งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

: information security (ความมั่นคงปลอดภัยของสารสนเทศ)

งานนำเสนอที่คล้ายกัน


งานนำเสนอเรื่อง: ": information security (ความมั่นคงปลอดภัยของสารสนเทศ)"— ใบสำเนางานนำเสนอ:

1 8311301 : information security (ความมั่นคงปลอดภัยของสารสนเทศ)
Department of Informatics, Phuket Rajabhat University. THAILAND

2 บทที่ 1 ภาพรวมความมั่นคงปลอดภัยของสารสนเทศ
Department of Informatics, Phuket Rajabhat University. THAILAND

3 ความมั่นคงปลอดภัยของสารสนเทศ (Information Security) คืออะไร
ความมั่นคงปลอดภัยของสารสนเทศ คือ กระบวนการในการยับยั้งและการป้องกันภัย คุกคามต่าง ๆ ที่เกิดขึ้นหรืออาจจะเกิดขึ้นกับสารสนเทศ ระบบสารสนเทศ และบริการของ ระบบสารสนเทศ

4 ภัยคุกคาม (Threats) คืออะไร
ภัยคุกคาม หมายถึง การกระทำและ/หรือเหตุการณ์ใด ๆ ที่ทำให้ระบบสารสนเทศไม่มี ความมั่นคงปลอดภัย ที่มาของภัยคุกคาม คน เช่น ตั้งรหัสผ่านง่ายเกินไป อุปกรณ์ เช่น ฮาร์ดแวร์พัง ซอฟต์แวร์ทำงานผิดพลาด ฯลฯ ภัยธรรมชาติ เช่น ไฟไหม้ น้ำท่วม แผ่นดินไหว ฯลฯ ภัยคุกคามอาจเป็นอุบัติเหตุหรือเป็นการจงใจทำให้เกิดขึ้นก็ได้

5 แนวโน้ม (Trend) ของภัยคุกคามที่มีต่อระบบสารสนเทศ
Source : มีข้อมูลจากศูนย์ประสานงานการรักษาความมั่นคงปลอดภัยคอมพิวเตอร์ ของสถาบันวิศกรรมซอฟต์แวร์ มหาวิทยาลัยคาร์เนกีเมลอน สหรัฐอเมริกา พบว่าแนวโน้มภัยคุกคามที่มีต่อระบบสารสนเทศมีแนวโน้มขยายตัวอย่างต่อเนื่อง

6 สาเหตุที่ทำให้ภัยคุกคามที่มีต่อข้อมูลสารสนเทศมีแนวโน้มขยายตัว
มีการประยุกต์ใช้ ICT ในด้านต่าง ๆ มากขึ้น (ทุกอย่างใช้คอมพิวเตอร์ควบคุม) มีจำนวนผู้ใช้อินเทอร์เน็ตที่เพิ่มสูงขึ้นอย่างต่อเนื่อง (มีทั้งคนดีและคนไม่ดี) เครื่องมือในการสร้างภัยคุกคามหาได้ง่ายจากอินเตอร์เน็ต (อยากรู้อะไรถาม Google) เครื่องมือในการสร้างภัยคุกคามใช้งานได้ง่าย (ขอแค่คลิกเมาส์เป็นก็ใช้ได้) ผู้ใช้ขาดความใส่ใจในเรื่องของความมั่นคงปลอดภัย

7 มูลค่าความเสียหาย Source : ข้อมูลจากการสำรวจของ CSI พบว่า มูลค่าความเสียหายที่เกิดจากภัยคุกคามต่าง ๆ มีมูลค่างสูงนับล้านบาทเลยทีเดียว ที่น่าสังเกตุในช่วงปี มีมูลค่าความเสียหายสูงมากเนื่องจากการระบาดของหนอนอินเทอร์เน็ต (Worm) เช่น Nimda, Code Red, Love Bug

8 ประเภทของภัยคุกคาม

9 ประเภทของภัยคุกคาม Passive threats Active threats
เป็นการแอบดูข้อมูลระหว่างการส่ง ไม่มีการแก้ไข/เปลี่ยนแปลงข้อมูล ยากต่อการตรวจจับ แต่สามารถป้องกันได้ ตัวอย่าง เช่น Sniffer Wiretap Social engineering มีการแก้ไข/เปลี่ยนแปลงข้อมูล ง่ายต่อการตรวจจับ แต่ป้องกันได้ยาก ตัวอย่าง เช่น Virus Worm Trojan Horse ฯลฯ

10 ความสำคัญของ Information Security
เป็นการป้องกันและ/หรือลดมูลค่าความเสียหายที่อาจจะเกิดขึ้น ช่วยให้ธุรกิจสามารถดำเนินงานได้อย่างต่อเนื่อง เพิ่มโอกาสทางธุรกิจ ช่วยให้องค์กรมีภาพลักษณ์ที่ดี ผู้มีส่วนได้ส่วนเสีย (Stakeholder : ลูกค้า คู่ค้า ผู้ถือหุ้น) เกิดความเชื่อมั่น

11 ภาพรวมความมั่นคงปลอดภัยของสารสนเทศ

12 ส่วนผสมทางด้านความมั่นคงปลอดภัย
People Process Technology Security

13 ธรรมชาติของความมั่นคงปลอดภัย
ความมั่นคงปลอดภัยเป็นเรื่องของความเสี่ยงดังนั้นจึงไม่มีคำว่า “ร้อยเปอร์เซ็นต์” ความมั่นคงปลอดภัยมักจะสวนทางกับความสะดวกสบายเสมอ ความมั่นคงปลอดภัยเป็นเรื่องของกระบวนการไม่ใช่เรื่องของเทคโนโลยีชั้นสูง Security Comfortable

14 แนวความคิดหลักที่ใช้ในการรักษาความมั่นคงปลอดภัยสารสนเทศ
Confidentiality (การรักษาความลับ) การรับรองว่าจะมีการเก็บรักษาสารสนเทศไว้เป็นความลับและจะมีเพียงผู้ที่มีสิทธิ เท่านั้นที่สามารถจะเข้าถึงสารสนเทศเหล่านั้นได้

15 แนวความคิดหลักที่ใช้ในการรักษาความมั่นคงปลอดภัยสารสนเทศ
Integrity (ความสมบูรณ์) การรับรองว่าสารสนเทศจะไม่ถูกกระทำการใด ๆ อันมีผลทำให้สารสนเทศเกิดการ เปลี่ยนแปลงหรือแก้ไขจากผู้ไม่มีสิทธิหรือกล่าวอีกนัยหนึ่งว่าสารสนเทศจะมีความ สมบูรณ์ถูกต้องตลอดเวลา

16 แนวความคิดหลักที่ใช้ในการรักษาความมั่นคงปลอดภัยสารสนเทศ
Availability (ความพร้อมใช้) การรับรองว่าระบบสารสนเทศมีความพร้อมที่จะให้บริการได้ในเวลาที่ต้องการใช้งาน

17 แนวความคิดหลักที่ใช้ในการรักษาความมั่นคงปลอดภัยสารสนเทศ
Authentication (การพิสูจน์ตัวตน) การตรวจสอบสิทธิ์ในการเข้าใช้งานระบบสารสนเทศของบุคคลใดบุคคลหนึ่ง

18 แนวความคิดหลักที่ใช้ในการรักษาความมั่นคงปลอดภัยสารสนเทศ
Authorization (การพิสูจน์สิทธิ์) ตรวจสอบสิทธิ์ในการดำเนินการอย่างใดอย่างหนึ่งต่อระบบสารสนเทศของบุคคลที่ได้รับ อนุญาติให้เข้าใช้งานระบบสารสนเทศ

19 แนวความคิดหลักที่ใช้ในการรักษาความมั่นคงปลอดภัยสารสนเทศ
Non-repudiation (การไม่ปฎิเสธการกระทำ) การป้องกันการปฎิเสธการรับผิดชอบในการดำเนินการอย่างหนึ่งอย่างใดต่อระบบ สารสนเทศของผู้ใช้ระบบสารสนเทศ

20 ช่องโหว่ (Vulnerabilities)
ช่องโหว่ คือ จุดอ่อนของระบบสารสนเทศ ที่อาจจะทำให้ระบบสารสนเทศไม่มีความปลอดภัยจากภัยคุกคามต่าง ๆ หากละเลยในการค้นหาช่องโหว่อาจเป็นสาเหตุให้เกิดความเสียได้ง่าย ดังตัวอย่าง ช่องโหว่เกี่ยวกับฮาร์ดแวร์ ไม่ล็อคประตู ช่องโหว่เกี่ยวกับซอฟต์แวร์ ไม่อัพเดทฐานข้อมูลไวรัส ช่องโหว่เกี่ยวกับนโยบาย ไม่มีการทบทวนนโยบายความปลอดภัยฯ

21 การโจมตี (Attack) การโจมตี หมายถึง การกระทำใด ๆ ก็ตามที่เป็นการพยายามบุกรุกผ่านระบบรักษาความ ปลอดภัยฯ รูปแบบของการโจมตีระบบเครือข่ายสารสนเทศ Interruption Interception Modification Fabrication

22 รูปแบบการโจมตีระบบสารสนเทศ

23 Questions 


ดาวน์โหลด ppt : information security (ความมั่นคงปลอดภัยของสารสนเทศ)

งานนำเสนอที่คล้ายกัน


Ads by Google