1. ความเสี่ยงในการใช้คอมพิวเตอร์
Computer Security Risks
ภาควิชาวิทยาการคอมพิวเตอร์และเทคโนโลยี
คณะวิทยาศาสตร์ มหาวิทยาลัยนเรศวร

2. วัตถุประสงค์
• เพื่อให้เข้าใจถึงความเสี่ยงในรูปแบบต่างๆ ของการใช้คอมพิวเตอร์ และ
อินเทอร์เน็ต พร้อมเรียนรู้วิธีป้ องกันเบื้องต้น
• เพื่อให้สามารถนาความรู้ที่ได้รับไปใช้ในชีวิตประจาวัน การเรียน และ
การทางานได้
• เพื่อให้เข้าใจบทบาทหน้าที่ของตัวเองในด้านการใช้งานคอมพิวเตอร์
และอินเทอร์เน็ต โดยที่ไม่ก้าวก่ายสิทธิของผู้อื่น

3. องค์ประกอบหลักของ Security [1]
• ความลับ (Confidentiality)
– ข้อมูลต้องไม่ถูกเปิดเผยให้แก่บุคคลอื่นที่ไม่มีสิทธิ์
– ข้อมูลที่ต้องการ “ความลับ” อาจเป็น ข้อมูลบัตรเครดิตของคุณเอง เอกสาร
การเงินของหน่วยงาน เป็นต้น
• ความสมบูรณ์ของข้อมูล (Integrity)
– ข้อมูลต้องไม่ถูกเปลี่ยนแปลงหรือแก้ไขให้ต่างไปจากเดิม
– ข้อมูลที่สูญเสีย “ความสมบูรณ์” เช่น ข่าวในหน้าเว็บที่ถูกเปลี่ยนแปลงเพื่อ
สร้างความแตกแยกในสังคม เรื่องราวเล่าต่อกันมาที่ถูกบิดเบือนไปทีละนิด
เป็นต้น

4. องค์ประกอบของ Security [2]
• ความพร้อมในการทางาน (Availability)
– ระบบคอมพิวเตอร์ต้องพร้อมในการทางาน ในการให้บริการอยู่เสมอ
– ตัวอย่างของระบบที่ต้องการ Availability สูง ได้แก่ เว็บ hotmail ที่
ให้บริการทุกวันตลอด 24 ชั่วโมง เป็นต้น

5. องค์ประกอบอื่นๆ ของ Security
• Authenticity – การยืนยันตัวตนของบุคคลหนึ่ง เช่น การเข้าระบบ
ด้วยการใช้ username และ password
• Authority – การยืนยันสิทธิ์ของบุคคลในการกระทาใดๆ
– ต้องยืนยันสิทธิ์ของบุคคลที่ผ่านการตรวจสอบตัวตนมาแล้ว
• Privacy – ความเป็นส่วนตัวของบุคคล
– ข้อมูลส่วนตัวของเราต้องไม่ถูกเปิดเผยแก่สาธาณะ
• Non-Repudiation – ห้ามปฏิเสธการกระทาของตน
– มีกลไกที่จะใช้ยืนยันการกระทาของผู้ใช้ โดยเฉพาะในอินเทอร์เน็ต
– มีประโยชน์ในการทาพาณิชย์อิเล็กทรอนิกส์

6. ทาไมจึงเกิดความเสี่ยง
 คอมพิวเตอร์ในอดีตไม่ได้ถูกออกแบบมากับ Security
 จานวนผู้ใช้เพิ่มขึ้นจากเดิมหลายเท่า
 ประสิทธิภาพการสื่อสารสูงขึ้น = ช่องทางบุกรุกที่เพิ่มขึ้น (และง่ายดายขึ้น)
 ผู้ใช้และผู้บริหารไม่เห็นความสาคัญของ Security
 บุคลากรขาดความรู้ความเข้าใจ และขาดการจัดการเชิงนโยบาย
 ขั้นตอนการจัดการด้าน Security ไม่ดีพอ
 ฯลฯ
 สรุป: ความเสี่ยงไม่ได้เกิดขึ้นในแง่ของ “เทคโนโลยี” เพียงอย่างเดียว แต่ยังเกี่ยวข้องกับ
ทั้ง “ผู้ใช้งาน” และ “ขั้นตอนดาเนินงาน” อีกด้วย
(People, Process, และ Technology)

7. ความเสี่ยงทางกายภาพ (Physical Threats)
• ภัยจากการโจรกรรม เช่น ขโมยอุปกรณ์คอมพิวเตอร์ ขโมยบัตรเครดิต ฯลฯ
• ภัยจากอุบัติเหตุ เช่น ไฟฟ้ าลัดวงจร ไฟฟ้ าขัดข้อง อุปกรณ์ตก น้าหก ฯลฯ
• ภัยธรรมชาติ เช่น น้าท่วม ไฟฟ้ ากระชาก ฟ้ าผ่า ฯลฯ
• การบุกรุกทางกายภาพ  เข้าถึงคอมพิวเตอร์ และทรัพยากรโดยตรง 
กระทบต่อทั้ง Confidentiality, Integrity, และ Availability

8. วิธีป้ องกันความเสี่ยงทางกายภาพ
จะเลือกใช้วิธีใด ก็แล้วแต่ระดับความสาคัญของระบบคอมพิวเตอร์นั้นๆ
• ล็อกตัวเครื่องคอมพิวเตอร์
• แบ่งแยกพื้นที่อย่างชัดเจน เช่น ให้แยกห้องเซิร์ฟเวอร์และมียามคุมหน้าประตู
• ติดตั้งกล้องวงจรปิด
• สารองข้อมูลไว้อย่างสม่าเสมอ
• ใช้ระบบจ่ายไฟฟ้ าสารอง หรือ UPS
• วางแผนระบบกู้คืนข้อมูล
• สาหรับที่น้าท่วมง่าย ให้วางตาแหน่งปลั๊กไฟในที่สูง
• ฯลฯ

9. ความเสี่ยงส่วนบุคคล (Personnel Threats)
• การถูกเดารหัสผ่านเข้าระบบ
• การถูกปลอมตัวเข้ามาในระบบแทน โดยอาจปลอมทางกายภาพ (ใช้
บัตรปลอม เป็นต้น) หรืออาจปลอมทางอิเล็กทรอนิกส์ (log on เข้ามา
เป็นอีกคนหนึ่ง)
• การก็อปปี้ หรือใช้งานซอฟต์แวร์ผิดกฎหมาย
• การถูกลักลอบอ่านข้อความส่วนตัว เช่น อีเมล์ ข้อความเอ็ม เป็นต้น
• การถูกทราบถึงพฤติกรรมการใช้งานคอมพิวเตอร์ที่เป็นส่วนตัว
• การถูกโจมตีโดยเทคนิควิศวกรรมสังคม (Social Engineering)

10. วิธีป้ องกันความเสี่ยงส่วนบุคคล
• ตั้งรหัสผ่านให้ยาว ประกอบไปด้วยตัวอักษรและตัวเลข
• เปลี่ยนรหัสผ่านเป็นระยะ
• เข้ารหัสข้อมูลก่อนนาไปจัดเก็บ หรือจัดส่ง
• ไม่ตั้งให้ระบบจดจารหัสผ่านโดยอัตโนมัติ
• ลบไฟล์ชั่วคราวทิ้งเป็นระยะๆ
– ยกตัวอย่างเช่น ไฟล์ชั่วคราวใน Internet Explorer 8 (ในเมนู Tools -> Internet
Options -> Browsing History -> Settings -> View files) จะเก็บไฟล์รูป สคริปต์
หรือ cookie ของเว็บที่เคยถูกเข้าถึงในอดีต
• จากัดการใช้งาน cookie ในเว็บที่ไม่น่าเชื่อถือ
– cookie ส่วนมากจะเก็บข้อมูลการใช้งานของเว็บหนึ่งๆ ของเราเอาไว้

11. ความเสี่ยงทางข้อมูล และการสื่อสาร (Data Security
and Communication Threats)
• ภัยคุกคามต่อข้อมูล ในด้าน Confidentiality, Integrity, และ Availability
– การดักฟังการสนทนา ข้อความสื่อสาร (Sniffing)
– การแก้ไขข้อมูลโดยไม่ได้รับอนุญาต (Data fraud)
– การจู่โจมที่ทาให้เครื่องคอมพิวเตอร์ทางานล้มเหลว (เช่น flooding)
• ภัยคุกคามต่อซอฟต์แวร์
– Virus, Worm, Trojan Horse, Back Door, และHoax
– ช่องโหว่ของระบบปฏิบัติการ
• ภัยคุกคามในการใช้อินเทอร์เน็ต
– SPAM Mail, Spoofing, DoS

12. Sniffing
เป็นการดักฟังข้อความที่อยู่ในระหว่างการสื่อสาร
วิธีป้ องกัน: เข้ารหัสข้อมูลก่อนส่ง

13. Data Fraud
• ข้อมูลปลอมบางส่วน หรือทั้งหมด
• มีแนวโน้มว่า data fraud จะเพิ่มขึ้นเรื่อยๆ
สรุป: ในยุคที่สื่อดิจิตอลเฟื่องฟู เราต้องระมัดระวังในการรับข้อมูลข่าวสาร
ตัวอย่างที่เห็นได้ชัด:
• สงครามสื่อระหว่างเสื้อแดงกับรัฐบาล (ต่างก็หาว่าอีกฝ่ายเป็น fraud)
• ข้อมูลที่บิดเบือนในเว็บแชร์ลูกโซ่ออนไลน์

14. Availability Attacks
• เป็นการทาให้เครื่องเป้ าหมายให้บริการไม่ได้อีกต่อไป
• Flooding
• DoS (Denial of Service)
• DDoS (Distributed DoS)
• Smurf
• ICMP Attack
• Ping Attack

15. Virus
• Boot Virus
• File Virus
• Macro Virus

16. Virus Prevention & Protection
• ใช้โปรแกรมกาจัดไวรัส
• ติดตั้งโปรแกรมไฟร์วอลล์ (Firewall)
• ติดตั้ง patch อย่างสม่าเสมอ
• ไม่โหลดไฟล์จากอินเทอร์เน็ตสุ่มสี่สุ่มห้า
(หรือไม่ก็เช็คไวรัสก่อนเปิด)
• ปิดการใช้งาน Macro
• สารองข้อมูลสาคัญเผื่อกรณีฉุกเฉิน
• ดูนามสกุลของไฟล์ให้ชัดเจนก่อนคลิก
• ฯลฯ

17. Worm
หนอนจะคืบคลานไปตามอินเทอร์เน็ต
และเจาะเข้าสู่ระบบที่มีช่องโหว่ ป้ องกันโดย
- ติดตั้ง patch และ update ล่าสุด
ของทั้ง OS และซอฟต์แวร์อื่นๆ (เช่น IE)
- ไม่แชร์โฟลเดอร์โดยไม่มีการป้ องกัน
- ติดตั้งโปรแกรมกาจัดไวรัส

18. Trojan Horse
เป็นโปรแกรมที่แฝงตัวมากับโปรแกรมอื่น
ป้ องกันโดย
- ไม่ดาวน์โหลดโปรแกรมจากข้างนอก
มาใช้งาน โดยเฉพาะโปรแกรมที่ไม่ผ่าน
การตรวจสอบของวินโดวส์ (ดูรูปขวาบน)
- ติดตั้งโปรแกรมจาพวก Trojan
Remover / AntiVirus
- อ่านหน้าต่างแสดงคาเตือนของ
วินโดวส์บ้าง ถ้ายังไม่แน่ใจ ให้กด no

19. Backdoor Attack
เป็นทางลับเข้าสู่ระบบ โดยอาจติดมากับโปรแกรมใช้
งาน (รูปข้างล่าง) อาจติดมากับเครื่อง (รูปขวาบน)
หรือถูกสร้างขึ้นเองจากภายใน (รูปขวาล่าง)

20. Hoax & SPAM Mail & Phishing
เมล์ขยะทั้งหลาย!!!
ลองสังเกตชื่อผู้ส่งอีเมล์ของธ.กสิกรไทย
ชื่อผู้ส่งดันมาจาก thaimail..!!!

21. Spoofing
• รูปแบบหนึ่งของการปลอมแปลงข้อความสื่อสาร
• เช่น การปลอม ARP (หรือ ARP Spoofing ซึ่งเป็นเทคนิคที่ถูกใช้ในโปรแกรม
netcut ที่ทาให้เราใช้อินเทอร์เน็ตของหอพักไม่ได้)
• นอกจากนี้ยังมีการปลอมที่อยู่เว็บ (URL Spoofing) การปลอมอีเมล์
แอดเดรส (Email Address Spoofing) เป็นต้น
• ผู้ใช้ต้องมีความระมัดระวังในการรับหรือส่งข้อมูล
• ก่อนจะเชื่อถือข้อมูลในอินเทอร์เน็ต ควรตรวจสอบให้แน่ใจเสียก่อนว่าถูกต้อง
• อ่านหน้าต่างและข้อความภาษาอังกฤษให้เข้าใจก่อนคลิกทุกครั้ง!!!

22. Conclusion
• ติดตั้งโปรแกรมกาจัดไวรัส
• อัพเดตวินโดวส์ และซอฟต์แวร์ต่างๆ อย่างสม่าเสมอ (ใช้ autoupdate)
• ติดตั้งโปรแกรมจากแหล่งที่เชื่อถือได้เท่านั้น
• ตรวจสอบไวรัสก่อนจะนาเอาข้อมูลมาใส่ในฮาร์ดดิสก์
• อ่านทุกอย่างทุกข้อความก่อนกดปุ่มตอบรับ ไม่ว่าจะเป็น yes หรือ no
• สารองข้อมูลสาคัญเก็บไว้อีกที่หนึ่ง
• ตั้งรหัสผ่านให้ยาว และเปลี่ยนรหัสผ่านเรื่อยๆ
• ปิดเครื่อง ปิดบราวเซอร์ หรือปิดโปรแกรมทุกครั้งที่เลิกใช้งาน
• *ระวังเป็นพิเศษเวลาไปใช้คอมพิวเตอร์ตามร้านอินเทอร์เน็ต