AI613_Class13_ 9 Feb 2011
การรักษาความปลอดภัยระบบสารสนเทศและจรรยาบรรณเบื้องต้น
ความเสี่ยงของระบบสารสนเทศ หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสีย ทำลาย Hardware, Software ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลระบบข้อมูล
ตัวอย่างความเสี่ยงของระบบสารสนเทศ เช่น การเปิด Website ต่างๆผ่านคอมพิวเตอร์ของบริษัท, การเอา Thumb drive ส่วนตัวมาใช้กับคอมพิวเตอร์ของบริษัท ซึ่งผู้ที่จะทำให้เกิดความเสี่ยงแก่องค์กรส่วนมากนั้นเป็นกลุ่ม generation Y ซึ่งมีความรู้ด้านเทคโนโลยีมากกว่า
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
• แฮกเกอร์ (Hacker) พวกที่ชอบเข้าไปเจาะระบบสารสนเทศเพื่อขโมยข้อมูล เพื่อท้าทายความสามารถตัวเอง หรือทดลองเจาะระบบเพื่อปรับปรุง พวกที่ชอบเจาะข้อมูลอย่างมีประสงค์ร้าย คือ เพื่อทำให้กิจการมีปัญหา
• แครกเกอร์ (Cracker) คล้าย กับ แฮกเกอร์ แต่มีเจตนาที่ดี คือเพื่อตรวจสอบความปลอดภัยของระบบ และนำไปเป็นแนวทางในการสร้างการป้องกันและพัฒนาระบบรักษาความปลอดภัย
• ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies) คนรุ่นใหม่ที่พึ่งจะเริ่มเจาะระบบ หรือสร้างไวรัส
• ผู้สอดแนม (Spies) คือคนที่ดักดูข้อมูลต่างๆ ระหว่างการทำงานของคนอื่น
• เจ้าหน้าที่ขององค์กร (Employees) คือพนักงานขององค์กรที่อาจนำไวรัสมาสู่คอมพิวเตอร์โดยไม่ตั้งใจ โดยผ่านทางการเข้า Website หรือ Thumb drive ที่นำมาใช้
• ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyberterrorist) ผู้ก่อการร้ายทางคอมพิวเตอร์ เช่น ปล่อยข่าวทาง internet เพื่อปั่นราคาหุ้น
ประเภทของความเสี่ยงของระบบสารสนเทศ
1.การโจมตีระบบเครือข่าย (Network attack)
• ขั้นพื้นฐาน (Basic Attacks) เป็นการรื้อค้นทั่วไปในคอมพิวเตอร์ของคนอื่น
• ด้านคุณลักษณะ (Identity Attacks) ปลอมแปลงเป็นผู้อื่นในการส่งข้อมูลเพื่อหลอกลวงผู้อื่น
• การปฏิเสธการให้บริการ (Denial of Service) เป็นการโจมตีด้วยการเข้าไปที่ Server จำนวนมากเกินปกติในช่วงเวลาหนึ่ง ทำให้ Server นั้นไม่สามารถทำงานได้ ซึ่งบางครั้งการทำเช่นนี้อาจเพื่อลดความน่าเชื่อถือของคู่แข่ง สร้างความเสียหายให้แก่คู่แข่ง
• ด้วยมัลแวร์ (Malware) แบ่งเป็น มุ่งโจมตีการปฏิบัติงานของคอมพิวเตอร์ เช่น ไวรัส, เวิร์ม, โทรจันฮอร์ส และมุ่งโจมตีความเป็นส่วนตัวของสารสนเทศ (สปายแวร์) เช่น แอดแวร์, คีลอกเกอร์
2.การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access) หมายถึง การใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ
3.การขโมย(Theft)
• ขโมยฮาร์ดแวร์และการทำงานฮาร์ดแวร์ เช่น การตัดสายเชื่อมต่อระบบเครือข่ายอินเทอร์เน็ตหรือคอมพิวเตอร์
• ขโมยซอฟต์แวร์ เช่น การลบโปรแกรมโดยตั้งใจ การนำซอฟต์แวร์ของบริษัทไปใช้ส่วนตัว
• ขโมยสารสนเทศ ส่วนมากจะเป็นข้อมูลที่เป็นความลับส่วนบุคคล การเจาะระบบขโมยฐานข้อมูลของลูกค้า, การขโมย laptop มือถือ ipad
4.ความล้มเหลวของระบบสารสนเทศ(System failure)
• เสียง (Noise) พวกคลื่นเสียงรบกวนต่างๆ โดยเฉพาะขณะที่ฝนตกทำให้คลื่นโดนแทรกแซง
• แรงดันไฟฟ้าต่ำ
• แรงดันไฟฟ้าสูง
การรักษาความปลอดภัยของระบบสารสนเทศ
• รักษาความปลอดภัยจากการโจมตีระบบเครือข่าย เช่น ติดตั้งโปรแกรมป้องกันไวรัส, ติดตั้ง Firewall, ติดตั้ง Honeypot (ตั้งระบบไว้ล่อคนที่โจมตีระบบให้ไปตรงนั้น เหมือนเป็นตัวหลอกไว้),ติดตั้ง DMZ เป็น firewall เพื่อป้องกันการโจมตี server
• ควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต เช่น การระบุตัวตน(Identification), พิสูจน์ตัวจริง (Authentication) เช่น พวกรหัสผ่าน, เลขที่บัตรประชาชน
• ควบคุมการขโมย เช่น ทางกายภาพ (ล็อคประตูหน้าต่าง), ใช้ระบบติดตามอุปกรณ์ RTLS :Real Time Location System, ใช้ลักษณะทางกายภาพในการเปิดปิดคอมพิวเตอร์ เช่น ลายนิ้วมือ
• การเข้ารหัส คือกระบวนการแปลงข้อมูลอยู่ในรูปแบบที่คนทั่วไปไม่สามารถอ่านได้ ผู้ที่เกี่ยวข้องเท่านั้นที่จะสามารถอ่านข้อมูลได้ ซึ่งการเข้ารหัสมี 2 แบบคือ
o แบบสมมาตร - คนที่ส่งข้อมูลและรับข้อมูลใช้คีย์ชุดเดียวกันในการแปลงและถอดรหัสข้อความ
o แบบไม่สมมาตร - ส่วนมากเป็นการใช้ระหว่างบริษัทกับลูกค้า โดยบริษัทจะมีคีย์สาธารณะไว้สำหรับลูกค้า เมื่อข้อความส่งมา บริษัทจะมีคีย์ส่วนตัวอีกอันในการถอดข้อความออกมา เช่น พวกบัตรเครดิต, การซื้อสินค้าออนไลน์
• การรักษาความปลอดภัยอื่นๆ เช่น SSL : Secure sockets layer (เป็นการสร้างเครือข่ายชั่วคราวโดยใช้เป็น https แทน http), S-HTTP, VPN
• ควบคุมการล้มเหลวของระบบสารสนเทศ เช่น Surge protector ป้องกันไฟตก, UPS ป้องกันไฟดับ, Disaster Recovery, Business Continuity Planning
• การสำรองข้อมูล
• การรักษาความปลอดภัยของ Wireless LAN
• การควบคุมความล้มเหลวของระบบสารสนเทศ
จรรยาบรรณ
จรรยาบรรณทางคอมพิวเตอร์ คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ เช่น
- การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
- การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์)
- ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ เป็นต้น
- สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights)
- หลักปฏิบัติ (Code of conduct) เช่น ไม่เข้าไปยุงเกี่ยวกับแฟ้มข้อมูลของคนอื่น
- ความเป็นส่วนตัวของสารสนเทศ (Information privacy) เช่น ให้เฉพาะข้อมูลที่จำเป็นเท่านั้น, ไม่พิมพ์เบอร์โทรศัพท์ เลขที่บัตรประชาชน บนเช็คล่วงหน้า เป็นต้น
DUNGCHANOK TRIRATSIRIKUL 5202113162
ไม่มีความคิดเห็น:
แสดงความคิดเห็น