คำศัพท์วิชา Information System Security: เมษายน 2014

วันศุกร์ที่ 25 เมษายน พ.ศ. 2557

คำศัพท์เกี่ยวกับ Computer Security, Information Security / 6

คำศัพท์เกี่ยวกับ Computer Security, Information Security วิชา BIT2224 อ.กิตติศักดิ์

1. Computer Security คือ ความเสี่ยงต่อการเกิดความ เสียหายต่อคอมพิวเตอร์และข้อมูล ทั้งเหตุการณ์หรือการใช้งานที่ก่อให้เกิดความเสียหายต่อฮาร์ดแวร์, ซอฟท์แวร์, ข้อมูล, และความสามารถในการประมวลผลข้อมูลรูปแบบของความเสี่ยงเหล่านี้อาจอยู่ในรูปของอุบัติเหตุ หรือความตั้งใจหากเป็นความเสียหายที่เกิดจากความตั้งใจของบุคคลหรือกลุ่มคน และเป็นการกระทาที่ผิดกฎหมาย เราจะเรียกว่าอาชญากรรมทางอินเทอร์เน็ต (Computer crime หรือ cyber crime)

2. Information Security คือ การศึกษาถึงความไม่ปลอดภัยในการใช้งานสารสนเทศที่เกี่ยวข้องกับคอมพิวเตอร์ การวางแผนและการจัดระบบความปลอดภัยในคอมพิวเตอร์

3. Confidentiality คือ การรักษาความลับ ในทางคอมพิวเตอร์หมายถึง การรับรองว่าจะมีการเก็บข้อมูลไว้เป็นความลับ และผู้ที่มีสิทธิ์เท่านั้นจึงจะเข้าถึงข้อมูลนั้นได้ เนื่องจากข้อมูลบางอย่างในองค์กรมีความสำคัญ และไม่สามารถเปิดเผยต่อบุคคลภายนอกองค์กรได้ ช่วยลดความเสี่ยงต่อการถูกคุกคามของระบบ ถือเป็นการปกป้องความมั่นคงปลอดภัยของระบบและตัวองค์กรเอง ส่วนประกอบ 2 ส่วนที่สำคัญที่จะช่วยทำให้ข้อมูลนั้นเป็นความลับได้ก็คือ การกำหนดสิทธิ์ และการพิสูจน์ตัวตน ซึ่งอาจทำได้หลายวิธี ได้แก่ การใช้รหัสผ่านในการเข้าถึงข้อมูล, ลายเซ็นดิจิตอล, SSL

4. Integrity คือ การประกันว่าสารสนเทศสามารถได้รับการถึงหรือปรับปรุงโดยผู้ได้รับอำนาจเท่านั้น มาตรการใช้สร้างความมั่นใจ integrity ได้แก่ การควบคุมสภาพแวดล้อมทางกายภาคของจุดปลายทางเครือข่ายและแม่ข่าย จำกัดการเข้าถึงข้อมูล และรักษาวิธีปฏิบัติการรับรองอย่างเข้มงวด data integrity สามารถได้รับการคุกคามโดยอันตรายจากสภาพแวดล้อม เช่น ความร้อน ฝุ่น และการกระชากทางไฟฟ้า

5. Availability คือ การทำให้ระบบงานสามารถตอบสนองต่อการร้องขอบริการจากผู้ใช้งานได้ตลอดเวลาที่ต้องการ

6.Ping of Death การ ping คือ โดยที่ใช้ขนาดของ packer ที่ใหญ่กว่า 65,507 ซึ่งจะทำให้เกิดการ Denial of Service

7.Operational Data Security คือ การรักษาความปลอดภัยของข้อมูลการปฏิบัติการ คือ การปกป้องข้อมูลจากการเปลี่ยนแปลง ทำลาย หรือเปิดเผยโดยไม่ได้รับอนุญาต

8.Network Security คือ การรักษาความปลอดภัยเครือข่าย คือ การปกป้องเครือข่ายและบริการต่างๆ ของเครือข่ายจากการแปลงเปลี่ยน ทำลาย หรือเปิดเผยโดยไม่ได้รับอนุญาต และให้ความรับรองว่าเครือข่ายจะสามารถปฏิบัติหน้าที่ที่สำคัญได้อย่างถูกต้อง รวมถึงการรักษาความสมบูรณ์ของข้อมูล

9.Assurance การรับรอง คือ สิ่งบ่งบอกถึงความมั่นใจว่าระบบความปลอดภัยและสถาปัตยกรรมของระบบข้อมูลอัตโนมัตินั้น บังคับนโยบายรักษาความปลอดภัยได้อย่างถูกต้อง

10.Attacker ผู้โจมตี คือ บุคคลซึ่งพยายามโจมตี 1 ครั้งหรือหลายๆ ครั้ง เพื่อที่จะบรรลุวัตถุประสงค์

วันจันทร์ที่ 21 เมษายน พ.ศ. 2557

คำศัพท์วิชา Information System Security /5

คำศัพท์วิชา Information System Security คำศัพท์เกี่ยวกับ Computer Security, Informarion Security ครั้งที่ 5

1. Prioritization: ให้ลำดับความสำคัญที่จะดำเนินการกับความเสี่ยงที่สำคัญๆ ก่อน หรือทำการป้องกันในจุดที่จะก่อให้เกิดความเสียหายรุนแรง ตามลำดับก่อนหลัง

2. Botnet หมายถึงโปรแกรมที่ออกแบบมาให้สามารถเจาะระบบหรือเข้าไปฝังตัวในเครื่องเป้าหมายโดยอาศัยช่องโหว่ของระบบปฏิบัติการหรือแอพพลิเคชั่นที่ทำงานอยู่เพื่อเปิดทางให้ผู้บุกรุกสามารถที่จะครอบครอง ควบคุมหรือใช้ทรัพยากรเพื่อกระทำการอย่างหนึ่งอย่างใดบนระบบได้
3. Dos,DDos Denial of Service  หมายถึงการถูกโจมตีหรือถูกส่งคำร้องขอต่าง ๆ จากเครื่องปลายทางจำนวนมากในช่วงเวลาหนึ่งๆ ซึ่งทำให้เครื่องแม่ข่าย(Server)ที่เปิดให้บริการต่าง ๆ ไม่สามารถให้บริการได้ Distributed Denial of Service หมายถึงการที่มีการร้องขอใช้บริการต่าง ๆ จากเครื่องของผู้ใช้จำนวนมากในเวลาเดียวกันจนทำให้เครื่องแม่ข่ายที่ให้บริการไม่สามารถตอบสนองการให้บริการได้ทันอันเนื่องมาจากเครื่องของผู้ใช้โดยสั่งงานจากโปรแกรมที่แฝงตัวอยู่
4. Spam mail  คือ  การส่งข้อความที่ไม่เป็นที่ต้องการให้กับคนจำนวนมาก  ๆ  จากแหล่งที่ผู้รับไม่เคยรู้จักหรือติดต่อมาก่อน โดยมากมักอยู่ในรูปของ E-mail    ทำให้ผู้รับรำคาญใจและเสียเวลาในการลบข้อความเหล่านั้นแล้ว Spam  mail  ยังทำให้ประสิทธิภาพการขนส่งข้อมูลบนอินเทอร์เน็ตลดลงด้วย
5. Smart Card   เป็นบัตรพลาสติกที่มี  “ชิบขนาดเล็ก (Microchip)”  สำหรับเก็บข้อมูล    โดยจะเก็บข้อมูลส่วนตัวของเจ้าของบัตรซึ่งประกอบด้วย  ข้อมูลเงินสดในบัญชี    เบอร์บัญชีเงินฝาก  หมายเลขบัตรหรือรายละเอียดเกี่ยวกับการเงินต่างๆ  สามารถใช้ในการจ่ายเงินค่าสินค้าผ่านอินเทอร์เน็ต  และมีความปลอดภัยสูงกว่าการใช้บัตร Credit    อีกทั้งยังพกพาได้สะดวกและมีความเป็นส่วนตัว

6. Worm คือ โปรแกรมอิสระที่สำเนาตัวเองจากเครื่องหนึ่งไปยังอีกเครื่องหนึ่งโดยผ่านการเชื่อมต่อทางเครือข่ายและโดยปกติจะเป็นที่กีดขวางในการวิ่งของtraffic ในเครือข่ายและระบบข้อมูลในระหว่างที่ตัวมันกระจายตัวเองออกไปได้ เป็นต้น

7. File Virus คือ ไวรัสไฟล์ข้อมูล โดยมากจะติดกับๆไฟล์ที่มักเรียกใช้บ่อย เช่น ไฟล์นามสกุล .exe, .dll,.com ตัวอย่าง Jerusalem, Die Hard II

8. Trojan Horse Virus คือ เป็นไวรัสที่แฝงมากับไฟล์อื่นๆ ที่ดูแล้วไม่น่าจะมีอันตรายใดๆเช่น เกมส์ โปรแกรมฟรีแวร์หรือแชร์แวร์เมื่อใช้ไประยะเวลาหนึ่งแล้วไวรัสก็จะแสดงตัวออกมา ซึ่งอาจทำลายระบบคอมพิวเตอร์ของเรา

9. Macro Virus คือ มาโครไวรัสเป็นไวรัสที่เขียนขึ้นมาจากคำสั่งภาษามาโคร ที่มีอยู่ในโปรแกรมประมวลผลคำ, หรือโปรแกรมในชุดไมโครซอพต์ออฟฟิสเมื่อเราเปิดเอกสารที่มีไวรัส ไวรัสก็จะแพร่กระจายไปยังไฟล์อื่น

10. Boot Sector Virus คือ เป็นไวรัสที่แฝงตัวในบูตเซกเตอร์ของแผ่นดิสก์ ทุกครั้งที่มีการใช้แผ่นดิสก์ จะต้องมีการอ่านข้อมูลในบูตเซกเตอร์ทุกครั้ง ทำให้โอกาสติดไวรัสได้ง่าย

คำศัพท์วิชา Information System Security/4

คำศัพท์วิชา Information System Security คำศัพท์เกี่ยวกับ Computer Security, Informarion Security ครั้งที่ 4

1. Offense informs defense: ถ้าหากเราทราบถึงวิธีหรือขั้นตอนในการกระทำผิดนั้นๆ และเราก็จะทราบทราบถึงวิธีการป้องกันการกระทำผิดเหล่านั้นด้วย

2. Prioritization: ให้ลำดับความสำคัญที่จะดำเนินการกับความเสี่ยงที่สำคัญๆ ก่อน หรือทำการป้องกันในจุดที่จะก่อให้เกิดความเสียหายรุนแรง ตามลำดับก่อนหลัง

3. Metrics: นำเสนอข้อมูลตัวชี้วัดต่างๆ ที่เกี่ยวข้อง เช่น มูลค่าความเสียหายหากถูกโจมตีจากจุดอ่อนต่างๆ ความสำคัญของระบบ หรือข้อมูลในองค์กร และ ข้อมูลอื่นๆ ที่สามารถประเมินได้ให้กับผู้บริหาร ฝ่ายไอที ผู้ตรวจสอบ และบุคคลต่างๆ ที่เกี่ยวกับความมั่นคงปลอดภัยเพื่อช่วยกันประเมินและปรับปรุงข้อมูลเหล่าตัวชี้วัดนั้นได้รวดเร็วขึ้น

4.Continuousmonitoring: ดำเนินการตรวจสอบอย่างต่อเนื่องเพื่อทดสอบและตรวจสอบประสิทธิผลของมาตรการรักษาความปลอดภัยในปัจจุบัน

5. Automation: ระบบอัตโนมัติสามารถเชื่อถือได้ และทำการขยายขีดความสามารถ รวมทั้งตรวจวัดได้อย่างต่อเนื่อง ตามข้อควรปฏิบัติในระเบียบวิธีการควบคุม และตัวชี้วัดที่เกี่ยวข้อง

6.Worm (หนอนอินเตอร์เน็ต) เป็นโปรแกรมคอมพิวเตอร์ เช่นเดียวกับโปรแกรมไวรัส แต่แพร่กระจายผ่านเครือข่ายไปยังคอมพิวเตอร์และอุปกรณ์เครื่องอื่น ๆ ที่ต่ออยู่บนเครือข่ายด้วยกัน ลักษณะการแพร่กระจายคล้ายตัวหนอนที่เจาะไชไปยังเครื่องคอมพิวเตอร์ต่าง ๆ แพร่พันธุ์ด้วยการคัดลอกตัวเองออกเป็นหลาย ๆ โปรแกรม และส่งต่อผ่านเครือข่ายออกไป และสามารถแพร่กระจายผ่านทางอีเมล์ได้ ไม่ว่าจะเป็นOutlook Express หรือ Microsoft Outlook เช่น เมื่อมีผู้ส่งอีเมล์และแนบโปรแกรมติดมาด้วย ในส่วนของAttach file ผู้ใช้สามารถคลิ๊กดูได้ทันที การคลิ๊กเท่ากับเป็นการเรียกโปรแกรมที่ส่งมาให้ทำงาน ถ้าสิ่งที่คลิ๊กเป็นเวิร์ม เวิร์มก็จะแอกทีฟ และเริ่มทำงานทันที โดยจะคัดลอกตัวเองและส่งจดหมายเป็นอีเมล์ไปให้ผู้อื่น

7.Emploit คือ คำที่มาจากภาษาฝรั่งเศาเกิดจากการที่เอาคำ 2 คำมาผสมกันมีความหมายว่า “achievement” หรือว่า “accomplishment” แปลว่า ความสำเร็จ, หาผลประโยชน์ ซึ่งโปรแกรมนี้เป็นโปรแกรมที่ได้รับการออกแบบมาเพื่อให้ทำการเจาะระบบโดย อาศัย ช่องโหว่ของ software, hardware หรือช่องโหว่ต่างๆเพื่อที่จะเข้าทำการครอบครองหรือควบ คุม computer เพื่อที่จะให้กระทำการบางอย่าง เช่น การขโมยข้อมูลหรือใช้ในการ denial of service attack และอื่นๆ

8.Network Security การรักษาความปลอดภัยเครือข่าย: การปกป้องเครือข่ายและบริการต่างๆของเครือข่ายจากการเปลี่ยน แปลง, ทำลาย, หรือเปิดเผยโดยไม่ได้รับอนุญาต และให้ความรับรองว่าเครือข่ายจะสามารถปฏิบัติหน้าที่ที่สำคัญได้อย่างถูก ต้องโดยไม่เกิดผลข้างเคียงที่เป็นอันตราย การรักษาความปลอดภัยเครือข่ายรวมถึงการรักษาความสมบูรณ์ของข้อมูล (Data Integrity)

9.RISK Management หมายถึง โอกาสที่จะเกิดความผิดพลาด ความเสียหาย การรั่วไหล ความสูญเปล่า หรือเหตุการณ์ที่ไม่พึงประสงค์ที่ทำให้งานไม่ประสบความสำเร็จตามวัตถุ ประสงค์และเป้าหมายที่กำหนด หรือ ความเสี่ยง คือ ความไม่แน่นอนที่เกิดขึ้นและมีผลต่อการบรรลุเป้าหมายหรือวัตถุประสงค์ที่ ตั้งใจไว้ ความเสี่ยงนี้จะถูกวัดด้วยผลกระทบที่ได้รับและความน่าจะเป็นของเหตุการณ์ หรือ “โอกาสหรือเหตุการณ์ที่ไม่พึงประสงค์ที่จะทำให้เราไม่บรรลุวัตถุ ประสงค์” ภาษาง่าย ๆ “ ความเสี่ยง คือ สิ่งต่าง ๆที่อาจกีดกันองค์กรจากการบรรลุวัตถุประสงค์/เป้าหมาย

10.Cryptography คำแปล / ความหมาย การเข้ารหัสลับ : ศิลปะในศาสตร์ที่เกี่ยวเนื่องกับหลักการ ตัวกลาง และวิธีการในการทำให้ข้อความธรรมดาไม่สามารถถูกอ่านได้ โดยเข้าใจ และในการแปลงข้อความที่ถูกเข้ารหัสลับกลับเป็นข้อความธรรมดา เป็นต้น

วันจันทร์ที่ 7 เมษายน พ.ศ. 2557

คำศัพท์เกี่ยวกับ Computer Security และ Information Security ครั้งที่ 3 นายอนวัช มาละยะมาลี 2561051542327

6. Logic Bomb ลอจิกบอมบ์ คือ การเขียนโปรแกรมโดยกำหนดเงื่อนไขเจาะจงไว้ล่วงหน้า เมื่อถึงเวลาที่กำหนดโปรแกรมจะทำงานตามที่กำหนด
7.Email Bomb อีเมล์บอมบ์ คือ การส่งจดหมายทางเมล์ออกไปให้คนจำนวนมาก ๆ พร้อมกันจนกระทั่งทำให้เนื้อที่ในเมล์เหลือน้อย หรือไม่เหลอ ในการรับอีเมล์อื่น ๆ ได้อีก

8.Computer Virus ไวรัสคอมพิวเตอร์ โปรแกรมที่สามารถทำลาย ข้อมูล หรือโปรแกรม หรือสร้างความรำคาญ ทำให้โปรแกรมทำงานผิด ๆ ถูก ๆ กินพื้นที่ในหน่วยความจำ
9.Digital signature (การลงนามดิจิตอล) คือ การลงนามอิเลคทรอนิคส์ที่สามารถใช้ในการรับรองเอกลักษณ์ของผู้ส่งข่าว สารหรือผู้ลงนามเอกสาร และความเป็นไปได้ในการทำความมั่นใจว่าเนื้อหาดั้งเดิมของข่าวสารหรือเอกสาร ที่ได้รับการส่งไม่มีการเปลี่ยนแปลง การลงนามดิจิตอลสามารถส่งได้ง่าย ไม่สามารถเลียนแบบโดยบางคน และสามารถประทับตราเวลาอย่างทันที ความสามารถทำให้มั่นใจที่ข่าวสารลงนามดั้งเดิมมาถึงหมายความว่าผู้ส่งไม่ สามารถปฏิเสธอย่างง่ายดายต่อมา
10.Eavesdropping การลักลอบดักฟัง มักเกิดขึ้นในระบบเครือ ข่ายและการโทรคมนาคม ดักเอาข้อมูล ดักเอาสัญญาณ ต่าง เช่น ดักเอา รหัสการเข้าใช้งานระบบ เป็นต้น

วันศุกร์ที่ 4 เมษายน พ.ศ. 2557

คำศัพท์วิชา Information System Security คำศัพท์เกี่ยวกับ Computer Security, Informarion Security ครั้งที่ 2

1. Accuracy ความถูกต้องแม่นยำของข้อมูล สารสนเทศต้องไม่มีความผิดพลาด และต้องมีค่าตรงกับความคาดหวังของผู้ใช้เสมอ เมื่อใดก็ตามที่สารสนเทศมีค่าผิดเพี้ยนไปจากความคาดหวังของผู้ใช้ ไม่ว่าจะเกิดจากการแก้ไขด้วยความตั้งใจหรือไม่ก็ตาม เมื่อนั้นจะถือว่าสารสนเทศ “ไม่มีความถูกต้องแม่นยำ”

2.Privacy ความเป็นส่วนตัวของผู้ใช้ระบบ และผู้รักษาระบบ สารสนเทศที่ถูกรวบรวม เรียกใช้ และจัดเก็บโดยองค์กร จะต้องถูกใช้ในวัตถุประสงค์ที่ผู้เป็นเจ้าของสารสนเทศรับทราบ ณ ขณะที่มีการรวบรวมสารสนเทศนั้น หากมีผู้ใดเข้าใช้ หรือนำสารสนเทศนั้นไปใช้ ถือว่าเป็นผู้ละเมิดสิทธิส่วนบุคคล

3.NSTISSC (Nation Security Telecommunications and Information Systems Security คณะกรรมการด้านความมั่นคงโทรคมนาคมและระบบสารสนเทศแห่งชาติของต่างประเทศที่ได้รับการยอมรับแห่งหนึ่ง ได้กำหนดแนวคิดความมั่นคงปลอดภัยขึ้นมา ต่อมาได้กลายเป็นมาตรฐานการประเมินความมั่นคงของระบบสารสนเทศ เพื่อเป็นมาตรฐานควบคุมระบบความปลอดภัยของสารสนเทศ ให้เป็นไปทิศทางเดียวกัน

4.Software เป็นส่วนหนึ่งในองค์ประกอบของระบบสารสนเทศ ย่อมต้องอยู่ภายใต้เงื่อนไขของการบริหารโครงการ ภายใต้เวลา ต้นทุน และกำลังคนที่จำกัด ซึ่งมักจะทำภายหลังจากการพัฒนาซอฟต์แวร์เสร็จแล้ว

5.Hardware เป็นส่วนหนึ่งในองค์ประกอบของระบบสารสนเทศ จะใช้นโยบายเดียวกับสินทรัพย์ที่จับต้องได้ขององค์กร คือการป้องกันจากการลักขโมยหรือภัยอันตรายต่าง ๆ รวมถึงการจัดสถานที่ที่ปลอดภัยให้กับอุปกรณ์หรือฮาร์ดแวร์

6. Vulnerability ความล่อแหลม คือ รูปแบบการทำงานทาง hardware, firmware, และ software ที่เปิดให้ระบบข้อมูลอัตโนมัติมีโอกาสที่จะถูกฉวยโอกาสได้

7.Availability ความพร้อมใช้ คือ การรับรองว่าข้อมูลและบริการการสื่อสารต่างๆ พร้อมที่จะใช้ได้ในเวลาที่จะต้องใช้

8.Cryptography การเข้ารหัสลับ คือ หลักการ ตัวกลาง และวิธีการในการทำให้ข้อความธรรมดาไม่สามารถถูกอ่านได้โดยเข้าใจ และการแปลงข้อความที่ถูกเข้ารหัสลับกลับเป็นข้อความธรรมดา

9. Information Exchange การแลกเปลี่ยนข้อมูล การให้ได้มาซึ่งข้อมูล ทั้งจากผู้โจมตีคนอื่น (ผ่านทาง bulletin board ทางอิเล็กทรอนิกส์) หรือจากบุคคลที่เป็นเป้าหมายของการโจมตี (ซึ่งถูกเรียกโดยทั่วไปว่าเป็น social engineering)

10. Information Warfare (IW) การสงครามข้อมูล ปฏิบัติการทางข้อมูลที่กระทำในเวลาวิกฤตหรือเวลาที่มีความขัดแย้ง (สงคราม) เพื่อที่จะให้บรรลุหรือช่วยในการบรรลุวัตถุประสงค์หนึ่งที่มีต่อฝ่ายตรงข้ามฝ่ายใดฝ่ายหนึ่ง