การรักษาความมั่นคงปลอดภัยด้านสารสนเทศ สำหรับผู้ดูแลระบบ
วันที่เขียน 10/8/2559 10:57:06     แก้ไขล่าสุดเมื่อ 8/10/2567 23:20:08
เปิดอ่าน: 53343 ครั้ง

ความตระหนักในเรื่องการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ถือเป็นสิ่งที่ผู้ดูแลระบบ ต้องให้ความสำคัญ ด้วยประโยชน์ที่หลากหลายของการเข้าถึงได้ทุกที่ ทุกเวลา บนเครือข่ายอินเทอร์เน็ต สิ่งที่ต้องพึงระวังคือ ภัยคุกคาม ที่มีผลกระทบต่อความปลอดภัยในชีวิตและทรัพย์สิน ของบุคคลและหน่วยงาน ทั้งในรูปแบบการโจรกรรมข้อมูลส่วนบุคคลอันเป็นความลับ การจารกรรมทางอิเล็กทรอนิกส์

สรุปองค์ความรู้ /แนวปฏิบัติที่ดี

ประเด็น การรักษาความมั่นคงปลอดภัยด้านสารสนเทศ สำหรับผู้ดูแลระบบ
จากกิจกรรม/โครงการแลกเปลี่ยนเรียนรู้กลุ่มผู้ปฏิบัติงานด้านเทคโนโลยีสารสนเทศ ประจำปี งปม. 2559

เมื่อวันที่ 12 พฤษภาคม พ.ศ.2559 ห้องประชุมชั้น 1 ศูนย์เทคโนโลยีสารสนเทศ

โดย กลุ่มผู้ปฏิบัติงานด้านเทคโนโลยีสารสนเทศ

 

          ความตระหนักในเรื่องการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ถือเป็นสิ่งที่ผู้ดูแลระบบ ต้องให้ความสำคัญ ด้วยประโยชน์ที่หลากหลายของการเข้าถึงได้ทุกที่ ทุกเวลา บนเครือข่ายอินเทอร์เน็ต สิ่งที่ต้องพึงระวังคือ ภัยคุกคาม ที่มีผลกระทบต่อความปลอดภัยในชีวิตและทรัพย์สิน ของบุคคลและหน่วยงาน ทั้งในรูปแบบการโจรกรรมข้อมูลส่วนบุคคลอันเป็นความลับ การจารกรรมทางอิเล็กทรอนิกส์

         ทั้งนี้ปัญหาด้านความมั่นคงปลอดภัยในการใช้งานอินเทอร์เน็ต ประกอบด้วย 3 องค์ประกอบ คือ

 

  • ด้านเทคโนโลยี ได้แก่ Lack of security features (Firewall, Antivirus), bug, hole, no patch, no standard
  • ด้านกระบวนการ ได้แก่ Design for security, Trace, Audit, Sty up-to-date
  • ผู้ใช้งาน  ได้แก่ Lack of knowledge, Lack of commitment, Human error


         ภัยคุกคาม 3 ลำดับแรก คือ

  • การโจมตีด้วยโปรแกรมไม่พึงประสงค์ (Malicious Code)
  • การหลอกลวงออนไลน์ (Fraud)
  • การพยายามบุกรุกเข้าไปยังเครื่องคอมพิวเตอร์ของผู้อื่น (Intrusion)

 

          ความมั่นคงปลอดภัย (Security) คือ สถานะที่มีความปลอดภัย ไร้กังวล อยู่ในสถานะที่ไม่มีอันตรายและได้รับการป้องกันจากภัยอันตรายทั้งที่เกิดขึ้นโดยตั้งใจหรือบังเอิญ

          การรักษาความมั่นคงปลอดภัยของสารสนเทศ (Information Security) คือผลที่เกิดขึ้นจาการใช้ระบบของนโยบายและ/ หรือ ระเบียบปฏิบัติที่ใช้ในการพิสูจน์ทราบ  ควบคุม และป้องกันการเปิดเผยข้อมูล (ที่ได้รับคำสั่งให้มีการป้องกัน) โดยไม่ได้รับอนุญาต

          ภัยคุกคาม (Threat) คือ วัตถุ สิ่งของ ตัวบุคคล หรือสิ่งอื่นใดที่เป็นตัวแทนของการกระทำอันตรายต่อทรัพย์สินขององค์กร หรือสิ่งที่อาจจะก่อให้เกิดเสียหายต่อคุณสมบัติของข้อมูลด้านใดด้านหนึ่งหรือมากกว่าหนึ่งด้าน (ความลับ (Confidentiality), ความสมบูรณ์ (Integrity), ความพร้อมใช้ (Availability))

ประเภทของภัยคุกคาม เช่น

 

  • ภัยคุกคามที่ถูกทำให้เกิดขึ้นโดยเจตนา
  • ภัยคุกคามที่ถูกทำให้เกิดขึ้นโดยไม่เจตนา
  • ภัยคุกคามที่เกิดจากภัยธรรมชาติ
  • ภัยคุกคามที่เกิดจากผู้ใช้ในองค์กรเอง

 

          ช่องโหว่ (Vulnerabilities) หมายถึงความอ่อนแอของระบบคอมพิวเตอร์หรือระบบเครือข่ายที่เปิดโอกาสให้สิ่งที่เป็นภัยคุกคามสามารถเข้าถึงสารสนเทศในระบบได้ ซึ่งนำไปสู่ความเสียหายแก่สารสนเทศ เช่น การเข้าใช้งานระบบขาดกลไกการตรวจสอบชื่อผู้ใช้งานและรหัสผ่านที่ดี ทำให้ผู้ไม่ประสงค์ดีสามารถเดารหัสผ่านและลักลอบเข้าสู่ระบบได้โดยไม่ได้รับอนุญาต

สิ่งที่ต้องตระหนักถึงในการรักษาความมั่นคงปลอดภัยสารสนเทศ 

  • Data Confidentiality   : ข้อมูลถูกเก็บเป็นความลับ  
  • Data Integrity          : ข้อมูลมีความถูกต้องและน่าเชื่อถือ
  • System Availability   : ระบบมีความเสถียร และทำงานไม่ผิดพลาด

ปัจจัยที่ทำให้เกิดช่องโหว่ในระบบ 

  1. การจัดการบัญชีรายชื่อผู้ใช้ไม่มีประสิทธิภาพ
  2. Software Bugs
  3. No Patch
  4. ขาดการอัพเดตโปรแกรมป้องกันไวรัส (Antivirus)
  5. การปรับแต่งค่าคุณสมบัติของระบบผิดพลาด
  6. บุคลากรในองค์กร

เป้าหมายสำคัญของการรักษาความปลอดภัยสารสนเทศ 

  • Prevention (การป้องกันข้อมูล จากการถูกทำลายหรือถูกเปลี่ยนแปลง)
  • Detection   (การตรวจพบเหตุการณ์ที่เกิดขึ้นกับระบบทุกครั้ง)
  • Response   (การปรับปรุงแก้ไขยุทธวิธี เพื่อรับการโจมตีต่างๆ

รูปแบบภัยคุกคามความมั่นคงปลอดภัยสารสนเทศ  

  • การโจมตี (Attack) คือการกระทำบางอย่างที่อาศัยความได้เปรียบจากช่องโหว่ของระบบ โดยมีจุดมุ่งหมายเพื่อเข้าควบคุมการทำงานของระบบทำให้ระบบเกิดความเสียหาย โจรกรรมสารสนเทศ เช่น Malicious Code หรือ Malmare, Virus, Worm, Trojan, Spyware, Backdoor, Rootkit, Denial-of-Service (Dos), Spam
  • การดักรับข้อมูล เป็นรูปแบบการโจมตีโดยการตั้งชื่อ Wireless Network หรือที่เรียกว่า SSID ให้มีชื่อเหมือนกับ Network เดิมที่มีอยู่ เช่น ICT Free WiFi แล้วแฮกเกอร์จะสามารถเห็นข้อมูลที่รับส่งกัน 

การป้องกันภัยคุกคาม

  • หลีกเลี่ยงการใช้งาน Free WiFi ในพื้นที่สาธารณะ 
  • หากจำเป็นต้องใช้งาน Free WiFi ให้ใช้งานเฉพาะจำเป็น ไม่ควรเข้าถึงระบบที่มีความสำคัญ เช่น ระบบ e-Banking ระบบอีเมลล์ 
  • พิจารณาการใช้งานระบบที่มีความสำคัญที่มีการเข้ารหัสลับ เช่น เว็บไซต์ที่มีการใช้งาน https 
  1. การแอบเดารหัสผ่าน โดยมีหลักการดังนี้
  • รหัสผ่านส่วนใหญ่ ตั้งจากข้อมูลส่วนบุคคล
  • คำถามลับสำหรับ Reset Password ถูกตั้งมาจากข้อมูลส่วนบุคคล
  • ข้อมูลส่วนบุคคลสามารถหาได้ง่ายจาก Social Network
  • User ส่วนใหญ่มักตั้ง Password ตามคำใน Dictionary
  • User ส่วนใหญ่มักตั้ง Password ด้วยตัวอักษรตัวเล็กหรือตัวเลขทั้งหมด
  • User ส่วนใหญ่มักไม่ค่อยเปลี่ยน Password
  • Password เหล่านี้มักตกเป็นเหยื่อรายแรกๆ ของผู้ไม่หวังดี

การป้องกันภัยคุกคาม

  • ไม่ใช้ Password ที่คาดเดาได้ง่าย เช่น คำที่มีใน Dictionary
  • ใช้การผสมอักขระที่ซับซ้อน
  • เปลี่ยน Password อย่างสม่ำเสมอ เมื่อถึงเวลาที่เหมาะสม เช่น ทุกๆ 90 วัน
  • ตั้ง Password ซึ่งผสมอักษรภาษาอังกฤษตัวเล็ก อักษรภาษาอังกฤษตัวใหญ่ ตัวเล็ก และตัวอักขระพิเศษ

เทคนิคการตั้งรหัสผ่าน

 

  • ใช้เนื้อเพลงโปรด หรือประโยคเด็ด
  • พิมพ์ภาษาอังกฤษจากประโยคแป้นพิมพ์ไทย
  • กด Shift ค้างไว้
  • ใช้ตัวสัญลักษณ์แทนตัวอักษร เช่น A แทนด้วย 4 หรือ @ / E แทนด้วย 3 / I แทนด้วย 1 หรือ ! / O แทนด้วย 0 / S แทนด้วย $ / And แทนด้วย & / for แทนด้วย 4 (four) 

 

การนำไปใช้ประโยชน์

  • เป็นความรู้พื้นฐานในการป้องกันรักษาความมั่นคงปลอดภัยสารสนเทศ ให้กับระบบสารสนเทศ และให้คำแนะนำแก่ผู้ใช้
  • นำหลักการสมรรถนะในกลุ่มงานเทคโนโลยีสารสนเทศมาเป็นกรอบในการทำงานด้านเทคโนโลยีสารสนเทศ
  • สามารถนำความรู้ที่ได้รับไปปรับประยุกต์ใช้ในการทำงานได้เป็นอย่างดี
  • ในส่วนของการเเลกเปลี่ยนเรียนรู้เรื่องการรักษาความปลอดภัยในระบบสารสนเทศ เป็นความรู้ที่น่าสนใจ และสามารถนำไปใช้ประโยชน์ในการตรวจสอบความปลอดภัยในการใช้งานระบบสารสนเทศของตนเองและเพื่อนร่วมงานได้
  • ในส่วนของเกณฑ์ประเมินสมรรถนะกลุ่มผู้ปฏิบัติงานด้านเทคโนโลยีสารสนเทศ เป็นประโยชน์ในการวางแนวทางในการทำงานของนักวิชาการคอม 

ถอดบทเรียนโดย นางสาวณัฐกฤตา โกมลนาค

ศูนย์เทคโนโลยีสารสนเทศ

ความคิดเห็นทั้งหมด (0)
ไม่มีข้อมูลตามเงื่อนไขที่ท่านกำหนด
รายการบทความการแลกเปลี่ยนเรียนรู้หมวดหมู่ : กลุ่มงานเทคโนโลยีสารสนเทศ
กลุ่มงานเทคโนโลยีสารสนเทศ » UX/UI Design ต่างกันอย่างไร
การออกแบบเว็บไซต์ การออกแบบผลิตภัณฑ์และบริการดิจิทัล มีความสำคัญมากขึ้นเป็นอย่างมาก โดยเฉพาะอย่างยิ่งการออกแบบประสบการณ์ผู้ใช้ (User Experience Design: UX Design) และการออกแบบส่วนต่อประสานผู้ใช้ (...
UI Design  UX Design  UX UI  UX/UI  การออกแบบเว็บ     กลุ่มงานตามสมรรถนะบุคลากร   กลุ่มงานเทคโนโลยีสารสนเทศ
ผู้เขียน ช่อทิพย์ สิทธิ  วันที่เขียน 6/9/2567 14:14:09  แก้ไขล่าสุดเมื่อ 7/10/2567 17:18:25   เปิดอ่าน 56  ครั้ง | แสดงความคิดเห็น 0  ครั้ง
การพัฒนาโปรแกรม » การพัฒนาระบบเพื่อลดขั้นตอนการปฏิบัติงาน สำหรับการจัดเก็บและทำลายเอกสาร
การพัฒนาระบบเพื่อลดขั้นตอนการปฏิบัติงาน สำหรับการจัดเก็บและทำลายเอกสาร โดยมีวัตถุประสงค์ เพื่อเพิ่มประสิทธิภาพในการปฏิบัติงาน โดยการนำระบบจัดเก็บและทำลายเอกสารมาช่วยปรับปรุงประสิทธิผล ในกระบวนการทำ...
Re-Design Process?  ระบบจัดเก็บและทำลายเอกสาร     กลุ่มงานตามสมรรถนะบุคลากร   กลุ่มงานเทคโนโลยีสารสนเทศ
ผู้เขียน ณัฐกฤตา โกมลนาค  วันที่เขียน 5/9/2567 11:45:54  แก้ไขล่าสุดเมื่อ 8/10/2567 20:42:05   เปิดอ่าน 133  ครั้ง | แสดงความคิดเห็น 0  ครั้ง
การพัฒนาระบบสารสนเทศ » ข้อมูลเปิด (Open Data) เบื้องต้น
ข้อมูลเปิด (Open Data) คือ ข้อมูลที่สามารถเข้าถึง ใช้งาน แก้ไข และแบ่งปันได้โดยไม่จำกัดข้อกำหนดหรือค่าใช้จ่าย ข้อมูลเปิดมักถูกเผยแพร่ในรูปแบบที่สามารถอ่านและวิเคราะห์ได้ง่าย เช่น ไฟล์ CSV, JSON, หร...
การเข้าถึง  การใช้งาน  การแบ่งปัน  การเปิดเผย  ข้อมูลเปิด     กลุ่มงานตามสมรรถนะบุคลากร   กลุ่มงานเทคโนโลยีสารสนเทศ
ผู้เขียน สมนึก สินธุปวน  วันที่เขียน 2/9/2567 9:45:13  แก้ไขล่าสุดเมื่อ 8/10/2567 15:51:42   เปิดอ่าน 57  ครั้ง | แสดงความคิดเห็น 0  ครั้ง
การพัฒนาระบบสารสนเทศ » คุณธรรมจริยธรรมในการทำงานเกี่ยวกับเทคโนโลยีในมหาวิทยาลัย (2)
จรรยาบรรณและจริยธรรม ในการทำงานเกี่ยวกับเทคโนโลยีในมหาวิทยาลัยเกี่ยวข้องกับแนวทางเพื่อให้การใช้เทคโนโลยีในงานวิจัย การสอน และการบริหารจัดการเป็นไปอย่างมีความรับผิดชอบและถูกต้องตามหลักจริยธรรม
การเข้าถึงและการรวมกลุ่ม  ความโปร่งใสและความรับผิดชอบ  จรรยาบรรณและจริยธรรม  เทคโนโลยี  แนวทางวิจัยที่มีจริยธรรม     กลุ่มงานตามสมรรถนะบุคลากร   กลุ่มงานเทคโนโลยีสารสนเทศ
ผู้เขียน สมนึก สินธุปวน  วันที่เขียน 1/9/2567 12:56:52  แก้ไขล่าสุดเมื่อ 7/10/2567 10:20:31   เปิดอ่าน 56  ครั้ง | แสดงความคิดเห็น 0  ครั้ง