fourteenth of AI613 class

WEB 2.0

Characteristics

·    ข้อมูลถูกนำไปเผยแพร่ในช่องทางใหม่ๆ ที่ไม่เคยมีมาก่อน

·    ช่วยให้ผู้ใช้นั้นสามารถใช้งานได้ง่าย

·    เน้น social network เช่น Facebook, twitter,

Type of Virtual Community

·             ใช้ในการแลกเปลี่ยนข้อมูล,สินค้า

·             หาข้อมูลที่ต้องการ

·             สร้างเครือข่าย

·             ให้คนเข้ามาสร้างตัวตนใหม่ในแบบที่ตนต้องการ (fantasy world)

·             เพื่อเล่นเกมส์

ประเด็นที่เกิดขึ้นในโลกสังคมออนไลน์

·             เรื่อง security และขาดความเป็นส่วนตัว เช่น ผู้ที่ติดตามเราซึ่งจะเป็นใครก็ได้หากเราไม่ได้ตั้งระบบรักษาความปลอดภัยไว้ โดยในโลกออนไลน์จะสามารถทราบได้ว่าเรากำลังอยู่ที่ไหนในขณะนั้น หรือบ้านเราอยู่ที่ไหนส่งผลกระทบทางด้านความปลอดภัยของเรา

·             การแข่งขันหรือใช้ความรุนแรงระหว่างผู้ใช้ (อาจจะสื่อออกมาทางภาษาที่ใช้เป็นต้น)

·             การทำกิจกรรมที่ผิดกฎหมาย

·             เปลี่ยนกระแสวัฒนธรรม โดยเฉพาะกลุ่มวัยรุ่น

Enterprise Social Networks Characteristics

เป็นการนำ social network เข้ามาใช้ให้เกิดประโยชน์ขึ้นในองค์กร โดยอาจผลิตขึ้นเอง หรือใช้ social network ที่มีอยู่แล้ว ซึ่งจะช่วยให้คนในองค์กรสามารถติดต่อสื่อสารได้เร็วขึ้น และช่วยให้ง่ายต่อการแลกเปลี่ยนความรู้กันได้

Retailers Benefit from Online Communities

·       ให้ข้อมูลแก่ลูกค้า และได้รับfeedback จากลูกค้าที่รวดเร็ว

·       สร้าง viral marketing

·       เพิ่ม web site traffic

·       เป็นการเพิ่มยอดขาย

Robotics

ปัจจุบันหุ่นยนต์เริ่มเป็นที่นิยมมาก ทั้งในการกีฬาและการทหารมากขึ้น รวมถึงเพื่อการดูแลสุขภาพและธุรกิจ เพื่อลดการใช้คนให้น้อยลง

Telemedicine & Telehealth

การใช้เทคโนโลยีสารสนเทศเข้ามาดูแลสุขภาพ ช่วยให้แพทย์เข้ามาดูแลรักษาผู้ป่วยได้จากระยะไกล เป็นประโยชน์ด้านการลดเวลาและค่าใช้จ่ายได้ รวมทั้งช่วยคนไข้ในการหาข้อมูลการรักษาเบื้องต้น นอกจากนี้ยังมีการนำเทคโนโลยีใช้ในสินค้าเพื่อสุขภาพหรือสินค้ากีฬาต่างๆเพิ่มมากขึ้น ตัวอย่างที่เห็ฯได้ชัดคือ รองเท้าวิ่ง nike ที่จะคอยบันทึกข้อมูลของผู้วิ่งว่าวิ่งได้ระยะทางที่เท่าไหร่ มีอัตราเต้นของหัวใจอยู่เท่าไหร่ เป็นต้น

Urban Planning with Wireless Sensor Networks

การใช้เทคโนโลยีเข้ามาในการวางผังเมือง และการนำเทคโนโลยีเข้ามาช่วยในการวางแผนการก่อสร้างเพื่อให้สอดคล้องกับ network infrastructure และการจราจรของเมือง ซึ่งช่วยทำให้ผู้อยู่อาศัยนั้นมีความสะดวกสบายในอนาคต

ข้อดีของ Virtual Work

·             สร้างความสะดวกสบายในการทำงาน โดยสามารถทำงานที่บ้านได้

·             เพิ่มความสุขในการทำงานของพนักงานส่งผลต่อประสิทธิภาพการทำงานที่เพิ่มขึ้น

·             ช่วยในการป้องกันเรื่องทุจริตในองค์กร โดยทำข้อมูลให้ความโปร่งใสมากขึ้น

Thirteenth class of AI613

การรักษาความปลอดภัยของระบบสารสนเทศและจรรยาบรรณ

ประเภทของความเสี่ยงของระบบสารสนเทศ

·         การโจมตีระบบเครือข่าย Network attack

·         การโจมตีพื้นฐาน เช่น กลลวงทางสังคม Social engineering และการรื้อค้นเอกสารทางคอมจากที่ทิ้งขยะ Dumpster Diving

·         การโจมตีด้านคุณลักษณะ Identity Attacks  เช่น DNS Spoofing และ email spoofing ส่งไวรัสจากตัวเครื่องเราไปให้คนอื่น (Email Spoofing) อย่ากดlink ในemail/ หลอกล่อให้เข้าไปในเว็บที่หน้าเว็บคล้ายของจริงแล้วเอาข้อมูล/ IP Spoofing  ถ้าเราอยากจะส่งเมลไปหรือเข้าที่หนึ่ง แต่มันส่งเมลหรือเราเข้าไปที่อื่น

·         การปฎิเสธการให้บริการ Denial of Service หรือ Dos เช่น  Distrivuted denial of service (DdoS) HTTP Flood Denial of Service (DoSHTTP)  กด request เยอะๆให้ระบบล่ม, Distrivuted denial of service ถ้ามีไวรัสนี้ฝังอยู่ ถ้าเรา online อยู่ให้คอมส่ง request ได้เว็บหนึ่งอัตโนมัติ (Zombi)

             การโจมด้วยมัลแวร์ Malware

·         การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access) การใช้คอมหรือระบบเครือข่ายดยไม่มีสิทธิ การเข้าระบบของ banking ไปขโมยข้อมูลลูกค้า หรือใช้คอมผิดวัตถุประสงค์  เอาคอมมหาลัยโหลดหนัง เอาคอมบริษัทเล่น fb

·         การขโมย(Theft) ฮาร์ดแวร์และการทำลายฮาร์ดแวร์/ขโมยซอฟต์แวร์/ขโมยข้อมูลที่เป็นความลับส่วนบุคค

ความล้มเหลวของระบบสารสนเทศ

·         -เสียง (ฝนตก ฟ้าร้อง ระบบล่ม)

·         -แรงดันไฟฟ้าต่ำ ไฟตก เครื่องดับ

·         -แรงดันไฟฟ้าสูง

·          

การรักษาความปลอดภัยของระบบสารสนเทศ        การรักษาความปลอดภัยการโจมตีระบบเครือข่าย มีกระบวนการดังนี้

• ติดตั้งโปรแกรมป้องกันไวรัสและต้องอัพเดตตลอดๆ (จริงๆ weakest link คือคนใช้โปรแกรม)

• ติดตั้งไฟร์วอลล์

• ติดตั้งซอฟแวร์ตรวจจับการบุกรุก ดูว่าคนที่เข้ามาใช้ระบบเป็นใคร ip address อะไร บางทีต้องให้เฉพาะคนเข้ามาได้เท่านั้น

• ติดตั้ง honeypot คือ ตัวหลอกให้คนแฮกหลงเข้าไปแฮกในระบบหลอกแทน

Demilitarized Zone (DMZ) คล้ายเขตห้ามยิง สร้างพื้นที่ปลอดภัย ให้กว่าจะเข้าองค์กรต้องถูกกรองก่อน

การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต

·       การระบุตัวตน (Identification)  เช่น โทเค่น คล้ายthumb drive แต่จะมีหมายเลยระบุแต่ละคน ว่าใครใช้งานอยู่

·       การพิสูจน์ตัวจริง (Authentication) เช่น รหัสผ่าน (Password)

·       ข้อมูลที่ทราบเฉพาะบุคคลที่เป็นเจ้าของ (What you know) วันเกิด ชื่อหมา แมว

·       ใช้บัตรผ่านที่มีลักษณะเป็นบัตรประจำตัว (What you have) เช่น บัตร ATM บัตรพนักงาน

·       ลักษณะทางกายภาพของบุคคล (What you are) เช่น ม่านตา ลายนิ้วมือ

การควบคุมการขโมย  

·       ควบคุมการเข้าถึงทางกายภาพ (Physical access control) เช่น การปิดห้องและหน้าต่าง มีสัญญาณกันขโมย

·       นำระบบ Real time location system (RTLS) มาใช้เพื่อระบุสถานที่ที่มีความเสี่ยงสูงโดยนำ RFID tags ติดที่อุปกรณ์คอมพิวเตอร์เพื่อใช้ในการติดตามอุปกรณ์นั้นๆ

·       ออกแบบเครื่องคอมพิวเตอร์ให้เปิดเครื่องและการเข้าใช้งานด้วยลักษณะทางกายภาพ เช่น ลายนิ้วมือ 

·       เก็บรักษาแผ่นซอฟต์แวร์ในสถานที่มีการรักษาความปลอดภัย  /ไม่อนุญาตให้ก๊อบ

·       ในกรณีที่มีโปรแกรมเมอร์ลาออกหรือถูกให้ออก ต้องควบคุมและติดตามโปรแกรมเมอร์ทันที (Escort) เพราะโปรแกรมเมอร์อาจเขียนโปรแกรมซ่อนเพื่อปล่อยไวรัสไว้ในเวลาที่กำหนดได้

·       การเข้ารหัส คือกระบวนการในการแปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถอ่านได้ (Plaintext) ให้อยู่ในรูปที่เฉพาะผู้ที่เกี่ยวข้องเท่านั้นสามารถอ่านข้อมูลได้ (Ciphertext)

ประเภทของการเข้ารหัส

·       การเข้ารหัสแบบสมมาตร ปัญหา คือ การเก็บรักษาคีย์ที่ใช้ในการเข้ารหัสและถอดรหัสซึ่งเป็นคีย์ตัวเดียวกันให้เป็นความลับ นอกจากนี้ผู้ส่งและผู้รับจะมั่นใจได้อย่างไรว่าคีย์ที่แลกเปลี่ยนกันนั้นไม่ถูกเปิดเผยให้ผู้ใดทราบ

·       การเข้ารหัสแบบไม่สมมาตร เช่น Amazonมีคีย์ลับเป็นของตัวเอง1คีย์ ที่เป็น Public key แล้วให้คีย์ของลูกค้าแต่ละคนต่างกัน เช่น ใช้บัตรเครดิตเป็นคีย์

การรักษาความปลอดภัยอื่นๆ 

·       Secure sockets layer (SSL) โดยเว็บเพจที่ใช้ SSL จะขึ้นต้นด้วย https แทนที่จะเป็น http

·       Secure HTTP (S-HTTP) เช่น ระบบธนาคารออนไลน์ (https)คือมันเป็น intranet ขององค์กรเอง ไม่ได้อยุ่ใน internet

·       Virtual private network (VPN) กว่าจะผ่านเข้าระบบ intranet ได้ต้องมีการกรองก่อน เช่น username password

·       การควบคุมความล้มเหลวของระบบสารสนเทศ

·       การป้องกันแรงดันไฟฟ้าใช้ Surge protector หรือ Surge suppressor

·       ไฟฟ้าดับใช้ Uninterruptible power supply (UPS) หม้อแปลงกันไฟตก

·       แผนการทำให้กลับคืนสู่สภาพเดิมจากภัยพิบัติ (Disaster Recovery – DR) หรือ Business continuity planning (BCP) เช่น ถ้าไฟไหม้ตึก จะสามารถทำงานต่อได้หรือไม่

การสำรองข้อมูล (Data Backup)  สิ่งที่ต้องตัดสินใจเกี่ยวกับการสำรองข้อมูลประกอบด้วย

1. เลือกสื่อบันทึก (Media) ที่จะทำการสำรองข้อมูล เช่น CD DVD หรือ Portable Hard disk เป็นต้น

2. ระยะเวลาที่ต้องสำรองข้อมูล

3. ความถี่ในการสำรองข้อมูล ขึ้นอยู่กับระยะเวลาสูงสุดที่ระบบจะไม่สามารถให้บริการได้โดยไม่ส่งผลต่อการดำเนินงานปกติขององค์กร

4. สถานที่จัดเก็บสื่อบันทึกที่สำรองข้อมูล ซึ่งสามารถจัดเก็บ On Site หรือ Offsite ซึ่งแต่ละประเภทมีข้อดีและข้อเสียแตกต่างกันออกไป

จรรยาบรรณ หลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ประกอบด้วย

·       การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต

·       การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์)

·       ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ ก๊อบ

·       สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights)

·       หลักปฏิบัติ (Code of conduct)

·       ความเป็นส่วนตัวของสารสนเทศ (Information privacy)