Gen1013 chapter 7
Transcript of Gen1013 chapter 7
บทท 7 ความปลอดภยของเทคโนโลยสารสนเทศGEN1013 เทคโนโลย
สารสนเทศ
ความหมายของความปลอดภยของเทคโนโลยสารสนเทศ
กระบวนการทเกยวของกบการปองกนและตรวจสอบการเขาใชงานเทคโนโลยสารสนเทศโดยไมไดรบอนญาต ขนตอนการปองกนจะชวยใหผทใชงานสกดกนไมใหเทคโนโลยสารสนเทศตางๆ ถกเขาใชงานโดยผทไมไดรบสทธ สวนการตรวจสอบจะทำาใหทราบไดวามใครกำาลงพยายามทจะบกรกเขามาในระบบหรอไม การบกรกสำาเรจหรอไม ผบกรกทำาอะไรกบระบบบาง รวม
ทงการปองกนจากภยคกคาม (Threat) ตางๆ
ภยคกคามของเทคโนโลยสารสนเทศ
อาชญากรรมคอมพวเตอรอาชญกรรมคอมพวเตอร (Computer
Crimes) หมายถง การกระทำาทผดตอกฎหมายโดยการใชคอมพวเตอร หรอทำาลายคอมพวเตอรหรอระบบคอมพวเตอรของผอน
อาชญากรรมคอมพวเตอรอาชญากรรมคอมพวเตอร แบงเปน 4
ลกษณะ คอ 1.การเจาะระบบรกษาความปลอดภย ทาง
กายภาพ ไดแก ตวอาคาร อปกรณและสอตางๆ
2.การเจาะเขาไปในระบบสอสาร และการ รกษาความปลอดภยของซอฟตแวรขอมลตางๆ
3.เปนการเจาะเขาสระบบรกษาความปลอดภย ของระบบปฏบตการ(Operating System)
อาชญากรรมคอมพวเตอร4.เปนการเจาะผานระบบรกษาความ
ปลอดภยสวนบคคล เปนชองทางในการกระทำาความผด
อาชญากรคอมพวเตอรคอ ผกระทำาผดกฎหมายโดยใชเทคโนโลย
คอมพวเตอรเปนสวนสำาคญ มการจำาแนกไวดงน
1. พวกหดใหม(Novice) 2. พวกวกลจรต(Deranged persons) 3. เปนกลมทประกอบอาชญากรรมใน
ลกษณะองคกร(Organized crime) 4. พวกมออาชพ(Career)
อาชญากรคอมพวเตอร5. พวกหวพฒนา(Con artists) 6. พวกชางคดชางฝน(Ideologues) 7. พวก Hacker/Cracker8. Script kiddie
รปแบบการกออาชญากรรมคอมพวเตอร
แบงออกเปน 9 ประเภท 1.การขโมยขอมลทางอนเตอรเนต ซงรวม
ถงการขโมยประโยชนในการลกลอบใชบรการ
2.อาชญากรนำาเอาระบบการสอสารมาปกปดความผดของตนเอง
3.การละเมดสทธปลอมแปลงรปแบบ เลยนแบบระบบซอฟตแวรโดยมชอบ
4.ใชคอมพวเตอรแพรภาพ เสยง ลามก อนาจาร และขอมลทไมเหมาะสม
รปแบบการกออาชญากรรมคอมพวเตอร
5.ใชคอมพวเตอรฟอกเงน6.อนธพาลทางคอมพวเตอรทเขาไปกอกวน
ทำาลายระบบสาธารณปโภค เชน ระบบจายนำา จายไป ระบบการจราจร
7.หลอกลวงใหรวมคาขายหรอลงทนปลอม8.แทรกแซงขอมลแลวนำาขอมลนนมาเปน
ประโยชนตอตนโดยมชอบ 9.ใชคอมพวเตอรแอบโอนเงนบญชผอนเขา
บญชตวเอง
วธการประกอบอาชญากรรมทางคอมพวเตอร
1. Data Diddling 2.Trojan Horse 3.Salami Techniques4.Super zapping5.Trap Doors 6.Logic Bombs7.Asynchronous Attack
วธการประกอบอาชญากรรมทางคอมพวเตอร
8.Scavenging9.Data Leakage10.Piggybacking 11.Impersonation12.Wiretapping 13. Simulation and Modeling
ภยคกคามทมตอระบบตางๆ (Computer Threats)
1. ภยตอระบบฮารดแวร (Hardware Security Threats)ภยทคกคามตอระบบ Hardware น สามารถจำาแนกไดเปน 3 กลมใหญๆ ดงนคอ
1.1 ภยทมตอระบบการจายไฟฟา1.2 ภยทเกดจากการทำาลายทาง
กายภาพโดยตรง ตอระบบคอมพวเตอรนนๆ
1.3 ภยจากการลกขโมยโดยตรง
ภยคกคามทมตอระบบตางๆ (Computer Threats)
2. ภยทมตอระบบซอฟตแวร (Software Security Threats) แบงไดเปน 3 พวกใหญๆ คอ
– การลบซอฟตแวร หรอการลบเพยงบางสวน ของซอฟตแวรนนๆ
– การขโมยซอฟตแวร (Software Theft)
– การเปลยนแปลงแกไขซอฟตแวร (Software Modification)
– ขโมยขอมล (Information Leaks)
ภยคกคามทมตอระบบตางๆ (Computer Threats)
3. ภยทมตอระบบขอมล (Data Threats)
– การทขอมลอาจถกเปดเผยโดยมไดรบอนญาต
– การทขอมลอาจถกเปลยนแปลงแกไขเพอผลประโยชน โดยมไดมการตรวจสอบแกไข
– การทขอมลนนถกทำาใหไมสามารถนำามาใชงานได
มลแวร
มลแวร (Malware) ยอมาจาก "Malicious Software" ซงหมายถง โปรแกรมคอมพวเตอรทกชนดทมจด
ประสงครายตอคอมพวเตอรและเครอขาย ทบกรกเขาไปตดอยในระบบคอมพวเตอรโดยไมไดรบความยนยอมจากผใช และ
สรางความเสยหายใหกบระบบคอมพวเตอรนนๆ ซงอาจเกดจากการนำา
เอาดสกทตดไวรสจากเครองหนงไปใชอกเครองหนง หรออาจผานระบบเครอขาย หรอระบบสอสารขอมล ไวรสกอาจแพรระบาดไดเชนกน หรอเปนคำาทใชเรยกโปรแกรมทมจดประสงครายตอ ระบบ
คอมพวเตอรทกชนดแบบรวมๆ
1.ไวรส (Virus)
คอ โปรแกรมคอมพวเตอรประเภทหนงทถกออกแบบมาใหแพรกระจายตวเองจาก
ไฟลหนงไปยงไฟลอนๆ ภายในเครองคอมพวเตอร ไวรสจะแพรกระจายตวเอง
อยางรวดเรวไปยงทกไฟลภายในคอมพวเตอร หรออาจจะทำาใหไฟล
เอกสารตดเชออยางชาๆ แต ไวรสจะไมสามารถแพรกระจายจากเครองหนงไปยงอกเครองหนงไดดวยตวมนเอง โดยทวไปเกดจากการทผใชเปนพาหะ นำาไวรสจาก
เครองหนงไปยงอกเครองหนง
2. เวรม (Worm) หรอหนอนอนเทอรเนต
โปรแกรมทสามารถคดลอกตวเองและสามารถสงตวเองไปยงคอมพวเตอรเครองอนๆ ไดอยางอสระ โดยอาศยอเมลล, ชองโหวของระบบปฏบตการหรอการเชอมตอท
ไมมการปองกน มนจะไมแพรเชอไปตดไฟลอน มกจะสรางความเสยหายใหกบระบบเครอขายและระบบอนเทอรเนต
3. โทรจนฮอรส(Trojan Horse)
โทรจนฮอรส หมายถงโปรแกรมททำาลายระบบคอมพวเตอรโดยแฝงมากบโปรแกรมอน ๆ เชน เกม สกรนเวฟเวอร เปนตน ตองอาศยการหลอกคนใชให
ดาวนโหลดเอาไปใสเครองเองหรอดวยวธอนๆ สงทมนทำาคอเปดโอกาสใหผไมประสงคดเขามาควบคมเครองทตดเชอ
จากระยะไกล
Link หลอกใหผใชดาวนโหลด Trojan
4. Trapdoor หรอ Backdoor
Backdoor เปนรรวในการรกษาความปลอดภยของระบบคอมพวเตอรทผออกแบบหรอผดแลจงใจทงไว มความหมายเดยวกบประตดก (trap door) ซงเปนกลไกลบทาง software หรอ hardware ทใชในการขามผานการควบคมความปลอดภย backdoor จะอนญาตใหมการเขาใชระบบโดยไมผานการตรวจสอบ
5. Bomb
แบงออกไดเปน 2 อยางคอ – Time Bomb คอ โปรแกรมทระใหเวลาท
ตงไวมาถงกอนทจะทำาการปลอยวธการทำารายระบบออกมา
– Logic Bomb คอโปรแกรมทรอใหเหตการณทเหมาะสมอยางหนงตามทถกโปรแกรมไวเกดขนกอน แลวจงจะเรมทำาการโจมตระบบ
6. Rabbit
โปรแกรม Virus พวกหนง ทมลกษณะเดนเฉพาะตวคอ จะสรางตวของมนเองขนมามากๆ ทสดเทาทจะมากได ดวยจดประสงคคอการใชทรพยากรของระบบใหเกอบหมดหรอหมดไปโดยมใหมเหลอไวใชกบงานของโปรแกรมอนๆ เลย
7.โจกแอพพลเคชน
โจกแอพพลเคชนเปนซอฟตแวรทออกแบบเพอสรางความสนกสนาน แตก
ทำาใหเสยเวลาการทำางานของระบบคอมพวเตอร แอพพลเคชนประเภทนม
มานานพรอม ๆ กบการเรมใชคอมพวเตอร เนองจากแอพพลเคชนประเภทนมได
ออกแบบเพอการทำาลาย
8.โฮแอกส (Hoaxes)
โดยทวไปโฮแอกส (Hoaxes) หมายถง โปรแกรมทเขยนขนเพอหลอกใหผใชทำาบางอยางให โดยโฮแอกสจะใชเทคนค
ทางดานวศวกรรมสงคม (Social Engineering) เพอหลอกใหผใชงาน
คอมพวเตอรทำาบางอยางให
9. ฟชชง( Phishing)
ฟชชงคอการฉอโกง ดงเชนรปแบบฟชชงแบบหนงในอกหลายๆรปแบบ ทพยายามหลอกลอใหเหยอจายเงนหรอโอนเงน และมเทคนคหลอกลวงทสมบรณแบบ โดยใชความเชอถอของผคนทวไปทมตอองคกรใหญๆทจดทะเบยนถกตอง ตามกฎหมาย
ฟชชง( Phishing)
ฟชชง( Phishing)
10.สแปม (Spam)
สแปม (Spam) คอ การสงอเมลยงผใชจำานวนมาก โดยมจดประสงคเพอการโฆษณาสนคาหรอบรการ สแปมจดอยในประเภทสงทกอใหเกดความรำาคาญ
11.สปายแวร (Spyware)
บางทกรจกกนในชอ สปายบอท (Spybot) หรอแทรคกงซอฟตแวร
(Tracking software) สปายแวรเปนโปรแกรมทใชบางอยางเพอลวงตาแตทำากจกรรมบางอยางในเครองคอมพวเตอร โดยทไมไดรบความยนยอมจากผใช เชน การเกบขอมลสวนตวของผใช การปรบ
เปลยนเซตตงของบราวเซอร ลดประสทธภาพโดยรวมของคอมพวเตอรไปจนถงการละเมดสทธสวนบคคลของผใช
12.แอดแวร (Adware)
แอดแวร (Adware) เปนโปรแกรมโฆษณาสนคาซงจะเปดปอบอพวนโดวส
แอดแวรสวนใหญจะรวมอยในแอพพลเคชนทใหใชไดฟรและจะฝงตวอย เนองจากไดรบความยนยอมจากผใช แอดแวรจะตดตงกตอเมอผใชไดยนยอมตาม
ขอตกลงเกยวกบลขสทธ
13.อนเทอรเนตคกก (Internet Cookies)
อนเทอรเนตคกก (Internet Cookies) คอ เทกซไฟลทเกบไวทเครอง
คอมพวเตอรของผใชโดยเวบไซตทเขาไปเยยมชม คกกจะเกบขอมลบางอยางทเวบไซตนนใชเมอครงหนาทผใชเขาไป
เยยมชมอกครง ซงสวนใหญจะเปนขอมลทใชบอกวาเปนผใชคนน นอกจากนใน
ไฟลอาจมขอมลอน ๆ กได
ภยคกคามอนๆบนอนเทอรเนต
• Chat Room• Webboard
การรกษาความปลอดภยของเทคโนโลยสารสนเทศ
แนวความคดของการรกษาความปลอดภยระบบคอมพวเตอรจะมเปา
หมายทวไปอย 3 ประการ • เปาหมายแรก คอ ความลบของขอมล
(Data confidentiality) • เปาหมายทสอง คอ ความเชอถอได
ของขอมล (Data integrity) • เปาหมายทสาม การทระบบยงคง
ทำางานอยได (System availability)
วธการสงเกตความปลอดภยของเวบไซต
1.ชอเสยงของเวบไซต2.เวบไซตจะตองสนบสนนระบบ
SSL (Secure Socket Layer)3.เวบไซตควรจะไดรบการรบรอง
เรองความปลอดภย4.นโยบายสงเสรมความมนใจหลง
การขาย
วธปองกนใหปลอดภยจากไวรสคอมพวเตอร
1. ตดการเชอมตอเครอขายกอนการตดตงระบบปฏบตการ
2. ซอฟตแวรทใชงานปลอดภยหรอยง 3.การแชรไฟล และการรบ-สงไฟลตางๆ
4.การสำารองขอมล 5. ตดตามขาวสารตางๆ
ขอหาม/ขอควรปฏบตเพอความปลอดภยขอมลและไกลหางจากไวรส สปายแวร
1. หามเปดไฟลหรอดาวนโหลดไฟลทแนบมากบเมล ทเราไมทราบชอผสงหรอทมาแนชด
2. หามเปดไฟลหรอดาวนโหลดไฟลทแนบมากบเมล ทงทเรารวาสงมาจากเพอนหรอคนรจก
3. หามเปดไฟลหรอดาวนโหลดไฟลทแนบมากบเมล ทเราเหนวาหวขอหรอ subject เมลนนๆ แปลกๆ หรอเปนทนาสงสย
4. ควรลบสแปมเมล หรอเมลลกโซ และไมควรสงตออก
5. เชคทมาทไปของไฟลทจะดาวนโหลดมาจากอนเตอรเนต และควรทำาการแสกน
ไวรสทกครง6. หลกเลยงการดาวนโหลดไฟลจากแหลง
ทมาทไมใชเวบไซต เชน Usenet group, ผานโปรแกรม IRC, Instant
messaging ทเราไมรจก7. หมนอพเดทโปรแกรมปองกนไวรสอยาง
สมำาเสมอ เพราะไวรส สปายแวร มการปรบปรง และเกดใหมอยเสมอ
ขอหาม/ขอควรปฏบตเพอความปลอดภยขอมลและไกลหางจากไวรส สปายแวร
8. หมนทำาการ backup สำารองขอมล สำารองไฟลทสำาคญบอยๆ ซงอาจจะเขยนลง CD,DVD หรอใส External HD สำารอง
กได9. หมนอพเดทวนโดวสหรอระบบปฏบตการ
ทเราใช รวมไปถงโปรแกรมเบราเซอร และโปรแกรมเมลไครเอนต
10. ใหรอบคอบ อยาประมาทในการทำาธรกรรมใดๆผานอนเตอรเนต เพราะเราอาจจะโดนฟชชง หรอโดนดกจบขอมล
สวนตว
ขอหาม/ขอควรปฏบตเพอความปลอดภยขอมลและไกลหางจากไวรส สปายแวร
11. หามเปดขอความ หรอคลกลงคใๆ ทสงผานมาทางโปรแกรมแชท MSN หรอ
โปรแกรมแชทอนๆ ทเราไมรจกทมาหรอคนทสงมาหาเรา
12. ควรเปดการใช Firewall หรอกำาแพงไฟ ซงอาจจะเปนแบบ Hardware Firewall
หรอทเปน Software Firewall ยกตวอยางเชน เปดการใช Firewall ในวนโดวสทกครงทมการตดตอกบเครอ
ขายภายนอก
ขอหาม/ขอควรปฏบตเพอความปลอดภยขอมลและไกลหางจากไวรส สปายแวร
13. หมนเชคแอคเคาทของเราทใชในการทำาธรกรรมทางอนเตอรเนต เชน การจบจาย ซอของผานเนต หรอการจายคา
สาธารณปโภคตางๆ รวมไปถงดรายงาน statement การเขา-ออก ของเงนหรอเครดต เพราะถาหากเกดปญหาใดๆ จะ
ไดแกไขไดทนทวงท
ขอหาม/ขอควรปฏบตเพอความปลอดภยขอมลและไกลหางจากไวรส สปายแวร
1. เปดใชงานซอฟตแวรรกษาความปลอดภยและทำาการอพเดทใหทนสมยอยเสมอ
2. ตดตงผลตภณฑและโซลชนทจะชวยปกปองการใชงานอนเทอรเนตหรอการดาวนโหลดไฟลลงเครองคอมพวเตอร
แบบครบวงจร3. ตรวจสอบใหแนใจวาซอฟตแวรปองกน
ภยทใชวา ครอบคลมการปองกนทงระบบอเมล เครอขายแบบเพยรทเพยร และโปรแกรมแอพพลเคชนการประมวลผลทใชทงหมด
ขอควรปฏบตทวๆ ไป เพอชวยเพมความปลอดภยในการใชงานคอมพวเตอร
4. ปรบใชเทคโนโลยททนสมย 5. ใชเวบเบราวเซอรเวอรชนลาสดและทำาการตดตงอพเดทความปลอดภยเปน
ประจำา 6. ใหเลอกใชปลก-อนเวบเบราวเซอรทไมม
การใชงานสครปต7. ตรวจสอบกบผใหบรการอนเทอรเนต
(ISP) ทใชบรการอยวาระบบเครอขายของผใหบรการนนมระบบปองกนมลแวร
หรอไม
ขอควรปฏบตทวๆ ไป เพอชวยเพมความปลอดภยในการใชงานคอมพวเตอร
8.ในกรณทใชระบบปฏบตการวนโดวของไมโครซอฟต ใหทำาการอพเดทเปน
ประจำา9. ตดตงใชงานโปรแกรมไฟรวอลล และ
ทำาการตรวจสอบและอพเดทโปรแกรมอยางสมำาเสมอ
10. ตรวจสอบใหแนใจวาโซลชนหรอซอฟตแวรรกษาความปลอดภยทใชงานอยไดอพเดทฐานขอมลททนสมยอย
เสมอ
ขอควรปฏบตทวๆ ไป เพอชวยเพมความปลอดภยในการใชงานคอมพวเตอร
1. ตรวจสอบใหแนใจวาใชงานโปรแกรมปองกนสแปมสำาหรบแตละทอยอเมลทใชงานอย
2.ใหระมดระวงอเมลทไดรบจากผสงททานไมรจกหรอไม คนเคย
3. หากทานไดรบอเมลทนาสงสย ใหทำาการรายงานหรอ แจงใหกบผทมหนาทดหรอรบผดชอบระบบอเมลทราบ ในทนท เพอทำาการตรวจสอบ
ขอควรปฏบต ทชวยเพมความปลอดภยในการใชงานระบบอเมล
4. กอนทำาการเปดไฟลทแนบมากบอเมลใหทำาการสแกนดวยโปรแกรมปองกนไวรสกอน เสมอ และหากมการสงไฮเปอรลงค
มากบอเมลถาเปนไปไดไมควรทำาการคลกลงคดง กลาว แตใหวธการพมพย
อารแอลของลงคในเวบเบราว-เซอรแทน5.ใหระลกไวเสมอและอยาหลงเชออเมลท
รองขอขอมลเกยวกบรายละเอยด บญชธนาคาร บตรเครดต หรอขอมลสวนตว
อนๆ
ขอควรปฏบต ทชวยเพมความปลอดภยในการใชงานระบบอเมล
6. ไมควรทำาการสงอเมลทมเนอหาหรอขอมลเกยวกบการเงนของทานถงใคร
โดยเดดขาด
ขอควรปฏบต ทชวยเพมความปลอดภยในการใชงานระบบอเมล
1. ใชบรการ Web Reputation ทำาการตรวจความปลอดภยและความนาเชอถอของ
เวบไซต 2. ใชความระมดระวงในการเขาเวบไซตท
ตองการใหทานทำาการตดตง ซอฟตแวรกอนเขาชม แนะนำาวาไมควรตดตง
โปรแกรมดงกลาว 3. ใหอานและทำาความเขาใจกบเงอนไข
ตางๆ ใน "End User License Agreement"
ขอควรปฏบต ทเพมความปลอดภยในการใชงานอนเทอรเนตและการดาวนโหลดขอมล
4.หากจำาเปนตองปอนขอมลสวนตวใหปอนเฉพาะขอมลเทาทจำาเปนจรงๆ เทานน และบนเวบไซตทม การเขารหสขอมล
เทานน 5.ระมดระวงการใชบรการเครองคอมพวเตอร
สาธารณะ ดงนนควรหลกเลยงการใสขอมลสำาคญ ไมใชระบบชวยจำา
Username และ Password
ขอควรปฏบต ทเพมความปลอดภยในการใชงานอนเทอรเนตและการดาวนโหลดขอมล
6.หมนเปลยน Password บอยๆ เพอปองกนการแอบขโมย Password
7.หมนลบ Temporary Internet Files, Cookies และ History เปนประจำา
8.ควรทำาการ Logoff หรอ Logout ทกครงหลงการใชงานเรยบรอยแลว
ขอควรปฏบต ทเพมความปลอดภยในการใชงานอนเทอรเนตและการดาวนโหลดขอมล
มาตรฐานความปลอดภยของขอมล • การรกษาความลบของขอมล
(Confidentiality)• การคงไวซงความถกตองและครบถวน
ของขอมล (Integrity)• การพรอมใหใชงานเมอตองการ
(Availability)
มาตรฐานความปลอดภยของเทคโนโลยสารสนเทศ
ปจจบนมแมแบบของการบรหารความปลอดภยขอมล
มากมายขนอยกบวาใครเปนผใหบรการ แตแมแบบทไดรบ
ความนยมมากทสด และไดกำาหนดใหเปนมาตรฐาน
นานาชาต คอ BS 7799 ซงเปนมาตรฐานทพฒนาโดย
ประเทศองกฤษ
แมแบบของการบรหารความปลอดภยขอมล
มาตรฐานนประกอบดวย 2 สวนคอ- BS 7799-1 ซงตอมาไดเปลยนมาตรฐาน
ISO/IEC 17799 : Information Technology Code of Practice for Information Security Management
- BS 7799-2 ซงตอมาไดรบการยอมรบเปนมาตรฐาน ISO 27001 : Information Security Management : Specification with Guidance for Use
แมแบบของการบรหารความปลอดภยขอมล
มาตรฐาน ISO/IEC 17799 เรมแรกไดประกาศใชเมอป
2000 เปนมาตรฐานสากลดานการจดการความปลอดภยของ
ขอมล ซงประกอบดวย 10 โดเมน และตอมาไดมการปรบปรงอก
ครงเมอป 2005 และปรบใหม 11 โดเมน มาตรฐาน ISO 17799
แบงออกเปน 11 โดเมน
มาตรฐาน BS 7799-1 (ISO/IEC 17799)
ในสวนทสองของ BS 7799 หรอในอกชอหนงคอ
ISO/IEC 27001 เปนมาตรฐานเกยวของกบการบรหารการ
รกษาความปลอดภยขอมล และเปนแนวทางในการสราง
ดแล และปรบปรงระบบบรหารการรกษาความปลอดภย
ขอมล (The Information Security Management System
(ISMS)) โดยใชโมเดลการบรหารแบบ Plan-Do-Check-Act
(PDCA) มาชวยในการสราง และพฒนาระบบการรกษา
ความปลอดภย
มาตรฐาน BS 7799-2 (ISO 27001)
เปนแนวทางในการบรหารความเสยงของการรกษาความ
ปลอดภยขอมล และเปนแนวทางในการทำามาตรฐาน BS 7799-2
และเหมาะสำาหรบองคกรทกขนาด โดยเนอหาทสำาคญของ
มาตรฐานนนประกอบดวย- ความเสยงเกยวกบความปลอดภยของขอมลในองคกร- การประเมนความเสยง- วธปฏบตเพอลดความเสยงและการบรหารการตดสนใจ- การดำาเนนกจกรรมเกยวกบการบรหารความเสยง
มาตรฐาน BS 7799-3