Transcript ระบบรักษาความปลอดภัยสำหรับพาณิชย์อิเล็กทรอนิกส์

167101
Computer in Business
บทที่ 6
พาณิชย์ อเิ ล็กทรอนิกส์
(E-Commerce)
อ. ธารารัตน์ พวงสุ วรรณ
ม.บูรพา วิทยาเขตจันทบุรี
[email protected]
1. ความหมายของพาณิชย์ อเิ ล็กทรอนิกส์

ก าร ด าเนิ น ธุ ร กิ จ โ ด ย ก าร แล ก เป ลี่ ย น ข้ อ มู ล ผ่ า น สื่ อ
อิเล็กทรอนิ กส์ เช่น การซื้ อขายสิ นค้าและบริ การ การโฆษณา
ผ่านสื่ ออิ เล็ก ทรอนิ กส์ หรื อการโอนเงิ นทางอิ เล็กทรอนิ กส์
โดยมี ว ตั ถุ ป ระสงค์เ พื่ อ ลดค่ า ใช้จ่ า ยและเพิ่ ม ประสิ ท ธิ ภ าพ
องค์การ
2. ประเภทของพาณิชย์ อเิ ล็กทรอนิกส์
1
2
3
4
• ธุรกิจกับธุรกิจ
(Business to Business :
B2B)
• ธุรกิจและลูกค้า
(Business to Consumers :
B2C)
• ธุรกิจกับรัฐบาล
(Business to Government :
B2G)
• ลูกค้ากับลูกค้า
(Consumers to Consumers :
C2C)
การดาเนิ นธุ รกรรมระหว่างธุ รกิ จมุ่งเนิ นการให้บริ การ
แก่ผปู้ ระกอบการด้วยกัน เป็ นการค้าระหว่างบริ ษทั กับ
บริ ษทั เช่น ระบบ EDI, ระบบ SCM, ระบบ CRM
เช่น www.freemarket.com
การดาเนิ นธุรกรรมระหว่างธุ รกิจที่มุ่งเนิ นการบริ การ
กับลูกค้าหรื อผูบ้ ริ โภค เช่น Amazon.com
การจัดซื้ อจัดจ้างของหน่วยงานราชการผ่านระบบ
อินเทอร์เน็ต
การด าเนิ นธุ ร กรรมระหว่ า งผู้ บ ริ โภคกั บ
ผู้บ ริ โภค เป็ นการค้ า ระหว่ า งผู้บ ริ โภคกั บ
ผูบ้ ริ โภค เช่น eBay ซึ่ งเป็ นเว็บไซต์ขนาด
ใหญ่ ที่ ขายของด้ ว ยวิ ธี การประมู ล เช่ น
www.thaisecondhand.com
ตัวอย่ าง Business-to-Consumer (B2C)

Amazon.com
 ผูซ
้ ้ือผ่าน Internet
 ไม่ตอ
้ งเสี ยค่าเช่าร้าน
 ไม่ตอ
้ งจ้างพนักงาน
 ไม่มีคลังเก็บสิ นค้า (เนื่ องจากทางร้านปล่อยให้เป็ นหน้าที่ของบริ ษท
ั ผูพ้ ิมพ์
หนังสื อเป็ นคนจัดการเอง)
ตัวอย่ างองค์ กรที่ใช้ B2B E-commerce


U.S. General Services Administration
ฝ่ ายจัดหาครุ ภณ
ั ท์ของ U.S. Federal Government ได้พฒั นาระบบการ
สั่งซื้อสิ นค้า GSA Advantage ช่วยให้องค์กรของรัฐบาลสามารถสั่งซื้อ
สิ นค้าผ่าน Web site ที่มีสินค้ามากกว่า 220,000 รายการ การใช้เว็บช่วย
ให้ผซู ้ ้ือสามารถดูรายการสัง่ ซื้อสิ นค้า และเลือกสิ นค้าได้ท้ งั ในด้านราคา
และการกาหนดนาส่ งสิ นค้า
Web site ของบริ ษทั Milacron Inc. ขายอุปกรณ์ การตัด การกลึงและ
อื่นๆ ให้แก่บริ ษทั ขนาดเล็กมากกว่า 100,000 บริ ษทั
ตัวอย่ าง Consumer-to-Consumer (C2C)
E-Auction ใน ebay
http://www.thaisecondhand.com
3. รูปแบบของพาณิชย์ อเิ ล็กทรอนิกส์
1.
2.
3.
4.
5.
6.
รายการสิ นค้าออนไลน์ (Online Catalogue)
การค้าปลีกอิเล็กทรอนิกส์ (e-Retailing)
การประมูลอิเล็กทรอนิกส์ (e-Auction)
การประกาศซื้ อ-ขายสิ นค้า (e-Classified)
รัฐบาลอิเล็กทรอนิกส์ (e-Government)
ตลาดกลางอิเล็กทรอนิกส์ (e-Marketplace)
รายการสินค้ าออนไลน์ (Online Catalogue)


ร้านค้าบนอินเทอร์ เน็ตที่แสดงรายการสิ นค้าอย่างเดียว หากลูกค้าต้องการสั่งซื้ อบริ ษทั จะให้
ลูกค้าโทรสั่งซื้ อสิ นค้า
วัตถุประสงค์เพื่อการสร้างภาพพจน์ของบริ ษทั และให้ขอ้ มูลสิ นค้าเบื้องต้นแก่กลุ่มเป้ าหมาย
การค้ าปลีกอิเล็กทรอนิกส์ (e-Retailing)

ก า ร ข า ย สิ น ค้ า แ ล ะ
บ ริ ก า ร ที่ มี รู ป แ บ บ
เ ว็ บ ไ ซ ต์ พ า ณิ ช ย์
อิเล็กทรอนิกส์ที่สมบูรณ์
แบบ
 ร ะ บ บ ก า ร จั ด ก า ร
สิ นค้า
 ระบบตะกร้ า สิ น ค้า
(Shopping)
 ระบบการชาระเงิน
 ระบบการจัดส่ ง
การประมูลอิเล็กทรอนิกส์ (e-Auction)


การให้ผคู ้ า้ นาสิ นค้าเข้าประมูลบนเว็บไซต์ มีการแข่งขันด้านราคา
การจัดซื้ อจัดจ้างในรู ปแบบตลาดกลางอิเล็กทรอนิ กส์
การประกาศซื้อ-ขายสิ นค้ า (e-Classified)


รู ปแบบเว็บไซต์ที่สามารถประกาศความต้องการซื้ อ-ขายสิ นค้า
เว็บ ไซต์เ หมื อ นกระดานข่ า วและตัว กลางในการแสดงข้อ มู ล สิ น ค้า ผูข้ ายจะ
ประกาศข่าวและให้หมายเลขโทรศัพท์ติดต่อ
รัฐบาลอิเล็กทรอนิกส์ (e-Government)

การนาเทคโนโลยีสารสนเทศมาเพิ่มประสิ ทธิ ภาพในการดาเนิ นการของหน่วยงาน
รัฐ และการปรั บปรุ งบริ การแก่ประชาชน การประชาสัมพันธ์ การบริ หารข้อมูล
และสารสนเทศ เพื่อส่ งเสริ มการพัฒนาเศรษฐกิจและสังคม
http://www.rd.go.th
ตลาดกลางอิเล็กทรอนิกส์ (e-Marketplace)

เว็บไซต์ตลาดกลางเพื่อขายสิ นค้าเฉพาะเรื่ อง โดยมีสินค้าของร้านค้าและบริ ษทั
โดยมีการแบ่งหมวดหมู่สินค้า
4. ข้ อแตกต่ างระหว่ างธุรกิจทัว่ ไปกับพาณิชย์ อเิ ล็กทรอนิกส์
การเพิม่ ประสิ ทธิภาพและ
ประสิ ทธิผล
การส่ งเสริมภาพลักษณ์ อนั ดี
การตอบสนองเพือ่ การแข่ งขัน
โครงข่ ายเศรษฐกิจ
การให้ บริการตลอด 24 ชั่วโมง
การติดตามพฤติกรรมของผู้บริโภค
การควบคุมและปฏิสัมพันธ์ ได้ ด้วย
ตนเอง
การสร้ างร้ านค้ าเสมือนจริง
5. ข้ อดีและข้ อเสียของพาณิชย์ อเิ ล็กทรอนิกส์
1.
2.
3.
4.
5.
6.
7.
ข้ อดีของ E-Commerce
เปิ ดดำเนินกำรค้ ำ 24 ชัว่ โมง
ดำเนินกำรค้ ำอย่ำงไร้ พรมแดนทัว่ โลก
ใช้ งบประมำณลงทุนน้ อย ประหยัดเวลำและ
ต้ นทุนในกำรรับส่งสินค้ ำและบริกำร
ตัดปั ญหำด้ ำนกำรเดินทำง
ง่ ำ ยต่ อ กำรประชำสั ม พั น ธ์ โ ดยสำมำรถ
ประชำสัมพันธ์ได้ ทวั่ โลก
บริ ษั ท ผู้ ผลิ ต สำมำรถขำยสิ น ค้ ำให้ ลู ก ค้ ำ
โดยตรง
ช่วยแก้ ปัญหำให้ ลกู ค้ ำได้ รวดเร็ว
5. ข้ อดีและข้ อเสียของพาณิชย์ อเิ ล็กทรอนิกส์
 ข้อเสี ยของพาณิ ชย์อิเล็กทรอนิ กส์
1.
2.
3.
4.
มาตรฐานด้านคุณภาพ ความปลอดภัยและความน่าเชื่อถือยังมีความ
ไม่แน่นอน ผูซ้ ้ื อและผูข้ ายจาเป็ นต้องมีความรู ้พ้ืนฐานในเทคโนโลยี
อินเทอร์เน็ต
ต้นทุนในการสร้างและพัฒนาค่อนข้างสู ง ลูกค้ายังไม่มีความเชื่อมัน่
ในสิ นค้า เนื่องจากไม่สามารถจับต้องสิ นค้าได้
กฎหมายและภาษียงั ไม่รับการปรับปรุ งให้มีความเหมาะสม
ความปลอดภัยของพาณิ ชย์อิเล็กทรอนิกส์ จึงต้องมีระบบรักษาความ
ปลอดภัยที่มีประสิ ทธิภาพ
6. หลักการตลาดของพาณิชย์ อเิ ล็กทรอนิกส์
1. Product
2. Price
3. Place
4. Promotion
5. Privacy
6. Personalize
7. Payment
สินค้า
ราคา
สถานที่
โปรโมชัน่
ความเป็ นส่วนตัว
การให้บริการแบบเฉพาะเจาะจงบุคคล
การชาระเงิน
1. Product (สินค้า)
สินค้า (Goods)
 ข้อมูล (Content)
 บริการ (Service)

สินค้าหรือผลิตภัณฑ์จะต้องตรงตามความต้องการของลูกค้า
ทัง้ ในด้านคุณภาพ รูปแบบ สีสนั และประโยชน์ใช้สอย รวมไปถึง
ตรายี่หอ้ สินค้า
สินค้า (Goods)
เริ่มต้นทา E-Commerce ขายอะไรดี ?
 สินค้าสื่ออิเล็กทรอนิกส์ (Digital Goods Product)
 Software (Palm Software,โปรแกรมไล่ยงุ )
 Media (Music, Picture)
 หนังสือ (EBook)
 สินค้าจับต้องได้ (Physical Goods Product)
 Books, Computer, มือถือ, เสื้อยืด Silk Screen,
 ข้าวหลาม
 อะไรก็ได้ ที่อยากขาย
2. Price (ราคา)



ตัง้ ราคาที่เหมาะสม (เช็คราคาตลาดและคูแ่ ข่ง)
สร้างความน่าสนใจ และความแตกต่าง
กาหนดราคารวมค่าขนส่งด้วย
 ประเทศหรือสถานที่สง
่ (อาจจะรวมค่าจัดส่งเข้าไปในสินค้าเลย)
การตัง้ ราคาสินค้าหรือผลิตภัณฑ์เป็ นที่ดงึ ดูดใจลูกค้า
ดังนัน้ ควรตัง้ ราคาที่เหมาะสมและดึงดูดใจลูกค้า
3. Place (สถานที่)

Web Site
 ใช้งานง่าย / User Friendly
 ดาวน์โหลดเร็ว
 ข้อมูลที่ชด
ั เจนน่าสนใจ
 ความปลอดภัยของข้อมูล
 โดเมนเนมที่จาง่าย
เว็บไซต์ e-commerce อยูท่ ี่การตัง้ ชือ่ ร้าน หรือ “Domain
Name” จึงควรเลือกชือ
่ ที่จาง่ายและสัมผัสถึงผลิตภัณฑ์
4. Promotion (การส่งเสริมการขาย)

การทาสื่อโฆษณาออนไลน์ & PR


Banner, Email
การทา Up Sale (ขายสินค้าปริมาณมากขึน้ /ลูกค้าซื้อบ่อยขึน้ หรือ
ซื้อต่อเนือ่ ง) และ Cross Sale สินค้า (ขายสินค้าชนิดอื่นๆ/ซื้อต่อยอด)
กระบวนการที่จะทาให้ขายสินค้าได้มาก ไม่ว่าจะเป็ นการติดต่อลูกค้า หรือ
แม้แต่การโฆษณาชวนเชื่อด้วยการลด แลก แจก แถม สินค้า เพื่อสนอง
ความต้องการของลูกค้านัน่ เอง
5. Privacy (ความเป็นส่วนตัว)


ความรักษาความเป็ นส่วนตัว Privacy Policy
การเก็บข้อมูลส่วนตัว

E-Mail
การเก็บข้อมูลความเป็ นส่วนตัวของลูกค้า เช่น ที่อยู่ เบอร์โทรศัพท์ อีเมล์
โดยผูด้ แู ลเว็ บไซต์จะต้องดูแลความเป็ นส่วนตัวของลูกค้า คือ ต้องมีการ
ตัง้ Privacy Policy ให้ชดั เจนบนเว็บไซต์ และปฏิบัติตามกฎนัน้ อย่าง
เคร่งครัด
6. Personalization (การให้บริการแบบเฉพาะเจาะจงบ ุคคล)

ให้บริการแบบเจาะจง
 การศึกษาพฤติกรรมของลูกค้า
 การใช้ Cookie

Data Mining + Call Center & CRM
สร้างสินค้าให้สามารถตอบสนองความต้องการพื้นฐานของลูก ค้า
แต่ละคนได้อย่างชัดเจน
www.nike.com
7. Payment (ระบบชาระเงิน)
1.
2.
3.
4.
5.
ชาระผ่านระบบไปรษณีย์
การชาระผ่านทางธนาคาร
บัตรเครดิต
ชาระผ่านผูใ้ ห้บริการรับชาระเงิน
ระบบการชาระเงินแบบผ่านโทรศัพท์ (Mobile Payment)
7. ปัญหา อุปสรรค และข้ อจากัดของพาณิชย์ อเิ ล็กทรอนิกส์ ใน
ประเทศไทย
1.
2.
3.
4.
5.
6.
ความพร้อมของผูป้ ระกอบการ
ความเชื่อมัน่ ของระบบรักษาความปลอดภัย
ความน่าเชื่อถือของสิ นค้า/บริ การ
ค่าใช้บริ การอินเทอร์เน็ตและการสื่ อสารยังมีราคาแพง
ผูบ้ ริ โภคขาดทักษะในการใช้คอมพิวเตอร์และอินเทอร์ เน็ต
กฎหมายรองรับผูป้ ระกอบการ
ระบบรักษาความปลอดภัยสาหรับ
พาณิชย์ อเิ ล็กทรอนิกส์
28
จุดประสงค์ ของระบบการรักษาความปลอดภัย


เพื่อรักษาความลับของข้อมูล (Confidentiality) หมายถึง การ
ปกป้ องข้อมูลไม่ให้ถูกเปิ ดเผยต่อบุคคลที่ไม่ได้รับอนุญาตอย่างถูกต้อง และ
ถ้ามีการขโมยข้อมูลไปแล้วก็ไม่สามารถอ่านหรื อทาความเข้าใจได้
เพื่อป้ องกันการปลอมแปลงข้อมูล (Integrity) คือ การรักษาความถูกต้อง
ของข้อมูลและป้ องกันไม่ให้มีการเปลี่ยนแปลงแก้ไขข้อมูลโดยมิได้รับ
อนุญาตซึ่งการที่จะสามารถทาเช่นนี้ได้ ต้องมีระบบควบคุมว่าผูใ้ ดจะ
สามารถเข้าถึงข้อมูลได้และเข้าถึงแล้วทาอะไรได้บา้ ง
29
จุดประสงค์ ของระบบการรักษาความปลอดภัย(ต่ อ)

เพื่อทาให้ระบบนั้นสามารถที่จะทางานได้ตามปกติและเต็มประสิทธิภาพ
(Availability) ระบบจะต้องสามารถทางานได้อย่างดีตามจุดมุ่งหมาย
ในการใช้และมีขีดความสามารถปฏิบตั ิงานได้ในปริ มาณตามที่ตอ้ งการได้
ภายในเวลาที่กาหนดด้วย
ระบบการรั กษาความปลอดภัยที่มีขีดความสามารถสูงอาจทาให้ ขีด
ความสามารถและความสะดวกในการทางานของระบบทั้งในด้ านปริ มาณงาน
และประสิ ทธิ ภาพลดลง ดังนั้น ต้ องพิจารณาว่ าระดับความปลอดภัยใดจึ งจะ
เหมาะสมกับความสะดวก ปริ มาณงาน และประสิ ทธิ ภาพของงานที่ต้องการ
30
ภัยคุกคามทีม่ ตี ่ อระบบต่ าง ๆ

ภัยต่อระบบฮาร์ดแวร์




ภัยที่มีต่อระบบซอฟต์แวร์




ภัยต่อระบบการจ่ายไฟฟ้ าแก่คอมพิวเตอร์
ภัยที่เกิดจากการทาลายทางกายภาพ
ภัยจากการลักขโมยโดยตรง
การลบซอฟต์แวร์
การขโมยซอฟต์แวร์
การเปลี่ยนแปลงแก้ไขซอฟต์แวร์
ภัยที่มีต่อระบบข้อมูล

ได้แก่ การที่ขอ้ มูลอาจถูกเปิ ดเผยโดยมิได้รับอนุญาตหรื อเปลี่ยนแปลงแก้ไขเพื่อผลประโยชน์
บางอย่าง
31
ผู้เจาะระบบรักษาความปลอดภัย
ผู้เจาะระบบรักษาความปลอดภัย คือบุคคลที่ไม่มีสิทธิ์ในการเข้าใช้ระบบ
คอมพิวเตอร์ ลักลอบทาการเจาะระบบด้วยวิธีใดวิธีหนึ่ง แบ่งเป็ น 2
ประเภทหลัก ๆ ได้แก่

Hacker


มีวตั ถุประสงค์เพื่อทดสอบขีดความสามารถของระบบ
Cracker

มีวตั ถุประสงค์เพื่อบุกรุ กระบบเพื่อขโมยข้อมูลหรื อทาลายข้อมูลผูอ้ ื่นโดยผิดกฎหมาย
32
ภัยคุกคามพาณิชย์ อเิ ล็กทรอนิกส์









การเข้าสู่เครื อข่ายที่ไม่ได้รับอนุญาต
การทาลายข้อมูลและเครื อข่าย
การเปลี่ยน การเพิม่ หรื อการดัดแปลงข้อมูล
การเปิ ดเผยข้อมูลแก่ผทู้ ี่ไม่ได้รับอนุญาต
การทาให้ระบบบริ การของเครื อข่ายหยุดชะงัก
การขโมยข้อมูล
การปฏิเสธการบริ การที่ได้รับ และข้อมูลที่ได้รับหรื อส่ ง
การอ้างว่าได้ให้บริ การทั้งๆ ที่ไม่ได้ทา และหรื อการอ้างว่าได้รับส่ ง
ไวรัสที่แอบแฝงมากับผูท้ ี่เข้ามาใช้บริ การ
33
การควบคุมและรักษาความปลอดภัยสาหรับ
E-commerce

รักษาความปลอดภัยให้กบั เครื อข่ายองค์กร มี 2 วิธี ได้แก่






ควบคุมการเข้าถึงทางกายภาพ (Physical Access Control)
ควบคุมการเข้าถึงทางตรรกะ (Logical Access Control)
ตรวจสอบการเข้าถึงเครื อข่ายโดยไม่ได้รับอนุญาต (Detecting
Unauthorized Access)
ป้ องกันภัยคุกคามจากไวรัส
การใช้นโยบายในการควบคุม (Policies)
การป้ องกันภัยคุกคามในเครื อข่ายไร้สาย (Wireless Security)
34
ควบคุมการเข้ าถึงทางกายภาพ
(Physical Access Control)





การล็อกห้องคอมพิวเตอร์อย่างแน่นหนาเมื่อไม่มีการใช้งานแล้ว
การใช้ยามเฝ้ าหรื อติดโทรทัศน์วงจรปิ ด
การใช้ Back-Up Disk สาหรับการทาข้อมูลสารองอย่างสม่าเสมอและไม่เก็บไว้
ในที่เดียวกันกับระบบคอมพิวเตอร์น้ นั ๆ
ติดตั้งระบบดับเพลิง
Biometrics





การพิสูจน์บุคคลด้วยลายนิ้วมือ
การพิสูจน์บุคคลด้วยเรตินา
การพิสูจน์บุคคลด้วยลายเซ็น
การพิสูจน์บุคคลด้วยอุณหภูมิ
การพิสูจน์บุคคลด้วยเสี ยง
35
ควบคุมการเข้ าถึงทางตรรกะ
(Logical Access Control)

User profiles





นิยมใช้กนั มากที่สุด ข้อมูลผูใ้ ช้ประกอบด้วย
ชื่อผูใ้ ช้
รหัสผ่าน
สิ ทธิการใช้งาน
การควบคุมความปลอดภัยโดยระบบปฏิบตั ิการ
Firewall เป็ นการติดตั้งโปรแกรมคอมพิวเตอร์บนคอมพิวเตอร์หรื อ
เครื่ องเราท์เตอร์ที่มีหน้าที่จดั การ ควบคุมการเชื่อมต่อจากภายนอกสู่ ภายใน
องค์กร และจากภายในองค์กรสู่ ภายนอกองค์กร
36
การใช้ นโยบายในการควบคุม (Policies)

หน่วยงานต้องกาหนดให้แน่นอนว่า



ผูใ้ ช้ใดสามารถเข้าถึงข้อมูลส่ วนใดได้บา้ ง
ใครมีสิทธิที่จะเปลี่ยนแปลงแก้ไขข้อมูล
รวมถึงต้องกาหนดแผนป้ องกันและกูภ้ ยั ที่อาจเกิดขึ้นได้ดว้ ย
37
มาตรการรักษาความปลอดภัยข้ อมูล
ของพาณิชย์ อเิ ล็กทรอนิกส์
สิ่ งที่องค์กร บริ ษทั ห้างร้าน และบุคคลทัว่ ไป ต้องพิจารณา ในการทาธุรกรรม
อิเล็กทรอนิกส์อย่างปลอดภัย คือความต้องพื้นฐาน 5 ประการดังนี้คือ
1. Confidentiality หมายถึงการรักษาความลับของข้อมูล
2. Access Control หมายถึงกระบวนการตรวจสอบและควบคุม ให้อานาจในการเข้า
ทาการ เพิม่ เติม เปลี่ยนแปลง แก้ไขข้อมูล
3. Authentication หมายถึงการรับรองตัวตนของบุคคลว่าเป็ นผูน้ ้ นั จริ ง
4. Integrity หมายถึงความไม่คลาดเคลื่อนของข้อมูล เป็ นอันมัน่ ใจได้วา่ ข้อมูลไม่ได้
ถูกเปลี่ยนแปลงแก้ไขระหว่างทาง
5. Non-Repudiation หมายถึงไม่ยอมให้ปฏิเสธได้วา่ ตนไม่ใช่ผสู ้ ่ งข้อมูลนั้น
การรักษาความลับของข้ อมูล(Data Confidentiality)
คือ...
การป้ องกันข้อมูลไม่ให้ถูกเปิ ดเผยต่อบุคคลที่ไม่ได้รับอนุ ญาตโดย
การเข้ า รหั ส (Encryption) ข้ อ มู ล ท าให้ ข้ อมู ล อยู่ ใน
รู ป แบบของรหัส ซึ่ ง น ำไปใช้ ประโยชน์ ไม่ ได้
เวนแต
จะรู
ี ปลงรหัส (Decryption)
้
่ วิ
้ ธแ
*
ใช้เ ทคนิ ค การ Encryption-Decryption,
Secret-Key
encryption,
Public-Key
encryption
การรักษาความถูกต้ องของข้ อมูล (Data Integrity)
คือ...
การรักษาขอมูลที่ส่งจากผูสงใหเหมือนเดิม และถูกตองทุก
ประการเมื่อไปถึงยั งผู รับ รวมถึงการปองกันไมใหขอมูล ถูก
แกไขโดยตรวจสอบไมได ซึ่งเทคนิคที่นิยมนามาประยุกต์ใช้
ในการรักษาความถูกต้องของข้อมูลคือ “Hashing”
Hashing :
Key
Hash Function
Hash Code
การระบุหรือยืนยันตัวบุคคล(Authentication)
คือ...
การระบุตัวบุคคลที่ติดตอวาเปนบุคคลตามที่ไดกลาวอางไว
จริง โดยอาจดูจากขอมูลบางสิ่งบางอยางที่ใช้ยืนยันหรือระบุ
ตัวตนของบุคคลนั้น เช่น รหัส pin, ลายมือชื่อดิจิตอล (Digital
Signature), รหัสผาน หรือดูจากลักษณะเฉพาะ/ลักษณะทาง
กายภาพของบุคคลนั้น เช่น ลายนิ้วมือ, ม่านตา เป็นต้น
* ใช้เทคนิค Digital Signature, Password, เครื่องมือ
ตรวจวัดทางกายภาพ
การป้องกันการปฏิเสธความรับผิดชอบ
(Non-Repudiation)
คือ...
การป้องกันการปฏิเสธวาไมไดมีการรับหรือสง
ขอมูลจากฝายต่างๆที่เกี่ยวของ และการปองกัน
การอางที่เปนเท็จวาไดรับหรือส่งข้อมูล การ
ป้องกันการปฏิเสธความรับผิดชอบนี้สามารถ
นาไปใชประโยชนในการปองกันการปฏิเสธการ
สั่งซื้อสินคาจากลูกคาได้
 * ใช้เทคนิค Digital Signature, Public-Key
encryption, การรับรองการให้บริการ
การควบคุมการเข้ าถึงข้ อมูล(Access Control)
คือ...
มาตรการควบคุมการเขาถึงข้อมูลหรือการระบุตัว
บุคคลใหมีอานาจหนาที่ในการเข้าถึงข้อมูลตามที่
กาหนด เช่น การกาหนดสิทธิ์การเข้าถึงข้อมูลต่างๆ
ใน Web site ระหว่าง Web master และ User ทั่วไป
จะแตกต่างกัน โดย Web master สามารถปรับปรุง
แก้ไขข้อมูลภายใน Web site ได้ ในขณะที่ User
ทั่วไปนั้นไม่สามารถทาได้ เป็นต้น
* ใช้เทคนิค Password, เครื่องมือตรวจวัดทาง
กายภาพ, Firewall
ภัยคุกคามด้ านความปลอดภัยของเครือข่ าย

Denial of service ส่ งผลให้เครื่ องคอมพิวเตอร์หรื อระบบหยุด
ทางานโดยไม่ทราบสาเหตุ อาจมีดว้ ยกันหลายวิธี เช่น

Spamming or E-mail Bombing

Viruses , Worms, Trojan Horses

Unauthorized Access
เป็ นภัยคุกคามด้วยการเข้าไปยัง
เครื อข่ายโดยไม่ได้รับอนุญาต ซึ่งอาจมีจุดประสงค์ในการโจรกรรมข้อมูล

Theft and Fraud คือ การโจรกรรมและการปลอมแปลงข้อมูล
44
Spam Mail
Mail
Mail Bomb
A lot of Mail
45
การคุกคาม-การบุกรุ ก
วิธีการ



การเข้ามาทาลายเปลี่ยนแปลง
หรื อขโมยข้อมูล
ปลอมตัวเข้ามาใช้ระบบและทา
รายการปลอม
การเข้าถึงระบบเครื อข่ายของผู ้
ไม่มีสิทธิ์
แก้ ปัญหาโดย
การเข้ารหัสข้อมูล
ลายเซ็นดิจิตอล
Firewall
46
การรหัส (Cryptography)





การทาให้ขอ้ มูลที่จะส่ งผ่านไปทางเครื อข่ายอยูใ่ นรู ปแบบทีไ่ ม่สามารถอ่าน
ออกได้ ด้วยการเข้ารหัส (Encryption)
ทาให้ขอ้ มูลนั้นเป็ นความลับ
ผูม้ ีสิทธิ์จริ งเท่านั้นจะสามารถอ่านข้อมูลนั้นได้ดว้ ยการถอดรหัส
(Decryption)
ใช้สมการทางคณิ ตศาสตร์
ใช้กญ
ุ แจซึ่งอยูใ่ นรู ปของพารามิเตอร์ที่กาหนดไว้ (มีความยาวเป็ นบิต โดยยิง่
กุญแจมีความยาวมาก ยิง่ ปลอดภัยมากเพราะต้องใช้เวลานานในการคาดเดา
กุญแจของผูค้ ุกคาม)
47
การเข้ ารหัส (Encryption)



ประกอบด้วยฝ่ ายผูร้ ับ และฝ่ ายผูส้ ่ ง
ตกลงกฎเกณฑ์เดียวกัน ในการเปลี่ยนข้อความต้นฉบับให้เป็ นข้อความอ่าน
ไม่รู้เรื่ อง (cipher text)
ใช้สมการ หรื อสู ตรทางคณิ ตศาสตร์ที่ซบั ซ้อน


กฎการเพิ่มค่า 13
แฮชฟังก์ชนั (Hash function)
48
ส่ วนประกอบของการเข้ ารหัส
1. ขั้นตอนการเข้ ารหัส ใช้ฟังก์ชนั่ การคานวณทางคณิ ตศาสตร์
2. คีย์ทใี่ ช้ ในการเข้ ารหัส หรือ ถอดรหัส ใช้ชุดตัวเลข หรื อ อักขระที่นามาเข้ารหัส มี
หน่วยเป็ นบิต (8 บิต = 1 ไบต์ = 1 อักขระ)
เช่น 00000001 = 1
00000010



=2
สู ตร 2n ; n คือ จานวนบิต (อย่างต่า 8 บิต)
28 = 256 คีย ์ ( 256 ชุดข้อมูล)
2128 = ??? (เป็ นคียข์ องโปรโตคอล SET ที่ใช้อยูใ่ นปัจจุบนั )
49
ระยะเวลาใช้ ในการถอดรหัส


ความยาว
ความยาว
40 บิต
128 บิต
8 ปี
ล้านล้าน ปี
*****
จานวนบิตมากเท่าไหร่ ความปลอดภัยของข้อมูลยิง่ มากขึ้น เนื่องจากผูบ้ ุกรุ กต้อง
ใช้เวลาเดามากยิง่ ขึ้น
50
ตัวอย่ างโปรแกรมการเข้ ารหัส โดยใช้ กฎ 13

การเข้ารหัสจะทาโดยการเปลี่ยนตัวอักษร จากตาแหน่งเดิมเป็ นตัวอักษรตาแหน่งที่ 13
ของชุดตัวอักษรนั้น เช่น
A B C D E F G H I J K L M
N O P Q R S T U V W X Y Z
N O P Q R S T U V W X Y Z
A B C D E F G H I J K L M


เช่น เข้ารหัส I LOVE YOU ----> V YBIR LBH
HARRY POTTER ---> UNEEL CBGGRE
51
การเข้ ารหัส (Encryption)
มีดว้ ยกัน 2 ลักษณะ คือ
 การเข้ ารหัสแบบสมมาตร (Symmetric Encryption)
วิธีน้ ีท้ งั ผูร้ ับและผูส้ ่ งข้อความจะทราบคียท์ ี่เหมือนกันทั้งสองฝ่ ายในการรับหรื อส่ งข้อความ

การเข้ ารหัสแบบไม่ สมมาตร (Asymmetric Encryption)
ใช้แนวคิดของการมีคียเ์ ป็ นคู่ ๆ ที่สามารถเข้าและถอดรหัสของกันและกันเท่านั้นได้ โดยคีย ์
แรกจะมีอยูท่ ี่เฉพาะเจ้าของคีย ์ เรี ยกว่าPrivate key และคู่ของคียด์ งั กล่าวที่ส่งให้
ผูอ้ ื่นใช้ เรี ยกว่า Public key
52
การเข้ ารหัสแบบสมมาตร
(Symmetric encryption)

ข้ อดี



มีความรวดเร็ วเพราะใช้การคานวณที่นอ้ ยกว่า
สามารถสร้างได้ง่ายโดยใช้ฮาร์ดแวร์
ข้ อเสี ย



ไม่สามารถตรวจสอบว่าเป็ นผูส้ ่ งข้อความจริ ง ถ้ามีผปู้ ลอมตัวเข้ามาส่ งข้อความ
ไม่มีหลักฐานที่จะพิสูจน์ได้วา่ ผูส้ ่ งหรื อผูร้ ับกระทารายการจริ ง
การบริ หารการจัดการกุญแจทาได้ยากเพราะกุญแจในการเข้ารหัส และถอดรหัส
เหมือนกัน
53
การเข้ ารหัสแบบสมมาตร
(Symmetric encryption) (ต่ อ)
เข้ารหัสลับ
ข้อความเดิม
ก่อนการเข้ารหัส
ข้ อความทีเ่ ข้ ารหัสแล้ว
Internet
ถอดรหัสด้วยคียล์ บั เดิม
ข้ อความทีเ่ ข้ ารหัสแล้ว
ข้อความเดิม
หลังถอดรหัส
54
การเข้ ารหัสแบบอสมมาตร
(Asymmetric encryption)

Private Key กุญแจสว่ นตัว


้
ใชในการถอดรหั
ส
่ ารณะ
Public Key กุญแจสูธ

้
ใชในการเข
้ารหัส
55
การเข้ ารหัสแบบอสมมาตร
(Asymmetric encryption) (ต่ อ)
เข้ ารหัสลับ
Public Key
ข้อความเดิม
ก่อนการเข้ารหัส
ข้ อความทีเ่ ข้ ารหัสแล้ว
(Cipher text)
Internet
ถอดรหัสด้ วยคีย์
Private Key
ข้ อความทีเ่ ข้ ารหัสแล้ว
(Cipher text)
ข้อความเดิม
หลังการถอดรหัส
56
การเข้ ารหัสแบบอสมมาตร
(Asymmetric encryption) (ต่ อ)

ข้ อดี



การบริ หารการจัดการกุญแจทาได้ง่ายกว่า เพราะกุญแจในการเข้ารหัส และถอดรหัส
ต่างกัน
สามารถระบุผใู้ ช้โดยการใช้ร่วมกับลายมือชื่ออิเล็กทรอนิกส์
ข้ อเสี ย

ใช้เวลาในการเข้า และถอดรหัสค่อนข้างนาน เพราะต้องใช้การคานวณอย่างมาก
57
การเข้ ารหัสแบบอสมมาตร
(Asymmetric encryption) (ต่ อ)



บน web จะใช้กญ
ุ แจสาธารณะ และกุญแจส่ วนตัว
บราวเซอร์ใช้กญ
ุ แจสาธารณะเพื่อเข้ารหัสรายการข้อมูลบนเครื่ อง
คอมพิวเตอร์ลูกค้า
เว็บเซิร์ฟเวอร์เท่านั้นมีกญ
ุ แจส่ วนตัว
58
เทคโนโลยีที่สาคัญสาหรับการรักษาความปลอดภัยบน
ระบบ e-commerce

ลายมือชื่ออิเล็กทรอนิกส์ (Electronic Signature)



ลายมือชื่อดิจิตอล (Digital Signature)
ใบรับรองดิจิตอล (Digital Certificate)
องค์กรรับรองความถูกต้อง(Certification Authority ; CA)
59
ลายมือชื่ออิเล็กทรอนิกส์
(Electronic Signature)
ื่
ลายมือชอ
ื่ อิเล็กทรอนิกส ์
ลายมือชอ
ื่ ดิจต
ลายมือชอ
ิ อล
60
ลายมือชื่ออิเล็กทรอนิกส์
(Electronic Signature) (ต่ อ)



หมายถึง อักขระ ตัวเลข เสี ยง หรื อสัญลักษณ์อื่นใด ที่สร้างขึ้นโดยวิธีทาง
อิเล็กทรอนิกส์
วิธีการ นามาประกอบกับข้อมูลอิเล็กทรอนิกส์ เพื่อแสดงความสัมพันธ์
ระหว่างบุคคลกับข้อมูลอิเล็กทรอนิกส์
วัตถุประสงค์


เพื่อระบุตวั บุคคลผูเ้ ป็ นเจ้าของ (Authentication)
เพื่อแสดงว่าบุคคลยอมรับและผูกพันกับข้อมูลอิเล็กทรอนิกส์ หรื อเพื่อป้ องกันการ
ปฏิเสธความรับผิชอบ (Non-Repudiation)
61
ื่ อิเล็กทรอนิกส ์
ลายมือชอ
ปัญหา ?
•คู่สญ
ั ญาไม่เคยเห็นหน้ากันมาก่อน
•ไม่แน่ใจว่าใช่นาย Tom หรื อไม่
•ใครจะเป็ นผูร้ ับผิด หากผิดสัญญา
USA
ติดต่อทา
สัญญา
Tom
มัน่ ใจเพราะยืนยันได้วา่ ผูท้ ี
ติดต่อคือใคร
Thai
ลาใย
ตรวจสอบได้วา่ สัญญามีการ
เปลี่ยนแปลง
มีผรู้ ับผิดตามสัญญา
62
ตัวอย่ างลายมือชื่ออิเล็กทรอนิกส์



รหัสประจาตัว (ID) , รหัสลับ (Password)
Biometrics
ลายมือชื่อดิจิทลั (Digital Signature)

ใช้ระบบรหัสแบบอสมมาตร (private key & public key)
63
รหัสลับ (Password)

ปิ ด-เปิ ด mailbox
เก็บรักษากุญแจส่ วนตัว

ข้ อจากัด




ไม่สามารถนาไปใช้แนบท้ายข้อมูลอิเล็กทรอนิกส์
ไม่สามารถนาไปลงในหนังสื อ
ควรปกปิ ดไว้เป็ นความลับ
64
Biometrics



ลักษณะทางชีวภาพ
ลายพิมพ์นิ้วมือ เสี ยง ม่านตา ใบหู
กลุ่มตัวเลขซึ่งนาไปใช้ในการระบุตวั บุคคล
65
ลายมือชื่อดิจิตอล (Digital Signature)




ข้อมูลอิเล็กทรอนิกส์ที่ได้จากการเข้ารหัสข้อมูลด้วยกุญแจส่วนตัว
(Private key) ของผูส้ ่ ง เปรี ยบเสมือนลายมือชื่อของผูส้ ่ ง ถอดรหัสด้วย
กุญแจสาธารณะของผูส้ ่ ง (Public key) เพื่อระบุตวั บุคคล
กลไกการป้ องกันการปฏิเสธความรับผิดชอบ
ป้ องกันข้อมูลไม่ให้ถูกแก้ไข
สามารถที่จะทราบได้ หากถูกแก้ไข
66
ผู้ส่ง (นายดี)
ผู้รับ (นายมาก)
ข้ อความต้ นฉบับ ก.
…จานวนเงิน
800 บาท...
ฟังก์ชั่นย่ อยข้ อมูล
กุญแจส่ วนตัว
ของผู้ส่ง (นายดี)
123451457824
784…
ไ
ฉ ” ฅ
ข7
การเข้ ารหัส
ลายมือชื่ออิเล็กทรอนิกส์ ของ
นายดีสาหรับข้ อมูล
OpMAFO
P
ข้ อมูลต้ นฉบับ ก.
…จานวนเงิน
800 บาท
ส่ ง
OpMAFO
P
ฟังก์ชั่นย่ อยข้ อมูล
ไ
ลายมือชื่ออิเล็กทรอนิกส์
ของนายดีสาหรับข้ อมูล
ฉ ” ฅ
ข7
การถอดรหัส
ไ
กุญแจสาธารณะ
ของผู้ส่ง(นายดี)
256148934147
256...
ฉ ” ฅ
ข7
เปรียบเทียบ
ถ้ าเหมือนกัน ข้ อมูล
ไม่ ถูกเปลีย่ นแปลง
ถ้ าต่ างกัน ข้ อมูล
ถูกเปลีย่ นแปลง
67
ขั้นตอนการสร้ างและลงลายมือชื่อดิจิตอล
1. นาเอาข้อมูลอิเล็กทรอนิกส์ที่เป็ นต้นฉบับมาผ่านกระบวนการทางคณิ ตศาสตร์ที่เรี ยกว่า
Hash Function จะได้ขอ้ มูลที่ยอ่ ยแล้ว (Digest)
2. เข้ารหัสด้วยกุญแจส่ วนตัว (Private key) ของผูส้ ่ งเอง เปรี ยบเสมือนการลงลายมือชื่อ
ของผูส้ ่ ง จะได้ ลายมือชื่ออิเล็กทรอนิกส์
3. ส่ งลายมือชื่ออิเล็กทรอกนิกส์ไปพร้อมกับข้อมูลอิเล็กทรอนิกส์ตน้ ฉบับไปยังผูร้ ับ
4. ผูร้ ับทาการตรวจสอบว่าข้อมูลที่ได้รับถูกแก้ไขระหว่างทางหรื อไม่ โดยใช้วธิ ี Digest
5. นารายมือชื่อมาถอดรหัสด้วยกุญแจสาธารณะของผูส้ ่ ง จะได้ขอ้ มูลที่ยอ่ ยแล้วอีกอันหนึ่ง
6. เปรี ยบเทียบข้อมูลที่ยอ่ ยแล้วทั้งสอง


เหมือนกันแสดงว่าข้อมูลไม่ได้ถกู แก้ไข
ต่างกันแสดงว่าข้อมูลถูกเปลี่ยนแปลงระหว่างทาง
68
ข้ อสั งเกตุการสร้ างและลงลายมือชื่อดิจติ อล


ลายมือชื่อดิจิทลั จะแตกต่างกันไปตามข้อมูลต้นฉบับและบุคคลที่จะลงลายมือ
ชื่อ ไม่เหมือนกับลายมือชื่อทัว่ ไปที่จะต้องเหมือนกันสาหรับบุคคลนั้นๆ ไม่
ขึ้นอยูก่ บั เอกสาร
กระบวนการที่ใช้จะมีลกั ษณะคล้ายคลึงกับการเข้ารหัสแบบอสมมาตร แต่
การเข้ารหัสจะใช้ กุญแจส่ วนตัวของผูส้ ่ ง และ การถอดรหัสจะใช้ กุญแจ
สาธารณะของผูส้ ่ ง ซึ่งสลับกันกับ การเข้าและถอดรหัสแบบกุญแจอสมมาตร
ในการรักษาข้อมูลให้เป็ นความลับ
69
ปัญหาการสร้ างและลงลายมือชื่อดิจิตอล


ถึงแม้จะสามารถสร้างและตรวจสอบลายมือชื่อได้ แต่จะมัน่ ใจได้อย่างไรใน
เมื่อกุญแจคู่สร้างขึ้นโดยอยูใ่ นความรู ้เห็นของผูใ้ ช้ลายมือชื่อดิจิตลั เท่านั้น
ใครจะเป็ นผูด้ ูแลการจัดการกับกุญแจสาธารณะซึ่งมีเป็ นจานวนมาก
70
ทางแก ้ปั ญหาการยืนยันตัวบุคคล
กลไกทางเทคโนโลยี
เชื่อมัน่
บุคคลที่ 3
ทาหน้าที่ตรวจสอบประวัติ
ส่ วนตัวของผูส้ ร้างลายมือชื่อ
71
ใบรับรองดิจิตอล Digital Certificate








ออกแบบโดยองค์กรกลางที่เป็ นที่เชื่อถือ เรี ยกว่า องค์กรรับรองความถูกต้อง
(Certification Authority)
เลขประจาตัวดิจิตลั ที่รับรองความเป็ นเจ้าของ web site
เมื่อเริ่ มการเชื่อมต่อที่มีระบบรักษาความปลอดภัยกับ web site
เบราว์เซอร์ที่ใช้จะเรี ยกสาเนาของใบรับรองดิจิตลั จาก web server
มีกญ
ุ แจสาธารณะเพื่อเข้ารหัสข้อมูลที่ส่งผ่านไซต์น้ นั
ให้ความมัน่ ใจว่าติดต่อกับ web site นั้นจริ ง
ป้ องกันการขโมยข้อมูลลูกค้าจากไซต์อื่น (spoofing)
ยืนยันในการทาธุรกรรมว่าเป็ นบุคคลจริ ง
72
ประเภทของใบรับรองดิจิตอล

ประเภทของใบรับรองดิจิตอล โดยทัว่ ไป แบ่ง ได้ ดังนี้
1. ใบรับรองสาหรับบุคคล เหมาะสาหรับบุคคลทัว่ ไปที่ตอ้ งการสื่ อสารอินเทอร์เน็ต
ปลอดภัย
2. ใบรับรองสาหรับเครื่องแม่ ข่าย เหมาะสาหรับหน่วยงานที่ตอ้ งการสร้างความ
เชื่อมัน่ ในการเผยแพร่ ขอ้ มูลแก่บุคคล ทัว่ ไป หรื อการทาธุรกรรม ECommerce
73
ใบรับรองอิเล็กทรอนิกส์ (Electronic
Certificate)
รายละเอียดของใบรับรองอิเล็กทรอนิกส์ ประกอบด้วย






ข้อมูลระบุที่ได้รับการรับรอง ได้แก่ ชื่อ องค์กร ที่อยู่
ข้อมูลระบุผอู ้ อกใบรับรอง ได้แก่ ลายมือชื่อดิจิทลั ขององค์กรที่ออก
ใบรับรอง และหมายเลขประจาตัวของผูอ้ อกใบรับรอง
กุญแจสาธารณะของผูท้ ี่ได้รับการรับรอง
วันหมดอายุของใบรับรองอิเล็กทรอนิกส์
ระดับชั้นของใบรับรองดิจิทลั ซึ่งมี 4 ระดับ ในระดับ4 เป็ นระดับที่มีการ
ตรวจสอบเข้มงวดที่สุด และต้องการข้อมูลมากที่สุด
หมายเลขประจาตัวของใบรับรองอิเล็กทรอนิกส์
74
ใบรับรองอิเล็กทรอนิกส์ (Electronic Certificate)
ตัวอย่ าง
https เป็ นการแสดงว่ ามี
ระบบเข้ ารหัสรักษา
ความปลอดภัย
คลิก๊ รู ปกุญแจ เพือ่ ดู
ใบรับรองอิเล็อทรอนิกส์
75
ใบรับรองอิเล็กทรอนิกส์ (Electronic Certificate)
ตัวอย่ าง
76
SSL ระบบการเข้ ารหัสเพือ่ รักษาความปลอดภัยของ
ข้ อมูลบนเครือข่ ายอินเทอร์ เน็ต



พัฒนาจากรู ปแบบ PKI โดย Netscape เรี ยกว่า Secure
Socket Layer (SSL)
ผูซ้ ้ือสามารถตรวจสอบตัวตนของผูข้ ายก่อนได้จากใบรับรองอิเล็กทรอนิกส์ที่
ผูข้ ายขอจาก CA แต่ส่วนใหญ่ผขู ้ ายไม่สามารถตรวจสอบตัวตนของผูซ้ ้ือได้
เพราะผูซ้ ้ือไม่มีใบรับรองอิเล็กทรอนิกส์
มีการเข้ารหัสข้อมูลที่ผซู ้ ้ือส่ งให้กบั ผูข้ ายผ่านเครื อข่ายอินเทอร์เน็ต ดังนั้นจึงมี
เฉพาะผูข้ ายที่อ่านข้อความนั้นได้
77
SSL


ในการทาพาณิ ชย์อิเล็กทรอนิกส์ หรื อการทาธุรกรรมต่างๆผ่านอินเทอร์เน็ต
นั้นสิ่ งสาคัญที่จะขาดเสี ยไม่ได้เลย ได้แก่ระบบรักษาความปลอดภัยที่ดีใน
เว็บไซต์น้ นั ๆ ซึ่งในปัจจุบนั มี อยู่ 2 แบบทีใ่ ช้ กนั คือ SSL (Secure
Sockets Layer) และ SET (Secure Electronic
Transaction) ซึ่งจะมีความซับซ้อน และมีค่าใช้จ่ายที่สูงกว่าแบบ
แรกจึงยังไม่เป็ นที่นิยมใช้กนั
SSL นั้นจะใช้เพือ่ เข้ ารหัส (encrypt) ข้ อมูลตัวมันเองนั้น ใช้ เพียงแค่
การตรวจสอบหรือยืนยันได้ เฉพาะฝั่งผู้ขายเท่ านั้น ว่ามีตวั ตนจริ งไม่สามารถ
ยืนยันตัวผูซ้ ้ือได้ ซึ่ง SSL จะมีความเร็ วในการทางานมากกว่า PKI
ประมาณ 10-100 เท่าและยังสามารถใช้งานกับบราวเซอร์ต่างๆ ได้
12 เมษายน 2558
78
SSL

การทางานจะเริ่ มจาก ผูใ้ ช้งานเริ่ มกระบวนการติดต่อ ไปยังเว็บเซิ ร์ฟเวอร์ที่มีระบบ
SSL หลังจากนั้นเซิ ร์ฟเวอร์ จะส่ งใบรับรอง (Server Certificate)
กลับมาพร้อมกับเข้ารหัส ด้วยกุญแจสาธารณะ (Public Key) ของเซิ ร์ฟเวอร์
12 เมษายน 2558
79
SSL

ขั้นตอนต่อมาคอมพิวเตอร์ ฝั่งผูร้ ับจะทาการตรวจสอบใบรับรองนั้นอีกทีเพื่อ
ตรวจสอบตัวตนของฝั่งผูค้ า้ หลังจากนั้นจะทาการสร้ างกุญแจสมมาตร
(Symmetric Key) โดยการสุ่ มและทาการเข้ ารหัสกุญแจสมมาตรด้ วยกุญแจ
สาธารณะของเซิร์ฟเวอร์ ทไี่ ด้ รับมา เพื่อส่ งกลับไปยังเซิ ร์ฟเวอร์
12 เมษายน 2558
80
SSL

เมื่อเซิร์ฟเวอร์ ได้ รับแล้ วก็จะทาการถอดรหัสด้ วยกุญแจส่ วนตัว (Private
Key) ก็จะได้ กญ
ุ แจสมมาตรของลูกค้ ามาไว้ ใช้ ในการติดต่ อสื่ อสาร หลังจากนั้นใน
การติดต่อสื่ อสารกันก็ใช้การเข้ารหัสติดต่อสื่ อสารกันได้อย่างปลอดภัย
12 เมษายน 2558
81
ตัวอย่ างหน้ าจอที่แสดงว่ าผู้ใช้ งานกาลังใช้ ระบบ SSL
อยูู ู่
https เป็ นการแสดงว่ ามี
ระบบเข้ ารหัสรักษา
ความปลอดภัย
จะแสดงข้ อความ SSL
Secured (128 Bits)
82
ตัวอย่ างหน้ าจอที่แสดงว่ าตัวตนของผู้ขาย
83
ผู้ให้ บริการออกใบรับรอง
(Certification Authority : CA)




หน้าที่หลัก คือการรับรอง(ความถูกต้อง)ตัวบุคคลหรื อองค์กรเพื่อใช้ในโลก
อิเล็กทรอนิกส์
ผูใ้ ห้บริ การออกใบรับรอง ต้องมีระบบรักษาความปลอดภัยของข้อมูลใน
ระดับสู ง
ผูใ้ ห้บริ การออกใบรับรอง มีท้ งั ในและต่างประเทศ ซึ่งแต่ละองค์กรจะมีการ
มาตราฐานการตรวจสอบแตกต่างกันไป
ผูใ้ ห้บริ การออกใบรับรอง ที่มีชื่อเสี ยงระดับโลกมีหลายบริ ษทั เช่น
Verisign , Entrust , Globalsign เป็ นต้น
84
บทบาทของผู้ให้ บริการออกใบรับรอง
(Certification Authority : CA) (ต่ อ)
1. การให้บริ การเทคโนโลยีการเข้ารหัส
- การสร้างกุญแจสาธารณะ (Public Key) กุญแจส่ วนตัว (Private
Key) แก่ผขู ้ อใช้บริ การ (ลงทะเบียน)
- การส่ งมอบกุญแจที่ได้สร้างให้
- การสร้างและการรับรองลายมือชื่อดิจิทลั
2. การให้บริ การเกี่ยวกับการออกใบรับรอง
3. บริ การเสริ มอื่นๆ เช่น การตรวจสอบสัญญาต่างๆ การกูก้ ญ
ุ แจ เป็ นต้น
85
การขอใบรับรองจาก CA
ชื่อ ที่อยู่ e-mail สาเนาบัตรประชาชน
สาเนาทะเบียนบ้าน ฯลฯ
ผูข้ อใช้บริ การ
ยืน่ คาขอ
ผูป้ ระกอบการ
ออกใบรับรอง
86
หลังตรวจสอบประวัต ิ
กลไกทางเทคโนโลยี
CA
ผู้ขอใช้
กุญแจคู่
เก็บไว้บนเครื อข่าย
เก็บไว้เป็ นความลับ
กุญแจสาธารณะ
กุญแจส่ วนตัว
87
เทคโนโลยีและมาตรการรักษาความปลอดภัยของข้ อมูล
มาตรฐาน/เทคโนโลยี
การรหัส
การรักษา
ความลับ
หลัก
การระบุตัว การรักษา การป้ องกันการปฏิเสธ
บุคคล
ความถูกต้ อง
ความรับผิดชอบ
รอง
ลายมือชื่อดิจิตอล
รอง 1
ใบรับรองดิจิตอล
และองค์กรรับรอง
ความถูกต้อง
หลัก
รอง 2
หลัก
จะสั งเกตความปลอดภัยของเว็บไซต์ ได้ อย่ างไร
ความปลอดภัยของเว็บไซต์สังเกตได้จากหลายๆปั จจัย ดังต่อไปนี้
1.ชื่อเสี ยงของเว็บไซต์
- เว็บไซต์ที่มีชื่อเสี ยง ไม่วา่ จะทาอะไร ย่อมต้องคานึงถึงภาพพจน์ของตนเองอยู่
เสมอ
- การสังเกตชื่อเสี ยงของเว็บไซต์ดูได้จากความนิยมของเว็บไซต์ ระยะเวลาที่เปิ ด
ดาเนินการมา หรื อจากบริ ษทั ที่เป็ นเจ้าของเว็บไซต์น้ นั ว่าเป็ นอย่างไร
- เช่น Thai.com เป็ นไซเบอร์ มอลล์ที่ดาเนินธุรกิจโดย บริ ษทั Internet Thailand
จากัด (มหาชน) ซึ่ งเป็ นผูใ้ ห้บริ การอินเทอร์ เน็ตที่อยูใ่ นธุรกิจมาอย่างยาวนาน มี
ความมัน่ คงไว้ใจได้
- รายละเอียดประเภทนี้ สามารถหาดูได้บนเว็บไซต์น้ นั เอง ภายใต้หวั ข้อที่
เกี่ยวกับประวัติของเว็บไซต์ เช่น About Us หรื อ Company Profile หรื อในหัวข้อ
เกี่ยวกับความปลอดภัยอื่นๆ เช่น Term of Use, Security Information และ Privacy
Policy
- สาหรับเว็บไซต์พาณิ ชย์อิเล็กทรอนิ กส์ อย่างไรก็ดี หากไม่พบรายละเอียด
ดังกล่าว ผูบ้ ริ โภคควรสอบถามไปยังเว็บไซต์โดยตรงได้ดว้ ยอีเมล์ หรื อ โทรศัพท์
ก่อนจะตัดสิ นใจใดๆ
จะสั งเกตความปลอดภัยของเว็บไซต์ ได้ อย่ างไร
2. เว็บไซต์ จะต้ องสนับสนุนระบบ SSL (Secure Socket Layer)
- ในระหว่างการเลือกชมสิ นค้าบนเว็บไซต์อยูน่ ้ นั การสังเกตว่าเว็บไซต์น้ นั
สนับสนุนระบบ SSL หรือไม่ สั งเกตได้ จาก 2 จุดบนบราวเซอร์ แห่ งแรกคือ URL
- ปกติการเข้าถึงเว็บไซต์ใดๆ นั้นจะมี URL ที่เป็ น HTTP (Hypertext
Transmission Protocol) เป็ นมาตรฐาน แต่หากว่ากาลังเข้าสู่ โหมด(Mode) รักษา
ความปลอดภัยของ SSL URL จะเปลี่ยนเป็ น HTTPS (Hyper Text Transmission
Protocol, Secure)
- ส่ วนอีกแห่ งหนึ่งก็คอื ที่ Title Bar ด้ านล่าง ในระบบ SSL จะมีรูปแม่กญ
ุ แจสี
เหลืองปรากฏอยูด่ า้ นซ้ายมือ สาหรับ Internet Explorer ส่ วน Netscape
Communicator จะเป็ นรู ปกุญแจที่สมบูรณ์ (ไม่แตกหัก) สี เหลืองปรากฏอยูท่ ี่ดา้ น
ขวามือ
จะสั งเกตความปลอดภัยของเว็บไซต์ ได้ อย่ างไร
3. เว็บไซต์ ควรจะได้ รับการรับรองเรื่องความปลอดภัย
- อีกปัจจัยหนึ่งที่สามารถเสริ มสร้างความมัน่ ใจในตัวเว็บไซต์ให้กบั
ผูบ้ ริ โภคได้ คือการได้รับการรับรองเรื่ องความปลอดภัยจากองค์กรผู ้
ให้บริ การด้านความปลอดภัยที่มีชื่อเสี ยง
- ก่อนที่จะตัดสิ นใจซื้อสิ นค้าจากเว็บไซต์ใด ผูบ้ ริ โภคควรมองหา
สัญลักษณ์ขององค์กรนั้นๆ เสี ยก่อน เช่น เครื่ องหมาย Verisign’s Secure Site
ซึ่งจะพบได้ตามเว็บไซต์พาณิ ชย์อิเล็กทรอนิกส์ช้ นั นาต่างๆ
- อย่างไรก็ดีหากไม่มีสญ
ั ลักษณ์ประเภทดังกล่าวปรากฏอยู่ เราอาจทาการ
สอบถามไปทางเว็บไซต์โดยตรงเลยก็ได้
จะสั งเกตความปลอดภัยของเว็บไซต์ ได้ อย่ างไร
4. นโยบายส่ งเสริมความมัน่ ใจหลังการขาย
- โดยทัว่ ไปแล้วเว็บไซต์ที่ดี เชื่อถือได้ จะต้องระบุนโยบายหลังการขายอย่างละเอียดไว้บน
เว็บไซต์เพื่อให้ลูกค้าทราบ
- นโยบายหลังการขายที่สาคัญได้แก่ นโยบายตรวจสอบข้ อมูลสิ นค้ าทีส่ ั่ งซื้อ นโยบายคืน
สิ นค้ าและคืนเงินทีช่ าระไปแล้ ว
- บางเว็บไซต์ยงั มีการแสดงข้อมูลเกี่ยวกับการตรวจดูสถานะสิ นค้าที่อยูใ่ นระหว่างการจัดส่ ง
ด้วยว่าอยู่ ณ ที่ใด ซึ่งผูบ้ ริ โภคที่สงั่ ซื้ อสิ นค้าหรื อบริ การไว้ สามารถตรวจสอบข้อมูลดังกล่าวได้
จากทางเว็บไซต์หรื อโทรศัพท์ จนกว่าสิ นค้าจะถึงมือ
- ผูบ้ ริ โภคควรเลือกร้านที่มีตวั แทนหรื อผูจ้ ดั ส่ งภายในประเทศ เพื่อสะดวกในการติดต่อ
ข้อมูลการจัดส่ ง และเมื่อสิ นค้าที่ได้รับชารุ ดหรื อไม่ตรงกับที่สงั่ ไว้ ก็จะสามารถติดต่อเพื่อส่ งคืน
ได้โดยง่าย
- เงื่อนไขเรื่ องการจัดส่ งสิ นค้าคืน และการเรี ยกคืนเงินที่ชาระแล้วมักระบุวธิ ีการและ
ระยะเวลาไว้อย่างชัดเจน ในกรณี ที่ผบู ้ ริ โภคยังไม่ได้รับสิ นค้าหรื อบริ การตามสัญญาหรื อสิ นค้า
เสี ยหาย ไม่ถูกต้องตามที่สงั่ ซื้อไว้ ผูข้ ายหรื อร้านค้าหลายแห่งจะยินยอมรับผิดชอบค่าใช้จ่าย
ทั้งหมด เนื่องจากไม่ใช่ความผิดของผูบ้ ริ โภค
- ร้านค้าอาจเสนอให้เก็บเงินจานวนนั้นไว้เพือ่ สัง่ ซื้อสิ นค้าอื่นหรื ออาจคืนเงินสดด้วยเช็ค หรื อ
โอนเงินเข้าบัญชีของผูบ้ ริ โภคตามมูลค่าที่หกั ไป (ในกรณี ที่ชาระด้วยบัตรเครดิต)