กล้องวงจรปิด

วันจันทร์ที่ 21 ตุลาคม พ.ศ. 2562

การรักษาความปลอดภัยในระดับเน็ตเวิร์คเลเยอร์

การรักษาความปลอดภัยในระดับเน็ตเวิร์คเลเยอร์


                     การเข้ารหัสข้อมูลในเลเยอร์ที่เหนือกว่าระดับเน็ตเวิร์ค  ซึ่งแอพพลิเคชันกล้องวงจรปิดที่ใช้งานโปรโตคอล  ส่วนใหญ่จะเป็นแอพพลิเคชันที่พัฒนาขึ้นมาพิเศษเพื่อรองรับโปรโตคอลเหล่านั้นด้วย  จึงจะสามารถปกป้องข้อมูลที่รับส่งผ่านเครือข่ายได้  ถ้ามีการเข้ารหัสข้อมูลในระดับที่ต่ำลงมาแอพพลิเคชันต่าง  ๆ  ก็ไม่จำเป็นต้องออกแบบพิเศษเพื่อรองรับโปรโตคอลที่ให้บริการการรักษาความปลอดภัยข้อมูล  โปรโตคอลที่มีการรักษาความปลอดภัยในระดับเครือข่าย เช่น VPN  ซึ่งเป็นโปรโตคอลย่อยที่นิยมนั่นเอง

Wireless LAN Security

วัตถุประสงค์

- รู้และข้าใจมาตรฐาน Wireless LAN
- รู้และเข้าใจการพิสูจน์ทราบตัวตนของ Wireless LAN
- รู้และเข้าใจมาตรฐาน IEEE 802.11i และ IEEE 802.1X
- รู้และเข้าใจการเข้ารหัสข้อมูลแบบ WEP, WPA, WPA2
- รู้และเข้าใจเครื่องมือต่าง  ๆ  ที่ใช้กับ Wireless LAN



มาตารฐานไวร์เลสแลน

มาตรฐานนี้จะรองรับแบนด์วิธแต่ข้อจำกัดของมาตรฐานนี้คือ  ความถี่  เนื่องจากมาตรฐานนี้ใช้ความถี่ที่ 5 GHz   ซึ่งบางประเภทนั้นต้องขออนุญาตก่อนถึงจะใช้งานได้  IEEE  จึงได้ตั้งทีมงานขึ้นมาอีกหนึ่งกลุ่มเพื่อพัฒนามาตรฐานอีกมาตรฐานหนึ่งคือ IEEE 802.11g  ซึ่งใช้ความถี่ 2.4 GHz  และสามารถรองรับแบด์วิธได้ถึง 54 Mbps

การพิสูจน์ทราบตัวตนของไวร์เลสแลน

                      มาตรฐานการพิสูจน์ทราบตัวตน  IEEE 802.11   คือ การพิสูจน์ทราบตัวตนของเครื่องไคลเอนต์หรืออุปกรณ์เครือข่ายไร้สาย  ไม่ใช่การพิสูจน์ทราบตัวตนของผู้ใช้   มาตรฐานแล้วมีการพิสูจน์ทราบตัวตนอยู่  2  วิธีคือ  การพิสูจน์ทราบตัวตนแบบเปิด  และการพิสูจน์ทราบตัวตนแบบใช้แชร์คีย์  การพิสูจน์ทราบตัวตนของไคลเอนต์  มีขั้นตอนดังนี้

- ไคลเอนต์ทำการบรอดคาสต์การร้องขอเพื่อขอเชื่อมต่อไปทุกช่องสัญญาณ
- แอ็กเซสพอยต์ที่อยู่ในพื้นที่ตอบกลับการร้องขอของไคลเอนต์
- ไคลเอนต์พิจารณาว่าแอ็กเซสพอยต์ไหนดีที่สุด  และส่งการร้องขอเพื่อพิสูจน์ทราบตัวตน
- ถ้าการพิสูจน์ทราบตัวตนสำเร็จ  ไคลเอนต์ก็จะส่งข้อมูลที่เหลือกลับให้แอ็กเซสพอยต์
- แอ็กเซสพอยต์ตอบกลับการได้รับข้อมูลที่เหลือ
- หลังจากนี้ไคลเอนต์ก็พร้อมที่จะรับส่งข้อมูลผ่านเครือข่าย

การพิสูจน์ทราบตัวตนแบบเปิด

ขั้นตอนนั้นค่อนข้างง่ายเพราะแอ็กเซสพอยต์จะอนุญาตให้เชื่อมต่อกับทุก ๆ การร้องขอ  อาจดูเหมือนว่าไม่มีประโยชน์เลยแต่ก็ได้กำหนดไว้ในมาตรฐาน 802.11  ซึ่งกำหนดให้เป็นแบบคอนเน็กซันโอเรียนเต็ล

การออกแบบนี้ก็เพื่อให้ใช้งานง่ายและสามารถเชื่อมต่อเข้ากับเครือข่ายได้อย่างรวดเร็ว  อุปกรณ์ที่รองรับมาตรฐาน 802.11  ส่วนใหญ่เป็นอุปกรณ์ประเภทมือถือ  ซึ่งอุปกรณ์เหล่านี้มีซีพียูที่มีประสิทธิภาพต่ำ  และไม่สามารถรองรับอัลกอริทึมสำหรับการพิสูจน์ทราบตัวตนที่ซับซ้อนได้  การพิสูจน์ทราบตัวตนแบบเปิดนั้น  จะมีการรับส่งเฟรมข้อมูลอยู่สองประเภทคือ

- เฟรมการร้องขอการเชื่อมต่อ
- เฟรมการตอบกลับการร้องขอ

                     การพิสูจน์ทราบตัวตนแบบเปิดนั้นอนุญาตให้ทุก  ๆ  ไคลเอนต์เชื่อมต่อเครือข่ายได้  ถ้าไม่มีการใช้การเข้ารหัสข้อมูล  ทุก ๆ เครื่องไคลเอนต์ที่ทราบหมายเลข SSID ก็สามารถเข้าถึงเครือข่ายได้  ถ้าใช้ WEP  ในการเข้ารหัสข้อมูลคีย์ที่ใช้กับ WEP ก็ใช้สำหรับการพิสูจน์ทราบตัวตน  แม้ว่าการพิสูจน์ทราบตัวตนของเครื่องไคลเอนต์ในตอนต้นจะผ่าน

แต่ถ้าเครื่องไคลเอนต์ไม่มี WEP คีย์ก็จะไม่สามารถรับส่งข้อมูลกับแอ็กเซสพอยต์ได้  เนื่องจากไคลเอนต์ไม่สามารถถอดรหัสข้อมูลที่ได้รับจากตัวแอ็กเซสพอยต์ได้  การพิสูจน์ทราบตัวตนแบบเปิดนี้  จะไม่สามารถพิสูจน์ได้ว่าไคลเอนต์เป็นใคร  และถ้าไม่มีการใช้ WEP แล้ววิธีนี้เป็นช่องโหว่ที่อันตรายของไวร์เลสแลน  ถ้าเลือกที่จะใช้วิธีนี้ก็ควรใช้ WEP ควบคู่ไปด้วย  แต่ถ้าไม่สามารถใช้ WEP ได้ เช่น เครือข่ายสาธารณะ  ก็ควรใช้ระบบการรักษาความปลอดภัยในเลเยอร์ที่สูงว่า

การพิสูจน์ทราบตัวตนแบบแชร์คีย์

วิธีที่กำหนดในมาตรฐาน IEEE 802.11  วิธีนี้ไคลเอนต์จะต้องกำหนดคีย์ WEP แบบตายตัวในทุก ๆ เครื่อง  มีขั้นตอนการพิสูจน์ทราบตัวตนดังนี้

- ไคลเอนต์ส่งการร้องขอไปยังแอ็กเซสพอยต์  และระบว่าต้องการใช้การพิสูจน์ทราบตัวตนแบบแชร์คีย์
- แอ็กเซสพอยต์ตอบกลับการร้องขอพร้อมกับชาลเลนจ์เท็กซ์ซึ่งเป็นข้อความแบบสุ่ม
- ไคลเอนต์ได้ชาลเลนจ์เท็กซ์แล้วเข้ารหัสด้วย WEP  คีย์ที่กำหนดไว้ก่อนหน้าแล้วส่งข้อความนี้กลับไปให้กับแอ็กเซสพอยต์
- ถ้าแอ็กเซสพอยต์สามารถถอดรหัสข้อความ  และเปรียบเทียบกับชาลเลนจ์เท็กซ์เดิมแล้วตรงกัน  แอ็กเซสพอยต์ก็จะส่งการอนุญาตให้เชื่อมต่อเครือข่ายได้กลับไปยังไคลเอนต์

                    การพิสูจน์ทราบตัวตนแบบแชร์คีย์จะใช้ WEP คีย์ในการเข้ารหัสชาลเลนจ์เท็กซ์ที่ส่งจากแอ็กเซสพอยต์ไปให้ไคลเอนต์  คีย์นี้จะกำหนดให้แต่ละไคลเอนต์ก่อนหน้าที่จะมีการเชื่อมต่อเข้ากับเครือข่ายแอ็กเซสพอยต์จะพิสูจน์ทราบตัวตนของไคลเอนต์  การถอดรหัสชาลเลนจ์เท็กซ์ที่ส่งกับมาจากไคลเอนต์และเปรียบเทียบกับชาลเลนจ์เท็กซ์ที่ส่งให้ไคลเอนต์ในตอนแรก

กระบวนการแลกเปลี่ยนชาลเลนจ์เท็กซ์นั้นมีการส่งงผ่านอากาศเป็นจุดอ่อนที่อาจถูกโจมตีแบบแมนอินเดอะมิดเดิล  จากผู้แอบดักอ่านสามารถดักจับชาลเลนจ์เท็กซ์ทั้งที่ยังไม่เข้ารหัสและที่เข้ารหัสแล้ว  ข้อมูลนี้สามารถนำไปใช้ในการวิเคราะห์หา WEP คีย์ได้ไม่ยากนัก  การเข้ารหัสโดย WEP นั้นทำโดยการทำ XOR ระหว่างเพลนเท็กซ์และคีย์  จะได้เป็นไซเฟอร์เท็กซ์  การคำนวณหา WEP คีย์นั้นทำได้โดยการ XOR ระหว่างเพลนเท็กซ์และไซเฟอร์เท็กซ์

ถ้าผู้บุกรุกต้องการที่จะทราบ WEP คีย์ก็ใช้โปรโตคอลอะนาไลเซอร์ในการแอบดักฟังการสื่อสารในช่วงการพิสูจน์ทราบตัวตนนี้ก็ได้


วันเสาร์ที่ 19 ตุลาคม พ.ศ. 2562

การเข้ารหัสข้อมูล

การเข้ารหัสข้อมูล


เมื่อรวมอัลกอริทึมสำหรับการแลกเปลี่ยนคีย์   การเข้ารหัสข้อมูลและแฮชฟังก์ชัน  รวมเรียกว่า  ไซเฟอร์สูท  โดยชื่อสูทนั้นจะขึ้นต้นด้วย SSL ตามด้วยชื่ออัลกอริทึมในการแลกเปลี่ยนคีย์  แล้วตามด้วยคำว่า WITH และอัลกอริทึมในการเข้ารหัสข้อมูลและแฮชฟังก์ชันตามลำดับ
อัลกอริทึมสำหรับการแลกเปลี่ยนคีย์

                    ก่อนจะมีการรับส่งข้อมูลอย่างปลอดภัย  ข้อมูลจำเป็นต้องมีการเข้ารหัส  ก่อนที่จะเข้ารหัสข้อมูลได้ก็ต้องมีคีย์ที่ใช้ร่วมกันทั้งการเข้าและถอดรหัส  อัลกอริทึมที่ใช้สำหรับการแลกเปลี่ยนของ SSL มี  6  ประเภทดังนี้

- NULL     ไม่มีการเข้ารหัสข้อมูลที่รับส่งถึงกันจึงไม่จำเป็นต้องแลกเปลี่ยนคีย์

- RSA        การเเลกเปลี่ยนคีย์แบบนี้ฝั่งเซิร์ฟเวอร์จะต้องส่งเซอร์ติฟิเกต  ซึ่งจะมีพับลิกคีย์ตัวเองอยู่ในข้อความแรก  สำหรับข้อความถัดมานั้นจะไม่มีการส่ง  เนื่องจากซีเคร็ทคีย์ที่จะใช้ในการเข้ารหัสข้อมูลนั้นไคลเอนต์จะส่งมาให้ในขั้นตอนที่ 3  โดยการเข้ารหัสด้วยพับลิกคีย์ของเซิร์ฟเวอร์นั้นเอง ซึ่งเป็นการพิสูจน์ทราบตัวจริงของฝั่งเซิร์ฟเวอร์

- Anonymous DH       การแลกเปลี่ยนคีย์แบบนี้จะไม่มีการส่งใบเซอร์ติฟิเกต  แต่จะส่งพารามิเตอร์และคีย์ที่จะใช้ในการแลกเปลี่ยนถ้าเลือกวิธีนร้ทั้วเซิร์ฟเวอร์และไคลเอนต์จะไม่ได้พิสูจน์ทราบตัวจริงของกันและกันได้

- Ephemeral DH       วิธีนี้เซิร์ฟเวอร์จะส่งใบเซอร์ติฟิเกตที่มีลายเซ็นดิจิตอลแบบRSA โดยเซิร์ฟเวอร์ไพรเวทคีย์ของตัวเอง  ส่วนฝั่งไคลเอนต์ก็จะใช้พับลิกคีย์ของเซิร์ฟเวอร์ในการพิสูจน์ทราบลายเซ็นของเซิร์ฟเวอร์  ข้อความถัดมานั้นเซิร์ฟเวอร์ก็จะส่งพารามิเตอร์ของอัลกอริทึมทีจะใช้ในการคำนวณซีเคร็ทคีย์  การเลือกวิธีนี้จะทำให้ไคลเอนต์สามารถพิสูจน์ทราบตัวตนของเซิร์ฟเวอร์ได้

- Fixed  DHวิธีนี้เซิร์ฟเวอร์จะส่งใบเซอร์ติฟิเกตที่มีลายเซ็นดิจิตอลแบบ RSA และในข้อความแรกนี้ก็จะส่งฮาล์ฟคีย์ที่จะใช้ใน DH ด้วย  ส่วนข้อความที่สองนั้นไม่ต้องส่ง  วิธีนี้ไคลเอนต์สามารถพิสูจน์ทราบตัวจริงของ CA และ CA ก็รับรองว่าฮาล์ฟคีย์ที่ใช้นั้นเป็นของเซิร์ฟเวอร์  ซึ่งทำให้ไคลเอนต์เชื่อได้ว่าเซิร์ฟเวอร์นั้นเป็นตัวจริงเช่นกัน

- Fortezza       เป็นชื่อ  NSA  ซึ่งเป็นโปรโตคอลที่พัฒนาสำหรับใช้ทางด้านการทหาร  และเป็นโปรโตคอลที่ซับซ้อนมาก

อัลกอริทึมสำหรับการเข้ารหัสข้อมูล

               อัลกอริทึมสำหรับการเข้ารหัสข้อมูลที่ใช้ใน  SSL  มีหลากหลายให้เลือก  ซึ่งสามารถแบ่งเป็นประเภทต่าง  ๆ  ได้ดังนี้

- NULL    เป็นกลุ่มที่ไม่มีการเข้ารหัสข้อมูลนั่นเอง

- Stream Cipher   การเข้ารหัสข้อมูลแบบสตรีมไซเฟอร์ที่ใช้ใน SSL มีอยู่แบบเดียวคือ RC4  แต่มีขนาดคีย์ให้เลือก 2 ขนาด คือ 40 บิต และ 128 บิต

- Block Cipher   สำหรับการเข้ารหัสข้อมูลแบบล็อคนั้น มีหลายแบบให้เลือกคือ RC2  CBC 40, DES40 CBC,DES CBC, 3DES EDE CBC, IDEA CBC, FORTEZZA CBC



แฮชฟังก์ชัน

SSL ใช้แฮชฟังก์ชันสำหรับการตรวจสอบความถูกต้องของข้อมูลและการพิสูจน์ทราบตัวจริงรูปแบบแฮชฟังก์ชันที่เลือกใช้ได้มี 3 แบบคือ

- NULL     ทั้งสองฝ่ายตกลงว่าจะไม่ใช้แฮชฟังก์ชัน  ซึ่งก็จะไม่สามารถพิสูจน์ทราบตัวจริงได้
- MDS      เป็นแฮชฟังก์ชันที่ให้ค่าเมสเสจไดเจสต์ขนาด  128บิต
- SHA-1    เป็นแฮชฟังก์ชันที่เลือกใช้ได้  โดยจะให้เสมเสจไดเจสต์ขนาด 160 บิต

TLS

              เป็นมาตรฐานของ IETF  ที่ลอกเลียนแบบ SSL  ทำให้ทั้งสองโปรโตคอลมีความคล้ายกันมาก  แต่จะแตกต่างกันเล็กน้อย  ส่วนที่แตกต่างกันดังนี้

- Version      ส่วนแรกที่แตกต่างหมายเลขเวอร์ชัน  ปัจจุบันของ SSL คือ 3.0  ส่วนปัจจุบันของTLS คือ 1.0
- Cipher Suite     ส่วนที่แตกต่างกันคือ TLS จะไม่รองรับการเข้ารหัสและการแลกเปลี่ยนคีย์แบบ Fortezza
- การสร้างคีย์    TLS จะมีขั้นตอนในการสร้างคีย์ที่ยุ่งยากซับซ้อนมากกว่าของ SSL
- Handshake Protocol     ในส่วนของแฮนด์เชคโปรโตคอลนั้น TLS ได้เปลี่ยนแปลงบางอย่างโดยเฉพาะในขั้นตอน CertificateVerifyและ Finished
- Record Protocol     ในส่วนของเร็คคอร์ดโปรโตคอลนั้นจะเปลี่ยนมาใช้ HMAC  สำหรับการเซ็นชื่อในข้อความที่ส่ง

ต้องการติดตั้งกล้องวงจรปิด >>>บริษัท มีเดีย เสิร์ซ จำกัด โทร.02-8883507-8, 081-700-4715


วันศุกร์ที่ 18 ตุลาคม พ.ศ. 2562

IMAP (Internet Message Access Protocol)

IMAP (Internet Message Access Protocol)

POP3 มีปัญหาคือผู้ใช้ไม่สามารถจัดการเมลบ็อกซ์ของตัวเองได้ ทำได้เพียงดาวน์โหลดเมลและลบเมลที่ไม่ต้องการเท่านั้น ผู้ใช้บางคนที่ต้องการเก็บเมลไว้ที่เซิร์ฟเวอร์เพื่อที่เขาจะได้อ่านเมลจากเครื่องใดก็ได้นั้น  เมลที่เก็บไว้ในเมลบ็อกซ์เพิ่มจำนวนมากขึ้นอาจทำให้ผู้ใช้ยากที่จะจัดการเมลได้

ผู้ใช้ไม่สามารถบอกได้ว่าเมลไหนที่ได้อ่านแล้วหรือผู้ใช้ไม่สามารถสร้างโฟลเดอร์ใหม่ที่เซิร์ฟเวอร์ได้  ทำให้ยากต่อการค้นหาเมลหรือถ้าต้องการอ่านเฉพาะเมลใหม่ก็ทำยากIMAP เป็นโปรโตคอบสำหรับเข้าจัดการเมลบ็อกซ์และถูกคิดค้นขึ้นมาเพื่อแก้ปัญหาของ POP3IMAP เป็นโปรโตคอลที่อนุญาตให้ผู้ใช้สามารถจัดการเมลบ็อกซ์ที่เซิร์ฟเวอร์และยังอนุญาตให้ผู้ใช้สามารถดาวน์โหลดเฉพาะบางส่วนของเมลเท่านั้น  ในการเชื่อมต่อแต่ละครั้งของ IMAP เซิร์ฟเวอร์จะอยู่ใน 4 สถานะคือ

- Non-Authenticated State   :     สถานะเริ่มเมื่อมีการสร้างการเชื่อมต่อในตอนแรก  โดยในชั้นนี้ไคลเอนต์ต้องส่ง  ชื่อล็อกอินและรหัสผ่าน  เพื่อตรวจสอบสิทธิ์การใช้งานได้เท่านั้น

- Authenticated State   :      เมื่อเซิร์ฟเวอร์ตรวจสอบผู้ใช้ผ่านแล้ว  ขั้นตอนต่อไปผู้ใช้ต้องส่งข้อมูลเกี่ยวกับว่าต้องการอ่านหรือจัดการเมลที่อยู่ในโฟล์เดอร์ใด

- Selected State   :    เมื่อเลือกโฟลเดอร์แล้วผู้ใช้ถึงมีสิทธิ์จัดการเมลได้    เช่น  ดาวน์โหลด  ย้ายโฟลเดอร์ ลบเมล เป็นต้น

- Logout State   :     สถานะนี้เริ่มเมื่อผู้ใช้สิ้นสุดการเชื่อมต่อ  หรือเซิร์ฟเวอร์ยกเลิกก็ได้

                       การรับส่งอีเมลไม่มีการเข้ารหัสข้อมูลไม่ว่าจะใช้โปรโตคอล SMTP, POP  โปรโตคอลเหล่านี้ถูกออกแบบมาเพื่อให้การสื่อสารอีมลเป็นมาตรฐานเดียวกันเท่านั้น  ไม่ได้เน้นเรื่องการรักษาความปลอดภัยข้อมูล  ผู้ใช้ต้องการปกปิดข้อความในจดหมายนั้น  ก็เป็นหน้าที่ของผู้ใช้ที่ต้องหาทางในการเข้ารหัสข้อมูลก่อนที่จะส่งผ่านระบบเมล  ต่อมาก็ได้มีการพัฒนาโปรโตคอลเพื่อสำหรับการเข้าอีเมล  พร้อมทั้งมีลายเซ็นอิเล็กทรอนิกส์เพื่อสำหรับการตรวจสอบแหล่งที่มาหรือเจ้าของอีเมลได้  โปรโตคอลที่นิยมใช้ในการเข้ารหัสอีเมล



การรักษาความปลอดภัยในระดับทรานสปอร์ตเลเยอร์

ในระดับทรานสปอร์ตเลเยอร์นั้นการรักษาความปลอดภัยจะให้บริการแบบแอนด์ทูแอนด์  หรือ โฮสต์ทูโฮสต์   สำหรับแอพพิลเคชันโปรโตคอลที่นิยมมากที่สุดในปัจจุบันคือ SSL   จุดมุ่งหมายหลักของโปรโตคอลเหล่านี้เพื่อให้บริการแก่ไคลเอนต์และเซิร์ฟเวอร์สำหรับการพิสูจน์ทราบตัวจริง   การรักษาความลับข้อมูลและการรักษาความถูกต้องของข้อมูล 

เป็นโปรโตคอลของเว็บนั่นเองโดยปรกติโปรโตคอลนี้ก็จะให้บริการของโปรโตคอล TOP ในชั้นทรานสปอร์ตในการรับส่งข้อมูลระหว่างไคลเอนต์และเซิร์ฟเวอร์    ถ้าต้องการรักษาความปลอดภัยข้อมูลทั้งบราวเซอร์และเว็บเซิร์ฟเวอร์ต้องรองรับ  SSL หรือ TLS จะทำหน้าที่ให้ข้อมูลของ HTTP  ถูกเข้ารหัสด้วย SSL  หรือ  TLS  ก่อนแล้วค่อยส่งต่อไปให้โปรโตคอล TOP อีกทีหนึ่ง

SSL
                  โปรดตคอลที่ใช้สำหรับเข้ารหัสข้อมูลและการพิสูจน์ตัวตน ระหว่างเว็บเซิร์ฟเวอร์และไคลเอนต์   การทำงานจะเริ่มจากเจรจาเพื่อตกลงเกี่ยวกับอับกอริทึมและคีย์ที่ใช้สำหรับการเข้ารหัสข้อมูล  ขั้นตอนการพิสูจน์ทราบตัวจริงเมื่อตกลงเกี่ยวกับอัลกอริทึมที่คีย์พร้อมทั้งได้พิสูจน์ตัวจริงซึ่งกันและกัน  ไคลเอนต์และเซิร์ฟเวอร์เริ่มการสื่อสารโดยข้อมูลที่รับส่งกันจะถูกเข้ารหัสด้วยเซสซันคีย์ที่ตกลงกัน  SSL

เป็นโปรโตคอลที่นิยมใช้ในอีคอเมิร์ซเป็นอย่างมาก  และยังเป็นพื้นฐานสำหรับการออกแบบ TLS  ซึ่งเป็นมาตรฐานการสื่อสารอย่างปลอดภัยที่พัฒนาโดย IETF  นั่นเองSSL และ TLS  เป็นโปรโตคอลในระดับทรายนปอร์ตเลเยอร์   การใช้งานไม่จำกัดเฉพาะเว็บแอพพลิเคชันเท่านั้นโปรโตคอลอื่น ๆ สามารถใช้ทั้งสองโปรโตคอลนี้ในการสื่อสารอย่างปลอดภัยกล้องวงจรปิดได้เช่นกัน

SSL มีขั้นตอนการทำงานที่สำคัญดังนี้

                      การพิสูจน์ทรายตัวจริงของเซิร์ฟเวอร์   :  SSL    จะอนุญาตให้เว็บบราวเซอร์เก็บรายชื่อของ CA(Certificate Authority)  ที่เชื่อถือได้  เมื่อเว็บบราวเซวอร์ต้องการสื่อสารกับเว็บเซิร์ฟเวอร์ที่รองรับSSL เว็บบราวเซอร์จะติดต่อกับเซิร์ฟเวอร์เพื่อขอรับใบรับรองอิเล็กทรอนิกส์  ซึ่งภายในจะมีพับลิกคีย์ของเซิร์ฟเวอร์ไคลเอนต์  สามารถพิสูจน์ทราบตัวจริงของเว็บเซิร์ฟเวอร์ได้   โดยการตรวจสอบใบรับรองอิเล็กทรอนิกส์นี้กับ CA ที่ไคลเอนต์มีรายชื่ออยู่

- การพิสูจน์ทราบตัวจริงของไคลเอนต์     ในบางครั้งไคลเอนต์ก็อาจต้องการพิสูจน์ทราบตัวจริงของไคลเอนต์เช่นกัน  จะได้มั่นใจว่ากำลังสื่อสารกับคนที่ต้องการได้จริง ๆ ขั้นตอนการพิสูจน์ก็จะคล้ายกับการพิสูจน์ทราบตัวตนของเซิร์ฟเวอร์  ไคลเอนต์จะส่งใบรับรองอิเล็กทรอนิกส์ของตัวเองไปให้เซิร์ฟเวอร์ ๆ ก็จะสามารถตรวจสอบใบรับรองอิเล็กทรอนิกส์กับ CA ที่เซิร์ฟเวอร์ได้ให้ความเชื่อถือ

- การเข้ารหัสข้อมูล      ข้อมูลที่รับส่งระหว่างไคลเอนต์และเซิร์ฟเวอร์นั้น  จะถูกเข้ารหัสแบบซิมเมตริกคีย์เอ็นคริพชัน  โดยใช้คีย์ที่ตกลงกันในตอนต้น  และการบริการนี้ทำให้คู่สนทนามั่นใจได้ว่าข้อมูลนี้จะไม่ถูกแอบดักอ่าน  หรือแก้ไขจากบุคคลที่สามารถในระหว่างการรับส่งข้อมูลผ่านอินเทอร์เน็ต


วันพุธที่ 16 ตุลาคม พ.ศ. 2562

Network Security

Network Security


วัตถุประสงค์

- รู้และเข้าใจการรักษาความปลอดภัยในแต่ละเลเยอร์ของโปรโตคอล TCP/IP
- รู้และเข้าใจการรักษาความปลอดภัยของอีเมลด้วย  PGP และ S/MIME
- รู้และเข้าใจการรักษาความปลอดภัยของเว็บด้วย  SSL และ HTTPS
- รู้และเข้าใจการรักษาความปลอดภัยในระดับเครือข่ายด้วย VPN และ IPSec

การรักษาความปลอดภัยกล้องวงจรปิดในระดับแอพพลิเคชันเลเยอร์

                      เทคนิคของแต่ละแอพพลิเคชันในการรักษาความปลอดภัยจะมีแตกต่างกันแต่แบบที่นิยมใช้ คือ PGP และ S/MIME  เป็นการเข้ารหัสข้อมูล  การพิสูจน์ทราบตัวตนของผู้รับและผู้ส่งในโปรโตคอลที่ทำงานในเลเยอร์แอพพลิเคชัน  ขั้นตอนการเข้ารหัสข้อมูลหรือการพิสูจน์ทราบตัวตนจะทำโดยโปรโตคอล SSL/TLS  เป็นโปรโตคอลที่ทำงานในทรานสปอร์ตเลเยอร์นั่นเอง  แต่ละแอพพลิเคชันหรือโปรโตคอลมีเทคนิคในการรักษาความปลอดภัยข้อมูล



Mail Security

                     อีเมลเป็นอีกแอพพลิเคชันที่นิยมมากรองจากเวิลด์ไวต์เว็บบนอินเทอร์เน็ตในปัจจุบัน   หลักการทำงานของอีเมลนั้นคล้าย  ๆ  กับการรับส่งจดหมายทั่ว  ๆ  ไป  ผู้ใช้สามารถรับส่งข้อความถึงกัน  แต่ข้อได้เปรียบของอีเมลก็คือ  ง่าย  รวดเร็ว  และถูกกว่า  นอกจากข้อความธรรมดาเรายังสามารถส่งข้อความในรูปแบบของเอกสารหรือเว็บเพจได้ด้วย  เรายังสามารถส่งไฟล์รูปแบบอื่น  ๆ  เช่น  ไฟล์รูปภาพ  เสียง  แม้กระทั่งวิดีโอแนบไปกับอีเมลก็ได้ด้วย   

ระบบอีเมลเป็นแอพพลิเคชันที่ได้รับความนิยมมากบนอินเทอร์เน็ต  ระบบอีเมลใช้หลายโปรโตคอลย่อยที่ทำงานร่วมกัน  เพื่อให้ผู้ใช้สามารถรับส่งอีเมลถึงกันได้

SMTP (Simple Transfer Protocol)

                 โปรโตคอลมาตรฐานสำหรับรับส่งเมลผ่านเครือข่ายอินเทอร์เน็ตและมีการปรับปรุงเรื่อย  ๆ    SMTP เป็นมาตรฐานที่นิยมใช้มากที่สุดในปัจจุบันทำหน้าที่ส่งอีเมลจากเมลเซิร์ฟเวอร์ของผู้ส่งไปยังเมลเซิร์ฟเวอร์ของผู้รับ  เป็นโปรโตคอลสำหรับการส่งเมลเท่านั้นไม่สามารถใช้สำหรับการอ่านหรือดึงเมลมาจากเซิร์ฟเวอร์ได้    ระหว่างการส่งอีเมลนั้นเซิร์ฟเวอร์ก็จะส่งข้อความเพื่อทำความรู้จักซึ่งกันและกันก่อนที่จะมีการส่งเมลจริง ๆ ก่อน

POP (Post Office Protocol)

กระบวนการส่งเมลจะสิ้นสุดเมื่ออีเมลส่งถึงเมลเซิร์ฟเวอร์ของผู้รับ  และจะถูกเก็บไว้ในเมลบ๊อกซ์ของผู้รับบนเมลเซิร์ฟเวอร์   การใช้อีเมลเมื่อผู้ใช้ต้องการอ่านอีเมลจะล๊อกอินมายังเมลเซิร์ฟเวอร์แล้วค่อยใช้โปรแกรมเมลอ่านข้อความในจดหมาย   ปัจจุบันผู้ใช้จะใช้เมลไคล์เอนต์   การเช็คเมลในเมลบ๊อกที่เก็บไว้ที่เซิร์ฟเวอร์ซึ่งเมลไคลเอนต์ก็จะใช้โปรโตคอล POP เพื่อสำหรับดึงอีเมลจากเซิร์ฟเวอร์มาเก็บไว้ที่เครื่องไคลเอนต์ของผู้ใช้

เพื่ออ่านอีเมลที่ส่งมาถึงผู้ใช้คนนั้นอีกทีหนึ่ง   โปรโตคอลที่ใช้ดึงเมลบ๊อกที่เก็บไว้ในเมลเซิร์ฟเวอร์  การทำงานจะเริ่มจากไคลเอนต์สร้างการเชื่อมต่อแบบ  TOP  กับเมลเซิร์ฟเวอร์ผ่านพอร์ตมาตรฐาน  ในระหว่างการเชื่อมต่อนั้นจะมีขั้นตอนการเชื่อมต่ออยู่  3  ขั้นตอนคือ

- ขั้นตอนที่ 1       เมื่อไคลเอนต์สร้างการเชื่อมต่อกับเซิร์ฟเวอร์  แล้วก็จะส่งข้อมูลการล็อกอิน คือ ชื่อผู้ใช้และรหัสผ่านเพื่อตรวจสอบสิทธิ์การใช้งาน

- ขั้นตอนที่  2      จะเป็นการดาวน์โหลดอีเมลจากเซิร์ฟเวอร์  ในขั้นตอนนี้ไคลเอนต์สามารถกำหนดว่าเมลไหนที่ผู้ใช้ต้องการลบออกจากเมลบ็อกซ์

- ขั้นตอนที่  3      การสิ้นสุดการเชื่อมต่อ  โดยเมลเซิร์ฟเวอร์จะลบอีเมลที่ผู้ใช้ต้องการ  และสิ้นสุดการเชื่อมต่อ


วันอังคารที่ 15 ตุลาคม พ.ศ. 2562

แฮชฟังก์ชั่น

แฮชฟังก์ชั่น


บางทีเรียกว่าวันเวย์เอ็นคริพชัน   เป็นการเข้ารหัสข้อมูลโดยไม่ต้องใช้คีย์  และผลลัพธ์ที่ได้จากการเข้ารหัสนั้นจะมีความยาวคงที่เสมอ  แฮชฟังก์ชันจะใช้สำหรับการคำนวณหาสิ่งที่เรียกว่า  ดิจิตอลฟิงเกอร์พรินต์ หรือเมสเสจไดเจสต์

ประโยชน์ของแฮชฟังก์ชันใช้สำหรับตรวจสอบดูว่าข้อมูลเดิมนั้นได้ถูกแก้ไขเปลี่ยนแปลงหรือไม่  และยังนิยมใช้โดยระบบปฏิบัติการเพื่อเข้ารหัสพาสเวิร์คในการล็อกอินเข้าระบบ  แฮชฟังก์ชันนั้นสามารถใช้สำหรับการรักษาความถูกต้องของข้อมูลหรือไฟล์กล้องวงจรปิดได้เป็นอย่างดี  โดยเฉพาะการใช้ในระบบลายเซ็นอิเล็กทรอนิกส์

                       ไฟล์สองไฟล์มีเนื้อหาที่แตกต่างกันเมื่อส่งเข้าแฮชฟังก์ชันแล้วจะได้เมสเสจไดเจสต์ที่แตกต่างกันและยังมีโอกาสเป็นไปได้ที่มีสองไฟล์ใด  ๆ  อาจมีค่าเมสเสจไดเจสต์ที่เหมือนกันก็ได้  การหาสองไฟล์ใด  ๆ ที่ให้ค่าแฮชเดียวกันนั้นเป็นสิ่งที่หายากมาก ๆ  ซึ่งอาจสรุปได้ว่าเป็นไปไม่ได้เลยก็ได้  และสิ่งที่ยากยิ่งกว่าคือ  การหาไฟล์ที่ได้ค่าแฮชที่กำหนด  เพราะเหตุนี้แฮชฟังก์ชันจึงนิยมมากในระบบการรักษาความปลอดภัยและนิติเวชศาสตร์คอมพิวเตอร์



ความยาวของคีย์

                      งานวิจัยหลายฉบับในปปัจจุบันรายงานว่าคีย์ที่มีความยาว 56 บิตไม่ปลอดภัยเพียงพอเราต้องใช้คีย์ที่มีความยาวเพิ่ม  การเพิ่มบิตหนึ่งบิตให้กับคีย์เท่ากับเป็นการเพิ่มจำนวนคีย์ได้เป็นสองเท่า   ในการเข้ารหัสข้อมูลของคีย์มีความสำคัญมาก   เหตุผลที่คีย์ยิ่งยาวเท่าไรยิ่งมีความปลอดภัยมากขึ้น  ในการถอดรหัสคอมพิวเตอร์อาจจะต้องลองใช้คีย์ที่เป็นไปได้ทั้งหมดเพื่อถอดรหัส  หรือที่เรียกว่าการโจมตีแบบรูทฟอร์ส  การโจมตีแบบนี้นิยมมากกว่าแบบอื่น 

คอมพิวเตอร์ในปัจจุบันได้มีการพัฒนามากขึ้น  และมีราคาถูกลง  คอมพิวเตอร์พีซีทั่วไปก็สามารถนำมาใช้ในการโจมตีได้  องค์กรที่มีงบประมาณมากก็สามารถใช้ฮาร์ดแวร์ที่อนุญาตให้สามารถสร้างคอมพิวเตอร์ชิปที่สามารถทำงานเฉพาะได้เร็วกว่าคอมพิวเตอร์ทั่วไป  ปัจจุบันได้มีแนวโน้มและเริ่มมีการนำการ์ดจอมาใช้เพราะมีหน่วยประมวลผลสูงมากต่อหนึ่งการ์ดจอ

หากนำมาต่อขนานกันหลาย  ๆ  ตัวก็จะให้ประสิทธิภาพที่สูงขึ้นตามลำดับ  นั่นเป็นวิธีหนึ่งที่ใช้กันมากกว่าการใช้พีซีที่มีหน่วยประมวลผล 4-8 ตัวต่อซีพียู

                       ความยาวของคีย์ที่เพียงพอสำหรับการปกป้องข้อมูลจากการโจมตีนั้นแตกต่างกันขึ้นอยู่กับเวลาที่อนุญาตให้ถอดรหัสและกำลังเงินสนับสนุน    หลักพื้นฐานสำหรับระบบการรักษาความปลอดภัยใด  ๆ  การที่รู้ว่าเราต้องการที่จะปกป้องอะไรจากใคร  แล้วคีย์ขนาดเท่าไรถึงจะเพียงพอและเหมาะสม

ดังนั้นคีย์ที่ใช้กันอยู่ในปัจจุบันจึงควรมีความยาวอย่างน้อย  76 บิต  และควรที่จะมีความยาวเพิ่มขึ้นอีก  แต่บางครั้งคีย์ที่มีขนาดความยาวมาก ๆ ไม่ใช่ว่าจะดีเสมอไป เพราะอาจจะไม่ได้เพิ่มความปลอดภัยมากนัก  แต่มีข้อเสียคือจะต้องใช้เวลาในการเข้าและถอดรหัสข้อมูลเพิ่มมากขึ้นอย่างมาก
เทคนิคการซ่อนพรางข้อมูล

                     การซ่อนพรางข้อความด้วยการใช้บิตที่มีความสำคัญน้อยที่สุดของไฟล์รูปภาพหรือไฟล์เสียง  ยิ่งไฟล์ที่ใช้ซ่อนพรางข้อความที่มีขนาดใหญ่เท่าใด  ก็ยิ่งทำให้ง่ายต่อการซ่อนพราง    จุดประสงค์ของเทคนิคในการซ่อนพรางข้อมูล  ก็คือการทำให้ไฟล์ที่ใช้สำหรับส่งข้อมูลนั้นดูเหมือนไม่แตกต่างจากไฟล์ดังเดิม    ปัจจุบันมีหลายโปรแกรมที่ใช้สำหรับการซ่อนพรางข้อมูล

การตรวจจับการซ่อนพรางข้อมูล

                    หลักการของการซ่อนพรางข้อมูล   การทำไม่ให้จับได้ว่ามีการซ่อนพรางข้อมูล และเป็นสิ่งที่ยากมากที่จะซ่อนข้อมูลโดยไม่ทิ้งร่องรอยใด  ๆ   ขณะที่โปรแกรมนั้นไม่ได้พยายามที่จะแทรกข้อมูลลงไปในไฟล์แต่เป็นเพียงการเพิ่มข้อมูลพ่วงต่อท้ายข้อมูลเดิมที่มีอยู่  แต่บางโปรแกรมที่ใช้วิธีที่ฉลาดกว่าในการสุ่มเลือกบิตที่จะแทรกข้อมูลลงไปในไฟล์



วันศุกร์ที่ 11 ตุลาคม พ.ศ. 2562

มาตรฐานการเข้ารหัสข้อมูลแบบพับลิกคีย์

มาตรฐานการเข้ารหัสข้อมูลแบบพับลิกคีย์


                         โดยทั่วไปอัลกอรึทึ่มแบบพับลิกคีย์ที่เป็นที่รู้จัก  เช่น RSA, Digital Signature, Cramer - Shoup และอื่น  ๆ เป็นต้น  ซึ่งจะได้ยกตัวอย่างในรายละเอียดดังนี้

RSA

การเข้ารหัสแบบพับลิกคีย์มาจากตัวแรกของผู้คิดค้นอัลกอริทึ่ม  ประกอบด้วย รอน รีเวลท์ อดิ ชาเมอร์  และลีโอนาร์ด แอ็ดเดิลเมน  วิธีนี้สามารถใช้ได้ทั้งกับการเข้ารหัสข้อมูลและประยุกต์ใช้กับลายเซ็นอิเล็กทรอนิกส์  ข้อมูลที่เข้ารหัสด้วยไพรเวทคีย์จะถูกถอดรหัสได้ด้วยการใช้พับลิกคีย์ที่เป็นคู่กันเท่านั้นหรือสางคลับคีย์กันได้

การสื่อสารแบบนี้สามารถสร้างความเชื่อถือให้กับข้อมูลได้แบบทางเดียว  RSA  สามารถใช้ประโยชน์ได้หลายด้าน    RSA  มีขั้นตอนสำคัญ  3  ขั้นตอนคือ  การสร้างคีย์  การเข้ารหัส  และการถอดรหัส  มีรายละเอียดขั้นตอนในการสร้างพับลิกคีย์และไพรเวทคีย์มีดังนี้

- เลือกเลขจำนวนเฉพาะ P  และ  Q หลักการในการเลือกตัวเลขทั้งสองนี้คือ  ยิ่งเลขจำนวนมากยิ่งทำให้ยากต่อการเดารหัสลับหรือคีย์  แต่จะทำให้การเข้าและถอดรหัสช้า

- คำนวณจำนวน n และ z โดยn=qp และ z=(p-1)(q-1)

- เลือกจำนวน  e  ซึ่งมีค่าน้อยกว่า n และ  e  ไม่มีตัวหารร่วมกับ z นอกจาก 1  ดังนั้น e และ z  จึงเป็นจำนวนเฉพาะซึ่งกันและกัน

- คำนวณหาจำนววน d โดยedmod z= 1  (mod  เป็นโอเปอเรเตอร์ที่เป็นการหารเอาเฉพาะเศษ)

- พับลิกคีย์ คือ จำนวนคู่ (n, e) ส่วนไพรเวทคีย์ คือ  จำนวนคู่ (n,d)และสูตรการเข้ารหัส

       การเข้าและถอดรหัสทำได้โดยทฤษฏีทางคณิตศาสตร์  เลขยกกำลัง  และการหารเอาเฉพาะเศษ  ในขั้นต้นต้องแปลงตัวอักษรเป็นตัวเลข  เราจะเลือกคีย์ที่มีจำนวนน้อย  แต่จำนวนที่ได้จากการยกกำลังนั้นมีค่าสูงมาก  และการเลือกคีย์นั้นควรจะมีความยาวมาก  ๆ  เพื่อให้ยากต่อการเดาคีย์ที่ใช้ได้  โดยทั่วไปคีย์ที่ใช้บนอินเทอร์เน็ตจะมีขนาด 1,024 บิต

จึงทำให้ขั้นตอนการเข้าและถอดรหัสนั้นช้ามากเมื่อเทียบกับการเข้ารหัสแบบซิมเมตริกคีย์  แต่ในทางปฏิบัติ RSA จะใช้คู่กับ DES  ในครั้งแรกจะใช้  RSA  สำหรับแจกจ่ายซีเคร็ทคีย์ของ DES  เพื่อเข้ารหัส  ซึ่งคีย์นี้จะเรียกว่า  เซสซันคีย์



Digital Signature algorithm (DSA)

การตรวจสอบความถูกต้องของข้อมูลในโลกดิจิตอลมีความสำคัญอย่างมาก   ข้อมูลที่ส่งมานั้นมาจากใครและมีความคงสภาพดังเดิมหรือไม่  ความเชื่อมั่นในระบบสื่อสารนั้นก็จะไม่มี  โดยเฉพาะอย่างยิ่งในระบบที่คู่สนทนาเป็นคนที่ไม่เคยรู้จักกันมาก่อน  ด้วยเทคโนโลยีนี้บุคคลธรรมดาทั้วไปก็สามารถลงนามในเอกสารอิเล็กทรอนิกส์ได้  แทนการลงชื่อในเอกสารที่เป็นกระดาษ  หรือใช้โดยนิติบุคคลแทนการใช้ตราประทับแบบเดิมได้ 

ลายเซ็นดิจิตอลใช้เทคนิคการเข้ารหัสแบบพับลิกคีย์   ผู้เซ็นชื่อนั้นจะใช้ไพรเวทคีย์ในกระบวนการลงชื่อส่วนผู้รับนั้นจะใช้พับลิกคีย์ของผู้ลงชื่อนั้นในการตรวจสอบ  หรือพิสูจน์ทราบตัวตนของผู้เซ็น  และยังมีคุณสมบัติพิเศษในการตรวจสอบความถูกต้องสมบูรณ์ของข้อมูลได้ด้วย  การเข้ารหัสแบบพับลิกคีย์สามารถประยุกต์ใช้เป็นลายเซ็นอิเล็กทรอนิกส์ได้

เทคนิคดังกล่าวสามารถตรวจสอบผู้เซ็นได้ด้วยการตรวจสอบคีย์ที่ใช้ และข้อมูลนั้นจะไม่ถูกเปลี่ยนแปลงอย่างแน่นอน  เจ้าของเท่านั้นที่ทราบไพรเวทย์คีย์  ปัญหาของการเข้ารหัสแบบพับลิกคีย์ขั้นตอนการเข้าและถอดรหัสนั้นอาจใช้เวลานานเกินไปโดยเฉพาะกับเอกสารที่มีขนาดใหญ่  ขั้นตอนในการเข้าและถอดรหัสจะมีการคำนวณเลขยกกำลังจำนวนมาก  ๆ

จุดมุ่งหมายของลายเซ็นอิเล็กทรอนิกส์นั้นแตกต่างจากการเข้ารหัสแบบพับลิกคีย์ตรงที่ว่าการเข้ารหัสแบบพับลิกคีย์ผู้ส่งต้องการที่จะปกปิดข้อความที่ส่ง  แต่จุดประสงค์ของลายเซ็นอิเล็กทรอนิกส์เพื่อเป็นการรับรองว่า  ผู้ส่งนั้นเห็นด้วยกับเนื้อหาของข้อความที่ส่ง  และข้อความส่งถึงผู้รับโดยที่ไม่มีการเปลี่ยนแปลงโดยบุคคลที่สาม  เนื้อหาของข้อความอาจเปิดเผยได้  ลายเซ็นดิจิตอลมีขั้นตอนการทำงานที่สำคัญ  3  ขั้นตอนคือ

- การสร้างคีย์
- การลงชื่อ
- การพิสูจน์ลายเซ็น

        ลายเซ็นอิเล็กทรอนิกส์ถูกพัฒนาเพื่อจุดมุ่งหมายข้างต้นและมีขั้นตอนสรุปได้ดังนี้

- ข้อมูลที่ต้องการจะส่งจะถูกคำนวณให้ได้ข้อความที่สั้นลงโดยใช้แฮชฟังก์ชัน  ผลที่ได้จะเป็นข้อมูลสั้น  ๆ  และความยาวคงที่เรียกว่า  เมสเสจไดเจสต์

- ผู้ส่งจะเซ็นชื่อในข้อความโดยการเข้ารหัสเมสเสจไดเจสต์  โดยใช้ไพรเวทคีย์ของตัวเอง  ซึ่งข้อมูลที่ได้จะเรียกว่า ลายเซ็นดิจิตอลของเอกสารนั้น

- ข้อความเดิมจะถูกส่งไปพร้อมกับลายเซ็นดิจิตอลนี้ไปให้ผู้รับ

- ผู้รับจะตรวจสอบข้อมูลที่ได้รับโดย  คำนวณเมสเสจไดเจสต์โดยใช้แฮชฟังก์ชันเดียวกัน   ใช้พับลิกคีย์ของผู้ส่งถอดรหัสลายเซ็นดิจิตอลที่ส่งมากับข้อความ  ซึ่งจะได้เมสเสจไดเจสต์อีกชุดหนึ่ง  เปรียบเทียบเมสเสจไดเจสต์ที่คำนวณได้กับที่ถอดรหัสได้  ถ้าเหมือนกันแสดงว่าข้อความไม่ได้ถูกเปลี่ยนแปลงนับตั้งแต่มีการเซ็นเอกสารนั้น

                        ประโยชน์ของการใช้ลายเซ็นดิจิตอลมีอยู่สองข้อหลัก  ๆ  คือ  พิสูจน์ได้ว่าข้อมูลที่ได้รับนั้นมาจากผู้ส่งตัวจริงและไม่ได้ถูกปลอมแปลง  ซึ่งคุณสมบัตินี้เรียกว่า  การพิสูจน์ทราบตัวตน  และการพิสูจน์ได้ว่าข้อมูลได้ถูกเปลี่ยนแปลงหรือไม่

>>>ติดตั้งกล้องวงจรปิด<<<


ประวัติการเข้ารหัสข้อมูล

ประวัติการเข้ารหัสข้อมูล


ในสมัยโบราณได้มีการบันทึกเอกสารทางประวัติศาสตร์ว่ามีการใช้การเข้ารหัสข้อมูล   ผู้เชี่ยวชาญบางคนเชื่อว่าในการเข้ารหัสได้ค่อย  ๆ  พัฒนาหลังจากได้มีการประดิษฐ์ตัวอักษรและการเขียนซึ่งมีการประยุกต์ใช้ตั้งแต่การส่งสารเพื่อการทูตไปจนถึงการส่งสารเกี่ยวกับการรบในยามสงคราม 

และได้มีการพัฒนาต่อมาเรื่อย  ๆ  จนถึงช่วงสงครามโลกครั้งที่  2  ได้มีการใช้การเข้ารหัสข้อมูลอย่างจริงจังได้มีการนำเอาเทคโนโลยีคอมพิวเตอร์และอิเล็กทรอนิกส์มาใช้ในการสื่อสารอย่างแพร่หลาย  ข้อมูลที่สื่อสารกันไม่ใช่อยู่ในรูปแบบตัวอักษรหรือข้อความเท่านั้น   แต่อยู่ในรูปแบบอื่น ๆ  ด้วย  เสียงก็เป็นอีกข้อมูลหนึ่งที่ต้องเข้ารหัสเพื่อปกป้องความลับเพราะอาจมีการแอบดักฟัง   การเข้ารหัสข้อมูลมีประวัติมาช้านาน 



ในปัจจุบันการเข้ารหัสข้อมูลถูกใช้สำหรับปกป้องข้อมูลอย่างแพร่หลายในระบบที่ใช้ในภาคเอกชนและธุรกิจ  การเข้ารหัสยังใช้ในระบบบริหารจัดารลิขสิทธิ์แบบดิจิตอล  เพื่อป้องกันการละเมิดสิทธิทางปัญญา  ซึ่งมีทั้งซอฟต์แวร์และฮาร์ดแวร์มาตรฐานที่ใช้สำหรับการเข้ารหัสข้อมูล  มีเทคนิคในการเข้ารหัสข้อมูลที่ยากต่อการถอดรหัส  แต่ปัญหาส่วนใหญ่อยู่ที่วิธีการในการใช้งานซอฟต์แวร์หรือฮาร์ดแวร์  และการบริหารจัดการคีย์ที่ทำให้การรักษาความปลอดภัยข้อมูลล้มเหลว

ประเภทของการเข้ารหัสข้อมูล

                        ข้อมูลทั่วไปที่รับส่งผ่านเครือข่ายอยู่ในรูปเคลียร์เท็กซ์   ข้อมูลอาจถูกแอบอ่านหรือคัดลอกด้วยการใช้เทคนิคที่เรียกว่า  สนิฟเฟอริง   เพื่อป้องกันการขโมยข้อมูลที่รับส่งผ่านเครือข่ายที่ไม่มีความปลอดภัย   ข้อมูลจึงจำเป็นต้องมีการเข้ารหัส  การเข้ารหัสข้อมูลซึ่งข้อมูลนี้จะถูกส่งไปให้ผู้รับ  เมื่อผู้รับได้รับข้อมูลก็จะถอดรหัสข้อมูลเพื่อให้ได้ข้อมูลเดิม  การเข้าและถอดรหัสข้อมูลจะเรียกว่า  คริพโตกราฟี  ปัจจุบันการเข้ารหัสข้อมูลจะแบ่งออกเป็น  2  ประเภทคือ

- ซีเคร็ทคีย์คริพโตกราฟี
- พับลิกคีย์คริพโตกราฟี

                        กระบวนการที่เกี่ยวข้องกับการเข้ารหัสข้อมูลมีสองขั้นตอน  คือ  การเข้ารหัสและการถอดรหัส   บางฟังก์ชันมีการเข้ารหัสแบบทางเดียว  ฟังก์ชันนี้เรียกว่า  แฮชฟังก์ชัน    ข้อมูลที่มีความยาวคงที่ไม่ว่าอินพุดจะมีขนาดความยาวเท่าใดก็ตาม  ข้อมูลที่ได้นั้นจะไม่มีการถอดรหัสกลับมาเป็นข้อมูลดังเดิมได้อีก  ฟังก์ชันนี้มีประโยชน์สำหรับการตรวจสอบความถูกต้องของข้อมูลหรือการตรวจเช็คดูว่าข้อมูลนั้นได้ถูกแก้ไขหรือเปลี่ยนแปลงจากเดิมหรือไม่

Secret Key Cryptography

                     การเข้ารหัสแบบนี้หรือเรียกอีกอย่างหนึ่งว่าการเข้ารหัสแบบสมมาตร   เป็นกรรมวิธีการเข้ารหัสและการถอดรหัสจะใช้คีย์เดียวกัน    สำหรับการเข้ารหัสแบบนี้คีย์ที่ใช้จะมีความยาวคงที่   การไหลของข้อมูลฝ่ายส่งจะนำข้อมูลที่ต้องการส่งหรือเพลนเท็กซ์คือ  “ABC”  มาเข้ารหัสโดยใช้คีย์ผลที่ได้คือ  ไซเฟอร์เท็กซ์ซึ่งมีค่าเป็น “l&#”  แล้วส่งผ่านเครือข่าย   เมื่อถึงปลายทางฝ่ายรับก็จะถอดรหัสข้อมูลโดยใช้คีย์เดียวกัน  ซึ่งข้อมูลก็จะถูกเปลี่ยนกลับมาเป็น “ABC”  เหมือนเดิม

                      การเข้าข้อมูลแบบนี้คีย์ที่ใช้ในการเข้ารหัสนั้นจะต้องรู้เหมือนกันทั้งฝ่ายรับและฝ่ายส่งซึ่งจะต้องเก็บเป็นความลับ   จุดอ่อนของการเข้ารหัสแบบนี้อยู่ที่การแจกจ่ายคีย์   เพราะตอนเริ่มต้นจะต้องมีฝ่ายใดฝ่ายหนึ่งที่ยังไม่ได้รับคีย์   ปกติการแจกจ่ายคีย์จะใช้ช่องทางสื่อสารที่ปลอดภัยของกล้องวงจรปิด  ในทางปฏิบัตินั้นเป็นเรื่องที่ยุ่งยากและเสียเวลามากเกินไป  วิธีที่ดีที่สุดในการแจกจ่ายคีย์  คือ  การใช้พับลิกคีย์คริพโดกราฟี    รูปแบบการเข้ารหัสแบบซีเคร็ทคีย์สามารถแบ่งออกได้เป็น 2  ประเภทคือ

- สตรีมไซเฟอร์

- บล็อกไซเฟอร์

Public Key Cryptography

ปัญหาการเข้ารหัสข้อมูลแบบซิมเมตริกหรือซีเคร็ทคีย์  ฝ่ายรับและฝ่ายส่งต้องตกลงกันว่าจะใช้คีย์อะไรในการเข้ารหัสข้อมูลทั้งสองฝ่ายต้องใช้ช่องทางทางสื่อสารที่หวังว่าจะปลอดภัยเพื่อแลกเปลี่ยนคีย์กัน   ทั้งสองฝ่ายอาจต้องนัดเจอกันตัวต่อตัวหรือช่องทางการสื่อสารอื่น   แต่ในโลกของการสื่อสารผ่านเครือข่ายแล้วโอกาสที่ทั้งสองฝ่ายจะสื่อสารผ่านช่องทางอื่นเป็นไปได้ยากจึงได้มีการพัฒนาเทคนิคสำหรับการแจกจ่ายคีย์ผ่านเครือข่ายอย่างปลอดภัย

เทคนิคนี้จะใช้คีย์เข้ารหัสและถอดรหัสคนละคีย์  ซึ่งเทคนิคนี้เป็นที่รู้จักกันว่า  พับลิกคีย์คริพโตกราฟี  การเข้ารหัสแบบคีย์คู่เป็นการเข้ารหัสที่ใช้คีย์หนึ่งสำหรับเข้ารหัสและอีกคีย์หนึ่งใช้สำหรับถอดรหัส  ซึ่งคีย์ทั้งสองนี้จะมีความสัมพันธ์กันเป็นคีย์ที่รู้เฉพาะเจ้าของ  ส่วนพับลิกคีย์เป็นคีย์ที่ประกาศให้สาธารณะทราบ


Access Control

Access Control


วัตถุประสงค์

- รู้และเข้าใจหลักการควบคุมการเข้าถึง
- รู้และเข้าใจหลักการระบุตัวตน
- รู้และเข้าใจหลักการของการพิสูจน์ทราบตัวตน
- รู้และเข้าใจเทคโนโลยีไบโอเมตริกส์แบบต่าง  ๆ
- รู้และเข้าใจหลักการพิสูจน์ตัวตนแบบการใช้รหัสผ่าน
- รู้และเข้าใจหลักการทำงานของKerboros
- รู้และเข้าใจหลักการพิสูจน์ทราบตัวตนแบบ X 509  และ  PK1

การควบคุมการเข้าถึง

การรักษาความลับ  ความถูกต้อง  ความพร้อมใช้งานของข้อมูลจะทำไม่ถ้าไม่สามารถควบคุมได้ว่าใครมีสิทธิ์ทำอะไรกับข้อมูลได้  กระบวนการควบคุมนี้เรียกว่า  การควบคุมการเข้าถึง   แบ่งย่อยออกเป็น  2  กระบวนการคือ  การพิสูจน์ทราบตัวตนของผู้ที่กำลังจะเข้าถึงข้อมูล  และการตรวจสอบสิทธิ์ของผู้นั่นว่าสามารถทำอะไรได้   ไม่ว่าจะเป็นการควบคุมการเข้าถึงทางกายภาพและทางอิเล็กทรอนิกส์ 

เหตุที่ต้องประกอบด้วย  2  ขั้นตอนคือการทำให้แน่ใจว่าเป็นตัวจริงและการอนุญาตให้ทำตามสิทธิ์ที่มี  การควบคุมการเข้าถึงจะสมบูรณืได้ต้องมี  4  ขั้นตอนคือ

- การระบุตัวตน
- การพิสูจน์ตัวตน
- การอนุญาต
- การตรวจสอบได้




การระบุตัวตน

ในระบบการรักษาความปลอดภัยของกล้องวงจรปิดที่ดีจะต้องสามารถระบุได้ว่าใครเป็นใคร  โดยผู้ใช้แต่ละคนจะต้องมีตัวแทนหรือรหัสที่ใช้ระบุตัวตน  รหัสจะต้องไม่ซ้ำกันที่นิยมใช้มากที่สุดสำหรับการระบุตัวตนก็คือชื่อผู้ใช้ชื่อแต่ผู้หรือรหัสอย่างเดียวอาจไม่เพียงพอที่จะระบุตัวตนดังนั้นระบบจัดเก็บจำเป็นต้องเก็บข้อมูลอื่นเพื่อใช้สำหรับตรวจสอบความน่าเชื่อถือ   โดยระบบต่าง  ๆ  มักมีการเก็บข้อมูลเฉพาะของผู้ใช้ระบบ  ซึ่งมักประกอบด้วยรายละเอียดต่าง  ๆ  ดังนี้

- ชื่อผู้ใช้
- รหัสผ่าน
- ข้อมูลส่วนบุคคล
- ชื่อหน่วยงาน
- กลุ่มผู้ใช้
- สิทธิ์ในการใช้งานแอพพลิเคชั่นต่าง  ๆ
- นโยบาย

                     ระบบจำเป็นต้องมีการจัดเก็บข้อมูลต่าง  ๆ  เพื่อใช้ในขั้นตอนการพิสูจน์ทราบตัวตน  โดยการใช้รหัสผู้ใช้ควบคู่กับรหัสผ่าน  ซึ่งผ่านกระบวนการพิสูจน์ทราบตัวตนแล้ว  ระบบหรือโปรแกรมนั้น  ๆ  จะอนุญาตดึงข้อมูลตัวตนและข้อมูลอื่น  ๆ  ทีเกี่ยวข้องเพื่อตัดสินใจว่าผู้ใช้งานนั้นจะสามารถช้งานระบบหรือโปรแกรมนั้น ๆ  ได้หรือไม่  กระบวนการตรวจสอบสิทธิ์สามารถดำเนินการได้โดยใช้ข้อมูลมาช่วยได้   การทำงานของระบบบริหารจัดการข้อมูลระบุตัวตน

จำเป็นอย่างยิ่งที่จะต้องสร้างฐานข้อมูลผู้ใช้งานกลางขึ้น  ฐานข้อมูลผู้ใช้งานกลางจะเก็บข้อมูลของผู้ใช้งานในระบบทั้งหมด   ซึ่งฐานข้อมูลนี้มักเรียกว่า  ไดเร็คทอรี  ซึ่งสามารถเข้าถึงได้ด้วยการใช้โปรโตคอล LDAP   ไดเร็คทอรีจะมีการทำงานในฐานะฐานข้อมูลผู้ใช้งานกลางในองค์กร

ระบบโปรแกรมต่าง  ๆ  สามารถดึงข้อมูลระบุตัวตนของผู้ใช้งานต่าง  ๆ  จากไดเร็คทอรี   โครงสร้างข้อมูลที่เก็บอยู่ในไดเร็คทอรีโดยทั่วไปการออกแบบโครงสร้างข้อมูลต่าง  ๆ  ที่เก็บอยู่นั้นจะขึ้นอยู่กับความต้องการของระบบหรือโปรแกรมต่าง  ๆ  และความต้องการข้อมูลของบุคลากรต่าง  ๆ  ในองค์กรด้วย

การพิสูจน์ทราบตัวตน

สิ่งที่ใช้สำหรับการสร้างความเชื่อมั่นหรือยืนยันว่าสิ่งหรือคนนั้นเป็นตัวจริงหรือตัวแทนจริงไม่ใช่ตัวปลอมที่หลอกว่าเป็นตัวจริง  การพิสูจน์ทราบตัวตนการตรวจสอบในรูปแบบดิจิตอลของผู้ที่กำลังสื่อสาร    ด่านแรกสำหรับการควบคุมและรักษาความมั่นคงปลอดภัยของระบบคอมพิวเตอร์จะนำไปสู่การตรวจสอบสิทธิ์ในการสร้างและแก้ไขข้อมูลในระบบรวมไปถึงการจัดเก็บพฤติกรรมการใช้งานระบบเพื่อสำหรับการตรวจสอบในภายหลังต่อไป 

ในการพิสูจน์ทราบตัวตน  ผู้ที่ถูกพิสูจน์ทราบจำเป็นต้องแสดงหลักฐานบางอย่างที่มีการตกลงไว้ก่อนล่วงหน้าในขั้นตอนระบุตัวตน  เพื่อพิสูจน์ว่าคุณคือผู้ที่คุณอ้างว่าเป็นคุณ   โดยหลักฐานนั้นสามารถแบ่งได้  3  ประเภทคือ

- สิ่งที่คุณรู้       ข้อมูลหรือรหัสที่เจ้าตัวรู้และจดจำได้
- สิ่งที่คุณมี       ข้อมูลหรือรหัสที่อ่านได้จากสิ่งของหรือวัตถุที่เจ้าตัวมีและพกติดตัว
- สิ่งที่คุณเป็น    ข้อมูลหรือรหัสที่อ่านได้จากอวัยวะบางส่วนของร่างกาย  หรือไบโอเมตริกส์

การรักษาความปลอดภัยของระบบและข้อมูลกล้องวงจรปิด

 การรักษาความปลอดภัยของระบบและข้อมูลกล้องวงจรปิด        

ในปัจจุบันอินเทอร์เน็ตเชื่อมต่อคอมพิวเตอร์และอุปกรณ์อิเล็กทรอนิกส์อื่น  ๆ  ทั่วโลก  และยังเป็นช่องสื่อสารที่จำเป็นและสำคัญของคนทั่วโลก  ทั้งยังใช้เป็นเครื่องมือในการทำธุรกิจหรือที่เรียกว่า “อีคอมเมิร์ช”   อินเทอร์เน็ตเป็นเครือข่ายสาธารณะนานาชาติที่ใหญ่ที่สุด

ฉะนั้นการรักษาความปลอดภัยของระบบและข้อมูลกล้องวงจรปิดจึงเป็นเรื่องที่สำคัญอย่างยิ่ง   การรักษาความปลอดภัยสามารถแยกออกได้หลายด้าน   โดยเฉพาะเรื่องการจ่ายเงินไปจนถึงการสื่อสารส่วนบุคคลแฃะการป้องกันรหัสผ่าน  และที่สำคัญอีกด้านต่อการสื่อสารที่ปลอดภัยคือ  การเข้ารหัสข้อมูลหรือคริพโตกราฟี   การเข้ารหัสข้อมูลอย่างเดียวคงไม่เพียงพอที่ทำให้การสื่อสารนั้นปลอดภัยได้  แต่เป็นเพียงขั้นตอนหนึ่งสำหรับการรักษาความปลอดภัยข้อมูลที่ต้องการรักษาความลับและความถูกต้องของข้อมูล
                     การเข้ารหัสข้อมูลกล้องวงจรปิดเป็นการปกป้องข้อมูลที่กำลังสื่อสารผ่านเครือข่ายสาธารณะ   ส่วนการซ่อนพรางข้อมูลหรือสเตกาโนกราฟี  เป็นการซ่อนข้อมูลอื่น  ๆ  เพื่อปกปิดไม่ให้คนทั่วไปรู้ว่ามีข้อมูลที่แฝงอยู่ในไฟล์ที่เห็นวิธีที่ใช้สำหรับปกปิดช่องทางลับของการสื่สารไม่ใช้เป็นการเข้ารหัสข้อมูล  แต่อาจใช้เทคนิคในการเข้ารหัสข้อมูลมาใช้ร่วมกับการซ่อนพรางด้วยก็ได้จะช่วยเพิ่มความปลอดดภัยให้กับข้อมูลและการสื่อสารนั้น 

การสื่อสารผ่านอินเทอร์เน็ตอนุญาตให้ข้อมูลสามารถส่งจากคอมพิวเตอร์เครื่องหนึ่งไปยังอีกเครื่องหนึ่งอาจต้องผ่านคอมพิวเตอร์หรือเครือข่ายอีกมากมายกว่าข้อมูลนั้นจะเดินทางไปถึงปลายทาง  ทำให้บุคคลที่สามสามารถแอบดักฟังหรือขัดขวางการสื่อสารผ่านอินเทอร์เน็ตได้  รูปแบบของภัยคุกคามสามารถแบ่งออกได้ดังนี้

- การแอบดักอ่านข้อมูล
- การแอบแก้ไขข้อมูล
- การปลอมตัวหรือการหลอกลวง



                       ภัยคุกคามสามารถป้องกันได้โดยการใช้การเข้ารหัสข้อมูลเป็นสิ่งสำคัญและจำเป็นเมื่อมีการสื่อสารผ่านสื่อที่เชื่อถือไม่ได้หรือไม่มีความปลอดภัย   ซึ่งเกือบจะทุกเครือข่ายโดยเฉพาะอย่างยิ่งเครือข่ายอินเทอร์เน็ต   หลักการที่สำคัญของการรักษาความปลอดภัยข้อมูลที่การเข้ารหัสข้อมูลสามารถประยุกต์ใช้ได้ประกอบด้วย

- การรักษาความลับ
- การรักษาความถูกต้อง
- การพิสูจน์ทราบตัวตน
- การไม่ปฏิเสธการกระทำ

การเข้ารหัสข้อมูลไม่ใช่เพียงการปกป้องข้อมูลจากการจารกรรมหรือการเปลี่ยนแปลงได้เท่านั้น  แต่ยังสามารถใช้พิสูจน์ทราบตัวตนของผู้ส่งและผู้รับได้ด้วย   กระบวนการของการเข้ารหัสข้อมูลนั้นข้อมูลดั้งเดิมที่ยังไม่ได้เข้ารหัสจะเรียกว่า  เพลนเท็กซ์  ข้อมูลนี้จะถูกส่งผ่านกรรมวิธีในการเข้ารหัสซึ่งจะเรียกกระบวนการนี้ว่า  ไซเฟอร์

ผลที่ได้จากกระบวนการนี้  คือ  ข้อมูลที่ถูกเข้ารหัสแล้ว  ซึ่งจะเรียกว่า  ไซเฟอร์เท็กซ์  และเมื่อใช้ผ่านกระบวนการไซเฟอร์โดยปกติจะเป็นกระบวนการที่ย้อนกลับก็จะทำให้ได้เพลนเท็กซ์กลับมาเหมือนเดิม


วันพฤหัสบดีที่ 10 ตุลาคม พ.ศ. 2562

ความน่าเชื่อถือ

ความน่าเชื่อถือ

การเลือกใช้ระบบหรืออุปกรณ์ไบโอเมตริกส์ต้องคำนึงถึงการยอมรับจากผู้ใช้และประสิทธิภาพหรือความแม่นยำของระบบด้วย  ระบบที่เชื่อถือได้มีประสิทธิภาพและความแม่นยำสูง  จะถูกผู้ใช้มองว่าเป็นการละเมิดสิทธิส่วนบุคคลมากเกินไป  หรือสร้างความยุ่งยากในการใช้งานมากเกินไป  ในการเลือกย่อมจะเกี่ยวข้องกับการแลกเปลี่ยนเสมอ

เพื่อให้ได้มาซึ่งความปลอดภัยที่สูงต้องแลกกับค่าใช้จ่ายที่สูงหรือยุ่งยากและไม่สะดวกในการใช้งานของผู้ใช้  สำหรับองค์กรที่ต้องการจะใช้ระบบต้องพิจารณาอย่างรอบคอบ  การเลือกระบบกล้องวงจรปิดที่ดีที่สุดก็จะแตกต่างกันไปตามธรรมชาติของแต่ละองค์กร

การอนุญาต

กระบวนการที่พิสูจน์ทราบตัวตนแล้วว่าคนนั้นหรือสิ่งนั้นเป็นตัวจริงตามที่กล่าว  ปกติการอนุญาตนั้นแบ่งออกได้เป็น  3  ทางดังนี้

- การอนุญาตเป็นราย  ๆ      สำหรับผู้ใช้ที่ผ่านการพิสูจน์ทราบตัวตนแล้วอนุญาตให้เข้าถึงทรัพยากรตามที่ได้กำหนดสิทธิ์ไว้ให้ก่อนหน้า  การอนุญาตลักษณะนี้อาจเกิดความซับซ้อนและยากสำหรับระบบที่มีทรัพยากรมาก  ๆ

- การอนุญาตเป็นกลุ่ม      โดยเฉพาะระบบที่มีการแบ่งผู้ใช้ออกเป็นกลุ่ม  กำหนดสิทธิ์ให้แต่ละกลุ่มนั้นมีสิทธิ์ในการเข้าถึงทรัพยากรอะไรได้บ้าง  การอนุญาตแบบนี้นิยมใช้กันมากที่สุด  เพราะไม่สิ้นเปลืองทรัพยากรที่ใช้ในกระบวนการนี้มาก

- การอนุญาตเข้าใช้หลาย  ๆ  ระบบ        การอนุญาตจะมีระบบที่เป็นศูนย์กลางในการพิสูจน์ทราบตัวตนและอนุญาตสิทธิ์เข้าใช้ทรัพยากรต่าง  ๆ  หรือบางครั้งก็เรียกกระบวนการนี้ว่า  ซิงเกิลไซน์ออน  รูปแบบนี้เริ่มได้รับความนิยมมากขึ้นเรื่อย  ๆ  มีระบบที่ใช้ในองค์กรมากและแต่ละระบบนั้นก็มีปัญชีผู้ใช้ของตัวเอง  ทำให้ผู้ใช้ต้องมีหลายยูสเซอร์เนมและรหัสผ่านเพื่อเข้าสู่ระบบเหล่านี้



การตรวจสอบได้

การควบคุมการเข้าถึงในขั้นตอนสุดท้าย  คือ  การตรวจสอบย้อนหลังเกี่ยวกับสิ่งที่ได้เกิดขึ้นในระบบคอมพิวเตอร์หรือเครือข่าย  การตรวจสอบจะเกิดขึ้นไม่ได้ถ้าไม่มีหลักฐานที่เชื่อถือได้  ระบบคอมพิวเตอร์หรือเครือข่ายที่ต้องการรักษาความปลอดภัยจำเป็นที่ต้องเก็บหลักฐานไว้สำหรับการตรวจสอบย้อนหลัง  ส่วนในระบบสารสนเทศและเครือข่ายนั้น

หลักฐานที่ใช้เก็บเป็นบันทึกเหตุการณ์ที่เกิดขึ้นในระบบจะเรียกว่า ล็อก  ส่วนใหญ่ระบบคอมพิวเตอร์มีการจัดเก็บล็อกไว้เพื่อใช้สำหรับตรวจสอบหรือวิเคราะห์เกี่ยวกับสิ่งผิดปกติที่เกิดขึ้น  การจัดเก็บรักษาล็อกเป็นประเด็นที่สำคัญ

อาจใช้เป็นหลักฐานในทางกฎหมายได้  การเก็บรักษาต้องมีความน่าเชื่อถือ  แฮคเกอร์ที่เจาะเข้ามาในระบบหลังจากเสร็จภารกิจแล้วขั้นตอนหนึ่งที่แฮคเกอร์มักทำก็คือ  การลบสิ่งที่บันทึกในล็อกเพื่อปกปิดร่องรอยของตนเองทำให้ไม่มีหลักฐานที่สามารถตรวจสอบย้อนหลังได้  ส่วนใหญ่การจัดเก็บล็อกต่าง  ๆ  มักนิยมเก็บไว้ในระบบที่ใช้ในการจัดเก็บล็อกโดยเฉพาะ  อาจมีเซิร์ฟเวอร์หนึ่งที่ใช้สำหรับทำหน้าที่เก็บล็อกต่าง  ๆ

Cryptography

วัตถุประสงค์
- รู้และเข้าใจวิวัฒนาการของการเข้ารหัสข้อมูล
- รู้และเข้าใจการเข้ารหัสแบบ Symmetric Key
- รู้และเข้าใจการเข้ารหัสแบบ Public Key
- รู้และเข้าใจการเข้ารหัสแบบ Hash Function และ Digital Signature
- รู้และเข้าใจการซ่อนพรางข้อมูล


วันพุธที่ 9 ตุลาคม พ.ศ. 2562

Password

Password

ในการพิสูจน์ทราบตัวตนหลักฐานที่นิยมใช้มากที่สุดได้แก่  สิ่งที่คุณรู้เช่น  รหัสผ่านเป็นสิ่งที่ใช้เป็นมาตรฐานทั่วไปในการควบคุมการเข้าถึงระบบปฏิบัติการและแอพพลิเคชั่นอยู่แล้ว   การใช้รหัสผ่านอย่างเดียวอาจไม่ปลอดภัยเพียงพอ   หรือข้อเสียอย่างหนึ่งของการใช้รหัสผ่านบางครั้งอาจทำให้ลืมได้ง่าย  ผู้ผลิตโน้ตบุ๊คหรือสมาร์ทโฟนบางยี่ห้ออาจเพิ่มเทคนิคอื่นเข้ามาช่วย    รหัสผ่านเป็นวิธีการที่ใช้มานานและนิยมใช้กันแพร่หลาย  รหัสผ่านควรจำกัดให้เฉพาะผู้ใช้ที่มีสิทธิ์เท่านั้นที่ทราบ 

ในปัจจุบันนี้การใช้รหัสผ่านที่ไม่มีประสิทธิภาพมากเพียงพอที่จะรักษาความปลอดภัยระบบกล้องวงจรปิดให้กับระบบคอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์  การตั้งรหัสผ่านที่ง่ายเกินไป  และวิทยาการความรู้ที่ก้าวหน้าทำให้รหัสผ่านอาจจะถูกขโมยในระหว่างการสื่อสารผ่านเครือข่ายได้    ในปัจจุบันจะใช้รหัสผ่านเกือบทุกระบบคอมพิวเตอร์ในการป้องกันและพิสูจน์ทราบตัวตนของผู้ใช้ที่จะล็อกอินเข้ามาใช้งานระบบ  ทั่วไปแล้วรหัสผ่านจะไม่เก็บไว้ในรูปแบบของเพลนเท็กซ์ธรรมดา  แต่จะถูกเข้ารหัสด้วยอัลกอริทึมบางอย่าง  โดยส่วนใหญ่จะเป็นแฮซฟังก์ชัน

                     ปัจจุบันระบบรักษาความปลอดภัยและพิสูจน์ตัวตนของบุคคลมีหลายรูปแบบ  เหตุนี้จึงมีการนำเทคโนโลยีไบโอเมตริกส์มาใช้โดยใช้ส่วนต่าง  ๆ  ของร่างกายเป็นตัวระบุว่าคนคนนั้นเป็นใคร  ซึ่งการพิสูจน์ตัวบุคคลด้วยวิธีนี้ถือเป็นวิธีที่แม่นยำและมีความน่าเชื่อถือมาก  บุคคลแต่ละคนจะมีลักษณะที่แตกต่างกันในทุก  ๆ  ส่วนแม้จะเป็นแฝดก็จะมีเอกลักษณ์เฉพาะของแต่ละคน 



ไบโอเมตริกส์การผสมผสานเทคโนโลยีทางด้านชีวภาพและเทคโนโลยีทางคอมพิวเตอร์เข้าด้วยกัน  ด้วยการตรวจวัดคุณลักษณะทางกายภาพและลักษณะทางพฤติกรรมที่เป็นลักษณะเฉพาะของแต่ละคนในการระบุตัวบุคคลนั้น  ๆ  ขณะที่พฤติกรรมมีการเปลี่ยนแปลงได้จึงทำให้การพิสูจน์บุคคลนิยมใช้เอกลักษณ์ทางกายภาพมากกว่าเอกลักษณ์ทางพฤติกรรม

อัตราผิดพลาด

ระบบพิสูจน์ทราบตัวตนแบบไบโอเมตริกส์อาจมีการผิดพลาดซึ่งสามารถมีหลายปัจจัยตั้งแต่เครื่องอ่านที่ไม่มีคุณภาพ  ความซ้ำซ้อนของข้อมูลทำให้การค้นหาช้า  ดังนั้นระบบพิสูจน์ทราบตัวตนมักจะมีข้อที่ต้องแลกเปลี่ยนเสมอ  โดยปกติการวัดความแม่นยำของระบบไบโอเมตริกส์สามารถแบ่งออกได้เป็น  3  ประเภทดังนี้

- FRR (False Reject Rate)        อัตราการเกิดข้อผิดพลาดที่ระบบตรวจพิสูจน์แล้วได้ผลลัพธ์เป็นลบหรือไม่ผ่านทั้ง  ๆ  ที่ผู้ใช้คนนั้นเป็นตัวจริง  ความผิดพลาดประเภทนี้บางที่เรียกว่า  Type I error  ข้อผิดพลาดประเภทนี้จะไม่ทำให้ระบบมีความปลอดภัยลดน้อยลง

- FAR (False Accept Rate)      อัตราการเกิดข้อผิดพลาดที่ระบบตรวจพิสูจน์แล้วได้ผลลัพธ์เป็นบวกหรือผ่าน  ข้อผิดพลาดประเภทนี้บางทีเรียกว่า Type ll error  เป็นข้อผิดพลาดที่เป็นอันตรายอย่างยิ่งต่อระบบรักษาความปลอดภัย  เนื่องจากจะอนุญาตให้ผู้ที่ไม่ใช่ตัวจริงเข้าสู่ระบบได้

- CER (Crossover Error Rate)      จุดที่ค่า FRR  มีค่าเท่ากับ FAR  ข้อผิดพลาดประเภทนี้บางทีเรียกว่า EER(Equal Error Rate)  เหตุที่หาค่านี้เนื่องจากค่านี้จะเป็นสิ่งที่บอกว่าระบบไบโอเมตริกส์ทำงานในสภาพที่ดีที่สุดเท่าที่เป็นได้  และมักนิยมใช้ค่านี้ในการเปรียบเทียบระหว่างระบบไบโมเมตริกส์ต่าง  ๆ  ได้


วันอังคารที่ 8 ตุลาคม พ.ศ. 2562

การรักษาความเสี่ยง

การรักษาความเสี่ยง


ระดับความเสี่ยงขององค์กร   ขั้นตอนพิจารณาความเสี่ยงว่าอยู่ในระดับความเสี่ยงที่ยอมรับได้หรือไม่  ถ้ายอมรับได้ก็ไม่จำเป็นต้องทำอะไรนอกจากเฝ้าระวังเหตุการณ์  แต่ถ้าความเสี่ยงอยู่ในระดับที่ยอมรับไม่ได้ต้องมีการจัดการความเสี่ยง คือ

- การลดความเสี่ยง
- การยอมรับความเสี่ยง
- การหลีกเลี่ยงความเสี่ยง
- การย้ายโอนความเสี่ยง


                      มาตรการที่สามารถเลือกใช้เพื่อการแก้ไขควบคุมความเสี่ยง  อาจแบ่งออกเป็น  3  ประเภท  ดังนี้

- มาตรการควบคุมทางด้านกายภาพ     การจัดให้มีสภาพแวดล้อมทางกายที่เหมาะสม
- มาตรการควบคุมทางด้านเทคนิค     การใช้ซอฟต์แวร์หรืออุปกรณ์ฮาร์ดแวร์มาช่วยควบคุมและจัดการ
- มาตรการควบคุมด้านธุรกิจ    การจัดให้มีนโยบาย  ระเบียบ  วิธีการปฏิบัติงาน  การฝึกอบรมที่เหมาะสม

                       การจัดการกับความเสี่ยงเกี่ยวข้องกับการจัดลำดับ  การคำนวณความเสี่ยง  และการลงมือควบคุมการลดความเสี่ยงอย่างเหมาะสม  การที่จะกำจัดความเสี่ยงในระบบทั้งหมดเป็นเรื่องที่เป็นไปไม่ได้  ผู้บริหารต้องเป็นผู้รับผิดชอบการทำงานนี้ด้วยเงื่อนไขงบประมาณที่สมดุลเพื่อให้เกิดประสิทธิภาพสูงสุด  และใช้วิธีการควบคุมที่เหมาะสมที่สุด

เพื่อลดระดับความเสี่ยงให้อยู่ในระดับที่ยอมรับได้และส่งผลกระทบต่อภารกิจและทรัพยากรขององค์กรให้น้อยที่สุด   กระบวนการในการรักษาความเสี่ยงของกล้องวงจรปิดมีดังนี้

- จัดลำดับความสำคัญของการปฏิบัติงาน
- ประเมินทางเลือกในการควบคุม
- วิเคราะห์ผลประโยชน์ที่ได้รับ
- เลือกวิธีการควบคุม
- มอบหมายความรับผิดชอบ
- พัฒนาแผนการปฏิบัติงานเพื่อการป้องกัน
- ลงมือปฏิบัติตามวิธีการควบคุมที่เลือก


วันจันทร์ที่ 7 ตุลาคม พ.ศ. 2562

การประเมินช่องโหว่ ช่องทางที่ถูกใช้โจมตี

การประเมินช่องโหว่  ช่องทางที่ถูกใช้โจมตี


                    ช่องทางที่ถูกใช้โจมตีรวมถึงช่องโหว่ด้านกายภาพด้วย  ความอันตรายของช่องโหว่มีหลายระดับขึ้นอยู่กับความเสียหายหรือความรุนแรงที่เกิดขึ้นกับระบบที่ถูกโจมตีผ่านช่องทางนั้น   ความอันตรายของช่องโหว่ยังขึ้นอยู่กับความยากง่าย  หรือระดับความชำนาญทางด้านเทคนิคของผู้โจมตีที่จะใช้ประโยชน์จากช่องโหว่นั้น 

และเมื่อทำสำเร็จผู้บุกรุกสามารถควบคุมระบบได้ทั้งหมดช่องโหว่ประเภทนี้จัดว่ามีความอันตรายในระดับสูง  ในทางตรงข้ามถ้าเป็นช่องโหว่ประเภทที่ต้องใช้ความชำนาญสูงและใช้ทรัพยากรจำนวนมากในการเจาะระบบและทำได้สำเร็จแต่ได้ข้อมูลที่ไม่ถือว่าสำคัญมากนัก  ช่องโหว่ประเภทนี้ก็ถือได้ว่ามีความอันตรายในระดับต่ำ  ช่องโหว่ไม่ได้มีแต่เฉพาะกับระบบคอมพิวเตอร์และเครือข่ายเท่านั้น

แต่รวมถึงทางด้านกายภาพ  พนักงาน  และข้อมูลหรือทรัพย์สินที่ไม่ได้อยู่ในรูปแบบอิเล็กทรอนิกส์ด้วย  ช่องโหว่ขององค์กรสามารถแบ่งออกเป็นประเภทต่าง  ๆ  ได้แก่

- ช่องโหว่ทางนโยบาย       เกิดจากการบริหารจัดการ  ส่วนใหญ่เกิดจากการขาดกฎระเบียบ  หรือกฎหมายบังคับ  หรือห้ามการกระทำอย่างใดอย่างหนึ่ง

- ช่องโหว่เกี่ยวกับคน     เกิดจากการปฏิบัติหน้าที่ของพนักงาน  จนเป็นช่องโหว่ที่ทำให้ผู้ไม่หวังดีสามารถใช้ประโยชน์ได้

- ช่องโหว่ทางเทคนิค       เกิดจากข้อผิดพลาดของการเขียนโปรแกรม  หรือการกำหนดค่าคอนฟิกที่ไม่สมบูรณ์หรือปลอดภัย

- ช่องโหว่ทางกายภาพ     เกิดจากการป้องกันและรักษาความปลอดภัยทางกายภาพ  เช่นการควบคุมการเข้าออกของสถานที่  เป็นต้น

การประเมินโอกาสที่จะเกิด

                       เหตุการณ์ภัยคุกคามโอกาสที่จะเกิดและมีผลต่อความมั่นคงปลอดภัยของทรัพย์สินจากการพิจารณาสถิติที่เกิดขึ้นในอดีตและแนวโน้มในปัจจุบันรวมถึงอนาคต   มาตรการควบคุมและการป้องกันไม่ให้เกิดเหตุการณ์นั้น

รวมทั้งการประเมินฝ่ายตรงข้ามว่ามีแรงจูงใจมากน้อยแค่ไหนที่จะเข้ามาทำให้เกิดเหตุการณ์ด้านความมั่นคง  โอกาสที่จะเกิดขึ้นสามารถกำหนดได้  2  แบบคือ  แบบเชิงปริมาณ  จะกำหนดเป็นตัวเลขหรือร้อยละ    และแบบเชิงคุณภาพ  จะนิยมกำหนดเป็นระดับ  สูงมาก  สูง  ปานกลาง  น้อย  เป็นต้น



การประเมินผลกระทบ

การตรวจสอบธุรกิจว่ามีความเสียหายที่เกิดกับธุรกิจมากน้อยแค่ไหนโดยทั่วไปมักสอบถามพนักงาน   ถ้าข้อมูลขององค์กรถูกขโมยไปให้องค์กรประเมินค่าความเสียหายออกมา  อาจอยู่ในรูปแบบของจำนวนเงิน  ความเชื่อถือ  การเสียโอกาสทางธุรกิจ  เมื่อตรวจประเมินดูการไหลของข้อมูลภายในองค์กร และตรวจสอบว่าแต่ละจุดที่ข้อมูลผ่านมีการดูแลและให้ความสำคัญมากน้อยแค่ไหนกับข้อมูล   ในระหว่างที่ประเมินควรตรวจสอบให้รู้ว่าระบบใด หรือส่วนไหนของเครือข่ายที่มีความสำคัญต่องานหรือธุรกิจขององค์กร  เป็นต้น

การคำนวณระดับความเสี่ยง

                         ทีมประเมินต้องวิเคราะห์ข้อมูลที่ได้รวบรวมมาจากส่วนต่าง  ๆ  อีกครั้งในการตรวจสอบไม่สามารถประเมินได้จากข้อมูลเพียงแหล่งเดียว  ทีมงานตรวจต้องวิเคราะห์ทุก  ๆ  จุดอ่อนหรือช่องโหว่ขององค์กรโดยรวมที่จะเป็นภัยต่อองค์กร  บางจุดอ่อนหรือช่องโหว่อาจถูกป้องกันการใช้ประโยชน์โดยระบบควบคุมอื่นก็ได้  และเมื่อทีมงานได้ทำการวิเคราะห์ข้อมูลแล้วต้องสามารถนำเสนอหรือรายงานภัยต่าง  ๆ

และข้อแนะนำในการป้องกันโดยการเสนอลำดับอันตรายจากมากไปหาน้อยและภัยแต่ละอย่างควรต้องมีข้อแนะนำในการป้องกันด้วยกล้องวงจรปิด   การประเมินสถานภาพในขั้นตอนสุดท้าย  การพัฒนานโยบายและแผนเกี่ยวกับการรักษาความปลอดภัยส่วนองค์กรนั้นก็ต้องมีการประเมินอีกครั้งว่าจากการประเมินนั้นใกล้เคียงกับความจริงมากน้อยแค่ไหน  และจะดำเนินให้ดีที่สุดอย่างไร

อาจต้องใช้ทรัพยากรบางส่วน  องค์กรจะต้องเข้าใจแผนที่ออกมาอาจไม่ใช่เพื่อป้องกันภัยที่ร้ายแรงที่สุดก็ได้  อาจมีปัจจัยอื่นที่ทำให้ไม่สามารถทำได้  ในการคำนวณความเสี่ยงสามารถทำได้โดยการคำนวณจากมูลค่าทรัพย์สินและโอกาสที่จะเกิดขึ้นรวมถึงผลกระทบที่ตามมา  ถ้าเป็นความเสี่ยงเชิงปริมาณก็จะได้ตัวเลขที่แสดงเป็นจำนวนเงิน  ถ้าเป็นเชิงคุณภาพก็จะระบุถึงระดับความเสี่ยง 

ส่วนผลที่ได้จากการประเมินความเสี่ยง   ระดับความเสี่ยงขององค์กรคำนวณจากความเสียหายและโอกาสที่จะเกิดขึ้น  ความเสี่ยงรูปแบบ  ๆ  ที่อาจก่อให้เกิดผลเสียหายต่อข้อมูลและระบบ  เพื่อนำความเสี่ยงที่เกินระดับที่องค์กรสามารถยอมรับได้ไปดำเนินการควบคุมและแก้ไขความเสี่ยงในขั้นตอนต่อไป


วันเสาร์ที่ 5 ตุลาคม พ.ศ. 2562

การสำรวจและประเมินค่าทรัพย์สิน

การสำรวจและประเมินค่าทรัพย์สิน


ขั้นตอนที่สำคัญที่สุดของกระบวนการกำหนดขอบเขตเป็นสิ่งที่กำหนดว่าจะทำหรือไม่ทำในระหว่างการประเมิน  และเป็นการระบุว่าอะไรที่เราจะปกป้อง  ความสำคัญของสิ่งที่เราพยายามจะปกป้อง  และจะปกป้องถึงระดับไหนและละเอียดเพียงใด   การกำหนดขอบเขตยังเกี่ยวข้องกับว่าระบบใด  หรือแอพพลิเคชั่นกล้องวงจรปิดใดที่จะถูกประเมินบ้าง   ทรัพย์สินแต่ละประเภทที่จะประเมินค่าความสำคัญด้านความมั่นคงปลอดภัย 

โดยพิจารณาความสำคัญของระบบงานที่เกี่ยวข้องกับธุรกิจหลักขององค์กร  โดยทรัพย์สินที่มีมูลค่าสูงจะต้องนำมาประเมินความเสี่ยงเป็นลำดับต้น  ๆ



                        การระบุภัยคุกคาม       การชี้ให้เห็นถึงความเสี่ยงที่หน่วยงาน   กระบวนการนี้จำเป็นต้องอาศัยความรู้ความเข้าใจหน่วยงาน  ภารกิจและกิจกรรม  สิ่งแวดล้อม  กฎหมาย  สังคม  การเมือง  และวัฒนธรรมพัฒนาการและปัจจัยที่มีต่อความสำเร็จของหน่วยงาน   โอกาสและภัยคุกคามที่มีต่อหน่วยงาน  การระบุภัยคุกคามควรได้ดำเนินการอย่างทั่วถึงครอบคลุมกิจกรรมในทุก ๆ

ด้านของหน่วยงาน   การมีภัยคุกคามอาจส่งผลให้เกิดการละเมิดความมั่นคงปลอดภัยสารสนเทศและส่งผลเสียตามมา  ภัยคุกคามที่เกิดจากปัจจัยภายนอกอาจเข้ามาทำลายหรือก่อให้เกิดความเสียหายต่อข้อมูลและทรพัย์สินขององค์กร  ภัยคุกคามนี้อาจแบ่งได้เป็นหลายประเภท เช่น

- ภัยคุกคามจากคนภายในองค์กร
- ภัยคุกคามจากคนภายนอกองค์กร
- ภัยธรรมชาติ
- ภัยคุกคามจากสภาพแวดล้อมที่ไม่เหมาะสม

สิ่งที่อาจจะเกิดขึ้นและมีอันตรายต่อทรัพย์สิน  ภัยคุกคามนั้นประกอบด้วย  3  ส่วนคือ

- เป้าหมาย      การโจมตีแบ่งได้หลายระดับ  การโจมตีเป้าหมายทางกายภาพ  ระดับถัดมาก็จะป็นการโจมตีทางเครือข่าย  ส่วนเป้าหมายของการโจตีในที่นี้คือองค์ประกอบต่าง  ๆ  ของการรักษาความปลอดภัย  คือ ความลับ  ความถูกต้อง และความพร้อมใช้งานของข้อมูล  ซึ่งภัยคุกคามแต่ละด้านขึ้นอยู่กับเหตุผลหรือแรงจูงใจ

- ผู้โจมตี         ผู้ที่กระทำการใด  ๆ   ที่ก่อให้เกิดผลกระทบทางด้านลบกับเป้าหมาย  ผู้โจมตีในทีนี้ต้องทำหรือมีคุณสมบัติ  ดังนี้คือ  การเข้าถึง  ความรู้  แรงจูงใจ  พนักงาน  พนักงานเก่า  แฮคเกอร์  และศัตรูหรือคู่แข่ง

- เหตุการณ์      สิ่งที่เกิดจากการที่ผู้โจมตีทำอันตรายต่อองค์กร  เช่น  แฮคเกอร์อาจทำอันตรายด้วยการแก้ไขหน้าเว็บไซต์ขององค์กร  เช่น  การแก้ไขข้อมูลที่สำคัญทั้งที่ตั้งใจและไม่ได้ตั้งใจ   การเจาะเข้าระบบโดยไม่ได้รับอนุญาต   เป็นต้น


วันศุกร์ที่ 4 ตุลาคม พ.ศ. 2562

มาตรฐานการบริหารความเสี่ยง

มาตรฐานการบริหารความเสี่ยง

                     การบริหารความเสี่ยงไม่ได้กำหนดขั้นตอนและรายละเอียดในการบริหารความเสี่ยง  แต่แนะนำให้ใช้มาตรฐานการบริหารความเสี่ยงที่มีซึ่งเป็นมาตรฐานที่เน้นเรื่องการบริหารความเสี่ยงโดยเฉพาะ  เราต้องเลือกนำมาตรฐานด้านการบริหารความเสี่ยงมาประยุกต์ใช้อีกครั้งหนึ่ง  เพื่อลงในรายละเอียกเพิ่มมากขึ้น   มาตรฐานสากลต่าง  ๆ  ที่ว่าด้วยการบริหารความเสี่ยงที่มีอยู่หลายมาตรฐานด้วยกัน  แต่ละมาตรฐานก็แตกต่างกันตั้งแต่วัตถุประสงค์

ขั้นตอนการปฏิบัติ  องค์กรควรต้องพิจารณาเลือกมาตรฐานที่เหมาะสมกับลักษณะการดำเนินธุรกิจนั้น  ๆ  ถ้าเป็นเรื่องเฉพาะด้านการรักษาความปลอดภัยข้อมูลและระบบสารสนเทศ  ผู้บริหารด้านการรักษาความปลอดภัยกล้องวงจรปิด ข้อมูลขององค์กรต้องเลือกมาตรฐานมาใช้ให้เหมะสมกับการบริหารความเสี่ยงระบบสารสนเทศในองค์กร  มาตรฐานบริหารความเสี่ยงที่นิยมใช้ในปัจจุบันได้แก่

- ISO 31000:2009
- ISO/IEC 27005
- NIST  SP  800-30rev1
- OCTAVE

การประเมินความเสี่ยง

การประเมินความเสี่ยงที่มีความใกล้เคียงกับการวิเคราะห์ผลกระทบธุรกิจเป็นขั้นตอนของการวางแผนความต่อเนื่องของธุรกิจ  ผลที่ได้จากการประเมินความเสี่ยงจะเป็นข้อมูลพื้นฐานที่จะจัดลำดับความสำคัญเกี่ยวกับโครงการด้านการรักษาความปลอดภัย

สิ่งที่มีความเสี่ยงสูงก็ควรได้รับการจัดการหรือรักษาความเสี่นงนั้นก่อน  ไม่สามารถจัดการได้กับทุกความเสี่ยงที่มีเพราะข้อจำกัดด้านงบประมาณและทรัพยากรที่มี  การบริหารความเสี่ยงเกี่ยวกับการสร้างความสมดุลระหว่างความเสี่ยงที่มีและค่าใช้จ่ายในนการใช้มาตรการควบคุม  เพื่อลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้  ปัจจุบันมีเครื่องมือหลายประเภทที่ใช้สำหรับงานนี้   เครื่องมือต่าง  ๆ  เหล่านี้ถูกใช้งานเพื่อตอบคำถามดังนี้

- เราต้องการจะปกป้องทรัพย์สินอะไรบ้างและมูลค่าเท่าไร
- ใครหรืออะไรที่เป็นภัยคุกคามต่อทรัพย์สินหรือองค์กร
- เรามีจุดอ่อนหรือช่องโหว่ที่ไหนบ้าง
- เกิดความเสียหายมากน้อยเท่าใดเมื่อถูกโจมตีผ่านจุดอ่อนหรือช่องโหว่เหล่านั้น
- เราจะป้องกันหรือแก้ไขช่องโหว่หรือจุดอ่อนได้อย่างไร



                      ข้อแนะนำเกี่ยวกับวิธีป้องกันที่ดีที่สุดจากการประเมินผลความเสี่ยงเพื่อปกป้องความลับ  ความถูกต้อง  และความพร้อมใช้งานของข้อมูล  และยังคงสามารถนำงานและให้บริการได้อย่างต่อเนื่องก่อนที่จะสามารถตอบคำถามได้  ซึ่งสามารถทำได้โดยการใช้ทรัพยากรภายในหรือจ้างบริษัทอื่นก็ได้  การประเมินความเสี่ยงนั้นต้องอาศัยความร่วมมือทุกฝ่าย 

แต่ถ้าไม่ได้รับความร่วมมืออาจทำให้การประเมินความ
เสี่ยงนั้นไม่ได้ผลหรือไม่มีประสิทธิภาพ     การประเมินค่าสามารถทำได้โดยการทำตามขั้นตอนการบริหารความเสี่ยงจากภัยนั้นแล้ว  สามารถเลือกใช้มาตรการควบคุมหรือระบบป้องกันที่เหมาะสม  และมีประสิทธิภาพเพื่อป้องกันภัยต่าง  ๆ  เหล่านั้นได้

รูปแบบการประเมินความเสี่ยง

การประเมินความเสี่ยงสามารถทำได้สองวิธีคือ  การประเมินความเสี่ยงเชิงปริมาณ  และการประเมินความเสี่ยงเชิงคุณภาพ  บางหน่วยงานอาจใช้แบบผสมหรือกึ่งเชิงปริมาณและคุณภาพ

                        การประเมินความเสี่ยงเชิงปริมาณ      โดยใช้ตัวเลขเพื่อกำหนดผลกระทบและโอกาสที่จะเกิดความเสี่ยงโดยการใช้ข้อมูลจากแหล่งต่าง  ๆ  วิธีนี้มักใช้กับการประเมินความเสี่ยงในภาคเอกชนหรือธุรกิจ  ซึ่งจะเกี่ยวข้องกับการเงิน  หลายหน่วยงานมักใช้ข้อมูลตัวเลขด้านการเงินเป็นตัวแทนในการวิเคราะห์ความเสี่ยง

                       การประเมินความเสี่ยงเชิงคุณภาพ       โดยส่วนมากจะประเมินและให้ค่าต่าง  ๆ  ในเชิงคุณภาพจากผลกระทบต่าง  ๆ  ที่อาจเกิดขึ้นต่อข้อมูลและทรัพย์สินขององค์กรนั้น  อาจจะก่อให้เกิดความเสียหายที่สามารถคำนวณเป็นจำนวนเงินได้  หรือสามารถวัดได้ในเชิงปริมาณ  ยังมีความเสียหายบางอย่าง  จึงนิยมใช้การประเมินค่าแบบเชิงคุณภาพเป็น  3  ระดับ  คือ  สูง  ปานกลาง  และต่ำ  หรืออาจใช้ถึง  5 หรือ 7  ระดับตามความเหมาะสมของแต่ละองค์กร

                       การประเมินความเสี่ยงเชิงกึ่งปริมาณ        มีการใช้คำอธิบายระดับความเสี่ยงควบคู่กับการให้ค่าความเสี่ยงเป็นตัวเลข  วิธีนี้มักจะใช้ในกรณีที่ไม่สามารถหาระดับความเสี่ยงเชิงปริมาณได้  หรือต้องการที่จะลดการคาดคะเนความเสี่ยงที่ขึ้นอยู่กับผู้ประเมินให้น้อยลง

ขั้นตอนการประเมินความเสี่ยง

ขั้นตอนพื้นฐานของกระบวนการบริหารความเสี่ยงขององค์กร   การประเมินความเสี่ยงใช้สำหรับการระบุ  ประมาณการ  และจัดลำดับความสำคัญของความเสี่ยงจากการใช้งานระบบสารสนเทศ  ที่มีผลกระทบต่อการปฏิบัติภารกิจและทรัพย์สินขององค์กร  บุคลากร  องค์กรอื่น  การประเมินความเสี่ยงมีขั้นตอนที่สำคัญคือ

- การระบุทรัพย์สินอาจถูกภัยคุกคามโจมตีหรือเกิดเหตุการณ์ที่อาจสร้างความเสียหายได้
- การระบุภัยคุกคาม ทรัพย์สินที่ได้ระบุก่อนหน้าหรือภัยคุกคามที่อาจเกิดจากองค์กรซึ่งจะรวมถึงการระบุแหล่งที่ทำให้เกิดดภัยคุกคาม
- การระบุช่องโหว่ทรัพย์สินขององค์กรที่อาจถูกใช้ประโยชน์จากแหล่งคุกคามที่ได้ระบุไว้ข้างต้น  ทำให้เกิดเหตุการณ์ภัยคุกคามหรือสุ่มเสี่ยงที่จะเกิดเหตุการณ์เหล่านั้น
- การประเมินโอกาสที่จะเกิดขึ้นที่จะเกิดเหตุการณ์ภัยคุกคามข้างต้น
- การประเมินผลกระทบหรือความเสียหายที่อาจจะเกิดขึ้นจากเหตุการณ์ที่ภัยคุกคามใช้ประโยชน์
- การประเมินความเสี่ยงที่ได้จากการคำนวณจากโอกาสที่ภัยคุกคามจะใช้ประโยชน์จากช่องโหว่ที่มีซึ่งทำให้เกิดเหตุการณ์ที่สร้างความเสียหายให้กับองค์กร


วันพฤหัสบดีที่ 3 ตุลาคม พ.ศ. 2562

การบริหารความเสี่ยง

การบริหารความเสี่ยง


วัตถุประสงค์

- รู้และเข้าใจองค์ประกอบของความเสี่ยง
- รู้และเข้าใจมาตรฐานเกี่ยวกับการบริหารความเสี่ยง
- รู้และเข้าใจขั้นตอนการประเมินความเสี่ยง
- รู้และเข้าใจการรักษาความเสี่ยง

การบริหารความเสี่ยงในปัจจุบันเป็นเรื่องยากที่จะหลีกเลี่ยงได้จากภัยคุกคามด้านการรักษาความปลอดภัยข้อมูลของกล้องวงจรปิดและระบบสารสนเทศได้ทวีความรุนแรง  และได้สร้างความเสียหายมากขึ้นไปตามแนวโน้มของการใช้งานระบบสารสนเทศและอินเทอร์เน็ตในองค์กรที่เพิ่มขึ้น

ตลอดจนเรื่องของกฎระเบียบข้อบังคับและกฎหมายต่าง  ๆ  ที่ออกมาบังคับให้องค์กรต้องปฏิบัติตาม  องค์กรที่ต้องทำธุรกิจและธุรกรรมบนอินเทอร์เน็ต  ซึ่งข้อบังคับและกฏหมายเหล่านี้ล้วนแล้วแต่ต้องมีความเกี่ยวข้องกับการบริหารความเสี่ยงระบบสารสนเทศในองค์กรแทบทั้งสิ้น 

การรักษาความปลอดภัยของข้อมูลกล้องเป็นกระบวนการในเชิงรุกเพื่อบริหารความเสี่ยงให้อยู่ในระดับที่ยอมรับได้   ซึ่งโดยส่วนใหญ่องค์กรจะรอให้มีเหตุการณ์เกิดขึ้นก่อนค่อยหาวิธีการที่จะป้องกันเหตุการณ์นั้นซึ่งการทำเช่นนี้อาจเกิดความเสียหายกับองค์กรมากเกินกว่าที่คาดไว้ก็ได้   การจัดการในเชิงรุกเป็นขั้นตอนที่ทำก่อนที่จะเกิดเหตุการณ์ขึ้น

ถ้าการรักษาความปลอดภัยเป็นแบบเชิงรับค่าใช้จ่ายในการรักษาความปลอดภัยไม่สามารถประเมินได้  แต่องค์กรสามารถลดค่าใช้จ่ายเกี่ยวกับการรักษาความปลอดภัยลงได้โดยการจัดการวางแผนเพื่อเตรียมรับเหตุการณ์และการบริหารความเสี่ยง  สามารถทำให้ค่าความเสียหายที่เกิดจากเหตุการณ์ลดลงได้ถ้าองค์กรได้เตรียมการอย่างดีก่อนที่จะเกิดเหตุการณ์ขึ้น  หรือเหตุการณ์นั้นอาจไม่เกิดขึ้นเลยก็ได้

เพราะมีการป้องกันไว้อย่างดี  ค่าใช้จ่ายในการรักษาความปลอดภัยจึงเหลือเพียงค่าใช้จ่ายในการติดตั้งระบบป้องกันเท่านั้น



การวิเคราะห์ความเสี่ยง

                     การประเมินความเสี่ยงจำเป็นที่ต้องทำความเข้าใจว่าความเสี่ยงคืออะไร  และมีสาเหตุมาจากอะไร   การวิเคราะห์
เหตุการณ์หรือการกระทำที่เกิดขขึ้นภายในสถานการณ์ที่ไม่แน่นอนและส่งผลหรือสร้างความเสียหาย  ก่อให้เกิดความล้มเหลว  ลดโอกาสที่จะบรรลุวัตถุประสงค์และเป้าหมายขององค์กร  การปฏิบัติงาน  งบประมาณ  และการบริการ  โดยวัดจากผลกระทบที่ได้รับและโอกาสที่จะเกิดของเหตุการณ์   การบริหารความเสี่ยงจังเป็นกระบวนการที่ใช้ในการบริหารจัดการ ตามความเชี่ยวชาญ  และอาชีพของผู้ให้คำจำกัดความ  ความเสี่ยงคือเหตุการณ์การกระทำใด  ๆ

ที่อาจเกิดขึ้นภายใต้สถานการณ์ที่ไม่แน่นอนและส่งผลสร้างความเสียหายหรือก่อให้เกิดความล้มเหลว  ความเสี่ยงเกิดจากปัจจัยเสี่ยงที่ทำให้บรรลุวัตถุประสงค์ที่กำหนดไว้   โดยปัจจัยเสี่ยงเกิดจากภัยคุกคามที่มีช่องโหว่ที่ภัยคุกคามนั้นจะใช้  การวิเคราะห์ความเสี่ยงด้วยการประเมินโอกาสที่จะเกิด ความถี่หรือโอกาสที่จะเกิดความเสี่ยง และผลกระทบขนาดความรุนแรงของความเสียหายทีจะเกิดขึ้นหากเกิดเหตุการณ์ความเสี่ยง

การบริหารความเสี่ยง

เหตุการณ์หรือการกระทำที่เกิดขขึ้นภายในสถานการณ์ที่ไม่แน่นอนและส่งผลหรือสร้างความเสียหาย  ก่อให้เกิดความล้มเหลว  ลดโอกาสที่จะบรรลุวัตถุประสงค์และเป้าหมายขององค์กร  การปฏิบัติงาน  งบประมาณ  และการบริการ  โดยวัดจากผลกระทบที่ได้รับและโอกาสที่จะเกิดของเหตุการณ์   การบริหารความเสี่ยงจังเป็นกระบวนการที่ใช้ในการบริหารจัดการ

ทำให้โอกาสที่จะเกิดเหตุการณ์ความเสี่ยงลดลง  ผลกระทบของความเสียหายจากเหตุการณ์ความเสี่ยงลดลง  หรืออยู่ในระดับที่หน่วยงานยอมรับได้    ผลที่ได้รับหลังจากการประเมินความเสี่ยง  คือ ระดับความเสี่ยงที่มีอยู่ถ้าระดับความเสี่ยงนั้นอยู่ในระดับที่ยอมรับไม่ได้  ก็จำเป็นที่ต้องกำหนดมาตรการในการควบคุม  กระบวนการนี้เรียกว่า   “การรักษาความเสี่ยง”   โดยการรักษาความเสี่ยงแบ่งออกเป็น  4  แนวทางหลักดังนี้

- การยอมรับความเสี่ยง
- การลด / การควบคุมความเสี่ยง
- การโอนความเสี่ยง
- การหลีกเลี่ยงความเสี่ยง

                        มาตรการควบคุม  นโยบาย  แนวทาง  หรือขั้นตอนปฏิบัติต่าง  ๆ  ซึ่งเพื่อลดความเสี่ยงและทำให้การดำเนินการบรรลุวัตถุประสงค์  แบ่งได้  4  ประเภทคือ

- การควบคุมเพื่อการป้องกัน
- การควบคุมเพื่อให้ตรวจสอบ
- การควบคุมโดยการชี้แนะ
- การควบคุมเพื่อการแก้ไข


วันพุธที่ 2 ตุลาคม พ.ศ. 2562

การตรวจสอบการรักษาความปลอดภัยกล้องวงจรปิด

การตรวจสอบการรักษาความปลอดภัยกล้องวงจรปิด

ถือเป็นขั้นตอนสุดท้ายของกระบวนการรักษาความปลอดภัยกล้อง  จากที่ได้มีการประเมินสถานการณ์ขององค์กร  และกำหนดนโยบายพร้อมทั้งระเบียบปฏิบัติ    ติดตั้งระบบรักษาความปลอดภัยที่จำเป็น  การฝึกอบรมเจ้าหน้าที่และพนักงานทั้วไป  การตรวจสอบว่าได้มีการดำเนินการตามนโยบายและระเบียบปฏิบัติหรือไม่   การตรวจสอบเกี่ยวกับด้านการรักษาความปลอดภัยนั้นหมายถึงการตรวจสอบ  3  ประเภทดังต่อไปนี้

- การตรวจสอบการปฏิบัติตามนโยบาย
- การประเมินโครงการใหม่  ๆ
- การทดลองเจาะระบบ

การตรวจสอบการปฏิบัติตามนโยบายนั้นถือเป็นเรื่องหลักของการตรวจสอบโดยอาจทำโดยเจ้าหน้าที่ภายในเองหรือเป็นบุคลากรจากภายนอก  การตรวจสอบไม่สามารถทำได้ถ้าไม่ได้รับความร่วมมือจากผู้บริหารและฝ่ายผู้ดูแลระบบ  การตรวจสอบไม่ควรเน้นเฉพาะข้อมูลที่อยู่ในระบบคอมพิวเตอร์เท่านั้นควรให้ความสำคัญกับข้อมูลที่อยู่ในรูปแบบอื่นด้วย

ควรตรวจสอบด้วยว่ามีการปฏิบัติอย่างเคร่งครัดแค่ไหนและที่สำคัญมีการจัดเก็บหรือรับส่งเอกสารที่มีข้อมูลสำคัญอย่างไร   การตรวจสอบควรกระทำอย่างน้อยปีละหนึ่งครั้ง



                      การทดลองเจาะระบบ    ควรจัดไว้ในช่วงประเมินสถานการณ์    การใช้เครื่องมือเพื่อทดลองเจาะระบบหรือองค์กรใช้ประโยชน์จากจุดอ่อนหรือช่องโหว่ที่เป็นที่รู้จักกันทั่วไปถ้าการเจาะระบบสำเร็จข้อมูลที่ได้จากการทดสอบนี้คือทราบว่าองค์กรหรือระบบมีจุดอ่อนหรือช่องโหว่เพิ่มขึ้น  ถ้าการทดลองเจาระบบไม่สำเร็จผลที่ได้ตามมาคือผู้ทดสอบไม่สามารถเจาะเข้าระบบผ่านทางจุดอ่อนได้

แต่ก็ไม่ได้หมายความว่าจุดอ่อนของระบบนั้นไม่มีเมื่อองค์กรได้ประเมินสถานการณ์แล้วทราบว่าระบบมีความเสี่ยงสูงจึงต้องตัดสินใจที่จะติดตั้งระบบควบคุมการเข้าถึงระบบ  การทดลองเจาะระบบก็อาจเป็นเครื่องมือที่ใช้ทดสอบระบบนี้ได้  การทดสอบเจาะระบบนั้นเหมาะสำหรับการตรวจระบบควบคุมดังต่อไปนี้

- ความสามารถและประสิทธิภาพของ IDS ที่จะตรวจจับการบุกรุกได้
- ความเหมาะสมของระเบียบปฏิบัติเมื่อเกิดเหตุการณ์
- ข้อมูลที่ได้จากการเรียนรู้ระบบเครือข่ายผ่านระบบควบคุมต่าง  ๆ
- ความเหมาะสมของระบบรักษาความปลอดภัยทางด้านกายภาพของที่ตั้งนั้น  ๆ
- ความเพียงพอของข้อมูลที่ให้พนักงานรับทราบในระหว่างการฝึกอบรม

การทดสอบไม่ว่าเพื่อจุดประสงค์ใดก็ตามควรมีการวางแผนอย่างละเอียดและรอบคอบ  ควรแจ้งให้องค์กรทราบล่วงหน้าและกำหนดขอบเขตของการทดสอบ  และควรมีการทดสอบระบบรักษาความปลอดภัยทางด้านกายภาพด้วย

อาจให้บางคนพยายามที่จะบุกเข้าสถานที่ที่มีการควบคุม  ขอบเขตในเรื่องของเวลาอาจเป็นช่วงเวลาทำงานหรืออาจเป็นนอกเวลาทำงานก็ได้  การทดสอบด้านวิศวกรรมสังคมก็ควรที่จะต้องทดสอบด้วยเหมือนกันองค์กรหลายองค์กรอาจเริ่มต้นกระบวนการรักษาความปลอดภัยจากการทดสอบเจาะเข้าระบบ  การทำเช่นนี้อาจไม่เกิดผลดีมากนักกับองค์กร 

เพราะการทดสอบเจาะเข้าระบบนั้นอาจไม่ได้ให้ข้อมูลที่เพียงพอสำหรับการจัดการความเสี่ยงขององค์กร


วันอังคารที่ 1 ตุลาคม พ.ศ. 2562

การสร้างความตระหนักด้านการรักษาความปลอดภัยกล้องวงจรปิด

การสร้างความตระหนักด้านการรักษาความปลอดภัยกล้องวงจรปิด

เมื่อการติดตั้งระบบป้องกันและรักษาความปลอดภัยกล้องวงจรปิดใหม่ต้องมีเจ้าหน้าที่ที่ดูแลอย่างเหมาะสม  และกลไกอื่นต้องมีผู้ควบคุมดูแลรับผิดชอบที่จะดำเนินการต่อเมื่อมีเหตุการณ์เกิดขึ้น   การรักษาความปลอดภัยขององค์กรควรถือเป็นหน้าที่และความรับผิดชอบของพนักงานทุกคนในองค์กร  ควรมีคณะทำงานทีรับผิดชอบเกี่ยวกับทางด้านนี้โดยเฉพาะ

เพื่อทำหน้าที่ในการพัฒนานโยบายที่เกี่ยวข้องกับการรักษาความปลอดภัยกล้องวงจรปิด  และการบังคับใช้นโยบายเหล่านั้นอาจตั้งเป็นฝ่ายรักษาความปลอดภัย  โดยความรับผิดชอบนั้นจะตกอยู่กับหัวหน้าฝ่าย   และองค์กรไม่สามารถป้องกันข้อมูลที่สำคัญขององค์กรได้ถ้าปราศจากความร่วมมือของพนักงานในองค์กรทุกคน



ผู้บริหาร

ระบบรักษาความปลอดภัยในองค์จะไม่สามารถเกิดขึ้นได้ถ้าไม่ได้รับการสนับสนุนจากผู้บริหาร     คณะผู้บริหารควรได้รับรายงานสถานภาพและความก้าวหน้าเกี่ยวกับโครงการติดตั้งระบบการรักษาความปลอดภัย  การเสนอให้ผู้บริหารนั้นควรรวมกับเรื่องอื่น  ๆ

ด้วยและถ้าเป็นไปได้ควรมีมาตรฐานการวัดที่ออกเป็นตัวเลขเพื่อบ่งบอกระดับความปลอดภัยขององค์กรและควรมีตัวเลขทางด้านสถิติด้วย   และควรนำข้อมูลที่ฝึกอบรมพนักงานทั่วไปให้ทราบด้วยเพื่อเป็นการเตือนผู้บริหารให้ทราบถึงความรับผิดชอบที่มีต่อองค์กร

พนักงานทั่วไป

การฝึกอบรมให้กับพนักงานทั่วไปเพื่อทำความเข้าใจและทราบว่าการรักษาความปลอดภัยมีความสำคัญ  และควรแจ้งให้รู้ว่าข้อมูลใดมีความสำคัญและเป็นความลับขององค์กรที่จะต้องช่วยกันปกป้องข้อมูลเหล่านั้นไม่ให้รั่วไหลออกไป   การฝึกอบรมช่วยให้พนักงานทั่วไปรู้ข้อมุลที่ควรรู้และวิธีจัดการเกี่ยวกับรหัสผ่านเพื่อช่วยป้องกันการโจมตีแบบวิศวกรรมสังคมหรือการถูกหลอกได้ง่าย   และในการฝึกอบรมนั้นควรเป็นแบบสั้น  ๆ  ควรใช้เวลาประมาณ 1-2 ชั่วโมง  พนักงานใหม่ควรได้รับการฝึกอบรมนี้โดยกำหนดให้เป็นส่วนหนึ่งของการปฐมนิเทศน์  ส่วนพนักงานเก่าควรได้รับการฝึกอบรมอย่างน้อย 2 ปีต่อครั้ง

ผู้ดูแลระบบ

สำหรับผู้ดูแลระบบการฝึกอบรมก็ถือเป็นเรื่องจำเป็นและเป็นสิ่งที่สำคัญ  ควรปรับความรู้ให้ทันสมัยอยู่เสมอ  การฝึกอบรมประเภทนี้ควรจัดให้มีบ่อย ๆ  และควรเชิญผู้ที่มีความเชี่ยวชาญทางด้านนี้โดยเฉพาะมาให้การฝึกอบรม   การฝึกอบรมประเภทนี้อาจจัดให้เป็นส่วนหนึ่งของการประชุมประจำของผู้ดูแลระบบเพื่อช่วยลดเวลา  และเจ้าหน้าที่รักษาความปลอดภัยควรส่งข้อมูลใหม่  ๆ

ที่เกี่ยวกับการรักษาความปลอดภัยให้กับผู้ดูแลระบบทราบทันทีที่ได้รับทราบ  แทนที่จะรอแจ้งในที่ประชุม  การทำเช่นนี้ก็เป็นการช่วยเพิ่มความสัมพันธ์และการทำงานร่วมกันอย่างมีประสิทธิภาพ  ระหว่างเจ้าหน้าที่รักษาความปลอดภัยและผู้ดูแลระบบ

นักพัฒนาแอพพลิเคชั่น

สำหรับนักพัฒนาโปรแกรมในการฝึกอบรมควรเป็นส่วนที่เพิ่มจากการฝึกอบรมพนักงาน  ควรเป็นเรื่องเกี่ยวกับเทคนิคการเขียนโปรแกรมให้มีความปลอดภัยและควรอธิบายถึงเหตุผลและหน้าที่ของฝ่ายรักษาความปลอดภัย   ในระหว่างที่มีการพัฒนากระบวนการรักษาความปลอดภัย 

ส่วนโครงการใหม่ฝ่ายรักษาความปลอดภัยควรมีส่วนร่วมในระหว่างการออกแบบด้วย  เป็นการเปิดโอกาสให้ฝ่ายการรักษาความปลอดภัยได้พิจารณาเพี่ยวกับเรื่องความปลอดภัยก่อนที่จะผลิต  ในระหว่างการอบรมนั้นควรอธิบายให้นักพัฒนาโปรแกรมทราบเกี่ยวกับคุณค่าของความปลอดภัยในช่วงต้นของการผลิตซอฟต์แวร์

คณะเจ้าหน้าที่ฝ่ายรักษาความปลอดภัย

การรักษาความปลอดภัยควรจะปรับปรุงความรู้เป็นประจำเพื่อที่จะได้สามารถให้บริการกับองค์กรได้   การฝึกอบรมข้างนอกถือว่าเป็นส่วนที่สำคัญมาก  แต่การเชิญวิทยากรหรือผู้เชี่ยวชาญจากภายนอกมาให้บริการภายในก็ถือเป็นเรื่องจำเป็นเช่นกัน   และการผลัดกันนำเสนอข้อมูลเกี่ยวกับเทคนิคหรือเทคโนโลยีใหม่  ๆ  ก็เป็นสิ่งที่ช่วยได้


วันจันทร์ที่ 30 กันยายน พ.ศ. 2562

นโยบายด้านการรักษาความปลอดภัยข้อมูลกล้องวงจรปิด


นโยบายด้านการรักษาความปลอดภัยข้อมูลกล้องวงจรปิด

                     แผนปฏิบัติเพื่อให้บรรลุวัตถุประสงค์ที่วางไว้ด้วยการใช้ทรัพยากรที่มีอยู่และภายใต้ข้อจำกัดต่าง    การที่ให้บรรลุผลลัพธ์ที่ต้องการด้านการรักษาความปลอดภัยข้อมูล  จำเป็นต้องพัฒนาโครงการและแผนงานด้านการรักษาความปลอดภัยที่มีประสิทธิภาพ   

เป็นแนวทางสำหรับการบริหารผ่านการกำหนดนโยบายและมาตรฐานและยังเป็นแนวทางการพัฒนาวัตถุประสงค์ควบคุมและเป็นตัวชี้วัดที่เป็นองค์ประกอบสำคัญของการบริหารที่มีประสิทธิภาพเพื่อให้ได้ผลต้องพิจารณาปัจจัยหลายส่วน  เช่น  ทรัพยากรที่มีอยู่และข้อจำกัดต่าง    ทรัพยากรอาจรวมถึงบุคลากรกระบวนการ  เทคโนโลยี  ส่วนข้อจำกัดรวมถึงเวลา  ค่าใช้จ่าย  ทักษะและความสามารถ  วัฒนธรรมและโครงสร้างขององค์กร  เป็นต้น

                      การตระหนักถึงความสำคัญ  และสนับสนุนโครงการและแผนงานด้านการรักษาความปลอดภัยข้อมูลของผู้บริหารระดับสูงเป็นสิ่งที่สำคัญอย่างยิ่ง  และมีผลโดยตรงต่อโอกาสที่จะประสบความสำเร็จได้  บทบาทหน้าที่และความรับผิดชอบของผู้บริหารการรักษาความปลอดภัยข้อมูลอาจแตกต่างกันไปในแต่ละองค์กร   
        
นโยบายและระเบียบปฏิบัติ  ขั้นตอนที่ได้ประเมินสถานการณ์แล้วเป็นสิ่งที่จะกำหนดระดับความปลอดภัยขององค์กรที่คาดหวังไว้  และเป็นสิ่งที่ต้องทำในระหว่างขั้นตอนการติดตั้งระบบการรักษาความปลอดภัย   ถ้าไม่มีนโยบายก็จะไม่มีแผนสำหรับองค์กรที่จะทำให้การรักษาความปลอดภัยขององค์กรมีประสิทธิภาพได้    

การจัดให้มีนโยบายรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ  มีวัตถุประสงค์เพื่อให้ผู้ใช้งานและบุคคลที่เกี่ยวข้องได้ตระหนักถึงความสำคัญของการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ  รวมทั้งได้รับทราบเกี่ยวกับหน้าที่และความรับผิดชอบ  และแนวทางในการปฏิบัติในการควบคุมความเสี่ยงต่าง    โดยมีเนื้อหาครอบคลุมเกี่ยวกับแนวทางในการจัดทำนโยบาย  รายละเอียดของนโยบาย  และการปฏิบัติตามนโยบาย



นโยบาย

                    เอกสารที่กำหนดทิศทางการบริหารงานและกรอบแนวปฏิบัติ  เป็นสิ่งที่ต้องปฏิบัติตามในทางการรักษาความปลอดภัยข้อมูล  นโยบายหรือจุดเป้าหมายที่ต้องการ   นโยบายและระเบียบปฏิบัติที่สำคัญขององค์กร  เช่น

-        -   นโยบายข้อมูล       กำหนดว่าข้อมูลใดมีความสำคัญและสิทธิ์ในการเข้าถึงข้อมูลเหล่านั้น
-        -   นโยบายการรักษาความปลอดภัย    กำหนดเกี่ยวกับระบบควบคุมทางด้านเทคนิคกับระบบคอมพิวเตอร์ต่าง   
-        -   นโยบายการใช้งาน      กำหนดนโยบายขององค์กรเกี่ยวกับการใช้งานคอมพิวเตอร์
-        -   นโยบายการสำรองข้อมูล      กำหนดความจำเป็นเกี่ยวกับการสำรองระบบคอมพิวเตอร์
-        -   ระเบียบปฏิบัติเกี่ยวกัยการบริหารจัดการบัญชีผู้ใช้     กำหนดขั้นตอนการปฏิบัติเมื่อต้องเพิ่มบัญชีผู้ใช้ใหม่
-        -   ระเบียบปฏิบัติเมื่อเกิดเหตุการณ์      กำหนดจุดมุ่งหมายและขั้นตอนเกี่ยวกับการจัดการกับเหตุการณ์ที่เกิดเกี่ยวกับข้อมูล
-        -   แผนการฟื้นฟูหลังภัยร้ายแรง      กำหนดแผนสำหรับฟื้นฟูและกู้ระบบคอมพิวเตอร์หลังจากที่เกิดภัยธรรมชาติหรือภัยที่เกิดจากมนุษย์

มาตรฐาน

                     ความต้องการเฉพาะของระบบใดระบบหนึ่งที่ต้องปฏิบัติตามทุกคน  เช่น มาตรฐานในการทำฮาร์ดเด็นนิ่งระบบวินโดวส์ 2008  เพื่อทำเป็นเว็บเซิร์ฟเวอร์และวางในพื้นที่ DMZ

แนวทางปฏิบัติ

                       ข้อแนะนำเกี่ยวกับขั้นตอนการปฏิบัติที่ดีที่สุดสำหรับระบบเฉพาะ  โดยข้อแนะนำไม่จำเป็นต้องปฏิบัติตามก็ได้  แต่ก็แนะนำอย่างมากให้ปฏิบัติตาม  นโยบายที่ดีมักจะอ้างถึงมาตรฐานและแนวทางปฏิบัติที่ดีด้วย

ระเบียบปฏิบัติ

ขั้นตอนการปฏิบัติสำหรับการปฏิบัติงานใดงานหนึ่ง  โดยเป็นสิ่งที่ต้องปฏิบัติตามทุกครั้งที่ทำงานนั้น