อาจารย์เริ่มต้นด้วยการพูดคุยเรื่องความปลอดภัยของระบบสารสนเทศ วิธีการใช้ให้ถูกจรรยาบรรณ โดยเฉพาะอย่างยิ่งนโยบายขององค์กรในเรื่องของความปลอดภัยของระบบสารสนเทศ ซึ่งจะมีผลต่อพวกเราเมื่อเข้าไปทำงานในองค์กรแล้ว
ความเสี่ยงของระบบสารสนเทศ หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสีย ทำลาย Hardware, Software ข้อมูล สารสนเทศ หรือความสามรรถในการประมวลผลระบบข้อมูล
อาจารย์พูดถึงโอกาสในการสร้างความเสี่ยงกับระบบสารสนเทศในองค์กร อาจเกิดขึ้นได้หลายวิธี ตั้งแต่การเปิด Website ต่างๆ, การเอา Thumb drive ส่วนตัวมาใช้กับคอมพิวเตอร์ของบริษัท ซึ่งผู้ที่จะทำให้เกิดความเสี่ยงแก่องค์กรส่วนมากนั้นเป็นกลุ่ม generation Y ซึ่งมีความรู้ด้านเทคโนโลยีมากกว่า
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
- แฮกเกอร์ (Hacker) เป็นกลุ่มคนที่มีความเชี่ยวชาญในการเจาะข้อมูล
- แครกเกอร์ (Cracker) เป็นกลุ่มคนที่เจาะระบบเพื่อตรวจสอบความปลอดภัยของระบบ และนำไปเป็นแนวทางในการพัฒนาและป้องกันระบบต่อไป
- ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies) คนรุ่นใหม่ที่พึ่งจะเริ่มเจาะระบบ หรือสร้างไวรัส
- ผู้สอดแนม (Spies) คือคนที่ดักดูข้อมูลต่างๆ ระหว่างการทำงานของคนอื่น
- เจ้าหน้าที่ขององค์กร (Employees) คือพนักงานขององค์กรที่อาจนำไวรัสมาสู่คอมพิวเตอร์โดยไม่ตั้งใจ โดยผ่านทางการเข้า Website หรือ Thumb drive ที่นำมาใช้
- ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyberterrorist) คือคนที่สร้างกระแสเพื่อให้เกิดเรื่องราวขนาดใหญ่ โดยใช้คอมพิวเตอร์และเครือข่ายอินเทอร์เน็ตเป็นตัวแพร่กระจาย
1.การโจมตีระบบเครือข่าย
- ขั้นพื้นฐาน (Basic Attacks) เป็นการรื้อค้นทั่วไปในคอมพิวเตอร์ของคนอื่น
- ด้านคุณลักษณะ (Identity Attacks) ปลอมแปลงเป็นผู้อื่นในการส่งข้อมูลเพื่อหลอกลวงผู้อื่น
- การปฏิเสธการให้บริการ (Denial of Service) เป็นการโจมตีด้วยการเข้าไปที่ Server จำนวนมากเกินปกติในช่วงเวลาหนึ่ง ทำให้ Server นั้นไม่สามารถทำงานได้ ซึ่งบางครั้งการทำเช่นนี้อาจเพื่อลดความน่าเชื่อถือของคู่แข่ง สร้างความเยสียหายให้แก่คู่แข่ง
- ด้วยมัลแวร์ (Malware) แบ่งเป็น มุ่งโจมตีการปฏิบัติงานของคอมพิวเตอร์ เช่น ไวรัส, เวิร์ม, โทรจันฮอร์ส และมุ่งโจมตีความเป็นส่วนตัวของสารสนเทศ (สปายแวร์) เช่น แอดแวร์, คีลอกเกอร์
3.การขโมย
- ขโมยฮาร์ดแวร์และการทำงานฮาร์ดแวร์ ซึ่งส่วนมากจะเป็นการตัดสายเชื่อมต่อระบบเครือข่ายอินเทอร์เน็ต
- ขโมยซอฟต์แวร์ เช่น การขโมยสื่อที่ใช้จัดเก็บซอฟต์แวร์ การลบโปรแกรมโดยตั้งใจ รวมไปถึงการทำสำเนาโปรแกรมอย่างผิดกฎหมาย
- ขโมยสารสนเทศ ส่วนมากจะเป็นข้อมูลที่เป็นความลับส่วนบุคคล
- เสียง (Noise) พวกคลื่นเสียงรบกวนต่างๆ โดยเฉพาะขณะที่ฝนตกทำให้คลื่นโดนแทรกแซง
- แรงดันไฟฟ้าต่ำ
- แรงดันไฟฟ้าสูง
- รักษาความปลอดภัยจากการโจมตีระบบเครือข่าย เช่น ติดตั้งโปรแกรมป้องกันไวรัส, ติดตั้ง Firewall, ติดตั้งซอฟต์แวร์ตรวจจับการบุกรุก, ติดตั้ง Honeypot (ตั้งระบบไว้ล่อคนที่โจมตีระบบให้ไปตรงนั้น เหมือนเป็นตัวหลอกไว้)
- ควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต เช่น การระบุตัวตน, พิสูจน์ตัวจริง (พวกรหัสผ่านให้, ข้อมูลที่ทราบจำเพาะบุคคล,บัตรผ่านที่มีลักษณะประจำตัว, ลักษณะทางกายภาพ)
- ควบคุมการขโมย เช่น ทางกายภาพ (ปิดประตูหน้าต่าง), ใช้ระบบติดตามอุปกรณ์ RTLS :Real Time Location System, ใช้ลักษณะทางกายภาพในการเปิดปิดคอมพิวเตอร์
- การเข้ารหัส คือกระบวนการแปลงข้อมูลอยู่ในรูปแบบที่คนทั่วไปไม่สามารถอ่านได้ ผู้ที่เกี่ยวข้อเท่านั้นที่จะสามารถอ่านข้อมูลได้ ซึ่งการเข้ารหัสมี 2 แบบคือ
- แบบสมมาตร - คนที่ส่งข้อมูลและรับข้อมูลใช้คีย์ชุดเดียวกันในการแปลงและถอดรหัสข้อความ
- แบบไม่สมมาตร - ส่วนมากเป็นการใช้ระหว่างบริษัทกับลูกค้า โดยบริษัทจะมีคีย์สาธารณะไว้สำหรับลูกค้า เมื่อข้อความส่งมา บริษัทจะมีคีย์ส่วนตัวอีกอันในการถอดข้อความออกมา เช่น พวกบัตรเครดิต, การซื้อสินค้าออนไลน์
- การรักษาความปลอดภัยอื่นๆ เช่น SSL : Secure sockets layer (เป็นการสร้างเครือข่ายชั่วคราวโดยใช้เป็น https แทน http), S-HTTP, VPN
- ควบคุมการล้มเหลวของระบบสารสนเทศ เช่น Surge protector, UPS, Disaster Recovery, Business Continuity Planning
- การสำรองข้อมูล
- การรักษาความปลอดภัยของ Wireless LAN
จรรยาบรรณ
คือ หลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ประกอบด้วย
- การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
- การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์)
- ความถูกต้องของสารสนเทศ (การตกแต่งภาพ)
- สิทธิ์ต่อทรัพย์สินทางปัญญา
- หลักปฏิบัติ (code of Conduct) เช่น ไม่เข้าไปยุงเกี่ยวกับแฟ้มข้อมูลของคนอื่น, ต้องคำนึงถึงผลกระทบทางสังคมของโปรแกรมที่ออกแบบ เป็นต้น
- ความเป็นส่วนตัวของสารสนเทศ เช่น ให้เฉพาะข้อมูลที่จำเป็นเท่านั้น, ไม่พิมพ์เบอร์โทรศัพท์ เลขที่บัตรประชาชน บนเช็คล่วงหน้า เป็นต้น
IT HYPE
1.Data Center
หรือศูนย์ข้อมูล ซึ่งเป็นแหล่งรวบรวมข้อมูลทั้งหมดขององค์กร
ลักษณะ
- ต้องมีเสถียรภาพ
- สามารถใช้งานได้ตลอด (downtime, uptime)
- ต้องมีความปลอดภัย ป้องกันไวรัสต่างๆ
- ต้องสามารถกู้คืนข้อมูลได้ หากเกิดเหตุสุดวิสัย
- ต้องมีการบำรุงรักษา
- ต้องรองรับการขยายตัวในอนาคต
1.Cloud Computing เป็นการฝากข้อมูลบนอินเทอร์เน็ต ซึ่งทำให้ทุกคนสามารถเข้าถึงข้อมูลได้สะดวกมากขึ้น ไม่มีระบบล่ม ติดตั้งได้สะดวก
2.Security- Activity Monitoring เป็นการป้องกันความเสี่ยงที่อาจสร้างความเสียหายให้แก่ข้อมูลขององค์กร สามารถตรวจจับการทำงานต่างๆ ได้
3.Reshaping Data Center มีการปรับปรุงพัฒนารูปแบบของ data center ให้สามารถระบายความร้อนได้ดีขึ้น ใช้พื้นที่น้อยลง
4.Virtualization for Availability ทำให้มีเครื่องเสมือน ทำให้สามารถทำงานได้หลากหลายมากขึ้น ไม่ต้องเสียทรัพยากรในการจัดซื้อดูแลคอมพิวเตอร์อย่างเปล่าประโยชน์
การออกแบบ Data Center ต้องดูปัจจัย
1.สภาพทางกายภาพ ต้องถูกควบคุมอุณหภูมิและความชื้นที่เหมาะสม ถ้าอุณหภูมิสูงเกินไป เครื่องจะทำงานผิดปกติได้
2.ควรมีพลังงานไฟฟ้าสำรอง เพื่อใช้ในกรณีที่ไฟฟ้าหลักใช้ไม่ได้
3.เดินสายเคเบิลของ Data Center ให้เป็นระบบ สวยงาม และมีความปลอดภัย โดยเอาไว้ใต้พื้น
4.อุปกรณ์ในการตรวจจับควัน เพื่อใช้ในกรณีฉุกเฉิน
5.อุปกรณ์ sprinkler system
6.จำกัดบุคคลที่จะสามารถเข้าถึง Data Center ได้
7.ต้องใช้พลังงานมาก
2.Wireless Power
คือการส่งพลังงานโดยไม่ใช้สายเคเบิล ซึ่งมีประเภทดังนี้
- Electromagnetic Induction เป็นการส่งพลังงานผ่านสนามแม่เหล็ก มี 2 ประเภทคือ Induction และ Resonant Induction
- Electromagnetic Radiation เป็นการส่งพลังงานระยะไกลผ่านคลื่นวิทยุหรือคลื่นแสง มี 2 ประเภทคือ microwave Method และ LASER Method
ประโยชน์
- ประหยัดค่าใช้จ่ายในการเดินสายเคเบิล
- สะดวกในการใช้งาน
- ลดผลกระทบต่อสิ่งแวดล้อม
ไม่มีความคิดเห็น:
แสดงความคิดเห็น