ความเสี่ยงของระบบสารสนเทศ – เหตุการณ์ใดๆที่ก่อให้เกิดความสูญเสียหรือทำลาย Hardware และ Software หรือความสามารถในการประมวลผลข้อมูลของระบบ
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
· Hacker
· Cracker
· Script Kiddies
· Spies
· Employees
· Cyberterrorist
ประเภทของความเสี่ยงต่อระบบ IT
· Basic Attacks – เช่น กลลวงทางสังคม และการรื้อค้นเอกสารทางคอมพิวเตอร์จากกองขยะ
· Identity Attacks - เช่น DNS หรือ e-mail Spoofing (ปลอมแปลงเว็ปไซต์)
· Denial of Service หรือ DoS, DoSHTTP (Dos Attack) ซึ่งเป็นการโจมตีโดนตรงจากเครื่องเดียว หรือการโจมตีจาก Malware พร้อมกันจากหลายเครื่อง
· IP Spoofing หรือ เป็นการปลอมแปลง IP
· Unauthorized access - เป็นการเข้าถึงระบบหรือเครือข่ายที่ไม่มีสิทธิ เช่น การนำเครือข่ายของมหาวิทยาลัยเพื่อโหลด bit torrent หรือ การโอนเงินของธนาคารโดยไม่ได้รับอนุญาต
· Theft – การขโมย Hardware ทำโดยการตัดสายเชื่อมต่อโดยตรง สำหรับการขโมย Software อาจอยู่ในรูปของการขโมยสื่อจัดเก็บ Software เช่น สำเนาผิดกฎหมาย รวมไปถึงการขโมยฐานข้อมูลที่เป็นความลับส่วนบุคคล
· System Failure – เสียงรบกวน แรงดันไฟฟ้าต่ำหรือสูงเกินไป
การโจมตีระบบเครือข่าย
· การโจมตีด้วย Malware
o เป็นโปรแกรมที่มุ่งโจมตีการปฏิบัติงานของคอมพิวเตอร์ เช่น ไวรส เวิร์ม โทรจัน และลอจิกบอมบ์
o เป็นโปรแกรมที่มุ่งร้ายโจมตีความเป็นส่วนตัวของระบบ ITที่มีชื่อทั่วไป เช่น Spyware Adware Phishing Keyloggers Dialers
· Phishing
o เป็นการปลอมแปลงหน้าเว็บไซต์ที่คุ้นเคยด้วย url ที่คล้ายกันซึ่งทำมาเพื่อหลอกดึงข้อมูล ID password เป็นต้น
การรักษาความปลอดภัยของระบบสารสนเทศ
· รักษาความปลอดภัยการโจมตีด้านเครือข่าย
o ติดตั้งโปรแกรมป้องกัน Virus และปรับปรุง Virus definition
o ติดตั้ง Firewall
o ติดตั้ง Software ตรวจจับผู้บุกรุก
o ติดตั้ง Honeypot
· ตรวจเช็คจาก Demilitarized Zone(DMZ) เช่น การตรวจสอบว่าข้อมูลที่ส่งเข้ามามาจากแหล่งที่แปลกปลอมหรือไม่
· การควบคุมการเข้าถึงระบบโดยไมได้รับอนุญาต
o Identification ผ่านระบบ token ที่มีลักษณะเป็น driveและมีเลขรหัส เพื่อยืนยันระหว่างการส่งข้อมูล
o Authentication
§ ข้อมูลที่ทราบเฉพาะผู้เป็นเจ้าของ
§ บัตรที่มีลักษณะเป็นบัตรประจำตัว เพื่อตีกรอบการเข้าถึงข้อมูลตามลำดับหน้าที่ เช่น บัตรที่ใช้เข้าฝ่ายต่างๆในองค์กร (Policy Of Least Privilege) แต่ในบางกรณีการเข้าตามสิทธิก็เป็นข้อด้อย เช่น อาจเกิด fraud จาก CEO หรือการถูกเจาะข้อมูลจาก password ที่เก็บไว้แบบ traditional
§ ลักษณะทางกายภาพ(bio-metric) เช่น ม่านตา ลายนิ้วมือเป็นต้น
· การควบคุม Theft
o การรักษาความปลอดภัยโดยการเก็บรักษาแผ่น software ในสถานที่มีการรักษาความปลอดภัย
o ในกรณีที่ต้องให้ programmer ออกจะทำการควบคุมและติดตามทันที (Escort)
· การเข้ารหัส
o รหัสแบบสลับตำแหน่ง เช่น การ+ลำดับอักษรเข้าไป
o การเข้ารหัสแบบสมมาตร เช่น การนำตัวเลขหรืออักษรเข้ามาผสมแล้วประมวลผลเปลี่ยนให้เป็นข้อมูลเดิม โดยเป็นการใช้ key โปรแกรมในการถอดรหัสเดียวกัน
o การเข้ารหัสแบบไม่สมมาตร เป็นการใช้ key 2 ตัว ฝ่ายหนึ่งจะเป็น public key และอีกฝ่ายหนึ่งจะใช้ key อีกแบบหนึ่ง ซึ่งส่วนมากใช้กับองค์กรที่ปฏิสัมพันธืกับลูกค้า รูปแบบไม่สมมาตรนี้ใช้เพื่อลดปริมาณการใช้ key จำนวนมากหากใช้รูปแบบสมมาตร
· การรักษาความปลอดภัยอื่นๆ
o Secure sockets layer(SSL) โดยเว็บเพจที่ใช้ SSL จะเป็นการสร้างnetwork ชั่วคราว และจะหายไปก่อนการดำเนินการชำระเงินเป็นต้น ซึ่งจะปลอดภัยกว่ารูปแบบปกติ โดยเว็บที่ใช้ SSL จะขึ้นต้นด้วย https
o Secure HTTP
o Virtual private network (VPN)
· การควบคุมความล้มเหลวของระบบสารสนเทศ
o การป้องกันแรงดันไฟฟ้าใช้ Surge protector หรือ Surge Suppressor
o ไฟฟ้าดับใช้ Uninterruptible power supply (UPS) เพื่อใช้สำรองไฟฟ้าชั่วคราวในขณะไฟฟ้าตก
o กรณีระบบสารสนเทศถูกทำลายจนไม่สามารถให้บริการได้ การควบคุมทำโดยการจัดทำแผนการทำให้กลับคืนสู่สภาพเดิมจากภัยพิบัติ ชื่อ Disaster recovery planning(DRP) หรือ Business continuity planning(BCP)
· การสำรองข้อมุล – เช่นการ copy ข้อมูลไว้บน internet หรือ cloud
· การรักษาความปลอดภัยของ Wireless Lan
o ควบคุมการเชื่อมโยงเข้าสู่ระบบ
การ Fraud – ส่วนมากเกิดในผู้บริหารระดับสูง (White collar) เพราะมีสิทธิในการเข้าถึงข้อมูลในระบบมากกว่า
การ Bribe – การส่งเงินเพื่อช่วยในการดำเนินธุรกิจ หรือการออก bill ค่าใช้จ่ายให้มากกว่าปกติ
Symptom ที่บ่งบอกว่าเกิดปัญหา– เอกสารหาย เงินถูกโยกย้ายโดยไม่รู้มาก่อน ฝากเงินช้า
จรรยาบรรณ
หลักปฎิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ เช่น การใช้คอมพิวเตอร์หรือเครือข่ายโดยไม่ได้รับอนุญาต การขโมย Software ความถูกต้องของสารสนเทศเช่นการตกแต่งรูปภาพ สิทธิ์ต่อทรัพย์สินทางปัญญา หลักปฏิบัติ หรือความเป็นส่วนตัวของระบบสารสนเทศ
หลักปฏิบัติ
· ต้องไม่ใช้สินทรัพย์ทางปัญญาผู้อื่นเพื่อประโยชน์ส่วนตน
· ไม่เข้าไปก่อกวนผู้คอมพิวเตอร์หรือข้อมูลของผู้อื่น
ความเป็นส่วนตัว
· ให้เฉพาะข้อมูลที่จำเป็นเท่านั้นในการกรอกข้อมูลใบลงทะเบียน ใบรับประกัน
· ไม่พิมพ์เบอร์โทรศัพท์ เลขบัตรประชาชน
· แจ้งองค์การโทรศัพทืไม่ให้ลงข้อมูลส่วนตัวลงในสมุดโทรศัพท์
Presentation
DATA Center
ใช้จัดวางระบบประมวลผลกลางและระบบเครือข่ายคอมพิวเตอร์ขององค์กรทั้งจากภายในและภายนอก
· Key Characteristic
o Stability
o Availability
o Security – ความปลอดภัยเป็นสิ่งที่ต้องคำนึงถึง เนื่องจากหากข้อมูลเกิดการรั่วไหลหรือสูญเสียจะส่งผลเสียแก่องค์กรอย่างมาก
o Integrity – เป็นการช่วยด้านการข้อมูลเสียหาย เช่น ไฟดับ
o Capital – การสร้าง Data Center ต้องคำนึงถึงการขยายตัวในอนาคตเพราะ มีต้นทุนสูง
o Maintenance
o Utilization
· Strategy
o Cloud computing – การสร้างเครือข่ายอินเตอร์เน็ตเพื่อการใช้งานที่รวดเร็วแก่ลูกค้า
§ สร้างระบบคอมพิวเตอร์จากส่วนไหนก็ได้
o Security – Activity Monitoring – การตรวจจับกิจกรรมต่างๆเพื่อรักษาความปลอดภัยของผู้ใช้
§ ลดความเสียหายที่อาจเกิดขึ้นเมื่อข้อมูลสูญเสียไป
o Reshaping the Data Center
§ ในอดีตใช้พื้นที่เปิดเพื่อให้ถ่ายเทความร้อนได้ดี
§ ปัจจุบันปรับขนาดให้เล็กลงมาได้มากทำให้ประหยัดพื้นที่ และลดค่าใช้จ่ายลงได้
o Virtualization
§ การสร้างคอมพิวเตอร์เสมือนเพื่อรองรับการใช้งานที่หลากหลาย
§ ช่วยลดค่าใช้จ่ายในการจัดซื้อ
§ ลดจำนวนเครื่องที่ใช้เป้นเซอเวอร์
§ อำนวยความสะดวกในการดูแลระบบ
· Design considerations
o Environment Control ต้องมีการตั้งอุณหภูมิ(16-24 องศาเซลเซียส) และความชื้นที่เหมาะสม(40-55%) ซึ่งช่วยให้ประหยัดค่าใช้จ่ายด้านการดูแลรักษาลงด้วย
o Electrical power – มีอุปกรณ์สำรองไฟฟ้า
o Low-voltage cable routing – ควรเดินสายไฟใต้พื้นเพื่อความปลอดภัยและมีความเป็นระบบมากขึ้น
o Fire protection – เช่น smoke detector, fire sprinkler system หรือ clean agent
· Energy
o การสร้าง Data Center ต้องคำนึงถึงค่าใช้จ่ายด้านไฟฟ้า
Wireless Energy
การส่งผ่านพลังงานแบบไร้สาย ซึ่งถูกริเริ่มพัฒนาขึ้นตั้งแต่ช่วงศตวรรษที่19โดย Nicola Tesla แต่ถูกละเลยไปเนื่องจาก อุตสาหกรรมการไฟฟ้าของสหรัฐอเมริกาประสบความสำเร็จในการพัฒนาเครือข่ายไฟฟ้าแบบใช้สายในลักษณะ mass product
ประเภท
1. Near Field
a. Induction – ใช้การสร้างสนามแม่เหล็กระหว่างขดลวด 2 ลดขวดที่อยู่ในอุปกรณ์ไฟฟ้าโดยเมื่อให้กระแสไฟเข้าไปยังขดลวดต้นกำเนิดแล้ว จะทำให้เกิดสนามแม่เหล็กไปตัดขดลวดที่อยู่ที่อุปกรณ์จึงทำให้เกิดเป็นไฟฟ้าขึ้นมาได้ โดยระบบนี้มีจุดอ่อนอยู่ที่ระยะทางที่สั้นมาก
b. Resonant Induction – เป็นระบบที่พัฒนาต่อจาก Induction โดยติดอุปกรณ์ควบคุมการสั่นพ้องทำให้สนามแม่เหล็กไฟฟ้าสามารถเดินทางได้ไกลมากขึ้น ซึ่งระบบนี้มีแนวโน้มจะถูกพัฒนาเพื่อนำไปใช้กับอุปกรณ์ไฟฟ้าภายในครัวเรือน เพราะทำให้ประหยัดต้นทุนด้านการวางสายไฟฟ้าและลดความยุ่งยากด้านการเดินสายไฟ
2. Far Field
a. Microwave Method – ส่งผ่านคลื่นในช่วงความถี่ระดับไมโครเวฟ ทำให้สามารถส่งพลังงานผ่านเป็นระยะไกลได้ โดยมีตัวรับชื่อ rectenna ถึงแม้วิธีนี้จะมีการพัฒนาให้แปรพลังงานได้มากถึง95%แล้วก็ตาม แต่วิธีการนี้มีข้อด้อยคือการสร้างอุปกรณ์รับพลังงานกินพื้นที่มาก อีกทั้งการส่งผ่านอาจถูกรบกวนจากสัญญาณวิทยุได้
b. Laser Method – ส่งผ่านพลังงานโดยใช้คลื่นในช่วงสเปคตรัมหรือเลเซอร์และใช้โซลาร์เซลล์เป็นอุปกรณ์รับพลังงาน วิธีการนี้มีข้อดีคืออุปกรณ์ที่ใช้งานมีขนาดเล็ก และไม่ถูกรบกวนจากคลื่นวิทยุ แต่มีข้อเสียในด้านที่การพัฒนาการแปลงพลังงานยังทำได้ไม่มีประสิทธิภาพเพียงพอ และการส่งผ่านพลังงานจากนอกโลกอาจถูกชั้นบรรยากาศดูดซับไว้ส่วนหนึ่ง
ตัวอย่างอุปกรณ์ที่ใช้งาน Wireless Power
1. eCoupled
2. WildCharge Pad
3. Wireless TV
4. Solar Power Satellite
5. Qi
ธารินทร์ ธนเรืองศักดิ์
5202112867
ไม่มีความคิดเห็น:
แสดงความคิดเห็น