Please enable JavaScript.
Coggle requires JavaScript to display documents.
5802510016 นายวงศธร เลิศนรพันธุ์ :tada: :tada: (บทที่ 2 ภัยคุกคาม…
5802510016
นายวงศธร เลิศนรพันธุ์
:tada: :tada:
บทที่ 1 ความมั่นคงปลอดภัยของระบบสารสนเทศ :<3:
ความมั่นคงปลอดภัยของระบบสาระสนเทศ คือ การป้องกันข้อมูล สารสนเทศ หรือ ข้อมูลอื่นๆที่เกี่ยวข้อง
องค์ประกอบของความมั่นคงปลอดภัยของข้อมูล
ความลับ (Confidentiality)
ความลับ เป็นการรับประกันว่าผู้ที่มีสิทธิ์และได้รับอนุญาตเท่านั้น ที่สามารถเข้าถึงข้อมูลได้
ความสมบูรณ์ (Integrity)
ความสมบูรณ์ คือ ความครบถ้วน ถูกต้อง และไม่มีสิ่งแปลกปลอม
ความพร้อมใช้ (Availability)หมายถึง สารสนเทศจะถูกเข้าถึงหรือเรียกใช้งานได้อย่างราบรื่น โดยผู้ใช้หรือระบบอื่นที่ได้รับอนุญาตเท่านั้น หากเป็นผู้ใช้หรือระบบที่ไม่ได้รับอนุญาต การเข้าถึงหรือเรียกใช้งานจะถูกขัดขวางและล้มเหลวในที่สุด
ความถูกต้องแม่นยำ (Accuracy)
ความถูกต้องแม่นยำ หมายถึงสารสนเทศจะต้องไม่มีความผิดพลาด และต้องมีค่าตรงกับความคาดหวังของผู้ใช้เสมอ
เป็นของแท้ (Authenticity)
สารสนเทศที่เป็นของแท้ คือ สารสนเทศที่ถูกจัดทำขึ้นจากแหล่งที่ถูกต้อง ไม่ถูกทำซ้ำโดยแหล่งอื่นที่ไม่ได้รับอนุญาตหรือแหล่งที่ไม่คุ้นเคยและไม่เคยทราบมาก่อน
ความเป็นส่วนตัว (Privacy)
ความเป็นส่วนตัว คือ สารสนเทศที่ถูกรวบรวม เรียกใช้ และจัดเก็บโดยองค์กร จะต้องถูกใช้ในวัตถุประสงค์ที่ผู้เป็นเจ้าของสารสนเทศรับทราบ ณ ขณะที่มีการรวบรวมสารสนเทศนั้น มิฉะนั้น จะถือว่าเป็นการละเมิดสิทธิส่วนบุคคลด้านสารสนเทศ
การระบุตัวตน (Identification)
ระบบสารสนเทศต้องสามารถระบุตัวตนของผู้ใช้แต่ละคนที่ใช้งานระบบได้ รูปแบบการระบุตัวตนที่นิยมใช้ คือ การใช้ Username
การพิสูจน์ทราบตัวตน (Authentication)
การพิสูจน์ทราบตัวตนเกิดขึ้นเมื่อระบบควบคุมพิสูจน์ว่าผู้ใช้ใช่คนที่ผู้ใช้บอกหรือไม่ เช่น ถ้าผู้ใช้ระบุ Username ต้องระบุรหัสผ่านที่คู่กับ Username นั้นได้
การอนุญาติใช้งาน (Authorization)
เป็นการตรวจสอบสิทธิ์ของผู้ใช้ว่ามีสิทธิ์ให้ใช้งานได้ในระดับไหน โดยสิทธิ์ประกอบด้วย การเข้าถึงหรืออ่าน การแก้ไข การลบข้อมูล เป็นต้น
การตรวจสอบได้ (Accountability)
อุปสรรคของความมั่นคงปลอดภัยของระบบสารสนเทศ
“ความมั่นคงปลอดภัย” คือ “ความไม่สะดวก”
มีความซับซ้อนบางอย่างในคอมพิวเตอร์ที่ผู้ใช้ทั่วไปไม่ทราบ
ผู้ใช้คอมพิวเตอร์ไม่ระแวดระวัง
การพัฒนาซอฟต์แวร์โดยคำนึงถึงความมั่นคงปลอดภัยภายหลัง
ความมั่นคงปลอดภัยไม่ได้เกิดขึ้นที่ซอฟต์แวร์และฮาร์ดแวร์เพียงอย่างเดียว
แนวโน้มเทคโนโลยีสารสนเทศคือการ “แบ่งปัน” ไม่ใช่ “การป้องกัน”
มีการเข้าถึงข้อมูลได้จากทุกสถานที่
มิจฉาชีพมักมีความเชี่ยวชาญ
ฝ่ายบริหารมักไม่ให้ความสำคัญแก่ความมั่นคงปลอดภัย
ทีมงานดำเนินโครงการความมั่นคงปลอดภัยของสารสนเทศ (Information Security Project) จำแนกให้รับผิดชอบงานหลายบทบาทดังนี้
ผู้สนับสนุน (Champion)
หัวหน้าทีม (Team Leader)
นักพัฒนานโยบายความมั่นคงปลอดภัย (Security Policy Developer)
ผู้ชำนาญการประเมินความเสี่ยง (Risk Assessment Specialist)
ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของสารสนเทศ (Security Professional)
ผู้ดูแลระบบ (System Administrator)
ผู้ใช้ระบบ (End User)
บทที่ 2
ภัยคุกคาม ช่องโหว่ และการโจมตี
:<3:
ภัยคุกคาม (Threat)
ความผิดพลาดที่เกิดจากบุคคล
ภัยร้ายต่อทรัพย์สินทางปัญญา
การคุ้มครองทรัพย์สินทางปัญญา ในทางกฏหมายแบ่งเป็น 4 ประเภท ได้แก่
ลิขสิทธิ์ (Copyrights)
ความลับทางการค้า (Trade Secrets)
เครื่องหมายทางการค้า (Trade Marks)
สิทธิบัตร (Patents)
การจารกรรมหรือการรุกล้ำ
การกรรโชกสารสนเทศ (Information Extortion)
การทำลายหรือทำให้เสียหาย (Sabotage or Vandalism)
การลักขโมย (Theft)
การลักขโมย (Theft)
ภัยธรรมชาติ (Forces of Nature)
คุณภาพของบริการที่เบี่ยงเบนไป (Deviations in Quality of Service)
ความผิดพลาดทางเทคนิคด้านฮาร์ดแวร์ (Technical Hardware Failures/Errors)
ความผิดพลาดทางเทคนิคด้านซอฟต์แวร์ (Technical Software Failures/Errors)
ความล้าสมัยของเทคโนโลยี (Technical Obsolescence)
ช่องโหว่ (Vulnerability)
การจัดการบัญชีรายชื่อผู้ใช้ไม่มีประสิทธิภาพ
Software Bugs
ระบบปฏิบัติการไม่ได้รับการซ่อมเสริมอย่างสม่ำเสมอ
ไม่มีการอัพเดตโปรแกรม Anti – virus อย่างสม่ำเสมอ
การปรับแต่งค่าคุณสมบัติของระบบผิดพลาด
การโจมตี (Attack)
คือ การกระทำบางอย่างที่อาศัยความได้เปรียบจากช่องโหว่ของระบบ
การโจมตีมีดังนี้
Malicious Code ที่มีความสามารถสูงที่สุด คือ Polymorphic หรือ Multi-vector และ เวิร์ม (Worm) โดยจะโจมตีในรูปแบบต่างๆ
Hoaxes คือ การปล่อยข่าวหลอกลวง เรื่องการแพร่ระบาดของไวรัสคอมพิวเตอร์ที่ไม่มีอยู่จริง และในอีเมล์ข่าวหลอกลวงยังได้แนบโปรแกรมไวรัสไปด้วย ทำให้ผู้รับเมล์ติดไวรัสคอมพิวเตอร์ทันทีที่เปิดอ่าน
Trap Door คือ เส้นทางลับที่จะช่วยให้ผู้โจมตีหรือผู้บุกรุกเข้าสู่ระบบได้โดยไม่ผ่านกระบวนการตรวจสอบของระบบ
Password Cracking จะเป็นการบุกรุกโดยใช้วิธีเจาะรหัสผ่าน เริ่มจากคัดลอกไฟล์ SAM (Security Account Manager) ซึ่งเป็นไฟล์ที่ใช้เก็บรหัสผ่านของผู้ใช้ในรูปแบบที่ถูกเข้ารหัส (Encrypt) จากนั้นผู้บุกรุกจะทำการถอดรหัส (Decrypt) ด้วยอัลกอริธึมถอดรหัสชนิดต่างๆ จนกว่าจะได้รหัสผ่านที่ถูกต้อง เพื่อเข้าใช้ระบบ
Brute Force Attack
เป็นการพยายามคาดเดารหัสผ่าน โดยนำคีย์ที่เป็นไปได้มาจัดหมู่ (Combination) โดยการคำนวณซ้ำหลายๆ รอบ เพื่อให้ได้กลุ่มรหัสผ่านที่ถูกต้อง จึงต้องพัฒนาโปรแกรม Brute Force มาช่วยในการคำนวณให้ทำได้เร็วขึ้น
Dictionary Attack
เป็นการพยายามคาดเดารหัสผ่านจากขอบเขตที่แคบลง โดยคาดเดาจากคำในพจนานุกรม เนื่องจากผู้ใช้งานบางส่วนมักกำหนดรหัสผ่านจากคำง่ายๆ ที่มีไม่กี่พยางค์เหมือนคำในพจนานุกรม ทำให้วิธีนี้สามารถเจาะรหัสผ่านได้เร็วขึ้น
Denaial-of-Service (DoS)
คือ การปฏิเสธการให้บริการของระบบ เป็นการโจมตีโดยใช้วิธีส่งข้อมูลจำนวนมากไปยังเป้าหมาย ทำให้แบนวิดธ์เต็มจนไม่สามารถให้บริการต่อไปได้
Denaial-of-Service มีลักษณะการโจมตีมี 3 รูปแบบ
. การโจมตีโดยการส่ง Message หรือ Packet จำนวนมากไปยังเป้าหมาย
การโจมตีโดยการส่ง Message หรือ Packet เดียว
การโจมตีที่เรียกว่า Distributed Denaial-of-Service (DDoS)โดยใช้เครื่องคอมพิวเตอร์มากกว่าหนึ่งเครื่องโจมตีพร้อมกัน
Spoofing
คือ เทคนิคที่ทำให้เข้าถึงระบบเป้าหมายที่ไม่ได้รับอนุญาตได้โดยใช้ IP Address ของ Server/Host ที่เชื่อถือได้เป็นตัวหลอกล่อ
Man-in-the-Middle เป็นการโจมตีที่ผู้โจมตีจะใช้วิธีคอยติดตาม Packet จากเครือข่าย และดักจับ Packet นั้นมาดัดแปลงเป็นของตนเอง แล้วส่งกลับไปยังเครือข่าย เมื่อฝั่งรับได้รับ Packet แล้วตอบกลับโดยส่งข้อมูลกลับไป จะทำให้ผู้โจมตีได้รับข้อมูลนั้นด้วย
Spam
เป็นการใช้อีเมล์เพื่อการโฆษณาหรือประชาสัมพันธ์สินค้าและบริการต่างๆ จัดเป็นการกระทำที่สร้างความรำคาญมากกว่าการสร้างความเสียหายหรือโจมตีเพื่อหวังผลทำลาย
มัลแวร์ (Malware)
คือ ซอฟต์แวร์หรือโปรแกรมที่มุ่งร้ายต่อเป้าหมาย ถูกออกแบบมาให้ทำหน้าที่สร้างความเสียหายทำลาย หรือระงับการให้บริการของระบบเป้าหมาย มัลแวร์ เรียกได้อีกอย่างหนึ่งว่า “Malicious Software” หรือ “Malicious Code”
ประตูลับ (Back Door)
ไวรัส (Virus)
ชนิดของไวรัสคอมพิวเตอร์
Memory Resident Virus
Program File Virus
Polymorphic Virus
Boot Sector Virus
Stealth Virus
E-mail Virus
เวิร์ม (Worm)
ซอมบี้ (Zombie)
สปายแวร์ (Spyware)
ข่าวไวรัสหลอกลวง (Virus and Worm Hoaxes)
บทที่ 3
ระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ
:<3:
นโยบายความมั่นคงปลอดภัยของสารสนเทศ
ในการกำหนดนโยบายต้องสอดคล้องและสนับสนุน
ภารกิจ (Mission)
วิสัยทัศน์ (Vision)
แผนกลยุทธ์ (Strategic Plan) ขององค์กร
นโยบายความมั่นคงปลอดภัยของสารสนเทศ (Information Security Policy) คือ กฎข้อบังคับที่ใช้ในการป้องกันสารสนเทศขององค์กร
ข้อแนะนำในการกำหนดนโยบายความมั่นคงปลอดภัยของสารสนเทศ
ไม่ขัดต่อกฎหมาย
สามารถใช้ในชั้นศาลได้หากจำเป็น
ต้องได้รับการสนับสนุนและการบริหารจัดการที่ดี
ต้องมีส่วนช่วยให้องค์กรประสบความสำเร็จ
ฝ่ายบริหารจะต้องมั่นใจว่ามีการกำหนดข้อปฏิบัติแก่บุคลากรในการใช้งานระบบสารสนเทศได้อย่างเหมาะสม
ควรให้ผู้ใช้ระบบสารสนเทศมีส่วนร่วมในขั้นตอนกำหนดนโยบาย
นโยบายความมั่นคงปลอดภัยของสารสนเทศ จะต้องตอบสนองความต้องการขององค์กรได้อย่างแท้จริง
การบริหารความเสี่ยง (Risk Management)
:forbidden:
ความเสี่ยง (Risk) เป็นพื้นฐานที่ทำให้ต้องมีการรักษาความปลอดภัย (Security) ความเสี่ยงคือ คือ ความเป็นไปได้ที่อาจก่อให้เกิดผลเสียหายต่อข้อมูลสำคัญและระบบ รวมถึงอุปกรณ์ที่สนับสนุนการทำงานให้กับข้อมูลสำคัญนั้น
อาชญากรรมทางคอมพิวเตอร์ :forbidden:
อาชญากรรมทางคอมพิวเตอร์ (Computer Crime) มี 2 ประเภทคือ
การโจมตีระบบคอมพิวเตอร์ของบุคคลอื่น
การใช้คอมพิวเตอร์เพื่อการก่ออาชญากรรม
จริยธรรมกับความมั่นคงปลอดภัยของสารสนเทศ
:forbidden:
บทบัญญัติ 10 ประการในการใช้คอมพิวเตอร์
ท่านต้องไม่ใช้คอมพิวเตอร์ทำอันตรายต่อผู้อื่น
ท่านต้องไม่แทรกแซงหรือรบกวนงานคอมพิวเตอร์ของบุคคลอื่น
ท่านต้องไม่สอดแนมไฟล์คอมพิวเตอร์ของบุคคลอื่น
ท่านต้องไม่ใช้คอมพิวเตอร์ในการลักขโมย
ท่านต้องไม่ใช้คอมพิวเตอร์เป็นพยานเท็จ
ท่านต้องไม่คัดลอกหรือใช้ซอฟต์แวร์ที่มีลิขสิทธิ์โดยไม่จ่ายค่าลิขสิทธิ์
ท่านต้องไม่ใช้ทรัพยากรคอมพิวเตอร์ของคนอื่นโดยไม่ได้รับอนุญาตหรือไม่ได้จ่ายค่าตอบแทนอย่างเหมาะสม
ท่านต้องไม่ละเมิลสิทธิในทรัพย์สินทางปัญญาของผู้อื่น
ท่านต้องตระหนักถึงผลที่ตามมาต่อสังคมที่เกิดจากโปรแกรมที่ท่านกำลังเขียนหรือออกแบบอยู่เสมอ
ท่านต้องใช้คอมพิวเตอร์ในทางที่พิจารณาดีแล้วว่าเหมาะสมและเคารพต่อเพื่อนมนุษย์ด้วยกันเสมอ
