Transcript การป้องกัน

บทที1่ 0
การฉ้อโกงอี-คอมเมิร์ซและการรักษาความปลอดภัย
วัตถุประสงค์ การเรียนรู้
เข้ าใจถึงความสาคัญและขอบเขตของความปลอดภัยของระบบ
ข้ อมูลสาหรับอี-คอมเมิร์ซ
2. อธิบายแนวคิดหลักและคาศัพท์ของการรักษาความปลอดภัยอีคอมเมิร์ซ
3. เรี ยนรู้เกี่ยวกับภัยคุกคามความปลอดภัยอี-คอมเมิร์ซ,ช่องโหว่ที่
สาคัญ และความเสี่ยง
4. เข้ าใจฟิ ชชิ่งและความสัมพันธ์ที่เกี่ยวกับอาชญากรรมทางการเงิน
5. อธิบายข้ อมูลการประกันหลักการรักษาความปลอดภัย
6. ระบุและประเมินหลักเทคโนโลยีและวิธีการสาหรับการรักษาความ
ปลอดภัยการสื่อสารของอี-คอมเมิร์ซ
1.
วัตถุประสงค์ การเรียนร้ ู
อธิบายเทคโนโลยีที่สาคัญสาหรับการป้องกันเครื อข่ายของอีคอมเมิร์ซ
8. อธิบายถึงประเภทต่างๆของการควบคุมและกลไกการป้องกัน
พิเศษ
9. อธิบายบทบาทของธุรกิจต่อเนื่องและการวางแผนการกู้คืนภัย
พิบตั ิ
10. อธิบายปั ญหาด้ านความปลอดภัยการใช้ งานทังองค์
้ กรของอีคอมเมิร์ซ
11. เข้ าใจว่าทาไมมันถึงเป็ นไปไม่ได้ ที่จะหยุดการก่ออาชญากรรม
ทางคอมพิวเตอร์
7.
ปัญหาการรักษาความปลอดภัยของข้ อมูล
 การรักษาความปลอดภัยอี-คอมเมิร์ซ คืออะไร
- การรักษาความปลอดภัยคอมพิวเตอร์หมายถึงการปกป้ องข้อมูล
ของเครื อข่าย โปรแกรมคอมพิวเตอร์พลังงานของคอมพิวเตอร์
และองค์ประกอบอื่น ๆ ของระบบสารสนเทศคอมพิวเตอร์
-อาชญากรรมทางคอมพิวเตอร์ CSI และการสารวจการรักษา
ความปลอดภัย
การสารวจการรักษาความปลอดภัยประจาปี ขององค์กรสหรัฐ,
หน่วยงานภาครัฐ, สถาบันการเงินและทางการแพทย์, และ
มหาวิทยาลัยจัดทาขึ้นโดยเอฟบีไอและสถาบันการรักษาความ
ปลอดภัยคอมพิวเตอร์
รู ปที่10.1เหตุการณ์การโจมตีคอมพิวเตอร์ที่สาคัญในปี 2008
รู ปที่ 10.2 วิธีการรักษาความปลอดภัยที่สาคัญที่ใช้ในปี 2008
ปัญหาการรักษาความปลอดภัยของข้ อมูล
•ไดรเวอร์ ของปั ญหาการรักษาความปลอดภัยอี-คอมเมิร์ซ
-การออกแบบที่มีช่องโหว่บนอินเตอร์เน็ต
• ระบบชื่อโดเมน (DNS)
แปล (แปลง) ชื่อโดเมนที่อยู่ IP ที่เป็ นตัวเลขของพวกเขา
• IP address
ที่อยูท่ ี่ระบุคอมพิวเตอร์ที่เชื่อมต่อเครื อข่ายหรื ออินเทอร์เน็ตของแต่
ละเครื่ อง
ปัญหาการรักษาความปลอดภัยของข้ อมูล
-การหลอกลวงเพื่อชักนาให้เกิดกาไรของอาชญากรรม
-เศรษฐกิจใต้ ดินบนอินเตอร์ เน็ต
ตลาดอิเล็กทรอนิกส์สาหรับข้อมูลข่าวสารที่ถูกขโมยมา ขายผ่าน
website กว่า1000 website เช่น รหัสบัตรเครดิต รหัส
ประกันสังคม และข้อมูลอื่นๆ เช่น หมายเลขบัญชีธนาคาร ,ไอดี
เครื อข่ายสังคม, รหัสผ่าน, และอื่น ๆ อีกมากมาย
 keystroke logging (key logging)
วิธีการในการจับภาพและบันทึกการกดแป้ นพิมพ์ของผูใ้ ช้
การออกคาสั่ งความปลอดภัยคอมพิวเตอร์
อิเล็กทรอนิกส์ พืน้ ฐาน และลักษณะ

เทคโนโลยีพืน้ ฐานความปลอดภัย
- แผนการติดต่อทางธุรกิจ
วางแผนที่ช่วยให้ธุรกิจของการทางานหลังจากที่เกิดภัยพิบตั ิ
ในธุรกิจแต่ละคนควรความสามารถในการวางแผนที่จะกูค้ ืนอย่าถูกต้อง
- อาชญากรรมบนโลกไซเบอร์
การก่ออาชญากรรมโดยเจตนาที่ดาเนินการบนอินเทอร์เน็ต
- การเปิ ดเผย
ค่าใช้จ่ายประมาณ, การสู ญเสี ยหรื อความเสี ยหายที่สามารถส่ งผลเป็ นภัยคุกคามโดยอาศัย
ช่องโหว่
- การโกง
กิจกรรมทางธุรกิจใด ๆ ที่ใช้การปฏิบตั ิที่หลอกลวงหรื ออุปกรณ์เพื่อกีดกันการควบคุมสิ ทธิ
ในทรัพย์สินหรื ออื่น ๆ
การออกคาสั่ งความปลอดภัยคอมพิวเตอร์
อิเล็กทรอนิกส์ พืน้ ฐาน และลักษณะ
- malware (ซอฟต์แวร์ที่เป็ นอันตราย)
คาทัว่ ไปที่ใช้เรี ยกซอฟต์แวร์ที่เป็ นอันตราย
- phishing
เทคนิคเครื่ องมือของอาชญากรรมที่จะขโมยตัวตนในบริ ษทั เป้ าหมายที่จะได้รับ
ข้อมูลเฉพาะตัวของลูกค้าของบริ ษทั
- ความเสี่ ยง
เป็ นที่ช่องโหว่ที่น่าจะเป็ นที่รู้จกั และนามาใช้
- สังคมวิศวกรรม
ประเภทของการโจมตีทางเทคนิคที่ใช้เล่ห์เหลี่ยมบางอย่างเพื่อหลอกลวงให้ผใู้ ช้
เปิ ดเผยข้อมูลหรื อการดาเนินการกระทาที่ ละเมิดทางคอมพิวเตอร์หรื อเครื อข่าย
การออกคาสั่ งความปลอดภัยคอมพิวเตอร์
อิเล็กทรอนิกส์ พืน้ ฐาน และลักษณะ
-spam
อีเมลขยะ
-ช่องโหว่
จุดอ่อนในซอฟต์แวร์หรื อกลไกอื่น ๆ ที่คุกคามความลับ, ความสมบูรณ์ของสิ นทรัพย์ (จา
รู ปแบบการ CIA) มันสามารถใช้โดยตรงโดยแฮกเกอร์เพื่อให้เข้าถึงระบบหรื อเครื อข่าย
-zombies
เครื่ องคอมพิวเตอร์ที่ถูกแฮกและถูกนามาใช้เป็ นเครื่ องมือเพื่อกระทาสิ่ ง ต่างๆตามที่ผู ้
บุกรุ กต้องการ ไม่วา่ จะเป็ นทาการสแกนเครื่ องของชาวบ้านเค้า โจมตี DoS หรื อ DDoS
เพื่อทาให้ระบบเครื่ อข่ายหรื อเซิร์ฟเวอร์เป้ าหมายไม่สามารถใช้งานได้อย่าง ปกติ ด้วย
ลักษณะของการที่เครื่ องคอมพิวเตอร์ที่ถูกแฮค (ตายไปแล้ว) และได้ถูกใช้มาทาการโจมตี
ระบบอื่นๆอย่างบ้าคลัง่ (ถูกปลุกขึ้นมาอาละวาด)
รู ปที่10.3 การรักษาความปลอดภัยของ EC Battleground
การโจมตี
เป้าหมาย
การป้องกัน
การโจมตี,
คอมพิวเตอร์
ข้ อมูล
ระบบ
การป้องกันและวิธีการ
วิธีการ
โดยเจตนา
อาชญากร
มิใช่ด้วยเจตนา
ภัยพิบตั ิทางธรรมชาติ
ฮาร์ ดแวร์
ซอฟต์แวร์
ขันตอนการปฏิ
้
บตั ิ
e - mail
อุปกรณ์
เครือข่าย
ทางานผิดปกติ
ผิดพลาดของมนุษย์
มนุษย์
ฮาร์ ดแวร์
ซอฟต์แวร์
กฎระเบียบ
นโยบาย
กลยุทธ์
การปฏิบตั ติ าม
ความเป็ นส่วนตัว
การป้องกัน
ผลประโยชน์คา่ ใช้ จ่าย
การป้องกันสแปม
สปายแวร์
การป้องกัน
ช่องโหว่
การประเมินผล
การป้องกัน
การตรวจสอบ
อุปสรรค
สารองข้ อมูลระยะไกล
ป้องกัน e - mail
ธุรกิจ
ต่อเนื่อง
การควบคุม
สารองข้ อมูลระยะไกล
ระบบ
ผู้ใช้
การป้องกัน
ที่ไม่ใช่ทางด้ านเทคนิค
การป้องกัน
การกู้คืน
การออกคาสั่ งความปลอดภัยคอมพิวเตอร์
อิเล็กทรอนิกส์ พืน้ ฐาน และลักษณะ
สถานการณ์ การรักษาความปลอดภัยและความต้ องการในอี-คอมเมิร์ซ
-ความต้องการการรักษาความปลอดภัย EC
 ตรวจสอบความถูก ตรวจสอบความถูกเป็ นกระบวนการในการตรวจสอบ (มัน
่ ใจ)
ตัวตนที่แท้จริ งของกิจการซึ่ง
อาจจะเป็ นแต่ละเว็บไซต์ตวั แทนซอฟแวร์, โปรแกรมคอมพิวเตอร์หรื อ EC สาหรับการ
ส่ ง, การตรวจสอบจะตรวจสอบว่าผูส้ ่ งข้อความเป็ นผูท้ ี่อา้ งให้บุคคลหรื อองค์กรถูกต้อง
หรื อไม่
 การอนุมัติ การอนุมตั ิเป็ นกระบวนการของการกาหนดสิ่งที่เป็ นองค์กรรับรองความ
ถูกต้ องให้ ได้ รับอนุญาตให้ เข้ าถึงการดาเนินงานและสิ่งที่จะได้ รับอนุญาตในการ
ดาเนินการ การอนุมตั ิของกิจการเกิดขึ ้นหลังจากการตรวจสอบ
 การปฏิเสธ สัมพันธ์ ใกล้ ชิดกับตรวจสอบความถูกปฏิเสธเป็ นความเชื่อมัน
่ ว่าลูกค้ า
ออนไลน์หรื อคูค่ ้ าจะไม่สามารถที่จะปฏิเสธการเท็จ (ปฏิเสธ) การซื ้อการทาธุรกรรม
ของพวกเขาหรื อภาระหน้ าที่อื่น ๆ ปฏิเสธเกี่ยวข้ องกับการรับรองหลายแห่งรวมถึงการ
ให้

การออกคาสั่ งความปลอดภัยคอมพิวเตอร์
อิเล็กทรอนิกส์ พืน้ ฐาน และลักษณะ
การป้องกัน : การป้องกัน และกลยุทธ์ ของพวกเขา
- กลยุทธ์การรักษาความปลอดภัย EC
กลยุทธ์การรักษาความปลอดภัย EC ประกอบด้วยหลายชั้นการ
ป้ องกันเป็ นสิ่ งจาเป็ นต่อกลยุทธ์ดงั กล่าว มุมมอง EC การรักษาความ
ปลอดภัยเป็ นกระบวนการของการยับยั้ง, การป้ องกันและการ
ตรวจสอบการใช้งานที่ไม่ได้รับอนุญาตจากแบรนด์ขององค์กร
เอกลักษณ์ เว็บไซต์, e - mail, ข้อมูล, หรื อทรัพย์สินอื่น ๆ และ
พยายามที่จะฉ้อโกงองค์กรลูกค้าของบริ ษทั และพนักงาน

การออกคาสั่ งความปลอดภัยคอมพิวเตอร์
อิเล็กทรอนิกส์ พืน้ ฐาน และลักษณะ
มาตรการยับยัง้
การกระทาที่จะทาให้ อาชญากรละทิ ้งความคิดของการโจมตีพวกเขา
ระบบที่เฉพาะเจาะจง (เช่นความเป็ นไปได้ ของการสูญเสียงาน
สาหรับภายใน)
- มาตรการป้องกัน
วิธีที่จะช่วยให้ ผ้ ใู ช้ ที่ไม่ได้ รับอนุญาต (เรี ยกว่า"ผู้บกุ รุก") หยุดจากการ
เข้ าถึงเป็ นส่วนหนึ่งของระบบใด ๆ EC
- มาตรการการตรวจสอบ
วิธีการที่จะตรวจสอบว่ามีผ้ บู กุ รุกพยายามที่จะเจาะเข้ าสู่ระบบ EC
-
การออกคาสั่ งความปลอดภัยคอมพิวเตอร์
อิเล็กทรอนิกส์ พืน้ ฐาน และลักษณะ
ข้อมูลการประกัน (IA)
การป้ องกันของระบบข้อมูลกับการเข้าถึงหรื อการเปลี่ยนแปลงของ
ข้อมูลว่าในจัดเก็บการประมวลผลหรื อการขนส่ งและการต่อต้าน
การปฏิเสธของการบริ การให้กบั ผูใ้ ช้อานาจรวมทั้งมาตรการที่
จาเป็ นต้องตรวจสอบเอกสารและภัยคุกคามดังกล่าวที่ในทาง
ตรงกันข้าม
-
TECHNICAL ATTACK
METHODS
เทคนิควิธีการโจมตี
TECHNICAL AND NONTECHNICAL
ATTACKS
ไวรัส virus
ไวรัส คือ โปรแกรมชนิดหนึ่งที่มีความสามารถในการสาเนาตัวเองเข้าไปติดอยูใ่ น
ระบบคอมพิวเตอร์ ได้ และถ้ามีโอกาสก็สามารถแทรกเข้าไประบาดในระบบ
คอมพิวเตอร์อื่นๆเวิร์ม
 Worm
คือหน่วยย่อยลงมาจากไวรัสคอมพิวเตอร์ ปกติแล้ว หนอนคอมพิวเตอร์ จะ
แพร่ กระจายโดยไม่ผา่ นการใช้งานของผูใ้ ช้ โดยมันจะคัดลอกและกระจายตัวมันเอง
ข้ามเครื อข่าย เช่น ระบเครื อข่าย หรื อ อินเทอร์เน็ต เป็ นต้น หนอนคอมพิวเตอร์
สามารถทาลายข้อมูลและแบนด์วทิ สร้างความเสี ยหายให้กบั คอมพิวเตอร์ รวมไปถึง
การทาให้คอมพิวเตอร์หยุดทางาน
 แมกโคร ไวรัส macro virus (macroworm)
แมโครไวรัสหรื อหนอนแมโครจะถูกดาเนินการเมื่อเปิ ดโปรแกรมประยุกต์ที่
ประกอบด้วยแมโครหรื อกระบวนงานที่จะดาเนินการโดยเฉพาะเจาะจง

ม้ าโทรจัน Trojan
โปรแกรมที่ดูเหมือนจะมีฟังก์ชนั ที่มีประโยชน์ แต่ที่มีฟังก์ชนั่ ที่
ซ่อนอยูท่ ี่มีความเสี่ ยงด้านความปลอดภัย เป็ นโปรแกรมเพื่อลอบ
เก็บข้อมูลของคอมพิวเตอร์เครื่ องนั้น เช่น ข้อมูลชื่อผูใ้ ช้ รหัสผ่าน
เลขที่บญั ชีธนาคาร หมายเลขบัตรเครดิต และข้อมูลส่ วนบุคคลอื่น

โทรจันธนาคาร Banking Trojan
โทรจันมาพร้อมกับชีวิต เมื่อเจ้าของเครื่ องคอมพิวเตอร์เข้าชมหนึ่ง
ในจานวนหน้าเว็บของธนาคารออนไลน์หรื อเว็บไซต์ e - commerce

การปฏิเสธของบริการ (DOS) การโจมตี
การโจมตีบนเว็บไซต์ซ่ ึงในการโจมตีจะใช้ซอฟต์แวร์พิเศษในการ
ส่ งแพ็กเก็ตข้อมูลไปยังเครื่ องคอมพิวเตอร์เป้ าหมายโดยมี
วัตถุประสงค์ทรัพยากรจานวนมาก

บ็อตเน็ต
มีจานวนมาก (เช่นหลายร้อยหลายพัน) ของการแย่งชิงคอมพิวเตอร์
ที่ใช้อินเทอร์เน็ตที่ได้รับการตั้งค่าการส่ งต่อการจราจรรวมทั้งสแปม
และไวรัสไปยังคอมพิวเตอร์เครื่ องอื่น ๆ บนอินเทอร์เน็ต

Phishing, Financial Fraud, and Spam
ฟิ ชชิ่ง
man - in - the - middle
phishersใช้เครื่ องมือที่ใช้โดยมีการตั้งค่า URL ที่สามารถโต้ตอบใน
เวลาจริ งกับเนื้อหาของเว็บไซต์ที่ถูกต้องเช่นเว็บไซต์ของธนาคาร
หรื อเว็บ EC, การขวางข้อมูลที่ป้อนโดยลูกค้าที่เข้าสู่ ระบบหรื อ
ตรวจสอบหน้าเว็บไซต์ตวั อย่างของการฟิ ชชิง เช่น การบอกแก่ผรู ้ ับ
ปลายทางว่าเป็ นธนาคารหรื อบริ ษทั ที่น่าเชื่อถือ และแจ้งว่ามีสาเหตุ
ทาให้คุณต้องเข้าสู่ระบบและใส่ ขอ้ มูลที่สาคัญใหม่ โดยเว็บไซต์ที่
ลิงก์ไปนั้น มักจะมีหน้าตาคล้ายคลึงกับเว็บที่กล่าวถึง

FRAUD ON THE INTERNET
การฉ้ อโกงบนอินเทอร์ เน็ต
Click Fraud
คือ การคลิกโกงเป็ นการสร้างสถิติการจราจรเฟ้ อเทียมเพื่อฉ้อโกง
การโฆษณาหรื อ เว็บไซต์ที่การกระทาผิดกฎสาหรับการโฆษณา ใน
แบบจาลองการโฆษณา pay-per-click ทัว่ ไป ผูโ้ ฆษณาจ่าย
ค่าธรรมเนียมสาหรับคลิกแต่ละครั้งกับการเชื่อมโยงของพวกเขา
identity theft การโจรกรรม
การทุจริ ตที่เกี่ยวข้องกับการขโมยตัวตนของบุคคลและจากนั้นการ
ใช้รหัสประจาตัวที่มีคนทาท่าจะเป็ นคนอื่นเพื่อขโมยเงินหรื อได้รับ
ผลประโยชน์อื่น ๆ
Spam (สแปม) คือ การส่ งข้อความถึงผูท้ ี่ไม่ตอ้ งการรับ ก่อให้เกิด
ความราคาญ ละเมิดสิ ทธิความเป็ นส่ วนตัว และผิดกฏหมาย
ลักษณะของสแปม คือ ไม่ปรากฏชื่อผูส้ ่ ง (Anonymous) ส่ งโดยไม่
เลือกเจาะจง (Indiscriminate) และ ส่ งได้ทวั่ โลก (Global)
 Spam Mail (สแปมเมล) คือ จดหมายอิเล็กทรอนิ กส์ที่ผส
ู ้ ่ ง (ซึ่ง
มักจะไม่ปรากฏชื่อและที่อยูข่ องผู ้ ส่ ง) ได้ส่งไปยังผูร้ ับอย่าง
ต่อเนื่องโดยส่ งจานวนครั้งละมากๆและมิได้รับความยินยอมจาก
ผูร้ ับ
 spam siteสแปมไซต์
เพจที่ใช้เทคนิคที่จงใจล้มล้างกลไกเครื่ องมือค้นหาของปลอมขยาย
การจัดอันดับหน้าของเว็บ

บล็อกสแปม (spam blog)
หรื อ สปล็อก (splog) คือการสร้างข้อความขยะ หรื อข้อความ
โฆษณา หรื อข้อความต่าง ๆ ที่คล้ายกับการสร้างความน่าเชื่อถือ
ภายในบล็อก
 Spyware
คือโปรแกรมที่คอยเก็บรวบรวมข้อมูล และพฤติกรรมของผูท้ ี่ใช้
อินเตอร์เน็ตโดยไม่ ให้บุคคลนั้นๆรู ้ตวั

รู ปแบบการป้องกันข้ อมูลและวิธีการป้องกันข้ อมูล
CIA security triad (CIA triad)
ระบบการรักษาความปลอดภัยจากบุคคลที่สาม มี 3 แนวคิดที่
สาคัญคือ การรักษาความลับ, ความถูกต้องของข้อมูล และความ
พร้อมของระบบ
ความพร้ อมของระบบ
มีการประกันการเข้าถึงข้อมูลของเว็ป E-Commerce ในเวลาที่
เหมาะสม ระบบมีความน่าเชื่อถือ และมีการจากัดการอนุญาตผูใ้ ช้
รู ปแบบการป้องกันข้ อมูลและวิธีการป้องกันข้ อมูล
การรักษาความลับ
การทาให้เกิดความเชื่อมัน่ ในการเก็บรักษาข้อมูลที่เป็ นส่ วน
บุคคล ข้อมูลต่าง ๆ เหล่านี้จะถูกเข้ารหัส เพื่อที่จะสามารถอ่านได้
เฉพาะผูท้ ี่มีสิทธิเท่านั้น
ความพร้ อมของระบบ
มีการประกันการเข้าถึงข้อมูลของเว็ป E-Commerce ในเวลาที่
เหมาะสม ระบบมีความน่าเชื่อถือ และมีการจากัดการอนุญาตผูใ้ ช้
รู ปที่ 10.7 CIA Security Triad
รู ปที่ 10.8 ขอบเขตกลยุทธ์การรักษาความปลอดภัยของ E-Commerce
รู ปแบบการป้องกันข้ อมูลและวิธีการป้องกันข้ อมูล
กลยุทธ์ การป้องกัน
- การป้ องกันและยับยั้ง
- การตรวจสอบ
- การจากัดความเสี ยหาย
- การกูค้ ืน
- การแก้ไข
- ความตระหนักและการปฏิบตั ิตาม
รู ปแบบการป้องกันข้ อมูลและวิธีการป้องกันข้ อมูล
การวางแผนการรักษาความปลอดภัย E-Commerce
มี 4 ขั้นตอนดังนี้
- การวางแผน
- การดาเนินการ
- การดาเนินงานและการบารุ งรักษา
- การติดตามตรวจสอบและการประเมินผล
การป้ องกัน : การควบคุมการเข้ าถึง, การเข้ ารหัส และ
PKI
การควบคุมการเข้ าถึง
การควบคุมการเข้าถึง จะมีตอ้ งการรับรองความถูกต้องซึ่งเรี ยกว่า
การพิสูจน์ผใู ้ ช้งาน
Passive Tokens
คืออุปกรณ์จดั เก็บข้อมูลที่มีรหัสลับ โดยจะมีการใช้เทคนิคที่
เรี ยกว่า การตรวจสอบสอง
Active Tokens
จะมีความสามารถทางอิเล็กทรอนิกส์อย่างเดียว นัน่ คือ การสร้าง
รหัสผ่านเพื่อใช้งานครั้งเดียว
การป้องกัน : การควบคุมการเข้ าถึง, การเข้ ารหัส และ
PKI
Biometric Control
เป็ นวิธีการพิสูจน์ตวั ตนโดยอัตโนมัติ โดยจะขึ้นอยูก่ บั ลักษณะ
ทางกายภาพ หรื อ พฤติกรรม
Biometric Systems
สามารถระบุตวั ตนของผูใ้ ช้ที่ลงทะเบียน โดยการค้นหาผ่าน
ฐานข้อมูลที่ตรงกับลักษณะทางชีวภาพของบุคคล หรื อ ระบบที่
สมาชิกสามารถยืนยันตัวตนได้
การป้องกัน : การควบคุมการเข้ าถึง, การเข้ ารหัส และ
PKI
การเข้ ารหัสและระบบคีย์เดียว (SYMMETRIC)
Encryption
กระบวนการในการ scrambling (การเข้ารหัส) มีความยุง่ ยาก,
สิ้ นเปลืองหรื อใช้เวลานานสาหรับคนที่ไม่ได้รับอนุญาต เพื่อ
unscramble (ถอดรหัส)
การเข้ ารหัสคีย์แบบ Symmetric (Private)
ระบบการเข้ารหัสที่ใช้คียเ์ ดียวกันในการเข้ารหัสและถอดรหัส
ข้อความ
รู ปที่ 10.10 การเข้ารหัสคียแ์ บบ Symmetric (Private)
การป้องกัน : การควบคุมการเข้ าถึง, การเข้ ารหัส และ
PKI
โครงสร้ างพืน้ ฐานของ PUBLIC KEY (PKI)
รูปแบบการรักษาความปลอดภัยสาหรับ e-payments ใช้ ในการ
เข้ ารหัสคีย์สาธารณะ และส่วนประกอบทางเทคนิคต่าง ๆ
การเข้ ารหัส PUBLIC KEY (Asymmetric)
วิธีการของการเข้ ารหัสที่ใช้ คขู่ องการจับคูก่ บั คีย์คีย์สาธารณะ เพื่อ
เข้ ารหัสข้ อความและใช้ คีย์สว่ นตัวในการถอดรหัสนัน้
public key
การเข้ ารหัสคีย์ที่เป็ นสารธารณะที่สามารถใช้ ได้ กบั ทุกคน
private key
รหัสการเข้ ารหัสที่เป็ นที่มีเพียงเจ้ าของเท่านันที
้ ่ร้ ู
การป้องกัน : การควบคุมการเข้ าถึง, การเข้ ารหัส และ
PKI
ลายเซ็นต์ ดิจิตอลและใบรับรองดิจิตอล
ตรวจสอบผูส้ ่ งและการประทับเวลาของการทาธุรกรรมดังนั้นจึง
ไม่สามารถอ้างในภายหลังว่าการทาธุรกรรมที่ไม่ได้รับอนุญาต
หรื อไม่ถูกต้อง
Hash
เป็ นฟังก์ช้ันทางคณิตศาสตร์ ทใี่ ช้ ในการเข้ ารหัส และ ถอดรหัส ข้ อความ
Message Diges (MD)
การแยกย่อยข้อความ เป็ นการการแปลงข้อความที่เป็ นสตริ งมาเป็ น
ข้อความที่เป็ นตัวเลข
รู ปที่10.11 ลายเซ็นต์ดิจิตอล
การป้องกัน : การควบคุมการเข้ าถึง, การเข้ ารหัส และ
PKI
ซองจดหมายดิจิตอล
การรวมกันของข้อความต้นฉบับการเข้ารหัสและลายเซ็นดิจิทลั โดยใช้คีย ์
สาธารณะของผูร้ ับ
ใบรับรอง
การออกใบรับรองจะออกโดยบุคคลที่สาม
Secure Socket Layer (SSL)
เป็ นโปรโตคอลที่ได้การรับรองมาตรฐาน สาหรับการเข้ารหัสข้อมูล และ การ
ตรวจสอบข้อมูลที่เป็ นความลับ
Transport Layer Security (TLS)
ปี 1996 ได้มีการเปลี่ยนชื่อจาก Secure Socket Layer เป็ น Transport Layer
Security
10.7 การป้ องกัน II: การรักษาเครือข่ ายอีคอมเมิร์ซ
firewall (ไฟร์ วอล)
ไฟร์วอลคือสิ่ งกีดขวางระหว่างเครื อข่ายหรื อคอมพิวเตอร์ที่น่าเชื่อถือและอินเทอร์เน็ตที่
ไว้ใจไม่ได้ ในทางเทคนิคมันคือโหนดเครื อข่ายประกอบด้วยฮาร์ดแวร์และซอฟแวร์แยก
เครื อข่ายส่ วนบุคคลจากเครื อข่ายสาธารณะ บนอินเทอร์เน็ตข้อมูลและการร้องขอส่ งจาก
คอมพิวเตอร์เครื่ องหนึ่งไปยังที่อื่นๆแยกเป็ นส่ วนๆเรี ยกว่า แพกเก็ต ในแต่ละแพกเก็ตบรรจุที่
อยูข่ องคอมพิวเตอร์ที่ส่งข้อมูลตลอดจนที่อยูข่ องคอมพิวเตอร์
Demilitarized Zone (เขตปลอดทหาร)
DMZ คือพื้นที่ระหว่างเครื อข่ายองค์กรภายในและองค์กรภายนอก แยกการให้บริ การทาง
กายภาพสองเครื อข่ายควบคุมและบังคับใช้โดยไฟร์วอล ยกตัวอย่างเช่นสมมติวา่ บริ ษทั
ต้องการมีเวบไซต์เป็ นของตัวเอง ในการติดตั้งDMZ บริ ษทั จะใส่ เวบเซิฟเวอร์บนเครื อข่าย
สาธารณะที่สามารถเข้าถึงได้ และส่ วนที่เหลือของเซิฟเวอร์บนเครื อข่ายภายในส่ วนบุคคล แล้ว
ไฟร์วอลก็จะกาหนดจากภายนอกเพื่อเครื อข่ายและเซิฟเวอร์ที่เหมาะสม โดยส่ วนมากส่ วน
หน้าของไฟร์วอลภายในจะเพิม่ การตรวจสอบเป็ นสองเท่าเพื่อไม่ให้ผา่ นไปยังเครื อข่ายส่ วน
บุคคล
virtual private network (เครื อข่ายเสมือนส่ วนบุคคล) (VPN)
VPN (เครื อข่ายเสมือนส่ วนบุคคล) ใช้อินเทอร์เนตสาธารณะในการส่ งข้อมูลแต่ยงั คงเป็ นแบบส่วน
บุคคลอยูโ่ ดยใช้การรวมกันของการเข้ารหัสและตรวจสอบความถูกต้องเพื่อความน่าเชื่อถือของข้อมูลที่
ไม่ได้รับการดัดแปลงและมาจากแหล่งที่ถูกกฎหมาย VPN จะตรวจสอบสถานะของบุคคลที่เข้ามาใช้
เครื อข่าย นอกจากนี้ยงั สามารถสนับสนุนการติดต่อสื่ อสารแบบไซต์ทูไซต์ ระหว่างสาขาและสานักงาน
ใหญ่และการติดต่อสื่ อสารระหว่างโทรศัพท์เคลื่อนที่กบั สานักงาน VPN สามารถลดค่าใช้จ่ายในการ
ติดต่อสื่ อสารเพราะว่าอุปกรณ์ถูกกว่าแบบเช่าสาย การเช่าสายไม่สนับสนุนการเข้าถึงระยะไกล ผูใ้ ช้ที่
ควบคุมระยะไกลสามารถใช้การเชื่อมต่อแบบบรอดแบรนด์ทาให้สามารถเข้าถึงเครื อข่ายส่ วนบุคคลได้
ในระยะทางไกลและการเข้าถึงแบบสายเดียวสามารถใช้สนับสนุนหลายๆเป้ าหมายได้ เทคนิคหลักที่ทา้
ทายของ VPN คือความน่าเชื่อถือ ความไว้วางใจและความสมบูรณ์ของการส่ งข้อมูลไปยังอินเทอร์เนต
ในที่น้ ีคือการสร้างอุโมงโปโตคอล อันดับแรกคือการเข้ารหัสแล้วจึงเก็บไว้ในแพกเก็ตที่สามารถส่ งไป
ได้บนอินเทอร์เนต เราน์เตอร์จะถอดรหัสแพกเก็ตที่ปลายทาง
Intrusion detection system (IDS)
ระบบตรวจจับการบุกรุ กคือซอฟต์แวร์และหรื อฮาร์ดแวร์ที่ออกแบบมาเพื่อตรวจจับความพยายามที่จะกระทาสิ่ ง
ที่ผดิ กฎหมาย การเข้าถึง การจัดการและหรื อการปิ ดการใช้งานระบบคอมพิวเตอร์ผา่ นเครื อข่ายแต่ไม่สามารถตรวจจับการ
โจมตีทราฟฟิ กภายในที่เข้ารหัสอย่างถูกต้องได้โดยตรงคือใช้การตรวจจับแบบต่างๆของอาการที่เป็ นอันตราย โดยอาจยอมให้
ความปลอดภัยและสิ่ งที่เชื่อถือได้ของระบบคอมพิวเตอร์รวมถึงการการโจมตีเครื อข่ายต่อบริ การที่สุ่มเสี่ ยงโจมตีขอ้ มูลบนแอ
พลิเคชันการโจมตีอย่างเช่นการเพิ่มสิ ทธิพิเศษ การล็อกอินที่ไม่ได้รับอนุญาต การเข้าถึงไฟล์ที่ละเอียดอ่อนและเมลล์แวร์
(ไวรัสม้าโทรจันและหนอน)
ระบบตรวจจับการบุกรุ กฐานเครื อข่ายใช้กฎการวิเคราะห์กิจกรรมที่น่าสงสัยที่ขอบกั้นของเครื อข่ายหรื อตาแหน่งที่
สาคัญในเครื อข่ายมักจะประกอบด้วยการตรวจสอบแพกเก็ตและตัวแทนซอฟแวร์บนโฮสคอมพิวเตอร์ต่างๆและเสนอข้อมูล
กลับไปยังมอนิเตอร์ระบบตรวจจับการบุกรุ กชนิดนี้ ตรวจสอบทราฟฟิ กของเครื อข่ายเช่นแพกเก็ตเพื่อให้ทราบรู ปแบบการ
โจมตีและแจ้งโดยอัตโนมัติเมื่อเกิดกรณีเฉพาะขึ้นระบบตรวจจับการบุกรุ กฐานเครื อข่ายยังสามารถดาเนินการได้อย่างแน่นอน
เมื่อเกิดการโจมตีข้ ึน
Honeynet
Honeynets คือ อีกเทคโนโลยีที่สามารถตรวจจับและวิเคราะห์การบุกรุ ก
Honeynetsคือเครื อข่ายของการออกแบบ honeypotsเพื่อดึงดูดแฮกเกอร์
Honeypots คือระบบข้อมูลไฟร์วอลเราน์เตอร์ เว็บเซิร์ฟเวอร์ เซิร์ฟเวอร์ ฐานข้อมูล
ไฟล์และเหมือนกับระบบทัว่ ไปแต่ไม่ได้ทางานจริ งความแตกต่างหลักระหว่างhoneypotsและ
ของจริ งคือการกระทาบนhoneypotsมาจากผูบ้ ุกรุ กที่พยายามจะเข้าสู่ระบบในที่น้ ีนกั วิจยั จะ
รวบรวมข้อมูลเกี่ยวกับการโจมตีของแฮกเกอร์วา่ โจมตีอย่างไร ทาอะไรหลังจากที่เข้าระบบ
และติดต่อสื่ อสารอย่างไรหลังโจมตี
penetration test (pen test)
Pentest คือวิธีการของการประเมินความปลอดภัยของระบบคอมพิวเตอร์หรื อ
เครื อข่ายโดยจาลองการโจมตีจากแหล่งที่อนั ตรายกระบวนการเกี่ยวข้องกับการวิเคราะห์ของ
ระบบสาหรับช่องโหว่และการโจมตีการวิเคราะห์น้ ีดาเนินการจากการเป็ นผูโ้ จมตีและยัง
สามารถเกี่ยวข้องกับการแสวงหาผลกาไรของการรักษาความปลอดภัยที่เปราะบาง
10.8 The Defense III: General Controls and Other Defense Mechanisms (การป้ องกัน III : การ
ควบคุมทัว่ ไปและการป้ องกันกลไกอืน่ ๆ)
วัตถุประสงค์ของการจัดการความปลอดภัยของเทคโนโลยีสารสนเทศคือเพื่อป้ องกัน
องค์ประกอบของระบบข้อมูลทั้งหมด,ข้อมูลที่เฉพาะ,แอบพลิเคชัน่ ซอฟแวร์,ฮาร์ดแวร์และเครื อข่าย
กลยุทธ์การป้ องกันต้องการหลายการควบคุมดังที่แสดงใน รู ป EXHIBIT 10.12
general controls
หมวดหลักของการควบคุมทัว่ ไปคือ การควบคุม ทางกายภาพ, การ
เข้าถึง,การพิสูจน์บุคคล,และการควบคุมการจัดการ การควบคุมการจัดตั้ง
ขึ้นเพื่อปกป้ องระบบของคุณโดยไม่คานึงถึงโปรแกรมประยุกต์
เฉพาะ ตัวอย่างเช่นการปกป้ องฮาร์ดแวร์และการควบคุมการเข้าถึงศูนย์
ข้อมูลที่เป็ นอิสระจากโปรแกรมประยุกต์เฉพาะ
Physical Controls (การควบคุมทางกายภาพ)
การควบคุมทางกายภาพ หมายถึง การป้ องกันด้วยการอานวยความ
สะดวกแหล่งข้อมูล ประกอบไปด้วยการป้ องกันคุณสมบัติทางกายภาพเช่น
คอมพิวเตอร์,ศูนย์กลางข้อมูล,ซอฟแวร์,คู่มือและเครื อข่าย โดยเตรี ยมการ
ป้ องกันต่ออันตรายจากธรรมชาติตลอดจนต่ออันตรายจากมนุษย์ ความ
ปลอดภัยทางกายภาพที่เหมาะสมอาจประกอบด้วยหลายการควบคุม
intelligent agents
โปรแกรมซอฟต์แวร์ที่มีระดับของการเกิดปฏิกิริยาอิสระบางส่ วนและการปรับตัวเป็ นเป็ นสิ่ งจาเป็ นใน
สถานการณ์ที่ไม่สามารถคาดเดาการโจมตี ตัวแทนสามารถที่จะปรับตัวเองขึ้นอยูก่ บั การเปลี่ยนแปลงที่เกิดขึ้น
ในสภาพแวดล้อมของมัน
Application Controls (การควบคุมแอฟปลิเคชั่น)
การโจมตีที่ซบั ซ้อนมีวตั ถุประสงค์ที่ส่วนของแอฟปลิเคชัน่ และแอฟปลิเคชัน่ ส่ วนมากไม่ได้ออกแบบมา
เพื่อต้านทานการโจมตีดงั กล่าว เพื่อการอยูร่ อดที่ดีกว่า วิธีการประมวลผลข้อมูลจะใช้เทคโนโลยีตวั แทน
อัจฉริ ยะเรี ยกว่า softbot หรื อ knowbot เป็ นแอฟปลิเคชัน่ อัจฉริ ยะระดับสู งซึ่ งเหมือนกับแอฟปลิเคชัน่ ทัว่ ไปที่มี
บางระดับของปฏิกิริยา อิสระและการปรับตัวเพื่อการโจมตีไม่สามารถคาดการณ์ได้ โดยสามารถปรับตัวได้บน
สภาพแวดล้อมที่เปลี่ยนไป ดังแสดงใน EXHIBIT10.14
internal control environment
สภาพแวดล้อมการควบคุมภายในคือบรรยากาศการทางานของบริ ษทั
จัดตั้งเพื่อพนักงาน เป็ นการออกแบบกระบวนการเพื่อบรรลุเป้ าหมายคือ
1)ความน่าเชื่อถือของรายงานการเงิน
2)การดาเนินงานอย่างมีประสิ ทธิภาพ
3)การปฏิบตั ิตามกฎหมาย
4)การควบคุมและนโยบาย
5)การป้ องกันสิ นทรัพย์
PROTECTING AGAINST SPAM
ทั้งกฎหมายและเทคโนโลยีการป้ องกันใช้เพื่อขัดขวางหรื อเป็ นกลไกค้นหาบทลงโทษ
รู ปแบบอื่นๆของสแปมเชิงพาณิ ชย์ การส่ งสแปมเชิง
ธุรกิจที่ทาให้มีลกั ษณะเหมือนการส่ งอีเมล์ส่วนบุคคลจะถูกกรองโดย การควบคุมการคุคาม
ของสื่ อลามกที่ไม่มีการร้องขอและการตลาดแห่งสหรัฐอเมริ กา(CAN-SPAM)บังคับใช้ในปี
2003 อย่างไรก็ตามสแปมเมอร์ส่วนมากจะซ่อนเอกลัษณ์ส่วนบุคคลพื่อหลบการตรวจจับโดย
การแย่งใช้ยสู เซอร์ผอู้ ื่นหรื อสแปมซอมบี้เพื่อส่ งสแปม การตรวจจับมีผลที่ประสบความเร็ จ
ซึ่งจะเก็บข้อมูลบนเนื้อหาดังกล่าวเพื่อช่วยผูด้ ูแลระบบเครื อข่ายกรองมันออกไป หลักฐานที่มี
แสดงถึงวิธีการหาผลประโยชน์จากธุรกิจที่ผดิ จรรยาบรรณและกฎหมายหรื อการดาเนินการอี
คอมเมิชที่หลอกลวงจะยังมีต่อไป เพื่อเป็ นการป้ องกันด้วยตัวเอง
Google(google.com/contact/spamreport.html)และ
Yahoo!(add.yahoo.com/fast/help/us/ysearch/cgi_reportsearchspam)ได้มีมาตรการเชิงรุ กเช่น
เมื่อได้รับรายงานจากระบบว่ามีการดาเนินการที่เป็ นสแปม จะสร้างขั้นตอนวิธีการขึ้นมา
ตรวจสอบเพื่อการลงโทษและแบนออกจากเว็บไซต์ทนั ที
PROTECTING AGAINST POP-UP ADS
การใช้งานของpop-up เหมือนกันกับโปรแกรมการโฆษณาที่บางครั้งยากที่จะปิ ดโฆษณา
เมื่อปรากฎขึ้นมาบนจอ บางโฆษณาอาจมีส่วนที่เป็ นการยอมรับของผูใ้ ช้ให้ทาการตลาดได้แต่โดย
ส่ วนมากผูใ้ ช้จะไม่พึงประสงค์ อะไรบ้างที่ผใู้ ช้สามารถทาได้เกี่ยวกับการขึ้นมาเองของโฆษณาที่ไม่
พึงประสงค์ เครื่ องมือดังต่อไปนี้ช่วยหยุดการป๊ อป-อัพ
เครื่องมือหยุดการป๊ อป-อัพ ทางเดียวที่จะหลีกเลี่ยงอันตรายที่อาจเกิดขึ้นที่ซ่อนอยูเ่ บื้องหลัง
โฆษณาที่ข้ ึนมาเอง คือการติดตั้งซอฟแวร์ที่จะบล็อกการขึ้นมาเองของโฆษณา
หลายซอฟแวร์ให้บริ การปิ ดการป๊ อป-อัพ บางอันฟรี เช่น panicware.com อันอื่นก็สามารถใช้ได้โดย
เสี ยค่าธรรมเนียม สาหรับรายชื่อซอฟแวร์ที่ใช้ในการบล็อกการป๊ อป-อัพ ผูใ้ ห้บริ การอินเทอร์เน็ต
ให้บริ การเครื่ องมือในการหยุดการป๊ อป-อัพ บราวน์เซอร์Mozilla Firefox ไม่อนุญาตให้มีการป๊ อปอัพ แม้แต่ Google toolbar ก็บล็อกการป๊ อป-อัพ Microsoft ก็บล๊อกการป๊ อป-อัพในบราวเซอร์
Internet Explorer
อย่างไรก็ตามแอดแวร์หรื อซอฟแวร์ได้รับมาพร้อมกับแอฟปลิเคชัน่ ที่นิยม เหมือนกับการแชร์ไฟล์
คนสู่คน สามารถที่จะส่ งมอบโฆษณาที่ข้ ึนมาเองได้เพราะว่ามาจากเดสก์ทอปไม่ใช่บราวเซอร์
PROTECTING AGAINST SPYWARE
ในการตอบสนองต่อภาวะฉุ กเฉิ นของสปายแวร์ มีซอฟแวร์ ที่ป้องกันสปายแวร์ที่มี
ความหลากหลายมากซอฟแวร์ ที่มีอยูก่ ารทางานได้รับการยอมรับกลายเป็ น
ส่ วนประกอบของความปลอดภัยของคอมพิวเตอร์ทางานได้ดีสาหรับไมโครซอฟ
วินโดว์ จานวนการควบคุมได้ผา่ นกฎหมายของการป้ องกันสปายแวร์ซ่ ึ งมักจะมี
เป้ าหมายคือซอฟแวร์ ใดๆที่ติดตั้งอย่างลับๆล่อๆเพื่อควบคุมผูใ้ ช้คอมพิวเตอร์
10.9 ธุรกิจทีต่ ่ อเนื่อง, ตรวจสอบความปลอดภัย, และการบริหารความ
เสี่ ยง
ในการรักษาความปลอดภัยของ EC สาหรับ บริ ษทั ขนาดใหญ่
หรื อ บริ ษทั ที่ECมีบทบาทที่สาคัญ (เช่น, ธนาคาร, สายการบิน,E tailer) คือการเตรี ยมความพร้อมสาหรับภัยธรรมชาติหรื อที่มนุ ษย์สร้าง
ขึ้น ภัยพิบตั ิที่อาจเกิดขึ้นโดยไม่มีการเตือน การป้ องกันที่ดีที่สุดคือการที่
จะต้องเตรี ยม ดังนั้นจึงเป็ นองค์ประกอบสาคัญในระบบรักษาความ
ปลอดภัยใด ๆ ที่เป็ นแผนต่อเนื่องทางธุรกิจส่ วนใหญ่ประกอบด้วยแผน
กูค้ ืนระบบ แผนดังกล่าวแสดงกระบวนการที่ธุรกิจควรจะกูค้ ืนจากภัย
พิบตั ิที่สาคัญ
ธุ รกิจต่อเนื่ องและการวางแผนการกูร้ ะบบ
กูค้ ืนระบบคือห่ วงโซ่ ของเหตุการณ์ที่เชื่อมโยงแผนธุ รกิจต่อเนื่ องในการป้ องกัน
และการกูค้ ืนต่อไปนี้ มีความสาคัญต่อกระบวนการ
วัตถุประสงค์ของการวางแผนต่อเนื่ องทางธุ รกิจคือการทาให้ธุรกิจของทางาน
หลังจากที่ภยั พิบตั ิเกิดขึ้น
การทางานในธุ รกิจแต่ละคนควรมีการวางแผนการกูค้ ืนและความรับผิดชอบที่
ถูกต้อง
การวางแผนการกูค้ ืนเป็ นส่ วนหนึ่ งของการป้ องกันทรัพย์สิน ทุกองค์กรควรกาหนด
ความรับผิดชอบในการบริ หารจัดการระบุและการปกป้ องทรัพย์สินที่อยูภ่ ายในการ
ควบคุม
การวางแผนควรจะมุ่งเน้นในการกูค้ ืนแรกจากการสู ญเสี ยรวมของความสามารถ
ทั้งหมด
- โปรแกรมทุกโปรแกรมต้องระบุข้ นั ตอนการกูค้ ืนตามแผนที่ต้ งั ไว้
- แบบแผนควรจะเขียนเพื่อให้มีผลในกรณี ภยั พิบตั ิไม่เพียงเพื่อตอบสนองผูส้ อบ
บัญชี
- แบบแผนควรจะเก็บไว้ในสถานที่ที่ปลอดภัย, ในส่ วนของสาเนาควรจะเก็บไว้
กับผูจ้ ดั การ และแผนควรมีการตรวจสอบเป็ นระยะๆ
การหลีกเลี่ยงภัยพิบตั ิเป็ นแนวทางเชิงต่อการป้ องกัน มีแนวคิดที่จะลด
โอกาสของภัยพิบตั ิที่หลีกเลี่ยงได้ (เช่นไฟไหม้หรื อภัยคุกคามที่เกิดจากมนุษย์
อื่น ๆ ) ตัวอย่างเช่นหลาย บริ ษทั ใช้อุปกรณ์ที่เรี ยกว่าแหล่งจ่ายไฟอย่างต่อเนื่อง
(UPS)ซึ่ งให้พลังงานในกรณี ที่ไฟดับ
การบริหารความเสี่ ยงและการวิเคราะห์ ต้นทุนผลประโยชน์
โปรแกรมการรักษาความปลอดภัยด้านไอที จะต้องมีกระบวนการใน
การตัดสิ นใจเป็ นผูป้ ระเมินภัยคุกคามเพื่อลดปั ญหาการละเมิดต่างๆ
การวิเคราะห์ และจัดการความเสี่ ยง
การวิเคราะห์และจัดการความเสี่ ยงสามารถเพิ่มได้โดยการใช้
โปรแกรม DSS ในการคานวณซึ่ งจะมีแสดงไว้ที่นี่
Expected loss = P1 x P2 x L
P1 =การโจมตีของความน่าจะเป็ น ( ประมาณการขึ้นอยูก่ บั การตัดสิ นใจ )
P2= ความน่าจะเป็ นของการโจมตีจะสาเร็ จ (ขึ้นอยูก่ บั การตัดสิ นใจ)
L = การสูญเสี ยถ้าโจมตีประสบผลสาเร็ จ
ประเด็นด้ านจริยธรรม
การจัดการกับความเป็ นส่ วนตัวเมื่อเทียบกับการรักษาความ
ปลอดภัยถือว่าเป็ นเรื่ องยาก. การมีจริ ยธรรมและการกระทาที่บริ ษทั “ ต้อง
บุกรุ กความเป็ นส่ วนตัว” ของพนักงานและต้องตรวจสอบการทางานของ
พวกเขา โดยเฉพาะอย่างยิง่ มาตรการการรักษาความปลอดภัยมีความจาเป็ น
เพื่อปกป้ องการสูญเสี ยความรับผิดชอบและการดาเนินคดี. ไม่ใช่เพียงแต่จะ
สูญเสี ยเงินแค่น้ นั มันยังรวมไปถึงการเสี ยข้อมูลของลูกค้า ภาพลักษณ์ และ
ความสามารถในการดาเนินธุรกิจ เนื่องจากมักจะเกิดจากการกระทาของแฮก
เกอร์ มัลแวร์ หรื อพนักงานเอง
10.10 การดาเนินการรักษาความปลอดภัยขององค์กรอิเล็กทรอนิกส์
ตามที่มีสารวจในสัปดาห์ที่ตอ้ งสารวจข้อมูล Fratto 2008), การ
รักษาความปลอดภัยมีความท้าทายที่สาคัญสาหรับองค์กร คือ
- การจัดการกับความซับซ้อนของการรักษาความปลอดภัย ( 62%ของผูท้ ี่
ตอบแบบสอบถาม )
- ป้ องกันการรั่วไหลของข้อมูลจากการโจมตีนอก ( 35%ของผูต้ อบ
แบบสอบถาม)
- การบังคับใช้นโยบายการรักษาความปลอดภัย ( 31%ของผูต้ อบ
แบบสอบถาม)
การบริหารระดับสูงและการสนับสนุน
ความสาเร็จของกลยุทธ์ในการรักษาความปลอดภัยและโปแกรมจะขึ ้นอยู่
กับความมุง่ มัน่ และการมีสว่ นร่วมของผู้บริหารระดับสูงมักจะเรี ยกว่า “ เสียงเบื ้อง
บน” ความมุง่ มัน่ และการสื่อสารที่แท้ จริงที่เกี่ยวกับ EC และมาตรการการรักษา
ความปลอดภัยของข้ อมูลส่วนบุคคลซึง่ เป็ นสิ่งที่จาเป็ นเพื่อโน้ มน้ าวให้ ผ้ ใู ช้ วิธีการที่
ไม่ปลอดภัย วิธีการที่มีความเสี่ยง หรื อมีความผิดจรรยาบรรณ และข้ อผิดพลาด
เนื่องจากไม่ได้ รับการยอมรับในหลายๆรูปแบบของการรักษาความปลอดภัยที่ไม่
เป็ นที่นิยม
นโยบายความปลอดภัยและการฝึ กอบรม
ขันตอนต่
้
อไปนี ้ คือ การพัฒนานโยบายการรักษาความปลอดภัย ซึง่ เป็ น
นโยบายที่ระบุการใช้ ที่คอมพิวเตอร์ สามารถยอมรับได้ เครื อข่ายการควบคุม การเข้ าถึง
การบังคับใช้ บาทบาทและความรับผิดชอบ นโยบายที่จะต้ องมีการเผยแพร่ตลอดการ
ฝึ กอบรมขององค์กรและมีความจาเป็ นเพื่อให้ มนั่ ใจว่าทุกคนตระหนักถึงและเข้ าใจ
นโยบายเหล่านี ้มีความสาคัญ เนื่องมาจากกฎการควบคุมการ รายการควบคุมการเข้ าถึง
- ทราบข้ อมูลที่ถกู รวบรวม
- ใช้ สทิ ธิ์เลือก หรื อ เลือกเข้ าร่วม กับข้ อมูลที่รวบรวม
- วิธีการครอบคลุมข้ อมูลที่จะใช้ บางส่วน
- รู้ข้อมูลที่สามารถใช้ ได้ อย่างเหมาะสม
ความเข้ าใจที่มีมากขึ ้นของปั ญหาด้ านความปลอดภัย ซึง่ ระดับการผลิตจะ
ส่งผลกระทบต่อความสัมพันธ์ของลูกค้ าและผู้จดั จาหน่าย รายได้ และความรับผิดชอบ
ของผู้บริหารจะมีมากขึ ้น จาเป็ นที่ต้องมีการใช้ นโยบายครอบคลุมและทันสมัย AUP
จะแจ้ งให้ ผ้ ใู ช้ งานเกิดความรับผิดชอบของตนเมื่อใช้ เครื อข่ายของบริษัท อุปกรณ์ไร้
สาย ข้ อมูลลูกค้ าและอื่นๆที่มีประสิทธิภาพ AUP มีความต้ องการที่จะกาหนดความ
รับผิดชอบต่อผู้ใช้ ทกุ คน โดยการใช้ เครื่ องคอมพิวเตอร์ ที่มีการระบุ การยอมรับ หรื อ ไม่
ยอมรับ ในทังสองเครื
้
่ อง การเข้ าถึงเครื อข่ายของบริษัท ฐานข้ อมูล อีเมล์ ไม่ควรให้ กบั
ผู้ใช้ หลังจากกระบวนการทุกอย่างเสร็จสิ ้น
กระบวนการรั กษาความปลอดภัยและการบังคับใช้
กระบวนการรักษาความปลอดภัยจาเป็ นต้ องมีการประเมินของสินทรัพย์
และการเงินที่มีความเสี่ยง รวมไปถึงการพิจารณาค่าใช้ การและการดาเนินงาน ในการ
คานวณหาระดับที่เหมาะสมสาหรับการป้องกันในการรับผิดชอบต่อทรัพย์สินที่มี
ความจาเป็ นในการประเมินความเสี่ยง รูปแบบของความเสี่ยงสาหรับทรัพย์สิน จะ
ประกอบด้ วย 5 ประการ
การประเมินผล คือ การวิเคราะห์ผลกระทบทางธุรกิจหรื อ BLA การกาหนด
ผลกระทบของการสูญเสียการสนับสนุนจากทรัพยากรที่จะทาให้ องค์กรประมาณการ
ว่าการสูญเสียนี ้อาจเพิ่มขึ ้นได้ ในเวลาที่ผ่านไป ระบุแหล่งข้ อมูลขัน้ ต่าที่จาเป็ นในการ
กู้คืน
ปัจจัยความเสี่ ยงต่ อทรัพย์ สิน
- มูลค่าทรัพย์สินของบริ ษทั
- ความน่าสนใจของทรัพย์ที่จะมีความผิดทางอาญา
- ความรับผิดตามกฎหมายที่จะมาพร้อมกับกับการสูญเสี ยหรื อ
อาจมาจาก
การโจรกรรม
- การตลาด การดาเนินงานที่จะมีผลกระทบต่อการเงิน
- อาจมีแนวโน้มในการโจมตีทรัพย์สินได้สาเร็ จ
มาตรฐานอุตสาหกรรมที่จะป้องกันบัตรเครดิต ( PCI DSS )
นอกเหนือไปจากข้ อกาหนดของกฎหมายที่กาหนดและมาตรการการรักษา
ความปลอดภัยทางเทคนิคตามมาตรฐานอุตสาหกรรมที่ไม่ซ ้ากัน ถูกสร้ างขึ ้นในปี 2008
โดยทางสมาชิกอุตสาหกรรมจะมีการปกป้องลูกค้ าหรื อสมาชิกของพวกเขาโดยการทา
บัตรที่เรี ยกว่า Payment Card Industry Data Security Standard (PCI DSS), สร้ างขึ ้นโดย
Visa, MasterCard, American Express, and Discover.
PCI เป็ นสิ่งจาเป็ นสาหรับสมาชิกทุกตนในร้ านค้ า หรื อผู้ใช้ บริ การที่มี
กระบวนการหรื อส่งข้ อมูลผู้ถือบัตรระยะสัน้ PCI DSS ต้ องมีร้านค้ าและผู้ให้ บริการชาระ
เงินผ่านบัตรเพื่อให้ การใช้ งานเว็บบางอย่างของพวกเขามีความปลอดภัย หากมีการทา
อย่างถูกต้ องจริง อาจจะช่วยลดจานวนของที่เกี่ยวข้ องกับการละเมิดการรักษาความ
ปลอดภัย PCI DSS โปรแกรมจะป้องกันการโจมตี โดยใช้ อย่างใดอย่างหนึง่ ใน 2 วิธีนี ้
1.มีการกาหนดรหัสทังหมดโดยใช้
้
โปรแกรมประยุกต์เกี่ยวกับความ
ปลอดภัยของบริษัท
2.มีการติดตังไฟร์
้ วอลล์ทางหน้ าเว็ป โดยแต่ละไฟร์ วอลล์ของตัวเอง
จะมีตวั ที่ป้องกันการบุกรุกอยู่
วัตถุประสงค์ของ PCI DSS คือการปรับปรุง ความไว้ วางใจของ
ลูกค้ า โดยเฉพาะการชาระเงินออนไลน์และเพื่อความปลอดภัยบนเว็ปของ
ร้ านออนไลน์
ยากที่จะหยุดอาชญากรรมอินเทอร์ เน็ต
การช้ อปปิ ้ งที่ไม่ สะดวก
การช้ อปปิ ง้ ที่ไม่สะดวกจะให้ ความปลอดภัยที่มีความแข็งแรงนันไม่
้ สะดวกด้ วย
เช่นกัน อุตสาหกรรมไม่ต้องการที่จะบังคับใช้ การป้องกันที่เพิ่มแรงเสียดทานที่มีการได้
กาไรจากการค้ าออนไลน์ ซึง่ มันเป็ นไปได้ เช่นเดียวกับความต้ องการของรหัสผ่านของ
ทุกๆธุรกรรมบัตรเครดิต
ขาดความร่ วมมือจากบริษัทผู้ออกบัตรเครดิต
การขาดความร่วมมือจากบริษัทผู้ออกบัตรเครดิตและผู้ให้ บริการอินเตอร์ เน็ท
ท้ องถิ่นและต่างประเทศโดยเฉพาะอย่างยิ่งถ้ าแหล่ง ISP ที่จะให้ ความร่วมมือในการ
ระงับการเข้ าถึงของแฮกเกอร์ ก็จะเป็ นเรื่ องยากมาก แต่ต้องมีมาตรฐาน มีความแข็งแรง
และใช้ ข้อมูลร่วมกันโดยบริษัทบัตรเครดิต จะไม่สามารถแก้ ไขปั ญหาได้ มีอาชญากรทาง
โลกออนไลน์จานวนมาก
สิ่งที่ผ้ ซู อื ้ ประมาท
เหตุผลที่ 3 ที่เกี่ยวข้ องกับลูกค้ าที่ชอบซื ้อของในโลกออนไลน์ ที่ไม่ได้ รับการป้องกันเพื่อ
หลีกเลี่ยงการเป็ นเหยื่อ บางที่ผ้ ซู ื ้อมีการพึง่ พามากเกินไปเกี่ยวกับการป้องกันการทุจริ ตโดยผู้ออก
บัตรเครดิตไม่ได้ คานึงถึงควมเสี่ยงที่ใหญ่กว่าการโจรกรรม
ปั ญหาการออกแบบและสถาปั ตยกรรม
เหตุผลที่ 4 ที่เกิดจากระบบข้ อมูล (IS) การออกแบบสถาปั ตยกรรมและปั ญหาการรักษา
ความปลอดภัย มันจะเป็ นที่ร้ ูจกั กันดีวา่ การป้องกันที่มีช่องโหว่ระหว่างการออกแบบและขันตอน
้
การดาเนินงาน ซึง่ ปั ญหาที่เกิดขึ ้นภายหลัง คือ พนักงานของบริ ษัทมีความต้ องการเพื่อวาง
แผนการรักษาความปลอดภัยจากขันตอนการออกแบบ
้
เพราะอาจมีความผิดพลาดได้ ง่าย
การละเลยจากการป้องกันที่ดีท่ สี ุด
เหตุผลที่ 5 คือ หลายบริษัททุกขนาดมีการล้ มเหลวในการดาเนินการขัน้
พื ้นฐานจัดการความปลอดภัยทางด้ าน IT เช่น การรักษาความปลอดภัยเกี่ยวกับ
ธุรกิจต่อเนื่องและมีแผนกู้คืน ในปี 2008 คอมพิวเตอร์ เทคโนโลยี Industry
Association ( Comp TIA ) กลุม่ การค้ าที่ไม่แสวงหาผลกาไร กล่าวว่า ภัย
คุกคามที่แพร่หลายมากที่สดุ ในวันนี ้ เกิดขึ ้นใน อเมริกา
การดาเนินธุรกิจที่ขาดการดูแล
เหตุผลสุดท้ าย คือ การดาเนินธุรกิจที่ขาดการดูแลหรื อการจ้ าง และธุรกิจ
พันธมิตร มาตรฐานของการดูแลเป็ นหน้ าที่ในการดูแลที่เหมาะสม เนื่องจากการ
ดูแลบริษัทที่คาดว่าจะมีเหตุผลที่อยูบ่ นพื ้นฐานของความเสี่ยงที่มีผลต่อธุรกิจและ
การทาธุรกรรมออนไลน์ ถ้ าผู้จดั การไม่สนใจมาตรฐานของการดูแลทางด้ านธุรกิจ,
อาชญากรรมกับผู้ขายที่หลอกลวงกับประกันที่พวกเขานาข้ อมูลที่เป็ นความลับที่
จะเสี่ยงต่อการเปิ ดเผยตัวเองให้ มีปัญหาทางด้ านกฎหมาย