Transcript บทที่ 1 ภาพรวม - WordPress.com

บทที่ 1 ภาพรวมความมั่นคง
ปลอดภัยของสารสนเทศ
รายวิชา การจัดการความปลอดภัยในระบบ
คอมพิวเตอร ์
อาจารย์พลอยพรรณ สอนสุวท
ิ ย์
http://ployphan17.wordpress.com
[email protected]
088-2797799
1. ความมั่นคงปลอดภัยของสารสนเทศคือ
อะไร

ความมัน
่ คงปลอดภัย (security) คือสถานะทีม
่ ค
ี วาม
ปลอดภัย ไร ้กังวล กล่าวคือ อยูใ่ นสถานะทีไ่ ม่มอ
ี น
ั ตราย
และได ้รับการป้ องกันจากภัยอันตรายทัง้ ทีเ่ กิดขึน
้ โดย
ตัง้ ใจหรือโดยบังเอิญ [E. Whitman and J. Mattord,
20058]

ความมัน
่ คงปลอดภัยของสารสนเทศ (Information
Security) คือ การป้ องกันสารสนเทศและองค์ประกอบ
้
อืน
่ ๆ ทีเ่ กีย
่ วข ้อง ซงึ่ รวมถึงระบบฮาร์ดแวร์ทใี่ ชในการ
จัดเก็บและโอนสารสนเทศนัน
้ ด ้วย (www.cnss.gov)

จากนิยามความมัน
่ คงข ้างต ้น สรุปเป็ นภาพได ้ดังนี้
Policy
Information Security
Management
Network Security
Computer & Data
Security
2. แนวคิดหลักของความมั่นคงปลอดภัย
สารสนเทศ

่
กลุม
่ อุตสาหกรรมความมันคงปลอดภั
ยของคอมพิวเตอร ์ ได ้
้ ยกว่า C.I.A Triangle ดังนี ้
กาหนดแนวคิดขึนเรี
Confidentiality
Securi
ty
Objec
tive
Integrity
Availability
Confidentiality (ความลับ)

์
่
เป็ นการร ับประกันว่า ผูม้ ส
ี ท
ิ ธิและได
้ร ับอนุ ญาตเท่านั้นทีสามารถ
่ กเข ้าถึงโดยบุคคลทีไม่
่ มส
เข ้าถึงข ้อมูลได ้ : สารสนเทศทีถู
ี ท
ิ ธิ ์
่ นความลับถูก
หรือไม่ได ้ร ับอนุ ญาต จะถือเป็ นสารสนเทศทีเป็
่
เปิ ดเผย ซึงองค
์กรต ้องมีมาตรการป้ องกัน เช่น
◦
◦
◦
◦
การจัดประเภทของสารสนเทศ
การร ักษาความปลอดภัยให ้กับแหล่งข ้อมูล
่
การกาหนดนโยบายความมันคงปลอดภั
ยและนาไปใช ้งาน
่
การให ้การศึกษาแก่ทม
ี งานความมันคลปลอดภั
ยและนาไปใช ้
Integrity (ความสมบูรณ์)


หมายถึงความครบถ ้วนถูกต ้อง และไม่มส
ี งปลอมปน
ิ่
ดังนั้น
่ ความสมบูรณ์จงึ เป็ นสารสนเทศทีน
่ าไปใช ้
สารสนเทศทีมี
ประโยชน์ได ้อย่างถูกต ้องและครบถ ้วน
เช่น ถูกทาให ้เสียหาย ไฟล ์หาย เนื่ องจาก virus, worm หรือ
Hacker ทาการปลอมปน สร ้างความเสียหายให ้กับข ้อมูลองค ์กร
่ อ้
ได ้ ยอดเงินในบัญชีธนาคาร หรือ แก ้ไขราคาในการสังซื
Availability (ความพร ้อมใช ้)


่
หมายถึงสารสนเทศจะถูกเข ้าใช ้หรือเรียกใช ้งานได ้อย่างราบรืน
่ ได
่ ้ร ับอนุ ญาตเท่านั้น หากเป็ นผูใ้ ช ้ระบบที่
โดยผูใ้ ช ้ระบบอืนที
ไม่ได ้ร ับอนุ ญาต การเข ้าถึงก็จะล ้มเหลวถูกขัดขวาง
้
้
เช่น การป้ องกันเนื อหางานวิ
จยั ในห ้องสมุด เนื อหางานวิ
จยั จะ
่ ้ร ับอนุ ญาต คือสมาชิกของห ้องสมุดนั่นเอง
พร ้อมใช ้ต่อผูใ้ ช ้ทีได
ดังนั้น จึงต ้องมีการระบุตวั ตน (Identification) ว่าเป็ นสมาชิก
ห ้องสมุดและพิสจู น์ได ้ว่าได ้ร ับอนุ ญาตจริง (Authorization)
3. องค์ประกอบของระบบสารสนเทศกับ
ความมั่นคงปลอดภัย






Software
Hardware
Data
People  Social Engineering ? (Quiz#1)
Procedure
Network
4. อุปสรรคของงานความมั่นคงปลอดภัน
ของสารสนเทศ
่
ความมันคงปลอดภั
ย คือความไม่สะดวก : ต ้องเสียเวลาป้ อน
รหัสผ่านพิสจู น์ตวั ตน
่ ใ้ ช ้ทัวไปไม่
่
 มีความซ ับซ ้อนบางอย่างทีผู
ทราบ : Port,
่ ใ้ ช ้ทัวไปไม่
่
Services ต่างๆทีผู
ทราบ และไม่ได ้ระวังความ
ปลอดภัย
่
 ผูใ้ ช ้ไม่ระวัง : ไม่ชานาญและไม่ระวัง จึงตกเป็ นเหยือของการ
โจมตี
 การพัฒนาซอฟต ์แวร ์ไม่คานึ งถึงความปลอดภัย หรือคานึ งถึงใน
ภายหลัง
 แนวโน้มเทคโนโลยีคอ
ื การแบ่งปัน ไม่ใช่การป้ องกัน : Social
Network  Facebook, Twitter, Google+
 มีการเข ้าถึงได ้ทุกสถานที่ : smart phone, online storage
่
 มิจฉาชีพมีความเชียวชาญ

5. วงจรการพัฒนาระบบความมั่นคงปลอดภัย
ของสารสนเทศ
Investig
ation
Analysis
Logical
Design
Impleme
ntation
Maintenance
and Change
Repeat