ความปลอดภัยของข้อมูล ในฐานข้อมูล

0
135

มาทำความรู้จัก ความปลอดภัยของข้อมูล กันเถอะ

เราคงถามอยู่ในใจของคนทั่วไปว่าระบบรักษา ความปลอดภัยของข้อมูล ในปัจจุบันดีแล้วหรือ ผู้ใช้เอทีเอ็มเบิกถอนเงินโดยไม่ต้องมีลายเซ็น มีความเชื่อถือได้เพียงไร การใช้บัตรเครดิตที่อยู่ห่างไกล หรือแม้แต่ฐานข้อมูลที่สำคัญ เช่น ฐานข้อมูลคะแนนในมหาวิทยาลัยมีความมั่นคงของข้อมูลเพียงใด ระบบรักษาความปลอดภัยข้อมูลจึงเป็นเรื่องที่ต้องมีการวางมาตรการและออกแบบในเรื่องการรักษาความปลอดภัยกันอย่างดี

ความจำเป็นที่จะต้องดูแลและรักษาความปลอดภัยของข้อมูลเกี่ยวกับฐานะการทำงานและเรื่องกฎหมายเพราะข้อมูลที่เก็บอาจเป็นเรื่องความลับเฉพาะตัวหรือความลับทางการค้า ปัจจุบันจึงเริ่มมีอาชญากรรมที่ใช้เทคโนโลยีระดับสูง เช่น การแอบใช้ข้อมูล การแก้ไขข้อมูล ตลอดจนการใช้ข้อมูลที่ไม่ถูกวัตถุประสงค์ วิธีการป้องกันและรักษาความปลอดภัยจึงต้องมีการพัฒนาเทคนิคเพิ่มขึ้นเป็นลำดับ

วิธีแรกที่ระบบต้องมี คือ การตรวจสอบข้อมูลที่ติดต่อเข้ามาในระบบ ในระบบสื่อสารทั่วไปมีการส่งข้อมูลเป็นกลุ่ม (package) คือ นำข้อมูลกลุ่มหนึ่งมารวมกันมีการกำหนดรหัสพิเศษของการรับส่งข้อมูล การตรวจทานข้อมูล เช่น ข้อมูลทั้งกลุ่มส่งไปจะปิดท้ายด้วยรหัสตรวจสอบขอมูลในรูปที่คำนวณได้ เช่น ตรวจสอบผลบวกของรหัสข้อมูลทั้งหมด ตรวจสอบด้วยส่วนซ้ำซ้อนแบบวนที่เรียกว่า ซีอาร์ซี (Cyclic Redundancy Check : CRC) เพื่อความแน่ใจว่า ข้อมูลกลุ่มนั้นมาถึงผู้รับโดยไม่มีข้อมูลใดเปลี่ยนแปลงไป หากพบข้อมูลผิดพลาดก็มีการทวงถามใหม่ได้

การตรวจสอบรหัสบุคคลเป็นวิธีหนึ่งที่ระบบต้องมี ดังจะเห็นได้จากการกำหนดรหัสผ่าน เช่น บัตรเอทีเอ็มทุกใบจะมีรหัสแถบแม่เหล็กและรหัสที่ให้ไว้กับเจ้าของ เมื่อผู้ใช้งานต้องติดต่อเข้าไปในระบบ คอมพิวเตอร์จะตรวจสอบรหัสทั้งสองนี้ว่าตรงกับที่กำหนดไว้หรือไม่ ถ้าตรงก็จะดำเนินการต่อไป การกำหนดรหัสผ่านนี้ถือว่าเป็นรหัสเฉพาะตัวที่เจ้าของจะต้องรับผิดชอบเอง เพราะแม้แต่เจ้าหน้าที่ของธนาคารก็ไม่รู้ว่ารหัสเอทีเอ็มของแต่ละคนเป็นรหัสอะไร ระบบจะเป็นผู้สร้างให้ และเป็นความลับ ซึ่งพิมพ์ออกมาพร้อมผนึกซองโดยเครื่องไม่มีเจ้าหน้าที่คนใดรู้

ในระบบใด ๆ จะมีการกำหนดสิทธิการเข้าถึงข้อมูลแตกต่างกัน เช่น ในระบบฐานข้อมูลแห่งหนึ่ง มีการกำหนดสิทธิการเข้าถึงฐานข้อมูลไว้ 5 ระดับ ระดับแรกเป็นของผู้ใช้ซึ่งจะดูแลหรือปรับปรุงข้อมูลเฉพาะในส่วนที่เกี่ยวข้องของตนเองเท่านั้น ในระดบที่สูงขึ้นไปจะมีสิทธิในการเข้าถึงข้อมูลแตกต่างกันตามที่กำหนด ระดับสูงสุดอาจเข้าถึงข้อมูลได้หมด ผู้เกี่ยวข้องระดับสูงสุดจึงเป็นผู้รับผิดชอบข้อมูลทั้งหมด

นอกจากการใช้ระบบตรวจสอบผู้ใช้และการตรวจสอบรหัสผ่านแล้ว ระบบในการตรวจสอบข้อมูลอย่างอัตโนมัติในบางเรื่องต้องทำด้วย ระบบนี้เรียกว่าระบบตรวจสอบ ทั้งนี้เพราะอาจมีผู้ทุจริตเข้าสู่ระบบโดยไม่ผ่านทางรหัสผ่าน เช่น ผู้ที่รู้เรื่องเกี่ยวกับคอมพิวเตอร์เป็นอย่างดี อาจเข้าถึงตัวข้อมูลโดยตรงได้ และแก้ไขข้อมูลในจานแม่เหล็กที่เก็บข้อมูลสำคัญ ระบบตรวจสอบนี้จึงเป็นตัวป้องกัน เช่น ในเรื่องบัญชีต้องมีการยืนยันยอดหรือสร้างสมดุลในหลายส่วนที่ตรวจสอบยืนยันกันได้ ระบบตรวจสอบอาจมีกลไกง่าย ๆ เช่น นำตัวเลขในบัญชีมาคำนวณตามสูตร ได้ผลลัพธ์เก็บซ่อนไว้ที่ใดที่หนึ่งที่เป็นความลับ ถ้ามีใครแก้ไขตัวเลขในบัญชีก็สามารถตรวจสอบข้อมูลที่ถูกต้องจากการคำนวณค่าตัวเลขเปรียบเทียบกับของเดิม

เมื่อข้อมูลที่วิ่งไปมาตามช่องสื่อสารหรือนำมาเก็บไว้ในฐานข้อมูลในรูปสื่ออิเล็กทรอนิกส์ โอกาสของการถูกดักฟัง หรือการเปลี่ยนแปลงแก้ไขในช่องสื่อสารจึงเป็นไปได้ง่าย ระบบฐานข้อมูลที่อยู่ในจานแม่เหล็ก ในระบบคอมพิวเตอร์ที่ใช้ได้จากหลายคน หลายแห่ง ก็มีโอกาสที่ผู้ไม่หวังดีจะเข้าสู่ระบบโดยตรงได้ ถึงแม้ระบบจะมีวิธีการป้องกันที่ดีแล้ว ผู้รู้เรื่องทางเทคโนโลยีระดับสูงก็อาจหาวิธีเข้าถึงข้อมูลได้ ดังนั้น่จึงมีการแปลงรหัสข้อมูล เป็นรหัสที่ผู้อื่นไม่ทราบ ถ้าการแปลงรหัสไม่ตรงกัน ทำให้รู้ได้ว่ามีการเปลี่ยนแปลงข้อมูลเกิดขึ้นแล้ว ระบบอาจตรวจสอบได้ แม้กระทั่งว่าข้อมูลเปลี่ยนแปลงไปจากที่ใด

ระบบการตรวจสอบข้อมูลมีเทคนิคพิเศษหลายประการ เช่น ข้อมูลทั้งหมดจะมีการประมวลผลทุกทรั้งที่มีการเปลี่ยนแปลง มีการเก็บประวัติการเปลี่ยนแปลง โดยเก็บทั้งผู้เปลี่ยนแปลงและตัวข้อมูล ตำแหน่งข้อมูล การเปลี่ยนแปลงข้อมูลเหล่านี้จะมีระบบตรวจสอบ การดักฟังข้อมูลอาจทำได้ แต่ข้อมูลที่ได้ไปจะไม่มีความหมายใด เพราะแปลข้อมูลไม่ได้ ข้อมูลที่ส่งจากตู้เอทีเอ็มผ่านเครือข่ายสายโทรศัพท์เข้าสู่คอมพิวเตอร์กลางมีการแปลงรหัสข้อมูล การถอดรหัสข้อมูลเหล่านี้ปลายทางจะรู้เท่านั้น สูตรการแปลงรหัสข้อมูลจะถูกเปลี่ยนแปลงไปเรื่อย ๆ ผู้ดังฟังหรือผู้ที่พยายามจะอ่านข้อมูลจากฐานข้อมูลโดยตรงจึงไม่สามารถแปลข้อมูลได้ การแก้ไขข้อมูลจึงทำได้ยากขึ้น

การใช้งานข้อมูลในยุคนี้ จึงต้องต่อสู้กับวิธีการที่ผู้ไม่ประสงค์ดีจะนำมาใช้ อาชญากรรมทางด้านข้อมูลหรือการโจรกรรมข้อมูล ซึ่งในยุคต่อไปจะมีมากขึ้น ข้อมูลที่ส่งไปมาผ่านเครือข่ายโทรคมนาคมสาธารณะที่หลายคนนึกว่าปลอดภัย แต่ความเป็นจริงแล้วโอกาสของการดักฟังมีได้เสมอ ผู้ที่ใช้วิทยุโทรศัพท์มือถือพูดกันนั้น คลื่นของท่านแพร่กระจายเป็นคลื่นวิทยะ สามารถดักฟังได้โดยง่าย ผู้ที่ใช้เครือข่ายทางสายก็มีผู้แอบอัดเทปและนำมาเปิดเผยให้เห็นกันแล้ว ข้อมูลในระบบจึงต้องพัฒนาใช้เทคนิคหลาย ๆ อย่างพร้อมกันเพื่อความปลอดภัยของข้อมูล

LEAVE A REPLY