ความเสี่ยงของระบบสารสนเทศ (Information system risk)
หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลายฮาร์ดแวร์ (Hardware) เช่น คอมพิวเตอร์, Printer / ซอฟต์แวร์ (Software) ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
· แฮกเกอร์ (Hacker) เป็นกลุ่มคนที่มีความเชี่ยวชาญในการเจาะข้อมูล
· แครกเกอร์ (Cracker) เป็นกลุ่มคนที่เจาะระบบเพื่อตรวจสอบความปลอดภัยของระบบ และนำไปเป็นแนวทางในการพัฒนาและป้องกันระบบต่อไป
· ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies) คนรุ่นใหม่ที่พึ่งจะเริ่มเจาะระบบ หรือสร้างไวรัส
· ผู้สอดแนม (Spies) คือคนที่ดักดูข้อมูลต่างๆ ระหว่างการทำงานของคนอื่น
· เจ้าหน้าที่ขององค์กร (Employees) คือพนักงานขององค์กรที่อาจนำไวรัสมาสู่คอมพิวเตอร์โดยไม่ตั้งใจ โดยผ่านทางการเข้า Website หรือ Thumb drive ที่นำมาใช้
· ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyberterrorist) คือคนที่สร้างกระแสเพื่อให้เกิดเรื่องราวขนาดใหญ่ โดยใช้คอมพิวเตอร์และเครือข่ายอินเทอร์เน็ตเป็นตัวแพร่กระจาย
ประเภทของความเสี่ยงของระบบสารสนเทศ
1.การโจมตีระบบเครือข่าย
· ขั้นพื้นฐาน (Basic Attacks) เช่น กลลวงทางสังคม (Social engineering) และการรื้อค้นเอกสารทางคอมพิวเตอร์จากที่ทิ้งขยะ (Dumpster Diving )
· ด้านคุณลักษณะ (Identity Attacks) เป็นการโจมตีโดยเลียนแบบว่าเป็นอีกบุคคลหนึ่ง อาจสร้างหรือปลอมแปลง IP adress แล้วส่งข้อมูลเพื่อหลอกลวงผู้อื่น
· การปฏิเสธการให้บริการ (Denial of Service) เป็นการโจมตีเข้าไปที่ server จำนวนมากเกินปกติในช่วงเวลาหนึ่ง ทำให้ server ไม่สามารถที่จะทำงานได้
· การโจมตีด้วยมัลแวร์ (Malware) โปรแกรมที่มุ่งโจมตีคอมพิวเตอร์ ประกอบด้วย ไวรัส เวิร์ม โทรจันฮอร์ส และลอจิกบอร์ม หรือโปรแกรมมุ่งร้ายที่โจมตีความเป้นส่วนตัวของสารสนเทศ เรียกว่าสปายเเวร์
2.การเข้าถึงระบบโดยไม่ได้รับอนุญาต
หมายถึง การใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ ส่วนมากเป็นการใช้คอมพิวเตอร์หรือข้อมูลในคอมพิวเตอร์เพื่อทำกิจกรรมบางอย่างที่ผิดกฎหมาย เช่น การเข้าระบบโอนเงินของธนาคารโดยไม่ได้รับอนุญาต
3.การขโมย
· ขโมยฮาร์ดแวร์และการทำงานฮาร์ดแวร์ ซึ่งส่วนมากจะเป็นการตัดสายเชื่อมต่อระบบเครือข่ายอินเทอร์เน็ต
· ขโมยซอฟต์แวร์ เช่น การขโมยสื่อที่ใช้จัดเก็บซอฟต์แวร์ การลบโปรแกรมโดยตั้งใจ รวมไปถึงการทำสำเนาโปรแกรมอย่างผิดกฎหมาย
· ขโมยสารสนเทศ ส่วนมากจะเป็นข้อมูลที่เป็นความลับส่วนบุคคล
4.ความล้มเหลวของระบบสารสนเทศ
· เสียง (Noise) พวกคลื่นเสียงรบกวนต่างๆ โดยเฉพาะขณะที่ฝนตกทำให้คลื่นโดนแทรกแซง
· แรงดันไฟฟ้าต่ำ
· แรงดันไฟฟ้าสูง
การรักษาความปลอดภัยของระบบสารสนเทศ
· รักษาความปลอดภัยจากการโจมตีระบบเครือข่าย เช่น ติดตั้งโปรแกรมป้องกันไวรัส, ติดตั้ง Firewall, ติดตั้งซอฟต์แวร์ตรวจจับการบุกรุก, ติดตั้ง Honeypot (ตั้งระบบไว้ล่อคนที่โจมตีระบบให้ไปตรงนั้น เหมือนเป็นตัวหลอกไว้)
· ควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต เช่น การระบุตัวตน, พิสูจน์ตัวจริง (พวกรหัสผ่านให้, ข้อมูลที่ทราบจำเพาะบุคคล,บัตรผ่านที่มีลักษณะประจำตัว, ลักษณะทางกายภาพ)
· ควบคุมการขโมย เช่น ทางกายภาพ (ปิดประตูหน้าต่าง), ใช้ระบบติดตามอุปกรณ์ RTLS :Real Time Location System, ใช้ลักษณะทางกายภาพในการเปิดปิดคอมพิวเตอร์
· การเข้ารหัส คือ กระบวนการในการแปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถอ่านได้ (Plaintext) ให้อยู่ในรูปที่เฉพาะผู้ที่เกี่ยวข้องเท่านั้นสามารถอ่านข้อมูลได้ (Ciphertext) องค์ประกอบของการเข้ารหัส Plaintext, Algorithm, Secure key โดยมีวิธีการเข้ารหัสแบบสลับตำแหน่ง เพื่อทำให้ผู้ที่จะมาเจาะระบบไม่สามารถอ่านข้อมูลของเราได้ หรืออ่านได้ยากยิ่งขึ้น 2 ประเภท ได้แก่
- การเข้ารหัสแบบสมมาตร เป็นการใช้คีย์ลับเดียวกัน เพื่อทำให้ Plaintext ที่ผู้ส่งส่งเปลี่ยนเป็นรูปแบบอื่นแล้วส่งไปยังผู้รับ จากนั้นผู้รับก็จะใช้คีย์ลับเดียวกันในการแปลข้อมูลมาเป็นข้อมูลจริงๆที่ผู้ส่งต้องการจะส่ง
- การเข้ารหัสแบบไม่สมมาตร มีการใช้คีย์สาธารณะที่เป็นของส่วนร่วม และจะถูกแปลข้อมูลโดยคีย์ลับที่เป็นของผู้ใช้
· การรักษาความปลอดภัยอื่นๆ
- Secure sockets layer (SSL) โดยเว็บเพจที่ใช้ SSL จะขึ้นต้นด้วย https แทนที่จะเป็น http ซึ่งถ้าใช้ https จะเป็นการเข้าอยู่ในระบบอินเทอร์เน็ตขององค์กร แทนที่จะเป็นการใช้งานผ่านเครือข่าอินเทอร์เน็ต ซึ่งจะทำให้มีความปลอดภัยที่มากกว่า
- Secure HTTP (S-HTTP) เช่น ระบบธนาคารออนไลน์จะใช้ S-HTTP
- Virtual private network (VPN) เป็นซอฟแวร์ที่ช่วยในการเข้าระบบอินเทอร์เน็ตในองค์กร ป้องกันบุคคลภายนอกเข้ามาในระบบขณะที่ใช้งาน
· ควบคุมการล้มเหลวของระบบสารสนเทศ เช่น การป้องกันแรงดันไฟฟ้าใช้ Surge protector หรือ Surge suppressor เป็นการป้องกันระบบล่มจากการที่ไฟตก หรือถ้าเกิดเหตุไฟฟ้าดับใช้ Uninterruptible power supply (UPS) เป็นหม้อแปลงที่ไว้ใช้ป้องกันไฟดับ
· การสำรองข้อมูล
· การรักษาความปลอดภัยของ Wireless LAN เช่น ควบคุมการเชื่อมโยงเข้าสู่แลนไร้สายด้วย Service Set Identifier (SSID) หรือเข้ารหัสและถอดรหัสด้วยวิธีการ Wired Equivalency Privacy (WEP)
จรรยาบรรณ
คือ หลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ประกอบด้วย
· การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
· การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์)
· ความถูกต้องของสารสนเทศ (การตกแต่งภาพ)
· สิทธิ์ต่อทรัพย์สินทางปัญญา
· หลักปฏิบัติ (code of Conduct) เช่น ไม่เข้าไปยุ่งเกี่ยวกับแฟ้มข้อมูลของคนอื่น หรือต้องคำนึงถึงผลกระทบทางสังคมของโปรแกรมที่ออกแบบ เป็นต้น
· ความเป็นส่วนตัวของสารสนเทศ เช่น ให้เฉพาะข้อมูลที่จำเป็นเท่านั้น, ไม่พิมพ์เบอร์โทรศัพท์ เลขที่บัตรประชาชน บนเช็คล่วงหน้า เป็นต้น
กฎหมายเกี่ยวกับความเป็นส่วนตัวของสารสนเทศ เช่น Privacy Act และ Family Educational Rights and Privacy Act เป็นต้น
ไม่มีความคิดเห็น:
แสดงความคิดเห็น