การรักษาความปลอดภัยระบบสารสนเทศและจรรยาบรรณเบื้องต้น
ความหมายของความเสี่ยงของระบบสารสนเทศ
ความเสี่ยงของระบบสารสนเทศ (Information system risk) หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลายฮาร์ดแวร์ (Hardware) ซอฟต์แวร์ (Software) ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
- แฮกเกอร์ (Hacker) -- คือบุคคลใดก็ตามที่พยายามเจาะเข้าไปในระบบสารสนเทศอย่างผิดกฏหมาย แบบแคบ แฮกเกอร์คือบุคคลที่ใช้ทักษะหรือความสามารถที่สูงทางคอมพิวเตอร์เพื่อเจาะเข้าไปในระบบสารสนเทศของผู้อื่น แม้ว่าการกระทำดังกล่าวจะเป็นการกระทำที่ผิดกฏหมาย แต่แฮกเกอร์เชื่อว่าการกระทำดังกล่าวยอมรับได้ เพราะมีวัตถุประสงค์ในการแสดงให้เจ้าของระบบสารสนเทศทราบช่องโหว่ของการรักษาความปลอดภัยของระบบสารสนเทศ โดยแฮกเกอร์พวกนี้เรียกตนเองว่า แฮกเกอร์ที่มีจรรยาบรรณ (Ethical hackers)
- แครกเกอร์ (Cracker) -- บุคคลที่ทำอันตรายต่อการรักษาความปลอดภัยของระบบสารสนเทศโดยมีวัตถุประสงค์ร้าย โดยแครกเกอร์จะเป็นผู้ที่มีความรู้ทางคอมพิวเตอร์อย่างมากเช่นเดียวกับแฮกเกอร์ ต่างกันที่แครกเกอร์จะทำลายข้อมูลและทำให้ระบบสารสนเทศและเครือข่ายของกิจการมีปัญหาอย่างมาก
- ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies) -- เป็นบุคคลที่มีเป้าหมายเช่นเดียวกับแครกเกอร์คือทำลายระบบ แต่มักไม่มีทักษะทางด้านคอมพิวเตอร์มากนัก ส่วนมากจะทำการดาวน์โหลดซอฟต์แวร์ที่ช่วยในการเจาะระบบจากเว็บ มือใหม่เป็นบุคคลที่อาจก่อให้เกิดภัยกับกิจการอย่างใหญ่หลวง เนื่องจากบุคคลพวกนี้มักเป็นคนที่มีอายุน้อยซึ่งมีเวลาอย่างไม่จำกัด
- ผู้สอดแนม (Spies) -- เป็นบุคคลที่ถูกจ้างเพื่อเจาะระบบสารสนเทศและขโมยข้อมูล มักมีทักษะทางคอมพิวเตอร์สูง โดยมีเป้าหมายของระบบที่ต้องการเจาะอย่างชัดเจน ไม่ไร้จุดหมายเหมือนผู้ก่อให้เกิดภัยมือใหม่
- เจ้าหน้าที่ขององค์กร (Employees) -- เป็นภัยคุกคามที่มีจำนวนมากขึ้น โดยเจ้าหน้าที่จะเจาะเข้าไปในระบบสารสนเทศของกิจการของตนโดยมีเหตุผลเพื่อแสดงให้เห็นว่าระบบรักษาความปลอดภัยขององค์กรมีจุดอ่อน
- ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyberterrorist) -- เมื่อไม่สามารถทำสงครามด้วยอาวุธได้ จึงเปลี่ยนเป็นโจมตีทางด้านคอมพิวเตอร์แทน เช่นการปล่อยข่าว กล่าวหา สร้างข้อมูลปลอมขึ้นมา เพื่อให้คนเชื่อ โดยผู้ก่อการร้ายจะใช้ความเชื่อของตนเองในการปรับเปลี่ยนข้อมูลสารสนเทศ หรือการทำให้ระบบสารสนเทศ ปฏิเสธการให้บริการกับผู้ใช้ที่มีสิทธิในการใช้ระบบอย่างถูกต้อง หรือเจาะเข้าไปในระบบเพื่อทำให้ข้อมูลเสียหายอย่างมาก ผู้ก่อการร้ายทางคอมพิวเตอร์เป็นนักเจาระบบที่น่ากลัวมากที่สุดในจำนวนนักเจาะระบบ มีทักษะทางคอมพิวเตอร์ที่สูงมาก นอกจากนี้ยังเป็นการยากที่จะทำนายว่าจะโจมตีจะเกิดเวลาไหนและที่ใด โจมตีในรูปแบบใหม่อย่างอย่างฉับพลันและรวดเร็ว
ประเภทของความเสี่ยงของระบบสารสนเทศ
- การโจมตีระบบเครือข่าย (Network attack)
- การโจมตีขั้นพื้นฐาน (Basic Attacks) เช่น กลลวงทางสังคม (Social engineering) – เช่น การแชร์พาสเวิร์ดอีเมล์ของบุคคลอื่น และการรื้อค้นเอกสารทางคอมพิวเตอร์จากที่ทิ้งขยะ (Dumpster Diving )
- การโจมตีด้านคุณลักษณะ (Identity Attacks) เช่น DNS Spoofing – เช่น การส่งไวรัสจากเครื่องของเราไปให้คนอื่น โดยที่ปลอมแปลงเลข IP address เป็นของเรา และ e-mail spoofing -- เช่น การส่งไวรัสจากอีเมล์ ส่งอีเมล์ที่เราไม่ต้องการ
- การปฏิเสธการให้บริการ (Denial of Service หรือ DoS) เช่น Distributed denial-of-service (DDoS) การเข้าเว็บไซต์ที่มีไวรัสมัลแวร์ ทำให้คอมพิวเตอร์เราส่ง request โดยที่เราไม่รู้ตัว, DoSHTTP (HTTP Flood Denial of Service) ตัวอย่างเช่น การส่งสัญญาณ request จากเครื่องคอมพิวเตอร์หลายล้าน ๆ ครั้ง ทำให้เว็บไซต์ล่ม
- การโจมตีด้วยมัลแวร์ (Malware)
- โปรแกรมมุ่งร้ายที่โจมตีการปฏิบัติงานของคอมพิวเตอร์ (Computer’s operations) ประกอบด้วย ไวรัส (Viruses) เวิร์ม (Worms) โทรจันฮอร์ส (Trojan horse) และลอจิกบอมบ์ (Logic bombs)
- โปรแกรมมุ่งร้ายที่โจมตีความเป็นส่วนตัวของสารสนเทศ (Information privacy) ที่มีชื่อเรียกทั่วไปว่า สปายแวร์ (Spyware) ประกอบด้วย แอดแวร์ (Adware), พิชชิง (Phishing), คีลอกเกอะ (Keyloggers) สำหรับ track คีย์บอร์ดมีทั้งฮาร์ดแวร์และซอฟต์แวร์, การเปลี่ยนการปรับแต่งระบบ (Configuration Changers), การต่อหมายเลข (Dialers), และ แบ็คดอร์ (Backdoors)
- การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access) หมายถึงการใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ ซึ่งส่วนมากจะเป็นการใช้คอมพิวเตอร์หรือข้อมูลในเครื่องคอมพิวเตอร์เพื่อทำกิจกรรมบางอย่างที่ผิดกฏระเบียบของกิจการหรือการกระทำที่ผิดกฏหมาย เช่น
- การขโมย (Theft)
- การขโมยฮาร์ดแวร์และการทำลายฮาร์ดแวร์มักอยู่รูปของการตัดสายเชื่อมต่อระบบเครือข่ายคอมพิวเตอร์
- ขโมยซอฟต์แวร์อาจอยู่ในรูปของการขโมยสื่อจัดเก็บซอฟต์แวร์ การลบโปรแกรมโดยตั้งใจ และการทำสำเนาโปรแกรมอย่างผิดกฏหมาย
- การขโมยสารสนเทศ มักอยู่ในรูปของการขโมยข้อมูลที่เป็นความลับส่วนบุคคล
- ความล้มเหลวของระบบสารสนเทศ (System failure)
- เสียง (Noise)
- แรงดันไฟฟ้าต่ำ (Undervoltages)
- แรงดันไฟฟ้าสูง (overvoltages)
การรักษาความปลอดภัยของระบบสารสนเทศ
- การรักษาความปลอดภัยการโจมตีระบบเครือข่าย
- ติดตั้งโปรแกรมป้องกันไวรัสและปรับปรุง Virus signature หรือ Virus definition และต้องอัพเดตตลอดเวลา
- ติดตั้งไฟร์วอลล์ (Firewall) – ซอหต์แวร์และฮาร์ดแวร์ที่คอยกั้นไม่ให้สิ่งไม่ดีเข้ามาในองค์กร เพื่อควบคุมไม่ให้บุคคลภายนอกที่ไม่ได้รับอนุญาตเข้ามาในระบบเครือข่าย ป้องกันการส่งข้อมูลที่ไม่ได้รับอนุมัติจากภายในหน่วยธุรกิจออกไปสู่อินเทอร์เน็ตด้วย
- ติดตั้งซอฟต์แวร์ตรวจจับการบุกรุก (Intrusion detection software) – ตรวจสอบว่าใครเข้ามาใช้ระบบบ้าง มีคนภายในเท่าไหร่ และภายนอกเท่าไหร่ หรือบางเว็บอาจอนุญาตให้เข้าเฉพาะคนในองค์กรเท่านั้น
- ติดตั้ง Honeypot -- ระบบที่ติดตั้งให้เหมือนระบบจริงแต่แยกออกมาจากระบบที่กิจการใช้งานอยู่ กิจการ Web hosting ขนาดใหญ่ เช่น Yahoo และ AT&T เป็นระบบหลอก ๆ ที่สร้างขึ้นมาป้องกันระบบจริง
- การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต
- การระบุตัวตน (Identification)
- การพิสูจน์ตัวจริง (Authentication) เช่น รหัสผ่าน (Password)
- ข้อมูลที่ทราบเฉพาะบุคคลที่เป็นเจ้าของ (What you know)
- ใช้บัตรผ่านที่มีลักษณะเป็นบัตรประจำตัว (What you have) เช่น บัตร ATM เป็นต้น
- ลักษณะทางกายภาพของบุคคล หรือ Biometric (What you are) เช่น ม่านตา เป็นต้น
- การควบคุมการขโมย
- ควบคุมการเข้าถึงทางกายภาพ (Physical access control) เช่น การปิดห้องและหน้าต่าง เป็นต้น
- กิจการบางแห่งนำระบบ Real time location system (RTLS) มาใช้เพื่อระบุสถานที่ที่มีความเสี่ยงสูงโดยนำ RFID tags ติดที่อุปกรณ์คอมพิวเตอร์เพื่อใช้ในการติดตามอุปกรณ์นั้นๆ
- ปัจจุบันมีการออกแบบเครื่องคอมพิวเตอร์ให้สามารถควบคุมการเปิดเครื่องและการเข้าใช้งานเครื่องด้วยการใช้ลักษณะทางกายภาพของบุคคล เช่น ลายนิ้วมือ การแสกกนม่านตา เป็นต้น
- การรักษาความปลอดภัยของซอฟต์แวร์ทำโดยเก็บรักษาแผ่นซอฟต์แวร์ในสถานที่มีการรักษาความปลอดภัย
- ในกรณีที่มีโปรแกรมเมอร์ลาออกหรือถูกให้ออก ต้องควบคุมและติดตามโปรแกรมเมอร์ทันที (Escort)
- การเข้ารหัส คือกระบวนการในการแปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถอ่านได้ (Plaintext) ให้อยู่ในรูปที่เฉพาะผู้ที่เกี่ยวข้องเท่านั้นสามารถอ่านข้อมูลได้ (Ciphertext) เช่น Plaintext =I am a boy เมื่อแปลงเป็น Ciphertext = L dp d erb โดยลำดับมีความสัมพันธ์กัน เชิงคณิตศาสตร์
- องค์ประกอบของการเข้ารหัส
- Plaintext
- Algorithm
- Secure key
- ประเภทของการเข้ารหัส
- การเข้ารหัสแบบสมมาตร >> ผู้ส่งและผู้รับจะมีคีย์ลับเหมือนกันที่ใช้ในการเปิด ใช้ในวงแคบ ๆ
- การเข้ารหัสแบบไม่สมมาตร >> ผู้ส่งคีย์สาธารณะและส่วนผู้รับจะใช้คีย์ส่วนตัวในการเปิด เช่นการติดต่อระหว่าง Amazon กับลูกค้า
- การรักษาความปลอดภัยอื่นๆ
- Secure sockets layer (SSL) โดยเว็บเพจที่ใช้ SSL จะขึ้นต้นด้วย https แทนที่จะเป็น http
- Secure HTTP (S-HTTP) เช่น ระบบธนาคารออนไลน์จะใช้ S-HTTP เกิดการเปลี่ยนแปลงชื่อของ URL จาก http:// เป็น https:// คือเปลี่ยนจาก Internet เป็น Intranet
- Virtual private network (VPN) อนุญาตให้เฉพาะคนภายในใช้เท่านั้น เช่น วารสารออนไลน์ของคณะ
- การควบคุมความล้มเหลวของระบบสารสนเทศ
- การป้องกันแรงดันไฟฟ้าใช้ Surge protector หรือ Surge suppressor
- ไฟฟ้าดับใช้ Uninterruptible power supply (UPS)
- กรณีระบบสารสนเทศถูกทำลายจนไม่สามารถให้บริการได้ การควบคุมทำโดยการจัดทำแผนการทำให้กลับคืนสู่สภาพเดิมจากภัยพิบัติ (Disaster Recovery – DR) หรือ Business continuity planning (BCP) มีหน่วยสำรองเมื่อเกิดข้อผิดพลาด
- การสำรองข้อมูล (Data Backup) สิ่งที่ต้องตัดสินใจเกี่ยวกับการสำรองข้อมูลประกอบด้วย
- เลือกสื่อบันทึก (Media) ที่จะทำการสำรองข้อมูล เช่น CD DVD หรือ Portable Harddisk เป็นต้น
- ระยะเวลาที่ต้องสำรองข้อมูล
- ความถี่ในการสำรองข้อมูล ขึ้นอยู่กับระยะเวลาสูงสุดที่ระบบจะไม่สามารถให้บริการได้โดยไม่ส่งผลต่อการดำเนินงานปกติขององค์กร
- สถานที่จัดเก็บสื่อบันทึกที่สำรองข้อมูล ซึ่งสามารถจัดเก็บ On Site หรือ Offsite ซึ่งแต่ละประเภทมีข้อดีและข้อเสียแตกต่างกันออกไป
- การรักษาความปลอดภัยของแลนไร้สาย (Wireless LAN)
- ควบคุมการเชื่อมโยงเข้าสู่แลนไร้สายด้วย Service Set Identifier (SSID)
- กลั่นกรองผู้ใช้งานด้วยการกรองหมายเลขการ์ดเน็ตเวิร์ก (MAC Addressing Filtering)
- การเข้ารหัสและถอดรหัสด้วยวิธีการ Wired Equivalency Privacy (WEP)
- จำกัดขอบเขตพื้นที่ให้บริการด้วยการควบคุมกำลังส่งของแอ็กเซสพอยน์
- การพิสูจน์สิทธิเข้าใช้งานแลนไร้สายด้วย Radius Server (ไม่กล่าวในรายละเอียด)
- การสร้าง Virtual Private Network (VPN) บนแลนไร้สาย (ไม่กล่าวในรายละเอียด)
จรรยาบรรณ
จรรยาบรรณทางคอมพิวเตอร์ คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย
- การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
- การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์)
- ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ เป็นต้น
- สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights)
- หลักปฏิบัติ (Code of conduct)
- ความเป็นส่วนตัวของสารสนเทศ (Information privacy)
- หลักปฏิบัติ คือสิ่งที่เขียนเป็นลายลักษณ์อักษรเพื่อเป็นแนวทางในการตัดสินใจว่าการกระทำใดที่เกี่ยวข้องกับคอมพิวเตอร์เป็นสิ่งที่มีหรือไม่มีจรรยาบรรณ หลักปฏิบัติมีดังนี้
- ต้องไม่ใช้คอมพิวเตอร์ในการทำอันตรายบุคคลอื่น
- ต้องไม่รบกวนการทำงานทางคอมพิวเตอร์ของคนอื่น
- ต้องไม่เข้าไปยุ่งเกี่ยวกับแฟ้มข้อมูลของคนอื่น
- ต้องไม่ใช้คอมพิวเตอร์ในการขโมย
- ต้องไม่ใช้คอมพิวเตอร์เพื่อให้หลักฐานที่เป็นเท็จ
- ต้องไม่สำเนาหรือใช้ซอฟต์แวร์ที่ละเมิดลิขสิทธิ์
- ต้องไม่ใช้ทรัพยากรทางคอมพิวเตอร์ของผู้อื่นโดยไม่ได้รับอนุญาต
- ต้องไม่ใช้ทรัพสินทางปัญญาของผู้อื่นเหมือนเป็นของตน
- ต้องคำนึงถึงผลกระทบทางสังคมของโปรแกรมที่ออกแบบ
- ต้องใช้คอมพิวเตอร์ในทางที่แสดงให้เห็นถึงความเคารพในมนุษย์แต่ละคน
- ความเป็นส่วนตัวของสารสนเทศ มีหลักปฏิบัติดังนี้
- ให้เฉพาะข้อมูลที่จำเป็นเท่านั้นในการกรอกข้อมูลใบลงทะเบียน ใบรับประกัน และอื่นๆ
- ไม่พิมพ์เบอร์โทรศัพท์ เลขที่บัตรประชาชน บนเช็ค ล่วงหน้า (Preprint)
- แจ้งองค์การโทรศัพท์ไม่ให้พิมพ์หมายเลขโทรศัพท์ของท่านลงใบสมุดโทรศัพท์
- ถ้าหมายเลขโทรศัพท์ของท่านอยู่ในพื้นที่ๆ สามารถแสดงหมายเลขโทรศัพท์ที่เครื่องของผู้รับได้ ให้ท่านระงับการแสดงหมายเลขโทรศัพท์ที่เครื่องของผู้รับด้วย
- ไม่ควรเขียนหมายเลขโทรศัพท์ของท่านบนในบิลของบัตรเครดิต
- ซื้อสินค้าด้วยเงินสด แทนที่จะเป็นบัตรเครดิต
- ถ้าร้านค้าสอบถามข้อมูลส่วนตัวของท่าน ให้หาเหตุผลว่าทำไมจึงถามคำถามนั้นก่อนที่จะตัดสินใจว่าจะให้หรือไม่ให้ข้อมูล
- กรอกข้อมูลส่วนตัวของท่านบนเว็บเฉพาะส่วนที่ต้องกรอกเท่านั้น
- ติดตั้งตัวจัดการ Cookie เพื่อกลั่นกรอง Cookie
- ลบ History file ภายหลังจากเลิกใช้โปรแกรมเบาวร์เซอร์
- ยกเลิกการเปิดบริการแบ่งปันข้อมูล (File sharing) หรือเครื่องพิมพ์ก่อนการเชื่อมต่ออินเทอร์เน็ต
- ติดตั้งไฟร์วอลล์ส่วนบุคคล
- ติดตั้งโปรแกรม Anti-spam
- ไม่ตอบ e-mail ที่เป็น spam ไม่ว่าจะด้วยเหตุผลใดก็ตาม
- Cookie คือ Text file ขนาดเล็กที่เครื่อง Web server นำมาติดตั้งที่เครื่องคอมพิวเตอร์ (ฮาร์ดดิสก์) ของผู้เรียกเว็บไซด์นั้นๆ โดย Cookie จะมีข้อมูลเกี่ยวกับผู้ใช้ ประกอบด้วย ชื่อหรือเว็บไซด์ที่ชอบเข้า เมื่อผู้ใช้ติดต่อกับเว็บไซด์ โปรแกรมเบาวร์เซอร์จะจัดส่งข้อมูลใน Cookie ไปยังเว็บไซด์
- กฏหมายเกี่ยวกับความเป็นส่วนตัวของสารสนเทศ เช่น Privacy Act และ Family Educational Rights and Privacy Act เป็นต้น โดยกฏหมายนี้ส่วนใหญ่จะกล่าวถึง
- จำนวนของสารสนเทศที่จัดเก็บจะต้องจัดเก็บเท่าที่จำเป็นเพื่อการดำเนินงานของธุรกิจหรือรัฐบาลเท่านั้น
- จำกัดการเข้าถึงข้อมูลที่รวบรวมนั้น โดยให้พนักงานที่เกี่ยวข้องและจำเป็นต้องใช้ข้อมูลเพื่อการปฏิบัติงานสามารถใช้ข้อมูลนั้นได้เท่านั้น
- แจ้งให้ผู้ที่ถูกจัดเก็บข้อมูลทราบว่ากำลังจัดเก็บข้อมูลอยู่ เพื่อให้บุคคลนั้นมีโอกาสในการพิจารณาความถูกต้องของข้อมูล
Are you looking for reliable IT outsourcing services in Thailand? We're here to help you find the perfect solution to meet your business needs!
ตอบลบADI is one of the best staffing agencies in Southeast Asia with 3 different services, IT staff outsourcing, recruitment consulting and payroll outsourcing and providing a hassle-free process to obtain a work permit, in various countries, which are Thailand, Indonesia, India, Singapore, Malaysia, Vietnam, and Philippines.
In IT staff outsourcing, a partner can hire staff for a fixed amount of time. ADI takes responsibility for quickly selecting the right staff and then recruitment, maintaining the payroll, retaining and replacement of these staff.
If you require any further information, feel free to contact us on: https://www.adiresourcing.com
, Address: ADI Resourcing,120 Kasemkij Building, Room No. 907, 9th Floor, Silom Road, Suriyawongse, Bangrak, Bangkok 10500, Mail us on: info@adiresourcing.com.