Lecture 15/2/11

Web 2.0

2 คือ เวอร์ชั่น 2 ของ www. เพราะอินเตอร์เน็ทไม่ใช่แค่เข้าไปอ่าน แต่มีการแลกเปลี่ยนความรู้ แลกเปลี่ยน transaction กัน consumer เริ่มมีการสร้างข้อมูลด้วยตนเอง มีความร่วมมีกันระหว่างผู้ใช้งาน ทำให้สื่ออินเตอร์เน็ทเริ่มมีประโยชน์มากขึ้น  เช่น wikipedia และเมื่อโมเดลนี้เริ่มชัดเจนขึ้น ก็เริ่มมีการขาย content ขายไอเดียใหม่ๆ เช่น itunes

นอกจากนั้น Web 2.0 ยังสามารถทำให้ผู้ใช้งานเข้ามามีส่วนร่วม และให้ข้อมูลที่มีประโยชน์ เช่น review ในเว็บ amezon ทำให้เกิดข้อมูลรูปแบบใหม่ๆ  ซึ่งสามารถนำมาใช้ประโยชน์ในการทำการตลาดได้ มีการ design ให้มีการใช้งานที่ง่าย และให้ความสำคัญกับ Social networks

                ตัวอย่างบริษัทที่ทำ Web 2.0 คือ wikia, youtube, google, successfactors และอื่นๆ

Elements of Interaction in a Virtual Community

-          Communication: เช่น เว็บบอร์ด, ห้องสนทนา, อีเมล, แม็กกาซีนออนไลน์, บล็อค, voting ซึ่งมีเคสที่สำคัญคือ โอบามา ที่สามารถสร้างกระแสให้คนไปโหวตให้จนชนะการเลือกตั้งได้ เป็นต้น

-          Information: สมุดหน้าเหลือง, คำแนะนำ, ลิ้งค์ เป็นต้น

-          EC Element: แค็ตตาล๊อคออนไลน์, โฆษณา, ประมูล เป็นต้น

Types of Virtual Communities

-          Transaction and other business: เพื่ออำนวยความสะดวกในการซื้อขาย

-          Purpose or interest: ไม่ได้มีไว้เพื่อการค้าขาย แค่เอาไว้เพื่อแลกเปลี่ยนข้อมูลที่สนใจ

-          Relations or practices: สมาชิกจะมีสิ่งที่สนใจร่วมกัน

-          Fantasy: สมาชิกมีจินตนาการในเรื่องเดียวกัน

-          Social networks: สมาชิกมีการติดต่อ สร้าง สนทนา และอื่นๆ ร่วมกัน

-          Virtual worlds: สมาชิกใช้ตัวสมมติเป็นตัวแทนตนเอง

Issues For Social Network Services

-          ขาดความปลอดภัยในเรื่องความเป็นส่วนตัว เช่น ฝ่าย HR อาจใช้เป็นช่องทางในการสกรีนคนได้

-          อาจเกิดความผิดพลาดในเรื่องของการแปลภาษาที่ผิดพลาด

-          เกิดการแข่งขันระหว่างผู้ใช้ด้วยกัน

-          เป็นช่องทางในการกระทำสิ่งผิดกฎหมาย

-          กระทบต่อวัฒนธรรม

Enterprise Social Networks Characteristics

                Enterprise 2.0 ไม่ได้ใช้ทั่วไปเพียงอย่างเดียว แต่ใช้ภายในองค์กรด้วย เพราะ Social networks ทั่วไปอาจไม่ private จึงต้องสร้างขึ้นมาเพื่อใช้ภายในองค์กร แต่ก็อาจใช้ Social networks ทั่วไป ในการติดต่อสื่อสารกับลูกค้าด้วย

Retailers Benefit from Online Communities

-          เป็นแหล่งข้อมูล feedbacks จากลูกค้า หรือผู้ที่ใช้สินค้าของเราจริงๆ

-          Viral marketing เช่น Burger King ที่ทำโฆษณาเขวี้ยงบีบี

-          เพิ่ม web site traffic

-          เพิ่มยอดขายและกำไร

ตัวอย่าง

-          YouTube: สามารถสร้างรายได้ได้มหาศาล เป็นแบรนด์ที่ดังในการสร้าง entertainment content โดยคนนิยมนำมาใช้เพื่อโฆษณาสินค้าของตน เช่น เพลงเกาหลี เพื่อให้คนพูดกันปากต่อปาก

-          Robotics: นำมาใช้ทดแทนมนุษย์ในหลากหลายทาง เช่น กีฬา, สงคราม, ธุรกิจ, บันเทิง, ครัวเรือน และอื่นๆ

-          Quantum Leaps Driven by IT: เปลี่ยน IT แค่จากการใช้งานเฉพาะธุรกิจ ไปสู่การ interactive ของลูกค้าผ่านทาง marketing และ feedback

-          Telemedicine & Telehealth เช่น ออกกำลังกายไปแล้วใช้พลังงานเท่าไหร่, วัดอัตราการเต้นของหัวใจ

-          Mobile Technology in Medicine: ส่งข้อมูลสุขภาพ ข้อมูลทางการแพทย์ โดยจะทำให้สามารถรักษาได้ในต่างประเทศ เช่น บำรุงราษฎร์

-          Urban Planning with Wireless Sensor Networks: วางผังเมืองโดยใช้เทคโนโลยี

-          Offshore Outsourcing: เช่น Software development หรือ call center operations

-          Green Computing: จำลอง software เสมือนขึ้นมาหรือเปลี่ยนเทคโนโลยีเก่าทุก 3-5 ปี โดยมีจุดประสงค์เพื่อประหยัดพลังงาน

-          Telecommuting or Virtual Work: มีประโยชน์ทั้งต่อตัวบุคคล, ระดับองค์กร และสังคม

ประเด็นปัญหาต่างๆ

-          Information Overload: ปริมาณข้อมูลที่มหาศาล

-          Information Quality: มีความจำเป็นอย่างมากในการทำงาน ดังนั้นจึงต้องระวังในเรื่องของความเกี่ยวข้องกันของข้อมูลและระวังในเรื่องของการตัดข้อมูลที่สำคัญออกไป

-          Spam: เพิ่มรายจ่ายและลดประสิทธิภาพในการทำงาน

-          Dehumanization & Other Psychological Impacts: อาจทำให้คนลดความเป็นตัวของตัวเองลง ซึมเศร้า หรือว่าอาจจะเพิ่มประสิทธิภาพในการทำงานได้

-          Impacts on Health & Safety: เช่น การใช้คอมเป็นเวลานาน อาจส่งผลเสียต่อสุขภาพได้ไม่ว่าจะเป็นข้อมือ หรือสายตา

 5302110050

Lecture 9/2/11

การรักษาความปลอดภัยระบบสารสนเทศและจรรยาบรรณเบื้องต้น

ความเสี่ยงของระบบสารสนเทศ (Information system risk)

หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลายฮาร์ดแวร์ (Hardware) ซอฟต์แวร์ (Software) ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ เช่น การใช้ซอฟต์แวร์ละเมิดลิขสิทธิ์, ใช้ไขขวงงัดแงะกุญแจที่ล็อคหลังซีพียู และอื่นๆ

ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ

เช่น แฮกเกอร์ (Hacker), แครกเกอร์ (Cracker), ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies), ผู้สอดแนม (Spies), เจ้าหน้าที่ขององค์กร (Employees) หรือ ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyberterrorist)

ประเภทของความเสี่ยงของระบบสารสนเทศ

-          การโจมตีระบบเครือข่าย (Network attack)

-          การโจมตีขั้นพื้นฐาน (Basic Attacks)  เช่น กลลวงทางสังคม (Social engineering) และการรื้อค้นเอกสารทางคอมพิวเตอร์จากที่ทิ้งขยะ (Dumpster Diving )

-          การโจมตีด้านคุณลักษณะ (Identity Attacks) เช่น

-          DNS Spoofing : เว็บที่ถ้าเราพิมผิด จะทำการลิ้งค์เข้าไปเว็บนั้นโดยอัตโนมัติ แล้วจะตก log-in และ password ของเรา

-          e-mail spoofing: พวก junk mail ทื่ส่งเข้ามาในเมล

-          การปฏิเสธการให้บริการ (Denial of Service หรือ DoS) เช่น Distributed denial-of-service (DDoS) หรือ DoSHTTP (HTTP Flood Denial of Service) คือ พวก malware หรือ virus ที่มากับ ไฟล์ที่ดาวโหลด หรือเว็บที่เข้า โดยจะตั้งเวลาเอาไว้ เมื่อถึงเวลาให้ส่ง request ไปยังเว็บที่ตั้งไว้ แต่ไม่ได้ทำอันตรายคอมพิวเตอร์ของเรา แต่ทำขึ้นเพื่อทำลายความน่าเชื่อถือของเว็บไซต์นั้น

-          การโจมตีด้วยมัลแวร์ (Malware)

-          โปรแกรมมุ่งร้ายที่โจมตีการปฏิบัติงานของคอมพิวเตอร์ (Computer’s operations): ไวรัส (Viruses) เวิร์ม (Worms) โทรจันฮอร์ส (Trojan horse) และลอจิกบอมบ์ (Logic bombs)

-          โปรแกรมมุ่งร้ายที่โจมตีความเป็นส่วนตัวของสารสนเทศ (Information privacy) หรือ สปายแวร์ (Spyware): แอดแวร์ (Adware) พิชชิง (Phishing) คีลอกเกอะ (Keyloggers) คอยดูว่าพิมอะไรไปบ้าง การเปลี่ยนการปรับแต่งระบบ (Configuration Changers) การต่อหมายเลข (Dialers) และ แบ็คดอร์ (Backdoors)

-          การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access): การใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ

-          การขโมย (Theft)

-          ฮาร์ดแวร์และฮาร์ดแวร์: ตัดสายเชื่อมต่อระบบเครือข่ายคอมพิวเตอร์

-          ซอฟต์แวร์: ขโมยสื่อจัดเก็บซอฟต์แวร์ การลบโปรแกรมโดยตั้งใจ และการทำสำเนาโปรแกรมอย่างผิดกฏหมาย

-          สารสนเทศ: ขโมยข้อมูลที่เป็นความลับส่วนบุคคล

-          ความล้มเหลวของระบบสารสนเทศ (System failure): เสียง (Noise), แรงดันไฟฟ้าต่ำ (Undervoltages), แรงดันไฟฟ้าสูง (overvoltages)  เช่น ฝนตก ฟ้าร้อง ทำให้ network ช้าลง ไฟตก เครื่องดับ

การรักษาความปลอดภัยของระบบสารสนเทศ

-          การรักษาความปลอดภัยการโจมตีระบบเครือข่าย

-          ติดตั้งโปรแกรมป้องกันไวรัสและปรับปรุง Virus signature หรือ Virus definition

-          Demilitarized Zone (DMZ) ระบบด้านนอกที่อนุญาตเฉพาะคนที่จะเข้ามาทำธุรกรรมผ่านเข้าระบบ แล้ว ติดตั้งไฟร์วอลล์ (Firewall) อีกที

-          ติดตั้งซอฟต์แวร์ตรวจจับการบุกรุก (Intrusion detection software) เช่น ตรวจดู IP ของคนที่เข้า

-          ติดตั้ง Honeypot หรือ คือ ระบบที่ติดตั้งให้เหมือนระบบจริงแต่แยกออกมาจากระบบเพื่อหลอกล่อ

-          การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต: ให้เข้าถึงได้ตามลำดับหน้าที่ เท่าที่จำเป็น (Policy of least privilege: POLP)

-          การระบุตัวตน (Identification)

-          การพิสูจน์ตัวจริง (Authentication) เช่น รหัสผ่าน (Password)

-          การควบคุมการขโมย

-          ควบคุมการเข้าถึงทางกายภาพ (Physical access control) เช่น การปิดห้องและหน้าต่าง

-          ระบบ Real time location system (RTLS) ระบุสถานที่ที่มีความเสี่ยงสูงโดยนำ RFID tags ติดที่อุปกรณ์คอมพิวเตอร์เพื่อใช้ในการติดตาม

-          ออกแบบเครื่องคอมพิวเตอร์ให้ควบคุมการเปิดหรือเข้าใช้งานเครื่องด้วยการใช้ลักษณะทางกายภาพของบุคคล เช่น ลายนิ้วมือ เป็นต้น

-          เก็บรักษาแผ่นซอฟต์แวร์ในสถานที่มีการรักษาความปลอดภัย

-          ควบคุมและติดตามโปรแกรมเมอร์ทันที (Escort) เมื่อลาออกหรือถูกให้ออก

-          การเข้ารหัส คือ กระบวนการในการแปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถอ่านได้ (Plaintext) ให้อยู่ในรูปที่เฉพาะผู้ที่เกี่ยวข้องเท่านั้นสามารถอ่านข้อมูลได้ (Ciphertext) โดยมีองค์ประกอบ คือ Plaintext, Algorithm และ Secure key

ประเภทของการเข้ารหัส

-          การเข้ารหัสแบบสมมาตร

-          การเข้ารหัสแบบไม่สมมาตร

-          การรักษาความปลอดภัยอื่นๆ 

-          Secure sockets layer (SSL) โดยเว็บเพจที่ใช้ SSL จะขึ้นต้นด้วย https แทนที่จะเป็น http

-          Secure HTTP (S-HTTP) เช่น ระบบธนาคารออนไลน์จะใช้ S-HTTP

-          Virtual private network (VPN)

-          การควบคุมความล้มเหลวของระบบสารสนเทศ

-          การป้องกันแรงดันไฟฟ้าใช้ Surge protector หรือ Surge suppressor

-          ไฟฟ้าดับใช้ Uninterruptible power supply (UPS)

-          กรณีระบบสารสนเทศถูกทำลายจนไม่สามารถให้บริการได้ การควบคุมทำโดยการจัดทำแผนการทำให้กลับคืนสู่สภาพเดิมจากภัยพิบัติ (Disaster Recovery – DR) หรือ Business continuity planning (BCP)

-          การสำรองข้อมูล (Data Backup)

-          การรักษาความปลอดภัยของแลนไร้สาย (Wireless LAN) เช่น

-          ควบคุมการเชื่อมโยงเข้าสู่แลนไร้สายด้วย Service Set Identifier (SSID)

-          กลั่นกรองผู้ใช้งานด้วยการกรองหมายเลขการ์ดเน็ตเวิร์ก (MAC Addressing Filtering)

-          การเข้ารหัสและถอดรหัสด้วยวิธีการ Wired Equivalency Privacy (WEP)

-          จำกัดขอบเขตพื้นที่ให้บริการด้วยการควบคุมกำลังส่งของแอ็กเซสพอยน์

-          การพิสูจน์สิทธิเข้าใช้งานแลนไร้สายด้วย Radius Server

-          การสร้าง Virtual Private Network (VPN) บนแลนไร้สาย

จรรยาบรรณ

                คือ หลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ประกอบด้วย

-       การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต

-       การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์)

-       ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ เป็นต้น

-       สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights)

-       หลักปฏิบัติ (Code of conduct): สิ่งที่เขียนเป็นลายลักษณ์อักษรเพื่อเป็นแนวทางในการตัดสินใจว่าการกระทำใดที่เกี่ยวข้องกับคอมพิวเตอร์เป็นสิ่งที่มีหรือไม่มีจรรยาบรรณ

-       ความเป็นส่วนตัวของสารสนเทศ (Information privacy)

กฏหมายเกี่ยวกับความเป็นส่วนตัวของสารสนเทศ เช่น Privacy Act และ Family Educational Rights and Privacy Act เป็นต้น

5302110050