การรักษาความปลอดภัยในอีคอมเมิร์ซ

1. ดร.ธีทัต ตรีศิริโชติ
พาณิชย์อิเล็กทรอนิกส์ e-commerce
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)

2. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
วัตถุประสงค์การเรียนรู้ (Learning Objective)
หลังจากได้อ่านและศึกษาจนจบบทนี้แล้วท่านจะสามารถ
1. เข้าใจขอบเขตปัญหาด้านการรักษาความปลอดภัยและการจัดการความเสี่ยง
2. บอกองค์ประกอบของการรักษาความปลอดภัยในคอมพิวเตอร์ก็ได้
3. มีความรู้ความเข้าใจเกี่ยวกับภัยคุกคามความปลอดภัยในด้านต่างๆ บนสภาพแวดล้อมของ
ระบบอีคอมเมิร์ซ
4. สามารถระบุเครื่องมือที่นามาใช้เพื่อสร้างความปลอดภัยให้กับช่องทางการสื่อสาร การปกป้อง
เครือข่ายเครื่องเซิร์ฟเวอร์ และเครื่องลูกข่าย
5. สามารถสร้างแผนการรักษาความปลอดภัยในอีคอมเมิร์ซให้กับองค์กรได้
6. เข้าใจในบทบาทหน้าที่ของหน่วยงานส่งเสริมการรักษาความปลอดภัยในระบบ คอมพิวเตอร์
และรู้จักใช้ประโยชน์ผ่านการเรียนรู้บนเว็บไซต์จากหน่วยงานดังกล่าว ผ่านการแจ้งเตือนและ
เอกสารเผยแพร่ เพื่อนามาใช้เป็นแนวทางในการป้องกัน ความปลอดภัย

3. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.1 ภาพรวมของปัญหาการรักษาความปลอดภัยแบบออนไลน์
ช่วงแรกเริ่มของการใช้งานอินเทอร์เน็ต หนึ่งในหลายๆ สิ่งที่ได้รับความนิยมสูงสุดจาก
เทคโนโลยีนี้ก็คือ จดหมายอิเล็คทรอนิกส์ (Electronic Mail : e-Mail) หรืออีเมลนั่นเอง แม้ว่าอีเมลจะ
ได้รับความนิยมมากก็ตาม แต่ผู้ใช้งานตามภาคธุรกิจส่วนใหญ่ ก็ยังคงมีความกังวลเกี่ยวกับปัญหา
ความปลอดภัยของอีเมลเช่นกัน ตัวอย่างเช่น คู่แข่งขันทางธุรกิจอาจขัดขวางหรือสกัดกั้นข่าวสารที่
ส่งผ่านอีเมลเพื่อประโยชน์ในเชิงแข่งขัน ที่อาจถูกลักลอบเปิดอ่าน ซึ่งผลกระทบในเชิงลบเหล่านี้ ได้
สร้างความกังวลแก่ผู้ใช้งานจริงอย่างมีนัยสาคัญ
ทุกวันนี้อีเมลถูกใช้งานโดยผู้คนทั่วโลกเพื่อติดต่อธุรกรรมใดๆ บนอินเทอร์เน็ต เช่นการ ช้อป
ปิ้งเพื่อซื้อสินค้าออนไลน์ การทาธุรกรรมทางการเงินทั้งหลาย ย่อมทาให้ผู้บริโภคทั้งหลายต่างมี
ความกังวลในเรื่องระบบการรักษาความปลอดภัยทั้งสิ้น

4. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.1.1 คอมพิวเตอร์และการรักษาความปลอดภัย
คอมพิวเตอร์ถูกนามาใช้งานตามภาคธุรกิจมายาวนานกว่า 50 ปีมาแล้ว โดยที่ผ่านมา การ
รักษาความปลอดภัยมักเป็นการควบคุมทางกายภาพมากกว่า ตัวอย่างเช่น ศูนย์คอมพิวเตอร์จะมี
ประตูที่ผู้คนสามารถผ่านได้ต่อเมื่อมีบัตรพร้อมรหัสผ่าน การจ้างพนักงานรักษาความปลอดภัยที่
คอย ตรวจตราและอนุญาตให้คนภายในเข้าออกได้เท่านั้น รวมถึงการติดกล้องวงจรปิด
ปัจจุบันนิยมใช้พีซีคอมพิวเตอร์กันมากขึ้น เนื่องจากมีราคาถูก อีกทั้งยังสามารถประยุกต์ใช้
งานต่างๆ ได้อย่าง หลากหลาย ภายในตัวเครื่องพีซีจะมีหน่วยประมวลผล หน่วยความจาหน่วย
เก็บข้อมูลเป็นของตน และยังสามารถเชื่อมต่อเป็นเครือข่ายแลน รวมถึงเชื่อมต่อไปยังเครือข่าย
ภายนอกอย่างอินเทอร์เน็ต จึงทาให้การใช้ทรัพยากรทางคอมพิวเตอร์ในปัจจุบันเปิดขว้างอย่าง
และด้วยการเปิดขว้างให้คอมพิวเตอร์สามารถเชื่อมต่อเข้ากับเครือข่ายภายนอกมากขึ้นเท่าใด
ย่อมส่งผลต่อช่องโหว่ด้านความปลอดภัยในรูปแบบต่างๆ ที่เราต้องระมัดระวังตัวมากขึ้นเท่านั้น

5. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
เมื่อจานวนประชากรผู้ใช้คอมพิวเตอร์ และวิธีการเข้าถึงทรัพยากรคอมพิวเตอร์ได้เพิ่มขึ้น
อย่างรวดเร็วในปริมาณที่สูงขึ้นอย่างต่อเนื่อง ประกอบกับการเกิดของเทคโนโลยีอินเทอร์เน็ต
จนทาให้มีผู้คนจานวนนับล้าน ได้ใช้คอมพิวเตอร์ส่วนตัวเชื่อมผ่านเครือข่ายที่เชื่อมโยงเข้ากับ
คอมพิวเตอร์ต่างๆ นับล้านเครื่อง ดังนั้นจึงเป็นเรื่องที่ไม่ง่ายเลย ที่จะระบุตัวตนผู้ใช้ทรัพยากร
คอมพิวเตอร์เหล่านั้นว่าเป็นใคร เช่น ผู้ใช้งานอาศัยอยู่ในทวีปเอเชีย ได้เข้าถึงเพื่อใช้ทรัพยากร
คอมพิวเตอร์ที่ตั้งอยู่มลรัฐแคลิฟอร์เนีย ประเทศสหรัฐอเมริกา เป็นต้น ดังนั้นเครื่องมือรักษาความ
ปลอดภัยแบบใหม่ๆ รวมถึงวิวัฒนาการของวิธีการต่างๆ ในปัจจุบันจึงถูกสร้างขึ้นมาเพื่อป้องกัน
คอมพิวเตอร์และสื่อข้อมูลอิเล็กทรอนิกส์ต่างๆ ที่พวกเขาจัดเก็บ ซึ่งถือเป็นทรัพย์สินอันมีค่าอย่าง
ยิ่งการส่งผ่านข้อมูลที่มีคุณค่าอย่างใบเสร็จรับเงินอิเล็คทรอนิกส์, ใบสั่งซื้อ, ข้อมูลการชาระเงิน
และการยืนยันคาสั่งซื้อ มีอัตราเพิ่มสูงขึ้นมากจากการทาธุรกรรมผ่านระบบอีคอมเมิร์ซ จึงต้องการ
ระบบรักษาความปลอดภัยมากขึ้นอีกทั้งยังต้องจัดการกับภัยคุกคามในรูปแบบต่างๆ

6. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.1.2 การรักษาความปลอดภัยในคอมพิวเตอร์และการจัดการความเสี่ยง
การรักษาความปลอดภัยในคอมพิวเตอร์ (Computer Security) เป็นการปกป้อง
ทรัพย์สินจากการเข้าถึงของผู้ที่ไม่ได้รับอนุญาต ที่ลักลอบเข้ามาเพื่อแอบใช้งาน แก้ไข หรือทาลาย
โดยการรักษาความปลอดภัยโดยทั่วไปจะมีอยู่ 2 ประเภทด้วยกันคือ การรักษาความปลอดภัยเชิง
กายภาพและเชิงตรรกะ
การรักษาความปลอดภัยเชิงกายภาพ (Physical Security) เป็นการรักษาความปลอดภัย
โดยใช้อุปกรณ์ป้องกันที่สามารถมองเห็นได้ด้วยสายตา เช่น ประตูร้องเตือน กล้องวงจรปิด
เจ้าหน้าที่ รักษาความปลอดภัย ประตูทนไฟ กลอนล็อคประตู ตู้นิรภัย ห้องใต้ดิน เป็นต้น
การรักษาความปลอดภัยเชิงตรรกะ (Logical Security) เป็นการป้องกันและคุ้มครอง
ทรัพย์สินที่เราไม่สามารถมองเห็นได้ด้วยสายตา ซึ่งเกี่ยวข้องกับการกระทาใดๆ ก็ตามที่ก่อให้เกิด
อันตรายต่อทรัพย์สินทางคอมพิวเตอร์ หรือที่รู้จักกันในนามว่า “ภัยคุกคาม (Treat)”

7. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
องค์กรทั่วไปส่วนใหญ่จะมีมาตรการในการรับมือกับภัยคุกคามทั้งเชิงกายภาพและเชิง
ตรรกะ เพื่อตระหนักถึงการลดหรือจากัดภัยคุกคามเหล่านั้น โดยขอบเขตและค่าใช้จ่ายของ
มาตรการการรับมือกับภัยคุกคามนั้น สามารถเปลี่ยนแปลงได้ตามแต่ละสถานการณ์ และยัง
ขึ้นอยู่กับความสาคัญของทรัพย์สินที่มีความเสี่ยง โดยภัยคุกคามที่มีความเสี่ยงค่อนข้างต่าและ
มักไม่ค่อยเกิดมาตรการในการ รับมืออาจยกเว้นได้หากค่าใช้จ่ายที่นามาป้องกันภัย มีมากเกิน
กว่ามูลค่าทรัพย์สินที่ได้รับการป้องกัน ตัวอย่างเช่น มาตรการการรับมือเพื่อป้องกันระบบ
เครือข่ายคอมพิวเตอร์จากภัยพายุทอร์นาโดในรัฐ โอคลาโฮมา (Oklahoma) ประเทศ
สหรัฐอเมริกาถือว่ามีเหตุยอมรับได้ เนื่องจากสถานที่ดังกล่าวมักเกิดพายุทอร์นาโดเป็นประจา
แต่อย่างไรก็ตาม การวางแผนมาตรการเพื่อรับมือกับภัยพายุทอร์นาโดในรัฐเมนนั้น (Maine) ไม่
จาเป็นต้องทาเหมือนรัฐโอคลาโฮมาอ่ะแต่อย่างใด เพราะพายุทอร์นาโดมีโอกาสเกิดขึ้นน้อยมาก
ในรัฐเมน

8. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
แบบจาลองการจัดการความเสี่ยงที่ได้แสดงให้เห็นถึงการกระทาทั่วไป 4 ข้อที่องค์กรสามารถ
นาไปใช้ ซึ่งขึ้นอยู่กับผลกระทบ (ค่าใช้จ่าย) และโอกาสการเกิดภัยคุกคามทางกายภาพ โดยจาก
รูปดังกล่าว พายุทอร์นาโดในโอคลาโฮมาจะอยู่ในส่วนที่ II (โอกาสการเกิด สูง/ค่าใช้จ่ายสูง)
ในขณะที่พายุทอร์นาโดในรักเมนจะอยู่ในส่วนที่ IV (โอกาสการเกิดต่า/ค่าใช้จ่ายสูง)

9. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
ในทานองเดียวกันกับการนาแบบจาลองการจัดการความเสี่ยงเดียวกันนี้ ไปใช้เพื่อปกป้อง
ทรัพย์สินทางอินเทอร์เน็ตและอีคอมเมิร์ซ ที่มาจากภัยคุกคามทั้งเชิงกายภาพและภัยคุกคามทาง
อิเล็คทรอนิกส์ ตัวอย่างภัยคุกคามทางอิเล็กทรอนิกส์ เช่น การปลอมตัว การลักลอบดักจับข้อมูล
และการโจรกรรม โดยการดักจับข้อมูลจะเกี่ยวข้องกับบุคคลที่ใช้อุปกรณ์ลักลอบดักจากข้อมูลที่
ส่งผ่านบนเครือข่ายอินเตอร์เน็ต และคัดลอกข้อมูลมาใช้ในทางมิชอบ ทั้งนี้ บุคคลที่เขียน
โปรแกรมและจัดการ เทคโนโลยีเพื่อให้ตนสามารถเข้าถึงเครื่องคอมพิวเตอร์และเครือข่ายโดย
มิได้รับอนุญาตเราจะเรียก บุคคลผู้นั้นว่า แครกเกอร์ หรือ แฮกเกอร์
• แครกเกอร์ (Cracker)
เป็นบุคคลที่มีทักษะความรู้ด้านเทคโนโลยี ที่พยายามเข้าถึงคอมพิวเตอร์และระบบเครือข่าย
โดยไม่ได้รับอนุญาต จุดมุ่งหมายของแครกเกอร์ คือ เจตนาที่จะโจรกรรมข้อมูลการทาลายล้างทั้ง
ข้อมูลซอฟต์แวร์ระบบ หรือแม้กระทั่งฮาร์ดแวร์ของระบบ

10. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
• แฮกเกอร์ (Hacker)
ในอดีตคาว่า “แฮกเกอร์” มักถูกนามาเรียกใช้แทนบุคคลที่มีความชื่นชอบในการเขียน
โปรแกรมเป็นชีวิตจิตใจ ด้วยการเขียนโปรแกรมเพื่อนาไปทดลองเจาะระบบตามองค์กรหรือ
หน่วยงานสาคัญต่างๆ เพื่อทดสอบขีดความสามารถของตน โดยเหล่าแฮกเกอร์จะมีความภูมิใจเป็น
อย่างยิ่ง หากพวกเขาสามารถเจาะระบบในองค์กรที่คิดว่ามีระบบป้องกันภัยสูงสุด เพื่อสะท้อนให้
ผู้นาองค์กรดังกล่าว ได้เห็นถึงระบบความปลอดภัยของเขาที่ยังมีช่องโหว่ในบางจุดที่ ทาให้
ภาพลักษณ์ของแฮกเกอร์ถูกใช้ในเชิงบวกเป็นส่วนใหญ่ และด้วยคุณสมบัติดังกล่าว จึงทาให้แฮก
เกอร์มีความแตกต่างจากแครกเกอร์ แต่ในปัจจุบันได้มีการเหมารวมทั้งแค่กเกอร์และแฮ็คเกอร์ล้วน
เป็นบุคคลต้องห้าม เพราะการพยายามเข้าถึงระบบโดยไม่ได้รับการอนุญาตจากเจ้าของ ไม่ว่าจะมี
จุดประสงค์เพื่อความมุ่งร้ายหรือไม่ก็ตาม ล้วนเป็นสิ่งที่ผิดกฎหมายทั้งสิ้น อย่างไรก็ตาม เหล่าแฮก
เกอร์อนุรักษ์นิยมก็ได้รวมตัวกัน เพื่อยกระดับตัวตนว่า มีดีกรีเหนือกว่าเหล่าแครกเกอร์ ในขณะที่
คนในวงการไอทีบางคนได้มีการใช้คาว่า แฮกเกอร์หมวกขาว (White Hat Hacker) กับ แฮกเกอร์
หมวกดา (Black Hat Hacker) เพื่อสื่อให้เห็นถึงความแตกต่างระหว่างแฮกเกอร์ที่ดี (หาช่องโหว่ใน
การเจาะระบบ เพื่อให้องค์กรรับรู้แล้วนาไปปรับปรุงแก้ไข) และไม่ดี (มีเจตนามุ่งร้ายทั้งในเรื่องการ
โจรกรรมและทาลายข้อมูลระบบ)

11. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.1.3 องค์ประกอบของการรักษาความปลอดภัยในคอมพิวเตอร์
การรักษาความปลอดภัยในคอมพิวเตอร์ โดยทั่วไปจะประกอบไปด้วยองค์ประกอบหลักๆ อยู่
3 ประการ ที่ต้องนามาพิจารณาคือ
1. การรักษาความลับ (Secrecy/Confidentiality)
เป็นการปกป้องความลับในข้อมูล โดยรับรองว่าจะมีการเก็บรักษาข้อมูลไว้เป็นความลับ ไม่มี
การเปิดเผยแก่ผู้ที่ไม่ได้รับสิทธิ์รวมถึงประกันความถูกต้องจากแหล่งที่มาของข้อมูล
2. การรักษาความถูกต้อง (Integrity)
เป็นการรับรองว่า ข้อมูลจะต้องไม่ถูกแก้ไขเปลี่ยนแปลงโดยบุคคลใดบุคคลหนึ่ง ในขณะที่มี
การส่งผ่านไปยังผู้รับ ไม่ว่าจะเป็นการกระทาที่เจตนาหรือไม่ก็ตาม
3. การรับประกันในงานบริการ (Availability)
เป็นการรับรองว่าข้อมูลข่าวสารต้องพร้อมที่จะให้บริการในเวลาที่ต้องการใช้งาน เพื่อป้องกัน
การปฎิเสธในความต้องการที่อาจก่อให้เกิดความล่าช้าหรือปฏิเสธงานบริการ ซึ่งรู้จักกันในนามว่า
Denial of Service (DoS)

12. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
การรักษาความลับ จัดเป็นสิ่งที่รู้จักกันดีในองค์ประกอบด้านการรักษาความปลอดภัยใน
คอมพิวเตอร์ เพิ่งสังเกตได้จากรายงานข่าวต่างๆ ที่อย่างน้อยต้องมีเรื่องราวเกี่ยวกับการโจรกรรม
ข้อมูลในภาครัฐ หรือการจารกรรมหมายเลขบัตรเครดิต เพื่อนาไปสั่งซื้อสินค้าออนไลน์บน
อินเทอร์เน็ต ส่วน ภัยคุกคามเกี่ยวกับการรักษาความถูกต้อง มักถูกรายงานผ่านสื่อต่างๆ
ค่อนข้างน้อย ผู้คนส่วนใหญ่จึงมักไม่ค่อยคุ้นเคยกัน ตัวอย่างเช่น อีเมลที่ส่งผ่านอินเทอร์เน็ต ได้ถูก
ลักลอบนาไปแก้ไขเนื้อหาภายใน ก่อนที่จะถูกส่งต่อไปยังปลายทาง โดยชนิดของการละเมิดความ
ถูกต้องในลักษณะนี้เราเรียกกันว่า การโจมตีจากคนกลาง (man-in-the-middle exploit) ซึ่งเนื้อหา
ภายในอีเมลจะได้รับการเปลี่ยนแปลงให้แตกต่างไปจากเดิม ในขณะที่ การรับประกันในงาน
บริการ จะมีอยู่หลายรูปแบบ และเกิดขึ้นค่อนข้างบ่อย เช่น การประวิงเวลาในการส่งข่าวสารหรือ
การทาลายข่าวสารเสีย ซึ่งอาจมีผลกระทบที่ค่อนข้างรุนแรงเลยทีเดียว ตัวอย่างเช่น สมมุติว่า
ข่าวสารได้ถูกส่งผ่านด้วยอีเมลเมื่อเวลา 10.00 น. ไปยังนายหน้าออนไลน์เพื่อซื้อหุ้นของไอบีเอ็มใน
ราคาตลาดจานวน 1,000 หุ้น แต่โบรกเกอร์กลับไม่ได้รับข่าวสารดังกล่าว (เพราะถูกโจมตีทาให้เกิด
ความล่าช้า) จนกระทั่งเวลา 14.30 น. ราคาหุ้นไอบีเอ็มดีดเพิ่มขึ้น 3 เหรียญ ผู้ซื้อก็ต้องสูญเสียเงิน
เพิ่มถึง 3000 เหรียญ เป็นต้น

13. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.1.4 นโยบายการรักษาความปลอดภัยและการบูรณาการ
ทุกๆ องค์กรล้วนมีความกังวลเกี่ยวกับการปกป้องทรัพย์สินอีคอมเมิร์ซ จึงมีการประกาศ
นโยบายรักษาความปลอดภัยในสถานที่ นโยบายความปลอดภัยเป็นถ้อยแถลงที่ถูกเขียนขึ้นมาเพื่อ
อธิบายการปกป้องทรัพย์สิน โดยนโยบายหลักมักมุ่งในเรื่องการรักษาความปลอดภัยเชิงกายภาพ การ
รักษาความปลอดภัยในระบบเครือข่าย การกาหนดสิทธิ์ในการเข้าถึง การป้องกันไวรัส และการกู้คืน
ระบบจากภัยพิบัติ ซึ่งการพัฒนานโยบายการรักษาความปลอดภัยดังกล่าว ควรจัดทาในรูปแบบของ
เอกสารที่ทางบริษัทและเจ้าหน้าที่รักษาความปลอดภัยจะต้องทบทวนและปรับปรุงให้เหมาะสมกับ
สถานการณ์
การป้องกันและรักษาความปลอดภัยที่เกี่ยวข้องกับความมั่นคงของภาครัฐ รวมถึงในเชิงพาณิชย์
นั้น ล้วนมีความคล้ายกันในเรื่องแนวทางในการปกป้องทรัพย์สินจากผู้ที่ไม่ได้รับการอนุญาต ที่เข้ามา
ดัดแปลงหรือทาลาย ในขณะที่ข้อมูลของบริษัท ซึ่งโดยทั่วไปมักจัดอยู่ในประเภท “สาธารณะ” หรือ
“ความลับของบริษัท” ซึ่งนโยบายความปลอดภัยในการรักษาความลับของบริษัทโดยทั่วไป มักระบุด้วย
ถ้อยคาแบบตรงไปตรงมา คือ “ไม่เปิดเผยข้อมูลอันเป็น ความลับของบริษัทให้แก่บุคคลภายนอก”

14. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
ตามองค์กรส่วนใหญ่ เมื่อมีการสร้างนโยบายการรักษาความปลอดภัยขึ้นมาแล้ว มักดาเนิน
งานตามกระบวนทั้ง 5 ขั้นตอน ดังรายละเอียดต่อไปนี้
1. ระบุทรัพย์สินที่ต้องได้รับการปกป้องจากภัยคุกคาม ตัวอย่างเช่น บริษัทที่มีการจัดเก็บข้อมูล
บัตรเครดิตของลูกค้า อาจตัดสินใจว่า ข้อมูลเหล่านี้ควรเป็นทรัพย์สินที่ต้องได้รับการ
คุ้มครอง
2. กาหนดสิทธิ์แต่ละบุคคลในการเข้าถึงระบบ ซึ่งข้อมูลในระบบถือเป็นทรัพย์สินที่ควรได้รับ
การคุ้มครองผ่านการเปิดใช้งานให้เหมาะสมกับบุคคลในแต่ละระดับ กล่าวคือ ผู้ใช้งานจะ
สามารถเข้าถึงข้อมูลระบบได้เฉพาะบางส่วนตามขอบเขตงานของพวกเขาเท่านั้น
3. กาหนดทรัพยากรหรืออุปกรณ์ที่พร้อมใช้งานเพื่อปกป้องทรัพย์สินข้อมูลได้ทันที โดยต้องมี
ความมั่นใจว่า ผู้ที่ต้องการใช้สามารถเข้าถึงอุปกรณ์เหล่านั้นได้จริง เพื่อปกป้องทรัพย์สินได้
อย่างทันท่วงที

15. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
4. นาข้อมูลต่างๆ ที่รวบรวมมาจาก 3 ขั้นตอนแรก มาพัฒนาเป็นนโยบายการรักษาความ
ปลอดภัยขององค์กรด้วยการระบุเป็นลายลักษณ์อักษร
5. เมื่อได้จัดทานโยบายเป็นลายลักษณ์อักษรแล้ว องค์กรต้องดาเนินงานตามพันธะสัญญา
ด้วย การสร้างหรือซื้อซอฟต์แวร์ ฮาร์ดแวร์ และอุปกรณ์ทางกายภาพ เพื่อนามาใช้งานตามแผน
นโยบายรักษาความปลอดภัยที่กาหนดไว้ ตัวอย่างเช่น ถ้านโยบายรักษาความปลอดภัยไม่
อนุญาตให้เข้าถึงข้อมูลลูกค้า (เช่น หมายเลขบัตรเครดิต หรือประวัติการใช้เครดิต) องค์กร
ก็จะต้องสร้างหรือซื้อซอฟต์แวร์ที่รับประกันถึงการรักษาความลับในการรับส่งข้อมูลจาก ต้น
ทางถึงปลายทางให้กับลูกค้าอีคอมเมิร์ซ เป็นต้น

16. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
ความต้องการขั้นต่าด้านการรักษาความปลอดภัยที่ยอมรับได้
สาหรับการดาเนินธุรกิจอีคอมเมิร์ซ

17. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
ความต้องการขั้นต่าด้านการรักษาความปลอดภัยที่ยอมรับได้
สาหรับการดาเนินธุรกิจอีคอมเมิร์ซ

18. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.2 ภัยคุกคามความปลอดภัยภายใต้สภาพแวดล้อม ของระบบอีคอมเมิร์ซ
หากพิจารณาจากมุมมองด้าน
เทคโนโลยีที่เกี่ยวข้องกับความเสี่ยง
เมื่อมีการติดต่อกับระบบอี
คอมเมิร์ซแล้ว จะประกอบด้วยช่อง
โหว่สาคัญๆ อยู่ 3 ประการด้วยกัน
คือ
1. การสื่อสารบนอินเทอร์เน็ต
2. เครื่องเซิร์ฟเวอร์
3. เครื่องฝั่งผู้ใช้

19. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
จากรูปแสดงให้เห็นถึงเหตุการณ์บางอย่างที่ผิดปกติ ที่เกิดขึ้นตามจุดสาคัญต่างๆ จนเป็น
ที่มาของช่องโหว่ที่ก่อให้เกิดภัยคุกคามในระดับเซิร์ฟเวอร์และระดับผู้ใช้ ผ่านช่องทางการสื่อสาร
บนเครือข่ายอินเทอร์เน็ต

20. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.2.1 โปรแกรมประสงค์ร้าย (Malicious Code)
Mailcious Code เป็นโค้ดโปรแกรมอันตรายที่มุ่งประสงค์ร้ายต่อระบบคอมพิวเตอร์ในรูปแบบใด
รูปแบบหนึ่ง ในบางครั้งอาจเรียกอีกชื่อหนึ่งว่า มัลแวร์ (Malware) ซึ่งประกอบด้วย ภัยคุกคาม
หลากหลายรูปแบบด้วยกัน อันได้แก่ ไวรัส เวิร์ม ม้าโทรจัน และบอท โดยที่
• ไวรัส (Virus)
คือโปรแกรมคอมพิวเตอร์ที่มีความสามารถในการคัดลอกตัวเอง และแพร่ขยายไปยังฝ่ายอื่นๆ
ซึ่งคล้ายกับเชื่อไวรัสนั่นเอง สาหรับไวรัสคอมพิวเตอร์อาจส่งผลร้ายต่อระบบ ไม่ว่าจะเป็นการแสดง
ข้อความหรือรูปภาพรบกวนการทางาน การข่มขู่ข้อความให้เรารู้สึกกลัว และกรณีร้ายแรงสุด คือ การ
ทาลายไฟล์ข้อมูล และฟอร์แมตฮาร์ดดิสก์ หรือการทาให้โปรแกรมที่รันอยู่แสดงผลลัพธ์ไม่ถูกต้อง
นอกจากนี้ไวรัสคอมพิวเตอร์ยังมีอยู่หลายประเภทด้วยกัน ดังนี้

21. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
• ไวรัสมาโคร (Marcro Viruses) เป็นไวรัสคอมพิวเตอร์ชนิดหนึ่งที่มีผลต่อโปรแกรมประยุกต์
โดยเฉพาะชุดโปรแกรมไมโครซอฟท์ออฟฟิศ เช่น MS-Word, Excel หรือ PowerPoint โดย
ในขณะที่ผู้ใช้ได้เปิดไฟล์ดังกล่าวที่มีมาโครไวรัสแฝงอยู่ ไวรัสก็จะคัดลอกตัวเองลงในเท็มเพลต
ของโปรแกรมประยุกต์เหล่านั้น ครั้นเมื่อมีการสร้างเอกสารผ่านโปรแกรมประยุกต์ดังกล่าว
เอกสารที่สร้างขึ้นใหม่ก็จะติดเชื่อไวรัสมาโครเช่นกัน ไวรัสมาโครสามารถแพร่กระจายได้ง่าย
ผ่านการแนบไฟล์ที่ส่งไปกับอีเมล อย่างไรก็ตาม ไวรัสมาโครปกติจะไม่ค่อยอันตรายนัก มัก
ก่อกวนหรือสร้างความราคาญมากกว่า เช่น ในขณะที่เราพิมพ์เอกสารอยู่ก็จะเพิ่มข้อความที่ไม่
เกี่ยวข้องลงไป เป็นต้น
• ไวรัสที่เกาะตามแฟ้มข้อมูล (File-Infecting Viruses) เป็นไวรัสที่ติดต่อผ่านเอ็กซีคิวต์ไฟล์
(Executable Files) ที่มีนามสกุลอย่าง .com, .exe, .drv และ .dll เป็นต้น ดังนั้นทุกๆ ครั้ง
ที่เอ็กซีคิวต์ไฟล์ที่ติดเชื่อไวรัสถูกเรียกใช้งาน ไวรัสก็จะถูกกระตุ้นให้ทางานโดยการคัดลอกไป
ยังเอ็กซีคิวต์ไฟล์อื่นๆ สาหรับไวรัสประเภทนี้แพร่ขยายง่ายและรวดเร็วโดยผ่านการถ่ายโอน
ไฟล์ในระบบและการส่งอีเมล

22. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
• เวิร์ม (Worm)
เป็นโปรแกรมที่ถูกเขียนขึ้นเพื่อการชอนไชไปอย่างไม่มีที่สิ้นสุด คล้ายกับตัวหนอนที่ชอนไชอยู่
บนเครือข่าย โดยเวิร์มมีลักษณะการทางานที่สาคัญๆ คือ จะแพร่ขยายจากคอมพิวเตอร์เครื่อง หนึ่ง
ไปยังอีกเครื่องหนึ่ง โดยอาศัยช่องทางของระบบเครือข่าย เช่น เครือข่ายอินเทอร์เน็ต นอกจากนี้
เวิร์มยังสามารถคัดลอกตัวเองและฝากไว้ตามเส้นทางการจราจรบนเครือข่าย ส่งผลให้การจราจรบน
เครือข่ายมีความคับคั่งแบบผิดปกติ การส่งข้อมูลติดขัดและสามารถลงเอยด้วยการทาให้ระบบ
เครือข่ายล่มใช้การไม่ได้ในที่สุด

23. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
• ม้าโทรจัน (Trojan Horse)
เป็นชื่อของม้าไม้ในสงครามประวัติศาสของชาติกรีกโบราณ ที่ได้สร้างม้าไม้ขนาดใหญ่เป็น
เครื่องบรรณาการ เพื่อส่งไปยังค่ายทหารเมืองทรอยที่ขณะนั้นกาลังจะได้ชัยชนะจากศึกสงคราม แต่
ความจริงแล้วม้าไม้ที่ส่งไปนั้น ภายในมีการแบ่งเป็นห้องและมีทหารกรีกจานวนหนึ่งแอบซ่อนอยู่ พอ
ตกกลางคืนทหารกรีกที่ซ่อนอยู่ภายในม้าไม้ได้ออกมาเปิดประตูค่าย เพื่อให้ทหารตนสามารถบุกเข้า
ตีเมืองทรอยจนแพ้พ่ายในที่สุด ดังนั้นโทรจันจึงเป็นโปรแกรมที่มีลักษณะคล้ายๆ กับเรื่องที่เล่ามา
กล่าวคือ เป็นโปรแกรมที่แอบแฝงเข้ามาจากการผูกมิตรเพื่อให้ผู้ใช้ตายใจ แล้วค่อยจองทาลายเมื่อ
ถึงเวลา ตัวอย่างเช่น โทรจันที่แฝงมากับเกมส์ ที่ให้ผู้ใช้สามารถดาวน์โหลดไปเล่นได้ฟรี เมื่อผู้ใช้ตก
เป็นเหยื่อรหัสลับที่แฝงอยู่ภายในโปรแกรมจะถูกกระตุ้นให้ทางาน หากตรงกับเงื่อนไขตามที่
โปรแกรมไว้ เช่น หากผู้ใช้ได้เล่นเกมส์จนเพลิดเพลินครบ 10 วัน หรือหาก วันที่เล่นเกมส์ตรงกับวัน
ศุกร์ที่ 13 โทรจันก็จะทาลายไฟล์ข้อมูลในเครื่องเสียหายทั้งหมด ซึ่งหากผู้ใช้ชะล่าใจ และกว่าจะรู้ว่า
เครื่องคอมพิวเตอร์มีโทรจันแฝงอยู่ คอมพิวเตอร์ก็จะถูกโทรจันจัดการไปเรียบร้อยแล้ว อย่างไรก็
ตาม การทางานของโทรจันจะไม่สามารถแพร่พันธุ์ตัวเองได้เหมือนกับไวรัสคอมพิวเตอร์และเวิร์ม

24. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
• บอท (Bots)
เป็นโปรแกรมที่ถูกสร้างขึ้นเฉพาะกิจเพื่อปฏิบัติงานแบบอัตโนมัติแทนมนุษย์ โดยบอทอาจถูก
สร้างเพื่อนามาใช้กับงานประจา (Routine) ทั่วไปในทางธุรกิจ เช่น การค้นหาข้อมูล การกลั่นกรอง
ข่าวสารสาหรับงานอีคอมเมิร์ซ และกิจกรรมใดๆ ตามเจตจานงของผู้สร้าง ว่าต้องการให้บอททาอะไร
วันไหน เวลาใด ดังนั้นบอทจึงมีทั้งดีและไม่ดี ซึ่งขึ้นอยู่กับผู้สร้างว่าต้องการให้บอทไปทาอะไร มี
จุดประสงค์อะไรเป็นสาคัญ สาหรับบอทที่ถูกสร้างขึ้นเพื่อประสงค์ร้ายนั้น โค้ดโปรแกรมสามารถแอบ
แฝงเข้าไปติดตั้งบนเครื่องคอมพิวเตอร์ของผู้ใช้เมื่อมีการเชื่อมโยงเข้ากับอินเทอร์เน็ต โดยกว่าร้อยละ
90 ของเมล์ขยะ และกว่าร้อยละ 80 ของมัลแวร์นั้น ล้วนถูกดาเนินการโดยบอททั้งสิ้น หรือที่มักเรียกกัน
ว่า บอทเน็ต (Botnets) ซึ่งภายหลังจากโปรแกรมบอทเน็ตถูกติดตั้งบนเครื่องฟังผู้ใช้ บอทก็พร้อม
ตอบสนองต่อคาสั่งภายนอกที่ส่งมาจากผู้โจมตี และคอมพิวเตอร์ของผู้ใช้ก็จะกลายเป็น “ซอมบี้
(Zombie)” ที่คล้ายกับศพเดินได้ซึ่งจะถูกควบคุมโดยบุคคลที่สาม นั่นคือ ผู้สร้างบอทเน็ต (Bot-Herder)
นั่นเอง
โดยส่วนใหญ่บอทเน็ตจะมุ่งประสงค์ร้ายในเรื่องการส่งสแปมเมล, การเข้าเป็นส่วนร่วมในการโจมตีแบบ
DoS, การโจรกรรมข้อมูลในคอมพิวเตอร์และการจัดเก็บข้อมูลการจราจรบน เครือข่ายเพื่อนาไป
วิเคราะห์ภายหลัง ที่สาคัญเครื่องคอมพิวเตอร์ใดๆ ที่ถูกบอทเน็ตแทรกแซงได้แล้วจะถือเป็นส่วนหนึ่ง
ของบอทเน็ต (หนึ่งในสมาชิกของซอมบี้) ไปโดยปริยาย

25. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.2.2 โปรแกรมที่ไม่ต้องการ (Unwanted Programs)
นอกจากโปรแกรมประสงค์ร้ายอย่างมัลแวร์ แล้วสภาพแวดล้อมเกี่ยวกับการรักษาความ
ปลอดภัยในอีคอมเมิร์ซนั้น ยังต้องถูกรุกรานจากโปรแกรมที่ไม่ต้องการอีกมากมาย เช่น แอดแวร์,
สปายแวร์, เบราเซอร์ปาราสิต และโปรแกรมประยุกต์อื่นๆ ที่ติดตั้งเองในคอมพิวเตอร์โดยไม่ได้รับ
ความยินยอมจากเจ้าของเครื่อง ซึ่งนับวันโปรแกรมที่ไม่ต้องการเหล่านี้ยิ่งมีจานวนเพิ่มมากขึ้น และ
ส่วนใหญ่มาจากเครือข่ายสังคมออนไลน์ รวมถึงการที่ผู้ใช้ได้สร้างเนื้อหาบนเว็บ (เช่น การสร้าง
บล็อก) และถูกหลอกให้ดาวน์โหลดโปรแกรมเหล่านั้นมาเก็บไว้ในเครื่อง โดยภายหลังจากโปรแกรม
ที่ไม่ต้อง การถูกติดตั้งลงในเครื่องแล้ว ในการที่จะนาโปรแกรมเหล่านี้ออกไปจากเครื่องเป็นสิ่งที่ทา
ได้ค่อนข้างยุ่งยากทีเดียว
• แอดแวร์ (Adware)
โปรแกรมที่ไม่ต้องการอย่างแอดแวร์ เป็นโปรแกรมที่ทาหน้าที่เรียกโฆษณาป๊ อบอัพมาแสดง
บนหน้าต่างทันทีเมื่อมีการเข้าถึงเว็บไซต์ ซึ่งได้สร้างความราคาญแก่ผู้ใช้มาก แถมยังปิดยากอีก
เพราะปิดแล้วก็จะป๊ อบอัพหน้าต่างใหม่แบบไม่รู้จักจบสิ้น

26. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
• ปาราสิตเบราเซอร์ (Browser Parasites)
คือโปรแกรมที่สามารถเข้าไปติดตามและเปลี่ยนแปลงค่าติดตั้งบนโปรแกรมเบราเซอร์ของผู้ใช้
เช่น การเปลี่ยนหน้าโฮมเพจ หรือส่งข้อมูลเกี่ยวกับเว็บไซต์ที่เข้าชม ไปยังคอมพิวเตอร์ที่ควบคุมอยู่
ระยะไกล อย่างไรก็ตาม ปาราสิตเบราเซอร์ส่วนใหญ่มักเป็นหนึ่งในองค์ประกอบของแอดแวร์ด้วย
ตัวอย่างเช่น นอกจากแอดแวร์ได้ป๊ อบอัปหน้าต่างโฆษณาบนเบราเซอร์ที่ผู้ใช้เปิดค้นหาแล้ว ยังเข้า
ไปปรับเปลี่ยนการตั้งค่าต่างๆ บนโปรแกรมเบราเซอร์ ด้วยการตั้งหน้าโฮมเพจของตนให้เป็นค่า
ปกติแทนของเดิม เป็นต้น
• สปายแวร์ (Spyware)
เป็นโปรแกรมประเภทสายลับ ซึ่งหากได้เข้ามายังเครื่องของผู้ใช้แล้ว จะทาการเป็นสายลับ
ด้วยการสอดแนมและแอบบันทึกข้อมูลที่ผู้ใช้ได้พิมพ์ผ่านแป้นพิมพ์ เพื่อหลวงข้อมูลสาคัญต่างๆ
เช่น รหัสผ่าน และข้อมูลสาคัญอื่นๆ จากนั้นตัวโปรแกรมก็จะส่งข้อมูลเหล่านี้ไปยังผู้สร้างโปรแกรม
สปายแวร์

27. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.2.3 การหลอกลวงและการโจรกรรมสวมรอย (Phishing and Identity Theft)
ฟิชชิ่ง (Phishig) เป็นการหลอกลวงใดๆ ในทุกรูปแบบที่เกี่ยวข้องกับความพยายามในการ
ออนไลน์โดยบุคคลที่สาม เพื่อให้ได้มาซึ่งข้อมูลที่เป็นความลับเพื่อนาไปใช้ประโยชน์ทางการเงิน
สาหรับการโจมตีแบบฟิชชิ่งนั้น ไม่ได้เกี่ยวข้องกับโค้ดโปรแกรมอันตรายแต่อย่างใด เป็นการ
กระทาแบบตรงไปตรงมาด้วยการบิดเบือนความจริง และการฉ้อโกงด้วยเทคนิคที่เรียกว่า
วิศวกรรมทาง สังคม (Social Engineering) ทั้งนี้การโจมตีฟิชชิ่งโดยส่วนใหญ่มักใช้ชื่ออีเมลที่มี
ความน่าเชื่อถือ (เช่น ธนาคาร หรือรัฐบาล) ส่งไปยังเหยื่อต่างๆ ผ่านอีเมล ครั้นผู้ที่ถูกหลอกลวง
เชื่อว่าเป็นเรื่องจริง ก็อาจตกเป็นเหยื่อแก่คนฉ้อโกงเหล่านี้ในที่สุด เช่น การส่งอีเมล์ไปยังผู้ใช้ว่า
ตนได้เป็นหนี้บัตรเคดิต และหลอกให้ไปโอนเงินผ่านตู้ ATM รวมถึงการขอหมายเลขสาคัญบน
บัตรเครดิตเพื่อนาไปใช้ในทางมิชอบ นอกจากนี้แล้วฟิชชิ่งยังได้พัฒนาไปถึงขั้นการเปิดเว็บไซต์
ปลอม เพื่อเลียนแบบเว็บไซต์จริง โดยมีการจดทะเบียนโดเมนจริงๆ และหน้าเว็บก็แลดูเป็น
ทางการน่าเชื่อถือ โดยมักตั้งชื่อคล้ายๆ กับเว็บไซต์ที่มีอยู่จริง ดังนั้นหากลูกค้าที่ตกเป็นเหยื่อได้
หลงกลเข้าไปลงทะเบียน และกรอกข้อมูล สาคัญๆ ลงไปโดยเฉพาะข้อมูลส่วนตัวและข้อมูลทาง
การเงิน ข้อมูลเหล่านี้ก็จะถูกโจรกรรมผ่านการสวมรอยในความเป็นตัวคุณ เพื่อทาธุรกรรมใดๆ
โดยที่ตัวคุณไม่รู้

28. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
เว็บฟิชชิ่งที่เลียนแบบธนาคารออนไลน์ของ Bank of America โดยสังเกตชื่อ URL ที่พยายาม
ตั้งให้ชื่อคล้ายกับ URL ของธนาคารจริง เพื่อหลอกลวงเหยื่อให้หลงกลว่า ตนกาลังติดต่อทา
ธุรกรรมกับธนาคารจริงๆ อยู่

29. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.2.4 การแฮก (Hacking)
ทั้งแฮกเกอร์และแครกเกอร์ ในปัจจุบันใช้แทนความหมายเดียวกันได้ โดยเป็นบุคคลที่ไม่มี
สิทธิ์ในการเข้าถึงระบบ แต่มักใช้วิชาความรู้ที่เชี่ยวชาญเป็นพิเศษในการพยายามหาช่องโหว่หรือ
จุดอ่อนของระบบ เพื่อให้ตนสามารถเข้าควบคุมเว็บไซต์หรือระบบคอมพิวเตอร์ในองค์กร ส่วน
วัตถุประสงค์ของการแฮกนั้นขึ้นอยู่กับบุคคลที่ดาเนินการแฮกเป็นสาคัญ โดยมีความเป็นไปได้ทั้ง
การแฮกเพื่อทดสอบภูมิความรู้ที่มิได้ส่อเจตนาร้าย รวมถึงการแฮกที่มุ่งประสงค์ร้ายต่อระบบเป็น
การเฉพาะ ที่สาคัญระบบสาระสนเทศยุคใหม่ส่วนใหญ่แล้วมักมีการเชื่อมต่อเข้ากับเครือข่าย
อินเทอร์เน็ต ทาให้ง่ายต่อการถูกโจรกรรมโดยเหล่าแฮกเกอร์ แต่อย่างไรก็ตาม เหล่าแฮกเกอร์
อนุรักษ์นิยมก็ได้ พยายามยกระดับตัวตนว่า เป็นเพียงบุคคลที่ใช้วิชาชีพในการหาช่องโหว่เพื่อ
เข้าถึงระบบ ซึ่งแตกต่างจากแครกเกอร์ที่มุ่งทาลายและโจรกรรมข้อมูล แต่ในปัจจุบันทั้งแฮกเกอร์
และแครกเกอร์ล้วนเป็นคาที่ใช้แทนกันได้ เพราะความพยายามในการเข้าถึงระบบโดยมิได้รับ
อนุญาตจากเจ้าของระบบ ไม่ว่าจะมีเจตนามุ่งร้ายหรือไม่ก็ตาม ล้วนเป็นสิ่งผิดกฏหมายทั้งสิ้น ดังนั้น
เว็บไซต์อีคอมเมิร์ซทั้งหลาย จึงจาเป็นต้องมีมาตรการรักษาความปลอดภัยที่น่าเชื่อถือ เพื่อป้องกัน
การแฮกจากเหล่าแฮกเกอร์และแครกเกอร์ด้วย

30. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.2.5 การโจรกรรมและฉ้อโกงบัตรเคดิต
การโจรกรรมข้อมูลบัตรเครดิตจากการทาธุรกรรมอีคอมเมิร์ซผ่านเครือข่ายอินเทอร์เน็ต
จัดเป็นหนึ่งในเหตุการณ์ที่สร้างความวิตกกังวลแก่ผู้บริโภคเป็นอย่างมาก แต่ในความเป็นจริงที่
น่าสนใจก็คือ ความกลัวเหล่านี้ดูเหมือนจะเป็นเหตุการณ์ที่เกิดขึ้นน้อยมาก กล่าวคือ อุบัติการณ์
ของการโจรกรรมข้อมูลบัตรเครดิตจากการซื้อสินค้า ออนไลน์บนเว็บที่เกิดขึ้นจริงๆ นั้น มีอัตรา
การเกิดที่ต่ามากเมื่อเทียบกับสิ่งที่ผู้บริโภคคิด โดยเกิดขึ้น ประมาณ 1.2% ของธุรกรรมทั้งหมดที่
ใช้บัตรเครดิตในการชาระเงินออนไลน์ (แหล่งข้อมูลจาก : Cybersource, 2010)
หากจะว่าไปแล้วรูปแบบการทาธุรกิจแบบดั้งเดิมกลับมีการฉ้อโกงมากกว่าด้วยซ้า สาหรับ
การฉ้อโกงบัตรเครดิตที่เกิดขึ้นโดยส่วนใหญ่ มักเกิดจากผู้ที่เป็นเจ้าของได้ทาบัตรสูญหายเอง หรือ
ถูกโจรกรรมโดยบุคคลอื่น รวมถึงพนักงาน (ลูกจ้าง) ที่ได้โจรกรรมหมายเลขบัตรและข้อมูลสาคัญ
จากลูกค้าไปใช้ เป็นต้น

31. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.2.6 การปลอมแปลง
เหล่าแฮกเกอร์ปกติจะพยายามซ่อมตัวตนที่แท้จริงของพวกเขาเพื่อมิให้ใครรู้ รวมถึงการใช้
เทคนิคอย่าง IP Spoofing เพื่อหลอกระบบเครือข่ายว่า คอมพิวเตอร์ของผู้บุกรุกนั้นมีหมายเลขไอ
พี ที่เชื่อถือได้ ซึ่งพวกเขาได้พยายามบิดเบือนความจริงผ่านการใช้อีเมลปลอม รวมถึงการสวมรอย
แทนคนอื่น สาหรับในเรื่องการปลอมแปลงเว็บไซต์นั้นเราจะเรียกว่า Pharming ซึ่งแฮกเกอร์จะทา
การเปลี่ยนเส้นทาง (Redirecting) การเชื่อมโยงเว็บไปยังอีกอัพเดทหนึ่งซึ่งเป็นเว็บไซต์ไปทางที่ถูก
ปลอมแปลงขึ้นมานั่นเอง ครั้นเมื่อผู้ใช้ตกเป็นเหยื่อ คิดว่าตนได้เข้าไปยังเว็บไซต์ที่ถูกต้อง จึงมีการ
ลงทะเบียนเพื่อกรอกข้อมูลสาคัญต่างๆ ลงไป ไม่ว่าจะเป็นข้อมูลส่วนตัว ข้อมูลทางการเงิน
(โดยเฉพาะหมายเลขบัตรเครดิต) และในที่สุดผู้ใช้รายดังกล่าวก็ได้ตกเป็นเหยื่อแก่เว็บไซต์ปลอม
เหล่านั้นโดยสิ้นเชิง

32. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.2.7 การปฏิเสธการให้บริการ (Denial of Service : DoS)
เป็นรูปแบบการโจมตีระบบ เพื่อให้คอมพิวเตอร์หรือระบบเครือข่ายหยุดตอบสนองการ บริการ
ใดๆ ตัวอย่างเช่น เมื่อเซิร์ฟเวอร์ถูกโจมตีด้วย DoS แล้วหมายความว่าเครื่องเซิร์ฟเวอร์ ดังกล่าวจะ
อยู่ในสภาวะที่ไม่สามารถบริการทรัพยากรใดๆ ได้อีก ครั้นเมื่อเครื่องฝั่งผู้ใช้ (Client) ได้พยายาม
เข้าถึงเพื่อติดต่อกับเซิร์ฟเวอร์ ก็จะถูกขัดขวางและถูกปฏิเสธการบริการไปในที่สุด อย่างไรก็ตาม
การโจมตีแบบ DoS นั้นยังสามารถนาไปประสมประสานกับการโจมตีประเภทอื่นๆ ได้อีก เช่น การ
ส่งเมล์ขยะ และการแพร่ของเวิร์มบนเครือข่ายทาให้ระบบจราจรบนเครือข่ายเต็มไป ด้วยขยะและ
หนอนไวรัสที่ชอนไชอยู่ไปทั่ว ส่งผลต่อการบริการของโฮสต์เซิร์ฟเวอร์อยู่ในระดับต่าลง อย่าง
ต่อเนื่อง
จนไม่สามารถบริการใดๆ ให้แก่ผู้ใช้ได้อีกต่อไป

33. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.2.8 การดักจับข้อมูล (Sniffing)
Sniffer จัดเป็นโปรแกรมชนิดหนึ่งที่ทาหน้าที่คอยติดตามเพื่อดักจับข้อมูลที่ส่งผ่านอยู่บน
เครือข่าย โดยหากนามาใช้งานอย่างถูกวิธีแล้ว เราสามารถนาโปรแกรม Sniffer มาใช้เพื่อช่วยระบุ
ถึงปัญหาของเครือข่ายได้อย่างมีประสิทธิภาพ แต่เมื่อมีการนามาใช้ในทิศทางที่ไม่ถูกต้อง
มันจะสร้างความเสียหายและยากต่อการตรวจจับ โดยแฮกเกอร์สามารถสร้างโปรแกรม Sniffer
เพื่อโจรกรรมทรัพย์สินของเจ้าของรายต่างๆ ที่มาจากที่ใดก็ได้บนเครือข่าย ซึ่งส่วนใหญ่ข้อมูลที่
โจรกรรมนั้นมักเป็นข้อมูลสาคัญ รวมถึงข้อความในอีเมลไฟล์ข้อมูลในบริษัท และรายงานลับต่างๆ
เป็นต้น

34. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.2.9 การโจมตีจากบุคลากรภายใน (Insider Attacks)
โดยส่วนใหญ่หลายคนมักคิดว่า ภัยคุกคามด้านความปลอดภัยที่มีต่อธุรกิจนั้น ล้วนเกิดจาก
ภายนอกองค์กร แต่ในความเป็นจริงแล้ว เรื่องราวใหญ่โตที่เกิดขึ้นจากภัยคุกคามทางการเงินของ
องค์กรภาคธุรกิจมากไม่ได้มาจากการปล้น แต่กลับถูกฉ้อฉลด้วยบุคคลภายในองค์กรเอง
ตัวอย่างเช่น พนักงานธนาคารเป็นผู้โจรกรรมเงินจากบัญชีลูกค้าไป ซึ่งถือเป็นเหตุการณ์ที่เกิดขึ้น
มากกว่าโจรปล้น ธนาคารด้วยซ้า ในทานองเดียวกันสาหรับเว็บไซต์อีคอมเมิร์ซที่งานบริการ
บางอย่างได้หยุดชะงักไป หรือถูกทาลายรวมถึงการใช้อุบายเพื่อให้ได้มาซึ่งข้อมูลบัตรเครดิต และ
ข้อมูลส่วนตัวของลูกค้า ล้วน มาจากพนักงานภายในที่เราไว้เนื้อเชื่อใจ โดยเฉพาะพนักงานที่มี
สิทธ์พิเศษในการเข้าถึงข้อมูลลับได้ ประกอบกับมาตรการการรักษาความปลอดภัยในบางองค์กรที่
ปล่อยปละละเลยจนยุ่งเหยิงและหละหลวม ทาให้พวกเขาสามารถท่องไปทั่วระบบได้ตามอาเภอใจ
โดยไม่มีการทิ้งร่องรอยใดๆ โดยแม้ว่าองค์กรจะลงทุนด้วยเม็ดเงินจานวนมากเพื่อป้องกันภัย
คุกคามจากภายนอกก็ตาม แต่ถ้าบุคลากรภายในของคุณกลับสามารถฉ้อฉลด้วยวิธีพื้นๆ ง่ายๆ ก็
คงต้องกลับมาพิจารณามาตรการป้องกันความปลอดภัยภายในองค์กรเสียใหม่ ไม่ว่าจะเป็นการ
ป้องกันทางกายภาพ และการนาเทคโนโลยี มาใช้เพื่อควบคุมการเข้าถึงก็ตาม

35. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.2.10 การรักษาความปลอดภัยบนแพลตฟอร์มโทรศัพท์มือถือ
(Mobile Platform Security)
ความหลากหลายของอุปกรณ์โทรศัพท์มือถือยังสมาร์ทโฟน เช่น iPhone และ BlackBerry
รวมถึงสมาร์ทโฟนอื่นๆ และเน็ตบุ๊กที่มีประสิทธิภาพในการเข้าถึงอินเทอร์เน็ต สาหรับผู้ใช้
โทรศัพท์มือถือเพื่อการเข้าถึงอินเทอร์เน็ต โดยส่วนใหญ่มักมีการบันทึกข้อมูลส่วนตัว และข้อมูล
ทางการเงินต่างๆ ที่ตนต้องดาเนินธุรกรรมเป็นประจาทุกวัน ดังนั้นกลุ่มคนเหล่านี้จึงเป็นเป้าหมาย
สาคัญของเหล่า แฮกเกอร์ที่ได้เพ่งเล็งเป็นพิเศษ อย่างไรก็ตาม โทรศัพท์สมาร์ทโฟนที่มี
ความสามารถในการเข้าถึงอินเทอร์เน็ท ต้องเผชิญกับความเสี่ยงเช่นเดียวกันกับอุปกรณ์เครือข่าย
อื่นๆ ที่มีความสามารถในการ เชื่อมต่ออินเทอร์เน็ตแบบไร้สาย อีกทั้งยังรวมถึงความเสี่ยงใน
รูปแบบใหม่ๆ ที่คอยคุกคามกลุ่มผู้ใช้เหล่านี้ ในขณะที่กลุ่มผู้ใช้ใช้พีซีคอมพิวเตอร์โดยส่วนใหญ่
มักมีความระมัดระวังในเรื่องการถูกแฮกและมัลแวร์

36. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
• การโจมตีแบบวิชชิ่ง (Vishing Attacks)
เป็นปฏิบัติการโดยใช้หลักวิศวกรรมทางสังคมด้วยการเข้าถึงกลุ่มเป้าหมายคือ ผู้ใช้โทรศัพท์
มือถือผ่านข้อความที่เรียกร้องให้เกิดความรู้สึกเห็นอกเห็นใจน่าสงสาร แล้วลงท้ายด้วยการขอเงิน
บริจาค เช่น การโอนเงินบริจาคให้แก่เด็กหิวโหยในประเทศเฮติ ซึ่งท้ายสุดเงินบริจาคที่ผู้เห็นอกเห็นใจ
ได้โอนมาด้วยความสงสารนั้น ก็จะถูกโอนเข้าไปยังบัญชีของนักหลอกลวง
• การโจมตีแบบสมิชชิ่ง (Smishing)
เป็นปฏิบัติการโดยใช้วิธีการส่งข้อความ SMS ไปยังผู้ใช้ ซึ่งข้อความดังกล่าวอาจมีการบรรจุ
อีเมลแอดเดรสและที่อยู่ของเว็บไซต์ไปด้วย ดังนั้นหากผู้ใช้ที่รู้เท่าไม่ถึงการณ์ได้เปิดเมลดังกล่าว หรือ
คลิกเข้าไปยังเว็บไซต์เหล่านั้น โทรศัพท์ของผู้ใช้ก็จะติดมัลแวร์มาด้วย ในขณะที่แอพพลิเคชั่นบน
โทรศัพท์มือถือจาก iTunes รวมถึงเว็บไซต์ที่เป็นแหล่งรวมโปรแกรมบนโทรศัพท์มือถือ (App Stores)
อื่นๆ ที่เปิดให้ดาวน์โหลดก็อาจมีมัลแวร์แฝงมาด้วยก็ได้ แต่ก็มีค่อนข้างน้อย

37. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.3 เทคโนโลยีการรักษาความปลอดภัย
จากรายละเอียดที่ผ่านมา ได้มีการเรียนรู้ถึงภัยคุกคามด้านความปลอดภัยที่มีต่อสภาพ
แวดล้อมในธุรกิจอีคอมเมิร์ซแล้ว จะพบว่าภัยคุกคามเหล่านี้อาจมีอานาจร้ายแรงถึงขั้นทาลายล้าง
ไม่ว่าจะเป็นการมุ่งทาลายล้างในระดับรายบุคคล องค์กร หรือระดับชาติ ซึ่งส่งผลต่อความสูญเสียใน
ภาพรวมของเศรษฐกิจภายในประเทศ รวมถึงระหว่างประเทศที่มีการค้าขายผ่านระบบอีคอมเมิร์ซ
ทั้งนี้ระดับของภัยคุกคามจะเข้มข้นมากขึ้นไปพร้อมๆ กับอัตราการเติบโตของอีคอมเมิร์ซ แต่ใน
ความ เป็นจริงแล้ว ความก้าวหน้าทางเทคโนโลยีที่รุดหน้าไปมากนั้น ล้วนมาจากธุรกิจที่เกี่ยวข้องกับ
การ รักษาความปลอดภัย, บริษัทและผู้ใช้ตามบ้าน, ผู้บริหารเครือข่าย, บริษัททางเทคโนโลยี และ
หน่วย งานภาครัฐ โดยเราจะมีอยู่ 2 เรื่องที่ต้องป้องกันก็คือ การแก้ปัญหาด้านเทคโนโลยี และการ
แก้ปัญหา ด้านนโยบาย สาหรับเนื้อหาในส่วนนี้เราจะกล่าวถึงการแก้ไขปัญหาเทคโนโลยีในบางส่วน
ซึ่งอยู่ใน หัวข้อถัดไป และถัดจากนั้นก็จะกล่าวถึงการแก้ปัญหาด้านนโยบายที่ได้ผล

38. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
ความหลากหลายของภัยคุกคามความปลอดภัยที่มีต่อเว็บไซต์อีคอมเมิร์ซนั้น สามารถป้องกัน
ได้ด้วยชุดเครื่องมือที่เตรียมไว้เพื่อสร้างเป็นเกาะกาบัง ทาให้ยากต่อการบุกรุกโดยบุคคลภายนอก
ที่พยายามเข้ามาโจรกรรมหรือทาลายทรัพย์สิน
เครื่องมือต่างๆ ที่พร้อมรักษาความปลอดภัยให้แก่เว็บไซต์

39. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.3.1 การเข้ารหัสข้อมูล (Encryption)
เนื่องจากข้อมูลการทาธุรกรรมบนอีคอมเมิร์ซ จะต้องถูกส่งผ่านเครือข่ายสาธารณะอย่าง
อินเทอร์เน็ต ดังนั้นเพื่อป้องกันข่าวสารเหล่านี้ ไม่ให้ถูกลักลอบหรือถูกดักจับข้อมูลจากผู้ไม่หวังดี
เพื่อนาไปใช้โดยมิชอบ จึงจาเป็นต้องนาเทคโนโลยีการเข้ารหัสมาใช้ ซึ่งหากข้อมูลข่าวสารที่ได้รับ
การเข้ารหัสถูกโจรกรรมไป ผู้โจรกรรมก็ไม่สามารถเปิดอ่านได้อย่างเข้าใจ เว้นแต่จะได้รับกุญแจ
ถอดรหัส
ทุกๆ ครั้งที่มีการถ่ายโอนข้อมูลจากจุดหนึ่งไปยังจุดอื่นๆ บนเครือข่ายคอมพิวเตอร์ โดย
เฉพาะเครือข่ายอินเทอร์เน็ต ต้องคานึงถึงความมั่นใจในด้านความปลอดภัยของข้อมูล ที่จะต้องเดิน
ทางไปยังกลุ่มเครือข่ายต่างๆ มากมาย ซึ่งความปลอดภัยในที่นี้ได้ครอบคลุมความหมายอยู่ 2
ประเภทด้วยกัน คือ
1. ในระหว่างการส่งข้อมูล จะต้องไม่มีใครคนใดที่จะสามารถเข้าไปลักลอบหรือสกัดกั้นข้อมูล เพื่อ
คัดลอกข้อมูลไปใช้งานได้
2. ในระหว่างการส่งข้อมูล จะต้องไม่มีใครคนใดที่สามารถเข้าไปเพิ่มเติมหรือเปลี่ยนแปลงข้อมูล
ต้นฉบับ ให้ผิดเพี้ยนไปจากเดิม

40. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
 วิทยาการรหัสลับ (Crygraphy)
เป็นศาสตร์ที่เกี่ยวข้องกับเทคนิคต่างๆ ที่นามาใช้เพื่อการเข้ารหัสและถอดรหัสข้อมูล พิจารณา
จากรูปที่แสดงถึงขั้นตอนการเข้ารหัสข้อมูล โดยมีแนวคิดพื้นฐานว่า จะจัดการกับข้อมูลข่าวสาร
อย่างไร เพื่อให้อ่านไม่ออกหรืออ่านไม่รู้เรื่อง ทาให้ผู้ที่ได้ข่าวสารไปไม่สามารถนาไปใช้ก่อเกิด
ประโยชน์ใดๆ ได้ อย่างไรก็ตาม ก่อนที่จะเรียนรู้เรื่องราวเหล่านี้ จาเป็นต้องทาความเข้าใจเกี่ยวกับ
คาศัพท์พื้นฐานที่เกี่ยวข้องก่อน อันได้แก่
ขั้นตอนการเข้ารหัสข้อมูล

41. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
• เพลนเท็กซ์ หรือเคลียร์เท็กซ์ (Plaintext/Cleartext) คือ ข่าวสารต้นฉบับ ซึ่งหมายถึง
ข้อความหรือข่าวสารต่างๆ ที่มนุษย์สามารถอ่านได้อย่างเข้าใจ แล้วใครๆ ก็สามารถนา ข่าวสาร
นี้ไปใช้ให้เกิดประโยชน์ได้
• อัลกอริทึมในการเข้ารหัส (Encryption Algorithm) คือ อัลกอริทึมที่ถูกนามาใช้แปลงเพลน
เท็กซ์ ให้อยู่ในรูปแบบข้อมูลที่ได้รับการเข้ารหัส
• ไซเฟอร์เท็กซ์ (Ciphertext) คือ ข่าวสารที่ได้รับการแปลงรูปหรือได้รับการเข้ารหัสเรียบร้อย
แล้ว ทาให้อ่านไม่รู้เรื่อง ดังนั้นเมื่อมีการนาไปเปิดอ่าน ก็จะไม่สามารถอ่านได้อย่างเข้าใจ และ
นาไปใช้ประโยชน์ไม่ได้
• คีย์ (Key) เป็นกุญแจที่ใช้ร่วมกับอัลกอริทึมในการเข้ารหัสเพื่อสร้างไซเฟอร์เท็กซ์ รวมถึง การ
ถอดรหัสจากไซเฟอร์เท็กซ์ กลับมาเป็เพลนเท็กซ์

42. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
 การเข้ารหัสกุญแจสาธารณะ (Public Key Cryptography)
การเข้ารหัสในอดีต มักใช้กุญแจในการเข้ารหัสและถอดรหัสอยู่ในตัวเดียวกัน ซึ่งเราเรียกวิธีนี้
ว่า การเข้ารหัสแบบซิมเมตริก (Symmetric Cryptosystems) โดยจะมีกุญแจเข้ารหัสและถอด
รหัสในดอกเดียวกันทั้งฝั่งส่งและฝั่งรับ ลองคิดดูว่า หากมีผู้หนึ่งผู้ใดสามารถขโมยหรือนากุญแจ
ดอกนี้ไป ก็จะสามารถนาไปใช้ถอดรหัสข้อมูลเราได้ หากเราต้องการส่งข่าวสารที่ถูกเข้ารหัสไปยัง
ผู้รับจานวน 100 คน แต่ละคน ก็จะต้องใช้คีย์ที่แตกต่างกันทั้งหมด 100 คีย์ เพื่อป้องกันการซ้าของ
คีย์ ซึ่งเป็นเรื่องที่ยุ่งยากมากและคงไม่มีใครเขาทากัน โดยเฉพาะการนามาใช้ดาเนินธุรกรรมกับคน
หมู่มาก ดังนั้นจึงมีเทคนิควิธี หนึ่งที่เรียกว่า การเข้ารหัสแบบอะซิมเมตริก (Asymmetric
Cryptosystems) โดยจะมีกุญแจอยู่เพียงสองดอกเท่านั้น กุญแจดอกแรกจะใช้สาหรับเข้ารหัส และ
กุญแจดอกที่สองจะใช้สาหรับถอดรหัสที่สาคัญกุญแจที่ถูกนามาเข้ารหัสจะนามาถอดรหัสไม่ได้ วิธีนี้
มักเรียกอีกชื่อหนึ่งว่า การเข้ารหัส กุญแจสาธารณะ โดยมีหลักการว่า จะมีกุญแจอยู่ 2 ดอก
ด้วยกัน คือ กุญแจสาธารณะ (Public Key) และกุญแจส่วนตัว (Private Key) ซึ่งกุญแจทั้งสองดอก
นี้จะใช้งานควบคู่กันเสมอ โดยกุญแจสาธารณะจะเป็นกุญแจที่เจ้าของสามารถแจกจ่ายไปให้กับ
บุคคลใดๆ ที่ต้องการสื่อสาร หรือทาธุรกรรมร่วมกัน ในขณะที่กุญแจส่วนตัวเจ้าของก็จะเก็บไว้
ส่วนตัวไม่เผยแพร่ให้ใคร

43. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
ตัวอย่างเช่น หากนาย A และนาย B ต้องการส่งข่าวสารถึงกัน โดยทั้งสองต่างก็มีความต้อง
การเข้ารหัสด้วยกุญแจสาธารณะ ดังนั้นทั้งสองจึงจาเป็นต้องมีกุญแจ ซึ่งประกอบด้วย Public Key
และ Private Key เป็นของตนเองดังนั้น
• นาย A จะมี Private Key ไว้ใช้งานส่วนตัวเพื่อถอดรหัส Public Key ของตน และจะจัดเก็บ
เป็นความลับ
• นาย B จะมี Private Key ไว้ใช้งานส่วนตัวเพื่อถอดรหัส Public Key ของตน และจะจัดเก็บ
เป็นความลับ
• นาย A จะส่ง Public Key ให้กับนาย B
• นาย B จะส่ง Public Key ให้กับนาย A
• นาย A ส่งข่าวสารไปยังนาย B ด้วยการเข้ารหัส Public Key ของนาย B
• นาย B ส่งข่าวสารไปยังนาย A ด้วยการเข้ารหัส Public Key ของนาย A

44. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
ครั้นเมื่อมีข่าวสารว่าถึงตัวผู้รับทั้งนาย A และนาย B แต่ละคนก็จะดาเนินการถอดรหัสด้วย
กุญแจส่วนตัวหรือ Private Key ของตน กล่าวคือนาย A และนาย B จะสามารถอ่านข่าวสารที่ส่งมา
ยังตนได้ด้วยการใช้ Private Key ของตัวเอง เพื่อถอดรหัส Public Key ของตน ที่แจกจ่ายให้กับ
ผู้อื่น ดังนั้น Public Key ก็คือ กุญแจสาธารณะที่เจ้าของต้องการ แจกจ่ายให้กับใครก็ได้ที่เกี่ยวข้อง
ใน ขณะที่ Public Key นี้จะไม่สามารถใช้ถอดรหัสได้ ซึ่งจะมีเพียง Private Key จากเจ้าของ Public
Key เท่านั้น ที่จะใช้ถอดรหัสเพื่อเปิดอ่านข้อมูล ดังนั้น Private Key จึงเป็นกุญแจถอดรหัสที่เจ้าของ
ต้องเก็บรักษาไว้ให้ดี
ภาพแสดงการเข้ารหัสกุญแจสาธารณะ โดย A
เป็นฝ่ายส่งข้อมูลไปยัง B ดังนั้น A ต้องนา
ข่าวสารที่ต้องการส่ง มาเข้ารหัสด้วย Public
Key ของ B ครั้นเมื่อ B ได้รับข่าวสาร ก็จะใช้
Private Key ของตนถอดรหัส

45. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
ความสัมพันธ์ระหว่าง Public Key และ Private Key

46. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
 ลายเซ็นดิจิตอล (Digital Signatures)
ปัญหาประการหนึ่งจากการใช้เทคนิคการเข้ารหัสด้วยกุญแจสาธารณะนั้นก็คือ จะรับประกัน
ได้อย่างไรว่า จดหมายที่ได้รับมานั้นจะมาจากผู้ส่งรายนั้นจริงๆ เนื่องจากเจ้าของกุญแจได้มีการส่ง
Public Key ให้กับบุคคลทั่วไปที่ต้องการติดต่อ ดังนั้นจดหมายอิเล็คทรอนิกส์หรืออีเมลที่ส่งมา
อาจมีการปลอมแปลงลายเซ็นว่ามาจากผู้นั้น ผู้นี้ ก็เป็นได้ ลองพิจารณาจากรูปที่ 8.10 จะพบว่า
ทางธนาคารได้มีการแจกจ่าย Public Key ไปยังลูกค้ารายต่างๆ มากมายที่ต้องการติดต่อกับ
ธนาคาร โดยลูกค้าแต่ละรายที่ทาธุรกรรมกับธนาคารจะใช้ Public Key ที่ธนาคารแจกจ่ายให้
เหมือนกันทั้งหมด ตัวอย่างเช่น นาย A ซึ่งเป็นลูกค้าของธนาคารได้ถอนเงินจากบัญชีของตนเพื่อ
โอนไปยังบัญชีอื่น ครั้นเมื่อธนาคารได้รับเมล์จากนาย A แล้ว จะพิสูจน์ได้อย่างไรว่า เมลนี้เป็นของ
นาย A จริงๆ เนื่องจากอาจถูกใครคนอื่นสวมรอยใช้ Public Key เดียวกันนี้ ปลอมแปลงเป็นนาย
A ก็เป็นได้ และด้วยเหตุการณ์ดังกล่าว จึงจาเป็นต้องมีลายเซ็นดิจิตอลกากับไว้ เพื่อใช้ระบุตัวตน
ว่าอีเมลนี้ส่งรายจากผู้ส่งรายนั้นจริงๆ ซึ่งถือเป็นการป้องกันความปลอดภัยที่สูงขึ้นอีกชั้นหนึ่ง

47. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
ธนาคารได้แจกจ่าย Public Key ให้กับลูกค้าทั่วไปที่ต้องการติดต่อกับทางธนาคาร แล้วธนาคาร
จะทราบได้อย่างไรว่า ลูกค้าที่เข้ามาติดต่อจะเป็นลูกค้ารายนั้นจริงๆ หรือถูกสวมรอยมา

48. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
การใช้เทคโนโลยีลายเซ็นดิจิตอลเพื่อเซ็นกากับข่าวสารที่มากับอีเมลนั้น กาลังเป็นที่นิยมมาก
สาหรับการดาเนินธุรกิจบนเว็บ เช่น อีคอมเมิร์ซ โดยเฉพาะการโอนเงินผ่านเว็บ ซึ่งจาเป็นต้องมี
ระบบความปลอดภัยที่เชื่อถือได้ เทคโนโลยีลายเซ็นดิจิตอลจะใช้เทคนิคการเข้ารหัสกุญแจ
สาธารณะเช่นเดียวกัน แต่จะใช้ในทิศทางแบบกลับการ กล่าวคือ นาย A ซึ่งเป็นฝ่ายส่งข้อมูลไปยัง
ธนาคาร นอกจากจะเข้ารหัสข่าวสารในอีเมลด้วย Public Key ของธนาคารแล้ว ยังมีการเข้ารหัส
ลายเซ็นดิจิตอลด้วย Private Key ของตน เพื่อเซ็นรับรองข่าวสารนี้ว่ามาจากตนจริงๆ ครั้นเมื่อ
ธนาคารได้รับเมลจากนาย A แล้ว ก็จะใช้ Private Key ของธนาคาร เพื่อถอดรหัสข่าวสารที่ได้
เข้ารหัสให้เป็นเพลนเท็กซ์ จากนั้นก็จะใช้ Public Key ที่ส่งมาจากนาย A ทาการถอดรหัสลายเซ็น
ดิจิตอล เพื่อตรวจสอบยืนยันว่าเมลฉบับนี้ส่งมาจากนาย A จริงหรือไม่

49. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.3.2 การรักษาความปลอดภัยด้านช่องทางการสื่อสาร
แนวคิดของการเข้ารหัสกุญแจสาธารณะนั้น มักถูกนามาใช้เป็นประจาในเรื่องของการรักษา
ความปลอดภัยด้านช่องทางการสื่อสาร ตามรายละเอียดต่อไปนี้
 Secure Socket Layer (SSL)
รูปแบบที่พบมากที่สุดในเรื่องช่องทางการสื่อสารที่ปลอดภัยก็คือ การใช้งานผ่าน SSL โดย
ตัวโปรแกรมไคลเอ็นต์จะตรวจสอบเครื่องเซิร์ฟเวอร์ที่เชื่อมต่อ ว่าเป็นเซิร์ฟเวอร์ตัวจริงหรือไม่
เมื่อไคลเอ็นต์ได้รับข้อความยืนยันจากเซิร์ฟเวอร์บนเว็บด้วยใบรับรอง (Certificates) และรหัส
ประจาตัว (Public ID) ที่ถูกรับรองโดยองค์กรที่น่าเชื่อถือแล้ว นั่นหมายความว่า เราได้ใช้ SSL
ในการสร้างเซสซั่นการเจรจาเพื่อความปลอดภัย (สังเกตจาก URL ได้เปลี่ยนจาก http มาเป็น
https)

50. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
ข้อมูลที่มีการสื่อสารระหว่างเครื่องไคลเอ็นต์และเซิร์ฟเวอร์ภายใต้ SSL นั้น จะถูกเข้ารหัส
ด้วยเทคนิคกุญแจสาธารณะ โดยฝั่งส่งข้อมูล (ลูกค้า) จากเข้ารหัสด้วย Public Key ของอีกฝ่าย
หนึ่ง (ธนาคาร) ในขณะที่ฝั่งรับ (ธนาคาร) ก็จะถอดรหัสด้วย Private Key ของตน ซึ่ง
นอกเหนือไปจากการ เข้ารหัสที่ดาเนินการแบบอัตโนมัติ ผ่านการยืนยันตัวตนด้วยใบรับรอง
ดิจิตอลแล้ว SSL ยังสามารถ ปกป้องความสมบูรณ์ของข้อมูล โดยตัวโปรแกรมจะรับรู้ได้ทันที
หากข้อมูลที่ส่งผ่านไปยังผู้รับ ถูกเปลี่ยนแปลงในขณะเดินทาง นอกจากนี้แล้ว SSL ยังเป็นโพรโท
คอล ที่สนับสนุนการทางานร่วมกับโพรโทคอลข้อต่างๆ มากมาย ไม่ว่าจะเป็น HTTP, FTP,
Telnet, POP3, SMTP รวมถึง VPN โดยอาศัยหลักการเข้ารหัสข้อมูลและลายเซ็นดิจิตอล

51. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
ใบรับรองดิจิตอลมี
บทบาทสาคัญต่อการ
ใช้ SSL เพื่อสร้างช่อง
ทางการสื่อสารที่
ปลอดภัย
จากรูปได้แสดงถึงการใช้โพรโทคอล SSL เพื่อสร้างช่องทางการสื่อสารเพื่อ ความปลอดภัยผ่าน
ใบรับรองที่น่าเชื่อถือทั้งสองฝั่ง ดังนั้นเมื่อนาเทคโนโลยีความปลอดภัย SSL มาใช้ เพื่อการส่งข้อมูลผ่าน
อินเทอร์เน็ตเพื่อชาระค่าสินค้าผ่านบัตรเครดิต จึงจัดเป็นเทคนิคการรักษาความ ปลอดภัยของข้อมูลที่
ได้รับการยอมรับในระดับสากลโดยสร้างช่องทางการสื่อสาร ที่มีความปลอดภัยระหว่างลูกค้ากับธนาคาร

52. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
ตาแหน่งที่อยู่บน URL ที่ขึ้นต้นด้วย https:// รวมถึงไอคอนรูปแม่กุญแจเบราเซอร์
(Google Chrome) เป็นการบ่งบอกว่า เว็บไซต์นั้นได้ใช้ระบบความปลอดภัย SSL

53. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
 Secure Hypertext Transfer Protocol (S-HTTP)
S-HTTP เป็นโพรโทคอลที่มีความสามารถในการเข้ารหัสและถอดรหัสภายในตัวเองได้
โดยตรง โดยอนุญาตให้ทั้งฝั่งผู้ใช้และเซิร์ฟเวอร์ติดต่อกันได้ หากทั้งสองฝ่ายต่างมีใบรับรอง
ดิจิตอล ความแตกต่างระหว่าง SSL และ S-HTTP ก็คือ ตามปกติ SSL จะมีเพียงเซิร์ฟเวอร์
เท่านั้นที่มีอานาจ การรับรอง และ SSL ได้ถูกออกแบบมาเพื่อสร้างเซสซั่นที่เชื่อมต่อให้เกิดความ
ปลอดภัยระหว่างคอมพิวเตอร์สองเครื่อง ในขณะที่ S-HTTP ถูกออกแบบมาเพื่อส่งข่าวสาร
ระหว่างบุคคลให้มีความปลอดภัยยิ่งขึ้น อย่างไรก็ตาม โปรแกรมเบราเซอร์กับเว็บไซต์ต่างๆ ใช่
ว่าจะสนับสนุนเทคโนโลยี S-HTTP ได้ทั้งหมด ดังนั้นเราจะรู้ว่ามีการติดต่อกับเว็บไซต์ที่ใช้ระบบ
ความปลอดภัยดังกล่าวได้จากการ สังเกตที่ URL ซึ่งจะมีคาขึ้นต้นด้วย “SHTTP” ทั้งนี้เรา
สามารถกล่าวได้ว่า S-HTTP นั้นเป็นส่วนขยาย ของ HTTP ที่พยายามให้การติดต่อสื่อสารผ่าน
โพรโทคอล HTTP แบบเดิม มีความปลอดภัยมากขึ้น นั่นเอง

54. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
เครือข่ายเสมือนส่วนตัว (Virtual Private Network : VPN)
VPN เป็นเทคโนโลยีเครือข่ายที่มีการเชื่อมโยงระบบเครือข่ายภายในที่อยู่ตามสถานที่หรือตามสาขา
ต่างๆ เข้าด้วยกัน โดยจะทาการสร้างอุโมงค์เสมือนหรือที่เรียกกันว่า Tunneling เพื่อไว้เชื่อมต่อระหว่าง
ต้นทางกับปลายทางผ่านโพรโทคอล PPTP (Point-to-Point Tunneling Protocol) ไว้รับส่งข้อมูลถึงกัน
โดยมีการเข้ารหัสข้อมูลเพื่อป้องกันการถูกลักลอบ ดังนั้นการรับส่งข้อมูลผ่านช่องทางการสื่อสารด้วย
เทคโนโลยี VPN จึงมีความปลอดภัย ประกอบกับเป็นเทคโนโลยีที่มีความยืดหยุ่นสูง ด้วยการนาโครงสร้าง
เครือข่ายอินเตอร์เน็ตที่มีอยู่แล้ว มาสร้างเป็นเครือข่ายเสมือนส่วนตัวให้สามารถสื่อสารกันได้ทั่วโลก แต่ก็
ยังคงไว้ซึ่งความปลอดภัย สาหรับวัตถุประสงค์หลักของการใช้ VPN ก็คือ การสร้างช่องทางการสื่อสารที่มี
ความปลอดภัยระหว่างคู่ค้าทางธุรกิจ เช่น บริษัทขนาดใหญ่ที่มีการเชื่อมโยงโซ่อุปทานระหว่างผู้ขายปัจจัย
การผลิต (Suppliers) หรือลูกค้าเข้าด้วยกัน ทั้งนี้ในการสร้างเครือข่ายเฉพาะของตนขึ้นมาเพื่อเชื่อมโยง
กันเองนั้น ต้องลงทุนด้วยเม็ดเงินที่สูงมาก และจากการนาความสามารถของอินเทอร์เน็ตและ PPTP มาใช้
เพื่อสร้างเครือข่ายเสมือนส่วนตัว ผ่านช่องทางการสื่อสารที่มีความปลอดภัย ย่อมช่วยลดต้นทุนให้กับภาค
ธุรกิจเป็นอย่างมาก

55. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
การเชื่อมโยงเครือข่ายเสมือนส่วนตัวด้วยการสร้างอุโมงค์ (Tunnel) ภายใต้ครงสร้าง เครือข่าย
อินเทอร์เน็ต สาหรับการ เชื่อมโยงถึงกันและจะมีการเข้ารหัสข้อมูล ทาให้การรับส่งข้อมูลมีความ
ปลอดภัยมากยิ่งขึ้น

56. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.3.3 การปกป้องระบบเครือข่าย (Protecting Networks)
เมื่อมีการปกป้องช่องทางการสื่อสารให้เกิดความปลอดภัยได้แล้ว ลาดับถัดไปก็คือ การจัด
เตรียมชุดเครื่องมือเพื่อปกป้องระบบเครือข่าย ตลอดจนเครื่องเซิร์ฟเวอร์และเครื่องลูกข่ายที่ใช้งาน
บนเครือข่าย
 ไฟร์วอลล์ (Firewalls)
ทั้งไฟร์วอลล์และพร็อกซี่เซิร์ฟเวอร์ ล้วนมีวัตถุประสงค์เพื่อสร้างกาแพงรอบๆ เครือข่ายของ
คุณเพื่อปกป้องเครื่องเซิร์ฟเวอร์และเครื่องลูกข่าย อย่างไรก็ตาม หลายคนมักเข้าใจว่าไฟร์วอลล์และ
พร็อกซี่เซิฟเวอร์มีหน้าที่เหมือนกัน แต่ความจริงแล้วทั้งสองมีหลักการทางานที่แตกต่างกัน โดย
ระบบเครือข่ายที่ถูกออกแบบให้มีระบบป้องกันเป็นอย่างดี ส่วนใหญ่มักนาทั้งไฟร์วอลล์และพร็อกซี่
เซิร์ฟเวอร์มาใช้งานร่วมกัน

57. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
ไฟร์วอลล์อาจเป็นทั้งฮาร์ดแวร์หรือซอฟต์แวร์ก็ได้ ทาหน้าที่กลั่นกรองแพ็กเก็ตข้อมูลที่สื่อ
สารบนเครือข่าย และยังป้องกันแพ็กเก็ตบางส่วนที่พยายามเข้ามายังเครือข่ายโดย เฉพาะเครือข่าย
ที่มีการเชื่อมต่อเข้ากับโลกภายนอกอย่างอินเตอร์เน็ต นั่นหมายความว่า องค์กรของคุณได้เปิด
ประตู พร้อมให้บุคคลที่ไม่หวังดีลักลอบเข้ามาได้ตลอดเวลา ดังนั้นไฟร์วอลล์จึงถูกนามาเพื่อ
ป้องกันผู้บุกรุกบนอินเทอร์เน็ต โดยแพ็กเก็ตที่ไม่มีสิทธิ์เข้าถึงเครือข่ายส่วนบุคคล จะถูกกลั่นกรอง
มิให้เข้ามายังเครือข่ายภายในได้ ผ่านการตรวจสอบด้วยหมายเลขไอพี เพื่อป้องกันเราแฮกเกอร์
หรือผู้ไม่หวังดีเข้ามาโจมตีหรือเจาะระบบภายใน
พร็อกซี่เชิร์ฟเวอร์ (Proxy Server)
พร็อกซี่เชิร์ฟเวอร์เป็นเซิร์ฟเวอร์ซอฟต์แวร์ ซึ่งปกติจะถูกติดตั้งลงในเครื่องคอมพิวเตอร์ ทา
หน้าที่จัดการดูแลต้นกาหนดของการสื่อสารทั้งหมดที่ติดต่อไปยังเครือข่ายอินเทอร์เน็ต โดยทา
หน้าที่เป็นโฆษกหรือผู้คุ้มกันให้กับองค์กร หน้าที่หลักของพร็อกซี่ก็คือ การจากัดการเข้าถึงของ
เครื่องลูกข่ายภายใน ไปยังเซิร์ฟเวอร์อินเทอร์เน็ตที่อยู่ภายนอก อย่างไรก็ตาม พร็อกซี่เชิร์ฟเวอร์
ในบางครั้งก็อาจทาหน้าที่เช่นเดียวกันกับไฟร์วอลล์ นอกจากนี้พร็อกซี่เชิร์ฟเวอร์ในบางครั้งอาจ
เรียกว่า Dual Home Systems เพราะมีการเชื่อมโยงระหว่างสองเครือข่ายเข้าด้วยกัน

58. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
หน้าที่หลักของไฟร์วอลล์คือ การปฏิเสธการเข้าถึงจากความพยายามเข้าถึงของเครื่องที่อยู่ภายนอก
เครือข่าย ส่วนหน้าที่หลักของพร็อกซี่เชิร์ฟเวอร์คือ การควบคุมการเข้าถึงจากเครือข่ายภายในไปยัง
ภายนอก

59. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.3.4 การปกป้องเครื่องเซิร์ฟเวอร์และเครื่องผู้ใช้ (Protecting Servers and Clients)
โปรแกรมระบบปฏิบัติการ (Operating System) และโปรแกรมป้องกันไวรัส สามารถช่วย
ปกป้องทั้งเครื่องเซิร์ฟเวอร์และเครื่องผู้ใช้ ให้ปลอดภัยจากการโจมตีในรูปแบบต่างๆ ซึ่งเป็นไปตาม
รายละเอียดต่อไปนี้
 การปรับปรุงการรักษาความปลอดภัยของระบบปฏิบัติการ
มีหลายแนวทางด้วยกันในการปกป้องเครื่องเซิร์ฟเวอร์และเครื่องผู้ใช้ ผ่านการใช้ประโยชน์ จาก
การอัพเกรดโปรแกรมรักษาความปลอดภัยในเครื่องคอมพิวเตอร์แบบอัตโนมัติ จากผู้ผลิตอย่าง
ไมโครซอฟท์หรือแอปเปิ้ล ตัวอย่างเช่น ระบบปฎิบัติการแบบเซิร์ฟเวอร์อย่าง Windows Server
2008/2003 หรือยังแล้วระบบปฏิบัติการระดับผู้ใช้งานทั่วไปอย่าง Windows XP และ Windows 7 นั้น
ผู้ใช้สามารถดาวน์โหลดแพตซ์ไฟล์ (Patches) ที่ได้รับการปรับปรุงอย่างต่อเนื่องจากเว็บผู้ผลิต โดยไม่
ต้องเสียค่าใช้จ่าย และนามาติดตั้งลงในคอมพิวเตอร์ (ปกติเมื่อดาวน์โหลดเสร็จแล้ว มักจะติดตั้งให้โดย
อัตโนมัติ) เพื่อปิดช่องโหว่ต่างๆ ที่เราแฮกเกอร์สามารถนามาใช้ เพื่อการลักลอบเข้ามาโจมตีระบบ
นอกจากนี้แล้วโปรแกรมเบราเซอร์เพื่อการท่องเว็บ ไม่ว่าจะเป็น Mozilla Firefox หรือ Internet Explorer
ก็ตามก็ได้เปิดให้ผู้ใช้สามารถดาวน์โหลดเพื่อการอัพเดทหรือปรับเวอร์ชั่น โดยอัตโนมัติเพื่อปิดช่องโหว่

60. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
 โปรแกรมป้องกันไวรัส
แนวทางการรักษาความปลอดภัยที่ง่ายและเสียค่าใช้จ่ายน้อย กับการป้องกันภัยคุกคามจาก
ไวรัสคอมพิวเตอร์หรือวอร์มที่อาจติดได้จากการท่องเว็บ หรือการคัดลอกข้อมูลผ่านอุปกรณ์สารอง
ข้อมูลต่างๆ ในปัจจุบันเครื่องคอมพิวเตอร์แทบทุกเครื่องที่ใช้งาน ล้วนจาเป็นต้องติดตั้งโปรแกรม
ป้องกันไวรัส เนื่องจากช่องทางในการติดต่อของไวรัสคอมพิวเตอร์มีอยู่มากมาย ซึ่งหลีกเลี่ยงได้ยาก
(เว้นเสียจากเครื่องที่ใช้งานจะปิดการคัดลอกไฟล์จากอุปกรณ์อื่นๆ และไม่มีการเชื่อมต่อไปยังเครือ
ข่ายภายนอก) ดังนั้นการติดตั้งโปรแกรมป้องกันไวรัสลงในเครื่อง ย่อมเป็นหนทางในการป้องกันที่ดี
และง่ายกว่า สาหรับโปรแกรมป้องกันไวรัสที่นิยมใช้ในปัจจุบัน ผู้ใช้สามารถหาดาวน์โหลดมาใช้งานได้
ฟรีจากอินเทอร์เน็ต และภายหลังการติดตั้งใช้งานแล้วต้องหมั่นอัปเดท เพราะไวรัสสายพันธุ์ใหม่ๆ
เกิดขึ้นแทบทุกวัน การอัพเดทโปรแกรมป้องกันไวรัสคอมพิวเตอร์อย่างสม่าเสมอ พร้อมกับการสแกน
ไวรัสในเครื่องเป็นประจา ย่อมช่วยให้เครื่องคอมพิวเตอร์ของเราปลอดภัยจากไวรัสคอมพิวเตอร์ได้
อย่างไรก็ตาม โปรแกรมป้องกันไวรัสที่สามารถดาวน์โหลดได้ฟรีนั้น (Free Edition) จะมีระบบการ
ป้องกันความปลอดภัยที่จากัดในบางเรื่อง ดังนั้นหากต้องการระบบความปลอดภัยที่สูงขึ้น จาเป็นต้อง
ซื้อโปรแกรมดังกล่าวจากผู้ผลิตซึ่งปกติมักจะมีราคาที่ไม่แพง

61. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.4 นโยบายการจัดการด้านความปลอดภัย
ผู้บริหารที่ดูแลรับผิดชอบการดาเนินงานระบบอีคอมเมิร์ซในหลายองค์กร มีความเชื่อว่าลาพัง
เพียงแต่เทคโนโลยีนั้น มิใช่คาตอบที่จะนาไปสู่การจัดการความเสี่ยงของระบบอีคอมเมิร์ซได้
เทคโนโลยีเป็นเพียงการจัดเตรียมรากฐาน เพื่อนาไปสู่การเกิดผลในด้านดีเกี่ยวกับงานรักษาความ
ปลอดภัยเท่านั้น แต่ในขณะเดียวกันหากขาดนโยบายการจัดการด้านความปลอดภัยที่ดีเลิศแล้ว
การรักษาความปลอดภัยในระบบอีคอมเมิร์ซสามารถล้มเหลวอย่างไม่เป็นท่า แม้ว่าจะมีการนา
เทคโนโลยีที่ดีที่สุดมาใช้แล้วก็ตาม นอกจากนี้กฎหมายมหาชนและข้อบังคับที่มีต่ออาชญากรไซ
เบอร์นั้นจาเป็น ต้องมีค่าใช้จ่ายเพิ่มขึ้นในเรื่องการติดตามเส้นทางพฤติกรรมที่กระทาผิดกฏหมาย
บนอินเทอร์เน็ต รวมถึงการป้องกันการละเมิดข้อมูลที่ไม่ถูกต้องภายในองค์กร โดยรายละเอียด
ต่อไปนี้ จะกล่าวถึงการพัฒนานโยบายการจัดการให้ทราบโดยย่อ

62. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.4.1 แผนการรักษาความปลอดภัย : นโยบายด้านการบริหาร
ในการลดภัยคุกคามด้านความปลอดภัย บริษัทที่ดาเนินธุรกิจอีคอมเมิร์ซจะต้องพัฒนานโยบาย
ขององค์กรขึ้นมา โดยพิจารณาถึงความสอดคล้องกับลักษณะของความเสี่ยงที่เกิดขึ้นเป็นหลัก
สาหรับทรัพย์สินที่เกี่ยวข้องกับ
ข้อมูลจะต้องได้รับการป้องกัน มี
การนาเทคโนโลยีที่จาเป็นและ
วิธีการ ที่เหมาะสมเพื่อปกป้อง
ความเสี่ยง ซึ่งรวมไปถึงกลไกการ
ตรวจสอบพิจารณาจากรูป ซึ่งเป็น
ขั้นตอนสาคัญในการพัฒนา
แผนการรักษาความปลอดภัยที่
แข็งแกร่ง

63. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
1. การประเมินความเสี่ยง (Risk Assessment)
แผนการรักษาความปลอดภัย เริ่มต้นด้วยการประเมินความเสี่ยง ซึ่งเกี่ยวข้องกับการประเมิน
ในเรื่องความเสี่ยงต่างๆ และประเด็นในเรื่องของช่องโหว่ที่มีโอกาสก่อให้เกิดความไม่ปลอดภัยหรือ
ง่ายต่อการคุกคาม ขั้นตอนแรกก็คือ ให้รวบรวมข้อมูลที่มีอยู่และทรัพย์สินด้านความรู้ต่างๆ บน
เว็บไซต์อีคอมเมิร์ซและบริษัท เพื่อนามาวิเคราะห์ว่ามีข้อมูลอะไรที่มีความเสี่ยง เช่น ข้อมูลส่วนตัว
ของลูกค้า, การออกแบบที่เป็นกรรมสิทธิ์, กิจกรรมทางธุรกิจ, กระบวนการที่เป็นความลับ หรือ
ข้อมูลภายในต่างๆ เหล่านี้ให้พยายามตีมูราคาเป็นตัวเงินขึ้นมาให้แก่บริษัท ซึ่งหากข้อมูลเหล่านี้ถูก
ทาลายขึ้นมา เราก็สามารถนามาคูณเข้ากับจานวนที่คาดการณ์จากการสูญเสียที่เกิดขึ้นได้ เมื่อได้ตี
มูลค่าทรัพย์สินข้อมูลต่างๆ แล้ว คุณก็จะมีรายการทรัพย์สินที่เกี่ยวข้องกับข้อมูลต่างๆ ที่สามารถ
นามาจัดเรียงลาดับความสาคัญตามมูลค่าให้แก่บริษัทของคุณ

64. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
2. พัฒนานโยบายการรักษาความปลอดภัย (Security Policy)
จากการประเมินความเสี่ยง ทาให้ได้มาซึ่งจานวนรายการต่างๆ ที่เกี่ยวข้องกับความเสี่ยง
ดังนั้นลาดับถัดมาคุณก็สามารถเริ่มพัฒนานโยบายการรักษาความปลอดภัย ซึ่งหมายถึงชุดของ
บัญชีรายการที่มีการจัดลาดับความสาคัญของความเสี่ยงในข้อมูล โดยมีการระบุถึงเป้าหมายความ
เสี่ยงที่ยอมรับได้ และกาหนดกลไกเพื่อให้เป้าหมายเรานั้นบรรลุผล ซึ่งตัวคุณจะมีความชัดเจนมาก
ยิ่งขึ้น เกี่ยวกับการตัดสินใจในการดาเนินการกับทรัพย์สินข้อมูลที่มีลาดับความสาคัญสูงสุด กับการ
ประเมินความเสี่ยงของคุณ และเป็นที่มาของคาถามเหล่านี้ว่า
• ใครเป็นผู้สร้างและควบคุมข้อมูลเหล่านี้
• นโยบายการรักษาความปลอดภัยที่มีอยู่เดิมนั้นคืออะไร ที่จะนาไปสู่การปกป้องข้อมูลเหล่า นั้น
ให้อยู่ในสภาพที่ถูกต้องและเหมาะสม
• มีข้อแนะนาอะไรบ้าง ที่สามารถนามาใช้เพื่อปรับปรุงระบบการรักษาความปลอดภัยให้กับ
ทรัพย์สินที่มีค่าเหล่านี้

65. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
• ระดับของความเสี่ยงในระดับใด ที่คุณยอมรับได้หากเกิดเหตุการณ์ที่มีต่อทรัพย์สินเหล่านั้น
• คุณเต็มใจหรือไม่ กับการกาจัดข้อมูลเกี่ยวกับบัตรเครดิตของลูกค้าในทุกๆ 10 ปี
• คุณมีกลยุทธ์อะไรในการไล่ล่าตามภัยพิบัติ ไม่ว่าจะเป็นพายุเฮอร์ริเคน หรือแผ่นดินไหว ด้วย
การสร้างสิ่งปลูกสร้างที่มีระบบการรักษาความปลอดภัยในข้อมูลบัตรเครดิตของลูกค้าที่ทนต่อ
ภัยพิบัติต่างๆ (ต้องเข้าใจว่าในบางประเทศ ตามแต่ละพื้นที่มากมีภัยพิบัติที่เกิดขึ้นอยู่ ประจา
เช่น ประเทศสหรัฐอเมริกา มักมีภัยพิบัติเกี่ยวกับพายุเฮอร์ริเคน และประเทศญี่ปุ่นที่ มักเกิดภัย
พิบัติเรื่องแผ่นดินไหวอยู่ประจา)
ทั้งนี้คุณจะต้องประเมินค่าใช้จ่ายเพื่อจัดงบประมาณในเรื่องนี้ขึ้นมา ว่าจะต้องใช้จ่ายด้วยเม็ด
เงินจานวนเท่าไหร่ เพื่อนาไปสู่การบรรลุระดับของความเสี่ยงที่ยอมรับได้ และพึงจาไว้ว่าการรักษา
ความปลอดภัยเพื่อให้เกิดความสมบูรณ์ในทั้งหมดนั้น อาจมีความจาเป็นที่ต้องใช้ทรัพยากรทางการ
เงินเกินกว่าที่คาดการณ์ไว้ อย่างไรก็ตาม เมื่อคุณสามารถตอบคาถามเหล่านี้ได้แล้ว ถือว่าคุณเริ่มมี
นโยบายการรักษาความปลอดภัยในองค์กรแล้ว

66. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
3. การพัฒนาแผนงานเพื่อการนาไปใช้ (Implementation)
เป็นขั้นตอนที่คุณต้องยืนหยัดในสิ่งที่จะทา ให้บรรลุเป้าหมายตามแผนการรักษาความ
ปลอดภัย กล่าวคือ คุณจะต้องกาหนดวิธีการว่าจะต้องทาอย่างไร โดยเฉพาะในเรื่องการแปลผล
ระดับความเสี่ยงที่ยอมรับได้จากชุดเครื่องมือที่คุณใช้งานอยู่ ซึ่งประกอบด้วยเทคโนโลยี ในโยบาย
และวิธีการโดยพิจารณาถึงการจะนาเทคโนโลยีอะไรมาใช้เพื่อให้บรรลุถึงเป้าหมาย และมีขั้นตอน
การทางานอะไรที่พนักงานใหม่จาเป็นต้องทาความเข้าใจ
และเพื่อให้การดาเนินงานเป็นไปตามแผนงานของคุณ คุณจาเป็นต้องมีหน่วยงานภายใน
องค์กรที่รับผิดชอบ เกี่ยวกับงานรักษาความปลอดภัย รวมถึงจะต้องมีเจ้าหน้าที่รักษาความ
ปลอดภัยด้วย อย่างไรก็ตาม สาหรับเว็บไซต์อีคอมเมิร์ซขนาดเล็ก เจ้าหน้าที่รักษาความปลอดภัย
อาจเป็นบุคคลที่ดูแลงานบริการอินเทอร์เน็ตหรือผู้จัดการเว็บไซต์ ในขณะที่บริษัทขนาดใหญ่ ปกติ
มักจะมีทีมงานโดยตรงที่รับผิดชอบและมีการจัดสรรงบประมาณสนับสนุนเรื่องนี้เป็นการเฉพาะ

67. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
4. การสร้างระบบรักษาความปลอดภัยในองค์กร (Security Organization)
เป็นเรื่องของการฝึกสอนให้ผู้ใช้ได้ตระหนักถึงภัยคุกคามที่เพิ่งระมัดระวัง ว่าภัยดังกล่าวมี
ความร้ายแรงเพียงพอที่จะส่งผลเสียหายร้ายแรงต่อระบบได้ รวมถึงการบารุงรักษาชุดเครื่องมือ
ให้สามารถพร้อมใช้งานได้ทันทีเมื่อต้องการ ซึ่งโดยปกติแล้วการรักษาความปลอดภัยในองค์กร
จะเกี่ยวข้องกับการบริหารจัดการในเรื่องการควบคุมการเข้าถึง การพิสูจน์ตัวตน และการกาหนด
สิทธิ์เพื่อการใช้งาน โดยที่
• การควบคุมการเข้าถึง (Access Controls) เกี่ยวกับการตรวจสอบทั้งบุคคลภายในและ
ภายนอกที่สามารถเข้าถึงระบบผ่านระบบเครือข่าย สาหรับการควบคุมเข้าถึงจากบุคคล
ภายนอก ก็จะมีอุปกรณ์อย่างไฟร์วอลล์และพร็อกซี่เซิร์ฟเวอร์เป็นกาแพงป้องกัน ในขณะที่
บุคคลภายในปกติมักจะใช้วิธีการล็อกอินเข้าสู่ระบบ ซึ่งจะต้องมีบัญชีผู้ใช้และรหัสผ่านที่ถูกต้อง
จึงสามารถเข้าใช้ระบบได้

68. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
• การพิสูจน์ตัวตน (Authentication) เกี่ยวข้องกับการใช้ลายเซ็นดิจิตอล ใบรับรองของ ผู้มี
สิทธิ์และกุญแจสาธารณะ นอกจากนี้ยังรวมไปถึงอุปกรณ์ที่ใช้พิสูจน์ตัวตนจากคุณสมบัติ
ทางกายภาพที่แตกต่างกันตามแต่ละบุคคลที่เรียกว่า ไบโอเมทริก (Biometrics) เช่น การ
ตรวจสอบลายนิ้วมือ ฝ่ามือ หรือม่านตา รวมถึงการใช้เสียงเพื่อยืนยันความเป็นตัวตน ซึ่งการ
พิสูจน์ตัวตนด้วยเทคโนโลยีไบโอเมททริกนั้น ทาให้เราแฮกเกอร์ทางานยากขึ้นกับ ความ
พยายามลักลอบเข้ามายังระบบ และยังช่วยลดโอกาสในการปลอมตัวด้วย
• การกาหนดสิทธิ์เพื่อการใช้งาน (Authorization) เป็นการกาหนดอานาจหรือระดับสิทธิ์ใน
การเข้าใช้งานระบบโดยทุกๆ คนที่ได้รับการกาหนดสิทธิ์จะมีอานาจในการปฎิบัติหน้าที่ตามที่
ได้ระบุไว้เท่านั้น ตัวอย่างเช่น พนักงานป้อนข้อมูลในแผนกบัญชี จะสามารถป้อนข้อมูลและเข้า
ไปดูข้อมูลหรือสั่งพิมพ์รายการต่างๆ ได้เฉพาะขอบเขตในส่วนงานบัญชีที่ตนรับผิดชอบเท่านั้น
จะไม่ได้รับสิทธิ์อานาจในการเข้าไปดูข้อมูลเงินเดือนในแผนกทรัพยากรมนุษย์ หรือเข้าถึงส่วน
งานของผู้บริหารได้ เป็นต้น อย่างไรก็ตาม การกาหนดอานาจสิทธิ์เพื่อการใช้งานระบบนั้น
ขึ้นอยู่กับนโยบายขององค์กรนั้นๆ เป็นสาคัญ

69. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
5. การตรวจสอบความปลอดภัย (Security Audit)
สาหรับขั้นตอนสุดท้ายในการพัฒนาแผนการรักษาความปลอดภัยในอีคอมเมิร์ซ ก็คือ การ
ตรวจสอบความปลอดภัยซึ่งเกี่ยวกับ Log File ที่นามาใช้บันทึกทรานแซกชั่นการเข้าถึงระบบของ
ผู้ใช้รายต่างๆ โดยจะบันทึกข้อมูลกิจกรรมไว้เป็นหลักฐานเกี่ยวกับผู้ใช้รายนั้นๆ เอาไว้เพื่อการ
ตรวจสอบ ข้อมูลที่บันทึกจะประกอบไปด้วยทรานแซกชั่นที่มาจากทั้งบุคคลภายในและ
บุคคลภายนอก ตัวอย่างข้อมูลที่บันทึกไว้ เช่น วันที่และเวลาเข้าถึงระบบ, ชนิดของการเข้าถึง
(เช่น ล็อกอินผ่านเครือข่ายในหรือแบบระยะไกล), เจ้าของทรานแซกชั่นหรือบุคคลที่เข้ามาใช้งาน
(เช่น ชื่อบัญชีผู้ใช้หรือหมายเลขไอพี) รวมถึงข้อมูลเกี่ยวกับเหตุการณ์หรือกิจกรรมที่พวกเขา
เหล่านั้นได้ทาไป เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถนามาทบทวนหรือตรวจสอบย้อนหลังว่า วันๆ
หนึ่งได้มีทรานแซกชั่นจากที่ไหนบ้างที่ได้ล็อกอินเข้ามายังระบบ เข้ามาเมื่อไร เวลาใด มาทาอะไร
ซึ่งทาให้ผู้ดูแลระบบสามารถสังเกตและติดตามพฤติกรรมการใช้งาน จากเจ้าของทรานแซกชั่นที่
พยายามเข้าถึงระบบในรูปแบบผิดปกติ เช่น มีความพยายามในการดาวน์โหลดข้อมูลจานวนมาก
แบบผิดปกติ หรือกิจกรรมอื่นๆ ที่ส่อไปในทางคุกคาม จากนั้นก็หาวิธีป้องกันด้วยการบล็อก หรือ
หามาตรการป้องกันอื่นๆ ที่เหมาะสม เพื่อปกป้องระบบได้อย่างทันท่วงที

70. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.4.2 บทบาทด้านกฎหมายและนโยบายสาธารณะ
เป็นที่รับรู้โดยทั่วกันว่า เทคโนโลยีอินเทอร์เน็ตเป็นตัวแปรสาคัญที่ก่อเกิดการเปลี่ยนแปลง ทั้ง
ทางด้านเทคโนโลยี เศรษฐกิจ วิถีชีวิต แม้กระทั่งกฎหมาย ฯลฯ โดยเฉพาะสภาพแวดล้อมเกี่ยวกับ
นโยบายสาธารณะ ก็มีความแตกต่างกันมากเมื่อเทียบกับอดีต อีกทั้งกฎหมายที่เคยใช้ก็ต้องถูกนามา
ยกเครื่องใหม่ เพื่อให้สามารถนาไปบังคับใช้ได้อย่างทันท่วงที เพื่อรองรับผู้ประกอบการธุรกิจด้าน อี
คอมเมิร์ซ รวมถึงอาชญากรทางไซเบอร์ ซึ่งแต่ละประเทศต่างมีตัวบทกฎหมายและนโยบาย
สาธารณะที่แตกต่างกัน
แต่ก็นับว่าเป็นข่าวดีต่อเว็บไซต์อีคอมเมิร์ซทั้งหลาย ที่มิได้อยู่อย่างโดดเดี่ยวอีกต่อไป จาก
ความพยายามในการต่อสู้ของพวกเขาเพื่อให้เกิดความปลอดภัยบนอินเทอร์เน็ต มีหลายองค์กรด้วย
กันทั้งภาครัฐและเอกชนเสนอตัวเข้ามาช่วยดูแล และได้อุทิศไปกับการติดตามองค์กรอาชญากรรม
และบุคคลที่มีส่วนร่วมในการโจมตีทางอินเทอร์เน็ตและเว็บไซต์อีคอมเมิร์ซ โดยเฉพาะหน่วยงาน
CERT ที่ได้รับการก่อตั้งขึ้นอย่างเป็นรูปธรรมเป็นครั้งแรก ณ ประเทศสหรัฐอเมริกา ที่คอยดูแล ความ
ปลอดภัยบนเครือข่ายอินเทอร์เน็ตทั่วโลก ในขณะเดียวกัน ประเทศไทยก็มีหน่วยงานอย่าง
ThaiCERT ที่คอยดูแลงานในลักษณะเดียวกัน

71. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
ในส่วนนโยบายของภาครัฐบาล โดยเฉพาะเรื่องการควบคุมซอฟต์แวร์เข้ารหัสที่รัฐบาลได้
พยายามจากัดการบริการและการเปิดเผยระบบการเข้ารหัส ในทานองเดียวกันกับการตรวจจับและ
ป้องกันอาชญากรรมและการก่อการร้าย ในประเทศสหรัฐอเมริกา รัฐสภาและฝ่ายบริหารได้พยายาม
วางกฎระเบียบเพื่อควบคุมการใช้ประโยชน์จากการเข้ารหัส โดยในระดับนานาชาติมีอยู่ 4 องค์กร
ด้วยกัน ที่มีอิทธิพลในเรื่องของซอฟต์แวร์เข้ารหัสเพื่อการจราจรระหว่างประเทศ อันประกอบด้วย
• องค์กรเพื่อความร่วมมือทางเศรษฐกิจและการพัฒนา (Organization for Economic Co-
operation and Development : OECD) คือ องค์การระหว่างประเทศของกลุ่ม ประเทศพัฒนา
แล้ว ที่ยอมรับระบอบประชาธิปไตยและเศรษฐกิจการค้าเสรี ในฐานะที่เป็นองค์กรความร่วมมือ
ทางเศรษฐกิจของภูมิภาคยุโรป

72. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
• กลุ่มประเทศอุตสาหกรรมชั้นนาของโลก (The Heads of State of the Top Eight
Industrialized Countries in The Word : G-7/G-8) ประกอบไปด้วยประเทศ สมาชิก 8
ประเทศ คือ แคนาดา ฝรั่งเศส เยอรมนี รัสเซีย อิตาลี ญี่ปุ่น สหราชอาณาจักร และ
สหรัฐอเมริกา โดยเศรษฐกิจของประเทศเหล่านี้ถือเป็น 65% ของโลก
• สภาแห่งยุโรป (Council of Europe) ก่อตั้งขึ้นเพื่อส่งเสริมและปกป้องประชาธิปไตย และ
สิทธิมนุษยชนในยุโรป โดยประเด็นสิทธิมนุษยชนที่ได้รับความสนใจมากในยุโรป อันได้แก่
สิทธิของชนกลุ่มน้อย การต่อต้านโทษประหารชีวิต และต่อต้านการทรมาน เป็นต้น
• ระบบการควบคุมการส่งออกระหว่างประเทศ (Wassenaar Arrangement) เป็นการ
รวมกลุ่มของประเทศต่างๆ ประมาณ 33 ประเทศ ซึ่งส่วนใหญ่เป็นประเทศที่พัฒนาแล้ว โดยมี
วัตถุประสงค์เพื่อป้องกันการแพร่ขยายของอาวุธที่มีอานาจการทาลายล้างสูง และเพื่อป้องกัน
มีให้สินค้าเหล่านี้ใช้ประโยชน์ได้สองทาง โดยตกอยู่ในกลุ่มองค์กรผู้ก่อการร้าย หรือประเทศที่
อาจเป็นภัยต่อความมั่นคงระหว่างประเทศ โดยกลุ่มของ Wassenaar Arrangment จะควบคุม
วัสดุอุปกรณ์ และเทคโนโลยีที่สามารถนาไปใช้ผลิตอาวุธตามแบบที่ร้ายแรง

73. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
8.5 หน่วยงานที่ส่งเสริมการรักษาความปลอดภัยในคอมพิวเตอร์
จากเหตุการณ์หนอนอินเทอร์เน็ต หรือเวิร์มที่ชอนไชไปยังระบบเครือข่ายไปทั่วเมื่อปี ค.ศ.
1988 เป็นต้น มาทาให้หลายคนเห็นถึงภัยคุกคามอันน่าสะพรึงกลัวเหล่านี้ ที่นอกจากจะส่งผลเสีย
ต่อระบบการสื่อสารด้วยการทาให้ระบบชะงัก ธุรกิจสะดุดเนื่องจากติดต่อสื่อสารกันไม่ได้ และการ
รับรู้ถึงความเป็นห่วงในเรื่องความปลอดภัยเกี่ยวกับข้อมูลที่สื่อสารผ่านอินเทอร์เน็ต ซึ่งมิใช่เป็นแค่
ภัยคุกคามส่วนตัว แต่ได้ยกระดับกลายเป็นภัยคุกคามระดับประเทศหรือระดับชาติไปแล้ว
เหตุการณ์นี้ทาให้หลายๆ คน เกิดการตื่นตัว จนกระทั่งได้มีองค์กรหรือหน่วยงานต่างๆ ที่ถูกจัดตั้ง
ขึ้นมาเพื่อแบ่งปันข้อมูลเกี่ยวกับภัยคุกคามที่มีต่อระบบคอมพิวเตอร์ โดยหน่วยงานเหล่านี้จะทุ่มเท
เรื่องการแบ่งปันข่าวสารเกี่ยวกับภัยคุกคาม พร้อมทั้งแนะนาวิธีป้องกันภัยคุกคามเหล่านั้นให้กับ
บุคคลทั่วไปได้ทราบเพื่อให้เขาสามารถสร้างความปลอดภัยในคอมพิวเตอร์ที่ดี ได้โดยในบางส่วน
ของหน่วยงานถูกเริ่มต้นที่มหาวิทยาลัยรวมถึงคณะทางานต่างๆ ที่ก่อตั้งหรือสนับสนุนโดยภาครัฐ
ดังนั้นเนื้อหาในส่วนนี้เราจะมาเรียนรู้เกี่ยวกับบางส่วนของหน่วยงานเหล่านี้กัน

74. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
ในปีค.ศ. 1988 กลุ่มนักวิจัยได้ศึกษาเรื่องราวในประเด็นของหนอนอินเทอร์เน็ต โดยพวกเขาต้องการ
เรียนรู้และพยายามทาความเข้าใจวิธีการทางานของมัน เพื่อค้นหาวิธีป้องกันหากถูกโจมตีอีกในอนาคต โดย
ศูนย์รักษาความปลอดภัยในคอมพิวเตอร์แห่งชาติ ซึ่งเป็นส่วนหนึ่งของสภาความมั่นคง แห่งชาติในอเมริกา
ได้มีการประชุม เพื่อหาแนวทางป้องกันเพื่อหยุดภัยคุกคามเหล่านี้ให้ได้ เพื่อมิให้ ผู้คนจานวนมากต้องได้รับ
ผลกระทบจากภัยคุกคามนี้อีกในอนาคต โดยภายหลังจากการประชุมใน ครั้งนั้นรัฐบาลสหรัฐอเมริกาได้สร้าง
ทีมงานขึ้นมาภายใต้ชื่อว่า Computer Emergency Response Team ซึ่งตั้งอยู่ที่มหาวิทยาลัยคาร์เนกี
เมลลอน (Carnegie Mellon University) เมืองพิตต์สเบิร์ก (Pittsburgh)
ในปัจจุบันการดาเนินงานของหน่วยงานนี้ ได้กลายเป็นส่วนหนึ่งของสถาบันวิศวกรรมซอฟต์แวร์
(Softwaer Engingineering Intitute) ซึ่งตั้งอยู่ณมหาวิทยาลัยคาร์เนกี เมลลอน และได้รับการเปลี่ยนแปลง
เป็นชื่อใหม่ว่า CERT โดยตั้งจัยตั้งชื่อใหม่เป็นคาย่อ เพื่อให้ผู้คนทั่วไปสามารถจดจาได้ง่ายขึ้น ทั้งนี้ CERT
ยังคงรักษาโครงสร้างพื้นฐานการสื่อสารให้เกิดประสิทธิภาพและรวดเร็ว ท่ามกลางกลุ่มผู้เชี่ยวชาญด้านการ
รักษาความปลอดภัย เพื่อหลีกเลี่ยงหรือจัดการกับเหตุการณ์ความไม่ปลอดภัยทั้งหลายได้อย่างรวดเร็ว
ดังนั้นหน่วยงาน CERT จึงทาหน้าที่เสมือนกับตารวจอินเทอร์เน็ต ที่คอยดูแลความปลอดภัยบนเครือข่าย
อินเทอร์เน็ตทั่วโลก อย่างไรก็ตาม หน่วยงานไม่ได้ มีอานาจในการจับกุมผู้กระทาผิด แต่คอยทาหน้าที่เตือน
ภัยและช่วยเหลือ ซึ่งการประกาศข่าวเพื่อแจ้งเตือนภัยนั้น CERT ได้ดาเนินการอยู่เป็นประจา ด้วยการพาด
หัวข่าวเพื่อให้ผู้คนทั่วไปและองค์กรต่างๆ รับทราบถึงภัยล่าสุดที่ทุกคนต้องพึ่งระมัดระวัง

75. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
สาหรับประเทศไทย ก็ได้มีการจัดตั้งหน่วยงานที่ชื่อว่า ศูนย์ประสานการรักษาความมั่นคง
ปลอดภัยระบบคอมพิวเตอร์ประเทศไทย หรือ ThaiCERT (Thailand Computer Emergency
Response Team) ซึ่งอยู่ภายใต้กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร (กระทรวง ICT)
สาหรับวิสัยทัศน์ก็คือ ต้องการให้สังคมออนไลน์มีความมั่นคงปลอดภัย เกิดความเชื่อมั่นกับผู้ทา
ธุรกรรมทางอิเล็คทรอนิกส์ ส่วนพันธกิจของ ThaiCERT จะมุ่งเน้นการประสานงานกับหน่วยงานใน
เครือข่ายและหน่วยงานอื่นๆ ที่เกี่ยวข้องในการดาเนินการแก้ไขเหตุภัยคุกคามด้านเทคโนโลยี
สารสนเทศและการสื่อสารที่ได้รับแจ้ง นอกจากนี้ ThaiCERT ยังมีพันธกิจเชิงรุกที่ให้ความสาคัญกับ
การพัฒนาทรัพยากรบุคคล เพื่อเพิ่มขีดความสามารถด้านการรักษาความมั่นคงปลอดภัย

76. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)
เว็บไซต์ ThaiCERT (www.thaicert.or.th) ซึ่งหน้าเว็บจะคอยแจ้งเตือนข่าวล่าสุดที่เกี่ยวข้องกับความปลอดภัย
รวมถึงการเตรียมเอกสารเผยแพร่ ที่ผู้คนทั่วไปสามารถเข้าไปศึกษาและเรียนรู้ถึงวิธีการป้องกันภัยในรูปแบบต่างๆ

77. ดร.ธีทัต ตรีศิริโชติ
บทที่ 8 การรักษาความปลอดภัยในอีคอมเมิร์ซ
(Electronic Commerce Security)