การรักษาความปลอดภัยระบบสารสนเทศและจรรยาบรรณเบื้องต้น
ความเสี่ยงของระบบสารสนเทศ หมายถึง เหตุการณ์หรือการกระทำที่ก่อให้เกิดความสูญเสียหรือทำลาย Hardware Software ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ โดยโอกาสที่จะเกิดความเสี่ยงจากความเสียหายที่เกิดจากระบบสารสนเทศส่วนมากมักมีสาเหตุจากการทำงานในชีวิตประจำวันของบุคคลในองค์กรโดยไม่ตั้งใจ เช่น การ เปิดเว็บไซด์ต่างๆ หรือการเอา Thumb Drive มาใช้กับคอมพิวเตอร์ ซึ่งอาจก่อให้เกิดความเสียหายอย่างใหญ่หลวงตามมาแก่องค์กร เนื่องจากระบบสารสนเทศถือเป็นแหล่งรวบรวมข้อมูลลูกค้าและการดำเนินงานไว้เป็นจำนวนมากทำให้ระบบสารสนเทศถือเป็นหัวใจสำคัญขององค์กรที่ควรให้ความสำคัญเรื่องความปลอดภยของข้อมูลเป็นอย่างยิ่ง
v ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
- แฮกเกอร์ (Hacker) กลุ่มคนที่มีความเชี่ยวชาญในการเจาะข้อมูล ขโมยฐานข้อมูล
- แครกเกอร์ (Cracker) กลุ่มคนที่เจาะระบบฐานข้อมูลเช่นเดียวกัน แต่มีวัตถุประสงค์เพื่อตรวจสอบความปลอดภัยของระบบ นำไปเป็นแนวทางในการสร้างการป้องกันและพัฒนาระบบรักษาความปลอดภัยต่อไป
- ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies) คนรุ่นใหม่ที่พึ่งจะเริ่มเจาะระบบ หรือสร้างไวรัส
- ผู้สอดแนม (Spies) คนที่ดักดูข้อมูลต่างๆ ระหว่างการทำงานของคนอื่น
- เจ้าหน้าที่ขององค์กร (Employees) พนักงานขององค์กรที่อาจนำไวรัสมาสู่คอมพิวเตอร์โดยไม่ตั้งใจ
- ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyberterrorist) คนที่สร้างกระแสเพื่อให้เกิดเรื่องราวขนาดใหญ่ โดยใช้คอมพิวเตอร์และเครือข่ายอินเทอร์เน็ตเป็นตัวแพร่กระจาย
v ประเภทความเสี่ยงของระบบสารสนเทศ
1.การโจมตีระบบเครือข่าย
1.การโจมตีระบบเครือข่าย
- ขั้นพื้นฐาน (Basic Attacks) เป็นการรื้อค้นทั่วไปในคอมพิวเตอร์ของคนอื่น กลลวงทางสังคม
- ด้านคุณลักษณะ (Identity Attacks) เป็นการโจมตีด้วยการปลอมแปลงเป็นบุคคลอื่นส่งข้อมูลเพื่อหลอกลวงผู้อื่น
- การปฏิเสธการให้บริการ (Denial of Service) เป็นการโจมตีด้วยการเข้าไปที่ Server จำนวนมากเกินปกติในช่วงเวลาหนึ่ง ทำให้ Server นั้นไม่สามารถทำงานได้
- การโจมตีด้วยมัลแวร์ (Malware) โปรแกรมที่มุ่งโจมตีการปฏิบัติงานของคอมพิวเตอร์ ประกอบด้วย ไวรัส, เวิร์ม, โทรจันฮอร์ส และมุ่งโจมตีความเป็นส่วนตัวของสารสนเทศ (สปายแวร์)
ตัวอย่างเช่น การเข้า Web page เวลาพิมชื่อเวบผิด จะถูกลิ้งเข้าไปในเวบอื่นที่พยายามหลอกล่อให้เราใส่ user name หรือ password ให้ซึ่งจะทำให้ถูกขโมยข้อมูลไป
- 1. E-mail Spoofing การเปิดเมลที่เป็น junk อาจทำให้มี spam ส่งเข้ามาในเมลได้
- 2. IP Spoofing การกดไฟล์แปลกๆจะทำให้ไวรัสเข้าเครื่องได้
Malware เป็นขโมยข้อมูลทั้งจาก Hardware และ Software มีวิธีป้องกันคืออย่าใช้ password และ username ในที่สาธารณะ
2.การเข้าถึงระบบโดยไม่ได้รับอนุญาต
การใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ ซึ่งส่วนมากจะเป็นกิจกรรมที่ผิดกฎหมาย
3.การขโมย
3.การขโมย
- ขโมย Hardware ซึ่งส่วนมากจะเป็นการตัดสายเชื่อมต่อระบบเครือข่ายอินเทอร์เน็ต
- ขโมย Software เช่น การขโมยสื่อที่ใช้จัดเก็บ Software ลบโปรแกรมโดยตั้งใจ รวมไปถึงการทำสำเนาโปรแกรมอย่างผิดกฎหมาย
- ขโมยสารสนเทศ ส่วนมากจะเป็นข้อมูลความลับส่วนบุคคล
4.ความล้มเหลวของระบบสารสนเทศ
- เสียง (Noise) พวกคลื่นเสียงรบกวนต่างๆ โดยเฉพาะขณะที่ฝนตกทำให้คลื่นโดนแทรกแซง
- แรงดันไฟฟ้าต่ำ แรงดันไฟฟ้าสูง ทำให้ข้อมูลหาย
v การรักษาความปลอดภัยของระบบสารสนเทศ
1.การรักษาความปลอดภัยการโจมตีระบบเครือข่าย
- ติดตั้งและ update ระบบโปรแกรมป้องกันไวรัส
- ติดตั้งFirewall
- ติดตั้งซอร์ฟแวร์ตรวจจับการบุกรุก โดยมีการตรวจสอบ IP address ของผู้ที่เข้าใช้งานระบบ
- ติดตั้ง honeypot มีการสร้างระบบไว้ข้างนอก เป็นตัวที่เอาไว้หลอกล่อพวกแฮกเกอร์ที่ต้องการเจาะเข้าระบบ
2. การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต
- การระบุตัวตน การพิสูจน์ตัวจริง เช่น มีการใส่รหัสผ่าน บอกข้อมูลที่ทราบเฉพาะบุคคลที่เป็นเจ้าของ ใช้บัตรผ่านที่มีลักษณะเป็นบัตรประจำตัว ลักษณะทางกายภาพ
3. การควบคุมการขโมย
- การควบคุมการเข้าถึงทางกายภาพ การรักษาความปลอดภัยของซอฟแวร์โดยเก็บรักษาแผ่นในสถานที่ที่มีการรักษาความปลอดภัย Real time location การใช้ลักษณะทางกายภาพในการเปิดปิดคอมพิวเตอร์
4. การเข้ารหัส คือ การแปลงข้อมูลที่คนทั่วไปสามารถอ่านได้ให้อยู่ในรูปที่เฉพาะคนที่เกี่ยวข้องเท่านั้นจึงสามารถอ่านได้ ประเภทการเข้ารหัส คือ การเข้ารหัสแบบสมมาตร และการเข้ารหัสแบบไม่สมมาตร
5. การรักษาความปลอดภัยอื่นๆ เช่น SSL : Secure sockets layer, S-HTTP, VPN
6. ควบคุมการล้มเหลวของระบบสารสนเทศ เช่น Surge protector, UPS, Disaster Recovery, Business Continuity Planning
7. การสำรองข้อมูล
8. การรักษาความปลอดภัยของ Wireless LAN
จรรยาบรรณ คือ หลักการปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ประกอบด้วย
- การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
- การขโมย Software
- ความถูกต้องของสารสนเทศ
- สิทธิ์ต่อทรัพย์สินทางปัญญา
- หลักปฏิบัติ (code of Conduct)
- ความเป็นส่วนตัวของสารสนเทศ
ไม่มีความคิดเห็น:
แสดงความคิดเห็น