หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสีย หรือทำลาย Hardware, Software, ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลของระบบ
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
- Hacker : เขียนรหัสเพื่อเจาะข้อมูล/โจมตีระบบ
- Cracker : เจาะระบบเ้ข้าไป เพื่อไปเปลี่ยนแปลงข้อมูล
- Script Kiddieds :
- Spies : คอดดักดู/สอดแนม traffic ของการส่งข้อมูลต่างๆในองค์กร- Employee : เจ้าหน้าที่องค์กรเอง
- Cyberterrorist : ผู้ก่อการร้ายทางคอมพิวเตอร์ อาจทำการปล่อยข่าว หรือ สร้างข้อมูลปลอมบนระบบ หรืออินเตอร์เน็ต
- Network attack
- Basic Attacks : เช่น Social engineering หรือใช้กลลวงทางสังคม เช่น call center ที่โทรมาลวงว่าติดหนี้ธนาคาร หรือได้รับรางวัล แล้วลวงให้โอนเงิน หรือบอกรหัสในการทำธุรกรรมต่างๆ , และ การรื้อค้นเอกสารทางคอมพิวเตอร์ที่ทิ้งขยะ (Dumpster Diving)
- Indentity Attackd เช่น DNS Spoofing ส่งข้อความ หรือไวรัส โดยปลอมแปลง IP และ email spoofing เป็นอีเมลล์ที่เขียนมาลวง และหลอกให้ผู้ใช้กด Link เข้าไปเพื่อลวงเอาข้อมูล หรือรหัสในการทำธุรกรรม
- Denial of Service or DOS เช่น Distributed denial-of-service (DDoS) หากเข้าไปใน website ที่ไม่น่าเชื่อถือ และี่ติดไวรัส ไวรัสดังกล่าวจะมาฝังใน computer ของผู้ใช้ และจะส่ง request ไปยัง website target ที่ถูก attack โดยที่เจ้าของคอมพิวเตอร์ไม่รู้ตัว ผู้ที่ทำ DOS อาจเกิดจากต้องการทดลองวิชา หรือ โจมตีคู่แข่ง
- Webpage Spoofing : การทำหน้า web page ปลอม โดยทำ url ให้คล้ายกับ ewb page จริง แต่เปลี่ยนแปลงเล็กน้อย เพื่อลวงเอา user password
- IP Spoofing : ปลอมแปลง IP
- Malware : โปรแกรมที่มุ่งโจมตี computer's operations ประกอบด้วย virus, worm, Trohan hourse , Logic Bomb
- โปรแกรมที่มุ่งโจมตี Information privacy อย่าง spyware ประกอบด้วย Adware, Phishing, Keyloggers (ทำให้จดจำว่าผู้ใช้ พิมพ์อะไรไปบ้าง) , Configuration Changer (การเปลี่ยนปรับแต่งระบบ)
- Unauthorized access การเข้าถึงระบบโดยไม่ได้รับอนุญาตหมายถึง การใช้ computer หรือ ระบบเครือข่ายคอมพิวเคอร์โดยมีมีาิทธิ ซึ่งส่วนมากจะเป็นการใช้คอมพิวเคอร์ หรือ ข้อมูลในเึครื่อวงคอมพิวเตอร์เพื่อทำกิจกรรมบางอย่างที่ผิดกฏระเบียบของกิจการ หรือ การกระทำที่ผิดกฏหมาย
- การเข้าระบบโอนเงินของธนาคารโดยไม่ได้รับอนุญาต
- Theft การขโมย hardware หรือ ทำลาย hardwar มักอยู่ในรูปของการตัดสายเชื่อต่อระบบเครือข่ายคอมพิวเตอร์ , ขโมย software อาจอยู่ในรูปของการขโมยสื่อจัดเก็บ software การลบโปรแกรมโดยตั้งใจ และการทำสำเนาโปรแกรมอย่างผิดกฏหมาย , การขโมยสารสนเทศ มักอยู่ในรูปของการขโมยข้อมูลทีเ่ป็นความลับส่วนบุคคล
- System failure
อาจเกิดจากเสียง (noise) , หรือแรงดันไฟฟ้าต่ำ (Undervoltages), แรงดันไฟฟ้าสูง (Overvoltages)
การรักษาความปลอดภัยระบบโจมตีเครือข่าย
- ติดตั้งโปรแกรมป้องกันไวรัส และปรับปรุง Virus signature หรือ Virus Definition- ติดตั้ง firewall
- ติดตั้ง softwware ตรวจจับการบุกรุก (Intrusion detection software) เพื่อตรวจสอบผู้ที่เข้ามาใช้ระบบว่า เป็นบุคคลที่ได้รับการอนุญาตหรือไม่
- ติดตั้ง Honeypot เป็นการตั้งระบบลวง เพื่อให้ hacker หรือบุคคลที่ต้องการเ้ข้ามาโจมตีระบบ ไปโจมตีหรือเจาะในระบบลวง
- DMZ ( Demilitarized Zone) --> มีการติดตั้ง firewall ในขั้นแรก แต่หากหลุดจากการตรวจสอบขั้นแรก ก็จะเจอ firewall อีกชั้นหนึ่ง เพื่อเป็นการป้องกันไม่ให้ถูกโจมตีได้โดยง่าย และเป็นการกรอง users ที่จะเข้าสู่ระบบ
- การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต
- การระบุตัวตน (Identification)
- การพิสูจน์ตัวจริง (Authentication) เช่น password
- ข้อมูลเฉพาะที่ทราบเฉพาะบุคคลที่เป็นเจ้าของ (what you know)
- ใช้บัตรผ่านที่มีลักษณะเป็นบัตรประจะตัว ( what you have) เช่น บัตร ATM
- ลักษณะทางกายภาพ (what you are) เช่น ม่านตา
Policy of leart policies เป็นนโยบายที่กำหนดให้ user เข้าถึงระบบได้ตามสิทธิและหน้าที่
- การควบคุมการขโมย
- ควบคุมการเจ้าถึงทางกายภาพ (physical access control) เช่น การปิดล็อกประตูหน้าต่าง- กิจการบางแห่งนำระบบ real time location system (RTLS) มาใช้ เพื่อระบบสถานที่ที่มีความเสี่ยงสูง โดยนำ RFID tags ติดที่อุปกรณ์ computer เพื่อใช้ในการติดตามอุปกรณ์นั้นๆ
- ปัจจุบันมีการออกแบบ computer ให้สามารถควบคุมการเปิดเครื่องและการเข้าใช้งาน
- การรักษาความปลอกภัย software โดยการเก็บรักษาแผ่น software ในที่ที่มีการรักษาความปลอดภัย
- กรณีที่ programmer ลาออกหรือถูกให้ออก ต้องควบคุมและติดตาม programmer ทันที (Escot)
- การเข้ารหัส คือกระบวยการในการแปลงหรือเข้ารหัสจ้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถอ่านได้ (Plaintext) ให้อยู่ในรูปที่เฉพาะคนที่เกี่ยวข้องเท่านั้น ที่อ่านข่้อมูลได้ั ( Ciphertext)
- องค์ประกอบของการเข้ารหัส
- Plaintext
- Algorithm
- Secure key
- การเข้ารหัสแบบสมมาตร : ฝั่งที่ส่งข้อมูล มีplain text + algorithm ไป โดยผู้ส่งมี key ลับในการปิด ทางด้านผู้รับก็จะมี key ในการเปิดเช่นกัน
- การเข้ารหัสแบบไม่สมมาตร : ผู้ส่ง มี public key ส่วนผู้รับ เป็น private key
การรักษาความปลอดภัยอื่นๆ
- Secure sockets later (SSL) โดย webpage ที่ใช้ SSL จะขึ้นต้นด้วย https แทนที่จะเป็น http เป็น technique ในการสร้าง network ก่อนที่จะส่งข้อมูลสำคัญ หรือทำธุรกรรมทางการเงิน- Secures HTTP (S-HTTP) เช่น ระบบธนาคารออนไลน์ จะใช้ S-HTTP
- Virtual private network (VPN)
- การควบคุมความล้มเหลวของระบบสารสนเทศ
- การป้องกันแรงดันไฟฟ้า ใช้ Surge protector หรือ Surge suppressor- ไฟฟ้าดับ ใช้ UPS
- กรณีระบบสารสนเทศถูกทำลายจนไม่สามารถให้บริการได้ การควบคุมโดยการจัดทำแผนการทำให้กลับคืนสู่สภาพเดิมจากภัยพิบัติ (Disaster Recovery-DR) ot Business continutity planing (BCP)
- การสำรองช้อมูล อาจทะำผ่านสื่อบันทึก หรือ online
- การรักษาความปลอดภัยของ wireless LAN
ควบคุมการเข้าสู่ระบบด้วย service set Identifier (SSID) , มีการคัดกรองผู้ใช้
Fraud
- การทุจริตส่วนใหญ่ กระทำโดยผู้บริหารระดับสูง
- ปัจจุบัน IT มีบทบาทเพิ่มมากขึ้นใน internal control เพื่อลดความเสียหาย หรือความเสี่ยงที่อาจเกิดขึ้น
จรรยาบรรณ
จรรยาบรรณคอมพิวเตอร์ คือ หลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ประกอบด้วย
- การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
- การละเมิดลิขสิทธิ์ software
- ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูป
- สิืทธิต่อทรัพย์สินทางปัญญา
- หลักปฏิบัติ : ในองค์กรควรมีเป็นลายลักษณ์อักษร
- ความเป็นส่วนตัวของสารสนเทศ
No comments:
Post a Comment