ปัญหาเรื่องความปลอดภัยของระบบสารสนเทศมักจะเกิดจากคนกลุ่ม Gen Y เพราะจะมีความรู้เยอะ จึงชอบลอง เล่นกับระบบมากกว่า และมีนิสัยคิดเร็วทำเร็ว ชอบคลิกไปเรื่อยโดยที่ไม่อ่านให้เข้าใจก่อน
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
- แฮกเกอร์ (Hacker) : เจาะระบบสารสนเทศเพื่อขโมยข้อมูล
- แครกเกอร์ (Cracker) : ทำลายข้อมูลและทำให้ระบบสารสนเทศและเครือข่ายของกิจการมีปัญหาอย่างมาก มักจะเกิดกับบุคลากรในองค์กรนั้นๆ
- ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies) : เช่น พวกที่ชอบปล่อยข่าวโคมลอย สร้างข้อมูลปลอม จริงบ้าง เท็จบ้าง
- ผู้สอดแนม (Spies)
- เจ้าหน้าที่ขององค์กร (Employees)
- ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyberterrorist)
ประเภทของความเสี่ยงของระบบสารสนเทศ
- การโจมตีระบบเครือข่าย (Network attack)
- การโจมตีขั้นพื้นฐาน (Basic Attacks) เช่น Call Center ที่มาหลอกว่ามีหนี้บัตรเครดิต มักจะเป็นมิจฉาชีพจากต่างประเทศ เพราะจะจับได้ยากกว่า
- การโจมตีด้านคุณลักษณะ (Identity Attacks)
- การปฏิเสธการให้บริการ (Denial of Service หรือ DoS)
- การเข้า Web page ที่ถูก spoof คือการพิมพ์ชื่อเวบผิด จะไปเข้าเวบอื่นที่มี interface คล้ายกับเวบที่เราต้องการเข้า
ประเภทของความเสี่ยงของระบบสารสนเทศ (ต่อ)
- การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access) เช่น computer ขององค์กรที่สามารถใช้ประโยชน์อื่นได้นอกเหนือไปจากการทำงาน (เล่นเวบต่างๆ) ทำให้ computer ติดไวรัส หรือ การเข้าระบบโอนเงินของธนาคารโดยไม่ได้รับอนุญาต
- การขโมย (Theft) : การขโมยฮาร์ดแวร์และการทำลายฮาร์ดแวร์มักอยู่รูปของการตัดสายเชื่อมต่อระบบเครือข่ายคอมพิวเตอร์
- การรักษาความปลอดภัยของระบบสารสนเทศ
- การรักษาความปลอดภัยการโจมตีระบบเครือข่าย
- ติดตั้งโปรแกรมป้องกันไวรัสและปรับปรุง Virus signature หรือ Virus definition
- ติดตั้งไฟร์วอลล์ (Firewall)
- สามารถป้องกันการเข้าถึงระบบโดยไม่ได้รับอนุญาต ได้โดยใช้ การระบุตัวตน (Identification) และ การพิสูจน์ตัวจริง (Authentication)
- การควบคุมการขโมย เช่น Physical access control)
- การเข้ารหัส คือกระบวนการในการแปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถอ่านได้ (Plaintext) ให้อยู่ในรูปที่เฉพาะผู้ที่เกี่ยวข้องเท่านั้นสามารถอ่านข้อมูลได้ (Ciphertext)
- การรักษาความปลอดภัยอื่นๆ
- Secure sockets layer (SSL) โดยเว็บเพจที่ใช้ SSL จะขึ้นต้นด้วย https แทนที่จะเป็น http : ให้สังเกตุว่าถ้าเป็น https จะปลอดภัยกว่า เข้าไปใช้ network ขององค์กรนั้นแล้ว
- Virtual private network (VPN) ช่วยให้สามารถ access เข้ามา intranet ขององค์กรผ่าน internet ได้ เช่น ของคณะ ก็มี VPN สามารถ access เข้า Database ได้เพื่อหาข้อมูลต่างๆ
- การควบคุมความล้มเหลวของระบบสารสนเทศ เช่น UPS เป็นหม้อแปลงไว้กันไฟตก เอาไว้ป้องกันระบบสารสนเทศจากอันตราย
- จรรยาบรรณ
- จรรยาบรรณทางคอมพิวเตอร์ คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ
- หลักปฏิบัติ คือสิ่งที่เขียนเป็นลายลักษณ์อักษรเพื่อเป็นแนวทางในการตัดสินใจว่าการกระทำใดที่เกี่ยวข้องกับคอมพิวเตอร์เป็นสิ่งที่มีหรือไม่มีจรรยาบรรณ
- ปัจจุบันมีกฏหมายที่จะเก็บข้อมูลการใช้งาน internet เป็นเวลา 90 วัน เพื่อเอาไว้เป็นหลักฐานในการตรวจสอบได้
ณัฐธิดา โพธิพันธุ์
5202113105
ณัฐธิดา โพธิพันธุ์
5202113105
No comments:
Post a Comment