ครั้งที่ 13: 9/02/2011
Information System Security
ความเสี่ยงของระบบสารสนเทศ (Information System Risk) หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสีย หรือทำลายองค์ประกอบใดองค์ประกอบหนึ่งของระบบสารสนเทศ ไม่ว่าจะเป็น Hardware, Software, ข้อมูล, สารสนเทศ, หรือความสามารถในการประมวลผลของข้อมูล
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
· Hacker: บุคคลที่ใช้ทักษะทางคอมพิวเตอร์ที่สูง เพื่อเจาะเข้าไปในระบบสารสนเทศของผู้อื่นอย่างผิดกฎหมาย โดยมีวัตถุประสงค์ต้องการชี้ให้เจ้าของเห็นถึงช่องโหว่ของระบบ
· Cracker: บุคคลที่มีลักษณะคล้ายกับ Hacker แต่มีวัตถุประสงค์ที่จะทำให้ระบบสารสนเทศเสียหายมากกว่า
· Script Kiddies: หรือผู้ก่อให้เกิดภัยมือใหม่ มีลักษณะเหมือนกับ Cracker เพียงแต่บุคคลกลุ่มนี้จะไม่มีทักษะทางคอมพิวเตอร์มากนัก มักจะใช้โปรแกรมช่วย Crack
· Spies: เจาะระบบ และคอยสอดแนม Access ของผู้ใช้ต่างๆ
· Employees: สามารถเข้าถึงระบบสารสนเทศได้ง่ายกว่าบุคคลภายนอก
· Cyberterrorist: มีทักษะทางคอมพิวเตอร์ที่สูงมาก และจะใช้ความเชื่อของตนเองในการปรับเปลี่ยนข้อมูลสารสนเทศ มักเกิดขึ้นใน USA เช่น เปลี่ยนหน้าเว็บไซต์ของรัฐสภา
ประเภทของความเสี่ยงของระบบสารสนเทศ
· Network Attacks
o Basic Attacks อันได้แก่ กลลวงทางสังคมต่างๆ (Social Engineering) เช่น โทรศัพท์ + ตู้ ATM, Dumpster Diving (ค้นหาข้อมูลที่เคยถูกลบ หรือทิ้งไปแล้ว)
o Identity Attacks ได้แก่ DNS Spoofing, E-mail Spoofing ตัวอย่างของเว็บที่ถูก Spoof เช่น หน้าเว็บเป็น Google แต่ในขณะที่เว็บ URL เป็นของ Yahoo! เป็นต้น
o Denial of Service (DDoS) บางครั้งการเข้าเว็บต่างๆ จะช้าผิดปกติ เพราะว่ามีหลายคนเข้าใช้พร้อมกันในเวลาเดียวกัน และในที่สุด หากมีผู้ใช้เข้าใช้มากเกินไป จะทำให้ Server ล่ม เช่น DIstributed Denial of Service (DDoS), HTTP Flood Denial of Service
o Malware Attacks ประกอบด้วย
§ โปรแกรมที่มุ่งโจมตีการปฏิบัติงานของคอมพิวเตอร์ (Computer Operation) เช่น Virus, Worm, Trojan, Logic Bomb
§ โปรแกรมที่มุ่งโจมตีความเป็นส่วนตัวของสารสนเทศ (Information Privacy) เช่น Spyware, Phishing, Keyloggers, Backdoors, ฯลฯ
· Unauthorized Access เป็นการเข้าใช้คอมพิวเตอร์ หรือระบบเครือข่ายโดยที่ไม่ได้รับอนุญาต มักจะก่อให้เกิดกิจกรรมที่ผิดระเบียบของกิจการ หรือผิดกฎหมาย
· Theft หรือการขโมย เช่น
o Hardware: ขโมยและทำลาย Hardware หรือตัดสายเชื่อมต่อ
o Software : ขโมยสื่อจัดเก็บ Software, ลบโปรแกรมออก, ทำสำเนาโดยไม่ได้รับอนุญาต
o Information: ข้อมูลที่เป็นความลับส่วนบุคคล
· System Failure หรือความล้มเหลวของระบบสารสนเทศ อันเกิดจากปัจจัยต่างๆ ดังนี้
o Noise หรือสัญญาณรบกวนต่างๆ ที่แทรกเข้ามากับแรงดันไฟฟ้า
o Undervoltages อาจทำให้ข้อมูลบางอย่างสูญหายได้
o Overvoltages เช่น ฟ้าผ่า กรณีนี้อาจทำให้ Hardware ถูกทำลายอย่างถาวร
การรักษาความปลอดภัยของระบบสารสนเทศ
· ติดตั้ง Antivirus และ Update Virus Signature/Definition เป็นประจำ
· ติดตั้ง Firewall ป้องกันไม่ให้บุคคลที่ไม่ได้รับอนุญาตเข้ามาในระบบเครือข่าย
· ติดตั้ง Intrusion Detection Software (ตรวจจับการบุกรุก) หากมีความผิดปกติอะไรบางอย่างเกิดขึ้นในระบบ จะแจ้งให้ผู้ดูแลระบบทราบ
· ติดตั้ง Honeypot กล่าวคือ เป็นระบบที่ติดตั้งให้เหมือนระบบจริง แต่แยกออกมาจากระบบที่กิจการใช้งานอยู่ เป็นการทดสอบ Security แบบหนึ่ง
· การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต อันได้แก่
o Identification การระบุตัวตน เช่น Username ต่างๆ
o Authentication การพิสูจน์ตัวจริง เช่น Password หรือเป็นข้อมูลอื่นๆ เช่น
§ What you know: ข้อมูลที่ทราบเฉพาะบุคคลที่เป็นเจ้าของ
§ What you have: บัตรประจำตัวต่างๆ
§ What you are: ลักษณะทางกายภายของบุคคล เช่น ม่านตา ลายนิ้วมือ
· การควบคุมการขโมย ประกอบด้วย
o การเข้าถึงทางกายภาพ (Physical Access Control) เช่น ปิดห้อง ปิดหน้าต่าง
o บางแห่งนำระบบ Real Time Location System (RTLS) มาใช้ เช่น การติดRFID Tags ติดที่อุปกรณ์ต่างๆ
o ควบคุมการเปิดเครื่อง และเข้าใช้งานด้วยลักษณะทางกายภาพของบุคคล
o เก็บซอฟท์แวร์ไว้ในที่ที่ปลอดภัย หรือเก็บไว้ใน Cloud Server ก็ได้
o ถ้ามี Programmer ลาออก/ถูกไล่ออก ต้องควบคุมและติดตาม Programmer ทันที (Escort)
· การเข้ารหัส เป็นการแปลงข้อมูลจากรูปที่คนทั่วไปสามารถอ่านได้ (Plaintext) ให้เป็นรูปที่เฉพาะผู้ที่เกี่ยวข้องเท่านั้นอ่านได้ (Ciphertext) ซึ่งจะเป็นการเข้ารหัสแบบสมมาตร (มีกุญแจตัวเดียวกันในการเข้ารหัส และถอดรหัส) หรือไม่สมมาตรก็ได้ (มีกุญแจคนละตัว) โดยมีองค์ประกอบ ดังนี้
o Plaintext หรือข้อความดิบ
o Algorithm วิธีการเข้ารหัส
o Secure Key
· การรักษาความปลอดภัยอื่นๆ เช่น
o Secure Socket Layer (SSL) เว็บที่ใช้ SSL จะมี URL ขึ้นต้นด้วย "https://"
o Secure HTTP (S-HTTP) เช่น ระบบธนาคาร
o Virtual Private Network (VPN) เป็นการยืมบางส่วนของ Internet มาใช้เป็น Network เฉพาะขององค์กรนั้นๆ
· การควบคุมความล้มเหลวของระบบสารสนเทศ
o Surge Protector หรือ Surge Suppressor เครื่องมือสำหรับป้องกันแรงดันไฟฟ้า
o Uninterruptible Power Supply (UPS) เครื่องมือสำรองไฟฟ้าเมื่อไฟฟ้าดับ
o Disaster Recovery (DPR) หรือ Business Continuity Planning (BCP) แผนการคืนสู่สภาพปกติเมื่อระบบสารสนเทศถูกทำลายจนไม่สามารถให้บริการได้
· การสำรองข้อมูล (Data Backup) ซึ่งจะต้องพิจารณาถึงสิ่งต่อไปนี้
o สื่อที่บันทึก (Media) เช่น CD, DVD, External Harddisk
o ระยะเวลา ที่ต้องสำรองข้อมูล
o ความถี่ ในการสำรองข้อมูล
o สถานที่จัดเก็บสื่อบันทึกที่สำรองข้อมูล
§ On-site เช่น Data Center อย่างน้อย 2 แห่งในบริษัท
§ Off-site เช่น บริษัทรับจัดเก็บข้อมูล
· การรักษาความปลอดภัยของ Wireless LAN ได้แก่
o การควบคุม Connection ด้วย Service Set Identifier (SSID)
o การกลั่นกรองผู้ใช้งานด้วย MAC Addressing Filtering
o การเข้ารหัส และถอดรหัสด้วยวิธี Wired Equivalency Privacy (WEP)
o จำกัดขอบเขตพื้นที่ให้บริการ ด้วยการกำหนดกำลังส่งของ Access Point
o การพิสูจน์สิทธิการเข้าถึงการใช้งานด้วย Radius Server
o การสร้าง VPN
จรรยาบรรณทางคอมพิวเตอร์
จรรยาบรรณทางคอมพิวเตอร์ เป็นหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย
· การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
· การขโมยซอฟต์แวร์ หรือการละเมิดลิขสิทธิ์ เช่น การ Download ส่วนประกอบของเว็บไซต์ แล้วปรับปรุง เพื่อนำไปแสดงบนเว็บในนามของตนเอง, การนำเพลงใส่ในเว็บ, ฯลฯ
· ความถูกต้องของระบบสารสนเทศ เช่น การตกแต่งรูปภาพต่างๆ
· สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual Property Rights)
· หลักปฏิบัติ (Code of Conduct) เป็นสิ่งที่เขียนเป็นลายลักษณ์อักษรเพื่อเป็นแนวทางในการตัดสินใจว่าการกระทำใดที่เกี่ยวข้องกับคอมพิวเตอร์เป็นสิ่งที่มีหรือไม่มีจรรยาบรรณ
· ความเป็นส่วนตัวของสารสนเทศ (Information Privacy)
วรางค์รัตน์ นคราพานิช
5202112818
ไม่มีความคิดเห็น:
แสดงความคิดเห็น