Confidentiality มีอะไรบ้าง

ส่วนประกอบหนึ่งของ INFOSEC (Information Security) ซึ่งมากจากคำว่า Confidentiality (การรักษาความลับของข้อมูล) Integrity (ความแท้จริงของข้อมูล) และ Availability (การใช้งานได้ของระบบ) ซึ่งเป็นส่งที่ Security Professional ต้องรู้และสามารถอธิบายได้

• 3823 ครั้ง
• 17 มิ.ย. 2563

                   ปัจจุบันการทำงานในคอมพิวเตอร์เป็นสิ่งที่จำเป็นต่อมนุษย์มาก ในการทำงานก็ต้องมีการเก็บข้อมูลไม่ว่าจะเป็นข้อมูลทางบริษัทหรือข้อมูลส่วนตัวก็จะถูกเก็บใว้ในคอมพิวเตอร์ ในงานต่าง ๆ ก็ต้องมีความปลอดภัยสามารถเก็บข้อมูลใว้เป็นความลับได้ มีการกำหนดสิทธิ์ในการเข้าถึงเพื่อป้องกันการถูก แฮ็คเกอร์ ข้อมูลสำคัญ การรักษาความลับของคอมพิวเตอร์จึงเป็นสิ่งสำคัญสำหรับการทำงานด้านคอมพิวเตอร์และงานที่ต้องเก็บข้อมูลที่สำคัญมากๆ

                 Confidentiality (คอนฟีเด้นเทวลิตี้) การรักษาความลับในทางคอมพิวเตอร์ในปลอดภัยและไม่ให้ผู้ไม่ประสงค์ดีเข้ามาทำลายหรือขโมยข้อมูลได้ โดยมีรหัสเข้าข้อมูล มีผู้เกี่ยวข้องเท่านั้นที่จะเข้างถึงข้อมูลได้ เพราะข้อมูลบางอย่างเป็นข้อมูลที่สำคัญมากจะเปิดเผยแค่ภายในองค์กรเท่านั้น เพื่อป้องกันการถูกอาชญากรเข้ามาขโมยหรือทำลายระบบ และเข้ามาคุกคามระบบขององค์กรนั้นได้ เพื่อความปลอดภัยของข้อมูลและองค์กรนั้น

                ในการรักษาข้อมูล มีส่วนประกอบที่ช่วยรักษาความปลอดภัยของข้อมูลระบบความมั่นคงขององค์กรใว้ได้แบ่งได้ 2 ส่วนคือ การกำหนดสิทธิ์ เพื่อให้ผู้เข้าถึงที่ถูกต้องเท่านั้นจึงจะเข้าถึงระบบภายในองค์กรได้ และการพิสูจน์ตัวตน โดยอาจใช้หลายวิธีในการยืนยันตัวตน เช่น การใช้รหัสผ่านเป็นสิ่งสำคัญที่การรักษาข้อมูลจำเป็นต้อวมีทุกองค์กร อาจใช้ลายเซ็นดิจิตอล เพื่อยืนยันตัวตน หรือใช้ SSL รับรองความปลอดภัยทางอิเล็กทรอนิกส์ ความปลอดภัยที่มีมาตรฐาน สำหรับการสร้างการเชื่อมโยงการเข้ารหัสเพื่อเพิ่มความปลอดภัยในการสื่อสารหรือส่งข้อมูลบนเครือข่ายอินเทอร์เน็ต 

ภาพประกอบจาก : https://inform.tmforum.org

ช่องทางศึกษาเพิ่มเติมข่าวที่น่าสนใจเกี่ยวกับ : Confidentiality (คอนฟีเด้นเทวลิตี้) การรักษาความลับ ในทางคอมพิวเตอร์

• บทความเกียวกับ Security เรื่องความปลอดภัย และ Antivirus(175)
• แชร์ความรู้เกียวกับ Software testing(164)
• ถาม - ตอบ ธุรกิจ กฏหมาย ภาษี บัญชี(156)
• ถาม - ตอบ คอมพิวเตอร์(143)

NSTISSC (Nation Security Telecommunications and Information Systems Security) หรือ คณะกรรมการด้านความมั่นคง

ด้านโทรคมนาคมและระบบสารสนเทศแห่งชาติของสหรัฐอเมริกา ได้กําหนด แนวคิดความมั่นคงปลอดภัยขึ้นมา ต่อมาได้กลายเป็นมาตรฐานการประเมินความมั่นคงของระบบสารสนเทศที่ได้รับการยอมรับ 

สิ่งสําคัญในการดําเนินงานความมั่นคงปลอดภัยของสารสนเทศนั้น มีสิ่งที่ต้องคํานึงถึงเป็นหลักได้แก่ ความลับ (Confidentiality) 

ความคงสภาพ (Integrity) และความพร้อมใช้งาน (Availability) นอกจากนี้ยัง ต้องคํานึงถึงนโยบายการปฏิบัติงาน การให้การศึกษา และเทคโนโลยีที่จะนํามาใช้เป็นกลไกควบคุมและป้องกัน ที่ต้องเกี่ยวข้องกับการจัดการความมั่นคงปลอดภัยของสารสนเทศด้วย โดยในที่นี้จะกล่าวถึงสิ่งที่ต้องคํานึงถึงเป็นหลักก่อน  

1. ความลับ (Confidentiality) 

เนื่องจากข้อมูลบางอย่างมีความสําคัญจําเป็นต้องเก็บเป็นความลับ หากถูกเปิดเผยอาจมีผลเสียหรือ เป็นอันตราย เช่น ข้อมูล

ทางการทหาร ข้อมูลทางธุรกิจ เป็นต้น การรักษาความลับเป็นการรับประกันว่าผู้มี สิทธิ์และได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลได้ องค์กรต้องมีมาตรการป้องกันการเข้าถึงสารสนเทศที่ เป็นความลับ เช่น การจัดประเภทของสารสนเทศ การรักษาความปลอดภัยในกับแหล่งจัดเก็บข้อมูล กําหนด นโยบายรักษาความมั่นคงปลอดภัยและนําไปใช้ ให้การศึกษาแก่ทีมงานความมั่นคงปลอดภัยและผู้ใช้ 

กลไกหลักที่ใช้ในการรักษาความลับ คือ การเข้ารหัสข้อมูล (Cryptography or Encryption) โดยมี หลักการคือ การเปลี่ยนรูปแบบ

ข้อมูลที่อ่านออกให้อยู่ในรูปแบบที่ไม่สามารถอ่านออกหรือเข้าใจได้ โดยมีการ ใช้ Key (Password) ในกระบวนการเข้ารหัสและถอดรหัส ตัวอย่างเช่น การซื้อสินค้าผ่านระบบเว็บไซต์ด้วย บัตรเครดิต ซึ่งบริษัทบัตรเครติดต้องมีการรักษาความลับของลูกค้าโดยต้องมีการกรอกข้อมูลยืนยันพร้อม รหัสผ่านจึงจะสามารถทําการซื้อสินค้าได้ สําหรับผู้ที่ใช้บริการเว็บไซต์มีสิ่งที่สามารถสังเกตได้คือ เว็บไซต์ที่มี การเข้ารหัสจะใช้โพรโทคอล https แทน http โดยโพรโทคอล https จะมีการเข้ารหัสก่อนส่งข้อมูล ทําให้แม้ จะถูกดักฟังข้อมูลไปแต่หากถอดรหัสไม่ได้ก็จะไม่สามารถอ่านข้อมูลนั้นได้ ต่างจากโพรโทคอล http ซึ่งส่ง ข้อมูลเป็นตัวอักษรธรรมดาที่สามารถอ่านได้ทันที 

กลไกอื่นๆ ที่ใช้ปกป้องความลับ ได้แก่ การควบคุมการเข้าถึง (Access Control) ที่จะต้องมีการพิสูจน์ทราบตัวตนของผู้ใช้งานก่อน

ว่ามีสิทธิ์ใช้งานหรือไม่ เช่น การล็อกอินก่อนเข้าใช้งาน  

2. ความคงสภาพ (Integrity) 

ความคงสภาพ คือ ความครบถ้วน ถูกต้อง และไม่มีสิ่งแปลกปลอม สารสนเทศจะขาดความคงสภาพ เมื่อสารสนเทศนั้นถูก

เปลี่ยนแปลงหรือปลอมปนด้วยสารสนเทศอื่น ถูกทําให้เสียหาย ถูกทําลาย หรือถูก กระทําในรูปแบบอื่น ๆ ซึ่งจะส่งผลต่อความเชื่อได้ของข้อมูลหรือแหล่งที่มา ผู้รับผิดชอบจึงต้องปกป้องข้อมูล ให้คงสภาพเดิม ไม่ถูกดัดแปลงแก้ไขโดยผู้ที่ไม่ได้รับอนุญาต 

กลไกหลักที่ใช้ในการรักษาความคงสภาพ ประกอบด้วย 2 ส่วน คือ การป้องกัน (Prevention) และ การตรวจสอบ (Detection) 

1) การป้องกัน (Prevention) เป็นการป้องกันไม่ให้มีการเปลี่ยนแปลงแก้ไขข้อมูลโดยผู้ที่ไม่ได้รับ อนุญาต รวมถึงป้องกัน

การเปลี่ยนแปลงแก้ไขข้อมูลนอกเหนือขอบเขตของผู้ได้รับอนุญาต ซึ่งอาจใช้การพิสูจน์ ตัวตน (Authentication) และการควบคุมการเข้าถึง (Access Control) ในประเด็นแรก และใช้การตรวจสอบ สิทธิ์ (Authorization) ในประเด็นหลัง 

2) การตรวจสอบ (Detection) เพื่อดูว่าข้อมูลยังคงมีความน่าเชื่อถือได้อยู่หรือไม่ ซึ่งสามารถตรวจเช็ควิเคราะห์เหตุการณ์

ต่างๆ ที่เกิดขึ้นจาก Log File  

3. ความพร้อมใช้ (Availability) 

ความพร้อมใช้ หมายถึง ความสามารถในการใช้ข้อมูลหรือทรัพยากรเมื่อต้องการ สารสนเทศจะถูก เข้าถึงหรือเรียกใช้งานได้อย่าง

ราบรื่น โดยผู้ใช้หรือระบบอื่นที่ได้รับอนุญาตเท่านั้น หากเป็นผู้ใช้หรือระบบที่ ไม่ได้รับอนุญาต การเข้าถึงหรือเรียกใช้งานจะถูกขัดขวางและล้มเหลวในที่สุด ความพร้อมใช้งานจัดเป็นส่วน หนึ่งของความมั่นคง ความน่าเชื่อถือ (Reliability) ของระบบ ระบบอาจถูกโจมตีโดยผู้ไม่ประสงค์ดีที่พยายาม ทําให้ระบบไม่สามารถใช้งานได้ แนวทางการป้องกัน เช่น การทําโหลดบาลานซ์ซิง (Load Balancing) เพื่อ กระจายงานให้กับเครื่องแม่ข่ายหลายเครื่อง หรือการทําระบบสํารอง (Backup System) เพื่อให้สามารถกู้คืน ข้อมูลได้หากข้อมูลเสียหาย 

หากข้อมูลหรือสารสนเทศขาดคุณสมบัติด้านใดด้านหนึ่งหรือหลายด้าน จากทั้ง 3 คุณสมบัติ ได้แก่ ความลับ ความคงสภาพ และ

ความพร้อมใช้ จะถือว่าข้อมูลหรือสารสนเทศนั้นไม่มีความปลอดภัย

C.i.a. มีองค์ประกอบอะไรบ้าง

หลักการด้าน Security CIA มีอะไรบ้าง

คุณสมบัติ Availability คืออะไร