chapter7 it sec
DESCRIPTION
IT secTRANSCRIPT
ACCESS CONTROL การควบค�มการเข้�าถึ ง (Access Control) หมายถึ�ง การทำ�าให�ม� �นใจว่�าทำร�พยากรต่�างๆ ของระบบจะได้�ร�บอน�ญาต่ให�ถึ กใช้�โด้ยผู้ �ใช้�ทำ$�ม$สิ&ทำธิ์&(เทำ�าน�*น [http://www.sans.org/security-resources/glossary.php]
การคว่บค�มการเข�าถึ�งระบบ ต่�องอาศั�ยเทำคโนโลย$ต่�างๆ เป็/นกลไกการทำ�างาน ป็ระกอบด้�ว่ย 4 กลไก ได้�แก�การระบ�ต่�ว่ต่น (Identification)การพ&สิ จน1ต่�ว่ต่น (Authentication)การก�าหนด้สิ&ทำธิ์&( (Authorization)การจ�ด้ทำ�าป็ระว่�ต่&การเข�าใช้�ระบบ (Accountability)
IDENTIFICATION เป็/นกลไกทำ$�ได้�จ�ด้เต่ร$ยมสิารสินเทำศัของบ�คคลทำ$�จะเข�าใช้�ระบบ โด้ยทำ��ว่ไป็
เร$ยกว่�า “Identifier” ซึ่��ง Identifier ของผู้ �ใช้�แต่�ละคนจะต่�องม$ค�าไม�ซึ่�*าก�น เช้�น Username, PIN Code, Password และม�กจะใช้�ร�ว่มก�บกลไกการพ&สิ จน1ต่�ว่ต่น
สิ&�งทำ$�ใช้�พ&สิ จน1ต่�ว่ต่น สิ&�งทำ$�ร � สิ&�งทำ$�ม$ สิ&�งทำ$�เป็/น
AUTHENTICATION การพิ�สู�จน์�ตั�วตัน์ (Authentication) หมายถึ�ง กระบว่นการย3นย�นคว่ามถึ กต่�องของต่�ว่บ�คคลทำ$�กล�าว่อ�าง [http://www.sans.org/security-resources/glossary.php]
การพ&สิ จน1ต่�ว่ต่น แบ�งเป็/น 2 ข�*นต่อน ค3อ ระบ�ต่�ว่ต่น พ&สิ จน1ต่�ว่ต่น
ว�ธี�การที่��ใช้�พิ�สู�จน์�ตั�วบ�คคล อาศั�ยสิ&�งทำ$�เก$�ยว่ข�องก�บต่�ว่บ�คคล 3 ป็ระการ
1 .สู��งที่��ร�� (Something you know) ได้�แก� รห�สิผู้�าน (Password)2. สู��งที่��ม� (Something you have) เช้�น บ�ต่รเอทำ$เอ4ม บ�ต่รป็ระจ�า
ต่�ว่ป็ระช้าช้น เป็/นต่�น3. สู��งที่��เป็!น์ (Something you are) ได้�แก� การพ&สิ จน1ต่�ว่ต่นด้�ว่ย
ล�กษณะทำางช้$ว่ภาพ (Biometric) เช้�น ต่รว่จลาย น&*ว่ม3อ เสิ�นเล3อด้ด้�าบนฝ่9าม3อ หร3อลายม�านต่า เป็/นต่�น
AUTHENTICATION
SOMETHING YOU KNOW สิ&�งทำ$�ผู้ �ใช้�ร � (Something you know) ทำ$�สิามารถึน�ามาใช้�พ&สิ จน1ต่�ว่ต่นได้� และน&ยมน�ามาใช้�เป็/นกลไกพ3*นฐานของการพ&สิ จน1ต่�ว่ต่น ค3อ รห�สิผู้�าน“ ”
รหั�สูผ่$าน์ (Password) ค3อ ค�าหร3อกล��มของต่�ว่อ�กษรทำ$�ม$เพ$ยงผู้ �ใช้�คนเด้$ยว่เทำ�าน�*นทำ$�ทำราบ Passphrase “ว่ล$ผู้�าน หมายถึ�ง ช้�ด้ของต่�ว่อ�กษร ม$ล�กษณะคล�ายก�บ”รห�สิผู้�าน แต่�จะม$คว่ามยาว่มากกว่�ารห�สิผู้�านและคาด้เด้าได้�ยากกว่�าด้�ว่ย เช้�น std@sskrual@ne
ค�ณล�กษณะของ Passphrase ทำ$�ด้$ม$คว่ามยาว่มากพอทำ$�จะทำ�าให�การคาด้เด้า Passphrase เป็/นเร3�องยากต่�องไม�สิร�างจากค�าคมทำ$�โด้�งด้�งในนว่น&ยาย ภาพยนต่ร1 หร3อภาพยนต่ร1โฆษณา
ง�ายต่�อการจด้จ�า และสิะกด้ค�าได้�ถึ กต่�องสิามารถึใช้�กฎเกณฑ์1ต่�างๆ เพ3�อเพ&�มคว่ามยากต่�อการคาด้เด้าและง�ายต่�อการจด้จ�าได้� และเม3�อผู้�านกฎเกณฑ์1ด้�งกล�าว่แล�ว่ จะทำ�าให�ได้� “Virtual Password”
ไม�คว่รใช้�ต่�ว่อ�กษรซึ่�*าก�นในรห�สิผู้�านรห�สิผู้�านทำ$�เก&ด้จากการก�าหนด้โด้ยไร�กฎเกณฑ์1 หร3อไร�เง3�อนไขทำ$�ต่ายต่�ว่ จะช้�ว่ยให�แฮคเกอร1คาด้เด้าได้�ยาก
SOMETHING YOU KNOW
PANIDA PANICHKUL 9
บ�ต่รแถึบแม�เหล4ก เช้�น บ�ต่รเอทำ$เอ4ม บ�ต่รเครด้&ต่ บ�ต่รเด้บ&ต่ บ�ต่รอ�จฉร&ยะ บ�ต่รทำ$�ฝ่@งไมโครช้&ป็
SOMETHING YOU HAVE
Two-factor Authentication การทำ$�จะสิามารถึผู้�านกระบว่นการพ&สิ จน1ต่�ว่ต่นได้� จะต่�องม$ (1) อ�ป็กรณ1 ซึ่��งก4ค3อต่�ว่บ�ต่ร และ (2) รห�สิล�บบางอย�าง เช้�น PIN Code
Two-factor Authentication เพ&�มระด้�บช้�*นการร�กษาคว่ามป็ลอด้ภ�ย
SOMETHING YOU HAVE
BIOMETRIC ป็@ญหาทำ$�เก&ด้ก�บการพ&สิ จน1ต่�ว่ต่นโด้ยใช้�สิ&�งทำ$�ผู้ �ใช้�ร � เช้�น รห�สิผู้�าน ค3อการล3ม
รห�สิผู้�าน และป็@ญหาทำ$�เก&ด้ก�บการพ&สิ จน1ต่�ว่ต่นโด้ยใช้�สิ&�งทำ$�ผู้ �ใช้�ม$ เช้�น บ�ต่รเอทำ$เอ4ม ค3อ
การล3มบ�ต่รและทำ�าหาย จ�งได้�ม$การพ&สิ จน1ต่�ว่ต่นโด้ยใช้� สิ&�งทำ$�ผู้ �ใช้�เป็/น “ (Something you are)”
แทำน น��นค3อ การพ&สิ จน1จากล�กษณะทำางช้$ว่ภาพหร3อทำางร�างกายของผู้ �ใช้� เร$ยกว่�า “Biometric”
ต่�ว่อย�างเช้�น พ&สิ จน1ด้�ว่ยลายน&*ว่ม3อ (Fingerprint) ลายม3อ (Palm Scan: รอยเสิ�นเล3อด้ทำ$�ฝ่9าม3อ) จด้จ�าใบหน�า (Face Recognition) ร ป็ร�างของม3อ (Hand Geometry) สิแกนเรต่&นา (Retina Scan) และสิแกนม�านต่า (Iris Scan) เป็/นต่�น
การใช้�ระบบ Biometric
ม$ 2 ข�*นต่อน1 .น�าข�อม ลทำางช้$ว่ภาพเข�าสิ �ระบบคร�*งแรก
(Enrollment)
Data Capture SignalProcessing
Matching
DataStorage
BIOMETRIC
AUTHORIZATION การก%าหัน์ดสู�ที่ธี�' (Authorization) ค3อ การจ�าก�ด้สิ&ทำธิ์&(ในการกระทำ�าใด้ๆ
ต่�อระบบและข�อม ลในระบบของผู้ �ใช้�ทำ$�ผู้�านการพ&สิ จน1ต่�ว่ต่นมาแล�ว่ [Stamp, 2006]
Access Control List (ACL) Matrix ค3อ กลไกการคว่บค�มการเข�าถึ�งทำร�พยากรของระบบ โด้ยการแสิด้งรายช้3�อผู้ �ใช้�ระบบ และการกระทำ�าทำ$�ผู้ �ใช้�ได้�ร�บอน�ญาต่ให�กระทำ�าต่�อทำร�พยากรใด้ๆ ของระบบ
ต่าราง ACL ป็ระกอบด้�ว่ย1. Subject ผู้ �ใช้�ทำ$�ม$สิ&ทำธิ์&(เข�าถึ�งระบบ2. Object ทำร�พยากรต่�างๆ ของระบบ ทำ$�จะถึ กใช้�โด้ยผู้ �ใช้�3. Access Operation การกระทำ�าทำ$� Subject ได้�ร�บอน�ญาต่ให�กระทำ�า
ต่�อ Object ได้� เช้�น อ�าน (Read) เข$ยน (Write) และป็ระมว่ลผู้ล (Execute) เป็/นต่�น
องค1ป็ระกอบทำ�*ง 3 จะถึ กน�ามาสิร�างเป็/นต่าราง โด้ยก�าหนด้ให� Subject อย �ในแนว่นอน (Row) สิ�ว่น Object อย �ในแนว่ต่�*ง (Column) และ Access Operation จะก�าหนด้ไว่�ในช้�องทำ$�เก&ด้จากการต่�ด้ก�นของ Subject และ Object ด้�งต่�ว่อย�างต่�อไป็น$*
AUTHORIZATION
OS Accounting Program
Accounting Data
Insurance Data
Payroll Data
Somsri rx rx r - - Apichat rx rx r rw rw Manee rwx rwx r rw rw Udom rx rx rw rw r
AUTHORIZATION