วันอังคารที่ 8 กุมภาพันธ์ พ.ศ. 2554

ความเสี่ยงของระบบสารสนเทศและจรรยาบรรณ-5202112685

ความเสี่ยงของระบบสารสนเทศ  
หมายถึง เหตุการ์ที่ก่อให้เกิดความสูญเสียหรือทำลายฮาร์ดแวร์  ซอฟต์แวร์  ข้อมูล  สารสนเทศ  หรือความสามารถในการประมวลผลข้อมูลของระบบ

ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
  • แฮกเกอร์  (Hacker) คนที่เข้าไปเจาะข้อมูล 
  • แครกเกอร์ (Cracker)
  • ผู้ก่อให้เกิดภัยมือใหม่  (Script Kiddies)
  • ผู้สอดแนม (Spies)
  • เจ้าหน้าที่ขององค์กร  (Employees)
  • ผุ้ก่อการร้ายทางคอมพิวเตอร์  (Cyberterrorist)

การโจมตีระบบเครือข่าย /ประเภทของความเสี่ยง
  • การโจมตีขั้นพื้นฐาน (Basic Attacks)  เช่น  กลลวงทางสังคม  และรื้อค้นเอกสารทางคอมพิวเตอร์จากที่ทิ้งขยะ
  • การโจมตีด้านคุณลักษณะ (Identity Attacks) เช่น DNS Spoofing และ email spoofing  การเลียนแบบว่าเป็นอีกคนนึง  เช่น อีเมล์ไวรัส  ปลอมแปลงว่ามาจากอีกคนนึง  ลวงให้ผู้ใช้กด link เข้าไปเพื่อลวงเอาข้อมูล  หรือรหัสในการทำธุรกรรม
  • การปฏิเสธการให้บริการ(Denial of Service หรือ DoS)  เช่น  Distributed denial-of-service (DDoS), DoSHTTP (HTTP Flood Denial of Service)  
  • การโจมตีด้วยมัลแวร์  (Malware)  โปรแกรมมุ่งร้ายที่โจมตีการปฏิบัติงานของคอมพิวเตอร์   ประกอบด้วยไวรัส  เวิร์ม  โทรจันฮอร์ส  และลอจิกบอมบ์  จะเป็นพวกเมื่อถึงเวลาจะทำงานมุ่งร้ายต่อคอมพิวเตอร์
  • และโปรแกรมมุ่งร้ายที่โจมตีความเป็นส่วนตัวของสารสนเทศ  ที่มีชื่อเรียกว่า  สปายแวร์  ประกอบด้วย แอดแวร์,  พิชชิง,   Keyloggers ซึ่งสามารถบอกได้ว่าผู้ใช้คอมพิวเตอร์พิมอะไรบ้าง  มีทั้งที่เป็นซอฟท์แวร์และฮาร์ดแวร์  , การเปลี่ยนปรับแ่ต่งระบบ 
  • การเข้าถึงระบบโดยไม่ได้รับอนุญาต  หมายถึง การใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ  ซึ่งส่วนมากจะเป็นการใช้คอมพิวเตอร์หรือข้อมูลในเครื่องคอมพิวเตอร์เพื่อทำกิจกรรมบางอย่างที่ผิดกฎระเบียบของกิจการหรือการกระทำที่ผิดกฎหมาย
  • การขโมย ฮาร์ดแวร์ ซึ่งมักอยู่ในรูปของการตัดสายเชื่อมต่อระบบเครือข่ายคอมพิวเตอร์  หรือขโมยฮาร์ดแวร์  เช่น  การขโมยสื่อจัดเก็บซอฟต์แวร์  การลบโปรแกรมโดยตั้งใจ  และการทำสำเนาโปรแกรมอย่างผิดกฎหมาย  หรือการขโมยสารสนเทศ  มักอยู่ในรูปของการขโมยข้อมุลที่เป็นความลับส่วนบุคคล
  • ความล้มเหลวของระบบสารสนเทศ  เช่น เสียง  แรงดันไฟฟ้าต่ำ  แรงดันไฟฟ้าสูง
 ตัวอย่าง 
  • การเข้าเว็บเพจที่ถูก spoof เช่นพิมผิด  จะไปเข้าเว็บไซตฺนึง  แต่กลับเข้าไปอีกเว็บไซต์  ที่เค้าพยายามปลอมแปลงให้เข้าใจผิด  เพื่อลวงเอา user name & password (Phishing)
  •  IP Spoofing 
  • Distributed denial of service  เมื่อเข้าไปในเว็บไซต์ที่ไม่น่าเชื่อถือ  มักมีไวรัสติดไปในเครื่อง  และจะตั้งเวลาไว้ว่าเมื่อถึงช่วงเวลาหนึ่ง  เมื่อคอมพิวเตอร์ยังออนไลน์อยู่  ก็จะส่งรีเควสไปที่เว็บไซต์เป้าหมาย อาจเพื่อเป็นการลองวิชา  หรือ  ลดความเชื่อถือของบริษัทคู่แข่ง
  • กลุ่มข้อมูลที่จัดส่งไปยังเว็บ  สามารถดูได้ว่า IP นี้ได้เข้าไปใช้เว็บไซต์ใดบ้าง  บางทีอาจรุ้ถึง password ซึ่งอาจเป็นการละเมิดสิทธิ
  • การเจาะฐานข้อมูลของเซิฟเวอร์  เพื่อนำข้อมูลพวก user name & password เช่นพวกบริษัทบัตรเครดิตต่างๆ

การรักษาความปลอดภัยของระบบสารสนเทศ
  • ติดตั้งโปรแกรมป้องกันไวรัสและปรับปรุง Virus signature
  • ติดตั้ง Firewall
  • ติดตั้งซอฟต์แวร์ตรวจจับการบุกรุก  ดูว่าคนที่เข้ามาใช้ระบบ หรือใช้เว็บไซต์มาจากไอพีแอดเดรสไหน
  • ติดตั้ง Honeypot  ตั้งระบบป้องกันไว้หลอกๆ  โดยตั้ง Demilitarized Zone(DMX)   คือ  หากมีไอพีแอดเดรสแปลกๆมาก็จะป้องกันไม่ใ้ห้เข้า  จากนั้นถ้าหลุดขั้นแรกจะเจอ firewall อีกชั้นหนึ่ง
  • การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต
    •  การระบุตัวตน
    • การพิสูจน์ตัวจริง  เช่น รหัสผ่าน   ข้อมูลที่ทราบเฉพาะบุคคลที่เป็นเจ้าของ  ใช้บัตรผ่านที่มีลักษณะเป็นบัตรประจำตัว  (ex. ATM) ลักษณะทางกายภาพของบุคคล  เช่น  ม่านตา  เป็นตัน
    • การควบคุมการเข้าถึงทางกายภาพ  เช่นปิดห้องและหน้าต่าง
    • กิจการบางแห่งนำระบบ Real time location system (RTLS)  มาใช้เพื่อระบุสถานที่ที่มีความเสี่ยงสูงโดยนำ RFID tags ติดที่อุปกรณ์คอมพิวเตอร์เพื่อใช้ในการติดตามอุปกรณฺนั้นๆ
    • ปัจจุบันมีการออกแบบเครื่องคอมพิวเตอร์ให้สามารถควบคุมการเปิดเครื่องและการเข้าใช้งาน
    • เก็บรักษาแผ่นซอฟต์แวร์ในสถานที่มีการรักษาความปลอดภัย
    • ในกรณีที่มีโปรแกรมเมอร์ลาออกหรือถูกให้ออก  ต้องควบคุมแลติดตามโปรแกรมเมอร์ทันที (Escort) 
    • การเข้ารหัส  คือ กระบวนการในการแปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถอ่านได้  ให้อยู่ในรูปที่เฉพาะผู้ที่เกี่ยวข้องเท่านั้น สามารถอ่านข้อมุลได้  เช่น  การเข้ารหัสแบบสลับตำแหน่ง 
      • องค์ประกอบของการเข้ารหัส ไ้ด้แก่ Plaintext  Algorithm  Secure key
      • การเข้ารหัสแบบไม่สมมาตร  คือเวลาส่งข้อความหากันระหว่างคอมพิวเตอร์  ก็จะมีคีย์ลับ  อาจจะเอาเลขมาเปลี่ยนเป็นตัวอักษร  หรือเปลี่ยนเป็น symbol  แต่พอไปเครื่องที่สองของคนรับก็จะมีำไฟล์ที่เป็นคีย์  ที่ทำให้อ่านออกได้
  •   การรักษาความปลอดภัยอื่นๆ 
    • Secure sockets layer (SSL) โดยเว็บเพจที่ใช้ SSL จะขึ้นต้นด้วย https แทนที่จะเป็น http ก่อนที่จะส่งข้อมูลสำคัญ  หรือทำธุรกรรมทางการเงิน
  • Secure HTTP (S-HTTP) เช่น  ระบบธนาคารออนไลน์จะใช้ S-HTTP
  • Virtual private network  (VPN)  เช่นเวลาอยู่ที่นึง  จะสามารถเข้าืเนตเวิคเข้ามหาลัยได้ ก็ต้องผ่าน VPN  (พวก username password)
  • การควบคุมความล้มเหลวของระบบสารสนเทศ  เช่น การป้องกันแรงดันไฟฟ้าใช้ Surge protector
  • ไฟฟ้าดับใช้ Uninterruptible power supply (UPS)
  • กรณีระบบสารสนเทศถูกทำลาย  การควบคุมทำโดยการจัดแผนการทำให้กลับคืนสู่สภาพเดิมจากภัยพิบัติ  (Disaster Recovery-DR) หรือ Business continuity planning (BCP)
  • การสำรองข้อมูล
  • การรักษาความปลอดภัยของแลนไร้สาย 
จรรยาบรรณ
  • จรรยาบรรณทางคอมพิวเตอร์  คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ  ซึ่งประกอบด้วย
    • การใช้คอมพิวเตอร์  และเครือข่ายโดยไม่ได้รับอนุญาต
    • การขโมยซอฟแวร์ (การละเมิดลิขสิทธิ์๗
    • ความถูกต้องของสารสนเทศ เช่นการตกแต่งรูปภาพ
    • สิทธิ์ต่อทรัพย์สินทางปัญญา
    • หลักปฏิบัติ
    • ความเป็นส่วนตัวของสารสนเทศ
เขียนโดย ที่

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)