การรักษาความปลอดภัยระบบสารสนเทศและจรรยาบรรณเบื้องต้น: Security
ความเสี่ยงของระบบสารสนเทศ
หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลายฮาร์ดแวร์ (Hardware)ซอฟต์แวร์ (Software) ข้อมูลสารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ มักมีสาเหตุจากการทำงานในชีวิตประจำวันของบุคคลในองค์กรโดยไม่ตั้งใจ เช่น การ เปิดเว็บไซด์ต่างๆ หรือการเอาThumb Drive มาใช้กับคอมพิวเตอร์ ซึ่งอาจก่อให้เกิดความเสียหายอย่างใหญ่หลวงตามมาแก่องค์กร เนื่องจากระบบสารสนเทศถือเป็นแหล่งรวบรวมข้อมูลลูกค้าและการดำเนินงานไว้เป็นจำนวนมากทำให้ระบบสารสนเทศถือเป็นหัวใจสำคัญขององค์กรที่ควรให้ความสำคัญเรื่องความปลอดภยของข้อมูลเป็นอย่างยิ่ง
เราสามารถแบ่งประเภทบุคคลที่เกี่ยวข้องกับระบบสารสนเทศได้ดังต่อไปนี้
• แฮกเกอร์ (Hacker) คือบุคคลที่พยายามเข้าไปในระบบสารสนเทศ มีความเชี่ยวชาญในการเจาะฐานข้อมูล ถ้าทำเพื่อแสดงให้เจ้าของระบบทราบว่ายังมีช่องโหว่ของการรักษาความปลอดภัยของระบบอยู่และเรียกว่า แฮกเกอร์ที่มีจรรยาบรรณ
• แครกเกอร์ (Cracker) คือบุคคลที่ทำอันตรายต่อการรักษาความปลอดภัยของระบบสารสนเทศโดยมีวัตถุประสงค์ร้าย เจาะเพื่อโขมยฐานข้อมูลเป็นต้น
• ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies) คือบุคคลที่ต้องการทำอันตรายระบบรักษาความปลอดภัยแต่ยังไม่มีทักษะทางด้านคอมพิวเตอร์มากนักจึงใช้ซอฟท์แวร์ในการเป็นเครื่องมือเพื่อช่วยในการทำลาย เช่น สร้างไวรัส
• ผู้สอดแนม (Spies) คือบุคคลที่ถูกจ้างเพื่อเจาะระบบสารสนเทศและขโมยข้อมูล มักมีทักษะทางคอมพิวเตอร์สูง โดยมีเป้าหมายของระบบที่ต้องการเจาะอย่างชัดเจน บางครั้งอาจทำไปตามการว่าจ้างของบริษัทคู่แข่งเพื่อล้วงความลับข้อมูลทางการแข่งขันที่สำคัญ เช่น คนที่ดักดูข้อมูลต่างๆระหว่างการทำงานของบุคคลอื่นๆ
• เจ้าหน้าที่ขององค์กร (Employees) คือเจ้าหน้าที่ขององค์กรเองที่เจาะเข้าสู่ระบบข้อมูลเพื่อแสดงให้เห็นว่าระบบยังคงมีจุดอ่อนอยู่ เป็นประโยชน์เพื่อนำไปพัฒนาต่อไปแต่ปัจจุบันถือว่าเป็นภัยคุกคามที่เพิ่มมากยิ่งขึ้น โดยเฉพาะอย่างยิ่งเป็นการขายข้อมูลต่อนั่นเอง เช่น พนักงานองค์กรเองก็อาจนำไวรัสมาสู่คอมพิวเตอร์ได้ เช่น คนที่สร้างกระแสเพื่อให้เกิดเรื่องราวขนาดใหญ่ โดยใช้คอมพิวเตอร์และเครือข่ายอินเทอร์เน็ตเป็นตัวแพร่กระจาย
• ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyber terrorist) ใช้ความเชื่อของตนเองในการปรับเปลี่ยนข้อมูลสารสนเทศ หรือการทำให้ระบบสารสนเทศ ปฏิเสธการให้บริการกับผู้ใช้ที่มีสิทธิในการใช้ระบบอย่างถูกต้อง หรือเจาะเข้าไปในระบบเพื่อทำให้ข้อมูลเสียหายอย่างมาก ผู้ก่อการร้ายทางคอมพิวเตอร์เป็นนักเจาระบบที่น่ากลัวมากที่สุดในจำนวนนักเจาะระบบ มีทักษะทางคอมพิวเตอร์ที่สูงมาก นอกจากนี้ยังเป็นการยากที่จะทำนายว่าจะโจมตีจะเกิดเวลาไหนและที่ใด โจมตีในรูปแบบใหม่อย่างอย่างฉับพลันและรวดเร็ว
ประเภทของความเสี่ยงของระบบสารสนเทศ
1.การโจมตีระบบเครือข่าย
- โจมตีขั้นพื้นฐาน (Basic Attacks) เป็นการรื้อค้นทั่วไปในคอมพิวเตอร์ของคนอื่น เช่น กลลวงทางสังคม (social engineering) หรือ การรื้อค้นเอกสารทางคอมพิวเตอร์จากที่ทิ้งขยะ (Dumpster Diving)
- ด้านคุณลักษณะ (Identity Attacks) เป็นการโจมตีด้วยการปลอมแปลงเป็นบุคคลอื่นส่งข้อมูลเพื่อหลอกลวงผู้อื่น เช่น DNS Spoofing หรือ e-mail spoofing
- การปฏิเสธการให้บริการ (Denial of Service) เป็นการโจมตีด้วยการเข้าไปที่ Server จำนวนมากเกินปกติในช่วงเวลาหนึ่ง ทำให้ Server นั้นไม่สามารถทำงานได้ เช่น Distributed denial-of-service(DDoS), DoSHTTP (HTTP Flood Denial of Service)
- การโจมตีด้วยมัลแวร์ (Malware) โปรแกรมที่มุ่งโจมตีการปฏิบัติงานของคอมพิวเตอร์ ประกอบด้วย ไวรัส, เวิร์ม, โทรจันฮอร์ส และมุ่งโจมตีความเป็นส่วนตัวของสารสนเทศ ที่มีชื่อเรียกทั่วไปว่า Spyware(สปายแวร์)
ตัวอย่างเช่น การเข้า Web page เวลาพิมชื่อเวบผิด จะถูกลิ้งเข้าไปในเวบอื่นที่พยายามหลอกล่อให้เราใส่ username หรือ password ให้ซึ่งจะทำให้ถูกขโมยข้อมูลไป
1. E-mail Spoofing การเปิดเมลที่เป็น junk อาจทำให้มี spam ส่งเข้ามาในเมลได้
2. IP Spoofing การกดไฟล์แปลกๆจะทำให้ไวรัสเข้าเครื่องได้
Malware เป็นขโมยข้อมูลทั้งจาก Hardware และ Software มีวิธีป้องกันคืออย่าใช้password และ username ในที่สาธารณะ
2. การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access)
คือการใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ ซึ่งส่วนมากจะเป็นการใช้คอมพิวเตอร์หรือข้อมูลในเครื่องคอมพิวเตอร์เพื่อทำกิจกรรมบางอย่างที่ผิดกฏระเบียบของกิจการหรือการกระทำที่ผิดกฏหมาย ปัจจุบันจึงทำเป็นระบบการเข้าถึงผ่านพาสเวิร์ดที่จำกัดสิทธิตามชั้นหรือโครงสร้างอำนาจของพนักงานแต่ละคนที่มีอยู่ในองค์กร เช่น การใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ ซึ่งส่วนมากจะเป็นกิจกรรมที่ผิดกฎหมาย
3.การขโมย
- ขโมย Hardware ซึ่งส่วนมากจะเป็นการตัดสายเชื่อมต่อระบบเครือข่ายอินเทอร์เน็ต
- ขโมย Software เช่น การขโมยสื่อที่ใช้จัดเก็บ Software ลบโปรแกรมโดยตั้งใจ รวมไปถึงการทำสำเนาโปรแกรมอย่างผิดกฎหมาย
- ขโมยสารสนเทศ ส่วนมากจะเป็นข้อมูลความลับส่วนบุคคล
4.ความล้มเหลวของระบบสารสนเทศ
- เสียง (Noise) พวกคลื่นเสียงรบกวนต่างๆ โดยเฉพาะขณะที่ฝนตกทำให้คลื่นโดนแทรกแซง
- แรงดันไฟฟ้าต่ำ แรงดันไฟฟ้าสูง ทำให้ข้อมูลหาย
การรักษาความปลอดภัยของระบบสารสนเทศ
1.การรักษาความปลอดภัยการโจมตีระบบเครือข่าย
- ติดตั้งและ update ระบบโปรแกรมป้องกันไวรัส
- ติดตั้งFirewall
- ติดตั้งซอร์ฟแวร์ตรวจจับการบุกรุก โดยมีการตรวจสอบ IP address ของผู้ที่เข้าใช้งานระบบ
- ติดตั้ง honeypot มีการสร้างระบบไว้ข้างนอก เป็นตัวที่เอาไว้หลอกล่อพวกแฮกเกอร์ที่ต้องการเจาะเข้าระบบ
2. การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต
- การระบุตัวตน การพิสูจน์ตัวจริง เช่น มีการใส่รหัสผ่าน บอกข้อมูลที่ทราบเฉพาะบุคคลที่เป็นเจ้าของ ใช้บัตรผ่านที่มีลักษณะเป็นบัตรประจำตัว ลักษณะทางกายภาพ
3. การควบคุมการขโมย
- การควบคุมการเข้าถึงทางกายภาพ การรักษาความปลอดภัยของซอฟแวร์โดยเก็บรักษาแผ่นในสถานที่ที่มีการรักษาความปลอดภัย Real time location การใช้ลักษณะทางกายภาพในการเปิดปิดคอมพิวเตอร์ อาจใช้เทคโนโลยีที่สำคัญคือ RFID ในการตรวจนับสิ่งของ
4. การเข้ารหัส คือ การแปลงข้อมูลที่คนทั่วไปสามารถอ่านได้ให้อยู่ในรูปที่เฉพาะคนที่เกี่ยวข้องเท่านั้นจึงสามารถอ่านได้ ประเภทการเข้ารหัส คือ การเข้ารหัสแบบสมมาตร และการเข้ารหัสแบบไม่สมมาตร
5. การรักษาความปลอดภัยอื่นๆ เช่น SSL : Secure sockets layer, S-HTTP, VPN
6. ควบคุมการล้มเหลวของระบบสารสนเทศ เช่น Surge protector, UPS, Disaster Recovery, Business Continuity Planning, มีการใช้ UPS สำรองไฟหรือป้องกันแรงดันไฟฟ้า
7. การสำรองข้อมูล
8. การรักษาความปลอดภัยของ Wireless LAN
จรรยาบรรณ
: จรรยาบรรณทางคอมพิวเตอร์ คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต, การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์), ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ เป็นต้น, สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights) และลิขสิทธิ์ เป็นประเด็นที่ต้องให้ความสำคัญดังต่อไปนี้ บุคคลที่สามารถเข้าถึงได้ ส่วนประกอบและความสามารถในการปรับปรุงแก้ไข, หลักปฏิบัติ (Code of conduct) เพื่อเป็นแนวทางในการตัดสินใจว่าการกระทำใดที่เกี่ยวข้องกับคอมพิวเตอร์เป็นสิ่งที่มีหรือไม่มีจรรยาบรรณ, ความเป็นส่วนตัวของสารสนเทศ (Information privacy) ปัจจุบันให้ความสำคัญกับองค์ประกอบหนึ่งที่เกี่ยวข้องกับความเป็นส่วนตัวของผู้ใช้คือ Cookie ซึ่งเป็น Text fileขนาดเล็กที่เครื่อง Web server นำมาติดตั้งที่เครื่องคอมพิวเตอร์ (ฮาร์ดดิสก์) ของผู้เรียกเว็บไซด์นั้นๆ โดย Cookie จะมีข้อมูลเกี่ยวกับผู้ใช้ ประกอบด้วย ชื่อหรือเว็บไซด์ที่ชอบเข้า เมื่อผู้ใช้ติดต่อกับเว็บไซด์ โปรแกรมเบาวร์เซอร์จะจัดส่งข้อมูลใน Cookie ไปยังเว็บไซด์ได้ นอกจากนี้ปัจจุบันมีกฏหมายเกี่ยวกับความเป็นส่วนตัวของสารสนเทศ เช่นPrivacy Act และ Family Educational Rights and Privacy Act เป็นต้น
ไม่มีความคิดเห็น:
แสดงความคิดเห็น