วันอาทิตย์ที่ 1 พฤศจิกายน พ.ศ. 2558

บทที่ 2 ความมั่นคงปลอดภัยของสารสนเทศ

บทที่ 2 ความมั่นคงปลอดภัยของสารสนเทศ


ความมั่นคงปลอดภัยของสารสนเทศ

  • ความมั่นคงปลอดภัย (security) คือสถานะที่มีความปลอดภัย ไร้กังวล กล่าวคือ อยู่ในสถานะที่ไม่มีอันตรายและได้รับการป้องกันจากภัยอันตราย ทั้งที่เกิดขึ้นโดยตั้งใจหรือโดยบังเอิญ
  • ความมั่นคงปลอดภัยของสารสนเทศ (Information Security) คือ การป้องกันสารสนเทศและองค์ประกอบอื่นๆ ที่เกี่ยวข้อง ซึ่งรวมถึงระบบ ฮาร์ดแวร์ ที่ใช้ในการจัดเก็บและโอนสารสนเทศนั้นด้วย

แนวคิดหลักของความมั่นคงปลอดภัยของสารสนเทศ
  • กลุ่มอุตสาหกรรมความมั่นคงปลอดภัยของคอมพิวเตอร์  ได้กําหนดแนวคิดขึ้นเรียกว่า C.I.A Triangle
  • ความมั่นคงปลอดภัยของสารสนเทศนั้นมีองค์ประกอบด้วยกัน 3 ประการ คือ

                      1. ความลับ (Confidentiality)
                      2. ความถูกต้อง ความสมบูรณ์  (Integrity)
                      3. ความพร้อมใช้ (Availability)
  • ทรัพย์สิน (Asset) ที่มีความมั่นคงปลอดภัยนั้นต้องประกอบด้วยองค์ประกอบทั้ง 3 อย่างครบถ้วน ไม่ว่าทรัพย์สินนั้นจะเป็นสิ่งที่จับ ต้องได้ เช่น เครื่องคอมพิวเตอร์  อุปกรณ์ เครือข่าย หรือทรัพย์สินที่ จับต้องไม่ได้ เช่น ข้อมูล เป็นต้น


Confidentiality (ความลับ)
  • เป็นการรับประกันว่า ผู้มีสิทธิ์และได้รับอนุญาตเท่านั้นที่สามารถเข้าถึง ข้อมูลได้
  • สารสนเทศที่ถูกเข้าถึงโดยบุคคลที่ไม่มีสิทธิ์หรือไม่ได้รับอนุญาต จะถือเป็น สารสนเทศที่เป็นความลับถูกเปิดเผย ซึ่งองค์กรต้องมีมาตรการป้องกัน เช่น

                    – การจัดประเภทของสารสนเทศ
                    – การรักษาความปลอดภัยใหJกับแหล่งข้อมูล
                    – การกําหนดนโยบายความมั่นคงปลอดภัยและนําไปใช้งาน
                    – การให้การศึกษาแก่ทีมงานความมั่นคลปลอดภัยและนําไปใช้

Integrity (ความถูกต้อง ความสมบูรณ์ )

  • ความครบถ้วนถูกต้อง และไม่มีสิ่งปลอมปน ดังนั้นสารสนเทศที่มีความ สมบูรณ์ จึงเป็นสารสนเทศที่นําไปใช้ประโยชน์ ได้อย่างถูกต้องและครบถ้วน
  • เช่น ถูกทําให้เสียหายไฟล์ หาย เนื่องจาก virus, worm หรือ Hacker ทํา การปลอมปน สร้างความเสียหายให้กับข้อมูลองค์กรได้ ยอดเงินในบัญชี ธนาคาร หรือ แก้ไขราคาในการสั่งซื้อ


Availability (ความพร้อมใช้)

  • สารสนเทศจะถูกเข้าใช้หรือเรียกใช้งานได้อย่างราบรื่น โดยผู้ใช้ระบบอื่นที่ ได้รับอนุญาตเท่านั้น หากเป็นผู้ใช้ระบบที่ไม่ได้รับอนุญาต การเข้าถึงก็จะ ล้มเหลวถูกขัดขวาง
  • เช่น การป้องกันเนื้อหางานวิจัยในห้องสมุด เนื้อหางานวิจัยจะพร้อมใช้ต่อ ผู้ใช้ที่ได้รับอนุญาต คือสมาชิกของห้องสมุดนั่นเอง ดังนั้น จึงต้องมีการระบุตัวตน (Identification) ว่าเป็นสมาชิกห้องสมุดและพิสูจน์ ได้ว่าได้รับ อนุญาตจริง (Authorization)


อุปสรรคของงานความมั่นคงปลอดภัยของสารสนเทศ

  • ความมั่นคงปลอดภัย คือความไม่สะดวก ต้องเสียเวลาป้อนรหัสผ่านพิสูจนตัวตน
  • มีความซับซ่อนบางอย่างที่ผู้ใช้ทั่วไปไม่ทราบ เช่น Port, Services ต่างๆที่ผู้ใช้ทั่วไปไม่ทราบ และไม่ได้ระวังความปลอดภัย
  • ผู้ใช้ไม่ระวัง ไม่ชํานาญและไม่ระวัง จึงตกเป็นเหยื่อของการโจมตี
  • การพัฒนาซอฟต์แวร์ ไม่คํานึงถึงความปลอดภัย หรือคํานึงถึงในภายหลัง
  • เกิดสังคมการแบ่งปันข้อมูล โดยขาดความระมัดระวัง การให้ข้อมูลส่วนบุคคล ทําให้เกิดช่องโหว่ของการโจมตีได้
  • มีการเข้าถึงได้ทุกสถานที่ เช่น smart phone, online storage หากผู้ใช้คนอื่นทราบชื่อผู้ใช้และรหัสผ่านก็สามารถเข้าถึงข้อมูลได้
  • มิจฉาชีพมีความเชี่ยวชาญ
  • ผู้บริหารองค์กรไม่ให้ความสำคัญ
เขียนโดย ที่

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)