iT邦幫忙

0

【電子商務安全】概論

  • 分享至 

  • xImage
  •  

電子商務安全

發展

電子商務經營模式

  • B2B:企業對企業透過網際網路溝通或下單採購的商業行為

    • 交易頻率低,但交易金額高
    • 所交易的產品十分廣泛,可以是原料,也可以是成品、半成品
    • 交易的過程最複雜,規範也是最嚴格的
  • B2C:企業直接以消費者為交易對象

  • C2C:消費者與消費者之間相互交易的商業行為

  • C2B:將消費者聚集起來,在具有一定的規模後,與企業進行議價

      梅特卡夫定律(MetcalfsLaw)=>價值=nxn(網站參與成員×網站參與成員)
    

資訊系統之安全分析

  • 弱點分析:對整個系統的架構進行了解與測試,並分析出系統的弱點
  • 威脅分析:分析系統可能遭受的威脅與攻擊
  • 對策分析:針對弱點會出現的安全威脅,定出安全策略所需的安全機制
  • 風險分析:評估風險與可能的損失

ISAC整體傳輸架構

TAXII
共享即時性的資安情報
  • 發送者:網路威脅來源端
  • 接收者:網路威脅接收端
  • TAXII Transfer Agent (TTA):接收or傳送TAXII訊息
  • TAXII Message Handler (TMH):產生or解讀TAXII訊息
  • TAXII Back-end:儲存或管理等
STIX
快速通報事件的情報

資訊安全基本需求

  • 保密與機密性:確保資訊的機密,可透過加密確保

  • 完整性:確保資料傳輸的資訊正確與不被串改,可利用數位簽章或先加密再傳送

  • 可用性:確保系統的正確性

      可用性等級:2個九 3個九
    
  • 鑑別性:能鑑訊息來源(數位簽章or資料加密)或身分(驗證身分)

  • 不可否認性:傳送或接收方不能否認沒有傳送或接收某訊息資料

      來源不可否認:傳送方送出
      收件不可否認:接收方收件
      投件不可否認:傳送方送至轉送者(或遞送機構)
      送達不可否認:轉送者(或遞送機構)送至接收方
      遞送不可否認:傳送方或轉送者收到訊息
    
  • 存取控制:依使用者的等級分配存取權限

  • 稽核:用稽核紀錄追蹤事件

安全系統元件

  • 系統使用者
  • 系統操作介面
  • 後端處理程序
  • 資料庫系統
  • 通訊管道

資訊安全架構

  • 外圍層(Environment Layer):庫房
  • 外部層(External Layer):使用者介面
  • 中心層(Central Layer):內外層橋梁(系統)
  • 內部層(Internal Layer):資料庫
  • 分析層(Analysis Layer):系統管理與安全分析
  • 法律層(Law Layer):法律

風險管理程序

  • 資產價值=機密性(C)+完整性(I)+可用性(A)
  • 嚴重性=頻率×難易度×衝擊
  • 風險值=資產價值×嚴重性

入侵偵測

入侵偵測系統(IDS):偵測不正當的存取或攻擊
  • 1.擷取原始資料
  • 2.抽取特徵
  • 3.分析特徵
  • 4.事件回應
特徵分析
  • 誤用偵測(負面行為模式):明確定出異常的行為
  • 異常偵測(正面行為模式):明確定出正常的行為,偵測率高,誤判率也高
  • 混和模式偵測:混和,高偵測低誤判ㄉ
IDS現況

  • 主機型入侵偵測系統(Host-based IDS; HIDS)
    • 主機的稽核日誌檔演進而來
    • 在客戶端安裝一個代理程式,監視系統程序與cpu使用等
    • 可發現網路型未發現的入侵
    • 可確定攻擊是否成功
    • 及時偵測
    • 占用系統資源,可能影響主機效能
  • 網路型入侵偵測系統(Network-based IDS; NIDS)
    • 升級時對網路環境影響較小
    • 可監控範圍廣,但也可能發出警告
    • 可偵測到網路層問題
    • 只能偵測已知攻擊

入侵防禦系統(IPS):可以監控是否有惡意行為存在於網路與系統,並辨識與阻止

入侵防禦系統=入侵偵測系統+防禦功能
  • IPS基本要件
    • 主動式防禦(即時分析):設在網路封包的咽喉點,即時阻絕攻擊
    • 多種檢測技術,高準確度
    • 高處理效能,不能影響既有網路的運作
  • 偵測威脅的方法
    • 特徵偵測:事先寫入規則
    • 統計異常行為偵測:假設網路流量有一個基準,當這個基準被確定後,系統就會擷取網路流量和基準比較
    • 狀態協定分析與偵測:分析網路流量中特定協定是否符合應有的運作


圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言