การรักษาความปลอดภัยระบบสารสนเทศและจรรยาบรรณเบื้องต้น
ระบบสารสนเทศถือเป็นเส้นเลือดขององค์กร ถ้ามีคนนอกสามารถเข้ามาในระบบและทำสิ่งต่างๆ ผลกระทบก็จะร้ายแรง
ความหมายของความเสี่ยงของระบบสารสนเทศ
- ความเสี่ยงของระบบสารสนเทศ (Information system risk) หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลายฮาร์ดแวร์ (Hardware) ซอฟต์แวร์ (Software) ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ
- บริษัทไม่ว่าจะเล็กหรือใหญ่ก็ต้องใช้ซอฟแวร์ที่ถูกต้องตามกฏหมาย
- หากคนนอกสามารถเข้ามายุ่งกับระบบได้ ก็อาจเป็นอันตราย เช่น สามารถเข้าถึงเซิร์พเวอร์ได้ง่าย
- การใช้ทรัมไดร์ฟอาจมีการติดไวรัสกันได้ง่าย
- คนประเภท Gen Y จะมีความเสี่ยงต่อระบบสารสนเทศมากกว่า เพราะมีลักษณะของคนที่คิดเร็วทำเร็ว ไม่รอบคอบ
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
- แฮกเกอร์ (Hacker) คนที่เจาะระบบเก่งๆ
- แครกเกอร์ (Cracker) คนที่เจาะระบบเก่งๆ เป็นไปในทางทำลายระบบ
- ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies) เด็กที่เก่งคอมพิวเตอร์ อาจสร้างปัญหาก็ได้
- ผู้สอดแนม (Spies) อาจใช้เทคนิคในการสอดแนม เช่น ดักที่เส้นลวดไฟฟ้าที่ใช้ส่งผ่านข้อมูล
- เจ้าหน้าที่ขององค์กร (Employees)
- ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyber terrorist) เช่น การปล่อยข่าวสร้างความเสื่อมเสีย
ประเภทของความเสี่ยงของระบบสารสนเทศ
- การโจมตีระบบเครือข่าย (Network attack)
- การโจมตีขั้นพื้นฐาน (Basic Attacks) เช่น กลลวงทางสังคม (Social engineering) และการรื้ออค้นเอกสารทางคอมพิวเตอร์จากที่ทิ้งขยะ (Dumpster Diving ) หรือ Call center หลอกลวงว่าได้รางวัลหรือต้องเสียค่าใช้จ่ายต่างๆ
- การโจมตีด้านคุณลักษณะ (Identity Attacks) เช่น DNS Spoofing การส่งข้อความที่เป็นความลับของเราไปให้คนอื่น และ e-mail spoofing การใช้อีเมลล์ที่หลอกลวงให้กรอก username และ password การเข้า Web page ที่ถูก spoof เช่น เว็บไซต์ที่มีความคล้ายคลึงกับหน้าที่เป็นที่นิยม หลอกให้เข้าไปกรอกข้อมูล username หรือ password
IP Spoofing การเข้า IP address ที่แปลกๆ ดึงไปยังหน้าอื่น
- การปฏิเสธการให้บริการ (Denial of Service หรือ DoS) เช่น Distributed denial-of-service (DDoS) ไวรัสที่อาจติดจากที่ต่างๆ ซึ่งสามารถสั่งคอมพิวเตอร์ให้ทำงาน เช่น request ไปยัง CNN ถ้ามีการส่งไปเยอะๆ จากหลายๆ เครื่อง สร้างปัญหาให้ระบบ การทำงานมีความขัดข้อง อาจเป็นการก่อกวนเว็บไซต์เป็นการเฉพาะก็ได้, DoSHTTP (HTTP Flood Denial of Service) การโจมตีที่ทำให้ระบบหรือเว็บไซต์ล่มหรือช้า
- การโจมตีด้วยมัลแวร์ (Malware)
- โปรแกรมมุ่งร้ายที่โจมตีการปฏิบัติงานของคอมพิวเตอร์ (Computer’s operations) ประกอบด้วย ไวรัส (Viruses) เวิร์ม (Worms) โทรจันฮอร์ส (Trojan horse) และลอจิกบอมบ์ (Logic bombs)
- และโปรแกรมมุ่งร้ายที่โจมตีความเป็นส่วนตัวของสารสนเทศ (Information privacy) ที่มีชื่อเรียกทั่วไปว่า สปายแวร์ (Spyware) ประกอบด้วย
- แอดแวร์ (Adware)
- พิชชิง (Phishing) การกดลิ้งที่ไม่ได้โยงไปยังลิ้งที่ระบุไว้
- คีลอกเกอะ (Key loggers) สามารถดึงข้อมูลจากการใช้คอมพิวเตอร์เช่น ข้อมูลรหัสผ่านต่างๆ อาจเป็นแค่ทรัมไดร์ฟที่เสียบอยู่หลังเครื่อง การเปลี่ยนการปรับแต่งระบบ
- (Configuration Changers) การต่อหมายเลข (Dialers)
- แบ็คดอร์ (Backdoors)
- การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access) หมายถึงการใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ ซึ่งส่วนมากจะเป็นการใช้คอมพิวเตอร์หรือข้อมูลในเครื่องคอมพิวเตอร์เพื่อทำกิจกรรมบางอย่างที่ผิดกฏระเบียบของกิจการหรือการกระทำที่ผิดกฏหมาย
- การขโมย (Theft)
- การขโมยฮาร์ดแวร์และการทำลายฮาร์ดแวร์มักอยู่รูปของการตัดสายเชื่อมต่อระบบเครือข่ายคอมพิวเตอร์
- ขโมยซอฟต์แวร์อาจอยู่ในรูปของการขโมยสื่อจัดเก็บซอฟต์แวร์ การลบโปรแกรมโดยตั้งใจ และการทำสำเนาโปรแกรมอย่างผิดกฏหมาย
- การขโมยสารสนเทศ มักอยู่ในรูปของการขโมยข้อมูลที่เป็นความลับส่วนบุคคล
- ความล้มเหลวของระบบสารสนเทศ (System failure)
- เสียง (Noise) มีเสียงรบกวน เช่น เสียงฟ้าร้อง
- แรงดันไฟฟ้าต่ำ (Undervoltages) ไฟตก เครื่องดับ
- แรงดันไฟฟ้าสูง (overvoltages)
การรักษาความปลอดภัยการโจมตีระบบเครือข่าย
- ติดตั้งโปรแกรมป้องกันไวรัสและปรับปรุง Virus signature หรือ Virus definition ต้องอัพเดตตลอด
- ติดตั้งไฟร์วอลล์ (Firewall) ทั้งซอพแวร์และฮาร์ดแวร์ป้องกันสิ่งไม่ดีเข้าคอมพิวเตอร์
- ติดตั้งซอฟต์แวร์ตรวจจับการบุกรุก (Intrusion detection software) ตรวจดูว่ามีใครเข้ามาในระบบบ้าง
- ติดตั้ง Honeypot สร้างระบบปลอมที่ลวงให้คนที่เข้ามาในระบบเจาะข้อมูลในระบบปลอมนี้แทน
- Demilitarized Zone (DMZ) การใช้ firewall ในการป้องกันหลายชั้น
- การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต
- การระบุตัวตน (Identification) มีเครื่องที่มีรหัสผ่านเฉพาะบุคคล แต่อาจให้คนอื่นยืมก็ได้
- การพิสูจน์ตัวจริง (Authentication) เช่น รหัสผ่าน (Password)
- ข้อมูลที่ทราบเฉพาะบุคคลที่เป็นเจ้าของ (What you know)
- ใช้บัตรผ่านที่มีลักษณะเป็นบัตรประจำตัว (What you have) เช่น บัตร ATM เป็นต้น
- ลักษณะทางกายภาพของบุคคล (What you are) เช่น ม่านตา เป็นต้น
- การควบคุมการขโมย
- ควบคุมการเข้าถึงทางกายภาพ (Physical access control) เช่น การปิดห้องและหน้าต่าง เป็นต้น
- กิจการบางแห่งนำระบบ Real time location system (RTLS) มาใช้เพื่อระบุสถานที่ที่มีความเสี่ยงสูงโดยนำ RFID tags ติดที่อุปกรณ์คอมพิวเตอร์เพื่อใช้ในการติดตามอุปกรณ์นั้นๆ
- ปัจจุบันมีการออกแบบเครื่องคอมพิวเตอร์ให้สามารถควบคุมการเปิดเครื่องและการเข้าใช้งานเครื่องด้วยการใช้ลักษณะทางกายภาพของบุคคล เช่น ลายนิ้วมือ เป็นต้น
- การรักษาความปลอดภัยของซอฟต์แวร์ทำโดยเก็บรักษาแผ่นซอฟต์แวร์ในสถานที่มีการรักษาความปลอดภัย อาจเป็นนโยบายของบริษัท
- ในกรณีที่มีโปรแกรมเมอร์ลาออกหรือถูกให้ออก ต้องควบคุมและติดตามโปรแกรมเมอร์ทันที (Escort) ไม่ให้ทำงานต่อเลย เพราะเป็นผู้กุมความลับ รู้ข้อมูลต่างๆ เยอะ
- การเข้ารหัส คือกระบวนการในการแปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถอ่านได้ (Plaintext) ให้อยู่ในรูปที่เฉพาะผู้ที่เกี่ยวข้องเท่านั้นสามารถอ่านข้อมูลได้ (Cipher text)
- องค์ประกอบของการเข้ารหัส
- Plaintext เป็น data ที่เป็นตัวอักษรธรรมดา ถ้าคนเข้ามาดูข้อมูลจะอ่านได้ง่าย
- Algorithm
- การเข้ารหัสแบบสมมาตร ใช้คีย์เหมือนกันในการเปิดและปิด เช่น เป็นการติดต่อกันแค่ 2 คน แต่ไม่เหมาะกับบริษัทที่มีลูกค้าหลายราย
- การเข้ารหัสแบบไม่สมมาตร ใช้คีย์สาธารณะในการเปิดและใช้คีย์ส่วนตัวในการปิด
- Secure key
- การรักษาความปลอดภัยอื่นๆ
- Secure sockets layer (SSL) โดยเว็บเพจที่ใช้ SSL จะขึ้นต้นด้วย https แทนที่จะเป็น http ระหว่างคนรับกับคนส่งเป็นการสร้าง network ชั่วคราว ใช้สำหรับก่อนการส่ง Data หรือการจ่ายเงิน
- Secure HTTP (S-HTTP) เช่น ระบบธนาคารออนไลน์จะใช้ S-HTTP สำหรับการทำธุรกรรมออนไลน์ควรจะต้องขึ้นว่า S-HTTP เท่านั้น เพราะเป็น network ที่มีความปลอดภัยมากกว่า อยู่ใน intranet ขององค์กร
- Virtual private network (VPN) สร้าง network ที่มีความปลอดภัย เช่น log in เข้ามาในมหาวิทยาลัยจากบ้านเข้าสู่ฐานข้อมูลของมาวิทยาลัย
- การควบคุมความล้มเหลวของระบบสารสนเทศ
- การป้องกันแรงดันไฟฟ้าใช้ Surge protector หรือ Surge suppressor
- ไฟฟ้าดับใช้ Uninterruptible power supply (UPS) หม้อแปลงที่ใช้ป้องกันไฟดับ
- กรณีระบบสารสนเทศถูกทำลายจนไม่สามารถให้บริการได้ การควบคุมทำโดยการจัดทำแผนการทำให้กลับคืนสู่สภาพเดิมจากภัยพิบัติ (Disaster Recovery – DR) หรือ Business continuity planning (BCP)
- การสำรองข้อมูล (Data Backup) สิ่งที่ต้องตัดสินใจเกี่ยวกับการสำรองข้อมูลประกอบด้วย
1. เลือกสื่อบันทึก (Media) ที่จะทำการสำรองข้อมูล เช่น CD DVD หรือ Portable Harddisk เป็นต้น
2. ระยะเวลาที่ต้องสำรองข้อมูล
3. ความถี่ในการสำรองข้อมูล ขึ้นอยู่กับระยะเวลาสูงสุดที่ระบบจะไม่สามารถให้บริการได้โดยไม่ส่งผลต่อการดำเนินงานปกติขององค์กร
4. สถานที่จัดเก็บสื่อบันทึกที่สำรองข้อมูล ซึ่งสามารถจัดเก็บ On Site หรือ Offsite ซึ่งแต่ละประเภทมีข้อดีและข้อเสียแตกต่างกันออกไป
- การรักษาความปลอดภัยของแลนไร้สาย (Wireless LAN)
- ควบคุมการเชื่อมโยงเข้าสู่แลนไร้สายด้วย Service Set Identifier (SSID)
- กลั่นกรองผู้ใช้งานด้วยการกรองหมายเลขการ์ดเน็ตเวิร์ก (MAC Addressing Filtering) ควบคุมเฉพาะผู้มีสิทธิใช้งาน
- การเข้ารหัสและถอดรหัสด้วยวิธีการ Wired Equivalency Privacy (WEP)
- จำกัดขอบเขตพื้นที่ให้บริการด้วยการควบคุมกำลังส่งของแอ็กเซสพอยน์
- การพิสูจน์สิทธิเข้าใช้งานแลนไร้สายด้วย Radius Server (ไม่กล่าวในรายละเอียด)
- การสร้าง Virtual Private Network (VPN) บนแลนไร้สาย (ไม่กล่าวในรายละเอียด)
จรรยาบรรณ
- จรรยาบรรณทางคอมพิวเตอร์ คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย
- การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
- การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์)
- ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ เป็นต้น
- สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights)
- หลักปฏิบัติ (Code of conduct)
- ความเป็นส่วนตัวของสารสนเทศ (Information privacy)
- คำถามอย่างกว้างขวางเกี่ยวกับลิขสิทธิ์ดังนี้
- บุคคลสามารถ Download ส่วนประกอบของเว็บไซด์ ต่อจากนั้นปรับปรุง แล้วนำไปแสดงบนเว็บในนามของตนเองได้หรือไม่
- เจ้าหน้าที่ของมหาวิทยาลัยสามารถพิมพ์เอกสารบนเว็บและกระจายให้นักศึกษาเพื่อใช้สำหรับการเรียนการสอนได้หรือไม่
- บุคคลสามารถสแกนรูปภาพหรือหนังสือ ต่อจากนั้นนำไปลงในเว็บซึ่งอนุญาตให้คน Download ได้หรือไม่
- บุคคลสามารถสามารถนำเพลงใส่ในเว็บได้หรือไม่
- นักศึกษาสามารถนำข้อสอบหรือโครงการต่างๆ ที่อาจารย์กำหนดในชั้นเรียนเข้าไปใส่ในเว็บเพื่อให้นักศึกษาคนอื่นๆ ลอกโครงการนั้นแล้วส่งอาจารย์ว่าเป็นงานของตนได้หรือไม่
- หลักปฏิบัติ คือสิ่งที่เขียนเป็นลายลักษณ์อักษรเพื่อเป็นแนวทางในการตัดสินใจว่าการกระทำใดที่เกี่ยวข้องกับคอมพิวเตอร์เป็นสิ่งที่มีหรือไม่มีจรรยาบรรณ หลักปฏิบัติมีดังนี้
- ต้องไม่ใช้คอมพิวเตอร์ในการทำอันตรายบุคคลอื่น
- ต้องไม่รบกวนการทำงานทางคอมพิวเตอร์ของคนอื่น
- ต้องไม่เข้าไปยุ่งเกี่ยวกับแฟ้มข้อมูลของคนอื่น
- ต้องไม่ใช้คอมพิวเตอร์ในการขโมย
- ต้องไม่ใช้คอมพิวเตอร์เพื่อให้หลักฐานที่เป็นเท็จ
- ต้องไม่สำเนาหรือใช้ซอฟต์แวร์ที่ละเมิดลิขสิทธิ์
- ต้องไม่ใช้ทรัพยากรทางคอมพิวเตอร์ของผู้อื่นโดยไม่ได้รับอนุญาต
- ต้องไม่ใช้ทรัพสินทางปัญญาของผู้อื่นเหมือนเป็นของตน
- ต้องคำนึงถึงผลกระทบทางสังคมของโปรแกรมที่ออกแบบ
- ต้องใช้คอมพิวเตอร์ในทางที่แสดงให้เห็นถึงความเคารพในมนุษย์แต่ละคน
- ความเป็นส่วนตัวของสารสนเทศ มีหลักปฏิบัติดังนี้
- ให้เฉพาะข้อมูลที่จำเป็นเท่านั้นในการกรอกข้อมูลใบลงทะเบียน ใบรับประกัน และอื่นๆ
- ไม่พิมพ์เบอร์โทรศัพท์ เลขที่บัตรประชาชน บนเช็ค ล่วงหน้า (Preprint)
- แจ้งองค์การโทรศัพท์ไม่ให้พิมพ์หมายเลขโทรศัพท์ของท่านลงใบสมุดโทรศัพท์
- ถ้าหมายเลขโทรศัพท์ของท่านอยู่ในพื้นที่ๆ สามารถแสดงหมายเลขโทรศัพท์ที่เครื่องของผู้รับได้ ให้ท่านระงับการแสดงหมายเลขโทรศัพท์ที่เครื่องของผู้รับด้วย
- ไม่ควรเขียนหมายเลขโทรศัพท์ของท่านบนในบิลของบัตรเครดิต
- ซื้อสินค้าด้วยเงินสด แทนที่จะเป็นบัตรเครดิต
- ถ้าร้านค้าสอบถามข้อมูลส่วนตัวของท่าน ให้หาเหตุผลว่าทำไมจึงถามคำถามนั้นก่อนที่จะตัดสินใจว่าจะให้หรือไม่ให้ข้อมูล
- กรอกข้อมูลส่วนตัวของท่านบนเว็บเฉพาะส่วนที่ต้องกรอกเท่านั้น
- ติดตั้งตัวจัดการ Cookie เพื่อกลั่นกรอง Cookie
- ลบ History file ภายหลังจากเลิกใช้โปรแกรมเบาวร์เซอร์
- ยกเลิกการเปิดบริการแบ่งปันข้อมูล (File sharing) หรือเครื่องพิมพ์ก่อนการเชื่อมต่ออินเทอร์เน็ต
- ติดตั้งไฟร์วอลล์ส่วนบุคคล
- ติดตั้งโปรแกรม Anti-spam
- ไม่ตอบ e-mail ที่เป็น spam ไม่ว่าจะด้วยเหตุผลใดก็ตาม
- Cookie คือ Text file ขนาดเล็กที่เครื่อง Web server นำมาติดตั้งที่เครื่องคอมพิวเตอร์ (ฮาร์ดดิสก์) ของผู้เรียกเว็บไซด์นั้นๆ โดย Cookie จะมีข้อมูลเกี่ยวกับผู้ใช้ ประกอบด้วย ชื่อหรือเว็บไซด์ที่ชอบเข้า เมื่อผู้ใช้ติดต่อกับเว็บไซด์ โปรแกรมเบาวร์เซอร์จะจัดส่งข้อมูลใน Cookie ไปยังเว็บไซด์
- กฏหมายเกี่ยวกับความเป็นส่วนตัวของสารสนเทศ เช่น Privacy Act และ Family Educational Rights and Privacy Act เป็นต้น โดยกฏหมายนี้ส่วนใหญ่จะกล่าวถึง
- จำนวนของสารสนเทศที่จัดเก็บจะต้องจัดเก็บเท่าที่จำเป็นเพื่อการดำเนินงานของธุรกิจหรือรัฐบาลเท่านั้น
- จำกัดการเข้าถึงข้อมูลที่รวบรวมนั้น โดยให้พนักงานที่เกี่ยวข้องและจำเป็นต้องใช้ข้อมูลเพื่อการปฏิบัติงานสามารถใช้ข้อมูลนั้นได้เท่านั้น
- แจ้งให้ผู้ที่ถูกจัดเก็บข้อมูลทราบว่ากำลังจัดเก็บข้อมูลอยู่ เพื่อให้บุคคลนั้นมีโอกาสในการพิจารณาความถูกต้องของข้อมูล
ฐาณิต อภิเชษฐ์โยธา 5302110134