การรักษาความปลอดภัยของระบบสารสนเทศและจรรยาบรรณเบื้องต้น
การกระทำที่ก่อให้เกิดการสูญเสียต่อฮาร์ดแวร์ (Hardware) ซอฟต์แวร์ (Software) ข้อมูล สารสนเทศ
ประเภทของความเสี่ยงของระบบสารสนเทศ
1.การโจมตีระบบเครือข่าย Network attack
- การโจมตีพื้นฐาน เช่น กลลวงทางสังคม Social engineering และการรื้อค้นเอกสารทางคอมจากที่ทิ้งขยะ Dumpster Diving
- การโจมตีด้านคุณลักษณะ Identity Attacks เช่น DNS Spoofing และ email spoofing >> ส่งไวรัสจากตัวเครื่องเราไปให้คนอื่น (Email Spoofing) อย่ากดlink ในemail/ หลอกล่อให้เข้าไปในเว็บที่หน้าเว็บคล้ายของจริงแล้วเอาข้อมูล/ IP Spoofing ถ้าเราอยากจะส่งเมลไปหรือเข้าที่หนึ่ง แต่มันส่งเมลหรือเราเข้าไปที่อื่น
- การปฎิเสธการให้บริการ Denial of Service หรือ Dos เช่น Distrivuted denial of service (DdoS) HTTP Flood Denial of Service (DoSHTTP) >> กด request เยอะๆให้ระบบล่ม, Distrivuted denial –of –service ถ้ามีไวรัสนี้ฝังอยู่ ถ้าเรา online อยู่ให้คอมส่ง request ได้เว็บหนึ่งอัตโนมัติ (Zombi)
- การโจมด้วยมัลแวร์ Malware
2.การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access) การใช้คอมหรือระบบเครือข่ายดยไม่มีสิทธิ >>การเข้าระบบของ banking ไปขโมยข้อมูลลูกค้า หรือใช้คอมผิดวัตถุประสงค์ >> เอาคอมมหาลัยโหลดหนัง เอาคอมบริษัทเล่น fb
3.การขโมย(Theft) >>ฮาร์ดแวร์และการทำลายฮาร์ดแวร์/ขโมยซอฟต์แวร์/ขโมยข้อมูลที่เป็นความลับส่วนบุคคล
1.การโจมตีระบบเครือข่าย Network attack
- การโจมตีพื้นฐาน เช่น กลลวงทางสังคม Social engineering และการรื้อค้นเอกสารทางคอมจากที่ทิ้งขยะ Dumpster Diving
- การโจมตีด้านคุณลักษณะ Identity Attacks เช่น DNS Spoofing และ email spoofing >> ส่งไวรัสจากตัวเครื่องเราไปให้คนอื่น (Email Spoofing) อย่ากดlink ในemail/ หลอกล่อให้เข้าไปในเว็บที่หน้าเว็บคล้ายของจริงแล้วเอาข้อมูล/ IP Spoofing ถ้าเราอยากจะส่งเมลไปหรือเข้าที่หนึ่ง แต่มันส่งเมลหรือเราเข้าไปที่อื่น
- การปฎิเสธการให้บริการ Denial of Service หรือ Dos เช่น Distrivuted denial of service (DdoS) HTTP Flood Denial of Service (DoSHTTP) >> กด request เยอะๆให้ระบบล่ม, Distrivuted denial –of –service ถ้ามีไวรัสนี้ฝังอยู่ ถ้าเรา online อยู่ให้คอมส่ง request ได้เว็บหนึ่งอัตโนมัติ (Zombi)
- การโจมด้วยมัลแวร์ Malware
2.การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access) การใช้คอมหรือระบบเครือข่ายดยไม่มีสิทธิ >>การเข้าระบบของ banking ไปขโมยข้อมูลลูกค้า หรือใช้คอมผิดวัตถุประสงค์ >> เอาคอมมหาลัยโหลดหนัง เอาคอมบริษัทเล่น fb
3.การขโมย(Theft) >>ฮาร์ดแวร์และการทำลายฮาร์ดแวร์/ขโมยซอฟต์แวร์/ขโมยข้อมูลที่เป็นความลับส่วนบุคคล
การรักษาความปลอดภัยของระบบสารสนเทศ
การรักษาความปลอดภัยการโจมตีระบบเครือข่าย มีกระบวนการดังนี้
การรักษาความปลอดภัยการโจมตีระบบเครือข่าย มีกระบวนการดังนี้
-ติดตั้งโปรแกรมป้องกันไวรัสและต้องอัพเดตตลอดๆ (จริงๆ weakest link คือคนใช้โปรแกรม)
-ติดตั้งไฟร์วอลล์
-ติดตั้งซอฟแวร์ตรวจจับการบุกรุก ดูว่าคนที่เข้ามาใช้ระบบเป็นใคร ip address อะไร บางทีต้องให้เฉพาะคนเข้ามาได้เท่านั้น
-ติดตั้ง honeypot คือ ตัวหลอกให้คนแฮกหลงเข้าไปแฮกในระบบหลอกแทน
ประเภทของการเข้ารหัส
-การเข้ารหัสแบบสมมาตร ปัญหา คือ การเก็บรักษาคีย์ที่ใช้ในการเข้ารหัสและถอดรหัสซึ่งเป็นคีย์ตัวเดียวกันให้เป็นความลับ นอกจากนี้ผู้ส่งและผู้รับจะมั่นใจได้อย่างไรว่าคีย์ที่แลกเปลี่ยนกันนั้นไม่ถูกเปิดเผยให้ผู้ใดทราบ
-การเข้ารหัสแบบไม่สมมาตร เช่น Amazonมีคีย์ลับเป็นของตัวเอง1คีย์ ที่เป็น Public key แล้วให้คีย์ของลูกค้าแต่ละคนต่างกัน เช่น ใช้บัตรเครดิตเป็นคีย์
-ติดตั้งไฟร์วอลล์
-ติดตั้งซอฟแวร์ตรวจจับการบุกรุก ดูว่าคนที่เข้ามาใช้ระบบเป็นใคร ip address อะไร บางทีต้องให้เฉพาะคนเข้ามาได้เท่านั้น
-ติดตั้ง honeypot คือ ตัวหลอกให้คนแฮกหลงเข้าไปแฮกในระบบหลอกแทน
ประเภทของการเข้ารหัส
-การเข้ารหัสแบบสมมาตร ปัญหา คือ การเก็บรักษาคีย์ที่ใช้ในการเข้ารหัสและถอดรหัสซึ่งเป็นคีย์ตัวเดียวกันให้เป็นความลับ นอกจากนี้ผู้ส่งและผู้รับจะมั่นใจได้อย่างไรว่าคีย์ที่แลกเปลี่ยนกันนั้นไม่ถูกเปิดเผยให้ผู้ใดทราบ
-การเข้ารหัสแบบไม่สมมาตร เช่น Amazonมีคีย์ลับเป็นของตัวเอง1คีย์ ที่เป็น Public key แล้วให้คีย์ของลูกค้าแต่ละคนต่างกัน เช่น ใช้บัตรเครดิตเป็นคีย์
จรรยาบรรณ
คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย- การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต - การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์) - ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ ก๊อบ- สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights) - หลักปฏิบัติ (Code of conduct) - ความเป็นส่วนตัวของสารสนเทศ (Information privacy)
คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย- การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต - การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์) - ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ ก๊อบ- สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights) - หลักปฏิบัติ (Code of conduct) - ความเป็นส่วนตัวของสารสนเทศ (Information privacy)
ไม่มีความคิดเห็น:
แสดงความคิดเห็น