e-Commerce Security mict-tu_21oct15_Dr.Arnut

Powerpoint Templates
Page 1
โครงการพัฒนาเสริมสร้างความเข้มแข็งทางวิชาการให้กับนักศึกษา
กิจกรรมที่ ๑ กิจกรรมอบรมความรู้ด้านคอมพิวเตอร์ให้กับนักศึกษา
ดร.อาณัติ รัตนถิรกุล
สาขาวิชาระบบสารสนเทศและคอมพิวเตอร์ธุรกิจ
คณะบริหารธุรกิจและเทคโนโลยีสารสนเทศ ศูนย์หันตรา
มหาวิทยาลัยเทคโนโลยีราชมงคลสุวรรณภูมิ
October 21, 2015
มิติด้านความปลอดภัยและความมั่นคง

Page 2
Phising
VPN
Spyware
Public Key
Botnets
Insider Attacks
Spoofing
Malicious
Web Programming
Web Developer
Social Engineering
Worm01010101010101010101010101010
ThaiCERT
e-Commerce Security
Trojan Horse
Virus
Hacking
Adware
Pharming
DoS
Smishing Vishing
Spam
Firewall
Proxies
Signature
SSL

Page 3
Topic
 ภาพรวมความปลอดภัยใน e-Commerce
 องค์ประกอบการรักษาความปลอดภัยของข้อมูล
 ภัยคุกความความปลอดภัยภายใต้สภาพแวดล้อมระบบ e-Commerce
 เทคโนโลยีการรักษาความปลอดภัย
 การสร ้างความมั่นใจให้กับลูกค้าในเรื่องข้อมูลด้านการเงิน เช่น บัตรเครดิต
มีผลต่อการตัดสินใจซื้ออย่างไร
 ผู้ประกอบการควรใส่ใจกับเรื่องความปลอดภัยอย่างไร

Page 4
ภาพรวมความปลอดภัย
ใน e-Commerce

Page 5Copyright © 2009 Pearson Education, Inc. Publishing as Prentice Hall
ประเภทของอาชญากรรมทางอินเทอร ์เน็ต โดย IC3
Categories of Internet Crime Complaints Reported to IC3

Page 6
ประเภทของการโจมตี
ทางคอมพิวเตอร ์
(Cybercrime)
SOURCE: Based on data from Computer Security Institute, 2009

Page 7
สถิติภัยคุกคาม ประจาปี พ.ศ. 2558
Source: https://www.thaicert.or.th/statistics/statistics.html

Page 8
จาแนกเป็นรายเดือน

Page 9
จาแนกตามประเภทภัยคุกคาม

Page 10
10 อันดับประเทศที่แจ้งเหตุภัยคุกคามมากที่สุด

Page 11
ทาไม่เราต้องมีการรักษาความปลอดภัยของ
e-Commerce ???
 สาเหตุที่ต้องเลือกวิธีการรักษาความปลอดภัยที่ดี
 มีเทคโนโลยีใหม่ๆ เกิดขึ้นทุกวัน
 วิธีการและนโยบายขององค์กร
 มาตรฐานอุตสาหกรรม และกฎหมาย
 ปัจจัยอื่นๆ
 เวลาทุกนาทีมีค่า
 ค่าใช ้จ่ายในระบบรักษาความปลอดภัย vs ความเสียหายที่เกิดขึ้น
 การเลือกวิธีการรักษาความปลอดภัย

Page 12
The e-Commerce Security Environment

Page 13
องค์ประกอบการรักษาความ
ปลอดภัยของข้อมูล

Page 14
องค์ประกอบการรักษาความปลอดภัยของข้อมูล
การรักษาความลับ (Secrecy/Confidentiality)
การรักษาความถูกต้อง/ความคงสภาพ (Integrity)
การรับประกันในงานบริการ (Availability)

Page 15
องค์ประกอบอื่นๆ
เกี่ยวกับการรักษาความปลอดภัยของข้อมูล
ความเป็นส่วนบุคคล (Privacy)
การระบุตัวตน (Identification)
การพิสูจน์ทราบตัวตน (Authentication)
การอนุญาติใช ้งาน (Authirization)
การตรวจสอบได้ (Accountability)

Page 16
นโยบายการรักษาความปลอดภัย
การรักษาความลับ (Secrecy)
การรักษาความถูกต้อง (Integrity)
การรับประกันในงานบริการ (Availability)
การเข้ารหัสข้อมูล (Key Management)
การห้ามปฏิเสธความรับผิดชอบ
(Nonrepudiation)

Page 17
นโยบายการรักษาความปลอดภัยและการบูรณาการ
ความต้องการ รายละเอียด/ตัวอย่าง
การรักษาความลับ
(Secrecy)
การรักษาความลับ โดยบุคคลที่ไม่มีสิทธิ์จะต้องไม่สามารถเข้าไปอ่าน
ข่าวสารได้ เช่น แผนธุรกิจ หมายเลขบัตรเครดิต ข้อมูลส่วนตัวลูกค้า
การรักษาความถูกต้อง
(Integrity)
ความถูกต้องและความสอดคล้องตรงกัน โดยข่าวที่บรรจุในอีเมล หาก
ส่งไปยังผู้รับ ข่าวสารนั้นจะถูกต้องตรงกับต้นฉบับ
การรับประกันในงาน
บริการ (Availability)
การรับประกันในงานบริการ เช่น การรับประกันการส่งมอบ ชิ้นส่วนไม่
เสียหาย
การเข้ารหัสข้อมูล (Key
Management)
การจัดการด้านความปลอดภัยในข้อมูล เช่น การเข้ารหัสข้อมูล โดยผู้ที่
มีกุญแจเท่านั้น จึงสามารถเปิดอ่านข่าวสารได้
การห้ามปฏิเสธความ
รับผิดชอบ
(Nonrepudiation)
การห้ามปฏิเสธความรับผิดชอบ เช่น ลูกค้ามีการสั่งสินค้าออนไลน์ มีการ
โต้ตอบเพื่อดาเนินธุรกรรมจะเสร็จสิ้น และมีส่งข้อมูลยืนยันทางอีเมล
ดังนั้นลูกค้าและร้านค้าจะไม่สามารถปฏิเสธได้ว่า ไม่มีความเกี่ยวข้องใน
การทาธุรกรรมนั้น
การพิสูจน์ตัวตน
(Authentication)
การพิสูจน์ตัวตน เช่น ลูกค้าที่ติดต่อมีตัวตนจริง เครื่องแม่ข่ายให้บริการ
มีตัวตนจริง โดยผ่านเทคโนโลยีลายเซ็นดิจิทัลและใบรับรองดิจิทัล
ความต้องการในการรักษาความปลอดภัยในอีคอมเมิร ์ซ

Page 18
ภัยคุกความความปลอดภัย
ภายใต้สภาพแวดล้อมระบบ
e-Commerce

Page 19
ขั้นตอนการทาธุรกรรมตามปกติ
ธนาคารที่นาย A
ใช ้ทาธุรกรรม
ธนาคารที่ทางร ้านค้า
ใช ้ทาธุรกรรม
ใบสั่งซื้อ
ของนาย A
ใบสั่งซื้อจะถูกสั่งพิมพ์ที่คลัง
(CD Warehouse)
ซีดีจะส่งมาถึงประมาณ 2-3 วัน
ภายหลังจากได้รับคาสั่งซื้อ
นาย A
ส่งแบบฟอร ์มใบสั่งซื้อ

Page 20
ช่องโหว่สาคัญ 3 จุด
จากการทาธุรกรรมอีคอมเมิร ์ซ
การสื่อสารบนอินเทอร์เน็ต
(Internet communications channels)
เครื่องคอมพิวเตอร์แม่ข่าย (Server)
เครื่องคอมพิวเตอร์ลูกข่าย (Client)

Page 21
ช่องโหว่สาคัญ 3 จุด จากการทาธุรกรรมอีคอมเมิร ์ซ
SOURCE: Boncella, 2000.
ความเสี่ยงด้านความปลอดภัย
คอมพิวเตอร ์
ของ A
การดักจับ
ข้อมูลบน
อินเทอร ์เน็ต
แบคโบน
การเชื่อม
สายบนเว็บ
เซิร ์ฟเวอร ์
การดักจับ
ข้อมูลที่
ISP
การทาลาย
ฐานข้อมูล
การเชื่อมสาย (Tapping)
ระหว่างเครื่องของผู้ใช้ที่เชื่อมไปยัง ISP
การเชื่อมสายและการดักจับข้อมูล
การแก้ไข/ดัดแปลงข่าวสาร
การโจรกรรมและการฉ้อโกง
การแฮก (Hacking)
การโจมตีแบบ DoS, DDoS
การโจมตีด้วยโปรแกรมประสงค์ร ้าย
การโจรกรรมและการฉ้อโกง
การเชื่อมสาย (Tapping)
การทาลายทรัพย์สิน
การเชื่อมสาย
การโจมตีด้วยโปรแกรมประสงค์ร ้าย
อุปกรณ์คอมพิวเตอร ์เสียหาย
1
2
3

Page 22
ภัยคุกคาม (Threat)
• ภัยคุกคาม หมายถึง สิ่งที่อาจก่อให้เกิดความเสียหาย
ต่อคุณสมบัติของข้อมูลด้านใดด้านหนึ่งหรือมากกว่า
หนึ่งด้าน
Threat
• การเปิดเผย
• การหลอกลวง
• การขัดขวาง
• การควบคุมระบบ

Page 23
ภัยคุกความความปลอดภัย ภายใต้
สภาพแวดล้อมระบบ e-Commerce
 โปรแกรมประสงค์ร้าย (Malicious Code)
 ไวรัส (Viruses)
 หนอนอินเทอร ์เน็ต (Worms)
 ม้าโทรจัน (Trojan Horses)
 บอท (Bots, Botnets)
 โปรแกรมที่ไม่ต้องการ (Unwanted Programs)
 ปาราสิตเบราเซอร ์(Browser Parasites)
 แอดแวร ์(Adware)
 สปายแวร ์(Spyware)
Threat

Page 24
 การหลอกลวงและการโจรกรรมสวมรอย
 ฟิซชิ่ง (Phising)
 การโจรกรรมสวมรอย (Identity Theft)
Threat
วิศวกรรมทาง
สังคม (Social
Engineering)

Page 25
 การแฮก (Hacking and cybervandalism)
 Hackers vs. crackers
 Cybervandalism: Intentionally disrupting,
defacing, destroying Web site
 Types of hackers
 White hats
 Black hats
 Grey hats
Threat

Page 26
 Spoofing
 Pharming
 Spam/Junk Web site
Threat

Page 27
 การโจรกรรมและฉ้อโกงบัตรเครดิต
(Credit card fraud/theft)
 Fear that credit card information will be stolen
deters online purchases
 Hackers target credit card files and other
customer information files on merchant
servers; use stolen data to establish credit
under false identity
 One solution: New identity verification
mechanisms
Threat

Page 28
 การปฏิเสธให้บริการ (DoS and DDoS Attacks)
 Denial of service (DoS) attack: Hackers flood Web site
with useless traffic to inundate and overwhelm network
 Distributed denial of service (DDoS) attack: hackers use
numerous computers to attack target network from
numerous launch points

Page 29
 การดักจับข้อมูล (Sniffing)
 Eavesdropping program that monitors
information traveling over a network
 การโจมตีจากบุคคลภายใน (Insider Attacks)

Page 30
 การรักษาความปลอดภัยบนแพล็ตฟอร ์ม
โทรศัพท์มือถือ (Mobile Platform
threats)
 การโจมตีแบบวิชชิ่ง (Vishing Attacks)
 ใช ้หลักการทางวิศวกรรมสังคม ด้วยการเข้าถึงกลุ่มเป้าหมาย
คือ ผู้ใช ้โทรศัพท์มือถือผ่านข้อความที่เรียกร้องให้เกิด
ความรู้สึกเห็นอกเห็นใจ น่าสงสาร แล้วลงท้ายด้วยการขอเงิน
บริจาค
 การโจมตีแบบสมิชชิ่ง (Smishing)
 ใช ้วิธีการส่ง SMS ไปยังผู้ใช ้โดยในข้อความนั้นอาจมีการ
ระบุอีเมลแอดเดรสและที่อยู่ของเว็บไซต์ไปด้วย หากผู้ใช ้
รู้เท่าไม่ถึงการได้เปิดเมลหรือคลิกลิงค์ไปยังเว็บเหล่านั้น
โทรศัพท์ของผู้ใช ้จะติดมัลแวร ์มาด้วย
Threat

Page 31
สรุปภัยคุกความความปลอดภัย ภายใต้
 Malicious Code
 Viruses
 Worms
 Trojan Horses
 Bots, Botnets
 Unwanted Programs
 Browser Parasites
 Adware
 Spyware
 Phising
 Social Engineering
 Hacking and Cybervandalism
 Spoofing
 Pharming
 Spam
 Spam Mail
 Junk mail
 Denial of Service attacks
 DoS
 DDoS
 Sniffing
 Insider Attacks
 Insider Jobs
 Credit card fraud
 Mobile Platform threats
 Vishing Attacks
 Smishing
 USB Killers
 Etc.
Threat

Page 32
เทคโนโลยีการรักษาความปลอดภัย
(Technology Solutions for e-Commerce)

Page 33
เทคโนโลยีการรักษาความปลอดภัย
TechnologySolutions
Protecting Internet communications
(encryption)
Securing channels of communication
(SSL, S-HTTP, VPNs)
Protecting networks
(firewalls)
Protecting servers and clients

Page 34
ชุดเครื่องมือในการรักษาความปลอดภัย

Page 35
การเข้ารหัสข้อมูล (Encryption)
 การเข้ารหัสข้อมูล (Encryption)
 วิทยาการรหัสลับ (Cryptography)
 เพลนเท็กซ ์หรือเคลียร ์เท็กซ ์(Plantext/Cleartext)
 อัลกอริทึมในการเข้ารหัส (Encryption Algorithm)
 ไซเฟอร ์เท็กซ ์(Ciphertext)
 คีย์(Key)
 การเข้ากุญแจสาธารณะ (Public Key Cryptography)
 ลายเซ็นดิจิตอล (Digital Signature)

Page 36
Protecting Internet Communications: Encryption
 Encryption
 Transforming plain text, data into cipher text that can’t
be read by anyone other than sender and receiver
 Secures stored information and information
transmission
 Provides:
 Message integrity
 Nonrepudiation
 Authentication
 Confidentiality

Page 37
Symmetric Key Encryption
 Also known as secret key encryption
 Both sender and receiver use same digital key to
encrypt and decrypt message
 Requires different set of keys for each transaction
 Advanced Encryption Standard (AES)
 Most widely used symmetric key encryption
 Uses 128-, 192-, and 256-bit encryption keys
 Other standards use keys with up to 2,048 bits

Page 38
Public Key Encryption
 Uses two mathematically related digital keys
 Public key (widely disseminated)
 Private key (kept secret by owner)
 Both keys used to encrypt and decrypt message
 Once key used to encrypt message, same key cannot be
used to decrypt message
 Sender uses recipient’s public key to encrypt message;
recipient uses his/her private key to decrypt it

Page 39
Public Key Cryptography – A Simple Case

Page 40
Public Key Encryption using Digital Signatures and Hash
Digests
 Hash function:
 Mathematical algorithm that produces fixed-length number called
message or hash digest
 Hash digest of message sent to recipient along with
message to verify integrity
 Hash digest and message encrypted with recipient’s
public key
 Entire cipher text then encrypted with recipient’s private
key – creating digital signature – for authenticity,
nonrepudiation

Page 41
Public Key Cryptography with Digital Signatures

Page 42
Digital Envelopes
• Addresses weaknesses of public key
encryption (computationally slow, decreases
transmission speed, increases processing
time) and symmetric key encryption (faster,
but less secure)
• Uses symmetric key encryption to encrypt
document but public key encryption to
encrypt and send symmetric key

Page 43
Public Key Cryptography: Creating a Digital Envelope

Page 44
Digital Certificates and Public Key Infrastructure (PKI)
 Digital certificate includes:
 Name of subject/company
 Subject’s public key
 Digital certificate serial number
 Expiration date, issuance date
 Digital signature of certification authority (trusted
third party institution) that issues certificate
 Other identifying information
 Public Key Infrastructure (PKI): CAs and
digital certificate procedures that are
accepted by all parties

Page 45
Digital Certificates and Certification Authorities

Page 46
Limits to Encryption Solutions
 PKI applies mainly to protecting messages in
transit
 PKI is not effective against insiders
 Protection of private keys by individuals may be
haphazard
 No guarantee that verifying computer of
merchant is secure
 CAs are unregulated, self-selecting
organizations

Page 47
Securing Channels of Communication
 Secure Sockets Layer (SSL):
 Establishes a secure, negotiated client-server
session in which URL of requested document,
along with contents, is encrypted
 S-HTTP:
 Provides a secure message-oriented
communications protocol designed for use in
conjunction with HTTP
 Virtual Private Network (VPN):
 Allows remote users to securely access internal
network via the Internet, using Point-to-Point
Tunneling Protocol (PPTP)

Page 48
Secure Negotiated Sessions Using SSL

Page 49
การป้ องกันระบบเครือข่าย (Protecting Networks)
 Firewall
 Hardware or software that filters packets
 Prevents some packets from entering the network
based on security policy
 Two main methods:
 Packet filters
 Application gateways
 Proxy servers (proxies)
 Software servers that handle all communications
originating from or being sent to the Internet

Page 50
Firewalls and Proxy Servers

Page 51
การป้ องกันเครื่องเซิร ์ฟเวอร ์และเครื่องผู้ใช้งาน
(Protecting Servers and Clients)
 Operating system security enhancements
 Upgrades, patches
 Anti-virus software:
 Easiest and least expensive way to prevent
threats to system integrity
 Requires daily updates

Page 52
นโยบายการจัดการด้านความปลอดภัย
แผนการรักษาความปลอดภัย : นโยบายด้านการบริหาร
1. การประเมินความเสี่ยง (Risk Assessment)
2. พัฒนานโยบายการรักษาความปลอดภัย (Security Policy)
3. การพัฒนาแผนงานเพื่อนาไปใช้ (Implementation Plan)
4. การสร้างระบบรักษาความปลอดภัยในองค์กร (Security Oganization)
 การควบคุมการเข้าถึง (Access Control)
 การพิสูจน์ตัวตน (Authentication)
 การกาหนดสิทธิ์เพื่อการใช้งาน (Authorization)
5. ดาเนินการการตรวจสอบความปลอดภัย (Security Audit)

Page 53
แผนการรักษาความปลอดภัยให้อีคอมเมิร์ซ
การประเมินความเสี่ยง
(Risk Assessment)
พัฒนานโยบายการรักษาความ
ปลอดภัย (Security Policy)
การพัฒนาแผนงานเพื่อนาไปใช้
(Implementation Plan)
การสร้างระบบรักษาความ
ปลอดภัยในองค์กร
(Security Oganization)
ดาเนินการการตรวจสอบความ
ปลอดภัย (Security Audit)

Page 54
The Role of Laws and Public Policy
 New laws have given authorities tools and mechanisms
for identifying, tracing, prosecuting cybercriminals
 National Information Infrastructure Protection Act of 1996: created
National Infrastructure Protection Center
 USA Patriot Act
 Homeland Security Act
 CERT Coordination Center – private group
 Government policies and controls on encryption software
 OECD guidelines

Page 55
การสร ้างความมั่นใจให้กับลูกค้าในเรื่อง
ข้อมูลด้านการเงิน เช่น บัตรเครดิต
มีผลต่อการตัดสินใจซื้ออย่างไร ??

Page 56
การสร ้างความมั่นใจให้กับลูกค้า
 อธิบายขั้นตอนการดาเนินการซื้อขายให้ชัดเจน เช่น
• กฎระเบียบและเงื่อนไขการบริการต่างๆ
• การรับประกันสินค้า
• การรักษาข้อมูลส่วนตัวของลูกค้า
• ขั้นตอนการสั่งซื้อและวิธีการจัดส่งสินค้า
• วิธีการชาระสินค้า และบริการ
• ความปลอดภัยในการชาระสินค้าผ่านบัตรเครดิต
 สร้างช่องทางช่วยเหลือกรณีลูกค้ามีคาถาม
อธิบายใน
รูปแบบ
Infographic

Page 57
ผู้ประกอบการควรใส่ใจกับเรื่องความ
ปลอดภัยอย่างไร ???

Page 58
ผู้ประกอบการควรใส่ใจกับเรื่องความปลอดภัยอย่างไร ???
 กาหนดนโยบายการจัดการด้านความปลอดภัย
 ให้ความสาคัญเกี่ยวกับ e-Commerce Security
 เลือกผู้ให้บริการฝากเว็บไซต์/เซิร ์ฟเวอร ์ที่มีความน่าเชื่อถือ
 Non Cloud (Hosting)
 Cloud-based
 ตั้งทีมงานดูแลความปลอดภัยข้อมูล
 ส่งบุคลากรไปฝึกอบรมด้านความปลอดภัย หรือ
 เพิ่มบุคลากรด้านความปลอดภัยข้อมูล
 เรียนรู้กฎหมายและนโยบายสาธารณะเกี่ยวกับอีคอมเมิร ์ซ
 มาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทาง
อิเล็กทรอนิกส์
 แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
ของหน่วยงานของรัฐ
 …

Page 59
หน่วยงานและองค์กรที่ส่งเสริมและให้ความช่วยเหลือ
ด้านความปลอดภัยคอมพิวเตอร ์
 ThaiCERT - ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบ
คอมพิวเตอร ์ประเทศไทย
 Thai e-Commerce Association – สมาคมผู้ประกอบการ
พาณิชย์อิเล็กทรอนิกส์ไทย
 CSI Computer Crime and Security Survey
 …………………………………………………………
 …………………………………………………………
 …………………………………………………………
 …………………………………………………………

Page 60
Reference
 http://www.mict.go.th
 http://www.dbd.go.th
 http://www.thailandpost.com
 http://www.thaiecommerce.org
 http://www.arnut.com/ecommerce/
---------------
 Slide and e-book
 2007 Pearson Education, Inc.

Page 61
เอกสารประกอบการบรรยาย - การเสวนาเพื่อใหความรูและแลกเปลี่ยนความคิดเห็น
ถึงทิศทางความตองการดานไปรษณียของประเทศไทย
• Topic: บริบทของธุรกิจ e-Commerce ในประเทศไทย : มิติด้านความ
ปลอดภัยและความมั่นคง
• Project: กระทรวงเทคโนโลยีสารสนเทศและการสื่อนสาร ร่วมกับ สถาบันวิจัย
และให้คาปรึกษาแห่งมหาวิทยาลัยธรรมศาสตร์
• Place: ณ หองวีนัส ชั้น 3 โรงแรมมิราเคิล แกรนด คอนเวนชั่น กรุงเทพฯ
• Date: วันพุธที่ 21 ตุลาคม 2558 เวลา 09.00 – 12.00 น.

Page 62
โครงการพัฒนาเสริมสร้างความเข้มแข็งทางวิชาการให้กับนักศึกษา
กิจกรรมที่ ๑ กิจกรรมอบรมความรู้ด้านคอมพิวเตอร์ให้กับนักศึกษา
ดร.อาณัติ รัตนถิรกุล : www.arnut.com
สาขาวิชาระบบสารสนเทศและคอมพิวเตอร์ธุรกิจ
คณะบริหารธุรกิจและเทคโนโลยีสารสนเทศ ศูนย์หันตรา
มหาวิทยาลัยเทคโนโลยีราชมงคลสุวรรณภูมิ
October 21, 2015

e-Commerce Security mict-tu_21oct15_Dr.Arnut

More Related Content

What's hot (9)

Similar to e-Commerce Security mict-tu_21oct15_Dr.Arnut (20)

More from Asst.Prof.Dr.Arnut Ruttanatirakul (20)

e-Commerce Security mict-tu_21oct15_Dr.Arnut