Information Security คือ การรักษาความปลอดภัยของข้อมูลสารสนเทศ
พื้นฐานการรักษาความปลอดภัย (Basic Security Knowledge)
คำว่า "ไม่มีระบบใดที่ปลอดภัยล้านเปอร์เซ็นต์" ก็คงจะดูมากไปนะครับ แต่มันคือความจริงที่เลี่ยงไม่ได้เลย ซึ่งจะการรักษาความปลอดภัยทางด้าน IT นั้นจะต้องอาศัยทั้ง ศาสาตร์และศิลป์
การรักษาความปลอดภัยไม่ใช่แค่การติดตั้งระบบที่รักษาความปลอดภัยที่ดีที่สุดในโลก แต่จะต้องร่วมถึงการวิเคราะห์และบริหารความเสี่ยง (Risk Management) ที่เกิดจากภับคุกคาม (Threat) และช่องโหว่หรือจุดอ่อน (Vulnerability) ขององค์กร กำหนดนโยบายและบังคับใช้นโยบาย การเฝ้าระวังเหตุการณ์อยู่ตลอดเวลา
การรักษาความปลอดภัยสารสนเทศ นั้นหมายถึง การทำให้ความรู้ ความคิด ข่าวสารและข้อเท็จจริง รอดพ้นจากอันตราย หรือเรียกให้ดู หล่อขึ้น ก็คือ มาตรการใช้สำหรับการป้องกันผู้ที่ไม่ได้รับอนุญาตในการเข้าถึง ลบ แก้ไขหรือขัดขวางไม่ให้ผู้ที่ได้รับอนุญาตใช้ความรู้ แนวคิด และข้อเท็จจริง
ดังที่คำกล่าวไว้ว่า "ถึงแม้ว่าเราจะสามารถสร้างกำแพงเมืองที่ใหญ่และแข็งแรงแค่ไหน แต่ศัตรูก็อาจสามารถสร้างปืนใหญ่ที่สามารถทำลายกำแพงนี้ได้ลงอย่างง่ายดาย หรือถึงแม้ว่าเราจะมีไฟล์วอล์ที่มีประสิทธิภาพดีมาก แต่ผู้ที่โจมตีนั้นอาจอยู่ภายในเครือข่ายก็ได้ " เป็นต้น การรักษาความปลอดภัยนั้นจึงเป็นการบริหารความเสี่ยงให้อยู่ในระดับที่ยอมรับได้.
องค์ประกอบหลักของการรักษาความปลอดภัยของข้อมูล คือ จะวิเคราะห์จากคุณสมบัติ 3 ด้านดังนี้
- ความลับ ( Confidentiality) คือการทำให้ข้อมูลเข้าถึงหรือเปิดเผยได้เฉพาะผู้ที่ได้รับอนุญาตเท่านั้น
- ความถูกต้อง ( Integrity ) คือการรักษาความคงสภาพข้อมูลจากแหล่งที่มา โดยไม่ได้รับการแก้ไขจากผู้ที่ไม่ได้รับอนุญาต
- ความพร้อมใช้งาน ( Availability ) คือ การทำให้ผู้ที่ได้รับอนุญาตเข้าถึงข้อมูลได้เมื่อต้องการ
ความลับ ( Confidentiality )
- การเข้ารหัสข้อมูล (Cryptography หรือ Encryption) ในระหว่างการส่งข้อมูลไปในเครือข่ายอื่นที่ไม่มีความปลอดภัย
- กลไกการควบคุมการเข้าถึง ( Access Control ) ซึ่งกลไกนี้จะพิสูจน์ตัวตนของผู้เข้าระบบว่ามีได้รับอนุญาตหรือไม่
แต่ปัญหาก็คือการรักษาซึ่งคีย์หรือรหัสผ่านนั้นเอง จะต้องมีการจัดการอย่างอื่นๆ ร่วมด้วย
การรักษาความลับนั้น "ถ้าทำให้ไม่รู้ว่าข้อมูลนั้นมีอยู่ก็จะไม่มีความพยายามที่จะขโมยข้อมูลนั้นเกิดขึ้น"
ความถูกต้อง ( Integrity )
จะประกอบส่วน 2 ส่วนคือ การป้องกัน (Prevention) , การตรวจสอบ (Detection) ซึ่งทั้งสองนี้เพื่อรักษาความถูกต้องของข้อมูล
การป้องกัน (Prevention) จะมีความพยายามทำให้ข้อมูลไม่ถูกต้องอยู่ 2 แบบ คือ
1. ความพยายามที่จะแก้ไขหรือเปลี่ยนแปลงข้อมูลโดยผู้ที่พยายามนั้นไม่ได้รับอนุญาต
เช่น พนักงานคนหนึ่งเจาะระบบและเข้าไปแก้ไขโบนัสตัวเอง เป็นต้น ซึ่งวิธีป้องกันโดยการใช้ Access control (การควบคุมการเข้าถีง) และ Authentication (การพิสูจน์ตัวตน)
2. ความพยายามจากผู้ที่ได้รับอนุญาตพยายามที่จะแก้ไขนอกเหนือจากขอบเขตที่ตัวเองมีสิทธิ์
เช่น พนักงานบัญชีแก้ไขข้อมูลการเงินโดยโอนเงินเข้าบัญชีตัวเองแล้วพยายามปกปิด เป็นต้น ซึ่งวิธีการป้องกันการใช้ Authorization (การตรวจสอบสิทธิ์) และ เทคนิคอื่นๆ ควบคู่กันไป
การตรวจสอบ (Detection) เป็นการตรวจสอบว่าข้อมูลยังคงมีความเชื่อถือหรือไม่? ซึ่งกระบวนการนี้จะต้องมีการตรวจสอบ วิเคราะห์เหตุการณ์ที่เกิดขึ้นกับระบบ เช่นว่า File นี้มีการแก้ไขแล้วจะรายงานแจ้งว่า File นี้เปลี่ยนแปลงจากเดิม เป็นต้น
ความแตกต่างและความเข้าใจ
- การรักษาความลับ ( Confidentiality) ของข้อมูลเป็นการตรวจสอบว่าข้อมูลถูกขโมยหรือไม่?
- การรักษาความถูกต้อง คือการรักษาความถูกต้องของข้อมูลและการรักษาความน่าเชื่อถือของข้อมูลด้วยจากแหล่งที่มา (ข้อมูลได้มาอย่างไรและมาจากใคร)
ความพร้อมใช้งาน ( Availability ) เป็นส่วนหนึ่งของความมั่นคงของระบบ (Reliability)
"ระบบไม่พร้อมใช้งานก็จะแย่พอๆ กับการที่ไม่มีระบบนั้นอยู่เลย" ในส่วนนี้ที่นิยมใช้กันจะใช้เทคนิคการทำ Load Balancing ซึ่งความพยายามที่จะทำลายความพร้อมใช้งานนี้ จะเรียกว่า การโจมตีแบบปฏิเสธการใช้บริการ (Denial of Service : DoS) ซึ่งการปฏิเสธการให้บริการมีเหตุการณ์อยู่ 2 กรณีคือ เกิดจากการโจมตี และ เกิดจากเหตุการณ์การใช้งานปกติ (คนขอใช้บริการเกินความสามารถของระบบ) ในการที่ีจะตัดสินใจจะใช้หลักทางสถิติช่วยวิเคราะห์หาเหตุผลในการหยุดให้บริการ นะครับ
No comments:
Post a Comment