การรักษาระบบความปลอดภัยระบบสารสนเทศและจรรยาบรรณเบื้องต้น
ความเสี่ยงของระบบสารสนเทศ
หมายถึง เหตุการณ์หรือการกระทำใดๆที่ก่อให้เกิดความสูญเสียหรือทำลายฮาร์ดแวร์ ซอฟต์แวร์ ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
· แฮกเกอร์ (Hacker) คนที่เข้าไปเจาะข้อมูล โดยการเขียนรหัสเพื่อเจาะข้อมูล/โจมตีระบบ
· แครกเกอร์ (Cracker) เจาะระบบเข้าไป เพื่อไปเปลี่ยนแปลงข้อมูล
· ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies)
· ผู้สอดแนม (Spies) สอดแนม traffic ของการส่งข้อมูลต่างๆในองค์กร
· เจ้าหน้าที่ขององค์กร (Employees)
· ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyberterrorist) อาจทำการปล่อยข่าว หรือ สร้างข้อมูลปลอมบนระบบ หรืออินเตอร์เน็ต
ประเภทของความเสี่ยงของระบบสารสนเทศ
· การโจมตีระบบเครือข่าย (Network attack)
o การโจมตีขั้นพื้นฐาน (Basic Attacks) เช่น กลลวงทางสังคม อาทิ call center ที่โทรมาลวงว่าติดหนี้ธนาคาร หรือได้รับรางวัล แล้วลวงให้โอนเงิน หรือบอกรหัสในการทำธุรกรรมต่างๆ รวมถึงการรื้อค้นเอกสารทางคอมพิวเตอร์จากที่ทิ้งขยะ (Dumpster Diving)
o การโจมตีด้านคุณลักษณะ (Identity Attacks) เช่น DNS Spoofing และ email spoofing การลวงผู้ใช้งานโดยเลียนแบบว่าเป็นอีกคนนึง เช่น อีเมล์ไวรัส เพื่อลวงให้ผู้ใช้นั้นกด link เข้าไปเพื่อลวงเอาข้อมูล หรือรหัสในการทำธุรกรรม
o การปฏิเสธการให้บริการ(Denial of Service หรือ DoS) เช่น Distributed denial-of-service (DDoS), DoSHTTP (HTTP Flood Denial of Service)
o การโจมตีด้วยมัลแวร์ (Malware)
§ มุ่งโจมตีการปฏิบัติงานของคอมพิวเตอร์ ประกอบด้วย virus, worm, Trojan horse และlogic bomb โดยเมื่อถึงเวลาที่ผู้สร้างกำหนด มัลแวร์เหล่านี้จะเริ่มทำงาน
§ มุ่งโจมตีความเป็นส่วนตัวของสารสนเทศ ประกอบด้วย adware , phishing, Keyloggers ซึ่งสามารถบอกได้ว่าผู้ใช้คอมพิวเตอร์พิมพ์อะไรบ้าง
· การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access) คือ การใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ
· การขโมย ทั้งฮาร์ดแวร์และซอฟท์แวร์ (Theft) เช่น การขโมยสื่อจัดเก็บซอฟต์แวร์ การลบโปรแกรมโดยตั้งใจ และการทำสำเนาโปรแกรมอย่างผิดกฎหมาย หรือการขโมยข้อมูลที่เป็นความลับส่วนบุคคล
· ความล้มเหลวของระบบสารสนเทศ (System failure) เช่น เสียง แรงดันไฟฟ้าต่ำ แรงดันไฟฟ้าสูง
การรักษาความปลอดภัยของระบบสารสนเทศ
1. การโจมตีระบบเครือข่าย
· ติดตั้งโปรแกรมป้องกันไวรัสและปรับปรุง Virus signature
· ติดตั้ง Firewall หรือซอฟต์แวร์ที่สามารรถตรวจจับการบุกรุก
· ติดตั้ง Honeypot ซึ่งเป็นการตั้งระบบป้องกันไว้หลอกๆ ให้ hacker ไปโจมตีระบบปลอมซะ ระบบจริงก็ปลอดภัย
2. การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต
· การระบุตัวตน (Identification) >> ใช้ IP address
· การพิสูจน์ตัวจริง (Authentication) เช่น รหัสผ่าน
o ข้อมูลที่ทราบเฉพาะบุคคลที่เป็นเจ้าของ (What you know)
o ใช้บัตรผ่านที่มีลักษณะเป็นบัตรประจำตัว (What you have) เช่น บัตร ATM
o ลักษณะทางกายภาพของบุคคล (What you are) เช่น การสแกนม่านตา เป็นตัน
3. การควบคุมการขโมย
· การควบคุมการเข้าถึงทางกายภาพ เช่นปิดห้องและหน้าต่าง
· ระบบ Real time location system (RTLS) เพื่อระบุสถานที่ที่มีความเสี่ยงสูงโดยนำ RFID tags ติดที่อุปกรณ์คอมพิวเตอร์เพื่อใช้ในการติดตามอุปกรณ์นั้นๆ
· มีการออกแบบเครื่องคอมพิวเตอร์ให้สามารถควบคุมการเปิดเครื่องและการเข้าใช้งาน โดยการใช้ลักษณะทางกายภาพของบุคคล เช่น ลายนิ้วมือ เป็นต้น
· เก็บรักษาแผ่นซอฟต์แวร์ในสถานที่มีการรักษาความปลอดภัย
· ในกรณีที่มีโปรแกรมเมอร์ลาออกหรือถูกให้ออก ต้องควบคุมแลติดตามโปรแกรมเมอร์ทันที (Escort)
4. การเข้ารหัส คือ กระบวนการในการแปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถอ่านได้ ให้อยู่ในรูปที่เฉพาะผู้ที่เกี่ยวข้องเท่านั้น สามารถอ่านข้อมูลได้ เช่น การเข้ารหัสแบบสลับตำแหน่ง
· องค์ประกอบของการเข้ารหัส ได้แก่ Plaintext Algorithm Secure key
· ประเภทของการเข้ารหัส ได้แก่ การเข้ารหัสแบบสมมาตร และการเข้ารหัสแบบไม่สมมาตร
5. การรักษาความปลอดภัยอื่นๆ
· Secure sockets layer (SSL) โดยเว็บเพจที่ใช้ SSL จะขึ้นต้นด้วย https แทนที่จะเป็น http ก่อนที่จะส่งข้อมูลสำคัญ หรือทำธุรกรรมทางการเงิน
· Secure HTTP (S-HTTP) เช่น ระบบธนาคารออนไลน์จะใช้ S-HTTP
· Virtual private network (VPN)
6. การควบคุมความล้มเหลวของระบบสารสนเทศ เช่น
· การป้องกันแรงดันไฟฟ้าใช้ Surge protector
· กรณีไฟฟ้าดับใช้หม้อแปลงสำรองไฟฟ้า Uninterruptible power supply (UPS)
· กรณีระบบสารสนเทศถูกทำลาย การควบคุมทำโดยการจัดแผนการทำให้กลับคืนสู่สภาพเดิมจากภัยพิบัติ (Disaster Recovery-DR) หรือ Business continuity planning (BCP)
7. การสำรองข้อมูล สิ่งที่ต้องตัดสินใจเกี่ยวกับการสำรองข้อมูล ประกอบด้วย
· เลือกสื่อบันทึก (Media) ที่จะทำการสำรองข้อมูล เช่น CD DVD หรือ Portable Harddisk เป็นต้น
· ระยะเวลาที่ต้องสำรองข้อมูล
· ความถี่ในการสำรองข้อมูล ขึ้นอยู่กับระยะเวลาสูงสุดที่ระบบจะไม่สามารถให้บริการได้
· สถานที่จัดเก็บสื่อบันทึกที่สำรองข้อมูล ซึ่งสามารถจัดเก็บได้ทั้ง On Site และ Offsite
8. การรักษาความปลอดภัยของแลนไร้สาย
· ควบคุมการเชื่อมโยงเข้าสู่แลนไร้สายด้วย Service Set Identifier (SSID)
· กลั่นกรองผู้ใช้งานด้วยการกรองหมายเลขการ์ดเน็ตเวิร์ก (MAC Addressing Filtering)
· การเข้ารหัสและถอดรหัสด้วยวิธีการ Wired Equivalency Privacy (WEP)
· การสร้าง Virtual Private Network (VPN) บนแลนไร้สาย
จรรยาบรรณ
จรรยาบรรณทางคอมพิวเตอร์ คือ หลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย
· การใช้คอมพิวเตอร์ และเครือข่ายโดยไม่ได้รับอนุญาต
· การขโมยซอฟแวร์ (การละเมิดลิขสิทธิ์)
· ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ
· สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights)
· หลักปฏิบัติ (Code of conduct)
· ความเป็นส่วนตัวของสารสนเทศ (Information privacy)
No comments:
Post a Comment