Page 34 - การป้องกันและรักษาความปลอดภัยบนเครือข่าย
P. 34
การป้ องกันและรักษาความมั่นคงปลอดภัยบนเครือข่าย : บทที่ 2 กระบวนการในการรักษาความปลอดภัยข้อมูล
ให้ส่งผลมากขึ้นได้ ข้อมูลนั้นก็ควรที่จะถูกปกป้ องไว้เช่นกัน ตัวอย่างเช่น ข้อมูลแผนภาพ
ของระบบเครือข่าย, รุ่น/ยี่ห้อของอุปกรณ์แต่ละตัว, ข้อมูลชื่อ/นามสกุล วัน/เดือน/ปีเกิด
ของพนักงานและของเจ้าหน้าที่ระบบเครือข่าย เป็นต้น
การควบคุมการเข้าถึงข้อมูลสําคัญจากระยะไกลจะต้องมีการประเมินความ
เสี่ยง หาช่องโหว่และอุดช่องโหว่ที่พบ เช่น ป้ องกันการข้ามผ่านการตรวจสอบสิทธิ์แบบ
SQL Injection ซึ่งสามารถที่จะล้วงเอาข้อมูลใน Database ได้ ป้ องกันการโจมตีแบบ
XSS ที่สามารถขโมย Cookie/Session ID ของ Webmaster แล้วเข้าสู่เว็บไซต์ด้วยสิทธิ์
ของ Webmaster ซึ่ง Webmaster มักจะจัดการข้อมูลใน Database ผ่านทางเว็บ
นอกจากการปกป้ องข้อมูลขององค์กรแล้ว จําเป็นต้องมีการปกป้ องข้อมูลลูกค้า
ด้วย เช่น ข้อมูลเกี่ยวกับบัตรเครดิตของลูกค้าที่อยู่ใน Database ของเว็บไชต์ e-
commerce ต่างๆ
2.4 การฝึกอบรม
การฝึ กอบรมมีทั้งแบบอบรมทั่วไปและแบบสอบใบประกาศนียบัตร
(Certificate) ในส่วนการสอบใบประกาศนียบัตรมีหลายแบบสามารถแบ่งได้ดังนี้
ระดับพื้นฐาน CCSA , CWNA , i-Net+ , Security+
watermark
ระดับกลาง CCSE , CCSPA , CIW Security Analyst , CWSP
ระดับสูง Solaris 9 Security , CCMSE , CCSE Plus , CCSP , CISSP , SSCP
2.5 การตรวจสอบ (Audit)
ปัจจุบันผู้ตรวจสอบระบบสารสนเทศ หรือ IT/IS Auditor เป็นอาชีพที่ต้องการ
ผู้เชี่ยวชาญเฉพาะทางมาทําหน้าที่ตรวจสอบฝ่ายปฏิบัติการและฝ่ายพัฒนาระบบ
สารสนเทศ ซึ่งปัญหาใหญ่ ก็คือ ปัญหาการขาดแคลนผู้ตรวจสอบระบบสารสนเทศทั่ว
โลก ในขณะนี้หลายคนยังคงเข้าใจว่า “ผู้ตรวจสอบภายใน” หมายถึง “ผู้ตรวจสอบระบบ
สารสนเทศ” คํากล่าวนี้ไม่ผิดแต่ก็ไม่ถูก หมายความว่า ผู้ตรวจสอบระบบสารสนเทศนั้น
แบ่งออกเป็นสองประเภท ได้แก่ ผู้ตรวจสอบระบบสารสนเทศภายใน (IT/IS Internal
26
