การรักษาความมั่นคงปลอดภัยด้านสารสนเทศ สำหรับผู้ดูแลระบบ
วันที่เขียน 10/8/2559 10:57:06     แก้ไขล่าสุดเมื่อ 10/8/2563 7:24:37
เปิดอ่าน: 20907 ครั้ง

ความตระหนักในเรื่องการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ถือเป็นสิ่งที่ผู้ดูแลระบบ ต้องให้ความสำคัญ ด้วยประโยชน์ที่หลากหลายของการเข้าถึงได้ทุกที่ ทุกเวลา บนเครือข่ายอินเทอร์เน็ต สิ่งที่ต้องพึงระวังคือ ภัยคุกคาม ที่มีผลกระทบต่อความปลอดภัยในชีวิตและทรัพย์สิน ของบุคคลและหน่วยงาน ทั้งในรูปแบบการโจรกรรมข้อมูลส่วนบุคคลอันเป็นความลับ การจารกรรมทางอิเล็กทรอนิกส์

สรุปองค์ความรู้ /แนวปฏิบัติที่ดี

ประเด็น การรักษาความมั่นคงปลอดภัยด้านสารสนเทศ สำหรับผู้ดูแลระบบ
จากกิจกรรม/โครงการแลกเปลี่ยนเรียนรู้กลุ่มผู้ปฏิบัติงานด้านเทคโนโลยีสารสนเทศ ประจำปี งปม. 2559

เมื่อวันที่ 12 พฤษภาคม พ.ศ.2559 ห้องประชุมชั้น 1 ศูนย์เทคโนโลยีสารสนเทศ

โดย กลุ่มผู้ปฏิบัติงานด้านเทคโนโลยีสารสนเทศ

 

          ความตระหนักในเรื่องการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ถือเป็นสิ่งที่ผู้ดูแลระบบ ต้องให้ความสำคัญ ด้วยประโยชน์ที่หลากหลายของการเข้าถึงได้ทุกที่ ทุกเวลา บนเครือข่ายอินเทอร์เน็ต สิ่งที่ต้องพึงระวังคือ ภัยคุกคาม ที่มีผลกระทบต่อความปลอดภัยในชีวิตและทรัพย์สิน ของบุคคลและหน่วยงาน ทั้งในรูปแบบการโจรกรรมข้อมูลส่วนบุคคลอันเป็นความลับ การจารกรรมทางอิเล็กทรอนิกส์

         ทั้งนี้ปัญหาด้านความมั่นคงปลอดภัยในการใช้งานอินเทอร์เน็ต ประกอบด้วย 3 องค์ประกอบ คือ

 

  • ด้านเทคโนโลยี ได้แก่ Lack of security features (Firewall, Antivirus), bug, hole, no patch, no standard
  • ด้านกระบวนการ ได้แก่ Design for security, Trace, Audit, Sty up-to-date
  • ผู้ใช้งาน  ได้แก่ Lack of knowledge, Lack of commitment, Human error


         ภัยคุกคาม 3 ลำดับแรก คือ

  • การโจมตีด้วยโปรแกรมไม่พึงประสงค์ (Malicious Code)
  • การหลอกลวงออนไลน์ (Fraud)
  • การพยายามบุกรุกเข้าไปยังเครื่องคอมพิวเตอร์ของผู้อื่น (Intrusion)

 

          ความมั่นคงปลอดภัย (Security) คือ สถานะที่มีความปลอดภัย ไร้กังวล อยู่ในสถานะที่ไม่มีอันตรายและได้รับการป้องกันจากภัยอันตรายทั้งที่เกิดขึ้นโดยตั้งใจหรือบังเอิญ

          การรักษาความมั่นคงปลอดภัยของสารสนเทศ (Information Security) คือผลที่เกิดขึ้นจาการใช้ระบบของนโยบายและ/ หรือ ระเบียบปฏิบัติที่ใช้ในการพิสูจน์ทราบ  ควบคุม และป้องกันการเปิดเผยข้อมูล (ที่ได้รับคำสั่งให้มีการป้องกัน) โดยไม่ได้รับอนุญาต

          ภัยคุกคาม (Threat) คือ วัตถุ สิ่งของ ตัวบุคคล หรือสิ่งอื่นใดที่เป็นตัวแทนของการกระทำอันตรายต่อทรัพย์สินขององค์กร หรือสิ่งที่อาจจะก่อให้เกิดเสียหายต่อคุณสมบัติของข้อมูลด้านใดด้านหนึ่งหรือมากกว่าหนึ่งด้าน (ความลับ (Confidentiality), ความสมบูรณ์ (Integrity), ความพร้อมใช้ (Availability))

ประเภทของภัยคุกคาม เช่น

 

  • ภัยคุกคามที่ถูกทำให้เกิดขึ้นโดยเจตนา
  • ภัยคุกคามที่ถูกทำให้เกิดขึ้นโดยไม่เจตนา
  • ภัยคุกคามที่เกิดจากภัยธรรมชาติ
  • ภัยคุกคามที่เกิดจากผู้ใช้ในองค์กรเอง

 

          ช่องโหว่ (Vulnerabilities) หมายถึงความอ่อนแอของระบบคอมพิวเตอร์หรือระบบเครือข่ายที่เปิดโอกาสให้สิ่งที่เป็นภัยคุกคามสามารถเข้าถึงสารสนเทศในระบบได้ ซึ่งนำไปสู่ความเสียหายแก่สารสนเทศ เช่น การเข้าใช้งานระบบขาดกลไกการตรวจสอบชื่อผู้ใช้งานและรหัสผ่านที่ดี ทำให้ผู้ไม่ประสงค์ดีสามารถเดารหัสผ่านและลักลอบเข้าสู่ระบบได้โดยไม่ได้รับอนุญาต

สิ่งที่ต้องตระหนักถึงในการรักษาความมั่นคงปลอดภัยสารสนเทศ 

  • Data Confidentiality   : ข้อมูลถูกเก็บเป็นความลับ  
  • Data Integrity          : ข้อมูลมีความถูกต้องและน่าเชื่อถือ
  • System Availability   : ระบบมีความเสถียร และทำงานไม่ผิดพลาด

ปัจจัยที่ทำให้เกิดช่องโหว่ในระบบ 

  1. การจัดการบัญชีรายชื่อผู้ใช้ไม่มีประสิทธิภาพ
  2. Software Bugs
  3. No Patch
  4. ขาดการอัพเดตโปรแกรมป้องกันไวรัส (Antivirus)
  5. การปรับแต่งค่าคุณสมบัติของระบบผิดพลาด
  6. บุคลากรในองค์กร

เป้าหมายสำคัญของการรักษาความปลอดภัยสารสนเทศ 

  • Prevention (การป้องกันข้อมูล จากการถูกทำลายหรือถูกเปลี่ยนแปลง)
  • Detection   (การตรวจพบเหตุการณ์ที่เกิดขึ้นกับระบบทุกครั้ง)
  • Response   (การปรับปรุงแก้ไขยุทธวิธี เพื่อรับการโจมตีต่างๆ

รูปแบบภัยคุกคามความมั่นคงปลอดภัยสารสนเทศ  

  • การโจมตี (Attack) คือการกระทำบางอย่างที่อาศัยความได้เปรียบจากช่องโหว่ของระบบ โดยมีจุดมุ่งหมายเพื่อเข้าควบคุมการทำงานของระบบทำให้ระบบเกิดความเสียหาย โจรกรรมสารสนเทศ เช่น Malicious Code หรือ Malmare, Virus, Worm, Trojan, Spyware, Backdoor, Rootkit, Denial-of-Service (Dos), Spam
  • การดักรับข้อมูล เป็นรูปแบบการโจมตีโดยการตั้งชื่อ Wireless Network หรือที่เรียกว่า SSID ให้มีชื่อเหมือนกับ Network เดิมที่มีอยู่ เช่น ICT Free WiFi แล้วแฮกเกอร์จะสามารถเห็นข้อมูลที่รับส่งกัน 

การป้องกันภัยคุกคาม

  • หลีกเลี่ยงการใช้งาน Free WiFi ในพื้นที่สาธารณะ 
  • หากจำเป็นต้องใช้งาน Free WiFi ให้ใช้งานเฉพาะจำเป็น ไม่ควรเข้าถึงระบบที่มีความสำคัญ เช่น ระบบ e-Banking ระบบอีเมลล์ 
  • พิจารณาการใช้งานระบบที่มีความสำคัญที่มีการเข้ารหัสลับ เช่น เว็บไซต์ที่มีการใช้งาน https 
  1. การแอบเดารหัสผ่าน โดยมีหลักการดังนี้
  • รหัสผ่านส่วนใหญ่ ตั้งจากข้อมูลส่วนบุคคล
  • คำถามลับสำหรับ Reset Password ถูกตั้งมาจากข้อมูลส่วนบุคคล
  • ข้อมูลส่วนบุคคลสามารถหาได้ง่ายจาก Social Network
  • User ส่วนใหญ่มักตั้ง Password ตามคำใน Dictionary
  • User ส่วนใหญ่มักตั้ง Password ด้วยตัวอักษรตัวเล็กหรือตัวเลขทั้งหมด
  • User ส่วนใหญ่มักไม่ค่อยเปลี่ยน Password
  • Password เหล่านี้มักตกเป็นเหยื่อรายแรกๆ ของผู้ไม่หวังดี

การป้องกันภัยคุกคาม

  • ไม่ใช้ Password ที่คาดเดาได้ง่าย เช่น คำที่มีใน Dictionary
  • ใช้การผสมอักขระที่ซับซ้อน
  • เปลี่ยน Password อย่างสม่ำเสมอ เมื่อถึงเวลาที่เหมาะสม เช่น ทุกๆ 90 วัน
  • ตั้ง Password ซึ่งผสมอักษรภาษาอังกฤษตัวเล็ก อักษรภาษาอังกฤษตัวใหญ่ ตัวเล็ก และตัวอักขระพิเศษ

เทคนิคการตั้งรหัสผ่าน

 

  • ใช้เนื้อเพลงโปรด หรือประโยคเด็ด
  • พิมพ์ภาษาอังกฤษจากประโยคแป้นพิมพ์ไทย
  • กด Shift ค้างไว้
  • ใช้ตัวสัญลักษณ์แทนตัวอักษร เช่น A แทนด้วย 4 หรือ @ / E แทนด้วย 3 / I แทนด้วย 1 หรือ ! / O แทนด้วย 0 / S แทนด้วย $ / And แทนด้วย & / for แทนด้วย 4 (four) 

 

การนำไปใช้ประโยชน์

  • เป็นความรู้พื้นฐานในการป้องกันรักษาความมั่นคงปลอดภัยสารสนเทศ ให้กับระบบสารสนเทศ และให้คำแนะนำแก่ผู้ใช้
  • นำหลักการสมรรถนะในกลุ่มงานเทคโนโลยีสารสนเทศมาเป็นกรอบในการทำงานด้านเทคโนโลยีสารสนเทศ
  • สามารถนำความรู้ที่ได้รับไปปรับประยุกต์ใช้ในการทำงานได้เป็นอย่างดี
  • ในส่วนของการเเลกเปลี่ยนเรียนรู้เรื่องการรักษาความปลอดภัยในระบบสารสนเทศ เป็นความรู้ที่น่าสนใจ และสามารถนำไปใช้ประโยชน์ในการตรวจสอบความปลอดภัยในการใช้งานระบบสารสนเทศของตนเองและเพื่อนร่วมงานได้
  • ในส่วนของเกณฑ์ประเมินสมรรถนะกลุ่มผู้ปฏิบัติงานด้านเทคโนโลยีสารสนเทศ เป็นประโยชน์ในการวางแนวทางในการทำงานของนักวิชาการคอม 

ถอดบทเรียนโดย นางสาวณัฐกฤตา โกมลนาค

ศูนย์เทคโนโลยีสารสนเทศ

ความคิดเห็นทั้งหมด (0)
ไม่มีข้อมูลตามเงื่อนไขที่ท่านกำหนด
รายการบทความการแลกเปลี่ยนเรียนรู้หมวดหมู่ : กลุ่มงานเทคโนโลยีสารสนเทศ
กลุ่มงานเทคโนโลยีสารสนเทศ » ซอฟต์แวร์ลิขสิทธิ์ มหาวิทยาลัยแม่โจ้
กองเทคโนโลยีดิจิทัล มีภารกิจดูแลการให้บริการซอฟต์แวร์ลิขสิทธิ์ที่ให้บริการภายในมหาวิทยาลัย ซึ่งผู้ใช้งานทั้งอาจารย์ นักวิจัย เจ้าหน้าที่ และนักศึกษา มีความต้องการใช้งานซอฟต์แวร์ที่หลากหลาย และซอฟต์...
ซอฟท์แวร์ลิขสิทธิ์  โปรแกรมลิขสิทธิ์  โปรแกรมสำเร็จรูป     กลุ่มงานตามสมรรถนะบุคลากร   กลุ่มงานเทคโนโลยีสารสนเทศ
ผู้เขียน บรรพต โตสิตารัตน์  วันที่เขียน 13/5/2563 11:03:42  แก้ไขล่าสุดเมื่อ 10/8/2563 5:50:59   เปิดอ่าน 565  ครั้ง | แสดงความคิดเห็น 0  ครั้ง
MS OFFICE » คู่มือใช้งาน Google Classroom สำหรับอาจารย์ มหาวิทยาลัยแม่โจ้
Google Classroom เป็นบริการของ Google ที่มีเครื่องมือสำหรับให้อาจารย์ผู้สอนได้ใช้ประโยชน์ในการสร้างห้องเรียนเสมือนได้ ซึ่งการใช้งานนั้น สามารถเข้าใช้งานได้ทุกอุปกรณ์ไม่ว่าจะเป็น คอมพิวเตอร์แท็ปเล็ต...
Google Classroom     กลุ่มงานตามสมรรถนะบุคลากร   กลุ่มงานเทคโนโลยีสารสนเทศ
ผู้เขียน ศุภวรรณ สัจจากุล  วันที่เขียน 8/4/2563 14:42:54  แก้ไขล่าสุดเมื่อ 10/8/2563 4:02:53   เปิดอ่าน 494  ครั้ง | แสดงความคิดเห็น 0  ครั้ง
ทั่วไป » ทำงานที่บ้าน จะติดต่อระหว่างหน่วยงานอย่างไร
เดิมปกติจะใช้เบอร์โต๊ะโทรประสานงานกัน แต่ช่วงนี้เราจำเป็นต้องทำงานจากที่บ้าน หากคนที่เคยติดต่อกันทาง facebook line ก็จะไม่มีปัญหา แล้วคนอื่น หน่วยงานอื่นล่ะจะทำยังไง เรามีเครื่องมือไว้ให้พร้อมแล้ว ...
  กลุ่มงานตามสมรรถนะบุคลากร   กลุ่มงานเทคโนโลยีสารสนเทศ
ผู้เขียน วสุ ไชยศรีหา  วันที่เขียน 27/3/2563 12:21:15  แก้ไขล่าสุดเมื่อ 10/8/2563 5:26:45   เปิดอ่าน 829  ครั้ง | แสดงความคิดเห็น 0  ครั้ง