Availability อาจารย์ ธนัญชัย ตรีภาค ภาควิชาวิศวกรรมคอมพิวเตอร์

Slides:



Advertisements
งานนำเสนอที่คล้ายกัน
การติดตามและ ประเมินผลโครงการ
Advertisements

สรุปประเด็นสำคัญเรื่องเล่า
บทที่ 3 การบริหารพนักงานขาย
ระบบสารสนเทศทางธุรกิจ (Business Information Systems)
การประเมินผลโครงการ บทที่ 9 ผศ.ญาลดา พรประเสริฐ yalada.
RMC2005.
คำถามตามเกณฑ์ PMQA:105คำถาม หมวด1 12คำถาม.
เครื่องชี้วัดคุณภาพ วัตถุประสงค์: เพื่อให้ผู้เรียน
กระบวนการถ่ายทอดความรู้
การประเมินผลโครงการ คปสอ.คลองใหญ่.
นางวราพันธ์ ลังกาวงศ์ ผู้อำนวยการกลุ่มนโยบายและแผน.
การพัฒนาโปรแกรมระบบ รายงาน หน่วยงานเวชสารสนเทศ หน่วยงานเวชสารสนเทศ กลุ่มพัฒนาระบบบริการ สุขภาพโรงพยาบาลสุโขทัย.
การจัดเก็บข้อมูลในแฟ้มข้อมูลธรรมดา นั้น อาจจำเป็นที่ใช้แต่ละคน จะต้องมีแฟ้มข้อมูลของตนไว้เป็นส่วนตัว จึง อาจเป็นเหตุให้มีการเก็บข้อมูล ชนิดเดียวกันไว้หลาย.
การพัฒนาบทเรียนคอมพิวเตอร์ช่วยสอน เรื่อง หลักการทำงานของคอมพิวเตอร์ วิชาคอมพิวเตอร์พื้นฐาน สำหรับนักเรียนชั้นมัธยมศึกษาปีที่ 1 โรงเรียนเฉลิมราชประชาอุทิศ.
บทที่ 3 นักวิเคราะห์ระบบและการ วิเคราะห์ระบบ. 1. นักวิเคราะห์ระบบ (System Analysis) 1.1 ความหมายของนักวิเคราะห์ระบบ นักวิเคราะห์ระบบ (System Analysis:
ประเภทของ CRM. OPERATIONAL CRM เป็น CRM ที่ให้การสนับสนุนแก่กระบวนการธุรกิจ ที่เป็น “FRONT OFFICE” ต่างๆ อาทิ การขาย การตลาด และการ ให้บริการ SALES FORCE.
ชุมชนปลอดภัย.
ระบบการควบคุมภายในกลุ่มวิสาหกิจชุมชน
ระบบบัญชาการในสถานการณ์ Incident Command System: ICS
วาระที่ สรุปผลการปฏิบัติงาน ณ วันที่ 30 มิถุนายน 2559
หน่วยที่ 1 ข้อมูลทางการตลาด. สาระการเรียนรู้ 1. ความหมายของข้อมูลทางการตลาด 2. ความสำคัญของข้อมูลทางการตลาด 3. ประโยชน์ของข้อมูลทางการตลาด 4. ข้อจำกัดในการหาข้อมูลทาง.
By Btech GPS : Jan GPS By BtechGPS By Btech GPS : Jan
High Availability Network
การพัฒนาคุณภาพชีวิตในการทำงาน (Quality of Work Life)
การเพิ่มประสิทธิภาพ ระบบบริหารจัดการความเสี่ยง
ระบบ ISO 9001:2015 สำหรับธุรกิจบริหารจัดการเรือ
บทที่ 1 สถาปัตยกรรมของระบบฐานข้อมูล (Database Architecture)
นำเสนอโดยนางสาวีระวรรณ แซ่โง้ว และนายพรพิทักษ์ ศรีจันทร์
ระบบรักษาความปลอดภัย
Presentation การจัดการข้อร้องเรียนในธุรกิจบริการ Customer Complaint Management for Service.
บทที่ 8 การควบคุมโครงการ
Availability อาจารย์ ธนัญชัย ตรีภาค ภาควิชาวิศวกรรมคอมพิวเตอร์
บทที่ 3 แฟ้มข้อมูลและฐานข้อมูล
กรณีศึกษา : นักเรียน ระดับ ปวช.2 สาขาวิชาการบัญชี
วิธีการกรอกแบบเสนอโครงการในไฟล์ Power point นี้
ให้องค์กรปกครองส่วนท้องถิ่น
ปัญหาของข้อมูลในระบบHDC
การจัดลำดับความสำคัญของโครงการด้านการเปลี่ยนแปลงสภาพภูมิอากาศ
การรายงานความคืบหน้าหรือสถานะ
การจัดการข้อมูล ดร. นพ. วรสิทธิ์ ศรศรีวิชัย
กิจกรรมการแลกเปลี่ยนเรียนรู้ งานบริหารและธุรการ คณะบริหารธุรกิจ
การบริหารความเสี่ยงและ การวางระบบการควบคุมภายใน ของคณะวิทยาศาสตร์
หน่วยการเรียนรู้ที่ 6 ผู้ปฏิบัติ : ทีมสนับสนุน
บทที่ 3 ซอฟต์แวร์ประยุกต์
1.
กลุ่มเกษตรกร.
การบริหารโครงการซอฟต์แวร์
พื้นฐานการออกแบบ กราฟิก หมายถึง ศิลปะแขนงหนึ่งซึ่งใช้การสื่อความหมาย ด้วยเส้น สัญลักษณ์ รูปวาด ภาพถ่าย กราฟ แผนภูมิ การ์ตูน ฯลฯ เพื่อให้สามารถสื่อความหมายของข้อมูลได้ถูกต้องตรง.
โครงการจัดทำระบบฐานข้อมูล วัตถุเสพติดของกลาง (ระยะที่1)
Internet Technology and Security System
สาเหตุที่ต้องมีพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
ภัยคุกคาม ที่เกิดขึ้นในระบบสารสนเทศ
SMS News Distribute Service
กฎกระทรวง ความปลอดภัยทางรังสี พ.ศ.2561
มุ่งเน้น การประเมินระดับการดำเนินงาน “หน่วยงานคุณธรรม”
หน่วยการเรียนรู้ที่ 7 สรุปบทเรียน และแนวทางการนำไปใช้
การเงินทางธุรกิจ (Business Finance) รหัสวิชา FIN1103
หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ ของผู้ให้บริการ
การวางแผนกำลังการผลิต
การประกาศเขตการให้ความช่วยเหลือผู้ประสบ ภัยพิบัติกรณีฉุกเฉิน ตามระเบียบกระทรวงการคลังว่าด้วยเงินทดรองราชการเพื่อช่วยเหลือผู้ประสบภัยพิบัติกรณีฉุกเฉิน พ.ศ.
ชัยพฤกษ์รัตนาธิเบศร์ - วงแหวน
การจัดทำแผนการสอบบัญชีโดยรวม
ขอบเขตของงานการจัดซื้อ
การประเมินผลโครงการ บทที่ 9 ผศ.ญาลดา พรประเสริฐ yalada.
บทที่ 15 การติดตั้งระบบและการทบทวนระบบงาน.
การจัดการภาครัฐ และภาคเอกชน Public and private management
แนวทางการดำเนินงานประเมินความเสี่ยงบุคลากรในโรงพยาบาล
MTRD 427 Radiation rotection - RSO
กระดาษทำการ (หลักการและภาคปฏิบัติ)
มหาวิทยาลัยเทคโนโลยีราชมงคลศรีวิชัย วิทยาเขตภาคใต้
ใบสำเนางานนำเสนอ:

Availability อาจารย์ ธนัญชัย ตรีภาค ภาควิชาวิศวกรรมคอมพิวเตอร์ คณะวิศวกรรมศาสตร์ สถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหารลาดกระบัง

Availability ทำให้ระบบงานสามารถตอบสนองต่อการร้องขอบริการจากผู้ใช้งานได้ตลอดเวลาที่ต้องการ

ความสำคัญของ Availability ความคุ้มค่าในการลงทุนในระบบ ประสิทธิภาพของระบบ ความเชื่อมั่นในระบบ คุณภาพในการให้บริการ

สภาวะ Availability ระบบทั้งฮาร์ดแวร์ และซอฟต์แวร์ ต้องทำงานอย่างเป็นปกติ สามารถรองรับการร้องขอการทำงานทั้งหมดได้อย่างเหมาะสม ระบบเครือข่ายต้องสามารถทำงานได้เป็นปกติและรองรับการทำงานต่างๆ ได้อย่างครบถ้วนเพียงพอ ผู้ใช้งานระบบสามารถใช้งานระบบอย่างถูกต้อง ในปริมาณงานที่เหมาะสม ไม่มีการโจมตีระบบในรูปแบบต่างๆ ผู้ดูแลระบบสามารถคาดการถึงปัญหาและสามารถแก้ไขปัญหาต่างๆ ได้อย่างทันท่วงที

สภาวะ Availability สภาวะ Availability เป็นสภาวะในอุดมคติ ไม่สามารถเกิดขึ้นได้ ผู้ดูแลระบบทำได้เพียงเข้าใกล้สภาวะ Availability ให้มากที่สุดเท่านั้น

การสร้าง Availability การดำเนินการเพื่อป้องกันปัญหาล่วงหน้า การวางแผนทรัพยากรให้พอเพียงกับการใช้งาน การขยายตัว และทนทานสูง การกำหนดนโยบายการใช้งาน การใช้โครงสร้างพื้นฐานด้านความปลอดภัยในการควบคุมปัญหา การใช้แผนรับมือภัยพิบัติ (Contingency Plan) การทำ Security Assessment / Hardening เพื่อปิดช่องโหว่ การวางแผนการบริหารความเสี่ยงและการประเมินความเสี่ยง การกำหนดนโยบายการรักษาความปลอดภัยตามมาตรฐานสากล การพัฒนาบุคลากรให้มีความสามารถ การทำ Preventive Control ต่างๆ

การสร้าง Availability การวางแผนเพื่อแก้ปัญหาระบบที่เกิดขึ้น การตอบสนองต่อภัยคุกคามต่างๆ การ Monitor และการตรวจตราระบบทำให้สามารถแก้ไขปัญหาต่างๆ ได้อย่างรวดเร็ว การประกาศและดำเนินการตามแผน Incident Response Plan การใช้เครื่องมือด้าน Access Control เพื่อควบคุมการโจมตีต่างๆ

การวางแผนและดำเนินการด้านทรัพยากร

ทรัพยากรในระบบสารสนเทศ หมายความถึง หน่วยเก็บข้อมูล หน่วยความจำ โพรเซสเซอร์ ระบบเครือข่าย ข้อมูล หรืออื่นๆ ที่จะถูกใช้งาน ถูกจัดหา ตามโครงการหรืองบประมาณ System Resource

เหตุการณ์ปกติ การให้บริการปกติ ทรัพยากรในระบบจะสามารถรองรับการร้องขอของผู้ใช้งานได้ ทั้งในระยะสั้นและระยะยาว การคำนวณและคาดการณ์ ภาระงาน (system Load), การคิดความคุ้มค่าในการลงทุน (Return on Investment) และ Cost/Benefit Analysis จะมีส่วนอย่างมากในการกำหนดค่าทรัพยากรอย่างเหมาะสม System Resource User Request

Non-User Request / Attacker Overload by non-user การให้บริการสาธารณะที่มีผู้ต้องการทรัพยากรมากกว่าที่ระบบสามารถให้ได้หรือถูกโจมตีโดยผู้ไม่ประสงค์ดี ต้องดำเนินการควบคุมไม่ให้เกิดการร้องขอหรือใช้งานทรัพยากรอย่างไม่ถูกต้อง System Resource User Request Non-User Request / Attacker

Overload by user ในระยะยาว การให้บริการระบบมักมีผู้ใช้งานต้องการทรัพยากรมากกว่าที่ระบบสามารถให้ได้ ต้องอาศัยกระบวนการขยายทรัพยากรในรูปแบบต่างๆที่เหมาะสม System Resource User Request

Upgrade การเพิ่มทรัพยากรในระบบเดิมให้เหมาะสมกับการให้บริการ เช่นการเพิ่มจำนวนโพรเซสเซอร์ จำนวนหน่วยความจำ หน่วยเก็บข้อมูล หรือระบบเครือข่าย System Resource User Request

Load Balance หากไม่สามารถเพิ่มทรัพยากรในระบบได้ สามารถเพิ่มระบบงานอีกระบบเพื่อช่วยตอบสนองต่อ Request เช่นการเพิ่มจำนวน Server หากมีการใช้งานระบบมากเกินไป ซึ่งต้องใช้อุปกรณ์ Load Balancer เพิ่มเติมในการจัดแบ่งการร้องขอไปยัง Server ทั้งสอง โดยทั่วไปจะตั้งค่าการทำ Load Sharing แบบ Active-Active หรือ Dynamic Load Balance System1 Resource User Request System2 Resource

High Availability กรณีที่ระบบไม่สามารถให้บริการได้ ต้องใช้การออกแบบล่วงหน้า ให้อยู่ในลักษณะ High Availability ซึ่งโดยทั่วไปจะตั้งค่าแบบ Active-Standby System Resource: System Fail User Request Backup System Resource: Active

การวางแผนสำรองฉุกเฉิน Contingency Planning

Things which you do not hope happen more frequently than things which you do hope. -- PLAUTUS. (C. 254–184 B.C.), MOSTELLARIA, ACT I, SCENE 3, 40 (197) Contingency Planning

แผนสำรองฉุกเฉิน(Contingency Plan) แผนในภาพรวมในการรับมือกับเหตุการณ์ฉุกเฉินที่เกิดขึ้นนอกเหนือจากคาดหมาย มีรายละเอียดเกี่ยวกับ การตรวจสอบ การตอบสนอง การกอบกู้ระบบงาน แนวทางในการรับมือเหตุการณ์ที่สร้างความเสี่ยงให้กับระบบและสินทรัพย์ต่างๆ ทำให้กลับสู่ภาวะปกติโดยมีการสูญเสียน้อยที่สุด

การดำเนินการเมื่อเกิดเหตุฉุกเฉิน Disaster Recovery Plan Business Continuity Plan Incident Primary System Secondary System Incident Response Plan

องค์ประกอบของแผนสำรองฉุกเฉิน มุ่งเน้นการดำเนินการเมื่อเกิดเหตุฉุกเฉินโดยทันที แผนรับมือเหตุฉุกเฉิน(Incident Response Plan) มุ่งเน้นการกอบกู้ระบบหลักให้เป็นปกติหลังเกิดภัยพิบัติต่างๆ แผนรับมือภัยพิบัติ (Disaster Recovery Plan) มุ่งเน้นการทำงานที่ระบบสำรองให้ทดแทนระบบหลักได้ แผนการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Plan)

Contingency Planning

แผนรับมือเหตุฉุกเฉิน (Incident Response Plan)

Incident Response Plan เมื่อเกิดเหตุการณ์ (event) ในระบบ จะมีการกำหนดว่าเป็นเหตุฉุกเฉิน (incident) เมื่อ เหตุการณ์ดังกล่าวก่อให้เกิดความเสียหายต่อทรัพย์สินสารสนเทศ เหตุการณ์ดังกล่าวมีโอกาสสำเร็จสูง รายการกระบวนการและขั้นตอนเพื่อรับมือและลดผลกระทบจากเหตุฉุกเฉิน เป็นการดำเนินการแบบตอบสนอง (reactive) ไม่ใช่การป้องกัน (preventive)

ระดับของเหตุการณ์ เหตุการณ์ (Event) เหตุฉุกเฉิน (Incident) ภัยพิบัติ (Disaster)

การดำเนินการตามแผนรับมือเหตุฉุกเฉิน ก่อนเกิดเหตุฉุกเฉิน เมื่อเกิดเหตุฉุกเฉิน หลังจากเกิดเหตุฉุกเฉิน

ก่อนเกิดเหตุฉุกเฉิน ร่างกระบวนการทำงานที่ เช่น สามารถลดความเป็นไปได้ในการเกิดเหตุ ช่วยให้การระงับเหตุทำได้ง่ายขึ้น ลดความเสียหายจากเหตุฉุกเฉินที่จะเกิดขึ้น เช่น กำหนดตารางการสำรองข้อมูล เตรียมการกู้คืนระบบจากภัยพิบัติ การฝึกอบรม ทบทวน และทบสอบแผน จัดทำ business continuity plans

เมื่อเกิดเหตุฉุกเฉิน กำหนดกระบวนการที่สามารถระงับเหตุฉุกเฉินหรือลดความเสียหายจากเหตุฉุกเฉิน บันทึกเป็นลายลักษณ์อักษร ดำเนินการแบ่งแยกงานออกเป็นส่วนๆ กำหนดงานให้แก่บุคคลที่เกี่ยวข้อง

หลังจากเกิดเหตุฉุกเฉิน จัดทำเอกสารขั้นตอนการตอบสนองต่อเหตุฉุกเฉินที่เกิดขึ้น จัดแบ่งหน้าที่ต่างๆ ในการแก้ไขเหตุฉุกเฉินที่เกิดขึ้นอย่างชัดเจน เป็นลำดับ บันทึกการดำเนินการที่เกี่ยวกับการติดต่อกับหน่วยงานภายนอกอย่างละเอียด

การตรวจหาเหตุฉุกเฉิน เหตุการณ์ต่างๆ ที่เกิดขึ้นในระบบเป็นได้ 2 กรณี เหตุการณ์ปกติที่เกิดขึ้นเป็นประจำ เหตุฉุกเฉินที่เกิดขึ้นเป็นบางครั้ง เหตุฉุกเฉินจะพบได้จาก รายงานจากผู้ใช้งานระบบ ระบบ IDS ระบบสแกนไวรัส ผู้ดูแลระบบ

การระบุเหตุฉุกเฉิน ตัวชี้วัดที่มีความเป็นไปได้ว่าจะเกิดปัญหา ไฟล์ที่ไม่คุ้นเคย โพรเซสที่ไม่คุ้นเคย การใช้ทรัพยากรที่ผิดปกติ ระบบหยุดทำงานแบบผิดปกติ การทำงานผิดช่วงเวลา บัญชีผู้ใช้ใหม่ที่ไม่รู้ที่มา รายงานการโจมตี การแจ้งเตือนจาก IDS ตัวชี้วัดที่แจ้งปัญหาชัดเจน มีการใช้งานบัญชีผู้ใช้ที่ถูกระงับใช้ การเปลี่ยนแปลง logs แตกต่างจากปกติ มีโปรแกรม hacker tools ในระบบ มีการแจ้งเตือนจากผู้ร่วมงาน การแสดงตัวของ hacker

ผลกระทบจากเหตุฉุกเฉิน ขาด confidentiality ขาด integrity ขาด availability เกิดการทำงานที่ฝ่าฝินนโยบาย เกิดการทำงานที่ฝ่าฝืนกฎหมาย

ความรุนแรงของเหตุฉุกเฉิน เหตุฉุกเฉินจะมีผลกระทบต่อระบบมากขึ้น เมื่อไม่สามารถควบคุมเหตุได้ จากข้อมูลของการทำ business impact analysis จะบอกได้ว่าเหตุฉุกเฉินนั้นมีระดับความรุนแรงเป็นภัยพิบัติหรือไม่

การบันทึกเหตุฉุกเฉิน เมื่อเกิดเหตุฉุกเฉินในระบบให้บันทึกตามหลักการ who, what, when, where, why and how จดบันทึกเพื่อเป็นกรณีศึกษา บันทึกข้อมูลหลังจากที่พบสาเหตุของปัญหา มีการดำเนินงานที่ถูกต้อง และได้ผลลัพธ์ของการดำเนินงาน มีรายละเอียดเพียงพอให้นำไปใช้งานเมื่อเกิดเหตุการณ์ดังกล่าวอีกครั้งได้อย่างรวดเร็ว

กลยุทธในการควบคุมเหตุฉุกเฉิน ปิดการเชื่อมต่อเครือข่าย ระงับใช้บางบัญชีผู้ใช้ เพิ่มกฎในการเข้าถึงเครือข่ายบางเครือข่าย หรือบางโพรโตคอลใน Firewall ตั้งค่า Firewall เพื่อปิดกั้นการเชื่อมต่อที่มีปัญหา ปิดการใช้งานบริการหรือโพรเซสที่มีปัญหาชั่วคราว ปิดบริการเครื่องคอมพิวเตอร์หรือเครือข่ายทั้งหมด

แผนรับมือภัยพิบัติ Disaster Recovery Plan

การกู้คืนระบบจากภัยพิบัติ เหตุฉุกเฉินจะกลายเป็นภัยพิบัติเมื่อ : ไม่สามารถควบคุมผลกระทบจากเหตุฉุกเฉินนั้นๆ ได้ ระดับของความรุนแรงและความเสียหายที่เกิดขึ้นอยู่ในระดับสูง ไม่สามารถกู้คืนระบบได้อย่างรวดเร็ว DRP : การจัดเตรียมสำหรับภัยพิบัติที่จะเกิดขึ้น กำหนดวิธีการกู้คืนระบบและกระบวนการทำงาน

การวางแผนสำหรับภัยพิบัติ ใช้เหตุการณ์สมมุติและการประเมินผลกระทบเพื่อแยกแยะระดับปัญหาต่างๆ รายละเอียดใน DRP: บทบาท หน้าที่และความรับผิดชอบต้องชัดเจน การดำเนินการกับการแจ้งเตือนต่างๆ และการแจ้งต่อผู้ที่เกี่ยวข้องทราบ ลำดับการสั่งการในเหตุการณ์ที่ชัดเจน การจดบันทึกเหตุภัยพิบัติ ขั้นตอนการดำเนินการในการลดผลกระทบ การดำเนินการอื่นสำหรับระบบงานเมื่อเกิดภัยพิบัติ

การดำเนินการเมื่อเกิดภัยพิบัติ ถ้าภัยพิบัติทำให้อุปกรณ์ หรือชิ้นส่วนต่างๆ เสียหายให้ซ่อมแซมทันที ถ้าภัยพิบัติทำให้ระบบงานหลักไม่สามารถทำงานต่อได้เลย ให้ดำเนินการตามแผน BCP สิ่งที่เกิดขึ้นมักอยู่นอกแผนที่กำหนดไว้เสมอ ดังนั้น DRP ควรมีความยืดหยุ่น

ตัวอย่าง Disaster Recovery Plan ชื่อของหน่วยงาน วันที่ดำเนินงาน หรือปรับปรุงการวางแผนและวันทดสอบ เจ้าหน้าที่หน่วยงานที่จะเรียกในกรณีที่เกิดภัยพิบัติ บริการฉุกเฉินที่จะเรียกในกรณีที่เกิดภัยพิบัติ สถานที่ตั้งของอุปกรณ์ฉุกเฉิน แหล่งที่มาของอุปกรณ์ที่ใช้งานนอกสถานที่ หน่วยงานการกู้คืนภัยพิบัติ การประเมินการติดตาม

แผนการดำเนินธุรกิจต่อเนื่อง Business Continuity Plan

แผนการดำเนินธุรกิจต่อเนื่อง เพื่อให้มั่นใจว่าการทำงานหลักสามารถดำเนินการได้เมื่อเกิดภัยพิบัติ BCP ควรบริหารจัดการโดยผู้บริหารสูงสุดขององค์กร แผนในช่วงเวลาเดียวกันกับ DRP เป็นการสร้างการทำงานหลักในสถานที่อื่น (DRP มุ่งเน้นที่การแก้ไขให้ระบบเดิมกลับมาทำงานได้อย่างรวดเร็ว) การดำเนินงานหลัก คือ การกำหนดการทำงานหลักของระบบงานและการกำหนดทรัพยากรที่จำเป็นต้องใช้ในการดำเนินการ

กลยุทธในการสร้างความต่อเนื่องของธุรกิจ มีหลายกลยุทธ ขึ้นอยู่กับงบประมาณในการดำเนินการ Three exclusive-use options: Hot sites Warm sites Cold sites Four shared-use options: Timeshare Service bureaus Mutual agreements Specialized alternatives

Exclusive Use Options Hot Sites Warm Sites Cold Sites สร้างระบบสำรองที่เหมือนกับระบบหลัก พร้อมทำงานแทนได้ทันที Hot Sites เหมือนกับ hot site แต่มีการใช้งานเพียงบางแอปพลิเคชั่นเท่านั้น Warm Sites มีบริการพื้นฐานที่พร้อมใช้งานไม่มากและมีทรัพยากรจำกัด Cold Sites

Specialized alternatives: Shared Use Options คล้ายกับ Exclusive Use แต่มีการเช่าใช้งานเป็นบางช่วงเวลา Timeshares มีหน่วยงานที่จะให้บริการด้านกายภาพทั้งหมด Service Bureaus มีการตกลงเซ็นสัญญาระหว่าง 2 องค์กรเพื่อช่วยเหลือกันในภาวะภัยพิบัติ Mutual Agreements มีการเปลี่ยนสถานที่ดำเนินงานไปเรื่อยๆ จัดเก็บข้อมูลสำคัญไว้ภายนอกระบบงานหรือต่างพื้นที่ Specialized alternatives:

การเก็บข้อมูลไว้ภายนอกองค์กร เพื่อให้องค์กรสามารถกู้คืนข้อมูลได้อย่างรวดเร็ว การทำงานประกอบด้วย: Electronic vaulting: ส่งข้อมูลปริมาณมาก แบบ batch ไปยังไซต์ภายนอก Remote Journaling: แอปพลิเคชั่นส่งข้อมูลไปไซต์ภายนอกทันที Database shadowing: ที่ฐานข้อมูลทำการ duplicate ไปยังไซต์ภายนอกแบบออนไลน์

Disaster Recovery and Business Continuity Planning

Contingency Plan Implementation Timeline

Major Tasks in Contingency Planning

การวิเคราะห์ผลกระทบต่อธุรกิจ (Business Impact Analysis : BIA) เมื่อการโจมตีสำเร็จจะส่งผลอย่างไรต่อธุรกิจ ใช้ข้อมูลเกี่ยวกับระบบ ภัยคุกคาม และรายละเอียดการโจมตีที่ส่งผลกระทบต่อการทำงานของระบบ ทีมงานสำรองฉุกเฉินใช้ BIA เพื่อ : ระบุการโจมตีต่างๆ วิเคราะห์หน่วยธุรกิจต่างๆ กำหนดลักษณะของการโจมตีที่สำเร็จ ประเมินความเสียหายที่เกิดขึ้น แยกแยะแผนสำรองต่างๆ อย่างเหมาะสม

การบริหารความเสี่ยง (Risk Management)

การบริหารความเสี่ยง

ผลลัพธ์ที่ต้องการจากการบริหารความเสี่ยงแต่ละขั้นตอน สินทรัพย์สารสนเทศ (HW, SW, Network, Data, People, Process) ภัยคุกคามต่างๆที่เกิดขึ้น ความรุนแรง และความถี่ในการเกิด ช่องโหว่ การกำหนดวิธีการควบคุมและ%ที่ควบคุมได้ การคำนวณความเสี่ยง และเรียงลำดับความเสี่ยงเพื่อ ดำเนินการตัดสินใจควบคุมความเสี่ยง

ภัยคุกคาม ปัจจัยอื่นๆ ที่กระทบต่อระบบงาน ข้อผิดพลาดจากการกระทำของมนุษย์ การบุกรุก การกรรโชกข้อมูลสารสนเทศ การก่อวินาศกรรมหรือการทำลาย การโจรกรรม การโจมตีซอฟต์แวร์ ภัยธรรมชาติคุณภาพของบริการ ข้อผิดพลาดทางเทคนิคของฮาร์ดแวร์ ข้อผิดพลาดทางเทคนิคของซอฟต์แวร์ เทคโนโลยีล้าสมัย การโจมตีต่างๆ เช่น Malicious Code,Password Crack,Brute Force,Dictionary,Denial-of-Service (DoS) and Distributed Denial-of-Service (DDoS),Spoofing,Man-in-the-Middle,Spam เป็นต้น

ช่องโหว่ กระบวนการทำงาน กฎ ระเบียบ ซอฟต์แวร์ หรือคอมโพเนนต์ใดๆ ที่ทำให้ภัยคุกคามต่างๆ สร้างความเสียหายได้ เช่น ช่องโหว่ใน Web Server ที่ทำให้แฮกเกอร์เจาะเข้าสู่ระบบได้ ช่องโหว่ใน Network Policy ที่ทำให้เกิดการเชื่อมต่อที่ผิดปกติได้ การให้สิทธิในระบบงานที่มากเกินกว่าหน้าที่ของบุคลากร การกำหนดการไหลของกระบวนการทำงานที่อาจทำให้เกิดคอขวด หรือมีผู้รับผิดชอบเพียงผู้เดียว การขาดนโยบาย หรือมีนโยบายด้านการรักษาความปลอดภัยที่หละหลวมเกินไป ฯลฯ

การควบคุม การใช้ Security Infrastructure ต่างๆ ลดโอกาสการเกิดภัยคุกคาม หรือลดความเสียหายที่อาจเกิดขึ้น Assessment / Hardening ลดช่องโหว่ในระบบงาน การทำ Preventive Control เช่น กำหนด Maintenance Plan Security Awareness Training การกำหนดนโยบายต่างๆ ตาม ISO/IEC 27001

การตอบสนองต่อภัยคุกคามต่างๆ

ปัญหาความปลอดภัยในระบบ การเกิดปัญหาความปลอดภัยในระบบต้องมีองค์ประกอบทั้ง 2 ส่วนอย่างครบถ้วน เหตุ คือ ช่องโหว่ในระบบ ปัจจัย คือ การโจมตีไปยังช่องโหว่ของระบบ

ปัญหาความปลอดภัยในระบบ ช่องโหว่ + การโจมตีช่องโหว่ = ปัญหาความปลอดภัยระบบ System ช่องโหว่ ภัยคุกคาม System Problem

การลดปัญหาในระบบ มักใช้หลักการของ PDR ในการสร้าง Availability ลดช่องโหว่ในระบบ การควบคุมเพื่อคัดกรองการโจมตีไม่ให้เข้าสู่ระบบ การตอบสนองต่อปัญหาอย่างรวดเร็ว

กระบวนการในการลดปัญหาในระบบ ทำ Assessment เพื่อทราบปริมาณของช่องโหว่ในระบบ ทำ Hardening เพื่อลดปริมาณช่องโหว่ในระบบ ทำการ Filter การโจมตีที่เข้ามาในระบบ ทำการ Monitoring เพื่อให้ทราบถึงการโจมตีช่องโหว่ในระบบ