การรักษาความปลอดภัยระบบสารสนเทศและจรรยาบรรณเบื้องต้น
ระบบสารสนเทศถือเป็นหัวใจสำคัญขององค์กร เนื่องจากองค์กรมีการเก็บข้อมูลและสารสนเทศต่างๆเอาไว้เป็นจำนวนมาก ดังนั้นหากเกิดข้อมูลลูกค้าสูญหายหรือถูกขโมยไป ก็จะส่งผลเสียต่อองค์กรเป็นอย่างมาก ทำให้ระบบสารสนเทศจำเป็นต้องมีการรักษาความปลอดภัย
ความเสี่ยงของระบบสารสนเทศ (Information system risk)
หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลายฮาร์ดแวร์ (Hardware) ซอฟต์แวร์ (Software) ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ ซึ่งโอกาสที่จะเกิดความเสียหายในเรื่องของระบบสารสนเทศส่วนมากมักจะมาจากบุคคลากรในองค์กรเอง เนื่องจากบุคคลเหล่านี้มักเป็นผู้ที่รู้ข้อมูลและเรื่องราวภายในองค์กร นอกจากนี้ลักษณะการใช้งานของบุคลากรยังอาจสร้างความเสียหาย เช่น การใช้ USB ที่มีไวรัส ซึ่งอาจทำให้ระบบหรือ Network เกิดความเสียหายได้
ความเสี่ยงของระบบสารสนเทศ (Information system risk)
หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลายฮาร์ดแวร์ (Hardware) ซอฟต์แวร์ (Software) ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ ซึ่งโอกาสที่จะเกิดความเสียหายในเรื่องของระบบสารสนเทศส่วนมากมักจะมาจากบุคคลากรในองค์กรเอง เนื่องจากบุคคลเหล่านี้มักเป็นผู้ที่รู้ข้อมูลและเรื่องราวภายในองค์กร นอกจากนี้ลักษณะการใช้งานของบุคลากรยังอาจสร้างความเสียหาย เช่น การใช้ USB ที่มีไวรัส ซึ่งอาจทำให้ระบบหรือ Network เกิดความเสียหายได้
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
- แฮกเกอร์ (Hacker)
- แครกเกอร์ (Cracker)
- ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies)
- ผู้สอดแนม (Spies)
- เจ้าหน้าที่ขององค์กร (Employees)
- ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyberterrorist)
1. การโจมตีระบบเครือข่าย (Network attack)
- การโจมตีขั้นพื้นฐาน (Basic Attacks) เช่น กลลวงทางสังคม (Social engineering) และการรื้อค้นเอกสารทางคอมพิวเตอร์จากที่ทิ้งขยะ (Dumpster Diving )
- การโจมตีด้านคุณลักษณะ (Identity Attacks) เช่น DNS Spoofing และ e-mail spoofing
- การปฏิเสธการให้บริการ (Denial of Service หรือ DoS) เช่น Distributed denial-of-service (DDoS) , DoSHTTP (HTTP Flood Denial of Service)
- การโจมตีด้วยมัลแวร์ (Malware)
- โปรแกรมมุ่งร้ายที่โจมตีการปฏิบัติงานของคอมพิวเตอร์ ประกอบด้วย ไวรัส เวิร์ม โทรจันฮอร์ส และลอจิกบอมบ์
- โปรแกรมมุ่งร้ายที่โจมตีความเป็นส่วนตัวของสารสนเทศ (Information privacy) ที่มีชื่อเรียกทั่วไปว่า สปายแวร์ (Spyware) ประกอบด้วย แอดแวร์ (Adware) พิชชิง (Phishing) คีลอกเกอะ (Keyloggers) (สำหรับแท็คการใช้คีย์บอร์ด) การเปลี่ยนการปรับแต่งระบบ (Configuration Changers) และ แบ็คดอร์ (Backdoors)
การใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ ซึ่งส่วนมากจะเป็นการใช้คอมพิวเตอร์หรือข้อมูลในเครื่องคอมพิวเตอร์เพื่อทำกิจกรรมบางอย่างที่ผิดกฏระเบียบของกิจการหรือการกระทำที่ผิดกฏหมาย
3. การขโมย (Theft)
- การขโมยฮาร์ดแวร์และการทำลายฮาร์ดแวร์มักอยู่รูปของการตัดสายเชื่อมต่อระบบเครือข่ายคอมพิวเตอร์
- ขโมยซอฟต์แวร์อาจอยู่ในรูปของการขโมยสื่อจัดเก็บซอฟต์แวร์ การลบโปรแกรมโดยตั้งใจ และการทำสำเนาโปรแกรมอย่างผิดกฏหมาย
- การขโมยสารสนเทศ มักอยู่ในรูปของการขโมยข้อมูลที่เป็นความลับส่วนบุคคล
- เสียง (Noise)
- แรงดันไฟฟ้าต่ำ (Undervoltages)
- แรงดันไฟฟ้าสูง (Overvoltages)
1. การรักษาความปลอดภัยการโจมตีระบบเครือข่าย
- ติดตั้งระบบโปรแกรมที่ป้องกันไวรัส และมีการอัพเดทตลอดเวลา
- ติดตั้งไฟล์วอลล์ เป็นซอร์แวร์และฮาร์ทแวร์คอยป้องกันไวรัสหรือสิ่งที่ไม่ดีต่างๆไม่ให้เข้าสู่คอมพิวเตอร์
- ติดตั้งซอร์ฟแวร์ตรวจจับการบุกรุก โดยมีการตรวจสอบ IP adress ของผู้ที่เข้าใช้งานระบบ
- ติดตั้ง honeypot มีการสร้างระบบไว้ข้างนอก เป็นตัวที่เอาไว้หลอกล่อพวกแฮกเกอร์ที่ต้องการเจาะเข้าระบบ
- การระบุตัวตน เช่น การใช้ token
- การพิสูจน์ตัวจริง เช่น รหัสผ่าน ข้อมูลที่ทราบเฉพาะผู้ที่เป็นเจ้าของ ม่านตา เป็นต้น
- POLP (Principle of least privlege) ให้ข้อมูลเฉพาะที่พนักงานแต่ละคนจำเป็นต้องใช้เท่านั้น
- การควบคุมการเข้าถึงทางกายภาพ เช่น การปิดห้องหรือการปิดหน้าต่าง
- นำระบบ RTLS มาใช้เพื่อระบุสถานที่ที่มีความเสี่ยงสูง
- ควบคุมการเปิดปิดเครื่องด้วยลักษณะทางกายภาพ เช่น ลายนิ้วมือ
- รักษาแผ่นไว้ในสถานที่ที่มีความปลอดภัย
- ในกรณที่มีโปรแกรมเมอร์ลาออกหรือถูกให้ออก ต้องควบคุมและติดตามโปรแกรมเมอร์ทันที
คือ กระบวนการในการเเปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถเข้าไป อ่านได้ให้อยู่ในรูปที่เฉพาะคนที่เกี่ยวข้องเท่านั้นที่สามารถอ่านข้อมูลได้ โดยอาจใช้วิธีการเข้ารหัสแบบสลับตำแหน่ง
การเข้ารหัสสามารถแบ่งออกเป็น 2 รูปแบบ ได้แก่
- การเข้ารหัสแบบสมมาตร คนที่ส่งและรับข้อมูลใช้คีย์ชุดเดียวกันในการแปลงและถอดรหัสข้อความ
- การเข้ารหัสแบบไม่สมมาตร ใช้คีย์ 2 ตัว ได้แก่ คีย์สาธารณะและคีย์ส่วนตัว เช่น amazon มีคีย์ข้อ amazon ที่เป็นสาธารณะ และลูกค้าจะมีคีย์ที่เกี่ยวกับบัตรเครดิตที่เป็นส่วนตัว
5. การรักษาความปลอดภัยอื่นๆ
- Secure sockeets layer(SSL) เป็นเว็บเพจที่ขึ้นต้นด้วย https แทนที่จะเป็น http แบบปกติ
- Secure HTTP (S-HTTP)
- Virtual private network (VPN) เป็นเน็ตเวิร์คเสมือนสำหรับผู้ที่มีสิทธิเข้าจึงจะใช้ได้เท่านั้น
- ป้องกันแรงดันไฟฟ้าโดยใช้ surge protector
- ป้องกันไฟฟ้าดับ ใช้ UPS
- กรณีระบบสารสนเทศถูกทำลายจนไม่สามารถที่จะให้บริการได้ ต้องจัดทำแผน Disaster Recovery-DR หรือ business continuity planning-BCP
- เลือกสื่อบันทึก (Media) ที่จะทำการสำรองข้อมูล เช่น CD DVD หรือ Portable Harddisk เป็นต้น
- ระยะเวลาที่ต้องสำรองข้อมูล
- ความถี่ในการสำรองข้อมูล ขึ้นอยู่กับระยะเวลาสูงสุดที่ระบบจะไม่สามารถให้บริการได้ โดยไม่ส่งผลต่อการดำเนินงานปกติขององค์กร
- สถานที่จัดเก็บสื่อบันทึกที่สำรองข้อมูล ซึ่งสามารถจัดเก็บ On Site หรือ Offsite ซึ่งแต่ละประเภทมีข้อดีและข้อเสียแตกต่างกันออกไป
- ควบคุมการเชื่อมโยงเข้าสู่แลนไร้สายด้วย Service Set Identifier (SSID)
- กลั่นกรองผู้ใช้งานด้วยการกรองหมายเลขการ์ดเน็ตเวิร์ก (MAC Addressing Filtering)
- การเข้ารหัสและถอดรหัสด้วยวิธีการ Wired Equivalency Privacy (WEP)
- จำกัดขอบเขตพื้นที่ให้บริการด้วยการควบคุมกำลังส่งของแอ็กเซสพอยน์
- การพิสูจน์สิทธิเข้าใช้งานแลนไร้สายด้วย Radius Server
- การสร้าง Virtual Private Network (VPN) บนแลนไร้สาย
คือ หลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย
- การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
- การขโมย software
- ความถูกต้องของสารสนเทศ
- สิทธิ์ต่อหลักทรัพย์สินทางปัญญา
- หลักปฏิบัติ
- ความเป็นส่วนตัวของสารสนเทศ
5202113014
ไม่มีความคิดเห็น:
แสดงความคิดเห็น