การรักษาความปลอดภัยในอีคอมเมิร์ซ

1. ดร.ธีทัต ตรีศิริโชติ
พาณิชย์อิเล็กทรอนิกส์ e-commerce
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)

2. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
วัตถุประสงค์การเรียนรู้ (Learning Objective)
หลังจากได้อ่านและศึกษาจนจบบทนี้แล้วท่านจะสามารถ
1. เข้าใจขอบเขตปัญหาด้านการรักษาความปลอดภัยและการจัดการความเสี่ยง
2. บอกองค์ประกอบของการรักษาความปลอดภัยในคอมพิวเตอร์ก็ได้
3. มีความรู้ความเข้าใจเกี่ยวกับภัยคุกคามความปลอดภัยในด้านต่างๆ บนสภาพแวดล้อมของ
ระบบอีคอมเมิร์ซ
4. สามารถระบุเครื่องมือที่นามาใช้เพื่อสร้างความปลอดภัยให้กับช่องทางการสื่อสาร การปกป้อง
เครือข่ายเครื่องเซิร์ฟเวอร์ และเครื่องลูกข่าย
5. สามารถสร้างแผนการรักษาความปลอดภัยในอีคอมเมิร์ซให้กับองค์กรได้
6. เข้าใจในบทบาทหน้าที่ของหน่วยงานส่งเสริมการรักษาความปลอดภัยในระบบ คอมพิวเตอร์
และรู้จักใช้ประโยชน์ผ่านการเรียนรู้บนเว็บไซต์จากหน่วยงานดังกล่าว ผ่านการแจ้งเตือนและ
เอกสารเผยแพร่ เพื่อนามาใช้เป็นแนวทางในการป้องกัน ความปลอดภัย

3. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.1 ภาพรวมของปัญหาการรักษาความปลอดภัยแบบออนไลน์
ช่วงแรกเริ่มของการใช้งานอินเทอร์เน็ต หนึ่งในหลายๆ สิ่งที่ได้รับความนิยมสูงสุดจาก
เทคโนโลยีนี้ก็คือ จดหมายอิเล็คทรอนิกส์ (Electronic Mail : e-Mail) หรืออีเมลนั่นเอง แม้ว่าอีเมลจะ
ได้รับความนิยมมากก็ตาม แต่ผู้ใช้งานตามภาคธุรกิจส่วนใหญ่ ก็ยังคงมีความกังวลเกี่ยวกับปัญหา
ความปลอดภัยของอีเมลเช่นกัน ตัวอย่างเช่น คู่แข่งขันทางธุรกิจอาจขัดขวางหรือสกัดกั้นข่าวสารที่
ส่งผ่านอีเมลเพื่อประโยชน์ในเชิงแข่งขัน ที่อาจถูกลักลอบเปิดอ่าน ซึ่งผลกระทบในเชิงลบเหล่านี้ ได้
สร้างความกังวลแก่ผู้ใช้งานจริงอย่างมีนัยสาคัญ
ทุกวันนี้อีเมลถูกใช้งานโดยผู้คนทั่วโลกเพื่อติดต่อธุรกรรมใดๆ บนอินเทอร์เน็ต เช่นการ ช้อป
ปิ้งเพื่อซื้อสินค้าออนไลน์ การทาธุรกรรมทางการเงินทั้งหลาย ย่อมทาให้ผู้บริโภคทั้งหลายต่างมี
ความกังวลในเรื่องระบบการรักษาความปลอดภัยทั้งสิ้น

4. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.1.1 คอมพิวเตอร์และการรักษาความปลอดภัย
คอมพิวเตอร์ถูกนามาใช้งานตามภาคธุรกิจมายาวนานกว่า 50 ปีมาแล้ว โดยที่ผ่านมา การ
รักษาความปลอดภัยมักเป็นการควบคุมทางกายภาพมากกว่า ตัวอย่างเช่น ศูนย์คอมพิวเตอร์จะมี
ประตูที่ผู้คนสามารถผ่านได้ต่อเมื่อมีบัตรพร้อมรหัสผ่าน การจ้างพนักงานรักษาความปลอดภัยที่
คอย ตรวจตราและอนุญาตให้คนภายในเข้าออกได้เท่านั้น รวมถึงการติดกล้องวงจรปิด
ปัจจุบันนิยมใช้พีซีคอมพิวเตอร์กันมากขึ้น เนื่องจากมีราคาถูก อีกทั้งยังสามารถประยุกต์ใช้
งานต่างๆ ได้อย่าง หลากหลาย ภายในตัวเครื่องพีซีจะมีหน่วยประมวลผล หน่วยความจาหน่วย
เก็บข้อมูลเป็นของตน และยังสามารถเชื่อมต่อเป็นเครือข่ายแลน รวมถึงเชื่อมต่อไปยังเครือข่าย
ภายนอกอย่างอินเทอร์เน็ต จึงทาให้การใช้ทรัพยากรทางคอมพิวเตอร์ในปัจจุบันเปิดขว้างอย่าง
และด้วยการเปิดขว้างให้คอมพิวเตอร์สามารถเชื่อมต่อเข้ากับเครือข่ายภายนอกมากขึ้นเท่าใด
ย่อมส่งผลต่อช่องโหว่ด้านความปลอดภัยในรูปแบบต่างๆ ที่เราต้องระมัดระวังตัวมากขึ้นเท่านั้น

5. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
เมื่อจานวนประชากรผู้ใช้คอมพิวเตอร์ และวิธีการเข้าถึงทรัพยากรคอมพิวเตอร์ได้เพิ่มขึ้น
อย่างรวดเร็วในปริมาณที่สูงขึ้นอย่างต่อเนื่อง ประกอบกับการเกิดของเทคโนโลยีอินเทอร์เน็ต
จนทาให้มีผู้คนจานวนนับล้าน ได้ใช้คอมพิวเตอร์ส่วนตัวเชื่อมผ่านเครือข่ายที่เชื่อมโยงเข้ากับ
คอมพิวเตอร์ต่างๆ นับล้านเครื่อง ดังนั้นจึงเป็นเรื่องที่ไม่ง่ายเลย ที่จะระบุตัวตนผู้ใช้ทรัพยากร
คอมพิวเตอร์เหล่านั้นว่าเป็นใคร เช่น ผู้ใช้งานอาศัยอยู่ในทวีปเอเชีย ได้เข้าถึงเพื่อใช้ทรัพยากร
คอมพิวเตอร์ที่ตั้งอยู่มลรัฐแคลิฟอร์เนีย ประเทศสหรัฐอเมริกา เป็นต้น ดังนั้นเครื่องมือรักษาความ
ปลอดภัยแบบใหม่ๆ รวมถึงวิวัฒนาการของวิธีการต่างๆ ในปัจจุบันจึงถูกสร้างขึ้นมาเพื่อป้องกัน
คอมพิวเตอร์และสื่อข้อมูลอิเล็กทรอนิกส์ต่างๆ ที่พวกเขาจัดเก็บ ซึ่งถือเป็นทรัพย์สินอันมีค่าอย่าง
ยิ่งการส่งผ่านข้อมูลที่มีคุณค่าอย่างใบเสร็จรับเงินอิเล็คทรอนิกส์, ใบสั่งซื้อ, ข้อมูลการชาระเงิน
และการยืนยันคาสั่งซื้อ มีอัตราเพิ่มสูงขึ้นมากจากการทาธุรกรรมผ่านระบบอีคอมเมิร์ซ จึงต้องการ
ระบบรักษาความปลอดภัยมากขึ้นอีกทั้งยังต้องจัดการกับภัยคุกคามในรูปแบบต่างๆ

6. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.1.2 การรักษาความปลอดภัยในคอมพิวเตอร์และการจัดการความเสี่ยง
การรักษาความปลอดภัยในคอมพิวเตอร์ (Computer Security) เป็นการปกป้อง
ทรัพย์สินจากการเข้าถึงของผู้ที่ไม่ได้รับอนุญาต ที่ลักลอบเข้ามาเพื่อแอบใช้งาน แก้ไข หรือทาลาย
โดยการรักษาความปลอดภัยโดยทั่วไปจะมีอยู่ 2 ประเภทด้วยกันคือ การรักษาความปลอดภัยเชิง
กายภาพและเชิงตรรกะ
การรักษาความปลอดภัยเชิงกายภาพ (Physical Security) เป็นการรักษาความปลอดภัย
โดยใช้อุปกรณ์ป้องกันที่สามารถมองเห็นได้ด้วยสายตา เช่น ประตูร้องเตือน กล้องวงจรปิด
เจ้าหน้าที่ รักษาความปลอดภัย ประตูทนไฟ กลอนล็อคประตู ตู้นิรภัย ห้องใต้ดิน เป็นต้น
การรักษาความปลอดภัยเชิงตรรกะ (Logical Security) เป็นการป้องกันและคุ้มครอง
ทรัพย์สินที่เราไม่สามารถมองเห็นได้ด้วยสายตา ซึ่งเกี่ยวข้องกับการกระทาใดๆ ก็ตามที่ก่อให้เกิด
อันตรายต่อทรัพย์สินทางคอมพิวเตอร์ หรือที่รู้จักกันในนามว่า “ภัยคุกคาม (Treat)”

7. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
องค์กรทั่วไปส่วนใหญ่จะมีมาตรการในการรับมือกับภัยคุกคามทั้งเชิงกายภาพและเชิง
ตรรกะ เพื่อตระหนักถึงการลดหรือจากัดภัยคุกคามเหล่านั้น โดยขอบเขตและค่าใช้จ่ายของ
มาตรการการรับมือกับภัยคุกคามนั้น สามารถเปลี่ยนแปลงได้ตามแต่ละสถานการณ์ และยัง
ขึ้นอยู่กับความสาคัญของทรัพย์สินที่มีความเสี่ยง โดยภัยคุกคามที่มีความเสี่ยงค่อนข้างต่าและ
มักไม่ค่อยเกิดมาตรการในการ รับมืออาจยกเว้นได้หากค่าใช้จ่ายที่นามาป้องกันภัย มีมากเกิน
กว่ามูลค่าทรัพย์สินที่ได้รับการป้องกัน ตัวอย่างเช่น มาตรการการรับมือเพื่อป้องกันระบบ
เครือข่ายคอมพิวเตอร์จากภัยพายุทอร์นาโดในรัฐ โอคลาโฮมา (Oklahoma) ประเทศ
สหรัฐอเมริกาถือว่ามีเหตุยอมรับได้ เนื่องจากสถานที่ดังกล่าวมักเกิดพายุทอร์นาโดเป็นประจา
แต่อย่างไรก็ตาม การวางแผนมาตรการเพื่อรับมือกับภัยพายุทอร์นาโดในรัฐเมนนั้น (Maine) ไม่
จาเป็นต้องทาเหมือนรัฐโอคลาโฮมาอ่ะแต่อย่างใด เพราะพายุทอร์นาโดมีโอกาสเกิดขึ้นน้อยมาก
ในรัฐเมน

8. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
แบบจาลองการจัดการความเสี่ยงที่ได้แสดงให้เห็นถึงการกระทาทั่วไป 4 ข้อที่องค์กรสามารถ
นาไปใช้ ซึ่งขึ้นอยู่กับผลกระทบ (ค่าใช้จ่าย) และโอกาสการเกิดภัยคุกคามทางกายภาพ โดยจาก
รูปดังกล่าว พายุทอร์นาโดในโอคลาโฮมาจะอยู่ในส่วนที่ II (โอกาสการเกิด สูง/ค่าใช้จ่ายสูง)
ในขณะที่พายุทอร์นาโดในรักเมนจะอยู่ในส่วนที่ IV (โอกาสการเกิดต่า/ค่าใช้จ่ายสูง)

9. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
ในทานองเดียวกันกับการนาแบบจาลองการจัดการความเสี่ยงเดียวกันนี้ ไปใช้เพื่อปกป้อง
ทรัพย์สินทางอินเทอร์เน็ตและอีคอมเมิร์ซ ที่มาจากภัยคุกคามทั้งเชิงกายภาพและภัยคุกคามทาง
อิเล็คทรอนิกส์ ตัวอย่างภัยคุกคามทางอิเล็กทรอนิกส์ เช่น การปลอมตัว การลักลอบดักจับข้อมูล
และการโจรกรรม โดยการดักจับข้อมูลจะเกี่ยวข้องกับบุคคลที่ใช้อุปกรณ์ลักลอบดักจากข้อมูลที่
ส่งผ่านบนเครือข่ายอินเตอร์เน็ต และคัดลอกข้อมูลมาใช้ในทางมิชอบ ทั้งนี้ บุคคลที่เขียน
โปรแกรมและจัดการ เทคโนโลยีเพื่อให้ตนสามารถเข้าถึงเครื่องคอมพิวเตอร์และเครือข่ายโดย
มิได้รับอนุญาตเราจะเรียก บุคคลผู้นั้นว่า แครกเกอร์ หรือ แฮกเกอร์
• แครกเกอร์ (Cracker)
เป็นบุคคลที่มีทักษะความรู้ด้านเทคโนโลยี ที่พยายามเข้าถึงคอมพิวเตอร์และระบบเครือข่าย
โดยไม่ได้รับอนุญาต จุดมุ่งหมายของแครกเกอร์ คือ เจตนาที่จะโจรกรรมข้อมูลการทาลายล้างทั้ง
ข้อมูลซอฟต์แวร์ระบบ หรือแม้กระทั่งฮาร์ดแวร์ของระบบ

10. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
• แฮกเกอร์ (Hacker)
ในอดีตคาว่า “แฮกเกอร์” มักถูกนามาเรียกใช้แทนบุคคลที่มีความชื่นชอบในการเขียน
โปรแกรมเป็นชีวิตจิตใจ ด้วยการเขียนโปรแกรมเพื่อนาไปทดลองเจาะระบบตามองค์กรหรือ
หน่วยงานสาคัญต่างๆ เพื่อทดสอบขีดความสามารถของตน โดยเหล่าแฮกเกอร์จะมีความภูมิใจเป็น
อย่างยิ่ง หากพวกเขาสามารถเจาะระบบในองค์กรที่คิดว่ามีระบบป้องกันภัยสูงสุด เพื่อสะท้อนให้
ผู้นาองค์กรดังกล่าว ได้เห็นถึงระบบความปลอดภัยของเขาที่ยังมีช่องโหว่ในบางจุดที่ ทาให้
ภาพลักษณ์ของแฮกเกอร์ถูกใช้ในเชิงบวกเป็นส่วนใหญ่ และด้วยคุณสมบัติดังกล่าว จึงทาให้แฮก
เกอร์มีความแตกต่างจากแครกเกอร์ แต่ในปัจจุบันได้มีการเหมารวมทั้งแค่กเกอร์และแฮ็คเกอร์ล้วน
เป็นบุคคลต้องห้าม เพราะการพยายามเข้าถึงระบบโดยไม่ได้รับการอนุญาตจากเจ้าของ ไม่ว่าจะมี
จุดประสงค์เพื่อความมุ่งร้ายหรือไม่ก็ตาม ล้วนเป็นสิ่งที่ผิดกฎหมายทั้งสิ้น อย่างไรก็ตาม เหล่าแฮก
เกอร์อนุรักษ์นิยมก็ได้รวมตัวกัน เพื่อยกระดับตัวตนว่า มีดีกรีเหนือกว่าเหล่าแครกเกอร์ ในขณะที่
คนในวงการไอทีบางคนได้มีการใช้คาว่า แฮกเกอร์หมวกขาว (White Hat Hacker) กับ แฮกเกอร์
หมวกดา (Black Hat Hacker) เพื่อสื่อให้เห็นถึงความแตกต่างระหว่างแฮกเกอร์ที่ดี (หาช่องโหว่ใน
การเจาะระบบ เพื่อให้องค์กรรับรู้แล้วนาไปปรับปรุงแก้ไข) และไม่ดี (มีเจตนามุ่งร้ายทั้งในเรื่องการ
โจรกรรมและทาลายข้อมูลระบบ)

11. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.1.3 องค์ประกอบของการรักษาความปลอดภัยในคอมพิวเตอร์
การรักษาความปลอดภัยในคอมพิวเตอร์ โดยทั่วไปจะประกอบไปด้วยองค์ประกอบหลักๆ อยู่
3 ประการ ที่ต้องนามาพิจารณาคือ
1. การรักษาความลับ (Secrecy/Confidentiality)
เป็นการปกป้องความลับในข้อมูล โดยรับรองว่าจะมีการเก็บรักษาข้อมูลไว้เป็นความลับ ไม่มี
การเปิดเผยแก่ผู้ที่ไม่ได้รับสิทธิ์รวมถึงประกันความถูกต้องจากแหล่งที่มาของข้อมูล
2. การรักษาความถูกต้อง (Integrity)
เป็นการรับรองว่า ข้อมูลจะต้องไม่ถูกแก้ไขเปลี่ยนแปลงโดยบุคคลใดบุคคลหนึ่ง ในขณะที่มี
การส่งผ่านไปยังผู้รับ ไม่ว่าจะเป็นการกระทาที่เจตนาหรือไม่ก็ตาม
3. การรับประกันในงานบริการ (Availability)
เป็นการรับรองว่าข้อมูลข่าวสารต้องพร้อมที่จะให้บริการในเวลาที่ต้องการใช้งาน เพื่อป้องกัน
การปฎิเสธในความต้องการที่อาจก่อให้เกิดความล่าช้าหรือปฏิเสธงานบริการ ซึ่งรู้จักกันในนามว่า
Denial of Service (DoS)

12. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
การรักษาความลับ จัดเป็นสิ่งที่รู้จักกันดีในองค์ประกอบด้านการรักษาความปลอดภัยใน
คอมพิวเตอร์ เพิ่งสังเกตได้จากรายงานข่าวต่างๆ ที่อย่างน้อยต้องมีเรื่องราวเกี่ยวกับการโจรกรรม
ข้อมูลในภาครัฐ หรือการจารกรรมหมายเลขบัตรเครดิต เพื่อนาไปสั่งซื้อสินค้าออนไลน์บน
อินเทอร์เน็ต ส่วน ภัยคุกคามเกี่ยวกับการรักษาความถูกต้อง มักถูกรายงานผ่านสื่อต่างๆ
ค่อนข้างน้อย ผู้คนส่วนใหญ่จึงมักไม่ค่อยคุ้นเคยกัน ตัวอย่างเช่น อีเมลที่ส่งผ่านอินเทอร์เน็ต ได้ถูก
ลักลอบนาไปแก้ไขเนื้อหาภายใน ก่อนที่จะถูกส่งต่อไปยังปลายทาง โดยชนิดของการละเมิดความ
ถูกต้องในลักษณะนี้เราเรียกกันว่า การโจมตีจากคนกลาง (man-in-the-middle exploit) ซึ่งเนื้อหา
ภายในอีเมลจะได้รับการเปลี่ยนแปลงให้แตกต่างไปจากเดิม ในขณะที่ การรับประกันในงาน
บริการ จะมีอยู่หลายรูปแบบ และเกิดขึ้นค่อนข้างบ่อย เช่น การประวิงเวลาในการส่งข่าวสารหรือ
การทาลายข่าวสารเสีย ซึ่งอาจมีผลกระทบที่ค่อนข้างรุนแรงเลยทีเดียว ตัวอย่างเช่น สมมุติว่า
ข่าวสารได้ถูกส่งผ่านด้วยอีเมลเมื่อเวลา 10.00 น. ไปยังนายหน้าออนไลน์เพื่อซื้อหุ้นของไอบีเอ็มใน
ราคาตลาดจานวน 1,000 หุ้น แต่โบรกเกอร์กลับไม่ได้รับข่าวสารดังกล่าว (เพราะถูกโจมตีทาให้เกิด
ความล่าช้า) จนกระทั่งเวลา 14.30 น. ราคาหุ้นไอบีเอ็มดีดเพิ่มขึ้น 3 เหรียญ ผู้ซื้อก็ต้องสูญเสียเงิน
เพิ่มถึง 3000 เหรียญ เป็นต้น

13. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.1.4 นโยบายการรักษาความปลอดภัยและการบูรณาการ
ทุกๆ องค์กรล้วนมีความกังวลเกี่ยวกับการปกป้องทรัพย์สินอีคอมเมิร์ซ จึงมีการประกาศ
นโยบายรักษาความปลอดภัยในสถานที่ นโยบายความปลอดภัยเป็นถ้อยแถลงที่ถูกเขียนขึ้นมาเพื่อ
อธิบายการปกป้องทรัพย์สิน โดยนโยบายหลักมักมุ่งในเรื่องการรักษาความปลอดภัยเชิงกายภาพ การ
รักษาความปลอดภัยในระบบเครือข่าย การกาหนดสิทธิ์ในการเข้าถึง การป้องกันไวรัส และการกู้คืน
ระบบจากภัยพิบัติ ซึ่งการพัฒนานโยบายการรักษาความปลอดภัยดังกล่าว ควรจัดทาในรูปแบบของ
เอกสารที่ทางบริษัทและเจ้าหน้าที่รักษาความปลอดภัยจะต้องทบทวนและปรับปรุงให้เหมาะสมกับ
สถานการณ์
การป้องกันและรักษาความปลอดภัยที่เกี่ยวข้องกับความมั่นคงของภาครัฐ รวมถึงในเชิงพาณิชย์
นั้น ล้วนมีความคล้ายกันในเรื่องแนวทางในการปกป้องทรัพย์สินจากผู้ที่ไม่ได้รับการอนุญาต ที่เข้ามา
ดัดแปลงหรือทาลาย ในขณะที่ข้อมูลของบริษัท ซึ่งโดยทั่วไปมักจัดอยู่ในประเภท “สาธารณะ” หรือ
“ความลับของบริษัท” ซึ่งนโยบายความปลอดภัยในการรักษาความลับของบริษัทโดยทั่วไป มักระบุด้วย
ถ้อยคาแบบตรงไปตรงมา คือ “ไม่เปิดเผยข้อมูลอันเป็น ความลับของบริษัทให้แก่บุคคลภายนอก”

14. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
ตามองค์กรส่วนใหญ่ เมื่อมีการสร้างนโยบายการรักษาความปลอดภัยขึ้นมาแล้ว มักดาเนิน
งานตามกระบวนทั้ง 5 ขั้นตอน ดังรายละเอียดต่อไปนี้
1. ระบุทรัพย์สินที่ต้องได้รับการปกป้องจากภัยคุกคาม ตัวอย่างเช่น บริษัทที่มีการจัดเก็บข้อมูล
บัตรเครดิตของลูกค้า อาจตัดสินใจว่า ข้อมูลเหล่านี้ควรเป็นทรัพย์สินที่ต้องได้รับการ
คุ้มครอง
2. กาหนดสิทธิ์แต่ละบุคคลในการเข้าถึงระบบ ซึ่งข้อมูลในระบบถือเป็นทรัพย์สินที่ควรได้รับ
การคุ้มครองผ่านการเปิดใช้งานให้เหมาะสมกับบุคคลในแต่ละระดับ กล่าวคือ ผู้ใช้งานจะ
สามารถเข้าถึงข้อมูลระบบได้เฉพาะบางส่วนตามขอบเขตงานของพวกเขาเท่านั้น
3. กาหนดทรัพยากรหรืออุปกรณ์ที่พร้อมใช้งานเพื่อปกป้องทรัพย์สินข้อมูลได้ทันที โดยต้องมี
ความมั่นใจว่า ผู้ที่ต้องการใช้สามารถเข้าถึงอุปกรณ์เหล่านั้นได้จริง เพื่อปกป้องทรัพย์สินได้
อย่างทันท่วงที

15. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
4. นาข้อมูลต่างๆ ที่รวบรวมมาจาก 3 ขั้นตอนแรก มาพัฒนาเป็นนโยบายการรักษาความ
ปลอดภัยขององค์กรด้วยการระบุเป็นลายลักษณ์อักษร
5. เมื่อได้จัดทานโยบายเป็นลายลักษณ์อักษรแล้ว องค์กรต้องดาเนินงานตามพันธะสัญญา
ด้วย การสร้างหรือซื้อซอฟต์แวร์ ฮาร์ดแวร์ และอุปกรณ์ทางกายภาพ เพื่อนามาใช้งานตามแผน
นโยบายรักษาความปลอดภัยที่กาหนดไว้ ตัวอย่างเช่น ถ้านโยบายรักษาความปลอดภัยไม่
อนุญาตให้เข้าถึงข้อมูลลูกค้า (เช่น หมายเลขบัตรเครดิต หรือประวัติการใช้เครดิต) องค์กร
ก็จะต้องสร้างหรือซื้อซอฟต์แวร์ที่รับประกันถึงการรักษาความลับในการรับส่งข้อมูลจาก ต้น
ทางถึงปลายทางให้กับลูกค้าอีคอมเมิร์ซ เป็นต้น

16. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
ความต้องการขั้นต่าด้านการรักษาความปลอดภัยที่ยอมรับได้
สาหรับการดาเนินธุรกิจอีคอมเมิร์ซ

17. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
ความต้องการขั้นต่าด้านการรักษาความปลอดภัยที่ยอมรับได้
สาหรับการดาเนินธุรกิจอีคอมเมิร์ซ

18. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.2 ภัยคุกคามความปลอดภัยภายใต้สภาพแวดล้อม ของระบบอีคอมเมิร์ซ
หากพิจารณาจากมุมมองด้าน
เทคโนโลยีที่เกี่ยวข้องกับความเสี่ยง
เมื่อมีการติดต่อกับระบบอี
คอมเมิร์ซแล้ว จะประกอบด้วยช่อง
โหว่สาคัญๆ อยู่ 3 ประการด้วยกัน
คือ
1. การสื่อสารบนอินเทอร์เน็ต
2. เครื่องเซิร์ฟเวอร์
3. เครื่องฝั่งผู้ใช้

19. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
จากรูปแสดงให้เห็นถึงเหตุการณ์บางอย่างที่ผิดปกติ ที่เกิดขึ้นตามจุดสาคัญต่างๆ จนเป็น
ที่มาของช่องโหว่ที่ก่อให้เกิดภัยคุกคามในระดับเซิร์ฟเวอร์และระดับผู้ใช้ ผ่านช่องทางการสื่อสาร
บนเครือข่ายอินเทอร์เน็ต

20. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.2.1 โปรแกรมประสงค์ร้าย (Malicious Code)
Mailcious Code เป็นโค้ดโปรแกรมอันตรายที่มุ่งประสงค์ร้ายต่อระบบคอมพิวเตอร์ในรูปแบบใด
รูปแบบหนึ่ง ในบางครั้งอาจเรียกอีกชื่อหนึ่งว่า มัลแวร์ (Malware) ซึ่งประกอบด้วย ภัยคุกคาม
หลากหลายรูปแบบด้วยกัน อันได้แก่ ไวรัส เวิร์ม ม้าโทรจัน และบอท โดยที่
• ไวรัส (Virus)
คือโปรแกรมคอมพิวเตอร์ที่มีความสามารถในการคัดลอกตัวเอง และแพร่ขยายไปยังฝ่ายอื่นๆ
ซึ่งคล้ายกับเชื่อไวรัสนั่นเอง สาหรับไวรัสคอมพิวเตอร์อาจส่งผลร้ายต่อระบบ ไม่ว่าจะเป็นการแสดง
ข้อความหรือรูปภาพรบกวนการทางาน การข่มขู่ข้อความให้เรารู้สึกกลัว และกรณีร้ายแรงสุด คือ การ
ทาลายไฟล์ข้อมูล และฟอร์แมตฮาร์ดดิสก์ หรือการทาให้โปรแกรมที่รันอยู่แสดงผลลัพธ์ไม่ถูกต้อง
นอกจากนี้ไวรัสคอมพิวเตอร์ยังมีอยู่หลายประเภทด้วยกัน ดังนี้

21. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
• ไวรัสมาโคร (Marcro Viruses) เป็นไวรัสคอมพิวเตอร์ชนิดหนึ่งที่มีผลต่อโปรแกรมประยุกต์
โดยเฉพาะชุดโปรแกรมไมโครซอฟท์ออฟฟิศ เช่น MS-Word, Excel หรือ PowerPoint โดย
ในขณะที่ผู้ใช้ได้เปิดไฟล์ดังกล่าวที่มีมาโครไวรัสแฝงอยู่ ไวรัสก็จะคัดลอกตัวเองลงในเท็มเพลต
ของโปรแกรมประยุกต์เหล่านั้น ครั้นเมื่อมีการสร้างเอกสารผ่านโปรแกรมประยุกต์ดังกล่าว
เอกสารที่สร้างขึ้นใหม่ก็จะติดเชื่อไวรัสมาโครเช่นกัน ไวรัสมาโครสามารถแพร่กระจายได้ง่าย
ผ่านการแนบไฟล์ที่ส่งไปกับอีเมล อย่างไรก็ตาม ไวรัสมาโครปกติจะไม่ค่อยอันตรายนัก มัก
ก่อกวนหรือสร้างความราคาญมากกว่า เช่น ในขณะที่เราพิมพ์เอกสารอยู่ก็จะเพิ่มข้อความที่ไม่
เกี่ยวข้องลงไป เป็นต้น
• ไวรัสที่เกาะตามแฟ้มข้อมูล (File-Infecting Viruses) เป็นไวรัสที่ติดต่อผ่านเอ็กซีคิวต์ไฟล์
(Executable Files) ที่มีนามสกุลอย่าง .com, .exe, .drv และ .dll เป็นต้น ดังนั้นทุกๆ ครั้ง
ที่เอ็กซีคิวต์ไฟล์ที่ติดเชื่อไวรัสถูกเรียกใช้งาน ไวรัสก็จะถูกกระตุ้นให้ทางานโดยการคัดลอกไป
ยังเอ็กซีคิวต์ไฟล์อื่นๆ สาหรับไวรัสประเภทนี้แพร่ขยายง่ายและรวดเร็วโดยผ่านการถ่ายโอน
ไฟล์ในระบบและการส่งอีเมล

22. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
• เวิร์ม (Worm)
เป็นโปรแกรมที่ถูกเขียนขึ้นเพื่อการชอนไชไปอย่างไม่มีที่สิ้นสุด คล้ายกับตัวหนอนที่ชอนไชอยู่
บนเครือข่าย โดยเวิร์มมีลักษณะการทางานที่สาคัญๆ คือ จะแพร่ขยายจากคอมพิวเตอร์เครื่อง หนึ่ง
ไปยังอีกเครื่องหนึ่ง โดยอาศัยช่องทางของระบบเครือข่าย เช่น เครือข่ายอินเทอร์เน็ต นอกจากนี้
เวิร์มยังสามารถคัดลอกตัวเองและฝากไว้ตามเส้นทางการจราจรบนเครือข่าย ส่งผลให้การจราจรบน
เครือข่ายมีความคับคั่งแบบผิดปกติ การส่งข้อมูลติดขัดและสามารถลงเอยด้วยการทาให้ระบบ
เครือข่ายล่มใช้การไม่ได้ในที่สุด

23. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
• ม้าโทรจัน (Trojan Horse)
เป็นชื่อของม้าไม้ในสงครามประวัติศาสของชาติกรีกโบราณ ที่ได้สร้างม้าไม้ขนาดใหญ่เป็น
เครื่องบรรณาการ เพื่อส่งไปยังค่ายทหารเมืองทรอยที่ขณะนั้นกาลังจะได้ชัยชนะจากศึกสงคราม แต่
ความจริงแล้วม้าไม้ที่ส่งไปนั้น ภายในมีการแบ่งเป็นห้องและมีทหารกรีกจานวนหนึ่งแอบซ่อนอยู่ พอ
ตกกลางคืนทหารกรีกที่ซ่อนอยู่ภายในม้าไม้ได้ออกมาเปิดประตูค่าย เพื่อให้ทหารตนสามารถบุกเข้า
ตีเมืองทรอยจนแพ้พ่ายในที่สุด ดังนั้นโทรจันจึงเป็นโปรแกรมที่มีลักษณะคล้ายๆ กับเรื่องที่เล่ามา
กล่าวคือ เป็นโปรแกรมที่แอบแฝงเข้ามาจากการผูกมิตรเพื่อให้ผู้ใช้ตายใจ แล้วค่อยจองทาลายเมื่อ
ถึงเวลา ตัวอย่างเช่น โทรจันที่แฝงมากับเกมส์ ที่ให้ผู้ใช้สามารถดาวน์โหลดไปเล่นได้ฟรี เมื่อผู้ใช้ตก
เป็นเหยื่อรหัสลับที่แฝงอยู่ภายในโปรแกรมจะถูกกระตุ้นให้ทางาน หากตรงกับเงื่อนไขตามที่
โปรแกรมไว้ เช่น หากผู้ใช้ได้เล่นเกมส์จนเพลิดเพลินครบ 10 วัน หรือหาก วันที่เล่นเกมส์ตรงกับวัน
ศุกร์ที่ 13 โทรจันก็จะทาลายไฟล์ข้อมูลในเครื่องเสียหายทั้งหมด ซึ่งหากผู้ใช้ชะล่าใจ และกว่าจะรู้ว่า
เครื่องคอมพิวเตอร์มีโทรจันแฝงอยู่ คอมพิวเตอร์ก็จะถูกโทรจันจัดการไปเรียบร้อยแล้ว อย่างไรก็
ตาม การทางานของโทรจันจะไม่สามารถแพร่พันธุ์ตัวเองได้เหมือนกับไวรัสคอมพิวเตอร์และเวิร์ม

24. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
• บอท (Bots)
เป็นโปรแกรมที่ถูกสร้างขึ้นเฉพาะกิจเพื่อปฏิบัติงานแบบอัตโนมัติแทนมนุษย์ โดยบอทอาจถูก
สร้างเพื่อนามาใช้กับงานประจา (Routine) ทั่วไปในทางธุรกิจ เช่น การค้นหาข้อมูล การกลั่นกรอง
ข่าวสารสาหรับงานอีคอมเมิร์ซ และกิจกรรมใดๆ ตามเจตจานงของผู้สร้าง ว่าต้องการให้บอททาอะไร
วันไหน เวลาใด ดังนั้นบอทจึงมีทั้งดีและไม่ดี ซึ่งขึ้นอยู่กับผู้สร้างว่าต้องการให้บอทไปทาอะไร มี
จุดประสงค์อะไรเป็นสาคัญ สาหรับบอทที่ถูกสร้างขึ้นเพื่อประสงค์ร้ายนั้น โค้ดโปรแกรมสามารถแอบ
แฝงเข้าไปติดตั้งบนเครื่องคอมพิวเตอร์ของผู้ใช้เมื่อมีการเชื่อมโยงเข้ากับอินเทอร์เน็ต โดยกว่าร้อยละ
90 ของเมล์ขยะ และกว่าร้อยละ 80 ของมัลแวร์นั้น ล้วนถูกดาเนินการโดยบอททั้งสิ้น หรือที่มักเรียกกัน
ว่า บอทเน็ต (Botnets) ซึ่งภายหลังจากโปรแกรมบอทเน็ตถูกติดตั้งบนเครื่องฟังผู้ใช้ บอทก็พร้อม
ตอบสนองต่อคาสั่งภายนอกที่ส่งมาจากผู้โจมตี และคอมพิวเตอร์ของผู้ใช้ก็จะกลายเป็น “ซอมบี้
(Zombie)” ที่คล้ายกับศพเดินได้ซึ่งจะถูกควบคุมโดยบุคคลที่สาม นั่นคือ ผู้สร้างบอทเน็ต (Bot-Herder)
นั่นเอง
โดยส่วนใหญ่บอทเน็ตจะมุ่งประสงค์ร้ายในเรื่องการส่งสแปมเมล, การเข้าเป็นส่วนร่วมในการโจมตีแบบ
DoS, การโจรกรรมข้อมูลในคอมพิวเตอร์และการจัดเก็บข้อมูลการจราจรบน เครือข่ายเพื่อนาไป
วิเคราะห์ภายหลัง ที่สาคัญเครื่องคอมพิวเตอร์ใดๆ ที่ถูกบอทเน็ตแทรกแซงได้แล้วจะถือเป็นส่วนหนึ่ง
ของบอทเน็ต (หนึ่งในสมาชิกของซอมบี้) ไปโดยปริยาย

25. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.2.2 โปรแกรมที่ไม่ต้องการ (Unwanted Programs)
นอกจากโปรแกรมประสงค์ร้ายอย่างมัลแวร์ แล้วสภาพแวดล้อมเกี่ยวกับการรักษาความ
ปลอดภัยในอีคอมเมิร์ซนั้น ยังต้องถูกรุกรานจากโปรแกรมที่ไม่ต้องการอีกมากมาย เช่น แอดแวร์,
สปายแวร์, เบราเซอร์ปาราสิต และโปรแกรมประยุกต์อื่นๆ ที่ติดตั้งเองในคอมพิวเตอร์โดยไม่ได้รับ
ความยินยอมจากเจ้าของเครื่อง ซึ่งนับวันโปรแกรมที่ไม่ต้องการเหล่านี้ยิ่งมีจานวนเพิ่มมากขึ้น และ
ส่วนใหญ่มาจากเครือข่ายสังคมออนไลน์ รวมถึงการที่ผู้ใช้ได้สร้างเนื้อหาบนเว็บ (เช่น การสร้าง
บล็อก) และถูกหลอกให้ดาวน์โหลดโปรแกรมเหล่านั้นมาเก็บไว้ในเครื่อง โดยภายหลังจากโปรแกรม
ที่ไม่ต้อง การถูกติดตั้งลงในเครื่องแล้ว ในการที่จะนาโปรแกรมเหล่านี้ออกไปจากเครื่องเป็นสิ่งที่ทา
ได้ค่อนข้างยุ่งยากทีเดียว
• แอดแวร์ (Adware)
โปรแกรมที่ไม่ต้องการอย่างแอดแวร์ เป็นโปรแกรมที่ทาหน้าที่เรียกโฆษณาป๊ อบอัพมาแสดง
บนหน้าต่างทันทีเมื่อมีการเข้าถึงเว็บไซต์ ซึ่งได้สร้างความราคาญแก่ผู้ใช้มาก แถมยังปิดยากอีก
เพราะปิดแล้วก็จะป๊ อบอัพหน้าต่างใหม่แบบไม่รู้จักจบสิ้น

26. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
• ปาราสิตเบราเซอร์ (Browser Parasites)
คือโปรแกรมที่สามารถเข้าไปติดตามและเปลี่ยนแปลงค่าติดตั้งบนโปรแกรมเบราเซอร์ของผู้ใช้
เช่น การเปลี่ยนหน้าโฮมเพจ หรือส่งข้อมูลเกี่ยวกับเว็บไซต์ที่เข้าชม ไปยังคอมพิวเตอร์ที่ควบคุมอยู่
ระยะไกล อย่างไรก็ตาม ปาราสิตเบราเซอร์ส่วนใหญ่มักเป็นหนึ่งในองค์ประกอบของแอดแวร์ด้วย
ตัวอย่างเช่น นอกจากแอดแวร์ได้ป๊ อบอัปหน้าต่างโฆษณาบนเบราเซอร์ที่ผู้ใช้เปิดค้นหาแล้ว ยังเข้า
ไปปรับเปลี่ยนการตั้งค่าต่างๆ บนโปรแกรมเบราเซอร์ ด้วยการตั้งหน้าโฮมเพจของตนให้เป็นค่า
ปกติแทนของเดิม เป็นต้น
• สปายแวร์ (Spyware)
เป็นโปรแกรมประเภทสายลับ ซึ่งหากได้เข้ามายังเครื่องของผู้ใช้แล้ว จะทาการเป็นสายลับ
ด้วยการสอดแนมและแอบบันทึกข้อมูลที่ผู้ใช้ได้พิมพ์ผ่านแป้นพิมพ์ เพื่อหลวงข้อมูลสาคัญต่างๆ
เช่น รหัสผ่าน และข้อมูลสาคัญอื่นๆ จากนั้นตัวโปรแกรมก็จะส่งข้อมูลเหล่านี้ไปยังผู้สร้างโปรแกรม
สปายแวร์

27. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.2.3 การหลอกลวงและการโจรกรรมสวมรอย (Phishing and Identity Theft)
ฟิชชิ่ง (Phishig) เป็นการหลอกลวงใดๆ ในทุกรูปแบบที่เกี่ยวข้องกับความพยายามในการ
ออนไลน์โดยบุคคลที่สาม เพื่อให้ได้มาซึ่งข้อมูลที่เป็นความลับเพื่อนาไปใช้ประโยชน์ทางการเงิน
สาหรับการโจมตีแบบฟิชชิ่งนั้น ไม่ได้เกี่ยวข้องกับโค้ดโปรแกรมอันตรายแต่อย่างใด เป็นการ
กระทาแบบตรงไปตรงมาด้วยการบิดเบือนความจริง และการฉ้อโกงด้วยเทคนิคที่เรียกว่า
วิศวกรรมทาง สังคม (Social Engineering) ทั้งนี้การโจมตีฟิชชิ่งโดยส่วนใหญ่มักใช้ชื่ออีเมลที่มี
ความน่าเชื่อถือ (เช่น ธนาคาร หรือรัฐบาล) ส่งไปยังเหยื่อต่างๆ ผ่านอีเมล ครั้นผู้ที่ถูกหลอกลวง
เชื่อว่าเป็นเรื่องจริง ก็อาจตกเป็นเหยื่อแก่คนฉ้อโกงเหล่านี้ในที่สุด เช่น การส่งอีเมล์ไปยังผู้ใช้ว่า
ตนได้เป็นหนี้บัตรเคดิต และหลอกให้ไปโอนเงินผ่านตู้ ATM รวมถึงการขอหมายเลขสาคัญบน
บัตรเครดิตเพื่อนาไปใช้ในทางมิชอบ นอกจากนี้แล้วฟิชชิ่งยังได้พัฒนาไปถึงขั้นการเปิดเว็บไซต์
ปลอม เพื่อเลียนแบบเว็บไซต์จริง โดยมีการจดทะเบียนโดเมนจริงๆ และหน้าเว็บก็แลดูเป็น
ทางการน่าเชื่อถือ โดยมักตั้งชื่อคล้ายๆ กับเว็บไซต์ที่มีอยู่จริง ดังนั้นหากลูกค้าที่ตกเป็นเหยื่อได้
หลงกลเข้าไปลงทะเบียน และกรอกข้อมูล สาคัญๆ ลงไปโดยเฉพาะข้อมูลส่วนตัวและข้อมูลทาง
การเงิน ข้อมูลเหล่านี้ก็จะถูกโจรกรรมผ่านการสวมรอยในความเป็นตัวคุณ เพื่อทาธุรกรรมใดๆ
โดยที่ตัวคุณไม่รู้

28. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
เว็บฟิชชิ่งที่เลียนแบบธนาคารออนไลน์ของ Bank of America โดยสังเกตชื่อ URL ที่พยายาม
ตั้งให้ชื่อคล้ายกับ URL ของธนาคารจริง เพื่อหลอกลวงเหยื่อให้หลงกลว่า ตนกาลังติดต่อทา
ธุรกรรมกับธนาคารจริงๆ อยู่

29. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.2.4 การแฮก (Hacking)
ทั้งแฮกเกอร์และแครกเกอร์ ในปัจจุบันใช้แทนความหมายเดียวกันได้ โดยเป็นบุคคลที่ไม่มี
สิทธิ์ในการเข้าถึงระบบ แต่มักใช้วิชาความรู้ที่เชี่ยวชาญเป็นพิเศษในการพยายามหาช่องโหว่หรือ
จุดอ่อนของระบบ เพื่อให้ตนสามารถเข้าควบคุมเว็บไซต์หรือระบบคอมพิวเตอร์ในองค์กร ส่วน
วัตถุประสงค์ของการแฮกนั้นขึ้นอยู่กับบุคคลที่ดาเนินการแฮกเป็นสาคัญ โดยมีความเป็นไปได้ทั้ง
การแฮกเพื่อทดสอบภูมิความรู้ที่มิได้ส่อเจตนาร้าย รวมถึงการแฮกที่มุ่งประสงค์ร้ายต่อระบบเป็น
การเฉพาะ ที่สาคัญระบบสาระสนเทศยุคใหม่ส่วนใหญ่แล้วมักมีการเชื่อมต่อเข้ากับเครือข่าย
อินเทอร์เน็ต ทาให้ง่ายต่อการถูกโจรกรรมโดยเหล่าแฮกเกอร์ แต่อย่างไรก็ตาม เหล่าแฮกเกอร์
อนุรักษ์นิยมก็ได้ พยายามยกระดับตัวตนว่า เป็นเพียงบุคคลที่ใช้วิชาชีพในการหาช่องโหว่เพื่อ
เข้าถึงระบบ ซึ่งแตกต่างจากแครกเกอร์ที่มุ่งทาลายและโจรกรรมข้อมูล แต่ในปัจจุบันทั้งแฮกเกอร์
และแครกเกอร์ล้วนเป็นคาที่ใช้แทนกันได้ เพราะความพยายามในการเข้าถึงระบบโดยมิได้รับ
อนุญาตจากเจ้าของระบบ ไม่ว่าจะมีเจตนามุ่งร้ายหรือไม่ก็ตาม ล้วนเป็นสิ่งผิดกฏหมายทั้งสิ้น ดังนั้น
เว็บไซต์อีคอมเมิร์ซทั้งหลาย จึงจาเป็นต้องมีมาตรการรักษาความปลอดภัยที่น่าเชื่อถือ เพื่อป้องกัน
การแฮกจากเหล่าแฮกเกอร์และแครกเกอร์ด้วย

30. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.2.5 การโจรกรรมและฉ้อโกงบัตรเคดิต
การโจรกรรมข้อมูลบัตรเครดิตจากการทาธุรกรรมอีคอมเมิร์ซผ่านเครือข่ายอินเทอร์เน็ต
จัดเป็นหนึ่งในเหตุการณ์ที่สร้างความวิตกกังวลแก่ผู้บริโภคเป็นอย่างมาก แต่ในความเป็นจริงที่
น่าสนใจก็คือ ความกลัวเหล่านี้ดูเหมือนจะเป็นเหตุการณ์ที่เกิดขึ้นน้อยมาก กล่าวคือ อุบัติการณ์
ของการโจรกรรมข้อมูลบัตรเครดิตจากการซื้อสินค้า ออนไลน์บนเว็บที่เกิดขึ้นจริงๆ นั้น มีอัตรา
การเกิดที่ต่ามากเมื่อเทียบกับสิ่งที่ผู้บริโภคคิด โดยเกิดขึ้น ประมาณ 1.2% ของธุรกรรมทั้งหมดที่
ใช้บัตรเครดิตในการชาระเงินออนไลน์ (แหล่งข้อมูลจาก : Cybersource, 2010)
หากจะว่าไปแล้วรูปแบบการทาธุรกิจแบบดั้งเดิมกลับมีการฉ้อโกงมากกว่าด้วยซ้า สาหรับ
การฉ้อโกงบัตรเครดิตที่เกิดขึ้นโดยส่วนใหญ่ มักเกิดจากผู้ที่เป็นเจ้าของได้ทาบัตรสูญหายเอง หรือ
ถูกโจรกรรมโดยบุคคลอื่น รวมถึงพนักงาน (ลูกจ้าง) ที่ได้โจรกรรมหมายเลขบัตรและข้อมูลสาคัญ
จากลูกค้าไปใช้ เป็นต้น

31. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.2.6 การปลอมแปลง
เหล่าแฮกเกอร์ปกติจะพยายามซ่อมตัวตนที่แท้จริงของพวกเขาเพื่อมิให้ใครรู้ รวมถึงการใช้
เทคนิคอย่าง IP Spoofing เพื่อหลอกระบบเครือข่ายว่า คอมพิวเตอร์ของผู้บุกรุกนั้นมีหมายเลขไอ
พี ที่เชื่อถือได้ ซึ่งพวกเขาได้พยายามบิดเบือนความจริงผ่านการใช้อีเมลปลอม รวมถึงการสวมรอย
แทนคนอื่น สาหรับในเรื่องการปลอมแปลงเว็บไซต์นั้นเราจะเรียกว่า Pharming ซึ่งแฮกเกอร์จะทา
การเปลี่ยนเส้นทาง (Redirecting) การเชื่อมโยงเว็บไปยังอีกอัพเดทหนึ่งซึ่งเป็นเว็บไซต์ไปทางที่ถูก
ปลอมแปลงขึ้นมานั่นเอง ครั้นเมื่อผู้ใช้ตกเป็นเหยื่อ คิดว่าตนได้เข้าไปยังเว็บไซต์ที่ถูกต้อง จึงมีการ
ลงทะเบียนเพื่อกรอกข้อมูลสาคัญต่างๆ ลงไป ไม่ว่าจะเป็นข้อมูลส่วนตัว ข้อมูลทางการเงิน
(โดยเฉพาะหมายเลขบัตรเครดิต) และในที่สุดผู้ใช้รายดังกล่าวก็ได้ตกเป็นเหยื่อแก่เว็บไซต์ปลอม
เหล่านั้นโดยสิ้นเชิง

32. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.2.7 การปฏิเสธการให้บริการ (Denial of Service : DoS)
เป็นรูปแบบการโจมตีระบบ เพื่อให้คอมพิวเตอร์หรือระบบเครือข่ายหยุดตอบสนองการ บริการ
ใดๆ ตัวอย่างเช่น เมื่อเซิร์ฟเวอร์ถูกโจมตีด้วย DoS แล้วหมายความว่าเครื่องเซิร์ฟเวอร์ ดังกล่าวจะ
อยู่ในสภาวะที่ไม่สามารถบริการทรัพยากรใดๆ ได้อีก ครั้นเมื่อเครื่องฝั่งผู้ใช้ (Client) ได้พยายาม
เข้าถึงเพื่อติดต่อกับเซิร์ฟเวอร์ ก็จะถูกขัดขวางและถูกปฏิเสธการบริการไปในที่สุด อย่างไรก็ตาม
การโจมตีแบบ DoS นั้นยังสามารถนาไปประสมประสานกับการโจมตีประเภทอื่นๆ ได้อีก เช่น การ
ส่งเมล์ขยะ และการแพร่ของเวิร์มบนเครือข่ายทาให้ระบบจราจรบนเครือข่ายเต็มไป ด้วยขยะและ
หนอนไวรัสที่ชอนไชอยู่ไปทั่ว ส่งผลต่อการบริการของโฮสต์เซิร์ฟเวอร์อยู่ในระดับต่าลง อย่าง
ต่อเนื่อง
จนไม่สามารถบริการใดๆ ให้แก่ผู้ใช้ได้อีกต่อไป

33. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.2.8 การดักจับข้อมูล (Sniffing)
Sniffer จัดเป็นโปรแกรมชนิดหนึ่งที่ทาหน้าที่คอยติดตามเพื่อดักจับข้อมูลที่ส่งผ่านอยู่บน
เครือข่าย โดยหากนามาใช้งานอย่างถูกวิธีแล้ว เราสามารถนาโปรแกรม Sniffer มาใช้เพื่อช่วยระบุ
ถึงปัญหาของเครือข่ายได้อย่างมีประสิทธิภาพ แต่เมื่อมีการนามาใช้ในทิศทางที่ไม่ถูกต้อง
มันจะสร้างความเสียหายและยากต่อการตรวจจับ โดยแฮกเกอร์สามารถสร้างโปรแกรม Sniffer
เพื่อโจรกรรมทรัพย์สินของเจ้าของรายต่างๆ ที่มาจากที่ใดก็ได้บนเครือข่าย ซึ่งส่วนใหญ่ข้อมูลที่
โจรกรรมนั้นมักเป็นข้อมูลสาคัญ รวมถึงข้อความในอีเมลไฟล์ข้อมูลในบริษัท และรายงานลับต่างๆ
เป็นต้น

34. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.2.9 การโจมตีจากบุคลากรภายใน (Insider Attacks)
โดยส่วนใหญ่หลายคนมักคิดว่า ภัยคุกคามด้านความปลอดภัยที่มีต่อธุรกิจนั้น ล้วนเกิดจาก
ภายนอกองค์กร แต่ในความเป็นจริงแล้ว เรื่องราวใหญ่โตที่เกิดขึ้นจากภัยคุกคามทางการเงินของ
องค์กรภาคธุรกิจมากไม่ได้มาจากการปล้น แต่กลับถูกฉ้อฉลด้วยบุคคลภายในองค์กรเอง
ตัวอย่างเช่น พนักงานธนาคารเป็นผู้โจรกรรมเงินจากบัญชีลูกค้าไป ซึ่งถือเป็นเหตุการณ์ที่เกิดขึ้น
มากกว่าโจรปล้น ธนาคารด้วยซ้า ในทานองเดียวกันสาหรับเว็บไซต์อีคอมเมิร์ซที่งานบริการ
บางอย่างได้หยุดชะงักไป หรือถูกทาลายรวมถึงการใช้อุบายเพื่อให้ได้มาซึ่งข้อมูลบัตรเครดิต และ
ข้อมูลส่วนตัวของลูกค้า ล้วน มาจากพนักงานภายในที่เราไว้เนื้อเชื่อใจ โดยเฉพาะพนักงานที่มี
สิทธ์พิเศษในการเข้าถึงข้อมูลลับได้ ประกอบกับมาตรการการรักษาความปลอดภัยในบางองค์กรที่
ปล่อยปละละเลยจนยุ่งเหยิงและหละหลวม ทาให้พวกเขาสามารถท่องไปทั่วระบบได้ตามอาเภอใจ
โดยไม่มีการทิ้งร่องรอยใดๆ โดยแม้ว่าองค์กรจะลงทุนด้วยเม็ดเงินจานวนมากเพื่อป้องกันภัย
คุกคามจากภายนอกก็ตาม แต่ถ้าบุคลากรภายในของคุณกลับสามารถฉ้อฉลด้วยวิธีพื้นๆ ง่ายๆ ก็
คงต้องกลับมาพิจารณามาตรการป้องกันความปลอดภัยภายในองค์กรเสียใหม่ ไม่ว่าจะเป็นการ
ป้องกันทางกายภาพ และการนาเทคโนโลยี มาใช้เพื่อควบคุมการเข้าถึงก็ตาม

35. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.2.10 การรักษาความปลอดภัยบนแพลตฟอร์มโทรศัพท์มือถือ
(Mobile Platform Security)
ความหลากหลายของอุปกรณ์โทรศัพท์มือถือยังสมาร์ทโฟน เช่น iPhone และ BlackBerry
รวมถึงสมาร์ทโฟนอื่นๆ และเน็ตบุ๊กที่มีประสิทธิภาพในการเข้าถึงอินเทอร์เน็ต สาหรับผู้ใช้
โทรศัพท์มือถือเพื่อการเข้าถึงอินเทอร์เน็ต โดยส่วนใหญ่มักมีการบันทึกข้อมูลส่วนตัว และข้อมูล
ทางการเงินต่างๆ ที่ตนต้องดาเนินธุรกรรมเป็นประจาทุกวัน ดังนั้นกลุ่มคนเหล่านี้จึงเป็นเป้าหมาย
สาคัญของเหล่า แฮกเกอร์ที่ได้เพ่งเล็งเป็นพิเศษ อย่างไรก็ตาม โทรศัพท์สมาร์ทโฟนที่มี
ความสามารถในการเข้าถึงอินเทอร์เน็ท ต้องเผชิญกับความเสี่ยงเช่นเดียวกันกับอุปกรณ์เครือข่าย
อื่นๆ ที่มีความสามารถในการ เชื่อมต่ออินเทอร์เน็ตแบบไร้สาย อีกทั้งยังรวมถึงความเสี่ยงใน
รูปแบบใหม่ๆ ที่คอยคุกคามกลุ่มผู้ใช้เหล่านี้ ในขณะที่กลุ่มผู้ใช้ใช้พีซีคอมพิวเตอร์โดยส่วนใหญ่
มักมีความระมัดระวังในเรื่องการถูกแฮกและมัลแวร์

36. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
• การโจมตีแบบวิชชิ่ง (Vishing Attacks)
เป็นปฏิบัติการโดยใช้หลักวิศวกรรมทางสังคมด้วยการเข้าถึงกลุ่มเป้าหมายคือ ผู้ใช้โทรศัพท์
มือถือผ่านข้อความที่เรียกร้องให้เกิดความรู้สึกเห็นอกเห็นใจน่าสงสาร แล้วลงท้ายด้วยการขอเงิน
บริจาค เช่น การโอนเงินบริจาคให้แก่เด็กหิวโหยในประเทศเฮติ ซึ่งท้ายสุดเงินบริจาคที่ผู้เห็นอกเห็นใจ
ได้โอนมาด้วยความสงสารนั้น ก็จะถูกโอนเข้าไปยังบัญชีของนักหลอกลวง
• การโจมตีแบบสมิชชิ่ง (Smishing)
เป็นปฏิบัติการโดยใช้วิธีการส่งข้อความ SMS ไปยังผู้ใช้ ซึ่งข้อความดังกล่าวอาจมีการบรรจุ
อีเมลแอดเดรสและที่อยู่ของเว็บไซต์ไปด้วย ดังนั้นหากผู้ใช้ที่รู้เท่าไม่ถึงการณ์ได้เปิดเมลดังกล่าว หรือ
คลิกเข้าไปยังเว็บไซต์เหล่านั้น โทรศัพท์ของผู้ใช้ก็จะติดมัลแวร์มาด้วย ในขณะที่แอพพลิเคชั่นบน
โทรศัพท์มือถือจาก iTunes รวมถึงเว็บไซต์ที่เป็นแหล่งรวมโปรแกรมบนโทรศัพท์มือถือ (App Stores)
อื่นๆ ที่เปิดให้ดาวน์โหลดก็อาจมีมัลแวร์แฝงมาด้วยก็ได้ แต่ก็มีค่อนข้างน้อย

37. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.3 เทคโนโลยีการรักษาความปลอดภัย
จากรายละเอียดที่ผ่านมา ได้มีการเรียนรู้ถึงภัยคุกคามด้านความปลอดภัยที่มีต่อสภาพ
แวดล้อมในธุรกิจอีคอมเมิร์ซแล้ว จะพบว่าภัยคุกคามเหล่านี้อาจมีอานาจร้ายแรงถึงขั้นทาลายล้าง
ไม่ว่าจะเป็นการมุ่งทาลายล้างในระดับรายบุคคล องค์กร หรือระดับชาติ ซึ่งส่งผลต่อความสูญเสียใน
ภาพรวมของเศรษฐกิจภายในประเทศ รวมถึงระหว่างประเทศที่มีการค้าขายผ่านระบบอีคอมเมิร์ซ
ทั้งนี้ระดับของภัยคุกคามจะเข้มข้นมากขึ้นไปพร้อมๆ กับอัตราการเติบโตของอีคอมเมิร์ซ แต่ใน
ความ เป็นจริงแล้ว ความก้าวหน้าทางเทคโนโลยีที่รุดหน้าไปมากนั้น ล้วนมาจากธุรกิจที่เกี่ยวข้องกับ
การ รักษาความปลอดภัย, บริษัทและผู้ใช้ตามบ้าน, ผู้บริหารเครือข่าย, บริษัททางเทคโนโลยี และ
หน่วย งานภาครัฐ โดยเราจะมีอยู่ 2 เรื่องที่ต้องป้องกันก็คือ การแก้ปัญหาด้านเทคโนโลยี และการ
แก้ปัญหา ด้านนโยบาย สาหรับเนื้อหาในส่วนนี้เราจะกล่าวถึงการแก้ไขปัญหาเทคโนโลยีในบางส่วน
ซึ่งอยู่ใน หัวข้อถัดไป และถัดจากนั้นก็จะกล่าวถึงการแก้ปัญหาด้านนโยบายที่ได้ผล

38. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
ความหลากหลายของภัยคุกคามความปลอดภัยที่มีต่อเว็บไซต์อีคอมเมิร์ซนั้น สามารถป้องกัน
ได้ด้วยชุดเครื่องมือที่เตรียมไว้เพื่อสร้างเป็นเกาะกาบัง ทาให้ยากต่อการบุกรุกโดยบุคคลภายนอก
ที่พยายามเข้ามาโจรกรรมหรือทาลายทรัพย์สิน
เครื่องมือต่างๆ ที่พร้อมรักษาความปลอดภัยให้แก่เว็บไซต์

39. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.3.1 การเข้ารหัสข้อมูล (Encryption)
เนื่องจากข้อมูลการทาธุรกรรมบนอีคอมเมิร์ซ จะต้องถูกส่งผ่านเครือข่ายสาธารณะอย่าง
อินเทอร์เน็ต ดังนั้นเพื่อป้องกันข่าวสารเหล่านี้ ไม่ให้ถูกลักลอบหรือถูกดักจับข้อมูลจากผู้ไม่หวังดี
เพื่อนาไปใช้โดยมิชอบ จึงจาเป็นต้องนาเทคโนโลยีการเข้ารหัสมาใช้ ซึ่งหากข้อมูลข่าวสารที่ได้รับ
การเข้ารหัสถูกโจรกรรมไป ผู้โจรกรรมก็ไม่สามารถเปิดอ่านได้อย่างเข้าใจ เว้นแต่จะได้รับกุญแจ
ถอดรหัส
ทุกๆ ครั้งที่มีการถ่ายโอนข้อมูลจากจุดหนึ่งไปยังจุดอื่นๆ บนเครือข่ายคอมพิวเตอร์ โดย
เฉพาะเครือข่ายอินเทอร์เน็ต ต้องคานึงถึงความมั่นใจในด้านความปลอดภัยของข้อมูล ที่จะต้องเดิน
ทางไปยังกลุ่มเครือข่ายต่างๆ มากมาย ซึ่งความปลอดภัยในที่นี้ได้ครอบคลุมความหมายอยู่ 2
ประเภทด้วยกัน คือ
1. ในระหว่างการส่งข้อมูล จะต้องไม่มีใครคนใดที่จะสามารถเข้าไปลักลอบหรือสกัดกั้นข้อมูล เพื่อ
คัดลอกข้อมูลไปใช้งานได้
2. ในระหว่างการส่งข้อมูล จะต้องไม่มีใครคนใดที่สามารถเข้าไปเพิ่มเติมหรือเปลี่ยนแปลงข้อมูล
ต้นฉบับ ให้ผิดเพี้ยนไปจากเดิม

40. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
 วิทยาการรหัสลับ (Crygraphy)
เป็นศาสตร์ที่เกี่ยวข้องกับเทคนิคต่างๆ ที่นามาใช้เพื่อการเข้ารหัสและถอดรหัสข้อมูล พิจารณา
จากรูปที่แสดงถึงขั้นตอนการเข้ารหัสข้อมูล โดยมีแนวคิดพื้นฐานว่า จะจัดการกับข้อมูลข่าวสาร
อย่างไร เพื่อให้อ่านไม่ออกหรืออ่านไม่รู้เรื่อง ทาให้ผู้ที่ได้ข่าวสารไปไม่สามารถนาไปใช้ก่อเกิด
ประโยชน์ใดๆ ได้ อย่างไรก็ตาม ก่อนที่จะเรียนรู้เรื่องราวเหล่านี้ จาเป็นต้องทาความเข้าใจเกี่ยวกับ
คาศัพท์พื้นฐานที่เกี่ยวข้องก่อน อันได้แก่
ขั้นตอนการเข้ารหัสข้อมูล

41. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
• เพลนเท็กซ์ หรือเคลียร์เท็กซ์ (Plaintext/Cleartext) คือ ข่าวสารต้นฉบับ ซึ่งหมายถึง
ข้อความหรือข่าวสารต่างๆ ที่มนุษย์สามารถอ่านได้อย่างเข้าใจ แล้วใครๆ ก็สามารถนา ข่าวสาร
นี้ไปใช้ให้เกิดประโยชน์ได้
• อัลกอริทึมในการเข้ารหัส (Encryption Algorithm) คือ อัลกอริทึมที่ถูกนามาใช้แปลงเพลน
เท็กซ์ ให้อยู่ในรูปแบบข้อมูลที่ได้รับการเข้ารหัส
• ไซเฟอร์เท็กซ์ (Ciphertext) คือ ข่าวสารที่ได้รับการแปลงรูปหรือได้รับการเข้ารหัสเรียบร้อย
แล้ว ทาให้อ่านไม่รู้เรื่อง ดังนั้นเมื่อมีการนาไปเปิดอ่าน ก็จะไม่สามารถอ่านได้อย่างเข้าใจ และ
นาไปใช้ประโยชน์ไม่ได้
• คีย์ (Key) เป็นกุญแจที่ใช้ร่วมกับอัลกอริทึมในการเข้ารหัสเพื่อสร้างไซเฟอร์เท็กซ์ รวมถึง การ
ถอดรหัสจากไซเฟอร์เท็กซ์ กลับมาเป็เพลนเท็กซ์

42. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
 การเข้ารหัสกุญแจสาธารณะ (Public Key Cryptography)
การเข้ารหัสในอดีต มักใช้กุญแจในการเข้ารหัสและถอดรหัสอยู่ในตัวเดียวกัน ซึ่งเราเรียกวิธีนี้
ว่า การเข้ารหัสแบบซิมเมตริก (Symmetric Cryptosystems) โดยจะมีกุญแจเข้ารหัสและถอด
รหัสในดอกเดียวกันทั้งฝั่งส่งและฝั่งรับ ลองคิดดูว่า หากมีผู้หนึ่งผู้ใดสามารถขโมยหรือนากุญแจ
ดอกนี้ไป ก็จะสามารถนาไปใช้ถอดรหัสข้อมูลเราได้ หากเราต้องการส่งข่าวสารที่ถูกเข้ารหัสไปยัง
ผู้รับจานวน 100 คน แต่ละคน ก็จะต้องใช้คีย์ที่แตกต่างกันทั้งหมด 100 คีย์ เพื่อป้องกันการซ้าของ
คีย์ ซึ่งเป็นเรื่องที่ยุ่งยากมากและคงไม่มีใครเขาทากัน โดยเฉพาะการนามาใช้ดาเนินธุรกรรมกับคน
หมู่มาก ดังนั้นจึงมีเทคนิควิธี หนึ่งที่เรียกว่า การเข้ารหัสแบบอะซิมเมตริก (Asymmetric
Cryptosystems) โดยจะมีกุญแจอยู่เพียงสองดอกเท่านั้น กุญแจดอกแรกจะใช้สาหรับเข้ารหัส และ
กุญแจดอกที่สองจะใช้สาหรับถอดรหัสที่สาคัญกุญแจที่ถูกนามาเข้ารหัสจะนามาถอดรหัสไม่ได้ วิธีนี้
มักเรียกอีกชื่อหนึ่งว่า การเข้ารหัส กุญแจสาธารณะ โดยมีหลักการว่า จะมีกุญแจอยู่ 2 ดอก
ด้วยกัน คือ กุญแจสาธารณะ (Public Key) และกุญแจส่วนตัว (Private Key) ซึ่งกุญแจทั้งสองดอก
นี้จะใช้งานควบคู่กันเสมอ โดยกุญแจสาธารณะจะเป็นกุญแจที่เจ้าของสามารถแจกจ่ายไปให้กับ
บุคคลใดๆ ที่ต้องการสื่อสาร หรือทาธุรกรรมร่วมกัน ในขณะที่กุญแจส่วนตัวเจ้าของก็จะเก็บไว้
ส่วนตัวไม่เผยแพร่ให้ใคร

43. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
ตัวอย่างเช่น หากนาย A และนาย B ต้องการส่งข่าวสารถึงกัน โดยทั้งสองต่างก็มีความต้อง
การเข้ารหัสด้วยกุญแจสาธารณะ ดังนั้นทั้งสองจึงจาเป็นต้องมีกุญแจ ซึ่งประกอบด้วย Public Key
และ Private Key เป็นของตนเองดังนั้น
• นาย A จะมี Private Key ไว้ใช้งานส่วนตัวเพื่อถอดรหัส Public Key ของตน และจะจัดเก็บ
เป็นความลับ
• นาย B จะมี Private Key ไว้ใช้งานส่วนตัวเพื่อถอดรหัส Public Key ของตน และจะจัดเก็บ
เป็นความลับ
• นาย A จะส่ง Public Key ให้กับนาย B
• นาย B จะส่ง Public Key ให้กับนาย A
• นาย A ส่งข่าวสารไปยังนาย B ด้วยการเข้ารหัส Public Key ของนาย B
• นาย B ส่งข่าวสารไปยังนาย A ด้วยการเข้ารหัส Public Key ของนาย A

44. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
ครั้นเมื่อมีข่าวสารว่าถึงตัวผู้รับทั้งนาย A และนาย B แต่ละคนก็จะดาเนินการถอดรหัสด้วย
กุญแจส่วนตัวหรือ Private Key ของตน กล่าวคือนาย A และนาย B จะสามารถอ่านข่าวสารที่ส่งมา
ยังตนได้ด้วยการใช้ Private Key ของตัวเอง เพื่อถอดรหัส Public Key ของตน ที่แจกจ่ายให้กับ
ผู้อื่น ดังนั้น Public Key ก็คือ กุญแจสาธารณะที่เจ้าของต้องการ แจกจ่ายให้กับใครก็ได้ที่เกี่ยวข้อง
ใน ขณะที่ Public Key นี้จะไม่สามารถใช้ถอดรหัสได้ ซึ่งจะมีเพียง Private Key จากเจ้าของ Public
Key เท่านั้น ที่จะใช้ถอดรหัสเพื่อเปิดอ่านข้อมูล ดังนั้น Private Key จึงเป็นกุญแจถอดรหัสที่เจ้าของ
ต้องเก็บรักษาไว้ให้ดี
ภาพแสดงการเข้ารหัสกุญแจสาธารณะ โดย A
เป็นฝ่ายส่งข้อมูลไปยัง B ดังนั้น A ต้องนา
ข่าวสารที่ต้องการส่ง มาเข้ารหัสด้วย Public
Key ของ B ครั้นเมื่อ B ได้รับข่าวสาร ก็จะใช้
Private Key ของตนถอดรหัส