น.ท.นิวัติ  เนียมพลอย, หน.ผกม.กยก.ยก.ทอ.

M.Sc.(Dist) in Information Security

กล่าวนำ

การรักษาความปลอดภัยของข้อมูลข่าวสาร หรือการรักษาความลับนั้น มีมานานตั้งแต่มนุษย์เริ่มมีการติดต่อสื่อสารกัน โดยคาดหวังว่าสิ่งที่ตนเองต้องการเปิดเผยได้ถูกจำกัดอยู่ในขอบเขตที่ตนเองต้องการ สิ่งสำคัญที่จะต้องถูกปกป้องคือ สาระของข่าวสาร (Content) ต่อมาการสื่อสารของมนุษย์ได้ถูกพัฒนาไปตามเทคโนโลยีที่ทันสมัย การรักษาความปลอดภัยของข้อมูลข่าวสารจึงต้องขยายวงกว้างออกไปให้ครอบคลุมถึงสื่อกลางที่ใช้นั้นด้วย เช่นการใช้หมึกเขียนชนิดพิเศษที่ต้องใช้เทคนิคบางประการในการทำให้ปรากฏ การใช้หีบหรือกล่องนิรภัย การใช้รหัส/การถอดรหัส ตลอดจนถึงการใช้ระบบตรวจสอบ และการกำหนดสิทธิของผู้ใช้ในระบบคอมพิวเตอร์ และระบบอินเตอร์เน็ต ซึ่งเป็นสื่อกลางในการสื่อสารของมนุษย์ในปัจจุบัน ดังนั้นประเด็นในการรักษาความปลอดภัยจึงได้ขยายออกไปมากกว่าการรักษาความลับ (Secret or Confidentiality) ของสาระของข่าวสาร

มาตรการในการรักษาความปลอดภัยของข้อมูล

ในยุคปัจจุบัน ข้อมูลข่าวสารไม่ได้อยู่เพียงในกระดาษหรือสื่อสิ่งพิมพ์แต่ยังมีการบันทึกไว้ในรูปแบบอื่นๆ ภายในระบบคอมพิวเตอร์ ซึ่งจะต้องมีวิธีการหรือมาตรการในการรักษาความปลอดภัยเช่นเดียวกัน มาตรการในการรักษาความปลอดภัยสามารถแบ่งออกเป็น ๓ มาตรการใหญ่ คือ

๑. มาตรการรักษาความปลอดภัยทางกายภาพ (Physical Security) เป็นมาตรการรักษาความปลอดภัยทั่วไปให้กับบุคคล สถานที่ และอุปกรณ์ ตลอดจนสื่อต่าง ๆ ที่บันทึกข้อมูลข่าวสาร เพื่อป้องกันไม่ให้ผู้บุกรุกเข้าถึงแหล่งข้อมูลได้ทางกายภาพ เช่น การสร้างรั้ว การเฝ้ายาม และการดำเนินงานด้านเอกสาร เป็นต้น ทั้งนี้รวมถึงการป้องกันการแพร่กระจายของคลื่นแม่เหล็กไฟฟ้าไม่ให้เล็ดลอดไปในสถานที่ที่ไม่เหมาะสม

 

รูป ๑ Physical Security by saperation the system from any risks

๒. มาตรการรักษาความปลอดภัยทางระบบคอมพิวเตอร์ (Computing Security) เป็นมาตรการรักษาความปลอดภัยสำหรับระบบเทคโนโลยีสารสนเทศและการสื่อสารโดยตรง เน้นในการเข้าถึงและการใช้งานข้อมูลที่อยู่ในระบบสารสนเทศ ซึ่งจะต้องดำรงไว้ใน ๓ ลักษณะ คือ การรักษาความลับ (Confidential), การคงสภาพ (Integrity) และความพร้อมในการใช้งาน (Availability)

 

รูป ๒ Network Secutity must concerns all security aspects (confidential, Integrity and availbity)

   ๒.๑ การรักษาความลับ (Confidential) เป็นการดำเนินการเพื่อให้สาระของข้อมูลข่าวสารได้ถูกเปิดเผยต่อบุคคล หรือ process ที่ได้รับอนุญาตเท่านั้น มาตรการนี้จะทำได้โดยวิธีการเข้ารหัส (Cryptography)

   ๒.๒ การคงสภาพ (Integrity) เป็นการยืนยันว่าข้อมูลที่ต้องการรักษาไม่ถูกเปลี่ยนแปลงไปจากของเดิมโดยผู้ที่ไม่ได้รับอนุญาต เนื่องจากในบางกรณีผู้บุกรุกไม่มีความประสงค์ที่จะรู้สาระของข้อมูลข่าวสาร แต่ต้องการทำให้ข่าวสารนั้นผิดไปจากสาระเดิม ซึ่งจะใช้การ Error Correction Code หรือ Integrity Check Sum เป็นต้น

   ๒.๓ ความพร้อมในการใช้งาน (Availability) เป็นการรักษาความพร้อมในการใช้งานของข้อมูลเช่น ข้อมูลบัญชีเงินฝากของลูกค้าธนาคาร หรือข้อมูลสำคัญต่าง ๆ ที่ต้องพร้อมใช้งานในเวลาที่ต้องการ ซึ่งในบางครั้งเป็นข้อมูลที่สามารถเปิดเผยให้สาธารณชนรับทราบได้ เพื่อประโยชน์ในการประชาสัมพันธ์ หรือการเผยแพร่ในวงกว้าง เช่น ข้อมูลการท่องเที่ยว การแบ่งปันข้อมูล หรือ การติดต่อแบบ Social Network เป็นต้น โดยใช้วิธีการ Back Up ต่าง ๆ หรือการทำ Redundant Array of Independent Disk: RIAD รวมทั้งการเตรียมที่ตั้งสำรองในยามฉุกเฉิน

 

รูป ๓ CIA Model with Physical Security and Rule&Regulations

๓. มาตรการรักษาความปลอดภัยทางระเบียบกฎเกณฑ์ (Rule and Regulations) ในโลกแห่งความเป็นจริงแล้ว ไม่มีอุปกรณ์ หรือสิ่งกีดขวางใด ๆ จะสามารถรักษาความปลอดภัยของข้อมูลข่าวสารได้สมบูรณ์ หากไม่ได้ควบคุมการใช้งานของมนุษย์ การละเมิดในระบบรักษาความปลอดภัยนั้นส่วนมากจะมีคนในองค์กรมีส่วนเกี่ยวข้องโดยเสมอ ดังนั้นจึงขาดไม่ได้ที่จะต้องมีมาตรการทางด้านระเบียบกฎเกณฑ์มารองรับ หรือควบคุมการใช้งาน(Authentication) ของบุคลากรภายในองค์กร ตลอดไปถึงการออกกฎหมาย (Law) ด้านการรักษาความปลอดภัยของประเทศ เพื่อป้องกันอาชญากรรมคอมพิวเตอร์ที่จะเกิดขึ้นในสังคมปัจจุบัน อีกทั้งต้องกำหนดให้มีการบันทึกการใช้งาน (Log)ของระบบสารสนเทศ เพื่อใช้ในการตรวจสอบ(Audit) และหาผู้ละเมิดมาลงโทษ

 

รูป ๔ User Regulation for Password Log in

 

การนำการรักษาความปลอดภัยข้อมูลข่าวสารไปใช้งาน (Information Security Implementation)

การพิจารณานำการรักษาความปลอดภัยข้อมูลข่าวสารของระบบสารสนเทศไปใช้งานนั้น จะต้องทำอย่างรอบคอบเนื่องจากเป็นสิ่งที่ใช้ทรัพยากรค้อนข้างสูงในหลาย ๆ ด้าน ทั้งอุปกรณ์ บุคคล และงบประมาณ ซึ่งในบางครั้งสามารถแทนที่ด้วยมาตรการอื่น ๆ เช่น การรักษาความปลอดภัยสถานที่ หรือการใช้กฎระเบียบ เป็นต้น ในการพิจารณานั้นสามารถแบ่งเป็นขั้นตอนพื้นฐานได้ ดังนี้

ขั้นที่ ๑ การสำรวจการทำงานและนโยบายขององค์กร (Security Policy) ในเรื่องการรักษาความปลอดภัยของข้อมูลข่าวสารนั้นเป็นเรื่องของนโยบายขององค์กร ซึ่งผู้บริหารจะต้องเป็นผู้ริเริ่ม และกำกับดูแล ดังนั้นในขั้นตอนแรกจะต้องทราบถึงนโยบายขององค์กร และสำรวจทำความเข้าในระบบการทำงาน หรือการบริหารข้อมูลภายในองค์กร และการแลกเปลี่ยนข้อมูลกับหน่วยงานอื่น ๆ ที่ทำธุรกิจร่วมกัน ตลอดจนการปฏิสัมพันธ์กับลูกค้า เพื่อให้ได้ความต้องการที่แท้จริงในด้านการรักษาความปลอดภัยของข้อมูล การกลุ่มระดับความสำคัญข้อมูล การแบ่งกลุ่มผู้ใช้งานข้อมูล และกำหนดลักษณะการใช้งานข้อมูล เช่น การเน้นในด้านการรักษาความลับ (Confidential Base), การเน้นในด้านการรักษาสภาพข้อข้อมูล (Integrity Base) หรือการแยกข้อมูลตามผลประโยชน์ (Conflict of Interest) เป็นต้น   

ขั้นที่ ๒ การเลือกใช้แบบจำลองของการรักษาความปลอดภัย (Security Model) เมื่อสามารถกำหนดลักษณะการใช้งานของข้อมูลได้แล้ว ขั้นตอนต่อไปจะเป็นการสร้างแบบจำลองของการรักษาความปลอดภัย เนื่องจากการใช้งานข้อมูลบนระบบสารสนเทศเป็นการทำงานโดยอัตโนมัติระหว่าง Processor หลายตัว จำเป็นต้องมีกฎเกณฑ์ (Criteria) ที่แน่นอนชัดเจน โดยเฉพาะในเรื่องสิทธิในการเข้าถึง (Access) และการใช้งาน (Manipulate) ข้อมูลของกลุ่มผู้ใช้งานที่ได้รับอำนาจ (Authority) หรือระดับของชั้นความลับ (Security Level) ในการเข้าถึงข้อมูลที่ต่างกัน ตัวแบบจำลองนี้เองจะเป็นการกำหนดว่า Process หรือผู้ใช้ใดสามารถเข้าถึง(Access) ใช้งานข้อมูลในลักษณะใด เพื่อให้สอดคล้องกับนโยบายด้านการรักษาความปลอดภัยตามขั้นตอนที่ ๑ เช่น Bell-LaPadula Model “No Read Up & No Write Down”, Biba Model or Biba Integrity Model “No Write Up & No Read Down” หรือ Brewer and Nash model “Chinese Wall Model or Firewall” เป็นต้น

ขั้นที่ ๓ การศึกษาและประเมินค่าผลิตภัณฑ์ในตลาด (Security Product Study and Evaluation) หลังจากที่สามารถกำหนดแบบจำลองของการรักษาความปลอดภัยของข้อมูลได้แล้ว จะต้องทำการหาผลิตภัณฑ์ที่สามารถตอบสนองความต้องการให้สามารถทำงานได้อย่างเหมาะสม ซึ่งต้องคำนึงถึงความเป็นมาตรฐาน (Standard) และความไม่เป็นมาตรฐาน (Non-standard) ประกอบกัน โดยแต่ละประเภทจะมีข้อดีและข้อเสียที่ต่างกัน และนำมาประเมินค่าการใช้งานในระบบว่าครบถ้วนหรือไม่ ในบางครั้งการรักษาความปลอดภัยของข้อมูลในระบบหนึ่งอาจต้องให้วิธีการมากกว่าหนึ่งวิธี และผลิตภัณฑ์มากกว่าหนึ่งผลิตภัณฑ์ ดังนั้นในการศึกษาและเลือกใช้ต้องคำนึงถึงการบูรณาการสิ่งต่าง ๆ เหล่านี้ด้วย สิ่งที่ได้อีกประการหนึ่งในขั้นตอนนี้คือ ประมาณการค่าใช้จ่ายที่จะใช้ในการรักษาความปลอดภัยของระบบ

ขั้นที่ ๔ การประเมินความเสี่ยง และการบริหารความเสี่ยง (Risk Assessment and Management) เป็นที่แน่นอนว่าในโลกธุรกิจ ต้องพยายามเพิ่มกำไร โดยการลดต้นทุน และเพิ่มมูลค่าสินค้า สำหรับการรักษาความปลอดภัยแล้วไม่ว่าจะทำด้วยมาตรการใด ๆ ก็ตามเป็นการเพิ่มต้นทุนทั้งสิ้น ดังนั้นผู้บริหารที่ดีจะต้องประเมินความเสี่ยง หรือมูลค่าความเสียหายหากไม่มีป้องกัน เป็นวงเงินเท่าไร และมีโอกาสเป็นไปได้มากน้อยเพียงไร และนำมาเปรียบเทียบกับค่าใช้จ่ายในการป้องกันว่าเหมาะสมกันหรือไม่ ทั้งนี้องค์กรจะต้องบริหารความเสี่ยงให้อยู่ในระดับที่เหมาะสมกับค่าใช้จ่ายที่ลงทุนไป

ขั้นที่ ๕ การนำไปใช้ (Security Implementation) เมื่อได้ข้อสรุปในการประเมินและบริหารความเสี่ยงแล้ว จะเป็นขั้นตอนในการนำระบบรักษาความปลอดภัยไปใช้งาน ซึ่งสามารถทำได้ใน ๒ ลักษณะ คือ แบบใช้หน่วยงานภายใน และ แบบใช้หน่วยงานภายนอก โดยมีการกำกับดูแลโดยผู้บริหารระดับสูงขององค์กร

ขั้นที่ ๖ การตรวจสอบและประเมินค่าความปลอดภัยขององค์กร (Security Inspection and Audit) เป็นขั้นตอนที่สำคัญมากในการนำระบบการรักษาความปลอดภัยข้อมูลข่าวสารไปใช้งาน เป็นการตรวจสอบหาจุดอ่อน หรือช่องทางในการละเมิด โดยจะเน้นในการกำกับดูแลการทำงานของบุคลากรให้เป็นไปตามระเบียบ หรือกฎเกณฑ์ที่กำหนดไว้ โดยคณะผู้ตรวจสอบต้องรายงานผลการทำงานให้ผู้บริหารสูงสุดทราบโดยตรง

——————————————–