ส่วนประกอบหนึ่งของ INFOSEC (Information Security) ซึ่งมากจากคำว่า Confidentiality (การรักษาความลับของข้อมูล) Integrity (ความแท้จริงของข้อมูล) และ Availability (การใช้งานได้ของระบบ) ซึ่งเป็นส่งที่ Security Professional ต้องรู้และสามารถอธิบายได้ Show
ปัจจุบันการทำงานในคอมพิวเตอร์เป็นสิ่งที่จำเป็นต่อมนุษย์มาก ในการทำงานก็ต้องมีการเก็บข้อมูลไม่ว่าจะเป็นข้อมูลทางบริษัทหรือข้อมูลส่วนตัวก็จะถูกเก็บใว้ในคอมพิวเตอร์ ในงานต่าง ๆ ก็ต้องมีความปลอดภัยสามารถเก็บข้อมูลใว้เป็นความลับได้ มีการกำหนดสิทธิ์ในการเข้าถึงเพื่อป้องกันการถูก แฮ็คเกอร์ ข้อมูลสำคัญ การรักษาความลับของคอมพิวเตอร์จึงเป็นสิ่งสำคัญสำหรับการทำงานด้านคอมพิวเตอร์และงานที่ต้องเก็บข้อมูลที่สำคัญมากๆ Confidentiality (คอนฟีเด้นเทวลิตี้) การรักษาความลับในทางคอมพิวเตอร์ในปลอดภัยและไม่ให้ผู้ไม่ประสงค์ดีเข้ามาทำลายหรือขโมยข้อมูลได้ โดยมีรหัสเข้าข้อมูล มีผู้เกี่ยวข้องเท่านั้นที่จะเข้างถึงข้อมูลได้ เพราะข้อมูลบางอย่างเป็นข้อมูลที่สำคัญมากจะเปิดเผยแค่ภายในองค์กรเท่านั้น เพื่อป้องกันการถูกอาชญากรเข้ามาขโมยหรือทำลายระบบ และเข้ามาคุกคามระบบขององค์กรนั้นได้ เพื่อความปลอดภัยของข้อมูลและองค์กรนั้น ในการรักษาข้อมูล มีส่วนประกอบที่ช่วยรักษาความปลอดภัยของข้อมูลระบบความมั่นคงขององค์กรใว้ได้แบ่งได้ 2 ส่วนคือ การกำหนดสิทธิ์ เพื่อให้ผู้เข้าถึงที่ถูกต้องเท่านั้นจึงจะเข้าถึงระบบภายในองค์กรได้ และการพิสูจน์ตัวตน โดยอาจใช้หลายวิธีในการยืนยันตัวตน เช่น การใช้รหัสผ่านเป็นสิ่งสำคัญที่การรักษาข้อมูลจำเป็นต้อวมีทุกองค์กร อาจใช้ลายเซ็นดิจิตอล เพื่อยืนยันตัวตน หรือใช้ SSL รับรองความปลอดภัยทางอิเล็กทรอนิกส์ ความปลอดภัยที่มีมาตรฐาน สำหรับการสร้างการเชื่อมโยงการเข้ารหัสเพื่อเพิ่มความปลอดภัยในการสื่อสารหรือส่งข้อมูลบนเครือข่ายอินเทอร์เน็ต ภาพประกอบจาก : https://inform.tmforum.org ช่องทางศึกษาเพิ่มเติมข่าวที่น่าสนใจเกี่ยวกับ : Confidentiality (คอนฟีเด้นเทวลิตี้) การรักษาความลับ ในทางคอมพิวเตอร์
NSTISSC (Nation Security Telecommunications and Information Systems Security) หรือ คณะกรรมการด้านความมั่นคง ด้านโทรคมนาคมและระบบสารสนเทศแห่งชาติของสหรัฐอเมริกา ได้กําหนด แนวคิดความมั่นคงปลอดภัยขึ้นมา ต่อมาได้กลายเป็นมาตรฐานการประเมินความมั่นคงของระบบสารสนเทศที่ได้รับการยอมรับ สิ่งสําคัญในการดําเนินงานความมั่นคงปลอดภัยของสารสนเทศนั้น มีสิ่งที่ต้องคํานึงถึงเป็นหลักได้แก่ ความลับ (Confidentiality) ความคงสภาพ (Integrity) และความพร้อมใช้งาน (Availability) นอกจากนี้ยัง ต้องคํานึงถึงนโยบายการปฏิบัติงาน การให้การศึกษา และเทคโนโลยีที่จะนํามาใช้เป็นกลไกควบคุมและป้องกัน ที่ต้องเกี่ยวข้องกับการจัดการความมั่นคงปลอดภัยของสารสนเทศด้วย โดยในที่นี้จะกล่าวถึงสิ่งที่ต้องคํานึงถึงเป็นหลักก่อน
ทางการทหาร ข้อมูลทางธุรกิจ เป็นต้น การรักษาความลับเป็นการรับประกันว่าผู้มี สิทธิ์และได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลได้ องค์กรต้องมีมาตรการป้องกันการเข้าถึงสารสนเทศที่ เป็นความลับ เช่น การจัดประเภทของสารสนเทศ การรักษาความปลอดภัยในกับแหล่งจัดเก็บข้อมูล กําหนด นโยบายรักษาความมั่นคงปลอดภัยและนําไปใช้ ให้การศึกษาแก่ทีมงานความมั่นคงปลอดภัยและผู้ใช้
ข้อมูลที่อ่านออกให้อยู่ในรูปแบบที่ไม่สามารถอ่านออกหรือเข้าใจได้ โดยมีการ ใช้ Key (Password) ในกระบวนการเข้ารหัสและถอดรหัส ตัวอย่างเช่น การซื้อสินค้าผ่านระบบเว็บไซต์ด้วย บัตรเครดิต ซึ่งบริษัทบัตรเครติดต้องมีการรักษาความลับของลูกค้าโดยต้องมีการกรอกข้อมูลยืนยันพร้อม รหัสผ่านจึงจะสามารถทําการซื้อสินค้าได้ สําหรับผู้ที่ใช้บริการเว็บไซต์มีสิ่งที่สามารถสังเกตได้คือ เว็บไซต์ที่มี การเข้ารหัสจะใช้โพรโทคอล https แทน http โดยโพรโทคอล https จะมีการเข้ารหัสก่อนส่งข้อมูล ทําให้แม้ จะถูกดักฟังข้อมูลไปแต่หากถอดรหัสไม่ได้ก็จะไม่สามารถอ่านข้อมูลนั้นได้ ต่างจากโพรโทคอล http ซึ่งส่ง ข้อมูลเป็นตัวอักษรธรรมดาที่สามารถอ่านได้ทันที
ว่ามีสิทธิ์ใช้งานหรือไม่ เช่น การล็อกอินก่อนเข้าใช้งาน
เปลี่ยนแปลงหรือปลอมปนด้วยสารสนเทศอื่น ถูกทําให้เสียหาย ถูกทําลาย หรือถูก กระทําในรูปแบบอื่น ๆ ซึ่งจะส่งผลต่อความเชื่อได้ของข้อมูลหรือแหล่งที่มา ผู้รับผิดชอบจึงต้องปกป้องข้อมูล ให้คงสภาพเดิม ไม่ถูกดัดแปลงแก้ไขโดยผู้ที่ไม่ได้รับอนุญาต
การเปลี่ยนแปลงแก้ไขข้อมูลนอกเหนือขอบเขตของผู้ได้รับอนุญาต ซึ่งอาจใช้การพิสูจน์ ตัวตน (Authentication) และการควบคุมการเข้าถึง (Access Control) ในประเด็นแรก และใช้การตรวจสอบ สิทธิ์ (Authorization) ในประเด็นหลัง
ต่างๆ ที่เกิดขึ้นจาก Log File
ราบรื่น โดยผู้ใช้หรือระบบอื่นที่ได้รับอนุญาตเท่านั้น หากเป็นผู้ใช้หรือระบบที่ ไม่ได้รับอนุญาต การเข้าถึงหรือเรียกใช้งานจะถูกขัดขวางและล้มเหลวในที่สุด ความพร้อมใช้งานจัดเป็นส่วน หนึ่งของความมั่นคง ความน่าเชื่อถือ (Reliability) ของระบบ ระบบอาจถูกโจมตีโดยผู้ไม่ประสงค์ดีที่พยายาม ทําให้ระบบไม่สามารถใช้งานได้ แนวทางการป้องกัน เช่น การทําโหลดบาลานซ์ซิง (Load Balancing) เพื่อ กระจายงานให้กับเครื่องแม่ข่ายหลายเครื่อง หรือการทําระบบสํารอง (Backup System) เพื่อให้สามารถกู้คืน ข้อมูลได้หากข้อมูลเสียหาย
ความพร้อมใช้ จะถือว่าข้อมูลหรือสารสนเทศนั้นไม่มีความปลอดภัย C.i.a. มีองค์ประกอบอะไรบ้างส่วนประกอบหนึ่งของ INFOSEC (Information Security) ซึ่งมากจากคำว่า Confidentiality (การรักษาความลับของข้อมูล) Integrity (ความแท้จริงของข้อมูล) และ Availability (การใช้งานได้ของระบบ) ซึ่งเป็นส่งที่ Security Professional ต้องรู้และสามารถอธิบายได้
หลักการด้าน Security CIA มีอะไรบ้างData security ก็คือคือ หลักการหรือเทคโนโลยีที่ช่วยในการปกป้องข้อมูลจากการทำลาย แก้ไข หรือเปิดเผยข้อมูลทั้งเจตนาและไม่เจตนา โดยการนำเทคนิคต่างๆและเทคโนโลยีที่หลากหลายมาควบคุมและจัดการความปลอดภัย
คุณสมบัติ Availability คืออะไรAvailability หมายถึงความสามารถของระบบที่จะคงอยู่ ให้บริการหรือทำงานได้ตลอดเวลาจากคนที่มีสิทธิ หน้าที่ของระบบคือแม้จะเกิดข้อผิดพลาดใดๆ ต้องมีมาตรการสำรองเตรียมพร้อมไว้เสมอ เพื่อให้ระบบยังคงดำเนินการได้
|