ความมั่นคงปลอดภัยของระบบสารสนเทศ Information Systems Security
Download
Report
Transcript ความมั่นคงปลอดภัยของระบบสารสนเทศ Information Systems Security
บทที่ 5
1
2
ความมัน่ คงปลอดภัย (Security) คือ สถานะที่มีความ
ปลอดภัย ไร้กงั วล อยู่ในสถานะที่ไม่มีอนั ตรายและได้รบั การ
ป้ องกันจากภัยอันตรายทัง้ ที่เกิดขึ้นโดยตัง้ ใจหรือบังเอิญ
เช่น ความมัน่ คงปลอดภัยของประเทศ ย่อมเกิดขึ้นโดยมี
ระบบป้ องกันหลายระดับ เพื่อปกป้ องผูน้ าประเทศ ทรัพย์สนิ
ทรัพยากร และประชาชนของประเทศ
3
กลุม่ อุตสาหกรรมความมัน่ คงปลอดภัยของคอมพิวเตอร์ ได้กาหนดแนวคิดหลักของ
ความมัน่ คงปลอดภัยของคอมพิวเตอร์ข้ ึน
ประกอบด้วย
1. ความลับ (Confidentiality)
2.ความสมบูรณ์ (Integrity)
3.ความพร้อมใช้ (Availability)
4.ความถูกต้องแม่นยา (Accuracy)
5.เป็ นของแท้ (Authenticity)
6.ความเป็ นส่วนตัว (Privacy)
4
เป็ นการรับประกันว่าผูม้ ีสทิ ธิ์และได้รบั อนุ ญาตเท่านั้นที่สามารถ
เข้าถึงข้อมูลได้
องค์กรต้องมีมาตรการป้ องกันการเข้าถึงสารสนเทศที่เป็ น
ความลับ เช่น
การจัดประเภทของสารสนเทศ
การรักษาความปลอดภัยในกับแหล่งจัดเก็บข้อมูล
กาหนดนโยบายรักษาความมัน่ คงปลอดภัยและนาไปใช้
ให้การศึกษาแก่ทีมงานความมัน่ คงปลอดภัยและผูใ้ ช้
5
ภัยคุกคามที่เพิม่ มากขึ้นในปัจจุบนั
มีสาเหตุมาจาก
ความก้าวหน้าทางเทคโนโลยี ประกอบกับความต้องการความ
สะดวกสบายในการสัง่ ซื้อสินค้าของลูกค้า โดยการยอมให้
สารสนเทศส่วนบุคคลแก่ website เพือ่ สิทธิ์ในการทา
ธุรกรรมต่าง ๆ โดยลืมไปว่าเว็บไซต์เป็ นแหล่งข้อมูลที่สามารถ
ขโมยสารสนเทศไปได้ไม่ยากนัก
6
ความสมบูรณ์ คือ ความครบถ้วน ถูกต้อง และไม่มีสง่ิ แปลกปลอม
สารสนเทศที่มีความสมบูรณ์จงึ เป็ นสารสนเทศที่นาไปใช้ประโยชน์ได้
อย่างถูกต้องครบถ้วน
สารสนเทศจะขาดความสมบูรณ์ ก็ต่อเมื่อสารสนเทศนั้นถูกนาไป
เปลี่ยนแปลง ปลอมปนด้วยสารสนเทศอืน่ ถูกทาให้เสียหาย ถูก
ทาลาย หรือถูกกระทาในรูปแบบอืน่ ๆ เพื่อขัดขวางการพิสูจน์การเป็ น
สารสนเทศจริง
7
ความพร้อมใช้ หมายถึง สารสนเทศจะถูกเข้าถึงหรือเรียกใช้งานได้
อย่างราบรื่น โดยผูใ้ ช้หรือระบบอืน่ ที่ได้รบั อนุ ญาตเท่านั้น
หากเป็ นผูใ้ ช้หรือระบบที่ไม่ได้รบั อนุ ญาต การเข้าถึงหรือเรียกใช้งาน
จะถูกขัดขวางและล้มเหลงในที่สดุ
8
ความถูกต้องแม่นยา หมายถึง สารสนเทศต้องไม่มีความผิดพลาด
และต้องมีค่าตรงกับความคาดหวังของผูใ้ ช้เสมอ
เมื่อใดก็ตามที่สารสนเทศมีค่าผิดเพี้ยนไปจากความคาดหวังของผูใ้ ช้
ไม่ว่าจะเกิดจากการแก้ไขด้วยความตัง้ ใจหรือไม่กต็ าม เมือ่ นั้นจะถือว่า
สารสนเทศ “ไม่มีความถูกต้องแม่นยา”
9
สารสนเทศที่เป็ นของแท้ คือ สารสนเทศที่ถกู จัดทาขึ้นจากแหล่งที่
ถูกต้อง ไม่ถกู ทาซ้าโดยแหล่งอืน่ ที่ไม่ได้รบั อนุ ญาต หรือแหล่งที่ไม่
คุน้ เคยและไม่เคยทราบมาก่อน
10
ความเป็ นส่วนตัว คือ สารสนเทศที่ถกู รวบรวม เรียกใช้ และ
จัดเก็บโดยองค์กร จะต้องถูกใช้ในวัตถุประสงค์ท่ผี ูเ้ ป็ นเข้าของ
สารสนเทศรับทราบ ณ ขณะที่มีการรวบรวมสารสนเทศนั้น
มิฉะนั้นจะถือว่าเป็ นการละเมิดสิทธิสว่ นบุคคลด้านสารสนเทศ
11
NSTISSC (Nation Security
Telecommunications and
Information Systems Security
คือ คณะกรรมการด้านความมัน่ คงโทรคมนาคมและระบบ
สารสนเทศแห่งชาติของต่างประเทศที่ได้รบั การยอมรับแห่งหนึ่ ง
ได้กาหนดแนวคิดความมัน่ คงปลอดภัยขึ้นมา ต่อมาได้กลายเป็ น
มาตรฐานการประเมินความมัน่ คงของระบบสารสนเทศ
12
Technology
Confidentiality
Education
Policy
Confidentiality
Integrity
Availability
Integrity
Availability
แสดงแนวคิดความมัน่ คงปลอดภัยของสารสนเทศตามมาตรฐาน NSTISSC
13
สิง่ สาคัญในการดาเนิ นงานความมัน่ คงปลอดภัยของสารสนเทศนั้น
นอกจากจะมีความคิดหลักในด้านต่างๆ แล้ว ยังรวมถึงการกาหนด
นโยบายการปฏิบตั งิ าน การให้การศึกษา และเทคโนโลยีท่จี ะนามาใช้
เป็ นกลไกควบคุมและป้ องกัน ที่ตอ้ งเกี่ยวข้องกับการจัดการความ
มัน่ คงปลอดภัยของสารสนเทศด้วย
14
Hardware จะใช้นโยบายเดียวกับสินทรัพย์ท่จี บั ต้องได้ขององค์กร คือการ
ป้ องกันจากการลักขโมยหรือภัยอันตรายต่าง ๆ รวมถึงการจัดสถานที่ท่ปี ลอดภัยให้กบั
อุปกรณ์หรือฮาร์ดแวร์
Software ย่อมต้องอยู่ภายใต้เงือ่ นไขของการบริหารโครงการ ภายใต้เวลา
ต้นทุน และกาลังคนที่จากัด ซึ่งมักจะทาภายหลังจากการพัฒนาซอฟต์แวร์เสร็จแล้ว
Database ข้อมูล/สารสนเทศ เป็ นทรัพยากรที่มีค่าขององค์กร การป้ องกันที่
แน่ นหนาก็มีความจาเป็ นสาหรับข้อมูลที่เป็ นความลับ ซึ่งต้องอาศัยนโยบายความ
ปลอดภัยและกลไกป้ องกันที่ดีควบคู่กนั
Network เครือข่ายคอมพิวเตอร์ การเชื่อมต่อระหว่างคอมพิวเตอร์และระหว่าง
เครือข่ายคอมพิวเตอร์ ทาให้เกิดอาชญากรรมและภัยคุกคามคอมพิวเตอร์ โดยเฉพาะ
การเชื่อมต่อระบบสารสนเทศเข้ากับเครือข่ายอินเตอร์เน็ ต
15
ความมัน่ คงปลอดภัย คือ ความไม่สะดวก เนื่ องจากต้อง
เสียเวลาในการป้ อน password และกระบวนการอืน่ ๆ
ในการพิสูจน์ตวั ผูใ้ ช้
มีความซับซ้อนบางอย่างในคอมพิวเตอร์ท่ผ
ี ูใ้ ช้ทวั ่ ไปไม่ทราบ
เช่น Registry , Port, Service ที่เหล่านี้ จะทราบ
ในแวดวงของ Programmer หรือผูด้ ูแลระบบ
16
ผูใ้ ช้คอมไม่ระแวดระวัง
การพัฒนาซอฟต์แวร์ไม่คานึ งถึงความปลอดภัยภายหลัง
แนวโน้มเทคโนโลยีสารสนเทศคือการแบ่งปัน ไม่ใช่ การป้ องกัน
มีการเข้าถึงข้อมูลได้จากทุกสถานที่
ความมัน่ คงปลอดภัยไม่ได้เกิดขึ้นที่ซอฟแวร์และฮาร์ดแวร์เพียงอย่างเดียว
มิจฉาชีพมีความเชี่ยวชาญ (ในการเจาะข้อมูลของผูอ้ น
่ื มากเป็ นพิเศษ)
ฝ่ ายบริหารมักจะไม่ให้ความสาคัญแก่ความมัน่ คงปลอดภัย
17
Boottom –Up Approach เป็ นแนวทางที่ผูด้ ูแลระบบหรือ
เจ้าหน้าที่ ที่รบั ผิดชอบด้านความมัน่ คงปลอดภัยโดยตรง เป็ นผูร้ เิ ริ่มหรือกาหนด
มาตรการรักษาความปลอดภัย ขึ้นมาระหว่างการพัฒนาระบบ
ข้อดี คือ เจ้าหน้าที่จะสามารถดูแลงานด้วยตนเองในทุก ๆ วัน และใช้ความรู ้
ความสามารถ ความเชี่ยวชาญที่มีการปรับปรุงกลไกควบคุมความปลอดภัยให้มี
ประสิทธิภาพอย่างเต็มที่
ข้อเสีย แนวทางนี้ โดยทัว่ ไปมักจะทาให้การดาเนิ นงานความมัน่ คงปลอดภัย
ของสารสนเทศไม่ประสบผลสาเร็จ เนื่ องจากขาดปัจจัยความสาเร็จ เช่น ขาด
การสนับสนุ นจากผูเ้ กี่ยวข้อง หรือขาดอานาจหน้าที่ในการสัง่ การ
18
Top-down Approach การดาเนิ นงานความมัน่ คง
ปลอดภัยจะเริ่มต้นโดยผูบ้ ริหารหรือผูม้ ีอานาจหน้าที่โดยตรง ซึ่ง
สามารถบังคับใช้นโยบาย บุคลากรที่รบั ผิดชอบ
ข้อดี ขัน้ ตอนกระบวนการมัน่ คงได้อย่างเต็มที่ เนื่ องจากได้รบั การ
สนับสนุ นจากผูท้ ่เี กี่ยวข้องเป็ นอย่างดี มีการวางแผน กาหนด
เป้ าหมาย และกระบวนการทางานอย่างชัดเจนและเป็ นทางการ
19
Bottom-up Approach
Top-down Approach
CEO
CFO
CIO
COO
CFO Chief Finance
Officer
CISO
VP-Sytems
VP-Network
CIO Chief Information
Officeพ
Security
Manager
Systems
Manager
Network
Management
COO Chief Operating
Office
CISO Chief Information
Security
Technician
Systems
Technician
Network
Technician
Security Office
VIP Vice President
20
ความลับ (Confidentiality)
การเข้ารหัสและตรวจสอบความถูกต้องของข้อมูลในการเชื่อมต่อใดๆ
การเข้ารหัสข้อมูลต่างๆ เพือ่ ปกปิ ดหากมีการขโมยข้อมูล
ความสมบูรณ์ (Integrity)
การตรวจสอบความถูกต้องของข้อมูลก่อนนามาใช้งาน
ความเป็ นของแท้ (Authenticity)
ตรวจสอบผูใ้ ช้งานและให้สทิ ธิการใช้งานข้อมูลอย่างเหมาะสม
21
Confidentiality & Integrity
22
23
24
Authentication & Authorization
25
การใช้งานเว็บ : SSL
การใช้งานเครือข่ายระยะไกล : SSH
การถ่ายโอนข้อมูล : SFTP
การเชื่อมต่อเครือข่าย : VPN , IP Security
การเก็บรักษาข้อมูลไว้เป็ นความลับ : การเข้ารหัสโดย
DES, AES
การเข้ารหัสข้อมูลในไฟล์ระบบ : การตัง้ ค่า Encrypting
File System (EFS)
26
ข้อผิดพลาดทางเทคนิ คของฮาร์ดแวร์
ข้อผิดพลาดทางเทคนิ คของซอฟต์แวร์
ข้อผิดพลาดจากการกระทาของมนุ ษย์
เทคโนโลยีลา้ สมัย
ภัยธรรมชาติ
การบุกรุก การก่อวินาศกรรมหรือการทาลาย การโจรกรรม
การโจมตีซอฟต์แวร์
คุณภาพของบริการ
27
ระบบสารสนเทศที่มีความสาคัญมากๆ ภายในองค์กร
หรือระบบสารสนเทศที่อาจส่งผลกระทบต่อความมัน่ คง
หรืองานต่างๆ ภายในองค์ เช่น ระบบสารสนเทศทาง
การเงิน เป็ นต้น
28
ระบบการเก็บด้วยเอกสาร (Paper-based systems)
เอกสาร หรือข้อมูลจะถูกจัดเก็บไว้ตูเ้ อกสาร
การรักษาความปลอดภัยจะใช้ในลักษณะกายภาพทัว่ ไป (physical)
เช่น ใช้กูญแจล็อกตู ้ เป็ นต้น
ระบบสารสนเทศ (Information systems)
การจัดเก็บข้อมูลจะอยู่ในรูปแบบอิเล็กทรอนิ กส์ เช่น ไฟล์เอกสาร เสียง
หรือ รูปภาพ เป็ นต้น
การเข้าถึงข้อมูลจะมีลกั ษณะแบบลอจิคลั (Logical) เช่น เข้าถึงด้วย
ชื่อผูใ้ ช้ และรหัสผ่าน เป็ นต้น
29
30
การควบคุมการเข้าใช้งานระบบสารสนเทศ เป็ นการป้ องกัน
หรือลดโอกาสที่ภยั คุกคามต่างๆ จะเข้ามาทาลายระบบ
สารสนเทศต่างๆ ภายในองค์กร
วิธีการควบคุมอาจกระทาได้ 2 รูปแบบ คือ
ควบคุมการเข้าใช้งานระบบสารสนเทศด้วยตนเอง
(Manually)
ควบคุมการเข้าใช้งานระบบสารสนเทศแบบอัตโนมัติ
(Automatically)
31
วิธีการดาเนิ นการจะปฏิบตั ิตาม
นโยบาย (Policies)
ขัน้ ตอน (Procedures)
มาตรฐาน (Standards)
32
การควบคุมทัว่ ไป (General controls)
ควบคุมการออกแบบ การรักษาความปลอดภัย และการใช้ระบบสารสนเทศ
ภายในองค์กร
การควบคุมการใช้งานโปรแกรมประยุกต์ (Application
controls)
ควบคุมการเข้าใช้งานสาหรับแต่ละโปรแกรม
ควบคุมการเข้าใช้งานเฉพาะฟังก์ชนั
33
ควบคุมการดาเนิ นงาน (Implementation controls)
มีการพัฒนาระบบการตรวจสอบหรือควบคุม
ต้องมัน่ ใจว่ามีการจัดการและการควบคุมที่ดี
ต้องมัน่ ใจว่าผูใ้ ช้มีสว่ นร่วม
ต้องมัน่ ใจว่าขัน้ ตอนในการควบคุมมีมาตรฐาน
ควบคุมซอฟต์แวร์ (Software controls)
ตรวจสอบการเข้าถึงข้อมูลระบบเฉพาะผูม้ ีสทิ ธิ์หรือเกี่ยวข้อง
34
ควบคุมฮาร์ดแวร์ (Hardware controls)
รักษาความปลอดภัยของฮาร์ดแวร์ทางกายภาพ
ติดตาม ตรวจสอบและแก้ไขความผิดปกติ
ระบบสิง่ แวดล้อมและการป้ องกัน
สารองข้อมูลบนดิสก์
35
ควบคุมการดาเนิ นการของคอมพิวเตอร์ (Computer
operations controls)
การดาเนิ นงานแบบวันต่อวันของระบบสารสนเทศ
ขัน้ ตอน
การตัง้ ค่าระบบ
การประมวลผลงาน
ขัน้ ตอนการสารองข้อมูลและการกูค้ นื
36
ควบคุมความปลอดภัยของข้อมูล (Data security
controls)
ป้ องกันการเข้าถึงการเปลี่ยนแปลงหรือการทาลายข้อมูล
การควบคุมการใช้ขอ้ มูลหรือการจัดเก็บข้อมูล
การเข้าถึงทางกายภาพไปยังข้อมูลจุดอืน่ ๆ
การป้ องกันรหัสผ่าน
การควบคุมระดับการเข้าถึงข้อมูล
37
ควบคุมการบริหารจัดการ (Administrative
controls)
ตรวจสอบให้แน่ ใจนโยบายขององค์กร วิธีการและมาตรฐาน มีการ
บังคับใช้
แยกฟังก์ชนั ่ เพือ่ ลดข้อผิดพลาดและการทุจริต
การติดตามหรือการกากับดูแลขัน้ ตอนการทางานต้องเป็ นไปตาม
นโยบายขององค์กร
38
ความคุมการนาเข้า (Input controls)
รายการข้อมูลมีความถูกต้องและสอดคล้องกัน
การนาคียข์ อ้ มูลเข้าแบบโดยตรง หรือการป้ อนอัตโนมัติ
การแปลงข้อมูล การแก้ไขและการจัดการข้อผิดพลาด
การตรวจสอบข้อมูล
อนุ มตั ิการป้ อนข้อมูลและการตรวจสอบ
ตรวจสอบผลรวมและดักจับข้อผิดพลาด
39
ควบคุมการประมวลผล (Processing controls)
การประมวลผลข้อมูลมีความถูกต้องและสมบูรณ์
ตรวจสอบผลรวมและดักจับข้อผิดพลาด
เปรียบเทียบกับข้อมูลหลักกับข้อมูลที่มขี อ้ ผิดพลาด
การตรวจสอบข้อมูลก่อนทาการปรับปรุง
40
ควบคุมส่วนนาออก (Output controls)
การส่งออกข้อมูลถูกต้องครบถ้วน และมีความถูกต้อง
ตรวจสอบจานวนข้อมูลผิดพลาด
การตรวจสอบบันทึกข้อมูลการประมวลผล
การติดตามผูร้ บั ข้อมูล
41
แนวคิดหลักของความมัน่ คงปลอดภัยของสารสนเทศ มีอะไรบ้าง จง
อธิบาย
แนวทางในการดาเนิ นงานความมัน่ คงปลอดภัยของสารสนเทศ มี
อะไรบ้าง
จงอธิบาย
ภัยคุกคามต่อระบบสารสนเทศ มีอะไรบ้าง จงอธิบาย พร้อม
ยกตัวอย่างประกอบ
การควบคุมการเข้าใช้งานระบบสารสนเทศ มีอะไรบ้าง จงอธิบาย
42