การรักษาความปลอดภัยระบบสารสนเทศ PDF
Document Details
Uploaded by SmoothAgate7618
Thammasat University
2011
Tags
Summary
เอกสารประกอบด้วยหัวข้อเกี่ยวกับการรักษาความปลอดภัยระบบสารสนเทศ รวมถึงสาเหตุที่ระบบสารสนเทศทำงานผิดพลาด, การดำเนินการควบคุมและการรักษาความปลอดภัย, ส่วนประกอบของขอบเขตที่องค์กรต้องควบคุม และอุปกรณ์ที่ช่วยป้องกัน
Full Transcript
การรักษาความปลอดภัยระบบสารสนเทศ หัวข้อการบรรยาย สาเหตุทระบบสารสนเทศที ี ใช้งานเสียหาย หรือเกิดข้อผิดพลาดขึน การดําเนินการควบคุมและรักษาความปลอดภัย ส่วนประกอบของขอบเขตทีองค์กรต้องควบคุมและรักษาความปลอดภัย เครืองมือทีเป็ นส่วนสําคัญและเทคโนโลยีทช่...
การรักษาความปลอดภัยระบบสารสนเทศ หัวข้อการบรรยาย สาเหตุทระบบสารสนเทศที ี ใช้งานเสียหาย หรือเกิดข้อผิดพลาดขึน การดําเนินการควบคุมและรักษาความปลอดภัย ส่วนประกอบของขอบเขตทีองค์กรต้องควบคุมและรักษาความปลอดภัย เครืองมือทีเป็ นส่วนสําคัญและเทคโนโลยีทช่ี วยป้ องกันสารสนเทศทีใช้ในองค์กร 2 © Prentice Hall 2011 จับตาการใช้งาน Facebook Facebook – สังคมออนไลน์ ทีมีขนาดใหญ่ทีสุดในโลก ปัญหาทีเกิดขึน – การขโมยข้อมูลและซอฟต์แวร์ทีเป็ นอันตราย – ตัวอย่าง: 2009 มีแฮคเกอร์ ลักลอบสแกนรหัสผ่าน โดยใช้มา้ โทรจัน (Trojan horse) และได้ ขโมยข้อมูลด้านการเงินของผูใ้ ช้ เดือนธันวาคม ปี 2008 มีวอร์ม (worm) ชือ Koobface ระบาด พฤษภาคม 2010 มีสแปมทีขโมยข้อมูลการเข้าสูร่ ะบบ แสดงได้ว่า: มีหลายรูปแบบของการโจมตีด้านตวามปลอดภัยทีผู้ใช้ต้อง เผชิญ 3 © Prentice Hall 2011 ความอ่อนไหวของระบบและการใช้งานทีไม่ถกู ต้อง ความปลอดภัย : – นโยบาย ขันตอนการดําเนินงานและเทคนิคทีใช้เพือป้ องกันการเข้าถึง เปลียนแปลงและ ขโมยข้อมูลโดยบุคคลทีไม่มสี ทิ ธิ ตลอดจนอันตรายต่างๆ ทีอาจจะเกิดขึนได้กบั ระบบ สารสนเทศ การควบคุม: – กระบวนการ นโยบาย และขันตอนการดําเนินงานขององค์กรเพือสร้างความมันใจว่า ทรัพย์สนิ ขององค์กรมึความปลอดภัย มีความถูกต้อง ความน่าเชือถือ ภายใต้การ ดําเนินการจัดการทีเป็ นไปตามมาตรฐาน 4 © Prentice Hall 2011 ความอ่อนไหวของระบบและการใช้งานทีไม่ถกู ต้อง สาเหตุทีระบบมีความเสียงทีจะถูกทําลายได้ง่าย – การเข้าถึงระบบเครือข่าย – ปั ญหาทีเกิดจากฮาร์ดแวร์(การชํารุด ข้อผิดพลาดทีเกิดจากองค์ประกอบต่างๆ อันตราย ทีเกิดจากการใช้งานทีไม่ถูกต้องหรือจากอาชญากร) – ปั ญหาทีเกิดจากซอฟต์แวร์ (ข้อผิดพลาดของโปรแกรม, การติดตังทีผิดพลาด, การ เปลียนแปลงโดยผูท้ ไม่ ี มสี ทิ ธิ) – ภัยธรรมชาติ – การใช้งานระบบเครือข่าย/คอมพิวเตอร์ทอยู ี น่ อกการควบคุมขององค์กร – การสูญหายและการขโมยอุปกรณ์ต่างๆ 5 © Prentice Hall 2011 ความอ่อนไหวของระบบและการใช้งานทีไม่ถกู ต้อง รูปที 8-1 สถาปั ตยกรรมของโปรแกรมบนเว็บมักจะประกอบด้วยผูใ้ ช้งานบนเว็บ เครืองแม่ขา่ ยและระบบสารสนเทศ ขององค์กรทีถูกเชือมโยงเข้ากับฐานข้อมูลต่างๆ ซึงเป็ นจุดท้าทายในเรืองการรักษาความปลอดภัย และ ความอ่อนไหวต่อการถูกโจมตี นําท่วม ไฟไหม้ ไฟฟ้ าขัดข้อง และปั ญหาเกียวกับกระแสไฟฟ้ าต่างๆ 6 สามารถขัดการทํางานในจุดใดจุดหนึงได้บนระบบเครือข่าย © Prentice Hall 2011 ความอ่อนไหวของระบบและการใช้งานทีไม่ถกู ต้อง ความอ่อนไหวของการถูกโจมตีบนระบบอินเทอร์เน็ ต – อินเทอร์เน็ตเป็ นเครือข่ายสาธาณะทีทุกคนสามารถเข้าถึงได้ – อินเทอร์เน็ตเป็ นเครือข่ายขนาดใหญ่ซงหากเกิ ึ ดการละเมิด จะมีผลกระทบในวงกว้าง – ระบบ VOIP ทีไม่ได้มกี ารเข้ารหัสข้อมูล – E-mail, P2P, IM ไฟล์ทแนบเป็ ี นซอฟต์แวร์ทอัี นตราย การส่งข้อมูลทีเป็ นความลับทางธุรกิจ 7 © Prentice Hall 2011 ความอ่อนไหวของระบบและการใช้งานทีไม่ถกู ต้อง ความท้าทายของการใช้ระบบเครือข่ายแบบไร้สาย – คลืนวิทยุสามารถถูกกราดตรวจได้โดยง่าย – SSIDs (service set identifiers) Ex. hostport อถ ีพา สเ การระบุจุดเชือมต่อ ม มีการ Broadcast หลายๆ ครัง รูปแบบการโจมตีแบบ War driving – ผูท้ จะขโมยข้ ี อมูลขับรถบริเวณอาคารหรือจุดต่างๆ เพือพยายามตรวจหา SSID ทีมีระบบความปลอดภัยตําเพือเข้าถึงและขโมยข้อมูล – WEP (Wired Equivalent Privacy) เป็ นความปลอดภัยสําหรับมาตรฐาน 802.11 (จะใช้หรือไม่ใช้กไ็ ด้) ผูใ้ ช้ใช้รหัสผ่านร่วมกัน (ผูใ้ ช้กบั จุดเชือมต่อ) 8 © Prentice Hall 2011 วิ มื ความอ่อนไหวของระบบและการใช้งานทีไม่ถกู ต้อง ความท้าทายด้านความปลอดภัย ของเครือข่ายแบบไร้สาย ระบบเครือข่าย Wi-Fi หลายระบบ สามารถจะถูกเจอะเข้ามาโดยผูบ้ ุกรุกที ใช้โปรแกรมดักฟั งทีสามารถขโมย หมายเลขทีอยูเ่ พือเข้าถึงทรัพยากร ของระบบเครือข่ายโดยไม่ได้รบั อนุ ญาต รูปที 8-2 9 © Prentice Hall 2011 ความอ่อนไหวของระบบและการใช้งานทีไม่ถกู ต้อง ซอฟต์แวร์ทีประสงค์ร้าย (Malware/malicious software) – ไวรัส พาห ม ซอฟต์แวร์ทสามารถแนบและฝั ี งไปกับโปรแกรมหรือข้อมูล และจะส่งผลทีผิดปกติ ให้กบั แครืองทีได้รบั ่ไ ่ไม่ อง – วอร์ม แพร ้แต ่ ซอฟต์แวร์คอมพิวเตอร์อสิ ระทีจะสร้างสําเนาตัวเองจากคอมพิวเตอร์เครืองหนึงไป ยังคอมพิวเตอร์เครืองอืนผ่านระบบเครือข่าย ซ ป อ ย ป แต ่ฟไ วไ – ม้าโทรจัน ! เห ือน ย. ซอฟต์แวร์ทดูี เหมือนจะปกติแต่ต่อมาอาจจะทําให้เกิดเหตุการณ์ทคาดไม่ี ถงึ หลาย อย่าง เช่น สร้างความเสียหาย 10 © Prentice Hall 2011 ด้ มี มี ดู ต้ ความอ่อนไหวของระบบและการใช้งานทีไม่ถกู ต้อง ซอฟต์แวร์ทีประสงค์ร้าย (ต่อ) ภาษา ฟ ใช้ด เ น – การโจมตีแบบ SQL injection | | ภาษา คอม แ ไ ขค แฮกเกอร์จะทําการโจมตีไปที SQL ซึงจะส่งผลฐานข้อมูลของระบบโดยตรง – สปายแวร์ maybe น ก อ ลบาง เป็ นโปรแกรมขนาดเล็กทีติดตังตัวเองเข้ากับคอมพิวเตอร์ เป้ าหมายคือเฝ้ าตรวจดู การเข้าไปในเว็บของผูใ้ ช้ และจะเปิ ดโฆษณาทีผูไ้*ม่ใช้ไม่ตอ้ งการขึนมา – Key loggers จะบั / รหัสผ่าน น ทึ ก การกดปุ ่ มทํ า งานของผู ใ ้ ช้ บ นแป้ นพิ ม พ์ เ พื อขโมยข้ อ มู ล ตั ว เลข เช่ น ท ซ บอร ↓ ม ข อ อล บ ปลอมแพลง เส อ นว่าเ เ น 11 © Prentice Hall 2011 ป็ มู มู ก้ รี ข้ ำ ำ มื นิ บั ทึ ข้ ความอ่อนไหวของระบบและการใช้งานทีไม่ถกู ต้อง นักเลงคอมพิวเตอร์ (Hackers) และอาชญากรรมคอมพิวเตอร์ >หมว ขาว Cantivirus – นักเลงคอมพิวเตอร์ และ นักเจาะ (Hackers vs. crackers) ↳หมวก – กิจกรรมทีทําประกอบด้วย ต การบุกรุกระบบ การสร้างความเสียหายให้กบั ระบบ การทําลาย – การเจตนาทําลายเว็บไซต์หรือระบบสารสนเทศของหน่วยงาน 12 © Prentice Hall 2011 ความอ่อนไหวของระบบและการใช้งานทีไม่ถกู ต้อง การปลอมตัว (Spoofing) – การแสดงตนเป็ นบุคคลอืนโดยใช้ e-mail ปลอม หรือวิธกี ารปลอมตัวแบบอืนๆ – การเปลียนเส้นทางทีจะเชือมต่อจากปลายทางทีถูกต้องไปยังปลายทางทีได้ปลอมแปลง ไว้ การดักจับข้อมูล (Sniffer) – ใช้โปรแกรมเพือดักจับข้อมูลทีมีการเดินทางบนระบบเครือข่าย – ช่วยให้นักเลงคอมพิวเตอร์ (Hacker) ขโมยข้อมูลทีเป็ นข้อมูลส่วนตัวเช่น อีเมลเอกสาร ข้อมูลบริษทั ฯลฯ ก อตร 13 © Prentice Hall 2011 หั ความอ่อนไหวของระบบและการใช้งานทีไม่ถกู ต้อง องข อ อยย ู ๆ ้วๆ โด ไ ร การโจมตีแบบ Denial-of-service (DoS) – คือการสร้างความเสียหายให้กบั ระบบเครือข่ายโดยมุง่ เน้นทีจะขัดขวางการให้บริการบน ระบบเครือข่าย การโจมตีแบบ Denial-of-service attacks แบบกระจาย (DDoS) – คือรูปแบบการสร้างความเสียหายแบบ Denial-of-service ทีมีผลกับเครืองคอมพิวเตอร์ หลายๆ เครืองพร้อมกัน – Botnets เครือข่ายทีถูกแปรสภาพเป็ น “zombie” คือเครืองคอมพิวเตอร์สามารถถูกควบคุม โดย bot ทัวโลกมีเครืองคอมพิวเตอร์ประมาณ 6 - 24 ล้านเครืองถูกแปรสภาพเป็ น zombie จาก botnets หลายพันตัว 14 © Prentice Hall 2011 ร้ ม่ ย่ ซี ความอ่อนไหวของระบบและการใช้งานทีไม่ถกู ต้อง อาชญากรรมคอมพิวเตอร์ (Computer crime) – คือการละเมิดกฎหมายอาญาทีเกียวข้องกับการใช้ความรูด้ า้ นเทคโนโลยีคอมพิวเตอร์ สําหรับการกระทําความผิด หรือเป็ นเครืองมือช่วย – คอมพิวเตอร์อาจเป็ นเป้ าหมายของอาชญากรรม เช่น การละเมิดถึงข้อมูลทีจัดเก็บในคอมพิวเตอร์แม้จะมีการป้ องกัน การเข้าถึงระบบคอมพิวเตอร์โดยผูท้ ไม่ ี มสี ทิ ธิ – คอมพิวเตอร์อาจเป็ นเครืองมือของอาชญากร เช่น การโจรกรรมความลับทางการค้า ใช้ e-mail สําหรับการคุกคามหรือการล่วงละเมิด 15 © Prentice Hall 2011 ความอ่อนไหวของระบบและการใช้งานทีไม่ถกู ต้อง โจรกรรม (Identity theft) – การโจรกรรมข้อมูลส่วนบุคคล (รหัสประจําตัวประชาชน ประกันสังคมใบ อนุ ญาตขับขี หรือหมายเลขบัตรเครดิต) เพือแอบอ้างเป็ นบุคคลนัน อเห ่อ เมล Phishing – การตังค่าเว็บไซต์ปลอมหรือส่งข้อความทางอีเมลทีดูเหมือนจะเป็ นอีเมลทางธุรกิจที ถูกต้องเพือขอข้อมูลส่วนบุคคลทีเป็ นความลับจากผูใ้ ช้ Evil twins – การปลอมจุดเชือมต่อซึงจะใช้ SSID เดียวกับเครือข่ายทีถูกโจมตี เพือให้ผใู้ ช้หลงเข้า มายังจุดเชือมต่อตัวนี 16 © Prentice Hall 2011 ล่ ยื อี ความอ่อนไหวของระบบและการใช้งานทีไม่ถกู ต้อง ไม่ไ ไฟตา ม UR L Pharming – การเปลียนเส้นทางผูใ้ ช้ไปยังหน้าเว็บหลอกลวงแม้วา่ ผูใ้ ช้จะบุชอหน้ ื าเว็บทีถูกต้องผ่าน โปรแกรมเบราเซอร์กต็ าม (เปลียนในขันตอนการจับคูโ่ ดเมน) ไฟห >Web โฆษณ Click fraud งไ ฟ – การดึงผูใ้ ช้ไปยังโฆษณาและเนือหาอืนๆ ทีผูใ้ ช้ไม่ได้ตอ้ งการดู นอกจากนี ยังสร้างคลิก ทีโกงไปยังโฆษณาและเว็บไซต์เพือให้ได้รบั เงินจากเครือข่ายโฆษณา การก่อการร้ายทางไซเบอร์ (Cyberterrorism) และ สงครามไฟเบอร์ (Cyberwarfare) – ส่งผลต่อความรุนแรงในวงกว้างและสร้างความเสียหายมากทีสุด 17 © Prentice Hall 2011 ที ด้ ส่ อี น้ ความอ่อนไหวของระบบและการใช้งานทีไม่ถกู ต้อง ภัยคุกคามจากภายใน: พนักงาน – ภัยคุกคามด้านความปลอดภัยมักเกิดขึนภายในองค์กร – ไม่มีกระบวนการรักษาความปลอดภัยทีมีประสิทธิภาพ พนักงานขาดความรู้ – วิศวกรรมสังคม (Social engineering): การหลอกลวงพนักงานเพือให้เปิ ดเผยรหัสผ่านหรือหลอกถามข้อมูลทีเป็ นความลับ โดยใช้หลักจิตวิทยา 18 © Prentice Hall 2011 ความอ่อนไหวของระบบและการใช้งานทีไม่ถกู ต้อง ความอ่อนแอของการใช้ซอฟต์แวร์ – ซอฟต์แวร์เชิงพาณิชย์มกั จะมีข้อผิดพลาดซึงส่งผลให้เกิดความอ่อนแอเกียวกับ ความปลอดภัย ข้อผิดพลาดในโปรแกรมทีซ้อนอยู่ – ซอฟต์แวร์ขนาดใหญ่จะต้องมีขอ้ ผิดพลาดทีเกิดขึน เนืองจากผูผ้ ลิตซอฟต์แวร์ ไม่สามารถทดสอบและแก้ไขได้ทงหมด ั ข้อผิดพลาดเหล่านันอาจจะเป็ นช่องทางให้ผบู้ ุกรุกเข้ามาได้ – แพตช์ (Patches) ผูผ้ ลิตสร้างซอฟต์แวร์ขนาดเล็กทีช่วยแก้ไขข้อผิดพลาด 19 © Prentice Hall 2011 คุณค่าทางธุรกิจของการรักษาความปลอดภัยและการควบคุม ระบบคอมพิวเตอร์ทผิี ดพลาดเป็ นส่วนสําคัญทีมีผลต่อกระบวนการทางธุรกิจ องค์กรในปั จจุบนั มีทรัพย์สนิ ทีอ่อนไหวต่อการโจมตี – ข้อมูลส่วนบุคคลและข้อมูลทางการเงิน – ความลับทางการค้า ผลิตภัณฑ์ใหม่ กลยุทธ์ต่างๆ การละเมิดเกียวกับความปลอดภัยจะลดมูลค่าตลาดขององค์กรโดยทันที การรักษาความปลอดภัยและการควบคุมทีไม่เพียงพอจะก่อให้เกิดปั ญหาขึนมาก 20 © Prentice Hall 2011 คุณค่าทางธุรกิจของการรักษาความปลอดภัยและการควบคุม ข้อผูกพันทางกฎหมายและการกํากับดูแลสําหรับการจัดเก็บข้อมูลอิเล็กทรอนิกส์ – HIPAA: มาตรการรักษาความปลอดภัยทางการแพทย์ – Gramm-Leach-Bliley Act: สถาบันทางการเงินต้องมีมาตรการในการรักษาความ ปลอดภัยของข้อมูลลูกค้า – Sarbanes-Oxley Act: บริษทั จะต้องมีความรับผิดชอบต่อการทําให้การบริหารระบบมี ความปลอดภัยในความมันคงของข้อมูลทีใช้ทงภายในและภายนอกองค์ ั กร 21 © Prentice Hall 2011 คุณค่าทางธุรกิจของการรักษาความปลอดภัยและการควบคุม หลักฐานทางอิเล็กทรอนิกส์ (Electronic evidence) – หลักฐานทางอาชญากรรมเศรษฐกิจส่วนใหญ่อยู่ในรูปอิเล็กทรอนิกส์ ข้อมูลทีอยูใ่ นคอมพิวเตอร์ , e-mail, ข้อความทีส่ง และรายละเอียดของการทํา ธุรกรรมจากการทําธุรกรรมทางอิเล็กทรอนิกส์ (e-commerce) – การควบคุมทีเหมาะสมของข้อมูลจะช่วยประหยัดเวลา และค่าใช้จ่าย เมือ กฎหมายต้องการทีจะตรวจสอบ การตรวจนิติเวชกรรมทางคอมพิวเตอร์ (Computer forensics) – เป็ นวิธกี ารทางวิทยาศาสตร์ในการเก็บรวบรวม การตรวจสอบ การตรวจสอบสิทธิ การ ปกป้ องรักษา และการวิเคราะห์ขอ้ มูลทีจัดเก็บไว้ซงสามารถนํ ึ ามาใช้เป็ นหลักฐานในชัน ศาลได้ – ครอบคลุมถึงการฟื นสภาพข้อมูลจากเครืองคอมพิวเตอร์ 22 © Prentice Hall 2011 คุณค่าทางธุรกิจของการรักษาความปลอดภัยและการควบคุม การควบคุมระบบสารสนเทศ – การควบคุมทีคนเป็ นผูท้ าํ และการควบคุมแบบอัตโนมัติ – การควบคุมทัวไปและการควบคุมด้านโปรแกรมประยุกต์ การควบคุมทัวไป – คือการออกแบบการรักษาความปลอดภัย และการใช้โปรแกรมคอมพิวเตอร์และการ รักษาความปลอดภัยของแฟ้ มข้อมูล ตามโครงสร้างของการใช้เทคโนโลยีสารสนเทศใน องค์กร – ประยุกต์ในทุกส่วนทีเกียวข้องกับคอมพิวเตอร์ – ประกอบไปด้วยด้านฮาร์ดแวร์ ซอฟต์แวร์ ขันตอนการทํางาน เพือสร้างเป็ น สภาพแวดล้อมในการควบคุม 23 © Prentice Hall 2011 คุณค่าทางธุรกิจของการรักษาความปลอดภัยและการควบคุม ประเภทของการควบคุมโดยทัวไป – การควบคุมด้านซอฟต์แวร์ – การควบคุมด้านฮาร์ดแวร์ – การควบคุมด้านการทํางานของคอมพิวเตอร์ – การควบคุมด้านความปลอดภัยของข้อมูล – การควบคุมด้านการติดตังและจัดสร้างระบบ – การควบคุมด้านการบริหารการจัดการ 24 © Prentice Hall 2011 คุณค่าทางธุรกิจของการรักษาความปลอดภัยและการควบคุม การควบคุมด้านโปรแกรมประยุกต์ – เป็ นการควบคุมเฉพาะของแต่ละซอฟต์แวร์ เช่นระบบเงินเดือน ระบบประมวลการสังซือ – รวมทังระบบทีมีการทํางานแบบอัตโนมัตแิ ละระบบทีใช้คนทํา – ต้องมันใจว่าข้อมูลมีความครบถ้วนและมีความถูกต้อง – ประกอบด้วย: การควบคุมส่วนนําเข้า การควบคุมส่วนประมวลผล การควบคุมส่วนผลลัพธ์ 25 © Prentice Hall 2011 คุณค่าทางธุรกิจของการรักษาความปลอดภัยและการควบคุม การประเมินความเสียง: ต้องกําหนดระดับของความเสียงให้แก่องค์กรถ้าหาก กิจกรรมหรือกระบวนการใดๆ ไม่ได้รบั การควบคุมอย่างเหมาะสม ประเภทการคุกคาม โอกาสทีจะเกิดเหตุการณ์ระหว่างปี ความสูญเสียทีเกิดขึนจากภัยคุกคามต่างๆ ค่าคาดหวังของการสูญเสีย ค่าคาดหวังของการ เหตุการณ์ โอกาสทีจะเกิดขึน ช่วงการสูญเสียและค่าเฉลีย สูญเสีย ไฟฟ้ าดับ 30% $5K - $200K ($102,500) $30,750 การยักยอกฉ้ อโกง 5% $1K - $50K ($25,500) $1,275 ข้อผิดพลาดจากผูใ้ ช้ 98% $200 - $40K ($20,100) $19,698 26 © Prentice Hall 2011 คุณค่าทางธุรกิจของการรักษาความปลอดภัยและการควบคุม นโยบายการรักษาความปลอดภัย (Security policy) – การเรียงระดับความเสียง ระบุวตั ถุประสงค์ของความปลอดภัยทียอมรับได้ และ การกําหนดกลไกเพือให้เป็ นไปตามเป้ าหมาย – ใช้ควบคู่กบั นโยบายอืนๆ นโยบายการใช้งานทียอมรับได้ (Acceptable use policy :AUP) – กําหนดการใช้งานทียอมรับได้ของทรัพยากรสารสนเทศและอุปกรณ์ต่างๆ ขององค์กร นโยบายการกําหนดสิทธิผูใ้ ช้ (Authorization policies) – จะมีการกําหนดระดับทีแตกต่างกันของการเข้าถึงทรัพยากรสารสนเทศ 27 © Prentice Hall 2011 คุณค่าทางธุรกิจของการรักษาความปลอดภัยและการควบคุม การจัดการด้านอัตลักษณ์ (Identity management) – กระบวนการทางธุรกิจและเครืองมือในการกําหนดผู้ใช้ในระบบและการควบคุม การเข้าถึง การกําหนดและระบุสทิ ธิให้กบั ผูใ้ ช้ตามกลุ่มทีแตกต่างกัน การกําหนดให้ผใู้ ช้เข้าถึงระบบได้เป็ นส่วนๆ การพิสจู น์ผใู้ ช้และการป้ องกันอัตลักษณ์ต่างๆ – ระบบการจัดการด้านอัตลักษณ์ (Identity management systems) เกียวกับการสร้างกฎเกณฑ์สาํ หรับผูใ้ ช้ทอยู ี ใ่ นระดับทีต่างกัน 28 © Prentice Hall 2011 คุณค่าทางธุรกิจของการรักษาความปลอดภัยและการควบคุม การรักษาความปลอดภัย ของระบบบุคลากร รูปนีแสดงให้เห็นสองรูปแบบสําหรับ การรักษาความปลอดภัยทีพบใน ระบบบุคลากรทัวไป ผูใ้ ช้จะมี ข้อจํากัดในการเข้าถึงระบบต่างๆ สถานทีต่างๆ หรือข้อมูลในองค์กร ขึนอยู่กบั รูปแบบการรักษาความ ปลอดภัยของคนคนนัน รูปที 8-3 29 © Prentice Hall 2011 คุณค่าทางธุรกิจของการรักษาความปลอดภัยและการควบคุม แผนการฟื นสภาพจากเหตุร้าย: คือการกําหนดแผนสําหรับการฟื นสภาพของการ บริการทีถูกขัดขวาง แผนการดําเนินการธุรกิจอย่างต่อเนื อง: เน้ นไปทีการฟื นสภาพการดําเนินธุรกิจ หลังจากประสบภัยพิบตั ิ – ทัง 2 แผนจําเป็ นจะต้องกําหนดให้ได้วา่ ระบบทีมีความสําคัญมากทีสุดขององค์กรคือ อะไร – ต้องวิเคราะห์ผลกระทบต่อองค์กรจากการทีระบบล้มเหลว – การบริหารจะต้องกําหนดว่าระบบใดขององค์กรจะต้องฟื นฟูเป็ นอันดับแรก 30 © Prentice Hall 2011 คุณค่าทางธุรกิจของการรักษาความปลอดภัยและการควบคุม การตรวจสอบระบบ MIS – พิจารณาถึงความปลอดภัยขององค์กรทังหมดเช่นเดียวกับกับการควบคุมความปลอดภัย ระบบสารสนเทศส่วนบุคคล – ตรวจสอบการทบทวนเกียวกับเทคโนโลยี กระบวนการจัดทําเอกสาร การฝึกอบรม และ เรืองเกียวกับการจัดการคน – เหมือนเป็ นการจําลองการโจมตีเพือเป็ นการตอบสนองเทคโนโลยี เจ้าหน้าทีระบบ สารสนเทศและพนักงานทัวไป – ทํารายการและจัดลําดับจุดอ่อนของการควบคุมทังหมด และประมาณความน่าจะเป็ นทีจะ เกิดเหตุการณ์ต่างๆ ขึน – ประเมินผลกระทบทางการเงินและผลกระทบทีมีต่อองค์กรของภัยคุกคามแต่ละอย่าง 31 © Prentice Hall 2011 คุณค่าทางธุรกิจของการรักษาความปลอดภัยและการควบคุม ตัวอย่างการตรวจหาจุดอ่อน ของการควบคุม ตารางนีเป็ นตัวอย่างทีเกียวกับ การแสดงรายการจุดอ่อนแอ ของการควบคุมทีผูต้ รวจได้ ตรวจพบในระบบการกูย้ มื เงิน ของธนาคารแห่งหนึง รายงาน นีช่วยให้ผตู้ รวจบันทึกและ ประเมินค่าการควบคุมทีเป็ นจุด อ่อนแอและแสดงผลของการ ปรึกษาจุดอ่อนจาการควบคุม ของผูบ้ ริหารรวมทังการแก้ไข ปั ญหาต่างๆ ทีผูบ้ ริหาร ดําเนินการ รูปที 8-4 32 © Prentice Hall 2011 เทคโนโลยีและเครืองมือในการปกป้ องทรัพยากรสารสนเทศ ซอฟต์แวร์เกียวกับการจัดการด้านอัตลักษณ์ – ช่วยปกป้ องและเฝ้ าตรวจการบุกรุกอย่างอัตโนมัติ – ใช้ตรวจสอบสิทธิผูใ้ ช้ ตรวจจับผูบ้ ุกรุก และควบคุมการเข้าถึง การตรวจสอบสิทธ์ผ้ใู ช้ – ระบบรหัสผ่าน – อุปกรณ์ทใช้ ี ในการควบคุมการเข้าถึง – บัตรอัจฉริยะ (Smart cards) – การตรวจสอบสิทธิทางชีวภาพ (Biometric authentication) 33 © Prentice Hall 2011 เทคโนโลยีและเครืองมือในการปกป้ องทรัพยากรสารสนเทศ ไฟร์วอล (Firewall) : – การใช้ฮาร์ดแวร์ และซอฟต์แวร์ เพือป้ องกันผู้ใช้ทีไม่มีสิทธิเข้าสู่ระบบเครือข่าย ส่วนตัว – เทคนิคทีใช้ประกอบด้วย: Static packet filtering Network address translation (NAT) Application proxy filtering 34 © Prentice Hall 2011 เทคโนโลยีและเครืองมือในการปกป้ องทรัพยากรสารสนเทศ ไฟร์วอล ในองค์กร ไฟร์วอลจะถูกติดตังระหว่าง ระบบเครือข่ายส่วนตัวของ องค์กรกับระบบเครือข่าย อินเทอร์เน็ตสาธารณะหรือ ระบบเครือข่ายอืนทีไม่น่า ไว้วางใจหรือใช้ในการป้ องกัน ต่อข่าวสารทีไม่ได้รบั อนุ ญาต รูปที 8-5 35 © Prentice Hall 2011 เทคโนโลยีและเครืองมือในการปกป้ องทรัพยากรสารสนเทศ ระบบตรวจจับการบุกรุก: – ควบคุม hot spots ขององค์กรเพือตรวจจับและขัดขวางการบุกรุก – ระบบจะสร้างสัญญาณเตือนถ้าตรวจพบเหตุการณ์ทผิี ดปกติ ซอฟต์แวร์ต้านไวรัสและสปายแวร์ : – จะตรวจสอบเครืองคอมพิวเตอร์และกําจัดไวรัสในเครืองคอมพิวเตอร์ – ต้องมีการปรับปรุงโปรแกรมอย่างต่อเนือง 36 © Prentice Hall 2011 เทคโนโลยีและเครืองมือในการปกป้ องทรัพยากรสารสนเทศ ความปลอดภัยบนระบบเครือข่ายแบบไร้สาย – การใช้ WEP เพือรักษาความปลอดภัยโดย กําหนดชือ SSID ของระบบเครือข่าย และกําหนดเป็ นไม่เผยแพร่ SSID ใช้ร่วมกับเทคโนโลยี VPN – กลุ่มทีกําหนดมาตรฐานของ Wi-Fi ออกมาตรฐานใหม่ชือ WAP2 แทนระบบ มาตรฐาน WEP เพือเพิมประสิทธิภาพการรักษาความปลอดภัยให้สงู ขึน โดย มีการเปลียนคียอ์ ย่างต่อเนือง มีการเข้ารหัสการให้สทิ ธิโดยใช้เครืองแม่ขา่ ยส่วนกลาง 37 © Prentice Hall 2011 เทคโนโลยีและเครืองมือในการปกป้ องทรัพยากรสารสนเทศ การเข้ารหัส (Encryption) – คือการเปลียนจากข้อความธรรมดาเป็ นข้อความทีเข้ารหัสซึงไม่สามารถอ่านโดย ผูไ้ ม่มีสิทธิได้ – 2 กระบวนการทีใช้สาํ หรับการเข้ารหัสบยระบบเครือข่าย Secure Sockets Layer (SSL) and successor Transport Layer Security (TLS) Secure Hypertext Transfer Protocol (S-HTTP) 38 © Prentice Hall 2011 เทคโนโลยีและเครืองมือในการปกป้ องทรัพยากรสารสนเทศ 2 กระบวนการทีใช้ในการเข้ารหัสข้อมูล – การเข้ารหัสโดยใช้กญ ุ แจสมมาตร (Symmetric key encryption) ผูส้ ง่ และผูร้ บั ใช้กุญแจตัวเดียวกันร่วมกัน – การเข้ารหัสโดยใช้กญ ุ แจสาธารณะ (Public key encryption) มีการใช้วธิ กี ารหาความสัมพันธ์ทางคณิตศาสตร์เพือสร้างกุญแจ 2 ประเภทที สัมพันธ์กนั คือกุญแจสาธารณะ (Public key) และกุญแจส่วนตัว (private key) ผูส้ ง่ จะมีการเข้ารหัสข้อความโดยใช้กุญแจสาธารณะของผูร้ บั ผูร้ บั จะถอดรหัสข้อความโดยใช้กุญแจส่วนตัว 39 © Prentice Hall 2011 เทคโนโลยีและเครืองมือในการปกป้ องทรัพยากรสารสนเทศ การเข้ารหัสโดยใช้กญ ุ แจสาธารณะ ระบบการเข้ารหัสด้วยกุญแจสาธารณะสามารถเปรียบเทียบได้กบั การทํางานของกุญแจสาธารณะ รูปที 8-6 และกุญแจส่วนตัวทีใช้ในการเข้ารหัสข้อมูลเมือทําการถ่ายทอดผ่านระบบเครือข่ายและทําการ ถอดรหัสข้อมูลเมือได้รบั ข้อมูลนันแล้ว ผูส้ ง่ จะทําการค้นหากุญแจสาธารณะและนํามาใช้เข้ารหัส ข้อมูล ข้อมูลทีเข้ารหัสแล้วจะถูกส่งผ่านระบบเครือข่าย เมือข้อมูลถูกส่งถึงปลายทางผูร้ บั จะใช้ กุญแจส่วนตัวในการถอดรหัสเพือให้ได้ขอ้ มูลทีถูกต้อง 40 © Prentice Hall 2011 เทคโนโลยีและเครืองมือในการปกป้ องทรัพยากรสารสนเทศ ใบรับรองดิจิทลั (Digital certificate): – แฟ้ มข้อมูลทีนํามาใช้ในการจัดตังการระบุตวั ตนของผูใ้ ช้และทรัพย์สนิ ทางอิเล็กทรอนิกส์ ในการปกป้ องรายการธุรกรรมออนไลน์ – ใช้บุคคลที 3 ทีมีความน่าเชือถือเรียกว่าผูต้ รวจสอบใบรับรอง (certification authority : CA) ตรวจสอบตัวตนผูใ้ ช้ – ผูต้ รวจสอบใบรับรองจะตรวจสอบใบรับรองดิจทิ ลั ในการระบุตวั ตนผูใ้ ช้ ข้อมูลจะถูกส่ง มายังเครืองแม่ขา่ ยของผูต้ รวจสอบใบรับรองทีถูกเข้ารหัสซึงประกอบด้วยข้อมูลข่าวสาร สําหรับการระบุตวั ตนของเจ้าของ และสําเนากุญแจสาธารณะของเจ้าของ โครงสร้างหลักสําหรับกุญแจสาธารณะ (Public key infrastructure :PKI) – เป็ นการใช้การเข้ารหัสโดยใช้กุญแจสาธารณะร่วมกับใบรับรองดิจทิ ลั – ใช้แพร่หลายในการพาณิชย์อเิ ล็กทรอนิกส์ 41 © Prentice Hall 2011 เทคโนโลยีและเครืองมือในการปกป้ องทรัพยากรสารสนเทศ ใบรับรองดิจิทลั ใบรับรองดิจทิ ลั ช่วยสร้าง อัตลักษณ์ของบุคคลหรือ ทรัพย์สนิ อิเล็กทรอนิกส์ เพือ ปกป้ องการทําธุรกรรมออนไลน์ โดยการรักษาความปลอดภัย ด้วยการเข้ารหัสข้อมูลสําหรับ ข้อมูลทีส่งออนไลน์ รูปที 8-7 42 © Prentice Hall 2011 เทคโนโลยีและเครืองมือในการปกป้ องทรัพยากรสารสนเทศ การตรวจสอบความพร้อมของระบบ – การประมวลผลสําหรับธุรกรรมออนไลน์จะต้องมีความพร้อมในการใช้งาน 100% โดยไม่ มีการหยุดทํางาน ระบบคอมพิวเตอร์ทีทนต่อความผิดพร่อง (Fault-tolerant) – สําหรับระบบทีมีความพร้อมใช้งานอย่างต่อเนือง เช่น ข้อมูลในตลาดหุน้ – ประกอบด้วยฮาร์ดแวร์ ซอฟต์แวร์ และอุปกรณ์สาํ รองไฟหลายๆ ชุด ทีช่วยให้ สภาพแวดล้อมการทํางานเป็ นแบบต่อเนือง บริการไม่หยุดชะงัก คอมพิวเตอร์ทีมีความพร้อมในการใช้งานสูง – จะฟื นตัวอย่างรวดเร็วจากความผิดพลาด – ลดขนาดแต่ไม่ได้หยุดการทํางาน 43 © Prentice Hall 2011 เทคโนโลยีและเครืองมือในการปกป้ องทรัพยากรสารสนเทศ คอมพิวเตอร์ทีมุง่ เน้ นการกู้คืน (Recovery-oriented computing :ROC) – เป็ นระบบทีถูกออกแบบให้กคู้ นื ได้อย่างรวดเร็ว โดยมีความสามารถช่วยให้ผปู้ ฏิบตั งิ าน ระบุและแก้ไขข้อผิดพลาดในหลายๆ ส่วนของระบบพร้อมกัน การควบคุมการจราจรในระบบเครือข่าย – ระบบการตรวจสอบการจราจรแบบเชิงลึก (Deep packet inspection :DPI) การบล็อกวิดโี อและเพลง การใช้บริการด้านความปลอดภัยจากภายนอก (Security outsourcing) – ผูใ้ ห้บริการด้านการจัดการความปลอดภัย (Managed security service providers :MSSPs) 44 © Prentice Hall 2011 เทคโนโลยีและเครืองมือในการปกป้ องทรัพยากรสารสนเทศ ความปลอดภัยบนระบบทีใช้เทคโนโลยีก้อนเมฆ – ความรับผิดชอบด้านความปลอดภัยขึนอยู่กบั บริษทั ทีเป็ นเจ้าของข้อมูล – บริษทั ต้องมันใจว่าผูใ้ ห้บริการได้จดั เตรียมการป้ องกันอย่างเพียงพอ – มีการตกลงโดยใช้มาตรฐานการให้บริการ (Service level agreements :SLAs) ซึง เป็ น ข้อตกลงร่วมกันระหว่างผูใ้ ห้บริการและผูใ้ ช้ ความปลอดภัยบนอุปกรณ์แบบเคลือนที – ควรรวบรวมนโยบายด้านความปลอดภัยทีครอบคลุมข้อกําหนดพิเศษของอุปกรณ์แบบ เคลือนที – ต้องหมันอัพเดทแพทช์ของอุปกรณ์แบบเคลือนทีเพือปรับปรุงระบบรักษาความปลอดภัย อยูต่ ลอดเวลา 45 © Prentice Hall 2011 เทคโนโลยีและเครืองมือในการปกป้ องทรัพยากรสารสนเทศ การสร้างความมันใจเกียวกับคุณภาพซอฟต์แวร์ – ตัววัดซอฟต์แวร์ (Software metrics): การประเมินวัตถุประสงค์ของระบบใน รูปแบบของการวัดเชิงปริมาณ จํานวนรายการทีเกิดขึน เวลาตอบสนองแบบออนไลน์ จํานวนพิมพ์เช็คเงินเดือนต่อชัวโมง ขอบกพร่องทีเจอต่อโค๊ดโปรแกรมจํานวนร้อยบรรทัด – การทดสอบเบืองต้นทัวไป – Walkthrough: การทบทวนข้อกําหนดหรือเอกสารการออกแบบโดยกลุ่มเล็กๆ ที ุ สมบัติเหมาะสม มีคณ – การแก้จดุ บกพร่อง (Debugging): กระบวนการในการแก้ไขข้อผิดพลาดของ โปรแกรม 46 © Prentice Hall 2011 Case Study Management Stuxnet and the Changing Face of Cyberwarfare 47 © Prentice Hall 2011