More Related Content Similar to 306325 unit8-ec-security Similar to 306325 unit8-ec-security (20) More from pop Jaturong (20) 306325 unit8-ec-security2. 306325 Unit 8 : EC-Security
Contents
1) สถานการณ์ด้านความปลอดภัยของระบบ
E-Commerce ในปัจจุบัน
2) มาตรการระบบรักษาความปลอดภัยของข้องมูล EC
3) ภัยคุกคามความปลอดภัยในระบบ EC
4) การใช้เทคโนโลยีในการป้องกันความปลอดภัยของ
ระบบ E –Commerce : Technology Solutions
2
3. 306325 Unit 8 : EC-Security
GOLDMAN: DATACOMM
FIG. 13-05
ASSET THREAT
VULNERABILITY
RISK
PROTECTIVE MEASURES
Assets, Threats, Vulnerabilities, Risks, and
Protective Measures
ทรัพย์สิน คุกคาม
จุดอ่อน
ความเสี่ยง
ป้องกัน
3
4. 306325 Unit 8 : EC-Security
สถานการณ์ด้านความปลอดภัยของระบบ EC ในปัจจุบัน
จากการสารวจของ CSI : Computer Security Institute ใน
ปี 2006
บริษัทที่ประกอบกิจการ E-Commerce เสียหายรวมกันแล้วมี
มูลค่าถึง 52,494,290 US$
ปัญหาจาก Computer Virus สร้างความเสียหายให้กับระบบ
มากเป็นอันดับ 1 เป็นจานวนเงินถึง 15 ล้าน US$
วิธีการที่ก่อให้เกิดความเสียหายต่อระบบมากที่สุดคือ การส่ง
ไวรัสเข้าโจมตี การขโมยอุปกรณ์ และความเสียหายที่เกิดขึ้น
จากตัวผู้ใช้งานในระบบเอง
4
5. 306325 Unit 8 : EC-Security 5
สถานการณ์ด้านความปลอดภัยของระบบ EC ในปัจจุบัน
6. 306325 Unit 8 : EC-Security 6
สถานการณ์ด้านความปลอดภัยของระบบ EC ในปัจจุบัน
Top Ten Cyber Security Threats
โดย ACIS Professional Center : ศูนย์ฝึกอบรมระบบคอมพิวเตอร์เครือข่ายและความปลอดภัยข้อมูล
1) ภัยจากการถูกขโมยชื่อผู้ใช้และรหัสผ่านในการเข้าใช้งานระบบออนไลน์
ผ่านทางอินเทอร์เน็ต (Username/Password and Identity Theft)
Phishing Attack
Pharming Attack
Vishing หรือ Voice SPAM Attack
Spyware / Keylogger Attack
Remote Access Trojan (RAT) Attack
HOAX/SCAM หรือจดหมายหลอกลวง
Theft of Notebook/PC or Mobile Device
7. 306325 Unit 8 : EC-Security 7
สถานการณ์ด้านความปลอดภัยของระบบ EC ในปัจจุบัน
Top Ten Cyber Security Threats
โดย ACIS Professional Center : ศูนย์ฝึกอบรมระบบคอมพิวเตอร์เครือข่ายและความปลอดภัยข้อมูล
2) ภัยจากการโจมตี Web Server และ Web Application
Popular Web Site Attack
Web 2.0 and Social Network Attack
3) ภัยข้ามระบบ (Cross-platform/Multi-platform Attack)
4) ภัยจากการถูกขโมยข้อมูล หรือ ข้อมูลความลับรั่วไหลออกจากองค์กร
(Data Loss/Leakage and Theft)
5) ภัยจากมัลแวร์และสามเหลี่ยมแห่งความชั่วร้าย (SPAM , VIRUS and
SPYWARE)
8. 306325 Unit 8 : EC-Security 8
สถานการณ์ด้านความปลอดภัยของระบบ EC ในปัจจุบัน
Top Ten Cyber Security Threats
โดย ACIS Professional Center : ศูนย์ฝึกอบรมระบบคอมพิวเตอร์เครือข่ายและความปลอดภัยข้อมูล
6) ภัยจากการใช้โปรแกรมประเภท Peer-to-Peer (P2P) และ Instant
Messaging (IM)
7) ภัยจากแฮกเกอร์มืออาชีพข้ามชาติ (Professional International
Blackhat Attack)
8) ภัยไร้สายจากการใช้งานอุปกรณ์ Mobile และ Wireless (Mobile/Wireless
Attack)
9) ภัยจากการโจมตีด้วยเทคนิค DoS (Denial of Services) หรือ DDoS
(Distributed Denial of Services) Attack
10) ภัยที่เกิดขึ้นจากตัวของเราเอง (Negligence Information Security)
10. 306325 Unit 8 : EC-Security
มาตรการระบบรักษาความปลอดภัยของข้อมูล EC จาเป็นต้องมี
Authentication & Authorization : การระบุตัวบุคคล และ
อานาจหน้าที่
confidentiality : การรักษาความลับของข้อมูล
Integrity : การรักษาความถูกต้องของข้อมูล
Non-repudiation : การป้องกันการปฏิเสธความรับผิดชอบ
Privacy : สิทธิส่วนบุคคล
Availability : to ensure that an e-commerce site
continues to function as intended
Dimensions of E-commerce Security
10
11. 306325 Unit 8 : EC-Security
การระบุตัวบุคคล Authentication
กระบวนการกาหนดลักษณะส่วนบุคคลของผู้ใช้ทั่วไป
แจ้งชื่อผู้ใช้ และรหัสผ่าน
เมื่อผู้ใช้ต้องการเข้าระบบ ให้ระบุชื่อผู้ใช้ และรหัสผ่าน
ถ้าข้อมูลตรงกับแฟ้มของ Server ก็จะได้รับอนุญาตเข้าถึงเว็บ
เพจต่อไปได้
เปรียบเหมือนการแสดงตัวด้วยประจาตัวซึ่งมีรูปติดอยู่ด้วย
หรือ
การล๊อคซึ่งผู้ที่จะเปิดได้จะต้องมีกุญแจเท่านั้น หรือ
บัตรเข้าออกอาคาร, เจ้าหน้าที่รักษาความปลอดภัย
11
12. 306325 Unit 8 : EC-Security
การอนุมัติ – อานาจ (Authorization)
อานาจในการจ่ายเงิน
การอนุมัติวงเงินที่จะเรียกเก็บจากธนาคารที่ออกบัตร
เครดิต
ตรวจสอบวงเงินในบัญชีว่ามีเพียงพอไหม
12
13. 306325 Unit 8 : EC-Security
การรักษาความลับของข้อมูล (Confidentiality)
เช่นการเข้ารหัส, การใช้บาร์โค๊ด, การใส่รหัสลับ
(password), Firewall
การรักษาความลับของข้อมูลที่เก็บไว้ หรือส่งผ่านทาง
เครือข่าย
ป้องกันไม่ให้ผู้อื่นที่ไม่มีสิทธิ์ลักลอบดูได้
เปรียบเหมือนการปิดผนึกซองจดหมาย หรือ
การใช้ซองจดหมายที่ทึบแสง หรือ
การเขียนหมึกที่มองไม่เห็น
13
14. 306325 Unit 8 : EC-Security
การรักษาความถูกต้องของข้อมูล (Integrity)
การป้องกันไม่ให้ข้อมูลถูกแก้ไข
เปรียบเหมือนกับการเขียนด้วยหมึกซึ่งถ้าถูกลบแล้วจะ
ก่อให้เกิดรอยลบ
หรือ การใช้โฮโลแกรมกากับบนบัตรเครดิต
หรือ ลายน้าบนธนบัตร
14
15. 306325 Unit 8 : EC-Security
การป้องกันการปฏิเสธ หรืออ้างความรับผิดชอบ
การป้องกันการปฏิเสธ หรืออ้างความรับผิดชอบ
(Non-repudiation) คือ การป้องกันการปฏิเสธว่าไม่ได้มีการส่ง
หรือรับข้อมูลจากฝ่ายต่าง ๆ ที่เกี่ยวข้อง
การป้องกันการอ้างที่เป็นเท็จว่าได้รับ หรือส่งข้อมูล
เช่นในการขายสินค้า เราต้องมีการแจ้งให้ลูกค้าทราบถึงขอบเขต
ของการรับผิดชอบที่มีต่อสินค้า หรือระหว่างการซื้อขาย โดยระบุ
ไว้บน web
หรือการส่งจดหมายลงทะเบียน
15
16. 306325 Unit 8 : EC-Security
การรักษาสิทธิส่วนตัวของข้อมูลส่วนตัว
เพื่อปกป้องข้อมูลจากการลอบดูโดยผู้ที่ไม่มีสิทธิ์ในการใช้
ข้อมูล
ข้อมูลที่ส่งมาถูกดัดแปลงโดยผู้อื่นก่อนถึงเราหรือไม่
สิทธิส่วนบุคคล (Privacy)
16
18. 306325 Unit 8 : EC-Security
ภัยคุกคามความปลอดภัยในระบบ
ภัยคุกคามความปลอดภัยในระบบ : Security Threats in the E-commerce
Environment
Three key points
of vulnerability :
Client
Server
Communications channel
18
19. 306325 Unit 8 : EC-Security 19
วงจรการทาธุรกรรมในระบบ E-Commerce
21. 306325 Unit 8 : EC-Security
Viruses : ไวรัส คือ โปรแกรมคอมพิวเตอร์ประเภทหนึ่งที่ถูก
ออกแบบมาให้แพร่กระจายตัวเองจากไฟล์หนึ่งไปยังไฟล์อื่นๆ
ภายในเครื่องคอมพิวเตอร์ ไวรัสจะแพร่กระจายตัวเองอย่างรวดเร็ว
ไปยังทุกไฟล์ภายในคอมพิวเตอร์ หรืออาจจะทาให้ไฟล์เอกสารติด
เชื้ออย่างช้าๆ แต่ ไวรัสจะไม่สามารถแพร่กระจายจากเครื่องหนึ่งไป
ยังอีกเครื่องหนึ่งได้ด้วยตัวมันเอง โดยทั่วไปเกิดจากการที่ผู้ใช้เป็น
พาหะ นาไวรัสจากเครื่องหนึ่งไปยังอีกเครื่องหนึ่ง
Worms : หนอนอินเตอร์เน็ต เป็นโปรแกรมคอมพิวเตอร์ชนิดหนึ่ง
ที่สามารถก๊อบปี๊ตัวเองจากเครื่องหนึ่งไปยังอีกเครื่องหนึ่งได้โดย
อัตโนมัติผ่านทางเครือข่ายเน็ตเวิร์คหรือว่าอินเทอร์เน็ต ซึ่งทาให้เวิร์
มสามารถขยายพันธุ์และเคลื่อนย้ายตัวเองไปยังเครื่องอื่นๆ บน
เน็ตเวิร์คได้ไม่ยาก
21
22. 306325 Unit 8 : EC-Security
Malicious Code
Trojan Horse : เป็นโปรแกรมที่มีหน้าที่ทาลายล้างโดยตรง โดย
อาศัยผู้ใช้เองเป็นผู้เรียกขึ้นมาทางาน ถูกส่งต่อทางอีเมล์ โดยอ้างตัว
ว่าเป็นเครื่องมือต่างๆ นานา เช่น Navidad เป็นต้น หรือล่าสุดที่พบ
(ที่รับมีเมล์บ็อกซ์) อ้างว่าเป็นโปรแกรมสาหรับช่วยงานเพาวเวอร์พอ
ยนต์ เป็นไดร์เวอร์ IDE ใหม่ที่จะทาให้เครื่องทางานเร็วขึ้น หากใคร
เปิดไฟล์ที่รับขึ้นมา ก็มักจะใช้งานเครื่องคอมพิวเตอร์ไม่ได้อีกเลย
Bad applets (malicious mobile code): โปรแกรมประเภท
Java applets หรือ ActiveX controls ซึ่งถูกดาวน์โหลดมายังครื่
องผู้ใช้งาน หลังจากนั้นโปรแกรมจะทางานเมื่อเชื่อมต่อเข้าสู่อิน
เทอร์เนต
22
24. 306325 Unit 8 : EC-Security
Hacking and Cybervandalism
Hacker : คนที่ลักลอบ หรือโจมตีระบบเพื่อให้ได้สิทธิ์ในการเข้า
ไปยังเครือข่ายหรือระบบคอมพิวเตอร์นั้นๆ
Cracker : คล้ายกับ hacker เพียงแต่ว่า Cracker เมื่อเข้าไปสู่
ระบบได้แล้วมีจุดมุ่งหมายในการกระทาการอาชญากรรมต่อระบบ
Cybervandalism : คนที่โจมตีระบบ โดยมีจุดมุ่งหมายเพื่อ
ก่อกวน และทาลายเว็บไซต์
ประเภทของ Hackers :
White hats – สมาชิกของ “tiger teams” ซึ่งทางานภายใต้การดูแลของ corporate
security departments โดยมีจุดมุ่งหมายเพื่อทดสอบและหาช่องโหว่ของระบบตนเอง
Black hats – เจาะระบบโดยมีเป้าหมายทางอาชญากรรม
Grey hats – กึ่งกลางระหว่าง White กับ Black
24
25. 306325 Unit 8 : EC-Security
การคุกคาม-การบุกรุก
วิธีการ
การเข้ามาทาลายเปลี่ยนแปลง
หรือขโมยข้อมูล
ปลอมตัวเข้ามาใช้ระบบและทา
รายการปลอม
การเข้าถึงระบบเครือข่ายของผู้ไม่
มีสิทธิ์
แก้ปัญหาโดย
การเข้ารหัสข้อมูล
ลายเซ็นดิจิตอล
Firewall
25
26. 306325 Unit 8 : EC-Security
Spoofing : การปลอมตัว เช่น E-mail Spoofing : e-mail ที่ถูกส่งเข้า
มาในระบบโดยที่ชื่อต้นทางของ e-mail ที่ปรากฏกับต้นทางของ e-mail ที่
ใช้ส่งจริงไม่ตรงกัน จุดมุ่งหมายของ e-mail spoofing คือการลวงให้ผู้
ได้รับเข้าใจผิด เพื่อให้เกิดความเสียหายแก่ระบบ หรือ ข้อมูลสาคัญ (เช่น
รหัสผ่าน)
Denial of service (DoS) attack
Distributed denial of service (dDoS) attack
Sniffing : คืออุปกรณ์ที่ต่อเข้ากับเครือข่ายคอมพิวเตอร์และคอยดักฟัง
ข้อมูลในเครือข่ายและโปรแกรม “sniffer” เป็นโปรแกรมที่จะคอยดักฟัง
การสนทนากันของเครือข่าย แต่จะเห็นการสนทนากันนั้นจะเป็นข้อมูลไบ
นารี ดังนั้นโปรแกรมดังกล่าวต้องทาการถอดรหัสของข้อมูลของ
คอมพิวเตอร์ เพื่อจะให้รู้ถึงการสนทนานั้นได้
Insider jobs : single largest financial threat
26
27. 306325 Unit 8 : EC-Security
การใช้เทคโนโลยีในการป้องกันความปลอดภัยของระบบ
E –Commerce : Technology Solutions
Protecting Internet communications
(encryption)
Securing channels of communication (SSL,
S-HTTP, VPNs)
Protecting networks (firewalls)
Protecting servers and clients
27
30. 306325 Unit 8 : EC-Security
การทาให้ข้อมูลที่จะส่งผ่านไปทางเครือข่ายอยู่ในรูปแบบที่ไม่
สามารถอ่านออกได้ ด้วยการเข้ารหัส (Encryption) ทาให้ข้อมูลนั้น
เป็นความลับ
ผู้มีสิทธิ์จริงเท่านั้นจะสามารถอ่านข้อมูลนั้นได้ด้วยการถอดรหัส
(Decryption)
ใช้สมการทางคณิตศาสตร์
ใช้กุญแจซึ่งอยู่ในรูปของพารามิเตอร์ที่กาหนดไว้ (มีความยาวเป็น
บิต โดยยิ่งกุญแจมีความยาวมาก ยิ่งปลอดภัยมากเพราะต้องใช้
เวลานานในการคาดเดากุญแจของผู้คุกคาม)
30
31. 306325 Unit 8 : EC-Security
ประกอบด้วยฝ่ายผู้รับ และฝ่ายผู้ส่ง
ตกลงกฎเกณฑ์เดียวกัน ในการเปลี่ยนข้อความต้นฉบับ
ให้เป็นข้อความอ่านไม่รู้เรื่อง (cipher text)
ใช้สมการ หรือสูตรทางคณิตศาสตร์ที่ซับซ้อน
กฎการเพิ่มค่า 13
แฮชฟังก์ชัน (Hash function)
31
32. 306325 Unit 8 : EC-Security
ส่วนประกอบของการเข้ารหัส
ขั้นตอนการเข้ารหัส
1. ใช้ฟังก์ชั่นการคานวณทางคณิตศาสตร์
2. คีย์ที่ใช้ในการเข้ารหัส หรือ ถอดรหัส
ใช้ชุดตัวเลข หรือ อักขระที่นามาเข้ารหัส มีหน่วยเป็นบิต
(8 บิต = 1 ไบต์ = 1 อักขระ)
เช่น 00000001 = 1
00000010 = 2
32
33. 306325 Unit 8 : EC-Security
สูตร 2n ; n คือ จานวนบิต (อย่างต่า 8 บิต)
28 = 256 คีย์ (2 คูณกัน 8 ครั้ง = 256 ชุดข้อมูล)
2128 = ??? (เป็นคีย์ของโปรโตคอล Set ที่ใช้อยู่ใน
ปัจจุบัน)
ส่วนประกอบของการเข้ารหัส
33
34. 306325 Unit 8 : EC-Security
ระยะเวลาที่ใช้ในการถอดรหัส
ความยาว 40 บิต 8 ปี
ความยาว 128 บิต ล้านล้าน ปี
*****
จานวนบิตมากเท่าไหร่ ความปลอดภัยของข้อมูลยิ่งมากขึ้น
เนื่องจากผู้บุกรุกต้องใช้เวลาเดามากยิ่งขึ้น
34
35. 306325 Unit 8 : EC-Security
ตัวอย่างโปรแกรมการเข้ารหัส โดยใช้กฎ 131
การเข้ารหัสจะทาโดยการเปลี่ยนตัวอักษร จากตาแหน่งเดิมเป็นตัวอักษร
ตาแหน่งที่ 13 ของชุดตัวอักษรนั้น เช่น ZRGRR
A B C D E F G H I J K L M
N O P Q R S T U V W X Y Z
N O P Q R S T U V W X Y Z
A B C D E F G H I J K L M
….
….
เช่น เข้ารหัส I LOVE YOU ----> V YBIR LBH
35
36. 306325 Unit 8 : EC-Security
การเข้ารหัสแบบสมมาตร
การเข้ารหัสแบบสมมาตร (Symmetric encryption) เป็น
การเข้ารหัสที่ผู้รับและผู้ส่งข้อความจะมีคีย์เดียวกันในการรับส่ง
ข้อความ
ข้อดี
มีความรวดเร็วเพราะใช้การคานวณที่น้อยกว่า
สามารถสร้างได้ง่ายโดยใช้ฮาร์ดแวร์
36
37. 306325 Unit 8 : EC-Security
ข้อเสีย
ไม่สามารถตรวจสอบว่าเป็นผู้ส่งข้อความจริง ถ้ามีผู้ปลอม
ตัวเข้ามาส่งข้อความ
ไม่มีหลักฐานที่จะพิสูจน์ได้ว่าผู้ส่งหรือผู้รับกระทารายการ
จริง
การบริหารการจัดการกุญแจทาได้ยากเพราะกุญแจในการ
เข้ารหัส และถอดรหัส เหมือนกัน
การเข้ารหัสแบบสมมาตร
37
38. 306325 Unit 8 : EC-Security
ข้อความเดิม
ก่อนการเข้ารหัส
ข้อความที่เข้ารหัสแล้ว
ข้อความเดิม
หลังถอดรหัส
ข้อความที่เข้ารหัสแล้ว
เข้ารหัสลับ
ถอดรหัสด้วยคีย์ลับเดิม
Internet
38
การเข้ารหัสแบบสมมาตร
39. 306325 Unit 8 : EC-Security
การเข้ารหัสแบบอสมมาตร
การเข้ารหัสแบบอสมมาตร (Asymmetric encryption) ใช้
เทคนิคของการมีคีย์เป็นคู่ๆ
คีย์ส่วนตัว (private key) เป็นคีย์เฉพาะเจ้าของคีย์
ใช้ถอดรหัสและอ่านข้อความ เช่น รหัสลับ (password)
คีย์สาธารณะ (Public key) เป็นคีย์ที่ส่งให้ผู้อื่นใช้
แจกจ่ายให้ผู้ที่ต้องการส่งข้อความถึงเรา เช่น e-mail
ใช้รักษาความลับของข้อความที่เราจัดส่งโดยใช้คีย์สาธารณะของ
ผู้รับในการเข้ารหัส
เป็นการระบุบุคคลผู้เป็นเจ้าของ (Authenticate) เพื่อตรวจสอบว่า
บุคคลที่ส่งข้อความเข้ามานั้นเป็นตัวผู้ส่งเองจริง ๆ
39
40. 306325 Unit 8 : EC-Security
ข้อความเดิม
ก่อนการเข้ารหัส
ข้อความที่เข้ารหัส
แล้ว
(Cipher text)
ข้อความเดิม
หลังการถอดรหัส
ข้อความที่เข้ารหัสแล้ว
(Cipher text)
เข้ารหัสลับ
Public Key
ถอดรหัสด้วยคีย์
Private Key
Internet
40
การเข้ารหัสแบบอสมมาตร
41. 306325 Unit 8 : EC-Security
การเข้ารหัสแบบอสมมาตร
ข้อดี
การบริหารการจัดการกุญแจทาได้ง่ายกว่า เพราะกุญแจในการ
เข้ารหัส และถอดรหัส ต่างกัน
สามารถระบุผู้ใช้โดยการใช้ร่วมกับลายมือชื่ออิเล็กทรอนิกส์
ข้อเสีย
ใช้เวลาในการเข้า และถอดรหัสค่อนข้างนาน เพราะต้องใช้การ
คานวณอย่างมาก
41
42. 306325 Unit 8 : EC-Security
บน web จะใช้กุญแจสาธารณะ และกุญแจส่วนตัว
บราวเซอร์ใช้กุญแจสาธารณะเพื่อเข้ารหัสรายการข้อมูลบน
เครื่องคอมพิวเตอร์ลูกค้า
เว็บเซิร์ฟเวอร์เท่านั้นมีกุญแจส่วนตัว
การเข้ารหัสแบบอสมมาตร
42
43. 306325 Unit 8 : EC-Security
ลายมือชื่ออิเล็กทรอนิกส์
ลายมือชื่ออิเล็กทรอนิกส์ (Electronic Signature)หมายถึง
อักขระ ตัวเลข เสียง หรือสัญลักษณ์อื่นใด ที่สร้างขึ้นโดยวิธีทาง
อิเล็กทรอนิกส์
วิธีการ นามาประกอบกับข้อมูลอิเล็กทรอนิกส์ เพื่อแสดง
ความสัมพันธ์ ระหว่างบุคคลกับข้อมูลอิเล็กทรอนิกส์
วัตถุประสงค์
เพื่อระบุตัวบุคคลผู้เป็นเจ้าของ (Authentication)
เพื่อแสดงว่าบุคคลยอมรับและผูกพันกับข้อมูลอิเล็กทรอนิกส์ หรือเพื่อ
ป้องกันการปฏิเสธความรับผิดชอบ (Non-Repudiation)
43
44. 306325 Unit 8 : EC-Security
USA
ลายมือชื่ออิเล็กทรอนิกส์
Thai
ติดต่อทา
สัญญา
ปัญหา ?
•คู่สัญญาไม่เคยเห็นหน้ากันมาก่อน
•ไม่แน่ใจว่าใช่นาย Tom หรือไม่
•ใครจะเป็นผู้รับผิด หากผิดสัญญา
Tom ลาใย
มั่นใจเพราะยืนยันได้ว่าผู้ที
ติดต่อคือใคร
ตรวจสอบได้ว่าสัญญามีการ
เปลี่ยนแปลง มีผู้รับผิดตามสัญญา
44
45. 306325 Unit 8 : EC-Security
ตัวอย่างลายมือชื่ออิเล็กทรอนิกส์
รหัสประจาตัว (ID) , รหัสลับ (Password)
Biometrics
ลายมือชื่อดิจิทัล (Digital Signature)
ใช้ระบบรหัสแบบอสมมาตร (private key & public key)
E-Mail Address
45