การรักษาความปลอดภัยของระบบสารสนเทศและจรรยาบรรณ
การกระทำที่ก่อให้เกิดการสูญเสียต่อฮาร์ดแวร์ (Hardware) ซอฟต์แวร์ (Software) ข้อมูล สารสนเทศ
ประเภทของความเสี่ยงของระบบสารสนเทศ
- การโจมตีระบบเครือข่าย Network attack
- การโจมตีพื้นฐาน เช่น กลลวงทางสังคม Social engineering และการรื้อค้นเอกสารทางคอมจากที่ทิ้งขยะ Dumpster Diving
- การโจมตีด้านคุณลักษณะ Identity Attacks เช่น DNS Spoofing และ email spoofing ส่งไวรัสจากตัวเครื่องเราไปให้คนอื่น (Email Spoofing) อย่ากดlink ในemail/ หลอกล่อให้เข้าไปในเว็บที่หน้าเว็บคล้ายของจริงแล้วเอาข้อมูล/ IP Spoofing ถ้าเราอยากจะส่งเมลไปหรือเข้าที่หนึ่ง แต่มันส่งเมลหรือเราเข้าไปที่อื่น
- การปฎิเสธการให้บริการ Denial of Service หรือ Dos เช่น Distrivuted denial of service (DdoS) HTTP Flood Denial of Service (DoSHTTP) กด request เยอะๆให้ระบบล่ม, Distrivuted denial of service ถ้ามีไวรัสนี้ฝังอยู่ ถ้าเรา online อยู่ให้คอมส่ง request ได้เว็บหนึ่งอัตโนมัติ (Zombi)
การโจมด้วยมัลแวร์ Malware
- การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access) การใช้คอมหรือระบบเครือข่ายดยไม่มีสิทธิ การเข้าระบบของ banking ไปขโมยข้อมูลลูกค้า หรือใช้คอมผิดวัตถุประสงค์ เอาคอมมหาลัยโหลดหนัง เอาคอมบริษัทเล่น fb
- การขโมย(Theft) ฮาร์ดแวร์และการทำลายฮาร์ดแวร์/ขโมยซอฟต์แวร์/ขโมยข้อมูลที่เป็นความลับส่วนบุคคล
การรักษาความปลอดภัยของระบบสารสนเทศ
การรักษาความปลอดภัยการโจมตีระบบเครือข่าย มีกระบวนการดังนี้
การรักษาความปลอดภัยการโจมตีระบบเครือข่าย มีกระบวนการดังนี้
- ติดตั้งโปรแกรมป้องกันไวรัสและต้องอัพเดตตลอดๆ (จริงๆ weakest link คือคนใช้โปรแกรม)
- ติดตั้งไฟร์วอลล์
- ติดตั้งซอฟแวร์ตรวจจับการบุกรุก ดูว่าคนที่เข้ามาใช้ระบบเป็นใคร ip address อะไร บางทีต้องให้เฉพาะคนเข้ามาได้เท่านั้น
- ติดตั้ง honeypot คือ ตัวหลอกให้คนแฮกหลงเข้าไปแฮกในระบบหลอกแทน
ประเภทของการเข้ารหัส
- การเข้ารหัสแบบสมมาตร ปัญหา คือ การเก็บรักษาคีย์ที่ใช้ในการเข้ารหัสและถอดรหัสซึ่งเป็นคีย์ตัวเดียวกันให้เป็นความลับ นอกจากนี้ผู้ส่งและผู้รับจะมั่นใจได้อย่างไรว่าคีย์ที่แลกเปลี่ยนกันนั้นไม่ถูกเปิดเผยให้ผู้ใดทราบ
- การเข้ารหัสแบบไม่สมมาตร เช่น Amazonมีคีย์ลับเป็นของตัวเอง1คีย์ ที่เป็น Public key แล้วให้คีย์ของลูกค้าแต่ละคนต่างกัน เช่น ใช้บัตรเครดิตเป็นคีย์
จรรยาบรรณ
- คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์) ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ ก๊อบสิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights) หลักปฏิบัติ (Code of conduct) ความเป็นส่วนตัวของสารสนเทศ (Information privacy)
นาย ธรากร หทัยเจริญลาภ 5202113113
ไม่มีความคิดเห็น:
แสดงความคิดเห็น