Network Security (ความปลอดภัยบนเครือข่าย)

Get Started. It's Free
or sign up with your email address
Rocket clouds
Network Security (ความปลอดภัยบนเครือข่าย) by Mind Map: Network Security (ความปลอดภัยบนเครือข่าย)

1. มาตรการความปลอดภัยขั้นพื้นฐาน

1.1. เนื่องจากเครือข่ายอินเทอร์เน็ตเป็นระบบเครือข่ายสาธารณะ ทุกๆ คนสามารถเข้าถึงและใช้งานได้อย่างไม่จากัด ทาให้มีกลุ่มผู้ใช้บางคนที่มีเป้าหมายแตกต่างจากบุคคลทั่วไป เช่น ต้องการขัดขวาง หรือทาลายระบบไม่ให้ใช้งานได้ ลักลอบขโมยข้อมูล หรือล้วงความลับทางราชการ เรียกบุคคลเหล่านี้ว่า แฮกเกอร์

1.2. ดังนั้นระบบคอมพิวเตอร์ทุกระบบ จาเป็นต้องมีมาตรการความปลอดภัยขั้นพื้นฐาน เช่น โปรแกรมป้องกันไวรัส การล็อกเครื่องคอมพิวเตอร์เพื่อป้องกันไม่ให้ผู้อื่นมาใช้เครื่อง สิ่งเหล่านี้จัดเป็นการป้องกันความปลอดภัย ซึ่งมีหลากหลายวิธีให้เลือกใช้ได้ตามความเหมาะสม

2. ความปลอดภัยบนสภาพแวดล้อมภายนอก

2.1. เป็นลักษณะทางกายภาพที่มองเห็นด้วยตา ความปลอดภัยชนิดนี้จะเกี่ยวข้องกับสภาพแวดล้อม และภาพรวมของอุปกรณ์เป็นสาคัญ ประกอบด้วย

2.1.1. ห้องศูนย์บริการคอมพิวเตอร์ จะต้องปิดประตู และใส่กลอนเสมอ เพื่อป้องกันบุคคลภายนอกหรือขโมยเข้าไปขโมยอุปกรณ์

2.1.2. การจัดวางสายเคเบิล จะต้องมิดชิด เรียบร้อย เนื่องจากอาจทาให้ผู้อื่นสะดุดล้ม ทาให้เกิดบาดเจ็บ หรือสายเคเบิลขาดได้

2.1.3. การยึดอุปกรณ์ให้อยู่กับที่ เพื่อป้องกันการเคลื่อนย้าย และป้องกันผู้ไม่หวังดีขโมยอุปกรณ์

2.1.4. เครื่องปรับอากาศ ควรปรับให้มีอุณหภูมิเย็นในระดับพอเหมาะ เพราะความร้อนเป็นปัจจัยที่ส่งผลต่ออายุการใช้งานของอุปกรณ์อิเล็กทรอนิกส์

2.1.5. ควรมีระบบป้องกันทางไฟฟ้า เพราะกระแสไฟฟ้าที่ไม่คงที่ จะส่งผลต่ออุปกรณ์อิเล็กทรอนิกส์โดยตรง ดังนั้นควรมีอุปกรณ์กรองสัญญาณไฟฟ้าที่ช่วยปรับกระแสไฟฟ้าที่จ่ายไปให้มีแรงดันคงที่ และอยู่ในระดับที่เหมาะสม และยังป้องกันไฟตก ไฟกระชาก

2.1.6. การป้องกันภัยธรรมชาติ แผ่นดินไหว อุทกภัยหรืออัคคีภัย สามารถป้องกันได้ด้วยการออกแบบเครือข่าย โดยติดตั้งเครื่องเซิร์ฟเวอร์ให้มีระบบสาเนาข้อมูลแบบสมบูรณ์ และเครื่องสาเนาระบบนี้อาจจะติดตั้งในที่ที่ปลอดภัย

3. ความปลอดภัยด้านการปฏิบัติงาน

3.1. เป็นเรื่องที่เกี่ยวข้องกับการกาหนดระดับความสามารถในการเข้าถึงข้อมูลของบุคคลต่างๆ ภายในองค์กรตามนโยบายที่ผู้บริหารระดับสูงกาหนด เช่น องค์กรขนาดใหญ่ที่มีพนักงานจานวนมาก จะต้องมีการกาหนดระดับการเข้าใช้งานของผู้ใช้แต่ละฝ่าย ตัวอย่างเช่น

3.1.1. ฝ่ายขาย จะไม่มีสิทธิในการเข้าถึงข้อมูลเงินเดือนของฝ่ายการเงิน

3.1.2. พนักงานที่ทางานด้านเงินเดือน จะสามารถเข้าถึงข้อมูลเงินเดือนได้ แต่ไม่มีสิทธิในการแก้ไขเปลี่ยนแปลงข้อมูลเงินเดือนได้

3.1.3. ผู้จัดการฝ่ายการเงิน สามารถเข้าถึงข้อมูลของฝ่ายอื่นๆ ได้ แต่อาจมีข้อจากัด คือ สามารถเรียกดูข้อมูลได้เพียงอย่างเดียว แต่ไม่สามารถแก้ไขได้

4. การตรวจตราเฝ้าระวัง

4.1. ผู้บริหารเครือข่ายจาเป็นต้องมีมาตรการหรือการตรวจตราเฝ้าระวัง เพื่อมิให้ระบบคอมพิวเตอร์ถูกทาลาย หรือถูกขโมย ดังนั้นศูนย์คอมพิวเตอร์บางที่จึงมีการติดตั้งกล้องโทรทัศน์วงจรปิดตามจุดสาคัญต่างๆ

4.2. ซึ่งเทคนิคนี้สามารถใช้งานได้ดี ซึ่งจะป้องกันบุคคลภายในที่ต้องการลักลอบขโมยข้อมูล ก็จะทาให้ดาเนินการได้ยากขึ้น เนื่องจากมีกล้องคอยดูอยู่ตลอดเวลา แต่วิธีนี้ก็ไม่ดี ในกรณีด้านการละเมิดสิทธิ์ส่วนบุคคล ซึ่งต้องขึ้นอยู่กับความเหมาะสมและกฎหมายของแต่ละประเทศ

4.3. นอกจากการใช้กล้องวงจรปิดแล้ว ยังมีวิธีอื่นๆ เช่น การส่งสัญญาณไปยังมือถือ หรือเพจเจอร์ เพื่อรายงานเหตุการณ์ฉุกเฉินไปยังเจ้าหน้าที่ทันที

5. การใช้รหัสผ่าน และระบบแสดงตัวตน

5.1. การใช้รหัสผ่าน เป็นมาตรการหนึ่งของความปลอดภัยขั้นพื้นฐานที่นิยมใช้มานานแล้ว อย่างไรก็ตาม รหัสผ่านที่เป็นความลับ อาจจะไม่เป็นความลับหากรหัสผ่านดังกล่าวถูกผู้อื่นล่วงรู้ และนาไปใช้ในทางมิชอบ

5.2. ในการกาหนดรหัสผ่านยังมีกระบวนการที่สามารถนามาควบคุมและสร้างข้อจากัดเพื่อความปลอดภัยยิ่งขึ้น เช่น การกาหนดอายุการใช้งานของรหัสผ่าน การบังคับให้ตั้งรหัสผ่านใหม่เมื่อครบระยะเวลา การกาหนดให้ตั้งรหัสผ่านที่ยากต่อการคาดเดา

5.3. ในบางหน่วยงานที่มีความต้องการ ความปลอดภัยในระดับที่สูงขึ้น จึงมีระบบแสดงตัวตน ด้วยการใช้หลักการของคุณสมบัติทางกายภาพของแต่ละบุคคลที่มีความแตกต่างกัน และไม่สามารถซ้าหรือ ลอกเลียนกันได้ ที่เรียกว่า ไบโอเมตริก (Biometric) เช่น เครื่องอ่านลายนิ้วมือ และเครื่อง อ่านเลนส์ม่านตา

6. การตรวจสอบ

6.1. การตรวจสอบระบบคอมพิวเตอร์ เป็นแนวทางหนึ่งในการป้องกันผู้ไม่หวังดีที่พยายามเข้ามาในระบบ โดยระบบตรวจสอบส่วนใหญ่มักใช้ซอฟต์แวร์ในการบันทึกข้อมูล และตรวจสอบเฝ้าระวังทุกๆ ทรานแซกชั่นที่เข้ามายังระบบ โดยแต่ละทรานแซกชั่นจะมีการบันทึกข้อมูลต่างๆ ไว้เป็นหลักฐาน และจัดเก็บไว้ในรูปแบบของไฟล์ หรือเรียกว่า Log File

6.2. Log File จะเก็บรายละเอียดเกี่ยวกับวันที่ และเจ้าของทรานแซกชั่น หรือบุคคลที่เข้ามาใช้งาน ซึ่งสิ่งเหล่านี้สามารถตรวจสอบย้อนหลังได้ว่า แต่ละวันมีทรานแซกชั่นจากที่ไหนบ้างเข้ามาใช้งานระบบ ทาให้ผู้ดูแลระบบเครือข่ายสามารถสังเกตพฤติกรรมของเจ้าของทรานแซกชั่นได้

7. การกาหนดสิทธิ์การใช้งาน

7.1. เนื่องจากระบบคอมพิวเตอร์และเครือข่ายคอมพิวเตอร์ อนุญาตให้ผู้ใช้มากกว่าหนึ่งคน สามารถเข้าถึงทรัพยากรที่มีอยู่ในระบบ เช่น ไฟล์ เครื่องพิมพ์ ซึ่งทาให้ต้องมีการกาหนดสิทธิ์การใช้งานทรัพยากรบนเครือข่าย

7.2. โดยการกาหนดสิทธิ์การใช้งานนั้น จะกาหนดโดยผู้บริหารเครือข่าย และจะพิจารณาปัจจัย 2 ปัจจัยคือ ใคร และอย่างไร โดยที่ ใคร (Who) หมายถึง ควรกาหนดสิทธิ์การใช้งานให้ใครบ้าง อย่างไร (How) หมายถึง เมื่อได้รับสิทธิ์ในการใช้งานแล้ว จะกาหนดให้บุคคลนั้นๆ สามารถเข้าถึงข้อมูลได้อย่างไร เช่น สามารถอ่านได้อย่างเดียว สามารถเขียนหรือบันทึกได้ สามารถพิมพ์งานผ่านระบบเครือข่ายได้

7.2.1. ใคร (Who) หมายถึง ควรกาหนดสิทธิ์การใช้งานให้ใครบ้าง

7.2.2. อย่างไร (How) หมายถึง เมื่อได้รับสิทธิ์ในการใช้งานแล้ว จะกาหนดให้บุคคลนั้นๆ สามารถเข้าถึงข้อมูลได้อย่างไร เช่น สามารถอ่านได้อย่างเดียว สามารถเขียนหรือบันทึกได้ สามารถพิมพ์งานผ่านระบบเครือข่ายได้

8. การป้องกันไวรัส

8.1. ไวรัสคอมพิวเตอร์ เป็นโปรแกรมขนาดเล็กที่จะเข้าไปแก้ไขเปลี่ยนแปลงการทางานของเครื่องคอมพิวเตอร์ ทาให้คอมพิวเตอร์เกิดปัญหาต่างๆ ซึ่งปัญหาจะร้ายแรงมากน้อยเพียงใดนั้น ขึ้นอยู่กับไวรัสคอมพิวเตอร์แต่ละชนิด

8.2. ไวรัสบางชนิดก็ไม่ได้มุ่งร้ายต่อข้อมูล แต่เพียงแค่สร้างความยุ่งยากและความราคาญให้กับผู้ใช้

8.3. ในขณะที่ไวรัสบางตัวจะมุ่งร้ายต่อข้อมูลโดย เฉพาะ ซึ่งผลลัพธ์อาจส่งผลต่อความเสียหายใน ระบบคอมพิวเตอร์ได้

8.4. จากการที่ในปัจจุบันมีไวรัสจานวนมากมาย และเกิดสายพันธ์ใหม่ๆ ทุกวัน ดังนั้นคอมพิวเตอร์ทุกเครื่องจึงจาเป็นต้องมีการติดตั้งโปรแกรมป้องกันไวรัส เพื่อตรวจจับไวรัสจากไฟล์ข้อมูล และโปรแกรมต่างๆ และที่สาคัญโปรแกรมป้องกันไวรัสจาเป็นที่จะต้องมีการอัพเดทผ่านทางอินเทอร์เน็ตเสมอ เพื่อให้โปรแกรมสามารถตรวจจับไวรัสสายพันธ์ใหม่ๆ ได้

9. วิธีการโจมตีระบบ

9.1. การโจมตีระบบเครือข่ายมีความเป็นไปได้เสมอ โดยเฉพาะเครือข่ายที่มีการเชื่อมต่อเข้ากับเครือข่ายภายนอก หรืออินเทอร์เน็ต ซึ่งการโจมตีมีอยู่หลายวิธี ดังนี้

9.1.1. การโจมตีเพื่อเจาะระบบ (Hacking Attacks)

9.1.1.1. เป็นการมุ่งโจมตีเป้าหมายที่มีการระบุไว้อย่างชัดเจน เช่น การเจาะระบบเพื่อเข้าสู่ระบบเครือข่ายภายใน ให้ได้มาซึ่งข้อมูลความลับ ซึ่งเมื่อเจาะระบบได้แล้ว จะทาการคัดลอกข้อมูล เปลี่ยนแปลงข้อมูล และทาลายข้อมูล รวมถึงติดตั้งโปรแกรมไม่พึงประสงค์ เพื่อให้เข้าไปทาลายข้อมูลภายในให้เสียหาย

9.1.2. การโจมตีเพื่อปฏิเสธการให้บริการ (DoS)

9.1.2.1. เป็นการมุ่งโจมตีเพื่อให้คอมพิวเตอร์หรือระบบเครือข่ายหยุดการตอบสนองงานบริการใดๆ เช่น หากเซิร์ฟเวอร์ถูกโจมตีด้วย DoSแล้ว จะอยู่ในสภาวะที่ไม่สามารถให้บริการทรัพยากรใดๆ ได้ และเมื่อไคลเอนต์พยายาม ติดต่อ ก็จะถูกขัดขวาง และปฏิเสธการ ให้บริการ เช่น การส่งเมล์บอมบ์ การส่งแพ็ก เก็ตจานวนมาก หรือการแพร่ระบาดของ หนอนไวรัสบนเครือข่าย

9.1.3. การโจมตีแบบไม่ระบุเป้าหมาย (Malware Attacks)

9.1.3.1. คาว่า Malware เป็นคาที่ใช้เรียกกลุ่มโปรแกรมจาพวกไวรัสคอมพิวเตอร์ เช่น หนอนไวรัส (Worm), โทรจัน (Trojan), สปายแวร์ (Spyware) และแอดแวร์ (Adware) ที่สามารถแพร่กระจายแบบอัตโนมัติไปทั่วเครือข่าย โดยมีจุดประสงค์ร้ายโดยการแพร่โจมตีแบบหว่านไปทั่ว ไม่เจาะจง เช่น การส่งอีเมล์ที่แนบไวรัสคอมพิวเตอร์ กระจายไปทั่วเมลบ็อกซ์ หากมีการเปิดอีเมล์ขึ้น และไม่มีการป้องกันระบบเครือข่ายที่ดีพอ จะทาให้ไวรัสสามารถแพร่กระจายไปยังเครือข่ายภายในขององค์กรทันที

10. ไฟร์วอลล์ (Firewall)

10.1. ไฟร์วอลล์ ใช้สาหรับป้องกันผู้บุกรุกบนอินเทอร์เน็ต ซึ่งเป็นบุคคลที่ไม่มีสิทธิ์ในการเข้าถึงระบบเครือข่ายส่วนบุคคล แต่ต้องการมุ่งโจมตีหรือประสงค์ร่ายต่อระบบ

10.2. อุปกรณ์ไฟร์วอลล์ อาจเป็นเร้าเตอร์ เกตเวย์ หรือคอมพิวเตอร์ที่ติดตั้งซอฟต์แวร์ไฟร์วอลล์ ซึ่งทาหน้าที่ตรวจสอบ ติดตามแพ็กเก็ตที่เข้าออกระบบ เพื่อป้องกันการเข้าถึงเครือข่าย

10.3. หน้าที่ของไฟร์วอลล์ จะอนุญาตให้ผู้มีสิทธิ์ หรือมีบัตรผ่านเท่านั้นที่จะเข้าถึงเครือข่ายทั้งสองฝั่ง โดยจะมีการป้องกันบุคคลภายนอกที่ไม่ต้องการให้เข้าถึงระบบ รวมถึงการป้องกันบุคคลภายในไม่ให้เข้าไปยังบางเว็บไซต์ที่ไม่ต้องการอีกด้วย

10.4. แพ็กเก็ตฟิลเตอร์ (Packet Filter)

10.4.1. จะทางานในระบบชั้นสื่อสารเน็ตเวิร์ก ปกติหมายถึง เร้าเตอร์ ที่สามารถทาการโปรแกรม เพื่อ กลั่นกรองหมายเลขไอพี หรือ หมายเลขพอร์ต TCP ที่ได้รับ อนุญาตเท่านั้น ซึ่งเป็นวิธีการที่ ง่ายและรวดเร็ว

10.4.2. แต่ข้อเสียคือ อาจมีผู้บุกรุกทาการปลอม แปลงหมายเลขไอพีแอดเดรส (Spoofing) ทาให้ระบบอนุญาตให้เข้ามาภายในระบบได้ ซึ่งปัจจุบันนอกจากความสามารถในการ ตรวจจับผู้ปลอมแปลงแล้ว ยังสามารถสแกน ไวรัสคอมพิวเตอร์ได้อีกด้วย

10.5. พร็อกซีเซิร์ฟเวอร์ (Proxy Server)

10.5.1. จะทางานในระบบชั้นสื่อสารแอปพลิเคชั่น ซึ่งการทางานมีความซับซ้อนกว่าแบบแพ็กเก็ตฟิลเตอร์มาก โดยพร็อกซีเซิร์ฟเวอร์ คือ คอมพิวเตอร์ที่ติดตั้งซอฟต์แวร์พร็อกซีเซิร์ฟเวอร์ ทาหน้าที่เสมือนนายประตูของเครือข่ายภายใน โดยทุกๆ ทรานแซกชั่นของเครือข่ายภายนอกที่มีการร้องขอเข้ามายังเครือข่ายภายในจะต้องผ่านพร็อกซีเซิร์ฟเวอร์เสมอ และจะมีการเก็บรายละเอียดของข้อมูลลง Log File เพื่อให้ผู้ดูแลระบบสามารถนาไปใช้ตรวจสอบในภายหลัง แต่การทางานของพร็อกซีเซิร์ฟเวอร์มีความล่าช้า เนื่องจากจะต้องมีการจัดเก็บข้อมูลของแต่ละแอปพลิเคชั่นที่ได้มีการร้องขอข้อมูลจากภายในเครือข่าย