Internet Technology and Security System โดย อ.ศุภกร รัศมีมณฑล

กระบวนการรักษาความปลอดภัยข้อมูล การรักษาความปลอดภัยเชิงรับ: ค่าใช้จ่ายการรักษาความปลอดภัย = (ค่าความเสียหายเมื่อเกิดเหตุการณ์) + ค่าใช้จ่ายในการติดตั้งระบบป้องกัน การรักษาความปลอดภัยเชิงรุก: ค่าใช้จ่ายการรักษาความปลอดภัย = ค่าใช้จ่ายในการติดตั้งระบบป้องกัน

กระบวนการรักษาความปลอดภัยข้อมูล(ต่อ) ขั้นตอนของกระบวนการรักษาความปลอดภัย การประเมินความเสี่ยง กำหนดนโยบาย การติดตั้งระบบป้องกัน การฝึกอบรม การตรวจสอบ -> กลับไปข้อ 1 ใหม่

การบริหารความเสี่ยง ความเสี่ยงเป็นพื้นฐานให้เกิดการรักษาความปลอดภัย จุดอ่อนหรือช่องโหว่ให้เกิดความเสี่ยง ภัยคุกคามต่อจุดอ่อน เป้าหมาย (ความลับ, ความคงสภาพ, ความพร้อมใช้งาน) ผู้โจมตี (การเข้าถึง, ความรู้, แรงจูงใจ) ใครบ้าง? เหตุการณ์: วิธีการที่ผู้โจมตีอาจทำอันตรายต่อองค์กร ความเสี่ยง = จุดอ่อน + ภัยคุกคาม

การประเมินความเสี่ยง ผลจากการประเมินคือข้อแนะนำวิธีป้องกัน การประเมินมี 6 ขั้นตอน กำหนดขอบเขต เก็บรวบรวมข้อมูล วิเคราะห์นโยบายและระเบียบปฏิบัติ วิเคราะห์ภัยคุกคาม วิเคราะห์จุดอ่อนหรือช่องโหว่ ประเมินความเสี่ยง

การประเมินความเสี่ยง (ต่อ) กำหนดขอบเขต เป็นขั้นตอนสำคัญที่สุด จะระบุสิ่งที่จะประเมิน, สิ่งที่ต้องการป้องกัน, รายการสิ่งต่างๆ ที่จะประเมิน เก็บรวบรวมข้อมูล สิ่งที่รวบรวมได้แก่ เซอร์วิสแพ็ค, เซอร์วิสที่เปิดบริการ, เวอร์ชันโอเอส, สถานที่ตั้งระบบ, บริการไวร์เลสแลน, ระบบ IDS, ระบบโทรศัพท์, ไฟร์วอลล์, ระบบเครือข่าย (www.securityfocus.com, www.incidents.org, www.packetstormsecurity.org, www.sans.org, www.cert.org, )

การประเมินความเสี่ยง (ต่อ) วิเคราะห์นโยบายและระเบียบปฏิบัติ ตรวจสอบส่วนใดขององค์กรที่ไม่ได้มาตรฐานความปลอดภัย และส่วนใดที่ไม่จำเป็นหรือจำเป็นต้องเป็นไปตามมาตรฐาน วิเคราะห์ภัยคุกคาม 1. ฮาร์ดแวร์ (ระบบไฟฟ้า, ภัยธรรมชาติ, ขโมย) 2. ซอฟต์แวร์ (ลบ, แก้ไข, ขโมย, Trojan, Virus, Trapdoor) 3. ข้อมูล (ขโมย, แก้ไข, ทำให้ใช้ไม่ได้)

การประเมินความเสี่ยง (ต่อ) วิเคราะห์จุดอ่อนหรือช่องโหว่ เครื่องมือวิเคราะห์หาได้แก่ Nessus (www.nessus.org) GFILANGuard (www.gfi.com) Retina (www.eeye.com) SAINT (www.saintcorporation.com) ปัญหาการใช้เครื่องมือคือ การวิเคราะห์ข้อมูลที่ได้มา ผู้ใช้ต้องมีความรู้เรื่องความปลอดภัย

การประเมินความเสี่ยง (ต่อ) ประเมินความเสี่ยง มีจุดมุ่งหมายคือ 1. ประเมินค่าทรัพย์สินประเภทข้อมูล 2. ประเมินความเสี่ยงต่อ ความลับ ความคงสภาพ ความพร้อมใช้ 3. ตรวจสอบค้นหาจุดอ่อน 4. ประเมินความเสี่ยงทรัพย์สินประเภทข้อมูล 5. แนะนำปฏิบัติต่อข้อมูลเพื่อลดความเสี่ยงที่ยอมรับได้ 6. เป็นข้อมูลรากฐานการวางระบบรักษาความปลอดภัย

การประเมินความเสี่ยง (ต่อ) ประเมินความเสี่ยง แบ่งออกเป็น 5 ระดับคือ 1. การวิเคราะห์ในระดับระบบ (หาจุดอ่อนคอมฯในระบบและตรวจสอบให้เป็นไปตามนโยบายรักษาความปลอดภัย) 2. การวิเคราะห์ในระดับเครือข่าย 3. การวิเคราะห์ระดับองค์กร (ดูต่อ) 4. การตรวจสอบ (ตรวจนโยบายและการปฏิบัติตาม) 5. การทดสอบเจาะระบบ (ภายใน, ภายนอก)

การประเมินความเสี่ยง (ต่อ) การวิเคราะห์ระดับองค์กร ควรตรวจสอบสิ่งต่อไปนี้ 1. ระบบเครือข่าย (ดูผังระบบ, ใช้ซอฟต์แวร์สแกนเครือข่ายดูการเชื่อมต่อ และ กลไกการควบคุมป้องกันเครือข่าย) 2. การรักษาความปลอดภัยทางกายภาพ (สถานที่, ผู้ดูแล, อุปกรณ์เก็บข้อมูล, เอกสาร, ระบบไฟฟ้า, อัคคีภัย) 3. นโยบายและระเบียบ (เหตุผล, สมบูรณ์, สอดคล้องกับธุรกิจ, สอดคล้องกับจุดประสงค์, ต้องปรับปรุง) 4. คำเตือนข้อระวัง (สำหรับการกู้คืนระบบ, แผนการ, การสำรอง)

การประเมินความเสี่ยง (ต่อ) 5. ความสนใจระมัดระวังของพนักงาน (การตื่นตัว) 6. พนักงาน (ความชำนาญการ) 7. ขวัญความตั้งใจทำงาน (ผู้บริหารเป็นแบบอย่าง, การสื่อสารพนักงาน) 8. ปริมาณงาน (งานมากขาดความสนใจความปลอดภัย) 9. ธุรกิจ (ความเสียหาย, จุดที่ข้อมูลผ่าน, อีคอมเมิร์ซ) เมื่อรวบรวมข้อมูลจากส่วนต่างๆ ต้องวิเคราะห์ข้อมูลอีกครั้งและนำเสนอ จากนั้น พัฒนานโยบายและแผนรักษาความปลอดภัย ปัจจัยอื่นงบประมาณ

นโยบาย นโยบายระเบียบปฏิบัติที่ต้องมี นโยบายข้อมูล (มักเริ่มต้นก่อน) นโยบายการรักษาความปลอดภัย นโยบายการใช้งาน การสำรอง ระเบียบปฏิบัติการบริหารจัดการบัญชีผู้ใช้ ระเบียบปฏิบัติเมื่อเกิดเหตุการณ์ แผนการฟื้นฟูหลังภัยร้ายแรง

นโยบาย (ต่อ) ลำดับการกำหนดนโยบาย: ขึ้นกับความเสี่ยงขององค์กรขณะนั้น(1)(7)และระยะเวลาทำเอกสาร, อาจทำหลายๆ นโยบายพร้อมกันก็ได้ เพราะผู้ดูแลต่างกันเช่น (2)ผู้ดูแลระบบ, (3,5)ฝ่ายบุคคล, ข้อแนะนำเริ่มจากเล็กๆก่อน ปรับปรุงนโยบายที่ใช้อยู่ให้ทันสมัย: ทำโดยการรวบรวมจากเอกสารและวิเคราะห์หาจุดอ่อน, คณะทำงานมาจากภายในหรือนอก

การออกแบบและติดตั้งระบบรักษาความปลอดภัย เป็นขั้นตอนการจัดหาเครื่องมือเทคนิคและระบบควบคุมทางกายภาพ หรือจ้างคน, ระบบรักษาความปลอดภัยมีดังนี้ 1. ระบบรายงานการักษาความปลอดภัย ติดตามการปฏิบัติของพนักงานและจุดอ่อนขององค์กร การดำเนินการมี -การเฝ้าระวังการใช้งานระบบ (ติดตามการฝ่าฝืนนโยบาย) -การสแกนช่องโหว่ของระบบ (ติดตามระวังจุดอ่อนระบบที่ติดตั้งใน เครือข่าย,install โดยใช้ค่า default) -การปฏิบัติตามนโยบาย (มี2วิธี 1.ด้วยมือ ใช้เวลานาน,สุ่มตรวจ 2.ใช้ ซอฟต์แวร์ติดตั้งไว้ในระบบที่ติตตั้งในเครือข่ายและรอรับรายงาน)

การออกแบบและติดตั้งระบบรักษาความปลอดภัย(ต่อ) 2. ระบบพิสูจน์ทราบตัวตน: ต้อง login ก่อนใช้ระบบ, มีการอบรมการใช้ระบบ, ต้องวางแผนก่อนติดตั้งโดยผู้ดูแลระบบและผู้รักษาความปลอดภัย 3. การักษาความปลอดภัยในการใช้งานอินเทอร์เน็ต: 1.ติดไฟร์วอลล์ทำหลังกำหนดโครงสร้างพื้นฐานของเครือข่าย 2.ใช้ VPN เข้ารหัสข้อมูลที่รับส่งในเครือข่าย 4. ระบบตรวจจับและป้องกันการบุกรุก (IDS): ติดตั้งหลังระบุ พ.ท.เสี่ยงแล้ว ต.ย. IDS: 1. ตรวจ logfile ด้วยมือ 2.ตรวจlogfile แบบอัตโนมัติ 3.Host-based IDS 4. Network-based IDS

การออกแบบและติดตั้งระบบรักษาความปลอดภัย(ต่อ) 5. การเข้ารหัสข้อมูล: แบ่งเป็นข้อมูลรับส่งในเครือข่ายและข้อมูลที่จัดเก็บไว้ มีสิ่งที่ต้องคำนึงถึงคือ - อัลกอริธึม(Private keyทำงานเร็ว,Public keyใช้กับ Digital Signature ได้ ) - การบริหารคีย์(Private keyต้องupdae keyบ่อย, Public keyต้องแจก Digital Certificate) - ความจำเป็นของข้อมูลที่ต้องเข้ารหัส

การออกแบบและติดตั้งระบบรักษาความปลอดภัย(ต่อ) 6. การรักษาความปลอดภัยด้านกายภาพ: มีผลต่อพนักงานในการปรับตัว ในการทำงานอาจมีบัตรประจำตัว รูปถ่าย และระบบพิสูจน์ตัวตน เสริมการทำงาน 7. คณะทำงาน: พัฒนานโยบายระบบรักษาความปลอดภัยและบังคับใช้ บางส่วนต้องมีผู้ดูแล 24ชมเช่นระบบพิสูจน์ทราบตัวตน ไฟร์วอลล์ และ IDS ,สิ่งสำคัญที่สุดคือ การรักษาความปลอดภัยขององค์กรเป็นหน้าที่ของพนักงานทุกคน

การฝึกอบรม สร้างความร่วมมือระหว่างองค์การโดยใช้สื่อวารสารและประกาศ พนักงาน: ให้เห็นความสำคัญของการรักษาความปลอดภัย, หลักสูตรระยะสั้น ทำตอนปฐมนิเทศ หรือ 2ปี/ครั้ง ผู้ดูแลระบบ: ปรับความรู้เทคนิคการเจาะระบบ, การติดตั้งแพตท์, อบรมโดยผู้เชี่ยวชาญ นักพัฒนาแอพพลิเคชัน: เขียนโปรแกรมให้ปลอดภัย ผู้บริหาร: รับรายงานสถานภาพระบบและความก้าวหน้า นำเสนอเปรียบกับมาตาฐานความปลอดภัย คณะเจ้าหน้าที่ฝ่ายรักษาความปลอดภัย: ปรับปรุงความรู้

การตรวจสอบ ตรวจสอบการฝ่าฝืนนโยบายและระเบียบปฏิบัติ มี3ประเภท การตรวจสอบการปฏิบัติตามนโยบาย: หาระดับความปลอดภัยที่คาดหวังไว้ถามจากคนในองค์กร หรือจ้างคนตรวจ สิ่งที่ตรวจทั้งระบบคือคอมพิวเตอร์และข้อมูล การประเมินโครงการใหม่: ประเมินโครงการใหม่/เก่าว่าทันสมัย? การทดลองเจาะระบบ: ควรกำหนดขอบเขตดำเนินการก่อน, วางแผนการดำเนินการ และแจ้งให้บุคคลในองค์กรทราบ อาจเจาะระบบทางกายภาพ