Please enable JavaScript.
Coggle requires JavaScript to display documents.
นางสาว ขวัญชนก มีอินทร์ 5802510039 (บทที่ 2 ภัยคุกคาม ช่องโหว่…
นางสาว ขวัญชนก มีอินทร์ 5802510039
บทที่ 2
ภัยคุกคาม ช่องโหว่ และการโจมตี
ช่องโหว่ (Vulnerability)
หมายถึง ความอ่อนแอของระบบคอมพิวเตอร์หรือระบบเครือข่ายที่เปิดโอกาสให้สิ่งที่เป็นภัยคุกคามสามารถเข้าถึงสารสนเทศในระบบได้ ซึ่งนำไปสู่ความเสียหายแก่สารสนเทศหรือแม้แต่การทำงานของระบบ
การโจมตี (Attack)
คือ การกระทำบางอย่างที่อาศัยความได้เปรียบจากช่องโหว่ของระบบ
เพื่อเข้าควบคุมการทำงานของระบบ
เพื่อทำให้ระบบเกิดความเสียหาย
เพื่อโจรกรรมสารสนเทศ
ภัยคุกคาม (Threat)
คือ วัตถุ สิ่งของ ตัวบุคคล หรือสิ่งอื่นใดที่เป็นตัวแทนของการกระทำอันตรายต่อทรัพย์สิน
การกรรโชกสารสนเทศ (Information Extortion)
การทำลายหรือทำให้เสียหาย (Sabotage or Vandalism)
การจารกรรมหรือการรุกล้ำ
การลักขโมย (Theft)
ภัยร้ายต่อทรัพย์สินทางปัญญา
ซอฟต์แวร์โจมตี (Software Attack)
ความผิดพลาดที่เกิดจากบุคคล
ภัยธรรมชาติ (Forces of Nature)
คุณภาพของบริการที่เบี่ยงเบนไป
ความผิดพลาดทางเทคนิคด้านฮาร์ดแวร์
ความผิดพลาดทางเทคนิคด้านซอฟต์แวร์
ความล้าสมัยของเทคโนโลยี
มัลแวร์ (Malware)
คือ ซอฟต์แวร์หรือโปรแกรมที่มุ่งร้ายต่อเป้าหมาย ถูกออกแบบมาให้ทำหน้าที่สร้างความเสียหายทำลาย หรือระงับการให้บริการของระบบเป้าหมาย มัลแวร์ เรียกได้อีกอย่างหนึ่งว่า “Malicious Software” หรือ “Malicious Code”
บทที่ 3
ระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ
การบริหารความเสี่ยง
การรักษาความปลอดภัยนั้นจะเกี่ยวข้องกับการบริหารความเสี่ยงอย่างใกล้ชิด ถ้าไม่เข้าใจเกี่ยวกับความเสี่ยงขององค์กรแล้ว การใช้ทรัพยากรขององค์กรเพื่อการรักษาความปลอดภัยนั้นอาจมากเกินความจำเป็นหรือน้อยกว่าที่ควรจะเป็นก็ได้ ระดับของความเสี่ยงจะพิจารณาจาก 2 ปัจจัย
ความน่าจะเป็น
ความรุนแรง
องค์ประกอบของความเสี่ยง
ภัยคุกคาม (Threat)
ช่องโหว่ (Vulnerability)
อาชญากรรมทางคอมพิวเตอร์
อาชญากรรมทางคอมพิวเตอร์ (Computer Crime) มี 2 ประเภทคือ
การใช้คอมพิวเตอร์เพื่อการก่ออาชญากรรม
การโจมตีระบบคอมพิวเตอร์ของบุคคลอื่น
นโยบายความมั่นคงปลอดภัยของสารสนเทศ
นโยบาย (Policy) คือ แผนงานหรือกลุ่มของข้อปฏิบัติที่องค์กรใช้เป็นตัวกลางในการถ่ายทอดคำสั่งจากผู้บริหารระดับสูงไปยังบุคลากรในระดับตัดสินใจ ระดับปฏิบัติการ และระดับอื่นๆ
จริยธรรมกับความมั่นคงปลอดภัยของสารสนเทศ
“กฏหมาย” ถูกกำหนดขึ้นจากจารีตประเพณีและจริยธรรมอันดีงามที่บุคคล พึงปฏิบัติเมื่ออยู่ในสังคม
“จริยธรรม” คือ หลักของความถูกต้องและไม่ถูกต้อง ซึ่งถูกใช้เป็นตัวแทนทางศีลธรรมในการปฏิบัติตนของบุคคลใดๆ
บทที่ 1
ความมั่นคงปลอดภัยของระบบสารสนเทศ
ความมั่นคงปลอดภัยของระบบสารสนเทศคืออะไร
การรวมตัวของกระบวนการหลายกระบวนการ ที่มีความสัมพันธ์กันและทำงานร่วมกัน
ประวัติของการรักษาความปลอดภัยของข้อมูล
ในอดีตข้อมูลที่สำคัญจะอยู่ในรูปแบบวัตถุ โดยจะถูกบันทึกไว้บนแผ่นหิน แผ่นหนัง หรือกระดาษ ถ้าต้องส่งข้อมูลไปที่อื่นต้องมีผู้คุ้มกันติดตามไปด้วย เพราะภัยอันตรายจะอยู่ในรูปแบบทางกายภาพ เช่น การขโมย
การรักษาความปลอดภัยด้านการสื่อสาร
การรักษาความปลอดภัยการแผ่รังสี
การรักษาความปลอดภัยการแผ่รังสี
การรักษาความปลอดภัยคอมพิวเตอร์
การรักษาความปลอดภัยเครือข่าย
การรักษาความปลอดภัยข้อมูล
องค์ประกอบของความมั่นคงปลอดภัยของข้อมูล
ความสมบูรณ์ (Integrity)
ความลับ (Confidentiality)
ความพร้อมใช้ (Availability)
ความถูกต้องแม่นยำ (Accuracy)
เป็นของแท้ (Authenticity)
ความเป็นส่วนตัว (Privacy)
การระบุตัวตน (Identification)
การพิสูจน์ทราบตัวตน (Authentication)
การอนุญาติใช้งาน (Authorization)
การตรวจสอบได้ (Accountability)
อุปสรรคของความมั่นคงปลอดภัยของระบบสารสนเทศ
มิจฉาชีพมักมีความเชี่ยวชาญ
ฝ่ายบริหารมักไม่ให้ความสำคัญแก่ความมั่นคงปลอดภัย
มีการเข้าถึงข้อมูลได้จากทุกสถานที่
แนวโน้มเทคโนโลยีสารสนเทศคือการ “แบ่งปัน” ไม่ใช่ “การป้องกัน”
ความมั่นคงปลอดภัยไม่ได้เกิดขึ้นที่ซอฟต์แวร์และฮาร์ดแวร์เพียงอย่างเดียว
การพัฒนาซอฟต์แวร์โดยคำนึงถึงความมั่นคงปลอดภัยภายหลัง
ผู้ใช้คอมพิวเตอร์ไม่ระแวดระวัง
มีความซับซ้อนบางอย่างในคอมพิวเตอร์ที่ผู้ใช้ทั่วไปไม่ทราบ
“ความมั่นคงปลอดภัย” คือ “ความไม่สะดวก”
