ระบบรักษาความปลอดภัยของ E-Commerce
posted on 18 Nov 2010 16:16 by phadihcaระบบความปลอดภัย
ระบบความปลอดภัยนับเป็นเรื่องที่โดดเด่นที่สุด และมีเทคโนโลยีความปลอดภัยคือ Public Key ซึ่งมีองค์กรรับรองความถูกต้องเรียกว่า CA (Certification Authority) ระบบนี้ใช้หลักคณิตศาสตร์คำนวณรหัสคุมข้อความจากผู้ส่งและผู้รับอย่างเฉพาะเจาะจงได้ จึงสามารถพิสูจน์ตัวตนของผู้รับผู้ส่ง (Authentication) รักษาความปลอดภัยของข้อมูล (Confidentiality) ความถูกต้องไม่คลาดเคลื่อนของข้อมูล (Integrity) และผู้ส่งปฏิเสธความเป็นเจ้าของข้อมูลไม่ได้ (Non-repudiation) เรียกว่าลายมือชื่ออิเล็กทรอนิกส์ (Electronic Signature)
ที่สำคัญอีกประการหนึ่งคือการมีกฎหมายรองรับการทำธุรกรรมบนเครือข่าย ประเทศในยุโรปและประเทศสหรัฐอเมริกาได้ออกกฎหมายรับรองการใช้ลายมือชื่ออิเล็กทรอนิกส์ และกฎหมายรองรับการทำธุรกิจดังกล่าว สำหรับในประเทศไทยก็เร่งจัดการออกกฎหมายเทคโนโลยีสารสนเทศ 6 ฉบับ โดยกฎหมาย 2 ฉบับแรกที่จะออกใช้ได้ก่อนคือ กฎหมายธุรกรรมทางอิเล็กทรอนิกส์และกฎหมายลายมือชื่ออิเล็กทรอนิกส์
ที่สำคัญอีกประการหนึ่งคือการมีกฎหมายรองรับการทำธุรกรรมบนเครือข่าย ประเทศในยุโรปและประเทศสหรัฐอเมริกาได้ออกกฎหมายรับรองการใช้ลายมือชื่ออิเล็กทรอนิกส์ และกฎหมายรองรับการทำธุรกิจดังกล่าว สำหรับในประเทศไทยก็เร่งจัดการออกกฎหมายเทคโนโลยีสารสนเทศ 6 ฉบับ โดยกฎหมาย 2 ฉบับแรกที่จะออกใช้ได้ก่อนคือ กฎหมายธุรกรรมทางอิเล็กทรอนิกส์และกฎหมายลายมือชื่ออิเล็กทรอนิกส์
- Encryption เป็นการเข้ารหัสและถอดรหัสระหว่างเครื่องคอมพิวเตอร์ที่ทำกิจกรรมซื้อขายในเครือข่ายอินเทเอร์เนต หรือระหว่างผู้ขายและผู้ซื้อ เป็นระบบนี้เป็นที่ยอมรับโดยทั่วไปบนอินเทอร์เนต
- Authentication เป็นระบบตรวจสอบ ซึ่งจะตรวจสอบว่าเป็นผู้ได้รับอนุญาตตัวจริงให้เข้าถึงระบบและบริการในชั้นที่กำหนดให้โดยให้แจ้งข้อมูล Password ของผู้ได้รับอนุญาต
- Firewalls เป็นระบบที่ทำงานร่วมกันระหว่าง Hard และ Software โดย Firewallsจะวางอยู่ระหว่าง เครือข่ายภายในองค์กร (Local Network)และ เครือข่ายภายนอก (Internet) เพื่อป้องกันการบุกรุกจากจากบุคคลภายนอกที่ไม่ได้รับอนุญาตเข้ามาขโมยข้อมูลหรือแก้ไขเปลี่ยนแปลงข้อมูล (Hacker)โดยผ่านทางเครือข่ายภายนอก (Internet)
- PKI System (Public Infrastructure) เป็นกลุ่มข้อ Security Servicesซึ่งปกติจัดให้โดย Certificate (CA), Authentication, Encryption และ Certificate Management ใช้เทคโนโลยีการเข้าและถอดรหัสโดยกุณแจสาธารณะ
- การรักษาความลับของข้อมูล (Confidentiality) คือ การรักษาความลับของข้อมูลที่เก็บไว้ หรือส่งผ่านทางเครือข่ายโดยป้องกันไม่ให้ผู้อื่นที่ไม่มีสิทธิ์ลักลอบดูได้ (เปรียบเทียบได้กับ การปิดผนึกซองจดหมาย การใช้ชองจดหมายที่ทึบแสง การเขียนหมึกที่มองไม่เห็น เป็นต้น)
- การรักษาความถูกต้องของข้อมูล (Integrity) คือ การป้องกันไม่ให้ข้อมูลถูกแก้ใข โดยตรวจสอบไม่ได้ (เปรียบเทียบได้กับ การเขียนด้วยหมึกซึ่งถ้าถูกลบแล้วจะก่อให้เกิดรอยลบขึ้น การใช้โฮโลแกรมกำกับบนบัตรเครดิต เป็นต้น)
- การป้องกันการปฎิเสธ หรือ อ้าง ความรับผิดชอบ (Non-repudiation) คือ การป้องกันการปฎิเสธว่าไม่ได้มีการส่ง หรือ รับข้อมูล จากฝ่ายต่างๆที่เกี่ยวข้อง หรือ การป้องกันการอ้างที่เป็นเท็จว่าได้ รับหรือ ส่งข้อมูล (เปรียบเทียบได้กับการส่งจดหมายลงทะเบียน เป็นต้น )
อ้างอิง :