Chinese (Simplified)EnglishThai

Chinese (Simplified)EnglishThai

Chinese (Simplified)EnglishThai

ทำความเข้าใจเกี่ยวกับ ความปลอดภัยของฐานข้อมูล ในการอยู่รอด

ความปลอดภัยของฐานข้อมูล ในยุคปัจจุบันเมื่อเราพูดถึงความมั่นคงเวลาส่วนใหญ่เราเกี่ยวข้องกับการเงินสุขภาพและครอบครัวของเรา สิ่งเหล่านี้คือเสาหลักในการอยู่รอดและการเติบโตของเรา ในทำนองเดียวกันความอยู่รอดและการเติบโตของ บริษัท ก็ขึ้นอยู่กับความปลอดภัยของข้อมูล

ด้วยเทคโนโลยีที่พัฒนาไปทุกวันการจัดการและรักษาความปลอดภัยข้อมูลที่เติบโตขึ้นเรื่อย ๆ จึงเป็นเรื่องยาก แฮกเกอร์และผู้แทรกซึมมักมองหาโอกาสในการแฮ็กเข้าสู่ บริษัท ที่ทำงานและใช้ข้อมูลเพื่อกำหนดเป้าหมายการโจมตีแบบฟิชชิ่งและการขู่กรรโชก ในช่วงไม่กี่ปีที่ผ่านมาเราได้เห็นหลายกรณีที่ความปลอดภัยของข้อมูลของ บริษัท ต่างๆถูกละเมิดและทำให้พวกเขาตกอยู่ในความวุ่นวาย

การรักษาฐานข้อมูลของเราให้ปลอดภัยถือเป็นงานที่สำคัญที่สุดอย่างหนึ่งสำหรับผู้ดูแลระบบฐานข้อมูล นี่เป็นแง่มุมหนึ่งที่เราไม่สามารถประนีประนอมได้ ในขณะที่เราพยายามลงทุนและปรับตัวเทคโนโลยีใหม่สิ่งสำคัญสำหรับเราในการรักษาความคงเส้นคงวาและความปลอดภัยของข้อมูลของเรา

ดังนั้นเรามาลองทำความเข้าใจเพิ่มเติมเกี่ยวกับความปลอดภัยของฐานข้อมูล

ความปลอดภัยของฐานข้อมูลคืออะไร?
การรักษาความปลอดภัยของฐานข้อมูลสามารถกำหนดเป็นชุดของการดำเนินการหรือใช้เครื่องมือเพื่อรวมการควบคุมความปลอดภัยที่หลากหลายผ่านระบบการจัดการฐานข้อมูลของเรา การรักษาความปลอดภัยฐานข้อมูลด้วยวิธีใดก็ได้ที่เป็นไปได้ถือเป็นหนึ่งในองค์ประกอบสำคัญสำหรับความต่อเนื่องทางธุรกิจ

ประเภทของความปลอดภัยของฐานข้อมูล
การรักษาความปลอดภัยฐานข้อมูลมีสองประเภท หนึ่งคือระดับกายภาพและอื่น ๆ เป็นระดับดิจิตอล

ความปลอดภัยทางกายภาพ

เมื่อเราพูดถึงความปลอดภัยทางกายภาพสิ่งแรกที่ต้องคำนึงถึงคือศูนย์ข้อมูล Datacenter เป็นสถานที่ที่เก็บรูปแบบข้อมูลจริงในรูปแบบของเซิร์ฟเวอร์ การปกป้องศูนย์ข้อมูลของเราจากรายการที่ไม่ได้รับอนุญาตและการมีZero Trust Architectureเป็นขั้นตอนไม่กี่ขั้นตอนที่เราสามารถนำไปใช้เพื่อรักษาความปลอดภัยในสถานที่ได้

การติดตามและตรวจสอบทุกการเคลื่อนไหวการทำธุรกรรมหรือการทำซ้ำภายในศูนย์ข้อมูลด้วยความเอาใจใส่สูงสุดจะช่วยเพิ่มความปลอดภัย

 

ความปลอดภัยดิจิทัล

การรักษาความปลอดภัยดิจิทัลคือที่ที่เราพูดถึงการมีการควบคุมความปลอดภัยบนซอฟต์แวร์และเครือข่าย

ปัจจุบันมีแพลตฟอร์มฐานข้อมูลต่างๆในตลาดที่มีความสามารถในการจัดการความปลอดภัยของฐานข้อมูล Oracle, MS SQL, Azure, AWS และอื่น ๆ ล้วนตรวจสอบให้แน่ใจว่าความปลอดภัยของฐานข้อมูลนั้นให้ความสำคัญสูงสุดเมื่อพูดถึงระบบจัดการฐานข้อมูล

เราเห็นบริการเครื่องมือและผู้ขายต่างๆที่มาพร้อมกับแนวคิดและกลยุทธ์ต่างๆเพื่อให้แน่ใจว่าจะไม่มีช่องโหว่ในการรักษาความปลอดภัยข้อมูล

นอกจากนี้เรายังมีหน่วยงานระหว่างประเทศเช่น SOX และ HIPAA ที่ทำหน้าที่ตรวจสอบ บริษัท ต่างๆเป็นประจำเพื่อระบุความคลาดเคลื่อนในการรักษาความปลอดภัยฐานข้อมูล

สิ่งที่ควรพิจารณาขณะจัดการความปลอดภัยของศูนย์ข้อมูล

การเข้ารหัสฐานข้อมูลและการสำรองข้อมูล จัดการการเข้าถึงฐานข้อมูลอย่างเคร่งครัด บังคับใช้นโยบายรหัสผ่านที่เข้มงวด ฐานข้อมูลการตรวจสอบและการตรวจสอบจะเปิดใช้งานโดยใช้เครื่องมือในการสร้างหรือซอฟต์แวร์ตรวจสอบฐานข้อมูลอื่น ๆ
การใช้แพตช์ความปลอดภัยตามปกติและเมื่อออก
ตั้งค่า Network Firewall และ Web Application Firewall

เหนือสิ่งอื่นใดไม่ว่าข้อมูลของคุณจะอยู่ที่ใดไม่ว่าจะเป็นข้อมูลในองค์กรระบบคลาวด์หรือการรวมกันการรักษาความปลอดภัยอาจเป็นเรื่องท้าทาย แต่ด้วยแนวทางที่ถูกต้องและการจัดการที่เหมาะสมจึงเป็นไปได้ที่จะรักษาข้อมูลของเราให้ปลอดภัย หากคุณหรือองค์กรของคุณกำลังมองหาการสนับสนุนในการจัดการความปลอดภัยของฐานข้อมูลให้เป็นพันธมิตรกับ Datavail ติดต่อเราเพื่อช่วยรักษาความปลอดภัยข้อมูลของคุณ

วัตถุประสงค์ในการรักษาความปลอดภัย
ความปลอดภัยของระบบฐานข้อมูล (database security) เป็นการป้องกันผู้ไม่มีสิทธิเข้ามาใช้ หรือแก้ไขข้อมูล และความสามารถในการป้องกันข้อมูลให้ถูกต้องครบถ้วนสมบูรณ์ เช่น ข้อมูลที่ถูกเปลี่ยนแปลงให้ผิดพลาดได้โดยง่าย แสดงว่าข้อมูลมีความปลอดภัยต่ำ เป็นต้น ทั้งนี้ความปลอดภัยของระบบฐานข้อมูลมีความสำคัญต่อความสำเร็จขององค์กรเป็นอย่างมาก ผู้บริหารฐานข้อมูลจึงจำเป็นที่จะต้องรักษาฐานข้อมูลให้ปลอดภัย

1. ความหมายของการรักษาความปลอดภัย
การรักษาความปลอดภัยของฐานข้อมูลหมายถึงการดูแลจัดการและรักษาข้อมูลให้ถูกต้องครบถ้วนสมบูรณ์พร้อมสำหรับผู้ที่มีสิทธิในการใช้ข้อมูลสามารถใช้งานได้อยู่เสมอ การเสียหายของระบบฐานข้อมูลซึ่งเกิดจากข้อบกพร่องของความปลอดภัย เช่น

– เครื่องเสียในระหว่างทำงาน ถ้าไม่มีการจัดการที่ดีอาจทำให้ข้อมูลผิดพลาดได้ เช่นการโอนเงินจากบัญชี ก ไปบัญชี ข เราสามารถทำได้ 2 แบบ คือ ถอนเงินบัญชี ก ก่อนแล้วฝากเงินเข้าบัญชี ข หรือฝากเงินเข้าบัญชี ข ก่อนถอนเงินจากบัญชี ก ในแบบแรกถ้าเครื่องเกิดมีปัญหาหลังจากถอนเงินเรียบร้อยแล้ว แต่ยังไม่ได้ฝากเงิน ก็จะทำให้ผลรวมของยอดเงินหายไป ส่วนแบบหลังยอดเงินก็จะมากเกินไป ทั้งสองแบบนี้ไม่เป็นที่ต้องการ ระบบรักษาความปลอดภัยของฐานข้อมูลจึงจำเป็นต้องมีขบวนการควบคุมการทำงานในลักษณะรายการ (transaction) คือการที่ถ้าทำรายการใดไม่สำเร็จทุกขั้นตอนจะต้องเสมือนยังไม่ได้ทำขั้นตอนใดเลย

– การใช้งานพร้อมกัน อาจทำให้เกิดปัญหา ดังตัวอย่าง ถ้านาย ก ทำการถอนเงินด้วยสมุดเงินฝาก ในเวลาเดียวกับที่นาย ข ทำการถอนเงินด้วยบัตรเอทีเอ็ม จากบัญชีเดียวกัน ถ้าการทำงาน 2 รายการนี้ ไม่เป็นอิสระจากกัน คือต่างอ่านได้ยอดเงินคงเหลือก่อนถอนเท่ากัน แล้วทำการถอนเงิน จะทำให้ได้ยอดคงเหลือของบัญชีผิดพลาดได้

โดยทั่วไปการป้องกันความผิดพลาดสามรถทำได้โดยง่าย เนื่องจากระบบ DBMS ส่วนใหญ่จะมีองค์ประกอบที่ช่วยป้องกันความผิดพลาดดังตัวอย่างข้างต้นได้อยู่แล้ว จึงไม่เป็นภาระของผู้ใช้งาน

2.วัตถุประสงค์ของการรักษาความปลอดภัย
วัตถุประสงค์ของการรักษาความปลอดภัยของระบบฐานข้อมูล ก็เพื่อลดปัจจัยเสี่ยงที่เกี่ยวกับ ความเสียหายกับฐานข้อมูล เนื่องจากความผิดพลาดในการทำงานของผู้ใช้ระบบฐานข้อมูล แฟ้มข้อมูลเสียหาย ความผิดพลาดในการทำงานของเครื่องหรือเครื่องคอมพิวเตอร์ไม่สามารถทำงานได้ การปฎิบัติงานที่ไม่เหมาะสมหรือผิดปกติ เนื่องจากการใช้คำสั่งในระบบโดยไม่ได้รับอนุญาติ การทุจริต และการเปิดเผยข้อมูลที่เป็นความลับ โดยสามารถแยกวัตถุประสงค์โดยรวมของการรักษาความปลอดภัยในระบบฐานข้อมูลได้ 4 ประการ คือ

2.1 เพื่อให้สามารถรักษาข้อมูลเป็นความลับได้ (secrecy) ระบบจะต้องปกป้องข้อมูลไม่ให้ผู้ไม่มีสิทธิในการใช้ข้อมูลเข้าใช้ข้อมูลได้ และจะต้องสามารถกำหนดให้ผู้ใช้งานแต่ละคนสามารถใช้งานได้ตามสิทธิที่กำหนดเท่านั้นด้วย ควรมีการกำหนดสิทธิไว้ชัดเจน อยู่ในห้องเครื่อง มีการรักษาความปลอดภัยโดยใช้บัตรผ่าน มีการควบคุมสิทธิผู้ใช้งานอย่างรอบคอบ มีความปลอดภัยในการใช้งานในระบบเครือข่าย และมีระบบสำรองกู้คืนข้อมูลที่ดี สามารถใช้งานได้สะดวก

2.2 เพื่อให้ข้อมูลในฐานข้อมูลมีความถูกต้องครบถ้วนสมบูรณ์ (integrity) นั่นคือจะต้องสามารถรักษาข้อมูลให้มีความถูกต้องตามกฎเกณฑ์หรือเงื่อนไขที่ได้กำหนดไว้ตอนสร้างฐานข้อมูล ข้อมูลต้องไม่ผิดเพี้ยน รวมทั้งความถูกต้องของข้อมูลในการประมวลผลข้อมูลพร้อมกันด้วย

2.3 เพื่อให้มีฐานข้อมูลพร้อมใช้งานอยู่เสมอ (availability) สามารถทำงานได้ตามปกติและเต็มประสิทธิภาพตามจุดมุ่งหมายในการใช้ และมีขีดความสามารถปฏิบัติงานได้ตามที่ต้องการเนื่องถ้าการใช้งานระบบฐานข้อมูลมักจะมีข้อขัดข้องอยู่เสมอ เช่นเครื่องเสีย หรือไฟดับ หรือข้อมูลสูญหาย ถ้ามีการรักษาความปลอดภัยที่ดีจะทำให้ผู้ใช้งานมีความเชื่อถือในระบบฐานข้อมูลนั้น

2.4 เพื่อลดความเสี่ยง (Risk Assessment) การรักษาความปลอดภัยที่ดีจะช่วยลดความเสี่ยงในค่าใช้จ่ายที่จะเกิดขึ้นจากการเสียหายของข้อมูล การวางแผนด้านการรักษาความปลอดภัยได้อย่างเหมาะสมจะช่วยลดความเสี่ยงในการเกิดความเสียหายของข้อมูลค่าใช้จ่าย มีการประเมินความสมดุลระหว่างค่าใช้จ่ายหรือต้นทุนคุ้มค่ากับประโยชน์ที่จะได้รับจากการรักษาความปลอดภัย

3.ข้อคำนึงในการรักษาความปลอดภัยระบบฐานข้อมูล
ในการรักษาความปลอดภัยของระบบฐานข้อมูลนั้น จะต้องคำนึงถึงนโยบาย(policy)ขององค์การและสถานภาพของระบบการรักษาความปลอดภัยในปัจจุบัน(current state) ความปลอดภัยของฐานข้อมูล

3.1.นโยบายขององค์การ นโยบายขององค์การมีผลสำคัญอย่างยิ่งต่อการรักษาความปลอดภัยของข้อมูล นโยบายขององค์การจะต้องมุ่งเน้นที่จุดมุ่งหมายและการทำงานที่ดี การกำหนดนโยบายด้านการรักษาความปลอดภัยก็เพื่อให้องค์กรสามารถดูแลรักษาระบบความปลอดภัย องค์กรจำเป็นต้องมีการกำหนดนโยบายด้านความปลอดภัยให้ชัดเจน โดยประกอบด้วยกฎ ข้อบังคับ และหน้าที่ความรับผิดชอบของพนักงาน พร้อมทั้งระเบียบวิธีปฏิบัติให้พนักงานใช้เป็นหลักในการทำงาน รวมทั้งการติดตามตรวจสอบให้ทุกคนให้ปฏิบัติตามกฎ ระเบียบ มาตรฐานที่วางไว้อย่างเคร่งครัด และสม่ำเสมอ

การกำหนดนโยบายด้านการรักษาความปลอดภัย เพื่อให้องค์กรสามารถดูแลรักษาระบบความปลอดภัย องค์กรจำเป็นต้องมีการกำหนดนโยบายด้านความปลอดภัยให้ชัดเจน โดยประกอบด้วยกฎ ข้อบังคับ และหน้าที่ความรับผิดชอบของพนักงาน พร้อมทั้งระเบียบวิธีปฏิบัติให้พนักงานใช้เป็นหลักในการทำงาน รวมทั้งการติดตามตรวจสอบให้ทุกคนปฏิบัติตามกฎ ระเบียบ มาตรฐานที่วางไว้อย่างเคร่งครัด และสม่ำเสมอ โดยต้องกำหนดให้แน่นอนว่าระบบรักษาความปลอดภัยนี้ใครเป็นผู้ปฏิบัติ (who) ใช้กับส่วนใดบ้างในระบบ(to what resources) มีวิธีการปฏิบัติอย่างไร(how) ผู้ใช้ผู้ใดสามารถเข้าถึงข้อมูลส่วนใดได้บ้าง รวมทั้งต้องกำหนดสิทธิว่าใครมีสิทธิกำหนดที่จะเปลี่ยนแปลงแก้ไขข้อมูลนั้นๆ

 

สำหรับองค์กรที่ต้องการ Document and Content Management Solution ที่สมบูรณ์แบบ พร้อม Professional Services ที่มีประสบการณ์ Implement Alfresco มามากกว่า 100 โครงการณ์ สามารถติดขอคำปรึกษากับ K&O Systems

ทั้งนี้บริษัทเคแอนด์โอ จึงได้มุ่งเน้นการจัดการแก้ไขปัญหา จัดการเอกสาร ด้านเอกสารขององค์กรมาอย่างยาวนาน และ ให้ความสำคัญกับด้านงานเอกสาร ต่อลูกค้าเป็นอย่างดี จนถึงปัจจุบันก็ได้ความยอมรับจากองค์กร ขนาดใหญ่ ขนาดกลาง และขนาดเล็กมากมาย จึงใคร่ขออาสาดูและปัญหาด้านเอกสารให้กับองค์กรของท่านอย่างสุดความสามารถ เพราะเราเป็นหนึ่งในธุรกิจ ระบบจัดเก็บเอกสาร ที่ท่านไว้ใจได้

สนใจรับคำปรึกษาด้านวางระบบจัดการเอกสารอิเล็กทรอนิกส์  EDMS โดยทีมงานผู้เชี่ยวชาญจาก K&O ที่มีประสบการณ์มากว่า 15 ปี รวมถึงซอฟต์แวร์ระดับโลก ติดต่อ 0 2 – 8 6 0 – 6 6 5 9

 

Related Articles