Data security ก็คือคือ หลักการหรือเทคโนโลยีที่ช่วยในการปกป้องข้อมูลจากการทำลาย แก้ไข หรือเปิดเผยข้อมูลทั้งเจตนาและไม่เจตนา โดยการนำเทคนิคต่างๆและเทคโนโลยีที่หลากหลายมาควบคุมและจัดการความปลอดภัย Show ทำไม Data Security ถึงสำคัญ เป้าหมายหลักของการรักษาความปลอดภัยข้อมูลคือ การปกป้องข้อมูลที่องค์กรรวบรวม เก็บ สร้าง รับ หรือส่ง ไม่สำคัญว่าจะต้องใช้อุปกรณ์เทคโนโลยีหรือกระบวนการใดในการจัดการแต่จะต้องได้รับการปกป้อง การฝ่าฝืนข้อมูลอาจส่งผลให้คดีฟ้องร้องและค่าปรับจำนวนมากและส่งผลเสียต่อชื่อเสียงขององค์กร ความสำคัญของการป้องกันข้อมูลจากภัยคุกคามด้านความปลอดภัยจึงมีความสำคัญมากในปัจจุบัน 3 เสาหลักของ Data security มีอยู่ดังนี้
เริ่มต้นด้วย Availability คือ ความสามารถในการใช้ข้อมูลหรือทรัพยากรที่ต้องการ ความพร้อมใช้งานเป็นสิ่งสำคัญด้านความน่าเชื่อถือเช่นเดียวกับการออกแบบระบบเนื่องจากระบบที่ใช้งานไม่ได้อย่างน้อยก็แย่เหมือนไม่มีระบบเลย ตัวอย่างเช่น
Integrity เสาหลักที่ 2 หรือก็คือ ความน่าเชื่อถือของข้อมูลหรือทรัพยากรและมักจะเป็นประโยคในแง่ของการป้องกันการเปลี่ยนแปลงที่ไม่เหมาะสมหรือไม่ได้รับอนุญาต เสาหลักสุดท้าย เสาที่ 3 ก็คือ Confidentiality คือการปกปิดข้อมูลหรือทรัพยากร ที่มีความจำเป็นต้องเก็บรักษาความลับของข้อมูลที่เกิดจากการใช้คอมพิวเตอร์ในด้านที่ละเอียดอ่อนเช่นรัฐบาลและอุตสาหกรรม เป็นต้น
นี้ก็เป็นส่วนหนึ่งเท่านั้นของผลกระทบหรือเหตุการณ์ที่ยกมา ถ้าใครสนใจอยากรู้ว่ามีอะไรอีก ก็ลองศึกษาดูนะครับ 1. การรักษาความลับ (Confidentiality) ให้บุคคลผู้มีสิทธิเท่านั้น เข้าถึงเรียกดูข้อมูลได้ ต้องมีการควบคุมการเข้าถึง ข้อมูลเป็นความลับต้องไม่เปิดเผยกับผู้ไม่มีสิทธิ 2. ความถูกต้องแท้จริง (Integrity) มีเกราะป้องกันความถูกต้องครบถ้วนสมบูรณ์ของข้อมูล และวิธีการประมวลผล ต้องมีการควบคุมความผิดพลาด ไม่ให้ผู้ไม่มีสิทธิมาเปลี่ยนแปลงแก้ไข 3. ความสามารถพร้อมใช้เสมอ (Availability) ให้บุคคลผู้มีสิทธิเท่านั้นเข้าถึงข้อมูลได้ทุกเมื่อที่ต้องการ ต้องมีการควบคุมไม่ให้ระบบล้มเหลว มีสมรรถภาพทำงานต่อเนื่อง ไม่ให้ผู้ไม่มีสิทธิมาทำให้ระบบหยุดการทำงาน ความปลอดภัยของข้อมูลสารสนเทศ (Information Security) บริษัทฯ มีนโยบายให้ความปลอดภัยและการรักษาความลับของข้อมูล โดยบริษัทฯ ใช้ระบบรักษาความปลอดภัยที่มีมาตรฐานสูงทั้งในด้านเทคโนโลยีและกระบวนการเพื่อป้องกันการโจรกรรมข้อมูลที่เป็นความลับ บริษัทฯ ได้กำหนดให้มีระบบความปลอดภัยที่มีประสิทธิภาพ เพื่อให้มั่นใจได้ว่าเว็บไซต์และข้อมูลของบริษัทฯ มีการรักษาความปลอดภัยที่ได้มาตรฐาน รวมถึงการเลือกใช้ Firewall System, Anti-Virus System ที่มีมาตรฐานความปลอดภัยสูง รวมทั้งได้ใช้เทคโนโลยี เข้ารหัสข้อมูลที่ระดับ 128 บิท (128 Bit Encryption) ซึ่งเป็นการเข้ารหัสข้อมูลระดับสูงสำหรับการทำธุรกรรมผ่านบริการทางอินเทอร์เน็ต นอกจากนี้ บริษัทฯ ยังกำหนดให้ลูกค้าต้องลงทะเบียนก่อนจึงจะสามารถใช้บริการได้ บริษัทฯ ได้มีการเลือกใช้เทคโนโลยีระบบคอมพิวเตอร์ที่มีระบบการรักษาความปลอดภัยในขั้นพื้นฐานที่เป็นมาตรฐานสากลอยู่แล้ว และเสริมด้วยการทำงานด้านอุปกรณ์ความปลอดภัยเฉพาะอีกชั้น และโดยหลักการทั่วไปในการควบคุมและรักษาความปลอดภัยให้กับระบบข้อมูลข่าวสาร ได้แก่การควบคุมส่วนต่าง ๆ ของระบบอย่างรัดกุม วิธีการที่ใช้ในการควบคุมมีดังนี้ 1. การควบคุมรักษาความปลอดภัยโดยตัวซอฟต์แวร์ (Software Control) - การควบคุมจากระบบภายในของซอฟต์แวร์ (Internal Program Control) คือการที่ โปรแกรมนั้นได้มีการควบคุมสิทธิการเข้าถึง และสิทธิในการใช้ข้อมูลภายในระบบ ซึ่งถูกจัดเก็บไว้ในระบบฐานข้อมูลภายในระบบเอง - การควบคุมความปลอดภัยโดยระบบปฏิบัติการ (Operating System Control) คือการควบคุมสิทธิการเข้าถึงและการใช้ข้อมูลในส่วนต่าง ๆ ภายในระบบคอมพิวเตอร์ของผู้ใช้คนหนึ่ง และจำแนกแตกต่างจากผู้ใช้คนอื่น ๆ - การควบคุมและการออกแบบโปรแกรม (Development Control) คือการควบคุมตั้งแต่การออกแบบ การทดสอบก่อนการใช้งานจริง 2. การควบคุมความปลอดภัยของระบบโดยฮาร์ดแวร์ (Hardware Control) 3. การใช้นโยบายในการควบคุม (Policies) 4. การป้องกันทางกายภาพ (Physical Control) การจัดการด้านความปลอดภัยของระบบเครือข่าย Counter Service จะประกอบด้วยองค์ประกอบ 3 ส่วนดังนี้ 1. โครงสร้างพื้นฐานด้านความปลอดภัย a.การติดตั้งระบบ Firewall บริษัทฯ ได้ติดตั้ง Firewall ซึ่งเป็นเทคโนโลยีที่ทำการป้องกันผู้บุกรุกเข้า-ออกระบบ และกำหนดโซนการให้บริการ การเข้าถึงข้อมูล ที่เหมาะสม b.การติดตั้งระบบ Anti-Virus เพื่อทำการป้องกัน และกำจัดไวรัสที่มีการอัพเดตข้อมูลอย่างสม่ำเสมอ c.การติดตั้งระบบ SSL บริษัทฯ เลือกใช้ SSL เวอร์ชั่นล่าสุด ซึ่งบริษัท และธนาคารชั้นนำส่วนใหญ่เลือกใช้ เนื่องจากมีประสิทธิภาพในการรักษาความปลอดภัยขั้นสูง หน้าที่ของ SSL คือ สลับที่ข้อมูลและแปลงเป็นรหัสตัวเลขทั้งหมด ยิ่งความละเอียดในการเข้ารหัสมีมากเท่าไร ความปลอดภัยก็ยิ่งสูงขึ้นเท่านั้น ระดับความละเอียดของการเข้ารหัสมีหน่วยเป็น บิท โดยเว็บไซท์บริษัทฯ ได้ใช้การเข้ารหัสระดับ 128 บิท ซึ่งถือว่าเป็นระดับที่บริษัท และธนาคารชั้นนำของโลกใช้อยู่ d.การติดตั้งระบบปฏิบัติการที่มีระดับความปลอดภัยที่ระดับ C2 โดยการติดตั้ง และเปิดใช้เฉพาะบริการที่เหมาะสม และจำเป็นเท่านั้น ข้อใดหมายถึงการรักษาความลับของข้อมูล1. การรักษาความลับ (Confidentiality) ให้บุคคลผู้มีสิทธิเท่านั้น เข้าถึงเรียกดูข้อมูลได้ ต้องมีการควบคุมการเข้าถึง ข้อมูลเป็นความลับต้องไม่เปิดเผยกับผู้ไม่มีสิทธิ
ข้อใดหมายถึงความลับของข้อมูล3.1 ความลับของข้อมูล (Confidentiality) หมายถึงข้อมูลถูกเก็บเป็นความลับ (Data Confidentiality) การปกป้องข้อมูลไม่ให้ผู้ไม่มีสิทธิในการใช้ข้อมูลเข้ามาใช้ข้อมูลได้ เช่น ก าหนดสิทธิให้ผู้ใช้งานแต่ละคนสามารถใช้งานได้ตามสิทธิที่ก าหนดเท่านั้น มีการ รักษาความปลอดภัยโดยใช้บัตรผ่าน มีความปลอดภัยในการใช้งานในระบบเครือข่าย และ มี ...
ข้อใดหมายถึงความพร้อมใช้งานของข้อมูลความพร้อมใช้งานของข้อมูล (Availability) หมายถึง ความพร้อมในการใช้งานอยู่เสมอ กล่าวคือข้อมูลต้องพร้อมใช้งานได้อยู่เสมอ รวมถึงการสำรองข้อมูลไว้เมื่อเกิดภัยพิบัติหรือเหตุการณ์ที่ไม่คาดฝัน
การรักษาความปลอดภัยของข้อมูล หมายถึงอะไรการรักษาความปลอดภัยของข้อมูลซึ่งมักย่อเป็น (InfoSec) คือชุดขั้นตอนและเครื่องมือรักษาความปลอดภัยที่ปกป้องข้อมูลสำคัญขององค์กรในวงกว้างจากการใช้ในทางที่ผิด การเข้าถึงโดยไม่ได้รับอนุญาต การหยุดชะงัก หรือการทำลาย InfoSec ครอบคลุมการรักษาความปลอดภัยทางกายภาพและสิ่งแวดล้อม การควบคุมการเข้าถึง และการรักษาความปลอดภัยทางไซเบอร์ ...
|