Page 16 - การป้องกันและรักษาความปลอดภัยบนเครือข่าย
P. 16
การป้ องกันและรักษาความมั่นคงปลอดภัยบนเครือข่าย : บทที่ 1 การรักษาความมั่นคงปลอดภัยข้อมูล
ทางออกสําหรับปัญหานี้คือ การใช้งานมาตรฐาน TNI (Trusted Network
Interpretation) ของ TCSEC หรือที่รู้จักในชื่อ เรดบุ๊ค (Red Book) ซึ่งออกมาในปี 1987
ข้อกําหนดใน Red Book มากจาก Orange Book ทั้งหมดและได้เพิ่มส่วนที่เกี่ยวข้องกับ
เครือข่ายเข้าไป อย่างไรก็ตามเนื่องจากมีข้อกําหนดเกี่ยวกับฟังก์ชันและการรับประกัน
มากทําให้ใช้เวลามากเกินไปในการตรวจสอบระบบ ทําให้มีเพียงบางระบบเท่านั้นที่ผ่าน
การตรวจสอบของ INT และในระบบที่ได้รับใบรับรองนั้นไม่มีระบบใดเลยที่ใช้ในเชิง
พาณิชย์
1.1.6 การรักษาความมั่นคงปลอดภัยข้อมูล (Information Security)
จากประวัติศาสตร์ที่ได้กล่าวมานั้นเราสามารถสรุปได้ว่าไม่มีวิธีการใดที่สามารถ
แก้ปัญหาเกี่ยวกับการรักษาความมั่นคงปลอดภัยได้ทั้งหมด แท้ที่จริงแล้วการรักษา
ความมั่นคงปลอดภัยที่ดีนั้นจะต้องใช้ทุกๆวิธีการที่กล่าวมาร่วมกัน การรักษาความ
มั่นคงปลอดภัยทางด้านกายภาพก็ยังเป็นวิธีการที่ดีสําหรับการปกป้ องทรัพย์สินที่เป็น
วัตถุ การรักษาความมั่นคงปลอดภัยด้านการสื่อสาร (COMSEC) เป็นวิธีที่ใช้ปกป้ อง
ข้อมูลในระหว่างการสื่อสาร การรักษาความมั่นคงปลอดภัยเกี่ยวกับการแผ่รังสี
(EMSEC) เป็นสิ่งที่จําเป็นเมื่อฝ่ายตรงกันข้ามมีเครื่องมือที่สามารถอ่านข้อมูลจากรังสีที่
watermark
แผ่ออกจากระบบคอมพิวเตอร์ การรักษาความมั่นคงปลอดภัยคอมพิวเตอร์
(COMPSEC) เป็นสิ่งจําเป็นสําหรับการควบคุมการเข้าถึงระบบคอมพิวเตอร์ และการ
รักษาความมั่นคงปลอดภัยเครือข่าย (NETSEC) ก็เป็นสิ่งที่จําเป็นสําหรับการควบคุม
การใช้งานเครือข่าย และวิธีการที่กล่าวมาทั้งหมดนี้รวมกันสามารถให้บริการการรักษา
ความมั่นคงปลอดภัยข้อมูล (INFOSEC) ได้
แต่สิ่งที่ยังขาดคือ กระบวนการที่รวดเร็วสําหรับการตรวจสอบเพื่อออก
ใบรับรองว่าระบบคอมพิวเตอร์นั้นปลอดภัย เนื่องจากในปัจจุบันเทคโนโลยีมีการ
เปลี่ยนแปลงที่เร็วมากกว่าเวลาที่ใช้กับกระบวนการตรวจสอบความมั่นคงปลอดภัยของ
ระบบ นอกจากนี้ยังเป็นการยากมากหรือแทบจะเป็นไปไม่ได้เลยเกี่ยวกับการที่จะพิสูจน์
ว่าระบบใดปลอดภัยหรือไม่
8
