View
665
Download
1
Category
Preview:
DESCRIPTION
โดย โอภาส หมื่นแสน(RHCE,CCAI)หัวหน้าฝ่ายระบบเครือข่ายคอมพิวเตอร์สานักบริการเทคโนโลยีสารสนเทศมหาวิทยาลัยเชียงใหม่
Citation preview
Computer Network Division
http://network.cmu.ac.th1
คณรหรอไม...กฎหมายและพรบ. Security ในขณะนมอะไรบาง
โอภาส หมนแสน(RHCE,CCAI)หวหนาฝายระบบเครอขายคอมพวเตอร
ส านกบรการเทคโนโลยสารสนเทศมหาวทยาลยเชยงใหม
ITSC CMU
Computer Network Division
http://network.cmu.ac.th2
ITSC CMU
Information Security : CIA
Computer Network Division
http://network.cmu.ac.th3
ITSC CMU
Information Security- Unauthorized - Protect resource
- Use
- Disclosure
- Disruption
- Modification
- Inspection
- Destruction
Computer Network Division
http://network.cmu.ac.th4
ITSC CMU
Information Security : CIA
- Confidentiality
- Prevent disclosure
- Privacy
- AAA
Computer Network Division
http://network.cmu.ac.th5
ITSC CMU
Information Security : CIA
- Integrity- Intentional / accidental change
- Protect system unauthorized modification
- Depend on access control
- Availability
Computer Network Division
http://network.cmu.ac.th6
ITSC CMU
Information Security & Security
Management
• Policies
• Standards
• Procedure
• guidelines
Computer Network Division
http://network.cmu.ac.th7
ITSC CMU
- Risk Management
- Access control
- Operation Security
- Physical security
- Application Security
- Network Security
- Cryptography
- Disaster and recovery
- Law and Ethic
Computer Network Division
http://network.cmu.ac.th8
ITSC CMU
Network Security• unauthorized access• misuse• modification• DOS
Tools• Firewall• IPS/IDS• Anti-virus Firewall
IPS/IDSAnti-virus
Computer Network Division
http://network.cmu.ac.th9
ITSC CMU
Small Network• basic firewall / UTM(Unified threat management)• Antivirus• Mac Filtering• Device logs• Authentication & Accounting
Computer Network Division
http://network.cmu.ac.th10
ITSC CMU
Medium Network• strong firewall / UTM(Unified threat management)• Antivirus / Internet Security Software• Mac Filtering• Device logs• Authentication(Password Policy) & Accounting• Physical security• Network monitoring • Administrator• VPN(Branch)• Employee awareness program• Disaster and recovery
Computer Network Division
http://network.cmu.ac.th11
ITSC CMU
Large Network• strong firewall(Server in DMZ) / Not UTM(Unified threat management)+IPS• Antivirus / Internet Security Software• Mac Filtering• Device logs• Authentication(Password Policy) & Accounting• Physical security+CCTV+Fire Alarm+Security Gaurds• Network monitoring • Administrator• VPN(Branch)• Employee awareness program• Disaster and recovery
Computer Network Division
http://network.cmu.ac.th12
ITSC CMU
Information Security : CIA
Computer Network Division
http://network.cmu.ac.th13
ITSC CMU
Security Trend 2012-2013• Smart Phone Hacking• Social Engineering Attacks• Wireless Hacking• Cloud Security
Computer Network Division
http://network.cmu.ac.th14
ITSC CMU
ICT Thailand
Computer Network Division
http://network.cmu.ac.th15
ITSC CMU
กรอบ IT2010 (2544-2553)- พฒนาประเทศสเศรษฐกจและสงคมแหงภมปญญาและการเรยนร- อนดบลดต า โครงสรางพนฐาน- แรงงาน- knowledge economy
Computer Network Division
http://network.cmu.ac.th16
ITSC CMU
วสยทศน ICT 2020(2553-2563)ICT เปนพลงขบเคลอนส าคญในการน าพา...
คนไทย สความรและปญญาเศรษฐกจไทย สการเตบโตอยางยงยน
สงคมไทย สความเสมอภาค
Computer Network Division
http://network.cmu.ac.th17
ITSC CMU
ตวชวดการพฒนา1. 80% เขาถงอนเทอรเนตความเรวสงภายใน 2558 และ 95% ภายใน 25632. 75% เขาถง ใช ICT รเทาทน + ICT Professional > 3%3. GDP ของดจทลคอนเทนต > 18%4. Networked Readiness Index อยใน Top quartile5. จางงานผานสออเลกทรอนกส6. ประชาชน > 50% ตระหนกถงความส าคญ ICT
Computer Network Division
http://network.cmu.ac.th18
ITSC CMU
Computer Network Division
http://network.cmu.ac.th19
ITSC CMU
ยทธศาสตร1. พฒนาโครงสรางพนฐาน ICT ทเปนอนเทอรเนตความเรวสงหรอการสอสารรปแบบ
อนทเปน Broadband ใหมความทนสมย มการกระจายอยางทวถง และมความมงคงปลอดภยสามารถรองรบความตองการของภาคสวนตางๆ ได
2. พฒนาทนมนษยทมความสามารถในการพฒนาและใชสารสนเทศอยางมประสทธภาพมวจารณญาณและรเทาทน รวมถงพฒนาบคลากร ICT ทมความรฦความสามารถและความเชยวชาญระดบมาตรฐานสากล
3. ยกระดบขดความสามารถในการแขงขนของอตสาหกรรม ICT เพอสรางมลคาทางเศรษฐกจและน ารายไดเขาประเทศ โดยใชโอกาสจากการรวมกลมเศรษฐกจ การเปดการคาเสร และประชาคมอาเซยน
Computer Network Division
http://network.cmu.ac.th20
ITSC CMU
ยทธศาสตร(ตอ)4. ใช ICT เพอสรางนวตกรรมการบรการของภาครฐทสามารถใหบรการประชาชน และ
ธรกจทกภาคสวนไดอยางมประสทธภาพ มความมนคงปลอดภยและมธรรมาภบาล5. พฒนาและประยกต ICT เพอสรางความเขมแขงของภาคการผลต ใหสามารถ
พงตนเองและแขงขนไดในระดบโลก โดยเฉพาะภาคการเกษตร ภาคบรการ และเศรษฐกจสรางสรรคเพอเพมสดสวนภาคบรการในโครงสรางเศรษฐกจโดยรวม
6. พฒนาและประยกต ICT เพอลดความเหลอมล าทางเศรษฐกจและสงคม โดยสรางความเสมอภาคของโอกาสในการเขาถงทรพยากรและบรการสาธารณะส าหรบประชาชนทกกลมโดยเฉพาะบรการพนฐานทจ าเปนตอการด ารงชวตอยางมสขภาวะทด ไดแก บรการดานการศกษาและบรการสาธารณสข
Computer Network Division
http://network.cmu.ac.th21
ITSC CMU
ยทธศาสตร(ตอ)7. พฒนาและประยกต ICT เพอสนบสนนการพฒนาเศรษฐกจและสงคมทเปนมตรกบ
สงแวดลอม
Computer Network Division
http://network.cmu.ac.th22
ITSC CMU
ยทธศาสตร->เปาหมาย1. พฒนาโครงสรางพนฐาน ICT ทเปนอนเทอรเนตความเรวสงหรอการสอสารรปแบบ
อนทเปน Broadband ใหมความทนสมย มการกระจายอยางทวถง และมความมงคงปลอดภยสามารถรองรบความตองการของภาคสวนตางๆ ไดเปาหมาย5. มโครงสรางพนฐานดานกฎหมายทเหมาะสมและทนตอการเปลยนแปลงของเทคโนโลยเพอรองรบการแพรกระจายของเทคโนโลยและการประยกตใชทหลากหลาย
Computer Network Division
http://network.cmu.ac.th23
ITSC CMU
กลยทธ- สรางความตระหนกและใหความรแกผบรหารเทคโนโลยสารสนเทศ (Chief Information Officer : CIO) ของหนวยงานทงภาครฐและภาคเอกช โดยเฉพาะหนวยงานทรบผดชอบโครงสรางพนฐานทส าคญของประเทศ (Critical infrastructure) ถงแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกสทคณะกรรมการธรกรรมทางอเลกทรอนกสไดจดท าขน รวมถงใหความรแกประชาชน เกยวกบผลกระทบทอาจพงม หากระบบสารสนเทศหรอโครงขายมความเสยงตอความมนคงปลอดภย โดยส าหรบหนวยงานของรฐ ควรก าหนดใหการด าเนนการตามมาตรฐานดงกลาว เปนหนงในตวชวดผลการด าเนนงานของ CIO เพอใหเกดการปฏบตตามมาตรฐานโดยเครงครด ทงน เพอประกนความมนคงปลอดภยของกานสอสารและการท าธรกรรมออนไลน
Computer Network Division
http://network.cmu.ac.th24
ITSC CMU
กลยทธ(ตอ)- จดตง National Cyber Security Agency เพอท างานประสานกบสภาความมนคงแหงชาตโดยมหนาทรบผดชอบด าเนนการในสวนทเกยวของกบความมนคงปลอดภยในโลกไซเบอร(Cyber security) การใหความรความเขาใจ ค าปรกษา และประสานงานกบผทรบผดชอบงานดานความมนคงปลอดภยของระบบสารสนเทศของหนวยงานอนๆ การด าเนนการเรองการตรวจสอบและประเมน (Compliance and monitoring) การประเมนความเสยงของระบบสารสนเทศ (ICT Risk assessment) ในระดบประเทศ โดยมกลไกประสานเชอมโยงกบคณะกรรมการนโยบายระดบชาตทเกยวของ ไดแก คณะกรรมการเทคโนโลยสารสนเทศและการสอสารแหงชาตคณะกรรมการธรกรรมทางอเลกทรอนกส สภาความมนคงแหงชาต เปนตน- สนบสนนการวจยพฒนา และเพมจ านวนผเชยวชาญดานความมนคงปลอดภยของระบบสารสนเทศและโครงขาย (Network security) ของประเทศ รวมถงการจดท า ทบทวนและปรบปรงแผนแมบทดานความมนคงปลอดภยของระบบสารสนเทศและโครงขาย (National Information Security Roadmap) อยางตอเนอง
Computer Network Division
http://network.cmu.ac.th25
ITSC CMU
กลยทธ(ตอ)- ใหทกหนวยงานทมศนยขอมล (Data Center) จดท าแผนฉกเฉน และขนตอนการด าเนนงานในดานโทรคมนาคมและการสอสาร ในกรณมเหตการณฉกเฉน (Emergency protocols) เพอรองรบภยพบตประเภทตางๆ ทงจากภยธรรมชาต และภยมนษย- เรงรดการออกกฎหมายทยงคางอยในขนตอนนตบญญตใหมผลบงคบใชโดยเรว- ยกรางกฎหมายทมความจ าเปนตองจดท าอกอยางนอย 2 ฉบบ ไดแก กฎหมายสอสารดาวเทยม และ กฎหมายเคเบลใตน าเพอเชอมตอโครงขายโทรคมนาคมของไทยกบเสนทางเคเบลใตน าหลกของโลก เพอรกษาอธปไตยของประเทศในการทผประกอบการตางประเทศจะน าบรการเหลานเขามาด าเนนธรกจในประเทศไทย- เรงรดการพฒนาบคลากรในสายกระบวนการยตธรรมใหมความรความเขาใจในพนฐานของเทคโนโลย เจตนารมณ และเนอหาสาระของกฎหมายทเกยวของ เพอการบงคบใชทมประสทธภาพและประสทธผล
Computer Network Division
http://network.cmu.ac.th26
ITSC CMU
กลยทธ(ตอ)- พจารณาความจ าเปนในการจดท าหรอยกรางกฎหมายทเกยวของ อาท
- กฎหมายเกยวกบการคมครองผบรโภคดานโทรคมนาคมหรอธรกรรมออนไลน- กฎหมายเกยวกบการคมครองเดกและเยาวชนจากภยทเกดขนบนอนเทอรเนต- กฎหมายเกยวกบความมนคงปลอดภยของโครงขาย เพอปองกนการโจมตโครงขายหลกอนอาจสงผลกระทบตอความมนคงของชาต- กฎหมายเกยวกบการคมครองเนอหาดจทล หรอดจทลคอนเทนต (Digital content) โดยควรตองพจารณาใหครอบคลมดจทลคอนเทนตทอาจอยในหลากหลายรปแบบ และเขาถงไดจากหลากหลายอปกรณ
Computer Network Division
http://network.cmu.ac.th27
ITSC CMU
Law and Ethic(กฎหมาย)กฎหมาย : กฎ ทสถาบน หรอ ผ มอ านาจสงสดในรฐ ตราขน หรอ ทเกดขนจาก จารต
ประเพณ อนเปนทยอมรบนบถอ เพอ ใชในการบรหารประเทศ เพอ ใชบงคบบคคลใหปฏบตตาม หรอ เพอก าหนดระเบยบแหงความสมพนธระหวางบคคล หรอ ระหวางบคคลกบรฐ
1. เกณฑ2. ก าหนดความประพฤต3. สภาพบงคบ4. บงคบเปนกจลกษณะ
Computer Network Division
http://network.cmu.ac.th28
ITSC CMU
พระราชบญญต (พ.ร.บ.)คอบทกฎหมายทใชบงคบอยเปนประจ าตามปรกต เพอวางระเบยบบงคบความประพฤต
ของบคคลรวมทงองคกรและเจาหนาทของรฐ เปนบทบญญตแหงกฎหมายทมฐานะสงกวาบทกฎหมายอน ๆ นอกจากรฐธรรมนญ กอนประกาศใชบงคบพระราชกฤษฎกา (พ.ร.ฎ.)
บทบญญตแหงกฎหมายทพระมหากษตรยทรงตราขนโดยอาศยอ านาจตามรฐธรรมนญ พระราชบญญต หรอพระราชก าหนด เพอใชในการบรหารราชการแผนดน โดยค าแนะน าของคณะรฐมนตร มศกดต ากวารฐธรรมนญ พระราชบญญตประมวลกฎหมาย และพระราชก าหนด
Computer Network Division
http://network.cmu.ac.th29
ITSC CMU
กฎหมายทเกยวของกบ IT• พรบ. การประกอบกจการโทรคมนาคม 2544• พรฎ. การก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ 2549• พรบ. วาดวยการกระท าผดเกยวกบคอมพวเตอร 2550• พรบ. วาดวยธรกรรมทางอเลกทรอนกส 2544 แกไข 2551• พรฎ. วาดวยการควบคมดแลธรกจบรการการช าระเงนทางอเลกทรอนกส 2551
อนาคต• พรบ. สภาเทคโนโลยสารสนเทศและการสอสารแหงประเทศไทย• พรบ. วาดวยการกระท าผดเกยวกบคอมพวเตอร 255?• พรบ. คมครองขอมลสวนบคคล
Computer Network Division
http://network.cmu.ac.th30
ITSC CMU
Computer Network Division
http://network.cmu.ac.th31
ITSC CMU
สงทตองท าม.26 – เกบ Log 90 วน
หลกเกณฑการเกบรกษาขอมลจราจรทางคอมพวเตอรของผใหบรการ พ.ศ.2550 ขอ 8
1. เกบในสอ->Integrity->Identification2. Classification->No admin access3. IT Auditor & Coordinate4. Traffic Log Identification(NAT Log)
ขอ 91. NTP(Network Time Protocol)
Computer Network Division
http://network.cmu.ac.th32
ITSC CMU
ผใหบรการ1. ผใหบรการ
ก. Telecom.ข. Access Service Provider ค. Host Service Provider : File Server,Mail Server,IDCง. Internet Café
2. Appication Content Service Provider
Computer Network Division
http://network.cmu.ac.th33
ITSC CMU
Log ทตองเกบก. Internet Access Logข. E-Mail Serverค. FTP Serverง. Web Serverจ. Usenetฉ. IRC/IM
Computer Network Division
http://network.cmu.ac.th34
GW/NATLog
Private IP
Computer Network Division
http://network.cmu.ac.th35
Web
FTP
Log Server
Computer Network Division
http://network.cmu.ac.thhttp://network.cm.edu 36
Computer Network Division
http://network.cmu.ac.th37
ITSC CMU
พรบ.คอมพ 2550 vs พรบ.คอมพ 255?
ประเดนท1 เพมนยาม “ผดแลระบบ”มาตรา4 เพม นยามค าวา “ผดแลระบบ” หมายความวา “ผ มสทธเขาถงระบบคอมพวเตอรทใหบรการแกผ อนในการเขาสอน เทอรเนต หรอใหสามารถตดตอถงกนโดยประการอน โดยผานทางระบบคอมพวเตอร ทงน ไมวาจะเปนการดแลเพอประโยชนของตนเองหรอเพอประโยชนของบคคลอน”
Computer Network Division
http://network.cmu.ac.th38
ITSC CMU
พรบ.คอมพ 2550 vs พรบ.คอมพ 255?
ประเดนท 2 คดลอกไฟล จ าคกสงสด 3 ป สงใหมในกฎหมายน คอมมาตรา16 ท เพมมาวา “ผใดส าเนาขอมลคอมพวเตอรของผ อนโดยมชอบ โดยประการทนาจะเกดความเสยหายตอผ อน ตองระวางโทษจ าคกไมเกนสามป หรอปรบไมเกนหาหมนบาท หรอทงจ าทงปรบ”
Computer Network Division
http://network.cmu.ac.th39
ITSC CMU
พรบ.คอมพ 2550 vs พรบ.คอมพ 255?
ประเดนท 3 มไฟลลามกเกยวกบเดก ผดในมาตรา 25 “ผ ใดครอบครองขอมลคอมพวเตอรซงมลกษณะอนลามกทเกยวของกบเดกหรอ เยาวชน ตองระวางโทษจ าคกไมเกนหกป หรอปรบไมเกนสองแสนบาท หรอทงจ าทงปรบ”
Computer Network Division
http://network.cmu.ac.th40
ITSC CMU
พรบ.คอมพ 2550 vs พรบ.คอมพ 255?
ประเดนท 4 ยงเอาผดกบเนอหามาตรา 24 (1) น า เขาสระบบคอมพวเตอรซงขอมลทไมตรงตอความเปนจรง โดยประการทนาจะเกดความเสยหายตอความมนคงของประเทศหรอกอใหเกดความ ตนตระหนกแกประชาชน
Computer Network Division
http://network.cmu.ac.th41
ITSC CMU
พรบ.คอมพ 2550 vs พรบ.คอมพ 255?
ประเดนท 5 ดหมน ผดพ.ร.บ.คอมพวเตอรมาตรา 26 ผ ใดน าเขาสระบบคอมพวเตอรทประชาชนทวไปอาจเขาถงได ซงขอมลคอมพวเตอรทปรากฏเปนภาพ ขอมลสวนบคคลของผอน หรอขอมลอนใด โดยประการทนาจะท าใหบคคลอนเสยหาย เสยชอเสยง ถกดหมน ถกเกลยดชง หรอไดรบความอบอาย หรอเพอใหผหนงผใดหลงเชอวาเปนขอมลทแทจรง ตองระวางโทษจ าคกไมเกนสามป หรอปรบไมเกนหนงแสนบาท หรอทงจ าทงปรบ
Computer Network Division
http://network.cmu.ac.th42
ITSC CMU
พรบ.คอมพ 2550 vs พรบ.คอมพ 255?
ประเดนท 6 สงสแปม ตองเปดชองใหเลกรบบรการมาตรา 21 ผ ใดสงขอมลคอมพวเตอรหรอจดหมายอเลกทรอนกสเปนจ านวนตามหลกเกณฑท รฐมนตรประกาศก าหนด เพอประโยชนทางการคาจนเปนเหตใหบคคลอนเดอดรอนร าคาญ และโดยไมเปดโอกาสใหผรบขอมลคอมพวเตอรหรอจดหมายอเลกทรอนกส สามารถบอกเลกหรอแจงความประสงคเพอปฏเสธการตอบรบได ตองระวางโทษจ าคกไมเกนหกเดอน หรอปรบไมเกนหนงหมนบาท หรอทงจ าทงปรบ
Computer Network Division
http://network.cmu.ac.th43
ITSC CMU
พรบ.คอมพ 2550 vs พรบ.คอมพ 255?
ประเดนท 7 เกบโปรแกรมทะลทะลวงไว คกหนงปมาตรา 23 ผ ใดผลต จ าหนาย จายแจก ท าซ า มไว หรอท าใหแพรหลายโดยประการใด ซงขอมลคอมพวเตอร ชดค าสง หรออปกรณทจดท าขนโดยเฉพาะเพอน าไปใชเปนเครองมอในการกระท าความ ผดตามมาตรา 15 มาตรา 16 มาตรา 17 มาตรา 18 มาตรา 19 และมาตรา 20 ตองระวางโทษจ าคกไมเกนหนงป หรอปรบไมเกนสองหมนบาท หรอทงจ าทงปรบ
Computer Network Division
http://network.cmu.ac.th44
ITSC CMU
พรบ.คอมพ 2550 vs พรบ.คอมพ 255?
ประเดนท 8 เพมโทษผเจาะระบบส าหรบกรณการเขาถงระบบคอมพวเตอรหรอขอมลคอมพวเตอรของผ อนโดยมชอบ เดมก าหนดโทษจ าคกไวไมเกนหกเดอนหรอปรบไมเกนหนงหมนบาท รางกฎหมายใหมเพมเพดานโทษเปนจ าคกไมเกนสองป หรอปรบไมเกนสหมนบาท(เพมขน 4 เทา)
Computer Network Division
http://network.cmu.ac.th45
ITSC CMU
พรบ.คอมพ 2550 vs พรบ.คอมพ 255?
ประเดนท 9 ใหหนาทหนวยใหม ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) “Electronic Transactions Development Agency (Public Organization)” เรยกโดยยอวา “ETDA”มาตรา ๓๐ ในกรณทมความจ าเปนตองประสานงานกบหนวยงานหรอองคกรตางประเทศเพอใหไดมาซงขอมลทเปนประโยชนตอการสบสวนสอบสวนหาตวผกระท าาความผด พนกงานสอบสวนอาจรองขอใหส าานกงานพฒนาธรกรรมทางอเลคทรอนกส (องคการมหาชน) เปนผประสานงานกลางเพอใหไดมาซงขอมลดงกลาว
Computer Network Division
http://network.cmu.ac.th46
ITSC CMU
พรบ.คอมพ 2550 vs พรบ.คอมพ 255?
ประเดนท10 ตงคณะกรรมการ สดสวน 8 – 3 – 0 : รฐต ารวจ-ผทรงคณวฒ-ประชาชน
Computer Network Division
http://network.cmu.ac.th47
ITSC CMU
Virtualization • Hardware Platform• Operating System• Application Virtualization• Desktop Virtualization(VDI)• Storage Device• Network Resource
Computer Network Division
http://network.cmu.ac.th48
ITSC CMU
Virtualization
Computer Network Division
http://network.cmu.ac.th49
ITSC CMU
Virtualization
Computer Network Division
http://network.cmu.ac.th50
ITSC CMU
Virtualization Security• Hypervisor Security• Host Security• Securing Communications – Between Host and Management Node• Security between guests – Virtual switch• Security between host/guests• Security between host/storage
Computer Network Division
http://network.cmu.ac.th51
Thank you
Recommended