พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ ตอนที่ 4 (Common Body of Knowledge: CBK)
by A.Pinya Hom-anek, CISSP
ล่าสุดข้อมูลสำรวจเกี่ยวกับการจัดอันดับความนิยมเกี่ยวกับ IT Certification จาก Web Site www.certcities.com พบว่า Certification ทางด้าน Networking ที่ได้รับการยอมรับมากที่สุดคือ CCIE (Cisco Certified Internetwork Expert) และด้าน Information Security ได้แก่ CISSP (Certified Information System Security Professional) ของ www.isc2.org ความนิยมในการสอบ CISSP นั้นเพิ่มมากขึ้นหลายเท่าตัวในช่วง 2-3 ปีที่ผ่านมา ขณะนี้ในฮ่องกงมีผู้สอบผ่านมากกว่า 600 คน
ขณะที่ประเทศไทยเรามีเพียง 6 คนเท่านั้น งานด้าน Information Security เป็นงานท้าทายและมีโอกาสก้าวหน้าในอาชีพเป็น IT Professional ค่อนข้างสูงกว่างาน IT ในด้านอื่นๆ ดังนั้นฉบับนี้เราจึงมากล่าวถึง CBK (Common Body of Knowledge) ที่ต้องใช้ในการสอบ CISSP ทั้ง 10 Domain กันต่อ โดยเราจะกล่าวถึง Domain ที่ 4 คือ “Application & System Development Security“
หลายๆ คนคงเคยได้ยินเรื่อง System Development Life Cycle (SDLC) และ Capability Maturity Model (CMM) ที่เรานำมาใช้ในการพัฒนา Application Software ความรู้พื้นฐานที่ผู้เข้าสอบต้องมีได้แก่ ความรู้เรื่องการใช้งาน RDBMS อย่างลึกซึ้งเช่น Database Security, Data Warehouses and Data Mining รวมถึง Knowledge-Based Systems ได้แก่ Expert System และ Neutral Network
การจัดการด้าน Application Security Control ก็เป็นเรื่องสำคัญที่ควรรู้ เช่น Process Isolations, Separations of Privileged โดยเฉพาะหลักการ Defense in Depth ไปจนถึงเรื่อง SLA ( Services Level Agreements)
ความรู้เรื่อง Virus ได้แก่ MMC (Malicious Mobile Code), Worm, Trojan Hoarse, Trap Door เราต้องสามารถอธิบายความแตกต่างของ Virus ในแต่ละแบบตลอดจนวิธีการ Attack ของ Hacker ในแบบต่างๆ เช่น Spoofing ซึ่ง Hacker สามารถที่จะ Spoof ได้ทั้ง IP Address และ MAC Address หรือเรื่อง Pseudo Flaw, Hidden Code, Inference, Traffic Analysis เป็นต้น
เรื่อง Security ใน Java เปรียบเทียบกับ Active-X ก็เป็นเรื่องที่ต้องศึกษาเช่นกัน เช่น SandBox Concept ใน JAVA Applet จะเห็นได้ว่าความรู้ใน Domain ที่ 4 นั้นค่อนข้างกว้างพอสมควรเราจึงควรมีการเตรียมตัว และทำความเข้าใจคำศัพท์และคำนิยามต่างๆ ให้ชัดเจนและลึกซึ้ง ในฉบับหน้า ผมจะกลับมากล่าวถึง Domain ที่ 5 ได้แก่ Security Architecture & Model ต่อไปนะครับ
จาก : หนังสือ eWeek Thailand
ปีที่ 10 ฉบับที่20 ประจำเดือนตุลาคม 2545 (ปักหลัง)
Update Information : 17 ตุลาคม 2545