1 / 81

มาตรการรักษาความมั่นคงปลอดภัย

มาตรการรักษาความมั่นคงปลอดภัย. เหตุผลที่ต้องมีระบบรักษาความปลอดภัย. การเชื่อมโยงและติดต่อสื่อสารสามารถติดต่อได้ทุกมุมโลก โดยใช้ เครือข่าย Internet บุคคลต่างๆสามารถติดต่อสื่อสารกันได้ การส่งข้อมูลอยู่ในรูปแบบของไฟล์ดิจิตอล สามารถ เสี่ยงต่อการถูกลักลอบนาข้อมูลไปใช้ได้

shaun
Download Presentation

มาตรการรักษาความมั่นคงปลอดภัย

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. มาตรการรักษาความมั่นคงปลอดภัยมาตรการรักษาความมั่นคงปลอดภัย

  2. เหตุผลที่ต้องมีระบบรักษาความปลอดภัยเหตุผลที่ต้องมีระบบรักษาความปลอดภัย • การเชื่อมโยงและติดต่อสื่อสารสามารถติดต่อได้ทุกมุมโลก โดยใช้ เครือข่าย Internet บุคคลต่างๆสามารถติดต่อสื่อสารกันได้ • การส่งข้อมูลอยู่ในรูปแบบของไฟล์ดิจิตอล สามารถ เสี่ยงต่อการถูกลักลอบนาข้อมูลไปใช้ได้ • เป็นอุปสรรค ต่อระบบพาณิชย์อิเล็กทรอนิกส์เพราะe-Commerce เป็นการทาธุรกรรมต่างๆบนระบบ Internet

  3. อุปสรรคของธุรกิจออนไลน์(Barries of Online Business) • การรักษาความปลอดภัย(security ) โดยเฉพาะการนาข้อมูลบัตรเครดิตของลูกค้าไปใช้ในทางที่ไม่ถูกต้อง รวมทั้งการโกง(fraud) ซึ่งทาให้ลูกค้าเสียหาย ในปัจจุบัน ธนาคารที่ให้บริการบัตรเครดิตจะโทรศัพท์ติดต่อกับลูกค้าเมื่อตรวจสอบว่ามีการใช้บัตรเครดิตออนไลน์ที่ไม่ชอบมาพากล หรือยอดสั่งซื้อมากผิดปกติ หากลูกค้ายืนยันว่ามีการทารายการจริง การตรวจสอบก็สิ้นสุด

  4. อุปสรรคของธุรกิจออนไลน์(Barries of Online Business) • ความน่าเชื่อถือ( Trustworthiness ) เนื่องจากลูกค้าไม่สามารถเห็นสินค้าจริง ๆ จากธุรกิจแบบ Pure Play ลูกค้าบางรายกลัวว่าจ่ายเงินไปแล้วไม่ได้รับสินค้า หรือสินค้าล่าช้า เปลี่ยนไม่ได้ เป็นต้น วิธีแก้ไข คือ ลงรายละเอียดเกี่ยวกับผู้ขายให้มากที่สุด เช่น รูปภาพสานักงาน เจ้าของร้าน เบอร์โทรศัพท์ หรือ ใบทะเบียนพาณิชย์อิเล็กทรอนิกส์ เป็นต้น

  5. อุปสรรคของธุรกิจออนไลน์(Barries of Online Business) • บุคลากร( Personnel ) บุคลากรในบริษัทอาจไม่มีความรู้เกี่ยวกับคอมพิวเตอร์หรืออินเทอร์เน็ต ซึ่งเป็นอุปสรรคอย่างมาก ธุรกิจจึงควรอบรมบุคลากรให้มีความรู้ด้านการใช้คอมพิวเตอร์และอินเทอร์เน็ต รวมทั้งโปรแกรมต่าง ๆ ที่ช่วยในการลดต้นทุนด้านการสื่อสารกับลูกค้า • วัฒนธรรม( Culture ) หากกล่าวถึงในเมืองไทย คนไทยมักชอบออกมาซื้อสินค้านอกบ้านเพราะว่าได้พบปะเพื่อนฝูง หรือดูหนัง ซึ่งอาจทาให้ธุรกิจออนไลน์ไม่ได้รับการตอบรับอย่างเต็มที่ สภาพภูมิศาสตร์ เช่น อากาศร้อนอาจทาให้ผู้บริโภคในเมืองไทยนิยมเดินตากแอร์ในห้างสรรพสินค้ามากขึ้น อย่างไรก็ตาม ธุรกิจออนไลน์อาจจะต้องประชาสัมพันธ์ให้ความรู้กับผู้บริโภคว่าการสั่งสินค้าบนเว็บไซต์ช่วยประหยัดต้นทุนค่าเดินทางในยุคน้ามันแพงและประหยัดเวลา เป็นต้น

  6. อุปสรรคของธุรกิจออนไลน์(Barries of Online Business) • โครงสร้างระบบอินเทอร์เน็ต ( Internet Infrastructure ) ปัญหาเรื่องอินเทอร์เน็ตช้า ซึ่งอาจเกิดจากเซิร์ฟเวอร์ของผู้ให้บริการด้านอินเทอร์เน็ต (Internet Service Provider ( ISP )) หรือของร้านค้า มีน้อยเกินไป หรือ เสียบ่อย อาจเป็นผลให้ยอดขายจากลูกค้าออนไลน์ลดลง อย่างไรก็ตาม ผู้บริโภคจานวนมากเป็นเจ้าของอินเทอร์เน็ตความเร็วสูง ( ADSL ) อีกทั้งราคาคอมพิวเตอร์และอุปกรณ์ถูกลง ทาให้การสั่งซื้อสินค้าบนอินเทอร์เน็ตเริ่มมีมากขึ้น

  7. มาตรการในการรักษาความปลอดภัยมาตรการในการรักษาความปลอดภัย

  8. มาตรการในการรักษาความปลอดภัยมาตรการในการรักษาความปลอดภัย • การรักษาความลับของข้อมูล(Confidentiality) – การเก็บรักษาความลับของข้อมูล หรือ ส่งผ่านทางเครือข่าย โดยป้องกันไม่ให้ผู้อื่นที่ไม่มีสิทธิ์ลักลอบดูได้( เทียบกับการปิดผนึกซองจดหมาย) –ด้าน e-commerce คือ การเก็บรักษาข้อมูลทางบัตรเครดิตของลูกค้าขณะที่มีการส่งผ่านเครือข่าย โดยการนาเทคนิคการเข้ารหัส Encryption

  9. มาตรการในการรักษาความปลอดภัยมาตรการในการรักษาความปลอดภัย • การรักษาความถูกต้องของข้อมูล(Integrity) – การรักษาข้อมูลที่ส่งจากผู้ส่งให้เหมือนเดิมถูกต้องเมื่อไปถึงผู้รับ –การป้องกันไม่ให้ข้อมูลถูกแก้ไขโดยตรวจสอบไม่ได้(เทียบกับการเขียนด้วยหมึกซึ่งถ้าถูกลบแล้วจะก่อให้เกิดรอยลบ –ด้าน e-commerce คือ การเก็บรักษาข้อมูลการสั่งซื้อสินค้าของลูกค้าให้ถูกต้องเหมือนเดิมไม่ถูกเปลี่ยนแปลงโดยบุคคลทีไม่พึ่งประสงค์

  10. มาตรการในการรักษาความปลอดภัยมาตรการในการรักษาความปลอดภัย • การทาให้ข้อมูลพร้อมใช้งานอยู่เสมอ(Availability) –เป็นการสร้างความมั่นใจให้กับผู้ใช้ว่า จะสามารถเข้าถึงข้อมูลเว็บไซต์ หรือบริการต่าง ๆ ได้จริง และทุกเมื่อที่ต้องการ แต่ต้องขึ้นอยู่กับ ระดับของการเข้าถึงข้อมูลกับสิทธิ์ในการใช้งานของผู้ใช้แต่ละคนด้วย

  11. มาตรการในการรักษาความปลอดภัยมาตรการในการรักษาความปลอดภัย • การระบุอานาจหน้าที่(Authorization) –เป็นการควบคุมการเข้าถึงข้อมูล ( Access Control ) โดยการระบุตัวบุคคลให้มีอานาจหน้าที่ตามที่กล่าวอ้างไว้จริง(เทียบได้กับระบบล็อคที่จะเปิดได้ต้องมีกุญแจ เท่านั้น) เครื่องมือที่นิยมใช้ คือ การกาหนดรหัสผ่าน การใช้ Firewall และการใช้เครื่องมือตรวจวัดทางชีวลักษณะ (Biometrics)

  12. มาตรการในการรักษาความปลอดภัยมาตรการในการรักษาความปลอดภัย • การระบุตัวบุคคล (Authentication ) –เป็นการพิสูจน์ตัวตนของผู้ส่งข้อมูล และป้องกันบุคคลอื่นเข้ามาแอบอ้าง (เช่น ผู้มีเจตนาร้ายที่ขโมยบัตรเครดิต แล้วแอบอ้างใช้สิทธิ์ในบัตรเครดิตนั้น เป็นต้น เครื่องมือที่นิยมใช้วิธีนี้ คือการกาหนดรหัสผ่าน ลายเซ็นดิจิตอล และการใช้เครื่องมือตรวจวัดทางชีวลักษณะ

  13. มาตรการในการรักษาความปลอดภัยมาตรการในการรักษาความปลอดภัย • การปฏิเสธความรับผิดชอบ (Non-Repudiation) –การป้องกันการปฏิเสธว่าไม่ได้มีการส่ง หรือรับข้อมูลจากฝ่ายต่างๆ ที่เกี่ยวข้อง หรือการป้องกันการอ้างที่เป็นเท็จว่าได้รับ หรือส่งข้อมูล( เทียบกับ การส่งจดหมายทะเบียน) –เครื่องมือที่นิยมใช้วิธีนี้ คือ ลายเซ็นดิจิตอล การบันทึกเวลา และการออกใบรับประกันสินค้า

  14. ระบบรักษาความปลอดภัย

  15. ระบบรักษาความปลอดภัยในการติดต่อสื่อสารระบบรักษาความปลอดภัยในการติดต่อสื่อสาร • วัตถุประสงค์สาคัญ 2 ประการ –เพื่อรักษาความปลอดภัยของข้อมูลที่ส่งผ่านระหว่างเครือข่าย –เพื่อป้องกันผู้แอบอ้างสิทธิ์ในการเข้าถึงข้อมูลที่อยู่ภายในเครื่องไคลเอนต์และเซิร์ฟเวอร์

  16. ตัวอย่างระบบรักษาความปลอดภัยในการติดต่อสื่อสาร Secure Communication Systems • การพิสูจน์ด้านชีวลักษณะ( Biometrics Authentication) • การเข้ารหัส ( Encryption ) • ลายเซ็นดิจิตอล ( Digital Signature ) • ใบรับรองดิจิตอล(Digital Certificate) • Certification Authority (CA) • โปรโตคอล ( Hypertext Transfer Protocol Security ) • SSL ( Secure Sockets Layer )

  17. การพิสูจน์ด้านชีวลักษณะ Biometrics Authentication • การพิสูจน์ตัวตนจากลายนิ้วมือ ( Fingerprint Indentificattion ) –มีความแตกต่างกัน และเป็นที่นิยมใช้กันมากที่สุด เนื่องจากมีต้นทุนต่า • การพิสูจน์ตัวตนจากม่านตา (Iris Identification ) –สามารถบ่งบอกตัวตนของแต่ละคนได้ดีกว่าการตรวจจากลายนิ้วมือ เนื่องจากม่านตาจะมีลักษณะซับซ้อนกว่าลายนิ้วมือ การพิสูจน์ตัวตนวิธีนี้ยังช่วยลดข้อจากัดจากการปลอมแปลงลายนิ้วมือ ส่วนใหญ่นิยมใช้กับองค์กรขนาดใหญ่ที่ต้องการความปลอดภัยสูง แต่ไม่นิยมใช้ในองค์กรทั่วไป เพราะมีต้นทุนสูง • การพิสูจน์ตัวตนโดยการจดจาใบหน้า( Face Recognition ) –การพิสูจน์นี้เหมาะกับการนาไปใช้เพื่อตรวจสอบขั้นต้นเท่านั้น •การพิสูจน์ตัวตนโดยวิธีการอื่น ๆ เช่น เสียง ( Voice Identification ) หรือลายมือชื่อ ( Signature Identification ) โดยนามาวิธีเหล่านี้มาใช้ร่วมกัน เพื่อให้ได้ผลลัพธ์ที่มั่นใจมากยิ่งขึ้น

  18. การเข้ารหัส (Encryption ) • การเข้ารหัส คือ การทาให้ข้อมูลที่จะส่งผ่านไปทางเครือข่ายอยู่ในรูปแบบที่ไม่สามารถอ่านออกได้ ด้วยการเข้ารหัส (Encryption) ทาให้ข้อมูลนั้นเป็นความลับ ซึ่งผู้ที่มีสิทธิ์จริงเท่านั้นจะสามารถอ่านข้อมูลนั้นได้ด้วยการถอดรหัส (Decryption) นั่นคือ สามารถรักษาข้อมูลให้เป็นความลับ (Confidentiality) และ กาหนดผู้มีสิทธิ์ (Authentication & Authorization) • สาหรับการเข้ารหัส และ ถอดรหัสนั้นจะอาศัยสมการทางคณิตศาสตร์ที่ซับซ้อน และ ต้องอาศัยกุญแจซึ่งอยู่ในรูปของพารามิเตอร์ที่กาหนดไว้ (สาหรับตัวกุญแจนั้น จะมีความยาวเป็น บิต(bit) และ ยิ่งกุญแจมีความยาวมาก ยิ่งปลอดภัยมาก เนื่องจากจะต้องใช้เวลามากขึ้นในการคาดเดากุญแจของผู้คุกคาม)

  19. การเข้ารหัส (Encryption ) • ในการเข้า และถอดรหัส สามารถแบ่งออกเป็น 2 ประเภท คือ –การเข้ารหัสแบบกุญแจสมมาตร (Symmetric Key Cryptography หรือ Secret Key Cryptography) –การเข้ารหัสแบบอสมมาตร (Asymmetric Key Cryptography หรือ Public Key Cryptography)

  20. แบบกุญแจสมมาตร ( Symmetric (Private ) Key Encryption) • หมายถึง การเข้า และ ถอดรหัส โดยใช้กุญแจลับที่เหมือนกัน เช่น นายดาเป็นผู้ส่ง จะทาการส่งข้อความ "ผมชื่อนายดา" ผ่านไปยัง ผู้รับคือนางแดง โดยที่ นายดาทาการเข้ารหัสข้อความ "ผมชื่อนายดา" ด้วยกุญแจลับ โดยข้อความนั้นจะเปลี่ยนเป็นข้อความที่เข้ารหัสแล้ว (Cipher Text) "ก\ยd-#ีี)+ใ" แล้วถูกส่งไปยังนางแดง จากนั้นนางแดงก็ใช้กุญแจลับเดียวกันกับที่นายดาใช้เข้ารหัส มาทาการถอดรหัสออกมาเป็น ข้อความเดิมคือ "ผมชื่อนายดา" ในกรณีนี้กุญแจลับจะเป็นกุญแจเดียวกันซึ่งจะต้องเป็นที่รู้กันเพียงผู้ส่งและผู้รับเท่านั้น

  21. ข้อแตกต่างระหว่างการเข้ารหัสทั้งสองประเภทข้อแตกต่างระหว่างการเข้ารหัสทั้งสองประเภท

  22. ลายมือชื่อ ( Digital Signature ) • ในการส่งข้อมูลผ่านเครือข่ายนั้น นอกจากจะทาให้ข้อมูลที่ส่งนั้นเป็นความลับสาหรับผู้ไม่มีสิทธิ์โดยการใช้เทคโนโลยีการถอดรหัสแล้ว สาหรับการทานิติกรรมสัญญาโดยทั่วไป ลายมือชื่อจะเป็นสิ่งที่ใช้ในการระบุตัวบุคคล (Authentication) และ ยังแสดงถึงเจตนาในการยอมรับเนื้อหาในสัญญานั้นๆ ซึ่งเชื่อมโยงถึง การป้องกันการปฏิเสธความรับผิดชอบ (Non-Repudiation) • สาหรับในการทาธุรกรรมทางอิเล็กทรอนิกส์นั้นจะใช้ ลายมือชื่ออิเล็กทรอนิกส์ (Electronic Signature) ซึ่งมีรูปแบบต่างๆ เช่น สิ่งที่ระบุตัวบุคคลทางชีวภาพ (ลายพิมพ์นิ้วมือ เสียง ม่านตา เป็นต้น) หรือ จะเป็นสิ่งที่มอบให้แก่บุคคลนั้นๆ ในรูปแบบของ รหัสประจาตัว • ตัวอย่างที่สาคัญของลายมือชื่ออิเล็กทรอนิกส์ที่ได้รับการยอมรับกันมากที่สุดอันหนึ่งคือ ลายมือชื่อดิจิตอล (Digital Signature) ซึ่งจะเป็นองค์ประกอบหนึ่งใน โครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure, PKI)

  23. Digital Signature • ลายมือชื่อดิจิตอล (Digital Signature) คือ ข้อมูลอิเล็กทรอนิกส์ที่ได้จากการเข้ารหัสข้อมูลด้วยกุญแจส่วนตัวของผู้ส่งซึ่งเปรียบเสมือนเป็นลายมือชื่อของผู้ส่ง คุณสมบัติของลายมือชื่อดิจิตอล นอกจากจะสามารถ ระบุตัวบุคคล และ เป็นกลไกการป้องกันการปฏิเสธความรับผิดชอบแล้ว ยังสามารถป้องกันข้อมูลที่ส่งไปไม่ให้ถูกแก้ไข หรือ หากถูกแก้ไขไปจากเดิมก็สามารถล่วงรู้ได้

  24. กระบวนการสร้างและลงลายมือชื่อดิจิตอลกระบวนการสร้างและลงลายมือชื่อดิจิตอล • เริ่มจากการนำเอาข้อมูลอิเล็กทรอนิกส์ต้นฉบับที่จะส่งไปนั้นมาผ่านกระบวนการทางคณิตศาสตร์ที่เรียกว่า ฟังก์ชันย่อยข้อมูล (Hash Function) เพื่อให้ได้ข้อมูลที่สั้นๆ ที่เรียกว่า ข้อมูลที่ย่อยแล้ว (Digest) ก่อนที่จะทาการเข้ารหัส เนื่องจากข้อมูลต้นฉบับมักจะมีความยาวมากซึ่งจะทาให้กระบวนการเข้ารหัสใช้เวลานานมาก • จากนั้นจึงทำการเข้ารหัสด้วยกุญแจส่วนตัวของผู้ส่งเอง ซึ่งจุดนี้เปรียบเสมือนการลงลายมือชื่อของผู้ส่งเพราะผู้ส่งเท่านั้นที่มีกุญแจส่วนตัวของผู้ส่งเอง และ จะได้ข้อมูลที่เข้ารหัสแล้ว เรียกว่า ลายมือชื่อดิจิตอล • จากนั้นก็ทำการส่ง ลายมือชื่อไปพร้อมกับข้อมูลต้นฉบับ ไปยังผู้รับ ผู้รับก็จะทำการตรวจสอบว่าข้อมูลที่ได้รับถูกแก้ไขระหว่างทางหรือไม่ โดยการนาข้อมูลต้นฉบับที่ได้รับ มาผ่านกระบวนการย่อยด้วย ฟังก์ชันย่อยข้อมูล จะได้ข้อมูลที่ย่อยแล้วอันหนึ่ง และ • นำลายมือชื่อดิจิตอล มาทำการถอดรหัสด้วย กุญแจสาธารณะของผู้ส่ง ก็จะได้ข้อมูลที่ย่อยแล้วอีกอันหนึ่ง แล้วทำการเปรียบเทียบ ข้อมูลที่ย่อยแล้วทั้งสองอัน ถ้าหากว่าเหมือนกัน ก็แสดงว่าข้อมูลที่ได้รับนั้นไม่ได้ถูกแก้ไข แต่ถ้าข้อมูลที่ย่อยแล้ว แตกต่างกัน ก็แสดงว่า ข้อมูลที่ได้รับถูกเปลี่ยนแปลงระหว่างทาง

  25. Digital Signature • จากกระบวนการลงลายมือชื่อดิจิตอลข้างต้นมีข้อพึงสังเกตดังต่อไปนี้ –ลายมือชื่อดิจิตอลจะแตกต่างกันไปตามข้อมูลต้นฉบับและบุคคลที่จะลงลายมือชื่อ ไม่เหมือนกับลายมือชื่อทั่วไปที่จะต้องเหมือนกันสำหรับบุคคลนั้นๆ ไม่ขึ้นอยู่กับเอกสาร –กระบวนการที่ใช้จะมีลักษณะคล้ายคลึงกับการเข้ารหัสแบบอสมมาตร แต่การเข้ารหัสจะใช้ กุญแจส่วนตัวของผู้ส่ง และ การถอดรหัสจะใช้ กุญแจสาธารณะของผู้ส่ง ซึ่งสลับกันกับ การเข้าและถอดรหัสแบบกุญแจอสมมาตร ในการรักษาข้อมูลให้เป็นความลับ

  26. กระบวนการสร้างและลงลายมือชื่อดิจิตอลกระบวนการสร้างและลงลายมือชื่อดิจิตอล

  27. ใบรับรองดิจิตอล(Digital Certificate) • ใบรับรองอิเล็กทรอนิกส์ คือ ข้อมูลอิเล็กทรอนิกส์ที่ออกโดยผู้ให้บริการออกใบรับรอง (Certification Authority - CA) เพื่อใช้บ่งบอกถึงความมีตัวตนที่แท้จริงในโลกแห่งอิเล็กทรอนิกส์ โดยผู้ให้บริการออกใบรับรองจะทาการรับรองข้อมูลต่างๆ ซึ่งรวมถึงกุญแจสาธารณะที่ปรากฏในใบรับรองอิเล็กทรอนิกส์ว่าเป็นของบุคคลนั้นจริง โดยอาศัยเทคโนโลยีที่เรียกว่า เทคโนโลยีโครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure )

  28. ใบรับรองดิจิตอล (Digital Certificate) • ด้วยการเข้ารหัส และ ลายมือชื่อดิจิตอล ในการทำธุรกรรม เราสามารถ รักษาความลับของข้อมูล สามารถรักษาความถูกต้องของข้อมูล และ สามารถระบุตัวบุคคลได้ระดับหนึ่ง • เพื่อเพิ่มระดับความปลอดภัยในการระบุตัวบุคคลโดยสร้างความเชื่อถือมากขึ้นด้วย ใบรับรองดิจิตอล (Digital Certificate) ซึ่งออกโดยองค์กรกลางที่เป็นที่เชื่อถือ เรียกว่า องค์กรรับรองความถูกต้อง (Certification Authority) จะถูกนำมาใช้สาหรับยืนยันในตอนทำธุรกรรมว่าเป็นบุคคลนั้นๆ จริงตามที่ได้อ้างไว้

  29. ใบรับรองดิจิตอล (Digital Certificate) • สาหรับรายละเอียดในใบรับรองดิจิตอลทั่วไปมีดังต่อไปนี้ –ข้อมูลระบุผู้ที่ได้รับการรับรอง ได้แก่ ชื่อ องค์กร ที่อยู่ –ข้อมูลระบุผู้ออกใบรับรอง ได้แก่ ลายมือชื่อดิจิตอลขององค์กรที่ออกใบรับรอง หมายเลขประจาตัวของผู้ออกใบรับรอง –กุญแจสาธารณะของผู้ที่ได้รับการรับรอง –วันหมดอายุของใบรับรองดิจิตอล –ระดับชั้นของใบรับรองดิจิตอล ซึ่งมีทั้งหมด 4 ระดับ ในระดับ 4 จะมีกระบวนการตรวจสอบเข้มงวดที่สุด และ ต้องการข้อมูลมากที่สุด –หมายเลขประจาตัวของใบรับรองดิจิตอล

  30. ใบรับรองดิจิตอล (Digital Certificate) • ประเภทของใบรับรองดิจิตอลยังแบ่งออกเป็น 2 ประเภท คือ - ใบรับรองสำหรับเครื่องให้บริการเว็บ ใช้สาหรับสร้างช่องทางสื่อสาร แบบปลอดภัยระหว่างเครื่องให้บริการ(web server) และเครื่องใช้บริการ(Client) ช่วยเสริมความปลอดภัยของข้อมูลในด้านการรักษาความลับของข้อมูลที่รับและส่งระหว่างเครื่อง server และ Clientสร้างความน่าเชื่อมั่นให้กับผู้ใช้บริการ • ใบรับรองตัวบุคคล เป็นใบรับรองที่ใช้ยืนยันตัวบุคคลบนโลกอินเตอร์เน็ต ทาให้ผู้ประกอบธุรกรรมมั่นใจได้ว่าบุคคลหรือองค์กรที่ติดต่อด้วยมีตัวตนและเป็นบุคคลที่อ้างถึงจริง ก่อให้เกิดความปลอดภัยของข้อมูลที่สื่อสารระหว่างกัน

  31. Certification Authority (CA) • บทบาทหน้าที่หลักขององค์กรรับรองความถูกต้อง ได้แก่ การให้บริการเทคโนโลยีการเข้ารหัส ได้แก่ การสร้างกุญแจสาธารณะ และ กุญแจลับสาหรับผู้จดทะเบียน การส่งมอบกุญแจลับ การสร้าง และการรับรองลายมือชื่อดิจิตอล เป็นต้น • การให้บริการเกี่ยวกับการออกใบรับรอง ได้แก่ การออก การเก็บรักษา การยกเลิก การตีพิมพ์เผยแพร่ ใบรับรองดิจิตอล รวมทั้งการกาหนดนโยบายการออกและอนุมัติใบรับรอง เป็นต้น • บริการเสริมอื่นๆ ได้แก่ การตรวจสอบสัญญาต่างๆ การทาทะเบียน การกู้กุญแจ เป็นต้น • สาหรับในประเทศไทยนั้นยังไม่มีองค์กรรับรองความถูกต้อง แต่เริ่มมีการเคลื่อนไหวที่เกี่ยวเนื่องบ้างแล้ว ทั้งในภาครัฐ และ เอกชน เช่น NECTEC (www.nectec.or.th), Thai Digital ID (www.thaidigitalid.com), และ ACERTS (www.acerts.com) เทคโนโลยีการรักษาความปลอดภัยของข้อมูลในการทาธุรกรรมอิเล็กทรอนิกส์นั้น ในปัจจุบันนี้โครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure) เป็นที่ยอมรับอย่างกว้างขวางซึ่งสามารถตอบสนองมาตรการพื้นฐานของการรักษาความปลอดภัย

  32. เทคโนโลยี และ มาตรการการรักษาความปลอดภัยของข้อมูล

  33. การจดทะเบียนพาณิชย์อิเล็กทรอนิกส์ของไทยการจดทะเบียนพาณิชย์อิเล็กทรอนิกส์ของไทย

  34. ประโยชน์ที่ได้รับการจดทะเบียนประโยชน์ที่ได้รับการจดทะเบียน • สร้างความมั่นใจในการทาธุรกรรมพาณิชย์อิเล็กทรอนิกส์ให้กับผู้บริโภค (รู้ว่าผู้ประกอบการได้ขึ้น ทะเบียน กับกรมแล้ว) • สร้างความน่าเชื่อถือให้กับผู้ประกอบการด้านพาณิชย์อิเล็กทรอนิกส์ (เป็นการประชาสัมพันธ์ให้กับผู้ประกอบการ อีกทางหนึ่ง) • เป็นศูนย์กลางด้านข้อมูลพาณิชย์อิเล็กทรอนิกส์ให้แก่ผู้ประกอบการและผู้บริโภค • การได้รับการส่งเสริมและพัฒนาจากกรมพัฒนาธุรกิจการค้า เช่น • การได้รับสิทธิพิเศษด้านการตลาด เช่น Emarketplace • การได้รับสิทธิพิเศษต่าง ๆ เช่น การจัดหัวข้อการอบรมสัมมนาที่กลุ่มผู้ประกอบการต้องการ การให้คาปรึกษาต่าง ๆ การเผยแพร่ข่าวสารข้อมูล • การได้รับการส่งเสริมในการขอใช้เครื่องหมาย Trust mark

  35. เว็บไซต์ที่ต้องจดทะเบียนเว็บไซต์ที่ต้องจดทะเบียน • มีระบบการสั่งซื้อ เช่น ระบบกรอกฟอร์ม ระบบตะกร้า email หรืออื่น ๆ • มีระบบการชาระเงิน เช่น การโอนเงินผ่านระบบบัญชี การชาระด้วยบัตรเครดิต • มีการคิดค่าสมัครสมาชิก เพื่อรับบริการข้อมูล เช่น หาคู่ ข่าวสาร/บทความ/หนังสือ รับสมัครงาน • รับจ้างโฆษณาสินค้าหรือบริการของผู้อื่น และมีรายได้จากการโฆษณานั้น • รับจ้างออกแบบเว็บไซต์ หรือเพียงโฆษณาว่าเป็นผู้รับจ้างออกแบบเว็บไซต์ • เว็บไซต์ให้บริการเกมส์ออนไลน์ที่คิดค่าบริการจากผู้เล่น • เว็บไซต์ที่มีการส่งมอบสินค้าหรือบริการผ่านอินเตอร์เน็ต เช่น การ Download โปรแกรม เกมส์ Ringtone Screensaver SMS เป็นต้น • ธุรกิจนายหน้าหรือตัวแทน ที่มีเว็บไซต์ในการประกอบธุรกิจ สามารถติดต่อซื้อขายผ่านทางเว็บไซต์ หรือระบบเครือข่ายอินเตอร์เน็ตได้

  36. โปรโตคอล HTPS ( Hypertext Transfer Protocol Security) • เป็นโปรโตคอลที่ใช้ในการเข้ารหัส ( encryption ) และตรวจสอบสิทธิ์ ซึ่งทางานอยู่บนพอร์ต 443 ภายในชั้น HTTP กับ TCP พัฒนาโดยบริษัท Netscape และได้รับการรับรองจากบริษัทรักษาความปลอดภัยขนาดใหญ่ เช่น VeriSign Inc. ว่าเป็นโปรโตคอลที่สามารถรักษาความลับของข้อมูลได้อย่างปลอดภัย ต่างจากโปรโตคอล HTTP ที่ไม่มีการรักษาความปลอดภัยของข้อมูล ทาให้ผู้มีเจตนาร้ายสามารถขโมยข้อมูลที่ส่งมาจากผู้ซื้อสินค้าไปยังร้านค้าออนไลน์ได้

  37. SSL ( Secure Socket Layer ) • เป็นโปรโตคอลที่พัฒนาโดยบริษัท Netscape เพื่อใช้ในการรักษาความปลอดภัยให้กับข้อมูลของไคลเอนต์และเซิรฟเวอร์โดย SSL มีการทางานที่ TCP/IP การทางานของ SSL จะใช้วิธีการดังต่อไปนี้ • การเข้ารหัส (Encryption) เพื่อรักษาความปลอดภัยของข้อมูล โดยจะเข้ารหัสด้วย Public Key และ Private Key ควบคู่กัน เพื่อให้สามารถเข้ารหัสและถอดรหัสได้อย่างรวดเร็ว และมีความปลอดภัยมากขึ้น • ลายเซ็นดิจิตอล (Digital Signature) เพื่อป้องกันการปลอมแปลงข้อมูล และพิสูจน์ตัวตนของผู้รับและผู้ส่งว่าเป็นตัวจริงหรือไม่ • ใบรับรองดิจิตอลหรืออิเล็กทรอนิกส์ (Digital Certification) เพื่อใช้บ่งบอกถึงความมีตัวตนที่แท้จริงในโลกอิเล็กทรอนิกส์

  38. หลักการทางาน SSL ( Secure Socket Layer )

  39. ขั้นตอนการทางานของระบบ SSL ผู้ใช้งานเริ่มกระบวนการติดต่อ ไปยังเว็บเซิร์ฟเวอร์ที่มีระบบ SSL หลังจากนั้นเซิร์ฟเวอร์จะส่งใบรับรอง (Server Certificate) กลับมาพร้อมกับเข้ารหัส ด้วยกุญแจสาธารณะ (Public Key) ของเซิร์ฟเวอร์

  40. ขั้นตอนการทำงานของระบบ SSL คอมพิวเตอร์ฝั่งผู้รับจะทาการตรวจสอบใบรับรองนั้นอีกทีเพื่อตรวจสอบตัวตนของฝั่งผู้ค้าหลังจากนั้นจะทาการสร้างกุญแจสมมาตร (Symmetric Key) โดยการสุ่มและทาการเข้ารหัสกุญแจสมมาตรด้วยกุญแจสาธารณะของเซิร์ฟเวอร์ที่ได้รับมา เพื่อส่งกลับไปยังเซิร์ฟเวอร์

  41. ขั้นตอนการทำงานของระบบ SSL เมื่อเซิร์ฟเวอร์ได้รับแล้วก็จะทาการถอดรหัสด้วยกุญแจส่วนตัว (Private Key) ก็จะได้กุญแจสมมาตรของลูกค้ามาไว้ใช้ในการติดต่อสื่อสาร หลังจากนั้นในการติดต่อสื่อสารกันก็ใช้การเข้ารหัสติดต่อสื่อสารกันได้อย่างปลอดภัย

  42. ระบบ SSL ข้อดี 1. ลงทุนน้อยหรือแทบไม่มีเลย เพราะปัจจุบันใช้ในวงกว้าง 2. สามารถควบคุมการเข้าถึงข้อมูลส่วนต่าง ๆ ภายในระบบของผู้ใช้ได้ หลังจากที่ผู้ใช้ได้รับอนุญาตให้เข้ามาในระบบ 3. สามารถใช้ข้อมูลร่วมกันได้ระหว่างสองจุด 4. มีระบบป้องกันและตรวจสอบความถูกต้องของข้อมูลได้ ข้อเสีย 1. ใช้วิธีการเข้ารหัสที่ล้าสมัย ความปลอดภัยไม่เพียงพอ 2. ทำการสื่อสารอย่างปลอดภัยได้เพียงสองจุด แต่ระบบพาณิชย์อิเล็กทรอนิกส์ที่ใช้บัตรต้องใช้มากกว่าสองจุดในเวลาเดียวกัน 3. มีความเสี่ยงสูงเนื่องจากไม่มีการรับรองทางอิเล็กทรอนิกส์ระหว่างทุกฝ่ายที่ทำการซื้อขายในขณะนั้น และความเสี่ยงในการรั่วไหลของข้อมูลลูกค้า

  43. Secure Electronic Transaction • Secure Electronic Transaction( SET) พัฒนาขึ้นในปี ค.ศ.1997 โดย Visa และ MasterCard ด้วยความร่วมมือจาก Microsoft และ Netscape โดยที่ SET เป็นโปรโตคอลที่ใช้รักษาความปลอดภัยในระบบความปลอดภัยในระบบชาระเงินด้วยบัตรผ่านทางเครือข่ายอินเทอร์เน็ต โดยกาหนดให้ใช้ใบรับรองอิเล็กทรอนิกส์ (Digital Certificates) เพื่อพิสูจน์ตัวตนของบุคคลที่เกี่ยวข้องกับการซื้อขายทุกฝ่าย เช่น ผู้ถือบัตร(Cardholder) ร้านค้า (Merchant)และช่องทางการชาระเงิน(Payment Gateway)

  44. การทำงานของระบบ SET • ก่อนที่ผู้ใช้จะสามารถเข้าร่วมกิจกรรมทางพาณิชย์อิเล็กทรอนิกส์ก่อนอื่นต้องเข้าเป็นส่วนหนึ่งของระบบก่อนโดยการเป็นสมาชิกบัตรเครดิตต่าง ๆที่สามารถรองรับระบบ SET ได้ โดยขั้นตอนการออกบัตรของระบบ SET มีดังนี้ - ลูกค้าเปิดบัญชีกับธนาคารที่ ให้บริการด้านบัตรเครดิต และทางธนาคารได้ออกบัตรให้ลูกค้า - ผู้ถือบัตรจะได้รับการรับรองทางอิเล็กทรอนิกส์ โดยในการรับรองนั้นผู้ใช้จะได้กุญแจ เข้ารหัสทั่วไป (Public Key) ซึ่งจะมีอายุการใช้งานระยะหนึ่งและ กุญแจนี้ธนาคารจะเซ็นลายเซ็นอิเล็กทรอนิกส์ไว้ด้วยเพื่อป้องกันการปลอมแปลง กุญแจ

More Related