การรักษาความปลอดภัยระบบสารสนเทศและจรรยาบรรณเบื้องต้น
ความเสี่ยงของระบบสารสนเทศ (Information system risk) หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลายฮาร์ดแวร์ ซอฟต์แวร์ ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ ได้แก่ แฮกเกอร์ (Hacker), แครกเกอร์ (Cracker), ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies), ผู้สอดแนม (Spies), เจ้าหน้าที่ขององค์กร (Employees) และผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyber terrorist)
ประเภทของความเสี่ยงของระบบสารสนเทศ
- การโจมตีระบบเครือข่าย (Network attack)
- การโจมตีขั้นพื้นฐาน (Basic Attacks) เช่น กลลวงทางสังคม (Social engineering), การรื้อค้นเอกสารคอมพิวเตอร์จากที่ทิ้งขยะ (Dumpster Diving )
- การโจมตีด้านคุณลักษณะ (Identity Attacks) เช่น DNS Spoofing, e-mail spoofing เช่นการกดลิงค์ในอีเมลล์, Web Page Spoofing การหลอกล่อให้เข้าไปในเว็บ เพื่อให้กรอกข้อมูลหรือรหัสต่างๆ โดยใช้ URL ที่คล้ายๆของจริง, IP Spoofing ปลอม IP แทนที่จะเข้าเว็บที่ต้องการ กลับไปยังหน้าที่มีลักษณะคล้ายกันมาก
- การปฏิเสธการให้บริการ (Denial of Service หรือ DoS) เช่น Distributed denial-of-service (DDoS) ไวรัสหรือ Malware ที่ตั้งเวลาไว้ว่า ถ้า ณ เวลานั้นยังมีการออนไลน์ใช้งานเครื่องอยู่ ให้ส่งข้อมูลไปยังที่ต่างๆ โดยที่ผู้ใช้คอมไม่รู้ตัว เพราะมันไม่ได้ทำอันตรายต่อคอม โดยกลุ่มข้อมูลที่ถูกจัดส่งไปยังเว็บสามารถติดตามพฤติกรรมของผู้ใช้ได้ ซึ่งอาจเป็นการละเมิดความเป็นส่วนตัวได้, DoSHTTP (HTTP Flood Denial of Service)
- การโจมตีด้วยมัลแวร์ (Malware)
- โปรแกรมที่โจมตีการปฏิบัติงานของคอมพิวเตอร์ (Computer’s operations) ประกอบด้วย Viruses, Worms, Trojan horse และ Logic bombs
- โปรแกรมที่โจมตีความเป็นส่วนตัวของสารสนเทศ (Information privacy) มีชื่อเรียกทั่วไปว่า Spyware ประกอบด้วย Adware, Phishing, Keyloggers, การเปลี่ยนการปรับแต่งระบบ (Configuration Changers), การต่อหมายเลข (Dialers) และ Backdoors
- การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access) ส่วนมากจะเป็นการใช้คอมพิวเตอร์หรือข้อมูลในเครื่องคอมพิวเตอร์เพื่อทำกิจกรรมบางอย่างที่ผิดกฏระเบียบของกิจการหรือการกระทำที่ผิดกฏหมาย
- การขโมย (Theft) ได้แก่ การขโมยฮาร์ดแวร์ ซอฟท์แวร์ หรือการขโมยสารสนเทศ
- ความล้มเหลวของระบบสารสนเทศ (System failure) อาจเกิดจากเสียง (Noise), แรงดันไฟฟ้าต่ำ (Undervoltages) หรือแรงดันไฟฟ้าสูง (overvoltages)
การรักษาความปลอดภัยของระบบสารสนเทศ
- การรักษาความปลอดภัยการโจมตีระบบเครือข่าย
- ติดตั้งโปรแกรมป้องกันไวรัสและปรับปรุง Virus signature หรือ Virus definition ซึ่งต้องอัพเดทอย่างสม่ำเสมอ
- ติดตั้งไฟร์วอลล์ (Firewall)
- ติดตั้งซอฟต์แวร์ตรวจจับการบุกรุก (Intrusion detection software)
- ติดตั้ง Honeypot เพื่อหลอกให้แฮคเกอร์ไปแฮคระบบปลอม ระบบจริงก็จะปลอดภัย
- การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต
- การระบุตัวตน (Identification) เช่น การใช้ IP Address
- การพิสูจน์ตัวจริง (Authentication) เช่น รหัสผ่าน (Password) ว่ากันว่ารหัสผ่านที่ดีที่สุดคือ ภาษาคาราโอเกะ เพราะไม่มีความหมายในพจนานุกรม ไม่ใช่ทั้งภาษาอังกฤษและภาษาไทย
- ข้อมูลที่ทราบเฉพาะบุคคลที่เป็นเจ้าของ (What you know)
- ใช้บัตรผ่านที่มีลักษณะเป็นบัตรประจำตัว (What you have) เช่น บัตร ATM เป็นต้น
- ลักษณะทางกายภาพของบุคคล (What you are) เช่น ม่านตา เป็นต้น
- POLP (Policy of Least Privilege) การเข้าถึงข้อมูลได้ตามสิทธิ ของแต่ละคน
- การควบคุมการขโมย
- ควบคุมการเข้าถึงทางกายภาพ (Physical access control) เช่น การปิดห้องและหน้าต่าง เป็นต้น
- กิจการบางแห่งนำระบบ Real time location system (RTLS) มาใช้เพื่อระบุสถานที่ที่มีความเสี่ยงสูงโดยนำ RFID tags ติดที่อุปกรณ์คอมพิวเตอร์เพื่อใช้ในการติดตามอุปกรณ์นั้นๆ หรือจด Serial NO.
- ปัจจุบันมีการออกแบบเครื่องคอมพิวเตอร์ให้สามารถควบคุมเครื่องด้วยการใช้ลักษณะทางกายภาพของบุคคล เช่น ลายนิ้วมือ เป็นต้น (Biosmatric)
- เก็บรักษาแผ่นซอฟต์แวร์ในสถานที่มีการรักษาความปลอดภัย
- ควบคุมและติดตามโปรแกรมเมอที่ลาออกหรือถูกให้ออกทันที (Escort)
- การเข้ารหัส คือกระบวนการในการแปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถอ่านได้ (Plaintext) ให้อยู่ในรูปที่เฉพาะผู้ที่เกี่ยวข้องเท่านั้นสามารถอ่านข้อมูลได้ (Cipher text) โดยองค์ประกอบของการเข้ารหัส ได้แก่ Plaintext, Algorithm และ Secure key
- วิธีการเข้ารหัสแบบสลับตำแหน่ง จะเป็นการแปลง PlainText (ข้อความที่ต้องการส่ง) ให้เป็น Cipher Text
- ประเภทของการเข้ารหัส
- การเข้ารหัสแบบสมมาตร เข้ารหัสข้อความแล้วส่งให้ผู้รับ ผู้ส่งและผู้รับจะมี Key ตัวเดียวกันในการเปิดไฟล์
- การเข้ารหัสแบบไม่สมมาตร ผู้ส่งและผู้รับใช้ Key คนละตัวกัน
- การรักษาความปลอดภัยอื่นๆ
- Secure sockets layer (SSL) โดยเว็บเพจที่ใช้ SSL จะขึ้นต้นด้วย https แทนที่จะเป็น http เป็นการสร้าง Network ชั่วคราวขององค์กร เพื่อ Secure การส่งข้อมูลภายใน Intranet ไม่ใช่ Internet เช่น ในระหว่างขั้นตอนการชำระเงิน
- Secure HTTP (S-HTTP) เช่น ระบบธนาคารออนไลน์จะใช้ S-HTTP
- Virtual private network (VPN) เช่น การ Login เข้าระบบของ TU จากนอกมหาวิทยาลัย เพื่อป้องกันไม่ให้บุคคลภายนอกที่ไม่เกี่ยวข้องเข้ามาในระบบ
- การควบคุมความล้มเหลวของระบบสารสนเทศ
- การป้องกันแรงดันไฟฟ้าใช้ Surge protector หรือ Surge suppressor โดยใช้เครื่องมือป้องกันไฟฟ้าตก
- ไฟฟ้าดับใช้ Uninterruptible power supply (UPS) เป็นหม้อแปลงไว้กันไฟตก
- กรณีระบบสารสนเทศถูกทำลายจนไม่สามารถให้บริการได้ การควบคุมทำโดยการจัดทำแผนการทำให้กลับคืนสู่สภาพเดิมจากภัยพิบัติ (Disaster Recovery – DR) หรือ Business continuity planning (BCP) เช่น เมื่อเกิดจราจล การมีสถานที่สำรองจะทำให้สามารถทำงานต่อไปได้
- การสำรองข้อมูล (Data Backup) สิ่งที่ต้องตัดสินใจเกี่ยวกับการสำรองข้อมูลประกอบด้วยสื่อที่จะบันทึก ระยะเวลา ความถี่ และสถานที่จัดเก็บสื่อบันทึกข้อมูล
- การรักษาความปลอดภัยของแลนไร้สาย (Wireless LAN)
- ควบคุมการเชื่อมโยงเข้าสู่แลนไร้สายด้วย Service Set Identifier (SSID)
- กลั่นกรองผู้ใช้งานด้วยการกรองหมายเลขการ์ดเน็ตเวิร์ก (MAC Addressing Filtering)
- การเข้ารหัสและถอดรหัสด้วยวิธีการ Wired Equivalency Privacy (WEP)
- จำกัดขอบเขตพื้นที่ให้บริการด้วยการควบคุมกำลังส่งของแอ็กเซสพอยน์
- การพิสูจน์สิทธิเข้าใช้งานแลนไร้สายด้วย Radius Server (ไม่กล่าวในรายละเอียด)
- การสร้าง Virtual Private Network (VPN) บนแลนไร้สาย (ไม่กล่าวในรายละเอียด)
จรรยาบรรณ
จรรยาบรรณทางคอมพิวเตอร์ คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย
- การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
- การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์)
- ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ เป็นต้น
- สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights)
- หลักปฏิบัติ (Code of conduct)
- ความเป็นส่วนตัวของสารสนเทศ (Information privacy)
Presentation
1. Data Center
Data center เป็นพื้นที่ที่ใช้จัดวางระบบประมวลผลกลางและระบบเครือข่ายคอมพิวเตอร์ขององค์กร โดยมากผู้ใช้งานหรือลูกค้าจะเชื่อมต่อมาใช้บริการผ่านระบบเครือข่ายที่มาจากภายนอก Data Center จึงเปรียบได้กับสมองขององค์กรนั่นเอง
หน้าที่สำคัญ คือ การรักษาเสถียรภาพของระบบไอทีขององค์กรให้สามารถบริการลูกค้าและบุคคลากรของบริษัทฯอย่างต่อเนื่อง
2. Wireless Power
หรือที่เรียกอีกชื่อว่า Wireless energy transfer คือ การส่งผ่านพลังงานไฟฟ้าจากแหล่งพลังงาน (power source) ไปยังแหล่งเก็บไฟฟ้า (electrical load) โดยไม่ผ่านสายไฟฟ้า ซึ่งจะช่วยเพิ่มความสะดวกสบายในชีวิตประจำวันมากขึ้น และยังสามารถช่วยลดค่าใช้จ่ายได้อีกด้วย
น.ส.จิราพร พรพัฒนกุลฑล
ID NO. 5202112743
ไม่มีความคิดเห็น:
แสดงความคิดเห็น