class#14 web 2.0

เว็บ 2.0 จะต้องมีคุณลักษณะหลักๆ ดังนี้

1. "network as platform" คือจะต้องให้บริการหรือสามารถใช้งานผ่านทาง "web browser" ได้ 
2. ผู้ใช้งานที่เป็นเจ้าของข้อมูลบน "website" นั้น สามารถดำเนินการใดๆ ก็ได้กับข้อมูลนั้น  
3. ให้ความสำคัญกับผู้เข้าชมเว็บไซต์ โดยที่ผู้เข้าชมเว็บไซต์จะมีส่วนร่วมต่อเว็บไซต์มากขึ้น ไม่ใช่แค่เข้ามาชมเว็บไซต์ที่เจ้าของเว็บจัดทำขึ้นเท่านั้น ผู้เข้าชมเว็บไซต์สามารถสร้าง content ของเว็บไซต์ขึ้นมาได้เองหรือสามารถ tag content ของเว็บไซต์ (คล้ายๆการกำหนด keyword ที่เกี่ยวข้องกับ content โดยผู้เข้าชมเว็บไซต์เป็นผู้กำหนดขึ้น) ตัวอย่างเช่น Digg, Flickr, Youtube , Wiki 
4. Web 2.0 application จะมีคุณสมบัติที่เรียกว่า RIA (Rich Internet Application) นั่นคือ Web 2.0 application จะมี user interface ที่ดียิ่งขึ้น เช่น คุณสมบัติ drag & drop ซึ่งเราใช้กับใน desktop application ทั่วๆไปก็สามารถใช้ได้บนเว็บเช่นกัน โดยเทคโนโลยีที่เกี่ยวข้องในการสร้าง RIA เช่น AJAX, Flash
5.มีการพัฒนาและการโต้ตอบระหว่างผู้ให้บริการ และผู้ใช้งาน แทนที่จากระบบเว็บแบบเก่า ที่เป็นลักษณะของการให้บริการอ่านอย่างเดียว
6.มีความรวดเร็ว และความง่ายดายของการส่งข้อมูล แทนที่แบบเก่าที่ต้องจัดการผ่านเซิร์ฟเวอร์ 
7.มีคุณสมบัติที่เรียกว่า mash-up คือการนำฟังก์ชั่นการใช้งานจากเว็บหลายๆที่ๆมาผนวกเข้าด้วยกัน

• การใช้ social nework ไม่ใช่มช้ในสังคมอย่างเดียว  แต่ยังมีการใช้ในองกรค์ เพื่อแลกเปลี่ยนความรู้กัน เช่น
• สำหรับร้านค้าทั่วไป การใช้ social metwork  จะมีประโยชน์คือ ได้ feed back จากคนที่เป็นลูกค้าของเราจริงๆ เช่น Viral marketing  นอกจากนี้ web 2.0 ยังทำให้web site trafic และยอดขายเพิ่มขึ้น
• you tubeจุดเด่นของเว็บไซต์ YouTube ที่เราเห็นได้ชัดเจนคือการเป็นเว็บไซต์ที่ให้บริการฟรีเพื่อเปิดโอกาสให้ผู้ใช้สามารถ upload และแลกเปลี่ยนคลิปวิดีโอได้อย่างอิสระจากทั่วทุกมุมโลก
• มีความพยายามผลิต robot ขึ้นมาเพื่อใช้แทนคนในการสงครามและการแพทย์ และในด้านอื่นๆ
• การนำ social network มาใช้ในธุรกิจเริ่มมีมากขึ้น  เช่น การเขียนรีวิวสินค้า 
• Telemedicine & Telehealth เช่นรองเท้ากีฬาNike ที่วัดก้าวที่เราเดิน เพื่อวัดปริมาณแคลอรี่ที่เผาผลาญของแต่ล่ะคน
• Mobile Technology in Medicine เมืองไทยพยายามที่จะเป็น medical hub ของเอเชีย ดังนั้นการนำเทคโนโลยีมาใช้ในการจัดการข้อมูลของคนไข้ให้สามารถส่งข้อมูลตามสายโทรศัพท์ได้เลย ไม่ต้องใช้เป็นเอกสาร ก็ช่วยให้การใช้งานง่ายขึ้น
• การวางผังเมืองโดยการใช้เทคโนโลยี  โดยวางinfastructure ให้เหมาะกับอุปกรณไอทีด้วย พวกสายอินเตอร์เนต  โดยผังเมืองที่ดีจะช่วยให้เราใช้ชีวิตสะดวกมากขึ้น สามารถทำงานที่บ้านได้

class#13 การรักษาความปลอดภัยระบบสารสนเทศและจรรยาบรรณเบื้องต้น

การรักษาความปลอดภัยระบบสารสนเทศและจรรยาบรรณเบื้องต้น

ความเสี่ยงของระบบสารสนเทศ (Information system risk) หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลายฮาร์ดแวร์ (Hardware) ซอฟต์แวร์ (Software) ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ

ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ

-          แฮกเกอร์ (Hacker)

-          แครกเกอร์ (Cracker)

-          ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies)

-          ผู้สอดแนม (Spies)

-          เจ้าหน้าที่ขององค์กร (Employees)

-          ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyberterrorist)

การโจมตีระบบเครือข่าย (Network attack)

-          การโจมตีขั้นพื้นฐาน (Basic Attacks)  เช่น กลลวงทางสังคม (Social engineering) และการรื้ออค้นเอกสารทางคอมพิวเตอร์จากที่ทิ้งขยะ (Dumpster Diving )

-          การโจมตีด้านคุณลักษณะ (Identity Attacks) เช่น DNS Spoofing และ e-mail spoofing 

-          การปฏิเสธการให้บริการ (Denial of Service หรือ DoS) เช่น Distributed denial-of-service (DDoS) , DoSHTTP (HTTP Flood Denial of Service)

-          การโจมตีด้วยมัลแวร์ (Malware)

-          การขโมย (Theft)

-          ความล้มเหลวของระบบสารสนเทศ (System failure)

การรักษาความปลอดภัยการโจมตีระบบเครือข่าย

-          ติดตั้งโปรแกรมป้องกันไวรัสและปรับปรุง Virus signature หรือ Virus definition

-          ติดตั้งไฟร์วอลล์ (Firewall)

-          ติดตั้งซอฟต์แวร์ตรวจจับการบุกรุก (Intrusion detection software)

-          ติดตั้ง Honeypot

-          การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต

-          การระบุตัวตน (Identification)

-          การพิสูจน์ตัวจริง (Authentication) เช่น รหัสผ่าน (Password)

-          ข้อมูลที่ทราบเฉพาะบุคคลที่เป็นเจ้าของ (What you know)

-          ใช้บัตรผ่านที่มีลักษณะเป็นบัตรประจำตัว (What you have) เช่น บัตร ATM เป็นต้น

-          ลักษณะทางกายภาพของบุคคล (What you are) เช่น ม่านตา เป็นต้น

-          การควบคุมการขโมย

-          ควบคุมการเข้าถึงทางกายภาพ (Physical access control) เช่น การปิดห้องและหน้าต่าง เป็นต้น

-          กิจการบางแห่งนำระบบ Real time location system (RTLS) มาใช้เพื่อระบุสถานที่ที่มีความเสี่ยงสูงโดยนำ RFID tags ติดที่อุปกรณ์คอมพิวเตอร์เพื่อใช้ในการติดตามอุปกรณ์นั้นๆ

-          ปัจจุบันมีการออกแบบเครื่องคอมพิวเตอร์ให้สามารถควบคุมการเปิดเครื่องและการเข้าใช้งานเครื่องด้วยการใช้ลักษณะทางกายภาพของบุคคล เช่น ลายนิ้วมือ เป็นต้น

-          การรักษาความปลอดภัยของซอฟต์แวร์ทำโดยเก็บรักษาแผ่นซอฟต์แวร์ในสถานที่มีการรักษาความปลอดภัย

-          ในกรณีที่มีโปรแกรมเมอร์ลาออกหรือถูกให้ออก ต้องควบคุมและติดตามโปรแกรมเมอร์ทันที (Escort)

การเข้ารหัส

วิธีการเข้ารหัสแบบสลับตำแหน่ง

            ทำการดัดแปลงคำ  โดยอาจจะใชวิธีทางคณิตศาสตร์เข้ามาใช้ในการแปลงข้อความ  เพื่อให้ผู้อื่นไม่สามารถอ่านข้อความเราได้ เช่น ใช้วิธี +4 จากข้อความเดิม

การเข้ารหัส

·         สมมาตร คือ ใช้คีย์อันเดียวกัน ใส่คีย์ลับอะไรบางอย่างเข้าไปเพื่อแปลงข้อความที่ส่งไปเพื่อให้อ่านไม่ได้  พอไปถึงเครื่องที่รับ เครื่องก็จะทำการแปลงข้อความ  โดยใช้คีย์ในการรับที่เหมือนกัน  เพื่อให้สามารถอ่านข้อมูลได้

·         ไม่สมมาตร  คือการใช้คีย์2 ตัว ตัวแรกเป็นคีย์สาธารณะ และคีย์ส่วนตัวของลูกค้า

การรักษาความปลอดภัยแบบอื่น

·         Secure sockets layer(SSL) เป็นการสร้างแนตเวิร์กชั่วคราวระหว่างคนรับกับคนส่ง โดยเว็บเพจที่ใช้ระบบนี้จะขึ้นต้นด้วน https แทนที่จะเป็น  http

·         Virtual private network(VPN)   จะมีการเข้า user name และ password

·          การควบคุมความล้มเหลวของระบบสารสนเทศ

o   การป้องกันแรงดันไฟฟ้าใช้ Surge protector หรือ Surge suppressor

o   ไฟฟ้าดับใช้ Uninterruptible power supply (UPS)

o   กรณีระบบสารสนเทศถูกทำลายจนไม่สามารถให้บริการได้ การควบคุมทำโดยการจัดทำแผนการทำให้กลับคืนสู่สภาพเดิมจากภัยพิบัติ (Disaster Recovery – DR) หรือ Business continuity planning (BCP) เมี่อไทยพึ่งมีความตื่นตัวในเรื่องระบบนี้ เนื่องจาก เมื่อเมษาที่เกิดจลาจลขึ้น  หน่วยงานจึงต้องมีหน่วยงานสำรองเพื่อรองรับระบบการทำงานทำให้สามารถดำเนินงานต่อไปได้

·         การสำรองข้อมูล  (Data backup)  อาจจะ backup ไว้ใน usbหรือบนอินเทอร์เนต

·         ระบบ wireless Lan ต้องมีระบบความปลอดภัย โดยการความคุมผู้เข้าใช้งาน  โดยการต้องเข้ารหัสในการใช้

การดูแลระบบสารสนเทศ นั้นผู้บริหารระดับสูงต้องให้การสนับสนุน  ให้พนักงานมีการไปฝึกอบรมเพื่อให้สามารถใช้ระบบได้

ส่วนใหญคนที่ทำการทุจริตมักจะเป็นพนักงานระดับสูง  เนื่องจากสามารถเข้าถึงข้อมูลได้มากกว่า

วิธีที่ทำให้เกิดความเสียหายน้อยที่สุดคือ  ทำให้พนักงานรู้สึกรักองค์กร

จรรยาบรรณคอมพิวเตอร์ คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศซึ่งประกอบด้วย

-          การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต

-          การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์)

-          ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ เป็นต้น

-          สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights)

-          หลักปฏิบัติ (Code of conduct)

-          ความเป็นส่วนตัวของสารสนเทศ (Information privacy)

-          คำถามอย่างกว้างขวางเกี่ยวกับลิขสิทธิ์ดังนี้

-          บุคคลสามารถ Download ส่วนประกอบของเว็บไซด์ ต่อจากนั้นปรับปรุง แล้วนำไปแสดงบนเว็บในนามของตนเองได้หรือไม่

-          เจ้าหน้าที่ของมหาวิทยาลัยสามารถพิมพ์เอกสารบนเว็บและกระจายให้นักศึกษาเพื่อใช้สำหรับการเรียนการสอนได้หรือไม่

-          บุคคลสามารถสแกนรูปภาพหรือหนังสือ ต่อจากนั้นนำไปลงในเว็บซึ่งอนุญาตให้คน Download ได้หรือไม่

-          บุคคลสามารถสามารถนำเพลงใส่ในเว็บได้หรือไม่

-          นักศึกษาสามารถนำข้อสอบหรือโครงการต่างๆ ที่อาจารย์กำหนดในชั้นเรียนเข้าไปใส่ในเว็บเพื่อให้นักศึกษาคนอื่นๆ ลอกโครงการนั้นแล้วส่งอาจารย์ว่าเป็นงานของตนได้หรือไม่

-          หลักปฏิบัติ คือสิ่งที่เขียนเป็นลายลักษณ์อักษรเพื่อเป็นแนวทางในการตัดสินใจว่าการกระทำใดที่เกี่ยวข้องกับคอมพิวเตอร์เป็นสิ่งที่มีหรือไม่มีจรรยาบรรณ หลักปฏิบัติมีดังนี้

-          ต้องไม่ใช้คอมพิวเตอร์ในการทำอันตรายบุคคลอื่น

-          ต้องไม่รบกวนการทำงานทางคอมพิวเตอร์ของคนอื่น

-          ต้องไม่เข้าไปยุ่งเกี่ยวกับแฟ้มข้อมูลของคนอื่น

-          ต้องไม่ใช้คอมพิวเตอร์ในการขโมย

-          ต้องไม่ใช้คอมพิวเตอร์เพื่อให้หลักฐานที่เป็นเท็จ

-          ต้องไม่สำเนาหรือใช้ซอฟต์แวร์ที่ละเมิดลิขสิทธิ์

-          ต้องไม่ใช้ทรัพยากรทางคอมพิวเตอร์ของผู้อื่นโดยไม่ได้รับอนุญาต

-          ต้องไม่ใช้ทรัพสินทางปัญญาของผู้อื่นเหมือนเป็นของตน

-          ต้องคำนึงถึงผลกระทบทางสังคมของโปรแกรมที่ออกแบบ

-          ต้องใช้คอมพิวเตอร์ในทางที่แสดงให้เห็นถึงความเคารพในมนุษย์แต่ละคน

-          ความเป็นส่วนตัวของสารสนเทศ  มีหลักปฏิบัติดังนี้

-          ให้เฉพาะข้อมูลที่จำเป็นเท่านั้นในการกรอกข้อมูลใบลงทะเบียน ใบรับประกัน และอื่นๆ

-          ไม่พิมพ์เบอร์โทรศัพท์ เลขที่บัตรประชาชน บนเช็ค ล่วงหน้า (Preprint)

-          แจ้งองค์การโทรศัพท์ไม่ให้พิมพ์หมายเลขโทรศัพท์ของท่านลงใบสมุดโทรศัพท์

-          ถ้าหมายเลขโทรศัพท์ของท่านอยู่ในพื้นที่ๆ สามารถแสดงหมายเลขโทรศัพท์ที่เครื่องของผู้รับได้ ให้ท่านระงับการแสดงหมายเลขโทรศัพท์ที่เครื่องของผู้รับด้วย

-          ไม่ควรเขียนหมายเลขโทรศัพท์ของท่านบนในบิลของบัตรเครดิต

-          ซื้อสินค้าด้วยเงินสด แทนที่จะเป็นบัตรเครดิต

-          ถ้าร้านค้าสอบถามข้อมูลส่วนตัวของท่าน ให้หาเหตุผลว่าทำไมจึงถามคำถามนั้นก่อนที่จะตัดสินใจว่าจะให้หรือไม่ให้ข้อมูล

-          กรอกข้อมูลส่วนตัวของท่านบนเว็บเฉพาะส่วนที่ต้องกรอกเท่านั้น

-          ติดตั้งตัวจัดการ Cookie เพื่อกลั่นกรอง Cookie

-          ลบ History file ภายหลังจากเลิกใช้โปรแกรมเบาวร์เซอร์

-          ยกเลิกการเปิดบริการแบ่งปันข้อมูล (File sharing) หรือเครื่องพิมพ์ก่อนการเชื่อมต่ออินเทอร์เน็ต

-          ติดตั้งไฟร์วอลล์ส่วนบุคคล

-          ติดตั้งโปรแกรม Anti-spam

-          ไม่ตอบ e-mail ที่เป็น spam ไม่ว่าจะด้วยเหตุผลใดก็ตาม