บทท 1: ระบบร กษาความปลอดภ ยพ นฐาน



Similar documents
ต วอย างการใช งาน โปรแกรมกฎหมายส งแวดล อม ความปลอดภ ยและ การประเม นความสอดคล อง

แผนการจ ดการความร ประจ าป การศ กษา 2557 ส าน กส งเสร มว ชาการและงานทะเบ ยน องค ความร หล กการให บร การท ด ของบ คลากร สวท.

ค าอธ บายรายว ชา คอมพ วเตอร

ค ม อการใช งานระบบประเม นค ณภาพการศ กษา (e-sar) สาน กคอมพ วเตอร มหาว ทยาล ยท กษ ณ

รห สต วช ว ด รวม 7 ต วช ว ด

คาช แจง เคร องม อว ดและประเม นความสามารถและท กษะ ตามจ ดเน นการพ ฒนาค ณภาพผ เร ยน การใช เทคโนโลย เพ อการเร ยนร ช นม ธยมศ กษาป ท ๒

Office of the Civil Service Commission (OCSC)

การพ ฒนาโปรแกรมฐานข อม ล ส าหร บแฟ มข อม ลในคอมพ วเตอร ส วนบ คคล

แผนปฏ บ ต การประจ าป บ ญช ๒๕๕๘ ต.ค. ๕๗- ก.ย. ๕๘

How To Get A Lotus Note

E Office ส าน กงานเขตพ นท การศ กษานครราชส มา เขต 6

แผนงาน การประก นค ณภาพการศ กษาภายในของ กอศจ.ยศ.ทบ. ประจ าป งบประมาณ ๒๕๕๗

ตามค าร บรอง ระด บความส าเร จของการ พ ฒนาด านการท องเท ยว ของจ งหว ดพ ทล ง

ค ณสมบ ต ของผ สม คร และรายละเอ ยดว ชาท สอบ (พน กงานภายใน และบ คคลภายนอก) สอบข อเข ยน ความร ท วไป ความร เฉพาะตาแหน ง

ข นตอนในการจ ดท าระบบ HACCP ข นตอนท 12 การจ ดท าเอกสารและจ ดเก บบ นท ก

แผนการจ ดการความร (KM) ประจาป การศ กษา 2556 สายสน บสน น ประจาว ทยาเขตจ กรพงษภ วนารถ มหาว ทยาล ยเทคโนโลย ราชมงคลตะว นออก ว ทยาเขตจ กรพงษภ วนารถ

: Master of Public Health Program (Public Health Administration) M.P.H. (Public Health Administration)

หล กส ตร การบ าร งร กษาคอมพ วเตอร เบ องต น

ระบบ E-OFFICE เป นโปรแกรม ส าหร บบร หารงานในองค กร,บร ษ ท online ผ านระบบอ นเตอร เน ต หร อ Network

หล กส ตรอบรมคอมพ วเตอร การต ดต งระบบปฏ บ ต การส าหร บเคร องคอมพ วเตอร ส วนบ คคล

การพ ฒนาระบบเอกสารภายในส าน กงาน (E-Document)

สารบ ญ หน า บทท 1 ความร ท วไปเก ยวก บบ ญช เพ อการจ ดการ

เค าโครงการจ ดการเร ยนร โรงเร ยนเขาสวนกวางว ทยาน ก ล ภาคเร ยนท ๑ ป การศ กษา ๒๕๕๖

แบบฟอร ม 2 แผนการจ ดการความร (KM

แบบเสนอขออน ม ต โครงการ ว ทยาล ยการอาช พขอนแก น ภาคเร ยนท 2 ป การศ กษา 2554 ประเภทว ชา บร หารธ รก จ สาขาว ชา คอมพ วเตอร ธ รก จ สาขางาน การพ ฒนาโปรแกรม

เคร องม อช ดท ๕ ด านท กษะในการว เคราะห เช งต วเลข การส อสารและเทคโนโลย สารสนเทศ

รายงานผลการด าเน นงานของเจ าหน าท ความปลอดภ ยในการท างานระด บว ชาช พ

โรงเร ยนเซนต จอห นเทคโนโลย แผนการเร ยนหล กส ตรประกาศน ยบ ตรว ชาช พ พ ทธศ กราช 2545 (ปร บปร ง พ.ศ. ชม. รห สว ชา รายว ชา นก ชม.

แผนการจ ดการความร ประจ าป การศ กษา 2556 บ ณฑ ตว ทยาล ย มหาว ทยาล ยราชธาน

โดย : อ ญชนา กล นเท ยน

BMS INVENTORY ข อม ลพ นฐาน

แนวทางการประเม นการด าเน นงานศ นย ก าล งคนอาช วศ กษา (

แผนการจ ดการความร คณะเทคโนโลย การประมงและทร พยากรทางน า

CryptBot e-office/e-document Alert TM

การตรวจสอบการต ดต งโปรแกรมสแกนเอกสารและการด ภาพสแกน ค ม อทางด านเทคน ค

แผนการจ ดการความร ประจ าป งบประมาณ พ.ศ.2550 จ าแนกตามกระบวนการตามกรอบแนวทางการจ ดการความร ท ส าน กงาน ก.พ.ร.ก าหนด

แบบฟอร มท 6 แบบฟอร มแผนปร บปร งองค กร

โปรแกรมระบบเผยแพร ผลงาน และนว ตกรรมทางการศ กษา (E-innovation)

โครงการสอน ภาคเร ยนท 1 ป การศ กษา 2557 อาจารย ผ สอน ว าท ร.ต.หญ งวรรณธ ดา วรส ทธ พงษ ว ทยาล ยอาช วศ กษาพ ษณ โลก

จ ดท าโดย กองห องสม ด กรมย ทธศ กษาทหารเร อ

แผนพ ฒนาข ดสมรรถนะของบ คลากร

รายละเอ ยดเน อหาว ชาและการจ ดการเวลาเร ยน

โปรแกรม Limbothai. โปรแกรม Limbothai -ห องเร ยนทางไกล หน วยท 2 การต ดต ง

4. การใช งานโปรแกรมตารางค านวณ

หล กส ตร การสร าง E-book ด วยโปรแกรม DeskTop Author

ค ม อการใช งาน (ส าหร บผ จ ดก จกรรม) โครงการ พ ฒนาระบบบร หารจ ดการฐานข อม ล เคร อข ายผ ม ส วนได เส ยในการประกอบก จการพล งงาน

ËÅÑ Êٵà Managing and Reporting Sales Data with Excel 2010

รายงานผลการต ดตามผลการด าเน นงานตามแผนการจ ดการความร ประจ าป งบประมาณ 2553 (1 ต ลาคม ก นยายน 2553)

แนวทางการดาเน นงาน/ ต วอย างโครงการสาค ญ โครงการท ได การประช ม เพ มเต ม

ก จกรรมการจ ดการ ความร ระยะ เวลา ผ ร บผ ด ชอบ

ค ม อการปฏ บ ต งาน กระบวนการจ ดโครงการ/ก จกรรม

หล กส ตรประกาศน ยบ ตรว ชาช พ พ ทธศ กราช 2545

NYK LOGISTICS (THAILAND) CO., LTD. ร ปแบบ และการก าหนดรห สเอกสาร SP - EMC อน ม ต โดย จ ดท าโดย ตรวจสอบโดย

พ มพ งานคล อง สามารถท างานร วมก บผ อ นได ด ม ความร บผ ดชอบ กระต อร อร น ละเอ ยดรอบคอบ

หล กส ตรประกาศน ยบ ตรว ชาช พ พ ทธศ กราช 2545

แผนปฏ บ ต การพ ฒนาสถาบ นครอบคร วจ งหว ดประจวบค ร ข นธ ประจาป พ.ศ (Action Plan) ม.ค. 58 ธ.ค. 57 พ.ย. 57 ก.พ. 58

MICROSOFT ACCESS 2010 INTERMEDIATE

ก จกรรมท 2.1 ทบทวนการใช งานโปรแกรมระบบปฏ บ ต การ Windows 95 และการเร ยกใช งานโปรแกรมเอ กเซล

เอกสาร ค ม อการใช งาน โปรแกรม e-office ส าหร บผ ใช งานท วไป

เอกสารต วอย างโปรแกรมบร หารคล น ก. Future Software Dental Clinic VERSION 5.5 บร ษ ทนายเน ต จ าก ด

ค ม อการต ดต งโปรแกรม ระบบบร หารงานว จ ยแห งชาต แบบ Offline (NRPM Offline) ส าหร บเจ าหน าท หน วยงาน

สอนโดย อาจารย อน นตพร วงศ ค า อาจารย ประจ าคณะบร หารธ รก จ สาขาว ชาการตลาด มหาว ทยาล ยเวสเท ร น จ งหว ดกาญจนบ ร

ความส าค ญของการประเม นค ณภาพ สถานศ กษาโดยต นส งก ด ผ องพรรณ จร สจ นดาร ตน ศ กษาน เทศก เช ยวชาญ หน วยศ กษาน เทศก ส าน กงานคณะกรรมการการอาช วศ กษา

แผนการจ ดการความร สถาบ นการพลศ กษา ว ทยาเขตส โขท ย ประจ าป การศ กษา 2555

มาตรฐานการปฏ บ ต งาน เร อง การควบค มเอกสาร PE - EMC ตรวจสอบโดย

1. สาน กงานอ ตโนม ต ค ออะไร ก. สาน กงานไร กระดาษ ค. สาน กงานเคล อนท

กล มส งเสร มประส ทธ ภาพ การจ ดการศ กษา

มหาว ทยาล ยคร สเต ยน แบบประมวลรายว ชา

ค ม อการส ารองระบบจดหมายอ เล กทรอน กส กรมโยธาธ การและผ งเม อง และ

ค ม อการใช งาน สาหร บคร ผ สอน,คร ท ปร กษา

ท างานก บข อม ล การเล อนต าแหน ง

บทท 3 ระบบการแจ งข าวสารประชาส มพ นธ อ เล กทรอน กส

- พระราชกฤษฎ กาว าด วยว ธ การแบบปลอดภ ยในการท าธ รกรรมทาง อ เล กทรอน กส พ.ศ. ๒๕๕๓

ค ม อการใช งานผ ค าก บภาคร ฐ (Electronic Bidding : e-bidding)

มาตรฐานการอาช วศ กษา พ.ศ การประก นค ณภาพภายในการอาช วศ กษา ตามกฎกระทรวง ว าด วยระบบ หล กเกณฑ และว ธ การประก นค ณภาพการศ กษา พ.ศ.

Model การสร างองค ความร ท เป นประโยชน ผ านการเร ยนการสอน การท าว จ ย และการบร การ ว ชาการแก ส งคม บ ณฑ ตว ทยาล ยการจ ดการและนว ตกรรม ม นโยบายในการสร

แผนและนโยบายการจ ดการความร (Knowledge Management)

ตอนท 3 การนาเข าข อม ล

ระบบสารบรรณอ เล กทรอน กส

คอมพ วเตอร และการประย กต (COMPUTERS AND APPLICATIONS)

แบบบรรยายล กษณะงาน (Job Description) กรมพ ฒนาท ด น

แผนการจ ดการความร ประจ าป การศ กษา 2556 / ป งบประมาณ 2557 (SU KM 010) หน วยงาน คณะด ร ยางคศาสตร มหาว ทยาล ยศ ลปากร

ค าน า คณะคร ศาสตร มหาว ทยาล ยราชภ ฏสวนด ส ต 31 ม นาคม พ.ศ. 2556

โครงการให การศ กษาอบรมคณะกรรมการด าเน นการสหกรณ หล กส ตร การพ ฒนาศ กยภาพคณะกรรมการด าเน นการสหกรณ ข นพ นฐาน

หน วยงาน : งานเวชระเบ ยน ระบ หน วยงานท เก ยวข อง : - ท กหน วยงานท ใช งานระบบโปรแกรมบร หารงานโรงพยาบาล ทบทวนโดย ผ แทนฝ ายบร หาร... (นายพงษ ศ กด สมใจ)

รายละเอ ยดการจ างเหมาบร การด านบ นท กข อม ล

แผนปฏ บ ต งานโครงการพ ฒนาระบบบร หารจ ดการคล งข อสอบและการทดสอบมาตรฐานฝ ม อแรงงาน ด วยระบบอ เล กทรอน กส (Test Bank for e-testing System)

บทท 3 เทคน คการจ ดท าเอกสาร ของระบบสารสนเทศ

ประจ าป งบประมาณ พ.ศ. ๒๕๕๕

ว ธ การเข าใช งาน. ภาพท 1 หน าจอ Login

แบบฟอร มท 2 แผนพ ฒนาบ คลากรและแผนพ ฒนาปร บปร งว ฒนธรรมองค การ

Transcription:

บทท 1: ระบบร กษาความปลอดภ ยพ นฐาน ป ยพร น ราร กษ pnurarak@hotmail.com หล กส ตรผ เช ยวชาญด านความม นคงปลอดภ ยของระบบเคร อข ายและคอมพ วเตอร ระด บท 3 Why do we Why do we need Security? 1

Assets, Threats, Vulnerabilities, Risks, and Protective Measures ทร พย ส น ASSET THREAT ค กคาม VULNERABILITY จ ดอ อน PROTECTIVE MEASURES ป องก น ความเส ยง RISK ความจ าเป นท ต องม ความปลอดภ ยของข อม ล (THE NEED FOR SECURITY) At first, no or very little security. Until the importance of data was realized. Examples: Provide user id and password Encode information stored in the databases in some fashion. 4 2

ป จจ ยท ท าให เก ดความเส ยหายต อข อม ลในองค กร คน ฮาร ดแวร (Hardware) ซอฟต แวร (Software) โปรแกรมไวร ส (Virus Computer) ภ ยธรรมชาต ภยธรรมชาต WHAT IS SECURITY? Physical Security. Communication Security Emission Security Computer Security Network Security. Internet Security. 6 3

PUTTING THESE PRIMITIVES TOGETHER TO ACHIEVE CIA C I A Confidentiality การร บรองว าจะม การเก บ ข อม ลไว เป นความล บและ ผ ม ส ทธ เท าน นจ งจะเข าถ ง ข อม ลน Integrity การร บรองว าข อม ลจะไม ถ กเปล ยนแปลงหร อ ท าลายไม ว าจะเป นโดย Availability การร บรองว าข อม ลและ บร การการส อสารต าง ๆ พร อมท จะใช ได ในเวลาท ต องการใช งาน นได อ บ ต เหต หร อโดยเจตนา ต องการใช งาน www.the megaller SECURITY TRENDS Number of attacks: increasing Sophistication of attacks: increasing Intruder knowledge: decreasing 8 4

หล กในการสร างความม นคงปลอดภ ย Security Management Risk Policy, Security Standard i.e. BS7799 /ISO27001, COBIT Vulnerability & Threat attack ASSETS Network Security, Physical Security Cryptography, Application and System Development, Training and awareness, BCP, etc. Availability Physical Security, Security Implementation SECURITY DOMAINS IN ISO 27001 & ISO 17799 A.5 Security Policy A.6 Organization of information security A.7 Asset management A.8 Human resources security A.9 Physical and environment security A.10 Communications and operations management A.11 Access Control A.12 Information systems acquisition, development and maintenance A.13 Information security incident management A.14 Business continuity management A.15 Compliance 5

INFORMATION SECURITY STANDARD AND LAWS มาตรฐานนโยบายความปลอดภ ยข อม ลคอมพ วเตอร ISO/IEC 17799:2000 ISO/IEC 17799:2005 ISO/IEC 27001:2005 BS7799-2 IT Infrastructure Library BS15000/ITIL IT Governance Framework COSO CobiT กฎหมายความปลอดภย Health Information Portability and Accountability Act (HIPAA) Gramm-Leach- Bliley Act (GLB) Sarbanes- Oxley Act (SOX) 11 ATTACKS, SERVICES AND MECHANISMS Security Attack: Any action that compromises the security of information. Security Mechanism: A mechanism that is designed to detect, prevent, or recover from a security attack. Security Service: A service that enhances the security of data processing systems and information transfers. A security service makes use of one or more security mechanisms. 12 6

SECURITY ATTACK Any action that compromises the security of information Often threat & attack used to mean same thing Many different attacks Can be classified as Passive attacks Active attacks 13 SECURITY ATTACKS 14 7

SECURITY ATTACKS Interruption: This is an attack on availability Interception: This is an attack on confidentiality Modification: This is an attack on integrity Fabrication: i This is an attack on authenticity 15 SECURITY GOALS Confidentiality Authenticity Integrity Availability 16 8

17 PASSIVE ATTACKS Reading contents of messages Observing traffic flows Difficult to detect passive attacks Defense: to prevent their success 18 9

ACTIVE ATTACKS Modification or creation of data stream Four categories: modification of messages, replay, masquerade, denial of service Easy to detect but difficult to prevent Defense: detect attacks and recover from damages 19 20 10

21 ACTIVE ATTACK (3) 22 11

23 SECURITY SERVICES Confidentiality (privacy) Authentication (who created or sent the data) Integrity (data has not been altered) Non-repudiation (the order is final cannot deny) Access control (prevent misuse of resources) Availability (permanence, non-erasure) Denial of Service Attacks Virus that deletes files 24 12

X.800 SECURITY SERVICES (1) 25 X.800 SECURITY SERVICES (2) 26 13

X.800 SECURITY SERVICES (3) 27 X.800 SECURITY SERVICES (4) 28 14

SECURITY SERVICES VERSUS ATTACKS 29 X.800 SECURITY MECHANISMS (1) 30 15

X.800 SECURITY MECHANISMS (2) 31 X.800 SECURITY MECHANISMS (3) 32 16

SERVICES AND MECHANISMS 33 COMPUTER SECURITY RISKS ความเส ยงต อการเก ดความเส ยหายต อคอมพ วเตอร และข อม ล ค อเหต การณ หร อการใช งานท ก อให เก ดความเส ยหายต อฮาร ดแวร, ใ ซอฟท แวร, ข อม ล, และ ความสามารถในการประมวลผลข อม ล ร ปแบบของความเส ยงเหล าน อาจอย ในร ปของอ บ ต เหต หร อความต งใจ หากเป นความเส ยหายท เก ดจากความต งใจของบ คคลหร อกล มคน และเป นการกระท าท ผ ด กฏหมาย เราจะเร ยกว า อาชญากรรมทางอ นเทอร เน ต (computer crime หร อ cyber crime) 17

ร ปแบบของ COMPUTER SECURITY RISK Internet and network attacks Unauthorized access and use Hardware theft & vandalism Software theft Information theft System failure ร ปแบบของผ กระท าผ ด Hacker บคคลท บกรกเข าใช คอมพ วเตอร หร อเนทเว ร คอย างผ ดกฏหมาย บ คคลทบ กร กเขาใชคอมพวเตอรหรอเนทเวรคอยางผดกฏหมาย ม ความความร ด านคอมพ วเตอร และเนทเว ร คข นส ง Cracker เหม อน hacker และต องการเข าท าลายข อม ล, ขโมยข อม ล, หร อกระท าส งท ส อในทางประสงค ร าย ม ความความร ด านคอมพ วเตอร และเนทเว ร คข นส ง 18

ร ปแบบของผ กระท าผ ด (ต อ) Script kiddie เหมอน เหม อน cracker แตไมมความร ดานเทคนเคล แต ไม ม ความร ด านเทคน เค ล โดยมากจะเป นว ยร น ท ใช เคร องม อหร อซอฟต แวร ท เข ยนโดย hacker หร อ cracker ใน การบ กร กเข าใช งานคอมพ วเตอร Corporate spies บ คคลท ร บจ างบ กร กเข าจารกรรมข อม ลของบร ษ ท ฝ ายตรงข าม เพ อหว งผลความได เปร ยบ ทางด านธ รก จ ม ความความร ด านคอมพ วเตอร และเนทเว ร คข นส ง ร ปแบบของผ กระท าผ ด(ต อ) Unethical employees ล กจ างท เข าขโมยข อม ลของบร ษ ท โ เพ อหว งผลในการขายข อม ลส าค ญให ก บฝ ายตรงข าม ใ Cyberextortionist การใช email เพ อข บ งค บให บ คคลหร อองค กรจ ายเง น โดยหากไม ท าตามจะท าการสร าง ความเส ยหายให ก บคอมพ วเตอร หร อเน ทเว ร ค Cyberterrorist กล มคนท ใช อ นเทอร เน ตหร อเนทเว ร คในการท าลายหร อสร างความเส ยหายให ก บคอมพ วเตอร เพ อ ผลประโยชน ทางการเม อง 19

CLASSICATION OF SECURITY VIOLATION Cracking Spoofing Snooping Social Engineering Denial of Service CRACKING Often called as Hacking Break through the security by using the knowledge of Software Engineer Computer Network Operating System etc. 20

SPOOFING Act as the others, e.g. fake e-mail: e.g. sending an e-mail by pretending to be other (theoritical can be any name) fake IP: e.g. to gain accesses to the prohibit area http://www.data.com/roundups/images/vpn_servers_figure1.html SPOOFING Starting point for other security violation False information i protected by digital signature digital certification 21

SNOOPING Steal information during transmission Hardware: Packet Sniffer usually need access to the physical network Software: capture keystroke SNOOPING CONT. Other: Trashing (happened to credit card number) protected by: encryption security access control 22

SOCIAL ENGINEERING Talking between user and cracker Serious and Common protected by: policy knowledge of users DENIAL OF SERVICE attack the weakness of the network, e.g. spamming e-mail (mail bomb) b) spamming web request WinNuke protected by: hot fixes & patches firewall logging system 23

ประเด นเก ยวก บความปลอดภ ยบนเคร อข ายในป จจ บ น Virus and Worm Attacks Spyware Attacks Malware Attacks SPAM Mail Web Server Attacks Zero Day Threats Web Browser Threats SPIM P2P Phishing and Pharming Attacks 47 PHISHING 48 24

PHISHING 49 PHISHING 50 25

PHARMING 51 METHODS OF DEFENCE Encryption -----(Steganography) Software Controls (access limitations in a data base, in operating system protect each user from other users) Hardware Controls (smartcard) Policies (frequent changes of passwords) Physical Controls (locked in a secure room, case, box) 52 26

GENERAL RULES FOR PROTECTION software current & update HotFix & Patch th & upgrade encrypt sensitive information trainning user & administrator password & security policy monitoring: 100% monitor --> 100% secure GENERAL RULES FOR PROTECTION (CON.) Personal firewall Anti virus & Update Virus Signature AntiMalware AntiSpyware Beware of e-mail content & download Backup 27

2026 © DocPlayer.net Privacy Policy | Terms of Service | Feedback  | Do Not Sell My Personal Information