การรักษาความปลอดภัยระบบสารสนเทศและจรรยาบรรณเบื้องต้น
ความเสี่ยงของระบบสารสนเทศ (Information system risk) คือ เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลายฮาร์ดแวร์ (Hardware) ซอฟต์แวร์ (Software) ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
- แฮกเกอร์ (Hacker) กลุ่มคนที่มีความเชี่ยวชาญในการเจาะข้อมูล ขโมยฐานข้อมูล
- แครกเกอร์ (Cracker) กลุ่ม คนที่เจาะระบบฐานข้อมูลเช่นเดียวกัน แต่มีวัตถุประสงค์เพื่อตรวจสอบความปลอดภัยของระบบ นำไปเป็นแนวทางในการสร้างการป้องกันและพัฒนาระบบรักษาความปลอดภัยต่อไป
- ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies) คนรุ่นใหม่ที่พึ่งจะเริ่มเจาะระบบ หรือสร้างไวรัส
- ผู้สอดแนม (Spies) คนที่ดักดูข้อมูลต่างๆ ระหว่างการทำงานของคนอื่น
- เจ้าหน้าที่ขององค์กร (Employees) พนักงานขององค์กรที่อาจนำไวรัสมาสู่คอมพิวเตอร์โดยไม่ตั้งใจ
- ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyber terrorist) คนที่สร้างกระแสเพื่อให้เกิดเรื่องราวขนาดใหญ่ โดยใช้คอมพิวเตอร์และเครือข่ายอินเทอร์เน็ตเป็นตัวแพร่กระจาย
ประเภทของความเสี่ยงของระบบสารสนเทศ
1. การโจมตีระบบเครือข่าย (Network attack)
การโจมตีขั้นพื้นฐาน (Basic Attacks) เช่น การรื้อค้นข้อมูลจากถังขยะ(recycle bin) ในระบบ
การโจมตีด้านคุณลักษณะ (Identity Attacks) เป็นการโจมตีในลักษณะของการปลอมแปลงตัวตน เช่น
- DNS Spoofing และ e-mail spoofing เป็นการปลอมแปลงตัวตนผ่านเครือข่าย อาทิ อีเมลล์ เพื่อสวมรอยในการกระทำการบางอย่าง เช่น ส่งแสปมเมลล์
- IP Spoofing เป็นการทำที่อยู่ปลอมขึ้นบนเครือข่าย จากการปลอมแปลง IP address ของเวปไซท์หรือเครื่อง อาทิ เมื่อต้องการที่จะเข้าเวปไซต์หนึ่ง อาจจะถูกดึงไปสู่อีกเวปที่ปลอมแปลง IP เวปไซท์ต้น
การปฏิเสธการให้บริการ (Denial of Service หรือ DOS) เป็นการส่งสัญญาณแบบถี่ๆในช่วงเวลาหนึ่งๆเข้าเวปไซต์ ทำให้ระบบล่ม ไม่สามารถใช้งานได้ (เช่น การเข้าหน้าเวปไซต์หนึ่งๆ พร้อมๆกันหลายๆคน) เช่น
- Distributed denial-of-service (DDOS)
- DOSHTTP (HTTP Flood Denial of Service)
การโจมตีด้วยมัลแวร์ (Malware)
โปรแกรมมุ่งร้ายที่โจมตีการปฏิบัติงานของคอมพิวเตอร์ (Computer operations) ประกอบด้วย ไวรัส (Viruses) เวิร์ม (Worms) โทรจันฮอร์ส (Trojan horse) โดยจะมาในรูปแบบของ software ซึ่งอาจจะปลอมแปลงชื่อ หรือติดมากับโปรแกรมอื่นๆ เมื่อเปิดใช้งานแล้วจะทำลายระบบของเครื่องที่เปิดใช้ และอาจรวมถึงเครือข่ายที่เชื่อมต่อกับเครื่องนั้นด้วย (อย่างไรก็ดี ขณะนี้ปรากฎว่าโปรแกรม Malware ทั้งหลายนั้น ทำงานบนระบบปฏิบัติการบางระบบ ในขณะที่บางระบบจะไม่อ่าน เนื่องจาก Malware นั้นไม่ได้สร้างขึ้นเพื่อรองรับการทำงานบนระบบปฏิบัติการนั้นๆ)
2. การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access)
การใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ ซึ่งส่วนมากจะเป็นการใช้คอมพิวเตอร์หรือข้อมูลในเครื่องคอมพิวเตอร์เพื่อทำ กิจกรรมบางอย่างที่ผิดกฏระเบียบของกิจการหรือการกระทำที่ผิดกฏหมาย เช่น การเข้าหน้าเว็บไซต์อื่นขณะทำงาน ซึ่งอาจทำให้คอมพิวเตอร์ติดไวรัสได้
3. การขโมย (Theft)
การขโมยฮาร์ดแวร์และการทำลายฮาร์ดแวร์มักอยู่รูปของการตัดสายเชื่อมต่อระบบ เครือข่ายคอมพิวเตอร์ เช่น ขโมย RAM, ขโมยจอ เป็นต้น โดยมักขโมยข้อมูลความลับส่วนบุคคล
1. การโจมตีระบบเครือข่าย (Network attack)
การโจมตีขั้นพื้นฐาน (Basic Attacks) เช่น การรื้อค้นข้อมูลจากถังขยะ(recycle bin) ในระบบ
การโจมตีด้านคุณลักษณะ (Identity Attacks) เป็นการโจมตีในลักษณะของการปลอมแปลงตัวตน เช่น
- DNS Spoofing และ e-mail spoofing เป็นการปลอมแปลงตัวตนผ่านเครือข่าย อาทิ อีเมลล์ เพื่อสวมรอยในการกระทำการบางอย่าง เช่น ส่งแสปมเมลล์
- IP Spoofing เป็นการทำที่อยู่ปลอมขึ้นบนเครือข่าย จากการปลอมแปลง IP address ของเวปไซท์หรือเครื่อง อาทิ เมื่อต้องการที่จะเข้าเวปไซต์หนึ่ง อาจจะถูกดึงไปสู่อีกเวปที่ปลอมแปลง IP เวปไซท์ต้น
การปฏิเสธการให้บริการ (Denial of Service หรือ DOS) เป็นการส่งสัญญาณแบบถี่ๆในช่วงเวลาหนึ่งๆเข้าเวปไซต์ ทำให้ระบบล่ม ไม่สามารถใช้งานได้ (เช่น การเข้าหน้าเวปไซต์หนึ่งๆ พร้อมๆกันหลายๆคน) เช่น
- Distributed denial-of-service (DDOS)
- DOSHTTP (HTTP Flood Denial of Service)
การโจมตีด้วยมัลแวร์ (Malware)
โปรแกรมมุ่งร้ายที่โจมตีการปฏิบัติงานของคอมพิวเตอร์ (Computer operations) ประกอบด้วย ไวรัส (Viruses) เวิร์ม (Worms) โทรจันฮอร์ส (Trojan horse) โดยจะมาในรูปแบบของ software ซึ่งอาจจะปลอมแปลงชื่อ หรือติดมากับโปรแกรมอื่นๆ เมื่อเปิดใช้งานแล้วจะทำลายระบบของเครื่องที่เปิดใช้ และอาจรวมถึงเครือข่ายที่เชื่อมต่อกับเครื่องนั้นด้วย (อย่างไรก็ดี ขณะนี้ปรากฎว่าโปรแกรม Malware ทั้งหลายนั้น ทำงานบนระบบปฏิบัติการบางระบบ ในขณะที่บางระบบจะไม่อ่าน เนื่องจาก Malware นั้นไม่ได้สร้างขึ้นเพื่อรองรับการทำงานบนระบบปฏิบัติการนั้นๆ)
2. การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access)
การใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ ซึ่งส่วนมากจะเป็นการใช้คอมพิวเตอร์หรือข้อมูลในเครื่องคอมพิวเตอร์เพื่อทำ กิจกรรมบางอย่างที่ผิดกฏระเบียบของกิจการหรือการกระทำที่ผิดกฏหมาย เช่น การเข้าหน้าเว็บไซต์อื่นขณะทำงาน ซึ่งอาจทำให้คอมพิวเตอร์ติดไวรัสได้
3. การขโมย (Theft)
การขโมยฮาร์ดแวร์และการทำลายฮาร์ดแวร์มักอยู่รูปของการตัดสายเชื่อมต่อระบบ เครือข่ายคอมพิวเตอร์ เช่น ขโมย RAM, ขโมยจอ เป็นต้น โดยมักขโมยข้อมูลความลับส่วนบุคคล
4. ความล้มเหลวของระบบสารสนเทศ (System failure)
อาจมาจากเสียง (Noise) เช่น มีคลื่นเสียงรบกวน ทำให้ระบบเกิดความผิดพลาดได้ หรือแรงดันไฟฟ้าต่ำ (Under voltages) เช่น ไฟตก หรือ แรงดันไฟฟ้าสูง (Over voltages)
การรักษาความปลอดภัยของระบบสารสนเทศ
1.การรักษาความปลอดภัยการโจมตีระบบเครือข่าย
- ติดตั้งและ update ระบบโปรแกรมป้องกันไวรัส
- ติดตั้งFirewall
- ติดตั้งซอร์ฟแวร์ตรวจจับการบุกรุก โดยมีการตรวจสอบ IP address ของผู้ที่เข้าใช้งานระบบ
- ติดตั้ง honey pot มีการสร้างระบบไว้ข้างนอก เป็นตัวที่เอาไว้หลอกล่อพวกแฮกเกอร์ที่ต้องการเจาะเข้าระบบ
2. การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต
- การระบุตัวตน การพิสูจน์ตัวจริง เช่น มีการใส่รหัสผ่าน บอกข้อมูลที่ทราบเฉพาะบุคคลที่เป็นเจ้าของ ใช้บัตรผ่านที่มีลักษณะเป็นบัตรประจำตัว ลักษณะทางกายภาพ
3. การควบคุมการขโมย
- การควบคุมการเข้าถึงทางกายภาพ การรักษาความปลอดภัยของซอฟแวร์โดยเก็บรักษาแผ่นในสถานที่ที่มีการรักษาความปลอดภัย Real time location การใช้ลักษณะทางกายภาพในการเปิดปิดคอมพิวเตอร์
4. การเข้ารหัส คือ การแปลงข้อมูลที่คนทั่วไปสามารถอ่านได้ให้อยู่ในรูปที่เฉพาะคนที่เกี่ยวข้อง เท่านั้นจึงสามารถอ่านได้ ประเภทการเข้ารหัส คือ การเข้ารหัสแบบสมมาตร และการเข้ารหัสแบบไม่สมมาตร
5. การรักษาความปลอดภัยอื่นๆ เช่น SSL: Secure sockets layer, S-HTTP, VPN
6. ควบคุมการล้มเหลวของระบบสารสนเทศ เช่น Surge protector, UPS, Disaster Recovery, Business Continuity Planning
7. การสำรองข้อมูล
8. การรักษาความปลอดภัยของ Wireless LAN
จรรยาบรรณคอมพิวเตอร์ คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศซึ่งประกอบด้วย
· การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
· การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์)
· ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ เป็นต้น
· สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights)
· หลักปฏิบัติ (Code of conduct)
· ความเป็นส่วนตัวของสารสนเทศ (Information privacy)
ไม่มีความคิดเห็น:
แสดงความคิดเห็น