X-MEN

  • X-MEN : Days Of Future Past

วันจันทร์ที่ 13 กรกฎาคม พ.ศ. 2558

บทความที่ 3 ความมั่นคงปลอดภัยของระบบสารสนเทศ

บทความที่ 3
 ชื่อ นายณัฐวร  เวชกามา        รหัส 57010510014
ความมั่นคงปลอดภัยของระบบสารสนเทศ

1.ความมั่นคงปลอดภัย (Security) คืออะไร
              การทำให้รอดพ้นจากอันตรายหรืออยู่ในสถานะที่มีความปลอดภัยไร้ความกังวลและความกลัวและได้รับการป้องกันจากภัยอันตรายทั้งที่เกิดขึ้นโดยตั้งใจหรือโดยบังเอิญ

2.ความมั่นคงปลอดภัยของระบบสารสนเทศ (Information System Security)
คือการป้องกันข้อมูลสารสนเทศรวมถึงองค์ประกอบอื่นๆที่เกี่ยวข้องเช่นระบบและฮาร์ดแวร์ที่ใช้ในการจัดเก็บและถ่ายโอนข้อมูลสารสนเทศนั้นให้รอดพ้นจากอันตรายอยู่ในสถานะที่มีความปลอดภัยไร้ความกังวลและความกลัว

3.ประวัติของการรักษาความปลอดภัยของข้อมูล
3.1 การรักษาความปลอดภัยด้านกายภาพ (Physical Security)
ในอดีตข้อมูลที่สำคัญจะอยู่ในรูปแบบวัตถุโดยจะถูกบันทึกไว้บนแผ่นหินแผ่นหนังหรือกระดาษแต่บุคคลสำคัญส่วนใหญ่ไม่นิยมบันทึกข้อมูลที่สำคัญมากๆลงบนสื่อถาวรและไม่สนทนาเกี่ยวกับข้อมูลกับคนที่ไม่ไว้ใจถ้าต้องส่งข้อมูลไปที่อื่นต้องมีผู้คุ้มกันติดตามไปด้วยเพราะภัยอันตรายจะอยู่ในรูปแบบทางกายภาพเช่นการขโมย
3.2 การรักษาความปลอดภัยด้านการสื่อสาร (Communication Security)
ยุคของจูเลียสซีซาร์ (ยุคศตวรรษที่ 2) มีการคิดค้นวิธีใช้สำหรับ ซ่อนข้อมูลหรือการเข้ารหัสข้อมูล (Encryption)
ช่วงสงครามโลกครั้งที่ 2 เยอรมันใช้เครื่องมือที่เรียกว่าเอ็มนิกมา (Enigma) เข้ารหัสข้อมูลที่รับ/ส่งระหว่างหน่วยงานทหาร
การรักษาความปลอดภัยด้านการสื่อสารด้วยวิธีอื่นๆ
- นาวาโฮโค้ดทอล์คเกอร์ (Navaho Code Talker)
- วันไทม์แพ็ด (One Time Pad)
3.3 การรักษาความปลอดภัยการแผ่รังสี (Emissions Security)
ในช่วงทศวรรษ 1950 มีการค้นพบว่าข้อมูลที่รับ/ส่งสามารถอ่านได้โดยการอ่านสัญญาณไฟฟ้าที่ส่งผ่านสายโทรศัพท์อุปกรณ์อิเล็กทรอนิกส์ทุกประเภทจะมีการแผ่รังสีออกมาเครื่องเข้ารหัสจะรับเข้าข้อความแล้วเข้ารหัสและส่งไปบนสายโทรศัพท์ซึ่งมีการค้นพบว่าสัญญาณไฟฟ้าที่แทนข้อมูลที่ยังไม่ได้เข้ารหัสก็ถูกส่งไปบนสายโทรศัพท์ด้วยข้อมูลเดิมที่ยังไม่ได้ถูกเข้ารหัสนั้นสามารถกู้คืนได้ถ้าใช้เครื่องมือที่ดีสหรัฐอเมริกาต้องกำหนดมาตรฐานที่ชื่อเทมเพสต์ (Tempest) ควบคุมการแผ่รังสีของอุปกรณ์คอมพิวเตอร์เพื่อลดการแผ่รังสีที่อาจใช้สาหรับการกู้คืนข้อมูลได้
 3.4 การรักษาความปลอดภัยคอมพิวเตอร์ (Computer Security)
ช่วงทศวรรษ 1970 เดวิดเบลล์และลีโอนาร์ดลาพาดูลาพัฒนาแม่แบบสาหรับการรักษาความปลอดภัยของคอมพิวเตอร์แบ่งออกเป็น 4 ชั้นคือไม่ลับลับลับมากและลับที่สุดผู้ที่สามารถเข้าถึงข้อมูลในระดับใดระดับหนึ่งได้จะต้องมีสิทธิ์เท่ากับหรือสูงกว่าชั้นความลับของข้อมูลนั้นดังนั้นผู้ที่มีสิทธิ์น้อยกว่าชั้นความลับของไฟล์จะไม่สามารถเข้าถึงไฟล์นั้นได้
แนวคิดนี้ได้ถูกนำไปใช้ในกระทรวงกลาโหมของสหรัฐอเมริกาโดยได้ชื่อว่ามาตรฐาน 5200.28 หรือออเรนจ์บุ๊ค (Orange Book) ซึ่งได้กำหนดระดับความปลอดภัยของคอมพิวเตอร์ออกเป็นระดับต่างๆคือ D, C1, C2, B1, B2, B3, A1 ในแต่ระดับออเรนจ์บุ๊คได้กำหนดฟังก์ชันต่างๆที่ระบบต้องมีระบบที่ต้องการใบรับรองว่าจัดอยู่ในระดับใดระบบนั้นต้องมีทั้งฟังก์ชันต่างๆที่กำหนดในระดับนั้นๆพร้อมทั้งการรับประกันในระดับนั้นได้ด้วย
3.5 การรักษาความปลอดภัยเครือข่าย (Network Security)
เมื่อคอมพิวเตอร์เชื่อมต่อกันเข้าเป็นเครือข่ายปัญหาใหม่ก็เกิดขึ้นเช่นการสื่อสารคอมพิวเตอร์เปลี่ยนจาก WAN มาเป็น LAN ซึ่งมีแบนด์วิธที่สูงมากอาจมีหลายเครื่องที่เชื่อมต่อเข้ากับสื่อเดียวกันการเข้ารหัสโดยใช้เครื่องเข้ารหัสเดี่ยวๆอาจไม่ได้ผล
ในปี 1987 จึงได้มีการใช้มาตรฐาน TNI หรือเรดบุ๊ค (Red Book) ซึ่งได้เพิ่มส่วนที่เกี่ยวข้องกับเครือข่ายเข้าไปแต่มีข้อกำหนดเกี่ยวกับฟังก์ชันและการรับประกันมากทำให้ใช้เวลามากเกินไปในการตรวจสอบระบบ
3.6 การรักษาความปลอดภัยข้อมูล (Information Security)
ไม่มีวิธีการใดที่สามารถแก้ปัญหาเกี่ยวกับการรักษาความปลอดภัยได้ทั้งหมด
ความปลอดภัยที่ดีต้องใช้ทุกวิธีการที่กล่าวมาร่วมกันจึงจะสามารถให้บริการการรักษาความปลอดภัยข้อมูลได้

4.องค์ประกอบของความมั่นคงปลอดภัยของข้อมูล
  แนวคิดหลักของความมั่นคงปลอดภัยของสารสนเทศกลุ่มอุตสาหกรรมความมั่นคงปลอดภัยของคอมพิวเตอร์  ได้กำหนดแนวคิดหลักของความมั่นคงปลอดภัยของคอมพิวเตอร์ขึ้นประกอบด้วย

1. ความลับ Confidentiality
•       เป็นการรับประกันว่าผู้มีสิทธิ์และได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลได้
•       องค์กรต้องมีมาตรการป้องกันการเข้าถึงสารสนเทศที่เป็นความลับ เช่น การจัดประเภทของสารสนเทศ การรักษาความปลอดภัยในกับแหล่งจัดเก็บข้อมูล   กำหนดนโยบายรักษาความมั่นคงปลอดภัยและนำไปใช้ให้การศึกษาแก่ทีมงานความมั่นคงปลอดภัยและผู้ใช้
•       ภัยคุกคามที่เพิ่มมากขึ้นในปัจจุบัน มีสาเหตุมาจากความก้าวหน้าทางเทคโนโลยี ประกอบกับความต้องการความสะดวกสบายในการสั่งซื้อสินค้าของลูกค้า โดยการยอมให้สารสนเทศส่วนบุคคลแก่ website เพื่อสิทธิ์สนการทำธุรกรรมต่าง ๆ โดยลืมไปว่าเว็บไซต์เป็นแหล่งข้อมูลที่สามารถขโมยสารสนเทศไปได้ไม่ยากนัก
2.ความสมบูรณ์ Integrity
•       ความสมบูรณ์ คือ ความครบถ้วน ถูกต้อง และไม่มีสิ่งแปลกปลอม สารสนเทศที่มีความสมบูรณ์จึงเป็นสารสนเทศที่นำไปใช้ประโยชน์ได้อย่างถูกต้องครบถ้วน
•       สารสนเทศจะขาดความสมบูรณ์ ก็ต่อเมื่อสารสนเทศนั้นถูกนำไปเปลี่ยนแปลง ปลอมปนด้วยสารสนเทศอื่น ถูกทำให้เสียหาย ถูกทำลาย หรือถูกกระทำในรูปแบบอื่น ๆ เพื่อขัดขวางการพิสูจน์การเป็นสารสนเทศจริง
3.ความพร้อมใช้ Availability
•        ความพร้อมใช้ หมายถึง สารสนเทศจะถูกเข้าถึงหรือเรียกใช้งานได้อย่างราบรื่น โดยผู้ใช้หรือระบบอื่นที่ได้รับอนุญาตเท่านั้น
•        หากเป็นผู้ใช้หรือระบบที่ไม่ได้รับอนุญาต การเข้าถึงหรือเรียกใช้งานจะถูกขัดขวางและล้มเหลงในที่สุด
4.ความถูกต้องแม่นยำ Accuracy
•        ความถูกต้องแม่นยำ หมายถึง สารสนเทศต้องไม่มีความผิดพลาด และต้องมีค่าตรงกับความคาดหวังของผู้ใช้เสมอ
•        เมื่อใดก็ตามที่สารสนเทศมีค่าผิดเพี้ยนไปจากความคาดหวังของผู้ใช้ ไม่ว่าจะเกิดจากการแก้ไขด้วยความตั้งใจหรือไม่ก็ตาม เมื่อนั้นจะถือว่าสารสนเทศ ไม่มีความถูกต้องแม่นยำ
5.เป็นของแท้ Authenticity
•        สารสน 5.เป็นของแท้ Authenticity
•        สารสนเทศที่เป็นของแท้ คือ สารสนเทศที่ถูกจัดทำขึ้นจากแหล่งที่ถูกต้อง ไม่ถูกทำซ้ำโดยแหล่งอื่นที่ไม่ได้รับอนุญาต หรือแหล่งที่ไม่คุ้นเคยและไม่เคยทราบมาก่อน   เทศที่เป็นของแท้ คือ สารสนเทศที่ถูกจัดทำขึ้นจากแหล่งที่ถูกต้อง ไม่ถูกทำซ้ำโดยแหล่งอื่นที่ไม่ได้รับอนุญาต หรือแหล่งที่ไม่คุ้นเคยและไม่เคยทราบมาก่อน
6.ความเป็นส่วนตัว Privacy
•        ความเป็นส่วนตัว คือ สารสนเทศที่ถูกรวบรวม เรียกใช้ และจัดเก็บโดยองค์กร จะต้องถูกใช้ในวัตถุประสงค์ที่ผู้เป็นเข้าของสารสนเทศรับทราบ ณ ขณะที่มีการรวบรวมสารสนเทศนั้น
•        มิฉะนั้นจะถือว่าเป็นการละเมิดสิทธิส่วนบุคคลด้านสารสนเทศ

 5.องค์ประกอบของระบบสารสนเทศกับความมั่นคงปลอดภัย
Softwareย่อมต้องอยู่ภายใต้เงื่อนไขของการบริหารโครงการ ภายใต้เวลา ต้นทุน และกำลังคนที่จำกัด ซึ่งมักจะทำภายหลังจากการพัฒนาซอฟต์แวร์เสร็จแล้ว
Hardware  จะใช้นโยบายเดียวกับสินทรัพย์ที่จับต้องได้ขององค์กร คือการป้องกันจากการลักขโมยหรือภัยอันตรายต่าง ๆ รวมถึงการจัดสถานที่ที่ปลอดภัยให้กับอุปกรณ์หรือฮาร์ดแวร์
Data  ข้อมูล/สารสนเทศ เป็นทรัพยากรที่มีค่าขององค์กร การป้องกันที่แน่นหนาก็มีความจำเป็นสำหรับข้อมูลที่เป็นความลับ ซึ่งต้องอาศัยนโยบายความปลอดภัยและกลไกป้องกันที่ดีควบคู่กัน
People  บุคลากร คือภัยคุกคามต่อสารสนเทศที่ถูกมองข้ามมากที่สุด  โดยเฉพาะบุคลากรที่ไม่มีจรรยาบรรณในอาชีพ ก็เป็นจุดอ่อนต่อการโจมตีได้ จึงได้มีการศึกษากันอย่างจริงจัง เรียกว่า Social Engineering ซึ่งเป็นการป้องการการหลอกหลวงบุคลากร เพื่อเปิดเผยข้อมูลบางอย่างเข้าสู่ระบบได้
Procedure  ขั้นตอนการทำงาน เป็นอีกหนึ่งองค์ประกอบที่ถูกมองข้าม  หากมิจฉาชีพทราบขั้นตอนการทำงาน ก็จะสามารถค้นหาจุดอ่อนเพื่อนกระทำการอันก่อนให้เกิดความเสียหายต่อองค์กรและลูกค้าขององค์กรได้
Network  เครือข่ายคอมพิวเตอร์  การเชื่อมต่อระหว่างคอมพิวเตอร์และระหว่างเครือข่ายคอมพิวเตอร์ ทำให้เกิดอาชญากรรมและภัยคุกคามคอมพิวเตอร์ โดยเฉพาะการเชื่อมต่อระบบสารสนเทศเข้ากับเครือข่ายอินเตอร์เน็ต


6.อุปสรรคของงานความมั่นคงปลอดภัยของสารสนเทศ
ความมั่นคงปลอดภัย คือ ความไม่สะดวก  เนื่องจากต้องเสียเวลาในการป้อน password และกระบวนการอื่น ๆ ในการพิสูจน์ตัวผู้ใช้
  มีความซับซ้อนบางอย่างในคอมพิวเตอร์ที่ผู้ใช้ทั่วไปไม่ทราบ  เช่น Registry , Port, Service ที่เหล่านี้จะทราบในแวดวงของ Programmer หรือผู้ดูแลระบบ
 ผู้ใช้คอมไม่ระแวดระวัง
การพัฒนาซอฟต์แวร์ไม่คำนึงถึงความปลอดภัยภายหลัง
แนวโน้มเทคโนโลยีสารสนเทศคือการแบ่งปัน  ไม่ใช่ การป้องกัน
มีการเข้าถึงข้อมูลได้จากทุกสถานที่
ความมั่นคงปลอดภัยไม่ได้เกิดขึ้นที่ซอฟแวร์และฮาร์ดแวร์เพียงอย่างเดียว
มิจฉาชีพมีความเชี่ยวชาญ (ในการเจาะข้อมูลของผู้อื่นมากเป็นพิเศษ)
ฝ่ายบริหารมักจะไม่ให้ความสำคัญแก่ความมั่นคงปลอดภัย

7.บทบาทของบุคลากรสารสนเทศในด้านความมั่นคงปลอดภัย
7.1.ผู้บริการระดับสูง Senior Manager                       
7.1.2. ผู้บริหารสารสนเทศระดับสูง chief Information
               Officer: CIO มีหน้าที่ให้คำแนะนำและแสดงความคิดเห็นแก่ ผู้บริหารระดับสูง.
       7.1.2. ผู้บริหารความมั่นคงปลอดภัยของสารสนเทศระดับสูง 
               Chief Information Security Officer:
               CISO ทำหน้าที่ในการประเมิน จัดการ และพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศในองค์กรโดยเฉพาะ
             7.2.ทีมงานดำเนินโครงการความมั่นคงปลอดภัยของสารสนเทศ Information Securtiy Project Team
ทีมงานดำเนินโครงการ ควรเป็นผุ้ที่มีความรู้ ความสามารถในด้านเทคโนโลยีอย่างลึกซึ้ง และควรจะมีความรู้ในด้านอื่นๆ ที่เกี่ยวข้องควบคู่ไปด้วย
ทีมงานดำเนินโครงการประกอบไปด้วย
ผู้สนับสนุน  Champion
หัวหน้าทีม  Team Leader
นักพัฒนานโยบายความมั่นคงปลอดภัย  Security Policy Development
ผู้ชำนาญการประเมินความเสี่ยง Risk Assessment Specialist
ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของสารสนเทศ  Security Professional
ผู้ดูแลระบบ  System Administrator
ผู้ใช้ระบบ  End User
         7.3.การเป็นเจ้าของข้อมูล Data Ownership  ประกอบด้วย
7.3.1  เจ้าของข้อมูล Data Owners ผู้มีสิทธิในการใช้ข้อมูล และมีหน้าที่ในการรักษาความมั่นคงปลอดภัยของข้อมูลด้วย
7.3.2  ผู้ดูแลข้อมูล Data Cusodiansเป็นผู้ที่ต้องทำงานร่วมกับ Data Owners  โดยตรง ทำหน้าที่จัดเก็บและบำรุงรักษาข้อมูล  3.3  ผู้ใช้ข้อมูล  Data Users  เป็นผู้ที่ทำงานกับข้อมูลโดยตรง


ที่มา : นางสาวกนกวรรณ  ตาลเสี้ยน.  ความมั่นคงปลอดภัยของระบบสารสนเทศ

. kanokwant551. 2557. แหล่งที่มา : https://sites.google.com/site/kanokwant551/khwam-mankhng-plxdphay-khxng-rabb-sarsnthes. ค้นเมื่อ 9 กรกฎาคม, 2558.






เขียนโดย ที่

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)