part 1 information security · 2019-01-30 · โปรโตคอล eap ..... 249...
TRANSCRIPT
องคกรสมยัใหมไมวาจะเปนภาครฐัหรอืเอกชน ลวนแลวแตอาศยัเทคโนโลยสีารสนเทศในการดาํเนนิธรุกจิ หรอื
สนับสนุนภารกิจหรือธุรกิจถึงขั้นขาดไมได การลงทุนดานไอทีจึงเปนสิ่งที่สําคัญ เพื่อใหการดําเนินธุรกิจมีประสิทธิภาพ
และพัฒนาธุรกิจใหกาวหนายิ่งขึ้น สรางความไดเปรียบตอคูแขง แตละองคกรจะมีระบบเทคโนโลยีสารสนเทศที่หลาก
หลาย ตั้งแต ระบบอเีมล เวบ็ไซต ระบบบญัช ีระบบอคีอมเมริซ ไปจนถงึระบบเฉพาะอยางเชน ระบบควบคมุกระบวนการ
อตุสาหกรรม ระบบสื่อสารโทรคมนาคม และระบบควบคมุสภาพแวดลอม เปนตน ปจจบุนัภยัคกุคามทางดานไซเบอรได
ทวคีวามรนุแรงขึ้นเรื่อยๆ ซึ่งทาํใหระบบตางๆ เหลานี้ลวนแลวแตมคีวามเสี่ยงที่จะถูกโจมตหีรอืถูกทาํลาย ซึ่งสงผลกระทบ
ตอการดาํเนนิธรุกจิขององคกร และสรางความเสยีหายตอทรพัยสนิของทั้งสวนบคุคลและองคกร นอกจากนี้ปจจบุนัยงัได
เกดิการทาํสงครามรปูแบบใหมที่เรยีกวา สงครามไซเบอร (Cyber Warfare) ซึ่งเปนการปฏบิตักิารสงครามที่เกดิขึ้นในสมรภมูิ
โลกไซเบอร แตสงผลกระทบในโลกจรงิ
ภยัคกุคาม (Threat) หมายถงึ สิ่งที่อาจจะกอใหเกดิความเสยีหายตอคณุสมบตัขิองขอมูลดานใดดานหนึ่ง หรอื
มากกวาหนึ่งดาน อนัไดแก ความลบั (Confidentiality), ความถูกตอง (Integrity) และความพรอมใชงาน (Availability) ความ
เสี่ยง (Risk) เกดิจากการที่ภยัคกุคาม (Threat) ใชประโยชนจากชองโหว (Vulnerability) แลวเกดิผลกระทบ (Impact) ตอ
ขอมูลหรอืระบบสารสนเทศ ภยัคกุคามอาจรวมถงึการโจมตทีางไซเบอร ภยัธรรมชาต ิ ความผดิพลาดอนัเกดิจากคนหรอื
เครื่องจกัร หรอืแมกระทั่งปญหาจากเรื่องโครงสรางอาคารสถานที่ ภยัคกุคามนั้นอาจจะไมเกดิขึ้นเลยกไ็ดถามกีารปองกนั
ที่ด ีหรอืถามกีารเตรยีมการที่ด ีเมื่อมเีหตกุารณเกดิขึ้นกจ็ะชวยลดความเสยีหายหรอืผลกระทบได การกระทาํที่อาจกอให
เกดิความเสยีหายเราจะเรยีกวา การโจมต ี(Attack) สวนผูที่ทาํเชนนั้น หรอืผูที่เปนเหตใุหเหตกุารณดงักลาวเกดิขึ้นจะเรยีก
วา ผูโจมต ี(Attacker) ภยัคกุคามหลกัของระบบคอมพวิเตอรคอื แฮคเกอรและมลัแวร ที่แตกตางกนัคอื แฮคเกอรเปนคน
สวนมลัแวรเปนโปรแกรมที่ทาํงานอตัโนมตั ิ อยางไรกต็าม แฮคเกอรอาจใชมลัแวรเปนเครื่องมอืในการโจมตอีกีทหีนึ่งกไ็ด
แตที่เหมอืนกนักค็อื ทั้งแฮคเกอรและมลัแวรจะใชประโยชนจากชองโหวของระบบคอมพวิเตอร ซึ่งกค็อื จดุออนหรอืขอผดิ
พลาดของโปรแกรม รวมไปถงึความหละหลวมในการคอนฟกระบบ และชองโหวทางกายภาพ เชน การวางอปุกรณทิ้งไว
โดยไมมคีนดูแล เปนตน
การรกัษาความปลอดภยั เปนหลกัการที่รวมเอาการบรหิารจดัการดานนโยบายและกระบวนการ บคุลากร และ
เทคโนโลย ี(PPT) มาใชเพื่อเพิ่มประสทิธภิาพในการรกัษาความลบั, การรกัษาความถูกตอง และการทาํใหพรอมใชงานของ
ขอมูล หนงัสอืเลมนี้จะไดอธบิายในรายละเอยีดของกระบวนการในการรกัษาความปลอดภยัขอมูล ซึ่งเนื้อหาสวนใหญได
จากประสบการณการทํางานสิบกวาปที่ผานมา ผูเขียนหวังเปนอยางยิ่งวาผูอานจะไดประโยชนจากหนังสือเลมนี้ และผู
เขยีนมุงมั่นที่จะพฒันาและปรบัปรงุใหเนื้อหาทนัสมยัอยูเรื่อยๆ
ขอขอบคณุ
จตชุยั แพงจนัทร
ทดลองอ่าน
I
Part 1 Information Security บทที่ 1 Cybersecurity
วัตถุประสงค .................................................................................................................... 3
วิวัฒนาการของการรักษาความปลอดภัย .............................................................. 5
หลักการพื้นฐานของการรักษาความปลอดภัยขอมูล ........................................... 13
ประเภทของภัยคุกคาม (Threat) ........................................................................... 18
แนวโนมภัยคุกคามในปจจุบัน ............................................................................. 26
สรุปทายบท .......................................................................................................... 34
คําถามทบทวน ..................................................................................................... 35
บทที่ 2 IT Security Governance
วัตถุประสงค .................................................................................................................. 37
บรรษัทภิบาล (Coporate Governance) ................................................................. 38
ไอทีภิบาล (IT Governance) .................................................................................. 39
การอภิบาลรักษาความปลอดภัยขอมูล (Information Security Governance) ....... 41
มาตรฐานไอทีภิบาล ............................................................................................. 43
นโยบายดานการรักษาความปลอดภัยขอมูล (Information Security Policy) ........ 65
การสรางความตระหนักดานการรักษาความปลอดภัย
(Security Awareness Training) ............................................................................. 69
การตรวจสอบ (Audit) ........................................................................................... 71
สรุปทายบท .......................................................................................................... 72
คําถามทบทวน ..................................................................................................... 73
บทที่ 3 การบริหารความเส่ียง (Risk Management)
วัตถุประสงค .................................................................................................................. 75
การวิเคราะหความเสี่ยง (Risk Analysis) .............................................................. 76
การบริหารความเสี่ยง (Risk Management) .......................................................... 78
มาตรฐานการบริหารความเสี่ยง........................................................................... 80
การประเมินความเสี่ยง (Risk Assessment) ......................................................... 84
การรักษาความเสี่ยง (Risk Treatment) .............................................................. 101
สรุปทายบท ........................................................................................................ 104
คําถามทบทวน ................................................................................................... 104
ทดลองอ่าน
II
Part 2 Network Security
บทที่ 4 Access Control
วัตถุประสงค ................................................................................................................ 107
การควบคุมการเขาถึง (Access Control) ............................................................ 108
การระบุตัวตน (Identification) ............................................................................. 109
การพิสูจนทราบตัวตน (Authentication) ............................................................. 111
การอนุญาต (Authorization) ............................................................................... 132
การตรวจสอบได (Accountability) ....................................................................... 133
สรุปทายบท ........................................................................................................ 134
คําถามทบทวน ................................................................................................... 135
บทที่ 5 Cryptography
วัตถุประสงค ................................................................................................................ 137
ประวัติการเขารหัสขอมูล ................................................................................... 139
ประเภทของการเขารหัสขอมูล ........................................................................... 141
Secret Key Cryptography ................................................................................... 142
Public Key Cryptography .................................................................................... 161
แฮชฟงกชัน (Hash Functions) ............................................................................ 177
Message Authentication Code (MAC) ............................................................... 181
Digital Envelope ................................................................................................. 182
ความยาวของคีย ................................................................................................ 184
Steganography .................................................................................................... 185
สรุปทายบท ........................................................................................................ 188
คําถามทบทวน ................................................................................................... 189
บทที่ 6 Network Security
วัตถุประสงค ................................................................................................................ 193
การรักษาความปลอดภัยในระดับแอพพลิเคชันเลเยอร ..................................... 194
การรักษาความปลอดภัยในระดับทรานสปอรตเลเยอร ..................................... 216
SSL ..................................................................................................................... 217
การรักษาความปลอดภัยในระดับเน็ตเวิรคเลเยอร ............................................ 227
การรักษาความปลอดภัยในระดับดาตาลิงคเลเยอร .......................................... 235
สรุปทายบท ........................................................................................................ 237
คําถามทบทวน ................................................................................................... 237
ทดลองอ่าน
III
บทที่ 7 Wireless LAN Security
วัตถุประสงค ................................................................................................................ 239
มาตรฐานไวรเลสแลน ........................................................................................ 240
การพิสูจนทราบตัวตนของไวรเลสแลน .............................................................. 241
มาตรฐาน IEEE 802.11i ..................................................................................... 245
มาตรฐาน IEEE 802.1X ...................................................................................... 246
โปรโตคอล EAP .................................................................................................. 249
การเขารหัสขอมูลในไวรเลสแลน ....................................................................... 251
เครื่องมือสแกนไวรเลสแลน ................................................................................ 258
การเจาะไวรเลสแลน .......................................................................................... 260
สรุปทายบท ........................................................................................................ 262
คําถามทบทวน ................................................................................................... 262
บทที่ 8 Firewall
วัตถุประสงค ................................................................................................................ 265
หลักการทํางานของไฟรวอลล ............................................................................ 267
โปรโตคอล TCP/IP .............................................................................................. 268
ประเภทของไฟรวอลล ........................................................................................ 270
UTM (Unified Threat Management) .................................................................. 287
นโยบายการรักษาความปลอดภัย ...................................................................... 288
NAT (Network Address Translation) .................................................................. 290
Linux Firewall : iptables ..................................................................................... 292
สรุปทายบท ........................................................................................................ 297
คําถามทบทวน ................................................................................................... 297
บทที่ 9 Intrusion Detection System
วัตถุประสงค ................................................................................................................ 299
IDS/IPS คืออะไร ................................................................................................. 300
ทําไมตองมี IDS/IPS ........................................................................................... 302
ขีดความสามารถของ IDS .................................................................................. 303
ประเภทของ IDS ................................................................................................ 304
การวิเคราะหและตรวจจับการบุกรุก .................................................................. 306
การแจงเตือนภัยของ IDS ................................................................................... 308
การรายงานแจงเตือนภัย .................................................................................... 314
การออกแบบและติดตั้ง IDS .............................................................................. 315
ทดลองอ่าน
IV
Snort–Open Source IDS/IPS .............................................................................. 321
NAC (Network Access Control) ......................................................................... 322
สรุปทายบท ........................................................................................................ 324
คําถามทบทวน ................................................................................................... 325
บทที่ 10 Malware
วัตถุประสงค ....................................................................................................... 329
วิวัฒนาการของไวรัสคอมพิวเตอร ..................................................................... 331
คุณลักษณะของมัลแวรในปจจุบัน ..................................................................... 337
ประเภทของมัลแวร (Malware) ........................................................................... 339
คุณสมบัติของมัลแวร ......................................................................................... 344
มัลแวรที่มีชื่อเสียง .............................................................................................. 352
แนวทางในการปองกันมัลแวร ............................................................................ 362
สรุปทายบท ........................................................................................................ 382
คําถามทบทวน ................................................................................................... 383
บทที่ 11 Hacking
วัตถุประสงค ................................................................................................................ 385
ความรูพื้นฐานเกี่ยวกับการเจาะระบบ ............................................................... 386
การสรางหองทดลองเจาะระบบ ......................................................................... 390
ขั้นตอนการเจาะระบบ ....................................................................................... 391
การลาดตระเวนหาขาว (Reconnaissance) ......................................................... 393
Scanning ............................................................................................................. 404
Exploitation ......................................................................................................... 417
Maintaining Access ............................................................................................ 443
สรุปทายบท ........................................................................................................ 445
คําถามทบทวน ................................................................................................... 446
บทที่ 12 การกูคืนระบบ
วัตถุประสงค ....................................................................................................... 447
การตรวจจับการถูกโจมตี ................................................................................... 448
การควบคุมสถานการณ ..................................................................................... 452
Part 3 Malware and Hacker
ทดลองอ่าน
V
การวิเคราะหการถูกโจมตี .................................................................................. 454
การกูคืนระบบ (System Recovery) .................................................................... 468
ขั้นตอนหลังจากการกูคืนระบบ .......................................................................... 474
สรุปทายบท ........................................................................................................ 475
คําถามทบทวน ................................................................................................... 475
บทที่ 13 Windows Security
วัตถุประสงค ................................................................................................................ 479
ชองโหวของระบบวินโดวส ................................................................................. 481
เครื่องมือสําหรับรักษาความปลอดภัยในวินโดวส .............................................. 483
Windows Hardening ........................................................................................... 488
การปองกันและกําจัดมัลแวร ............................................................................. 490
Web Browsers ................................................................................................... 493
File-Sharing Applications .................................................................................... 497
Mail Client .......................................................................................................... 499
Web Servers & Services ................................................................................... 501
Windows Remote Access Services .................................................................. 504
Microsoft SQL Server (MSSQL) ........................................................................ 509
Windows Authentication .................................................................................... 511
การรักษาความปลอดภัยดานอื่นๆ ..................................................................... 515
สรุปทายบท ........................................................................................................ 516
คําถามทบทวน ................................................................................................... 517
บทที่ 14 Linux Security
วัตถุประสงค ................................................................................................................ 519
การรักษาความปลอดภัยระบบลีนุกซ ................................................................ 520
Kernel ................................................................................................................. 527
Authentication .................................................................................................... 527
DNS .................................................................................................................... 533
Web Server ........................................................................................................ 534
Mail Server ......................................................................................................... 536
Database Server ................................................................................................. 538
OpenSSL ............................................................................................................ 540
SNMP ................................................................................................................. 540
DHCP .................................................................................................................. 542
Part 4 Endpoint Security
ทดลองอ่าน
VI
สรุปทายบท ........................................................................................................ 543
คําถามทบทวน ................................................................................................... 543
Part 5 Physical Security, Cyber Law & Cyber Warfareบทที่ 15 Physical and Environmental Security
วัตถุประสงค ................................................................................................................ 547
ภัยคุกคามทางกายภาพ ..................................................................................... 548
มาตรการปองกันทางกายภาพ ........................................................................... 549
CPTED (Crime Prevention Through Environmental Design) ............................. 550
การออกแบบดาตาเซ็นเตอร ............................................................................... 552
ระบบดับเพลิง (Fire Suppression System) ........................................................ 573
สรุปทายบท ........................................................................................................ 575
คําถามทบทวน ................................................................................................... 575
บทที่ 16 กฎหมายอาชญากรรมคอมพิวเตอร
วัตถุประสงค ................................................................................................................ 577
ธรรมชาติของอาชญากรรมทางคอมพิวเตอร ..................................................... 578
ความซับซอนของการโจมตี ................................................................................ 578
การพิสูจนหลักฐานทางคอมพิวเตอร (Computer Forensics) ............................. 581
กฎหมายที่เกี่ยวกับคอมพิวเตอร ........................................................................ 587
กฎหมายที่เกี่ยวกับเทคโนโลยีสารสนเทศและการสื่อสารในประเทศไทย .......... 589
สรุปทายบท ........................................................................................................ 606
คําถามทบทวน ................................................................................................... 606
บทที่ 17 Cyber Warfare
วัตถุประสงค ................................................................................................................ 609
ประวัติสงครามไซเบอร ...................................................................................... 611
สงครามที่ใชเครือขายเปนศูนยกลาง (Network Centric Warfare : NCW) ......... 615
การปฏิบัติการขาวสาร (IO) ................................................................................ 620
การปฏิบัติการเครือขายคอมพิวเตอร (CNO) ...................................................... 622
กองทัพไซเบอร ................................................................................................... 632
นักรบไซเบอร (Cyber Warrior) ............................................................................ 633
อาวุธไซเบอร (Cyber Weapon) ........................................................................... 636
สรุปทายบท ........................................................................................................ 642
คําถามทบทวน ................................................................................................... 643
ทดลองอ่าน
บทที่ 1 Cybersecurity
บทที่ 2 IT Security Governance
บทที่ 3 การบริหารความเสี่ยง (Risk Management)
บทที่ 4 Access Control
บทที่ 5 Cryptography
Mas
ter in
Sec
urity
3rd E
ditio
n
ทดลองอ่าน
PART 1Information Security
หลักการในการรักษาความปลอดภัยนั้นคือ การ
รกัษาไวซึ่งคณุสมบตัทิั้ง 3 มติคิอื ความลบั (Confidentiality),
ความถูกตอง (Integrity) และความพรอมใชงาน (Availability)
การบรหิารจดัการดานการรกัษาความปลอดภยัขอมูล เปนสิ่ง
ที่องคกรจะตองทําควบคูกับการบริหารองคกรดานอื่นๆ โดย
กระบวนการนั้นจะเริ่มตนดวยการวิเคราะหความเสี่ยง แลว
กําหนดมาตรการเพื่อลดความเสี่ยงใหอยูในระดับที่ยอมรับ
ได และควรตองทําทั้ง 3 สวนควบคูกันไปคือ คน (People),
กระบวนการ (Process) และเทคโนโลยี (Technology) โดย
กระบวนการที่เปนมาตรฐานและเปนที่ยอมรับ ไดแก ISO
27001
PART 1Information Security
หลักการในการรักษาความปลอดภัยนั้นคือ การ
รกัษาไวซึ่งคณุสมบตัทิั้ง 3 มติคิอื ความลบั (Confidentiality),
ความถูกตอง (Integrity) และความพรอมใชงาน (Availability)
การบรหิารจดัการดานการรกัษาความปลอดภยัขอมูล เปนสิ่ง
ที่องคกรจะตองทําควบคูกับการบริหารองคกรดานอื่นๆ โดย
กระบวนการนั้นจะเริ่มตนดวยการวิเคราะหความเสี่ยง แลว
กําหนดมาตรการเพื่อลดความเสี่ยงใหอยูในระดับที่ยอมรับ
ได และควรตองทําทั้ง 3 สวนควบคูกันไปคือ คน (People),
กระบวนการ (Process) และเทคโนโลยี (Technology) โดย
กระบวนการที่เปนมาตรฐานและเปนที่ยอมรับ ไดแก ISO
27001
ทดลองอ่าน
CHAPTER 1CHAPTER 1Cybersecurity
วัตถุประสงค ¢ รูและเขาใจววิฒันาการของการรกัษาความปลอดภยัไซเบอร
¢ รูและเขาใจหลกัการของการรกัษาความปลอดภยัขอมูล
¢ ·รูและเขาใจภยัคกุคามรูปแบบตางๆ ในปจจบุนัและแนวโนมในอนาคต
ในยุคขอมูลขาวสารในปจจุบันถือไดวา ขอมูลเปนทรัพยสินที่มีคายิ่งขององคกร ไมวาจะเปนองคกรภาครัฐ
หรอืธรุกจิเอกชน การประยกุตใชระบบเทคโนโลยสีารสนเทศอยางเหมาะสม จะชวยเพิ่มประสทิธภิาพ ศกัยภาพ และ
สงเสริมใหพัฒนาไปสูองคกรที่มีประสิทธิภาพสูงและองคกรแหงการเรียนรู สงผลใหไดเปรียบในดานการแขงขันทาง
ธุรกิจ ดังนั้นองคกรตางๆ จึงมีความตื่นตัวในดานการพัฒนาองคกร เพื่อจะกาวใหทันกับสภาวการณของโลกที่กําลัง
เปลี่ยนแปลงอยางรวดเรว็ โดยเฉพาะอยางยิ่งความเจรญิกาวหนาดานเทคโนโลยสีารสนเทศ ทาํใหเกดิการใชประโยชน
จากขอมูลขาวสารอยางมปีระสทิธภิาพและสรางโอกาสทางธรุกจิ ซึ่งถอืเปนความทาทายขององคกรสมยัใหม ที่จะตอง
มกีารพฒันาใหเจรญิกาวหนาและไมใหตนเองตกอยูในสภาวะลาหลงั
ทดลองอ่าน
บทที่ 1 Cybersecurity
PART 1
Information Security
4
ขอมูลหรือสารสนเทศ (Information) ถือวาเปนทรัพยสินประเภทหนึ่งที่มีคาสูงและมีความสําคัญตอองคกร
เนื่องจากองคกรที่รูขอมูลมากกวายอมไดเปรียบคูแขงเสมอ แตถาขอมูลที่สําคัญขององคกรถูกขโมยไป หรือระบบ
สารสนเทศถูกแฮคจนไมสามารถใชงานได ก็ยอมสงผลกระทบตอองคกรอยางแนนอน ดังนั้น การปกปองรักษาขอมูล
และระบบสารสนเทศจึงเปนสิ่งที่สําคัญไมแพไปกวาการปกปองรักษาทรัพยสินประเภทอื่นๆ เชน ผลิตภัณฑ วัตถุดิบ
อาคารสถานที่ เงนิ เปนตน ขอมูลที่ถูกจดัเกบ็ไวในระบบสารสนเทศนั้นมคีวามเสี่ยงที่จะถูกโจมตจีากหลายแหลง เชน
ผูใชงานที่รูเทาไมถงึการณ การโจมตจีากทั้งภายในและภายนอก การแพรกระจายของไวรสั เวริม โทรจนัฮอรส หรอืมลัแวร
ประเภทอื่นๆ ซึ่งอาจถูกสงผานทางอเีมล เวบ็ หรอือาจมผีูไมหวงัดหีรอืแฮคเกอรจากอนิเทอรเนต็พยายามที่จะเจาะเขา
ระบบเพื่อทาํลายระบบหรอืลบทิ้ง เปลี่ยนแปลงแกไข ขโมยไปใชงาน หรอืทาํใหเขาถงึขอมลูไมได ดงันั้น ระบบสารสนเทศ
จงึจาํเปนที่ตองมรีะบบรกัษาความปลอดภยัที่แขง็แกรงพอที่จะรบัมอืกบัภยัคกุคามตางๆ ได
ปจจุบันเครือขายอินเทอรเน็ตขยายตัวอยางรวดเร็ว องคกรสมัยใหมจําเปนตองเชื่อมตอเขากับอินเทอรเน็ต
เพื่อใชประโยชนจากแหลงขอมูลที่ใหญที่สุดในโลกนี้ อินเทอรเน็ตนั้นเปรียบเสมือนดาบสองคม ประโยชนที่ไดรับจาก
อินเทอรเน็ตนั้นอาจมากเกินกวาที่จะจินตนาการ แตโทษนั้นก็มีมากมายเชนกัน เหตุผลหนึ่งก็เนื่องจากขอมูลและ
เครื่องมอืที่ใชสาํหรบัการเจาะระบบนั้น สามารถคนหาและดาวนโหลดจากอนิเทอรเนต็ไดอยางงายดาย และเครื่องมอืหรอื
โปรแกรมเหลานี้ยงังายตอการใชงาน ถงึแมวาคนที่ไมมคีวามรูเกี่ยวกบัคอมพวิเตอรมากนกั กส็ามารถใชเครื่องมอืโจมตี
เครอืขายเหลานี้ไดไมยากนกั ดงันั้น ฝายไอทหีรอืผูที่มหีนาที่ดูแลระบบ จงึจาํเปนที่ตองวเิคราะหความเสี่ยง ออกแบบ
ตดิตั้ง ระบบรกัษาความปลอดภยั และเฝาระวงัระบบรกัษาความปลอดภยัในเครอืขาย ใหมใีชงานไดอยางตอเนื่องและ
มปีระสทิธภิาพ ดงันั้น การรกัษาความปลอดภยัในเครอืขายจงึเปนสิ่งที่สาํคญัและจาํเปนสาํหรบัองคกร
ไมมีระบบใดที่ปลอดภัยรอยเปอรเซ็นต ยังเปนคํากลาวที่เปนจริงเสมอ การรักษาความปลอดภัยนั้นเปนทั้ง
ศาสตรและศลิป การมรีะบบรกัษาความปลอดภยัที่ดทีี่สดุนั้นไมไดหมายความวา ขอมูล ระบบคอมพวิเตอร และองคกร
จะปลอดภยัจากอนัตรายทั้งปวง การรกัษาความปลอดภยัของขอมูลเปนกระบวนการ ไมใชแคการตดิตั้งเทคโนโลยดีาน
การรกัษาความปลอดภยัที่ดทีี่สดุ แตจะรวมถงึกระบวนการบรหิารความเสี่ยง (Risk Management) ซึ่งเริ่มตั้งแตการระบุ
ภยัคกุคาม (Threat) และชองโหวหรอืจดุออน (Vulnerability) ขององคกร แลวประเมนิโอกาสที่จะเกดิขึ้น (Likelihood) และ
ผลกระทบ (Impact) หากเกดิเหตกุารณดงักลาวขึ้น หลงัจากนั้นจะเปนการกาํหนดนโยบายการรกัษาความปลอดภยั การ
บงัคบัใชนโยบาย การเฝาระวงัเหตกุารณอยูตลอดเวลา หนงัสอืเลมนี้เขยีนขึ้นโดยมจีดุมุงหมายเพื่อแนะนาํแนวทางหรอื
วธิปีฏบิตัทิี่เหมาะสมสาํหรบัการรกัษาความปลอดภยัขอมูลขององคกร
กอนที่จะเรียนรูเกี่ยวกับกระบวนการรักษาความปลอดภัยขอมูล มาทําความรูจักเกี่ยวกับคําวา การรักษา
ความปลอดภยัขอมูล ( Information Security) กนักอน เราสามารถแยกคาํนี้ออกเปนสองคาํคอื ขอมูล (Information) ซึ่ง
หมายถงึ ความรู ความคดิ ขาวสาร และขอเทจ็จรงิ สวนการรกัษาความปลอดภยั (Security) หมายถงึ การทาํใหรอดพน
จากอนัตราย หรอืการทาํใหรอดพนจากความกลวั ความทกุขใจ หรอืความกงัวล ดงันั้น เมื่อเรานาํคาํสองคาํนี้มารวมกนั
เรากจ็ะไดวา การรกัษาความปลอดภยัขอมูล หมายถงึ การทาํใหความรู ความคดิ ขาวสาร และขอเทจ็จรงิ รอดพนจาก
อนัตราย และถาตคีวามใหเขากบัไอทกีจ็ะไดวา การรกัษาความปลอดภยัขอมูล หมายถงึ มาตรการที่ใชสาํหรบัปองกนั
ผูที่ไมไดรบัอนญุาตในการเขาถงึ ลบ แกไข หรอืขดัขวางไมใหผูที่ไดรบัอนญุาตใชงาน ความรู แนวคดิ และขอเทจ็จรงิ ทด
ลองอ่าน
Master in Security 3rd Edition
Master in Security 3Master in Security 3rd Edition Edition
5
ความหมายที่กลาวถึงขางตนนั้นเปนความหมายที่กวางมาก ซึ่งจะรวมถึงมาตรการทุกอยางที่อาจใชสําหรับ
ปองกันไมใหสิ่งไมดีเกิดขึ้นกับความรู ความคิด ขาวสาร และขอเท็จจริง นอกจากนี้รูปแบบของขอมูลก็ยังไมไดจํากัด
เฉพาะรูปแบบใดรูปแบบหนึ่ง มนัอาจเปนความรู หรอือาจเปนความสามารถกไ็ด อยางไรกต็ามมาตรการในการรกัษา
ความปลอดภยัขอมูลนั้นไมสามารถที่จะรบัรองไดวา ขอมูลจะปลอดภยัรอยเปอรเซน็ต ยกตวัอยางเชน ถงึแมวาเราจะ
สามารถสรางกําแพงเมืองไดใหญและแข็งแรงมากแคไหน แตศัตรูก็อาจสามารถสรางปนใหญที่สามารถทําลายกําแพง
ลงไดอยางงายดาย หรอืถงึแมวาเราจะมไีฟรวอลลที่มปีระสทิธภิาพดมีากแคไหน แตผูโจมตนีั้นอาจอยูภายในเครอืขาย
เปนตน การรกัษาความปลอดภยันั้นเปนการบรหิารความเสี่ยงใหอยูในระดบัที่ยอมรบัได
โดยทั่วไปแลวคาํวาขอมูล (Data) จะใชในความหมายที่แตกตางจากสารสนเทศ (Information) โดยขอมูลนั้น
สวนใหญจะหมายถงึ ขอมูลดบิ สวนสารสนเทศจะหมายถงึ ผลลพัธที่ไดจากการนาํขอมูลมาประมวลผล เพื่อใหไดสิ่ง
ที่เปนประโยชนในการนาํไปใชงานมากขึ้น และเมื่อนาํสารสนเทศผานกระบวนการวเิคราะหไตรตรองอยางด ีกจ็ะไดผล
ออกมาเปนความรู (Knowledge) ที่สามารถนาํไปประยกุตใชในปญหานั้นๆ ได และหากประมวลความรูจากหลายๆ ดาน
กจ็ะไดสิ่งที่เรยีกวา ปญญา (Wisdom) อยางไรกต็ามในระบบคอมพวิเตอรนั้นจะมองวาทกุอยางเปนขอมลูเหมอืนกนัหมด
เพราะฉะนั้นในหนงัสอืเลมนี้อาจใชคาํวา ขอมูลหรอืสารสนเทศในความหมายเดยีวกนั
อกีคาํหนึ่งที่กาํลงัไดรบัความนยิมคอื การรกัษาความปลอดภยัไซเบอร ( Cybersecurity) ซึ่งหมายถงึ กระบวนการ
ที่จะทําใหองคกรปราศจากความเสี่ยงและอันตรายที่มีผลตอความปลอดภัยของขอมูลขาวสารในทุกรูปแบบ ทั้งทาง
อิเล็กทรอนิกสและทางกายภาพ รวมถึงการรักษาความปลอดภัยของระบบสารสนเทศและเครือขายที่ใชในการเก็บ
เขาถงึ ประมวลผล และกระจายขอมูลขาวสารนั้นดวย นอกจากนี้ยงัรวมถงึการระวงัปองกนัตออาชญากรรม การโจมต ี
การบอนทาํลาย การจารกรรม อบุตัเิหต ุและความผดิพลาดตางๆ ตอขอมูลขาวสารขององคกรอกีดวย
วิวัฒนาการของการรักษาความปลอดภัยรูปแบบของการรกัษาความปลอดภยัของขอมูลและทรพัยสนิอื่นๆ นั้นไดมวีวิฒันาการกบักาลเวลาเหมอืนกบั
สังคมและเทคโนโลยีอื่นๆ การเรียนรูและเขาใจวิวัฒนาการนี้จะชวยใหเขาใจระบบการรักษาความปลอดภัยที่มีอยูใน
ปจจบุนั และอาจเปนบทเรยีนที่ชวยใหเราไมตองทาํผดิเหมอืนกบัที่เคยเกดิขึ้นในอดตีได
การรักษาความปลอดภัยดานกายภาพ ( Physical Security)แตกอนนั้นทรพัยสนิสวนใหญจะเปนวตัถทุี่จบัตองได ขอมลูที่สาํคญักอ็ยูในรปูแบบวตัถเุชนกนั เนื่องจากขอมลู
จะถกูบนัทกึไวบนแผนหนิ แผนหนงั หรอืกระดาษ และบคุคลสาํคญัในอดตีสวนใหญจะไมนยิมบนัทกึขอมลูที่สาํคญัมากๆ
ลงบนสื่อถาวร เชน แผนหนงัหรอืกระดาษ และจะไมสนทนาเกี่ยวกบัขอมูลเหลานี้กบับคุคลอื่นนอกเหนอืจากที่บคุคลที่
ไวใจไดเทานั้น นี่อาจเปนที่มาของคาํวา “ความรูคอือาํนาจ (Knowledge is power)” ซึ่งหมายความวา ผูที่มคีวามรูคอื
ผูที่มอีาํนาจนั่นเอง และนี่อาจเปนรูปแบบการรกัษาความปลอดภยัที่ดทีี่สดุในขณะนั้นกไ็ด ซนัซู นกัปรชัญาชาวจนี ได
กลาวไววา “ความลบัที่รูโดยคนมากกวาหนึ่งคน กไ็มถอืวาเปนความลบัอกีตอไป” การที่จะปกปองทรพัยสนิที่เปนวตัถุ
นั้นกต็องใชการปกปองทางดานกายภาพ เชน ปอมปราการ ประตู กาํแพง ประสาท หอง ตู กลอง กญุแจ ยาม เปนตน
ถาตองมกีารสงขอมลูไปที่อื่นกจ็ะใชผูสงขาว และสวนใหญกจ็ะมผีูคุมกนัตดิตามไปดวย ภยัอนัตรายนั้นจะอยู
ในรูปแบบทางกายภาพทั้งสิ้น ไมมทีางที่จะไดขอมูลมาโดยที่ไมตองไปความาดวยมอื โดยสวนใหญทรพัยสนิ เชน เงนิ
ทอง หรอืขอมูลที่บนัทกึลงบนสื่อ จะถูกขโมยหรอืถูกแยงไปจากเจาของหรอืผูดูแลทรพัยสนินั้น
ทดลองอ่าน
บทที่ 1 Cybersecurity
PART 1
Information Security
6
รูปที่ 1.1 : Enigma เครื่องมื อเขา/ถอดรหัสที่ใชในชวงสงครามโลกครั้งที่ 2
การรักษาความปลอดภัยดานการสื่อสาร ( Communication Security)อยางไรกต็ามการรกัษาความปลอดภยัเฉพาะดานกายภาพดานเดยีวนั้น กม็ขีอบกพรอง จดุออน หรอืชองโหว
หลายอยาง กลาวคอื ถาเอกสารหรอืวตัถทุี่ใชบนัทกึขอมูลถูกขโมยระหวางการรบัสง ศตัรูกส็ามารถเปดอานและเขาใจ
ขอมูลนั้นไดเลยทนัท ีจนกระทั่งเมื่อราวยคุของจูเลยีส ซซีาร (Julius Caesar) ขอบกพรองนี้ไดถูกคนพบ โดยในสมยันั้น
(ยคุศตวรรษที่ 2) ไดมกีารคดิคนวธิกีารที่ใชสาํหรบัการ “ซอน” ขอมูล หรอืการเขารหสัขอมูล ( Encryption) ซึ่งขอมูลจะ
ถูกเขารหสักอน ที่จะสงไปใหอกีฝายหนึ่ง ดงันั้น ถามกีารขโมยขอมูลระหวางทาง ผูอานกจ็ะไมเขาใจเนื้อหาที่แทจรงิของ
ขอมูลถาไมรูวธิถีอดรหสั
แนวคดินี้ไดถูกพฒันามาใชในชวงสงครามโลกครั้งที่ 2 โดยเยอรมนัใชเครื่องมอืที่เรยีกวา เอน็นกิมา (Enigma)
ดงัแสดงในรปูที่ 1.1 : Enigma สาํหรบัเขารหสัขอมลูที่รบัสงระหวางหนวยทหาร ในขณะนั้นเยอรมนัเชื่อวาไมมใีครสามารถ
ถอดรหัสลับนี้ได แตในที่สุดฝายพันธมิตรก็สามารถถอดรหัสของเครื่องเอ็นนิกมานี้ได ทําใหฝายพันธมิตรสามารถอาน
ขอมูลที่รับสงได ซึ่งสงผลใหเยอรมันแพสงครามในที่สุด อยางไรก็ตามชองโหวนั้นไมใชเพราะเทคนิคการเขารหัสไม
แขง็แกรงพอ แตเกดิจากขอผดิพลาดของผูใชงานเครื่องนี้เอง ที่ไมระมดัระวงัเกี่ยวกบัการเกบ็รกัษารหสัลบัที่ใชเขารหสั
ขอมูล ทาํใหหลดุรั่วออกไปยงัฝายตรงขามได
ในชวงสงครามโลกครั้งที่ 2 นี้ การสื่อสารทางดานการทหารนั้น จะใชรหสัแทนชื่อจรงิของหนวยทหารหรอืสถานที่
อยูแลว ตวัอยางเชน ญี่ปุนนั้นกใ็ชรหสัแทนชื่อเรยีกทั่วไปในการสื่อสารกนั ถงึแมวาสหรฐัฯ จะสามารถถอดรหสัขอมูลได
แตกย็งัตองทาํความเขาใจกบัรหสัที่ใชแทนชื่อทั่วไปนี้อกี ซึ่งเปนการเพิ่มความยากในการเขาใจขอมูลจรงิๆ ตวัอยางเชน
ในชวงกอนที่จะเกดิสงครามที่เกาะมดิเวยระหวางญี่ปุนและสหรฐัฯ ในตอนนั้นสหรฐัฯ สามารถถอดรหสัลบัของญี่ปุนได
แตยงัไมเขาใจรหสัที่ใชแทนชื่อสถานที่ โดยในขอความที่สงนั้นญี่ปุนจะโจมตเีปาหมายที่มรีหสัวา “AF” แตในที่สดุสหรฐัฯ
กส็ามารถถอดรหสันี้ได และรูวา “AF” นั้นหมายถงึ มดิเวยนั่นเอง เทคนคิการถอดรหสัของสหรฐัฯ ทาํไดโดยสหรฐัฯ สง
ขอความหลอกวา “เกาะมดิเวยขาดแคลนนํ้าจดื” โดยขอความนี้ไมไดเขารหสั เพื่อหลอกใหญี่ปุนอานขอความนี้ ญี่ปุนจะ
เขารหสัขอความนี้ แลวสงตอใหหนวยอื่นทราบ สหรฐัฯ สามารถดกัอานขอความนี้ไดและถอดรหสัออกมาแลวในขอความ
นั้นมอีกัษรวา “AF” ที่ระบสุถานที่ ทาํใหสหรฐัฯ รูไดทนัทวีาอกัษร “AF” นั้นหมายถงึเกาะมดิเวยนั่นเอง
ทดลองอ่าน
Master in Security 3rd Edition
Master in Security 3Master in Security 3rd Edition Edition
7
ขอความไมใชแคตวัอกัษรที่เขารหสัในระหวางการสื่อสารกนั ขอความที่สื่อสารดวยเสยีง เชน วทิยแุละโทรศพัท
กเ็ปนอกีขอมูลประเภทหนึ่งที่ตองเขารหสัเพื่อปกปองความลบัของขอมูล หรอืเพื่อปองกนัการดกัฟงการสื่อสารดวยเสยีง
สหรฐัฯ เขารหสัเสยีงโดยใช “นาวาโฮโคดทอลคเกอร (Navaho Code Talker)” นาโวโฮเปนชนเผาหนึ่งที่มภีาษาเปนของ
ตัวเอง ผูรับสงขาวนั้นจะใชภาษานี้ในการสื่อสารกัน ซึ่งถาฝายศัตรูมีการดักฟงวิทยุที่สื่อสารกันก็อาจจะไดยินแตคงไม
เขาใจภาษาได
หลงัจากสงครามโลกครั้งที่ 2 สหภาพโซเวยีตไดใชวนัไทมแพด็ ( One time pad) เพื่อเขารหสัขอมูลที่รบัสงโดย
สายลับ วันไทมแพ็ดใชการเขารหัสโดยการสงขอความบนปกกระดาษ โดยแตละหนาจะประกอบดวยตัวเลขที่เปนเลข
สุม แตละหนานั้นจะใชแทนหนึ่งขอความเทานั้น รูปแบบการเขารหัสแบบนี้จะไมสามารถถอดรหัสไดถามีการใชอยาง
ถูกตองคือ ใชหนึ่งคียตอการเขารหัสหนึ่งขอความ แตสหภาพโซเวียตไดใชคียมากกวาหนึ่งครั้ง ทําใหขอความที่สงนั้น
ถูกถอดรหสัไดโดยงาย
การรักษาความปลอดภัยการแผรังสี ( Emissions Security)การถอดรหสั เปนสิ่งที่ยากมากถาใชเทคนคิการเขารหสัขอมลูที่ด ีอยางไรกต็ามการถอดรหสัโดยใชเทคนคิทาง
คณติศาสตรนั้นไมใชวธิกีารเดยีวที่จะถอดรหสัขอมลูได ดงันั้น จงึไดมคีวามพยายามที่จะคดิคนเทคนคิใหมๆ สาํหรบัอาน
ขอมูลที่เขารหสั ในชวงทศวรรษ 1950 ไดมกีารคนพบวาขอมูลที่รบัสงนั้น สามารถอานไดโดยการอานสญัญาณไฟฟาที่
สงผานสายโทรศัพท อปุกรณอเิล็กทรอนิกสทกุประเภทจะมกีารแผรงัสีออกมา ซึ่งรวมถึงเครื่องพมิพโทรสารและเครื่อง
สาํหรบัเขาและถอดรหสัขอมูลดวย เครื่องเขารหสัจะรบัเขาขอความแลวเขารหสัและสงไปบนสายโทรศพัท ในชวงนั้นได
มกีารคนพบวาสญัญาณไฟฟาที่แทนขอมูลที่ยงัไมไดเขารหสั กถ็ูกสงไปบนสายโทรศพัทดวยเชนกนั นั่นหมายความวา
ขอมูลเดมิที่ยงัไมไดถูกเขารหสันั้น สามารถกูคนืไดถาใชเครื่องมอือานสญัญาณไฟฟาที่ด ี
ปญหานี้เปนเหตุใหสหรัฐฯ ตองกําหนดมาตรฐานที่ชื่อ เทมเปสต ( TEMPEST) ซึ่งเปนมาตรฐานที่ควบคุม
การแผรังสีของอุปกรณคอมพิวเตอร และใชกับระบบที่สําคัญๆ จุดมุงหมายก็เพื่อลดการแผรังสีที่อาจใชสําหรับการ
กูคนืขอมูลได
รูปที่ 1.2 : สัญญาณที่สงผานสายโทรศัพท
ทดลองอ่าน
บทที่ 1 Cybersecurity
PART 1
Information Security
8
การรักษาความปลอดภัยคอมพิวเตอร ( Computer Security)การเขารหสัขอมูลและการควบคมุการแผรงัส ีเปนมาตรการการรกัษาความปลอดภยัของขอมูลที่เพยีงพอ ถา
ระบบสื่อสารขอมูลนั้นมีเพียงแคการใชเครื่องสงโทรสารเหมือนดังในรูปที่ 1.2 แตตอมาไดมีการนําคอมพิวเตอรเขามา
ใชงานแทนเครื่องสงโทรสาร และขอมูลสวนใหญกอ็ยูในรูปแบบดจิติอล และไดมกีารพฒันาคอมพวิเตอรเพื่อใหใชงาน
งายและสะดวกมากขึ้นเรื่อยๆ ทําใหผูที่มีเครื่องคอมพิวเตอรสามารถเขาถึงขอมูลทั้งหมดที่จัดเก็บในเครื่องนั้นดวยเชน
กนั จงึเกดิปญหาความไมปลอดภยัในการจดัเกบ็ขอมูลในระบบคอมพวิเตอร
ดงันั้น ในชวงทศวรรษ 1970 เดวดิ เบลล (David Elliott Bell) และลโีอนารด ลา พาดูลา (Leonard J. La Padula)
ไดพฒันาแมแบบสาํหรบัการรกัษาความปลอดภยัของคอมพวิเตอร (Bell-La Padula Model) แมแบบนี้พฒันาจากแนวคดิ
ในการจดัระดบัความปลอดภยัของขอมูลของรฐับาลสหรฐัฯ ซึ่งแบงออกไดเปน 4 ชั้นคอื ไมจดัระดบั, ลบั, ลบัมาก และ
ลบัที่สดุ (Unclassified, Confidential, Secret, Top Secret) และระดบัสทิธิ์ของผูที่เขาถงึขอมลูลบันี้ ( Clearance) ซึ่งม ี4 ระดบั
เหมอืนกนั หลกัการของระบบนี้คอื ผูที่สามารถเขาถงึขอมูลในระด ับใดระดบัหนึ่งได จะตองมสีทิธิ์ (Clearance) เทากบั
หรอืสูงกวาชั้นความลบัของขอมูลนั้น ดงันั้น ผูที่มสีทิธิ์นอยกวาชั้นความลบัของไฟลกจ็ะไมสามารถเขาถงึไฟลนั้นได
แนวคดินี้ไดถูกนาํไปใชในกระทรวงกลาโหมของสหรฐัฯ โดยไดชื่อวา มาตรฐาน 5200.28 หรอื TCSEC (Trusted
Computing System Evaluation Criteria) หรอืเปนที่รูจกัทั่วไปวา ออเรนจบุค ( Orange Book) เหตทุี่เรยีกชื่อนี้เนื่องจากหนงัสอื
มาตรฐานนี้มปีกสสีมนั่นเอง ในมาตรฐานนี้ไดกาํหนดระดบัความปลอดภยัของคอมพวิเตอรออกเปนระดบัตางๆ ไดดงันี้
D — Minimal protection
Reserved for those systems that have been evaluated but that fail to meet the requirements for a higher
division.
C — Discretionary protection
C1 — Discretionary Security Protection ¢ Identification and authentication.
¢ Separation of users and data.
¢ Discretionary Access Control (DAC) capable
of enforcing access limitations on an individual
basis.
¢ Required System Documentation and user
manuals.
C2 — Controlled Access Protection ¢ More finely grained DAC.
¢ Individual accountability through login
procedures.
¢ Audit trails.
¢ Object reuse.
¢ Resource isolation.B — Mandatory protection
ทดลองอ่าน
Master in Security 3rd Edition
Master in Security 3Master in Security 3rd Edition Edition
9
B1 — Labeled Security Protection ¢ Informal statement of the security policy model.
¢ Data sensitivity labels.
¢ Mandatory Access Control (MAC) over selected
subjects and objects.
¢ Label exportation capabilities.
¢ All discovered flaws must be removed or
otherwise mitigated.
¢ Design specifications and verification.
B2 — Structured Protection ¢ Security policy model clearly defined and
formally documented.
¢ DAC and MAC enforcement extended to all
subjects and objects.
¢ Covert storage channels are analyzed for
occurrence and bandwidth.
¢ Carefully structured into protection-critical and
non-protection-critical elements.
¢ Design and implementation enable more
comprehensive testing and review.
¢ Authentication mechanisms are strengthened.
¢ Trusted facility management is provided with
administrator and operator segregation.
¢ Strict configuration management controls are
imposed.
¢ Operator and Administrator roles are separated.
ทดลองอ่าน
บทที่ 1 Cybersecurity
PART 1
Information Security
10
B3 — Security Domains ¢ Satisfies reference monitor requirements.
¢ Structured to exclude code not essential to
security policy enforcement.
¢ Significant system engineering directed toward
minimizing complexity.
¢ Security administrator role defined.
¢ Audit security-relevant events.
¢ Automated imminent intrusion detection,
notification, and response.
¢ Trusted system recovery procedures.
¢ Covert timing channels are analyzed for
occurrence and bandwidth.
¢ An example of such a system is the XTS-300,
a precursor to the XTS-400.A — Verified protection
A1 — Verified Design ¢ Functionally identical to B3.
¢ Formal design and verification techniques
including a formal top-level specification.
¢ Formal management and distribution procedures.
¢ Examples of A1-class systems are Honeywell's
SCOMP, Aesec's GEMSOS, and Boeing's SNS
Server. Two that were unevaluated were the
production LOCK platform and the cancelled
DEC VAX Security Kernel.
ในแตละระดับออเรนจบุคไดกําหนดฟงกชันตางๆ ที่ระบบตองมีและการประกัน ดังนั้น ระบบที่ตองการ
ใบรบัรองวาจดัอยูในระดบัใด ระบบนั้นตองมทีั้งฟงกชนัตางๆ ที่กาํหนดในระดบันั้น พรอมทั้งการรบัประกนัในระดบันั้นได
ดวย ขอกาํหนดเกี่ยวกบัการรบัประกนัสาํหรบัระบบเพื่อใหเปนไปตามมาตรฐานนั้น ตองใชเวลาและคาใชจายสงูสาํหรบั
บรษิทัผูผลติ นี่เปนผลที่ทาํใหมไีมกี่ระบบที่ไดรบัการรบัรองเหนอืกวาระดบั C2 ที่ผานมามแีคระบบเดยีวเทานั้นที่ไดรบั
ใบรบัรองในระดบั A1 นั่นคอื ระบบ Honeywell SCOMP แตระบบนี้ลาสมยัไปในตอนที่ผานกระบวนการตรวจสอบเสรจ็
หลงัจากนั้นไดมกีารกาํหนดมาตรฐานใหมขึ้นมาแทนออเรนจบุค เพื่อแกขอบกพรองในเรื่องของเวลาที่ใชในการ
ตรวจทดสอบเพื่อออกใบรบัรอง เชน German Green Book (1989), Canadian Criteria (1990), ITSEC : Information Technology
Security Evaluation Criteria (1991) และ Federal Criteria (1992) ซึ่งแตละมาตรฐานที่กลาวมานี้กเ็พื่อกาํหนดกระบวนการใน
การออกใบรบัรองวาระบบคอมพวิเตอรนั้นมคีวามปลอดภยัระดบัไหน อยางไรกต็ามคอมพวิเตอรมวีวิฒันาการอยางรวดเรว็
ระบบปฏบิตักิารสมยัใหมและฮารดแวรใหมๆ ไดถกูพฒันาขึ้นมาแทนที่ระบบเกาเรว็กวากอนที่ระบบเกาจะไดรบัใบรบัรอง
ทดลองอ่าน
Master in Security 3rd Edition
Master in Security 3Master in Security 3rd Edition Edition
11
แตสิ่งที่ยังขาดคือ กระบวนการสําหรับการตรวจทดลองเพื่อออกใบรับรองวาระบบคอมพิวเตอรนั้นปลอดภัย
เทคโนโลยมีกีารเปลี่ยนแปลงที่เรว็มากกวาเวลา ที่ใชกบักระบวนการตรวจทดลองความปลอดภยัของระบบ เพราะเปนการ
ยากมาก หรอืแทบจะเปนไปไมไดเลยเกี่ยวกบัการที่จะพสิูจนวาระบบใดปลอดภยัหรอืไม
การรักษาความปลอดภัยเครือขาย ( Network Security)ปญหาหนึ่งที่เกี่ยวกับการตรวจทดลอง เพื่อออกใบรับรองมาตรฐานระดับความปลอดภัยใหแกระบบ
คอมพวิเตอรกค็อื การขาดความเขาใจเกี่ยวกบัเรื่องเครอืขาย เมื่อคอมพวิเตอรถกูเชื่อมตอกนัเขาเปนเครอืขาย ปญหาใหม
กเ็กดิขึ้น และปญหาเกากเ็กดิจากอกีทางหนึ่ง ยกตวัอยางเชน การสื่อสารคอมพวิเตอรนั้นเปลี่ยนจาก WAN มาเปนแบบ
LAN ซึ่งมแีบนดวธิที่สูงมาก และอาจมหีลายเครื่องที่เชื่อมตอเขากบัสื่อเดยีวกนั การเขารหสัโดยใชเครื่องเขารหสัเดี่ยวๆ
อาจไมไดผล การแผรงัสจีากสายทองแดงที่ใชสื่อสารนั้นมสีงูมาก เพราะสายทองแดงจะกระจายทั่วทั้งหองหรอืทั่วทั้งอาคาร
กไ็ด และสดุทายกม็ผีูใชหลายๆ คนที่สามารถลอ็กอนิไดจากหลายๆ ที่โดยอาจมรีะบบบรหิารจดัการที่เปนศูนยกลาง
ออเรนจบุคไมไดมขีอกาํหนดเกี่ยวกบัเครอืขายคอมพวิเตอร ดงันั้น การเชื่อมตอคอมพวิเตอรเขากบัเครอืขาย
อาจทาํใหใบรบัรองเปนโมฆะหรอืไมมปีระโยชน ทางออกสาํหรบัปญหานี้คอื การใชมาตรฐาน TNI (Trusted Network
Interpretation) ของ TCSEC หรอืที่รูจกัในชื่อ เรดบุค ( Red Book) ซึ่งออกมาในป 1987 ขอกาํหนดในเรดบุคมาจากออเรนจ
บุคทั้งหมด และไดเพิ่มสวนที่เกี่ยวของกบัเครอืขายเขาไป อยางไรกต็ามเนื่องจากมขีอกาํหนดเกี่ยวกบัฟงกชนัและการรบั
ประกนัมากทาํใหใชเวลามาก เกนิไปในการตรวจทดลองระบบ โดยจะมเีพยีงบางระบบเทานั้นที่ผานการตรวจทดลองของ
TNI และในระบบที่ไดรบัใบรบัรองนั้นไมมรีะบบใดเลยที่ใชในเชงิพาณชิย
การรักษาความปลอดภัยขอมูล ( Information Security)จากประวตัศิาสตรที่ไดกลาวมานั้น เราสามารถสรปุไดวาไมมวีธิกีารใดที่สามารถแกปญหาเกี่ยวกบัการรกัษา
ความปลอดภยัไดทั้งหมด แทที่จรงิแลวการรกัษาความปลอดภยัที่ดนีั้นจะตองใชทกุๆ วธิกีารที่กลาวมารวมกนั การรกัษา
ความปลอดภัยทางดานกายภาพ ก็ยังเปนวิธีการที่ดีสําหรับการปกปองทรัพยสินที่เปนวัตถุ การรักษาความปลอดภัย
ดานการสื่อสาร ( COMSEC) เปนวธิทีี่ใชปกปองขอมูลในระหวางการสื่อสาร การรกัษาความปลอดภยัเกี่ยวกบัการแผรงัส ี
( EMSEC) เปนสิ่งที่จําเปน เมื่อฝายตรงกันขามมีเครื่องมือที่สามารถอานขอมูลจากรังสีที่แผออกจากระบบคอมพิวเตอร
การรกัษาความปลอดภยัคอมพวิเตอร ( COMPSEC) เปนสิ่งที่จาํเปนสาํหรบัการควบคมุการเขาถงึระบบคอมพวิเตอร และ
การรกัษาความปลอดภยัเครอืขาย ( NETSEC) กเ็ปนสิ่งที่จาํเปนสาํหรบัการควบคมุการใชงานเครอืขาย และวธิกีารที่กลาว
มาทั้งหมดนี้รวมกนั กส็ามารถใหบรกิารการรกัษาความปลอดภยัขอมูล ( INFOSEC) ได
การรกัษาความปลอดภยัขอมูลนั้นเปนการปกปองคณุสมบตัทิั้ง 3 ดานของขอมูล ซึ่งไดแก ความลบั ความ
ถูกตอง และความพรอมใชงาน การรกัษาความลบัของขอมูล หมายถงึ การอนญุาตใหเฉพาะผูมสีทิธิ์เทานั้นที่จะเขาถงึ
ขอมลูได สวนการรกัษาความถกูตองของขอมลู หมายถงึ การอนญุาตใหเฉพาะผูที่มสีทิธิ์เทานั้นที่สามารถแกไขขอมลูได
และดานสดุทายคอื ความพรอมใชงาน ซึ่งผูที่ไดรบัอนญุาตสามารถเขาถงึขอมูลไดเมื่อตองการ
เนื่องจากขอมูลปจจุบันจะอยูในรูปแบบดิจิตอล และอาจถูกจัดเก็บไวในมีเดียหรือฮารดดิสกในเครื่อง
คอมพวิเตอร หรอือาจอยูในระหวางการประมวลผลในระบบคอมพวิเตอร หรอือาจอยูระหวางการสงผานเครอืขาย หรอื
อาจบนัทกึไวบนกระดาษหรอืกระดานประกาศขาวกไ็ด ไมวาขอมลูจะอยูที่แหงใด การรกัษาความปลอดขอมลูนั้นจาํเปน
ตองมอียูเสมอ ดงันั้น มาตรการรกัษาความปลอดภยัทั้งหมดที่กลาวมา จงึมคีวามจาํเปนสาํหรบัการปกปองคณุสมบตัิ
ทั้ง 3 ดานของขอมูลนั่นเอง
ทดลองอ่าน
บทที่ 1 Cybersecurity
PART 1
Information Security
12
การรักษาความปลอดภัยไซเบอร ( Cybersecurity)การรกัษาความปลอดภยัไซเบอร หมายถงึ การใชเทคโนโลยแีละกระบวนการในการปองกนัระบบคอมพวิเตอร
เครอืขาย และขอมูล จากการเขาถงึโดยไมไดรบัอนญุาต หรอือกีนยัหนึ่งคอื การปองกนัอนัตรายในโลกออนไลน ที่มผีล
กระทบตอตัวผูใชงานและขอมูลซึ่งเปนทรัพยสินประเภทหนึ่ง ซึ่งในปจจุบันมีผูใชงานออนไลนทั่วโลกเพิ่มมากขึ้น ทั้งนี้
เนื่องมาจากปจจัยหลายๆ ดาน ไมวาจะเปนอัตราคาบริการที่ถูกลง หรือการเพิ่มขึ้นของอุปกรณพกพาตางๆ เชน
สมารทโฟนและแทบ็เลต็ เปนตน
ไซเบอร (Cyber) คอื คาํที่กรอนมาจากคาํวา ไซเบอรเนตกิส (Cybernetics) และมคีวามหมายวาเกี่ยวของกบั
ระบบเครอืขายหรอืสงัคมเครอืขาย เชน ระบบอนิเทอรเนต็ ไซเบอรเนตกิส เปนวชิาการที่ศกึษาเกี่ยวกบัระบบควบคมุ
ของสิ่งมชีวีติ เชน ระบบประสาทของสิ่งมชีวีติ เพื่อนาํไปใชประยกุตใชกบัระบบที่มนษุยสรางขึ้นหรอืระบบอเิลก็ทรอนกิส
วชิานี้เปรยีบเทยีบความคลายคลงึกนัระหวางสิ่งมชีวีติกบัสิ่งไมมชีวีติ และยดึหลกัการพื้นฐานทางดานการสื่อสารและการ
ควบคมุ ที่สามารถอธบิายการทาํงานของทั้งสิ่งมชีวีติและสิ่งไมมชีวีติได ชื่อของวชิานี้มาจากคาํภาษากรกี หมายความ
วา นาํหรอืปกครอง ทั้งนี้มคีาํหรอืกลุมคาํที่มคีวามหมายใกลเคยีงและมคีวามสมัพนัธกนั ไดแก Electronic, Cyber และ
Virtuality ซึ่งมักใชนําหนาผลิตภัณฑหรือการบริการ ที่มีระบบอิเล็กทรอนิกสหรือคอมพิวเตอรเปนสวนประกอบสําคัญ
เชน E- ยอมาจาก อิเล็กทรอนิกส (Electronic) ใชในนําหนาผลิตภัณฑหรือบริการที่อยูในรูปของอิเล็กทรอนิกส เชน
จดหมายอเิลก็ทรอนกิส (E-mail), การคาอเิลก็ทรอนกิส (E-commerce), ธรุกจิอเิลก็ทรอนกิส (E-business), การธนาคาร
อเิลก็ทรอนกิส (E-banking) และหนงัสอือเิลก็ทรอนกิส (E-book) เปนตน ปจจบุนัมคีวามนยิมที่จะใชคาํวา ไซเบอร (Cyber)
แทนคาํวาอเิลก็ทรอนกิสนั่นเอง
ไซเบอร เปนคาํนาํหนานามที่กรอนมาจากคาํวา ไซเบอรเนตกิส (Cybernetics) เปนคาํมาจากภาษากรกี แปลวา
ความสามารถในการนาํ (Steering) หรอืการปกครอง (Governing) ทั้งนี้ไซเบอรเนตกิสยงัมคีวามหมายในการควบคมุการ
พดูและกระบวนการในการทาํงานของสมอง ซึ่งนาํไปใชในเรื่องเกี่ยวกบัคอมพวิเตอรและอเิลก็ทรอนกิส ในการทาํงานของ
ระบบควบคมุระยะไกล หรอืการควบคมุแบบเครอืขายอเิลก็ทรอนกิส และเมื่อนาํไปใชในคาํวา ไซเบอรสเปซ (Cyberspace)
มคีวามหมายครอบคลมุถงึขอบเขตการทาํงานของระบบเครอืขายคอมพวิเตอร หรอืระบบอเิลก็ทรอนกิสระยะไกล ซึ่งมี
ความหมายเหมอืนกบัคาํวา เวอรชวลสเปซ (Virtual Space) หรอืเวอรชวลยูนเิวริส (Virtual Universe)
โดยรวมแลวไซเบอรจงึเปนความหมายในเชงินามธรรม หมายถงึ ขอบเขตที่เกี่ยวของกบัการใชงานของระบบ
เครอืขายคอมพวิเตอรหรอืระบบอเิลก็ทรอนกิส ซึ่งจะครอบคลมุมากกวาคอมพวิเตอร ซึ่งมคีวามหมายในเชงิรปูธรรมของ
อปุกรณระบบคอมพวิเตอรทั่วไป แตหากเปรยีบเทยีบกบัระบบขอมูลขาวสาร (Information System) สามารถกาํหนดให
ไซเบอรเปนสวนหนึ่ง หรอืสบัเซตของระบบขอมูลขาวสารได แตหากวาในทางปฏบิตัเิพื่อรกัษาความปลอดภยัของระบบ
ขอมลูขาวสาร ไซเบอรสเปซและเครอืขายคอมพวิเตอรนั้นไมสามารถแยกแยะออกจากกนัได ไซเบอรสเปซเปนขอบเขตที่
กาํหนดโดยการใชอปุกรณอเิลก็ทรอนกิส และแถบคลื่นแมเหลก็ไฟฟาในการจดัเกบ็ แกไขเปลี่ยนแปลง และแลกเปลี่ยน
ขอมูล ผานทางระบบเครอืขายและโครงสรางพื้นฐานทางกายภาพที่เกี่ยวของ
การรกัษาความปลอดภยัไซเบอร (Cyber Security หรอื Cybersecurity) คอื กระบวนการหรอืการกระทาํทั้งหมด
ที่จําเปน เพื่อทําใหองคกรปราศจากความเสี่ยงและความเสียหาย ที่มีผลตอความปลอดภัยของขอมูลขาวสารในทุก
รูปแบบ ทั้งทางอเิลก็ทรอนกิสและทางกายภาพ ความปลอดภยัของระบบและเครอืขายที่ใชในการเกบ็ เขาถงึ ประมวล
ผล และกระจายขอมูล ทั้งนี้การรกัษาความปลอดภยัไซเบอรยงัรวมถงึการระวงัปองกนัตออาชญากรรม การโจมต ีการ
บอนทาํลาย การจารกรรม อบุตัเิหต ุและความผดิพลาดตางๆ
ทดลองอ่าน
Master in Security 3rd Edition
Master in Security 3Master in Security 3rd Edition Edition
13
สงครามไซเบอร ( Cyber Warfare)การนําเทคโนโลยีสารสนเทศมาใชทางดานการทหารอยางแพรหลาย จนทําใหกองทัพตองปรับเปลี่ยน
รปูแบบในการทาํสงครามแบบใหม หรอืที่เรยีกวายคุการปฏบิตักิารที่ใชเครอืขายเปนศนูยกลาง ซึ่งเปนยคุที่จาํเปนตองใช
เทคโนโลยสีารสนเทศและการสื่อสารเขามาเปนองคประกอบที่สาํคญัในการขบัเคลื่อนปฏบิตักิารทางทหาร ยกตวัอยาง
เชน ระบบบญัชาการและควบคมุ ระบบเชื่อมโยงขอมลูทางยทุธวธิ ีระบบปองกนัภยัทางอากาศ ระบบอาวธุยทุโธปกรณ
และระบบสงกําลังบํารุง เปนตน การใชประโยชนจากเทคโนโลยีสารสนเทศจะชวยเพิ่มประสิทธิภาพในการปฏิบัติการ
อยางไรก็ตามระบบตางๆ เหลานี้มีความเสี่ยงสูงที่จะเปนเปาหมายของการถูกโจมตีผานทางไซเบอรสเปซ จนปจจุบัน
ไดเกดิการทาํสงครามรูปแบบใหม ที่เรยีกวา สงครามไซเบอร (Cyber Warfare) ซึ่งเปนการปฏบิตักิารสงครามที่เกดิขึ้น
ในโลกไซเบอรแตสงผลกระทบในโลกจรงิ
ตวัอยางที่เหน็ชดัเจนคอื กรณขีองสตกัซเนต็ (Stuxnet) ซึ่งเปนอาวธุไซเบอรชนดิหนึ่ง สามารถทาํลายโรงงาน
ผลิตอาวุธนิวเคลียรของประเทศอิหรานได จากตัวอยางกรณีนี้และอีกหลายๆ เหตุการณ ทําใหหลายประเทศไดเห็น
ความสาํคญั และเริ่มกระบวนการพฒันาอาวธุไซเบอรเพื่อใชโจมตเีปาหมายทางทหารบางประเภท ดงันั้น กองทพัจงึมี
ความจาํเปนอยางยิ่งที่ตองเตรยีมการในการปองกนัการโจมตจีากไซเบอรสเปซ และในขณะเดยีวกนัจาํเปนที่ตองพฒันา
ศักยภาพความพรอมในการปฏิบัติการสงครามไซเบอร ซึ่งจะเปนการทวีกําลังทางทหารในการตอสูในสงครามรูปแบบ
ใหมที่จะเกดิขึ้นอยางแนนอนในอนาคตอนัใกล
หลักการพื้นฐานของการรักษาความปลอดภัยขอมูลการที่จะบอกไดวาขอมูลนั้นมคีวามปลอดภยัหรอืไม กโ็ดยการวเิคราะหคณุสมบตัหิลกัทั้ง 3 ดานคอื ความลบั
รูปที่ 1.3 : คุณสมบัติของความปลอดภัยขอมูล
ความถูกตอง และความพรอมใชงานวามีอยูครบหรือไม ถา
ขาดคุณสมบัติดานใดดานหนึ่งก็แสดงวาขอมูลนั้นไมมีความ
ปลอดภัย ดังนั้น การรักษาความปลอดภัยขอมูลจึงเปนการ
ปกปองรกัษาคณุสมบตัทิั้ง 3 ดานดงัตอไปนี้
¢ ความลบั (Confidentiality) : หมายถงึ ขอมลู
สามารถเขาถงึไดเฉพาะผูที่ไดรบัอนญุาตเทานั้น
¢ ความถูกตอง (Integrity) : หมายถงึ ขอมูล
สามารถถูกแกไขไดเฉพาะผู ที่ไดรับอนุญาต
เทานั้น
¢ ความพรอมใชงาน (Availability) : หมายถงึ
ขอมูลสามารถเขาถึงไดโดยผูที่ไดรับอนุญาต
เมื่อตองการ
ความลับ ( Confidentiality)การรกัษาความลบัของขอมูล หมายถงึ การอนญุาตใหเฉพาะผูที่ไดรบัอนญุาตเขาถงึขอมูลได หรอืถามองอกี
มมุหนึ่งกจ็ะหมายถงึ การปกปองขอมูลไมใหผูที่ไมไดรบัอนญุาตสามารถเขาถงึขอมูลไดนั่นเอง ขอมูลบางอยางมคีวาม
สาํคญัและจาํเปนตองเกบ็ไวเปนความลบั เพราะถาถูกเปดเผยอาจมผีลเสยีหรอืเปนอนัตรายตอเจาของได
ทดลองอ่าน
ทดลองอ่าน