Lecture# 13
Feb.9, 2011
การรักษาความปลอดภัยระบบสารสนเทศและจรรยาบรรณเบื้องต้น: Security
ความเสี่ยงของระบบสารสนเทศ (Information system risk)
: เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลายฮาร์ดแวร์ (Hardware) ซอฟต์แวร์ (Software) ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ โดยบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ สามารถแบ่งประเภทได้ดังต่อไปนี้
- แฮกเกอร์ (Hacker) คือบุคคลที่พยายามเข้าไปในระบบสารสนเทศ เพื่อแสดงให้เจ้าของระบบทราบว่ายังมีช่องโหว่ของการรักษาความปลอดภัยของระบบอยู่และเรียกว่า แฮกเกอร์ที่มีจรรยาบรรณ
- แครกเกอร์ (Cracker) คือบุคคลที่ทำอันตรายต่อการรักษาความปลอดภัยของระบบสารสนเทศโดยมีวัตถุประสงค์ร้าย
- ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies) คือบุคคลที่ต้องการทำอันตรายระบบรักษาความปลอดภัยแต่ยังไม่มีทักษะทางด้านคอมพิวเตอร์มากนักจึงใช้ซอฟท์แวร์ในการเป็นเครื่องมือเพื่อช่วยในการทำลาย
- ผู้สอดแนม (Spies) คือบุคคลที่ถูกจ้างเพื่อเจาะระบบสารสนเทศและขโมยข้อมูล มักมีทักษะทางคอมพิวเตอร์สูง โดยมีเป้าหมายของระบบที่ต้องการเจาะอย่างชัดเจน บางครั้งอาจทำไปตามการว่าจ้างของบริษัทคู่แข่งเพื่อล้วงความลับข้อมูลทางการแข่งขันที่สำคัญ
- เจ้าหน้าที่ขององค์กร (Employees) คือเจ้าหน้าที่ขององค์กรเองที่เจาะเข้าสู่ระบบข้อมูลเพื่อแสดงให้เห็นว่าระบบยังคงมีจุดอ่อนอยู่ เป็นประโยชน์เพื่อนำไปพัฒนาต่อไปแต่ปัจจุบันถือว่าเป็นภัยคุกคามที่เพิ่มมากยิ่งขึ้น โดยเฉพาะอย่างยิ่งเป็นการขายข้อมูลต่อนั่นเอง
- ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyber terrorist) ใช้ความเชื่อของตนเองในการปรับเปลี่ยนข้อมูลสารสนเทศ หรือการทำให้ระบบสารสนเทศ ปฏิเสธการให้บริการกับผู้ใช้ที่มีสิทธิในการใช้ระบบอย่างถูกต้อง หรือเจาะเข้าไปในระบบเพื่อทำให้ข้อมูลเสียหายอย่างมาก ผู้ก่อการร้ายทางคอมพิวเตอร์เป็นนักเจาระบบที่น่ากลัวมากที่สุดในจำนวนนักเจาะระบบ มีทักษะทางคอมพิวเตอร์ที่สูงมาก นอกจากนี้ยังเป็นการยากที่จะทำนายว่าจะโจมตีจะเกิดเวลาไหนและที่ใด โจมตีในรูปแบบใหม่อย่างอย่างฉับพลันและรวดเร็ว
ประเภทของความเสี่ยงของระบบสารสนเทศ
1) การโจมตีระบบเครือข่าย สามารถแบ่งออกเป็น
§ การโจมตีขั้นพื้นฐาน (Basic Attacks) เช่น กลลวงทางสังคม (Social engineering) และการรื้ออค้นเอกสารทางคอมพิวเตอร์จากที่ทิ้งขยะ (Dumpster Diving )
§ การโจมตีด้านคุณลักษณะ (Identity Attacks) เช่น DNS Spoofing และ e-mail spoofing
§ การปฏิเสธการให้บริการ (Denial of Service หรือ DoS) เช่น Distributed denial-of-service (DDoS) , DoSHTTP (HTTP Flood Denial of Service)
§ การโจมตีด้วยมัลแวร์ (Malware) แบ่งเป็น โปรแกรมมุ่งร้ายที่โจมตีการปฏิบัติงานของคอมพิวเตอร์ (เช่น ไวรัส เวิร์ม เป็นต้น) และโปรแกรมมุ่งร้ายที่โจมตีความเป็นส่วนตัวของสารสนเทศ (Information privacy) ที่มีชื่อเรียกทั่วไปว่า สปายแวร์ (Spyware)
2) การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access) คือการใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ ซึ่งส่วนมากจะเป็นการใช้คอมพิวเตอร์หรือข้อมูลในเครื่องคอมพิวเตอร์เพื่อทำกิจกรรมบางอย่างที่ผิดกฏระเบียบของกิจการหรือการกระทำที่ผิดกฏหมาย ปัจจุบันจึงทำเป็นระบบการเข้าถึงผ่านพาสเวิร์ดที่จำกัดสิทธิตามชั้นหรือโครงสร้างอำนาจของพนักงานแต่ละคนที่มีอยู่ในองค์กร
3) การขโมย (Theft) เช่น การขโมยฮาร์ดแวร์ ซอฟท์แวร์ หรือการขโมยสารสนเทศที่มีลักษณะเป็นความลับ
4) ความล้มเหลวของระบบสารสนเทศ (System Failure) เช่น ปัญหาจากเสียง สัญญาณในการรับและส่งสารสนเทศ แรงดันไฟฟ้าต่ำหรือสูงเกินไปในการดูแลระบบสารสนเทศทั้งหมดขององค์กร
การรักษาความปลอดภัยของระบบสารสนเทศ
1) การรักษาความปลอดภัยจากการโจมตีระบบเครือข่าย เช่น ติดตั้งโปรแกรมป้องกันไวรัสและปรับปรุง Virus signature หรือ Virus definition การติดตั้งไฟร์วอลล์ (Firewall) เป็นต้น
2) การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต ผ่านการระบุตัวตน การพิสูจน์ตัวจริงโดยการเข้ารหัสไม่ว่าจะโดยการสอบถามข้อมูลเฉพาะสำคัญเฉพาะราย การใช้บัตรผ่านที่เป็นบัตรประจำตัว หรือการตรวบสอบโดยกายภาพส่วนบุคคล เช่น ตรวจม่านตา เป็นต้น
3) การควบคุมการขโมย ซึ่งอาจใช้เทคโนโลยีที่สำคัญคือ RFID ในการตรวจนับสิ่งของและระบุตัวบุคคล
4) การรักษาความปลอดภัยอื่นๆ เช่น Secure sockets layer (SSL) โดยเว็บเพจที่ใช้ SSL จะขึ้นต้นด้วย https แทนที่จะเป็น http หรือ Secure HTTP (S-HTTP) เช่น ระบบธนาคารออนไลน์จะใช้ S-HTTP
5) การควบคุมความล้มเหลวของระบบสารสนเทศ เช่น การป้องกันแรงดันไฟฟ้าใช้ Surge protector หรือ Surge suppressor และหากว่าเกิดไฟฟ้าดับอาจต้องปรับระบบการใช้ไฟเป็นระบบ Uninterruptible power supply (UPS) เป็นต้น
6) การสำรองข้อมูล (Data Backup) เพื่อเก็บข้อมูลไว้ต่างหากอีกที่หนึ่งแยกจากสำนักงานหรือที่ทำการหลัก ซึ่งต้องตัดสินใจในประเด็นดังนี้ การเลือกสื่อที่ใช้ในการบันทึกข้อมูลสำรอง ระยะเวลาที่ต้องสำรองข้อมูล ความถี่ในการสำรองข้อมูล สถานที่เก็บสิ่งบันทึกดังกล่าวข้างต้น เป็นต้น
7) การรักษาความปลอดภัยของแลนไร้สาย (Wireless LAN) เป็นระบบที่องค์กรใช้ในการเชื่อมต่อการทำงานของพนักงานเป็นจำนวนมาก ต้องรักษาข้อมูลสารสนเทศที่มีอยู่ภายในองค์กรโดยควบคุมการเชื่อมโยงเข้าสู่แลนไร้สายด้วย Service Set Identifier (SSID) หรือกลั่นกรองผู้ใช้งานด้วยการกรองหมายเลขการ์ดเน็ตเวิร์ก (MAC Addressing Filtering) เป็นต้น
จรรยาบรรณ
: จรรยาบรรณทางคอมพิวเตอร์ คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย
§ การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
§ การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์)
§ ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ เป็นต้น
§ สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights) และลิขสิทธิ์ เป็นประเด็นที่ต้องให้ความสำคัญดังต่อไปนี้ บุคคลที่สามารถเข้าถึงได้ ส่วนประกอบและความสามารถในการปรับปรุงแกไข
§ หลักปฏิบัติ (Code of conduct) เพื่อเป็นแนวทางในการตัดสินใจว่าการกระทำใดที่เกี่ยวข้องกับคอมพิวเตอร์เป็นสิ่งที่มีหรือไม่มีจรรยาบรรณ
§ ความเป็นส่วนตัวของสารสนเทศ (Information privacy) ปัจจุบันให้ความสำคัญกับองค์ประกอบหนึ่งที่เกี่ยวข้องกับความเป็นส่วนตัวของผู้ใช้คือ Cookie ซึ่งเป็น Text file ขนาดเล็กที่เครื่อง Web server นำมาติดตั้งที่เครื่องคอมพิวเตอร์ (ฮาร์ดดิสก์) ของผู้เรียกเว็บไซด์นั้นๆ โดย Cookie จะมีข้อมูลเกี่ยวกับผู้ใช้ ประกอบด้วย ชื่อหรือเว็บไซด์ที่ชอบเข้า เมื่อผู้ใช้ติดต่อกับเว็บไซด์ โปรแกรมเบาวร์เซอร์จะจัดส่งข้อมูลใน Cookie ไปยังเว็บไซด์ได้ นอกจากนี้ปัจจุบันมีกฏหมายเกี่ยวกับความเป็นส่วนตัวของสารสนเทศ เช่น Privacy Act และ Family Educational Rights and Privacy Act เป็นต้น
ไม่มีความคิดเห็น:
แสดงความคิดเห็น