บทที่6-ความปลอดภัยของฐานข้อมูล-Anyfib (1)

ความปลอดภยั ของฐานข้อมลู
(Database Security)

เสนอ
ครปู รียา ปันธิยะ

จดั ทำโดย
นางสาวกมลวรรณ จนั ทร์คล้าย

เลขที่ 18 สบล.63.1
สาขาวชิ าการเลขานกุ าร

รายงานนี้ เปน็ ส่วนหนึง่ ของวชิ า 30203-2004 การจัดการเอกสารอเิ ล็กทรอนกิ ส์
ภาคเรียนท่ี 1 ปีการศึกษา 2564
วิทยาลยั อาชวี ศึกษาลำปาง

คำนำ

รายงาน เรื่อง ความปลอดภัยของฐานข้อมูล (Database Security) เป็นส่วนหนึ่งของ
วิชา 30203-2004 การจัดการเอกสารอิเล็กทรอนิกส์ ผู้จัดทำได้รับมอบหมายจากครูปรียา ปันธิยะ ให้
ศึกษาค้นคว้าเกี่ยวกับเรื่องดังกลา่ ว ซึ่งในเนื้อหารายงานประกอบดว้ ย บทนำ, ความหมายความปลอดภัย
ของฐานข้อมูล, ความปลอดภัยหมายถึง, ความปลอดภัยสารสนเทศ หมายถึง, ความปลอดภัยของระบบ
สารสนเทศ, คำศัพท์ในเรื่องความปลอดภัยของข้อมูล, ประวัติการรักษาความปลอดภัยของข้อมูล,
วัตถุประสงค์การรักษาความปลอดภัย, ข้อควรคำนึงในการรักษาความปลอดภัยฐานข้อมูล, การควบคุม
ความปลอดภยั ฐานขอ้ มูล, การควบคมุ ความปลอดภยั ของฐานขอ้ มูลด้วยวิว (VIEW)

ซึ่งผู้จัดทำ หวังเป็นอย่างยิ่งว่าคงจะเป็นประโยชน์ต่อผู้ที่เข้ามาศึกษาค้นคว้า ผิดพลาด
ประการใดผู้จัดทำขอรบั ไว้เพยี งผูเ้ ดียว และขอขอบคณุ บิดา มารดา ครู อาจารย์ ไว้ ณ ทน่ี ้ีด้วย

กมลวรรณ จนั ทรค์ ลา้ ย
สาขาวิชาการเลขานกุ าร

สารบัญ วทิ ยาลัยอาชีวศกึ ษาลำปาง

คำนำ หน้า
สารบัญ ก
ความปลอดภยั ของฐานข้อมูล (Database Security) ข
1
บทนำ 1
ความหมายความปลอดภัยของฐานข้อมูล 1
ความปลอดภัยหมายถึง 1
ความปลอดภัยสารสนเทศ หมายถงึ 1
ความปลอดภัยของระบบสารสนเทศ 2
คำศัพท์ในเร่ืองความปลอดภัยของข้อมลู 3
ประวัตกิ ารรักษาความปลอดภยั ของข้อมูล 4
วตั ถปุ ระสงคก์ ารรักษาความปลอดภัย 5
ขอ้ ควรคำนงึ ในการรกั ษาความปลอดภัยฐานข้อมูล 6
การควบคมุ ความปลอดภัยฐานข้อมลู 7
การควบคุมความปลอดภยั ของฐานขอ้ มลู ด้วยวิว (VIEW) 10
อา้ งอิง 12

ความปลอดภยั ของฐานขอ้ มลู (Database Security)

ภาพที่ 1 ความปลอดภัยของขอ้ มูล

ความปลอดภัยของข้อมูลหรือฐานข้อมูล เป็นเรื่องที่เกี่ยวข้องกับการป้องกันไม่ให้ข้อมูล
ถูกทำลาย และกระทำการทุจริตการรักษาความปลอดภยั ของข้อมูลขา่ วสาร หรอื ความลับมีมาตง้ั แต่มนุษย์
เริ่มมีการตดิ ต่อสื่อสารกนั โดยหวงั ว่าส่ิงทีต่ นเองต้องการเปดิ เผยไดถ้ กู จำกัดอยู่ในขอบเขตทีต่ นเองต้องการ
สิ่งสำคัญที่ต้องการปกป้องคือสาระของข่าวสาร (Content) ต่อมาการสื่อสารของมนุษย์ได้พัฒนาไปตาม
เทคโนโลยีการรักษาความปลอดภัยของข้อมูลข่าวสารจงึ ขยายวงกวา้ งออกไปและครอบคลุมไปถึงส่ือกลาง
ที่ใช้ เช่น การใชห้ มกึ เขียนชนดิ พิเศษท่ีตอ้ งใชเ้ ทคนคิ พิเศษในการอา่ นการใช้รหัส การถอดรหสั ตลอดจนถึง
การใช้ระบบตรวจสอบ และการกำหนดสิทธขิ องผู้ใช้ในระบบคอมพิวเตอร์ และระบบอินเตอร์เนต็ ซึ่งเป็น
สื่อกลางในการสื่อสารของมนุษย์ ในปัจจุบันข้อมูลที่ดี หรือสารสนเทศที่ดีเป็นสิ่งที่มีค่ามากที่สุด สิ่งหนึ่ง
ขององค์กรสามารถนำไปใช้ให้เกิดประโยชน์ต่อกิจการขององค์กรและในมุ มกลับกันอาจก่อให้เกิดโทษต่อ
องค์กรไดถ้ า้ ข้อมลู ตกไปอยูใ่ นมือผไู้ ม่ประสงค์ดี ดังนน้ั ความตระหนักในเรื่องการรกั ษาความมน่ั คงปลอดภัย
ข้อมูล หรือสารสนเทศถือเป็นสิ่งที่จะต้องให้ความสำคัญปัจจุบันเป็นยุคแห่งข้อมูลข่าวสาร หรือยุคที่ผู้
ครอบครองสารสนเทศมากกว่าย่อมเป็นผู้ได้เปรียบ ข้อมูลมีความเสี่ยงที่จะถูกโจมตีจากหลายทางไม่วา่ จะ
เป็นการคุกคามทางฮาร์ดแวร์ ซอฟต์แวร์ และข้อมูลและที่เกิดจากผู้ใช้ระบบเป็นสาเหตุทำให้ข้อมูลใน
ระบบเสียหายปัจจุบันจะพบว่าเทคโนโลยีความปลอดภัยข้อมูลสารสนเทศใหม่ ๆ ได้ทยอยออกสู่ตลาด
อย่างต่อเนื่อง เพือ่ ตอบรบั กบั ภัยอินเทอร์เนต็ และเทคนิคการโจมตีของแฮกเกอร์ (Hacker) แบบใหม่ทำให้
ผู้บริหารระบบสารสนเทศขององค์กรควรที่จะศึกษา วิเคราะห์ ทำความเข้าใจและเลือกใช้เทคโนโลยีที่มี
ความเหมาะสมกับระบบสารสนเทศ เพื่อป้องกันระบบให้มีความมั่นคงปลอดภัยจากอาชญากร
คอมพิวเตอร์แบบต่าง ๆ ทมี่ แี นวโนม้ จะเพิม่ ขึ้นทุกปคี วามปลอดภัยของฐานข้อมลู

ความหมายความปลอดภยั ของฐานขอ้ มลู

ภาพที่ 2 ความหมายความปลอดภัยของฐานขอ้ มลู

เป็นที่ยอมรับกันว่าสารสนเทศเป็นข้อมูลที่ผ่านการกลั่นกรองมาแล้วอย่างเหมาะสม
สามารถนำมาใช้ประโยชน์ได้อย่างมากมาย หน่วยงานที่มีข้อมูลปริมาณมากมักจะพบความยุ่งยากในการ
จัดเก็บข้อมูล และการนำข้อมูลที่ต้องการออกมาใช้ให้ทันต่อเหตุการณ์ จึงมีการนำเอาคอมพิวเตอร์มาใช้
เป็นเครื่องมือช่วยในการจัดเก็บและประมวลผลข้อมูล ทำให้ระบบการจัดเก็บข้อมูลเป็นไปได้สะดวก
ฐานข้อมูลเป็นการจัดเก็บข้อมูลอย่างเป็นระบบผู้ใช้สามารถใช้ข้อมูลที่เกี่ยวข้องในระบบงานต่าง ๆ
ร่วมกันได้โดยที่ข้อมูลในระบบมีความถูกต้อง เชื่อถือได้ ไม่มีความซ้ำซ้อน ไม่เกิดการขัดแย้งและเป็น
มาตรฐานเดียวกัน โปรแกรมแต่ละโปรแกรมจะต้องสรา้ งวิธีจัดการและควบคุมข้อมูลข้ึนเอง ฐานข้อมูลจงึ
มีบทบาทสำคัญอยา่ งมากการออกแบบและพัฒนาระบบฐานข้อมูลจะต้องคำนงึ ถงึ การควบคุม การจัดการ
ความถกู ต้องประสิทธิภาพในการเรียกใชข้ ้อมลู และจะต้องมกี ารกำหนดระบบความปลอดภัยของข้อมูลข้ึน

ความปลอดภัย (Security) หมายถึง สถานะที่มีความปลอดภัย ไม่มีอันตราย และได้รับ
การป้องกันจากภัยอันตรายทั้งที่เกิดขึ้นโดยตั้งใจหรือบังเอิญ การปกป้องที่ทำให้เกิดความมั่นใจว่าการ
กระทำหรืออิทธิพลทไ่ี มเ่ ปน็ มติ รไมส่ ามารถจะมผี ลกระทบได้

ความปลอดภัยสารสนเทศ (Information Security) หมายถึง การรักษาความปลอดภัย
โดยการใชน้ โยบาย หรือระเบยี บปฏบิ ัติ

ความปลอดภัยของฐานข้อมูล (Database Security) หมายถึงการดูแลจัดการรักษา
ข้อมูล ให้ถูกต้องสมบูรณ์ พร้อมสำหรับผู้ท่ีมีสิทธใิ นการใช้ข้อมูลสามารถใช้งานได้อยูเ่ สมอ ป้องกันผู้ไม่มี
สิทธิเข้าใช้หรือแก้ไขข้อมูล อันจะก่อให้เกิดผลเสียกับระบบฐานข้อมูลการป้องกันฐานข้อมูลไม่ให้บุคคลที่
ไม่มีสิทธิ์เข้าถึงข้อมูลมาใช้งานที่ไม่พึงประสงค์ เช่น การปรับปรุงข้อมูล (Unauthorised Modification
of Data) หรือการทำลายขอ้ มูล (Unauthorised Destruction of Data) และการขโมยขอ้ มูลเปน็ ตน้

ความปลอดภัยของระบบสารสนเทศ (Information System Security) หมายถึงการ
ป้องกันข้อมูลและสารสนเทศรวมถึงองค์ประกอบอื่น ๆ ที่เกี่ยวข้อง เช่น ระบบและฮาร์ดแวร์ที่ใช้ในการ
จัดเก็บ และถ่ายโอนข้อมูลสารสนเทศให้รอดพ้นจากอันตรายอยู่ในสถานะที่มีความปลอดภัย ความ
เสียหายกับระบบสารสนเทศแบ่งออกได้หลายประเภทตามแนวคิดในการรักษาความปลอดภัยของระบบ

สารสนเทศ เช่น ความเสียหายจากการกระทำโดยเจตนาของมนุษย์ เช่น การก่ออาชญากรรมทาง
คอมพิวเตอร์ การขโมยข้อมูล ความเสียหายเนื่องจากภัยธรรมชาติ เช่น ไฟไหม้ฟ้าผ่าพายุความเสียหาย
จากการขาดระบบป้องกันทางกายภาพ (Physical Security) เช่นขาดระบบการป้องกันในการวางระบบ
คอมพวิ เตอร์ความเสียหาย เนอื่ งจากความบกพร่อง หรือความไม่เหมาะสมของอุปกรณ์ตา่ ง ๆ ท่ีเกี่ยวข้อง
กับเครื่องคอมพิวเตอร์ ความเสียหายเนื่องจากความล้มเหลวการทำงานของอุปกรณ์ในระบบสารสนเทศ
เช่น ขาดการบำรุงรักษาความเสียหาย เนอ่ื งจากความล้มเหลวของระบบเครือขา่ ย หรอื ระบบสอ่ื สารข้อมูล
ความเสียหายเนื่องจากความผิดพลาดจากการทำงานภายในระบบสารสนเทศเอง เช่นจากโปรแกรม
ซอฟต์แวร์ ความปลอดภัยของฐานขอ้ มูล เปน็ สง่ิ สำคญั ทสี่ ดุ สงิ่ หนึง่ ทท่ี ำให้ผูใ้ ช้สามารถใชข้ ้อมูลด้วยความ
มั่นใจการควบคุมความปลอดภัยของฐานข้อมูลให้มีความถูกต้องและปลอดภัย และพร้อมที่จะใช้งานจึง
เปน็ สิ่งจำเป็นสำหรับผูใ้ ชง้ านฐานข้อมูล

คำศัพทใ์ นเรื่องของความปลอดภยั ของข้อมลู

ภาพที่ 3 คำศัพทใ์ นเรอ่ื งของความปลอดภัยของข้อมูล

Hacker หมายถึง ผู้ที่มีความชำนาญในการใช้คอมพิวเตอร์ แอบเข้าไปใช้งานระบบ
คอมพวิ เตอร์ของหน่วยงานอนื่ โดยไม่ได้รับอนุญาต เพราะรู้ว่าระบบมีจุดโหว่ตรงไหนและวิธีการท่ีจะเข้าถึง
จุดโหว่นั้นได้ไม่มีเจตนาที่จะทำลายระบบข้อมูล แต่อาจจะเพื่อความท้าทายความมีชื่อเสียง หรือต้องการ
ทดสอบความรูค้ วามสามารถของตนเองอย่างไรกต็ ามก็ถือวา่ ขาดจริยธรรมด้านคอมพิวเตอร์

Hacking หมายถึง การพยายามที่จะใช้อุบายผ่านระบบความปลอดภัยเพื่อเข้าสู่ระบบ
ฐานข้อมูลและเครือข่ายเป็นการกระทำของ hacker โดยมีเจตนาที่จะลอกเลียนหรือเปลี่ยนแปลงข้อมูล
ต้นฉบบั การ hacking จะไม่สร้างความเสยี หายกบั ข้อมลู ตัวหลกั

Cracker หมายถึง ผู้ที่ใช้ทักษะด้านคอมพิวเตอร์สร้างโปรแกรมเพื่อเจาะระบบข้อมูลบุก
รกุ ทำลายระบบข้อมลู หรือก่อใหเ้ กิดความเสยี หายรวมทั้งการลกั ลอบขโมยข้อมูลของบุคคลอน่ื

Cracking หมายถึง การเจาะระบบข้อมูล แต่มีเจตนาที่จะสร้างความเสียหายแก่ข้อมูล
ตน้ ฉบับโดยตรง

Ethical hacker หมายถงึ ผู้ท่มี คี วามเชย่ี วชาญด้านความปลอดภยั
Spam mail คือการส่งข้อความที่ไม่เป็นที่ต้องการให้กับคนจำนวนมาก ๆ จากแหล่งท่ี
ผรู้ บั ไม่เคยรู้จกั หรือติดต่อมาก่อน สว่ นมากมักอยู่ในรูปของ E-mail นอกจากจะทำให้ผู้รับเสียเวลาในการ
ลบข้อความเหลา่ น้ันแล้วยงั ทำใหล้ ดประสทิ ธิภาพการขนสง่ ขอ้ มลู บนอนิ เทอร์เนต็ ดว้ ย
Vulnerability หมายถึง ชอ่ งโหวห่ รือจุดออ่ นจุดบกพรอ่ งในระบบ
Attack หมายถึง การโจมตีหรือความพยายามที่จะข้ามผ่านระบบการรักษาความ
ปลอดภัยของเครื่องคอมพิวเตอร์ซึ่งอาจจะทำให้เกิดการเปลี่ยนแปลงข้อมูล หรืออาจจะทำให้ระบบ หรือ
เครื่องคอมพิวเตอร์นั้นไม่สามารถให้บริการได้ การโจมตีจะสำเร็จหรือไม่ขึ้นอยู่กับช่องโหว่ของระบบ
คอมพิวเตอรแ์ ละประสทิ ธผิ ลของมาตรการรกั ษาความปลอดภยั ของระบบนัน้ ๆ

ประวัติการรักษาความปลอดภยั ของข้อมูล

ภาพท่ี 4 ประวตั ิการรักษาความปลอดภยั ของขอ้ มลู

การรักษาความปลอดภัยด้านกายภาพ (Physical Security) ในอดีตข้อมูลที่มี
ความสำคญั จะมีการบันทึกอยู่บนวัตถุที่จับต้องได้ เชน่ แผน่ หินแผน่ หนงั และกระดาษ

การรกั ษาความปลอดภยั ดา้ นการสื่อสาร (Communication Security) ในยุคศตวรรษท่ี
2 หรอื ยุคจเู ลยี ส์ซซี าส์ (Julius Caesar) มีการคิดคน้ วธิ กี ารซ่อน

ข้อมูลโดยการเข้ารหัสข้อมูล (Encryption) ถ้ามีการขโมยข้อมูลผู้อ่านจะไมเ่ ข้าใจถ้าไม่รู้
วิธีถอดรหสั

การรักษาความปลอดภัยคอมพิวเตอร์ (Computer Security) ในช่วงศตวรรษ 1970
ข้อมูลส่วนใหญ่ถูกจัดเก็บเอาไว้ในคอมพิวเตอร์ด้วยระบบดิจิตอลมีการแบ่งระดับความปลอดภัยเป็น 4
ระดับ คือ ไม่ลับ ลับ ลับมาก และลับที่สุด ผู้ที่สามารถเข้าถึงข้อมูลในระดับใดระดับหนึ่ง จะต้องมีสิทธิ์
เท่ากับ หรอื สูงกว่าชั้นความลบั ของขอ้ มูลนั้น ๆ

การรักษาความปลอดภัยเครือข่าย (Network Security) ในระบบเครือข่ายจะมีผู้ร่วมใช้
เป็นจำนวนมากอาจจะบุคคลที่มีเจตนาที่ไม่ดีเช่นแฮกเกอร์ (Hackers) และแครกเกอร์ (Cracker) ท่ี
สามารถเจาะรหัสระบบรักษาความปลอดภัยของคุณส่งเครื่องคอมพิวเตอร์ได้ หรือไวรัสคอมพิวเตอร์ซึ่ง

เป็นโปรแกรมคอมพิวเตอร์ทเ่ี ขียนข้ึนมาเพ่ือทีจ่ ะก่อกวนหรือทำลายข้อมลู ในระบบรกั ษาความปลอดภัย ใน
ระบบเครอื ขา่ ยเป็นตน้

เมื่อคอมพิวเตอร์หลาย ๆ เครื่องเชื่อมต่อการทำงานกันเข้าเป็นระบบเครือข่ายการ
ติดต่อสื่อสารระหว่างคอมพิวเตอร์เปลี่ยนจากระบบ WAN (Wide Area Network) มาเป็นระบบ LAN
(Local Area Network) อาจก่อให้เกิดปัญหาใหม่ขึ้น เช่น คอมพิวเตอร์หลาย ๆ เครื่องต้องการเชื่อมต่อ
เข้าใช้งานกับสื่อบันทึกข้อมูลเดียวกันในเวลาพร้อม ๆ กันอาจทำให้ได้รับข้อมูลผิดพลาดได้ก่อให้เกิด
แนวคดิ เกี่ยวกบั ระบบรกั ษาความปลอดภัยบนเครือขา่ ยคอมพิวเตอร์เพ่ือป้องกนั บุคคลทีม่ เี จตนาไม่ดีเข้ามา
ทำลายข้อมูลภายในคอมพิวเตอร์ด้วยรูปแบบตา่ ง ๆ เชน่ การส่งไวรสั เขา้ มารบกวนระบบการละเมิดข้อมูล
ส่วนบคุ คลของผู้อนื่ หรือความพยายามทจี่ ะใช้เลห่ ์กลตา่ ง ๆ หรอื ใช้รหัสของผใู้ ช้งานผ่านระบบรักษาความ
ปลอดภยั เขา้ มาสู่ระบบฐานข้อมูลและเครอื ข่ายเปน็ ต้น

วตั ถปุ ระสงค์ของการรักษาความปลอดภยั ของระบบฐานขอ้ มูล

ภาพท่ี 5 ระบบฐานข้อมูล

เพ่ือลดปจั จัยเสี่ยงทเี่ กย่ี วกับความเสียหายกับฐานข้อมลู โดยสามารถแยกวตั ถุประสงค์ของ
การรกั ษาความปลอดภยั ในระบบฐานข้อมลู ได้ 4 ประการ คือ

1. ความลับของข้อมูล (Confidentiality) หมายถึง ข้อมูลถูกเก็บเป็นความลับ(Data
Confidentiality) การปกปอ้ งข้อมลู ไม่ให้ผูไ้ ม่มสี ิทธใิ นการใช้ข้อมลู เข้ามาใช้ข้อมูลได้ เชน่ กำหนดสิทธิให้
ผู้ใช้งานแต่ละคนสามารถใช้งานได้ตามสิทธิที่กำหนดเท่านั้น มีการรักษาความปลอดภัยโดยใช้บัตรผ่านมี
ความปลอดภัยในการใชง้ านในระบบเครอื ข่าย และมีระบบสำรองกู้คืนข้อมลู ท่ีดสี ามารถใช้งานไดส้ ะดวก

2. ความถูกตอ้ งสมบรู ณ์ (Integrity) หมายถงึ ข้อมลู มคี วามถกู ตอ้ ง น่าเชอื่ ถือ การรักษา
ข้อมูลให้มีความถูกต้องตามเงื่อนไขกฎเกณฑ์ที่กำหนดไว้ตอนสร้างฐานข้อมูลรวมทั้งความถูกต้องของ
ขอ้ มลู ในการประมวลผลขอ้ มูลพร้อมกันด้วย

3. ความพร้อมใช้ (Availability) หมายถึง ระบบมคี วามเสถียร (Systern Availability)
และทำงานไมผ่ ดิ พลาด สามารถทำงานไดต้ ามปกตเิ ต็มประสิทธภิ าพตามจุดม่งุ หมายการใชง้ าน

4. ความเสี่ยง (Risk Assessment) หมายถึง การรักษาความปลอดภัยทีด่ แี ละเหมาะสม
จะช่วยลดความเสี่ยงในค่าใช้จ่ายที่จะเกิดขึ้นจากการเสียหายของข้อมูล สาเหตุที่ทำให้เกิดความเสียหาย
ต่อข้อมูลทำให้ข้อมูลไม่ปลอดภัยมีหลายสาเหตุด้วยกัน เช่น บุคคลฮาร์ดแวร์ ซอฟต์แวร์ และไวรัส
คอมพวิ เตอรแ์ ละภัยธรรมชาติเปน็ ต้น

ข้อควรคำนึงในการรกั ษาความปลอดภยั ฐานขอ้ มลู

ภาพท่ี 6 ความปลอดภัยฐานขอ้ มูล

ข้อมูลที่นำมาจัดเก็บไว้ในระบบฐานข้อมูลนั้นอาจมีระดับของความสำคัญแตกต่างกันไป
กลุ่มข้อมูลบางกลุ่มอาจเป็นความลับสุดยอดห้ามเผยแพร่เด็ดขาด แต่ข้อมูลบางกลุ่มก็เป็นความรู้ทั่วไป
สามารถเปดิ เผยได้ ดงั น้ันจึงมีการพัฒนาเทคนิคทน่ี ำมาใช้ในการให้ความความปลอดภัยแก่ข้อมูลในระบบ
ฐาน ข้อมูลที่มีผู้ใช้หลาย ๆ คนระบบจดั การฐานขอ้ มูลต้องทำหน้าที่ดแู ล ว่ากลุ่มผูใ้ ช้กลุ่มใดได้รับอนุญาต
ให้เข้าใช้ข้อมูลส่วนใดได้บา้ งการรักษาความปลอดภัยฐานข้อมูลไม่ใชเ่ พียงแค่การติดต้ังระบบรักษาความ
ปลอดภยั เท่านน้ั แต่จะรวมถึงการวเิ คราะห์ และบริหารความเส่ียงท่ีประกอบด้วยภัยคุกคาม (Threat) ท้ัง
จากคนภายในองค์กร และคนภายนอกองค์กร และช่องโหว่หรอื จุดอ่อน (Vulnerability) การกำหนดการ
บังคับใช้นโยบาย (Policy) และการเฝ้าระวังเหตุการณ์อยู่ตลอดเวลา (Monitoring) นั่นคือต้องมี
มาตรการ หรือการควบคุมความปลอดภัยที่มีประสิทธิภาพประกอบด้วยนโยบายวิธีปฏิบัติ และ
กระบวนการขององคก์ รในการรกั ษาข้อมูลให้มีความถูกต้องและน่าเช่อื ถือ

นโยบายขององค์กรมีผลสำคัญยิ่งต่อการรักษาความปลอดภัยของข้อมูลนโยบายของ
องค์กรจะต้องมุ่งเน้นที่วัตถุประสงค์ และการทำงานที่ดีองค์กรจำเป็นต้องมีการกำหนดนโยบายด้านความ
ปลอดภยั ให้ชัดเจนโดยมีกฎระเบยี บ ขอ้ บังคบั และหนา้ ทค่ี วามรบั ผดิ ชอบ และวธิ ปี ฏิบัตใิ ห้พนกั งานใช้เป็น
หลักในการทำงานรวมทั้งการติดตามตรวจสอบการปฏิบัติตามกฎระเบียบที่วางไว้อย่างเคร่งครัด และ
สม่ำเสมอ เชน่ กำหนดใหแ้ นน่ อนวา่ ระบบรกั ษาความปลอดภัยใครเป็นผู้ปฏิบัติใช้กบั ส่วนโดบา้ ง ในระบบมี
วธิ กี ารปฏบิ ัตอิ ย่างไร ใครสามารถเขา้ ถึงข้อมลู สว่ นใดได้บา้ ง ใครมีสิทธทิ จี่ ะเปลย่ี นแปลงแก้ไขข้อมลู นั้น

สถานภาพของระบบการรักษาความปลอดภัย จะต้องมีการตรวจสอบสถานภาพของ
ระบบการรักษาความปลอดภัย ในปัจจุบันอยู่ในระดับใด และต้องการปรับปรุงหรือเปลี่ยนแปลงอย่างไร
บา้ งความต้องการในการใช้ข้อมลู ที่ปลอดภัย และคำแนะนำจากส่วนต่าง ๆ ท่ีใช้งานภายในระบบการแจก

งานไปสู่ผู้ที่รับผิดชอบ มีตารางเวลาที่กำหนดว่าส่วนใดของระบบจะต้องปรับปรุงอะไรบ้าง ณ เวลาใดมี
การจัดทำแผนฉุกเฉินเพื่อให้องค์กรสามารถดำเนินการต่อไปได้เมื่อมีวิกฤตการณ์เกิดขึ้นบุคลากรที่
เก่ียวขอ้ งควรจะค้นุ เคยกับแผนเหล่านีแ้ ละมีการทดสอบให้มน่ั ใจวา่ สามารถใช้งานได้

การควบคุมความปลอดภยั ฐานขอ้ มลู

ภาพท่ี 7 การควบคุมความปลอดภยั ฐานข้อมลู

ปจั จุบนั ภัยคกุ คามฐานข้อมูลมาจากหลายทาง และยงั ส่งผลต่อระบบคอมพิวเตอร์ร้ายแรง
ขึ้นการควบคุมความปลอดภัยจึงถูกนำมาพิจารณา ตั้งแต่ช่วงแรกของการพัฒนาระบบ เช่น การควบคุม
การเข้าถึง (Access Control) การยืนยันตัวบุคคล (Authentication) และการให้อำนาจหน้าที่
(Authorization) เพื่อระบุตัวบุคคลที่ติดต่อหรอื ทำธุรกรรมร่วมด้วยการตรวจสอบ (Auditing) การสร้าง
ข้อมูลให้เป็นความลับ หรือการเข้ารหัสข้อมูล (Encryption) การควบคุมความถูกต้องสมบูรณ์
(Integrity Controls) การสำรองข้อมูล (Backups) และความปลอดภัยแอพลิเคชัน (Application
Security) เป็นตน้

การควบคุมการเข้าถึง (Access Control) ข้อมูลสิ่งสำคัญในการสร้างระบบรักษาความ
ปลอดภัยในระบบฐานข้อมูลคือการควบคุมการเข้าถึงข้อมูล เป็นการกำหนดสิทธิ์ในการเข้าถึงฐานข้อมูล
การกำหนดการใช้ข้อมูลโดยกำหนดสิทธ์ิ หรือการยืนยันตัวบุคคลในการเข้าถึงฐานข้อมูลเฉพาะผู้ท่ี
เกี่ยวข้อง หรือทำการเข้ารหัสฐานข้อมูลโดยใช้อัลกอริธึมที่มีความปลอดภัยสูงกำหนดว่าใครบ้างที่
สามารถเข้าไปใช้ได้ ผู้ที่จะเข้ามาใช้ระบบฐานข้อมูลได้จะต้องได้รับการอนญุ าตก่อน และเมื่อเข้าระบบ
ได้แล้วผู้ใช้งานนั้นจะสามารถทำอะไรกับข้อมูลได้บ้างก็จะขึ้นอยู่กับการให้สิทธิ (Authorization) ของ
ผบู้ ริหารฐานข้อมลู

การยืนยันตัวบคุ คล และการให้อำนาจหน้าท่ีเป็นระบบรกั ษาความปลอดภัยขั้นแรกท่ีนิยม
ใช้กันมากที่สุดในปัจจุบัน เช่น การกำหนดรหัสผ่านและรหัสการเข้าใช้ (User Name and Password)
การเขา้ รหสั ข้อมูลเปน็ พนื้ ฐานสำคัญในการรักษาความปลอดภัยฐานข้อมูลผใู้ ช้จะมีรหัสเฉพาะของตนควร
กำหนดรหัสที่ยากต่อการถอดรหัสหลักการพื้นฐานควรกำหนดรหัสให้มีความยาวไม่น้อยกว่า 8 ตัวอักษร
และควรให้มกี ารผสมระหว่างตัวอักขระ กำหนดรหสั ความยาวอยา่ งนอ้ ย 8 ตัวอักษร และควรเพิ่มการผสม

ระหวา่ งตวั อกั ขระพเิ ศษและตัวเลข ไม่ควรนำเอาคำศพั ท์ในพจนานกุ รม หรือใชช้ อ่ื วันเดอื นปเี กดิ หมายเลข
โทรศัพท์ เพราะรหัสเหล่านี้ง่ายต่อการถอดรหัส หรือทำการเข้ารหัสข้อมูลโดยใช้อัลกอริธีมที่มีความ
ปลอดภัยสงู และควรเปลยี่ นรหัสเมื่อใช้ไปไดร้ ะยะเวลาหนึ่งรหสั ผ่าน

การใช้บัตรสมาร์ทการ์ด (Smart Card) ผู้ใช้จะต้องมีบัตรสำหรับเข้าระบบคอมพิวเตอร์
บัตรนี้จะคล้ายกับบัตร ATM (Automatic Teler Machine) และต้องป้อนรหัสส่วนตัว (Personnel
Identification Number หรือ PIN) หรือการใชบ้ ัตรกญุ แจ (Key Card) หรือบัตรผ่านทาง (Badge) ซ่ึง
เป็นวัตถุครอบครอง (Possessed Object) เพื่อผ่านทางเข้าไปใช้ระบบหรือข้อมูลที่เก็บในคอมพิวเตอร์
เป็นรูปแบบทน่ี ยิ มกนั มากในปัจจุบนั

การใช้การตรวจสอบจากร่างกายมนุษย์ (Biometric) เช่น ม่านตาหรือเรตินา (Retina)
เสยี งหรอื ลายน้วิ มือตรวจสอบผู้มีสิทธ์กิ ่อนเขา้ สูร่ ะบบการตรวจสอบในลักษณะน้ี จะต้องนำลกั ษณะของผู้ที่
ตอ้ งการเข้าไปใช้ฐานขอ้ มลู ไปเปรียบเทียบกับลักษณะข้อมูลของผู้ใช้ท่ีมอี ยูใ่ นเครอื่ งคอมพิวเตอร์ถ้าตรงกัน
จงึ จะมสี ิทธิเขา้ ไปใชข้ ้อมูลได้

การตรวจสอบ (Auditing) เป็นการตรวจสอบผู้ที่เข้ามาติดต่อกับระบบโดยใช้ซอฟต์แวร์
ในการตรวจสอบโดยบันทึกข้อมูลของการเข้ามาใช้งานทุกครั้งไว้ใน Log Fles โปรแกรมจะทำการบันทึก
ทั้ง วันที่เวลา บุคคลที่เข้ามาใช้งานสามารถทำการตรวจสอบข้อมูลย้อยหลังได้ ปัจจุบันมีซอฟท์แวร์ที่ใช้
เปน็ เครอ่ื งมอื รกั ษาความปลอดภัยในระบบท่ีกำลังเร่ิมใช้อยา่ งแพร่หลาย ไดแ้ ก่ ระบบไฟรว์ อลล์ (Firewal)
ซึ่งเป็นซอฟท์แวร์ทำหน้าที่เสมือนกับกำแพง กันไฟไม่ให้ลุกลามขยายตัวหากมีไฟไหม้เกิดขึ้น การติดตาม
ตรวจสอบ และสรุปการใช้งานฐานข้อมูลอยู่เสมออย่างน้อยเดือนละครั้ง โดยเน้นส่วนข้อมูลสำคัญ เช่น
ผ้ใู ช้เปน็ ใครหมายเลข IP เขา้ บ่อยแค่ไหน และทำอะไรไปบ้างทำสำเร็จหรือไม่ เพอื่ ตรวจสอบพฤติกรรม
ที่อาจจะผิดปกติไปจากเดิมไม่ว่าระบบเครือข่ายจะมีฮาร์ดแวร์หรือซอฟท์แวร์ที่ดีเพียงใดในการปกป้อง
ระบบเครือข่าย สิ่งที่สำคัญอย่างยิ่งก็คือผู้ใช้งานในระบบจะต้องคอยช่วยสอดส่องดูแลและป้องกันไม่ให้
ตนเองเปน็ ช่องทางผา่ นของแครกเกอร์ พึงระลึกไว้เสมอว่าไม่มีระบบเครือข่ายใดที่ปลอดภัยรอ้ ยเปอร์เซ็นต์
จากแครกเกอร์

การสร้างข้อมูลให้เป็นความลับ (Encryption) เป็นการนำเทคนิคทางด้านการเข้ารหัส
ข้อมลู (Encode) โดยอาศยั ขบวนการทางคณิตศาสตรซ์ ง่ึ มีหลายวธิ ดี ้วยกัน เชน่

1. การเขา้ รหสั (Coding) เป็นวธิ กี ารแปลงรปู แบบของขอ้ มูลให้อยูใ่ นรูปแบบทีบ่ ุคคลอ่ืน
ๆ ไม่สามารถรู้เนื้อหาของข้อมูลยกเว้นบุคคลที่เป็นผู้รับซึ่งจะต้องมีตัวถอดรหัสทำเป็นการแปลงข้อมูลที่
เข้ารหสั นนั้ กลบั มาเปน็ ข้อมูลต้นฉบบั ได้

2. การบีบอัด (Compression) วิธีนี้มักจะใช้กับข้อมูลประเภทตัวเลขหรอื ข้อมูลที่แปลง
เป็นเลขฐานสองแล้ววธิ ีนี้มักนำไปประยุกตใ์ ชก้ ับการบีบอดั ข้อมูลเพ่ือประหยัดพน้ื ท่ใี นการเก็บและเวลาใน
การสง่ ขอ้ มูลด้วย

3. การแทนค่า (Substitution) วิธีนี้มีหลักการทำงานคล้ายกับการเข้ารหัสโดยมีการ
กำหนดค่าทจี่ ะแทนไว้ล่วงหนา้ ส่วนการเข้ารหสั จะเป็นการกำหนดหลักการเขา้ รหัสไว้

4. การสลับตำแหน่งข้อมูล (Transposition) เป็นวิธีการสลับตำแหน่งของข้อมูลโดย
ไม่ไดเ้ ปลย่ี นขอ้ มลู แต่อยา่ งใด

5. การทำสำเนาข้อมูล (Data Copy Setting) กรณีที่ข้อมูลอยู่ในแผ่นบันทึกอาจทำ
สำเนาข้อมูลทั้งแผ่นโดยใช้คำสั่ง Copy แต่ถ้าข้อมูลอยู่ในจานแม่เหล็กชนิดแข็งหรือกรณีที่มีข้อมูลเป็น
จำนวนมากจะทำสำเนาโดยการใช้คำสั่ง Backup ลงบนแผ่นบันทึกหรือในเทปแม่เหล็กในการใช้งานจริง
ในการรักษาความปลอดภัยของฐานข้อมูลมักจะเป็นการนำเทคนิคต่าง ๆ หลายเทคนิคมาประยุกต์ใช้งาน
ร่วมกันเพ่อื ใหร้ ะบบความปลอดภยั นนั้ มน่ั คงและเชอ่ื ถือได้

6. การควบคุมความถูกต้องหรือความคงสภาพของข้อมูล (Integrity Controls)
หมายถึง การที่ระบบจัดการฐานข้อมูลจะจัดการกับข้อมูล (เมื่อมีการใช้คำสั่งเพิ่มลบหรือแก้ไขข้อมูล)
เพ่อื ให้แนใ่ จว่าขอ้ มูลในฐานข้อมูลมคี วามถูกต้องน่าเชื่อถือตามกฎเง่ือนไขและขอ้ ตกลง (Integrity Rules)
ที่ได้กำหนดไว้ตั้งแต่ต้น กฎดังกล่าวเป็นกฎระเบียบที่กำหนดขึ้นในขั้นตอนการออกแบบฐานข้อมูล เพ่ือ
รักษาให้ข้อมูล ในฐานข้อมูลมีความถกู ต้อง ส่วนการควบคุมความถูกต้องของขอ้ มูลจะเป็นขั้นตอนที่
เกดิ ขึ้นเมอ่ื นำฐานขอ้ มูล ไปใช้งานแล้ว

7. การสำรองข้อมูล (Backups) เป็นการคัดลอกแฟ้มข้อมูลเพือ่ ทำสำเนา เพื่อหลีกเลี่ยง
ความเสยี หายทอ่ี าจจะเกดิ ข้นึ ถ้าข้อมูลเกดิ การเสียหายหรือสญู หาย โดยสามารถนำขอ้ มูลที่สำรองไว้มาใช้
งานไดท้ นั ทกี ารสำรองข้อมูลทำได้หลายวธิ ี เช่น

7.1 ใช้โปรแกรม System Restore ซึ่งเป็นโปรแกรมหนึ่งในการสำรองและเรียกข้อมูล
กลบั คนื

7.2 สำรองข้อมูลด้วยอุปกรณ์ฮาดแวร์ เช่น ฮาร์ดดิสก์แบบติดต้ังภายนอกผ่านพอร์ต
USB เทปแบ็กอัพ (นิยมใช้กับการสำรองข้อมูลขนาดใหญ่) ชิปไดรฟ์ (Zip Drive) และเครื่องบันทึก DVD
/ CD

7.3 ใช้โปรแกรมสำรองข้อมูล (Backup Program) เช่นโปรแกรม Symantec
NetBackup, Norton Ghost, Microsoft DPM เปน็ ตน้

7.4 การสำรองข้อมูลบนระบบเครือข่ายแบบคลาวด์ (Cloud) เช่น Apple iCloud,
Google Drive, One Drive, Dropbox เป็นต้น

ระบบที่มีผูใ้ ช้เป็นจำนวนมากจำเป็นอย่างย่ิงที่จะตอ้ งมีการควบคุมการเรียกใช้ข้อมูล เพื่อ
ป้องกันผู้ที่ไม่มีอำนาจในการเรียกใช้ข้อมูล นำข้อมูลจากฐานข้อมูลมาใช้อันอาจจะเกิดผลเสียกับระบบ
ฐานข้อมูลได้ ระบบบริหารจัดการข้อมูลจะกำหนดสิทธิในการเข้าถึงข้อมูล และมอบอำนาจการเข้าถึง
ข้อมูลตลอดจนเรียกคืนอำนาจจากผู้ใช้ในระบบได้ด้วยการใช้คำสั่งภาษา SQL การยืนยันตัวบุคคล เป็น
ระบบรักษาความปลอดภัยขั้นแรกทีน่ ิยมใช้กนั มากที่สดุ ในปัจจุบนั เพ่อื ใหม้ ัน่ ใจได้ว่าผู้ที่จะเข้าระบบได้น้ัน
จะตอ้ งเป็นผู้ที่มีสิทธิจริง ๆ ผใู้ ช้งานแตล่ ะคนจะต้องป้อนรหัสผา่ นจึงจะมีสิทธิเข้าถึงข้อมูลได้การยืนยันตัว
บุคคลโดยคำสั่ง SQL เป็นการกำหนดรหัสผ่านให้แก่ผู้ใช้แต่ละคนในการจัดการข้อมูลในตารางหรือวิว
สามารถใชค้ ำสงั่ SQL ได้

การควบคุมความปลอดภัยของฐานขอ้ มลู ดว้ ยววิ (VIEW)

ภาพที่ 8 คำสั่ง SQL

การควบคุมความปลอดภัยให้กับข้อมูล สามารถสร้างโครงสร้างข้อมูลใหม่ที่ทำให้ผู้ใช้
เข้าถึงโครงสร้างเพียงบา้ งสว่ นของฐานข้อมูลที่กำหนดใหเ้ ท่านั้น เป็นการป้องกนั ไม่ให้ผู้ใช้ได้เข้าถึงขอ้ มลู
ทั้งหมดของฐานข้อมูล เรียกตารางข้อมูลประเภทนีว้ ่า“ ตารางเสมือน” หรือ“ วิว” บางครั้งการออกแบบ
ฐานข้อมูลในระดับกายภาพก็ต้องกำหนดตารางเป็นลักษณะวิว เพื่อเป็นการป้องกันรักษาความปลอดภัย
ของข้อมูล และการควบคุมการใช้งานในระบบฐานข้อมูล เพราะหากสร้างเป็นตารางข้อมลู จริงอาจจะเกิด
ความซ้ำซอ้ นของข้อมลู มาก ยากตอ่ การควบคุมการใช้งานการปรบั ปรุงแก้ไข ววิ ไม่วา่ จะเปน็ การเพิ่ม การ
ลบ การเปลี่ยนแปลงข้อมูลจะมีผลกระทบต่อค่าในตารางที่เป็นฐานข้อมูลของวิว วิวไม่สามารถปรับปรุง
แก้ไขได้ทุกวิวมีเพียงบางวิวเท่านั้นที่สามารถปรับปรุงแก้ไขได้ การสร้างวิวมีวัตถุประสงค์เพื่อให้ผู้ใช้
สามารถเรยี กใช้ขอ้ มูลจากววิ แทนการเรยี กจากรเี ลชันโดยตรงเพอ่ื ความปลอดภยั ของฐานข้อมลู โดยผู้ใช้จะ
ได้รับสิทธิในการเข้าถึงข้อมูลในแต่ละวิวที่แตกต่างกันช่วยให้เกิดความเป็นอิสระของข้อมูลและลดความ
ซำ้ ซ้อนของฐานขอ้ มูล
คุณสมบตั ิของวิว

1) คา่ ทปี่ รากฏบนวิวเปน็ ค่าจรงิ ในตารางข้อมลู
2) วิวเป็นตารางข้อมูลท่ีมรี ายละเอียดหรือได้รายละเอียดมาจากตารางข้อมลู จรงิ มีได้
มากกวา่ หน่ึงตาราง
3) ววิ เปน็ กลไกรกั ษาความปลอดภัยในการปกปิดส่วนต่าง ๆ ของตารางทเ่ี ป็นความลับ
หรือเกินความจำเป็นสำหรบั ผใู้ ช้

4) วิวเปน็ ตารางทถ่ี ูกสรา้ งข้ึนจากรีเลชนั หรอื วิวอืน่ ๆ วิวไม่มีข้อมูลของตนเอง แต่จะ
เสมือนหน้าตา่ งทแี่ สดงข้อมูลจากรีเลชนั

5) สามารถปรับปรุงข้อมลู ในววิ ได้ ได้แก่ insert / update / delete ถ้าได้รบั การ
อนญุ าตจากระบบจัดการฐานข้อมูล

6) เพ่ือจำกัดการเข้าถึงข้อมูลของผูใ้ ช้ผบู้ ริหารฐานข้อมูล สามารถกำหนดสิทธิการใชง้ าน
วิวใหก้ ับผใู้ ช้งานได้

6.1. การทำงานของววิ เม่ือมีการเรยี กใชว้ ิวระบบจัดการฐานข้อมูลจะทำหน้าทโ่ี ดยเริม่
คน้ หาขอ้ กำหนดของวิวในคำสง่ั SQL ท่เี กบ็ ไว้ในฐานข้อมลู แล้วแปลคำส่ังของวิวเพอื่ ไปนำขอ้ มลู มาจาก
ตารางข้อมูลจรงิ ทำให้ววิ รกั ษาความถูกต้องของโครงสร้างข้อมูลไว้ไดส้ ำหรบั ววิ แบบงา่ ยๆระบบจดั การ
ฐานขอ้ มลู อาจสรา้ งแตล่ ะแถวของวิวขึ้นมาจากตารางข้อมลู จรงิ เลยสว่ นวิวที่ซับซอ้ นนัน้ ระบบจดั การ
ฐานขอ้ มลู จะเก็บแถวของววิ ไว้ในตารางชวั่ คราวแลว้ จงึ แสดงผลจากตารางชั่วคราวและเลิกใชต้ าราง
ชัว่ คราวน้ันเม่อื หมดความต้องการใช้งานอีกต่อไปคือเมื่อสิ้นสุดคำส่ังของ SQL อย่างไรก็ตามไม่ว่าระบบ
จดั การฐานข้อมูลจะจัดการกับวิวอย่างไรผลทีไ่ ด้ทผี่ ู้ใชไ้ ด้รับก็ไม่แตกต่างกนั น่นั คือผใู้ ช้งานฐานขอ้ มลู ผ่าน
วิวสามารถอ้างองิ ไดจ้ ากคำส่ัง SQL เสมือนหน่งึ วา่ อา้ งอิงไปยังตารางข้อมูลจริง โดยไม่จำเป็นตอ้ งเข้าถึง
ข้อมูลทงั้ หมดของตารางข้อมลู จรงิ

6.2. การสรา้ งวิวการสรา้ งวิวได้จากการ query ในคำสงั่ SQL ทำใหเ้ หน็ ขอ้ มลู ในแถว
และคอลัมนต์ ามต้องการ การสร้างววิ อาจสรา้ งมาจากตารางขอ้ มลู เดยี วหรอื มากกวา่ หนึ่งตารางได้ ภาษา
SQL จะมีการสรา้ งวิวโดยใช้คำส่ัง CREATE VIEW ซ่ึงมรี ูปแบบท่ัวไป
ประโยชน์ของวิว

1) สนบั สนุนการรกั ษาความปลอดภัยของข้อมูล โดยจำกัดผใู้ ช้ไม่ให้เข้าถงึ ข้อมูลจรงิ โดย
สามารถกำหนดโครงสร้างข้อมลู ตามความต้องการของผู้ใชง้ านได้อย่างมีประสิทธิภาพ

2) ควบคมุ ความสอดคล้องของข้อมูล (Data Consistency) ในการใชง้ านระหวา่ ง
ตารางข้อมูลจริงกบั วิว

3) ควบคุมความถกู ต้องของขอ้ มูล (Data Integrity) จากการตรวจสอบโดยระบบจัดการ
ฐานข้อมลู

4) รักษาความปลอดภัยในการปรับปรงุ ข้อมูล โดยปรบั ปรงุ ได้เฉพาะบางสว่ นที่กำหนดให้
แสดงในววิ เทา่ นน้ั

5) การกระทำกับวิวไมส่ ่งผลกระทบต่อการเปลี่ยนแปลงโครงสรา้ งของตารางขอ้ มลู จริง

อา้ งอิง

www.ict.up.ac.th/worrakits/. ความปลอดภยั ของข้อมูลหรือฐานข้อมลู . [ระบบออนไลน์].
แหล่งท่ีมา : https://www.ict.up.ac.th/worrakits/Database.files (26 สิงหาคม

2564)

จดั ทำโดย
นำงสำวกมลวรรณ จนั ทรค์ ลำ้ ย

เลขท่ี 18 สบล.63.1
สำขำกำรเลขำนุกำร