by A.Pinya Hom-anek, CISSP

พูด ถึง INFOSEC (Information Security) นั้น ขณะนี้กลายเป็นเรื่องสำคัญที่ทุกองค์กรทั้งภาครัฐและเอกชนในประเทศไทยได้ให้ ความสำคัญเป็นลำดับต้นๆเพราะเทคโนโลยีสารสนเทศ (IT) นั้นเป็นสิ่งจำเป็นสำหรับพื้นฐานการดำเนินธุรกิจในปัจจุบัน บุคลากรที่มีความชำนาญด้าน INFOSEC กำลังเป็นที่ต้องการของหลายๆบริษัท การรับสมัครบุคลากรที่มีความรู้ความสามารถด้าน INFOSEC นั้น จำต้องมีการกลั่นกรองกันพอสมควรโดยเริ่มจากคำถามเกี่ยวกับพื้นฐานด้าน INFOSEC ที่สำคัญได้แก่ “CIA TRIAD” โดยที่ CIA ก็คือ “Confidentiality, Integrity และ Availability” ตามลำดับ 3 คำนี้ถือเป็นสิ่งที่ Security Professional ต้องรู้และสามารถอธิบายได้

กล่าวคือ C = “Confidentiality” หมาย ถึง การรักษาความลับ (Secret) ของข้อมูลของเรา ข้อมูลที่ถูก Hacker หรือผู้ที่ไม่มีสิทธิเข้ามาแอบอ่านก็จะไม่เป็นความลับอีกต่อไป เราจึงต้องพยายามที่จะรักษาไว้ซึ่ง Confidentiality โดยใช้เทคโนโลยีต่างๆเข้ามาช่วยเช่น Cryptography ซึ่งพูดถึงการเข้ารหัสและถอดรหัสข้อมูลเป็นพื้นฐานสำคัญของการศึกษา เทคโนโลยีที่ใช้ในทางปฏิบัติจริงเช่น VPN (Virtual Private Network), SSL (Secure Socket Layer) หรือ PKI (Public Key Infrastructure) ล้วนแต่ต้องการความรู้ด้าน Cryptography ทั้งสิ้น

ความรู้ด้านการเข้ารหัสและการถอดรหัสข้อมูลนี้ถูกนำมาจัดทดสอบในข้อสอบ CISSP (Certified Information Security Systems Professional) ของ ISC2 (www.isc2.org) ซึ่งนับเป็น 1 ใน 10 Domain ของ Common Body of Knowledge ( CISSP Certification ถือเป็น Certification ทางด้าน INFOSEC ที่ได้รับการยอมรับมากที่สุดทั่วโลกในเวลานี้ )

คำต่อมาคือ I = “Integrity” หมาย ถึงความแท้จริงของข้อมูลเพื่อให้แน่ใจว่าข้อมูลที่ถูกต้องของเราไม่ถูกแก้ไข โดยผู้ที่ไม่ได้รับอนุญาต หรือไม่ถูกเปลี่ยนแปลงโดยแฮกเกอร์ แครกเกอร์ หรือผู้บุกรุก (Hacker/ Cracker/ Intruder) ลองนึกดูว่าถ้าข้อมูลที่มีความสำคัญโดยเฉพาะข้อมูลที่เกี่ยวข้องกับทางด้าน การเงินนั้นถูกเปลี่ยนแปลงแก้ไขจะส่งผลเสียให้กับองค์กรอย่างมากเพราะข้อมูล นั้นเชื่อถือไม่ได้

การที่เครื่องคอมพิวเตอร์ของเรามีไฟล์แปลกๆมาอยู่ ในฮาร์ดดิสก์หรือเราติดไวรัสคอมพิวเตอร์ ก็หมายถึงเราสูญเสีย I=Integrity เช่นกันดังนั้น เราจึงต้องมีการตรวจสอบ Integrity ของไฟล์ข้อมูลในฮาร์ดดิสก์เราอยู่อย่างสม่ำเสมอ โดยใช้โปรแกรมจำพวก Integrity Checker ที่สามารถคำนวณค่า “Checksum” ให้กับไฟล์ข้อมูลของเราเพื่อนำมาเปรียบเทียบเวลาที่ไฟล์ที่มีการเปลี่ยนแปลง เกิดขึ้น ตัวอย่างเช่นโปรแกรม Tripwire เป็นต้น (www.tripwire.com)

คำสุดท้ายคือ A = “Availability” หมาย ถึงเมื่อเราต้องการใช้งานระบบคอมพิวเตอร์แล้ว ระบบต้องมีความสามารถในการรองรับอยู่เสมอ มิใช่ว่าระบบดีบ้างล่มบ้าง หรือเมื่อเกิดปัญหาล่มแล้ว ไม่มีระบบสำรองไว้ใช้งานหรือกว่าจะกู้ระบบได้ก็กินเวลานาน ทำให้เกิด “downtime” ซึ่งเป็นต้นเหตุทำให้ธุรกิจของเราติดขัดไม่สามารถดำเนินงานต่อไปได้ เราจึงควรมีแผนการป้องกันระบบล่มไม่ว่าจะเป็น BCP (Business Continuity Planning) หรือ DRP (Disaster Recovery Planning) เผื่อไว้บ้าง เพราะหน่วยงานหลายๆแห่งยังคงมองข้ามเรื่องเหล่านี้

เรา คงได้ทำความรู้จักกับ “CIA TRIAD” กันไปแล้วแต่ CIA TRIAD นั้น ยังไม่พอเพียงสำหรับการทำงานด้าน INFOSEC เนื่องจากยังมีเรื่องอื่นๆ ที่เราต้องรู้อีกมากอาทิ “Physical Security, Access Control Systems & Methodology, etc..” ซึ่งเป็นส่วนสำคัญใน Domain ทั้ง 10 ของ Common Body of Knowledge ( CBK )
ผมจะทยอยนำ CBK ซึ่งเป็นพื้นฐานสำคัญในการสอบ CISSP มาเขียนให้ท่านผู้อ่านได้อ่านกันในฉบับต่อๆไปนะครับ ข้อมูลเพิ่มเติมดูที่ www.acisonline.net 

จาก : หนังสือ eWeek Thailand
ปีที่ 10 ฉบับที่16 ประจำเดือนสิงหาคม 2545 (ปักหลัง)
Update Information : 6 สิงหาคม 2545