Assingment
ให้นักศึกษาค้นคว้าหาข้อมูลเกี่ยวกับระบบความปลอดภัย(security)ของระบบสารสนเทศหัวข้อที่ค้นคว้า
-แนวคิดการรักษาความปลอดภัย
แนวคิดหลักของความมั่นคงปลอดภัยของสารสนเทศ
กลุ่มอุตสาหกรรมความมั่นคงปลอดภัยของคอมพิวเตอร์ ได้กำหนดแนวคิดหลักของความมั่นคงปลอดภัยของคอมพิวเตอร์ขึ้น
2.ความสมบูรณ์ Integrity
•ความสมบูรณ์คือความครบถ้วนถูกต้องและไม่มีสิ่งแปลกปลอมสารสนเทศที่มีความ สมบูรณ์จึงเป็นสารสนเทศที่นำไปใช้ประโยชน์ได้อย่างถูกต้องครบถ้วน
แนวคิดหลักของความมั่นคงปลอดภัยของสารสนเทศ
กลุ่มอุตสาหกรรมความมั่นคงปลอดภัยของคอมพิวเตอร์ ได้กำหนดแนวคิดหลักของความมั่นคงปลอดภัยของคอมพิวเตอร์ขึ้น
C.I.A Triangle
ประกอบด้วย
1.ความลับ
Confidentiality
•เป็นการรับประกันว่าผู้มีสิทธิ์และได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลได้
•องค์กรต้องมีมาตรการป้องกันการเข้าถึงสารสนเทศที่เป็นความลับ
เช่น
การจัดประเภทของสารสนเทศการรักษาความปลอดภัยในกับแหล่งจัดเก็บข้อมูล
กำหนดนโยบายรักษาความมั่นคงปลอดภัยและนำไปใช้
ให้การศึกษาแก่ทีมงานความมั่นคงปลอดภัยและผู้ใช้
•ภัยคุกคามที่เพิ่มมากขึ้นในปัจจุบัน มีสาเหตุมาจากความก้าวหน้าทางเทคโนโลยี
ประกอบกับความต้องการความสะดวกสบายในการสั่งซื้อสินค้าของลูกค้า
โดยการยอมให้สารสนเทศส่วนบุคคลแก่ website เพื่อสิทธิ์สนการทำธุรกรรมต่าง ๆ
โดยลืมไปว่าเว็บไซต์เป็นแหล่งข้อมูลที่สามารถขโมยสารสนเทศไปได้ไม่ยากนัก
2.ความสมบูรณ์ Integrity
•ความสมบูรณ์คือความครบถ้วนถูกต้องและไม่มีสิ่งแปลกปลอมสารสนเทศที่มีความ สมบูรณ์จึงเป็นสารสนเทศที่นำไปใช้ประโยชน์ได้อย่างถูกต้องครบถ้วน
•สารสนเทศจะขาดความสมบูรณ์ก็ต่อเมื่อสารสนเทศนั้นถูกนำไปเปลี่ยนแปลงปลอม
ด้วยสารสนเทศอื่น ถูกทำให้เสียหาย ถูกทำลาย หรือถูกกระทำในรูปแบบอื่น ๆ เพื่อขัด
ขวางการพิสูจน์การเป็นสารสนเทศจริง
ด้วยสารสนเทศอื่น ถูกทำให้เสียหาย ถูกทำลาย หรือถูกกระทำในรูปแบบอื่น ๆ เพื่อขัด
ขวางการพิสูจน์การเป็นสารสนเทศจริง
3.ความพร้อมใช้ Availability
•ความพร้อมใช้ หมายถึง สารสนเทศจะถูกเข้าถึงหรือเรียกใช้งานได้อย่างราบรื่น โดย
ผู้ใช้หรือระบบอื่นที่ได้รับอนุญาตเท่านั้น
•หากเป็นผู้ใช้หรือระบบที่ไม่ได้รับอนุญาต การเข้าถึงหรือเรียกใช้งานจะถูกขัดขวางและ
ล้มเหลงในที่สุด
4.ความถูกต้องแม่นยำ Accuracy
•ความถูกต้องแม่นยำ หมายถึง สารสนเทศต้องไม่มีความผิดพลาด และต้องมีคตรงกับ
ความคาดหวังของผู้ใช้เสมอ
•เมื่อใดก็ตามที่สารสนเทศมีค่าผิดเพี้ยนไปจากความคาดหวังของผู้ใช้ ไม่ว่าจะเกิดจาก
การแก้ไขด้วยความตั้งใจหรือไม่ก็ตาม เมื่อนั้นจะถือว่าสารสนเทศ “ไม่มีความถูกต้อง
แม่นยำ"
5.ความเป็นของแท้ Authenticity
สารสนเทศที่เป็นของแท้ คือ สารสนเทศที่ถูกจัดทำขึ้นจากแหล่งที่ถูกต้อง ไม่ถูกทำซ้ำ
โดยแหล่งอื่นที่ไม่ได้รับอนุญาต หรือแหล่งที่ไม่คุ้นเคยและไม่เคยทราบมาก่อน
6.ความเป็นส่วนตัว Privacy
•ความเป็นส่วนตัว คือ สารสนเทศที่ถูกรวบรวม เรียกใช้ และจัดเก็บโดยองค์กร จะต้องถูก
ใช้ในวัตถุประสงค์ที่ผู้เป็นเข้าของสารสนเทศรับทราบ ณ ขณะที่มีการรวบรวมสารสนเทศ
นั้น
•มิฉะนั้นจะถือว่าเป็นการละเมิดสิทธิส่วนบุคคลด้านสารสนเทศ
ที่มาsci.feu.ac.th/.../ch1%20information%20security%20and%20management.
-การรักษาความปลอดภัยในองค์กร
สมัยก่อนอาชญากรคอมพิวเตอร์อาจโจมตีแค่เครื่องไมโครคอมพิวเตอร์ด้วยไวรัสและ เวิร์มเสียหายหรือแค่เครื่องลูกข่ายทำงานไม้ได้หรือทำงานช้าลง แต่ยุคสมัยนี้รูปแบบการถูกโจมตีมีแนวโน้มรุนแรงมากขึ้น
ทั้งสปายแวร์ พิชชิ่งที่มุ่งโจมตีสิ่งสงวนสำคัญที่สุดขององค์กรคือข้อมูล เครื่องแม่ข่าย และระบบสื่อสารข้อมูล เสียหายถึงขั้นระบบ IT หยุดชะงักทำงานไม่ได้ ทำให้องค์กรต้องจ่ายค่าคุ้มครองความปลอดภัยคอมพิวเตอร์สูงขึ้น
ซึ่งนอกจากการกระทำของน้ำมือมนุษย์แล้ว ระบบ IT ในองค์กร ยังสามารถเกิดความเสียหายจากสาเหตุอื่นๆ ด้วยเช่นกันค่ะ อาทิ เกิดความเสียหายเนื่องจากภัยธรรมชาติ เช่นการเกิดพายุ สึนามิ ฟ้าผ่า ไฟใหม้ เป็นต้น และยังอาจเกิดจากความเสียหายเนื่องจากขาดระบบป้องกัน ทางกายภาพที่ดี (Physical Security)
•ความพร้อมใช้ หมายถึง สารสนเทศจะถูกเข้าถึงหรือเรียกใช้งานได้อย่างราบรื่น โดย
ผู้ใช้หรือระบบอื่นที่ได้รับอนุญาตเท่านั้น
•หากเป็นผู้ใช้หรือระบบที่ไม่ได้รับอนุญาต การเข้าถึงหรือเรียกใช้งานจะถูกขัดขวางและ
ล้มเหลงในที่สุด
4.ความถูกต้องแม่นยำ Accuracy
•ความถูกต้องแม่นยำ หมายถึง สารสนเทศต้องไม่มีความผิดพลาด และต้องมีคตรงกับ
ความคาดหวังของผู้ใช้เสมอ
•เมื่อใดก็ตามที่สารสนเทศมีค่าผิดเพี้ยนไปจากความคาดหวังของผู้ใช้ ไม่ว่าจะเกิดจาก
การแก้ไขด้วยความตั้งใจหรือไม่ก็ตาม เมื่อนั้นจะถือว่าสารสนเทศ “ไม่มีความถูกต้อง
แม่นยำ"
5.ความเป็นของแท้ Authenticity
สารสนเทศที่เป็นของแท้ คือ สารสนเทศที่ถูกจัดทำขึ้นจากแหล่งที่ถูกต้อง ไม่ถูกทำซ้ำ
โดยแหล่งอื่นที่ไม่ได้รับอนุญาต หรือแหล่งที่ไม่คุ้นเคยและไม่เคยทราบมาก่อน
6.ความเป็นส่วนตัว Privacy
•ความเป็นส่วนตัว คือ สารสนเทศที่ถูกรวบรวม เรียกใช้ และจัดเก็บโดยองค์กร จะต้องถูก
ใช้ในวัตถุประสงค์ที่ผู้เป็นเข้าของสารสนเทศรับทราบ ณ ขณะที่มีการรวบรวมสารสนเทศ
นั้น
•มิฉะนั้นจะถือว่าเป็นการละเมิดสิทธิส่วนบุคคลด้านสารสนเทศ
ที่มาsci.feu.ac.th/.../ch1%20information%20security%20and%20management.
-การรักษาความปลอดภัยในองค์กร
สมัยก่อนอาชญากรคอมพิวเตอร์อาจโจมตีแค่เครื่องไมโครคอมพิวเตอร์ด้วยไวรัสและ เวิร์มเสียหายหรือแค่เครื่องลูกข่ายทำงานไม้ได้หรือทำงานช้าลง แต่ยุคสมัยนี้รูปแบบการถูกโจมตีมีแนวโน้มรุนแรงมากขึ้น
ทั้งสปายแวร์ พิชชิ่งที่มุ่งโจมตีสิ่งสงวนสำคัญที่สุดขององค์กรคือข้อมูล เครื่องแม่ข่าย และระบบสื่อสารข้อมูล เสียหายถึงขั้นระบบ IT หยุดชะงักทำงานไม่ได้ ทำให้องค์กรต้องจ่ายค่าคุ้มครองความปลอดภัยคอมพิวเตอร์สูงขึ้น
ซึ่งนอกจากการกระทำของน้ำมือมนุษย์แล้ว ระบบ IT ในองค์กร ยังสามารถเกิดความเสียหายจากสาเหตุอื่นๆ ด้วยเช่นกันค่ะ อาทิ เกิดความเสียหายเนื่องจากภัยธรรมชาติ เช่นการเกิดพายุ สึนามิ ฟ้าผ่า ไฟใหม้ เป็นต้น และยังอาจเกิดจากความเสียหายเนื่องจากขาดระบบป้องกัน ทางกายภาพที่ดี (Physical Security)
แนวทางในการรักษา ความปลอดภัยให้กับระบบ IT กันซึ่งสามารถแบ่งออกเป็น 3 แนวทาง
อันดับแรก คือ การวางแผนรักษาความปลอดภัยในเชิงกายภาพ (Physical Planning Security)เกี่ยวกับสภาพต่าง ๆ ที่เกี่ยวข้องกับเครื่องคอมพิวเตอร์ ได้แก่ การจัดการดูแลและป้องกันในส่วนของอาคารสถานที่ ทำเลที่ตั้งศูนย์คอมพิวเตอร์ หรือห้องคอมพิวเตอร์ การจัดการดูแลและป้องกันภายในศูนย์คอมพิวเตอร์ การจัดการดูแลและป้องกันเกี่ยวกับระบบสภาพแวดล้อม การจัดการดูแลและป้องกันในส่วนของฮาร์ดแวร์ จัดการดูแลอุปกรณ์เอง เรียกบริษัทผู้ขาย หรือบริษัทอื่นดูแลให้เป็นครั้ง ๆ ไป หรือทำสัญญาการบำรุงรักษาอุปกรณ์เป็นรายปี
อันดับสอง ส่วนการวางแผนรักษาความปลอดภัยในเชิงตรรกะ (Logical Planning Security) เป็นการรักษาความปลอดภัยก่อนผ่านข้อมูลเข้าสู่ระบบสารสนเทศ คือการกำหนดสิทธิผู้ใช้ มีรหัสผ่าน การรักษาความปลอดภัยในการใช้ข้อมูลในระบบสารสนเทศ หรือกำหนดสิทธิของตัวข้อมูลในระดับต่าง ๆ และการรักษาความปลอดภัยในการรับส่งข้อมูล – หรือการเข้ารหัสข้อมูล
อันดับแรก คือ การวางแผนรักษาความปลอดภัยในเชิงกายภาพ (Physical Planning Security)เกี่ยวกับสภาพต่าง ๆ ที่เกี่ยวข้องกับเครื่องคอมพิวเตอร์ ได้แก่ การจัดการดูแลและป้องกันในส่วนของอาคารสถานที่ ทำเลที่ตั้งศูนย์คอมพิวเตอร์ หรือห้องคอมพิวเตอร์ การจัดการดูแลและป้องกันภายในศูนย์คอมพิวเตอร์ การจัดการดูแลและป้องกันเกี่ยวกับระบบสภาพแวดล้อม การจัดการดูแลและป้องกันในส่วนของฮาร์ดแวร์ จัดการดูแลอุปกรณ์เอง เรียกบริษัทผู้ขาย หรือบริษัทอื่นดูแลให้เป็นครั้ง ๆ ไป หรือทำสัญญาการบำรุงรักษาอุปกรณ์เป็นรายปี
อันดับสอง ส่วนการวางแผนรักษาความปลอดภัยในเชิงตรรกะ (Logical Planning Security) เป็นการรักษาความปลอดภัยก่อนผ่านข้อมูลเข้าสู่ระบบสารสนเทศ คือการกำหนดสิทธิผู้ใช้ มีรหัสผ่าน การรักษาความปลอดภัยในการใช้ข้อมูลในระบบสารสนเทศ หรือกำหนดสิทธิของตัวข้อมูลในระดับต่าง ๆ และการรักษาความปลอดภัยในการรับส่งข้อมูล – หรือการเข้ารหัสข้อมูล
ซึ่งในอันดับที่สาม การวางแผนป้องกันความเสียหาย (Disaster Planning Security) มีวิธีการป้องกันดังนี้
- การจัดเตรียมศูนย์คอมพิวเตอร์สำรอง
- การจัดเตรียมข้อมูลสำรอง
- การจัดเตรียมเรื่องการกู้ระบบหลังจากเกิดการเสียหายขึ้น
- การวางแผนป้องกันไวรัสคอมพิวเตอร์
ที่มาhttp://th.jobsdb.com/TH/EN/Resources/JobSeekerArticle/technical_editor6.htm?ID=799
1. เกิดข้อบังคับในหลายหน่วยงาน ในการเข้ารหัสเครื่องคอมพิวเตอร์แลปท็อป
2. ปัญหาความปลอดภัยของข้อมูล ใน PDA สมาร์ทโฟนและ Iphone
3. การออกกฎหมายที่เกี่ยวข้องกับการป้องกันข้อมูลส่วนบุคคล ประเทศไทยได้ออกกฎหมายที่เกี่ยวข้องกับการกระทำผิดหรือการก่ออาชญากรรมทางคอมพิวเตอร์และทางด้านเทคโนโลยีสารสนเทศ
4. หน่วยงานภาครัฐที่สำคัญเป็นเป้าหมายการโจมตีของแฮคเกอร์
5. หนอนอินเตอร์เน็ต (Worms) บนโทรศัพท์มือถือ
6. เป้าหมายการโจมตี VoIP (Voice over IP)
7. ภัยจากช่องโหว่แบบซีโร-เดย์ (Zero-Day) ลักษณะของช่องโหว่แบบ Zero-day คือ ช่องโหว่ของระบบปฏิบัติการหรือซอฟต์แวร์ต่างๆ ที่ถูกแฮคเกอร์นำไปใช้ในการโจมตีระบบ
8. Network Access control (NAC) มีบทบาทสำคัญมากขึ้นในองค์กร NAC นับว่าเป็นเทคโนโลยีที่เข้ามาใช้มากขึ้นในองค์กรเพื่อช่วยแบ่งเบาภาระขององค์กรในการจัดการปัญหาที่บุคลากรในองค์กรนำเครื่องคอมพิวเตอร์ที่ไม่ได้รับอนุญาต
http://thedctmike.blogspot.com/2013/01/technology-lesson-8_7631.html
การรักษาความปลอดภัยบนเครือข่าย
อินเทอร์เน็ต
ในระบบเครือข่ายนั้นมีผู้ร่วมใช้เป็นจำนวนมาก ดังนั้นจึงมีทั้งผู้ที่ประสงค์ดีและประสงค์ร้ายควบคู่
กันไป สิ่งที่พบเห็นกันบ่อยๆ ในระบบเครือข่ายก็คืออาชญากรรมทางด้านเครือข่ายคอมพิวเตอร์หลาย
ประเภทด้วยกันเช่น พวกที่คอยดักจับสัญญาณผู้อื่นโดยการใช้เครื่องมือพิเศษจั๊มสายเคเบิลแล้วแอบบันทึกสัญญาณ พวกแคร๊กเกอร์(Crackers) ซึ่งได้แก่ ผู้ที่มีความรู้ความชำนาญด้านคอมพิวเตอร์แต่มีนิสัยชอบเข้าไปเจาะระบบ
คอมพิวเตอร์ผ่านเครือข่าย หรือไวรัสคอมพิวเตอร์ (Virus Computer)ซึ่งเป็ นโปรแกรมคอมพิวเตอร์ที่เขียน
ขึ้นมาโดยมุ่งหวังในการก่อกวน หรือทำาลายข้อมูลในระบบ
การรักษาความปลอดภัยในระบบเครือข่ายมีวิธีการกระท าได้หลายวิธีคือ
1. ควรระมัดระวังในการใช้งาน การติดไวรัสมักเกิดจากผู้ใช้ไปใช้แผ่นดิสก์ร่วมกับผู้อื่น แล้วแผ่น
นั้นติดไวรัสมา หรืออาจติดไวรัสจากการดาวน์โหลดไฟล์มาจากอินเทอร์เน็ต
2. หมั่นสำเนาข้อมูลอยู่เสมอ การป้องกันการสูญหายและถูกทำลายของข้อมูลที่ดีก็คือ การหมั่น
สำเนาข้อมูลอย่างสม่ำเสมอ
3. ติดตั้งโปรแกรมตรวจสอบและกำจัดไวรัส วิธีการนี้ สามารตรวจสอบ และป้องกันไวรัส
คอมพิวเตอร์ได้ระดับหนึ่ง แต่ไม่ใช่เป็นการป้องกันได้ทั้งหมด เพราะว่าไวรัสคอมพิวเตอร์ได้มีการพัฒนาอยู่ตลอดเวลา
4. การติดตั้งไฟร์วอลล์ (Firewall) ไฟร์วอลล์จะทำหน้าที่ป้องกันบุคคลอื่นบุกรุกเข้ามาเจาะเครือข่ายในองค์กรเพื่อขโมยหรือทำลายข้อมูล เป็นระยะที่ทำหน้าที่ป้องกันข้อมูลของเครือข่ายโดยการควบคุมและตรวจสอบการรับส่งข้อมูลระหว่างเครือข่ายภายในกับเครือข่ายอินเทอร์เน็ต
5. การใช้รหัสผ่าน (Username & Password) การใช้รหัสผ่านเป็ นระบบรักษาความปลอดภัยขั้นแรกที่ใช้กันมากที่สุด เมื่อมีการติดตั้งระบบเครือข่ายจะต้องมีการกำหนดบัญชีผู้ใช้และรหัสผ่านหากเป็น
ผู้อื่นที่ไม่ทราบรหัสผ่านก็ไม่สามารถเข้าไปใช้เครือข่ายได้หากเป็ นระบบที่ต้องการความปลอดภัยสูงก็ควรมีการเปลี่ยนรหัสผ่านบ่อย ๆ เป็ นระยะ ๆ อย่างต่อเนื่อง
องค์กร จำนวน มาก ได้ สร้าง เครือข่าย คอมพิวเตอร์ เพื่อ ใช้ งาน ใน องค์กร มี การ ใช้ มาตรฐาน เดียว กับ เครือข่าย อินเทอร์เน็ต เรา เรียก เครือข่าย เฉพาะ ใน องค์กร นี้ ว่า อินทราเน็ต อินทราเน็ต เชื่อม โยง ผู้ ใช้ ทุกคน ใน องค์กร ให้ ทำ งาน ร่วม กัน มี การ กำหนด การ ทำ งาน เป็น ทีม ที่ เรียกว่า เวอร์กกรุป แต่ ละ ทีม มี ระบบ ข้อมูล ข่าวสาร ของ ตน มี สถานี บริการ ข้อมูล ที่ เรียกว่า เซิร์ฟเวอร์ การ ทำงาน ใน ระดับ เวอร์กกรุป จึง เน้น เป้าหมาย เฉพาะ กลุ่ม เช่น ทีม งาน ทาง ด้าน การ ขาย ทีมงาน ทาง ด้าน บัญชี การเงิน การผลิต ฯลฯ
อินทราเน็ต ได้ รวม ทีม งาน ต่าง ๆ เหล่านี้ เข้า ด้วย กัน เป็น เครือข่าย ของ องค์กร มี การ แลก เปลี่ยน และ ใช้ ข้อมูล ร่วม กัน ใช้ ทรัพยากร ทาง คอมพิวเตอร์ ร่วม กัน มี ระบบ การ ทำงาน ที่ เรียกว่า เวอร์กโฟล์ว (workflow)
อย่าง ไร ก็ ดี การ ทำ งาน ของ องค์กร มิ ได้ กำหนด ขอบ เขต เฉพาะ ภาย ใน องค์กร เท่านั้น หลาย องค์กร นำ เครือข่าย อินทราเน็ต ของ ตน เอง เชื่อม ต่อ เข้า สู่ เครือข่าย อินเทอร์เน็ต เพื่อ ให้ การ ทำ งาน เชื่อม โยง กับ องค์กร อื่น ได้ การ ทำ งาน ร่วม กับ องค์กร อื่น เป็น หน ทาง ของ การ เพิ่ม ประสิทธิภาพ การ ทำ งาน เพื่อ ความ รวด เร็ว ความ สะดวก สบาย ใน การ ทำ งาน องค์กร จำนวน มาก มี โฮมเพ็จ ของ ตน เอง เพื่อ การ ประชา สัมพันธ์ สินค้า และ บริการ มี การ รับ ใบ คำสั่ง ซื้อ จาก ภาย นอก หรือ ให้ บริการ หลัง การ ขาย โดย ตรง ทาง เครือข่าย
เมื่อ นำ เครือข่าย อินทราเน็ต ของ องค์กร เชื่อม เข้า สู่ เครือข่าย สาธารณะ ย่อม มี ความ เสี่ยง ต่อ ความ ปลอด ภัย ของ ข้อมูล และ ระบบ คอมพิวเตอร์ ของ องค์กร การ รักษา ความ ปลอด ภัย จึง เป็น ระบบ ที่ ต้อง คำนึง ถึง ถึง แม้ ว่า จะ ต้อง เพิ่ม ค่า ใช้ จ่าย ของ ระบบ ก็ จำ เป็น ต้อง ทำ เพราะ หาก เกิด ปัญหา ใน เรื่อง ข้อมูล ข่าว สาร หรือ การ รั่ว ไหล ของ ข้อมูล แล้ว ความ สูญ เสีย จะ มี มาก กว่า
ระบบ การ รักษา ความ ปลอด ภัย ขั้น พื้นฐาน ที่ มี ใน ขณะ เรียก เข้า หา ระบบ คือ รหัสพาสเวิร์ด หรือ รหัส ผ่าน ใน การ ล็อกอิน เข้า สู่ ระบบ เช่น เรียก ใช้ เซิร์ฟเวอร์ เพื่อ ขอ ข้อ มูล ข่าว สาร จำ เป็น ต้อง ทราบ ว่า ใคร เป็น ผู้ เรียก เข้า หา โดย ให้ ผู้ เรียก ป้อน รหัสพาสเวิร์ด ผู้ ใช้ ทุก คน จะ มี รหัส เฉพาะ ของ ตน จำ เป็น ต้อง ให้ ผู้ ใช้ กำหนด รหัส ที่ ยาก ต่อ การ ถอด โดย ผู้ อื่น โดย หลัก การ พื้นฐาน ควร กำหนด รหัส นี้ ให้ มี ความ ยาว ไม่ น้อย กว่า 8 ตัว อักษร ควร ให้ มี การ ผสม ระหว่าง ตัว อักขระ พิเศษ และ ตัว เลข ด้วย เช่น mypo@123! ไม่ ควร นำ เอา คำ ศัพท์ ใน พจนานุกรม หรือ ใช้ ชื่อ ใช้ วัน เกิด เพราะ รหัส เหล่า นี้ ง่าย ต่อ การ ถอด อย่า นำ รหัส นี้ ให้ กับ ผู้ อื่น และ ควร เปลี่ยน รหัส เมื่อ ใช้ ไป ได้ ระยะ เวลา หนึ่ง
ไฟร์วอล เป็น โปรแกรม คอมพิวเตอร์ ที่ บรรจุ ไว้ ใน เครื่อง คอมพิวเตอร์ ที่ จัด ให้ เป็น ทาง ผ่าน เข้า ออก เพื่อ ป้อง กัน การ แปลก ปลอม ของ แฮกเกอร์ ภาย นอก ที่ จะ เจาะ เข้า ระบบ และ ยัง ควบ คุม การ ใช้ งาน ภาย ใน โดย กำหนด สิทธิ์ ของ แต่ ละ บุคคล ให้ ผ่าน ออก จาก ระบบ ได้ ดัง นั้น เมื่อ มี การ นำ เอา เครือข่าย อินทราเน็ต ของ องค์กร เชื่อม ต่อ กับ เครือข่าย สาธารณะ เช่น อินเทอร์เน็ต ระบบ ไฟร์วอล จึง เป็น อุปกรณ์ ที่ สำคัญ ที่ ใช้ ใน การ ป้อง กัน และ รักษา ความ ปลอด ภัย
โดย ปกติ มัก ใช้ เครื่อง คอมพิวเตอร์ เครื่อง หนึ่ง ทำ หน้า ที่ เป็น ไฟร์วอล เครื่อง คอมพิวเตอร์ เครื่อง นี้ จะ มี การ เชื่อม ต่อ เข้า สู่ เครือ ข่าย สอง ด้าน ด้าน หนึ่ง เชื่อม กับ อินทราเน็ต อีก ด้าน หนึ่ง เชื่อม กับ อินเทอร์เน็ต ดัง นั้น จึง เป็น เสมือน ยาม เฝ้า ประตู ทาง เข้า ออก เพื่อ ตรวจ สอบ การ เข้า ออก ของ บุคคล
ไฟร์วอล จะ ควบ คุม สิทธิ์ และ ติด ตาม การ ใช้ งาน เช่น กำหนด ให้ บุคคล ภาย นอก เข้า มา ใช้ ได้ ใน กรอบ ที่ จำกัด และ เมื่อ เข้า มา ก็ จะ ติด ตาม การ ใช้ งาน หาก มี ความ พยายาม จะ ใช้ เกิน สิทธิ์ เช่น การ ล็อกออน ไป ยัง เครื่อง ที่ ไม่ มี สิทธิ์ ก็ จะ ป้อง กัน ไว้ ขณะ เดียว กัน อาจ เป็น ตัว ตรวจ สอบ เอก สาร หรือ ข้อ มูล บาง อย่าง เช่น จดหมาย หรือ แฟ้ม ข้อมูล
ระบบ ของ ไฟล์ วอลมี หลาย ระดับ ตั้ง แต่ การ ใช้ อุปกรณ์ สื่อ สาร เช่น เราเตอร์ ทำ หน้า ที่ เป็น ไฟร์วอล เพื่อ ควบ คุม การ ติด ต่อ สื่อ สาร หรือ ป้อง กัน ผู้ แปลก ปลอม จน ถึง ขั้น การ ใช้ คอมพิวเตอร์ ที่ มี ซอฟต์แวร์ ไฟร์วอล อัน ทรง ประสิทธิภาพ
เมื่อ มี การ โอน ย้าย ข้อ มูล ระหว่าง กัน โดย เฉพาะ การ โอน ย้าย ผ่าน ทาง อินเทอร์เน็ต ซึ่ง เป็น เครือ ข่าย สาธารณะ ผู้ ใช้ จะ ไม่ ทราบ เลย ว่า ข้อ มูล ที่ รับ ส่ง กัน นั้น ผ่าน ไป ที่ ใด บ้าง เช่น เมื่อ เรา ส่ง ใบ สั่ง ซื้อ ที่ มี รหัส หาย เลข บัตร เครดิต ไป ยัง บริษัท ร้าน ค้า ที่ อยู่ ที่ สหรัฐ อเมริกา ข้อ มูล ของ เรา อาจ ผ่าน ไป ยัง ที่ ต่าง ๆ หลาย แห่ง อาจ มี ผู้ ไม่ หวัง ดี แอบ คัด ลอก ข้อ มูล ของ เรา ไว้ ก็ ได้ ปัญหา เช่น นี้ ทำ ให้ เกิด ความ ไม่ มั่น ใจ ใน การ ดำเนิน ธุรกิจ เป็น ผล ทำ ให้ ระบบ ธุรกิจ บน เครือข่าย ยัง ไม่ เติบ โต เท่า ที่ ควร
ใน ขณะ นี้ จึง มี การ ใช้ วิธี เข้า รหัส โดย ผู้ ส่ง ข้อ มูล จะ ใช้ โปรแกรม ที่ ทำ การ แปลง ข้อ มูล จาก ข้อ ความเดิม ให้ เป็น รหัส ที่ ไม่ มี ความ หมาย เรา เรียก วิธี นี้ ว่า เอนคริปชัน (Encryption) เอนคริปชัน จะ กวน ข้อ มูล ทำ ให้ ส่ง ข้อ มูล อย่าง เป็น ความ ลับ บน เครือ ข่าย ได้ ถึง แม้ จะ มี ผู้ ลัก ลอบ คัด ลอก ไป ก็ จะ อ่าน ไม่ รู้ เรื่อง
เมื่อ ถึง ปลาย ทาง ผู้ ที่ มี รหัส พิเศษ ที่ ตก ลง กัน ไว้ ที่ เรียกว่า คีย์ จะ ทำ การ ถอด รหัส นี้ ได้ ผู้ รับ จะ ใช้ โปรแกรม ถอด รหัส โดย ใส่ ตัว อักขระ ที่ เป็น คีย์ เครื่อง คอมพิวเตอร์ ที่ รับ ข้อ มูล จะ เปลี่ยน ข้อ มูล กลับ ไป เป็น ข้อ ความ ปกติ วิธี การ ทาง ด้าน รับ ข้อ มูล นี้ เรียกว่า ดีคริปชัน (Decryption)
การ เข้า รหัส จึง ต้อง มี คีย์ ซึ่ง เสมือน เป็น กุญแจ ที่ ล็อก ข้อ มูล ไว้ ผู้ รับ ต้อง ใช้ กุญแจ ที่ ตรง กัน จึง จะ ไข ดู ข้อ มูล ได้ จึง มี วิธี การ กำหนด กุญแจ ซึ่ง เป็น รหัส และ ใช้ งาน ร่วม กัน มี ทั้ง ที่ ใช้ แบบ มี กุญแจ ที่ เรียกว่า มาสเตอร์คีย์ และ คีย์ เฉพาะ เทคนิค เหล่า นี้ ได้ พัฒนา ให้ ก้าว หน้า ขึ้น ไป มาก
บนอินเทอร์เน็ต มี วิธี ที่ ใช้ ใน การ เอนคริปชัน อยู่ หลาย วิธี วิธี ที่ ได้ รับ ความ นิยม และ เป็น วิธี ที่ เสนอ ให้ สาธารณะ ใช้ ได้ คือ PGP PGP ย่อ มา จาก Pretty Good Privacy PGP ทำ ให้ ข้อ ความ ที่ ส่ง ไป เป็น ความ ลับ ข้อ ความ ที่ ใช้ อาจ เป็น อีเมล์ เป็น ใบ สั่ง ซื้อ เป็น แฟ้ม ข้อมูล PGP ใช้ วิธี การ ที่ ดี และ ใช้ งาน ได้ ผล เพราะ วิธี การ เอ็นคริปชัน ของ PGP เป็น วิธี การ ที่ แฮกเกอร์ ถอด รหัส ได้ ยาก
นอก จาก วิธี การ นี้ แล้ว ปัจจุบัน มี การ พัฒนา คลิปเปอร์ชิป (clipper chip) ซึ่ง เป็น วง จร ฮาร์ดแวร์ ทาง อิเล็กทรอนิกส์ ที่ จะ เข้า รหัส เพื่อ ใช้ ใน การ สื่อ สาร กัน บน อินเทอร์เน็ต คลิปเปอร์ชิป ได้ รับ การ เสนอ โดย รัฐบาล สหรัฐฯ ชิปนี้ ได้ จัด ทำ ขึ้น โดย ที่ ทาง รัฐบาล สามารถ ถอด รหัส นี้ ได้ ทำ ให้ เกิด การ โต้ เถียง กัน มาก ว่า รัฐบาล สหรัฐฯ สามารถ ติด ตาม การ ติด ต่อ สื่อ สาร บน อินเทอร์เน็ต ได้ หมด อย่าง ไร ก็ ตาม ทาง รัฐบาล สหรัฐฯ ก็ อ้าง ว่า รัฐบาล จะ ถอด รหัส ข้อ มูล ตาม คำ สั่ง ศาล เท่า นั้น
ถึง แม้ ว่า จะ ใช้ วิธี การ ทาง ด้าน การ เข้า รหัส เอ็นคริปชัน และ ดีคริปชัน แล้ว ก็ ตาม ก็ ไม่ ได้ หมาย ความ ว่า จะ ปลอด ภัย ได้ ร้อยเปอร์เซนต์ การ สร้าง กฎ ระเบียบ และ วินัย ของ บุคลากร ใน องค์ กร เป็น เรื่อง สำคัญ การ เชื่อม โยง เครือ ข่าย เป็น หน ทางให้ ใช้ งาน ได้ สะดวก แต่ ก็ เป็น เส้น ทางที่ ผู้ แปลก ปลอม จะ ใช้ เป็น ทาง เข้า ระบบ ได้ ง่าย
การรักษาความปลอดภัยของระบบเครือข่ายในองค์กร
กันไป สิ่งที่พบเห็นกันบ่อยๆ ในระบบเครือข่ายก็คืออาชญากรรมทางด้านเครือข่ายคอมพิวเตอร์หลาย
ประเภทด้วยกันเช่น พวกที่คอยดักจับสัญญาณผู้อื่นโดยการใช้เครื่องมือพิเศษจั๊มสายเคเบิลแล้วแอบบันทึกสัญญาณ พวกแคร๊กเกอร์(Crackers) ซึ่งได้แก่ ผู้ที่มีความรู้ความชำนาญด้านคอมพิวเตอร์แต่มีนิสัยชอบเข้าไปเจาะระบบ
คอมพิวเตอร์ผ่านเครือข่าย หรือไวรัสคอมพิวเตอร์ (Virus Computer)ซึ่งเป็ นโปรแกรมคอมพิวเตอร์ที่เขียน
ขึ้นมาโดยมุ่งหวังในการก่อกวน หรือทำาลายข้อมูลในระบบ
การรักษาความปลอดภัยในระบบเครือข่ายมีวิธีการกระท าได้หลายวิธีคือ
1. ควรระมัดระวังในการใช้งาน การติดไวรัสมักเกิดจากผู้ใช้ไปใช้แผ่นดิสก์ร่วมกับผู้อื่น แล้วแผ่น
นั้นติดไวรัสมา หรืออาจติดไวรัสจากการดาวน์โหลดไฟล์มาจากอินเทอร์เน็ต
2. หมั่นสำเนาข้อมูลอยู่เสมอ การป้องกันการสูญหายและถูกทำลายของข้อมูลที่ดีก็คือ การหมั่น
สำเนาข้อมูลอย่างสม่ำเสมอ
3. ติดตั้งโปรแกรมตรวจสอบและกำจัดไวรัส วิธีการนี้ สามารตรวจสอบ และป้องกันไวรัส
คอมพิวเตอร์ได้ระดับหนึ่ง แต่ไม่ใช่เป็นการป้องกันได้ทั้งหมด เพราะว่าไวรัสคอมพิวเตอร์ได้มีการพัฒนาอยู่ตลอดเวลา
4. การติดตั้งไฟร์วอลล์ (Firewall) ไฟร์วอลล์จะทำหน้าที่ป้องกันบุคคลอื่นบุกรุกเข้ามาเจาะเครือข่ายในองค์กรเพื่อขโมยหรือทำลายข้อมูล เป็นระยะที่ทำหน้าที่ป้องกันข้อมูลของเครือข่ายโดยการควบคุมและตรวจสอบการรับส่งข้อมูลระหว่างเครือข่ายภายในกับเครือข่ายอินเทอร์เน็ต
5. การใช้รหัสผ่าน (Username & Password) การใช้รหัสผ่านเป็ นระบบรักษาความปลอดภัยขั้นแรกที่ใช้กันมากที่สุด เมื่อมีการติดตั้งระบบเครือข่ายจะต้องมีการกำหนดบัญชีผู้ใช้และรหัสผ่านหากเป็น
ผู้อื่นที่ไม่ทราบรหัสผ่านก็ไม่สามารถเข้าไปใช้เครือข่ายได้หากเป็ นระบบที่ต้องการความปลอดภัยสูงก็ควรมีการเปลี่ยนรหัสผ่านบ่อย ๆ เป็ นระยะ ๆ อย่างต่อเนื่อง
องค์กร
อินทราเน็ต
อย่าง
เมื่อ
ระบบ
ไฟร์วอล เป็น
โดย
ไฟร์วอล
ระบบ
เมื่อ
ใน
เมื่อ
การ
บนอินเทอร์เน็ต
นอก
ถึง
-การรักษาความปลอดภัยของข้อมูลส่วนบุคคล
Cookies เป็นไฟล์ข้อมูลขนาดเล็กที่เว็บเซิร์ฟเวอร์ (Web Server) ใช้เก็บข้อมูลลงบนเครื่องคอมพิวเตอร์ของผู้ใช้ ไฟล์ Cookies จะมีข้อมูลต่าง ๆ เกี่ยวกับผู้ใช้ เช่น ชื่อผู้ใช้ สิทธิพิเศษต่าง ๆ หรือหมายเลขบัตรเครดิต เป็นต้น
สำหรับเว็บไซต์ทางธุรกิจส่วนใหญ่จะมีการส่ง Cookies ไปยังเว็บบราวเซอร์ของผู้ใช้ จากนั้นคอมพิวเตอร์จะทำการจัดเก็บ Cookies เหล่านั้นลงในหน่วยจัดเก็บของเครื่องคอมพิวเตอร์ (ฮาร์ดดิสก์) เมื่อผู้ใช้กลับมาใช้งานเว็บไซต์ที่เว็บเพจนั้นอีกครั้งจะทำให้ทราบได้ว่าผู้ใช้คนใดเข้ามาในระบบและจัดเตรียมเพจที่เหมาะสมกับการใช้งานให้อัตโนมัติ
-->วัตถุประสงค์ของเว็บไซต์ที่ใช้ Cookies มีดังนี้
-->วัตถุประสงค์ของเว็บไซต์ที่ใช้ Cookies มีดังนี้
++ผู้ใช้ที่เคยเข้ามายังเว็บไซต์นั้นแล้วเข้าใช้งานได้ทันที โดยตรวจสอบจาก Cookies ที่ถูกจัดเก็บอยู่ในเครื่องของผู้ใช้
++บางเว็บไซต์จะใช้ Cookies ในการจัดเก็บรหัสผ่านของผู้ใช้
++เว็บไซต์ด้านการซื้อขายแบบออนไลน์ (Online Shopping Site) ส่วนใหญ่จะใช้ Cookies เพื่อเก็บข้อมูลการเลือกซื้อสินค้าใน Shopping Cart
++ใช้ในการเก็บข้อมูลเกี่ยวกับผู้เข้าชมเว็บไซต์
-->หากมีผู้ไม่ประสงค์ดีเข้ามาโจรกรรมข้อมูลใน Cookies ไป ก็สามารถรับรู้ในข้อมูลนั้นได้ ดังนั้นเว็บบราวเซอร์จึงได้ให้ผู้ใช้สามารถกำหนดระดับการจัดเก็บ Cookies ได้ โดยอาจให้เว็บบราวเซอร์ทำการบันทึก Cookies ของทุกเว็บไซต์โดยอัตโนมัติ ไปจนถึงไม่อนุญาตให้มีการรับ Cookies จากเว็บไซต์ใด ๆ
ควรสร้าง password ที่ยากต่อการคาดเดา และไม่ควรให้เครื่อง
จำ password
-->ไม่ใช้คำใดๆ ที่มีอยู่ในพจนานุกรม
-->ไม่ใช้คำใดๆ ที่เกี่ยวข้องกับตัวเรา เช่น อยู่ หมายเลขโทรศัพท์ วันเกิด ชื่อสัตว์เลี้ยง ชื่อเล่น เป็นต้น
-->ไม่จดรหัสผ่านเก็บไว้ไม่ว่าจะในที่ใดๆ ก็ตาม
-->ไม่บอกรหัสผ่านกับผู้อื่นไม่ว่าจะด้วยเหตุผลใดๆ ก็ตาม
-->ให้ใช้ตัวอักษร ตัวเลข และตัวอักษรพิเศษ ร่วมกันแบบสุ่ม
-->ไม่ควรให้เครื่องจำ password
-แนวโน้มของระบบรักษาความปลอดภัยในอนาคต
1. เกิดข้อบังคับในหลายหน่วยงาน ในการเข้ารหัสเครื่องคอมพิวเตอร์แลปท็อป
2. ปัญหาความปลอดภัยของข้อมูล ใน PDA สมาร์ทโฟนและ Iphone
3. การออกกฎหมายที่เกี่ยวข้องกับการป้องกันข้อมูลส่วนบุคคล ประเทศไทยได้ออกกฎหมายที่เกี่ยวข้องกับการกระทำผิดหรือการก่ออาชญากรรมทางคอมพิวเตอร์และทางด้านเทคโนโลยีสารสนเทศ
4. หน่วยงานภาครัฐที่สำคัญเป็นเป้าหมายการโจมตีของแฮคเกอร์
5. หนอนอินเตอร์เน็ต (Worms) บนโทรศัพท์มือถือ
6. เป้าหมายการโจมตี VoIP (Voice over IP)
7. ภัยจากช่องโหว่แบบซีโร-เดย์ (Zero-Day) ลักษณะของช่องโหว่แบบ Zero-day คือ ช่องโหว่ของระบบปฏิบัติการหรือซอฟต์แวร์ต่างๆ ที่ถูกแฮคเกอร์นำไปใช้ในการโจมตีระบบ
8. Network Access control (NAC) มีบทบาทสำคัญมากขึ้นในองค์กร NAC นับว่าเป็นเทคโนโลยีที่เข้ามาใช้มากขึ้นในองค์กรเพื่อช่วยแบ่งเบาภาระขององค์กรในการจัดการปัญหาที่บุคลากรในองค์กรนำเครื่องคอมพิวเตอร์ที่ไม่ได้รับอนุญาต
http://thedctmike.blogspot.com/2013/01/technology-lesson-8_7631.html
-ตัวอย่างระบบรักษาความปลอดภัยของ
องค์กรธุรกิจปัจจุบัน(หาตัวอย่างองค์กร1องค์)
ไม่มีความคิดเห็น:
แสดงความคิดเห็น