Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
หนวยท 14
ความมนคงปลอดภยระบบคอมพวเตอร
อาจารย นาวาโท กรกช วไลลกษณ
ชอ อาจารยนาวาโทกรกชวไลลกษณวฒ วท.บ.(บรหารศาสตร)โรงเรยนนายเรอ วท.ม.(เทคโนโลยการจดการระบบสารสนเทศ) มหาวทยาลยมหดลต�าแหนง ประจ�ากรมก�าลงพลทหารเรอ กรมก�าลงพลทหารเรอหนวยทปรบปรง หนวยท14
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-2 คอมพวเตอรเบองตน
แผนการสอนประจ�าหนวย
ชดวชา คอมพวเตอรเบองตน
หนวยท 14 ความมนคงปลอดภยระบบคอมพวเตอร
ตอนท14.1 หลกการส�าคญของการรกษาความมนคงปลอดภยระบบคอมพวเตอร14.2 แนวทางการจดการความมนคงปลอดภยระบบคอมพวเตอร
แนวคด1. การรกษาความมนคงปลอดภยเปนการบรหารจดการความเสยงทเกดขนกบระบบคอมพวเตอร
ใหสามารถรกษาความลบความครบถวนสมบรณและความพรอมใชกระบวนการทเกยวของกบการรกษาความมนคงปลอดภย ไดแก การพสจนตวจรง การก�าหนดสทธ การเฝาตรวจความมนคงปลอดภย การก�าหนดนโยบายการรกษาความมนคงปลอดภย โดยกระบวนการตางๆ เหลานหากไดกระท�าอยางถกตองสมบรณจะท�าใหมนใจไดวาระบบคอมพวเตอรทใชงานอยนนถกใชงานอยางมนคงปลอดภยในการจดการความมนคงปลอดภยนยมประยกตใชแบบจ�าลองการรกษาความมนคงปลอดภยเพอก�าหนดนโยบายวธการตลอดจนเทคโนโลยทจ�าเปนส�าหรบการบรหารความมนคงปลอดภย
2. ภยคกคาม หมายถง ชดของเหตการณทเกดขนแลวจะสงผลตอความมนคงปลอดภยของทรพยากรสารสนเทศชดของเหตการณเหลานนมวตถประสงคหลกเพอการสรางการสกดกนการขดจงหวะ การดดแปลงแกไข และการปลอมแปลง เพอท�าลายความลบ ความครบถวนสมบรณและความพรอมใชทรพยากรสารสนเทศทเปนเปาหมายการประยกตใชงานเทคโนโลยรวมกบการบรหารจดการความมนคงปลอดภยอยางเหมาะสมโดยเฉพาะอยางยงการก�าหนดนโยบาย การประยกตใชงานเทคโนโลยทเกยวของ และควบคมการปฏบตใหเปนไปตามทก�าหนดในนโยบายจะสรางความมนใจไดวาการผลต ประมวลผล จดเกบ และแสดงผลทรพยากรสารสนเทศนนๆมความมนคงปลอดภย
วตถประสงค เมอศกษาหนวยท14จบแลวนกศกษาสามารถ1. อธบายแนวคดเกยวกบหลกการรกษาความมนคงปลอดภยได2. อธบายหลกการใชงานแบบจ�าลองความมนคงปลอดภยได
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-3ความมนคงปลอดภยระบบคอมพวเตอร
3. อธบายแนวคดเกยวกบภยคกคามและการโจมตได4. อธบายแนวคดเกยวกบการจดการความมนคงปลอดภยได5. วเคราะหแนวทางการประยกตใชแบบจ�าลองรกษาความมนคงปลอดภยได6. วเคราะหแนวทางการจดการรกษาความมนคงปลอดภยได
กจกรรมระหวางเรยน1. ท�าแบบประเมนผลตนเองกอนเรยนหนวยท142. ศกษาเอกสารการสอนตอนท14.1-14.23. ปฏบตกจกรรมตามทไดรบมอบหมายในเอกสารการสอนแตละเรอง4. ท�ากจกรรมประจ�าชดวชา(ถาม)5. ชมรายการสอนเสรมผานทางอนเทอรเนตหรอเขารบบรการสอนเสรม(ถาม)6. ชมสออเลกทรอนกสประจ�าชดวชา7. ท�าแบบประเมนผลตนเองหลงเรยนหนวยท14
สอการสอน1. เอกสารการสอน2. แบบฝกปฏบต3. สออเลกทรอนกสประจ�าชดวชา4. การสอนเสรมทางอนเทอรเนตหรอเอกสารสอนเสรม(ถาม)
การประเมนผล1. ประเมนผลจากแบบประเมนผลตนเองกอนเรยนและหลงเรยน2. ประเมนผลจากกจกรรมและแนวตอบทายเรอง3. ประเมนผลจากกจกรรมประจ�าชดวชา(ถาม)4. ประเมนผลจากการสอบไลประจ�าภาคการศกษา
เมออานแผนการสอนแลว ขอใหท�าแบบประเมนผลตนเองกอนเรยน
หนวยท 14 ในแบบฝกปฏบต แลวจงศกษาเอกสารการสอนตอไป
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-4 คอมพวเตอรเบองตน
ตอนท 14.1
หลกการส�าคญของการรกษาความมนคงปลอดภยระบบคอมพวเตอร
โปรดอานหวเรองแนวคดและวตถประสงคของตอนท14.1แลวจงศกษารายละเอยดตอไป
หวเรอง14.1.1ความหมายและหลกการรกษาความมนคงปลอดภย14.1.2ภยคกคามและการโจมต
แนวคด1. ความมนคงปลอดภยของระบบคอมพวเตอรหมายถง การรกษาสภาพความลบ ความ
ครบถวนสมบรณและความพรอมใชของระบบคอมพวเตอรนบตงแตฮารดแวรไปจนถงขอมลทถกจดเกบในระบบคอมพวเตอรนนกระบวนการส�าคญทเกยวของกบการรกษาความมนคงปลอดภยไดแกการพสจนตวจรงการก�าหนดสทธการเฝาตรวจความมนคงปลอดภย การก�าหนดนโยบายการรกษาความมนคงปลอดภย โดยกระบวนการตางๆเหลานนหากไดกระท�าอยางถกตองสมบรณจะท�าใหมนใจไดวาระบบคอมพวเตอรทใชงานอยนนถกใชงานอยางมนคงปลอดภย แมวาจะมผละเมดมาตรการการรกษาความมนคงปลอดภยกจะสามารถตรวจสอบสาเหตและคนหาผรบผดชอบได
2. ภยคกคามคอ ชดของเหตการณทเกดขนแลวจะสงผลตอความมนคงปลอดภยของทรพยากรสารสนเทศโดยมลกษณะส�าคญคอการสกดกนการขดจงหวะการดดแปลงแกไขและการปลอมแปลงเพอท�าลายความลบความครบถวนสมบรณและความพรอมใชทรพยากรสารสนเทศทตกเปนเปาหมายกลาวไดวาทรพยากรสารสนเทศทภยคกคามในหลายๆรปแบบแตมความเสยงของเหตการณทกระทบตอความมนคงปลอดภยแตกตางกนออกไป และภยคกคามตอทรพยากรสารสนเทศจะไมสงผลใดๆ ตอทรพยากรสารสนเทศหากปราศจากการโจมตตอทรพยากรสารสนเทศนน
วตถประสงคเมอศกษาตอนท14.1จบแลวนกศกษาสามารถ1. อธบายหลกการรกษาความมนคงปลอดภยได2. อธบายความหมายและหลกการรกษาความลบความครบถวนสมบรณและความพรอมใชได3. อธบายภยคกคามรปแบบตางๆได4. อธบายหลกการโจมตได5. อธบายความสมพนธระหวางชองโหวและการโจมตได
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-5ความมนคงปลอดภยระบบคอมพวเตอร
เรองท 14.1.1
ความหมายและหลกการรกษาความมนคงปลอดภย
เมอกลาวถงการรกษาความมนคงปลอดภยสงทผคนโดยทวไปค�านงถงเปนสงแรกคอการคนหาการบกรกของผไมประสงคดกบระบบคอมพวเตอรซงนยมเรยกวา“แฮกเกอร”รวมถงการก�าจดโปรแกรมทถกพฒนาขนเพอท�าลายความมนคงปลอดภยของคอมพวเตอรหรอมลแวรประเภทตางๆ โดยไมตระหนกร ถงความหมายทแทจรงของ “ความมนคงปลอดภย”ของระบบคอมพวเตอร ซงแทจรงแลวมความหมายครอบคลมถง การรกษาความลบ การรกษาความครบถวนสมบรณ และการรกษาความพรอมใชของทรพยากรในระบบคอมพวเตอรในทกๆระดบเรมตนตงแตอปกรณฮารดแวรระบบปฏบตการซอฟตแวรตางๆ ทถกตดตง และการเชอมตอกนเปนเครอขาย และรวมถงขอมลหรอสารสนเทศซงถกจดเกบและประมวลผลโดยอปกรณและซอฟตแวรทเชอมตอเปนระบบความหมายของการรกษาความมนคงปลอดภยในระบบคอมพวเตอรจงมขอบเขตมากกวาการรกษาความมนคงปลอดภยใหกบคอมพวเตอรหรออปกรณเพยงอยางเดยว
1. ทรพยากรสารสนเทศทรพยากรสารสนเทศ มความหมายครอบคลมถงเครองคอมพวเตอร และอปกรณเชอมตอตางๆ
และครอบคลมถงองคประกอบอนๆดงตอไปน1.1 มนษย (people)ไดแกผทเกยวของกบระบบคอมพวเตอรเชนผใชงานผดแลระบบทงน
โดยปกตแลวมนษยจะถกประเมนเปนภยคกคามหลกตอทรพยากรสารสนเทศเนองจากมเปนทรพยากรทเปนมจดออนมากทสดในการรกษาความมนคงปลอดภย แมวาทรพยากรอนๆ จะถกปกปองและก�าหนดมาตรการอยางรดกมทสดแลว หากผคนทเกยวของกบทรพยากรนนละเลยหรอขาดความตระหนกรกจะ สงผลใหทรพยากรนนถกโจมตส�าเรจเชนการใหบรการรบฝากไฟลผานอนเทอรเนตซงเลอกใชเทคโนโลยการรกษาความมนคงปลอดภยทเขมแขงมาก แตผใชงานบนทกขอมลส�าหรบใชพสจนตวจรงและก�าหนดสทธโดยเขยนลงบนกระดาษแปะไวทหนาจอมอนเตอรยอมเปนการเพมความเสยงทจะมผไมประสงคดใชขอมลดงกลาวเขาถงขอมลทถกจดเกบในระบบนนโดยอาจเปลยนแปลงแกไขหรอลบขอมลนนโดยไมไดรบอนญาต เปนตน นอกจากนมนษยยงเปนองคประกอบส�าคญของการโจมตความมนคงปลอดภยของระบบคอมพวเตอรดวยเหตจงใจทหลากหลายเชนความตองการชอเสยงความโลภแนวทางทางการเมองโดยเมอโจมตส�าเรจอาจไดรบคาจางหรอการยอมรบจากสงคมทเขาตองการเปนตน
1.2 ฮารดแวรและอปกรณตอเชอมตาง ๆ (hardware and its peripheral)ในทนมความหมายรวมถงเครองคอมพวเตอรแทบเลตและสมารทโฟนซงมความสามารถในการรบขอมลประมวลผลแสดงผลและเชอมตอกบเครอขายคอมพวเตอรได ความไมมนคงปลอดภยของอปกรณเหลานอาจเกดขน เนองจากมภยคกคามเกดขนกบอปกรณโดยตรง เชน การขโมย ซงสงผลใหเจาของไมสามารถใชงานได
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-6 คอมพวเตอรเบองตน
หรอน�าขอมลสวนบคคลในอปกรณนนไปเปดเผยท�าใหความลบของขอมลนนถกท�าลายลง หรออาจเกดจากไฟฟากระชากและท�าใหขอมลทจดเกบในอปกรณนนๆ เสยหาย นอกจากนยงรวมถงการทฮารดแวรนนๆถกท�าลายหรอท�าใหใชการไมไดโดยมสาเหตจากธรรมชาตเชนน�าทวมฟาผาอปกรณเปนตน
1.3 ซอฟตแวร (software) ทถกพฒนาขนมกมขอบกพรองทเกยวของกบความมนคงปลอดภยเนองจากคณสมบตนมกถกละเลยในระหวางขนตอนการวเคราะหและพฒนาซอฟตแวรนนๆท�าใหเมอมการน�ามาใชงานมกจะมชองโหวทเกยวของกบการรกษาความมนคงปลอดภยเชนอปกรณเราเตอรส�าหรบใชงานอนเทอรเนตส�าหรบเชอมตอผานระบบเอดเอสแอลบางรนมขอบกพรองเกยวกบความมนคงปลอดภยและเมอผไมประสงคดโจมตระบบส�าเรจจะสามารถปลอมแปลงกระบวนการสอบถามโดเมนเนมไดเปนตนดงนนผใชงานหรอผดแลระบบจะตองด�าเนนการการปรบปรงคณสมบตซอฟตแวรตามหลงอยเสมอๆทงนการปรบปรงคณสมบตดงกลาว ผพฒนาซอฟตแวรอาจสรางชองโหวทเกยวของกบการรกษาความมนคงปลอดภยเพมมากขนโดยไมไดตงใจกเปนได
1.4 ขอมลและสารสนเทศ (data and information)เปนทรพยากรทส�าคญตอบคคลหรอองคกรทเปนผสรางประมวลผลและรบสงขอมลสารสนเทศนนๆดวยเหตนทรพยากรนจงเปนเปาหมายหลกของการโจมตของผไมประสงคดโดยผลเสยหายทเกดขนมกจะเกดขนในสามลกษณะส�าคญคอการเปดเผยความลบการแกไขขอมลโดยไมมสทธและการท�าใหขอมลนนๆไมสามารถเขาถงไดเชนถกลบเปลยนแปลงสทธหรอถกเขารหสลบเพอเรยกคาไถเปนตน
1.5 ขนตอนระเบยบวธปฏบต (procedure) ขนตอนการด�าเนนการกบขอมลมกถกละเลยจาก ผทเกยวของท�าใหมชองโหวทอาจท�าใหเกดการละเมดความมนคงปลอดภยไดเชนองคกรตางๆมกมการฝกอบรมพนกงานใหด�าเนนการอยางใดอยางหนงกบซอฟตแวรทใชในองคกรในรปแบบของคมอการท�างานท�าใหพนกงานทมหนาทคลายคลงกนสามารถใชงานซอฟตแวรไดเหมอนๆ กน โดยมกละเลยการสรางความตระหนกรเกยวกบการใชงานซอฟตแวรอยางมนคงปลอดภยเปนผลใหเกดชองโหวของการรกษาความมนคงปลอดภยได เชน พนกงานบญชคนหนงอาจเขาใชงานระบบเงนเดอนคางไวโดยไมไดลอกหนาจอขณะพกรบประทานอาหารกลางวนผไมประสงคดอาจเขาใชงานซอฟตแวรและปรบเปลยนขอมลในระบบบญชไดเปนตน
1.6 เครอขาย (network) ระบบสารสนเทศในปจจบนถกเชอมตอเขาดวยกนผานเครอขายการ รบสงขอมลไมวาจะเปนเครอขายสวนตวเครอขายเฉพาะบรเวณและมกเชอมตอกบเครอขายอนเทอรเนตแมวาการเชอมตอกนดงทไดกลาวมาจะสรางความสามารถในการใชงานทรพยากรสารสนเทศรวมกนจากระยะทางไกลและท�าใหเกดการใชงานทรพยากรอยางมประสทธภาพมากยงขนการเชอมตอกนเปนเครอขายยงมขนาดมากเทาไรยอมเปนการเพมความเสยงททรพยากรจะถกโจมต และเพมความยากในการรกษาความมนคงปลอดภยมากยงขน
เมอกลาวโดยนยแลวจะเหนวา ทรพยากรสารสนเทศมองคประกอบส�าคญๆ ดงทไดกลาวมาอยางไรกดทรพยากรสารสนเทศอาจถกนยามไดในความหมายทใกลเคยงกนแตถกนยามขนมาในระยะเรมตนคอระบบคอมพวเตอรซงประกอบดวยฮารดแวรซอฟตแวรมนษยและขอมลซงจะขาดองคประกอบส�าคญคอเครอขายและขนตอนวธปฏบตซงเปนองคประกอบทส�าคญในปจจบนเนองจากการประยกตใช
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-7ความมนคงปลอดภยระบบคอมพวเตอร
งานเทคโนโลยสารสนเทศและการสอสารในปจจบนมการแลกเปลยนทรพยากรกนผานชองทางการสอสารและระบบเครอขาย ตลอดจนการประมวลผลขอมลในปจจบนมความซบซอนมากขนกวาในอดต ดงนนเมอกลาวถงระบบคอมพวเตอรในปจจบนจงนยมใชค�าวาทรพยากรสารสนเทศซงมความหมายครอบคลมถงทรพยากรเครอขายและขนตอนวธปฏบตทเกยวของ
2. การรกษาความมนคงปลอดภยระบบคอมพวเตอรการรกษาความมนคงปลอดภยหมายถงการท�าใหมนใจไดวาทรพยากรสารสนเทศทมอยมความ
ถกตองสมบรณ และพรอมใชงานส�าหรบผใชงานทไดรบสทธในการเขาถงทรพยากรนนๆ ในทนจะยกตวอยางการรกษาความมนคงปลอดภยของเครองคอมพวเตอรสวนบคคลซงจดเกบขอมลซงอาจมขอมลทไมตองการใหผอนลวงร ตลอดจนตองการรกษาความครบถวนสมบรณของไฟลตางๆ ทถกจดเกบไวในคอมพวเตอรไมใหถกท�าลายโดยมลแวร1และปองกนการแพรระบาดของหนอนอนเทอรเนต2ซงอาจท�าใหเครองคอมพวเตอรไมสามารถใชงานได นกศกษาอาจพจารณาตงพาสเวรดเพอควบคมการเขาถงเขาถงเครองคอมพวเตอรจดการเขารหสลบฮารดดสกตดตงซอฟตแวรตรวจจบคอมพวเตอรไวรสและเปดการใชงานไฟรวอลสสวนบคคล3เปนตนโดยทวไปการจดการความมนคงปลอดภยของทรพยากรสารสนเทศสามารถจ�าแนกตามเปาหมายของการรกษาความมนคงปลอดภยไดดงตอไปน
2.1 ความมนคงปลอดภยเชงกายภาพ (physical security) เพอปองกนอปกรณ สงของ หรอบรเวณใหปราศจากการเขาถงโดยไมไดรบอนญาต และการใชงานทไมถกตอง เชน การตงรหสผานเพอเขาใชงานเครองคอมพวเตอรสวนบคคลสรางหองปฏบตการส�าหรบระบบคอมพวเตอรและเครอขายการจดใหมระบบไฟส�ารอง การจดใหมระบบดบเพลง การจดใหมการพสจนตวจรงกอนเขาถงฮารดแวรหรอหองทใชจดเกบฮารดแวรตลอดจนทรพยากรเครอขายทเกยวของเปนตน
2.2 ความมนคงปลอดภยสวนบคคล (personnel security) เพอรกษาบคลากร หรอกลมของ ผใชงานทไดรบสทธใหเขาถงและด�าเนนงานไดอยางมนคงปลอดภยเชนการก�าหนดสทธใหกบเจาหนาทตามความรบผดชอบโดยก�าหนดใหเจาหนาททวไปไมสามารถอานขอมลทถกสรางขนโดยหวหนางานของตนเองแตสามารถแกไขและตรวจสอบผท�าการแกไขทรพยากรนนๆไดการบงคบใหผใชงานเปลยนรหสผานเมอเขาสระบบในครงแรกและทกๆสามเดอนเปนตน
2.3 ความมนคงปลอดภยของการด�าเนนงาน (operation security) เพอปกปองหรอปองกนกระบวนการท�างานตลอดจนกจกรรมอนๆทเกยวของเชนสหกรณออมทรพยควรการจดใหมกลไกการตรวจสอบความครบถวนสมบรณของขอมลทจดเกบ ประมวลผล เมอสมาชกด�าเนนธรกรรมกบสหกรณ
1 มลแวร(malware)หมายถงซอฟตแวรทถกออกแบบใหโจมตตอความมนคงปลอดภยของระบบคอมพวเตอรแบงเปนหลายชนดขนอยกบลกษณะเฉพาะของซอฟตแวรนนๆเชนคอมพวเตอรไวรสหนอนอนเทอรเนตโทรจนเปนตน
2หนอนอนเทอรเนต (worms) หมายถง มลแวรหรอซอฟตแวรไมพงประสงคประเภทหนงทแพรกระจายตวเองผาน เครอขายคอมพวเตอร โดยใชประโยชนจากชองโหวทเกยวของกบความมนคงปลอดภยของซอฟตแวรหรอบรการตางๆ เชน ชองโหวของการแชรไฟลรวมกนของระบบปฏบตการเปนตน
3ไฟรวอลลสวนบคคล (personal firewall) หมายถง ซอฟตแวรทถกออกแบบตดตงบนเครองคอมพวเตอรสวนบคคลโดยท�าหนาทปองกนคอมพวเตอรเครองนนจากการโจมตทางเครอขายดวยการวเคราะหขอมลทเขาและออกจากคอมพวเตอรนนๆ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-8 คอมพวเตอรเบองตน
การก�าหนดหามเจาหนาทเขยนรหสผานส�าหรบเขาใชงานระบบลงบนกระดาษ หรอการตรวจสอบสทธในการเขาถงทรพยากรกอนการเขาถงการท�าใหมนใจไดวาเอกสารลบถกจดเกบหรอท�าลายตามทก�าหนดในนโยบายการรกษาความมนคงปลอดภยเปนตน
2.4 ความมนคงปลอดภยของการสอสาร (communication security)เพอปองกนสอน�าสญญาณขอมลตางๆทรบสงผานชองทางการสอสารโดยมงเนนการรกษาความมนคงปลอดภยของอปกรณตางๆทเชอมตอกนเปนระบบสอสารรวมถงการแพรสญญาณใหมความมนคงปลอดภยเชนการก�าหนดมาตรการเฝาตรวจการดกรบขอมลการเขารหสขอมลทมการรบสงกนในเครอขายหรอระหวางเครอขายการใชบรการวพเอนในการเชอมตอระบบคอมพวเตอรระหวางสาขาซงท�าใหมนใจไดวาการรบสงขอมลระหวางจดจะถกเขารหสท�าใหผไมประสงคดทดกรบขอมลไดไมสามารถวเคราะหหรอแปลความหมายขอมลทดกรบไดเปนตน
2.5 ความมนคงปลอดภยของเครอขาย (network security) เพอปองกนการเขาถงอปกรณ เครอขายตางๆและอปกรณทน�ามาเชอมตอเขากบเครอขายเชนการแบงเครอขายออกเปนเครอขายยอยๆเพอจ�าแนกกลมผใชงานและระบบบรการตางๆรวมถงการจดใหมการเฝาตรวจความมนคงปลอดภยและการจดใหมการพสจนตวจรงของผใชงานกอนจงจะสามารถใชงานเครอขายไดจะเหนไดวามความแตกตางจากความมนคงปลอดภยของการสอสารโดยมขอบเขตทแคบกวาและพจารณาทการเชอมตอในบรเวณทเกยวของเชนระบบเครอขายภายในบานระบบเครอขายภายในบรษทเปนตน
2.6 ความมนคงปลอดภยของขอมลขาวสาร (information security)เพอรกษาความลบความครบถวนสมบรณและความพรอมใชขององคประกอบตางๆทถกผนวกรวมเขาเปนระบบสารสนเทศนบตงแตกระบวนการสรางประมวลผลและการรบสงสารสนเทศนนๆ
3. หลกการรกษาความมนคงปลอดภยระบบคอมพวเตอรในการรกษาความมนคงปลอดภยระบบคอมพวเตอร ประกอบดวย 2หลกการ ไดแก หลกการ
พนฐานและหลกการอนๆทเกยวของกบความมนคงปลอดภย3.1 หลกการพนฐาน การรกษาความมนคงปลอดภยจะส�าเรจไดกตอเมอองคกรหรอบคคลนนๆ
ไดมการจดการก�าหนดนโยบายทเกยวของ การควบคมการด�าเนนการใหเปนไปตามนโยบาย การเสรมสรางความรความเขาใจทเกยวของการฝกอบรมการสรางความตระหนกรและการประยกตใชเทคโนโลยทเกยวของอยางเหมาะสม
3.1.1 การรกษาความลบ (confidentiality)หมายถงกระบวนการมาตรการและการจดการทเกยวของกบการรกษาความลบของสารสนเทศทถกประมวลผลสงตอและจดเกบใหสามารถเขาถงและเขาใจความหมายไดเฉพาะผทมสทธเขาถงทรพยากรนนๆ ตวอยางขอมลทควรมการจดเกบและมการก�าหนดมาตรการควบคมการเขาถงเพอรกษาความลบของขอมลทส�าคญเชน ขอมลผปวยในระบบสารสนเทศของโรงพยาบาล ขอมลสวนบคคลอนๆ เชน หมายเลขประจ�าตวประชาชน ก�าหนดการของบคคลส�าคญรายชอผโดยสารของเทยวบนตางๆเปนตน
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-9ความมนคงปลอดภยระบบคอมพวเตอร
3.1.2 การรกษาความครบถวนสมบรณ (integrity)หมายถงกระบวนการมาตรการและการจดการทเกยวของกบการตรวจสอบความครบถวนสมบรณของสารสนเทศทถกประมวลผลสงตอและจดเกบใหมความถกตองสมบรณและสามารถตรวจสอบความครบถวนสมบรณนนไดเชนหากมการแกไขไฟลทถกสรางขนแลวมการสงผานไฟลนนเขาสเครอขายคอมพวเตอร ผทเกยวของจะตองสามารถตรวจสอบไดวาไฟลนนวาถกแกไขเปลยนแปลงไประหวางการสงผานชองทางการสอสารหรอไมเปนตน
3.1.3 การรกษาความพรอมใช (availability)หมายถงกระบวนการมาตรการและการจดการทเกยวของกบการรกษาความพรอมใชของสารสนเทศทถกประมวลผลสงตอและจดเกบใหมความพรอมใชอยเสมอท�าใหผใชทมสทธเขาถงและใชงานทรพยากรสารสนเทศนนๆสามารถเขาใชงานไดเชนเมอกลาวถงความพรอมใชของระบบบรการธนาคารอเลกทรอนกส อาจหมายถงลกคาสามารถเขาถงและใชงานบรการนนไดเสมอตลอด24ชวโมงและอาจหมายรวมถงเจาหนาทๆเกยวของสามารถเขาถงและบรหารจดการซอฟตแวรนนไดเปนตน
ภาพท 14.1 องคประกอบส�าคญของการรกษาความมนคงปลอดภยสารสนเทศ
จากภาพท 14.1จะเหนวาทรพยากรสารสนเทศทตองการใหมความมนคงปลอดภยนนอาจถกจดเกบอยในฮารดแวร (hardware) ซอฟตแวร (software) หรอถกสงผานระบบการสอสาร (com-munication) กเปนได และการสรางความมนคงปลอดภยใหกบทรพยากรสารสนเทศนนจะมความเกยวเนองกบการรกษาความมนคงปลอดภยทางกายภาพ (physical security) ในทกระดบโดยการจดใหมเทคโนโลยและกระบวนการทเหมาะสมส�าหรบการเขาถงทางกายภาพตอฮารดแวร ซอฟตแวร และระบบการสอสาร นอกจากนยงมความจ�าเปนตองสรางการรกษาความมนคงปลอดภยสวนบคคล (personalsecurity) เนองจากมนษยเปนจดออนทสดของระบบการรกษาความมนคงปลอดภย และมกละเมด กฎเกณฑทจ�าเปนทงนอาจแกไขไดโดยการสรางความตระหนกรถงเหตผลและความส�าคญของการรกษาความมนคงปลอดภยเปนตนทงนมาตรการและเทคโนโลยทน�ามาใชจะตองมการก�าหนดใหสอดคลองกบการจดการรกษาความมนคงปลอดภยในระดบองคกรโดยการก�าหนดยทธศาสตรนโยบายและกฎระเบยบทเกยวของตลอดจนมการก�ากบดแลอยางเหมาะสม
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-10 คอมพวเตอรเบองตน
3.2 หลกการอน ๆ ทเกยวของกบความมนคงปลอดภยการรกษาความมนคงปลอดภยทรพยากรสารสนเทศจงเปนกระบวนการเชงบรหารทน�าเอานโยบายการด�าเนนงานและการประยกตใชเทคโนโลยทเกยวของเพอปองกนและจ�ากดผลเสยหายตอการรกษาความลบความครบถวนสมบรณและความพรอมใชของทรพยากรสารสนเทศนนๆ
3.2.1 ชองโหว (vulnerability)คอความบกพรองหรอจดออนทมอยในทรพยากรสารสนเทศโดยเปนผลมาจากการออกแบบการพฒนาซอฟตแวรการจดการกระบวนการท�างานหรอการบ�ารงรกษาระบบนนๆเชนชองโหวของระบบปฏบตการชองโหวของซอฟตแวรเวบเบราวเซอรการอนญาตใหผไมมบตรเขาถงหองส�าคญๆทเกยวของกบกระบวนการท�างานโดยไมมการตรวจสอบหรอการไมควบคมใหมการตรวจสอบเอกสารลบกอนการทงขยะเปนตนเมอพจารณาตามกลมของทรพยากรจะสามารถจ�าแนกประเภทของชองโหวได3ลกษณะดงตอไปน
1) ชองโหวทเกยวของกบฮารดแวร หมายถง ขอบกพรองทเกยวของกบความมนคงปลอดภยของฮารดแวรเชนชองโหวของการเขารหสของระบบขายปลกครบวรจร(PointofSale;POS)ซงสงผลใหผโจมตสามารถขโมยขอมลบตรเครดตของผใชบรการ4 หรอชองโหวของระบบสมองกลทใชควบคมรถยนตทเมอถกโจมตผานเครอขายแลวจะท�าใหผโจมตสามารถควบคมการระบบควบคมภายในรถยนตคนนนๆได5เปนตน
2)ชองโหวทเกยวของกบซอฟตแวรหมายถงขอบกพรองทเกยวของกบซอฟตแวรตางๆ ทเมอเกดการโจมตตอซอฟตแวรนนๆ แลวจะสงผลกระทบตอความมนคงปลอดภยของซอฟตแวรและซอฟตแวรระบบอนๆ ทเกยวของ เชน ชองโหวของระบบปฏบตการทเกยวของกบการแชรไฟลผานระบบเครอขายคอมพวเตอรทหากผไมประสงคดโจมตตอบรการแชรไฟลส�าเรจอาจท�าการลบโฟลเดอรหรอไฟลตางๆโดยไมไดรบอนญาตเปนตน
3)ชองโหวทเกยวของกบการบรหารจดการขอมลหมายถงขอบกพรองทเกยวของกบการจดการขอมลตางๆทงทเปนขอมลทไมไดจดเกบในรปแบบดจทลและขอมลในรปแบบดจทล เชนหากองคกรหรอบคคลจดเกบขอมลซงใชในการพสจนตวจรงอยางไมเหมาะสมเมอขอมลนนรวไหลออกไปอาจสงผลใหเกดการโจมตตอองคกรนนๆไดหรอเปดโอกาสใหมการโจมตตอทรพยากรอนๆเปนตน
3.2.2 ภยคกคาม (threat)คอบคคลหรอผใดกตามทสามารถใชประโยชนจากชองโหวทมเขาถงและท�าลายความมนคงปลอดภยของทรพยากรสารสนเทศได ภยคกคามตอทรพยากรสารสนเทศจ�าแนกได4ลกษณะคอ
1) การดกรบ (interception) หมายถง เหตการณทผไมประสงคดเขาถงหรอ ดกรบขอมลโดยปราศจากสทธโดยถกตองเชนการดกรบทรบสงกนระหวางผรบและผสงในระบบเครอขายคอมพวเตอร(sniffing)การแอบอานขอมลจากหนาจอของผอนการแอบฟงผอนพดคยกนเพอใหไดขอมลทตนเองไมมสทธเขาถงดงภาพท14.2เปนตน
4 http://blogs.cisco.com/security/detecting-payment-card-data-breaches-today-to-avoid-becoming-to-morrows-headline/สบคนเมอ20มนาคม2559.
5 http://www.forbes.com/sites/andygreenberg/2013/07/24/hackers-reveal-nasty-new-car-attacks-with-me-behind-the-wheel-video/สบคนเมอ20มนาคม2559.
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-11ความมนคงปลอดภยระบบคอมพวเตอร
ภาพท 14.2 การดกรบขอมล
2)การขดจงหวะ (interruption) หมายถง เหตการณทผไมประสงคดกระท�าแลว สงผลใหผใชงานทมสทธไมสามารถเขาถงหรอใชงานทรพยากรนนๆไดเชนการตดสายสญญาณเครอขายการลบไฟลขอมลการท�าลายคอมพวเตอรดงทแสดงในภาพท14.3หรอการน�าเขาขอความทระบบประมวลผลแลวท�าใหระบบปฏเสธการใหบรการเปนตน
ภาพท 14.3 การท�าลายคอมพวเตอรสงผลใหผมสทธใชงานไมสามารถใชงานได
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-12 คอมพวเตอรเบองตน
3) การดดแปลงแกไข (modification) หมายถง การเขาถงและแกไขทรพยากรสารสนเทศโดยไมมสทธเชนการเปลยนแปลงการปรบตงคาตางๆของระบบปฏบตการการอนญาตใหมการเขาถงจากระยะไกลโดยไมมการพสจนตวจรงซงอาจสงผลกระทบตอความมนคงปลอดภยการดกรบโดยการเปลยนเสนทางและการเปลยนแปลงขอมลทถกรบสงผานเครอขายดงแสดงในภาพท14.4เปนตนโดยการดดแปลงแกไขดงกลาวอาจกระท�าไดในกรณอนๆ เชน เพอนของนกศกษาอาจแกไขไฟลรายงานของนกศกษาทถกบนทกไวในสอจดเกบขอมล เชนแฟลชไดรฟโดยทนกศกษาไมทราบ เมอนกศกษาสงรายงานไปยงอาจารยจงพบวาขอมลนนไมใชขอมลทถกตองเปนตน
ภาพท 14.4 การโจมตทมการเปลยนแปลงแกไขขอมลโดยไมมสทธ
4)การปลอมแปลง(fabrication)หมายถงการสรางขอมลหรอสงแปลกปลอมเขาสระบบสารสนเทศเชนการเพมขอมลลงในระบบจดการฐานขอมลการตงเครอขายไรสายทมชอสถานเหมอนกบเครอขายเปาหมายเพอดกรบขอมลตางๆและการปลอมแปลงหมายเลขไอพเพอหลบเลยงกลไกพสจนตวจรงเพอเขาใชงานเครอขายการปลอมแปลงตนเองเปนบคคลอนเพอหลอกถามขอมลดงทแสดงในภาพท14.5เปนตนวตถประสงคหลกของการปลอมแปลงจงเกยวของกบการลอลวงใหเหยอเขาใจผดวาขอมลหรอสารสนเทศนนเปนขอมลหรอตวตนจรงๆ ของผนน หากเหยอตายใจและใหขอมลหรอเปดเผยขอมลส�าคญจะท�าใหเกดการละเมดความมนคงปลอดภยตอเหยอนนๆ เชน การสงจดหมายโดยอางวาผสงเปนหวหนางานและใหสงความลบขององคกรไปยงอเมลหรอใหจดพมพเอกสารแลวสงไปยงผโจมตเปนตน
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-13ความมนคงปลอดภยระบบคอมพวเตอร
ภาพท 14.5 การปลอมแปลง
3.2.3 การโจมต (attack) คอ การกระท�าหรอผลทเกดขนเมอเกดภยคกคามตอชองโหวตางๆ ทมอยในทรพยากรสารสนเทศ ทงนการโจมตอาจไมไดมตนก�าเนดจากผไมประสงคดแตเพยง อยางเดยวกเปนได เชน ทรพยากรสารสนเทศหนงมความลบไมควรถกเผยแพรใหผไมมหนาทเกยวของรบทราบแตไมถกก�าหนดมาตรการควบคมการเขาถงอยางเหมาะสมอาจถกเขาถงโดยผใชงานทวไปและน�าขอมลนนไปเผยแพรอนเปนการท�าลายความลบของทรพยากรนนๆทงนการกระท�าดงกลาวอาจเกดขนโดยเจตนาหรออาจเกดขนจากอบตเหต การโจมตอกลกษณะหนงทไดรบความนยมคอ การโจมตตอโครงสรางพนฐานทส�าคญของเปาหมายเชนการท�าใหระบบปฏเสธการใหบรการและการโจมตดวยเทคนคเชงสงคมอนๆเชนการแอบอางเปนพนกงานคอลเซนเตอรเพอลอลวงเปาหมายใหกระท�าการอยางใดอยางหนงโดยเปดเผยขอมลพสจนตวจรงหรอการหลอกลวงใหท�ารายการบญชผานเอทเอมเปนตน
3.2.4 ผไมประสงคด (attacker)คอบคคลหรอกระบวนการทเกดขนจากมนษยเพอกระท�าการโจมตตอทรพยากรสารสนเทศเปาหมาย จากนยามดงกลาวจะเหนไดวามความหมายใกลเคยงกบภยคกคามแตจ�ากดสาเหตไวทมนษยเทานนซงผไมประสงคดอาจมแรงจงใจในการโจมตตอระบบทแตกตางกนออกไปเชนความประมาทคาตอบแทนและความสะใจเปนตนในปจจบนนยมใชค�าวาแฮกเกอร(hacker)สามารถจ�าแนกประเภทจากแรงจงใจในการโจมตตอระบบไดหลายลกษณะ เชน แฮกเกอรสมครเลน แฮกเกอรหมวกขาวแฮกเกอรหมวกด�าเปนตน
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-14 คอมพวเตอรเบองตน
1) แฮกเกอรมอสมครเลน(scriptkiddy)หมายถงบคคลทวไปทโจมตตอชองโหวของระบบดวยเครองมอหรอซอฟตแวรทผไมประสงคดคนอนเผยแพรไวโดยปราศจากความเขาใจถงกระบวนการท�างานของซอฟตแวรนนๆรวมไปถงบคคลทวๆไปทลวงรชองโหวของการรกษาความมนคงปลอดภยทเขาถงหรอแกไขทรพยากรทไมมสทธโดยไมไดตงใจ เชน การลบไฟลเอกสารทใชงานรวมกนผานเครอขายไดเนองจากผดแลระบบก�าหนดสทธไวผดเปนตน
2) แฮกเกอรหมวกขาว (white hat) หมายถง ผเชยวชาญระบบคอมพวเตอรทใชความสามารถดงกลาวในการคนหาชองโหว และการโจมตตอระบบคอมพวเตอรในเชงปองกนและรกษาความมนคงปลอดภยใหกบระบบแลวรายงานชองโหวหรอการโจมตดงกลาวตอเจาของหรอผมหนาทรบผดชอบเพอใหผทเกยวของด�าเนนการปรบปรงความมนคงปลอดภยและแกไขขอบกพรองนนๆกอนทชองโหวหรอขอบกพรองดงกลาวจะถกตรวจพบหรอถกประกาศใหทราบในทสาธารณะเชนเวบบอรดหรออนเทอรเนตเปนตน
3) แฮกเกอรหมวกด�า(blackhat)หมายถงผเชยวชาญระบบคอมพวเตอรทใชความสามารถดงกลาวในการคนหาและโจมตตอระบบคอมพวเตอร เพอการท�าลายความมนคงปลอดภยโดยมผลประโยชนสวนตวเปนแรงจงใจ เชน คาตอบแทนจากองคกรอาชญากรรม การลางแคน หรอความคดเหนทางการเมองเปนตน
3.2.5 เอกซพลอยต (exploit) คอ แมวาเอกซพลอยตจะมความหมายตามพจนานกรมวา“การใชประโยชนหรอการท�าประโยชน”แตเอกซพลอยตในทนจะหมายถงการโจมตตอชองโหวทมในระบบสารสนเทศเพอท�าลายความมนคงปลอดภยหรอเขาใชประโยชนจากชองโหวทมอยเชนชองโหวของระบบจดการเนอหาผานเวบทถกคนพบและรายงาน อาจมผไมประสงคดพฒนาโปรแกรมทสามารถโจมตตอ ชองโหวดงกลาวส�าเรจ แลวแจกจายใหกบผทสนใจน�าโปรแกรมนไปโจมตตอชองโหวนน นอกจากนยงหมายถงเทคนควธทใชในการโจมตดวยเทคนควศวกรรมเชงสงคมเชนการพยายามตสนทกบเหยอซงท�าหนาทส�าคญในระบบสารสนเทศเพอใหไดมาซงขอมลทเปนประโยชนตอการโจมต หรอการลอลวงเพอใชประโยชนจากเหยอในการเขาถงทรพยากรสารสนเทศเปนตน
3.2.6 เปาหมาย (target) คอ บคคล องคกร ทรพยากรสารสนเทศทมชองโหวและไดรบผลกระทบโดยตรงจากการการโจมตทอาจเกดขน
3.2.7 วธการโจมต (attack vector) คอ กระบวนการ วธการ เครองมอและเทคนคทใชโจมตตอชองโหวทมในเปาหมายของการโจมต
ดงทไดกลาวขางตนแลววา วตถประสงคหลกของการรกษาความมนคงปลอดภยคอ การรกษาความลบ การรกษาความครบถวนสมบรณ และการรกษาความพรอมใชของทรพยากรสารสนเทศ ซงมความหมายนบตงแตเครองคอมพวเตอรหรออปกรณอนๆ เพยงเครองเดยว ซอฟตแวรตางๆ ไปจนถงระบบสารสนเทศทเชอมตอกนผานเครอขายฉะนนหากตองการสรางความมนคงปลอดภยใหกบทรพยากรจงมแนวทางคลายคลงกบการบรหารงานโดยนอกจากจะตองก�าหนดแนวทางการจดการทรพยากรในภาพรวมแลว จะตองด�าเนนการพจารณาความเหมาะสม ความสะดวกในการใชงาน การก�าหนดสทธและการเขาถงการสรางนโยบายการรกษาความมนคงปลอดภยตลอดจนคดเลอกเทคโนโลยทเกยวของโดยค�านง
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-15ความมนคงปลอดภยระบบคอมพวเตอร
ถงความตองการทเกยวของกบความมนคงปลอดภย และความงายในการใชงาน ใหสอดคลองกบความตองการขององคกรนโยบายและผใชงานเปนส�าคญ
กจกรรม 14.1.1
1. สมมตเหตการณวาเครองคอมพวเตอรแบบพกพาของนกศกษาสญหายโดยทนกศกษาไมไดท�าการส�ารองไฟลขอมลส�าคญใดๆ ไวแตนกศกษาไดด�าเนนการเขารหสฮารดดสกและก�าหนดใหระบบปฏบตการลบขอมลทงหมดหากมการปอนรหสผานผดเกนสามครงเหตการณนสงผลทเกยวของกบความมนคงปลอดภยอยางไร
2. สมมตเหตการณวานกศกษาเขยนรหสผานส�าหรบเขาใชงานคอมพวเตอรสวนตวไวบนจอคอมพวเตอรตอมาพบวามผไมประสงคดเขาใชงานเครองคอมพวเตอรเครองนนผานระบบเครอขายและไดท�าการเปลยนพาสเวรดส�าหรบเขาใชงานและลบไฟลส�าคญไปอยากทราบวาเหตการณนสงผลอยางไรตอความมนคงปลอดภย
แนวตอบกจกรรม 14.1.1
1. โดยปกตเมอเครองคอมพวเตอรสญหายยอมมโอกาสถกเปดขนใชงานจากขโมยจงมโอกาสทขอมลทเปนความลบจะถกเปดเผยแตในกรณนผลกระทบจะเกยวของกบความพรอมใชของขอมลเปนหลกเนองจากนกศกษาผนไมไดด�าเนนการส�ารองขอมลไวในแหลงขอมลอนๆเลย
2. การเปลยนรหสผานส�าหรบเขาใชงานคอมพวเตอรสงผลใหนกศกษาทมสทธเขาใชไมสามารถเขาใชงานไดจงสงผลตอความพรอมใชของเครองคอมพวเตอรเครองนนๆ ในขณะเดยวกนหากนกศกษาทเปนเจาของเครองสามารถก คนสภาพและสามารถเขาใชงานไดจะพบวาขอมลส�าคญของตนถกเปลยนแปลงไปซงหมายถงความครบถวนสมบรณนนเสยหายและหากมขอมลทไมตองการใหผอนลวงรถกจดเกบไวกมความเสยงทขอมลนนจะถกเขาถงไดจงอาจสงผลตอการรกษาความลบเชนเดยวกน
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-16 คอมพวเตอรเบองตน
เรองท 14.1.2
ภยคกคามและการโจมต
ภยคกคามหมายถงชดของเหตการณทหากเกดขนแลวจะเกดผลเสยหายตอความมนคงปลอดภยของระบบคอมพวเตอรและสารสนเทศทจดเกบประมวลผลและสงผานระบบคอมพวเตอรนนๆเอมวทแมน(M.Whitman) จ�าแนกประเภทของภยคกคามทมตอทรพยากรสารสนเทศออกเปนหมวดหมเพอความสะดวกในการบรหารจดการภยคกคามตอทรพยากรสารสนเทศซงประกอบดวยบคลากรระบบงานประยกตโครงสรางพนฐานของระบบสารสนเทศและขอมลตางๆทมในองคกรนนๆ
1. ประเภทของภยคกคาม ภยคกคามหมายถงชดของเหตการณทเกดขนแลวจะสงผลตอความมนคงปลอดภยของทรพยากร
สารสนเทศ ชดของเหตการณเหลานมวตถประสงคหลกเพอการสราง การสกดกน การขดจงหวะ การดดแปลงแกไข และการปลอมแปลง เพอท�าลายความลบ ความครบถวนสมบรณ และความพรอมใชทรพยากรสารสนเทศทเปนเปาหมาย โดยสามารถจ�าแนกประเภทของภยคกคามตามทรพยากรทเปน เปาหมายไดดงตอไปน
1.1 ภยคกคามตอทรพยสนทางปญญา คอ ภยคกคามทเกดขนโดยหวงผลท�าลายความมนคงปลอดภยของทรพยสนทางปญญาของเปาหมายเชนในระดบองคกรตางๆซงโดยทวไปแลวการด�าเนนกจกรรมตางๆภายในองคกรมกท�าใหเกดกระบวนการและสรางองคความรตางๆ เพอใชในการแกปญหาและด�าเนนกจการภายในองคกร ขอมลตางๆ เหลานจงเปนทรพยสนทางปญญาขององคกรนนๆ รวมไปถงผลการวจย ความลบทางการคาซงอาจท�าใหองคกรนนไดเปรยบคแขงขน ในกรณของการใชงานสวนบคคลภยคกคามทอาจเกดขนตอทรพยากรสวนบคคล เชน การคดลอกผลงานหรอการคดลอกลขสทธของซอฟตแวรทตดตงในเครองคอมพวเตอรสวนบคคลเพอน�าไปใชงานโดยไมไดรบอนญาตเปนตน
1.2 ภยคกคามจากการโจมตโดยซอฟตแวรคอภยคกคามทเกดขนจากการโจมตของซอฟตแวรตอระบบเปาหมายไมวาจะเปนตอเครองคอมพวเตอรสวนบคคลระบบบรการทท�างานบนเซรฟเวอรหรอโครงสรางพนฐานเทคโนโลยสารสนเทศอนๆเชนเครอขายซอฟตแวรทใชโจมตดงทไดกลาวมานยมเรยกวา“มลแวร” ซงหมายถง ซอฟตแวรทถกออกแบบและพฒนาขนเพอสรางความเสยหายตอระบบเปาหมายและสามารถแบงออกเปนหลายประเภทตามวธการโจมตเปนคอมพวเตอรไวรส(computervirus)หนอนอนเทอรเนต(internetworms)โทรจน(trojan)และแบคดอร(backdoor)เปนตน
1.3 ภยคกคามตอคณภาพของบรการคอภยคกคามทกอกวนท�าใหความพรอมใชของทรพยากรสารสนเทศขององคกรไมสามารถใหบรการตอผใชงานไดอยางมประสทธภาพ เนองจากการท�างานขององคกรในปจจบนมแนวโนมการประยกตใชเทคโนโลยสารสนเทศและการสอสารในการท�างานมากยงขนเชนองคกรหนงๆอาจเปดใหบรการตางๆผานอนเทอรเนตเพอใหลกคาสามารถสงซอและด�าเนนธรกรรม
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-17ความมนคงปลอดภยระบบคอมพวเตอร
กบองคกรเมอเกดการโจมตตอเครอขายของผใหบรการอนเทอรเนตโดยการกอวนาศกรรมกบระบบเครอขายท�าใหผบรการตองใชเครอขายส�ารองซงมประสทธภาพต�ากวายอมสงผลใหความพรอมใชของระบบใหบรการตางๆทเชอมตอกบผใหบรการรายนลดลงเปนตน
1.4 ภยคกคามตอขอมลและสารสนเทศคอภยคกคามทมตอการรกษาความลบของขอมลบคคลและโครงสรางพนฐานระบบสารสนเทศ โดยมกเกดขนเมอผไมประสงคดประสบความส�าเรจในการเขาถงบรการตางๆ โดยไมไดรบอนญาตจากนนอาจท�าการน�าขอมลตางๆ ไปเปดเผย หรอขายใหกบองคกร คแขง นอกจากนยงรวมถงการแอบดกรบขอมลส�าหรบการพสจนตวจรงตางๆ เชน ชอผใชงาน และรหสผานส�าหรบเขาถงเครอขายหรอแมกระทงความพยายามในการแอบดรหสผานส�าหรบเขาใชเครองคอมพวเตอรสวนบคคลดงทแสดงในภาพท 14.6การเกบขยะทเกดขนในองคกรเพอคนหารหสผานทผใชงานอาจเขยนหรอพมพแลวทงโดยไมไดท�าลายตลอดจนการลกลอบจ�ารหสเอทเอมของเปาหมายเปนตน
ภาพท 14.6 การแอบดรหสผานของผไมประสงคด
1.5 ภยคกคามทเกดจากธรรมชาตคอภยคกคามทเกดขนโดยธรรมชาตเชนเมอเกดแผนดนไหวอาจท�าใหสายไฟฟาหรอสายใยแกวน�าแสงทเชอมโยงเครอขายเสยหายท�าใหโครงสรางพนฐานสารสนเทศตางๆไมสามารถใชการไดตามปกตการเกดอทกภยฉบพลนอาจสงผลใหองคกรไมสามารถด�าเนนกจกรรมไดตามปกต รวมไปถงเหตการณไฟไหมทเกดขนกบทรพยากรสารสนเทศตางๆ ทม ตลอดจนการสะสมของฝนทอาจท�าใหเกดไฟฟาลดวงจรบนแผงวงจรไฟฟาภยธรรมชาตทส�าคญๆเชนฟาผาแผนดนไหวน�าทวมพายไตฝนสนามดงทเคยเกดขนกบองคกรส�าคญๆในประเทศทสญเสยขอมลส�าคญขององคกรอนเนองมาจากอทกภยเปนตน
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-18 คอมพวเตอรเบองตน
1.6 ภยคกคามจากความผดพลาดของมนษยคอภยคกคามทมสาเหตมาจากความผดพลาดของผใชงานทมสทธเขาถงและบรหารจดการระบบในทกระดบ เชน ผใชงานทวไปนยมเขยนรหสผานส�าหรบเขาใชงานระบบตางๆ แลวแปะไวบนจอคอมพวเตอร สงผลใหขอมลทใชในการพสจนตวจรงอาจถกผไมประสงคดน�าไปใชและใชสทธของผใชคนนนในการโจมตตอความมนคงปลอดภยของทรพยากรสารสนเทศขอผดพลาดอนๆ เชน การปรบแตงการตงคาของอปกรณและซอฟตแวรทเกยวของผดพลาด การใชงานคอมพวเตอรสวนบคคลผใชงานอาจปรบตงคาการท�างานซอฟตแวรปองกนคอมพวเตอรไวรสผดพลาดท�าใหไมมการปรบปรงฐานขอมลของซอฟตแวรเมอเวลาผานไปซอฟตแวรนนกไมสามารถตรวจจบคอมพวเตอรไวรสใหมๆไดสงผลใหเกดปญหาทเกยวของกบความมนคงปลอดภยกบคอมพวเตอรเครองนนๆเปนตน
1.7 ภยคกคามจากการขมขและการเปดเผยขอมล คอ ภยคกคามทเกดขนเมอผไมประสงคดหรอบคลากรในองคกรโจรกรรมขอมลจากระบบสารสนเทศแลวท�าการเรยกคาไถกบเจาของขอมลหรอเจาของระบบเชนการโจรกรรมหมายเลขบตรเครดตจากระบบบรการรานคาออนไลนตางๆทงนหากผไมประสงคดด�าเนนการส�าเรจแลวน�าขอมลดงกลาวเผยแพรตอสาธารณะจะท�าใหเกดผลเสยหายตอองคกรนนๆ อยางมาก เพอแลกเปลยนกบความเสยหายทอาจเกดขนจงเกดการเจรจาตอรองและเรยกคาไถเปนตน
1.8 ภยคกคามจากการบรหารจดการทหละหลวมคอภยคกคามทเกดขนจากการก�าหนดแผนงานและจดการนโยบายการใชงานทรพยากรสารสนเทศอยางไมเหมาะสมท�าใหเกดชองโหวในการบรหารจดการจนสงผลใหหากเกดการโจมตตอทรพยากรสารสนเทศในองคกรนนๆเชนการก�าหนดนโยบายการเขาถงและการก�าหนดสทธทไมรอบคอบรดกมการไมก�าหนดใหมการพสจนตวจรงกอนการเขาถงทรพยากรเปนตน
1.9 ภยคกคามจากมาตรการควบคมทไมเหมาะสมคอภยคกคามทเกดขนจากการควบคมและการปรบตงคาอปกรณในโครงสรางพนฐานสารสนเทศไมเหมาะสมอนเปนผลมาจากการออกแบบการท�างานทดอยประสทธภาพเชนการปลอยใหผใชทวไปสามารถเขาถงเนตเวรกสวตชสามารถท�าการปรบตงคาใหมการดกรบขอมลได เนองจากไมมการปรบตงชอรหสผานผใชเพอจ�าแนกเจาหนาทดแลระบบออกจากผใชงานทวไปผใชงานทไมประสงคดอาจคนรหสผานมาตรฐานของอปกรณนนๆแลวเขาไปรบตงคาตางๆซงอาจสงผลกระทบตอความมนคงปลอดภยของทรพยากรตางๆในองคกรไดเปนตน
1.10 ภยคกคามจากการกอการรายและการบอนท�าลาย คอ ภยคกคามทเกดขนโดยมแรงจงในในการบอนท�าลายความมนคงปลอดภยของทรพยากรพนฐานขององคกร เชน ความพยายามในการเขาควบคมระบบควบคมตางๆ ของโรงไฟฟาหรอศนยโทรคมนาคมเพอสรางความสบสนวนวายใหกบสงคมและสงผลกระทบตอผคนในวงกวาง เพอตอบสนองตอแรงจงใจทางการเมอง ศาสนา และความเชอของกลมเปนตน
1.11 ภยคกคามจากการขโมยคอการโจรกรรมตางๆเกดขนตอทรพยสนขององคกรไมวาจะเปนในรปของขอมลฮารดแวรโดยอาจมแรงจงใจทหลากหลายเชนการน�าสนคานนๆไปขายทอดตลาดหรอการน�าทรพยสนนนๆไปเพอคนหาขอมลทตองการแลวน�าขอมลนนๆไปใชประโยชนตอไปเชนการขโมยคอมพวเตอรโนตบกของวศวกรองคกรคแขงเพอน�าไปสบคนขอมลทเกยวของเปนตน
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-19ความมนคงปลอดภยระบบคอมพวเตอร
1.12 ภยคกคามจากความผดพลาดของฮารดแวรคอภยคกคามทเกดขนเนองจากขอบกพรองของฮารดแวรจนอาจท�าใหสงกระทบตอความมนคงปลอดภย เชน ความผดพลาดในการออกแบบหนวยประมวลผลกลาง(CentralProcessingUnit;CPU)ซงสงผลใหมขอบกพรองเกยวกบการค�านวณเลขจดทศนยม อาจสงผลเสยตอความครบถวนสมบรณของขอมลและสารสนเทศทถกประมวลผล หรอความผดพลาดดานการรกษาความมนคงปลอดภยของอปกรณเราเตอรทหากผไมประสงคดท�าการโจมตตอ ขอผดพลาดดงกลาวจะสามารถเขาโจมตอปกรณอนๆทเชอมตอกบเราเตอรไดเปนตน
1.13 ภยคกคามจากความผดพลาดของซอฟตแวรคอภยคกคามทเกดจากความผดพลาดของซอฟตแวร เชน ขอผดพลาดในขนตอนการพฒนาซอฟตแวรทไมไดรบการทดสอบทงนอาจกลาวไดวาซอฟตแวรทถกใชงานเกอบทกชนดมชองโหวทหากผไมประสงคดท�าการโจมตตอชองโหวนนๆส�าเรจจะเปนภยคกคามตอความมนคงปลอดภยสารสนเทศได ผสนใจสามารถขอผดพลาดทเกดขนกบซอฟตแวรเพมเตมไดจากเวบไซตwww.securityfocus.com
1.14 ภยคกคามจากเทคโนโลยทลาสมยคอภยคกคามทเกดจากการใชงานเทคโนโลยทลาสมยซงอาจใหสารสนเทศทถกสรางประมวลผลและจดเกบขนมความไมมนคงปลอดภยโดยเปนผลสบเนองจากโครงสรางพนฐานของเทคโนโลยลาสมยอนเกดจากผผลตเทคโนโลยดงกลาวไดยกเลกการใหการสนบสนนหลงการขายเนองจากไดมการพฒนาเทคโนโลยใหมๆ ขนมาทดแทนเรยบรอยแลว ตวอยางทส�าคญเชนการใชงานระบบปฏบตการทถกยกเลกสายการผลตไปแลวยอมไมไดรบการปรบปรงคณสมบต (update)ทส�าคญๆซงหมายความวาชองโหวทมอยในระบบปฏบตการนนจะไมไดรบการแกไขจะเปนการเพมโอกาสของการโจมตส�าเรจหากคอมพวเตอรเครองนนตกเปนเปาหมายของการโจมต
2. การโจมตการโจมตหมายถงกจกรรมตางๆทกระท�าขนตอชองโหวของทรพยากรสารสนเทศเพอท�าลาย
ความมนคงปลอดภยของทรพยากรนนๆ ตลอดจนทรพยากรอนๆ ทเกยวของการโจมตแตกตางจาก ภยคกคามในมมมองทวาภยคกคามนนจะมอยเสมอนบตงแตองคกรใชงานทรพยากรสารสนเทศ เชน ภยคกคามทเกยวของกบฝนฟาคะนองจะเกดขนกตอเมอมพายฝนจ�านวนมากแตวาการโจมตและผลเสยหายทเกดขนจากฝนฟาคะนองจะเกดขนกตอเมอเกดฟาผาทรพยากรทเกยวของจรงๆ เปนตน ในทนจะกลาวถงการโจมตหลกๆดงตอไปน
2.1 มลแวร (malware)หมายถงการโจมตทเกดขนอนเปนผลจากซอฟตแวรทถกพฒนาขนเพอท�าลายความมนคงปลอดภยของระบบคอมพวเตอร เชน ไวรสคอมพวเตอร หนอนอนเทอรเนต โทรจนหรอซอฟตแวรเรยกคาไถตางๆโดยซอฟตแวรเหลานนมกมความสามารถในการดกรบท�าลายขโมยหรอจ�ากดการเขาถงทรพยากรสารสนเทศของผมสทธใชงาน
2.2 โฮกส (hoax)หมายถงการโจมตตอทรพยากรสารสนเทศโดยการหลอกผใชงานวาซอฟตแวรนนๆสามารถก�าจดมลแวรตางๆไดแตในความเปนจรงแลวซอฟตแวรนนถกพฒนาขนโดยมการซอนการท�างานพเศษทถกออกแบบมาใหท�างานอยางใดอยางหนง เชน การดกรบขอมลจากคยบอรด สงผลตอ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-20 คอมพวเตอรเบองตน
ความมนคงปลอดภยของทรพยากรของเปาหมายผใชงานอาจตดตงและแจกจายซอฟตแวรนนใหกบเพอนรวมงานอนๆท�าใหเกดการแพรกระจายมากขนเปนตน
2.3 แบคดอร (back door) นยมเรยกอกอยางหนงวาประตลบโดยมลกษณะเปนซอฟตแวรท ผพฒนาซอฟตแวรพฒนาไวเพอบรหารจดการซอฟตแวรระหวางการพฒนาส�าหรบแกปญหาทเกดขนจากทบานโดยทไมมผอนลวงรซงอาจเปนชองทางทถกใชในการโจรกรรมหรอท�าลายขอมลทส�าคญขององคกรนอกจากนยงหมายรวมถงการตดตงซอฟตแวรทท�าหนาทรองรบการเชอมตอจากผไมประสงคดเมอระบบถกโจมตส�าเรจโดยซอฟตแวรดงกลาวจะท�าใหผไมประสงคดสามารถเขาถงระบบไดโดยไมจ�าเปนตองด�าเนนการโจมตอกครง แบคดอรบางชนดถกออกแบบใหท�างานในระดบฮารดแวรโดยมวตถประสงคหลกในการดกรบขอมลส�าคญเชนกญแจรหสลบแลวสงขอมลนนไปยงผไมประสงคด
2.4 การแครกรหสผาน (password crack) หมายถง การด�าเนนการวศวกรรมยอนกลบเพอค�านวณรหสผานทใชในการพสจนตวจรง ผไมประสงคดนยมวเคราะหรหสส�าหรบเขาใชงานระบบดวยเทคนคการวเคราะหไฟลฐานขอมลผใชงานซงนยมเรยกวาSAM(SecurityAccountManeger)ทถกจดเกบในระบบซงจดเกบขอมลรหสในรปของขอมลแฮช
2.5 บรทฟอรซ (brute force) หมายถง การโจมตดวยการคาดเดารหสผานทเปนไปไดเขาสบรการทตองการโจมตโดยการใชชอผใชพนฐานของระบบหรอชอผใชทตกเปนเปาหมายของการโจมตผานฐานขอมลรหสผานซงนยมเรยกวาดคชนนาร(dictionary)ซงจดเกบรหสผานทผใชงานนยมเลอกใช
2.6 การท�าใหระบบปฏเสธการใหบรการ (Denial of Service; DoS)หมายถงการโจมตตอระบบโดยมงหวงผลท�าใหระบบนนไมสามารถใชการได เทคนคการโจมตเพอหวงผลดงกลาวอาจแบงแยกไดหลายระดบเชนการโจมตแบบปงออฟเดด(pingofdeath)ซงเปนการโจมตหวงผลโจมตตอเปาหมายดวยการสงขอมลไอซเอมพแพกเกตขนาดใหญไปยงเครองเปาหมาย หากแฮกเกอรโจมตดวยเทคนคน ตอเครองเปาหมายนนมชองโหวนจะสงผลท�าใหเครองเปาหมายไมสามารถใชงานเครอขายไดนอกจากนยงมเทคนคการโจมตอนๆ เชน การโจมตตอระบบงานเวบ (web application) ดวยการสงขอมลทเมอระบบงานประมวลผลแลวเกดขอผดพลาดอยางรายแรง ไมสามารถท�างานตอไปได สงผลใหผใชทมสทธ ใชงานอนๆไมสามารถเขาใชงานระบบไดเปนตน
2.7 สปฟฟง (spoofing)หมายถงการปลอมแปลงเปนบคคลหรอสงอนๆโดยท�าใหเชอวาเปาหมายก�าลงปฏสมพนธกบบคคลหรอสงอนๆนนจรงๆ เชน เทคนคการโจมตแบบไอพสปฟฟง (IP spoofing)จะหมายถงการโจมตทผโจมตท�าการการปลอมแปลงไอพแพกเกตเฮดเดอรใหเสมอนกบวาไดรบอนญาตใหเขาใชงานทรพยากรบนเครอขาย เทคนคการโจมตทเกยวของกบการปลอมแปลงอนๆ เชน การโจมตโดยการปลอมแปลงขอมลทเกยวของกบบรการสอบถามโดเมน(DNSspoofing)โดยมรายงานการโจมตตอชองโหวของโมเดมระบบเอดเอสแอลบางรนทเมอโจมตส�าเรจจะอนญาตใหผไมประสงคดสามารถก�าหนดไอพแอดเดรสของโดเมนเนมเซรฟเวอรเปนไอพแอดเดรสทผไมประสงคดสรางไวเมอเครองทเชอมตอกบโมเดมนนสอบถามหมายเลขไอพแอดเดรสกจะไดรบไอพแอดเดรสทถกก�าหนดขนโดยผไมประสงคดและเพมโอกาสใหเหยอสญเสยขอมลพสจนตวจรงแกผไมประสงคดเปนตน
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-21ความมนคงปลอดภยระบบคอมพวเตอร
2.8 การโจมตแบบคนกลาง (man-in-the-middle)หมายถงการโจมตทเกดขนเมอผไมประสงคดท�าการดกรบขอมลบนเครอขายทท�าการเปลยนแปลงขอมลนนจากนนจงสงขอมลทเปลยนแปลงดงกลาวไปยงปลายทางจะเหนวาการโจมตลกษณะนจะเกยวของกบการปลอมแปลงและควบคมเสนทางการเดนทางของขอมลใหมการไหลผานผไมประสงคด หากเปรยบเทยบจะคลายคลงกบวรรณคดไทยเกยวกบฤาษ แปลงสาร ทผไมประสงคดจะดกรบ เขาถงและเปลยนแปลงขอมลกอนทจะสงไปยงปลายทาง เปนตน การลดผลส�าเรจของการโจมตแบบคนกลางสามารถกระท�าใหโดยใชโครงสรางพนฐานกญแจสาธารณะ(public key infrastructure) ซงหากผใชงานมความตระหนกรถงวธการใชงานอยางถกตองจะสามารถปองกนการโจมตลกษณะนไดเปนอยางด
2.9 สแปม (spam)หมายถงลกษณะการไดรบขอมลทผรบไมตองการ เชนการไดรบจดหมายอเลกทรอนกสหรอขอความสน(ShortMessageService;SMS)ตางๆโดยทผใชงานไมไดตองการรบทราบขอมลซงอาจสรางความร�าคาญใจใหกบผใชงาน หรอในบางกรณอาจท�าใหเกดการใชชองสญญาณการสอสารมากผดปกตเปนตน
2.10 การดกรบ/ดกฟง (sniffing)หมายถงการโจมตโดยการดกรบหรอดกฟงขอมลทรบสงกนโดยไมไดรบสทธโดยมงหวงการเปดเผย และแปรความหมายขอมลเหลานน ทงนการดกรบหรอดกฟงสามารถกระท�าไดทงในเครอขายแบบใชสายสญญาณเชนอเธอรเนต(ethernet)สายใยแกวน�าแสงหรอเครอขายไรสายอนๆ เชน เครอขายไรสายเฉพาะบรเวณทสรางขนบนโทรศพทโดยไมมการก�าหนดใหมการเขารหสขอมลเปนตน
2.11 วศวกรรมทางสงคม (social engineering)หมายถงการโจมตโดยใชทกษะทเกยวของกบการเขาสงคมในการโจมตตอเปาหมายเพอใหไดมาซงขอมลทใชในการพสจนตวจรง หรอขอมลทส�าคญอนๆเพอใชในการพสจนตวจรงและไดรบสทธในการเขาใชงานในระบบเชนการโทรศพทโดยเลยนเสยงเปาหมาย หรอการปลอมแปลงเปนผบงคบบญชาของเหยอ เพอสอบถามขอมลทตองการ ตลอดจน การลอลวงใหเปาหมายเขาใจผดแลวกระท�าการอยางใดอยางหนงเพอใหบรรลเปาหมายของผโจมต เชนการหลอกใหเหยอโอนเงนผานตเอทเอม โดยท�าทเปนพนกงานของธนาคารซงจะสนทนากบเหยอโดยลอลวงใหกระท�าโดยขาดความตระหนกรเทคนคการโจมตทเกยวของกบวศวกรรมทางสงคมทส�าคญไดแกการโจมตแบบฟชชงซงมลกษณะการโจมตโดยการสงจดหมายอเลกทรอนกสหาเหยอโดยมเนอหาทท�าใหเหยอกระท�าการทผไมประสงคดตองการ เชนแจงเตอนวาบญชผใชงานของเหยอถกโจมตใหเหยอเขาไปแกไขขอมลโดย โดยการลอลวงไปยงเวบไซตปลอมทมลกษณะคลายคลงกบเวบไซตของผใหบรการจรงๆเปนตน
2.12 ฟารมมง (pharming)หมายถงการโจมตโดยการควบคมเสนทางการสงขอมลของผใชงานไปยงเปาหมายหลอกโดยมวตถประสงคหลกในการไดมาซงขอมลทใชในการพสจนตวจรงตอบรการตางๆโดยปกตการโจมตลกษณะนจะกระท�าผานโทรจน หรอการโจมตบรการสอบถามโดเมน (DNS cachepoisoning)โดยเมอผใชงานเรยกใชงานบรการทตองการโทรจนจะเปลยนเสนทางจากปลายทางทแทจรงไปยงเวบไซตปลอมทถกสรางขนมาส�าหรบรบขอมลพสจนตวจรงเปนตน
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-22 คอมพวเตอรเบองตน
กจกรรม 14.1.2
1. จงอธบายลกษณะของผลกระทบตอความมนคงปลอดภยทเกดจากภยคกคามทเกดขนตามธรรมชาต
2.จงอธบายผลกระทบของสแปมเมลตอการใหบรการจดหมายอเลกทรอนกสและความเกยวของกบการโจมตดวยเทคนคทางสงคม
แนวตอบกจกรรม 14.1.2
1. โดยปกตภยคกคามตามธรรมชาตมกสงผลโดยตรงตอความพรอมใชของทรพยากรนนๆเชนเมอเกดฟาผาตออปกรณสอสารอาจท�าใหอปกรณนนๆเสยหายไมสามารถใชงานไดเปนตน
2. จดหมายอเลกทรอนกสสงผลโดยตรงตอผใชงานทเปนเจาของอเมลนนๆ นอกจากนยงสงผลท�าใหมการใชงานเครอขายมากขน ในกรณทชองสญญาณการสอสารมไมมากพออาจสงผลใหชองสญญาณเตมหรอใชพนทในระบบเตมและไมสามารถรบจดหมายทควรได เปนตน และมความเกยวของกบการโจมตดวยเทคนคทางสงคมเนองจากเปนชองทางหนงในการเขาถงเหยอ โดยหากเหยอหลงเชอและด�าเนนการตามขอความทปรากฏในจดหมายนนอาจท�าใหการโจมตตอๆมาส�าเรจไดเปนตน
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-23ความมนคงปลอดภยระบบคอมพวเตอร
ตอนท 14.2
แนวทางการจดการความมนคงปลอดภยระบบคอมพวเตอร
โปรดอานหวเรองแนวคดและวตถประสงคของตอนท14.2แลวจงศกษารายละเอยดตอไป
หวเรอง14.2.1แบบจ�าลองความมนคงปลอดภย14.2.2แนวทางบรหารจดการความมนคงปลอดภย
แนวคด1. แบบจ�าลองการรกษาความมนคงปลอดภยถกพฒนาขนเพอใชในการก�าหนดนโยบาย
วธการ ตลอดจนเทคโนโลยทจ�าเปนส�าหรบการรกษาความมนคงปลอดภยทรพยากรนนๆ แบบจ�าลองทนยมใชอยางแพรหลายในการรกษาความมนคงปลอดภยคอ แบบจ�าลองของจอหน แมคควเบอร ซงก�าหนดเปาหมายหลกของการรกษาความมนคงปลอดภยซงประกอบดวยการรกษาความลบ การรกษาความครอบถวนสมบรณ และความพรอมใช โดยครอบคลมถงสถานะของทรพยากรทตองการรกษาความมนคงปลอดภยตลอดจนแนวทางการปองกนทเหมาะสม
2. การประยกตใชงานเทคโนโลยรวมกบการบรหารจดการความมนคงปลอดภยอยางเหมาะสมโดยเฉพาะอยางยงการก�าหนดนโยบายการประยกตใชงานเทคโนโลยทเกยวของและควบคมการปฏบตใหเปนไปตามทก�าหนดในนโยบายจะสรางความมนใจไดวาการผลตประมวลผลจดเกบและแสดงผลทรพยากรสารสนเทศนนๆมความมนคงปลอดภยกลาวไดวาความส�าเรจของการรกษาความมนคงปลอดภยขนอยกบการวางแผนและก�าหนดนโยบายการรกษาความมนคงปลอดภยการปฏบตตามแผนการการตรวจสอบการปฏบตตามวงรอบและการปรบเปลยนแผนนโยบายใหสอดคลองกบเหตการณทเปลยนแปลง
วตถประสงคเมอศกษาตอนท14.2จบแลวนกศกษาสามารถ1. ประยกตใชหลกการรกษาความมนคงปลอดภยได2. วเคราะหความส�าคญของมนษยตอการรกษาความมนคงปลอดภยได3. วเคราะหความส�าคญของนโยบายการรกษาความมนคงปลอดภยได4. วเคราะหผลกระทบของการโจมตตอทรพยากรสารสนเทศได5. ก�าหนดมาตรการปองกนทเหมาะสมส�าหรบรกษาความมนคงปลอดภยได6. วเคราะหขอจ�ากดของมาตรการปองกนได
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-24 คอมพวเตอรเบองตน
เรองท 14.2.1
แบบจ�าลองความมนคงปลอดภย
แบบจ�าลองความมนคงปลอดภย (computer securitymodel) เปนเครองมอทถกพฒนาขนส�าหรบการบรหารความมนคงปลอดภยของสารสนเทศ มขอบเขตรวมถงการรกษาความมนคงปลอดภยระบบคอมพวเตอรและการจดการนโยบายทเกยวของอนๆโดยมวตถประสงคหลกในการก�าหนดมาตรการควบคม แนวทางการปองกน การก�าหนดนโยบายและกฎระเบยบทเกยวของกบการรกษาความมนคงปลอดภย
1. แบบจ�าลองความมนคงปลอดภยของแมคควเบอรมผเสนอแบบจ�าลองความมนคงปลอดภยไวหลากหลาย เชน แบบจ�าลองของแกรมและเดนนง6
แบบจ�าลองของคลากและวนสน7แบบจ�าลองของบรวและแนช8เปนตนแตแบบจ�าลองความมนคงปลอดภยทไดรบการยอมรบอยางกวางขวางในการปรบใชกบการรกษาความมนคงปลอดภยสารสนเทศถกพฒนาขนโดยจอหน แมคคมเบอร (JohnMcCumber) โดยน�าเสนอเปนแผนภาพดงทแสดงในภาพท 14.7 และ ไดรบความนยมเรยกวา แมคคมเบอรควบ (McCumberCube) โดยแสดงองคประกอบทจ�าเปนในการรกษาความมนคงปลอดภยของขอมลขาวสาร ไดแก เปาหมายหลกของการรกษาความมนคงปลอดภย(desiredgoal)สถานะของสารสนเทศ(informationstate)และแนวทางปองกน(safeguard)
6 Graham-Denningmodelน�าเสนอแบบจ�าลองทก�าหนดกระบวนการและวธการส�าหรบการสรางลบสารสนเทศและการก�าหนดมาตรการควบคมการเขาถงและก�าหนดสทธอยางเหมาะสม
7 Clark–Wilsonmodel น�าเสนอแบบจ�าลองทก�าหนดกระบวนการ วธการและแนวทางการวเคราะหความครบถวนสมบรณของสารสนเทศ
8 Brewer andNashmodel น�าเสนอแบบจ�าลองการควบคมการเขาถงสารสนเทศทสามารถปรบเปลยนไดหากมการก�าหนดมาตรการทมการทบซอนกนระหวางทรพยากร
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-25ความมนคงปลอดภยระบบคอมพวเตอร
ภาพท 14.7 แมคคมเบอรควบ ทมา: http://en.wikipedia.org/wiki/McCumber_cubeสบคนเมอ20กนยายน2558.
โดยในแตละองคประกอบหลกจะมรายละเอยดทเกยวของดงตอไปน1.1 เปาหมายหลกของการรกษาความมนคงปลอดภย
1.1.1 การรกษาความลบ (confidentiality)หมายถงการจดการใหทรพยากรนนถกลวงรและแปลความหมายไดจากผทมสทธ
1.1.2 การรกษาความครบถวนสมบรณ (integrity)หมายถงการจดการใหทรพยากรนนมความครบถวนสมบรณมกลไกตรวจสอบการถกเปลยนแปลงแกไข
1.1.3 การรกษาความพรอมใช (availability) หมายถง การจดการใหทรพยากรนนถก เขาถงและใชงานไดจากผมสทธอยเสมอ
1.2 สถานะของสารสนเทศ
1.2.1 การจดเกบ (storage) หมายถง ทรพยากรสารสนเทศใดๆ ทถกจดเกบในแหลงจดเกบขอมลเชนสภาวะทสารสนเทศนนถกจดเกบในหนวยความจ�าฮารดดสกเปนตน
1.2.2 การประมวลผล (processing) หมายถง ทรพยากรสารสนเทศใดๆ ทถกก�าลงถกประมวลผล
1.2.3 การรบสง (transmission) หมายถง ทรพยากรสารสนเทศใดๆ ทก�าลงถกรบ-สงผานตวกลางการสอสารเชนการสงขอมลพสจนตวจรงผานเครอขายเปนตน
1.3 แนวทางปองกน
1.3.1 การจดการนโยบาย (policy)หมายถงการก�าหนดระเบยบวธปฏบตทเกยวของกบการรกษาความมนคงปลอดภยทรพยากรสารสนเทศตางๆ
1.3.2 ทรพยากรมนษย (human factor) หมายถง บคคลทมสวนเกยวของกบทรพยากรสารสนเทศนนๆ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-26 คอมพวเตอรเบองตน
1.3.3 เทคโนโลย (technology)หมายถงเทคโนโลยทเกยวของและสามารถน�ามาประยกตใชในการรกษาความมนคงปลอดภยทรพยากรสารสนเทศ เชน เทคโนโลยการเขารหสลบ เทคโนโลยทเกยวของกบการพสจนตวจรงเปนตน
จากแบบจ�าลองนเมอตองการรกษาความมนคงปลอดภยใหกบทรพยากรใดๆผมสวนเกยวของจะตองพจารณาเปาหมายหลกของการรกษาความมนคงปลอดภยรวมกบมมมองอนๆ คอ สถานะของสารสนเทศและแนวทางปองกน เชนพนผวทเปนจดตดกนระหวางการรบสงขอมลการรกษาความลบและเทคโนโลย แสดงใหเหนถงความจ�าเปนทจะตองมการเลอกใชเทคโนโลยทเหมาะสมส�าหรบการรกษาความลบของขอมลขาวสารทถกรบสงระหวางกน ซงเทคโนโลยทเกยวของในกรณนอาจเกยวของกบการเขารหสขอมลขาวสารนนๆกระบวนการพสจนตวจรงของอปกรณสอสารเพอใหมนใจไดวาการรบสงขอมลนนจะไมถกสงตอไปยงอปกรณทไมไดรบสทธ ทงนแบบจ�าลองนจะถกใชในการพจารณาก�าหนดนโบยายและขอก�าหนดทเกยวของกบการควบคมการประยกตใชงานเทคโนโลยตางๆเพอรกษาความมนปลอดภยของขอมลขาวสารซงจะถกกลาวถงตอๆไปในหนวยการเรยนการสอนทเกยวของกบการรกษาความมนคงปลอดภย
2. ตวอยางการประยกตใชงานแบบจ�าลอง2.1 การโจมตของซอฟตแวรไมพงประสงคซอฟตแวรไมพงประสงคในปจจบนมความสามารถ
ในการโจมตตอทรพยากรของระบบคอมพวเตอรไดหลากหลายโดยในทนเปนการยกตวอยางการใชงานแบบจ�าลองของแมคคมเบอรในการรกษาความมนคงปลอดภยจากการโจมตของคยลอกเกอรซงเปนซอฟตแวรไมพงประสงคทถกออกแบบมาส�าหรบการดกรบขอมลการใชงานคอมพวเตอรผานคยบอรด แบบจ�าลองของแมคคมเบอรสามารถน�ามาประยกตใชในการรกษาความมนคงปลอดภยจากการโจมตของซอฟตแวรไมพงประสงคดงทแสดงตารางท14.1
ตารางท 14.1 การประยกตใชแบบจ�าลองแมคคมเบอรส�าหรบการโจมตของซอฟตแวรไมพงประสงค
เปาหมายหลก สถานะ แนวทางการปองกน
ความลบ การจดเกบประมวลผล
นโยบาย : การตดตงและปรบปรงฐานขอมลมลแวร : การก�าหนดตารางการตรวจสอบมลแวรตาม
ชวงระยะเวลาเทคโนโลย : ระบบตรวจจบผบกรกส�าหรบโฮสต : ระบบตรวจจบมลแวรทรพยากรบคคล : พฒนาความตระหนกร : เสรมสรางความรความเขาใจ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-27ความมนคงปลอดภยระบบคอมพวเตอร
2.2 การโจมตดวยเทคนคการท�าใหระบบปฏเสธการใหบรการแบบ DDoSการโจมตดวยเทคนคการท�าใหระบบปฏเสธการใหบรการ (Denial of Service) เปนภยคกคามทส�าคญประการหนงของ การใหบรการอนเทอรเนตทสงผลใหผทมสทธใชงานไมสามารถใชงานเครอขายได ในทนเปนตวอยาง การประยกตใชแบบจ�าลองของแมคคมเบอรในการรกษาความมนคงปลอดภยตอการโจมตดวยเทคนคDDoSซงเปนการโจมตจากผไมประสงคดหลายๆรายพรอมๆกนเมอพจารณาภยคกคามและแนวทางการจดการตอภยคกคามดงทแสดงในตารางท14.2
ตารางท 14.2 การประยกตใชแมคคมเบอรโมเดลส�าหรบจดการ DDoS
เปาหมายหลก สถานะ แนวทางการปองกน
ความพรอมใช การรบสง นโยบาย : การเฝาตรวจเครอขายเทคโนโลย : ระบบตรวจจบผบกรกทางเครอขาย(IDS)ทรพยากรบคคล : พฒนาความสามารถใหตอบสนองตอสถานการณ
2.3 การโจมตดวยเทคนคบรทฟอรซตอบรการเอฟทพ การโจมตดวยเทคนคบรทฟอรซจะสมรหสผานจากฐานขอมลรหสผานทไดรบความนยมตงแลวสงเขาสบรการโดยมวตถประสงคหลกเพอเขาใชงานบรการโดยไมไดรบอนญาตหากรหสผานทตงไวเปนรหสผานทตรงกบฐานขอมลจะท�าใหผไมประสงคดสามารถเขาใชงานระบบไดและอาจท�าใหผไมประสงคดสามารถเปลยนรหสผานเปลยนแปลงแกไขขอมลในเซรฟเวอรและปลอมแปลงเปนเจาของบญชผใชนนได
ตารางท 14.3 การประยกตใชแบบจ�าลองแมคคมเบอรส�าหรบจดการ FTP Bruteforcing
เปาหมายหลก สถานะ แนวทางการปองกน
ความลบความครบถวนสมบรณความพรอมใช
การจดเกบ นโยบาย : การตงรหสผาน การจ�านวนความผดพลาดในการพสจนตวจรง การเฝาตรวจเหตการณผดปกต
เทคโนโลย : ระบบตรวจจบผบกรกทรพยากรบคคล : ผใชงานตองตงรหสผานทยากตอการคาดเดา
และไมปรากฏในฐานขอมลรหสผาน
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-28 คอมพวเตอรเบองตน
จะเหนวาการน�าเทคโนโลยทดทสดประกอบกบการก�าหนดนโยบายการรกษาความมนคงปลอดภยทดทสด ยงไมอาจกลาวไดวาการสรางความมนคงปลอดภยใหกบทรพยากรสารสนเทศแบบสมบรณนนเปนไปได ไมวาจะในระดบองคกรหรอระดบบคคลทงนเนองจากการรกษาความมนคงปลอดภยเปน กระบวนการ และการด�าเนนการใหมนใจไดวาทรพยากรเหลานนถกใชงานอยางมนคงปลอดภย อยางไรกดการน�าแบบจ�าลองของแมคควเบอรมาประยกตใชในการจดการความเสยง และบรหารความเสยงจะเปนเครองมอและตวชวดพนฐานทส�าคญส�าหรบการรกษาความมนคงปลอดภย
กจกรรม 14.2.1
1. จงประยกตใชแบบจ�าลองแมคคมเบอรส�าหรบการแอบดรหสผาน2.จงประยกตใชแบบจ�าลองแมคคมเบอรส�าหรบการดกรบขอมลพสจนตวจรงตอระบบจดหมาย
อเลกทรอนกสผานเวบ
แนวตอบกจกรรม 14.2.1
1.
เปาหมายหลก สถานะ แนวทางการปองกน
ความลบ การรบสง นโยบาย :ไมเปดเผยรหสผานตอผอนไมตดรหสผานบนหนาจอเทคโนโลย : ใชเทคโนโลยส�าหรบการพสจนตวจรงเชนยเอสบโทเคนทรพยากรบคคล : ผใชงานไดรบการอบรมชแจงใหตระหนกถงรปแบบและ
วธการปองกนการแอบดรหสผาน
2.
เปาหมายหลก สถานะ แนวทางการปองกน
ความลบ การรบสง นโยบาย : บงคบใชการเทคนคการเขารหสส�าหรบการใชงานบรการจดหมายอเลกทรอนกส
เทคโนโลย : HTTPSทรพยากรบคคล : ผใชงานไดรบการอบรมชแจงใหตระหนกถงรปแบบ
ขอบงชและเหตผดปกตทเปนผลของการโจมต
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-29ความมนคงปลอดภยระบบคอมพวเตอร
เรองท 14.2.2
แนวทางบรหารจดการความมนคงปลอดภย
การประยกตใชงานเทคโนโลยรวมกบการบรหารจดการความมนคงปลอดภยอยางเหมาะสมโดยเฉพาะอยางยงการก�าหนดนโยบาย การประยกตใชงานเทคโนโลยทเกยวของ และควบคมการปฏบตใหเปนไปตามทก�าหนดในนโยบายจะสรางความมนใจไดวาการผลต ประมวลผล จดเกบ และแสดงผลทรพยากรสารสนเทศนนๆมความมนคงปลอดภย
1. การควบคมการเขาถงทรพยากรการควบคมการเขาถงทรพยากรสารสนเทศจะถกด�าเนนการโดยการก�าหนดและใชงานมาตรการ
ควบคม (access control) ซงหมายถง กระบวนการ วธการ หรอระบบซงจะท�าการตรวจสอบผใชงานกอนอนญาตใหผใชงานทผานการตรวจสอบนนเขาถงทรพยากรสารสนเทศใดๆไดยกตวอยางมาตรการควบคมส�าหรบการเขาใชงานเครองคอมพวเตอรสวนบคคลโดยทวไปทนยมใชคอการปอนรหสผใชงานและรหสผานมาตรการควบคมส�าหรบการผานเขาออกหองอาจมการตดตงระบบคยการดใหเฉพาะผทมการดเทานนจงจะสามารถเขาออกได หรอแมกระทงการแจกจายกญแจเฉพาะเจาหนาทผมหนาทเกยวของในการเขาถงหองใดหองหนง กจดเปนมาตรการการควบคม ทงนมาตรการควบคมสามารถจ�าแนกเปน 3ประเภทคอ
1.1 การควบคมการเขาถงภาพบงคบ (mandatory access control)หมายถงหลกการควบคมการเขาถงแบบทผใชงานไมสามารถเปลยนแปลงสทธการเขาถงทรพยากรไดดวยตนเองเหมาะส�าหรบการควบคมทรพยาการทมขอมลและสทธของผใชงานมความชดเจนเนองจากผใชงานแตละคนจะถกแบงมอบสทธในการเขาถงทรพยากรเปนกลมๆ(classorcategory)ในแตละกลมจะมการจดล�าดบความมนคงปลอดภยเชนการแบงขอมลออกแบบลบทสดลบมากลบและไมจดล�าดบชนความลบเปนตน
1.2 การควบคมการเขาถงโดยผใช (discretionary access control) มหลกการการควบคม การเขาถงทรพยากรในลกษณะของการใหสทธแกเจาของหรอผไดรบสทธนน เมอมการรองขอการพสจนสทธจากผใชงานกลไกการตรวจสอบสทธทไดรบอนญาตของผใชงานจะถกตรวจสอบและกลไกนจะเปนผสงตอสทธทผใชงานไดรบใหสามารถเขาถงทรพยากรไดอกตอหนงซงกลไกนเปนกลไกมาตรฐานทระบบฐานขอมลนยมใชในการควบคมการเขาถงโดยทวไปเปนทเขาใจไดวาผใดสรางหรอเปนเจาของทรพยากรผนนจะสามารถเขาถงและมอบสทธการเขาถงใหแกผอนได
1.3 การควบคมการเขาถงตามบทบาท (role-based access control)เปนการควบคมการเขาถงทรพยากรตาม “หนาท” ทผใชงานมตอทรพยากรสารสนเทศกลไกควบคมการเขาถงแบบนมความเหมาะสมตอการควบคมการเขาถงทรพยากรในระบบสารสนเทศ หรอโครงสรางพนฐานระบบสารสนเทศทมความซบซอนเนองจากในระบบทมความซบซอนมากๆมกมความตองการควบคมทรพยากรทหลากหลายหนาท
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-30 คอมพวเตอรเบองตน
ของผใชงานจงถกน�ามาพจารณาในการก�าหนดสทธท�าใหมนใจไดวาจะไมมผใชงานคนใดทสามารถเขาถงหรอบรหารระบบไดทงหมด การทมผสามารถเขาถงหรอบรหารระบบไดแตเพยงผเดยวยอมมความเสยงในการทขอมลหรอสารสนเทศในระบบนนจะถกเปลยนแปลงแกไขอยางไมถกตอง ตวอยางหนงของการควบคมการเขาถงตามบทบาทคอการควบคมการเขาถงซอฟตแวรทใชในการปรบแตงคณสมบตของระบบปฏบตการซงก�าหนดใหผใชงานตองไดรบสทธเปนผดแลระบบ(administrator)เปนตน
2. กลไกการควบคมการเขาถงทรพยากรโดยปกตมาตรการการควบคมทไดกลาวมา มกถกใชรวมกบกลไกส�าคญตอไปน การแสดงตน
การพสจนตวจรง การก�าหนดสทธ และการก�าหนดความรบผดชอบ ในกรณนจะยกตวอยาง มาตรการควบคมการเขาถงและใชบรการธรกรรมผานอนเทอรเนตของสถาบนการเงนแหงหนง ซงลกคาสามารถ เขาใชงานไดผานเวบเบราวเซอรและซอฟตแวรทท�างานบนโทรศพทเคลอนท
2.1 การแสดงตน (identification)เปนกลไกทใชในการควบคมผใชงานทตองการเขาถงทรพยากรตามชองทางททรพยากรนนๆก�าหนดขนในกรณนผใชงานจะตองใชงานอาจถกรองขอใหใชงานผานเวบเบราวเซอรทไดรบความนยมใชงาน(เชนไฟรฟอกซกเกลโครม)และซอฟตแวรทถกพฒนาขนโดยสถาบนการเงนแหงนนเทานนหากการรองขอใชงานจากซอฟตแวรอนๆเชนโอเปราเบราวเซอรหรอซอฟตแวรทไมไดถกพฒนาขนโดยสถาบนการเงนแหงนนจะไมเขาถงและพสจนตวจรงได
2.2 การพสจนตวจรง (authentication)เปนกลไกทใชในการตรวจสอบความถกตองของผทมาแสดงตนขอเขาถงทรพยากรสารสนเทศการพสจนตวจรงนยมกระท�าดวยการตรวจสอบ “ความถกตอง”ของขอมลส�าหรบการพสจนตวจรงโดยแบงลกษณะของขอมลนนได3ลกษณะคอ
1)ขอมลทผแสดงตนทราบ(somethingyouknow)เชนชอผใชงานรหสผานหมายเลขพนส�าหรบใชงานเอทเอมเปนตน
2)ขอมลทผแสดงตนม(somethingyouhas)เชนบตรเอทเอมหมายเลขบตรเปนตน3)ขอมลทผแสดงตนเปน (something you are) เชน ขอมลลายนวมอ ขอมลมานตา
เปนตนส�าหรบกรณการเขาถงบรการธนาคารอเลกทรอนกสในปจจบนนยมใชกลไกในการพสจน
ตวจรงโดยใชแหลงทมาของขอมลรวมกนเพอใหมนใจไดวาผทแสดงตนนนเปนผทมสทธเขาถงทรพยากรนนจรงๆโดยการใชขอมลชอผใชงานรหสผานรวมรหสผานแบบใชครงเดยว(One-TimePassword;OTP)ทระบบจะเปนผสงรายละเอยดไปยงโทรศพทมอถอเปนครงๆไปเปนตน
2.3 การก�าหนดสทธ (authorization)คอกลไกในการตรวจสอบและสงมอบสทธส�าหรบการเขาถงทรพยากรสารสนเทศใหกบผใชงานทผานการพสจนสทธตามทไดก�าหนดไวในมาตรการการควบคมการเขาถงสารสนเทศส�าหรบผใชงานรายนนๆ ซงการก�าหนดสทธกจะสอดคลองกบประเภทของการควบคมการเขาถงดงทไดกลาวมาแลวในตอนตน
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-31ความมนคงปลอดภยระบบคอมพวเตอร
2.4 การก�าหนดความรบผดชอบ (accountability)เปนกลไกทท�าใหมนใจไดวาผใชงานทเขาใชงานตลอดจนผไมประสงคดทพยายามเขาใชงานจะสามารถถกตรวจสอบและเปนผรบผดชอบผลของการกระท�า ทมตอทรพยากรสารสนเทศนนๆ ได วธการและเทคโนโลยส�าคญทใชในการตรวจสอบและก�าหนดความรบผดชอบคอการจดเกบขอมลการจราจรการจดเกบประวตการใชงานหรอทนยมเรยกวาลอก(log)ของทรพยากรตางๆทม
3. มาตรฐานทเกยวของกบการบรหารจดการความมนคงปลอดภยเพอใหการบรหารจดการความมนคงปลอดภยของทรพยากรสารสนเทศเปนไปอยางสอดคลองกน
ตามคณลกษณะเฉพาะและรปแบบการด�าเนนงานขององคกร และสอดคลองกบกฎหมายทเกยวของกบการรกษาความมนคงปลอดภย องคกรทท�าหนาทคดคนและก�าหนดมาตรฐานตางๆ จงก�าหนดมาตรการและแนวทางทเกยวของเพอใหองคกรตางๆ น�าไปประยกตใชสรางความมนคงปลอดภยใหกบทรพยากรตางๆ ขององคกร ทงนหากองคกรทน�าแนวทางทก�าหนดขนไปใชและผานการตรวจสอบมาตรฐานยอม สงผลดตอภาพลกษณขององคกรซงเปนการสรางความนาเชอถอและความมนใจตอผมสวนไดเสยตางๆเชนผถอหนพนกงานและตวชวดการจดการความมนคงปลอดภยของทรพยากรสารสนเทศในองคกรไปพรอมๆกนทงนมาตรฐานตางๆทก�าหนดขนเปนมาตรฐานสากลยอมมความนาเชอถอสงเนองจากเปนทยอมรบและถกน�าไปใชอยางแพรหลาย มาตรฐานส�าคญๆ เชน ชดมาตรฐาน ISO 27000, COBITเปนตน
3.1 ชดมาตรฐาน ISO 27000 เปนชดมาตรฐานทพฒนาโดยองคกรระหวางประเทศวาดวยการมาตรฐาน (InternationalOrganization for Standardization; ISO)ตอจากมาตรฐาน ISO 17799โดยมการรวบรวมมาตรการพนฐานหลากหลายมาตรฐานไดแกBS7799-1,BS7799-2,BS7799-3โดยมเนอหาส�าคญเกยวของกบการจดการความเสยงทเกยวของกบความมนคงปลอดภยเชนความเสยงเกยวกบความมนคงปลอดภยของขอมล วธและกระบวนการประเมนความเสยง การปฏบตเพอลดความเสยงและการบรหารจดการความเสยงขนตอนวธการด�าเนนการบรหารความเสยงเปนตนในชดมาตรฐานนจะประกอบดวยมาตรฐานทส�าคญๆเชน
- ISO27000เปนชดมาตรฐานทรวบรวมนยามศพทตางๆทเกยวของกบการจดการความมนคงปลอดภยสารสนเทศ
- ISO27001เปนมาตรฐานทก�าหนดคณลกษณะเฉพาะทเกยวของกบการบรหารจดการรกษาความมนคงปลอดภยโดยวตถประสงคหลกในการสรางมาตรการควบคมทจ�าเปนในการรกษาความมนคงปลอดภยทถกเรยกวาระบบบรหารจดการการรกษาความมนคงปลอดภยสารสนเทศ(InformationSecurityManagementSystem;ISMS)
- ISO27002เปนมาตรฐานทก�าหนดหลกปฏบตแนวทางการจดการความมนคงปลอดภยทมการรวบรวมวตถประสงค วธการสรางมาตรการควบคม และรายละเอยดการปฏบตทเกยวของในการควบคมความมนคงปลอดภย
- ISO27003เปนแนวทางการประยกตใชงานมาตรฐานในชดISO27000
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-32 คอมพวเตอรเบองตน
- ISO 27004 ก�าหนดแนวทางการตรวจวดประสทธภาพการจดการรกษาความมนคงปลอดภยเพอชวยในการประเมนผลหรอตรวจวดประสทธภาพ
- ISO27005ก�าหนดแนวทางการจดการความเสยงทเกยวของกบทรพยากรสารสนเทศ- ISO27006ก�าหนดแนวทางการออกใบรบรองและการลงทะเบยนใหกบหนวยงานตางๆ
ทเกยวของจะเหนไดวาหลกส�าคญของชดมาตรฐานนคอการสรางระบบบรหารจดการการรกษาความมนคง
ปลอดภยสารสนเทศ(ISMS)โดยผทจะน�ามาตรฐานนมาประยกตใชจะตองมการก�าหนดแผนและการปฏบตหลายประการในการสรางการบรหารจดการทเหมาะสม โดยมการด�าเนนการเปนวงรอบประกอบดวย การวางแผนการปฏบตตามแผนการตรวจสอบและการปรบปรงดงแสดงในภาพท14.8
ภาพท 14.8 วงรอบการจดการระบบบรหารจดการการรกษาความมนคงปลอดภยสารสนเทศ ISO 27001
3.2 มาตรฐาน COBIT (Control Objective for Information and Related Technology)
เปนมาตรฐานทถกก�าหนดขนโดยสมาคมผตรวจสอบและควบคมระบบสารสนเทศ(InformationSystemAudit and Control Association; ISACA) โดยรวบรวมแนวคดและเฟรมเวรคเพอสรางการควบคมภายในทเกยวของกบเทคโนโลยทถกใชงานในองคกรเพอควบคมคณภาพของทรพยากรสารสนเทศโดย มงเนนการตรวจวดประสทธผลประสทธภาพการรกษาความลบการรกษาความครบถวนสมบรณความพรอมใชการปฏบตตามกฎระเบยบและกฎหมายและความนาเชอถอของทรพยากรสารสนเทศซงประกอบดวยขอมลหรอสารสนเทศกระบวนการท�างานและซอฟตแวรทเกยวของเทคโนโลยสถานทและโครงสรางพนฐานทางกายภาพและบคลากรทมสวนเกยวของกบองคกรนนๆมาตรฐานนมแนวความคดทคลายคลงกบมาตรฐาน ISO 27001 แตมการออกแบบใหเหมาะสมส�าหรบกระบวนการทางธรกจโดยประกอบวตถประสงคหลกของการควบคมจ�านวน34วตถประสงคทสามารถจ�าแนกตามกระบวนการหลกๆ4ดานคอ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-33ความมนคงปลอดภยระบบคอมพวเตอร
1) การวางแผนและการจดการองคกร (Planning and Organization; PO)ประกอบดวยการจดท�าแผนยทธศาสตรการก�าหนดโครงสรางดานสารสนเทศการก�าหนดทศทางแนวโนมของเทคโนโลยการก�าหนดโครงสรางองคกร การบรหารการลงทน การประชาสมพนธเปาหมายและทศทาง การจดการทรพยากรบคคลดานไอทการจดการคณภาพการบรหารการประเมนและบรหารความเสยงและการบรหารโครงการ
2) การจดหาและการตดตงใชงาน (Acquisition and Implementation; AI)ประกอบดวยการเลอกใชระบบอตโนมตการจดหาและบ�ารงรกษาซอฟตแวรประยกตการจดหาและบ�ารงรกษาโครงสรางพนฐานทเกยวของ การปฏบตและใชงาน การจดหาทรพยากร การบรหารความเปลยนแปลง การตดตงและการปรบเปลยนความพรอมของระบบ
3) การสงมอบและการบรการ (Delivery and Support; DS) ประกอบดวยการก�าหนดและการจดการระดบการใหบรการ การจดการการใหบรการบคคลภายนอก การจดการทเกยวกบประสทธภาพการใหบรการ การสรางความตอเนองในการใหบรการ การรกษาความมนคงปลอดภย การก�าหนดและจดสรรตนทนการอบรมใหความรผใชงานการสนบสนนการบรการการจดท�าการคอนฟกเรชนการจดการแกไขปญหาการจดการขอมลการจดการทางกายภาพของทรพยากรและการจดการดานการปฏบตการ
4) การเฝาตดตามและประเมนผล (Monitor and Evaluate; ME)ประกอบดวยการเฝาตดตามและประเมนกระบวนการใชงานทรพยากรสารสนเทศการเฝาตดตามประเมนผลการควบคมภายในการปฏบตตามขอก�าหนดและนโยบายและการใหบรการตามหลกการธรรมาภบาล
4. เทคโนโลยทเกยวของกบการรกษาความมนคงปลอดภย4.1 เทคโนโลยทเกยวของกบการรกษาความมนคงปลอดภยทางกายภาพ เปนเทคโนโลยใชใน
สรางสภาพแวดลอมทางกายภาพทเหมาะสมส�าหรบการใชงานคอมพวเตอรและอปกรณตอพวงตางๆโดยเมอพจารณาเหตการณทกระทบตอความมนคงปลอดภยทางกายภาพจะพบวา เกดจากสภาพแวดลอมทคอมพวเตอรหรออปกรณนนๆ ตดตงอย เชน การเขาถงอปกรณโดยไมมสทธ อณหภม ความชน และความผดปกตทเกยวของกบแหลงจายพลงงานไฟฟาอาจแบงยอยๆไปหลากหลายเชน
- เทคโนโลยการปองกนการเขาถงคอมพวเตอรหรออปกรณเชอมตออนๆซงมวตถประสงคในการปองกนการท�าลาย การขโมย การเขาใชงานโดยไมไดรบอนญาต ซงเมอเกดขนยอมสงผลตอการรกษาความลบ ความครบถวนสมบรณ และความพรอมใชของอปกรณและสารสนสนเทศทถกจดเกบใน อปกรณนนๆ
- เทคโนโลยทเกยวของกบการพสจนตวจรง เปนเทคโนโลยทถกพฒนาขนเพอพสจน ตวจรงผใชกอนใหสทธเขาใชงานคอมพวเตอร เชน เทคโนโลยการพสจนเอกลกษณจากเสยง (voicerecognition) เทคโนโลยการตรวจสอบเอกลกษณลายนวมอ (fingerprint biometric) ดงทแสดงใน ภาพท14.9เปนตน
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-34 คอมพวเตอรเบองตน
ภาพท 14.9 แสดงอปกรณพสจนตวจรงดวยลายนวมอ
- เทคโนโลยทเกยวการสรางสภาพแวดลอมทเหมาะสมอนๆเชนระบบส�ารองไฟฟาระบบปรบอากาศ เปนตน เนองจากการใชงานคอมพวเตอรในหองทมฝน อณหภมสงหรอมความชนไมเหมาะสมอาจสงผลเสยหายตอวงจรไฟฟาไดเชนหากมความชนสงและอณหภมสงอาจสงผลใหเกดการกลนตวของไอน�าในอากาศซงเปนสาเหตทท�าเกดการลดวงจรของแผงวงจรไฟฟา
4.2 วทยาการรหสลบ (cryptography)เปนเทคโนโลยทถกประยกตเพอตอบสนองตอภยคกคามตอทรพยากรสารสนเทศทเกยวของกบการแอบดกรบขอมลการแอบแกไขขอมลและการปลอมแปลงหรอหลอกลวงโดยหลกพนฐานของวทยาการรหสลบคอการท�าใหทรพยากรสารสนเทศทผานการเขารหสนนสามารถเขาถงและแปลความหมายไดจากผทไดรบสทธเทานนเชนการเขารหสขอความดวยอลกอรธมทท�าหนาทเปลยนแปลงขอความนนเปนขอความทไมสามารถอานท�าความเขาใจไดโดยปราศจากกญแจถอดรหสดงภาพท14.10ซงแสดงกระบวนการเขาและถอดรหสไฟลขอมล
ภาพท 14.10 การประยกตใชงานวทยาการรหสลบในการรกษาความลบของขอมล
ทงน วทยาการรหสลบถกน�ามาใชอยางกวางขวาง เชน การใชงานโครงสรางพนฐานกญแจสาธารณะส�าหรบการปองกนการโจมตแบบคนกลาง(MITM)ซงจะมการแจงเตอนผใชงานหากตรวจพบขอผดพลาดทเกยวของกบการเขารหสเปนตนดงทแสดงในภาพท14.11
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-35ความมนคงปลอดภยระบบคอมพวเตอร
ภาพท 14.11 การแจงเตอนผใชงาน
การจดเกบขอมลลงบนฮารดดสกโดยมการเขารหสลบเพอปองกนการเขาถงขอมลทเปนความลบจากผไมประสงคด ในกรณทเครองคอมพวเตอรถกขโมยหรอเขาถงไดทงทางกายภาพหรอถกบกรกทางเครอขายดงแสดงในภาพท14.12โดยรปกญแจทไดรฟดแสดงใหเหนวาขอมลในไดรฟนนถกเขารหสขอมลไวหากผไมประสงคดสามารถเขาถงเครองคอมพวเตอรนไดแตไมสามารถปอนรหสทถกตองกจะไมสามารถเขาถงทรพยากรทถกจดเกบไวในนนไดเปนตน
ภาพท 14.12 การประยกตใชวทยาการรหสลบในการเขารหสขอมลบนดสก
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-36 คอมพวเตอรเบองตน
นอกจากนวทยาการรหสลบยงถกใชในการตรวจสอบความครบถวนสมบรณของทรพยากรสารสนเทศไดเชนเดยวกนการตรวจสอบความครอบถวนสมบรณของไฟลสามารถท�าไดดวยการประยกตใชงานแฮชชงอลกอรธมเชนMD5และSHA1เปนตน
ไฟรวอลล(firewall)เปนเทคโนโลยทถกสรางขนเพอปองกนภยคกคามและการโจมตทางเครอขายหลกทวไปของการใชงานไฟรวอลลคอการปองกนภยคกคามทมาจากภายนอก(ซงอาจหมายถงเครอขายภายนอกหรอเครอขายทเครองคอมพวเตอรสวนบคคลเครองหนงเชอมตอดวยกได)สามารถจ�าแนกชนดของไฟรวอลลตามลกษณะการใชงานไดสองลกษณะคอ ไฟรวอลลส�าหรบเครอขาย (network firewall)และไฟรวอลลสวนบคคล(personalfirewall)ดงภาพท14.13
ภาพท 14.13 ซอฟตแวรไฟรวอลลสวนบคคล
ระบบตรวจจบผบกรก (intrusion detection system) เปนเทคโนโลยทถกพฒนาขนเพอเฝาตรวจเหตการณทเกยวของกบความมนคงปลอดภยของทรพยากรสารสนเทศ สามารถวเคราะหขอมลทงในระดบเครอขายและขอมลอนๆ เพอคนหาเหตการณทอาจเปนการละเมดนโยบายการรกษาความมนคงปลอดภยทถกก�าหนดไวโดยมคณสมบตทส�าคญเชนสามารถเฝาตรวจและวเคราะหเหตการณทเกดขนในระบบ รายงานระดบมาตรฐานความมนคงปลอดภยและตดตามสถานการณ การจดการรายงานสถานการณของทรพยากรนนๆเปนตนระบบตรวจจบผบกรกถกจ�าแนกประเภทตามลกษณะการใชงานไดสองลกษณะคอ ระบบตรวจจบผบกรกส�าหรบเครอขาย (network-based intrusion detection system)และระบบตรวจจบผบกรกบนโฮสต(host-basedintrusiondetectionsystem)
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-37ความมนคงปลอดภยระบบคอมพวเตอร
เครอขายเสมอนสวนตวหรอวพเอน (Virtual Private Network; VPN) เปนเทคโนโลยท ถกพฒนาขนเพอสรางการเชอมตอเสมอนเครอขายสวนบคคล จากเทคนคการสรางอโมงคเสมอนส�าหรบการรบสงขอมลระหวางกนโดยการประยกตใชวทยาการรหสลบในการเขารหสขอมลดงกลาว ท�าใหการสอสารบนชองทางสาธารณะอยางอนเทอรเนต มความมนคงปลอดภยจากการโจมตดวยการดกรบขอมลมากยงขน เนองจากแมผไมประสงคดจะสามารถดกรบขอมลทรบสงระหวางกนได ผไมประสงคดกยงคงไมสามารถถอดหรอท�าความเขาใจความหมายของขอมลทดกรบได เทคนคการใชงานวพเอนมหลายลกษณะเชนรโมตแอคเซสวพเอน(remoteaccessVPN)ซงเปนรปแบบการเชอมตอจากเครอขายหลกไปยงอปกรณตางๆ และไซตทไซตวพเอน (site-to-siteVPN) ซงเปนการเชอมตอกนระหวางอปกรณ วพเอนส�าหรบเชอมตอเครอขายหลายๆเครอขายเขาหากนเปนตนภาพท14.14แสดงแนวทางการประยกตใชงานวพเอนในการเชอมตอเครอขายเฉพาะบรเวณทอยหางไกลกนเขาดวยกนเปนเครอขายภายในเสมอน
ภาพท 14.14 การเชอมตอเครอขายอยางมนคงปลอดภยดวยเทคโนโลยวพเอน
แอนตไวรสซอฟตแวร(anti-virussoftware)เปนซอฟตแวรทถกพฒนาขนเพอคนหาปองกนและก�าจดมลแวรหลากหลายประเภทเชนคอมพวเตอรไวรสหนอนอนเทอรเนตเปนตนปจจบนซอฟตแวรลกษณะดงกลาวผนวกรวมความสามารถในการตรวจจบมลแวรทมความสามารถในการโจรกรรมขอมลเชนโทรจนคยลอกเกอรและซอฟตแวรโฆษณาเขาดวยกนดงแสดงในภาพท14.15เปนตน
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-38 คอมพวเตอรเบองตน
ภาพท 14.15 แสดงคณสมบตของซอฟตแวรก�าจดมลแวร
โดยปกตแอนตไวรสซอฟตแวรจะตรวจจบมลแวรตางๆโดยการเปรยบเทยบสญลกษณประจ�าตวของมลแวรทนยมเรยกกนวาซกเนเจอร (signature)ประยกตการใชงานวทยาการรหสลบโดยการตรวจสอบการเปลยนแปลงทเกดขนกบไฟลส�าคญๆของระบบ
กจกรรม 14.2.2
1. ในการใชงานระบบเอทเอมเพอท�าธรกรรมกบธนาคารมกลไกในการพสจนตวจรงลกษณะใด2. การใชงานวพเอนสามารถรกษาความลบของขอมลทสงผานระบบการสอสารไดอยางไร
แนวตอบกจกรรม 14.2.2
1. การท�าธรกรรมผานเอทเอมมการพสจนตวจรงโดยใชแนวทางทเรยกวาtwo-factorauthen-ticationซงประกอบดวย
a.ขอมลในบตรเอทเอม(somethingyouhave)b.รหสผาน(somethingyouknow)
2. ขอมลทรบ-สงในเครอขายเสมอนสวนตวมการประยกตใชงานวทยาการรหสลบในการเขารหสขอมล
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
มสธ มสธ
มสธ มสธ ม
สธ
มสธ มสธ ม
สธ
มสธ มสธ
14-39ความมนคงปลอดภยระบบคอมพวเตอร
บรรณานกรม
จตชยแพงจนทร.(2012).Master in Security(2nded.).นนทบร:ไอดซฯ.CharlesP.,PfleegerandShariL.Pfleeger.(2007).Security in Computing(4thed.).Joseph,MiggaKizza. (2009).A Guide to Computer Network Security.London,UK:Springer-
Verlag.Krawetz, Neal. (2007). Introduction to Network Security.Massachusetts, USA: Charles River
Media.McCumber, John. (2004).Assessing and Managing Security Risk in IT System: A Structure
Methodology.Boston,MA,USA:AuerbachPublication.Solomon,David.(2010).Elements of Computer Security.London,UK:Springer-Verlag.