Скачать презентацию 第十六章 電子郵件安全 本投影片 下稱教用資源 僅授權給採用教用資源相關之旗標書籍為教科書之授課老師 下稱老師 專用 老師為教學使用之目的 得摘錄 編輯 重製教用資源 但使用量 不得超過各該教用資源內容之80 以製作為輔助教學之教學投影片 並於授課時搭配 旗標書籍公開播放 但不得為網際網路公開傳輸之遠距教學 網路教學等之使用 除此 之外 老師不得再授權予任何第三人使用 並不得將依此授權所製作之教學投影片之相 關著作物移作他用 Скачать презентацию 第十六章 電子郵件安全 本投影片 下稱教用資源 僅授權給採用教用資源相關之旗標書籍為教科書之授課老師 下稱老師 專用 老師為教學使用之目的 得摘錄 編輯 重製教用資源 但使用量 不得超過各該教用資源內容之80 以製作為輔助教學之教學投影片 並於授課時搭配 旗標書籍公開播放 但不得為網際網路公開傳輸之遠距教學 網路教學等之使用 除此 之外 老師不得再授權予任何第三人使用 並不得將依此授權所製作之教學投影片之相 關著作物移作他用

603b7d7398a0dfabaa3687408d5c546a.ppt

  • Количество слайдов: 29

第十六章 電子郵件安全 本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師 (下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量 不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配 旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此 之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相 關著作物移作他用。 第十六章 電子郵件安全 本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師 (下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量 不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配 旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此 之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相 關著作物移作他用。

第十六章 電子郵件安全 l 電子郵件 ( E-mail ) 與網頁服務 (Web Service)是網際網路的兩項基本 的應用,本章針對這兩項技術作深入淺出介紹,並舉例說明,使讀者 了解其相關技術與安全問題。在電子郵件之安全防護方面,提供防護 方法與建議,使電子郵件不再遭受侵犯。在網站安全技術方面,提供 使用網站注意事項建議,以改善其安全缺點,並介紹網站的安全規範, 第十六章 電子郵件安全 l 電子郵件 ( E-mail ) 與網頁服務 (Web Service)是網際網路的兩項基本 的應用,本章針對這兩項技術作深入淺出介紹,並舉例說明,使讀者 了解其相關技術與安全問題。在電子郵件之安全防護方面,提供防護 方法與建議,使電子郵件不再遭受侵犯。在網站安全技術方面,提供 使用網站注意事項建議,以改善其安全缺點,並介紹網站的安全規範, 使讀者對於系統有全面性了解。本章包含 : ¡ ¡ ¡ ¡ 電子郵件簡介 電子郵件的安全威脅 電子郵件安全防護 避免垃圾郵件侵擾 網站簡介 網站技術 網站的安全問題 網站安全之規範

16. 1 電子郵件簡介 『電子郵件』 ( Electronic Mail;簡稱 E-mail ) 就 是經由電子通訊技術,達到傳遞信件的目的。電 子郵件不僅可以經由網路傳送訊息,也可以附檔 的方式夾帶資料檔案,並於極短的時間內在全球 各地傳送訊息,是一種高效率的通訊 16. 1 電子郵件簡介 『電子郵件』 ( Electronic Mail;簡稱 E-mail ) 就 是經由電子通訊技術,達到傳遞信件的目的。電 子郵件不僅可以經由網路傳送訊息,也可以附檔 的方式夾帶資料檔案,並於極短的時間內在全球 各地傳送訊息,是一種高效率的通訊 具。 l 電子郵件在我們生活中已經成為重要 具,但同 樣也是資訊安全的隱憂,具高風險的 具。很多 的電腦病毒、後門程式、惡意程式都經由電子郵 件傳送至使用者的電腦。電子郵件之安全防護也 成為資訊安全的重要議題。 l

16. 1. 1 電子郵件的傳遞 電子郵件的地址由三部份組成:(1) 使用者名稱 ( Username ); (2) 『 @ 』 符號連接;和 16. 1. 1 電子郵件的傳遞 電子郵件的地址由三部份組成:(1) 使用者名稱 ( Username ); (2) 『 @ 』 符號連接;和 (3) 郵件伺服器 名稱 (Server Name )。一般電子郵件帳號如下: [email protected]_Server l Username 是電子郵件帳號的使用者名稱,如 John、 Mary、等等;『 @ 』 唸成 『 at 』,俗稱為『 小老鼠 』;Mail_Server 是使用者帳號所屬的伺服器名稱。例如: 電子郵件地址 [email protected] com. tw l 表示 John 為 aaa. com. tw 郵件伺服器主機的使用者,登 入電子郵件伺服器時,使用者名稱為 『 John 』,伺服器 名稱為 『 aaa. com. tw 』。 l

16. 1. 1 電子郵件的傳遞 l 例如某人的帳號是 John ,而郵件伺服器主機的名稱是 aaa. com. tw,則其電子郵件地址就是 John@aaa. com. tw, 16. 1. 1 電子郵件的傳遞 l 例如某人的帳號是 John ,而郵件伺服器主機的名稱是 aaa. com. tw,則其電子郵件地址就是 [email protected] com. tw, 其他人就可使用這個地址與他通信(如 圖 1)。 圖 16. 1,電子郵件帳號設定

16. 1. 1 電子郵件的傳遞 電子郵件的寄送與接收,需要有電子郵件 Client端和電子郵件 Server 端。電子郵件 Client 端軟體稱為 『 Mailer 』,常使用的軟體有 Outlook 16. 1. 1 電子郵件的傳遞 電子郵件的寄送與接收,需要有電子郵件 Client端和電子郵件 Server 端。電子郵件 Client 端軟體稱為 『 Mailer 』,常使用的軟體有 Outlook Express、Thunderbird、Eudora、以及瀏覽器 (Web Mail)等, 透過 Mailer 以管理郵件、接收與寄送郵件等。 l 電子郵件 Server 端則分為內送郵件伺服器和外寄郵件伺服器。電子 郵件的Client端接收郵件時,是經由內送郵件伺服器下載郵件,使用 的協定為 POP 3 ( Post Office Protocol Version 3)。反之,Mailer要 寄送信件時,則透過外寄伺服器,使用協定 SMTP ( Simple Mail Transfer Protocol )。郵件傳送的途徑,送件者使用 SMTP 協定送出 郵件,郵件系統將送出的郵件轉送至收件者的內收郵件伺服器,等待 收件者使用 POP 3 協定至內送郵件伺服器下載郵件至Mailer 中 。(圖 16. 2 ) l 圖 16. 2 電子郵件收送過程與協定

16. 1. 1 電子郵件的傳遞 l 有些電子郵件 Server 提供 Web Mail 介面,可以使用瀏覽 器直接瀏覽伺服器中之郵件,不需要下載郵件與管理郵件, 在任何地方都可以上網瀏覽郵件,不必使用特定的Mailer。 提供 16. 1. 1 電子郵件的傳遞 l 有些電子郵件 Server 提供 Web Mail 介面,可以使用瀏覽 器直接瀏覽伺服器中之郵件,不需要下載郵件與管理郵件, 在任何地方都可以上網瀏覽郵件,不必使用特定的Mailer。 提供 Web Mail介面的系統,比較著名的有Hotmail、 Gmail、Yahoo 等。

16. 1. 2 電子郵件之加密與簽章 多用途網際網路郵件擴展 ( Multipurpose Internet Mail Extensions; 簡稱MIME ),在 1993年發展出來,成為電子郵件傳輸的統一格式, 提供電子郵件傳輸的互通性。MIME 16. 1. 2 電子郵件之加密與簽章 多用途網際網路郵件擴展 ( Multipurpose Internet Mail Extensions; 簡稱MIME ),在 1993年發展出來,成為電子郵件傳輸的統一格式, 提供電子郵件傳輸的互通性。MIME 電子郵件格式是一種協定,除一 般簡易的文字外,更加上彩色圖片、視訊、聲音或是二進位格式的資 料檔,它主要是解決傳輸多種型態訊息的困難, 並且強化壓縮及加密 的能力。所以,各種型態的媒體與訊息若透過支援 MIME 協定的電子 郵件軟體來傳輸,就具備了豐富的多媒體電子郵件功能。 l 電子郵件格式,簡略而言是一個郵件文頭與郵件本文所組成 (如圖 16. 3),而郵件文頭與郵件本文使用『空行』作間格。 l 圖 16. 3 電子郵件格式示意圖

16. 1. 2 電子郵件之加密與簽章 郵件文頭標示了接收者、寄送者、編碼方式、與內容格式等;郵件本文就是 郵件的內容。不論是彩色圖片、視訊、聲音或是二進位格式的資料檔,都在 郵件內容以特定格式編碼。 l 如圖範例 (圖 16. 4) l ¡ 16. 1. 2 電子郵件之加密與簽章 郵件文頭標示了接收者、寄送者、編碼方式、與內容格式等;郵件本文就是 郵件的內容。不論是彩色圖片、視訊、聲音或是二進位格式的資料檔,都在 郵件內容以特定格式編碼。 l 如圖範例 (圖 16. 4) l ¡ ¡ ¡ 郵件寄送者住址是 『 [email protected] com. tw 』 , 郵件接收者是 『[email protected] edu. tw 』 郵件主旨是 『 Pictures of Taipei City 』, 郵件是以 MIME 版本 1. 0 的格式, 郵件內容的格式是 『 image/jpeg 』, 編碼格式是 base 64 ,會將各類資訊編碼為一致的格式。雖然 base 64 編碼為可以列印之字元, 但以目視無法理解其內容。 以base 64為編碼方式,其優點為相容性高;雖然會增加郵件長度 約 30%,因郵件資訊量不多,還是在可以接受的範圍。 圖 16. 4 電子郵件格式

16. 1. 2 電子郵件之加密與簽章 l l 以明文傳送的電子郵件容易遭受竊取與窺視,需要採 用加密與簽章技術來保護電子郵件內容。電子郵件加 密與簽章標準為 S/MIME (Secure / Multipurpose Internet 16. 1. 2 電子郵件之加密與簽章 l l 以明文傳送的電子郵件容易遭受竊取與窺視,需要採 用加密與簽章技術來保護電子郵件內容。電子郵件加 密與簽章標準為 S/MIME (Secure / Multipurpose Internet Mail Extension) 格式,是建立於公開金鑰密 碼系統的技術。運用S/MIME技術需要具備PKI ( Public-key Infrastructure )的公開金鑰基礎建設,寄送 方需要先安裝CA ( Certification Authority ) 所核發之 個人數位憑證,並使用其所對應的私鑰才能進行簽章 的動作。同樣,也需要在寄送端儲存有接收端的公鑰 才能進行加密的動作。這些需要一個運作良好的CA認 證與PKI架構。 在Outlook Express電子郵件軟體,視窗上方有加密與 簽章功能鍵 (圖 16. 5)。按下功能鍵時,郵件傳輸時使 用 S/MIME 格式來傳輸,使用此功能前需要先安裝數 位憑證 (圖 16. 6)。加密功能表示寄送者將資料加密, 信件傳送過程為加密型式;信件接收者才能解密,其 他人則無法知道信件之內容。簽章則表示信件為寄送 者所發出,不是第三者偽造的,按下簽章鍵,系統將 信件作簽章,此時信件仍可以看出內容。再者,也可 以把一封信同時作簽章與加密,則信件的接收者,不 但可以確認寄送者身分,也可以保障信件之隱密性。 圖 16. 5 Microsoft Outlook Express 之簽章與加密按鍵 圖 16. 6 加密與簽章需要數位憑證

16. 1. 2 電子郵件之加密與簽章 l S/MIME 格式是MIME 格式的進階版本,如果電子郵件經 過加密時,在內容格式 『 Content-Type 』的值為 『 application/x-pkcs 16. 1. 2 電子郵件之加密與簽章 l S/MIME 格式是MIME 格式的進階版本,如果電子郵件經 過加密時,在內容格式 『 Content-Type 』的值為 『 application/x-pkcs 7 -mime 』,表示電子郵件使用 PKCS 7 的數位信封格式封裝 (圖 16. 7)。 圖 16. 7 S/MIME 電子郵件加密格式

16. 2 電子郵件的安全威脅 電子郵件雖然使用方便,但也帶來資訊安全上的許多問題, 例如:冒名郵件、垃圾郵件、詐騙(黑函)郵件、病毒( 木馬)郵件、釣魚郵件等。 l 冒名郵件是指偽裝他人之郵件帳號,進行破壞行為、散佈 不實謠言、或假傳消息,甚至夾帶木馬程式或病毒程式等。 例如:冒用政府機關首長的帳號,夾帶木馬程式,傳送給 重要人員,進一步竊取其資訊。 l 在技術上,冒用電子郵件帳號,並不是使用很難的資訊技 術。因為冒用首長帳號,使得收件者降低戒心,而造成資 16. 2 電子郵件的安全威脅 電子郵件雖然使用方便,但也帶來資訊安全上的許多問題, 例如:冒名郵件、垃圾郵件、詐騙(黑函)郵件、病毒( 木馬)郵件、釣魚郵件等。 l 冒名郵件是指偽裝他人之郵件帳號,進行破壞行為、散佈 不實謠言、或假傳消息,甚至夾帶木馬程式或病毒程式等。 例如:冒用政府機關首長的帳號,夾帶木馬程式,傳送給 重要人員,進一步竊取其資訊。 l 在技術上,冒用電子郵件帳號,並不是使用很難的資訊技 術。因為冒用首長帳號,使得收件者降低戒心,而造成資 訊安全的隱憂,此種方式稱為 『 社交 程 』( Social Engineering ) 的犯罪手法,社交 程廣泛被駭客用來當作 取得資訊的一種手段。 l

16. 2 電子郵件的安全威脅 垃圾郵件 (圖 16. 8)是我們每天面對的問題,實在惹人惱怒,也經常在 網路釣魚騙術中使用,以偷竊重要資訊;廣告郵件非常廉價,即使只 有極低的成功率,它仍然普遍存在。 l 隨著電子郵件已然成為應用的主流,垃圾郵件的威脅也更加猖獗,據 統計在 2006年 11月,全球垃圾郵件就高達 16. 2 電子郵件的安全威脅 垃圾郵件 (圖 16. 8)是我們每天面對的問題,實在惹人惱怒,也經常在 網路釣魚騙術中使用,以偷竊重要資訊;廣告郵件非常廉價,即使只 有極低的成功率,它仍然普遍存在。 l 隨著電子郵件已然成為應用的主流,垃圾郵件的威脅也更加猖獗,據 統計在 2006年 11月,全球垃圾郵件就高達 76億封,佔了全球電子郵 件總量的 91%,病毒、網路詐騙等,也是經由垃圾郵件以危害資訊安 全。 l 由於垃圾信件的危害日趨嚴重,國際電信聯盟 ( International Telecommunications Union;ITU ) 在 2006年呼籲各國應該透過強制 性的立法,要求 ISP 採取具體行動打擊垃圾郵件。 l 圖 16. 8 伺服器過濾垃圾郵件

16. 2 電子郵件的安全威脅 一般詐騙郵件的手法,都會要求收信者點選一個連結網址,並將收信 者引導到一個仿造的假網站,然後再要求他提供、更新或確認機密的 個人資料。為了讓收件者上當,也許會暗示現在發生了一個可能威脅 到他帳戶安全的緊急情況,例如:帳戶密碼疑似遭盜用,為了重新確 認身分,請輸入相關個人資料。 l 詐騙郵件通常企圖獲取個人的重要資訊,如提款卡密碼、身分證號碼、 銀行帳號、或信用卡背面數字的末三碼 ( CW 2 16. 2 電子郵件的安全威脅 一般詐騙郵件的手法,都會要求收信者點選一個連結網址,並將收信 者引導到一個仿造的假網站,然後再要求他提供、更新或確認機密的 個人資料。為了讓收件者上當,也許會暗示現在發生了一個可能威脅 到他帳戶安全的緊急情況,例如:帳戶密碼疑似遭盜用,為了重新確 認身分,請輸入相關個人資料。 l 詐騙郵件通常企圖獲取個人的重要資訊,如提款卡密碼、身分證號碼、 銀行帳號、或信用卡背面數字的末三碼 ( CW 2 ),CW 2是使用信用卡 (圖 16. 9) 購物時,如郵購、電話購物或網路購物,人不在現場時,為 防止詐騙的資料。 l 圖 16. 9 信用卡背面數字的末三碼

16. 2 電子郵件的安全威脅 電腦病毒、電腦蠕蟲、木馬程式與惡意程式等也透過電子郵件傳播, 其傳播的廣泛性與嚴重性比任何應用程式還要快。 l 駭客通常透過電子郵件在受害者的電腦植入木馬程式,並操縱此受害 的電腦從事各種非法行為,以隱匿其犯罪行為,此受害電腦稱為『 殭 屍電腦 』。或者透過附件夾帶檔案,或經由垃圾郵件發送大量信件, 傳送給許多收信者,其中充斥各類危害資訊安全的郵件,如釣魚郵件、 毀謗郵件、惡意郵件或廣告郵件等,成為資訊安全的一個潛在危機 ( 16. 2 電子郵件的安全威脅 電腦病毒、電腦蠕蟲、木馬程式與惡意程式等也透過電子郵件傳播, 其傳播的廣泛性與嚴重性比任何應用程式還要快。 l 駭客通常透過電子郵件在受害者的電腦植入木馬程式,並操縱此受害 的電腦從事各種非法行為,以隱匿其犯罪行為,此受害電腦稱為『 殭 屍電腦 』。或者透過附件夾帶檔案,或經由垃圾郵件發送大量信件, 傳送給許多收信者,其中充斥各類危害資訊安全的郵件,如釣魚郵件、 毀謗郵件、惡意郵件或廣告郵件等,成為資訊安全的一個潛在危機 ( 圖 16. 10)。 l 圖 16. 10 電子郵件威脅管道示意圖

16. 3 電子郵件安全防護 l 電子郵件的安全防護是全面性的、多方面的,需要從管理 層面、技術層面與實體層面著手,大家分 負責,才能將 損失降至最低。 16. 3 電子郵件安全防護 l 電子郵件的安全防護是全面性的、多方面的,需要從管理 層面、技術層面與實體層面著手,大家分 負責,才能將 損失降至最低。

16. 3. 1 電子郵件伺服器 l 電子郵件伺服器兼具掃毒的功能,能辨識電腦病毒,可以使用掃毒軟 體,將郵件病毒先行掃除。許多電子郵件暗藏木馬程式、電腦病毒、 惡意程式等,都會標示一些引起收信者興趣之新聞或訊息,引誘他閱 讀瀏覽,並將電腦病毒植入其電腦中。一般電子郵件伺服器若偵測到 郵件隱藏病毒,會將病毒掃除,並通知收信者。如圖 17. 12為伺服器 偵測到郵件病毒,在郵件主旨前增加標示 『 16. 3. 1 電子郵件伺服器 l 電子郵件伺服器兼具掃毒的功能,能辨識電腦病毒,可以使用掃毒軟 體,將郵件病毒先行掃除。許多電子郵件暗藏木馬程式、電腦病毒、 惡意程式等,都會標示一些引起收信者興趣之新聞或訊息,引誘他閱 讀瀏覽,並將電腦病毒植入其電腦中。一般電子郵件伺服器若偵測到 郵件隱藏病毒,會將病毒掃除,並通知收信者。如圖 17. 12為伺服器 偵測到郵件病毒,在郵件主旨前增加標示 『 WARNING: VIRUS REMOVED 』等警告文字 (圖 16. 11)。 圖 16. 11 病毒掃除警告標示

16. 3. 1 電子郵件伺服器 l 伺服器對於電腦病毒之處理顯然比較容易,因為有明確的 目標與方法。但相對地,對於垃圾郵件反而比較沒有明確 的原則,若直接清除過濾垃圾郵件,萬一誤判將導致用戶 埋怨。為避免爭議,盡量不直接刪除使用者的信件,僅修 改可疑信件的主旨標題,加上 『 *** SPAM ***』字樣, 16. 3. 1 電子郵件伺服器 l 伺服器對於電腦病毒之處理顯然比較容易,因為有明確的 目標與方法。但相對地,對於垃圾郵件反而比較沒有明確 的原則,若直接清除過濾垃圾郵件,萬一誤判將導致用戶 埋怨。為避免爭議,盡量不直接刪除使用者的信件,僅修 改可疑信件的主旨標題,加上 『 *** SPAM ***』字樣, 由用戶自行決定其處理方式。

16. 3. 2 免於病毒傷害 l 以下列出一些使用電子郵件,須注意的事項,以避免遭受電腦病毒等 傷害: ¡ ¡ 電子郵件需要定期作備份,以防範郵件資料遭到損毀。 一般的電子郵件自動防護軟體並無防毒功能,需要另行安裝防毒軟體 (圖 16. 12)。 16. 3. 2 免於病毒傷害 l 以下列出一些使用電子郵件,須注意的事項,以避免遭受電腦病毒等 傷害: ¡ ¡ 電子郵件需要定期作備份,以防範郵件資料遭到損毀。 一般的電子郵件自動防護軟體並無防毒功能,需要另行安裝防毒軟體 (圖 16. 12)。 Outlook 通訊錄有程式化的保護功能,以防止其它程式自動存取通訊錄或 連絡人清單,或防止其它程式未經用戶授權就以其名義傳送訊息,若有 應用程式嘗試存取用戶的「通訊錄」也會出現警告訊息。 需要封鎖的附檔檔案類型包括. exe、. bat、. com、. vbs 及. js,這些附檔 常藏有病毒程式與惡意程式。 圖 16. 12. 安裝電子郵件防毒軟體

16. 4 避免垃圾郵件侵擾 l 本節列出一些可以避免垃圾郵件的作法,以供參考: ¡ 提高系統的保護層級,限制存取權限,但可能會造成瀏覽的不便。 隨時更新垃圾郵件篩選器,以避免新攻擊字串之攻擊。 關閉自動處理讀信回條與送達回條功能,因可能會未經判斷而遭 受攻擊。 審慎散佈自己的電子郵件地址。需要公開場合公佈自己的電子郵 件地址時,也應該針對不同的用途使用不同的電子郵件地址。 切勿回覆垃圾郵件,也切勿轉寄連鎖電子郵件。 收到詢問個人資訊的電子郵件時,不要回覆。 16. 4 避免垃圾郵件侵擾 l 本節列出一些可以避免垃圾郵件的作法,以供參考: ¡ 提高系統的保護層級,限制存取權限,但可能會造成瀏覽的不便。 隨時更新垃圾郵件篩選器,以避免新攻擊字串之攻擊。 關閉自動處理讀信回條與送達回條功能,因可能會未經判斷而遭 受攻擊。 審慎散佈自己的電子郵件地址。需要公開場合公佈自己的電子郵 件地址時,也應該針對不同的用途使用不同的電子郵件地址。 切勿回覆垃圾郵件,也切勿轉寄連鎖電子郵件。 收到詢問個人資訊的電子郵件時,不要回覆。 ¡ 切勿依照可疑的電子郵件上的要求,捐助慈善機構。 ¡ ¡ ¡

16. 5 網站簡介 網站(Web Site)是指在網際網路上,根據一定的規則,使用HTML等 具 製作的用於展示特定內容的相關網頁之集合。在伺服器上,發展關聯的程式 集合,透過瀏覽器 ( Browser ) 可存取的這些程式之集合,就是網站。 l 網站為資訊提供者,瀏覽網站的一般用戶為資訊擷取者,網站與電子郵件為 16. 5 網站簡介 網站(Web Site)是指在網際網路上,根據一定的規則,使用HTML等 具 製作的用於展示特定內容的相關網頁之集合。在伺服器上,發展關聯的程式 集合,透過瀏覽器 ( Browser ) 可存取的這些程式之集合,就是網站。 l 網站為資訊提供者,瀏覽網站的一般用戶為資訊擷取者,網站與電子郵件為 網際網路的兩大應用。網站的應用非常廣泛,包括各行各業的電子商務網站、 購物網站、電玩網站、醫療網站、民意反應網站等,在日常生活中無所不在。 在 1995 年,全球僅有 1. 8 萬個網站,但截至目前為止,全世界已經有超過 1. 6 億個網站了。 l 以下介紹一些網站的相關技術。全球資訊網 ( World Wide Web) 的相關標準 是由 W 3 C 團體所制定,W 3 C 就是全球資訊網協會 ( World Wide Web Consortium )。W 3 C制定一系列的相關規範,其中包括 HTML ( Hyper. Text Markup Language,簡稱為HTML ) 語法,此語法內容可以由瀏覽器所解析。 當瀏覽器向網站送出要求指令時,網站回應以 HTML 網頁,再由瀏覽器解析 其內容 (圖 16. 13)。 l 圖 16. 13 網站存取程序

16. 5 網站簡介 網站是許多網頁的集合,一個網頁或多個網頁可以存成一個檔案,副檔名為 『 htm 』 或 『 html 』。 HTML 語法的撰寫,使用純文字模式的語言編輯器 即可。 16. 5 網站簡介 網站是許多網頁的集合,一個網頁或多個網頁可以存成一個檔案,副檔名為 『 htm 』 或 『 html 』。 HTML 語法的撰寫,使用純文字模式的語言編輯器 即可。 l 今假如有一個檔案,名稱為 test. html ,其內容如圖 16. 14。在HTML 語法中, 使用 『 < >』 與 『 』 符號表示功能區塊;例如: 『 』 與 『 』, 表示HTML 語法的開始與結束;文頭 『 』 與 『 』不會顯示在視窗中; 本文『 』與 『 』 則會顯示 在瀏覽器的視窗中;在文頭中有 『 』與 『』表示瀏覽器的標 題;換行使用 『 < br/> 』;而粗體字使用 『 』 與 『 』區塊。 l 圖 16. 14 HTML 語法說明

16. 5 網站簡介 圖 16. 15 則為上述語法使用瀏覽器讀取之後,顯 示在畫面的結果。 l 圖 16. 16 表示前面範例 HTML 16. 5 網站簡介 圖 16. 15 則為上述語法使用瀏覽器讀取之後,顯 示在畫面的結果。 l 圖 16. 16 表示前面範例 HTML 語法與其顯示在瀏 覽器結果之相關對應關係。 l 圖 16. 15 瀏覽器解譯之後的結果 圖 16. 16 HTML 語法與瀏覽器的對應圖

16. 6 網站的安全問題 網站已經廣泛的應用於商業、娛樂、 業、醫療等各個層面,人們日 常生活依賴網站也越來越深,使得網站功能越來越重要。然而近年來, 許多網站遭受到各種攻擊,已然成為資訊安全的隱憂;例如:網頁被 竄改、網站遭受SQL隱碼攻擊,導致資料被竊取,甚至網站被利用成 為傳播木馬程式給瀏覽網頁用戶的跳板。 l 網站使用的技術越來越多樣化,有些程式在安全上出現漏洞,既使是 資訊主管或資訊人員也很難確實掌握以減少網站的安全弱點。因為網 站應用程式的技術越來越複雜,相對地,攻擊網站的 具也越來越發 16. 6 網站的安全問題 網站已經廣泛的應用於商業、娛樂、 業、醫療等各個層面,人們日 常生活依賴網站也越來越深,使得網站功能越來越重要。然而近年來, 許多網站遭受到各種攻擊,已然成為資訊安全的隱憂;例如:網頁被 竄改、網站遭受SQL隱碼攻擊,導致資料被竊取,甚至網站被利用成 為傳播木馬程式給瀏覽網頁用戶的跳板。 l 網站使用的技術越來越多樣化,有些程式在安全上出現漏洞,既使是 資訊主管或資訊人員也很難確實掌握以減少網站的安全弱點。因為網 站應用程式的技術越來越複雜,相對地,攻擊網站的 具也越來越發 達,使得攻擊網站的技術門檻變低。因此需要不斷的對員 作資訊安 全教育與訓練,以提升網站安全的技術與觀念。 l

16. 6 網站的安全問題 l 網站的安全問題,歸納起來有以下幾點: ¡ 網站防禦措施不足 一般人認為只要安裝防火牆與入侵偵測系統,即可保證系統之安全;或認為網站 已使用 SSL 加密連線,應可安全無虞。然而,單靠防火牆或入侵偵測系統的防禦 能力是不足的,因為若入侵偵測系統的特徵識別技術或防火牆的封包過濾技術不 佳,則對保護網站抵禦駭客攻擊的效果當然不佳。此外,管理人員常會遺漏了網 站安全漏洞的補丁與管理。網站需要定期作漏洞掃描,以掃描出網站伺服器的安 16. 6 網站的安全問題 l 網站的安全問題,歸納起來有以下幾點: ¡ 網站防禦措施不足 一般人認為只要安裝防火牆與入侵偵測系統,即可保證系統之安全;或認為網站 已使用 SSL 加密連線,應可安全無虞。然而,單靠防火牆或入侵偵測系統的防禦 能力是不足的,因為若入侵偵測系統的特徵識別技術或防火牆的封包過濾技術不 佳,則對保護網站抵禦駭客攻擊的效果當然不佳。此外,管理人員常會遺漏了網 站安全漏洞的補丁與管理。網站需要定期作漏洞掃描,以掃描出網站伺服器的安 全漏洞,以及偵測出網頁是否被植入惡意超連結或惡意程式。發現網站已存在安 全漏洞,需要及時加以處理,並且回報給相關主管。 ¡ 網站設計時的疏忽所造成的漏洞 在正常的使用過程中,網站即便存在安全漏洞,一般使用者並不會察覺。但對敏 銳的駭客而言,網站存在的漏洞就會被挖掘出來,且成為駭客直接或間接攻擊的 弱點。 在設計網站時,因疏忽所產生的漏洞,往往被駭客所發現;例如:網頁輸入格式 未作妥善檢查,而造成SQL 隱碼攻擊;存取控制管理疏忽,使用者不當取得管理 者權限或開放其權限,造成系統資料被不當存取;緩衝溢位攻擊則利用記憶體資 源不足,載入入侵程式而取得管理權限;或不當的錯誤處理也會造成系統漏洞等等。

16. 6 網站的安全問題 ¡ ¡ ¡ 未能及時發現網站已被入侵 網站遭受攻擊,駭客獲得系統的控制權限,進而竄改網頁資料,以炫耀自己的能 力。網頁資料遭受竄改之損害還算小,有些駭客為謀取更大利益,在獲取網站的 控制權限之後,並不暴露自己,而在所控制的網站伺服器植入木馬程式,以竊取 重要資訊。在這種情形,受害人與網站管理人員通常不知情,導致一些用戶的機 密資料被竊取。雖然受害的網站依然能夠提供正常的服務,但瀏覽網站的人卻遭 受著木馬程式的危害。駭客通常不會暴露自己的身分,所以,網站用戶在不知不 覺中透過瀏覽器下載功能,也將木馬程式載入至自己的電腦中,造成更大的損失。 16. 6 網站的安全問題 ¡ ¡ ¡ 未能及時發現網站已被入侵 網站遭受攻擊,駭客獲得系統的控制權限,進而竄改網頁資料,以炫耀自己的能 力。網頁資料遭受竄改之損害還算小,有些駭客為謀取更大利益,在獲取網站的 控制權限之後,並不暴露自己,而在所控制的網站伺服器植入木馬程式,以竊取 重要資訊。在這種情形,受害人與網站管理人員通常不知情,導致一些用戶的機 密資料被竊取。雖然受害的網站依然能夠提供正常的服務,但瀏覽網站的人卻遭 受著木馬程式的危害。駭客通常不會暴露自己的身分,所以,網站用戶在不知不 覺中透過瀏覽器下載功能,也將木馬程式載入至自己的電腦中,造成更大的損失。 網站安全問題未能徹底解決 攻擊網站的軟硬體 具日益普遍,網站代管公司與管理人員必須掌握最新技術動 態,才能徹底解決網站上存在的問題。一般只是針對網站的漏洞加以修正,以免 遭受另一次攻擊。然而網站被入侵,網頁遭到竄改,如果只是將網頁修護,並未 進一步探討網站被入侵的真正原因,以徹底解決網站的漏洞,網站將一再遭到入 侵而束手無策。 網站缺乏定期安全檢測 網站安全檢測系統是定期或不定期對網站進行漏洞檢查的機制,以便在網站尚未 發生安全事件前,能將系統漏洞作修正。一般的安全檢測往往只是在發現問題之 後才察覺到安全漏洞,因為多數的網站可能並無定期或不定期對網站的安全狀態 進行檢測。對於具有安全資料的網站,應該設有專門負責網站安全的開發與維護 人員,以負責網站的安全開發、安全運營與隨時監控,甚至規劃災難備援等機制。

16. 7 網站安全之規範 l l l 網站安全已普遍受到重視,尤其是電子商務網站,為了降低消費者對交易安全的虞慮, 需要有公正機構提供網站安全的認證服務,以進一步增進消費者信心並提高網站的營 收。提供網站安全認證服務的機構相當多,其中有:(1) Veri. Sign、(2) AICPA、(3) BBB Online、(4) 16. 7 網站安全之規範 l l l 網站安全已普遍受到重視,尤其是電子商務網站,為了降低消費者對交易安全的虞慮, 需要有公正機構提供網站安全的認證服務,以進一步增進消費者信心並提高網站的營 收。提供網站安全認證服務的機構相當多,其中有:(1) Veri. Sign、(2) AICPA、(3) BBB Online、(4) TRUST. e等單位 Veri. Sign 提供的安全機制,讓消費者在傳輸個人機密資料給網站伺服器時,傳輸過程 受到SSL ( Secure Socket Layer ) 加密的保護。Veri. Sign授權在我國由Hi. TRUST 公司 代理,通過Veri. Sign 認證的網站,其標章張貼在網站上(如圖 16. 17),以增加消費者對 網站安全的信心。 如果網站取得 Veri. Sign 安全標章,使用者瀏覽器與網站連線會啟動 SSL 加密傳輸機制, 使用者與網站之間的資料傳輸皆透過加密保護(如圖 16. 18),使用者不需要再額外使用 其它安全軟體。然而,網站有Veri. Sign安全標章也不表示什麼問題都解決了,Veri. Sign 標章只表示該網站確實存在及資料傳輸透過加密,對於網站的安全性就不在它驗證的 範圍之內。 圖 16. 17 瀏覽器解譯之後的結果 圖 16. 18 SSL 加密連線標示

16. 7 網站安全之規範 l l l 美國會計師協會 (AICPA) 與加拿大會計師協會 (CICA) 所提供網站安全認證服務的市場 即是 Web. Trust 16. 7 網站安全之規範 l l l 美國會計師協會 (AICPA) 與加拿大會計師協會 (CICA) 所提供網站安全認證服務的市場 即是 Web. Trust 認證服務,讓會計師提供類似於財務報表簽證的方式來對網站提供安全 認證。 Web. Trust是一項相當完整的認證服務 (圖 16. 19) ,它包含了對網站的資訊系統、資訊 傳輸及交易安全、及企業經營實務等完整稽核,並且會發出一份稽核報告給管理當局。 在進行Web. Trust認證服務時,須根據由AICPA及CICA所頒布的準則及細則進行稽核程 序,其中包含三大部分: ¡ 企業實務與資訊隱私實務。 ¡ 交易完整性。 ¡ 資訊保護。 圖 16. 19 Web. Trust 標章

16. 7 網站安全之規範 BBB (Better Business Bureau;簡稱 BBB) Online是由中 小企業組織所成立的網站安全認證機構,它是提供電子商 務網站的認證服務,是屬於安全宣示性質。 l TRUST. e是一個以保護消費者在網路上隱私權為宗旨的非 16. 7 網站安全之規範 BBB (Better Business Bureau;簡稱 BBB) Online是由中 小企業組織所成立的網站安全認證機構,它是提供電子商 務網站的認證服務,是屬於安全宣示性質。 l TRUST. e是一個以保護消費者在網路上隱私權為宗旨的非 營利機構,它所提供的認證服務有:(1) TRUST. e Program,及(2) Children’s Privacy Seal Program。 Children’s Privacy Seal Program特別強調針對13歲以下 兒童隱私權的保護。 l