การบริหารการรักษาความปลอดภัยในระบบออนไลน์ (๒)

โดย อนุสรณ์ ธรรมใจ
ผู้จัดการรายสัปดาห์(12 มีนาคม 2550)


กลับสู่หน้าหลัก

การใช้ระบบออนไลน์นั้นสิ่งสำคัญที่สุด คือ การทำระบบข้อมูลและกระบวนการทำงานให้เป็นมาตรฐาน จุดแข็งที่สำคัญของระบบออนไลน์จะไม่เกิดขึ้นหากไม่มีการเชื่อมต่อการกระบวนการทำงาน

การใช้มาตรฐานในการถ่ายโอนข้อมูลระหว่างคอมพิวเตอร์ในเครือข่ายด้วยการเข้ารหัสของข้อมูล โดยใช้เทคโนโลยีเข้ารหัสข้อมูล SSL (Secure Socket Layer) ซึ่งเป็นที่นิยมใช้กันโดยทั่วไป ซึ่งเว็บไซต์ที่ใช้ SSL จะใช้มาตรฐาน HTTPS (Hypertext Transmission Protocol, Secure) แทน HTTP (Hypertext Transmission Protocol) โดยสามารถสังเกตได้จาก URL ของเว็บไซต์นั้นๆ ที่จะขึ้นต้นด้วย HTTPS และด้วยการเข้ารหัสแบบ SSL ที่จะมีการใช้จำนวนบิตข้อมูลในการเข้ารหัส ซึ่งจำนวนบิตนี้จะมีผลในเรื่องของความปลอดภัยและความเร็ว กล่าวคือ ยิ่งใช้จำนวนบิตมากก็จะยิ่งปลอดภัยมาก แต่อย่างไรก็ตาม จำนวนบิตที่มกก็จะส่งผลต่อการส่งข้อมูลที่ช้าลงด้วย เนื่องจากจะใช้เวลาในการคำนวณที่นานขึ้น ดังนั้น การเลือกใช้จำนวนบิตควรที่จะพิจารณาถึงความปลอดภัย และอัตราความเร็วในการส่งข้อมูล ซึ่งโดยทั่วไปจะนิยมใช้กันที่ SSL128 เนื่องจากเป็นบิตมีความปลอดภัยสูง ขณะเดียวกันก็ให้เวลาตอบกลับ (Response Time) ที่เหมาะสม รวมทั้งการใช้ระบบตรวจสอบที่ได้รับการรับรองจาก Verisign ซึ่งเป็นมาตรฐานการรักษาความปลอดภัยของข้อมูลระดับโลก เพื่อความมั่นใจในความปลอดภัยสูงสุดของข้อมูล

การใช้ลายเซ็นอิเล็กทรอนิกส์ เพื่อระบุว่าข้อมูลที่มีการรับส่งเป็นข้อมูลจริงที่ส่งจากผู้ส่งถึงผู้รับที่ถูกต้อง โดยผู้ส่งจะมีการเข้ารหัสข้อมูลและผู้รับก็จะต้องมีรหัสอีกด้านเพื่อถอดรหัสข้อมูล หากถอดรหัสข้อมูลได้ถูกต้องก็แสดงว่าเป็นข้อมูลที่ส่งมาจากผู้ส่งนั้นจริง ดังภาพประกอบด้านล่าง

การรักษาความปลอดภัยในการส่งข้อมูล

การรักษาความปลอดภัยในส่วน Application

* การใช้ Login Password ในการเข้าใช้งานระบบ ซึ่งผู้ที่มีสิทธิใช้งานเท่านั้นที่จะได้รับข้อมูล Login Password

* การตัดระบบการใช้งานในกรณีที่ Login เข้าระบบแต่ไม่มีการใช้งานในระยะเวลาที่กำหนด เพื่อป้องกันผู้อื่นเข้ามาใช้งานแทนหากเปิดระบบค้างไว้และไม่มีการ Logout ออกจากระบบ และมีผู้อื่นมาใช้เครื่องคอมพิวเตอร์นั้น

* การกำหนดสิทธิในการใช้งานระบบ โดยจะกำหนดสิทธิผู้ใช้งานแต่ละคนให้สามารถเข้ามาใช้งานระบบในระดับใดได้บ้าง และสามารถดูข้อมูลได้มากน้อยแค่ไหน

* การกำหนดระยะเวลาในการเปลี่ยนรหัสผ่าน (Password) และการเปลี่ยนรหัสผ่านที่ห้ามซ้ำกับที่เคยใช้มาแล้วกี่ครั้งเพื่อป้องกันการลักลอบใช้ Login Password

การรักษาความปลอดภัยในส่วนของเครื่องเซิร์ฟเวอร์

* การลงโปรแกรมเพิ่มความปลอดภัย (Security Patch) ให้กับระบบปฏิบัติการของเครื่อง

* การใช้ Login Password ในการเข้าเครื่อง

* การกำหนดสิทธิในการเข้าห้องเซิร์ฟเวอร์ เฉพาะผู้ที่เกี่ยวข้องหรือผู้ที่มีสิทธิเข้าห้องเซิร์ฟเวอร์เท่านั้น เช่น การใช้บัตรผ่านเข้าห้อง การป้อนรหัสผ่าน หรือการใช้เครื่องตรวจลายนิ้วมือ เพื่อผ่านเข้าห้องเซิร์ฟเวอร์ เป็นต้น

* การลงบันทึกในการเข้าไปใช้งานหรือการติดตั้งโปรแกรมในเครื่อง เพื่อให้สามารถตรวจสอบได้ว่ามีผู้ใดบ้างที่เข้ามาทำงานที่เครื่องเซิร์ฟเวอร์นั้น

การรักษาความปลอดภัยในส่วนของการสำรองข้อมูล

การรักษาความปลอดภัยในส่วนของการสำรองข้อมูล หรือมีระบบสำรอง (Backup Site) ในกรณีที่ระบบหลักที่ให้บริการเกิดขัดข้อง สามารถกระทำได้หลายวิธีเช่นดังต่อไปนี้

* การสำรองข้อมูลทุกๆ วันเพื่อเก็บรักษาข้อมูลไว้ หากระบบที่ให้บริการเกิดขัดข้องและข้อมูลเกิดสูญหาย

* การมีระบบสำรองสำหรับเครื่องเซิร์ฟเวอร์ในทุกๆ จุด เช่น การมีเครื่องเซิร์ฟเวอร์ในการให้บริการสองชุด หากเซิร์ฟเวอร์ในชุดที่กำลังให้บริการอยู่เกิดขัดข้องก็จะมีเครื่องอื่นที่สามารถเข้ามาทำหน้าที่แทนได้ทันที (Fully-Redundant Hot Backup) ซึ่งจะทำให้เกิดความมั่นใจว่าการทำงานจะยังคงดำเนินต่อไปได้อย่างต่อเนื่อง เป็นต้น

* การมีระบบสำรองในอีกสถานที่หนึ่ง (Backup Site) เพื่อสำรองระบบในกรณีที่ระบบที่ให้บริการอยู่ รวมถึงระบบสำรองเครื่องเซิร์ฟเวอร์อีกชุดเกิดขัดข้องใช้การไม่ได้หรือระบบไฟในสถานที่ที่กำลังให้บริการระบบอยู่ขณะนั้นเกิดขัดข้องก็จะมีระบบสำรองในแหล่งอื่นให้บริการแทนได้

* การมีระบบสำรองเครือข่ายข้อมูล ในกรณีที่เครือข่ายหลักเกิดใช้งานไม่ได้ เช่น การใช้ระบบอินเทอร์เน็ต (ISP) 2 ราย ในกรณีที่ระบบอินเทอร์เน็ต (ISP) หลักเกิดขัดข้อง สามารถใช้ระบบอินเทอร์เน็ตจากผู้ให้บริการอีกรายเป็นแผนสำรอง หรือการเช่าสายสัญญาณ 2 สายสัญญาณ เพื่อสำรองในกรณีที่สายสัญญาณหลักเกิดขัดข้อง เป็นต้น

* การใช้ระบบ Clustering ของฐานข้อมูล ในกรณีที่ Hard Disk ตัวหนึ่งตัวใดไม่สามารถทำงานได้ ก็จะมีระบบสำรองข้อมูลแบบ Mirror Disk เพื่อป้องกันข้อมูลสูญหาย

จากวิธีการที่กล่าวมาทั้งหมดนี้ ถือเป็นภาพกว้างๆ ในเรื่องระบบความปลอดภัยที่ใช้ในการให้บริการระบบผ่านเครือข่ายอินเทอร์เน็ต ซึ่งการที่จะเลือกใช้ระบบการจัดซื้อจัดหาออนไลน์เพื่อลดขั้นตอนการทำงาน ลดค่าใช้จ่าย และเพิ่มความสะดวกรวดเร็วในการใช้งานนั้น Hosted e-Procurement ก็เป็นอีกทางเลือกหนึ่งที่จะช่วยลดการลงทุนในเรื่องของอุปกรณ์คอมพิวเตอร์ เซิร์ฟเวอร์และโปรแกรมที่จะให้บริการ รวมถึงเจ้าหน้าที่ดูแลระบบ โดยปัจจัยสำคัญในเรื่องความปลอดภัยของระบบก็ถือเป็นอีกปัจจัยหนึ่งในการพิจารณาบริษัทที่เป็นผู้ให้บริการ และช่วยดูแลระบบการจัดซื้อ เพื่อให้เกิดความมั่นใจในการใช้งานระบบทั้งในเรื่องของความปลอดภัยของข้อมูล และความมีเสถียรภาพของระบบ (Availability) ที่จะสามารถให้บริการผู้ใช้งานได้ตามวัตถุประสงค์ที่ต้องการ

กลับสู่หน้าหลัก

Creative Commons License
ผลงานนี้ ใช้สัญญาอนุญาตของครีเอทีฟคอมมอนส์แบบ แสดงที่มา-ไม่ใช้เพื่อการค้า-ไม่ดัดแปลง 3.0 ประเทศไทย



(cc) 2008 ASTVmanager Co., Ltd. Some Rights Reserved.