ความเสี่ยงของระบบสารสนเทศ (Information System Risk)
ความเสี่ยงของระบบสารสนเทศ (Information System Risk) หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลายฮาร์ดแวร์ (Hardware) ซอฟต์แวร์ (Software) ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
- แฮกเกอร์ (Hacker)
- แครกเกอร์ (Cracker)
- ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies)
- ผู้สอดแนม (Spies)
- เจ้าหน้าที่องค์กร (Employees)
- ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyberterrorist)
ประเภทของความเสี่ยงของระบบสารสนเทศ
1. การโจมตีระบบเครือข่าย (Network Attack)
- การโจมตีขั้นพื้นฐาน (Basic Attacks) เช่น กลลวงทางสังคม (Social Engineering) และการรื้อค้นเอกสารทางคอมพิวเตอร์จากที่ทิ้งขยะ (Dumpster Diving)
- การโจมตีด้านคุณลักษณะ (Identity Attacks) เช่น DNS Spoofing และ E-Mail Spoofing
- การปฎิเสธการให้บริการ (Denial of Service หรือ DoS) เช่น Distributed Denial of Service (DDoS), DoSHTTP
- การโจมตีด้วยมัลแวร์ (Malware Attack)
2. การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized Access)
การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized Access) หมายถึง การใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์ โดยไม่มีสิทธิ ซึ่งส่วนมากจะเป็นการใช้คอมพิวเตอร์ หรือข้อมูลในเครื่องคอมพิวเตอร์เพื่อทำกิจกรรมบางอย่างที่ผิดกฎระเบียบของกิจการหรือการกระทำที่ผิดกฎหมาย
3. การขโมย (Theft)
- การขโมยฮาร์ดแวร์และการทำลายฮาร์ดแวร์มักอยู่ในรูปของการตัดสายเชื่อมต่อระบบเครือข่ายคอมพิวเตอร์
- ขโมยซอฟต์แวร์อาจอยู่ในรูปของการขโมยสื่อจัดเก็บซอฟต์แวร์ การลบโปรแกรมโดยตั้งใจ และการทำสำเนาโปรแกรมอย่างผิดกฎหมาย
- การขโมยสารสนเทศ มักอยู่ในรูปของการขโมยข้อมูลที่เป็นความลับส่วนบุคคล
4. ความล้มเหลวของระบบสารสนเทศ (System Failure)
- เสียง (Noise)
- แรงดันไฟฟ้าต่ำ (Undervoltages)
- แรงดันไฟฟ้าสูง (Overvoltages)
การรักษาความปลอดภัยของระบบสารสนเทศ
1. การรักษาความปลอดภัยของการโจมตีระบบเครือข่าย
- ติดตั้งโปรแกรมป้องกันไวรัสและปรับปรุง Virus Signature หรือ Virus Definition
- ติดตั้งไฟร์วอลล์ (Firewall)
- ติดตั้งซอฟต์แวร์ตรวจจับการบุกรุก (Intrusion Detection Software)
- ติดตั้ง Honeypot
2. การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต
- การระบุตัวตน (Identification)
- การพิสูจน์ตัวจริง (Authentication) เช่น การเข้ารหัส (Password)
3. การควบคุมการขโมย
- ควบคุมการเข้าถึงทางกายภาพ (Physical Access Control) เช่น การปิดห้องและหน้าต่าง เป็นต้น
- กิจการบางแห่งนำระบบ Real Time Location System (RTLS) มาใช้เพื่อระบุสถานที่ที่มีความเสี่ยงสูง โดยนำ RFID Tags ติดที่อุปกรณ์คอมพิวเตอร์เพื่อใช้ในการติดตามอุปกรณ์นั้นๆ
- ปัจจุบันมีการออกแบบเครื่องคอมพิวเตอร์ ให้สามารถควบคุมการเปิดเครื่อง และการเข้าใช้งานเครื่องด้วยการใช้ลักษณะทางกายภาพของบุคคล เช่น ลายนิ้วมือ เป็นต้น
- การรักษาความปลอดภัยของซอฟต์แวร์ทำโดยการเก็บรักษาแผ่นซอฟต์แวร์ในสถานที่ที่มีการรักษาความปลอดภัย
- ในกรณีที่มีโปรแกรมเมอร์ลาออกหรือถูกให้ออก ต้องควบคุมและติดตามโปรแกรมทันที (Escort)
4. การเข้ารหัส
การเข้ารหัส คือ กระบวนการในการแปลงหรือเข้ารหัสข้อมูล ที่อยู่ในรูปที่คนทั่วไปสามารถอ่านได้ (Plaintext) ให้อยู่ในรูปที่เฉพาะผู้ที่เกี่ยวข้องเท่านั้นสามารถอ่านข้อมูลได้ (Ciphertext) โดยการเข้ารหัสสามารถแบ่งได้ 2 ประเภท คือ การเข้ารหัสแบบสมมาตร และการเข้ารหัสแบบไม่สมมาตร
5. การรักษาความปลอดภัยอื่นๆ
- Secure Sockets Layer (SSL) โดยเว็บเพจที่ใช้ SSL จะขึ้นต้นด้วย HTTPS แทนที่จะเป็น HTTP
- Secure HTTP (S-HTTP) เช่น ระบบธนาคารออนไลน์จะใช้ S-HTTP
- Virtual Private Network (VPN)
6. การควบคุมความล้มเหลวของระบบสารสนเทศ
- การป้องกันแรงดันไฟฟ้าใช้ Surge Protector หรือ Surge Suppressor
- ไฟฟ้าดับใช้ Uninterruptible Power Supply (UPS)
- กรณีระบบสารสนเทศถูกทำลายจนไม่สามารถให้บริการได้ การควบคุมทำโดยการจัดทำแผนการทำให้กลับคืนสู่สภาพเดิมจากภัยพิบัติ
7. การสำรองข้อมูล (Data Backup)
สิ่งที่ต้องตัดสินใจเกี่ยวกับการสำรองข้อมูลประกอบด้วย
- เลื่อกสื่อบันทึกที่จะทำการสำรองข้อมูล
- ระยะเวลาที่ต้องการสำรองข้อมูล
- ความถี่ในการสำรองข้อมูล
- สถานที่จัดเก็ยสื่อที่ใช้สำหรับสำรองข้อมูล
8. การรักษาความปลอดภัยของแลนไร้สาย
- ควบคุมการเชื่อมโยงเข้าสู่แลนไร้สายด้วย Service Set Identifier (SSID)
- กลั่นกรองผู้ใช้งานด้วยการกรองหมายเลขการ์ดเน็ตเวิร์ค (MAC Addressing Filtering)
- การเ้ข้ารหัสและถอดรหัสด้วยวิธีการ Wired Equivalency Privacy (WEP)
- จำกัดขอบเขตพื้นที่ให้บริการด้วยการควบคุมกำลังส่งของ Access Point
- การพิสูจน์สิทธิเข้าใช้งานแลนไร้สายด้วย Radius Server
- กา่รสร้าง Virtual Private Network บนแลนไร้สาย
จรรยาบรรณทางคอมพิวเตอร์
จรรยาบรรณทางคอมพิวเตอร์ คือ หลักปฎิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย
- การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
- การขโมยซอฟต์แวร์ หรือการละเมิดลิขสิทธิ์
- ความถูกต้องของสารสนเทศ
- สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual Property Right)
- หลักปฎิบัติ (Code of Conduct)
- ความเป็นส่วนตัวของสารสนเทศ (Information Privacy)
ไม่มีความคิดเห็น:
แสดงความคิดเห็น