Please enable JavaScript.
Coggle requires JavaScript to display documents.
นายธีรภัทร บุญสม 6012510001 (บทที่ 3 :question: ระบบบริหารความมั่นคงปลอดภั…
นายธีรภัทร บุญสม 6012510001
บทที่ 1 :question: ความมั่นคงปลอดภัยของระบบสารสนเทศ
ความมั่นคงปลอดภัย (Security) คือ การทำให้รอดพ้นจากอันตราย หรืออยู่ในสถานะที่มีความปลอดภัย ไร้ความกังวลและความกลัว และได้รับการป้องกันจากภัยอันตรายทั้งที่เกิดขึ้นโดยตั้งใจหรือโดยบังเอิญ
ความมั่นคงปลอดภัยของระบบสารสนเทศ คือ การป้องกันข้อมูล สารสนเทศ รวมถึงองค์ประกอบอื่นๆ ที่เกี่ยวข้อง
การรักษาความปลอดภัยด้านกายภาพ คือในอดีตข้อมูลที่สำคัญจะอยู่ในรูปแบบวัตถุ โดยจะถูกบันทึกไว้บนแผ่นหิน แผ่นหนัง หรือกระดาษ แต่บุคคลสำคัญส่วนใหญ่ไม่นิยมบันทึกข้อมูลที่สำคัญมากๆ ลงบนสื่อถาวร และไม่สนทนาเกี่ยวกับข้อมูลกับคนที่ไม่ไว้ใจ
การรักษาความปลอดภัยด้านการสื่อสาร คือยุคของจูเลียสซีซาร์ (ยุคศตวรรษที่ 2) มีการคิดค้นวิธีใช้สำหรับ “ซ่อน” ข้อมูล หรือการเข้ารหัสข้อมูล
องค์ประกอบของความมั่นคงปลอดภัยของข้อมูล
ความพร้อมใช้ หมายถึง สารสนเทศจะถูกเข้าถึงหรือเรียกใช้งานได้อย่างราบรื่น
ความถูกต้องแม่นยำ หมายถึงสารสนเทศจะต้องไม่มีความผิดพลาด และต้องมีค่าตรงกับความคาดหวังของผู้ใช้เสมอ
ความสมบูรณ์คือ ความครบถ้วน ถูกต้อง และไม่มีสิ่งแปลกปลอม
สารสนเทศที่เป็นของแท้ คือ สารสนเทศที่ถูกจัดทำขึ้นจากแหล่งที่ถูกต้อง ไม่ถูกทำซ้ำโดยแหล่งอื่นที่ไม่ได้รับอนุญาตหรือแหล่งที่ไม่คุ้นเคย
ความลับ เป็นการรับประกันว่าผู้ที่มีสิทธิ์และได้รับอนุญาตเท่านั้น ที่สามารถเข้าถึงข้อมูลได้
ความเป็นส่วนตัว คือ สารสนเทศที่ถูกรวบรวม เรียกใช้ และจัดเก็บโดยองค์กร จะต้องถูกใช้ในวัตถุประสงค์ที่ผู้เป็นเจ้าของสารสนเทศรับทราบ ณ ขณะที่มีการรวบรวมสารสนเทศนั้น
การระบุตัวตน ระบบสารสนเทศต้องสามารถระบุตัวตนของผู้ใช้แต่ละคนที่ใช้งานระบบได้ รูปแบบการระบุตัวตนที่นิยมใช้ คือ การใช้ Username
การพิสูจน์ทราบตัวตนเกิดขึ้นเมื่อระบบควบคุมพิสูจน์ว่าผู้ใช้ใช่คนที่ผู้ใช้บอกหรือไม่
การอนุญาติใช้งาน เป็นการตรวจสอบสิทธิ์ของผู้ใช้ว่ามีสิทธิ์ให้ใช้งานได้ในระดับไหน โดยสิทธิ์ประกอบด้วย การเข้าถึงหรืออ่าน การแก้ไข การลบข้อมูล
การตรวจสอบได้ เช่น การเก็บล็อก (Logs) เกี่ยวกับกิจกรรมต่างๆ ที่ผู้ใช้แต่ละคนใช้งานระบบ
อุปสรรคของความมั่นคงปลอดภัยของระบบสารสนเทศ
ความมั่นคงปลอดภัย” คือ “ความไม่สะดวก” ผู้ใช้คอมพิวเตอร์ทั่วไป มักมีความคิดเห็นว่าการรักษาความมั่นคงปลอดภัยของระบบคอมพิวเตอร์นั้นทำให้การทำงานไม่สะดวก
มีความซับซ้อนบางอย่างในคอมพิวเตอร์ที่ผู้ใช้ทั่วไปไม่ทราบ เช่น Registry, Port และ Service ต่างๆ ที่จะทราบเฉพาะในแวดวงของโปรแกรมเมอร์หรือผู้ดูแลระบบ
ผู้ใช้คอมพิวเตอร์ไม่ระแวดระวัง ผู้ใช้ทั่วไปที่ไม่มีความชำนาญมักใช้คอมพิวเตอร์อย่างไม่ระวัง จึงตกเหยื่อ
การพัฒนาซอฟต์แวร์โดยคำนึงถึงความมั่นคงปลอดภัยภายหลัง
ความมั่นคงปลอดภัยไม่ได้เกิดขึ้นที่ซอฟต์แวร์และฮาร์ดแวร์เพียงอย่างเดียว
แนวโน้มเทคโนโลยีสารสนเทศคือการ “แบ่งปัน” ไม่ใช่ “การป้องกัน”
มีการเข้าถึงข้อมูลได้จากทุกสถานที่ ปัจจุบันอุปกรณ์คอมพิวเตอร์แบบพกพาสามารถเข้าถึงเว็บไซต์หรือแหล่งข้อมูลขององค์กรได้
มิจฉาชีพมักมีความเชี่ยวชาญ
ฝ่ายบริหารมักไม่ให้ความสำคัญแก่ความมั่นคงปลอดภัย
ทีมงานดำเนินโครงการความมั่นคงปลอดภัยของสารสนเทศ
ผู้สนับสนุน (Champion) คือ ผู้บริหารระดับสูง
หัวหน้าทีม (Team Leader) คือ ผู้บริหารโครงการ
นักพัฒนานโยบายความมั่นคงปลอดภัย (Security Policy Developer) เป็นผู้ที่มีความเข้าใจในวัฒนธรรมองค์กรเป็นอย่างดี
ผู้ชำนาญการประเมินความเสี่ยง (Risk Assessment Specialist) ทำหน้าที่ในการประเมินความเสี่ยงทางด้านการเงินขององค์กร
ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของสารสนเทศเป็นผู้ที่มีความรู้ ความเชี่ยวชาญในด้านความมั่นคงปลอดภัย
ผู้ดูแลระบบ (System Administrator) ทำหน้าที่ดูแลระบบคอมพิวเตอร์ และอุปกรณ์อื่นๆ ที่เกี่ยวข้อง
ผู้ใช้ระบบ (End User) คือ ผู้ใช้ระบบความมั่นคงปลอดภัยของสารสนเทศที่กำลังพัฒนา
บทที่ 2 :question: ภัยคุกคาม ช่องโหว่และการโจมตี
ภัยคุกคาม (Threat)คือ วัตถุ สิ่งของ ตัวบุคคล หรือสิ่งอื่นใดที่เป็นตัวแทนของการกระทำอันตรายต่อทรัพย์สิน
ภัยร้ายต่อทรัพย์สินทางปัญญา
การละเมิดลิขสิทธิ์
1.ความผิดพลาดที่เกิดจากบุคคล
อุบัติเหตุ ความเข้าใจผิดของพนักงาน
3.การจารกรรมหรือการรุกล้ำ
การเข้าถึงหรือการรวบรวมข้อมูลโดยไม่ได้รับอนุญาต
การกรรโชกสารสนเทศ
การ Blackmail การเผยแพร่สารสนเทศที่เป็นความลับ
การทำลายหรือทำให้เสียหาย
การทำลายระบบหรือสารสนเทศ
การลักขโมย
การลักขโมยหรือโจรกรรมอุปกรณ์คอมพิวเตอร์หรือสารสนเทศ
ซอฟต์แวร์โจมตี
ไวรัส, เวิร์ม, มาโคร, Dos
ภัยธรรมชาติ
น้ำท่วม ไฟไหม้ แผ่นดินไหว ไฟดับ
คุณภาพของบริการที่เบี่ยงเบนไป
ISP, WAN Service, Provider
ความผิดพลาดทางเทคนิคด้านฮาร์ดแวร์
อุปกรณ์ทำงานผิดพลาด
ความผิดพลาดทางเทคนิคด้านซอฟต์แวร์
Bugs, ปัญหาของโค้ด, ลูปไม่รู้จบ
ความล้าสมัยของเทคโนโลยี
เทคโนโลยีที่ใช้อยู่บางอย่างล้าสมัยไปแล้ว
ช่องโหว่ หรือ “ความล่อแหลม” ความอ่อนแอของระบบคอมพิวเตอร์หรือระบบเครือข่ายที่เปิดโอกาสให้สิ่งที่เป็นภัยคุกคามสามารถเข้าถึงสารสนเทศในระบบได้ ซึ่งนำไปสู่ความเสียหายแก่สารสนเทศหรือแม้แต่การทำงานของระบบ
1.การจัดการบัญชีรายชื่อผู้ใช้ไม่มีประสิทธิภาพ
Software Bugs
ระบบปฏิบัติการไม่ได้รับการซ่อมเสริมอย่างสม่ำเสมอ
ไม่มีการอัพเดตโปรแกรม Anti – virus อย่างสม่ำเสมอ
การปรับแต่งค่าคุณสมบัติของระบบผิดพลาด
การโจมตี (Attack)คือ การกระทำบางอย่างที่อาศัยความได้เปรียบจากช่องโหว่ของระบบ)
Malicious Code หรือ Malware คือ โค้ดที่มุ่งร้ายหรือเป็นอันตราย
สแกนหมายเลข IP Address
การท่องเว็บไซต์
ไวรัส
อีเมล์
Hoaxes คือ การปล่อยข่าวหลอกลวง เรื่องการแพร่ระบาดของไวรัสคอมพิวเตอร์ที่ไม่มีอยู่จริง
Back Doors
Door คือ เส้นทางลับที่จะช่วยให้ผู้โจมตีหรือผู้บุกรุกเข้าสู่ระบบได้โดยไม่ผ่านกระบวนการตรวจสอบของระบบ
การเจาะรหัสผ่าน (Password Cracking)
Brute Force Attack
เป็นการพยายามคาดเดารหัสผ่าน
Dictionary Attack
เป็นการพยายามคาดเดารหัสผ่านจากขอบเขตที่แคบลง
Denaial-of-Service (DoS)
การโจมตีโดยการส่ง Message หรือ Packet เดียว โดยให้ Message ดังกล่าวทำลายระบบการทำงานของ Server
การโจมตีโดยการส่ง Message หรือ Packet จำนวนมากไปยังเป้าหมาย
การโจมตีที่เรียกว่า Distributed Denaial-of-Service (DDoS)
Spoofingคือ เทคนิคที่ทำให้เข้าถึงระบบเป้าหมายที่ไม่ได้รับอนุญาตได้โดยใช้ IP Address ของ Server/Host ที่เชื่อถือได้เป็นตัวหลอกล่อ
TCP Hijacking Attack
เป็นการโจมตีที่ผู้โจมตีจะใช้วิธีคอยติดตาม Packet จากเครือข่าย
Spam
เป็นการใช้อีเมล์เพื่อการโฆษณาหรือประชาสัมพันธ์สินค้าและบริการต่างๆ
Mail Bombing
เป็นการโจมตีทางอีเมล์ มีลักษณะการทำลายแบบ DoS คือการโจมตีจะส่งอีเมล์จำนวนมหาศาลไปยังระบบเป้าหมาย
Sniffersเป็นโปรแกรมหรืออุปกรณ์ที่สามารถอ่าน ติดตาม และดักจับข้อมูลที่วิ่งอยู่ในเครือข่ายได้
Social Engineering
หรือ วิศวกรรมทางสังคม คือการใช้ทักษะทางสังคมในการหลอกลวงเหยื่อให้เปิดเผยข้อมูลส่วนตัว
Buffer Overflow
ล้น เป็นการโจมตีโดยส่งข้อมูลเข้าสู่ระบบจำนวนมากเกินกว่าเนื้อที่ในบัฟเฟอร์
Timing Attack
เป็นการโจมตีโดยการขโมยข้อมูลที่จัดเก็บอยู่ใน Cache ของโปรแกรม Web Browser โดยผู้โจมตีจะสร้างไฟล์ Cookies ที่เป็นอันตราย และบันทึกไว้ในเครื่อง
Zero-day Attack
เป็นการโจมตีโดยการพยายามเจาะช่องโหว่ที่องค์กรยังไม่ได้เผยแพร่การค้นพบช่องโหว่นั้นต่อสาธารณะ
มัลแวร์ (Malware)
คือ ซอฟต์แวร์หรือโปรแกรมที่มุ่งร้ายต่อเป้าหมาย ถูกออกแบบมาให้ทำหน้าที่สร้างความเสียหายทำลาย
ประตูลับ (Back Door)
คือ เส้นทางลับที่จะช่วยให้ผู้โจมตีหรือผู้บุกรุกเข้าสู่ระบบได้โดยไม่ผ่านกระบวนการตรวจสอบของระบบ
ระเบิดเวลา (Logic Bomb)
เป็นโค้ดโปรแกรมที่ถูกฝังอยู่ในโปรแกรมอื่น รอเวลาจนกว่าจะเกิดเหตุการณ์ใดๆ ที่ถูกกำหนดไว้ จึงจะทำการแทรกตัวเองไปกับแอปพลิเคชัน
ม้าโทรจัน (Trojan Horse)
คือโปรแกรมที่ไม่สามารถแพร่กระจายตัวเองไปยังคอมพิวเตอร์เครื่องอื่นได้
ไวรัส (Virus)
คือโค้ดหรือโปรแกรมคอมพิวเตอร์ที่มุ่งร้ายต่อโปรแกรมหรือไฟล์อื่น
เวิร์ม (Worm)
คือ โปรแกรมที่มุ่งร้ายที่สามารถสำเนาหรือทำซ้ำตัวเองไปยังคอมพิวเตอร์เครื่องอื่นได้โดยไม่ต้องอาศัยพาหะ
ซอมบี้ (Zombie)
คือ เป็นโปรแกรมที่เข้าควบคุมการทำงานของคอมพิวเตอร์ที่ตนเองฝังตัวอยู่
สปายแวร์ (Spyware)
มีลักษณะและพฤติกรรมคล้ายโทรจันคือ ไม่แพร่เชื้อไปติดไฟล์อื่นๆ
ข่าวไวรัสหลอกลวง (Virus and Worm Hoaxes)
คือ วิธีการสร้างความสับสนให้กับผู้ใช้ด้วยข่าวไวรัสหลอกลวง ที่ส่งต่อกันมาในรูปแบบอีเมล์
เครื่องมือสำหรับการรักษาความปลอดภัย
เครื่องมือในการรักษาความปลอดภัย สามารถแบ่งได้เป็น 2 ประเภท
Software ได้แก่ Firewall, IDS, Data Encryption, Anti Virus Software)
Hardware ได้แก่ Smart Card, Retina Scanner, Finger Print
ไฟร์วอล (Firewall)
คือ Firewall เป็นระบบควบคุมการเข้าออกเครือข่าย ซึ่งจะใช้สำหรับปกป้องเครือข่ายภายในองค์กร จากการโจมตีจากภายนอก
ระบบตรวจจับการบุกรุก (IDS : Intrusion Detection System)
คือ ระบบตรวจจับการบุกรุก หรือ IDS เป็นระบบที่ใช้สำหรับการเฝ้าระวัง และแจ้งเตือนภัยถ้ามีการบุกรุก หรือมีสิ่งผิดปกติเกิดขึ้นในระบบ
การเข้ารหัสข้อมูล (Encryption)
โดยทั่วไปข้อมูลที่ส่งผ่านเครือข่ายนั้นจะอยู่ในรูปแบบของ Clear Text
ซอฟต์แวร์ป้องกันไวรัส (Antivirus software)
คือ โปรแกรมคอมพิวเตอร์ที่สามารถระบุ ขัดขวางและกำจัดไวรัสคอมพิวเตอร์ ซึ่งรวมไปถึงโปรแกรมที่เป็นอันตรายอื่นๆได้
ระบบการรักษาความปลอดภัยทางด้านกายภาพ (Antivirus software)
คือ มาตรการที่ใช้ในการปกป้องทรัพยากรจากภัยคุกคามทางกายภาพทั้งโดยเจตนาและไม่เจตนา ลดความเสี่ยงด้านความปลอดภัย
บทที่ 3 :question: ระบบบริหารความมั่นคงปลอดภัย ของสารสนเทศ
การบริหารหรือการจัดการความมั่นคงปลอดภัยของสารสนเทศ 6P's
Planning เป็นการวางแผนสำหรับการดำเนินงานความมั่นคงปลอดภัยของสารสนเทศ เป็นแผนงานระดับปฏิบัติการ
Policy เป็นการกำหนดนโยบาย กฎเกณฑ์ ระเบียบ และข้อบังคับ เพื่อรักษาความมั่นคงปลอดภัยของสารสนเทศ
Programs คือ โครงการต่างๆ ที่จัดขึ้นเพื่องานด้านความมั่นคงปลอดภัยของสารสนเทศ เช่น การฝึกอบรม ให้ความรู้
Protection เป็นการกำหนดมาตรฐานการป้องกันรอดพ้นจากการโจมตีโดยภัยคุกคามชนิดต่างๆ หรือทำให้เกิดความเสียหายน้อยที่สุด
People คือ บุคลากรเป็นปัจจัยสำคัญต่องานบริหารทุกด้าน เป็นจุดเชื่อมโยงไปยังความสำเร็จอื่นๆ
Project Management ทุกโครงการในงานด้านความมั่นคงปลอดภัยของสารสนเทศ ต้องอาศัยการบริหารโครงการเป็นกรอบในการดำเนินงาน
นโยบายความมั่นคงปลอดภัยของสารสนเทศ
นโยบาย (Policy) คือ แผนงานหรือกลุ่มของข้อปฏิบัติที่องค์กรใช้เป็นตัวกลางในการถ่ายทอดคำสั่งจากผู้บริหารระดับสูงไปยังบุคลากรในระดับตัดสินใจ ระดับปฏิบัติการ และระดับอื่นๆ
นโยบายความมั่นคงปลอดภัยของสารสนเทศ (Information Security Policy) คือ กฎข้อบังคับที่ใช้ในการป้องกันสารสนเทศขององค์กร
ทำไมต้องมีการบริหารความเสี่ยง ??
การรักษาความปลอดภัยนั้นจะเกี่ยวข้องกับการบริหารความเสี่ยงอย่างใกล้ชิด ถ้าไม่เข้าใจเกี่ยวกับความเสี่ยงขององค์กรแล้ว การใช้ทรัพยากรขององค์กรเพื่อการรักษาความปลอดภัยนั้นอาจมากเกินความจำเป็นหรือน้อยกว่าที่ควรจะเป็นก็ได้ ![uploaded image]
ความเสี่ยง (Risk) เป็นพื้นฐานที่ทำให้ต้องมีการรักษาความปลอดภัย (Security) ความเสี่ยงคือ ความเป็นไปได้ที่อาจก่อให้เกิดผลเสียหายต่อข้อมูลสำคัญและระบบ รวมถึงอุปกรณ์ที่สนับสนุนการทำงานให้กับข้อมูลสำคัญนั้น
“บทบัญญัติ 10 ประการในการใช้คอมพิวเตอร์”
ท่านต้องไม่คัดลอกหรือใช้ซอฟต์แวร์ที่มีลิขสิทธิ์โดยไม่จ่ายค่าลิขสิทธิ์
ท่านต้องไม่ใช้ทรัพยากรคอมพิวเตอร์ของคนอื่นโดยไม่ได้รับอนุญาตหรือไม่ได้จ่ายค่าตอบแทนอย่างเหมาะสม
ท่านต้องไม่ละเมิลสิทธิในทรัพย์สินทางปัญญาของผู้อื่น
ท่านต้องตระหนักถึงผลที่ตามมาต่อสังคมที่เกิดจากโปรแกรมที่ท่านกำลังเขียนหรือออกแบบอยู่เสมอ
ท่านต้องใช้คอมพิวเตอร์ในทางที่พิจารณาดีแล้วว่าเหมาะสมและเคารพ ต่อเพื่อนมนุษย์ด้วยกันเสมอ
ท่านต้องไม่ใช้คอมพิวเตอร์ทำอันตรายต่อผู้อื่น
ท่านต้องไม่แทรกแซงหรือรบกวนงานคอมพิวเตอร์ของบุคคลอื่น
ท่านต้องไม่สอดแนมไฟล์คอมพิวเตอร์ของบุคคลอื่น
ท่านต้องไม่ใช้คอมพิวเตอร์ในการลักขโมย
ท่านต้องไม่ใช้คอมพิวเตอร์เป็นพยานเท็จ
ประเด็นที่มักก่อให้เกิดความขัดแย้งในจริยธรรมและศีลธรรม มีดังนี้
วัฒนธรรมที่แตกต่างกัน
การละเมิดลิขสิทธิ์ซอฟต์แวร์
การใช้งานอย่างผิดกฏหมาย
การใช้ทรัพยากรขององค์กรเพื่อประโยชน์ส่วนตัว
จริยธรรมและการศึกษา
การยับยั้งพฤติกรรมที่ไม่มีจริยธรรมและกฏหมาย
จริยธรรมกับความมั่นคงปลอดภัยของสารสนเทศ
“กฏหมาย” ถูกกำหนดขึ้นจากจารีตประเพณีและจริยธรรมอันดีงามที่บุคคล พึงปฏิบัติเมื่ออยู่ในสังคม
“จริยธรรม” คือ หลักของความถูกต้องและไม่ถูกต้อง ซึ่งถูกใช้เป็นตัวแทนทางศีลธรรมในการปฏิบัติตนของบุคคลใดๆ
