1、滄海書局出版欒斌羅凱揚陳苡任 合著1本章學習架構(gòu)電子付款系統(tǒng)網(wǎng)路安全性的簡介提高網(wǎng)路安全性結(jié)論滄海書局出版欒斌羅凱揚陳苡任 合著215.1 電子付款系統(tǒng)隨著網(wǎng)路的迅速發(fā)展，電子商務(wù)也日漸繁榮熱絡(luò)，隨之而來的問題即是如何能在網(wǎng)路上安全且便利的付款和訂購滄海書局出版欒斌羅凱揚陳苡任 合著315.1.1 電子付款系統(tǒng)的概念電子付款是指在網(wǎng)路、電腦的環(huán)境下，經(jīng)由數(shù)位資料的交換與第三方的認證，來完成支付的過程，藉此取代傳統(tǒng)貨幣的交易模式。電子付款系統(tǒng)具有貨幣價值性、相通性、可轉(zhuǎn)換性、安全性、個人化，與可使用性等特性滄海書局出版欒斌羅凱揚陳苡任 合著415.1.1 電子付款系統(tǒng)的概念(續(xù))滄海書局出版欒斌

2、羅凱揚陳苡任 合著515.1.1 電子付款系統(tǒng)的概念(續(xù))要建構(gòu)起電子付款系統(tǒng)，需要加入不同的角色，主要可分為買方(Buyer)、賣方(Seller)、發(fā)卡銀行(Issuer)、收單銀行(Acquirer)、公正第三者(Trusted Third Party)與認證中心(Certificate Authorities)等角色1. 買方買方即為購買商品的一方，也可視為付款者(Payer)2. 賣方賣方為販賣商品的一方，也可稱為收款者(Payee)滄海書局出版欒斌羅凱揚陳苡任 合著615.1.1 電子付款系統(tǒng)的概念(續(xù))滄海書局出版欒斌羅凱揚陳苡任 合著715.1.1 電子付款系統(tǒng)的概念(續(xù))3.

3、 發(fā)卡銀行主要是指信用卡發(fā)卡銀行，提供顧客線上支付工具及服務(wù)，並提供安全電子商業(yè)的運作規(guī)範。4. 收單銀行泛指提供商店收款金融服務(wù)的銀行。5. 公正第三者是指負責調(diào)解網(wǎng)路交易時所產(chǎn)生的問題與爭執(zhí)，具備判決爭議的權(quán)力者。滄海書局出版欒斌羅凱揚陳苡任 合著815.1.1 電子付款系統(tǒng)的概念(續(xù))6. 認證中心認證中心多由各國政府或公認具公信力的機構(gòu)擔任，主要解決交易者的身分正確性與合法性，負責對交易參與者進行身分調(diào)查，向發(fā)卡銀行及收單銀行核對申請者的資料是否一致，而對外發(fā)出、管理，和取消電子證書(Certificate)等，讓交易的相關(guān)廠商可透過電子證書來確認交易者的身分。滄海書局出版欒斌羅凱揚陳

4、苡任 合著915.1.2 電子付款系統(tǒng)的種類電子交易系統(tǒng)可分為兩大類：代幣式付款系統(tǒng)(包括：電子現(xiàn)金、電子支票、智慧卡與儲值卡)和信用卡式付款系統(tǒng)(SSL電子安全交易)。(一)代幣式付款系統(tǒng)代幣式付款系統(tǒng)則是模擬傳統(tǒng)的付款方式，使其適合電子交易的環(huán)境，主要分為電子現(xiàn)金、電子支票、智慧卡與儲值卡。滄海書局出版欒斌羅凱揚陳苡任 合著1015.1.2 電子付款系統(tǒng)的種類(續(xù))1. 電子現(xiàn)金(e-cash)使用者須先開立帳戶並購買電子現(xiàn)金，之後，透過電子貨幣的交換來進行付款的行為。2. 電子支票電子支票是傳統(tǒng)紙張支票的電子網(wǎng)路化，它可以利用電子支票來取代傳統(tǒng)的支票，即透過使用數(shù)位簽章的技術(shù)來代替筆式簽

5、章及印鑑，具有紙本支票的使用效率與法律規(guī)範。且使用電子支票還需經(jīng)過第三方的認證，增加使用上的安全性與降低買賣雙方可能需承受的風險。滄海書局出版欒斌羅凱揚陳苡任 合著1115.1.2 電子付款系統(tǒng)的種類(續(xù))滄海書局出版欒斌羅凱揚陳苡任 合著1215.1.2 電子付款系統(tǒng)的種類(續(xù))3. 智慧卡又可稱為Smart卡，目前有兩種使用模式：(1)第一種為非接觸式卡片(Contactless Card)：不用接觸智慧卡讀取機就可感應(yīng)資料，像是捷運卡；(2)第二種為接觸式卡片(Contact Card)：需要插入智慧卡讀取機才能取得資料，像是銀行晶片卡。4. 儲值卡儲值卡(Stored-value Ca

6、rd)是指現(xiàn)金預(yù)先被內(nèi)建在卡片內(nèi)，讓使用者可藉此來進行購物的行為。滄海書局出版欒斌羅凱揚陳苡任 合著1315.1.2 電子付款系統(tǒng)的種類(續(xù))(二)信用卡式付款系統(tǒng)在信用卡的電子付款時，網(wǎng)站都會利用SSL (Secure Socket Layer)機制來進行加密，此模式的使用過程包括：驗證身分、傳遞公鑰、公鑰加密與傳遞檔案、私鑰解鎖，和驗證。首先為驗證身分，之後，伺服器提供一組公鑰給使用者的電腦，並利用此一公鑰來進行加密，此時，使用者傳遞任何訊息都會透過此公鑰的加密，才會傳回給伺服器。而伺服器則握有唯一一組可以解開公鑰的私鑰，並藉此解開傳遞者的訊息，滄海書局出版欒斌羅凱揚陳苡任 合著1415.

7、1.2 電子付款系統(tǒng)的種類(續(xù))但是SSL也非絕對安全，為了克制此一問題，最新的模式為OpenSSL(利用手動的方式起始SSL 連結(jié))或發(fā)展監(jiān)測SSL 服務(wù)器(將SSL連結(jié)的過程轉(zhuǎn)化成IDS可以監(jiān)視的純文字格式，讓IDS可以發(fā)揮功用)，以減少被入侵的可能。滄海書局出版欒斌羅凱揚陳苡任 合著1515.1.2 電子付款系統(tǒng)的種類(續(xù))滄海書局出版欒斌羅凱揚陳苡任 合著1615.1.3 電子付款的影響因素響電子付款的因素，分為交易參與者的需求與電子環(huán)境的因素。在交易參與者的需求方面，主要可分為買方與賣方兩部分。對於買方需求來說，影響的因素包括：賣方的合法性、資料的安全性、交易的正確性與使用的便利性；

8、賣方需求則為：買方的正確性、訂單的執(zhí)行性與款項的取得性，本書整理如表15-2所示。滄海書局出版欒斌羅凱揚陳苡任 合著1715.1.3 電子付款的影響因素(續(xù))滄海書局出版欒斌羅凱揚陳苡任 合著1815.1.3 電子付款的影響因素(續(xù))滄海書局出版欒斌羅凱揚陳苡任 合著1915.1.3 電子付款的影響因素(續(xù))在電子環(huán)境的因素則是指電子交易平臺所造成的影響滄海書局出版欒斌羅凱揚陳苡任 合著2015.1.3 電子付款的影響因素(續(xù))滄海書局出版欒斌羅凱揚陳苡任 合著2115.2 網(wǎng)路安全性的簡介滄海書局出版欒斌羅凱揚陳苡任 合著2215.2.1 網(wǎng)路服務(wù)安全問題除了上述所提及的病毒與入侵的問題外，

9、其實，網(wǎng)路服務(wù)還存在一些安全上的問題，包括：e-mail、FTP、Blog、即時通和WWW等。(一)e-mail目前比較常見的安全問題在於：冒名的信件、匿名信，和病毒信件。其中又以具病毒程式的e-mail信件最為嚴重。使用e-mail最常發(fā)生的安全問題是，e-mail極可能被攔截、複製，因此不要在e-mail中提及機密的事項。滄海書局出版欒斌羅凱揚陳苡任 合著2315.2.1 網(wǎng)路服務(wù)安全問題(續(xù))(二)FTP透過FTP來傳遞檔案已經(jīng)成為網(wǎng)路使用者分享資源的管道之一，但在傳遞的過程無法確定檔案是否未受病毒的感染，任意從網(wǎng)路FTP取回的程式，將會承受很大的病毒威脅。架設(shè)FTP站臺的管理者則必須面

10、對，是否將FTP伺服主機的檔案存取權(quán)限設(shè)定完善的問題，否則此伺服主機很容易遭人破壞。滄海書局出版欒斌羅凱揚陳苡任 合著2415.2.1 網(wǎng)路服務(wù)安全問題(續(xù))(三)Blog當有心人士在網(wǎng)頁上置入具有木馬程式的語法，會造成上來觀看的使用者感染病毒，甚至如果是版主的話，還會被盜用帳號與資料，造成網(wǎng)誌的損壞。滄海書局出版欒斌羅凱揚陳苡任 合著2515.2.1 網(wǎng)路服務(wù)安全問題(續(xù))(四)即時通像是詐騙集團常透過即時通軟體的搜尋功能，發(fā)送接受邀請的通知，當使用者接受後就會變成詐騙的目標。病毒則是即時通使用上的另一個問題，當聯(lián)絡(luò)人突然發(fā)送某個不知名的連結(jié)，只要使用者不察而點選該連結(jié)，就會自動下載病毒程式

11、，該病毒還會持續(xù)透過即時通的聯(lián)絡(luò)人清單發(fā)送連結(jié)，不斷的將病毒傳送出去，造成使用上的不便。滄海書局出版欒斌羅凱揚陳苡任 合著2615.2.1 網(wǎng)路服務(wù)安全問題(續(xù))(五)WWW首先，網(wǎng)路釣魚是指詐騙集團會註冊與官方網(wǎng)站相似的網(wǎng)址，並且購買關(guān)鍵字廣告，當使用者搜尋後若不察而點選該網(wǎng)站，在上面註冊會員等行為都會被側(cè)錄，讓個人的資料外洩。間諜程式則是指未經(jīng)使用者同意下，進行蒐集個人資料的軟體，目前常見許多廣告軟體會透過此一方式來蒐集顧客的資料。滄海書局出版欒斌羅凱揚陳苡任 合著2715.2.2 保護何項東西？我們在網(wǎng)路上要保護的東西分為三類：資料、資源與身分，分述如下。1. 資料資料是在網(wǎng)路上最容易被

12、駭客覬覦的東西，共可以分為機密性與完整性兩類：(1)機密性：機密的文件。機密性的資料通常是和國家安全及利益有關(guān)，或是一個企業(yè)的重要商業(yè)技術(shù)等。要避免機密性資料遭Internet上的駭客(Hacker)盜取，不連接上Internet似乎是最一勞永逸的辦法了，但也並非所有的資料皆能以此種方法來保護。(2)完整性：意指不能被修改的資料滄海書局出版欒斌羅凱揚陳苡任 合著2815.2.2 保護何項東西？ (續(xù))2. 資源網(wǎng)路資源也是需要保護的一部分，若是磁碟未受保護，其他使用者可能會進入你的磁碟，佔用你的磁碟空間，甚至破壞磁碟以及其中的檔案。3. 身分一旦你的身分被別具居心的他人冒用，可能會有相當嚴重的

13、後果。滄海書局出版欒斌羅凱揚陳苡任 合著2915.3 提高網(wǎng)路安全性本書在此介紹如何提高電腦的安全性防護，包括：防火牆、防毒軟體和加密保護等方法，來阻嚇非法入侵者，在此將一一替讀者介紹。滄海書局出版欒斌羅凱揚陳苡任 合著3015.3.1 防火牆網(wǎng)路上使用最普遍的安全機制為防火牆，電腦使用者可在控制臺 Windows防火牆中建立防火牆的相關(guān)設(shè)定(一)防火牆的概念I(lǐng)nternet上的防火牆功能類似古代城堡的護城河，用來防止由外部無法信任的網(wǎng)路(Internet)使用者進入信任的網(wǎng)路(Intranet)，以保護內(nèi)部網(wǎng)路的安全。防火牆提供的基本防禦目的為：限制外部人員進入、防止攻擊者接近電腦、限制內(nèi)部

14、人員離開或傳遞資訊給外部者。滄海書局出版欒斌羅凱揚陳苡任 合著3115.3.1 防火牆(續(xù))滄海書局出版欒斌羅凱揚陳苡任 合著3215.3.1 防火牆(續(xù))防火牆主要有下列幾項缺點：無法防範病毒的入侵；若企業(yè)內(nèi)部的使用者入侵的話，由於其具有使用的權(quán)限，因此，防火牆無法限制其存取的行為；亦即有無法防範內(nèi)賊、無法管理其他的連線等問題。但防火牆還是有其存在的價值，防火牆的功用如下：1. 集中管理防火牆就像是一個鎖喉之處，所有的安全問題都在此處進行解決。當有人欲自外界突破時必須由此進入，因此所有檢查動作都只需在此處執(zhí)行，而不需將安全措施分散到每一部電腦。滄海書局出版欒斌羅凱揚陳苡任 合著3315.3.

15、1 防火牆(續(xù))2. 網(wǎng)路把關(guān)Internet所提供的服務(wù)本身就具有很多問題，當內(nèi)部的使用者使用這些服務(wù)時，就可能遭遇前述的安全問題，而威脅到內(nèi)部網(wǎng)路的安全。3. 監(jiān)視活動因為所有和Internet有關(guān)的行為都必須經(jīng)過防火牆，所以防火牆可以記錄所有Internet的活動事件。4. 隔離問題防火牆亦可設(shè)立在內(nèi)部網(wǎng)路之中，此時的防火牆就如同船艦中的防水隔離艙門，不讓問題與破壞蔓延而影響到整體組織。滄海書局出版欒斌羅凱揚陳苡任 合著3415.3.1 防火牆(續(xù))(二)防火牆的設(shè)定藉由微軟的系統(tǒng)來解釋個人電腦防火牆設(shè)定的方式1. 第一步驟：開啟防火牆使用者可先點選開始功能表，選取控制臺 防火牆，將設(shè)定

16、選為開啟，即可啟動防火牆。滄海書局出版欒斌羅凱揚陳苡任 合著3515.3.1 防火牆(續(xù))2. 第二步驟：勾選設(shè)定值目前Windows XP提供三種設(shè)定的方式：開啟、不允許例外與關(guān)閉。(1)開啟：預(yù)設(shè)防火牆為開啟的狀態(tài)，建議不管在任何的情況下，使用者都應(yīng)該將此設(shè)定設(shè)為開啟的狀態(tài)。滄海書局出版欒斌羅凱揚陳苡任 合著3615.3.1 防火牆(續(xù))(2)不允許例外：在此模式下，連例外索引標籤中的程式或服務(wù)都將被封鎖，防火牆將會完全的封鎖掉所有要對電腦進行未經(jīng)請求的連線要求，是當使用者想要對電腦執(zhí)行最大的防護時使用。雖然透過不允許例外可過濾掉所有未經(jīng)允許的連線，仍可收到的連線為電子郵件、使用立即訊息程

17、式，及檢視大部分的網(wǎng)頁。(3)關(guān)閉：選取此一設(shè)定時會關(guān)閉Windows 防火牆，電腦會不受保護而非常容易受到未知的入侵者或病毒等攻擊。滄海書局出版欒斌羅凱揚陳苡任 合著3715.3.1 防火牆(續(xù))3. 第三步驟：新增例外連結(jié)當開啟防火牆後，大多數(shù)的連結(jié)均會被擋在防火牆外，此時，使用者需要新增想要開啟的連結(jié)，像是使用中的即時通軟體等。而若是要開啟連接埠，則需點選進階設(shè)定。當使用者將某程式設(shè)定為例外，便可透過防火牆進行通訊，相對上來說，電腦便更容易受到攻擊滄海書局出版欒斌羅凱揚陳苡任 合著3815.3.1 防火牆(續(xù))滄海書局出版欒斌羅凱揚陳苡任 合著3915.3.1 防火牆(續(xù))(三)防火牆的

18、類型以下依其基本類型分為封包過濾(Packet Filtering)及應(yīng)用閘道器(Application Gateway)兩種基本型態(tài)。1. 封包過濾封包過濾是防火牆的基本功能，封包過濾通常針對IP封包的表頭欄位與管理者制定的規(guī)則進行過濾。這些欄位主要為：IP、UDP、ICMP或TCP。來源主機之IP位址。目標主機之IP位址。來源TCP/UDP埠號碼。目標TCP/UDP埠號碼。滄海書局出版欒斌羅凱揚陳苡任 合著4015.3.1 防火牆(續(xù))滄海書局出版欒斌羅凱揚陳苡任 合著4115.3.1 防火牆(續(xù))2. 應(yīng)用閘道器應(yīng)用閘道器，同時以兩個網(wǎng)路介面連接兩段網(wǎng)路，故又名雙窟閘道器。它也具封包過濾

19、的功能，只是不同於封包過濾，應(yīng)用閘道器是在網(wǎng)際網(wǎng)路層進行；應(yīng)用閘道器的連線過濾動作發(fā)生在程序應(yīng)用層，故能提供較細緻、較智慧的安全管制。應(yīng)用閘道器的特性是不允許封包直接由其網(wǎng)際網(wǎng)路層流經(jīng)，其接受遠端主機的連線與否的規(guī)則，是在程序應(yīng)用層制定，用戶若欲通過應(yīng)用閘道器，得先出示其識別碼及密碼進行登入，再透過該閘道器與外界連線，應(yīng)用閘道器也被稱作代理伺服器。滄海書局出版欒斌羅凱揚陳苡任 合著4215.3.1 防火牆(續(xù))應(yīng)用閘道器的另一項附帶效益是，它可完全隔絕內(nèi)部網(wǎng)路及外界網(wǎng)路應(yīng)用閘道器的優(yōu)點是成本效益高，不需額外的硬體配備，它甚至不需有封包過濾的功能；其另一個優(yōu)點是管理容易，應(yīng)用閘道器不像封包過濾，

20、須設(shè)置複雜的過濾規(guī)則應(yīng)用閘道器的缺點是：用戶得簽入兩次方能進入目標主機，這對用戶可能造成些微的不便。不過這樣的代價若能提升內(nèi)部網(wǎng)路的安全性，相信也是值得的滄海書局出版欒斌羅凱揚陳苡任 合著4315.3.1 防火牆(續(xù))3. 屏障式閘道器屏障式閘道器為封包過濾與應(yīng)用閘道器的組合，又名阻流式閘道器。目前最經(jīng)濟的組合是將內(nèi)建封包過濾功能的選徑器堵在第一線，而在內(nèi)部網(wǎng)路則另取一主機做為應(yīng)用閘道器。該選徑器的過濾功能除了進行例行的過濾外，為了與內(nèi)部的閘道器相配合，它的過濾動作尚須滿足下列四項規(guī)則：(1)允許外界封包輸至內(nèi)部閘道器。(2)不允許外界封包輸至內(nèi)部其他主機。(3)允許閘道器的封包輸出至外界網(wǎng)路

21、。(4)不允許其他內(nèi)部主機的封包輸出至外界網(wǎng)路。滄海書局出版欒斌羅凱揚陳苡任 合著4415.3.1 防火牆(續(xù))滄海書局出版欒斌羅凱揚陳苡任 合著4515.3.1 防火牆(續(xù))4. 屏障式子網(wǎng)屏障式子網(wǎng)，也為封包過濾及應(yīng)用閘道器的組合，其與屏障式閘道器之差別在於此組合單部閘道器擴展成數(shù)部主機，但屏障式子網(wǎng)將風險及效能的負擔分散至數(shù)部主機，所以較安全、較有效率。屏障式子網(wǎng)的名稱，源自於此組合利用一介於外部及內(nèi)部網(wǎng)路之間的過渡性子網(wǎng)做為兩網(wǎng)間的屏障，該子網(wǎng)主要在提供內(nèi)、外界各式服務(wù)，因此又名非武裝區(qū)(DMZ) 。滄海書局出版欒斌羅凱揚陳苡任 合著4615.3.1 防火牆(續(xù))滄海書局出版欒斌羅凱揚

22、陳苡任 合著4715.3.1 防火牆(續(xù))5. 雙屏障式子網(wǎng)雙屏障式子網(wǎng)，是屏障式子網(wǎng)的延伸。在外部的封包濾器保護過渡子網(wǎng)內(nèi)的主機，包括提供內(nèi)、外網(wǎng)路服務(wù)的主機，應(yīng)用閘道器則擺在過渡子網(wǎng)內(nèi)，它與內(nèi)部網(wǎng)路之間則另以一封包濾器相隔，提供內(nèi)部網(wǎng)路更進一步的保護。滄海書局出版欒斌羅凱揚陳苡任 合著4815.3.1 防火牆(續(xù))(四)防火牆需要注意的項目防火牆可以幫助電腦使用者阻擋外來的攻擊，其中有以下六個需要各位注意的項目：1. 網(wǎng)路的保護者一個好的防火牆應(yīng)將整體Intranet納入其安全考量。2. 系統(tǒng)的補強角色一個好的防火牆必須是建構(gòu)在作業(yè)系統(tǒng)之前，而不是在作業(yè)系統(tǒng)之上，所以作業(yè)系統(tǒng)可能有的漏洞並

23、不會影響到一個好的防火牆系統(tǒng)所提供的安全性。滄海書局出版欒斌羅凱揚陳苡任 合著4915.3.1 防火牆(續(xù))3. 系統(tǒng)的自由選擇防火牆並非完全由硬體所構(gòu)成，所以軟體(作業(yè)系統(tǒng)) 所提供的功能以及執(zhí)行效率一定會影響到整體的表現(xiàn)。4. 支援的持續(xù)提供有新的產(chǎn)品出現(xiàn)，就有人會研究新的破解方法，所以一個好的防火牆提供者，就必須要有一個不斷進步的組織做為使用者安全的後盾，讓防火牆的功能不斷加強，因應(yīng)同時在不斷變化的破解技術(shù)。滄海書局出版欒斌羅凱揚陳苡任 合著5015.3.1 防火牆(續(xù))5. 檢查的安全機制(1)防火牆未必能有效杜絕所有的惡意封包：雖然一個好的防火牆應(yīng)該要能針對所有服務(wù)過濾其是否合法，但

24、不可避免的，有些利用合法的連結(jié)傳輸非法的封包是確實存在的。(2)絕對的安全性仍是必須依靠使用者的觀察及改進：一個好的防火牆雖然可以提供一個整體安全的解決方案，但企業(yè)想要達到絕對的安全，仍是需要內(nèi)部人員不斷的記錄、改進、追蹤才能達到的。滄海書局出版欒斌羅凱揚陳苡任 合著5115.3.1 防火牆(續(xù))6. 使用者的解決方案不但應(yīng)該要具備包括檢查、認證、警告、記錄的功能，並應(yīng)該能夠為使用者可能遇到的困境事先提出解決方案。滄海書局出版欒斌羅凱揚陳苡任 合著5215.3.2 防毒軟體所謂的防毒軟體就是防止電腦病毒入侵的一種軟體程式除了選購好的防毒軟體及常常進行更新病毒碼的動作外，更要避免使用從網(wǎng)路上下載的程式及軟體，和使用原版軟體才是真正的預(yù)防之道。滄海書局出版欒斌羅凱揚陳苡任 合著5315.3.3 加密保護一般來說，加密保護的方式包括：私有金鑰(Secret Key)及公開