ระบบรักษาความ ...myweb.cmu.ac.th/wijit.a/954441/security.pdf · 3...
TRANSCRIPT
1
ระบบรกษาความปลอดภยสาหรบ
พาณชยอเลกทรอนกส
2
จดประสงคของระบบการรกษาความปลอดภย
เพอรกษาความลบของขอมล (Confidentiality) หมายถง การ
ปกปองขอมลไมใหถกเปดเผยตอบคคลทไมไดรบอนญาตอยางถกตอง และ
ถามการขโมยขอมลไปแลวกไมสามารถอานหรอทาความเขาใจได
เพอปองกนการปลอมแปลงขอมล (Integrity) คอ การรกษาความถกตอง
ของขอมลและปองกนไมใหมการเปลยนแปลงแกไขขอมลโดยมไดรบ
อนญาตซงการทจะสามารถทาเชนนได ตองมระบบควบคมวาผใดจะ
สามารถเขาถงขอมลไดและเขาถงแลวทาอะไรไดบาง
3
จดประสงคของระบบการรกษาความปลอดภย(ตอ)
เพอทาใหระบบนนสามารถทจะทางานไดตามปกตและเตมประสทธภาพ
(Availability) ระบบจะตองสามารถทางานไดอยางดตามจดมงหมายในการใชและมขดความสามารถปฏบตงานไดในปรมาณตามทตองการไดภายในเวลาทกาหนดดวย
ระบบการรกษาความปลอดภยทมขดความสามารถสงอาจทาใหขด
ความสามารถและความสะดวกในการทางานของระบบทงในดานปรมาณงาน
และประสทธภาพลดลง ดงนน ตองพจารณาวาระดบความปลอดภยใดจงจะ
เหมาะสมกบความสะดวก ปรมาณงาน และประสทธภาพของงานทตองการ
4
ภยคกคามทมตอระบบตาง ๆ
ภยตอระบบฮารดแวร
ภยตอระบบการจายไฟฟาแกคอมพวเตอร
ภยทเกดจากการทาลายทางกายภาพ
ภยจากการลกขโมยโดยตรง
ภยทมตอระบบซอฟตแวร
การลบซอฟตแวร
การขโมยซอฟตแวร
การเปลยนแปลงแกไขซอฟตแวร
ภยทมตอระบบขอมล
ไดแก การทขอมลอาจถกเปดเผยโดยมไดรบอนญาตหรอเปลยนแปลงแกไขเพอผลประโยชนบางอยาง
5
ผเจาะระบบรกษาความปลอดภย
ผเจาะระบบรกษาความปลอดภย คอบคคลทไมมสทธในการเขาใชระบบ
คอมพวเตอร ลกลอบทาการเจาะระบบดวยวธใดวธหนง แบงเปน 2
ประเภทหลก ๆ ไดแก
Hacker มวตถประสงคเพอทดสอบขดความสามารถของระบบ
Cracker มวตถประสงคเพอบกรกระบบเพอขโมยขอมลหรอทาลายขอมลผอนโดยผดกฎหมาย
6
ภยคกคามพาณชยอเลกทรอนกส
การเขาสเครอขายทไมไดรบอนญาต
การทาลายขอมลและเครอขาย
การเปลยน การเพม หรอการดดแปลงขอมล
การเปดเผยขอมลแกผทไมไดรบอนญาต
การทาใหระบบบรการของเครอขายหยดชะงก
การขโมยขอมล
การปฏเสธการบรการทไดรบ และขอมลทไดรบหรอสง
การอางวาไดใหบรการทงๆ ทไมไดทา และหรอการอางวาไดรบสง
ไวรสทแอบแฝงมากบผทเขามาใชบรการ
7
การควบคมและรกษาความปลอดภยสาหรบ
E-commerce
รกษาความปลอดภยใหกบเครอขายองคกร ม 2 วธ ไดแก
ควบคมการเขาถงทางกายภาพ (Physical Access Control) ควบคมการเขาถงทางตรรกะ (Logical Access Control)
ตรวจสอบการเขาถงเครอขายโดยไมไดรบอนญาต (Detecting Unauthorized Access)
ปองกนภยคกคามจากไวรส
การใชนโยบายในการควบคม (Policies)
การปองกนภยคกคามในเครอขายไรสาย (Wireless Security)
รกษาความปลอดภยใหกบขอมลทสงผานเครอขาย
8
ควบคมการเขาถงทางกายภาพ
(Physical Access Control)
การลอกหองคอมพวเตอรอยางแนนหนาเมอไมมการใชงานแลว
การใชยามเฝาหรอตดโทรทศนวงจรปด
การใช Back-Up Disk สาหรบการทาขอมลสารองอยางสมาเสมอและไมเกบไวในทเดยวกนกบระบบคอมพวเตอรนน ๆ
ตดตงระบบดบเพลง
Biometrics การพสจนบคคลดวยลายนวมอ
การพสจนบคคลดวยเรตนา
การพสจนบคคลดวยลายเซน
การพสจนบคคลดวยอณหภม
การพสจนบคคลดวยเสยง
9
ควบคมการเขาถงทางตรรกะ
(Logical Access Control)
User profiles นยมใชกนมากทสด ขอมลผใชประกอบดวย
ชอผใช
รหสผาน
สทธการใชงาน
การควบคมความปลอดภยโดยระบบปฏบตการ
Firewall เปนการตดตงโปรแกรมคอมพวเตอรบนคอมพวเตอรหรอเครองเราทเตอรทมหนาทจดการ ควบคมการเชอมตอจากภายนอกสภายใน
องคกร และจากภายในองคกรสภายนอกองคกร
10
การใชนโยบายในการควบคม (Policies)
หนวยงานตองกาหนดใหแนนอนวา
ผใชใดสามารถเขาถงขอมลสวนใดไดบาง
ใครมสทธทจะเปลยนแปลงแกไขขอมล
รวมถงตองกาหนดแผนปองกนและกภยทอาจเกดขนไดดวย
11
รกษาความปลอดภยใหกบขอมลทสงผานเครอขาย
การปองกนการปฏเสธ หรออางความรบผดชอบ(Non-
Repudiation) การปองกนการปฎเสธวาไมไดมการสง หรอ รบขอมล
จากฝายตางๆทเกยวของ หรอ การปองกนการอางทเปนเทจวาไดรบ หรอ สง
ขอมล (เปรยบเทยบไดกบ การสงจดหมายลงทะเบยน เปนตน)
Digital Signature การระบอานาจหนาท (Authorization) การตรวจสอบอานาจหนาท Password Firewall
12
รกษาความปลอดภยใหกบขอมลทสงผานเครอขาย การรกษาความลบของขอมล (Confidentiality) การรกษาความลบ
ของขอมลทเกบไว หรอ สงผานทางเครอขาย โดยปองกนไมใหผอนทไมม
สทธลกลอบดได
ใชเทคนคการ Encryption การรกษาความถกตองของขอมล (Integrity) การปองกนไมใหขอมลถก
แกใข โดยตรวจสอบไมได (เปรยบเทยบไดกบ การเขยนดวยหมกซงถาถกลบ
แลวจะกอใหเกดรอยลบขน การใชโฮโลแกรมกากบบนบตรเครดต เปนตน
ใชเทคนคทเรยกวา Hashing การระบตวบคคล (Authentication) การระบตวบคคลทตดดอวา
เปน บคคลตามทไดกลาวอางไวจรง
Digital Signature Password
13
การรหส (Cryptography)
การทาใหขอมลทจะสงผานไปทางเครอขายอยในรปแบบทไมสามารถอาน
ออกได ดวยการเขารหส (Encryption)
ทาใหขอมลนนเปนความลบ
ผมสทธจรงเทานนจะสามารถอานขอมลนนไดดวยการถอดรหส
(Decryption)
ใชสมการทางคณตศาสตร
ใชกญแจซงอยในรปของพารามเตอรทกาหนดไว (มความยาวเปนบต โดยยงกญแจมความยาวมาก ยงปลอดภยมากเพราะตองใชเวลานานในการคาดเดากญแจของผคกคาม)
14
การเขารหส (Encryption)
ประกอบดวยฝายผรบ และฝายผสง
ตกลงกฎเกณฑเดยวกน ในการเปลยนขอความตนฉบบใหเปนขอความอาน
ไมรเรอง (cipher text)
ใชสมการ หรอสตรทางคณตศาสตรทซบซอน
กฎการเพมคา 13 แฮชฟงกชน (Hash function)
15
ตวอยางโปรแกรมการเขารหส โดยใชกฎ 13 การเขารหสจะทาโดยการเปลยนตวอกษร จากตาแหนงเดมเปนตวอกษรตาแหนงท 13
ของชดตวอกษรนน เชน
เชน เขารหส I LOVE YOU ----> V YBIR LBH HARRY POTTER ---> UNEEL CBGGRE
A B C D E F G H I G K L M
N O P Q R S T U V W X Y Z
N O P Q R S T U V W X Y Z
A B C D E F G H I G K L M
Hash function
คอวธการอยางหนงซงทาใหขอมล
สวนหนงหรอทงหมด ใหกลายเปน
จานวนเลกๆ อนหนงอยางม
ปฏสมพนธ ซงจานวนดงกลาว
เปรยบไดวาเปน "ลายนวมอ" ของ
ขอมล
16
17
การเขารหส (Encryption)
มดวยกน 2 ลกษณะ คอ
การเขารหสแบบสมมาตร (Symmetric Encryption)
วธนทงผรบและผสงขอความจะทราบคยทเหมอนกนทงสองฝายในการรบหรอสงขอความ
การเขารหสแบบไมสมมาตร (Asymmetric Encryption)
ใชแนวคดของการมคยเปนค ๆ ทสามารถเขาและถอดรหสของกนและกนเทานนได โดยคย
แรกจะมอยทเฉพาะเจาของคย เรยกวาPrivate key และคของคยดงกลาวทสงให
ผอนใช เรยกวา Public key
18
19
การเขารหสแบบสมมาตร
(Symmetric encryption)
ขอด
มความรวดเรวเพราะใชการคานวณทนอยกวา
สามารถสรางไดงายโดยใชฮารดแวร
ขอเสย
ไมสามารถตรวจสอบวาเปนผสงขอความจรง ถามผปลอมตวเขามาสงขอความ
ไมมหลกฐานทจะพสจนไดวาผสงหรอผรบกระทารายการจรง
การบรหารการจดการกญแจทาไดยากเพราะกญแจในการเขารหส และถอดรหส
เหมอนกน
20
การเขารหสแบบอสมมาตร
(Asymmetric encryption)
Private Key กญแจสวนตว ใชในการถอดรหส
Public Key กญแจสธารณะ ใชในการเขารหส
21
การเขารหสแบบอสมมาตร
(Asymmetric encryption) (ตอ)
ขอด
การบรหารการจดการกญแจทาไดงายกวา เพราะกญแจในการเขารหส และถอดรหส
ตางกน
สามารถระบผใชโดยการใชรวมกบลายมอชออเลกทรอนกส
ขอเสย
ใชเวลาในการเขา และถอดรหสคอนขางนาน เพราะตองใชการคานวณอยางมาก
22
บน web จะใชกญแจสาธารณะ และกญแจสวนตว
บราวเซอรใชกญแจสาธารณะเพอเขารหสรายการขอมลบนเครอง
คอมพวเตอรลกคา
เวบเซรฟเวอรเทานนมกญแจสวนตว
การเขารหสแบบอสมมาตร
(Asymmetric encryption) (ตอ)
23
Simple Digital Signature
24
Digital Signature and Data Integrity
25
data authentication and non-repudiation
ใบรบรองอเลกทรอนกส (Digital Certificate)
คอ ขอมลอเลกทรอนกสทใชบงบอกถงความมตวตนทแทจรงของผใช
ใบรบรองอเลกทรอนกส ซงออกโดยผใหบรการ ออกใบรบรอง
(Certification Authority : CA) ทาใหผประกอบธรกรรมตาง
ๆ ผานอนเทอรเนตสามารถมนใจไดวาบคคล หรอ อปกรณเครอขาย เชน
Web Server ททาการตดตอดวยมตวตนจรง โดยอาศยเทคโนโลยท
เรยกวา เทคโนโลยโครงสรางพนฐานกญแจสาธารณะ (Public Key -Infrastructure - PKI) สามารถนามาใชในการลงลายมอชอดจตอล (Digital Signature) หรอ การเขารหส ถอดรหส
(Encryption) ได
26
ระบบการทางานของลายมอชออเลกทรอนกส
27
ประเภทของ Certificate Personal Certificate เปนใบรบรองอเลกทรอนกสทออกใหบคคลธรรมดาหรอ
นตบคคล เปนใบรบรองททาใหผทาธรกรรมสามารถมนใจ ไดวาบคคลทตดตอดวยนนมตวตน
จรง ซงใบรบรองดงกลาวใชสาหรบการรบ - สง Secure e-mail ทมการลง ลายมอชอ
ดจตอล (Signing) และ/หรอการเขารหสขอมล (Encryption) โดยตองใชงานผานโปรแกรม e-mail Client ของ Outlook Express หรอ Microsoft Outlook
Web Server Certificate (SSL) หรอ ใบรบรองอเลกทรอนกสสาหรบเครอง
Web Server เปนใบรบรองฯ ทออกใหกบเครองคอมพวเตอรททาหนาทเปน Web Server โดยนาใบรบรองฯ ไปตดตงเพอใหสามารถใชงานการเชอมตอแบบปลอดภย หรอท
เรยกวา SSL (Secure Socket Layer) รวมถงการรบรองชอ Domain Name และผทเปนเจาของ Domain Name นนดวย ทาใหเกดความไววางใจในการ
ทาธรกรรมผานเวปไซตดงกลาว โดยจะออกใบรบรองเปนแบบ CD เพอนาไปตดตงทเครอง
Web Server นนๆ28
องคกรออกใบรบรอง (Certification Authority : CA)
เปนองคกรทเปนทเชอถอ ททาหนาทเปนบคคลทสามดาเนนการออกใบรบรองดจตอล ใหกบผทาธรกรรม
อเลกทรอนกส ทขอใชบรการ โดยบรการตางๆ ขององคกรออกใบรบรอง ไดแก
บรการเทคโนโลยเขารหส ซงประกอบดวยการผลตกญแจสวนตว (generation of private key) การสงมอบกญแจสวนตว (distribution of private key) การผลตกญแจสาธารณะและกญแจสวนตว
(generation of public/private key) การผลตลายมอชอดจตอล (generation of digital signature) และการรบรองลายมอชอดจตอล (validation of digital signature)
บรการทเกยวของกบการออกใบรบรอง ประกอบไปดวย การออกใบรบรอง (certificate Issuance) การตพมพใบรบรองเพอเผยแพรแกบคคลทวไป (certificate publishing) การเกบ ตนฉบบใบรบรอง
(Certificate archiving) และการกาหนดนโยบายการออกและอนมตใบรบรอง (Policy creation/approval)
บรการเสรมตาง ๆ ไดแก การลงทะเบยน (registration) การตรวจสอบสญญาตาง ๆ (not arial authentication) การกกญแจ (key recovery) เปนตน
29
การสมครขอใช Digital Certificateสามารถสมครขอใชบรการไดจากองคกรออกใบรบรอง (Certification Authority : CA) ท
ไดรบความนาเชอถอและเปนหนวยงานทออกใบรบรองดจตอลในโครงการ Paperless กรมศลกากร ไดแก
TOT CA ของ บรษท ทโอท จากด(มหาชน) ดรายละเอยดไดทเวบไซต http://www.ca.tot.co.th CAT CA ของ บมจ. กสท โทรคมนาคม ดรายละเอยดไดทเวบไซต https://www.thaipki.com
30
รปแบบของ Certificate
31
รายละเอยดขอมลใน Digital Certificateดวยการเขารหส และ ลายมอชอดจตอล ในการทาธรกรรม เราสามารถรกษาความลบของขอมล และ
สามารถระบตวบคคลไดระดบหนง เพอเพมระดบความปลอดภยในการระบตวบคคล โดยสรางความเชอถอมากขน
ดวย ใบรบรองดจตอล (Digital Certificate) ซงออกโดยองคกรกลางทเปนทเชอถอ เรยกวา องคกรรบรอง
ความถกตอง (Certification Authority) จะถกนามาใชสาหรบยนยนในการทา ธรกรรมวา เปนบคคลนนๆ จรงตามทไดอางไว ใบรบรองดจตอลทออกตามมาตรฐาน X.509 Version 3 ซงเปนมาตรฐานทไดรบความนยมอยาง แพรหลายทสด จะประกอบดวยขอมลดงตอไปน
หมายเลขของใบรบรอง (serial number) วธการทใชในการเขารหสขอมล (algorithm) หนวยงานทออกใบรบรอง (issuer) เวลาเรมใชใบรบรอง (starting time) เวลาทใบรบรองหมดอาย (expiring time) ผไดรบการรบรอง (subject) กญแจสาธารณะของผไดรบการรบรอง (subject ' s public key) ลายมอชอดจตอลของหนวยงานทออกใบรบรอง (CA signature
32
33
ใบรบรองอเลกทรอนกส (Electronic Certificate)
ตวอยาง
ขอมลทเกบใน Digital Certificate
34
35
36
37
ใบรบรองอเลกทรอนกส (Electronic Certificate) ตวอยาง
คลกรปกญแจ เพอด
ใบรบรองอเลอทรอนกส
https เปนการแสดงวาม
ระบบเขารหสรกษา
ความปลอดภย
38
SSL ระบบการเขารหสเพอรกษาความปลอดภยของขอมลบนเครอขายอนเทอรเนต
พฒนาจากรปแบบ PKI โดย Netscape เรยกวา Secure Socket Layer (SSL)
ผซอสามารถตรวจสอบตวตนของผขายกอนไดจากใบรบรองอเลกทรอนกสท
ผขายขอจาก CA แตสวนใหญผขายไมสามารถตรวจสอบตวตนของผซอไดเพราะผซอไมมใบรบรองอเลกทรอนกส
มการเขารหสขอมลทผซอสงใหกบผขายผานเครอขายอนเทอรเนต ดงนนจงม
เฉพาะผขายทอานขอความนนได
39
ตวอยางหนาจอทแสดงวาผใชงานกาลงใชระบบ SSL
อย◌◌
จะแสดงขอความ SSL
Secured (128 Bits)
https เปนการแสดงวาม
ระบบเขารหสรกษา
ความปลอดภย
40
ตวอยางหนาจอทแสดงวาตวตนของผขาย