ความรู้เบื้องต้นเกี่ยวกับ การรักษาความปลอดภัยข้อมูล 235034 Security in Computer Systems and Networks ความรู้เบื้องต้นเกี่ยวกับ การรักษาความปลอดภัยข้อมูล Lec. Sanchai Yeewiyom School of Information and Communication Technology University of Phayao
Objective วิวัฒนาการการรักษาความปลอดภัยข้อมูลและทรัพย์สิน คุณสมบัติของความปลอดภัยข้อมูล แนวคิดเกี่ยวกับการรักษาความปลอดภัยข้อมูล ภัยคุกคามความปลอดภัยข้อมูล แนวโน้มการโจมตีในปัจจุบัน เครื่องมือสำหรับการรักษาความปลอดภัย มาตรฐานการรักษาความปลอดภัยข้อมูล
ความมั่นคงปลอดภัย (Security) สถานะที่มีความปลอดภัย ไม่มีอันตราย และได้รับการป้องกันจากภัยอันตรายที่ทั้งเกิดขึ้นโดยตั้งใจ หรือโดยบังเอิญ องค์กร ควรมีความมั่นคงปลอดภัยในส่วนต่าง ๆ ได้แก่ ความมั่นคงปลอดภัยทางกายภาพ (Physical Security) : การป้องกันการเข้าถึง เข้าใช้ สิ่งของ สถานที่ โดยไม่ได้รับอนุญาต หรือในทางที่ผิด ความมั่นคงปลอดภัยส่วนบุคคล (Personal Security) : การป้องกันที่เกี่ยวข้องกับบุคคลหรือกลุ่มบุคคล ความมั่นคงปลอดภัยในการปฏิบัติงาน (Operation Security) : การป้องกันรายละเอียดต่าง ๆ เกี่ยวกับกิจกรรมขององค์กร
ความมั่นคงปลอดภัย (Security) ความมั่นคงปลอดภัยในการติดต่อสื่อสาร (Communication Security) : การป้องกันสื่อที่ใช้ในการสื่อสาร รวมถึงข้อมูลที่ส่ง ความมั่นคงปลอดภัยของเครือข่าย (Network Security) : การป้องกันองค์ประกอบ การเชื่อมต่อ และข้อมูลในเครือข่าย ความมั่นคงปลอดภัยของสารสนเทศ (Information Security) : การป้องกันสารสนเทศในระบบงานคอมพิวเตอร์ขององค์กร
การรักษาความปลอดภัยของระบบคอมพิวเตอร์และเครือข่าย แบ่งเป็น 4 หมวดหมู่ ได้แก่ การรักษาความปลอดภัยด้านกายภาพ การรักษาความปลอดภัยของคอมพิวเตอร์แม่ข่ายและลูกข่าย การรักษาความปลอดภัยเครือข่ายและอุปกรณ์เครือข่าย การรักษาความปลอดภัยข้อมูล
การรักษาความปลอดภัยด้านกายภาพ การป้องกันการเข้าถึงระบบคอมพิวเตอร์และเครือข่าย ทางกายภาพ ได้แก่ การเข้าถึงเครื่องคอมพิวเตอร์และอุปกรณ์โดยตรง การเข้าถึงระบบโดยตรงเพื่อการขโมย แก้ไข ทำลายข้อมูล หรือวาง Back Door การขโมย ทำลาย อุปกรณ์หรือเครื่องคอมพิวเตอร์
การรักษาความปลอดภัยของคอมพิวเตอร์แม่ข่ายและลูกข่าย การเข้าถึงคอมพิวเตอร์แม่ข่ายที่ไม่ได้ป้องกัน การเข้าถึงคอมพิวเตอร์แม่ข่ายที่มีช่องโหว่ การโจมตีเครื่องแม่ข่ายเพื่อไม่ให้สามารถใช้การได้ หรือทำให้ประสิทธิภาพลดลง การเข้าถึงคอมพิวเตอร์ลูกข่ายเพื่อขโมย แก้ไข ทำลายข้อมูลผู้ใช้ภายในองค์กร
การรักษาความปลอดภัยเครือข่ายและอุปกรณ์เครือข่าย ป้องกันการโจมตีด้วยวิธี MAC Address Spoofing ป้องกันการโจมตีแบบ ARP Spoof / Poisoning ป้องกันการโจมตีแบบ Rogue DHCP ป้องกันการโจมตีระบบ LAN และ WLAN การทำ Hardening ระบบ
การรักษาความปลอดภัยข้อมูล ข้อมูลขององค์กร ข้อมูลของพนักงาน ข้อมูลลูกค้า เป็นต้น การควบคุมการเข้าถึงจากระยะไกล ป้องกันการโจมตีแบบ Cross-Site Scripting (XSS : เทคนิคการฝังCode เข้าไปกับหน้า Web Page ที่มีช่องโหว่ เพื่อขโมยข้อมูล หรือหรือ ส่งพวก Malicious Script แปลกๆ มา Run บนยังเครื่อง Client) ที่สามารถขโมย Cookies, Session ID etc.
คุณสมบัติของความปลอดภัยข้อมูล ข้อมูลจะมีความปลอดภัยถ้ามีคุณสมบัติ 3 ด้าน (CIA) ดังนี้ ความลับ (Confidentiality) ความคงสภาพ (Integrity) ความพร้อมใช้งาน (Availability) http://www.marianowo.org/what-is-the-cia-triad-of-information-security-what-makes-what-is-the-cia-triad-of-information-security-so-addictive-that-you-never-want-to-miss-one-1129
ความลับ (Confidentiality) หมายถึง การอนุญาตให้เฉพาะผู้ที่ได้รับอนุญาตเข้าถึงข้อมูลได้ ข้อมูลบางอย่างมีความสำคัญ เป็นต้องเก็บเป็นความลับ หากถูกเปิดเผยอาจมีผลเสียหรือเป็นอันตราย เช่น ข้อมูลทางการทหาร ทางธุรกิจ เป็นต้น กลไกที่ใช้รักษาความลับ คือ การเข้ารหัสข้อมูล (Cryptography or Encryption) หลักการคือ การเปลี่ยนรูปข้อมูลที่อ่านออกได้ให้ไปอยู่ในรูปแบบที่ไม่สามารถอ่านออกหรือเข้าใจได้ โดยมีการใช้ Key (Password) ในกระบวนการเข้ารหัสและถอดรหัส
ความลับ (Confidentiality) ตัวอย่างเช่น การซื้อสินค้าผ่านระบบ E-Commerce ด้วยบัตรเครดิต ซึ่งต้องมีการรักษาความลับของลูกค้า กลไกอื่นที่ใช้ ปกป้องความลับ ได้แก่ การควบคุมการเข้าถึง (Access Control) ที่จะต้องมีการพิสูจน์ทราบตัวตนของผู้ใช้งานก่อนว่ามีสิทธิ์หรือไม่ เช่น วิธีการ Log-in
ความคงสภาพ (Integrity) หมายถึง ความเชื่อได้ของข้อมูลหรือแหล่งที่มา ซึ่งข้อมูลจะต้องคงสภาพเดิมไม่ถูกดัดแปลงแก้ไขหรือทำลาย โดยผู้ที่ไม่ได้รับอนุญาต ความคงสภาพ ประกอบด้วย 2 ส่วน คือ ความถูกต้องของเนื้อหา และความถูกต้องของแหล่งที่มา กลไกในการรักษาความคงสภาพ ประกอบด้วย 2 ส่วน คือ การป้องกัน (Prevention) และ การตรวจสอบ (Detection)
ความคงสภาพ (Integrity) Prevention เป็นการป้องกันไม่ให้ มีการเปลี่ยนแปลงแก้ไขข้อมูลโดยผู้ที่ไม่ได้รับอนุญาต เปลี่ยนแปลงแก้ไขข้อมูลนอกเหนือขอบเขตของผู้ได้รับอนุญาต วิธีการป้องกัน ใช้การพิสูจน์ตัวตน (Authentication) และการควบคุมการเข้าถึง (Access Control) ในประเด็นแรก ใช้การตรวจสอบสิทธิ์ (Authorization) ในประเด็นหลัง
ความคงสภาพ (Integrity) Detection เป็นการตรวจสอบ เพื่อดูว่าข้อมูลยังคงมีความน่าเชื่อถือได้อยู่หรือไม่ วิธีการตรวจสอบ โดยตรวจเช็ควิเคราะห์เหตุการณ์ต่างๆ ที่เกิดขึ้นจาก Log File
ความพร้อมใช้งาน (Availability) หมายถึง ความสามารถในการใช้ข้อมูลหรือทรัพยากรเมื่อต้องการใช้งาน เป็นส่วนหนึ่งของความมั่นคง ความน่าเชื่อถือ (Reliability) ของระบบ อาจถูกโจมตีโดยผู้ไม่ประสงค์ดีที่พยายามทำให้ไม่สามารถใช้งานระบบได้ เช่น การปฏิเสธการให้บริการ หรือ DoS (Denial of Service) แนวทางการป้องกัน เช่น การทำ Load Balancing, การทำระบบสำรอง (Backup System), ระบบไฟฟ้าสำรอง
แนวคิดอื่นๆ เกี่ยวกับการรักษาความปลอดภัยข้อมูล ในหนังสือบางเล่มกล่าวถึงแนวคิดในการรักษาความปลอดภัยข้อมูล ได้แก่ประเด็นต่างๆ ดังนี้ ความเป็นส่วนบุคคล (Privacy) การระบุตัวตน (Identification) การพิสูจน์ทราบตัวตน (Authentication) การอนุญาตใช้งาน (Authorization) การตรวจสอบได้ (Accountability) การห้ามปฏิเสธความรับผิดชอบ (Non-repudiation)
แนวคิดอื่นๆ เกี่ยวกับการรักษาความปลอดภัยข้อมูล ความเป็นส่วนบุคคล (Privacy) ข้อมูลที่องค์กรรวบรวม จัดเก็บ ควรถูกนำไปใช้งานตามที่ระบุไว้ในการร้องขอเท่านั้น ถ้านำไปใช้ในจุดประสงค์อื่น เช่น การนำไปขาย ถือว่าเป็นการละเมิดสิทธิ์ รวมถึงผู้รวบรวมถ้าจัดเก็บไม่ดีทำให้ข้อมูลรั่วไหลไปที่อื่นก็จะต้องมีความผิด การระบุตัวตน (Identification) จะต้องสามารถระบุตัวตนของผู้ใช้งานแต่ละคนได้ เป็นขั้นตอนแรกในการที่จะเข้าถึงข้อมูลหรือระบบ โดยทั่วไปจะระบุโดยใช้ Username
แนวคิดอื่นๆ เกี่ยวกับการรักษาความปลอดภัยข้อมูล การพิสูจน์ทราบตัวตน (Authentication) เป็นการระบุว่าเป็นผู้ใช้คนนั้นจริงหรือไม่ โดยปกติจะใช้ Password เป็นตัวยืนยัน หรืออาจใช้ใบรับรองอิเล็กทรอนิกส์ในการเชื่อมต่อแบบ SSL (Secure Socket Layer) โดยหลักการแล้ว การพิสูจน์ทราบตัวตนมักใช้สิ่งต่าง ๆ ต่อไปนี้
แนวคิดอื่นๆ เกี่ยวกับการรักษาความปลอดภัยข้อมูล สิ่งที่คุณรู้ (Knowledge Factor) : เช่น Username Passwords หรือPersonal Identification Number (PIN) หรือ Challenge Response (การตอบคำถามที่ถูกต้อง) เป็นต้น สิ่งที่คุณมี (Possession Factor) : เช่น กุญแจ Smart Card (บัตรประจำตัว หรือ เครดิตการ์ด) เป็นต้น สิ่งที่คุณเป็น (Biometric Factor) : เช่น Finger Print, Retinal Pattern หรือ Voice Patterns เป็นต้น
แนวคิดอื่นๆ เกี่ยวกับการรักษาความปลอดภัยข้อมูล การอนุญาตใช้งาน (Authorization) เป็นการตรวจสอบว่าผู้ใช้นั้นมีสิทธิ์ในระดับใด เช่น อ่าน ลบ หรือ แก้ไข โดยปกติจะใช้การจัดกลุ่มของผู้ใช้ระบบ (Access Control List) การตรวจสอบได้ (Accountability) เป็นการรับรองว่าทุกกิจกรรมที่เกิดขึ้นสามารถตรวจสอบย้อนหลังได้ ด้วยการบันทึกทุกอย่างที่เกิดขึ้นเก็บไว้เป็น Log File การห้ามปฏิเสธความรับผิดชอบ (Non-repudiation) วิธีการสื่อสารซึ่งผู้ส่งข้อมูลได้รับหลักฐานว่าได้มีการส่งข้อมูลแล้วและผู้รับก็ได้รับการยืนยันว่าผู้ส่งเป็นใคร ดังนั้นทั้งผู้ส่งและผู้รับจะไม่สามารถปฏิเสธได้ว่าไม่มีความเกี่ยวข้องกับข้อมูลดังกล่าวในภายหลัง
ภัยคุกคาม (Treat) หมายถึง สิ่งที่อาจก่อให้เกิดความเสียหายต่อคุณสมบัติของความปลอดภัยข้อมูล หรือระบบ ด้านใดด้านหนึ่งหรือหลายด้าน การโจมตี (Attack) เกิดจาก ผู้โจมตี (Attacker) หลากหลายรูปแบบ เช่น นักเจาะระบบ (Hacker) Malware พวกอยากทดลอง ผู้ก่อการร้าย ภัยธรรมชาติ, อุบัติเหตุ etc.
ประเภทของ Threat แบ่งออกเป็น 4 ประเภท คือ การเปิดเผย (Disclosure) คือ การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต หรือข้อมูลถูกเปิดเผยให้กับผู้ที่ไม่ได้รับอนุญาต การหลอกลวง (Deception) คือการให้ข้อมูลที่เป็นเท็จ การขัดขวาง (Disruption) คือ การทำลายข้อมูล หรือกันไม่ให้กระทำต่อข้อมูลอย่างถูกต้อง การควบคุมระบบ (Usurpation) คือ การเข้าควบคุม บางส่วนหรือทั้งหมดของระบบโดยไม่ได้รับอนุญาต
ตัวอย่างของ Threat การสอดแนม (Snooping) หรือบางทีเรียก Eavesdropping แต่โดยส่วนใหญ่จะเรียกว่า Sniffing เป็นการดักจับข้อมูลเพื่อดูว่าเป็นข้อมูลอะไร จัดเป็นการโจมตีแบบ Passive เนื่องจากจะไม่เข้าไปเปลี่ยนแปลงแก้ไขข้อมูลที่ดักได้ เครื่องมือที่ใช้ ได้แก่ โปรแกรมกลุ่ม Packet Sniffer ในการดักจับข้อมูลที่วิ่งอยู่ในระบบเครือข่าย หรือการใช้เครื่องมือ Wiretapping ในการแอบอ่านข้อมูลที่วิ่งไปในสายสัญญาณ วิธีป้องกัน คือ การทำ Encryption ข้อมูลก่อนส่งออกไป รวมถึงการใช้ Username และ Password ที่แตกต่างกันในแต่ละระบบ
ตัวอย่างของ Threat การเปลี่ยนแปลงข้อมูล (Modification) หมายถึง การแก้ไขข้อมูลโดยที่ไม่ได้รับอนุญาต จัดเป็นการโจมตีแบบ Active ตัวอย่างเช่น การโจมตีแบบ Man-in-the-middle ที่ผู้โจมตีจะแอบดักจับข้อมูลที่ผู้ส่งส่งมา จากนั้นจะทำการแก้ไขก่อนส่งต่อไปให้ผู้รับ ซึ่งผู้รับอาจจะไม่รู้เลยว่าข้อมูลถูกแก้ไขระหว่างทาง การป้องกันอาจใช้หลักการ Integrity (ความคงสภาพของข้อมูล) เข้ามาช่วย หรืออาจใช้ Digital Signature
ตัวอย่างของ Threat การปลอมตัว (Spoofing) เป็นการทำให้อีกฝ่ายหนึ่งเข้าใจว่าเป็นอีกบุคคลหนึ่ง โดยส่วนใหญ่มักใช้วิธีการ IP Spoofing ซึ่งเป็นการปลอมแปลงตัวของที่อยู่ในหรือนอกเครือข่ายโดยการปลอมแปลง IP Address ของผู้บุกรุกให้เหมือนกับ IP Address ที่ระบบเครือข่ายอนุญาตให้เข้าใช้งาน หรืออาจใช้การเข้าไปเปลี่ยนแปลง Routing Table เพื่อให้ส่งข้อมูลไปยังเครื่องปลอม สามารถใช้วิธี Authentication ในการป้องกัน
ตัวอย่างของ Threat การปฏิเสธการให้บริการ (Denial of Service : DoS) หมายถึง การขัดขวางการให้บริการของเครื่อง Server จนกระทั่งทำให้หยุดการให้บริการ โดยจะทำให้มีการใช้ Resource ของ Server จนหมดหรือถึงขีดจำกัด เช่น การโจมตี Web Server ผู้โจมตีจะทำการเชื่อมต่อ Client กับ Web Server จนเต็ม ทำให้ผู้ใช้อื่น ๆไม่สามารถเข้ามาใช้บริการได้ หรือการโจมตีเพื่อมุ่งหวังให้ประสิทธิภาพของระบบเครือข่ายลดลงโดยการส่ง Packet ขยะจำนวนมากเข้าไปในระบบ การป้องกันใช้หลักการรักษาความพร้อมใช้งานป้องกันการโจมตี
ตัวอย่างของ Threat การปฏิเสธแหล่งที่มา (Repudiation of Origin) คือ การไม่ยอมรับเกี่ยวกับข้อมูลที่ส่งไปให้ผู้รับ เช่น สั่งซื้อของแล้วปฏิเสธว่าไม่ได้ซื้อ สามารถใช้หลักการรักษาการคงสภาพในการป้องกัน การปฏิเสธการได้รับ (Repudiation of Receipt) คือ การที่ผู้รับได้รับข้อมูลแล้วปฏิเสธว่าไม่ได้รับ เช่น ได้รับของที่สั่งซื้อแล้วปฏิเสธว่าไม่ได้รับ ให้ส่งมาใหม่ สามารถใช้หลักการรักษาการคงสภาพและความพร้อมใช้งานในการป้องกัน การหน่วงเวลา (Delay) หมายถึง การยับยั้งไม่ให้ส่งข้อมูลถึงตามเวลาที่ควรจะเป็น สามารถใช้หลักการรักษาความพร้อมใช้งานในการป้องกัน
ตัวอย่างของ Threat
แนวโน้มการโจมตี ในปัจจุบัน การรักษาความปลอดภัยเป็นเรื่องยาก และซับซ้อน เนื่องมาจากปัจจัยต่าง ๆ ได้แก่ ความเร็วในการโจมตี ความซับซ้อนในการโจมตี ความรวดเร็วในการค้นหาจุดอ่อน การโจมตีแบบแยกกระจาย ความซับซ้อนในการติดตั้ง Patch
ความเร็วในการโจมตี เครื่องมือมีความทันสมัย รวดเร็ว และง่ายในการได้มา ทำให้สามารถค้นหาเป้าหมายและโจมตีได้อย่างรวดเร็ว อีกทั้งไม่ต้องอาศัยมนุษย์ Slammer Worm ทำลายเครื่องกว่า 75,000 เครื่อง ใน 11 นาที แพร่กระจายเป็นเท่าตัวใน 8.5 วินาที และ Scan หาเครื่องเป้าหมาย ได้ 55 ล้านเครื่อง/วินาที Blaster Worm แพร่กระจายไป 138,000 เครื่องใน 4 ชั่วโมง และทำให้เครื่องกว่า 1.4 ล้านเครื่องติดเชื้อ
ความซับซ้อนในการโจมตี เครื่องมือที่ใช้มีความหลากหลายในการโจมตี มีความแตกต่างกันในการโจมตีแต่ละครั้ง ทำให้ตรวจจับได้ยาก มีการใช้การโจมตีผ่านทาง HTTP (Hypertext Transfer Protocol) ซึ่งเป็นโพรโตคอลหลักในการใช้งานอินเทอร์เน็ตทำให้ตรวจจับได้ยาก
ความรวดเร็วในการค้นหาจุดอ่อน โปรแกรมในปัจจุบันมีช่องโหว่หรือจุดอ่อน (Vulnerability) เพิ่มมากขึ้น ผู้พัฒนาปิดช่องช่องโหว่ไม่ทัน บางกรณีเกิด Day Zero Attack ซึ่งผู้โจมตีค้นพบช่องโหว่เอง หรือมีการประกาศว่าพบแต่ยังอยู่ในระหว่างการปิดช่องโหว่ ซึ่งเป็นเรื่องยากที่จะป้องกัน
ช่วงเวลาระหว่างการโจมตีและวันที่ Patch ออก
การโจมตีแบบแยกกระจาย มีการสร้างเครือข่ายที่เรียกว่า Botnet ที่มีเครื่อง Zombie นับหมื่นนับแสนเครื่องเพื่อร่วมกันโจมตีเป้าหมายที่ต้องการ (Distributed Attack) อาศัยเครื่องมือพวก Trojan Horse เพื่อสร้าง Backdoor ในการเข้าไปควบคุมเครื่อง มีการฝัง Code ตั้งเวลาและเป้าหมายในการโจมตี ยากในการป้องกันเพราะโจมตีจากหลายแหล่ง
ความซับซ้อนในการติดตั้ง Patch วิธีการป้องกันการโจมตีที่ดีคือการติดตั้ง Patch สำหรับช่องโหว่แต่ละอัน วิธีการที่สะดวกคือการเปิดฟังก์ชัน Auto Update ของ Windows การ Update เพียงแค่เครื่องใดเครื่องหนึ่งไม่ยาก แต่ระบบขนาดใหญ่ที่มีความหลากหลายในการใช้งานซอฟต์แวร์จะมีความยุ่งยากเป็นอย่างมาก
รายงานเหตุการณ์การโจมตี Year Incidents 1988 6 1990 252 1992 773 1994 2,340 1996 2,573 1998 3,734 2000 21,756 2001 52,658 2002 82,094 2003 137,529 http://www.cert.org
World Security Vulnerabilities Statistics CERT Statistic http://www.cert.org/stats/ Year Vulnerabilities 1995 171 2002 4,129 1996 345 2003 3,784 1997 311 2004 3,780 1998 262 2005 5,990 1999 417 2006 8,064 2000 1,090 2007 7,236 2001 2,437 Q1-Q3, 2008 6,058 Total 44,074
www.thaicert.or.th
Threats Definition อ้างอิงตามเอกสาร ECSIRT Threats Definition อ้างอิงตามเอกสาร ECSIRT.net project on cooperation and common statics. Abusive Content (เนื้อหาที่เป็นภัยคุกคาม) : Spam, Harassment, Child/Sexual/Violence Malicious Code (โปรแกรมไม่พึงประสงค์) : Virus, Worm, Trojan, Spyware, Dialer Information Gathering (ความพยายามรวบรวมข้อมูลของระบบ) : Scanning, Sniffing, Social Engineering Intrusion Attempts (ความพยายามจะบุกรุกเข้าระบบ) : Exploiting of known Vulnerabilities, Login attempts, new attack signature
Threats Definition อ้างอิงตามเอกสาร ECSIRT Threats Definition อ้างอิงตามเอกสาร ECSIRT.net project on cooperation and common statics. Intrusions (การบุกรุกหรือเจาะระบบได้สำเร็จ) : Privileged Account Compromise, Unprivileged Account Compromise, Application Compromise Availability (การโจมตีสภาพความพร้อมใช้งานของระบบ) : DoS, DDoS, Sabotage
Threats Definition อ้างอิงตามเอกสาร ECSIRT Threats Definition อ้างอิงตามเอกสาร ECSIRT.net project on cooperation and common statics. Information Security (การเข้าถึงหรือเปลี่ยนแปลงแก้ไขข้อมูลสำคัญโดยไม่ได้รับอนุญาต) : Unauthorized access to information, Unauthorized modification of information Fraud (การฉ้อฉล ฉ้อโกงหรือหลอกลวงเพื่อผลประโยชน์) : Unauthorized use of resources, Copyright, Masquerade https://www.thaicert.or.th/papers/general/2012/pa2012ge001.html
Thailand Threats Statistics 2018 (https://www. thaicert. or
Thailand Threats 2018 by Month
Thailand Threats 2018 by Class
10 อันดับประเทศที่แจ้งเหตุภัยคุกคามมากที่สุด 2018 หมายเหตุ: รายการประเทศผู้แจ้งที่ระบุว่าเป็น "ThaiCERT" หมายถึง เหตุการณ์ภัยคุกคามที่ไทยเซิร์ตตรวจพบจากระบบ Threat Watch ของไทยเซิร์ต
Survival Time on Internet
สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.) www.etda.or.th
เครื่องมือสำหรับการรักษาความปลอดภัย Threat มีอยู่มากมาย จำเป็นต้องใช้เครื่องมือที่หลากหลายมาทำงานร่วมกันในการป้องกันการโจมตี เช่น Firewall Intrusion Detection System (IDS) Data Encryption Anti-Virus Software Physical Security
Firewall ควบคุมการเข้าออกเครือข่าย ป้องกันการถูกโจมตีจากภายนอกเครือข่าย ทั้งในแง่ส่งข้อมูลเข้ามาหรือนำข้อมูลออกไป ติดตั้งอยู่ระหว่าง Internet และ Intranet
Intrusion Detection System (IDS) เป็นระบบที่ใช้เฝ้าระวังและแจ้งเตือนภัยถ้ามีการบุกรุก หรือมีสิ่งผิดปกติเกิดขึ้นในระบบ ใช้หลักการทำงานคล้าย Anti-Virus โดยจะเปรียบเทียบรูปแบบและเหตุการณ์กับฐานข้อมูลที่มี จึงจำเป็นต้องมีการ Update ข้อมูลอย่างสม่ำเสมอ
Data Encryption เป็นการป้องกันข้อมูลที่อยู่ระหว่างการสื่อสาร ข้อมูลจะถูกเปลี่ยนรูปจากข้อมูลที่อ่านได้ (Clear Text / Plain Text) ไปเป็นข้อมูลที่อ่านไม่ได้หรือข้อมูลที่ถูกเข้ารหัส (Cipher Text) กระบวนการเข้ารหัสและถอดรหัส (Cryptography) มี 2 วิธีการ คือ Symmetric (Secret) Key Cryptography Asymmetric (Public) Key Cryptography มีหลากหลาย Algorithm เช่น RC-4, DES, AES ความมั่นคงแข็งแรงขึ้นกับขนาดของ Key และความซับซ้อนของ Algorithm
Data Encryption https://ico.org.uk/for-organisations/guide-to-data-protection/encryption/types-of-encryption/
Anti-Virus Software เป็นสิ่งจำเป็นสำหรับการป้องกันและรักษาความปลอดภัย ต้อง ติดตั้งและใช้งาน อย่างถูกต้อง Scan ระบบเป็นประจำ (Real-time Scan) หมั่น Update Virus Signature และ Engine อย่างสม่ำเสมอ
Physical Security ช่วยเพิ่มความปลอดภัยให้กับข้อมูล ตัวอย่างเช่น Smart Card ถูกพัฒนาขึ้นมาเพื่อใช้พิสูจน์ตัวตนแทน Password สามารถเก็บข้อมูลซึ่งใช้ในการแสดงความเป็นตัวตนได้ มีระบบรักษาความปลอดภัยในตัวเอง Biometrics ใช้ในการพิสูจน์ตัวตนโดยใช้อวัยวะส่วนต่าง ๆ ของตนเองเป็นเครื่องยืนยัน ป้องกันการเดา Password หรือการขโมย Smart Card เช่น Finger Print, Retina, Voice, Face , Palm หรือ Vein Recognition
Smart Card https://www.tesa.com/en-au/industry/smart-cards
Biometrics https://congnghe.vn/muc/kham-pha/tin/lay-dau-van-tay-de-truy-tim-toi-pham-nhu-the-nao-1968206 https://timelabs.wordpress.com/2015/01/06/a-look-at-top-5-biometric-face-recognition-systems-necessity/
Biometrics http://www.palmsure.com/technology.html
Biometrics https://www.popsci.com/seven-surprising-biometric-identification-methods
มาตรฐานการรักษาความปลอดภัยข้อมูล แม่แบบที่ได้รับความนิยมในระดับนานาชาติ คือ BS 7799 ถูกพัฒนาโดยประเทศอังกฤษ ประกอบด้วย 2 ส่วน คือ BS 7799-1 ต่อมาเปลี่ยนเป็น ISO/IEC 17799 : Information Technology Code of Practice for Information Security Management BS 7799-2 ต่อมาได้รับการยอมรับเป็นมาตรฐาน ISO/IEC 27001 : Information Security Management : Specification with Guidance for Use
BS 7799-1 (ISO/IEC 17799)
BS 7799-2 (ISO/IEC 27001)
มาตรฐานการรักษาความปลอดภัยข้อมูล(อื่นๆ) ISO/IEC TR 13335 : Guidelines for the Management of IT Security เป็นการจัดทำ Technical Report เพื่อระบุภัยคุกคาม จุดอ่อน และช่องโหว่ของระบบ รวมถึงแนวทางการประเมินความเสี่ยงและแนวทางลดความเสี่ยง ISO/IEC 15408 : 2005/Common Criteria/ITSEC : ใช้เป็นเกณฑ์ในการวัดระดับความมั่นคงปลอดภัย ITIL (Information Technology Infrastructure Library) : เป็นแนวปฏิบัติเกี่ยวกับโครงสร้างพื้นฐานของเทคโนโลยีสารสนเทศขององค์กร
มาตรฐานการรักษาความปลอดภัยข้อมูล(อื่นๆ) FIPS PUB 200 (The federal Information Processing Standards Publication 200) : ข้อกำหนดขั้นต่ำสำหรับความต้องการด้านความมั่นคงปลอดภัยของหน่วยงานรัฐ ของสหรัฐอเมริกา NIST 800-14 (National Institute of Standard and Technology 800-14) : กฎพื้นฐานด้าน Computer Security ขององค์กรเพื่อป้องกันปัญหาอาชญากรรมคอมพิวเตอร์และการละเมิดความมั่นคงปลอดภัยข้อมูลสารสนเทศ IT BPM (Information Technology Baseline Protection Manual) : เป็นคู่มือแนะนำการรักษาความมั่นคงปลอดภัยระบบ เป็นเกณฑ์ขั้นต่ำที่ควรต้องปฏิบัติ
มาตรฐานการรักษาความปลอดภัยข้อมูล(อื่นๆ) COBIT (Control Objective for Information Related Technology) : ใช้สำหรับพัฒนาระบบเทคโนโลยีสารสนเทศให้มีประสิทธิภาพและคุ้มทุน แพร่หลายในกลุ่มธุรกิจการเงินและธนาคาร แต่ไม่เน้นเรื่องความปลอดภัย COSO (The Committee of Sponsoring Organizations) : กรอบปฏิบัติที่ช่วยในการตรวจสอบกิจการภายในองค์กรให้มีความเที่ยงตรงและโปร่งใส น่าเชื่อถือ โดยเฉพาะกลุ่มธุรกิจการเงินและธนาคาร