การรักษาความปลอดภัยของระบบสารสนเทศและจรรยาบรรณ
ประเภทของความเสี่ยงของระบบสารสนเทศ
· การโจมตีระบบเครือข่าย Network attack
· การโจมตีพื้นฐาน เช่น กลลวงทางสังคม Social engineering และการรื้อค้นเอกสารทางคอมจากที่ทิ้งขยะ Dumpster Diving
· การโจมตีด้านคุณลักษณะ Identity Attacks เช่น DNS Spoofing และ email spoofing ส่งไวรัสจากตัวเครื่องเราไปให้คนอื่น (Email Spoofing) อย่ากดlink ในemail/ หลอกล่อให้เข้าไปในเว็บที่หน้าเว็บคล้ายของจริงแล้วเอาข้อมูล/ IP Spoofing ถ้าเราอยากจะส่งเมลไปหรือเข้าที่หนึ่ง แต่มันส่งเมลหรือเราเข้าไปที่อื่น
· การปฎิเสธการให้บริการ Denial of Service หรือ Dos เช่น Distrivuted denial of service (DdoS) HTTP Flood Denial of Service (DoSHTTP) กด request เยอะๆให้ระบบล่ม, Distrivuted denial of service ถ้ามีไวรัสนี้ฝังอยู่ ถ้าเรา online อยู่ให้คอมส่ง request ได้เว็บหนึ่งอัตโนมัติ (Zombi)
การโจมด้วยมัลแวร์ Malware
· การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access) การใช้คอมหรือระบบเครือข่ายดยไม่มีสิทธิ การเข้าระบบของ banking ไปขโมยข้อมูลลูกค้า หรือใช้คอมผิดวัตถุประสงค์ เอาคอมมหาลัยโหลดหนัง เอาคอมบริษัทเล่น fb
· การขโมย(Theft) ฮาร์ดแวร์และการทำลายฮาร์ดแวร์/ขโมยซอฟต์แวร์/ขโมยข้อมูลที่เป็นความลับส่วนบุคค
ความล้มเหลวของระบบสารสนเทศ
· -เสียง (ฝนตก ฟ้าร้อง ระบบล่ม)
· -แรงดันไฟฟ้าต่ำ ไฟตก เครื่องดับ
· -แรงดันไฟฟ้าสูง
·
การรักษาความปลอดภัยของระบบสารสนเทศ การรักษาความปลอดภัยการโจมตีระบบเครือข่าย มีกระบวนการดังนี้
- ติดตั้งโปรแกรมป้องกันไวรัสและต้องอัพเดตตลอดๆ (จริงๆ weakest link คือคนใช้โปรแกรม)
- ติดตั้งไฟร์วอลล์
- ติดตั้งซอฟแวร์ตรวจจับการบุกรุก ดูว่าคนที่เข้ามาใช้ระบบเป็นใคร ip address อะไร บางทีต้องให้เฉพาะคนเข้ามาได้เท่านั้น
- ติดตั้ง honeypot คือ ตัวหลอกให้คนแฮกหลงเข้าไปแฮกในระบบหลอกแทน
Demilitarized Zone (DMZ) คล้ายเขตห้ามยิง สร้างพื้นที่ปลอดภัย ให้กว่าจะเข้าองค์กรต้องถูกกรองก่อน
การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต
· การระบุตัวตน (Identification) เช่น โทเค่น คล้ายthumb drive แต่จะมีหมายเลยระบุแต่ละคน ว่าใครใช้งานอยู่
· การพิสูจน์ตัวจริง (Authentication) เช่น รหัสผ่าน (Password)
· ข้อมูลที่ทราบเฉพาะบุคคลที่เป็นเจ้าของ (What you know) วันเกิด ชื่อหมา แมว
· ใช้บัตรผ่านที่มีลักษณะเป็นบัตรประจำตัว (What you have) เช่น บัตร ATM บัตรพนักงาน
· ลักษณะทางกายภาพของบุคคล (What you are) เช่น ม่านตา ลายนิ้วมือ
การควบคุมการขโมย
· ควบคุมการเข้าถึงทางกายภาพ (Physical access control) เช่น การปิดห้องและหน้าต่าง มีสัญญาณกันขโมย
· นำระบบ Real time location system (RTLS) มาใช้เพื่อระบุสถานที่ที่มีความเสี่ยงสูงโดยนำ RFID tags ติดที่อุปกรณ์คอมพิวเตอร์เพื่อใช้ในการติดตามอุปกรณ์นั้นๆ
· ออกแบบเครื่องคอมพิวเตอร์ให้เปิดเครื่องและการเข้าใช้งานด้วยลักษณะทางกายภาพ เช่น ลายนิ้วมือ
· เก็บรักษาแผ่นซอฟต์แวร์ในสถานที่มีการรักษาความปลอดภัย /ไม่อนุญาตให้ก๊อบ
· ในกรณีที่มีโปรแกรมเมอร์ลาออกหรือถูกให้ออก ต้องควบคุมและติดตามโปรแกรมเมอร์ทันที (Escort) เพราะโปรแกรมเมอร์อาจเขียนโปรแกรมซ่อนเพื่อปล่อยไวรัสไว้ในเวลาที่กำหนดได้
· การเข้ารหัส คือกระบวนการในการแปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถอ่านได้ (Plaintext) ให้อยู่ในรูปที่เฉพาะผู้ที่เกี่ยวข้องเท่านั้นสามารถอ่านข้อมูลได้ (Ciphertext)
ประเภทของการเข้ารหัส
· การเข้ารหัสแบบสมมาตร ปัญหา คือ การเก็บรักษาคีย์ที่ใช้ในการเข้ารหัสและถอดรหัสซึ่งเป็นคีย์ตัวเดียวกันให้เป็นความลับ นอกจากนี้ผู้ส่งและผู้รับจะมั่นใจได้อย่างไรว่าคีย์ที่แลกเปลี่ยนกันนั้นไม่ถูกเปิดเผยให้ผู้ใดทราบ
· การเข้ารหัสแบบไม่สมมาตร เช่น Amazonมีคีย์ลับเป็นของตัวเอง1คีย์ ที่เป็น Public key แล้วให้คีย์ของลูกค้าแต่ละคนต่างกัน เช่น ใช้บัตรเครดิตเป็นคีย์
การรักษาความปลอดภัยอื่นๆ
· Secure sockets layer (SSL) โดยเว็บเพจที่ใช้ SSL จะขึ้นต้นด้วย https แทนที่จะเป็น http
· Secure HTTP (S-HTTP) เช่น ระบบธนาคารออนไลน์ (https)คือมันเป็น intranet ขององค์กรเอง ไม่ได้อยุ่ใน internet
· Virtual private network (VPN) กว่าจะผ่านเข้าระบบ intranet ได้ต้องมีการกรองก่อน เช่น username password
· การควบคุมความล้มเหลวของระบบสารสนเทศ
· การป้องกันแรงดันไฟฟ้าใช้ Surge protector หรือ Surge suppressor
· ไฟฟ้าดับใช้ Uninterruptible power supply (UPS) หม้อแปลงกันไฟตก
· แผนการทำให้กลับคืนสู่สภาพเดิมจากภัยพิบัติ (Disaster Recovery – DR) หรือ Business continuity planning (BCP) เช่น ถ้าไฟไหม้ตึก จะสามารถทำงานต่อได้หรือไม่
การสำรองข้อมูล (Data Backup) สิ่งที่ต้องตัดสินใจเกี่ยวกับการสำรองข้อมูลประกอบด้วย
1. เลือกสื่อบันทึก (Media) ที่จะทำการสำรองข้อมูล เช่น CD DVD หรือ Portable Hard disk เป็นต้น
2. ระยะเวลาที่ต้องสำรองข้อมูล
3. ความถี่ในการสำรองข้อมูล ขึ้นอยู่กับระยะเวลาสูงสุดที่ระบบจะไม่สามารถให้บริการได้โดยไม่ส่งผลต่อการดำเนินงานปกติขององค์กร
4. สถานที่จัดเก็บสื่อบันทึกที่สำรองข้อมูล ซึ่งสามารถจัดเก็บ On Site หรือ Offsite ซึ่งแต่ละประเภทมีข้อดีและข้อเสียแตกต่างกันออกไป
จรรยาบรรณ หลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ประกอบด้วย
· การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
· การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์)
· ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ ก๊อบ
· สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights)
· หลักปฏิบัติ (Code of conduct)
· ความเป็นส่วนตัวของสารสนเทศ (Information privacy)
ไม่มีความคิดเห็น:
แสดงความคิดเห็น