อาจารย์อภิพงศ์ ปิงยศ...

อาจารยอภพงศ ปงยศ

apipong.ping@gmail.com

หลกการรกษาความปลอดภย

การรกษาความปลอดภยขอมล

การรกษาความปลอดภยสารสนเทศ

ประวตการรกษาความปลอดภย

2

การรกษาคณลกษณะ 3 ประการเอาไว ไดแก ความลบ (Confidentiality), ความถกตอง

(Integrity) และความพรอมใชงาน(Availability) [CIA]

โดยตองท าทง 3 สวนควบคกน ไดแก คน (People), กระบวนการ (Process) และเทคโนโลย

(Technology)

3

สงหนงทมคามากทสดขององคกรคอ ขอมล หรอสารสนเทศ

การปกปองรกษาขอมลเปนสงส าคญในยคแหงขอมลขาวสาร

“ยคทผครอบครองสารสนเทศมากกวายอมเปนผไดเปรยบ”

ขอมลมความเสยงทจะถกโจมตจากหลายทาง

จ าเปนตองมระบบรกษาความปลอดภยทแขงแกรง

4

เกอบทกองคกรจ าเปนตองเชอมตอกบอนเทอรเนต

“อนเทอรเนตเปนดาบสองคม”

ขอมลและเครองมอทใชส าหรบเจาะระบบ หาไดอยางงายดายจากอนเทอรเนต

คนทไมมความรทางคอมพวเตอรมากนกกสามารถใชเครองมอโจมตเครอขายได

5

“ไมมระบบใดทปลอดภยอยางสมบรณ” = “ไมมระบบใด ทไมมชองโหว”

การมระบบรกษาความปลอดภยทดทสดไมไดหมายความวาขอมลจะปลอดภย

การรกษาความปลอดภยเปนการบรหารความเสยงใหอยในระดบทยอมรบได

6

ไมใชเพยงแคการตดตงระบบรกษาความปลอดภย แตรวมถง

การวเคราะหและบรหารความเสยง (Risk)

ภยคกคาม (Threat)

ชองโหวหรอจดออน (Vulnerability)

การก าหนดและบงคบใชนโยบาย (Policy)

การเฝาระวงเหตการณอยตลอดเวลา (Monitoring)

7

สารสนเทศ (Information) หมายถง ความร ความคด ขาวสาร ขอเทจจรง

การรกษาความปลอดภย (Security) หมายถง การท าใหรอดพนจากอนตราย ความกลว ความทกขใจ หรอความกงวล

การรกษาความปลอดภยสารสนเทศ ในความหมายดานไอทหมายถง มาตรการทใชส าหรบปองกนผทไมไดรบอนญาตในการเขาถง ลบ แกไข หรอขดขวางไมใหผทไดรบอนญาตใชงานความร ความคด ขาวสาร และขอเทจจรง

8

ดานกายภาพ (Physical Security)

ดานการสอสาร (Communication Security)

คอมพวเตอร (Computer Security)

เครอขาย (Network Security)

สารสนเทศ (Information Security)

9

ในอดตขอมลส าคญจะอยในรปวตถทจบตองได เชน แผนหน แผนหนง กระดาษ

ใชการปองกนทางกายภาพ เชน ก าแพง ปราสาท ยาม ผคมกนคนน าสาสน

แตบคคลส าคญในอดตสวนใหญจะไมนยมบนทกขอมลส าคญลงบนสอถาวร และจะสนทนาขอมลส าคญกบบคคลทไวใจไดเทานน

ซนว กลาววา “ความลบทรโดยคนมากกวาหนงคน ยอมไมถอวาเปนความลบอกตอไป”

10

ในยคจเลยส ซซาส ไดมการคดคนวธการซอนขอมล โดยการเขารหส (Encryption) ถามการขโมยขอมลระหวางทาง ผอานจะไมเขาใจถาไมรวธถอดรหส

ในสงครามโลกครงทสอง เยอรมนใชเครองมอ Enigma ส าหรบเขารหสขอมลทางการทหาร ซงเยอรมนเชอวาไมมใครสามารถถอดรหสจากเครองนได แตในทสดฝายพนธมตรกสามารถถอดรหสได โดย Alan Turing ซงไดถกสรางเปนภาพยนตรฮอลลวด ชอวา The Imitation Game ในป 2014

11

ขอมลสวนใหญถกจดเกบเอาไวในคอมพวเตอรดวยระบบดจตอล จงมความพยายามทจะโจมตความปลอดภยบนเครองคอมพวเตอร

ทศวรรษ 1970 มการพฒนาแมแบบส าหรบการรกษาความปลอดภยของคอมพวเตอร โดยแบงระดบความปลอดภยเปน 4 ระดบ ผทสามารถเขาถงขอมลในระดบใดระดบหนง จะตองมสทธเทากบหรอสงกวาชนความลบของขอมลนน

12

Top

secret

Secret

Confidential

Unclassified

ตอมาพฒนาเปนมาตรฐาน TCSEC หรอรจกทวไปวา Orange book

เมอคอมพวเตอรถกเชอมตอกนเปนเครอขายกเกดปญหาใหมขน เชน อาจมหลายเครองทเชอมตอเขากบสอเดยวกน ท าใหการเขารหสโดยใชเครองเขารหสเดยวๆอาจไมไดผล

ในป 1987 มการพฒนามาตรฐานเกยวกบเครอขาย โดยพฒนาตอมาจาก Orange Book ซงรจกกนในชอ Red Book ซงไดเพมสวนเกยวของกบเครอขายเขาไป

13

สรปไดวาไมมวธการใดทสามารถแกปญหาไดอยางเบดเสรจ

การรกษาความปลอดภยทดตองใชทกวธการมารวมกนจงจะสามารถรกษาความปลอดภยสารสนเทศได

14