Week 13

Security

Information system risk
    เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลายฮาร์ดแวร์ (Hardware) ซอฟต์แวร์ (Software) ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ
ประเภทของความเสี่ยงของระบบสารสนเทศ
    Network attack
        -Basic Attacks
            -Social engineering
            -Dumpster Diving
        -Identity Attacks
            -DNS Spoofing
            -e-mail spoofing 
        -Denial of Service หรือ DoS
            -Distributed denial-of-service
            -DoSHTTP
        -Malware
            -โปรแกรมมุ่งร้ายที่โจมตีการปฏิบัติงานของคอมพิวเตอร์
                -Viruses
                -Worms
                -Trojan horse
                -Logic bombs
            -โปรแกรมมุ่งร้ายที่โจมตีความเป็นส่วนตัวของสารสนเทศ
                -Spyware
                -Adware
                -Phishing (การสร้างLinkหลอก)
                -Keyloggers
    Unauthorized access
        การใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ ซึ่งส่วนมากจะเป็นการใช้คอมพิวเตอร์หรือข้อมูลในเครื่องคอมพิวเตอร์เพื่อทำกิจกรรมบางอย่างที่ผิดกฏระเบียบของกิจการ
        -การเข้าระบบโอนเงินของธนาคารโดยไม่ได้รับอนุญาติ
    Theft
        -ขโมย Hareware & ทำลายHareware
        -ขโมย Software อาจอยู่ในรูปของขโมยสื่อจัดเก็บ Software ทำลายโดยตั้งใจ
        -การขโมยสารสนเทศ มักอยู่ในรูปของการขโมยข้อมูลที่เป็นความลับส่วนบุคคล
    System failure
        -Noise
        -Undervoltages
        -overvoltages
การรักษาความปลอดภัยของระบบสารสนเทศ
    Anti Virus
    Firewall
    Intrusion detection software
    Honeypot (ระบบหลอก)
    การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต
        การระบุตัวตน (Identification)
        การพิสูจน์ตัวจริง (Authentication)
            -Password
                -What you know
                -What you have
                -What you are
    การควบคุมการขโมย
        Physical access control
        Real time location system
        ควบคุมการการใช้งานลักษณะทางกายภาพของบุคคล (ลายนิ้วมือ)
        การรักษาความปลอดภัยของ Software ทำโดยเก็บรักษาแผ่น Software ในสถานที่มีการรักษาความปลอดภัย
        กรณีที่มีโปรแกรมเมอร์ลาออกต้องควบคุมและติดตามโปรแกรมเมอร์ทันที
        การเข้ารหัส คือ แปลงรหัสข้อมูลที่อยู่ในรูป Plaintext ให้อยู่ในรูป Ciphertext
            องค์ประกอบของการเข้ารหัส
                Plaintext
                Algorithm
                Secure ke
            ประเภทของการเข้ารหัส
                การเข้ารหัสแบบสมมาตร คือ การที่ทั้ง 2 ฝ่ายใช้คีย์ลับประเภทเดียวกัน
                การเข้ารหัสแบบไม่สมมาตร คือ การที่ทั้ง 2 ฝ่ายใช้คีย์ต่างกันคือ คีย์สาธารณะ กับ คีย์ส่วนตัว
        การรักษาความปลอดภัยอื่นๆ
            Secure sockets layer (SSL) โดยเว็บเพจที่ใช้ SSL จะขึ้นต้นด้วย https แทนที่จะเป็น http
            Secure HTTP (S-HTTP) เช่น ระบบธนาคารออนไลน์จะใช้ S-HTTP
            Virtual private network (VPN)
        การควบคุมความล้มเหลวของระบบสารสนเทศ
            การป้องกันแรงดันไฟฟ้าใช้ Surge protector
            ไฟฟ้าดับใช้ Uninterruptible power supply
            Disaster Recovery การทำให้ระบบกลับมาอยู่ในสภาพเดิม
        Data Backup สิ่งที่ประกอบการตัดสินใจประกอบด้วย
            Media
            Time
            Frequent
            Place
        การรักษาความปลอดภัยของแลนไร้สาย (Wireless LAN)
            Service Set Identifier
            MAC Addressing Filtering
            การเข้าและถอดรหัสด้วยการ Wired Equivalency Privacy (WEP)
            จำกัดขอบเขตพื้นที่ให้บริการ
            การพิสูจน์สิทธิเข้าใช้งานแลนไร้สายด้วย Radius Server
            สร้าง Virtual Private Network (VPN)
จรรยาบรรณ
    จรรยาบรรณทางคอมพิวเตอร์
        หลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย
            การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
            การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์)
            ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ เป็นต้น
            สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights)
            หลักปฏิบัติ (Code of conduct)
            ความเป็นส่วนตัวของสารสนเทศ (Information privacy)
    คำถามอย่างกว้างขวางเกี่ยวกับลิขสิทธิ์ดังนี้
        บุคคลสามารถ Download ส่วนประกอบของเว็บไซด์ ต่อจากนั้นปรับปรุง แล้วนำไปแสดงบนเว็บของตนเองได้หรือไม่
        เจ้าหน้าที่ของมหาวิทยาลัยสามารถพิมพ์เอกสารบนเว็บและกระจายให้นักศึกษาเพื่อใช้สำหรับการเรียนการสอนได้หรือไม่
        บุคคลสามารถสแกนรูปภาพหรือหนังสือ ต่อจากนั้นนำไปลงในเว็บซึ่งอนุญาตให้คน Download ได้หรือไม่
        บุคคลสามารถสามารถนำเพลงใส่ในเว็บได้หรือไม่
        นักศึกษาสามารถนำข้อสอบหรือโครงการต่างๆ ที่อาจารย์กำหนดในชั้นเรียนเข้าไปใส่ในเว็บเพื่อให้นักศึกษาคนอื่นๆ ลอกโครงการนั้นแล้วส่งอาจารย์ว่าเป็นงานของตนได้หรือไม่
    หลักปฏิบัติ
        สิ่งที่เขียนเป็นลายลักษณ์อักษรเพื่อเป็นแนวทางในการตัดสินใจว่าการกระทำใดที่เกี่ยวข้องกับคอมพิวเตอร์เป็นสิ่งที่มีหรือไม่มีจรรยาบรรณ หลักปฏิบัติมีดังนี้
            ต้องไม่ใช้คอมพิวเตอร์ในการทำอันตรายบุคคลอื่น
            ต้องไม่รบกวนการทำงานทางคอมพิวเตอร์ของคนอื่น
            ต้องไม่เข้าไปยุ่งเกี่ยวกับแฟ้มข้อมูลของคนอื่น
            ต้องไม่ใช้คอมพิวเตอร์ในการขโมย
            ต้องไม่ใช้คอมพิวเตอร์เพื่อให้หลักฐานที่เป็นเท็จ
            ต้องไม่สำเนาหรือใช้ซอฟต์แวร์ที่ละเมิดลิขสิทธิ์
            ต้องไม่ใช้ทรัพยากรทางคอมพิวเตอร์ของผู้อื่นโดยไม่ได้รับอนุญาต
    ความเป็นส่วนตัวของสารสนเทศ  มีหลักปฏิบัติดัง
        กรอกข้อมูลส่วนตัวของท่านบนเว็บเฉพาะส่วนที่ต้องกรอกเท่านั้น
        ติดตั้งตัวจัดการ Cookie เพื่อกลั่นกรอง Cookie
        ลบ History file ภายหลังจากเลิกใช้โปรแกรมเบาวร์เซอร์
        ยกเลิกการเปิดบริการแบ่งปันข้อมูล (File sharing) หรือเครื่องพิมพ์ก่อนการเชื่อมต่ออินเทอร์เน็ต