电子商务安全战场.ppt

電子商務支援服務 Chapter 9　 電子商務安全與詐騙防範 Chapter 10　電子商務付費系統 電子商務安全與詐騙防範 了解電子商務用資訊系統安全的重要性與範圍 說明電子商務安全的主要概念與範圍 學習關於主要的電子商務安全威脅、弱點及風險 了解網路釣魚以及其與金融犯罪的關係 說明資訊保證安全原則 找出並評估保護電子商務社群的主要技術與方法 說明保護電子商務網路之主要技術 電子商務安全與詐騙防範 說明不同類型的控制與特別防禦機制 說明營運持續性與災害復原規劃的角色 討論企業全面性建置電子商務安全議題 了解為何遏止電腦犯罪是不可能的 9.1　資訊安全問題 1/4 何謂電子商務安全？ 電腦安全(computer security)是資料、網路、電腦程式、電腦電源，以及其他電腦化資訊系統元件的保護。 電腦安全分為兩類：一般的(generic)，關於任何資訊系統（如加密）；電子商務相關的(EC-related)，例如買家保護。 在2008年主要的網路攻擊事件 在2008年主要使用的安全防禦技術 9.1　資訊安全問題 4/4 電子商務網路安全問題的驅動力 按鍵側錄(keystroke logging)常被稱為keylogging，是一種擷取與記錄使用者按鍵的方法。 9.2　基本的電子商務安全議題與觀點 1/6 從了解電子商務安全議題上的主要術語開始： 營運持續計畫(business continuity plan) 網絡犯罪(cybercrime) 暴露(exposure) 詐騙(fraud) 惡意軟體(malware/malicious software) 網路釣魚(phishing) 基本的電子商務安全議題與觀點 2/6 風險(risk) 社交工程(social engineering) 垃圾電子郵件(spam) 軟體弱點(vulnerability) 殭屍病毒(zombie) 電子商務安全戰場 基本的電子商務安全議題與觀點 4/6 威脅與攻擊：無意的與蓄意的 無意的威脅(unintentional threats)： 人為錯誤(human error) 環境危害(environmental hazards) 電腦系統的故障(malfunctions in the computer system) 蓄意的攻擊與犯罪(intentional attacks and crimes) 基本的電子商務安全議題與觀點 5/6 在網際網路上進行蓄意的犯罪，被稱為網路犯罪(cybercrime)，做這件事的人稱為網路罪犯(cybercriminal)，可簡稱為罪犯(criminal)，它包含了駭客與破解者。駭客(hacker)指的是某些人取得對公司系統未經授權的存取。破解者(cracker)則是一種惡意的駭客。 在一種稱為社交工程(social engineering)的策略中，罪犯計誘不被懷疑的內部人員給予他們資訊或讀取那些他們沒有的資料。 基本的電子商務安全議題與觀點 6/6 電子商務安全需求 電子商務防禦計畫與策略 這種策略將電子商務安全視為是遏止、防制、偵查組織的商標、身分、網站、電子郵件、資訊或其他資產被未經授權使用的流程。 9.3　技術性攻擊方法 1/3 軟體與系統知識被用於技術性攻擊(technical attack)。電腦病毒就是一種技術性攻擊的例子。 非技術性攻擊(nontechnical attack)是指使用詭計或假表格來欺騙使用者透露其安全資料，或執行某些動作來通過網路安全性檢查。 惡意軟體(malware/malicious software)是一種軟體，設計來不用經過擁有者同意甚至不用知道他們所知道的事，便可以進行滲入或破壞一個電腦系統。 技術性攻擊方法 2/3 惡意軟體包含電腦病毒(computer virus)、蠕蟲(worms)、特洛伊木馬病毒(Trojan horses)、多數木馬程式套件(rootkits)、間諜軟體(spyware)、不實的廣告軟體(adware)、犯罪軟體(crimeware)及其他惡意與不想要的軟體。 阻斷服務(denial of service, DoS)是一種攻擊，這種攻擊送出許多的需求去轟炸一個系統，讓它毀壞或不能及時回應服務。 技術性攻擊方法 3/3 網頁伺服器與網頁可能被劫持與安裝以便進行控制，或重新導向使用者至詐騙或網路釣魚網站。 一個殭屍網路(botnet)是一大群受劫持的網際網路電腦，這些電腦被設定來發送流量，包含垃圾郵件與病毒（回想章首案例），至其他在網際網路上的電腦