การรักษาความปลอดภัยระบบสารสนเทศและจรรยาบรรณเบื้องต้น
ความหมายของความเสี่ยงของระบบสารสนเทศ
- ความเสี่ยงของระบบสารสนเทศ (Information system risk) หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลายฮาร์ดแวร์ (Hardware) เช่น คอมพิวเตอร์, Printer / ซอฟต์แวร์ (Software) ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ
- ความเสี่ยงของระบบสารสนเทศ ก็เช่น การขโมยซึ่งจะต้องมีการป้องกันเช่นล็อคกุญแจ, การขโมยข้อมูลที่อาจมีความสำคัญ, การปล่อยไวรัสเข้ามาทำลายระบบ
- พวก GenY มักจะเป็นตัวสร้างปัญหาใหกับระบบสารสนเทศ เพราะ รู้มาก พลิกแพลง ใจร้อน
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
- แฮกเกอร์ (Hacker) เป็นพวกที่เจาะระบบ (Hack) ระบบ แต่ไม่เป็นไปในทางทำลายระบบ อาจทำไปเพราะอยากลองวิชา อยากรู้ (เทพ)
- แครกเกอร์ (Cracker) เป็นพวกที่เจาะระบบ เช่นกัน แต่เป็นไปในทางทำลายระบบ ปล่อยไวรัส เปลี่ยนหน้าเวป (มาร)
- ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies)
- ผู้สอดแนม (Spies) สอดแนม ดักข้อมูลขององค์กร
- เจ้าหน้าที่ขององค์กร (Employees)
- ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyberterrorist)
ประเภทของความเสี่ยงของระบบสารสนเทศ
- การโจมตีระบบเครือข่าย (Network attack)
- การโจมตีขั้นพื้นฐาน (Basic Attacks) เช่น กลลวงทางสังคม (Social engineering) และการรื้อค้นเอกสารทางคอมพิวเตอร์จากที่ทิ้งขยะ (Dumpster Diving )
- การโจมตีด้านคุณลักษณะ (Identity Attacks) เช่น DNS Spoofing และ e-mail spoofing เป็นการปลอมแปลงว่าตัวเองเป็นอีกคนหนึ่ง เช่น ปลอมเป็นเพื่อนร่วมงาน ส่งเมลล์ไปด่าว่าหัวหน้างาน (มีการ share Password กัน) หรือ พวก spam, การเข้า Web page ที่ถูก spoof เป็นการหลอกล่อให้ผู้ใช้ให้ข้อมูล โจรกรรมข้อมูล เป็นต้น, IP Spoofing เป็นการทำที่อยู่เวปไซต์ปลอมขึ้นมา คือ เราต้องการที่จะเข้าเวปไซต์หนึ่ง แต่ดันไปโผล่อีกเวปไซต์นึง (ปลอม)
- การปฏิเสธการให้บริการ (Denial of Service หรือ DoS) เป็นการส่งสัญญาณแบบถี่ๆในช่วงเวลาหนึ่งๆเข้าเวปไซต์ ทำให้ระบบล่ม ไม่สามารถใช้งานได้ (เช่น การเข้าหน้าเวปไซต์หนึ่งๆ พร้อมๆกันหลายๆคน) เช่น Distributed denial-of-service (DDoS) เป็นการที่เรารับไวรัสมา โดยมันจะทำให้เราส่ง Request ไปยังเวปไซต์หนึ่งๆในช่วงเวลาหนึ่งๆ เพื่อทำให้เวปไซต์ที่ถูกเข้านั่นล่ม เนื่องจากมีคนใช้ (ปลอมๆ) เยอะ, DoSHTTP (HTTP Flood Denial of Service) เป็นการทำให้ระบบล่มเช่นกัน อาจทำไปเพราะความอยากลองวิชา, หรือเป็นการทำลายชื่อเสียง ความน่าเชื่อถือของเวปไซค์คู่แข่ง
- การโจมตีด้วยมัลแวร์ (Malware)
- โปรแกรมมุ่งร้ายที่โจมตีการปฏิบัติงานของคอมพิวเตอร์ (Computer’s operations) ประกอบด้วย ไวรัส (Viruses) เวิร์ม (Worms) โทรจันฮอร์ส (Trojan horse) เป็นการส่ง software มา พอเราเปิดมันก็จะโจมตีระบบ และลอจิกบอมบ์ (Logic bombs)
- และโปรแกรมมุ่งร้ายที่โจมตีความเป็นส่วนตัวของสารสนเทศ (Information privacy) ที่มีชื่อเรียกทั่วไปว่า สปายแวร์ (Spyware) ประกอบด้วย แอดแวร์ (Adware) พิชชิง (Phishing) การเข้าลิงค์ของเว็บเพจหนึ่งแต่ไปอีกเว็บเพจ คีลอกเกอะ (Keyloggers) เป็นการขโมยความเป็นส่วนตัว ในส่วนของการขโมย login พวก username/password มีทั้งในส่วนของ hardware/software การเปลี่ยนการปรับแต่งระบบ (Configuration Changers) การต่อหมายเลข (Dialers) และ แบ็คดอร์ (Backdoors)
- การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access) หมายถึงการใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ ซึ่งส่วนมากจะเป็นการใช้คอมพิวเตอร์หรือข้อมูลในเครื่องคอมพิวเตอร์เพื่อทำกิจกรรมบางอย่างที่ผิดกฏระเบียบของกิจการหรือการกระทำที่ผิดกฏหมาย เช่น การเข้าหน้าเวปไซต์อื่นขณะทำงาน ซึ่งอาจทำให้เกิดการติดไวรัสได้ โดยมันอาจจะเป็น Honest Mistake ก็ได้คือไม่ได้ตั้งใจ, การเอา Flash-drive มาเสียบโดยไม่ได้รับอนุญาต, การเข้าระบบโอนเงินของธนาคารโดยไม่ได้รับอนุญาต พวก Online-banking มีการขโมยเงินออกจากบัญชีโดยอาจเป็นการเจาะข้อมูลส่วนตัวจากบริษัทบัตรเครดิต/การขโมย username, password
- การขโมย (Theft)
- การขโมยฮาร์ดแวร์และการทำลายฮาร์ดแวร์มักอยู่รูปของการตัดสายเชื่อมต่อระบบเครือข่ายคอมพิวเตอร์ เช่น ขโมย RAM, ขโมยจอ
- ขโมยซอฟต์แวร์อาจอยู่ในรูปของการขโมยสื่อจัดเก็บซอฟต์แวร์ การลบโปรแกรมโดยตั้งใจ และการทำสำเนาโปรแกรมอย่างผิดกฏหมาย เช่น การนำซอฟต์แวร์ของบริษัทมาใช้โดยไม่ได้รับอนุญาต ทำให้ซอฟต์แวร์ที่บริษัทซื้อไป อาจถูกฟ้องร้องได้ เพราะถือเป็นการใช้งานซอฟต์แวร์เกินพื้นที่ที่กำหนด (เฉพาะภายในบริษัทเท่านั้น)
- การขโมยสารสนเทศ มักอยู่ในรูปของการขโมยข้อมูลที่เป็นความลับส่วนบุคคล
- ความล้มเหลวของระบบสารสนเทศ (System failure)
- เสียง (Noise) เช่น มีคลื่นเสียงรบกวน ฝนตก เมฆมาก ความชื้น ทำให้ระบบเกิดความผิดพลาดได้
- แรงดันไฟฟ้าต่ำ (Undervoltages) เช่น ไฟตก ทำให้งานที่ทำไว้หายไป (ไม่ได้ save)
- แรงดันไฟฟ้าสูง (overvoltages)
การรักษาความปลอดภัยของระบบสารสนเทศ
- การรักษาความปลอดภัยการโจมตีระบบเครือข่าย
- ติดตั้งโปรแกรมป้องกันไวรัสและปรับปรุง Virus signature หรือ Virus definition ต้องมีการ update โปรแกรมไวรัสอยู่ตลอดเวลาด้วย
- ติดตั้งไฟร์วอลล์ (Firewall) เป็น software/hardware ที่ช่วยป้องกันไม่ให้สิ่งไม่ดีเข้าสู่ระบบได้
- ติดตั้งซอฟต์แวร์ตรวจจับการบุกรุก (Intrusion detection software) เป็นการติดตั้งระบบเพื่อดูว่าคนที่เข้างานมาใช้งานระบบนั้นเป็นคนในองค์กรหรือคนที่มีสิทธิใช้งานได้หรือไม่ โดยอาจมีการตั้ง log in ให้ username/password
- ติดตั้ง Honeypot ตั้งระบบปลอมขึ้นมา ให้ผู้ใช้ที่ไม่พึงประสงค์ที่จะเจาะระบบ เข้ามาใช้ฐานข้อมูลนี้แทน เพื่อไม่ก่อให้เกิดความเสียหายแก่ระบบจริง
- Demilitarized Zone (DMZ)
- การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต
- การระบุตัวตน (Identification)
- การพิสูจน์ตัวจริง (Authentication) เช่น รหัสผ่าน (Password)
- ข้อมูลที่ทราบเฉพาะบุคคลที่เป็นเจ้าของ (What you know)
- ใช้บัตรผ่านที่มีลักษณะเป็นบัตรประจำตัว (What you have) เช่น บัตร ATM เป็นต้น
- ลักษณะทางกายภาพของบุคคล (What you are) เช่น ม่านตา, ลายนิ้วมือ เป็นต้น
- การควบคุมการขโมย
- ควบคุมการเข้าถึงทางกายภาพ (Physical access control) เช่น การปิดห้องและหน้าต่าง, สร้างห้องให้มันแข็งแรง น้ำท่วม/ไฟไหม้ก็จะได้ไม่มีปัญหา เป็นต้น
- กิจการบางแห่งนำระบบ Real time location system (RTLS) มาใช้เพื่อระบุสถานที่ที่มีความเสี่ยงสูงโดยนำ RFID tags ติดที่อุปกรณ์คอมพิวเตอร์เพื่อใช้ในการติดตามอุปกรณ์นั้นๆ มักจะเป็นองค์กรใหญ่ๆ ที่ใช้
- ปัจจุบันมีการออกแบบเครื่องคอมพิวเตอร์ให้สามารถควบคุมการเปิดเครื่องและการเข้าใช้งานเครื่องด้วยการใช้ลักษณะทางกายภาพของบุคคล เช่น ลายนิ้วมือ,ม่านตา เป็นต้น
- การรักษาความปลอดภัยของซอฟต์แวร์ทำโดยเก็บรักษาแผ่นซอฟต์แวร์ในสถานที่มีการรักษาความปลอดภัย เช่น ไม่ให้พนักงานยืมซอฟต์แวร์ไปใช้ส่วนตัว
- ในกรณีที่มีโปรแกรมเมอร์ลาออกหรือถูกให้ออก ต้องควบคุมและติดตามโปรแกรมเมอร์ทันที (Escort) เพราะ ถ้าปล่อยให้อยู่จะทำให้เกิดการโจรกรรมหรือสร้างความเสียหายต่อข้อมูลได้
- การเข้ารหัส คือกระบวนการในการแปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถอ่านได้ (Plaintext) ให้อยู่ในรูปที่เฉพาะผู้ที่เกี่ยวข้องเท่านั้นสามารถอ่านข้อมูลได้ (Ciphertext) องค์ประกอบของการเข้ารหัส Plaintext, Algorithm, Secure key
วิธีการเข้ารหัสแบบสลับตำแหน่ง เพื่อทำให้ผู้ที่จะมาเจาะระบบไม่สามารถอ่านข้อมูลของเราได้ หรืออ่านได้ยากยิ่งขึ้น เช่น
ประเภทของการเข้ารหัส
- การเข้ารหัสแบบสมมาตร เป็นการใช้คีย์ลับเดียวกัน เพื่อทำให้ Plaintext ที่ผู้ส่งส่งเปลี่ยนเป็นรูปแบบอื่นแล้วส่งไปยังผู้รับ จากนั้นผู้รับก็จะใช้คีย์ลับเดียวกันในการแปลข้อมูลมาเป็นข้อมูลจริงๆที่ผู้ส่งต้องการจะส่ง
- การเข้ารหัสแบบไม่สมมาตร มีการใช้คีย์สาธารณะที่เป็นของส่วนร่วม และจะถูกแปลข้อมูลโดยคีย์ลับที่เป็นของผู้ใช้
- การรักษาความปลอดภัยอื่นๆ
- Secure sockets layer (SSL) โดยเว็บเพจที่ใช้ SSL จะขึ้นต้นด้วย https แทนที่จะเป็น http ซึ่งถ้าใช้ https จะเป็นการเข้าอยู่ในระบบอินทราเนตขององค์กร แทนที่จะเป็นการใช้งานผ่านเครือข่าอินเตอร์เนต ซึ่งจะทำให้มีความปลอดภัยที่มากกว่า
- Secure HTTP (S-HTTP) เช่น ระบบธนาคารออนไลน์จะใช้ S-HTTP
- Virtual private network (VPN) เป็นซอฟแวร์ที่ช่วยในการเข้าระบบอินทราเนตในองค์กร ป้องกันบุคคลภายนอกเข้ามาในระบบขณะที่ใช้งาน
- การควบคุมความล้มเหลวของระบบสารสนเทศ
- การป้องกันแรงดันไฟฟ้าใช้ Surge protector หรือ Surge suppressor เป็นการป้องกันระบบล่มจากการที่ไฟตก ไฟดับ
- ไฟฟ้าดับใช้ Uninterruptible power supply (UPS) เป็นหม้อแปลงที่ไว้ใช้ป้องกันไฟดับ
- กรณีระบบสารสนเทศถูกทำลายจนไม่สามารถให้บริการได้ การควบคุมทำโดยการจัดทำแผนการทำให้กลับคืนสู่สภาพเดิมจากภัยพิบัติ (Disaster Recovery – DR) หรือ Business continuity planning (BCP) เช่น ไฟไฟม้ตึก
- การสำรองข้อมูล (Data Backup) สิ่งที่ต้องตัดสินใจเกี่ยวกับการสำรองข้อมูลประกอบด้วย
1. เลือกสื่อบันทึก (Media) ที่จะทำการสำรองข้อมูล เช่น CD DVD หรือ Portable Harddisk เป็นต้น
2. ระยะเวลาที่ต้องสำรองข้อมูล
3. ความถี่ในการสำรองข้อมูล ขึ้นอยู่กับระยะเวลาสูงสุดที่ระบบจะไม่สามารถให้บริการได้โดยไม่ส่งผลต่อการดำเนินงานปกติขององค์กร
4. สถานที่จัดเก็บสื่อบันทึกที่สำรองข้อมูล ซึ่งสามารถจัดเก็บ On Site หรือ Offsite ซึ่งแต่ละประเภทมีข้อดีและข้อเสียแตกต่างกันออกไป
- การรักษาความปลอดภัยของแลนไร้สาย (Wireless LAN)
- ควบคุมการเชื่อมโยงเข้าสู่แลนไร้สายด้วย Service Set Identifier (SSID)
- กลั่นกรองผู้ใช้งานด้วยการกรองหมายเลขการ์ดเน็ตเวิร์ก (MAC Addressing Filtering)
- การเข้ารหัสและถอดรหัสด้วยวิธีการ Wired Equivalency Privacy (WEP)
- จำกัดขอบเขตพื้นที่ให้บริการด้วยการควบคุมกำลังส่งของแอ็กเซสพอยน์
- การพิสูจน์สิทธิเข้าใช้งานแลนไร้สายด้วย Radius Server (ไม่กล่าวในรายละเอียด)
- การสร้าง Virtual Private Network (VPN) บนแลนไร้สาย (ไม่กล่าวในรายละเอียด)
จรรยาบรรณ
- จรรยาบรรณทางคอมพิวเตอร์ คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย
- การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
- การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์)
- ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ เป็นต้น
- สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights) เช่น ไปเอาข้อมูล/รูปภาพของคนอื่นมาใช้ในงานของตน
- หลักปฏิบัติ (Code of conduct)
- ความเป็นส่วนตัวของสารสนเทศ (Information privacy)
- คำถามอย่างกว้างขวางเกี่ยวกับลิขสิทธิ์ดังนี้
- บุคคลสามารถ Download ส่วนประกอบของเว็บไซด์ ต่อจากนั้นปรับปรุง แล้วนำไปแสดงบนเว็บในนามของตนเองได้หรือไม่
- เจ้าหน้าที่ของมหาวิทยาลัยสามารถพิมพ์เอกสารบนเว็บและกระจายให้นักศึกษาเพื่อใช้สำหรับการเรียนการสอนได้หรือไม่
- บุคคลสามารถสแกนรูปภาพหรือหนังสือ ต่อจากนั้นนำไปลงในเว็บซึ่งอนุญาตให้คน Download ได้หรือไม่
- บุคคลสามารถสามารถนำเพลงใส่ในเว็บได้หรือไม่
- นักศึกษาสามารถนำข้อสอบหรือโครงการต่างๆ ที่อาจารย์กำหนดในชั้นเรียนเข้าไปใส่ในเว็บเพื่อให้นักศึกษาคนอื่นๆ ลอกโครงการนั้นแล้วส่งอาจารย์ว่าเป็นงานของตนได้หรือไม่
- หลักปฏิบัติ คือสิ่งที่เขียนเป็นลายลักษณ์อักษรเพื่อเป็นแนวทางในการตัดสินใจว่าการกระทำใดที่เกี่ยวข้องกับคอมพิวเตอร์เป็นสิ่งที่มีหรือไม่มีจรรยาบรรณ หลักปฏิบัติมีดังนี้
- ต้องไม่ใช้คอมพิวเตอร์ในการทำอันตรายบุคคลอื่น
- ต้องไม่รบกวนการทำงานทางคอมพิวเตอร์ของคนอื่น
- ต้องไม่เข้าไปยุ่งเกี่ยวกับแฟ้มข้อมูลของคนอื่น
- ต้องไม่ใช้คอมพิวเตอร์ในการขโมย
- ต้องไม่ใช้คอมพิวเตอร์เพื่อให้หลักฐานที่เป็นเท็จ
- ต้องไม่สำเนาหรือใช้ซอฟต์แวร์ที่ละเมิดลิขสิทธิ์
- ต้องไม่ใช้ทรัพยากรทางคอมพิวเตอร์ของผู้อื่นโดยไม่ได้รับอนุญาต
- ต้องไม่ใช้ทรัพสินทางปัญญาของผู้อื่นเหมือนเป็นของตน
- ต้องคำนึงถึงผลกระทบทางสังคมของโปรแกรมที่ออกแบบ
- ต้องใช้คอมพิวเตอร์ในทางที่แสดงให้เห็นถึงความเคารพในมนุษย์แต่ละคน
- ความเป็นส่วนตัวของสารสนเทศ มีหลักปฏิบัติดังนี้
- ให้เฉพาะข้อมูลที่จำเป็นเท่านั้นในการกรอกข้อมูลใบลงทะเบียน ใบรับประกัน และอื่นๆ
- ไม่พิมพ์เบอร์โทรศัพท์ เลขที่บัตรประชาชน บนเช็ค ล่วงหน้า (Preprint)
- แจ้งองค์การโทรศัพท์ไม่ให้พิมพ์หมายเลขโทรศัพท์ของท่านลงใบสมุดโทรศัพท์
- ถ้าหมายเลขโทรศัพท์ของท่านอยู่ในพื้นที่ๆ สามารถแสดงหมายเลขโทรศัพท์ที่เครื่องของผู้รับได้ ให้ท่านระงับการแสดงหมายเลขโทรศัพท์ที่เครื่องของผู้รับด้วย
- ไม่ควรเขียนหมายเลขโทรศัพท์ของท่านบนในบิลของบัตรเครดิต
- ซื้อสินค้าด้วยเงินสด แทนที่จะเป็นบัตรเครดิต
- ถ้าร้านค้าสอบถามข้อมูลส่วนตัวของท่าน ให้หาเหตุผลว่าทำไมจึงถามคำถามนั้นก่อนที่จะตัดสินใจว่าจะให้หรือไม่ให้ข้อมูล
- กรอกข้อมูลส่วนตัวของท่านบนเว็บเฉพาะส่วนที่ต้องกรอกเท่านั้น
- ติดตั้งตัวจัดการ Cookie เพื่อกลั่นกรอง Cookie
- ลบ History file ภายหลังจากเลิกใช้โปรแกรมเบาวร์เซอร์
- ยกเลิกการเปิดบริการแบ่งปันข้อมูล (File sharing) หรือเครื่องพิมพ์ก่อนการเชื่อมต่ออินเทอร์เน็ต
- ติดตั้งไฟร์วอลล์ส่วนบุคคล
- ติดตั้งโปรแกรม Anti-spam
- ไม่ตอบ e-mail ที่เป็น spam ไม่ว่าจะด้วยเหตุผลใดก็ตาม
- Cookie คือ Text file ขนาดเล็กที่เครื่อง Web server นำมาติดตั้งที่เครื่องคอมพิวเตอร์ (ฮาร์ดดิสก์) ของผู้เรียกเว็บไซด์นั้นๆ โดย Cookie จะมีข้อมูลเกี่ยวกับผู้ใช้ ประกอบด้วย ชื่อหรือเว็บไซด์ที่ชอบเข้า เมื่อผู้ใช้ติดต่อกับเว็บไซด์ โปรแกรมเบาวร์เซอร์จะจัดส่งข้อมูลใน Cookie ไปยังเว็บไซด์
- กฏหมายเกี่ยวกับความเป็นส่วนตัวของสารสนเทศ เช่น Privacy Act และ Family Educational Rights and Privacy Act เป็นต้น โดยกฏหมายนี้ส่วนใหญ่จะกล่าวถึง
- จำนวนของสารสนเทศที่จัดเก็บจะต้องจัดเก็บเท่าที่จำเป็นเพื่อการดำเนินงานของธุรกิจหรือรัฐบาลเท่านั้น
- จำกัดการเข้าถึงข้อมูลที่รวบรวมนั้น โดยให้พนักงานที่เกี่ยวข้องและจำเป็นต้องใช้ข้อมูลเพื่อการปฏิบัติงานสามารถใช้ข้อมูลนั้นได้เท่านั้น
- แจ้งให้ผู้ที่ถูกจัดเก็บข้อมูลทราบว่ากำลังจัดเก็บข้อมูลอยู่ เพื่อให้บุคคลนั้นมีโอกาสในการพิจารณาความถูกต้องของข้อมูล
สุวารี เลิศลักษณะโสภณ เลขทะเบียน 5302110019
ไม่มีความคิดเห็น:
แสดงความคิดเห็น