E-Commerce Keamanan dan Enkripsi Kuliah 6

Tujuan Belajar Memahami cakupan kejahatan dan masalah keamanan di e- commerce Jelaskan kunci dimensi e-commerce keamanan Memahami ketegangan antara keamanan dan nilai-nilai lain Mengidentifikasi kunci ancaman keamanan dalam lingkungan e-commerce Jelaskan bagaimana berbagai bentuk enkripsi membantu teknologi melindungi keamanan pesan yang dikirim melalui Internet Identifikasi alat digunakan untuk membangun Internet yang aman saluran komunikasi Identifikasi alat digunakan untuk melindungi jaringan, server, dan klien TEC2441

Keamanan Lingkungan E-commerce : Ruang Lingkup Masalah 2002 Keamanan Komputer survei Institut dari 503 personel keamanan di perusahaan-perusahaan AS dan pemerintah 80% responden telah mendeteksi pelanggaran keamanan komputer dalam 12 bulan terakhir dan menderita kerugian finansial sebagai akibat Hanya 44% bersedia atau mampu mengukur kerugian yang mencapai $ 456.000.000 dalam agregat 40% melaporkan serangan dari luar organisasi 40% mengalami penolakan serangan layanan 85% serangan virus terdeteksi TEC2441

Lingkungan Keamanan E-commerce TEC2441

Dimensi Keamanan E-commerce Integritas: kemampuan untuk memastikan bahwa informasi yang ditampilkan di situs Web atau dikirim / diterima melalui Internet belum diubah dengan cara apapun oleh pihak yang tidak berwenang Nonrepudiation: kemampuan untuk memastikan bahwa e-commerce peserta tidak mengingkari (menolak) tindakan secara online Keaslian: kemampuan untuk mengidentifikasi identitas orang atau badan dengan siapa Anda berurusan di Internet TEC2441

Dimensi Keamanan E-commerce (lanjutan) Kerahasiaan: kemampuan untuk memastikan bahwa pesan-pesan dan data yang tersedia hanya untuk mereka yang berwenang untuk melihatnya Privasi: kemampuan untuk mengendalikan penggunaan informasi pelanggan yang telah diberikan kepada pedagang Ketersediaan: kemampuan untuk memastikan bahwa situs e-commerce terus berfungsi sebagaimana dimaksud TEC2441

TEC2441

Ketegangan Antara Keamanan dan Nilai Lain Keamanan vs kemudahan penggunaan: langkah- langkah keamanan yang lebih yang ditambahkan, situs lebih sulit untuk digunakan, dan menjadi lebih lambat Keamanan vs Keinginan individu untuk bertindak secara anonim TEC2441

Ancaman keamanan di Lingkungan E-commerce Tiga poin penting kerentanan: Klien Server Komunikasi saluran Paling umum ancaman: Kode berbahaya Hacking dan cybervandalism Kartu kredit penipuan / pencurian Spoofing Penolakan serangan layanan Sniffing Insider Jobs TEC2441

Sebuah Transaksi Khas E-commerce TEC2441

Poin Rentan dalam Lingkungan E-commerce TEC2441

Kode berbahaya Virus: program komputer yang sebagai kemampuan untuk mereplikasi dan menyebar ke file lain, sering juga membawa sebuah "payload" dari beberapa macam (mungkin merusak atau jinak); termasuk virus makro, menginfeksi file virus dan virus script Worm: dirancang untuk menyebarkan salinan dirinya sebagai program mandiri melalui jaringan Trojan horse: tampaknya jinak, tetapi kemudian melakukan sesuatu yang lain dari yang diharapkan Bad applet (kode mobile berbahaya): berbahaya Java applet atau kontrol ActiveX yang dapat didownload ke klien dan diaktifkan hanya dengan berselancar ke situs Web TEC2441

TEC2441

Hacking dan Cybervandalism Hacker: Individu yang bermaksud untuk mendapatkan akses tidak sah ke sistem komputer Cracker: Digunakan untuk menunjukkan hacker dengan maksud kriminal (dua istilah yang sering digunakan secara bergantian) Cybervandalism: Sengaja mengganggu, defacing atau menghancurkan situs Web Jenis hacker meliputi: Topi putih - Anggota "tim macan" yang digunakan oleh departemen keamanan perusahaan untuk menguji langkah- langkah keamanan mereka sendiri Topi hitam - Undang-Undang dengan maksud menyebabkan kerusakan Topi abu-abu - mengejar beberapa kebaikan yang lebih besar dengan melanggar dan mengungkapkan kelemahan sistem TEC2441

Penipuan Kartu Kredit Ketakutan bahwa informasi kartu kredit akan dicuri menghalangi pembelian online Hacker target file kartu kredit dan informasi lainnya file pelanggan pada server pedagang; menggunakan data curian untuk membangun kredit di bawah identitas palsu Solusi Baru : mekanisme baru verifikasi identitas untuk mengidentifikasi identitas pelanggan TEC2441

Spoofing, DoS dan serangan DDoS, Sniffing, Insider Lowongan Kerja Spoofing: Menyamar diri dengan menggunakan e-mail palsu atau menyamar sebagai orang lain Denial of service (DoS) serangan: Hacker banjir dengan lalu lintas situs Web berguna untuk menggenangi dan membanjiri jaringan Distributed denial of service (dDoS) serangan: hacker menggunakan komputer untuk menyerang berbagai jaringan target dari titik berbagai peluncuran Sniffing: jenis program menguping yang memonitor informasi perjalanan melalui jaringan; memungkinkan hacker untuk mencuri informasi rahasia dari mana saja pada jaringan Insider Jobs: ancaman tunggal terbesar keuangan TEC2441

Solusi Teknologi Melindungi komunikasi internet (enkripsi) Mengamankan saluran komunikasi (SSL, S-HTTP, VPN) Melindungi jaringan (firewall) Melindungi server dan klien (OS kontrol, anti-virus) TEC2441

Tersedia Alat untuk Mencapai Keamanan Situs TEC2441

Melindungi Komunikasi Internet: Enkripsi Enkripsi: Proses transformasi teks biasa atau data ke dalam teks cipher yang tidak dapat dibaca oleh siapapun selain pengirim dan penerima Tujuan: Aman menyimpan informasi Aman transmisi informasi Menyediakan: Integritas pesan Nonrepudiation Otentikasi Kerahasiaan TEC2441

Simetris Kunci Enkripsi Juga dikenal sebagai enkripsi kunci rahasia Baik pengirim dan penerima menggunakan kunci digital yang sama untuk mengenkripsi dan mendekripsi pesan Membutuhkan satu set kunci yang berbeda untuk setiap transaksi Data Encryption Standard (DES): Paling banyak digunakan enkripsi kunci simetris hari ini; menggunakan 56-bit enkripsi kunci; jenis lain menggunakan 128-bit kunci hingga 2048 bit melalui TEC2441

Publik Kunci Enkripsi Kriptografi kunci publik memecahkan masalah enkripsi kunci simetris harus pertukaran kunci rahasia Menggunakan dua kunci digital matematis terkait - kunci publik (disebarluaskan) dan kunci pribadi (rahasia disimpan oleh pemilik) Kedua tombol ini digunakan untuk mengenkripsi dan mendekripsi pesan Setelah kunci digunakan untuk mengenkripsi pesan, tombol yang sama tidak dapat digunakan untuk mendekripsi pesan Sebagai contoh, pengirim menggunakan kunci publik penerima untuk mengenkripsi pesan; penerima menggunakan kunci / nya pribadi untuk mendekripsi itu TEC2441

Kriptografi Kunci Publik - Kasus Sederhana TEC2441

Enkripsi Public Key menggunakan Digital Signatures dan Hash Digests Aplikasi fungsi hash (algoritma matematika) oleh pengirim sebelum enkripsi menghasilkan mencerna hash penerima yang dapat menggunakan untuk memverifikasi integritas data Enkripsi ganda dengan kunci pribadi pengirim (tanda tangan digital) membantu memastikan keaslian dan nonrepudiation TEC2441

Kriptografi Kunci Publik dengan Digital Signature TEC2441

Digital Amplop Alamat kelemahan enkripsi kunci publik (komputasi lambat, menurunkan kecepatan transmisi, meningkatkan waktu pengolahan) dan enkripsi kunci simetrik (lebih cepat, tetapi lebih aman) Adalah teknik kriptografi generik yang digunakan untuk mengenkripsi data dan mengirimkan kunci enkripsi bersama dengan data. Umumnya, sebuah simetris algoritma (kunci pribadi) digunakan untuk mendekripsi data, Dan algoritma asimetris (kunci publik) digunakan untuk mengenkripsi enkripsi kunci. TEC2441

Kriptografi Kunci Publik: Membuat Amplop Digital TEC2441

Sertifikat digital dan Public Key Infrastructure (PKI) Sertifikat digital: Dokumen digital yang meliputi: Nama subjek atau perusahaan Subjek kunci publik Nomor seri sertifikat digital Tanggal kadaluwarsa Penerbitan tanggal Tanda tangan digital dari otoritas sertifikasi (pihak ketiga terpercaya (institusi) yang isu-isu sertifikat Lain mengidentifikasi informasi Infrastruktur Kunci Publik (PKI): mengacu pada Otoritas Sertifikasi (CA) dan prosedur sertifikat digital yang diterima oleh semua pihak TEC2441

Sertifikat digital dan Otoritas Sertifikasi TEC2441

Batas untuk Solusi Enkripsi PKI berlaku terutama untuk melindungi pesan dalam transit PKI adalah tidak efektif terhadap orang dalam Perlindungan kunci privat oleh individu dapat serampangan Tidak ada jaminan bahwa komputer memverifikasi pedagang aman CA tidak diatur, diri memilih organisasi TEC2441

Mengamankan Saluran Komunikasi Secure Socket Layer (SSL): Paling umum bentuk mengamankan saluran komunikasi; digunakan untuk membangun sebuah sesi negosiasi aman (client-server sesi di mana URL dokumen yang diminta, bersama dengan isi, dienkripsi) S-HTTP: Metode alternatif; memberikan pesan protokol berorientasi mengamankan komunikasi yang dirancang untuk digunakan dalam hubungannya dengan HTTP Virtual Private Networks (VPN): Memungkinkan pengguna remote untuk secara aman mengakses jaringan internal melalui internet, menggunakan Point- to-Point Tunneling Protocol (PPTP) TEC2441

Negosiasi aman Sesi Menggunakan SSL TEC2441

Melindungi Jaringan: Firewall dan Proxy Server Firewall: Perangkat lunak aplikasi yang bertindak sebagai filter antara jaringan privat perusahaan dan Internet Metode firewall termasuk: Packet filter Aplikasi gateway Proxy server: Perangkat lunak server yang menangani semua komunikasi yang berasal dari untuk dikirim ke Internet (bertindak sebagai "juru bicara" atau "pengawal" untuk organisasi) TEC2441

Firewall dan Proxy Server TEC2441

Melindungi Server dan Klien Operasi sistem kontrol: Otentikasi dan mekanisme kontrol akses Anti-virus perangkat lunak: Termudah dan paling murah cara untuk mencegah ancaman terhadap integritas sistem TEC2441

Mengembangkan E-commerce Rencana Keamanan TEC2441

Mengembangkan E-commerce Rencana Keamanan 5 Langkah-langkah: Lakukan penilaian risiko - Penilaian risiko dan kerentanan poin Mengembangkan kebijakan keamanan - Set pernyataan memprioritaskan risiko informasi, mengidentifikasi target risiko yang dapat diterima dan mengidentifikasi mekanisme untuk mencapai target Mengembangkan rencana implementasi - Tindakan langkah yang diperlukan untuk mencapai tujuan rencana keamanan Buat organisasi keamanan - Bertanggung jawab atas keamanan, mendidik dan melatih pengguna, membuat manajemen menyadari masalah keamanan; mengelola kontrol akses, prosedur otentikasi dan otorisasi kebijakan Lakukan audit keamanan - Tinjauan praktek dan prosedur keamanan TEC2441

E-commerce Keamanan Legislasi TEC2441

Upaya pemerintah untuk Mengatur dan Kontrol Enkripsi TEC2441

VeriSign: Selimut Keamanan Web TEC2441

Studi Kasus: VeriSign: Selimut Keamanan Web Universitas Pittsburgh e-Store contoh Internet (keamanan) jasa kepercayaan yang ditawarkan oleh VeriSign VeriSign telah tumbuh keahlian di awal enkripsi kunci publik ke dalam bisnis infrastruktur Internet keamanan terkait Mendominasi pasar situs Web enkripsi jasa dengan lebih dari 75% pangsa pasar Menyediakan layanan pembayaran yang aman Menyediakan bisnis dan instansi pemerintah dengan layanan keamanan berhasil Menyediakan pendaftaran nama domain, dan mengelola com dan. Net domain. TEC2441

Review Tujuan Pembelajaran Memahami cakupan e-commerce kejahatan dan masalah keamanan Jelaskan kunci dimensi e-commerce keamanan Memahami ketegangan antara keamanan dan nilai-nilai lain Mengidentifikasi kunci ancaman keamanan dalam lingkungan e-commerce Jelaskan bagaimana berbagai bentuk enkripsi membantu teknologi melindungi keamanan pesan yang dikirim melalui Internet Identifikasi alat digunakan untuk membangun Internet yang aman saluran komunikasi Identifikasi alat digunakan untuk melindungi jaringan, server, dan klien TEC2441

Ucapan Terima Kasih dan Referensi Gambar di halaman judul yang diadopsi dan diubah dari http://www2.automation.siemens.com/ www.worldexposure.com/v3/webdesign/ http://www.tigerwebsolutions.com/ecommerce.php Kenneth C. Laudon, Carol Guercio Traver, "E- Commerce: Bisnis. Teknologi. Masyarakat - Edisi 2", Addison Wesley, 2004 (ISBN: 032120056X) TEC2441