งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

Internet Technology and Security System

ได้พิมพ์โดยสุภาพ สมิธ ได้เปลี่ยน 5 ปีที่แล้ว

งานนำเสนอที่คล้ายกัน

งานนำเสนอเรื่อง: "Internet Technology and Security System"— ใบสำเนางานนำเสนอ:

1 Internet Technology and Security System
โดย อ.ศุภกร รัศมีมณฑล

2 กระบวนการรักษาความปลอดภัยข้อมูล
การรักษาความปลอดภัยเชิงรับ: ค่าใช้จ่ายการรักษาความปลอดภัย = (ค่าความเสียหายเมื่อเกิดเหตุการณ์) + ค่าใช้จ่ายในการติดตั้งระบบป้องกัน การรักษาความปลอดภัยเชิงรุก: ค่าใช้จ่ายการรักษาความปลอดภัย = ค่าใช้จ่ายในการติดตั้งระบบป้องกัน

3 กระบวนการรักษาความปลอดภัยข้อมูล(ต่อ)
ขั้นตอนของกระบวนการรักษาความปลอดภัย การประเมินความเสี่ยง กำหนดนโยบาย การติดตั้งระบบป้องกัน การฝึกอบรม การตรวจสอบ -> กลับไปข้อ 1 ใหม่

4 การบริหารความเสี่ยง ความเสี่ยงเป็นพื้นฐานให้เกิดการรักษาความปลอดภัย
จุดอ่อนหรือช่องโหว่ให้เกิดความเสี่ยง ภัยคุกคามต่อจุดอ่อน เป้าหมาย (ความลับ, ความคงสภาพ, ความพร้อมใช้งาน) ผู้โจมตี (การเข้าถึง, ความรู้, แรงจูงใจ) ใครบ้าง? เหตุการณ์: วิธีการที่ผู้โจมตีอาจทำอันตรายต่อองค์กร ความเสี่ยง = จุดอ่อน + ภัยคุกคาม

5 การประเมินความเสี่ยง
ผลจากการประเมินคือข้อแนะนำวิธีป้องกัน การประเมินมี 6 ขั้นตอน กำหนดขอบเขต เก็บรวบรวมข้อมูล วิเคราะห์นโยบายและระเบียบปฏิบัติ วิเคราะห์ภัยคุกคาม วิเคราะห์จุดอ่อนหรือช่องโหว่ ประเมินความเสี่ยง

6 การประเมินความเสี่ยง (ต่อ)
กำหนดขอบเขต เป็นขั้นตอนสำคัญที่สุด จะระบุสิ่งที่จะประเมิน, สิ่งที่ต้องการป้องกัน, รายการสิ่งต่างๆ ที่จะประเมิน เก็บรวบรวมข้อมูล สิ่งที่รวบรวมได้แก่ เซอร์วิสแพ็ค, เซอร์วิสที่เปิดบริการ, เวอร์ชันโอเอส, สถานที่ตั้งระบบ, บริการไวร์เลสแลน, ระบบ IDS, ระบบโทรศัพท์, ไฟร์วอลล์, ระบบเครือข่าย ( )

7 การประเมินความเสี่ยง (ต่อ)
วิเคราะห์นโยบายและระเบียบปฏิบัติ ตรวจสอบส่วนใดขององค์กรที่ไม่ได้มาตรฐานความปลอดภัย และส่วนใดที่ไม่จำเป็นหรือจำเป็นต้องเป็นไปตามมาตรฐาน วิเคราะห์ภัยคุกคาม 1. ฮาร์ดแวร์ (ระบบไฟฟ้า, ภัยธรรมชาติ, ขโมย) 2. ซอฟต์แวร์ (ลบ, แก้ไข, ขโมย, Trojan, Virus, Trapdoor) 3. ข้อมูล (ขโมย, แก้ไข, ทำให้ใช้ไม่ได้)

8 การประเมินความเสี่ยง (ต่อ)
วิเคราะห์จุดอ่อนหรือช่องโหว่ เครื่องมือวิเคราะห์หาได้แก่ Nessus ( GFILANGuard ( Retina ( SAINT ( ปัญหาการใช้เครื่องมือคือ การวิเคราะห์ข้อมูลที่ได้มา ผู้ใช้ต้องมีความรู้เรื่องความปลอดภัย

9 การประเมินความเสี่ยง (ต่อ)
ประเมินความเสี่ยง มีจุดมุ่งหมายคือ 1. ประเมินค่าทรัพย์สินประเภทข้อมูล 2. ประเมินความเสี่ยงต่อ ความลับ ความคงสภาพ ความพร้อมใช้ 3. ตรวจสอบค้นหาจุดอ่อน 4. ประเมินความเสี่ยงทรัพย์สินประเภทข้อมูล 5. แนะนำปฏิบัติต่อข้อมูลเพื่อลดความเสี่ยงที่ยอมรับได้ 6. เป็นข้อมูลรากฐานการวางระบบรักษาความปลอดภัย

10 การประเมินความเสี่ยง (ต่อ)
ประเมินความเสี่ยง แบ่งออกเป็น 5 ระดับคือ 1. การวิเคราะห์ในระดับระบบ (หาจุดอ่อนคอมฯในระบบและตรวจสอบให้เป็นไปตามนโยบายรักษาความปลอดภัย) 2. การวิเคราะห์ในระดับเครือข่าย 3. การวิเคราะห์ระดับองค์กร (ดูต่อ) 4. การตรวจสอบ (ตรวจนโยบายและการปฏิบัติตาม) 5. การทดสอบเจาะระบบ (ภายใน, ภายนอก)

11 การประเมินความเสี่ยง (ต่อ)
การวิเคราะห์ระดับองค์กร ควรตรวจสอบสิ่งต่อไปนี้ 1. ระบบเครือข่าย (ดูผังระบบ, ใช้ซอฟต์แวร์สแกนเครือข่ายดูการเชื่อมต่อ และ กลไกการควบคุมป้องกันเครือข่าย) 2. การรักษาความปลอดภัยทางกายภาพ (สถานที่, ผู้ดูแล, อุปกรณ์เก็บข้อมูล, เอกสาร, ระบบไฟฟ้า, อัคคีภัย) 3. นโยบายและระเบียบ (เหตุผล, สมบูรณ์, สอดคล้องกับธุรกิจ, สอดคล้องกับจุดประสงค์, ต้องปรับปรุง) 4. คำเตือนข้อระวัง (สำหรับการกู้คืนระบบ, แผนการ, การสำรอง)

12 การประเมินความเสี่ยง (ต่อ)
5. ความสนใจระมัดระวังของพนักงาน (การตื่นตัว) 6. พนักงาน (ความชำนาญการ) 7. ขวัญความตั้งใจทำงาน (ผู้บริหารเป็นแบบอย่าง, การสื่อสารพนักงาน) 8. ปริมาณงาน (งานมากขาดความสนใจความปลอดภัย) 9. ธุรกิจ (ความเสียหาย, จุดที่ข้อมูลผ่าน, อีคอมเมิร์ซ) เมื่อรวบรวมข้อมูลจากส่วนต่างๆ ต้องวิเคราะห์ข้อมูลอีกครั้งและนำเสนอ จากนั้น พัฒนานโยบายและแผนรักษาความปลอดภัย ปัจจัยอื่นงบประมาณ

13 นโยบาย นโยบายระเบียบปฏิบัติที่ต้องมี นโยบายข้อมูล (มักเริ่มต้นก่อน)
นโยบายการรักษาความปลอดภัย นโยบายการใช้งาน การสำรอง ระเบียบปฏิบัติการบริหารจัดการบัญชีผู้ใช้ ระเบียบปฏิบัติเมื่อเกิดเหตุการณ์ แผนการฟื้นฟูหลังภัยร้ายแรง

14 นโยบาย (ต่อ) ลำดับการกำหนดนโยบาย: ขึ้นกับความเสี่ยงขององค์กรขณะนั้น(1)(7)และระยะเวลาทำเอกสาร, อาจทำหลายๆ นโยบายพร้อมกันก็ได้ เพราะผู้ดูแลต่างกันเช่น (2)ผู้ดูแลระบบ, (3,5)ฝ่ายบุคคล, ข้อแนะนำเริ่มจากเล็กๆก่อน ปรับปรุงนโยบายที่ใช้อยู่ให้ทันสมัย: ทำโดยการรวบรวมจากเอกสารและวิเคราะห์หาจุดอ่อน, คณะทำงานมาจากภายในหรือนอก

15 การออกแบบและติดตั้งระบบรักษาความปลอดภัย
เป็นขั้นตอนการจัดหาเครื่องมือเทคนิคและระบบควบคุมทางกายภาพ หรือจ้างคน, ระบบรักษาความปลอดภัยมีดังนี้ 1. ระบบรายงานการักษาความปลอดภัย ติดตามการปฏิบัติของพนักงานและจุดอ่อนขององค์กร การดำเนินการมี -การเฝ้าระวังการใช้งานระบบ (ติดตามการฝ่าฝืนนโยบาย) -การสแกนช่องโหว่ของระบบ (ติดตามระวังจุดอ่อนระบบที่ติดตั้งใน เครือข่าย,install โดยใช้ค่า default) -การปฏิบัติตามนโยบาย (มี2วิธี 1.ด้วยมือ ใช้เวลานาน,สุ่มตรวจ 2.ใช้ ซอฟต์แวร์ติดตั้งไว้ในระบบที่ติตตั้งในเครือข่ายและรอรับรายงาน)

16 การออกแบบและติดตั้งระบบรักษาความปลอดภัย(ต่อ)
2. ระบบพิสูจน์ทราบตัวตน: ต้อง login ก่อนใช้ระบบ, มีการอบรมการใช้ระบบ, ต้องวางแผนก่อนติดตั้งโดยผู้ดูแลระบบและผู้รักษาความปลอดภัย 3. การักษาความปลอดภัยในการใช้งานอินเทอร์เน็ต: 1.ติดไฟร์วอลล์ทำหลังกำหนดโครงสร้างพื้นฐานของเครือข่าย 2.ใช้ VPN เข้ารหัสข้อมูลที่รับส่งในเครือข่าย 4. ระบบตรวจจับและป้องกันการบุกรุก (IDS): ติดตั้งหลังระบุ พ.ท.เสี่ยงแล้ว ต.ย. IDS: 1. ตรวจ logfile ด้วยมือ 2.ตรวจlogfile แบบอัตโนมัติ 3.Host-based IDS 4. Network-based IDS

17 การออกแบบและติดตั้งระบบรักษาความปลอดภัย(ต่อ)
5. การเข้ารหัสข้อมูล: แบ่งเป็นข้อมูลรับส่งในเครือข่ายและข้อมูลที่จัดเก็บไว้ มีสิ่งที่ต้องคำนึงถึงคือ - อัลกอริธึม(Private keyทำงานเร็ว,Public keyใช้กับ Digital Signature ได้ ) - การบริหารคีย์(Private keyต้องupdae keyบ่อย, Public keyต้องแจก Digital Certificate) - ความจำเป็นของข้อมูลที่ต้องเข้ารหัส

18 การออกแบบและติดตั้งระบบรักษาความปลอดภัย(ต่อ)
6. การรักษาความปลอดภัยด้านกายภาพ: มีผลต่อพนักงานในการปรับตัว ในการทำงานอาจมีบัตรประจำตัว รูปถ่าย และระบบพิสูจน์ตัวตน เสริมการทำงาน 7. คณะทำงาน: พัฒนานโยบายระบบรักษาความปลอดภัยและบังคับใช้ บางส่วนต้องมีผู้ดูแล 24ชมเช่นระบบพิสูจน์ทราบตัวตน ไฟร์วอลล์ และ IDS ,สิ่งสำคัญที่สุดคือ การรักษาความปลอดภัยขององค์กรเป็นหน้าที่ของพนักงานทุกคน

19 การฝึกอบรม สร้างความร่วมมือระหว่างองค์การโดยใช้สื่อวารสารและประกาศ
พนักงาน: ให้เห็นความสำคัญของการรักษาความปลอดภัย, หลักสูตรระยะสั้น ทำตอนปฐมนิเทศ หรือ 2ปี/ครั้ง ผู้ดูแลระบบ: ปรับความรู้เทคนิคการเจาะระบบ, การติดตั้งแพตท์, อบรมโดยผู้เชี่ยวชาญ นักพัฒนาแอพพลิเคชัน: เขียนโปรแกรมให้ปลอดภัย ผู้บริหาร: รับรายงานสถานภาพระบบและความก้าวหน้า นำเสนอเปรียบกับมาตาฐานความปลอดภัย คณะเจ้าหน้าที่ฝ่ายรักษาความปลอดภัย: ปรับปรุงความรู้

20 การตรวจสอบ ตรวจสอบการฝ่าฝืนนโยบายและระเบียบปฏิบัติ มี3ประเภท
การตรวจสอบการปฏิบัติตามนโยบาย: หาระดับความปลอดภัยที่คาดหวังไว้ถามจากคนในองค์กร หรือจ้างคนตรวจ สิ่งที่ตรวจทั้งระบบคือคอมพิวเตอร์และข้อมูล การประเมินโครงการใหม่: ประเมินโครงการใหม่/เก่าว่าทันสมัย? การทดลองเจาะระบบ: ควรกำหนดขอบเขตดำเนินการก่อน, วางแผนการดำเนินการ และแจ้งให้บุคคลในองค์กรทราบ อาจเจาะระบบทางกายภาพ

ดาวน์โหลด ppt Internet Technology and Security System

งานนำเสนอที่คล้ายกัน

การประเมินผลโครงการ บทที่ 9 ผศ.ญาลดา พรประเสริฐ yalada.

การประเมินผลโครงการ บทที่ 9 ผศ.ญาลดา พรประเสริฐ yalada.
ชุมชนนักปฏิบัติ CoP “ การปฏิบัติงานพัสดุไม่ ยากอย่างที่คิด ” เริ่มก่อตั้งแต่ปี 2551 -2556.

ชุมชนนักปฏิบัติ CoP “ การปฏิบัติงานพัสดุไม่ ยากอย่างที่คิด ” เริ่มก่อตั้งแต่ปี
จัดทำโดย น. ส. ดวงกมล งามอยู่เจริญ เลขที่ 8 น. ส. ณัชชา เชื้อตา เลขที่ 6 เตรียมบริหารธุรกิจปี 1.

จัดทำโดย น. ส. ดวงกมล งามอยู่เจริญ เลขที่ 8 น. ส. ณัชชา เชื้อตา เลขที่ 6 เตรียมบริหารธุรกิจปี 1.
ผู้นำเสนอ น. ส. สุทธินี มหามิตร ฝ่ายระบบคอมพิวเตอร์ สำนักบริการคอมพิวเตอร์ 30 พฤษภาคม 2550 ผู้นำเสนอ น. ส. สุทธินี มหามิตร ฝ่ายระบบคอมพิวเตอร์ สำนักบริการคอมพิวเตอร์

ผู้นำเสนอ น. ส. สุทธินี มหามิตร ฝ่ายระบบคอมพิวเตอร์ สำนักบริการคอมพิวเตอร์ 30 พฤษภาคม 2550 ผู้นำเสนอ น. ส. สุทธินี มหามิตร ฝ่ายระบบคอมพิวเตอร์ สำนักบริการคอมพิวเตอร์
วิธีการและเทคนิค การตรวจสอบ และการรายงาน ผลการตรวจสอบ ( Auditing )

วิธีการและเทคนิค การตรวจสอบ และการรายงาน ผลการตรวจสอบ ( Auditing )
การดำเนินงานโครงการ เมื่อได้รับอนุมัติงบประมาณ

การดำเนินงานโครงการ เมื่อได้รับอนุมัติงบประมาณ
กระบวนการถ่ายทอดความรู้

กระบวนการถ่ายทอดความรู้
เอกสารแนะนำการใช้งานระบบจัดเก็บและบันทึกข้อมูลทะเบียนพาณิชย์ (เบื้องต้น) โดย นายพชร อินทรวรพัฒน์ กรมพัฒนาธุรกิจการค้า.

เอกสารแนะนำการใช้งานระบบจัดเก็บและบันทึกข้อมูลทะเบียนพาณิชย์ (เบื้องต้น) โดย นายพชร อินทรวรพัฒน์ กรมพัฒนาธุรกิจการค้า.
ประเภทโครงงาน พัฒนาระบบ (System Development)

ประเภทโครงงาน พัฒนาระบบ (System Development)
การประเมินผลโครงการ คปสอ.คลองใหญ่.

การประเมินผลโครงการ คปสอ.คลองใหญ่.
การรักษาความปลอดภัยข้อมูลขั้นพื้นฐาน

การรักษาความปลอดภัยข้อมูลขั้นพื้นฐาน
นโยบายด้านโรคติดต่อ ศ. คลินิกเกียรติคุณ นพ. ปิยะสกล สกลสัตยาทร รัฐมนตรีว่าการกระทรวงสาธารณสุข.

นโยบายด้านโรคติดต่อ ศ. คลินิกเกียรติคุณ นพ. ปิยะสกล สกลสัตยาทร รัฐมนตรีว่าการกระทรวงสาธารณสุข.
การปรับโครงสร้าง โครงการส่งน้ำและบำรุงรักษาแม่ แตง.

การปรับโครงสร้าง โครงการส่งน้ำและบำรุงรักษาแม่ แตง.
ผลการดำเนินงาน ปีงบ ๒๕๕๘ ( ร่าง ) แผนปฏิบัติการฯ ปี งบ ๒๕๕๙ กลุ่มงานบริหารทั่วไป สำนักงานสาธารณสุข จังหวัดตราด.

ผลการดำเนินงาน ปีงบ ๒๕๕๘ ( ร่าง ) แผนปฏิบัติการฯ ปี งบ ๒๕๕๙ กลุ่มงานบริหารทั่วไป สำนักงานสาธารณสุข จังหวัดตราด.
มอบนโยบายการบริหารราชการให้กับหัวหน้าสถานีตำรวจ วันอังคารที่ 2 ๑ มิ. ย.59 เวลา 13.15 น. สำนักงานตำรวจแห่งชาติ

มอบนโยบายการบริหารราชการให้กับหัวหน้าสถานีตำรวจ วันอังคารที่ 2 ๑ มิ. ย.59 เวลา น. สำนักงานตำรวจแห่งชาติ
ทิศทางการนำระบบบริหาร จัดการคลังข้อสอบ และการทดสอบมาตรฐานฝีมือ แรงงาน ด้วยระบบอิเล็กทรอนิกส์สู่หน่วย ปฏิบัติ โดย วรรณี โกมลกวิน ผู้อำนวยการกลุ่มงานกำหนด.

ทิศทางการนำระบบบริหาร จัดการคลังข้อสอบ และการทดสอบมาตรฐานฝีมือ แรงงาน ด้วยระบบอิเล็กทรอนิกส์สู่หน่วย ปฏิบัติ โดย วรรณี โกมลกวิน ผู้อำนวยการกลุ่มงานกำหนด.
บทที่ 3 นักวิเคราะห์ระบบและการ วิเคราะห์ระบบ. 1. นักวิเคราะห์ระบบ (System Analysis) 1.1 ความหมายของนักวิเคราะห์ระบบ นักวิเคราะห์ระบบ (System Analysis:

บทที่ 3 นักวิเคราะห์ระบบและการ วิเคราะห์ระบบ. 1. นักวิเคราะห์ระบบ (System Analysis) 1.1 ความหมายของนักวิเคราะห์ระบบ นักวิเคราะห์ระบบ (System Analysis:
ปรานอม ประทีปทวี 25/09/591 หน้าที่ของครูผู้นิเทศ สพม.5.

ปรานอม ประทีปทวี 25/09/591 หน้าที่ของครูผู้นิเทศ สพม.5.
การจัดกิจกรรมการ เรียนรู้แบบการทำ โครงงานคอมพิวเตอร์ การจัดกิจกรรมการ เรียนรู้แบบการทำ โครงงานคอมพิวเตอร์ ครูชาญณรงค์ ปานเลิศ โรงเรียนพระบางวิทยา ครูชาญณรงค์

การจัดกิจกรรมการ เรียนรู้แบบการทำ โครงงานคอมพิวเตอร์ การจัดกิจกรรมการ เรียนรู้แบบการทำ โครงงานคอมพิวเตอร์ ครูชาญณรงค์ ปานเลิศ โรงเรียนพระบางวิทยา ครูชาญณรงค์
การจัดทำหลักสูตร พัฒนาหัวหน้างาน เพื่อรองรับประชาคม เศรษฐกิจอาเซียน.

การจัดทำหลักสูตร พัฒนาหัวหน้างาน เพื่อรองรับประชาคม เศรษฐกิจอาเซียน.

งานนำเสนอที่คล้ายกัน

Ads by Google