1 / 35

ETWORK MANAGEMENT A D SECURITY DEZIGN

ETWORK MANAGEMENT A D SECURITY DEZIGN. N. บทที่ 8 การบริหารเครือข่าย และการออกแบบระบบรักษาความปลอดภัย.

audrey-murphy
Download Presentation

ETWORK MANAGEMENT A D SECURITY DEZIGN

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ETWORK MANAGEMENT A D SECURITY DEZIGN N

  2. บทที่ 8 การบริหารเครือข่ายและการออกแบบระบบรักษาความปลอดภัย การออกแบบระบบรักษาความปลอดภัยและการบริหารระบบเครือข่ายนั้น จะเกี่ยวข้องกับมนุษย์เป็นส่วนใหญ่ เนื่องจากความปลอดภัยของระบบเครือข่ายไม่เป็นระบบอัตโนมัติ จะต้องอาศัยมนุษย์เป็นผู้ตรวจสอบ และออกแบบมาตรการการรักษาความปลอดภัย และในทางตรงกันข้ามมนุษย์ก็เป็นผู้หยุดระบบรักษาความปลอดภัยได้ด้วย โดยสังเกตในกรณีที่มีการเจาะระบบรักษาความปลอดภัย หรือกรณีที่เกิดความเสียหายขึ้นในระบบ หรือข้อมูลขององค์กรรั่วไหลไปยังผู้อื่น เหตุการณ์เหล่านี้ล้วนแต่เป็นฝีมือของมนุษย์ทั้งสิ้น ดังนั้น จึงควรตระหนักถึงทรัพยากรมนุษย์ซึ่งถือเป็นสิ่งสำคัญมากที่สุด

  3. 8.1 การออกแบบระบบโดยรวมและการบริหารระบบเครือข่าย8.1 การออกแบบระบบโดยรวมและการบริหารระบบเครือข่าย ผู้ดูแลระบบขององค์กรจะเป็นที่มีบทบาทสำคัญในการออกแบบระบบรักษาความปลอดภัยดังกล่าวเป็นอย่างมาก ผู้ดูแลระบบต้องประสานงานระหว่างผู้ที่ใช้งานทั่วไปซึ่งมักประสบปัญหาในการใช้งานระบบเครือข่าย รวมถึงปัญหาการรักษาความปลอดภัยด้วย และประสานงานกับผู้บังคับบัญชาซึ่งทราบแต่เพียงว่าจะมีประโยชน์อะไรบ้าง หรือ ต้องลงทุนเท่าใด ซึ่งการจะออกแบบระบบโดยรวมทั้งหมด จะต้องมีการวิเคราะห์สิ่งต่างๆดังนี้ (Russell& Gangemi , 1991)

  4. 8.1.1 วิเคราะห์งบประมาณและความเสี่ยง ความปลอดภัยของระบบคอมพิวเตอร์และเครือข่ายเป็นเรื่องของการใช้งบประมาณเพื่อรักษาดุล คือจะต้องวิเคราะห์ถึงความคุ้มค่าในการลงทุนด้วย ดังตัวอย่างดังตารางที่ 8.1 ตารางที่ 8.1 แสดงความเสียหายที่เกิดขึ้นต่อปีจากการบุกรุกเข้ามาใน Network

  5. ตารางที่ 8.2 แสดงการเปรียบเทียบการลงทุนเพื่อรักษาความปลอดภัยของเครือข่ายระยะ 5 ปี จากตาราง 8.1 และ 8.2 แสดงตัวอย่างการวิเคราะห์พบว่าการลงทุนในการซื้อระบบ Hardware และ Software มาใช้ในองค์กรไม่คุ้มค่า

  6. เทคนิคในการวิเคราะห์ระบบ (Techniques for Risk Assessment and Analysis) 1. การตรวจสอบระบบเบื้องต้น (IdentifyAssets) สิ่งต่างๆในระบบคอมพิวเตอร์ทั่งไปที่ต้องตรวจสอบ มีดังตารางที่8.3

  7. ตารางที่ 8.3 แสดงสิ่งต่างๆในระบบคอมพิวเตอร์ทั่งไปที่ต้องตรวจสอบ

  8. ตารางที่ 8.3 แสดงสิ่งต่างๆในระบบคอมพิวเตอร์ทั่งไปที่ต้องตรวจสอบ (ต่อ)

  9. 2. การสำรวจหาจุดอ่อนของสิ่งต่างๆในระบบ (Identify Vulnerabilities) หลังจากสำรวจเบื้องต้นแล้ว ขั้นตอนต่อไปคือสำรวจดูสิ่งที่เป็นอันตรายจากภัยคุกคามต่างๆโดยจะต้องตอบคำถามต่อไปนี้ได้คือ 2.1 ผลของความเสียหายที่อาจเกิดจากความไม่ตั้งใจของผู้ใช้ (Unintentional Errors) 2.2 ผลของความเสียหายที่อาจเกิดจากผู้ไม่ประสงค์ดีที่อยู่ในระบบแล้ว (Malicious Insiders) 2.3 ผลของความเสียหายที่อาจเกิดจากผู้ไม่ประสงค์ดีที่แอบเข้ามาในระบบแล้ว (Malicious Outsiders) 2.4 ผลของความเสียหายที่อาจเกิดจากภัยทางธรรมชาติ เช่น ไฟไหม้ น้ำท่วม เป็นต้น

  10. ตารางที่8.4แสดงการสำรวจปัจจัยที่เสี่ยงต่อภัยคุมคามตารางที่8.4แสดงการสำรวจปัจจัยที่เสี่ยงต่อภัยคุมคาม

  11. ตารางที่8.4แสดงการสำรวจปัจจัยที่เสี่ยงต่อภัยคุมคาม (ต่อ)

  12. ทั้งนี้การวิเคราะห์ต้องสามารถตอบคำถามต่อไปนี้ได้คือทั้งนี้การวิเคราะห์ต้องสามารถตอบคำถามต่อไปนี้ได้คือ 1.มีสารสนเทศใดที่องค์กรใช้อยู่และมีความสำคัญเท่าใด สารสนเทศจะแบ่งได้เป็นหลายชนิดด้วยกัน ขึ้นอยู่กับความสำคัญด้วย เช่น ข้อมูลระดับประเทศ ข้อมูลทางการทหาร ข้อมูลด้านธุรกิจ เป็นต้น 2.สารสนเทศมีจุดอ่อนหรือจุดรั่วไหลจากทางใดได้บ้าง เอกสารมีความสำคัญต่างๆ กัน บางชนิดสำคัญมากสำหรับองค์กร แต่ไม่มีความสำคัญกับบุคคลใดบุคคลหนึ่งเลยก็ได้ ในบางครั้งการให้ความสำคัญกับสารสนเทศขอตนเองมากเกินไปอาจเป็นการจุดประกายให้เหล่าผู้ไม่ประสงค์ดีกับองค์กรต้องการขโมยสารสนเทศนี้ได้

  13. 3.สารสนเทศนั้นมีความสำคัญอย่างไรเมื่อสูญหายหรือเมื่อมีการป้องกัน สารสนเทศบางอย่างไม่สามารถจะสูญหายหรือถูกขโมยได้ ซึ่งเป็นสารสนเทศที่สำคัญเป็นอย่างมาก เช่น ข้อมูลทางบัตรเอทีเอ็มของบุคคลใดบุคคลหนึ่ง ข้อมูลสำคัญทางด้านการทหาร เป็นต้น ดังนั้น จึงควรดูว่าประเภทของสารสนเทศในองค์กรตนมีความสำคัญเพียงใด การปล่อยให้สูญหายหรือถูกขโมยมีผลต่อองค์กรมากหรือไม่ 4.อะไรคือค่าใช้จ่ายในการลงทุนด้านการรักษาความปลอดภัยของสารสนเทศ ค่าใช้จ่ายในด้านการรักษาความปลอดภัยได้แก่ การสำรองข้อมูล การป้องกันภัยจากไฟไหม้แผ่นดินไหว น้ำท่วม ความผิดพลาดที่เกิดจากการใช้งานของผู้ใช้ นอกจากนี้ยังต้องคำนึงถึงความสะดวกรวดเร็วในการใช้งานด้วย

  14. 8.1.2 การวางแผนป้องกันภัยอันเกิดจากธรรมชาติ การวางแผนป้องกันภัยอันเกิดจากธรรมชาติ (DISATER RECOVERY PLANNING : DRP) หากพูดกันในเชิงธุรกิจอาจใช้คำว่า (BUSINESS CONTINUITY PLANNING: BCP) ซึ่งเรื่องของ BCP และ DRP นับวันจะยิ่งมีความสำคัญมากขึ้นเรื่อยๆ จากเดิมที่เคยอยู่ในวงการธนาคารหรือวงการไฟแนนท์พวกเงินทุนหลักทรัพย์ต่างๆ ตลอดจนศูนย์คอมพิวเตอร์ของค์กรต่างๆ ปัจจุบันกลายเป็นเรื่องที่ทุกองค์กรที่มีไฟล์เซิร์ฟเวอร์ แอพพลิเคชั่นเซิร์ฟเวอร์ หรือ ดาต้าเบสเซิร์ฟเวอร์ ต้องให้ความสำคัญกับเรื่องนี้

  15. เนื่องจากธุรกิจ หรือธุรกรรมต่างๆ ต้องพึ่งกาอาศัยเทคโนโลยีสารสนเทศแทบทั้งสิ้น ข้อมูลทุกอย่างล้วนถูก Digitized เก็บ เป็นรูปแบบลักษณะเชิงเลข Binary ที่มีแต่ 0 กับ 1 ในอนาคตเราต้องฝากความหวังไว้กับ High-End Storage และระบบ Clustered Server ที่ค่อนข้างจะเชื่อถือได้ และมี Availability ให้กับเราเสมอ แต่ในความเป็นจริงแล้ว ไม่มีระบบใด ไม่มีการล้ม หรือหยุดทำงาน เนื่องจากทุกวันนี้ ต้องยอมรับว่ามีภัย (Threat) ทั้งภายใน และภายนอก ที่จะทำให้ระบบของเราต้องหยุดทำงาน ส่วน BCP คือแผนที่จะทำให้ธุรกิจดำเนินต่อไปได้แม้อยู่ในสถานการณ์คับขัน ขั้นตอนแรกของ BCP หรือ DRP ก็คือ เราต้องประเมินความเสี่ยง ให้กับระบบบของเรา โดยสำรวจที่มาของ Threat ต่างๆ ทั้งภายในและภายนอก แล้วแบ่งแยกเป็น Primary Threat และ Secondary Threat จากนั้นต้องหาวิธีที่จะทำอย่างไร ที่จะลดความเสี่ยงให้น้อยที่สุดเท่าที่จะทำได้

  16. การประเมินผลกระทบกับธุรกิจหากมี DISASTER เกิดขึ้น (BUSINESS IMPACT ASESSMENT : BIA ) คือการเตรียมแผนเพื่อรับสถานการณ์ภัยธรรมชาติ และป้องกัน มิให้มีผลกระทบกับองค์กร ความแตกต่างจาก NON-DISASTER กล่าวคือ NON-DISASTER เป็นการที่ระบบหยุดทำงาน เนื่องจาก ความผิดพลาดบางประการของระบบเองโดยมีผลกระทบกับระบบบางส่วนเราต้องมีการเตรียมการรับเหตุการณ์ เพื่อให้ระบบของเราสามารถหยุดทำงานต่อไปได้โดยไม่สะดุด แต่ DISATER ตัวอย่างเช่น ไฟไหม้ หรือน้ำท่วม นั้นทำให้ระบบของเรา หยุดทำงานไปทั้งระบบ และ เป็นระยะเวลานานซึ่งอาจต้องใช้ OPERATION PROCESSING FACILTY สำรอง แทนระบบจริงที่ยังไม่สามารถใช้งานได้ ซึ่งขึ้นกับงบประมาณ และลักษณะองค์กรว่าจะเลือกใช้วิธีไหน

  17. DISATER PECOVERY PLANNING เป็นการวางแผนที่จะต้องเตรียมไว้ในการกู้ระบบในกรณีที่ระบบล่ม (System Down) โดยรายละเอียดจะกล่าวถึง Emergency Response Procedure, Extended Backup Operation, Restoring Coomputing Faclities นอกจากเรื่องของ Hot Site/Cold Site แล้วควรศึกษาอีก 3 เรื่อง ได้แก่ Electronic Vaulting , Mirror Processing และ HSM ซึ่งก็เป็นทางเลือกในการ Backup ระบบเช่นกัน สำหรับความเสียหายอาจเกิดได้จากสาเหตุต่อไปนี้

  18. 8.1.2.1 ความเสียหารจากบุคลไม่ประสงค์ดี ได้แก่ - การทำลายระบบ - การเข้ามาใช้โดยไม่ได้รับอนุญาต 8.1.2.2 ภัยธรรมชาติ ได้แก่ - น้ำท่วม - ไฟไหม้

  19. 8.1.2.3 ภัยจากระบบไฟฟ้าเสียหาย(Power Losses) เกิดจากระบบส่งไฟฟ้า เช่น ไฟเกิน ไฟกระชาก ไฟตก เป็นต้น สามารถป้องกันได้โดย ใช้อุปกรณ์สำรองไฟ (Uninterrupt Power Supplies : UPS) ซึ่งสามารถสำรองไฟได้ในระยะเวลาหนึ่ง อย่างน้อย 10 – 15 นาที นานเพียงพอที่จะปิดเครื่อง หรือบันทึกข้อมูลได้ทันเวลา และจะทำงานเป็นอัตโนมัติเมื่อไฟฟ้าดับ หรือไฟฟ้าจ่ายกระแสไม่เต็มที่ เช่น ไฟตก หรือไฟฟ้าจ่ายกระแสเกิน หรือ ไฟฟ้ากระชาก ซึ่งอุปกรณ์ดังกล่าวจะช่วยปรับแรงดันไฟให้เป็นอัตโนมัติขึ้นด้วย ใช้ Surge Suppressor หรือ Stabilizer มีหน้าที่ป้องกันความเสียหายจากระบบการจ่ายกำลังที่ไม่สม่ำเสมอ เช่น ไฟกระชาก ไฟตก ไฟเกิน ซึ่งจะปรับแรงดันไฟฟ้าให้คงที่ตลอดเวลา แต่ข้อจำกัดของอุปกรณ์ดังกล่าวคือ ไม่สำรองไฟฟ้าเมื่อไฟฟ้าดับ จะทำให้หยุดการทำงานลงได้

  20. 8.1.2.4 ภัยจากความร้อน (Heat) ซึ่งอาจป้องกันได้โดยใช้ระบบทำความเย็น (Air Conditioning)เข้าช่วย 8.1.2.5 ภัยจากการทำลายข้อมูลความลับที่หละหลวม (Disposal of Sensitive Media) เช่น ระบบการทำลายเอกสารลับที่พิมพ์จากระบบคอมพิวเตอร์ หรือข้อสอบต่างๆซึ่งสังเกตจากหน่วยงานทางราชการส่วนใหญ่จะใช้วิธีการชั่งกิโลขาย หรือขายให้ร้านรับซื้อเศษกระดาษ ซึ่งเป็นอีกสาเหตุหนึ่งทำให้ความลับรั่วไหลได้ หรือผู้ไม่ประสงค์ดีสามารถนำข้อมูลมาปะติดปะต่อให้ความลัยกลับคืนมาได้ เช่น ข้อมูล User Name และ Password เป็นต้น

  21. 8.1.3 การวางแผนเพื่อรักษาความปลอดภัยของระบบ เมื่อวิเคราะห์ความเสี่ยงแล้วสิ่งต่อไปคือ การวางแผนเพื่อรักษาความปลอดภัยของระบบ (Security Planning) โดยการวางแผนนั้นจะต้องคำนึงถึงสิ่งต่อไปนี้

  22. 1. นโยบาย (Policy) ต้องมุ่งเน้นที่จุดหมาย นโยบายที่ดีควรประกอบด้วย •  ใครเป็นผู้ปฏิบัติ (Who) •  ใช้กับส่วนใดบ้างภายในระบบ (To what Resources) •  วิธีการทำมีอย่างไร (How) • 2. สถานภาพของระบบรักษาความปลอดภัยในปัจจุบัน (Current State) ต้องลำดับความสำคัญว่าอันใดควรมาก่อนหรือหลัง ดังนี้ •  ความต้องการในการใช้ข้อมูลที่ปลอดภัยและคำแนะนำจากส่วนต่างๆที่ใช้งานภายในระบบ (Recommendations and Requirments) •  การแจกงานไปสู่ผู้ที่รับผิดชอบ (Accountibility) •  ตารางเวลา (Timetable) ต้องกำหนดว่าส่วนใดของระบบจะปรับปรุงอะไรบ้าง ณ เวลาใด •  การให้ความสนใจในการปฏิบัติอย่างต่อเนื่อง (Continuing Attention)

  23. 3. การจัดระดับการรักษาความปลอดภัย การจัดระดับการรักษาความปลอดภัยของระบบทำได้โดยแบ่งระดับความปลอดภัยออกเป็น 4 ระดับ คือ 3.1 Secutity Level 1 (SL1): เป็นระดับที่ไม่มีการปกป้องความปลอดภัยของข้อมูลใดๆให้แก่ข้อมูลทางด้านธุรกิจ 3.2 Security Level 2 (SL2): เป็นระดับการรักษาความปลอดภัยต่อการคุกคามข้อมูลทางด้านธุรกิจทั่วๆไป ซึ่งอาจก่อให้เกิดความเสียหายเป็นระยะสั้นๆเท่านั้น 3.3 Security Level 3 (SL3): เป็นระดับการป้องกันความปลอดภัยของข้อมูลทางด้านธุรกิจที่ต้องการความปลอดภัยสูงและอาจก่อให้เกิดความเสียหายต่อการดำเนินงานทางธุรกิจได้ 3.4 Security Level 4 (SL4): เป็นระดับการรักษาความปลอดภัยของข้อมูลที่สำคัญมากที่สุดและเป็นความลับในทางธุรกิจ ซึ่งหากเกิดการรั่วไหลแล้วอาจเกิดความเสียหายอย่างมหาศาล

  24. สิ่งที่ต้องปฏิบัติเป็นประจำสำหรับผู้ดูแลระบบสิ่งที่ต้องปฏิบัติเป็นประจำสำหรับผู้ดูแลระบบ • 1. การทำสำรองข้อมูล • หลักในการสำรองข้อมูลมีดังนี้ • จงเข้ารหัสข้อมูลที่สำรองไว้หากข้อมูลนั้นเป็นข้อมูลที่สำคัญต่อองค์กร •  เก็บข้อมูลที่ทำการสำรองไว้ยังที่ที่ปลอดภัยที่สุด •  ตรวจสอบวงรอบหรือครั้งที่สำรองข้อมูล ว่าเป็นข้อมูลที่เป็นปัจจุบันที่สุดหรือไม่ • ก่อนที่จะเลิกใช้สื่อเก็บข้อมูล เช่น เทป หรือ ดิสก์ หรือนำสื่อเหล่านี้ไปทิ้ง ควรลบข้อมูลทั้งหมดออกเสียก่อน • จัดซอฟต์แวร์สำรองข้อมูลอัตโนมัติที่ติดตั้งบนเครื่องเซิร์ฟเวอร์

  25. 2. การทดสอบระบบรักษาความปลอดภัย คือ การตรวจสอบระบบรักษาความปลอดภัยในองค์กร หรือหาปัญหาที่ก่อให้เกิดความไม่ปลอดภัยขึ้นในองค์กร หรือกรณีที่มีระบบรักษาความปลอดภัยอยู่ ระบบดังกล่าวมีจุดโหว่ (Vulnerabilities) หรือไม่ ซึ่งสามารถตรวจสอบหัวข้อต่างๆดังต่อไปนี้ • มีชื่อบัญชีผู้ใช้ใดที่สามารถเข้าสู่ระบบได้โดยไม่ต้องใส่ Password • มีชื่อบัญชีผู้ใช้ที่ง่ายต่อการเดา Password หรือไม่ • มีชื่อบัญชีชนิดที่ให้เป็นกลุ่ม (Group accounts) และสามารถเข้าสู่ระบบได้หลายคนโดยไม่สามารถระบุว่าใครเป็นคนเข้าใช้งานหรือไม่

  26. มีชื่อบัญชีที่ไม่ได้ใช้งานเป็นเวลานานหรือเจ้าของออกไปจากองค์กรแล้วหรือไม่ มีชื่อบัญชีที่ไม่ได้ใช้งานเป็นเวลานานหรือเจ้าของออกไปจากองค์กรแล้วหรือไม่ • มีชื่อบัญชีที่ใหม่และไม่รู้จักหรือไม่ • มีชื่อไฟล์ที่ไม่ระบุเจ้าของหรือไม่ • การเปลี่ยนแปลงรูปแบบการป้องกันไฟล์ • การที่ชื่อผู้ใช้งานบางชื่อมีพฤติกรรมการใช้งานที่ผิดปกติ

  27. กรอบการบริหารระบบรักษาความปลอดภัยของสารสนเทศกรอบการบริหารระบบรักษาความปลอดภัยของสารสนเทศ คือ แผนการและขั้น่ตอนการบริหาระบบรักษาความปลอดภัยของสารสนเทศ ประกอบด้วย 7 ขั้นตอน คือ 7. Managed Security Services (MSS) / Real-timeMonitoring using IDS/IPSPenetration Testing 1.RiskManagement/Vulnerability Assessement/ Penetration Testing 2.CriticalHardening/Patchiing/Fixing 6. Internal/External Audit 3.PracticalSecurity Policy 5. Security Awareness/Technical/Know-how Transfer Training 4. Defense In-Depth/Best Practices Implementation

  28. ขั้นตอนที่ 1 Risk Management / Vulnerability Assessment / Penetration Testing การวิเคราะห์และประเมินความเสี่ยงของระบบสารสนเทศที่ใช้งานอยู่ (Risk Assessment and Risk Analysis) ถือ เป็นขั้นตอนแรกที่ต้องปฎิบัติ เริ่มจากการทำ Inventory ของระบบ, การทำ Revised Network Diagram ทั้ง Logical และ Physical Diagram ตลอดจนดู ขั้นตอนในการปฏิบัติงานของพนักงาน และช่องทางเข้าออกของระบบทั้งด้ายกายภาพและทางเครือข่าย LAN และ WAN ที่เชื่อมต่อกับระบบ อินเตอร์เน็ต ขั้นตอนนี้จะมีการทดสอบเจาะระบบดูช่องโหว่ว่าระบบมีช่องโหว่ให้ผู้บุกรุกเข้ามาโจมตีหรือไม่ จากนั้น ควรลองเจาะระบบเพื่อนำเอาข้อมูลหรือ username/password ของระบบออกมาเพื่อดูความแข็งแกร่งในการป้องกันตนเองของระบบด้วย จากนั้นจะได้รายงานสรุป ที่ทำให้รู้ถึงจุดอ่อนของระบบ ตลอดจนวิธีการที่จะทำให้ระบบปลอดภัยต่อไป

  29. ขั้นตอนที่ 2 Critical Hardening / Patching / Fixing หลังจากที่ได้ประเมินความเสี่ยงในขั้นตอนที่หนึ่งไปนั้นแล้ว พบว่ามีช่องโหว่ที่จัดอยู่ในระบบ Critical คือ สามารถก่อความเสียหายให้กับองค์กร จึงต้องทำการปิดช่องโหว่เหล่านั้น โดยการ Hardening ระบบของ หมายถึงการปิด Port ต่างๆ ที่ไม่จำเป็นต้องใช้, การติดตั้ง Firewall เพิ่มเติม หรือ การแก้ Rules ที่ Firewall ให้ถูกต้องตลอดจนการติดตั้ง Patch หรือ Hotfix เพื่อแก้ปัญหาช่องโหว่ต่างๆ ที่สามารถ download patch ได้จาก Web site ของผู้ผลิต

  30. ขั้นตอนที่ 3 Practical Security Policy ขณะที่จัดการกับระบบในขั้นตอนที่ 2 ซึ่งต้องใช้เวลาพอสมควร สามารถทำงานขนานกับขั้นตอนที่ 2 ได้ โดยการจัดทำ Practical information Security Policy ให้กับองค์กร โดยนำหลักการนโยบายด้าน INFOSEC มาจากหลายๆ หน่วยงาน เช่น ISO17799, CBK (Common Body of Knowledge) ของ ISC2 ตลอดจน CobiT ของ ISACA และ SANS/FBI Top 20 ของสถาบัน SANS ร่วมกับ FBI มาใช้ในการทำ “Practical Security Policy” หมายถึง การนำมาประยุกต์ใช้ให้ตรงกับความต้องการขององค์กร ซึ่ง Policy ต้องมีการปรับแต่ง แก้ไขให้เหมาะสมกับองค์กรด้วย

  31. ขั้นตอนที่ 4 Defense In-Depth / Best Practices Implementation คำว่า “Defense In-Depth” หมายถึง การจัดการกับระบบความปลอดภัยข้อมูลขององค์กรอย่างละเอียดรอบคอบ โดยพิจารณาตั้งแต่ Border Router ที่เชื่อมต่อ อินเตอร์เน็ต จาก ISP ผ่านมาที่ Firewall หลักขององค์กร ตลอดจนการติดตั้ง ISD หรือ IPS (Intrusion Prevention System) และ การจัดการภายใน LAN ของระบบ การแก้ปัญหาภายใน LAN ที่อุปกรณ์เครือข่าย เช่น Core Switching/Core Router ตลอดจน Server ต่างๆ ที่อยู่ใน LAN ซึ่งถือว่าเป็นภายในแต่ยังไม่ปลอดภัยจาก Virus ต่างๆ ในเวลานี้ที่จะโจมตีเครือข่าย LAN ภายในมากขึ้น

  32. ขั้นตอนที่ 5 Security Awareness / Technical / Know-how Transfer Training ขั้นตอนนี้เป็นขั้นตอนที่หลายๆ คนมองข้าม และ ไม่ค่อยให้ความสนใจ แต่ในทางปฎิบัตินั้น ถือเป็นเรื่องสำคัญที่ต้องทำ และกระทำอย่างต่อเนื่องทุกปีในองค์กร ได้แก่การจัดฝึกอบรมให้บุคลากรในองค์กรมีความเข้าใจที่ถูกต้องกับปัญหาเรื่องความปลอดภัยข้อมูลคอมพิวเตอร์ การฝึกอบรมควรเริ่มจาก กลุ่มผู้บริหารระดับสูง และ กลุ่ม ผู้บริหารระดับกลางก่อน แล้วตามด้วย กลุ่มผู้ดูแลระบบ และกลุ่มผู้รับผิดชอบเรื่อง Information Security โดยตรง, กลุ่ม Internal Audit ตลอดจน กลุ่มผู้ใช้คอมพิวเตอร์ทั่วไป เพื่อจะได้ไม่หลงเป็นเหยื่อพวกไวรัส หรือ โปรแกรมที่เข้ามาทำลายระบบต่างๆ ที่มักจะมากับอีเมล์ Attachment และ จากการเข้าชม Web site ที่ไม่เหมาะสม

  33. ขั้นตอนที่ 6 Internal/External Audit หลังจากที่ได้ปฏิบัติตามขั้นตอนที่ 1 จนถึงขั้นตอนที่ 5 แล้ว ควรทำกรตรวจสอบ(Audit) ระบบอีกครั้งหนึ่งว่า ผลจากการ Assessment ในขั้นตอนที่ 1 เปรียบเทียบกับผลการ Re-Assessment ระบบในขั้นตอนที่ 6 นั้นมีความแตกต่างกันอย่างไร ซึ่งผลที่ได้ ช่องโหว่ควรจะลดลงอยู่ในระดับที่พอใจและเชื่อใจระบบได้ สามารถตรวจสอบดดยทีม Internal Audit ขององค์กรเอง หรือใช้บริการ External Audit Service ที่มีความเชี่ยวชาญด้าน Information Security มาตรวจสอบให้ก็ได้

  34. ขั้นตอนที่ 7 Managed Security Services (MSS) / Real time Monitoring using IDS/IPS จากที่กล่าวมาในตอนต้น หลักจากขั้นตอนที่ 1 และ 6 เรียบร้อยแล้ว เนื่องจากระบบนั้นสามารถเกิดช่องโหว่ใหม่ได้ตลอดเวลา ดังนั้นองค์กรสามารถจัดการกับปัญหาด้านระบบความปลอดภัยได้สองรูปแบบคือ รูปแบบแรกใช้วิธีการจ้างบริษัทที่เกี่ยวข้องกับการรักษาความปลอดภัย(Outsourcing)มาดูแล ซึ่งเรียกว่า Managed Security Service Provider(MSSP) ดังนั้น ขั้นตอนที่จำเป็นคือ วีการที่จะคัดเลือก MSSP ที่เหมาะสมมาดูแลระบบให้ และพิจารณา Service Level Agreement (SLA) ว่าจะให้ดูแลในระดับใด และการดูแลระบบนั้นควรมีการดูแลลักษณะ Real time Monitoring 24x7 อย่างต่อเนื่อง และต้องใช้บุคลากรที่มีความชำนาญผลัดเปลี่ยนการดูแลตลอด 24 ชั่วโมง

  35. รูปแบบที่สอง ในกรณีที่องค์กรมีงบประมาณจำกัดไม่สามารถจ้างบริษัทภายนอกมาดูแลได้ ก็สามารถตรวจสอบดูแลด้วยตนเองได้ ซึ่งอาจอาศัยเครื่องมือที่ช่วยในเรื่องการเฝ้าระวัง (Monitor) เช่น IDS IPS ซึ่งมีทั้ง ฮาร์ดแวร์ และ ซอฟต์แวร์ แต่ผู้ดูแลระบบจะต้องมีภาระเพิ่มมากขึ้น ในการตรวจสอบดูการทำงานของอุปกรณ์ดังกล่าว รวมถึงการอัพเดตอุปกรณ์ดังกล่าวไม่ว่าจะเป็น ฮาร์ดแวร์ หรือ ซอฟต์แวร์ให้สามารถใช้งานได้เป็นปกติและมีประสิทธิภาพคู่กันไปด้วย สรุป สรุปได้ว่าก่อนที่เราจะป้องกันระบบได้อย่างมีประสิทธิภาพนั้น จำเป็นต้องทราบจุดอ่อนของระบบก่อนว่าอยู่ที่ได วิธีที่ใช้ในการตรวจสอบหาจุดอ่อนได้อธิบายไว้ในบทนี้ และการจัดการการรักษาความปลอดภัยอย่างมีประสิทธิภาพโดยใช้ทรัพยากรที่มีอยู่จำกัดนั้น สามารถใช้วิธีวิเคราะห์ความเสี่ยง (Risk Analysis) เข้าช่วยได้

More Related