Please enable JavaScript.
Coggle requires JavaScript to display documents.
5805110014 นาย กิตติชัย แซ่วุ่น สาขา IT ((บทที่ 1 ความมั่นคงปลอดภัยของร…
5805110014 นาย กิตติชัย แซ่วุ่น สาขา IT
บทที่ 1 ความมั่นคงปลอดภัยของระบบสารสนเทศ
:red_flag:
ความสำคัญของความมั่นคงปลอดภัยของระบบสารสนเทศ
Network Security
Computer &Data Security
Information Security Management
องค์ประกอบของความมั่นคงปลอดภัย
การระบุตัวตน (Identification)
การพิสูจน์ทราบตัวตน (Authentication)
ความเป็นส่วนตัว (Privacy)
การอนุญาติใช้งาน (Authorization)
เป็นของแท้ (Authenticity)
การตรวจสอบได้ (Accountability)
ความถูกต้องแม่นยำ (Accuracy)
ความพร้อมใช้ (Availability)
ความสมบูรณ์ (Integrity)
ความลับ (Confidentiality)
ประวัติการรักษาความปลอดภัยของข้อมูล
การรักษาความปลอดภัยด้านการสื่อสาร (Communication Security)
ยุคของจูเลียสซีซาร์ (ยุคศตวรรษที่ 2) มีการคิดค้นวิธีใช้สำหรับ “ซ่อน” ข้อมูล หรือการเข้ารหัสข้อมูล (Encryption)
การรักษาความปลอดภัยด้านกายภาพ (Physical Security)
ในอดีตข้อมูลที่สำคัญจะอยู่ในรูปแบบวัตถุ โดยจะถูกบันทึกไว้บนแผ่นหิน แผ่นหนัง หรือกระดาษ แต่บุคคลสำคัญส่วนใหญ่ไม่นิยมบันทึกข้อมูลที่สำคัญมากๆ ลงบน
สื่อถาวร
การรักษาความปลอดภัยการแผ่รังสี(Emissions Security)
ในช่วงทศวรรษ 1950 มีการค้นพบว่าข้อมูลที่รับ/ส่งสามารถอ่านได้โดยการอ่านสัญญาณไฟฟ้าที่ส่งผ่านสายโทรศัพท์ อุปกรณ์อิเล็กทรอนิกส์ทุกประเภทจะมีการแผ่รังสีออกมา
การรักษาความปลอดภัยคอมพิวเตอร์(Computer Security)
ช่วงทศวรรษ 1970 เดวิด เบลล์ และลีโอนาร์ด ลา พาดูลา พัฒนาแม่แบบสำหรับการรักษาความปลอดภัยของคอมพิวเตอร์แบ่งออกเป็น 4 ชั้น คือ ไม่ลับ ลับ ลับมากและลับที่สุด ผู้ที่สามารถเข้าถึงข้อมูลในระดับใดระดับหนึ่งได้จะต้องมีสิทธิ์ เท่ากับหรือสูงกว่าชั้นความลับของข้อมูล
การรักษาความปลอดภัยเครือข่าย (Network Security)
ในปี 1987 จึงได้มีการใช้มาตรฐาน TNI หรือ เรดบุ๊ค(Red Book) ซึ่งได้เพิ่มส่วนที่เกี่ยวข้องกับเครือข่ายเข้าไป แต่มีข้อกำหนดเกี่ยวกับฟังก์ชันและการรับประกันมาก ทำให้ใช้เวลามากเกินไปในการตรวจสอบระบบ
การรักษาความปลอดภัยข้อมูล(Information Security)
ไม่มีวิธีการใดที่สามารถแก้ปัญหาเกี่ยวกับการรักษาความปลอดภัย ได้ทั้งหมด
ความปลอดภัยที่ดีต้องใช้ทุกวิธีการที่กล่าวมาร่วมกัน จึงจะสามารถให้บริการการรักษาความปลอดภัยข้อมูลได้
อุปสรรคของความมั่นคงปลอดภัยของระบบสารสนเทศ
ความมั่นคงปลอดภัยไม่ได้เกิดขึ้นที่ซอฟต์แวร์และ
ฮาร์ดแวร์เพียงอย่างเดียว
แนวโน้มเทคโนโลยีสารสนเทศคือการ “แบ่งปัน”
ไม่ใช่ “การป้องกัน”
การพัฒนาซอฟต์แวร์โดยคำนึงถึงความมั่นคง
ปลอดภัยภายหลัง
มีการเข้าถึงข้อมูลได้จากทุกสถานที่
ผู้ใช้คอมพิวเตอร์ไม่ระแวดระวัง
มิจฉาชีพมักมีความเชี่ยวชาญ
มีความซับซ้อนบางอย่างในคอมพิวเตอร์ที่ผู้ใช้
ทั่วไปไม่ทราบ
ฝ่ายบริหารมักไม่ให้ความสำคัญแก่ความมั่นคง
ปลอดภัย
“ความมั่นคงปลอดภัย” คือ “ความไม่สะดวก”
ความมั่นคงปลอดภัยของสารสนเทศคือ
การรวมตัวของกระบวนการหลายกระบวนการ ที่มีความสัมพันธ์กันและทำงานร่วมกัน
บทบาทของบุคลากรสารสนเทศในด้านความปลอดภัย
นักพัฒนานโยบายความมั่นคงปลอดภัย
(Security Policy Developer)
ผู้ชำนาญการประเมินความเสี่ยง (Risk
Assessment Specialist)
หัวหน้าทีม (Team Leader)
ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของ
สารสนเทศ (Security Professional)
ผู้สนับสนุน (Champion)
ผู้ดูแลระบบ (System Administrator)
ผู้ใช้ระบบ (End User)
บทที่ 2 ภัยคุกคาม ช่องโหว่ และการโจมตี
:red_flag:
การโจมตี(Attack)
Malicious Code หรือ Malware คือ โค้ดที่มุ่งร้าย
หรือเป็นอันตราย
Hoaxes คือ การปล่อยข่าวหลอกลวง เรื่องการแพร่
ระบาดของไวรัสคอมพิวเตอร์ที่ไม่มีอยู่จริง
Back Door หรือ Trap Door คือ เส้นทางลับที่จะช่วยให้ผู้โจมตี
หรือผู้บุกรุกเข้าสู่ระบบได้โดยไม่ผ่านกระบวนการตรวจ
สอบของระบบ โดย ไวรัส เวิร์ม และโทรจันจะ
เปลี่ยนแปลงค่าบางอย่างให้เกิดช่องโหว่ในระบบ
การเจาะรหัสผ่าน (Password Cracking)
Cracking คือ การบุกรุกเข้าไปในระบบคอมพิวเตอร์
ของผู้ใช้
Brute Force Attack
เป็นการพยายามคาดเดารหัสผ่าน โดยนำคีย์ที่เป็นไป
ได้มาจัดหมู่ (Combination) โดยการคำนวณซ้ำหลายๆ
รอบ เพื่อให้ได้กลุ่มรหัสผ่านที่ถูกต้อง
Dictionary Attack
เป็นการพยายามคาดเดารหัสผ่านจากขอบเขตที่แคบลง โดยคาดเดาจากคำในพจนานุกรม เนื่องจากผู้ใช้งานบางส่วนมักกำหนดรหัสผ่านจากคำง่ายๆ ที่มีไม่กี่พยางค์เหมือนคำในพจนานุกรม
Denaial-of-Service (DoS)
คือ การปฏิเสธการให้บริการของระบบ เป็นการโจมตี
โดยใช้วิธีส่งข้อมูลจำนวนมากไปยังเป้าหมาย ทำให้แบน
วิดธ์เต็มจนไม่สามารถให้บริการต่อไปได้
Spoofing
คือ เทคนิคที่ทำให้เข้าถึงระบบเป้าหมายที่ไม่ได้รับอนุญาตได้โดยใช้ IP Address ของ Server/Host ที่เชื่อถือได้เป็นตัวหลอกล่อ
TCP Hijacking Attack หรือ Man-in-the-Middle เป็นการโจมตีที่ผู้โจมตีจะใช้วิธีคอยติดตาม Packet จากเครือข่าย และดักจับ Packet นั้นมาดัดแปลงเป็นของตนเอง แล้วส่งกลับไปยังเครือข่าย เมื่อฝั่งรับได้รับ Packet แล้วตอบกลับโดยส่งข้อมูลกลับไป จะทำให้ผู้โจมตีได้รับข้อมูลนั้นด้วย
Spam
เป็นการใช้อีเมล์เพื่อการโฆษณาหรือประชาสัมพันธ์
สินค้าและบริการต่างๆ จัดเป็นการกระทำที่สร้างความ
รำคาญมากกว่าการสร้างความเสียหายหรือโจมตีเพื่อหวัง
ผลทำลาย
Mail Bombing
เป็นการโจมตีทางอีเมล์ มีลักษณะการทำลายแบบ
DoS คือการโจมตีจะส่งอีเมล์จำนวนมหาศาลไปยังระบบ
เป้าหมาย เพื่อให้ระบบไม่สามารถให้บริการคำร้องขอ
รายอื่นได้
Sniffers
เป็นโปรแกรมหรืออุปกรณ์ที่สามารถอ่าน ติดตาม และ
ดักจับข้อมูลที่วิ่งอยู่ในเครือข่ายได้ โดยอาจนำข้อมูลที่ดัก
จับมาได้ไปใช้ประโยชน์ในทางที่ผิด
Social Engineering
หรือ วิศวกรรมทางสังคม คือการใช้ทักษะทางสังคม
ในการหลอกลวงเหยื่อให้เปิดเผยข้อมูลส่วนตัวหรือข้อมูล
ที่เป็นความลับ เพื่อนำไปใช้ในทางที่ผิดกฎหมาย
Buffer Overflow
หรือ บัฟเฟอร์ล้น เป็นการโจมตีโดยส่งข้อมูลเข้าสู่
ระบบจำนวนมากเกินกว่าเนื้อที่ในบัฟเฟอร์
Timing Attack
เป็นการโจมตีโดยการขโมยข้อมูลที่จัดเก็บอยู่ใน
Cache ของโปรแกรม Web Browser โดยผู้โจมตีจะ
สร้างไฟล์ Cookies ที่เป็นอันตราย
Zero-day Attack
เป็นการโจมตีโดยการพยายามเจาะช่องโหว่ที่องค์กร
ยังไม่ได้เผยแพร่การค้นพบช่องโหว่นั้นต่อสาธารณะ
มัลแวร์(Malware)
ประตูลับ (Back Door)
หรือ Trap Door คือ เส้นทางลับที่จะช่วยให้ผู้โจมตี
หรือผู้บุกรุกเข้าสู่ระบบได้โดยไม่ผ่านกระบวนการตรวจ
สอบของระบบ โดย ไวรัส เวิร์ม และโทรจันจะ
เปลี่ยนแปลงค่าบางอย่างให้เกิดช่องโหว่ในระบบ
ระเบิดเวลา (Logic Bomb)
เป็นโค้ดโปรแกรมที่ถูกฝังอยู่ในโปรแกรมอื่น รอเวลา
จนกว่าจะเกิดเหตุการณ์ใดๆ ที่ถูกกำหนดไว้ จึงจะทำการ
แทรกตัวเองไปกับแอปพลิเคชันหรือระบบปฏิบัติการ อาจ
ไม่ทำลายระบบโดยตรง แต่จะใช้วิธีแจ้งข้อความไปยังผู้
โจมตีแทน
ม้าโทรจัน (Trojan Horse)
คือโปรแกรมที่ไม่สามารถแพร่กระจายตัวเองไปยัง
คอมพิวเตอร์เครื่องอื่นได้ แต่จะใช้วิธีแฝงตัวอยู่ใน
ลักษณะของไฟล์หรือโปรแกรม เพื่อหลอกให้ผู้ใช้เปิด
ไฟล์หรือดาวน์โหลดมาใช้
ไวรัส (Virus)
หรือ ไวรัสคอมพิวเตอร์ (Computer Virus) คือ
โค้ดหรือโปรแกรมคอมพิวเตอร์ที่มุ่งร้ายต่อโปรแกรมหรือ
ไฟล์อื่น โดยจะฝังหรือสำเนาตัวเองไปกับโปรแกรมหรือ
ไฟล์ข้อมูลที่เป็นเป้าหมาย เมื่อโปรแกรมหรือไฟล์ข้อมูล
นั้นถูกรัน ไวรัสก็จะเริ่มทำงาน ตามคำสั่งที่บรรจุอยู่
ในโค้ด
เวิร์ม (Worm)
คือ โปรแกรมที่มุ่งร้ายที่สามารถสำเนาหรือทำซ้ำตัว
เองไปยังคอมพิวเตอร์เครื่องอื่นได้โดยไม่ต้องอาศัยพาหะ
แต่อาศัยการเดินทางผ่านเครือข่าย เข้ามาตามช่องโหว่
ของระบบปฏิบัติการ ไฟล์ข้อมูล อีเมล์ต่างๆ
ซอมบี้ (Zombie)
คือ เป็นโปรแกรมที่เข้าควบคุมการทำงานของ
คอมพิวเตอร์ที่ตนเองฝังตัวอยู่ จากนั้นจึงใช้คอมพิวเตอร์
ที่ดังกล่าวเป็นเครื่องมือ ในการโจมตีเป้าหมาย
สปายแวร์ (Spyware)
มีลักษณะและพฤติกรรมคล้ายโทรจันคือ ไม่แพร่เชื้อ
ไปติดไฟล์อื่นๆ อาศัยการหลอกผู้ใช้ให้ติดตั้งโปรแกรม
ลงบนเครื่องของตนเอง หรืออาศัยช่องโหว่ของ Web
Browser ในการติดตั้งตัวเองลงบนเครื่องเหยื่อ
ข่าวไวรัสหลอกลวง (Virus and Worm Hoaxes)
คือ วิธีการสร้างความสับสนให้กับผู้ใช้ด้วยข่าวไว
รัสหลอกลวง ที่ส่งต่อกันมาในรูปแบบอีเมล์
ช่องโหว่(Vulnerability)
ระบบปฏิบัติการไม่ได้รับการซ่อมเสริมอย่างสม่ำเสมอ
ไม่มีการอัพเดตโปรแกรม Anti – virus อย่าง
สม่ำเสมอ
Software Bugs
การปรับแต่งค่าคุณสมบัติของระบบผิดพลาด
การจัดการบัญชีรายชื่อผู้ใช้ไม่มีประสิทธิภาพ
เครื่องมือสำหรับการรักษาความปลอดภัย
เครื่องมือในการรักษาความปลอดภัย สามารถแบ่งได้
เป็น 2 ประเภท
Software ได้แก่ Firewall, IDS, Data
Encryption, Anti Virus Software
Hardware ได้แก่ Smart Card, Retina
Scanner, Finger Print
ภัยคุกคาม(Threat)
การกรรโชกสารสนเทศ (Information Extortion)
การทำลายหรือทำให้เสียหาย (Sabotage or
Vandalism)
การจารกรรมหรือการรุกล้ำ
การลักขโมย (Theft)
ภัยร้ายต่อทรัพย์สินทางปัญญา
ซอฟต์แวร์โจมตี (Software Attack)
ความผิดพลาดที่เกิดจากบุคคล
ภัยธรรมชาติ (Forces of Nature)
คุณภาพของบริการที่เบี่ยงเบนไป (Deviations in
Quality of Service)
ความผิดพลาดทางเทคนิคด้านฮาร์ดแวร์ (Technical
Hardware Failures/Errors)
ความผิดพลาดทางเทคนิคด้านซอฟต์แวร์
(Technical Software Failures/Errors)
ความล้าสมัยของเทคโนโลยี (Technical
Obsolescence)
บทที่ 3 ระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ
:red_flag:
การบริหารความเสี่ยง (Risk Management)
การรักษาความปลอดภัยนั้นจะเกี่ยวข้องกับการบริหาร
ความเสี่ยงอย่างใกล้ชิด ถ้าไม่เข้าใจเกี่ยวกับความเสี่ยง
ขององค์กรแล้ว การใช้ทรัพยากรขององค์กรเพื่อการ
รักษาความปลอดภัยนั้นอาจมากเกินความจำเป็นหรือน้อย
กว่าที่ควรจะเป็นก็ได้
โดยปกติระดับของความเสี่ยงจะพิจารณาจาก 2
ปัจจัย คือ
ความรุนแรง (Severity) โดยปกติคำนวณค่าโดย
การพิจารณาจากระดับความสำคัญของข้อมูล
ความน่าจะเป็น (Probability) โดยปกติจะคำนวณ
ค่าโดยการพิจารณาจากการวิเคราะห์ภัยคุกคาม
และช่องโหว่ที่มีต่อข้อมูลและทรัพย์สินขององค์กร
ร่วมกับการพิจารณาถึงวิธีการควบคุมและแก้ไข
ความเสี่ยงที่มีอยู่ในปัจจุบัน
อาชญากรรมทางคอมพิวเตอร์
อาชญากรรมทางคอมพิวเตอร์ (Computer Crime)
มี 2 ประเภทคือ
การโจมตีระบบคอมพิวเตอร์ของบุคคลอื่น
การใช้คอมพิวเตอร์เพื่อการก่อ
อาชญากรรม
นโยบายความมั่นคงปลอดภัยของสารสนเทศ
นโยบาย (Policy) คือ แผนงานหรือกลุ่มของข้อ
ปฏิบัติที่องค์กรใช้เป็นตัวกลางในการถ่ายทอดคำสั่งจาก
ผู้บริหารระดับสูงไปยังบุคลากรในระดับตัดสินใจ ระดับ
ปฏิบัติการ และระดับอื่นๆ
จ
ริยธรรมกับความมั่นคงปลอดภัยของสารสนเทศ
“กฏหมาย” ถูกกำหนดขึ้นจากจารีตประเพณีและ
จริยธรรมอันดีงามที่บุคคล พึงปฏิบัติเมื่ออยู่ในสังคม
“จริยธรรม” คือ หลักของความถูกต้องและไม่ถูกต้อง
ซึ่งถูกใช้เป็นตัวแทนทางศีลธรรมในการปฏิบัติตนของบุคคลใดๆ
ความขัดแย้งที่อาจเกิดขึ้นเมื่อมีการกระทำผิดกฏหมายและ
จริยธรรม
โดยอุบัติเหตุ
โดยเจตนา
อ้างว่าไม่รู้กฏหมาย
บทลงโทษในการกระทำที่ผิดต่อกฏหมายและจริยธรรม
จะใช้ได้ผลก็ต่อเมื่อเกิดเงื่อนไข
ความเป็นไปได้ที่จะถูกจับกุม
ความเป็นไปได้ที่จะถูกลงโทษ
ความเกรงกลัวต่อบทลงโทษ