ความเสี่ยงของระบบสารสนเทศ (Information system risk) คือ เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลาย Hardware, Software ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ โดยโอกาสที่จะเกิดความเสียหายในเรื่องของระบบสารสนเทศส่วนมากมักจะมาจากบุคคลในองค์กร เนื่องจากบุคคลในองค์กรมักเป็นผู้ที่รู้ข้อมูลและเรื่องราวภายในองค์กร นอกจากนั้นลักษณะการใช้งานของบุคลากรยังอาจสร้างความเสียหาย
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
· แฮกเกอร์ (Hacker)
· แครกเกอร์ (Cracker)
· ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies)
· ผู้สอดแนม (Spies)
· เจ้าหน้าที่ขององค์กร (Employees)
· ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyber terrorist)
ประเภทของความเสี่ยงของระบบสารสนเทศ
1. การโจมตีระบบเครือข่าย แบ่งออกเป็น
· การโจมตีขั้นพื้นฐาน: เป็นการรื้อค้นทั่วไปในคอมพิวเตอร์ของคนอื่น กลลวงทางสังคม การ
· โจมตีทางด้านคุณลักษณะ: เป็นการโจมตีโดยเลียนแบบว่าเป็นอีกบุคคลหนึ่งแล้วส่งข้อมูลเพื่อหลอกลวงผู้อื่น
· การปฏิเสธการให้บริการ: เป็นการโจมตีเข้าไปที่ Server จำนวนมากเกินปกติในช่วงเวลาหนึ่ง ทำให้ Server ไม่สามารถที่จะทำงานได้
· การโจมตีด้วยมัลแวร์: โปรแกรมที่มุ่งโจมตีคอมพิวเตอร์ ประกอบด้วย ไวรัส เวิร์ม โทรจันฮอร์ส และลอจิกบอร์ม หรือโปรแกรมที่ดูแลเรื่องความปลอดภัยของสารสนเทศ เรียกว่าspyware
2. การเข้าถึงระบบโดยไม่ได้รับอนุญาต
การใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ ส่วนมากเป็นการใช้คอมพิวเตอร์หรือข้อมูลในคอมพิวเตอร์เพื่อทำกิจกรรมบางอย่างที่ผิดกฎหมาย เช่น การเข้าระบบโอนเงินของธนาคารโดยไม่ได้รับอนุญาต
3. การขโมย
การขโมย hardware และ software เช่น การขโมยสื่อจัดเก็บ software,การทำสำเนาโปรแกรมอย่างผิดกฎหมาย, การขโมยความลับส่วนบุคคล
4. ความล้มเหลวของระบบสารสนเทศ
ความล้มเหลวของระบบสารสนเทศ (System Failure) เช่น เสียง (Noise) พวกคลื่นเสียงรบกวนต่างๆ สัญญาณในการรับและส่งสารสนเทศ แรงดันไฟฟ้าต่ำหรือสูงเกินไป
การรักษาความปลอดภัยของระบบสารสนเทศ
1. การรักษาความปลอดภัยจากการโจมตีระบบเครือข่าย ได้แก่ การติดตั้งโปรแกรมป้องกันไวรัส การติดตั้งไฟร์วอลล์ (Firewall) ติดตั้งซอร์ฟแวร์ตรวจจับการบุกรุก
2. การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต ได้แก่ การระบุตัวตน การพิสูจน์ตัวจริงโดยการเข้ารหัส การใช้บัตรผ่านที่เป็นบัตรประจำตัว หรือการตรวจสอบโดยกายภาพส่วนบุคคล เป็นต้น
3. การควบคุมการขโมย ได้แก่ การควบคุมการเข้าถึงทางกายภาพ ควบคุมการเปิดปิดเครื่องด้วยลักษณะทางกายภาพ
4. การเข้ารหัส กระบวนการในการแปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถเข้าไป อ่านได้ให้อยู่ในรูปที่เฉพาะคนที่เกี่ยวข้องเท่านั้นที่สามารถอ่านข้อมูลได้
5. การรักษาความปลอดภัยอื่นๆ เช่น Secure Sockets Layer (SSL) โดยเว็บเพจที่ใช้ SSLจะขึ้นต้นด้วย https แทนที่จะเป็น http หรือ Secure HTTP (S-HTTP)
6. การควบคุมความล้มเหลวของระบบสารสนเทศ เช่น การป้องกันแรงดันไฟฟ้าโดยใช้ Surge protector หรือ Surge suppressor และระบบ Uninterruptible power supply (UPS) เมื่อไฟฟ้าขัดข้อง เป็นต้น
7. การสำรองข้อมูล (Data Backup) เพื่อเก็บข้อมูลไว้ต่างหากอีกที่หนึ่งแยกจากสำนักงานหรือที่ทำการหลัก
8. การรักษาความปลอดภัยของแลนไร้สาย (Wireless LAN) ควบคุมการเชื่อมโยงเข้าสู่แลนไร้สายด้วย Service Set Identifier (SSID) หรือกลั่นกรองผู้ใช้งานด้วยการกรอกหมายเลขการ์ดเน็ทเวิร์ก (MAC Addressing Filtering)
จรรยาบรรณ
จรรยาบรรณทางคอมพิวเตอร์ คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ
เช่น การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต ไม่ขโมย softwareเพราะเป็นการละเมิดลิขสิทธิ์ของทรัพย์สินทางปัญญา และมีนโยบายปกป้องความเป็นส่วนตัวเป็นต้น
ไม่มีความคิดเห็น:
แสดงความคิดเห็น