บทที 12 การเสียง การควบคุม มาตรการ ด้านความปลอดภัยและการกู้คืน

บทที 12 การเสยี ง การควบคมุ มาตรการ RดISา้ KนS, CคOวNTาRมOLป, SลECอURดITYภANัยDแREลCOะVกERาYรMกEA้คู SUืนRES ดร.นวพล แก้วสุวรรณ สาขาการจัดการสารสนเทศ คณะมนุษยศาสตรแ์ ละสังคมศาสตร์ มหาวทิ ยาลัยสงขลานครนิ ทร์

12.1 เปาหมายหลักในด้านความปลอดภัยของระบบสารสนเทศ 12.2 ความเสียงทีมีต่อระบบสารสนเทศ 12.3 ความเสียงจากการปฏิบัติการออนไลน์ 12.4 มาตรการควบคุม 12.5 มาตรการความปลอดภัย 12.6 ข้อเสียของมาตรการความปลอดภัย 12.7 มาตรการกู้คืน

เปาหมายหลักในด้านความมนั คงปลอดภัยของระบบสารสนเทศ ในการพัฒนาระบบสารสนเทศเพือนาํ มาใชง้ านในองค์กรนัน จึงต้องมีค่าใชจ้ ่ายด้านงาน บาํ รุงรกั ษาในอัตราส่วนทีไม่น้อย โดยเฉพาะมาตราการการบาํ รุงรกั ษาความปลอดภัยทาง ด้านความมปลอดภัยของระบบ ซงึ แนวโน้มในทุกๆบรษิ ัท จาํ เปนต้องลงทุนทางด้านความ ปลอดภัยมากขึน และจะมีต้นทุงสูงมากขึนสาํ หรบั องค์กรขนาดใหญ่ ทีต้องวางมาตราการ ด้านความปลอดภัยอย่างครบครนั โดยเฉพาะองค์กรทีมีการเชอื มต่อระบบสารสนเทศเข้า กับระบบเครอื ข่ายอินเตอรเ์ น็ต เพือใชใ้ นการติดต่อธุรกิจกับลูกค้า และใชร้ ะบบสารสนเทศ รว่ มกันระหวา่ งคู่ค้าทางธุรกิจทีกระจายอยู่ทัวโลกผ่านระบบอินเตอรเ์ น็ต

เปาหมายหลักในด้านความมนั คงปลอดภัยของระบบสารสนเทศ (ต่อ) เปาหมายหลักในดา้ นความปลอดภัยของระบบสารสนเทศประกอบดว้ ย ลดความเสยี ง และการหยุดชะงักจากการปฏิบตั ิกับระบบ ทีอาจเกิดขนึ ไดเ้ สมอ รกั ษาสารสนเทศทีเปนความลับ มนั ใจต่อความสามารถในการปองกันขอ้ ผดิ พลาดและความเชอื มนั ในทรพั ยากรขอ้ มูล มนั ใจต่อการไมถ่ กู รบกวน หรอื ถกู ขดั จงั หวะในการปฏิบตั ิงานกับระบบ มนั ใจต่อนโยบายเพอื ค้มุ ครอง และความปลอดภัยตามกฏหมายและความเปนสว่ นตัว

ความเสยี งทีมตี ่อระบบสารสนเทศ ดาวน์ไทม์ ( Downtime) คือ ชว่ งเวลาทีระบบหยุดทํางาน โดยผู้ใชไ้ ม่สามารถใชง้ านระบบ สารสนเทศและไม่สามารถเข้าถึงข้อมูลระบบได้ ส่งผลใหธ้ ุรกิจต้องหยุดทํางานชวั คราว ถือเปนสถานการณ์ทีเลวรา้ ยต่อแทบธุรกิจทัวโลก ตัวอย่างเชน่ มีการประมาณไวว้ า่ ธุรกิจในอเมรกิ าต้องสูญเสียไปกวา่ 4 พันล้านเปนประจาํ ทุกป อันเนืองมาจากสาเหตุการดาวน์ไทม์ ธุรกิจสายการบินทีต้องเปดบรกิ ารจองทีนังออนไลน์ ต้องสูญเสียรายได้ไปกวา่ 90,000 ดอลล่ารต์ ่อการดาวน์ไทม์ 1 ชวั โมง ธุรกิจปลีกแบบออนไลน์ต้องสูญเสียรายได้กวา่ 900,000 ดอลล่าร์ ธนาคารต้องสญู เสยี รายไดจ้ ากการบรกิ ารบตั รเครดติ กวา่ 2.6 ดอลล่าร์ นายหนา้ ซอื ขายหนุ้ ออนไลน์ ต้องสญู ฌสยี รายไดก้ วา่ 6.5 ล้านดอลล่ารต์ ่อการดาวนไ์ ทม1์ ชวั โมง สาํ หรบั การประมาณการโดยเฉลียจากการดาวนไ์ ทมต์ ่อการสญู เสยี ของธุรกิจ CRM จะสญู เสยี 2,500 ดอลล่ารต์ ่อนาที และธุรกิจอีคอมเมริ ซ์ จะสญู เสยี ประมาณ 7,800 ดอลล่ารต์ ่อนาที ซงึ ต้นทนุ การสยู เสยี อาจสงู ขนึ กวา่ นไี ด้ ขนึ อยูก่ ับอุตสาหกรรมและขนาดของธุรกิจเปนสาํ คัญ

ความเสยี งทีมตี ่อระบบสารสนเทศ (ต่อ) ความเสียงในระบบสารสนเทศประกอบไปด้วย ความเสียงทางด้านฮารด์ แวร์ ภัยธรรมชาติ (Natural Disasters) เปนความเสียงในระบบสารสนเทศ ทีเกียวข้องกับไฟไหม้ นาํ ท่วม แผ่นดินไหว พายุ และฟาผ่าซงึ ส่งผลต่อความเสียหายในอุปกรณ์ฮารด์ แวร์ ซอฟต์แวร์ และทําใหว้ งจรอิเล็กทรอนิกส์ในอุปกรณ์เกิดลัดวงจรขึนได้ ไฟดับและไฟตก (Blackouts and Brownouts) ความสาํ คัญอยู่ทีวา่ หากในขณะทีใชง้ าน คอมพิวเตอรอ์ ยู่ และยังไม่ทันส่งบันทึกข้อมูลลงในอุปกรณ์จัดเก็บข้อมูล ได้เกิดไฟฟาดับขึน นนั หมายความวา่ ขอ้ มูลในหนว่ ยความจาํ หลักไดห้ ายไปทังหมดแล้วสว่ นไฟตก เกิดจากแรงดนั ไฟฟา ลดตําลงชวั ขณะ ซงึ อาจสง่ ผลต่อความเสยี หายในชนิ สว่ นอิเล็กทรอนกิ สไ์ ดใ้ นขณะทีไฟเกิน เกิดจากแรงดนั ไฟฟาสงู ขนึ ชวั ขณะ ซงึ เปนเหตกุ ารณท์ ีทําใหเ้ กิดความเสยี หายต่ออุปกรณม์ ากการ แก้ไขปญหากรณไี ฟตก คือ การนาํ อุปกรณร์ กั ษาระดบั แรงดนั (Voltage Regulator / Voltage Stabilizer) มาใช้ การปองกันไฟฟาดบั ใชอ้ ุปกรณU์ PS (Uninterruptible Power Supply) จะถกู นาํ มาใชเ้ พอื แก้ปญหา ดงั กล่าว โดย UPS จะเปนเครอื งสาํ รองไฟฟาทีมหี นา้ ทีปองกันความเสยี หายจากความผดิ ปกติของ กระแสไฟฟา

ความเสยี งทีมตี ่อระบบสารสนเทศ (ต่อ) ความเสียงในระบบสารสนเทศประกอบไปด้วย (ต่อ) การถูกก่อกวนและทําลานโดยคนปาเถือน ( Vandalism) อุปกรณ์ฮารด์ แวรแ์ ละคอมพิวเตอรอ์ าจถูก ทําลายด้วยความจงใจโดยนาํ มือมนุษย์ เชน่ ลูกค้าบางคนต้องการทําลายตู้ ATM หรอื พนักงานใน องค์กรทีไม่พอใจในบางสิง ได้ทําลายคอมพิวเตอรใ์ หเ้ กิดความเสียหายโดยไม่เกรงกลัวต่อความผิด หรอื ถูกไล่ออกจากงาน ซงึ เปนเรอื งยากทีเดียวกับการปองกันคนเหล่านีในการจ้องทีจะทําลาย ทรพั ย์สิน

ความเสยี งทีมตี ่อระบบสารสนเทศ (ต่อ) ความเสียงในระบบสารสนเทศประกอบไปด้วย (ต่อ) ความเสียงด้านข้อมูลและซอฟต์แวร์ การโจรกรรมสารสนเทศ และการสวมรอยการเปนคุณ การดัดแปลง / ทําลายข้อมูล และการเปลียนโฉมหน้าเวบ็ ไวรสั คอมพิวเตอร์ เวริ ม์ และบอมบ์ ซงึ เปนโปรแกรมขนาดเล็กทีสามารถแฝงเข้าไป กับไฟล์ข้อมูล และเมือไวรสั ทํางานก็จะติดอยู่บนเครอื งคอมพิวเตอรแ์ ล้ว

ความเสยี งทีมตี ่อระบบสารสนเทศ (ต่อ) ความเสียงในระบบสารสนเทศประกอบไปด้วย (ต่อ) ขันตอนการปองกันไวรสั ประกอบด้วย ติดตังโปรแกรมแอนตีไวรสั และคําสังใหท้ ํางานอยู่เสมอ อัพเดตซอฟต์แวรแ์ อนตีไวรสั อยู่เสมอ สแกนอุปกรณ์จัดเก็บข้อมูลภายนอกทุกครงั เลือกติดตังซอฟต์แวรท์ ีมีความน่าเชอื ถือเท่านัน ติดตามไฟล์ดาวน์โหลดมาอย่างระมัดระวงั หากตรวจพบไวรสั ต้องแจ้งโดยทันที

ความเสยี งทีมตี ่อระบบสารสนเทศ (ต่อ) ความเสียงในระบบสารสนเทศประกอบไปด้วย (ต่อ) อุบัติเหตุทีเกิดจากการสะเพรา่ ในบางครงั ข้อมูลหรอื ซอฟต์แวรอ์ าจเสียหายจากความสะเพรา่ โดยไม่เจตนา อันเนืองมาจากการอบรมใชง้ านไม่ดีพอ หรอื เกิดจากข้อผิดพลาดทีมาจากมนุษย์ อาจส่งผลลัพธท์ ีไม่สมควรเกิดขึนจากการใชง้ านแอปพลิเคชนั

ความเสยี งจากการปฏิบตั ิการออนไลน์ การโจมตีเพือปฏิเสธการใหบ้ รกิ าร ( Denial of Service: DoS) เปนการโจมตีเพือใหค้ อมพิวเตอรห์ รอื ระบบเครอื ข่ายหยุดตอบสนองงานใดๆได้อีก การถูกโจรกรรมโดย Hijack มีความหมายวา่ การทีทรพั ยากรทางคอมพิวเตอร์ ไม่วา่ จะทังหมด หรอื บางส่วนได้ถูกผู้ใดผู้หนึงหรอื แฮกเกอรน์ าํ ไปใชง้ านโดยไม่ได้รบั ความยินยอม จากเจ้าของ การโจรกรรมโดย Hijack อาจถูกดาํ เนินการโดย DoS แต่มีจุดประสงค์ต่างกัน โดย Hijack จะทํางานลุล่วงก็ต่อเมือได้ลักลอบเข้าไปติดตังโปรแกรมขนาดเล็ก ทีเรยี กวา่ บอท (Bot) ลงในคอมพิวเตอร์

มาตรการควบคมุ การควบคมุ ในทีนหี มายถึง ขอ้ บงั คับและขอ้ จาํ กัดใดๆ ทีนาํ มาบงั คับใชก้ ับผใู้ ชร้ ะบบ โดยที การควบคมุ ชว่ ยใหร้ ะบบมคี วามปลอดภัยจากความเสยี งต่างๆทีอาจเกิดขนึ การควบคมุ ชว่ ยใหเ้ กิดความเชอื มนั ต่อขอ้ มูลทีปอนเขา้ ไป วา่ เปนขอ้ มูลทีถกู ต้อง การควบคมุ ชว่ ยลดความเสยี หายของระบบ โปรแกรม และขอ้ มูลซงึ วธิ กี ารควบคมุ ทีสามารถนาํ มาใช้

มาตรการควบคมุ (ต่อ) ปองกันระบบใหพ้ น้ สภาพจากความเสยี ง โดยทัวไปประกอบดว้ ย ความสามรถในการปองกันขอ้ ผดิ พลาดของโปรแกรมและการควบคมุ การปอนขอ้ มูล การสาํ รองขอ้ มูล การควบคมุ การเขา้ ถึง ความเปนหนงึ เดยี วในทรายแซกชนั การตรวจสอบระบบการทํางาน

มาตรการความปลอดภัย ไฟรว์ อลล์(Firewall) ไฟรว์ อลเปนอุปกรณท์ ีนาํ มาใชผ้ ปู้ องกันผบู้ ุกรกั บนอินเตอรเ์ นต็ โดยมเี จตนารา้ ยในการมุง่ บุกรกุ เพอื โจมตีระบบใหเ้ กิดความเสยี หายอุปกรณไ์ ฟรว์ อลอาจจะเปนเรา้ เตอร์ เกตเวย์

มาตรการความปลอดภัย (ต่อ) การพสิ จู นต์ ัวตนและการเขา้ รหสั (Authentication andEncryption) การพสิ จู นต์ ัวตน (Authentication ) คือ กระบวนการทีแสดงถึงความมนั ใจวา่ ผทู้ ีคณุ ต้องการติดต่อ สอื สาร เปนบุคคลทีคณุ ต้องการจะติดต่อจรงิ ๆ ไมใ่ ชถ่ กู ปลอมแปลงมา โดยการพสิ จู นต์ ัวตนสามารถ ดาํ เนนิ การใหส้ าํ เรจ็ ลงได้ จากผสู้ ง่ และผรู้ บั ทีมกี ารแลกเปลียนรหสั ลับทีทังค่รู กู้ ันเท่านนั การเขา้ รหสั (Encryption) ซงึ ขา่ วสารต้นฉบบั ทีอยูใ่ นรปู แบบของขอ้ ความทีอ่านรเู้ รอื ง จะเรยี กวา่ เพลนเท็กซ์ (Plaintext) เมอื นาํ Plaintext มาผา่ นเขา้ รหสั จะเรยี กวา่ ไซเฟอรเ์ ท็กซ์ (Ciphertext)

มาตรการความปลอดภัย (ต่อ) การเขา้ รหสั แบง่ ออกเปน 2 ประเภท ระบบการเขา้ รหสั แบบซมิ เมตรกิ ( Symmetric Cryptosystems) โดยใชก้ ญุ แจเขา้ รหสั และถอดรหสั ในดอกเดยี วกันทังฝงรบั และฝงสง่

มาตรการความปลอดภัย (ต่อ) การเขา้ รหสั แบง่ ออกเปน 2 ประเภท การเขา้ รหสั แบบอซมิ เมตรกิ (Asymmetric Cryptosystems) ซงึ ใชก้ ญุ แจคู่ โดยจะมเี พยี งสองดอกคือ กญุ แจสาธารณะ ( Public Key) และกญุ แจสว่ นตัว ( Private Key) กญุ แจดอกแรกใชใ้ นการเขา้ รหสั และกญุ แจดอกทีสองใชใ้ นการถอดรหสั

มาตรการความปลอดภัย (ต่อ) ลายเซน็ ดจิ ติ อล (Digital Signatures) การใชเ้ ทคโนโลยลี ายเซน็ ดจิ ติ อลเพอื เซน็ กํากับขา่ วสารทีมากับอีเมลล์นนั กําลังเปนทีนยิ มมาก สาํ หรบั การดาํ เนนิ ธุรกิจบนเวบ็ เชน่ อีคอมเมริ ซ์ โดยเฉพาะการโอนเงินผา่ นระบบเวบ็ ซงึ จาํ เปนต้องมี ระบบความปลอดภัยทีนา่ เชอื ถือ เทคโนโลยลี ายเซน็ ดจิ ติ อลจะใชเ้ ทคนคิ การเขา้ รหสั กญุ แจสาธารณะ เชน่ เดยี วกัน แต่จะถกู นาํ ใชใ้ นทิศทางตรงกันขา้ ม ใบรบั รองดจิ ติ อล (Digital Certificates) เปนการพสิ จู นต์ ัวตนดว้ ยลายเซน็ ดจิ ติ อล ทังฝงผสู้ ง่ และผรู้ บั จะต้องใชใ้ บรบั รองทางดจิ ติ อล กล่าวคือ ลายมอื ชอื ของผสู้ ง่ จะต้องไดร้ บั การรบั รองจากองค์กรทีออกใบรบั รอง (Certificate Authority : CA)

ขอ้ เสยี ของมาตรการความปลอดภัย มาตรการความปลอดภัย ไมว่ า่ จะเปนการใชร้ หสั ผา่ น การเขา้ รหสั และการใชไ้ ฟรว์ อลล์ ล้วนแต่เกียวขอ้ งกับค่าใชจ้ า่ ยทีเพมิ ขนึ ทังสนิ อีกทังยงั สง่ ผลต่อการสอื สารขอ้ มูลทีมคี วามเรว็ ตําลง รวมถึงต้องการผใู้ ชท้ ีมคี วามเครง่ ครดั ในวนิ ยั สงู โดยเฉพาะรหสั ผา่ น เนอื งจากพนกั งานสามารถ หลงลืมรหสั ผา่ นของตนไดต้ ลอดเวลา โดยเฉพาะอยา่ ยงิ ระบบทีบงั คับใหพ้ นกั งานต้องตังรหสั ผา่ นใหม่ เมอื ใชง้ านไปแล้ว 30 วนั หรอื 90 วนั

มาตรการก้คู ืน ความทนทานต่อความผดิ พลาด ( Fault Tolerant ) ซงึ เปนแนวคิดของระบบ คือ ระบบจะยงั คง ทํางานอยูไ่ ด้ แมว้ า่ ในสภาวะขนาดนนั เกิดความเสยี หายต่อระบบ โดยมวี ตั ถปุ ระสงค์เพอื ปองกัน ความล้มเหลวจากการทํางานของระบบเท่าทีสามารถจะกระทําได้

มาตรการก้คู ืน (ต่อ) วธิ กี ารทํา Reconfig ขนึ มาใหม่ สรปุ ไดด้ งั นี การตรวจจบั สงิ ผดิ ปกติ ( Fault Detection) เปนกระบวนการตรวจจบั วา่ ไดม้ คี วามเสยี หายเกิดขนึ หรอื ไม่ การระบุตําแหนง่ ทีเสยี หาย ( Fault Location) เปนกระบวนการทีต้องสามารถระบุถึงตําแหนง่ ของอุปกรณ์ ทีก่อใหเ้ กิดความเสยี หาย เพอื นาํ ไปสกู่ ารก้คู ืนไดอ้ ยา่ งถกู ต้องและตรงจุด การยบั ยงั ความเสยี หาย (Fault Containment) เปนกระบวนการนาํ เอาอุปกรณห์ รอื โมดลู ทีเสยี หาย ออกไปจากระบบ เพอื ยบั ยงั ความเสยี หายทีอาจแพรไ่ ปยงั อุปกรณห์ รอื ชนิ สว่ นอืนๆ ใหเ้ กิดความเสยี หาย ตามไปดว้ ย การก้คู ืนจากความเสยี หาย ( Fault Recovery) เปนกระบวนการจดั การระบบใหส้ ามารถกลับมาใชง้ านได้ ตามปกติ ดว้ ยการReconfig ระบบใหก้ ลับมาเหมอื นเดมิ