หน่วยที่4

หน่วยท่ี 4ความปลอดภยั ของระบบสารสนเทศ(INFORMATION SYSTEMS SECURITY )

ความปลอดภยั ของระบบสารสนเทศ(INFORMATION SYSTEMS SECURITY)

ความปลอดภยั ของระบบสารสนเทศคอื อะไร•ความปลอดภยั (Security) คือ สถานะท่มี คี วามปลอดภยั ไรก้ งั วล อยู่ในสถานะท่ไี ม่มีอนั ตรายและไดร้ บั การป้ องกนั จากภยั อนั ตรายทง้ั ท่เี กดิ ข้ึนโดยตง้ั ใจหรอื บงั เอญิ•เช่น ความมนั่ คงปลอดภยั ของประเทศ ย่อมเกดิ ข้ึนโดยมี ระบบป้ องกนั หลายระดบั เพอ่ื ปกป้ องผูน้ าประเทศ ทรพั ยส์ นิ ทรพั ยากร และประชาชนของประเทศ

แนวคดิ หลกั ของความมนั่ คงปลอดภยั ของสารสนเทศ• กลมุ่ อตุ สาหกรรมความมนั่ คงปลอดภยั ของคอมพวิ เตอร์ ไดก้ าหนดแนวคิด หลกั ของความมนั่ คงปลอดภยั ของคอมพวิ เตอรข์ ้ึน ประกอบดว้ ย 1. ความลบั (Confidentiality) 2.ความสมบูรณ์ (Integrity) 3.ความพรอ้ มใช้ (Availability) 4.ความถกู ตอ้ งแม่นยา (Accuracy) 5.เป็นของแท้ (Authenticity) 6.ความเป็นสว่ นตวั (Privacy)

ความลบั (CONFIDENTIALITY)•เป็นการรบั ประกนั วา่ ผูม้ ีสทิ ธ์แิ ละไดร้ บั อนุญาตเท่าน้นั ท่สี ามารถ เขา้ ถงึ ขอ้ มูลได้• องคก์ รตอ้ งมีมาตรการป้ องกนั การเขา้ ถงึ สารสนเทศท่เี ป็นความลบั เช่น การจดั ประเภทของสารสนเทศ การรกั ษาความปลอดภยั ในกบั แหล่งจดั เกบ็ ขอ้ มลู กาหนดนโยบายรกั ษาความมนั่ คงปลอดภยั และนาไปใช้ ใหก้ ารศึกษาแก่ทมี งานความมนั่ คงปลอดภยั และผูใ้ ช้

ความลบั (CONFIDENTIALITY)• ภยั คกุ คามท่เี พม่ิ มากข้ึนในปจั จุบนั มสี าเหตมุ าจาก ความกา้ วหนา้ ทางเทคโนโลยี ประกอบกบั ความตอ้ งการความ สะดวกสบายในการสงั่ ซ้ือสนิ คา้ ของลกู คา้ โดยการยอมให้ สารสนเทศสว่ นบคุ คลแก่ website เพอ่ื สทิ ธ์ใิ นการทา ธุรกรรมตา่ ง ๆ โดยลมื ไปว่าเวบ็ ไซตเ์ ป็นแหลง่ ขอ้ มูลท่ี สามารถขโมยสารสนเทศไปไดไ้ ม่ยากนกั

ความสมบูรณ์ (INTEGRITY)• ความสมบูรณ์ คอื ความครบถว้ น ถกู ตอ้ ง และไม่มีสง่ิ แปลกปลอม สารสนเทศท่มี คี วามสมบูรณ์จงึ เป็นสารสนเทศท่นี าไปใชป้ ระโยชนไ์ ด้ อยา่ งถกู ตอ้ งครบถว้ น• สารสนเทศจะขาดความสมบูรณ์ กต็ อ่ เม่อื สารสนเทศน้นั ถกู นาไป เปล่ยี นแปลง ปลอมปนดว้ ยสารสนเทศอน่ื ถกู ทาใหเ้ สยี หาย ถกู ทาลาย หรอื ถกู กระทาในรูปแบบอน่ื ๆ เพ่อื ขดั ขวางการพสิ ูจน์การ เป็ นสารสนเทศจรงิ

ความพรอ้ มใช้ (AVAILABILITY)• ความพรอ้ มใช้ หมายถงึ สารสนเทศจะถกู เขา้ ถงึ หรอื เรียกใช้ งานไดอ้ ย่างราบร่นื โดยผูใ้ ชห้ รอื ระบบอน่ื ท่ไี ดร้ บั อนุญาต เท่าน้นั• หากเป็นผูใ้ ชห้ รอื ระบบท่ไี ม่ไดร้ บั อนุญาต การเขา้ ถงึ หรอื เรยี กใชง้ านจะถกู ขดั ขวางและลม้ เหลงในท่สี ดุ

ความถกู ตอ้ งแม่นยา (ACCURACY)• ความถกู ตอ้ งแม่นยา หมายถงึ สารสนเทศตอ้ งไม่มคี วาม ผดิ พลาด และตอ้ งมคี ่าตรงกบั ความคาดหวงั ของผูใ้ ชเ้ สมอ• เม่ือใดกต็ ามท่สี ารสนเทศมีค่าผิดเพ้ยี นไปจากความคาดหวงั ของผูใ้ ช้ ไม่ว่าจะเกดิ จากการแกไ้ ขดว้ ยความตง้ั ใจหรอื ไม่ก็ ตาม เม่ือน้นั จะถอื วา่ สารสนเทศ “ไม่มีความถกู ตอ้ งแม่นยา”

ความเป็นของแท้ (AUTHENTICITY)• สารสนเทศท่เี ป็นของแท้ คอื สารสนเทศท่ถี กู จดั ทาข้ึนจาก แหลง่ ท่ถี กู ตอ้ ง ไม่ถกู ทาซ้าโดยแหลง่ อน่ื ท่ไี ม่ไดร้ บั อนุญาต หรอื แหลง่ ท่ไี ม่คนุ้ เคยและไม่เคยทราบมาก่อน

ความเป็นสว่ นตวั (PRIVACY)• ความเป็นสว่ นตวั คอื สารสนเทศท่ถี กู รวบรวม เรยี กใช้ และ จดั เกบ็ โดยองคก์ ร จะตอ้ งถกู ใชใ้ นวตั ถปุ ระสงคท์ ่ผี ูเ้ ป็นเขา้ ของ สารสนเทศรบั ทราบ ณ ขณะท่มี กี ารรวบรวมสารสนเทศน้นั• มิฉะน้นั จะถอื ว่าเป็นการละเมดิ สทิ ธิสว่ นบคุ คลดา้ นสารสนเทศ

แนวคดิ ของความมนั่ คงปลอดภยั ของสารสนเทศ ตามมาตรฐาน NSTISSC•NSTISSC (Nation Security Telecommunications and Information Systems Security•คอื คณะกรรมการดา้ นความมนั่ คงโทรคมนาคมและระบบ สารสนเทศแห่งชาตขิ องตา่ งประเทศทไ่ี ดร้ บั การยอมรบั แห่งหน่ึง ไดก้ าหนดแนวคดิ ความมนั่ คงปลอดภยั ข้ึนมา ตอ่ มาไดก้ ลายเป็น มาตรฐานการประเมินความมนั่ คงของระบบสารสนเทศ

แนวคดิ ของความมนั่ คงปลอดภยั ของสารสนเทศตาม มาตรฐาน NSTISSCConfidentiality Technology Integrity Education Policy Confidentiality IntegrityAvailability Availability แสดงแนวคดิ ความมนั่ คงปลอดภยั ของสารสนเทศตามมาตรฐาน NSTISSC

แนวคดิ ของความมนั่ คงปลอดภยั ของสารสนเทศตาม มาตรฐาน NSTISSC•สง่ิ สาคญั ในการดาเนินงานความมนั่ คงปลอดภยั ของ สารสนเทศน้นั นอกจากจะมีความคดิ หลกั ในดา้ นต่างๆ แลว้ ยงั รวมถงึ การกาหนดนโยบายการปฏบิ ตั งิ าน การ ใหก้ ารศึกษา และเทคโนโลยที ่จี ะนามาใชเ้ ป็นกลไก ควบคมุ และป้ องกนั ท่ตี อ้ งเก่ยี วขอ้ งกบั การจดั การความ มนั่ คงปลอดภยั ของสารสนเทศดว้ ย

องคป์ ระกอบของระบบสารสนเทศกบั ความมนั่ คงปลอดภยั•Hardware จะใชน้ โยบายเดยี วกบั สนิ ทรพั ยท์ ่จี บั ตอ้ งไดข้ อง องคก์ ร คอื การป้ องกนั จากการลกั ขโมยหรอื ภยั อนั ตรายตา่ ง ๆ รวมถงึ การจดั สถานท่ที ่ปี ลอดภยั ใหก้ บั อปุ กรณ์หรอื ฮารด์ แวร์•Software ย่อมตอ้ งอยู่ภายใตเ้ งอ่ื นไขของการบรหิ าร โครงการ ภายใตเ้ วลา ตน้ ทนุ และกาลงั คนท่จี ากดั ซ่ึงมกั จะ ทาภายหลงั จากการพฒั นาซอฟตแ์ วรเ์ สรจ็ แลว้

องคป์ ระกอบของระบบสารสนเทศกบั ความมนั่ คงปลอดภยั• Database ขอ้ มูล/สารสนเทศ เป็นทรพั ยากรท่มี ีค่าขององคก์ ร การ ป้ องกนั ท่แี น่นหนากม็ ีความจาเป็นสาหรบั ขอ้ มูลท่ีเป็ นความลบั ซ่ึงตอ้ ง อาศยั นโยบายความปลอดภยั และกลไกป้ องกนั ท่ดี ีควบคู่กนั• Network เครอื ข่ายคอมพวิ เตอร์ การเช่ือมต่อระหวา่ งคอมพวิ เตอร์ และระหว่างเครอื ข่ายคอมพวิ เตอร์ ทาใหเ้ กดิ อาชญากรรมและภยั คกุ คามคอมพวิ เตอร์ โดยเฉพาะการเช่ือมต่อระบบสารสนเทศเขา้ กบั เครอื ข่ายอนิ เตอรเ์ น็ต

อปุ สรรคของงานความมนั่ คงปลอดภยั ของสารสนเทศ•ความมนั่ คงปลอดภยั คอื ความไม่สะดวก เน่ืองจากตอ้ ง เสยี เวลาในการป้ อน password และกระบวนการอน่ื ๆ ใน การพสิ ูจนต์ วั ผูใ้ ช้•มคี วามซบั ซอ้ นบางอยา่ งในคอมพวิ เตอรท์ ่ผี ูใ้ ชท้ วั่ ไปไม่ทราบ เช่น Registry , Port, Service ท่เี หลา่ น้ีจะทราบในแวดวง ของ Programmer หรอื ผูด้ ูแลระบบ

อปุ สรรคของงานความมนั่ คงปลอดภยั ของสารสนเทศ•ผูใ้ ชค้ อมไม่ระแวดระวงั•การพฒั นาซอฟตแ์ วรไ์ ม่คานึงถงึ ความปลอดภยั ภายหลงั•แนวโนม้ เทคโนโลยสี ารสนเทศคอื การแบ่งปนั ไม่ใช่ การ ป้ องกนั•มีการเขา้ ถงึ ขอ้ มูลไดจ้ ากทกุ สถานท่ี

อปุ สรรคของงานความมนั่ คงปลอดภยั ของสารสนเทศ•ความมนั่ คงปลอดภยั ไม่ไดเ้ กดิ ข้ึนท่ซี อฟแวรแ์ ละ ฮารด์ แวรเ์ พยี งอย่างเดยี ว•มจิ ฉาชีพมคี วามเช่ียวชาญ (ในการเจาะขอ้ มลู ของผูอ้ น่ื มากเป็นพเิ ศษ)•ฝ่ ายบรหิ ารมกั จะไม่ใหค้ วามสาคญั แกค่ วามมนั่ คงปลอดภยั

แนวทางในการดาเนินงานความปลอดภยั ของสารสนเทศ•Boottom –Up Approach เป็นแนวทางท่ผี ูด้ ูแลระบบ หรอื เจา้ หนา้ ท่ี ท่รี บั ผิดชอบดา้ นความมนั่ คงปลอดภยั โดยตรง เป็นผูร้ เิ รม่ิ หรอื กาหนดมาตรการรกั ษาความ ปลอดภยั ข้ึนมาระหว่างการพฒั นาระบบ

แนวทางในการดาเนินงานความปลอดภยั ของสารสนเทศ• ขอ้ ดี คอื เจา้ หนา้ ท่จี ะสามารถดูแลงานดว้ ยตนเองในทุก ๆ วนั และใชค้ วามรูค้ วามสามารถ ความเช่ียวชาญท่มี ีการปรบั ปรุงกลไก ควบคมุ ความปลอดภยั ใหม้ ปี ระสทิ ธิภาพอย่างเต็มท่ี• ขอ้ เสยี แนวทางน้ี โดยทวั่ ไปมกั จะทาใหก้ ารดาเนินงานความ มนั่ คงปลอดภยั ของสารสนเทศไม่ประสบผลสาเรจ็ เน่ืองจากขาด ปจั จยั ความสาเรจ็ เช่น ขาดการสนบั สนุนจากผูเ้ กย่ี วขอ้ ง หรอื ขาดอานาจหนา้ ท่ใี นการสงั่ การ

แนวทางในการดาเนินงานความปลอดภยั ของสารสนเทศ• Top-down Approach การดาเนินงานความมนั่ คงปลอดภยั จะ เร่มิ ตน้ โดยผูบ้ รหิ ารหรอื ผูม้ ีอานาจหนา้ ท่โี ดยตรง ซ่ึงสามารถ บงั คบั ใชน้ โยบาย บคุ ลากรท่รี บั ผดิ ชอบ• ขอ้ ดี ขน้ั ตอนกระบวนการมนั่ คงไดอ้ ย่างเตม็ ท่ี เน่ืองจากไดร้ บั การสนบั สนุนจากผูท้ ่เี กย่ี วขอ้ งเป็นอยา่ งดี มกี ารวางแผน กาหนด เป้ าหมาย และกระบวนการทางานอย่างชดั เจนและเป็ นทางการ

Top-down Approach Bottom-up Approach CEO CFO CIO COO CFO Chief FinanceCISO VP-Sytems Officer VP-Network CIO Chief Information OfficeพSecurity Systems Network COO Chief OperatingManager Manager Management Office Security Systems NetworkTechnician Technician Technician CISO Chief Information Security Office VIP Vice President

หลกั การรกั ษาความปลอดภยั ขอ้ มลู• ความลบั (Confidentiality) • การเขา้ รหสั และตรวจสอบความถกู ตอ้ งของขอ้ มูลในการ เช่ือมต่อใดๆ • การเขา้ รหสั ขอ้ มูลต่างๆ เพอ่ื ปกปิดหากมีการขโมยขอ้ มูล• ความสมบูรณ์ (Integrity) • การตรวจสอบความถกู ตอ้ งของขอ้ มูลกอ่ นนามาใชง้ าน• ความเป็นของแท้ (Authenticity) • ตรวจสอบผูใ้ ชง้ านและใหส้ ทิ ธิการใชง้ านขอ้ มูลอย่างเหมาะสม



26

เขา้ รหสั (ENCRYPTED PASSWORD)



ตวั อย่างบรกิ ารในการรกั ษาความปลอดภยั ขอ้ มูล• การใชง้ านเวบ็ : SSL• การใชง้ านเครอื ข่ายระยะไกล : SSH• การถา่ ยโอนขอ้ มูล : SFTP• การเช่ือมต่อเครอื ข่าย : VPN , IP Security• การเกบ็ รกั ษาขอ้ มูลไวเ้ ป็นความลบั : การเขา้ รหสั โดย DES, AES• การเขา้ รหสั ขอ้ มูลในไฟลร์ ะบบ : การตง้ั ค่า Encrypting File System (EFS)

30 ภยั คุกคามตอ่ ระบบสารสนเทศ• ขอ้ ผิดพลาดทางเทคนิคของฮารด์ แวร์• ขอ้ ผดิ พลาดทางเทคนิคของซอฟตแ์ วร์• ขอ้ ผิดพลาดจากการกระทาของมนุษย์• เทคโนโลยลี า้ สมยั

31 ภยั คกุ คามตอ่ ระบบสารสนเทศ• ภยั ธรรมชาติ• การบกุ รุก การกอ่ วนิ าศกรรมหรอื การทาลาย การโจรกรรม• การโจมตีซอฟตแ์ วร์• คุณภาพของบรกิ าร

ลกั ษณะระบบสารสนเทศทต่ี อ้ งรกั ษาความปลอดภยั ในเขา้ ถงึ PROTECTING INFORMATION SYSTEMS•ระบบสารสนเทศท่มี ีความสาคญั มากๆ ภายในองคก์ ร หรอื ระบบสารสนเทศท่อี าจสง่ ผลกระทบตอ่ ความมนั่ คง หรอื งานตา่ งๆ ภายในองค์ เช่น ระบบสารสนเทศทาง การเงนิ เป็นตน้

•ระบบการเกบ็ ดว้ ยเอกสาร (Paper-based systems) •เอกสาร หรอื ขอ้ มลู จะถกู จดั เกบ็ ไวต้ ูเ้ อกสาร •การรกั ษาความปลอดภยั จะใชใ้ นลกั ษณะกายภาพทวั่ ไป (physical) เช่น ใชก้ ูญแจลอ็ กตู้ เป็นตน้

•ระบบสารสนเทศ (Information systems) •การจดั เกบ็ ขอ้ มูลจะอยู่ในรูปแบบอเิ ลก็ ทรอนิกส์ เช่น ไฟล์ เอกสาร เสยี งหรอื รูปภาพ เป็นตน้ •การเขา้ ถงึ ขอ้ มูลจะมลี กั ษณะแบบลอจคิ ลั (Logical) เช่น เขา้ ถงึ ดว้ ยช่ือผูใ้ ช้ และรหสั ผ่าน เป็นตน้

การควบคมุ การเขา้ ใชง้ านระบบสารสนเทศCONTROLLING INFORMATION SYSTEMS

การควบคมุ การเขา้ ใชง้ านระบบสารสนเทศ•การควบคมุ การเขา้ ใชง้ านระบบสารสนเทศ เป็นการป้ องกนั หรอื ลดโอกาสท่ภี ยั คกุ คามตา่ งๆ จะเขา้ มาทาลายระบบ สารสนเทศตา่ งๆ ภายในองคก์ ร•วธิ ีการควบคุมอาจกระทาได้ 2 รูปแบบ คอื • ควบคมุ การเขา้ ใชง้ านระบบสารสนเทศดว้ ยตนเอง (Manually) • ควบคมุ การเขา้ ใชง้ านระบบสารสนเทศแบบอตั โนมตั ิ (Automatically)

การควบคมุ การเขา้ ใชง้ านระบบสารสนเทศ•วธิ กี ารดาเนินการจะปฏบิ ตั ติ าม •นโยบาย (Policies) •ขน้ั ตอน (Procedures) •มาตรฐาน (Standards)

ลกั ษณะของการควบคมุ (CONTROLS)•การควบคมุ ทวั่ ไป (General controls) • ควบคมุ การออกแบบ การรกั ษาความปลอดภยั และการใชร้ ะบบ สารสนเทศภายในองคก์ ร•การควบคมุ การใชง้ านโปรแกรมประยกุ ต์ (Application controls) • ควบคมุ การเขา้ ใชง้ านสาหรบั แตล่ ะโปรแกรม • ควบคมุ การเขา้ ใชง้ านเฉพาะฟงั กช์ นั

39 ประเภท การควบคุมทวั่ ไป•ควบคมุ การดาเนินงาน (Implementation controls) • มกี ารพฒั นาระบบการตรวจสอบหรอื ควบคมุ • ตอ้ งมนั่ ใจว่ามีการจดั การและการควบคมุ ท่ดี ี • ตอ้ งมนั่ ใจวา่ ผูใ้ ชม้ สี ว่ นรว่ ม • ตอ้ งมนั่ ใจว่าขน้ั ตอนในการควบคมุ มีมาตรฐาน•ควบคมุ ซอฟตแ์ วร์ (Software controls) • ตรวจสอบการเขา้ ถงึ ขอ้ มูลระบบเฉพาะผูม้ ีสทิ ธ์หิ รอื เกย่ี วขอ้ ง

•ควบคมุ ฮารด์ แวร์ (Hardware controls) •รกั ษาความปลอดภยั ของฮารด์ แวรท์ างกายภาพ •ตดิ ตาม ตรวจสอบและแกไ้ ขความผดิ ปกติ •ระบบสง่ิ แวดลอ้ มและการป้ องกนั •สารองขอ้ มูลบนดิสก์

ประเภทการควบคมุ ทวั่ ไป•ควบคมุ การดาเนินการของคอมพวิ เตอร์ (Computer operations controls) •การดาเนินงานแบบวนั ตอ่ วนั ของระบบสารสนเทศ •ขน้ั ตอน •การตง้ั ค่าระบบ •การประมวลผลงาน •ขน้ั ตอนการสารองขอ้ มลู และการกูค้ นื

ประเภทการควบคมุ ทวั่ ไป•ควบคมุ ความปลอดภยั ของขอ้ มูล (Data security controls) •ป้ องกนั การเขา้ ถงึ การเปลย่ี นแปลงหรอื การทาลายขอ้ มลู •การควบคมุ การใชข้ อ้ มลู หรอื การจดั เกบ็ ขอ้ มูล •การเขา้ ถงึ ทางกายภาพไปยงั ขอ้ มลู จดุ อน่ื ๆ •การป้ องกนั รหสั ผ่าน •การควบคมุ ระดบั การเขา้ ถงึ ขอ้ มูล

ประเภทการควบคมุ ทวั่ ไป•ควบคมุ การบรหิ ารจดั การ (Administrative controls) •ตรวจสอบใหแ้ น่ใจนโยบายขององคก์ ร วธิ กี ารและ มาตรฐาน มีการบงั คบั ใช้ •แยกฟงั กช์ นั่ เพอ่ื ลดขอ้ ผิดพลาดและการทจุ รติ •การตดิ ตามหรอื การกากบั ดูแลขน้ั ตอนการทางานตอ้ ง เป็นไปตามนโยบายขององคก์ ร

ประเภทการควบคุมการใชง้ านโปรแกรมประยกุ ต์•ความคมุ การนาเขา้ (Input controls) •รายการขอ้ มูลมีความถกู ตอ้ งและสอดคลอ้ งกนั •การนาคียข์ อ้ มลู เขา้ แบบโดยตรง หรอื การป้ อนอตั โนมตั ิ •การแปลงขอ้ มูล การแกไ้ ขและการจดั การขอ้ ผิดพลาด •การตรวจสอบขอ้ มูล •อนุมตั ิการป้ อนขอ้ มูลและการตรวจสอบ •ตรวจสอบผลรวมและดกั จบั ขอ้ ผิดพลาด

ประเภทการควบคมุ การใชง้ านโปรแกรมประยกุ ต์•ควบคุมการประมวลผล (Processing controls) •การประมวลผลขอ้ มลู มคี วามถกู ตอ้ งและสมบูรณ์ •ตรวจสอบผลรวมและดกั จบั ขอ้ ผดิ พลาด •เปรยี บเทยี บกบั ขอ้ มลู หลกั กบั ขอ้ มูลท่มี ีขอ้ ผิดพลาด •การตรวจสอบขอ้ มลู กอ่ นทาการปรบั ปรุง

ประเภทการควบคมุ การใชง้ านโปรแกรมประยกุ ต์•ควบคุมสว่ นนาออก (Output controls) •การสง่ ออกขอ้ มลู ถกู ตอ้ งครบถว้ น และมีความถูกตอ้ ง •ตรวจสอบจานวนขอ้ มูลผิดพลาด •การตรวจสอบบนั ทกึ ขอ้ มลู การประมวลผล •การตดิ ตามผูร้ บั ขอ้ มลู