ความเสี่ยงของระบบสารสนเทศ (Information system risk) หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลายฮาร์ดแวร์ (Hardware) ซอฟต์แวร์ (Software) ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
• แฮกเกอร์ บุคคลใดก็ตามที่พยายามเจาะเข้าไปในระบบสารสนเทศอย่างผิดกฏหมาย แต่บางส่วนเชื่อว่าการกระทำดังกล่าวยอมรับได้ เพราะมีวัตถุประสงค์ในการแสดงให้เจ้าของระบบสารสนเทศทราบช่องโหว่ของการรักษาความปลอดภัยของระบบสารสนเทศ เรียกว่า แฮกเกอร์ที่มีจรรยาบรรณ (Ethical hackers)
• แครกเกอร์ คือบุคคลที่ทำอันตรายต่อการรักษาความปลอดภัยของระบบสารสนเทศโดยมีวัตถุประสงค์ร้าย โดยจะทำลายข้อมูลและทำให้ระบบสารสนเทศและเครือข่ายของกิจการมีปัญหาอย่างมาก
• ผู้ก่อให้เกิดภัยมือใหม่ มีเป้าหมายทำลายระบบ แต่มักไม่มีทักษะทางด้านคอมพิวเตอร์มากนัก
• ผู้สอดแนม เป็นบุคคลที่ถูกจ้างเพื่อเจาะระบบสารสนเทศและขโมยข้อมูล มักมีทักษะทางคอมพิวเตอร์สูง โดยมีเป้าหมายของระบบที่ต้องการเจาะอย่างชัดเจน
• เจ้าหน้าที่ขององค์กร เจาะเข้าไปในระบบสารสนเทศของกิจการเพื่อแสดงให้เห็นว่าระบบรักษาความปลอดภัยขององค์กรมีจุดอ่อน
• ผู้ก่อการร้ายทางคอมพิวเตอร์ ใช้ความเชื่อของตนเองในการปรับเปลี่ยนข้อมูลสารสนเทศ หรือการทำให้ระบบสารสนเทศ ปฏิเสธการให้บริการกับผู้ใช้ที่มีสิทธิในการใช้ระบบอย่างถูกต้อง หรือเจาะเข้าไปในระบบเพื่อทำให้ข้อมูลเสียหายอย่างมาก น่ากลัวมากที่สุดในจำนวนนักเจาะระบบ มีทักษะทางคอมพิวเตอร์ที่สูงมาก และโจมตีในรูปแบบใหม่อย่างอย่างฉับพลันรวดเร็ว
ประเภทของความเสี่ยงของระบบสารสนเทศ
• การโจมตีระบบเครือข่าย (Network attack)
• การโจมตีขั้นพื้นฐาน (Basic Attacks) เช่น กลลวงทางสังคม (Social engineering) และการรื้ออค้นเอกสารทางคอมพิวเตอร์จากที่ทิ้งขยะ (Dumpster Diving )
• การโจมตีด้านคุณลักษณะ (Identity Attacks) เช่น DNS Spoofing, Web Page Spoofing (URL ไม่ตรงตามเว็บที่แท้จริง) เลียนแบบหน้า Web Page ทำให้เราป้อนข้อมูลส่วนตัวโดยคิดว่าเป็นเว็บไซต์ที่เชื่อถือได้ เช่น การทำธุรกรรมทางการเงินต่างๆ โดยคิดว่าเป็น Website ธนาคาร, e-mail spoofing มักจะมี Link ที่เป็น Spam ติดมาด้วย ทางที่ดีที่สุดควร Delete ทันที และ IP Spoofing (Internet Protocol: IP Address ของคอมพิวเตอร์) ข้อมูลที่เรากรอกจะถูกส่งไปยังคอมเครื่องอื่น เสมือนเรามิได้ทำรายการแต่เป็นคนอื่นแทน
• การปฏิเสธการให้บริการ (Denial of Service หรือ DoS) เช่น Distributed denial-of-service (DDoS) ไวรัสหรือ Malware ที่ตั้งเวลาไว้ ให้ส่งข้อมูลการใช้งาน Website ทั้งหมดออกไปยังคนนอก โดยไม่เป็นอันตรายต่อคอมพิวเตอร์ของเรา , DoSHTTP (HTTP Flood Denial of Service) ทำเพื่อลดความน่าเชื่อถือของบริษัทคู่แข่ง จากการที่ลูกค้าไม่สามารถใช้เว็บได้ เว็บล่ม
• การโจมตีด้วยมัลแวร์ (Malware)
• โปรแกรมมุ่งร้ายที่โจมตีการปฏิบัติงานของคอมพิวเตอร์ (Computer’s operations) ประกอบด้วย
• ไวรัส หมายถึงโปรแกรมที่ติดตัวเองไปกับเอกสารหรือโปรแกรม ประมวลผลเมื่อเอกสารหรือโปรแกรมนั้นถูกเปิด ก่อให้เกิดปัญหา เช่น ล้างข้อมูลออกจากที่จัดเก็บ ขยายขนาดของโปรแกรมเพื่อให้ใช้พื้นที่ของเครื่องคอมพิวเตอร์เป็นจำนวนมาก หรืออนุญาตให้ผู้โจมตีสามารถเข้าถึงเครื่องคอมพิวเตอร์ในระยะไกลได้ เป็นต้น
• เวิร์ม เป็นโปรแกรมมุ่งร้ายเช่นเดียวกับไวรัส แต่มีสามารถที่จะไปยังที่ต่างๆ และประมวลผลได้ด้วยตัวเอง
• โทรจันฮอร์ส คือโปรแกรมที่ทำลายระบบคอมพิวเตอร์โดยแฝงมากับโปรแกรมอื่นๆ เช่น เกม
• ลอจิกบอมบ์ เป็นโปรแกรมที่แฝงตัวในโปรแกรมคอมพิวเตอร์ แต่จะยังไม่ทำงานจนกว่าเงื่อนไขที่กำหนดเกิดขึ้น
• โปรแกรมมุ่งร้ายที่โจมตีความเป็นส่วนตัวของสารสนเทศ (Information privacy) ที่มีชื่อเรียกทั่วไปว่า สปายแวร์ (Spyware) ประกอบด้วย
• แอดแวร์ คือโปรแกรมที่จะแสดงข้อความโฆษณาที่เว็บเพจโดยที่ผู้ใช้งานมิได้ต้องการ
• พิชชิง คือการส่งอีเมลไปให้ผู้ใช้ แสดงเว็บเพจปลอมซึ่งมีการจัดทำหน้าเว็บเพจให้เหมือนของจริง ถ้าผู้ใช้ป้อนรหัสผ่านหรือเลขที่บัตรเครดิตเข้าไปในเว็บเพจดังกล่าว ข้อมูลก็จะถูกขโมยและนำไปใช้ต่อไป นอกจากนี้ยังมีวิธีการ พาร์มมิง (Pharming) ให้ผู้ใช้เข้าเยี่ยมชมเว็บไซด์ปลอมจะเชื่อมโยงผู้ใช้ไปยังเว็บไซด์ปลอมอัตโนมัติเมื่อผู้ใช้ป้อนที่อยู่เว็บในเว็บเบราว์เซอร์ด้วยวิธีการของ DNS Spoofing
• คีลอกเกอร์ อาจเป็นอุปกรณ์คอมพิวเตอร์หรือโปรแกรมขนาดเล็กที่บันทึกการกดแป้นพิมพ์เพื่อป้อนตัวอักขระและจัดเก็บในแฟ้มข้อมูล เช่น ตู้ ATM ที่ถูก hack
• แบ็คดอร์ ทำให้การเข้าถึงระบบไม่ต้องผ่านขั้นตอนการป้อนรหัสประจำตัวและรหัสผ่าน
• การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access) หมายถึงการใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ ซึ่งส่วนมากจะเป็นการใช้คอมพิวเตอร์หรือข้อมูลในเครื่องคอมพิวเตอร์เพื่อทำกิจกรรมบางอย่างที่ผิดกฏระเบียบของกิจการหรือการกระทำที่ผิดกฏหมาย
• การขโมย (Theft)
• การขโมยฮาร์ดแวร์และการทำลายฮาร์ดแวร์ ตัดสายเชื่อมต่อระบบเครือข่ายคอมพิวเตอร์
• ขโมยซอฟต์แวร์อาจอยู่ในรูปของการขโมยสื่อจัดเก็บซอฟต์แวร์ การลบโปรแกรมโดยตั้งใจ และการทำสำเนาโปรแกรมอย่างผิดกฏหมาย
• การขโมยสารสนเทศ ความลับส่วนบุคคล
• ความล้มเหลวของระบบสารสนเทศ (System failure)
• เสียง (Noise)
• แรงดันไฟฟ้าต่ำ (Undervoltages)
• แรงดันไฟฟ้าสูง (overvoltages)
การรักษาความปลอดภัยของระบบสารสนเทศ
• การรักษาความปลอดภัยการโจมตีระบบเครือข่าย
• ติดตั้งโปรแกรมป้องกันไวรัสและปรับปรุง Virus signature หรือ Virus definition หาจุดอ่อนขององค์กรแล้วทำการแก้ไข
• ติดตั้งไฟร์วอลล์ (Firewall) ควบคุมไม่ให้บุคคลภายนอกที่ไม่ได้รับอนุญาตเข้ามาในระบบเครือข่าย ป้องกันการส่งข้อมูลที่ไม่ได้รับอนุมัติจากภายในหน่วยธุรกิจออกไปสู่อินเทอร์เน็ตด้วย
• ติดตั้งซอฟต์แวร์ตรวจจับการบุกรุก (Intrusion detection software) ทำการวิเคราะห์การจราจรในเครือข่าย (Network traffic) ประเมินช่องโหว่ของระบบ (Vulnerabilities) ระบุการเข้าถึงระบบโดยไม่ได้รับอนุญาต
• ติดตั้ง Honeypot ระบบที่ติดตั้งให้เหมือนระบบจริงแต่แยกออกมาจากระบบที่กิจการใช้งานอยู่ กิจการ Web hosting ขนาดใหญ่ เช่น Yahoo และ AT&T
• การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต
• การระบุตัวตน (Identification)
• การพิสูจน์ตัวจริง (Authentication) เช่น รหัสผ่าน (Password) POLP: Policy of Least Privilege
• ข้อมูลที่ทราบเฉพาะบุคคลที่เป็นเจ้าของ (What you know)
• ใช้บัตรผ่านที่มีลักษณะเป็นบัตรประจำตัว (What you have) เช่น บัตร ATM เป็นต้น
• ลักษณะทางกายภาพของบุคคล (What you are) เช่น ม่านตา เป็นต้น
• การควบคุมการขโมย
• ควบคุมการเข้าถึงทางกายภาพ (Physical access control) เช่น การปิดห้องและหน้าต่าง เป็นต้น
• กิจการบางแห่งนำระบบ Real time location system (RTLS) มาใช้เพื่อระบุสถานที่ที่มีความเสี่ยงสูงโดยนำ RFID tags ติดที่อุปกรณ์คอมพิวเตอร์เพื่อใช้ในการติดตามอุปกรณ์นั้นๆ
• ปัจจุบันมีการออกแบบเครื่องคอมพิวเตอร์ให้สามารถควบคุมการเปิดเครื่องและการเข้าใช้งานเครื่องด้วยการใช้ลักษณะทางกายภาพของบุคคล เช่น ลายนิ้วมือ เป็นต้น
• เก็บรักษาแผ่นซอฟต์แวร์ในสถานที่มีการรักษาความปลอดภัย
• ควบคุมและติดตามโปรแกรมเมอร์ทันทีที่ลาออก (Escort)
• การเข้ารหัส คือกระบวนการในการแปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถอ่านได้ (Plaintext) ให้อยู่ในรูปที่เฉพาะผู้ที่เกี่ยวข้องเท่านั้นสามารถอ่านข้อมูลได้ (Ciphertext) องค์ประกอบของการเข้ารหัส ได้แก่ Plaintext Algorithm และ Secure key (แบ่งเป็น Public Key ซึ่งใช้ร่วมกันและ Private Key เฉพาะบุคคล)
• ประเภทของการเข้ารหัส
• การเข้ารหัสแบบสมมาตร
• การเข้ารหัสแบบไม่สมมาตร
• การรักษาความปลอดภัยอื่นๆ
• Secure sockets layer (SSL) โดยเว็บเพจที่ใช้ SSL จะขึ้นต้นด้วย https แทนที่จะเป็น http สร้าง Network ชั่วคราวขององค์กร เพื่อ secure การส่ง Data ภายใน Intranet มิใช่ Internet เช่น ในระหว่างขั้นตอนการชำระเงิน
• Secure HTTP (S-HTTP) เช่น ระบบธนาคารออนไลน์จะใช้ S-HTTP
• Virtual private network (VPN) ใช้ได้เฉพาะบุคลากรขององค์กร เนื่องจาก require Password
• การควบคุมความล้มเหลวของระบบสารสนเทศ
• การป้องกันแรงดันไฟฟ้าใช้ Surge protector หรือ Surge suppressor
• ไฟฟ้าดับใช้ Uninterruptible power supply (UPS) หม้อแปลงกันไฟตก
• กรณีระบบสารสนเทศถูกทำลายจนไม่สามารถให้บริการได้ การควบคุมทำโดยการจัดทำแผนการทำให้กลับคืนสู่สภาพเดิมจากภัยพิบัติ (Disaster Recovery – DR) หรือ Business continuity planning (BCP)
• การสำรองข้อมูล (Data Backup)
• การรักษาความปลอดภัยของแลนไร้สาย (Wireless LAN)
จรรยาบรรณทางคอมพิวเตอร์ คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย
• การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
• การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์)
• ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ เป็นต้น
• สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights)
• หลักปฏิบัติ (Code of conduct)
• ความเป็นส่วนตัวของสารสนเทศ (Information privacy)
Data Center (ศูนย์ข้อมูล) พื้นที่ที่ใช้จัดวางประมวลผลส่วนกลาง
Wireless Power หรือที่เรียกอีกชื่อว่า Wireless energy transfer คือ การส่งผ่านพลังงานไฟฟ้าจากแหล่งพลังงาน (power source) ไปยังแหล่งเก็บไฟฟ้า (electrical load) ไปยังแหล่งเก็บไฟฟ้าโดยไม่ผ่านสายไฟฟ้า ซึ่งจะช่วยเพิ่มความสะดวกสบายในชวิตประจำวันมากขึ้น และยังสามารถช่วยลดค่าใช้จ่ายมากขึ้นในภาพอุตสาหกรรมที่ต้องใช้พลังงานจากแหล่งต้นกำเนิดที่ห่างไกลได้
• Electromagnetic induction เป็นวิธีการส่งผ่านพลังงานโดยไร้สายผ่านสนามแม่เหล็กที่เกิดจากไฟฟ้าที่ไหลผ่านขดลวด ในระยะสั้น (Near Field) ซึ่งจะมีเพียงอุปกรณ์คู่ที่รับสัญญาณเท่านั้นจึงจะสามารถรับพลังงานที่ส่งออกมาได้
• Electromagnetic radiation เป็นวิธีการส่งผ่านพลังงาน ระยะไกล (Far Field) ซึ่งถูกพัฒนาขึ้นเพราะการส่งผ่านคลื่นวิทยุหรือคลื่นแสงระยะไกลนี้ถูกพัฒนาขึ้นเนื่องจากสามารถปรับให้ส่งเข้าสู่พื้นที่รับที่ต้องการได้สะดวก
ภัคนิจ แดงสุภา 5202112602
ไม่มีความคิดเห็น:
แสดงความคิดเห็น