8311301 : information security (ความมั่นคงปลอดภัยของสารสนเทศ) Department of Informatics, Phuket Rajabhat University. THAILAND

บทที่ 1 ภาพรวมความมั่นคงปลอดภัยของสารสนเทศ Department of Informatics, Phuket Rajabhat University. THAILAND

ความมั่นคงปลอดภัยของสารสนเทศ (Information Security) คืออะไร ความมั่นคงปลอดภัยของสารสนเทศ คือ กระบวนการในการยับยั้งและการป้องกันภัย คุกคามต่าง ๆ ที่เกิดขึ้นหรืออาจจะเกิดขึ้นกับสารสนเทศ ระบบสารสนเทศ และบริการของ ระบบสารสนเทศ

ภัยคุกคาม (Threats) คืออะไร ภัยคุกคาม หมายถึง การกระทำและ/หรือเหตุการณ์ใด ๆ ที่ทำให้ระบบสารสนเทศไม่มี ความมั่นคงปลอดภัย ที่มาของภัยคุกคาม คน เช่น ตั้งรหัสผ่านง่ายเกินไป อุปกรณ์ เช่น ฮาร์ดแวร์พัง ซอฟต์แวร์ทำงานผิดพลาด ฯลฯ ภัยธรรมชาติ เช่น ไฟไหม้ น้ำท่วม แผ่นดินไหว ฯลฯ ภัยคุกคามอาจเป็นอุบัติเหตุหรือเป็นการจงใจทำให้เกิดขึ้นก็ได้

แนวโน้ม (Trend) ของภัยคุกคามที่มีต่อระบบสารสนเทศ Source : http://www.cert.org/stats/ มีข้อมูลจากศูนย์ประสานงานการรักษาความมั่นคงปลอดภัยคอมพิวเตอร์ ของสถาบันวิศกรรมซอฟต์แวร์ มหาวิทยาลัยคาร์เนกีเมลอน สหรัฐอเมริกา พบว่าแนวโน้มภัยคุกคามที่มีต่อระบบสารสนเทศมีแนวโน้มขยายตัวอย่างต่อเนื่อง

สาเหตุที่ทำให้ภัยคุกคามที่มีต่อข้อมูลสารสนเทศมีแนวโน้มขยายตัว มีการประยุกต์ใช้ ICT ในด้านต่าง ๆ มากขึ้น (ทุกอย่างใช้คอมพิวเตอร์ควบคุม) มีจำนวนผู้ใช้อินเทอร์เน็ตที่เพิ่มสูงขึ้นอย่างต่อเนื่อง (มีทั้งคนดีและคนไม่ดี) เครื่องมือในการสร้างภัยคุกคามหาได้ง่ายจากอินเตอร์เน็ต (อยากรู้อะไรถาม Google) เครื่องมือในการสร้างภัยคุกคามใช้งานได้ง่าย (ขอแค่คลิกเมาส์เป็นก็ใช้ได้) ผู้ใช้ขาดความใส่ใจในเรื่องของความมั่นคงปลอดภัย

มูลค่าความเสียหาย Source : http://gocsi.com/sites/default/files/uploads/CSIsurvey2008.pdf ข้อมูลจากการสำรวจของ CSI พบว่า มูลค่าความเสียหายที่เกิดจากภัยคุกคามต่าง ๆ มีมูลค่างสูงนับล้านบาทเลยทีเดียว ที่น่าสังเกตุในช่วงปี 2001-2002 มีมูลค่าความเสียหายสูงมากเนื่องจากการระบาดของหนอนอินเทอร์เน็ต (Worm) เช่น Nimda, Code Red, Love Bug

ประเภทของภัยคุกคาม

ประเภทของภัยคุกคาม Passive threats Active threats เป็นการแอบดูข้อมูลระหว่างการส่ง ไม่มีการแก้ไข/เปลี่ยนแปลงข้อมูล ยากต่อการตรวจจับ แต่สามารถป้องกันได้ ตัวอย่าง เช่น Sniffer Wiretap Social engineering มีการแก้ไข/เปลี่ยนแปลงข้อมูล ง่ายต่อการตรวจจับ แต่ป้องกันได้ยาก ตัวอย่าง เช่น Virus Worm Trojan Horse ฯลฯ

ความสำคัญของ Information Security เป็นการป้องกันและ/หรือลดมูลค่าความเสียหายที่อาจจะเกิดขึ้น ช่วยให้ธุรกิจสามารถดำเนินงานได้อย่างต่อเนื่อง เพิ่มโอกาสทางธุรกิจ ช่วยให้องค์กรมีภาพลักษณ์ที่ดี ผู้มีส่วนได้ส่วนเสีย (Stakeholder : ลูกค้า คู่ค้า ผู้ถือหุ้น) เกิดความเชื่อมั่น

ภาพรวมความมั่นคงปลอดภัยของสารสนเทศ

ส่วนผสมทางด้านความมั่นคงปลอดภัย People Process Technology Security

ธรรมชาติของความมั่นคงปลอดภัย ความมั่นคงปลอดภัยเป็นเรื่องของความเสี่ยงดังนั้นจึงไม่มีคำว่า “ร้อยเปอร์เซ็นต์” ความมั่นคงปลอดภัยมักจะสวนทางกับความสะดวกสบายเสมอ ความมั่นคงปลอดภัยเป็นเรื่องของกระบวนการไม่ใช่เรื่องของเทคโนโลยีชั้นสูง Security Comfortable

แนวความคิดหลักที่ใช้ในการรักษาความมั่นคงปลอดภัยสารสนเทศ Confidentiality (การรักษาความลับ) การรับรองว่าจะมีการเก็บรักษาสารสนเทศไว้เป็นความลับและจะมีเพียงผู้ที่มีสิทธิ เท่านั้นที่สามารถจะเข้าถึงสารสนเทศเหล่านั้นได้

แนวความคิดหลักที่ใช้ในการรักษาความมั่นคงปลอดภัยสารสนเทศ Integrity (ความสมบูรณ์) การรับรองว่าสารสนเทศจะไม่ถูกกระทำการใด ๆ อันมีผลทำให้สารสนเทศเกิดการ เปลี่ยนแปลงหรือแก้ไขจากผู้ไม่มีสิทธิหรือกล่าวอีกนัยหนึ่งว่าสารสนเทศจะมีความ สมบูรณ์ถูกต้องตลอดเวลา

แนวความคิดหลักที่ใช้ในการรักษาความมั่นคงปลอดภัยสารสนเทศ Availability (ความพร้อมใช้) การรับรองว่าระบบสารสนเทศมีความพร้อมที่จะให้บริการได้ในเวลาที่ต้องการใช้งาน

แนวความคิดหลักที่ใช้ในการรักษาความมั่นคงปลอดภัยสารสนเทศ Authentication (การพิสูจน์ตัวตน) การตรวจสอบสิทธิ์ในการเข้าใช้งานระบบสารสนเทศของบุคคลใดบุคคลหนึ่ง

แนวความคิดหลักที่ใช้ในการรักษาความมั่นคงปลอดภัยสารสนเทศ Authorization (การพิสูจน์สิทธิ์) ตรวจสอบสิทธิ์ในการดำเนินการอย่างใดอย่างหนึ่งต่อระบบสารสนเทศของบุคคลที่ได้รับ อนุญาติให้เข้าใช้งานระบบสารสนเทศ

แนวความคิดหลักที่ใช้ในการรักษาความมั่นคงปลอดภัยสารสนเทศ Non-repudiation (การไม่ปฎิเสธการกระทำ) การป้องกันการปฎิเสธการรับผิดชอบในการดำเนินการอย่างหนึ่งอย่างใดต่อระบบ สารสนเทศของผู้ใช้ระบบสารสนเทศ

ช่องโหว่ (Vulnerabilities) ช่องโหว่ คือ จุดอ่อนของระบบสารสนเทศ ที่อาจจะทำให้ระบบสารสนเทศไม่มีความปลอดภัยจากภัยคุกคามต่าง ๆ หากละเลยในการค้นหาช่องโหว่อาจเป็นสาเหตุให้เกิดความเสียได้ง่าย ดังตัวอย่าง ช่องโหว่เกี่ยวกับฮาร์ดแวร์ ไม่ล็อคประตู ช่องโหว่เกี่ยวกับซอฟต์แวร์ ไม่อัพเดทฐานข้อมูลไวรัส ช่องโหว่เกี่ยวกับนโยบาย ไม่มีการทบทวนนโยบายความปลอดภัยฯ

การโจมตี (Attack) การโจมตี หมายถึง การกระทำใด ๆ ก็ตามที่เป็นการพยายามบุกรุกผ่านระบบรักษาความ ปลอดภัยฯ รูปแบบของการโจมตีระบบเครือข่ายสารสนเทศ Interruption Interception Modification Fabrication

รูปแบบการโจมตีระบบสารสนเทศ

Questions 