4.ความมั่นคงปลอดภัยขององค์กร
การรักษาความปลอดภัยทางกายภาพ หมายถึง มาตรการที่ใช้ในการปกป้องทรัพยากรจากภัยคุกคามทางกายภาพทั้งโดยเจตนาและไม่เจตนา ซึ่งเป็นหนึ่งในวิธีที่ช่วยลดความเสี่ยงด้านความปลอดภัย โดยการจำกัดให้เฉพาะผู้ที่จำเป็นต้องใช้งาน เช่น ผู้ดูแลระบบเท่านั้นที่สามารถเข้าถึง console ของระบบ
ปกติแล้วระบบที่เป็นเซิร์ฟเวอร์ ผู้ใช้ทั่วไปไม่จำเป็นต้องใช้งาน console แต่สามารถใช้โปรแกรมประเภท ssh ทำการติดต่อเข้าไปใช้งานยังเครื่องเซิร์ฟเวอร์ได้เหตุผลที่ไม่ควรให้ผู้ใช้ทั่วไปเข้าถึง console เนื่องจากผู้ที่เข้าถึง console ของเครื่องสามารถทำการเปิด-ปิดเครื่อง หรือรีบูตระบบจากซีดีรอมแล้วทำการmount disk ทำให้สามารถเปลี่ยนรหัสผ่านของ root ได้
นอกจากนั้น การเข้าถึง console ยังทำให้สามารถทำอะไรได้ตามต้องการอีกด้วย เช่น การเข้าสู่ระบบได้โดยไม่จำเป็นต้องทราบรหัสผ่านทั้งๆ ที่ไม่มีซีดีรอมที่สามารถบูตได้ด้วย
• ความเป็นส่วนตัว คือ สารสนเทศที่ถูกรวบรวม เรียกใช้ และจัดเก็บโดยองค์กร
จะต้องถูกใช้ในวัตถุประสงค์ที่ผู้เป็นเข้าของสารสนเทศรับทราบ ณ ขณะที่มีการรวบรวมสารสนเทศนั้น
• มิฉะนั้นจะถือว่าเป็นการละเมิดสิทธิส่วนบุคคลด้านสารสนเทศ
การรักษาความปลอดภัยในการปฏิบัติการ (OPSEC) เป็นมาตรการ หรือวิธีการอย่างเป็นระบบที่ใช้ในการระบุ (identify) ควบคุม (Control) และป้องกัน (Protect) หลักฐานทั่วไปที่ไม่ระบุชั้นความลับ ที่เกี่ยวข้องหรือเชื่อมต่อกับการปฏิบัติการหรือกิจกรรมต่างๆ ที่สำคัญ หรือละเอียดอ่อน
ซึ่งแตกต่างกับมาตรการรักษาความปลอดภัยทั่วไปที่เน้นในการรักษาความปลอดภัยเฉพาะข้อมูลข่าวสารที่มีชั้นความลับ
• ยุคของจูเลียสซีซาร์ (ยุคศตวรรษที่ 2) มีการคิดค้นวิธีใช้สำหรับ “ซ่อน”
ข้อมูลหรือการเข้ารหัสข้อมูล (Encryption)ช่วงสงครามโลกครั้งที่ 2 เยอรมันใช้เครื่องมือที่เรียกว่าเอ็มนิกมา (Enigma)เข้ารหัสข้อมูลที่รับ/ส่งระหว่างหน่วยงานทหารการรักษาความปลอดภัยด้านการสื่อสารด้วยวิธีอื่นๆ
• นาวาโฮโค้ดทอล์คเกอร์ (Navaho Code Talker)
• วันไทม์แพ็ด (One Time Pad)
• เมื่อคอมพิวเตอร์เชื่อมต่อกันเข้าเป็นเครือข่ายปัญหาใหม่ก็เกิดขึ้นเช่น
การสื่อสารคอมพิวเตอร์เปลี่ยนจาก WAN มาเป็น LAN ซึ่งมีแบนด์วิธที่สูงมากอาจมีหลายเครื่องที่เชื่อมต่อเข้ากับสื่อเดียวกันการเข้ารหัสโดยใช้เครื่องเข้ารหัสเดี่ยวๆอาจไม่ได้ผล
• ในปี 1987 จึงได้มีการใช้มาตรฐาน TNI หรือเรดบุ๊ค (Red Book) ซึ่งได้เพิ่มส่วน
ที่เกี่ยวข้องกับเครือข่ายเข้าไปแต่มีข้อกำหนดเกี่ยวกับฟังก์ชันและการรับประกันมากทำให้ใช้เวลามากเกินไปในการตรวจสอบระบบ
• ความมั่นคงปลอดภัยของสารสนเทศ คือ การป้องกันสารสนเทศและองค์ประกอบ
อื่นที่เกี่ยวข้อง
• การรักษาความปลอดภัยทางข้อมูล Information Security คือ ผลที่เกิดขึ้นจากการ
ใช้ระบบของนโยบายและ/ หรือ ระเบียบปฏิบัติที่ใช้ในการพิสูจน์ทราบ ควบคุมและป้องกันการเปิดเผยข้อมูล (ที่ได้รับคำสั่งให้มีการป้องกัน) โดยไม่ได้รับอนุญาต
ไม่มีความคิดเห็น:
แสดงความคิดเห็น