Please enable JavaScript.
Coggle requires JavaScript to display documents.
5705110006 สุธากร แซ่ตั้น (บทที่ 1 (องค์ประกอบของความมั่นคงปลอดภัยของข้อม…
5705110006
สุธากร แซ่ตั้น
บทที่2
ภัยคุกคาม ช่องโหว่ และการโจมตี
ภัยคุกคาม (Threat)คือ วัตถุ สิ่งของ ตัวบุคคล หรือสิ่งอื่นใดที่เป็นตัวแทนของการกระทำอันตรายต่อทรัพย์สิน หรือ สิ่งที่อาจจะก่อให้เกิดความเสียหายต่อคุณสมบัติของข้อมูลด้านใดด้านหนึ่งหรือมากกว่าหนึ่งด้าน (ความลับ (Confidentiality), ความสมบูรณ์ (Integrity), ความพร้อมใช้ (Availability))
ช่องโหว่ (Vulnerabilities) หรือ “ความล่อแหลม”หมายถึง ความอ่อนแอของระบบคอมพิวเตอร์หรือระบบเครือข่ายที่เปิดโอกาสให้สิ่งที่เป็นภัยคุกคามสามารถเข้าถึงสารสนเทศในระบบได้ ซึ่งนำไปสู่ความเสียหายแก่สารสนเทศหรือแม้แต่การทำงานของระบบ
เช่น ระบบล็อกอินที่ไม่มีกลไกการตรวจสอบชื่อผู้ใช้และรหัสผ่านที่ดี ทำให้มิจฉาชีพสามารถคาดเดารหัสผ่านและลักลอบเข้าสู่ระบบโดยไม่ได้รับอนุญาตได้อย่างง่ายดาย
การโจมตี (Attack)คือ การกระทำบางอย่างที่อาศัยความได้เปรียบจากช่องโหว่ของระบบ
-เพื่อเข้าควบคุมการทำงานของระบบ
-เพื่อทำให้ระบบเกิดความเสียหาย
-เพื่อโจรกรรมสารสนเทศ
มัลแวร์ (Malware) คือ ซอฟต์แวร์หรือโปรแกรมที่มุ่งร้ายต่อเป้าหมาย ถูกออกแบบมาให้ทำหน้าที่สร้างความเสียหายทำลาย หรือระงับการให้บริการของระบบเป้าหมาย มัลแวร์ เรียกได้อีกอย่างหนึ่งว่า “Malicious Software” หรือ “Malicious Code”
เครื่องมือในการรักษาความปลอดภัย สามารถแบ่งได้เป็น 2 ประเภท
-Software ได้แก่ Firewall, IDS, Data Encryption, Anti Virus Software
-Hardware ได้แก่ Smart Card, Retina Scanner, Finger Print
บทที่ 1
ความมั่นคงปลอดภัยของระบบสารสนเทศ
ยุคของจูเลียสซีซาร์ (ยุคศตวรรษที่ 2) มีการคิดค้นวิธีใช้สำหรับ “ซ่อน” ข้อมูล หรือการเข้ารหัสข้อมูล (Encryption) ช่วงสงครามโลกครั้งที่ 2 เยอรมันใช้เครื่องมือที่เรียกว่า เอ็มนิกมา (Enigma) เข้ารหัสข้อมูลที่รับ/ส่ง ระหว่างหน่วยงานทหาร
ความมั่นคงความปลอดภัยของระบบสารสนเทศ
(Information System Security) คือ การป้องกันข้อมูล สารสนเทศ รวมถึงองค์ประกอบอื่นๆ ที่เกี่ยวข้อง เช่น ระบบและฮาร์ดแวร์ที่ใช้ในการจัดเก็บและถ่ายโอนข้อมูลสารสนเทศนั้น ให้รอดพ้นจากอันตรายอยู่ในสถานะที่มีความปลอดภัย ไร้ความกังวลและความกลัว
ความมั่นคงปลอดภัย
(Security) คือ การทำให้รอดพ้นจากอันตราย หรืออยู่ในสถานะที่มีความปลอดภัย ไร้ความกัลวลและความกลัว และได้รับการป้องก้ันจากภัยอันตรายทั้งที่เกิดขึ้นโดยตั้งใจหรือโดยบังเอิญ
องค์ประกอบของความมั่นคงปลอดภัยของข้อมูล
ความลับ (Confidentiality) ความลับ เป็นการรับประกันว่าผู้ที่มีสิทธิ์และได้รับอนุญาตเท่านั้น ที่สามารถเข้าถึงข้อมูลได้
ความสมบูรณ์ (Integrity)ความสมบูรณ์ คือ ความครบถ้วน ถูกต้อง และไม่มีสิ่งแปลกปลอม ดังนั้น สารสนเทศที่มีความสมบูรณ์จึงเป็นสารสนเทศที่นำไปใช้ประโยชน์ได้อย่างถูกต้องและครบถ้วน ภัยคุกคามสำคัญที่มีผลต่อความสมบูรณ์ของสารสนเทศคือ “ไวรัส” และ “เวิร์ม” “แฮคเกอร์” หรือ “สัญญาณรบกวน”
ความพร้อมใช้ (Availability) ความพร้อมใช้ หมายถึง สารสนเทศจะถูกเข้าถึงหรือเรียกใช้งานได้อย่างราบรื่น โดยผู้ใช้หรือระบบอื่นที่ได้รับอนุญาตเท่านั้น หากเป็นผู้ใช้หรือระบบที่ไม่ได้รับอนุญาต การเข้าถึงหรือเรียกใช้งานจะถูกขัดขวางและล้มเหลวในที่สุด
ความถูกต้องแม่นยำ (Accuracy)ความถูกต้องแม่นยำ หมายถึงสารสนเทศจะต้องไม่มีความผิดพลาด และต้องมีค่าตรงกับความคาดหวังของผู้ใช้เสมอ
เป็นของแท้ (Authenticity)สารสนเทศที่เป็นของแท้ คือ สารสนเทศที่ถูกจัดทำขึ้นจากแหล่งที่ถูกต้อง ไม่ถูกทำซ้ำโดยแหล่งอื่นที่ไม่ได้รับอนุญาตหรือแหล่งที่ไม่คุ้นเคยและไม่เคยทราบมาก่อน
ความเป็นส่วนตัว (Privacy)ความเป็นส่วนตัว คือ สารสนเทศที่ถูกรวบรวม เรียกใช้ และจัดเก็บโดยองค์กร จะต้องถูกใช้ในวัตถุประสงค์ที่ผู้เป็นเจ้าของสารสนเทศรับทราบ ณ ขณะที่มีการรวบรวมสารสนเทศนั้น มิฉะนั้น จะถือว่าเป็นการละเมิดสิทธิส่วนบุคคลด้านสารสนเทศ
การระบุตัวตน (Identification)ระบบสารสนเทศต้องสามารถระบุตัวตนของผู้ใช้แต่ละคนที่ใช้งานระบบได้ รูปแบบการระบุตัวตนที่นิยมใช้ คือ การใช้ Username
การพิสูจน์ทราบตัวตน (Authentication)การพิสูจน์ทราบตัวตนเกิดขึ้นเมื่อระบบควบคุมพิสูจน์ว่าผู้ใช้ใช่คนที่ผู้ใช้บอกหรือไม่ เช่น ถ้าผู้ใช้ระบุ Username ต้องระบุรหัสผ่านที่คู่กับ Username นั้นได้
การอนุญาติใช้งาน (Authorization)เป็นการตรวจสอบสิทธิ์ของผู้ใช้ว่ามีสิทธิ์ให้ใช้งานได้ในระดับไหน โดยสิทธิ์ประกอบด้วย การเข้าถึงหรืออ่าน การแก้ไข การลบข้อมูล เป็นต้น
การตรวจสอบได้ (Accountability)เช่น การเก็บล็อก (Logs) เกี่ยวกับกิจกรรมต่างๆ ที่ผู้ใช้แต่ละคนใช้งานระบบ
อุปสรรคของความมั่นคงปลอดภัยของระบบสารสนเทศ
“ความมั่นคงปลอดภัย” คือ “ความไม่สะดวก”ผู้ใช้คอมพิวเตอร์ทั่วไป มักมีความคิดเห็นว่าการรักษาความมั่นคงปลอดภัยของระบบคอมพิวเตอร์นั้นทำให้การทำงานไม่สะดวก เนื่องจากต้องเสียเวลาในการป้อนรหัสผ่าน และกระบวนการอื่นๆ ในการพิสูจน์ตัวตนผู้ใช้
มีความซับซ้อนบางอย่างในคอมพิวเตอร์ที่ผู้ใช้ทั่วไปไม่ทราบ เช่น Registry, Port และ Service ต่างๆ ที่จะทราบเฉพาะในแวดวงของโปรแกรมเมอร์หรือผู้ดูแลระบบ ทำให้ผู้ใช้คอมพิวเตอร์ทั่วไปไม่ได้ระมัดระวังความปลอดภัยในด้านนี้
ผู้ใช้คอมพิวเตอร์ไม่ระแวดระวัง ผู้ใช้ทั่วไปที่ไม่มีความชำนาญหรือไม่มีความรู้ความสามารถด้านคอมพิวเตอร์มากพอ มักใช้คอมพิวเตอร์อย่างไม่ระวัง จึงตกเหยื่อของการโจมตีเสมอ
การพัฒนาซอฟต์แวร์โดยคำนึงถึงความมั่นคงปลอดภัยภายหลัง โครงการพัฒนาซอฟต์แวร์ส่วนใหญ่มักจะให้ความสำคัญกับการดำเนินงานให้ทันตามกำหนดเวลา ในกระบวนการทดสอบบางครั้งจึงอาจมีการละเลยหรือขาดตกบกพร่องไป ทำให้ซอฟต์แวร์มีช่องโหว่เป็นจุดอ่อนในการถูกโจมตีได้ในที่สุด
ความมั่นคงปลอดภัยไม่ได้เกิดขึ้นที่ซอฟต์แวร์และฮาร์ดแวร์เพียงอย่างเดียว การรักษาความมั่นคงปลอดภัยของสารสนเทศเป็นงานที่เป็น “กระบวนการ” ต้องอาศัยความร่วมมือจากผู้ใช้ทั้งองค์กร มีนโยบายบังคับให้ผู้ใช้มุ่งไปสู่การรักษาความมั่นคงปลอดภัยด้วยเป้าหมายเดียวกัน
แนวโน้มเทคโนโลยีสารสนเทศคือการ “แบ่งปัน” ไม่ใช่ “การป้องกัน” เทคโนโลยีอินเทอร์เน็ตในปัจจุบันเน้นการสร้างการเชื่อมโยงของผู้ใช้จากทุกมุมโลก ที่นิยมในปัจจุบันคือ “Social Network” เกิดสังคมแบ่งปันข้อมูลโดยขาดความระมัดระวัง ทำให้เกิดช่องโหว่ของการโจมตีได้
มีการเข้าถึงข้อมูลได้จากทุกสถานที่ปัจจุบันอุปกรณ์คอมพิวเตอร์แบบพกพา หรือโทรศัพท์มือถือแบบ Smart Phone สามารถเข้าถึงเว็บไซต์หรือแหล่งข้อมูลขององค์กรได้ และปัจจุบันมี “Online Storage” ที่ให้บริการเพื่อให้ผู้ใช้ได้ฝากไฟล์ไว้บนเว็บไซต์ สามารถเข้าถึงได้ตลอดเวลา ซึ่งมีความเสี่ยงต่อการโจมตีสูงมาก ถ้าผู้อื่นทราบชื่อผู้ใช้และรหัสผ่านก็เข้าถึงข้อมูลได้
มิจฉาชีพมักมีความเชี่ยวชาญ มิจฉาชีพมีความเชี่ยวชาญและชำนาญการเจาะข้อมูลของผู้อื่นมากเป็นพิเศษ จึงทำให้เทคโนโลยีการป้องกันย่อมล้าหลังเทคโนโลยีของมิจฉาชีพเสมอ
ฝ่ายบริหารมักไม่ให้ความสำคัญแก่ความมั่นคงปลอดภัย เนื่องจากงานความมั่นคงปลอดภัยสร้างผลตอบแทนที่ไม่ใช่ตัวเงิน ดังนั้นงานด้านความมั่นคงปลอดภัยขององค์กรโดยทั่วไป จึงมักถูกพิจารณาภายหลัง หรือถูกพิจารณาเมื่อองค์กรถูกโจมตีจากภัยคุกคาม และเกิดความเสียหายจำนวนมาก
บทบาทของบุคลากสารสนเทศ
ในด้านความมั่นคงปลอดภัย
ทีมงานดำเนินโครงการความมั่นคงปลอดภัยของสารสนเทศ (Information Security Project) จำแนกให้รับผิดชอบงานหลายบทบาทดังนี้
ผู้สนับสนุน (Champion) คือ ผู้บริหารระดับสูง ทำหน้าที่ริเริ่มโครงการและให้การสนับสนุนทั้งด้านการเงินและการบริหารจัดการ
หัวหน้าทีม (Team Leader) คือ ผู้บริหารโครงการ ทำหน้าที่คอยควบคุมการดำเนินทั้งด้านการเงินและการบริหารจัดการ
นักพัฒนานโยบายความมั่นคงปลอดภัย (Security Policy Developer) เป็นผู้ที่มีความเข้าใจในวัฒนธรรมองค์กรเป็นอย่างดี นอกจากนี้ ยังเป็นผู้ที่ทราบถึงนโยบายขององค์กร เข้าใจความต้องการและการนำนโยบายไปใช้ให้ประสบผลสำเร็จด้วย
ผู้ชำนาญการประเมินความเสี่ยง (Risk Assessment Specialist) ทำหน้าที่ในการประเมินความเสี่ยงทางด้านการเงินขององค์กร ต้องทราบถึงเทคนิคต่างๆ ที่ใช้ประเมินความเสี่ยงเป็นอย่างดี และสามารถเลือกเทคนิคที่มีประสิทธิภาพมากที่สุดได้
ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของสารสนเทศ (Security Professional) เป็นผู้ที่มีความรู้ ความเชี่ยวชาญในด้านความมั่นคงปลอดภัยของสารสนเทศเป็นอย่างดี
ผู้ดูแลระบบ (System Administrator) ทำหน้าที่ดูแลระบบคอมพิวเตอร์ และอุปกรณ์อื่นๆ ที่เกี่ยวข้อง
ผู้ใช้ระบบ (End User) คือ ผู้ใช้ระบบความมั่นคงปลอดภัยของสารสนเทศที่กำลังพัฒนา โดยทั่วไปนิยมให้ผู้ใช้เข้ามามีส่วนร่วมในการพัฒนาระบบด้วย เพื่อให้ระบบสามารถตอบสนองแก่ผู้ใช้งานได้อย่างถูกต้อง
บทที่3
ระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ
การบริหารหรือการจัดการความมั่นคงปลอดภัยของสารสนเทศ
มีคุณลักษณะพิเศษ 6 ด้าน เรียกว่า “6P’s” ดังนี้
Planning เป็นการวางแผนสำหรับการดำเนินงานความมั่นคงปลอดภัยของสารสนเทศ เป็นแผนงานระดับปฏิบัติการ
Policy เป็นการกำหนดนโยบาย กฎเกณฑ์ ระเบียบ และข้อบังคับ เพื่อรักษาความมั่นคงปลอดภัยของสารสนเทศ
Programs คือ โครงการต่างๆ ที่จัดขึ้นเพื่องานด้านความมั่นคงปลอดภัยของสารสนเทศ เช่น การฝึกอบรม ให้ความรู้
Protection เป็นการกำหนดมาตรฐานการป้องกันรอดพ้นจากการโจมตีโดยภัยคุกคามชนิดต่างๆ หรือทำให้เกิดความเสียหายน้อยที่สุด
People คือ บุคลากรเป็นปัจจัยสำคัญต่องานบริหารทุกด้าน เป็นจุดเชื่อมโยงไปยังความสำเร็จอื่นๆ
Project Management ทุกโครงการในงานด้านความมั่นคงปลอดภัยของสารสนเทศ ต้องอาศัยการบริหารโครงการเป็นกรอบในการดำเนินงาน
นโยบายความมั่นคงปลอดภัยของสารสนเทศและความสำคัญ นโยบาย (Policy) คือ แผนงานหรือกลุ่มของข้อปฏิบัติที่องค์กรใช้เป็นตัวกลางในการถ่ายทอดคำสั่งจากผู้บริหารระดับสูงไปยังบุคลากรในระดับตัดสินใจ ระดับปฏิบัติการ และระดับอื่นๆ
นโยบายเป็นเสมือนกฎหมายที่บังคับใช้ในองค์กร เนื่องจากนโยบายได้ระบุข้อปฏิบัติที่ถูกและผิดไว้ภายใต้กรอบวัฒนธรรมขององค์กรนั้นๆ รวมทั้งยังได้มีการกำหนดบทลงโทษสำหรับผู้ที่มีความประพฤติขัดต่อนโยบายด้วย
การบริหารความเสี่ยง (Risk Management)
ความเสี่ยง (Risk) เป็นพื้นฐานที่ทำให้ต้องมีการรักษาความปลอดภัย (Security) ความเสี่ยงคือ ความเป็นไปได้ที่อาจก่อให้เกิดผลเสียหายต่อข้อมูลสำคัญและระบบ รวมถึงอุปกรณ์ที่สนับสนุนการทำงานให้กับข้อมูลสำคัญนั้น กระบวนการในการบริหารจัดการความเสี่ยงตามมาตรฐาน ISO/IEC 27001 ประกอบด้วย 2 ส่วนหลักๆ คือ
การประเมินความเสี่ยง (Risk Assessment)
การรักษาความเสี่ยง (Risk Treatment)
อาชญากรรมทางคอมพิวเตอร์
ความซับซ้อนของการโจมตี การแฮค แคร็ค และโจมตีระบบคอมพิวเตอร์มีอัตราเพิ่มขึ้นทุกปี ภาครัฐและเอกชนมีความพยายามในการป้องกันปัญหานี้ เช่น
การค้นหาและพิสูจน์ทราบตัวตนของผู้โจมตี
การป้องกันและรักษาความปลอดภัยในเครือข่าย
การดำเนินคดีกับผู้โจมตีเมื่อถูกจับได้
จริยธรรมกับความมั่นคงของสารสนเทศ
“กฏหมาย” ถูกกำหนดขึ้นจากจารีตประเพณีและจริยธรรมอันดีงามที่บุคคล พึงปฏิบัติเมื่ออยู่ในสังคม
“จริยธรรม” คือ หลักของความถูกต้องและไม่ถูกต้อง ซึ่งถูกใช้เป็นตัวแทนทางศีลธรรมในการปฏิบัติตนของบุคคลใดๆ