วันพุธที่ 9 กุมภาพันธ์ พ.ศ. 2554

Class13: Security

ความเสี่ยงของระบบสารสนเทศ (Information system risk) หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลายฮาร์ดแวร์ (Hardware) ซอฟต์แวร์ (Software) ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
         แฮกเกอร์ บุคคลใดก็ตามที่พยายามเจาะเข้าไปในระบบสารสนเทศอย่างผิดกฏหมาย แต่บางส่วนเชื่อว่าการกระทำดังกล่าวยอมรับได้ เพราะมีวัตถุประสงค์ในการแสดงให้เจ้าของระบบสารสนเทศทราบช่องโหว่ของการรักษาความปลอดภัยของระบบสารสนเทศ เรียกว่า แฮกเกอร์ที่มีจรรยาบรรณ (Ethical hackers)
         แครกเกอร์ คือบุคคลที่ทำอันตรายต่อการรักษาความปลอดภัยของระบบสารสนเทศโดยมีวัตถุประสงค์ร้าย โดยจะทำลายข้อมูลและทำให้ระบบสารสนเทศและเครือข่ายของกิจการมีปัญหาอย่างมาก
         ผู้ก่อให้เกิดภัยมือใหม่ มีเป้าหมายทำลายระบบ แต่มักไม่มีทักษะทางด้านคอมพิวเตอร์มากนัก
         ผู้สอดแนม เป็นบุคคลที่ถูกจ้างเพื่อเจาะระบบสารสนเทศและขโมยข้อมูล มักมีทักษะทางคอมพิวเตอร์สูง โดยมีเป้าหมายของระบบที่ต้องการเจาะอย่างชัดเจน
         เจ้าหน้าที่ขององค์กร เจาะเข้าไปในระบบสารสนเทศของกิจการเพื่อแสดงให้เห็นว่าระบบรักษาความปลอดภัยขององค์กรมีจุดอ่อน
         ผู้ก่อการร้ายทางคอมพิวเตอร์ ใช้ความเชื่อของตนเองในการปรับเปลี่ยนข้อมูลสารสนเทศ หรือการทำให้ระบบสารสนเทศ ปฏิเสธการให้บริการกับผู้ใช้ที่มีสิทธิในการใช้ระบบอย่างถูกต้อง หรือเจาะเข้าไปในระบบเพื่อทำให้ข้อมูลเสียหายอย่างมาก น่ากลัวมากที่สุดในจำนวนนักเจาะระบบ มีทักษะทางคอมพิวเตอร์ที่สูงมาก และโจมตีในรูปแบบใหม่อย่างอย่างฉับพลันรวดเร็ว
ประเภทของความเสี่ยงของระบบสารสนเทศ
         การโจมตีระบบเครือข่าย (Network attack)
         การโจมตีขั้นพื้นฐาน (Basic Attacks)  เช่น กลลวงทางสังคม (Social engineering) และการรื้ออค้นเอกสารทางคอมพิวเตอร์จากที่ทิ้งขยะ (Dumpster Diving )
         การโจมตีด้านคุณลักษณะ (Identity Attacks) เช่น DNS Spoofing, Web Page Spoofing (URL ไม่ตรงตามเว็บที่แท้จริง) เลียนแบบหน้า Web Page ทำให้เราป้อนข้อมูลส่วนตัวโดยคิดว่าเป็นเว็บไซต์ที่เชื่อถือได้ เช่น การทำธุรกรรมทางการเงินต่างๆ โดยคิดว่าเป็น Website ธนาคาร, e-mail spoofing มักจะมี Link ที่เป็น Spam ติดมาด้วย ทางที่ดีที่สุดควร Delete ทันที และ IP Spoofing (Internet Protocol: IP Address ของคอมพิวเตอร์) ข้อมูลที่เรากรอกจะถูกส่งไปยังคอมเครื่องอื่น เสมือนเรามิได้ทำรายการแต่เป็นคนอื่นแทน 
         การปฏิเสธการให้บริการ (Denial of Service หรือ DoS) เช่น Distributed denial-of-service (DDoS) ไวรัสหรือ Malware ที่ตั้งเวลาไว้ ให้ส่งข้อมูลการใช้งาน Website ทั้งหมดออกไปยังคนนอก โดยไม่เป็นอันตรายต่อคอมพิวเตอร์ของเรา , DoSHTTP (HTTP Flood Denial of Service) ทำเพื่อลดความน่าเชื่อถือของบริษัทคู่แข่ง จากการที่ลูกค้าไม่สามารถใช้เว็บได้ เว็บล่ม
         การโจมตีด้วยมัลแวร์ (Malware)
         โปรแกรมมุ่งร้ายที่โจมตีการปฏิบัติงานของคอมพิวเตอร์ (Computer’s operations) ประกอบด้วย
       ไวรัส หมายถึงโปรแกรมที่ติดตัวเองไปกับเอกสารหรือโปรแกรม ประมวลผลเมื่อเอกสารหรือโปรแกรมนั้นถูกเปิด ก่อให้เกิดปัญหา เช่น ล้างข้อมูลออกจากที่จัดเก็บ ขยายขนาดของโปรแกรมเพื่อให้ใช้พื้นที่ของเครื่องคอมพิวเตอร์เป็นจำนวนมาก หรืออนุญาตให้ผู้โจมตีสามารถเข้าถึงเครื่องคอมพิวเตอร์ในระยะไกลได้ เป็นต้น
      เวิร์ม เป็นโปรแกรมมุ่งร้ายเช่นเดียวกับไวรัส แต่มีสามารถที่จะไปยังที่ต่างๆ และประมวลผลได้ด้วยตัวเอง
      โทรจันฮอร์ส คือโปรแกรมที่ทำลายระบบคอมพิวเตอร์โดยแฝงมากับโปรแกรมอื่นๆ เช่น เกม
      ลอจิกบอมบ์ เป็นโปรแกรมที่แฝงตัวในโปรแกรมคอมพิวเตอร์ แต่จะยังไม่ทำงานจนกว่าเงื่อนไขที่กำหนดเกิดขึ้น
         โปรแกรมมุ่งร้ายที่โจมตีความเป็นส่วนตัวของสารสนเทศ (Information privacy) ที่มีชื่อเรียกทั่วไปว่า สปายแวร์ (Spyware) ประกอบด้วย
      แอดแวร์ คือโปรแกรมที่จะแสดงข้อความโฆษณาที่เว็บเพจโดยที่ผู้ใช้งานมิได้ต้องการ
      พิชชิง คือการส่งอีเมลไปให้ผู้ใช้ แสดงเว็บเพจปลอมซึ่งมีการจัดทำหน้าเว็บเพจให้เหมือนของจริง ถ้าผู้ใช้ป้อนรหัสผ่านหรือเลขที่บัตรเครดิตเข้าไปในเว็บเพจดังกล่าว ข้อมูลก็จะถูกขโมยและนำไปใช้ต่อไป นอกจากนี้ยังมีวิธีการ พาร์มมิง (Pharming) ให้ผู้ใช้เข้าเยี่ยมชมเว็บไซด์ปลอมจะเชื่อมโยงผู้ใช้ไปยังเว็บไซด์ปลอมอัตโนมัติเมื่อผู้ใช้ป้อนที่อยู่เว็บในเว็บเบราว์เซอร์ด้วยวิธีการของ DNS Spoofing
      คีลอกเกอร์ อาจเป็นอุปกรณ์คอมพิวเตอร์หรือโปรแกรมขนาดเล็กที่บันทึกการกดแป้นพิมพ์เพื่อป้อนตัวอักขระและจัดเก็บในแฟ้มข้อมูล เช่น ตู้ ATM ที่ถูก hack
      แบ็คดอร์ ทำให้การเข้าถึงระบบไม่ต้องผ่านขั้นตอนการป้อนรหัสประจำตัวและรหัสผ่าน
            การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access) หมายถึงการใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ ซึ่งส่วนมากจะเป็นการใช้คอมพิวเตอร์หรือข้อมูลในเครื่องคอมพิวเตอร์เพื่อทำกิจกรรมบางอย่างที่ผิดกฏระเบียบของกิจการหรือการกระทำที่ผิดกฏหมาย
            การขโมย (Theft)
      การขโมยฮาร์ดแวร์และการทำลายฮาร์ดแวร์ ตัดสายเชื่อมต่อระบบเครือข่ายคอมพิวเตอร์
      ขโมยซอฟต์แวร์อาจอยู่ในรูปของการขโมยสื่อจัดเก็บซอฟต์แวร์ การลบโปรแกรมโดยตั้งใจ และการทำสำเนาโปรแกรมอย่างผิดกฏหมาย
      การขโมยสารสนเทศ ความลับส่วนบุคคล
         ความล้มเหลวของระบบสารสนเทศ (System failure)
      เสียง (Noise)
      แรงดันไฟฟ้าต่ำ (Undervoltages)
      แรงดันไฟฟ้าสูง (overvoltages)
การรักษาความปลอดภัยของระบบสารสนเทศ
         การรักษาความปลอดภัยการโจมตีระบบเครือข่าย
         ติดตั้งโปรแกรมป้องกันไวรัสและปรับปรุง Virus signature หรือ Virus definition หาจุดอ่อนขององค์กรแล้วทำการแก้ไข
         ติดตั้งไฟร์วอลล์ (Firewall) ควบคุมไม่ให้บุคคลภายนอกที่ไม่ได้รับอนุญาตเข้ามาในระบบเครือข่าย ป้องกันการส่งข้อมูลที่ไม่ได้รับอนุมัติจากภายในหน่วยธุรกิจออกไปสู่อินเทอร์เน็ตด้วย
         ติดตั้งซอฟต์แวร์ตรวจจับการบุกรุก (Intrusion detection software) ทำการวิเคราะห์การจราจรในเครือข่าย (Network traffic) ประเมินช่องโหว่ของระบบ (Vulnerabilities) ระบุการเข้าถึงระบบโดยไม่ได้รับอนุญาต
         ติดตั้ง Honeypot ระบบที่ติดตั้งให้เหมือนระบบจริงแต่แยกออกมาจากระบบที่กิจการใช้งานอยู่ กิจการ Web hosting ขนาดใหญ่ เช่น Yahoo และ AT&T
         การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต
         การระบุตัวตน (Identification)  
         การพิสูจน์ตัวจริง (Authentication) เช่น รหัสผ่าน (Password) POLP: Policy of Least Privilege
         ข้อมูลที่ทราบเฉพาะบุคคลที่เป็นเจ้าของ (What you know)
         ใช้บัตรผ่านที่มีลักษณะเป็นบัตรประจำตัว (What you have) เช่น บัตร ATM เป็นต้น
         ลักษณะทางกายภาพของบุคคล (What you are) เช่น ม่านตา เป็นต้น
         การควบคุมการขโมย
         ควบคุมการเข้าถึงทางกายภาพ (Physical access control) เช่น การปิดห้องและหน้าต่าง เป็นต้น
         กิจการบางแห่งนำระบบ Real time location system (RTLS) มาใช้เพื่อระบุสถานที่ที่มีความเสี่ยงสูงโดยนำ RFID tags ติดที่อุปกรณ์คอมพิวเตอร์เพื่อใช้ในการติดตามอุปกรณ์นั้นๆ
         ปัจจุบันมีการออกแบบเครื่องคอมพิวเตอร์ให้สามารถควบคุมการเปิดเครื่องและการเข้าใช้งานเครื่องด้วยการใช้ลักษณะทางกายภาพของบุคคล เช่น ลายนิ้วมือ เป็นต้น
         เก็บรักษาแผ่นซอฟต์แวร์ในสถานที่มีการรักษาความปลอดภัย
         ควบคุมและติดตามโปรแกรมเมอร์ทันทีที่ลาออก (Escort)
         การเข้ารหัส คือกระบวนการในการแปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถอ่านได้ (Plaintext) ให้อยู่ในรูปที่เฉพาะผู้ที่เกี่ยวข้องเท่านั้นสามารถอ่านข้อมูลได้ (Ciphertext) องค์ประกอบของการเข้ารหัส ได้แก่ Plaintext Algorithm และ Secure key (แบ่งเป็น Public Key ซึ่งใช้ร่วมกันและ Private Key เฉพาะบุคคล)
          ประเภทของการเข้ารหัส
      การเข้ารหัสแบบสมมาตร
      การเข้ารหัสแบบไม่สมมาตร
         การรักษาความปลอดภัยอื่นๆ 
         Secure sockets layer (SSL) โดยเว็บเพจที่ใช้ SSL จะขึ้นต้นด้วย https แทนที่จะเป็น http สร้าง Network ชั่วคราวขององค์กร เพื่อ secure การส่ง Data ภายใน Intranet มิใช่ Internet เช่น ในระหว่างขั้นตอนการชำระเงิน
         Secure HTTP (S-HTTP) เช่น ระบบธนาคารออนไลน์จะใช้ S-HTTP
         Virtual private network (VPN) ใช้ได้เฉพาะบุคลากรขององค์กร เนื่องจาก require Password
         การควบคุมความล้มเหลวของระบบสารสนเทศ
         การป้องกันแรงดันไฟฟ้าใช้ Surge protector หรือ Surge suppressor
         ไฟฟ้าดับใช้ Uninterruptible power supply (UPS) หม้อแปลงกันไฟตก
         กรณีระบบสารสนเทศถูกทำลายจนไม่สามารถให้บริการได้ การควบคุมทำโดยการจัดทำแผนการทำให้กลับคืนสู่สภาพเดิมจากภัยพิบัติ (Disaster Recovery – DR) หรือ Business continuity planning (BCP)
         การสำรองข้อมูล (Data Backup) 
         การรักษาความปลอดภัยของแลนไร้สาย (Wireless LAN)
จรรยาบรรณทางคอมพิวเตอร์ คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย
         การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
         การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์)
         ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ เป็นต้น
         สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights)
         หลักปฏิบัติ (Code of conduct)
         ความเป็นส่วนตัวของสารสนเทศ (Information privacy)
Data Center (ศูนย์ข้อมูล) พื้นที่ที่ใช้จัดวางประมวลผลส่วนกลาง
Wireless Power หรือที่เรียกอีกชื่อว่า Wireless energy transfer คือ การส่งผ่านพลังงานไฟฟ้าจากแหล่งพลังงาน (power source) ไปยังแหล่งเก็บไฟฟ้า (electrical load) ไปยังแหล่งเก็บไฟฟ้าโดยไม่ผ่านสายไฟฟ้า ซึ่งจะช่วยเพิ่มความสะดวกสบายในชวิตประจำวันมากขึ้น และยังสามารถช่วยลดค่าใช้จ่ายมากขึ้นในภาพอุตสาหกรรมที่ต้องใช้พลังงานจากแหล่งต้นกำเนิดที่ห่างไกลได้
         Electromagnetic induction เป็นวิธีการส่งผ่านพลังงานโดยไร้สายผ่านสนามแม่เหล็กที่เกิดจากไฟฟ้าที่ไหลผ่านขดลวด ในระยะสั้น (Near Field) ซึ่งจะมีเพียงอุปกรณ์คู่ที่รับสัญญาณเท่านั้นจึงจะสามารถรับพลังงานที่ส่งออกมาได้
         Electromagnetic radiation เป็นวิธีการส่งผ่านพลังงาน ระยะไกล (Far Field) ซึ่งถูกพัฒนาขึ้นเพราะการส่งผ่านคลื่นวิทยุหรือคลื่นแสงระยะไกลนี้ถูกพัฒนาขึ้นเนื่องจากสามารถปรับให้ส่งเข้าสู่พื้นที่รับที่ต้องการได้สะดวก
ภัคนิจ แดงสุภา 5202112602

ไม่มีความคิดเห็น:

แสดงความคิดเห็น