IT Learning Journal ครั้งที่ 14

                                                                                                ครั้งที่ 14 : 15/02/2011

Web 2.0

เว็บ 2.0 เป็นการเพิ่มคุณสมบัติของเว็บไซต์ในการที่ผู้ใช้อินเตอร์เนทมีส่วนร่วมในการสร้างเนื้อหาบนอินเตอร์เน็ต ซึ่งจะเน้นไปที่การมีส่วนร่วมของสังคม และให้ความสำคัญกับผู้เข้าชมเว็บไซต์มากกว่า และเนื่องจากเป็นการสื่อสารแบบ Two-way Communication จึงเป็นประโยชน์ในการปรับปรุง พัฒนากระบวนการของแต่ละกิจการ และ/หรือ การทำการตลาดต่างๆ เช่น ผู้ใช้สามารถ Upload ข้อมูลของตนเอง หรือ VDO เข้าสู่เว็บไซต์ต่างๆ อาทิ Youtube, Wikipedia ได้

Web 2.0 vs. Traditional Web

·         ช่วยให้เกิดความร่วมมือกันทั้งผู้ใช้งานภายใน, บุคคลอื่น, content providers และกิจการ

·         ช่วยพัฒนากระบวนการภายในและการทำการตลาดทางธุรกิจ

·         ช่วยให้เกิดการมีส่วนร่วมมากยิ่งขึ้นจากทั้งลูกค้า ผู้ถือหุ้น ซัพพลายเออร์ และ internal users

Web 2.0 Characteristics

·         ลักษณะเนื้อหามีการแบ่งส่วนบนหน้าเพจเปลี่ยนจากข้อมูลก้อนใหญ่มาเป็นก้อนเล็ก

·         ผู้ใช้สามารถเข้ามาจัดการเนื้อหาบนหน้าเว็บได้และสามารถแบ่งปันเนื้อหาที่ผ่านการจัดการให้กับกลุ่มคน

·         ในโลกออนไลน์ได้ ซึ่งสิ่งที่เกิดขึ้นถือว่าเป็นปรากฏการณ์อย่างหนึ่งของสังคมออนไลน์สังคมออนไลน์

·         เนื้อหาจะมีการจัดเรียง จัดกลุ่มมากขึ้นไปกว่าเดิม

·         เกิดโมเดลทางธุรกิจที่หลากหลายมากยิ่งขึ้น และทำให้ธุรกิจเว็บไซต์กลายเป็นธุรกิจที่มีมูลค่ามหาศาล

·         การบริการ คือ เว็บที่มีลักษณะเด่นในการให้บริการหลาย ๆ เว็บไซต์ที่มีแนวทางเดียวกัน

Web 2.0 Companies

·         Social Media: Wikia, Youtube, Yahoo!, และ digg เป็นต้น

·         Mashups & Filters: Bloglines, SimplyHired, Technorati, และ Google เป็นต้น

·         Enterprise: SuccessFactors, PhoneTag, Rearden เป็นต้น

Virtual Communities and Virtual World

Virtual Community เป็นกลุ่มของผู้คนที่มีความสนใจเดียวกันและมีการปฏิสัมพันธ์กับผู้อื่นในกลุ่มนั้นผ่านทางเครือข่ายคอมพิวเตอร์ (เช่น อินเตอร์เนท) โดย Virtual Community จะประกอบด้วย Elements ต่างๆ ได้แก่

o   Communication

o   Information

o   E-Commerce Elements

ประเภทของ Virtual Community มีดังต่อไปนี้

·         Transaction and other business เน้นไปที่การซื้อขาย

·         Purpose or interest เป็นการแลกเปลี่ยนข้อมูลเกี่ยวกับความสนใจต่างๆ

·         Relations or Practices ชุมชนแต่ละแห่งจะประกอบด้วยบุคคลที่มีประสบการณ์ในแต่ละลักษณะ

·         Fantasy แบ่งปันสภาพแวดล้อมในจินตนาการ

·         Social Networks เป็นสถานที่ที่สมาชิกสร้างพื้นที่ส่วนตัว เพื่อสื่อสาร ทำงานร่วมกัน สร้าง แบ่งปัน หรือตั้งกลุ่มเล็กๆ และอื่นๆ อีกมากมาย เช่น Facebook, Twitter, Flickr, Digg, ฯลฯ

·         Virtual Worlds เป็นโลก 3 มิติที่ผู้ใช้กำหนดขึ้นเอง ซึ่งจะมีการปฏิสัมพันธ์ การเล่น หรือการซื้อขายในบริเวณนั้น โดยจะมีตัว Avatars เป็นตัวแทนของแต่ละคน เช่น SecondLife, Webkinz

สิ่งที่ควรระวังสำหรับ Social Networks ได้แก่

·         การควบคุมความเป็นส่วนตัว

·         การแปลภาษาที่ยังไม่ถูกต้องสมบูรณ์

·         การแข่งขันโดยผู้ใช้ที่สูง

·         การเป็นเหยื่อต่อกิจกรรมที่ผิดกฎหมาย

·         การกระทำที่ขัดกับวัฒนธรรม

Enterprise Social Network

คุณสมบัติของ Enterprise Social Network ได้แก่

·         Gated-access approach

·         มีกลุ่มคนที่มีความสนใจเดียวกัน

·         แหล่งข้อมูล และความช่วยเหลือด้านธุรกิจโดยเฉพาะ

ลักษณะของ Interface จะเป็นการใช้ Social Network ที่มีอยู่แล้ว ในการสร้างเครือข่ายในบริษัท และใช้เครือข่ายดังกล่าวในการสื่อสารกับพนักงาน หรือในลักษณะของการทำ Knowledge Management ก่อให้เกิดกิจกรรมทางธุรกิจ เกิดบริการใหม่ๆ และเป็นการสร้าง Social Marketplace ขึ้นใหม่ได้

ประโยชน์ของ Online Communities สำหรับร้านค้าขายปลีก

·         เป็นแหล่งสำหรับการเก็บข้อมูล Feedback ของลูกค้า

·         สามารถทำ Viral Marketing ได้ (การตลาดแบบปากต่อปาก)

·         เพิ่มจำนวนคนที่เข้ามาเยี่ยมชมเว็บไซต์

·         เพิ่มยอดขายได้มากขึ้น

วรางค์รัตน์ นคราพานิช

5202112818

IT Learning Journal ครั้งที่13

ครั้งที่ 13: 9/02/2011

Information System Security

           ความเสี่ยงของระบบสารสนเทศ (Information System Risk) หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสีย หรือทำลายองค์ประกอบใดองค์ประกอบหนึ่งของระบบสารสนเทศ ไม่ว่าจะเป็น Hardware, Software, ข้อมูล, สารสนเทศ, หรือความสามารถในการประมวลผลของข้อมูล

ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ

·         Hacker: บุคคลที่ใช้ทักษะทางคอมพิวเตอร์ที่สูง เพื่อเจาะเข้าไปในระบบสารสนเทศของผู้อื่นอย่างผิดกฎหมาย โดยมีวัตถุประสงค์ต้องการชี้ให้เจ้าของเห็นถึงช่องโหว่ของระบบ

·         Cracker: บุคคลที่มีลักษณะคล้ายกับ Hacker แต่มีวัตถุประสงค์ที่จะทำให้ระบบสารสนเทศเสียหายมากกว่า

·         Script Kiddies: หรือผู้ก่อให้เกิดภัยมือใหม่ มีลักษณะเหมือนกับ Cracker เพียงแต่บุคคลกลุ่มนี้จะไม่มีทักษะทางคอมพิวเตอร์มากนัก มักจะใช้โปรแกรมช่วย Crack

·         Spies: เจาะระบบ และคอยสอดแนม Access ของผู้ใช้ต่างๆ

·         Employees: สามารถเข้าถึงระบบสารสนเทศได้ง่ายกว่าบุคคลภายนอก

·         Cyberterrorist: มีทักษะทางคอมพิวเตอร์ที่สูงมาก และจะใช้ความเชื่อของตนเองในการปรับเปลี่ยนข้อมูลสารสนเทศ มักเกิดขึ้นใน USA เช่น เปลี่ยนหน้าเว็บไซต์ของรัฐสภา

ประเภทของความเสี่ยงของระบบสารสนเทศ

·         Network Attacks

o   Basic Attacks อันได้แก่ กลลวงทางสังคมต่างๆ (Social Engineering) เช่น โทรศัพท์ + ตู้ ATM, Dumpster Diving (ค้นหาข้อมูลที่เคยถูกลบ หรือทิ้งไปแล้ว)

o   Identity Attacks ได้แก่ DNS Spoofing, E-mail Spoofing ตัวอย่างของเว็บที่ถูก Spoof เช่น หน้าเว็บเป็น Google แต่ในขณะที่เว็บ URL เป็นของ Yahoo! เป็นต้น

o   Denial of Service (DDoS) บางครั้งการเข้าเว็บต่างๆ จะช้าผิดปกติ เพราะว่ามีหลายคนเข้าใช้พร้อมกันในเวลาเดียวกัน และในที่สุด หากมีผู้ใช้เข้าใช้มากเกินไป จะทำให้ Server ล่ม เช่น DIstributed Denial of Service (DDoS), HTTP Flood Denial of Service

o   Malware Attacks ประกอบด้วย

§  โปรแกรมที่มุ่งโจมตีการปฏิบัติงานของคอมพิวเตอร์ (Computer Operation) เช่น Virus, Worm, Trojan, Logic Bomb

§  โปรแกรมที่มุ่งโจมตีความเป็นส่วนตัวของสารสนเทศ (Information Privacy) เช่น Spyware, Phishing, Keyloggers, Backdoors, ฯลฯ

·         Unauthorized Access เป็นการเข้าใช้คอมพิวเตอร์ หรือระบบเครือข่ายโดยที่ไม่ได้รับอนุญาต มักจะก่อให้เกิดกิจกรรมที่ผิดระเบียบของกิจการ หรือผิดกฎหมาย

·         Theft หรือการขโมย เช่น

o   Hardware: ขโมยและทำลาย Hardware หรือตัดสายเชื่อมต่อ

o   Software : ขโมยสื่อจัดเก็บ Software, ลบโปรแกรมออก, ทำสำเนาโดยไม่ได้รับอนุญาต

o   Information: ข้อมูลที่เป็นความลับส่วนบุคคล

·         System Failure หรือความล้มเหลวของระบบสารสนเทศ อันเกิดจากปัจจัยต่างๆ ดังนี้

o   Noise หรือสัญญาณรบกวนต่างๆ ที่แทรกเข้ามากับแรงดันไฟฟ้า

o   Undervoltages อาจทำให้ข้อมูลบางอย่างสูญหายได้

o   Overvoltages เช่น ฟ้าผ่า กรณีนี้อาจทำให้ Hardware ถูกทำลายอย่างถาวร

การรักษาความปลอดภัยของระบบสารสนเทศ

·         ติดตั้ง Antivirus และ Update Virus Signature/Definition เป็นประจำ

·         ติดตั้ง Firewall ป้องกันไม่ให้บุคคลที่ไม่ได้รับอนุญาตเข้ามาในระบบเครือข่าย

·         ติดตั้ง Intrusion Detection Software (ตรวจจับการบุกรุก) หากมีความผิดปกติอะไรบางอย่างเกิดขึ้นในระบบ จะแจ้งให้ผู้ดูแลระบบทราบ

·         ติดตั้ง Honeypot กล่าวคือ เป็นระบบที่ติดตั้งให้เหมือนระบบจริง แต่แยกออกมาจากระบบที่กิจการใช้งานอยู่ เป็นการทดสอบ Security แบบหนึ่ง

·         การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต อันได้แก่

o    Identification การระบุตัวตน เช่น Username ต่างๆ

o    Authentication การพิสูจน์ตัวจริง เช่น Password หรือเป็นข้อมูลอื่นๆ เช่น

§  What you know: ข้อมูลที่ทราบเฉพาะบุคคลที่เป็นเจ้าของ

§  What you have: บัตรประจำตัวต่างๆ

§  What you are: ลักษณะทางกายภายของบุคคล เช่น ม่านตา ลายนิ้วมือ

·         การควบคุมการขโมย ประกอบด้วย

o    การเข้าถึงทางกายภาพ (Physical Access Control) เช่น ปิดห้อง ปิดหน้าต่าง

o    บางแห่งนำระบบ Real Time Location System (RTLS) มาใช้ เช่น การติดRFID Tags ติดที่อุปกรณ์ต่างๆ

o    ควบคุมการเปิดเครื่อง และเข้าใช้งานด้วยลักษณะทางกายภาพของบุคคล

o    เก็บซอฟท์แวร์ไว้ในที่ที่ปลอดภัย หรือเก็บไว้ใน Cloud Server ก็ได้

o    ถ้ามี Programmer ลาออก/ถูกไล่ออก ต้องควบคุมและติดตาม Programmer ทันที (Escort)

·         การเข้ารหัส เป็นการแปลงข้อมูลจากรูปที่คนทั่วไปสามารถอ่านได้ (Plaintext) ให้เป็นรูปที่เฉพาะผู้ที่เกี่ยวข้องเท่านั้นอ่านได้ (Ciphertext) ซึ่งจะเป็นการเข้ารหัสแบบสมมาตร (มีกุญแจตัวเดียวกันในการเข้ารหัส และถอดรหัส) หรือไม่สมมาตรก็ได้ (มีกุญแจคนละตัว) โดยมีองค์ประกอบ ดังนี้

o    Plaintext หรือข้อความดิบ

o    Algorithm วิธีการเข้ารหัส

o    Secure Key

·         การรักษาความปลอดภัยอื่นๆ เช่น

o    Secure Socket Layer (SSL) เว็บที่ใช้ SSL จะมี URL ขึ้นต้นด้วย "https://"

o    Secure HTTP (S-HTTP) เช่น ระบบธนาคาร

o    Virtual Private Network (VPN) เป็นการยืมบางส่วนของ Internet มาใช้เป็น Network เฉพาะขององค์กรนั้นๆ

·         การควบคุมความล้มเหลวของระบบสารสนเทศ

o    Surge Protector หรือ Surge Suppressor เครื่องมือสำหรับป้องกันแรงดันไฟฟ้า

o    Uninterruptible Power Supply (UPS) เครื่องมือสำรองไฟฟ้าเมื่อไฟฟ้าดับ

o    Disaster Recovery (DPR) หรือ Business Continuity Planning (BCP) แผนการคืนสู่สภาพปกติเมื่อระบบสารสนเทศถูกทำลายจนไม่สามารถให้บริการได้

·         การสำรองข้อมูล (Data Backup) ซึ่งจะต้องพิจารณาถึงสิ่งต่อไปนี้

o    สื่อที่บันทึก (Media) เช่น CD, DVD, External Harddisk

o    ระยะเวลา ที่ต้องสำรองข้อมูล

o    ความถี่ ในการสำรองข้อมูล

o    สถานที่จัดเก็บสื่อบันทึกที่สำรองข้อมูล

§  On-site เช่น Data Center อย่างน้อย 2 แห่งในบริษัท

§  Off-site เช่น บริษัทรับจัดเก็บข้อมูล

·         การรักษาความปลอดภัยของ Wireless LAN ได้แก่

o    การควบคุม Connection ด้วย Service Set Identifier (SSID)

o    การกลั่นกรองผู้ใช้งานด้วย MAC Addressing Filtering

o    การเข้ารหัส และถอดรหัสด้วยวิธี Wired Equivalency Privacy (WEP)

o    จำกัดขอบเขตพื้นที่ให้บริการ ด้วยการกำหนดกำลังส่งของ Access Point

o    การพิสูจน์สิทธิการเข้าถึงการใช้งานด้วย Radius Server

o    การสร้าง VPN

จรรยาบรรณทางคอมพิวเตอร์

จรรยาบรรณทางคอมพิวเตอร์ เป็นหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย

·         การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต

·         การขโมยซอฟต์แวร์ หรือการละเมิดลิขสิทธิ์ เช่น การ Download ส่วนประกอบของเว็บไซต์ แล้วปรับปรุง เพื่อนำไปแสดงบนเว็บในนามของตนเอง, การนำเพลงใส่ในเว็บ, ฯลฯ

·         ความถูกต้องของระบบสารสนเทศ เช่น การตกแต่งรูปภาพต่างๆ

·         สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual Property Rights)

·         หลักปฏิบัติ (Code of Conduct) เป็นสิ่งที่เขียนเป็นลายลักษณ์อักษรเพื่อเป็นแนวทางในการตัดสินใจว่าการกระทำใดที่เกี่ยวข้องกับคอมพิวเตอร์เป็นสิ่งที่มีหรือไม่มีจรรยาบรรณ

·         ความเป็นส่วนตัวของสารสนเทศ (Information Privacy) 

วรางค์รัตน์ นคราพานิช

5202112818