Accuracy : 93.75%
Insertion : 673
Deletion : 586
Substitution : 52
Correction : 20343
Reference tokens : 20981
Hypothesis tokens : 21068
นะคะแล้วก็ข้อ2ความน่าจะเป็นที่จะเกิดอุบัติเหตุก็ถือว่าเป็นภัยคุกคามความไม่ปลอดภัมันก็ไปได้นะคะอย่างเช่นอย่างเช่นการซื้อประกันภัก็ถือว่าเป็นการลดความเสี่ยงอีกแบบหนึ่งเหมือนกันนะคะเขา่ก้จะมีการคพมาแล้วว่าต่อปีคุณจะต้องเสียสตางค์เท่าไรเขาจะคำนนวณมากจากเงินที่จะเกิดขึ้นถ้าสมมติรถคุณเกิดอุบัติเหตุนะคะอาจจะเกิดอุบัติเหตุภายนอกเครื่องยนต์หรือการเฉี่ยวชนต่างๆการคำนวณเบี้ยประกันภัยจากการเสี่ยงเขาอะไรบ้างถึงจะเป็นการคำนวณได้นะคะอันแรกนะคะที่เขาจะมาคำนวณก็คือเงินที่จะใช้ในการซ่อมรถที่จะต้องจ่ายบริษัทประกันภัยก็จะคิดว่าเป็นช่องโหว่งก็คือสมมติว่าลูกค้าเคลมประกันเขาซื้อประกันปีละหมื่นเคลมประกันหลักแสนอันนี้บริษัทนะคะแล้วก็ข้อ2ความน่าจะเป็นที่จะเกิดอุบัติเหตุก็ถือว่าเป็นภัยคุกคามความไมปลอดภัยหรืออุบัติเหตุที่จะเกิดขึ้น...มาคำนวณว่าเขาจะรู้สึกอย่างไรถ้าร-ู็สึกว่า...ไม่ใช่ว่าเราจะชนรถชนทุกเดือนทุกเดือนเป็นไปไม่ได้ไม่มีใครอยากให้ทรัพย์สินของเรามีปัญหาอยู่แล้วนะคะพอเรารวมช่องโหว่งกับภัยคุมคามเข้าด้วยกันเพราะถ้ามันไม่มีช่องโหว่ก็ไม่มีความเสี่ยงถ้าไม่มีภัยคุกคามก็ไม่มีความเสี่ยงเพราะทุกอย่างรวมเข้าไหมนะคะภัยคุกคามอาจจะเราทำดีแล้วแต่มันก็ยังเสี่ยงอยู่ก็เป็นไปได้นะคะช่องโหว่หรือว่าจุดอ่อนนี่มันเลยเป็นช่องทางที่อาจจะใช้เป็นช่องทางระบบเครือข่ายหรือโจมตีข้อมูลเราได้นะคะจุดอ่อนก็มีหลายระดับนะคะตั้งแต่ยากไปถึงง่ายอาจจะเกี่ยวข้องด้านความชำนาญทางด้านเทคนิคถ้าเป็นprogrammerมีประสบการณ์ในการเจาะระบบมากๆเราคิดว่าเราป้องกันดีแล้วเขายังหาช่องโหว่ของเราได้จุดอ่อนของเราได้นะคะหรือบางทีเขาอาจจะหาผลที่จะทำให้ระบบเราถูกกระทบจากการที่เราเปิดช่องโหว่งน-ี(-ั)-้นไว้นะคะจุดอ่อนนี่ไม่ได้มีแค่ในระบบคอมพิวเตอร์ระบบเครือข่ายหรือจัดเก็บข้อมูลเท่านั้นนะคะอาจจะเป็นทางด้านกายภาพเช่นการรักษาความปลอดภัยในห้องทำงานในห้องเก็บข้อมูลนะคะไม่คล้องกุญแจไม่ปิดประตูให้สนิทนะคะไม่มีการเข้ารหัสสแสกนลายนิ้วมือนะคะใครอยากเปิดเข้ามาดูข้อมูลก็ได้หรือตัวพนักงานเองหละหลวมนะคะloginข้อมูลตัวเองทิ้งไว้บนคอมพิวเตอร์สาธารณะใครก็สามารถเข้ามาดูข้อมูลเราได้หรือว่าข้อมูลนั้นๆโปรแกรมเมอร์เปิดเผยสาธารณะทั้งๆที่มันควรจะเป็นข้อมูลลับนะคะสิ่งเหล่านี้อาจจะไม่ได้อยู่ในรูปแบบระบบคอมพิวเตอร์อาจจะอยู่ในรูปแบบของเอกสารที่เป็นกระดาษหรือเป็นเอกสารhardchardcopyอื่นๆก็ได้นะคะเพราะฉะนั้นข้อมูลของเรานี่มันไม่ควรจะเปิดเผยให้คนอื่นรู้นะคะโดยที่เราไม่ยินยอมนะคะปัจจัยที่ทำให้เกิดช่องโหว่ในระบบคอมพิวเตอร์นะคะก็คืออันแรกusernameหรือรายชื่อผู้ใช้งานไม่มีประสิทธิภาพไม่มีการจัดเขาเรียกว่าอะไรล่ะความสำคัญของuserเช่นถ้าการจัดการผู้ใช้งานไม่ดีนักศึกษาแต่ละคนก็อาจจะดูเกรดเพื่อนก็ได้ดูเกรดใครก็ได้ดูเกรดอาจารย์ก็ได้ดูวุม(ฒ)-ิการศึกษาอาจารย์ก็ได้ที่อยู่อาจารย์แต่ละคนหรือดูข้อมูลภูมิลำเนาชื่อพ่อแม่เพื่อนมีการจัดการบัญชีรายชื่อที่ดีเช่นนักศึกษามีสิทธิ-์ก็แค่ดูเฉพาะข้อมูบของตัวเองเท่านั้นนะคะดูของเพื่อนไม่ได้การกำหนดสิทธิของอาจารย์อาจารย์ก็อาจจะดูข้อมูลนักศึกษาดูเกรดนักศึกษาได้ทุกคนแต่ก็จะดูข้อมูลเพื่อนอาจารย์คนอื่นไม่ได้นะคะก็ต้องมีการกำหนดสิทธิ์ที่มีประสิทธิภาพด้วยหรือการที่ซอฟต์แวร์ที่เราใช้งานอยู่หรือว่าเราเรียกว่ามันมีbugนะคะก็อันนี้ก็เป็นช่วงโหว่อีกช่องหนึ่งที่บางทีเราคิดว่ามันทำงานได้ดีอยู่แล้วแต่ว่าเราไม่รู้สึกตัวแล้วก็nopatchอันนี้ก็คือไม่มีการปรับปรุงโปรแกรมให้ทันสมัยนะคะถ้าใครเล่นเกมก็จะเข้าใจคำว่า"patch"มันจะมีการปรับแผนที่ปรับตัวละครใช่ไหมคะถ้าเล่นเกมแต่ถ้าเป็นส่วนของซอฟต์แวร์หรือโปรแกรมนี่มันกจะ(-็)ต้องมีการปรับปรุงเวอร์ชันหรือปรับปรุงรุ่นของซอฟต์แวร์ให้ทันสมัยอยู่เสมอนะคะเพราะบางทีอาจจะมีภัยคุกคามอื่นๆมานี่เขาก็จะทำการปรับปรุงเพิ่มให้อุปกรณ์ของเรานี่รู้จักภัยคุกคามเหล่านั้นด้วยถ้าสมมติว่าเราไม่มีการปรับปรุงเอะไ(ลย)รใหม่ๆมาคอมพิวเตอร์เราอาจจะไม่รู้จักก็ได้นะคะแล้วก็บางคนมีโปรแกรมป้องกันไวรัสแต่ไม่ได้อัปเดตก็เป็นภัยคุกคามถ้าใครใช้โปรแกรมที่ผิดกฎหมายมันก็จะอัปเดตตัวฐานข้อมูลไวรัสไม่ได้นะคะแล้วก็การปรับแต่งปรับแต่ค่าต่างๆของระบบมีความผิดพลาดระบบมันผิดพลาดเองแต่มันเป็นช่วงที่เราทำงานอยู่พอดีก็อาจจะส่งผลให้เรามีความเสี่ยงด้วยเหมือนกันเช่นอาจจะเป็นการที่เรากำลังยืนกดสตางค์อยู่แล้วระบบมันล่มฉันกดแล้วยอดเงินบอกว่าเงินตัดไปแล้วแต่เงินมันไม่ออกจากตู้น่ะอันนี้คือความเสี่ยงของเรานะคะรวมถึงบุคคลากรในองค์กรเขาเข้าใจบทบาทเข้าใจหน้าที่เข้าใจสิทธ-ิ์ในการใช้งานหรือการแก้ไขข้อมูลขนาดไหนนะคะภัยคุกคามที่เป็นอันตรายต่อองค์กรต่อทรัพย์สินมีองค์ประกอบอยู่3ส่วนนะคะก็คือมีเป้าหมายมีผู้โจมตีแล้วก็เป็นเหตุการณ์เป้าหมายนะคะที่มีโอการเกิดภัยคุกคามนี่มันก็จะมีองค์ประกอบอยู่ในด้านต่างๆเช่นด้านความลับของข้อมูลนะคะก็จะเป็นภัยคุกคามที่บางทีข้อมูลที่เป็นข้อมูลลับอาจจะถูกไปเปิดเผยโดยไม่ได้รับอนุญาตก็ได้การคงสภาพของข้อมูลมีความพยายามที่จะเปลี่ยนแปลงข้อมูลเช่นเกรดไม่ดีเลยแต่เป็นhackerเป็นโปรแกรมเมอร์ที่เก่งมากได้เกรดเรียนไม่ดีแต่อยากได้เกรด4.00ก็พยายามจะเจาะระบบเข้าไปเปลี่ยนเกรดตัวเองในระบบทะเบียนก็ได้อาจจะเกิดขึ้นได้นะคะหรือว่าภัยคุกคามที่เข้ามาลบเลขบัตรประชาชนออกไปหมดในฐานข้อมูลเลยนะคะอย่างนี้ก็สามารถเกิดขึ้นได้เหมือนกันเพราะว่าบางทีโปรแกรมเhac(ม)อker(ร์)บางคนทำไปไม่ใช่เพราะเขาอยากขโมยข้อมูลเขาแค่อยากแสดงความสามารถให้ทุกคนยอมรับเขาก็มีนะคะแล้วก็ความพร้อมใช้งานนี่ก็จะเป็นเป้าหมายในการโจมตีแบบที่ปฏิเสธให้บริการเช่นจะกดเงินธนาคารธนาคารหนึ่งแต่ธนาคารนี้ก็ลังโดนhackerโจมตีอยู่นะคะทำให้เจ้าของบัญชีธนาคารของธนาคารนี้อาจจะกดเงินไม่ได้สักคนห้ามกดนะคะหรือว่าอาจจะห้ามฝากเงินคีย์เงินเท่าไรเงินก็ไม่เข้าไปเข้าบัญชีของคนอื่นก็มีนะคะแต่ส่วนมากมันจะเป็นการปฏิเสธการให้บริการเช่นเราพยายามจะโอนสตางค์เราพยายามจะกดเงินมันจะไม่ให้เราทำธุรกรรมเหล่านั้นเป็นต้นนะคะโดยผู้โจมตีนี่ก็คือคนที่กระทำการใดๆที่ให้เกิดผลเสียหรือด้านลบแก่องค์กรนะคะโดยที่คนโจมตีนี่เขาจะใ(ม)-ีคุณสมบัติคุณสมบัติหรือคุณลักษณะอยู่3ข้อก็คือเขาสามารถเข้าถึงเป้าหมายที่เขาจะโจมตีได้เช่นเขาอยากโจมตีเครื่องคอมพิวเตอร์ห้องนี้เขาก็มั่นใจแล้วว่าเขาสามารถเข้ามาในระบบคอมพิวเตอร์ห้องนี้ได้นะคะแล้วก็เขารู้ว่าเขาจะมาโจมตีข้อมูลอะไรเช่นลบโปรแกรมของเครื่องคอมพิวเตอร์ทุกเครื่องในห้องนี่ออกหมดเลยไม่ให้ใช้แล้วผู้โจมต-ีน-ี-่เข-้าก็จะมีแรงจูงใจว่าเขาทำไปทำไมนะคะเขาจะรู้อยู่ในใจเขาอยู่แล้วล่ะว่าเขาทำไปทำไมโดยข้อแรกผู้โจมตีนี่เขาจะเข้าถึงระบบหรือเครือข่ายหรือสถานที่ต่างๆที่เขาต้องการเช่นเขาอาจจะเจาะเข้าระบบมาโดยเขาอาจจะรู้usernameแล้วเขาก็สุ่มpasswordหรือว่าอะไรนะhackเข้ามาเลยนะคะบางทีไม่จำเป็นต้องใส่usernamepasswordเขาอาจจะมีช่องโหว่ที่เขาเคยเปิดไว้หรือว่าuserเปิดไว้โดยที่ไม่ตั้งใจนะคะเขาก็สามารถเข้าได้โดยองค์ประกอบการเข้าถึงของเขาก็คือเขารอจังหวะเขารอโอกาสอยู่เช่นเขารอแค่ให้เจ้าของเครื่องมาเแ(ป)-ิดคอมพิวเตอร์แล้วเชื่อมอินเทอร์เน็ตนะคะเขาก็สามารถเข้าสู่เครื่องคอมพิวเตอร์คุณได้เลยโดยคนโจมตีนี่อาจจะเป็นนักศึกษาเป็นบุคคลในองค์กรอาจจะเป็นพนักงงานปัจจุบันพนักงานเก่าที่รู้สึกไม่พอใจการทำงานขององค์กรอาจจะเป็นhackerหรือจะเป็นคู่แข่งทางด้านธุรกิจก็เป็นไปได้นะคะอันนี้ก็เกิดขึ้นได้หมดข้อต่อมาผู้โจมตีนี่เขาก็จะมีความรู้หรือข้อมูลเกี่ยวกับเป้าหมายเช่นรู้usernameรู้ชื่อผู้ใช้นะคะแต่ไม่รู้รหัสผ่านแต่บางทีเขารู้ว่าผู้ใช้งานแต่ละคนน-ี่เขาอาจจะมีข้อมูลว่าเขามีข้อมูลแล้วว่าทุกคนเกิดวันอะไรปีอะไรรู้วันเกิดนะคะเขาอาจจะสามารถเดารหัสจากวันเดือนปีเกิดของเราได้หรือเขารูม-ี(-้)e-mailเขามีรหัสe-mailเขาสามารถแจ้งว่าลืมpasswordแล้วให้ส่งpasswordใหม่มาทางอีเมลก็ได้กับมันมีอีกระบบหนึ่งที่hackerเขาเคยใช้คือเป้นการcopyipaddressของเครื่องเครื่องหนึ่งนะคะเขาก็สามารถเอาเลขcopyตัวนี้ไปทำให้เครื่องคอมพิวเตอร์ของhackerเป็นเครื่องคอมพิวเตอร์เดียวกับเราก็ได้เพื่อผ่านระบบรักษาความปลอดภัยเข้าไปนะคะยิ่งผู้โจมต-ีน-ี-่เขารู้ข้อมูลของเรามากเท่าไรจุดอ่อนมันก็ยิ่งมากขึ้นเช่นรู้เลขบัตรประชาชนรู้วันเดือนปีเกิดรู้เบอร์โทรศัพท์เราขาดแค่passwordเขาก็สามารถพอที่จะเดาได้หรือว่าอาจจะแจ้งระบบใหจะ(-้)กู้คืนบัญชีจากโทรศัพท์อะไรก็ว่าไปนะคะแล้วเขาก็จะยิ่งมีโอกาสที่จะใช้ประโยชน์จากจุดอ่อนนั้นวันใดวันหนึ่งก็ได้นะคะโดยส่วนมากเขาก็จะมีแรงจูงใจบางทีเขาก็มาจากที่ความท้าทายเขาอยากพยายามพิสูจน์ว่าเขาทำได้นะบางคนเขาอาจจะแค่ท้าแน่จริงลองเจาะระบบคอมฯห้องนี้ดูสิอาจจะโดนท้าทายหรือความอยากได้อย่างอื่นเช่นเรียกค่าไถ่ข้อมูลนะคะเช่นบางคนอาจจะโพสต์คลิปวิดีโออะไรไว้ในเครื่องแล้วhackerมาเจอเขาอาจจะเอาสิ่งนี้ไปเรียกรับเงินจากคุณก็ได้รู้สึกโมโหโกรธเขาเลยต้องการทำลายทำอันตรายกับระบบหรือข้อมูลก็เกิดขึ้นได้หรืออาจจะแค่ทำอันตรายกับบุคคลใดบุคคลหนึ่งก็ได้นะคะอันนี้ก็เป็นสิ่งที่เกิดขึ้นได้นะคะโดยเป็นแรงจูงใจจากผู้โจมตีหรืออาจจะมีเหตุการณ์นะคะที่ผู้โจมต-ีน-ี-่เขาเลือกวิธีการโจมตีที่จะทำอันตรายกับองค์กรของเราเช่นใช้usernameหรือบัญชีผู้ใช้งานในทางที่ผิดหรือว่าใช้งานเกินสิทธิ์ที่ได้รับอนุญาตเข้าไปแก้ไขข้อมูลสำคัญแล้วก็เข้าสู่ระบบโดยที่ไม่ได้รับอนุญาตด้วยอาจจะมีการทำลายระบบโดยที่ไม่ได้ตั้งใจทั้งจากภายในและภายนอกองค์กรรบกวนการสื่อสารบุกรุกเข้าห้องควบคุมโดยที่ไม่ได้รับอนุญาติอันนี้เป็นสิ่งที่เกิดขึ้นได้นะคะแล้วเราจะทำอย่างไรเรามีเครื่องมือในการประเมินสิ่งต่างๆที่อาจารย์พูดขึ้นก่อนหน้านี้ไหมนะคะแล้วเราสามารถประเมินอะไรได้บ้างเราปกป้องอะไรได้บ้างแล้วเราสามารถประเมินได้ไหมว่าอะไรที่ใครที่เป็นภัยคุกคามหรือส่วนไหนที่เป็นช่องโหว่ขององค์กรของเราแล้วถ้าเราถูกโจมตีความเสียหายมีมากน้อยขนาดไหนมูลค่าทรัพย์สินอะไรบ้างที่ต้องป้องกันแล้วมันมีมูลค่าเท่าไรที่เราต้องป้องกันนะคะแล้วเราจะป้องกันอย่างไรแล้วถ้าเรารู้แล้วว่ามันมีช่องโหว่เราจะแก้ไขอย่างไรนะคะผลจากการประเมินสิ่งเหล่านี้มันคือข้อแนะนำเกี่ยวกับการป้องกันที่ดีที่สุดนะคะทั้งป้องกันความลับความคงสภาพของข้อมูลให้ถูกต้องอยู่เสมอข้อมูลพร้อมเรียกใช้งานได้ตลอดเวลาเราจะทำ3สิ่งนี้อย่างไรให้ดีที่สุดนะคะขั้นตอนสำคัญของการประเมินความเสี่ยงก็คือเรากำหนดต(ข)อ-้(บ)เขงประเม-ิ(ต)นก่ก่อนว่าเราทำอะไรนะคะหลังจากนั้นก็รวบรวมข้อมูลวิเคราะห์นโยบายระเบียบข้อปฏิบัติต่างๆวิเคราะห์ภัยคุกคามที่สามารถเกิดขึ้นได้แล-้ะ(ว)จุดอ่อนช่องโหว่มีตรงไหนบ้างแล้วก็ทำการประเมินความเสี่ยงกำหนดขอบเขตมีอะไรก็จะเป็นขั้นตอนที่สำคัญที่สุดเลยนะคะว่าเราจะทำอะไรบ้างเราจะไม่ทำอะไรบ้างระหว่างการประเมินนะคะให้ระบุว่าเป็นอะไรที่เราจะต้องป้องกันความสำคัญของสิ่งที่เราจะป้องกันสำคัญขนาดไหนสำคัญระดับว่าจะไม่มีไม่ได้เลยหรือเปล่านะคะหลังจากนั้นค่อยมาเก็บรวบรวมข้อมูลอาจจะเป็นนโยบายนะคะกฎหมายระเบียบปฏิบัติต่างๆที่มีในปัจจุบันอาจจะเป็นไปสัมภาษณ์หรือสอบถามบุคคลสำคัญๆขององค์กรนะคะว่าจากมุมมองของผู้บริหารหรือหัวหน้าส่วนงานส่วนไหนที่เขารู้สึกว่ามันเป็นจุดอ่อนผู้บริหารนี่อาจจะช่วยให้ข้อมูลเราได้ในระดับหนึ่งนะคะแล้วเราก็เอาข้อมูลเหล่านี้ไปรวบรวมเช่นไปติดตั้งpatchในแต่ละเครื่องให้เป็นปัจจุบันเสมอมีการให้บริการต่างๆประเภทแล้วก็เวอรvers(-์)ชion(-ัน)ของซอฟต์แวร์ในเครื่องเราต้องทันสมัยอะไรบ้างที่ต้องใช้ผ่านเครือข่ายสิทธิ์ในการเข้า-ออกห้องคอมพิวเตอร์มีใครเข้าออกได้บ้างนะคะสิทธิ์ในการสื่อสารนี่มันจะเป็นการเชื่อมต่อแบบportก็ให้ดูได้ว่ามีพ(p)oอร์(rt)ตไหนที่ให้บริการบ้างจริงๆเราอาจจะใช้แค่3portแต่ทำไมportที่4นะคะportที่5มีใครเปิดไว้เปิดไว้ทำไมอันตรายนะคะการให้บริการเครือข่ายไร้สายสามารถครอบคลุมทั่วถึงหรือไม่จำเป็นจะต้องloginก่อนใช้งานเครือข่ายหรือไม่นะคะการทดสอบระบบfil(r)ewalr(l)ต่างๆต้องมีการทำอยู่เสมอนะคะเว็บไซต์ที่ให้ข้อมูลเกี่ยวกับช่องโหว่ภัยคุกคามต่างๆในการประเมินความเสี่ยงนะคะนักศึกษาสามารถเข้าไปดูข้อมูลเพิ่มเติมได้นะคะเผื่อใครต้องการศึกษาเพิ่มเติมอาจารย์ก็รวบรวมไว้ให้ประมาณ4เว็บไซต์แต่อาจจะมีเพิ่มเติมมากกว่านี้นะคะก็จะมีการวิเคราะห์นโยบายระเบียบปฏิบัติต่างๆที่เกี่ยวข้องกับองค์กรเราแล้วก็ดูด้วยว่าองค์กรเรามีระดับมาตรฐานอะไรมาตรฐานความปลอดภัยที่นิยมใช้จะเป็นพวกiosต่างๆนะคะiso17799iso15504พวกนี้เป็นมาตรฐานความปลอดภัยที่องค์กรต่างๆควรจะต้องยึดถือปฏิบัตินะคะแต่ถ้าส่วนใดขององค์กรที่ไม่เป็นมาตรฐานเราก็ลองวิเคราะห์ดูก่อนว่ามันมีความจำเป็นจะต้องทำตามมาตรฐานหรือเปล่าเนื่องจากมาตรฐานด้านความปลอดภัยนี่มีหลายมาตรฐานมากๆนะคะถามว่าจำเป็นจะต้องทำทุกข้อไหมก็ไม่ต้องขนาดนั้นเราอาจจะดูข้อที่มันสำคัญๆแล้วก็เหมาะสมกับองค์กรเราก็ได้นะคะต่อมาก็จะเป็นการวิเคราะห์ภัยคุกคามก็จะดูว่าเป้าหมายที่น่าจะเป็นภัยคุกคามหรือส่วนที่น่าจะเป็นจุดที่ภัยคุคามอาจจะเกิดขึ้นได้นะคะโดยที่เราก็จะไปพิจารณาก่อนว่าที่ๆอาจท-ี่(จะ)เกิดภัยคุกคามนี่ส่วนมากจะแบ่งเป็น3ประเภทนะคะภัยคุกคามโดยธรรมชาติน้ำท่วมแผ่นดินไหวพายุฝนตกหนักหลังคารั่วนะคะหลังคารั่วฝ้าถล่มลงมาโดนเครื่องserverสรุปเครื่องคอมพิวเตอร์ใช้ไม่ได้หรือภัยคุกคามโดยมนุษย์ตั้งใจไม่ได้ตั้งใจเช่นห้องคอมพิวเตอร์น้ำท่วมเพราะลืมปิดหน้าต่างหรือบางคนตั้งใจที่เปิดไว้เพื่อให้คนปีนเข้ามาหรือตั้งใจจะทำลายทรัพย์สินอยู่แล้วรู้อยู่แล้วว่าฝนจะตกเปิดทิ้งไว้เลยให้น้ำมันท่วมให้ฝนมันสาดหรืออาจจะเป็นเกี่ยวกับสภาพแวดล้อมไฟฟ้าเช่นตึกนีหรือ(-้)ไฟตกบ่อยขัดข้องบ่อยอินเทอร์เน็ตได้บ้างไม่ได้บ้างมลภาวะต่างๆอย่างเช่นเครื่องคอมพิวเตอร์ทำไมต้องอยู่ในห้องแอร์เพราะอุปกรณ์ที่ใช้ไฟฟ้าเยอะมันจะร้อนถ้าร้อนบางทีอุปกรณ์ได้รับความเสียหายหรือมลภาวะต่างๆเช่นฝุ่นเยอะช่วงนี้pm2.5เยอะๆฝุ่นมันก็จะไปค้างอยู่ในเครื่องคอมพิวเตอร์พอมันไปอุดเยอะมากๆเข้ามันก็ไปอุดช่องระบายอากาศของเครื่องคอมพิวเตอร์คอมพิวเตอร์ก็ร้อนร้อนมากก-้(-็)พังนะคะหรืออาจะเกี่ยวข้องกับสารเคมีรั่วไหลระบบหล่อเย็นพังทำให้สารหล่อเย็นเปื้อนลงไปที่พื้นโดยสายไฟไฟช็อตไฟไหม้อีกนะคะการวิเคราะห์จุดอ่อนหรือช่องโหว่นี-้(-่)จะเป็นการวิเคราะห์สถานการณ์ขององค์กรว่ามันสุ่มเสี่ยงหรือว่าล่อแหลมในการถูกโจมตีหรือไม่นะคะหรือว่ามีโอกาสที่จะโดนทำลายมาก-น้อยขนาดไหนให้ลองทดสอบเจาะระบบจากทั้งภายในและทั้งภายนอกดูนะคะก็จะมีเครื่องมือในการวิเคราะห์ช่องโหว่ของระบบเยอะแยะมากมายเต็มไปหมดนะคะบางทีเราก็สามารถทดสอบด้วยตัวเองก็ได้นะคะแต่อย่าทดลองสร้างความเสียหายให้กับคนอื่นซึ่งระดับความรุนแรงของช่องโหว่นี่อันแรกมันก็จะมีความเสี่ยงที่น้อยมีความเสี่ยงน้อยเกิดความเสียหายน้อยนะคะต่อมาก็อาจจะเป็นเกี่ยวกับผลกระทบระดับปานกลางถ้าช่องโหว่ระดับ2นี่อาจจะต้องมีการใช้ทรัพยากรในการป้องกันค่อนข้างมากเพราะว่าถ้ามันมีความเสียหายมันก็จะเกิดความเสียหายค่อนข้างสูงนะคะเพราะว่ามันอาจจะเกิดจากช่องโหว่1ช่องแล้วมันก็จะมีช่องอื่นๆตามมากับระดับความเสี่ยงระดับที่3ก็ช่องโหว่อาจจะไม่มีการป้องกันที่ไม่ดีมากใช้การป้องกันน้อยมากๆแต่เวลาเกิดความเสียหายมันเกิดสูงนะคะมันก็จะกระทบกับระบบส่วนใหญ่เช่นห้องทะเบียนไม่ล็อกไม่เคยล็อกเลยพอมันหายทีหนึ่งมันกระทบทั้งมหาวิทยาอย่างนี้นะคะหลังจากผ่านมา5ข้อข้อสุดท้ายก็จะเป็นการประเมินความเสี่ยงเมื่อเราทำตามขั้นตอนการบริหารความเสี่ยงแล้วมันก็จะสามารถระบุได้ว่าความเสี่ยงคืออะไรบ้างสามารถทำความเสียหายให้กับองค์กรเราอย่างไรได้บ้างนะคะแล้วมันมีเครื่องมือที่จะป้องกันอย่างไรมีระบบที่จะป้องกันหรือไม่เหมาะสมหรือเปล่ามีประสิทธิภาพในการป้องกันภัยคุกคามเหล่านั้นนะคะการประเมินความเสี่ยงขององค์กรก็แบ่งเป็น5ระดับนะคะอันแรกจะเป็นระดับของระบบก็ดูว่าระบบที่เราใช้งานอยู่มีความเสี่ยงมาก-น้อยเพียงใดระบบเครือข่ายมีความเสี่ยงระดับไหนถ้าไปถึงขั้นระดับภาพรวมขององค์กรนะคะมีความเสี่ยงใดบ้างมีการตรวจสอบการป้องกันขนาดไหนมีการทดสอบเจาะเข้าระบบการป้องกันระบบหรือไม่อย่างไรนะคะก็จะต้องมีการทำเป็นรูปแบบของรายงานความเสี่ยงออกมาในทุกๆปีนะคะก็จะมี...แทบจะมีครบทั้ง5ระดับนี้อยู่แล้วนะคะถ้าเป็นองค์กรที่มีมาตรฐานนะนโยบายแล้วก็ระเบียบปฏิบัติที่ควรจะมีเช่นนโยบายข้อมูลลักษณะความปลอดภัยของข้อมูลนะคะนโยบายการใช้งานข้อมูลการสำรองข้อมูลนะคะระเบียบปฏิบัติเกี่ยวกับการบริหารจัดการusernameต่างๆในองค-ฺ(-์)กน(ร)การกำหนดสิทธิการเข้าถึงนะคะระเบียบปฏิบัติเมื่อเกิดเหตุการณ์ไม่คาดคิดหรือเกิดเหตุการณ์ใดๆเกิดขึ้นเช่นภัยธรรมชาติภัยคุกคามต่างๆภัยจากมนุษย์หรือเกิดจากความไม่ตั้งใจใดๆจะต้องมีขั้นตอนพื้นฐานทำอย่างไรนะคะเหมือนเวลาเรานั่งเครื่องบินน่ะค่ะเครื่องบินมันก็บินปกตินี่แหละแต่เขาจะมีคู่มือความปลอดภัยว่าถ้าเครื่องบินเป็นแบบนี้คุณจะต้องนั่งอย่างไรถ้าลงจอดฉุกเฉินคุณจะต้องทำตัวอย่างไรคล้ายๆกันนะคะว่าถ้าเจอเหตุการณ์12345เราจะต้องแก้ปัญหาอย่างไรบ้างหลังจากที่มันเกิดเหตุการณ์ขึ้นไปแล้วมันมีการฟื้นฟูระบบฟื้นฟูทรัพยากรของเราภายหลังจากที่เกิดภัยคุกคามแล้วอย่างไรนะคะลำดับในการกำหนดนโยบายนี่ถ้าองค์กรยังไม่มีการกำหนดนโยบายใดๆเลยเราก็จะต้องเริ่มจากการกำหนดนโยบายก่อนเพราะความเสี่ยงขององค์กรมันขึ้นอยู่ตรงนี้แหละเพราะมันไม่มีนโยบายอะไรป้องกันเลยนะคะนโยบายแรกๆที่ควรจะมีก็คือนโยบายเกี่ยวกับข้อมูลนะคะเพราะว่าสิ่งที่กำหนดว่าข้อมูลขององค์กรมีความสำคัญหรือไม่อย่างไรข้อมูลอะไรบ้างที่สำคัญตอนนี้ก็พูดได้หมดว่าสำคัญทุกอย่างหรือบางคนก็พูดได-้ว่าไม่สำคัญหรอกไม่ต้องปกป้องกันหรอกอ-ันนี้ก็อยู่ที่นโยบายนะคะเราสามารถเขียนนโยบายหลายๆนโยบายพร้อมๆกันก็ได้ขึ้นอยู่กับทรัพยากรบุคคลที่เรามีในการบริหารจัดการความเสี่ยงนะคะพอเรามีนโยบายแล้วไม่ใช่ว่าใช้ไป20-30ปีไม่เคยมีการปรับปรุงเลยก็ไม่ได้อีกจำเป็นจะต้องปรับปรุงให้มีการทันสมัยวิเคราะห์ว่า5ปี10ปีในการใช้นโยบายนี้มันมีจุดด-้อ-ี(ย)หรือจุดอ่อนอะไรบ้างเราก็ต้องมาปรับปรุงหรืออาจจะมีการปรับปร-ุงเพิ่มเติมให้มันตามยุคตามสมัยมากขึ้นนะคะถ้าในกรณีที่นโยบายหรือการจัดทำข้อมูลนี่บางทีคนที่คิดนโยบายหรือเหตุการณ์บ้านเมืองหรือเหตุการณ์ของโลกมันเปลี่ยนแปลงไปมากๆเราอาจจะไม่แก้ไขเราอาจจะเริ่มใหม่เขเ-ียนใหม่อาจจะง่ายกว่านะคะให้มันทันยุคทันสมัยมากขึ้นก็ได้การออกแบบแล้วก็การติดตั้งระบบรักษาความปลอดภัยนี่มันก็จะใช้บังคับกับการรักษาความปลอดภัยอาจจะมีเกี่ยวข้องกับเครื่องมือเทคนิคต่างๆระบบควบคุมการเข้าถึงทรัพยากรทางด้านกายภาพของเรานะคะอาจจะมีการตั้งค่าระบบที่อาจจะไม่ได้เปลี่ยนการตั้งค่ามานานแล้วหรือว่าเพิ่งติดตั้งใหม่ก็สามารถทำได้แล้วก็ดูได้ว่าการติดตั้งระบบใหม่ของเรานี่มันมีผลกระทบอื่นในปัจจุบันหรือไม่แล้วถ้ามีมันจะมีผลกระทบอย่างไรนะคะเหมือนบางทีอาจจะบอกว่ามหาลัยตั้งเปลี่ยนระบบปฏิบัติการใหม่ทุกเครื่องต้องดูก่อนว่าบางเครื่องมันถ้าลงระบบปฏิบัติการใหม่มันใช้กับฐานข้อมูลเดิมได้ไหมใช้กับระบบแครือขฐ(-่)ายนข(ได)-้หรือมู(เป)ลไห(-่า)ไม่ใช่ว่าอยากทำอะไรก็ทำได้เลยไม่ได้นะคะพอเราติดตั้งแล้วอาจจะต้องมีระบบรายงานการรักษาความปลอดภัยก็จะมีการเฝ้าระวังจุดต่างๆที่เราคิดว่ามันเป็ดจุดอ่อนนะคะที่อาจจะถูกเจาะระบบได้ง่ายหรือถูกคุกคามได้ง่ายก็จะเป็นการเฝ้าระวังของการใช้งานระบบมีการสแสกนหาช่องโหว่ต่างๆแล้วก็ทุกอย่างจะต้องปฏิบัติตามนโยบายที่ทำไว้นะคะเช่นการเฝ้าระวังทำตลอด24ชั่วโมงไหมนะคะหรือจะต้องมีการเดินมาตรวจสอบทุกสัปดาห์หรือทุกเช้า8โมงจะต้องเปิดมาดูว่าระบบความเย็นในห้องเครือข่ายยังทำงานหรือไม่มีน้ำหยดหรือเปล่าทุกเช้าหรือเปล่านะคะก็แล้วแต่นโยบายที่กำหนดไว้การพิสูจน์ตัวตนหรือการที่เราใช้อห(-ิ)นด(เ)ทอร์เน็ตไว้การพิสูจน์ตัวตนหรือการที่เราใช้อินเทอร์เน็ตในมหาวิทยาลัยนี-่ค-่ะไม่ใช่ใครอยากใช้ก็ได้อย่างน้อยต้องเป็นคนในองค์กรเป็นอาจารย์เป็นเจ้าหน้าที่หรือเป็นนักศึกษานะคะก็ถึงจะสามารถใช้ระบบเครือข่ายได้เพราะอย่างน้อยเราก็จะได้รู้ว่าข้อมูลนี้เกิดขึ้นโดยใครในเบื้องต้นนะคะการเข้าสถานที่ต้องห้ามเช่นเราอยากเดินเข้าไปในห้องserverได้ทุกคนไหมไม่ได้จะต้องเป็นเฉพาะบุคคลที่ได้รับอนุญาตและก็ผ่านการพิสูจน์ตัวตนแล้วเช่นการสแกนบัตรการตรวจลายนิ้วมือการสแกนหน้าสแกนม่านตาใดๆว่าไปนะคะการพิสูจน์ตัวตนนี่มันมีผลกับทุกระบบขององค์กรนะคะบางครั้งถ้าไม่มีเลยตั้งแต่แรกนี่จม-ั(ะ)นต้องดูว่ามันกระทบกับการทำงานไหมถ้าติดตั้งสมมติว่าอยาก...เมื่อก่อนหน้านี้ใครอยากเล่นอินเทอร์เน็ตใช้ได้เลยทุกคนยังไม่มีusernamepasswordไม่ได้มีการวางแผนไว้ก่อนว่าต้องมีการเข้าระบบก่อนมีการเข้าใช้งานอินเทอร์เน็ตนะคะอยู่มาวันหนึ่งมหาวิทยาเปลี่ยนเลยจะต้องloginก่อนที่จะเล่นเน็ตได้แต่ทุกคนยังไม่มีคราวนี้ภัยคุกคามเกิดขึ้นแล้วทุกคนก็จะใช้อินเทอร์เน็ตไม่ได้เพราะไม่มีpasswordusernamepasswordใช่ไหมคะก็จะต้องเดินทางหรือต้องอ(e)ma-ีเมล(il)หรือต้องร้องเรียนไปที่ศูนย์คอมพิวเตอร์คนเข้ามาขอใช้บริการพร้อมกัน2,000-3,000คนระบบล่มเจ้าหน้าที่รับไม่ได้แน่ๆนะคะจะต้องมีการวางแผนล่วงหน้าก่อนเช่นให้ทุกคนมีusernamepasswordของตัวเองก่อนแล้ถ(ว)ค-ึงจะ(-่อย)เริ่มใช้ระบบพร้อมๆกันก็ได้นะคะการรักษาความปลอดภัยนะคะเราก็จะมีทั้งตัวfil(r)ewallแล้วก็ระบบvpnเป็นระบบเครือข่ายแบบส่วนตัวมีการเข้ารหัสข้อมูลนะคะสิ่งที่สำคัญก็คือมันจะต้องมีการออกแบบการติดตั้งตั้งแต่โครงสร้างพื้นฐานของเครือข่ายอยู่แล้วนะคะเพราะมันจะต้องกำหนดขนาดกำหนดประสิทธิภาพของfirewallเพราะว่าทุกอย่างเป็นราคาหมดไม่ใช่ว่าอยากได้ตัวนี้ก็อยากได้วันนี้ซื้อเลยไม่ได้นะคะท-ุกอย่างเป็นสิ่งที่ต้องมีทุนทรัพย์ก่อนทั้งนั้นนะคะไม่ใช่ว่าคิดได้ว่าต้องมีบางทีระบบเราใช้ไปแล้วถ้าจะเพิ่มบางอย่างเข้าไปอาจจะกระทบกับการทำงานหลักๆนี่ก็ไม่ได้เหมือนกันนะคะแล้วก็จะมีระบบตรวจจับการป้องกันบุกรุกนะคะอันนี้เป็นระบบเอาไว้แจ้งเตือนเครือข่ายนะคะว่ามันก็จะแจ้งเตือนผู้ดูแลระบบว่าถ้ามีคนที่พยายามจะบุกรุกเข้าสถานที่ต้องห้ามหรือระบบเครือข่ายคอมพิวเตอร์ของเรานะคะก็จะเป็นการแจ้งเตือนซึ่งantivirusเป็นระบบเตือนภัยที่ใช้ทรัพยากรน้อยที่สุดควรจะติดตั้งลงบนคอมพิวเตอร์ทุกเครื่องแต่พอระบบปฏิบัติการรุ่นใหม่ๆนี่ของwindowsมันก็จะมีwindowsdefenderก็คือระบบป้องกันไวรัสของwindowsพื้นฐานมาให้อยู่แล้วบางคนก็ถือว่าพอใช้งานได้แต่ถ้าใครต้องการความปลอดภัยมากขึ้นก็สามารถซื้อantivirusมาติดตั้งเพิ่มการเข้ารหัสข้อมูลก็จะเป็นการป้องกันขั้นสูงขึ้นมานะคะก็จะป้องกันข้อมูลการส่งผ่านข้อมูลผ่านเครือข่ายกับอาจจะเป็นเกี่ยวกับส่งข้อมูลระหว่างเครื่องคอมพิวเตอร์หรือเครื่องคอมพิวเตอร์กับอุปกรณ์จัดเก็บข้อมูลนะคะแต่การเข้ารหัสนี่มันจะทำให้การเข้าถึงข้อมูลหรือการปล่อยข้อมูลออกไปนี่มันช้าลงนะคะเพราะฉะนั้นมันก็ไม่ต้องจำเป็นเข้ารหัสทุกๆข้อมูลอย่างส่งการบ้านอาจารย์ก็ไม่จำเป็นเข้ารหัสก็ได้นะคะแต่ถ้ามันเป็นข้อมูลที่สำคัญมากๆแล้วแต่คนนะอย่างเช่นเลขบัญชีธนาคารอยากส่งให้เพื่อนก็จะมีการเข้ารหัสหรือe-mailกลัวพวกมิตรฉาชีพขโมยอีเมลเจอก็อาจจะมีการเขียนอีเมลแบบใหม่ก็ได้นะคะการรักษาความปลอดภัยด้ายกายภาพก็เช่นติดกล้องวงจรปิดล็อกกุญแจใช้คีย์การ์ดมีรปภ.นะคะให้พนักงานทุกคนต้องห้อยป้ายแสดงตัวตนนะคะแล้วก็ถ้าพื้นที่ที่จะต้องได้รับความปลอดภัยเป็นพิเศษเช่นห้องข้อมูลต่างๆห้องทะเบียนอะไรอย่างนี้ก็จะต้องมีระบบการป้องกันที่หนาแน่นขึ้นระบบป้องกันไฟไหม้นะคะระบบควบคุมอุณหภูมิแล้วก็มีการสำรองไฟที่ดีอย่างเช่นเครื่องสำรองไฟก็ไม่ได้แพงมากนี่แต่ถ้าสำรองไฟทั้งตึกเครื่องสำรองไฟราคาเป็นล้านนะคะเพื่อป้องกันไม่ให้ระบบคอมพิวเตอร์เสียหายนะคะก็ต้องเป็นการลงทุนที่คุ้มค่านะคะการทำงานด้านความเสี่ยงและความปลอดภัยนี่ก็เมื่อมีการติดตั้งระบบป้องกันรวมถึงรักษาความปลอดภัยนี่ก็ต้องมีคนดูแลบางระบบมีคนดูแลตลอด24ชั่วโมง7วันนะคะเหมือนเข้าเวรการรักษาความปลอดภัยนี่ก็คือหน้าน(ท)-ี่แล้วก็ค-ิอความรับผิดชอบของคนในองค์อย่างเช่นข้อมูลในมหาวิทยาลัยนักศึกษาเห็นคนไม่น่าไว้ใจมาด้อมๆมองๆก็ช่วยเป็นหูเป็นตาด้วยกันนะคะเขาทำไมไม่ใส่ชุดนักศึกษาทำไมมานั่งอยู่ตรงนี้หลายวันแล้วทำไมเขาดูจ้องๆเวลาเราไขกุญแจห้องหรือเขาจ้องเวลาเราใส่รหัสผ่านก็ต้องช่วยกันเป็นหูเป็นตานะคะการฝึกอบรมบางครั้งนี่มันใช้ว่าทุกคนจะเรียนทางด้านคอมพิวเตอร์หรือบางคนอาจจะเข้าใจระบบไม่ดีพอนะคะอาจจะมีการฝึกอบรมโดยการประชุมหรือการชี้แจงหรืออาจจะเป็นสื่อตีพิมพ์ต่างๆนะคะเช่นบางทีนโยบายด้านการรักษาความปลอดภัยนี่ควรจะเป็นส่วนหนึ่งของการปฐมนิเทศพนักงานหรือปฐมนิเทศนักศึกษาผู้ดูแลระบบก็จะต้องปรับปรุงความรู้ตัวเองให้ทันสมัยอยู่เสมออาจจะมีการไปอบรมเป็นประจำนะคะปรับปรุงความรู้นักพัฒนาแอปพลิเคชันก็ต้องเขียนแอปพลิเคชันหรือเขียนโปรแกรมให้มีความปลอดภัยตามมาตรฐานที่เกิดขึ้นในปัจจุบันผู้บริหารก็จะต้องใส่ใจในรายงานต่างๆสถานภาพต่างๆความก้าวหน้าของโครงการมีการติดตามผลต่างๆหรือติดตามทางด้านรักษาความปลอดภัยอยู่เสมอคณะทำงานคณะเจ้าหน้าที่รักษาความปลอดภัยต่างๆก็ต้องปรับปรุงความรู้นะคะให้เท่าทันกับผู้คุกคามหรือมิจฉาชีพใดๆนะะคะเพื่อปกป้องข้อมูลปกป้องระบบขององค์กรไว้ได้นะคะขั้นตอนสุดท้ายก็จะดูว่ามีการฝ่าฝืนนโยบายหรือระเบียบหรือเปล่านะคะก็การตรวจสอบก็จะมีอยู่3ประเภทนะคะก็คือการตรวจสอบตามนโยบายที่เราตั้งไว้ว่าเป็นไปตามที่เรากำหนดไว้ทุกข้อหรือไม่ถ้ามีโครงการใหม่ๆขึ้นมาก็จะต้องทำการประเมินใหม่อาจจะให้ผู้ที่เชี่ยวชาญทางด้านระบบคอมพิวเตอร์ทดลองเจาะระบบที่เรามีถ้าเขาทำสำเร็จถ้าสมมติเราจ้างนะมันก็จะเป็นผู้เชี่ยวชาญในความชำนาญในการทำงานด้านนี้เขาก็จะบอกว่าจุดอ่อนคืออะไรและเราจะได้ไปอุดจุดอ่อนนั้นหรือไปปิดช่องนั้นแต่ถ้าผู้เชี่ยวชาญคนนั้นเขาเจาะระบบคอมพิวเตอร์เราไม่สำเร็จก็ไม่ได้หมายความว่ามันไม่ได้มีจุดอ่อนเขาอาจจะหาไม่เจอก็ได้นะคะก็จะต้องทำการทดสอบไปเรื่อยๆวันนี้เลยมีงานให้นักศึกษาทำ4ข้อนะคะทำใส่microsoftwordแล้วก็ส่งในclassroomเหมือนเดิมนะคะ4ข้อหาข้อมูลในอินเทอร์เน็ตนี่แหละค่ะว่ากระบวนการรักษความปลอดภัยของข้อมูลเป็นอย่างไรบ้างเกิดช่องโหว่patchมันคืออะไรเมื่อกี้อธิบายไปแล้วนักเล่นเกมน่าจะรู้ดีอาจารย์พูดถึงiso17799กับiso15504ลองหาข้อมูลในอินเทอร์เน็ตสอ(-ิ)ว่ามันมีความสำคัญอย่างแล้วก็ระบบintrusoindetectionidsนี่มันคืออะไรเมื่อกี้พูดไปแล้ว[สิ้นสุดการถอดความ]
More information
- compare(ans and test) :
- ans: file reference
- test: file test
- export datetime : 2023-11-22 02:16:40
- exported from : Accuracy Worker
- version :develop
- lib :character
- your normalize config
-IsFilter :true
-ToLower :true
-ToArabicNumber :true
-WordToNumber :true
-OrderAndSimilar :true
-ListRemove :
- alignment method :Hirschberg
- score weight :{"Match":5,"Mismatch":-1,"PartialMatch":2,"GapPenalty":-1}