ในการที่จะรู้ว่าระบบคอมพิวเตอร์ที่ใช้อยู่นั้นจะมีภัยคุกคามอย่างไรและมีอะไรบ้างนั้น จะต้องมีการตรวจสอบและหามาตรการมาแก้ไขอย่างมีระบบ จึงจะทำให้มีความปลอดภัยสูงสุดในราคาที่พอเหมาะและคุ้มค่าแก่การลงทุน
มาตรฐานของระบบการรักษาความปลอดภัย (The Orange Books)
ในหน่วยงานหนึ่งๆนั้น เราจะรู้ได้อย่างไรว่าระบบคอมพิวเตอร์ที่ใช้เก็บข้อมูลข่าวสารที่สำคัญในทางธุรกิจนั้นมีระดับความปลอดภัยมากหรือน้อยเพียงใด และมีระดับของความปลอดภัยที่เพียงพอต่องานที่หน่วยนั้นๆรับผิดชอบหรือทำอยู่หรือไม่ มาตรฐานที่นิยมใช้เป็นที่อ้างอิงถึงกันอย่างกว้างขวางก็คือ มาตรฐานทางด้านความปลอดภัยของระบบคอมพิวเตอร์ที่ออกโดยรัฐบาลสหรัฐๆ ที่ออกมาในปี ค.ศ. 1983 และเป็นที่รู้จักกันดีในนามของ “มาตรฐานสมุดสีส้ม” หรือ “The Orange Books” จุดประสงค์ของการออกมาตรฐานเหล่านี้มีอยู่ 3 ประการคือ
1.) เพื่อวัดระดับของความน่าเชื่อในการรักษาความปลอดภัยของข้อมูลของระบบคอมพิวเตอร์ที่ใช้อยู่ (Measurement of Trust) โดยจะมีระดับของความน่าเชื่อถือแบ่งเป็นกลุ่มใหญ่ๆ 4 กลุ่ม เรียงตามลำดับของความน่าเชื่อถือจากน้อยไปหามากดังนี้คือ
- ระดับความน่าเชื่อถือ D à Minimum Security คือ การรักษาความปลอดภัยขั้นพื้นฐานของระบบที่จะต้องมี
- ระดับความน่าเชื่อถือ C à Discretionary Protection คือ การรักษาความปลอดภัยของระบบเป็นส่วนๆที่จำเป็น
- ระดับความน่าเชื่อถือ B à Mandatory Protection คือ การรักษาความปลอดภัยของระบบทั้งระบบตามมาตรฐานที่กำหนดไว้
- ระดับความน่าเชื่อถือ A à Verified Protection คือ การรักษาความปลอดภัยของระบบในขั้นสูงสุด และสามารถที่จะรับประกันความปลอดภัยได้ตามแบบที่กำหนดไว้
2.) เพื่อให้คำแนะนำในการพัฒนาระบบการรักษาความปลอดภัย (Guidance) แก่บริษัทผู้ผลิตระบบคอมพิวเตอร์ทั้ง Hardware หรือ Software หรือ ระบบปฏิบัติการ (Operating Systems) ต่างๆ เนื่องมาจากว่าระบบรุ่นก่อนๆ นี้ไม่ได้รับการพัฒนาขึ้นมาโดยมีการออกแบบทางสถาปัตยกรรมขั้นพื้นฐานในการรักษาความปลอดภัยที่ดี และนี้ก็เป็นสาเหตุหนึ่งที่ก่อให้เกิดปัญหาด้านความปลอดภัย (Security Breaches) ในระบบคอมพิวเตอร์ต่างๆ ยกตัวอย่าง เช่น ในระบบปฏิบัติการแบบ UNIX นั้น ได้ถูกออกแบบมาเพื่อให้มีการใช้งานในวงกว้างได้อย่างง่ายดายและอ่อนตัว (Open System Architecture) ดังนั้นระบบนี้จึงเป็นระบบทีถูกจะโจมตีได้อย่างง่ายดายในเรื่องของระบบการรักษาความปลอดภัย เมื่อเปรียบเทียบกับระบบอื่นๆ แล้ว
3.) เพื่อเป็นมาตรฐานในการจัดซื้อจัดหา (Acquisition) ของหน่วยงานต่างๆ ที่ต้องการระบบที่มีขีดความสามารถในการรักษาความปลอดภัยตามที่ต้องการ
นอกจากการแบ่งเป็นกลุ่มใหญ่ๆ ของระดับความปลอดภัยนี้แล้ว ในแต่ละกลุ่มใหญ่ๆก็สามารถที่จะแบ่งระดับของความปลอดภัยออกเป็นกลุ่มย่อยๆได้อีก เช่น ในกลุ่ม C ก็ สามารถแบ่งออกเป็น C1 หรือ C2 หรือ C3 ได้ เป็นต้น ตาราง ที่ 1 แสดงผลการตรวจสอบระดับของความปลอดภัยของระบบคอมพิวเตอร์ในที่มีอยู่ในท้องตลาดทั่วไป
|
ระดับขั้นของความปลอดภัย |
ชื่อของระดับขั้น |
ตัวอย่างของระบบในท้องตลาด |
|
D |
Minimum Security |
ระบบที่ไม่ผ่านการตรวจสอบ หรือยังไม่ได้รับการตรวจสอบ เช่น IBM PC, MS DOS ๆ |
|
C1 |
Discretionary |
IBM: MVS/RACF หรือ ระบบ UNIX เป็นต้น |
|
C2 |
Controlled Access Protection |
Computer Associations International : ACF/2/MVS Digital Equipment Corp. : VAX/VMS 4.3 Gould : UTX/32S HP : MPE V/E
|
|
B1 |
Controlled Access Protection |
AT&T : System V/MLS IBM : MVS/ESA Secure Ware : CMW+ UNISYS : OS 1100 |
|
B2 |
Structured Protection |
Honeywell Information System : ระบบ Multics Trusted Information Systems : ระบบ Trusted XENIX |
|
B3 |
Security Domains |
Honeywell Federal Systems : XTS-200 |
|
A1 |
Verified Design |
Honeywell Information Systems : SCOMP Boeing Aerospace : SNS |
ตารางที่ 1 : ผลการตรวจสอบระดับความปลอดภัยของระบบคอมพิวเตอร์ในท้องตลาด
ตัวอย่างของการรับรองระดับความปลอดภัยของ Windows NT 4.0 ในระดับ C2
ระบบ C2 โดยปกติแล้วนั้นจะมีไว้สำหรับรับรองระดับความปลอดภัยของระบบคอมพิวเตอร์เดี่ยวๆ (Stand Alone) ที่ไม่เชื่อมต่อกับระบบอื่นๆเลย ดังนั้นระบบปฏิบัติการนี้จะทำงานเป็นแบบ Stand-Alone Workstation วิธีการเตรียมระบบเพื่อให้พร้อมสำหรับการตรวจสอบเพื่อการรับรองความปลอดภัยในระดับ C2 ซึ่งมีดังนี้คือ
1.) ระบบคอมพิวเตอร์นี้จะต้องมีระบบปฏิบัติการ (Operating System) อยู่เพียงระบบเดียวไม่ใช่มี 2 ระบบ หรือมากกว่า นั้นคือน่าจะมีระบบปฏิบัติการ Windows NT อยู่เพียงระบบเดียวเท่านั้น
2.) ระบบปฏิบัติย่อย OS/2 และ POSIX ต้องไม่ถูกติดตั้งไว้บนระบบ
3.) ตัวหน่วยความจำ (Drives) ที่ใช้ในระบบน่าจะถูก Formatted ให้เป็นระบบไฟล์แบบ NT ไม่ใช้เป็นระบบไฟล์แบบ FAT การติดตั้งระบบนี้สามารถที่จะทำได้โดยการกำหนด Properties ของ Drives
4.) ระบบ Security Log ต้องไม่เขียนทับเหตุการณ์เก่าๆที่ถูกบันทึกไว้โดยอัตโนมัติ การกำหนดคุณสมบัตินี้สามารถที่จะทำได้โดย
- เปิดโปรแกรม Event Viewer
- เลือก Log Setting จาก Log Menu
- เลือก Option ที่เรียกว่า “Do Not Overwrite Events (Clear Log Manually)”
5.) ต้องไม่อนุญาตให้มีการใช้ Blank Password หรือ รหัสผ่านเปล่าๆ เราสามารถที่จะทำได้โดย
- เปิดโปรแกรม User Manager สำหรับ Domains
- เลือก Account จาก Policies Menu พร้อมทั้งเลือก Disable Blank Passwords ที่อยู่ใน Minimum Password Length Field พร้อมทั้งเลือก “At least X Characters” และกำหนดค่าของ X ไว้ด้วย
6.) ต้องไม่อนุญาตให้มีบัญชีผู้ใช้ แบบ Guest Account ได้ ซึ่งเราจะสามารถกำหนดได้จาก User Manager ได้ดังนี้คือ
- เลือก Guest Account ภายใน User Manager Program
- เลือก “Account Disabled” Option
-
การพัฒนาระบบจัดการฐานข้อมูลเชิงสัมพันธ์ส่วนภาษาฐานข้อมูล -
การประยุกต์ใช้ระบบสารสนเทศสำหรับผู้บริหารระดับสูงในการบริหารมหาวิทยาลัย
-
เครื่องมือสำหรับการเรียนการสอนบนเว็บ
-
ต้นแบบการส่งสัญญาณระยะไกลในการตรวจวัดชีพจร
-
การออกแบบเครือข่ายคอมพิวเตอร์ของสถาบันราชภัฎอุบลราชธานี
-
การพัฒนาภาษาสอบถามฐานข้อมูล SQL
-
โปรแกรมคำสั่งปฏิบัติการฐานข้อมูลแบบพีชคณิตสัมพันธ์
-
ระบบงานสารสนเทศภูมิศาสตร์ แผนที่ภาษีและทะเบียนทรัพย์สินขององค์การบริหารส่วนตำบล
-
โครงสร้างและการประมวลผลฐานข้อมูลงานบัญชีการเงินทางธุรกิจ
-
ซอฟต์แวร์สำหรับการวัดและประเมินผลการเรียนการสอน
-
การมีส่วนร่วมและความคิดเห็นของสมาชิกกับการดำเนินงานของสหกรณ์การเกษตร ในจังหวัดตรัง
-
ความต้องการการฝึกอบรมวิชาชีพเกษตรกรรมของเกษตรกรในอำเภอภาชี จังหวัดพระนครศรีอยุธยา
-
การสร้างระบบสารสนเทศเพื่อการบริหารคุณภาพการศึกษาของสถานศึกษาขั้นพื้นฐานในสามจังหวัดชายแดนภาคใต้
-
ผลการปฎิบัติงานวิชาการของผู้บริหารโรงเรียนมัธยมศึกษาจังหวัดนครศรีธรรมราช
-
ทัศนะของผู้บริหารและครูผู้สอนต่อการบริหารงานของคณะกรรมการสหกรณ์ออมทรัพย์ครูสตูล
