1、滄海書局出版欒斌 羅凱揚 陳苡任 合著1本章學習架構本章學習架構v電子付款系統電子付款系統v網路安全性的簡介網路安全性的簡介v提高網路安全性提高網路安全性v結論結論滄海書局出版欒斌 羅凱揚 陳苡任 合著215.1 電子付款系統電子付款系統v隨著網路的迅速發展,電子商務也日漸繁榮熱絡,隨著網路的迅速發展,電子商務也日漸繁榮熱絡,隨之而來的問題即是如何能在網路上安全且便利隨之而來的問題即是如何能在網路上安全且便利的付款和訂購的付款和訂購滄海書局出版欒斌 羅凱揚 陳苡任 合著315.1.1 電子付款系統的概念電子付款系統的概念v電子付款是指在網路、電腦的環境下,經由數位電子付款是指在網路、電腦的環境
2、下,經由數位資料的交換與第三方的認證,來完成支付的過程,資料的交換與第三方的認證,來完成支付的過程,藉此取代傳統貨幣的交易模式。電子付款系統具藉此取代傳統貨幣的交易模式。電子付款系統具有貨幣價值性、相通性、可轉換性、安全性、個有貨幣價值性、相通性、可轉換性、安全性、個人化,與可使用性等特性人化,與可使用性等特性滄海書局出版欒斌 羅凱揚 陳苡任 合著415.1.1 電子付款系統的概念電子付款系統的概念(續續)滄海書局出版欒斌 羅凱揚 陳苡任 合著515.1.1 電子付款系統的概念電子付款系統的概念(續續)v要建構起電子付款系統,需要加入不同的角色,要建構起電子付款系統,需要加入不同的角色,主要可
3、分為主要可分為買方買方(Buyer)、賣方賣方(Seller)、發卡銀、發卡銀行行(Issuer)、收單銀行、收單銀行(Acquirer)、公正第三者、公正第三者(Trusted Third Party)與認證中心與認證中心(Certificate Authorities)等角色等角色1.買方買方 買方即為購買商品的一方,也可視為付款者買方即為購買商品的一方,也可視為付款者(Payer)2.賣方賣方 賣方為販賣商品的一方,也可稱為收款者賣方為販賣商品的一方,也可稱為收款者(Payee)滄海書局出版欒斌 羅凱揚 陳苡任 合著615.1.1 電子付款系統的概念電子付款系統的概念(續續)滄海書局出版
4、欒斌 羅凱揚 陳苡任 合著715.1.1 電子付款系統的概念電子付款系統的概念(續續)3.發卡銀行發卡銀行 主要是指信用卡發卡銀行,提供顧客線上支付工具主要是指信用卡發卡銀行,提供顧客線上支付工具及服務,並提供安全電子商業的運作規範。及服務,並提供安全電子商業的運作規範。4.收單銀行收單銀行 泛指提供商店收款金融服務的銀行。泛指提供商店收款金融服務的銀行。5.公正第三者公正第三者 是指負責調解網路交易時所產生的問題與爭執,具是指負責調解網路交易時所產生的問題與爭執,具備判決爭議的權力者。備判決爭議的權力者。滄海書局出版欒斌 羅凱揚 陳苡任 合著815.1.1 電子付款系統的概念電子付款系統的概
5、念(續續)6.認證中心認證中心 認證中心多由各國政府或公認具公信力的機構擔任,認證中心多由各國政府或公認具公信力的機構擔任,主要解決交易者的身分正確性與合法性,負責對交主要解決交易者的身分正確性與合法性,負責對交易參與者進行身分調查,向發卡銀行及收單銀行核易參與者進行身分調查,向發卡銀行及收單銀行核對申請者的資料是否一致,而對外發出、管理,和對申請者的資料是否一致,而對外發出、管理,和取消取消電子證書電子證書(Certificate)等,讓交易的相關廠商等,讓交易的相關廠商可透過電子證書來確認交易者的身分。可透過電子證書來確認交易者的身分。滄海書局出版欒斌 羅凱揚 陳苡任 合著915.1.2
6、電子付款系統的種類電子付款系統的種類v電子交易系統可分為兩大類:代幣式付款系統電子交易系統可分為兩大類:代幣式付款系統(包包括:電子現金、電子支票、智慧卡與儲值卡括:電子現金、電子支票、智慧卡與儲值卡)和信和信用卡式付款系統用卡式付款系統(SSL電子安全交易電子安全交易)。(一一)代幣式付款系統代幣式付款系統 代幣式付款系統則是模擬傳統的付款方式,使其適代幣式付款系統則是模擬傳統的付款方式,使其適合電子交易的環境,主要分為電子現金、電子支票、合電子交易的環境,主要分為電子現金、電子支票、智慧卡與儲值卡。智慧卡與儲值卡。滄海書局出版欒斌 羅凱揚 陳苡任 合著1015.1.2 電子付款系統的種類電
7、子付款系統的種類(續續)1.電子現金電子現金(e-cash)使用者須先開立帳戶並購買電子現金,之後,透過使用者須先開立帳戶並購買電子現金,之後,透過電子貨幣的交換來進行付款的行為。電子貨幣的交換來進行付款的行為。2.電子支票電子支票 電子支票是傳統紙張支票的電子網路化,它可以利電子支票是傳統紙張支票的電子網路化,它可以利用電子支票來取代傳統的支票,即透過使用數位簽用電子支票來取代傳統的支票,即透過使用數位簽章的技術來代替筆式簽章及印鑑,具有紙本支票的章的技術來代替筆式簽章及印鑑,具有紙本支票的使用效率與法律規範。且使用電子支票還需經過第使用效率與法律規範。且使用電子支票還需經過第三方的認證,增
8、加使用上的安全性與降低買賣雙方三方的認證,增加使用上的安全性與降低買賣雙方可能需承受的風險。可能需承受的風險。滄海書局出版欒斌 羅凱揚 陳苡任 合著1115.1.2 電子付款系統的種類電子付款系統的種類(續續)滄海書局出版欒斌 羅凱揚 陳苡任 合著1215.1.2 電子付款系統的種類電子付款系統的種類(續續)3.智慧卡智慧卡 又可稱為又可稱為Smart卡,目前有兩種使用模式:卡,目前有兩種使用模式:(1)第一第一種為非接觸式卡片種為非接觸式卡片(Contactless Card):不用接觸:不用接觸智慧卡讀取機就可感應資料,像是捷運卡;智慧卡讀取機就可感應資料,像是捷運卡;(2)第第二種為接觸
9、式卡片二種為接觸式卡片(Contact Card):需要插入智慧:需要插入智慧卡讀取機才能取得資料,像是銀行晶片卡。卡讀取機才能取得資料,像是銀行晶片卡。4.儲值卡儲值卡 儲值卡儲值卡(Stored-value Card)是指現金預先被內建是指現金預先被內建在卡片內,讓使用者可藉此來進行購物的行為。在卡片內,讓使用者可藉此來進行購物的行為。滄海書局出版欒斌 羅凱揚 陳苡任 合著1315.1.2 電子付款系統的種類電子付款系統的種類(續續)(二二)信用卡式付款系統信用卡式付款系統 在信用卡的電子付款時,網站都會利用在信用卡的電子付款時,網站都會利用SSL(Secure Socket Layer)
10、機制來進行加密,此模式機制來進行加密,此模式的使用過程包括:驗證身分、傳遞公鑰、公鑰加密的使用過程包括:驗證身分、傳遞公鑰、公鑰加密與傳遞檔案、私鑰解鎖,和驗證。與傳遞檔案、私鑰解鎖,和驗證。首先為驗證身分,之後,伺服器提供一組公鑰給使首先為驗證身分,之後,伺服器提供一組公鑰給使用者的電腦,並利用此一公鑰來進行加密,此時,用者的電腦,並利用此一公鑰來進行加密,此時,使用者傳遞任何訊息都會透過此公鑰的加密,才會使用者傳遞任何訊息都會透過此公鑰的加密,才會傳回給伺服器。而伺服器則握有唯一一組可以解開傳回給伺服器。而伺服器則握有唯一一組可以解開公鑰的私鑰,並藉此解開傳遞者的訊息,公鑰的私鑰,並藉此解
11、開傳遞者的訊息,滄海書局出版欒斌 羅凱揚 陳苡任 合著1415.1.2 電子付款系統的種類電子付款系統的種類(續續)但是但是SSL也非絕對安全,為了克制此一問題,最新也非絕對安全,為了克制此一問題,最新的模式為的模式為OpenSSL(利用手動的方式起始利用手動的方式起始SSL 連結連結)或發展監測或發展監測SSL 服務器服務器(將將SSL連結的過程轉化成連結的過程轉化成IDS可以監視的純文字格式,讓可以監視的純文字格式,讓IDS可以發揮功用可以發揮功用),以減少被入侵的可能。以減少被入侵的可能。滄海書局出版欒斌 羅凱揚 陳苡任 合著1515.1.2 電子付款系統的種類電子付款系統的種類(續續)
12、滄海書局出版欒斌 羅凱揚 陳苡任 合著1615.1.3 電子付款的影響因素電子付款的影響因素v響電子付款的因素,分為交易參與者的需求與電響電子付款的因素,分為交易參與者的需求與電子環境的因素。在交易參與者的需求方面,主要子環境的因素。在交易參與者的需求方面,主要可分為買方與賣方兩部分。對於買方需求來說,可分為買方與賣方兩部分。對於買方需求來說,影響的因素包括:賣方的合法性、資料的安全性、影響的因素包括:賣方的合法性、資料的安全性、交易的正確性與使用的便利性;賣方需求則為:交易的正確性與使用的便利性;賣方需求則為:買方的正確性、訂單的執行性與款項的取得性,買方的正確性、訂單的執行性與款項的取得性
13、,本書整理如表本書整理如表15-2所示。所示。滄海書局出版欒斌 羅凱揚 陳苡任 合著1715.1.3 電子付款的影響因素電子付款的影響因素(續續)滄海書局出版欒斌 羅凱揚 陳苡任 合著1815.1.3 電子付款的影響因素電子付款的影響因素(續續)滄海書局出版欒斌 羅凱揚 陳苡任 合著1915.1.3 電子付款的影響因素電子付款的影響因素(續續)v在電子環境的因素則是指電子交易平台所造成的在電子環境的因素則是指電子交易平台所造成的影響影響滄海書局出版欒斌 羅凱揚 陳苡任 合著2015.1.3 電子付款的影響因素電子付款的影響因素(續續)滄海書局出版欒斌 羅凱揚 陳苡任 合著2115.2 網路安全
14、性的簡介網路安全性的簡介滄海書局出版欒斌 羅凱揚 陳苡任 合著2215.2.1 網路服務安全問題網路服務安全問題v除了上述所提及的病毒與入侵的問題外,其實,除了上述所提及的病毒與入侵的問題外,其實,網路服務還存在一些安全上的問題,包括:網路服務還存在一些安全上的問題,包括:e-mail、FTP、Blog、即時通和、即時通和WWW等。等。(一一)e-mail 目前比較常見的安全問題在於:冒名的信件、匿名目前比較常見的安全問題在於:冒名的信件、匿名信,和病毒信件。其中又以具病毒程式的信,和病毒信件。其中又以具病毒程式的e-mail信信件最為嚴重。使用件最為嚴重。使用e-mail最常發生的安全問題是
15、,最常發生的安全問題是,e-mail極可能被攔截、複製,因此不要在極可能被攔截、複製,因此不要在e-mail中中提及機密的事項。提及機密的事項。滄海書局出版欒斌 羅凱揚 陳苡任 合著2315.2.1 網路服務安全問題網路服務安全問題(續續)(二二)FTP 透過透過FTP來傳遞檔案已經成為網路使用者分享資源來傳遞檔案已經成為網路使用者分享資源的管道之一,但在傳遞的過程無法確定檔案是否未的管道之一,但在傳遞的過程無法確定檔案是否未受病毒的感染,任意從網路受病毒的感染,任意從網路FTP取回的程式,將會取回的程式,將會承受很大的病毒威脅。架設承受很大的病毒威脅。架設FTP站台的管理者則必站台的管理者則
16、必須面對,是否將須面對,是否將FTP伺服主機的檔案存取權限設定伺服主機的檔案存取權限設定完善的問題,否則此伺服主機很容易遭人破壞。完善的問題,否則此伺服主機很容易遭人破壞。滄海書局出版欒斌 羅凱揚 陳苡任 合著2415.2.1 網路服務安全問題網路服務安全問題(續續)(三三)Blog 當有心人士在網頁上置入具有木馬程式的語法,會當有心人士在網頁上置入具有木馬程式的語法,會造成上來觀看的使用者感染病毒,甚至如果是版主造成上來觀看的使用者感染病毒,甚至如果是版主的話,還會被盜用帳號與資料,造成網誌的損壞。的話,還會被盜用帳號與資料,造成網誌的損壞。滄海書局出版欒斌 羅凱揚 陳苡任 合著2515.2
17、.1 網路服務安全問題網路服務安全問題(續續)(四四)即時通即時通 像是詐騙集團常透過即時通軟體的搜尋功能,發送像是詐騙集團常透過即時通軟體的搜尋功能,發送接受邀請的通知,當使用者接受後就會變成詐騙的接受邀請的通知,當使用者接受後就會變成詐騙的目標。病毒則是即時通使用上的另一個問題,當聯目標。病毒則是即時通使用上的另一個問題,當聯絡人突然發送某個不知名的連結,只要使用者不察絡人突然發送某個不知名的連結,只要使用者不察而點選該連結,就會自動下載病毒程式,該病毒還而點選該連結,就會自動下載病毒程式,該病毒還會持續透過即時通的聯絡人清單發送連結,不斷的會持續透過即時通的聯絡人清單發送連結,不斷的將病
18、毒傳送出去,造成使用上的不便。將病毒傳送出去,造成使用上的不便。滄海書局出版欒斌 羅凱揚 陳苡任 合著2615.2.1 網路服務安全問題網路服務安全問題(續續)(五五)WWW 首先,網路釣魚是指詐騙集團會註冊與官方網站相首先,網路釣魚是指詐騙集團會註冊與官方網站相似的網址,並且購買關鍵字廣告,當使用者搜尋後似的網址,並且購買關鍵字廣告,當使用者搜尋後若不察而點選該網站,在上面註冊會員等行為都會若不察而點選該網站,在上面註冊會員等行為都會被側錄,讓個人的資料外洩。被側錄,讓個人的資料外洩。間諜程式則是指未經使用者同意下,進行蒐集個人間諜程式則是指未經使用者同意下,進行蒐集個人資料的軟體,目前常見
19、許多廣告軟體會透過此一方資料的軟體,目前常見許多廣告軟體會透過此一方式來蒐集顧客的資料。式來蒐集顧客的資料。滄海書局出版欒斌 羅凱揚 陳苡任 合著2715.2.2 保護何項東西?保護何項東西?v我們在網路上要保護的東西分為三類:資料、資我們在網路上要保護的東西分為三類:資料、資源與身分,分述如下。源與身分,分述如下。1.資料資料資料資料是在網路上最容易被駭客覬覦的東西,共可是在網路上最容易被駭客覬覦的東西,共可以分為以分為機密性機密性與完整性兩類:與完整性兩類:(1)機密性:機密的文件。機密性的資料通常是和國機密性:機密的文件。機密性的資料通常是和國家安全及利益有關,或是一個企業的重要商業技家
20、安全及利益有關,或是一個企業的重要商業技術等。要避免機密性資料遭術等。要避免機密性資料遭Internet上的駭客上的駭客(Hacker)盜取,不連接上盜取,不連接上Internet似乎是最一勞永似乎是最一勞永逸的辦法了,但也並非所有的資料皆能以此種方逸的辦法了,但也並非所有的資料皆能以此種方法來保護。法來保護。(2)完整性:意指不能被修改的資料完整性:意指不能被修改的資料滄海書局出版欒斌 羅凱揚 陳苡任 合著2815.2.2 保護何項東西?保護何項東西?(續續)2.資源資源 網路資源也是需要保護的一部分,若是磁碟未受保網路資源也是需要保護的一部分,若是磁碟未受保護,其他使用者可能會進入你的磁碟
21、,佔用你的磁護,其他使用者可能會進入你的磁碟,佔用你的磁碟空間,甚至破壞磁碟以及其中的檔案。碟空間,甚至破壞磁碟以及其中的檔案。3.身分身分 一旦你的一旦你的身分身分被別具居心的他人冒用,可能會有相被別具居心的他人冒用,可能會有相當嚴重的後果。當嚴重的後果。滄海書局出版欒斌 羅凱揚 陳苡任 合著2915.3 提高網路安全性提高網路安全性v本書在此介紹如何提高電腦的安全性防護,包括:本書在此介紹如何提高電腦的安全性防護,包括:防火牆、防毒軟體和加密保護等方法,來阻嚇非防火牆、防毒軟體和加密保護等方法,來阻嚇非法入侵者,在此將一一替讀者介紹。法入侵者,在此將一一替讀者介紹。滄海書局出版欒斌 羅凱揚
22、 陳苡任 合著3015.3.1 防火牆防火牆v網路上使用最普遍的安全機制為防火牆,電腦使網路上使用最普遍的安全機制為防火牆,電腦使用者可在控制台用者可在控制台 Windows防火牆中建立防火防火牆中建立防火牆的相關設定牆的相關設定(一一)防火牆的概念防火牆的概念 Internet上的上的防火牆防火牆功能類似古代城堡的護城河,功能類似古代城堡的護城河,用來防止由外部無法信任的網路用來防止由外部無法信任的網路(Internet)使用者使用者進入信任的網路進入信任的網路(Intranet),以保護內部網路的安,以保護內部網路的安全。全。防火牆提供的基本防禦目的為:限制外部人員進入、防火牆提供的基本防
23、禦目的為:限制外部人員進入、防止攻擊者接近電腦、限制內部人員離開或傳遞資防止攻擊者接近電腦、限制內部人員離開或傳遞資訊給外部者。訊給外部者。滄海書局出版欒斌 羅凱揚 陳苡任 合著3115.3.1 防火牆防火牆(續續)滄海書局出版欒斌 羅凱揚 陳苡任 合著3215.3.1 防火牆防火牆(續續)防火牆主要有下列幾項缺點:無法防範病毒的入侵;防火牆主要有下列幾項缺點:無法防範病毒的入侵;若企業內部的使用者入侵的話,由於其具有使用的若企業內部的使用者入侵的話,由於其具有使用的權限,因此,防火牆無法限制其存取的行為;亦即權限,因此,防火牆無法限制其存取的行為;亦即有無法防範內賊、無法管理其他的連線等問題
24、。有無法防範內賊、無法管理其他的連線等問題。但防火牆還是有其存在的價值,防火牆的功用如下:但防火牆還是有其存在的價值,防火牆的功用如下:1.集中管理集中管理 防火牆就像是一個鎖喉之處,所有的安全問題都在此處防火牆就像是一個鎖喉之處,所有的安全問題都在此處進行解決。當有人欲自外界突破時必須由此進入,因此進行解決。當有人欲自外界突破時必須由此進入,因此所有檢查動作都只需在此處執行,而不需將安全措施分所有檢查動作都只需在此處執行,而不需將安全措施分散到每一部電腦。散到每一部電腦。滄海書局出版欒斌 羅凱揚 陳苡任 合著3315.3.1 防火牆防火牆(續續)2.網路把關網路把關 Internet所提供的
25、服務本身就具有很多問題,當內部的所提供的服務本身就具有很多問題,當內部的使用者使用這些服務時,就可能遭遇前述的安全問題,使用者使用這些服務時,就可能遭遇前述的安全問題,而威脅到內部網路的安全。而威脅到內部網路的安全。3.監視活動監視活動 因為所有和因為所有和Internet有關的行為都必須經過防火牆,所有關的行為都必須經過防火牆,所以防火牆可以記錄所有以防火牆可以記錄所有Internet的活動事件。的活動事件。4.隔離問題隔離問題 防火牆亦可設立在內部網路之中,此時的防火牆就如同防火牆亦可設立在內部網路之中,此時的防火牆就如同船艦中的防水隔離艙門,不讓問題與破壞蔓延而影響到船艦中的防水隔離艙門
26、,不讓問題與破壞蔓延而影響到整體組織。整體組織。滄海書局出版欒斌 羅凱揚 陳苡任 合著3415.3.1 防火牆防火牆(續續)(二二)防火牆的設定防火牆的設定 藉由微軟的系統來解釋個人電腦防火牆設定的方式藉由微軟的系統來解釋個人電腦防火牆設定的方式1.第一步驟:開啟防火牆第一步驟:開啟防火牆 使用者可先點選開始功能表,選取控制台使用者可先點選開始功能表,選取控制台 防火防火牆,將設定選為開啟,即可啟動防火牆。牆,將設定選為開啟,即可啟動防火牆。滄海書局出版欒斌 羅凱揚 陳苡任 合著3515.3.1 防火牆防火牆(續續)2.第二步驟:勾選設定值第二步驟:勾選設定值目前目前Windows XP提供三
27、種設定的方式:開啟、提供三種設定的方式:開啟、不允許例外與關閉。不允許例外與關閉。(1)開啟:預設防火牆為開啟的狀態,建議不管在任開啟:預設防火牆為開啟的狀態,建議不管在任何的情況下,使用者都應該將此設定設為開啟的何的情況下,使用者都應該將此設定設為開啟的狀態。狀態。滄海書局出版欒斌 羅凱揚 陳苡任 合著3615.3.1 防火牆防火牆(續續)(2)不允許例外:在此模式下,連例外索引標籤中的不允許例外:在此模式下,連例外索引標籤中的程式或服務都將被封鎖,防火牆將會完全的封鎖程式或服務都將被封鎖,防火牆將會完全的封鎖掉所有要對電腦進行未經請求的連線要求,是當掉所有要對電腦進行未經請求的連線要求,是
28、當使用者想要對電腦執行最大的防護時使用。雖然使用者想要對電腦執行最大的防護時使用。雖然透過不允許例外可過濾掉所有未經允許的連線,透過不允許例外可過濾掉所有未經允許的連線,仍可收到的連線為電子郵件、使用立即訊息程式,仍可收到的連線為電子郵件、使用立即訊息程式,及檢視大部分的網頁。及檢視大部分的網頁。(3)關閉:選取此一設定時會關閉關閉:選取此一設定時會關閉Windows 防火牆,防火牆,電腦會不受保護而非常容易受到未知的入侵者或電腦會不受保護而非常容易受到未知的入侵者或病毒等攻擊。病毒等攻擊。滄海書局出版欒斌 羅凱揚 陳苡任 合著3715.3.1 防火牆防火牆(續續)3.第三步驟:新增例外連結第
29、三步驟:新增例外連結 當開啟防火牆後,大多數的連結均會被擋在防火牆當開啟防火牆後,大多數的連結均會被擋在防火牆外,此時,使用者需要新增想要開啟的連結,像是外,此時,使用者需要新增想要開啟的連結,像是使用中的即時通軟體等。而若是要開啟連接埠,則使用中的即時通軟體等。而若是要開啟連接埠,則需點選進階設定。需點選進階設定。當使用者將某程式設定為例外,便可透過防火牆進當使用者將某程式設定為例外,便可透過防火牆進行通訊,相對上來說,電腦便更容易受到攻擊行通訊,相對上來說,電腦便更容易受到攻擊滄海書局出版欒斌 羅凱揚 陳苡任 合著3815.3.1 防火牆防火牆(續續)滄海書局出版欒斌 羅凱揚 陳苡任 合著
30、3915.3.1 防火牆防火牆(續續)(三三)防火牆的類型防火牆的類型 以下依其基本類型分為封包過濾以下依其基本類型分為封包過濾(Packet Filtering)及應用閘道器及應用閘道器(Application Gateway)兩種基本型兩種基本型態。態。1.封包過濾封包過濾 封包過濾是防火牆的基本功能,封包過濾通常針對封包過濾是防火牆的基本功能,封包過濾通常針對IP封包的表頭欄位與管理者制定的規則進行過濾。封包的表頭欄位與管理者制定的規則進行過濾。這些欄位主要為:這些欄位主要為:IP、UDP、ICMP或或TCP。來源主機之來源主機之IP位址。位址。目標主機之目標主機之IP位址。位址。來源來
31、源TCP/UDP埠號碼。埠號碼。目標目標TCP/UDP埠號碼。埠號碼。滄海書局出版欒斌 羅凱揚 陳苡任 合著4015.3.1 防火牆防火牆(續續)滄海書局出版欒斌 羅凱揚 陳苡任 合著4115.3.1 防火牆防火牆(續續)2.應用閘道器應用閘道器 應用閘道器,同時以兩個網路介面連接兩段網路,應用閘道器,同時以兩個網路介面連接兩段網路,故又名雙窟閘道器。它也具封包過濾的功能,只是故又名雙窟閘道器。它也具封包過濾的功能,只是不同於封包過濾,應用閘道器是在網際網路層進行;不同於封包過濾,應用閘道器是在網際網路層進行;應用閘道器的連線過濾動作發生在程序應用層,故應用閘道器的連線過濾動作發生在程序應用層
32、,故能提供較細緻、較智慧的安全管制。應用閘道器的能提供較細緻、較智慧的安全管制。應用閘道器的特性是不允許封包直接由其網際網路層流經,其接特性是不允許封包直接由其網際網路層流經,其接受遠端主機的連線與否的規則,是在程序應用層制受遠端主機的連線與否的規則,是在程序應用層制定,用戶若欲通過應用閘道器,得先出示其識別碼定,用戶若欲通過應用閘道器,得先出示其識別碼及密碼進行登入,再透過該閘道器與外界連線,應及密碼進行登入,再透過該閘道器與外界連線,應用閘道器也被稱作代理伺服器。用閘道器也被稱作代理伺服器。滄海書局出版欒斌 羅凱揚 陳苡任 合著4215.3.1 防火牆防火牆(續續)應用閘道器的另一項附帶效
33、益是,它可完全隔絕內應用閘道器的另一項附帶效益是,它可完全隔絕內部網路及外界網路部網路及外界網路 應用閘道器的優點是成本效益高,不需額外的應用閘道器的優點是成本效益高,不需額外的硬體配備,它甚至不需有封包過濾的功能;其另一硬體配備,它甚至不需有封包過濾的功能;其另一個優點是管理容易,應用閘道器不像封包過濾,個優點是管理容易,應用閘道器不像封包過濾,須設置複雜的過濾規則須設置複雜的過濾規則 應用閘道器的缺點是:用戶得簽入兩次方能進入目應用閘道器的缺點是:用戶得簽入兩次方能進入目標主機,這對用戶可能造成些微的不便。不過這樣標主機,這對用戶可能造成些微的不便。不過這樣的代價若能提升內部網路的安全性,
34、相信也是值得的代價若能提升內部網路的安全性,相信也是值得的的滄海書局出版欒斌 羅凱揚 陳苡任 合著4315.3.1 防火牆防火牆(續續)3.屏障式閘道器屏障式閘道器 屏障式閘道器為封包過濾與應用閘道器的組合,又屏障式閘道器為封包過濾與應用閘道器的組合,又名阻流式閘道器。目前最經濟的組合是將內建封包名阻流式閘道器。目前最經濟的組合是將內建封包過濾功能的選徑器堵在第一線,而在內部網路則另過濾功能的選徑器堵在第一線,而在內部網路則另取一主機做為應用閘道器。該選徑器的過濾功能除取一主機做為應用閘道器。該選徑器的過濾功能除了進行例行的過濾外,為了與內部的閘道器相配合,了進行例行的過濾外,為了與內部的閘道
35、器相配合,它的過濾動作尚須滿足下列四項規則:它的過濾動作尚須滿足下列四項規則:(1)允許外界封包輸至內部閘道器。允許外界封包輸至內部閘道器。(2)不允許外界封包輸至內部其他主機。不允許外界封包輸至內部其他主機。(3)允許閘道器的封包輸出至外界網路。允許閘道器的封包輸出至外界網路。(4)不允許其他內部主機的封包輸出至外界網路。不允許其他內部主機的封包輸出至外界網路。滄海書局出版欒斌 羅凱揚 陳苡任 合著4415.3.1 防火牆防火牆(續續)滄海書局出版欒斌 羅凱揚 陳苡任 合著4515.3.1 防火牆防火牆(續續)4.屏障式子網屏障式子網 屏障式子網,也為封包過濾及應用閘道器的組合,屏障式子網,
36、也為封包過濾及應用閘道器的組合,其與屏障式閘道器之差別在於此組合單部閘道器擴其與屏障式閘道器之差別在於此組合單部閘道器擴展成數部主機,但屏障式子網將風險及效能的負擔展成數部主機,但屏障式子網將風險及效能的負擔分散至數部主機,所以較安全、較有效率。屏障式分散至數部主機,所以較安全、較有效率。屏障式子網的名稱,源自於此組合利用一介於外部及內部子網的名稱,源自於此組合利用一介於外部及內部網路之間的過渡性子網做為兩網間的屏障,該子網網路之間的過渡性子網做為兩網間的屏障,該子網主要在提供內、外界各式服務,因此又名非武裝區主要在提供內、外界各式服務,因此又名非武裝區(DMZ)。滄海書局出版欒斌 羅凱揚 陳
37、苡任 合著4615.3.1 防火牆防火牆(續續)滄海書局出版欒斌 羅凱揚 陳苡任 合著4715.3.1 防火牆防火牆(續續)5.雙屏障式子網雙屏障式子網 雙屏障式子網,是屏障式子網的延伸。在外部的封雙屏障式子網,是屏障式子網的延伸。在外部的封包濾器保護過渡子網內的主機,包括提供內、外網包濾器保護過渡子網內的主機,包括提供內、外網路服務的主機,應用閘道器則擺在過渡子網內,它路服務的主機,應用閘道器則擺在過渡子網內,它與內部網路之間則另以一封包濾器相隔,提供內部與內部網路之間則另以一封包濾器相隔,提供內部網路更進一步的保護。網路更進一步的保護。滄海書局出版欒斌 羅凱揚 陳苡任 合著4815.3.1
38、 防火牆防火牆(續續)(四四)防火牆需要注意的項目防火牆需要注意的項目 防火牆可以幫助電腦使用者阻擋外來的攻擊,其中防火牆可以幫助電腦使用者阻擋外來的攻擊,其中有以下六個需要各位注意的項目:有以下六個需要各位注意的項目:1.網路的保護者網路的保護者 一個好的防火牆應將整體一個好的防火牆應將整體Intranet納入其安全考量。納入其安全考量。2.系統的補強角色系統的補強角色 一個好的防火牆必須是建構在作業系統之前,而不一個好的防火牆必須是建構在作業系統之前,而不是在作業系統之上,所以作業系統可能有的漏洞並是在作業系統之上,所以作業系統可能有的漏洞並不會影響到一個好的防火牆系統所提供的安全性。不會
39、影響到一個好的防火牆系統所提供的安全性。滄海書局出版欒斌 羅凱揚 陳苡任 合著4915.3.1 防火牆防火牆(續續)3.系統的自由選擇系統的自由選擇 防火牆並非完全由硬體所構成,所以軟體防火牆並非完全由硬體所構成,所以軟體(作業系作業系統統)所提供的功能以及執行效率一定會影響到整體所提供的功能以及執行效率一定會影響到整體的表現。的表現。4.支援的持續提供支援的持續提供 有新的產品出現,就有人會研究新的破解方法,所有新的產品出現,就有人會研究新的破解方法,所以一個好的防火牆提供者,就必須要有一個不斷進以一個好的防火牆提供者,就必須要有一個不斷進步的組織做為使用者安全的後盾,讓防火牆的功能步的組織
40、做為使用者安全的後盾,讓防火牆的功能不斷加強,因應同時在不斷變化的破解技術。不斷加強,因應同時在不斷變化的破解技術。滄海書局出版欒斌 羅凱揚 陳苡任 合著5015.3.1 防火牆防火牆(續續)5.檢查的安全機制檢查的安全機制(1)防火牆未必能有效杜絕所有的惡意封包:雖然一防火牆未必能有效杜絕所有的惡意封包:雖然一個好的防火牆應該要能針對所有服務過濾其是否個好的防火牆應該要能針對所有服務過濾其是否合法,但不可避免的,有些利用合法的連結傳輸合法,但不可避免的,有些利用合法的連結傳輸非法的封包是確實存在的。非法的封包是確實存在的。(2)絕對的安全性仍是必須依靠使用者的觀察及改進:絕對的安全性仍是必須
41、依靠使用者的觀察及改進:一個好的防火牆雖然可以提供一個整體安全的解一個好的防火牆雖然可以提供一個整體安全的解決方案,但企業想要達到絕對的安全,仍是需要決方案,但企業想要達到絕對的安全,仍是需要內部人員不斷的記錄、改進、追蹤才能達到的。內部人員不斷的記錄、改進、追蹤才能達到的。滄海書局出版欒斌 羅凱揚 陳苡任 合著5115.3.1 防火牆防火牆(續續)6.使用者的解決方案使用者的解決方案 不但應該要具備包括檢查、認證、警告、記錄的功不但應該要具備包括檢查、認證、警告、記錄的功能,並應該能夠為使用者可能遇到的困境事先提出能,並應該能夠為使用者可能遇到的困境事先提出解決方案。解決方案。滄海書局出版欒
42、斌 羅凱揚 陳苡任 合著5215.3.2 防毒軟體防毒軟體v所謂的防毒軟體就是防止電腦病毒入侵的一種軟所謂的防毒軟體就是防止電腦病毒入侵的一種軟體程式體程式v除了選購好的防毒軟體及常常進行更新病毒碼的除了選購好的防毒軟體及常常進行更新病毒碼的動作外,更要避免使用從網路上下載的程式及軟動作外,更要避免使用從網路上下載的程式及軟體,和使用原版軟體才是真正的預防之道。體,和使用原版軟體才是真正的預防之道。滄海書局出版欒斌 羅凱揚 陳苡任 合著5315.3.3 加密保護加密保護v一般來說,加密保護的方式包括:私有金鑰一般來說,加密保護的方式包括:私有金鑰(Secret Key)及公開金鑰及公開金鑰(P
43、ublic Key),其意義如,其意義如下所示。下所示。1.私有金鑰私有金鑰 私有金鑰私有金鑰(Secret Key)加密法又稱為對稱式加密加密法又稱為對稱式加密法或傳統加密法,其特色是加密或解密時必須使用法或傳統加密法,其特色是加密或解密時必須使用同一把鑰匙,明文經此演算法與一組金鑰加密後產同一把鑰匙,明文經此演算法與一組金鑰加密後產生密文,其長度約略與明文的相近,且須使用同一生密文,其長度約略與明文的相近,且須使用同一把金鑰才能將密文轉換成明文。把金鑰才能將密文轉換成明文。滄海書局出版欒斌 羅凱揚 陳苡任 合著5415.3.3 加密保護加密保護(續續)滄海書局出版欒斌 羅凱揚 陳苡任 合著
44、5515.3.3 加密保護加密保護(續續)2.公開金鑰公開金鑰 又稱為非對稱式加密法,其特色是加密和解密時使又稱為非對稱式加密法,其特色是加密和解密時使用兩組不同的金鑰,這兩組金鑰是成對的,一組是用兩組不同的金鑰,這兩組金鑰是成對的,一組是公開金鑰,另一組是私有金鑰,加密時如果用公開公開金鑰,另一組是私有金鑰,加密時如果用公開金鑰就必須用私有金鑰來解密;加密時如果用私有金鑰就必須用私有金鑰來解密;加密時如果用私有金鑰解密就必須使用公開金鑰來解密,即可避免金金鑰解密就必須使用公開金鑰來解密,即可避免金鑰在傳送中被竊取。其他應用尚包括連線時的身分鑰在傳送中被竊取。其他應用尚包括連線時的身分識別及數
45、位簽名等。識別及數位簽名等。滄海書局出版欒斌 羅凱揚 陳苡任 合著5615.3.3 加密保護加密保護(續續)滄海書局出版欒斌 羅凱揚 陳苡任 合著5715.3.3 加密保護加密保護(續續)v資料加密是唯一可令覬覦者不得其便的妙方,加資料加密是唯一可令覬覦者不得其便的妙方,加密技術尚可用於數位簽名,以此證明該文件的確密技術尚可用於數位簽名,以此證明該文件的確其來有自,它也令用戶對於親自簽發的文件或進其來有自,它也令用戶對於親自簽發的文件或進行過的交易無可否認。這個加解密系統提供了四行過的交易無可否認。這個加解密系統提供了四大功能:大功能:確實性:提供身分的確實性,包括身分與資料來源確實性:提供身
46、分的確實性,包括身分與資料來源的確認。的確認。機密性:此係用以防止資訊洩漏或被未經授權的第機密性:此係用以防止資訊洩漏或被未經授權的第三者取得。三者取得。完整性:此係用以保護資料以避免內容遭篡改或偽完整性:此係用以保護資料以避免內容遭篡改或偽造。造。不可否認性:此係保障收發訊息的任一方不得隨意不可否認性:此係保障收發訊息的任一方不得隨意否認已進行過的事實。否認已進行過的事實。滄海書局出版欒斌 羅凱揚 陳苡任 合著5815.4 結論結論v因網路購物的快速發展,對於交易的需求越來越因網路購物的快速發展,對於交易的需求越來越高,保持一個安全的網路使用環境之重要性也隨高,保持一個安全的網路使用環境之重要性也隨之提高,但隨著網路釣魚等會竊取使用者資料的之提高,但隨著網路釣魚等會竊取使用者資料的網站數量增加,像是出現詐騙的網站也能取得合網站數量增加,像是出現詐騙的網站也能取得合法網站憑證的情況下,網路使用者須提高自己電法網站憑證的情況下,網路使用者須提高自己電腦的安全設定,將瀏覽器的安全性訂得更為嚴謹,腦的安全設定,將瀏覽器的安全性訂得更為嚴謹,並透過各種的防護機制來確保交易的安全性,也並透過各種的防護機制來確保交易的安全性,也可避免自己陷入詐騙集團或駭客的損害中。可避免自己陷入詐騙集團或駭客的損害中。
