การรักษาความปลอดภัยระบบสารสนเทศและจรรยาบรรณเบื้องต้น
ความเสี่ยงของระบบสารสนเทศ หมายถึง เหตุการณ์ที่ก่อให้เกิดความสูญเสียหรือทำลายฮาร์ดแวร์ ซอฟต์แวร์ ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ ดังนั้นเราจึงควรมีระบบรักษาความปลอดภัยเพื่อป้องกันการโดนขโมยข้อมูล ซึ่งทำให้องค์สูญเสียความน่าเชื่อถือและผลประโยชน์ทางธุรกิจ เพราะอาจเกิดปัญหาของอาชญากรรมข้อมูลซึ่งนำความเสียหายมาสู่องค์กรเกิดจากคนรุ่นใหม่ เนื่องจากมีความรู้ด้านเทคโนโลยีมาก มีความคิดรวดเร็ว ทำให้เผยแพร่ข้อมูลทั้งด้านดีและไม่ดีได้อย่างรวดเร็ว
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ· แฮกเกอร์ (Hacker) เป็นพวกเจาะระบบสารสนเทศเพื่อขโมยข้อมูล
· แครกเกอร์ (Cracker) กลุ่มคนที่เจาะระบบฐานข้อมูลเช่นเดียวกัน แต่เป็นพวกอยากแสดงความสามารถว่าสามารถเจาะข้อมูลได้
· ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies) คนรุ่นใหม่ที่พึ่งจะเริ่มเจาะระบบ หรือสร้างไวรัส
· ผู้สอดแนม (Spies) สอดแนมข้อมูลของคนอื่นโดยแอบดูตามที่สาธารณะ เพื่อขโมยพาสเวิด เป็นต้น
· เจ้าหน้าที่ขององค์กร (Employees) พนักงานขององค์กรที่อาจนำไวรัสมาสู่คอมพิวเตอร์โดยไม่ตั้งใจ
· ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyberterrorist) เป็นพวกปล่อยข่าวลือต่างๆ ผ่านทางอินเตอร์เน็ต เพื่อหลอกลวงคน
ประเภทความเสี่ยงของระบบสารสนเทศ1.การโจมตีระบบเครือข่าย
o ขั้นพื้นฐาน (Basic Attacks) เป็นการรื้อค้นทั่วไปในคอมพิวเตอร์ของคนอื่น เช่น กลลวงทางสังคมการรื้อค้นเอกสารคอมพิวเตอร์จากที่ทิ้งถังขยะ
o ด้านคุณลักษณะ (Identity Attacks) เป็นการโจมตีด้วยการปลอมแปลงเป็นบุคคลอื่นส่งข้อมูลเพื่อหลอกลวงผู้อื่น เช่น DNS Spoofing และ e-mail spoofing
o การปฏิเสธการให้บริการ (Denial of Service) เป็นการโจมตีด้วยการเข้าไปที่ Server จำนวนมากเกินปกติในช่วงเวลาหนึ่ง ทำให้ Server นั้นไม่สามารถทำงานได้
o การโจมตีด้วยมัลแวร์ (Malware) โปรแกรมที่มุ่งโจมตีการปฏิบัติงานของคอมพิวเตอร์ ประกอบด้วย ไวรัส, เวิร์ม, โทรจันฮอร์ส และมุ่งโจมตีความเป็นส่วนตัวของสารสนเทศ (สปายแวร์)
2.การเข้าถึงระบบโดยไม่ได้รับอนุญาต
การใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ ซึ่งส่วนมากจะเป็นกิจกรรมที่ผิดกฎหมาย
3.การขโมย
3.การขโมย
o ขโมย Hardware ซึ่งส่วนมากจะเป็นการตัดสายเชื่อมต่อระบบเครือข่ายอินเทอร์เน็ตฃ
o ขโมย Software เช่น การขโมยสื่อที่ใช้จัดเก็บ Software ลบโปรแกรมโดยตั้งใจ รวมไปถึงการทำสำเนาโปรแกรมอย่างผิดกฎหมาย
o ขโมยสารสนเทศ ส่วนมากจะเป็นข้อมูลความลับส่วนบุคคล
4.ความล้มเหลวของระบบสารสนเทศ
o เสียง (Noise) พวกคลื่นเสียงรบกวนต่างๆ โดยเฉพาะขณะที่ฝนตกทำให้คลื่นโดนแทรกแซง
o แรงดันไฟฟ้าต่ำ แรงดันไฟฟ้าสูง ทำให้ข้อมูลหาย
การรักษาความปลอดภัยของระบบสารสนเทศ1. การรักษาความปลอดภัยการโจมตีระบบเครือข่าย
o ติดตั้งและ update ระบบโปรแกรมป้องกันไวรัส
o ติดตั้งFirewall
o ติดตั้งซอร์ฟแวร์ตรวจจับการบุกรุก โดยมีการตรวจสอบ IP address ของผู้ที่เข้าใช้งานระบบ
o ติดตั้ง honeypot มีการสร้างระบบไว้ข้างนอก เป็นตัวที่เอาไว้หลอกล่อพวกแฮกเกอร์ที่ต้องการเจาะเข้าระบบ
2. การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต
โดยการระบุตัวตน การพิสูจน์ตัวจริง เช่น มีการใส่รหัสผ่าน บอกข้อมูลที่ทราบเฉพาะบุคคลที่เป็นเจ้าของ ใช้บัตรผ่านที่มีลักษณะเป็นบัตรประจำตัว ลักษณะทางกายภาพ
3. การควบคุมการขโมย
โดยการควบคุมการเข้าถึงทางกายภาพ การรักษาความปลอดภัยของซอฟแวร์โดยเก็บรักษาแผ่นในสถานที่ที่มีการรักษาความปลอดภัย Real time location ซึ่งสามารถใช้ลักษณะทางกายภาพในการเปิดปิดคอมพิวเตอร์ได้ทันที
4. การเข้ารหัส
การแปลงข้อมูลที่คนทั่วไปสามารถอ่านได้ให้อยู่ในรูปที่เฉพาะคนที่เกี่ยวข้องเท่านั้นจึงสามารถอ่านได้ ประเภทการเข้ารหัส คือ การเข้ารหัสแบบสมมาตร และการเข้ารหัสแบบไม่สมมาตร
5. การรักษาความปลอดภัยอื่นๆ
o Secure sockets layer (SSL) โดยเว็บเพจที่ใช้ SSL จะขึ้นต้นด้วย https แทนที่จะเป็น http
o Secure HTTP (S-HTTP) เช่น ระบบธนาคารออนไลน์จะใช้ S-HTTP
o Virtual private network (VPN)
6. ควบคุมการล้มเหลวของระบบสารสนเทศ
o การป้องกันแรงดันไฟฟ้าใช้ Surge protector
o ไฟฟ้าดับใช้ Uninterruptible power supply
o Disaster Recovery การทำให้ระบบกลับมาอยู่ในสภาพเดิม
7. การสำรองข้อมูลสิ่งที่ประกอบการตัดสินใจประกอบด้วย
o Media
o Time
o Frequent
o Place
8. การรักษาความปลอดภัยของ Wireless LAN
o Service Set Identifier
o MAC Addressing Filtering
o การเข้าและถอดรหัสด้วยการ Wired Equivalency Privacy (WEP)
o จำกัดขอบเขตพื้นที่ให้บริการ
o การพิสูจน์สิทธิเข้าใช้งานแลนไร้สายด้วย Radius Server
o สร้าง Virtual Private Network (VPN)
จรรยาบรรณ คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ประกอบด้วย o การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
o การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์)
o ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ เป็นต้น
o สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights)
o หลักปฏิบัติ (Code of conduct)
o ความเป็นส่วนตัวของสารสนเทศ (Information privacy)
นายแมนรัตน์ กิตติวราภรณ์
5202115100
ไม่มีความคิดเห็น:
แสดงความคิดเห็น