ระบบรักษาความปลอดภัยคอมพิวเตอร์เบื้องต้น

ภยั คุกคาม ช่องโหว่ และการโจมตี 1. ภยั คกุ คำม คือ วตั ถุ สง่ิ ของ ตวั บคุ คล หรอื ส่ิงอ่ืนใดท่ีเป็นตวั แทนของกำรกระทำ อนั ตรำยต่อทรพั ยส์ ิน [Whitman, J. Mattord, 2005] ภยั คกุ คำม Threat ภยั คกุ คำม Threat คอื วตั ถุ ส่ิงของ ตวั บคุ คล หรอื สิ่งอ่ืนใดท่ีเป็นตวั แทนของกำระทำ อนั ตรำยต่อทรพั ยส์ ิน ภยั คกุ คำมมีหลำยกลมุ่ เช่น ภยั คกุ คำมท่ีเกิดขนึ้ โดยเจตนำ หรอื บำงกลมุ่ เป็นภยั คกุ คำมท่ีเกิดขนึ้ โดยไมไ่ ดเ้ จตนำ เช่ยภยั คกุ คำมจำกธรรมชำติ หรอื จำกผใู้ ชใ้ นองคก์ ร เอง ภยั คกุ คำมท่ีสำมำรถทำลำยช่องโหว่ ไดเ้ ท่ำนนั้ จงึ จะสำมำรถสรำ้ งควำมเสียหำยแก่ ระบบได้ และจดั วำ่ ภยั คกุ คำมนนั้ เป็นควำมเส่ยี ง Risk ท่อี ำจสรำ้ งควำมเสียหำยแก่ สำรสนเทศได้ สรุปประเภทของภยั คุกคาม ควำมผิดพลำดท่เี กิดจำกบคุ คล Human Error/Failure ภยั รำ้ ยตอ่ ทรพั ยส์ นิ ทำงปัญญำ Compromises to Intellectual Property กำรจำรกรรมหรอื กำรรุกลำ้ Espionage or Trespass กำรกรรโชกสำรสนเทศ Information Extortion อบุ ตั ิเหตุ ควำมเขำ้ ใจผิดของพนกั งำน กำรละเมดิ ลขิ สิทธิ์ กำรเขำ้ ถึงหรอื กำรรวบรวมขอ้ มลู โดยไมไ่ ดร้ บั อนญุ ำต กำร Backmail กำรเผยแพรส่ ำรสนเทศท่เี ป็นควำมลบั สรุปประเภทของภยั คกุ คำม(ตอ่ ) ประเภทของภยั คกุ คำม

กำรทำลำยหรอื ทำใหเ้ สยี หำย Subotage or Vandalism กำรลกั ขโมย Theft ซอฟตแ์ วรโ์ จมตี Software Attack ภยั ธรรมชำติ Force of Nature คณุ ธรรมของกำรบรกิ ำรท่ีเบ่ยี งเบนไป Deviation in Quality of Service ตวั อยำ่ งภยั คกุ คำม กำรทำลำยระบบหรอื สำรสนเทศ กำรลกั ขโมยหรอื กำรโจรกรรมอปุ กรณค์ อมพิวเตอรห์ รอื สำรสนเทศ ไวรสั , เวริ ม์ , มำโคร, Dos นำ้ ทว่ ม, ไฟไหม,้ แผน่ ดินไห, ไฟดบั ISP, WAN, Service, Provider 1.ควำมผิดพลำดท่ีเกิดจำกบคุ คล Human Error/Failures เป็นควำมผิดพลำดท่เี กิดจำกพนกั งำนหรอื บคุ คลท่ีไดร้ บั อนญุ ำตใหเ้ ขำ้ ถึงสำรสนเทศ ขององคก์ รได้ อำจเกิดจำกควำมไมไ่ ดต้ งั้ ใจ เน่ืองจำกไมม่ ปี ระสบกำรณ์ หรอื ขำดกำรฝึกอบรม หรอื คำดเดำ เป็นตน้ ปอ้ งกนั ภยั คกุ คำม โดยกำรใหค้ วำมรูด้ ำ้ นควำมม่นั คงปลอดภยั ของสำรสนเทศ กำร ฝึกอบรมอย่ำงสม่ำเสมอ มมี ำตรกำรควบคมุ 2. ภยั รำ้ ยตอ่ ทรพั ยส์ นิ ทำงปัญญำ Comromises to Intellectual Property ทรพั ยส์ นิ ทำงปัญญำ Intellectual Property คอื ทรพั ยส์ ินท่จี บั ตอ้ งไมไ่ ด้ ท่ีถกู สรำ้ ง

ขนึ้ มำโดยบคุ คลหรอื องคก์ รใด ๆ หำกตอ้ งกำรนำทรพั ยส์ นิ ทำงปัญญำของผอู้ ่ืนไปใช้ อำจตอ้ งเสียคำ่ ใชจ้ ำ่ ย และจะตอ้ งระบแุ หลง่ ท่ีมำของทรพั ยส์ ินดงั กลำ่ วไวอ้ ย่ำงชดั เจน ในทำงกฎหมำย กำรใหส้ ิทธิในควำมเป็นเจำ้ ของทรพั ยส์ ินทำงปัญญำ มี 4 ประเภท คือ ลขิ สิทธิ์ (copyrights) ควำมลบั ทำงกำรคำ้ (Trade Secrets) เคร่อื งหมำยกำรคำ้ (Trade Marks) สิทธิบตั ร(Patents) กำรละเมิดควำมคมุ้ ครองทรพั ยส์ ินทำงปัญญำท่ีมำกท่ีสดุ คอื กำรละเมิดลขิ สิทธิ์ ซอฟตแ์ วร์ (Software Piracy) สำมำรถหำควำมรูเ้ พ่มิ เตมิ เร่อื ง ทรพั ยส์ นิ ทำงปัญญำได้ ท่ี http://www.ipthailand.org 3. กำรจำรกรรมหรอื กำรรุกลำ้ Espionage or Trespass กำรจำรกรรมหรอื กำรรุกลำ้ (Espionage or Trespass) กำรจำรกรรม Espionage เป็นกำรท่ีกระทำซง่ึ ใชอ้ ปุ กรณอ์ เิ ลคทรอนิกส์ หรอื ตวั บคุ คล ในกำรจำรกรรมสำรสนเทศท่ีเป็นควำมลบั ผจู้ ำรกรรมจะใชว้ ธิ ีกำรตำ่ ง ๆ เพ่ือใหถ้ ึงซง่ึ สำรสนเทศท่จี ดั เก็บไว้ และรวมรวม สำรสนเทศนนั้ โดยไมไ่ ดร้ บั อนญุ ำต Industrial Espionage วิธีนีเ้ ป็นกำรใชเ้ ทคนคิ ท่ีถกู กฎหมำยแต่กำ้ กึ่งควำมไมช่ อบ ธรรม เพ่อื รวบรวมสำรสนเทศท่ีสำคญั หรอื ควำมลบั ทำงกำรคำ้ ของคแู่ ข่งเพ่ือนำมำหำ ผล ประโยชน์ Shoulder Surfing คอื กำรแอบดขู อ้ มลู สว่ นตวั ของผอู้ ่ืนขณะทำธุรกรรมผำ่ นตู้ ATM กำรรุกลำ้ Trespass คือ กำรกระทำท่ีทำใหผ้ อู้ ่ืนสำมำรถเขำ้ สรู่ ะบบเพ่ือรวมรวม สำรสนเทศท่ีตอ้ งกำรโดยไมไ่ ดร้ บั อนญุ ำต

กำรควบคมุ สำมำรถทำไดโ้ ดย กำรจำกดั สิทธิ์และพิสจู นต์ วั ตนของผเู้ ขำ้ สรู่ ะบบทกุ ครงั้ วำ่ เป็นบคุ คลท่ีไดร้ บั อนญุ ำติจรงิ ประเภทของ Espionage และ Trespass 1. Hacker บคุ คลผซู้ ง่ึ สรำ้ งซอฟตแ์ วรค์ อมพิวเตอรข์ นึ้ มำ เพ่อื ใหต้ นสำมำรถเขำ้ ถงึ สำรสนเทศของผอู้ ่ืนอยำ่ งผิดกฎหมำย แบง่ ออกไดเ้ ป็น 2 ประเภท 1.1 Expert Hacker เป็นแฮคเกอรท์ ่มี ีทกั ษะสงู ทำกำรพฒั นำโปรแกรมขนำดเลก็ หรอื ซอฟตแ์ วรส์ ครปิ ตท์ ่ใี ชใ้ นกำรเขำ้ ถงึ สำรสนเทศ ในระบบของผอู้ ่ืน ใหพ้ วก Unskilled Hacker ใช้ 1.2 Unskill Hacker คือ พวกแฮคเกอรท์ ่มี ีทกั ษะนอ้ ย ไมส่ ำมำรถสรำ้ งโปรแกรมเจำะ ระบบไดเ้ อง จงึ เป็นผนู้ ำโปรแกรมไปเจำะระบบ หรอื เขำ้ ถงึ สำรสนเทศของผอู้ ่ืน ควำมแตกตำ่ งระหวำ่ ง Hacker / Cracker Hacker มเี ปำ้ หมำยเพ่ือทดสอบควำมสำมำรถหรอื ตอ้ งกำรทำ้ ทำ้ ย โดยกำรเจำะ ระบบใหส้ ำเรจ็ Cracker มีจดุ ประสงคค์ อื ตอ้ งกำรทำลำยระบบควำมม่นั คง ปลอดภยั ของระบบ คอมพวิ เตอรห์ รอื ระบบสำรสนเทศ Phreaker คอื ผเู้ จำะระบบเครอื ข่ำยโทรศพั ทส์ ำธำรณ เพ่ือใหต้ นเองใชโ้ ทรศพั ทโ์ ดยไม่ เสยี ค่ำใชจ้ ่ำย หรอื เพ่ือรบกวนสญั ญำนโทรศพั ท์ ภยั คกุ คำมประเภทนีเ้ รยี กวำ่ ปฏิบตั กิ ำร Hacktivist หรอื Cyberactivist เป็น ปฏิบตั กิ ำรท่ีแซกแทรง หรอื สรำ้ งควำมสบั สนใหก้ บั ระบบกำรทำงำนบำงอย่ำงใน องคก์ ร เพ่ือคดั คำ้ นกำรดำเนนิ งำน นโยบำย หรอื กิจกรรมบำงอยำ่ งขององคก์ ร หรอื หนว่ ยงำนของรฐั กำรก่อกำรรำ้ ยบนโลกไซเบอร์ Cyberterrorism เป็นภยั คกุ คำมอีกรูปแบบหน่งึ เป็น

กำรก่อกำรรำ้ ยผำ่ นระบบเครอื ขำ่ ยหรอื ระบบอินเตอรเ์ นต็ FBI ไดใ้ หน้ ิยำมของ Cybertierriorsm วำ่ เป็นกำรโจมตแี บบไตรต่ รองไวก้ อ่ นตอ่ สำรสนเทศ ระบบคอมพวิ เตอร์ โปรแกรมคอมพิวเตอร์ และขอ้ มลู ซง่ึ จะก่อใหเ้ กิดควำม รุนแรงหรอื ทำลำยเปำ้ หมำย โดยกลมุ่ บคุ คล หรอื ตวั แทนท่ีไมเ่ ปิดเผยนำม ท่มี เี หตจุ งู ใจจำกประเด็นกำรเมือง 1. กำรโจมตแี บบ SYN Flood เป็นกำรโจมตโี ดยกำรสง่ แพค็ เก็ต TCP ท่ตี งั้ ค่ำ SYN บิตไวไ้ ปยงั เปำ้ หมำย เสมือนกบั กำรเรม่ิ ตน้ รอ้ งขอกำรติดตอ่ แบบ TCP ตำมปกติ (ผโู้ จมตีสำมำรถปลอมไอพีของ source address ได)้ เครอ่ื งท่ีเป็นเปำ้ หมำยก็จะตอบสนองโดยกำรสง่ SYN-ACK กลบั มำยงั source IP address ท่ีระบไุ ว้ ซง่ึ ผโู้ จมตีจะควบคมุ เครอ่ื งท่ีถกู ระบใุ น source IP address ไมใ่ หส้ ง่ ขอ้ มลู ตอบกลบั ทำใหเ้ กิดสภำวะ half-open ขนึ้ ท่เี ครอ่ื ง เปำ้ หมำย หำกมกี ำรสง่ SYN flood จำนวนมำก ก็จะทำใหค้ วิ ของกำรใหบ้ รกิ ำรของ เคร่อื งเปำ้ หมำยเต็ม ทำใหไ้ มส่ ำมำรถใหบ้ รกิ ำรตำมปกตไิ ด้ นอกจำกนี้ SYN flood ท่ี สง่ ไปจำนวนมำก ยงั อำจจะทำใหเ้ กิดกำรใชแ้ บนดว์ ิดธอ์ ย่ำงเต็มท่ีอีกดว้ ย ดงั รูป 2. กำรโจมตแี บบ ICMP Flood เป็นกำรสง่ แพ็คเกต็ ICMP ขนำดใหญ่จำนวนมำกไปยงั เปำ้ หมำย ทำใหเ้ กิดกำรใช้ งำนแบนดว์ ิดธเ์ ตม็ ท่ี 3. กำรโจมตแี บบ UDP Flood เป็นกำรสง่ แพค็ เก็ต UDP จำนวนมำกไปยงั เปำ้ หมำย ซง่ึ ทำใหเ้ กิดกำรใชแ้ บนดว์ ิดธ์ อย่ำงเตม็ ท่ี และหรอื ทำใหท้ รพั ยำกรของเปำ้ หมำยถกู ใชไ้ ปจนหมด โดยจะสง่ UDP packet ไปยงั port ท่กี ำหนดไว้ เชน่ 53 (DNS) 4. กำรโจมตแี บบ Teardrop โดยปกติ เรำเตอรจ์ ะไมย่ อม ใหแ้ พก็ เก็ตขนำดใหญ่ผำ่ นได้ จะตอ้ งทำ Fragment

เสยี กอ่ นจงึ จะยอมใหผ้ ำ่ นได้ และเม่ือผำ่ นไปแลว้ เครอ่ื งของผรู้ บั ปลำยทำงจะนำแพ็ก เก็ตท่ถี กู แบง่ ออกเป็น ชิน้ สว่ นตำ่ ง ๆ ดว้ ยวธิ ีกำร Fragment มำรวมเขำ้ ดว้ ยกนั เป็น แพ็กเก็ตท่ีสมบรู ณ์ กำรท่ีสำมำรถนำมำรวมกนั ไดน้ ีจ้ ะตอ้ งอำศยั คำ่ Offset ท่ปี รำกฏ อยใู่ นแพ็กเก็ตแรกและแพก็ เก็ตตอ่ ๆ ไป สำหรบั กำรโจมตแี บบ Teardrop นี้ ผโู้ จมตีจะสง่ คำ่ Offset ในแพก็ เกต็ ท่ีสองและตอ่ ๆ ไปท่จี ะทำใหเ้ ครอ่ื งรบั ปลำยทำงเกิดควำมสบั สน หำกระบบปฏบิ ตั กิ ำรไมส่ ำมำรถ รบั มอื กบั ปัญหำนีก้ ็จะทำใหร้ ะบบหยดุ กำรทำงำนใน ทนั ที 5. กำรโจมตแี บบ Land Attack 5.1 ลกั ษณะกำรโจมตปี ระเภทนี้ เป็นกำรสง่ SYN ไปท่ีเครอ่ื งเปำ้ หมำย เพ่ือขอกำร เช่ือมตอ่ ซง่ึ เครอ่ื งท่ีเป็นเปำ้ หมำยจะตอ้ งตอบรบั คำขอกำร เช่ือมต่อดว้ ย SYN ACK ไปท่ีเคร่อื งคอมพิวเตอรต์ น้ ทำงเสมอ 5.2 แตเ่ น่ืองจำกวำ่ IP Address ของเคร่อื งตน้ ทำงกบั เคร่อื งท่ี เป็น เปำ้ หมำยนีม้ ี IP Address เดียวกนั โดยกำรใช้ วธิ ีกำร สรำ้ ง IP Address ลวง (โดยขอ้ เทจ็ จรงิ แลว้ เคร่อื งของ Hacker จะมี IP Address ท่ตี ำ่ งกบั เคร่อื งเปำ้ หมำย อยแู่ ลว้ แตจ่ ะใช้ วิธีกำรทำงซอฟตแ์ วรใ์ น กำรสง่ แพ็กเก็ตท่ี ประกอบดว้ ยคำขอกำรเช่ือมตอ่ พรอ้ มดว้ ย IP Address ปลอม) ซง่ึ โปรโตคอลของเครอ่ื งเปำ้ หมำยไม่ สำมำรถ แยกแยะได้ วำ่ IP Address ท่เี ขำ้ มำเป็นเครอ่ื ง ปัจจบุ นั หรอื ไม่ กจ็ ะทำ กำรตอบสนองดว้ ย SYN ACK ออกไป 5.3 หำกแอดเดรสท่ีขอเช่ือมตอ่ เขำ้ มำเป็นแอดเดรสเดียวกบั เคร่อื ง เปำ้ หมำย ผลก็คอื SYN ACK นีจ้ ะยอ้ นเขำ้ หำตนเอง และ เช่นกนั ท่กี ำรปลอ่ ย SYN ACK แตล่ ะครงั้ จะตอ้ งมีกำรปันสว่ น ของหนว่ ยควำมจำเพ่อื กำรนีจ้ ำนวนหน่งึ ซง่ึ หำกผโู้ จมตีสง่ คำขอ เช่ือมตอ่ ออกมำอยำ่ งตอ่ เน่ืองก็จะเกิดปัญหำกำรจดั สรร หน่วยควำมจำ

ควำมเสียหำยท่ีเกิดโดยกำรโจมตีในรูปแบบ DoS ควำมเสียหำยท่ีเกิดจำก DoS สง่ ผลใหผ้ ใู้ ชง้ ำนแตล่ ะสว่ นไมเ่ หมือนกนั แลว้ แตว่ ำ่ เขำ จะอยใู่ นสว่ นใด เชน่ เป็นผเู้ ขำ้ ไปใชง้ ำน เป็นพนกั งำนในองคก์ รท่ีโดนโจมตหี รอื เป็น เจำ้ ของเคร่อื งท่ีถกู ใชใ้ นกำรโจมตี หรอื จะมองในแง่ขององคก์ รท่ีโดนโจมตี ทกุ ๆ ฝ่ำย ลว้ นแลว้ แตเ่ ป็นฝ่ำยเสยี ทงั้ นนั้ ยกเวน้ คนท่ีทำใหเ้ หตกุ ำรณน์ ี้ เกิดขนึ้ หรอื คนท่เี ป็นคน บงกำรอยเู่ บอื้ งหลงั เทำ่ นนั้ ท่ไี ดป้ ระโยชนจ์ ำกกำรโจมตีนนั้ บทท1่ี 0 การจัดองคก์ าร และการรักษาความปลอดภัย สาหรับระบบสารสนเทศ ประโยชนข์ องการจัดองคก์ ร 1. ทำใหก้ ำรบรหิ ำรงำนเป็นไปอยำ่ งมีประสิทธิภำพ 2. ทำใหง้ ำนทกุ อยำ่ งในองคก์ รดำเนินไปดว้ ยควำมสำเรจ็ ดว้ ยดี 3. ทำใหป้ ระหยดั และคมุ้ คำ่ เพรำะไมเ่ กิดปัญหำควำมซำ้ ซอ้ นและควำมลำ่ ชำ้ 4. ทำใหอ้ งคก์ รสำมำรถพฒั นำและเจรญิ เตบิ โตตอ่ ไป 5. ทำใหส้ มำชิกเกิดกำรรว่ มแรงรว่ มใจกนั ทำงำน 6. ทำใหส้ มำชิกในองคก์ รมีขวญั และกำลงั ใจในกำรปฏิบตั ิงำน

บคุ ลำกรในองคก์ รระบบสำรสนเทศแบง่ เป็น 2 กลมุ่ คอื 1. บคุ ลำกรในวิชำชีพเทคโนโลยีสำรสนเทศ 2. บคุ ลำกรทำงกำรบรหิ ำรสำรสนเทศ 3. บคุ ลำกรในวิชำชีพเทคโนโลยีสำรสนเทศ บุคลากรในวชิ าชพี เทคโนโลยสี ารสนเทศ ผู้ควบคุมการทางานของเคร่ืองคอมพวิ เตอร์ (Computer Operator) ทำหนำ้ ท่ี ควบคมุ และดแู ลเครอ่ื งคอมพิวเตอร์ ผู้บนั ทกึ ข้อมูล (Data Entry Operator) ทำหนำ้ ท่ีปอ้ นขอ้ มลู เขำ้ เคร่อื งคอมพิวเตอร์ เพ่ือนำไปประมวลผลตอ่ ไป ผู้เขียนโปรแกรมประยุกต์ (Application Programmer) ทำหนำ้ ท่เี ขียนโปรแกรม ส่งั งำนคอมพิวเตอร์ ผู้ควบคุมโปรแกรมระบบ (System Programmer) ทำหนำ้ ท่ีดแู ลกำรทำงำนของ โปรแกรมระบบ นักวเิ คราะหร์ ะบบ (System Analyst) ทำหนำ้ ท่ีในกำรศกึ ษำและประเมนิ ผลระบบ กำรทำงำนในปัจจบุ นั ของหนว่ ยงำน วิเครำะหแ์ ละออกแบบระบบงำนของหน่วยงำน นักออกแบบฐานข้อมูล (Database Designer) ทำหนำ้ ท่ีออกแบบฐำนขอ้ มลู ใน

ระบบงำน ผู้บริหารฐานข้อมูล (Database Administrator) ทำหนำ้ ท่ีจดั กำรประสำนงำน และ ควบคมุ ดแู ลฐำนขอ้ มลู ขององคก์ ร วิศวกรคอมพวิ เตอร์ (Computer Engineer) ทำหนำ้ ท่ีดแู ลและแกไ้ ขปัญหำกำร ทำงำนของเครอ่ื งคอมพวิ เตอรแ์ ละอปุ กรณค์ อมพิวเตอร์ พนักงานดา้ นการสอื่ สารข้อมูล (Data Communication Supervisor) ทำหนำ้ ท่ี ติดตงั้ และดแู ลกำรทำงำนของอปุ กรณด์ ำ้ นกำรส่ือสำรขอ้ มลู ผู้เชี่ยวชาญดา้ นการสอ่ื สารข้อมูลหรือผู้เช่ียวชาญดา้ นเครือข่าย (Data Communication or Network Specialist) ทำหนำ้ ท่ีในกำรออกแบบระบบกำรส่อื สำรขอ้ มลู ในระบบสำรสนเทศ นักวเิ คราะหส์ ารสนเทศ หรือผู้ประสานงานด้านผใู้ ช้ (Information Analyst or User Liaison) ทำหนำ้ ท่ีประสำนงำนและศกึ ษำควำมตอ้ งกำรของผใู้ ชง้ ำนจำกระบบ สำรสนเทศของผู้ ใช้ บคุ ลำกรทำงกำรบรหิ ำรสำรสนเทศ บคุ ลำกรท่ีทำหนำ้ ท่ีทำงกำรบรหิ ำรงำนดำ้ น เทคโนโลยีสำรสนเทศ ตำมท่กี ำหนดกนั ในปัจจบุ นั มีดงั นี้ CIO (Chief Information Officer) เป็นผบู้ รหิ ำรระดบั สงู ของงำนดำ้ นเทคโนโลยี สำรสนเทศ มหี นำ้ ท่ีและควำมรบั ผดิ ชอบในกำรกำหนดนโยบำยเก่ียวกบั กำรนำ เทคโนโลยีสำรสนเทศ มำใชใ้ นองคก์ ร MIS Manager or Director ผบู้ รหิ ำรสงู สดุ ของหนว่ ยงำนดำ้ นเทคโนโลยีสำรสนเทศ ทำหนำ้ ท่ีในกำรจดั กำรและควบคมุ ดแู ลกำรทำงำนของระบบสำรสนเทศทงั้ หมดของ องคก์ ร

IS Executive เป็นผทู้ ่รี บั ผิดชอบในกำรจดั กำร และควบคมุ กำรทำงำนดำ้ นระบบ สำรสนเทศภำยในหนว่ ยงำน การจัดตัง้ หน่วยงานเพือ่ รองรับระบบสารสนเทศในองคก์ ร มวี ตั ถปุ ระสงคใ์ นกำรดแู ลบำรุงรกั ษำระบบสำรสนเทศ ใหต้ อบสนองต่อกำร เปล่ียนแปลงท่ีเกิดขนึ้ ไดห้ น่วยงำนท่ีทำหนำ้ ท่ีดงั กลำ่ ว คอื “หน่วยงำนระบบ สำรสนเทศ (Information System Unit หรอื IS Unit)” ในกำรจดั ตงั้ สำมำรถจดั ตงั้ ได้ 3 ลกั ษณะคอื 1. หน่วยงำนระบบสำรสนเทศแบบรวมศนู ย์ 2. หนว่ ยงำนระบบสำรสนเทศแบบไมร่ วมศนู ย์ 3. หนว่ ยงำนระบบสำรสนเทศแบบกระจำย หนว่ ยงำนระบบสำรสนเทศแบบรวมศนู ย์ (Centralized Information System Unit) มี หนำ้ ท่ีดงั นี้ กำหนดแผนกลยทุ ธแ์ ละแผนดำเนนิ กำรในกำรนำเทคโนโลยสี ำรสนเทศมำใช้ ดำเนนิ กำรพฒั นำระบบสำรสนเทศและกำรจดั กำรเครอ่ื งมือเคร่อื งใช้ ออกแบบสรำ้ งฐำนขอ้ มลู ท่จี ะสำมำรถใชง้ ำนรว่ มกนั ไดท้ กุ หน่วยงำน ดแู ลกำรปฏิบตั งิ ำนโดยรวมของระบบท่ีไดพ้ ฒั นำใหก้ บั หนว่ ยงำน ออกแบบและสรำ้ งระบบกำรสอื่ สำรขอ้ มลู หรอื ระบบเครอื ข่ำยคอมพิวเตอรข์ ององคก์ ร ขอ้ ดี คอื สำมำรถควบคมุ ดแู ลขอ้ มลู กำรดำเนนิ งำนของระบบสำรสนเทศตลอดจนกำร รกั ษำควำมปลอดภยั ของฐำนขอ้ มลู ขององคก์ รไดเ้ ป็นอย่ำงดี ข้อเสีย คือ กำรพฒั นำระบบงำนคอมพวิ เตอรใ์ หก้ บั ฝ่ำยตำ่ ง ๆ ใชเ้ วลำนำน

หน่วยงำนระบบสำรสนเทศแบบไมร่ วมศนู ย์ (Decentralized Information System Unit)หนำ้ ท่ีและควำมรบั ผดิ ชอบของหน่วยงำนระบบสำรสนเทศแบบไมร่ วมศนู ย์ คอื วำงแผนในกำรนำเทคโนโลยสี ำรสนทศมำใชใ้ นหนว่ ยงำนของตน พฒั นำระบบสำรสนเทศใหก้ บั หนว่ ยของผใู้ ชท้ ่ไี ดส้ งั กดั อยู่ ดแู ลฐำนขอ้ มลู ระบบสำรสนเทศของหนว่ ยงำน ใหค้ ำปรกึ ษำตอ่ กำรใชเ้ ทคโนโลยีคอมพวิ เตอรใ์ นงำนของผใู้ ช้ ขอ้ ดี คอื สำมำรถพฒั นำระบบสำรสนเทศไดต้ ำมควำมตอ้ งกำรของหน่วยงำนผใู้ ช้ ขอ้ เสีย คือ กำรพฒั นำระบบตำ่ ง ๆ จะเป็นแบบคนตำ่ งทำไมม่ กี ำรประสำนงำนกนั ยอ่ มเกิดปัญหำกำรใชข้ อ้ มลู หน่วยงำนระบบสำรสนเทศแบบกระจำย (Distributed Information System Unit) เป็นกำรผสมผสำนระหวำ่ งหน่วยงำนแบบรวมศนู ยแ์ ละไมร่ วมศนู ย์ เพ่ือลดปัญหำของ ทงั้ สองรูปแบบ คอื แบบรวมศนู ยม์ ขี อ้ จำกดั ในเรอ่ื งควำมลำ่ ชำ้ และควำมคลอ่ งตวั ใน กำรพฒั นำระบบ สำรสนเทศใหก้ บั ผใู้ ช้ สว่ นแบบไมศ่ นู ยจ์ ะเกิดควำมไมเ่ ป็นอนั หนง่ึ อนั เดียวกนั ของสำรสนเทศ เน่ืองจำกตำ่ งฝ่ำยตำ่ งดำเนินกำรพฒั นำระบบงำนของ ตนเอง ขำดกำรประสำนงำนดำ้ นกำรใชข้ อ้ มลู รว่ มกนั ไมม่ ีกำรแลกเปลี่ยนขอ้ มลู ระหวำ่ งหนว่ ยงำน การจดั องคก์ รในหน่วยงานระบบสารสนเทศประกอบดว้ ยหน่วยงานยอ่ ย ภายใตห้ น่วยระบบสารสนเทศ ดงั นี้ หนว่ ยงำนปฏิบตั ิ (Operations Unit) มีหนำ้ ท่ีควบคมุ ดแู ลและปฏิบตั งิ ำนท่ีเก่ียวกบั เร่อื งเตรยี มขอ้ มลู และบนั ทกึ ขอ้ มลู ก่อนนำไปประมวลผล จดั ลำดบั งำนก่อนหลงั ในกำรประมวลผลขอ้ มลู ดแู ลบำรุงรกั ษำฮำรด์ แวร์ และระบบสอ่ื สำรขอ้ มลู

ดแู ลสื่อบนั ทกึ ขอ้ มลู ต่ำง ๆ ท่ีใชใ้ นระบบคอมพิวเตอร์ หนว่ ยงำนดำ้ นพฒั นำระบบ (System Development Unit) มหี นำ้ ท่ี วิเครำะหแ์ ละออกแบบระบบสำรสนเทศในองคก์ ร เขียนโปรแกรมพฒั นำระบบงำนประยกุ ต์ กำรจดั หำซอฟตแ์ วรส์ ำเรจ็ รูปมำใชใ้ หเ้ หมำะสมกบั งำน กำรฝึกอบรมผใู้ ชง้ ำน กำรบำรุงรกั ษำระบบ หนว่ ยงำนบรกิ ำรทำงเทคนคิ (Technical Service Unit) สนบั สนนุ ทำงเทคนิคกบั หนว่ ยงำนอ่ืน ๆ มีหนำ้ ท่ี – กำรดแู ลซอฟตแ์ วรร์ ะบบทงั้ หมด – กำรควบคมุ ดแู ลและบรหิ ำรกำรใชข้ อ้ มลู โดยรวมขององคก์ ร – กำรประเมนิ เทคโนโลยีใหม่ ๆ หนว่ ยงำนดำ้ นวำงแผนและบรหิ ำร (Planning and Administration Unit) มีหนำ้ ท่ี บรหิ ำรงำนท่วั ไป – กำรวำงแผนกำรใชง้ ำนเทคโนโลยีท่ีมีอยู่ – กำรจดั ทำงบประมำณ – กำรบรหิ ำรงำนบคุ คลดำ้ นเทคโนโลยีสำรสนเทศ – กำรฝึกอบรมเจำ้ หนำ้ ท่ีทำงเทคนคิ – กำรพฒั นำและกำหนดมำตรำฐำนในกำรทำงำน นอกจำกนีอ้ ำจมีหน่วยงำนอ่ืน ๆ อกี เช่น หน่วยตรวจสอบระบบกำรประมวลผล คอมพิวเตอร,์ หน่วยงำนตดิ ตำมและประเมนิ เทคโนโลยี เป็นตน้ แนวคิดในการรักษาความปลอดภยั ของระบบสารสนเทศ

เพ่ือปอ้ งกนั ไมใ่ หเ้ กิดควำมเสยี หำยต่อระบบ ซง่ึ สำมำรถจดั ประเภทของควำมเสยี หำย กบั ระบบสำรสนเทศไดด้ งั นี้ 1. ควำมเสยี หำยท่ีเกิดจำกกำรกระทำโดยเจตนำของมนษุ ย์ – กำรก่ออำชญำกรรม ทำงคอมพวิ เตอร์ กำรขโมยขอ้ มลู 2. ควำมเสียหำยเน่ืองจำกภยั ธรรมชำติ – ไมว่ ำ่ จะเป็นไฟไหม้ ฟำ้ ผำ่ พำยุ เป็นตน้ 3. ควำมเสียหำยเน่ืองจำกขำดระบบปอ้ งกนั ทำงกำยภำพ (Physical Security) – กำร ขำดระบบกำรปอ้ งกนั ท่ดี ี ในทำงกำรวำงระบบคอมพิวเตอร์ 4. ควำมเสยี หำยเน่ืองจำกควำมบกพรอ่ งของระบบสภำพแวดลอ้ ม ของสำรสนเทศ – ควำมเหมำะสมของอปุ กรณต์ ำ่ ง ๆท่ีเก่ียวขอ้ งกบั เคร่อื งคอมพวิ เตอร์ 5. ควำมเสียหำยเน่ืองจำกควำมลม้ เหลวของกำรทำงำนของอปุ กรณต์ ำ่ ง ๆ ในระบบ สำรสนเทศ – ขำดกำรบำรุงรกั ษำ 6. ควำมเสยี หำยเน่ืองจำกควำมลม้ เหลวของระบบเครอื ขำ่ ย หรอื ระบบส่อื สำรขอ้ มลู 7. ควำมเสยี หำยเน่ืองจำกควำมผดิ พลำดจำกกำรทำงำนภำยในระบบสำรสนเทศเอง – เน่ืองจำกซอฟตแ์ วร์ โปรแกรม กำรรกั ษำควำมปลอดภยั ใหก้ บั ระบบสำรสนเทศสำมำรถแบง่ ออกเป็น 3 แนวทำง คอื 1.กำรวำงแผนรกั ษำควำมปลอดภยั ในเชิงกำยภำย (Physical Planning Security) 2.กำรวำงแผนรกั ษำควำมปลอดภยั ในเชิงตรรกะ (Logical Planning Security) 3.กำรวำงแผนปอ้ งกนั ควำมเสยี หำย (Disaster Planning Security) กำรวำงแผนรกั ษำควำมปลอดภยั ในเชิงกำยภำย (Physical Planning Security) เก่ียวกบั สภำพตำ่ ง ๆ ท่ีเก่ียวขอ้ งกบั เคร่อื งคอมพวิ เตอร์ มดี งั นี้

1. กำรจดั กำรดแู ลและปอ้ งกนั ในสว่ นของอำคำรสถำนท่ีทำเลท่ตี งั้ ศนู ยค์ อมพิวเตอร์ หรอื หอ้ งคอมพวิ เตอรก์ ำรจดั กำรดแู ลและปอ้ งกนั ภำยในศนู ยค์ อมพวิ เตอร์ 2. กำรจดั กำรดแู ลและปอ้ งกนั เก่ียวกบั ระบบสภำพแวดลอ้ ม 3. กำรจดั กำรดแู ลและปอ้ งกนั ในสว่ นของฮำรด์ แวรจ์ ดั กำรดแู ลอปุ กรณเ์ องเรยี กบรษิ ัท ผขู้ ำย หรอื บรษิ ัทอ่ืนดแู ลใหเ้ ป็นครงั้ ๆ ไปทำสญั ญำกำรบำรุงรกั ษำอปุ กรณเ์ ป็นรำยปี กำรวำงแผนรกั ษำควำมปลอดภยั ในเชิงตรรกะ (Logical Planning Security) เก่ียวขอ้ งกบั กำรรกั ษำควำมปลอดภยั ในเรอ่ื ง ดงั นี้ 1. กำรรกั ษำควำมปลอดภยั ก่อนผำ่ นขอ้ มลู เขำ้ สรู่ ะบบสำรสนเทศ – เป็นกำรกำหนด สทิ ธิผใู้ ช้ มีรหสั ผำ่ น 2. กำรรกั ษำควำมปลอดภยั ในกำรใชข้ อ้ มลู ในระบบสำรสนเทศ – กำหนดสิทธิของตวั ขอ้ มลู ในระดบั ตำ่ ง ๆ 3. กำรรกั ษำควำมปลอดภยั ในกำรรบั สง่ ขอ้ มลู – หรอื กำรเขำ้ รหสั ขอ้ มลู กำรวำงแผน ปอ้ งกนั ควำมเสยี หำย (Disaster Planning Security) มีวิธีกำรปอ้ งกนั ดงั นี้ 1. กำรจดั เตรยี มศนู ยค์ อมพวิ เตอรส์ ำรอง – 2. กำรจดั เตรยี มขอ้ มลู สำรอง 3. กำรจดั เตรยี มเร่อื งกำรกรู้ ะบบหลงั จำกเกิดกำรเสียหำยขนึ้ 4. กำรวำงแผนปอ้ งกนั ไวรสั คอมพิวเตอร์