本行電子銀行之發(fā)展

1、1,商務金流之應用,臺中商業(yè)銀行/電子金融部/科長/林俊昇95.11.28,2,內(nèi)容大綱,電子商務的模式電子商務的環(huán)境 我國電子商務應用現(xiàn)況 金流應用現(xiàn)況 電子交易風險 安全的交易環(huán)境,3,電子商務的模式,C2C B2C / G2C B2B B2B2C / C2B2C,4,電子商務的環(huán)境,數(shù)位臺灣計畫 ＡＢＣＤＥ計畫,5,數(shù)位臺灣計畫,行政院2002年6月公佈（六年計畫）五大重點 六百萬戶寬頻到家(95.7止4,

2、348,433 戶) e 化生活(95.6止,十二歲以上國民,64%使用過電腦) e 化商務 e 化政府(2006全球排名第二,僅次於南韓) e 化交通,6,ＡＢＣＤＥ計畫,經(jīng)濟部投入『產(chǎn)業(yè)電子化標竿計畫』A、B計畫：建構(gòu)資訊業(yè)與國際上下游廠商 供應鏈體系資訊流計畫。C、D、E計畫：資訊電子化的延伸計畫，包含金流(C)、物流(D)和協(xié)同設計(E)等三個領(lǐng)域電子化計畫。,7,我國電子商務應用現(xiàn)況,● B2C電子商務市場 B

3、2B電子商務市場,8,銷售商品分析,國內(nèi)規(guī)模最大的仍為旅遊服務（占60.08％），第二位的投資理財（占18.38%），第三位為3C產(chǎn)品（占7.21%）。電子商店24.5％為小型企業(yè)，中型企業(yè)占55.3％，大型企業(yè)為20.2％。 (資料來源:資策會),9,交易金額分析,68.5％的電子商店交易金額集中在5,000元以下。其次為5,000元～50,000元的26％。 (資料來源:資策會),10,電子商店付款方式分析,付款方式以銀行匯款或

4、轉(zhuǎn)帳（28.6％）及線上信用卡刷卡（23.8％）為最高。成長最多的是銀行匯款或轉(zhuǎn)帳，從2004年13.68％成長到2005年28.6％。便利商店付款的比例下降很多，從2004年的15.38％下降到2005年的4％。 (資料來源:資策會),,,,11,網(wǎng)路購物者的付款方式,在付款方式的調(diào)查方面，以線上信用卡刷卡最多，達31.8％。其次為銀行匯款或轉(zhuǎn)帳占有24.3％；再其次為便利商店付款，占22.6％。顯示現(xiàn)在的網(wǎng)路購物的付款方式已經(jīng)非

5、常的固定。(資料來源:資策會),,,,,,12,我國電子商務應用現(xiàn)況,B2C電子商務市場● B2B電子商務市場,13,七大產(chǎn)業(yè)整體e化應用現(xiàn)況,14,金流應用現(xiàn)況及展望,電子金流發(fā)展歷程 電子金流應用現(xiàn)況 金流體系 個人對個人（Ｃ２Ｃ）金流機制 企業(yè)對個人（Ｂ２Ｃ）金流機制 企業(yè)對企業(yè)（Ｂ２Ｂ）金流機制 金流與產(chǎn)業(yè)環(huán)境整合,15,,,,,,專屬網(wǎng)路ATM BankingPOS Banking電話語音銀行73年～8

6、3年,加值網(wǎng)路PC Banking個人銀行企業(yè)銀行83年～87年,網(wǎng)際網(wǎng)路網(wǎng)路銀行行動銀行隨身銀行通路金流 87年～…,電子金流發(fā)展歷程,16,網(wǎng)路時代銀行的轉(zhuǎn)型與變革,金融自由化、競爭激烈獲利困難(利差->服務費)客戶需求多樣、多變、難以掌握(存放款->理財)非金融業(yè)加入，使銀行通路競爭更為激烈WTO促使國外金融機構(gòu)加入競爭網(wǎng)際網(wǎng)路發(fā)達，打破時空限制網(wǎng)路科技突飛猛進，電子銀行成決

7、戰(zhàn)主軸 (分行->網(wǎng)路)網(wǎng)路行銷與新電子商品結(jié)合將引導市場走向,,17,網(wǎng)路時代企業(yè)的轉(zhuǎn)變,可以大幅降低人力、作業(yè)及管銷成本提昇作業(yè)及管理效率如何挖掘更寬廣的市場跨足金流領(lǐng)域，開發(fā)獲利來源(電信、通路、網(wǎng)路業(yè)者...),18,電子金流應用現(xiàn)況,金流體系 個人對個人（Ｃ２Ｃ）金流機制 企業(yè)對個人（Ｂ２Ｃ）金流機制 企業(yè)對企業(yè)（Ｂ２Ｂ）金流機制,19,金 流 體 系,金融體系財金(FISC)資訊服務系統(tǒng)票交所(A

8、CH)代收代付系統(tǒng)國際信用卡組織系統(tǒng)(VISA、Master Card)環(huán)球銀行財務電信系統(tǒng) (SWIFT) 非金融體系電信公司(中華電信、臺哥大、遠傳 ...)超商通路(7-11、全家 ...)物流通路(宅配、郵政)網(wǎng)路商場,,金融金流體系,國內(nèi)(代理)銀行,國內(nèi)(發(fā)卡)銀行,國外(代理)銀行,國外(發(fā)卡)銀行,SWIFT,票交所(ACH),清算銀行(中央銀行),,,,,,,,,,,,,,,,21,個人對個人

9、（Ｃ２Ｃ）金流機制,轉(zhuǎn)帳、匯款 eZPAY (交易履約保障),22,轉(zhuǎn)帳、匯款,工具金融卡／帳號、密碼 途徑 ATM、電話、PDA 、網(wǎng)路銀行 、Web ATM,23,eZPAY,/轉(zhuǎn)帳,手機,24,企業(yè)對個人（Ｂ２Ｃ）金流機制,金融卡、轉(zhuǎn)帳卡、信用卡、 Combo卡 企業(yè)預付卡 儲值卡（i-Cash） Electronic Cash 電子禮券 粉絲卡（兼具會員管理與金流儲值功能） Virtual Accoun

10、t（網(wǎng)路帳號/eCoin...） Electronic Check ... 自動化服務系統(tǒng)（ATM、POS、KIOSK、PDA、 Moile Phone、網(wǎng)路銀行、WebATM、 FISC、ACH),,25,B2C 主要金流工具分類,26,晶片卡（Smart Card),用於電話通信：公共電話卡用於政府機關(guān)：自然人憑證IC卡用於交通：悠遊卡、e卡通、e通卡用於醫(yī)療：健?？ㄓ渺秾W校：校園卡用於金融：金融卡、現(xiàn)金卡　　

11、　　　　信用卡（credit card） 轉(zhuǎn)帳卡（debit card）-> Maestro、Visa Debit 儲值卡-> Visa Cash、Mondex 、iCash,27,銀行ATM服務系統(tǒng),清算銀行,服務項目有餘額查詢、 存提款、 跨行提款/轉(zhuǎn)帳、跨國提款、轉(zhuǎn)帳繳費/稅,28,WebATM (網(wǎng)路ATM),另一24H 365天的新金流服務通路 網(wǎng)際網(wǎng)路上不會吐鈔的ATM 晶片

12、金融卡／ID + 帳號的應用 只要有讀卡機、晶片卡就能使用，不需申請 使用晶片卡驗證，安全性更高 各銀行晶片金融卡均可使用 未來在電子商務應用廣泛…,29,WebATM,取材自PChome,30,晶片(金融)卡整合行動付款架構(gòu),31,行動轉(zhuǎn)帳付款流程,32,端末設備多樣化，擴大通路應用範圍,,企業(yè)/ 機關(guān),33,全國性繳費（稅）服務,34,政府機構(gòu) 、公共事業(yè)、或電信業(yè)相關(guān)費用,電費(全國繳費網(wǎng))臺灣省自來水費、各地區(qū)瓦斯

13、費(易付網(wǎng))罰單、汽燃費(公路監(jiān)理網(wǎng))電信費:中華電信費(中華電信網(wǎng)站及語音)、臺灣大哥大電信費(臺灣大哥大手機)、臺灣固網(wǎng)電信費(臺灣固網(wǎng)網(wǎng)站) 學雜費(400餘所學校)(全國繳費網(wǎng))停車費:臺北市、臺北縣、高雄市(臺銀WebATM)電話語音轉(zhuǎn)帳繳納地方稅(中華電信語音)晶片金融卡繳納國稅、地方稅(繳稅網(wǎng))關(guān)稅費(電子化政府網(wǎng)站)港埠費用(MTNet網(wǎng)站),35,民間各項帳單費用,聯(lián)合勸募慈善捐款(聯(lián)合勸募網(wǎng)站)聯(lián)合

14、農(nóng)產(chǎn)品網(wǎng)路商城(聯(lián)合農(nóng)產(chǎn)品網(wǎng)路商城)信用卡費:中國商銀信用卡費(中國商銀網(wǎng)站)花旗銀行、遠東銀行及華南銀行信用卡費(全國繳費網(wǎng))花旗銀行貸款償還費:(全國繳費網(wǎng))基金:國際投信、復華投信、匯豐中華、倍利投信、倍立投信(中國商銀處理整批轉(zhuǎn)即時)臺北醫(yī)學院附設醫(yī)院醫(yī)療費(中國信託ATM)其他 ...,36,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,7.退件資料處理,,,,,,,,票交所(ACH)代

15、付業(yè)務作業(yè)流程圖,2.提示資料處理,（提示行）,37,票交所(ACH)代收業(yè)務作業(yè)流程圖,,,,,,,,,,,,,,,,,,,,,,,,,,,,,2.提示資料處理,6.退件資料處理,3,提回扣帳資料,15:00~16:00,38,Banking by 便利商店,水費、電費、瓦斯費、學雜費、停車費、電信帳單、保險費、罰單、信用卡款、有線電視費……等,各式儲值卡販售、交通儲值卡販售及重覆加值業(yè)務,B2C電子商務取貨付款業(yè)務,銀行ATM

16、服務進駐：提款、轉(zhuǎn)帳、繳稅、預借現(xiàn)象、代收、帳戶查詢、基金申購…等,註：取材自7-11網(wǎng)站,39,Banking by 電信帳單,,註：取材自各電信公司,相關(guān)金融服務計有：0204、0209等付費語音資訊服務手機門號用戶micropaymentISP用戶micropayment行動銀行服務,40,,SS7,SMS-C,,,,收單銀行,,,,,,,i,即時股價資訊源,,,,PSTN,,,商 城,,,emome理財卡共用系統(tǒng)架

17、構(gòu)圖,emome理財卡共用中心,券 商,發(fā)卡銀行,轉(zhuǎn)出、入銀行,41,整合型金流 (銀行),,玉山銀行eCoin,42,整合型金流 (非銀行),,藍星科技：ezPay,華錂科技：OK!payment,43,數(shù)位內(nèi)容三種價格模式,,44,,點數(shù)制+會費制,45,,點數(shù)制+零付制,46,會費制,47,零付制,48,不理想的金流選擇,註：銀行服務包括信用卡、網(wǎng)路銀行、ATM、臨櫃…等等,,,便利商店,電信帳單,銀行(註),,零付制,會費

18、制,點數(shù)制,,,選擇權(quán)在消費者卻決定了商家成本,選擇權(quán)在商家卻決定了消費者成本,內(nèi)容經(jīng)營者,消費者,49,理想的金流選擇,消費者,內(nèi)容經(jīng)營者,,,零付制,會費制,點數(shù)制,消費者依各別需求選擇價格模式,,選擇合宜micropayment商家負擔低廉之成本,銀行虛擬現(xiàn)金儲值卡,線上刷卡,ATM轉(zhuǎn)帳,便利商店,現(xiàn)金匯款,其它換匯,電信帳單,,50,金流信賴的要素,51,降低門檻,金融卡?,信用卡?,虛擬／現(xiàn)金儲值卡,1.信用卡、

19、金融卡是很成熟的payment，但不足以應付新興 商業(yè)模式所需之micropayment需求…2.信用卡、金融卡需透過嚴謹?shù)某绦蛳蜚y行申請，有其門檻 性，不足以應付新興商業(yè)模式所需之無記名與速度需求…3.因此，世界各地財政當局皆研擬「現(xiàn)金儲值卡」的新思 維，允許無記名、虛擬、無國界地與銀行往來…,52,金流工具評價,53,Micropayment(小額付款)的優(yōu)勢,低使用門檻：即高便利性 1.無年齡/身份/

20、國界等限制，且跨網(wǎng)站通用 2.線上即可便利使用，免除實體世界之程序 3.跨往來銀行限制/ 跨往來電信公司限制低交易成本：買方成本、賣方成本低交易風險：(賣方)呆帳風險、(買方)被盜用風險、貨幣公信力(贖回退款機制/C2C機制),尋求便利與安全之最佳平衡點：3低條件,54,企業(yè)對企業(yè)（Ｂ２Ｂ）金流機制,網(wǎng)路銀行 金融EDI、FEOI FXML（C計畫）電子票據(jù)電子領(lǐng)投標系統(tǒng),55,網(wǎng)路銀行,限制：(1)大多為

21、自行交易，跨行多轉(zhuǎn)通匯或ATM 轉(zhuǎn)帳交易，未建立網(wǎng)路銀行跨行標準。(2)電子憑證未能為其他銀行接受互通。(3)未能與企業(yè)ERP系統(tǒng)整合。,56,金融EDI,金融電子資料交換 (Financial EDI)，簡稱金融EDI或FEDI，係指企業(yè)利用電腦作業(yè)，以特定的標準格式，經(jīng)由通訊網(wǎng)路與金融機構(gòu)連繫進行企業(yè)之付款、轉(zhuǎn)帳及資金調(diào)撥等金融服務。,57,金融EDI之架構(gòu),58,金融EDI付款作業(yè)訊息流程,59,金融 EDI共用平臺 (

22、金流 + 資訊流),60,金融EDI,61,ＦＥＯＩ,62,C計畫的目標,多商品: 提升銀行競爭力提供供應鏈體系多商品動態(tài)融資(依訂單、驗收單、 買方確認發(fā)票、 AR/AP不同階段及風險高低考量，給與不同融資成數(shù)及利率)多行:解決供應商融資問題多行帳戶整合，ＰＯ後多行融資多國:協(xié)助中心廠全球運籌商流與金流轉(zhuǎn)回臺灣全球收付款風險低: 追隨交易行為，降低風險整體目標: 金流流向臺灣，金留臺灣 建立臺灣為企業(yè)

23、全球運籌之總部，根留臺灣,63,C計畫共通標準項目,全球收付款作業(yè) (e-Payment & e-Collection)帳務整合及銷帳作業(yè) (Account Aggregation)融資作業(yè)(e-Financing),64,ICP 計畫緣起,行政院 88.6 核定『產(chǎn)業(yè)自動化及電子化推動方案』。 財政部 88.10 核定『推動金融業(yè)

24、電子化計畫』。 財政部 89.2 請銀行公會組『電子商務組』積極規(guī)劃推動國內(nèi)電子商務金流作業(yè)。 銀行公會於89年4月17日啟動『以 XML 為基礎(chǔ)之金流基礎(chǔ)建設(ICP;Interbank Common Platform)計畫』。建置銀行間之金融交易共用平臺，經(jīng)由憑證共通及互信基礎(chǔ)下，提供產(chǎn)業(yè)體系安全、可靠、便捷之金流服務。,65,ICP 計畫主要內(nèi)容,建置銀行間金融 XML 共用平臺建置金融最高憑證管理機構(gòu)(Root CA)

25、整合金融業(yè)與其他產(chǎn)業(yè)間作業(yè)環(huán)境規(guī)範相關(guān)法規(guī)制度,66,FXML整體架構(gòu),,,67,FXML銀行平臺架構(gòu),,68,B2B完整的金流環(huán)境,69,ePayment & Account Aggregation,付款指示作業(yè)整批付款指示作業(yè)多筆付款指示作業(yè)預約付款指示作業(yè)整批預約付款指示作業(yè)多筆預約付款指示作業(yè)預約付款註銷作業(yè)多筆預約付款註銷作業(yè)查詢作業(yè)服務參數(shù)查詢作業(yè),70,eFinancing全階段融資,71,,(

26、2)額度申請,(4)合約簽訂,,,(8)通知付款,,(1)訂貨,,,(9)支付貨款,(10)償還溢收款,買 方,賣 方,銀 行,(3) 審核並通知,(7)預支價金,(6)債權(quán)移轉(zhuǎn),國內(nèi)應收帳款承購(Factoring),72,,,買 方,賣 方,銀 行,國外Factor,,(3)保證進口商信用,(2)申請買方額度,,(1)訂單,(4)審核、通知及

27、簽約,,(5)出貨&發(fā)票,,(6)債權(quán)移轉(zhuǎn),(3)審核,,(7) 預支價金,,,,(10)償還溢收款,,國際應收帳款承購,73,電子票據(jù)之運用,電子票據(jù)開戶申請電子票據(jù)簽發(fā)電子票據(jù)存入(託收)電子票據(jù)融資電子票據(jù)背書轉(zhuǎn)讓電子票據(jù)提出與提回電子票據(jù)退票提出與提回,74,電子票據(jù)樣張,75,電子票據(jù)開戶申請,76,電子票據(jù)簽發(fā),77,電子票據(jù)存入(託收),78,電子票據(jù)融資,79,電子票據(jù)背書轉(zhuǎn)讓,80,電子票據(jù)提出與提

28、回,,臺北市票據(jù)交換所,中央銀行,提示行-AAA,付款行-BBB,,2.交換清算,,3. 提回電子票據(jù)交換,81,電子票據(jù)退票提出與提回,,臺北市票據(jù)交換所,中央銀行,提示行-AAA,付款行-BBB,,,,1. 提出電子票據(jù)退票交換清單與電子退票理由單,2. 退票交換清算,3. 提回電子票據(jù)退票交換清單與電子退票理由單,82,電子押標金投標流程,,憑證管理中心,招標機關(guān),領(lǐng)/投標網(wǎng)路中心,金融機構(gòu),投標廠商,,,押標金証書

29、,1,2,,3,,5,建議書相關(guān)文件押標金証書,,4,,83,電子領(lǐng)投標系統(tǒng)整體流程,84,金流與產(chǎn)業(yè)環(huán)境整合,,85,電子商務金流展望,企業(yè)對客戶(B2C)電子商務在需求鏈(Demand Chain)部份，建置實體及虛擬之無現(xiàn)金交易商務平臺，以晶片及(XML)電子憑證作為個人網(wǎng)路金流管理工具，強化交易安全，並達成客戶關(guān)係管理之效益。企業(yè)對企業(yè)(B2B)電子商務在供應鏈(Supply Chain)部份，導入金融XML，帶動各產(chǎn)業(yè)體

30、系及其供應商導入全球收付款、帳戶整合、多行融資、銷帳及資金調(diào)度等，降低營運成本，提升產(chǎn)業(yè)資金撥付效率。,86,電子交易風險,87,人為的疏失內(nèi)部控制不當假冒、詐騙病毒威脅駭客入侵,電子交易面臨的安全挑戰(zhàn),88,網(wǎng)路安全的威脅,89,駭客入侵,90,案例,仿冒銀行網(wǎng)頁假提款機案猜密碼盜領(lǐng)案股市駭客案假登入畫面網(wǎng)路股市下單－未保護錯誤密碼篡改選課－避開“密碼”路由資料中心洩密案－財金、電信公司網(wǎng)路銀行盜領(lǐng),91,駭客

31、新戰(zhàn)術(shù) 資料隱碼攻擊程式 入侵銀行政府網(wǎng)站,資料來源 2002.04.24 中時晚報。刑事局偵九隊在今年初接獲美國ＦＢＩ駐日本東京辦事處緊急發(fā)佈的國際重大網(wǎng)路安全事件指出，駭客以新型「資料隱碼」攻擊程式碼，透過網(wǎng)站查詢參數(shù)，將攻擊程式植入網(wǎng)站的資料庫，再輕易的穿透防火牆，盜取電子商務和網(wǎng)路銀行密碼，並展開非法盜領(lǐng)交易，讓人神不知鬼不覺。刑事局近日調(diào)查發(fā)現(xiàn)，國際新型「資料隱碼」攻擊程式疑已侵入國內(nèi)八成網(wǎng)路銀行、政府機關(guān)網(wǎng)站及電子商務交

32、易網(wǎng)站的資料庫，盜取客戶和網(wǎng)站資料，警方高度懷疑，網(wǎng)路銀行交易盜領(lǐng)案與駭客使用「資料隱碼」攻擊程式有關(guān)。,92,木馬程式犯案 兩岸駭客聯(lián)手偷銀行 嫌犯陳崇順花蓮落網(wǎng),資料來源 2004.06.10 中國時報。刑事局偵九隊是在今年三月下旬，陸續(xù)接獲臺新、富邦、彰化等多家國內(nèi)銀行報案，指稱網(wǎng)路銀行客戶的存款在莫名其妙的情況下，遭不明人士利用非約定帳號轉(zhuǎn)帳機制，盜領(lǐng)存款至人頭帳戶，並在中國大陸銀行ＡＴＭ提領(lǐng)存款。 據(jù)警方調(diào)查，嫌犯陳崇順是

33、與大陸駭客勾結(jié)，先取得最新型木馬程式，加以偽裝成各種標題聳動誘人的廣告信後大量散發(fā)，吸引好奇的民眾開啟郵件，木馬程式即在不知不覺中下載常駐電腦中。接著，常駐電腦內(nèi)的木馬程式，就會伺機擷取被害人在網(wǎng)路上使用的網(wǎng)路銀行網(wǎng)址及帳號、密碼等機密資料，自動回傳給位在中國大陸的伺服主機。陳嫌再登入該主機，收取帳號密碼等資料後，透過臺灣主機層層轉(zhuǎn)接，遙控位在世界各地的跳板主機，侵入國內(nèi)網(wǎng)路銀行客戶帳戶中，盜轉(zhuǎn)存款至臺灣人頭帳戶。最後由車手在大陸地區(qū)的

34、ＡＴＭ提款機提領(lǐng)現(xiàn)金。,93,天才駭客 高二生 幫人竊千筆密碼,資料來源 2005.02.25 中時晚報。國內(nèi)電腦犯罪史上最年輕木馬程式作者落網(wǎng)！桃園縣某高中黃姓高二學生涉嫌設計電腦鍵盤側(cè)錄木馬程式，供嫌犯劉嘉恆上網(wǎng)植入他人電腦或公共網(wǎng)咖，側(cè)錄竊取「天堂」線上遊戲帳號密碼，與網(wǎng)路銀行密碼帳號和信用卡，偵九隊調(diào)查，已經(jīng)有千筆帳號密碼遭鍵盤側(cè)錄木馬程式破解。 警方調(diào)查，黃姓高二生撰寫的鍵盤側(cè)錄木馬程式，內(nèi)建電子郵件帳號，任何遭植入鍵盤

35、側(cè)錄程式的受害電腦，會不定時將受害電腦的使用者輸入帳號密碼外傳給這個電子郵件帳號，讓不法分子輕易側(cè)錄帳號密碼。,94,測中密碼！駭客詐兩百萬,資料來源 2005.12.30 中時電子報。警方查出，男子曾丁順在雅虎等知名拍賣網(wǎng)站，找尋高評價賣家的拍賣帳號，然後，鎖定「懶人密碼」，以測試的方式，不斷的猜密碼，在取得密碼後，即變更掉原持有人的密碼及聯(lián)絡電話等基本資料，再另行開設賣場，張貼由其他賣家所提供的產(chǎn)品照片，佯稱低價供買家搶標，再匯入

36、其指定的人頭帳戶詐財，短短半年進帳兩百萬多元 。,95,駭客以假網(wǎng)站詐騙手法 又稱網(wǎng)路豬籠草,資料來源 2004.10.13 中時電子報。刑事局今天宣布破獲男子黃伯晏利用網(wǎng)路漏洞，盜用中國信託、中華商業(yè)銀行的網(wǎng)路銀行網(wǎng)頁，申請註冊架設相同的網(wǎng)站，讓民眾誤信登入，趁機截取密碼、帳號後，再憑此轉(zhuǎn)帳至人頭帳戶，被害人多達六百多人 。黃伯晏盜用申請的網(wǎng)址，是把原網(wǎng)址中間再加個「─」牽引號，一般民眾根本無法區(qū)別。例如中國信託商業(yè)銀行的網(wǎng)址是WW

37、W.CHINATRUST.COM.TW黃則是申請為CHINA-TRUST矇騙。 專責網(wǎng)路犯罪防制的刑事警察局偵九隊，之前曾查獲一名就讀專科的年輕駭客，以知名公司名義發(fā)出假造郵件，騙取不知情使用者直接輸入使用者名稱、密碼，或銀行帳號等機密資訊，這種犯罪手法統(tǒng)稱為「網(wǎng)路釣魚」 。「假網(wǎng)站」的手法屬於「網(wǎng)路釣魚」的變種，網(wǎng)路上有人戲稱為「網(wǎng)路豬籠草」 。,96,防毒公司警告小心圖檔暗藏WMF漏洞攻擊,資料來源 2006.1.20 趨勢科技

38、 。利用微軟的 WMF(Window Meta File)圖形轉(zhuǎn)譯引擎漏洞 。 途徑：(春節(jié)旅遊)電子地圖暗藏後門程式 開啟或點擊賀年卡片 Email或即時通訊(IM)軟體，吸引人連結(jié)到某些惡性網(wǎng)站下載WMF程式相關(guān)的病毒檔 免費網(wǎng)頁流覽軟體 影響：使駭客得以遠端搖控電腦，利用殭屍電腦散播間諜軟體網(wǎng)站連結(jié) 、藉機側(cè)錄如個人密碼 。,97,安全的交易環(huán)境,交易安全環(huán)境的需求 交易安全機制,98,交易安全環(huán)境的需求,使用

39、者對於網(wǎng)路交易考量,99,交易安全環(huán)境的需求,網(wǎng)路商家對於網(wǎng)路交易考量,100,交易安全環(huán)境的需求,線上交易安全需求,持卡人,特約商店,收單銀行,訂購與付款,授權(quán)與請款,,,網(wǎng)路上傳送資料不可被竊聽、篡改。交易各方身份皆需辨識。不能否認已完成的交易。特約商店看不到持卡人的付款資料。,101,網(wǎng)路安全的目的,存取控制 (Access Control)認證 (Authentication)隱密性 (Confidentiality)

40、完整性 (Integrity)不可否認性 (Non-Repudiation),102,交易安全機制,交易面 業(yè)務面 管理面 實體面,103,交易面安全機制,ID、PASSWORD 晶片卡（金融卡、信用卡、儲值卡） 動態(tài)密碼（One Time Password) 交易驗證碼（Random number)　 虛擬鍵盤 加密技術(shù)的運用 交易通知機制,104,晶片金融卡安全機制,105,動態(tài)密碼,密碼僅一

41、次有效、每次使用不同密碼密碼萬一被竊取，無法再使用,106,網(wǎng)路ATM安全機制,107,加密技術(shù)的運用,對稱金鑰系統(tǒng)（DES、3-DES）非對稱金鑰系統(tǒng)（SSL、 RSA）,108,對稱金鑰系統(tǒng),明文,,密文,,密文,明文,,傳送者,接收者,傳送,,,加密與解密皆使用同一把金鑰金鑰交換不方便,109,非對稱金鑰系統(tǒng),加密的金鑰與解密的金鑰不同 傳送者用接收者的公開金鑰加密 接收者用自己的祕密金鑰解密,110,Secur

42、ity Socket Layer為目前於網(wǎng)際網(wǎng)路交易上，最廣為使用之安全通訊機制用以保護資料訊息於網(wǎng)際網(wǎng)路上傳遞時的隱密性、完整性及雙方建立交談(session)時的身分辨識。其原理是在客戶端及銀行間的資訊以亂碼傳輸，以防止資料中途被竊取或竄改 。目前最高等級之加密長度為128位元(128bits) 。,S S L,111,電子商務安全交易通道,架構(gòu)一：ＳＳＬ(128bits)?。m用於「低風險性」交易（如約定戶轉(zhuǎn)帳）,,,客戶

43、,銀行/商家,Internet網(wǎng)際網(wǎng)路,,,,SSL通道,112,架構(gòu)二：ＳＳＬ+ 電子憑證?。m用於「高風險性」交易　?。ㄈ绶羌s定戶轉(zhuǎn)帳、整批轉(zhuǎn)帳）,,,客戶,銀行/商家,Internet網(wǎng)際網(wǎng)路,,,,SSL通道,憑證,電子商務安全交易通道,113,RSA加密技術(shù)的運用,認識RSA CA（認證中心） 何謂電子憑證（數(shù)位證書） 數(shù)位簽章的運用,114,認識 RSA,RSA是1977年麻省理工學院三位數(shù)學家 -- Ron

44、 Rivest, Adi Shamir, Leonard Adleman 所發(fā)展出來的一種數(shù)學演算法。應用公開金鑰 (Public Key) 非對稱性原理。加密的金鑰與解密的金鑰不同，且為一對一的關(guān)係。Public (公開金鑰) Publicly availableUsed to verify digital signaturesUsed to encrypt messagesPrivate (私密金鑰)Kept sec

45、ret by ownerUsed to create digital signaturesUsed to decrypt messages,115,數(shù)位簽章之運用,---------------------------------------------------,明文,,?,送方私密金鑰,數(shù)位簽章,送 方,收 方,,,?,送方公開金鑰,驗證數(shù)位簽章後接受明文,明文、數(shù)位簽章、(電子憑證),116,加密訊息之運用,------

46、---------------------------------------------,明文,,?,收方公開金鑰,@#$*&^>??*$^@<:?+_#*&%@?<;_*#*-%<?,送 方,收 方,,,?,收方私密金鑰,密文,@#$*&^>??*$^@<:?+_#*&%@?<;_*#*-%<?,密文,明文,--------------------

47、-------------------------------,117,CA（認證中心）,CA (Certificate Authority) 由具公信之第三機構(gòu)擔任 核發(fā)電子憑證（數(shù)位證書） 提供使用者公開金鑰 (Public key) 的保管 與目錄服務 ( Directory Service) 以及數(shù)位證書的過期撤銷清單 (CRL, Certificate Revocation List) 之公告與管理。,118,

48、CA 認證中心角色,119,何謂電子憑證（數(shù)位證書）,為一組數(shù)位式之資料，內(nèi)容包括：憑證序號、用戶名稱、公開金鑰、憑證有效期限及憑證認證中心之數(shù)位簽章等。由憑證認證中心（CA）所核發(fā)憑證認證中心經(jīng)必要流程，驗證用戶之身分與其公開金鑰後，發(fā)給電子憑證作為其公開金鑰之有效證明依據(jù)被用來驗證使用者身份的真?zhèn)巍‰娮踊W(wǎng)路環(huán)境下，可以電子憑證中之公開金鑰來驗證資料之數(shù)位簽章，以確認對方身分,120,電子憑證,電子憑證內(nèi)容,實體印鑑證明,

49、121,數(shù)位簽章的運用,法源－90.11.14 電子簽章法立法公佈 何謂數(shù)位簽章？運用雜湊函數(shù) (Hash Function) 將傳輸文件運算出一組的摘要(Digest) ，運用傳送者私密金鑰 (Private Key) 將摘要加密編碼出來的一組數(shù)位資料，謂之「數(shù)位簽章」(Digital Signature) 。,122,數(shù)位簽章流程,Public Key of Signer,123,數(shù)位信封流程,密文,124,交易通知機制,

50、對帳單 eMail通知 簡訊通知,125,業(yè)務面安全機制－交易規(guī)範,約定帳戶 交易限額,126,管理面安全機制,密碼防制措施 強迫變更密碼 密碼錯誤控制 「懶人密碼」限制 逾時自動登出 同時間排他控制 異常交易監(jiān)控系系統(tǒng),127,實體面安全機制－交易系統(tǒng)防衛(wèi)措施,版本自動修補更新系統(tǒng)系統(tǒng)防火牆 (FireWall)病毒偵測掃瞄系統(tǒng)入侵偵測系統(tǒng)弱點掃瞄系統(tǒng)系統(tǒng)備援設備,128,網(wǎng)路銀行實例運用,,,網(wǎng)球銀行,

51、,,,,,,系統(tǒng)防衛(wèi)系統(tǒng)管理,業(yè)務約定,身份辨識權(quán)限控管,交易確認,資料隱密,交易限制,129,如何確保網(wǎng)路交易安全,杜絕貪念，降低好奇心安裝防毒軟體，並隨時更新版次或病毒碼隨時注意系統(tǒng)漏洞訊息，並進行修補注意密碼的設定，並定期變更使用者密碼不要任意使用他人或不明之電腦 不要安裝來路不明的程式或開啟來源不明的電子郵件 不要將網(wǎng)路銀行密碼，和網(wǎng)路上其他網(wǎng)站的密碼共用 多注意一下是否為真正之網(wǎng)址將Administrato