วันจันทร์ที่ 18 กรกฎาคม พ.ศ. 2554

ระบบรักษาความปลอดภัยและความถูกต้องของระบบงาน

ไม่ว่าจะเป็นระบบงานคอมพิวเตอร์หรือระบบอื่นที่ไม่ได้เกี่ยวข้องกับคอมพิวเตอร์ก็ตาม ที่ต้องการให้มีการรักษาความปลอดภัยนั้นมิได้หมายความว่า เมื่อเรามีการรักษาความปลอดภัยแล้ว ความปลอดภัยนั้นจะเกิดกับเราร้อยเปอร์เซ็นต์ นั่นก็คือ ไม่มีระบบรักษาความปลอดภัยใดๆ ในโลกที่สมบูรณ์แท้จริง

แม้ว่าจะไม่มีระบบรักษาความปลอดภัยที่สมบูรณ์ที่จะป้องกันอันตรายทุกๆ อย่างได้ก็ตาม แต่ว่าระบบรักษาความปลอดภัยสามารถที่จะทำให้ได้ในระดับหนึ่ง ที่ผู้ใช้ระบบคิดว่าเพียงพอสำหรับเขา และเหมาะสมแล้วเมื่อเทียบกับงบประมาณต่างๆ ที่ได้ลงทุนไปในการนี้

ดังนั้น การมีระบบรักษาความปลอดภัย (Security) จึงเกิดขึ้นเพื่อคุ้มครองระบบคอมพิวเตอร์ในระดับหนึ่ง ซึ่งเป็นระดับที่ทั้งนักวิเคราะห์และผู้ใช้ระบบคิดว่าเหมาะสมแล้ว ระบบรักษาความปลอดภัยในระบบงานคอมพิวเตอร์สามารถแบ่งออกได้เป็น 2 ส่วน ดังนี้คือ

1. ระบบรักษาความปลอดภัยภายนอกระบบงาน (Physical Security)
ระบบรักษาความปลอดภัยในส่วนนี้จะกระทำกันภายนอกระบบงานคอมพิวเตอร์ ตัวอย่างเช่น การล็อกห้องคอมพิวเตอร์เมื่อเลิกงานหรือการล็อกคีย์บอร์ดและ CPU เพื่อป้องกันไม่ให้บุคคลภายนอกสามารถใช้คอมพิวเตอร์ได้ หรือในระบบ LAN อาจใช้เทอร์มินอลแบบไม่มีดิสก์ (Diskless Terminal) เพื่อป้องกันไม่ให้ผู้ใช้สามารถทำการก๊อปปี้ข้อมูลจากไฟล์เซอร์เวอร์ที่เก็บข้อมูลส่วนกลางได้ และในขณะเดียวกันก็สามารถที่จะป้องกันการนำเอาข้อมูลหรือโปรแกรมที่ไม่ได้อนุม้ติให้ใช้ก๊อปปี้ลงไป ซึ่งอาจจะเป็นการป้องกันไวรัสคอมพิวเตอร์ที่ดีอีกวิธีหนึ่งด้วย ดังนั้น การกระทำอะไรก็ตามที่เกิดขึ้นโดยมีวัตถุประสงค์คือ เพื่อรักษาความปลอดภัยให้กับระบบงาน แต่เกิดขึ้นภายนอก ก็ถือว่าเป็นระบบรักษาความปลอดภัยแบบกายภาพ (Physical) ทั้งสิ้น

2. ระบบรักษาความปลอดภัยภายในระบบงาน (System Security And Integrity)
ในปัจจุบันระบบงานคอมพิวเตอร์แบบเครือข่ายได้ทำให้การใช้ข้อมูลต่างๆ ของหน่วยงานเป็นไปอย่างมีประสิทธิภาพอย่างไม่เคยมีมาก่อน การกระจายอำนาจการใช้ข้อมูลออกไป (Distribution System) ของระบบงาน ทำให้ระบบจำเป็นที่จะต้องมีระบบการรักษาความปลอดภัยภายในระบบงานอย่างดีพอด้วย เพื่อป้องกันไม่ให้ผู้ที่ไม่มีสิทธิ์ใช้ข้อมูล สามารถเข้าถึงข้อมูลได้ นอกจากนี้นักวิเคราะห์ระบบยังต้องให้ความสนใจต่อความถูกต้อง (Integrity) ของระบบ เช่น ระบบงานต่างๆ โปรแกรมและฐานข้อมูลอีกด้วย ในที่นี้เราจะกล่าวถึงวิธีที่นิยมทำกันโดยทั่วไป ซึ่งมี 4 วิธี คือ

2.1 การใช้รหัสลับ (Passwords) เป็นวิธีการที่นิยมใช้กันโดยทั่วไป โดยมีวัตถุประสงค์ที่จะเข้าไปทำงานในระบบนั้นๆ ได้ ระบบก็จะปฏิเสธ การยอมให้เข้าถึงข้อมูลของระบบโดยอัตโนมัติ ในบางระบบนอกจากการปฏิเสธแล้ว ระบบยังทำการบันทึกชื่อและเวลา และเบอร์โทรศัพท์ที่อาจใช้เรียกเข้ามาของผู้ที่ตอบรหัสลับผิดเอาไว้เป็นข้อมูลเพื่อติดตามภายหลังอีกด้วย

2.2 การสำรองข้อมูล (System Backups) ในทุกระบบงานที่ดี การวางตารางเวลาเพื่อการสำรองข้อมูลเป็นสิ่งสำคัญอย่างยิ่งที่จะป้องกันปัญหาของการสูญเสียข้อมูลในกรณีที่ไม่คาดฝันเกิดขึ้น การสำรองข้อมูลอาจเลือกใช้เทปหรือ Removable Disk ก็ได้ ซึ่งแล้วแต่ความเหมาะสม

การสำรองข้อมูลมีด้วยกัน 2 แบบ คือ แบบเต็ม (Full) หรือแบบเฉพาะส่วนเพิ่ม (Incremental) โดยการสำรองข้อมูลชนิดเต็ม หมายถึง การสำรองข้อมูลจะทำการสำรองใหม่หมดทุกครั้ง แม้ว่าข้อมูลนั้นจะได้เคยทำการสำรองไว้แล้วก็ตาม ส่วนแบบการสำรองเฉพาะส่วนเพิ่มนั้น เราจะเลือกสำรองข้อมูลในส่วนที่แตกต่างหรือเพิ่มเติมจากส่วนที่เราได้ทำการสำรองไว้ในครั้งก่อนเท่านั้น ซึ่งวิธีนี้จะทำให้เราประหยัดเวลาในการสำรองข้อมูลลงได้

ไม่ว่าการสำรองข้อมูลจะเป็นแบบใด หรือจะใช้อะไรเพื่อการสำรองก็ตาม ระบบงานที่ดีจะต้องมีการสำรองข้อมูลไว้อย่างสม่ำเสมอ และเพื่อเป็นการค้ำประกันต่อความปลอดภัยของข้อมูลเอง การสำรองข้อมูลควรจะทำไว้อย่างน้อย 2 ชุดคือ ชุดที่ 1 ควรจะเก็บเอาไว้ในที่ที่ระบบงานอยู่ ส่วนชุดที่ 2 ก็ควรจะเก็บเอาไว้นอกเขตที่ระบบงานอยู่ เช่น ในเซฟธนาคาร หรือที่สาขาของสำนักงานในเขตอื่น เพื่อในกรณีที่เกิดเหตุการณ์ที่ไม่คาดหมาย เช่น ไฟไหม้ น้ำท่วม ข้อมูลชุดที่ 2 ก็ยังคงปลอดภัย และสามารถนำกลับมาใช้ได้อีก

2.3 การตรวจสอบได้ของระบบ (Audit Trail) ระบบงานที่ดีควรได้รับการดีไซน์ให้ข้อมูลต่างๆ ที่เกี่ยวข้องในระบบสามารถที่จะตรวจสอบย้อนกลับได้ ว่าเกิดได้อย่างไร มาจากไหน วิธีที่นิยมใช้กันก็คือ การออกรายงานหรือ Check List ต่างๆ ที่แสดงถึงเหตุการณ์หรือข้อมูลต่างๆ ที่ถูกเรียกขึ้นมาเพื่อแก้ไขหรืออินพุตเข้ามาในระบบ เอกสารต่างๆ เหล่านี้จะมีความจำเป็นอย่างมากต่อการตรวจสอบความถูกต้องของการทำงานของระบบงานคอมพิวเตอร์

2.4 การเรียกคืนข้อมูลและเริ่มต้นใหม่ของระบบ (Recovery And Restart Needs) ในระบบงานคอมพิวเตอร์ ไฟฟ้าเป็นสิ่งสำคัญอย่างยิ่ง นักวิเคราะห์ระบบหรือโปรแกรมเมอร์ทุกคนรู้ดีว่าหากไฟฟ้าดับหรือเกิดการลัดวงจรหรือฟ้าผ่าเข้ามาในสายไฟฟ้า จะส่งผลทำให้ระบบคอมพิวเตอร์ทั้งระบบเกิดความเสียหายอย่างใดอย่างหนึ่ง เมื่อระบบงานเกิดความเสียหาย (Crash) ขึ้น การนำเอาข้อมูลที่ได้สำรองเอาไว้ และการเรียกคืนข้อมูล (Restore Data) เพื่อจะทำให้ระบบฟื้นคืนชีพกลับมาใหม่อาจต้องเกิดขึ้น

เหล่านี้จึงเป็นหน้าที่ของนักวิเคราะห์ที่จะต้องวางแผนงานของการเรียกคืนข้อมูลและโปรแกรมต่างๆ ให้ดีพอที่จะทำให้ระบบงานสามารถฟื้นคืนชีพในเวลาอันสั้นด้วย ในช่วงของการดีไซน์ระบบรักษาความปลอดภัยนี้

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

หมายเหตุ: มีเพียงสมาชิกของบล็อกนี้เท่านั้นที่สามารถแสดงความคิดเห็น