ข้อมูลในเครือข่ายคอมพิวเตอร์ของท่านปลอดภัยอยู่หรือ..?

โดย นายวิญญู วานิชศิริโรจน์
มิถุนายน 2541

บทนำ

จากการขยายตัวอย่างรวดเร็วของระบบการติดต่อสื่อสารคอมพิวเตอร์บนเครือข่ายท้องถิ่น(LAN) และการใช้งานข้อมูลผ่านระบบอินเตอร์เน็ต บวกกับเทคโนโลยีการสื่อสารที่มีความสะดวก ง่ายดาย และรวดเร็ว ทำให้ข้อมูลในรูปของคอมพิวเตอร์มีความสำคัญมากขึ้น และมีแนวโน้มที่จะเข้ามาทดแทนการใช้ข้อมูลบนกระดาษในอัตราส่วนที่เพิ่มขึ้นทุกขณะ

สิ่งนี้มีผลกระทบตามมาคือผู้จัดการไอทีของทุกองค์กรต้องพบกับปัญหาหนักอกเพิ่มขึ้น ในเรื่องเกี่ยวกับการรักษาความปลอดภัยของข้อมูลในระบบคอมพิวเตอร์ ในบทความนี้เราจะมาพูดกันถึงสาเหตุ แนวทาง และวิธีการรักษาข้อมูลคอมพิวเตอร์ให้อยู่ในสภาพที่ปลอดภัยที่สุด

ทำไมต้องมีการรักษาความปลอดภัยในระบบข้อมูลคอมพิวเตอร์

มีผู้กล่าวว่าสิ่งที่มีค่าที่สุดในระบบคอมพิวเตอร์ ไม่ใช่ทั้งฮาร์ดแวร์และซอฟต์แวร์ แต่เป็นข้อมูลที่เก็บไว้ในระบบ เพราะถ้าฮาร์ดแวร์เสียเราสามารถหาซื้อมาทดแทนได้หรือถ้าซอฟต์แวร์มีปัญหาเรานำซอฟต์แวร์มาติดตั้งใหม่ได้ แต่ถ้าข้อมูลสูญหายไป เราไม่สามารถหาซื้อข้อมูลมาใส่ใหม่ได้ สิ่งนี้เองทำให้ข้อมูลกลายเป็นของที่มีค่ามากที่สุด ทำให้เราต้องมานั่งปวดหัวหาวิธีการต่างๆในการรักษาความปลอดภัยให้กับข้อมูลที่มีอยู่อย่างดีที่สุด

จะพูดไปแล้ว การที่ข้อมูลในระบบคอมพิวเตอร์เสียหายได้ง่ายนั้น มาจากคุณสมบัติที่เป็นข้อดีจากการใช้งานคอมพิวเตอร์นั้นเอง ยกตัวอย่างเช่น

-ข้อดีที่คอมพิวเตอร์สามารถเก็บข้อมูลในสื่อที่มีขนาดเล็ก เช่นดิสก์ขนาดเพียง 3.5 นิ้ว สามารถเก็บข้อมูลได้กว่าหนึ่งล้านคำ รวมทั้งความสามารถในการทำสำเนาข้อมูลได้อย่างง่ายดาย, รวดเร็ว, ข้อมูลเหมือนต้นฉบับทุกประการ และยังสามารถส่งข้อมูลไปสู่ภายนอกได้หลายวิธี สิ่งเหล่านี้เป็นประโยชน์กับผู้ใช้งานอย่างมหาศาล แต่กลับส่งผลให้การลักลอบทำสำเนาข้อมูลที่เป็นความลับขององค์การออกไปภายนอกเป็นไปได้อย่างง่ายดายเช่นเดียวกัน

-ความสามารถของคอมพิวเตอร์ในการแก้ไข ดัดแปลง ทำซ้ำ ลบ และล้างข้อมูลของเดิมออกได้อย่างหมดจด ข้อดีประการนี้คือสามารถใช้ทรัพยากรสำหรับเก็บข้อมูลที่มีอยู่ กลับมาใช้ซ้ำแล้วซ้ำอีกได้ทำให้ประหยัดทรัพยากรขององค์กร ข้อดีนี้กลับส่งผลเสียในด้านการรักษาความปลอดภัยคือ ข้อมูลคอมพิวเตอร์จะถูกทำลายหรือทำให้เสียหายได้ง่ายกว่าข้อมูลในรูปแบบอื่นๆ โดยเฉพาะการถูกโจมตีด้วยไวรัสคอมพิวเตอร์

-คุณสมบัติของคอมพิวเตอร์ ที่ทำให้ ข้อมูลหนึ่งๆสามารถใช้งานร่วมกันจากผู้ใช้หลายๆคน ในเวลาเดียวกัน ผ่านระบบเครือข่ายสื่อสาร ซึ่งช่วยอำนวยความสะดวกการทำงานภายในองค์กรเป็นอย่างมากนั้น กลับทำให้การรักษาความปลอดภัยของข้อมูลเป็นไปได้ยากขึ้น ยกตัวอย่างเช่น ถ้าข้อมูลเกิดเสียหาย การระบุว่าใครเป็นคนทำให้เกิดความเสียหายกับข้อมูลนั้นทำได้ยากเพราะข้อมูลถูกใช้โดยบุคคลหลายคน และการที่ข้อมูลถูกใช้ร่วมกันทำให้ข้อมูลในระบบคอมพิวเตอร์มีภาพเป็นของสาธารณะไม่มีผู้ที่รับผิดชอบโดยตรง ส่งผลให้พนักงานขาดสำนึกเกี่ยวกับการรักษาความปลอดภัยในข้อมูลขององค์การในที่สุด

-การที่เครื่องคอมพิวเตอรส่วนบุคคลถูกออกแบบให้ไม่ซับซ้อนเพื่อให้ผู้ใช้งานใช้งานได้ง่าย กลับมีจุดอ่อนในเรื่องการรักษาความปลอดภัย เพราะไม่ว่าผู้ใดที่สามารถเข้าถึงเครื่องจะสามารถเข้ามาใช้งานเครื่องคอมพิวเตอร์และข้อมูลภายในได้ทั้งหมด

ที่มาของภัยคุกคาม

ภัยที่ทำให้ข้อมูลเสียหายนั้นมีสองชนิดคือ ข้อมูลถูกพบเห็นหรือถูกใช้โดยบุคคลที่ไม่มีสิทธิในข้อมูลนั้น และข้อมูลถูกทำลาย โดยแหล่งที่มาของภัยคุกคามมาจาก สามแหล่งคือ

-ภัยแรกมาจากภัยธรรมชาติ เช่น น้ำท่วม ไฟไหม้ ไฟฟ้าลัดวงจร หรือแผ่นดินไหว ภาษาฝรั่งเรียกเหตุการณ์นี้ว่าการกระทำของพระเจ้า(an Act of GOD) คือไม่รู้ว่าจะโทษใครดีเลยโทษพระเจ้าเสียเลย

-ภัยที่สองเกิดจากการกระทำของคน โดยไม่จงใจ เช่น ทำกาแฟหกลงบนเครื่องคอมพิวเตอร์ การใส่ข้อมูลผิดพลาด การลบข้อมูลออกไปโดยไม่ตั้งใจหรือการใช้คำสั่งผิด มักเกิดขึ้นโดยพนักงานภายในองค์กรที่ขาดความรู้ ความเข้าใจ ไม่มีความรู้เพียงพอในการทำงาน หรือไม่ใส่ใจที่จะระมัดระวังในการใช้งานระบบ

-ภัยสุดท้าย คือภัยที่เกิดจากคนที่มีเจตนาเข้ามาทำให้เกิดความเสียหาย เช่นตั้งใจบุกรุกเข้ามาในระบบเพื่อดูข้อมูลที่เป็นความลับ ตั้งใจเข้ามาทำลายเครือข่าย การสร้างและปล่อยโปรแกรมไวรัสคอมพิวเตอร์เข้าสู่ระบบ ผู้ที่เข้ามากระทำเรื่องเหล่านี้อาจมาจาก คู่แข่งขององค์กร พวกมือซนหรือพวกชอบลองวิชา พวกสอดรู้สอดเห็น อดีตพนักงานหรือพนักงานปัจจุบันที่ไม่พอใจองค์กร เป็นต้น

จากภัยทั้งหมดที่กล่าวมาบางท่านอาจคิดว่าภัยน่ากลัวที่สุดน่าจะเป็นภัยสุดท้าย แต่จากข้อมูลที่ผ่านมาพบว่าภัยที่เกิดโดยอุบัติเหตุจากคนภายในนั้นเกิดขึ้นบ่อย(อย่างสม่ำเสมอ) และก่อให้เกิดความเสียหายให้กับองค์กรมากที่สุด นอกจากนั้นการป้องกันภัยจากบุคคลภายนอกได้ดีที่สุดนั้นไม่ใช่มาจากการมีระบบหรือเทคโนโลยีที่ทันสมัย แต่มาจากความร่วมมือของพนักงานภายในนั่นเอง

แนวทางการรักษาความปลอดภัยในระบบคอมพิวเตอร์

การจะบอกถึงวิธีการสร้างระบบป้องกันความปลอดภัยให้แก่ข้อมูลคอมพิวเตอร์ให้สมบูรณ์จริงๆ คงจะต้องเขียนกันเป็นตำราหนา 400-500 หน้าจึงจะครอบคลุมเนื้อหาได้ทั้งหมด ดังนั้นในบทความนี้จะขอนำเสนอเฉพาะแนวทางหลักๆไว้ดังนี้

1. ประเมินมูลค่าของข้อมูลสารสนเทศขององค์กรที่จะรักษาความปลอดภัย ว่ามีมูลค่าเท่าใด สามารถทำขึ้นมาใหม่หรือไม่ในกรณีที่สูญหาย ถ้าสามารถทำขึ้นมาใหม่ต้องค่าใช้จ่ายเท่าใด? ใช้เวลานานเท่าใด? และความเสียหายต่อองค์กรมีมูลค่าเท่าใด? โดยให้แยกข้อมูลขององค์กรออกเป็นส่วนๆตามความสำคัญของข้อมูล ตัวเลขเหล่านี้จะใช้เป็นฐานในการกำหนดนโยบายเกี่ยวกับระดับการรักษาความปลอดภัยต่อไป

2. ถ้าผลจากการประเมินพบว่า มีข้อมูลส่วนหนึ่งเมื่อเกิดสูญหายหรือถูกทำลาย องค์กรไม่สามารถสร้างข้อมูลใหม่มาทดแทนได้และองค์กรจะเกิดความเสียหายในมูลค่ามหาศาล นโยบายการรักษาความปลอดภัยสำหรับข้อมูลส่วนนี้ย่อมต้องเข็มงวดและรัดกุม แต่ถ้าผลการประเมินพบว่าข้อมูลบางส่วนไม่มีค่ามากนัก สามารถทำขึ้นใหม่ได้ง่าย การรักษาความปลอดภัยของข้อมูลส่วนนั้น อาจไม่ต้องเข็มงวดมากนัก เป็นต้น

3. กำหนดนโยบายเกี่ยวกับการรักษาความปลอดภัยของข้อมูลในระดับองค์กร ไม่ใช่แค่ระดับฝ่ายหรือแผนก ทั้งนี้เพื่อให้ได้ผลในทางปฏิบัติอย่างเต็มที่ การกำหนดนโยบาลหลักที่ตรงกับสภาพขององค์กรจะเป็นเกราะคุ้มครองขั้นต้นที่ดีที่สุดในการป้องกันการทำลายข้อมูลภายในองค์กร แนวทางกว้างๆในการกำหนดนโยบายการรักษาความปลอดภัยมีดังนี้

• นโยบายที่กำหนดขึ้นต้องไม่เข้มงวดเกินไปจนทำให้ผู้ใช้งานมีความยุ่งยากในการทำงาน แต่ไม่หย่อนยานเกินไปจนทำให้การป้องกันความปลอดภัยไม่ได้ผล โดยต้องง่าย ตรงไปตรงมา เพราะถ้ายากผู้ใช้งานส่วนใหญ่จะละเลย

• การกำหนดสิทธิการใช้ข้อมูลให้กำหนดอย่างเจาะจงเป็นรายบุคคล เพื่อให้สามารถกำหนดผู้รับผิดชอบถ้ามีความเสียหายเกิดขึ้น รวมทั้งเป็นการสร้างความรู้สึกแก่บุคคลกรขององค์กรว่าสิทธิในการใช้ข้อมูลเป็นเรื่องเฉพาะบุคคลไม่ควรละเลยในการรักษาความปลอดภัยอีกด้วย

• การกำหนดสิทธิในข้อมูลต้องตอบคำถามเหล่านี้คือ ใครเป็นผู้ใช้ข้อมูล? ข้อมูลแต่ละอย่างใช้สำหรับการทำงานอะไรบ้าง? ใครต้องเข้ามาร่วมใช้ข้อมูลบ้าง? ใครสามารถเข้าถึงข้อมูลบ้าง? โดยทั้งหมดต้องอยู่ภายในประเด็นใหญ่ที่ว่า ผู้ใช้ทุกคนในระบบจะได้รับสิทธิน้อยที่สุดเท่าที่เพียงพอในการทำงานเท่านั้น

• กำหนดแผนการทำระบบสำรองข้อมูลที่เหมาะสมทั้งวิธีการ เครื่องมือ ระยะเวลา และข้อมูลที่จะทำการสำรอง

4 เขียนแผนและแนวทางทั้งหมดให้เป็นลายลักษณ์อักษรที่ชัดเจนที่สุดเท่าที่จะทำได้ เพื่อการอ้างอิงและตรวจสอบในภายหลัง โดยรายงานนี้ประกอบด้วย

• แนวนโยบายตามที่กล่าวมาแล้วในข้อหนึ่ง

• แผนผังการเข้าถึงข้อมูล โดยอาจแสดงในรูปของผังต้นไม้ ซึ่งจะสามารถแสดงภาพเกี่ยวกับความปลอดภัยของข้อมูลที่เป็นรูปธรรมได้เป็นอย่างดี

• แผนกู้ภัย ในกรณีระบบล่ม โดยทำเป็นแผนปฏิบัติการเป็นขั้นๆ ตั้งแต่เหตุการณ์เล็กน้อยจนกระทั่งขึ้นขั้นที่ระบบทั้งหมดเสียหายโดยสิ้นเชิง โดยมีรายละเอียดว่า ใคร? ต้องทำอะไร? ทำอย่างไร? ที่ไหน? และใช้เวลาเท่าไร? ในสถานการต่างๆที่เกิดขึ้น

5. สร้างจิตสำนึกในพนักงานทุกระดับเกี่ยวกับความปลอดภัยในการใช้งานระบบสารสนเทศ เรื่องนี้เป็นสิ่งที่ทำได้ยากที่สุดเพราะคนส่วนใหญ่ในบ้านเราไม่ค่อยใส่ใจเรื่องการรักษาความปลอดภัยและมักมีทัศนคติในด้านตรงข้าม โดยส่วนใหญ่มีแนวความคิดว่าการรักษาความปลอดภัยเป็นเรื่องเกินจำเป็นและทำให้เกิดความไม่สะดวกในการทำงาน

6. ตัวอย่างที่เห็นได้ชัดเช่น มักมีคนที่ชอบไหว้วานคนอื่นถอนเงินจากธนาคารแทนและเพื่อความสะดวกจึงมีการบอกหรือจดรหัส ATM(ซึ่งน่าจะเป็นความลับสุดยอด)ให้กับผู้อื่น ก่อให้เกิดคดีการยักยอกเงินขึ้นหลายคดี ดังนั้นปัญหาการที่ผู้ใช้คนหนึ่งอนุญาตให้ผู้อื่นใช้รหัสผ่านของตนในระบบเครื่อข่ายจึงเป็นเรื่องที่เกิดขึ้นได้อย่างแน่นอน ปัญหานี้ต้องได้รับการแก้ไขโดยผู้ดูแลระบบต้องให้ข้อมูลและอธิบายผลเสียที่เกิดจากขาดสำนึกในเรื่องความปลอดภัยแก่ผู้ใช้งาน และควรกระทำเป็นประจำอย่างสม่ำเสมอ

7. กำหนดนโยบายเกี่ยวกับรหัสผ่านอย่างเข็มงวด โดยมีแนวทางดังนี้

• กำหนดให้มีรหัสผ่านสำหรับการเข้าถึงข้อมูลในทุกระดับไม่ว่าจะเป็นเรื่องเล็กน้อยเพียงใด เพื่อสร้างความเคยชินในเรื่องของสำนึกด้านความปลอดภัยแก่พนักงาน โดยถ้าเป็นข้อมูลสำคัญอาจต้องมีการใช้รหัสผ่านหลายชั้น

• กำหนดให้ผู้ใช้งานต้องเปลี่ยนรหัสอย่างสม่ำเสมอ(เช่นปีละสองครั้งเป็นอย่างน้อย) และบังคับให้ผู้ใช้งานเปลี่ยนรหัสทันทีที่ได้รับรหัสผ่านเริ่มต้นจากฝ่ายคอมพิวเตอร์

• กำหนดให้รหัสผ่านต้องมีขนาดอย่างน้อย 4 ตัวอักษร และต้องประกอบด้วยตัวอักษรและตัวเลขผสมกัน

• ไม่อนุญาติให้ใช้รหัสผ่านซ้ำกับของที่ใช้อยู่เดิมได้ภายในระยะเวลาหนึ่ง

9. การกำหนดแนวทางการรักษาความปลอดภัยเชิงเทคนิคนั้นมีรายละเอียดที่น่าจะกล่าวถึงเพิ่มเติมดังนี้

• ใช้ความสามารถในการรักษาความปลอดภัยของระบบปฏิบัติการเครือข่าย (Network Operation system) อย่างเต็มประสิทธิภาพ เช่น การตั้งระบบให้หยุดการทำงานถ้ามีการพยายามเข้าระบบด้วยการเดารหัสผ่านโดยต้องหยุดทำงานจนกว่าจะได้รับการแก้ไขจากผู้บริหารระบบเครือข่ายเท่านั้น, การกำหนดให้ผู้ใช้งานสามารถเข้าระบบได้เพียงคนเดียวในเวลาหนึ่งๆ, การตั้งระบบให้เข้าใช้งานระบบได้เฉพาะเมื่อองค์กรเปิดทำการ, บันทึกการใช้งานระบบ เช่นระบบ log files เพื่อสามารถติดตามการใช้งานของผู้ใช้งานได้ตลอดเวลา สามารถนำข้อมูลที่บันทึกไว้มาตรวจสอบและหาทางแก้ปัญหาเมื่อระบบเกิดความผิดปกติ

• ไม่อนุญาตให้ใครมีสิทธิในการจัดการเทียบเท่าผู้จัดการระบบเครือข่าย ควรแยกและกระจายอำนาจให้ผู้ดูแลเท่าที่จำเป็น

• การใช้เครื่องลูกข่ายแบบไร้ดิสก์ (Diskless workstations) เป็นวิธีที่ได้ผลมากในการรักษาความปลอดภัยของระบบคอมพิวเตอร์แบบเครื่องข่าย เนื่องจากสามารถลดความเสี่ยงเรื่องการถูกลักลอบนำข้อมูลออกจากระบบ และลดความเสี่ยงเกี่ยวกับโปรแกรมไวรัสได้อย่างที่เรียกได้ว่าเต็มร้อยเปอร์เซนต์ทีเดียว

• ตรวจสอบไวรัสคอมพิวเตอร์ด้วยโปรแกรมตรวจสอบไวรัสที่สามารถปรับปรุงข้อมูลไวรัสชนิดใหม่ๆได้อย่างสม่ำเสมอโดยไม่ต้องเสียค่าใช้จ่ายเพิ่ม

แนวทางประเมินค่าใช้จ่ายในการสร้างระบบรักษาความปลอดภัย

ในการสร้างระบบรักษาความปลอดภับของข้อมูลนั้นต้องมีค่าใช้จ่ายในการสร้างระบบ คำถามที่มักจะเกิดขึ้นคือเงินที่ต้องจ่ายไปเพื่อรักษาระบบนั้นคุ้มค่าหรือไม่ เรามีวิธีการคำนวณเกี่ยวกับเรื่องดังกล่าวดังนี้

R=F x L

โดยที่ R = risk หรือความเสี่ยงภัยที่เกิดขึ้นกับระบบในช่วงเวลาหนึ่งปี, F = frequency หรือโอกาสที่เหตุการณ์นั้นจะเกิดขึ้นได้ในหนึ่งปี, L= loss คือความสูญเสียที่เกิดขึ้นของแต่ละเหตุการณ์

โดยที่ค่าโอกาสที่เหตุการณ์จะเกิดในหนึ่งปีหรือ F นั้นคำนวณโดยใช้สูตร F=10^(P-4) โดยที่ P= เป็นค่าที่กำหนดขึ้นตามโอกาสที่อาจเกิดเหตุการณ์ขึ้น ดังนี้

P=0 โดยปกติจะไม่มีโอกาสเกิดเหตุการณ์นั้นขึ้นเลย
P=1 ถ้าเหตุการณ์นั้นมีโอกาสเกิดขึ้นหนึ่งครั้งใน 1,000 ปี
P=2 ถ้าเหตุการณ์นั้นมีโอกาสเกิดขึ้นหนึ่งครั้งใน 100 ปี
P=3 ถ้าเหตุการณ์นั้นมีโอกาสเกิดขึ้นหนึ่งครั้งใน 10 ปี
P=4 ถ้าเหตุการณ์นั้นมีโอกาสเกิดนปีละหนึ่งครั้ง
P=5 ถ้าเหตุการณ์นั้นมีโอกาสเกิดทุกเดือน (ค่า F=10)
P=6 ถ้าเหตุการณ์นั้นมีโอกาสเกิดสองครั้งต่อสัปดาห์ (ค่า F=100)
P=7 ถ้าเหตุการณ์นั้นมีโอกาสเกิดสามครั้งในหนึ่งวัน (ค่า F=1,000)

ค่าที่คำนวณได้จากสูตรจะเป็นความเสียหายของระบบที่มีโอกาสจะสูญเสียในแต่ละปี ซึ่งตัวเลขนี้สามารถนำไปใช้ในการตั้งงบประมาณที่จะใช้ในการรักษาความปลอดภัยของข้อมูล เพื่อให้เห็นภาพได้ชัดเจนยิ่งขึ้นจะลองยกตัวอย่างดังนี้

องค์กรแห่งหนึ่งประเมินค่าความเสียหายที่เกิดจากการสูญหายของแฟ้มข้อมูลหนึ่งแฟ้มเท่ากับ 1 พันบาท และมีโอกาสที่จะเกิดเหตุการณ์คือสัปดาห์ละสองครั้ง ผลจากการคำนวณคือ 1,000x100=ความเสียหาย 100,000 บาท / ปี โครงการที่เสนอเพื่อแก้ปัญหาคือซื้ออุปกรณ์สำรองข้อมูลและทำการสำรองข้อมูลทุกสัปดาห์ โดยมีค่าใช้จ่ายอุปกรณ์ฮาร์ดแวร์และซอฟต์แวร์เท่ากับ 50,000บาท หรือคิดเป็น 10,000บาท / ปี (อุปกรณ์นี้ใช้งานได้ 5 ปี) ส่วนค่าดำเนินงานและค่าใช้จ่ายอื่นประมาณ 60,000 บาท/ปี ดังนั้นค่าใช้จ่ายรวมเท่ากับ 70,000 บาท / ปี ซึ่งต่ำกว่ามูลค่าที่องค์กรจะต้องสูญเสียจากความเสียหายของข้อมูล จึงสมควรที่จะดำเนินโครงการนี้

แต่ถ้าผลการคำนวณออกมาว่าค่าเงินลงทุนสูงกว่ามูลค่าที่อาจสูญเสีย เราต้องหาวิธีการอื่นๆในการรักษาความปลอดภัยของระบบที่ใช้เงินลงทุนต่ำกว่าเงินที่อาจสูญเสียเนื่องจากข้อมูลเสียหาย

ตัวอย่างผลิตภัณฑ์ที่ช่วยในการรักษาความปลอดภัย

ปัจจุบันมีผลิตภัณท์และเทคโนโลยีมากมายในการช่วยรักษาความปลอดภัยของข้อมูล แต่การที่เราจะสามารถเลือกอุปกรณ์ หรือซอฟต์แวร์ ได้อย่างเหมาะสมเพียงใดนั้นขึ้นอยู่กับว่าเทคโนโลยีเหล่านั้นสามารถตอบสนองนโยบายการรักษาความปลอดภัยที่วางไว้ของแต่ละองค์กรได้ดีที่สุด ตัวอย่างของผลิตภัณฑ์ที่ช่วยในการเสริมระบบความปลอดภัยได้แก่

1. เครื่องมือที่ช่วยควบคุมการเข้าถึงข้อมูลในเครื่องคอมพิวเตอร์ส่วนบุคคล มีดังนี้

• อุปกรณ์ที่เป็นฮาร์ดแวร์ได้แก่ Disk Drive Lock สามารถ ล็อคดิสก์ไดร์ฟทั้งขนาด 3.5 นิ้ว และ 5 นิ้วมีราคาไม่แพงแต่มีประโยชน์เป็นอย่างมากในการควบคุมการเข้าออกของข้อมูลในเครื่องลูกข่าย ใช้สำหรับองค์กรที่ยังไม่สามารถเปลี่ยนเครื่องลูกข่ายทั้งหมดเป็น Diskless Workstations

• โปรแกรมที่ควบคุมการใช้ข้อมูลในคอมพิวเตอร์ส่วนบุคคล โดยสามารถสร้างชื่อผู้ใช้และรหัสผ่าน รวมทั้งสามารถป้องกันการบูตและทำสำเนาข้อมูลจาก ดิสก์ไดร์ฟได้ ตัวอย่างโปรแกรมเหล่านี้ได้แก่ Norton DiskLock ใช้สำหรับ DOS และ Windows3.x, Norton Your Eye Only ใช้ในระบบปฏิบัติการ Windows 9x และ Windows NT ฯลฯ

2. เครื่องมือที่ช่วยในการเข้ารหัสแฟ้มข้อมูลเหมาะสำหรับองค์กรที่ข้อมูลเป็นความลับมากๆ ส่วนใหญ่มักเป็น ซอฟต์แวร์เช่น DataSafe, Nuts & Bolts, Norton your eye only ฯลฯ

3. โปรแกรมป้องกันและกำจัดไวรัสคอมพิวเตอร์ ได้แก่ Norton AntiVirus, McAfee VirusScan, Dr.Solomon’s Antivirus ฯลฯ

Norton DiskLock

Norton Your Eyes Only

บทสรุป

การสร้างระบบรักษาความปลอดภัยของข้อมูลคอมพิวเตอร์อย่างได้ผลนั้นต้องอาศัยแนวทางหลายอย่างทั้งด้านการบริหาร การจัดการ และเทคนิคที่ผสมผสานระหว่างการใช้ฮาร์ดแวร์และซอฟต์แวร์ โดยแผนการรักษาความปลอดภัยที่ดีนั้น ต้องประกอบด้วยขบวนการและขั้นตอนที่พัฒนาจากผู้บริหารที่มีความระมัดระวังและรู้ตื้นลึกหนาบางขององค์กรตั้งแต่ภายในจนถึงภายนอกระบบเป็นอย่างดี รวมทั้งต้องมีการประเมินประสิทธิภาพของแผนการทำงานแต่ละส่วน โดยพิจารณาจากความเสี่ยงและข้อดีของแต่ละระบบ

จากข้อมูลทั้งหมดที่กล่าวมาแล้ว ทำให้ดูราวกับว่าการรักษาความปลอดภัยของข้อมูลเป็นหน้าที่อันหนักหนาของเหล่าผู้จัดการสารสนเทศขององค์การ เนื่องจากต้องรับผิดชอบในพื้นที่กว้างขวางและเกี่ยวข้องกับการทำงานในระบบทุกส่วนและทุกขั้นตอนอย่างไม่มีข้อยกเว้น แต่โดยแท้จริงแล้วการรักษาความปลอดภัยข้อมูลที่ได้ผลที่สุดจะเกิดขึ้นได้ต่อเมื่อได้รับความร่วมมือร่วมใจ และต้องถือเป็นหน้าที่ของสมาชิกทุกคนในองค์กรไม่ใช่ของคนใดคนหนึ่งโดยเฉพาะนั่นเอง

เอกสารอ้างอิง

• Forcht, Karen Anne. Computer Security Management. 1997 Includes bili USA Massachusetts Boyd & Fraser publishing company.
• Perschke, Susan. Security Enterprise Data. USA Data Base Advisor. June 1994 Vol. 12 No6 June 1994
• Security Information การรักษาความปลอดภัยข้อมูล. http://members.tripod.com/~supermankiller/incformations
• เดวิส, ปีเตอร์ ที. แรกเริ่มเรียนรู้เรื่องระบบรักษาความปลอดภัยให้ระบบคอมพิวเตอร์. กรุงเทพฯ: ซีเอ็ดยูเคชั่น, 2540.
• ทรงเกียรติ ภาวดี. Hacker กับเครือข่าย. http: // www.ripk.ac.th/zorkia/articles/hacker/

ข้อมูลและรูปภาพภายในเว็บไซค์นี้เป็นลิขสิทธิ์ของผู้จัดทำเท่านั้นห้ามผู้ใดทำสำเนาหรือนำไปใช้โดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร
This page Start on 9 / 9 /1999
Copyright  @ 1999 winyou All rights reserved.