: information security (ความมั่นคงปลอดภัยของสารสนเทศ)

Slides:



Advertisements
งานนำเสนอที่คล้ายกัน
รายละเอียดวิชา ง การงานพื้นฐาน4(คอมพิวเตอร์2)
Advertisements

คลิก เข้าสู่การเรียนรู้
Private Key Crypto หรือ Single-key algorithm หรือ one-key algorithm
บทที่ 3 การตรวจสอบระบบปฏิบัติการ
อ.กิตติพงศ์ เซ่งลอยเลื่อน อาจารย์พิเศษ มหาวิทยาลัยแม่โจ้
คุณธรรมในการใช้เทคโนโลยีสารสนเทศ
คอมพิวเตอร์เพื่องานอาชีพ
Work From Anywhere To University
Accessing the Internet
Switch Security ในการสำรวจ “การก่ออาชญากรรม และ ละเมิดความปลอดภัยในคอมพิวเตอร์” ที่ดำเนินโดยสถาบัน Computer Security Institute ร่วมกับ FBI เมื่อปี 2545.
บทที่ 9 นวัตกรรมและเทคโนโลยี สารสนเทศในอนาคต
พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.๒๕๕๐
อาชญากรรมทางคอมพิวเตอร์ (Computer Crime)
ประโยชน์และโทษของการใช้งานคอมพิวเตอร์
ระบบธุรกิจการป้องกันอัคคีภัย...!!!
เทคโนโลยีสารสนเทศ และการสื่อสาร.
ระบบฐานข้อมูล ข้อมูลมีความสำคัญมากต่อองค์การ ดังนั้นจะต้องมีการจัดเก็บที่เป็นระบบ สามารถค้นหาได้ง่าย เพื่อที่นำมาใช้ให้ทันเวลา ในการตัดสินใจของผู้บริหาร.
ระบบสารสนเทศ เพื่อการจัดการ และกรณีศึกษา
ปฏิบัติการที่ 13 การใช้งาน Online Bookmarking
มาตรการป้องกัน.
ภัยคุกคามด้านความปลอดภัย
หน่วยที่ 1 เทคโนโลยีสารสนเทศ.
การจัดการองค์ความรู้ การจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสาร ศูนย์สารสนเทศ.
Biometric ความหมายของเทคโนโลยี Biometric ความเป็นมาเกี่ยวกับ Biometric
ประเด็นด้านจริยธรรมในการใช้ข้อมูล ข่าวสาร
ICT สู่ห้องเรียนคุณภาพ
Client Security: A Framework For Protection June 19, 2006 Natalie Lambert and teams, Forrester Research, Inc., 400 Technology Square Cambridge, MA
การวางแผนและ การจัดทำ IT Audit
ความปลอดภัยของฐานข้อมูล
ผู้เชี่ยวชาญด้านโปรแกรมระบบบัญชีสหกรณ์
การบริหาร และการจัดการเพื่อลดความเสี่ยง ศูนย์เทคโนโลยีสารสนเทศ
เครือข่ายสังคมออนไลน์ (Socail Network)
ความรู้พื้นฐานทางคอมพิวเตอร์ธุรกิจ
การออกแบบฐานข้อมูลและการบริหารธุรกิจ
ระบบเครือข่ายคอมพิวเตอร์ (Computer Network)
คำถามตามเกณฑ์ PMQA:105คำถาม หมวด4 10คำถาม.
ความต้องการเชิงคุณภาพ (Qualitative Requirements)
คุณธรรมและจริยธรรม สำหรับ วิทยาการคอมพิวเตอร์
ข้อมูลและสารสนเทศ.
ข้อมูลพื้นฐานของระบบ Internet Intranet Extranet
: information Security (ความมั่นคงปลอดภัยของสารสนเทศ)
: information security (ความมั่นคงปลอดภัยของสารสนเทศ)
ผงะ ! แม่ค้ากดเงิน ตู้ ATM เจอแบงก์พันถูก ไฟไหม้.
กรณีศึกษา “แฮกเกอร์เยอรมันแฮกระบบสแกนรอยนิ้วมือ ไอโฟน 5 เอส”
หน่วยที่ 7 จริยธรรมและความปลอดภัย
การนำระบบเทคโนโลยีสารสนเทศมาสนับสนุนการทำงาน
บทบาทของ สารสนเทศ จัดทำโดย น. ส อมรรัตน์ เม่งบุตร 002.
บริการ ICT ที่เป็นเลิศและเข้าถึงได้
ชื่อโครงการ การขายสินค้าออนไลน์
-เครื่องมือสำหรับการรักษาความปลอดภัยของระบบสารสนเทศ - ไฟรว์วอลล์
WINTER 01 การบริหารความเสี่ยง ด้านการรักษาความปลอดภัย ระบบสารสนเทศ
เรื่อง คุณธรรมในการใช้เทคโนโลยีสารสนเทศ วิชา คอมพิวเตอร์ จัดทำโดย
จริยธรรม และ กฎหมายเทคโนโลยีสารสนเทศ
พระราชบัญญัติว่าด้วยการกระทำผิด เกี่ยวกับคอมพิวเตอร์ พ. ศ. ๒๕๕๐.
แผนการจัดการเรียนรู้ที่
วัตถุประสงค์ เพื่อให้นักศึกษาเข้าใจมาตรการความปลอดภัยขั้นพื้นฐาน
เทคโนโลยีสารสนเทศ และการสื่อสาร
เทคโนโลยีไร้สาย Department of Informatics, Phuket Rajabhat University. THAILAND.
เทคโนโลยีสารสนเทศ.
เทคโนโลยีสารสนเทศ.
บทที่ 2 ภัยคุกคาม ช่องโหว่ และการโจมตี
ภัยจากเจ้าหน้าที่หรือบุคลากรของหน่วยงาน
รูปร่างเครือข่ายคอมพิวเตอร์
การใช้ Green ICT ในองค์กร แบบพอเพียง
ความหมายและบทบาทของ เทคโนโลยีสารสนเทศ
1. ไม่ควรให้ข้อมูลที่เป็นเท็จ 2. ไม่บิดเบือนความถูกต้องของข้อมูล ให้ผู้รับคนต่อไป ได้ข้อมูลที่ไม่ถูกต้อง 3. ไม่ควรเข้าถึงข้อมูลของผู้อื่นโดยไม่ได้รับอนุญาต.
เนื่องจากในปัจจุบันเทคโนโลยีคอมพิวเตอร์ มีการ เชื่อมโยงกันทางเครือข่ายอินเทอร์เน็ต ย่อมมีข้อมูลสารสนเทศที่ส่งผ่าน จากผู้ส่ง ไปยัง ผู้รับ และหากเครือข่ายอินเทอร์เน็ตนั้น.
เนื้อหา  ภัยอันตรายจากอินเตอร์เน็ต  การเลือกใช้ AntiVirus  รู้จักกับ Bitdefender  การติดตั้ง Bitdefender  การปรับแต่ง Bitdefender.
โครงการด้านเทคโนโลยีสารสนเทศที่ดำเนินการในปีงบประมาณ 2553
ประเด็น ( ปัญหา ) ที่เกี่ยวข้องกับ ความผิด (Liability) ประเด็น ( ปัญหา ) ที่เกี่ยวกับ คุณภาพของระบบ : คุณภาพข้อมูลและ ความผิดพลาดจากระบบ (Data quality.
ใบสำเนางานนำเสนอ:

8311301 : information security (ความมั่นคงปลอดภัยของสารสนเทศ) Department of Informatics, Phuket Rajabhat University. THAILAND

บทที่ 1 ภาพรวมความมั่นคงปลอดภัยของสารสนเทศ Department of Informatics, Phuket Rajabhat University. THAILAND

ความมั่นคงปลอดภัยของสารสนเทศ (Information Security) คืออะไร ความมั่นคงปลอดภัยของสารสนเทศ คือ กระบวนการในการยับยั้งและการป้องกันภัย คุกคามต่าง ๆ ที่เกิดขึ้นหรืออาจจะเกิดขึ้นกับสารสนเทศ ระบบสารสนเทศ และบริการของ ระบบสารสนเทศ

ภัยคุกคาม (Threats) คืออะไร ภัยคุกคาม หมายถึง การกระทำและ/หรือเหตุการณ์ใด ๆ ที่ทำให้ระบบสารสนเทศไม่มี ความมั่นคงปลอดภัย ที่มาของภัยคุกคาม คน เช่น ตั้งรหัสผ่านง่ายเกินไป อุปกรณ์ เช่น ฮาร์ดแวร์พัง ซอฟต์แวร์ทำงานผิดพลาด ฯลฯ ภัยธรรมชาติ เช่น ไฟไหม้ น้ำท่วม แผ่นดินไหว ฯลฯ ภัยคุกคามอาจเป็นอุบัติเหตุหรือเป็นการจงใจทำให้เกิดขึ้นก็ได้

แนวโน้ม (Trend) ของภัยคุกคามที่มีต่อระบบสารสนเทศ Source : http://www.cert.org/stats/ มีข้อมูลจากศูนย์ประสานงานการรักษาความมั่นคงปลอดภัยคอมพิวเตอร์ ของสถาบันวิศกรรมซอฟต์แวร์ มหาวิทยาลัยคาร์เนกีเมลอน สหรัฐอเมริกา พบว่าแนวโน้มภัยคุกคามที่มีต่อระบบสารสนเทศมีแนวโน้มขยายตัวอย่างต่อเนื่อง

สาเหตุที่ทำให้ภัยคุกคามที่มีต่อข้อมูลสารสนเทศมีแนวโน้มขยายตัว มีการประยุกต์ใช้ ICT ในด้านต่าง ๆ มากขึ้น (ทุกอย่างใช้คอมพิวเตอร์ควบคุม) มีจำนวนผู้ใช้อินเทอร์เน็ตที่เพิ่มสูงขึ้นอย่างต่อเนื่อง (มีทั้งคนดีและคนไม่ดี) เครื่องมือในการสร้างภัยคุกคามหาได้ง่ายจากอินเตอร์เน็ต (อยากรู้อะไรถาม Google) เครื่องมือในการสร้างภัยคุกคามใช้งานได้ง่าย (ขอแค่คลิกเมาส์เป็นก็ใช้ได้) ผู้ใช้ขาดความใส่ใจในเรื่องของความมั่นคงปลอดภัย

มูลค่าความเสียหาย Source : http://gocsi.com/sites/default/files/uploads/CSIsurvey2008.pdf ข้อมูลจากการสำรวจของ CSI พบว่า มูลค่าความเสียหายที่เกิดจากภัยคุกคามต่าง ๆ มีมูลค่างสูงนับล้านบาทเลยทีเดียว ที่น่าสังเกตุในช่วงปี 2001-2002 มีมูลค่าความเสียหายสูงมากเนื่องจากการระบาดของหนอนอินเทอร์เน็ต (Worm) เช่น Nimda, Code Red, Love Bug

ประเภทของภัยคุกคาม

ประเภทของภัยคุกคาม Passive threats Active threats เป็นการแอบดูข้อมูลระหว่างการส่ง ไม่มีการแก้ไข/เปลี่ยนแปลงข้อมูล ยากต่อการตรวจจับ แต่สามารถป้องกันได้ ตัวอย่าง เช่น Sniffer Wiretap Social engineering มีการแก้ไข/เปลี่ยนแปลงข้อมูล ง่ายต่อการตรวจจับ แต่ป้องกันได้ยาก ตัวอย่าง เช่น Virus Worm Trojan Horse ฯลฯ

ความสำคัญของ Information Security เป็นการป้องกันและ/หรือลดมูลค่าความเสียหายที่อาจจะเกิดขึ้น ช่วยให้ธุรกิจสามารถดำเนินงานได้อย่างต่อเนื่อง เพิ่มโอกาสทางธุรกิจ ช่วยให้องค์กรมีภาพลักษณ์ที่ดี ผู้มีส่วนได้ส่วนเสีย (Stakeholder : ลูกค้า คู่ค้า ผู้ถือหุ้น) เกิดความเชื่อมั่น

ภาพรวมความมั่นคงปลอดภัยของสารสนเทศ

ส่วนผสมทางด้านความมั่นคงปลอดภัย People Process Technology Security

ธรรมชาติของความมั่นคงปลอดภัย ความมั่นคงปลอดภัยเป็นเรื่องของความเสี่ยงดังนั้นจึงไม่มีคำว่า “ร้อยเปอร์เซ็นต์” ความมั่นคงปลอดภัยมักจะสวนทางกับความสะดวกสบายเสมอ ความมั่นคงปลอดภัยเป็นเรื่องของกระบวนการไม่ใช่เรื่องของเทคโนโลยีชั้นสูง Security Comfortable

แนวความคิดหลักที่ใช้ในการรักษาความมั่นคงปลอดภัยสารสนเทศ Confidentiality (การรักษาความลับ) การรับรองว่าจะมีการเก็บรักษาสารสนเทศไว้เป็นความลับและจะมีเพียงผู้ที่มีสิทธิ เท่านั้นที่สามารถจะเข้าถึงสารสนเทศเหล่านั้นได้

แนวความคิดหลักที่ใช้ในการรักษาความมั่นคงปลอดภัยสารสนเทศ Integrity (ความสมบูรณ์) การรับรองว่าสารสนเทศจะไม่ถูกกระทำการใด ๆ อันมีผลทำให้สารสนเทศเกิดการ เปลี่ยนแปลงหรือแก้ไขจากผู้ไม่มีสิทธิหรือกล่าวอีกนัยหนึ่งว่าสารสนเทศจะมีความ สมบูรณ์ถูกต้องตลอดเวลา

แนวความคิดหลักที่ใช้ในการรักษาความมั่นคงปลอดภัยสารสนเทศ Availability (ความพร้อมใช้) การรับรองว่าระบบสารสนเทศมีความพร้อมที่จะให้บริการได้ในเวลาที่ต้องการใช้งาน

แนวความคิดหลักที่ใช้ในการรักษาความมั่นคงปลอดภัยสารสนเทศ Authentication (การพิสูจน์ตัวตน) การตรวจสอบสิทธิ์ในการเข้าใช้งานระบบสารสนเทศของบุคคลใดบุคคลหนึ่ง

แนวความคิดหลักที่ใช้ในการรักษาความมั่นคงปลอดภัยสารสนเทศ Authorization (การพิสูจน์สิทธิ์) ตรวจสอบสิทธิ์ในการดำเนินการอย่างใดอย่างหนึ่งต่อระบบสารสนเทศของบุคคลที่ได้รับ อนุญาติให้เข้าใช้งานระบบสารสนเทศ

แนวความคิดหลักที่ใช้ในการรักษาความมั่นคงปลอดภัยสารสนเทศ Non-repudiation (การไม่ปฎิเสธการกระทำ) การป้องกันการปฎิเสธการรับผิดชอบในการดำเนินการอย่างหนึ่งอย่างใดต่อระบบ สารสนเทศของผู้ใช้ระบบสารสนเทศ

ช่องโหว่ (Vulnerabilities) ช่องโหว่ คือ จุดอ่อนของระบบสารสนเทศ ที่อาจจะทำให้ระบบสารสนเทศไม่มีความปลอดภัยจากภัยคุกคามต่าง ๆ หากละเลยในการค้นหาช่องโหว่อาจเป็นสาเหตุให้เกิดความเสียได้ง่าย ดังตัวอย่าง ช่องโหว่เกี่ยวกับฮาร์ดแวร์ ไม่ล็อคประตู ช่องโหว่เกี่ยวกับซอฟต์แวร์ ไม่อัพเดทฐานข้อมูลไวรัส ช่องโหว่เกี่ยวกับนโยบาย ไม่มีการทบทวนนโยบายความปลอดภัยฯ

การโจมตี (Attack) การโจมตี หมายถึง การกระทำใด ๆ ก็ตามที่เป็นการพยายามบุกรุกผ่านระบบรักษาความ ปลอดภัยฯ รูปแบบของการโจมตีระบบเครือข่ายสารสนเทศ Interruption Interception Modification Fabrication

รูปแบบการโจมตีระบบสารสนเทศ

Questions 