1 / 47

CHARPTER 13

CHARPTER 13. ความปลอดภัยทางด้านคอมพิวเตอร์ Security Computer. สาระการเรียนรู้. แนวคิดเกี่ยวกับระบบรักษาความปลอดภัยในระบบคอมพิวเตอร์ การรักษาความปลอดภัยในองค์กร การรักษาความปลอดภัยบนเครือข่ายอินเทอร์เน็ต การรักษาความปลอดภัยของข้อมูลส่วนบุคคล แนวโน้มของระบบรักษาความปลอดภัยในอนาคต.

alijah
Download Presentation

CHARPTER 13

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. CHARPTER 13 ความปลอดภัยทางด้านคอมพิวเตอร์ Security Computer

  2. สาระการเรียนรู้ • แนวคิดเกี่ยวกับระบบรักษาความปลอดภัยในระบบคอมพิวเตอร์ • การรักษาความปลอดภัยในองค์กร • การรักษาความปลอดภัยบนเครือข่ายอินเทอร์เน็ต • การรักษาความปลอดภัยของข้อมูลส่วนบุคคล • แนวโน้มของระบบรักษาความปลอดภัยในอนาคต

  3. แนวคิดเกี่ยวกับระบบรักษาความผลอดภัยในระบบคอมพิวเตอร์แนวคิดเกี่ยวกับระบบรักษาความผลอดภัยในระบบคอมพิวเตอร์ แนวคิดเกี่ยวกับการรักษาความปลอดภัยคอมพิวเตอร์ เกิดขึ้นเนื่องจากบุคคลที่มีเจตนาร้ายเข้ามาทำลายข้อมูลภายในระบบคอมพิวเตอร์ ด้วยรูปแบบต่าง ๆ กันไป ไม่ว่าเป็นไวรัส, การโจรกรรม, การก่อกวน, ล่วงความลับ เป็นต้นดังนั้นองค์กรจะต้องเพิ่มขีดความสามารถในการรักษาความปลอดภัยให้กับระบบคอมพิวเตอร์ ผู้ที่มีความสามารถผ่านระบบรักษาความปลอดภัยเข้ามามี 2 ประเภทคือ 1.Hacker ผู้เชี่ยวชาญที่ความรู้ในด้านการถอดรหัส 2.Cracker ผู้เชี่ยวชาญเจาะระบบรักษาความปลอดภัยทำลายข้อมูลโดยผิดกฎหมาย

  4. ภัยคุกคามที่เกิดขึ้นกับระบบรักษาความปลอดภัยคอมพิวเตอร์มี 5 รูปแบบคือ 1.ภัยคุกคามแก่ระบบ ได้แก่ การปรับปรุง,แก้ไข,เปลี่ยนแปลง,หรือลบไฟล์คอมพิวเตอร์ 2.ภัยคุกคามความเป็นส่วนตัว เข้ามาเจาะข้อมูลส่วนบุคคล,การใช้โปรแกรม Spyway 3.ภัยคุกคามต่อทั้งผู้ใช้และระบบ เช่น JavaScript,JavaApplet หรือบังคับให้ผู้ใช้งาน ปิดโปรแกรม Browser ขณะที่ทำงานอยู่ 4.ภัยคุกคามที่ไม่มีเป้าหมาย เพียงสร้างจุดสนใจ , Spam 5.ภัยคุกคามที่สร้างความรำคาญ แอบเปลี่ยนค่าการทำงานของคอมพิวเตอร์

  5. การรักษาความปลอดภัยในองค์กรการรักษาความปลอดภัยในองค์กร บุคคลผู้ไม่ประสงค์ดีต่อองค์กรสามารถแบ่งออกเป็น 2 ประเภทได้แก่ 1.การบุกรุกทางกายภาพ (เข้าถึงระบบได้โดยตรง) การคัดลอกข้อมูล,การขโมย 2.การบุกรุกทางเครือข่ายคอมพิวเตอร์ การปล่อยไวรัส,การเจาะข้อมูล

  6. Access Control Access Control คือ ระบบควบคุมการเข้าใช้งาน เป็นวิธีการป้องกันการโจรกรรมข้อมูลจากผู้ไม่มีสิทธิ์ในการเข้าใช้ระบบ ปัจจุบันแบ่งออกเป็น 5 รูปแบบดังนี้ 1.ชื่อผู้ใช้และรหัสผ่าน (UserName and Password) 2.Possessed Object 3.ใช้อุปกรณ์ Biometric 4.ซอฟต์แวร์ตรวจจับการบุกกรุก 5.ผู้ให้บริการจัดการความปลอดภัย

  7. 1.ชื่อผู้ใช้และรหัสผ่าน (UserName and Password) การกำหนดรหัสผ่านกับรหัสการเข้าใช้โดยซึ่งที่ต้องพิจารณามี 2 อย่างคือเพื่อให้ สามารถรักษาความปลอดภัยได้ดียิ่งขึ้น 1.ต้องมีความยามมากพอสมควรอย่างน้อยขั้นต่ำ 6 อักษร 2.ไม่ควรเป็นชื่อเล่น,วันเกิด,หรือสิ่งที่คาดเดาได้ง่าย

  8. 2.Possessed Object เป็นรูปแบบหนึ่งที่นิยมใช้ในปัจจุบัน การเข้าใช้คอมพิวเตอร์ต้องมีกุญแจในการเข้าใช้ระบบเช่น ATM , Keycard เป็นต้น

  9. 3.ใช้อุปกรณ์ Biometric เป็นอุปกรณ์รักษาความปลอดภัยโดยใช้คุณลักษณะเฉพาะของร่างกายได้แก่ ตา นิ้วมือ,ฝ่ามือเป็นต้น

  10. 4.ซอฟต์แวร์ตรวจจับการบุกกรุก4.ซอฟต์แวร์ตรวจจับการบุกกรุก คอยตรวจสอบการเข้าใช้ทรัพยากรของเครือข่าย แล้วรายงานไปยังผู้ดูแลระบบ รักษาความปลอดภัยการตรวจสอบการ Login การเข้าใช้งาน

  11. 5.ผู้ให้บริการจัดการความปลอดภัย5.ผู้ให้บริการจัดการความปลอดภัย คอยตรวจสอบและดูแลรักษาฮาร์ดแวร์และซอฟต์แวร์ ตลอดจนรักษาความปลอดภัยของเครือข่ายให้เหมาะสมกับองค์กรขนาดเล็ก-ขนาดใหญ่

  12. การป้องกันและจำจัดไวรัสคอมพิวเตอร์การป้องกันและจำจัดไวรัสคอมพิวเตอร์ เนื่องจากมีผู้เจตนาในการลักลอบเข้าสู่ระบบหรือทำรายระบบหรือถูกดังนั้นวิธีการ ในการป้องกันและจำจัดไวรัสทำได้ดังต่อไปนี้ 1.ติดตั้งโปรแกรม Anti virus 2.มั่น Update Virus 3.ตรวจสอบการเข้าใช้งานระบบ 4.ติดตั้งอุปกรณ์ต่าง ๆ ในการรักษาความปลอดภัย

  13. ไฟร์วอลล์ ไฟร์วอลล์ คือ ระบบป้องกันภัยทางเครือข่าย (Network) เพื่อป้องกันผู้ที่ไม่ได้รับ อนุญาตเข้ามาในระบบหรือส่งเพ็คเกจเข้ามาโจรกรรมข้อมูล สอดแนม หรือทำลาย ความมั่นคงในระบบเครือข่ายได้ Internet

  14. การป้องกันข้อมูลจากภาวะล้มเหลวการป้องกันข้อมูลจากภาวะล้มเหลว ระบบล้มเหลว หรือเรียกว่า “ระบบล่ม” สามารถสร้างความเสียหายให้แก่อุปกรณ์และซอฟต์แวร์ คอมพิวเตอร์ได้เป็นอย่างมากสาเหตุหลักเกิดจากปัญหากระแสไฟฟ้าซึ่งมี 3 ลักษณะดังนี้ 1.ไฟกระตุก (Noise) เป็นอาการไฟฟ้าเข้าไม่สม่ำเสมอเนื่องจากมีการใช้อุปกรณ์ไฟฟ้า อื่น ๆอยู่สร้างความรำคาญให้ผู้ใช้ 2.ไฟฟ้าไม่เพียงพอ (Undervoltage) โดยทั่วไปจะสร้างความเสียหายอุปกร์ 3.ไฟฟ้ามากเกินไป (Overvoltage) เกิดจากการที่ไฟฟ้าเข้าสู่เครื่องคอมพิวเตอร์มากเกินไป เช่น ผ่า วิธีการป้องกันเราสามารถใช้ UPS ในการป้องกันได้โดยก่อนใช้ต้องมีการสำรองไฟ ก่อนแล้วจึงทำการติดตั้ง

  15. การสำรองข้อมูล เป็นวิธีการป้องกันข้อมูลสูญหายโดยอาจใช้ CD-RW, Magetic Tape, DVD-Rw ZipDrive อื่น ๆเป็นต้น การสำเนาข้อมูลทำได้ 3 ระดับคือ ได้แก่ 1.Full Backup หรือ Archival Backupเป็นการทำสำเนาโปรแกรมทั้งคอมพิวเตอร์ 2.Differebtial Backup เป็นการสำเนาเฉพาะแฟ้มข้อมูลที่เปลี่ยนแปลงหลังทำ Full Backup 3.Incremental Backup เป็นการทำสำเนาเฉพาะแฟ้มข้อมูลที่เปลี่ยนแปลงหลังจากทำ Incremental Backup

  16. การรักษาความปลอดภัยบนเครือข่ายอินเตอร์เน็ตการรักษาความปลอดภัยบนเครือข่ายอินเตอร์เน็ต การรักษาความปลอดภัยบนอินเตอร์เน็ต ก็คือ การรักษาข้อมูลต่าง ๆ ของผู้ใช้ ที่เข้ามาใช้บนอินเตอร์เน็ต ดังนั้นจึงสามารถนำระบบความปลอดภัยในองค์กรเข้ามาประยุกต์ใช้ได้แต่ต้องมีการเพิ่มระบบรักษาความปลอดภัยบางอย่างเพื่อเพิ่มความมั่นใจ ให้แก่ผู้ใช้งาน เช่น การป้องกันเครื่อง Server จากการถูกโจมตีการเข้ารหัสที่รับ-ส่งบนเครือข่ายเพื่อไม่ให้ผู้อื่นรู้ข้อความที่ส่งติดต่อกัน เป็นต้น

  17. การโจมตีระบบ Server แบบ Distributed Denial Service (DDos) วิธีการ สร้างไฟล์ขยะ โจมตี Denial of Service Send Create ผู้บุกรุก Agen Server Handler สั่งงาน

  18. ความปลอดภัยในการส่งข้อมูลผ่านเครือข่ายอินเทอร์เน็ตความปลอดภัยในการส่งข้อมูลผ่านเครือข่ายอินเทอร์เน็ต วิธีการรักษาความปลอดภัยการส่งข้อมูลเพื่อป้องกันโดยมีการตั้งการเข้ารหัสที่ 40-bit Encryption และ 128-bit Encryption ซึ่งวิธีการเข้ารหัสจะประกอบด้วย 5 ดังนี้ 1.การเข้ารหัส 1.1 One-way Encryption 1.2 Two-way Encryption 1.3 Symmetric Key Encryption 1.4 Asymmetric Key Encryption 2.Secure Socket Layer (SSL) 3.Digital Certificicate หรือ Digital ID 4.Secure Hypertext Transport Protocol (S-HTTP) 5.Secure Electronic Transaction (SET)

  19. 1.การเข้ารหัส 1.1 One-way Encryption นิยมใช้การเข้ารหัสผ่าน (Password) เช่น E-mail Plaintext Encryption Algorithm Ciphertext 1.2Two-way Encryption เข้ารหัสแบบ 2 ทางก่อนอ่านข้อมูล Ciphertext Plaintext Encryption Algorithm Decryption Algorithm

  20. 1.3 Symmetric Key Encryption ใช้กุญแจที่เหมือนกันในการเข้ารหัส Encryption Algorithm Ciphertext Plaintext Secret Key Decryption Algorithm

  21. 1.4 Asymmetric Key Encryption มีกุญแจ Public และ Private Public Key Ciphertext Plaintext Encryption Algorithm Decryption Algorithm Private Key

  22. 2.Secure Socket Layer (SSL) เป็นโปโตคอลสำหรับการเข้ารหัสด้วยกุญแจสาธารณะแก่ข้อมูล คือ 40-bit Encreyption และ 128 –bit Encreyption ซึ่งวิธีการเข้ารหัสคือ 1.ความปลอดภัยของข้อความ (Message Privacy) การเข้ารหัสด้วยกุญแจสาธารณะ ร่วมกันกับการเข้ารหัสด้วยกุญแจลับ 2.ความสมบูรณของข้อความ(Message Integrity) เพื่อไม่ให้ถูกแก้ไขระหว่างการรับส่งข้อมูลของ Client-Server โดยอาศัย “Hash Function” 3.ความน่าเชื่อถือ (Matual Authentication)สามารถตรวจสอบใบรองดิจิตอลของ Server

  23. 3.Digital Certificicate หรือ Digital ID ใบรับรองดิจิตอล

  24. 4.Secure Hypertext Transport Protocol (S-HTTP) เป็นโปโตคอล Http ทำหน้าที่ตรวจสอบสิทธิ์ผู้ใช้ที่มีต่อ Server ซึ่งจะเข้ารหัสการลงลายเซ็นดิจิตอล 5.Secure Electronic Transaction (SET) เป็นโปโตคอลเข้ารหัสด้วยกุญแจสาธารณะ 128-bit ใช้ร่วมกันกับ Protocal มาตรฐานได้ข้อดีการรักษาความปลอดภัยแบบ SET คือ 1. ความปลอดภัยของข้อความ สามารถรับ-ส่งให้เป็นความลับได้โดยการเข้ารหัสด้วยกุญแจ 2.ความสมบูรณ์ของข้อความ สามารถรักษาความถูกต้องด้วยดิจิตอล (Digital Signature) 3.ความน่าเชื่อถือ มีใบรับรอง Digital Certificate และการลง (Digital Signature)

  25. ความปลอดภัยของอีเมล์Securing E-mail Meassage วิธีการป้องกันสามารถการโจรกรรมข้อมูลในจดหมายอิเล็กทรอนิกส์ที่ใช้ใน ปัจจุบันมี 2 วิธี คือ 1.ใช้โปรแกรมเข้ารหัส PGP สามารถ Download ได้ 2.ใช้ Digital Signature หรือ Digital Certificate

  26. สิ่งที่ผู้ใช้ระบบสารสนเทศควรตระหนักสิ่งที่ผู้ใช้ระบบสารสนเทศควรตระหนัก • ภาวะส่วนตัว (privacy) – สิ่งคุกคามภาวะส่วนตัว และการป้องกัน • ความปลอดภัย (security) – การควบคุมการเข้าถึงข้อมูล และการป้องกันความเสียหายของฮาร์ดแวร์และซอฟต์แวร์ • การยศาสตร์ (ergonomics) – ความเสี่ยงทางด้านร่างกายและจิตใจที่เกิดจากเทคโนโลยี และการป้องกัน • สิ่งแวดล้อม (environment) – ผลกระทบของเทคโนโลยีที่มีต่อสิ่งแวดล้อม และการลดผลกระทบเหล่านั้น

  27. โปรแกรมประสงค์ร้าย (malicious program) หรือมัลแวร์ (malware) ไวรัส (Viruses) เวิร์ม (Worms) ม้าโทรจัน (Trojan horse) การโจมตีเพื่อทำให้ปฏิเสธการบริการ (denial of service attack หรือ DoS attack) เล่ห์อุบายในอินเทอร์เน็ต (internet scam) การขโมย (theft) ฮาร์ดแวร์ ซอฟต์แวร์ ข้อมูล เวลา การเปลี่ยนแปลงข้อมูล (data manipulation) รูปแบบของอาชญากรรม

  28. ภัยธรรมชาติ ไฟไหม้ น้ำท่วม พายุ แผ่นดินไหว ฯลฯ การต่อสู้กันของพลเมือง และการก่อการร้าย สงคราม จลาจล กบฏ ก่อการร้าย ความผิดพลาดทางด้านเทคโนโลยี แรงดันไฟกระชาก (voltage surge) เครื่องป้องกันกระแสไฟกระชาก (surge protector) ความผิดพลาดจากมนุษย์ ภัยอื่นๆ

  29. ตารางสรุปฐานความผิดและโทษตามร่างพระราชบัญญัติการกระทำความผิดทางคอมพิวเตอร์ (ร่างรัฐบาล)

  30. ตารางสรุปฐานความผิดและโทษตามร่างพระราชบัญญัติการกระทำความผิดทางคอมพิวเตอร์ (ร่างรัฐบาล)

  31. ตารางสรุปฐานความผิดและโทษตามร่างพระราชบัญญัติการกระทำความผิดทางคอมพิวเตอร์ (ร่างรัฐบาล)

  32. ความปลอดภัยและอาชญากรรมคอมพิวเตอร์ความปลอดภัยและอาชญากรรมคอมพิวเตอร์ • ความปลอดภัยทางคอมพิวเตอร์ การปกป้องเครื่องคอมพิวเตอร์จากอาชญากรคอมพิวเตอร์ ภัยธรรมชาติ และภัยคุกคามอื่น ๆ รวมไปถึงป้องกันไม่ให้ผู้ที่ไม่มีสิทธิ์เข้าถึงข้อมูล • อาชญากรคอมพิวเตอร์ (computer criminal) • พนักงานหรือลูกจ้าง • บุคคลภายนอก • แฮกเกอร์ (hacker) และ แครกเกอร์ (cracker) • องค์กรด้านอาชญากรรม • ผู้ก่อการร้าย

  33. การรักษาความปลอดภัยส่วนบุคคลการรักษาความปลอดภัยส่วนบุคคล ยังไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลทำให้กลายเป็นปัญหาที่จะต้องป้องกัน การละเมิดข้อมูลส่วนบุคคล ดังนั้นวิธีการป้องกันมีดังนี้ • ประวัติบุคคลอิเล็กทรอนิกส์ (Electronic Profile) • Cookies • Spyware • Spam • Employee Monitoring

  34. ประวัติบุคคลอิเล็กทรอนิกส์ (Electronic Profile)

  35. Cookies เป็น File ขยะที่เกิดจาก Web Browser

  36. Spyware • เกิดจากต้องการโฆษณาหรือสร้าง Pop-Up สร้างความรำคาญให้กับผู้ใช้โดยใช้lสามารถใช้โปรแกรม Anti-Spyware เป็นต้น • Spam • อีเมล์ที่ไม่ต้องการส่วนใหญ่เกี่ยวกับการขายสินค้าหรือบริการส่งเสริมการขายและการโฆษณาต่าง ๆ • วิธีป้องกัน • 1.ไม่ฝากอีเมล์ไว้ที่อื่น • 2.ใช้ Filter กรอง เป็นต้น

  37. Employee Monitoring

  38. อีเมล์ที่ผ่านการเข้ารหัสอีเมล์ที่ผ่านการเข้ารหัส มาตรการรักษาความปลอดภัย • การเข้ารหัสลับ • การจำกัดสิทธิ์ในการเข้าถึง • การระวังภัยที่อาจเกิดขึ้น • การสำรองข้อมูล

  39. กฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล • รักษาความปลอดภัยข้อมูลส่วนบุคคลที่อยู่ในความครอบครองหรือในความควบคุมของตน • ต้องเปิดเผยข้อมูลทั่วไปเกี่ยวกับการเก็บรวบรวม การเก็บรักษา และการใช้ข้อมูลส่วนบุคคล • ยอมรับสิทธิในการเข้าถึงและสิทธิในการแก้ไขข้อมูลของเจ้าของข้อมูลส่วนบุคคล

  40. ความปลอดภัยและอาชญากรรมคอมพิวเตอร์ความปลอดภัยและอาชญากรรมคอมพิวเตอร์ • ความปลอดภัยทางคอมพิวเตอร์ การปกป้องเครื่องคอมพิวเตอร์จากอาชญากรคอมพิวเตอร์ ภัยธรรมชาติ และภัยคุกคามอื่น ๆ รวมไปถึงป้องกันไม่ให้ผู้ที่ไม่มีสิทธิ์เข้าถึงข้อมูล • อาชญากรคอมพิวเตอร์ (computer criminal) • พนักงานหรือลูกจ้าง • บุคคลภายนอก • แฮกเกอร์ (hacker) และ แครกเกอร์ (cracker) • องค์กรด้านอาชญากรรม • ผู้ก่อการร้าย

  41. การยศาสตร์ • การยศาสตร์ (ergonomics) ศาสตร์ที่เกี่ยวข้องกับการจัดสภาพในการทำงานเพื่อให้ทำงานอย่างมีประสิทธิภาพ • สุขภาพทางด้านร่างกาย • เมื่อยสายตาและปวดหัว • ปวดหลังหรือปวดคอ • การบาดเจ็บตึงเครียดจากการทำซ้ำๆ (repetitive strain injury : RSI)

  42. การยศาสตร์

  43. การยศาสตร์ • สุขภาพด้านจิตใจ • เสียงรบกวน • การติดตามแบบอิเล็กทรอนิกส์ (electronic monitoring) • ความเครียดจากเทคโนโลยี (techno stress) • ความเครียดที่เกี่ยวข้องกับการใช้คอมพิวเตอร์ • ความเครียดที่เกิดขึ้นเมื่อต้องปรับตัวเข้าหาคอมพิวเตอร์

  44. ปัญหาสุขภาพและวิธีแก้ปัญหาสุขภาพและวิธีแก้

  45. สิ่งแวดล้อม

  46. การคำนึงถึงสิ่งแวดล้อมการคำนึงถึงสิ่งแวดล้อม • การประหยัดพลังงาน • การรีไซเคิล • การศึกษาความรู้เพิ่มเติม

  47. สรุปท้ายบทที่ 13 การสร้างความปลอดภัยในปัจจุบันมี 3 ลักษณะคือ การรักษาความปลอดภัย คอมพิวเตอร์ในองค์กร บนเครือข่ายอินเตอร์เน็ต และข้อมูลส่วนบุคคล การรักษาความ ปลอดภัย 3 ลักษณะนี้มีจุดประสงค์ที่เหมือนกันคือ ป้องกันการบุกรุกและป้องกันข้อมูล ที่เก็บรักษาไว้ ซึ่งรูปแบบของการบุกรุกและก่อความเสียหายนั้นมีหลายรูปแบบ ไม่ว่า จะเป็นการใช้ไวรัสคอมพิวเตอร์ การเจาะระบบ หรือการโจรกรรมข้อมูล ซึ่งล้วนแล้วแต่ สร้างความเสียแก่ผู้ใช้และระบบสารสนเทศได้

More Related