ระบบความปลอดภัย(Seccurity)ของระบบสารสนเทศ

แนวคิดการรักษาความปลอดภัย(Seccurity)
1.ความลับ

2.ความสมบูรณ์

3.ความพร้อมใช้

4.ความถูกต้องแม่นยำ

5.เป็นของแท้

6.ความเป็นส่วนตัว

การรักษาความปลอดภัยในองค์กร

        สมัยก่อนอาชญากรคอมพิวเตอร์อาจโจมตีแค่เครื่องไมโครคอมพิวเตอร์ด้วยไวรัสและ เวิร์มเสียหายหรือแค่เครื่องลูกข่ายทำงานไม้ได้หรือทำงานช้าลง แต่ยุคสมัยนี้รูปแบบการถูกโจมตีมีแนวโน้มรุนแรงมากขึ้น ทั้งสปายแวร์ พิชชิ่งที่มุ่งโจมตีสิ่งสงวนสำคัญที่สุดขององค์กรคือข้อมูล เครื่องแม่ข่าย และระบบสื่อสารข้อมูล เสียหายถึงขั้นระบบ IT หยุดชะงักทำงานไม่ได้ ทำให้องค์กรต้องจ่ายค่าคุ้มครองความปลอดภัยคอมพิวเตอร์สูงขึ้นซึ่งนอกจากการกระทำของน้ำมือมนุษย์แล้ว ระบบ IT ในองค์กร ยังสามารถเกิดความเสียหายจากสาเหตุอื่นๆ ด้วยเช่นกันอาทิ เกิดความเสียหายเนื่องจากภัยธรรมชาติ เช่นการเกิดพายุ สึนามิ ฟ้าผ่า ไฟใหม้ เป็นต้น และยังอาจเกิดจากความเสียหายเนื่องจากขาดระบบป้องกัน ทางกายภาพที่ดี (Physical Security)นี้เมื่อได้รู้ถึงต้นเหตุของปัญหาแล้ว ทีนี้ลองมาพูดถึงแนวทางในการรักษา ความปลอดภัยให้กับระบบ IT  ซึ่งสามารถแบ่งออกเป็น 3 แนวทาง 

อันดับแรก คือ การวางแผนรักษาความปลอดภัยในเชิงกายภาพ (Physical Planning Security)เกี่ยวกับสภาพต่าง ๆ ที่เกี่ยวข้องกับเครื่องคอมพิวเตอร์ ได้แก่ การจัดการดูแลและป้องกันในส่วนของอาคารสถานที่ ทำเลที่ตั้งศูนย์คอมพิวเตอร์ หรือห้องคอมพิวเตอร์ การจัดการดูแลและป้องกันภายในศูนย์คอมพิวเตอร์ การจัดการดูแลและป้องกันเกี่ยวกับระบบสภาพแวดล้อม การจัดการดูแลและป้องกันในส่วนของฮาร์ดแวร์ จัดการดูแลอุปกรณ์เอง เรียกบริษัทผู้ขาย หรือบริษัทอื่นดูแลให้เป็นครั้ง ๆ ไป หรือทำสัญญาการบำรุงรักษาอุปกรณ์เป็นรายปี 

 อันดับสอง ส่วนการวางแผนรักษาความปลอดภัยในเชิงตรรกะ (Logical Planning Security) เป็นการรักษาความปลอดภัยก่อนผ่านข้อมูลเข้าสู่ระบบสารสนเทศ คือการกำหนดสิทธิผู้ใช้ มีรหัสผ่าน การรักษาความปลอดภัยในการใช้ข้อมูลในระบบสารสนเทศ หรือกำหนดสิทธิของตัวข้อมูลในระดับต่าง ๆ และการรักษาความปลอดภัยในการรับส่งข้อมูล – หรือการเข้ารหัสข้อมูล

ซึ่งในอันดับที่สาม การวางแผนป้องกันความเสียหาย (Disaster Planning Security) มีวิธีการป้องกันดังนี้

1.                  การจัดเตรียมศูนย์คอมพิวเตอร์สำรอง

2.                  การจัดเตรียมข้อมูลสำรอง

3.                  การจัดเตรียมเรื่องการกู้ระบบหลังจากเกิดการเสียหายขึ้น

4.                  การวางแผนป้องกันไวรัสคอมพิวเตอร์

การรักษาความปลอดภัยบนเครือข่ายอินเทอร์เน็ต

Firewall มีหน้าที่ป้องกันการโจมตีหรือสิ่งไม่พึงประสงค์บุกรุคเข้าสู่ระบบ Network ซึ่งเกี่ยวกับการรักษาความปลอดภัยภายในระบบ Network เป็นการป้องกันโดยใช้ระบบของ Firewall กำหนดกฏเกณฑ์ควบคุมการเข้า-ออก หรือควบคุมการรับ-ส่งข้อมูล ในระบบ Network

ปัจจุบันการเข้าถึงข้อมูลสำคัญในองค์กรสามารถเข้าถึงได้โดยผ่านเครือข่ายต่างๆเช่น Internet หรือเครือข่ายส่วนตรัวเสมือน นอกจากบุคคลากรในองค์กรแล้วผู้ไม่หวังดีต่างๆย่อมต้องการลักลอบหรือโจมตีเพื่อให้เกิดความเสียหายได้เช่นกันดังนั้น Firewall จึงมีบทบาทมากขึ้นในปัจจุบันโดยหน้าที่ของ Firewall ในปัจจุบันได้มีการพัฒนาและรวมเอาความสามารถหลายๆอย่างเข้ามาด้วย ตัวอย่างหน้าที่ ที่สามารถทำได้เช่น

1.            ป้องกันการโจมตีด้วยยิง Traffic

2.            ป้องกันไม่ให้เข้าถึงช่องโหว่ที่อาจมีขึ้นที่ server ต่างๆ

3.            ป้องกันไม่ให้ข้อมูลรั่วไหลจากบุคคลากรภายใน

4.            ควบคุมการใช้งานเฉพาะโปรแกรมที่ต้องการ

5.            เก็บ log เพื่อพิสูจน์ตัวตน

Log server เนื่องจากโลก Internet เป็นสิ่งที่สามารถปลอมแปลงชื่อหรือตัวตนแยกจากโลกความเป็นจริงได้ ทำให้เกิดปัญหาไม่สามารถหาผู้กระทำความผิดได้ในกรณีที่เกิดปัญหาต่างๆ จึงได้จัดตั้ง พรบ. ว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ. 2550 ที่ได้เล็งเห็นถึงโทษที่เกิดจากภัยคุกคาม บนระบบเครือข่ายคอมพิวเตอร์ ซึ่งทุกองค์กรจะต้องมีการเก็บ log ที่สามารถตรวจสอบและโยงไปสู่ผู้กระทำผิดได้

VPN ในอดีตการเชื่อต่อสาขาแต่ล่ะที่เข้าด้วยกันจำเป็นต้องใช้งบประมาณเป็นจำนวนมาก ในปัจจุบันมีเทคโนโลยี VPN เข้ามาช่วยทำให้เสมือนแต่ล่ะสาขาเชื่อมต่อเข้าด้วยกัน สิ่งที่ VPN ทำนั้นจะสร้างท่อเชื่อมกันระหว่างสองสาขาและส่งข้อมูลผ่านท่อที่สร้างขึ้น client ที่จะใช้งานข้ามสาขาไม่จำเป็นต้องปรับแต่งเพื่อให้ใช้งาน vpn และสามารถที่จะใช้งานได้ทันทีที่มีการเชื่อมต่อ vpn media หนึ่งที่รองรับการทำงานด้วย vpn คือ internet

Web Filtering เป็นบริการที่ช่วยให้ธุรกิจหรือองค์กรควบคุมพฤติกรรมในการเข้าใช้อินเทอร์เน็ตจากในองค์กร และให้เหมาะสมกับนโยบายและลดค่าใช้จ่ายที่เกิดขึ้นจากการใช้งานที่ไม่จำเป็นต่อองค์กรและไม่สิ้นเปลืองค่าใช้จ่ายกับ Internet bandwidth ในการใช้งานเว็บไซต์ที่ไม่จำเป็น หรือในกรณีที่ต้องการควบคุมการใช้งานอินเทอร์เน็ตให้เหมาะกับกลุ่มผู้ใช้ในองค์กร

ทั้งเป็นการประหยัดเวลาของผู้ดูแลระบบ หรือ IT Manager ในการ add block list ที่ router หรือ proxy ซึ่งจะช่วยกรองและบล็อคเว็บไซต์ที่ไม่เหมาะสม หรือไม่ต้องการให้เข้าไปใช้งาน ยกตัวอย่างเช่น องค์กรต้องการบล็อคเว็บไซต์ที่ไม่พึงประสงค์ เพื่อการบริหารจัดการ การใช้ช่องสัญญาณอินเทอร์เน็ตภายในองค์กรให้มีประสิทธิภาพมากยิ่งขึ้น

ANTI-VIRUS (Virus) หรือ ไวรัสคอมพิวเตอร์ ถือเป็นปัญหาหนึ่งที่สร้างความเสียหายมากที่สุดให้กับผู้ใช้คอมพิวเตอร์ ตั้งแต่ระดับ PC จนถึง ระดับ Network ที่มีขนาดใหญ่ โดยมีการโจมตีแบบ phishing ไวรัส สแปม และอื่นๆ อีกมากมายซึ่งทำให้เกิดผลกระทบและสร้างความเสียหายให้กับคอมพิวเตอรืส่วนบุคคลและผู้ประกอบธุรกิจ จึงควรมีการรักษาความปลอดภัย ที่จะช่วยปกป้องข้อมูลและระบบของคุณให้ปลอดภัยจากการคุกคามบนอินเทอร์เน็ต

การรักษาความปลอดภัยของข้อมูลส่วนบุคคล

ตัวอย่าง  Citibank Thailand

Cookies ช่วยให้ผู้ใช้งานเว็บสามารถเรียกดูข้อมูลและใช้งานเว็บได้สะดวกยิ่งขึ้น

Cookie คือ ข้อมูลซึ่งเว็บเซิร์ฟเวอร์จัดเก็บไว้ที่โปรแกรมสำหรับเรียกดูเว็บ (Web Browser) มีประโยชน์สำหรับให้เว็บเซิร์ฟเวอร์สามารถ เรียกใช้ข้อมูลเหล่านั้นได้ในภายหลัง Cookie จะถูกติดตั้งในขณะที่ท่านเรียกดูเว็บ หลังจากที่ท่านเลิกใช้งานโปรแกรมแล้ว cookie บางตัวจะถูกจัดเก็บไว้ที่เครื่องคอมพิวเตอร์ในรูปแบบไฟล์ หรือ อาจจะหมดอายุ หรือไม่มีการจัดเก็บ โดยที่ Cookie ทุกตัวมีวันหมดอายุ

Cookie นั้นติดตั้งบนเครื่องคอมพิวเตอร์แต่ละเครื่อง ซึ่งถ้าท่านเปลี่ยนเครื่องคอมพิวเตอร์ ก็จะไ่ม่มี cookie จากเครื่องเดิมอยู่หมดอายุ

การใช้งาน Cookies บนเว็บซิตี้แบงก์

Cookies ถูกนำมาใช้สำหรับวัตถุประสงค์ต่างๆ เช่น รักษาสถานะ Session ของผู้ใช้งาน, รวบรวมข้อมูลเกี่ยวกับการใช้งานเว็บไซต์ของเรา เพื่อการวิจัยหรืออื่นๆ, จัดเก็บข้อมูลความชอบของท่านเกี่ยวกับการเรียกดูข้อมูลหรือโปรโมชั่นการตลาดต่างๆ, หรือ เก็บรหัสผู้ใช้งาน เพื่อที่ท่านไม่จำเป็นจะต้องป้อนข้อมูลใหม่ทุกครั้งที่เข้าใช้งาน Cookies ที่ใช้จะจัดเก็บเฉพาะข้อมูลที่เกี่ยวข้องกับการใช้งานเว็บไซต์เราเท่านั้น ไม่่มีการจัดเก็บการใช้งานอินเทอร์เน็ตอื่นๆ ของท่าน Cookiesที่ใช้จะไม่สามารถอ่านหรือใช้ร่วมกับเว็บไซต์นอกเครือซิตี้ได้ อย่างไรก็ตามอาจมีการใช้ข้อมูลที่รวบรวมได้ร่วมกับบริษัทอื่นในเครือซิตี้ โดยทั่วไปแล้ว cookie ที่ใช้จะไม่รวบรวมข้อมูลส่วนตัวของท่าน ยกเว้นในกรณีที่ท่านตกลงยินยอมใช้งานบางฟังก์ชั่นซึ่งมี้การใช้ Cookie ร่วมกับข้อมูลส่วนตัวอื่นๆ ที่ท่านใ้ห้ (เช่น อีเมล์) ทั้งนี้ก็เพื่อให้ท่านได้รับข้อมูลโปรโมชั่นที่คัดสรรให้เหมาะสมกับความต้องการของท่าน

Cookie Filters:

ท่านสามารถเลือกรับการติดตั้ง Cookie และ ระบุเงื่อนไขในการรับได้ โดยตั้งค่าในตัวเลือกของโปรแกรมเรียกดูเว็บของท่าน อย่างไรก็ตาม ในกรณีที่ท่านเลือกที่จะไม่รับ Cookies ท่านอาจจะไม่สามารถใช้งานฟังก์ชั่นออนไลน์บางอย่างได้

การรักษาความปลอดภัย

Cookies จะไม่ถูกนำมาใช้ในการดึงข้อมูลอื่นๆจากฮาร์ดดิสก์, ขโมยข้อมูลอีเมล์ หรือ ข้อมูลส่วนตัวอื่นๆของท่าน วิธีเดียวที่ข้อมูลส่วนตัวเหล่านั้นจะอยู่ในไฟล์ cookie คือ ท่านป้อนข้อมูลเหล่านั้นกับเว็บเซิร์ฟเวอร์ โดยที่ cookie นั้นจะสามารถเรียกอ่านได้จากเว็บเซิร์ฟเวอร์ที่สร้าง cookie นั้นเท่านั้น เซิร์ฟเวอร์แปลกปลอมอื่นๆ จะไม่สามารถเรียกดูหรือขโมยข้อมูลใน cookie ได้

หมายเหตุ ไวรัสคอมพิวเตอร์ไม่ได้ถูกส่งต่อเนื่องจากการติดตั้งหรือใช้งาน cookies

ที่มา : http://th.jobsdb.com/TH/EN/Resources/JobSeekerArticle/technical_editor6.htm?ID=799

          http://www.optimized.co.th/th/products/internet_security.php

          http://www.citibank.co.th/th/footer/Privacy.htm