e-commerce security mictpost_21oct15
TRANSCRIPT
Powerpoint Templates Page 1
Powerpoint Templates
โครงการพฒนาเสรมสรางความเขมแขงทางวชาการใหกบนกศกษา
กจกรรมท ๑ กจกรรมอบรมความรดานคอมพวเตอรใหกบนกศกษา
ดร.อาณต รตนถรกล สาขาวชาระบบสารสนเทศและคอมพวเตอรธรกจ คณะบรหารธรกจและเทคโนโลยสารสนเทศ ศนยหนตรา มหาวทยาลยเทคโนโลยราชมงคลสวรรณภม
October 21, 2015
มตดานความปลอดภยและความมนคง
Powerpoint Templates Page 2
Phising
VPN
Spyware
Public Key
Botnets
Insider Attacks
Spoofing
Malicious
Web Programming
Web Developer
Social Engineering
Worm 01010101010101010101010101010
ThaiCERT
e-Commerce Security
Trojan Horse
Virus
Hacking
Adware
Pharming
DoS
Smishing Vishing
Spam Firewall
Proxies
Signature
SSL
Powerpoint Templates Page 3
Topic
ภาพรวมความปลอดภยใน e-Commerce
องคประกอบการรกษาความปลอดภยของขอมล
ภยคกความความปลอดภยภายใตสภาพแวดลอมระบบ e-Commerce
เทคโนโลยการรกษาความปลอดภย
การสรางความมนใจใหกบลกคาในเร องขอมลดานการเงน เชน บตรเครดต
มผลตอการตดสนใจซออยางไร
ผประกอบการควรใสใจกบเร องความปลอดภยอยางไร
Powerpoint Templates Page 5 Copyright © 2009 Pearson Education, Inc. Publishing as Prentice Hall
ประเภทของอาชญากรรมทางอนเทอรเนต โดย IC3
Categories of Internet Crime Complaints Reported to IC3
Powerpoint Templates Page 6
ประเภทของการโจมต
ทางคอมพวเตอร
(Cybercrime)
SOURCE: Based on data from Computer Security Institute, 2009
Powerpoint Templates Page 7
สถตภยคกคาม ประจ าป พ.ศ. 2558
Source: https://www.thaicert.or.th/statistics/statistics.html
Powerpoint Templates Page 8
สถตภยคกคาม ประจ าป พ.ศ. 2558
Source: https://www.thaicert.or.th/statistics/statistics.html
จ าแนกเปนรายเดอน
Powerpoint Templates Page 9
สถตภยคกคาม ประจ าป พ.ศ. 2558
Source: https://www.thaicert.or.th/statistics/statistics.html
จ าแนกตามประเภทภยคกคาม
Powerpoint Templates Page 10
สถตภยคกคาม ประจ าป พ.ศ. 2558
Source: https://www.thaicert.or.th/statistics/statistics.html
10 อนดบประเทศทแจงเหตภยคกคามมากทสด
Powerpoint Templates Page 11
ท าไมเราตองมการรกษาความปลอดภยของ
e-Commerce ???
สาเหตทตองเลอกวธการรกษาความปลอดภยทด
มเทคโนโลยใหมๆ เกดขนทกวน
วธการและนโยบายขององคกร
มาตรฐานอตสาหกรรม และกฎหมาย
ปจจยอนๆ เวลาทกนาทมคา
คาใชจายในระบบรกษาความปลอดภย vs ความเสยหายทเกดขน
การเลอกวธการรกษาความปลอดภย
Powerpoint Templates Page 14
องคประกอบการรกษาความปลอดภยของขอมล
การรกษาความลบ (Secrecy/Confidentiality)
การรกษาความถกตอง/ความคงสภาพ (Integrity)
การรบประกนในงานบรการ (Availability)
Powerpoint Templates Page 15
องคประกอบอนๆ
เกยวกบการรกษาความปลอดภยของขอมล
ความเปนสวนบคคล (Privacy)
การระบตวตน (Identification)
การพสจนทราบตวตน (Authentication)
การอนญาตใชงาน (Authirization)
การตรวจสอบได (Accountability)
Powerpoint Templates Page 16
นโยบายการรกษาความปลอดภย
การรกษาความลบ (Secrecy)
การรกษาความถกตอง (Integrity)
การรบประกนในงานบรการ (Availability)
การเขารหสขอมล (Key Management)
การหามปฏเสธความรบผดชอบ (Nonrepudiation)
Powerpoint Templates Page 17
นโยบายการรกษาความปลอดภยและการบรณาการ
ความตองการ รายละเอยด/ตวอยาง
การรกษาความลบ
(Secrecy) การรกษาความลบ โดยบคคลทไมมสทธ จะตองไมสามารถเขาไปอาน
ขาวสารได เชน แผนธรกจ หมายเลขบตรเครดต ขอมลสวนตวลกคา
การรกษาความถกตอง
(Integrity) ความถกตองและความสอดคลองตรงกน โดยขาวทบรรจในอเมล หาก
สงไปยงผรบ ขาวสารนนจะถกตองตรงกบตนฉบบ
การรบประกนในงาน
บรการ (Availability) การรบประกนในงานบรการ เชน การรบประกนการสงมอบ ช นสวนไม
เสยหาย
การเขารหสขอมล (Key
Management) การจดการดานความปลอดภยในขอมล เชน การเขารหสขอมล โดยผท
มกญแจเทานน จงสามารถเปดอานขาวสารได
การหามปฏเสธความ
รบผดชอบ
(Nonrepudiation)
การหามปฏเสธความรบผดชอบ เชน ลกคามการสงสนคาออนไลน มการ
โตตอบเพอด าเนนธรกรรมจะเสรจสน และมสงขอมลยนยนทางอเมล
ดงนนลกคาและรานคาจะไมสามารถปฏเสธไดวา ไมมความเกยวของใน
การท าธรกรรมนน
การพสจนตวตน
(Authentication) การพสจนตวตน เชน ลกคาทตดตอมตวตนจรง เคร องแมขายใหบรการ
มตวตนจรง โดยผานเทคโนโลยลายเซนดจทลและใบรบรองดจทล
ความตองการในการรกษาความปลอดภยในอคอมเมรซ
Powerpoint Templates Page 18
ภยคกความความปลอดภย
ภายใตสภาพแวดลอมระบบ
e-Commerce
Powerpoint Templates Page 19
ขนตอนการท าธรกรรมตามปกต
ธนาคารทนาย A
ใชท าธรกรรม ธนาคารททางรานคา
ใชท าธรกรรม
ใบสงซ อ
ของนาย A
ใบสงซ อจะถกสงพมพทคลง
(CD Warehouse)
ซดจะสงมาถงประมาณ 2-3 วน
ภายหลงจากไดรบค าสงซ อ
นาย A
สงแบบฟอรมใบสงซ อ
Powerpoint Templates Page 20
ชองโหวส าคญ 3 จด
จากการท าธรกรรมอคอมเมรซ
การสอสารบนอนเทอรเนต
(Internet communications channels)
เครองคอมพวเตอรแมขาย (Server)
เครองคอมพวเตอรลกขาย (Client)
Powerpoint Templates Page 21
ชองโหวส าคญ 3 จด จากการท าธรกรรมอคอมเมรซ
SOURCE: Boncella, 2000.
ความเสยงดานความปลอดภย
คอมพวเตอร
ของ A
การดกจบ
ขอมลบน
อนเทอรเนต
แบคโบน
การเชอม
สายบนเวบ
เซรฟเวอร
การดกจบ
ขอมลท
ISP
การท าลาย
ฐานขอมล
การเชอมสาย (Tapping)
ระหวางเคร องของผใชทเช อมไปยง ISP
การเชอมสายและการดกจบขอมล
การแกไข/ดดแปลงขาวสาร
การโจรกรรมและการฉอโกง
การแฮก (Hacking)
การโจมตแบบ DoS, DDoS
การโจมตดวยโปรแกรมประสงคราย
การโจรกรรมและการฉอโกง
การเชอมสาย (Tapping)
การท าลายทรพยสน
การเชอมสาย
การโจมตดวยโปรแกรมประสงคราย
อปกรณคอมพวเตอรเสยหาย
1
2
3
Powerpoint Templates Page 22
ภยคกคาม (Threat)
• ภยคกคาม หมายถง สงทอาจกอใหเกดความเสยหาย
ตอคณสมบตของขอมลดานใดดานหนงหรอมากกวา
หนงดาน
Threat
• การเปดเผย
• การหลอกลวง
• การขดขวาง
• การควบคมระบบ
Powerpoint Templates Page 23
ภยคกความความปลอดภย ภายใต
สภาพแวดลอมระบบ e-Commerce
โปรแกรมประสงคราย (Malicious Code)
ไวรส (Viruses)
หนอนอนเทอรเนต (Worms)
มาโทรจน (Trojan Horses)
บอท (Bots, Botnets)
โปรแกรมทไมตองการ (Unwanted Programs)
ปาราสตเบราเซอร (Browser Parasites)
แอดแวร (Adware)
สปายแวร (Spyware)
Th
reat
Powerpoint Templates Page 24
ภยคกความความปลอดภย ภายใต
สภาพแวดลอมระบบ e-Commerce
การหลอกลวงและการโจรกรรมสวมรอย ฟซชง (Phising)
การโจรกรรมสวมรอย (Identity Theft)
Th
reat
วศวกรรมทาง
สงคม (Social
Engineering)
Powerpoint Templates Page 25
ภยคกความความปลอดภย ภายใต
สภาพแวดลอมระบบ e-Commerce
การแฮก (Hacking and cybervandalism)
Hackers vs. crackers
Cybervandalism: Intentionally disrupting, defacing, destroying Web site
Types of hackers White hats
Black hats
Grey hats
Th
reat
Powerpoint Templates Page 26
ภยคกความความปลอดภย ภายใต
สภาพแวดลอมระบบ e-Commerce
Spoofing
Pharming
Spam/Junk Web site
Th
reat
Powerpoint Templates Page 27
ภยคกความความปลอดภย ภายใต
สภาพแวดลอมระบบ e-Commerce
การโจรกรรมและฉอโกงบตรเครดต
(Credit card fraud/theft) Fear that credit card information will be stolen
deters online purchases
Hackers target credit card files and other
customer information files on merchant
servers; use stolen data to establish credit
under false identity
One solution: New identity verification
mechanisms
Th
reat
Powerpoint Templates Page 28
ภยคกความความปลอดภย ภายใต
สภาพแวดลอมระบบ e-Commerce
การปฏเสธใหบรการ (DoS and DDoS Attacks)
Denial of service (DoS) attack: Hackers flood Web site
with useless traffic to inundate and overwhelm network
Distributed denial of service (DDoS) attack: hackers use
numerous computers to attack target network from
numerous launch points
Powerpoint Templates Page 29
ภยคกความความปลอดภย ภายใต
สภาพแวดลอมระบบ e-Commerce
การดกจบขอมล (Sniffing) Eavesdropping program that monitors
information traveling over a network
การโจมตจากบคคลภายใน (Insider Attacks)
Powerpoint Templates Page 30
ภยคกความความปลอดภย ภายใต
สภาพแวดลอมระบบ e-Commerce
การรกษาความปลอดภยบนแพลตฟอรม
โทรศพทมอถอ (Mobile Platform
threats)
การโจมตแบบวชชง (Vishing Attacks) ใชหลกการทางวศวกรรมสงคม ดวยการเขาถงกลมเปาหมาย
คอ ผใชโทรศพทมอถอผานขอความทเรยกรองใหเกด
ความรสกเหนอกเหนใจ นาสงสาร แลวลงทายดวยการขอเงน
บรจาค
การโจมตแบบสมชชง (Smishing) ใชวธการสง SMS ไปยงผใช โดยในขอความนนอาจมการ
ระบอเมลแอดเดรสและทอยของเวบไซตไปดวย หากผใช
รเทาไมถงการไดเปดเมลหรอคลกลงคไปยงเวบเหลานน
โทรศพทของผใชจะตดมลแวรมาดวย
Th
reat
Powerpoint Templates Page 31
สรปภยคกความความปลอดภย ภายใต
สภาพแวดลอมระบบ e-Commerce
Malicious Code
Viruses
Worms
Trojan Horses
Bots, Botnets
Unwanted Programs
Browser Parasites
Adware
Spyware
Phising Social Engineering
Hacking and Cybervandalism
Spoofing Pharming
Spam Spam Mail
Junk mail
Denial of Service attacks DoS
DDoS
Sniffing
Insider Attacks
Insider Jobs
Credit card fraud
Mobile Platform threats Vishing Attacks
Smishing
USB Killers Etc.
Th
reat
Powerpoint Templates Page 32
เทคโนโลยการรกษาความปลอดภย
(Technology Solutions for e-Commerce)
Powerpoint Templates Page 33
เทคโนโลยการรกษาความปลอดภย Tech
no
log
y S
olu
tio
ns Protecting Internet communications
(encryption)
Securing channels of communication
(SSL, S-HTTP, VPNs)
Protecting networks
(firewalls)
Protecting servers and clients
Powerpoint Templates Page 35
การเขารหสขอมล (Encryption)
การเขารหสขอมล (Encryption)
วทยาการรหสลบ (Cryptography)
เพลนเทกซ หรอเคลยรเทกซ (Plantext/Cleartext)
อลกอรทมในการเขารหส (Encryption Algorithm)
ไซเฟอรเทกซ (Ciphertext)
คย (Key)
การเขากญแจสาธารณะ (Public Key Cryptography)
ลายเซนดจตอล (Digital Signature)
Powerpoint Templates Page 36
Protecting Internet Communications: Encryption
Encryption
Transforming plain text, data into cipher text that can’t be read by anyone other than sender and receiver
Secures stored information and information transmission
Provides:
Message integrity
Nonrepudiation
Authentication
Confidentiality
Powerpoint Templates Page 37
Symmetric Key Encryption
Also known as secret key encryption
Both sender and receiver use same digital key to encrypt and decrypt message
Requires different set of keys for each transaction
Advanced Encryption Standard (AES)
Most widely used symmetric key encryption
Uses 128-, 192-, and 256-bit encryption keys
Other standards use keys with up to 2,048 bits
Powerpoint Templates Page 38
Public Key Encryption
Uses two mathematically related digital keys
Public key (widely disseminated)
Private key (kept secret by owner)
Both keys used to encrypt and decrypt message
Once key used to encrypt message, same key cannot be used to decrypt message
Sender uses recipient’s public key to encrypt message; recipient uses his/her private key to decrypt it
Powerpoint Templates Page 39
Public Key Cryptography – A Simple Case
Powerpoint Templates Page 40
Public Key Encryption using Digital Signatures and Hash
Digests
Hash function:
Mathematical algorithm that produces fixed-length number called
message or hash digest
Hash digest of message sent to recipient along with
message to verify integrity
Hash digest and message encrypted with recipient’s
public key
Entire cipher text then encrypted with recipient’s private
key – creating digital signature – for authenticity,
nonrepudiation
Powerpoint Templates Page 41
Public Key Cryptography with Digital Signatures
Powerpoint Templates Page 42
Digital Envelopes
• Addresses weaknesses of public key
encryption (computationally slow, decreases
transmission speed, increases processing
time) and symmetric key encryption (faster,
but less secure)
• Uses symmetric key encryption to encrypt
document but public key encryption to
encrypt and send symmetric key
Powerpoint Templates Page 43
Public Key Cryptography: Creating a Digital Envelope
Powerpoint Templates Page 44
Digital Certificates and Public Key Infrastructure (PKI)
Digital certificate includes:
Name of subject/company
Subject’s public key
Digital certificate serial number
Expiration date, issuance date
Digital signature of certification authority (trusted third party institution) that issues certificate
Other identifying information
Public Key Infrastructure (PKI): CAs and digital certificate procedures that are accepted by all parties
Powerpoint Templates Page 45
Digital Certificates and Certification Authorities
Powerpoint Templates Page 46
Limits to Encryption Solutions
PKI applies mainly to protecting messages in
transit
PKI is not effective against insiders
Protection of private keys by individuals may be
haphazard
No guarantee that verifying computer of
merchant is secure
CAs are unregulated, self-selecting
organizations
Powerpoint Templates Page 47
Securing Channels of Communication
Secure Sockets Layer (SSL):
Establishes a secure, negotiated client-server session in which URL of requested document, along with contents, is encrypted
S-HTTP:
Provides a secure message-oriented communications protocol designed for use in conjunction with HTTP
Virtual Private Network (VPN):
Allows remote users to securely access internal network via the Internet, using Point-to-Point Tunneling Protocol (PPTP)
Powerpoint Templates Page 49
การปองกนระบบเครอขาย (Protecting Networks)
Firewall
Hardware or software that filters packets
Prevents some packets from entering the network based on security policy
Two main methods:
Packet filters
Application gateways
Proxy servers (proxies)
Software servers that handle all communications originating from or being sent to the Internet
Powerpoint Templates Page 51
การปองกนเครองเซรฟเวอรและเครองผใชงาน
(Protecting Servers and Clients)
Operating system security enhancements
Upgrades, patches
Anti-virus software:
Easiest and least expensive way to prevent
threats to system integrity
Requires daily updates
Powerpoint Templates Page 52
นโยบายการจดการดานความปลอดภย
แผนการรกษาความปลอดภย : นโยบายดานการบรหาร
1. การประเมนความเสยง (Risk Assessment)
2. พฒนานโยบายการรกษาความปลอดภย (Security Policy)
3. การพฒนาแผนงานเพอน าไปใช (Implementation Plan)
4. การสรางระบบรกษาความปลอดภยในองคกร (Security Oganization) การควบคมการเขาถง (Access Control)
การพสจนตวตน (Authentication)
การก าหนดสทธเพอการใชงาน (Authorization)
5. ด าเนนการการตรวจสอบความปลอดภย (Security Audit)
Powerpoint Templates Page 53
แผนการรกษาความปลอดภยใหอคอมเมรซ
การประเมนความเสยง (Risk Assessment)
พฒนานโยบายการรกษาความปลอดภย (Security Policy)
การพฒนาแผนงานเพอน าไปใช (Implementation Plan)
การสรางระบบรกษาความปลอดภยในองคกร
(Security Oganization)
ด าเนนการการตรวจสอบความปลอดภย (Security Audit)
Powerpoint Templates Page 54
The Role of Laws and Public Policy
New laws have given authorities tools and mechanisms for identifying, tracing, prosecuting cybercriminals
National Information Infrastructure Protection Act of 1996: created National Infrastructure Protection Center
USA Patriot Act
Homeland Security Act
CERT Coordination Center – private group
Government policies and controls on encryption software
OECD guidelines
Powerpoint Templates Page 55
การสรางความมนใจใหกบลกคาในเร อง
ขอมลดานการเงน เชน บตรเครดต
มผลตอการตดสนใจซออยางไร ??
Powerpoint Templates Page 56
การสรางความมนใจใหกบลกคา
อธบายขนตอนการด าเนนการซอขายใหชดเจน เชน
• กฎระเบยบและเงอนไขการบรการตางๆ
• การรบประกนสนคา
• การรกษาขอมลสวนตวของลกคา
• ขนตอนการสงซ อและวธการจดสงสนคา
• วธการช าระสนคา และบรการ
• ความปลอดภยในการช าระสนคาผานบตรเครดต
สรางชองทางชวยเหลอกรณลกคามค าถาม
อธบายใน
รปแบบ
Infographic
Powerpoint Templates Page 57
ผประกอบการควรใสใจกบเร องความ
ปลอดภยอยางไร ???
Powerpoint Templates Page 58
ผประกอบการควรใสใจกบเร องความปลอดภยอยางไร ???
ก าหนดนโยบายการจดการดานความปลอดภย
ใหความส าคญเกยวกบ e-Commerce Security
เลอกผใหบรการฝากเวบไซต/เซรฟเวอร ทมความนาเชอถอ
Non Cloud (Hosting)
Cloud-based
ตงทมงานดแลความปลอดภยขอมล
สงบคลากรไปฝกอบรมดานความปลอดภย หรอ
เพมบคลากรดานความปลอดภยขอมล
เรยนรกฎหมายและนโยบายสาธารณะเกยวกบอคอมเมรซ
มาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทาง
อเลกทรอนกส
แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ
ของหนวยงานของรฐ
…
Powerpoint Templates Page 59
หนวยงานและองคกรทสงเสรมและใหความชวยเหลอ
ดานความปลอดภยคอมพวเตอร
ThaiCERT - ศนยประสานการรกษาความมนคงปลอดภยระบบ
คอมพวเตอรประเทศไทย
Thai e-Commerce Association – สมาคมผประกอบการ
พาณชยอเลกทรอนกสไทย
CSI Computer Crime and Security Survey
…………………………………………………………
…………………………………………………………
…………………………………………………………
…………………………………………………………
Powerpoint Templates Page 60
Reference
http://www.mict.go.th
http://www.dbd.go.th
http://www.thailandpost.com
http://www.thaiecommerce.org
http://www.arnut.com/ecommerce/
---------------
Slide and e-book
2007 Pearson Education, Inc.
Powerpoint Templates Page 61
เอกสารประกอบการบรรยาย - การเสวนาเพอใหความรและแลกเปลยนความคดเหนถงทศทางความตองการดานไปรษณยของประเทศไทย • Topic: บรบทของธรกจ e-Commerce ในประเทศไทย : มตดานความ
ปลอดภยและความมนคง • Project: กระทรวงเทคโนโลยสารสนเทศและการสอนสาร รวมกบ สถาบนวจย
และใหค าปรกษาแหงมหาวทยาลยธรรมศาสตร • Place: ณ หองวนส ชน 3 โรงแรมมราเคล แกรนด คอนเวนชน กรงเทพฯ • Date: วนพธท 21 ตลาคม 2558 เวลา 09.00 – 12.00 น.
Powerpoint Templates Page 62
Powerpoint Templates
โครงการพฒนาเสรมสรางความเขมแขงทางวชาการใหกบนกศกษา
กจกรรมท ๑ กจกรรมอบรมความรดานคอมพวเตอรใหกบนกศกษา
ดร.อาณต รตนถรกล : www.arnut.com สาขาวชาระบบสารสนเทศและคอมพวเตอรธรกจ คณะบรหารธรกจและเทคโนโลยสารสนเทศ ศนยหนตรา มหาวทยาลยเทคโนโลยราชมงคลสวรรณภม
October 21, 2015