《《企业的IT架构》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《企业的IT架构》PPT课件.ppt(47页珍藏版)》请在三一办公上搜索。
1、企業資訊系統風險與控制電腦舞弊、COSO、COBIT及PKI架構探討,周國華屏東商業技術學院會計系2007.12.10,屏東商業技術學院 周國華,2,目錄,智慧財產權聲明,本文件係由周國華師獨自撰寫,除引用之概念屬於原文作者外,其餘文字及圖形內容之智慧財產權當然屬於周師獨有。任何機構或個人,在未取得周師同意前,得直接以本文件做為學校、研究機構、企業、會計師事務所、政府機關或財團法人機構舉辦教學或進修課程之教材,否則即屬侵權為。任何機構或個人,在未取得周師同意前,得在自編撰的教材中直接大引用本文件的內容。屬單頁內部分內容之引用,亦請註明出處。,3,屏東商業技術學院 周國華,企業風險層次,Dunn
2、 et al.(EIS,2005)將企業面臨的風險分為五個層次:經濟體風險(economy risk):影響整個經濟體(國家、區域)的風險,例如:景氣反轉、戰爭、SARS、恐怖攻擊、環境惡化等。產業風險(industry risk):個別產業內所有公司都受影響的風險。企業風險(enterprise risk):個別企業面臨的內、外部風險。前者包含道德欠缺、士氣低落、技能不足等;後者包含競爭加劇、產品或企業形象下降、供應鍊伙伴出現危機、突發性災難導致營運中斷、其他企業的併購行為影響本公司的競爭力等。企業程序風險(business process risk):與企業程序內之個體(資源、事件、代理人
3、)及個體間之關係有關的風險。資訊程序風險(information process risk):與企業程序內各項資訊之紀錄、維護、報導有關的風險。本講義重點所在!,屏東商業技術學院 周國華,4,電腦舞弊及濫用,電腦舞弊及濫用(computer fraud and abuse)是資訊系統安全最大的威脅,它不僅與資訊程序風險攸關,也與其他層級的企業風險息息相關。Romney and Steinbart(AIS,2006)整理了35種與電腦舞弊及濫用有關的犯罪技術:廣告間諜軟體(adware)資料竄改(data diddling)資料洩漏(data leakage)阻斷服務攻擊(denial-of-s
4、ervice attack)字典攻擊(dictionary attack)竊聽(eavesdropping)冒名電子郵件(e-mail forgery/spoofing),屏東商業技術學院 周國華,5,電子郵件恐嚇(e-mail threats)駭客入侵(hacking)劫持(hijacking)身份盜用(identity theft)網路散佈謠言(internet misinformation)網路恐怖攻擊(internet terrorism)鍵盤動作紀錄(key logger)邏輯定時炸彈(logic time bomb)冒名闖入(masquerading/impersonation)封
5、包探密(packet sniffing)密碼破解(password cracking)網路釣魚(phishing)盜撥(phreaking)混隨侵入(piggybacking)攢聚利息尾數(round-down)微量監守自盜(salami technique),屏東商業技術學院 周國華,6,在字紙簍中拼湊出秘密(scavenging/dumpster diving)近身竊聽(shoulder surfing)以社交手法詐騙(social engineering)軟體盜版(software piracy)垃圾郵件(spamming)間諜軟體(spyware)使用特殊軟體繞過系統安全檢查(supe
6、rzapping)後門程式(trap door)木馬程式(Trojan horse)病毒(virus)撥號偵測已連線但閒置中的數據機(war dialing),駕車偵測未受保護之無線網路(war driving),用粉筆記下已偵知未受保護之無線網路點(war chalking)蠕蟲(worm),屏東商業技術學院 周國華,7,電腦網路安全防護,為預防電腦舞弊及濫用造成的危害,無論家用或企業電腦,都應盡可能建立以下基本防護措施:電腦開機或登錄入口網頁應設置密碼。每部電腦均應安裝防毒軟體,並定期更新病毒碼。電子郵件系統應強化病毒及垃圾郵件過濾功能。安裝軟體或硬體防火牆(firewall)。設置入侵偵
7、測/預防系統(IDS/IPS)。作業系統及應用程式定期進行更新(例如:Windows update 或Microsoft update),以及時修補程式安全漏洞。此外,企業應設置完善的內部控制制度,以降低企業資訊系統的風險,並確保營運程序及資訊處理程序的正確性及完整性。,屏東商業技術學院 周國華,8,CERT/CC,Morris&CERT/CC:Robert T.Morris 在1988/11/2透過MIT的電腦網路散佈全球第一支網路蠕蟲(Internet Worm),對剛起步的全球資訊網造成重大危害。有鑑於此類行為未來可能層出不窮,美國國防部在當時(1988/11)即出資在卡耐基美隆大學設立
8、全球第一個電腦危機反應協調中心(Computer Emergency Response Team/Coordination Center)。此外,美國聯邦政府國土安全部在2003年另外設立US-CERT,做為政府與民間合作維護電腦網路安全的中介機構。R.T.Morris在1989年被依違反美國1986年電腦舞弊及濫用法定罪,是全球第一個類似定罪案例。他後來從哈佛大學取得博士學位,目前任教於MIT。台灣類似法例:刑法第三十六章妨害電腦使用罪世界各國隨後紛紛成立類似的機構。以台灣為例,目前也有兩個CERT:台灣電腦網路危機處理暨協調中心(TWCERT/CC):是台灣最早設立的CERT(成立於199
9、8年)。政府網路危機處理中心(GSN CERT/CC):由行政院研考會設置。,屏東商業技術學院 周國華,9,內部控制,針對各種潛在的風險,企業都應規劃內部控制及危機處理程序。但須符合成本效益原則。對企業內部控制制度現況的評估,是會計師進行財務報表審計的基礎。內部控制可按事前、事後分成以下三種類型:預防性控制(preventive control):能防止問題發生。偵測性控制(detective control):能察覺出已發生的問題。修正性控制(corrective control):能針對已發生的問題做改正。,屏東商業技術學院 周國華,10,屏東商業技術學院 周國華,11,內部控制制度相關法
10、令,國內主要法令:證券交易法第14條之1(授權金管會訂定相關準則)。公開發行公司建立內部控制制度處理準則(金管會訂定,以下簡稱內控準則)。審計準則公報第31號:電腦資訊系統環境下執行查核工作之考量。美國主要法令:Foreign Corrupt Practices Act(1977)Statements of Auditing Standards(SAS)No.78&94Sarbanes-Oxley Act(2002,簡稱SOX),內部控制:八大循環,內控準則第7條:公開發行公司之內部控制制度應涵蓋所有營運活動,並應依企業所屬產業 特性以交易循環類型區分,訂定對下列循環之控制作業:一、銷售及收款
11、循環:包括訂單處理、授信管理、運送貨品或提供勞務、開立銷貨發票、開出帳單、記錄收入及應收帳款、銷貨折讓及銷貨退 回、執行與記錄現金收入等之政策及程序。二、採購及付款循環:包括請購、進貨或採購原料、物料、資產和勞務、處理採購單、經收貨品、檢驗品質、填寫驗收報告書或處理退貨、記 錄供應商負債、核准付款、進貨折讓、執行與記錄現金付款等之政策 及程序。,屏東商業技術學院 周國華,12,內部控制:八大循環.,三、生產循環:包括擬訂生產計畫、開立用料清單、儲存材料、領料、投 入生產、計算存貨生產成本、計算銷貨成本等之政策及程序。四、薪工循環:包括僱用、請假、加班、辭退、訓練、退休、決定薪資率、計時、計算薪
12、津總額、計算薪資稅及各項代扣款、設置薪資紀錄、支付薪資、考勤及考核等之政策及程序。五、融資循環:包括借款、保證、承兌、租賃、發行公司債及其他有價證 券等資金融通事項之授權、執行與記錄等之政策及程序。,屏東商業技術學院 周國華,13,內部控制:八大循環.,六、固定資產循環:包括固定資產之取得、處分、維護、保管與記錄等之 政策及程序。七、投資循環:包括有價證券、不動產、衍生性商品及其他投資之決策、買賣、保管與記錄等之政策及程序。八、研發循環:包括對基礎研究、產品設計、技術研發、產品試作與測試、研發記錄及文件保管等之政策及程序。,屏東商業技術學院 周國華,14,電腦化資訊系統內控作業,內控準則第9條
13、:公開發行公司使用電腦化資訊系統處理者,其內部控制制度除資訊部門與 使用者部門應明確劃分權責外,至少應包括下列十一項控制作業:一、資訊處理部門之功能及職責劃分。二、系統開發及程式修改之控制。三、編製系統文書之控制。四、程式及資料之存取控制。五、資料輸出入之控制。六、資料處理之控制。七、檔案及設備之安全控制。,屏東商業技術學院 周國華,15,電腦化資訊系統內控作業.,八、硬體及系統軟體之購置、使用及維護之控制。九、系統復原計畫制度及測試程序之控制。一、資通安全檢查之控制。一一、向本會(註:金管會)指定網站進行公開資訊申報相關作業之控制。,屏東商業技術學院 周國華,16,內部控制參考架構,COSO
14、 架構:由美國COSO委員會在1992年提出的內部控制整體架構,已成為許多國家(包含台灣)制訂企業內部控制法令的重要參考資料。ERM 架構:由美國COSO委員會在2004年提出的企業風險管理架構,將過去以控制為基礎的1992 COSO架構,調整為以風險為基礎的2004新架構。此架構包含(而非取代)COSO 1992架構的內容,並增加新的元素,使其內容更完整且更有彈性。COBIT 架構:由國際電腦稽核協會(ISACA)在1996年制訂的資訊科技內控架構(2007最新版本:4.1版),是許多AIS教科書討論企業資訊系統內部控制的主要參考資料。,屏東商業技術學院 周國華,17,COSO 架構,COS
15、O委員會(Committee of Sponsoring Organizations)在1992年提出的內部控制整體架構(Internal Control Integrated Framework),包含五個組成要素(以下說明內容取材自金管會制訂的內控準則第6條):一、控制環境(control environment):係指塑造組織文化、影響員工控制意識之綜合因素。影響控制環境之因素,包括員工之操守、價值觀及能力;董事會及經理人 之管理哲學、經營風格;聘僱、訓練、組織員工與指派權責之方式;董事會及監察人之關注及指導等。控制環境係其他組成要素之基礎。二、風險評估(risk assessment)
16、:係指公司辨認其目標不能達成之內、外在因素,並評估其影響程度及可能性之過程。其評估結果,可協助公司及時設計、修正及執行必要之控制作業。,屏東商業技術學院 周國華,18,COSO 架構.,三、控制作業(control activities):係指設立完善之控制架構及訂定各層級之控制程序,以幫助董事會及經理人確保其指令已被執行,包括核准、授權、驗證、調節、覆核、定期盤點、記錄核對、職能分工、保障資產實體安全、與計畫、預算或前期績效之比較及對子公司之監督與管理等之政策及程序。四、資訊及溝通(information and communication):所稱資訊,係指資訊系統所辨認、衡量、處理及報導之
17、標的,包括與營運、財務報導或遵循法令等目標有關之財務或非財務資訊。所稱溝通,係指把資訊告知相關人員,包括公司內、外部溝通。內部控制制度須具備產生規劃、監督等所需資訊及提供資訊需求者適時取得資訊之機制。五、監督(monitoring):係指自行檢查內部控制制度品質之過程,包括評估控制環境是否良好,風險評估是否及時、確實,控制作業是否適當、確實,資訊及溝通系統是否良好等。監督可分持續性監督及個別評估,前者謂營運過程中之例行監督,後者係由內部稽核人員、監察人或董事會等其他人員進行評估。,屏東商業技術學院 周國華,19,ERM(Enterprise Risk Management)架構,美國COSO委
18、員會提出企業風險管理整體架構(ERM,2004),以4類目標、8種組成要素及4種企業單位層級等三個構面建立企業風險管理模型:右圖中有淡灰底色的五個要素為COSO 1992架構的內容。,屏東商業技術學院 周國華,20,COBIT 架構,ISACA在1996年制訂COBIT架構(Control Objectives for Information and related Technology)第一版。隨著國際IT治理協會(ITGI)在1998年成立,後續更新版本的制訂工作轉交由ITGI負責。COBIT 目前最新版本:4.1版(2007年發佈)。為滿足IT治理的需求,ITGI採取四個導向制訂COBI
19、T:以企業為焦點(business-focused)程序導向(process-oriented)以控制為基礎(controls-based)用衡量來驅動(measurement-driven),屏東商業技術學院 周國華,21,COBIT導向一:以企業為焦點,COBIT架構的訴求對象並不限於IT人員,而是包含全體管理人員及企業程序負責人。右圖顯示COBIT架構的基本原則:要取得為達成企業目標所需的資訊,企業必須投資在IT資源上,這些資源應使用結構化的程序來加以管理及控制,俾提供相關服務以產生所需資訊。,屏東商業技術學院 周國華,22,COBIT,IT資源,企業需求,企業資訊,IT 程序,需求驅動
20、投資,資源用於程序,程序產生資訊,資訊回應需求,企業資訊準繩,COBIT認為,資訊必須符合一些控制準繩,才能滿足企業目標。這些準繩(criteria)包含:有效性(effectiveness):資訊內容應與企業程序攸關,且能以即時、正確、一致及可用的方式提供。效率性(efficiency):資訊應以最具生產力及經濟性的方式產生。保密性(confidentiality):不能讓未獲授權者取得敏感性資訊。完整性(integrity):資訊內容應精確且完整,其適當性必須符合企業價值及期待。可得性(availability):企業程序需要某項資訊的時候,可立即取得該項資訊。企業應對產生資訊的資源及能力
21、加以保護。遵循性(compliance):資訊程序必須符合法令、契約及內部規範。可靠性(reliability):管理當局能取得合適的資訊以運轉企業並履行公司治理的責任。,屏東商業技術學院 周國華,23,企業目標 與 IT目標,COBIT認為,企業策略大部分都需要藉助IT來施行,因此企業應該將這些策略轉化為一系列需藉助IT達成的企業目標,企業IT目標再轉化為IT本身的目標。為達成IT目標,必須對IT資源及能量(即:企業的IT架構)做定義,並透過衡量指標(呈現在IT計分卡上)監督IT程序所提供的資訊是否符合資訊準繩。,屏東商業技術學院 周國華,24,企業策略,IT 計分卡,IT 目標,企業IT目
22、標,企業需求,資訊服務,資訊準繩,政府規範,需要,隱含,影響,企業IT架構,IT 程序,基礎架構與人員,應用系統,資訊,需要,執行,提供,IT 資源,COBIT對企業的IT資源定義如下:應用系統(applications):包含處理資訊的自動化系統及人工作業程序。資訊(information):資料投入資訊系統,經過處理後以各種形式交由企業使用。,基礎架構(infrastructure):協助應用系統運作的相關科技及軟硬體設施。人員(people):負責資訊系統運作的所有人員,包含內部人員、外包人員以及契作人員。,屏東商業技術學院 周國華,25,COBIT導向二:程序導向,COBIT將IT作業
23、定義在34種通用程序內,這些程序分別歸屬於四個相互關聯的領域。這四個領域(domain)是:規劃及組織(plan and organize,PO):對AI及DS提供指引。取得及建置(acquire and implement,AI):提供解決方案並將其投入服務。交付及支援(deliver and support,DS):取得解決方案並將其適用於終端使用者。監督及評估(monitor and evaluate,ME):監督每個程序以確保其遵循PO所提供的指引。四個領域彼此互動:,屏東商業技術學院 周國華,26,規劃及組織(PO),監督及評估(ME),取得及建置(AI),交付及支援(DS),PO
24、程序,COBIT在規劃及組織(PO)領域內訂定10種通用程序:PO1:定義策略性IT計畫。PO2:定義資訊架構。PO3:決定技術方向。PO4:定義IT程序、組織及關係。PO5:管理IT投資。PO6:將管理當局的目標及方向傳達出去。PO7:管理IT人力資源。PO8:管理品質。PO9:評估及管理IT風險。PO10:管理專案。,屏東商業技術學院 周國華,27,AI 程序,COBIT在取得及建置(AI)領域內訂定7種通用程序:AI1:找出自動化解決方案。AI2:取得並維護應用程式軟體。AI3:取得並維護技術基礎架構。AI4:促成運作及使用。AI5:取得IT資源。AI6:管理變革。AI7:安裝並核准解決
25、方案及變革。,屏東商業技術學院 周國華,28,DS 程序,COBIT在交付及支援(DS)領域內訂定13種通用程序:DS1:定義及管理服務水準。DS2:管理第三者提供的服務。DS3:管理績效及能量。DS4:確保服務的連續性。DS5:確保系統安全。DS6:找出及分派成本。DS7:教育及訓練使用者。DS8:管理服務台及事件。DS9:管理各項規格。DS10:管理問題。DS11:管理資料。DS12:管理實體環境。DS13:管理營運。,屏東商業技術學院 周國華,29,ME 程序,COBIT在監督及評估(ME)領域內訂定4種通用程序:ME1:監督及評估IT績效。ME2:監督及評估內部控制。ME3:確保符合外
26、部規範。ME4:提供IT治理。,屏東商業技術學院 周國華,30,COBIT導向三:以控制為基礎,COBIT為34種通用IT程序分別制訂多項控制目標(control objective),以PO1程序為例,有以下6項控制目標:PO1.1:IT價值管理。PO1.2:企業與IT協調一致。PO1.3:目前能量與效能之評估。PO1.4:IT戰略性規劃。PO1.5:IT戰術性規劃。PO1.6:IT群組管理。COBIT除了為每種IT程序制訂專屬的控制目標外,也制訂了6項適用於所有程序的通用程序控制(PC)(見次頁)。個別程序的專屬控制目標加上通用控制程序,構成完整的控制規範。,屏東商業技術學院 周國華,31
27、,通用程序控制,COBIT制訂6項適用於所有程序的通用程序控制(process control,PC):PC1:定義及傳達程序目的及目標。PC2:指定一位程序負責人,並明訂其角色及責任。PC3:程序應設計成可重複運作並產生一致的結果,並具有足夠彈性以處理意外狀況。PC4:定義程序內的關鍵作業及最終產品,為關鍵作業指派角色及責任。PC5:定義及傳達政策、計畫及程序如何驅動特定IT程序。PC6:找出一組能對特定程序的成果及效能提供洞察力的衡量指標。,屏東商業技術學院 周國華,32,RACI 圖表,COBIT使用RACI圖表來說明每個程序內各項作業的角色及責任,RACI代表:Responsible(
28、R):負責將任務完成。Accountable(A):提供指引及批准作業,負最終責任。Consulted(C):被諮詢。Informed(I):被告知。例如,PO1程序的RACI圖表如下:,屏東商業技術學院 周國華,33,企業內控及IT控制,COBIT把企業內部控制系統對IT的影響分成三個層次:高階主管層:企業高階主管負責制訂企業政策及目標,其中包含公司治理方法及控制架構。IT控制環境則由此套政策及目標所導引。企業程序層:企業程序內的每一項作業都需要控制。大部分企業程序都已自動化,並且與IT應用系統整合,因此相關的控制也採自動化處理。企業程序層的控制稱為應用控制(application cont
29、rol),包含由IT部門提供的自動化控制服務,以及仍有必要的人工化控制(例如:交易授權、工作劃分、人工調節等)。IT整合性服務:企業各部門所使用的網路、資料庫及通用軟硬體等IT相關服務在大多數企業內是以整合性的方式由IT部門提供,IT部門對這些整合性的服務必須做適當的控制,這類控制稱為一般性控制(general control)。一般性控制是應用控制的前提:唯有在一般性控制提供可靠性後,應用控制的可靠性才能達成。,屏東商業技術學院 周國華,34,IT 一般性控制及應用控制,IT一般性控制內建在前述34種通用IT程序及服務內,例如:系統發展。變革管理。安全性。電腦運作。IT應用控制內建在個別企業
30、程序的應用系統內,例如:完整性(completeness)。精確性(accuracy)。適當性(validity)。已獲授權(authorization)。工作劃分(segregation of duties)。COBIT認為,IT一般性控制的責任在IT部門,IT應用控制的責任則由IT部門及企業各部門共同承擔。,屏東商業技術學院 周國華,35,應用控制目標,COBIT的核心內容是IT一般性控制,但它也提供了6項建議性的應用控制目標:AC1:原始資料編製及授權。AC2:原始資料蒐集及登錄。AC3:精確性、完整性及確實性檢查。AC4:處理完整性及適當性。AC5:輸出檢核、調節及錯誤處理。AC6:交
31、易授權及完整性。,屏東商業技術學院 周國華,36,COBIT導向四:用衡量來驅動,管理當局必須對IT系統是否達到預期目標做出客觀的評價,以做為進一步改進的參考。COBIT對於如何評價每一種IT程序的現狀及效能,提供一套系統性的方法:IT、程序及作業的績效目標及衡量指標(範例見次頁)。成熟度模型(maturity model):COBIT借用軟體工程領域的CMM方法,把IT程序的管理及控制成熟度分成(0)到(5)等六個等級:(0)不存在:並無任何管理控制。(1)剛起步:有管控程序,但缺乏組織。(2)以直覺方式重複:管控程序已遵循某種樣式。(3)程序已定義:管控程序已文件化並在組織內傳達。(4)已
32、管理並且可衡量:管控程序已受監督及衡量。(5)達到最適化:管控程序遵循最佳實務且自動化進行。,屏東商業技術學院 周國華,37,績效目標(goal)及衡量指標(metric)範例:PO1程序,屏東商業技術學院 周國華,38,成熟度模型的應用,COBIT的成熟度模型主要用來評估企業在個別IT程序的管控現狀之相對性,例如,以代表企業現狀、代表產業平均狀況、代表企業的改進目標,則可套用在某一特定IT程序上:成熟度:0 1 2 3 4 5 現狀及改進目標:,屏東商業技術學院 周國華,39,COBIT架構的侷限,COBIT架構的內容主要是針對IT程序的一般性控制提出詳細規範。它雖然也對企業程序的應用控制提
33、出六項建議性控制目標,但並未針對個別企業程序如何操作這六項應用控制目標提出指引。個別企業程序之探討是會計資訊系統課程的核心內容,因此大多數AIS教科書都會針對個別企業程序的應用控制做深入探討。,屏東商業技術學院 周國華,40,控制矩陣,Gelinas&Dull(AIS,2008)針對個別企業程序的IT應用控制,以控制矩陣(control matrix)的方式加以描述,其結構如下(以收款程序為例):,屏東商業技術學院 周國華,41,電子化企業平台安全控制,目前大多數企業已建置電子化企業(e-business)平台。透過此平台,一方面建立與供應商及客戶之間的B2B或B2C電子商務(e-commer
34、ce)交易網絡,另方面可建立內部文件無紙化(paperless)審核流轉機制。資料在網路中移轉的安全問題,是電子化企業平台最重要的議題之一。此問題,可透過公開金鑰基礎架構(public key infrastructure,PKI)及衍生的電子簽章技術(digital signature)來加以處理。,屏東商業技術學院 周國華,42,電子簽章法 與 PKI 架構,台灣的電子簽章法自2002/4/1起實施,該法對PKI架構的基本名詞定義如下:電子文件:指文字、聲音、圖片、影像、符號或其他資料,以電子或其他以人之知覺無法直接認識之方式,所製成足以表示其用意之紀錄,而供電子處理之用者。電子簽章:指依
35、附於電子文件並與其相關連,用以辨識及確認電子文件簽署人身分、資格及電子文件真偽者。數位簽章:指將電子文件以數學演算法或其他方式運算為一定長度之數位資料,以簽署人之私密金鑰對其加密,形成電子簽章,並得以公開金鑰加以驗證者。加密:指利用數學演算法或其他方法,將電子文件以亂碼方式處理。憑證機構:指簽發憑證之機關、法人。憑證:指載有簽章驗證資料,用以確認簽署人身分、資格之電子形式證明。,屏東商業技術學院 周國華,43,加密演算法 及 金鑰,電子化企業平台的交易安全核心,是以數位金鑰(即:憑證)透過加密演算法把文件加密。數位金鑰主要分為兩類:對稱性金鑰:資料發出方以金鑰將明文(plain text)轉成
36、密文(cipher text),資料接收方以同一份金鑰將密文解譯為明文。對稱性金鑰的處理效率較高,適用於處理大量交易;但因收、發方使用同一份金鑰,故該金鑰需具有絕對私密性。處理跨行提款及轉帳的金融資訊系統,即使用對稱性金鑰。非對稱性金鑰:資料發出方以資料接收方的公開金鑰(public key)將明文轉成密文,資料接收方再以自己的私密金鑰(private key)將密文轉成明文。目前許多電子商務或網路銀行網站,會在使用者輸入資料的畫面出現SSL加密符號(在IE7下於網址列旁顯示),表示使用者所輸入的資料會在傳輸前以該網站的公開金鑰加密,網站伺服器收到資料後,再以私密金鑰解密。,屏東商業技術學院
37、周國華,44,電子簽章 與 加解密,以SSL加解密的電子商務交易,消費者不需要申請憑證,其功能主要在保障資料傳輸的安全性。但SSL並無法確認使用者身份,且消費者如果事後抵賴,商家很難在舉證上站得住腳。為強化交易的身份驗證性及不可抵賴性,商家可要求消費者加上電子簽章。其運作模式為:消費者將電子交易文件透過雜湊函數轉成二進位碼。消費者以自己的私密金鑰將上述二進位碼轉成電子簽章。消費者將電子交易文件以商家的公開金鑰轉成密文。消費者將電子交易密文、電子簽章及雜湊函數傳遞給商家。商家以自己的私密金鑰將電子交易密文解譯成明文。商家以消費者的公開金鑰將電子簽章解譯為二進位碼。商家將電子交易文件明文以相同雜湊
38、函數轉成二進位碼。比對6及7的內容,若相同,則證明是該消費者所發出的交易文件。,屏東商業技術學院 周國華,45,憑證機構,在PKI架構下,使用者可向經核准設立的憑證機構(certificate authority,CA)申請金鑰對。金鑰對包含公開金鑰及私密金鑰各一份,通常CA會保留一份公開金鑰,私密金鑰則由使用者自行保管。台灣目前已有許多憑證機構:政府部分:內政部自然人憑證管理中心,負責審核發放自然人憑證,此憑證亦通稱為電子身份證。其他由政府設立的CA有:研考會的政府憑證管理中心、經濟部的工商憑證管理中心等。民間部分:台灣網路認證公司(金融交易憑證)、網際威信、是方、聯傳、博訊等。許多證券公司
39、亦設置CA,讓投資人申請憑證做為網路交易的驗證機制。許多大型企業及教育機構,為推動無紙化公文簽核機制之需要,在資訊部門或電算中心設置CA,讓員工申請金鑰對,做為公文電子簽章的驗證基礎。,屏東商業技術學院 周國華,46,相關證照及服務,市場上目前有三種與資訊系統風險控管相關的主流證照:CISA(certified information system auditor):電腦稽核師,由ISACA辦理認證考試。CISSP(certified information systems security professional):資訊安全管理師,由(ISC)辦理認證考試。CISM(certified information security manager):資訊安全管理師,由ISACA辦理認證考試。美國會計師協會(AICPA)針對資訊系統及網路安全推出兩類型認證服務:WebTrust:由會計師針對網站交易安全性及CA運作安全性提供認證服務。SysTrust:由會計師針對供應鏈伙伴的資訊系統可靠性提供認證服務。,屏東商業技術學院 周國華,47,