การรักษาความปลอดภัยระบบสารสนเทศและจรรยาบรรณเบื้องต้น
ความหมายของความเสี่ยงของระบบสารสนเทศ
ความเสี่ยงของระบบสารสนเทศ (Information system risk) หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสีย/ทำลาย Hardware หรือ Software หรือ ข้อมูลสารสนเทศ หรือความสามารถในการประมวลผล ตัวอย่างของความเสี่ยงของระบบสารสนเทศ เช่น การขโมยข้อมูลสำคัญ การที่ไวรัสเข้ามาทำลายระบบคอม เป็นต้น
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงดังกล่าว
1. แฮกเกอร์ (Hacker) เป็นพวกที่เจาะระบบ (Hack) เพื่อชี้ให้เห็นจุดอ่อนของระบบ แต่จะไม่ทำลายระบบ
2. แครกเกอร์ (Cracker) เป็นพวกที่เจาะระบบ เช่นกัน แต่จะทำลายระบบ
3. ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies)
4. ผู้สอดแนม (Spies)
5. เจ้าหน้าที่ขององค์กร (Employees)
6. ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyberterrorist)
ประเภทของความเสี่ยงของระบบสารสนเทศ
1. การโจมตีระบบเครือข่าย (Network attack)
· การโจมตีขั้นพื้นฐาน (Basic Attacks) เช่น กลลวงทางสังคม (Social engineering) และการรื้อค้นเอกสารทางคอมพิวเตอร์จากที่ทิ้งขยะ (Dumpster Diving)
· การโจมตีด้านคุณลักษณะ (Identity Attacks) เช่น
- DNS Spoofing และ e-mail spoofing เป็นการปลอมแปลงว่าตัวเองเป็นอีกคนคนหนึ่ง เกิดจากการใช้ Password ร่วมกัน เช่น ปลอมเป็นเพื่อนร่วมงานปลอมตัวเป็นตัวเราแล้วส่งเมลล์ต่อว่าหัวหน้า หรือ การเข้า Web page ที่ถูก spoof เพื่อหลอกให้ผู้ใช้ให้ข้อมูลส่วนตัว
- IP Spoofing เป็นการทำที่อยู่เวปไซต์ปลอมขึ้นมา คือ เราต้องการที่จะเข้าเวปไซต์หนึ่ง แต่ดันไปโผล่อีกเวปไซต์นึง (ปลอม)
· การปฏิเสธการให้บริการ (Denial of Service หรือ DoS) เป็นการส่งสัญญาณแบบถี่ๆในช่วงเวลาหนึ่งๆเข้าเวปไซต์ ทำให้ระบบล่ม ไม่สามารถใช้งานได้ (เช่น การเข้าหน้าเวปไซต์หนึ่งๆ พร้อมๆกันหลายๆคน) เช่น
- Distributed denial-of-service (DDoS)
- DoSHTTP (HTTP Flood Denial of Service)
· การโจมตีด้วยมัลแวร์ (Malware)
โปรแกรมมุ่งร้ายที่โจมตีการปฏิบัติงานของคอมพิวเตอร์ (Computer operations) ประกอบด้วย ไวรัส (Viruses) เวิร์ม (Worms
2. การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access)
การใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ ซึ่งส่วนมากจะเป็นการใช้คอมพิวเตอร์หรือข้อมูลในเครื่องคอมพิวเตอร์เพื่อทำกิจกรรมบางอย่างที่ผิดกฏระเบียบของกิจการหรือการกระทำที่ผิดกฏหมาย เช่น การเข้าหน้าเว็บไซต์อื่นขณะทำงาน ซึ่งอาจทำให้คอมพิวเตอร์ติดไวรัสได้
3. การขโมย (Theft)
การขโมยฮาร์ดแวร์และการทำลายฮาร์ดแวร์มักอยู่รูปของการตัดสายเชื่อมต่อระบบเครือข่ายคอมพิวเตอร์ เช่น ขโมย RAM, ขโมยจอ เป็นต้น โดยมักขโมยข้อมูลความลับส่วนบุคคล
4. ความล้มเหลวของระบบสารสนเทศ (System failure)
อาจมาจากเสียง (Noise) เช่น มีคลื่นเสียงรบกวน ทำให้ระบบเกิดความผิดพลาดได้ หรือแรงดันไฟฟ้าต่ำ (Undervoltages) เช่น ไฟตก หรือ แรงดันไฟฟ้าสูง (Overvoltages)
การรักษาความปลอดภัยของระบบสารสนเทศ
· การรักษาความปลอดภัยจากการโจมตีระบบเครือข่าย เช่น ติดตั้งโปรแกรมป้องกันไวรัสและปรับปรุง Virus signature หรือ Virus definition การติดตั้งไฟร์วอลล์ (Firewall) เป็นต้น
· การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต จะใช้วิธีการระบุตัวตน เช่น การพิสูจน์ตัวจริงโดยการเข้ารหัส การใช้บัตรผ่านที่เป็นบัตรประจำตัว หรือการตรวจสอบโดยกายภาพส่วนบุคคล เช่น ตรวจม่านตา ลายนิ้วมือ เป็นต้น
· การควบคุมการขโมย เช่น เทคโนโลยี RFID นำมาใช้ตรวจนับจำนวนสินค้า
· การรักษาความปลอดภัยอื่นๆ เช่น Secure sockets layer (SSL) โดยเว็บเพจที่ใช้ SSLจะขึ้นต้นด้วย https แทนที่จะเป็น http หรือ Secure HTTP (S-HTTP) เช่น ระบบธนาคารออนไลน์จะใช้ S-HTTP
· การควบคุมความล้มเหลวของระบบสารสนเทศ เช่น การป้องกันแรงดันไฟฟ้าใช้ Surge protector หรือ Surge suppressor เป็นต้น
· การสำรองข้อมูล (Data Backup) เพื่อเก็บข้อมูลไว้ต่างหากอีกที่หนึ่งแยกจากสำนักงานหรือที่ทำการหลัก
· การรักษาความปลอดภัยของแลนไร้สาย (Wireless LAN) ต้องรักษาข้อมูลสารสนเทศที่มีอยู่ภายในองค์กรโดยควบคุมการเชื่อมโยงเข้าสู่แลนไร้สายด้วย Service Set Identifier (SSID) หรือกลั่นกรองผู้ใช้งานด้วยการกรองหมายเลขการ์ดเน็ตเวิร์ก (MAC Addressing Filtering) เป็นต้น
จรรยาบรรณ
จรรยาบรรณทางคอมพิวเตอร์ คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ เช่น การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์) ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ เป็นต้น
หลักปฏิบัติ คือสิ่งที่เขียนเป็นลายลักษณ์อักษรเพื่อเป็นแนวทางในการตัดสินใจว่าการกระทำใดที่เกี่ยวข้องกับคอมพิวเตอร์เป็นสิ่งที่มีหรือไม่มีจรรยาบรรณ หลักปฏิบัติมีดังนี้เช่น ต้องไม่ใช้คอมพิวเตอร์ในการทำอันตรายบุคคลอื่น ต้องไม่เข้าไปยุ่งเกี่ยวกับแฟ้มข้อมูลของคนอื่น ต้องไม่รบกวนการทำงานทางคอมพิวเตอร์ของคนอื่น เป็นต้น
ความเป็นส่วนตัวของสารสนเทศ มีหลักปฏิบัติดังนี้ เช่น ให้เฉพาะข้อมูลที่จำเป็นเท่านั้นในการกรอกข้อมูลใบลงทะเบียน ใบรับประกัน และอื่นๆ ไม่พิมพ์เบอร์โทรศัพท์ เลขที่บัตรประชาชน บนเช็ค ล่วงหน้า (Preprint) ซื้อสินค้าด้วยเงินสด แทนที่จะเป็นบัตรเครดิต เป็นต้น
นายสัจจวัฒน์ จันทร์หอม
เลขทะเบียน นศ. 5302110043
ไม่มีความคิดเห็น:
แสดงความคิดเห็น