e-commerce security mictpost_21oct15

Powerpoint Templates


โครงการพฒนาเสรมสรางความเขมแขงทางวชาการใหกบนกศกษา

กจกรรมท ๑ กจกรรมอบรมความรดานคอมพวเตอรใหกบนกศกษา

ดร.อาณต รตนถรกล สาขาวชาระบบสารสนเทศและคอมพวเตอรธรกจ คณะบรหารธรกจและเทคโนโลยสารสนเทศ ศนยหนตรา มหาวทยาลยเทคโนโลยราชมงคลสวรรณภม

October 21, 2015

มตดานความปลอดภยและความมนคง

http://www.powerpointstyles.com/



Phising

VPN

Spyware

Public Key

Botnets

Insider Attacks

Spoofing

Malicious

Web Programming

Web Developer

Social Engineering

Worm 01010101010101010101010101010

ThaiCERT

e-Commerce Security

Trojan Horse

Virus

Hacking

Adware

Pharming

DoS

Smishing Vishing

Spam Firewall

Proxies

Signature

SSL



Topic

ภาพรวมความปลอดภยใน e-Commerce

องคประกอบการรกษาความปลอดภยของขอมล

ภยคกความความปลอดภยภายใตสภาพแวดลอมระบบ e-Commerce

เทคโนโลยการรกษาความปลอดภย

การสรางความมนใจใหกบลกคาในเร องขอมลดานการเงน เชน บตรเครดต

มผลตอการตดสนใจซออยางไร

ผประกอบการควรใสใจกบเร องความปลอดภยอยางไร



ภาพรวมความปลอดภย

ใน e-Commerce


Powerpoint Templates Copyright © 2009 Pearson Education, Inc. Publishing as Prentice Hall

ประเภทของอาชญากรรมทางอนเทอรเนต โดย IC3

Categories of Internet Crime Complaints Reported to IC3



ประเภทของการโจมต

ทางคอมพวเตอร

(Cybercrime)

SOURCE: Based on data from Computer Security Institute, 2009



สถตภยคกคาม ประจ าป พ.ศ. 2558

Source: https://www.thaicert.or.th/statistics/statistics.html





จ าแนกเปนรายเดอน





จ าแนกตามประเภทภยคกคาม





10 อนดบประเทศทแจงเหตภยคกคามมากทสด



ท าไมเราตองมการรกษาความปลอดภยของ

e-Commerce ???

สาเหตทตองเลอกวธการรกษาความปลอดภยทด

มเทคโนโลยใหมๆ เกดขนทกวน

วธการและนโยบายขององคกร

มาตรฐานอตสาหกรรม และกฎหมาย

ปจจยอนๆ เวลาทกนาทมคา

คาใชจายในระบบรกษาความปลอดภย vs ความเสยหายทเกดขน

การเลอกวธการรกษาความปลอดภย



The e-Commerce Security Environment



องคประกอบการรกษาความ

ปลอดภยของขอมล



องคประกอบการรกษาความปลอดภยของขอมล

การรกษาความลบ (Secrecy/Confidentiality)

การรกษาความถกตอง/ความคงสภาพ (Integrity)

การรบประกนในงานบรการ (Availability)



องคประกอบอนๆ

เกยวกบการรกษาความปลอดภยของขอมล

ความเปนสวนบคคล (Privacy)

การระบตวตน (Identification)

การพสจนทราบตวตน (Authentication)

การอนญาตใชงาน (Authirization)

การตรวจสอบได (Accountability)



นโยบายการรกษาความปลอดภย

การรกษาความลบ (Secrecy)

การรกษาความถกตอง (Integrity)

การรบประกนในงานบรการ (Availability)

การเขารหสขอมล (Key Management)

การหามปฏเสธความรบผดชอบ (Nonrepudiation)



นโยบายการรกษาความปลอดภยและการบรณาการ

ความตองการ รายละเอยด/ตวอยาง

การรกษาความลบ

(Secrecy) การรกษาความลบ โดยบคคลทไมมสทธ จะตองไมสามารถเขาไปอาน

ขาวสารได เชน แผนธรกจ หมายเลขบตรเครดต ขอมลสวนตวลกคา

การรกษาความถกตอง

(Integrity) ความถกตองและความสอดคลองตรงกน โดยขาวทบรรจในอเมล หาก

สงไปยงผรบ ขาวสารนนจะถกตองตรงกบตนฉบบ

การรบประกนในงาน

บรการ (Availability) การรบประกนในงานบรการ เชน การรบประกนการสงมอบ ช นสวนไม

เสยหาย

การเขารหสขอมล (Key

Management) การจดการดานความปลอดภยในขอมล เชน การเขารหสขอมล โดยผท

มกญแจเทานน จงสามารถเปดอานขาวสารได

การหามปฏเสธความ

รบผดชอบ

(Nonrepudiation)

การหามปฏเสธความรบผดชอบ เชน ลกคามการสงสนคาออนไลน มการ

โตตอบเพอด าเนนธรกรรมจะเสรจสน และมสงขอมลยนยนทางอเมล

ดงนนลกคาและรานคาจะไมสามารถปฏเสธไดวา ไมมความเกยวของใน

การท าธรกรรมนน

การพสจนตวตน

(Authentication) การพสจนตวตน เชน ลกคาทตดตอมตวตนจรง เคร องแมขายใหบรการ

มตวตนจรง โดยผานเทคโนโลยลายเซนดจทลและใบรบรองดจทล

ความตองการในการรกษาความปลอดภยในอคอมเมรซ



ภยคกความความปลอดภย

ภายใตสภาพแวดลอมระบบ

e-Commerce



ขนตอนการท าธรกรรมตามปกต

ธนาคารทนาย A

ใชท าธรกรรม ธนาคารททางรานคา

ใชท าธรกรรม

ใบสงซ อ

ของนาย A

ใบสงซ อจะถกสงพมพทคลง

(CD Warehouse)

ซดจะสงมาถงประมาณ 2-3 วน

ภายหลงจากไดรบค าสงซ อ

นาย A

สงแบบฟอรมใบสงซ อ



ชองโหวส าคญ 3 จด

จากการท าธรกรรมอคอมเมรซ

การสอสารบนอนเทอรเนต

(Internet communications channels)

เครองคอมพวเตอรแมขาย (Server)

เครองคอมพวเตอรลกขาย (Client)



ชองโหวส าคญ 3 จด จากการท าธรกรรมอคอมเมรซ

SOURCE: Boncella, 2000.

ความเสยงดานความปลอดภย

คอมพวเตอร

ของ A

การดกจบ

ขอมลบน

อนเทอรเนต

แบคโบน

การเชอม

สายบนเวบ

เซรฟเวอร

การดกจบ

ขอมลท

ISP

การท าลาย

ฐานขอมล

การเชอมสาย (Tapping)

ระหวางเคร องของผใชทเช อมไปยง ISP

การเชอมสายและการดกจบขอมล

การแกไข/ดดแปลงขาวสาร

การโจรกรรมและการฉอโกง

การแฮก (Hacking)

การโจมตแบบ DoS, DDoS

การโจมตดวยโปรแกรมประสงคราย

การโจรกรรมและการฉอโกง

การเชอมสาย (Tapping)

การท าลายทรพยสน

การเชอมสาย

การโจมตดวยโปรแกรมประสงคราย

อปกรณคอมพวเตอรเสยหาย

1

2

3



ภยคกคาม (Threat)

• ภยคกคาม หมายถง สงทอาจกอใหเกดความเสยหาย

ตอคณสมบตของขอมลดานใดดานหนงหรอมากกวา

หนงดาน

Threat

• การเปดเผย

• การหลอกลวง

• การขดขวาง

• การควบคมระบบ



ภยคกความความปลอดภย ภายใต

สภาพแวดลอมระบบ e-Commerce

โปรแกรมประสงคราย (Malicious Code)

ไวรส (Viruses)

หนอนอนเทอรเนต (Worms)

มาโทรจน (Trojan Horses)

บอท (Bots, Botnets)

โปรแกรมทไมตองการ (Unwanted Programs)

ปาราสตเบราเซอร (Browser Parasites)

แอดแวร (Adware)

สปายแวร (Spyware)

Th

reat





การหลอกลวงและการโจรกรรมสวมรอย ฟซชง (Phising)

การโจรกรรมสวมรอย (Identity Theft)

Th

reat

วศวกรรมทาง

สงคม (Social

Engineering)





การแฮก (Hacking and cybervandalism)

Hackers vs. crackers

Cybervandalism: Intentionally disrupting, defacing, destroying Web site

Types of hackers White hats

Black hats

Grey hats

Th

reat





Spoofing

Pharming

Spam/Junk Web site

Th

reat





การโจรกรรมและฉอโกงบตรเครดต

(Credit card fraud/theft) Fear that credit card information will be stolen

deters online purchases

Hackers target credit card files and other

customer information files on merchant

servers; use stolen data to establish credit

under false identity

One solution: New identity verification

mechanisms

Th

reat





การปฏเสธใหบรการ (DoS and DDoS Attacks)

Denial of service (DoS) attack: Hackers flood Web site

with useless traffic to inundate and overwhelm network

Distributed denial of service (DDoS) attack: hackers use

numerous computers to attack target network from

numerous launch points





การดกจบขอมล (Sniffing) Eavesdropping program that monitors

information traveling over a network

การโจมตจากบคคลภายใน (Insider Attacks)





การรกษาความปลอดภยบนแพลตฟอรม

โทรศพทมอถอ (Mobile Platform

threats)

การโจมตแบบวชชง (Vishing Attacks) ใชหลกการทางวศวกรรมสงคม ดวยการเขาถงกลมเปาหมาย

คอ ผใชโทรศพทมอถอผานขอความทเรยกรองใหเกด

ความรสกเหนอกเหนใจ นาสงสาร แลวลงทายดวยการขอเงน

บรจาค

การโจมตแบบสมชชง (Smishing) ใชวธการสง SMS ไปยงผใช โดยในขอความนนอาจมการ

ระบอเมลแอดเดรสและทอยของเวบไซตไปดวย หากผใช

รเทาไมถงการไดเปดเมลหรอคลกลงคไปยงเวบเหลานน

โทรศพทของผใชจะตดมลแวรมาดวย

Th

reat



สรปภยคกความความปลอดภย ภายใต


Malicious Code

Viruses

Worms

Trojan Horses

Bots, Botnets

Unwanted Programs

Browser Parasites

Adware

Spyware

Phising Social Engineering

Hacking and Cybervandalism

Spoofing Pharming

Spam Spam Mail

Junk mail

Denial of Service attacks DoS

DDoS

Sniffing

Insider Attacks

Insider Jobs

Credit card fraud

Mobile Platform threats Vishing Attacks

Smishing

USB Killers Etc.

Th

reat



เทคโนโลยการรกษาความปลอดภย

(Technology Solutions for e-Commerce)



เทคโนโลยการรกษาความปลอดภย Tech

no

log

y S

olu

tio

ns Protecting Internet communications

(encryption)

Securing channels of communication

(SSL, S-HTTP, VPNs)

Protecting networks

(firewalls)

Protecting servers and clients



ชดเครองมอในการรกษาความปลอดภย



การเขารหสขอมล (Encryption)

การเขารหสขอมล (Encryption)

วทยาการรหสลบ (Cryptography)

เพลนเทกซ หรอเคลยรเทกซ (Plantext/Cleartext)

อลกอรทมในการเขารหส (Encryption Algorithm)

ไซเฟอรเทกซ (Ciphertext)

คย (Key)

การเขากญแจสาธารณะ (Public Key Cryptography)

ลายเซนดจตอล (Digital Signature)



Protecting Internet Communications: Encryption

Encryption

Transforming plain text, data into cipher text that can’t be read by anyone other than sender and receiver

Secures stored information and information transmission

Provides:

Message integrity

Nonrepudiation

Authentication

Confidentiality



Symmetric Key Encryption

Also known as secret key encryption

Both sender and receiver use same digital key to encrypt and decrypt message

Requires different set of keys for each transaction

Advanced Encryption Standard (AES)

Most widely used symmetric key encryption

Uses 128-, 192-, and 256-bit encryption keys

Other standards use keys with up to 2,048 bits



Public Key Encryption

Uses two mathematically related digital keys

Public key (widely disseminated)

Private key (kept secret by owner)

Both keys used to encrypt and decrypt message

Once key used to encrypt message, same key cannot be used to decrypt message

Sender uses recipient’s public key to encrypt message; recipient uses his/her private key to decrypt it



Public Key Cryptography – A Simple Case



Public Key Encryption using Digital Signatures and Hash

Digests

Hash function:

Mathematical algorithm that produces fixed-length number called

message or hash digest

Hash digest of message sent to recipient along with

message to verify integrity

Hash digest and message encrypted with recipient’s

public key

Entire cipher text then encrypted with recipient’s private

key – creating digital signature – for authenticity,

nonrepudiation



Public Key Cryptography with Digital Signatures



Digital Envelopes

• Addresses weaknesses of public key

encryption (computationally slow, decreases

transmission speed, increases processing

time) and symmetric key encryption (faster,

but less secure)

• Uses symmetric key encryption to encrypt

document but public key encryption to

encrypt and send symmetric key



Public Key Cryptography: Creating a Digital Envelope



Digital Certificates and Public Key Infrastructure (PKI)

Digital certificate includes:

Name of subject/company

Subject’s public key

Digital certificate serial number

Expiration date, issuance date

Digital signature of certification authority (trusted third party institution) that issues certificate

Other identifying information

Public Key Infrastructure (PKI): CAs and digital certificate procedures that are accepted by all parties



Digital Certificates and Certification Authorities



Limits to Encryption Solutions

PKI applies mainly to protecting messages in

transit

PKI is not effective against insiders

Protection of private keys by individuals may be

haphazard

No guarantee that verifying computer of

merchant is secure

CAs are unregulated, self-selecting

organizations



Securing Channels of Communication

Secure Sockets Layer (SSL):

Establishes a secure, negotiated client-server session in which URL of requested document, along with contents, is encrypted

S-HTTP:

Provides a secure message-oriented communications protocol designed for use in conjunction with HTTP

Virtual Private Network (VPN):

Allows remote users to securely access internal network via the Internet, using Point-to-Point Tunneling Protocol (PPTP)



Secure Negotiated Sessions Using SSL



การปองกนระบบเครอขาย (Protecting Networks)

Firewall

Hardware or software that filters packets

Prevents some packets from entering the network based on security policy

Two main methods:

Packet filters

Application gateways

Proxy servers (proxies)

Software servers that handle all communications originating from or being sent to the Internet



Firewalls and Proxy Servers



การปองกนเครองเซรฟเวอรและเครองผใชงาน

(Protecting Servers and Clients)

Operating system security enhancements

Upgrades, patches

Anti-virus software:

Easiest and least expensive way to prevent

threats to system integrity

Requires daily updates



นโยบายการจดการดานความปลอดภย

แผนการรกษาความปลอดภย : นโยบายดานการบรหาร

1. การประเมนความเสยง (Risk Assessment)

2. พฒนานโยบายการรกษาความปลอดภย (Security Policy)

3. การพฒนาแผนงานเพอน าไปใช (Implementation Plan)

4. การสรางระบบรกษาความปลอดภยในองคกร (Security Oganization) การควบคมการเขาถง (Access Control)

การพสจนตวตน (Authentication)

การก าหนดสทธเพอการใชงาน (Authorization)

5. ด าเนนการการตรวจสอบความปลอดภย (Security Audit)



แผนการรกษาความปลอดภยใหอคอมเมรซ

การประเมนความเสยง (Risk Assessment)

พฒนานโยบายการรกษาความปลอดภย (Security Policy)

การพฒนาแผนงานเพอน าไปใช (Implementation Plan)

การสรางระบบรกษาความปลอดภยในองคกร

(Security Oganization)

ด าเนนการการตรวจสอบความปลอดภย (Security Audit)



The Role of Laws and Public Policy

New laws have given authorities tools and mechanisms for identifying, tracing, prosecuting cybercriminals

National Information Infrastructure Protection Act of 1996: created National Infrastructure Protection Center

USA Patriot Act

Homeland Security Act

CERT Coordination Center – private group

Government policies and controls on encryption software

OECD guidelines



การสรางความมนใจใหกบลกคาในเร อง

ขอมลดานการเงน เชน บตรเครดต

มผลตอการตดสนใจซออยางไร ??



การสรางความมนใจใหกบลกคา

อธบายขนตอนการด าเนนการซอขายใหชดเจน เชน

• กฎระเบยบและเงอนไขการบรการตางๆ

• การรบประกนสนคา

• การรกษาขอมลสวนตวของลกคา

• ขนตอนการสงซ อและวธการจดสงสนคา

• วธการช าระสนคา และบรการ

• ความปลอดภยในการช าระสนคาผานบตรเครดต

สรางชองทางชวยเหลอกรณลกคามค าถาม

อธบายใน

รปแบบ

Infographic



ผประกอบการควรใสใจกบเร องความ

ปลอดภยอยางไร ???



ผประกอบการควรใสใจกบเร องความปลอดภยอยางไร ???

ก าหนดนโยบายการจดการดานความปลอดภย

ใหความส าคญเกยวกบ e-Commerce Security

เลอกผใหบรการฝากเวบไซต/เซรฟเวอร ทมความนาเชอถอ

Non Cloud (Hosting)

Cloud-based

ตงทมงานดแลความปลอดภยขอมล

สงบคลากรไปฝกอบรมดานความปลอดภย หรอ

เพมบคลากรดานความปลอดภยขอมล

เรยนรกฎหมายและนโยบายสาธารณะเกยวกบอคอมเมรซ

มาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทาง

อเลกทรอนกส

แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ

ของหนวยงานของรฐ

…



หนวยงานและองคกรทสงเสรมและใหความชวยเหลอ

ดานความปลอดภยคอมพวเตอร

ThaiCERT - ศนยประสานการรกษาความมนคงปลอดภยระบบ

คอมพวเตอรประเทศไทย

Thai e-Commerce Association – สมาคมผประกอบการ

พาณชยอเลกทรอนกสไทย

CSI Computer Crime and Security Survey

…………………………………………………………

…………………………………………………………

…………………………………………………………

…………………………………………………………



Reference

http://www.mict.go.th

http://www.dbd.go.th

http://www.thailandpost.com

http://www.thaiecommerce.org

http://www.arnut.com/ecommerce/

---------------

Slide and e-book

2007 Pearson Education, Inc.



เอกสารประกอบการบรรยาย - การเสวนาเพอใหความรและแลกเปลยนความคดเหนถงทศทางความตองการดานไปรษณยของประเทศไทย • Topic: บรบทของธรกจ e-Commerce ในประเทศไทย : มตดานความ

ปลอดภยและความมนคง • Project: กระทรวงเทคโนโลยสารสนเทศและการสอนสาร รวมกบ สถาบนวจย

และใหค าปรกษาแหงมหาวทยาลยธรรมศาสตร • Place: ณ หองวนส ชน 3 โรงแรมมราเคล แกรนด คอนเวนชน กรงเทพฯ • Date: วนพธท 21 ตลาคม 2558 เวลา 09.00 – 12.00 น.




โครงการพฒนาเสรมสรางความเขมแขงทางวชาการใหกบนกศกษา

กจกรรมท ๑ กจกรรมอบรมความรดานคอมพวเตอรใหกบนกศกษา

ดร.อาณต รตนถรกล : www.arnut.com สาขาวชาระบบสารสนเทศและคอมพวเตอรธรกจ คณะบรหารธรกจและเทคโนโลยสารสนเทศ ศนยหนตรา มหาวทยาลยเทคโนโลยราชมงคลสวรรณภม

October 21, 2015



e-commerce security mictpost_21oct15

Business