Technological Safeguards Protecting Information Resources

Technological Safeguards

Technological Safeguards

การปกป้องความมั่นคงปลอดภัยของระบบและข้อมูลภายในองค์กรถือเป็นเรื่อง สำคัญในปัจจุบัน ทั้งนี้เนื่องจากการถูกคุกคามโดยผู้ไม่ประสงค์ดีหรือจากโปรแกรมบางประเภทได้ เพิ่มมากขึ้นและอาจนำมาซึ่งความเสียหายอย่างมากต่อองค์กร ดังนั้นถ้าภายในระบบมีการควบคุมความปลอดภัยที่ดีจะช่วยลดโอกาสเสี่ยงต่อการถูกคุกคามได้วิธีการที่จะป้องกันภัยคุกคามที่เกิดขึ้นกับไอที แรกสุดที่องค์กรต้องทำในเรื่องของการป้องกันความเสี่ยงคือ จะต้องมีการกำหนดหรือระบุผู้ที่มีสิทธิในการเข้าถึงข้อมูล แน่นอนว่าข้อมูลในองค์กรไม่ควรจะเป็นข้อมูลที่เปิดให้ทุกคนสามารถเข้าถึงได้
กระบวนการในการพิสูจน์ตัวบุคคลในระบบไอที Authentication เป็นกระบวนการในการพิสูจน์ตัวบุคคล เป็นการกำหนดและระบุผู้มีสิทธิเข้าถึงข้อมูล และพิสูจน์ให้ได้ว่าเป็นผู้มีสิทธินั้นจริง มีอยู่ 3 รูปแบบหลักๆ คือ
• Something you have พิสูจน์จากสิ่งที่เรามี เช่น smart card
• Something you know พิสูจน์จากสิ่งที่เรารู้ เช่น password
• Something you are พิสูจน์จากสิ่งที่เราเป็น เช่น fingerprints, retina scan
ที่เป็นที่นิยมที่สุดในการพิสูจน์ตัวเราก็คือ Something you know คือการใช้ username และ password ซึ่งปัญหาของการใช้ password ในปัจจุบันทำให้เป็นการสร้างช่องโหว่ในองค์กรได้ หลายองค์กรไม่เชื่อใน password ก็จะนำ Something you have มาใช้เช่นการใช้ smart card ร่วมกับ password ซึ่งบางองค์กรที่ต้องการความปลอดภัยสูงจะใช้ Something you are คือใช้ส่วนหนึ่งส่วนใดของร่างกาย หรือพฤติกรรมของเราในการพิสูจน์ตัวเรา สิ่งที่เห็นได้ชัดที่สุดก็คือใช้ลายนิ้วมือ และในบางธนาคารมีการสแกนม่านตาด้วย

PictureA.jpg

Biometrics

อีกชื่อหนึ่งของ Something you are คือ Biometrics
ถ้าเป็นองค์กรที่ให้ความสำคัญด้านความปลอดภัยจริงๆ จะใช้ทั้ง 3 อย่างเพื่อให้แน่ชัดว่าเราคือเรา แต่แน่นอนว่า password สามารถที่จะแชร์กันได้ และ password กับ smart card ก็สามารถที่จะถูกขโมยกันได้ และอย่างลายนิ้วมือก็ทำการปลอมได้โดยนำเอาสก๊อตเทปแปะ
Something you are ถึงจะปลอดภัยสูงแต่ก็เป็นประเด็นในการละเมิดสิทธิส่วนบุคคล อย่างเช่นการใช้ลายนิ้วมือ บางท่านก็มองว่าเป็นการละเมิดสิทธิส่วนบุคคล และหลายนิ้วมือก็ไม่ใช่ระบบที่ดีเสมอไป อย่างถ้าเราไปทำอะไรให้ลายนิ้วมือเปลี่ยน เช่น การโดนมีดบาดจากการปลอกผลไม้ แต่ระบบบางอย่างก็เปลี่ยนยากเช่นในหลายๆ องค์กรมีการ check DNA แต่เทคโนโลยีที่มีความละเอียดสูง ราคาก็จะสูงตามไปด้วย

Access-Control Software

เป็นการควบคุมโดยใช้การกำหนดการเข้าถึงข้อมูลเช่น level 1 เข้าไปอ่านข้อมูลได้แต่ไม่สามารถเข้าไปแก้ไขข้อมูลได้เพื่อช่วยลดความเสี่ยง ถ้าจะเข้าถึงข้อมูลและแก้ไขได้ต้องมี password level 5 ขึ้นไป เป็นต้น

Protecting a Wireless Network

ในเรื่องของ wireless ตรงนี้จะเป็นช่องโหว่ในเรื่องของความปลอดภัยค่อนข้างเยอะ เนื่องจากว่าข้อมูลถูกส่งผ่านทางอากาศ สามารถจะถูก interface ได้ง่ายกว่าในรูปแบบที่มีสาย ในส่วนของ wireless อย่างแรกสุด ควรจะมีการใช้ security protocol ในส่วนของ wifi ซึ่งในปัจจุบันก็ใช้มาตรฐานช่วยคือ WPA หรือ Wire protected access ตอนนี้มี version 2 แล้ว หลายคนไม่มีมาตรฐานตัวนี้ก็ทำให้คนอื่นเข้าไปใช้งานได้ อีกสิ่งหนึ่งที่สามารถจะลดความเสี่ยงในเรื่องของ wifi ได้ คือ ควรจะมีการระบุที่เครื่องคอมพิวเตอร์ที่สามารถเข้าถึง access point ได้ ที่สำคัญคือไม่ควรจะมีการ broadcast สัญญาณ wifi ถ้าในระดับบ้าน เราควรจะเปลี่ยน password ในส่วนของ access point เวลาเราซื้อ access point มาจะมีซอง password ซึ่งเราควรต้องเปลี่ยนเพราะตอนซื้อ password จะมาพร้อมกับ manufacture หลายคนไม่เปลี่ยน password จะเป็นความเสี่ยงอย่างหนึ่ง กระบวนการในการรักษาความลับของข้อมูล ระหว่างมีการนำส่ง ผ่านทางระบบเครือข่าย หรือระบบ internet กระบวนการนี้เราเรียก Encryption

PictureB.jpg

Encryption

การเปลี่ยนข้อความที่สามารถอ่านได้ (plain text) ไปเป็นข้อความที่ไม่สามารถอ่านได้ (cipher text) เพื่อเหตุผลด้านความปลอดภัย ปัจจุบันการเข้ารหัสมี 2 รูปแบบคือ
1. การเข้ารหัสแบบสมมาตร - การเข้ารหัสแบบสมมาตรจะใช้กุญแจตัวเดียวกันสำหรับการเข้าและถอดรหัส อัลกอริทึมที่ได้รับความนิยมได้แก่ DES, AES, IDEA
2. การเข้ารหัสแบบอสมมาตร - การเข้ารหัสแบบอสมมาตรจะใช้กุญแจตัวหนึ่งสำหรับการเข้ารหัส และกุญแจอีกตัวหนึ่งสำหรับการถอดรหัส กุญแจที่ใช้เข้ารหัสเป็นกุญแจที่เปิดเผยสู่สาธารณชน นั่นคือใครๆก็สามารถใช้กุญแจนี้เพื่อเข้ารหัสได้ แต่ถ้าการถอดรหัสจะต้องใช้กุญแจอีกดอกหนึ่งที่ไม่เปิดเผย อัลกอริทึมที่ได้รับความนิยมได้แก่ RSA
วิธีการเข้ารหัสมีความสำคัญต่อ 3 ส่วนหลักของระบบการค้าทางอิเล็กทรอนิกส์ คือ
1. ระบบตรวจสอบว่าเป็นเอกสารจริง (Authentication)
2. การพิสูจน์หลักฐานว่าได้กระทำการรายการจริง (Non-Repudiation)
3. การรักษาสิทธิส่วนตัว (Privacy)
การพิสูจน์ตัวตนโดยการเข้ารหัสโดยใช้กุญแจสาธารณะ (Public-key cryptography)
เป็นการรักษาความปลอดภัยของข้อมูลระหว่างการส่งข้ามเครือข่ายวิธีหนึ่งที่ นิยมใช้กันอยู่ในปัจจุบัน การเข้ารหัสแบบคู่รหัสกุญแจนี้จะมีความปลอดภัยมากกว่าการเข้ารหัสข้อมูลแบบ ธรรมดา แต่ก็ไม่ได้หมายความว่าการเข้ารหัสแบบคู่รหัสกุญแจนี้จะเป็นวิธีที่เหมาะสม ที่สุดของวิธีการเข้ารหัส ทั้งนี้ขึ้นอยู่กับประเภทงานของแต่ละองค์กรหรือบุคคล
การเข้ารหัสโดยใช้กุญแจสาธารณะ ประกอบไปด้วยกุญแจ 2 ชนิด ที่ต้องใช้คู่กันเสมอในการเข้ารหัสและถอดรหัสคือ
• กุญแจสาธารณะ (public key) เป็นกุญแจที่ผู้สร้างจะส่งออกไปให้ผู้ใช้อื่นๆ ทราบหรือเปิดเผยได้
• กุญแจส่วนตัว (private key) เป็นกุญแจที่ผู้สร้างจะเก็บไว้ โดยไม่เปิดเผยให้คนอื่นรู้
กระบวนการของการเข้ารหัสแบบคู่รหัสกุญแจ มีดังนี้
1. ผู้ใช้แต่ละคนจะสร้างคู่รหัสกุญแจของตัวเองขึ้นมา เพื่อใช้สำหรับการเข้ารหัสและการถอดรหัส
2. กุญแจสาธารณะจะถูกส่งออกไปยังผู้ใช้คนอื่นๆ แต่กุญแจส่วนตัวจะถูกเก็บที่ตนเอง
3. เมื่อจะส่งข้อมูลออกไปหาผู้ใช้คนใด ข้อมูลที่ส่งจะถูกเข้ารหัสด้วยกุญแจสาธารณะ ก่อนถูกส่งออกไป
4. เมื่อผู้รับได้รับข้อความแล้วจะใช้กุญแจส่วนตัวซึ่งเป็นคู่รหัสกันถอดรหัสออกมา
การเข้ารหัสโดยใช้กุญแจสาธารณะสามารถใช้ได้ทั้งในการเข้ารหัส (Encryption) และการพิสูจน์ตัวตน (Authentication)
การประยุกต์ใช้ในการเข้ารหัสข้อมูล (Encryption) เป็นการนำข้อมูลที่จะส่งไปยังผู้รับมาเข้ารหัสด้วยกุญแจสาธารณะของผู้รับ และเมื่อผู้รับได้รับข้อความนั้นแล้วจะถอดรหัสออกมาด้วยกุญแจส่วนตัว จึงจะเห็นได้ว่ามีเพียงผู้รับเท่านั้นที่จะสามารถถอดรหัสออกมาได้

PictureC.jpg

How Encryption Works (Asymmetric)

PictureD.jpg

นิทานที่อาจารย์เล่า
กาลครั้งหนึ่ง มีเจ้าชายกับเจ้าหญิง ซึ่งรักกันมากแต่ว่าอยู่กันคนละ 2 อาณาจักร เจ้าชายไม่สามารถไปหาเจ้าหญิงแต่ต้องการสื่อสารข้อมูลให้กับเจ้าหญิง จึงให้ messenger (ผู้ส่งสาร) ส่งไปให้ แต่เจ้าชายก็ต้องการเก็บเป็นความลับ จึงคิดว่า ต้องทำอย่างไร ให้ถึงแม้ messenger เปิดอ่านก็ไม่สามารถล่วงรู้ถึงข้อมูลได้ วิธีการคือเจ้าชายได้คิดวิธีการ Encryption ขึ้นมา ในครั้งนี้ เจ้าชายต้องการบอกเจ้าหญิงว่า I Love You (เรียกว่า plain text) โดยเจ้าชายต้องกำหนด Algorithms (สัญลักษณ์ที่ใช้แทนข้อความมีทั้งตัวเลขและตัวอักษร) ซึ่งหัวใจสำคัญคือ ความลับและความซับซ้อนของ Algorithms ในที่นี้คือ ‘2SYE6Y83’ (เรียกว่า cipher text) ส่วนขบวนการในการถอดรหัสของเจ้าหญิงจะเรียกว่า Decryption
ตัวอักษร สัญลักษณ์
I 2
L S
O Y
V E
E 6
Y Y
O 8
U 3

PictureE.jpg

Virtual Private Networks

VPN ย่อมาจาก Virtual Private Network เป็นเทคโนโลยีการเชื่อมต่อเครือข่ายนอกอาคาร (WAN - Wide Area Netwok) ที่กำลังเป็นที่น่าสนใจและเริ่มนำไปใช้ในหน่วยงานที่มีหลายสาขา หรือ มีสำนักงานกระจัดกระจายอยู่ในหลายภูมิภาค ในระบบ VPN การเชื่อมต่อระหว่างสำนักงานโดยใช้เครือข่าย

PictureF.jpg

Firewalls

Firewall เป็นกำแพงที่มีไว้เพื่อป้องกันไฟโดยที่ตัวมันเองนั้นไม่ใช่ไฟตามดังคำ แปล firewall ในสิ่งปลูกสร้างต่างๆนั้นจะทำด้วยอิฐเพื่อแยกส่วนต่างๆของสิ่งปลูกสร้างออก จากกันเพื่อที่ว่าในเวลาไฟไหม้ไฟจะได้ไม่ลามไปทั่วสิ่งปลูกสร้างนั้นๆ หรือ Firewall ในรถยนต์ก็จะเป็นแผ่นโลหะใช้แยกส่วนของเครื่องยนต์และส่วนของที่นั่งของผู้ โดยสารออกจากกัน
ในเครือข่าย Internet นั้น firewall อาจถูกใช้สำหรับป้องกันไม่ให้ "ไฟ" จากเครือข่าย Internet ภายนอกลามเข้ามาภายในเครือข่าย LAN ส่วนตัวของท่านได้ หรืออาจถูกใช้เพื่อป้องกันไม่ให้ผู้ใช้ใน LAN ของท่านออกไปโดน "ไฟ" ในเครือข่าย Internet ภายนอกได้
ตามคำจำกัดความแล้ว firewall หมายความถึง ระบบหนึ่งหรือกลุ่มของระบบที่บังคับใช้นโยบายการควบคุมการเข้าถึงของระหว่าง เครือข่ายสองเครือข่าย โดยที่วิธีการกระทำนั้นก็จะแตกต่างกันไปแล้วแต่ระบบ แต่โดยหลักการแล้วเราสามารถมอง firewall ได้ว่าประกอบด้วยกลไกสองส่วนโดยส่วนแรกมีหน้าที่ในการกั้น traffic และส่วนที่สองมีหน้าที่ในการปล่อย traffic ให้ผ่านไปได้

Firewall Architecture

PictureG.jpg

Large Organization

PictureH.jpg

Audit Control Software

Audit Control Software จะเกี่ยวข้องกับ มาตรา 26 เป็น softwareที่นำมาใช้ในการเก็บ log file ซึ่ง software นี้จะทำการ record activity ทั้งหลายที่เกิดขึ้นในระบบเครือข่าย หลายๆ องค์กร มีการเก็บสำรองข้อมูลที่เรียกว่าการทำ Back up ซึ่งเป็นการลดความเสี่ยง
จะเกิดอะไรขึ้นถ้าขาดระบบรักษาความปลอดภัย เช่น ธุรกิจระบบการเงินการธนาคาร สายการบิน จะเกิดความเสี่ยงมากขึ้นถ้าขาดระบบรักษาความปลอดภัยจะส่งผลต่อความเชื่อมั่น การสูญหายของข้อมูล ร่วมถึงการโจรกรรม วิธีการง่ายๆสำหรับการสร้าง Technological Safeguards คือ Backups ข้อมูลบ่อยๆ, ติด CCTV, ใช้ UPS

Protecting Information Resources

Protecting Information Resources

Risk (ความเสี่ยง) โอกาสที่ภัยคุกคามต่างๆ สามารถเกิดขึ้นได้ ไม่ว่าจะเป็นผลกระทบทางด้านชื่อเสียง ความเชื่อมั่นจากลูกค้า
Risk management (วิธีการจัดการความเสี่ยง) ต้องประเมินได้ว่าความเสี่ยงที่เกิดขึ้นได้ มีอะไรได้บ้าง

Risk assessment (การประเมินความเสี่ยง)

1 ระบุรายการออกมาว่าความเสี่ยงที่อาจเกิดขึ้นคืออะไร
2 ระบุรายการออกมาว่าความเสี่ยงที่อาจเกิดขึ้นได้กี่ครั้งภายใน 1 ปี คิดเป็น prob อะไรคือความเสี่ยงที่น้อยที่สุดเช่นให้
3 ระบุรายการออกมาว่าหากเกิดเหตุการณ์นั้นขึ้น จะสร้างมูลค่าความเสียหายเท่าใด ต้องกำหนดเป็นตัวเงินให้ได้
4 คูณ prob กับ มูลค่าความเสียหาย เพื่อกำหนดเป็นมูลค่า expected

Risk analysis (การวิเคราะห์ความเสี่ยง)

เราจะรู้ได้อย่างไรมูลค่าที่เราจะลงทุนไปกับการจัดการกับความเสี่ยงเช่นผล กระทบในเรื่องของ virus มีมูลค่า 1,000,000 บาท เราก็ไม่ควรลงทุนในการจัดการกับความเสี่ยงนี้เกิน 1,000,000 บาท
- Risk reduction ลงทุนไปกับระบบรักษาความปลอดภัย เพื่อรับค่าใช้จ่ายที่น้อยกว่าค่าความเสียหาย expected ที่อาจเกิดขึ้น
- Risk acceptance ยอมรับกับความเสี่ยงที่จะเกิดขึ้น
- Risk transfer ย้ายโอนความเสี่ยงที่เกิดขึ้นให้ outsource แบกรับความเสี่ยงแทนหรือองค์กรไม่มีความชำนาญในการทำระบบรักษาความปลอดภัย

Disaster recovery planning

การจัดทำแผนถึงการจัดการเมื่อความเสี่ยงที่เราประเมินไว้เกิดขึ้น

Business continuity planning

การจัดทำแผนถึงระยะเวลาที่น้อยที่สุด (Down time) ให้เกิดขึ้นกรณีที่มีความเสียหายและมีการจัดลำดับความสำคัญของแผนกในการ แก้ไขความเสียหาย

Security policy

การกำหนดนโยบายรักษาความปลอดภัย, ตั้งเป้าหมายของระบบควบคุมรักษาความปลอดภัยรวมถึงระบุกระบวนการที่จะทำให้ ถึงเป้าหมาย มีการกำหนดพฤติกรรมที่ก่อให้เกิดความเสี่ยง ความไม่เหมาะสม มีการกำหนดสิทธิในการเข้าถึงข้อมูลขององค์กร

Authorization management systems

การตรวจสอบภายใน โดยฝ่ายตรวจสอบภายในของบริษัทเองซึ่ง "ผู้ตรวจสอบภายใน" ควรศึกษาองค์ความรู้ที่จำเป็นต้องใช้ในการปฏิบัติงานตรวจสอบภายใน ได้แก่ "Corporate Governance Framework", "COSO ERM Framework" , "COSO Based Audit", "Risk-Based Audit" ซึ่งผู้ตรวจสอบภายในควรสอบวัดความรู้เป็นผู้ตรวจสอบภายในที่ได้รับการรับรอง แบบสากล ได้แก่ การสอบ "CIA" หรือ "Certified Internal Auditor" ซึ่งได้รับการรับรองโดย The Institute of Internal Auditors หรือ IIA

Computer Forensics

คือ การค้นหา และเก็บหลักฐานทางดิจิตอลที่อยู่ในอุปกรณ์คอมพิวเตอร์ เช่น ไฟล์ที่อยู่ใน พีซี โน้ตบุ๊ก หรือพีดีเอ เป็นต้น หรือหลักฐานดิจิตอลที่ถูกสร้างจากระบบคอมพิวเตอร์ ซึ่งข้อมูลเหล่านี้สามารถนำไปใช้ระบุผู้กระทำผิด จนถึงเป็นหลักฐานในชั้นศาลได้ช่น บันทึกการใช้งานโทรศัพท์ ข้อมูลของการใช้อินเทอร์เน็ตเป็นต้น ซึ่งหลักฐานทั้งหมดนี้จะถูกนำมาวิเคราะห์ว่าหลักฐานนี้เกิดขึ้นเมื่อไหร จากอะไร ตอนนี้ใช้ทำอะไร และถูกใช้โดยใครเป็นต้น

Security Triangle

มีใจความสรุปคือ
ระบบที่มีความปลอดภัยสูง จะมีค่าใช้จ่ายก็สูงตาม
ระบบที่มีความปลอดภัยสูง จะมีความง่ายต่อการใช้งานก็น้อยลง
ดังนั้นองค์กรควรหาจุดสมดุลระหว่างความปลอดภัย ค่าใช้จ่าย และความง่ายต่อการใช้งาน

PictureI.jpgPictureJ.jpg