電子商務付費系統與安全機制 5 5 本章學習目標

電子商務付費系統與安全機制

5

本章學習目標



電子付款系統的基本概念



各種電子付款系統



各種電子付款安全機制



了解資料加密、解密與驗證



了解什麼是防火牆



了解什麼是惡意程式

多樣化的支付方式漸侵蝕線上信用卡市場



Javelin Strategy and Research在2009年1月針對美國人線上 付款方式進行調查，發現消費者最常使用的付款方式為 信用卡，並預估消費金額將從2008年的810億美元成長至 2013年的1070億美元。



但是反觀市場佔有率，以信用卡作為線上付款管道的比 率，從2007年的59%，預測將下降到2013年的40%，其年 複合成長率(CAGR)小於6%；而同時其他線上付款方式 的市佔率卻逐漸提升，商店會員卡(private-label card)的市 佔率由3%成長至7%，預付卡(prepaid cards)從4%成長至 13%，而電子郵件付款方式(如PayPal)，所佔比率也從 2007年的7%上升到2013 年時的10%。

電子商務付款系統基本概念

一、傳統的付款方式遇上電子商務



傳統商業交易通常是採用離線付款的方式，離線付 款方式是基於兩個基本假設：

1.

假設一：交易雙方必須各自在其所在地現身。

2.

假設二：交易流程當中一定有足夠的延遲，以便能 夠發現詐欺、透支或其它問題等，並且給予修正。



由於傳統付款方式並不是在線上處理的作業模式，遇到 電子商務的線上付款方式，就可能有下列五種問題發生。

(一)缺乏方便性 (二)缺乏安全性 (三)缺乏流通性 (四)缺乏適用性

(五)缺乏進行小額交易的能力

二、電子付款機制之定義



所謂的電子付款，就是利用數位訊號的傳遞來代替一 般貨幣的流動，達到實際支付款項的目的。為此可將 電子付款機制定義為「利用數位訊號的傳遞來代替一 般貨幣的流動，達到實際款項支付的目的的系統」，

如：線上信用卡付款、電子錢包、電子現金、電子支 票、及智慧卡等付款機制。



電子商務進行付款時，大致運用的工具可分以下幾類：

線上信用卡、電子現金及電子支票，而將智慧卡視為 輔助之付款工具，可在線上信用卡、電子現金上運用。

電子交易中的參與者



買方(Buyer)：係指在線上交易中，購買商品或服務的 一方，也就是付款者(Payer)。



賣方(Seller)：係指在線上交易中，販賣商品或服務的 一方，也就是收款者(Payee)。



發行機構(Issuer)：就是信用卡發卡銀行。



收單機構(Acquirer)：提供商店收款金融服務的銀行，

它負責代理商店進行應收帳款的清算、管理商店帳戶 等。並建立特約商店認證、註冊的各項過程，提供了 安全電子商業的運作規範。



公正第三者(Trusted Third Party)：負責調解網路交易上 所發生的爭議。



電子證書認證中心(Certificate Authorities, CA)：負責核 發電子證書(Certificate)，用以確認交易者的身分

電子付款系統的整體架構

 電子付款系統的整體架構中，除了上述的電子交 易中的參與者外，必須要有軟硬體設備的支援，

這些設備分別是，

電子錢包(Electronic Wallet)

商店伺服器(Merchant Server)

付款閘道(Payment Gateway)

電子付款系統的整體架構

各種電子付款系統

 線上信用卡

 電子現金

 電子錢包(e-wallets)

 電子支票

 智慧卡

線上信用卡

 線上網路環境中，信用卡付款系統的 發展過程可拆解成三種基本的類型：

1.

未加密線上信用卡付款

2.

使用加密（如SSL技術）過的線上信用卡付款

3.

使用第三方認證的線上信用卡付款(如SET技術)

1.利用信用卡來進行網際網路上的電子付款，只是傳統信 用卡付款方式的一個延伸應用，付款交易的進行與傳 統信用卡郵購的付款方式並無太大的不同，其方式很 容易被市場所接受。

2.對於消費者而言，只要擁有一張信用卡便能夠同時使用 於一般特約商店與WWW上的虛擬特約商店，亦即消費 者可以使用原有的信用卡帳號，不需要再額外申請一 個銀行帳戶或購買電子現金來付款，十分方便；而且 信用卡若遺失遭冒用，發現後可立即掛失，之後的損 失便由發卡機構負擔，消費者的利益有保障。

線上信用卡之優點

線上信用卡之優點

3.對於特約商店而言，以信用卡為基礎的電子付款系統，有 強大的信用卡發卡組織為後盾，以及全球完善的清算體 系，其網路交易的信用風險可以轉嫁給發卡組織；加上 信用卡有遍佈世界的使用者，有意在網際網路上進行電 子商務的廠商，尤其是欲進行國際貿易的公司，是不能 夠沒有提供這種付款服務的。

4.網際網路上以信用卡為基礎的電子付款系統，係以現有信 用卡付款的系統架構與清算體系為基礎，其所遵循的架 構清楚明確，因此發展的速度較快，系統整合亦較容易，

能夠搶先一步佔領網際網路市場。

1.以信用卡為基礎的電子付款系統，消費者與廠商都必須加入 特定的信用卡組織，由於消費者申請信用卡與廠商申請成為 信用卡特約商店，都必須具備一定的條件，將因而限制了網 路上的交易對象與使用範圍。

2.以信用卡付款的每一筆交易記錄都會被發卡機構記載儲存起 來，將會對消費者的隱私權有所危害。

線上信用卡之缺點

線上信用卡之缺點

3.以信用卡為基礎的電子付款系統，由於是循原有的信用卡 清算體系，因此以信用卡付款的每筆交易，買賣雙方都 必須負擔較高的手續費，不適合作為小額付款之用。

4.以信用卡為基礎的電子付款系統，僅能適用於持卡人與特 約商定之間的付款之用，並無法作為一般人之間或同一 個人的不同帳戶之間在網路上進行資金轉帳之用，適用 的用途較少。



1996年以來，SET機制似乎被廣泛推廣為電子商務安全與 保密的最佳解決方案。但是在電子商務持續快速成長的

同時，SET機制被美國銀行業接受的腳步似乎緩慢下來了。

消費者相信他們在網路上交易透過SSL機制已經是安全保 密的。因此看SET 目前的發展，在可運作的規模擴展上，

SET機制已經為時太晚去將自己推銷給使用大眾。



目前線上信用卡是最成熟且最普遍的電子付款形式，但 目前商家負擔較大的風險與成本。

線上信用卡之SSL技術與SET機制之競爭

電子現金

 所謂電子現金，是以電子的方式來處理交易的電 子貨幣，而依據電子現金儲存的方式又可分為智 慧卡型電子現金與網際網路空間型電子現金，智 慧卡型電子現金是指將電子現金儲存在一個安全 方便的智慧卡中，可由使用者隨身攜帶以取代傳 統的貨幣方式，作為交易媒介之用；而網際網路 空間型電子現金則是交易雙方設定電子給付系統，

以達到付款收款的目的。

電子現金的交易流程

電子現金系統的優點

1. 電子現金具有匿名的特性，無法由電子現金的使用追蹤到 消費者的身份，對於消費者的隱私權與帳戶的安全性有較 佳的保障。

2.電子現金在使用時是獨立的，與銀行帳戶沒有直接的關連，

因此沒有交易過程中帳號或信用卡號碼遺失、被竊取與被 冒用等風險。

3. 大部分的電子現金系統具有離線驗證的功能，可以在離線 的狀況下的進行付款。

4. 使用者沒有申請條件的限制，而且交易成本較低，適合進 行任何人或任何機構之間任意金額大小的付款，尤其是小 額付款。

5. 電子現金未來若相關發行機構與清算機制發展成熟的話，

可以視為網路上的一種法定貨幣，具有一般現金即時兌現 的性質，廠商將很樂意收到這種付款。

電子現金系統的缺點

1.如果採用線上的查核，電子現金發行單位必須維護一個大型 資料庫，用以記錄已經使用過的電子現金，以防止重複花 用的問題。

2. 電子現金就像現金一樣，沒有追蹤的記號，一旦遺失便很 難追回，用戶便因而發生損失。因此電子現金的儲存與保 護格外重要，儲存在一般個人電腦上並不十分保險，通常 需要利用特殊的硬體設備來儲存，例如智慧卡或個人數位 助理(PDA)等。此外，若要在離線的情況下進行付款，通常 亦必須要有智慧卡與讀卡機等硬體設備來進行驗證，如此 額外增加設備將會提高用戶的負擔，而使一般的消費者卻 步。

電子現金系統的缺點

3.電子現金在領出時係有一定的面額，若購物後需要找錢而 廠商沒有適當的零錢面額時，電子現金需要進行分割，處 理手續較繁複。

4.電子現金是屬於一種現付付款系統，消費者付款時從網路 上領出電子現金，銀行帳戶便會馬上減少利息收入；對於 金融機構而言，亦會立即短少帳面存款，對於兩者均屬不 利。

電子現金的八個理想特性

1.獨立性

2.安全性

3.匿名性

4.離線付款

5.可傳輸性

6.可分性

7.條件稽核

8.災難復原

 目前電子現金統一的發行機構與清算體系尚未建

立，仍是屬於獨立發行的階段，因此大部分的金

融單位與消費者均處於觀望的態度，普及的程度

較差，而且整合的困難度亦較以信用卡為基礎的

付款系統為大。

電子錢包(e-wallets)

 電子商務盛行，傳統的付款系統已經不敷使用，

企業和金融機構提出了多種數位付費的選擇，以 符合廠商和消費者的需要。許多新式的數位付款 系統都需要某種電子錢包(e-wallets)。

ECML(Electronic Commerce Modeling Language)、

OTP(Open trading Protocol)、OBI(Open Buying on

the Internet)等都是因為數位錢包所訂出的標準。

電子錢包的特性

 一般的錢包，我們稱它為「類比錢包」，會放在 人們的口袋或皮包。電子錢包希望能模擬類比錢 包的功能，其中最重要的為：

1.從數位憑證或其他保密的方式檢驗消費者 2.儲存並轉移價值

3.確保消費者到廠商的付費過程安全

4.模擬一般錢包的功能，可以支援線上信用卡、數位現 金、數位信用卡、以及數位支票等使用的付費。

電子錢包的好處

1.最大好處在於消費者的便利性

2.可以從任何網站使用電子錢包來證明自己的身分，

用一個按鍵就可以付費購買想要的物品，並且立 刻留下一份交易證明以便複查

3.可在無線網路器材上使用同樣的電子錢包付款 4.線上購物時不必再填單，只要點選電子錢包，軟

體就會將帳單和送貨資料填好，簡化訂貨的過程

5.廠商從電子錢包得到的好處在於降低交易成本，

電子錢包的問題

1.誰會支援電子錢包，這涉及到用什麼標準來定義 電子錢包，好讓它到處都可被接受

2.誰擁有電子錢包及其資料(牽涉到隱私的問題)

3.電子錢包放在哪(客戶端或遠端伺服器中)：

電子錢包

 目前電子錢包主要可分為兩大類：客戶端電子錢 包和伺服器端電子錢包。

 客戶端電子錢包在台灣地區應用案例有：iCash

與Mondex。

伺服器端電子錢包

 伺服器端電子錢包是負責檢驗和付費的服務和產 品。可以讓線上的廠商以這樣的產品來處理線上 消費者付費的所有事項，降低成本。亦可讓消費 者不需安裝特別的軟體，當廠商的表單改變時也 會動態更新，而客戶端電子錢包需下載才能更新。

 目前伺服器端電子錢包有Microsoft Possport、

Yodlee.com、Cybercash InstaBuy。

伺服器端電子錢包

電子支票

 所謂電子支票，就是設計來吸引不想使用現金，

而寧可採用信用方式的個人客戶和公司組織。是 用電子方式起始，使用電子簽名做背書，並使用 數位證明來驗證付款者、付款銀行和銀行帳戶，

其安全和認證工作則由公開金鑰密碼法的電子簽 名來完成的。

 電子支票會產生浮動（Float），浮動則是商業的

重要條件。

電子支票的特色

1.具有紙式支票的效益 2.具有浮動匯率

3.雙方不需負擔財務風險

4.對廠商而言，成本比信用卡低

電子支票的優點

1. 傳統以支票付款的方式目前在社會上已被廣泛的 接受，是商業交易中不可缺乏的支付工具，在網 際網路上以電子的方式來簽發支票，操作上與傳 統書面的方式亦無太大的不同，能夠節省教育使 用者的時間，並可很容易被使用者接納採用。

2. 電子支票可以應用於市場上的各個階層及範圍，

包括一般個人對個人、個人對企業，或企業對企

業之間的資金往來均能夠廣泛使用，而且可進行

電子支票的優點

3. 連線的電子支票系統，票據的接收者在收到支票後可以 馬上檢驗發票者的簽章，或甚至進一步透過連線查證發 票者的資金狀況，不像傳統銀行的書面支票體系，僅有 發票者的開戶銀行記錄有發票者的印鑑資料，因此在支 票提出交換後，移轉到發票者的開戶銀行時才能夠核對 該支票的簽章，以及檢查發票者是否有足夠的資金支付。

所以使用電子支票系統可避免收到無效支票(簽章錯誤)或 空頭支票(資金不足)的情形出現。

4. 電子支票若發現遺失、被竊或遭冒用時，可以馬上辦理 掛失止付，發票人將不至蒙受重大損失，不像電子現金 一旦遺失便立即發生損失無法追回。

電子支票的優點

5. 電子支票系統實際上具有提供網際網路用戶存款與轉 帳的功能，用戶只要簽發一張電子支票，收票人為欲 存款或轉帳的銀行帳戶，便能夠將該用戶支票存款帳 戶的資金轉存至其它的帳戶，達到存款與轉帳的效果。

6. 如同傳統支票的使用方式，可簡化教育使用者的成本。

電子支票非常適用於微付款的清償；使用傳統的加密

方式，執行速度較使用公用碼的加密方式(電子現金)快。

電子支票的優點

7. 對商業界而言，電子支票能創造浮動匯率並獲取利益，

是一個相當重要的特性。第三方帳務伺服器經營者能藉 由收取買賣雙方的交易手續費而獲取利潤，或如同銀行 一樣提供存款帳務服務，在存款集資市場中獲取利潤。

財務的風險將由帳務伺服器經營者負擔，因而提高接受 電子支票的程度。使用多重帳務伺服器系統的方式，同 時提供可靠度及規範標準，建立內部帳務伺服器傳輸原 則，使買賣雙方能在「屬於」不同的範圍、區域、國家 間進行交易

電子支票的缺點

1. 金融法規規定要開立支票帳戶必須有一定的限制，以維護信用交易 的秩序，因而將限制網路上利用電子支票付款的使用對象與範圍。

2. 簽發支票所涉及的法律規定甚多，退票的風險必須由收票人負擔，

若電子付款系統的設計未能提供即時查證發票人帳戶資金狀況的功 能，將影響售貨廠商收受支票的意願，進而影響電子支票付款方式 的發展。

3. 電子支票就如同書面支票一樣，通常發票人、收票人、票面金額等 資料都會被參與的銀行知悉，對於買賣雙方的隱私較無保護，因此 不適合作為有隱私要求的付款交易。

4. 電子支票系統對於數位簽章所使用的私密金鑰的保護十分重要，一 旦私密金鑰遺失，就如同印鑑遺失一樣，支票便有被盜用的危險，

因此私密金鑰通常需要存放在特製的簽章卡上，同時要利用對應的 讀卡機來進行簽章，如此用戶必須添購額外的設備，將會因而增加

智慧卡

 智慧卡是指在銀行塑膠卡片上植入晶片的卡片。

此晶片可以處理各種不同的資訊，因此在不同產 業可以透過智慧卡的晶片來設計達成不同的使用 目的。

 EMV現金卡，即為智慧卡的一種。

 基本上，智慧卡可分成關係型智慧卡和電子錢包。

其中電子錢包就是所謂的借貸卡及電子現金。

1.關係型智慧卡：是一種由金融機構發行的晶片卡，增強了 現有卡片服務功能，加入新的服務項目。是一種用來協 助處理大量市場技術的工具，以滿足個別使用者的需求。

加強功能的智慧卡所能儲存的資料，包括持卡人姓名、

生日、個人消費資料、及實際購買記錄。這些資訊能幫 助商家正確追蹤持卡人的消費習慣，並有助於發展增進 持卡人忠誠度的程式。

2. 電子錢包：是一種口袋大小的晶片卡，其卡片上嵌入一 個可供計算的微晶片，儲存持卡人的可用總金額，持卡 人可用該卡支付購買食物、拷貝資料或乘坐捷運的費用。

Web-ATM



「Web ATM」係由實體銀行所提供之網路理財服務。只 要透過個人電腦，結合「晶片金融卡」及「晶片卡讀卡 機」連結至銀行網站，即可隨時隨地在網際網路上享有 銀行所提供之ATM金融服務（除提領現金外，功能上與 實體ATM無異）。



「Web ATM」為一晶片金融卡網路收單服務，不論是網 路商家或實體店家皆可申請使用。透過電腦及晶片金融 卡讀卡機，持有任何一家銀行所發行之晶片金融卡的消 費者，均可立即轉帳支付消費款項。兼具安全、流暢、

方便、即時的特性，成為目前最先進前衛的線上付款工 具，也是消費者網路購物的不錯選擇。

P2P付款系統

 P2P付款系統是儲值付款系統的變化。

 P2P付款是一種可以將我的錢透過 email 轉給你的 方式，其中牽涉到高度的技術與安全，這對於拍 賣網站尤其重要，如果可以讓拍賣的用戶之間直 接進行線上轉帳，然後拍賣網站從中抽取手續費 的話，獲利會是非常驚人的。

 美國PayPal.com﹙付錢給朋友﹚

電子付款安全機制

 身份認證性(authentication)

 資料保密性(confidentiality)

 資料完整性(integrity)

 不可否認性(non-repudiation)—防止拒付

安全電子交易協定(SET)

 安全電子交易協定(Secure Electronic Transaction

Protocol, SET)：是由Visa與MasterCard兩大信用卡

組織提出的一種應用在網際網路上以信用卡為基

礎的電子付款系統規範，檢驗持卡人和廠商的身

分，藉此改進信用卡交易的安全。

SET協定的重要個體

1.持卡人(Cardholder)

2.電子商場(Electronic Shopping Mall) 3.信用卡收單銀行(Acquire Bank)

4.認證中心(Certificate Authority， C.A.)

5.金融網路

安全套接層協定(SSL)



SSL協定是Secure Sockets Layer Protocol 的簡稱，由網景 (Netscape)公司於1994年提出，是一種網際網路上最普遍 使用的安全通訊協定，保障網站伺服器及瀏覽器之間的 數據資料傳輸的安全性，其可使用在HTTP、Telnet、FTP、

TCP/IP等網路協定上。透過使用這個協定，網路上的數 據傳輸會按照認證的種類(40位元、128位元)進行不同程 度的加密，更會檢查資料的完整性。協定的主要目的是 提供網際網路上交易雙方安全保護，避免交易資訊於傳 輸過程中被劫取、偽造及破壞。

 私密性：使用對稱式金鑰系統，對傳輸的訊息與 資料進行加密，以確保資料的私密性。

 身份驗證：使用非對稱金鑰演算法如RSA 及證書 管理架構，對交易雙方中伺服器端的身份進行驗 證。並由伺服器端決定是否要驗證使用者端的身 份。

 完整性：使用安全的Hash 函數計算傳輸資訊的驗 證碼並附加於訊息的最後面，以確保資訊傳輸的 正確性與完整性。

SSL的三大功能



SSL與應用協定無關，在它之上可疊上各式網路應用，意 即，這些應用仍可無視SSL的存在，依照往常的方式運作。



連線雙方利用公眾鑰匙(public key)技術識別對方的身份，

SSL支援一般的公眾鑰匙演算法，採RSA與DES並用。



SSL連線是受加密保護的，雙方於連線建立之初即商定用 以對後續連線加密的秘密鑰匙 (secret key)及加密演算法，

如DES或RC4。



SSL連線是可信賴的，SSL在所傳輸的每段訊息中附有用於 驗證訊息完整性 (integrity)的訊息認證碼(MAC)，SSL支援一 般用於產生MAC的碎映(hash)函式，例如SHA、MD5。並採 用Handshake Protocol Specification與Record Protocol

SSL的特色

SSL線上信用卡處理流程

保護電子商務的交易通道

 SSL(Secure Socket Layer)

 安全HTTP協定(S-HTTP)

 PGP(Pretty Good Privacy)

目前網路上交易安全的需求考量可分兩個方面



使用者的身分認證與授權：只有經過身分認證

(Authenticity)與合法授權(Authorized)的使用者，才能在 合理的範圍內進行資料的存取(Access control)



資料與交易安全的保護：即在電子商務交易時，資料傳 遞的機密性(Confidentiality)、完整性(Integrity)與不可否 認性(Non-repudiation)的要求

在電子商務交易環境中，各個安全需求所欲 提供的功能



身分認證(Authentication)：確認使用者身份



授權(Authorization)：決定使用者權限



機密性(Confidentiality)：機密性主要是保護資料在傳輸的 過程中，不會被其他人所竊取或監看



完整性(Integrity)：主要是對於資料傳輸到接收者之後，

對於發送者的資料可以做檢驗以保證與發送者的資料相 符，而發送者也希望所傳送的資料與接收者的資料是一 樣的，並沒有差異性的存在



不可否認性(Non-Repudiation)：就是保證交易雙方不能否 認彼此交易的承諾，亦即讓參與電子商務的參與者無法

電子商務交易安全的防護方法

目前常用的網路保全方式

 信任式保全(Trust-Based Security)

 隱藏式保全(Security Through Obscurity)

 密碼設定(Password Schemes)

 生物特徵辨識系統(Biometric Systems)

 主機保全

 網路保全

電子商務安全的防護方法

 對稱金鑰與非對稱金鑰

 加密演算法

 數位信封

 數位簽章

 防火牆（Firewall）

 虛擬私人網路(Virtual Private Network, VPN)

對稱式(Symmetric)密碼系統—私密金鑰演算法

非對稱式(Asymmetric)密碼系統—公開金鑰演算法

數位簽章(Digital Signature)

數位信封(Digital Envolope)

防火牆(Firewall)

防火牆大致分為三大類

 封包過濾器(packet filter)

 連線閘道器(circuit gateway)

 應用程式代理器(application agency)

連線閘道器(circuit gateway)

應用程式代理器(application agency)

 『電腦病毒』單純指的是『Virus』，而『惡意程 式』（Malicious Code）則泛指所有不懷好意的程 式碼，包括電腦病毒、特洛伊木馬程式、電腦蠕 蟲。

 此外，有些企業為了達到系統安全檢查的目的，

會僱用一群好的電腦高手，由外部網路試著入侵 公司系統，這一群人俗稱White hat。而那些專門 對外公佈系統有弱點網路，以獲取名聲的網路駭 客，則俗稱Gray hat。

惡意程式

一、電腦病毒

 電腦病毒(Virus)為一電腦程式，可以自已複製，

並傳播到其他檔案，包含檔案型病毒、巨集病毒 與Script病毒。電腦病毒就如同人的流行性感冒 一樣，具有隱藏、傳染性及破壞性的常駐型程式。

當某程式被電腦病毒傳染後，它也成一個帶原的

程式了，會直接或間接的傳染至其的程式。



啟動性：病毒通常啟動可能是靠著時間上的設定，（如 黑色星期五），或經由執行的次數、所按下 dir 的次數多 少而來決定何時開始發作。



複製性：病毒進入系統後，所做的第一件事就是複製自 己本身，並且將自己擴散出去，並成長自己，否則便會 出絕種。通常病毒本身不會很快的去破壞你的系統，而 是去找一個程式看是否已被感染。



傳染性：通常電腦病毒可藉由磁片、磁帶的攜帶、拷貝 或者經由網絡通訊傳輸資料時而被感染。



寄居性：會寄居在程式裡，藉由系統啟動時來執行、發

一般電腦病毒具有以下四種基本特性

 梅麗莎(Melissa) I Love You

 車諾比(Chernobyl)

 BackOrifice2000

常見的網路病毒

 檔案型病毒

 巨集病毒

 Script病毒

電腦病毒的類型

檔案型病毒



檔案型病毒，又稱寄生病毒，運行於記憶體，通常感 染執行檔案，例如*.com、*.exe、*.drv、*.dll等檔案。

每次執行受感染的檔案時，病毒便會發作：病毒會將 自己複製到其他執行檔案並於發作後仍可長留在記憶 體。現存的檔案型病毒數以千計，它與開機磁區病毒 類似，絕大多數是在16位元的DOS環境中進行。最簡 單清除檔案型病毒的方法是使用防毒軟體去掃描及清 除病毒。但如果那些系統檔案已在Windows模式下鎖 定，用戶是不能在此環境下清除病毒。解決方法是在 DOS環境下啟動電腦，然後執行防毒軟體去清除受病 毒感染的檔案。



典型例子：CIH會感染Windows 95/98的.EXE檔案，並在每 月的26號發作日進行嚴重破壞。於每月的26號當日，此 病毒會試圖把一些隨機資料覆寫在系統的硬碟，令該硬 碟無法讀取原有資料。此外，病毒又會試圖破壞Flash BIOS內的資料。

巨集病毒



與其他病毒類型的分別是巨集病毒不會局限於某個特定 的操作系統，可以透過電子郵件之附件、軟碟、網際網 路下載、檔案互傳和共享應用程序等多種方式進行傳播。

巨集病毒專門針對特定的應用軟件，可感染依附於某些 應用軟體內的巨集指令，如Microsoft Word 和Excel。巨集 病毒採用程式語言撰寫，例如Visual Basic 或 Corel Draw，

而這些又是易於掌握的程式語言。



典型例子：July Killer 這個病毒通過VB巨集在 MS Word 97 文件中傳播。一但打開染毒文件，病毒首先感染共用 範本 (normal.dot)，從而導致其它被打開的文件一一遭到 感染。此病毒的破壞力嚴重。如果當月份是7月時，病毒 就會刪除 c:\ 的所有檔案。

Script病毒



Script病毒係以VBScript或JavaScript語言寫成，只要double- click受感染的*.vbs或*.js檔，病毒就會啟動。



典型例子：I love you 是一個用VBScript寫出來，可以通過 E-Mail散佈的病毒(有點和之前的梅麗莎相似)，而受感染 的電腦平台以Win95/98/2000為主。

蠕蟲



蠕蟲是一種經由網絡擴散在電腦間傳播的程式。它跟病 毒有所不同，因為它不會附在一個主程式內，亦即不會 藉由類似Microsoft Outlook散播出去。它會用盡電腦資源、

修改系統設定及最終令系統「死機」。隨著網際網路的 普及，蠕蟲利用電子郵件系統去複製，例如把自己隱藏 於附件並於短時間內電子郵寄予多個用戶。



典型例子：於1999年6月發現的 Worm.ExploreZip 是一個可 複製自己的蠕蟲。

特洛伊/特洛伊木馬(Trojan horse)



它是種類似電腦病毒(virus)的指令組合，廣義來說，也 是一種電腦病毒，它同樣附在普通程式內，並隨著該 程式的執行於暗中幹某些勾當，不過與病毒不同的是，

特洛依木馬不會複製自己，意即，它不若病毒會繼續 將自己複製至其它程式，讓其它程式也受感染。特洛 伊或特洛伊木馬是一個看似正當的程式，但事實上當 執行時會進行一些惡性及不正當的活動。特洛伊可用 作駭客工具去竊取用戶的密碼資料或破壞硬碟內的程 式或數據。與病毒的分別是特洛伊不會複製自己，只 會駐留在電腦內作破壞或讓駭客作遠端遙控。特洛伊



典型例子：Back Orifice 特洛伊木馬於1998年發現，是 一個Windows遠端管理工具，讓用戶利用簡單控制台或 視窗應用程式，透過TCP/IP去遠端遙控電腦。

後門程式(backdoor)



後門程式(backdoor)：後門是指可以「繞過」系統中的保 全措施進入系統的管道，它可能是系統開發廠商預留便 於維護系統的措施，或是系統漏洞，或是入侵者特意植 入後門程式而產生的後門。



在早期「電腦病毒」、「特洛伊木馬程式」、「電腦蠕 蟲」都是各自獨立的程式而且彼此不相干，但近幾年來 單一型態的惡意程式愈來愈少了，大部份都以「電腦病 毒」加「電腦蠕蟲」或「特洛伊木馬程式」加「電腦蠕 蟲」的型態存在以便造成更大的影響力，而且比率以前 者居多。

個案討論—eBay與PayPal

 線上拍賣平台eBay買下網路付款工具Paypal，這

兩大網路要角的結合，將為線上拍賣市場帶來多

大衝擊？請說明您的看法，並進一步思考是否有

比PayPal更好的線上付款工具。