Please enable JavaScript.
Coggle requires JavaScript to display documents.
5802510064 นายพิชญภัทร์ นุ่นทิพย์ :<3: (บทที่ 1 ความมั่นคงปลอดภัยของ…
5802510064
นายพิชญภัทร์ นุ่นทิพย์
:<3:
บทที่ 1 ความมั่นคงปลอดภัยของระบบสารสนเทศ :warning:
ความมั่นคงปลอดภัยของระบบสารสนเทศคืออะไร
ความมั่นคงปลอดภัย (Security) คืออะไร
การทำให้รอดพ้นจากอันตราย หรืออยู่ในสถานะที่มีความปลอดภัย ไร้ความกังวลและความกลัว และได้รับการป้องกันจากภัยอันตรายทั้งที่เกิดขึ้นโดยตั้งใจหรือโดยบังเอิญ
ความมั่นคงปลอดภัยของระบบสารสนเทศ (Information System Security)
คือ การป้องกันข้อมูล สารสนเทศ รวมถึงองค์ประกอบอื่นๆ ที่เกี่ยวข้อง เช่น ระบบและฮาร์ดแวร์ที่ใช้ในการจัดเก็บและถ่ายโอนข้อมูล สารสนเทศนั้น ให้รอดพ้นจากอันตรายอยู่ในสถานะที่มีความปลอดภัย ไร้ความกังวลและความกลัว
ประวัติของการรักษาความปลอดภัยของข้อมูล
ในอดีตข้อมูลที่สำคัญจะอยู่ในรูปแบบวัตถุ โดยจะถูกบันทึกไว้บนแผ่นหิน แผ่นหนัง หรือกระดาษ แต่บุคคลสำคัญส่วนใหญ่ไม่นิยมบันทึกข้อมูลที่สำคัญมากๆ ลงบนสื่อถาวร และไม่สนทนาเกี่ยวกับข้อมูลกับคนที่ไม่ไว้ใจ ถ้าต้องส่งข้อมูลไปที่อื่นต้องมีผู้คุ้มกันติดตามไปด้วย เพราะภัยอันตรายจะอยู่ในรูปแบบทางกายภาพ เช่น การขโมย
เมื่อคอมพิวเตอร์เชื่อมต่อกันเข้าเป็นเครือข่ายปัญหาใหม่ก็เกิดขึ้น เช่น การสื่อสารคอมพิวเตอร์เปลี่ยนจาก LAN มาเป็น WAN ซึ่งมีแบนด์วิธที่สูงมาก อาจมีหลายเครื่องที่เชื่อมต่อเข้ากับสื่อเดียวกัน การเข้ารหัสโดยใช้เครื่องเข้ารหัสเดี่ยวๆ อาจไม่ได้ผล
ในปี 1987 จึงได้มีการใช้มาตรฐาน TNI หรือ เรดบุ๊ค (Red Book) ซึ่งได้เพิ่มส่วนที่เกี่ยวข้องกับเครือข่ายเข้าไป แต่มีข้อกำหนดเกี่ยวกับฟังก์ชันและการรับประกันมาก ทำให้ใช้เวลามากเกินไปในการตรวจสอบระบบ
องค์ประกอบของความมั่นคงปลอดภัยของข้อมูล
ความลับ (Confidentiality)
ความสมบูรณ์ (Integrity)
ความพร้อมใช้ (Availability)
ความถูกต้องแม่นยำ (Accuracy)
เป็นของแท้ (Authenticity)
ความเป็นส่วนตัว (Privacy)
การระบุตัวตน (Identification)
การพิสูจน์ทราบตัวตน (Authentication)
การอนุญาติใช้งาน (Authorization)
การตรวจสอบได้ (Accountability)
อุปสรรคของความมั่นคงปลอดภัยของระบบสารสนเทศ
“ความมั่นคงปลอดภัย” คือ “ความไม่สะดวก”
มีความซับซ้อนบางอย่างในคอมพิวเตอร์ที่ผู้ใช้ทั่วไปไม่ทราบ
ผู้ใช้คอมพิวเตอร์ไม่ระแวดระวัง
การพัฒนาซอฟต์แวร์โดยคำนึงถึงความมั่นคงปลอดภัยภายหลัง
ความมั่นคงปลอดภัยไม่ได้เกิดขึ้นที่ซอฟต์แวร์และฮาร์ดแวร์เพียงอย่างเดียว
แนวโน้มเทคโนโลยีสารสนเทศคือการ “แบ่งปัน” ไม่ใช่ “การป้องกัน”
มีการเข้าถึงข้อมูลได้จากทุกสถานที่
มิจฉาชีพมักมีความเชี่ยวชาญ
ฝ่ายบริหารมักไม่ให้ความสำคัญแก่ความมั่นคงปลอดภัย
บทบาทของบุคลากรสารสนเทศในด้านความมั่นคงปลอดภัย
ผู้สนับสนุน (Champion) คือ ผู้บริหารระดับสูง ทำหน้าที่ริเริ่มโครงการและให้การสนับสนุนทั้งด้านการเงินและการบริหารจัดการ
หัวหน้าทีม (Team Leader) คือ ผู้บริหารโครงการ ทำหน้าที่คอยควบคุมการดำเนินทั้งด้านการเงินและการบริหารจัดการ
นักพัฒนานโยบายความมั่นคงปลอดภัย (Security Policy Developer) เป็นผู้ที่มีความเข้าใจในวัฒนธรรมองค์กรเป็นอย่างดี นอกจากนี้ ยังเป็นผู้ที่ทราบถึงนโยบายขององค์กร เข้าใจความต้องการและการนำนโยบายไปใช้ให้ประสบผลสำเร็จด้วย
ผู้ชำนาญการประเมินความเสี่ยง (Risk Assessment Specialist) ทำหน้าที่ในการประเมินความเสี่ยงทางด้านการเงินขององค์กร ต้องทราบถึงเทคนิคต่างๆ ที่ใช้ประเมินความเสี่ยงเป็นอย่างดี และสามารถเลือกเทคนิคที่มีประสิทธิภาพมากที่สุดได้
ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของสารสนเทศ (Security Professional) เป็นผู้ที่มีความรู้ ความเชี่ยวชาญในด้านความมั่นคงปลอดภัยของสารสนเทศเป็นอย่างดี
ผู้ดูแลระบบ (System Administrator) ทำหน้าที่ดูแลระบบคอมพิวเตอร์ และอุปกรณ์อื่นๆ ที่เกี่ยวข้อง
ผู้ใช้ระบบ (End User) คือ ผู้ใช้ระบบความมั่นคงปลอดภัยของสารสนเทศที่กำลังพัฒนา โดยทั่วไปนิยมให้ผู้ใช้เข้ามามีส่วนร่วมในการพัฒนาระบบด้วย เพื่อให้ระบบสามารถตอบสนองแก่ผู้ใช้งานได้อย่างถูกต้อง
บทที่ 2 ภัยคุกคาม ช่องโหว่ และการโจมตี
ภัยคุกคาม (Threat)
ภัยคุกคาม (Threat)
คือ วัตถุ สิ่งของ ตัวบุคคล หรือสิ่งอื่นใดที่เป็นตัวแทนของการกระทำอันตรายต่อทรัพย์สิน หรือ สิ่งที่อาจจะก่อให้เกิดความเสียหายต่อคุณสมบัติของข้อมูลด้านใดด้านหนึ่งหรือมากกว่าหนึ่งด้าน (ความลับ (Confidentiality), ความสมบูรณ์ (Integrity), ความพร้อมใช้ (Availability)
ภัยคุกคามมีหลายประเภท หลายกลุ่ม เช่น
ภัยคุกคามที่ถูกทำให้เกิดขึ้นโดยเจตนา
ภัยคุกคามที่ถูกทำให้เกิดขึ้นโดยไม่เจตนา
ภัยคุกคามที่เกิดจากภัยธรรมชาติ
ภัยคุกคามที่เกิดจากผู้ใช้ในองค์กรเอง
หน้าที่ของทีมงานความมั่นคงปลอดภัยของสารสนเทศที่สำคัญอย่างหนึ่ง คือ “การระบุและจำแนกความเสี่ยง (Risk Identification)” เป็นขั้นตอนที่ทีมงานจะต้องสามารถระบุและจำแนกประเภทของภัยคุกคามที่จัดว่าเป็นความเสี่ยงชนิดหนึ่งได้
ช่องโหว่ (Vulnerability)
ช่องโหว่ (Vulnerabilities) หรือ “ความล่อแหลม”
หมายถึง ความอ่อนแอของระบบคอมพิวเตอร์หรือระบบเครือข่ายที่เปิดโอกาสให้สิ่งที่เป็นภัยคุกคามสามารถเข้าถึงสารสนเทศในระบบได้ ซึ่งนำไปสู่ความเสียหายแก่สารสนเทศหรือแม้แต่การทำงานของระบบ
เช่น ระบบล็อกอินที่ไม่มีกลไกการตรวจสอบชื่อผู้ใช้และรหัสผ่านที่ดี ทำให้มิจฉาชีพสามารถคาดเดารหัสผ่านและลักลอบเข้าสู่ระบบโดยไม่ได้รับอนุญาตได้อย่างง่ายดาย
การจัดการบัญชีรายชื่อผู้ใช้ไม่มีประสิทธิภาพ
การป้องกันสารสนเทศให้เกิดความมั่นคงปลอดภัยในเบื้องต้น คือ การจัดทำรายชื่อผู้ใช้ (User Account) เพื่อล็อกอินเข้าสู่ระบบ ชื่อผู้ใช้ทุกคนจะต้องมี User ID และ Password
Software Bugs
จัดเป็นช่องโหว่หลักที่ควรให้ความสำคัญ เนื่องจากเป็นช่องทางที่ผู้บุกรุกนิยมใช้เจาะระบบขององค์กร Software Bugs ส่วนใหญ่เกิดจากการทำงานบางหน้าที่ ไม่เหมาะสมนั่นคือ มีข้อบกพร่อง
ระบบปฏิบัติการไม่ได้รับการซ่อมเสริมอย่างสม่ำเสมอ
โดยทั่วไป ผู้พัฒนาแอปพลิเคชั่นและระบบปฏิบัติการจะพัฒนาโปรแกรมซ่อมเสริมระบบ ที่เรียกว่า “Patch” ซึ่งทำหน้าที่ในการซ่อมแซมระบบ แก้ไขข้อบกพร่อง และเพิ่มระบบรักษาความมั่นคงปลอดภัยให้กับระบบสม่ำเสมอ
ไม่มีการอัพเดตโปรแกรม Anti – virus อย่างสม่ำเสมอการอัพเดทโปรแกรม Anti – virus เป็นการเพิ่มข้อมูลรายละเอียดคุณลักษณะของไวรัสชนิดใหม่ๆ ในฐานข้อมูลโปรแกรม ซึ่งจะช่วยให้โปรแกรมสามารถตรวจจับไวรัสชนิดใหม่ได้
การปรับแต่งค่าคุณสมบัติของระบบผิดพลาด
กรณีที่ผู้ดูแลระบบต้องปรับแต่งค่าคุณสมบัติต่างๆ ของระบบด้วยตนเอง จะเสี่ยง ต่อการกำหนดค่าผิดพลาดได้สูงกว่าการที่ระบบกำหนดให้เองอัตโนมัติ
การโจมตี (Attack)
การโจมตี (Attack)
คือ การกระทำบางอย่างที่อาศัยความได้เปรียบจากช่องโหว่ของระบบ
เพื่อเข้าควบคุมการทำงานของระบบ
เพื่อทำให้ระบบเกิดความเสียหาย
เพื่อโจรกรรมสารสนเทศ
มัลแวร์ (Malware)
มัลแวร์ (Malware)
คือ ซอฟต์แวร์หรือโปรแกรมที่มุ่งร้ายต่อเป้าหมาย ถูกออกแบบมาให้ทำหน้าที่สร้างความเสียหายทำลาย หรือระงับการให้บริการของระบบเป้าหมาย มัลแวร์ เรียกได้อีกอย่างหนึ่งว่า “Malicious Software” หรือ “Malicious Code”
เครื่องมือสำหรับการรักษาความปลอดภัย
เครื่องมือในการรักษาความปลอดภัย สามารถแบ่งได้เป็น 2 ประเภท
Software ได้แก่ Firewall, IDS, Data Encryption, Anti Virus Software
Hardware ได้แก่ Smart Card, Retina Scanner, Finger Print
ระบบตรวจจับการบุกรุก (IDS : Intrusion Detection System)
คือ ระบบตรวจจับการบุกรุก หรือ IDS เป็นระบบที่ใช้สำหรับการเฝ้าระวัง และแจ้งเตือนภัยถ้ามีการบุกรุก หรือมีสิ่งผิดปกติเกิดขึ้นในระบบ ซึ่งบางระบบนั้นสามารถตรวจจับและหยุดการบุกรุกได้
การเข้ารหัสข้อมูล (Encryption)
โดยทั่วไปข้อมูลที่ส่งผ่านเครือข่ายนั้นจะอยู่ในรูปแบบของ Clear Text ดังนั้น การเข้ารหัสข้อมูลจึงหมายถึง วิธีที่ใช้สำหรับแปลง Clear Text ให้เป็น Cipher Text หรือข้อมูลที่ได้เข้ารหัสแล้ว ซึ่งข้อมูลที่ถูกเข้ารหัสจะถูกส่งไปให้ผู้รับทำการถอดรหัสข้อมูล (Decryption) เพื่อให้ได้ข้อมูลเดิม
บทที่ 3 ระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ
นโยบายความมั่นคงปลอดภัยของสารสนเทศ
นโยบายความมั่นคงปลอดภัยของสารสนเทศและความสำคัญ
นโยบาย (Policy) คือ แผนงานหรือกลุ่มของข้อปฏิบัติที่องค์กรใช้เป็นตัวกลางในการถ่ายทอดคำสั่งจากผู้บริหารระดับสูงไปยังบุคลากรในระดับตัดสินใจ ระดับปฏิบัติการ และระดับอื่นๆ
นโยบายเป็นเสมือนกฎหมายที่บังคับใช้ในองค์กร เนื่องจากนโยบายได้ระบุข้อปฏิบัติที่ถูกและผิดไว้ภายใต้กรอบวัฒนธรรมขององค์กรนั้นๆ รวมทั้งยังได้มีการกำหนดบทลงโทษสำหรับผู้ที่มีความประพฤติขัดต่อนโยบายด้วย
การบริหารความเสี่ยง (Risk Management)
การประเมินความเสี่ยง (Risk Assessment)
ความเสี่ยงในที่นี้หมายถึงความเสี่ยงในรูปแบบต่างๆ ที่อาจก่อให้เกิดผลเสียหายต่อข้อมูลสำคัญและระบบ อุปกรณ์ต่างๆ ที่สนับสนุนการทำงานให้กับข้อมูลสำคัญนี้อยู่
อาชญากรรมทางคอมพิวเตอร์
อาชญากรรมทางคอมพิวเตอร์ (Computer Crime) มี 2 ประเภทคือ
การโจมตีระบบคอมพิวเตอร์ของบุคคลอื่น
การใช้คอมพิวเตอร์เพื่อการก่ออาชญากรรม
จริยธรรมกับความมั่นคงปลอดภัยของสารสนเทศ
“กฏหมาย” ถูกกำหนดขึ้นจากจารีตประเพณีและจริยธรรมอันดีงามที่บุคคล พึงปฏิบัติเมื่ออยู่ในสังคม
“จริยธรรม” คือ หลักของความถูกต้องและไม่ถูกต้อง ซึ่งถูกใช้เป็นตัวแทนทางศีลธรรมในการปฏิบัติตนของบุคคลใดๆ
:<3: