chapter10

Network Security

 เน่ืองจากเครือข่ายอินเทอร์เน็ตเป็นระบบเครือข่าย สาธารณะ ทุกๆ คนสามารถเข้าถึงและใช้งานได้อย่างไม่ จากัด ทาให้มีกลุ่มผู้ใช้บางคนที่มีเป้าหมายแตกต่างจาก บุคคลท่ัวไป เช่น ต้องการขัดขวาง หรือทาลายระบบ ไมใ่ หใ้ ชง้ านได้ ลกั ลอบขโมยขอ้ มูล หรอื ล้วงความลับทาง ราชการ เรียกบุคคลเหลา่ น้วี ่า แฮกเกอร์ ดังน้ันระบบคอมพิวเตอร์ทุกระบบ จาเป็นต้องมี มาตรการความปลอดภัยขั้นพื้นฐาน เช่น โปรแกรม ป้องกันไวรัส การล็อกเครื่องคอมพิวเตอร์เพื่อป้องกัน ไม่ใหผ้ อู้ ่นื มาใช้เคร่อื ง ส่งิ เหล่าน้ีจัดเป็นการป้องกันความ ปลอดภัย ซึ่งมีหลากหลายวิธีให้เลือกใช้ได้ตามความ เหมาะสม

เป็นลักษณะทางกายภาพที่มองเห็นด้วยตา ความปลอดภัย ชนิดน้ีจะเกี่ยวข้องกับสภาพแวดล้อม และภาพรวมของ อุปกรณ์เป็นสาคญั ประกอบด้วย ห้องศูนย์บริการคอมพิวเตอร์ จะต้องปิดประตู และใสก่ ลอน เสมอ เพ่ือป้องกันบุคคลภายนอกหรือขโมยเข้าไปขโมย อุปกรณ์ การจัดวางสายเคเบลิ จะตอ้ งมิดชดิ เรยี บร้อย เน่ืองจากอาจ ทาให้ผู้อื่นสะดุดล้ม ทาให้เกิดบาดเจ็บ หรือสายเคเบิลขาด ได้ การยึดอุปกรณ์ให้อยู่กับที่ เพ่ือป้องกันการเคล่ือนย้าย และ ป้องกนั ผู้ไม่หวงั ดขี โมยอปุ กรณ์

 เครื่องปรับอากาศ ควรปรับให้มีอุณหภูมิเย็นในระดับ พอเหมาะ เพราะความร้อนเป็นปัจจัยที่ส่งผลต่ออายุการ ใช้งานของอปุ กรณอ์ เิ ลก็ ทรอนิกส์ ควรมีระบบป้องกันทางไฟฟ้า เพราะกระแสไฟฟ้าที่ไม่ คงท่ี จะส่งผลต่ออุปกรณ์อิเล็กทรอนิกส์โดยตรง ดังน้ัน ค ว ร มี อุ ป ก ร ณ์ ก ร อ ง สั ญ ญ า ณ ไ ฟ ฟ้ า ที่ ช่ ว ย ป รั บ กระแสไฟฟ้าท่ีจ่ายไปให้มีแรงดันคงท่ี และอยู่ในระดับท่ี เหมาะสม และยังปอ้ งกนั ไฟตก ไฟกระชาก การป้องกันภัยธรรมชาติ แผ่นดินไหว อุทกภัยหรือ อัคคีภัย สามารถป้องกันได้ด้วยการออกแบบเครือข่าย โดยติดต้ังเคร่ืองเซิร์ฟเวอร์ให้มีระบบสาเนาข้อมูลแบบ สมบูรณ์ และเคร่ืองสาเนาระบบน้ีอาจจะติดตั้งในที่ที่ ปลอดภยั

เป็นเรื่องท่ีเกี่ยวข้องกับการกาหนดระดับความสามารถ ในการเข้าถึงข้อมูลของบุคคลต่างๆ ภายในองค์กรตาม นโยบายท่ีผู้บริหารระดับสูงกาหนด เช่น องค์กรขนาด ใหญ่ที่มีพนักงานจานวนมาก จะต้องมีการกาหนดระดับ การเข้าใชง้ านของผใู้ ช้แต่ละฝ่าย ตวั อย่างเชน่ ฝ่ายขาย จะไม่มีสิทธิในการเข้าถึงข้อมูลเงินเดือนของ ฝา่ ยการเงิน พนักงานที่ทางานด้านเงินเดือน จะสามารถเข้าถึงข้อมูล เงินเดือนได้แต่ไม่มีสิทธิในการแก้ไขเปลี่ยนแปลงข้อมูล เงนิ เดือนได้ ผู้จัดการฝ่ายการเงิน สามารถเข้าถึงข้อมูลของฝ่ายอ่ืนๆ ได้ แต่อาจมีข้อจากัด คือ สามารถเรียกดูข้อมูลได้เพียง อยา่ งเดยี ว แตไ่ ม่สามารถแก้ไขได้

 ผู้บริหารเครือข่ายจาเป็นต้องมีมาตรการหรือการตรวจ ตราเฝ้าระวัง เพื่อมิให้ระบบคอมพิวเตอรถ์ ูกทาลาย หรือ ถูกขโมย ดังนั้นศูนย์คอมพิวเตอร์บางท่ีจึงมีการติดต้ัง กล้องโทรทัศน์วงจรปดิ ตามจุดสาคญั ต่างๆ ซ่ึงเทคนิคน้ีสามารถใช้งานได้ดี ซ่ึงจะป้องกันบุคคล ภายในที่ต้องการลักลอบขโมยข้อมูล ก็จะทาให้ ดาเนินการได้ยากขึ้น เน่ืองจากมีกล้องคอยดูอยู่ ตลอดเวลา แต่วิธีนี้ก็ไม่ดี ในกรณีด้านการละเมิดสิทธิ์ ส่วนบุคคล ซ่ึงต้องข้ึนอยู่กับความเหมาะสมและกฎหมาย ของแต่ละประเทศ นอกจากการใช้กล้องวงจรปิดแล้ว ยังมีวิธีอ่ืนๆ เช่น การ ส่งสัญญาณไปยังมือถือ หรือเพจเจอร์ เพื่อรายงาน เหตกุ ารณฉ์ ุกเฉนิ ไปยงั เจา้ หน้าทที่ นั ที

 การใช้รหัสผ่าน เป็นมาตรการหนึ่งของความ ปลอดภัยข้ันพื้นฐานท่ีนิยมใช้มานานแล้ว อย่างไรก็ตาม รหัสผ่านท่ีเป็นความลับ อาจจะไม่เป็นความลับหาก รหัสผา่ นดงั กล่าวถูกผู้อน่ื ลว่ งรู้ และนาไปใชใ้ นทางมชิ อบ ในการกาหนดรหัสผ่านยังมีกระบวนการท่ีสามารถ นามาควบคุมและสร้างข้อจากัดเพ่ือความปลอดภัยยิ่งขึ้น เช่น การกาหนดอายุการใช้งานของรหัสผ่าน การบังคับ ให้ตั้งรหัสผ่านใหม่เม่ือครบระยะเวลา การกาหนดให้ตั้ง รหัสผ่านทีย่ ากตอ่ การคาดเดา

 ในบางหน่วยงานทมี่ ีความต้องการความปลอดภยั ใน ระดับท่ีสงู ขึน้ จงึ มรี ะบบแสดงตวั ตนดว้ ยการใชห้ ลักการ ของคุณสมบัตทิ างกายภาพของแตล่ ะบคุ คลทมี่ คี วาม แตกต่างกนั และไม่สามารถซา้ หรือลอกเลียนกันได้ ท่ี เรยี กว่า ไบโอเมตรกิ (Biometric) เช่น เครื่องอ่าน ลายนิว้ มือ และเครื่องอา่ นเลนสม์ ่านตา

 การตรวจสอบระบบคอมพิวเตอร์ เป็นแนวทางหน่ึงในการ ป้องกันผู้ไม่หวังดีที่พยายามเข้ามาในระบบ โดยระบบ ตรวจสอบส่วนใหญ่มักใช้ซอฟต์แวร์ในการบันทึกข้อมูล และ ตรวจสอบเฝ้าระวังทุกๆ ทรานแซกช่ันที่เข้ามายังระบบ โดย แตล่ ะทรานแซกชั่นจะมกี ารบนั ทกึ ขอ้ มลู ตา่ งๆ ไว้เป็นหลักฐาน และจัดเก็บไวใ้ นรปู แบบของไฟล์ หรือเรยี กว่า Log File Log File จะเก็บรายละเอียดเกี่ยวกับวันที่ และเจ้าของ ทรานแซกช่ัน หรือบุคคลท่ีเข้ามาใช้งาน ซึ่งสิ่งเหล่าน้ีสามารถ ตรวจสอบย้อนหลังได้ว่า แต่ละวันมีทรานแซกช่ันจากที่ไหน บ้างเข้ามาใช้งานระบบ ทาให้ผู้ดูแลระบบเครือข่ายสามารถ สังเกตพฤติกรรมของเจ้าของ ทรานแซกชั่นได้

 เนื่องจากระบบคอมพิวเตอร์และเครือข่ายคอมพิวเตอร์ อนญุ าตใหผ้ ู้ใช้มากกว่าหนึ่งคน สามารถเข้าถึงทรัพยากร ที่มีอยู่ในระบบ เช่น ไฟล์ เคร่ืองพิมพ์ ซ่ึงทาให้ต้องมกี าร กาหนดสิทธก์ิ ารใชง้ านทรพั ยากรบนเครือขา่ ย โดยการกาหนดสิทธ์ิการใช้งานน้ัน จะกาหนดโดย ผู้บริหารเครือข่าย และจะพิจารณาปัจจัย 2 ปัจจัยคือ ใคร และอยา่ งไร โดยท่ี ใคร (Who) หมายถึง ควรกาหนดสทิ ธิ์การใช้งานให้ ใครบ้าง อย่างไร (How) หมายถึง เมื่อได้รับสิทธิ์ในการใช้ งานแล้ว จะกาหนดให้บุคคลน้ันๆ สามารถเข้าถึงข้อมูล ไดอ้ ยา่ งไร เช่น สามารถอ่านได้อย่างเดียว สามารถเขียน หรอื บนั ทึกได้ สามารถพิมพ์งานผา่ นระบบเครือขา่ ยได้

 ไวรัสคอมพิวเตอร์ เป็นโปรแกรมขนาดเล็กท่ีจะเข้าไป แก้ไขเปลย่ี นแปลงการทางานของเครื่องคอมพวิ เตอร์ ทา ให้คอมพิวเตอร์เกิดปัญหาต่างๆ ซ่ึงปัญหาจะร้ายแรง มากน้อยเพียงใดน้ัน ข้ึนอยู่กับไวรัสคอมพิวเตอร์แต่ละ ชนดิ ไวรัสบางชนิดก็ไม่ได้มุ่งร้ายต่อข้อมูล แต่เพียงแค่สร้าง ความย่งุ ยากและความราคาญใหก้ ับผู้ใช้ ในขณะที่ไวรัสบางตัวจะมุ่งร้ายต่อข้อมูลโดยเฉพาะ ซึ่ง ผลลัพธ์อาจส่งผลต่อความเสียหายในระบบคอมพิวเตอร์ ได้

 จากการท่ีในปัจจุบันมีไวรัสจานวนมากมาย และเกิดสาย พันธ์ใหม่ๆ ทุกวัน ดังน้ันคอมพิวเตอร์ทุกเคร่ืองจึง จาเป็นต้องมีการติดตั้งโปรแกรมป้องกันไวรัส เพื่อ ตรวจจับไวรัสจากไฟล์ข้อมูล และโปรแกรมต่างๆ และที่ สาคัญโปรแกรมป้องกันไวรัสจาเป็นท่ีจะต้องมีการ อัพเดทผ่านทางอินเทอร์เน็ตเสมอ เพื่อให้โปรแกรม สามารถตรวจจับไวรสั สายพันธใ์ หม่ๆ ได้

การโจมตีระบบเครือข่ายมีความเป็นไปได้เสมอ โดยเฉพาะ เครือข่ายท่ีมีการเชื่อมต่อเข้ากับเครือข่ายภายนอก หรือ อนิ เทอรเ์ น็ต ซงึ่ การโจมตีมีอยหู่ ลายวธิ ี ดังนี้ การโจมตเี พ่ือเจาะระบบ (Hacking Attacks) การโจมตีเพื่อปฏิเสธการให้บริการ (Denial of Service Attacks : DOS) การโจมตแี บบไมร่ ะบเุ ป้าหมาย (MulwareAttacks)

การโจมตเี พ่อื เจาะระบบ (Hacking Attacks)เป็นการมุ่งโจมตีเป้าหมายที่มีการระบุไว้อย่างชัดเจนเช่น การเจาะระบบเพ่ือเข้าสู่ระบบเครือข่ายภายใน ให้ได้มาซึ่งข้อมูลความลับ ซึ่งเม่ือเจาะระบบได้แล้ว จะทาการคัดลอกข้อมูล เปลี่ยนแปลงข้อมูล และทาลายข้อมูลรวมถึงติดต้ังโปรแกรมไม่พึงประสงค์ เพื่อให้เข้าไปทาลายข้อมลู ภายในให้เสียหาย

การโจมตีเพ่ือปฏิเสธการให้บริการ (Denial ofService Attacks : DOS)เป็นการมุ่งโจมตีเพื่อให้คอมพิวเตอร์หรือระบบเครือข่ายหยุดการตอบสนองงานบริการใดๆ เช่น หากเซิร์ฟเวอร์ถูกโจมตีด้วย DoS แล้ว จะอยู่ในสภาวะที่ไม่สามารถให้บริการทรัพยากรใดๆ ได้ และเม่ือไคลเอนต์พยายามติดต่อ กจ็ ะถูกขดั ขวาง และปฏเิ สธการให้บริการ เช่น การส่งเมล์บอมบ์ การส่งแพ็กเก็ตจานวนมาก หรือการแพร่ระบาดของหนอนไวรสั บนเครือขา่ ย

การโจมตแี บบไมร่ ะบเุ ป้าหมา(MulwareAttacks) คาว่า Malware เป็นคาทใี่ ช้เรียกกลุ่มโปรแกรมจาพวก ไวรัสคอมพิวเตอร์ เช่น หนอนไวรัส (Worm), โทรจัน (Trojan), สปายแวร์ (Spyware) และแอดแวร์ (Adware) ท่ีสามารถแพร่กระจายแบบอัตโนมัติไปทั่ว เครือขา่ ย โดยมีจุดประสงค์รา้ ยโดยการแพร่โจมตีแบบหว่าน ไปท่ัว ไม่เจาะจง เช่น การส่งอีเมล์ท่ีแนบไวรัสคอมพิวเตอร์ กระจายไปท่ัวเมลบ็อกซ์ หากมีการเปิดอีเมล์ขึ้น และไม่มี การป้องกันระบบเครือข่ายที่ดีพอ จะทาให้ไวรัสสามารถ แพรก่ ระจายไปยงั เครอื ขา่ ยภายในขององค์กรทนั ที

 ไฟร์วอลล์ ใช้สาหรับป้องกันผู้บุกรุกบนอินเทอร์เน็ต ซ่ึง เป็นบุคคลท่ีไม่มีสิทธิ์ในการเข้าถึงระบบเครือข่ายส่วน บคุ คล แต่ตอ้ งการมุ่งโจมตีหรอื ประสงค์รา่ ยต่อระบบ อุปกรณ์ไฟร์วอลล์ อาจเป็นเร้าเตอร์ เกตเวย์ หรือ คอมพิวเตอร์ที่ติดต้ังซอฟต์แวร์ไฟร์วอลล์ ซึ่งทาหน้าที่ ตรวจสอบ ติดตามแพ็กเก็ตที่เข้าออกระบบ เพ่ือป้องกัน การเขา้ ถึงเครอื ข่าย หน้าที่ของไฟร์วอลล์ จะอนุญาตให้ผู้มีสิทธิ์ หรือมีบัตร ผ่านเท่าน้ันท่ีจะเข้าถึงเครือข่ายท้ังสองฝั่ง โดยจะมีการ ป้องกันบุคคลภายนอกท่ีไม่ต้องการให้เข้าถึงระบบ รวมถึงการป้องกันบุคคลภายในไม่ให้เข้าไปยังบาง เวบ็ ไซต์ที่ไมต่ ้องการอกี ดว้ ย

 แพ็กเก็ตฟิลเตอร์ (Packet Filter) จะทางานใน ระบบชั้นสือ่ สารเน็ตเวิรก์ ปกติหมายถึง เรา้ เตอรท์ ่ี สามารถทาการโปรแกรม เพอ่ื กล่ันกรองหมายเลขไอพี หรอื หมายเลขพอรต์ TCP ท่ไี ดร้ บั อนญุ าตเทา่ น้นั ซ่งึ เปน็ วิธกี ารท่งี า่ ยและรวดเรว็

 แต่ข้อเสยี คือ อาจมีผู้บุกรกุ ทาการปลอมแปลงหมายเลข ไอพีแอดเดรส (Spoofing) ทาให้ระบบอนญุ าตให้เขา้ มาภายในระบบได้ ซึ่งปจั จบุ นั นอกจากความสามารถใน การตรวจจบั ผปู้ ลอมแปลงแล้ว ยงั สามารถสแกนไวรสั คอมพวิ เตอร์ไดอ้ ีกดว้ ย

 พรอ็ กซีเซริ ์ฟเวอร์ (Proxy Server) จะทางานในระบบชั้นส่ือสารแอปพลิเคช่ัน ซ่ึงการทางานมี ความซบั ซ้อนกวา่ แบบแพ็กเก็ตฟิลเตอร์มาก โดยพรอ็ กซี เซิร์ฟเวอร์ คือ คอมพิวเตอร์ท่ีติดต้ังซอฟต์แวร์พร็อกซี เซิร์ฟเวอร์ ทาหน้าที่เสมือนนายประตูของเครือข่าย ภายใน โดยทกุ ๆ ทรานแซกชั่นของเครือข่ายภายนอกทีม่ ี การร้องขอเข้ามายังเครือข่ายภายในจะต้องผ่านพร็อกซี เซิร์ฟเวอร์เสมอ และจะมีการเก็บรายละเอียดของข้อมูล ลง Log File เพ่ือให้ผู้ดูแลระบบสามารถนาไปใช้ ตรวจสอบในภายหลงั แต่การทางานของพร็อกซีเซิร์ฟเวอร์มีความล่าช้า เน่ืองจากจะต้องมีการจัด เก็บข้อ มูลขอ งแต่ล ะ แอปพลิเคช่นั ทีไ่ ดม้ กี ารรอ้ งขอข้อมูลจากภายในเครือข่าย