อาจารย์อภิพงศ์ ปิงยศ...
TRANSCRIPT
อาจารยอภพงศ ปงยศ
หลกการรกษาความปลอดภย
การรกษาความปลอดภยขอมล
การรกษาความปลอดภยสารสนเทศ
ประวตการรกษาความปลอดภย
2
การรกษาคณลกษณะ 3 ประการเอาไว ไดแก ความลบ (Confidentiality), ความถกตอง
(Integrity) และความพรอมใชงาน(Availability) [CIA]
โดยตองท าทง 3 สวนควบคกน ไดแก คน (People), กระบวนการ (Process) และเทคโนโลย
(Technology)
3
สงหนงทมคามากทสดขององคกรคอ ขอมล หรอสารสนเทศ
การปกปองรกษาขอมลเปนสงส าคญในยคแหงขอมลขาวสาร
“ยคทผครอบครองสารสนเทศมากกวายอมเปนผไดเปรยบ”
ขอมลมความเสยงทจะถกโจมตจากหลายทาง
จ าเปนตองมระบบรกษาความปลอดภยทแขงแกรง
4
เกอบทกองคกรจ าเปนตองเชอมตอกบอนเทอรเนต
“อนเทอรเนตเปนดาบสองคม”
ขอมลและเครองมอทใชส าหรบเจาะระบบ หาไดอยางงายดายจากอนเทอรเนต
คนทไมมความรทางคอมพวเตอรมากนกกสามารถใชเครองมอโจมตเครอขายได
5
“ไมมระบบใดทปลอดภยอยางสมบรณ” = “ไมมระบบใด ทไมมชองโหว”
การมระบบรกษาความปลอดภยทดทสดไมไดหมายความวาขอมลจะปลอดภย
การรกษาความปลอดภยเปนการบรหารความเสยงใหอยในระดบทยอมรบได
6
ไมใชเพยงแคการตดตงระบบรกษาความปลอดภย แตรวมถง
การวเคราะหและบรหารความเสยง (Risk)
ภยคกคาม (Threat)
ชองโหวหรอจดออน (Vulnerability)
การก าหนดและบงคบใชนโยบาย (Policy)
การเฝาระวงเหตการณอยตลอดเวลา (Monitoring)
7
สารสนเทศ (Information) หมายถง ความร ความคด ขาวสาร ขอเทจจรง
การรกษาความปลอดภย (Security) หมายถง การท าใหรอดพนจากอนตราย ความกลว ความทกขใจ หรอความกงวล
การรกษาความปลอดภยสารสนเทศ ในความหมายดานไอทหมายถง มาตรการทใชส าหรบปองกนผทไมไดรบอนญาตในการเขาถง ลบ แกไข หรอขดขวางไมใหผทไดรบอนญาตใชงานความร ความคด ขาวสาร และขอเทจจรง
8
ดานกายภาพ (Physical Security)
ดานการสอสาร (Communication Security)
คอมพวเตอร (Computer Security)
เครอขาย (Network Security)
สารสนเทศ (Information Security)
9
ในอดตขอมลส าคญจะอยในรปวตถทจบตองได เชน แผนหน แผนหนง กระดาษ
ใชการปองกนทางกายภาพ เชน ก าแพง ปราสาท ยาม ผคมกนคนน าสาสน
แตบคคลส าคญในอดตสวนใหญจะไมนยมบนทกขอมลส าคญลงบนสอถาวร และจะสนทนาขอมลส าคญกบบคคลทไวใจไดเทานน
ซนว กลาววา “ความลบทรโดยคนมากกวาหนงคน ยอมไมถอวาเปนความลบอกตอไป”
10
ในยคจเลยส ซซาส ไดมการคดคนวธการซอนขอมล โดยการเขารหส (Encryption) ถามการขโมยขอมลระหวางทาง ผอานจะไมเขาใจถาไมรวธถอดรหส
ในสงครามโลกครงทสอง เยอรมนใชเครองมอ Enigma ส าหรบเขารหสขอมลทางการทหาร ซงเยอรมนเชอวาไมมใครสามารถถอดรหสจากเครองนได แตในทสดฝายพนธมตรกสามารถถอดรหสได โดย Alan Turing ซงไดถกสรางเปนภาพยนตรฮอลลวด ชอวา The Imitation Game ในป 2014
11
ขอมลสวนใหญถกจดเกบเอาไวในคอมพวเตอรดวยระบบดจตอล จงมความพยายามทจะโจมตความปลอดภยบนเครองคอมพวเตอร
ทศวรรษ 1970 มการพฒนาแมแบบส าหรบการรกษาความปลอดภยของคอมพวเตอร โดยแบงระดบความปลอดภยเปน 4 ระดบ ผทสามารถเขาถงขอมลในระดบใดระดบหนง จะตองมสทธเทากบหรอสงกวาชนความลบของขอมลนน
12
Top
secret
Secret
Confidential
Unclassified
ตอมาพฒนาเปนมาตรฐาน TCSEC หรอรจกทวไปวา Orange book
เมอคอมพวเตอรถกเชอมตอกนเปนเครอขายกเกดปญหาใหมขน เชน อาจมหลายเครองทเชอมตอเขากบสอเดยวกน ท าใหการเขารหสโดยใชเครองเขารหสเดยวๆอาจไมไดผล
ในป 1987 มการพฒนามาตรฐานเกยวกบเครอขาย โดยพฒนาตอมาจาก Orange Book ซงรจกกนในชอ Red Book ซงไดเพมสวนเกยวของกบเครอขายเขาไป
13
สรปไดวาไมมวธการใดทสามารถแกปญหาไดอยางเบดเสรจ
การรกษาความปลอดภยทดตองใชทกวธการมารวมกนจงจะสามารถรกษาความปลอดภยสารสนเทศได
14