1、第8章 電子商務與資訊安全應用大綱l電子商務架構l網路交易安全l密碼學電子商務保密技術l公開金鑰PKIl電子簽章法l個人資訊隱私權l數位音樂安全保護機制(DRM)電子商務架構 電子商務企業組織透過電腦網路來從事商業活動,其對象與範圍則包含了企業內部、企業間以及個人消費者等 電子商務架構 電子商務與長尾效應 庫存成本降低(工廠直接出貨給消費者)創作成本降低(網友的自由創意被商品化)搜尋成本降低(常見的搜尋引擎GOOGLE)網路交易安全 經濟合作暨發展組織(Organization for Economic Cooperation and Development;OECD)提出 基本資料透明化 交
2、易資訊透明化 後續處理資訊透明化 網路交易安全 基本資料透明化指導原則指導原則細細 項項內內 容容基本資料基本資料透明化透明化組織的基本資料透過電子商務方式與消費者互動的企業組織應提供消費者正確、清楚且容易取得的組織資訊,此資訊至少應足夠使消費者能夠確認交易的對象,並在必要時能與該企業組織取得聯絡隱私權政策依據隱私權保障及個人資料傳輸準則中明確的隱私權條款,並採用全球網路隱私權保障政治宣言,以提供消費者適當且有效的保障網站使用政策公平的商業、廣告及市場行銷活動網路交易安全 交易資訊透明化指導原則指導原則細細 項項內內 容容交易資訊交易資訊透明化透明化產品資訊透明政策l 以電子商務方式與消費者互
3、動之企業組織,應針對所提供 的產品與服務,提供消費者正確及易於取得的資訊;同時 該資訊必須足夠消費者可據以通知其決定是否要進行交 易,並盡可能使消費者留下正確的資料記錄l 對於參與電子商務交易環境的消費者,應提供其公開且有 效率的消費者保護,同時所獲得的保障不應低於其他交易 環境l 營造公平商業、廣告及市場行銷活動訂單處理透明政策從事電子商務的企業組織應提供有關交易雙方的條款、條件及費用等足夠資訊,以利消費者憑此資訊判斷是否進行交易行為付款處理透明政策企業組織應提供消費者易於使用的安全付款機制,以及該機制所提供的安全性資訊等級網路交易安全 後續處理資訊透明化指導原則指導原則細細 項項內內 容容
4、後續處理資後續處理資訊透明化訊透明化物流處理透明政策從事電子商務的企業組織應提供有關交易雙方的條款、條件及費用等足夠資訊,以利消費者憑此資訊判斷是否進行交易行為退換貨處理透明政策從事電子商務的企業組織應提供有關交易上的條款、條件及費用等足夠資訊,以利消費者憑此資訊決定是否進行交易行為客戶服務及申訴管道在對消費者提供的資訊上應明列依據之法則及管轄權所屬,企業組織應提供消費者可選擇爭議解決及救濟的方式,且其應具公平性與即時性,消費者亦不因而負擔任何將來到期的費用或其它花費設備安全政策l 對於參與電子商務交易環境的消費者,應提供其透 明、公開且有效率的消費者保護,同時所獲得的保護 不應亞於其它交易環
5、境l 企業組織須完整保存交易記錄網路交易安全 電子商務的基本需求:CIA 機密性(Confidentiality)交易必須保持其不可侵犯性,經由網際網路送出及接收的訊息是不能被任何闖入者讀取、修改或攔截的 真確性(Integrity)交易過程不能被第三者經由公共網路進行追蹤 可用性(Availability)使用者在進行電子商務的交易過程中一定不能被破壞或干擾 網路交易安全 電子商務9大議題三大問題信用卡交易虛擬私人網路數位憑證三大阻礙未知領域市場導向政府法規三大問題信用卡訂單虛擬私人網路數位憑證密碼學電子商務保密技術 近代密碼學重要時間點 1975:美國史丹福(Stanford)大學Whit
6、field Diffie 與 Martin Hellman提出的公鑰密碼系統 (public-key cryptosystem)觀念 1976:Diffee-Hellman演算法的密鑰交換(private key)1978:RSA數位簽章 1985:ElGamal數位簽章 2001:AES加密法密碼學電子商務保密技術 對稱式密碼學(Symmetric Cryptography)又稱秘密金鑰加密法(Private-key Encryption)衍生的標準包括:DES 資料加密標準(Data Encryption Standard)3DES(Triple DES)AES 先進加密標準(Advanc
7、ed Encryption Standard)密碼學電子商務保密技術 對稱式密碼學的加解密方式 使用相同金鑰(key)進行加加 密密解解 密密使用相同鑰匙進行加密與解密密碼學電子商務保密技術 非對稱式密碼學(Asymmetric Cryptography)又稱公開金鑰加密法(Public-key Encryption)衍生的標準包括 RSA加密密碼學電子商務保密技術 非對稱式密碼學(Asymmetric Cryptography)使用不同金鑰進行加密與解密加加 密密解解 密密使用不同鑰匙進行加密與解密密碼學電子商務保密技術 數位簽章訊 息訊息連結簽署人的私密金鑰訊 息數位簽章訊息摘要單向雜湊函
8、數簽章演算法(加密)電子簽章法 主要目的透過賦予電子文件和電子簽章法律效力,建立可信賴的網路交易環境,以確實掌握當資訊在網路傳輸過程中,是否曾遭到偽造、竄改或竊取,以保障資訊的正確與完整性,並透過識別交易雙方身分,防止事後否認已完成交易的事實 電子簽章法 數位簽章vs.電子簽章 數位簽章:非對稱式密碼學(Asymmetric Cryptosystem)加以應用 電子簽章:不僅限於技術面,各式個人特徵皆可用作為電子簽章 如人類生理外貌辨識、指紋辨識、瞳孔虹膜辨識、聲紋辨識、比對辨識等提供線上身分辨識之功能,或是筆跡、寫字力道等 電子簽章法 應用面 銀行金融業 網路零售業 其他適用電腦處理個人資料
9、保護法的產業 個人資訊隱私權 網路活動行為/交易行為等的紀錄 哪些類別的資料可以讓業者販賣給其他業者,以及這些業者是否有權力使用這些個人資訊進行販售 隨著隱私權政策的發展越來越重要,網路公司必須在保護顧客利益為前提與提供客製化服務的過程中找到平衡點,有時可能須要改變其經營方式以保護顧客利益,有時則必須修正其公佈之政策以反映法令標準之變更 個人資訊隱私權 電子商務與個人隱私 誰知道我的個人隱私 使用者所瀏覽的網站 公司內部網路 台灣的隱私權保護政策個人資訊隱私權 案例:美國社群(SNS)網站 FACEBOOK 於2007年11月推出利用資訊技術-Beacon 側錄/追蹤並公開網友的消費行為,引起宣然大波數位音樂安全保護機制(DRM)以OMA(Open Mobile Alliance;開放行動通訊聯盟)所提供的公開技術規格文件為基礎,包括以下三種模式:Forward lock(禁止轉寄)Combined delivery(結合式傳輸)Separate delivery(分離式傳輸)
