imagesd

การรักษาความปลอดภัย (ภัยคุกคาม และเทคโนโลยีการป้องกัน)

1. ระบบความปลอดภัยของพาณิชย์อิเล็กทรอนิกส์มีอะไรบ้างและมั่นใจได้แค่ไหน

จากการสำรวจเกี่ยวกับพาณิชย์อิเล็กทรอนิกส์ของสถาบันต่างๆรวมทั้งการสำรวจโดยศูนย์พัฒนาพาณิชย์อิเล็กทรอนิกส์ พบว่าผลที่ได้สอดคล้องกัน คือ ประเด็นสำคัญที่สุดที่เป็นอุปสรรคของการพัฒนาพาณิชย์อิเล็กทรอนิกส์ ได้แก่ ความปลอดภัยสำหรับการใช้และการทำพาณิชย์อิเล็กทรอนิกส์ เมื่อกล่าวถึงความปลอดภัยโดยทั่วไปแล้ว จะครอบคลุมถึง ความปลอดภัยทางกายภาพ (Physical Security) ได้แก่ ทรัพย์สิน หรือ อุปกรณ์ต่างๆ และ ความปลอดภัยของข้อมูล(Information Security) ซึ่งในที่นี้จะเน้นถึงความปลอดภัยของข้อมูลเป็นหลัก เนื่องจาก ข้อมูลเป็นสิ่งที่อาจจะถือได้ว่าเป็นหัวใจในการทำธุรกิจก็ว่าได้ และ ง่ายต่อการถูกคุกคาม เพราะพาณิชย์อิเล็กทรอนิกส์นั้นจะเป็นการรับส่ง หรือ แลกเปลี่ยนข้อมูลกันบนเครือข่าย ข้อมูลที่กล่าวถึงจะอยู่ในทุกๆส่วนของธุรกรรมพาณิชย์อิเล็กทรอนิกส์ไม่ว่าจะเป็น การค้นหาข้อมูล การโฆษณา การสั่งซื้อ การชำระเงิน และ การส่งสินค้า หรือบริการ ตัวอย่างของการคุกคามได้แก่

การเข้าถึงระบบเครือข่ายจากผู้ที่ไม่มีสิทธิ์
การเข้ามาทำลาย เปลี่ยนแปลง หรือ ขโมยข้อมูล
การนำข้อมูลไปเปิดเผยแก่ผู้อื่นที่ไม่เกี่ยวข้อง
การทำให้การทำงานของระบบหยุดชะงัก
การปฏิเสธความรับผิดชอบในการทำธุรกรรม หรือ การอ้างว่าได้รับ หรือ ให้บริการ/ข้อมูล ของ ผู้ซื้อ หรือ ผู้ขาย

ซึ่งถ้าข้อมูลเหล่านั้นเกี่ยวข้องกับ ข้อมูลทางการเงิน เช่น หมายเลขบัตรเครดิต ข้อมูลลับของบริษัท (Corporate Secret) หรือ ข้อมูลที่เป็นทรัพย์สินทางปัญญา (Intellectual Property) จะก่อให้เกิดความเสียหายอย่างมาก

มาตรการการรักษาความปลอดภัยของข้อมูล

ระบบรักษาความปลอดภัยของข้อมูลของพาณิชย์อิเล็กทรอนิกส์จึงต้องมีมาตรการดังต่อไปนี้

การระบุตัวบุคคล และ อำนาจหน้าที่ (Authentication & Authorization) คือ การระบุตัวบุคคลที่ติดด่อว่าเป็น บุคคลตามที่ได้กล่าวอ้างไว้จริง และ มี อำนาจหน้าที่ตามที่ได้กล่าวอ้างไว้จริง (เปรียบได้กับการแสดงตัวด้วยบัตรประจำตัวซึ่งมีรูปติดอยู่ด้วย หรือ การใช้ระบบล็อคซึ่งผู้ที่จะเปิดได้จะต้องมีกุญแจอยู่เท่านั้น เป็นต้น)
การรักษาความลับของข้อมูล (Confidentiality) คือ การรักษาความลับของข้อมูลที่เก็บไว้ หรือ ส่งผ่านทางเครือข่าย โดยป้องกันไม่ให้ผู้อื่นที่ไม่มีสิทธิ์ลักลอบดูได้ (เปรียบเทียบได้กับ การปิดผนึกซองจดหมาย การใช้ชองจดหมายที่ทึบแสง การเขียนหมึกที่มองไม่เห็น เป็นต้น)
การรักษาความถูกต้องของข้อมูล (Integrity) คือ การป้องกันไม่ให้ข้อมูลถูกแก้ใข โดยตรวจสอบไม่ได้ (เปรียบเทียบได้กับ การเขียนด้วยหมึกซึ่งถ้าถูกลบแล้วจะก่อให้เกิดรอยลบขึ้น การใช้โฮโลแกรมกำกับบนบัตรเครดิต เป็นต้น)
การป้องกันการปฏิเสธ หรือ อ้างความรับผิดชอบ (Non-Repudiation) คือ การป้องกันการปฎิเสธว่าไม่ได้มีการส่ง หรือ รับข้อมูล จากฝ่ายต่างๆที่เกี่ยวข้อง หรือ การป้องกันการอ้างที่เป็นเท็จว่าได้รับ หรือ ส่งข้อมูล (เปรียบเทียบได้กับ การส่งจดหมายลงทะเบียน เป็นต้น)

2. การรักษาความปลอดภัยของข้อมูลมีวิธีใดบ้าง

สำหรับพาณิชย์อิเล็กทรอนิกส์ ไม่ว่าข้อมูลที่ถูกเก็บไว้ หรือ ที่ถูกส่งผ่านทางเครือข่ายนั้น ล้วนแต่เป็นข้อมูลอิเล็กทรอนิกส์ทั้งสิ้น ซึ่งธรรมชาติของข้อมูลอิเล็กทรอนิกส์นั้นง่ายต่อการเปลี่ยนแปลง หรือ ทำลายโดยไร้ร่องรอย และง่ายต่อการโอนย้ายจากที่หนึ่งไปยังอีกที่หนึ่งอย่างรวดเร็ว จึงจำเป็นที่จะต้องอาศัยเทคโนโลยีต่างๆเพื่อรักษาความปลอดภัยของข้อมูลให้ได้ตามมาตร-การทั้ง 4 ประการข้างต้น และ เนื่องจากระบบพาณิชย์อิเล็กทรอนิกส์นั้น ข้อมูลอิเล็กทรอนิกส์จะถูกเก็บ และ ส่งผ่านในระบบเครือข่าย ประเภทของการรักษาความปลอดภัยของข้อมูลจึงแบ่งออกเป็น 2 ประเภทใหญ่ คือ การรักษาความปลอดภัยของการทำธุรกรรม (Transaction Security) และ การรักษาความปลอดภัยของเครือข่าย (Network Security)

เทคโนโลยีการรักษาความปลอดภัยของข้อมูลในการทำธุรกรรม นั้น ได้แก่

การรหัส (Cryptography) คือ การทำให้ข้อมูลที่จะส่งผ่านไปทางเครือข่ายอยู่ในรูปแบบที่ไม่สามารถอ่านออกได้ ด้วยการเข้ารหัส (Encryption) ทำให้ข้อมูลนั้นเป็นความลับ ซึ่งผู้ที่มีสิทธิ์จริงเท่านั้นจะสามารถอ่านข้อมูลนั้นได้ด้วยการถอดรหัส (Decryption) นั่นคือ สามารถรักษาข้อมูลให้เป็นความลับ (Confidentiality) และ กำหนดผู้มีสิทธิ์ (Authentication & Authorization) สำหรับการเข้ารหัส และ ถอดรหัสนั้นจะอาศัยสมการทางคณิตศาสตร์ที่ซับซ้อน และ ต้องอาศัยกุญแจซึ่งอยู่ในรูปของพารามิเตอร์ที่กำหนดไว้ (สำหรับตัวกุญแจนั้น จะมีความยาวเป็น บิต(bit) และ ยิ่งกุญแจมีความยาวมาก ยิ่งปลอดภัยมาก เนื่องจากจะต้องใช้เวลามากขึ้นในการคาดเดากุญแจของผู้คุกคาม) ในการเข้า และถอดรหัส สามารถแบ่งออกเป็น 2 ประเภท คือ การรหัสแบบกุญแจสมมาตร (Symmetric Key Cryptography หรือ Secret Key Cryptography) และ การรหัสแบบอสมมาตร (Asymmetric Key Cryptography หรือ Public Key Cryptography)

การรหัสแบบกุญแจสมมาตร หมายถึง การเข้า และ ถอดรหัส โดยใช้กุญแจลับที่เหมือนกัน ซึ่งมีขั้นตอนแสดงดังตัวอย่าง ในรูปที่ 3.1 คือ นายดำเป็นผู้ส่ง จะทำการส่งข้อความ "ผมชื่อนายดำ" ผ่านไปยัง ผู้รับคือนางแดง โดยที่ นายดำทำการเข้ารหัสข้อความ "ผมชื่อนายดำ" ด้วยกุญแจลับ โดยข้อความนั้นจะเปลี่ยนเป็นข้อความที่เข้ารหัสแล้ว (Cipher Text) "ก\ยd-#ี)+ใ" แล้วถูกส่งไปยังนางแดง จากนั้นนางแดงก็ใช้กุญแจลับเดียวกันกับที่นายแดงใช้เข้ารหัส มาทำการถอดรหัสออกมาเป็น ข้อความเดิมคือ "ผมชื่อนายดำ" ในกรณีนี้กุญแจลับจะเป็นกุญแจเดียวกันซึ่งจะต้องเป็นที่รู้กันเพียงผู้ส่งและผู้รับเท่านั้น

รูปที่ 1 ระบบการเข้า และ ถอดรหัส แบบกุญแจสมมาตร
การรหัสแบบกุญแจอสมมาตร หมายถึง การเข้า และ ถอดรหัส ด้วยกุญแจต่างกัน ซึ่งมีขั้นตอนดังตัวอย่างที่แสดงไว้ในรูปที่ 3.2 คือ นายดำเป็นผู้ส่งทำการเข้ารหัสข้อความ "ผมชื่อนายดำ" ไปเป็น "มt*แ)สp@d๊ะ" ด้วยกุญแจสาธารณะของผู้รับได้แก่ นางแดง ซึ่งนายดำขอกุญแจนั้นมาจากองค์กรกลางที่เก็บกุญแจสาธารณะของบุคคลต่างๆไว้ จากนั้นข้อความที่เข้ารหัสแล้วถูกส่งไปยัง นางแดง นางแดงจะทำการถอดรหัสข้อความด้วยกุญแจส่วนตัวของนางแดง และ นางแดงเท่านั้นจะเป็นผู้มีสิทธิ์เนื่องจากนางแดง จะเป็นผู้เดียวที่มีกุญแจส่วนตัวของนางแดงเอง นั่นคือ ในการส่งข้อความด้วยการเข้ารหัสแบบกุญแจอสมมาตร จะเน้นที่ผู้รับเป็นหลัก คือ จะใช้กุญแจสาธารณะชองผู้รับซึ่งเป็นที่เปิดเผยในการเข้ารหัส และ จะใช้กุญแจส่วนตัวของผู้รับในการถอดรหัส

รูปที่ 2 ระบบการเข้า และ ถอดรหัส แบบกุญแจอสมมาตร

สำหรับการรหัสทั้ง 2 ประเภทนี้มีข้อดีข้อเสียแตกต่างกันดังนี้
แบบกุญแจสมมาตร
ข้อดี

มีความรวดเร็ว เพราะใช้การคำนวณที่น้อยกว่า
สามารถสร้างได้ง่ายโดยใช้ฮาร์ดแวร์

ข้อเสีย

การบริหารจัดการกุญแจทำได้ยากเพราะ กุญแจในการเข้ารหัส และ ถอดรหัส เหมือนกัน

แบบกุญแจอสมมาตร
ข้อดี

การบริหารจัดการกุญแจทำได้ง่ายกว่า เพราะใช้กุญแจในการเข้ารหัส และ ถอดรหัสต่างกันสามารถระบุผู้ใช้โดยการใช้ร่วมกับลายมือชื่ออิเล็กทรอนิกส์

ข้อเสีย

ใช้เวลาในการเข้า และ ถอดรหัสค่อนข้างนาน เพราะต้องใช้การคำนวณอย่างมาก

สำหรับมาตรฐานของขบวนการรหัสที่มีใช้อยู่ จะแสดงไว้ในตารางต่อไปนี้

ตารางที่ 3.1 ข้อมูลเปรียบเทียบระหว่างกุญแจสมมาตรและอสมมาตร

ประเภท	มาตรฐาน	ความยาวของ กุญแจ (บิต)	เจ้าของเทคโนโลยี	ขั้นความปลอดภัย	หมายเหตุ
กุญแจสมมาตร	DES	40 หรือ 56	NSA, ANSI	ปานกลาง	เป็นมาตรฐานที่นิยมใช้มากที่สุด ของการรหัสแบบกุญแจสมมาตร
	3DES	40 หรือ 56	NSA, ANSI	สูง	ใช้ 2 หรือ 3 กุญแจ และระบบผ่านหลายขั้นตอน
	RC5	ไม่ตายตัว	RSA	สูง	ถูกนำไปใช้ทางการพาณิชย์ มากทีเดียว
กุญแจอสมมาตร	RSA	512-2,048	RSA	สูง	ใช้เวลามากและความยาวกุญแจ ควรจะเป็นอย่างต่ำ 1,024 บิต
	ECC	160	Certicom	สูง	เร็วกว่า RSA

3. Digital Signature คืออะไร

ในการส่งข้อมูลผ่านเครือข่ายนั้น นอกจากจะทำให้ข้อมูลที่ส่งนั้นเป็นความลับสำหรับผู้ไม่มีสิทธิ์โดยการใช้เทคโนโลยีการรหัสแล้ว สำหรับการทำนิติกรรมสัญญาโดยทั่วไป ลายมือชื่อจะเป็นสิ่งที่ใช้ในการระบุตัวบุคคล (Authentication) และ ยังแสดงถึงเจตนาในการยอมรับเนื้อหาในสัญญานั้นๆซึ่งเชื่อมโยงถึง การป้องกันการปฏิเสธความรับผิดชอบ (Non-Repudiation) สำหรับในการทำธุรกรรมทางอิเล็กทรอนิกส์นั้นจะใช้ ลายมือชื่ออิเล็กทรอนิกส์ (Electronic Signature) ซึ่งมีรูปแบบต่างๆเช่น สิ่งที่ระบุตัวบุคคลทางชีวภาพ (ลายพิมพ์นิ้วมือ เสียง ม่านตา เป็นต้น) หรือ จะเป็นสิ่งที่มอบให้แก่บุคคลนั้นๆในรูปแบบของ รหัสประจำตัว ตัวอย่างที่สำคัญของลายมือชื่ออิเล็กทรอนิกส์ที่ได้รับการยอมรับกันมากที่สุดอันหนึ่งคือ ลายมือชื่อดิจิทัล (Digital Signature) ซึ่งจะเป็นองค์ประกอบหนึ่งใน โครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure, PKI)

รูปที่ 1แสดงให้เห็นถึงลายมือชื่อดิจิทัลเป็นตัวอย่างหนึ่งของลายมือชื่ออิเล็กทรอนิกส์

ลายมือชื่อดิจิทัล (Digital Signature) คือ

ข้อมูลอิเล็กทรอนิกส์ที่ได้จากการเข้ารหัสข้อมูลด้วยกุญแจส่วนตัวของผู้ส่งซึ่งเปรียบเสมือนเป็นลายมือชื่อของผู้ส่ง คุณสมบัติของลายมือชื่อดิจิทัล นอกจากจะสามารถ ระบุตัวบุคคล และ เป็นกลไกการป้องกันการปฏิเสธความรับผิดชอบแล้ว ยังสามารถป้องกันข้อมูลที่ส่งไปไม่ให้ถูกแก้ไข หรือ หากถูกแก้ไขไปจากเดิมก็สามารถล่วงรู้ได้ กระบวนการสร้างและลงลายมือชื่อดิจิทัลมีขั้นตอนแสดงดังในรูปที่ 2 คือ

เริ่มจากการนำเอาข้อมูลอิเล็กทรนอิกส์ต้นฉบับที่จะส่งไปนั้นมาผ่านกระบวนการทางคณิตศาสตร์ที่เรียกว่า ฟังก์ชันย่อยข้อมูล (Hash Function) เพื่อให้ได้ข้อมูลที่สั้นๆ ที่เรียกว่า ข้อมูลที่ย่อยแล้ว (Digest) ก่อนที่จะทำการเข้ารหัส เนื่องจากข้อมูลต้นฉบับมักจะมีความยาวมากซึ่งจะทำให้กระบวนการเข้ารหัสใช้เวลานานมาก
จากนั้นจึงทำการเข้ารหัสด้วยกุญแจส่วนตัวของผู้ส่งเอง ซึ่งจุดนี้เปรียบเสมือนการลงลายมือชื่อของผู้ส่งเพราะผู้ส่งเท่านั้นที่มีกุญแจส่วนตัวของผู้ส่งเอง และ จะได้ข้อมูลที่เข้ารหัสแล้ว เรียกว่า ลายมือชื่อดิจิทัล
จากนั้นก็ทำการส่ง ลายมือชื่อไปพร้อมกับข้อมูลต้นฉบับ ไปยังผู้รับ ผู้รับก็จะทำการตรวจสอบว่าข้อมูลที่ได้รับถูกแก้ไขระหว่างทางหรือไม่ โดยการนำข้อมูลต้นฉบับที่ได้รับ มาผ่านกระบวนการย่อยด้วย ฟังก์ชันย่อยข้อมูล จะได้ข้อมูลที่ย่อยแล้วอันหนึ่ง และ
นำลายมือชื่อดิจิทัล มาทำการถอดรหัสด้วย กุญแจสาธารณะของผู้ส่ง ก็จะได้ข้อมูลที่ย่อยแล้วอีกอันหนึ่ง แล้วทำการเปรียบเทียบ ข้อมูลที่ย่อยแล้วทั้งสองอัน ถ้าหากว่าเหมือนกัน ก็แสดงว่าข้อมูลที่ได้รับนั้นไม่ได้ถูกแก้ไข แต่ถ้าข้อมูลที่ย่อยแล้ว แตกต่างกัน ก็แสดงว่า ข้อมูลที่ได้รับถูกเปลี่ยนแปลงระหว่างทาง

จากกระบวนการลงลายมือชื่อดิจิทัลข้างต้นมีข้อพึงสังเกตุดังต่อไปนี้

ลายมือชื่อดิจิทัลจะแตกต่างกันไปตามข้อมูลต้นฉบับและบุคคลที่จะลงลายมือชื่อ ไม่เหมือนกับลายมือชื่อทั่วไปที่จะต้องเหมือนกันสำหรับบุคคลนั้นๆ ไม่ขึ้นอยู่กับเอกสาร
กระบวนการที่ใช้จะมีลักษณะคล้ายคลึงกับการเข้ารหัสแบบอสมมาตร แต่การเข้ารหัสจะใช้ กุญแจส่วนตัวของผู้ส่ง
และ การถอดรหัสจะใช้ กุญแจสาธารณะของผู้ส่ง ซึ่งสลับกันกับ การเข้าและถอดรหัสแบบกุญแจอสมมาตร
ในการรักษาข้อมูลให้เป็นความลับ

ในรูปที่ 2 แสดงถึงกระบวนการลงลายมือชื่อดิจิทัล แต่ในการใช้งานจริงข้อมูลต้นฉบับที่ส่งไปก็ควรจะถูกเข้ารหัสด้วยเพื่อทำให้ข้อมูลเป็นความลับสำหรับผู้ที่ไม่มีสิทธิ์

รูปที่ 2 แผนภาพกระบวนการลงลายมือชื่อดิจิทัล
ใบรับรองดิจิทัล (Digital Certificate)
ด้วยการรหัส และ ลายมือชื่อดิจิทัล ในการทำธุรกรรม เราสามารถ รักษาความลับของข้อมูล สามารถรักษาความถูกต้องของข้อมูล
และ สามารถระบุตัวบุคคลได้ระดับหนึ่ง เพื่อเพิ่มระดับความปลอดภัยในการระบุตัวบุคคลโดยสร้างความเชื่อถือมากขึ้นด้วย
ใบรับรองดิจิทัล (Digital Certificate) ซึ่งออกโดยองค์กรกลางที่เป็นที่เชื่อถือ เรียกว่า
องค์กรรับรองความถูกต้อง(Certification Authority) จะถูกนำมาใช้สำหรับยืนยันในตอนทำธุรกรรมว่าเป็นบุคคลนั้นๆจริง
ตามที่ได้อ้างไว้ สำหรับรายละเอียดในใบรับรองดิจิทัลทั่วไปมีดังต่อไปนี้

ข้อมูลระบุผู้ที่ได้รับการรับรอง ได้แก่ ชื่อ องค์กร ที่อยู่
ข้อมูลระบุผู้ออกใบรับรอง ได้แก่ ลายมือชื่อดิจิทัลขององค์กรที่ออกใบรับรอง หมายเลขประจำตัวของผู้ออกใบรับรอง
กุญแจสาธารณะของผู้ที่ได้รับการรับรอง
วันหมดอายุของใบรับรองดิจิทัล
ระดับชั้นของใบรับรองดิจิทัล ซึ่งมีทั้งหมด 4 ระดับ ในระดับ 4 จะมีกระบวนการตรวจสอบเข้มงวดที่สุด และ ต้องการข้อมูลมากที่สุด
หมายเลขประจำตัวของใบรับรองดิจิทัล

ประเภทของใบรับรองดิจิทัลยังแบ่งออกเป็น 3 ประเภท คือ ใบรับรองเครื่องแม่ข่าย ใบรับรองตัวบุคคล
ใบรับรองสำหรับองค์รับรองความถูกต้อง

4. ใบรับรองดิจิทัล (Digital Certificate) คืออะไร

ด้วยการรหัส และ ลายมือชื่อดิจิทัล ในการทำธุรกรรม เราสามารถรักษาความลับของข้อมูล สามารถรักษาความถูกต้องของข้อมูล และ สามารถระบุตัวบุคคลได้ระดับหนึ่ง เพื่อเพิ่มระดับความปลอดภัยในการระบุตัวบุคคลโดยสร้างความเชื่อถือมากขึ้นด้วย ใบรับรองดิจิทัล (Digital Certificate) ซึ่งออกโดยองค์กรกลางที่เป็นที่เชื่อถือ เรียกว่า องค์กรรับรองความถูกต้อง(Certification Authority - CA) จะถูกนำมาใช้สำหรับยืนยันในตอนทำธุรกรรมว่าเป็นบุคคลนั้นๆจริงตามที่ได้อ้างไว้ สำหรับรายละเอียดในใบรับรองดิจิทัลทั่วไปมีดังต่อไปนี้

ข้อมูลระบุผู้ที่ได้รับการรับรอง ได้แก่ ชื่อ องค์กร ที่อยู่
ข้อมูลระบุผู้ออกใบรับรอง ได้แก่ ลายมือชื่อดิจิทัลขององค์กรที่ออกใบรับรอง และหมายเลขประจำตัวของผู้ออกใบรับรอง
กุญแจสาธารณะของผู้ที่ได้รับการรับรอง
วันหมดอายุของใบรับรองดิจิทัล
ระดับชั้นของใบรับรองดิจิทัล ซึ่งมีทั้งหมด 4 ระดับ ในระดับ 4 จะมีกระบวนการตรวจสอบเข้มงวดที่สุด และ ต้องการข้อมูลมากที่สุด
หมายเลขประจำตัวของใบรับรองดิจิทัล

ประเภทของใบรับรองดิจิทัลยังแบ่งออกเป็น 3 ประเภท คือ

ใบรับรองเครื่องแม่ข่าย
ใบรับรองตัวบุคคล
ใบรับรองสำหรับองค์รับรองความถูกต้อง

5. Certification Authority (CA) คืออะไร มีหน้าที่อย่างไร

บทบาทหน้าที่หลักขององค์กรรับรองความถูกต้อง ได้แก่ การให้บริการเทคโนโลยีการรหัส ได้แก่ การสร้างกุญแจสาธารณะ และ กุญแจลับสำหรับผู้จดทะเบียน การส่งมอบกุญแจลับ การสร้าง และการรับรองลายมือชื่อดิจิทัล เป็นต้น การให้บริการเกี่ยวกับการออกใบรับรอง ได้แก่ การออก การเก็บรักษา การยกเลิก การตีพิมพ์เผยแพร่ ใบรับรองดิจิทัล รวมทั้งการกำหนดนโยบายการออกและอนุมัติใบรับรอง เป็นต้น บริการเสริมอื่นๆ ได้แก่ การตรวจสอบสัญญาต่างๆ การทำทะเบียน การกู้กุญแจ เป็นต้น
สำหรับในประเทศไทยนั้นยังไม่มีองค์กรรับรองความถูกต้อง แต่เริ่มมีการเคลื่อนไหวที่เกี่ยวเนื่องบ้างแล้ว ทั้งในภาครัฐ และ เอกชน เช่น NECTEC (www.nectec.or.th), Thai Digital ID (www.thaidigitalid.com), และ ACERTS (www.acerts.com)เทคโนโลยีการรักษาความปลอดภัยของข้อมูลในการทำธุรกรรมอิเล็กทรอนิกส์นั้น ในปัจจุบันนี้โครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure) เป็นที่ยอมรับอย่างกว้างขวางซึ่งสามารถตอบสนองมาตรการพื้นฐานของการรักษาความปลอดภัย ดังแสดงในตารางที่ 1

ตารางที่1 เทคโนโลยี และ มาตรการการรักษาความปลอดภัยของข้อมูล

มาตรการ/เทคโนโลยี	การรักษาความลับ	การระบุตัวบุคคล	การรักษาความถูกต้อง	การป้องกันการ ปฏิเสธความรับผิดชอบ
การรหัส	หลัก	รอง
ลายมือชื่อดิจิทัล		รอง 1	รอง 2	หลัก
ใบรับรองดิจิทัลและ องค์กรรับรองความถูกต้อง		หลัก

จากตารางแสดงถึงเทคโนโลยีการรักษาความปลอดภัยแต่ละประเภท ว่ามีคุณสมบัติ หรือ มาตรการการรักษาความปลอดภัยอยู่ ในประเภทใด ซึ่งในแต่ละเทคโนโลยีจะมีคุณสมบัติหลัก (จุดประสงค์หลัก) และ รอง (จุดประสงค์รอง หรือ ผลพลอยได้) ซึ่งจะสังเกตได้ว่าทั้ง 3 เทคโนโลยีนั้นล้วนแต่มีคุณสมบัติร่วมกันคือ การระบุบุคคล ซึ่งเมื่อใช้เทคโนโลยีเหล่านี้ ร่วมกันแล้วอาจจะเปรียบเสมือนกับการใส่กุญแจไว้หลายลูกในการตรวจสอบว่าเป็นบุคคลนั้นจริงๆที่มีสิทธิ์ได้สมบูรณ์ก็คือ สามารถผ่านขั้นตอนดังกล่าวได้ครบ

6. Hacker กับ Cracker แตกต่างกันอย่างไร และมีวิธีป้องกันอย่างไร

Hacker เป็นคำแสลงที่ใช้เรียก ผู้ที่คลั่งไคล้การสำรวจหรือลักลอบเข้าไปยังระบบคอมพิวเตอร์ขององค์กรต่างๆ เพื่อความสนุกสนานและการเรียนรู้ โดยไม่ได้มีเจตนาที่จะสร้างความเดือดร้อนให้แก่ใครทั้งสิ้น แต่คนส่วนมากมีความเข้าใจที่ผิดกับ Hacker มาโดยตลอด โดยเข้าใจว่า Hacker คือ Cracker ซึ่งเป็นผู้ที่เจาะเข้าไปในระบบคอมพิวเตอร์เหมือนกันแต่ด้วยจุดประสงค์ร้าย เช่น ต้องการทำลายระบบ สร้างความปั่นป่วน ขโมยข้อมูลบางอย่าง หรือเพื่อสร้างชื่อให้กับตนเอง ด้วยความเข้าใจผิดนี้ ทำให้คำสองคำนี้ถูกใช้แทนกันอยู่เสมอ
การป้องกันทั้ง Hacker หรือ Cracker นั้นสามารถทำได้ แต่ในความเป็นจริงแล้ว ความน่าจะเป็นที่บริษัทของคุณจะตกเป็นเหยื่อของคนกลุ่มนี้ นั้นน้อยมาก เพราะปกติแล้ว Hacker จะมุ่งไปที่เว็บไซต์ของบริษัทหรือองค์กรที่มีชื่อเสียงโด่งดัง เช่น CNN, Yahoo!, หรือ Microsoft เพื่อเป็นการสร้างชื่อของตนให้เป็นที่รู้จักหรือกล่าวขานถึงในเหล่า Hacker หรือ Cracker ด้วยกัน การป้องกันที่ได้ผลดีที่สุดก็คือ การติดตั้งระบบป้องกันที่ทันสมัยและเป็นที่ยอมรับ เช่น ฝากอินเทอร์เน็ตไว้บนเครือข่ายเฉพาะและป้องกันด้วยรหัสผ่าน (Password) ซีเคียวเซิร์ฟเวอร์ (Secured Server) ไฟร์วอลล์ (Firewall) และเราท์เตอร์ (Router) เป็นต้น อย่างไรก็ดีพึงจำไว้ว่า ไม่มีวิธีการรักษาความปลอดภัยแบบใดในโลกที่สามารถป้องกัน Hacker ได้ร้อยเปอร์เซ็นต์ ตราบใดที่คุณยังมีเครือข่ายคอมพิวเตอร์ภายในเชื่อมต่อกับอินเทอร์เน็ต

7. เมื่อใดจึงจะเรียกว่าไวรัส (Viruses) เมื่อใดจึงจะเรียกว่าหนอน (Worms)

ไวรัส (Viruses) คือ โปรแกรมคอมพิวเตอร์ประเภทหนึ่งที่ถูกออกแบบมาให้แพร่กระจายตัวเองจากไฟล์หนึ่งไปยังไฟล์อื่นๆ ภายในเครื่องคอมพิวเตอร์ ไวรัสจะแพร่กระจายตัวเองอย่างรวดเร็วไปยังทุกไฟล์ภายในคอมพิวเตอร์ หรืออาจจะทำให้ไฟล์เอกสารติดเชื้ออย่างช้าๆ แต่ ไวรัสจะไม่สามารถแพร่กระจายจากเครื่องหนึ่งไปยังอีกเครื่องหนึ่งได้ด้วยตัวมันเอง โดยทั่วไปเกิดจากการที่ผู้ใช้เป็นพาหะ นำไวรัสจากเครื่องหนึ่งไปยังอีกเครื่องหนึ่ง เช่นเวลาที่ส่ง e-Mail โดยแนบเอกสารหรือไฟล์ที่มีไวรัสไปด้วย,การทำสำเนาไฟล์ที่ติดไวรัสไปไว้บนไฟล์เซริฟเวอร์, การแลกเปลี่ยนไฟล์โดยใช้แผ่นดิสก์เก็ต เมื่อผู้ใช้ทั่วไปรับไฟล์ หรือดิสก์มาใช้งาน ไวรัสก็จะแพร่กระจาย ภายในเครื่องและจะเป็นวงจรในลักษณะนี้ต่อไป
หนอน (Worms) ในอีกความหมายหนึ่ง เป็นสิ่งที่อันตรายต่อระบบมาก (สามารถทำความเสียหายต่อระบบได้จากภายใน เหมือนกับหนอนที่กัดกินผลไม้จากภายใน) โดยทั่วไปก็จะคล้ายกับไวรัสคอมพิวเตอร์ และด้วยการอาศัยพฤติกรรมการทำงานของมนุษย์ยุค IT ในการแพร่กระจายตัวเองไปยังเครื่องคอมพิวเตอร์เครื่องอื่น หนอนร้ายเป็นโปรแกรมคอมพิวเตอร์ที่ถูกออกแบบมาให้สามารถแพร่กระจายตัวเองจากเครื่องคอมพิวเตอร์เครื่องหนึ่งไปยังอีกเครื่องหนึ่งโดยอาศัยระบบเน็ตเวิร์ค (e-Mail) ซึ่งการแพร่กระจายสามารถทำได้ด้วยตัวของมันเองอย่างรวดเร็วและรุนแรงกว่าไวรัสมาก

8. Spam คืออะไร

Spam คือ การส่งข้อความที่ไม่เป็นที่ต้องการให้กับคนจำนวนมากๆจากแหล่งที่ผู้รับไม่เคยรู้จักหรือติดต่อมาก่อน โดยมากมักอยู่ในรูปของ e-Mail ที่มีเนื้อหาในทางโฆษณาประชาสัมพันธ์สินค้าหรือบริการ นอกจากจะทำให้ผู้รับรำคาญใจและเสียเวลาในการกำจัดข้อความเหล่านั้นแล้ว Spam ยังทำให้ประสิทธิภาพการขนส่งข้อมูลบนอินเทอร์เน็ตลดลงด้วย

9. ภัยคุกคามพาณิชย์อิเล็กทรอนิกส์มีอะไรบ้าง

การประกอบพาณิชย์อิเล็กทรอนิกส์ อาจจะเกิดภัยคุกคามต่อเว็บไซต์ได้ จึงเป็นสิ่งสำคัญที่เราทุกคนควรจะทราบว่า มีภัยคุกคามใดบ้างที่อาจเกิดขึ้นได้ เพื่อการเตรียมการป้องกันล่วงหน้า ตัวอย่างภัยคุกคามที่ควรระวังสำหรับพาณิชย์อิเล็กทรอนิกส์ เช่น 1. การเข้าสู่เครือข่ายที่ไม่ได้รับอนุญาต
2. การทำลายข้อมูลและเครือข่าย
3. การเปลี่ยน การเพิ่ม หรือการดัดแปลงข้อมูล
4. การเปิดเผยข้อมูลแก่ผู้ที่ไม่ได้รับอนุญาต
5. การทำให้ระบบบริการของเครือข่ายหยุดชะงัก
6. การขโมยข้อมูล
7. การปฏิเสธการบริการที่ได้รับ และข้อมูลที่ได้รับหรือส่ง
8. การอ้างว่าได้ให้บริการทั้งๆ ที่ไม่ได้ทำ และหรือการอ้างว่าได้รับส่ง
9. ไวรัสที่แอบแฝงมากับผู้ที่เข้ามาใช้บริการ

10. ภัยคุกคามอื่นๆบนอินเทอร์เน็ตมีอะไรบ้าง

นอกเหนือจากเว็บไซต์ที่เกี่ยวกับสื่อลามกอนาจาร และการพนันแล้ว ห้องสนทนา (Chat Room) และ เว็บบอร์ด (Web Board) สามารถเป็นอีกภัยอันตรายหนึ่งที่คาดไม่ถึงจากอินเทอร์เน็ตที่ส่งผลกระทบโดยตรงต่อเยาวชนไทย เพราะอินเทอร์เน็ตยังเป็นสื่อใหม่ที่มาตรการการควบคุมสิทธิเสรีภาพของผู้ใช้ยังไม่เกิดขึ้น ดังนั้น การกระทำใดๆในห้องสนทนา และ เว็บบอร์ด จึงเกิดขึ้นได้อย่างไร้ขอบเขต จนกลายเป็นที่ระบายออกซึ่งอารมณ์และความรู้สึกของผู้ใช้ ที่บางส่วนเต็มไปด้วยความรุนแรงและ ความคึกคะนอง
ในห้องสนทนา ทุกคนสามารถคุยอะไรกับใครก็ได้ รายละเอียดต่างๆไม่มีการเปิดเผย รู้เพียงแต่ชื่อที่ใช้ในการสนทนาเท่านั้น ดังนั้นจึงไม่มีทางรู้ได้เลยว่า เรากำลังพูดคุยอยู่กับใคร สิ่งที่คนนั้นพูดอยู่เป็นความจริงหรือไม่ ดังจะเห็นตามหน้าหนังสือพิมพ์ที่อาชญกรรมที่เกิดกับวัยรุ่นสมัยนี้บางครั้งมีจุดเริ่มต้นมาจากการพูดคุยกันในห้องสนทนาบนอินเทอร์เน็ต ดังตัวอย่างต่อไปนี้ จากการพูดคุยแบบปกติในห้องสนทนาของชายหนุ่มกับหญิงสาวคู่หนึ่ง เมื่อผ่านไปสักระยะหนึ่ง หญิงสาวผู้นี้ได้แอบอ้างว่า เธอคือ นาเดีย นิมิตรวานิช ดาราสาวและวีเจชื่อดังของรายการ Channel V Thailand ซึ่งทำให้ชายหนุ่มผู้นั้นเชื่อว่าเป็นเรื่องจริง ทั้งๆที่ยังไม่เคยเห็นหน้ามาก่อน จากนั้นจึงติดต่อกันเรื่อยมาทางโทรศัพท์ จนในที่สุดเวลาผ่านไป ฝ่ายชายที่คาดว่าน่าจะหลงไหลในหญิงสาวผู้แอบอ้างเป็นอย่างมากจึงขอฝ่ายหญิงแต่งงาน โดยที่ยังไม่เคยเห็นหน้าแม้แต่ครั้งเดียว โดยตกลงกันว่าฝ่ายชายจะนำเงินค่าสินสอดไปฝากไว้กับเคาน์เตอร์ของโรงแรมชื่อดังแห่งหนึ่ง แล้วให้รอการติดต่อจากกลับ หลังจากนั้นแล้ว ฝ่ายหญิงก็เงียบหายเข้ากลีบเมฆไป ฝ่ายชายจึงรู้ว่าตนถูกหลอกแน่ จึงเข้าแจ้งความ ในที่สุดตำรวจก็สามารถจับตัวสาวนักต้มตุ๋นผู้นี้ได้ ซึ่งพบว่าเธอมีเสียงที่เหมือนกับนาเดียตัวจริงมาก จึงทำให้ชายหนุ่มหลงเชื่อสนิทใจ
สำหรับเว็บบอร์ดก็สามารถสร้างความปั่นป่วนให้แก่สังคมได้ ดังตัวอย่างต่อไปนี้ เมื่อวิศวกรนายหนึ่ง เข้าไปโพสท์ในเว็บบอร์ดของ Pantip.com ว่า ตนได้ข่มขืนหญิงรับใช้ภายในบ้าน ทำให้เธอมีเลือดออกมาก แต่เขาไม่กล้าพาไปหาหมอ เพราะกลัวจะเป็นเรื่องราวใหญ่โต จึงอยากรู้ว่ามีวิธีช่วยเหลืออะไรบ้าง ปรากฏว่ามีผู้หวังดีอ่านพบจึงอีเมล์ไปบอก Webmaster ของ Pantip.com Webmaster จึงนำเรื่องไปแจ้งตำรวจ หลังจากตำรวจเช็ควันเวลาที่โพสท์และ IP Address กับทางเว็บไซต์แล้ว จึงติดต่อไปยัง ISP ที่วิศวกรผู้นั้นใช้บริการอยู่ ซึ่ง ISP ก็สามารถบอกเบอร์โทรศัพท์ของวิศวกรที่ใช้ต่ออินเทอร์เน็ตเข้ามาได้ โชคดีที่วิศวกรรายนี้ไม่ได้ใช้อินเทอร์เน็ตตามอินเทอร์เน็ตคาเฟ่แต่ใช้จากคอนโดมิเนี่ยมของเขาเอง ตำรวจจึงสามารถหาที่อยู่ได้ไม่ยาก แต่เมื่อไปถึงแล้วปรากฏว่าไม่มีอะไรเกิดขึ้นเลย เหตุการณ์ทั้งหมดเป็นเพียงเรื่องแต่งขึ้นเพื่อความสนุกเท่านั้น
ที่มา: e-Danger ธนา ธนาวิรกุล

11. คุณรู้จัก “คุกกี้” (“Cookie”) แล้วหรือยัง

    เมื่อท่านผู้อ่านเห็นหัวข้อเรื่อง “คุกกี้” กรุณาอย่าเพิ่งเข้าใจว่า จะมีการสอนทำขนม หรือ แนะนำร้านคุกกี้อร่อยในหนังสือเล่มนี้ ในความจริงแล้ว คำว่า “คุกกี้” ที่จะเสนอในบทความนี้เป็นคำศัพท์คอมพิวเตอร์คำหนึ่งที่มีการใช้ที่น่าสนใจ “คุกกี้” หมายถึง ข้อมูลสั้นๆ ซึ่งเมื่อคุณเข้าไปในเว็บไซต์หนึ่งๆแล้วเว็บแม่ข่าย (Web Server)สามารถใส่ข้อมูลนั้นลงในคอมพิวเตอร์ของคุณ เพื่อทำให้เว็บบราวเซอร์ของคุณจดจำข้อมูลจำเพาะอะไรบางอย่าง ซึ่งเว็บแม่ข่ายจะมาอ่านอีกทีเมื่อคุณเข้าเว็บไซต์นั้นอีกครั้ง เหตุผลที่เว็บไซต์เลือกใช้ “คุกกี้” ได้แก่ ความสามารถในการ กำหนดรูปแบบข้อมูลตามความชอบส่วนตัว (Personalization) เช่น My Yahoo ช่วยสำหรับการขายสินค้าหรือ บริการ ออนไลน์ เช่น Amazon.com เพื่อจุดประสงค์ในการติดตาม ลิงค์ที่มีความนิยมสูง หรือ ข้อมูลพื้นฐานส่วนบุคคล (Demographics) เช่น Doubleclick.com “คุกกี้” อาจเปรียบเทียบได้กับ ใบต้นขั้วของบริการซักรีด นั่นคือ คุณจะนำเอาเสื้อผ้ามาทิ้งไว้ให้ ซัก แล้วได้รับใบต้นขั้วไว้ เมื่อ คุณกลับมาด้วยต้นขั้วนั้น คุณก็จะได้รับเสื้อผ้าที่มาฝากซักกลับไป
     ตัวอย่างการใช้คุ้กกี้ เช่น ใช้สำหรับการซื้อขายออนไลน์ เมื่อคุณเข้าไปใน เว็บไซต์ขายสินค้าแห่งหนึ่ง แล้วตัดสินใจจะซื้อโดย นำเอาสินค้านั้น ใส่ลงในรถเข็น (Shopping Cart สิ่งที่เปรียบเสมือนรถเข็นช็อปปิ้งในซุปเปอร์มาร์เก็ตซึ่งในเว็บมักจะทำเป็นรูปรถเข็น หรือ ตระกร้า วางไว้คู่กับสินค้าแต่ละรายการ เมื่อต้องการซื้อ ลูกค้าจะคลิ้กที่รถเข็นนั้นซึ่งเปรียบเสมือนการนำเอาสินค้านั้นลงรถเข็น หรือ ตะกร้า ดูรายละเอียดเพิ่มเติมในหัวข้อ 4.2) ซึ่งข้อมูลเหล่านี้เองจะถูกจับใส่ในคอมพิวเตอร์คุณ และ เมื่อคุณจะชำระเงินค่าของ เว็บแม่ข่ายก็จะอ่าน ข้อมูลเหล่านั้น( ซึ่งถือได้ว่าเป็นวิธีที่มีประสิทธิภาพมากกว่าให้เว็บแม่ข่ายจดจำรายละเอียดทั้งหมดเพราะในเวลาเดียวกันอาจมีลูกค้าจำนวนมากมายซึ่งจะทำให้การทำงานเป็นไปอย่างเชื่องช้า) หรือ ในบางทีคุณอาจจะยังไม่อยากจ่ายเงิน (Check Out) ในวันนั้น โดยยังค้างของที่เลือกไว้ในรถเข็น ซึ่งก็หมายความว่าเว็บแม่ข่ายได้บันทึกข้อมูลรายการซื้อของคุณไว้ในคอมพิวเตอร์ของคุณ พอวันหลังกลับเข้ามาในเว็บไซต์นั้นอีก คุณก็สามารถทำการช้อปต่อได้เลย โดยที่ของยังอยู่ในรถเข็น หรือ พร้อมจ่ายเงินได้เลย ซึ่งถือเป็นความสะดวกอย่างหนึ่ง
     “คุกกี้” ถือเป็น HTTP (HyperText Transfer Protocol) Header ซึ่งเป็นข้อความที่ถูกบันทึกลงในหน่วยความจำของเว็บบราวเซอร์ ประกอบด้วย ข้อมูลต่างๆเช่น ชื่อและค่าของ “คุกกี้”, วันหมดอายุ, โดเมนที่ ใช้“คุกกี้”นี้ได้, พาธ (Path)ที่ใช้“คุกกี้”นี้ได้ , และ ข้อมูลอื่นๆแล้วแต่เว็บไซต์จะกำหนด

ตัวอย่างเนื้อหาในไฟล์ “คุกกี้”

foo=bar; path=/; domain=www.cookiecentral.com; expires=Sat, 14-Feb-2004 14:14;
( ชื่อ = ค่า ) ( พาธ ) ( โดเมน ) ( วันเวลาหมดอายุ )

     ชื่อไฟล์ “คุกกี้” และ สถานที่เก็บจะแตกต่างกันไปขึ้นกับ ระบบปฏิบัติการที่ใช้ และเว็บบราวเซอร์ที่ใช้ เช่น ถ้าใช้ระบบปฏิบัติการ Windows และ เว็บบราวเซอร์เป็น Explorer รูปแบบของชื่อไฟล์จะเป็น ‘Cookie:username@website’ ซึ่งจะแยกไฟล์ตามเว็บไซต์ (ซึ่ง username จะไม่ได้ถูกส่งไป) สำหรับเวอร์ชัน 3.x จะอยู่ใต้ c:\Windows\Cookies\ ส่วนเวอร์ชัน 4.x จะอยู่ใน c:\Windows\Temporary Internet Files แต่ถ้าเป็น Netscape ชื่อไฟล์จะเป็น “cookies.txt” ซึ่งต่างจากของ Explorer คือ รวม คุกกี้ของเว็บไซต์ต่างๆไว้ไฟล์เดียว จะอยู่ใต้ c:\Program Files\Netscape\Users\ ผู้ใช้สามารถลบไฟล์นั้นทิ้งได้ หากไม่ต้องการ
     ถ้าผู้ใช้ต้องการจะรู้ว่าเมื่อใดที่เข้าเว็บไซต์หนึ่งๆแล้ว เว็บแม่ข่ายพยายามจะส่ง “คุกกี้” มายังเครื่องคอมพิวเตอร์ของคุณ เพื่อที่จะเลือกว่าจะรับ “คุกกี้” นั้นหรือไม่ ก็สามารถกำหนดได้ ในกรณี Netscape 4.0 ให้ไปที่ เมนู Edit => Preferences => Advanced คุณสามารถเลือกที่จะ รับ คุกกี้ทุกกรณี รับบางกรณี ไม่รับเลย หรือเตือนว่ามีการพยายามส่ง “คุกกี้” เข้ามา สำหรับ กรณี Explorer 4.0 คุณสามารถเลือกรับคุกกี้ทุกกรณี เตือนก่อนจะรับ หรือไม่รับเลย สำหรับ Explorer 5.0 ให้ไปที่ เมนู Tools => Internet Options => Security ซึ่งคุณสามารถเลือกระดับความปลอดภัยได้ 4 ระดับ คือ “Internet Sites” “Local Sites” “Trusted Sites” และ “Restricted Sites” ถ้าเลือก “Internet” และ เลือก “Custom Level” คุณสามารถเลือกว่า จะรับคุกกี้ทุกกรณี เตือนก่อนรับหรือไม่รับเลย ในการลบไฟล์ “คุกกี้” หรือ ปฏิเสธการรับ “คุกกี้” นั้นอาจจะพบกับผลกระทบบางอย่างเช่น ในบางเว็บไซต์อาจจะเข้าไม่ได้ หรือ การแสดงผลอาจผิดเพี้ยนไปได้
     ไฟล์ “คุกกี้” ไม่ใช่ โปรแกรม หรือ ปลั๊กอิน (Plug-in) ไม่สามารถเป็นไวรัส ไม่สามารถอ่านฮาร์ดไดรฟ์ของคุณได้ ซึ่งไม่สามรถที่จะทำให้เว็บแม่ข่ายค้นหาทุกสิ่งทุกอย่างเกี่ยวกับตัวคุณ หรือ สิ่งที่อยู่ในคอมพิวเตอร์ ของคุณ แต่รายละเอียดส่วนตัวของคุณจะถูกบันทึกเข้าไปในไฟล์ “คุกกี้” ได้ก็ต่อเมื่อคุณเองเป็นผู้ให้ข้อมูลนั้นกับเว็บไซต์หนึ่งๆ และ ถูกบันทึกเข้าไว้ในไฟล์ “คุกกี้” แต่อย่างไรก็ตามในเวทีระดับนานาชาติในขณะนี้ ก็มีการถกเถียงกันถึงเรื่อง การคุ้มครองข้อมูลส่วนบุคคล ซึ่งเรื่องของ “คุกกี้” ก็เป็นหนึ่งในประเด็นย่อยที่สำคัญทางเทคนิค ที่มีการกล่าวถึงอยู่เสมอ ซึ่งเราคงจะต้องจับตามองกันต่อไป
ที่มา: Cookies: What they are and how they work (http://help.netscape.com/kb/consumer/19970226-2.html)
The Unofficial Cookie FAQ (http://www.cookiecentral.com/faq/index.shtml)

12. SSL ทำงานอย่างไร

ในการทำพาณิชย์อิเล็กทรอนิกส์ หรือการทำธุรกรรมต่างๆผ่านอินเทอร์เน็ตนั้นสิ่งสำคัญที่จะขาดเสียไม่ได้เลย ได้แก่ระบบรักษาความปลอดภัยที่ดีในเว็บไซต์นั้นๆ ซึ่งในปัจจุบันมี อยู่ 2 แบบที่ใช้กันคือ SSL (Secure Sockets Layer) และ SET (Secure Electronic Transaction) ซึ่งจะมีความซับซ้อน และมีค่าใช้จ่ายที่สูงกว่าแบบแรกจึงยังไม่เป็นที่นิยมใช้กัน ดังนั้นหัวข้อนี้จึงขออธิบายถึงการทำงานของ SSL เพียงอย่างเดียว SSL นั้นจะใช้เพื่อเข้ารหัส (encrypt) ข้อมูลตัวมันเองนั้น ใช้เพียงแค่การตรวจสอบหรือยืนยันได้เฉพาะฝั่งผู้ขายเท่านั้น ว่ามีตัวตนจริงไม่สามารถยืนยันตัวผู้ซื้อได้ ซึ่ง SSL นี่จะมีความเร็วในการทำงานมากกว่า PKI ประมาณ 10-100 เท่าทีเดียวและยังสามารถใช้งานกับบราวเซอร์ต่างๆได้ การทำงานจะเริ่มจาก (รูปที่ 1) ผู้ใช้งานเริ่มกระบวนการติดต่อ ไปยังเว็บเซิร์ฟเวอร์ที่มีระบบ SSL หลังจากนั้นเซิร์ฟเวอร์จะส่งใบรับรอง (Server Certificate) กลับมาพร้อมกับเข้ารหัส ด้วยกุญแจสาธารณะ (Public Key) ของเซิร์ฟเวอร์

ขั้นตอนต่อมาคอมพิวเตอร์ฝั่งผู้รับจะทำการตรวจสอบใบรับรองนั้นอีกทีเพื่อตรวจสอบตัวตนของฝั่งผู้ค้าหลังจากนั้นจะทำการสร้างกุญแจสมมาตร (Symmetric Key)โดยการสุ่มและทำการเข้ารหัสกุญแจสมมาตรด้วยกุญแจสาธารณะของเซิร์ฟเวอร์ที่ได้รับมา เพื่อส่งกลับไปยังเซิร์ฟเวอร์ (ตามรูปที่ 2) เมื่อเซิร์ฟเวอร์ได้รับแล้วก็จะทำการถอดรหัสด้วยกุญแจส่วนตัว (Private Key) ก็จะได้กุญแจสมมาตรของลูกค้ามาไว้ใช้ในการติดต่อสื่อสาร หลังจากนั้นในการติดต่อสื่อสารกันก็ใช้การเข้ารหัสติดต่อสื่อสารกันได้อย่างปลอดภัย (รูปที่ 3)

รูปที่ 1 ผู้ใช้คอมพิวเตอร์เริ่มกระบวนการติดต่อเซิร์ฟเวอร์ที่มี SSL และเซิร์ฟเวอร์ส่งใบรับรองที่ผ่านการเข้ารหัสกลับมา

รูปที่ 2 คอมพิวเตอร์ของผู้ใช้สร้างกุญแจสมมาตร และทำการเข้ารหัสกุญแจสมมาตรด้วยกุญแจสาธารณะของเซิร์ฟเวอร์ที่ได้รับมา

รูปที่ 3 เซิร์ฟเวอร์ถอดรหัสที่ได้รับด้วยกุญแจส่วนตัว และได้กุญแจสมมาตรของลูกค้าไว้ใช้

รูปประกอบ: เอกสารบรรยาย Securing e-Business with PKI (Netrust)

13. ซอฟต์แวร์ป้องกันไวรัส (Anti-Virus Software)มีหน้าที่อะไร

ซอฟต์แวร์ป้องกันไวรัสเป็นสิ่งที่จะขาดไม่ได้เลยสำหรับระบบป้องกันเว็บไซต์และคอมพิวเตอร์ทุกระบบ หน้าที่ของซอฟต์แวร์ประเภทนี้คือการทำลายไวรัส ซึ่งทำได้เฉพาะไวรัสที่ตรวจพบในเครื่องคอมพิวเตอร์เท่านั้น อีกนัยหนึ่งก็คือซอฟต์แวร์ประเภทนี้ไม่สามารถป้องกันไวรัสไม่ให้เข้าสู่เครื่องคอมพิวเตอร์ได้ ดังนั้นไม่ว่าจะซื้อซอฟต์แวร์นี้จากบริษัทใดก็ตาม ประสิทธิภาพสูงสุดจะมีอยู่เพียงชั่วระยะเวลาหนึ่งเท่านั้น เมื่อมีไวรัสตัวใหม่เกิดขึ้น ซอฟต์แวร์เดิมที่มีอยู่ก็ไม่สามารถตรวจพบและทำลายได้ ดังนั้นการปรับปรุงซอฟต์แวร์ให้ทันสมัยอยู่เสมอจึงเป็นสิ่งสำคัญที่สุด ซอฟต์แวร์ป้องกันไวรัสที่มีชื่อเสียงและเป็นที่นิยมในอันดับต้นๆของโลกได้แก่ Norton Antivirus ของ Symantec (http://www.symantec.com) และ McAfee ของ Network Associates, Inc. (http://www.macafee.com)

14.การชำระเงินด้วยบัตรเครดิตโดยผ่านสื่ออินเทอร์เน็ต มีความปลอดภัยเพียงใด

การชำระเงินด้วยบัตรเครดิตผ่านสื่ออินเทอร์เน็ตนั้นย่อมมีความเสี่ยงอยู่บ้าง เพราะเป็นช่องทางใหม่ที่ประชาชนยังขาดความคุ้นเคย และความเข้าใจอย่างแท้จริง แต่เมื่อวิเคราะห์ดูแล้วพบว่าความเสี่ยงนั้นอาจไม่มากอย่างที่คิด โดยเฉพาะกับเว็บไซต์ที่มีชื่อเสียง มีภาพลักษณ์ดี และ อยู่ในธุรกิจมานาน เช่น Amazon.com, Dell.com, หรือ Thailand.com เพราะ เว็บไซต์เหล่านี้ย่อมคำนึงถึงภาพพจน์ของบริษัทที่ออกไปเป็นหลัก ดังนั้นไม่ว่าจะเป็นระบบรักษาความปลอดภัย หรือ เทคโนโลยีต่างๆ จะได้รับการดูแลรักษาอย่างเต็มที่ เพื่อให้ความเชื่อมั่นกับลูกค้าว่าข้อมูลทุกอย่างจะถูกเก็บไว้ในที่ที่ปลอดภัยที่สุด และบุกรุกของ Hacker จะเป็นไปได้ยาก
ยิ่งไปกว่านั้น การชำระเงินด้วยบัตรเครดิตบนอินเทอร์เน็ตอาจมีความเสี่ยงน้อยกว่าการใช้กับร้านค้าทั่วไป เช่น ภัตตาคาร หรือ ปั๊มน้ำมันเสียอีก เพราะ เวลาที่คุณให้บัตรเครดิตกับทางร้านไปแล้ว ไม่มีใครรูดบัตรให้คุณเห็นต่อหน้าเลย ต้องไปที่หลังร้าน หรือ เคาน์เตอร์แคชเชียร์เสมอ แล้วจะมั่นใจได้อย่างไรว่าสลิปบัตรที่ถูกรูดไปไม่ได้มีมากกว่า 1 ใบหรือ พนักงานในร้านไม่ได้แอบคัดลอกเบอร์บัตรเครดิตของคุณไว้ ซึ่งการกระทำดังกล่าวเกิดขึ้นได้ง่ายและรวดเร็วกว่าการลักลอบเจาะเข้าไปในเว็บไซต์หลายเท่านัก
อย่างไรก็ดี ใช่ว่าทุกเว็บไซต์จะปลอดภัยทั้งหมดร้อยเปอร์เซ็นต์ ก่อนจะซื้อสินค้าจากเว็บไซต์ใด ผู้ซื้อควรพิจารณาเว็บไซต์นั้นอย่างละเอียดรอบคอบเสียก่อน ถ้าสามารถอ่านนโยบายด้านรักษาความปลอดภัยของเว็บไซต์ได้ก่อนก็จะดีมาก (ดูรายละเอียดเพิ่มเติมใน หัวข้อ 6.9 และ 6.10)

15. จะสังเกตความปลอดภัยของเว็บไซต์ได้อย่างไร

ความปลอดภัยของเว็บไซต์สังเกตได้จากหลายๆปัจจัย ดังต่อไปนี้
1.ชื่อเสียงของเว็บไซต์
เว็บไซต์ที่มีชื่อเสียง ไม่ว่าจะทำอะไร ย่อมต้องคำนึงถึงภาพพจน์ของตนเองอยู่เสมอ การสังเกตชื่อเสียงของเว็บไซต์ดูได้จากความนิยมของเว็บไซต์ ระยะเวลาที่เปิดดำเนินการมา หรือจากบริษัทที่เป็นเจ้าของเว็บไซต์นั้นว่าเป็นอย่างไร เช่น Thai.com เป็นไซเบอร์มอลล์ที่ดำเนินธุรกิจโดย บริษัท Internet Thailand จำกัด (มหาชน) ซึ่งเป็นผู้ให้บริการอินเทอร์เน็ตที่อยู่ในธุรกิจมาอย่างยาวนาน มีความมั่นคงไว้ใจได้ รายละเอียดประเภทนี้ สามารถหาดูได้บนเว็บไซต์นั้นเอง ภายใต้หัวข้อที่เกี่ยวกับประวัติของเว็บไซต์ เช่น About Us หรือ Company Profile หรือในหัวข้อเกี่ยวกับความปลอดภัยอื่นๆ เช่น Term of Use, Security Information และ Privacy Policy สำหรับเว็บไซต์พาณิชย์อิเล็กทรอนิกส์ อย่างไรก็ดี หากไม่พบรายละเอียดดังกล่าว ผู้บริโภคควรสอบถามไปยังเว็บไซต์โดยตรงได้ด้วยอีเมล์ หรือ โทรศัพท์ก่อนจะตัดสินใจใดๆ

2.เว็บไซต์จะต้องสนับสนุนระบบ SSL (Secure Socket Layer)
ในระหว่างการเลือกชมสินค้าบนเว็บไซต์อยู่นั้น การสังเกตว่าเว็บไซต์นั้นสนับสนุนระบบ SSL หรือไม่ สังเกตได้จาก 2 จุดบนบราวเซอร์ แห่งแรกคือ URL ปกติการเข้าถึงเว็บไซต์ใดๆนั้นจะมี URL ที่เป็น HTTP (HyperText Transmission Protocol) เป็นมาตรฐาน แต่หากว่ากำลังเข้าสู่โหมด(Mode) รักษาความปลอดภัยของ SSL URL จะเปลี่ยนเป็น HTTPS (Hyper Text Transmission Protocol, Secure) ส่วนอีกแห่งหนึ่งก็คือที่ Title Bar ด้านล่าง ในระบบ SSL จะมีรูปแม่กุญแจสีเหลืองปรากฎอยู่ด้านซ้ายมือ สำหรับ Internet Explorer ส่วน Netscape Communicator จะเป็นรูปกุญแจที่สมบูรณ์ (ไม่แตกหัก) สีเหลืองปรากฏอยู่ที่ด้านขวามือ

3.เว็บไซต์ควรจะได้รับการรับรองเรื่องความปลอดภัย
อีกปัจจัยหนึ่งที่สามารถเสริมสร้างความมั่นใจในตัวเว็บไซต์ให้กับผู้บริโภคได้ คือการได้รับการรับรองเรื่องความปลอดภัยจากองค์กรผู้ให้บริการด้านความปลอดภัยที่มีชื่อเสียง ก่อนที่จะตัดสินใจซื้อสินค้าจากเว็บไซต์ใด ผู้บริโภคควรมองหาสัญลักษณ์ขององค์กรนั้นๆเสียก่อน เช่น เครื่องหมาย Verisign’s Secure Site ซึ่งจะพบได้ตามเว็บไซต์พาณิชย์อิเล็กทรอนิกส์ชั้นนำต่างๆ อย่างไรก็ดีหากไม่มีสัญลักษณ์ประเภทดังกล่าวปรากฏอยู่ ท่านอาจทำการสอบถามไปทางเว็บไซต์โดยตรงเลยก็ได้

4.นโยบายส่งเสริมความมั่นใจหลังการขาย
โดยทั่วไปแล้วเว็บไซต์ที่ดี เชื่อถือได้ จะต้องระบุนโยบายหลังการขายอย่างละเอียดไว้บนเว็บไซต์เพื่อให้ลูกค้าทราบ นโยบายหลังการขายที่สำคัญได้แก่ นโยบายตรวจสอบข้อมูลสินค้าที่สั่งซื้อ นโยบายคืนสินค้าและคืนเงินที่ชำระไปแล้ว บางเว็บไซต์ยังมีการแสดงข้อมูลเกี่ยวกับการตรวจดูสถานะสินค้าที่อยู่ในระหว่างการจัดส่งด้วยว่าอยู่ ณ ที่ใด ซึ่งผู้บริโภคที่สั่งซื้อสินค้าหรือบริการไว้ สามารถตรวจสอบข้อมูลดังกล่าวได้จากทางเว็บไซต์หรือโทรศัพท์ จนกว่าสินค้าจะถึงมือ ผู้บริโภคควรเลือกร้านที่มีตัวแทนหรือผู้จัดส่งภายในประเทศ เพื่อสะดวกในการติดต่อข้อมูลการจัดส่ง และเมื่อสินค้าที่ได้รับชำรุดหรือไม่ตรงกับที่สั่งไว้ ก็จะสามารถติดต่อเพื่อส่งคืนได้โดยง่าย
เงื่อนไขเรื่องการจัดส่งสินค้าคืน และการเรียกคืนเงินที่ชำระแล้วมักระบุวิธีการและระยะเวลาไว้อย่างชัดเจน ในกรณีที่ผู้บริโภคยังไม่ได้รับสินค้าหรือบริการตามสัญญาหรือสินค้าเสียหาย ไม่ถูกต้องตามที่สั่งซื้อไว้ ผู้ขายหรือร้านค้าหลายแห่งจะยินยอมรับผิดชอบค่าใช้จ่ายทั้งหมด เนื่องจากไม่ใช่ความผิดของผู้บริโภค ร้านค้าอาจเสนอให้เก็บเงินจำนวนนั้นไว้เพื่อสั่งซื้อสินค้าอื่นหรืออาจคืนเงินสดด้วยเช็ค หรือโอนเงินเข้าบัญชีของผู้บริโภคตามมูลค่าที่หักไป (ในกรณีที่ชำระด้วยบัตรเครดิต)

16. สมาร์ตการ์ด คืออะไร มีประโยชน์อย่างไร

สมาร์ตการ์ด คือ บัตรพลาสติกที่มีชิบขนาดเล็ก (Microchip) ที่เป็นที่เก็บข้อมูลจำนวนมาก ซึ่งเป็นจุดที่แตกต่างจากบัตรแถบแม่เหล็กธรรมดา ข้อมูลบนบัตรสมาร์ตการ์ดสามารถมีได้มากกว่าบนบัตรแถบแม่เหล็กธรรมดาถึง 100 เท่า ส่วนใหญ่เป็นข้อมูลส่วนตัวของเจ้าของบัตร เช่น เงินสดในบัญชี เบอร์บัญชีเงินฝาก เบอร์บัตรเครดิต หรือ รายละเอียดเกี่ยวกับการเงินต่างๆ เป็นต้น บางครั้งจึงถูกเรียกว่า บัตรสะสมมูลค่า (Store-Valued Card) สมาร์ตการ์ดบางประเภทสามารถประมวลผลข้อมูลได้ด้วย โดยส่วนใหญ่ความสามารถในการประมวลผลนี้จะใช้เพื่อเข้ารหัสและถอดรหัสข้อมูลของเจ้าของบัตร ซึ่งทำให้สมาร์ตการ์ดแบบนี้มีความเป็นส่วนตัวและปลอดภัยมากเป็นพิเศษ
สมาร์ตการ์ดมีศักยภาพที่จะใช้ในการจ่ายเงินผ่านอินเทอร์เน็ตได้ โดยมีจุดเด่นที่เหนือกว่าการใช้ซอฟต์แวร์ทั่วไปบนคอมพิวเตอร์ตรงที่มีความปลอดภัยสูงกว่า เพราะเป็นฮาร์ดแวร์สามารถพกพาได้สะดวก และมีความเป็นส่วนตัว หากสถานที่นั้นมีเครื่องอ่านบัตรสมาร์ตการ์ดแล้ว ผู้ใช้ก็สามารถดึงข้อมูลของตนเองหรือจำนวนเงินในบัตรมาใช้ได้เลย สมาร์ตการ์ดมีใช้มากว่า 10 ปีแล้ว ได้รับความนิยมอย่างมากใน ยุโรป ออสเตรเลีย และ ญี่ปุ่น แต่จนถึงวันนี้ยังไม่ประสบความสำเร็จในสหรัฐอเมริกาเนื่องมาจากข้อกำหนดบางประการของธนาคารในประเทศ

17. นโยบายรัฐบาลกับมาตรการรักษาความปลอดภัยเป็นอย่างไร

พาณิชย์อิเล็กทรอนิกส์ คือ การทำธุรกิจบนอินเทอร์เน็ตที่เชื่อมโยงผู้คนทุกมุมโลกเข้าด้วยกัน จึงเป็นการยากที่จะตรวจสอบว่าบุคคลเหล่านั้นเป็นใครบ้าง ดังนั้นการสร้างความเชื่อมั่นในระบบธุรกิจจึงเป็นสิ่งที่ขาดเสียไม่ได้เลย หน่วยงานของรัฐบาลที่เกี่ยวข้องกับนโยบายและมาตรการรักษาความปลอดภัยต่างๆ ได้แก่

1.สำนักงานตำรวจแห่งชาติ จัดเตรียมบุคลากรที่สามารถจับผู้กระทำความผิด ตรวจตราดูแลความสงบสุขในการใช้เทคโนโลยีสารสนเทศ ภาระหน้าที่นี้เป็นส่วนที่ช่วยส่งเสริมธุรกิจการค้าและพาณิชย์อิเล็กทรอนิกส์ในประเทศไทยให้ขยายตัวได้ รัฐคงไม่สามารถปัดภาระให้แต่ละบริษัทจัดการรักษาความปลอดภัยด้วยเองได้ เพราะถนนหนทางบนอินเทอร์เน็ตที่เป็นสาธารณะยังมีอีกมาก อาจจะมีผู้ไม่ประสงค์ดีหาทางฉกฉวยโอกาสอยู่ การสร้างบุคลากรในสำนักงานตำรวจแห่งชาติจึงต้องเร่งกระทำ อย่างน้อยเพื่อให้ทันกับการพัฒนาทางเทคโนโลยีของผู้ไม่ประสงค์ดีเหล่านั้น

2.NECTEC จัดตั้ง Computer Emergency Response Team (CERT) เพื่อเป็นหน่วยงานที่คอยประสานงานในเรื่องการละเมิดความปลอดภัยบนเครือข่าย

ที่มา : ยืน ภู่วรวรรณ และสมชาย นำประเสริฐชัย , บนเส้นทางพาณิชย์อิเล็กทรอนิกส์ หน้า 91

18. Firewall คืออะไร

คือ ฮาร์ดแวร์และซอฟต์แวร์ที่องค์กรต่างๆมีไว้เพื่อป้องกันเครือข่ายคอมพิวเตอร์ภายในของตนจากอันตรายที่มาจากเครือข่ายคอมพิวเตอร์ภายนอก เช่น ผู้บุกรุก หรือ Hacker Firewall จะอนุญาตให้เฉพาะข้อมูลที่มีคุณลักษณะตรงกับเงื่อนไขที่กำหนดไว้ผ่านเข้าออกระบบเครือข่ายภายในเท่านั้น อย่างไรก็ดี Firewall นั้นไม่สามารถป้องกันอันตรายที่มาจากอินเทอร์เน็ตได้ทุกรูปแบบ ไวรัสก็เป็นหนึ่งในนั้น ดังนั้นจึงไม่สามารถรับรองได้ว่าความปลอดภัยหรือความลับของข้อมูลจะมีอยู่ร้อยเปอร์เซนต์ถึงแม้ว่าจะมีการใช้ Firewall แล้วก็ตาม