Page 1

Chapter 8 : การจัดองคการและการรักษาความปลอดภัยสําหรับ ระบบสารสนเทศ

www.themegallery.com

1


หัวขอบรรยาย ความหมายของการจัดองคกร และบุคลากรในระบบสารสนเทศ  การจัดตั้งหนวยงานเพื่อรองรับระบบสารสนเทศในองคกร  การจัดองคกรในหนวยงานระบบสารสนเทศ  แนวคิดในการรักษาความปลอดภัยของระบบสารสนเทศ  ความเสียหายที่อาจเกิดขึ้นกับระบบสารสนเทศ  การรักษาความปลอดภัยใหกับระบบสารสนเทศ 

www.themegallery.com

Company Logo

2


การจัดองคกร หมายถึง การวางโครงสรางขององคกรที่สามารถเอื้ออํานวย ใหแผนงานที่จัดทําขึ้นไปสูสัมฤทธิ์ผลที่ปรารถนา โดยกําหนด อํานาจหนาที่และความรับผิดชอบของกลุมบุคคลในองคกร เพื่อใหงานเปนไปอยางรวดเร็วและมีประสิทธิภาพ

www.themegallery.com

Company Logo

3


การจัดองคกร (ตอ) การจัดองคกรใหเหมาะสมและสอดคลองกับลักษณะขององคกร กอใหเกิดประโยชนดังนี้ ◦ ทําใหการบริหารงานเปนไปอยางมีประสิทธิภาพ ◦ ทําใหงานทุกอยางในองคกรดําเนินไปดวยความสําเร็จดวยดี ◦ ทําใหประหยัดและคุมคาเพราะไมเกิดปญหาความซ้ําซอนและความ ลาชา ◦ ทําใหองคกรสามารถพัฒนาและเจริญเติบโตตอไป ◦ ทําใหสมาชิกเกิดการรวมแรงรวมใจกันทํางาน ◦ ทําใหสมาชิกในองคกรมีขวัญและกําลังใจในการปฏิบัติงาน www.themegallery.com

Company Logo

4


บุคลากรในองคกรระบบสารสนเทศ แบงออกเปน 2 กลุมใหญ ๆ คือ  บุคลากรในวิชาชีพเทคโนโลยีสารสนเทศ  บุคลากรทางการบริหารสารสนเทศ

www.themegallery.com

Company Logo

5


บุคลากรในวิชาชีพเทคโนโลยีสารสนเทศ 1.1 ผูควบคุมการทํางานของเครื่องคอมพิวเตอร(Computer Operator) ทํา หนาทีค่ วบคุม ดูแลเครื่องคอมพิวเตอร บํารุงรักษาอุปกรณ คอมพิวเตอร 1.2 ผูบันทึกขอมูล(Data Entry operator) ทําหนาที่ปอนขอมูลเขาเครื่อง เพื่อนําไปประมวลผลในงานอื่น ๆ ตอไป ซึ่งพนักงานตองมีความรู เกี่ยวกับอุปกรณในการเตรียมขอมูลเขาเครื่องคอมพิวเตอรดวย 1.3 ผูเขียนโปรแกรม(Programmer) ทําหนาที่เขียนโปรแกรมสั่งงาน คอมพิวเตอร โดยใชภาษาระดับสูง เพื่อประยุกตระบบงานใหสามารถ ใชเครื่องคอมพิวเตอรดําเนินการแทนได เชน ระบบบัญชีธุรกิจ ระบบ ลงเวลาเขา-ออกงาน 1.4 ผูควบคุมโปรแกรมระบบ(System Programmer) เปนผูทําหนาที่ดู การทํ า งานของโปรแกรมระบบ ซึ่ ง เป น โปรแกรมพิ เ ศษที่ ทํ า งาน ควบคุ ม เครื่ อ งอี ก ต อ หนึ่ ง บุ ค ลากรที่ ทํ า หน า ที่ นี้ ค วรมี ค วามรู ด า น ฮารดแวรและการเขียนโปรแกรมในภาษาระดับต่ําบางพอสมควร www.themegallery.com

Company Logo

6


บุคลากรในวิชาชีพเทคโนโลยีสารสนเทศ (ตอ) 1.5 นักวิเคราะหระบบ (System Analyst) ทําหนาที่ในการศึกษาและประเมินผล ระบบการทํางานในปจจุบันของหนวยงานที่จะทําหนาที่เปลี่ยนจากระบบงาน เดิ ม เป น ระบบใหม โดยทํ า การออกแบบระบบงานใหม ใ ห ต รงกั บ ความ ตองการของผูใช 1.6 นักออกแบบฐานขอมูล (Database Designer) ทําหนาที่ออกแบบฐานขอมูล ในระบบงาน ซึ่งควรจะมีพื้นความรูเกี่ยวกับฮารดแวรระบบจัดการฐานขอมูล และการสื่อสารขอมูล จึงจะทําการออกแบบฐานขอมูลเปนอยางดี (อาจเปน คนคนเดียวกันกับนักวิเคราะหระบบดวยก็ได) 1.7 ผูบริหารฐานขอมูล (Database Administrator) ทําหนาที่จัดการประสานงาน และควบคุ ม ดู แ ลฐานข อ มู ล ขององค ก รทั้ ง ระบบ ตลอดจนเป น ผู กํ า หนด มาตราฐานในการเขาถึงขอมูลสําหรับผูใชฐานขอมูล ปรับปรุงขอมูล รักษา ความปลอดภั ย ของข อ มู ล ในองค ก ร ซึ่ ง ต อ งมี พื้ น ความรู ด า นโครงสร า ง ฐานขอมูล และการออกแบบฐานขอมูล www.themegallery.com

Company Logo

7


บุคลากรในวิชาชีพเทคโนโลยีสารสนเทศ (ตอ) 1.8 วิศวกรคอมพิวเตอร (Computer Engineer) เปนผูดูแลและแกไข ปญหาการทํางานของเครื่องคอมพิวเตอรและอุปกรณคอมพิวเตอร 1.9 พนักงานดานการสื่อสารขอมูล(Data Communication Supervisor) ทําหนาที่ติดตั้งและดูแลการทํางานของอุปกรณดานการสื่อสารขอมูล ตลอดจนประเมินการทํางานของระบบการสื่อสารขอมูล 1.10 ผูเชีย่ วชาญดานการสื่อสารขอมูลหรือผูเชีย่ วชาญดานเครือขาย (Network -Specialist) ทําหนาที่ออกแบบระบบการสื่อสารขอมูลใน ระบบสารสนเทศ 1.11 นักวิเคราะหสารสนเทศ หรือผูประสานงานดานผูใช (Information Analyst or User Liaison) ทําหนาที่ประสานงานและศึกษาความ ต อ งการของผู ใ ช ง าน ผู ที่ ทํ า หน า ที่ นี้ ต อ งเข า กั บ คนได ง า ย สื่ อ สาร พูดคุยกับคนทั่วไป สามารถทําความเขาใจกับงานของผูใชตาง ๆ ไดดี www.themegallery.com

Company Logo

8


บุคลากรทางการบริหารสารสนเทศ 2.1 CIO (Chief Information Officer) เปนผูบริหารระดับสูงทางดานเทคโนโลยี สารสนเทศ รั บ ผิ ด ชอบเกี่ ย วกั บ การกํ า หนดนโยบาย ควบคุ ม ดู แ ลและ ประสานงานการใชเทคโนโลยีของหนวยงานตางๆ โดยเฉพาะอยางยิ่ง องคกรที่ใชเทคโนโลยีสารสนเทศเปนแกนนําในการดําเนินงาน เชน ธุรกิจ ธนาคาร ธุรกิจสายการบิน ธุรกิจดานการประกันภัย 2.2 MIS Manager or MIS Director เปนผูบริหารสูงสุดของหนวยงานดาน เทคโนโลยีสารสนเทศ ทําหนาที่จัดการและควบคุมดูแลการทํางานของ ระบบสารสนเทศทั้งหมดขององคกร ในลักษณะของการทํางานประจํา ไมใชงานระดับนโยบายดังเชน CIO 2.3 IS Executive เปนผูรับผิดชอบและควบคุมดูแลการทํางานดานระบบ สารสนเทศภายในหน ว ยงานที่ ต นเองรั บ ผิ ด ชอบอยู เช น ผู บ ริ ห ารของ หนวยงานหรือแผนกนั้นๆ ที่มีระบบสารสนเทศใชงาน www.themegallery.com

Company Logo

9


การจัดตั้งหนวยงานเพื่อรองรับระบบสารสนเทศใน องคกร เพื่อรองรับระบบสารสนเทศภายในองคกร มีวัตถุประสงค ในการดูแลบํารุงรักษาสารสนเทศ ใหสามารถตอบสนองตอการ เปลี่ยนแปลงที่เกิดขึ้นตลอดเวลาไดอยางเหมาะสมและหนวยงาน ที่ จั ด ตั้ ง ขึ้ น มาเพื่ อ ทํ า หน า ที่ ดั ง กล า วเรี ย กว า “หน ว ยงานระบบ สารสนเทศ (Information System Unit or IS Unit” สามารถจัดตั้ง ได 3 ลักษณะใหญ ๆ คือ 1. หนวยงานระบบสารสนเทศแบบรวมศูนย 2. หนวยงานระบบสารสนเทศแบบไมรวมศูนย 3. หนวยงานระบบสารสนเทศแบบกระจาย www.themegallery.com

Company Logo

10


การจัดตั้งหนวยงานเพื่อรองรับระบบสารสนเทศในองคกร

1.หนวยงานระบบสารสนเทศแบบรวมศูนย รับผิดชอบเกี่ยวกับเทคโนโลยีทั้งหมดขององคกรและรายงานผล การปฏิบัติงานทั้งหมดโดยตรงตอผูบริหารระดับสูงขององคกร หนาที่รบั ผิดชอบประกอบดวย 1.1 กําหนดแผนกลยุทธและแผนดําเนินการ ในการนําเทคโนโลยี สารสนเทศมาใชกับทุกหนวยงานในองคกร 1.2 ดําเนินการพัฒนาระบบสารสนเทศ และจัดการเครื่องมือเครื่องใชที่ เกีย่ วของกับระบบสารสนเทศใหกับทุกหนวยงานในองคกร 1.3 ออกแบบและดูแลรักษาฐานขอมูลเพื่อใชงานรวมกันไดทุกหนวยงาน 1.4 ดูแลการปฏิบัติงานโดยรวมของระบบ 1.5 ออกแบบและสรางระบบเครือขายคอมพิวเตอรขององคกร

ขอดี สามารถควบคุมดูแลขอมูลการดําเนินงานของระบบสารสนเทศตลอดจนรักษาความปลอดภัย ของฐานขอมูลขององคกรไดเปนอยางดี ขอเสีย การพัฒนาระบบคอมพิวเตอรใหกับฝายตางๆ จะใชเวลานาน บางกรณีก็ไมสามารถใหบริการ ลงไปไดถึงระดับลาง www.themegallery.com

Company Logo

11


การจัดตั้งหนวยงานเพื่อรองรับระบบสารสนเทศในองคกร (ตอ)

2.หนวยงานระบบสารสนเทศแบบไมรวมศูนย เปนการจัดตั้งหนวยงาน สารสนเทศขึ้นมาภายใตหนวยงานของผูใชแตละหนวย การพัฒนา ระบบสสารสนเทศจะทํ า การพั ฒ นาขึ้ น ด ว ยตนเอง โดยไม มี หนวยงานสารสนเทศในสวนกลางมาจัดทําให เนื่องจากหนวยงาน สารสนเทศแบบรวมศู น ย ไม ส ามารถสนองความต อ งการของ หนวยงานผูใชไดอยางเพียงพอ ขอดี สามารถพัฒนาระบบสารสนเทศไดตามความตองการของหนวยงาน ผูใช หนวยงานของผูใชมีความรูสึกวาเปนเจาของขอมูลของตนเอง การกระจายการใชเทคโนโลยีเปนไปอยางทั่วถึงกวาแบบรวมศูนย ข อ เสี ย การพั ฒ นาระบบต า งๆ จะเป น แบบต า งคนต า งทํ า ไม มี ก าร ประสานงานยอมเกิดปญหาการใชขอมูลรวมกันและการขัดแยง ของข อ มู ล ได ทํ า ให อ งค ก รไม ส ามารถใช ป ระโยชน สู ง สุ ด จาก ระบบสารสนเทศที่มีอยูได www.themegallery.com

Company Logo

12


การจัดตั้งหนวยงานเพื่อรองรับระบบสารสนเทศใน องคกร (ตอ) 3. หนวยงานระบบสารสนเทศแบบกระจาย การจั ด ตั้ ง หน ว ยงานระบบสารสนเทศแบบกระจายเป น แบบ ผสมผสานระหวางหนวยงานระบบสารสนเทศแบบรวมศูนยกับแบบ ไมรวมศูนยเขาดวยกัน เพื่อลดปญหาของทั้งสองรูปแบบลง โดยแบบรวมศู น ย มี ข อ จํ า กั ด ในเรื่ อ งความล า ช า และความ คลองตัวในการพัฒนาระบบสารสนเทศใหกับผูใช แบบไม ร วมศู น ย จ ะเกิ ด ความไม เ ป น อั น หนึ่ ง อั น เดี ย วกั น ของ สารสนเทศเนื่ อ งจากต า งฝ า ยต า งดํ า เนิ น การพั ฒ นาระบบงานของ ตนเองขาดการประสานงานดานการใชประโยชนของขอมูลรวมกัน และไมสามารถแลกเปลี่ยนขอมูลระหวางหนวยงานกันได www.themegallery.com

Company Logo

13


การจัดตั้งหนวยงานเพื่อรองรับระบบสารสนเทศใน องคกร (ตอ) ในป จ จุ บั น มี ห ลายองค ก ร ได แ ก ป ญ หาโดยการแยก หนวยงานสารสนเทศออกมาเปนบริษัทในเครือ (Subsidiary) จะ ทําใหเกิดความคลองตัวและความเปนอิสระในการดําเนินงาน นอกเหนือจากการแยกออกมาตั้งเปนบริษัทในเครือแลว ยังมี อีกวิธีหนึ่งคือการเรียกใชบริการที่เรียกวา Outsourcing คือการใช บริ ก ารจากบริ ษั ท ภายนอก ที่ ใ ห บ ริ ก ารด า นการพั ฒ นาระบบ สารสนเทศ

www.themegallery.com

Company Logo

14


Outsourcing 

หนวยงานใหบริการจากภายนอก ซึ่งอาจจะเปนองคกรบริษัท หรือธุรกิจที่ใหบริการการพัฒนาเทคโนโลยีสารสนเทศ ใหเปน บริษัทที่มีความรูความชํานาญ สามารถพัฒนาระบบงานใหเสร็จ ไดเร็ว และควบคุมคาใชจายได การวาจางหนวยงานหรือบริษัท ภายนอกใน การพัฒนาระบบงานทางดานไอที แทนการพัฒนา ดานหนวยงานของตนเอง

www.themegallery.com

Company Logo

15


ขอดีขอเสียของการ out source การเลือกใชบริการเอาตซอรสเปนทางหนึ่งที่มีขอดีขอเสียที่นาจะ พิจารณา ทั้งนี้เพราะงานทางดานไอทีเปนงานที่มีความตอเนื่อง งานที่มี การลงทุนและผูกพันกับทุกคนในองคกร การสรางงาน และพัฒนาระบบงานไอที จึงตองพิจารณาบนพื้นฐานหลายอยาง ประกอบกัน  จุดเดนของการใหบริษัทที่ใหบริการพัฒนาระบบงานเขามาทํา เอาตซอรสระบบงานขององคกรที่เห็นเดนชัดไดแก 

www.themegallery.com

Company Logo

16


จุดเดนของการ out source ทางดานการเงิน หลีกเลีย่ งการลงทุนจํานวนมาก เพราะการใชเอาตซอรสอาจใช เงื่อนไขขอตกลงจายคาบริการตามสภาพของการใชบริการที่ใหซึ่ง ทรัพยากรบางอยางไมตองลงทุนเอง  ชวยใหระบบการไหลของกระแสเงินสดดีขึ้น เพราะการใชบริการ สวนใหญจายเปนคาบริการรายเดือน รายป หรือการจายตามเงื่อนไข  สามารถปรับแตงขนาดของระบบ ตามสภาพการใชงานจึงทําใหได ระบบตรงกับสภาพงาน ไมลงทุนมากไป ขนาดของการบริการจะตรง ตามสภาพของธุรกิจจริง  ลดขนาดของสเปกงาน เพราะไมตองลงทุนในเรือ่ งไอทีเอง ดังนัน ้ ไม ตองมีการเตรียมสถานที่เพื่อรองรับงานทางดานนี้ 

www.themegallery.com

Company Logo

17


จุดเดนของการ out source ทางดานเทคนิค ทางดานเทคนิค  การเลือกสรรเทคโนโลยีเปนเรื่องยุงยาก ดังนั้นจึงไมตองกังวล เรื่องการเลือกใช การลงทุนทางดานเทคโนโลยีเกี่ยวโยงกับ วิสัยทัศนและ การเล็งหาเทคโนโลยี  สามารถปรับปรุงเทคโนโลยีใหกาวหนาไดงาย เพราะบริษัทผูให บริการเอาตซอรสจะตองปรับปรุงใหดีขึ้นตลอดเวลา  สามารถหาผูชํานาญงานทางดานเทคโนโลยีได โดยองคกรไม ตองกังวล เพราะหนวยงานเอาตซอรสตองจัดการหาผูชํานาญ เอง 

www.themegallery.com

Company Logo

18


จุดเดนของการ out source ทางดานการจัดการ ทางดานการจัดการ  ทําใหไมตองกังวลเรื่องการพัฒนางานทางดานไอที ทําให สามารถพุงความสนใจในเรื่องการบริหารจัดการมาที่เปาหมาย ธุรกิจหลักของ องคกรได  กระจายการดูแลทางดานไอทีไปใหกับองคกรอื่น โดยใหมีสวน ความรับผิดชอบแทน  หมดปญหาในเรื่องการแสวงหาบุคลากรที่เปนผูชํานาญทางดาน ไอที และไมตองดูแลหรือมีความกังวลเกี่ยวกับการทําให บุคลากรอยูภายใน องคกร 

www.themegallery.com

Company Logo

19


จุดเดนของการ out source ทางดานการทรัพยากรมนุษย ทางดานทรัพยากรมนุษย  การบริหารจัดการทรัพยากรมนุษย โดยเฉพาะทางดานไอทีได งายขึ้น เพราะสวนใหญเปนงานทางดานการสนับสนุนและ แกปญหาเฉพาะหนา จึงสามารถรวมบุคลากรและจัดการเรื่อง ทรัพยากรไดงายกวาการสรางหนวยงานไอทีที่มีความซับซอน  การจัดฝกอบรมและการสรางบุคลากรกระทําไดงายกวา เพราะ เนนการสรางบุคลากรที่ไมตองเกี่ยวกับเทคโนโลยีอยางลึกซึ้ง 

www.themegallery.com

Company Logo

20


จุดเดนของการ out source ทางดานการทางดานคุณภาพ ทางดานคุณภาพ  สามารถกําหนดระดับการใหบริการไดชัดเจน  ทําใหการประเมินและตรวจสอบสภาพการทํางานตาง ๆ ได งาย  การดําเนินงานทางดานคุณภาพสามารถควบคุมและจัดการกับ หนวยงานเอาตซอรสไดงายกวา 

www.themegallery.com

Company Logo

21


จุดเดนของการ out source ทางดานการทางความยืดหยุน ความยืดหยุน  ทําใหงายตอการปรับเปลี่ยนใหตรงกับความตองการและกระทํา ไดรวดเร็ว  มีการตอบสนองตอการใชงานในเรื่องการดําเนินงานที่ตองใช ทรัพยากรสูงสุด และทรัพยากรเบาบางไดงาย เชนการใหบริการ ที่หนาแนน ในชวงเวลาหนึ่ง 

www.themegallery.com

Company Logo

22


การจัดองคกรในหนวยงานระบบสารสนเทศ ประกอบดวยหนวยงานยอย ดังตอไปนี้ 1. หนวยงานปฏิบัติการ(Operation Unit) ทําหนาที่ควบคุมดูแล และ ปฏิบัติงานที่เกี่ยวของกับเรื่องตอไปนี้ -จัดเตรียมและบันทึกขอมูล -จัดลําดับงานกอนหลังในการประมวลผล -ดูและรักษาระบบสื่อสารขอมูลและฮารดแวร -ดูแลสื่อบันทึกขอมูลตางๆ

www.themegallery.com

Company Logo

23


การจัดองคกรในหนวยงานระบบสารสนเทศ (ตอ) 2. หนวยงานดานพัฒนาระบบ(System Development Unit) ทําหนาที่ เกี่ยวกับ -การวิเคราะหและออกแบบระบบสารสนเทศ -การพัฒนาระบบงานประยุกต -การจัดหาซอฟตแวรสําเร็จรูปมาใชงาน -การฝกอบรมผูใชงาน -การบํารุงรักษาระบบ

www.themegallery.com

Company Logo

24


การจัดองคกรในหนวยงานระบบสารสนเทศ (ตอ) 3. หนวยงานบริการทางเทคนิค (Technical Service Unit) ทําหนาที่ ให ก ารสนั บ สนุ น ทางด า นเทคนิ ค กั บ หน ว ยงานอื่ น ๆ ภายใต หนวยงานระบบสารสนเทศดวยกันเอง โดยมีหนาที่หลักดังนี้ -ดูแลซอฟตแวรระบบทั้งหมด -ดูแลและบริหารการใชขอมูลโดยรวมขององคกร -ประเมินเทคโนโลยีใหมๆเพื่อนํามาใชในองคกร

www.themegallery.com

Company Logo

25


การจัดองคกรในหนวยงานระบบสารสนเทศ (ตอ) 4. หนวยงานดานการวางแผนและบริหาร (Planning and Administration Unit) ทําหนาที่เกี่ยวกับ - การบริหารงานทั่วไป - การวางแผนการใชงานเทคโนโลยีเทคโนโลยีที่มีอยูใหเกิดประสิทธิภาพ สูงสุด - การจัดทํางบประมาณ - การบริหารงานบุคคลดานสารสนเทศ - การฝกอบรมเจาหนาที่ทางเทคนิค - การพัฒนาและกําหนดมาตรฐานในการทํางาน www.themegallery.com

Company Logo

26


หลักพื้นฐานดานความมั่นคงปลอดภัยของระบบสารสนเทศ (Information Security)

หลัก C.I.A • Confidentiality ความลับ • Integrity ความครบถวน • Availability สภาพพรอมใชงาน 27


ไวรัสคอมพิวเตอรคืออะไร 

ไวรัสคอมพิวเตอร คือ โปรแกรมคอมพิวเตอรหรือชุดคําสั่งเล็กๆ ที่ เขียนขึ้นเพื่อใหรบกวนการทํางาน หรือทําลายไฟลขอมูล ตลอดจน ไฟลโปรแกรมตางๆ ในระบบคอมพิวเตอร

คุณสมบัติพิเศษของไวรัสคอมพิวเตอรก็คือ ไวรัสคอมพิวเตอร สามารถหลบหลีกซอนตัวอยูในเครื่องคอมพิวเตอรเครื่องใดเครื่อง หนึ่ง และสําเนาคัดลอกเพื่อแพรกระจายตัวเองไปยังเครื่อง คอมพิวเตอรเครื่องอื่นๆ ได


ชองทางในการแพรกระจายไวรัสคอมพิวเตอร 1.

หนวยความจําสํารอง Virus

Virus

Virus


ชองทางในการแพรกระจายไวรัสคอมพิวเตอร 2.

ระบบเครือขาย


การทําความเสียหายใหกับระบบคอมพิวเตอร การสรางความเสียหายขึ้นกับวัตถุประสงคของผูเขียน โปรแกรมไวรัส  ลักษณะการสรางความเสียหายใหกับระบบ 2 ลักษณะ 1. Time Bomb เปนการสรางความเสียหายเมื่อถึงเวลาใดเวลา หนึ่ง เชน Michelangelo จะทํางานเมื่อถึงวันที่ 6 มีนาคม 2. Logic Bomb เปนการสรางความเสียหายเมื่อเงื่อนไขใด เงื่อนไขหนึ่งในระบบเกิดขึ้น เชน เงื่อนไขหากผูใช Save ขอมูลไวรัสก็จะทํางาน 


ประเภทของไวรัส 1. 2. 3. 4. 5. 6.

บูตเซกเตอรไวรัส (Boot Sector or Boot Infector Viruses) โปรแกรมไวรัส (Program or File Infector Viruses) มาโครไวรัส (Macro Viruses) สคริปตไวรัส (Scripts Viruses) มาโทรจัน (Trojan Horses) ไวรัสประเภทกลายพันธุ 00


1) Boot sector virus  

ไวรัสที่เก็บตัวเองอยูในบูตเซกเตอรของดิสก ถามีไวรัสเขาไปฝงตัวอยูในบูตเซกเตอรในบริเวณทีเ่ รียกวา Master Boot Record (MBR) ในทุกครั้งที่เปดเครือ่ ง จะเปนการปลุกใหไวรัสขึ้นมาทํางานทุกครั้งกอนการ เรียกใชโปรแกรมอื่นๆ ต.ย. Stoned, Angelina, Beijing


2) File virus    

ไวรัสอีกประเภทหนึ่งที่มกั จะระบาดดวยการติดไปกับไฟลโปรแกรมทีม่ ี นามสกุลเปน com, exe, sys, dll ไฟลโปรแกรมจะมีขนาดที่โตขึ้นจากเดิม บางชนิดอาจจะสําเนาตัวเองไปทับบางสวนของโปรแกรม ตัวอยาง Jerusalem, Die Hard II


3) Macro virus    

ไวรัสสายพันธุที่กอกวนโปรแกรมสํานักงานตางๆ เชน MS Word, Excel, PowerPoint เปนชุดคําสั่งเล็กๆ ทํางานอัตโนมัติ ติดตอดวยการสําเนาไฟลจากเครื่องหนึ่ง ไปยังเครื่องหนึ่ง มักจะทําใหไฟลมีขนาดใหญขึ้นผิดปกติ การทํางานหยุดชะงักโดยไมทราบ สาเหตุ หรือทําใหไฟลเสียหาย ขัดขวางกระบวนการพิมพ เปนตน ต.ย. Concept, Bandung


4) สคริปตไวรัส (Scripts Viruses)  

ไวรัสสายพันธุนี้เขียนขึ้นมาจากภาษาที่ใชในการเขียนโปรแกรม เชน VBScript, JavaScript ไวรัสคอมพิวเตอรเหลานี้จะทํางานเมื่อผูใชเปดหรือเรียกใชงานไฟลนามสกุล .vbs, .js ที่เปนไวรัส ซึ่งอาจจะติดมาจากการเรียกดูไฟล HTML ในหนาเว็บเพ จบนเครือขายอินเทอรเน็ต


5) Trojan horse  

เปนไวรัสประเภทสปาย (SPY) ที่จะคอยลวงความลับจากเครื่องของเรา สงไปใหผูเขียนโปรแกรม ระบาดกันมากบนอินเทอรเน็ต ความลับที่มาโทรจันจะสงกลับไปยัง ผูเขียนโปรแกรมไดแก Username, Password หรือเลขที่บัตรเครดิต


6) ไวรัสประเภทกลายพันธุ ไวรัสในยุคปจจุบันนี้ที่มีความสามารถในการ แพรกระจายตัวเองไดอยางรวดเร็ว เปลี่ยนแปลงลักษณะ ตัวเองไปเรือ่ ยๆ เพือ่ หลีกเลี่ยงการตรวจจับ และซอนแอบ อยูไดในระบบคอมพิวเตอร  ที่รูจักกันมากไดแกประเภทหนอน (Worm) ชนิดตางๆ ซึ่ง สามารถแพรกระจายผานเครือขายอินเทอรเน็ต  ตัวอยางของไวรัสประเภทนี้ที่รูจักกันดีก็ไดแก Love bug จะแพรกระจายผานทางอีเมล 


การแกไขระบบที่ติดไวรัสคอมพิวเตอร ตรวจสอบไวรัสที่เขามาคุกคามระบบวาเปนไวรัสอะไร ทําได 2 วิธี ดังนี้

1. ◦ ◦

นําเครื่องคอมพิวเตอรอื่นทีม่ ีซอฟตแวร Anti-virus ติดตั้งอยูและไดรับการ update ฐานขอมูลไวรัสตรวจสอบ ใชบริการระบบตรวจหาไวรัสคอมพิวเตอรผานเว็บ (ฟรี) เชน http://housecall.trendmicro.com/housecall/ หรือ http://www.pandasoftware.com/products/activescan/


การแกไขระบบที่ติดไวรัสคอมพิวเตอร 2. การจัดหาโปรแกรมสําหรับกําจัดไวรัสคอมพิวเตอรตัวนั้นๆ (Fix Tool) มาใชกําจัดไวรัสบนระบบ ซึ่งสามารถ download ไดฟรีจากเว็บไซตตางๆ เชน http://securityresponse.symantec.com/avcenter/tools.list.html หรือhttp://www.pandasoftware.com/download/utilities/ เปน ตน


การแกไขระบบที่ติดไวรัสคอมพิวเตอร 3.

4.

ตรวจสอบวาระบบปฏิบัติการของทานมีชองโหวที่ critical อยู หรือไม ซึ่งการตรวจสอบและแกไข โดยปกติทําไดโดยการ browse ไปที่ http://windowsupdate.microsoft.com/ Update ฐานขอมูลไวรัสของโปรแกรม Anti-virus แลวใช โปรแกรมทําการตรวจหาไวรัสบนระบบอีกครั้ง


การปองกันไวรัส 1. 2. 3. 4. 5.

2 วิธีแรกสําคัญ ที่สุด

ติดตั้งโปรแกรม Anti-virus บนระบบ ตรวจสอบและอุดชองโหวของระบบปฏิบัติการอยางสม่ําเสมอ ปรับแตงการทํางานของระบบปฏิบัติการและซอฟตแวรบน ระบบใหมีความปลอดภัยสูง ใชความระมัดระวังในการเปดอานอี-เมล และการเปดไฟลจาก สื่อบันทึกขอมูลตาง ๆ สํารองขอมูลที่สําคัญบนระบบอยูเสมอ


โปรแกรมปองกันไวรัส (Antivirus software)

โปรแกรมปองกันไวรัสมี 2 แบบใหญๆ คือ 1. แอนติไวรัส เปนโปรแกรมปองกันไวรัสทั่วๆไป จะคนหาและ ทําลายไวรัส 2. แอนติสปายแวร เปนโปรแกรมปองกันการโจรกรรมขอมูล จากไวรัสสปายแวร และจากแฮ็คเกอร รวมถึงการกําจัด Adware ซึ่งเปนปอปอัพโฆษณาอีกดวย


44


อาชญากรคอมพิวเตอร อาชญากรคอมพิวเตอรจะกออาชญากรรมหลายรูปแบบ ซึง่ ปจจุบันทั่วโลกจัด ออกเปน 9 ประเภท (ตามขอมูลคณะอนุกรรมการเฉพาะกิจรางกฎหมายอาชญากรรม คอมพิวเตอร) 1.การขโมยขอมูลทางอินเตอรเน็ต ซึง่ รวมถึงการขโมยประโยชนในการลักลอบใชบริการ 2.อาชญากรนําเอาระบบการสือ่ สารมาปกปดความผิดของตนเอง 3.การละเมิดสิทธิ์ปลอมแปลงรูปแบบ เลียนแบบระบบซอพตแวรโดยมิชอบ 4.ใชคอมพิวเตอรแพรภาพ เสียง ลามก อนาจาร และขอมูลที่ไมเหมาะสม 5.ใชคอมพิวเตอรฟอกเงิน 6.อันธพาลทางคอมพิวเตอรที่เขาไปกอกวน ทําลายระบบสาธาณูปโภค เชน ระบบจายน้าํ จาย ไป ระบบการจราจร 7.หลอกลวงใหรว มคาขายหรือลงทุนปลอม 8.แทรกแซงขอมูลแลวนําขอมูลนั้นมาเปนประโยชนตอตนโดยมิชอบ เชน ลักรอบคนหารหัส บัตรเครดิตคนอื่นมาใช ดักขอมูลทางการคาเพื่อเอาผลประโยชนนั้นเปนของตน 9.ใชคอมพิวเตอรแอบโอนเงินบัญชีผอู นื่ เขาบัญชีตัวเอง

www.themegallery.com

Company Logo

45


สรุปฐานความผิดและโทษตามรางพรบ.การกระทํา ความผิดทางคอมฯ

www.themegallery.com

Company Logo

46


Malicious screensavers (come with Spyware)

47


See URL – revenue.net => Spyware web site

48


Malicious Adware ActiveX from GAIN

49


รูปแบบการกระทําความผิด ตัวอยาง รูปแบบการกระทําความผิด

สปายแวร (Spyware) สนิฟเฟอร (Sniffer)

50

ตัวอยางผลกระทบตอ ความมั่นคงปลอดภัย (Information Security) & ความเสียหาย - การสอดแนมขอมูลสวนตัว - การแอบดักฟง packet

ฐานความผิด

มาตรา มาตรา ระบบ มาตรา มาตรา

๕ เขาถึงระบบคอมพิวเตอร ๖ เปดเผยมาตรการปองกัน ๗ เขาถึงขอมูลคอมพิวเตอร ๘ ดักรับขอมูลคอมพิวเตอร

การใชชด ุ คําสั่งในทางมิชอบ (Malicious Code) เชน Viruses, Worms, Trojan Horses

- การตั้งเวลาใหโปรแกรมทําลาย ขอมูลคอมพิวเตอรหรือระบบ คอมพิวเตอร - การทําใหระบบคอมพิวเตอรทํางาน ผิดปกติไปจากเดิม หรือหยุดทํางาน (Denial of Service)

มาตรา ๙ รบกวน/ทําลาย

สแปม (Spamming)

-รบกวนการใชระบบคอมพิวเตอร

มาตรา ๑๐/๑ การทําสแปม

การกระทําความผิดขางตน

- ผลกระทบตอความมั่นคงปลอดภัย ของประเทศ หรือทางเศรษฐกิจ -ความปลอดภัยสาธารณะ -การบริการสาธารณะ -อาจเกิดสงครามขอมูลขาวสาร (Information Warfare)

มาตรา ๑๑ เหตุฉกรรจ อันเกิดจาก การกระทําขางตน

ตามปกติ อาจถึงขั้นทําใหเปน Zombie

ขอมูลคอมพิวเตอร

มาตรา ๑๐ รบกวน/ทําลาย ระบบคอมพิวเตอร


Phishing in Thailand : KBANK case

Source : Foundstone.com

51


Phishing in Thailand : KBANK case

Source : Foundstone.com

52


Phishing in Thailand : KBANK case

Source : Foundstone.com

53


การควบคุมระบบสารสนเทศ (Information System Controls) การควบคุมอินพุท  การควบคุมการประมวลผล  การควบฮารดแวร (Hardware Controls)  การควบคุมซอฟทแวร (Software Controls)  การควบคุมเอาทพุท (Output Controls)  การควบคุมความจําสํารอง (Storage Controls) 


การควบคุมกระบวนการทํางาน (Procedural Controls) การมีการทํางานที่เปนมาตรฐาน และมีคูมือ  การอนุมัติเพื่อพัฒนาระบบ  แผนการปองกันการเสียหาย  ระบบการตรวจสอบระบบสารสนเทศ (Auditing Information Systems) 


การควบคุมอุปกรณอํานวยความสะดวกอื่น (Facility Controls) ความปลอดภัยทางเครือขาย (Network Security)  การแปลงรหัส (Encryption)  กําแพงไฟ (Fire Walls)  การปองกันทางกายภาพ (Physical Protection Controls)  การควบคุมดานชีวภาพ (Biometric Control)  การควบคุมความลมเหลวของระบบ (Computer Failure Controls) 


การรักษาความปลอดภัยของระบบคอมพิวเตอร 

การควบคุมที่มีประสิทธิผลจะทําใหระบบสารสนเทศมีความ ปลอดภัยและยังชวยลดขอผิดพลาด การฉอฉล และการทําลาย ระบบสารสนเทศที่มีการเชื่อมโยงเปนระบบอินเทอรเน็ตดวย ระบบการควบคุมที่สําคัญมี 3 ประการ คือ การควบคุมระบบ สารสนเทศ การควบคุมกระบวนการทํางาน และการควบคุม อุปกรณอํานวยความสะดวก (O’Brien, 1999: 656)

www.themegallery.com

Company Logo

57


แนวคิดในการรักษาความปลอดภัยของระบบ สารสนเทศ ความเสียหายที่อาจเกิดขึ้นกับระบบสารสนเทศ 1.ความเสียหายที่เกิดขึ้นจากการกระทําโดยเจตนามนุษย เชน การดัก จับสัญญาณที่สงไปทางเครือขายคอมพิวเตอร 2. ความเสียหายเนื่องจากภัยธรรมชาติเชน น้ําทวมไฟไหม 3. ความเสียหายเนื่องจากขาดระบบปองกันทางกายภาพเชนขาด โทรทัศนวงจรปด ขาดยามรักษาการณ 4. ความเสียหายเนื่องจากความบกพรองของระบบสภาพแวดลอม ของสารสนเทศ เชน ขาดระบบการปรับระดับไฟฟาและระบบ สํารองไฟฟา ขาดระบบปองกันอัคคีภัย www.themegallery.com

Company Logo

58


แนวคิดในการรักษาความปลอดภัยของระบบ สารสนเทศ (ตอ) 5. ความเสียหายเนื่องจากความลมเหลวของการทํางานของอุปกรณ ตางๆ 6. ความเสียหายเนื่องจากความลมเหลวของระบบเครือขาย 7. ความเสียหายเนื่องจากความผิดพลาดจากการทํางานภายในระบบ สารสนเทศ เชน การเขียนโปรแกรมผิดพลาด

www.themegallery.com

Company Logo

59


การรักษาความปลอดภัยใหกับระบบสารสนเทศ สามารถแบงได 3 แนวทางใหญๆ ดังนี้ 1. การวางแผนรักษาความปลอดภัยเชิงกายภาพ(Physical Planning Security) 2. การวางแผนรักษาความปลอดภัยเชิงตรรกะ (Logical Planning Security) 3. การวางแผนสํารองขอมูลปองกันความเสียหาย (Disaster Planning Security)

www.themegallery.com

Company Logo

60


1. การวางแผนรักษาความปลอดภัยเชิงกายภาพ 1.การจัดการดูแลและปองกันในสวนของอาคารสถานที่ 1.1ทําเลที่ตั้งศูนยคอมพิวเตอร อยูในยานที่ไมมีน้ําทวมถึงหรือเกิด เพลิงไหมไดงาย ไมอยูในยานที่มีกระแสแมเหล็กไฟฟาแรงสูง 1.2 การจัดการดูแลและปองกันภายในศูนยคอมพิวเตอร ควรเริ่ม ตั้ ง แต ก ารการออกแบบให มี ท างเข า ออกเพี ย งทางเดี ย ว มี ย าม รักษาการณ มีโทรทัศนวงจรปด บุคลากรควรมีบัตรรูดเขาหอง

www.themegallery.com

Company Logo

61


1.การวางแผนรักษาความปลอดภัยเชิงกายภาพ (ตอ) 2.การจัดการดูแลและปองกันเกี่ยวกับสภาพแวดลอม เชน มีระบบ ปรับอากาศแยกจากระบบปรับอากาศภายในสํานักงาน มีเครื่อง สํารองไฟฟา รวมถึงการดูแลเรื่องฝุนละอองเพราะจะมีผลถึงการ ทํางานที่ผิดพลาดของเครื่องคอมพิวเตอร เปนตน 3.การจั ด การดู แ ลและป อ งกั น ในส ว นของฮาร ด แวร ห น ว ยงาน สามารถดําเนินการได 3 ประการ 1.จัดการดูแลอุปกรณเอง 2.ใหบริษัทอื่นดูแลใหเปนครั้งๆไป 3.ทําสัญญาการบํารุงรักษาอุปกรณเปนรายป www.themegallery.com

Company Logo

62


2.การวางแผนรักษาความปลอดภัยเชิงตรรกะ เมื่อหมดสัญญารับประกันอุปกรณคอมพิวเตอร ก็ตองหาวิธีการ จั ด การหากเลื อ กการจั ด การดู แ ลอุ ป กรณ เ องก็ จ ะประหยั ด แต ก็ มี ขอจํากัดที่บุคลากรตองมีความรูทางดานฮารดแวร การเรี ย กบริ ษั ท ผู ข ายมาดู แ ลเป น ครั้ ง ๆไปก็ จ ะสะดวกในการ ทํางาน เพราะมีผูที่มีความชํานาญและประสบการณคอยใหบริการ แต คาใชจายคอนขางสูง ถาเลือกการทําสัญญาบํารุงรักษาเครื่องคอมพิวเตอรจะเปน ที่ นิยมมากเพราะชวยลดความเสี่ย ง ความล มเหลวไดดีและมี บ ริการ จัดหาอุปกรณทดแทนใหหากตองมีการนําอุปกรณกลับไปซอมเปน เวลานานๆ แตตองเลือกบริษัทที่มีความสามารถจริงๆ www.themegallery.com

Company Logo

63


2.การวางแผนรักษาความปลอดภัยเชิงตรรกะ (ตอ) 1.

2.

3.

การรักษาความปลอดภัยกอนผานขอมูลเขาสูระบบสารสนเทศ โดยใช USER ID และ PASSWORD เมื่อใสถูกตองแลวจึงสามารถเขา ไปใชงานได การรักษาความปลอดภัยในการใชขอมูล ในระบบสารสนเทศ คื อ มี ก ารกํ า หนดสิ ท ธิ ใ นการใช ง านให กั บ ผู ใ ช แ ต ล ะคน คื อ กําหนดรูวาคนใดบางที่สามารถเขาถึงขอมูลไดทั้งหมด หรือ บางคนอาจสามารถมองเห็นขอมูลไดบางสวน บางคนอาจทํา ไดแคการสอบถามขอมูล แตบางคนอาจแกไขไดดวย การรักษาความปลอดภัยในการรับสงขอมูล เชน อาจมีการถูก ดักจับสัญญาณขอมูล ดังนั้นในการสงขอมูลผานระบบสื่อสาร ขอมูลอาจมีการรักษาความปลอดภัยที่เรียกวา “การเขารหัส ขอมูล หรือ Data Encryption” www.themegallery.com

Company Logo

64


3.การวางแผนสํารองขอมูลเพื่อปองกันความเสียหาย 1. 2. 3.

การจั ด เตรี ย มศู น ย ค อมพิ ว เตอร สํ า รอง เพื่ อ ใช ร องรั บ ระบบ สารสนเทศหากเกิดภัยวิบัติ การจั ด เตรี ย มข อ มู ล สํ า รอง เพื่ อ ที่ ว า หากเกิ ด กรณี ผิ ด พลาด เกี่ยวกับขอมูล จะไดนําขอมูลที่สํารองไวมาใชใหมได การจัดเตรียมเรื่องการกูระบบหลังจากเกิดการเสียหายเกิดขึ้น คื อ แม ห ากเกิ ด ความเสี ย หายเกิ ด ขึ้ น ระบบก็ ยั ง สามารถ ดํ า เนิ น การต อ ไปได การวางแผนกู ร ะบบหลั ง จากเกิ ด ความ เสียหายจะเปนหนาที่ของ CIO หรือ MIS Director

www.themegallery.com

Company Logo

65


3.การวางแผนสํารองขอมูลเพื่อปองกันความเสียหาย (ตอ) 4.

การวางแผนปองกันไวรัสคอมพิวเตอร ซึ่งสวนใหญไวรัส จะ แพรกระจายในเครื่องไมโครคอมพิวเตอร ดังนั้นควรจะกําหนด มาตรฐานในการใชงานเครื่องคอมพิวเตอรอาจทําการติดตั้ง อุ ป กรณ ที่ ทํ า หน า ที่ ป อ งกั น ไวรั ส และจั ด เตรี ย มซอฟต แ วร สําหรับตรวจสอบและกําจัดไวรัส

www.themegallery.com

Company Logo

66

chapter 8  

 การจัดองคการและการรักษาความปลอดภัยสําหรับการจัดองคการและการรักษาความปลอดภัยสําหรับ ระบบสารสนเทศระบบสารสนเทศ www.themegallery.com 1 หัวข...

Read more
Read more
Similar to
Popular now
Just for you