การรักษาความปลอดภัยระบบสารสนเทศและจรรยาบรรณเบื้องต้น
ความเสี่ยงของระบบสารสนเทศ (Information system risk)
หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลายฮาร์ดแวร์ (Hardware) ซอฟต์แวร์ (Software) ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ เช่น การใช้ซอฟต์แวร์ละเมิดลิขสิทธิ์, ใช้ไขขวงงัดแงะกุญแจที่ล็อคหลังซีพียู และอื่นๆ
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
เช่น แฮกเกอร์ (Hacker), แครกเกอร์ (Cracker), ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies), ผู้สอดแนม (Spies), เจ้าหน้าที่ขององค์กร (Employees) หรือ ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyberterrorist)
ประเภทของความเสี่ยงของระบบสารสนเทศ
- การโจมตีระบบเครือข่าย (Network attack)
- การโจมตีขั้นพื้นฐาน (Basic Attacks) เช่น กลลวงทางสังคม (Social engineering) และการรื้อค้นเอกสารทางคอมพิวเตอร์จากที่ทิ้งขยะ (Dumpster Diving )
- การโจมตีด้านคุณลักษณะ (Identity Attacks) เช่น
- DNS Spoofing : เว็บที่ถ้าเราพิมผิด จะทำการลิ้งค์เข้าไปเว็บนั้นโดยอัตโนมัติ แล้วจะตก log-in และ password ของเรา
- e-mail spoofing: พวก junk mail ทื่ส่งเข้ามาในเมล
- การปฏิเสธการให้บริการ (Denial of Service หรือ DoS) เช่น Distributed denial-of-service (DDoS) หรือ DoSHTTP (HTTP Flood Denial of Service) คือ พวก malware หรือ virus ที่มากับ ไฟล์ที่ดาวโหลด หรือเว็บที่เข้า โดยจะตั้งเวลาเอาไว้ เมื่อถึงเวลาให้ส่ง request ไปยังเว็บที่ตั้งไว้ แต่ไม่ได้ทำอันตรายคอมพิวเตอร์ของเรา แต่ทำขึ้นเพื่อทำลายความน่าเชื่อถือของเว็บไซต์นั้น
- การโจมตีด้วยมัลแวร์ (Malware)
- โปรแกรมมุ่งร้ายที่โจมตีการปฏิบัติงานของคอมพิวเตอร์ (Computer’s operations): ไวรัส (Viruses) เวิร์ม (Worms) โทรจันฮอร์ส (Trojan horse) และลอจิกบอมบ์ (Logic bombs)
- โปรแกรมมุ่งร้ายที่โจมตีความเป็นส่วนตัวของสารสนเทศ (Information privacy) หรือ สปายแวร์ (Spyware): แอดแวร์ (Adware) พิชชิง (Phishing) คีลอกเกอะ (Keyloggers) คอยดูว่าพิมอะไรไปบ้าง การเปลี่ยนการปรับแต่งระบบ (Configuration Changers) การต่อหมายเลข (Dialers) และ แบ็คดอร์ (Backdoors)
- การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access): การใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ
- การขโมย (Theft)
- ฮาร์ดแวร์และฮาร์ดแวร์: ตัดสายเชื่อมต่อระบบเครือข่ายคอมพิวเตอร์
- ซอฟต์แวร์: ขโมยสื่อจัดเก็บซอฟต์แวร์ การลบโปรแกรมโดยตั้งใจ และการทำสำเนาโปรแกรมอย่างผิดกฏหมาย
- สารสนเทศ: ขโมยข้อมูลที่เป็นความลับส่วนบุคคล
- ความล้มเหลวของระบบสารสนเทศ (System failure): เสียง (Noise), แรงดันไฟฟ้าต่ำ (Undervoltages), แรงดันไฟฟ้าสูง (overvoltages) เช่น ฝนตก ฟ้าร้อง ทำให้ network ช้าลง ไฟตก เครื่องดับ
การรักษาความปลอดภัยของระบบสารสนเทศ
- การรักษาความปลอดภัยการโจมตีระบบเครือข่าย
- ติดตั้งโปรแกรมป้องกันไวรัสและปรับปรุง Virus signature หรือ Virus definition
- Demilitarized Zone (DMZ) ระบบด้านนอกที่อนุญาตเฉพาะคนที่จะเข้ามาทำธุรกรรมผ่านเข้าระบบ แล้ว ติดตั้งไฟร์วอลล์ (Firewall) อีกที
- ติดตั้งซอฟต์แวร์ตรวจจับการบุกรุก (Intrusion detection software) เช่น ตรวจดู IP ของคนที่เข้า
- ติดตั้ง Honeypot หรือ คือ ระบบที่ติดตั้งให้เหมือนระบบจริงแต่แยกออกมาจากระบบเพื่อหลอกล่อ
- การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต: ให้เข้าถึงได้ตามลำดับหน้าที่ เท่าที่จำเป็น (Policy of least privilege: POLP)
- การระบุตัวตน (Identification)
- การพิสูจน์ตัวจริง (Authentication) เช่น รหัสผ่าน (Password)
- การควบคุมการขโมย
- ควบคุมการเข้าถึงทางกายภาพ (Physical access control) เช่น การปิดห้องและหน้าต่าง
- ระบบ Real time location system (RTLS) ระบุสถานที่ที่มีความเสี่ยงสูงโดยนำ RFID tags ติดที่อุปกรณ์คอมพิวเตอร์เพื่อใช้ในการติดตาม
- ออกแบบเครื่องคอมพิวเตอร์ให้ควบคุมการเปิดหรือเข้าใช้งานเครื่องด้วยการใช้ลักษณะทางกายภาพของบุคคล เช่น ลายนิ้วมือ เป็นต้น
- เก็บรักษาแผ่นซอฟต์แวร์ในสถานที่มีการรักษาความปลอดภัย
- ควบคุมและติดตามโปรแกรมเมอร์ทันที (Escort) เมื่อลาออกหรือถูกให้ออก
- การเข้ารหัส คือ กระบวนการในการแปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถอ่านได้ (Plaintext) ให้อยู่ในรูปที่เฉพาะผู้ที่เกี่ยวข้องเท่านั้นสามารถอ่านข้อมูลได้ (Ciphertext) โดยมีองค์ประกอบ คือ Plaintext, Algorithm และ Secure key
ประเภทของการเข้ารหัส
- การเข้ารหัสแบบสมมาตร
- การเข้ารหัสแบบไม่สมมาตร
- การรักษาความปลอดภัยอื่นๆ
- Secure sockets layer (SSL) โดยเว็บเพจที่ใช้ SSL จะขึ้นต้นด้วย https แทนที่จะเป็น http
- Secure HTTP (S-HTTP) เช่น ระบบธนาคารออนไลน์จะใช้ S-HTTP
- Virtual private network (VPN)
- การควบคุมความล้มเหลวของระบบสารสนเทศ
- การป้องกันแรงดันไฟฟ้าใช้ Surge protector หรือ Surge suppressor
- ไฟฟ้าดับใช้ Uninterruptible power supply (UPS)
- กรณีระบบสารสนเทศถูกทำลายจนไม่สามารถให้บริการได้ การควบคุมทำโดยการจัดทำแผนการทำให้กลับคืนสู่สภาพเดิมจากภัยพิบัติ (Disaster Recovery – DR) หรือ Business continuity planning (BCP)
- การสำรองข้อมูล (Data Backup)
- การรักษาความปลอดภัยของแลนไร้สาย (Wireless LAN) เช่น
- ควบคุมการเชื่อมโยงเข้าสู่แลนไร้สายด้วย Service Set Identifier (SSID)
- กลั่นกรองผู้ใช้งานด้วยการกรองหมายเลขการ์ดเน็ตเวิร์ก (MAC Addressing Filtering)
- การเข้ารหัสและถอดรหัสด้วยวิธีการ Wired Equivalency Privacy (WEP)
- จำกัดขอบเขตพื้นที่ให้บริการด้วยการควบคุมกำลังส่งของแอ็กเซสพอยน์
- การพิสูจน์สิทธิเข้าใช้งานแลนไร้สายด้วย Radius Server
- การสร้าง Virtual Private Network (VPN) บนแลนไร้สาย
จรรยาบรรณ
คือ หลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ประกอบด้วย
- การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
- การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์)
- ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ เป็นต้น
- สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights)
- หลักปฏิบัติ (Code of conduct): สิ่งที่เขียนเป็นลายลักษณ์อักษรเพื่อเป็นแนวทางในการตัดสินใจว่าการกระทำใดที่เกี่ยวข้องกับคอมพิวเตอร์เป็นสิ่งที่มีหรือไม่มีจรรยาบรรณ
- ความเป็นส่วนตัวของสารสนเทศ (Information privacy)
กฏหมายเกี่ยวกับความเป็นส่วนตัวของสารสนเทศ เช่น Privacy Act และ Family Educational Rights and Privacy Act เป็นต้น
5302110050
ไม่มีความคิดเห็น:
แสดงความคิดเห็น