การรักษาความปลอดภัยระบบสารสนเทศและจรรยาบรรณเบื้องต้น
ความหมายของความเสี่ยงของระบบสารสนเทศ
ความเสี่ยงของระบบสารสนเทศ (Information system risk) หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลายฮาร์ดแวร์ (Hardware) ซอฟต์แวร์ (Software) ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
- แฮกเกอร์ (Hacker) - คนที่เจาะระบบเพื่อขโมยฐานข้อมูลต่างๆ เปลี่ยนแปลงหน้าเวบไซต์/คนที่พยายามเจาะเข้าไปในระบบสารสนเทศอย่างผิดกฏหมาย แม้การกระทำดังกล่าวจะเป็นการกระทำที่ผิดกฏหมาย แต่แฮกเกอร์เชื่อว่าการกระทำดังกล่าวยอมรับได้ เพราะมีวัตถุประสงค์ในการแสดงให้เจ้าของระบบสารสนเทศทราบช่องโหว่ของการรักษาความปลอดภัยของระบบสารสนเทศ
- แครกเกอร์ (Cracker) – คนที่ทำอันตรายต่อการรักษาความปลอดภัยของระบบสารสนเทศโดยมีวัตถุประสงค์ร้าย เป็นผู้ที่มีความรู้ทางคอมพิวเตอร์อย่างมากเช่นเดียวกับแฮกเกอร์ ต่างกันที่แครกเกอร์จะทำลายข้อมูลและทำให้ระบบสารสนเทศและเครือข่ายของกิจการมีปัญหาอย่างมาก
- ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies) - เป็นผู้ที่มีเป้าหมายเช่นเดียวกับแครกเกอร์คือทำลายระบบ แต่มักไม่มีทักษะทางด้านคอมพิวเตอร์มากนัก
- ผู้สอดแนม (Spies) - เป็นผู้ที่ถูกจ้างเพื่อเจาะระบบสารสนเทศและขโมยข้อมูล มักมีทักษะทางคอมพิวเตอร์สูง โดยมีเป้าหมายของระบบที่ต้องการเจาะอย่างชัดเจน ไม่ไร้จุดหมายเหมือนผู้ก่อให้เกิดภัยมือใหม่
- เจ้าหน้าที่ขององค์กร (Employees) - เป็นภัยคุกคามที่มีจำนวนมากขึ้น โดยเจ้าหน้าที่จะเจาะเข้าไปในระบบสารสนเทศของกิจการของตนโดยมีเหตุผลเพื่อแสดงให้เห็นว่าระบบรักษาความปลอดภัยขององค์กรมีจุดอ่อน
- ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyberterrorist) - เมื่อไม่สามารถทำสงครามทางอาวุธได้ ปัจจุบันจึงมีการหันมาก่อการร้ายทางคอมพิวเตอร์กันมากขึ้น โดยใช้ความเชื่อของตนเองในการปรับเปลี่ยนข้อมูลสารสนเทศ ผู้ก่อการร้ายทางคอมพิวเตอร์เป็นนักเจาระบบที่น่ากลัวมากที่สุดในจำนวนนักเจาะระบบ เพราะมีทักษะทางคอมพิวเตอร์ที่สูงมาก และยากที่จะทำนายได้ว่าจะโจมตีเมื่อใด
ประเภทของความเสี่ยงของระบบสารสนเทศ
· การโจมตีระบบเครือข่าย (Network attack)
- การโจมตีขั้นพื้นฐาน (Basic Attacks) เช่น กลลวงทางสังคม (Social engineering) ตัวอย่างเช่น การ share พาสเวิร์ด email กับเพื่อนสนิท และการรื้อค้นเอกสารทางคอมพิวเตอร์จากที่ทิ้งขยะ (Dumpster Diving )
- การโจมตีด้านคุณลักษณะ (Identity Attacks) เช่น DNS Spoofing โดยมักส่งข้อความ/ ไวรัสจากตัวเครื่องของเราไปให้คนอื่นโดยปลอมแปลง IP address เป็นของเรา และ e-mail spoofing ควรหลีกเลี่ยง link จาก email แปลกๆ
- การปฏิเสธการให้บริการ (Denial of Service หรือ DoS) เช่น Distributed denial-of-service (DDoS) , DoSHTTP (HTTP Flood Denial of Service) ส่งสัญญาณ request จากคอมพิวเตอร์ไปทุกวินาทีทำให้ระบบล่ม เพราะเกิดการโจมตี
- การโจมตีด้วยมัลแวร์ (Malware)
- โปรแกรมมุ่งร้ายที่โจมตีการปฏิบัติงานของคอมพิวเตอร์ (Computer’s operations) ประกอบด้วย ไวรัส (Viruses) เวิร์ม (Worms) โทรจันฮอร์ส (Trojan horse) และลอจิกบอมบ์ (Logic bombs) – เอามาฝัง
- และโปรแกรมมุ่งร้ายที่โจมตีความเป็นส่วนตัวของสารสนเทศ (Information privacy) ที่มีชื่อเรียกทั่วไปว่า สปายแวร์ (Spyware) ประกอบด้วย แอดแวร์ (Adware) พิชชิง (Phishing) คีลอกเกอะ (Keyloggers)-เอาไว้ track คีย์บอร์ด ว่ามีการคุยอะไรกับใครบ้าง, การเปลี่ยนการปรับแต่งระบบ (Configuration Changers) การต่อหมายเลข (Dialers) และ แบ็คดอร์ (Backdoors)
· การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access) หมายถึงการใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ ซึ่งส่วนมากจะเป็นการใช้คอมพิวเตอร์หรือข้อมูลในเครื่องคอมพิวเตอร์เพื่อทำกิจกรรมบางอย่างที่ผิดกฏระเบียบของกิจการหรือการกระทำที่ผิดกฏหมาย เช่น พนักงานใช้เครื่องคอมพิวเตอร์ของกิจการทำงานส่วนตัว หรือการเข้าระบบคอมพิวเตอร์ของทางธนาคารเพื่อโอนเงินของผู้อื่นเข้าบัญชีตนเอง
· การขโมย (Theft)
- การขโมยฮาร์ดแวร์และการทำลายฮาร์ดแวร์มักอยู่รูปของการตัดสายเชื่อมต่อระบบเครือข่ายคอมพิวเตอร์
- ขโมยซอฟต์แวร์อาจอยู่ในรูปของการขโมยสื่อจัดเก็บซอฟต์แวร์ การลบโปรแกรมโดยตั้งใจ และการทำสำเนาโปรแกรมอย่างผิดกฏหมาย
- การขโมยสารสนเทศ มักอยู่ในรูปของการขโมยข้อมูลที่เป็นความลับส่วนบุคคล
· ความล้มเหลวของระบบสารสนเทศ (System failure)
- เสียง (Noise)
- แรงดันไฟฟ้าต่ำ (Undervoltages) – เกิดขึ้นเมื่อกระแสไฟตก
- แรงดันไฟฟ้าสูง (overvoltages) - เกิดขึ้นเมื่อกระแสไฟมีกำลังสูงกว่าปกติ
การรักษาความปลอดภัยของระบบสารสนเทศ
· การรักษาความปลอดภัยการโจมตีระบบเครือข่าย
- ติดตั้งโปรแกรมป้องกันไวรัสและปรับปรุง Virus signature หรือ Virus definition และต้องอัพเดตตลอดเวลา
- ติดตั้งไฟร์วอลล์ (Firewall) – เป็นซอฟท์แวร์และฮาร์ดแวร์ที่คอยกั้นไม่ให้สิ่งไม่ดีเข้ามาในเครื่องและในองค์กรเรา องค์กรส่วนใหญ่จะมีการติดตั้ง
- ติดตั้งซอฟต์แวร์ตรวจจับการบุกรุก (Intrusion detection software) – เพื่อตรวจสอบว่าคนที่เข้ามาใช้ทรัพยากรในองค์กรได้มีกี่คน มี IP Address ใด
- ติดตั้ง Honeypot - เป็นระบบที่ติดตั้งให้เหมือนระบบจริงแต่แยกออกมาจากระบบที่กิจการใช้งานอยู่ กิจการ Web hosting ขนาดใหญ่ เช่น Yahoo และ AT&T
· การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต
- การระบุตัวตน (Identification) - วิธีการสำหรับการระบุตัวตนทำได้โดยการใช้ชื่อผู้ใช้ (User name)/บัตร ATM/PIN
- การพิสูจน์ตัวจริง (Authentication) - วิธีการพิสูจน์ตัวจริงทำได้ทำได้หลายวิธีแต่ที่นิยมใช้คือ รหัสผ่าน(Password)/สแกนม่านตา
- ข้อมูลที่ทราบเฉพาะบุคคลที่เป็นเจ้าของ (What you know)
- ใช้บัตรผ่านที่มีลักษณะเป็นบัตรประจำตัว (What you have) เช่น บัตร ATM เป็นต้น
- ลักษณะทางกายภาพของบุคคล (What you are) เช่น ม่านตา นิ้วมือ เป็นต้น
· การควบคุมการขโมย
- ควบคุมการเข้าถึงทางกายภาพ (Physical access control) เช่น การปิดห้องและหน้าต่าง เป็นต้น
- กิจการบางแห่งนำระบบ Real time location system (RTLS) มาใช้เพื่อระบุสถานที่ที่มีความเสี่ยงสูงโดยนำ RFID tags ติดที่อุปกรณ์คอมพิวเตอร์เพื่อใช้ในการติดตามอุปกรณ์นั้นๆ
- ปัจจุบันมีการออกแบบเครื่องคอมพิวเตอร์ให้สามารถควบคุมการเปิดเครื่องและการเข้าใช้งานเครื่องด้วยการใช้ลักษณะทางกายภาพของบุคคล เช่น ลายนิ้วมือ ม่านตา เป็นต้น
- การรักษาความปลอดภัยของซอฟต์แวร์ทำโดยเก็บรักษาแผ่นซอฟต์แวร์ในสถานที่มีการรักษาความปลอดภัย
- ในกรณีที่มีโปรแกรมเมอร์ลาออกหรือถูกให้ออก ต้องควบคุมและติดตามโปรแกรมเมอร์ทันที (Escort)
· การเข้ารหัส คือกระบวนการในการแปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถอ่านได้ (Plaintext) ให้อยู่ในรูปที่เฉพาะผู้ที่เกี่ยวข้องเท่านั้นสามารถอ่านข้อมูลได้ (Ciphertext)
· องค์ประกอบของการเข้ารหัส
- Plaintext
- Algorithm
- Secure key
· ประเภทของการเข้ารหัส
- การเข้ารหัสแบบสมมาตร – ผู้ส่งและผู้รับจะมีคีย์ลับที่เหมือนกัน ปัญหาที่สำคัญของการเข้ารหัสแบบสมมาตรคือ การเก็บรักษาคีย์ที่ใช้ในการเข้ารหัสและถอดรหัสซึ่งเป็นคีย์ตัวเดียวกันให้เป็นความลับ นอกจากนี้ผู้ส่งและผู้รับจะมั่นใจได้อย่างไรว่าคีย์ที่แลกเปลี่ยนกันนั้นไม่ถูกเปิดเผยให้ผู้ใดทราบ
- การเข้ารหัสแบบไม่สมมาตร – ใช้คีย์2 ตัว คือ คีย์สาธารณะ และคีย์ส่วนตัว เช่น Amazonหากเป็นการเข้ารหัสแบบสมมาตร ถ้ามีลูกค้าล้านคนก็ต้องมีล้านคีย์ซึ่งเยอะเกินไป ดังนั้น Amazon จึงต้องมีคีย์สาธารณะ โดยกระจายคีย์สาธารณะไปยังลูกค้าที่ต้องการติดต่อด้วยโดยเก็บคีย์ส่วนตัวเอาไว้โดยไม่เปิดเผยให้ผู้อื่นทราบ แต่ก็มีปัญหาด้านการจัดส่งคีย์สาธารณะว่า ผู้ส่งจะทราบได้อย่างไรว่าคีย์สาธารณะเป็นของผู้ส่งจริงๆ จึงใช้บุคคลที่สามที่ได้รับความเชื่อถือ (Trusted Third Party) ออกใบรับรองอิเลคทรอนิคก์
· การรักษาความปลอดภัยอื่นๆ
- Secure sockets layer (SSL) โดยเว็บเพจที่ใช้ SSL จะขึ้นต้นด้วย https แทนที่จะเป็น http - เป็นการสร้างเน็ตเวิร์กชั่วคราว
- Secure HTTP (S-HTTP) เช่น ระบบธนาคารออนไลน์จะใช้ S-HTTP – เปลี่ยนจาก internet เป็น intranet
- Virtual private network (VPN) - เป็น network เสมือนสำหรับผู้ใช้ภายในเท่านั้น
· การควบคุมความล้มเหลวของระบบสารสนเทศ
- การป้องกันแรงดันไฟฟ้าใช้ Surge protector หรือ Surge suppressor
- ไฟฟ้าดับใช้ Uninterruptible power supply (UPS)
- กรณีระบบสารสนเทศถูกทำลายจนไม่สามารถให้บริการได้ การควบคุมทำโดยการจัดทำแผนการทำให้กลับคืนสู่สภาพเดิมจากภัยพิบัติ (Disaster Recovery – DR) หรือ Business continuity planning (BCP)
· การสำรองข้อมูล (Data Backup) สิ่งที่ต้องตัดสินใจเกี่ยวกับการสำรองข้อมูลประกอบด้วย
1. เลือกสื่อบันทึก (Media) ที่จะทำการสำรองข้อมูล เช่น CD DVD หรือ Portable Harddisk เป็นต้น
2. ระยะเวลาที่ต้องสำรองข้อมูล
3. ความถี่ในการสำรองข้อมูล ขึ้นอยู่กับระยะเวลาสูงสุดที่ระบบจะไม่สามารถให้บริการได้โดยไม่ส่งผลต่อการ ดำเนินงานปกติขององค์กร
4. สถานที่จัดเก็บสื่อบันทึกที่สำรองข้อมูล ซึ่งสามารถจัดเก็บ On Site หรือ Offsite ซึ่งแต่ละประเภทมีข้อดีและข้อเสียแตกต่างกันออกไป
· การรักษาความปลอดภัยของแลนไร้สาย (Wireless LAN)
- ควบคุมการเชื่อมโยงเข้าสู่แลนไร้สายด้วย Service Set Identifier (SSID)
- กลั่นกรองผู้ใช้งานด้วยการกรองหมายเลขการ์ดเน็ตเวิร์ก (MAC Addressing Filtering)
- การเข้ารหัสและถอดรหัสด้วยวิธีการ Wired Equivalency Privacy (WEP)
- จำกัดขอบเขตพื้นที่ให้บริการด้วยการควบคุมกำลังส่งของแอ็กเซสพอยน์
- การพิสูจน์สิทธิเข้าใช้งานแลนไร้สายด้วย Radius Server (ไม่กล่าวในรายละเอียด)
- การสร้าง Virtual Private Network (VPN) บนแลนไร้สาย (ไม่กล่าวในรายละเอียด)
จรรยาบรรณ
· จรรยาบรรณทางคอมพิวเตอร์ คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย
- การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
- การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์)
- ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ เป็นต้น
- สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights)
- หลักปฏิบัติ (Code of conduct)
- ความเป็นส่วนตัวของสารสนเทศ (Information privacy)
· คำถามอย่างกว้างขวางเกี่ยวกับลิขสิทธิ์ดังนี้
- บุคคลสามารถ Download ส่วนประกอบของเว็บไซด์ ต่อจากนั้นปรับปรุง แล้วนำไปแสดงบนเว็บในนามของตนเองได้หรือไม่
- เจ้าหน้าที่ของมหาวิทยาลัยสามารถพิมพ์เอกสารบนเว็บและกระจายให้นักศึกษาเพื่อใช้สำหรับการเรียนการสอนได้หรือไม่
- บุคคลสามารถสแกนรูปภาพหรือหนังสือ ต่อจากนั้นนำไปลงในเว็บซึ่งอนุญาตให้คน Download ได้หรือไม่
- บุคคลสามารถสามารถนำเพลงใส่ในเว็บได้หรือไม่
- นักศึกษาสามารถนำข้อสอบหรือโครงการต่างๆ ที่อาจารย์กำหนดในชั้นเรียนเข้าไปใส่ในเว็บเพื่อให้นักศึกษาคนอื่นๆ ลอกโครงการนั้นแล้วส่งอาจารย์ว่าเป็นงานของตนได้หรือไม่
· หลักปฏิบัติ คือสิ่งที่เขียนเป็นลายลักษณ์อักษรเพื่อเป็นแนวทางในการตัดสินใจว่าการกระทำใดที่เกี่ยวข้องกับคอมพิวเตอร์เป็นสิ่งที่มีหรือไม่มีจรรยาบรรณ หลักปฏิบัติมีดังนี้
- ต้องไม่ใช้คอมพิวเตอร์ในการทำอันตรายบุคคลอื่น
- ต้องไม่รบกวนการทำงานทางคอมพิวเตอร์ของคนอื่น
- ต้องไม่เข้าไปยุ่งเกี่ยวกับแฟ้มข้อมูลของคนอื่น
- ต้องไม่ใช้คอมพิวเตอร์ในการขโมย
- ต้องไม่ใช้คอมพิวเตอร์เพื่อให้หลักฐานที่เป็นเท็จ
- ต้องไม่สำเนาหรือใช้ซอฟต์แวร์ที่ละเมิดลิขสิทธิ์
- ต้องไม่ใช้ทรัพยากรทางคอมพิวเตอร์ของผู้อื่นโดยไม่ได้รับอนุญาต
- ต้องไม่ใช้ทรัพสินทางปัญญาของผู้อื่นเหมือนเป็นของตน
- ต้องคำนึงถึงผลกระทบทางสังคมของโปรแกรมที่ออกแบบ
- ต้องใช้คอมพิวเตอร์ในทางที่แสดงให้เห็นถึงความเคารพในมนุษย์แต่ละคน
· ความเป็นส่วนตัวของสารสนเทศ มีหลักปฏิบัติดังนี้
- ให้เฉพาะข้อมูลที่จำเป็นเท่านั้นในการกรอกข้อมูลใบลงทะเบียน ใบรับประกัน และอื่นๆ
- ไม่พิมพ์เบอร์โทรศัพท์ เลขที่บัตรประชาชน บนเช็ค ล่วงหน้า (Preprint)
- แจ้งองค์การโทรศัพท์ไม่ให้พิมพ์หมายเลขโทรศัพท์ของท่านลงใบสมุดโทรศัพท์
- ถ้าหมายเลขโทรศัพท์ของท่านอยู่ในพื้นที่ๆ สามารถแสดงหมายเลขโทรศัพท์ที่เครื่องของผู้รับได้ ให้ท่านระงับการแสดงหมายเลขโทรศัพท์ที่เครื่องของผู้รับด้วย
- ไม่ควรเขียนหมายเลขโทรศัพท์ของท่านบนในบิลของบัตรเครดิต
- ซื้อสินค้าด้วยเงินสด แทนที่จะเป็นบัตรเครดิต
- ถ้าร้านค้าสอบถามข้อมูลส่วนตัวของท่าน ให้หาเหตุผลว่าทำไมจึงถามคำถามนั้นก่อนที่จะตัดสินใจว่าจะให้หรือไม่ให้ข้อมูล
- กรอกข้อมูลส่วนตัวของท่านบนเว็บเฉพาะส่วนที่ต้องกรอกเท่านั้น
- ติดตั้งตัวจัดการ Cookie เพื่อกลั่นกรอง Cookie
- ลบ History file ภายหลังจากเลิกใช้โปรแกรมเบาวร์เซอร์
- ยกเลิกการเปิดบริการแบ่งปันข้อมูล (File sharing) หรือเครื่องพิมพ์ก่อนการเชื่อมต่ออินเทอร์เน็ต
- ติดตั้งไฟร์วอลล์ส่วนบุคคล
- ติดตั้งโปรแกรม Anti-spam
- ไม่ตอบ e-mail ที่เป็น spam ไม่ว่าจะด้วยเหตุผลใดก็ตาม
· Cookie คือ Text file ขนาดเล็กที่เครื่อง Web server นำมาติดตั้งที่เครื่องคอมพิวเตอร์ (ฮาร์ดดิสก์) ของผู้เรียกเว็บไซด์นั้นๆ โดย Cookie จะมีข้อมูลเกี่ยวกับผู้ใช้ ประกอบด้วย ชื่อหรือเว็บไซด์ที่ชอบเข้า เมื่อผู้ใช้ติดต่อกับเว็บไซด์ โปรแกรมเบาวร์เซอร์จะจัดส่งข้อมูลใน Cookie ไปยังเว็บไซด์
· กฏหมายเกี่ยวกับความเป็นส่วนตัวของสารสนเทศ เช่น Privacy Act และ Family Educational Rights and Privacy Act เป็นต้น โดยกฏหมายนี้ส่วนใหญ่จะกล่าวถึง
- จำนวนของสารสนเทศที่จัดเก็บจะต้องจัดเก็บเท่าที่จำเป็นเพื่อการดำเนินงานของธุรกิจหรือรัฐบาลเท่านั้น
- จำกัดการเข้าถึงข้อมูลที่รวบรวมนั้น โดยให้พนักงานที่เกี่ยวข้องและจำเป็นต้องใช้ข้อมูลเพื่อการปฏิบัติงานสามารถใช้ข้อมูลนั้นได้เท่านั้น
- แจ้งให้ผู้ที่ถูกจัดเก็บข้อมูลทราบว่ากำลังจัดเก็บข้อมูลอยู่ เพื่อให้บุคคลนั้นมีโอกาสในการพิจารณาความถูกต้องของข้อมูล
ไม่มีความคิดเห็น:
แสดงความคิดเห็น