Information Technology Security
ความเสี่ยงของระบบสารสนเทศ (Information system risk)
เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลายฮาร์ดแวร์ (Hardware) ซอฟต์แวร์ (Software) ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ โดยบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ สามารถแบ่งประเภทได้ดังต่อไปนี้
• แฮกเกอร์ (Hacker) คือ บุคคลที่พยายามเข้าไปในระบบสารสนเทศ เพื่อแสดงให้เจ้าของระบบทราบว่ายังมีช่องโหว่ของการรักษาความปลอดภัยของระบบ อยู่และเรียกว่า แฮกเกอร์ที่มีจรรยาบรรณ
• แครกเกอร์ (Cracker) คือบุคคลที่ทำอันตรายต่อการรักษาความปลอดภัยของระบบสารสนเทศโดยมีวัตถุประสงค์ร้าย
• ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies) คือบุคคลที่ต้องการทำอันตรายระบบรักษาความปลอดภัยแต่ยังไม่มีทักษะทางด้าน คอมพิวเตอร์มากนักจึงใช้ซอฟท์แวร์ในการเป็นเครื่องมือเพื่อช่วยในการทำลาย
• ผู้สอดแนม (Spies) คือบุคคลที่ถูกจ้างเพื่อเจาะระบบสารสนเทศและขโมยข้อมูล มักมีทักษะทางคอมพิวเตอร์สูง โดยมีเป้าหมายของระบบที่ต้องการเจาะอย่างชัดเจน บางครั้งอาจทำไปตามการว่าจ้างของบริษัทคู่แข่งเพื่อล้วงความลับข้อมูลทางการ แข่งขันที่สำคัญ
• เจ้าหน้าที่ขององค์กร (Employees) คือ เจ้าหน้าที่ขององค์กรเองที่เจาะเข้าสู่ระบบข้อมูลเพื่อแสดงให้เห็นว่าระบบ ยังคงมีจุดอ่อนอยู่ เป็นประโยชน์เพื่อนำไปพัฒนาต่อไปแต่ปัจจุบันถือว่าเป็นภัยคุกคามที่เพิ่มมาก ยิ่งขึ้น โดยเฉพาะอย่างยิ่งเป็นการขายข้อมูลต่อนั่นเอง
• ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyber terrorist) ใช้ความเชื่อของตนเองในการปรับเปลี่ยนข้อมูลสารสนเทศ หรือการทำให้ระบบสารสนเทศ ปฏิเสธการให้บริการกับผู้ใช้ที่มีสิทธิในการใช้ระบบอย่างถูกต้อง หรือเจาะเข้าไปในระบบเพื่อทำให้ข้อมูลเสียหายอย่างมาก ผู้ก่อการร้ายทางคอมพิวเตอร์เป็นนักเจาระบบที่น่ากลัวมากที่สุดในจำนวนนัก เจาะระบบ มีทักษะทางคอมพิวเตอร์ที่สูงมาก นอกจากนี้ยังเป็นการยากที่จะทำนายว่าจะโจมตีจะเกิดเวลาไหนและที่ใด โจมตีในรูปแบบใหม่อย่างอย่างฉับพลันและรวดเร็ว
ประเภทของความเสี่ยง
• Basic Attacks : เช่น Social engineering หรือใช้กลลวงทางสังคม เช่น call center ที่โทรมาลวงว่าติดหนี้ธนาคาร หรือได้รับรางวัล แล้วลวงให้โอนเงิน หรือบอกรหัสในการทำธุรกรรมต่างๆ , และ การรื้อค้นเอกสารทางคอมพิวเตอร์ที่ทิ้งขยะ (Dumpster Diving)
• Identity Attack เช่น DNS Spoofing ส่งข้อความ หรือไวรัส โดยปลอมแปลง IP และ email spoofing เป็นอีเมลล์ที่เขียนมาลวง และหลอกให้ผู้ใช้กด Link เข้าไปเพื่อลวงเอาข้อมูล หรือรหัสในการทำธุรกรรม
• Denial of Service or DOS เช่น Distributed denial-of-service (DDoS) หากเข้าไปใน website ที่ไม่น่าเชื่อถือ และติดไวรัส ไวรัสดังกล่าวจะมาฝังใน computer ของผู้ใช้ และจะส่ง request ไปยัง website target ที่ถูก attack โดยที่เจ้าของคอมพิวเตอร์ไม่รู้ตัว
• Webpage Spoofing : การทำหน้า website ปลอม โดยมี url ที่คล้ายกับ website จริง แต่เปลี่ยนแปลงเล็กน้อย เพื่อลวงเอา user password ได้แก่ การปลอมแปลง IP (IP Spoofing)
• โปรแกรมมุ่งโจมตีคอมพิวเตอร์ (Malware)
• โจมตี information privacy (Spyware) อย่าง Phishing, Adware, Keylogger
การรักษาความปลอดภัยของระบบสารสนเทศ
1. การรักษาความปลอดภัยการโจมตีระบบเครือข่าย โดยติดตั้งระบบโปรแกรมที่ป้องกันไวรัส (Antivirus) ติดตั้ง Firewall ติดตั้งซอร์ฟแวร์ตรวจจับการบุกรุก และติดตั้ง honeypot มีการสร้างระบบไว้ข้างนอก เป็นตัวที่เอาไว้หลอกล่อพวกแฮกเกอร์ที่ต้องการเจาะเข้าระบบ
2. การควบคุมเข้าถึงระบบโดยไม่ได้รับอนุญาต เช่น การระบุตัวตน การพิสูจน์ตัวจริง และ Principle of least privilege (POLP) ที่ให้ข้อมูลเฉพาะที่พนักงานแต่ละคนจำเป็นต้องใช้เท่านั้น
3. การควบคุมการขโมย ทั้งการควบคุมการเข้าถึงทางกายภาพ การนำระบบ RTLS มาใช้เพื่อระบุสถานที่ที่มีความเสี่ยงสูง การใช้ระบบควบคุมการเปิดปิดเครื่องด้วยลักษณะทางกายภาพ โดยในกรณีที่มีโปรแกรมเมอร์ลาออกหรือถูกให้ออก ต้องควบคุมและติดตามโปรแกรมเมอร์ทันที
4. การเข้ารหัส คือ กระบวน การในการเเปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถเข้าไปอ่าน ได้ให้อยู่ในรูปที่เฉพาะคนที่เกี่ยวข้องเท่านั้นที่สามารถอ่านข้อมูลได้ โดยอาจใช้วิธีการเข้ารหัสแบบสลับตำแหน่ง โดยแบ่งเป็น 2 ประเภท คือ
• การเข้ารหัสแบบสมมาตร (Symmetric Key) คนที่ส่งและรับข้อมูลใช้คีย์ชุดเดียวกันในการแปลงและถอดรหัสข้อความ
• การเข้ารหัสแบบไม่สมมาตร(Asymmetric Key) ใช้คีย์ 2 ตัว ได้แก่ คีย์สาธารณะและคีย์ส่วนตัว เช่น amazon มีคีย์ข้อ amazon ที่เป็นสาธารณะ และลูกค้าจะมีคีย์ที่เกี่ยวกับบัตรเครดิตที่เป็นส่วนตัว
จรรยาบรรณ
จรรยาบรรณ ทางคอมพิวเตอร์ คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบ สารสนเทศ เช่น การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต, การขโมยซอฟต์แวร์, การละเมิดลิขสิทธิ์, การตกแต่งรูปภาพ, ทรัพย์สินทางปัญญา, ความเป็นส่วนตัวของสารสนเทศ
5202112883
สานุพัฐ รัตนมโนชัย
ไม่มีความคิดเห็น:
แสดงความคิดเห็น