Upload presentasi
Presentasi sedang didownload. Silahkan tunggu
1
E-Commerce Keamanan dan Enkripsi
Kuliah 6
2
Tujuan Belajar Memahami cakupan kejahatan dan masalah keamanan di e- commerce Jelaskan kunci dimensi e-commerce keamanan Memahami ketegangan antara keamanan dan nilai-nilai lain Mengidentifikasi kunci ancaman keamanan dalam lingkungan e-commerce Jelaskan bagaimana berbagai bentuk enkripsi membantu teknologi melindungi keamanan pesan yang dikirim melalui Internet Identifikasi alat digunakan untuk membangun Internet yang aman saluran komunikasi Identifikasi alat digunakan untuk melindungi jaringan, server, dan klien TEC2441
3
Keamanan Lingkungan E-commerce : Ruang Lingkup Masalah
2002 Keamanan Komputer survei Institut dari 503 personel keamanan di perusahaan-perusahaan AS dan pemerintah 80% responden telah mendeteksi pelanggaran keamanan komputer dalam 12 bulan terakhir dan menderita kerugian finansial sebagai akibat Hanya 44% bersedia atau mampu mengukur kerugian yang mencapai $ dalam agregat 40% melaporkan serangan dari luar organisasi 40% mengalami penolakan serangan layanan 85% serangan virus terdeteksi TEC2441
4
Lingkungan Keamanan E-commerce
TEC2441
5
Dimensi Keamanan E-commerce
Integritas: kemampuan untuk memastikan bahwa informasi yang ditampilkan di situs Web atau dikirim / diterima melalui Internet belum diubah dengan cara apapun oleh pihak yang tidak berwenang Nonrepudiation: kemampuan untuk memastikan bahwa e-commerce peserta tidak mengingkari (menolak) tindakan secara online Keaslian: kemampuan untuk mengidentifikasi identitas orang atau badan dengan siapa Anda berurusan di Internet TEC2441
6
Dimensi Keamanan E-commerce (lanjutan)
Kerahasiaan: kemampuan untuk memastikan bahwa pesan-pesan dan data yang tersedia hanya untuk mereka yang berwenang untuk melihatnya Privasi: kemampuan untuk mengendalikan penggunaan informasi pelanggan yang telah diberikan kepada pedagang Ketersediaan: kemampuan untuk memastikan bahwa situs e-commerce terus berfungsi sebagaimana dimaksud TEC2441
7
TEC2441
8
Ketegangan Antara Keamanan dan Nilai Lain
Keamanan vs kemudahan penggunaan: langkah- langkah keamanan yang lebih yang ditambahkan, situs lebih sulit untuk digunakan, dan menjadi lebih lambat Keamanan vs Keinginan individu untuk bertindak secara anonim TEC2441
9
Ancaman keamanan di Lingkungan E-commerce
Tiga poin penting kerentanan: Klien Server Komunikasi saluran Paling umum ancaman: Kode berbahaya Hacking dan cybervandalism Kartu kredit penipuan / pencurian Spoofing Penolakan serangan layanan Sniffing Insider Jobs TEC2441
10
Sebuah Transaksi Khas E-commerce
TEC2441
11
Poin Rentan dalam Lingkungan E-commerce
TEC2441
12
Kode berbahaya Virus: program komputer yang sebagai kemampuan untuk mereplikasi dan menyebar ke file lain, sering juga membawa sebuah "payload" dari beberapa macam (mungkin merusak atau jinak); termasuk virus makro, menginfeksi file virus dan virus script Worm: dirancang untuk menyebarkan salinan dirinya sebagai program mandiri melalui jaringan Trojan horse: tampaknya jinak, tetapi kemudian melakukan sesuatu yang lain dari yang diharapkan Bad applet (kode mobile berbahaya): berbahaya Java applet atau kontrol ActiveX yang dapat didownload ke klien dan diaktifkan hanya dengan berselancar ke situs Web TEC2441
13
TEC2441
14
Hacking dan Cybervandalism
Hacker: Individu yang bermaksud untuk mendapatkan akses tidak sah ke sistem komputer Cracker: Digunakan untuk menunjukkan hacker dengan maksud kriminal (dua istilah yang sering digunakan secara bergantian) Cybervandalism: Sengaja mengganggu, defacing atau menghancurkan situs Web Jenis hacker meliputi: Topi putih - Anggota "tim macan" yang digunakan oleh departemen keamanan perusahaan untuk menguji langkah- langkah keamanan mereka sendiri Topi hitam - Undang-Undang dengan maksud menyebabkan kerusakan Topi abu-abu - mengejar beberapa kebaikan yang lebih besar dengan melanggar dan mengungkapkan kelemahan sistem TEC2441
15
Penipuan Kartu Kredit Ketakutan bahwa informasi kartu kredit akan dicuri menghalangi pembelian online Hacker target file kartu kredit dan informasi lainnya file pelanggan pada server pedagang; menggunakan data curian untuk membangun kredit di bawah identitas palsu Solusi Baru : mekanisme baru verifikasi identitas untuk mengidentifikasi identitas pelanggan TEC2441
16
Spoofing, DoS dan serangan DDoS, Sniffing, Insider Lowongan Kerja
Spoofing: Menyamar diri dengan menggunakan palsu atau menyamar sebagai orang lain Denial of service (DoS) serangan: Hacker banjir dengan lalu lintas situs Web berguna untuk menggenangi dan membanjiri jaringan Distributed denial of service (dDoS) serangan: hacker menggunakan komputer untuk menyerang berbagai jaringan target dari titik berbagai peluncuran Sniffing: jenis program menguping yang memonitor informasi perjalanan melalui jaringan; memungkinkan hacker untuk mencuri informasi rahasia dari mana saja pada jaringan Insider Jobs: ancaman tunggal terbesar keuangan TEC2441
17
Solusi Teknologi Melindungi komunikasi internet (enkripsi)
Mengamankan saluran komunikasi (SSL, S-HTTP, VPN) Melindungi jaringan (firewall) Melindungi server dan klien (OS kontrol, anti-virus) TEC2441
18
Tersedia Alat untuk Mencapai Keamanan Situs
TEC2441
19
Melindungi Komunikasi Internet: Enkripsi
Enkripsi: Proses transformasi teks biasa atau data ke dalam teks cipher yang tidak dapat dibaca oleh siapapun selain pengirim dan penerima Tujuan: Aman menyimpan informasi Aman transmisi informasi Menyediakan: Integritas pesan Nonrepudiation Otentikasi Kerahasiaan TEC2441
20
Simetris Kunci Enkripsi
Juga dikenal sebagai enkripsi kunci rahasia Baik pengirim dan penerima menggunakan kunci digital yang sama untuk mengenkripsi dan mendekripsi pesan Membutuhkan satu set kunci yang berbeda untuk setiap transaksi Data Encryption Standard (DES): Paling banyak digunakan enkripsi kunci simetris hari ini; menggunakan 56-bit enkripsi kunci; jenis lain menggunakan 128-bit kunci hingga 2048 bit melalui TEC2441
21
Publik Kunci Enkripsi Kriptografi kunci publik memecahkan masalah enkripsi kunci simetris harus pertukaran kunci rahasia Menggunakan dua kunci digital matematis terkait - kunci publik (disebarluaskan) dan kunci pribadi (rahasia disimpan oleh pemilik) Kedua tombol ini digunakan untuk mengenkripsi dan mendekripsi pesan Setelah kunci digunakan untuk mengenkripsi pesan, tombol yang sama tidak dapat digunakan untuk mendekripsi pesan Sebagai contoh, pengirim menggunakan kunci publik penerima untuk mengenkripsi pesan; penerima menggunakan kunci / nya pribadi untuk mendekripsi itu TEC2441
22
Kriptografi Kunci Publik - Kasus Sederhana
TEC2441
23
Enkripsi Public Key menggunakan Digital Signatures dan Hash Digests
Aplikasi fungsi hash (algoritma matematika) oleh pengirim sebelum enkripsi menghasilkan mencerna hash penerima yang dapat menggunakan untuk memverifikasi integritas data Enkripsi ganda dengan kunci pribadi pengirim (tanda tangan digital) membantu memastikan keaslian dan nonrepudiation TEC2441
24
Kriptografi Kunci Publik dengan Digital Signature
TEC2441
25
Digital Amplop Alamat kelemahan enkripsi kunci publik (komputasi lambat, menurunkan kecepatan transmisi, meningkatkan waktu pengolahan) dan enkripsi kunci simetrik (lebih cepat, tetapi lebih aman) Adalah teknik kriptografi generik yang digunakan untuk mengenkripsi data dan mengirimkan kunci enkripsi bersama dengan data. Umumnya, sebuah simetris algoritma (kunci pribadi) digunakan untuk mendekripsi data, Dan algoritma asimetris (kunci publik) digunakan untuk mengenkripsi enkripsi kunci. TEC2441
26
Kriptografi Kunci Publik: Membuat Amplop Digital
TEC2441
27
Sertifikat digital dan Public Key Infrastructure (PKI)
Sertifikat digital: Dokumen digital yang meliputi: Nama subjek atau perusahaan Subjek kunci publik Nomor seri sertifikat digital Tanggal kadaluwarsa Penerbitan tanggal Tanda tangan digital dari otoritas sertifikasi (pihak ketiga terpercaya (institusi) yang isu-isu sertifikat Lain mengidentifikasi informasi Infrastruktur Kunci Publik (PKI): mengacu pada Otoritas Sertifikasi (CA) dan prosedur sertifikat digital yang diterima oleh semua pihak TEC2441
28
Sertifikat digital dan Otoritas Sertifikasi
TEC2441
29
Batas untuk Solusi Enkripsi
PKI berlaku terutama untuk melindungi pesan dalam transit PKI adalah tidak efektif terhadap orang dalam Perlindungan kunci privat oleh individu dapat serampangan Tidak ada jaminan bahwa komputer memverifikasi pedagang aman CA tidak diatur, diri memilih organisasi TEC2441
30
Mengamankan Saluran Komunikasi
Secure Socket Layer (SSL): Paling umum bentuk mengamankan saluran komunikasi; digunakan untuk membangun sebuah sesi negosiasi aman (client-server sesi di mana URL dokumen yang diminta, bersama dengan isi, dienkripsi) S-HTTP: Metode alternatif; memberikan pesan protokol berorientasi mengamankan komunikasi yang dirancang untuk digunakan dalam hubungannya dengan HTTP Virtual Private Networks (VPN): Memungkinkan pengguna remote untuk secara aman mengakses jaringan internal melalui internet, menggunakan Point- to-Point Tunneling Protocol (PPTP) TEC2441
31
Negosiasi aman Sesi Menggunakan SSL
TEC2441
32
Melindungi Jaringan: Firewall dan Proxy Server
Firewall: Perangkat lunak aplikasi yang bertindak sebagai filter antara jaringan privat perusahaan dan Internet Metode firewall termasuk: Packet filter Aplikasi gateway Proxy server: Perangkat lunak server yang menangani semua komunikasi yang berasal dari untuk dikirim ke Internet (bertindak sebagai "juru bicara" atau "pengawal" untuk organisasi) TEC2441
33
Firewall dan Proxy Server
TEC2441
34
Melindungi Server dan Klien
Operasi sistem kontrol: Otentikasi dan mekanisme kontrol akses Anti-virus perangkat lunak: Termudah dan paling murah cara untuk mencegah ancaman terhadap integritas sistem TEC2441
35
Mengembangkan E-commerce Rencana Keamanan
TEC2441
36
Mengembangkan E-commerce Rencana Keamanan
5 Langkah-langkah: Lakukan penilaian risiko - Penilaian risiko dan kerentanan poin Mengembangkan kebijakan keamanan - Set pernyataan memprioritaskan risiko informasi, mengidentifikasi target risiko yang dapat diterima dan mengidentifikasi mekanisme untuk mencapai target Mengembangkan rencana implementasi - Tindakan langkah yang diperlukan untuk mencapai tujuan rencana keamanan Buat organisasi keamanan - Bertanggung jawab atas keamanan, mendidik dan melatih pengguna, membuat manajemen menyadari masalah keamanan; mengelola kontrol akses, prosedur otentikasi dan otorisasi kebijakan Lakukan audit keamanan - Tinjauan praktek dan prosedur keamanan TEC2441
37
E-commerce Keamanan Legislasi
TEC2441
38
Upaya pemerintah untuk Mengatur dan Kontrol Enkripsi
TEC2441
39
VeriSign: Selimut Keamanan Web
TEC2441
40
Studi Kasus: VeriSign: Selimut Keamanan Web
Universitas Pittsburgh e-Store contoh Internet (keamanan) jasa kepercayaan yang ditawarkan oleh VeriSign VeriSign telah tumbuh keahlian di awal enkripsi kunci publik ke dalam bisnis infrastruktur Internet keamanan terkait Mendominasi pasar situs Web enkripsi jasa dengan lebih dari 75% pangsa pasar Menyediakan layanan pembayaran yang aman Menyediakan bisnis dan instansi pemerintah dengan layanan keamanan berhasil Menyediakan pendaftaran nama domain, dan mengelola com dan. Net domain. TEC2441
41
Review Tujuan Pembelajaran
Memahami cakupan e-commerce kejahatan dan masalah keamanan Jelaskan kunci dimensi e-commerce keamanan Memahami ketegangan antara keamanan dan nilai-nilai lain Mengidentifikasi kunci ancaman keamanan dalam lingkungan e-commerce Jelaskan bagaimana berbagai bentuk enkripsi membantu teknologi melindungi keamanan pesan yang dikirim melalui Internet Identifikasi alat digunakan untuk membangun Internet yang aman saluran komunikasi Identifikasi alat digunakan untuk melindungi jaringan, server, dan klien TEC2441
42
Ucapan Terima Kasih dan Referensi
Gambar di halaman judul yang diadopsi dan diubah dari Kenneth C. Laudon, Carol Guercio Traver, "E- Commerce: Bisnis. Teknologi. Masyarakat - Edisi 2", Addison Wesley, 2004 (ISBN: X) TEC2441
Presentasi serupa
© 2024 SlidePlayer.info Inc.
All rights reserved.