มาตรการ และวิธีการรักษาความมั่นคงปลอดภัยเว็บไซต์

ห้องปฏิบัติการวิจัยปริวรรตและนวัตกรรมทางการแพทย์ (TrimLAB) ได้ตระหนักถึงความสำคัญในการรักษาความมั่นคงปลอดภัยเว็บไซต์ เพื่อปกป้องข้อมูลของผู้ใช้บริการจากการถูกทำลาย หรือบุกรุกจากผู้ไม่หวังดี หรือผู้ที่ไม่มีสิทธิ์ในการเข้าถึงข้อมูล จึงได้กำหนดมาตรการรักษาความมั่นคงปลอดภัยเว็บไซต์ โดยใช้มาตรฐานการรักษาความปลอดภัยของข้อมูลขั้นสูง ด้วยเทคโนโลยี Secured Socket Layer (SSL) หรือ Transport Layer Security (TLS) ซึ่งเป็นเทคโนโลยี ที่ใช้ คู่กับโปรโตคอล HTTP ในการเข้ารหัสข้อมูลที่ถูกส่งผ่านเครือข่ายอินเทอร์เน็ตในทุกครั้งที่มีการทำธุรกรรมผ่านเครือข่ายอินเทอร์เน็ตของ TrimLAB ทำให้ผู้ที่ดักจับข้อมูลระหว่างทางไม่สามารถนำข้อมูลไปใช้ต่อได้ โดยจะใช้การเข้ารหัสเป็นหลักในการรักษาความปลอดภัยของข้อมูล โดยผู้ใช้บริการสามารถสังเกตได้จากชื่อโพรโตคอลที่เป็น https://

SSL เป็นโปรโตคอลที่พัฒนาโดย Netscape ในปี 1995 สำหรับการเชื่อมต่อแบบความปลอดภัย ( secure connection protocol) ระหว่างเว็บเบราว์เซอร์และเว็บเซิร์ฟเวอร์ หรือระบบอื่น ๆ ที่ใช้การสื่อสารผ่านอินเท อร์เน็ต โดย SSL จะช่วยเข้ารหัสข้อมูลที่ถูกส่งไปยังเว็บไซต์เพื่อป้องกันการดักจับข้อมูลและการแฮกเกอร์ที่อาจจะเข้าถึงข้อมูลส่วนตัวของผู้ใช้งานได้ นอกจากนี้ SSL ยังช่วยให้ผู้เข้าชมเว็บไซต์สามารถตรวจสอบได้ว่าเว็บไซต์ที่พวกเขาเยี่ยมชมเป็นเว็บไซต์ที่ถูกต้องและมีค วามปลอดภัยหรือไม่ โดยการมองหาตัวรับรอง SSL ที่ปรากฏอยู่บนเว็บเบราว์เซอร์ ซึ่งจะแสดงว่าการเชื่อมต่อกับเว็บไซต์นั้นเป็นการเชื่อมต่อแบบปลอดภัย ( secure connection)

TLS ถือเป็นเวอร์ชันที่พัฒนามาจาก SSL และมีการปรับปรุงเพื่อเพิ่มความปลอดภัยและประสิทธิภาพในการเชื่อมต่อ โดยทั่วไปแล้ว TLS ถูกพัฒนาขึ้นเพื่อแก้ไขบางข้อจำกัดที่พบใน SSL และป้องกันการโจมตีแบบใหม่ที่อาจเกิดขึ้น นอกจากนี้ TLS ยังมีการเข้ารหัสที่มีความปลอดภัยสูงกว่า SSL โดยเฉพาะในการเข้ารหัสแบบก้าวห น้า ( advanced encryption) ซึ่งทำให้มีความสามารถในการป้องกันการดักจับข้อมูลและการแฮกเกอร์ที่สูงกว่า SSL อีกด้วย ดังนั้น TLS ถือว่าดีกว่า SSL เนื่องจากมีการปรับปรุงเพื่อเพิ่มความปลอดภัยและประสิทธิภาพในการเชื่อมต่อ นอกจากนี้ TLS ยังเป็นโปรโตคอลที่ได้รับการยอม รับและใช้งานกันอย่างแพร่หลายในปัจจุบัน โดยส่วนใหญ่แล้วเว็บไซต์และแอปพลิเคชันต่าง ๆ ใช้ TLS เป็นโปรโตคอลสำหรับการเชื่อมต่อแบบความปลอดภัย

ปัจจุบัน TLS 1.3 ถือเป็นเวอร์ชันล่าสุดของ TLS โดยมีการปรับปรุงและพัฒนาความปลอดภัยและประสิทธิภาพในการเชื่อมต่อ ใช้การเข้ารหัสแบบก้าวหน้า ( advanced encryption) และลดการใช้งาน ทรัพยากร ข องเว็บเซิร์ฟเวอร์ (handshaking) ที่เป็นจุดอ่อนของเวอร์ชันก่อนหน้า นอกจากนี้ TLS 1.3 ยังมีการปรับปรุงเรื่องการ จัดการรหัสลั บ ที่ใช้ไปแล้ว forward secrecy) และการลดการใช้งานของการเข้ารหัสแบบก้าวหน้าเมื่อเว็บไซต์มีการส่งข้อมูลใหญ่ ๆ ที่อาจจะทำให้เกิดช่องโหว่ ( vulnerabilities) ขึ้นได้

ขนาดของ SSL/TLS (key size) ที่แนะนำคือขั้นต่ำ 128 bits ซึ่งถือว่ามีความปลอดภัยสูงและยากต่อการถอดรหัส และ มี การใช้งานอย่างกว้างขวางในการป้องกันการขโมยข้อมูลและการเข้าถึงข้อมูลจากบุคคลที่ไม่มีสิทธิ์ อย่างไรก็ตาม การใช้งาน 128 bits encryption ยังไม่สามารถป้องกันการโจมตีด้วย brute-force attack ที่ใช้เวลาและทรัพยากร มากเพื่อลองทำลาย key ได้ ดังนั้น ในการเลือกใช้ encryption นั้นจะต้องพิจารณาองค์ประกอบอื่น ๆ เช่น อัลกอรึทึม (algorithm) และการส่งข้อมูลในระบบเครือข่ายเพื่อเพิ่มความปลอดภัยของการสื่อสารในระบบอีกด้วย

QUIC (Quick UDP Internet Connections) เป็นโปรโตคอลของการเชื่อมต่อระหว่างเว็บเบราว์เซอร์และเว็บเซิร์ฟเวอร์ โดยใช้โพรโทคอล UDP แทน TCP ที่ใช้ใน HTTP และ HTTPS โดยทั่วไปถูกพัฒนาขึ้นโดย Google เพื่อเพิ่มประสิทธิภาพและความปลอดภัยของการเชื่อมต่อ เนื่องจาก TCP มีปัญหาบางอย่าง เช่น การ ควบคุม การ ถ่ายโ อนข้อมูล ( congestion control) ที่ช้า และต้องมีการส่ ง ข้อมูล ซ้ำๆretransmission) ในกรณีที่เกิดข้อผิดพลาด ซึ่งส่งผลให้ เกิด ความล่าช้า ในการเรียกใช้ เว็บไซต์ QUIC ยัง มีความเร็วในการเชื่อมต่อที่ดีกว่า TCP และมีความปลอดภัยสูงกว่าด้วยการเข้ารหัสข้อมูลและการยืนยันตั วตน นอกจากนี้QUIC ยังสามารถปรับปรุงและพัฒนาการเชื่อมต่อได้ง่ายขึ้น โดยไม่ต้องรอการอัพเดตโปรโตคอลใหม่ ซึ่งทำให้มีประสิทธิภาพการเชื่อมต่อที่ดีกว่าในระยะยาวและช่วยลดการ เกิดช่อง โหว่จากการใช้งานโปรโตคอลเดิม

การติดตั้ง QUIC สามารถดำเนินการได้ ผ่านโปรโตคอล HTTP/3 แต่ยังถูกจำกัดกับเว็บเบราว์เซอร์และเซิร์ฟเวอร์บางรุ่น ซึ่งในอนาคตอันใกล้ อาจจะมีการใช้งานที่แพร่หลายมากยิ่งขึ้น และมีการรองรับมากยิ่งขึ้น เพื่อความสะดวกในการติดตั้งและใช้งาน

เทคโนโลยีเสริมที่นำมาใช้ในการรักษาความมั่นคงปลอดภัย

นอกจากมาตรการ และวิธีการรักษาความมั่นคงปลอดภัยโดยทั่วไปที่กล่าวข้างต้นแล้ว TrimLAB ยังใช้เทคโนโลยีระดับสูงดังต่อไปนี้ เพื่อปกป้องข้อมูลส่วนตัวของท่าน

• Firewall เป็นระบบซอฟท์แวร์ที่จะอนุญาตให้เฉพาะผู้ที่มีสิทธิ หรือผู้ที่ TrimLAB อนุมัติเท่านั้นจึงจะผ่าน Firewall เพื่อเข้าถึงข้อมูลได้
• Scan Virus นอกจากเครื่องคอมพิวเตอร์ทุกเครื่องที่ให้บริการจะมีการติดตั้ง Software ป้องกัน Virus ที่มีประสิทธิภาพสูงและ Update อย่างสม่ำเสมอแล้ว TrimLAB ยังได้ติดตั้ง Scan Virus Software บนเครื่อง Server โดยเฉพาะอีกด้วย
• Cookies เป็นไฟล์คอมพิวเตอร์เล็กๆ ที่จะทำการเก็บข้อมูลชั่วคราวที่จำเป็นลงในเครื่องคอมพิวเตอร์ของผู้ขอใช้บริการ เพื่อความสะดวกและรวดเร็วในการติดต่อสื่อสาร อย่างไรก็ตาม TrimLAB ตระหนักถึงความเป็นส่วนตัวของผู้ใช้บริการเป็นอย่างดี จึงหลีกเลี่ยงการใช้ Cookies แต่ถ้าหากมีความจำเป็นต้องใช้ Cookies ทางแล็บจะพิจารณาอย่างรอบคอบ ตระหนักถึงความปลอดภัย และความเป็นส่วนตัวของผู้ขอรับบริการเป็นหลัก
• Auto Log off ในการใช้บริการของ TrimLAB หลังจากเลิกการใช้งานควร Log off ทุกครั้ง กรณีที่ผู้ใช้บริการลืม Log off ระบบจะทำการ Log off ให้โดยอัตโนมัติภายในเวลาที่เหมาะสมของแต่ละบริการ ทั้งนี้ เพื่อความปลอดภัยของผู้ใช้บริการเอง
• การใช้งานใบรับรองอิเล็กทรอนิกส์ (Electronic Certificate) สำหรับการรับรอง SSL/TLS key จากผู้ให้บริการออกใบรับรอง ( Certificate Authority) ที่ น่าเชื่อถือ ก็สามารถ เสริมความมั่นใจให้กับผู้ใช้บริการเว็บไซต์ได้ ในการยืนยันว่า เว็บไซต์ดังกล่าวเป็นเว็บไซต์ของหน่วยงาน นั้นจริง เนื่องจาก การได้รับใบรับรอง ที่น่าเชื่อถือ จำเป็นที่จะต้องยื่นเอกสารหลักฐานเพื่อยืนยันความมีอยู่จริงของหน่วยงาน และ มีการถูกเพิกถอนกรณี เว็บไซต์ดังกล่าว ขาดความน่าเชื่อถือ สามารถศึกษาเพิ่มได้จากเว็บไซต์ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์แห่งชาติ หรือ NRCA Thailand (https://www.nrca.go.th/)

ข้อแนะนำเกี่ยวกับการรักษาความมั่นคงปลอดภัย

แม้ว่า TrimLAB จะมีมาตรฐานเทคโนโลยีและวิธีการทางด้านการรักษาความปลอดภัยอย่างสูง เพื่อช่วยมิให้มีการเข้าสู่ข้อมูลส่วนตัวหรือข้อมูลที่เป็นความลับของท่านโดยปราศจากอำนาจตามที่กล่าวข้างต้นแล้วก็ตาม แต่ก็เป็นที่ทราบกันอยู่โดยทั่วไปว่า ปัจจุบันนี้ยังมิได้มีระบบรักษาความปลอดภัยใดๆ ที่จะสามารถปกป้องข้อมูลของท่านได้อย่างเด็ดขาดจากการถูกทำลายหรือถูกเข้าถึงโดยบุคคลที่ปราศจากอำนาจได้ ดังนั้น ท่านจึงควรปฏิบัติตามข้อแนะนำเกี่ยวกับการรักษาความมั่นคงปลอดภัยดังต่อไปนี้ด้วย คือ

• ระมัดระวัง ในการ Download Program จาก Internet มาใช้งาน ควรตรวจสอบ Address ของเว็บไซต์ให้ถูกต้องก่อน Login เข้าใช้บริการเพื่อป้องกันกรณีที่มีการปลอมแปลงเว็บไซต์
• ควรติดตั้งระบบตรวจสอบไวรัสไว้ที่เครื่องและพยายามปรับปรุงให้โปรแกรม ตรวจสอบไวรัสในเครื่องของท่านมีความทันสมัยอยู่เสมอ
• ติดตั้งโปรแกรมประเภท Personal Firewall เพื่ อป้องกันเครื่องคอมพิวเตอร์จากการจู่โจมของผู้ไม่ประสงค์ดี เช่น Cracker หรือ Hacker