การดูแลคอมพิวเตอร์

การควบคุม และรักษาความปลอดภัยให้กับระบบข้อมูลข่าวสาร

　
1.การใช้วิธีการเข้ารหัสของข้อมูล (Encryption Techniques) • การใช้เทคนิคนี้เป็นวิธีที่ดีมากที่สุดวิธีหนึ่งในการควบคุมการเปิดเผยข้อมูลที่เป็นความลับให้แก่บุคคลที่ต้องการได้ (Confidentiality)

　
2.การควบคุมรักษาความปลอดภัยโดยใช้ซอฟต์แวร์ (Software Controls) •ระบบการควบคุมความปลอดภัยของซอฟต์แวร์ และส่วนอื่นๆ ที่ เกี่ยวกับการทางานของซอฟต์แวร์ สามารถป้องกันการโจมตีจากระบบภายนอกได้ วิธีการที่ใช้มีอยู่ 3 วิธี คือ - การควบคุมจากระบบภายในของซอฟต์แวร์ ( Internal Program Controls) คือการที่โปรแกรมส่วนย่อยๆ ที่เป็นส่วนประกอบของตัวซอฟต์แวร์ได้มีการควบคุมสิทธิการเข้าถึง และสิทธิในการใช้ข้อมูลภายในระบบ ซึ่งอาจจะถูกเก็บไว้ในระบบฐานข้อมูลในระบบ

- การควบคุมความปลอดภัยโดยระบบปฏิบัติการ (Operating System Controls) คือการควบคุมสิทธิการเข้าถึงและการใช้ข้อมูลในส่วนต่างๆ ภายในระบบคอมพิวเตอร์ - การควบคุมตั้งแต่การออกแบบและสร้างซอฟต์แวร์ (Development Controls) ระบบการรักษาความปลอดภัยและระบบการทางานของซอฟต์แวร์จะต้องได้รับการสร้างและทดสอบอย่างถูกหลักวิธีการของ วิศวกรรมซอฟต์แวร์ (Software Engineering)

　
3.การควบคุมความปลอดภัยของระบบโดยใช้ฮาร์ดแวร์ (Hardware Controls) - เทคโนโลยีทางด้านการฮาร์ดแวร์ สามารถนามาใช้ในการควบคุมการเข้าถึงระบบได้อย่างดี เช่น การใช้สมาร์ตการ์ดในการควบคุมการใช้ การใช้กุญแจล๊อคเพื่อป้องกันการใช้โดยไม่ได้รับอนุญาต หรือแม้กระทั่งใช้วงจรเฉพาะกิจเชื่อมต่อกับหน่วยความจา , Hard Disk เพื่อตรวจสอบ ป้องกัน และจากัดเวลาในการใช้

　
4.การใช้นโยบายในการควบคุม (Policies) •นโยบายของหน่วยงานมีผลอย่างยิ่งในการรักษา ความปลอดภัย ของข้อมูล •หน่วยงานจะต้องกาหนดให้แน่นอนว่า ผู้ใช้ผู้ใดสามารถเข้าถึงข้อมูลส่วนใดได้ รวมทั้งต้องกาหนดว่าผู้ใดมีสิทธิที่จะเปลี่ยนแปลงแก้ไขข้อมูล •จะต้องกาหนดแผนในการป้องกัน และแผนในการกู้ภัยที่อาจเกิดขึ้นได้

　
5.การป้องกันทางกายภาพ (Physical Controls) ตัวอย่างเช่น •การล็อคห้องคอมพิวเตอร์ อย่างแน่นหนาเมื่อไม่มีการใช้งาน •การใช้ยามเฝ้า •การใช้ Back-Up Disks สาหรับการทาข้อมูลสารองอย่างสม่าเสมอและไม่เก็บไว้ในที่เดียวกัน กับระบบคอมพิวเตอร์ (Off-Site Storage)

จุดประสงค์ของระบบการรักษาความปลอดภัย

　
1.เพื่อรักษาความลับของข้อมูล (Confidentiality) •การรักษาความลับของข้อมูล หมายถึง การปกป้องข้อมูลไม่ไห้ถูกเปิดเผยต่อบุคคลที่ไม่ได้รับอนุญาตอย่างถูกต้อง และหากมีการขโมยข้อมูลไปแล้ว ก็ไม่สามารถอ่านหรือทาความเข้าใจข้อมูลได้เนื่องจากมีวิธีปกป้องความปลอดภัยของข้อมูลอย่างเพียงพอ

　
2.เพื่อป้องกันการปลอมแปลงข้อมูล (Integrity) •คือ การรักษาความถูกต้องของข้อมูล และป้องกันไม่ให้มีการเปลี่ยนแปลงแก้ไขข้อมูลโดยไม่ได้รับอนุญาต •การที่ระบบการรักษาความปลอดภัยจะสามารถทาเช่นนี้ได้จะต้องมีระบบการควบคุมว่าผู้ใดจะสามารถเข้าถึงข้อมูลได้ และหากเข้าถึงข้อมูลภายในระบบแล้วจะสามารถทาอะไรกับข้อมูล เช่น การอ่านหรือเขียนข้อมูลเพียงอย่างเดียว หรือได้ทั้งอ่านและเขียนข้อมูล

　
3.เพื่อทาให้ระบบนั้นสามารถที่จะทางานได้ตามปกติ และเต็มประสิทธิภาพ (Availability) •ระบบจะต้องสามารถทางานได้อย่างดีตามจุดมุ่งหมายในการใช้ และต้องมีขีดความสามารถปฏิบัติงานได้ในปริมาณตามที่ต้องการ รวมทั้งจะต้องปฏิบัติงานได้ภายในเวลาที่กาหนดด้วย

ปัญหาหลักที่พบเจออย่างสม่่าเสมอในความปลอดภัย

1. ความประมาทเลินเล่อของคน - เกิดการพิมพ์ผิด - การใช้โปรแกรมผิด Version ของผู้ใช้ - โปรแกรมได้รับความเสียหายขณะที่ทาการสร้างระบบขึ้นมา - ลักษณะทางกายภาพของสื่อข้อมูลที่มีการนาเข้าข้อมูล 2. อาชญากรเกี่ยวกับคอมพิวเตอร์ - การก่อวินาศกรรม - บุคลภายในองค์กร เป็นผู้ทาเอง - การขโมยเงินหรือขโมยสินค้าคงคลัง - ข้อมูลที่กระทบไม่ได้ จะทาให้พังได้ - นาไปใช้วัตถุประสงค์อื่น

 

3. ภัยธรรมชาติที่ก่อให้เกิดการสูญเสียของระบบ

4. ความผิดพลาดที่เกี่ยวกับ HW / SW - การทางานที่ผิดไปจากเดิม - กระแสไฟฟ้าที่ไม่คงที่ - ความเสียหายที่เกิดจาก Virus - การตรวจสอบความผิดพลาดของข้อมูลไม่ได้

Computer security risks

ความเสี่ยงต่อการเกิดความเสียหายต่อคอมพิวเตอร์และข้อมูล •คือเหตุการณ์หรือการใช้งานที่ก่อให้เกิดความเสียหาย •รูปแบบของความเสี่ยงเหล่านี้อาจอยู่ในรูปของอุบัติเหตุหรือความตั้งใจ •เกิดจากความตั้งใจของบุคคลหรือกลุ่มคน เป็นการกระทาที่ผิดกฎหมาย จะเรียกว่า อาชญากรรมทางอินเทอร์เน็ต (computer crime หรือ cyber crime)