ระบบรักษาความปลอดภัยคอมพิวเตอร์เบื้องต้น pdf

ระบบรักษาความปลอดภัยในคอมพิวเตอร์

ความหมายของระบบรักษาความปลอดภัย  (Computer Security System)

                ระบบที่มีไว้เพื่อป้องกันภัยคุกคามจากผู้ที่ประสงค์ร้ายต่อธุรกิจข้อมูลที่เป็นความลับขององค์กรหรือข้อมูลส่วนตัวของบุคคลทั่วไปที่องค์กรนั้นมีอยู่รวมไปถึงข้อมูลในเครื่องคอมพิวเตอร์ส่วนบุคคลจากผู้ที่ต้องการคุกคามผู้ใช้คอมพิวเตอร์บนโลกอินเตอร์เน็ตหรือจากระบบรักษาความปลอดภัยในเครื่องคอมพิวเตอร์เอง

ประโยชน์และข้อจำกัดของระบบรักษาความปลอดภัย

ประโยชน์

1.ป้องกันบุคคลที่ไม่ประสงค์ดีเข้ามาทำลายข้อมูลภายในระบบคอมพิวเตอร์ด้วยรูปแบบต่างๆกันไปไม่ว่าจะเป็น การส่งไวรัสเข้าสู่ระบบคอมพิวเตอร์ซึ่งมีผลทำให้ข้อมูลต่างๆที่มีอยู่นั้นเกิดความเสียหายหรือการโจรกรรมข้อมูล ที่เป็นความลับการละเมิดข้อมูลส่วนบุคคลของผู้อื่น

2.เพิ่มความสามารถในการรักษาความปลอดภัยให้กับระบบคอมพิวเตอร์ของตนให้มากขึ้น

ข้อจำกัด

1.ระบบรักษาความปลอดภัยจะมีประสิทธิภาพก็ต่อเมื่อupdateโปรแกรมของระบบอยู่เสมอ เพราะ hackerจะมีการพัฒนา และสร้าง ไวรัสตัวใหม่อยู่เป็นประจำ

2. จากการที่มีไวรัสในเครือข่ายอินเตอร์เน็ตมาก เป็นเหตุให้เราต้องลดการ load ข้อมูล รูปภาพ จากอินเตอร์เน็ต และต้องไปหาข้อมูลจากแหล่งการศึกษาอื่นแทน เช่น ห้องสมุด หนังสือพิมพ์ วารสาร โปสเตอร์ เป็นต้น

บทบาทของระบบรักษาความปลอดภัยบนเครื่องคอมพิวเตอร์

                 บทบาทของระบบรักษาความปลอดภัยบนเครื่องคอมพิวเตอร์คือ ป้องกันผู้ไม่ประสงค์ดี และ บุคคลภายนอก เข้ามาทำอันตรายกับเครื่องคอมพิวเตอร์ การรักษาความปลอดภัยจะต้องป้องกันจากบุคคลจำพวกนี้ให้ได้โดยวิธีการที่ บุคคลเหล่านี้ใช้มีด้วยกันหลายวิธี สามารถแบ่งเป็นประเภทได้ 2 ประเภท คือ การบุกรุกทางกายภาพ (เข้าถึงระบบโดยตรง)เช่นการเข้ามาคัดลอกข้อมูลใส่แผ่นดิสก์กลับไปการขโมยฮาร์ดดิสก์ออกไปการสร้างความเสียหายโดยตรงกับฮาร์ดแวร์ต่าง ๆหรือการติดตั้งฮาร์ดแวร์ที่ดักจับ Passwordของผู้อื่นแล้วส่งไปให้ผู้บุกรุกเป็นต้น

                ประเภทที่สองคือการบุกรุกเครือข่ายคอมพิวเตอร์เช่นการปล่อยไวรัสคอมพิวเตอร์เข้ามาทำลายระบบหรือขโมยข้อมูลการเจาะเข้ามาทางรอยโหว่ของระบบปฏิบัติการโดยตรงเพื่อขโมย Password หรือข้อมูล เป็นต้น

                  ระบบรักษาความปลอดภัยที่ใช้ป้องกันการบุกรุกทางกายภาพที่นิยมใช้ คือ ระบบ Access Control ส่วนระบบที่ป้องกันการบุกรุกทางเครือข่าย คือ Firewall นอกจากนี้ยังใช้วิธีการ Backup ข้อมูลที่สำคัญเก็บเอาไว้ เพื่อใช้ในกรณีที่ข้อมูลเกิดความเสียหายจากสาเหตุใดๆ ก็ตาม

                  ผู้ที่สามารถเข้ามาระบบรักษาความปลอดภัยเข้ามาได้มีอยู่ 2  ประเภท คือ Hacker และ Cracker โดยมีวิธีในการเข้าใช้ระบบหลายวิธี โดยทั่วไปจะเข้าสู่ระบบโดยใช้การ Log in แบบผู้ใช้โดยทั่วๆ ไป ข้อแตกต่างระหว่าง Hacker และ Cracker ก็คือ จุดประสงค์ของการเจาะข้อมูลในเครื่องคอมพิวเตอร์ผู้อื่น ดังนี้

                  Hackerคือผู้เชี่ยวชาญที่มีความรู้สามารถถอดรหัสหรือเจาะรหัสของระบบรักษาความปลอดภัยของเครื่องคอมพิวเตอร์คนอื่นได้โดยมีวัตถุประสงค์เพื่อทดสอบขีดความสามารถของระบบเท่านั้นหรืออาจจะทำในหน้าที่การงานเช่นผู้ที่มีหน้าที่เกี่ยวข้องกับระบบรักษาความปลอดภัยของเครือข่ายหรือองค์กรเพื่อทำการทดสอบประสิทธิภาพของระบบว่ามีจุดบกพร่องใดเพื่อแก้ไขต่อไป

                Crackerคือผู้เชี่ยวชาญที่มีความรู้สามารถถอดรหัสหรือเจาะรหัสของระบบรักษาความปลอดภัยของเครื่องคอมพิวเตอร์คนอื่นได้โดยมีวัตถุประสงค์เพื่อบุกรุกระบบหรือเข้าสู่เครื่องคอมพิวเตอร์คนอื่นเพื่อขโมยข้อมูลหรือทำลายข้อมูลคนอื่นโดยผิดกฎหมายโดยภัยคุกคามที่เกิดขึ้นกับระบบรักษาความปลอดภัยของคอมพิวเตอร์สามารถแบ่งออกได้ 5 รูปแบบ ดังนี้

1.ภัยคุกคามแก่ระบบ

                เป็นภัยคุกคามจากผู้ประสงค์ที่เข้ามาทำการปรับเปลี่ยนแก้ไขหรือลบไฟล์ข้อมูลสำคัญภายในระบบคอมพิวเตอร์แล้วส่งผลให้เกิดความเสียหายต่อระบบคอมพิวเตอร์ทำให้ไม่สามารถใช้งานได้ตัวอย่างเช่น Cracker  แอบเจาะเข้าไปในระบบเพื่อลบไฟล์ระบบปฏิบัติการ เป็นต้น

2ภัยคุกคามความเป็นส่วนตัว

                เป็นภัยคุกคามที่Crackerเข้ามาทำการเจาะข้อมูลส่วนบุคคลหรือติดตามร่องรอยพฤติกรรมของผู้ใช้งาน แล้วส่งผลให้เกิดความเสียหายขึ้น ตัวอย่างเช่น การใช้โปรแกรมสปาย (Spyware)ติดตั้งบนเครื่องคอมพิวเตอร์ ของบุคคลอื่น และส่งรายงานพฤติกรรมของผู้ใช้ผ่านทางระบบเครือข่ายหรือทางอีเมล์ เป็นต้น

3.ภัยคุกคามต่อทั้งผู้ใช้และระบบ

                เป็นภัยคุกคามที่ส่งผลเสียให้แก่ผู้ใช้งานและเครื่องคอมพิวเตอร์เป็นอย่างมากตัวอย่างเช่น ใช้ Java Script หรือ Java Applet ทำการล็อคเครื่องคอมพิวเตอร์ไม่ให้ทำงาน หรือบังคับให้ผู้ใช้งาน ปิดโปรแกรมบราวเซอร์ขณะใช้งานอยู่ เป็นต้น

    4.ภัยคุกคามที่ไม่มีเป้าหมาย

                เป็นภัยคุคามที่ไม่มีเป้าหมายที่แน่นอนเพียงแต่ต้องการสร้างจุดสนใจโดยปราศจากความเสียหายที่จะเกิดขึ้น ตัวอย่างเช่นส่งข้อความหรืออีเมล์มารบกวนผู้ใช้งานในระบบหลาย ๆ คน

5.ภัยคุกคามที่สร้างความรำคาญ

                เป็นภัยคุกคามที่สร้างความรำคาญโดยปราศจากความเสียหายที่จะเกิดขึ้น ตัวอย่างเช่น แอบเปลี่ยนคุณลักษณะ (Property) รายละเอียดสีของเครื่องคอมพิวเตอร์ จากเดิมที่เคยกำหนดไว้โดยไม่ได้รับอนุญาตเป็นจากความสำคัญ ของข้อมูลและ ภัยคุกคามต่างๆเหล่านี้ทำให้สามารถแบ่งลักษณะการรักษาความปลอดภัยบนคอมพิวเตอร์ตาม ลักษณะการใช้งานได้ 3 ลักษณะ คือการรักษาความปลอดภัยในองค์กร การรักษาความปลอดภัยบนเครือข่าย อินเตอร์เน็ต และการรักษาความปลอดภัยของข้อมูลส่วนบุคคลต้น

1.การรักษาความปลอดภัยในองค์กร

ระบบรักษาความปลอดภัยที่ใช้ป้องกันในองค์กรมีหลายลักษณะ เช่น

ระบบ Access Control

                คือระบบควบคุมการเข้าใช้งานเป็นวิธีการที่คิดค้นขึ้นมาเพื่อป้องกันการโจรกรรมข้อมูลจากบุคคลที่ไม่มีสิทธิ ในการเข้าใช้ข้อมูลหรือระบบ(Unauthorized)โดยผู้ที่สามารถเข้าใช้ระบบโดยผ่านระบบ(AccessControl) นี้ได้จะต้องได้รับการอนุญาตหรือได้รับสิทธิในการเข้าใช้งานก่อน(Authorize)ซึ่งบุคคลจะมีสิทธิในการเข้าใช้ระบบไม่ เท่ากันเช่นบางคนอาจได้แค่เรียกใช้ข้อมูลเท่านั้นแต่บางคนสามารถแก้ไขข้อมูลได้ เป็นต้น เมื่อได้รับสิทธิแล้วต้องการเข้าใช้ระบบ จะต้องมีการพิสูจน์แล้วปรากฏว่าบุคคลผู้นั้นเป็นผู้ที่ได้รับสิทธิจริงจึงจะสามารถ เข้าใช้งานได้

ระบบควบคุมการเข้าใช้งานที่ได้รับความนิยมในปัจจุบันนี้ แบ่งออกได้เป็น 3 รูปแบบ ดังนี้

                - ชื่อผู้ใช้และรหัสผ่าน (User Name and Password) ชื่อผู้ใช้ (User Name, User ID) คือ ตัวอักษรหรือตัวเลขซึ่งบ่งบอกว่าผู้ใช้เป็นใคร ส่วน รหัสผ่าน (Password) เป็นรหัสเฉพาะเพื่อเข้าใช้ระบบซึ่งเปรียบ เสมือนกุญแจ(Key)ที่ใช้เปิดประตูการจะเข้าใช้คอมพิวเตอร์ที่มีระบบควบคุมการเข้าใช้งานในลักษณะนี้ผู้ใช้จะต้องบอกชื่อผู้ใช้ซึ่งเป็นชื่อที่ขึ้นทะเบียนไว้กับคอมพิวเตอร์ระบบจะตรวจสอบข้อมูลของผู้ใช้เหล่านี้จากบัญชี ที่ผู้ใช้กรอกข้อมูล ไว้ตอนแรกโดยชื่อผู้ใช้จะไม่ซ้ำกันทำให้คอมพิวเตอร์สามารถบ่งบอกความแตกต่างของผู้ใช้แต่ละคน ได้ หลังจากกรอกชื่อข้อมูล (User Name) แล้วต้องการป้อนรหัสผ่าน (Password) ด้วย หากชื่อผู้ใช้และรหัสผ่านไม่ตรงชื่อผู้ใช้และรหัสผ่านที่มีอยู่ในทะเบียน ระบบจะปฏิเสธการเข้าใช้งาน

                โดยทั่วไปคอมพิวเตอร์จะอนุญาตให้ผู้ใช้ตั้งชื่อผู้ใช้และรหัสผ่านได้ด้วยตนเอง ซึ่งรหัสผ่านที่มีประสิทธิภาพในการป้องกันการเข้าใช้นั้นต้องประกอบไปด้วยลักษณะ 2  ประการ คือ

1.จำนวนของตัวอักษรหรือตัวเลขที่ประกอบกันเป็นรหัสผ่านนั้นต้องมีความยาวที่เหมาะสม คือ ไม่ต่ำกว่า 6 ตัวอักษร

2. รหัสผ่านที่ตั้งไม่ควรจะเป็นคำที่ผู้อื่นคาดเดาได้ง่าย เช่น วันเกิด หรือ ชื่อเล่น

ระบบ Possessed  Object

                เป็นรูปแบบหนึ่งในการควบคุมการเข้าใช้ระบบที่นิยมใช้กันมากในปัจจุบันการเข้าใช้คอมพิวเตอร์ที่มีระบบเช่นนี้ต้องใช้กุญแจ (Key)ซึ่งกุญแจในที่นี้จะหมายถึงวัตถุที่คอมพิวเตอร์อนุญาตให้ใช้ในการเข้าระบบได้ เช่น บัตร ATM หรือ KeyCard  กุญแจเหล่านี้จะมี Personal Identification Number (PIN) หรือ รหัสตัวเลขซึ่งบ่งบอกว่ากุญแจ เหล่านั้นเป็น ของใครและต้องมีรหัสผ่านคอยควบคุมการเข้าใช้ระบบ เช่น บัตร ATM เป็นตัวอย่างที่แสดงการทำงานของ PIN ได้ดีที่สุด การใช้ บัตร ATM ต้องกดรหัสตัวเลข 4 ตัวเพื่อใช้งาน ซึ่งตัวเลขเหล่านี้เป็นรหัสส่วนบุคคล

                 -อุปกรณ์Biometric เป็นอุปกรณ์รักษาความปลอดภัยซึ่งใช้ลักษณะส่วนบุคคลเป็นรหัสผ่านเช่น   อุปกรณ์ตรวจสอบลายนิ้วมือ ขนาดฝ่ามือ  หรือดวงตา  อุปกรณ์ลักษณะนี้จะแปลงลักษณะเฉพาะ ส่วนบุคคลเป็น รหัสตัวเลข (Digital Code) เพื่อเปรียบเทียบรหัสตัวเลขนั้นกับข้อมูลที่เก็บไว้หากไม่ตรงกันคอมพิวเตอร์จะปฏิเสธ การเข้าใช้ ระบบอุปกรณ์สแกนลายนิ้วมือเป็นตัวอย่างของอุปกรณ์ Biometric ที่ใช้กันอย่างแพร่หลายในปัจจุบันเครื่อง สแกนลายนิ้วมือจะใช้การตรวจสอบความโค้งและรอยบากของลายนิ้วมือซึ่งแต่ละคนจะมีลักษณะไม่เหมือนกันทำให้ ตรวจสอบได้ว่าเจ้าของลายนิ้วมือเป็นใครมีสิทธิ์เข้าใช้ระบบหรือไม่และที่สำคัญอุปกรณ์ชนิดนี้มีราคาถูกจึงได้รับความ นิยมอย่างมาก

                ตัวอย่างของอุปกรณ์ Biometric แบบอื่น ๆ ได้แก่ Hand Geometry System, Face Recognition System, Voice Verification System, Signature Verification System หรือ Iris Verification System เป็นต้น

                นอกจากระบบควบคุมการเข้าใช้ข้อมูลดังกล่าวแล้วยังสามารถเลือกใช้ซอฟต์แวร์และผู้ให้บริการ ที่มีความสามารถในการตรวจจับและป้องกันการบุกรุกได้ ดังนี้

- ซอฟต์แวร์ตรวจจับการบุกรุก (Intrusion Detection Software : IDS)

                 ซอฟต์แวร์ตรวจจับการบุกรุก จะคอยจับตาดูระบบและทรัพยากรของเครือข่าย แล้วรายงานให้ผู้ดูแลรักษา ความปลอดภัยทราบ เมื่อมีความเป็นไปได้ว่ามีผู้บุกรุกเข้ามาแล้ว ตัวอย่างกิจกรรมที่น่าสงสัยว่ามีผู้บุกรุกเข้ามาเช่น มีผู้พยายาม Log in เข้าใช้ข้อมูล แต่เข้าไม่ได้หลาย ๆ ครั้ง มีการเข้าใช้ระบบในช่วงเวลาที่ผิดปกติ เป็นต้น การใช้ IDS นี้เป็นการเพิ่มการป้องกันอีกชั้นหนึ่งในกรณีที่ผู้บุกรุกได้ผ่านระบบรักษาความปลอดภัยชั้นนอก (เช่น รหัสผ่าน firewall เป็นต้น) เข้ามาแล้ว

- ผู้ให้บริการจัดการความปลอดภัย (Management Security Service Provider : MSSP)ผู้ให้บริการจัดการ ความปลอดภัยจะคอยจับตาดูผู้บุกรุกและดูแลรักษาฮาร์ดแวร์และซอฟต์แวร์รักษาความปลอดภัยของเครือข่ายให้ เหมาะสำหรับองค์กรขนาดเล็กถึงขนาดกลาง เนื่องจากต้นทุนในการจ้างผู้เชี่ยวชาญด้านการรักษาความ ปลอดภัย บนเครือ ข่ายเพื่อป้องกันการดำเนินงานทางธุรกิจอาจสูงเกินไป

2.การรักษาความปลอดภัยบนเครือข่ายอินเตอร์เน็ต

                ถึงแม้ว่าการใช้งานเครือข่ายอินเตอร์เน็ตจะมีประโยชน์เป็นอย่างมาก แต่ก็มีอันตรายแฝงอยู่มากมายหลายรูป แบบเช่นกันเนื่องจากว่าทุกคนมีสิทธิในการใช้งานเท่าเทียมกันทำให้มีบุคคลหลายประเภทเข้ามาใช้งานและจุดประสงค์ของแต่ละบุคคลก็แตกต่างกัน รวมถึงผู้ที่มีความสามารถแต่มีจุดประสงค์ไปในทางไม่ดีด้วย (Cracker) ทำให้บนเครือข่าย อินเตอร์เน็ตจำเป็นจะต้องมีการรักษาความปลอดภัยที่มีประสิทธิภาพสูงเพื่อป้องกันการบุกรุกในรูปแบบต่าง ๆ รวมไปถึงการโจรกรรมข้อมูลด้วย

                หัวใจสำคัญของการรักษาความปลอดภัยบนอินเตอร์เน็ตก็คือ การรักษาข้อมูลต่าง ๆ ของผู้ใช้ที่เข้ามาใช้บริการ บนอินเตอร์เน็ตดังนั้นจึงสามารถนำระบบรักษาความปลอดภัยในองค์กรเขามาประยุกต์ใช้ได้แต่ก็ต้องมีการเพิ่มระบบ รักษาความปลอดภัยบางอย่างเพื่อเพิ่มความมั่นใจให้แก่ผู้ใช้งาน เช่น การป้องกันเครื่องเซิร์ฟเวอร์จากการถูกโจมตี การเข้ารหัสข้อมูลที่ส่งไป – มาบนเครือข่าย เพื่อไม่ให้ผู้อื่นรู้ข้อความที่ส่งติดต่อกัน เป็นต้น

- ความปลอดภัยของเครื่องเซิร์ฟเวอร์

                  การโจมตีให้เซิร์ฟเวอร์ปฏิเสธการให้บริการ (Denial of Service Attack : DoS) เป็นการโจมตีรูปแบบหนึ่งซึ่งจะส่งผลให้เครื่องคอมพิวเตอร์หรือระบบหยุดการทำงานโดยไม่ทราบสาเหตุหรืออาจทำให้การทำงานของเครื่องเพิ่มมากขึ้นจนกระทั่งผู้ใช้ไม่สามารถใช้งานได้ ตัวอย่างเช่น วิธีการโจมตีแบบ Distributed Denial of Service Attack : (DDoS) คือ การที่ผู้บุกรุกติดตั้ง “Agent” (ส่วนใหญ่มักเป็นโปรแกรมประเภท Trojan) ให้ทำงานในเครื่องที่ตนเองได้รับสิทธิ์เข้าใช้งานเพื่อให้คอมพิวเตอร์เครื่องนั้นพร้อมที่จะรับคำสั่งต่อไปหลังจากที่ผู้บุก รุกสร้างเครื่องที่จะทำหน้าที่เป็นAgentได้ตามจำนวนที่ต้องการแล้ว จะมีคอมพิวเตอร์อีกเครื่องหนึ่งทำหน้าที่เป็น “Handle” ทำการสั่งให้เครื่องที่เป็น Agent ทั้งหมดทำการโจมตีแบบ Denial of Service ไปยังระบบอื่น โดยเครื่อง Agent จะสร้างข้อมูลขยะขึ้นมาแล้วส่งไปที่เครื่องหรือระบบเป้าหมายดังนั้น เป้าหมายสุดท้ายของการโจมตีจึงไม่ใช่ เครื่องคอมพิวเตอร์ของผู้ใช้โดยตรง แต่เป็นคอมพิวเตอร์เครื่องอื่นโดยเครื่องคอมพิวเตอร์ของผู้ใช้เป็นเพียงเครื่องช่วย ขยายขอบเขต ในการโจมตีเท่านั้น

- ความปลอดภัยในการส่งข้อมูลผ่านเครือข่ายอินเตอร์เน็ต (Securing Internet Transaction)

                การรักษาความปลอดภัยของข้อมูลที่ส่งผ่านเครือข่ายอินเตอร์เน็ตที่นิยมใช้งานกันมากที่สุด คือ “การเข้ารหัส (Encryption)” ซึ่งระดับความปลอดภัยของการสื่อสารข้อมูลจะมีความแตกต่างกัน ขึ้นอยู่กับความสำคัญของข้อมูลนั้น การเข้ารหัสข้อมูลมีระดับความปลอดภัยหลายระดับ ตั้งแต่ 40–bit Encryption จนถึง 128-bit                  Encryption โดยที่จำนวนบิทในการเข้ารหัสยิ่งสูงจะทำให้ข้อมูลมีความปลอดภัยสูงขึ้นตามไปด้วย ดังนั้น ข้อมูลที่มีความสำคัญมาก ๆ เช่น ข้อมูลเกี่ยวกับการเงิน จะเข้ารหัสแบบ 128-bit Encryption

                เว็บไซต์ที่ใช้วิธีการเข้ารหัสเพื่อป้องกันข้อมูลจะใช้ Digital Certification ร่วมกับ Security Protocol เพื่อทำให้ความปลอดภัยสูงขึ้น ซึ่งโดยทั่วไปโปรโตคอลที่นิยมใช้งานมีอยู่ 2 ชนิด คือ Secure Socket Layer (SSL) และ Secure HTTP (SHTTP) แต่ยังมีโปรโตคอล Secure Electronic Transaction (SET) อีกหนึ่งโปรโตคอลที่มีผู้คิดค้นขึ้นเพื่อความปลอกภัยในการชำระเงินด้วยบัตรเครดิตทางอินเตอร์เน็ต

-การเข้ารหัส(Encryption)  

                เป็นวิธีการป้องกันข้อมูลจากการถูกโจรกรรมในขณะที่มีการรับและส่งข้อมูลผ่านทางเครือข่ายวิธีการนี้มีความน่าเชื่อถือได้มากกว่าการควบคุมการเข้าใช้งานเนื่องจากข้อมูลทั้งหมดจะถูกแปลงเป็นรหัสที่ไม่สามารถอ่านได้ด้วยวิธีการปกติ (เรียกว่า “เข้ารหัส (Encrypt)”)  ดังนั้นแม้ว่าจะมีผู้โจรกรรมข้อมูลไปได้ แต่หากไม่สามารถ ถอดรหัส (Decrypt) ได้ ก็ไม่สามารถเข้าใจในข้อมูลเหล่านั้น

                วิธีการเข้ารหัสที่ใช้โดยทั่วไปมีอยู่ 2 วิธี คือ การเข้ารหัสด้วยกุญแจที่เหมือนกัน (Symmetric Key Encryption) และการเข้ารหัสด้วยกุญแจที่ต่างกัน (Asymmetric Key Encryption)

                - การเข้ารหัสด้วยกุญแจที่เหมือนกัน (Symmetric Key Encryption) หรือที่เรียกว่า การเข้ารหัสด้วยกุญแจลับ (Secret Key Encryption) เป็นการเข้ารหัสและถอดรหัสด้วยกุญแจตัวเดียวกัน ดังนั้นกุญแจที่ใช้จึงต้องเป็น กุญแจลับ (Secret Key) ที่ไม่มีใครรู้ นอกจากผู้ส่งและผู้รับเท่านั้น โดยการเข้ารหัสจะเริ่มจากผู้ส่งใช้กุญแจลับในการเข้ารหัส Plaintext ให้เป็น Ciphertext แล้วส่งไปยังผู้รับ เมื่อผู้รับได้รับ Ciphertext แล้ว จะใช้กุญแจลับตัวนั้นในการถอดรหัสให้กลายเป็น Plaintext เพื่อให้สามารถอ่านข้อมูลที่ถูกส่งมาได้

                  วิธีการเข้ารหัสด้วยกุญแจลับที่นิยมใช้กัน คือ Data Encryption Standard (DES) ซึ่งได้รับการพัฒนาโดยบริษัท IBM แต่ในปัจจุบันถือว่าล้าสมัยไปแล้ว เนื่องจากการเข้ารหัสแบบ DES เริ่มไม่เพียงพอต่อการรักษาความปลอดภัยอีกต่อไป โดยมีวิธีการอื่น ๆ เข้ามาแทนที่แต่ก็ยังคงใช้แนวความคิดแบบนี้อยู่

                  การเข้ารหัสด้วยกุญแจลับมีข้อเสีย คือ ต้องทำการแลกเปลี่ยนกุญแจระหว่างผู้รับกับผู้ส่ง ซึ่งหากส่งไปในเครือข่ายอินเตอร์เน็ตจะเสี่ยงต่อการถูกขโมยไปได้ และไม่สะดวกต่อการเดินทางไปแลกเปลี่ยนด้วยตนเองด้วย

                - การเข้ารหัสด้วยกุญแจที่ต่างกัน (Asymmetric Key Encryption) หรือเรียกว่า การเข้ารหัสด้วยกุญแจสาธารณะ (Public Key Encryption) เป็นการเข้ารหัสและถอดรหัสด้วยกุญแจที่แตกต่างกันได้แก่ (Public Key) ซึ่งเป็นกุญแจที่เปิดเผยให้ผู้อื่นรู้ได้ และ กุญแจส่วนตัว (Private Key) ซึ่งเป็นกุญแจที่ไม่สามารถเปิดเผยให้ผู้อื่นรู้ได้ โดยเริ่มจาก ผู้ส่งทำการเข้ารหัส Plaintext ให้กลายเป็น Ciphertext ด้วยกุญแจสาธารณะของผู้รับ แล้วส่งไปให้ผู้รับ เมื่อผู้รับได้รับ Ciphertext แล้ว ก็จะใช้กุญแจส่วนตัวของตนเองในการถอดรหัส Ciphertext ให้กลายเป็น Plaintext เพื่ออ่านข้อมูล

                 กุญแจส่วนตัวที่ใช้ในการถอดรหัส ต้องเป็นกุญแจที่คู่กับกุญแจสาธารณะนั้นๆเท่านั้นไม่สามารถนำกุญแจส่วนตัวดอกอื่นมาถอดรหัสได้ เนื่องจากกุญแจทั้ง 2 ดอกเชื่อมโยงกันด้วยสูตรทางคณิตศาสตร์ ดังนั้นแม้ผู้อื่นจะได้รหัสที่เป็นCiphertext ไปแต่จะไม่สามารถถอดรหัสเหล่านั้นได้หากไม่มีกุญแจส่วนตัวของผู้รับ วิธีการนี้จึงมีความ ปลอดภัยสูง กว่าวิธีแรก แต่ในทางกลับกันก็มีความซับซ้อนมากกว่าด้วย จึงทำให้ต้องใช้เวลาในการเข้ารหัสนานกว่า

                 วิธีการเข้ารหัสด้วยกุญแจสาธารณะทีนิยมใช้กัน คือ RSA Encryption (Rivest-Shamir-Adelman Encryption) ซึ่งถูกพัฒนาโดย Ron Revest, Ado Shamir และ Leonard Adleman การเข้ารหัสแบบ RSA นี้ให้ความปลอดภัยสูงมาก ดังนั้นในปัจจุบันจึงมีโปรแกรมเข้ารหัสจำนวนมากใช้เทคโนโลยีนี้เพื่อ รักษาความปลอดภัย เช่น Pretty Good Privacy (PGP), Netscape Navigator หรือแม้แต่ Microsoft Internet Explorer เป็นต้น

3.การรักษาความปลอดภัยของข้อมูลส่วนบุคคล

                  ข้อมูลส่วนบุคคล เป็นเรื่องที่ในต่างประเทศให้ความสำคัญเป็นอย่างมาก หากผู้ใดไปล่วงละเมิดผู้เสียหายก็สามารถฟ้องร้องได้แต่ในเมืองไทยไม่ค่อยได้รับความสนใจรองข้อมูลส่วนบุคคลอีกด้วยทำให้กลายเป็นปัญหาของผู้ใช้งานเองที่จะต้องป้องกันการละเมิดข้อมูลส่วนบุคคลของตน

ประวัติบุคคลอิเล็กทรอนิกส์ (Electronic Profile)

                  ปัญหาในเรื่องประวัติบุคคลอิเล็กทรอนิกส์เป็นปัญหาสำคัญที่เกี่ยวข้องโดยตรงกับข้อมูลส่วนบุคคล โดยเมื่อผู้ใช้กรอกข้อมูลส่วนตัวลงในแบบฟอร์มต่าง ๆ เช่น การลงทะเบียน(Register)เพื่อสมัครขอใช้บริการทางอินเตอร์เน็ตข้อมูลส่วนบุคคลเหล่านี้จะถูกจัดเก็บลงในฐานข้อมูลซึ่งทางเว็บไซต์หรือผู้ดูแลเว็บไซต์จะต้องมีระบบรักษาความปลอดภัยให้กับข้อมูลส่วนบุคคลของผู้ใช้โดยต้องไม่อนุญาตให้ผู้ที่ไม่เกี่ยวข้องเข้าถึงข้อมูลเหล่านั้นได้ ตัวอย่างเช่น ผู้ใช้กรอกข้อมูลส่วนบุคคลลงในแบบฟอร์มการลงทะเบียนออนไลน์โดยที่ทุกเว็บไซต์ต้องมีการแสดงนโยบายสิทธิส่วนบุคคล (Privacy Policy) ให้ผู้ใช้ทราบ และต้องมีการยืนยันการเก็บรักษาข้อมูลส่วนบุคคล เงื่อนไข และข้อตกลงในการให้บริการCookiesเป็นไฟล์ข้อมูลขนาดเล็กที่เว็บเซิร์ฟเวอร์(WebServer)ใช้เก็บข้อมูลลงบนเครื่องคอมพิวเตอร์ของผู้ใช้  ไฟล์ Cookies จะมีข้อมูลต่าง ๆ เกี่ยวกับผู้ใช้ เช่น ชื่อผู้ใช้ สิทธิพิเศษต่าง ๆ หรือหมายเลขบัตรเครดิต เป็นต้น

                สำหรับเว็บไวต์ทางธุรกิจส่วนใหญ่จะมีการส่ง Cookies ไปยังเว็บบราวเซอร์ของผู้ใช้ จากนั้นคอมพิวเตอร์จะทำการจัดเก็บCookiesเหล่านั้นลงในหน่วยจัดเก็บของเครื่องคอมพิวเตอร์(ฮาร์ดดิสก์)เมื่อผู้ใช้กลับมาใช้งานเว็บไซต์ที่เว็บเพจนั้นอีกครั้งจะทำให้ทราบได้ว่าผู้ใช้คนใดเข้ามาในระบบและจัดเตรียมเพจที่เหมาะสมกับการใช้งานให้อัตโนมัติ วัตถุประสงค์ของเว็บไซต์ที่ใช้ Cookies มีดังนี้

                  - เว็บไซต์ส่วนใหญ่จะอนุญาตให้ผู้ใช้ที่เคยเข้ามายังเว็บไซต์นั้นแล้วเข้าใช้งานได้ทันที โดยตรวจสอบจาก Cookies ที่ถูกจัดเก็บอยู่ในเครื่องของผู้ใช้

                  - บางเว็บไซต์จะใช้ Cookies ในการจัดเก็บรหัสผ่านของผู้ใช้

                  - เว็บไซต์ด้านการซื้อขายแบบออนไลน์ (Online Shopping Site) ส่วนใหญ่จะใช้ Cookies เพื่อเก็บข้อมูลการเลือกซื้อสินค้าใน Shopping Cart

                  - ใช้ในการเก็บข้อมูลเกี่ยวกับผู้เข้าชมเว็บไซต์

                  แต่บางครั้งการเก็บ Cookies ก็มีโทษเหมือนกัน เนื่องจากใน Cookies มีข้อมูลส่วนบุคคลอยู่ หากมีผู้ไม่ประสงค์ดีเข้ามาโจรกรรมข้อมูลใน Cookies ไป ก็สามารถรับรู้ในข้อมูลนั้นได้ ดังนั้นเว็บบราวเซอร์จึงได้ให้ผู้ใช้สามารถกำหนดระดับการจัดเก็บ Cookies ได้ โดยอาจให้เว็บบราวเซอร์ทำการบันทึก Cookies ของทุกเว็บไซต์โดยอัตโนมัติ ไปจนถึงไม่อนุญาตให้มีการรับ Cookies จากเว็บไซต์ใด ๆ เลย

Spyware

                  เป็นโปรแกรมคอมพิวเตอร์ที่ถูกบรรจุลงบนเครื่องคอมพิวเตอร์ที่ผู้ใช้ไม่รู้ตัว โดยจะเข้าโจมตี ระบบรักษา ความปลอดภัย เพื่อเข้าถึงข้อมูลสารสนเทศที่เป็นความลับ เช่น Password หรือข้อมูลส่วนบุคคล ซึ่งโปรแกรม Spyware สามารถเข้าถึงคอมพิวเตอร์ได้ทั้งที่อยู่ในรูปแบบของไวรัสซึ่งอาจมาใน รูปของการติดตั้ง โปรแกรมใหม่ การดาวน์โหลดข้อมูลทางอินเตอร์เน็ตหรืออีเมล์ Spam

                  โปรแกรม Spyware จะมีการรับ – ส่งข้อมูลข่าวสารโดยผ่านการเชื่อมโยงแบบออนไลน์ กรณีที่เครื่องใดมี Spyware ติดตั้งอยู่จะสังเกตได้จากการมีกรอบโฆษณาปรากฏขึ้นมาบนหน้าจอขณะกำลังท่อง อินเตอร์เน็ต แต่ผู้ใช้สามารถกำจัด Spyware ออกไปจากเครื่องคอมพิวเตอร์ได้โดยใช้โปรแกรม                  Ad-aware ที่สามารถดาวน์โหลดได้ฟรีจาก www.lavasoftusa.com หรือโปรแกรม BPS SpyWare Remover ที่สามารถดาวน์โหลดได้ฟรีจาก fosi.ural.netโดยโปรแกรมดังกล่าวจะสแกนคอมพิวเตอร์และทำการย้ายไฟล์ ที่ไม่ต้องการนี้ออกไป

                   วิธีที่ดีที่สุดในการป้องกัน Spyware ก็คือระมัดระวังในการเลือกใช้ซอฟต์แวร์ฟรีโดยสามารถเข้าไปตรวจสอบซอฟต์แวร์ฟรีได้ที่เว็บไซต์ www.SpyChecker.com เพื่อตรวจสอบข้อมูลเกี่ยวกับ Spyware รวมทั้งฐานข้อมูลของผลิตภัณฑ์ที่มี Spyware ซ่อนอยู่ได้

Spam

                  อีเมล์ลักษณะหนึ่งที่ผู้รับไม่ต้องการ ซึ่งส่วนใหญ่จะเป็นอีเมล์ที่เกี่ยวกับการขายสินค้าหรือบริการ การส่งเสริมการขาย และการโฆษณาต่าง ๆ ทำให้ผู้ใช้เกิดความรำคาญ จุดประสงค์ของการใช้ Spam คือ การก่อกวนผู้รับเมล์เชิญชวนให้ซื้อสินค้า แนะนำเว็บทางการค้า หรือระบบเมล์ของเครือข่ายนั้น ๆ โดยผู้สร้าง Spam อาจเป็น Hacker ที่เขียนโปรแกรมเพื่อการค้าหรือนักเจาะระบบมือสมัครเล่นที่ชอบทดลองก็ได้ ซึ่งการส่ง Spam มานี้ถือว่าเป็นการละเมิดสิทธิส่วนบุคคล เนื่องจากไปเอา E-mail Address ของผู้ใช้มาจากเว็บไซต์อื่นโดยไม่ได้รับอนุญาตจากผู้ใช้สามารถป้องกันปัญหาที่เกิดขึ้นจาก Spam ได้ดังนี้

                  - รายงานกับ ISP หรือ Provider ที่ใช้บริการ เพื่อให้สกัดอีเมล์ที่มาจาก Domain นั้น ๆ

                  - ใช้ Filter สำหรับการกรองหรือค้นหาคำหรือข้อความ เช่น Money, Promote, Sell หรือ Cash เป็นต้น แล้วทำการลบอีเมล์เหล่านั้นทิ้งที่เซิร์ฟเวอร์เพื่อจะได้ไม่ต้องเสียเวลาดาวน์โหลด

                  - ไม่เปิดเผยอีเมล์ส่วนตัวในวงกว้าง โดยไม่จำเป็น

Employee Monitoring เป็นการติดตามการทำงานของพนักงาน โดยใช้โปรแกรมสำหรับสังเกตการณ์ บันทึกและตรวจสอบ การใช้งานคอมพิวเตอร์ในการติดต่อสื่อสารเช่นการเช็คอีเมล์ซึ่งปกติผู้ดูแลระบบ (Administrator)สามารถเข้าไปอ่านเนื้อหาในอีเมล์ได้อยู่แล้วการตรวจสอบการท่องเว็บไซต์ต่าง ๆ โดยใช้ซอฟต์แวร์ Win Route หรือ Microsoft Internet Security & Acceleration Server และการใช้ซอฟต์แวร์ในการเข้าถึงข้อมูลที่ แสดงอยู่บนหน้าจอ ของลูกจ้างหรือพนักงานอย่างเช่น PC Anywhere เป็นต้น บ่อยครั้งที่เกิดการโต้เถียง เกี่ยวกับความ เหมาะสมหรือไม่ ที่นายจ้างจะเข้าไปอ่านอีเมล์ของลูกจ้างโดยไม่ได้รับอนุญาตส่งผลให้บางองค์กร มีการประกาศเรื่อง กฎเกณฑ์ในการตรวจเช็คอีเมล์ของพนักงานหรือบางองค์กรที่ไม่มีกฎเกณฑ์นี้นายจ้างก็จะสามารถเข้าไปอ่านอีเมล์ของลูกจ้างโดยไม่มีการแจ้งให้ทราบล่วงหน้า

                  จากการสำรวจในประเทศสหรัฐอเมริกามากกว่า73%ที่นายจ้างจะเข้าไปอ่านไฟล์ข้อมูลและอีเมล์ของลูกจ้าง รวมทั้งการติดต่อกับเว็บไซต์ต่าง ๆ และ 25 % ที่มีการไล่ลูกจ้างออก หลังจากการใช้วิธีการนี้

กฏหมายข้อมูลส่วนบุคคล (Privacy Law)

                  ในปัจจุบันประเทศไทยยังไม่มีข้อกฏหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแต่ในต่าง ประเทศ มีหลาย ประเทศ เช่น สหรัฐอเมริกา อังกฤษ ฝรั่งเศส และญี่ปุน เป็นต้น ได้มีการกำหนดกฏหมายที่ใช้ใน การคุ้มครอง ข้อมูลส่วนบุคคล เพื่อประโยชน์ของประชาชนที่ไม่ต้องการใช้ผู้อื่นละเมิดข้อมูลที่ไม่ต้องการเปิดเผย โดยส่วนใหญ่จะมีสาระสำคัญเกี่ยวกับกฏหมายข้อมูลส่วนบุคคล ดังนี้

                  1.หลักการจัดเก็บรวบรวมสารสนเทศเกี่ยวกับขอบเขตข้อมูลส่วนบุคคลที่สำคัญ เป็นหน้าที่ขององค์กรหรือหน่วยงานต่าง ๆ ที่เกี่ยวข้องกับกิจกรรมนั้น ๆ

                  2.การจัดเก็บรวบรวมข้อมูลมีขอบเขตหรือข้อจำกัดในการเข้าถึงข้อมูลของพนักงานหรือลูกจ้าง โดยนายจ้างจะต้องมีการแจ้งล่วงหน้าก่อนการตรวจสอบ

                  3.ข้อมูลข่าวสารส่วนบุคคลที่มีความเกี่ยวข้องกับองค์กรภายนอก จะต้องได้รับความยินยอมก่อนที่จะมีการเปิดเผยข้อมูลเหล่านั้น

                  4.เมื่อสารสนเทศที่ทำการจัดเก็บไว้เป็นข้อมูลส่วนบุคคล โดยเจ้าของข้อมูลจะต้องรับทราบข้อมูลและสามารถกำหนดความถูกต้องของข้อมูลเหล่านั้น

แนวโน้มของระบบรักษาความปลอดภัยในอนาคต

                  ประมาณทศวรรษ 1970 ในช่วงเริ่มต้นของการพัฒนาคอมพิวเตอร์และระบบเครือข่าย โปรแกรมที่สามารถสร้างความเสียหายแก่ข้อมูลหรือเครื่องคอมพิวเตอร์จะถูกพัฒนาขึ้นอย่างต่อเนื่องควบคู่กับการพัฒนาของคอมพิวเตอร์โดยโปรแกรมเหล่านี้เป็นปัญหาสำหรับผู้ใช้คอมพิวเตอร์มาตลอดผู้เชี่ยวชาญเกี่ยวกับคอมพิวเตอร์กล่าวถึงปัญหาเกี่ยวกับความปลอดภัยของคอมพิวเตอร์ในอนาคตว่า“บุคคลและองค์กรต่างๆจะต้องใช้เงินจำนวนมาก

สำหรับการป้องกันอุปกรณ์ซอฟต์แวร์และข้อมูลในคอมพิวเตอร์”แนวโน้มของอาชญากรรมคอมพิวเตอร์ในอนาคตจะมีความรุนแรงมากขึ้นมีการผลิตซอฟต์แวร์สำหรับเจาะเข้าสู่ระบบฐานข้อมูล(Hack)เป็นจำนวนมากโปรแกรมไวรัสสายพันธุ์เดิมต่างๆถูกพัฒนาออกเป็นหลากหลายสายพันธุ์มีความรุนแรงและการทำงานที่แตกต่างจากเดิมนักพัฒนาและบริษัทผู้ผลิตซอฟต์แวร์ระบบรักษาความปลอดภัยสำหรับคอมพิวเตอร์มีการพัฒนาระบบป้องกันความ

ปลอดภัยสำหรับส่วนต่างๆของคอมพิวเตอร์และระบบเครือข่ายโดยปัจจุบันรูปแบบของการรักษาความปลอดภัยมีการออกแบบแยกการทำงานในแต่ละส่วนของระบบเครือข่าย เช่น Firewall หรือซอฟต์แวร์ป้องกันการโจมตีแบบ DoS เป็นต้น

                ในปัจจุบันรูปแบบของการโจมตีผ่านระบบเครือข่ายมีการพัฒนาขึ้น โดยมีรูปแบบที่ไม่มีใคร รู้จักสำหรับผู้ดูแลระบบแล้วปัญหานี้เป็นเรื่องที่ยากจะแก้ไขหรือติดตามหาบุคคลที่พยายามบุกรุกระบบแนวทางสำหรับพัฒนาระบบรักษาความปลอดภัยของคอมพิวเตอร์ในปัจจุบัน สามารถจำแนกรูปแบบการรักษา ความปลอดภัยออกเป็น ดังนี้

                  1. ระบบรักษาความปลอดภัยสำหรับเครื่องไคลเอ็นท์

                  2. ระบบป้องกันการโจรกรรมข้อมูล

                  3. เครื่องมือเข้ารหัส

                  4. ระบบป้องกันการเจาะข้อมูล

                  5. ระบบป้องกันแฟ้มข้อมูลส่วนบุคคล

                  6. ระบบรักษาความปลอดภัยสำหรับเครือข่าย

                  7. ระบบป้องกันไวรัส

                  ระบบต่างๆเหล่านี้มีรูปแบบและการทำงานที่แตกต่างกันสามารถทำงานได้อย่างมีประสิทธิภาพเนื่องจากมีหน้าที่ในแต่ละส่วนของระบบทำให้แยกกันทำงานและมีการเชื่อมโยงข้อมูลต่าง ๆ เกี่ยวกับการรักษาความปลอดภัยถึงกันได้

                  แนวโน้มในอนาคตคาดว่าระบบรักษาความปลอดภัยของคอมพิวเตอร์และสารสนเทศจะถูกแยกการทำงานออกเป็นหลายส่วนด้วยกันโดยจะทำงานแยกจากกันแต่สามารถเชื่อมโยงข้อมูลถึงกันได้ผู้ผลิตซอฟต์แวร์สำหรับรักษาความปลอดภัยส่วนใหญ่ให้ความสนใจกับแนวคิดนี้ และบางรายพัฒนาซอฟต์แวร์รุ่นใหม่ของตนให้เป็น ไปในรูปแบบนี้แล้ว เช่น Sybase ผู้ผลิต Norton AntiVirus และ Norton Utility เป็นต้น