การเชื่อมโยงเครือข่ายภายนอก (External Network Connections)
ในการดำเนินงานขององค์กรนั้นไม่มีองค์กรใดที่ไม่มีการเชื่อมต่อไปยังภายนอกองค์กรผ่านเครือข่ายอินเตอร์เน็ต อย่างน้อยแต่ละองค์กรก็มีการรับส่งอีเมล์ และเข้าถึงอินเตอร์เน็ตภายนอกองค์กร ส่วนการใช้งานในลักษณะอื่น เช่น การรวมการทำงานของเซิฟเวอร์ภายในองค์กรกับแอพพลิเคชั่นของพันธมิตรแล้วเรียกใช้งานผ่านระบบเอ๊กทราเน็ต (Extranet) หรือการใช้เว็บเซอวิส การทำพาณิชย์อิเล็กทรอนิกส์ (Electronic Commerce) จะสามารถใช้งานได้ในวงกว้างผ่านการใช้ Web-base สำหรับการเลือกซื้อสินค้า ส่วนของเครือข่ายเสมือนส่วนบุคคล (Visual Private Network) จะอนุญาตให้พนักงานขององค์กรใช้เครือข่ายภายนอกในการเข้าถึงข้อมูลมายังเครือข่ายภายในองค์กร เพื่อใช้งานทรัพยากรต่างๆ ผ่านการเข้ารหัสในรูปแบบต่างๆ
การเชื่อมโยงเครือข่ายภายนอกจะครอบคลุมการติดต่อสื่อสารทั้งการเข้ามาภายในองค์กรและการออกไปภายนอก การควบคุมการเข้ามาภายในองค์กร (Inbound control) ประกอบด้วย การสแกนโปรแกรมไวรัสต่างๆ เพื่อเป็นการรับรองสิทธิการการเชื่อมโยงเส้นทางที่วิ่งมาจากเน็ตเวิร์คของพันธมิตรภายนอกองค์กร รวมไปถึงการควบคุมข้อมูลต่างๆ ที่เข้ามา เป็นต้น โดยกฎเกณฑ์ที่ใช้โดยทั่วไป เช่น หากมีการเข้าถึงข้อมูลจากภายนอกองค์กรเพื่อเข้าไปใช้งานทรัพยากรภายในองค์กรควรจะมีการควบคุมที่เรียกว่า DMZ (Demilitarized Zone) การควบคุมการออกไปภายนอกองค์กร (Outbound control) เป็นการป้องกัน traffic ภายในองค์กรที่วิ่งผ่านเราท์เตอร์ไปยังเครือข่ายภายนอกองค์กรที่ไม่ได้รับอนุญาต Filtering rule จะทำหน้าที่กรองข้อมูลที่มาจากภายในและภายนอกองค์กรอย่างรวดเร็ว
การกำหนดองค์ประกอบของการเชื่อมโยงระบบเครือข่ายภายนอกและภายในองค์กรซึ่งยุทธศาสตร์การรักษาความปลอดภัย ประกอบด้วย
- การทำธุรกิจร่วมกับพันธมิตรหรือหน่วยงานภายนอกอื่นๆ โดยจะอนุญาตให้เข้าถึงข้อมูลในระดับแอพพลิเคชั่น โดยต้องศึกษาธรรมชาติของหน่วยงานเหล่านี้ และความต้องการในการใช้งานแอพพลิเคชั่น รวมไปถึงการทำสัญญาควบคุมพฤติกรรมเพื่อกำหนดระดับของการเข้าถึงข้อมูล และจำกัดการเข้าถึงข้อมูลจากหน่วยงาน
- การให้บริการต่างๆ (Service) ซึ่งจัดไว้สำหรับสมาชิกโดยใช้งานผ่าน Public Internet โดยประกอบด้วยอินเตอร์เฟสต่างๆ เพื่อใช้ในระบบภายในองค์กรและมีการรองรับความเสี่ยงด้านความปลอดภัย ในการให้บริการ
- การให้บริการสาธารณะ (Public service) จะถูกจัดสรรการจัดการเครือข่ายแบบ DMZ (Demilitarized Zone) ซึ่งทำให้ back end ซึ่งส่วนใหญ่เป็นระบบภายในองค์กรมีความปลอดภัยมากขึ้น โดยประเด็นหลักคือ การดำเนินการ หรือการร้องขอข้อมูลต่างๆ ที่จะถูกส่งไปยังโซนที่เป็นระบบสาธาณะ (Public) ซึ่งจะมีการควบคุมที่น้อยกว่า หากจะเพิ่มประสิทธิภาพในการทำงานให้กับ Public จะต้องอาศัยการควบคุมที่มากขึ้น ซึ่งการให้บริการ Web server ในส่วนของ Front end จะช่วยในการทำงานกับส่วนที่เชื่อมต่อกับระบบสาธารณะ (Public) เพื่อควบคุมการเรียกใช้ข้อมูลในฐานข้อมูล เพื่อรักษาความปลอดภัยให้กับส่วนของ back end
ระบบคอมพิวเตอร์ส่วนบุคคล (Desktop Systems)
คอมพิวเตอร์เดสทอปมีการเชื่อมโยงความปลอดภัยของข้อมูล โดยผู้ใช้คอมพิวเตอร์ในการทำงานทั่วไปมีความเสี่ยงที่จะเกิดความไม่ปลอดภัยกับคอมพิวเตอร์ ทั้งเว็บไซด์ การรับส่งอีเมลล์ หรือแม้กระทั่งการโหลดซอฟแวร์ต่างๆ
ระบบความปลอดภัยบนเดสทอปนั้นยังถือเป็นสิ่งใหม่อยู่ ซอฟต์แวร์ที่เป็น Antivirus ยังมีการพัฒนาอย่างต่อเนื่อง การเตรียมความสามารถในการจัดการให้รวมที่ศูนย์กลาง และเป็นเครื่องมือที่ช่วยในการจัดการที่สนับสนุนองค์กรให้กว้างขึ้น ซึ่ง Microsoft ได้เตรียมระบบปฏิบัติการบนเดสทอปที่มีความสามารถสำหรับการจัดการเดสทอปที่นำมารวมไว้ที่ศูนย์กลาง ตัวอย่างเช่น การกำหนดการเข้าถึงไปจนถึงนโยบายในด้านความปลอดภัยเพื่อสนับสนุนองค์กรให้กว้างขึ้น
การพัฒนารูปแบบเทคโนโลยีระบบความปลอดภัยของข้อมูล และระบบการทำงานของเครื่องเดสทอป ช่วยให้มีการควบคุมระบบความปลอดภัยโดยอาจจะใช้โยบายมาใช้ร่วมกับเทคโนโลยี ได้ เช่น การเรียกใช้งานของผู้ใช้ระบบในระดับผู้ดูแลระบบจะมีความแตกต่างกับผู้ใช้ ระดับองค์กรทั่วไปซึ่งจะมีการกำหนดการเข้าถึงระบบตามความเหมาะสมสำหรับผู้ ใช้งานในแต่ละส่วนขององค์กร การควบคุมรหัสผ่าน รวมไปถึงสามารถที่จะกำหนดกลุ่มผู้ใช้แฟ้มข้อมูลต่างๆ ของแต่ละแผนกภายในองค์กร
ยุทธศาสตร์ที่เป็นองค์ประกอบสำหรับของระบบเครื่องคอมพิวเตอร์แบบเดสทอปประกอบไปด้วย
- นโยบายต่างๆ สำหรับผู้ใช้ระบบที่ยอมรับได้
- การจัดการโครงสร้างภายนอกของทั้งฮาร์ดแวร์และซอฟต์แวร์ในระบบคอมพิวเตอร์ เดสทอป
- ความปลอดภัยที่เกี่ยวกับการควบคุมการทำรายการต่างๆ และควบคุมการวัด
- สิทธิการเข้าถึงระบบโดยผู้ใช้ จำกัดฟังก์ชั่นของระบบปฏิบัติการให้เป็นไปตามเป้าหมายทางธุรกิจ
- Antivirus และ Antispyware
- การติดตั้งไฟล์วอลล์ในคอมพิวเตอร์เดสทอป
- การอัพเกรดและปรับปรุงระบบความปลอดภัยซึ่งประกอบไปด้วยเครื่องมือในการจัดการ
- การจัดการความปลอดภัยของอุปกรณ์จัดเก็บข้อมูลและการออกแบบการจัดเก็บข้อมูลในระยะยาวโปรแกรมประยุกต์และระบบการจัดการฐานข้อมูล (Applications and DBMS)
โปรแกรมประยุกต์ที่ใช้ในการปฏิบัติงานจริงของระบบคอมพิวเตอร์ โดยการอัพเกรดโปรแกรมประยุกต์ในส่วนของบัญชีทั่วไป การติดตามในเรื่องของการขาย การทำรายการต่างๆ การติดตามเวลาการทำงานของพนักงาน และการตรวจสอบเงินเดือน ซึ่งฟังก์ชั่นทั้งหมดนี้เป็นขั้นตอนในการดำเนินงานอย่างต่อเนื่องโดยจะเป็นหลักสำคัญของระบบคอมพิวเตอร์สำหรับธุรกิจ โปรแกรมประยุกต์จะประกอบไปด้วย โปรแกรมเวิร์ด อีเมล์ โปรแกรมปฏิทิน โปรแกรมประเภทตารางคำนวณ โปรแกรมการจัดการฐานข้อมูล ซึ่งโปรแกรมประยุกต์ต่างๆ จะช่วยในการสนับสนุนการเชื่อมโยงเครือข่ายพื้นฐานที่ประกอบไปด้วย Domain name service (DNS) ซึ่งเป็นการตั้งชื่อของระบบเครือข่ายและ Dynamic Host Configuration Protocol (DHCP) เป็นการกระจายไอพีแอดเดรสแบบอัตโนมัติ
ซอฟต์แวร์ประยุกต์ที่เป็นการพัฒนาตามความต้องการของลูกค้าหรือการซื้อจากตัวแทนจำหน่ายซอฟต์แวร์ประยุกต์ ถ้าเป็นการซื้อซอฟต์แวร์จะมีความยุ่งยากโดยจะมีการสนับสนุนจากผู้ขาย ซึ่งการพัฒนาซอฟต์แวร์เองตามความต้องการเฉพาะขององค์กรก็จะทำให้การทำงานของซอฟต์แวร์มีประสิทธิภาพ แต่ทั้งนี้ก็ต้องพิจารณาความคุ้มค่าที่จะต้องจ้างพนักงานผู้เชี่ยวชาญมาทำการผลิตด้วย
ความปลอดภัยของโปรแกรมประยุกต์เป็นเรื่องที่ยุ่งยากเพรสะยิ่งมีเงื่อนไขด้าน ความปลอดภัยที่ซับซ้อนมากขึ้นก็จะยิ่งทำให้ความสะดวกในการใช้งานน้อยลง ดังนั้นจึงต้องพิจารณาทำให้เกิดความสมดุลด้วย ส่วนในด้านเทคนิคก็ต้องมีการพิจารณาในทุกๆด้านคือ ความสอดคล้องของระบบปฏิบัติการ การเชื่อมโยงเครือข่าย และการควบคุมซอฟต์แวร์ประยุกต์ ซึ่งการควบคุมระบบปฏิบัติการมีผลกับการเข้าถึงฟังก์ชั่นต่างๆ ระบบปฏิบัติการที่รับรองให้ผู้ใช้ระบบสามารถเข้ามาปฏิบัติงานได้และควบคุม การเข้าถึงแฟ้มข้อมูล เครื่องพิมพ์ และการออกแบบเครือข่าย ความน่าเชื่อถือในความปลอดภัยของระบบปฏิบัติการจะต้องพิจารณาในเรื่องของ ความปลอดภัยซอฟต์แวร์ประยุกต์ที่ไม่สามารถเข้าถึงได้โดยตรงในบางฟังก์ชั่น อุปกรณ์คอมพิวเตอร์ที่มีขนาดเล็ก (Portable Computing Devices)
อุปกรณ์คอมพิวเตอร์ที่มีขนาดเล็กและสะดวกต่อการเคลื่อนย้าย คืออุปกรณ์ที่สามารถเก็บหรือประมวลผลการทำงานของข้อมูลซึ่งเป็นการออกแบบให้ง่ายเฉพาะกลุ่มบุคคล เช่น เครื่องคอมพิวเตอร์โน้ตบุค เครื่องคอมพิวเตอร์ขนาดเล็ก (PDA) ซึ่งอุปกรณ์เหล่านี้สามารถที่จะทำการเชื่อมโยงระบบเครือข่ายแต่ยังไม่มีความปลอดภัยเท่าที่ควร
อุปกรณ์คอมพิวเตอร์ขนาดเล็กสนับสนุนกระบวนการทางธุรกิจขององค์กรซึ่งก็คือสามารถที่จะเข้าถึงข้อมูลต่างๆ ขององค์กรได้ด้วยอุปกรณ์ส่วนตัวของตนเอง เมื่ออุปกรณ์คอมพิวเตอร์ขนาดเล็กมีการเตรียมไว้สำหรับผู้ใช้เฉพาะบุคคลในองค์กร เพื่อเป้าหมายในการขยายขีดความสามารถในการทำงาน ซึ่งอุปกรณ์คอมพิวเตอร์ขนาดเล็กนี้อาจจะใช้สำหรับงานดังต่อไปนี้
- การเข้าดูข้อมูล เป็นประโยชน์ในการอ่านและรับส่งในการตรวจสอบข้อมูลต่างๆ
- สนับสนุนการขายสินค้าผ่านทางโทรศัพท์มือถือ หรือเครื่องพีดีเอ เช่น การสั่งสินค้า และการจัดการข้อมูลลูกค้า
- สนับสนุนตามความต้องการของลูกค้าผ่านทางโทรศัพท์มือถือ หรือเครื่องพีดีเอ โดยมีการให้บริการติดตามข้อมูลข่าวสาร และสามารถให้ข้อมูลต่างๆ ที่เกิดจากการทำงาน
- กลยุทธ์ในด้านความปลอดภัยของข้อมูลจึงเข้ามามีบทบาทโดยจะพิจารณาความสมดุลย์ ระหว่างความง่ายในการเข้าถึงสารสนเทศเพื่อการดำเนินงานของธุรกิจเป็นไปอย่าง มีประสิทธิภาพและเพื่อสนับสนุนการทำงานหรือการให้บริการลูกค้าได้เป็นไปตาม ที่องค์กรต้องการ การบริหารจัดการระบบรักษาความปลอดภัยขององค์กร
(Enterprise Security Management Systems)
เทคโนโลยีสารสนเทศ จะสนับสนุนกระบวนและขับเคลื่อนการทำงานทางธุรกิจ ซึ่งการสนับสนุนต่างๆ จะถูกจัดการผ่านโครงสร้างทางเทคโนโลยีขององค์กร ซึ่งโครงสร้างระบบสารสนเทศจะสนับสนุนการเชื่อมโยงกับแอพพลิเคชั่นที่ซับซ้อน อีกทั้งช่วยสร้างให้การรักษาความปลอดภัยทางข้อมูล (Information Security) เป็นไปด้วยความเหมาะสม
แอพพลิเคชั่นที่มีหน้าที่สนับสนุนกระบวนการรักษาความปลอดภัยสารสนเทศธุรกิจ จะต้องไม่มีผลกระทบกับแอพพลิเคชั่นที่มีหน้าที่เชื่อมต่อและทำให้เกิดการ Share ข้อมูลทางธุรกิจระหว่างหน่วยงานต่างๆ โดยแอพพลิเคชั่นเหล่านี้จะประกอบไปด้วยกิจกรรมด้าน การวางแผนโครงการ (Project planning) การจัดทำงบประมาณ การประมวลผลข้อมูลและจัดทำเอกสารด้วย เป็นต้น
แอพพลิเคชั่นอื่นๆ ที่เป็นลักษณะเฉพาะจำเป็นต้องมีการรักษาความปลอดภัยทางข้อมูล (Information Security) อย่างเคร่งครัดแต่อย่างไรก็ตามต้องไม่มีผลกระทบในวงกว้างแก่บริษัท ซึ่งโปรแกรมที่สนับสนุนการรักษาความปลอดภัยทางข้อมูล (Information Security) ที่ทำให้มีผลกระทบกับการวางแผนเทคโนโลยีโดยรวมนั้นสามารถยกตัวอย่างได้ดังนี้คือ
- ระบบเพื่อการจัดการในการกำหนดค่า Parameter ของระบบรักษาความปลอดภัย ซึ่งจะอนุญาตให้แก่ Administrator จัดการได้เท่านั้น โดย Administrator จะทำการกำหนดค่าการทำงานของอุปกรณ์บนเครือข่าย (Configuration) รวมถึงการกำหนดค่าการทำงานของแอพพลิเคชั่นในการบริหารจัดการต่างๆด้วย
- ระบบและเครื่องมือควบคุมการจราจรบนเครือข่าย ออกแบบมาเพื่อจำกัดการจราจรบนเครือข่ายระหว่างเครือข่ายย่อย (Subnet) เครื่องมือเหล่านี้ประกอบไปด้วย Firewall, Proxies และอุปกรณ์ในการกรองข้อมูลต่างๆ (Filtering devices)
- เครื่องมือในการจัดการการระบุตัวตนของผู้ใช้ระบบ รวมถึงสิทธิในการเข้าถึงและการได้รับอนุญาต โดยประกอบไปด้วย ตัวอย่างระบบการจัดการระบุตัวตนที่เป็นที่รู้จักอย่างแพร่หลาย และที่มีการใช้มากที่สุดคือ Public Key Infrastructure (PKI) นั่นเอง
- อุปกรณ์ในการควบคุมสถานะความปลอดภัย ประกอบไปด้วย เครื่องมือวิเคราะห์การเก็บบันทึก (Log analysis) และตรวจสอบวิเคราะห์การสะกดรอย (Audit trail analysis)
- เครื่องมือในการควบคุมกิจกรรมในการรักษาความปลอดภัย เครื่องมือเหล่านี้ประกอบไปด้วย การวิเคราะห์การเก็บบันทึก (Log analysis) ระบบการตรวจจับการบุกรุก (Intrusion detection systems) และศูนย์กลางที่ดูแลการต่อต้านไวรัส
แอพพลิเคชั่นในการรักษาความปลอดภัยนี้เกี่ยวข้องกับหน้าที่ของการรักษาความปลอดภัยซึ่งถูกฝังลงในการทำงานทั้งหมดขององค์กร (Enterprise-wide workflows) การควบคุมอุปกรณ์ทั้งหมดขององค์กร และการควบคุมการทำงานของเครือข่ายในบริษัท โดยฟังก์ชั่นการรักษาความปลอดภัยทางข้อมูล (Information Security) ทั้งหมดนี้เป็นส่วนหนึ่งของการวางแผนเกี่ยวกับเทคโนโลยีขององค์กร
กลยุทธ์การรักษาความปลอดภัยทางข้อมูล (Information Security) ควรจะมีการวิเคราะห์ความต้องการแอพพลิเคชั่นเหล่านี้ เพื่อจัดทำคำแนะนำในเบื้องต้น ซึ่งแสดงรายละเอียดเกี่ยวกับประโยชน์ใช้สอยของแอพพลิเคชั่นเหล่านั้นแก่องค์กร และอธิบายโครงสร้างทางเทคนิคที่จำเป็นต่อการสนับสนุนการทำงานของแอพพลิเคชั่น โดยจะมีการอธิบายอย่างคร่าวๆ เพื่อให้บุคคลากรที่ไม่มีความรู้ทางเทคนิคเข้าใจถึงความสำคัญ
เครื่องมือสำหรับกำหนดค่าการทำงานของระบบรักษาความปลอดภัย
(Security Configuration Management Tools)
เครื่องมือในการกำหนดค่าการทำงานของระบบรักษาความปลอดภัยนั้นในปัจจุบันจะเกี่ยวโยงอย่างใกล้ชิดกับการ กำหนดค่าการทำงานของระบบทางธุรกิจ (Enterprise Configuration) และการบริหารการเปลี่ยนแปลง (Change Management) ซึ่งเป็นหัวใจขององค์กร
การติดตั้งซอฟต์แวร์อัพเดท (Patch) เป็นเครื่องมือหนึ่งซึ่งช่วยอำนวยความสะดวกสำหรับการจัดการการกำหนดค่าการทำงานของระบบรักษาความปลอดภัย โดยอุปกรณ์บนเครือข่ายทั้งหมดและเซิฟเวอร์จำเป็นต้องมีการติดตั้งซอฟต์แวร์อัพเดทเพื่อแก้ไขปัญหาทางด้านความปลอดภัย
การจัดทำซอตฟ์แวร์อัพเดทขึ้นมาเอง (Manual patching) อาจใช้ได้สำหรับองค์กรขนาดเล็ก แต่องค์กรขนาดใหญ่จำเป็นต้องอาศัยการแก้ไขปัญหาโดยอัตโนมัติ ดังนั้นจึงควรพิจารณาถึงค่าใช้จ่ายในการจัดการเกี่ยวกับซอฟต์แวร์อัพเดทนี้ด้วย
ระบบการรักษาความปลอดภัยแบบเดสก์ทอป (Desktop security) จะมีระบบกำจัดไวรัส และระบบกำจัดสปายแวร์ ดังนั้นจึงจำเป็นต้องมีการอัพเดทบ่อยครั้งเพื่อรักษาประสิทธิภาพในการทำงาน แอพพลิเคชั่นเหล่านี้จำเป็นต้องติดตั้งบนระบบเดสก์ทอปทั้งหมด และกำหนดค่าในการใช้งาน ซึ่งหากมีสัญญาณว่าจะเกิดการโจมตีแก่ระบบเหล่านั้นจะต้องมีการเตือน User และต้องให้ความรู้กับ User ในการปฏิบัติเมื่อเกิดเหตุการณ์เครื่องมือควบคุมการจราจรบนเครือข่าย (Network Traffic Control Tools)
การควบคุมการจราจรบนเครือข่ายเป็นหน้าที่รับผิดชอบของอุปกรณ์ไฟล์วอล ซึ่งทำหน้าที่ป้องกันระบบเครือข่ายภายในองค์กร จากการคุกคามบนเครือข่ายคอมพิวเตอร์สาธารณะ (Public Internet) การเพิ่มขึ้นของการเชื่อมต่อระหว่างธุรกิจกับธุรกิจ จึงได้มีการกำหนดการควบคุมการจราจรบนเครือข่าย ซึ่งประกอบด้วย กฎสำหรับการเชื่อมต่อไปยังเครือข่ายของคู่ค้า ซึ่งจะมีการส่งข้อมูลผ่านเครือข่ายสาธารณะ ตัวอย่างเช่น การทำการค้าอิเล็กทรอนิกส์ระหว่างธุรกิจกับธุรกิจ (Business to Business e-commerce ) และการที่พนักงานเข้าถึงข้อมูลของเครือข่ายภายในองค์กรโดยการสื่อสารทางไกล (Remote Access)
การควบคุมการจราจรที่ใช้ภายในเครือข่ายขององค์กร จะใช้เพื่อการจำแนกข้อมูลที่มีความสำคัญ และเพื่อจำกัดการกระจายตัวของโปรแกรมที่มีจุดประสงค์ร้ายต่อระบบเครือข่าย (Malicious software) ซึ่งการจำกัดขอบเขตของตำแหน่งจะทำให้เราสามารถตรวจพบได้อย่างรวดเร็ว
กลไกการทำงานสำหรับการควบคุมการจราจรบนเครือข่าย จะประกอบด้วยอุปกรณ์ดังต่อไปนี้
- Firewall – เป็นอุปกรณ์พื้นฐานซึ่งออกแบบสำหรับจุดประสงค์ข้างต้น
- Routers – เป็นอุปกรณ์พื้นฐานซึ่งออกแบบสำหรับการเพิ่มประสิทธิภาพของเส้นทางการจราจรในการจัดส่งข้อมูลไปยังจุดหมายปลายทาง เทคโนโลยีเราท์เตอร์ที่ใช้กันอยู่ในปัจจุบัน ประกอบด้วย คุณสมบัติในการทำงานซึ่งคล้ายกับไฟล์วอลโดยการกรองข้อมูลการจราจร เพื่อสนับสนุนวัตถุประสงค์ในการรักษาความปลอดภัย
- Proxy server – เป็นอุปกรณ์ที่ออกแบบมาเพื่อหลบซ่อน หรือควบคุมการเข้าถึงระบบแอพพลิเคชั่นโดยตรง โดย Proxy server จะถูกใช้บ่อยในการควบคุมเส้นทางการจราจร เพื่อใช้บริการแอพพลิเคชั่นต่างๆ เช่น เว็บไซด์ โดยการกรองข้อมูลการจราจรที่เข้ามายังแอพพลิเคชั่นเซิรฟ์เวอร์
- Virtual Private Networks (VPNs) เป็นการรักษาความปลอดภัยผ่านเส้นทางการจราจร ระหว่างเครือข่าย โดยเป็นการสื่อสารผ่านเครือข่ายสาธารณะซึ่งอาจมีความเสี่ยงด้านความปลอดภัย โดยทั่วไปจะใช้ในการสื่อสารเพื่อให้สำนักงานสาขาสามารถเข้าถึงศูนย์กลางสำนักงานใหญ่ได้ และสามารถให้พนักงานสามารถเข้าถึงเครือข่ายขององค์กรโดยการเชื่อมโยงทางไกล ด้วยการเข้าระหัส นั้นคือเปรียบเสมือน (Virtual) มีโครงข่ายสื่อสารส่วนตัว (Private Network) นั่นเอง แต่จริงๆแล้วเป็นการใช้โครงข่ายสาธารณะด้วยการเข้าระหัส จึงดูเหมือนว่ามีท่อการสื่อสารเป็นของตนเองข้อคำนึงสำหรับการควบคุมการจราจรบนเครือข่ายในการรักษาความปลอดภัย ประกอบด้วย
- การกำหนดเครือข่ายภายในและภายนอก ซึ่งสามารถแบ่งออกได้เป็นโซน หรือพื้นที่ในการรักษาความปลอดภัย ซึ่งจะมีการกำหนดนโยบายในการรักษาความปลอดภัย และรวมทั้งมีการกำหนดลำดับชั้นของการเข้าถึงข้อมูลอีกด้วย นั่นคือมีการใช้การจัดการด้านเทคนิคร่วมกับนโยบายในเวลาเดียวกันนั่นเอง
- ระบุชนิดของการจราจรบนเครือข่ายที่อาจมีการไหลระหว่างโซน หรือพื้นที่การรักษาความปลอดภัยและมีการกำหนดการควบคุมเส้นทางการจราจร
- กำหนดชนิดของอุปกรณ์ที่ได้จัดสรรไว้ เพื่อใช้ดำเนินการตามกฎเกณฑ์ในการกรองของระบบเครือข่าย
ผู้บริหารจะต้องรับผิดชอบในการอนุมัตินโยบายการกรองข้อมูล การนำกฎไปใช้งาน การอนุมัติในข้อยกเว้นต่างๆ และควรมีการกำหนดแนวทางการตัดสินใจเมื่อเกิดปัญหาความขัดแย้งด้วย
การทำรายงานสำหรับเหตุการณ์ต่างๆ เป็นการจัดทำข้อมูลเกี่ยวกับประสิทธิภาพของกฎที่ใช้ในการกรอง ผลกระทบของกฎต่อการออกแบบเครือข่ายที่สำคัญอื่นๆ และความเป็นไปได้ที่จะเกิดช่องโหว่ของการรักษาความปลอดภัย การทำรายงานสำหรับเหตุการณ์ต่างๆ เป็นการจัดทำข้อมูลที่มีคุณค่าในการบริหารจัดการในการบ่งบอกถึงสถานะขององค์กรเกี่ยวกับความเป็นไปได้ในการเกิดช่องโหว่ขององค์กร และประสิทธิผลของการควบคุมการรักษาความปลอดภัย ยิ่งไปกว่านั้นเมื่อมีภัยคุกคามเกิดขึ้นก็จะถูกขัดขวางและบันทึกการคุกคามที่เกิดขึ้น โดยจัดทำเป็นตัววัดเพื่อบอกถึงระดับของอันตรายที่จะเกิดขึ้นแก่ระบบ และหาข้อสรุปเกี่ยวกับแนวทางการป้องกันที่มีประสิทธิภาพ เพื่อนำไปสู่ความสำเร็จของการควบคุมการรักษาความปลอดภัย
เครื่องมือในการจัดการการระบุตัวตนของผู้ใช้ การรับรองและการอนุญาตให้ใช้งาน
(User Identification, Authentication, and Authorization Management Tools)
การระบุตัวตน การพิสูจน์ความน่าเชื่อถือและควบคุมการเข้าถึง (Identification, Authentication and Access control: IAA) การจัดการการแสดงตัวตนของผู้ใช้ที่อยู่ภายในเครือข่าย โดยวิธีการทดสอบเพื่อระบุตัวตนและแหล่งที่มาเพื่อที่จะยินยอมให้ผู้ใช้เข้าถึงระบบได้การพิจารณาอนุญาตให้เข้าถึงอาจตัดสินจากระดับบนเครือข่ายดังนี้
ระดับ IP กำหนดการเข้าถึงเครือข่ายไม่ว่าจุดที่เชื่อมต่อของผู้ใช้จะกำหนด IP ให้และอนุญาตให้รับและเข้าสู่ภายในเครือข่ายได้ อุปกรณ์ที่ใช้ควบคุมดูแลการเข้าถึงเครือข่ายในระดับ IP คือ VPN หรือ Remote access server
- ระดับทรัพยากร (Resource) เป็นการกำหนดการเข้าถึงเครือข่ายไปยังแฟ้มข้อมูลที่ใช้ร่วมกันภายในเครือข่าย เครื่องพิมพ์และทรัพยากรอื่นๆ
- ระดับ Host ซึ่งเป็นการควบคุมความสามารถในการเข้าถึงคำสั่งในการดำเนินการบนเครื่องที่ให้บริการ (server) การเข้าถึงในระดับ Host แสดงเป็นบรรทัดคำสั่งหรือเป็นแบบ Graphical ทรัพยากรที่มีอยู่บน Host จะใช้ควบคุมโดยรายชื่อในการควบคุมการเข้าถึงหรือการได้รับอนุญาต (Permission) ในการเข้าใช้ทรัพยากรและอาจรวมไปถึงระบบแฟ้มข้อมูลและโปรแกรม (ชุดคำสั่ง) ที่สามารถใช้งานได้
- ระดับโปรแกรมประยุกต์ : ซึ่งเป็นการควบคุมการเข้าไปเพื่อใช้งานซอฟต์แวร์ประยุกต์(Application software) ยกตัวอย่างเช่น การใช้งานโปรแกรมทางด้านบัญชี โดยผู้ใช้บางคนอาจจะสามารถแก้ไขตารางการคำนวณได้ ในทางตรงกันข้ามผู้ใช้บางคนทำได้เพียงเรียกดูข้อมูลเท่านั้น
สำหรับการเข้าถึงระดับ IP จากทางไกล (off-site) อุปกรณ์ควบคุมที่สำคัญคือ VPN server และเครื่องของผู้ให้บริการในการเข้าถึงจากทางไกล (Remote access server) โดยการเข้าถึงระดับ IP ได้นั้นจะต้องมีการควบคุมการเข้าถึงซึ่งอาจถูกจำกัดในการเข้าถึงด้วยการกำหนด IP address โดยเฉพาะที่มีการแสดงตนด้วย MAC address ที่ได้ลงทะเบียนไว้แล้ว
การเข้าถึงในระดับโปรแกรมประยุกต์นั้นสามารถยกตัวอย่างเช่น การเข้าถึงโปรแกรมประยุกต์ระบบทางการเงิน ซึ่งมีความสำคัญอย่างยิ่งโดยถ้าไม่มีการป้องกันที่ดีแล้วก็อาจจะเกิดการโกงได้ ดังนั้นระบบก็จะมีการแยกแยะระดับความลึกในการใช้งานเช่นเจ้าหน้าที่การเงินผู้รับผิดชอบการทำ Transaction สามารถแก้ไข เพิ่มเติมได้ ส่วนผู้ใช้ทั่วไปสามารถเข้ามาดูได้อย่างเดียวเท่านั้น
ส่วนการพิสูจน์ตัวตนนั้นมีหลายวิธี โดยส่วนมากก็จะผ่านทางรหัสผ่าน รวมไปถึงการใช้รหัสผ่านครั้งเดียว (one time password) ที่สร้างขึ้นโดย Biometric หรือเครื่องตรวจจับระยะประชิด ซึ่ง ไม่ต้องการการลงทุนทางด้านฮาร์ดแวร์ และไม่ต้องมีความเชี่ยวชาญในการพิสูจน์ตัวตน เนื่องจากเป็นระบบสากล
รหัสผ่านก็มีจุดอ่อนเช่นกัน ในเรื่องของการถูกโจมตี อีกทั้งผู้ใช้อาจเลือกใช้รหัสผ่านที่ง่ายต่อการคาดเดาและอาจมีการแบ่งกันใช้งานกับบุคคลอื่น แม้แต่รหัสผ่านที่ดีก็สามารถถูกล่วงรู้ได้ผ่านช่องทางการติดต่อสื่อสารหรือการดักจับข้อมูลจากการกดแป้นพิมพ์
การวางแผนเทคโนโลยีทาง IT สำหรับ IAA ต้องมีการประสานงานระหว่างหน่วยงานด้าน IT และหน่วยงานด้านบริหารบุคคล โดยที่หน่วยทรัพยากรบุคคลในองค์กรมีหน้าที่การทำงานเหมือนยามเฝ้าประตู คอยเฝ้าดูในเรื่องของการว่าจ้างคนเข้ามาในองค์กร ติดตามความเปลี่ยนแปลงที่เกี่ยวกับตำแหน่งและสถานที่ และการจัดการรายละเอียดของพนักงานที่ออกไป ระบบงานในส่วนนี้ของหน่วยทรัพยากรบุคคลนั้นต้องเป็นระบบการจัดการที่ยืดหยุ่นพื่อให้ขั้นตอนในการทำงานนั้นง่ายขึ้น ปัญหาที่มักเกิดขึ้นเช่นคนงานที่ถูกเลิกจ้างอาจส่งผลร้าย โดยเขาสามารถเข้าถึงข้อมูลในส่วนสำคัญของระบบได้อยู่
การเข้ารหัสกุญแจสาธารณะเป็นวิธีสำหรับการรักษาความปลอดภัยของข้อมูลด้วยการ ใช้กุญแจในการเข้ารหัสข้อมูลที่แตกต่างกับกุญแจที่ใช้ในการถอดรหัสข้อมูล ซึ่งเป็นการใช้กุญแจที่ต่างกันในการทำงาน การใช้กุญแจสาธารณะเป็นการทำให้การจัดการด้านความปลอดภัยง่ายขึ้น กุญแจเข้ารหัสอาจจะมีการกระจายเพื่อการใช้งานเข้ารหัส มีเพียงกุญแจที่ใช้ในการถอดรหัสเท่านั้นที่ต้องเก็บเป็นความลับ ในบางครั้งกุญแจสาธารณะจะใช้สำหรับการลงลายเซ็นดิจิตอลเพื่อเป็นหลักฐานที่ ใช้ในการยืนยันตัวตนของผู้ส่งเอกสารและความถูกต้องของเอกสารว่าไม่มีการ เปลี่ยนแปลงระหว่างการส่ง โดยที่ลายเซ็นอิเล็คทรอนิกส์นั้นจะต้องเก็บเป็นความลับ
การเข้ารหัสก็อาจเผชิญกับข้อบกพร่องที่ร้ายแรงเช่นกัน ถ้าไม่มีเทคนิคและการบริหารในการควบคุมที่ดี ก็เป็นไปได้ที่จะโดนผู้ที่ประสงค์ร้ายยึดรหัสกุญแจและแอบอ้างความเป็นเจ้าของ ซึ่งผู้ที่ทำธุรกรรมทางการเงินกับธนาคารมักเชื่อมั่นในความปลอดภัยในระบบการทำงานของธนาคาร แต่ในความเป็นจริงมีข่าวที่ไม่ดีเกี่ยวกับการก่ออาชญากรรมทางอิเล็กทรอนิคเป็นประจำ ซึ่งผู้เชี่ยวชาญและผู้ดูแลระบบจะลดความเสี่ยงด้วยการใช้ Public-Key Infrastructure (PKI)
เครื่องมือสำหรับการดูแลความปลอดภัยของอุปกรณ์แบ่งเป็นประเภทดังนี้
เครื่องมือสำหรับการดูแลความปลอดภัยของอุปกรณ์แบ่งเป็นประเภทดังนี้
- Scanning tools เป็นเครื่องมือสำหรับการทดสอบการบริการในระบบเครือข่าย เพื่อแสดงให้เห็นถึงการตั้งค่าความปลอดภัยที่ผิดพลาด เครื่องมือนี้สามารถทำงานได้ดีในการประเมินการถูกโจมตีในการบริการของระบบเครือข่าย ตัวอย่างของเครื่องมือที่สามารถดาวน์โหลดฟรีคือ nmap และ nessus ส่วนเครื่องมือที่มีลิขสิทธิ์ เช่น eEye Retina และ ISS Security Scanner
- Service testing tools เป็นเครื่องมือที่ทดสอบการให้บริการและ Monitor ว่าบริการใช้ได้หรือไม่ และถ้ามีการลักลอบใช้บริการหรือมีการสร้างบริการเถื่อนอยู่ เครื่องมือนี้จะทำการใช้เครื่องมือค้นหาโดยการเข้าสู่บริการนั้นและทำการเขียน Script ง่ายๆ ถ้าผลลัพท์จาก Script แตกต่างไปจากที่ควรจะเป็น ส่วนควบคุมจะมีการเตือนให้ทราบ และสามารถเตือนในขณะที่บริการนั้นเปิดอยู่
- Audit tools เป็นเครื่องมือที่รายงานสถานะของอุปกรณ์โดยการเปรียบเทียบกับค่าของอุปกรณ์มาตรฐาน ซึ่งเครื่องมือนี้ถูกออกแบบมาสำหรับตรวจสอบในเรื่องเล็กๆ น้อยๆ ของโฮสต์ เครื่องมือที่มีความทันสมัยจะสามารถติดตั้งแบบอัตโนมัติได้ และสามารถตั้งค่าการจัดการเซิฟเวอร์เพื่อที่จะควบคุมและตรวจสอบ
- Security Activity Monitoring Tools เป็นเครื่องมือดูแลกิจกรรมในเรื่องของความปลอดภัย จะรวบรวมข้อมูลของเหตุการณ์ต่างๆ ที่กำหนดไว้ ซึ่งเกิดขึ้นในเครือข่ายขององค์กรหรืออุปกรณ์ในเครือข่าย โดยมันมีหน้าที่หลักคือจะคอยดูแลและตรวจสอบกิจกรรมการเข้าถึงเพื่อหาพฤติกรรมที่ผิดปกติ
- ระบบตรวจจับการบุกรุก (Intrusion Detection Systems - IDS) ซึ่งทำงานอยู่บนโฮสต์ เพื่อทำการตรวจจับเหตุการณ์หรือกิจกรรมต่างๆที่แอบแฝงบนโฮสต์ ระบบการตรวจจับการบุกรุกจะทำงานอยู่บนระบบเครือข่ายเพื่อทำหน้าที่ในการตรวจ สอบข้อมูลซึ่งไหลเวียนในเครือข่าย IDS เป็นสัญญาณเตือนการบุกรุก โดยเตือนเจ้าหน้าที่ที่ดูแลระบบรักษาความปลอดภัยว่ามีผู้ประสงค์ร้ายบุกรุก เข้าอาณาเขตของเครือข่ายและพยายามที่จะสร้างความเสียหายบนทรัพยากรที่มีค่า
เครื่องมืออีกกลุ่มหนึ่งที่มีหน้าที่ในการวิเคราะห์ข้อมูลประวัติการเข้าถึงอุปกรณ์ต่างๆ โดยมันจะเป็นซอฟต์แวร์ที่สามารถรวมประวัติการเข้าถึงโดยมีฟังก์ชั่นต่อไปนี้
- การรวมเหตุการณ์ประวัติการเข้าถึงข้ามไปยังอุปกรณ์อื่นที่มีรูปแบบการเข้าถึงระบบที่แตกต่างกันได้
- จัดลำดับพื้นฐานของข้อมูลตามข้อกำหนดของผู้ใช้
- ระบุเหตุการณ์ที่อันตรายโดยให้มีการเตือนอัตโนมัติในแบบ Real-time
- มีการตรวจหาอัตโนมัติในช่วงเวลาวิกฤติ
- กำหนดรายงานที่รวดเร็วและยืดหยุ่นสำหรับประวัติการเข้าถึงขนาดใหญ่
- วาดกราฟข้อมูลสัญญาณเตือนเพื่อให้ง่ายและเร็วต่อการวิเคราะห์ประเภทของสัญญาณเตือน แหล่งที่มาของการโจมตี และเป้าหมาย
