ระบบสารสนเทศถือเป็นหัวใจสำคัญขององค์กร เนื่องจากองค์กรมีการเก็บข้อมูลของลูกค้าเอาไว้จำนวนมาก ถ้าเกิดข้อมูลลูกค้าสูญหายหรือถูกขโมยไปจะส่งผลเสียต่อองค์กรเป็นอย่างมาก
ความเสี่ยงของระบบสารสนเทศ หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดความสูญเสียหรือทำลายฮาร์ดแวร์ ซอฟต์แวร์ ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ
โอกาสที่จะเกิดความเสียหายในเรื่องของระบบสารสนเทศส่วนมากมักจะมาจากบุคคลในองค์กร เนื่องจากบุคคลในองค์กรมักเป็นผู้ที่รู้ข้อมูลและเรื่องราวภายในองค์กร นอกจากนั้นลักษณะการใช้งานของบุคลากรยังอาจสร้างความเสียหาย เช่น การใช้ USB ที่มีไวรัส ซึ่งอาจทำให้ระบบเกิดความเสียหายได้
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
- Hacker: เป็นกลุ่มคนที่มีความเชี่ยวชาญในการเจาะข้อมูล เพื่อขโมยฐานข้อมูลจากองค์กรต่างๆ
- Cracker: เป็นคนที่เจาะระบบฐานข้อมูลเช่นเดียวกัน แต่เป็นไปเพื่อการสร้างการป้องกันระบบและรักษาความปลอดภัยของระบบให้ดีกว่าเดิม
- Script kiddies: คนรุ่นใหม่ที่พึ่งจะเริ่มเจาะระบบ หรือสร้างไวรัส
- Spies: คนที่ดักดูข้อมูลต่างๆ ระหว่างการทำงานของคนอื่น
- Employee
- Cyberterrorist: คนที่สร้างกระแสเพื่อให้เกิดเรื่องราวขนาดใหญ่ โดยใช้คอมพิวเตอร์และเครือข่ายอินเตอร์เน็ตเป็นตัวแพร่กระจาย
- Cracker: เป็นคนที่เจาะระบบฐานข้อมูลเช่นเดียวกัน แต่เป็นไปเพื่อการสร้างการป้องกันระบบและรักษาความปลอดภัยของระบบให้ดีกว่าเดิม
- Script kiddies: คนรุ่นใหม่ที่พึ่งจะเริ่มเจาะระบบ หรือสร้างไวรัส
- Spies: คนที่ดักดูข้อมูลต่างๆ ระหว่างการทำงานของคนอื่น
- Employee
- Cyberterrorist: คนที่สร้างกระแสเพื่อให้เกิดเรื่องราวขนาดใหญ่ โดยใช้คอมพิวเตอร์และเครือข่ายอินเตอร์เน็ตเป็นตัวแพร่กระจาย
ประเภทของความเสี่ยงของระบบสารสนเทศ
1. การโจมตีระบบเครือข่าย แบ่งออกเป็น
การโจมตีขั้นพื้นฐาน: เป็นการรื้อค้นทั่วไปในคอมพิวเตอร์ของคนอื่น, กลลวงทางสังคม เช่น การโทรศัพท์มาเพื่อหลอกลวง
การโจมตีทางด้านคุณลักษณะ: เป็นการโจมตีโดยเลียนแบบว่าเป็นอีกบุคคลหนึ่ง อาจสร้างหรือปลอมแปลง IP address แล้วส่งข้อมูลเพื่อหลอกลวงผู้อื่น
การปฏิเสธการให้บริการ: เป็นการโจมตีเข้าไปที่ Server จำนวนมากเกินปกติในช่วงเวลาหนึ่ง ทำให้ Server ไม่สามารถที่จะทำงานได้
การโจมตีด้วยมัลแวร์: โปรแกรมที่มุ่งโจมตีคอมพิวเตอร์ ประกอบด้วย ไวรัส เวิร์ม โทรจันฮอร์ส และลอจิกบอร์ม หรือโปรแกรมมุ่งร้ายที่โจมตีความเป็นส่วนตัวของสารสนเทศ เรียกว่าสปายเเวร์
2. การเข้าถึงระบบโดยไม่ได้รับอนุญาต
การใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ ส่วนมากเป็นการใช้คอมพิวเตอร์หรือข้อมูลในคอมพิวเตอร์เพื่อทำกิจกรรมบางอย่างที่ผิดกฎหมาย เช่น การเข้าระบบโอนเงินของธนาคารโดยไม่ได้รับอนุญาต
3. การขโมย
- การขโมย hardware มักอยู่ในรูปการตัดสายเชื่อมต่อระบบคอมพิวเตอร์หรือเครือข่ายอินเตอร์เน็ต
- การขโมย software เช่น การขโมยสื่อจัดเก็บ software การลบโปรแกรมโดยไม่ได้ตั้งใจ รวมถึงการทำสำเนาโปรแกรมอย่างผิดกฎหมาย
- การขโมยสารสนเทศ มักอยู่ในรูปการขโมยความลับส่วนบุคคล
4. ความล้มเหลวของระบบสารสนเทศ
- เสียง (Noise) พวกคลื่นเสียงรบกวนต่างๆ โดยเฉพาะขณะที่ฝนตกทำให้คลื่นโดนแทรกแซง
- แรงดันไฟฟ้าต่ำ
- แรงดันไฟฟ้าสูง
การรักษาความปลอดภัยของระบบสารสนเทศ
1. การรักษาความปลอดภัยการโจมตีระบบเครือข่าย
- ติดตั้งระบบโปรแกรมที่ป้องกันไวรัส และมีการอัพเดทตลอดเวลา
- ติดตั้งไฟล์วอลล์ เป็นซอร์แวร์และฮาร์ทแวร์คอยป้องกันไวรัสหรือสิ่งที่ไม่ดีต่างๆ ไม่ให้เข้าสู่คอมพิวเตอร์
- ติดตั้งซอร์ฟแวร์ตรวจจับการบุกรุก โดยมีการตรวจสอบ IP address ของผู้ที่เข้าใช้งานระบบ
- ติดตั้ง honeypot มีการสร้างระบบไว้ข้างนอก เป็นตัวที่เอาไว้หลอกล่อพวกแฮกเกอร์ที่ต้องการเจาะเข้าระบบ
2. การควบคุมเข้าถึงระบบโดยไม่ได้รับอนุญาต
- การระบุตัวตน
- การพิสูจน์ตัวจริง เช่น รหัสผ่าน ข้อมูลที่ทราบเฉพาะผู้ที่เป็นเจ้าของ
- POLP (Principle of least privilege) ให้ข้อมูลเฉพาะที่พนักงานแต่ละคนจำเป็นต้องใช้เท่านั้น
3. การควบคุมการขโมย
- การควบคุมการเข้าถึงทางกายภาพ เช่น การปิดห้องหรือการปิดหน้าต่าง
- นำระบบ RTLS มาใช้เพื่อระบุสถานที่ที่มีความเสี่ยงสูง
- ควบคุมการเปิดปิดเครื่องด้วยลักษณะทางกายภาพ เช่น ลายนิ้วมือ
- รักษาแผ่นไว้ในสถานที่ที่มีความปลอดภัย
- ในกรณีที่มีโปรแกรมเมอร์ลาออกหรือถูกให้ออก ต้องควบคุมและติดตามโปรแกรมเมอร์ทันที
4. การเข้ารหัส
กระบวนการในการแปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถเข้าไป อ่านได้ให้อยู่ในรูปที่เฉพาะคนที่เกี่ยวข้องเท่านั้นที่สามารถอ่านข้อมูลได้ โดยอาจใช้วิธีการเข้ารหัสแบบสลับตำแหน่ง ประเภทของการเข้ารหัส คือ
- การเข้ารหัสแบบสมมาตร คนที่ส่งและรับข้อมูลใช้คีย์ชุดเดียวกันในการแปลงและถอดรหัสข้อความ
- การเข้ารหัสแบบไม่สมมาตร ใช้คีย์ 2 ตัว ได้แก่ คีย์สาธารณะและคีย์ส่วนตัว เช่น amazon มีคีย์ข้อ amazon ที่เป็นสาธารณะ และลูกค้าจะมีคีย์ที่เกี่ยวกับบัตรเครดิตที่เป็นส่วนตัว
5. การรักษาความปลอดภัยอื่นๆ
- Secure sockeets layer(SSL) เป็นเว็บเพจที่ขึ้นต้นด้วย https แทนที่จะเป็น http แบบปกติ
- Secure HTTP (S-HTTP)
- Virtual private network (VPN) เป็นเน็ตเวิร์คเสมือนสำหรับผู้ที่มีสิทธิเข้าจึงจะใช้ได้เท่านั้น
6. การควบคุมความล้มเหลวของระบบสารสนเทศ
- ป้องกันแรงดันไฟฟ้าโดยใช้ surge protector
- ป้องกันไฟฟ้าดับ ใช้ UPS
- กรณีระบบสารสนเทศถูกทำลายจนไม่สามารถที่จะให้บริการได้ ต้องจัดทำแผน Disaster Recovery-DR หรือ business continuity planning-BCP
7. การสำรองข้อมูล
8. การรักษาความปลอดภัยของแลนไร้สาย
- ควบคุมการเข้าถึงของผู้ใช้งาน
จรรยาบรรณ
จรรยาบรรณ
หลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย
1. การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
2. การขโมย software
3. ความถูกต้องของสารสนเทศ
4. สิทธิ์ต่อหลักทรัพย์สินทางปัญญา
5. หลักปฏิบัติ
6. ความเป็นส่วนตัวของสารสนเทศ
IT Hype Cycle
DATA center
เป็นพื้นที่ที่ใช้จัดวางระบบข้อมูลขององค์กร มีลักษณะ ดังนี้
- มีเสถียรภาพ ไม่เสียบ่อย ใช้งานได้ตลอด
- ดู downtime, uptime
- ต้องมีความปลอดภัย ป้องกันไวรัสต่างๆ
- ถ้ามีความขัดข้องทางกายภาพต้องแก้ไขได้
- การลงทุนและการดูแลรักษา
- รองรับการขยายตัวในอนาคต เพราะมีเทคโนโลยีสมัยใหม่มาเสมอๆ
เป็นพื้นที่ที่ใช้จัดวางระบบข้อมูลขององค์กร มีลักษณะ ดังนี้
- มีเสถียรภาพ ไม่เสียบ่อย ใช้งานได้ตลอด
- ดู downtime, uptime
- ต้องมีความปลอดภัย ป้องกันไวรัสต่างๆ
- ถ้ามีความขัดข้องทางกายภาพต้องแก้ไขได้
- การลงทุนและการดูแลรักษา
- รองรับการขยายตัวในอนาคต เพราะมีเทคโนโลยีสมัยใหม่มาเสมอๆ
วิธีการใช้งาน
1. Cloud Computing เป็นการฝากข้อมูลบนอินเทอร์เน็ต ซึ่งทำให้ทุกคนสามารถเข้าถึงข้อมูลได้สะดวกมากขึ้น ไม่มีระบบล่ม ติดตั้งได้สะดวก
2. Security- Activity Monitoring เป็นการป้องกันความเสี่ยงที่อาจสร้างความเสียหายให้แก่ข้อมูลขององค์กร สามารถตรวจจับการทำงานต่างๆ ได้
3. Reshaping Data Center มีการปรับปรุงพัฒนารูปแบบของ data center ให้สามารถระบายความร้อนได้ดีขึ้น ใช้พื้นที่น้อยลง
4. Virtualization for Availability ทำให้มีเครื่องเสมือน ทำให้สามารถทำงานได้หลากหลายมากขึ้น ไม่ต้องเสียทรัพยากรในการจัดซื้อดูแลคอมพิวเตอร์อย่างเปล่าประโยชน์
2. Security- Activity Monitoring เป็นการป้องกันความเสี่ยงที่อาจสร้างความเสียหายให้แก่ข้อมูลขององค์กร สามารถตรวจจับการทำงานต่างๆ ได้
3. Reshaping Data Center มีการปรับปรุงพัฒนารูปแบบของ data center ให้สามารถระบายความร้อนได้ดีขึ้น ใช้พื้นที่น้อยลง
4. Virtualization for Availability ทำให้มีเครื่องเสมือน ทำให้สามารถทำงานได้หลากหลายมากขึ้น ไม่ต้องเสียทรัพยากรในการจัดซื้อดูแลคอมพิวเตอร์อย่างเปล่าประโยชน์
การออกแบบ data center
1. Environmental Control ดูระดับอุณหภูมิและความชื้นที่เหมาะสม
2. Electrical Power ต้องทำงานได้ปกติตลอดเวลา ดังนั้นจึงต้องมีระบบไฟฟ้าสำรอง ใช้ในกรณี back up
2. Electrical Power ต้องทำงานได้ปกติตลอดเวลา ดังนั้นจึงต้องมีระบบไฟฟ้าสำรอง ใช้ในกรณี back up
3. Low-Voltage Cable Routing ควรเดินสายไฟฟ้าใต้พื้นดิน
4. Fire Protection เช่น มีอุปกรณ์ในการตรวจจับควัน
5. Security จำกัดคนที่เข้าสู่ data center ได้
6. Energy use ต้องใช้พลังงานมากในการใช้งาน
5. Security จำกัดคนที่เข้าสู่ data center ได้
6. Energy use ต้องใช้พลังงานมากในการใช้งาน
Wireless Power
การส่งผ่านพลังงานโดยไม่ใช้สายเคเบิ้ล
ประโยชน์
- ประหยัดค่าใช้จ่ายในการวางระบบสายไฟ
- สะดวกในการใช้งาน
- ลดผลกระทบต่อสิ่งแวดล้อม
- สะดวกในการใช้งาน
- ลดผลกระทบต่อสิ่งแวดล้อม
แบ่งเป็น 2 ประเภท คือ
1. Electromagnetic Induction เป็นการส่งพลังงานผ่านสนามแม่เหล็ก มี 2 ประเภทคือ Induction และ Resonant Induction
2. Electromagnetic Radiation เป็นการส่งพลังงานระยะไกลผ่านคลื่นวิทยุหรือคลื่นแสง มี 2 ประเภทคือ microwave Method และ LASER Method
MISS MANASSAWEE LIMPASATHEANKUL 5202115415
No comments:
Post a Comment