บทที่ 1 ภาพรวมความมั่นคงปลอดภัยของสารสนเทศ รายวิชา การจัดการความปลอดภัยในระบบคอมพิวเตอร์ อาจารย์พลอยพรรณ สอนสุวิทย์ http://ployphan17.wordpress.com ployphan.en@gmail.com 088-2797799

1. ความมั่นคงปลอดภัยของสารสนเทศคืออะไร ความมั่นคงปลอดภัย (security) คือสถานะที่มีความปลอดภัย ไร้กังวล กล่าวคือ อยู่ ในสถานะที่ไม่มีอันตรายและได้รับการป้องกันจากภัยอันตรายทั้งที่เกิดขึ้นโดยตั้งใจ หรือโดยบังเอิญ [E. Whitman and J. Mattord, 20058] ความมั่นคงปลอดภัยของสารสนเทศ (Information Security) คือ การป้องกัน สารสนเทศและองค์ประกอบอื่นๆ ที่เกี่ยวข้อง ซึ่งรวมถึงระบบฮาร์ดแวร์ที่ใช้ในการ จัดเก็บและโอนสารสนเทศนั้นด้วย (www.cnss.gov)

จากนิยามความมั่นคงข้างต้น สรุปเป็นภาพได้ดังนี้ Policy Information Security Management Network Security Computer & Data Security

2. แนวคิดหลักของความมั่นคงปลอดภัยสารสนเทศ กลุ่มอุตสาหกรรมความมั่นคงปลอดภัยของคอมพิวเตอร์ ได้กำหนดแนวคิดขึ้นเรียกว่า C.I.A Triangle ดังนี้ Confidentiality Security Objective Integrity Availability

Confidentiality (ความลับ) เป็นการรับประกันว่า ผู้มีสิทธิ์และได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลได้ : สารสนเทศที่ถูกเข้าถึงโดยบุคคลที่ไม่มีสิทธิ์หรือไม่ได้รับอนุญาต จะถือเป็นสารสนเทศ ที่เป็นความลับถูกเปิดเผย ซึ่งองค์กรต้องมีมาตรการป้องกัน เช่น การจัดประเภทของสารสนเทศ การรักษาความปลอดภัยให้กับแหล่งข้อมูล การกำหนดนโยบายความมั่นคงปลอดภัยและนำไปใช้งาน การให้การศึกษาแก่ทีมงานความมั่นคลปลอดภัยและนำไปใช้

Integrity (ความสมบูรณ์) หมายถึงความครบถ้วนถูกต้อง และไม่มีสิ่งปลอมปน ดังนั้น สารสนเทศที่มีความ สมบูรณ์จึงเป็นสารสนเทศที่นำไปใช้ประโยชน์ได้อย่างถูกต้องและครบถ้วน เช่น ถูกทำให้เสียหาย ไฟล์หาย เนื่องจาก virus, worm หรือ Hacker ทำการ ปลอมปน สร้างความเสียหายให้กับข้อมูลองค์กรได้ ยอดเงินในบัญชีธนาคาร หรือ แก้ไขราคาในการสั่งซื้อ

Availability (ความพร้อมใช้) หมายถึงสารสนเทศจะถูกเข้าใช้หรือเรียกใช้งานได้อย่างราบรื่น โดยผู้ใช้ระบบอื่นที่ ได้รับอนุญาตเท่านั้น หากเป็นผู้ใช้ระบบที่ไม่ได้รับอนุญาต การเข้าถึงก็จะล้มเหลวถูก ขัดขวาง เช่น การป้องกันเนื้อหางานวิจัยในห้องสมุด เนื้อหางานวิจัยจะพร้อมใช้ต่อผู้ใช้ที่ได้รับ อนุญาต คือสมาชิกของห้องสมุดนั่นเอง ดังนั้น จึงต้องมีการระบุตัวตน (Identification) ว่าเป็นสมาชิกห้องสมุดและพิสูจน์ได้ว่าได้รับอนุญาตจริง (Authorization)

3. องค์ประกอบของระบบสารสนเทศกับความมั่นคงปลอดภัย Software Hardware Data People  Social Engineering ? (Quiz#1) Procedure Network

4. อุปสรรคของงานความมั่นคงปลอดภันของสารสนเทศ ความมั่นคงปลอดภัย คือความไม่สะดวก : ต้องเสียเวลาป้อนรหัสผ่านพิสูจน์ตัวตน มีความซับซ้อนบางอย่างที่ผู้ใช้ทั่วไปไม่ทราบ : Port, Services ต่างๆที่ผู้ใช้ทั่วไปไม่ ทราบ และไม่ได้ระวังความปลอดภัย ผู้ใช้ไม่ระวัง : ไม่ชำนาญและไม่ระวัง จึงตกเป็นเหยื่อของการโจมตี การพัฒนาซอฟต์แวร์ไม่คำนึงถึงความปลอดภัย หรือคำนึงถึงในภายหลัง แนวโน้มเทคโนโลยีคือการแบ่งปัน ไม่ใช่การป้องกัน : Social Network  Facebook, Twitter, Google+ มีการเข้าถึงได้ทุกสถานที่ : smart phone, online storage มิจฉาชีพมีความเชี่ยวชาญ ผู้บริหารองค์กรไม่ให้ความสำคัญ

5. วงจรการพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศ Investigation Analysis Logical Design Implementation Maintenance and Change Repeat