Transcript ความมั่นคงปลอดภัยของระบบสารสนเทศ Information Systems Security

บทที่ 5
1
2
ความมัน่ คงปลอดภัย (Security) คือ สถานะที่มีความ
ปลอดภัย ไร้กงั วล อยู่ในสถานะที่ไม่มีอนั ตรายและได้รบั การ
ป้ องกันจากภัยอันตรายทัง้ ที่เกิดขึ้นโดยตัง้ ใจหรือบังเอิญ
 เช่น ความมัน่ คงปลอดภัยของประเทศ ย่อมเกิดขึ้นโดยมี
ระบบป้ องกันหลายระดับ เพื่อปกป้ องผูน้ าประเทศ ทรัพย์สนิ
ทรัพยากร และประชาชนของประเทศ

3

กลุม่ อุตสาหกรรมความมัน่ คงปลอดภัยของคอมพิวเตอร์ ได้กาหนดแนวคิดหลักของ
ความมัน่ คงปลอดภัยของคอมพิวเตอร์ข้ ึน
ประกอบด้วย
1. ความลับ (Confidentiality)
2.ความสมบูรณ์ (Integrity)
3.ความพร้อมใช้ (Availability)
4.ความถูกต้องแม่นยา (Accuracy)
5.เป็ นของแท้ (Authenticity)
6.ความเป็ นส่วนตัว (Privacy)
4

เป็ นการรับประกันว่าผูม้ ีสทิ ธิ์และได้รบั อนุ ญาตเท่านั้นที่สามารถ
เข้าถึงข้อมูลได้
 องค์กรต้องมีมาตรการป้ องกันการเข้าถึงสารสนเทศที่เป็ น
ความลับ เช่น
การจัดประเภทของสารสนเทศ
การรักษาความปลอดภัยในกับแหล่งจัดเก็บข้อมูล
กาหนดนโยบายรักษาความมัน่ คงปลอดภัยและนาไปใช้
ให้การศึกษาแก่ทีมงานความมัน่ คงปลอดภัยและผูใ้ ช้
5
 ภัยคุกคามที่เพิม่ มากขึ้นในปัจจุบนั
มีสาเหตุมาจาก
ความก้าวหน้าทางเทคโนโลยี ประกอบกับความต้องการความ
สะดวกสบายในการสัง่ ซื้อสินค้าของลูกค้า โดยการยอมให้
สารสนเทศส่วนบุคคลแก่ website เพือ่ สิทธิ์ในการทา
ธุรกรรมต่าง ๆ โดยลืมไปว่าเว็บไซต์เป็ นแหล่งข้อมูลที่สามารถ
ขโมยสารสนเทศไปได้ไม่ยากนัก
6

ความสมบูรณ์ คือ ความครบถ้วน ถูกต้อง และไม่มีสง่ิ แปลกปลอม
สารสนเทศที่มีความสมบูรณ์จงึ เป็ นสารสนเทศที่นาไปใช้ประโยชน์ได้
อย่างถูกต้องครบถ้วน
 สารสนเทศจะขาดความสมบูรณ์ ก็ต่อเมื่อสารสนเทศนั้นถูกนาไป
เปลี่ยนแปลง ปลอมปนด้วยสารสนเทศอืน่ ถูกทาให้เสียหาย ถูก
ทาลาย หรือถูกกระทาในรูปแบบอืน่ ๆ เพื่อขัดขวางการพิสูจน์การเป็ น
สารสนเทศจริง
7

ความพร้อมใช้ หมายถึง สารสนเทศจะถูกเข้าถึงหรือเรียกใช้งานได้
อย่างราบรื่น โดยผูใ้ ช้หรือระบบอืน่ ที่ได้รบั อนุ ญาตเท่านั้น

หากเป็ นผูใ้ ช้หรือระบบที่ไม่ได้รบั อนุ ญาต การเข้าถึงหรือเรียกใช้งาน
จะถูกขัดขวางและล้มเหลงในที่สดุ
8

ความถูกต้องแม่นยา หมายถึง สารสนเทศต้องไม่มีความผิดพลาด
และต้องมีค่าตรงกับความคาดหวังของผูใ้ ช้เสมอ

เมื่อใดก็ตามที่สารสนเทศมีค่าผิดเพี้ยนไปจากความคาดหวังของผูใ้ ช้
ไม่ว่าจะเกิดจากการแก้ไขด้วยความตัง้ ใจหรือไม่กต็ าม เมือ่ นั้นจะถือว่า
สารสนเทศ “ไม่มีความถูกต้องแม่นยา”
9

สารสนเทศที่เป็ นของแท้ คือ สารสนเทศที่ถกู จัดทาขึ้นจากแหล่งที่
ถูกต้อง ไม่ถกู ทาซ้าโดยแหล่งอืน่ ที่ไม่ได้รบั อนุ ญาต หรือแหล่งที่ไม่
คุน้ เคยและไม่เคยทราบมาก่อน
10

ความเป็ นส่วนตัว คือ สารสนเทศที่ถกู รวบรวม เรียกใช้ และ
จัดเก็บโดยองค์กร จะต้องถูกใช้ในวัตถุประสงค์ท่ผี ูเ้ ป็ นเข้าของ
สารสนเทศรับทราบ ณ ขณะที่มีการรวบรวมสารสนเทศนั้น

มิฉะนั้นจะถือว่าเป็ นการละเมิดสิทธิสว่ นบุคคลด้านสารสนเทศ
11
NSTISSC (Nation Security
Telecommunications and
Information Systems Security
 คือ คณะกรรมการด้านความมัน่ คงโทรคมนาคมและระบบ
สารสนเทศแห่งชาติของต่างประเทศที่ได้รบั การยอมรับแห่งหนึ่ ง
ได้กาหนดแนวคิดความมัน่ คงปลอดภัยขึ้นมา ต่อมาได้กลายเป็ น
มาตรฐานการประเมินความมัน่ คงของระบบสารสนเทศ

12
Technology
Confidentiality
Education
Policy
Confidentiality
Integrity
Availability
Integrity
Availability
แสดงแนวคิดความมัน่ คงปลอดภัยของสารสนเทศตามมาตรฐาน NSTISSC
13

สิง่ สาคัญในการดาเนิ นงานความมัน่ คงปลอดภัยของสารสนเทศนั้น
นอกจากจะมีความคิดหลักในด้านต่างๆ แล้ว ยังรวมถึงการกาหนด
นโยบายการปฏิบตั งิ าน การให้การศึกษา และเทคโนโลยีท่จี ะนามาใช้
เป็ นกลไกควบคุมและป้ องกัน ที่ตอ้ งเกี่ยวข้องกับการจัดการความ
มัน่ คงปลอดภัยของสารสนเทศด้วย
14




Hardware จะใช้นโยบายเดียวกับสินทรัพย์ท่จี บั ต้องได้ขององค์กร คือการ
ป้ องกันจากการลักขโมยหรือภัยอันตรายต่าง ๆ รวมถึงการจัดสถานที่ท่ปี ลอดภัยให้กบั
อุปกรณ์หรือฮาร์ดแวร์
Software ย่อมต้องอยู่ภายใต้เงือ่ นไขของการบริหารโครงการ ภายใต้เวลา
ต้นทุน และกาลังคนที่จากัด ซึ่งมักจะทาภายหลังจากการพัฒนาซอฟต์แวร์เสร็จแล้ว
Database ข้อมูล/สารสนเทศ เป็ นทรัพยากรที่มีค่าขององค์กร การป้ องกันที่
แน่ นหนาก็มีความจาเป็ นสาหรับข้อมูลที่เป็ นความลับ ซึ่งต้องอาศัยนโยบายความ
ปลอดภัยและกลไกป้ องกันที่ดีควบคู่กนั
Network เครือข่ายคอมพิวเตอร์ การเชื่อมต่อระหว่างคอมพิวเตอร์และระหว่าง
เครือข่ายคอมพิวเตอร์ ทาให้เกิดอาชญากรรมและภัยคุกคามคอมพิวเตอร์ โดยเฉพาะ
การเชื่อมต่อระบบสารสนเทศเข้ากับเครือข่ายอินเตอร์เน็ ต
15

ความมัน่ คงปลอดภัย คือ ความไม่สะดวก เนื่ องจากต้อง
เสียเวลาในการป้ อน password และกระบวนการอืน่ ๆ
ในการพิสูจน์ตวั ผูใ้ ช้
 มีความซับซ้อนบางอย่างในคอมพิวเตอร์ท่ผ
ี ูใ้ ช้ทวั ่ ไปไม่ทราบ
เช่น Registry , Port, Service ที่เหล่านี้ จะทราบ
ในแวดวงของ Programmer หรือผูด้ ูแลระบบ
16


ผูใ้ ช้คอมไม่ระแวดระวัง
การพัฒนาซอฟต์แวร์ไม่คานึ งถึงความปลอดภัยภายหลัง
 แนวโน้มเทคโนโลยีสารสนเทศคือการแบ่งปัน ไม่ใช่ การป้ องกัน
 มีการเข้าถึงข้อมูลได้จากทุกสถานที่
 ความมัน่ คงปลอดภัยไม่ได้เกิดขึ้นที่ซอฟแวร์และฮาร์ดแวร์เพียงอย่างเดียว
 มิจฉาชีพมีความเชี่ยวชาญ (ในการเจาะข้อมูลของผูอ้ น
่ื มากเป็ นพิเศษ)
 ฝ่ ายบริหารมักจะไม่ให้ความสาคัญแก่ความมัน่ คงปลอดภัย
17



Boottom –Up Approach เป็ นแนวทางที่ผูด้ ูแลระบบหรือ
เจ้าหน้าที่ ที่รบั ผิดชอบด้านความมัน่ คงปลอดภัยโดยตรง เป็ นผูร้ เิ ริ่มหรือกาหนด
มาตรการรักษาความปลอดภัย ขึ้นมาระหว่างการพัฒนาระบบ
ข้อดี คือ เจ้าหน้าที่จะสามารถดูแลงานด้วยตนเองในทุก ๆ วัน และใช้ความรู ้
ความสามารถ ความเชี่ยวชาญที่มีการปรับปรุงกลไกควบคุมความปลอดภัยให้มี
ประสิทธิภาพอย่างเต็มที่
ข้อเสีย แนวทางนี้ โดยทัว่ ไปมักจะทาให้การดาเนิ นงานความมัน่ คงปลอดภัย
ของสารสนเทศไม่ประสบผลสาเร็จ เนื่ องจากขาดปัจจัยความสาเร็จ เช่น ขาด
การสนับสนุ นจากผูเ้ กี่ยวข้อง หรือขาดอานาจหน้าที่ในการสัง่ การ
18
Top-down Approach การดาเนิ นงานความมัน่ คง
ปลอดภัยจะเริ่มต้นโดยผูบ้ ริหารหรือผูม้ ีอานาจหน้าที่โดยตรง ซึ่ง
สามารถบังคับใช้นโยบาย บุคลากรที่รบั ผิดชอบ
 ข้อดี ขัน้ ตอนกระบวนการมัน่ คงได้อย่างเต็มที่ เนื่ องจากได้รบั การ
สนับสนุ นจากผูท้ ่เี กี่ยวข้องเป็ นอย่างดี มีการวางแผน กาหนด
เป้ าหมาย และกระบวนการทางานอย่างชัดเจนและเป็ นทางการ

19
Bottom-up Approach
Top-down Approach
CEO
CFO
CIO
COO
CFO Chief Finance
Officer
CISO
VP-Sytems
VP-Network
CIO Chief Information
Officeพ
Security
Manager
Systems
Manager
Network
Management
COO Chief Operating
Office
CISO Chief Information
Security
Technician
Systems
Technician
Network
Technician
Security Office
VIP Vice President
20



ความลับ (Confidentiality)
 การเข้ารหัสและตรวจสอบความถูกต้องของข้อมูลในการเชื่อมต่อใดๆ
 การเข้ารหัสข้อมูลต่างๆ เพือ่ ปกปิ ดหากมีการขโมยข้อมูล
ความสมบูรณ์ (Integrity)
 การตรวจสอบความถูกต้องของข้อมูลก่อนนามาใช้งาน
ความเป็ นของแท้ (Authenticity)
 ตรวจสอบผูใ้ ช้งานและให้สทิ ธิการใช้งานข้อมูลอย่างเหมาะสม
21
Confidentiality & Integrity
22
23
24
Authentication & Authorization
25
การใช้งานเว็บ : SSL
การใช้งานเครือข่ายระยะไกล : SSH
การถ่ายโอนข้อมูล : SFTP
 การเชื่อมต่อเครือข่าย : VPN , IP Security
 การเก็บรักษาข้อมูลไว้เป็ นความลับ : การเข้ารหัสโดย
DES, AES
 การเข้ารหัสข้อมูลในไฟล์ระบบ : การตัง้ ค่า Encrypting
File System (EFS)



26








ข้อผิดพลาดทางเทคนิ คของฮาร์ดแวร์
ข้อผิดพลาดทางเทคนิ คของซอฟต์แวร์
ข้อผิดพลาดจากการกระทาของมนุ ษย์
เทคโนโลยีลา้ สมัย
ภัยธรรมชาติ
การบุกรุก การก่อวินาศกรรมหรือการทาลาย การโจรกรรม
การโจมตีซอฟต์แวร์
คุณภาพของบริการ
27
 ระบบสารสนเทศที่มีความสาคัญมากๆ ภายในองค์กร
หรือระบบสารสนเทศที่อาจส่งผลกระทบต่อความมัน่ คง
หรืองานต่างๆ ภายในองค์ เช่น ระบบสารสนเทศทาง
การเงิน เป็ นต้น
28


ระบบการเก็บด้วยเอกสาร (Paper-based systems)
 เอกสาร หรือข้อมูลจะถูกจัดเก็บไว้ตูเ้ อกสาร
 การรักษาความปลอดภัยจะใช้ในลักษณะกายภาพทัว่ ไป (physical)
เช่น ใช้กูญแจล็อกตู ้ เป็ นต้น
ระบบสารสนเทศ (Information systems)
 การจัดเก็บข้อมูลจะอยู่ในรูปแบบอิเล็กทรอนิ กส์ เช่น ไฟล์เอกสาร เสียง
หรือ รูปภาพ เป็ นต้น
 การเข้าถึงข้อมูลจะมีลกั ษณะแบบลอจิคลั (Logical) เช่น เข้าถึงด้วย
ชื่อผูใ้ ช้ และรหัสผ่าน เป็ นต้น
29
30
 การควบคุมการเข้าใช้งานระบบสารสนเทศ เป็ นการป้ องกัน
หรือลดโอกาสที่ภยั คุกคามต่างๆ จะเข้ามาทาลายระบบ
สารสนเทศต่างๆ ภายในองค์กร
 วิธีการควบคุมอาจกระทาได้ 2 รูปแบบ คือ
 ควบคุมการเข้าใช้งานระบบสารสนเทศด้วยตนเอง
(Manually)
 ควบคุมการเข้าใช้งานระบบสารสนเทศแบบอัตโนมัติ
(Automatically)
31
 วิธีการดาเนิ นการจะปฏิบตั ิตาม
 นโยบาย (Policies)
 ขัน้ ตอน (Procedures)
 มาตรฐาน (Standards)
32

การควบคุมทัว่ ไป (General controls)
 ควบคุมการออกแบบ การรักษาความปลอดภัย และการใช้ระบบสารสนเทศ
ภายในองค์กร

การควบคุมการใช้งานโปรแกรมประยุกต์ (Application
controls)
 ควบคุมการเข้าใช้งานสาหรับแต่ละโปรแกรม
 ควบคุมการเข้าใช้งานเฉพาะฟังก์ชนั
33

ควบคุมการดาเนิ นงาน (Implementation controls)
 มีการพัฒนาระบบการตรวจสอบหรือควบคุม
 ต้องมัน่ ใจว่ามีการจัดการและการควบคุมที่ดี
 ต้องมัน่ ใจว่าผูใ้ ช้มีสว่ นร่วม
 ต้องมัน่ ใจว่าขัน้ ตอนในการควบคุมมีมาตรฐาน

ควบคุมซอฟต์แวร์ (Software controls)
 ตรวจสอบการเข้าถึงข้อมูลระบบเฉพาะผูม้ ีสทิ ธิ์หรือเกี่ยวข้อง
34

ควบคุมฮาร์ดแวร์ (Hardware controls)
 รักษาความปลอดภัยของฮาร์ดแวร์ทางกายภาพ
 ติดตาม ตรวจสอบและแก้ไขความผิดปกติ
 ระบบสิง่ แวดล้อมและการป้ องกัน
 สารองข้อมูลบนดิสก์
35

ควบคุมการดาเนิ นการของคอมพิวเตอร์ (Computer
operations controls)
 การดาเนิ นงานแบบวันต่อวันของระบบสารสนเทศ
 ขัน้ ตอน
 การตัง้ ค่าระบบ
 การประมวลผลงาน
 ขัน้ ตอนการสารองข้อมูลและการกูค้ นื
36

ควบคุมความปลอดภัยของข้อมูล (Data security
controls)
 ป้ องกันการเข้าถึงการเปลี่ยนแปลงหรือการทาลายข้อมูล
 การควบคุมการใช้ขอ้ มูลหรือการจัดเก็บข้อมูล
 การเข้าถึงทางกายภาพไปยังข้อมูลจุดอืน่ ๆ
 การป้ องกันรหัสผ่าน
 การควบคุมระดับการเข้าถึงข้อมูล
37
 ควบคุมการบริหารจัดการ (Administrative
controls)
 ตรวจสอบให้แน่ ใจนโยบายขององค์กร วิธีการและมาตรฐาน มีการ
บังคับใช้
 แยกฟังก์ชนั ่ เพือ่ ลดข้อผิดพลาดและการทุจริต
 การติดตามหรือการกากับดูแลขัน้ ตอนการทางานต้องเป็ นไปตาม
นโยบายขององค์กร
38

ความคุมการนาเข้า (Input controls)
 รายการข้อมูลมีความถูกต้องและสอดคล้องกัน
 การนาคียข์ อ้ มูลเข้าแบบโดยตรง หรือการป้ อนอัตโนมัติ
 การแปลงข้อมูล การแก้ไขและการจัดการข้อผิดพลาด
 การตรวจสอบข้อมูล
 อนุ มตั ิการป้ อนข้อมูลและการตรวจสอบ
 ตรวจสอบผลรวมและดักจับข้อผิดพลาด
39
 ควบคุมการประมวลผล (Processing controls)
 การประมวลผลข้อมูลมีความถูกต้องและสมบูรณ์
 ตรวจสอบผลรวมและดักจับข้อผิดพลาด
 เปรียบเทียบกับข้อมูลหลักกับข้อมูลที่มขี อ้ ผิดพลาด
 การตรวจสอบข้อมูลก่อนทาการปรับปรุง
40

ควบคุมส่วนนาออก (Output controls)
 การส่งออกข้อมูลถูกต้องครบถ้วน และมีความถูกต้อง
 ตรวจสอบจานวนข้อมูลผิดพลาด
 การตรวจสอบบันทึกข้อมูลการประมวลผล
 การติดตามผูร้ บั ข้อมูล
41

แนวคิดหลักของความมัน่ คงปลอดภัยของสารสนเทศ มีอะไรบ้าง จง
อธิบาย
 แนวทางในการดาเนิ นงานความมัน่ คงปลอดภัยของสารสนเทศ มี
อะไรบ้าง
จงอธิบาย
 ภัยคุกคามต่อระบบสารสนเทศ มีอะไรบ้าง จงอธิบาย พร้อม
ยกตัวอย่างประกอบ
 การควบคุมการเข้าใช้งานระบบสารสนเทศ มีอะไรบ้าง จงอธิบาย
42