สำหรับผู้ที่ต้องการเป็นผู้เชียวชาญในสายงาน Security นั้นควรที่จะทำความรู้จักกับ 3 คำนี้ก่อนเลยครับ C.I.A. เพราะเป็น รูปแบบของ Security Model ขั้นพื้นฐานที่จำเป็นและต้องมีครับ เรามาดูกันว่า C.I.A. คืออะไร
CIA ประกอบด้วย Confidentiality , Integrity และ Availability
1. C = “Confidentiality” หมาย ถึง การรักษาความลับ (Secret) ของข้อมูลของเรา ต้องมีความเป็นส่วนตัวสูง ไม่ว่าจะเป็นอุปกรณ์ Network , Server , PC , Notebook , มือถือเราเอง ต้องมีการเข้ารหัสเพื่อให้เป็นความลับ ( cryptography ) ซึ่งมีหลายหลายวิธี เช่น RSA , 3DES , SHA , MD5 เป็นต้น โดยผู้ที่เป็นเจ้าของหรือผู้ที่มีสิทธิ์เท่านั้นจึงจะสามารถใช้งานหรือดูข้อมูลได้ครับ โดยเราจะใช้วิธี Identification คือการระบุตัวตนเพื่อเป็นการยืนยันว่าผู้ใช้มีตัวตนจริงๆ เป็นเจ้าของจริงๆ เช่น การใช้หมายเลขบัตรประจำตัวประชาชน หรือ การใช้ Username หรือ ตัวเลขอื่นๆ เป็นต้น แล้วแต่นโยบายตามความเหมาะสมนะครับ
2. I = “Integrity” หมายถึงความถูกต้องของข้อมูลของเรา ต้องแน่ใจว่าข้อมูลของเราไม่ถูกแก้ไข โดยผู้ที่ไม่ได้รับอนุญาต ข้อมูลเราเหมือนเดิม ไม่มีการเปลี่ยนแปลง ไม่ว่าจะเป็นข้อมูลหรือรูปภาพหรือเอกสารต่างๆถูกเปลี่ยนแปลงจากผู้ที่ไม่มีสิทธิ์ รวมถึงการติดไว้รัส ทำให้ข้อมุลเราเสียหายด้วยนะครับ โดยเฉพาะข้อมูลทางด้านการเงิน ดังนั้นต้องมีวิธีการตรวจสอบข้อมูลว่ายังถูกต้องเหมือนเดิมหรือไม่ โดยผู้ที่จะทำการเปลี่ยนแปลงแก้ไขข้อมูลได้นั้น ต้องผ่านกระบวนการ Authentication เพื่อยืนยันว่าเป็นคนๆนั้นจริงด้วยรหัสผ่าน หรือใช้แสกนลายนิ้วมือ หรือม่านตา เป็นต้น จึงจะได้ Authorization คือได้สิทธิ์ในการกระทำอะไรเกี่ยวกับข้อมูลได้บ้าง เป็นต้น
3. A = “Availability” หมาย อุปกรณ์ไม่ว่าจะเป็นระบบคอมพิวเตอร์ต่างๆ มือถือ อุปกรณ์ Network ข้อมูลต่างๆ ต้องสามารถใช้งานได้และพร้อมใช้งานตลอดเวลา ต้องมีระบบสำรองไว้รองรับอยู่เสมอนะครับ ควรมีระบบ Redundant , Load Balance และมี Disaster Recovery Site (DR Site) เป็นต้น
ไม่ว่าจะเป็นการใช้งาน Network ส่วนตัว ภายในบ้าน ภายในบริษัท ก็ควรจะนำหลักการของ C.I.A. มาใช้นะครับ
- AAA ประกอบด้วย Authentication , Authorization และ Accounting จะเกี่ยวข้องกับ RADIUS และ TACACS+ Server
Something the user know ได้แก่ Username , Password , รหัสต่างๆ , เลขบัตรประชาชน , เบอร์โทรศัพท์ เป็นต้น
Something the user has ได้แก่ บัตรประชาชน ,ใบขับขี่, โทรศัพท์มือถือ , บัตรเครดิต , Security Token เป็นต้น
Something the user is ได้แก่ ลายนิ้วมือ, ใบหน้า , ดวงตา เพื่อใช้ในการ Scan หน้า เป็นต้น
Something a user does ได้แก่ การส่งเสียง , การเซ็นต์ชื่อ หรือแสดงท่าทาง เป็นต้น
Somewhere a user is ได้แก่ สถานที่ต้องตรงกับที่กำหนด เช่นอยู่ในจังหวัดหรือประเทศเดียวกัน เป็นต้น
สามารถศึกษาได้จากวีดีโอด้านล่างนะครับ
- Threats (ภัยคุกคาม) ประกอบด้วย Malicious software (malware) ได้แก่ viruses,worms, Trojan horses, spyware, rootkits, adware, ransomware, cryptomalware, และ unwanted software เป็นต้น , Unauthorized access , System failure ,Social engineering เป็นต้น
- วิธีการในการบรรเทาหรือแก้ไข Threats ได้แก่ User awareness , Authentication , Anti-malware software , Data backups , Encryption , Data removal, และที่ลืมไม่ได้เลยเรื่องของการตั้ง Password ให้มีความปลอดภัยและรักษาไว้ให้ดีนะครับ
หลักการตั้ง Password ที่ดีควรประกอบด้วยสิ่งต่างๆดังนี้
- ควรมีขั้นต่ำ 8 ตัวอักษรขึ้นไป
- Password ไม่ควรมีส่วนประกอบของ ชื่อ , นามสกุล , วันเดือนปีเกิด , เบอร์โทรศัพท์ , เลขบัตรประชาชน ของผู้ใช้หรือคนใกล้ตัว
- ประกอบด้วยตัวอักษรตัวพิมพ์ใหญ่ , ตัวพิมพ์เล็ก , ตัวเลข และสัญลักษณ์หรือเครื่องหมายพิเศษต่าง ๆด้วย เช่น !@#$%^&*()_+ ด้วยครับ ดังวีดีโอด้านล่างครับ
อ่านบทความเกี่ยวกับ Security Awareness ที่ควรทำมีอะไรบ้าง เพิ่มเติมได้ที่
- Security Awareness ที่ควรทำมีอะไรบ้าง
หวังว่าบทความนี้ คงจะเป็นประโยชน์ไม่มากก็น้อยนะครับ
เรียบเรียงโดย อาจารย์เกรียงศักดิ์ นามโคตร ( อาจารย์ดอย ) Mr.Jodoi