2011 年暑期 資 訊 安 全 研 習
DESCRIPTION
2011 年暑期 資 訊 安 全 研 習. 國立中興大學 資 訊管理系 林詠章 副教授 [email protected]. 大 綱. 資訊安全管理 駭客入侵 電子商務安全. 一、資訊安全管理. 風險值:來自外在環境的威脅,利用資產本身的弱點(脆弱性),可能對資產產生的潛在損失。 風險值= f (資產價值,有害事件發生的機率 ) 有害事件發生的機率可由外在 威脅 利用本身 弱點 的機率來作分析. 風險管理程序. 弱點評估. 確認資產、評估價值. 威脅評估. 檢視現行控制措施. 風險評估結果. 風險評估. 風險管理. 選取安全控制措施. 降低風險. - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/1.jpg)
1
20112011 年暑期年暑期資 訊 安 全 研 習資 訊 安 全 研 習
國立中興大學 資 訊管理系國立中興大學 資 訊管理系林詠章 副教授林詠章 副教授
[email protected]@nchu.edu.tw
![Page 2: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/2.jpg)
大 綱大 綱
資訊安全管理
駭客入侵
電子商務安全
2
![Page 3: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/3.jpg)
一、資訊安全管理
3
![Page 4: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/4.jpg)
2-4
風險值:來自外在環境的威脅,利用資產本身的弱點(脆弱性),可能對資產產生的潛在損失。
風險值= f (資產價值,有害事件發生的機率 )
有害事件發生的機率可由外在威脅利用本身弱點的機率來作分析
![Page 5: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/5.jpg)
5
風險管理程序風險管理程序
風險評估結果
確認資產、評估價值
威脅評估
弱點評估
檢視現行控制措施
選取安全控制措施
降低風險
確認風險可接受水準
風險評估
風險管理
![Page 6: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/6.jpg)
資 產 評 估資 產 評 估
硬體軟體人員服務文件個人資料
6
![Page 7: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/7.jpg)
7
風險管理程序風險管理程序
風險評估結果
確認資產、評估價值
威脅評估
弱點評估
檢視現行控制措施
選取安全控制措施
降低風險
確認風險可接受水準
風險評估
風險管理
![Page 8: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/8.jpg)
8
安全弱點安全弱點
來源:先天設計缺失後天管理不善
常見弱點:傳統通訊協定無加密機制網路服務未適度管理設限使用者權限分配不當系統參數值設定不當
![Page 9: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/9.jpg)
9
安全威脅安全威脅
天災:風災、水災、火災
人禍:內部人員濫用網路病毒實體設施遭破壞駭客入侵
![Page 10: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/10.jpg)
10
風險管理程序風險管理程序
風險評估結果
確認資產、評估價值
威脅評估
弱點評估
檢視現行控制措施
選取安全控制措施
降低風險
確認風險可接受水準
風險評估
風險管理
![Page 11: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/11.jpg)
11
資訊安全的基本需求資訊安全的基本需求保密性或機密性:防止機密資訊洩漏給未經授權的使用者。完整性:資料內容僅能被合法授權者所更改,不能被未經授權者所篡改或偽造。鑑別性:訊息來源的鑑別 - 確認訊息之傳輸來源。
身份鑑別 - 驗證使用者身份。
不可否認性:傳送方不得否認其未曾傳送某筆資料,而接收方亦無法否認其確實曾接收到某訊息資料。
![Page 12: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/12.jpg)
12
資訊安全的範疇資訊安全的範疇 -- 技術觀點技術觀點
![Page 13: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/13.jpg)
13
選取安全控制措施選取安全控制措施
考慮因素: 風險成本花費實作容易程度
![Page 14: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/14.jpg)
141-14
身分識別例子-掌形與指紋辨識身分識別例子-掌形與指紋辨識
http://perso.orange.fr/fingerchip/biometrics/types/fingerprint.htm
![Page 15: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/15.jpg)
151-15
身分識別例子-臉部辨識身分識別例子-臉部辨識
http://www.biofs.com/eng/s1.php http://www.cs.bham.ac.uk/~mdr/teaching/modules03/security/students/SS3/handout/index.html
![Page 16: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/16.jpg)
161-16
身分識別例子-視網膜紋路辨識身分識別例子-視網膜紋路辨識
http://www.arcent.army.mil/cflcc_today/2005/january/iraqi_election.asp http://www.eyes.co.nz/eye_care.html
![Page 17: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/17.jpg)
17
通行碼使用者身份鑑別系統通行碼使用者身份鑑別系統
![Page 18: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/18.jpg)
18
通行碼注意事項通行碼注意事項
1.長度適宜
2.記事簿
3.不同電腦用不同通行碼
4.不宜活太久
5.守口如瓶
![Page 19: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/19.jpg)
19
加解密技術加解密技術加密運作模式專有名詞如下:原文( plaintext):資訊的原始格式。密文( chipertext):透過加密演算法輸出的資訊。演算法( algorithm):將原文處理成密文的運算法則。金鑰( key):一個與原文無關的數值,其可將原文轉
成密文或將密文轉成原文的過程中,一種用來協 助演算法計算的資料。加密( encryption):將原文經加密運算轉成密文的程序。解密( decryption):為加密的逆運算,將密文轉成原文的程序。
3-19
![Page 20: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/20.jpg)
20
密文:
依照下列取代法則加密而成
紐約州, Trinity市的墓碑
明文: REMEMBER
古代密碼系統古代密碼系統 -- 替代法替代法
![Page 21: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/21.jpg)
21
密碼系統的分類密碼系統的分類
對稱性密碼系統 (Symmetric Cryptosystems)
非對稱性密碼系統 (Asymmetric Cryptosystems)或公開金鑰密碼系統 (Public-Key Cryptosystems)
加密金鑰及解密金鑰為同一把加密金鑰及解密金鑰為同一把加密金鑰及解密金鑰為同一把加密金鑰及解密金鑰為同一把
加密與解密金鑰為不相同的兩把金鑰加密與解密金鑰為不相同的兩把金鑰加密與解密金鑰為不相同的兩把金鑰加密與解密金鑰為不相同的兩把金鑰
![Page 22: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/22.jpg)
22
對稱的加密模式對稱的加密模式
--------------------------------------------------------
--------------------------------------------------------
--------------------------------------------------------
--------------------------------------------------------
收送雙方共有的秘密金鑰 (K1) 收送雙方共有的秘密金鑰 (K1)
明文輸入 明文輸出
被傳送的密文
C=EK1(M)
加密演算法 (E)
( 例如 DES)
解密演算法 (D)
( 加密演算法的逆運算 )
M DK1(C)
中途竊取者
![Page 23: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/23.jpg)
23
對稱式的加密系統對稱式的加密系統
•常見的對稱式加密系統 常見的對稱式加密系統 DESDES 、、 AESAES
•有金鑰管理的問題每位使用者需儲存有金鑰管理的問題每位使用者需儲存 nn 把把 KeysKeys
•優點:加密速度快優點:加密速度快
U1U1U1U1
U2U2U2U2
U5U5U5U5
U3U3U3U3
U4U4U4U4
![Page 24: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/24.jpg)
24
公開金鑰加密系統公開金鑰加密系統
CACACACA
明文明文明文明文 加密加密加密加密 解密解密解密解密 明文明文明文明文密文密文密文密文 密文密文密文密文
明文明文明文明文 解密解密解密解密 加密加密加密加密 明文明文明文明文密文密文密文密文 密文密文密文密文
春嬌春嬌’’ s s 私有金鑰私有金鑰
志明志明’’ s s 私有金鑰私有金鑰
春嬌春嬌 志明志明
志明志明’’ s s 公開金鑰公開金鑰
春嬌春嬌’’ s s 公開金鑰公開金鑰
SendSend
SendSend
金鑰金鑰
![Page 25: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/25.jpg)
25
公開金鑰密碼系統公開金鑰密碼系統
優點:沒有金鑰管理的問題優點:沒有金鑰管理的問題 高安全性高安全性 有數位簽章功能有數位簽章功能
缺點:加解密速度慢 缺點:加解密速度慢
優點:沒有金鑰管理的問題優點:沒有金鑰管理的問題 高安全性高安全性 有數位簽章功能有數位簽章功能
缺點:加解密速度慢 缺點:加解密速度慢
著名之公開密碼系統:著名之公開密碼系統: RSARSA 密碼系統密碼系統 ElGamalElGamal 密碼系統密碼系統
著名之公開密碼系統:著名之公開密碼系統: RSARSA 密碼系統密碼系統 ElGamalElGamal 密碼系統密碼系統
![Page 26: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/26.jpg)
26
Digital Signature Digital Signature 數位簽章數位簽章
一般數位簽章具有下列功能:確認性 (Authentication) :可確認文件來源的合法性,而非經他人偽造。
完整性 (Integrity) :可確保文件內容不會被新增或刪除。
不可否認性 (Non-repudiation) :簽章者事後無法否認曾簽署過此文件。
![Page 27: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/27.jpg)
27
數位簽章的基本概念數位簽章的基本概念
![Page 28: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/28.jpg)
28
使用者登記認證,使其網路身份生效具法律效用。
- ( 如同向戶政機關登記,政府發給身份證 ) 使用者將其公開金鑰登記認證。
- ( 如同印鑑證明 ) 每個使用者都可以使用自己的數位憑證,證
明自己合法身份。 提供一個值得信賴的安全基礎建設。
可信任的第三者:認證中心 可信任的第三者:認證中心 (CA)(CA)
![Page 29: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/29.jpg)
29
• 產生及更新數位憑證 (Certificate) : CA 對每個使用者的身份及公開金鑰簽署成一個數位憑證。
• 分發及管理數位憑證。• 數位憑證的註銷及恢復。• 扮演一個數位時代的可信任的仲裁者 (提供憑證 ) 。• 儲存數位憑證 ( 有效憑證、終止憑證、過期憑證 ) 。 • 公佈及傳送數位憑證被註銷的目錄 (Certificate
Revocation List, CRL) 。• 數位憑證之查詢及分送憑證管理之相關資料。
認證中心 認證中心 (CA) (CA) 的主要功能的主要功能
![Page 30: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/30.jpg)
30
風險管理程序風險管理程序
風險評估結果
確認資產、評估價值
威脅評估
弱點評估
檢視現行控制措施
選取安全控制措施
降低風險
確認風險可接受水準
風險評估
風險管理
![Page 31: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/31.jpg)
二、駭客入侵
31
![Page 32: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/32.jpg)
32
SQL InjectionSQL Injection 攻擊方式攻擊方式
欲執行的 SQL敘述 SELECT count(*) FROM Members WHERE
UserName = 'John' AND Password ='ABC'
入侵登入畫面
![Page 33: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/33.jpg)
33
直接入侵直接入侵
不良的 SQL敘述寫法SELECT count(*) FROM Members WHERE UserName ='" & txtUserName.Text & "' AND Password ='"
& txtPassword.Text & "'"
在 [帳號 ]欄位輸入以下的資料就可以登入成功 :
' OR 1=1—程式所執行的 SQL敘述變成 :
SELECT count(*) FROM Members WHERE UserName = ''
OR 1=1 – And Password = ''
![Page 34: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/34.jpg)
34
植入帳號與刪除資料表植入帳號與刪除資料表
在 [帳號 ]欄位輸入以下的資料就可以新增駭客帳號 :
';insert into Members(UserName, Password) Values ('hacker', 'foo')—
權限足夠的狀況下 , 在 [帳號 ]欄位輸入以下的資料就可以刪除Members 資料表 :';drop table Members --
![Page 35: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/35.jpg)
35
Bypass Bypass 攻擊:不需要密碼也可以登攻擊:不需要密碼也可以登入入
在 [ 密碼 ]欄位輸入以下的資料就可以成功登入 :aaa' Or UserName Like '%
程式所執行的 SQL敘述變成 :
SELECT count(*) FROM Members WHERE UserName = '' And Password = 'aaa' Or UserName Like '%'
![Page 36: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/36.jpg)
「網頁掛馬」又稱之為網頁隱藏式惡意連結駭客入侵 ( 知名的 ) 網站不更動原有的畫面下,修改網站內容,加入惡意程式碼使瀏覽該網站的使用者被植入惡意程式進而竊取個人資料或當成跳板主機
網頁掛馬網頁掛馬
36
![Page 37: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/37.jpg)
37
網頁掛馬的危害網頁掛馬的危害
對網站擁有者而言 因管理不善導致他人被入侵而負上法律
責任 商譽的損失
對一般使用者而言 資料失竊
隱私資料、信用卡資料、線上遊戲虛擬寶物等
被當跳板主機 可能面臨法律責任
![Page 38: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/38.jpg)
網站 server
掛馬
使用者
惡意程式網站
瀏覽網頁
導向惡意程式網站
下載並安裝惡意程式
遙控受害電腦
駭客
網頁掛馬攻擊模式網頁掛馬攻擊模式
38
![Page 39: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/39.jpg)
網頁掛馬 網頁掛馬 vs. vs. 釣魚網站釣魚網站網頁掛馬與釣魚網站 (Phishing)不同之處在於:
釣魚網站:設置一個以假亂真的網站,欺騙網路瀏覽者上當。
網頁掛馬:攻擊一個正常的網站,利用網路瀏覽者對於正常網站的信任感,讓使用者在不知不覺中被植入木馬程式。駭客自行設立一個網站或虛設部落格,以各種方式吸引民眾瀏覽,再送出惡意程式。
39
![Page 40: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/40.jpg)
網頁掛馬案例網頁掛馬案例
![Page 41: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/41.jpg)
4141
www.skl.com.tw vs. www.sk1.com.tw www.icst1.org.tw vs. www.icst.org.tw www.1111.com.tw vs. www.111.com.tw www.bot.com.tw vs. www.b0t.com.tw www.citybank.com.tw
vs.www.citibank.com.tw
釣魚網站案例釣魚網站案例
![Page 42: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/42.jpg)
InPrivate 瀏覽工具
IE 所提供的網站安全工具
![Page 43: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/43.jpg)
43
釣魚網站防範方法釣魚網站防範方法IE SmartScreen 篩選工具
![Page 44: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/44.jpg)
網頁掛馬防範方法網頁掛馬防範方法
44
搜尋引擎:善用 McAfee SiteAdvisor
綠色標示代表網站安全,紅色代表網站不安全
![Page 45: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/45.jpg)
45
網路掛馬及釣魚網站的散播方式網路掛馬及釣魚網站的散播方式
社交工程:利用人性弱點、人際交往或互動特性所發展出來的一種攻擊方法
透過電子郵件進行散播 假冒寄件者 使用與業務相關或令人感興趣的郵件內容
![Page 46: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/46.jpg)
殭屍網路殭屍網路 (Botnet)(Botnet)
駭客透過系統漏洞或後門植入遙控程式的殭屍電腦所組成之網路系統。
被用於進行網路詐騙、垃圾郵件濫發、傳播病毒等不法用途。
![Page 47: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/47.jpg)
BotnetBotnet 攻擊方式攻擊方式
DDoS攻擊消耗受害者網路服務頻寬
傳播垃圾郵件和惡意軟體70~90%的垃圾郵件由殭屍網路傳播
信息洩露竊取被害人資料監聽鍵盤活動並回報有用資訊
欺騙點擊安裝廣告附件和瀏覽器助手以達到商業目的獲得更高的點擊率或線上投票
身份詐欺設置假網站冒充正式網站,要求提交個人或機密訊息
![Page 48: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/48.jpg)
DDOS DDOS 阻斷服務攻擊阻斷服務攻擊
48
![Page 49: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/49.jpg)
三、電子商務安全
49
![Page 50: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/50.jpg)
50
網站安全網站安全 --線上安全認證標章線上安全認證標章
VeriSign/HiTRUST「 全球安全認證網站標章 」寰宇數位「 GlobalTrust 安全網站標章」 台北市消費者電子商務協會「優良電子商店標章」台北市消費者電子商務協會「資訊透明化電子商店標章」
![Page 51: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/51.jpg)
51
信賴標章種類信賴標章種類
標章名稱全球安全認證網站標章
GlobalTrust 安全網站標章
優良電子商店標章
資訊透明化電子商店標章
標章樣式
推出公司
VeriSign/
HiTRUST 網際威信
寰宇數位
台北市消費者電子商務協會
台北市消費者電子商務協會
認證內容SSL 加密網頁憑證
SSL 加密網頁憑證
為消費者除卻網上交易之不安全
提供消費者更快速便捷的辨認工具
中文版 英文版
![Page 52: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/52.jpg)
52
目的目的
將「信任」 (Trustworthiness) 經由安全的網站予以具體化,以提升企業的優質形象藉由啟動 SSL(Secured Socket Layer) 安全傳輸機制,提供與網站用戶之間經由瀏覽器進行資料加密通訊。
![Page 53: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/53.jpg)
53
安全保證安全保證
身分辨識:網站訪客藉此確認是否登入正確的網站,避免進入仿冒網站。安全加密:企業與用戶間資料傳輸,將因憑證啟動此 SSL 加密後得到保護,包括信用卡資料、個人隱私、交易內容及各項機密資料等。
![Page 54: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/54.jpg)
驗證標章驗證標章
![Page 55: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/55.jpg)
網站安全網站安全
55
https:// 安全資料傳輸
網站識別安全圖章
![Page 56: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/56.jpg)
56
網路網路 ATMATM付款安全機制付款安全機制
除了無法提供提款功能外,網路 ATM 的業務功能和實體 ATM 的功能完全相同。網路 ATM額外功能提供異業結盟網路商店的線上付款機制 ( 如網路商店購物、學雜費繳款、拍賣、遊戲儲值、線上電視付費、繳信用卡費、停車費、電信費… )
特定實體商店付款 ( 醫院、超市、商店… )
![Page 57: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/57.jpg)
57
網路網路 ATMATM 設計安全方法設計安全方法
於各節點採用對稱式加密,機密性與完整性 ( 參考網路 ATM對稱式加密架構圖 )
使用動態虛擬鍵盤及 Graphic OTP (GOTP)善用 Challenge / Response機制抑制對話盒功能人工插拔卡動作
![Page 58: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/58.jpg)
58
網路網路 ATMATM 範例範例
![Page 59: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/59.jpg)
59
![Page 60: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/60.jpg)
動態鍵盤動態鍵盤
60
![Page 61: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/61.jpg)
61
網路網路 ATMATM設計範例設計範例
![Page 62: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/62.jpg)
62
網路網路 ATMATM設計範例設計範例
Graphic OTP
![Page 63: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/63.jpg)
63
網路網路 ATMATM設計範例設計範例
![Page 64: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/64.jpg)
64
網路網路 ATMATM設計範例設計範例
讓客戶在 30秒內拔出卡片後再插入,以確認客戶真正的在線上使用
![Page 65: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/65.jpg)
防範更高級手法的網路攻擊防範更高級手法的網路攻擊釣魚網站 (phishing):2007年北歐有超過 100萬人收到瑞典
Nordea銀行寄來的一封 email,信中說明系統更新,希望用戶到網路銀行頁面更改密碼。有 1%的人連上所附的假連結進到了釣魚網站
,提供 ID帳號 /Password密碼。駭客成功轉上了數百萬歐元。Nordea銀行立即加上了 Challenge/
Response來防止威脅。為此,發出了超過200萬台晶片讀卡機,這讀卡機必須有螢幕與鍵盤來操作 Challenge/Response。
![Page 66: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/66.jpg)
目前在歐洲國家使用 OTP動態密碼來加強用戶身分鑑別已經日漸普遍。OTP動態密碼比一般僅使用靜態密碼來的安全又便利。當用戶進行網路交易時,網頁會多出一個欄位請用戶輸入手邊的 OTP動態密碼,送達 OTP驗證主機身分後,才得以進行網路交易。
![Page 67: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/67.jpg)
電子銀行安控基準修訂電子銀行安控基準修訂
其中有兩大精神:相關於個人敏感性資料的網路頁面,需使用2FA (Two Factor Authentication, 雙因素身分驗證 )電子銀行應確認使用者送出的交易資料,與銀行端收到的資料為一致。
![Page 68: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/68.jpg)
電子銀行安控基準修訂電子銀行安控基準修訂2FA(Two Factor Authentication,雙因素身分驗證 )
2FA可以使用靜態密碼配合憑證、 OTP、生物辨識科技 ( 如:靜脈、瞳孔辨識等 ) 。日本的提款機使用了靜脈辨識,使用者除了提供晶片卡當作 first factor,也必須將使手指插入機器做靜脈辨識,這是 second factor。台灣也即將朝向 2FA趨勢邁進,未來網路銀行登
入時,除了使用代號、使用者密碼之外,還必須多加入 OTP密碼,才得以進行網路交易。
![Page 69: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/69.jpg)
電子銀行安控基準修訂電子銀行安控基準修訂
電子銀行應確認使用者送出的交易資料,與銀行端收到的資料為一致。•傳送交易資料過程中,中途若有駭客攔截封包竄改交易內容,銀行收到的資料就會與用戶發送的資料不一致,因此必須克服中間人攻擊。•目前絕大多數網路銀行使用靜態密碼。•在安控規章中建議各銀行讓網路銀行客戶使用第二代確認型讀卡機。
![Page 70: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/70.jpg)
二代確認型讀卡機二代確認型讀卡機[ 典型運用 ]網路銀行網路ATM網路
報稅憑證讀卡機
![Page 71: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/71.jpg)
二代確認型讀卡機二代確認型讀卡機連線功能 ( 連接電腦 ) 單機功能 ( 無連接電腦 )網路 ATM轉帳、繳費、餘額查詢 計算機個人綜合所得稅申報繳稅 晶片卡密碼變更網拍購物繳費 電子錢包餘額查詢電子簽章 網路銀行動態密碼線上遊戲安全登入 晶片信用卡動態密碼健保個人資料、欠費、加退保查詢 多國語系變更勞農保保險給付、投保年資、勞退個人專戶資料查詢
調整螢幕對比度
中華電信電信帳單查詢交通部車籍、駕駛人資料查詢中華郵政通訊地址遷移通報公司、商業登記線上申辦、資料查詢戶籍地址資料查詢出入國限制查詢出進口廠商登記報關線上委任系統
![Page 72: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/72.jpg)
二代確認型讀卡機二代確認型讀卡機
使用者在網頁上輸入的交易金額與轉
入帳號
在讀卡機上再度確認,並在讀卡機上輸入晶片卡密碼
在讀卡機上產生密碼回傳後端交易主機驗證身分驗證身分並放行
![Page 73: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/73.jpg)
二代確認型讀卡機二代確認型讀卡機
與傳統讀卡機不同的是:使用者密碼不在電腦鍵盤上敲入,而是在電腦之外一個安全的環境下確認交易內容,同時也做了簽章。這個簽章是在獨立的設備上產生,駭客無從侵入,也確認了簽章產生前的安全性。
![Page 74: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/74.jpg)
二代確認型讀卡機二代確認型讀卡機
這種電子簽章可以說是一種動態密碼,一種 OTP。優點:使用方便,價格便宜,在全世界網路上的使用量遠遠超過憑證,成為全世界銀行與數億網路銀行用戶每天安全使用網路的保障。
![Page 75: 2011 年暑期 資 訊 安 全 研 習](https://reader030.vdocuments.mx/reader030/viewer/2022033020/568135dc550346895d9d500d/html5/thumbnails/75.jpg)
75
Thank YouThank You