วันพฤหัสบดีที่ 19 มีนาคม พ.ศ. 2558

4.ความมั่นคงปลอดภัยขององค์กร

           - ความมั่นคงปลอดภัยทางกายภาย Physical Security



                  การรักษาความปลอดภัยทางกายภาพ หมายถึง มาตรการที่ใช้ในการปกป้องทรัพยากรจากภัยคุกคามทางกายภาพทั้งโดยเจตนาและไม่เจตนา ซึ่งเป็นหนึ่งในวิธีที่ช่วยลดความเสี่ยงด้านความปลอดภัย โดยการจำกัดให้เฉพาะผู้ที่จำเป็นต้องใช้งาน เช่น ผู้ดูแลระบบเท่านั้นที่สามารถเข้าถึง console ของระบบ 
                  ปกติแล้วระบบที่เป็นเซิร์ฟเวอร์ ผู้ใช้ทั่วไปไม่จำเป็นต้องใช้งาน console แต่สามารถใช้โปรแกรมประเภท ssh ทำการติดต่อเข้าไปใช้งานยังเครื่องเซิร์ฟเวอร์ได้เหตุผลที่ไม่ควรให้ผู้ใช้ทั่วไปเข้าถึง console เนื่องจากผู้ที่เข้าถึง console ของเครื่องสามารถทำการเปิด-ปิดเครื่อง หรือรีบูตระบบจากซีดีรอมแล้วทำการmount disk ทำให้สามารถเปลี่ยนรหัสผ่านของ root ได้ 
                  นอกจากนั้น การเข้าถึง console ยังทำให้สามารถทำอะไรได้ตามต้องการอีกด้วย เช่น การเข้าสู่ระบบได้โดยไม่จำเป็นต้องทราบรหัสผ่านทั้งๆ ที่ไม่มีซีดีรอมที่สามารถบูตได้ด้วย

         ความมั่นคงปลอดภัยส่วนบุคคล Personal Security




                 • ความเป็นส่วนตัว  คือ สารสนเทศที่ถูกรวบรวม เรียกใช้ และจัดเก็บโดยองค์กร 
จะต้องถูกใช้ในวัตถุประสงค์ที่ผู้เป็นเข้าของสารสนเทศรับทราบ ณ ขณะที่มีการรวบรวมสารสนเทศนั้น
                 • มิฉะนั้นจะถือว่าเป็นการละเมิดสิทธิส่วนบุคคลด้านสารสนเทศ

          - ความมั่นคงปลอดภัยในการปฏิบัติงาน Operations Security






                 การรักษาความปลอดภัยในการปฏิบัติการ (OPSEC) เป็นมาตรการ หรือวิธีการอย่างเป็นระบบที่ใช้ในการระบุ (identify) ควบคุม (Control) และป้องกัน (Protect) หลักฐานทั่วไปที่ไม่ระบุชั้นความลับ ที่เกี่ยวข้องหรือเชื่อมต่อกับการปฏิบัติการหรือกิจกรรมต่างๆ ที่สำคัญ หรือละเอียดอ่อน 
ซึ่งแตกต่างกับมาตรการรักษาความปลอดภัยทั่วไปที่เน้นในการรักษาความปลอดภัยเฉพาะข้อมูลข่าวสารที่มีชั้นความลับ

         ความมั่นคงปลอดภัยในการติดต่อสื่อสาร Communication Security


                 • ยุคของจูเลียสซีซาร์ (ยุคศตวรรษที่ 2) มีการคิดค้นวิธีใช้สำหรับ “ซ่อน” 
ข้อมูลหรือการเข้ารหัสข้อมูล (Encryption)ช่วงสงครามโลกครั้งที่ 2 เยอรมันใช้เครื่องมือที่เรียกว่าเอ็มนิกมา (Enigma)เข้ารหัสข้อมูลที่รับ/ส่งระหว่างหน่วยงานทหารการรักษาความปลอดภัยด้านการสื่อสารด้วยวิธีอื่นๆ
                 • นาวาโฮโค้ดทอล์คเกอร์ (Navaho Code Talker) 
                 • วันไทม์แพ็ด (One Time Pad)

           ความมั่นคงปลอดภัยของเครือข่าย Network Security


                 • เมื่อคอมพิวเตอร์เชื่อมต่อกันเข้าเป็นเครือข่ายปัญหาใหม่ก็เกิดขึ้นเช่น
การสื่อสารคอมพิวเตอร์เปลี่ยนจาก WAN มาเป็น LAN ซึ่งมีแบนด์วิธที่สูงมากอาจมีหลายเครื่องที่เชื่อมต่อเข้ากับสื่อเดียวกันการเข้ารหัสโดยใช้เครื่องเข้ารหัสเดี่ยวๆอาจไม่ได้ผล
                 • ในปี 1987 จึงได้มีการใช้มาตรฐาน TNI หรือเรดบุ๊ค (Red Book) ซึ่งได้เพิ่มส่วน
ที่เกี่ยวข้องกับเครือข่ายเข้าไปแต่มีข้อกำหนดเกี่ยวกับฟังก์ชันและการรับประกันมากทำให้ใช้เวลามากเกินไปในการตรวจสอบระบบ

           - ความมั่นคงปลอดภัยของสารสนเทศ Information Security



                  ความมั่นคงปลอดภัยของสารสนเทศ  คือ  การป้องกันสารสนเทศและองค์ประกอบ
อื่นที่เกี่ยวข้อง
                  การรักษาความปลอดภัยทางข้อมูล  Information Security คือ ผลที่เกิดขึ้นจากการ
ใช้ระบบของนโยบายและ/ หรือ ระเบียบปฏิบัติที่ใช้ในการพิสูจน์ทราบ  ควบคุมและป้องกันการเปิดเผยข้อมูล (ที่ได้รับคำสั่งให้มีการป้องกัน) โดยไม่ได้รับอนุญาต

ไม่มีความคิดเห็น:

แสดงความคิดเห็น