วันอาทิตย์ที่ 18 สิงหาคม พ.ศ. 2556

แนวคิดการรักษาความปลอดภัย


ระบบสารสนเทศประกอบด้วย 5 องค์ประกอบ คือ
Hardware – อุปกรณ์
Software – โปรแกรมประยุกต์, ระบบ, OS, DB, Application
Data – ข้อมูลดิบ, Information, Knowledge
People (User) – คน (Personnel)
Business Process (Process, Procedure)

องค์ประกอบของความมั่นคงปลอดภัยของสารสนเทศ ประกอบด้วย

1. ความลับ (Confidentiality) – เป็นการทำให้มั่นใจว่ามีเฉพาะผู้มีสิทธิ์หรือได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงได้

2. ความถูกต้องสมบูรณ์(Integrity) – ข้อมูลที่ปกป้องนั้น ต้องมีความถูกต้องสมบูรณ์ ต้องมีกลไกในการตรวจสอบสิทธิ์ การอนุญาตให้เปลี่ยนแปลงหรือแก้ไขข้อมูล

3. ความพร้อมใช้งาน (Availability) – ต้องสามารถตอบสนองความต้องการของผู้ใช้งานที่มีสิทธิ์เข้าถึงระบบได้เมื่อต้องการ

สิ่งที่ต้องคำนึงถึงในการการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ คือ

1. ระบบรักษาความมั่นคงปลอดภัยของระบบสารสนเทศต้องป้องกัน (สม่ำเสมอ) ทุกองค์ประกอบ (ทั้ง 5 องค์ประกอบ) ความเข้มแข็งรวมของระบบนั้นมาจากความอ่อนแอของระบบรักษาความมั่นคงปลอดภัย

2. ระบบรักษาความมั่นคงปลอดภัยของระบบสารสนเทศป้องกันตามมูลค่า คุ้มครองข้อมูลตามมูลค่า (มูลค่า – การลงทุนป้องกัน, มูลค่าความเสียหายถ้าไม่ป้องกัน) จัดเกรดข้อมูลว่าอันไหนสำคัญ เพื่อจะได้วางระบบรักษาความปลอดภัยได้ถูก

3. การรักษาความมั่นคงปลอดภัยของระบบรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ ไม่มีระบบที่สมบูรณ์แบบ ไม่มีระบบที่ใช้ได้ตลอดไป

4. การรักษาความมั่นคงปลอดภัยของระบบรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ เป็นกระบวนการที่ต้องทำต่อเนื่องตลอดไป

ในรูปของการปรับปรุงให้ดียิ่งขึ้น ให้ทันต่อภัยคุกคาม โดยใช้ PDCA, PDCA, … ทำหลายๆ รอบ A ตัวสุดท้ายจะเป็นเหตุให้ต้องทำ P รอบถัดไป วงรอบที่เหมาะสมในการทำ PDCA คือ 1 ปี

โดยที่ PDCA คือ กระบวนการของการทำ P (Plan คือ วางแผน), D (Do คือ ดำเนินการตามแผน), C (Check หรือ ตรวจสอบสอบทานการดำเนินงานตามแผน), A (Act หรือ เมื่อพบข้อผิดพลาดมีการสั่งการหรือหาแนวทางในการดำเนินการแก้ไข)

5. ผู้ที่จะเข้ามาโจมตีระบบสารสนเทศ จะเลือกเข้ามาในทิศทางที่คุณคาดไม่ถึงเสมอ

หลักการของการทำให้ปลอดภัย แบ่งเป็น 3 วิธี คือ
Prevention – ถ้ากันได้กัน ß เป็นวิธีที่ดีที่สุด (เรื่องไม่เคยเกิดขึ้น, ไม่มีวันเกิดขึ้น)
Detection – กันไม่ได้แต่รู้ทันทีที่เกิด ß ทำให้มีปฏิกิริยาได้เร็ว บางครั้งแพง
Recovery – ปล่อยให้เกิดแล้วค่อยไปตามแก้ไข ต้องมีความสามารถเหมือน Detection แต่ช้ากว่า
แนวทางที่ช่วยรักษาความปลอดภัยให้กับระบบสารสนเทศในองค์กร

การโจมตีระบบ IT

      สมัยก่อนอาชญากรคอมพิวเตอร์อาจโจมตีแค่เครื่องไมโครคอมพิวเตอร์ด้วยไวรัสและ เวิร์มเสียหายหรือแค่เครื่องลูกข่ายทำงานไม้ได้หรือทำงานช้าลง แต่ยุคสมัยนี้รูปแบบการถูกโจมตีมีแนวโน้มรุนแรงมากขึ้น

       ทั้งสปายแวร์ พิชชิ่งที่มุ่งโจมตีสิ่งสงวนสำคัญที่สุดขององค์กรคือข้อมูล เครื่องแม่ข่าย และระบบสื่อสารข้อมูล เสียหายถึงขั้นระบบ IT หยุดชะงักทำงานไม่ได้ ทำให้องค์กรต้องจ่ายค่าคุ้มครองความปลอดภัยคอมพิวเตอร์สูงขึ้น

        ซึ่งนอกจากการกระทำของน้ำมือมนุษย์แล้ว ระบบ IT ในองค์กร ยังสามารถเกิดความเสียหายจากสาเหตุอื่นๆ ด้วยเช่นกันค่ะ อาทิ เกิดความเสียหายเนื่องจากภัยธรรมชาติ เช่นการเกิดพายุ สึนามิ ฟ้าผ่า ไฟใหม้ เป็นต้น และยังอาจเกิดจากความเสียหายเนื่องจากขาดระบบป้องกัน ทางกายภาพที่ดี (Physical Security)

         ทีนี้เมื่อได้รู้ถึงต้นเหตุของปัญหาแล้ว ทีนี้ลองมาพูดถึงแนวทางในการรักษา ความปลอดภัยให้กับระบบ IT กันค่ะ ซึ่งสามารถแบ่งออกเป็น 3 แนวทาง

         อันดับแรก คือ การวางแผนรักษาความปลอดภัยในเชิงกายภาพ (Physical Planning Security)เกี่ยวกับสภาพต่าง ๆ ที่เกี่ยวข้องกับเครื่องคอมพิวเตอร์ ได้แก่ การจัดการดูแลและป้องกันในส่วนของอาคารสถานที่ ทำเลที่ตั้งศูนย์คอมพิวเตอร์ หรือห้องคอมพิวเตอร์ การจัดการดูแลและป้องกันภายในศูนย์คอมพิวเตอร์ การจัดการดูแลและป้องกันเกี่ยวกับระบบสภาพแวดล้อม การจัดการดูแลและป้องกันในส่วนของฮาร์ดแวร์ จัดการดูแลอุปกรณ์เอง เรียกบริษัทผู้ขาย หรือบริษัทอื่นดูแลให้เป็นครั้ง ๆ ไป หรือทำสัญญาการบำรุงรักษาอุปกรณ์เป็นรายปี

         อันดับสอง ส่วนการวางแผนรักษาความปลอดภัยในเชิงตรรกะ (Logical Planning Security) เป็นการรักษาความปลอดภัยก่อนผ่านข้อมูลเข้าสู่ระบบสารสนเทศ คือการกำหนดสิทธิผู้ใช้ มีรหัสผ่าน การรักษาความปลอดภัยในการใช้ข้อมูลในระบบสารสนเทศ หรือกำหนดสิทธิของตัวข้อมูลในระดับต่าง ๆ และการรักษาความปลอดภัยในการรับส่งข้อมูล – หรือการเข้ารหัสข้อมูล
ซึ่งในอันดับที่สาม การวางแผนป้องกันความเสียหาย (Disaster Planning Security) มีวิธีการป้องกันดังนี้ค่ะ
      การจัดเตรียมศูนย์คอมพิวเตอร์สำรอง
      การจัดเตรียมข้อมูลสำรอง
      การจัดเตรียมเรื่องการกู้ระบบหลังจากเกิดการเสียหายขึ้น
      การวางแผนป้องกันไวรัสคอมพิวเตอร์
      และถึงแม้องค์กรคุณจะมีระบบป้องกันที่ดีแล้ว แต่ก็ยังจำเป็นต้องอาศัย สมาชิกในบ้านหรือในองค์กรที่ต้องใช้ IT ให้ช่วยกันสอดส่องดูแล เป็นหูเป็นตาคอยป้องกันภัยและใช้คอมพิวเตอร์ด้วยความระมัดระวังกันอีกด้านหนึ่งด้วยค่ะ

การรักษาความปลอดภัยบนอินเตอร์เน็ต


        องค์กรจำนวนมากได้สร้างเครือข่ายคอมพิวเตอร์เพื่อใช้งานในองค์กร มีการใช้มาตรฐานเดียวกับเครือข่ายอินเทอร์เน็ต เราเรียกเครือข่ายเฉพาะในองค์กรนี้ว่า อินทราเน็ต อินทราเน็ตเชื่อมโยงผู้ใช้ทุกคนในองค์กรให้ทำงานร่วมกัน มีการกำหนดการทำงานเป็นทีมที่เรียกว่า เวอร์กกรุป แต่ละทีมมีระบบข้อมูลข่าวสารของตน มีสถานีบริการข้อมูลที่เรียกว่า เซิร์ฟเวอร์ การทำงานในระดับเวอร์กกรุปจึงเน้นเป้าหมายเฉพาะกลุ่มเช่น ทีมงานทางด้านการขาย ทีมงานทางด้านบัญชี การเงิน การผลิต ฯลฯ
อินทราเน็ต ได้รวมทีมงานต่าง ๆ เหล่านี้เข้าด้วยกัน เป็นเครือข่ายขององค์กร มีการแลกเปลี่ยนและใช้ข้อมูลร่วมกัน ใช้ทรัพยากรทางคอมพิวเตอร์ร่วมกัน มีระบบการทำงานที่เรียกว่า เวอร์กโฟล์ว (workflow)
อย่างไรก็ดี การทำงานขององค์กรมิได้กำหนดขอบเขตเฉพาะภายในองค์กรเท่านั้น หลายองค์กรนำเครือข่ายอินทราเน็ตของตนเองเชื่อมต่อเข้าสู่เครือข่ายอินเทอร์เน็ตเพื่อให้การทำงานเชื่อมโยงกับองค์กรอื่นได้ การทำงานร่วมกับองค์กรอื่นเป็นหนทางของการเพิ่มประสิทธิภาพการทำงาน เพื่อความรวดเร็ว ความสะดวกสบายในการทำงาน องค์กรจำนวนมากมีโฮมเพ็จของตนเองเพื่อการประชาสัมพันธ์สินค้าและบริการ มีการรับใบคำสั่งซื้อจากภายนอก หรือให้บริการหลังการขายโดยตรงทางเครือข่าย
เมื่อนำเครือข่ายอินทราเน็ตขององค์กรเชื่อมเข้าสู่เครือข่ายสาธารณะ ย่อมมีความเสี่ยงต่อความปลอดภัยของข้อมูลและระบบคอมพิวเตอร์ขององค์กร การรักษาความปลอดภัยจึงเป็นระบบที่ต้องคำนึงถึง ถึงแม้ว่าจะต้องเพิ่มค่าใช้จ่ายของระบบก็จำเป็นต้องทำ เพราะหากเกิดปัญหาในเรื่องข้อมูลข่าวสารหรือการรั่วไหลของข้อมูลแล้ว ความสูญเสียจะมีมากกว่า
        ระบบการรักษาความปลอดภัยขั้นพื้นฐานที่มีในขณะเรียกเข้าหาระบบคือ รหัสพาสเวิร์ด หรือรหัสผ่าน ในการล็อกอินเข้าสู่ระบบ เช่น เรียกใช้เซิร์ฟเวอร์เพื่อขอข้อมูลข่าวสาร จำเป็นต้องทราบว่าใครเป็นผู้เรียกเข้าหา โดยให้ผู้เรียกป้อนรหัสพาสเวิร์ด ผู้ใช้ทุกคนจะมีรหัสเฉพาะของตน จำเป็นต้องให้ผู้ใช้กำหนดรหัสที่ยากต่อการถอดโดยผู้อื่น โดยหลักการพื้นฐานควรกำหนดรหัสนี้ให้มีความยาวไม่น้อยกว่า 8 ตัวอักษร ควรให้มีการผสมระหว่างตัวอักขระพิเศษและตัวเลขด้วย เช่น mypo@123! ไม่ควรนำเอาคำศัพท์ในพจนานุกรม หรือใช้ชื่อ ใช้วันเกิด เพราะรหัสเหล่านี้ง่ายต่อการถอด อย่านำรหัสนี้ให้กับผู้อื่น และควรเปลี่ยนรหัส เมื่อใช้ไปได้ระยะเวลาหนึ่ง
        ไฟร์วอล เป็นโปรแกรมคอมพิวเตอร์ที่บรรจุไว้ในเครื่องคอมพิวเตอร์ที่จัดให้เป็นทางผ่านเข้าออก เพื่อป้องกันการแปลกปลอมของแฮกเกอร์ภายนอกที่จะเจาะเข้าระบบ และยังควบคุมการใช้งานภายใน โดยกำหนดสิทธิ์ของแต่ละบุคคลให้ผ่านออกจากระบบได้ ดังนั้นเมื่อมีการนำเอาเครือข่ายอินทราเน็ตขององค์กรเชื่อมต่อกับเครือข่ายสาธารณะ เช่น อินเทอร์เน็ต ระบบไฟร์วอลจึงเป็นอุปกรณ์ที่สำคัญที่ใช้ในการป้องกันและรักษาความปลอดภัย
        โดยปกติมักใช้เครื่องคอมพิวเตอร์เครื่องหนึ่งทำหน้าที่เป็นไฟร์วอล เครื่องคอมพิวเตอร์เครื่องนี้จะมีการเชื่อมต่อเข้าสู่เครือข่ายสองด้าน ด้านหนึ่งเชื่อมกับอินทราเน็ต อีกด้านหนึ่งเชื่อมกับ อินเทอร์เน็ต ดังนั้นจึงเป็นเสมือนยามเฝ้าประตูทางเข้าออก เพื่อตรวจสอบการเข้าออกของบุคคล
ไฟร์วอลจะควบคุมสิทธิ์ และติดตามการใช้งาน เช่น กำหนดให้บุคคลภายนอกเข้ามาใช้ได้ในกรอบที่จำกัด และเมื่อเข้ามาก็จะติดตามการใช้งาน หากมีความพยายามจะใช้เกินสิทธิ์ เช่น การ ล็อกออนไปยังเครื่องที่ไม่มีสิทธิ์ก็จะป้องกันไว้ ขณะเดียวกันอาจเป็นตัวตรวจสอบเอกสารหรือข้อมูลบางอย่าง เช่น จดหมาย หรือแฟ้มข้อมูล
        ระบบของไฟล์วอลมีหลายระดับ ตั้งแต่การใช้อุปกรณ์สื่อสาร เช่น เราเตอร์ทำหน้าที่เป็น ไฟร์วอล เพื่อควบคุมการติดต่อสื่อสาร หรือป้องกันผู้แปลกปลอม จนถึงขั้นการใช้คอมพิวเตอร์ที่มีซอฟต์แวร์ ไฟร์วอลอันทรงประสิทธิภาพ
        เมื่อมีการโอนย้ายข้อมูลระหว่างกัน โดยเฉพาะการโอนย้ายผ่านทางอินเทอร์เน็ต ซึ่งเป็น เครือข่ายสาธารณะ ผู้ใช้จะไม่ทราบเลยว่าข้อมูลที่รับส่งกันนั้นผ่านไปที่ใดบ้าง เช่น เมื่อเราส่งใบสั่งซื้อที่มีรหัสหายเลขบัตรเครดิตไปยังบริษัทร้านค้าที่อยู่ที่สหรัฐอเมริกา ข้อมูลของเราอาจผ่านไปยังที่ต่าง ๆ หลายแห่ง อาจมีผู้ไม่หวังดีแอบคัดลอกข้อมูลของเราไว้ก็ได้ ปัญหาเช่นนี้ทำให้เกิดความไม่มั่นใจในการดำเนินธุรกิจ เป็นผลทำให้ระบบธุรกิจบนเครือข่ายยังไม่เติบโตเท่าที่ควร
        ในขณะนี้จึงมีการใช้วิธีเข้ารหัส โดยผู้ส่งข้อมูลจะใช้โปรแกรมที่ทำการแปลงข้อมูลจากข้อความเดิม ให้เป็นรหัสที่ไม่มีความหมาย เราเรียกวิธีนี้ว่า เอนคริปชัน (Encryption) เอนคริปชัน จะกวนข้อมูล ทำให้ส่งข้อมูลอย่างเป็นความลับบนเครือข่ายได้ ถึงแม้จะมีผู้ลักลอบคัดลอกไปก็จะอ่านไม่รู้เรื่อง
เมื่อถึงปลายทาง ผู้ที่มีรหัสพิเศษที่ตกลงกันไว้ ที่เรียกว่า คีย์ จะทำการถอดรหัสนี้ได้ ผู้รับจะใช้โปรแกรมถอดรหัสโดยใส่ตัวอักขระที่เป็นคีย์ เครื่องคอมพิวเตอร์ที่รับข้อมูลจะเปลี่ยนข้อมูลกลับไปเป็นข้อความปกติ วิธีการทางด้านรับข้อมูลนี้เรียกว่า ดีคริปชัน (Decryption)
        การเข้ารหัสจึงต้องมีคีย์ ซึ่งเสมือนเป็นกุญแจที่ล็อกข้อมูลไว้ ผู้รับต้องใช้กุญแจที่ตรงกันจึงจะไขดูข้อมูลได้ จึงมีวิธีการกำหนดกุญแจซึ่งเป็นรหัสและใช้งานร่วมกัน มีทั้งที่ใช้แบบมีกุญแจที่เรียกว่า มาสเตอร์คีย์และคีย์เฉพาะ เทคนิคเหล่านี้ได้พัฒนาให้ก้าวหน้าขึ้นไปมาก
        บนอินเทอร์เน็ต มีวิธีที่ใช้ในการเอนคริปชันอยู่หลายวิธี วิธีที่ได้รับความนิยมและเป็นวิธีที่เสนอให้สาธารณะใช้ได้ คือ PGP PGP ย่อมาจาก Pretty Good Privacy PGPทำให้ข้อความที่ส่งไปเป็นความลับ ข้อความที่ใช้อาจเป็นอีเมล์ เป็นใบสั่งซื้อ เป็นแฟ้มข้อมูล PGP ใช้วิธีการที่ดี และใช้งานได้ผล เพราะวิธีการเอ็นคริปชันของ PGP เป็นวิธีการที่แฮกเกอร์ถอดรหัสได้ยาก
        นอกจากวิธีการนี้แล้ว ปัจจุบันมีการพัฒนาคลิปเปอร์ชิป (clipper chip) ซึ่งเป็นวงจรฮาร์ดแวร์ทางอิเล็กทรอนิกส์ที่จะเข้ารหัส เพื่อใช้ในการสื่อสารกันบนอินเทอร์เน็ต คลิปเปอร์ชิปได้รับการเสนอโดยรัฐบาลสหรัฐฯ ชิปนี้ได้จัดทำขึ้นโดยที่ทางรัฐบาลสามารถถอดรหัสนี้ได้ ทำให้เกิดการโต้เถียงกันมากว่า รัฐบาลสหรัฐฯสามารถติดตามการติดต่อสื่อสารบนอินเทอร์เน็ตได้หมด อย่างไรก็ตามทางรัฐบาลสหรัฐฯ ก็อ้างว่า รัฐบาลจะถอดรหัสข้อมูลตามคำสั่งศาลเท่านั้น
        ถึงแม้ว่าจะใช้วิธีการทางด้านการเข้ารหัสเอ็นคริปชัน และดีคริปชันแล้วก็ตาม ก็ไม่ได้หมายความว่าจะปลอดภัยได้ร้อยเปอร์เซนต์ การสร้างกฎระเบียบและวินัยของบุคลากรในองค์กรเป็นเรื่องสำคัญ การเชื่อมโยงเครือข่ายเป็นหนทางให้ใช้งานได้สะดวก แต่ก็เป็นเส้นทางที่ผู้แปลกปลอมจะใช้เป็นทางเข้าระบบได้ง่าย

การรักษาความปลอดภัยส่วนบุคคล

        เป้าหมายของเราคือการรักษาความไว้วางใจและความเชื่อมั่นในการจัดการข้อมูลส่วนตัวของท่าน
ทางเลือกการจัดการข้อมูลสำหรับท่าน
ในฐานะที่ท่านเป็นลูกค้าของซิตี้กรุ๊ป ท่านสามารถเลือกให้เราจัดการข้อมูลส่วนตัวของท่าน ในการพิจารณาทางเลือกของท่านนั้น เราสนับสนุนให้ท่านเลือกที่จะอนุญาตให้เราเสนอผลิตภัณฑ์ที่มีคุณภาพ และบริการที่ดี เพื่อตอบสนองความต้องการและวัตถุประสงค์ทางการเงินของท่าน
ความปลอดภัยของข้อมูลส่วนบุคคล
        ความปลอดภัยของข้อมูลส่วนบุุคคลของท่านเป็นสิ่งที่เราให้ความสำคัญที่สุด เรามีมาตรการและขั้นตอนที่รักษาข้อมูลดังกล่าว ไม่ว่าจะเป็นทางกายภาพและทางอิเลคโทรนิค ตามมาตรฐานหรือสูงกว่ามาตรฐานที่กฎหมายกำหนด เราให้การอบรมพนักงานของเราเพื่อที่จะจัดการข้อมูลส่วนบุคคลอย่างเหมาะสม เมื่อใดก็ตามที่เราว่าจ้างองค์กรอื่น เพื่อให้บริการกับเรา เราจะกำหนดให้องค์กรดังกล่าว ปกป้องข้อมูลส่วนตัวของลูกค้าที่ทางองค์กรได้รับจากเราให้เป็นความลับ
หากท่านมีความประสงค์ที่จะทราบข้อมูลเพิ่มเติมเกี่ยวกับทางเลือกการจัดการข้อมูลสำหรับท่าน กรุณาติดต่อได้ตลอดเวลาโดยโทรมายัง ซิตี้โฟนแบงก์กิ้ง 1588

ข้อมูลเกี่ยวกับการใช้ Cookies

        Cookies ช่วยให้ผู้ใช้งานเว็บสามารถเรียกดูข้อมูลและใช้งานเว็บได้สะดวกยิ่งขึ้น
Cookie คือ ข้อมูลซึ่งเว็บเซิร์ฟเวอร์จัดเก็บไว้ที่โปรแกรมสำหรับเรียกดูเว็บ (Web Browser) มีประโยชน์สำหรับให้เว็บเซิร์ฟเวอร์สามารถ เรียกใช้ข้อมูลเหล่านั้นได้ในภายหลัง Cookie จะถูกติดตั้งในขณะที่ท่านเรียกดูเว็บ หลังจากที่ท่านเลิกใช้งานโปรแกรมแล้ว cookie บางตัวจะถูกจัดเก็บไว้ที่เครื่องคอมพิวเตอร์ในรูปแบบไฟล์ หรือ อาจจะหมดอายุ หรือไม่มีการจัดเก็บ โดยที่ Cookie ทุกตัวมีวันหมดอายุ
Cookie นั้นติดตั้งบนเครื่องคอมพิวเตอร์แต่ละเครื่อง ซึ่งถ้าท่านเปลี่ยนเครื่องคอมพิวเตอร์ ก็จะไ่ม่มี cookie จากเครื่องเดิมอยู่หมดอายุ

การใช้งาน Cookies บนเว็บซิตี้แบงก์

        Cookies ถูกนำมาใช้สำหรับวัตถุประสงค์ต่างๆ เช่น รักษาสถานะ Session ของผู้ใช้งาน, รวบรวมข้อมูลเกี่ยวกับการใช้งานเว็บไซต์ของเรา เพื่อการวิจัยหรืออื่นๆ, จัดเก็บข้อมูลความชอบของท่านเกี่ยวกับการเรียกดูข้อมูลหรือโปรโมชั่นการตลาดต่างๆ, หรือ เก็บรหัสผู้ใช้งาน เพื่อที่ท่านไม่จำเป็นจะต้องป้อนข้อมูลใหม่ทุกครั้งที่เข้าใช้งาน Cookies ที่ใช้จะจัดเก็บเฉพาะข้อมูลที่เกี่ยวข้องกับการใช้งานเว็บไซต์เราเท่านั้น ไม่่มีการจัดเก็บการใช้งานอินเทอร์เน็ตอื่นๆ ของท่าน Cookiesที่ใช้จะไม่สามารถอ่านหรือใช้ร่วมกับเว็บไซต์นอกเครือซิตี้ได้ อย่างไรก็ตามอาจมีการใช้ข้อมูลที่รวบรวมได้ร่วมกับบริษัทอื่นในเครือซิตี้ โดยทั่วไปแล้ว cookie ที่ใช้จะไม่รวบรวมข้อมูลส่วนตัวของท่าน ยกเว้นในกรณีที่ท่านตกลงยินยอมใช้งานบางฟังก์ชั่นซึ่งมี้การใช้ Cookie ร่วมกับข้อมูลส่วนตัวอื่นๆ ที่ท่านให้ (เช่น อีเมล์) ทั้งนี้ก็เพื่อให้ท่านได้รับข้อมูลโปรโมชั่นที่คัดสรรให้เหมาะสมกับความต้องการของท่าน

Cookie Filters:

        ท่านสามารถเลือกรับการติดตั้ง Cookie และ ระบุเงื่อนไขในการรับได้ โดยตั้งค่าในตัวเลือกของโปรแกรมเรียกดูเว็บของท่าน อย่างไรก็ตาม ในกรณีที่ท่านเลือกที่จะไม่รับ Cookies ท่านอาจจะไม่สามารถใช้งานฟังก์ชั่นออนไลน์บางอย่างได้

การรักษาความปลอดภัย
แนวโน้มของระบบรักษาความปลอดภัยในอนาคต
ระบบความปลอดภัยในอนาคต

แนวโน้มภัยคุกคามเครือข่ายอินเทอร์เน็ตในปี 2552
        ไซแมนเทค (Symantec) บริษัทหนึ่งในผู้นำระดับโลกด้านโซลูชั่นในการรักษาความปลอดภัยของข้อมูลให้แก่องค์กรต่างๆ ได้กล่าวถึงแนวโน้มของภัยคุกคามเครือข่ายอินเทอร์เน็ตที่คาดว่าจะเกิดขึ้นในปี 2552 ไว้ในรายงาน “Security Trends of 2008 and Predictions for 2009” สรุปรายละเอียดได้ดังต่อไปนี้

Explosion of Malware Variants
        ในปี 2552 นี้จะพบการขยายตัวของมัลแวร์ (Malware) สายพันธุ์ต่างๆ มากขึ้น โดยจะเห็นได้จากการโจมตีครั้งล่าสุดที่พบเห็นกันในปัจจุบันจะเริ่มมีมัลแวร์สายพันธุ์ใหม่เข้าไปด้วย ซึ่งมีการคุกคามจำนวนหลายล้านรูปแบบที่แตกต่างกันอย่างชัดเจน โดยอาศัยการแพร่กระจายจากมัลแวร์ใหม่ที่เพิ่มขึ้นมาอย่างรวดเร็วจนนับไม่ถ้วนจากมัลแวร์หลักเพียงตัวเดียว อีกทั้ง ข้อมูลที่ตรวจจับได้จาก Symantec Global Intelligence Network ยังแสดงให้เห็นว่า ปัจจุบันมีการสร้างโปรแกรมที่มุ่งร้าย (Malicious program) หรือจะเรียกว่าเป็นโปรแกรมพวกมัลแวร์ให้พบเห็นมากกว่าโปรแกรมถูกกฎหมาย/ นำไปใช้ทำงานจริงๆ ซึ่งภัยคุกคามใหม่และที่กำลังเพิ่มปริมาณขึ้นอย่างรวดเร็วนี้ เป็นสิ่งที่ไซแมนเทคมองว่า มีความจำเป็นอย่างยิ่งที่เราต้องมองหาวิธีการตรวจจับแบบใหม่และมีความสมบูรณ์มากยิ่งขึ้นเพื่อรับมือกับภัยดังกล่าวที่กำลังสร้างปัญหาในปัจจุบัน

Spam Level Will Rise
        ไซแมนเทคคาดว่า ในปี 2552 นี้ จะพบจำนวนสแปมเพิ่มขึ้นถึง 75-80 % แม้ว่าในรายงานสถานการณ์อีเมล์ขยะของเดือนธันวาคม 2551 ที่ผ่านมา เราจะพบว่า จำนวนอีเมล์ขยะลดลงมาที่สุดเป็นประวัติการณ์คือลดลงประมาณ 65 % จากเดือนก่อนที่ปริมาณอีเมล์ขยะยังคงอยู่ที่ประมาณ 80 % ซึ่งสาเหตุดังกล่าวเกิดเนื่องมาจากการปิดตัวลงของเว็บไซต์ McColo ซึ่งไซแมนเทคกล่าวว่า เป็นแหล่งบ่มเพราะสแปมรายใหญ่ที่สุดรายหนึ่ง แต่อย่างไรก็ตาม ยังมีเว็บไซต์ในรูปแบบดังกล่าวอีกหลายเว็บไซต์ที่อาจทำให้ในท้ายที่สุดแล้ว ระดับของสแปมจะกลับมาที่ระดับ 75-80 % เช่นเดิมอีกครั้ง รวมถึงระบบควบคุมเครือข่าย botnets จะกลับมาใหม่และกลายเป็นเครื่องมือสำคัญในการแพร่กระจายอีเมลขยะ นอกจากนี้ ในสถานการณ์วิกฤตเศรษฐกิจที่เกิดขึ้น อาจมีหลายบริษัทที่ให้บริการ hosting จำนวนมากทั่วโลกที่พร้อมจะยินยอมให้ถูกใช้เป็นเครื่องมือหนึ่งในการส่งสแปมก็เป็นได้

Advanced Web Threats
        จากจำนวนเว็บเซอร์วิส (Web service) ที่เพิ่มจำนวนมากขึ้น รวมถึงโปรแกรมเว็บเบราว์เซอร์ที่ได้มีการพัฒนาอย่างต่อเนื่องเพื่อเปลี่ยนแปลงไปสู่มาตรฐานในรูปแบบเดียวกัน (Uniform interpretation standard) ด้วยเหตุดังกล่าวทำให้ไซแมนเทคคาดการณ์ว่า ในปี 2552 นี้ ภัยคุกคามใหม่ๆ ที่พบบนเว็บต่างๆ จะยังคงมีปริมาณเพิ่มขึ้น ซึ่งหลายเว็บไซต์อาจเป็นแหล่งในการบ่มเพาะและแพร่กระจายของมัลแวร์/ สปายแวร์ต่างๆ รวมถึงเป็น link ที่เชื่อมต่อไปยังเว็บไซต์มุ่งร้าย (Malicious Website) ในลักษณะต่างๆ ประกอบกับการขยายตัวที่เพิ่มขึ้นการการใช้งานโทรศัพท์เคลื่อนที่ที่กำลังได้รับความนิยมในการนำมาใช้ในการติดต่อสื่อสารผ่านเครือข่ายอินเทอร์เน็ตผ่านเว็บไซต์ต่างๆ นับเป็นอีกช่องทางหนึ่งที่มีโอกาสได้รับผลกระทบจากภัยคุกคามที่เกิดขึ้นจากการดาวน์โหลดโปรแกรมฟรีและเกมส์ โดยเฉพาะเครื่อง Smartphone ด้วยเหตุดังกล่าวทำให้คาดกันว่า แนวโน้มภัยคุกคามที่เกิดขึ้นกับโทรศัพท์เคลื่อนที่อาจมีให้เห็นเพิ่มขึ้นในปี 2552 นี้ด้วยเช่นกัน

Economic Crisis
        วิกฤตเศรษฐกิจโลกที่กำลังเกิดขึ้นในปัจจุบันอาจกลายเป็นสิ่งหนึ่งที่ทำให้เกิดการโจมตีในรูปแบบใหม่เกิดขึ้นมากมาย รวมถึงการโจมตีโดยใช้กลลวงแบบฟิชชิง (Phishing attacks) ดังตัวอย่างเช่น การสร้างหลักฐานหรือเว็บไซต์ปลอมขึ้นมาเพื่อหลอกลวงเกี่ยวกับกรณีธนาคารต่างๆ ที่กำลังจะปิดกิจการลง เป็นต้น นอกจากนี้ ยังมีกรณีตัวอย่างในลักษณะเดียวกันนี้ที่ใช้การโจมตีโดยอาศัยการหลอกลวงในลักษณะอื่นๆ แต่ยังอาศัยเหตุจากปัญหาวิกฤตเศรษฐกิจดังกล่าว เช่น อีเมล์ที่หลอกลวงเหยื่อเพื่อแจ้งว่าสามารถให้การช่วยเหลือให้เรื่องการจำนองหรือการกู้ยืมเงินต่างๆ ทำได้ง่ายขึ้น ด้วยเหตุนี้ทำให้ไซแมนเทคคาดว่า ในปี 2552 นี้ เราอาจจะพบการโจมตีในลักษณะหลอกลวงเช่นนี้ โดยมุ่งเป้าหมายไปที่ผู้ที่กำลังประสบปัญหาจากสภาวะวิกฤตเศรษฐกิจดังกล่าว เช่น เว็บไซต์สำหรับผู้ที่ต้องการทำงานที่บ้าน, เว็บไซต์คนหางาน เป็นต้น

Social Networks
        ในปี 2551 ที่ผ่านมา แสดงให้ถึงภัยคุกคามต่างๆ เริ่มเข้าไปเกี่ยวข้องกับเว็บไซต์เครือข่ายสังคมออนไลน์ (Social networking sites) เพิ่มมากขึ้น เนื่องจาก Social Network จะเป็นอีกหนึ่งช่องทางที่กลุ่มสแปมเมอร์จะเลือกใช้เป็นเป้าหมายในการส่งสแปมต่างๆ ออกไปโดยเฉพาะภัยคุกคามในรูปแบบกลลวงฟิชชิง (Phishing) หรือการสร้างเว็บไซต์ปลอมขึ้นมาเพื่อเก็บข้อมูลเกี่ยวกับชื่อบัญชีของผู้ใช้งานส่งผลให้ในปี 2552 คาดกันว่า จะมีการใช้สังคมออนไลน์เป็นทางผ่านของขยายตัวภัยคุกคามออนไลน์ให้เพิ่มมากขึ้น เนื่องจากโอกาสในการประสบความสำเร็จในการใช้วิธีนี้มีค่อนข้างสูง โดยเฉพาะการติดต่อสื่อสารกับกลุ่มเพื่อนในสังคมออนไลน์ที่ทุกคนเข้ามาเพื่อมาแลกเปลี่ยนข้อมูลข่าวสารซึ่งกันและกัน นอกจากนี้ ไซแมนเทคยังมองว่า ภัยคุกคามดังกล่าวจะเป็นสิ่งหนึ่งที่ฝ่ายไอทีขององค์กรต่างๆ ต้องให้ความสำคัญมากขึ้น เนื่องจากในแต่ละวันอาจมีมีพนักงานขององค์กรที่พยายามเข้าถึง tool ดังกล่าวโดยการใช้ทรัพยากรเครือข่ายขององค์กร ซึ่งอาจเป็นช่องทางหนึ่งที่ทำให้ถูกได้รับผลกระทบจากภัยคุกคามในรูปแบบต่างๆ ได้

แนวโน้มเทคโนโลยีด้านความมั่นคงความปลอดภัยในปี 2552
        จากการศึกษารายงานการวิเคราะห์แนวโน้มเทคโนโลยีด้านความมั่นคงปลอดภัยจากข้อมูลหลายแหล่งพบว่า ผู้เชี่ยวชาญด้านความปลอดภัยส่วนใหญ่ได้คาดการณ์แนวโน้มเทคโนโลยีที่จะเกิดขึ้นในปี 2552 ไว้โดยในที่นี้ได้รวบรวมข้อมูลที่ได้จากการศึกษาในรายงาน IBM Security Technology Outlook: An outlook on emerging security technology trends, รายงาน Security Trends of 2008 and Predictions for 2009 ของไซแมนเทค และรายงานแนวโน้มเทคโนโลยีความปลอดภัยปี 2552 ของบริษัท โกลบอลเทคโนโลยี อินทิเกรด จำกัด ดังรายละเอียดต่อไปนี้

1. เทคโนโลยีเพื่อการบริหารจัดการการระบุตัวตนผู้ใช้
ปัจจุบัน เราจะเห็นได้ว่า การระบุตัวตนผู้ใช้หรือการพิสูจน์ตัวตนทางดิจิตอล (Authentication) ต่อจำนวนผู้ใช้งานมีแนวโน้มเพิ่มมากขึ้น แต่วิธีการส่วนใหญ่โดยเฉพาะการใช้งานระบบเครือข่ายหรือการเข้าถึงข้อมูล ผู้ใช้งานยังนิยมใช้เพียงรหัสประจำตัว (Username) และรหัสผ่าน (Password) เท่านั้น ซึ่งในการเข้าสู่ระบบนั้นมีแพร่หลายอยู่ด้วยกัน 3 วิธีคือ
1) สิ่งที่คุณรู้ (Something you know) เช่น Password, PIN เป็นต้น 2) สิ่งที่คุณมี (Something you have) เช่น โทรศัพท์มือถือ, Security Token เป็นต้น
3) สิ่งที่คุณเป็น (Something you are) เช่น ลายนิ้วมือ, การสแกนม่านตา, biometric เป็นต้น

        ซึ่งปัจจุบันวิธีการ Authentication โดยใช้เพียง Username และ Password เพียงอย่างเดียวนับเป็นจุดอ่อนสำคัญที่ทำให้กลุ่มมิจฉาชีพสามารถขโมยข้อมูลและปลอมตัวเพื่อแสวงหาประโยชน์ได้ (Identity Threat) ดังจะพบได้จากสถิติการถูกขโมยข้อมูลออนไลน์ที่เพิ่มสูงขึ้น โดยเฉพาะจากการล่อลวงด้วยเทคนิคฟิชชิ่ง (Phishing) โดยกลุ่มมิจฉาชีพจะสร้างเว็บไซต์และอีเมล์ปลอมขึ้นมาแล้วทำการส่งอีเมล์ที่มี link เว็บไซต์ที่ได้ทำการปลอมแปลงในลักษณะเชิญชวนไปยังเจ้าของอีเมล์ให้ทำการกรอกข้อมูลส่วนตัวที่สำคัญ โดยเฉพาะ Username และ Password ผ่านทางเว็บไซต์ปลอมดังกล่าว จากนั้นมิจฉาชีพจะทำการลักลอบเข้าระบบเพื่อทำกระทำการทุจริตเพื่อลักลอบขโมยข้อมูลต่างๆ โดยง่าย ซึ่งกลลวงดังกล่าวส่วนใหญ่จะมาในรูปของตัวแทนบริษัท องค์กรหรือสถาบันการเงินที่มีชื่อเสียง เช่น ธนาคาร eBay PayPal เป็นต้น ดังนั้น การใช้วิธีการพิสูจน์ตัวตนแบบเดิมอาจไม่ปลอดภัยสำหรับหลายองค์กรที่อาจเสี่ยงต่อการโดนเจาะระบบโดยง่ายจากความไม่แน่นอนซึ่งเราไม่สามารถระบุตัวตนของผู้ใช้ระบบได้ว่าเจ้าของเป็นผู้ใช้งานจริงหรือไม่
        ดังนั้น ด้วยเหตุผลดังกล่าวจึงจำเป็นอย่างยิ่งที่จะต้องมีเทคโนโลยีที่นำมาใช้ในการจัดการและเพิ่มความน่าเชื่อถือ รวมถึงการควบคุมตัวตนผู้ใช้งานทั้งจากภายในและภายนอกองค์กรให้มีประสิทธิภาพดียิ่งขึ้น โดยในที่นี้จะขอกล่าวถึงแนวโน้มเทคโนโลยีที่คาดกันว่า ในปี 2552 จะยังคงได้รับความนิยมจากการคาดการณ์ของผู้เชี่ยวชาญคือ เทคโนโลยีระบบความปลอดภัยสองชั้น (Two-Factor Authentication Technology) และเทคโนโลยี Single Sign On (SSO) ดังรายละเอียดต่อไปนี้

- ระบบความปลอดภัยสองชั้น (Two-Factor Authentication Technology)
เทคโนโลยีระบบความปลอดภัยสองชั้น หรือที่เรารู้จักกันในชื่อ Two-Factor Authentication Technology นับเป็นเทคโนโลยีหนึ่งที่สามารถเข้ามาช่วยแก้ปัญหาดังกล่าวได้ เนื่องจากผู้ใช้ระบบในองค์กรจะต้องมีอุปกรณ์เพิ่มเติมด้วยการใช้ Token หรือ Smart card ID เข้ามาเสริมเพื่อใช้ในการพิสูจน์ตัวตนเมื่อต้องการเข้าสู่ระบบ ซึ่งปัจจุบันมีความจำเป็นอย่างมากในหลายองค์กรโดยเฉพาะกับองค์กรที่ต้องเกี่ยวข้องกับการทำธุรกรรมทางการเงินออนไลน์ ดังเช่น ธนาคารและสถาบันการเงิน ธุรกิจ e-Commerce เป็นต้น ซึ่งโดยทั่วไป Two-Factor Authentication จะสอบถามวิธีพิสูจน์ตัวตนจาก 2 ใน 3 วิธีที่กล่าวไปแล้วข้างต้น เช่น สิ่งที่คุณมีหรือสิ่งที่คุณเป็น (Biometrics) และสิ่งที่คุณทราบ (Password) ก่อนอนุญาตให้ผู้ใช้เข้าสู่ระบบ

        ในที่นี้ขอกล่าวถึงกรณีตัวอย่างการนำ Two-Factor Authentication ไปใช้ในกรณีของธนาคารและสถาบันการเงินต่างๆ ปัจจุบันกำลังได้รับความนิยมเป็นอย่างมาก โดยมีสถาบันการเงินหลายแห่งนำเทคโนโลยีดังกล่าวมาใช้เพื่อสร้างความปลอดภัยให้กับระบบมากยิ่งขึ้น ระบบดังกล่าวนำมาใช้ในการตรวจสอบการเป็นเจ้าของบัญชีเพื่อยืนยันการทำธุรกรรมที่มีความเสี่ยง เช่น การโอนเงินไปยังบุคคลที่สาม การเพิ่มบัญชี การแก้ไขข้อมูลส่วนตัว เป็นต้น ตัวอย่างการใช้งานที่เราคุ้นเคยกันดีในชีวิตประจำวัน เช่น การใช้บัตร ATM บริการ Internet Banking เป็นต้น ในกรณีของการเข้าสู่ระบบโดยใช้บัตร ATM จะมีการพิสูจน์ตัวตนถึงสองชั้นด้วยกัน โดยสิ่งที่คุณมีคือบัตร ATM และสิ่งที่คุณทราบก็คือรหัส PIN นั่นเอง ส่วนบริการ Internet Banking ที่ผ่านมาจะสอบถามเพียงแค่ User name และ Password เท่านั้น แต่ปัจจุบันได้มีการนำเทคโนโลยีดังกล่าวเข้ามาช่วยให้มีความปลอดภัยเพิ่มขึ้น ดังตัวอย่างของธนาคารกสิกรไทย เมื่อมีการเปิดใช้บริการ K-Cyber Banking กับทางธนาคารแล้ว ผู้ใช้งานจะได้รับรหัสผ่าน (PIN 1) เพื่อเข้าสู่ระบบในการตรวจดูรายการในการทำธุรกรรมทั่วไป เช่น การดูยอดบัญชีคงเหลือ การตรวจสอบรายการเดินบัญชีปัจจุบันและย้อนหลัง เป็นต้น แต่เมื่อใดก็ตามที่ผู้ใช้งานมีการทำธุรกรรมที่มีความเสี่ยง เช่น การโอนเงินไปยังบุคคลที่สาม การเพิ่มบัญชี การแก้ไขข้อมูลส่วนตัว เป็นต้น ธนาคารจะขอให้ผู้ใช้งานกรอกรหัสรักษาความปลอดภัย (PIN2 หรือ Security password) ซึ่งเป็นการรักษาความปลอดภัยชั้นที่สอง เพื่อเป็นการตรวจสอบการเป็นเจ้าของบัญชีของผู้ใช้งานอีกครั้ง นับเป็นอีกตัวอย่างหนึ่งที่แสดงให้เห็นถึงรูปแบบการนำ Two-Factor Authentication มาใช้เพื่อสร้างความมั่นใจให้ผู้ใช้งาน Internet Banking กับธนาคารมากยิ่งขึ้น
        อย่างไรก็ตาม บางครั้ง Two-factor Authentication อาจยังไม่ปลอดภัยจากการโจมตีแบบโทรจัน (Trojan) และการโจมตีที่ผู้โจมตีแทรกกลางการสื่อสารระหว่างสองระบบ (Man-in-the-Middle) เพราะมิจฉาชีพอาจยังสามารถขโมยข้อมูลบางส่วนของผู้ใช้งานได้ ดังนั้น ปัจจุบันการให้บริการผ่านระบบ Internet banking ของสถาบันการเงินในประเทศไทยจึงได้มีการนำ Two-factor Authentication มาใช้โดยการแจก Smart cards/ USB Token /Security Token ให้ลูกค้าบางกลุ่มเพื่อใช้เป็น Authentication ในรูปแบบสิ่งที่คุณมี (Something you have) รวมกับการ ใส่ Password (Something you know) เพื่อเพิ่มความปลอดภัยและปกป้องข้อมูลของลูกค้าอีกทางหนึ่ง แต่วิธีดังกล่าวอาจไม่สะดวกสำหรับลูกค้าบางคนนักเพราะอาจมีคนกลุ่มหนึ่งที่ไม่ต้องการจะพกอุปกรณ์บางอย่างติดตัวไปด้วย ด้วยเหตุนี้เองทำให้มีสถาบันการเงินบางแห่งพยายามประยุกต์ใช้หลักการดังกล่าวผ่านโทรศัพท์มือถือโดยระบบจะมีการ random รหัสและส่งผ่าน SMS ไปที่โทรศัพท์มือถือของลูกค้าแทนการแจก USB Token หรือ Security Token

- Single Sign On (SSO)
หลายองค์กรที่มีหลายระบบงานอาจกำลังประสบปัญหาสำหรับผู้ใช้งานที่ต้องมี ID และรหัสผ่านสำหรับการเข้าใช้งานแต่ละระบบ ซึ่งนับได้ว่าเป็นปัญหาหนึ่งที่สร้างความยุ่งยากในการใช้งานที่เกิดขึ้นในปัจจุบัน ด้วยเหตุนี้เอง จึงได้มีการนำเทคโนโลยี Single Sign-On (SSO) หรือที่เรารู้จักกันดีว่าเป็นเทคโนโลยีเพื่อการเข้าถึงการใช้บริการของระบบทั้งหมดได้ด้วยการพิสูจน์ตัวตนเพียงครั้งเดียว ซึ่งในปัจจุบันเราจะเห็นได้ว่าเทคโนโลยี SSOได้พัฒนาก้าวหน้าไปอย่างรวดเร็ว เนื่องจากหลายองค์กรยังจำเป็นต้องให้ผู้ใช้งานสามารถเข้าถึงหลายแอพพลิเคชันในรูปแบบต่างๆ ไม่ว่าจะเป็นวินโดวส์หรือผ่านเว็บไซต์ต่างๆ แต่การใช้งานดังกล่าวมักประสบปัญหาในการ Login เข้าสู่ระบบของผู้ใช้งาน ไม่ว่าจะเป็นปัญหาจากการลืมรหัสผ่านหรือรหัสผ่านหมดอายุทำให้เกิดความล่าช้าในการเข้าส่ระบบ ซึ่งส่งผลให้ผู้ใช้งานหรือแม้แต่ผู้ดูแลระบบเองต้องเสียเวลาไปกับความพยายามที่จะแก้ไขปัญหาที่เกิดขึ้นค่อนข้างมาก

ปัจจุบันมีหลายบริษัทได้พยายามพัฒนารูปแบบ เทคโนโลยี และผลิตภัณฑ์ที่หลากหลายออกมาเพื่อแข่งขันกันและนำเสนอเทคโนโลยี SSO ใหม่ๆ เพื่อใช้ในการแก้ไขปัญหาที่เกิดขึ้น แต่อย่างไรก็ตาม เทคโนโลยี SSO โดยทั่วไปจะมีองค์ประกอบพื้นฐาน 3 ส่วนหลักที่จะมีการผสมผสานปรับเปลี่ยนกันจนเป็นสถาปัตยกรรม SSO ที่แตกต่างกันออกไปตามการพัฒนาของแต่ละบริษัท อันประกอบด้วย
1) ส่วนอินเทอร์เฟซ เป็นส่วนของรูปแบบที่ SSO ใช้ในการโต้ตอบกับแอพพลิเคชัน มักจะอยู่ภายในเดสก์ทอปเอเจนต์
2) ส่วนดูแลจัดการ เป็นส่วนที่ใช้ในการเซตอัพ จัดการ และควบคุมดูแล SSO
3) ฐานข้อมูล จะเป็นที่เก็บข้อมูล ID และหลักฐานที่ใช้พิสูจน์ตัวผู้ใช้งานในเวลาที่ขอแอ็กเซสแอพพลิเคชันแต่ละตัว

สำหรับการนำเทคโนโลยี SSO มาใช้กำลังเป็นที่นิยมมาก โดยเฉพาะในยุคสังคมออนไลน์ (Social Networking) ที่มีการใช้งานเว็บไซต์ในรูปแบบต่างๆ ที่หลากหลาย ซึ่งเทคโนโลยีดังกล่าวกำลังจะเข้ามาช่วยให้ผู้ใช้งานไม่ต้องจำ Username หรือ Password จำนวนมากเพื่อการใช้งานผ่านบริการต่างๆ เช่น อีเมล์, chat, web page หรือแม้แต่บริการ Wi-Fi, Bluetooth, WiMAX, 3G, 802.15.4 สำหรับผู้ให้บริการ เป็นต้น ซึ่งตัวอย่างที่เห็นได้ชัดดังเช่นในการกรณีการพิสูจน์ตัวตนของสถาบันการเงินต่างๆ ที่กล่าวมาแล้วข้างต้น ที่ได้มีการพัฒนานำเทคโนโลยี SSO มาใช้ในการประยุกต์กับบริการของธนาคารให้มีความปลอดภัยเพิ่มมากขึ้น ดังเช่นกรณีของธนาคารกสิกรไทยที่ได้พัฒนาระบบสำหรับผู้ใช้บริการระบบ K-Payment Gateway ให้มีความสามารถเพิ่มขึ้น เพื่อรองรับความต้องการของร้านค้าออนไลน์ที่มาใช้กับบริการกับธนาคาร โดยหนึ่งในการพัฒนาที่ได้เพิ่มความสามารถระบบโดยนำเทคโนโลยี SSO ไปใช้คือ การเปลี่ยนแปลงด้าน Online Merchant Report (Merchant Reporting Application) โดยเพิ่มความสะดวกในการจัดการข้อมูลรายการสั่งซื้อของลูกค้าด้วยระบบ SSO ที่ทำให้ลูกค้าสามารถจัดการข้อมูลรายการสั่งซื้อทั้งสกุลเงินบาทและสกุลเงินตราต่างประเทศอื่นๆ ด้วย Username สำหรับ Login เข้า Online Merchant Report เพียงชุดเดียว หรือแม้แต่การใช้บริการ K-Cyber Banking ที่มีการเพิ่มความปลอดภัยยิ่งขึ้นด้วยรหัสผ่านใช้ครั้งเดียว One-Time Password (OTP) โดยทุกครั้งที่มีการทำธุรกรรมออนไลน์ที่มีความเสี่ยงตามที่ธนาคารกำหนดไว้ในเงื่อนไขเกิดขึ้น ระบบจะทำการส่งรหัสผ่าน OTP ไปยังโทรศัพท์เคลื่อนที่ของลูกค้า โดยลูกค้าจะต้องทำการกรอกรหัสผ่าน OTP ภายใน 6 นาที เพื่อแสดงความเป็นเจ้าของบัญชีก่อนที่ระบบจะดำเนินการต่อไป หากเลยระยะเวลาที่กำหนดแล้ว รหัสดังกล่าวจะถูกยกเลิกการใช้งานโดยทันที และลูกค้าจะต้องทำรายการนั้นใหม่อีกครั้ง ซึ่งนับเป็นอีกตัวอย่างหนึ่งที่มีการนำเทคโนโลยี SSO มาใช้และกำลังได้รับความนิยมในสถาบันการเงินภายในประเทศอีกหลายแห่งด้วยกัน

2. เทคโนโลยีเพื่อปกป้องเครือข่ายที่มีการเปลี่ยนแปลงอย่างต่อเนื่อง
การนำเทคโนโลยีมาใช้เพื่อรักษาความปลอดภัยของระบบเครือข่ายที่มีการเปลี่ยนแปลงตลอดเวลานับเป็นสิ่งที่มีความสำคัญอย่างยิ่งในปัจจุบัน โดยในปี 2552 นี้ คาดกันว่า องค์กรส่วนใหญ่จะต้องการระบบรักษาความปลอดภัยแบบเรียลไทม์ (Real time) มากขึ้น โดยเฉพาะอย่างยิ่งในการใช้งานผ่านเครือข่ายอินเทอร์เน็ตความเร็วสูง ซึ่งจะมีแนวโน้มที่องค์กรจะนิยมไปใช้งานเครือข่ายในรูปแบบไร้สายกันมากขึ้น โดยเราจะเห็นได้จาก อุปกรณ์พกพาเริ่มเข้ามาเป็นเครื่องมือหนึ่งที่ได้รับความนิยมในการใช้งานและเป็นส่วนหนึ่งของอุปกรณ์จำเป็นในชีวิตประจำวัน ซึ่งตัวอย่างที่เห็นได้ชัดคือในภาคธุรกิจที่ต้องการความสะดวกรวดเร็วและความคล่องตัวสูง ด้วยเหตุนี้เองจึงคาดกันว่า ในปี 2552 นี้หลายฝ่ายจะเริ่มให้ความสำคัญในการนำเทคโนโลยีต่างๆ เข้ามาใช้ในการรักษาความปลอดภัยของระบบเครือข่ายขององค์กรกันมากขึ้นเพื่อป้องกันการโจมตีของภัยคุกคามในรูปแบบต่างๆ สำหรับเทคโนโลยีที่ผู้เชี่ยวชาญได้กล่าวถึงกันไว้มีรายละเอียดดังต่อไปนี้

- Unified Threat Management (UTM)
Unified Threat Management หรือ UTM จัดเป็นเทคโนโลยีหนึ่งที่มีแนวโน้มจะได้รับความนิยมมากขึ้น เนื่องจากแนวโน้มของธุรกิจในอนาคตจะมีผู้ประกอบการ SME มากขึ้น และเทคโนโลยีดังกล่าวนี้นับได้ว่ามีประโยชน์กับภาคธุรกิจอย่างมาก ซึ่งเทคโนโลยี UTM ดังกล่าวเป็นการป้องกันภัยคุกคามระบบเครือข่ายโดยอาศัยอุปกรณ์ที่มีประสิทธิภาพสูงเพื่อช่วยปกป้องอุปกรณ์และเครือข่ายขององค์กรจากไวรัส แฮคเกอร์ สแปมเมล์ สปายแวร์และแอดแวร์ ตลอดจนภัยร้ายไซเบอร์ทุกรูปแบบ เพื่อให้การใช้งานอินเทอร์เน็ตขององค์กรมีประสิทธิภาพและปลอดภัยมากยิ่งขึ้น ปัจจุบันหลายบริษัทได้พัฒนาอุปกรณ์ UTM โดยรวมการป้องกันในรูปแบบ Firewall, เก็ตเวย์ระบบป้องกันไวรัส (Gateway Antivirus) เทคโนโลยีการป้องกันการบุกรุก (intrusion prevention) /การโจมตีของ Malware/Virus/Worm การป้องกันข้อมูลขยะ (Spam) รวมถึงการใช้งานเว็บไซต์ที่ไม่เหมาะสม (Content filtering) รวมเข้าไว้ในอุปกรณ์เดียวกัน ดังแสดงในภาพที่ 1 และภาพที่ 2

ภาพที่ 1

ภาพที่ 2

- Wi-Fi Mesh Connection
จากกระแสความนิยมที่แพร่หลายในการใช้งานระบบอินเตอร์เน็ตไร้สายในปัจจุบัน โดยที่กำลังได้รับความนิยมอย่างมากคือ Wi-Fi ซึ่งการใช้งานจะต้องเชื่อมโยงผ่าน Access Point ในรูปแบบการเชื่อมต่อแบบตาข่าย (Mesh) เพื่อให้ผู้ใช้งานสามารถเข้าถึงสู่ระบบเครือข่ายอินเทอร์เน็ตได้สะดวกยิ่งขึ้น สำหรับในปี 2552 นี้ มีการคาดการณ์ไว้ว่า ผู้ให้บริการ Wi-Fi ส่วนใหญ่จะมีแนวโน้มที่จะใช้ Application ในการเก็บบันทึกการใช้งานผู้ใช้ (Accounting Billing) และนำระบบ Network Intrusion Detection System (NIDS) มาใช้งานกันมากขึ้น โดย NIDS จะทำหน้าที่ในการการเฝ้าดู packet ที่วิ่งผ่านมาทางสาย (wire) ในเครือข่าย และพยายามที่จะค้นหาว่า hacker/cracker พยายามที่จะเจาะเข้าระบบสู่ระบบหรือไม่ ซึ่งตัวอย่างที่เห็นได้ชัดคือระบบที่จะเฝ้าตรวจ TCP connection request หรือว่า SYN ที่พยายามจะเชื่อมต่อมายัง port ต่างๆ ของเครื่องเป้าหมาย ซึ่ง NIDS นั้นอาจจะถูกติดตั้งบนเครื่องเป้าหมายเอง และจะคอยตรวจทุก traffic ของตัวเอง หรืออาจจะถูกติดตั้งบนเครื่องที่แยกอยู่ต่างหากและจะคอยตรวจทุก packet ที่ผ่านมาในเครือข่าย สรุปได้ว่า NIDS จะทำหน้าที่ในการเฝ้าระวังการบุกรุกหลากรูปแบบต่างๆ ให้กับระบบนั่นเอง เช่น การดักข้อมูล, การ crack ค่า wireless เพื่อเข้าถึงระบบ การปลอมตัวเป็นบุคคลอื่นโดยมิชอบ เป็นต้น

- Network Forensics
เทคโนโลยีเฝ้าระวังเชิงลึก (Network Forensics) เป็นอีกหนึ่งเทคโนโลยีที่มีแนวโน้มจะได้รับความสนใจในการนำมาเป็นส่วนหนึ่งของเทคโนโลยีเพื่อรักษาระบบด้านความปลอดภัยขององค์กรต่างๆ เนื่องจากปัจจุบันหลายองค์กรกำลังประสบปัญหาจากภัยคุกคามทางอินเทอร์เน็ตโดยเฉพาะการแพร่กระจายและการโจมตีในรูปแบบต่างๆ ที่ยากแก่การตรวจจับหรือวิเคราะห์โดยอาศัยเทคนิคแบบเดิม รวมถึงพนักงานในองค์กรที่มีทักษะการใช้คอมพิวเตอร์สูงขึ้นและอาจจะใช้ทรัพยากรไปในทางที่ไม่เหมาะสมนัก (Insider hacker) ดังนั้น เทคโนโลยีเฝ้าระวังเชิงลึกจึงจำเป็นอย่างยิ่งในการตรวจจับสิ่งผิดปกติที่อาจเกิดขึ้นผ่านระบบเครือข่าย เพื่อใช้ในการพิสูจน์หาหลักฐานทางอิเล็กทรอนิกส์ประกอบการดำเนินคดีต่างๆ

- Load Balancing Switch
เทคโนโลยีหนึ่งที่ใช้สำหรับ Core Network ในการป้องกันการสูญหายของข้อมูล (Data loss) โดยเฉพาะในอนาคตอันใกล้ที่ความเร็วในการรับส่งข้อมูลบนระบบเครือข่ายจะสูงขึ้น ซึ่งเทคโนโลยีดังกล่าวนี้จะช่วยกระจายโหลดไปยังอุปกรณ์ป้องกันภัยอื่นๆ ได้ เช่น Network Firewall, Network Security Monitoring เป็นต้น โดยไม่ทำให้ข้อมูลสูญหาย

3. เทคโนโลยีและทางเลือกอื่นๆ ในการรักษาความปลอดภัย
ปัจจุบันมีการพัฒนาเทคโนโลยีต่างๆ ที่เกี่ยวข้องด้านความปลอดภัยเพิ่มมากขึ้น ไม่ว่าจะเป็นการพัฒนาอุปกรณ์ที่จับต้องได้และเครื่องมือเสมือนในรูปแบบต่างๆ รวมถึงรูปแบบบริการที่กำลังเป็นที่นิยมคือ บริการ Outsourcing ด้านการรักษาความปลอดภัย รวมถึงแนวโน้มการใช้ซอฟต์แวร์ในรูปแบบบริการ SaaS (Software as a Service) ที่เพิ่มขึ้น สำหรับในปี 2552 นี้ เทคโนโลยีหนึ่งที่มีการกล่าวถึงกันมากและคาดว่าจะเข้ามาได้รับความนิยมที่จะขอนำเสนอรายละเอียดในที่นี้คือ Cloud Computing นั่นเอง

- Cloud Computing
หากจะกล่าวถึงเทคโนโลยี Cloud Computing หรือที่หลายคนเรียกว่าเป็นเทคโนโลยีที่เน้นบริการที่รองรับการประมวลผลแบบคลาวน์นั้น นับเป็นเทคโนโลยีใหม่ที่กำลังมาแรงที่หลายฝ่ายกำลังให้ความสนใจและมีการพัฒนาผลิตภัณฑ์จากหลายบริษัทออกมาแข่งกันมากขึ้น ซึ่งผู้เชี่ยวชาญหลายท่านคาดการณ์ว่า ในปี 2552 นี้เราจะได้เห็นผลิตภัณฑ์ที่พัฒนาขึ้นบนแนวคิด Cloud Computing กันมากยิ่งขึ้น ซึ่งในโลกยุคปัจจุบันที่มีการขยายตัวเพิ่มขึ้นของระบบสารสนเทศเพื่อใช้ในการเก็บข้อมูลและใช้งาน Application ต่างๆ ที่กำลังพัฒนาไปอย่างรวดเร็ว ดังนั้น เทคโนโลยีดังกล่าวจะถูกนำมาใช้เพื่อเพิ่มประสิทธิภาพในการประมวลผลเพื่อรองรับกับการทำงานของข้อมูลที่มีขนาดใหญ่โดยอาศัยแนวคิดเทคโนโลยี Clustering เข้ามาเป็นเทคนิคที่ช่วยในการแชร์ทรัพยากรการประมวลผลที่ทำงานพร้อมกันหลายเครื่องได้ จึงมีส่วนทำให้ผู้ใช้สามารถใช้งาน Application ได้รวดเร็วยิ่งขึ้น

        สำหรับเทคโนโลยี Cloud Computing นั้นเป็นการนำระบบสารสนเทศ (บางส่วนหรือทั้งหมด) ไปติดตั้งหรือโฮสต์บนอินเทอร์เน็ต โดยมีองค์กรที่สาม (Third Party) เป็นผู้จัดเตรียมทรัพยากรคอมพิวเตอร์และดูแลระบบสารสนเทศของลูกค้าที่ได้นำมาติดตั้ง โดยระบบส่วนใหญ่ของผู้ให้บริการจะพัฒนาให้สามารถปรับได้ตามภาระงานที่เกิดขึ้น เช่น ในกรณีที่มีจำนวนงานหรือโปรแกรมมีการประมวลผลมากขึ้น การรองรับจำนวนผู้เข้ามาใช้งานระบบที่เพิ่มขึ้น การเก็บข้อมูลขนาดใหญ่ เป็นต้น ซึ่งหากพิจารณากันจริงๆ แล้ว การดำเนินธุรกิจด้านนี้ไม่ต่างจากธุรกิจแบบ outsourcing หรือการจ้างบุคลากร/บริษัทภายนอกเข้ามาทำงานแทน ซึ่งปัจจุบันหลายองค์กรได้เริ่มหันมาใช้วิธีการเช่นนี้กันมากขึ้น แม้แต่ธนาคารและสถาบันการเงินต่างๆ ก็ยังมีการจ้างบริษัทอื่นมาดูแลงานด้านไอทีเช่นกัน ซึ่งในด้านพัฒนาการของเทคโนโลยีดังกล่าวนั้น มีนักวิชาการหลายท่านกล่าวว่า จริงๆ แล้ว Cloud Computing เป็นเทคโนโลยีที่มีวิวัฒการเชิงบูรณาการมาจาก Grid Computing นั่นเอง ดังแสดงในภาพที่ 3

ภาพที่ 3

        สำหรับบริการหลักของ Cloud นั้น สามารถแบ่งได้เป็น 2 ประเภทคือ Cloud Computing ซึ่งใช้สำหรับการรันหรือประมวลผลระบบสารสนเทศบนเครือข่ายอินเทอร์เน็ต และอีกประเภทหนึ่งคือ Cloud Storage ใช้เก็บข้อมูลบนอินเทอร์เน็ต ซึ่งปัจจุบันเราจะเห็นได้ชัดว่ามีหลายบริษัทพยายามพัฒนาผลิตภัณฑ์ออกมานำเสนอกันมากมายดังเช่นบริษัทด้านไอทียักษ์ใหญ่และมีชื่อเสียงอย่างไมโครซอฟต์เองก็กำลังพัฒนาบริการ Cloud Computing ภายใต้ชื่อ "Red Dog" ไว้เป็นคู่แข่งกับ Cloud Computing ของ Google (Google App Engine) และ Amazon (Amazon EC2) และในส่วนบริการพื้นที่จัดเก็บข้อมูลออนไลน์ของทางไมโครซอฟต์ที่เปิดให้บริการในตอนนี้คือ SkyDrive ซึ่งยังไม่นับว่าเป็น Cloud Storage อย่างเต็มตัว แต่ในปัจจุบันนี้ มีบริการที่เป็น Cloud Storage อยู่หลายตัวด้วยกัน เช่น Amazon S3, Apple's MobileMe, Symantec's SwapDrive, Humyo, XDrive, และ ADrive เป็นต้น

        ในปี 2552 นี้ เราคงจะได้เห็นแนวโน้มการนำ Cloud Computing มาใช้เป็นหนึ่งเทคโนโลยีใหม่ที่จะเข้ามาเป็นอีกทางเลือกหนึ่งในด้านการบริการเพื่อรองรับการประมวลผลสำหรับงานที่เกี่ยวข้องด้านความปลอดภัยกันมากขึ้นเพื่อรองรับกับการใช้งานในยุคดิจิตอลที่ต้องอาศัย Application ที่สามารถตอบสนองความต้องการของผู้ใช้งานได้อย่างรวดเร็วและทันต่อการเปลี่ยนแปลงที่เกิดขึ้นอย่างต่อเนื่อง รวมถึงยังเป็นช่องทางหนึ่งที่อำนวยความสะดวกให้ผู้ใช้งานสามารถเข้าสู่ยุคโลกเสมือนจริง (Virtualization) ได้โดยง่าย อีกทั้งยังช่วยลดทรัพยากรของเครื่องคอมพิวเตอร์และจัดเป็นอีกเทคโนโลยีที่เป็นมิตรกับสิ่งแวดล้อม (Green IT) ด้วย

        นอกจากเทคโนโลยีที่ได้กล่าวถึงไปแล้วนั้น ยังได้มีการคาดการณ์ถึงเทคโนโลยีด้านอื่นๆ รวมถึงทางเลือกที่จะนำมาใช้ในการรักษาความปลอดภัยที่น่าสนใจในปี 2552 ไว้ดังต่อไปนี้
การคุ้มครองสภาพแวดล้อมแบบ Virtualization
เทคโนโลยี Virtualization ได้ถูกนำมาใช้เป็นเครื่องมือหนึ่งในรักษาความปลอดภัย (Virtual Machine Security)โดยทำหน้าที่ในการแบ่งแยกและป้องกันระบบในสภาพแวดล้อมที่ต้องการความปลอดภัยสูงออกจากสภาพแวดล้อมปกติที่ใช้ระบบปฏิบัติการทั่วไป โดยเทคโนโลยีดังกล่าวจะช่วยสร้างสภาพแวดล้อมที่ปลอดภัยสำหรับระบบงานที่มีความสำคัญสูง เช่น ระบบ Internet Banking เป็นต้น อย่างไรก็ตาม เทคโนโลยีดังกล่าวส่งผลให้ปัจจุบันเกิดสภาพแวดล้อมเสมือนจริงหรือ Virtualization ขึ้น ซึ่งเป็นสิ่งที่องค์กรธุรกิจจำเป็นต้องคำนึงถึงว่าจะดำเนินการอย่างไรเพื่อให้ได้มาตรฐาน ในกรณีที่ต้องมีการคุ้มครองลักษณะการแบ่งใช้ทรัพยากรทางด้านไอทีสำหรับพนักงานในองค์กร โดยที่สภาพแวดล้อมดังกล่าวมีการเปลี่ยนแปลงอย่างต่อเนื่อง ซึ่งวิธีหนึ่งที่สามารถทำได้คือ การทำให้สภาพแวดล้อมไอทีขององค์กรมีความยืดหยุ่นสูงและสามารถตอบสนองความต้องการที่เปลี่ยนแปลงอยู่ตลอดเวลาได้อย่างปลอดภัยและมีประสิทธิภาพ
        การบริหารความเสี่ยงและการปฎิบัติตามกฎระเบียบ ซึ่งความสามารถในการบริหารและควบคุมความเสี่ยงและการปฎิบัตามระเบียบยังคงเป็นเรื่องสำคัญต่อกลยุทธ์ด้านการรักษาความปลอดภัยขององค์กร ประกอบกับบทบาทใหม่ของผู้บริหารฝ่ายรักษาความปลอดภัยสารสนเทศ (Chief Information Security Officer: CISO) จำเป็นต้องอาศัยแนวทางที่มุ่งเน้นความเสี่ยงทางธุรกิจโดยมีการใช้นโยบายและการควบคุมดูแลอย่างเหมาะสมเพื่อบริหารจัดการระบบรักษาความปลอดภัยทางด้านไอทีที่มีประสิทธิภาพ นอกจากนี้ ในปี 2552 นี้ ยังมีแนวโน้มในเรื่องการจัดทำมาตรฐานเป็นหมวดหมู่ให้สอดคล้องกับความปลอดภัยข้อมูลในองค์กร โดยนำ Log ที่เกิดขึ้นจากการใช้งานมาจัดเปรียบเทียบตามมาตรฐานต่างๆ เช่น ISO27001 สำหรับความปลอดภัยในองค์กร, PCI / DSS สำหรับการทำธุรกรรมการเงิน , HIPAA สำหรับธุรกิจโรงพยาบาล, พรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ที่มีเป้าหมายเพื่อสืบหาผู้กระทำความผิดด้านอาชญากรรมคอมพิวเตอร์ เป็นต้น

        ในส่วนสุดท้ายที่จะขอกล่าวถึงสำหรับแนวโน้มเทคโนโลยีด้านความปลอดภัยที่จะเกิดขึ้นในปี 2552 นั้น ขอนำส่วนหนึ่งของรายงานของบริษัท IBM ที่ได้กล่าวถึงปัจจัยหลัก 9 ประการที่มีความสำคัญในการผลักดันความต้องการด้านการรักษาความปลอดภัยมากล่าวถึงไว้เพื่อให้เห็นถึงบทสรุปภาพรวมของแนวโน้มที่จะเกิดขึ้นในอนาคตจากปัจจัยดังกล่าว ดังต่อไปนี้
สภาพแวดล้อมไอทีที่มีการเปลี่ยนแปลงอย่างต่อเนื่องและสามารถตอบสนองความต้องการที่ยืดหยุ่นและเปลี่ยนแปลงได้ตลอดเวลา
การแสดงตัวตนทางอิเล็กทรอนิกส์ (Electronic identity) โดยคำนึงถึงเรื่องรายละเอียดและงานหลักที่สำคัญขององค์กร
แนวโน้มที่พนักงานในองค์กรจะเรียกร้องการควบคุมอย่างเข้มงวดและปกป้องสิทธิส่วนบุคคลมากขึ้นโดยเฉพาะการปกป้องข้อมูลส่วนบุคคลและการแสดงตัวตนทางออนไลน์
Application ที่ปลอดภัย มีเสถียรภาพ ความยืดหยุ่นและปรับแต่งได้ที่สามารถช่วยเพิ่มความสะดวกในการตอบสนองต่อความต้องการทางธุรกิจที่เปลี่ยนแปลงอยู่ตลอดเวลา
การรองรับความต้องการขององค์กรในเรื่องการควบคุมสภาพแวดล้อมไอที
แนวทางการจัดการระบบรักษาความปลอดภัยทางด้านไอทีโดยมุ่งเน้นความเสี่ยงด้านการปฏิบัติงานและความเสี่ยงทางธุรกิจ
อุปกรณ์พกพาจะเป็นเครื่องมือที่ใช้แสดงตัวตนของบุคคล รวมทั้งเป็นเครื่องมือสำคัญทางธุรกิจ
การตัดสินใจในเรื่องที่มีความเสี่ยงสูงจะทำโดยอาศัยแหล่งข้อมูลที่ปลอดภัยและเชื่อถือได้
ระบบไอทีที่สามารถรับรู้และตอบสนองต่อสภาพแวดล้อมที่แท้จริง


ตัวอย่างระบบรักษาความปลอดภัยขององค์กร
ระบบรักษาความปลอดภัยของ ธนาคาร กรุงเทพ

Secure Socket Layer (SSL) คืออะไร

Secure Sockets Layer หรือ SSL คือ เครื่องมือทางเทคโลยีชั้นสูงที่ธนาคารนำมาใช้เพื่อรักษาความลับข้อมูล ทุกครั้งที่เข้าสู่บริการบัวหลวง ไอแบงก์กิ้ง ระบบบจะทำการเข้ารหัส คือ สลับที่ข้อมูลและแปลงเป็นรหัสตัวเลขทั้งหมด ถึงแม้ว่าผู้ไม่ประสงค์ดีจะผ่านเข้าระบบ SSL ซึ่งเป็นไปได้ยากมาก ก็ยังไม่สามารถอ่านข้อมูลได้ การถอดรหัสเพื่อแปลงตัวเลขเป็นภาษาไทยหรืออังกฤษ ไม่สามารถกระทำได้ นอกจากจะมีกุญแจอิเล็กทรอนิกส์ที่ถูกต้อง อย่างไรก็ตาม การถอดรหัสโดยไม่ทราบเลขกุญแจแทบเป็นไปไม่ได้เนื่องจากจำนวนหลักเลขของกุญแจสูงมาก
Secure Socket Layer (SSL) ของธนาคารกรุงเทพปลอดภัยขนาดไหน

ธนาคารใช้ SSL เวอร์ชั่นล่าสุดซึ่งธนาคารชั้นนำส่วนใหญ่เลือกใช้ เนื่องจากมีประสิทธิภาพในการรักษาความปลอดภัยขั้นสูง หน้าที่ของ SSL คือ สลับที่ข้อมูลและแปลงเป็นรหัสตัวเลขทั้งหมด ยิ่งความละเอียดในการเข้ารหัสมีมากเท่าไร ความปลอดภัยก็ยิ่งสูงขึ้นเท่านั้น ระดับความละเอียดของการเข้ารหัสมีหน่วยเป็น บิท โดยบัวหลวง ไอแบงก์กิ้ง ได้ใช้การเข้ารหัสระดับ 256 บิท
ระบบโดยรวมของบัวหลวง ไอแบงก์กิ้งมีความปลอดภัยขนาดไหน

ในฐานะธนาคารชั้นนำของประเทศ ธนาคารตระหนักดีว่าชื่อเสียงของธนาคารขึ้นอยู่กับความมั่นคงและความปลอดภัยของบริการ ธนาคารจึงเลือกผู้เชี่ยวชาญทางด้านระบบคอมพิวเตอร์และระบบรักษาความปลอดภัยของบริษัทชั้นนำระดับโลก มาทำงานร่วมกับธนาคาร เพื่อให้ได้ระบบที่มีความปลอดภัยมากที่สุด ระบบของธนาคารได้รับการตรวจสอบและการรับรองจากบริษัทที่มีชื่อเสียงระดับโลกด้านระบบรักษาความปลอดภัยว่าได้มาตรฐานสากล
อุปกรณ์ทางเทคโลยีอื่นๆที่ธนาคารใช้กับระบบรักษาความปลอดภัยมีอะไรบ้าง

นอกจาก SSL และการเข้ารหัสข้อมูล หรือ การ Encryption แล้ว ธนาคารยังมีอุปกรณ์ที่ใช้รักษาความปลอดภัยของระบบอย่างอื่น เพื่อทำให้ธนาคารเป็นหนึ่งในเว็บไซต์ทางการเงินที่ปลอดภัยที่สุดแห่งหนึ่ง

ธนาคารได้ติดตั้ง Firewall หลายชั้น ซึ่งเป็นเทคโนโลยีที่ทำการป้องกันผู้บุกรุกเข้า-ออกระบบ นอกจากนี้ ระบบของธนาคารยังมีซอฟท์แวร์ทำลายไวรัสและซอฟท์แวร์ที่สามารถตรวจจับการบุกรุกหรือการกระทำที่น่าสงสัยผ่านระบบ และหากท่านเปิดหน้าจอทิ้งไว้ โดยไม่มีการทำรายการใดๆ ผ่านหน้าจอระยะหนึ่ง ระบบจะทำการ Sign Off แทนท่านโดยอัตโนมัติ ฟังก์ชั่นพิเศษนี้มีไว้เพื่อป้องกันมิให้ผู้อื่นเข้ามาทำรายการในบัญชีแทนท่านโดยไม่ได้รับอนุญาตขณะที่ท่านเปิดหน้าจอทิ้งไว้

นอกจากนี้ ท่านจะได้รับรหัสลับแรกเข้า (PIN) เฉพาะสำหรับท่าน หลังจากเข้าสู่บริการเป็นครั้งแรก ระบบจะให้ท่านเปลี่ยนรหัสลับแรกเข้า (PIN) ให้เป็นรหัสลับส่วนตัว (Password) ซึ่งหากท่านต้องการเปลี่ยนรหัสลับส่วนตัว (Password) ในภายหลัง ท่านสามารถทำได้ทุกครั้งตามต้องการ บุคคลอื่นรวมทั้งพนักงานของธนาคารไม่สามารถทราบรหัสลับของท่านได้ ธนาคารจะระงับการใช้งานทันทีเมื่อท่านพิมพ์รหัสลับส่วนตัว (Password) ผิด 3 ครั้งติดต่อกัน

อีกหนึ่งหลักประกันความปลอดภัยของท่าน เว็บไซต์ของธนาคารยังได้รับ Verisign Certificate ซึ่งเป็นใบรับรองที่ออกโดยบริษัท Verisign Inc. ที่สามารถยืนยันได้ว่าท่านกำลังทำธุรกรรมกับบัวหลวง ไอแบงก์กิ้ง

หากท่านต้องการอ่านข้อมูลเพิ่มเติมเกี่ยวกับระบบรักษาความปลอดภัยของธนาคาร กรุณาคลิกที่นี่
จะทราบได้อย่างไรว่าระบบรักษาความปลอดภัยของบัวหลวง ไอแบงก์กิ้ง กำลังทำงานอยู่

หากระบบรักษาความปลอดภัยกำลังทำงาน ท่านจะเห็นไอคอนเป็นรูปกุญแจปิดที่ด้านล่างขวามือของจอคอมพิวเตอร์ หากท่านเลื่อนเมาส์ไว้ที่รูป "กุญแจ" จะปรากฎข้อความ "SSL Secured" ขึ้นมา ซึ่งหมายความว่าข้อมูลของท่านกำลังได้รับการเข้ารหัส หากท่านต้องการอ่านข้อมูลเพิ่มเติมกรุณาคลิก
สองครั้งที่ไอคอนรูปกุญแจปิด
จะเพิ่มความปลอดภัยในการใช้บริการด้วยตนเองได้อย่างไรบ้าง
เก็บรักษาเลขประจำตัวลูกค้า (User ID) รหัสลับแรกเข้า (PIN) และรหัสลับส่วนตัว (Password ) ของท่านเป็นความลับ อย่าจดรหัสไว้ที่เครื่องคอมพิวเตอร์หรือที่ที่บุคคลอื่นสามารถพบเห็นได้ง่าย และควรตรวจดูให้แน่ใจว่าขณะใส่รหัสลับท่านไม่ได้อยู่ในสายตาผู้อื่น

ธนาคารไม่มีนโยบายในการสอบถามข้อมูลส่วนตัวของท่านผ่านอีเมล์ โทรศัพท์ หรือการติดต่อรูปแบบอื่นๆ หากมีผู้ติดต่อท่านเพื่อสอบถามข้อมูลส่วนตัวดังกล่าว โปรดติดต่อเจ้าหน้าที่ธนาคารทันทีที่บัวหลวงโฟน โทร. 1333 หรือ (66) 0-2645-5555 ทุกวัน ตลอด 24 ชั่วโมง
ท่านควรเปลี่ยนรหัสลับส่วนตัว (Password) อยู่เสมอ และไม่ควรใช้ตัวเลขที่บุคคลอื่นสามารถคาดเดาได้ง่าย เช่น วันเกิด หมายเลขโทรศัพท์ หรือเลขที่บ้าน
คลิก "ออกจากระบบ" ทุกครั้ง ที่ต้องการออกจากบริการ และไม่เปิดหน้าจอคอมพิวเตอร์ทิ้งไว้จนกว่าจะทำรายการเสร็จ
ติดตั้งแอพพลิเคชั่น/ซอฟท์แวร์กำจัดไวรัส (Anti-virus Software) บนโทรศัพท์มือถือ สมาร์ทโฟน แท็บเล็ต หรือคอมพิวเตอร์ โดยเฉพาะที่ใช้ทำธุรกรรมออนไลน์ และอัพเกรดซอฟท์แวร์อยู่เสมอ
หลีกเลี่ยงการใช้คอมพิวเตอร์ร่วมกับผู้อื่น เช่น ในร้านอินเทอร์เน็ต เพราะอาจไม่มีระบบความปลอดภัยที่ดีพอ
หลีกเลี่ยงการคลิกลิงก์ (URL) ที่ส่งมากับ SMS หรืออีเมลหลอกลวง
หลีกเลี่ยงการดาวน์โหลด หรือติดตั้งโปรแกรมจากแหล่งที่ไม่น่าเชื่อถือ

ธนาคารไม่มีนโยบายส่ง SMS หรืออีเมล เพื่อขอให้ท่านดาวน์โหลดหรือติดตั้งโปรแกรมใดๆ สำหรับการทำธุรกรรมต่างๆ กับธนาคาร ดังนั้น หากท่านได้รับข้อความในทำนองดังกล่าว หรือได้ทำการคลิกลิงก์เพื่อดาวน์โหลดโปรแกรมที่ต้องสงสัยไปแล้ว โปรดติดต่อเจ้าหน้าที่ธนาคารทันทีที่บัวหลวงโฟน โทร. 1333 หรือ (66) 0-2645-5555 ทุกวัน ตลอด 24 ชั่วโมง
หลีกเลี่ยงการทำธุรกรรมทางการเงินผ่านอุปกรณ์ที่ได้รับการดัดแปลงระบบปฏิบัติการ (jail break สำหรับระบบปฏิบัติการ iOS และ root สำหรับระบบปฏิบัติการแอนดรอยด์)
ทำอย่างไรหากมีคนทราบรหัสลับส่วนตัว (Password) ของท่าน

เปลี่ยนรหัสลับส่วนตัว (Password) ทันที หรือติดต่อเจ้าหน้าที่บริการบัวหลวงโฟน ที่หมายเลข 1333 หรือ (66) 0-2645-5555 เพื่อขอระงับการใช้บริการ
จะทำอย่างไรถ้าหน้าต่าง Security Information ปรากฏข้อความว่า "This page contains both secure and nonsecure items"

หน้าต่าง Security Information


หน้าต่างนี้จะปรากฏขึ้นเมื่อท่านคลิกลิงค์อื่นขณะที่ข้อมูลของท่านยังไม่ได้รับการดำเนินการโดยเรียบร้อย ข้อมูลสำคัญของเราทั้งหมด เช่น เลขที่บัญชี และเลขที่บนบัตรเครดิตของท่านจะยังคงถูกเข้ารหัสและปลอดภัยแม้ว่าหน้าต่างนี้จะหายไปแล้วก็ตาม

คลิก "Yes" เพื่อใช้บริการบัวหลวง ไอแบงก์กิ้งต่อ แม้ว่าหน้าต่างนี้ Security Information จะหายไป เลขที่บัญชี และเลขที่บนบัตรเครดิตของท่านจะยังคงถูกเข้ารหัสและปลอดภัยอยู่

แต่ถ้าท่านคลิก "No" ท่านอาจจะพบกับหน้าผิดพลาดได้ จึงควรคลิกปุ่ม Back เพื่อที่จะกลับไปยังหน้าก่อนหน้านี้ อย่างไรก็ตามถ้าหน้าผิดพลาดไม่ได้ปรากฏขึ้น การดำเนินการของเราก็จะยังคงปลอดภัยและท่านก็สามารถใช้บริการต่อไปได้

หากท่านไม่ต้องการให้หน้าต่าง Security Information นี้ปรากฏขึ้นมาอีก ท่านควรรอให้ข้อมูลของท่านได้รับการดำเนินการโดยเรียบร้อยก่อนที่ท่านจะคลิกลิงค์อื่น
หากใช้ Internet Café ในการเข้าสู่ระบบบัวหลวง ไอแบงก์กิ้ง จะต้องทำอย่างไรเพื่อมิให้ผู้อื่นเห็น หรือใช้บัญชีของท่าน

ธนาคารแนะนำให้ท่าน Log off ออกจากระบบทุกครั้ง เมื่อท่านเลิกใช้บริการ หรือหากท่านจะทิ้งหน้าจอไว้เป็นระยะเวลานาน นอกจากนี้ ท่านยังสามารถป้องกันมิให้ผู้อื่นเห็นหน้าของเว็บไซต์ที่ท่านเข้าเยี่ยมชมได้ โดยการคลิกที่เมนู "Tool" และเลือก "Option" หลังจากนั้น หน้าจอของ "Option" จะปรากฏ ให้คลิกที่ปุ่ม "Delete Files" ตามรูป และให้ลบ Internet Temporary Files และลบ History ออกให้หมด


เขียนโดย ที่

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)