810 likes | 913 Views
มาตรการรักษาความมั่นคงปลอดภัย. เหตุผลที่ต้องมีระบบรักษาความปลอดภัย. การเชื่อมโยงและติดต่อสื่อสารสามารถติดต่อได้ทุกมุมโลก โดยใช้ เครือข่าย Internet บุคคลต่างๆสามารถติดต่อสื่อสารกันได้ การส่งข้อมูลอยู่ในรูปแบบของไฟล์ดิจิตอล สามารถ เสี่ยงต่อการถูกลักลอบนาข้อมูลไปใช้ได้
E N D
มาตรการรักษาความมั่นคงปลอดภัยมาตรการรักษาความมั่นคงปลอดภัย
เหตุผลที่ต้องมีระบบรักษาความปลอดภัยเหตุผลที่ต้องมีระบบรักษาความปลอดภัย • การเชื่อมโยงและติดต่อสื่อสารสามารถติดต่อได้ทุกมุมโลก โดยใช้ เครือข่าย Internet บุคคลต่างๆสามารถติดต่อสื่อสารกันได้ • การส่งข้อมูลอยู่ในรูปแบบของไฟล์ดิจิตอล สามารถ เสี่ยงต่อการถูกลักลอบนาข้อมูลไปใช้ได้ • เป็นอุปสรรค ต่อระบบพาณิชย์อิเล็กทรอนิกส์เพราะe-Commerce เป็นการทาธุรกรรมต่างๆบนระบบ Internet
อุปสรรคของธุรกิจออนไลน์(Barries of Online Business) • การรักษาความปลอดภัย(security ) โดยเฉพาะการนาข้อมูลบัตรเครดิตของลูกค้าไปใช้ในทางที่ไม่ถูกต้อง รวมทั้งการโกง(fraud) ซึ่งทาให้ลูกค้าเสียหาย ในปัจจุบัน ธนาคารที่ให้บริการบัตรเครดิตจะโทรศัพท์ติดต่อกับลูกค้าเมื่อตรวจสอบว่ามีการใช้บัตรเครดิตออนไลน์ที่ไม่ชอบมาพากล หรือยอดสั่งซื้อมากผิดปกติ หากลูกค้ายืนยันว่ามีการทารายการจริง การตรวจสอบก็สิ้นสุด
อุปสรรคของธุรกิจออนไลน์(Barries of Online Business) • ความน่าเชื่อถือ( Trustworthiness ) เนื่องจากลูกค้าไม่สามารถเห็นสินค้าจริง ๆ จากธุรกิจแบบ Pure Play ลูกค้าบางรายกลัวว่าจ่ายเงินไปแล้วไม่ได้รับสินค้า หรือสินค้าล่าช้า เปลี่ยนไม่ได้ เป็นต้น วิธีแก้ไข คือ ลงรายละเอียดเกี่ยวกับผู้ขายให้มากที่สุด เช่น รูปภาพสานักงาน เจ้าของร้าน เบอร์โทรศัพท์ หรือ ใบทะเบียนพาณิชย์อิเล็กทรอนิกส์ เป็นต้น
อุปสรรคของธุรกิจออนไลน์(Barries of Online Business) • บุคลากร( Personnel ) บุคลากรในบริษัทอาจไม่มีความรู้เกี่ยวกับคอมพิวเตอร์หรืออินเทอร์เน็ต ซึ่งเป็นอุปสรรคอย่างมาก ธุรกิจจึงควรอบรมบุคลากรให้มีความรู้ด้านการใช้คอมพิวเตอร์และอินเทอร์เน็ต รวมทั้งโปรแกรมต่าง ๆ ที่ช่วยในการลดต้นทุนด้านการสื่อสารกับลูกค้า • วัฒนธรรม( Culture ) หากกล่าวถึงในเมืองไทย คนไทยมักชอบออกมาซื้อสินค้านอกบ้านเพราะว่าได้พบปะเพื่อนฝูง หรือดูหนัง ซึ่งอาจทาให้ธุรกิจออนไลน์ไม่ได้รับการตอบรับอย่างเต็มที่ สภาพภูมิศาสตร์ เช่น อากาศร้อนอาจทาให้ผู้บริโภคในเมืองไทยนิยมเดินตากแอร์ในห้างสรรพสินค้ามากขึ้น อย่างไรก็ตาม ธุรกิจออนไลน์อาจจะต้องประชาสัมพันธ์ให้ความรู้กับผู้บริโภคว่าการสั่งสินค้าบนเว็บไซต์ช่วยประหยัดต้นทุนค่าเดินทางในยุคน้ามันแพงและประหยัดเวลา เป็นต้น
อุปสรรคของธุรกิจออนไลน์(Barries of Online Business) • โครงสร้างระบบอินเทอร์เน็ต ( Internet Infrastructure ) ปัญหาเรื่องอินเทอร์เน็ตช้า ซึ่งอาจเกิดจากเซิร์ฟเวอร์ของผู้ให้บริการด้านอินเทอร์เน็ต (Internet Service Provider ( ISP )) หรือของร้านค้า มีน้อยเกินไป หรือ เสียบ่อย อาจเป็นผลให้ยอดขายจากลูกค้าออนไลน์ลดลง อย่างไรก็ตาม ผู้บริโภคจานวนมากเป็นเจ้าของอินเทอร์เน็ตความเร็วสูง ( ADSL ) อีกทั้งราคาคอมพิวเตอร์และอุปกรณ์ถูกลง ทาให้การสั่งซื้อสินค้าบนอินเทอร์เน็ตเริ่มมีมากขึ้น
มาตรการในการรักษาความปลอดภัยมาตรการในการรักษาความปลอดภัย
มาตรการในการรักษาความปลอดภัยมาตรการในการรักษาความปลอดภัย • การรักษาความลับของข้อมูล(Confidentiality) – การเก็บรักษาความลับของข้อมูล หรือ ส่งผ่านทางเครือข่าย โดยป้องกันไม่ให้ผู้อื่นที่ไม่มีสิทธิ์ลักลอบดูได้( เทียบกับการปิดผนึกซองจดหมาย) –ด้าน e-commerce คือ การเก็บรักษาข้อมูลทางบัตรเครดิตของลูกค้าขณะที่มีการส่งผ่านเครือข่าย โดยการนาเทคนิคการเข้ารหัส Encryption
มาตรการในการรักษาความปลอดภัยมาตรการในการรักษาความปลอดภัย • การรักษาความถูกต้องของข้อมูล(Integrity) – การรักษาข้อมูลที่ส่งจากผู้ส่งให้เหมือนเดิมถูกต้องเมื่อไปถึงผู้รับ –การป้องกันไม่ให้ข้อมูลถูกแก้ไขโดยตรวจสอบไม่ได้(เทียบกับการเขียนด้วยหมึกซึ่งถ้าถูกลบแล้วจะก่อให้เกิดรอยลบ –ด้าน e-commerce คือ การเก็บรักษาข้อมูลการสั่งซื้อสินค้าของลูกค้าให้ถูกต้องเหมือนเดิมไม่ถูกเปลี่ยนแปลงโดยบุคคลทีไม่พึ่งประสงค์
มาตรการในการรักษาความปลอดภัยมาตรการในการรักษาความปลอดภัย • การทาให้ข้อมูลพร้อมใช้งานอยู่เสมอ(Availability) –เป็นการสร้างความมั่นใจให้กับผู้ใช้ว่า จะสามารถเข้าถึงข้อมูลเว็บไซต์ หรือบริการต่าง ๆ ได้จริง และทุกเมื่อที่ต้องการ แต่ต้องขึ้นอยู่กับ ระดับของการเข้าถึงข้อมูลกับสิทธิ์ในการใช้งานของผู้ใช้แต่ละคนด้วย
มาตรการในการรักษาความปลอดภัยมาตรการในการรักษาความปลอดภัย • การระบุอานาจหน้าที่(Authorization) –เป็นการควบคุมการเข้าถึงข้อมูล ( Access Control ) โดยการระบุตัวบุคคลให้มีอานาจหน้าที่ตามที่กล่าวอ้างไว้จริง(เทียบได้กับระบบล็อคที่จะเปิดได้ต้องมีกุญแจ เท่านั้น) เครื่องมือที่นิยมใช้ คือ การกาหนดรหัสผ่าน การใช้ Firewall และการใช้เครื่องมือตรวจวัดทางชีวลักษณะ (Biometrics)
มาตรการในการรักษาความปลอดภัยมาตรการในการรักษาความปลอดภัย • การระบุตัวบุคคล (Authentication ) –เป็นการพิสูจน์ตัวตนของผู้ส่งข้อมูล และป้องกันบุคคลอื่นเข้ามาแอบอ้าง (เช่น ผู้มีเจตนาร้ายที่ขโมยบัตรเครดิต แล้วแอบอ้างใช้สิทธิ์ในบัตรเครดิตนั้น เป็นต้น เครื่องมือที่นิยมใช้วิธีนี้ คือการกาหนดรหัสผ่าน ลายเซ็นดิจิตอล และการใช้เครื่องมือตรวจวัดทางชีวลักษณะ
มาตรการในการรักษาความปลอดภัยมาตรการในการรักษาความปลอดภัย • การปฏิเสธความรับผิดชอบ (Non-Repudiation) –การป้องกันการปฏิเสธว่าไม่ได้มีการส่ง หรือรับข้อมูลจากฝ่ายต่างๆ ที่เกี่ยวข้อง หรือการป้องกันการอ้างที่เป็นเท็จว่าได้รับ หรือส่งข้อมูล( เทียบกับ การส่งจดหมายทะเบียน) –เครื่องมือที่นิยมใช้วิธีนี้ คือ ลายเซ็นดิจิตอล การบันทึกเวลา และการออกใบรับประกันสินค้า
ระบบรักษาความปลอดภัยในการติดต่อสื่อสารระบบรักษาความปลอดภัยในการติดต่อสื่อสาร • วัตถุประสงค์สาคัญ 2 ประการ –เพื่อรักษาความปลอดภัยของข้อมูลที่ส่งผ่านระหว่างเครือข่าย –เพื่อป้องกันผู้แอบอ้างสิทธิ์ในการเข้าถึงข้อมูลที่อยู่ภายในเครื่องไคลเอนต์และเซิร์ฟเวอร์
ตัวอย่างระบบรักษาความปลอดภัยในการติดต่อสื่อสาร Secure Communication Systems • การพิสูจน์ด้านชีวลักษณะ( Biometrics Authentication) • การเข้ารหัส ( Encryption ) • ลายเซ็นดิจิตอล ( Digital Signature ) • ใบรับรองดิจิตอล(Digital Certificate) • Certification Authority (CA) • โปรโตคอล ( Hypertext Transfer Protocol Security ) • SSL ( Secure Sockets Layer )
การพิสูจน์ด้านชีวลักษณะ Biometrics Authentication • การพิสูจน์ตัวตนจากลายนิ้วมือ ( Fingerprint Indentificattion ) –มีความแตกต่างกัน และเป็นที่นิยมใช้กันมากที่สุด เนื่องจากมีต้นทุนต่า • การพิสูจน์ตัวตนจากม่านตา (Iris Identification ) –สามารถบ่งบอกตัวตนของแต่ละคนได้ดีกว่าการตรวจจากลายนิ้วมือ เนื่องจากม่านตาจะมีลักษณะซับซ้อนกว่าลายนิ้วมือ การพิสูจน์ตัวตนวิธีนี้ยังช่วยลดข้อจากัดจากการปลอมแปลงลายนิ้วมือ ส่วนใหญ่นิยมใช้กับองค์กรขนาดใหญ่ที่ต้องการความปลอดภัยสูง แต่ไม่นิยมใช้ในองค์กรทั่วไป เพราะมีต้นทุนสูง • การพิสูจน์ตัวตนโดยการจดจาใบหน้า( Face Recognition ) –การพิสูจน์นี้เหมาะกับการนาไปใช้เพื่อตรวจสอบขั้นต้นเท่านั้น •การพิสูจน์ตัวตนโดยวิธีการอื่น ๆ เช่น เสียง ( Voice Identification ) หรือลายมือชื่อ ( Signature Identification ) โดยนามาวิธีเหล่านี้มาใช้ร่วมกัน เพื่อให้ได้ผลลัพธ์ที่มั่นใจมากยิ่งขึ้น
การเข้ารหัส (Encryption ) • การเข้ารหัส คือ การทาให้ข้อมูลที่จะส่งผ่านไปทางเครือข่ายอยู่ในรูปแบบที่ไม่สามารถอ่านออกได้ ด้วยการเข้ารหัส (Encryption) ทาให้ข้อมูลนั้นเป็นความลับ ซึ่งผู้ที่มีสิทธิ์จริงเท่านั้นจะสามารถอ่านข้อมูลนั้นได้ด้วยการถอดรหัส (Decryption) นั่นคือ สามารถรักษาข้อมูลให้เป็นความลับ (Confidentiality) และ กาหนดผู้มีสิทธิ์ (Authentication & Authorization) • สาหรับการเข้ารหัส และ ถอดรหัสนั้นจะอาศัยสมการทางคณิตศาสตร์ที่ซับซ้อน และ ต้องอาศัยกุญแจซึ่งอยู่ในรูปของพารามิเตอร์ที่กาหนดไว้ (สาหรับตัวกุญแจนั้น จะมีความยาวเป็น บิต(bit) และ ยิ่งกุญแจมีความยาวมาก ยิ่งปลอดภัยมาก เนื่องจากจะต้องใช้เวลามากขึ้นในการคาดเดากุญแจของผู้คุกคาม)
การเข้ารหัส (Encryption ) • ในการเข้า และถอดรหัส สามารถแบ่งออกเป็น 2 ประเภท คือ –การเข้ารหัสแบบกุญแจสมมาตร (Symmetric Key Cryptography หรือ Secret Key Cryptography) –การเข้ารหัสแบบอสมมาตร (Asymmetric Key Cryptography หรือ Public Key Cryptography)
แบบกุญแจสมมาตร ( Symmetric (Private ) Key Encryption) • หมายถึง การเข้า และ ถอดรหัส โดยใช้กุญแจลับที่เหมือนกัน เช่น นายดาเป็นผู้ส่ง จะทาการส่งข้อความ "ผมชื่อนายดา" ผ่านไปยัง ผู้รับคือนางแดง โดยที่ นายดาทาการเข้ารหัสข้อความ "ผมชื่อนายดา" ด้วยกุญแจลับ โดยข้อความนั้นจะเปลี่ยนเป็นข้อความที่เข้ารหัสแล้ว (Cipher Text) "ก\ยd-#ีี)+ใ" แล้วถูกส่งไปยังนางแดง จากนั้นนางแดงก็ใช้กุญแจลับเดียวกันกับที่นายดาใช้เข้ารหัส มาทาการถอดรหัสออกมาเป็น ข้อความเดิมคือ "ผมชื่อนายดา" ในกรณีนี้กุญแจลับจะเป็นกุญแจเดียวกันซึ่งจะต้องเป็นที่รู้กันเพียงผู้ส่งและผู้รับเท่านั้น
ข้อแตกต่างระหว่างการเข้ารหัสทั้งสองประเภทข้อแตกต่างระหว่างการเข้ารหัสทั้งสองประเภท
ลายมือชื่อ ( Digital Signature ) • ในการส่งข้อมูลผ่านเครือข่ายนั้น นอกจากจะทาให้ข้อมูลที่ส่งนั้นเป็นความลับสาหรับผู้ไม่มีสิทธิ์โดยการใช้เทคโนโลยีการถอดรหัสแล้ว สาหรับการทานิติกรรมสัญญาโดยทั่วไป ลายมือชื่อจะเป็นสิ่งที่ใช้ในการระบุตัวบุคคล (Authentication) และ ยังแสดงถึงเจตนาในการยอมรับเนื้อหาในสัญญานั้นๆ ซึ่งเชื่อมโยงถึง การป้องกันการปฏิเสธความรับผิดชอบ (Non-Repudiation) • สาหรับในการทาธุรกรรมทางอิเล็กทรอนิกส์นั้นจะใช้ ลายมือชื่ออิเล็กทรอนิกส์ (Electronic Signature) ซึ่งมีรูปแบบต่างๆ เช่น สิ่งที่ระบุตัวบุคคลทางชีวภาพ (ลายพิมพ์นิ้วมือ เสียง ม่านตา เป็นต้น) หรือ จะเป็นสิ่งที่มอบให้แก่บุคคลนั้นๆ ในรูปแบบของ รหัสประจาตัว • ตัวอย่างที่สาคัญของลายมือชื่ออิเล็กทรอนิกส์ที่ได้รับการยอมรับกันมากที่สุดอันหนึ่งคือ ลายมือชื่อดิจิตอล (Digital Signature) ซึ่งจะเป็นองค์ประกอบหนึ่งใน โครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure, PKI)
Digital Signature • ลายมือชื่อดิจิตอล (Digital Signature) คือ ข้อมูลอิเล็กทรอนิกส์ที่ได้จากการเข้ารหัสข้อมูลด้วยกุญแจส่วนตัวของผู้ส่งซึ่งเปรียบเสมือนเป็นลายมือชื่อของผู้ส่ง คุณสมบัติของลายมือชื่อดิจิตอล นอกจากจะสามารถ ระบุตัวบุคคล และ เป็นกลไกการป้องกันการปฏิเสธความรับผิดชอบแล้ว ยังสามารถป้องกันข้อมูลที่ส่งไปไม่ให้ถูกแก้ไข หรือ หากถูกแก้ไขไปจากเดิมก็สามารถล่วงรู้ได้
กระบวนการสร้างและลงลายมือชื่อดิจิตอลกระบวนการสร้างและลงลายมือชื่อดิจิตอล • เริ่มจากการนำเอาข้อมูลอิเล็กทรอนิกส์ต้นฉบับที่จะส่งไปนั้นมาผ่านกระบวนการทางคณิตศาสตร์ที่เรียกว่า ฟังก์ชันย่อยข้อมูล (Hash Function) เพื่อให้ได้ข้อมูลที่สั้นๆ ที่เรียกว่า ข้อมูลที่ย่อยแล้ว (Digest) ก่อนที่จะทาการเข้ารหัส เนื่องจากข้อมูลต้นฉบับมักจะมีความยาวมากซึ่งจะทาให้กระบวนการเข้ารหัสใช้เวลานานมาก • จากนั้นจึงทำการเข้ารหัสด้วยกุญแจส่วนตัวของผู้ส่งเอง ซึ่งจุดนี้เปรียบเสมือนการลงลายมือชื่อของผู้ส่งเพราะผู้ส่งเท่านั้นที่มีกุญแจส่วนตัวของผู้ส่งเอง และ จะได้ข้อมูลที่เข้ารหัสแล้ว เรียกว่า ลายมือชื่อดิจิตอล • จากนั้นก็ทำการส่ง ลายมือชื่อไปพร้อมกับข้อมูลต้นฉบับ ไปยังผู้รับ ผู้รับก็จะทำการตรวจสอบว่าข้อมูลที่ได้รับถูกแก้ไขระหว่างทางหรือไม่ โดยการนาข้อมูลต้นฉบับที่ได้รับ มาผ่านกระบวนการย่อยด้วย ฟังก์ชันย่อยข้อมูล จะได้ข้อมูลที่ย่อยแล้วอันหนึ่ง และ • นำลายมือชื่อดิจิตอล มาทำการถอดรหัสด้วย กุญแจสาธารณะของผู้ส่ง ก็จะได้ข้อมูลที่ย่อยแล้วอีกอันหนึ่ง แล้วทำการเปรียบเทียบ ข้อมูลที่ย่อยแล้วทั้งสองอัน ถ้าหากว่าเหมือนกัน ก็แสดงว่าข้อมูลที่ได้รับนั้นไม่ได้ถูกแก้ไข แต่ถ้าข้อมูลที่ย่อยแล้ว แตกต่างกัน ก็แสดงว่า ข้อมูลที่ได้รับถูกเปลี่ยนแปลงระหว่างทาง
Digital Signature • จากกระบวนการลงลายมือชื่อดิจิตอลข้างต้นมีข้อพึงสังเกตดังต่อไปนี้ –ลายมือชื่อดิจิตอลจะแตกต่างกันไปตามข้อมูลต้นฉบับและบุคคลที่จะลงลายมือชื่อ ไม่เหมือนกับลายมือชื่อทั่วไปที่จะต้องเหมือนกันสำหรับบุคคลนั้นๆ ไม่ขึ้นอยู่กับเอกสาร –กระบวนการที่ใช้จะมีลักษณะคล้ายคลึงกับการเข้ารหัสแบบอสมมาตร แต่การเข้ารหัสจะใช้ กุญแจส่วนตัวของผู้ส่ง และ การถอดรหัสจะใช้ กุญแจสาธารณะของผู้ส่ง ซึ่งสลับกันกับ การเข้าและถอดรหัสแบบกุญแจอสมมาตร ในการรักษาข้อมูลให้เป็นความลับ
กระบวนการสร้างและลงลายมือชื่อดิจิตอลกระบวนการสร้างและลงลายมือชื่อดิจิตอล
ใบรับรองดิจิตอล(Digital Certificate) • ใบรับรองอิเล็กทรอนิกส์ คือ ข้อมูลอิเล็กทรอนิกส์ที่ออกโดยผู้ให้บริการออกใบรับรอง (Certification Authority - CA) เพื่อใช้บ่งบอกถึงความมีตัวตนที่แท้จริงในโลกแห่งอิเล็กทรอนิกส์ โดยผู้ให้บริการออกใบรับรองจะทาการรับรองข้อมูลต่างๆ ซึ่งรวมถึงกุญแจสาธารณะที่ปรากฏในใบรับรองอิเล็กทรอนิกส์ว่าเป็นของบุคคลนั้นจริง โดยอาศัยเทคโนโลยีที่เรียกว่า เทคโนโลยีโครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure )
ใบรับรองดิจิตอล (Digital Certificate) • ด้วยการเข้ารหัส และ ลายมือชื่อดิจิตอล ในการทำธุรกรรม เราสามารถ รักษาความลับของข้อมูล สามารถรักษาความถูกต้องของข้อมูล และ สามารถระบุตัวบุคคลได้ระดับหนึ่ง • เพื่อเพิ่มระดับความปลอดภัยในการระบุตัวบุคคลโดยสร้างความเชื่อถือมากขึ้นด้วย ใบรับรองดิจิตอล (Digital Certificate) ซึ่งออกโดยองค์กรกลางที่เป็นที่เชื่อถือ เรียกว่า องค์กรรับรองความถูกต้อง (Certification Authority) จะถูกนำมาใช้สาหรับยืนยันในตอนทำธุรกรรมว่าเป็นบุคคลนั้นๆ จริงตามที่ได้อ้างไว้
ใบรับรองดิจิตอล (Digital Certificate) • สาหรับรายละเอียดในใบรับรองดิจิตอลทั่วไปมีดังต่อไปนี้ –ข้อมูลระบุผู้ที่ได้รับการรับรอง ได้แก่ ชื่อ องค์กร ที่อยู่ –ข้อมูลระบุผู้ออกใบรับรอง ได้แก่ ลายมือชื่อดิจิตอลขององค์กรที่ออกใบรับรอง หมายเลขประจาตัวของผู้ออกใบรับรอง –กุญแจสาธารณะของผู้ที่ได้รับการรับรอง –วันหมดอายุของใบรับรองดิจิตอล –ระดับชั้นของใบรับรองดิจิตอล ซึ่งมีทั้งหมด 4 ระดับ ในระดับ 4 จะมีกระบวนการตรวจสอบเข้มงวดที่สุด และ ต้องการข้อมูลมากที่สุด –หมายเลขประจาตัวของใบรับรองดิจิตอล
ใบรับรองดิจิตอล (Digital Certificate) • ประเภทของใบรับรองดิจิตอลยังแบ่งออกเป็น 2 ประเภท คือ - ใบรับรองสำหรับเครื่องให้บริการเว็บ ใช้สาหรับสร้างช่องทางสื่อสาร แบบปลอดภัยระหว่างเครื่องให้บริการ(web server) และเครื่องใช้บริการ(Client) ช่วยเสริมความปลอดภัยของข้อมูลในด้านการรักษาความลับของข้อมูลที่รับและส่งระหว่างเครื่อง server และ Clientสร้างความน่าเชื่อมั่นให้กับผู้ใช้บริการ • ใบรับรองตัวบุคคล เป็นใบรับรองที่ใช้ยืนยันตัวบุคคลบนโลกอินเตอร์เน็ต ทาให้ผู้ประกอบธุรกรรมมั่นใจได้ว่าบุคคลหรือองค์กรที่ติดต่อด้วยมีตัวตนและเป็นบุคคลที่อ้างถึงจริง ก่อให้เกิดความปลอดภัยของข้อมูลที่สื่อสารระหว่างกัน
Certification Authority (CA) • บทบาทหน้าที่หลักขององค์กรรับรองความถูกต้อง ได้แก่ การให้บริการเทคโนโลยีการเข้ารหัส ได้แก่ การสร้างกุญแจสาธารณะ และ กุญแจลับสาหรับผู้จดทะเบียน การส่งมอบกุญแจลับ การสร้าง และการรับรองลายมือชื่อดิจิตอล เป็นต้น • การให้บริการเกี่ยวกับการออกใบรับรอง ได้แก่ การออก การเก็บรักษา การยกเลิก การตีพิมพ์เผยแพร่ ใบรับรองดิจิตอล รวมทั้งการกาหนดนโยบายการออกและอนุมัติใบรับรอง เป็นต้น • บริการเสริมอื่นๆ ได้แก่ การตรวจสอบสัญญาต่างๆ การทาทะเบียน การกู้กุญแจ เป็นต้น • สาหรับในประเทศไทยนั้นยังไม่มีองค์กรรับรองความถูกต้อง แต่เริ่มมีการเคลื่อนไหวที่เกี่ยวเนื่องบ้างแล้ว ทั้งในภาครัฐ และ เอกชน เช่น NECTEC (www.nectec.or.th), Thai Digital ID (www.thaidigitalid.com), และ ACERTS (www.acerts.com) เทคโนโลยีการรักษาความปลอดภัยของข้อมูลในการทาธุรกรรมอิเล็กทรอนิกส์นั้น ในปัจจุบันนี้โครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure) เป็นที่ยอมรับอย่างกว้างขวางซึ่งสามารถตอบสนองมาตรการพื้นฐานของการรักษาความปลอดภัย
เทคโนโลยี และ มาตรการการรักษาความปลอดภัยของข้อมูล
การจดทะเบียนพาณิชย์อิเล็กทรอนิกส์ของไทยการจดทะเบียนพาณิชย์อิเล็กทรอนิกส์ของไทย
ประโยชน์ที่ได้รับการจดทะเบียนประโยชน์ที่ได้รับการจดทะเบียน • สร้างความมั่นใจในการทาธุรกรรมพาณิชย์อิเล็กทรอนิกส์ให้กับผู้บริโภค (รู้ว่าผู้ประกอบการได้ขึ้น ทะเบียน กับกรมแล้ว) • สร้างความน่าเชื่อถือให้กับผู้ประกอบการด้านพาณิชย์อิเล็กทรอนิกส์ (เป็นการประชาสัมพันธ์ให้กับผู้ประกอบการ อีกทางหนึ่ง) • เป็นศูนย์กลางด้านข้อมูลพาณิชย์อิเล็กทรอนิกส์ให้แก่ผู้ประกอบการและผู้บริโภค • การได้รับการส่งเสริมและพัฒนาจากกรมพัฒนาธุรกิจการค้า เช่น • การได้รับสิทธิพิเศษด้านการตลาด เช่น Emarketplace • การได้รับสิทธิพิเศษต่าง ๆ เช่น การจัดหัวข้อการอบรมสัมมนาที่กลุ่มผู้ประกอบการต้องการ การให้คาปรึกษาต่าง ๆ การเผยแพร่ข่าวสารข้อมูล • การได้รับการส่งเสริมในการขอใช้เครื่องหมาย Trust mark
เว็บไซต์ที่ต้องจดทะเบียนเว็บไซต์ที่ต้องจดทะเบียน • มีระบบการสั่งซื้อ เช่น ระบบกรอกฟอร์ม ระบบตะกร้า email หรืออื่น ๆ • มีระบบการชาระเงิน เช่น การโอนเงินผ่านระบบบัญชี การชาระด้วยบัตรเครดิต • มีการคิดค่าสมัครสมาชิก เพื่อรับบริการข้อมูล เช่น หาคู่ ข่าวสาร/บทความ/หนังสือ รับสมัครงาน • รับจ้างโฆษณาสินค้าหรือบริการของผู้อื่น และมีรายได้จากการโฆษณานั้น • รับจ้างออกแบบเว็บไซต์ หรือเพียงโฆษณาว่าเป็นผู้รับจ้างออกแบบเว็บไซต์ • เว็บไซต์ให้บริการเกมส์ออนไลน์ที่คิดค่าบริการจากผู้เล่น • เว็บไซต์ที่มีการส่งมอบสินค้าหรือบริการผ่านอินเตอร์เน็ต เช่น การ Download โปรแกรม เกมส์ Ringtone Screensaver SMS เป็นต้น • ธุรกิจนายหน้าหรือตัวแทน ที่มีเว็บไซต์ในการประกอบธุรกิจ สามารถติดต่อซื้อขายผ่านทางเว็บไซต์ หรือระบบเครือข่ายอินเตอร์เน็ตได้
โปรโตคอล HTPS ( Hypertext Transfer Protocol Security) • เป็นโปรโตคอลที่ใช้ในการเข้ารหัส ( encryption ) และตรวจสอบสิทธิ์ ซึ่งทางานอยู่บนพอร์ต 443 ภายในชั้น HTTP กับ TCP พัฒนาโดยบริษัท Netscape และได้รับการรับรองจากบริษัทรักษาความปลอดภัยขนาดใหญ่ เช่น VeriSign Inc. ว่าเป็นโปรโตคอลที่สามารถรักษาความลับของข้อมูลได้อย่างปลอดภัย ต่างจากโปรโตคอล HTTP ที่ไม่มีการรักษาความปลอดภัยของข้อมูล ทาให้ผู้มีเจตนาร้ายสามารถขโมยข้อมูลที่ส่งมาจากผู้ซื้อสินค้าไปยังร้านค้าออนไลน์ได้
SSL ( Secure Socket Layer ) • เป็นโปรโตคอลที่พัฒนาโดยบริษัท Netscape เพื่อใช้ในการรักษาความปลอดภัยให้กับข้อมูลของไคลเอนต์และเซิรฟเวอร์โดย SSL มีการทางานที่ TCP/IP การทางานของ SSL จะใช้วิธีการดังต่อไปนี้ • การเข้ารหัส (Encryption) เพื่อรักษาความปลอดภัยของข้อมูล โดยจะเข้ารหัสด้วย Public Key และ Private Key ควบคู่กัน เพื่อให้สามารถเข้ารหัสและถอดรหัสได้อย่างรวดเร็ว และมีความปลอดภัยมากขึ้น • ลายเซ็นดิจิตอล (Digital Signature) เพื่อป้องกันการปลอมแปลงข้อมูล และพิสูจน์ตัวตนของผู้รับและผู้ส่งว่าเป็นตัวจริงหรือไม่ • ใบรับรองดิจิตอลหรืออิเล็กทรอนิกส์ (Digital Certification) เพื่อใช้บ่งบอกถึงความมีตัวตนที่แท้จริงในโลกอิเล็กทรอนิกส์
หลักการทางาน SSL ( Secure Socket Layer )
ขั้นตอนการทางานของระบบ SSL ผู้ใช้งานเริ่มกระบวนการติดต่อ ไปยังเว็บเซิร์ฟเวอร์ที่มีระบบ SSL หลังจากนั้นเซิร์ฟเวอร์จะส่งใบรับรอง (Server Certificate) กลับมาพร้อมกับเข้ารหัส ด้วยกุญแจสาธารณะ (Public Key) ของเซิร์ฟเวอร์
ขั้นตอนการทำงานของระบบ SSL คอมพิวเตอร์ฝั่งผู้รับจะทาการตรวจสอบใบรับรองนั้นอีกทีเพื่อตรวจสอบตัวตนของฝั่งผู้ค้าหลังจากนั้นจะทาการสร้างกุญแจสมมาตร (Symmetric Key) โดยการสุ่มและทาการเข้ารหัสกุญแจสมมาตรด้วยกุญแจสาธารณะของเซิร์ฟเวอร์ที่ได้รับมา เพื่อส่งกลับไปยังเซิร์ฟเวอร์
ขั้นตอนการทำงานของระบบ SSL เมื่อเซิร์ฟเวอร์ได้รับแล้วก็จะทาการถอดรหัสด้วยกุญแจส่วนตัว (Private Key) ก็จะได้กุญแจสมมาตรของลูกค้ามาไว้ใช้ในการติดต่อสื่อสาร หลังจากนั้นในการติดต่อสื่อสารกันก็ใช้การเข้ารหัสติดต่อสื่อสารกันได้อย่างปลอดภัย
ระบบ SSL ข้อดี 1. ลงทุนน้อยหรือแทบไม่มีเลย เพราะปัจจุบันใช้ในวงกว้าง 2. สามารถควบคุมการเข้าถึงข้อมูลส่วนต่าง ๆ ภายในระบบของผู้ใช้ได้ หลังจากที่ผู้ใช้ได้รับอนุญาตให้เข้ามาในระบบ 3. สามารถใช้ข้อมูลร่วมกันได้ระหว่างสองจุด 4. มีระบบป้องกันและตรวจสอบความถูกต้องของข้อมูลได้ ข้อเสีย 1. ใช้วิธีการเข้ารหัสที่ล้าสมัย ความปลอดภัยไม่เพียงพอ 2. ทำการสื่อสารอย่างปลอดภัยได้เพียงสองจุด แต่ระบบพาณิชย์อิเล็กทรอนิกส์ที่ใช้บัตรต้องใช้มากกว่าสองจุดในเวลาเดียวกัน 3. มีความเสี่ยงสูงเนื่องจากไม่มีการรับรองทางอิเล็กทรอนิกส์ระหว่างทุกฝ่ายที่ทำการซื้อขายในขณะนั้น และความเสี่ยงในการรั่วไหลของข้อมูลลูกค้า
Secure Electronic Transaction • Secure Electronic Transaction( SET) พัฒนาขึ้นในปี ค.ศ.1997 โดย Visa และ MasterCard ด้วยความร่วมมือจาก Microsoft และ Netscape โดยที่ SET เป็นโปรโตคอลที่ใช้รักษาความปลอดภัยในระบบความปลอดภัยในระบบชาระเงินด้วยบัตรผ่านทางเครือข่ายอินเทอร์เน็ต โดยกาหนดให้ใช้ใบรับรองอิเล็กทรอนิกส์ (Digital Certificates) เพื่อพิสูจน์ตัวตนของบุคคลที่เกี่ยวข้องกับการซื้อขายทุกฝ่าย เช่น ผู้ถือบัตร(Cardholder) ร้านค้า (Merchant)และช่องทางการชาระเงิน(Payment Gateway)
การทำงานของระบบ SET • ก่อนที่ผู้ใช้จะสามารถเข้าร่วมกิจกรรมทางพาณิชย์อิเล็กทรอนิกส์ก่อนอื่นต้องเข้าเป็นส่วนหนึ่งของระบบก่อนโดยการเป็นสมาชิกบัตรเครดิตต่าง ๆที่สามารถรองรับระบบ SET ได้ โดยขั้นตอนการออกบัตรของระบบ SET มีดังนี้ - ลูกค้าเปิดบัญชีกับธนาคารที่ ให้บริการด้านบัตรเครดิต และทางธนาคารได้ออกบัตรให้ลูกค้า - ผู้ถือบัตรจะได้รับการรับรองทางอิเล็กทรอนิกส์ โดยในการรับรองนั้นผู้ใช้จะได้กุญแจ เข้ารหัสทั่วไป (Public Key) ซึ่งจะมีอายุการใช้งานระยะหนึ่งและ กุญแจนี้ธนาคารจะเซ็นลายเซ็นอิเล็กทรอนิกส์ไว้ด้วยเพื่อป้องกันการปลอมแปลง กุญแจ