Lecture14 : Web2.0

·         Web2.0 vs Traditional Web

o   ช่วยปรับปรุงระบบการทำงานในองค์กร ช่วยเชื่อมต่อการติดต่อระหว่างSupplier Partner ลูกค้า และภายในองค์กร

·         Web 2.0 Characteristics

o   Rich interactive, user-friendly interface ใช้งานง่าย ไม่จำเป็นต้องมีความรู้เกี่ยวกับเทคโนโลยีระดับสูง

o   Major emphasis on social networks

o   Global spreading of innovative Web sites กระจายได้ทั่วโลก

·         Virtual Community

o   ส่วนประกอบของ Virtual Community

v  Communication

v  Information

v  EC Element

o   ประเภทของ Virtual Community

v  Transaction and other biz

v  Purpose or interest

v  Relations or Practices

v  Fantasy

v  Social networks

v  Virtual worlds

·         Online Communities

·         Social Networks sites

Flickr >> freemium ใช้ในการอัพโหลดรูป ความละเอียดเท่าไรก็ได้ สร้างลูกค้าให้มากที่สุดก่อน ค่อยกระตุ้นให้ลูกค้ายอมจ่าย premium

·         Issues For Social Network Services  

o   ความเป็นส่วนตัวลดลง

o   การแปลภาษาที่ยังไม่ดีหรือได้ใจความพอ

o   ใช้เพื่อสร้างกระแส

o   ใช้ในการทำผิดกฎหมาย ซื้อขายของผิดกฎหมาย โพสด่า กล่าวหาผู้อื่น

·         Enterprise Social Networks Characteristics

o   ใช้ Social Networks ที่มีอยู่แล้วติดต่อทำ CRM กับลูกค้า >> ถูกไม่ต้องสร้างระบบเอง

·         Retailers Benefit from Online Communities

o   ได้feedback จากลูกค้าอย่างรวดเร็ว จากกลุ่มเป้าหมายจริงๆ

o   Viral marketing >> ทำให้ shock ,สร้างกระแส, เช่น โฆษณาBurger King เป็น viral video

o   ทำให้ traffic ของตัว website เพิ่มขึ้น คนเข้าfb เยอะขึ้น

o   เพิ่มยอดขาย >>By 2020, we will have workable artificially intelligent brain>>หุ่นยนต์ >>กระทรวงกลาโหมของอเมริกา หุ่นยนต์รบ /สาธารณสุขเช่นบำรุงราชใช้หุ่นยนต์ในการแยกยา

o   ตัวอย่าง

§  youtube

§  Generating revenue from Web 2.0 applications>> google map

§  Social enterprise/ Social Shopping >> เพื่อนเขียนreview แนะนำสินค้าเราจะเชื่อกว่าการโฆษณาธรรมดา

§  Telemedicine & Telehealth >> ใช้aap ใน iphone ในการวัดการเต้นของหัวใจ/ รองเท้าที่บอกได้ว่าวิ่งไปกี่โลแล้ว เผาพลาญไขมันไปเท่าไรแล้ว/  ติดต่อกับลูกค้าที่อยู่ห่างไกลได้

§  Mobile Technology in Medicine >> ไทยต้องการเป็น medical hub ต้องใช้เทคโนโลยีเข้ามาช่วย/  เช่นคนไข้มาจากเมืองนอก หมอคนเก่าในประเทศของเขาก็ส่ง medical record มาที่หมอเมืองไทยได้เลย ไม่ต้องมาถามข้อมูลคนไข้อีกรอบหนึ่ง

·         Urban Planning with Wireless Sensor Networks

o   วางผังเมือง การวางแผนทางด้านเครือข่ายwidelessไปเลย

o   ที่จอดรถใช้ RFID ในการดูว่า มีที่จอดรถว่างอีกกี่คัน

·         Offshore Outsourcing

o   Outsource Call center

o   ต้องคำนึงถึง theft & privacy issues ด้วย

·         Enterprise 2.0 & What It Can Do For You

o   ข้อดี

§  สร้าง KM ได้

§  ทำให้เรารู้ความเคลื่อนของผู้คน ทั้งพนักงานและลูกค้า

§  Information Quality

§  เพิ่ม unit ใหม่ในbiz

§  Train online

o   ข้อเสีย

§  Information Overload

§  ข่าวลือ

§  Spam

§  Dehumanization>> การแฉ เราไม่รู้ว่าใครเป็นคนเขียน/ เกิดความไม่ปลอดภัยขึ้นได้ เช่น pole square บ่อยๆ ทำให้คนรู้ pattern การเดินทาง การกลับบ้านของเรา/ ละเลยคนจริง มัวแต่คุยกับเพื่อน online

Carpal Tunnel Syndrome >> การใช้คอมเยอะ ทำให้เกิดอาการเจ็บปวดได้ เช่น อาการปวดหลัง

จุฑาทิพ ตระการบุญชัย
5202112776

Lecture13 การรักษาความปลอดภัยระบบสารสนเทศและจรรยาบรรณเบื้องต้น

·        ความเสี่ยงของระบบสารสนเทศ (Information system risk) หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลายฮาร์ดแวร์ (Hardware) ซอฟต์แวร์ (Software) ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ

·        ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ

o   แฮกเกอร์ (Hacker)

o   แครกเกอร์ (Cracker)

o   ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies)

o   ผู้สอดแนม (Spies)

o   เจ้าหน้าที่ขององค์กร (Employees) >> เป็นตัวการสำคัญเลย

o   ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyberterrorist)

·        ประเภทของความเสี่ยงของระบบสารสนเทศ

o   การโจมตีระบบเครือข่าย Network attack

§  การโจมตีพื้นฐาน เช่น กลลวงทางสังคม Social engineering และการรื้อค้นเอกสารทางคอมจากที่ทิ้งขยะ Dumpster Diving

§  การโจมตีด้านคุณลักษณะ Identity Attacks  เช่น DNS Spoofing และ email spoofing >> ส่งไวรัสจากตัวเครื่องเราไปให้คนอื่น (Email Spoofing) อย่ากดlink ในemail/ หลอกล่อให้เข้าไปในเว็บที่หน้าเว็บคล้ายของจริงแล้วเอาข้อมูล/ IP Spoofing  ถ้าเราอยากจะส่งเมลไปหรือเข้าที่หนึ่ง แต่มันส่งเมลหรือเราเข้าไปที่อื่น

§  การปฎิเสธการให้บริการ Denial of Service หรือ Dos เช่น  Distrivuted denial of service (DdoS) HTTP Flood Denial of Service (DoSHTTP) >> กด request เยอะๆให้ระบบล่ม, Distrivuted denial –of –service ถ้ามีไวรัสนี้ฝังอยู่ ถ้าเรา online อยู่ให้คอมส่ง request ได้เว็บหนึ่งอัตโนมัติ (Zombi)

§  การโจมด้วยมัลแวร์ Malware

·        โจมตีการปฎิบัติงานของคอม ประกอบด้วย Viruses, worms, Trojan horse

·        โจมตีความเป็นส่วนตัว>> Keyloggers ดูว่าใครคุยไรกันบ้าง/ Phishing

o   การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access) การใช้คอมหรือระบบเครือข่ายดยไม่มีสิทธิ >>การเข้าระบบของ banking ไปขโมยข้อมูลลูกค้า หรือใช้คอมผิดวัตถุประสงค์ >> เอาคอมมหาลัยโหลดหนัง เอาคอมบริษัทเล่น fb

o   การขโมย(Theft) >>ฮาร์ดแวร์และการทำลายฮาร์ดแวร์/ขโมยซอฟต์แวร์/ขโมยข้อมูลที่เป็นความลับส่วนบุคคล

o   ความล้มเหลวของระบบสารสนเทศ (System failure) >> เสียง (Noise) ฝนตก ความชื้นเข้าสายไฟ / แรงดันไฟฟ้าต่ำ(Undervoltages) ไฟตก/ แรงดันไฟฟ้าสูง (overvoltages)

·        การรักษาความปลอดภัย

o   การโจมตีระบบเครือข่าย

v ติดตั้งโปรแกรมป้องกันไวรัสและปรับปรุง Virus signature หรือ Virus definition >> ต้องupdate ตลอดเวลา สำหรับองค์กรเล็กอาจจะลำบากน้อย เพราะองค์กรใหญ่มีคนดูแลอยู่แล้ว แต่ผู้ใช้งาน เป็นส่วนที่สำคัญที่สุด ต้องให้ความรู้คนในองค์กร

v ติดตั้งไฟร์วอลล์ (Firewall) หรือซอฟต์แวร์ตรวจจับการบุกรุก

v ติดตั้ง Honeypot  >> ตั้งระบบหลอกให้ hacker ไปโจมตีระบบปลอมซะ ระบบจริงก็ปลอดภัย

o   การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต

v การระบุตัวตน (Identification) >> ใช้ IP address

v การพิสูจน์ตัวจริง (Authentication) เช่น รหัสผ่าน (Password)  อาจใช้ไม่ค่อยได้ผลถ้ามีการ share password กัน

§  ข้อมูลที่ทราบเฉพาะบุคคลที่เป็นเจ้าของ (What you know)

§  ใช้บัตรผ่านที่มีลักษณะเป็นบัตรประจำตัว (What you have) เช่น บัตร ATM เป็นต้น

§  ลักษณะทางกายภาพของบุคคล (What you are) เช่น ม่านตา เป็นต้น>> Biomatric กำลังจะได้รับความนิยมมากขึ้นเรื่อยๆ

v POLP (Policy of Least Previlage)  เข้าถึงข้อมูลได้ตามสิทธิ ของแต่ละคน

o   การควบคุมการขโมย

v ควบคุมการเข้าถึงทางกายภาพ (Physical access control) เช่น การปิดห้องและหน้าต่าง

v ระบบ Real time location system (RTLS) มาใช้เพื่อระบุสถานที่โดยนำ RFID tags ติดที่อุปกรณ์คอมพิวเตอร์เพื่อใช้ในการติดตามอุปกรณ์นั้นๆ /จดserial no.

v เครื่องคอมที่ควบคุมการเปิดหรือใช้งานเครื่องโดยการใช้ลักษณะทางกายภาพของบุคคล เช่น ลายนิ้วมือ เป็นต้น >>Biosmatric

v มีการรักษาความปลอดภัยของของสถานที่เก็บแผ่นซอฟต์แวร์

v  ต้องมีการควบคุมและติดตามโปรแกรมเมอร์ลาออกหรือถูกให้ออก (Escort)

o   การเข้ารหัส คือกระบวนการในการแปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถอ่านได้ (Plaintext) ให้อยู่ในรูปที่เฉพาะผู้ที่เกี่ยวข้องเท่านั้นสามารถอ่านข้อมูลได้ (Ciphertext)

v องค์ประกอบของการเข้ารหัส

§  Plaintext

§  Algorithm

§  Secure key

v ประเภทของการเข้ารหัส

§  การเข้ารหัสแบบสมมาตร

§  การเข้ารหัสแบบไม่สมมาตร

o   การรักษาความปลอดภัยอื่นๆ 

v Secure sockets layer (SSL) โดยเว็บเพจที่ใช้ SSL จะขึ้นต้นด้วย https แทนที่จะเป็น http

v Secure HTTP (S-HTTP) เช่น ระบบธนาคารออนไลน์จะใช้ S-HTTP

v Virtual private network (VPN) >> ต้องใช้ username password

o   การควบคุมความล้มเหลวของระบบสารสนเทศ

v การป้องกันแรงดันไฟฟ้าใช้ Surge protector หรือ Surge suppressor >> ใช้เครื่องมือป้องกันไฟฟ้าตก

v ไฟฟ้าดับใช้ Uninterruptible power supply (UPS)>> หม้อแปลงสำรองไฟฟ้า

v กรณีระบบสารสนเทศถูกทำลายจนไม่สามารถให้บริการได้ การควบคุมทำโดยการจัดทำแผนการทำให้กลับคืนสู่สภาพเดิมจากภัยพิบัติ (Disaster Recovery – DR) หรือ Business continuity planning (BCP) >> เช่น เกิดการจลาจล บริษัทที่มีสถานที่ทำงานสำรอง ก็สามารถที่จะทำงานต่อไปได้

o   การสำรองข้อมูล (Data Backup)  สิ่งที่ต้องตัดสินใจเกี่ยวกับการสำรองข้อมูลประกอบด้วย

1.เลือกสื่อบันทึก (Media) ที่จะทำการสำรองข้อมูล เช่น CD DVD หรือ Portable Harddisk เป็นต้น

2.ระยะเวลาที่ต้องสำรองข้อมูล

3.ความถี่ในการสำรองข้อมูล ขึ้นอยู่กับระยะเวลาสูงสุดที่ระบบจะไม่สามารถให้บริการได้

4.สถานที่จัดเก็บสื่อบันทึกที่สำรองข้อมูล ซึ่งสามารถจัดเก็บได้ทั้ง On Site (>> เช่น upload ไว้ใน 4shared) และ Offsite

o   การรักษาความปลอดภัยของแลนไร้สาย (Wireless LAN)>> network card ในคอม เป็นตัวระบุสิทธิในการเข้าถึงระบบ/ข้อมูลของคอมแต่ละเครื่อง

v ควบคุมการเชื่อมโยงเข้าสู่แลนไร้สายด้วย Service Set Identifier (SSID)

v กลั่นกรองผู้ใช้งานด้วยการกรองหมายเลขการ์ดเน็ตเวิร์ก (MAC Addressing Filtering)

v การเข้ารหัสและถอดรหัสด้วยวิธีการ Wired Equivalency Privacy (WEP)

v การสร้าง Virtual Private Network (VPN) บนแลนไร้สาย

·         ผู้บริหารระดับสูงสนับสนุน >> User ต้องปฏิบัติตามกฎที่ได้train มา >> มีการวางระบบที่ดี >> มีHard & Software support ระบบ

·        Risk Exposure >> ระบบไหนเป็นระบบหลักขององค์กร ก็ต้องให้ความสำคัญเป็นพิเศษ

·        Defense Control

·        Layer ของการรักษาความปลอดภัย

-1^st ป้องกันไวรัส firewalls อะไรๆ แปลกๆก็ตัดทิ้งไปก่อนเลย

-2^nd  ในusername password ในการระบุตัวตน

-3^rd PoLP

·        Business continuity services managed by IBM. (Courtesy of IBM)

·        จรรยาบรรณทางคอมพิวเตอร์

o   หลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย

v การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต

v การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์) >> เอาคอม/software ไปใช้ที่บ้าน

v ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ เป็นต้น>> การเอารูปใน net จะใช้โดยไม่ได้รับอนุญาต

v สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights)

v หลักปฏิบัติ (Code of conduct)

v ความเป็นส่วนตัวของสารสนเทศ (Information privacy)

o   คำถามอย่างกว้างขวางเกี่ยวกับลิขสิทธิ์ดังนี้

v บุคคลสามารถ Download ส่วนประกอบของเว็บไซด์ ต่อจากนั้นปรับปรุง แล้วนำไปแสดงบนเว็บในนามของตนเองได้หรือไม่

v เจ้าหน้าที่ของมหาวิทยาลัยสามารถพิมพ์เอกสารบนเว็บและกระจายให้นักศึกษาเพื่อใช้สำหรับการเรียนการสอนได้หรือไม่

v บุคคลสามารถสแกนรูปภาพหรือหนังสือ ต่อจากนั้นนำไปลงในเว็บซึ่งอนุญาตให้คน Download ได้หรือไม่

v บุคคลสามารถสามารถนำเพลงใส่ในเว็บได้หรือไม่

v นักศึกษาสามารถนำข้อสอบหรือโครงการต่างๆ ที่อาจารย์กำหนดในชั้นเรียนเข้าไปใส่ในเว็บเพื่อให้นักศึกษาคนอื่นๆ ลอกโครงการนั้นแล้วส่งอาจารย์ว่าเป็นงานของตนได้หรือไม่

o   หลักปฏิบัติ คือสิ่งที่เขียนเป็นลายลักษณ์อักษรเพื่อเป็นแนวทางในการตัดสินใจว่าการกระทำใดที่เกี่ยวข้องกับคอมพิวเตอร์เป็นสิ่งที่มีหรือไม่มีจรรยาบรรณ หลักปฏิบัติมีดังนี้

v ต้องไม่ใช้คอมพิวเตอร์ในการรบกวน ขโมยข้อมูล หรือทำอันตรายบุคคลอื่น

v ต้องไม่เข้าไปยุ่งเกี่ยวกับแฟ้มข้อมูลของคนอื่น และเคารพสิทธิส่วนบุคคล

v ต้องไม่สำเนาหรือใช้ซอฟต์แวร์ที่ละเมิดลิขสิทธิ์

v ต้องไม่ละเมิดทรัพสินทางปัญญาของผู้อื่น

v  ต้องคำนึงถึงผลกระทบทางสังคมของโปรแกรมที่ออกแบบ

o   ความเป็นส่วนตัวของสารสนเทศ  มีหลักปฏิบัติดังนี้

v ไม่ควรเขียนหมายเลขโทรศัพท์ของท่านบนในบิลของบัตรเครดิต และถ้าร้านค้าสอบถามข้อมูลส่วนตัว ต้องคำนึงถึงความจำเป็นของข้อมูลด้วย ก่อนการให้ข้อมูล

v ซื้อสินค้าด้วยเงินสด แทนที่จะเป็นบัตรเครดิต

v กรอกข้อมูลส่วนตัวของท่านบนเว็บเฉพาะส่วนที่ต้องกรอกเท่านั้น

v ติดตั้งตัวจัดการ Cookie เพื่อกลั่นกรอง Cookie >> เป็นตัวเก็บข้อมูลว่าเราเข้าเว็บไรบ้าง ควรไปลดออกบ่อยๆ

v ลบ History file ภายหลังจากเลิกใช้โปรแกรมเบาวร์เซอร์

v ยกเลิกการเปิดบริการแบ่งปันข้อมูล (File sharing) หรือเครื่องพิมพ์ก่อนการเชื่อมต่ออินเทอร์เน็ต

v ติดตั้งไฟร์วอลล์ส่วนบุคคล /โปรแกรม Anti-spam

v ไม่ตอบ e-mail ที่เป็น spam ไม่ว่าจะด้วยเหตุผลใดก็ตาม>> ไม่ต้องไปกดเลย

o   Cookie คือ Text file ขนาดเล็กที่เครื่อง Web server นำมาติดตั้งที่เครื่อง โดย Cookie จะเก็บข้อมูลเกี่ยวกับผู้ใช้

o   กฏหมายเกี่ยวกับความเป็นส่วนตัวของสารสนเทศ เช่น Privacy Act และ Family Educational Rights and Privacy Act เป็นต้น โดยกฏหมายนี้ส่วนใหญ่จะกล่าวถึง

v จำนวนของสารสนเทศที่จัดเก็บจะต้องจัดเก็บเท่าที่จำเป็นเพื่อการดำเนินงานของธุรกิจหรือรัฐบาลเท่านั้น

v จำกัดการเข้าถึงข้อมูลที่รวบรวมนั้น โดยให้พนักงานที่เกี่ยวข้องและจำเป็นต้องใช้ข้อมูลเพื่อการปฏิบัติงานสามารถใช้ข้อมูลนั้นได้เท่านั้น

v แจ้งให้ผู้ที่ถูกจัดเก็บข้อมูลทราบว่ากำลังจัดเก็บข้อมูลอยู่ เพื่อให้บุคคลนั้นมีโอกาสในการพิจารณาความถูกต้องของข้อมูล