หน่วยที่ 14 ความมั่นคงปลอดภัย ......มสธ...

มสธ มสธ

มสธ มสธ ม

สธ


สธ

มสธ มสธ

หนวยท 14

ความมนคงปลอดภยระบบคอมพวเตอร

อาจารย นาวาโท กรกช วไลลกษณ

ชอ อาจารยนาวาโทกรกชวไลลกษณวฒ วท.บ.(บรหารศาสตร)โรงเรยนนายเรอ วท.ม.(เทคโนโลยการจดการระบบสารสนเทศ) มหาวทยาลยมหดลต�าแหนง ประจ�ากรมก�าลงพลทหารเรอ กรมก�าลงพลทหารเรอหนวยทปรบปรง หนวยท14

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ

14-2 คอมพวเตอรเบองตน

แผนการสอนประจ�าหนวย

ชดวชา คอมพวเตอรเบองตน

หนวยท 14 ความมนคงปลอดภยระบบคอมพวเตอร

ตอนท14.1 หลกการส�าคญของการรกษาความมนคงปลอดภยระบบคอมพวเตอร14.2 แนวทางการจดการความมนคงปลอดภยระบบคอมพวเตอร

แนวคด1. การรกษาความมนคงปลอดภยเปนการบรหารจดการความเสยงทเกดขนกบระบบคอมพวเตอร

ใหสามารถรกษาความลบความครบถวนสมบรณและความพรอมใชกระบวนการทเกยวของกบการรกษาความมนคงปลอดภย ไดแก การพสจนตวจรง การก�าหนดสทธ การเฝาตรวจความมนคงปลอดภย การก�าหนดนโยบายการรกษาความมนคงปลอดภย โดยกระบวนการตางๆ เหลานหากไดกระท�าอยางถกตองสมบรณจะท�าใหมนใจไดวาระบบคอมพวเตอรทใชงานอยนนถกใชงานอยางมนคงปลอดภยในการจดการความมนคงปลอดภยนยมประยกตใชแบบจ�าลองการรกษาความมนคงปลอดภยเพอก�าหนดนโยบายวธการตลอดจนเทคโนโลยทจ�าเปนส�าหรบการบรหารความมนคงปลอดภย

2. ภยคกคาม หมายถง ชดของเหตการณทเกดขนแลวจะสงผลตอความมนคงปลอดภยของทรพยากรสารสนเทศชดของเหตการณเหลานนมวตถประสงคหลกเพอการสรางการสกดกนการขดจงหวะ การดดแปลงแกไข และการปลอมแปลง เพอท�าลายความลบ ความครบถวนสมบรณและความพรอมใชทรพยากรสารสนเทศทเปนเปาหมายการประยกตใชงานเทคโนโลยรวมกบการบรหารจดการความมนคงปลอดภยอยางเหมาะสมโดยเฉพาะอยางยงการก�าหนดนโยบาย การประยกตใชงานเทคโนโลยทเกยวของ และควบคมการปฏบตใหเปนไปตามทก�าหนดในนโยบายจะสรางความมนใจไดวาการผลต ประมวลผล จดเกบ และแสดงผลทรพยากรสารสนเทศนนๆมความมนคงปลอดภย

วตถประสงค เมอศกษาหนวยท14จบแลวนกศกษาสามารถ1. อธบายแนวคดเกยวกบหลกการรกษาความมนคงปลอดภยได2. อธบายหลกการใชงานแบบจ�าลองความมนคงปลอดภยได

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ

14-3ความมนคงปลอดภยระบบคอมพวเตอร

3. อธบายแนวคดเกยวกบภยคกคามและการโจมตได4. อธบายแนวคดเกยวกบการจดการความมนคงปลอดภยได5. วเคราะหแนวทางการประยกตใชแบบจ�าลองรกษาความมนคงปลอดภยได6. วเคราะหแนวทางการจดการรกษาความมนคงปลอดภยได

กจกรรมระหวางเรยน1. ท�าแบบประเมนผลตนเองกอนเรยนหนวยท142. ศกษาเอกสารการสอนตอนท14.1-14.23. ปฏบตกจกรรมตามทไดรบมอบหมายในเอกสารการสอนแตละเรอง4. ท�ากจกรรมประจ�าชดวชา(ถาม)5. ชมรายการสอนเสรมผานทางอนเทอรเนตหรอเขารบบรการสอนเสรม(ถาม)6. ชมสออเลกทรอนกสประจ�าชดวชา7. ท�าแบบประเมนผลตนเองหลงเรยนหนวยท14

สอการสอน1. เอกสารการสอน2. แบบฝกปฏบต3. สออเลกทรอนกสประจ�าชดวชา4. การสอนเสรมทางอนเทอรเนตหรอเอกสารสอนเสรม(ถาม)

การประเมนผล1. ประเมนผลจากแบบประเมนผลตนเองกอนเรยนและหลงเรยน2. ประเมนผลจากกจกรรมและแนวตอบทายเรอง3. ประเมนผลจากกจกรรมประจ�าชดวชา(ถาม)4. ประเมนผลจากการสอบไลประจ�าภาคการศกษา

เมออานแผนการสอนแลว ขอใหท�าแบบประเมนผลตนเองกอนเรยน

หนวยท 14 ในแบบฝกปฏบต แลวจงศกษาเอกสารการสอนตอไป

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


ตอนท 14.1

หลกการส�าคญของการรกษาความมนคงปลอดภยระบบคอมพวเตอร

โปรดอานหวเรองแนวคดและวตถประสงคของตอนท14.1แลวจงศกษารายละเอยดตอไป

หวเรอง14.1.1ความหมายและหลกการรกษาความมนคงปลอดภย14.1.2ภยคกคามและการโจมต

แนวคด1. ความมนคงปลอดภยของระบบคอมพวเตอรหมายถง การรกษาสภาพความลบ ความ

ครบถวนสมบรณและความพรอมใชของระบบคอมพวเตอรนบตงแตฮารดแวรไปจนถงขอมลทถกจดเกบในระบบคอมพวเตอรนนกระบวนการส�าคญทเกยวของกบการรกษาความมนคงปลอดภยไดแกการพสจนตวจรงการก�าหนดสทธการเฝาตรวจความมนคงปลอดภย การก�าหนดนโยบายการรกษาความมนคงปลอดภย โดยกระบวนการตางๆเหลานนหากไดกระท�าอยางถกตองสมบรณจะท�าใหมนใจไดวาระบบคอมพวเตอรทใชงานอยนนถกใชงานอยางมนคงปลอดภย แมวาจะมผละเมดมาตรการการรกษาความมนคงปลอดภยกจะสามารถตรวจสอบสาเหตและคนหาผรบผดชอบได

2. ภยคกคามคอ ชดของเหตการณทเกดขนแลวจะสงผลตอความมนคงปลอดภยของทรพยากรสารสนเทศโดยมลกษณะส�าคญคอการสกดกนการขดจงหวะการดดแปลงแกไขและการปลอมแปลงเพอท�าลายความลบความครบถวนสมบรณและความพรอมใชทรพยากรสารสนเทศทตกเปนเปาหมายกลาวไดวาทรพยากรสารสนเทศทภยคกคามในหลายๆรปแบบแตมความเสยงของเหตการณทกระทบตอความมนคงปลอดภยแตกตางกนออกไป และภยคกคามตอทรพยากรสารสนเทศจะไมสงผลใดๆ ตอทรพยากรสารสนเทศหากปราศจากการโจมตตอทรพยากรสารสนเทศนน

วตถประสงคเมอศกษาตอนท14.1จบแลวนกศกษาสามารถ1. อธบายหลกการรกษาความมนคงปลอดภยได2. อธบายความหมายและหลกการรกษาความลบความครบถวนสมบรณและความพรอมใชได3. อธบายภยคกคามรปแบบตางๆได4. อธบายหลกการโจมตได5. อธบายความสมพนธระหวางชองโหวและการโจมตได

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


เรองท 14.1.1

ความหมายและหลกการรกษาความมนคงปลอดภย

เมอกลาวถงการรกษาความมนคงปลอดภยสงทผคนโดยทวไปค�านงถงเปนสงแรกคอการคนหาการบกรกของผไมประสงคดกบระบบคอมพวเตอรซงนยมเรยกวา“แฮกเกอร”รวมถงการก�าจดโปรแกรมทถกพฒนาขนเพอท�าลายความมนคงปลอดภยของคอมพวเตอรหรอมลแวรประเภทตางๆ โดยไมตระหนกร ถงความหมายทแทจรงของ “ความมนคงปลอดภย”ของระบบคอมพวเตอร ซงแทจรงแลวมความหมายครอบคลมถง การรกษาความลบ การรกษาความครบถวนสมบรณ และการรกษาความพรอมใชของทรพยากรในระบบคอมพวเตอรในทกๆระดบเรมตนตงแตอปกรณฮารดแวรระบบปฏบตการซอฟตแวรตางๆ ทถกตดตง และการเชอมตอกนเปนเครอขาย และรวมถงขอมลหรอสารสนเทศซงถกจดเกบและประมวลผลโดยอปกรณและซอฟตแวรทเชอมตอเปนระบบความหมายของการรกษาความมนคงปลอดภยในระบบคอมพวเตอรจงมขอบเขตมากกวาการรกษาความมนคงปลอดภยใหกบคอมพวเตอรหรออปกรณเพยงอยางเดยว

1. ทรพยากรสารสนเทศทรพยากรสารสนเทศ มความหมายครอบคลมถงเครองคอมพวเตอร และอปกรณเชอมตอตางๆ

และครอบคลมถงองคประกอบอนๆดงตอไปน1.1 มนษย (people)ไดแกผทเกยวของกบระบบคอมพวเตอรเชนผใชงานผดแลระบบทงน

โดยปกตแลวมนษยจะถกประเมนเปนภยคกคามหลกตอทรพยากรสารสนเทศเนองจากมเปนทรพยากรทเปนมจดออนมากทสดในการรกษาความมนคงปลอดภย แมวาทรพยากรอนๆ จะถกปกปองและก�าหนดมาตรการอยางรดกมทสดแลว หากผคนทเกยวของกบทรพยากรนนละเลยหรอขาดความตระหนกรกจะ สงผลใหทรพยากรนนถกโจมตส�าเรจเชนการใหบรการรบฝากไฟลผานอนเทอรเนตซงเลอกใชเทคโนโลยการรกษาความมนคงปลอดภยทเขมแขงมาก แตผใชงานบนทกขอมลส�าหรบใชพสจนตวจรงและก�าหนดสทธโดยเขยนลงบนกระดาษแปะไวทหนาจอมอนเตอรยอมเปนการเพมความเสยงทจะมผไมประสงคดใชขอมลดงกลาวเขาถงขอมลทถกจดเกบในระบบนนโดยอาจเปลยนแปลงแกไขหรอลบขอมลนนโดยไมไดรบอนญาต เปนตน นอกจากนมนษยยงเปนองคประกอบส�าคญของการโจมตความมนคงปลอดภยของระบบคอมพวเตอรดวยเหตจงใจทหลากหลายเชนความตองการชอเสยงความโลภแนวทางทางการเมองโดยเมอโจมตส�าเรจอาจไดรบคาจางหรอการยอมรบจากสงคมทเขาตองการเปนตน

1.2 ฮารดแวรและอปกรณตอเชอมตาง ๆ (hardware and its peripheral)ในทนมความหมายรวมถงเครองคอมพวเตอรแทบเลตและสมารทโฟนซงมความสามารถในการรบขอมลประมวลผลแสดงผลและเชอมตอกบเครอขายคอมพวเตอรได ความไมมนคงปลอดภยของอปกรณเหลานอาจเกดขน เนองจากมภยคกคามเกดขนกบอปกรณโดยตรง เชน การขโมย ซงสงผลใหเจาของไมสามารถใชงานได

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


หรอน�าขอมลสวนบคคลในอปกรณนนไปเปดเผยท�าใหความลบของขอมลนนถกท�าลายลง หรออาจเกดจากไฟฟากระชากและท�าใหขอมลทจดเกบในอปกรณนนๆ เสยหาย นอกจากนยงรวมถงการทฮารดแวรนนๆถกท�าลายหรอท�าใหใชการไมไดโดยมสาเหตจากธรรมชาตเชนน�าทวมฟาผาอปกรณเปนตน

1.3 ซอฟตแวร (software) ทถกพฒนาขนมกมขอบกพรองทเกยวของกบความมนคงปลอดภยเนองจากคณสมบตนมกถกละเลยในระหวางขนตอนการวเคราะหและพฒนาซอฟตแวรนนๆท�าใหเมอมการน�ามาใชงานมกจะมชองโหวทเกยวของกบการรกษาความมนคงปลอดภยเชนอปกรณเราเตอรส�าหรบใชงานอนเทอรเนตส�าหรบเชอมตอผานระบบเอดเอสแอลบางรนมขอบกพรองเกยวกบความมนคงปลอดภยและเมอผไมประสงคดโจมตระบบส�าเรจจะสามารถปลอมแปลงกระบวนการสอบถามโดเมนเนมไดเปนตนดงนนผใชงานหรอผดแลระบบจะตองด�าเนนการการปรบปรงคณสมบตซอฟตแวรตามหลงอยเสมอๆทงนการปรบปรงคณสมบตดงกลาว ผพฒนาซอฟตแวรอาจสรางชองโหวทเกยวของกบการรกษาความมนคงปลอดภยเพมมากขนโดยไมไดตงใจกเปนได

1.4 ขอมลและสารสนเทศ (data and information)เปนทรพยากรทส�าคญตอบคคลหรอองคกรทเปนผสรางประมวลผลและรบสงขอมลสารสนเทศนนๆดวยเหตนทรพยากรนจงเปนเปาหมายหลกของการโจมตของผไมประสงคดโดยผลเสยหายทเกดขนมกจะเกดขนในสามลกษณะส�าคญคอการเปดเผยความลบการแกไขขอมลโดยไมมสทธและการท�าใหขอมลนนๆไมสามารถเขาถงไดเชนถกลบเปลยนแปลงสทธหรอถกเขารหสลบเพอเรยกคาไถเปนตน

1.5 ขนตอนระเบยบวธปฏบต (procedure) ขนตอนการด�าเนนการกบขอมลมกถกละเลยจาก ผทเกยวของท�าใหมชองโหวทอาจท�าใหเกดการละเมดความมนคงปลอดภยไดเชนองคกรตางๆมกมการฝกอบรมพนกงานใหด�าเนนการอยางใดอยางหนงกบซอฟตแวรทใชในองคกรในรปแบบของคมอการท�างานท�าใหพนกงานทมหนาทคลายคลงกนสามารถใชงานซอฟตแวรไดเหมอนๆ กน โดยมกละเลยการสรางความตระหนกรเกยวกบการใชงานซอฟตแวรอยางมนคงปลอดภยเปนผลใหเกดชองโหวของการรกษาความมนคงปลอดภยได เชน พนกงานบญชคนหนงอาจเขาใชงานระบบเงนเดอนคางไวโดยไมไดลอกหนาจอขณะพกรบประทานอาหารกลางวนผไมประสงคดอาจเขาใชงานซอฟตแวรและปรบเปลยนขอมลในระบบบญชไดเปนตน

1.6 เครอขาย (network) ระบบสารสนเทศในปจจบนถกเชอมตอเขาดวยกนผานเครอขายการ รบสงขอมลไมวาจะเปนเครอขายสวนตวเครอขายเฉพาะบรเวณและมกเชอมตอกบเครอขายอนเทอรเนตแมวาการเชอมตอกนดงทไดกลาวมาจะสรางความสามารถในการใชงานทรพยากรสารสนเทศรวมกนจากระยะทางไกลและท�าใหเกดการใชงานทรพยากรอยางมประสทธภาพมากยงขนการเชอมตอกนเปนเครอขายยงมขนาดมากเทาไรยอมเปนการเพมความเสยงททรพยากรจะถกโจมต และเพมความยากในการรกษาความมนคงปลอดภยมากยงขน

เมอกลาวโดยนยแลวจะเหนวา ทรพยากรสารสนเทศมองคประกอบส�าคญๆ ดงทไดกลาวมาอยางไรกดทรพยากรสารสนเทศอาจถกนยามไดในความหมายทใกลเคยงกนแตถกนยามขนมาในระยะเรมตนคอระบบคอมพวเตอรซงประกอบดวยฮารดแวรซอฟตแวรมนษยและขอมลซงจะขาดองคประกอบส�าคญคอเครอขายและขนตอนวธปฏบตซงเปนองคประกอบทส�าคญในปจจบนเนองจากการประยกตใช

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


งานเทคโนโลยสารสนเทศและการสอสารในปจจบนมการแลกเปลยนทรพยากรกนผานชองทางการสอสารและระบบเครอขาย ตลอดจนการประมวลผลขอมลในปจจบนมความซบซอนมากขนกวาในอดต ดงนนเมอกลาวถงระบบคอมพวเตอรในปจจบนจงนยมใชค�าวาทรพยากรสารสนเทศซงมความหมายครอบคลมถงทรพยากรเครอขายและขนตอนวธปฏบตทเกยวของ

2. การรกษาความมนคงปลอดภยระบบคอมพวเตอรการรกษาความมนคงปลอดภยหมายถงการท�าใหมนใจไดวาทรพยากรสารสนเทศทมอยมความ

ถกตองสมบรณ และพรอมใชงานส�าหรบผใชงานทไดรบสทธในการเขาถงทรพยากรนนๆ ในทนจะยกตวอยางการรกษาความมนคงปลอดภยของเครองคอมพวเตอรสวนบคคลซงจดเกบขอมลซงอาจมขอมลทไมตองการใหผอนลวงร ตลอดจนตองการรกษาความครบถวนสมบรณของไฟลตางๆ ทถกจดเกบไวในคอมพวเตอรไมใหถกท�าลายโดยมลแวร1และปองกนการแพรระบาดของหนอนอนเทอรเนต2ซงอาจท�าใหเครองคอมพวเตอรไมสามารถใชงานได นกศกษาอาจพจารณาตงพาสเวรดเพอควบคมการเขาถงเขาถงเครองคอมพวเตอรจดการเขารหสลบฮารดดสกตดตงซอฟตแวรตรวจจบคอมพวเตอรไวรสและเปดการใชงานไฟรวอลสสวนบคคล3เปนตนโดยทวไปการจดการความมนคงปลอดภยของทรพยากรสารสนเทศสามารถจ�าแนกตามเปาหมายของการรกษาความมนคงปลอดภยไดดงตอไปน

2.1 ความมนคงปลอดภยเชงกายภาพ (physical security) เพอปองกนอปกรณ สงของ หรอบรเวณใหปราศจากการเขาถงโดยไมไดรบอนญาต และการใชงานทไมถกตอง เชน การตงรหสผานเพอเขาใชงานเครองคอมพวเตอรสวนบคคลสรางหองปฏบตการส�าหรบระบบคอมพวเตอรและเครอขายการจดใหมระบบไฟส�ารอง การจดใหมระบบดบเพลง การจดใหมการพสจนตวจรงกอนเขาถงฮารดแวรหรอหองทใชจดเกบฮารดแวรตลอดจนทรพยากรเครอขายทเกยวของเปนตน

2.2 ความมนคงปลอดภยสวนบคคล (personnel security) เพอรกษาบคลากร หรอกลมของ ผใชงานทไดรบสทธใหเขาถงและด�าเนนงานไดอยางมนคงปลอดภยเชนการก�าหนดสทธใหกบเจาหนาทตามความรบผดชอบโดยก�าหนดใหเจาหนาททวไปไมสามารถอานขอมลทถกสรางขนโดยหวหนางานของตนเองแตสามารถแกไขและตรวจสอบผท�าการแกไขทรพยากรนนๆไดการบงคบใหผใชงานเปลยนรหสผานเมอเขาสระบบในครงแรกและทกๆสามเดอนเปนตน

2.3 ความมนคงปลอดภยของการด�าเนนงาน (operation security) เพอปกปองหรอปองกนกระบวนการท�างานตลอดจนกจกรรมอนๆทเกยวของเชนสหกรณออมทรพยควรการจดใหมกลไกการตรวจสอบความครบถวนสมบรณของขอมลทจดเกบ ประมวลผล เมอสมาชกด�าเนนธรกรรมกบสหกรณ

1 มลแวร(malware)หมายถงซอฟตแวรทถกออกแบบใหโจมตตอความมนคงปลอดภยของระบบคอมพวเตอรแบงเปนหลายชนดขนอยกบลกษณะเฉพาะของซอฟตแวรนนๆเชนคอมพวเตอรไวรสหนอนอนเทอรเนตโทรจนเปนตน

2หนอนอนเทอรเนต (worms) หมายถง มลแวรหรอซอฟตแวรไมพงประสงคประเภทหนงทแพรกระจายตวเองผาน เครอขายคอมพวเตอร โดยใชประโยชนจากชองโหวทเกยวของกบความมนคงปลอดภยของซอฟตแวรหรอบรการตางๆ เชน ชองโหวของการแชรไฟลรวมกนของระบบปฏบตการเปนตน

3ไฟรวอลลสวนบคคล (personal firewall) หมายถง ซอฟตแวรทถกออกแบบตดตงบนเครองคอมพวเตอรสวนบคคลโดยท�าหนาทปองกนคอมพวเตอรเครองนนจากการโจมตทางเครอขายดวยการวเคราะหขอมลทเขาและออกจากคอมพวเตอรนนๆ

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


การก�าหนดหามเจาหนาทเขยนรหสผานส�าหรบเขาใชงานระบบลงบนกระดาษ หรอการตรวจสอบสทธในการเขาถงทรพยากรกอนการเขาถงการท�าใหมนใจไดวาเอกสารลบถกจดเกบหรอท�าลายตามทก�าหนดในนโยบายการรกษาความมนคงปลอดภยเปนตน

2.4 ความมนคงปลอดภยของการสอสาร (communication security)เพอปองกนสอน�าสญญาณขอมลตางๆทรบสงผานชองทางการสอสารโดยมงเนนการรกษาความมนคงปลอดภยของอปกรณตางๆทเชอมตอกนเปนระบบสอสารรวมถงการแพรสญญาณใหมความมนคงปลอดภยเชนการก�าหนดมาตรการเฝาตรวจการดกรบขอมลการเขารหสขอมลทมการรบสงกนในเครอขายหรอระหวางเครอขายการใชบรการวพเอนในการเชอมตอระบบคอมพวเตอรระหวางสาขาซงท�าใหมนใจไดวาการรบสงขอมลระหวางจดจะถกเขารหสท�าใหผไมประสงคดทดกรบขอมลไดไมสามารถวเคราะหหรอแปลความหมายขอมลทดกรบไดเปนตน

2.5 ความมนคงปลอดภยของเครอขาย (network security) เพอปองกนการเขาถงอปกรณ เครอขายตางๆและอปกรณทน�ามาเชอมตอเขากบเครอขายเชนการแบงเครอขายออกเปนเครอขายยอยๆเพอจ�าแนกกลมผใชงานและระบบบรการตางๆรวมถงการจดใหมการเฝาตรวจความมนคงปลอดภยและการจดใหมการพสจนตวจรงของผใชงานกอนจงจะสามารถใชงานเครอขายไดจะเหนไดวามความแตกตางจากความมนคงปลอดภยของการสอสารโดยมขอบเขตทแคบกวาและพจารณาทการเชอมตอในบรเวณทเกยวของเชนระบบเครอขายภายในบานระบบเครอขายภายในบรษทเปนตน

2.6 ความมนคงปลอดภยของขอมลขาวสาร (information security)เพอรกษาความลบความครบถวนสมบรณและความพรอมใชขององคประกอบตางๆทถกผนวกรวมเขาเปนระบบสารสนเทศนบตงแตกระบวนการสรางประมวลผลและการรบสงสารสนเทศนนๆ

3. หลกการรกษาความมนคงปลอดภยระบบคอมพวเตอรในการรกษาความมนคงปลอดภยระบบคอมพวเตอร ประกอบดวย 2หลกการ ไดแก หลกการ

พนฐานและหลกการอนๆทเกยวของกบความมนคงปลอดภย3.1 หลกการพนฐาน การรกษาความมนคงปลอดภยจะส�าเรจไดกตอเมอองคกรหรอบคคลนนๆ

ไดมการจดการก�าหนดนโยบายทเกยวของ การควบคมการด�าเนนการใหเปนไปตามนโยบาย การเสรมสรางความรความเขาใจทเกยวของการฝกอบรมการสรางความตระหนกรและการประยกตใชเทคโนโลยทเกยวของอยางเหมาะสม

3.1.1 การรกษาความลบ (confidentiality)หมายถงกระบวนการมาตรการและการจดการทเกยวของกบการรกษาความลบของสารสนเทศทถกประมวลผลสงตอและจดเกบใหสามารถเขาถงและเขาใจความหมายไดเฉพาะผทมสทธเขาถงทรพยากรนนๆ ตวอยางขอมลทควรมการจดเกบและมการก�าหนดมาตรการควบคมการเขาถงเพอรกษาความลบของขอมลทส�าคญเชน ขอมลผปวยในระบบสารสนเทศของโรงพยาบาล ขอมลสวนบคคลอนๆ เชน หมายเลขประจ�าตวประชาชน ก�าหนดการของบคคลส�าคญรายชอผโดยสารของเทยวบนตางๆเปนตน

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


3.1.2 การรกษาความครบถวนสมบรณ (integrity)หมายถงกระบวนการมาตรการและการจดการทเกยวของกบการตรวจสอบความครบถวนสมบรณของสารสนเทศทถกประมวลผลสงตอและจดเกบใหมความถกตองสมบรณและสามารถตรวจสอบความครบถวนสมบรณนนไดเชนหากมการแกไขไฟลทถกสรางขนแลวมการสงผานไฟลนนเขาสเครอขายคอมพวเตอร ผทเกยวของจะตองสามารถตรวจสอบไดวาไฟลนนวาถกแกไขเปลยนแปลงไประหวางการสงผานชองทางการสอสารหรอไมเปนตน

3.1.3 การรกษาความพรอมใช (availability)หมายถงกระบวนการมาตรการและการจดการทเกยวของกบการรกษาความพรอมใชของสารสนเทศทถกประมวลผลสงตอและจดเกบใหมความพรอมใชอยเสมอท�าใหผใชทมสทธเขาถงและใชงานทรพยากรสารสนเทศนนๆสามารถเขาใชงานไดเชนเมอกลาวถงความพรอมใชของระบบบรการธนาคารอเลกทรอนกส อาจหมายถงลกคาสามารถเขาถงและใชงานบรการนนไดเสมอตลอด24ชวโมงและอาจหมายรวมถงเจาหนาทๆเกยวของสามารถเขาถงและบรหารจดการซอฟตแวรนนไดเปนตน

ภาพท 14.1 องคประกอบส�าคญของการรกษาความมนคงปลอดภยสารสนเทศ

จากภาพท 14.1จะเหนวาทรพยากรสารสนเทศทตองการใหมความมนคงปลอดภยนนอาจถกจดเกบอยในฮารดแวร (hardware) ซอฟตแวร (software) หรอถกสงผานระบบการสอสาร (com-munication) กเปนได และการสรางความมนคงปลอดภยใหกบทรพยากรสารสนเทศนนจะมความเกยวเนองกบการรกษาความมนคงปลอดภยทางกายภาพ (physical security) ในทกระดบโดยการจดใหมเทคโนโลยและกระบวนการทเหมาะสมส�าหรบการเขาถงทางกายภาพตอฮารดแวร ซอฟตแวร และระบบการสอสาร นอกจากนยงมความจ�าเปนตองสรางการรกษาความมนคงปลอดภยสวนบคคล (personalsecurity) เนองจากมนษยเปนจดออนทสดของระบบการรกษาความมนคงปลอดภย และมกละเมด กฎเกณฑทจ�าเปนทงนอาจแกไขไดโดยการสรางความตระหนกรถงเหตผลและความส�าคญของการรกษาความมนคงปลอดภยเปนตนทงนมาตรการและเทคโนโลยทน�ามาใชจะตองมการก�าหนดใหสอดคลองกบการจดการรกษาความมนคงปลอดภยในระดบองคกรโดยการก�าหนดยทธศาสตรนโยบายและกฎระเบยบทเกยวของตลอดจนมการก�ากบดแลอยางเหมาะสม

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


3.2 หลกการอน ๆ ทเกยวของกบความมนคงปลอดภยการรกษาความมนคงปลอดภยทรพยากรสารสนเทศจงเปนกระบวนการเชงบรหารทน�าเอานโยบายการด�าเนนงานและการประยกตใชเทคโนโลยทเกยวของเพอปองกนและจ�ากดผลเสยหายตอการรกษาความลบความครบถวนสมบรณและความพรอมใชของทรพยากรสารสนเทศนนๆ

3.2.1 ชองโหว (vulnerability)คอความบกพรองหรอจดออนทมอยในทรพยากรสารสนเทศโดยเปนผลมาจากการออกแบบการพฒนาซอฟตแวรการจดการกระบวนการท�างานหรอการบ�ารงรกษาระบบนนๆเชนชองโหวของระบบปฏบตการชองโหวของซอฟตแวรเวบเบราวเซอรการอนญาตใหผไมมบตรเขาถงหองส�าคญๆทเกยวของกบกระบวนการท�างานโดยไมมการตรวจสอบหรอการไมควบคมใหมการตรวจสอบเอกสารลบกอนการทงขยะเปนตนเมอพจารณาตามกลมของทรพยากรจะสามารถจ�าแนกประเภทของชองโหวได3ลกษณะดงตอไปน

1) ชองโหวทเกยวของกบฮารดแวร หมายถง ขอบกพรองทเกยวของกบความมนคงปลอดภยของฮารดแวรเชนชองโหวของการเขารหสของระบบขายปลกครบวรจร(PointofSale;POS)ซงสงผลใหผโจมตสามารถขโมยขอมลบตรเครดตของผใชบรการ4 หรอชองโหวของระบบสมองกลทใชควบคมรถยนตทเมอถกโจมตผานเครอขายแลวจะท�าใหผโจมตสามารถควบคมการระบบควบคมภายในรถยนตคนนนๆได5เปนตน

2)ชองโหวทเกยวของกบซอฟตแวรหมายถงขอบกพรองทเกยวของกบซอฟตแวรตางๆ ทเมอเกดการโจมตตอซอฟตแวรนนๆ แลวจะสงผลกระทบตอความมนคงปลอดภยของซอฟตแวรและซอฟตแวรระบบอนๆ ทเกยวของ เชน ชองโหวของระบบปฏบตการทเกยวของกบการแชรไฟลผานระบบเครอขายคอมพวเตอรทหากผไมประสงคดโจมตตอบรการแชรไฟลส�าเรจอาจท�าการลบโฟลเดอรหรอไฟลตางๆโดยไมไดรบอนญาตเปนตน

3)ชองโหวทเกยวของกบการบรหารจดการขอมลหมายถงขอบกพรองทเกยวของกบการจดการขอมลตางๆทงทเปนขอมลทไมไดจดเกบในรปแบบดจทลและขอมลในรปแบบดจทล เชนหากองคกรหรอบคคลจดเกบขอมลซงใชในการพสจนตวจรงอยางไมเหมาะสมเมอขอมลนนรวไหลออกไปอาจสงผลใหเกดการโจมตตอองคกรนนๆไดหรอเปดโอกาสใหมการโจมตตอทรพยากรอนๆเปนตน

3.2.2 ภยคกคาม (threat)คอบคคลหรอผใดกตามทสามารถใชประโยชนจากชองโหวทมเขาถงและท�าลายความมนคงปลอดภยของทรพยากรสารสนเทศได ภยคกคามตอทรพยากรสารสนเทศจ�าแนกได4ลกษณะคอ

1) การดกรบ (interception) หมายถง เหตการณทผไมประสงคดเขาถงหรอ ดกรบขอมลโดยปราศจากสทธโดยถกตองเชนการดกรบทรบสงกนระหวางผรบและผสงในระบบเครอขายคอมพวเตอร(sniffing)การแอบอานขอมลจากหนาจอของผอนการแอบฟงผอนพดคยกนเพอใหไดขอมลทตนเองไมมสทธเขาถงดงภาพท14.2เปนตน

4 http://blogs.cisco.com/security/detecting-payment-card-data-breaches-today-to-avoid-becoming-to-morrows-headline/สบคนเมอ20มนาคม2559.

5 http://www.forbes.com/sites/andygreenberg/2013/07/24/hackers-reveal-nasty-new-car-attacks-with-me-behind-the-wheel-video/สบคนเมอ20มนาคม2559.

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


ภาพท 14.2 การดกรบขอมล

2)การขดจงหวะ (interruption) หมายถง เหตการณทผไมประสงคดกระท�าแลว สงผลใหผใชงานทมสทธไมสามารถเขาถงหรอใชงานทรพยากรนนๆไดเชนการตดสายสญญาณเครอขายการลบไฟลขอมลการท�าลายคอมพวเตอรดงทแสดงในภาพท14.3หรอการน�าเขาขอความทระบบประมวลผลแลวท�าใหระบบปฏเสธการใหบรการเปนตน

ภาพท 14.3 การท�าลายคอมพวเตอรสงผลใหผมสทธใชงานไมสามารถใชงานได

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


3) การดดแปลงแกไข (modification) หมายถง การเขาถงและแกไขทรพยากรสารสนเทศโดยไมมสทธเชนการเปลยนแปลงการปรบตงคาตางๆของระบบปฏบตการการอนญาตใหมการเขาถงจากระยะไกลโดยไมมการพสจนตวจรงซงอาจสงผลกระทบตอความมนคงปลอดภยการดกรบโดยการเปลยนเสนทางและการเปลยนแปลงขอมลทถกรบสงผานเครอขายดงแสดงในภาพท14.4เปนตนโดยการดดแปลงแกไขดงกลาวอาจกระท�าไดในกรณอนๆ เชน เพอนของนกศกษาอาจแกไขไฟลรายงานของนกศกษาทถกบนทกไวในสอจดเกบขอมล เชนแฟลชไดรฟโดยทนกศกษาไมทราบ เมอนกศกษาสงรายงานไปยงอาจารยจงพบวาขอมลนนไมใชขอมลทถกตองเปนตน

ภาพท 14.4 การโจมตทมการเปลยนแปลงแกไขขอมลโดยไมมสทธ

4)การปลอมแปลง(fabrication)หมายถงการสรางขอมลหรอสงแปลกปลอมเขาสระบบสารสนเทศเชนการเพมขอมลลงในระบบจดการฐานขอมลการตงเครอขายไรสายทมชอสถานเหมอนกบเครอขายเปาหมายเพอดกรบขอมลตางๆและการปลอมแปลงหมายเลขไอพเพอหลบเลยงกลไกพสจนตวจรงเพอเขาใชงานเครอขายการปลอมแปลงตนเองเปนบคคลอนเพอหลอกถามขอมลดงทแสดงในภาพท14.5เปนตนวตถประสงคหลกของการปลอมแปลงจงเกยวของกบการลอลวงใหเหยอเขาใจผดวาขอมลหรอสารสนเทศนนเปนขอมลหรอตวตนจรงๆ ของผนน หากเหยอตายใจและใหขอมลหรอเปดเผยขอมลส�าคญจะท�าใหเกดการละเมดความมนคงปลอดภยตอเหยอนนๆ เชน การสงจดหมายโดยอางวาผสงเปนหวหนางานและใหสงความลบขององคกรไปยงอเมลหรอใหจดพมพเอกสารแลวสงไปยงผโจมตเปนตน

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


ภาพท 14.5 การปลอมแปลง

3.2.3 การโจมต (attack) คอ การกระท�าหรอผลทเกดขนเมอเกดภยคกคามตอชองโหวตางๆ ทมอยในทรพยากรสารสนเทศ ทงนการโจมตอาจไมไดมตนก�าเนดจากผไมประสงคดแตเพยง อยางเดยวกเปนได เชน ทรพยากรสารสนเทศหนงมความลบไมควรถกเผยแพรใหผไมมหนาทเกยวของรบทราบแตไมถกก�าหนดมาตรการควบคมการเขาถงอยางเหมาะสมอาจถกเขาถงโดยผใชงานทวไปและน�าขอมลนนไปเผยแพรอนเปนการท�าลายความลบของทรพยากรนนๆทงนการกระท�าดงกลาวอาจเกดขนโดยเจตนาหรออาจเกดขนจากอบตเหต การโจมตอกลกษณะหนงทไดรบความนยมคอ การโจมตตอโครงสรางพนฐานทส�าคญของเปาหมายเชนการท�าใหระบบปฏเสธการใหบรการและการโจมตดวยเทคนคเชงสงคมอนๆเชนการแอบอางเปนพนกงานคอลเซนเตอรเพอลอลวงเปาหมายใหกระท�าการอยางใดอยางหนงโดยเปดเผยขอมลพสจนตวจรงหรอการหลอกลวงใหท�ารายการบญชผานเอทเอมเปนตน

3.2.4 ผไมประสงคด (attacker)คอบคคลหรอกระบวนการทเกดขนจากมนษยเพอกระท�าการโจมตตอทรพยากรสารสนเทศเปาหมาย จากนยามดงกลาวจะเหนไดวามความหมายใกลเคยงกบภยคกคามแตจ�ากดสาเหตไวทมนษยเทานนซงผไมประสงคดอาจมแรงจงใจในการโจมตตอระบบทแตกตางกนออกไปเชนความประมาทคาตอบแทนและความสะใจเปนตนในปจจบนนยมใชค�าวาแฮกเกอร(hacker)สามารถจ�าแนกประเภทจากแรงจงใจในการโจมตตอระบบไดหลายลกษณะ เชน แฮกเกอรสมครเลน แฮกเกอรหมวกขาวแฮกเกอรหมวกด�าเปนตน

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


1) แฮกเกอรมอสมครเลน(scriptkiddy)หมายถงบคคลทวไปทโจมตตอชองโหวของระบบดวยเครองมอหรอซอฟตแวรทผไมประสงคดคนอนเผยแพรไวโดยปราศจากความเขาใจถงกระบวนการท�างานของซอฟตแวรนนๆรวมไปถงบคคลทวๆไปทลวงรชองโหวของการรกษาความมนคงปลอดภยทเขาถงหรอแกไขทรพยากรทไมมสทธโดยไมไดตงใจ เชน การลบไฟลเอกสารทใชงานรวมกนผานเครอขายไดเนองจากผดแลระบบก�าหนดสทธไวผดเปนตน

2) แฮกเกอรหมวกขาว (white hat) หมายถง ผเชยวชาญระบบคอมพวเตอรทใชความสามารถดงกลาวในการคนหาชองโหว และการโจมตตอระบบคอมพวเตอรในเชงปองกนและรกษาความมนคงปลอดภยใหกบระบบแลวรายงานชองโหวหรอการโจมตดงกลาวตอเจาของหรอผมหนาทรบผดชอบเพอใหผทเกยวของด�าเนนการปรบปรงความมนคงปลอดภยและแกไขขอบกพรองนนๆกอนทชองโหวหรอขอบกพรองดงกลาวจะถกตรวจพบหรอถกประกาศใหทราบในทสาธารณะเชนเวบบอรดหรออนเทอรเนตเปนตน

3) แฮกเกอรหมวกด�า(blackhat)หมายถงผเชยวชาญระบบคอมพวเตอรทใชความสามารถดงกลาวในการคนหาและโจมตตอระบบคอมพวเตอร เพอการท�าลายความมนคงปลอดภยโดยมผลประโยชนสวนตวเปนแรงจงใจ เชน คาตอบแทนจากองคกรอาชญากรรม การลางแคน หรอความคดเหนทางการเมองเปนตน

3.2.5 เอกซพลอยต (exploit) คอ แมวาเอกซพลอยตจะมความหมายตามพจนานกรมวา“การใชประโยชนหรอการท�าประโยชน”แตเอกซพลอยตในทนจะหมายถงการโจมตตอชองโหวทมในระบบสารสนเทศเพอท�าลายความมนคงปลอดภยหรอเขาใชประโยชนจากชองโหวทมอยเชนชองโหวของระบบจดการเนอหาผานเวบทถกคนพบและรายงาน อาจมผไมประสงคดพฒนาโปรแกรมทสามารถโจมตตอ ชองโหวดงกลาวส�าเรจ แลวแจกจายใหกบผทสนใจน�าโปรแกรมนไปโจมตตอชองโหวนน นอกจากนยงหมายถงเทคนควธทใชในการโจมตดวยเทคนควศวกรรมเชงสงคมเชนการพยายามตสนทกบเหยอซงท�าหนาทส�าคญในระบบสารสนเทศเพอใหไดมาซงขอมลทเปนประโยชนตอการโจมต หรอการลอลวงเพอใชประโยชนจากเหยอในการเขาถงทรพยากรสารสนเทศเปนตน

3.2.6 เปาหมาย (target) คอ บคคล องคกร ทรพยากรสารสนเทศทมชองโหวและไดรบผลกระทบโดยตรงจากการการโจมตทอาจเกดขน

3.2.7 วธการโจมต (attack vector) คอ กระบวนการ วธการ เครองมอและเทคนคทใชโจมตตอชองโหวทมในเปาหมายของการโจมต

ดงทไดกลาวขางตนแลววา วตถประสงคหลกของการรกษาความมนคงปลอดภยคอ การรกษาความลบ การรกษาความครบถวนสมบรณ และการรกษาความพรอมใชของทรพยากรสารสนเทศ ซงมความหมายนบตงแตเครองคอมพวเตอรหรออปกรณอนๆ เพยงเครองเดยว ซอฟตแวรตางๆ ไปจนถงระบบสารสนเทศทเชอมตอกนผานเครอขายฉะนนหากตองการสรางความมนคงปลอดภยใหกบทรพยากรจงมแนวทางคลายคลงกบการบรหารงานโดยนอกจากจะตองก�าหนดแนวทางการจดการทรพยากรในภาพรวมแลว จะตองด�าเนนการพจารณาความเหมาะสม ความสะดวกในการใชงาน การก�าหนดสทธและการเขาถงการสรางนโยบายการรกษาความมนคงปลอดภยตลอดจนคดเลอกเทคโนโลยทเกยวของโดยค�านง

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


ถงความตองการทเกยวของกบความมนคงปลอดภย และความงายในการใชงาน ใหสอดคลองกบความตองการขององคกรนโยบายและผใชงานเปนส�าคญ

กจกรรม 14.1.1

1. สมมตเหตการณวาเครองคอมพวเตอรแบบพกพาของนกศกษาสญหายโดยทนกศกษาไมไดท�าการส�ารองไฟลขอมลส�าคญใดๆ ไวแตนกศกษาไดด�าเนนการเขารหสฮารดดสกและก�าหนดใหระบบปฏบตการลบขอมลทงหมดหากมการปอนรหสผานผดเกนสามครงเหตการณนสงผลทเกยวของกบความมนคงปลอดภยอยางไร

2. สมมตเหตการณวานกศกษาเขยนรหสผานส�าหรบเขาใชงานคอมพวเตอรสวนตวไวบนจอคอมพวเตอรตอมาพบวามผไมประสงคดเขาใชงานเครองคอมพวเตอรเครองนนผานระบบเครอขายและไดท�าการเปลยนพาสเวรดส�าหรบเขาใชงานและลบไฟลส�าคญไปอยากทราบวาเหตการณนสงผลอยางไรตอความมนคงปลอดภย

แนวตอบกจกรรม 14.1.1

1. โดยปกตเมอเครองคอมพวเตอรสญหายยอมมโอกาสถกเปดขนใชงานจากขโมยจงมโอกาสทขอมลทเปนความลบจะถกเปดเผยแตในกรณนผลกระทบจะเกยวของกบความพรอมใชของขอมลเปนหลกเนองจากนกศกษาผนไมไดด�าเนนการส�ารองขอมลไวในแหลงขอมลอนๆเลย

2. การเปลยนรหสผานส�าหรบเขาใชงานคอมพวเตอรสงผลใหนกศกษาทมสทธเขาใชไมสามารถเขาใชงานไดจงสงผลตอความพรอมใชของเครองคอมพวเตอรเครองนนๆ ในขณะเดยวกนหากนกศกษาทเปนเจาของเครองสามารถก คนสภาพและสามารถเขาใชงานไดจะพบวาขอมลส�าคญของตนถกเปลยนแปลงไปซงหมายถงความครบถวนสมบรณนนเสยหายและหากมขอมลทไมตองการใหผอนลวงรถกจดเกบไวกมความเสยงทขอมลนนจะถกเขาถงไดจงอาจสงผลตอการรกษาความลบเชนเดยวกน

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ



ภยคกคามและการโจมต

ภยคกคามหมายถงชดของเหตการณทหากเกดขนแลวจะเกดผลเสยหายตอความมนคงปลอดภยของระบบคอมพวเตอรและสารสนเทศทจดเกบประมวลผลและสงผานระบบคอมพวเตอรนนๆเอมวทแมน(M.Whitman) จ�าแนกประเภทของภยคกคามทมตอทรพยากรสารสนเทศออกเปนหมวดหมเพอความสะดวกในการบรหารจดการภยคกคามตอทรพยากรสารสนเทศซงประกอบดวยบคลากรระบบงานประยกตโครงสรางพนฐานของระบบสารสนเทศและขอมลตางๆทมในองคกรนนๆ

1. ประเภทของภยคกคาม ภยคกคามหมายถงชดของเหตการณทเกดขนแลวจะสงผลตอความมนคงปลอดภยของทรพยากร

สารสนเทศ ชดของเหตการณเหลานมวตถประสงคหลกเพอการสราง การสกดกน การขดจงหวะ การดดแปลงแกไข และการปลอมแปลง เพอท�าลายความลบ ความครบถวนสมบรณ และความพรอมใชทรพยากรสารสนเทศทเปนเปาหมาย โดยสามารถจ�าแนกประเภทของภยคกคามตามทรพยากรทเปน เปาหมายไดดงตอไปน

1.1 ภยคกคามตอทรพยสนทางปญญา คอ ภยคกคามทเกดขนโดยหวงผลท�าลายความมนคงปลอดภยของทรพยสนทางปญญาของเปาหมายเชนในระดบองคกรตางๆซงโดยทวไปแลวการด�าเนนกจกรรมตางๆภายในองคกรมกท�าใหเกดกระบวนการและสรางองคความรตางๆ เพอใชในการแกปญหาและด�าเนนกจการภายในองคกร ขอมลตางๆ เหลานจงเปนทรพยสนทางปญญาขององคกรนนๆ รวมไปถงผลการวจย ความลบทางการคาซงอาจท�าใหองคกรนนไดเปรยบคแขงขน ในกรณของการใชงานสวนบคคลภยคกคามทอาจเกดขนตอทรพยากรสวนบคคล เชน การคดลอกผลงานหรอการคดลอกลขสทธของซอฟตแวรทตดตงในเครองคอมพวเตอรสวนบคคลเพอน�าไปใชงานโดยไมไดรบอนญาตเปนตน

1.2 ภยคกคามจากการโจมตโดยซอฟตแวรคอภยคกคามทเกดขนจากการโจมตของซอฟตแวรตอระบบเปาหมายไมวาจะเปนตอเครองคอมพวเตอรสวนบคคลระบบบรการทท�างานบนเซรฟเวอรหรอโครงสรางพนฐานเทคโนโลยสารสนเทศอนๆเชนเครอขายซอฟตแวรทใชโจมตดงทไดกลาวมานยมเรยกวา“มลแวร” ซงหมายถง ซอฟตแวรทถกออกแบบและพฒนาขนเพอสรางความเสยหายตอระบบเปาหมายและสามารถแบงออกเปนหลายประเภทตามวธการโจมตเปนคอมพวเตอรไวรส(computervirus)หนอนอนเทอรเนต(internetworms)โทรจน(trojan)และแบคดอร(backdoor)เปนตน

1.3 ภยคกคามตอคณภาพของบรการคอภยคกคามทกอกวนท�าใหความพรอมใชของทรพยากรสารสนเทศขององคกรไมสามารถใหบรการตอผใชงานไดอยางมประสทธภาพ เนองจากการท�างานขององคกรในปจจบนมแนวโนมการประยกตใชเทคโนโลยสารสนเทศและการสอสารในการท�างานมากยงขนเชนองคกรหนงๆอาจเปดใหบรการตางๆผานอนเทอรเนตเพอใหลกคาสามารถสงซอและด�าเนนธรกรรม

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


กบองคกรเมอเกดการโจมตตอเครอขายของผใหบรการอนเทอรเนตโดยการกอวนาศกรรมกบระบบเครอขายท�าใหผบรการตองใชเครอขายส�ารองซงมประสทธภาพต�ากวายอมสงผลใหความพรอมใชของระบบใหบรการตางๆทเชอมตอกบผใหบรการรายนลดลงเปนตน

1.4 ภยคกคามตอขอมลและสารสนเทศคอภยคกคามทมตอการรกษาความลบของขอมลบคคลและโครงสรางพนฐานระบบสารสนเทศ โดยมกเกดขนเมอผไมประสงคดประสบความส�าเรจในการเขาถงบรการตางๆ โดยไมไดรบอนญาตจากนนอาจท�าการน�าขอมลตางๆ ไปเปดเผย หรอขายใหกบองคกร คแขง นอกจากนยงรวมถงการแอบดกรบขอมลส�าหรบการพสจนตวจรงตางๆ เชน ชอผใชงาน และรหสผานส�าหรบเขาถงเครอขายหรอแมกระทงความพยายามในการแอบดรหสผานส�าหรบเขาใชเครองคอมพวเตอรสวนบคคลดงทแสดงในภาพท 14.6การเกบขยะทเกดขนในองคกรเพอคนหารหสผานทผใชงานอาจเขยนหรอพมพแลวทงโดยไมไดท�าลายตลอดจนการลกลอบจ�ารหสเอทเอมของเปาหมายเปนตน

ภาพท 14.6 การแอบดรหสผานของผไมประสงคด

1.5 ภยคกคามทเกดจากธรรมชาตคอภยคกคามทเกดขนโดยธรรมชาตเชนเมอเกดแผนดนไหวอาจท�าใหสายไฟฟาหรอสายใยแกวน�าแสงทเชอมโยงเครอขายเสยหายท�าใหโครงสรางพนฐานสารสนเทศตางๆไมสามารถใชการไดตามปกตการเกดอทกภยฉบพลนอาจสงผลใหองคกรไมสามารถด�าเนนกจกรรมไดตามปกต รวมไปถงเหตการณไฟไหมทเกดขนกบทรพยากรสารสนเทศตางๆ ทม ตลอดจนการสะสมของฝนทอาจท�าใหเกดไฟฟาลดวงจรบนแผงวงจรไฟฟาภยธรรมชาตทส�าคญๆเชนฟาผาแผนดนไหวน�าทวมพายไตฝนสนามดงทเคยเกดขนกบองคกรส�าคญๆในประเทศทสญเสยขอมลส�าคญขององคกรอนเนองมาจากอทกภยเปนตน

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


1.6 ภยคกคามจากความผดพลาดของมนษยคอภยคกคามทมสาเหตมาจากความผดพลาดของผใชงานทมสทธเขาถงและบรหารจดการระบบในทกระดบ เชน ผใชงานทวไปนยมเขยนรหสผานส�าหรบเขาใชงานระบบตางๆ แลวแปะไวบนจอคอมพวเตอร สงผลใหขอมลทใชในการพสจนตวจรงอาจถกผไมประสงคดน�าไปใชและใชสทธของผใชคนนนในการโจมตตอความมนคงปลอดภยของทรพยากรสารสนเทศขอผดพลาดอนๆ เชน การปรบแตงการตงคาของอปกรณและซอฟตแวรทเกยวของผดพลาด การใชงานคอมพวเตอรสวนบคคลผใชงานอาจปรบตงคาการท�างานซอฟตแวรปองกนคอมพวเตอรไวรสผดพลาดท�าใหไมมการปรบปรงฐานขอมลของซอฟตแวรเมอเวลาผานไปซอฟตแวรนนกไมสามารถตรวจจบคอมพวเตอรไวรสใหมๆไดสงผลใหเกดปญหาทเกยวของกบความมนคงปลอดภยกบคอมพวเตอรเครองนนๆเปนตน

1.7 ภยคกคามจากการขมขและการเปดเผยขอมล คอ ภยคกคามทเกดขนเมอผไมประสงคดหรอบคลากรในองคกรโจรกรรมขอมลจากระบบสารสนเทศแลวท�าการเรยกคาไถกบเจาของขอมลหรอเจาของระบบเชนการโจรกรรมหมายเลขบตรเครดตจากระบบบรการรานคาออนไลนตางๆทงนหากผไมประสงคดด�าเนนการส�าเรจแลวน�าขอมลดงกลาวเผยแพรตอสาธารณะจะท�าใหเกดผลเสยหายตอองคกรนนๆ อยางมาก เพอแลกเปลยนกบความเสยหายทอาจเกดขนจงเกดการเจรจาตอรองและเรยกคาไถเปนตน

1.8 ภยคกคามจากการบรหารจดการทหละหลวมคอภยคกคามทเกดขนจากการก�าหนดแผนงานและจดการนโยบายการใชงานทรพยากรสารสนเทศอยางไมเหมาะสมท�าใหเกดชองโหวในการบรหารจดการจนสงผลใหหากเกดการโจมตตอทรพยากรสารสนเทศในองคกรนนๆเชนการก�าหนดนโยบายการเขาถงและการก�าหนดสทธทไมรอบคอบรดกมการไมก�าหนดใหมการพสจนตวจรงกอนการเขาถงทรพยากรเปนตน

1.9 ภยคกคามจากมาตรการควบคมทไมเหมาะสมคอภยคกคามทเกดขนจากการควบคมและการปรบตงคาอปกรณในโครงสรางพนฐานสารสนเทศไมเหมาะสมอนเปนผลมาจากการออกแบบการท�างานทดอยประสทธภาพเชนการปลอยใหผใชทวไปสามารถเขาถงเนตเวรกสวตชสามารถท�าการปรบตงคาใหมการดกรบขอมลได เนองจากไมมการปรบตงชอรหสผานผใชเพอจ�าแนกเจาหนาทดแลระบบออกจากผใชงานทวไปผใชงานทไมประสงคดอาจคนรหสผานมาตรฐานของอปกรณนนๆแลวเขาไปรบตงคาตางๆซงอาจสงผลกระทบตอความมนคงปลอดภยของทรพยากรตางๆในองคกรไดเปนตน

1.10 ภยคกคามจากการกอการรายและการบอนท�าลาย คอ ภยคกคามทเกดขนโดยมแรงจงในในการบอนท�าลายความมนคงปลอดภยของทรพยากรพนฐานขององคกร เชน ความพยายามในการเขาควบคมระบบควบคมตางๆ ของโรงไฟฟาหรอศนยโทรคมนาคมเพอสรางความสบสนวนวายใหกบสงคมและสงผลกระทบตอผคนในวงกวาง เพอตอบสนองตอแรงจงใจทางการเมอง ศาสนา และความเชอของกลมเปนตน

1.11 ภยคกคามจากการขโมยคอการโจรกรรมตางๆเกดขนตอทรพยสนขององคกรไมวาจะเปนในรปของขอมลฮารดแวรโดยอาจมแรงจงใจทหลากหลายเชนการน�าสนคานนๆไปขายทอดตลาดหรอการน�าทรพยสนนนๆไปเพอคนหาขอมลทตองการแลวน�าขอมลนนๆไปใชประโยชนตอไปเชนการขโมยคอมพวเตอรโนตบกของวศวกรองคกรคแขงเพอน�าไปสบคนขอมลทเกยวของเปนตน

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


1.12 ภยคกคามจากความผดพลาดของฮารดแวรคอภยคกคามทเกดขนเนองจากขอบกพรองของฮารดแวรจนอาจท�าใหสงกระทบตอความมนคงปลอดภย เชน ความผดพลาดในการออกแบบหนวยประมวลผลกลาง(CentralProcessingUnit;CPU)ซงสงผลใหมขอบกพรองเกยวกบการค�านวณเลขจดทศนยม อาจสงผลเสยตอความครบถวนสมบรณของขอมลและสารสนเทศทถกประมวลผล หรอความผดพลาดดานการรกษาความมนคงปลอดภยของอปกรณเราเตอรทหากผไมประสงคดท�าการโจมตตอ ขอผดพลาดดงกลาวจะสามารถเขาโจมตอปกรณอนๆทเชอมตอกบเราเตอรไดเปนตน

1.13 ภยคกคามจากความผดพลาดของซอฟตแวรคอภยคกคามทเกดจากความผดพลาดของซอฟตแวร เชน ขอผดพลาดในขนตอนการพฒนาซอฟตแวรทไมไดรบการทดสอบทงนอาจกลาวไดวาซอฟตแวรทถกใชงานเกอบทกชนดมชองโหวทหากผไมประสงคดท�าการโจมตตอชองโหวนนๆส�าเรจจะเปนภยคกคามตอความมนคงปลอดภยสารสนเทศได ผสนใจสามารถขอผดพลาดทเกดขนกบซอฟตแวรเพมเตมไดจากเวบไซตwww.securityfocus.com

1.14 ภยคกคามจากเทคโนโลยทลาสมยคอภยคกคามทเกดจากการใชงานเทคโนโลยทลาสมยซงอาจใหสารสนเทศทถกสรางประมวลผลและจดเกบขนมความไมมนคงปลอดภยโดยเปนผลสบเนองจากโครงสรางพนฐานของเทคโนโลยลาสมยอนเกดจากผผลตเทคโนโลยดงกลาวไดยกเลกการใหการสนบสนนหลงการขายเนองจากไดมการพฒนาเทคโนโลยใหมๆ ขนมาทดแทนเรยบรอยแลว ตวอยางทส�าคญเชนการใชงานระบบปฏบตการทถกยกเลกสายการผลตไปแลวยอมไมไดรบการปรบปรงคณสมบต (update)ทส�าคญๆซงหมายความวาชองโหวทมอยในระบบปฏบตการนนจะไมไดรบการแกไขจะเปนการเพมโอกาสของการโจมตส�าเรจหากคอมพวเตอรเครองนนตกเปนเปาหมายของการโจมต

2. การโจมตการโจมตหมายถงกจกรรมตางๆทกระท�าขนตอชองโหวของทรพยากรสารสนเทศเพอท�าลาย

ความมนคงปลอดภยของทรพยากรนนๆ ตลอดจนทรพยากรอนๆ ทเกยวของการโจมตแตกตางจาก ภยคกคามในมมมองทวาภยคกคามนนจะมอยเสมอนบตงแตองคกรใชงานทรพยากรสารสนเทศ เชน ภยคกคามทเกยวของกบฝนฟาคะนองจะเกดขนกตอเมอมพายฝนจ�านวนมากแตวาการโจมตและผลเสยหายทเกดขนจากฝนฟาคะนองจะเกดขนกตอเมอเกดฟาผาทรพยากรทเกยวของจรงๆ เปนตน ในทนจะกลาวถงการโจมตหลกๆดงตอไปน

2.1 มลแวร (malware)หมายถงการโจมตทเกดขนอนเปนผลจากซอฟตแวรทถกพฒนาขนเพอท�าลายความมนคงปลอดภยของระบบคอมพวเตอร เชน ไวรสคอมพวเตอร หนอนอนเทอรเนต โทรจนหรอซอฟตแวรเรยกคาไถตางๆโดยซอฟตแวรเหลานนมกมความสามารถในการดกรบท�าลายขโมยหรอจ�ากดการเขาถงทรพยากรสารสนเทศของผมสทธใชงาน

2.2 โฮกส (hoax)หมายถงการโจมตตอทรพยากรสารสนเทศโดยการหลอกผใชงานวาซอฟตแวรนนๆสามารถก�าจดมลแวรตางๆไดแตในความเปนจรงแลวซอฟตแวรนนถกพฒนาขนโดยมการซอนการท�างานพเศษทถกออกแบบมาใหท�างานอยางใดอยางหนง เชน การดกรบขอมลจากคยบอรด สงผลตอ

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


ความมนคงปลอดภยของทรพยากรของเปาหมายผใชงานอาจตดตงและแจกจายซอฟตแวรนนใหกบเพอนรวมงานอนๆท�าใหเกดการแพรกระจายมากขนเปนตน

2.3 แบคดอร (back door) นยมเรยกอกอยางหนงวาประตลบโดยมลกษณะเปนซอฟตแวรท ผพฒนาซอฟตแวรพฒนาไวเพอบรหารจดการซอฟตแวรระหวางการพฒนาส�าหรบแกปญหาทเกดขนจากทบานโดยทไมมผอนลวงรซงอาจเปนชองทางทถกใชในการโจรกรรมหรอท�าลายขอมลทส�าคญขององคกรนอกจากนยงหมายรวมถงการตดตงซอฟตแวรทท�าหนาทรองรบการเชอมตอจากผไมประสงคดเมอระบบถกโจมตส�าเรจโดยซอฟตแวรดงกลาวจะท�าใหผไมประสงคดสามารถเขาถงระบบไดโดยไมจ�าเปนตองด�าเนนการโจมตอกครง แบคดอรบางชนดถกออกแบบใหท�างานในระดบฮารดแวรโดยมวตถประสงคหลกในการดกรบขอมลส�าคญเชนกญแจรหสลบแลวสงขอมลนนไปยงผไมประสงคด

2.4 การแครกรหสผาน (password crack) หมายถง การด�าเนนการวศวกรรมยอนกลบเพอค�านวณรหสผานทใชในการพสจนตวจรง ผไมประสงคดนยมวเคราะหรหสส�าหรบเขาใชงานระบบดวยเทคนคการวเคราะหไฟลฐานขอมลผใชงานซงนยมเรยกวาSAM(SecurityAccountManeger)ทถกจดเกบในระบบซงจดเกบขอมลรหสในรปของขอมลแฮช

2.5 บรทฟอรซ (brute force) หมายถง การโจมตดวยการคาดเดารหสผานทเปนไปไดเขาสบรการทตองการโจมตโดยการใชชอผใชพนฐานของระบบหรอชอผใชทตกเปนเปาหมายของการโจมตผานฐานขอมลรหสผานซงนยมเรยกวาดคชนนาร(dictionary)ซงจดเกบรหสผานทผใชงานนยมเลอกใช

2.6 การท�าใหระบบปฏเสธการใหบรการ (Denial of Service; DoS)หมายถงการโจมตตอระบบโดยมงหวงผลท�าใหระบบนนไมสามารถใชการได เทคนคการโจมตเพอหวงผลดงกลาวอาจแบงแยกไดหลายระดบเชนการโจมตแบบปงออฟเดด(pingofdeath)ซงเปนการโจมตหวงผลโจมตตอเปาหมายดวยการสงขอมลไอซเอมพแพกเกตขนาดใหญไปยงเครองเปาหมาย หากแฮกเกอรโจมตดวยเทคนคน ตอเครองเปาหมายนนมชองโหวนจะสงผลท�าใหเครองเปาหมายไมสามารถใชงานเครอขายไดนอกจากนยงมเทคนคการโจมตอนๆ เชน การโจมตตอระบบงานเวบ (web application) ดวยการสงขอมลทเมอระบบงานประมวลผลแลวเกดขอผดพลาดอยางรายแรง ไมสามารถท�างานตอไปได สงผลใหผใชทมสทธ ใชงานอนๆไมสามารถเขาใชงานระบบไดเปนตน

2.7 สปฟฟง (spoofing)หมายถงการปลอมแปลงเปนบคคลหรอสงอนๆโดยท�าใหเชอวาเปาหมายก�าลงปฏสมพนธกบบคคลหรอสงอนๆนนจรงๆ เชน เทคนคการโจมตแบบไอพสปฟฟง (IP spoofing)จะหมายถงการโจมตทผโจมตท�าการการปลอมแปลงไอพแพกเกตเฮดเดอรใหเสมอนกบวาไดรบอนญาตใหเขาใชงานทรพยากรบนเครอขาย เทคนคการโจมตทเกยวของกบการปลอมแปลงอนๆ เชน การโจมตโดยการปลอมแปลงขอมลทเกยวของกบบรการสอบถามโดเมน(DNSspoofing)โดยมรายงานการโจมตตอชองโหวของโมเดมระบบเอดเอสแอลบางรนทเมอโจมตส�าเรจจะอนญาตใหผไมประสงคดสามารถก�าหนดไอพแอดเดรสของโดเมนเนมเซรฟเวอรเปนไอพแอดเดรสทผไมประสงคดสรางไวเมอเครองทเชอมตอกบโมเดมนนสอบถามหมายเลขไอพแอดเดรสกจะไดรบไอพแอดเดรสทถกก�าหนดขนโดยผไมประสงคดและเพมโอกาสใหเหยอสญเสยขอมลพสจนตวจรงแกผไมประสงคดเปนตน

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


2.8 การโจมตแบบคนกลาง (man-in-the-middle)หมายถงการโจมตทเกดขนเมอผไมประสงคดท�าการดกรบขอมลบนเครอขายทท�าการเปลยนแปลงขอมลนนจากนนจงสงขอมลทเปลยนแปลงดงกลาวไปยงปลายทางจะเหนวาการโจมตลกษณะนจะเกยวของกบการปลอมแปลงและควบคมเสนทางการเดนทางของขอมลใหมการไหลผานผไมประสงคด หากเปรยบเทยบจะคลายคลงกบวรรณคดไทยเกยวกบฤาษ แปลงสาร ทผไมประสงคดจะดกรบ เขาถงและเปลยนแปลงขอมลกอนทจะสงไปยงปลายทาง เปนตน การลดผลส�าเรจของการโจมตแบบคนกลางสามารถกระท�าใหโดยใชโครงสรางพนฐานกญแจสาธารณะ(public key infrastructure) ซงหากผใชงานมความตระหนกรถงวธการใชงานอยางถกตองจะสามารถปองกนการโจมตลกษณะนไดเปนอยางด

2.9 สแปม (spam)หมายถงลกษณะการไดรบขอมลทผรบไมตองการ เชนการไดรบจดหมายอเลกทรอนกสหรอขอความสน(ShortMessageService;SMS)ตางๆโดยทผใชงานไมไดตองการรบทราบขอมลซงอาจสรางความร�าคาญใจใหกบผใชงาน หรอในบางกรณอาจท�าใหเกดการใชชองสญญาณการสอสารมากผดปกตเปนตน

2.10 การดกรบ/ดกฟง (sniffing)หมายถงการโจมตโดยการดกรบหรอดกฟงขอมลทรบสงกนโดยไมไดรบสทธโดยมงหวงการเปดเผย และแปรความหมายขอมลเหลานน ทงนการดกรบหรอดกฟงสามารถกระท�าไดทงในเครอขายแบบใชสายสญญาณเชนอเธอรเนต(ethernet)สายใยแกวน�าแสงหรอเครอขายไรสายอนๆ เชน เครอขายไรสายเฉพาะบรเวณทสรางขนบนโทรศพทโดยไมมการก�าหนดใหมการเขารหสขอมลเปนตน

2.11 วศวกรรมทางสงคม (social engineering)หมายถงการโจมตโดยใชทกษะทเกยวของกบการเขาสงคมในการโจมตตอเปาหมายเพอใหไดมาซงขอมลทใชในการพสจนตวจรง หรอขอมลทส�าคญอนๆเพอใชในการพสจนตวจรงและไดรบสทธในการเขาใชงานในระบบเชนการโทรศพทโดยเลยนเสยงเปาหมาย หรอการปลอมแปลงเปนผบงคบบญชาของเหยอ เพอสอบถามขอมลทตองการ ตลอดจน การลอลวงใหเปาหมายเขาใจผดแลวกระท�าการอยางใดอยางหนงเพอใหบรรลเปาหมายของผโจมต เชนการหลอกใหเหยอโอนเงนผานตเอทเอม โดยท�าทเปนพนกงานของธนาคารซงจะสนทนากบเหยอโดยลอลวงใหกระท�าโดยขาดความตระหนกรเทคนคการโจมตทเกยวของกบวศวกรรมทางสงคมทส�าคญไดแกการโจมตแบบฟชชงซงมลกษณะการโจมตโดยการสงจดหมายอเลกทรอนกสหาเหยอโดยมเนอหาทท�าใหเหยอกระท�าการทผไมประสงคดตองการ เชนแจงเตอนวาบญชผใชงานของเหยอถกโจมตใหเหยอเขาไปแกไขขอมลโดย โดยการลอลวงไปยงเวบไซตปลอมทมลกษณะคลายคลงกบเวบไซตของผใหบรการจรงๆเปนตน

2.12 ฟารมมง (pharming)หมายถงการโจมตโดยการควบคมเสนทางการสงขอมลของผใชงานไปยงเปาหมายหลอกโดยมวตถประสงคหลกในการไดมาซงขอมลทใชในการพสจนตวจรงตอบรการตางๆโดยปกตการโจมตลกษณะนจะกระท�าผานโทรจน หรอการโจมตบรการสอบถามโดเมน (DNS cachepoisoning)โดยเมอผใชงานเรยกใชงานบรการทตองการโทรจนจะเปลยนเสนทางจากปลายทางทแทจรงไปยงเวบไซตปลอมทถกสรางขนมาส�าหรบรบขอมลพสจนตวจรงเปนตน

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ



1. จงอธบายลกษณะของผลกระทบตอความมนคงปลอดภยทเกดจากภยคกคามทเกดขนตามธรรมชาต

2.จงอธบายผลกระทบของสแปมเมลตอการใหบรการจดหมายอเลกทรอนกสและความเกยวของกบการโจมตดวยเทคนคทางสงคม


1. โดยปกตภยคกคามตามธรรมชาตมกสงผลโดยตรงตอความพรอมใชของทรพยากรนนๆเชนเมอเกดฟาผาตออปกรณสอสารอาจท�าใหอปกรณนนๆเสยหายไมสามารถใชงานไดเปนตน

2. จดหมายอเลกทรอนกสสงผลโดยตรงตอผใชงานทเปนเจาของอเมลนนๆ นอกจากนยงสงผลท�าใหมการใชงานเครอขายมากขน ในกรณทชองสญญาณการสอสารมไมมากพออาจสงผลใหชองสญญาณเตมหรอใชพนทในระบบเตมและไมสามารถรบจดหมายทควรได เปนตน และมความเกยวของกบการโจมตดวยเทคนคทางสงคมเนองจากเปนชองทางหนงในการเขาถงเหยอ โดยหากเหยอหลงเชอและด�าเนนการตามขอความทปรากฏในจดหมายนนอาจท�าใหการโจมตตอๆมาส�าเรจไดเปนตน

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


ตอนท 14.2

แนวทางการจดการความมนคงปลอดภยระบบคอมพวเตอร

โปรดอานหวเรองแนวคดและวตถประสงคของตอนท14.2แลวจงศกษารายละเอยดตอไป

หวเรอง14.2.1แบบจ�าลองความมนคงปลอดภย14.2.2แนวทางบรหารจดการความมนคงปลอดภย

แนวคด1. แบบจ�าลองการรกษาความมนคงปลอดภยถกพฒนาขนเพอใชในการก�าหนดนโยบาย

วธการ ตลอดจนเทคโนโลยทจ�าเปนส�าหรบการรกษาความมนคงปลอดภยทรพยากรนนๆ แบบจ�าลองทนยมใชอยางแพรหลายในการรกษาความมนคงปลอดภยคอ แบบจ�าลองของจอหน แมคควเบอร ซงก�าหนดเปาหมายหลกของการรกษาความมนคงปลอดภยซงประกอบดวยการรกษาความลบ การรกษาความครอบถวนสมบรณ และความพรอมใช โดยครอบคลมถงสถานะของทรพยากรทตองการรกษาความมนคงปลอดภยตลอดจนแนวทางการปองกนทเหมาะสม

2. การประยกตใชงานเทคโนโลยรวมกบการบรหารจดการความมนคงปลอดภยอยางเหมาะสมโดยเฉพาะอยางยงการก�าหนดนโยบายการประยกตใชงานเทคโนโลยทเกยวของและควบคมการปฏบตใหเปนไปตามทก�าหนดในนโยบายจะสรางความมนใจไดวาการผลตประมวลผลจดเกบและแสดงผลทรพยากรสารสนเทศนนๆมความมนคงปลอดภยกลาวไดวาความส�าเรจของการรกษาความมนคงปลอดภยขนอยกบการวางแผนและก�าหนดนโยบายการรกษาความมนคงปลอดภยการปฏบตตามแผนการการตรวจสอบการปฏบตตามวงรอบและการปรบเปลยนแผนนโยบายใหสอดคลองกบเหตการณทเปลยนแปลง

วตถประสงคเมอศกษาตอนท14.2จบแลวนกศกษาสามารถ1. ประยกตใชหลกการรกษาความมนคงปลอดภยได2. วเคราะหความส�าคญของมนษยตอการรกษาความมนคงปลอดภยได3. วเคราะหความส�าคญของนโยบายการรกษาความมนคงปลอดภยได4. วเคราะหผลกระทบของการโจมตตอทรพยากรสารสนเทศได5. ก�าหนดมาตรการปองกนทเหมาะสมส�าหรบรกษาความมนคงปลอดภยได6. วเคราะหขอจ�ากดของมาตรการปองกนได

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ



แบบจ�าลองความมนคงปลอดภย

แบบจ�าลองความมนคงปลอดภย (computer securitymodel) เปนเครองมอทถกพฒนาขนส�าหรบการบรหารความมนคงปลอดภยของสารสนเทศ มขอบเขตรวมถงการรกษาความมนคงปลอดภยระบบคอมพวเตอรและการจดการนโยบายทเกยวของอนๆโดยมวตถประสงคหลกในการก�าหนดมาตรการควบคม แนวทางการปองกน การก�าหนดนโยบายและกฎระเบยบทเกยวของกบการรกษาความมนคงปลอดภย

1. แบบจ�าลองความมนคงปลอดภยของแมคควเบอรมผเสนอแบบจ�าลองความมนคงปลอดภยไวหลากหลาย เชน แบบจ�าลองของแกรมและเดนนง6

แบบจ�าลองของคลากและวนสน7แบบจ�าลองของบรวและแนช8เปนตนแตแบบจ�าลองความมนคงปลอดภยทไดรบการยอมรบอยางกวางขวางในการปรบใชกบการรกษาความมนคงปลอดภยสารสนเทศถกพฒนาขนโดยจอหน แมคคมเบอร (JohnMcCumber) โดยน�าเสนอเปนแผนภาพดงทแสดงในภาพท 14.7 และ ไดรบความนยมเรยกวา แมคคมเบอรควบ (McCumberCube) โดยแสดงองคประกอบทจ�าเปนในการรกษาความมนคงปลอดภยของขอมลขาวสาร ไดแก เปาหมายหลกของการรกษาความมนคงปลอดภย(desiredgoal)สถานะของสารสนเทศ(informationstate)และแนวทางปองกน(safeguard)

6 Graham-Denningmodelน�าเสนอแบบจ�าลองทก�าหนดกระบวนการและวธการส�าหรบการสรางลบสารสนเทศและการก�าหนดมาตรการควบคมการเขาถงและก�าหนดสทธอยางเหมาะสม

7 Clark–Wilsonmodel น�าเสนอแบบจ�าลองทก�าหนดกระบวนการ วธการและแนวทางการวเคราะหความครบถวนสมบรณของสารสนเทศ

8 Brewer andNashmodel น�าเสนอแบบจ�าลองการควบคมการเขาถงสารสนเทศทสามารถปรบเปลยนไดหากมการก�าหนดมาตรการทมการทบซอนกนระหวางทรพยากร

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


ภาพท 14.7 แมคคมเบอรควบ ทมา: http://en.wikipedia.org/wiki/McCumber_cubeสบคนเมอ20กนยายน2558.

โดยในแตละองคประกอบหลกจะมรายละเอยดทเกยวของดงตอไปน1.1 เปาหมายหลกของการรกษาความมนคงปลอดภย

1.1.1 การรกษาความลบ (confidentiality)หมายถงการจดการใหทรพยากรนนถกลวงรและแปลความหมายไดจากผทมสทธ

1.1.2 การรกษาความครบถวนสมบรณ (integrity)หมายถงการจดการใหทรพยากรนนมความครบถวนสมบรณมกลไกตรวจสอบการถกเปลยนแปลงแกไข

1.1.3 การรกษาความพรอมใช (availability) หมายถง การจดการใหทรพยากรนนถก เขาถงและใชงานไดจากผมสทธอยเสมอ

1.2 สถานะของสารสนเทศ

1.2.1 การจดเกบ (storage) หมายถง ทรพยากรสารสนเทศใดๆ ทถกจดเกบในแหลงจดเกบขอมลเชนสภาวะทสารสนเทศนนถกจดเกบในหนวยความจ�าฮารดดสกเปนตน

1.2.2 การประมวลผล (processing) หมายถง ทรพยากรสารสนเทศใดๆ ทถกก�าลงถกประมวลผล

1.2.3 การรบสง (transmission) หมายถง ทรพยากรสารสนเทศใดๆ ทก�าลงถกรบ-สงผานตวกลางการสอสารเชนการสงขอมลพสจนตวจรงผานเครอขายเปนตน

1.3 แนวทางปองกน

1.3.1 การจดการนโยบาย (policy)หมายถงการก�าหนดระเบยบวธปฏบตทเกยวของกบการรกษาความมนคงปลอดภยทรพยากรสารสนเทศตางๆ

1.3.2 ทรพยากรมนษย (human factor) หมายถง บคคลทมสวนเกยวของกบทรพยากรสารสนเทศนนๆ

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


1.3.3 เทคโนโลย (technology)หมายถงเทคโนโลยทเกยวของและสามารถน�ามาประยกตใชในการรกษาความมนคงปลอดภยทรพยากรสารสนเทศ เชน เทคโนโลยการเขารหสลบ เทคโนโลยทเกยวของกบการพสจนตวจรงเปนตน

จากแบบจ�าลองนเมอตองการรกษาความมนคงปลอดภยใหกบทรพยากรใดๆผมสวนเกยวของจะตองพจารณาเปาหมายหลกของการรกษาความมนคงปลอดภยรวมกบมมมองอนๆ คอ สถานะของสารสนเทศและแนวทางปองกน เชนพนผวทเปนจดตดกนระหวางการรบสงขอมลการรกษาความลบและเทคโนโลย แสดงใหเหนถงความจ�าเปนทจะตองมการเลอกใชเทคโนโลยทเหมาะสมส�าหรบการรกษาความลบของขอมลขาวสารทถกรบสงระหวางกน ซงเทคโนโลยทเกยวของในกรณนอาจเกยวของกบการเขารหสขอมลขาวสารนนๆกระบวนการพสจนตวจรงของอปกรณสอสารเพอใหมนใจไดวาการรบสงขอมลนนจะไมถกสงตอไปยงอปกรณทไมไดรบสทธ ทงนแบบจ�าลองนจะถกใชในการพจารณาก�าหนดนโบยายและขอก�าหนดทเกยวของกบการควบคมการประยกตใชงานเทคโนโลยตางๆเพอรกษาความมนปลอดภยของขอมลขาวสารซงจะถกกลาวถงตอๆไปในหนวยการเรยนการสอนทเกยวของกบการรกษาความมนคงปลอดภย

2. ตวอยางการประยกตใชงานแบบจ�าลอง2.1 การโจมตของซอฟตแวรไมพงประสงคซอฟตแวรไมพงประสงคในปจจบนมความสามารถ

ในการโจมตตอทรพยากรของระบบคอมพวเตอรไดหลากหลายโดยในทนเปนการยกตวอยางการใชงานแบบจ�าลองของแมคคมเบอรในการรกษาความมนคงปลอดภยจากการโจมตของคยลอกเกอรซงเปนซอฟตแวรไมพงประสงคทถกออกแบบมาส�าหรบการดกรบขอมลการใชงานคอมพวเตอรผานคยบอรด แบบจ�าลองของแมคคมเบอรสามารถน�ามาประยกตใชในการรกษาความมนคงปลอดภยจากการโจมตของซอฟตแวรไมพงประสงคดงทแสดงตารางท14.1

ตารางท 14.1 การประยกตใชแบบจ�าลองแมคคมเบอรส�าหรบการโจมตของซอฟตแวรไมพงประสงค

เปาหมายหลก สถานะ แนวทางการปองกน

ความลบ การจดเกบประมวลผล

นโยบาย : การตดตงและปรบปรงฐานขอมลมลแวร : การก�าหนดตารางการตรวจสอบมลแวรตาม

ชวงระยะเวลาเทคโนโลย : ระบบตรวจจบผบกรกส�าหรบโฮสต : ระบบตรวจจบมลแวรทรพยากรบคคล : พฒนาความตระหนกร : เสรมสรางความรความเขาใจ

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


2.2 การโจมตดวยเทคนคการท�าใหระบบปฏเสธการใหบรการแบบ DDoSการโจมตดวยเทคนคการท�าใหระบบปฏเสธการใหบรการ (Denial of Service) เปนภยคกคามทส�าคญประการหนงของ การใหบรการอนเทอรเนตทสงผลใหผทมสทธใชงานไมสามารถใชงานเครอขายได ในทนเปนตวอยาง การประยกตใชแบบจ�าลองของแมคคมเบอรในการรกษาความมนคงปลอดภยตอการโจมตดวยเทคนคDDoSซงเปนการโจมตจากผไมประสงคดหลายๆรายพรอมๆกนเมอพจารณาภยคกคามและแนวทางการจดการตอภยคกคามดงทแสดงในตารางท14.2

ตารางท 14.2 การประยกตใชแมคคมเบอรโมเดลส�าหรบจดการ DDoS


ความพรอมใช การรบสง นโยบาย : การเฝาตรวจเครอขายเทคโนโลย : ระบบตรวจจบผบกรกทางเครอขาย(IDS)ทรพยากรบคคล : พฒนาความสามารถใหตอบสนองตอสถานการณ

2.3 การโจมตดวยเทคนคบรทฟอรซตอบรการเอฟทพ การโจมตดวยเทคนคบรทฟอรซจะสมรหสผานจากฐานขอมลรหสผานทไดรบความนยมตงแลวสงเขาสบรการโดยมวตถประสงคหลกเพอเขาใชงานบรการโดยไมไดรบอนญาตหากรหสผานทตงไวเปนรหสผานทตรงกบฐานขอมลจะท�าใหผไมประสงคดสามารถเขาใชงานระบบไดและอาจท�าใหผไมประสงคดสามารถเปลยนรหสผานเปลยนแปลงแกไขขอมลในเซรฟเวอรและปลอมแปลงเปนเจาของบญชผใชนนได

ตารางท 14.3 การประยกตใชแบบจ�าลองแมคคมเบอรส�าหรบจดการ FTP Bruteforcing


ความลบความครบถวนสมบรณความพรอมใช

การจดเกบ นโยบาย : การตงรหสผาน การจ�านวนความผดพลาดในการพสจนตวจรง การเฝาตรวจเหตการณผดปกต

เทคโนโลย : ระบบตรวจจบผบกรกทรพยากรบคคล : ผใชงานตองตงรหสผานทยากตอการคาดเดา

และไมปรากฏในฐานขอมลรหสผาน

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


จะเหนวาการน�าเทคโนโลยทดทสดประกอบกบการก�าหนดนโยบายการรกษาความมนคงปลอดภยทดทสด ยงไมอาจกลาวไดวาการสรางความมนคงปลอดภยใหกบทรพยากรสารสนเทศแบบสมบรณนนเปนไปได ไมวาจะในระดบองคกรหรอระดบบคคลทงนเนองจากการรกษาความมนคงปลอดภยเปน กระบวนการ และการด�าเนนการใหมนใจไดวาทรพยากรเหลานนถกใชงานอยางมนคงปลอดภย อยางไรกดการน�าแบบจ�าลองของแมคควเบอรมาประยกตใชในการจดการความเสยง และบรหารความเสยงจะเปนเครองมอและตวชวดพนฐานทส�าคญส�าหรบการรกษาความมนคงปลอดภย


1. จงประยกตใชแบบจ�าลองแมคคมเบอรส�าหรบการแอบดรหสผาน2.จงประยกตใชแบบจ�าลองแมคคมเบอรส�าหรบการดกรบขอมลพสจนตวจรงตอระบบจดหมาย

อเลกทรอนกสผานเวบ


1.


ความลบ การรบสง นโยบาย :ไมเปดเผยรหสผานตอผอนไมตดรหสผานบนหนาจอเทคโนโลย : ใชเทคโนโลยส�าหรบการพสจนตวจรงเชนยเอสบโทเคนทรพยากรบคคล : ผใชงานไดรบการอบรมชแจงใหตระหนกถงรปแบบและ

วธการปองกนการแอบดรหสผาน

2.


ความลบ การรบสง นโยบาย : บงคบใชการเทคนคการเขารหสส�าหรบการใชงานบรการจดหมายอเลกทรอนกส

เทคโนโลย : HTTPSทรพยากรบคคล : ผใชงานไดรบการอบรมชแจงใหตระหนกถงรปแบบ

ขอบงชและเหตผดปกตทเปนผลของการโจมต

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ



แนวทางบรหารจดการความมนคงปลอดภย

การประยกตใชงานเทคโนโลยรวมกบการบรหารจดการความมนคงปลอดภยอยางเหมาะสมโดยเฉพาะอยางยงการก�าหนดนโยบาย การประยกตใชงานเทคโนโลยทเกยวของ และควบคมการปฏบตใหเปนไปตามทก�าหนดในนโยบายจะสรางความมนใจไดวาการผลต ประมวลผล จดเกบ และแสดงผลทรพยากรสารสนเทศนนๆมความมนคงปลอดภย

1. การควบคมการเขาถงทรพยากรการควบคมการเขาถงทรพยากรสารสนเทศจะถกด�าเนนการโดยการก�าหนดและใชงานมาตรการ

ควบคม (access control) ซงหมายถง กระบวนการ วธการ หรอระบบซงจะท�าการตรวจสอบผใชงานกอนอนญาตใหผใชงานทผานการตรวจสอบนนเขาถงทรพยากรสารสนเทศใดๆไดยกตวอยางมาตรการควบคมส�าหรบการเขาใชงานเครองคอมพวเตอรสวนบคคลโดยทวไปทนยมใชคอการปอนรหสผใชงานและรหสผานมาตรการควบคมส�าหรบการผานเขาออกหองอาจมการตดตงระบบคยการดใหเฉพาะผทมการดเทานนจงจะสามารถเขาออกได หรอแมกระทงการแจกจายกญแจเฉพาะเจาหนาทผมหนาทเกยวของในการเขาถงหองใดหองหนง กจดเปนมาตรการการควบคม ทงนมาตรการควบคมสามารถจ�าแนกเปน 3ประเภทคอ

1.1 การควบคมการเขาถงภาพบงคบ (mandatory access control)หมายถงหลกการควบคมการเขาถงแบบทผใชงานไมสามารถเปลยนแปลงสทธการเขาถงทรพยากรไดดวยตนเองเหมาะส�าหรบการควบคมทรพยาการทมขอมลและสทธของผใชงานมความชดเจนเนองจากผใชงานแตละคนจะถกแบงมอบสทธในการเขาถงทรพยากรเปนกลมๆ(classorcategory)ในแตละกลมจะมการจดล�าดบความมนคงปลอดภยเชนการแบงขอมลออกแบบลบทสดลบมากลบและไมจดล�าดบชนความลบเปนตน

1.2 การควบคมการเขาถงโดยผใช (discretionary access control) มหลกการการควบคม การเขาถงทรพยากรในลกษณะของการใหสทธแกเจาของหรอผไดรบสทธนน เมอมการรองขอการพสจนสทธจากผใชงานกลไกการตรวจสอบสทธทไดรบอนญาตของผใชงานจะถกตรวจสอบและกลไกนจะเปนผสงตอสทธทผใชงานไดรบใหสามารถเขาถงทรพยากรไดอกตอหนงซงกลไกนเปนกลไกมาตรฐานทระบบฐานขอมลนยมใชในการควบคมการเขาถงโดยทวไปเปนทเขาใจไดวาผใดสรางหรอเปนเจาของทรพยากรผนนจะสามารถเขาถงและมอบสทธการเขาถงใหแกผอนได

1.3 การควบคมการเขาถงตามบทบาท (role-based access control)เปนการควบคมการเขาถงทรพยากรตาม “หนาท” ทผใชงานมตอทรพยากรสารสนเทศกลไกควบคมการเขาถงแบบนมความเหมาะสมตอการควบคมการเขาถงทรพยากรในระบบสารสนเทศ หรอโครงสรางพนฐานระบบสารสนเทศทมความซบซอนเนองจากในระบบทมความซบซอนมากๆมกมความตองการควบคมทรพยากรทหลากหลายหนาท

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


ของผใชงานจงถกน�ามาพจารณาในการก�าหนดสทธท�าใหมนใจไดวาจะไมมผใชงานคนใดทสามารถเขาถงหรอบรหารระบบไดทงหมด การทมผสามารถเขาถงหรอบรหารระบบไดแตเพยงผเดยวยอมมความเสยงในการทขอมลหรอสารสนเทศในระบบนนจะถกเปลยนแปลงแกไขอยางไมถกตอง ตวอยางหนงของการควบคมการเขาถงตามบทบาทคอการควบคมการเขาถงซอฟตแวรทใชในการปรบแตงคณสมบตของระบบปฏบตการซงก�าหนดใหผใชงานตองไดรบสทธเปนผดแลระบบ(administrator)เปนตน

2. กลไกการควบคมการเขาถงทรพยากรโดยปกตมาตรการการควบคมทไดกลาวมา มกถกใชรวมกบกลไกส�าคญตอไปน การแสดงตน

การพสจนตวจรง การก�าหนดสทธ และการก�าหนดความรบผดชอบ ในกรณนจะยกตวอยาง มาตรการควบคมการเขาถงและใชบรการธรกรรมผานอนเทอรเนตของสถาบนการเงนแหงหนง ซงลกคาสามารถ เขาใชงานไดผานเวบเบราวเซอรและซอฟตแวรทท�างานบนโทรศพทเคลอนท

2.1 การแสดงตน (identification)เปนกลไกทใชในการควบคมผใชงานทตองการเขาถงทรพยากรตามชองทางททรพยากรนนๆก�าหนดขนในกรณนผใชงานจะตองใชงานอาจถกรองขอใหใชงานผานเวบเบราวเซอรทไดรบความนยมใชงาน(เชนไฟรฟอกซกเกลโครม)และซอฟตแวรทถกพฒนาขนโดยสถาบนการเงนแหงนนเทานนหากการรองขอใชงานจากซอฟตแวรอนๆเชนโอเปราเบราวเซอรหรอซอฟตแวรทไมไดถกพฒนาขนโดยสถาบนการเงนแหงนนจะไมเขาถงและพสจนตวจรงได

2.2 การพสจนตวจรง (authentication)เปนกลไกทใชในการตรวจสอบความถกตองของผทมาแสดงตนขอเขาถงทรพยากรสารสนเทศการพสจนตวจรงนยมกระท�าดวยการตรวจสอบ “ความถกตอง”ของขอมลส�าหรบการพสจนตวจรงโดยแบงลกษณะของขอมลนนได3ลกษณะคอ

1)ขอมลทผแสดงตนทราบ(somethingyouknow)เชนชอผใชงานรหสผานหมายเลขพนส�าหรบใชงานเอทเอมเปนตน

2)ขอมลทผแสดงตนม(somethingyouhas)เชนบตรเอทเอมหมายเลขบตรเปนตน3)ขอมลทผแสดงตนเปน (something you are) เชน ขอมลลายนวมอ ขอมลมานตา

เปนตนส�าหรบกรณการเขาถงบรการธนาคารอเลกทรอนกสในปจจบนนยมใชกลไกในการพสจน

ตวจรงโดยใชแหลงทมาของขอมลรวมกนเพอใหมนใจไดวาผทแสดงตนนนเปนผทมสทธเขาถงทรพยากรนนจรงๆโดยการใชขอมลชอผใชงานรหสผานรวมรหสผานแบบใชครงเดยว(One-TimePassword;OTP)ทระบบจะเปนผสงรายละเอยดไปยงโทรศพทมอถอเปนครงๆไปเปนตน

2.3 การก�าหนดสทธ (authorization)คอกลไกในการตรวจสอบและสงมอบสทธส�าหรบการเขาถงทรพยากรสารสนเทศใหกบผใชงานทผานการพสจนสทธตามทไดก�าหนดไวในมาตรการการควบคมการเขาถงสารสนเทศส�าหรบผใชงานรายนนๆ ซงการก�าหนดสทธกจะสอดคลองกบประเภทของการควบคมการเขาถงดงทไดกลาวมาแลวในตอนตน

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


2.4 การก�าหนดความรบผดชอบ (accountability)เปนกลไกทท�าใหมนใจไดวาผใชงานทเขาใชงานตลอดจนผไมประสงคดทพยายามเขาใชงานจะสามารถถกตรวจสอบและเปนผรบผดชอบผลของการกระท�า ทมตอทรพยากรสารสนเทศนนๆ ได วธการและเทคโนโลยส�าคญทใชในการตรวจสอบและก�าหนดความรบผดชอบคอการจดเกบขอมลการจราจรการจดเกบประวตการใชงานหรอทนยมเรยกวาลอก(log)ของทรพยากรตางๆทม

3. มาตรฐานทเกยวของกบการบรหารจดการความมนคงปลอดภยเพอใหการบรหารจดการความมนคงปลอดภยของทรพยากรสารสนเทศเปนไปอยางสอดคลองกน

ตามคณลกษณะเฉพาะและรปแบบการด�าเนนงานขององคกร และสอดคลองกบกฎหมายทเกยวของกบการรกษาความมนคงปลอดภย องคกรทท�าหนาทคดคนและก�าหนดมาตรฐานตางๆ จงก�าหนดมาตรการและแนวทางทเกยวของเพอใหองคกรตางๆ น�าไปประยกตใชสรางความมนคงปลอดภยใหกบทรพยากรตางๆ ขององคกร ทงนหากองคกรทน�าแนวทางทก�าหนดขนไปใชและผานการตรวจสอบมาตรฐานยอม สงผลดตอภาพลกษณขององคกรซงเปนการสรางความนาเชอถอและความมนใจตอผมสวนไดเสยตางๆเชนผถอหนพนกงานและตวชวดการจดการความมนคงปลอดภยของทรพยากรสารสนเทศในองคกรไปพรอมๆกนทงนมาตรฐานตางๆทก�าหนดขนเปนมาตรฐานสากลยอมมความนาเชอถอสงเนองจากเปนทยอมรบและถกน�าไปใชอยางแพรหลาย มาตรฐานส�าคญๆ เชน ชดมาตรฐาน ISO 27000, COBITเปนตน

3.1 ชดมาตรฐาน ISO 27000 เปนชดมาตรฐานทพฒนาโดยองคกรระหวางประเทศวาดวยการมาตรฐาน (InternationalOrganization for Standardization; ISO)ตอจากมาตรฐาน ISO 17799โดยมการรวบรวมมาตรการพนฐานหลากหลายมาตรฐานไดแกBS7799-1,BS7799-2,BS7799-3โดยมเนอหาส�าคญเกยวของกบการจดการความเสยงทเกยวของกบความมนคงปลอดภยเชนความเสยงเกยวกบความมนคงปลอดภยของขอมล วธและกระบวนการประเมนความเสยง การปฏบตเพอลดความเสยงและการบรหารจดการความเสยงขนตอนวธการด�าเนนการบรหารความเสยงเปนตนในชดมาตรฐานนจะประกอบดวยมาตรฐานทส�าคญๆเชน

- ISO27000เปนชดมาตรฐานทรวบรวมนยามศพทตางๆทเกยวของกบการจดการความมนคงปลอดภยสารสนเทศ

- ISO27001เปนมาตรฐานทก�าหนดคณลกษณะเฉพาะทเกยวของกบการบรหารจดการรกษาความมนคงปลอดภยโดยวตถประสงคหลกในการสรางมาตรการควบคมทจ�าเปนในการรกษาความมนคงปลอดภยทถกเรยกวาระบบบรหารจดการการรกษาความมนคงปลอดภยสารสนเทศ(InformationSecurityManagementSystem;ISMS)

- ISO27002เปนมาตรฐานทก�าหนดหลกปฏบตแนวทางการจดการความมนคงปลอดภยทมการรวบรวมวตถประสงค วธการสรางมาตรการควบคม และรายละเอยดการปฏบตทเกยวของในการควบคมความมนคงปลอดภย

- ISO27003เปนแนวทางการประยกตใชงานมาตรฐานในชดISO27000

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


- ISO 27004 ก�าหนดแนวทางการตรวจวดประสทธภาพการจดการรกษาความมนคงปลอดภยเพอชวยในการประเมนผลหรอตรวจวดประสทธภาพ

- ISO27005ก�าหนดแนวทางการจดการความเสยงทเกยวของกบทรพยากรสารสนเทศ- ISO27006ก�าหนดแนวทางการออกใบรบรองและการลงทะเบยนใหกบหนวยงานตางๆ

ทเกยวของจะเหนไดวาหลกส�าคญของชดมาตรฐานนคอการสรางระบบบรหารจดการการรกษาความมนคง

ปลอดภยสารสนเทศ(ISMS)โดยผทจะน�ามาตรฐานนมาประยกตใชจะตองมการก�าหนดแผนและการปฏบตหลายประการในการสรางการบรหารจดการทเหมาะสม โดยมการด�าเนนการเปนวงรอบประกอบดวย การวางแผนการปฏบตตามแผนการตรวจสอบและการปรบปรงดงแสดงในภาพท14.8

ภาพท 14.8 วงรอบการจดการระบบบรหารจดการการรกษาความมนคงปลอดภยสารสนเทศ ISO 27001

3.2 มาตรฐาน COBIT (Control Objective for Information and Related Technology)

เปนมาตรฐานทถกก�าหนดขนโดยสมาคมผตรวจสอบและควบคมระบบสารสนเทศ(InformationSystemAudit and Control Association; ISACA) โดยรวบรวมแนวคดและเฟรมเวรคเพอสรางการควบคมภายในทเกยวของกบเทคโนโลยทถกใชงานในองคกรเพอควบคมคณภาพของทรพยากรสารสนเทศโดย มงเนนการตรวจวดประสทธผลประสทธภาพการรกษาความลบการรกษาความครบถวนสมบรณความพรอมใชการปฏบตตามกฎระเบยบและกฎหมายและความนาเชอถอของทรพยากรสารสนเทศซงประกอบดวยขอมลหรอสารสนเทศกระบวนการท�างานและซอฟตแวรทเกยวของเทคโนโลยสถานทและโครงสรางพนฐานทางกายภาพและบคลากรทมสวนเกยวของกบองคกรนนๆมาตรฐานนมแนวความคดทคลายคลงกบมาตรฐาน ISO 27001 แตมการออกแบบใหเหมาะสมส�าหรบกระบวนการทางธรกจโดยประกอบวตถประสงคหลกของการควบคมจ�านวน34วตถประสงคทสามารถจ�าแนกตามกระบวนการหลกๆ4ดานคอ

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


1) การวางแผนและการจดการองคกร (Planning and Organization; PO)ประกอบดวยการจดท�าแผนยทธศาสตรการก�าหนดโครงสรางดานสารสนเทศการก�าหนดทศทางแนวโนมของเทคโนโลยการก�าหนดโครงสรางองคกร การบรหารการลงทน การประชาสมพนธเปาหมายและทศทาง การจดการทรพยากรบคคลดานไอทการจดการคณภาพการบรหารการประเมนและบรหารความเสยงและการบรหารโครงการ

2) การจดหาและการตดตงใชงาน (Acquisition and Implementation; AI)ประกอบดวยการเลอกใชระบบอตโนมตการจดหาและบ�ารงรกษาซอฟตแวรประยกตการจดหาและบ�ารงรกษาโครงสรางพนฐานทเกยวของ การปฏบตและใชงาน การจดหาทรพยากร การบรหารความเปลยนแปลง การตดตงและการปรบเปลยนความพรอมของระบบ

3) การสงมอบและการบรการ (Delivery and Support; DS) ประกอบดวยการก�าหนดและการจดการระดบการใหบรการ การจดการการใหบรการบคคลภายนอก การจดการทเกยวกบประสทธภาพการใหบรการ การสรางความตอเนองในการใหบรการ การรกษาความมนคงปลอดภย การก�าหนดและจดสรรตนทนการอบรมใหความรผใชงานการสนบสนนการบรการการจดท�าการคอนฟกเรชนการจดการแกไขปญหาการจดการขอมลการจดการทางกายภาพของทรพยากรและการจดการดานการปฏบตการ

4) การเฝาตดตามและประเมนผล (Monitor and Evaluate; ME)ประกอบดวยการเฝาตดตามและประเมนกระบวนการใชงานทรพยากรสารสนเทศการเฝาตดตามประเมนผลการควบคมภายในการปฏบตตามขอก�าหนดและนโยบายและการใหบรการตามหลกการธรรมาภบาล

4. เทคโนโลยทเกยวของกบการรกษาความมนคงปลอดภย4.1 เทคโนโลยทเกยวของกบการรกษาความมนคงปลอดภยทางกายภาพ เปนเทคโนโลยใชใน

สรางสภาพแวดลอมทางกายภาพทเหมาะสมส�าหรบการใชงานคอมพวเตอรและอปกรณตอพวงตางๆโดยเมอพจารณาเหตการณทกระทบตอความมนคงปลอดภยทางกายภาพจะพบวา เกดจากสภาพแวดลอมทคอมพวเตอรหรออปกรณนนๆ ตดตงอย เชน การเขาถงอปกรณโดยไมมสทธ อณหภม ความชน และความผดปกตทเกยวของกบแหลงจายพลงงานไฟฟาอาจแบงยอยๆไปหลากหลายเชน

- เทคโนโลยการปองกนการเขาถงคอมพวเตอรหรออปกรณเชอมตออนๆซงมวตถประสงคในการปองกนการท�าลาย การขโมย การเขาใชงานโดยไมไดรบอนญาต ซงเมอเกดขนยอมสงผลตอการรกษาความลบ ความครบถวนสมบรณ และความพรอมใชของอปกรณและสารสนสนเทศทถกจดเกบใน อปกรณนนๆ

- เทคโนโลยทเกยวของกบการพสจนตวจรง เปนเทคโนโลยทถกพฒนาขนเพอพสจน ตวจรงผใชกอนใหสทธเขาใชงานคอมพวเตอร เชน เทคโนโลยการพสจนเอกลกษณจากเสยง (voicerecognition) เทคโนโลยการตรวจสอบเอกลกษณลายนวมอ (fingerprint biometric) ดงทแสดงใน ภาพท14.9เปนตน

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


ภาพท 14.9 แสดงอปกรณพสจนตวจรงดวยลายนวมอ

- เทคโนโลยทเกยวการสรางสภาพแวดลอมทเหมาะสมอนๆเชนระบบส�ารองไฟฟาระบบปรบอากาศ เปนตน เนองจากการใชงานคอมพวเตอรในหองทมฝน อณหภมสงหรอมความชนไมเหมาะสมอาจสงผลเสยหายตอวงจรไฟฟาไดเชนหากมความชนสงและอณหภมสงอาจสงผลใหเกดการกลนตวของไอน�าในอากาศซงเปนสาเหตทท�าเกดการลดวงจรของแผงวงจรไฟฟา

4.2 วทยาการรหสลบ (cryptography)เปนเทคโนโลยทถกประยกตเพอตอบสนองตอภยคกคามตอทรพยากรสารสนเทศทเกยวของกบการแอบดกรบขอมลการแอบแกไขขอมลและการปลอมแปลงหรอหลอกลวงโดยหลกพนฐานของวทยาการรหสลบคอการท�าใหทรพยากรสารสนเทศทผานการเขารหสนนสามารถเขาถงและแปลความหมายไดจากผทไดรบสทธเทานนเชนการเขารหสขอความดวยอลกอรธมทท�าหนาทเปลยนแปลงขอความนนเปนขอความทไมสามารถอานท�าความเขาใจไดโดยปราศจากกญแจถอดรหสดงภาพท14.10ซงแสดงกระบวนการเขาและถอดรหสไฟลขอมล

ภาพท 14.10 การประยกตใชงานวทยาการรหสลบในการรกษาความลบของขอมล

ทงน วทยาการรหสลบถกน�ามาใชอยางกวางขวาง เชน การใชงานโครงสรางพนฐานกญแจสาธารณะส�าหรบการปองกนการโจมตแบบคนกลาง(MITM)ซงจะมการแจงเตอนผใชงานหากตรวจพบขอผดพลาดทเกยวของกบการเขารหสเปนตนดงทแสดงในภาพท14.11

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


ภาพท 14.11 การแจงเตอนผใชงาน

การจดเกบขอมลลงบนฮารดดสกโดยมการเขารหสลบเพอปองกนการเขาถงขอมลทเปนความลบจากผไมประสงคด ในกรณทเครองคอมพวเตอรถกขโมยหรอเขาถงไดทงทางกายภาพหรอถกบกรกทางเครอขายดงแสดงในภาพท14.12โดยรปกญแจทไดรฟดแสดงใหเหนวาขอมลในไดรฟนนถกเขารหสขอมลไวหากผไมประสงคดสามารถเขาถงเครองคอมพวเตอรนไดแตไมสามารถปอนรหสทถกตองกจะไมสามารถเขาถงทรพยากรทถกจดเกบไวในนนไดเปนตน

ภาพท 14.12 การประยกตใชวทยาการรหสลบในการเขารหสขอมลบนดสก

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


นอกจากนวทยาการรหสลบยงถกใชในการตรวจสอบความครบถวนสมบรณของทรพยากรสารสนเทศไดเชนเดยวกนการตรวจสอบความครอบถวนสมบรณของไฟลสามารถท�าไดดวยการประยกตใชงานแฮชชงอลกอรธมเชนMD5และSHA1เปนตน

ไฟรวอลล(firewall)เปนเทคโนโลยทถกสรางขนเพอปองกนภยคกคามและการโจมตทางเครอขายหลกทวไปของการใชงานไฟรวอลลคอการปองกนภยคกคามทมาจากภายนอก(ซงอาจหมายถงเครอขายภายนอกหรอเครอขายทเครองคอมพวเตอรสวนบคคลเครองหนงเชอมตอดวยกได)สามารถจ�าแนกชนดของไฟรวอลลตามลกษณะการใชงานไดสองลกษณะคอ ไฟรวอลลส�าหรบเครอขาย (network firewall)และไฟรวอลลสวนบคคล(personalfirewall)ดงภาพท14.13

ภาพท 14.13 ซอฟตแวรไฟรวอลลสวนบคคล

ระบบตรวจจบผบกรก (intrusion detection system) เปนเทคโนโลยทถกพฒนาขนเพอเฝาตรวจเหตการณทเกยวของกบความมนคงปลอดภยของทรพยากรสารสนเทศ สามารถวเคราะหขอมลทงในระดบเครอขายและขอมลอนๆ เพอคนหาเหตการณทอาจเปนการละเมดนโยบายการรกษาความมนคงปลอดภยทถกก�าหนดไวโดยมคณสมบตทส�าคญเชนสามารถเฝาตรวจและวเคราะหเหตการณทเกดขนในระบบ รายงานระดบมาตรฐานความมนคงปลอดภยและตดตามสถานการณ การจดการรายงานสถานการณของทรพยากรนนๆเปนตนระบบตรวจจบผบกรกถกจ�าแนกประเภทตามลกษณะการใชงานไดสองลกษณะคอ ระบบตรวจจบผบกรกส�าหรบเครอขาย (network-based intrusion detection system)และระบบตรวจจบผบกรกบนโฮสต(host-basedintrusiondetectionsystem)

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


เครอขายเสมอนสวนตวหรอวพเอน (Virtual Private Network; VPN) เปนเทคโนโลยท ถกพฒนาขนเพอสรางการเชอมตอเสมอนเครอขายสวนบคคล จากเทคนคการสรางอโมงคเสมอนส�าหรบการรบสงขอมลระหวางกนโดยการประยกตใชวทยาการรหสลบในการเขารหสขอมลดงกลาว ท�าใหการสอสารบนชองทางสาธารณะอยางอนเทอรเนต มความมนคงปลอดภยจากการโจมตดวยการดกรบขอมลมากยงขน เนองจากแมผไมประสงคดจะสามารถดกรบขอมลทรบสงระหวางกนได ผไมประสงคดกยงคงไมสามารถถอดหรอท�าความเขาใจความหมายของขอมลทดกรบได เทคนคการใชงานวพเอนมหลายลกษณะเชนรโมตแอคเซสวพเอน(remoteaccessVPN)ซงเปนรปแบบการเชอมตอจากเครอขายหลกไปยงอปกรณตางๆ และไซตทไซตวพเอน (site-to-siteVPN) ซงเปนการเชอมตอกนระหวางอปกรณ วพเอนส�าหรบเชอมตอเครอขายหลายๆเครอขายเขาหากนเปนตนภาพท14.14แสดงแนวทางการประยกตใชงานวพเอนในการเชอมตอเครอขายเฉพาะบรเวณทอยหางไกลกนเขาดวยกนเปนเครอขายภายในเสมอน

ภาพท 14.14 การเชอมตอเครอขายอยางมนคงปลอดภยดวยเทคโนโลยวพเอน

แอนตไวรสซอฟตแวร(anti-virussoftware)เปนซอฟตแวรทถกพฒนาขนเพอคนหาปองกนและก�าจดมลแวรหลากหลายประเภทเชนคอมพวเตอรไวรสหนอนอนเทอรเนตเปนตนปจจบนซอฟตแวรลกษณะดงกลาวผนวกรวมความสามารถในการตรวจจบมลแวรทมความสามารถในการโจรกรรมขอมลเชนโทรจนคยลอกเกอรและซอฟตแวรโฆษณาเขาดวยกนดงแสดงในภาพท14.15เปนตน

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


ภาพท 14.15 แสดงคณสมบตของซอฟตแวรก�าจดมลแวร

โดยปกตแอนตไวรสซอฟตแวรจะตรวจจบมลแวรตางๆโดยการเปรยบเทยบสญลกษณประจ�าตวของมลแวรทนยมเรยกกนวาซกเนเจอร (signature)ประยกตการใชงานวทยาการรหสลบโดยการตรวจสอบการเปลยนแปลงทเกดขนกบไฟลส�าคญๆของระบบ


1. ในการใชงานระบบเอทเอมเพอท�าธรกรรมกบธนาคารมกลไกในการพสจนตวจรงลกษณะใด2. การใชงานวพเอนสามารถรกษาความลบของขอมลทสงผานระบบการสอสารไดอยางไร


1. การท�าธรกรรมผานเอทเอมมการพสจนตวจรงโดยใชแนวทางทเรยกวาtwo-factorauthen-ticationซงประกอบดวย

a.ขอมลในบตรเอทเอม(somethingyouhave)b.รหสผาน(somethingyouknow)

2. ขอมลทรบ-สงในเครอขายเสมอนสวนตวมการประยกตใชงานวทยาการรหสลบในการเขารหสขอมล

มสธ มสธ


สธ


สธ

มสธ มสธ

มสธ มสธ


สธ


สธ

มสธ มสธ


บรรณานกรม

จตชยแพงจนทร.(2012).Master in Security(2nded.).นนทบร:ไอดซฯ.CharlesP.,PfleegerandShariL.Pfleeger.(2007).Security in Computing(4thed.).Joseph,MiggaKizza. (2009).A Guide to Computer Network Security.London,UK:Springer-

Verlag.Krawetz, Neal. (2007). Introduction to Network Security.Massachusetts, USA: Charles River

Media.McCumber, John. (2004).Assessing and Managing Security Risk in IT System: A Structure

Methodology.Boston,MA,USA:AuerbachPublication.Solomon,David.(2010).Elements of Computer Security.London,UK:Springer-Verlag.

หน่วยที่ 14 ความมั่นคงปลอดภัย ......มสธ...

Documents