ความเสี่ยงของระบบสารสนเทศ หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสีย ทำลาย Hardware, Software ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลระบบข้อมูล
ตัวอย่างความเสี่ยงของระบบสารสนเทศ เช่น การเปิด Website ต่างๆผ่านคอมพิวเตอร์ของบริษัท, การเอา Thumb drive ส่วนตัวมาใช้กับคอมพิวเตอร์ของบริษัท ซึ่งผู้ที่จะทำให้เกิดความเสี่ยงแก่องค์กรส่วนมากนั้นเป็นกลุ่ม generation Y ซึ่งมีความรู้ด้านเทคโนโลยีมากกว่า
ตัวอย่างความเสี่ยงของระบบสารสนเทศ เช่น การเปิด Website ต่างๆผ่านคอมพิวเตอร์ของบริษัท, การเอา Thumb drive ส่วนตัวมาใช้กับคอมพิวเตอร์ของบริษัท ซึ่งผู้ที่จะทำให้เกิดความเสี่ยงแก่องค์กรส่วนมากนั้นเป็นกลุ่ม generation Y ซึ่งมีความรู้ด้านเทคโนโลยีมากกว่า
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
- แฮกเกอร์ (Hacker) เป็นกลุ่มคนที่มีความเชี่ยวชาญในการเจาะข้อมูล
- แครกเกอร์ (Cracker) เป็นกลุ่มคนที่เจาะระบบเพื่อตรวจ สอบความปลอดภัยของระบบ และนำไปเป็นแนวทางในการพัฒนาและป้องกันระบบต่อไป
- ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies) คนรุ่นใหม่ที่พึ่งจะเริ่มเจาะระบบ หรือสร้างไวรัส
- ผู้สอดแนม (Spies) คือคนที่ดักดูข้อมูลต่างๆ ระหว่างการทำงานของคนอื่น
- เจ้าหน้าที่ขององค์กร (Employees) คือพนักงานขององค์กรที่อาจนำไวรัสมาสู่คอมพิวเตอร์โดยไม่ตั้งใจ โดยผ่านทางการเข้า Website หรือ Thumb drive ที่นำมาใช้
- ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyberterrorist) คือคนที่สร้างกระแสเพื่อให้เกิดเรื่องราวขนาดใหญ่ โดยใช้คอมพิวเตอร์และเครือข่ายอินเทอร์เน็ตเป็นตัวแพร่กระจาย
ประเภทของความเสี่ยงของระบบสารสนเทศ
1.การโจมตีระบบเครือข่าย Network attack
- การโจมตีพื้นฐาน เช่น กลลวงทางสังคม Social engineering และการรื้อค้นเอกสารทางคอม จากที่ทิ้งขยะ Dumpster Diving
- การโจมตีด้านคุณลักษณะ Identity Attacks เช่น DNS Spoofing และ email spoofing >> ส่งไวรัสจากตัวเครื่องเรา ไปให้คนอื่น (Email Spoofing) อย่ากดlink ในemail/ หลอกล่อให้เข้าไปในเว็บที่หน้าเว็บคล้ายของจริงแล้วเอาข้อมูล/ IP Spoofing ถ้าเราอยากจะส่งเมลไปหรือ เข้าที่หนึ่ง แต่มันส่งเมลหรือเราเข้าไปที่อื่น
- การปฎิเสธการให้บริการ Denial of Service หรือ Dos เช่น Distrivuted denial of service (DdoS) HTTP Flood Denial of Service (DoSHTTP) >> กด request เยอะๆให้ระบบล่ม, Distrivuted denial –of –service ถ้ามีไวรัสนี้ฝังอยู่ ถ้าเรา online อยู่ให้คอมส่ง request ได้เว็บหนึ่งอัตโนมัติ (Zombi)
- การโจมด้วยมัลแวร์ Malware
2.การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access) การใช้คอมหรือระบบเครือ ข่ายดยไม่มีสิทธิ >>การเข้าระบบของ banking ไปขโมยข้อมูลลูกค้า หรือใช้คอมผิดวัตถุประสงค์ >> เอาคอมมหาลัยโหลดหนัง เอาคอมบริษัทเล่น fb
3.การขโมย(Theft) >>ฮาร์ดแวร์และการทำลายฮาร์ดแวร์/ขโมยซอฟต์แวร์/ขโมยข้อมูลที่เป็น ความลับส่วนบุคคล
1.การโจมตีระบบเครือข่าย Network attack
- การโจมตีพื้นฐาน เช่น กลลวงทางสังคม Social engineering และการรื้อค้นเอกสารทางคอม จากที่ทิ้งขยะ Dumpster Diving
- การโจมตีด้านคุณลักษณะ Identity Attacks เช่น DNS Spoofing และ email spoofing >> ส่งไวรัสจากตัวเครื่องเรา ไปให้คนอื่น (Email Spoofing) อย่ากดlink ในemail/ หลอกล่อให้เข้าไปในเว็บที่หน้าเว็บคล้ายของจริงแล้วเอาข้อมูล/ IP Spoofing ถ้าเราอยากจะส่งเมลไปหรือ เข้าที่หนึ่ง แต่มันส่งเมลหรือเราเข้าไปที่อื่น
- การปฎิเสธการให้บริการ Denial of Service หรือ Dos เช่น Distrivuted denial of service (DdoS) HTTP Flood Denial of Service (DoSHTTP) >> กด request เยอะๆให้ระบบล่ม, Distrivuted denial –of –service ถ้ามีไวรัสนี้ฝังอยู่ ถ้าเรา online อยู่ให้คอมส่ง request ได้เว็บหนึ่งอัตโนมัติ (Zombi)
- การโจมด้วยมัลแวร์ Malware
2.การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access) การใช้คอมหรือระบบเครือ ข่ายดยไม่มีสิทธิ >>การเข้าระบบของ banking ไปขโมยข้อมูลลูกค้า หรือใช้คอมผิดวัตถุประสงค์ >> เอาคอมมหาลัยโหลดหนัง เอาคอมบริษัทเล่น fb
3.การขโมย(Theft) >>ฮาร์ดแวร์และการทำลายฮาร์ดแวร์/ขโมยซอฟต์แวร์/ขโมยข้อมูลที่เป็น ความลับส่วนบุคคล
การรักษาความปลอดภัยของระบบสารสนเทศ
• รักษาความปลอดภัยจากการโจมตีระบบเครือข่าย เช่น ติดตั้งโปรแกรมป้องกันไวรัส, ติดตั้ง Firewall, ติดตั้ง Honeypot (ตั้งระบบไว้ล่อคนที่โจมตีระบบให้ไปตรงนั้น เหมือนเป็นตัวหลอกไว้),ติดตั้ง DMZ เป็น firewall เพื่อป้องกันการโจมตี server
• ควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต เช่น การระบุตัวตน(Identification), พิสูจน์ตัวจริง (Authentication) เช่น พวกรหัสผ่าน, เลขที่บัตรประชาชน
• ควบคุมการขโมย เช่น ทางกายภาพ (ล็อคประตูหน้าต่าง), ใช้ระบบติดตามอุปกรณ์ RTLS :Real Time Location System, ใช้ลักษณะทางกายภาพในการเปิดปิดคอมพิวเตอร์ เช่น ลายนิ้วมือ
• การเข้ารหัส คือกระบวนการแปลงข้อมูลอยู่ในรูปแบบที่คนทั่วไปไม่สามารถอ่านได้ ผู้ที่เกี่ยวข้องเท่านั้นที่จะสามารถอ่านข้อมูลได้ ซึ่งการเข้ารหัสมี 2 แบบคือ
o แบบสมมาตร - คนที่ส่งข้อมูลและรับข้อมูลใช้คีย์ชุดเดียวกันในการแปลงและถอดรหัสข้อความ
o แบบไม่สมมาตร - ส่วนมากเป็นการใช้ระหว่างบริษัทกับลูกค้า โดยบริษัทจะมีคีย์สาธารณะไว้สำหรับลูกค้า เมื่อข้อความส่งมา บริษัทจะมีคีย์ส่วนตัวอีกอันในการถอดข้อความออกมา เช่น พวกบัตรเครดิต, การซื้อสินค้าออนไลน์
• การรักษาความปลอดภัยอื่นๆ เช่น SSL : Secure sockets layer (เป็นการสร้างเครือข่ายชั่วคราวโดยใช้เป็น https แทน http), S-HTTP, VPN
• ควบคุมการล้มเหลวของระบบสารสนเทศ เช่น Surge protector ป้องกันไฟตก, UPS ป้องกันไฟดับ, Disaster Recovery, Business Continuity Planning
• การสำรองข้อมูล
• การรักษาความปลอดภัยของ Wireless LAN
• การควบคุมความล้มเหลวของระบบสารสนเทศ
• รักษาความปลอดภัยจากการโจมตีระบบเครือข่าย เช่น ติดตั้งโปรแกรมป้องกันไวรัส, ติดตั้ง Firewall, ติดตั้ง Honeypot (ตั้งระบบไว้ล่อคนที่โจมตีระบบให้ไปตรงนั้น เหมือนเป็นตัวหลอกไว้),ติดตั้ง DMZ เป็น firewall เพื่อป้องกันการโจมตี server
• ควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต เช่น การระบุตัวตน(Identification), พิสูจน์ตัวจริง (Authentication) เช่น พวกรหัสผ่าน, เลขที่บัตรประชาชน
• ควบคุมการขโมย เช่น ทางกายภาพ (ล็อคประตูหน้าต่าง), ใช้ระบบติดตามอุปกรณ์ RTLS :Real Time Location System, ใช้ลักษณะทางกายภาพในการเปิดปิดคอมพิวเตอร์ เช่น ลายนิ้วมือ
• การเข้ารหัส คือกระบวนการแปลงข้อมูลอยู่ในรูปแบบที่คนทั่วไปไม่สามารถอ่านได้ ผู้ที่เกี่ยวข้องเท่านั้นที่จะสามารถอ่านข้อมูลได้ ซึ่งการเข้ารหัสมี 2 แบบคือ
o แบบสมมาตร - คนที่ส่งข้อมูลและรับข้อมูลใช้คีย์ชุดเดียวกันในการแปลงและถอดรหัสข้อความ
o แบบไม่สมมาตร - ส่วนมากเป็นการใช้ระหว่างบริษัทกับลูกค้า โดยบริษัทจะมีคีย์สาธารณะไว้สำหรับลูกค้า เมื่อข้อความส่งมา บริษัทจะมีคีย์ส่วนตัวอีกอันในการถอดข้อความออกมา เช่น พวกบัตรเครดิต, การซื้อสินค้าออนไลน์
• การรักษาความปลอดภัยอื่นๆ เช่น SSL : Secure sockets layer (เป็นการสร้างเครือข่ายชั่วคราวโดยใช้เป็น https แทน http), S-HTTP, VPN
• ควบคุมการล้มเหลวของระบบสารสนเทศ เช่น Surge protector ป้องกันไฟตก, UPS ป้องกันไฟดับ, Disaster Recovery, Business Continuity Planning
• การสำรองข้อมูล
• การรักษาความปลอดภัยของ Wireless LAN
• การควบคุมความล้มเหลวของระบบสารสนเทศ
จรรยาบรรณทางคอมพิวเตอร์ คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบ สารสนเทศ ซึ่งประกอบด้วย
- การใช้คอมพิวเตอร์และเครือข่ายโดย ไม่ได้รับอนุญาต
- การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์)
- ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ เป็นต้น
- สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights)
- หลักปฏิบัติ (Code of conduct)
- ความเป็นส่วนตัวของสารสนเทศ (Information privacy)
Presentation
1. Data Center
Data center เป็นพื้นที่ที่ใช้จัดวางระบบประมวลผลกลางและระบบเครือข่าย คอมพิวเตอร์ขององค์กร โดยมากผู้ใช้งานหรือลูกค้าจะเชื่อมต่อมาใช้บริการผ่านระบบเครือข่ายที่มาจาก ภายนอก Data Center จึงเปรียบได้กับสมองขององค์กร นั่นเอง
หน้าที่ สำคัญ คือ การรักษาเสถียรภาพของระบบไอทีขององค์กรให้สามารถบริการลูกค้าและบุคลากรของ บริษัทฯอย่างต่อเนื่อง
2. Wireless Power
หรือ ที่เรียกอีกชื่อว่า Wireless energy transfer คือ การส่งผ่านพลังงานไฟฟ้าจากแหล่งพลังงาน (power source) ไปยังแหล่งเก็บไฟฟ้า (electrical load) โดยไม่ผ่านสายไฟฟ้า ซึ่งจะช่วยเพิ่มความสะดวกสบายในชีวิตประจำวันมากขึ้น และยังสามารถช่วยลดค่าใช้จ่ายได้อีกด้วย
นางสาวกาญจนา แซ่พ่าน 5202115068
ไม่มีความคิดเห็น:
แสดงความคิดเห็น