ความเสี่ยงของระบบสารสนเทศ (Information system risk) คือ เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลาย Hardware, Software ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
- แฮกเกอร์ (Hacker) คือบุคคลที่พยายามเข้าไปในระบบสารสนเทศ มีความเชี่ยวชาญในการเจาะข้อมูลจนถึงระดับที่สามารถถอดหรือเจาะรหัสระบบรักษาความปลอดภัยของเครื่องคอมพิวเตอร์ของคนอื่นได้ โดยมีวัตถุประสงค์ในการทดสอบขีดความสามารถของตนเอง หรือทำในหน้าที่การงานของตนเอง
- แครกเกอร์ (Cracker) คือบุคคลที่ทำอันตรายต่อการรักษาความปลอดภัยของระบบสารสนเทศโดยมีวัตถุประสงค์เพื่อบุกรุกระบบคอมพิวเตอร์คนอื่นโดยผิดกฎหมายและเพื่อทำลายหรือเอาข้อมูลไปใช้ส่วนตัว
- ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies) คือบุคคลที่ต้องการทำอันตรายระบบรักษาความปลอดภัยแต่ยังไม่มีทักษะทางด้านคอมพิวเตอร์มากนักจึงใช้ซอฟท์แวร์ในการเป็นเครื่องมือเพื่อช่วยในการทำลาย
- ผู้สอดแนม (Spies) คือบุคคลที่ถูกจ้างเพื่อเจาะระบบสารสนเทศและขโมยข้อมูล มักมีทักษะทางคอมพิวเตอร์สูง โดยมีเป้าหมายของระบบที่ต้องการเจาะอย่างชัดเจน บางครั้งอาจทำไปตามการว่าจ้างของบริษัทคู่แข่งเพื่อล้วงความลับข้อมูลทางการแข่งขันที่สำคัญ
- เจ้าหน้าที่ขององค์กร (Employees) คือเจ้าหน้าที่ขององค์กรเองที่เจาะเข้าสู่ระบบข้อมูลเพื่อแสดงให้เห็นว่าระบบยังคงมีจุดอ่อนอยู่ เป็นประโยชน์เพื่อนำไปพัฒนาต่อไป หรืออาจนำไวรัสมาสู่คอมพิวเตอร์โดยไม่ตั้งใจ
- ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyber terrorist) คนที่สร้างกระแสเพื่อให้เกิดเรื่องราวขนาดใหญ่ โดยใช้คอมพิวเตอร์และเครือข่ายอินเทอร์เน็ตเป็นตัวแพร่กระจาย ใช้ความเชื่อของตนเองในการปรับเปลี่ยนข้อมูลสารสนเทศ หรือการทำให้ระบบสารสนเทศ ปฏิเสธการให้บริการกับผู้ใช้ที่มีสิทธิในการใช้ระบบอย่างถูกต้อง หรือเจาะเข้าไปในระบบเพื่อทำให้ข้อมูลเสียหายอย่าง
ประเภทของความเสี่ยงของระบบสารสนเทศ
1. การโจมตีระบบเครือข่าย แบ่งออกเป็น
- การโจมตีขั้นพื้นฐาน (Basic Attacks) เช่นการรื้อค้นทั่วไปในคอมพิวเตอร์ของคนอื่น, กลลวงทางสังคม เช่น การโทรศัพท์มาเพื่อหลอกลวง และการรื้อค้นเอกสารทางคอมพิวเตอร์จากที่ทิ้งขยะ
- การโจมตีทางด้านคุณลักษณะ (Identity Attacks) เป็นการโจมตีโดยเลียนแบบว่าเป็นอีกบุคคลหนึ่ง อาจสร้างหรือปลอมแปลง IP address เช่น DNS spoofing และ e-mail spoofing
- การปฏิเสธการให้บริการ (Denial of Service หรือ DoS) เป็นการโจมตีเข้าไปที่ Server จำนวนมากเกินปกติในช่วงเวลาหนึ่ง ทำให้ Server ไม่สามารถทำงานได้
- การโจมตีด้วยมัลแวร์ (Malware) โปรแกรมที่มุ่งโจมตีการปฏิบัติงานของคอมพิวเตอร์ ประกอบด้วย ไวรัส เวิร์ม โทรจันฮอร์ส และลอจิกบอร์ม หรือโปรแกรมมุ่งร้ายที่โจมตีความเป็นส่วนตัวของสารสนเทศ เรียกว่าสปายเเวร์ (Spyware)
2. การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access) การใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ ส่วนมากเป็นการใช้คอมพิวเตอร์หรือข้อมูลในคอมพิวเตอร์เพื่อทำกิจกรรมบางอย่างที่ผิดกฎระเบียบขององค์กรหรือผิดกฎหมาย เช่น การเข้าระบบโอนเงินของธนาคารโดยไม่ได้รับอนุญาต
3. การขโมย (Theft) ได้แก่ การขโมย hardware การขโมย software และการขโมยสารสนเทศที่มีลักษณะเป็นความลับ
4. ความล้มเหลวของระบบสารสนเทศ (System Failure) เช่น เสียง (Noise) พวกคลื่นเสียงรบกวนต่างๆ สัญญาณในการรับและส่งสารสนเทศ แรงดันไฟฟ้าต่ำหรือสูงเกินไป
การรักษาความปลอดภัยของระบบสารสนเทศ
1. การรักษาความปลอดภัยจากการโจมตีระบบเครือข่าย ได้แก่ การติดตั้งโปรแกรมป้องกันไวรัส การติดตั้งไฟร์วอลล์ (Firewall) ติดตั้งซอร์ฟแวร์ตรวจจับการบุกรุก ติดตั้ง honeypot เป็นต้น
2. การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต ได้แก่ การระบุตัวตน การพิสูจน์ตัวจริงโดยการเข้ารหัส การใช้บัตรผ่านที่เป็นบัตรประจำตัว หรือการตรวจสอบโดยกายภาพส่วนบุคคล เป็นต้น
3. การควบคุมการขโมย ได้แก่ การควบคุมการเข้าถึงทางกายภาพ ควบคุมการเปิดปิดเครื่องด้วยลักษณะทางกายภาพ
4. การเข้ารหัส กระบวนการในการแปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถเข้าไป อ่านได้ให้อยู่ในรูปที่เฉพาะคนที่เกี่ยวข้องเท่านั้นที่สามารถอ่านข้อมูลได้
5. การรักษาความปลอดภัยอื่นๆ เช่น Secure Sockets Layer (SSL) โดยเว็บเพจที่ใช้ SSLจะขึ้นต้นด้วย https แทนที่จะเป็น http หรือ Secure HTTP (S-HTTP)
6. การควบคุมความล้มเหลวของระบบสารสนเทศ เช่น การป้องกันแรงดันไฟฟ้าโดยใช้ Surge protector หรือ Surge suppressor และระบบ Uninterruptible power supply (UPS) เมื่อไฟฟ้าขัดข้อง เป็นต้น
7. การสำรองข้อมูล (Data Backup) เพื่อเก็บข้อมูลไว้ต่างหากอีกที่หนึ่งแยกจากสำนักงานหรือที่ทำการหลัก 8. การรักษาความปลอดภัยของแลนไร้สาย (Wireless LAN) ควบคุมการเชื่อมโยงเข้าสู่แลนไร้สายด้วย Service Set Identifier (SSID) หรือกลั่นกรองผู้ใช้งานด้วยการกรอกหมายเลขการ์ดเน็ทเวิร์ก (MAC Addressing Filtering)
จรรยาบรรณ
จรรยาบรรณทางคอมพิวเตอร์ คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย
1. การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
2. การขโมย software (การละเมิดลิขสิทธิ์)
3. ความถูกต้องของสารสนเทศ
4. สิทธิ์ต่อหลักทรัพย์สินทางปัญญา (Intellectual property rights)
5. หลักปฏิบัติ (Code of Conduct)
6. ความเป็นส่วนตัวของสารสนเทศ (Information privacy)
ไม่มีความคิดเห็น:
แสดงความคิดเห็น