ระบบสารสนเทศถือเป็นหัวใจสำคัญขององค์กร เนื่องจากองค์กรมีการเก็บข้อมูลของลูกค้าเอาไว้จำนวนมาก ถ้าเกิดข้อมูลลูกค้าสูญหายหรือถูกขโมยไปจะส่งผลเสียต่อองค์กรเป็นอย่างมาก
ความเสี่ยงของระบบสารสนเทศ หมายถึง เหตุการณ์หรือการกระทำใดๆที่ก่อให้เกิดความสูญเสียหรือทำลายฮาร์ดแวร์ ซอฟต์แวร์ ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ
โอกาสที่จะเกิดความเสียหายในเรื่องของระบบสารสนเทศส่วนมากมักจะมาจากบุคคลในองค์กร เนื่องจากบุคคลในองค์กรมักเป็นผู้ที่รู้ข้อมูลและเรื่องราวภายในองค์กร นอกจากนั้นลักษณะการใช้งานของบุคลากรยังอาจสร้างความเสียหาย เช่น การใช้ USB ที่มีไวรัส ซึ่งอาจทำให้ระบบเกิดความเสียหายได้
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
-แฮกเกอร์ (Hacker) : เป็นกลุ่มคนที่มีความเชี่ยวชาญในการเจาะข้อมูล เพื่อขโมยฐานข้อมูลจากองค์กรต่างๆ
-แครกเกอร์ (Cracker) : เป็นคนที่เจาะระบบฐานข้อมูลเช่นเดียวกัน แต่เป็นไปเพื่อการสร้างการป้องกันระบบและรักษาความปลอดภัยของระบบให้ดีกว่าเดิม
-ผุ้ก่อให้เกิดภัยมือใหม่ (Script kiddies): คนรุ่นใหม่ที่พึ่งจะเริ่มเจาะระบบ หรือสร้างไวรัส
-ผู้สอดแนม(Spies): คนที่ดักดูข้อมูลต่างๆระหว่างการทำงานของคนอื่น
-เจ้าหน้าที่ขององค์กร (Employee)
-ผู้ก่อการร้ายทางคอมพิวเตอร์(Cyberterrorist): คนที่สร้างกรแสเพื่อให้เกิดเรื่องราวขนาดใหญ่ โดยใช้คอมพิวเตอร์และเครือข่ายอินเตอร์เน็ตเป็นตัวแพร่กระจาย
ประเภทของความเสี่ยงของระบบสารสนเทศ
1.การโจมตีระบบเครือข่าย แบ่งออกเป็น
- การโจมตีขั้นพื้นฐาน : เป็นการรื้อค้นทั่วไปในคอมพิวเตอร์ของคนอื่น, กลลวงทางสังคม เช่น การโทรศัพท์มาเพื่อหลอกลวง
- การโจมตีทางด้านคุณลักษณะ : เป็นการโจมตีโดยเลียนแบบว่าเป็นอีกบุคคลหนึ่ง อาจสร้างหรือปลอมแปลง IP adress แล้วส่งข้อมูลเพื่อหลอกลวงผู้อื่น
- การปฏิเสธการให้บริการ : เป็นการโจมตีเข้าไปที่ server จำนวนมากเกินปกติในช่วงเวลาหนึ่ง ทำให้ server ไม่สามารถที่จะทำงานได้
- การโจมตีด้วยมัลแวร์ : โปรแกรมที่มุ่งโจมตีคอมพิวเตอร์ ประกอบด้วย ไวรัส เวิร์ม โทรจันฮอร์ส และลอจิกบอร์ม หรือโปรแกรมมุ่งร้ายที่โจมตีความเป้นส่วนตัวของสารสนเทศ เรียกว่าสปายเเวร์
เมื่อกดลิงก์เข้าเว็บไซด์ที่ต้องการจะเข้าแต่กลับไปยังหน้าเว็บไซด์อื่น
2.การเข้าถึงระบบโดยไม่ได้รับอนุญาต หมายถึง การใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ ส่วนมากเป้นการใช้คอมพิวเตอร์หรือข้อมูลในคอมพิวเตอร๋เพื่อทำกิจกรรมบางอย่างที่ผิดกฏหมาย เช่น การเข้าระบบโอนเงินของธนาคารโดยไม่ได้รับอนุญาต
3.การขโมย
- การขโมย hardware มักอยู่ในรูปการตัดสายเชื่อมต่อระบบคอมพิวเตอร์หรือเครือข่ายอินเตอร์เน็ต
- การขโมย software เช่น การขโมยสื่อจัดเก็บ software การลบโปรแกรมโดยไม่ได้ตั้งใจ รวมถึงการทำสำเนาโปรแกรมอย่างผิดกฏหมาย
- การขโมยสารสนเทศ มักอยู่ในรูปการขโมยความลับส่วนบุคคล
4.ความล้มเหลวของระบบสารสนเทศ เช่น เสียง(noise), แรงดันไฟฟ้าต่ำ/สูง ทำให้ไฟล์ข้อมูลหายไปจากเครื่องคอมพิวเตอร์
การรักษาความปลอดภัยของระบบสารสนเทศ
1.การรักษาความปลอดภัยการโจมตีระบบเครือข่าย
- ติดตั้งระบบโปรแกรมที่ป้องกันไวรัส และมีการอัพเดทตลอดเวลา
- ติดตั้งไฟล์วอลล์ เป็นซอร์แวร์และฮาร์ทแวร์คอยป้องกันไวรัสหรือสิ่งที่ไม่ดีต่างๆไม่ให้เข้าสู่คอมพิวเตอร์
- ติดตั้งซอร์ฟแวร์ตรวจจับการบุกรุก โดยมีการตรวจสอบ IP adress ของผู้ที่เข้าใช้งานระบบ
- ติดตั้ง honeypot มีการสร้างระบบไว้ข้างนอก เป็นตัวที่เอาไว้หลอกล่อพวกแฮกเกอร์ที่ต้องการเจาะเข้าระบบ
2.การควบคุมเข้าถึงระบบโดยไม่ได้รับอนุญาต
- การระบุตัวตน
- การพิสูจน์ตัวจริง เช่น รหัสผ่าน ข้อมูลที่ทราบเฉพาะผู้ที่เป็นเจ้าของ
- POLP (Principle of least privlege) ให้ข้อมูลเฉพาะที่พนักงานแต่ละคนจำเป็นต้องใช้เท่านั้น
3.การควบคุมการขโมย
- การควบคุมการเข้าถึงทางกายภาพ เช่น การปิดห้องหรือการปิดหน้าต่าง
- นำระบบ RTLS มาใช้เพื่อระบุสถานที่ที่มีความเสี่ยงสูง
- ควบคุมการเปิดปิดเครื่องด้วยลักษณะทางกายภาพ เช่น ลายนิ้วมือ
- รักษาแผ่นไว้ในสถานที่ที่มีความปลอดภัย
- ในกรณที่มีโปรแกรมเมอร์ลาออกหรือถูกให้ออก ต้องควบคุมและติดตามโปรแกรมเมอร์ทันที
4.การเข้ารหัส คือ กระบวนการในการเเปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถเข้าไปอ่านได้ให้อยู่ในรูปที่เฉพาะคนที่เกี่ยวข้องเท่านั้นที่สามารถอ่านข้อมูลได้ โดยอาจใช้วิธีการเข้ารหัสแบบสลับตำแหน่ง
ประเภทของการเข้ารหัส
- การเข้ารหัสแบบสมมาตร คนที่ส่งและรับข้อมูลใช้คีย์ชุดเดียวกันในการแปลงและถอดรหัสข้อความ
- การเข้ารหัสแบบไม่สมมาตร ใช้คีย์ 2 ตัว ได้แก่ คีย์สาธารณะและคีย์ส่วนตัว เช่น amazon มีคีย์ข้อ amazon ที่เป็นสาธารณะ และลูกค้าจะมีคีย์ที่เกี่ยวกับบัตรเครดิตที่เป็นส่วนตัว
5.การรักษาความปลอดภัยอื่นๆ
- Secure sockeets layer(SSL) เป็นเว็บเพจที่ขึ้นต้นด้วย https แทนที่จะเป็น http แบบปกติ
- Secure HTTP (S-HTTP)
- Virtual private network (VPN) เป็นเน็ตเวิร์คเสมือนสำหรับผู้ที่มีสิทธิเข้าจึงจะใช้ได้เท่านั้น
6.การควบคุมความล้มเหลวของระบบสารสนเทศ
- ป้องกันแรงดันไฟฟ้าโดยใช้ surge protector
- ป้องกันไฟฟ้าดับ ใช้ UPS
- กรณีระบบสารสนเทศถูกทำลายจนไม่สามารถที่จะให้บริการได้ ต้องจัดทำแผน Disaster Recovery-DR หรือ business continuity planning-BCP
7.การสำรองข้อมูล
8.การรักษาความปลอดภัยของแลนไร้สาย
- ควบคุมการเข้าถึงของผู้ใช้งาน
จรรยาบรรณ
คือ หลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย
- การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
- การขโมย software
- ความถูกต้องของสารสนเทศ
- สิทธิ์ต่อหลักทรัพย์สินทางปัญญา
- หลักปฏิบัติ
- ความเป็นส่วนตัวของสารสนเทศ
เป็นพื้นที่ที่ใช้จัดวางระบบข้อมูลขององค์กร
ลักษณะ
- มีเสถียรภาพ ไม่เสียบ่อย ใช้งานได้ตลอด
- ดู downtime, uptime
- ต้องมีความปลอดภัย ป้องกันไวรัสต่างๆ
- ถ้ามีความขัดข้องทางกายภาพต้องแก้ไขได้
- การลงทุนและการดูแลรักษา
- รองรับการขยายตัวในอนาคต เพราะมีเทคโนโลยีสมัยใหม่มาเสมอๆ
วิธีการใช้งาน
1. clound computing ใช้ระบบสารสนเทศและอินเตอร์เน็ตเข้ามา เพื่อให้ลูกค้าสามารถใช้งานได้
ประโยชน์
- สามารถใช้งานได้อย่างสะดวกในทุกๆที่
- ไม่มี traffic ในการใช้งาน ไม่เกิดระบบล่ม
- มีการแยกกันระหว่าง hardware และ software
2.security-activity monitoring ลดความเสียหายที่จะเกิดต่อองค์กร
3.reshaping the data center ปรับปรุงรูปแบบ data center ให้สามารถระบายความร้อนได้ดี
4.virtualization for availability ทำให้มีเครื่องเสมือน สามารถใช้งานได้อย่างหลากหลาย
การออกแบบ data center
1.evironmental control ดูระดับอุณหภูมิและความชื้นที่เหมาะสม
2.electrical power ต้องทำงานได้ปกติตลอดเวลา ดังนั้นจึงต้องมีระบบไฟฟ้าสำรอง ใช้ในกรณี back up
3.low-votage cable routing ควรเดินสายไฟฟ้าใต้พื้นดิน
4.fire protection เช่น มีอุปกรณ์ในการตรวจจับควัน
5.security จำกัดคนที่เข้าสู่ data center ได้
6.energy use ต้องใช้พลังงานมากในการใช้งาน
wireless power
คือ การส่งผ่านพลังงานโดยไม่ใช้สายเคเบิ้ล
ประโยชน์
- ประหยัดค่าใช้จ่ายในการวางระบบสายไฟ
- สะดวกในการใช้งาน
- ลดผลกระทบต่อสิ่งแวดล้อม
ไม่มีความคิดเห็น:
แสดงความคิดเห็น