517344-Computer Security,Computer Security and Security Engineering

15/12/2012 11:40 PM Study 970 views

บทที่ 1 Computer Security and Security Engineering

  • The meaning of Security (ความหมายของความปลอดภัย)
  • Risk (ความเสี่ยง)
  • Meaning of Computer Security (ความหมายของความปลอดภัยระบบคอมพิวเตอร์)
  • Computer Criminals (อาชญากรรมคอมพิวเตอร์)

1. The meaning of Security
     รูปแบบการรักษาความปลอดภัยมีการพัฒนาไปตามกาลเวลา ตามความเจริญของเทคโนโลยีการเรียนรู้และเข้าใจวิวัฒนาการจะช่วยให้เราเข้าใจระบบการรักษาความปลอดภัยในปัจจุบัน ซึ่งประกอบด้วย

  • Physical Security (การรักษาความปลอดภัยด้ายกายภาพ)
        ในอดีตทรัพย์สินที่มีค่าส่วนใหญ่เป็นวัตถุที่สามารถจับต้องได้ ข้อมูลที่สำคัญอาจอยู่ในรูปแบบกระดาษหรือวัตถุ บุคคลที่รู้สิ่งต่างๆไม่ชอบที่จะบันทึกข้อมูลลงกระดาษหรือพูดคุยกับบุคคลอื่นที่ไม่ไว้ใจ ซุนวู นักปรัชญาชาวจีนกล่าวว่า “ความลับที่รู้โดยคนมากกว่าหนึ่งคนไม่ถือว่าเป็นความลับอีกต่อไป” การปกป้องทรัพย์สินเหล่านั้นก็มีหลักการง่ายๆ เช่น การสร้างกำแพง การล้อมรั่วบ้าน การเก็บของไว้ในตู้ที่ล๊อกด้วยกุญแจ เป็นต้น
  • Communication Security (การรักษาความปลอดภัยด้านการสื่อสาร)
       นอกจากการรักษาความปลอดภัยด้านกายภาพแล้ว จำเป็นต้องมีการรักษาความปลอดภัยด้านการสื่อสาร เนื่องจากข้อมูลอาจถูกขโมยระหว่างการรับส่ง ทำให้ผู้อื่นที่ไม่เกี่ยวข้อสามารถเปิดอ่านได้ จึงมีการคิดค้นวิธีซ่อนข้อมูลหรือการเข้ารหัสข้อมูลก่อนที่จะส่งให้อีกฝ่าย ดังนั้น หากมีการขโมยข้อมูลระหว่างทาง ผู้อ่านจะไม่เข้าใจข้อมูลนั้น ถ้าไม่รู้วิธีการถอดรหัส
  • Computer Security (การรักษาความปลอดภัยคอมพิวเตอร์)
         ข้อมูลในคอมพิวเตอร์ส่วนใหญ่จัดเก็บในรูปแบบดิจิตอล ผู้ที่ใช้คอมพิวเตอร์สามารถที่จะเข้าถึงข้อมูลนั้นๆได้ ทำให้ไม่มีความปลอดภัยในการจัดเก็บข้อมูลในเครื่องคอมพิวเตอร์ จึงได้มีแนวคิดในการแบ่งระดับการรักษาความปลอดภัยของข้อมูล ได้แก่

    • ไม่ลับ (Unclassified)
    • ลับ (Confidential)
    • ลับมาก (Secret)
    • ลับมากที่สุด (Top Secret)
         และระดับการเข้าถึงข้อมูล (Clearance) ของผู้ใช้งานก็มี 4 ระดับเช่นกัน ผู้ใช้สามารถเข้าถึงข้อมูลในระดับใดได้ต้องมีสิทธิ์เท่ากับหรือสูงกว่าระดับข้อมูลนั้น แนวคิดนี้จึงเป็นที่มาของ มาตรฐาน TCSE(Trusted Computing System Evaluation Criteria System Evaluation Criteria ) หรือเรียกว่า “Orange Book” (เพราะหน้าปกของหนังสือเป็นสีส้มครับ) ในหนังสือได้กำหนดมาตราฐานความปลอดภัยของคอมพิวเตอร์เป็นระดับต่างๆ ได้แก่
    • D : Minimal Protection or Unrated
    • C1 : Discretionary Security Protection
    • C2 : Controlled Access Protection
    • B1 : Labeled Security Protection
    • B2 : Structured Protection 
    • B3 : Security Domains
    • A1 : Verified Design
  • Network Security (การรักษาความปลอดภัยเครือข่าย)
        เนื่องจาก Orange Book ไม่ได้มีข้อกำหนดเกี่ยวกับเครือข่ายคอมพิวเตอร์ จึงแก้ปัญหาด้วยการใช้มาตรฐานของ TNI (Trusted Network Interpretation) หรือที่เรียกว่า “Red Book” ซึ่งมาจาก Orange Book และเพิ่มเติมส่วนที่เป็นเครือข่ายเข้าไป
  • Information Security (การรักษาความปลอดภัยข้อมูล)
        จากปัญหาการรักษาความปลอดภัยของข้อมูลทั้งหมดไม่มีวิธีใดแก้ปัญหาการรักษาความปลอดภัยได้ทั้งหมด จึงต้องใช้ทุกวิธีมารวมกัน

    • PHYSEC การรักษาความปลอดภัยด้านกายภาพเหมาะสมกับการปกป้องทรัพย์สินที่เป็นสิ่งของ
    • COMSEC การรักษาความปลอดภัยด้านการสื่อสาร เป็นวิธีการรักษาความปลอดภัยด้านการสื่อสาร
    • COMPSEC   การรักษาความปลอดภัยคอมพิวเตอร์ สำหรับการเข้าถึงระบบคอมพิวเตอร์
    • NETSEC   การรักษาความปลอดภัยเครือข่าย สำหรับควบคุมการใช้งานเครือข่าย
    • ทั้งหมดที่กล่าวมาสามารถใช้รักษาความปลอดภัยของข้อมูล (INFORTEC) ได้

หลักการเกี่ยวกับการรักษาความปลอดภัยของข้อมูล

  • Privacy (ความเป็นส่วนตัว)
  • Identification (การระบุตัวตน)
  • Authentication (การพิสูจน์ตัวตน)
  • Authorization (การอนญาตใช้งาน)
  • Accountability (การตรวจสอบได้)

 

2. Risk (ความเสี่ยง)
     ความเสี่ยง คือ ภัยคุกคามที่อาจจะเกิดขึ้นกับระบบคอมพิวเตอร์ที่เกิดจากช่องโหว่ภายในหรรือภายนอก ถึงแท้จะมีการรักษาความปลอดภัยในระดับที่ดีก็ตาม ประกอบด้วย

  • Risk Management (การบริหารความเสี่ยง)
    • Risk Assessment : การประเมินความเสี่ยงจะวิเคราะห์และจัดลำดับความเสี่ยงโดยประเมินจากโอกาสที่จะเกิดขึ้น
      • Probability ความน่าจะเป็นที่จะเกิดความเสี่ยงนั้นๆ เพื่อจะที่หาวิธีป้องกัน
      • Severity ความรุนแรงของผลกระทบที่เกิดจากความเสี่ยงต่อการบรรลุวัตถุประสงค์ขององค์กร
    • Risk Treatment : การรักษาความเสี่ยงเป็นการเลือกและดำเนินการของวิธีที่เหมาะสมสำหรับการดูแลความเสี่ยงและหมายถึงการควบคุมความเสี่ยงด้วย ได้แก่
      • Risk Reduction  เป็นการเลือกเทคนิคที่เหมาะสมและหลักการจัดการในการลดความเป็นไปได้ของความเสี่ยงหรือความรุนแรงของเหตุการณ์
      • Risk Acceptance เป็นความรับผิดชอบต่อความเสี่ยงหรือการสูญเสีย
      • Risk Avoidance เป็นการตัดสินใจที่จะไม่เข้าไปเกี่ยวข้องกับความเสี่ยง
      • Risk Transfer การโอนย้ายความเสี่ยงไปยังองค์กรอื่นตามที่ได้กำหนด เช่นการประกันภัย
  •  Risk Component : องค์กระกอบของความเสี่ยง
    • Threats : ภัยคุกคามคือสิ่งที่อาจก่อให้เกิดความเสี่ยงหรือไม่เกิดขึ้นเลยก็ได้ถ้ามีการรักษาความปลอดภัยที่ดี
      • Four classes of threats
        • Interception การสกัดกั้นบุคคลที่ไม่ได้รับอนุญาตในการเข้าถึงข้อมูล
        • Interruption การขัดขวางการทำงาน
        • Modification การลักลอบเข้าไปแก้ไขข้อมูลโดยผู้ที่ไม่เกี่ยวข้อง
        • Fabrication การปลอมแปลงข้อมูลจากผู้ที่ไม่มีส่วนเกี่ยวข้องเพื่อเข้าไปใช้งานระบบ
      • Threats Compose of
        • Target : เป้าหมายของการโจมดี
          • Confidential : ความลับ
            การรักษาความลับจะเป็นการเปิดเผยข้อมูลเฉพาะผู้ที่ได้รับอนุญาตเท่านั้น เพราะหากถูกเปิดเผยอาจจะเกิดความเสียหายต่อเจ้าของได้
          • Integrity : ความถูกต้อง
            การทำให้ข้อมูลมีความน่าเชื่อถือ เพื่อป้องกันการเปลี่ยนข้อมูลที่ไม่ได้รับอนุญาติหรือข้อมูลที่ไม่ถูกต้อง
          • Availability : ความพร้อมใช้งาน
            การที่ผู้ใช้สามารถเข้าถึงข้อมูลได้เมื่อต้องการ ซึ่งเป็นส่วนหนึ่งของความมั่นคงของระบบ (Reliability)
        • Agent or Attacker : ผู้บุกรุก
          • Method : วิธีการโจมตี
            ขึ้นอยู่กับประสบการณ์ ทักษะ ความรู้ เครื่องมือ อื่นๆ เช่น ประสบการณ์การเคยลงมือมาก่อนหน้า
          • Opportunity :โอากาสและการเข้าถึง
            เช่น เวลาที่เหมาะสมหรือโอกาส เช่น เจ้าหน้าที่ขาดความระมัดระวัง
          • Motive : แรงจูงใจ
            เหตุผลและแรงจุงใจที่ทำ เช่น ต้องการเงิน
    • Vulnerabilities : ช่องโหว่ของระบบหรือโปรแกรมอาจจะจาก bug หรือข้อผิดพลาดจากการออกแบบ ซึ่งเป็นจุดอ่อนที่ทำให้ผู้อื่นเข้ามาทำลายระบบหรือขโมยข้อมูล
      • Type : ชนิดของช่องโหว่
        • Hardware Vulnerabilities : เช่น อุปกรณ์ที่เก่าขาดการบำรุงรักษาหรือหมดสภาพการทำงาน
        • Software Vulnerabilities : เช่น โปรแกรมที่ทำงานผิดพลาดหรือข้อผิดพลาดจากการออกแบบระบบ
        • Data Vulnerabilities : เช่น ชนิดข้อมูลที่ไม่ถูกต้อง

 

3. The Meaning of Computer Security
      การรักษาความปลอดภัยในระบบคอมพิวเตอร์เป็นความสามารถของระบบฝนการปกป้องข้อมูลและทรัพยากรของระบบให้เป้นความลับ (Confidentiality) และมีความสมบูรณ์ (Integrity)  ซึ่งประกอบด้วย

  • Aspects if Security 
    • Prevention (การป้องกัน) : ใช้มาตรการป้องกันไม่ให้ทรัพย์สินหรือข้อมูลเกิดความเสียหาย
    • Detection (การตรวจสอบ) : ใช้มาตราการในการตรวจสอบว่าผู้ใด ทำอะไร เมื่อไหร่ กีับระบบแล้วทำให้เกิดความเสียหาย
    • Reaction (การตอบสนอง) : เพื่อให้สามารถกู้คืนข้อมูลหรือทรัพย์สินที่ได้รับความเสียหายกลับคืนมา
  • Computer Security Goals : จุดประสงค์ของการรักษาความปลอดภัย
    • Confidentiality (การรักษาความปลอดภัย) : คือการรับรองว่าระบบจะมีการเก็บข้อมูลไว้เป็ยความลับ และเฉพาะผู้มีสิทธิเท่านั้นจึงจะเข้าถึงข้อมูลได้
    • Integrity (ความสมบูรณ์) : คือการรับรองว่าข้อมูลจะไม่ถูกเปลี่ยนแปลงหรือทำลายไม่ว่าจะโดยสาเหตุใน ทั้งเจตนาหรืออุบัติเหตุ
    • Availability (ความพร้อมใช้งาน) : คือการรับรองว่าข้อมูลและบริการสื่อต่างๆ พร้อมจะใช้งานได้ตลอดเวลาเมื่อต้องการ
  • Threat/ภัยคุกคาม/การสร้างความเสียหาย
    • การนำความลับไปเปิดเผยทำมห้ข้อมูลไม่เป็นความลับ (Data Confidentiality)
    • การเปลี่ยนแปลงข้อมูลทำให้ข้อมูลไม่ถูกต้อง (Data Integrity)
    • ระบบหยุดให้บริการทำให้ไม่พร้อมใช้งาน (System Availability)

 

4. Computer Criminals : อาชญากรรมคอมพิวเตอร์

    • Amateurs : มือสมัครเล่นที่อยากทดลองความสามารถของตัวเอง
    • Cracker : แครกเกอร์ที่มีความสามารถและมีความชำนาญด้านการโจรกรรมข้อมูล
    • Career Criminals : อาชญากรรมมืออาชีพที่ทำงานเป็นขบวนการ
  • Attacker : ผู้บุกรุก
    • Hacker : บุคคลที่พยายามเข้าระบบโดยไม่ได้รับอนุญาติ ปกติแล้ว Hacker จะเป็นโปรแกรมเมอร์หรือวิศวกรที่มีความรู้ความสามารถด้านระบบและเข้ามาเพื่อแก้ไขระบบ ไม่ได้ประสงค์ร้าย
    • Cracker : บุคคลที่ตั้งใจบุกเข้าไปยังระบบอย่างผิดกฏหมาย เพื่อทำลายข้อมูลหรือนำข้อมูลไปใช้ในประโยชน์ส่วนตัว

 

ขอบคุณข้อมูลจาก :
http://202.29.15.5/docs/ns.pdf

Slide วิชา 517344-Computer Security
www.polsci.chula.ac.th/sumonthip/buss-cricomp.doc

 

 ขอให้โชคดีกับการสอบ

, , , , , , , , , ,