1 / 58

วัตถุประสงค์

ความปลอดภัยบนเครือข่าย และเทคนิคการเข้ารหัส ( Network Security and Cryptography ). วัตถุประสงค์. 1. สามารถนำมาตรฐานความปลอดภัยขั้นพื้นฐานที่เหมาะสมมาประยุกต์ใช้ได้จริง 2. สามารถอธิบายรายละเอียดการโจมตีระบบด้วยวิธีต่างๆ ได้อย่างถูกต้อง 3. เข้าใจเทคนิคพื้นฐานของการเข้ารหัส และการถอดรหัสข้อมูล

iona-daniel
Télécharger la présentation

วัตถุประสงค์

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ความปลอดภัยบนเครือข่ายและเทคนิคการเข้ารหัส(Network Security and Cryptography)

  2. วัตถุประสงค์ 1. สามารถนำมาตรฐานความปลอดภัยขั้นพื้นฐานที่เหมาะสมมาประยุกต์ใช้ได้จริง 2. สามารถอธิบายรายละเอียดการโจมตีระบบด้วยวิธีต่างๆ ได้อย่างถูกต้อง 3. เข้าใจเทคนิคพื้นฐานของการเข้ารหัส และการถอดรหัสข้อมูล 4. บอกศัพท์เทคนิคเกี่ยวกับคริพโตกราฟีได้ 5. สามารถนำเทคนิคการเข้ารหัสด้วยวิธีต่างๆ ไปประยุกต์กับการเขียนโปรแกรมได้ 6. เข้าใจหลักการเข้ารหัสกุญแจสาธารณะ ลายเซ็นดิจิตอลและ PGP 7. อธิบายหลักการทำงานของไฟร์วอลล์ และบอกชนิดของไฟร์วอลล์ได้

  3. มาตรฐานความปลอดภัยขั้นพื้นฐานมาตรฐานความปลอดภัยขั้นพื้นฐาน เนื่องจากเครือข่ายอินเทอร์เน็ตเป็นระบบเครือข่ายสาธารณะทุกๆ คนสามารถเข้าถึงและ ใช้งานได้อย่างไม่จํากัดทําให้มีกลุ่มผู้ใช้บางคนที่มีเป้าหมายแตกต่างจากบุคคลทั่วไป เช่น ต้องการขัดขวาง หรือทําลายระบบไม่ให้ใช้งานได้ลักลอบขโมยข้อมูล หรือล้วงความลับทาง ราชการเรียกบุคคลเหล่านี้ว่า แฮกเกอร์ (Hacker) ดังนั้นระบบคอมพิวเตอร์ทุกระบบ จำเป็นต้องมีมาตรการความปลอดภัยขั้นพื้นฐาน เช่น โปรแกรมป้องกันไวรัส การล็อกเครื่องคอมพิวเตอร์เพื่อป้องกันไม่ให้ผู้อื่นมาใช้เครื่อง สิ่ง เหล่านี้จัดเป็นการป้องกันความปลอดภัย ซึ่งมีหลากหลายวิธีให้เลือกใช้ได้ตามความเหมาะสม

  4. มาตรฐานความปลอดภัยขั้นพื้นฐานมาตรฐานความปลอดภัยขั้นพื้นฐาน • ความปลอดภัยบนสภาพแวดล้อมภายนอก (External Security) • เป็นลักษณะทางกายภาพที่มองเห็นด้วยตา ความปลอดภัยชนิดนี้จะเกี่ยวข้องกับ • สภาพแวดล้อม และภาพรวมของอุปกรณ์เป็นสําคัญ ประกอบด้วย • ห้องศูนย์บริการคอมพิวเตอร์ จะต้องปิดประตู และใส่กลอนเสมอ เพื่อป้องกัน • บุคคลภายนอกหรือขโมยเข้าไปขโมยอุปกรณ์ • การจัดวางสายเคเบิลต่างๆ จะต้องมิดชิด เรียบร้อย เนื่องจากอาจทําให้ผู้อื่นสะดุดล้ม • ทําให้เกิดบาดเจ็บ หรือสายเคเบิลขาดได้ • การยึดอุปกรณ์ให้อยู่กับที่ เพื่อป้องกันการเคลื่อนย้ายและป้องกันผู้ ไม่หวังดีขโมย • อุปกรณ์

  5. มาตรฐานความปลอดภัยขั้นพื้นฐานมาตรฐานความปลอดภัยขั้นพื้นฐาน

  6. มาตรฐานความปลอดภัยขั้นพื้นฐานมาตรฐานความปลอดภัยขั้นพื้นฐาน

  7. มาตรฐานความปลอดภัยขั้นพื้นฐานมาตรฐานความปลอดภัยขั้นพื้นฐาน • เครื่องปรับอากาศ ควรปรับให้มีอุณหภูมิเย็นในระดับพอเหมาะ เพราะความร้อนเป็น • ปัจจัยที่ส่งผลต่ออายุการใช้งานของอุปกรณ์อิเล็กทรอนิกส์ • ควรมีระบบป้องกันทางไฟฟ้า เพราะกระแสไฟฟ้าที่ไม่คงที่ จะส่งผลต่ออุปกรณ์ • อิเล็กทรอนิกส์โดยตรง ดังนั้นควรมีอุปกรณ์กรองสัญญาณไฟฟ้าที่ช่วยปรับ กระแสไฟฟ้าที่จ่ายไปให้มีแรงดันคงที่ และอยู่ในระดับที่เหมาะสม และยังป้องกันไฟตก ไฟกระชาก • การป้องกันภัยธรรมชาติ แผ่นดินไหว อุทกภัยหรืออัคคีภัย สามารถป้องกันได้ด้วยการ • ออกแบบเครือข่าย โดยติดตั้งเครื่องเซิร์ฟเวอร์ให้มีระบบสําเนาข้อมูลแบบสมบูรณ์ และเครื่องสําเนาระบบนี้อาจจะติดตั้งในที่ที่ปลอดภัย UPS

  8. มาตรฐานความปลอดภัยขั้นพื้นฐานมาตรฐานความปลอดภัยขั้นพื้นฐาน • ความปลอดภัยด้านการปฏิบัติงาน (Operational Security) • เป็นเรื่องที่เกี่ยวข้องกับการกําหนดระดับความสามารถในการเข้าถึงข้อมูลของบุคคลต่างๆ • ภายในองค์กรตามนโยบายที่ผู้บริหารระดับสูงกําหนด เช่น องค์กรขนาดใหญ่ที่มีพนักงาน • จํานวนมาก จะต้องมีการกําหนดระดับการเข้าใช้งานของผู้ใช้แต่ละฝ่าย ตัวอย่างเช่น • ฝ่ายขาย จะไม่มีสิทธิในการเข้าถึงข้อมูลเงินเดือนของฝ่ายการเงิน • พนักงานที่ทํางานด้านเงินเดือน จะสามารถเข้าถึงข้อมูลเงินเดือนได้แต่ไม่มีสิทธิในการ • แก้ไขเปลี่ยนแปลงข้อมูลเงินเดือนได้ • ผู้จัดการฝ่ายการเงิน สามารถเข้าถึงข้อมูลของฝ่ายอื่นๆ ได้ แต่อาจมีข้อจํากัด คือ • สามารถเรียกดูข้อมูลได้เพียงอย่างเดียว แต่ไม่สามารถแก้ไขได้

  9. มาตรฐานความปลอดภัยขั้นพื้นฐานมาตรฐานความปลอดภัยขั้นพื้นฐาน การตรวจเฝ้าระวัง (Surveillance) ผู้บริหารเครือข่ายจําเป็นต้องมีมาตรการหรือการตรวจตราเฝ้าระวัง เพื่อมิให้ระบบ คอมพิวเตอร์ถูกทําลาย หรือถูกขโมย ดังนั้นศูนย์คอมพิวเตอร์บางที่จึงมีการติดตั้ง กล้องโทรทัศน์วงจรปิดตามจุดสําคัญต่างๆ ซึ่งเทคนิคนี้สามารถใช้งานได้ดี ซึ่งจะป้องกันบุคคล ภายในที่ต้องการลักลอบขโมยข้อมูล ก็จะทําให้ดําเนินการได้ยากขึ้น เนื่องจากมีกล้องคอยดู อยู่ตลอดเวลา แต่วิธีนี้ก็ไม่ดี ในกรณีด้านการละเมิดสิทธิ์ส่วนบุคคล ซึ่งต้องขึ้นอยู่กับความ เหมาะสมและกฎหมายของแต่ละประเทศ นอกจากการใช้กล้องวงจรปิดแล้ว ยังมีวิธีอื่นๆ เช่น การส่งสัญญาณไปยังมือถือ หรือเพจเจอร์ เพื่อรายงานเหตุการณ์ฉุกเฉินไปยังเจ้าหน้าที่ทันที

  10. มาตรฐานความปลอดภัยขั้นพื้นฐานมาตรฐานความปลอดภัยขั้นพื้นฐาน การใช้รหัสผ่านและระบบแสดงตัวตน (Passwords and ID Systems) การใช้รหัสผ่าน เป็นมาตรการหนึ่งของความปลอดภัยขั้นพื้นฐานที่นิยมใช้มานานแล้ว อย่างไรก็ตาม รหัสผ่านที่เป็นความลับ อาจจะไม่เป็นความลับหากรหัสผ่านดังกล่าวถูกผู้อื่น ล่วงรู้ และนําไปใช้ในทางมิชอบในการกําหนดรหัสผ่านยังมีกระบวนการที่สามารถนํามา ควบคุมและสร้างข้อจํากัดเพื่อความปลอดภัยยิ่งขึ้น เช่น การกําหนดอายุการใช้งานของ รหัสผ่านการบังคับให้ตั้งรหัสผ่านใหม่เมื่อครบระยะเวลา การกําหนดให้ตั้งรหัสผ่านที่ยากต่อ การคาดเดา

  11. มาตรฐานความปลอดภัยขั้นพื้นฐานมาตรฐานความปลอดภัยขั้นพื้นฐาน ในบางหน่วยงานที่มีความต้องการความปลอดภัยในระดับที่สูงขึ้น จึงมีระบบแสดงตัวตน ด้วยการใช้หลักการของคุณสมบัติทางกายภาพของแต่ละบุคคลที่มีความแตกต่างกัน และไม่ สามารถซ้ำหรือ ลอกเลียนกันได้ ที่เรียกว่า ไบโอเมตริก (Biometric)เช่น เครื่องอ่าน ลายนิ้วมือ และเครื่อง อ่านเลนส์ม่านตา

  12. มาตรฐานความปลอดภัยขั้นพื้นฐานมาตรฐานความปลอดภัยขั้นพื้นฐาน retina scanner finger scanner

  13. มาตรฐานความปลอดภัยขั้นพื้นฐานมาตรฐานความปลอดภัยขั้นพื้นฐาน การตรวจสอบ (Auditing) การตรวจสอบระบบคอมพิวเตอร์ เป็นแนวทางหนึ่งในการป้องกันผู้ไม่หวังดีที่พยายามเข้า มาในระบบ โดยระบบตรวจสอบส่วนใหญ่มักใช้ซอฟต์แวร์ในการบันทึกข้อมูล และตรวจสอบ เฝ้าระวังทุกๆ ทรานแซกชั่นที่เข้ามายังระบบ โดยแต่ละทรานแซกชั่นจะมีการบันทึกข้อมูล ต่างๆ ไว้เป็นหลักฐาน และจัดเก็บไว้ในรูปแบบของไฟล์ หรือเรียกว่า Log File จะเก็บ รายละเอียดเกี่ยวกับวันที่ และเจ้าของทรานแซกชั่น หรือบุคคลที่เข้ามาใช้งาน ซึ่งสิ่งเหล่านี้ สามารถตรวจสอบย้อนหลังได้ว่า แต่ละวันมีทรานแซกชั่นจากที่ไหนบ้างเข้ามาใช้งานระบบ ทําให้ผู้ดูแลระบบเครือข่ายสามารถสังเกตพฤติกรรมของเจ้าของทรานแซกชั่นได้

  14. มาตรฐานความปลอดภัยขั้นพื้นฐานมาตรฐานความปลอดภัยขั้นพื้นฐาน Log File

  15. มาตรฐานความปลอดภัยขั้นพื้นฐานมาตรฐานความปลอดภัยขั้นพื้นฐาน การกำหนดสิทธิ์การใช้งาน (Access Rights) เนื่องจากระบบคอมพิวเตอร์และเครือข่ายคอมพิวเตอร์ อนุญาตให้ผู้ใช้มากกว่าหนึ่งคน สามารถเข้าถึงทรัพยากรที่มีอยู่ในระบบ เช่น ไฟล์เครื่องพิมพ์ ซึ่งทําให้ต้องมีการกําหนดสิทธิ์ การใช้งานทรัพยากรบนเครือข่ายโดยการกําหนดสิทธิ์การใช้งานนั้น จะกําหนดโดยผู้บริหาร เครือข่าย และจะพิจารณาปัจจัย 2 ปัจจัยคือ ใคร และอย่างไร โดยที่ - ใคร (Who) หมายถึง ควรกําหนดสิทธิ์การใช้งานให้ใครบ้าง - อย่างไร (How) หมายถึง เมื่อได้รับสิทธิ์ในการใช้งานแล้ว จะกําหนดให้บุคคลนั้นๆ สามารถ เข้าถึงข้อมูลได้อย่างไร เช่น สามารถอ่านได้อย่างเดียวสามารถเขียนหรือบันทึกได้ สามารถ พิมพ์งานผ่านระบบเครือข่ายได้

  16. มาตรฐานความปลอดภัยขั้นพื้นฐานมาตรฐานความปลอดภัยขั้นพื้นฐาน

  17. มาตรฐานความปลอดภัยขั้นพื้นฐานมาตรฐานความปลอดภัยขั้นพื้นฐาน การป้องกันไวรัส (Guarding Against Viruses) ไวรัสคอมพิวเตอร์ เป็นโปรแกรมขนาดเล็กที่จะเข้าไปแก้ไขเปลี่ยนแปลงการทํางานของ เครื่องคอมพิวเตอร์ ทําให้คอมพิวเตอร์เกิดปัญหาต่างๆ ซึ่งปัญหาจะร้ายแรงมากน้อยเพียงใด นั้น ขึ้นอยู่กับไวรัสคอมพิวเตอร์แต่ละชนิดไวรัสบางชนิดก็ไม่ได้มุ่งร้ายต่อข้อมูล แต่เพียงแค่ สร้างความยุ่งยากและความรําคาญให้กับผู้ใช้ในขณะที่ไวรัสบางตัวจะมุ่งร้ายต่อข้อมูล โดยเฉพาะ ซึ่งผลลัพธ์อาจส่งผลต่อความเสียหายในระบบคอมพิวเตอร์ได้

  18. มาตรฐานความปลอดภัยขั้นพื้นฐานมาตรฐานความปลอดภัยขั้นพื้นฐาน การป้องกันไวรัส (Guarding Against Viruses) จากการที่ในปัจจุบันมีไวรัสจํานวนมากมาย และเกิดสายพันธ์ใหม่ๆ ทุกวันดังนั้น คอมพิวเตอร์ทุกเครื่องจึงจําเป็นต้องมีการติดตั้งโปรแกรมป้องกันไวรัส เพื่อตรวจจับไวรัสจาก ไฟล์ข้อมูล และโปรแกรมต่างๆ และที่สําคัญโปรแกรมป้องกันไวรัสจําเป็นที่จะต้องมีการ อัพเดทผ่านทางอินเทอร์เน็ตเสมอ เพื่อให้โปรแกรมสามารถตรวจจับไวรัสสายพันธ์ใหม่ๆ ได้

  19. มาตรฐานความปลอดภัยขั้นพื้นฐานมาตรฐานความปลอดภัยขั้นพื้นฐาน

  20. วิธีการโจมตีระบบ (System Attacks Method) การโจมตีระบบเครือข่ายมีความเป็นไปได้เสมอ โดยเฉพาะเครือข่ายที่มีการเชื่อมต่อเข้ากับ เครือข่ายภายนอก หรืออินเทอร์เน็ต ซึ่งการโจมตีมีอยู่หลายวิธี ดังนี้ 1. การโจมตีเพื่อเจาะระบบ (Hacking Attacks) 2. การโจมตีเพื่อปฏิเสธการให้บริการ(Denial of Service Attacks : DoS) 3. การโจมตีแบบไม่ระบุเป้าหมาย (Malwares Attacks)

  21. วิธีการโจมตีระบบ (System Attacks Method) 1. การโจมตีเพื่อเจาะระบบ (Hacking Attacks) เป็นการมุ่งโจมตีเป้าหมายที่มีการระบุไว้อย่างชัดเจน เช่น การเจาะระบบเพื่อเข้าสู่ระบบ เครือข่ายภายใน ให้ได้มาซึ่งข้อมูลความลับ ซึ่งเมื่อเจาะระบบได้แล้ว จะทําการคัดลอกข้อมูล เปลี่ยนแปลงข้อมูล และทําลายข้อมูล รวมถึงติดตั้งโปรแกรมไม่พึงประสงค์ เพื่อให้เข้าไป ทําลายข้อมูลภายในให้เสียหาย

  22. วิธีการโจมตีระบบ (System Attacks Method) 2. การโจมตีเพื่อปฏิเสธการให้บริการ (Denial of Service Attacks : DoS) เป็นการมุ่งโจมตีเพื่อให้คอมพิวเตอร์หรือระบบเครือข่ายหยุดการตอบสนองงานบริการใดๆ เช่น หากเซิร์ฟเวอร์ถูกโจมตีด้วย DoS แล้ว จะอยู่ในสภาวะที่ไม่สามารถให้บริการทรัพยากรใดๆ ได้ และเมื่อไคลเอนต์พยายามติดต่อ ก็จะถูกขัดขวาง และปฏิเสธการให้บริการ เช่น การส่งเมล์ บอมบ์ การส่งแพ็กเก็ตจํานวนมาก หรือการแพร่ระบาดของหนอนไวรัสบนเครือข่าย

  23. วิธีการโจมตีระบบ (System Attacks Method) • วิธีการ DoS (Denial of Service) ที่เป็นที่นิยมในปัจจุบัน • SYN Flood Attack คือการส่ง Packet TCP/SYN โดยใช้ IP ที่ไม่มีอยู่จริง • Mail Bomb คือการส่ง Mail ที่มีขนาดใหญ่เป็นจำนวนมากเข้าไปเพื่อให้เนื้อที่ใน Mail box เต็ม • Smurf Attack คือการส่งปลอม IP address เป็นของเครื่องเป้าหมายแล้วจึงส่ง Packet ping • เข้าไปBroadcast Address เพื่อให้กระจาย Packet เข้าไปทุกเครื่องแล้วหลังจากนั้นเมื่อทุกเครื่องได้รับแล้วจึงตอบ Packet ไปหาเครื่องเป้าหมายซึ่งอาจเกิด Buffer Overflow ได้ • FraggleAttack เหมือนกับ Smurf Attack แต่เปลี่ยนเป็นใช้ Packet ของ UDP แทน • Ping of Death คือการส่ง Packet Ping ที่มีขนาดใหญ่เกินกว่าปกติเข้าไปที่เครื่องเป้าหมาย • Teardrop Attack คือการส่ง Packet ที่ไม่สามารถประกอบได้ไปให้เครื่องเป้าหมายเพื่อให้เกิด • ความสับสน • ICMP Flood Attack คือการส่ง Packet Ping เข้าไปที่เครื่องเป้าหมายเป็นจำนวนมาก

  24. วิธีการโจมตีระบบ (System Attacks Method) 3. การโจมตีแบบไม่ระบุเป้าหมาย (Malware Attacks) คําว่า Malware เป็นคําที่ใช้เรียกกลุ่มโปรแกรมจําพวกไวรัสคอมพิวเตอร์ เช่น หนอนไวรัส (Worm), โทรจัน (Trojan), สปายแวร์ (Spyware) และแอดแวร์ (Adware) ที่สามารถ แพร่กระจายแบบอัตโนมัติไปทั่วเครือข่ายโดยมีจุดประสงค์ร้ายโดยการแพร่โจมตีแบบหว่านไป ทั่ว ไม่เจาะจง เช่น การส่งอีเมล์ที่แนบไวรัสคอมพิวเตอร์ กระจายไปทั่วเมลบ็อกซ์ หากมีการ เปิดอีเมล์ขึ้นและไม่มีการป้องกันระบบเครือข่ายที่ดีพอ จะทําให้ไวรัสสามารถแพร่กระจายไป ยังเครือข่ายภายในขององค์กรทันที

  25. เทคนิคพื้นฐานการเข้ารหัสข้อมูลและการถอดรหัสข้อมูลเทคนิคพื้นฐานการเข้ารหัสข้อมูลและการถอดรหัสข้อมูล การเข้ารหัสข้อมูล (Encrypt) ก่อนที่จะส่งไปยังปลายทาง หากปลายทางได้รับข้อมูลและไม่มี รหัสถอดข้อมูล (Decrypt) ก็จะไม่สามารถนำข้อมูลเหล่านี้ไปใช้งานได้ ซึ่งเทคนิควิธีต่างๆ ที่ใช้ สำหรับการเข้ารหัสและการถอดรหัสข้อมูลนี้เราเรียกว่า คริพโตกราฟี (Cryptography) โดย แนวคิดพื้นฐานของคริพโตกราฟีก็คือ การจะจัดการกับข้อมูลว่าวสารนี้อย่างไร เพื่อให้อ่านไม่ออกหรือไม่รู้เรื่อง

  26. เทคนิคพื้นฐานการเข้ารหัสข้อมูลและการถอดรหัสข้อมูลเทคนิคพื้นฐานการเข้ารหัสข้อมูลและการถอดรหัสข้อมูล คริพโตกราฟี เป็นทั้งศาสตร์และศิลป์ที่ได้รวมหลักการและกรรมวิธีของการแปลงรูป (Transforming) ข่าวสารต้นฉบับให้อยู่ในรูปแบบของข่าวสารที่ได้รับการเข้ารหัส และการนำ ข่าวสารนี้ไปใช้งาน จะต้องได้รับการแปลงรูปใหม่ (Retransforming) เพื่อให้กลับมาเป็น ข่าวสารเหมือนต้นฉบับ ดั้งนั้นหากผู้รับได้ข้อมูลไปและไม่มีโปรแกรมถอดรหัส ก็จะไม่สามารถ นำข้อมูลเหล่านั้นไปใช้งานได้ เนื่องจากอ่านไม่รู้เรื่อง โดยศัพท์เทคนิคพื้นฐานที่เกี่ยวกับ คริพโตกราฟีประกอบด้วย - เพลนเท็กซ์ หรือเคลียร์เท็กซ์ (Plaintext/Cleartext) ข้อมูลต้นฉบับ - อัลกอริทึมในการเข้ารหัส (Encryption Algorithm) วิธีการที่นำมาใช้แปลงข้อมูล ต้นฉบับให้อยู่ในรูปแบบข้อมูลที่ได้รับการเข้ารหัส - ไซเฟอร์เท็กซ์ (Ciphertext) ข้อมูลต้นฉบับที่ได้รับการเข้ารหัสแล้ว - คีย์ (Key) เป็นกุญแจเฉพาะที่ใช้ร่วมกับอัลกอริทึมในการเข้ารหัสเพื่อสร้างไซเฟอร์เท็กซ์ รวมถึงการถอดรหัสจากไซเฟอร์เท็กซ์กลับมาเป็นเพลนเท็กซ์

  27. เทคนิคพื้นฐานการเข้ารหัสข้อมูลและการถอดรหัสข้อมูลเทคนิคพื้นฐานการเข้ารหัสข้อมูลและการถอดรหัสข้อมูล สำหรับเทคนิคหรือแนวทางในการเข้ารหัสข้อมูล เพื่อแปลงเพลนเท็กซ์ไปเป็นไซเฟอร์ เท็กซ์ สามารถแบ่งออกได้เป็น 2 เทคนิควิธี คือ 1. เทคนิคการแทนที่ (Substitution Techniques) 2. เทคนิคการสับเปลี่ยน (Transposition Techniques)

  28. เทคนิคการแทนที่ (Substitution Techniques) 1. การเข้ารหัสด้วยวิธีการแทนที่แบบโมโนอัลฟาเบติก (Monoalphabetic Substitution- Based Cipher) เป็นเทคนิคการเข้ารหัสข้อมูลอย่างง่าย ด้วยใช้วิธีการแทนที่ข้อความหรืออักขระเดิมให้ เป็นอีกข้อความหรืออักขระหนึ่ง ซึ่งได้มีการจับคู่ไว้เป็นที่เรียบร้อยแล้ว กล่าวคือแต่ละตัวอักขระ ของเพลนเท็กซ์จะมีการจับคู่กับตัวอักขระที่ผ่านการไซเฟอร์ เช่น how about lunch at noon เข้ารหัสแล้วจะได้ EGV POGNM KNHIE PM HGGH

  29. เทคนิคการแทนที่ (Substitution Techniques) 2. การเข้ารหัสด้วยวิธีการแทนที่แบบโพลีอัลฟาเบติก (Polyalphabetic Substitution- Based Cipher) วิธีการ คือ จะมีคีย์เข้ามาเกี่ยวข้อง และจะใช้เมตริกซ์เข้ามาช่วย ตัวอย่าง เช่น กำหนดคีย์ให้เป็นคำว่า COMPUTER SCIENCE ในการเข้ารหัสให้ดูที่ตัวอักษรแต่ละตัวในเพลนเท็กซ์เพื่อนำไปเทียบกับคีย์ว่าตรงกับคีย์ใด เช่น ตัวแรกของเพลนเท็กซ์คือ ตัวอักษร t โดยที่ tจะตรงกับคีย์ Cดังนั้นก็จะไปยังคอลัมน์ Tแถวที่ Cก็จะได้ตัวอักษรที่ผ่านการเข้ารหัสคือ V

  30. เทคนิคการแทนที่ (Substitution Techniques) Polyalphabetic Substitution-Based Cipher Plaintext ดูแนวนอน จากโจทย์ Plaintextคือ THISC Keyคือ COMPU จากโจทย์ Plaintext ที่เข้ารหัส จาก Keyแล้ว จะได้อักษรคือ VVUHW Keyword ดูแนวตั้ง

  31. เทคนิคการแทนที่ (Substitution Techniques) EX. ให้นักศึกษา เข้ารหัส จากข้อความนี้ HELLOWORLDOKโดย ใช้คีย์ DATACOMMU จงแปลงเป็น Ciphertext ด้วยวิธีการแทนที่แบบโพลีอัลฟาเบติก Ciphertext ที่ได้คือ KE….

  32. เทคนิคการสับเปลี่ยน (Transposition Techniques) 1. การเข้ารหัสด้วยวิธีการสับเปลี่ยนแบบเรลเฟ็นซ์ (Rail Fence Transposition Cipher) เป็นการเข้ารหัสอย่างง่าย โดยจะเข้ารหัสในลักษณะ Row by Row หรืออาจเรียกว่า วิธี ซิกแซ็ก (Zigzag) ก็ได้ Data communication dtcmuiainaaomncto

  33. เทคนิคการสับเปลี่ยน (Transposition Techniques) 2. การเข้ารหัสด้วยวิธีการสับเปลี่ยนแบบคอลัมน์ (Columnar Transposition Cipher) เป็นวิธีเข้ารหัสที่มีประสิทธิภาพวิธีหนึ่ง โดยจะใช้ร่วมกับคีย์ที่กำหนดขึ้น เช่น COMPUTER เป็นคีย์ และด้วยคีย์ที่กำหนดขึ้นมานี้ต้องไม่มีตัวอักษรใดที่ซ้ำกันเลย การใช้ เทคนิคการเข้ารหัสด้วยวิธีนี้ จะทำให้ตัวอักษรเดียวกันเมื่อผ่านการเข้ารหัสแล้วจะไม่มีการซ้ำ กัน ทำให้ถอดรหัสได้ยาก การกำหนดคีย์

  34. เทคนิคการสับเปลี่ยน (Transposition Techniques) 2. การเข้ารหัสด้วยวิธีการสับเปลี่ยนแบบคอลัมน์ (Columnar Transposition Cipher) การกำหนดคีย์

  35. เทคนิคการสับเปลี่ยน (Transposition Techniques) Plaintext : “this is the best class I have ever taken“ Ciphertext : “tesvtleeieirhbsesshthaenscvkitaa“ KEY

  36. การเข้ารหัสกุญแจสาธารณะ (Public Key Cryptography) เป็นเทคนิคการเข้ารหัสในอดีต ใช้กุญแจในการเข้ารหัสและถอดรหัสในตัวเดียวกัน เรียกวิธีนี้ว่า ระบบการเข้ารหัสแบบซิมเมตริก (Symmetric Cryptosystems) คือจะมีกุญแจในการเข้ารหัส และถอดรหัสในดอกเดียวกันทั้งฝั่งรับและส่ง หากกุญแจถูกขโมยไป ก็จะสามารถนำมา ถอดรหัสได้ อ้างอิง :: http://www.ca.tot.co.th/Default.aspx?tabid=7876

  37. การเข้ารหัสกุญแจสาธารณะ (Public Key Cryptography) อีกวิธี เรียกว่า ระบบการเข้ารหัสแบบอะซิมเมตริก (Asymmetric Cryptosystems) โดยจะมี กุญแจสองดอก ดอกแรกใช้สำหรับเข้ารหัส (Public Key) ดอกที่สองใช้ถอดรหัส (Private Key) และกุญแจที่ใช้เข้ารหัสจะนำมาถอดรหัสไม่ได้ โดยกุญแจทั้งสองดอกนี้จะใช้งานควบคู่กันเสมอ โดยกุญแจ Public Key จะเป็นกุญแจที่เจ้าของสามารถแจกจ่ายให้กับบุคคลใดๆ ที่ต้องการ สื่อสาร ส่วนกุญแจ Private Key เจ้าของจะเก็บไว้ส่วนตัวไม่เผยแพร่ให้กับใคร อ้างอิง :: http://www.ca.tot.co.th/Default.aspx?tabid=7876

  38. ลายเซ็นดิจิตอล (Digital Signatures) ใช้ในการระบุตัวบุคคลเพื่อแสดงถึงเจตนาในการยอมรับเนื้อหาในสัญญานั้น ๆ และป้องกันการปฏิเสธความรับผิดชอบ เพิ่มความน่าเชื่อถือในการทำธุรกรรมร่วมกัน กระบวนการสร้างและลงลายเซ็นดิจิทัล 1. นำเอาข้อมูลอิเล็กทรอนิกส์ต้นฉบับ (ในรูปแบบของ file) ที่จะส่งไปนั้นมาผ่านกระบวนการทางคณิตศาสตร์ที่เรียกว่า ฟังก์ชันย่อยข้อมูล (Hash Function) เพื่อให้ได้ข้อมูลที่สั้น เช่นเดียวกับการเข้ารหัสข้อมูลอีกชั้นหนึ่ง ซึ่งข้อมูลจะอ่านไม่รู้เรื่อง จากนั้นก็นำข้อมูลดังกล่าวมาทำการเข้ารหัส (Encryption) อีกที 2. ทำการ “เข้ารหัสด้วยกุญแจส่วนตัวของผู้ส่ง” เรียกขั้นตอนนี้ว่า “Digital Signature”

  39. ลายเซ็นดิจิตอล (Digital Signatures) 3. ส่ง Digital Signature ไปพร้อมกับข้อมูลต้นฉบับตามที่ระบุในข้อ 1 เมื่อผู้รับๆ ก็จะตรวจสอบว่าข้อมูลนั้นถูกแก้ไขระหว่างทางหรือไม่ โดยนำข้อมูลต้นฉบับที่ได้รับมาผ่านกระบวนการย่อยด้วย ฟังก์ชันย่อยข้อมูล (Hash Function) จะได้ข้อมูลที่ย่อยแล้ว เช่นเดียวกับการคลายข้อมูลที่ถูกบีบอัดอยู่ 4. นำ Digital Signature มาทำการถอดรหัสด้วย “กุญแจสาธารณะของผู้ส่ง (Public Key) ก็จะได้ข้อมูลที่ย่อยแล้วอีกอันหนึ่ง จากนั้นเปรียบเทียบข้อมูลที่ย่อยแล้ว ที่อยู่ในข้อ3และข้อ 4 ถ้าข้อมูลเหมือนกันก็แสดงว่าข้อมูลไม่ได้ถูกแก้ไขระหว่างการส่ง

  40. ลายเซ็นดิจิตอล (Digital Signatures)

  41. ไฟร์วอลล์ (Firewall) ไฟร์วอลล์ใช้สําหรับป้องกันผู้บุกรุกบนอินเทอร์เน็ต ซึ่งเป็นบุคคลที่ไม่มีสิทธิ์ในการเข้าถึงระบบเครือข่ายส่วนบุคคล แต่ต้องการมุ่งโจมตีหรือประสงค์ร่ายต่อระบบอุปกรณ์ไฟร์วอลล์ อาจเป็นเร้าเตอร์ เกตเวย์ หรือคอมพิวเตอร์ที่ติดตั้ง ซอฟต์แวร์ไฟร์วอลล์ ซึ่งทําหน้าที่ตรวจสอบ ติดตามแพ็กเก็ตที่เข้าออกระบบเพื่อป้องกันการเข้าถึงเครือข่ายหน้าที่ของไฟร์วอลล์ จะอนุญาตให้ผู้มีสิทธิ์ หรือมีบัตรผ่านเท่านั้นที่จะเข้าถึงเครือข่ายทั้งสองฝั่ง โดยจะมีการป้องกันบุคคลภายนอกที่ไม่ต้องการให้เข้าถึงระบบ รวมถึงการป้องกันบุคคลภายในไม่ให้เข้าไปยังบางเว็บไซต์ที่ไม่ต้องการอีกด้วย Firewall ประเภท ฮาร์ดแวร์ Firewall ประเภท ซอฟต์แวร์

  42. ไฟร์วอลล์ (Firewall) การทำงานของไฟร์วอลล์สามารถแบ่งออกเป็น 3 ประเภท คือ 1. แพ็กเก็ตฟิลเตอร์ (Packet Filter) จะทํางานในระบบชั้นสื่อสารเน็ตเวิร์ก ปกติหมายถึง เร้าเตอรที่สามารถทําการโปรแกรม เพื่อกลั่นกรองหมายเลขไอพีหรือ หมายเลขพอร์ต TCP ที่ได้รับอนุญาตเท่านั้น ซึ่งเป็นวิธีการที่ง่ายและรวดเร็ว Packet Filter

  43. ไฟร์วอลล์ (Firewall) แพ็กเก็ตฟิลเตอร์ (Packet Filter) ข้อดี • ไม่ขึ้นกับแอพพลิเคชัน • มีความเร็วสูง • รองรับการขยายตัวได้ดี ข้อเสีย • บางโปรโตคอลไม่เหมาะสมกับการใช้ Packet Filtering เช่น FTP • ความปลอดภัยต่า

  44. ไฟร์วอลล์ (Firewall) 2. พร็อกซีเซิร์ฟเวอร์หรือแอปพลิเคชั่นเกตเวย์ (Proxy Server/Application Gateway) จะทํางานในระบบชั้นสื่อสารแอปพลิเคชั่น ซึ่งการทํางานมีความซับซ้อนกว่าแบบแพ็กเก็ตฟิลเตอร์มาก โดยพร็อกซีเซิร์ฟเวอร์ คือ คอมพิวเตอร์ที่ติดตั้งซอฟต์แวร์ พร็อกซีเซิร์ฟเวอร์ ทำหน้าที่เสมือนนายประตู (Doorman) ของเครือข่ายภายในโดยทุกๆ ทรานแซกชั่นของเครือข่ายภายนอกที่มีการร้องขอเข้ามายังเครือข่ายภายในจะต้องผ่านพร็อกซีเซิร์ฟเวอร์เสมอ และจะมีการเก็บรายละเอียดของข้อมูลลง Log File เพื่อให้ผู้ดูแลระบบสามารถนำไปใช้ตรวจสอบในภายหลังแต่การทำงานของพร็อกซีเซิร์ฟเวอร์มีความล่าช้า เนื่องจากจะต้องมีการจัดเก็บข้อมูลของแต่ละแอปพลิเคชั่นที่ได้มีการร้องขอข้อมูลจากภายในเครือข่าย

  45. ไฟร์วอลล์ (Firewall) Proxy Server/Application Gateway

  46. ไฟร์วอลล์ (Firewall) พร็อกซีเซิร์ฟเวอร์หรือแอปพลิเคชั่นเกตเวย์ ข้อดี • มีความปลอดภัยสูง • รู้จักข้อมูลในระดับแอพพลิเคชัน ข้อเสีย • ประสิทธิภาพต่ำ • แต่ละบริการมักจะต้องการโปรเซสของตนเอง • สามารถขยายตัวได้ยาก

  47. ไฟร์วอลล์ (Firewall) 3. Stateful Firewall ได้ถูกออกแบบมาเพื่อกำจัดข้อจำกัดของทั้ง Packet Filtering Firewall และ Aplication Firewall ในเรื่องของความปลอดภัยและความเร็วซึ่ง Stateful Firewall สามารถกำจัดข้อจำกัดเหล่านี้ได้ทั้งหมด โดยหลักการการทำงานคือจะมีการจำ State ของแต่ละ Session ที่เกิดขึ้น ว่า Source อะไร คุยกับ Destination อะไร โดยจะเก็บไว้ใน State Table ถ้ามี Source หรือ Destination อื่นเข้ามาสวมรอย ก็จะไม่สามารถทำได้  ซึ่งทำให้เพิ่มขีดความสามารถในการป้องกันที่ดีขึ้น และรองรับกับการใช้งาน Service ที่หลากหลายต่าง ๆ ได้ ทั้ง TCP และ UDP  รวมทั้งความเร็วที่ดีกว่า Application Firewall

  48. ไฟร์วอลล์ (Firewall) Stateful Firewall เป็นพื้นฐานของ Firewall ที่ใช้งานอยู่ในปัจจุบัน ผลิตภัณฑ์ที่ใช้เทคโนโลยี Stateful  เช่น CheckPoint Firewall-1 , Juniper NetScreen, Fortigate, Cisco ASA เป็นต้น ข้อดี - ใช้งานง่าย เพราะถูกออกแบบมาทาหน้าที่ Firewall โดยเฉพาะ - ประสิทธิภาพสูง เพราะถูกออกแบบมาทาหน้าที่ Firewall โดยเฉพาะ - สามารถเพิ่มบริการอื่นๆได้ - มีความสามารถในการทา Authentication - การสื่อสารระหว่าง Firewall กับ Administration ข้อเสีย - ราคาแพง - มีความเสี่ยงต่อการถูกเจาะระบบในระดับ OS ที่ตัว Firewall ติดตั้ง - ผู้ใช้จำเป็นต้องอาศัยผู้ผลิตค่อนข้างมาก โดยเฉพาะ Firewall ประเภท Network Appliance คือ เป็นทั้งซอฟต์แวร์และฮาร์ดแวร์

  49. สรุป ความปลอดภัยบนสภาพแวดล้อมภายนอก เป็นมาตรการควบคุมความปลอดภัยทาง กายภาพ ที่เกี่ยวข้องกับสภาพแวดล้อมและภาพรวมของอุปกรณ์เป็นสำคัญ ความปลอดภัยด้านการปฏิบัติงาน เป็นมาตรการควบคุมความปลอดภัยที่เกี่ยวข้องกับ การสร้างข้อจำกัดในบุคคลใดบุคคลหนึ่งในการเข้าถึงระบบ เช่น การกำหนดวันทำการที่สามารถ เข้าถึงเครือข่าย นอกเหนือเวลาดังกล่าว จะไม่สามารถเข้าระบบได้ การตรวจตราเฝ้าระวัง เป็นมาตรการควบคุมความปลอดภัยที่สามารถดำเนินการได้ด้วย การติดตั้งกล้องโทรทัศน์วงจรปิดตามจุดสำคัญต่างๆ ว่ามีบุคคลใดบ้างที่เข้าออกในแต่ละวัน และ สามารถสังเกตพฤติกรรมรวมถึงเหตุการณ์ความเคลื่อนไหวของบุคคลได้ การใช้รหัสผ่าน เป็นมาตรการควบคุมความปลอดภัยขั้นพื้นฐานที่นิยมใช้กันมานาน แต่ อย่างไรก็ตาม รหัสผ่านอาจถูกรู้โดยผู้อื่นได้ ดังนั้นในปัจจุบันจึงมีอุปกรณ์ที่เรียกว่าไบโอเตริก

  50. สรุป เช่น เครื่องอ่านลายนิ้วมือ เครื่องอ่านเลนส์ม่านตา มาใช้งาน ซึ่งแต่ละคนจะมีลายนิ้วมือและ ม่านตาที่ต่างกัน ไม่สามารถลอกเลียนได้ การตรวจสอบระบบคอมพิวเตอร์ เป็นมาตรการความปลอดภัยที่นำมาใช้ป้องกันผู้ไม่หวัง ดี ที่พยายามเข้ามายังระบบ โดยระบบตรวจสอบซึ่งจะเป็นโปรแกรมบันทึกข้อมูลและตรวจสอบ เฝ้าระวังทุกๆ ทรานแซกชั่น ที่เข้ามายังระบบ แต่ละทรานแซกชั่นจะมีการบันทึกข้อมูลไว้เป็นหลัก ฐาน ที่เรียกกันว่า Log File การกำหนดสิทธิ์การใช้งาน เป็นมาตรการความปลอดภัยด้วยการจำกัดสิทธิ์การใช้งาน ทรัพยากรบนเครือข่าย เช่น มีการกำหนดสิทธิ์การใช้งานแก่ผู้ใช้สิทธิ์ เพื่อป้องกันการลักลอบดู ข้อมูลหรือทำลายข้อมูลได้

More Related