Information Technology Security
ความเสี่ยงของระบบสารสนเทศ(Information system risk)
เหตุการณ์หรือการกระทำใดๆ ที่มีแนวโน้มว่าจะก่อให้เกิดความเสียหายในระบบสารสนเทศ ไม่ว่าจะเป็นในส่วนของ Hardware, Software ข้อมูลสารสนเทศ หรือความสามารถในการประมวลผล อาทิเช่น การถูกขโมยข้อมูล การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การโดนไวรัสเข้ามาทำลายระบบ เป็นต้น
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงดังกล่าว
1. แฮกเกอร์ (Hacker) กลุ่มผู้เจาะระบบโดยไม่หวังผลใด นอกจากแสดงความสามารถในการหาจุดอ่อนของระบบได้ ซึ่งเป็นการชี้ให้ผู้จัดทำระบบเห็นถึงปัญหาของระบบและจัดการปรับปรุงแก้ไข
2. แครกเกอร์ (Cracker) เป็นกลุ่มผู้เจาะระบบประเภทที่ต้องการผลอะไรบางอย่าง เช่น ทำลายระบบ ขโมยระบบมาใช้ (อาทิ crack โปรแกรมลิขสิทธิ์) กลุ่มนี้จะก่อให้เกิดผลเสียต่อระบบมากกว่าผลดี
3. ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies)
4. ผู้สอดแนม (Spies)
5. เจ้าหน้าที่ขององค์กร (Employees)
6. ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyberterrorist)
ประเภทของความเสี่ยงของระบบสารสนเทศ
1. การโจมตีระบบเครือข่าย (Network attack)
· การโจมตีขั้นพื้นฐาน (Basic Attacks) เช่น การรื้อค้นข้อมูลจากถังขยะ(recycle bin) ในระบบ
· การโจมตีด้านคุณลักษณะ (Identity Attacks) เป็นการโจมตีในลักษณะของการปลอมแปลงตัวตน เช่น
- DNS Spoofing และ e-mail spoofing เป็นการปลอมแปลงตัวตนผ่านเครือข่าย อาทิ อีเมลล์ เพื่อสวมรอยในการกระทำการบางอย่าง เช่น ส่งแสปมเมลล์
- IP Spoofing เป็นการทำที่อยู่ปลอมขึ้นบนเครือข่าย จากการปลอมแปลง IP address ของเวปไซท์หรือเครื่อง อาทิ เมื่อต้องการที่จะเข้าเวปไซต์หนึ่ง อาจจะถูกดึงไปสู่อีกเวปที่ปลอมแปลง IP เวปไซท์ต้น
· การปฏิเสธการให้บริการ (Denial of Service หรือ DoS) เป็นการส่งสัญญาณแบบถี่ๆในช่วงเวลาหนึ่งๆเข้าเวปไซต์ ทำให้ระบบล่ม ไม่สามารถใช้งานได้ (เช่น การเข้าหน้าเวปไซต์หนึ่งๆ พร้อมๆกันหลายๆคน) เช่น
- Distributed denial-of-service (DDoS)
- DoSHTTP (HTTP Flood Denial of Service)
· การโจมตีด้วยมัลแวร์ (Malware)
โปรแกรมมุ่งร้ายที่โจมตีการปฏิบัติงานของคอมพิวเตอร์ (Computer operations) ประกอบด้วย ไวรัส (Viruses) เวิร์ม (Worms) โทรจันฮอร์ส (Trojan horse) โดยจะมาในรูปแบบของ software ซึ่งอาจจะปลอมแปลงชื่อ หรือติดมากับโปรแกรมอื่นๆ เมื่อเปิดใช้งานแล้วจะทำลายระบบของเครื่องที่เปิดใช้ และอาจรวมถึงเครือข่ายที่เชื่อมต่อกับเครื่องนั้นด้วย (อย่างไรก็ดี ขณะนี้ปรากฎว่าโปรแกรม Malware ทั้งหลายนั้น ทำงานบนระบบปฏิบัติการบางระบบ ในขณะที่บางระบบจะไม่อ่าน เนื่องจาก Malware นั้นไม่ได้สร้างขึ้นเพื่อรองรับการทำงานบนระบบปฏิบัติการนั้นๆ)
2. การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access)
การใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ ซึ่งส่วนมากจะเป็นการใช้คอมพิวเตอร์หรือข้อมูลในเครื่องคอมพิวเตอร์เพื่อทำกิจกรรมบางอย่างที่ผิดกฏระเบียบของกิจการหรือการกระทำที่ผิดกฏหมาย เช่น การเข้าหน้าเว็บไซต์อื่นขณะทำงาน ซึ่งอาจทำให้คอมพิวเตอร์ติดไวรัสได้
3. การขโมย (Theft)
การขโมยฮาร์ดแวร์และการทำลายฮาร์ดแวร์มักอยู่รูปของการตัดสายเชื่อมต่อระบบเครือข่ายคอมพิวเตอร์ เช่น ขโมย RAM, ขโมยจอ เป็นต้น โดยมักขโมยข้อมูลความลับส่วนบุคคล
4. ความล้มเหลวของระบบสารสนเทศ (System failure)
อาจมาจากเสียง (Noise) เช่น มีคลื่นเสียงรบกวน ทำให้ระบบเกิดความผิดพลาดได้ หรือแรงดันไฟฟ้าต่ำ (Undervoltages) เช่น ไฟตก หรือ แรงดันไฟฟ้าสูง (Overvoltages)
การรักษาความปลอดภัยของระบบสารสนเทศ
· การรักษาความปลอดภัยจากการโจมตีระบบเครือข่าย เช่น ติดตั้งโปรแกรมป้องกันไวรัสและปรับปรุง Virus signature หรือ Virus definition การติดตั้งไฟร์วอลล์ (Firewall) เป็นต้น
· การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต จะใช้วิธีการระบุตัวตน เช่น การพิสูจน์ตัวจริงโดยการเข้ารหัส การใช้บัตรผ่านที่เป็นบัตรประจำตัว หรือการตรวจสอบโดยกายภาพส่วนบุคคล เช่น ตรวจม่านตา ลายนิ้วมือ เป็นต้น
· การควบคุมการขโมย เช่น เทคโนโลยี RFID นำมาใช้ตรวจนับจำนวนสินค้า
· การรักษาความปลอดภัยอื่นๆ เช่น Secure sockets layer (SSL) โดยเว็บเพจที่ใช้ SSLจะขึ้นต้นด้วย https แทนที่จะเป็น http หรือ Secure HTTP (S-HTTP) เช่น ระบบธนาคารออนไลน์จะใช้ S-HTTP
· การควบคุมความล้มเหลวของระบบสารสนเทศ เช่น การป้องกันแรงดันไฟฟ้าใช้ Surge protector หรือ Surge suppressor เป็นต้น
· การสำรองข้อมูล (Data Backup) เพื่อเก็บข้อมูลไว้ต่างหากอีกที่หนึ่งแยกจากสำนักงานหรือที่ทำการหลัก
· การรักษาความปลอดภัยของแลนไร้สาย (Wireless LAN) ต้องรักษาข้อมูลสารสนเทศที่มีอยู่ภายในองค์กรโดยควบคุมการเชื่อมโยงเข้าสู่แลนไร้สายด้วย Service Set Identifier (SSID) หรือกลั่นกรองผู้ใช้งานด้วยการกรองหมายเลขการ์ดเน็ตเวิร์ก (MAC Addressing Filtering) เป็นต้น
จรรยาบรรณ
จรรยาบรรณทางคอมพิวเตอร์ คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ เช่น การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์) ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ เป็นต้น
หลักปฏิบัติ คือสิ่งที่เขียนเป็นลายลักษณ์อักษรเพื่อเป็นแนวทางในการตัดสินใจว่าการกระทำใดที่เกี่ยวข้องกับคอมพิวเตอร์เป็นสิ่งที่มีหรือไม่มีจรรยาบรรณ หลักปฏิบัติมีดังนี้เช่น ต้องไม่ใช้คอมพิวเตอร์ในการทำอันตรายบุคคลอื่น ต้องไม่เข้าไปยุ่งเกี่ยวกับแฟ้มข้อมูลของคนอื่น ต้องไม่รบกวนการทำงานทางคอมพิวเตอร์ของคนอื่น เป็นต้น
ความเป็นส่วนตัวของสารสนเทศ มีหลักปฏิบัติดังนี้ เช่น ให้เฉพาะข้อมูลที่จำเป็นเท่านั้นในการกรอกข้อมูลใบลงทะเบียน ใบรับประกัน และอื่นๆ ไม่พิมพ์เบอร์โทรศัพท์ เลขที่บัตรประชาชน บนเช็ค ล่วงหน้า (Preprint) ซื้อสินค้าด้วยเงินสด แทนที่จะเป็นบัตรเครดิต เป็นต้น
ไม่มีความคิดเห็น:
แสดงความคิดเห็น