流程尚無國際標準 。3.3.客戶的資料仍保留在商家客戶的資料仍保留在商家 。(參考參考參考參考:SSLSSL與與與與SETSET安全機制的優劣比較安全機制
16、的優劣比較安全機制的優劣比較安全機制的優劣比較.docdoc)網路交易安全(Contd)四、技術面四、技術面四、技術面四、技術面(Contd)Contd)SET(Secure Electronic Transaction)SET(Secure Electronic Transaction)由由VISAVISA、MasterCardMasterCard、IBMIBM、MicrosoftMicrosoft、NetscapeNetscape、GTEGTE、VeriSignVeriSign、SAICSAIC、TeresaTeresa等公司聯合制訂,運用等公司聯合制訂,運用RSARSA資料資料安全的公開
17、鑰匙加密技術,保護交易資料之安全及隱密性。安全的公開鑰匙加密技術,保護交易資料之安全及隱密性。SETSET的架構的架構的架構的架構 電子錢包電子錢包(Electronic Wallet(Electronic Wallet)。電子證書電子證書(Digital Certificate)Digital Certificate)。付款轉接站付款轉接站(Payment Gateway(Payment Gateway)。認證中心認證中心(Certification Authority(Certification Authority)。網路交易安全(Contd)四、技術面四、技術面四、技術面四、技術面(Co
18、ntd)Contd)SETSET網路交易模式網路交易模式網路交易模式網路交易模式網路交易安全(Contd)四、技術面四、技術面四、技術面四、技術面(Contd)Contd)SETSET網路交易流程網路交易流程網路交易流程網路交易流程網路交易安全(Contd)四、技術面四、技術面四、技術面四、技術面(Contd)Contd)SETSET與與與與SSLSSL之比較之比較之比較之比較 Source from www.SET.com.twSource from www.SET.com.tw網路交易安全(Contd)交易模式SSLSET優點消費者使用方便 身分確認性 交易安全性 資料完整性 交易不可否認
19、性 缺點每次消費需再填一次卡號 風險負擔 駭客入侵 信用卡卡號冒刷及外漏之風險 需向銀行申請網路信用卡及線上取得憑證的動作與時間SET機制安裝困難度高 安全性低高風險性責任歸屬商家及消費者SET相關銀行組織SSLSSL與與SETSET所確保的對象不外乎傳輸過程的安全,然而無法確所確保的對象不外乎傳輸過程的安全,然而無法確保的問題,仍在於人。消費者與銀行常忽略的問題,是保的問題,仍在於人。消費者與銀行常忽略的問題,是網路商網路商家業者欠缺對消費者隱私權尊重家業者欠缺對消費者隱私權尊重的問題。的問題。業者未要求員工切結對於消費者隱私權的保障的時候,消費者業者未要求員工切結對於消費者隱私權的保障的時
20、候,消費者的信用卡卡號、密碼、身份證帳號等等個人財務資料,極易被的信用卡卡號、密碼、身份證帳號等等個人財務資料,極易被別有用心的員工知悉,如果該商家並未要求每一位員工簽署保別有用心的員工知悉,如果該商家並未要求每一位員工簽署保密條款,如果每一位員工並未具有相關的認知與應有的職業道密條款,如果每一位員工並未具有相關的認知與應有的職業道德;那麼消費者的權益就極為容易遭人利用、盜取。德;那麼消費者的權益就極為容易遭人利用、盜取。技術面的保密機制或許只是整體網路安全交易中最為浮面的一技術面的保密機制或許只是整體網路安全交易中最為浮面的一環,而有效確保網路安全交易的真正關鍵仍在於環,而有效確保網路安全交易的真正關鍵仍在於人人本身的本身的認知與意識,唯有廠商、銀行、消費者三方對於應有的權益都認知與意識,唯有廠商、銀行、消費者三方對於應有的權益都具備一定的瞭解與尊重的時候,真正的具備一定的瞭解與尊重的時候,真正的網路安全交易網路安全交易才有希望才有希望達成。達成。SSL、SET安全嗎安全嗎?