แนวทางการจดเกบขอมลลอกสาหรบองคกรเพอใหสอดคลองตาม พ.ร.บ. วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 Log implementation and auditing guideline compliance with Computer Crime Act B.E 2550 (2007) ปรบปรงครงท 1: 2 กนยายน 2551 เผยแพร: 23 สงหาคม 2551 เลอศกด ลมววฒนกล และ ดร. บรรจง หะรงษ และ ดร. โกเมน พบลยโรจน โปรแกรมเทคโนโลยเพอความมนคง ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต วรยา จลมณวงศ และ สรางคณา วายภาพ ฝายศกษาวจยประเดนดานจรยธรรม กฎหมาย และผลกระทบทางสงคมของเทคโนโลยสารสนเทศ ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต ทผานมาการตดตามและตรวจสอบพยานหลกฐานทเกยวของกบระบบคอมพวเตอรในประเทศไทย หรอนาขอมลการบนทกเหตการณทเกดขนบนระบบคอมพวเตอรไมสามารถทาไดโดยตรง หรอไมสามารถกาหนดใหผทเกยวของเกบขอมลการเขาถงระบบคอมพวเตอรทจาเปนได ยกตวอยางเชนเมอพบวามผกระทาความผดโดยใชระบบคอมพวเตอรผานรานอนเทอรเนตคาเฟในการเขาถงระบบคอมพวเตอรเซรฟเวอรของผอนโดยไมไดรบอนญาต ซงเมอมการสอบสวนหรอตองการพลกฐานเพมเตมกลบพบวาไมสามารถตดตามขอมลการใชงานอนเทอรเนตตงแตรานอนเทอรเนตคาเฟ ผใหบรการอนเทอรเนตหรอ Internet Service Provider (ISP) เพอนาขอมลมาวเคราะหได ซงเจาหนาทพนกงานจาเปนตองหามาตรการอนทไมเกยวของกบเทคโนโลยในการสบสวนพยานหลกฐาน นอกจากนยงพบวาเมอมคดความทเกยวของกบระบบคอมพวเตอร ทงทผกระทาความผดใชระบบคอมพวเตอรโดยตรงเพอกระทาความผด หรอทางออมยงไมมบทบญญตทชดเจนวาจะดาเนนคดในลกษณะใด ซงพนกงานเจาหนาททเกยวของจาเปนตองอางองดวยกฏหมายฉบบอนเชน กฏหมายลกษณะความอาญาเพอวเคราะหประกอบพยานหลกฐาน เปนตน ขอมลจากศนยประสานงานการรกษาความปลอดภยคอมพวเตอร ประเทศไทย (ThaiCERT) ภายใตศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต (NECTEC) ทผานมาเมอมการรบมอเหตการณละเมดความมนคงปลอดภยคอมพวเตอรภายในประเทศไทย การทาหนาทประสานงานระหวางผทแจงเหตการณละเมดความมนคงปลอดภยและผทเกยวของ จาเปนตองใชขอมลทบนทกในระบบคอมพวเตอรเพอวเคราะหหาสาเหต ทมาของผละเมดความมนคงปลอดภย รวมถงขอมลทจาเปนเพมเตม ซงบอยครงพบวามขอมลทไมเพยงพอ โดยเฉพาะเมอมการตดตามขอมลเพมเตมจากผดแลระบบเครอขายภายในองคกร หรอผใหบรการอนเทอรเนตภายในประเทศ จากการประกาศใช พระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 ซงมจดมงหมายเพอบญญตการกระทาความผดทเกยวกบคอมพวเตอร กาหนดแนวปฏบตในทศทางเดยวกนสาหรบผทเกยวของกบระบบสารสนเทศหรอระบบคอมพวเตอร และกาหนดใหตองมการเกบขอมลทบนทกเหตการณทเกดขนบนระบบคอมพวเตอร ขอมลดงกลาวนไดนยามวาเปน “ขอมลจราจรคอมพวเตอร” และ “ขอมลผใชบรการ” และเพอกาหนดความชดเจนเพมเตม ไดประกาศลงในราชกจจานเบกษาเรองประกาศกระทรวงเทคโนโลยสารสนเทศและการสอสาร เรอง หลกเกณฑการเกบรกษาขอมลจราจรทางคอมพวเตอรของผใหบรการ พ.ศ. 2550 เมอวนท 23 สงหาคม 2550 เพอขยายความหลกเกณฑทางเทคนคในการเกบขอมลจราจรคอมพวเตอร ทงนเพอใหผใหบรการในแตละประเภทไดเกบขอมลดงกลาวและสามารถนามาใชตอไปได ทงนคาวา “ขอมลจราจรคอมพวเตอร” และ “ขอมลผใชบรการ” เปนขอมลการบนทกเหตการณทเกดขนกบระบบคอมพวเตอร ศพททางเทคนคเรยกขอมลลกษณะนวา ขอมลลอกหรอ Log ตามคานยามในเอกสารอางอง [3] ซงจะไดกลาวในรายละเอยดเพมเตมในเอกสารฉบบน ดงนนคาวา “ขอมลลอก” มความหมายเดยวกนกบคาวา “ขอมลจราจรคอมพวเตอร” และ “ขอมลผใชบรการ”

หนา 1 จาก 51

 

หนาทของผใหบรการทตองปฏบตตาม พ.ร.บ. วาดวยการกระทาความผดเกยวกบคอมพวเตอรคอ การปรบแตงระบบคอมพวเตอรใหสามารถเกบ “ขอมลลอก” ใหไดอยางนอยตามท “ขอมลจราจรคอมพวเตอร” และ “ขอมลผใชบรการ” ไดกาหนดไวใหดาเนนการเกบ และทสาคญคอ

− มการรกษาความมนคงปลอดภยของขอมลลอก เพอใหขอมลลอกมความถกตองและเชอถอ − มการควบคมการเขาถงขอมลลอก กาหนดลาดบเวลาของการเกบขอมลลอกใหถกตอง เพอใหขอมลลอก

ทเกบไวนนใชวเคราะหตามความตองการของพนกงานเจาหนาทหรอผทเกยวของได รวมทงใชเปนพยานหลกฐานในชนศาลได

− มการกาหนดวธการรกษาระยะเวลาการเกบขอมลลอก เพอใหมขอมลลอกทนามาวเคราะหสบยอนหลง และตดตามเหตการณทเกดขนมาแลวได

ซงไดกาหนดรายละเอยดการปฏบตไวโดยละเอยดใน ประกาศลงในราชกจจานเบกษาเรองประกาศกระทรวงเทคโนโลยสารสนเทศและการสอสาร เรอง หลกเกณฑการเกบรกษาขอมลจราจรทางคอมพวเตอรของผใหบรการ พ.ศ. 2550 แลว เอกสารฉบบนจดทาขนเพอรวบรวมและสรปประเดนทสาคญ และนาเสนอแนวทางในทางปฏบตเพอผใหบรการสามารถเกบ “ขอมลลอก” ไดสอดคลองตามท พ.ร.บ ฯ ตองการ

ผอานสามารถเลอกเนอหาในสวนทตองการอานทาความเขาใจ ไดตามเนอหาของเอกสารฉบบนตามลาดบน ขอกาหนดการจดเกบขอมลลอกตาม พ.ร.บ. วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550........7

1. ขอกาหนดการเกบรกษาขอมลจราจรคอมพวเตอรและขอมลผใชบรการ ...........................................7 2. แนวทางปฏบตการเกบขอมลจราจรคอมพวเตอรและขอมลผใชบรการ .............................................8 3. ขอกาหนดการเกบรกษาขอมลจราจรคอมพวเตอรหรอขอมลลอกใหมนคงปลอดภย ..........................12 4. ประเภทผใหบรการในการเกบขอมลจราจรคอมพวเตอร ..............................................................18 5. การเกบขอมลจราจรคอมพวเตอรของผใหบรการประเภท 5 (1)....................................................20

5.1. ผใหบรการประเภท 5 (1) ก. ผประกอบกจการโทรคมนาคมและกจการกระจายภาพและเสยง (Telecommunication and Broadcast Carrier).....................................................................20 5.2. ผใหบรการประเภท 5 (1) ข. ผใหบรการการเขาถงระบบเครอขายคอมพวเตอร (Access Service Provider) และ ผใหบรการประเภท 5 (1) ค. ผใหบรการเชาระบบคอมพวเตอรเพอใหบรการโปรแกรมประยกตตางๆ (Hosting Service Provider) ...........................................................................21 5.3. ผใหบรการประเภท 5 (1) ง. ผใหบรการรานอนเทอรเนต.....................................................27

6. การเกบขอมลจราจรคอมพวเตอรของผใหบรการประเภท 5 (2)....................................................28 7. การเรมเกบขอมลจราจรคอมพวเตอรของผใหบรการ..................................................................29

ขอกาหนดการเกบขอมลลอกตามมาตรฐานความมนคงปลอดภย ISO/IEC 27001...................................30 การบรหารจดการการเกบขอมลลอกสาหรบองคกร ...........................................................................33

1. การบรหารจดการขอมลลอก (Log management) ...................................................................33 1.1. การสรางและการจดเกบขอมลลอก ................................................................................34 1.2. การปองกนขอมลลอก ...........................................................................................................36 1.3. การวเคราะหขอมลลอก...............................................................................................38

2. โครงสรางระบบเกบขอมลลอกสาหรบองคกร...........................................................................39 2.1. สวนประกอบของระบบเกบขอมลลอก.............................................................................39 2.2. การจดเกบขอมลลอกแบบ Primary Logging และ Secondary Logging................................40 2.3. ฟงกชนการทางานลอกเซรฟเวอร..................................................................................41

3. ประเภทของของขอมลลอกจากแหลงกาเนดขอมลลอก (Log source หรอ Log generation).............44 3.1. ขอมลลอกทเกดจากระบบปฏบตการ (Operating system log)............................................44 3.2. ขอมลลอกทเกดจากแอพพลเคชนบนระบบ (Application log).............................................45 3.3. ขอมลลอกทเกดจากอปกรณหรอซอฟตแวรทเกยวกบการรกษาความมนคงปลอดภยของระบบ (Security-related device/software log) .............................................................................48

เอกสารอางอง.........................................................................................................................51

หนา 2 จาก 51

 

โดยสรปแลว ผใหบรการสามารถนาแนวทางปฏบตการจดเกบขอมลลอกตอไปนไปปรบใชภายในองคกร ทงนไดจดแบงตามระดบการดาเนนการเปน

− M – Mandatory หมายความวาเปนสงทจาเปนตองดาเนนการ เพอใหเปนไปสอดคลองตาม พ.ร.บ. วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 และประกาศกระทรวงเทคโนโลยสารสนเทศและการสอสาร เรอง หลกเกณฑการเกบรกษาขอมลจราจรทางคอมพวเตอรของผใหบรการ พ.ศ. 2550

− I – ISO/IEC 27001 หมายความวามาตรฐาน ISO/IEC 27001 ไดกาหนดใหนามาตรการนไปดาเนนการ ซงเปนมาตรการทางดานความมนคงปลอดภยของระบบสารสนเทศทด

− B – Best Practice หมายความวาเปนคาแนะนาเพมเตมทสามารถนาไปพฒนาและดาเนนใชภายในองคกรได หรอเปนทางเลอกทดในระยะยาวตอองคกร

ตามตารางน ประเดน ขอพจารณา/แนวทางการดาเนนการ/ตวอยาง M I B เกบรกษาขอมลจราจรคอมพวเตอร

ตองเกบรกษาขอมลจราจรคอมพวเตอร − ตงแตวนทขอมลเขาสระบบคอมพวเตอร และ − เกบไวไมนอยกวา 90 วน − พนกงานเจาหนาทสามารถสงใหเกบเพมเตมจาก 90

วนแตไมเกน 1 ปได เปนกรณๆ ไป

เกบรกษาขอมลผใชบรการ ตองเกบรกษาขอมลผใชบรการ − ตงแตวนทผใชเรมใชบรการ และ − เกบไวไมนอยกวา 90 วนตงแตการใชบรการสนสดลง

พจารณาวาองคกรจดอยในประเภทของผใหบรการใด

เพอพจารณาวาองคกรจดอยในประเภทของผใหบรการ − 5 (1) ผใหบรการแกบคคลทวไปในการเขาส

อนเทอรเนต − 5 (2) ผใหบรการในการเกบรกษาขอมลคอมพวเตอร

เพอประโยชนของบคคลตาม 5 (1)

พจารณาหลกเกณฑการเกบรกษาขอมลจราจรคอมพวเตอร

พจารณารายละเอยดการเกบรกษาขอมลจราจรทางคอมพวเตอรวาจะใชกบผใหบรการประเภทใดตามหลกเกณฑการเกบรกษาขอมลจราจรทางคอมพวเตอรของผใหบรการ พ.ศ. 2550

จดทานโยบายการเกบรกษาขอมลจราจรคอมพวเตอร และขอมลผใชบรการตาม พ.ร.บ.

− นโยบายดงกลาวควรครอบคลมหวขอตอไปน นยามทเกยวของเชน ขอมลจราจรคอมพวเตอร ขอมลผใชบรการ ใครเปนผใชบรการ เปนตน

องคกรจดอยในประเภทของผใหบรการใด กาหนดรายละเอยดวนเวลาทดาเนนการ บทบาทหนาทความรบผดชอบ ของแตละหนวยงาน เชนการดาเนนการ การกากบใหปฏบตตาม การตรวจความสอดคลองกบ พ.ร.บ.

แนวทางปฏบตทจาเปนตองดาเนนการ โดยอาจทาเปนเอกสารกาหนดคณสมบตทางเทคนคการเกบขอมลลอกแยกจากนโยบายฉบบนอก 1 ฉบบเพอระบวาในองคกรมเซรฟเวอรหรออปกรณใดทตองเกบขอมลลอก และดาเนนการเกบขอมลลอกใหสอดคลองตามเอกสารอางอง [7] ไดอยางไร

กาหนดหรอแตงตงเจาหนาทประสานงานกบพนกงานเจาหนาทของรฐในกรณทตองการขอมล

กาหนดหรอจดทาบญชรายชอผทมสทธเขาถงขอมลลอก

ระบมาตรการควบคมทนามาใชเพอปองกนขอมล ลอกใหมนคงปลอดภยและเชอถอได เชนการปองกนการเปลยนแปลงขอมล ลอกโดยไมไดรบอนญาต การพสจนตวตน การ

หนา 3 จาก 51

 

หนา 4 จาก 51

 

ประเดน ขอพจารณา/แนวทางการดาเนนการ/ตวอยาง M I B เขารหสหรอมาตรการอนทนามาใชเปนตน

การทบทวนนโยบายเชนทก 1 ปเปนตน หรอจดใหมการทบทวนเมอมการปรบปรงโครงสรางพนฐานระบบสารสนเทศ หรอโครงสรางธรกจขององคกรเปนตน

− นโยบายควรลงนามโดยผบรหารระดบสง หรอผบรหารระบบสารสนเทศเปนอยางนอย

จดทาเอกสารและดาเนนการปฏบตตามขอกาหนดคณสมบตทตองดาเนนการเกบขอมลจราจรคอมพวเตอรและขอมลผใชบรการ ตามขอกาหนดใน พ.ร.บ.

− ดาเนนการ จดทาเอกสารเพอระบวาองคกรจดเปนผใหบรการประเภทใด

จดทาเอกสารกาหนดคณสมบตทางเทคนคทองคกรตองดาเนนการเพอใหสามารถเกบขอมล ลอกใหสอดคลองตามท พ.ร.บ. ไดกาหนดไว

ดาเนนการประเมนความเสยงเฉพาะในแงของเกบขอมลจราจรคอมพวเตอรและขอมลผใชบรการ เพอหาวาจาเปนจะตองดาเนนการเสรมสรางความมนคงปลอดภยหรอลดความเสยงในดานใดบาง

ดาเนนการประเมนผลกระทบ และขดความสามารถในการเกบขอมลใหไดตาม พ.ร.บ. และกาหนดมาตรการเพมเตม เชนจดซอเซรฟเวอรสาหรบเกบขอมลลอกโดยเฉพาะเปนตน

− กาหนดแผนการดาเนนงาน ผรบผดชอบดาเนนการ เอกสารการดาเนนงาน และแนวทางการบารงรกษาระบบการเกบขอมลลอก

ดาเนนการจดเกบขอมลลอกตามประเภทของผใหบรการ

ตวอยางการดาเนนการ − ประชมหารอรวมกนระหวางทผทเกยวของ และ

ดาเนนการกาหนดคณสมบตรายละเอยดทางเทคนคของการเกบขอมลลอกใหสอดคลองตามประเภทของผใหบรการ

− จดทาและดาเนนการตามนโยบายการเกบขอมลจราจรคอมพวเตอร

− แตงตงเจาหนาทผเขาถงขอมลจราจรคอมพวเตอรและตดตอประสานงานกบเจาหนาทพนกงานของรฐ รวมถงใหการในชนศาล อยางนอยดงน เจาหนาททดแลรกษาขอมลลอก ผตรวจสอบระบบสารสนเทศขององคกร (IT

Auditor) ผบรหารองคกร

− จดทาการเกบขอมลลอกตามรายละเอยดคณสมบตทางเทคนคของการเกบขอมลลอกตามประเภทของผใหบรการ

− ดาเนนการตรวจสอบวาการเกบขอมลลอกนนสอดคลองตามท พ.ร.บ. ไดกาหนดไวแลวหรอไม

เกบขอมลลอกในสอ (Media) ทสามารถรกษาความครบถวนถกตองแทจรง (Integrity)

ตวอยางการดาเนนการ − จดเกบขอมลลอกบน Harddisk ทใชเทคโนโลย RAID − กาหนดวธการสารองขอมลลอกเชน การสารองบนดวด

การสารองบนเทปอตโนมต − ในกรณทมการสารองขอมล ใหกาหนดวธการปองกนสอ

บนทกขอมลสารองขอมลลอก เชนจดเกบในบรเวณทปลอดภย เชนตเซฟเปนตน

เทคโนโลยทสามารถนามาใชได − จดทาลอกเซรฟเวอรหรอ Log Server เพอเกบขอมล

แบบ Secondary Logging เพอใหสามารถบรหารจดการและควบคมการเขาถงขอมลลอกท ลอกเซรฟเวอรจากศนยกลางและทาใหมความมนคง

หนา 5 จาก 51

 

ประเดน ขอพจารณา/แนวทางการดาเนนการ/ตวอยาง M I B ปลอดภยมากยงขน หาขอมลเพมเตมไดทหวขอ Secondary Logging

ระบตวบคคล (Identification) ทเขาถงสอ (Media) ทเกบขอมลลอก

ตวอยางการดาเนนการ − แตงตงเจาหนาทผเขาถงขอมลลอก เพอแตงตง

บคลากรหรอทมงานผรบผดชอบการดแลการเกบรกษาขอมลลอก และตดตอกบเจาหนาทพนกงานของรฐในกรณทตองการขอมล

− บคลากรดงกลาวไมควรเปนผดแลระบบ ผดแลระบบเครอขาย ผพฒนา หรอผทเกยวของอน เพอแยกบทบาทหนาทใหชดเจนและเปนการปองกนการแกไขหรอเปลยนแปลงขอมลลอกโดยไมไดรบอนญาต

− กาหนดมาตรการควบคมการเขาถงขอมลลอก โดยการพสจนตวตนตามรายชอของผทมสทธเขาถงขอมลลอกทกาหนดไว รวมถงจดใหมการบนทกการเขาถงขอมล ลอกทกครง

มระบบการเกบรกษาความลบของขอมลทจดเกบ และกาหนดชนความลบในการเขาถงดงกลาว เพอรกษาความนาเชอถอของขอมล และไมใหผดแลระบบสามารถแกไขขอมลทเกบรกษาไว

ตวอยางการดาเนนการ − จดทาเอกสารควบคมชนความลบของขอมล โดยควรม

หวขอตอไปน ชนความลบของขอมล เชน ลบมาก ลบ ใชเปนการภายใน เปดเผยได

ขอบเขตหรอประเภทของขอมลตามระดบชนความลบ

วธการดาเนนการในแตละชนความลบ ตงแตการสราง การใชงาน การแจกจาย การเกบ การสง การทาลาย

− จดระดบชนความลบของขอมลลอกบนระบบ − จดใหมการดาเนนการตามเอกสารกาหนดชนความลบ

ของขอมล โดยเฉพาะขอมลลอก − จดใหมการการพสจนตวตนกอนเขาถงขอมลลอก

เทคโนโลยทสามารถนามาใชได − นาวธการ Digital Hashing มาใชเพอตรวจสอบความ

เปลยนแปลงทเกดขนบนขอมลลอก เชนการใช MD5 หรอ GPG เปนตน

− จดเกบขอมลลอกไวในสอบนทกขอมลชนดเขยนไดอยางเดยวเชน CD-ROM เปนตน

จดใหมผมหนาทประสานงานและใหขอมลกบพนกงานเจาหนาทซงไดรบแตงตงตาม พ.ร.บ. ฯ เพอใหการสงมอบขอมลนนเปนไปดวยความรวดเรว

ตวอยางการดาเนนการ − จดทานโยบายการเกบขอมลจราจรคอมพวเตอร และ

ระบบทบาทและหนาทของเจาหนาทประสานงานกบพนกงานเจาหนาทฯ ในกรณทตองการขอมลลอก

− จดทาหนงสอแตงตงเจาหนาทประสานงานอยางเปนทางการ เจาหนาทดงกลาวไมควรเปนผดแลระบบ ผดแลระบบเครอขาย ผพฒนาหรอบคลากรอนทเกยวของกบระบบทเกยวของกบขอมลลอก

ใชระบบของบคคลทสามเพอพสจนตวตน ตองดาเนนการใหมวธการระบและยนยนตวบคคล (Identification and Authentication) ของผใชบรการผานบรการของตนเองดวย

ตวอยางการดาเนนการ − จดใหมการพสจนตวตนโดยใชบญชผใชเชน

Username หรอ Login ทกาหนด เพอระบ Identification ของการใชงาน และกาหนดวธการพสจนตวตนหรอ Authentication ทเหมาะสมเชน รหสผาน หรอหมายเลข PIN บตร Smartcard หรอ ลายนวมอ เปนตน

− จดทาระบบลงทะเบยนผใชงานเพอใหกระบวนการ Identification ดวย Username หรอ Login ของระบบสามารถยนยนตวบคคลการใชงานระบบเปนรายบคคลไดจรง โดยอาจเลอกเกบขอมลเพมเตมเชน บตรประจาตวประชาชน หมายเลขพาสพอรต บตรประจาตว

หนา 6 จาก 51

 

ประเดน ขอพจารณา/แนวทางการดาเนนการ/ตวอยาง M I B พนกงาน หรอหมายเลขประจาตวพนกงาน สวนขอมลพนกงานสามารถใชขอมลจากฝายบคคลขององคกรได เปนตน

− กระบวนการ I&A ทดและมความมนคงปลอดภยและสามารถยนยนบคคลทใชเปนรายบคคลได ไมควรอนญาตใหสรางบญชผใชหรอ Username ทใชงานรวมกน

เทคโนโลยทสามารถนามาใชได − นาระบบพสจนตวตนแบบศนยกลางมาใชเชน

Microsoft Active Directory หรอการควบคมการเขาถงเครอขายดวย Proxy แบบทตองมการพสจนตวตนเปนตน

เพอใหขอมลจราจรมความถกตองและนามาใชประโยชนไดจรงผใหบรการตองตงนาฬกา ของอปกรณบรการทกชนดใหตรงกบเวลาอางองสากล (Stratum 0) โดยผดพลาดไมเกน ๑๐ มลลวนาท

− จดใหมการตงสญญาณเวลาดวยโพรโตคอล Network Time Protocol หรอ NTP ไปยงเซรฟเวอรทใหบรการขอมลเวลาอยางนอยทเปน Stratum 1 ตามเอกสารอางอง [9] ระบวาในเมองไทยมผใหบรการ สถาบนมาตรวทยาแหงชาต เครอง

time1.nimt.or.th หรอ 203.185.69.60 กรมอทกศาสตร กองทพเรอ เครองเซรฟเวอร

time.navy.mi.th หรอ 118.175.67.83 ศนยประสานงานการรกษาความปลอดภยคอมพวเตอรประเทศไทยหรอ ThaiCERT เครองเซรฟเวอร clock.thaicert.org หรอ 203.185.129.186 หรอ 203.185.129.187

− ในตางประเทศ National Institute of Standards and

Technology ประเทศสหรฐอเมรกา เครองเซรฟเวอร time.nist.gov หรอ 192.43.244.18

− ควรกาหนดใหมการตงคาเวลาผาน NTP ไปทเซรฟเวอร NTP Server ทมคา Stratum เปน 1 อยางนอย 2 หรอ 3 เซรฟเวอรเปนอยางนอย

เทคโนโลยทสามารถนามาใชได − การตดตง NTP Server ภายในองคกร โดยกาหนดให

รบคาสญญาณนาฬกาจากเซรฟเวอร NTP ทระดบ Stratum 1 ซงทาให NTP Server ภายในองคกรเปน Stratum 2 และตงคาใหเครองเซรฟเวอร อปกรณภายในเครอขาย รวมถงเครองลกขายรบคาฐานเวลาดวยโพรโตคอล NTP ทเซรฟเวอรน เพอลดทราฟฟกการใชงาน NTP ภายในองคกร และประสทธภาพของการตงคาฐานเวลาผานโพรโตคอล NTP

ขอกาหนดการจดเกบขอมลลอกตาม พ.ร.บ. วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 ขอมลจราจรคอมพวเตอรและขอมลผใชบรการตามความหมายใน พ.ร.บ. วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 นนมความหมายสอดคลองกบคาวาขอมลลอกหรอ Log ซงหมายถงขอมลของการบนทกเหตการณทเกดขนจากระบบหรอเครอขายตามเอกสารอางอง [4] หรอทเรยกวา Audit Trail ซงไดอธบายเพมเตมในหวขอ “ขอกาหนดการเกบขอมลลอกตามมาตรฐานความมนคงปลอดภย ISO/IEC 27001” และในหวขอ “การบรหารจดการการเกบขอมลลอกสาหรบองคกร” 1. ขอกาหนดการเกบรกษาขอมลจราจรคอมพวเตอรและขอมลผใชบรการ

จากประกาศ พ.ร.บ. วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 ซงระบมาตราท 26 ไววา [1]

มาตรา ๒๖ ผใหบรการตองเกบรกษาขอมลจราจรทางคอมพวเตอรไวไมนอยกวาเกาสบวน นบแตวนทขอมลนนเขาสระบบคอมพวเตอร แตในกรณจาเปนพนกงานเจาหนาทจะสงใหผใหบรการ ผใดเกบรกษาขอมลจราจรทางคอมพวเตอรไวเกนเกาสบวนแตไมเกนหนงปเปนกรณพเศษเฉพาะราย และเฉพาะคราวกได ผใหบรการจะตองเกบรกษาขอมลของผใชบรการเทาทจาเปนเพอใหสามารถระบตวผใชบรการ นบตงแตเรมใชบรการและตองเกบรกษาไวเปนเวลาไมนอยกวาเกาสบวนนบตงแตการใชบรการสนสดลง ความในวรรคหนงจะใชกบผใหบรการประเภทใด อยางไร และเมอใด ใหเปนไปตามทรฐมนตร ประกาศในราชกจจานเบกษา ผใหบรการผใดไมปฏบตตามมาตราน ตองระวางโทษปรบไมเกนหาแสนบาท

โดยองจากความหมายของ “ผใหบรการ” และ “ขอมลจราจรทางคอมพวเตอร” ในมาตรา 3 ไววา [1]

“ขอมลจราจรทางคอมพวเตอร” หมายความวา ขอมลเกยวกบการตดตอสอสารของระบบ คอมพวเตอร ซงแสดงถงแหลงกาเนด ตนทาง ปลายทาง เสนทาง เวลา วนท ปรมาณ ระยะเวลา ชนดของบรการ หรออน ๆ ทเกยวของกบการตดตอสอสารของระบบคอมพวเตอรนน “ผใหบรการ” หมายความวา (๑) ผใหบรการแกบคคลอนในการเขาสอนเทอรเนต หรอใหสามารถตดตอถงกนโดย ประการอน โดยผานทางระบบคอมพวเตอร ทงน ไมวาจะเปนการใหบรการในนามของตนเอง หรอ ในนามหรอเพอประโยชนของบคคลอน (๒) ผใหบรการเกบรกษาขอมลคอมพวเตอรเพอประโยชนของบคคลอน

เพอความกระจางและตความถกตองตรงกน พจารณาการตความจากเอกสาร “คาอธบายพระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐” หรอเอกสารอางอง [2] ไดอธบายขยายความเพมเตมตามมาตราท 26 ในบทท 6 วาดวยความรบผดของผใหบรการและบคคลทวไปไวโดยละเอยดดงตอไปน

มาตรา ๒๖ กาหนดหนาทและความรบผดชอบ กลาวคอผใหบรการมหนาทตองเกบรกษาขอมล ๒ ประการ คอ (๑) ขอมลจราจรทางคอมพวเตอร ความหมายของขอมลจราจรทางคอมพวเตอรปรากฏตามมาตรา ๓ โดยผใหบรการจะตองเกบรกษาขอมลจราจรทางคอมพวเตอรไวไมนอยกวาเกาสบวนนบแตวนทขอมลนนเขาสระบบคอมพวเตอรแตอาจขยายออกไปไดกรณทพนกงานเจาหนาทสงใหเกบรกษาขอมลจราจรทางคอมพวเตอรไวเกนเกาสบวนแตไมเกนหนงปเปนกรณพเศษเฉพาะรายและเฉพาะคราวกได การกาหนดหลกเกณฑในเรองการเกบรกษาขอมลจราจรทางคอมพวเตอรวาจะใชกบผใหบรการประเภทใด อยางไร และเมอใดนนจะเปนไปตามทรฐมนตรประกาศในราชกจจานเบกษา (๒) ขอมลผใชบรการ หมายถง ขอมลทบนทกถงตวตนของบคคลในการเขาใชบรการทางเครอขายของผใหบรการ ไมวาจะเปนชอ สกล รหสเลขประจาตว user name หรอ pin code ใดๆ ผใหบรการมหนาทเกบรกษาขอมล

หนา 7 จาก 51

 

ของผใชบรการนบตงแตเรมใชบรการและตองเกบรกษาไวเปนเวลาไมนอยกวาเกาสบวนนบตงแตการใชบรการสนสดลง ผใหบรการผใดไมปฏบตตามมาตรา ๒๖ คอไมเกบรกษาขอมลจราจรทางคอมพวเตอร หรอขอมลผใชบรการจะตองระวางโทษตามวรรคส คอปรบไมเกนหาแสนบาท

ประเดนทตองปฏบตตาม พ.ร.บ. สรปไดตามตาราง

ท ประเดน ขอพจารณา ตวอยางการดาเนนการ 1 เกบรกษาขอมล

จราจรคอมพวเตอร

ตองเกบรกษาขอมลจราจรคอมพวเตอร − ตงแตวนทขอมลเขาส

ระบบคอมพวเตอร และ − เกบไวไมนอยกวา 90 วน − พนกงานเจาหนาทสามารถ

สงใหเกบเพมเตมจาก 90 วนแตไมเกน 1 ปได เปนกรณๆ ไป

− ตวอยางขอมลจราจรคอมพวเตอร เชน ขอมลเกยวกบการตดตอสอสารของระบบคอมพวเตอร ซงแสดงถงแหลงกาเนด ตนทาง ปลายทาง เสนทาง เวลา วนท ปรมาณ ระยะเวลาชนดของบรการ หรออน ๆ

เวลา ไอพแอดเดรสตนทาง ไอพแอดเดรสปลายทาง หมายเลขพอรตตนทาง หมายเลขพอรตปลายทาง โพรโตคอลทใช ขนาดของขอมล ระยะเวลาทตดตอสอสาร

2 พจารณาหลกเกณฑการเกบรกษาขอมลจราจรคอมพวเตอร

การเกบรกษาขอมลจราจรทางคอมพวเตอรวาจะใชกบผใหบรการประเภทใด อยางไร และเมอใดนนจะเปนไปตามหลกเกณฑการเกบรกษาขอมลจราจรทางคอมพวเตอรของผใหบรการ พ.ศ. 2550

− พจารณาตาม ประกาศราชกจจานเบกษาหลกเกณฑการเกบรกษาขอมลจราจรทางคอมพวเตอรของผใหบรการ พ.ศ. 2550 เมอวนท 23 สงหาคม 2550 หรอในเอกสารอางอง [7]

3 เกบรกษาขอมลผใชบรการ

ตองเกบรกษาขอมลผใชบรการ − ตงแตวนทผใชเรมใช

บรการ และ − เกบไวไมนอยกวา 90 วน

ตงแตการใชบรการสนสดลง

− ตวอยางขอมลผใชบรการเชน ชอ สกล รหสเลขประจาตว user

name หรอ pin code ชอ นามสกล อเมล ทะเบยนบาน หมายเลขบตรประจาตวประชาชน หรอเบอรพาสปอรต รหสยนยนตวบคคล ชอบญชผใช วนเวลาทลงทะเบยนใชงานกบระบบ วนเวลาทเขาใชงานระบบ

2. แนวทางปฏบตการเกบขอมลจราจรคอมพวเตอรและขอมลผใชบรการ

จากประเดนขอ 2 นนกระทรวงเทคโนโลยสารสนเทศและการสอสารไดประกาศในราชกจจานเบกษาเรอง หลกเกณฑการเกบรกษาขอมลจราจรทางคอมพวเตอรของผใหบรการ พ.ศ. 2550 เมอวนท 23 สงหาคม 2550 ตามเอกสารอางอง [7] ไดกาหนดหลกเกณฑการดาเนนการเกบขอมลจราจรคอมพวเตอรไวโดยมใจความวา

อาศยอานาจตามความในมาตรา ๒๖ วรรค ๓ แหงพระราชบญญตวาดวยการกระทาความผด เกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐ ดงนน รฐมนตรวาการกระทรวงเทคโนโลยสารสนเทศและ การสอสาร จงไดกาหนดหลกเกณฑไว ดงตอไปน ขอ ๑ ประกาศนเรยกวา “หลกเกณฑการเกบรกษาขอมลจราจรทางคอมพวเตอรของผใหบรการ พ.ศ. ๒๕๕๐” ขอ ๒ ประกาศนใหใชบงคบตงแตวนถดจากวนประกาศในราชกจจานเบกษาเปนตนไป ขอ ๓ ใหรฐมนตรวาการกระทรวงเทคโนโลยสารสนเทศและการสอสารรกษาการตามประกาศน

หนา 8 จาก 51

 

ขอ ๔ ในประกาศน “ผใชบรการ” หมายความวา ผใชบรการของผใหบรการไมวาตองเสยคาใชบรการหรอไมกตาม ขอ ๕ ภายใตบงคบของมาตรา ๒๖ แหงพระราชบญญตวาดวยการกระทาความผดเกยวกบ คอมพวเตอร พ.ศ. ๒๕๕๐ ประเภทของผใหบรการซงมหนาทตองเกบรกษาขอมลจราจรทาง คอมพวเตอรแบงได ดงน (๑) ผใหบรการแกบคคลทวไปในการเขาสอนเทอรเนต หรอใหสามารถตดตอถงกน โดยประการอน ทงน โดยผานทางระบบคอมพวเตอร ไมวาจะเปนการใหบรการในนามของตนเอง หรอเพอประโยชนของบคคลอน สามารถจาแนกได ๔ ประเภท ดงน ก. ผประกอบกจการโทรคมนาคมและการกระจายภาพและเสยง (Telecommunication and Broadcast Carrier) ประกอบดวยผใหบรการดงปรากฏตามภาคผนวก ก. แนบทายประกาศน ข. ผใหบรการการเขาถงระบบเครอขายคอมพวเตอร (Access Service Provider) ประกอบดวยผใหบรการดงปรากฏตามภาคผนวก ก. แนบทายประกาศน ค. ผใหบรการเชาระบบคอมพวเตอร หรอใหเชาบรการโปรแกรมประยกตตาง ๆ (Host Service Provider) ประกอบดวยผใหบรการดงปรากฏตามภาคผนวก ก. แนบทายประกาศน ง. ผใหบรการรานอนเทอรเนต ดงปรากฏตามภาคผนวก ก. แนบทายประกาศน (๒) ผใหบรการในการเกบรกษาขอมลคอมพวเตอรเพอประโยชนของบคคลตาม (๑) (Content Service Provider) เชน ผใหบรการขอมลคอมพวเตอรผานแอพพลเคชนตาง ๆ (Application Service Provider) ประกอบดวยผใหบรการดงภาคผนวก ก. แนบทายประกาศน ขอ ๖ ขอมลจราจรทางคอมพวเตอรทผใหบรการตองเกบรกษา ปรากฏดงภาคผนวก ข. แนบทายประกาศน ขอ ๗ ผใหบรการมหนาทเกบรกษาขอมลจราจรทางคอมพวเตอร ดงน (๑) ผใหบรการตามขอ ๕ (๑) ก. มหนาทเกบขอมลจราจรทางคอมพวเตอรตามภาคผนวก ข. ๑ (๒) ผใหบรการตามขอ ๕ (๑) ข. มหนาทเกบขอมลจราจรทางคอมพวเตอรตามภาคผนวก ข. ๒ ตามตามประเภท ชนดและหนาทการใหบรการ (๓) ผใหบรการตามขอ ๕ (๑) ค. มหนาทเกบขอมลจราจรทางคอมพวเตอรตามภาคผนวก ข. ๒ ตามประเภท ชนดและหนาทการใหบรการ (๔) ผใหบรการตามขอ ๕ (๑) ง. มหนาทเกบขอมลจราจรทางคอมพวเตอรตามภาคผนวก ข. ๓ (๕) ผใหบรการตามขอ ๕ (๒) มหนาทเกบขอมลจราจรทางคอมพวเตอรตามภาคผนวก ข. ๔ ทงน ในการเกบรกษาขอมลจราจรตามภาคผนวกตาง ๆ ทกลาวไปขางตนนน ใหผใหบรการ เกบเพยงเฉพาะในสวนทเปนขอมลจราจรทเกดจากสวนทเกยวของกบบรการของตนเทานน ขอ ๘ การเกบรกษาขอมลจราจรทางคอมพวเตอร ผใหบรการตองใชวธการทมนคง ปลอดภย ดงตอไปน (๑) เกบในสอ (Media) ทสามารถรกษาความครบถวนถกตองแทจรง (Integrity) และระบ ตวบคคล (Identification) ทเขาถงสอดงกลาวได (๒) มระบบการเกบรกษาความลบของขอมลทจดเกบ และกาหนดชนความลบในการเขาถง ขอมลดงกลาว เพอรกษาความนาเชอถอของขอมล และไมใหผดแลระบบสามารถแกไขขอมลท เกบรกษาไว เชน การเกบไวใน Centralized Log Server หรอการทา Data Archiving หรอทา Data Hashing เปนตน เวนแต ผมหนาทเกยวของทเจาของหรอผบรหารองคกร กาหนดใหสามารถเขาถง ขอมลดงกลาวได เชน ผตรวจสอบระบบสารสนเทศขององคกร (IT Auditor) หรอบคคลทองคกร มอบหมาย เปนตน รวมทงพนกงานเจาหนาทตามพระราชบญญตน (๓) จดใหมผมหนาทประสานงานและใหขอมลกบพนกงานเจาหนาทซงไดรบการแตงตง ตามพระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐ เพอใหการสงมอบ ขอมลนน เปนไปดวยความรวดเรว (๔) ในการเกบขอมลจราจรนน ตองสามารถระบรายละเอยดผใชบรการเปนรายบคคลได (Identification and Authentication) เชน ลกษณะการใชบรการ Proxy Server, Network Address Translation (NAT) หรอ Proxy Cache หรอ Cache Engine หรอบรการ Free Internet หรอ บรการ 1222 หรอ Wi-Fi Hotspot ตองสามารถระบตวตนของผใชบรการเปนรายบคคลไดจรง (๕) ในกรณทผใหบรการประเภทหนงประเภทใด ในขอ ๑ ถงขอ ๔ ขางตน ไดใหบรการ ในนามตนเอง แตบรการดงกลาวเปนบรการทใชระบบของผใหบรการซงเปนบคคลทสาม เปนเหตให

หนา 9 จาก 51

 

ผใหบรการในขอ ๑ ถงขอ ๔ ไมสามารถรไดวา ผใชบรการทเขามาในระบบนนเปนใคร ผใหบรการเชนวานนตองดาเนนการใหมวธการระบและยนยนตวบคคล (Identification and Authentication) ของผใชบรการผานบรการของตนเองดวย ขอ ๙ เพอใหขอมลจราจรมความถกตองและนามาใชประโยชนไดจรงผใหบรการตองตงนาฬกา ของอปกรณบรการทกชนดใหตรงกบเวลาอางองสากล (Stratum 0) โดยผดพลาดไมเกน ๑๐ มลลวนาท ขอ ๑๐ ผใหบรการซงมหนาทเกบขอมลจราจรทางคอมพวเตอรตามขอ ๗ เรมเกบขอมล ดงกลาวตามลาดบ ดงน (๑) ผใหบรการตามขอ ๕ (๑) ก. เรมเกบขอมลจราจรทางคอมพวเตอรเมอพนสามสบวน นบจากวนประกาศในราชกจจานเบกษา (๒) ใหผใหบรการตามขอ ๕ (๑) ข. เฉพาะผใหบรการเครอขายสาธารณะหรอผใหบรการ อนเทอรเนต (ISP) เรมเกบขอมลจราจรทางคอมพวเตอรเมอพนหนงรอยแปดสบวนนบจากวนประกาศ ในราชกจจานเบกษา ผใหบรการอนนอกจากทกลาวมาในขอ ๑๐ (๑) และขอ ๑๐ (๒) ขางตน ใหเรมเกบขอมล จราจรทางคอมพวเตอรเมอพนหนงปนบจากวนประกาศในราชกจจานเบกษา

ผใหบรการในแตละประเภทสามารถประยกตจากแนวทางปฏบตดานลางนได

ท ประเดน ขอพจารณา ตวอยางการดาเนนการ 1 พจารณาวาองคกร

จดอยในประเภทของผใหบรการใด

เพอพจารณาวาองคกรจดอยในประเภทของผใหบรการ − 5 (1) ผใหบรการแกบคคล

ทวไปในการเขาสอนเทอรเนต

− 5 (2) ผใหบรการในการเกบรกษาขอมลคอมพวเตอรเพอประโยชนของบคคลตาม 5 (1)

− ประชมหารอรวมกนหรอจดทา Workshop ระหวางผประสานงาน ตวแทนผดแลระบบ ตวแทนผดแลระบบเครอขาย ตวแทนผพฒนาระบบ ผดแลความมนคงปลอดภย ผบรหารระบบสารสนเทศ เพอกาหนดวาองคกรถกจดใหเปนผใหบรการประเภทใด

2 จดทานโยบายการเกบรกษาขอมลจราจรคอมพวเตอร และขอมลผใชบรการตาม พ.ร.บ.

กาหนดเปนนโยบายการเกบรกษาขอมลจราจรคอมพวเตอร และผใชบรการ ตาม พ.ร.บ. เพอกาหนดบทบาทหนาทผทเกยวของ วนทบงคบใช การดาเนนการ บทลงโทษ ผตดตอประสานงานและประกาศใหเปนททราบโดยทวกน และนาไปใชทวทงองคกร

− นโยบายดงกลาวควรครอบคลมหวขอตอไปน นยามทเกยวของเชน ขอมลจราจรคอมพวเตอร ขอมลผใชบรการ ใครเปนผใชบรการ เปนตน

องคกรจดอยในประเภทของผใหบรการใด

กาหนดรายละเอยดวนเวลาทดาเนนการ

บทบาทหนาทความรบผดชอบ ของแตละหนวยงาน เชนการดาเนนการ การกากบใหปฏบตตาม การตรวจความสอดคลองกบ พ.ร.บ.

แนวทางปฏบตทจาเปนตองดาเนนการ โดยอาจทาเปนเอกสารกาหนดคณสมบตทางเทคนคการเกบขอมลลอกแยกจากนโยบายฉบบนอก 1 ฉบบเพอระบวาในองคกรมเซรฟเวอรหรออปกรณใดทตองเกบขอมลลอก และดาเนนการเกบขอมลลอกใหสอดคลองตามเอกสารอางอง [7] ไดอยางไร

กาหนดหรอแตงตงเจาหนาทประสานงานกบพนกงาน

หนา 10 จาก 51

 

หนา 11 จาก 51

 

ท ประเดน ขอพจารณา ตวอยางการดาเนนการ เจาหนาทของรฐในกรณทตองการขอมล

กาหนดหรอจดทาบญชรายชอผทมสทธเขาถงขอมลลอก

ระบมาตรการควบคมทนามาใชเพอปองกนขอมลลอกใหมนคงปลอดภยและเชอถอได เชนการปองกนการเปลยนแปลงขอมล ลอกโดยไมไดรบอนญาต การพสจนตวตน การเขารหสหรอมาตรการอนทนามาใชเปนตน

การทบทวนนโยบายเชนทก 1 ปเปนตน หรอจดใหมการทบทวนเมอมการปรบปรงโครงสรางพนฐานระบบสารสนเทศ หรอโครงสรางธรกจขององคกรเปนตน

− นโยบายควรลงนามโดยผบรหารระดบสง หรอผบรหารระบบสารสนเทศเปนอยางนอย

3 จดทาเอกสารและดาเนนการปฏบตตามขอกาหนดคณสมบตทตองดาเนนการเกบขอมลจราจรคอมพวเตอรและขอมลผใชบรการ ตามขอกาหนดใน พ.ร.บ.

เพอใชในการวางแผนดาเนนงาน ตรวจสอบความสอดคลองกบขอกาหนดตาม พ.ร.บ. และสามารถกาหนดมาตรการในการปองกนขอมลลอก มาตรการปองกนการเปลยนแปลงขอมลลอก รวมถงมาตรการในการดาเนนการอนๆ

− ดาเนนการ จดทาเอกสารเพอระบวาองคกรจดเปนผใหบรการประเภทใด

จดทาเอกสารกาหนดคณสมบตทางเทคนคทองคกรตองดาเนนการเพอใหสามารถเกบขอมลลอกใหสอดคลองตามท พ.ร.บ. ไดกาหนดไว

ดาเนนการประเมนความเสยงเฉพาะในแงของเกบขอมลจราจรคอมพวเตอรและขอมลผใชบรการ เพอหาวาจาเปนจะตองดาเนนการเสรมสรางความมนคงปลอดภยหรอลดความเสยงในดานใดบาง

ดาเนนการประเมนผลกระทบ และขดความสามารถในการเกบขอมลใหไดตาม พ.ร.บ. และกาหนดมาตรการเพมเตม เชนจดซอเซรฟเวอรสาหรบเกบขอมลลอกโดยเฉพาะเปนตน

กาหนดแผนการดาเนนงาน ผรบผดชอบดาเนนการ เอกสารการดาเนนงาน และแนวทางการบารงรกษาระบบการเกบขอมลลอก

3. ขอกาหนดการเกบรกษาขอมลจราจรคอมพวเตอรหรอขอมลลอกใหมนคงปลอดภย คาวา “ความมนคงปลอดภยของขอมลลอก” องตามความหมายของความมนคงปลอดภยระบบสารสนเทศโดยรวม หมายถงวาขอมลลอกนนตองยงคงรกษา − ความลบหรอ Confidentiality ของขอมลลอกใหเขาถงไดเฉพาะผทกาหนดหรอแตงตงใหเปน

เจาหนาทผเขาถงขอมลลอก และไมควรจะเปนผดแลระบบ ผดแลเครอขาย ผพฒนาแอพพลเคชนภายในองคกร

− ความถกตองสมบรณหรอ Integrity ของขอมลลอกหรอมการกาหนดมาตรการปองกนและตรวจจบ

การเปลยนแปลงของขอมลลอก

− ความพรอมใชหรอ Availability ของขอมลลอก ซงมการจดเกบรกษาขอมลลอกหรอ Data archival (ดรายละเอยดเพมเตมไดทหวขอ “การจดเกบขอมลลอก” ในสวน “Log Archival”) ใหครบตามระยะเวลารกษาขอมลลอกซงสอดคลองกบขอกาหนดทางกฏหมาย ขอบงคบ หรอพ.ร.บ. หรอตามจดประสงคขององคกร เชนขอมลลอกตามความหมายของขอมลจราจรคอมพวเตอรหรอขอมลผใชบรการตองเกบไวไมนอยกวา 90 วนนบตงแตขอมลเขาสระบบคอมพวเตอรเปนตน และทสาคญ ควรกาหนดมาตรการการสารองขอมลลอกเพอใหสามารถรกษาความพรอมใชของขอมลลอกเมอผทไดรบอนญาตตองการใชงานขอมลลอกดวยเชนเดยวกน

จากประกาศในราชกจจานเบกษาเรอง หลกเกณฑการเกบรกษาขอมลจราจรทางคอมพวเตอรของผใหบรการ พ.ศ. 2550 เมอวนท 23 สงหาคม 2550 ตามขอ 8 และขอ 9 หรอตามเอกสารอางอง [7] นนตองการใหผใหบรการตองดาเนนการเกบขอมลลอกตามประเภทของผใหบรการใหครบถวนและตองมการรกษาขอมลจราจรคอมพวเตอร หรอขอมลลอกใหมความมนคงปลอดภยและสามารถนามาใชสบสวนตามกระบวนการตอไปได ขอกาหนดดงกลาวสามารถสรปแนวทางการดาเนนการ โดยจดกลมตามระดบความสาคญได 2 ระดบ1 คอ − จาเปนตองดาเนนการ หมายถง เปนกระบวนการและวธการทจาเปนตองนามาใช เพอใหสามารถปฏบต

ตาม หลกเกณฑการเกบรกษาขอมลจราจรทางคอมพวเตอรของผใหบรการ พ.ศ. 2550 เมอวนท 23 สงหาคม 2550 ตามขอ 8 และขอ 9 ไดเปนอยางนอย อยางไรกตามอาจเลอกใชวธการอนในสวนทระบภายใต ควรดาเนนการได

− ควรดาเนนการ หมายถง เปนกระบวนการและวธการทแนะนาใหเลอกนามาใช หรอเปน Best Practice ท

สามารถนามาใชและเกดผลดในระยะยาว หรอเปนตวเลอกทองคกรโดยสวนใหญแนะนาใหทา โดยแบงเปนประเดนดงตอไปน

ท ประเดน แนวทางการดาเนนการ ตวอยางการดาเนนการ 1 ดาเนนการจดเกบ

ขอมลลอกตามประเภทของผใหบรการ

ตรวจสอบวาองคกรจดอยในประเภทของผใหบรการประเภทใด − 5 (1) ผใหบรการแกบคคล

ทวไปในการเขาสอนเทอรเนต

− 5 (2) ผใหบรการในการเกบรกษาขอมลคอมพวเตอรเพอประโยชนของบคคลตาม 5 (1)

ควรดาเนนการ − ประชมหารอรวมกนระหวางทผท

เกยวของ และดาเนนการกาหนดคณสมบตรายละเอยดทางเทคนคของการเกบขอมลลอกใหสอดคลองตามประเภทของผใหบรการ

− จดทาและดาเนนการตามนโยบายการเกบขอมลจราจรคอมพวเตอร

− แตงตงเจาหนาทผเขาถงขอมลจราจรคอมพวเตอรและตดตอประสานงานกบเจาหนาทพนกงานของรฐ รวมถงให

                                                            1

หนา 12 จาก 51

 

  แนวทางการดาเนนการและตวอยางการดาเนนการในตารางดงกลาว ซงไดจดระดบความสาคญของการดาเนนการเปน “จาเปนตองดาเนนการ” และ “ควรดาเนนการ” เปนคาแนะนาจากคณะผเขยน ไมไดเปนขอบงคบตามหลกเกณฑการเกบรกษาขอมลจราจรทางคอมพวเตอรของผใหบรการ พ.ศ. 2550 เมอวนท 23 สงหาคม 2550 ตามขอ 8 และขอ 9 แตอยางใด (ตามหลกเกณฑฯ นน สงเกตวาใชคาวา “เชน” เพอระบแนวทางหรอตวอยางการดาเนนการทเหมาะสมใหเชนเดยวกน)

หนา 13 จาก 51

 

ท ประเดน แนวทางการดาเนนการ ตวอยางการดาเนนการ และดาเนนการจดเกบขอมลจราจรคอมพวเตอร

การในชนศาล อยางนอยดงน เจาหนาททดแลรกษาขอมลลอก ผตรวจสอบระบบสารสนเทศขององคกร (IT Auditor)

ผบรหารองคกร − จดทาการเกบขอมลลอกตาม

รายละเอยดคณสมบตทางเทคนคของการเกบขอมลลอก

− ดาเนนการตรวจสอบเปนการภายในวาการเกบขอมลลอกนนสอดคลองตามท พ.ร.บ. ไดกาหนดไวแลวหรอไม

2 เกบขอมลลอกในสอ (Media) ทสามารถรกษาความครบถวนถกตองแทจรง (Integrity)

กาหนดวธการในการจดเกบขอมลลอกบนสอบนทกขอมลหรอฮารดดสก (Harddisk) บนเซรฟเวอรหรออปกรณทรบประกนความคงอยของขอมล

ควรดาเนนการ − จดเกบขอมลลอกบน Harddisk ทใช

เทคโนโลย RAID หรอ Redundancy Array of Independent Disks เชน RAID 1 หรอ RAID 3 หรอ RAID 5 เปนอยางนอยเพอปองกนความเสยหายทเกดขนบน Harddisk แบบถวาร หรอทเรยกวา Physical Error หรอ Disk Error

− กาหนดวธการสารองขอมลลอกอยางเปนรปธรรมเชน การสารองบนดวด การสารองบนเทปอตโนมต หรอการทา Disk mirror เปนตน

− ในกรณทมการสารองขอมล ใหกาหนดวธการปองกนสอบนทกขอมลสารองขอมลลอกเชน เทป ซดรอม หรอดวด หรอ Harddisk เชนจดเกบในบรเวณทปลอดภย เชนตเซฟเปนตน

3 ระบตวบคคล (Identification) ทเขาถงสอ (Media) ทเกบขอมลลอก

มประเดนพจารณา 2 ประเดนคอ − แตงตงเจาหนาทผเขาถง

ขอมลลอก เพอแตงตงบคลากรหรอทมงานผรบผดชอบการดแลการเกบรกษาขอมลลอก และตดตอกบเจาหนาทพนกงานของรฐในกรณทตองการขอมล

− บคลากรดงกลาวไมควรเปนผดแลระบบ ผดแลระบบเครอขาย ผพฒนา หรอผทเกยวของอน เพอแยกบทบาทหนาทใหชดเจนและเปนการปองกนการแกไขหรอเปลยนแปลงขอมล ลอกโดยไมไดรบอนญาต

− กาหนดมาตรการควบคมการเขาถงขอมลลอก โดยการพสจนตวตนตามรายชอของผทมสทธเขาถงขอมลลอกทกาหนดไว รวมถงจดใหมการบนทกการเขาถงขอมล

จาเปนตองดาเนนการ − จดทามาตรการควบคมทางเทคโนโลย

เชน การกาหนดสทธบนอปกรณทเกบขอมลลอกใหเปนไปตามบญชรายชอทกาหนดขนน รวมถงจดใหมการบนทกการเขาถงขอมลลอก

ควรดาเนนการ − จดทานโยบายการเกบขอมลจราจร

คอมพวเตอร เพอระบบทบาทและหนาทของผทเกยวของ

− จดทาบญชรายชอผทสามารถเขาถงขอมลลอก และเพอใชตรวจสอบสทธการเขาถงขอมลลอกโดยผตรวจสอบระบบสารสนเทศในภายหลง

− จดทาลอกเซรฟเวอรหรอ Log Server เพอเกบขอมลแบบ Secondary Logging เพอใหสามารถบรหารจดการและควบคมการเขาถงขอมลลอกท ลอกเซรฟเวอรจากศนยกลางและทาใหมความมนคงปลอดภยมากยงขน หาขอมลเพมเตมไดทหวขอ Secondary Logging

หนา 14 จาก 51

 

ท ประเดน แนวทางการดาเนนการ ตวอยางการดาเนนการ ลอกทกครง

การกาหนดชนความลบของขอมลเชน ลบมาก ลบ เปดเผยได โดยเฉพาะกบขอมลลอก

จาเปนตองดาเนนการ − จดทาเอกสารควบคมชนความลบของ

ขอมล โดยควรมหวขอตอไปน ชนความลบของขอมล เชน ลบมาก ลบ ใชเปนการภายใน เปดเผยได

ขอบเขตหรอประเภทของขอมลตามระดบชนความลบ

วธการดาเนนการในแตละชนความลบ ตงแตการสราง การใชงาน การแจกจาย การเกบ การสง การทาลาย

− จดระดบชนความลบของขอมลลอกบนระบบ

กาหนดวธการรกษาความลบตามชนความลบของขอมลลอก

จาเปนตองดาเนนการ − จดใหมการดาเนนการตามเอกสาร

กาหนดชนความลบของขอมล โดยเฉพาะขอมลลอก

ควรดาเนนการ − กาหนดใหมการตรวจสอบการ

ดาเนนการตามชนความลบของขอมลลอกเชน ตรวจสอบโดยผตรวจสอบระบบสารสนเทศ (IT Auditor) เปนตน

ออกแบบโครงสรางพนฐานระบบสารสนเทศทเออใหมการจดเกบขอมล ลอกอยางมนคงปลอดภย

ควรดาเนนการ − ปรบปรงความมนคงปลอดภยของ

เซรฟเวอร − ดาเนนการจดทาลอกเซรฟเวอรหรอ

Log Server − ปรบปรงระบบเครอขายใหมการ

แบงแยกเครอขายในการจดเกบลอก − ปรบปรงไฟรวอลลใหมความมนคง

ปลอดภยมากยงขน − การควบคมการเขาถงขอมลลอก − การปองกนการเปลยนแปลงขอมล

ลอก − การเขารหสขอมลลอกทจาเปน

4 มระบบการเกบรกษาความลบของขอมลทจดเกบ และกาหนดชนความลบในการเขาถงดงกลาว เพอรกษาความนาเชอถอของขอมล และไมใหผดแลระบบสามารถแกไขขอมลทเกบรกษาไว

กาหนดมาตรการควบคมการเขาถงขอมลลอก โดยการพสจนตวตนตามรายชอของผทมสทธเขาถงขอมลลอกทกาหนดไว รวมถงจดใหมการบนทกการเขาถงขอมล ลอกทกครง

จาเปนตองดาเนนการ − จดใหมการการพสจนตวตนกอนเขาถง

ขอมลลอก ควรดาเนนการ − กาหนดใหมการจดทาลอกเซรฟเวอรท

เกบเฉพาะขอมลลอกซงจะสามารถควบคมการเขาถงขอมลลอกไดอยางมประสทธภาพยงขน

จาเปนตองดาเนนการกาหนดมาตรการในการระบการเปลยนแปลงทเกดขนบนขอมลลอก และตรวจสอบไดวาเปนการเปลยนแปลงทถกตอง

− จดใหมการบนทกการเขาถงขอมล

ลอกทกครง เชนผใชทเขาถง ไอพแอดเดรสของผใชทเขาถงขอมลลอก การลบหรอแกไขขอมลลอก เปนตน

ควรดาเนนการ

หนา 15 จาก 51

 

ท ประเดน แนวทางการดาเนนการ ตวอยางการดาเนนการ − นาวธการ Digital Hashing มาใชเพอ

ตรวจสอบความเปลยนแปลงทเกดขนบนขอมลลอก เชนการใช MD5 หรอ GPG เปนตน

− จดเกบขอมลลอกไวในสอบนทกขอมลชนดเขยนไดอยางเดยวเชน CD-ROM เปนตน

กาหนดมาตรการปองกนการเขาถงหรอเปลยนแปลงขอมล ลอกทสงผานระบบเครอขายโดยไมไดรบอนญาต

ควรดาเนนการ − ออกแบบระบบเครอขายใหรองรบการ

สงขอมลลอกผานระบบเครอขายใหปลอดภย เชนการแบงเครอขายของ ลอกเซรฟเวอรโดยเฉพาะ การควบคมผานไฟรวอลลเปนตน

− เขารหสขอมลลอกทมการสงผานระบบเครอขาย เชนเขารหสขอมลกอนแลวคอยสงไปทลอกเซรฟเวอรเปนตน

ขอมลลอกตองเขาถงไดจากผทไดรบอนญาตหรอไดสทธ และเมอตองการเขาถงขอมล ลอกควรจะเขาถงไดตามตองการโดยทนท

จาเปนตองดาเนนการ − จดทาระบบสารองขอมลลอก โดย

กาหนดตามแผนการสารองขอมลลอก เชนดาเนนการสารองขอมลแบบ Full ทก 1 เดอนเปนตน หรอการบบขอมลลอก (Archive Log) และเขยนในสอบนทกขอมลชนดเขยนไดอยางเดยว

ควรดาเนนการ − ควรกาหนดปรมาณขอมลลอกท

สามารถสบคนไดทนท เชนกาหนดใหสบคนไดยอนหลงไป 10 วน ถาตองการสบคนยอนหลงไปมากกวานน ตองไปดงขอมลจากขอมลในเทปสารองขอมลเปนตน

− ควรมการกาหนดระบบทดแทนระบบเกบขอมลลอก เชนม 2 เซรฟเวอรทาหนาทเกบขอมลลอกเปนตน หรอพจารณาทา RAID บนฮารดดสกทใชเกบขอมลลอกเพอใหรองรบความเสยหายทอาจจะเกดขนบนฮารดดสก เพอเพมระดบความพรอมใชของการใหบรการขอมลลอก

− ควรมการประเมนและตดตามปรมาณขอมลลอกตอวน เพอใหสามารถวางแผนและกาหนดขดความสามารถในการจดเกบขอมลลอกบนเซรฟเวอรเกบขอมลลอกได

5 จดใหมผมหนาทประสานงานและใหขอมลกบพนกงานเจาหนาทซงไดรบแตงตงตาม พ.ร.บ. ฯ เพอใหการสงมอบขอมลนนเปนไปดวยความรวดเรว

ควรดาเนนการเมอเกดเหตการณทจาเปนตองประสานงานขอขอมลจราจรคอมพวเตอรหรอขอมลผใชบรการ หรอขอมลลอกแลว องคกรควรจะจดใหมเจาหนาททเขาถงขอมลลอกเพอสงมอบใหพนกงานเจาหนาทฯ ไดอยางรวดเรว

− จดทานโยบายการเกบขอมลจราจร

คอมพวเตอร และระบบทบาทและหนาทของเจาหนาทประสานงานกบพนกงานเจาหนาทฯ ในกรณทตองการขอมลลอก

− จดทาหนงสอแตงตงเจาหนาทประสานงานอยางเปนทางการ เจาหนาทดงกลาวไมควรเปนผดแลระบบ ผดแลระบบเครอขาย ผพฒนาหรอบคลากรอนทเกยวของกบระบบทเกยวของกบขอมลลอก

หนา 16 จาก 51

 

ท ประเดน แนวทางการดาเนนการ ตวอยางการดาเนนการ

6 ขอมลจราจรคอมพวเตอรตองสามารถระบรายละเอยดของผใชบรการเปนรายบคคลได (Identification an Authentication หรอ I&A)

ตองจดใหมการดาเนนการเพอใหระบบสามารถระบและพสจนตวตนผใชงานระบบเปนรายบคคลได โดยเฉพาะเมอมการใชระบบตอไปน − Proxy Server หรอ Cache

Server หรอ Proxy Cache หรอ Cache Engine

− อปกรณททา Network Address Translation หรอ NAT

− บรการเครอขายไรสายแบบ Hotspot เชน Wi-Fi Hotspot

ในกรณทมการใชงานระบบตามทกาหนดไวขางตน ควรจดให ควรดาเนนการ − จดใหมการพสจนตวตนโดยใชบญช

ผใชเชน Username หรอ Login ทกาหนด เพอระบ Identification ของการใชงาน และกาหนดวธการพสจนตวตนหรอ Authentication ทเหมาะสมเชน ใชรวมกบ What you know เชนรหสผาน หรอหมายเลข PIN

ใชรวมกบ What you have เชนบตร Smartcard

ใชรวมกบ What you are เชนลายนวมอ มานตา หรอมอเปนตน

7 ใชระบบของบคคลทสามเพอพสจนตวตน ตองดาเนนการใหมวธการระบและยนยนตวบคคล (Identification and Authentication)

ในกรณท Outsource กระบวนการพสจนตวตนใหกบ 3rd ใชมาตราการพสจนตวตนหรอ

Authentication มากกวา 1 วธการเพอเพมความมนคงปลอดภยของกระบวนการ I&A น

Party หรอ Vendor ทางองคกรตองดาเนนการจดใหม I&A ของระบบทเชอมตอกบ Outsource ควบคไปดวย

− จดทาระบบลงทะเบยนผใชงานเพอใหกระบวนการ Identification ดวย Username หรอ Login ของระบบสามารถยนยนตวบคคลการใชงานระบบเปนรายบคคลไดจรง โดยอาจะเลอกเกบขอมลเพมเตมเชน

ของผใชบรการผานบรการของตนเองดวย

บตรประจาตวประชาชน หมายเลขพาสพอรต บตรประจาตวพนกงาน หรอหมายเลขประจาตวพนกงาน สวนขอมลพนกงานสามารถใชขอมลจากฝายบคคลขององคกรได เปนตน

การยนยนผานหมายเลขบตรเครดตจากทางธนาคารหรอผใหบรการบตรเครดตเปนตน

− กระบวนการ I&A ทดและมความมนคงปลอดภยและสามารถยนยนบคคลทใชเปนรายบคคลได ไมควรอนญาตใหสรางบญชผใชหรอ Username ทใชงานรวมกน

− นาระบบพสจนตวตนแบบศนยกลางมาใชเชน Microsoft Active Directory หรอการควบคมการเขาถงเครอขายดวย Proxy แบบทตองมการพสจนตวตนเปนตน

หนา 17 จาก 51

 

ท ประเดน แนวทางการดาเนนการ ตวอยางการดาเนนการ

8 เพอใหขอมลจราจรมความถกตองและนามาใชประโยชนไดจรงผใหบรการตองตงนาฬกา

จาเปนตองดาเนนการ กาหนดใหปรบเวลาบนเครองเซรฟเวอรหรออปกรณทเกยวของกบการจดเกบขอมลจราจรคอมพวเตอรใหเดนตามเวลามาตรฐาน ผานโพรโตคอล Network Time Protocol หรอ NTP ไปท NTP Server ทมคาเปน Stratum อยในชวง 1-15 เพอใหเวลาผดพลาดไมเกน 10 มลลวนาท ควรเลอก NTP Server ทมคา Stratum นอยๆ ซงหมายถงเวลาจะตรงกบมาตรฐานสากลทสด

− จดใหมการตงสญญาณเวลาดวยโพรโตคอล Network Time Protocol หรอ NTP ไปยงเซรฟเวอรทใหบรการขอมลเวลาอยางนอยทเปน Stratum 1 ตามเอกสารอางอง [9] ระบวาในเมองไทยมผใหบรการ ดงตอไปน ของอปกรณบรการ

ทกชนดใหตรงกบเวลาอางองสากล (Stratum 0) โดยผดพลาดไมเกน ๑๐ มลลวนาท

สถาบนมาตรวทยาแหงชาต เครอง time1.nimt.or.th หรอ 203.185.69.60

กรมอทกศาสตร กองทพเรอ เครองเซรฟเวอร time.navy.mi.th หรอ 118.175.67.83

การวเคราะหขอมลลอกหรอขอมลจราจรคอมพวเตอรไดอยางถกตอง คาเวลาทปรากฎบนขอมลลอกตองตรงกบเวลาจรง ดงนนการนาขอมลลอกจากหลายแหลงมาวเคราะหจะสามารถลาดบเหตการณทเกดขนไดอยางถกตอง

ศนยประสานงานการรกษาความปลอดภยคอมพวเตอรประเทศไทยหรอ ThaiCERT เครองเซรฟเวอร clock.thaicert.org หรอ 203.185.129.186 หรอ 203.185.129.187

− ในตางประเทศ National Institute of

Standards and Technology ประเทศสหรฐอเมรกา เครองเซรฟเวอร time.nist.gov หรอ 192.43.244.18

− ควรกาหนดใหมการตงคาเวลาผาน NTP ไปทเซรฟเวอร NTP Server ทมคา Stratum เปน 1 อยางนอย 2 หรอ 3 เซรฟเวอรเปนอยางนอย

การปรบคาเวลาโดยการใช NTP สามารถหารายละเอยดเพมเตมไดตามเอกสารอางองตอไปน

− ความหมายของคาวา Stratum หารายละเอยดเพมเตมไดทเอกสารอางอง [10] หรอ“การเทยบเวลาดวย Network Time Protocol ใหสอดคลองกบ พรบ. วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550” ท http://www.thaicert.org/paper/basic/NTPandLAW.php

− การปรบแตงคาเวลาดวย Network Time Protocol สาหรบเซรฟเวอรและอปกรณเครอขาย หารายละเอยดเพมเตมไดทเอกสารอางอง [11] หรอ “คมอการใชบรการ Time Server [ฉบบปรบปรง]” ท http://www.thaicert.org/paper/basic/manualTimeServer.php

− รายชอของเซรฟเวอร NTP ระดบ Stratum 1 สามารถสบคนไดท http://support.ntp.org/bin/view/Servers/StratumOneTimeServers

4. ประเภทผใหบรการในการเกบขอมลจราจรคอมพวเตอร ลาดบถดไปคอการประชมหรอหารอรวมกนในองคกร เพอจดวาองคกรเปนผใหบรการประเภทใด ตามเอกสารอางอง [7] ซงไดจาแนกประเภทของผใหบรการไวดงน

หนา 18 จาก 51

 

ท ประเภทผใหบรการ

ประเภท ตวอยางผใหบรการ

ก. ผประกอบกจการโทรคมนาคมและกจการกระจายภาพและเสยง (Telecommunication and Broadcast Carrier)

1) ผใหบรการโทรศพทพนฐาน (Fixed Line Service Provider)

2) ผใหบรการโทรศพทเคลอนท (Mobile Service Provider)

3) ผใหบรการวงจรเชา (Leased Circuit Service Provider) − ผใหบรการ Leased Line − ผใหบรการสายเชา (Fiber

Optic) − ผใหบรการ ADSL (Asymmetric

Digital Subscriber Line) − ผใหบรการ Frame Relay − ผใหบรการ ATM

(Asynchronous Transfer Mode)

− ผใหบรการ MPLS (Multi Protocol Label Switching)

ยกเวนใหบรการเฉพาะ Physical Media หรอสายสญญาณหรอ Cabling ซงไมมสญญาณ Internet หรอไมม IP Traffic เชน − ผใหบรการ Dark Fiber − ผใหบรการสายใยแกวนาแสง

4) ผใหบรการดาวเทยม (Satellite Service Provider)

5 (1) ผใหบรการแกบคคลทวไปในการเขาสอนเทอรเนต หรอใหสามารถตดตอถงกน โดยประการอน ทงน โดยผานทางระบบคอมพวเตอร ไมวาจะเปนการใหบรการในนามของตนเอง หรอเพอประโยชนของบคคลอน

ข. ผใหบรการการเขาถงระบบเครอขายคอมพวเตอร (Access Service Provider)

1) ผใหบรการอนเทอรเนต (Internet Service Provider – ISP) ทงมสายและไรสาย

2) ผใหบรการซงใหบรการเขาถงระบบเครอขาย − หองพก − หองเชา − โรงแรม − รานอาหารเครองดม

3) ผใหบรการเขาถงระบบเครอขายคอมพวเตอร สาหรบองคกร เชน − หนวยงานราชการ หรอบรษท − สถาบนการศกษา − ธนาคาร

ค. ผใหบรการเชาระบบคอมพวเตอรเพอใหบรการโปรแกรมประยกตตางๆ (Hosting Service Provider)

1) ผใหบรการเชาระบบคอมพวเตอร (Web Hosting) การใหบรการเชา Web Server

2) ผใหบรการแลกเปลยนแฟมขอมล (File Server หรอ File Sharing)

3) ผใหบรการการเขาถงจดหมายอเลกทรอนกส (Mail Server Service Provider)

4) ผใหบรการศนยรบฝากขอมลทาง

หนา 19 จาก 51

 

ท ประเภทผใหบรการ

ประเภท ตวอยางผใหบรการ

อเลกทรอนกส (Internet Data Center – IDC)

ง. ผใหบรการรานอนเทอรเนต

1) ผใหบรการรานอนเทอรเนต (Internet Café’)

2) ผใหบรการรานเกมออนไลน (Game Online)

5 (2) ผใหบรการในการเกบรกษาขอมลคอมพวเตอรเพอประโยชนของบคคลตาม ขอ 5(1)

ผใหบรการขอมลคอมพวเตอรผานแอพพลเคชนตางๆ (Content and Application Service Provider)

1) ผใหบรการเวบบอรด (Web board) หรอผใหบรการบลอก (Blog)

2) ผใหบรการการทาธรกรรมทางการเงนทางอนเทอรเนต (Internet Banking) และผใหบรการชาระเงนทางอเลกทรอนกส (Electronic Payment Service Provider)

3) ผใหบรการเวบเซอรวส (Web Services)

4) ผใหบรการพาณชยอเลกทรอนกส (e-Commerce) หรอธรกรรมทางอเลกทรอนกส (e-Transactions)

พจารณาจากชอง “ตวอยางผใหบรการ” วาจดอยในประเภทใด องคกรหรอหนวยงานหนงๆ อาจอยมากกวาหนงประเภทผใหบรการได ตวอยางเชนบรษท X เปดใหบรการเวบบอรดสาหรบใหบรการบนอนเทอรเนต และไดใหบรการพนกงานภายในบรษทสามารถเชอมตออนเทอรเนตจากบรษทผาน ADSL ของผใหบรการรายหนงในประเทศไทย จากตวอยางขางตนบรษท X จดอยในประเภทผใหบรการดงน − เปน “ผใหบรการเวบบอรด” ดงนนจดเปน 5 (2) ผใหบรการในการเกบรกษาขอมลคอมพวเตอรเพอ

ประโยชนของบคคลตามขอ 5 (1) − เปน “ผใหบรการเขาถงระบบเครอขายคอมพวเตอร สาหรบบรษท” ดงนนจดเปน 5 (1) ผใหบรการแก

บคคลทวไปในการเขาสอนเทอรเนต ประเภท ข. ผใหบรการการเขาถงระบบเครอขายคอมพวเตอร (Access Service Provider) หรอเรยกโดยยอวา 5 (1) ข.

จากตวอยางขางตนจะเหนไดวาบรษท X จดเปนผใหบรการประเภท 5 (1) ข. และ 5 (2) ซงตองดาเนนการเกบขอมลจราจรคอมพวเตอรใหสอดคลองตามเอกสารอางอง [7] ตอไปหรอตามรายละเอยดทจะกลาวถงในลาดบถดไป

5. การเกบขอมลจราจรคอมพวเตอรของผใหบรการประเภท 5 (1) ผใหบรการประเภท 5 (1) หมายถงผใหบรการ − แกบคคลทวไปในการเขาสอนเทอรเนต หรอ − ใหสามารถตดตอถงกนโดยประการอน ทงน โดยผานทางระบบคอมพวเตอร ไมวาจะเปนการใหบรการในนามของตนเองหรอเพอประโยชนของบคคลอน ทงนตามเอกสารอางอง [7] ไดจาแนกผใหบรการประเภท 5 (1) เปน 4 ประเภทโดยมรายละเอยดตามลาดบดงน 5.1. ผใหบรการประเภท 5 (1) ก. ผประกอบกจการโทรคมนาคมและกจการกระจายภาพและเสยง

(Telecommunication and Broadcast Carrier) การเกบขอมลจราจรคอมพวเตอรของผใหบรการประเภท 5 (1) ก. หรอผประกอบกจการโทรคมนาคมและกจการกระจายภาพและเสยง (Telecommunication and Broadcast Carrier) ซงมตวอยางผใหบรการดงน

− ผใหบรการโทรศพทพนฐาน (Fixed Line Service Provider) − ผใหบรการโทรศพทเคลอนท (Mobile Service Provider) − ผใหบรการวงจรเชา (Leased Circuit Service Provider) − ผใหบรการ Leased Line

ผใหบรการสายเชา (Fiber Optic) ผใหบรการ ADSL (Asymmetric Digital Subscriber Line) ผใหบรการ Frame Relay ผใหบรการ ATM (Asynchronous Transfer Mode) ผใหบรการ MPLS (Multi Protocol Label Switching) ยกเวนใหบรการเฉพาะ Physical Media หรอสายสญญาณหรอ Cabling ซงไมมสญญาณ Internet หรอไมม IP Traffic เชน ผใหบรการ Dark Fiber ผใหบรการสายใยแกวนาแสง

− ผใหบรการดาวเทยม (Satellite Service Provider) ซงตองดาเนนการจดเกบดงตอไปน

หนา 20 จาก 51

 

ท ประเภท/ รายการขอมลลอกทตองจดเกบ รายละเอยดทางเทคนค

ขอมลระบบชมสายโทรศพทพนฐาน โทรศพทวทยมอถอ และระบบตโทรศพทสาขา (Fixed Network Telephony and Mobile Telephony)

ก.

หมายเลขโทรศพท หรอ เลขหมายวงจร รวมทงบรการเสรมอนๆ เชน บรการโอนสาย และหมายเลขโทรศพททไดโอนสาย รวมทงหมายเลขโทรศพทซงถกเรยกจากโทรศพททมการโอน

ขอมลทสามารถระบและตดตามแหลงกาเนด ตนทาง ปลายทาง และทางสายทผานของการตดตอสอสารของระบบคอมพวเตอร

ชอ ทอยของผใชบรการหรอผใชงานทลงทะเบยน (Name and Address of Subscriber or Registered User) ขอมลเกยวกบวนท เวลา และทตงของ Cell ID ซงมการใชบรการ (Date and Time of the Initial Activation of the Service and the Location Label (Cell ID)

ข. ขอมลทสามารถระบวนท เวลา และระยะเวลาของการตดตอสอสารของระบบคอมพวเตอร

วนท รวมทงเวลาเรมตนและสนสดของการใชงาน (Fixed Network Telephony and Mobile Telephony, the Date and Time of the Start and End of the Communication)

1) ทตง Label ในการเชอมตอ (Cell ID) ณ สถานทเรมตดตอสอสาร

ค.

2) ขอมลซงระบทตงทางกายภาพของโทรศพทมอถอ อนเชอมโยงกบขอมลทตงของ Cell ID ขณะทมการตดตอสอสาร

ขอมลซงสามารถระบทตงในการใชโทรศพทมอถอ หรออปกรณตดตอสอสารแบบไรสาย (Mobile Communication 3) จดใหมระบบบรการตรวจสอบบคคลผใชบรการ

หนา 21 จาก 51

 

ท ประเภท/ รายการขอมลลอกทตองจดเกบ รายละเอยดทางเทคนค Equipment)

5.2. ผใหบรการประเภท 5 (1) ข. ผใหบรการการเขาถงระบบเครอขายคอมพวเตอร (Access

Service Provider) และ ผใหบรการประเภท 5 (1) ค. ผใหบรการเชาระบบคอมพวเตอรเพอใหบรการโปรแกรมประยกตตางๆ (Hosting Service Provider) ผใหบรการประเภท 5 (1) ข. เปนผใหบรการการเขาถงระบบเครอขายคอมพวเตอร (Access Service Provider) ซงประกอบดวย

− ผใหบรการอนเทอรเนต (Internet Service Provider – ISP) ทงมสายและไรสาย − ผใหบรการซงใหบรการเขาถงระบบเครอขาย

หองพก หองเชา โรงแรม รานอาหารเครองดม

− ผใหบรการเขาถงระบบเครอขายคอมพวเตอร สาหรบองคกร เชน หนวยงานราชการ บรษท สถาบนการศกษา ธนาคาร

ผใหบรการประเภท 5 (1) ค. ผใหบรการเชาระบบคอมพวเตอรเพอใหบรการโปรแกรมประยกตตางๆ (Hosting Service Provider) ประกอบดวย

− ผใหบรการเชาระบบคอมพวเตอร (Web Hosting) การใหบรการเชา Web Server − ผใหบรการแลกเปลยนแฟมขอมล (File Server หรอ File Sharing) − ผใหบรการการเขาถงจดหมายอเลกทรอนกส (Mail Server Service Provider) − ผใหบรการศนยรบฝากขอมลทางอเลกทรอนกส (Internet Data Center – IDC)

ตองดาเนนการเกบขอมลจราจรคอมพวเตอรทเซรฟเวอรหรออปกรณเครอขายททาหนาทตอไปน ท ประเภท รายละเอยดทางเทคนค ตวอยางระบบ

Authentication Server เปนขอมลลอกการพสจนตวตนของเซรฟเวอรหรออปกรณพสจนตวตนและกาหนดสทธบนการใชงานบนระบบเครอขาย

ก. ขอมลอนเทอรเนตทเกดจากการเขาถงระบบเครอขาย

− เซรฟเวอร RADIUS เชน FreeRadius OpenRadius Microsoft Internet

Authentication Service หรอ Microsoft IAS

Steel Belt Radius Cisco Access Control Server

(Cisco ACS) หรอเซรฟเวอร RADIUS ตามรายชอในเอกสารอางอง [12]

− เซรฟเวอร TACACS+ หรอเซรฟเวอร DIAMETER

− เซรฟเวอรทใชโพรโตคอล Lightweight Directory Access Protocol หรอ LDAP เชน ไมโครซอฟต Active Directory Red Hat Directory Service SUN iPlanet OpenLDAP

− เซรฟเวอรหรออปกรณทใชเปน Network Access Control เพอควบคมการเขาถงระบบเครอขาย

หนา 22 จาก 51

 

ท ประเภท รายละเอยดทางเทคนค ตวอยางระบบ Cisco NAC FreeNAC เซรฟเวอรหรออปกรณทใชโพรโตคอล IEEE 802.1X เพอพสจนตวตน

หรอรายชอ NAC ตามเอกสารอางอง [17]

− เซรฟเวอรหรออปกรณ Proxy Server ซงจดใหมการพสจนตวตน Squid ทเปดใหมการพสจนตวตนกอนการใชงานระบบเครอขาย

Bluecoat หรอเซรฟเวอร Proxy ตามรายชอในเอกสารอางอง [18]

− เซรฟเวอรหรออปกรณทใหบรการเปน Wireless Hotspot เชนซอฟตแวร Chillispot, NoCAT เปนตน

SMTP Server หรอ POP/IMAP Server เปนขอมลลอกของอเมลเซรฟเวอรทสอสารขอมลดวยโพรโตคอลตอไปน

ข. ขอมลอนเทอรเนตบนเครองผใหบรการจดหมายอเลกทรอนกส (e-mail servers)

− เซรฟเวอรไมโครซอฟต Exchange ทง Backend และ Frontend Server ซงรวมถงการเปดใช POP3 หรอ IMAP4

− เซรฟเวอรทใช IBM Lotus Domino − Simple Mail Transfer

Protocol หรอ SMTP − เซรฟเวอรทใช MailEnable − เซรฟเวอร Merak Mail Server

− Post Office Protocol version 3 หรอ POP3 ซงรวมถง POP3S ดวย

− เซรฟเวอร Novell Groupwise − เซรฟเวอร Sun Java System

Messaging Server − Internet Message

Access Protocol version 4 หรอ IMAP4 ซงรวมถง IMAP4S

− เซรฟเวอร Zimbra − เซรฟเวอร Sendmail เซรฟเวอร

Postfix หรอ Qmail เปนตน − เซรฟเวอรทใหบรการ POP3 หรอ

IMAP4 ภายในองคกรเชนตดตงซอฟตแวร Courier Mail Server หรอ Cyrus IMAP Server หรอ Dovecot หรอ Binc IMAP Server เปนตน

หรอเซรฟเวอรตามเอกสารอางอง [13] FTP Server เปนขอมลลอกจากเซรฟเวอรทถายโอนไฟลขอมลดวยโพรโตคอล File Transfer Protocol หรอ FTP

ค. ขอมลอนเทอรเนตจากการโอนแฟมขอมลบนเครองใหบรการโอนแฟมขอมล

− เซรฟเวอรทใชงานไมโครซอฟต Internet Information Services หรอ IIS เปดใชใหบรการ FTP

− เซรฟเวอร WS_FTP Server − เซรฟเวอร FileZilla Server − เซรฟเวอรตดตง ProFTPD หรอ

VsFTPD หรอ WU-FTPD หรอเซรฟเวอรตามเอกสารอางอง [14]

Web Server เปนขอมลลอกบนเซรฟเวอรทสอสารดวยโพรโตคอล Hypertext Transfer Protocol หรอ HTTP ซงรวมถง HTTPS

ง. ขอมลอนเทอรเนตบนเครองผใหบรการเวบ

− เซรฟเวอร Apache Web Server − เซรฟเวอรไมโครซอฟต Internet

Information Services หรอ IIS − เซรฟเวอร IBM HTTP Server − เซรฟเวอร WebLogic − เซรฟเวอร JBoss − เซรฟเวอร WebSphere Application

Server หรอเซรฟเวอรตามเอกสารอางอง [15]

News Server เปนขอมล ลอกบนเซรฟเวอรทสอสารดวยโพรโตคอล Network News

จ. ชนดของขอมลบนเครอขายคอมพวเตอรขนาด

− เซรฟเวอรไมโครซอฟต Exchange Server ทเปดใชบรการ NNTP

− เซรฟเวอร Java Apache Mail

หนา 23 จาก 51

 

ท ประเภท รายละเอยดทางเทคนค ตวอยางระบบ ใหญ (Usenet) Transfer Protocol หรอ NNTP Enterprise Server หรอ Apache

James − เซรฟเวอร Diablo หรอเซรฟเวอรตามเอกสารอางอง [16]

ฉ. ขอมลทเกดจากการโตตอบกนบนเครอขายอนเทอรเนตเชน Internet Relay Chat (IRC) หรอ Instance Messaging (IM) เปนตน

แบงเปน 2 กรณคอ − ในกรณทเปนผใหบรการ IRC Server

และ IM Server ตองเกบขอมล ลอกบนเซรฟเวอรทงหมด

− ในกรณทไมไดเปนผใหบรการสามารถเกบขอมลลอกได 2 รปแบบคอ เกบขอมลลอกท Firewall หรอ

Router ทใชเปนการเชอมระหวางเครองผใชงานและอนเทอรเนตโดยเฉพาะขอมลการเชอมตอ ในกรณทมการใชงาน Network Address Translation หรอ NAT ตองเกบขอมล NAT เพอใหมขอมลการเปลยนไอพแอดเดรสภายในเปนไอพแอดเดรสภายนอก หรอทเรยกวา NAT Log

เกบขอมลท Authentication Server เชน Proxy Server เปนตน ซงจะทราบวาผใชในเวลานนกาลงเรมตนใชบรการ IRC หรอ IM และสามารถเกบบนทกเปนขอมลลอกได

และเอกสารอางอง [7] ไดระบถงขอมลลอกทตองมการบนทกโดยแยกประเภทชนดของเซรฟเวอรหรออปกรณเครอขายททาหนาทขางตน ไวเปนลาดบกลาวคอ ท ประเภท/

รายละเอยดทางเทคนค

รายการขอมลลอกทตอง ตวอยางขอมลลอก จดเกบ

ก. ขอมลอนเทอรเนตทเกดจากการเขาถงระบบเครอขาย

ตวอยางของ Radius Log

Authentication Server เปนขอมล ลอกการพสจนตวตนของเซรฟเวอรหรออปกรณพสจนตวตน

1) ขอมลลอกทมการบนทกไวเมอมการเขาถงระบบเครอขายหรอ Access Logs

Sun Mar 18 04:35:24 2008 localhost@server radiusd[2305]: Login OK: [8uJY5653/<CHAP-Password>] (from client APF2 port 7 cli 00-1B-77-F3-18-C3) ตวอยาง Squid Log 192.168.99.7 - lersak [18/Aug/2008:21:06:48 +0700] "GET /images/bgON.gif HTTP/1.1" 304 - "http://virus.thaicert.org/stylesheets/_menu.css?1213106214" "Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.8.0.4) Gecko/20060602 Firefox/1.5.0.4" ตวอยาง Chillispot Log Aug 13 20:34:05 192.168.1.21 chillispot[1099]: chilli.c: 3200: Client MAC=00-1B-77-0A-F8-20 assigned IP 192.168.1.122 Aug 13 20:34:10 192.168.1.21

หนา 24 จาก 51

 

ท ประเภท/ รายละเอยดทางเทคนค

รายการขอมลลอกทตอง ตวอยางขอมลลอก จดเกบ

chillispot[1102]: chilli.c: 3502: Successful UAM login from username=56F7hesa IP=192.168.1.122 Sun Mar 18 04:35:24 2008 2) ขอมลเกยวกบวน และเวลา

การตดตอของเครองทเขามาใชบรการและเครองใหบรการ (Date and Time of Connection of Client to Server) 3) ขอมลเกยวกบชอทระบตวตนผใช (User ID)

ตวอยางของ Radius Accounting Log User-Name = “uXas36yT” ตวอยาง Squid Log 192.168.99.7 - lersak [18/Aug/2008:21:06:48 +0700]

4) ขอมลหมายเลขอนเทอรเนตทถกกาหนดโดยระบบผใหบรการ (Assigned IP Address)

ตวอยางของ Radius Accounting Log Framed-IP-Address = 192.168.1.5 ตวอยาง Chillispot Log Aug 13 20:34:05 192.168.1.21/192.168.1.21 chillispot[1099]: chilli.c: 3200: Client MAC=00-1B-77-0A-F8-20 assigned IP 192.168.12.122

5) ขอมลทบอกถงหมายเลขสายทเรยกเขามา (Calling Line Identification)

ตวอยางของ Radius Accounting Log Calling-Station-Id = “00-14-2A-4B-D8-71” NAS-IP-Address = 192.168.1.1 Aug 24 05:18:14 admin@example.com sendmail[10900]: m7OMIE38010900:

1) ขอมล Log ทบนทกไวเมอเขาถงเครองใหบรการไปรษณยอเลกทรอนกส (SMTP) ซงไดแก - ขอมลหมายเลขของขอความทระบในจดหมายอเลกทรอนกส (Message ID) - ขอมลชอทอยอเลกทรอนกสของผสง (Sender E-mail Address) - ขอมลชอทอยอเลกทรอนกสของผรบ (Receiver E-mail Address) - ขอมลทบอกถงสถานะในการตรวจสอบ (Status Indicator) ซงไดแก จดหมายอเลกทรอนกสทสงสาเรจ จดหมายอเลกทรอนกสทสงคน จดหมายอเลกทรอนกสทมการสงลาชา เปนตน

from=<test@example.com>, size=690, class=0, nrcpts=1, msgid=<200805242102.m7OL24r5010202@example.com>, proto=ESMTP, daemon=MTA, relay=mail.example.com [14.36.11.2] Aug 24 05:18:14 admin@example.com sendmail[10202]: m7OL24r5010202: to=lersak@gmail.com, ctladdr=192.168.1.50 (0/0), delay=01:16:10, xdelay=00:00:00, mailer=relay, pri=30451, relay=[mail.example.com] [14.36.11.2], dsn=2.0.0, stat=Sent (m7OMIE38010900 Message accepted for delivery)

ข. ขอมลอนเทอรเนตบนเครองผใหบรการจดหมายอเลกทรอนกส (e-mail servers) SMTP Server หรอ POP/IMAP Server เปนขอมลลอกของอเมลเซรฟเวอรทสอสารขอมลดวย SMTP หรอ POP3 หรอ IMAP4

ctladdr=192.168.1.50 2) ขอมลหมายเลขชดอนเทอรเนตของเครองคอมพวเตอรผใชบรการทเชอมตออยขณะเขามาใชบรการ (IP Address of Client Connected to Server)

หนา 25 จาก 51

 

ท ประเภท/ รายละเอยดทางเทคนค

รายการขอมลลอกทตอง ตวอยางขอมลลอก จดเกบ

Aug 24 05:18:14 3) ขอมลวนและเวลาการตดตอของเครองทเขามาใชบรการและเครองใหบรการ (Date and time of connection of Client Connected to server)

relay=mail.example.com [14.36.11.2]

4) ขอมลหมายเลขชดอนเทอรเนตของเครองบรการจดหมายอเลกทรอนกสทถกเชอมตออยในขณะนน (IP Address of Sending Computer)

Login: user=<suwarut>, 5) ชอผใชงาน (User ID) (ถาม)

2007-06-21 11:14:27 Info: imap-login: Login: user=<suwarut>, method=plain, rip=192.168.1.200, lip=192.168.1.35

6) ขอมลทบนทกการเขาถงขอมลจดหมายอเลกทรอนกส ผานโปรแกรมจดการจากเครองของสมาชก หรอเขาถงเพอเรยกขอมลจดหมายอเลกทรอนกสไปยงเครองสมาชก โดยยงคงจดเกบขอมลทบนทกการเขาถงขอมลจดหมายอเลกทรอนกสทดงไปนน ไวทเครองใหบรการ หรอ POP3 log หรอ IMAP4 Log

#Software: Microsoft Internet Information Services 5.0

1) ขอมล Log ทบนทกเมอมการเขาถงเครองใหบรการโอนแฟมขอมล

#Version: 1.0 #Date: 2007-11-16 10:54:13 #Fields: time c-ip cs-username s-port cs-method cs-uri-stem sc-status 17:40:30 192.168.1.67 anonymous 21 [139]USER anonymous 331 17:40:30 192.168.1.67 - 21 [139]PASS IEUser@ 530 17:40:41 192.168.1.67 Administrator 21 [140]USER Administrator 331 17:40:41 192.168.1.67 Administrator 21 [140]PASS - 230

ค. ขอมลอนเทอรเนตจากการโอนแฟมขอมลบนเครองใหบรการโอนแฟมขอมล

FTP Server เปนขอมลลอกจากเซรฟเวอรทถายโอนไฟลขอมลดวยโพรโตคอล File Transfer Protocol หรอ FTP

#Date: 2007-11-162) ขอมลวน และเวลาการตดตอของเครองทเขามาใชบรการและเครองใหบรการ (Date and Time of Connection of Client to Server)

17:40:30

17:40:30 192.168.1.673) ขอมลหมายเลขชดอนเทอรเนตของเครองคอมพวเตอรผเขาใชทเชอมตออยในขณะนน (IP Source Address)

anonymous 21 [139]USER anonymous 331

17:40:41 192.168.1.67 Administrator 21 [140]USER

4) ขอมลชอผใชงาน (User ID) (ถาม)

Administrator 331 Mon Feb 26 12:51:52 2008 6 5) ขอมลตาแหนง (Path) และ

หนา 26 จาก 51

 

ท ประเภท/ รายละเอยดทางเทคนค

รายการขอมลลอกทตอง ตวอยางขอมลลอก จดเกบ

3.example.com 62823 \ ชอไฟลทอยบนเครองใหบรการโอนถายขอมลทมการ สงขนมาบนทก หรอดงใหขอมลออกไป (Path and Filename of Data Object Uploaded or Downloaded)

/var/ftp/pubinfo/jpeg/EtaCarD.jpg b _ o a mozilla@ ftp 0 * c

192.168.99.7 - lersak [18/Aug/2008:21:06:48 +0700] "GET /images/bgDIVIDER.gif HTTP/1.1" 304 - "http://www.google.com /stylesheets/_menu.css?1213106214" "Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.8.0.4) Gecko/20060602 Firefox/1.5.0.4"

1) ขอมล Log ทบนทกเมอมการเขาถงเครองผใหบรการเวบ

192.168.99.7 - lersak [18/Aug/2008:21:06:48 +0700] "GET /images/bgON.gif HTTP/1.1" 304 - "http://virus.thaicert.org/stylesheets/_menu.css?1213106214" "Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.8.0.4) Gecko/20060602 Firefox/1.5.0.4"

ง. ขอมลอนเทอรเนตบนเครองผใหบรการเวบ Web Server เปนขอมลลอกบนเซรฟเวอรทสอสารดวยโพรโตคอล Hypertext Transfer Protocol หรอ HTTP ซงรวมถง HTTPS

[18/Aug/2008:21:06:48 +0700] 2) ขอมลวน และเวลาการตดตอของเครองทเขามาใชบรการและเครองใหบรการ

192.168.99.7 3) ขอมลหมายเลขชดอนเทอรเนตของเครองคอมพวเตอรผเขาใชทเชอมตออยในขณะนน

"GET4) ขอมลคาสงการใชงานระบบ /images/bgON.gif HTTP/1.1" "GET /images/bgON.gif5) ขอมลทบงบอกถงเสนทาง

ในการเรยกดขอมล (URI: Uniform Resource Identifier) เชนตาแหนงของเวบเพจ

HTTP/1.1"

187.58.96.87, user, 12/1/2007, 14:37:37, NNTPSVC1, NEWS_Server, 134.56.87.11, 2814, 11, 513, 220, 0, article, 6 arlQl#SH#GA.425@serve, microsoft.public.ins

1) ขอมล Log ทบนทกเมอมการเขาถงเครอขาย (NNTP หรอ Network News Transfer Protocol Log)

207.46.248.16, <feed>, 4/29/2007, 11:49:10, NNTPSVC1, NEWS_Server, 134.56.87.11, 890, 0, 61, 502, 0, newnews, Access Denied., microsoft.public.windows.server.sbs 060101 080000 GMT,

จ. ชนดของขอมลบนเครอขายคอมพวเตอรขนาดใหญ (Usenet) News Server เปนขอมลลอกบนเซรฟเวอรทสอสารดวยโพรโตคอล Network News Transfer Protocol หรอ NNTP

187.58.96.87, user, 12/1/2007, 2) ขอมลวน และเวลาการตดตอของเครองทเขามาใชบรการและเครองใหบรการ (Date and Time of Connection of Client to

14:37:37, 207.46.248.16, <feed>, 4/29/2007, 11:49:10

หนา 27 จาก 51

 

ท ประเภท/ รายละเอยดทางเทคนค

รายการขอมลลอกทตอง ตวอยางขอมลลอก จดเกบ

Server) - 3) ขอมลหมายเลข Port ใน

การใชงาน (Protocol Process ID)

NNTPSVC1, NEWS_Server 4) ขอมลชอเครองใหบรการ (Host Name)

article, 6 5) ขอมลหมายเลขลาดบขอความทไดถกสงไปแลว (Posted Message ID)

arlQl#SH#GA.425@serve,

1205326745.6611) ขอมลเกยวกบวน เวลาการตดตอของผใชบรการ (Date and Time of Connection of Client to Server)

1912 192.168.42.165 TCP_MISS/200 8460 CONNECT login.live.com:443/ - DIRECT/login.live.com - CMF:40 DCF:20 ERR:0 DEFAULT_CASE-DefaultGroup

ฉ.

2) ขอมลชอเครองบนเครอขาย (Client Hostname and/or IP Address)

1205326745.661 1912 192.168.42.165 TCP_MISS/200 8460 CONNECT login.live.com:443/ - DIRECT/login.live.com

ขอมลทเกดจากการโตตอบกนบนเครอขายอนเทอรเนตเชน Internet Relay Chat (IRC) หรอ Instance Messaging (IM) เปนตน

1205326745.661 1912 192.168.42.165 TCP_MISS/200 8460 CONNECT

3) หมายเลขเครองของผใหบรการทเครองคอมพวเตอรเชอมตออยในขณะนน (Destination Hostname and/or IP Address)

login.live.com:443/ - DIRECT/login.live.com

และหาขอมลเพมเตมไดทเอกสารอางอง [19]

5.3. ผใหบรการประเภท 5 (1) ง. ผใหบรการรานอนเทอรเนต ผใหบรการประเภท 5 (1) ง. เปนผใหบรการรานอนเทอรเนต ประกอบดวย

− ผใหบรการรานอนเทอรเนต (Internet Café) − ผใหบรการรานเกมออนไลน (Game Online)

ท ประเภท/

รายละเอยดทางเทคนค

รายการขอมลลอกทตองจดเกบ ตวอยางการดาเนนการ

1) ขอมลทสามารถระบตวบคคล บญชผใชทลอกอนเขาใชงานภายในราน ทงผานระบบปฏบตการ หรอผาน Proxy Server และบญชผใชนนควรจะมผกพนถง − บตรประจาตวประชาชนของผ

เขามาใชบรการ หรอ − ทะเบยนบาน หรอ − รปถายจากเวบแคมเปนตน บางรานใชระบบสมาชก ในการเกบบนทกเพยงครงแรกครงเดยว

ก. ผใหบรการรานอนเทอรเนต

2) เวลาของการเขาใช และเลกใชบรการ

− วนและเวลาทเรมตนใชงาน − วนและเวลาทหยดใชงาน − ระยะเวลาการใชงาน 3) หมายเลขเครองทใช IP Address

(Internet Protocol Address) − เครองคอมพวเตอรทใชงาน − หมายเลขไอพทใชงาน ขอมลดงกลาวนสามารถบนทกดวยการนาระบบ Proxy Server หรอ Authentication Gateway มาใช

6. การเกบขอมลจราจรคอมพวเตอรของผใหบรการประเภท 5 (2) หมายถงผใหบรการในการเกบรกษาขอมลคอมพวเตอรเพอประโยชนของบคคลตาม ขอ 5(1) ซงหมายถงผใหบรการขอมลคอมพวเตอรผานแอพพลเคชนตางๆ (Content and Application Service Provider) ประกอบดวย − ผใหบรการเวบบอรด (Web board) หรอผใหบรการบลอก (Blog) − ผใหบรการการทาธรกรรมทางการเงนทางอนเทอรเนต (Internet Banking) − ผใหบรการชาระเงนทางอเลกทรอนกส (Electronic Payment Service Provider) − ผใหบรการเวบเซอรวส (Web Services) − ผใหบรการพาณชยอเลกทรอนกส (e-Commerce) หรอธรกรรมทางอเลกทรอนกส (e-Transactions) จากเอกสารอางอง [7] ไดกาหนดรายละเอยดไวดงน

หนา 28 จาก 51

 

ท ประเภท/ รายละเอยดทางเทคนค

รายการขอมลลอกทตองจดเกบ ตวอยางการดาเนนการ

1) ขอมลรหสประจาตวผใชหรอขอมลทสามารถระบตวผใชบรการได หรอ เลขประจาตว (User ID) ของผขายสนคาหรอบรการ หรอเลขประจาตวผใชบรการ (User ID) และทอยจดหมายอเลกทรอนกสของผใชบรการ

− จดทาระบบสมาชกหรอระบบลงทะเบยนสมครเพอบนทกขอมลประจาตวผใช กอนการใชงานบรการ เชนขอมลชอ นามสกล อเมล หมายเลขบตรประจาตวประชาชนเปนตน

− กาหนดวธการยนยนผใชงานทระบตวตนผใชไดจรง เชน อเมลในกรณทสามารถผกพนบญชอเมลกบตวตนไดจรง เชนผใชภายในองคกร

หมายเลขบตรประจาตวประชาชนหรอหมายเลขพาสพอรต ซงตองกาหนดวธการตรวจสอบความถกตอง

หมายเลขบตรเครดต ซงสามารถทดสอบตดเงนจรงและวธการตรวจสอบวาตดเงนเปนจานวนเทาใด เพอยนยนตวเจาของบตรเปนตน

− ทกครงทผใชลอกอนเพอเขาสระบบตองบนทกชอบญชผใชหรอ Username ทใช วนเวลาทเขามาและไอพแอดเดรสทเขามาดวย

ก. ขอมลอนเทอรเนตบนเครองผใหบรการเกบรกษาขอมลคอมพวเตอร (Content Service Provider)

2) บนทกขอมลการเขาใชบรการ − วนและเวลาทเรมตนใชงาน − วนและเวลาทหยดใชงาน − ระยะเวลาการใชงาน − หมายเลขไอพทใชงาน − ขอมลทเขาถง เชนเวบเพจ

เปนตน หรอไฟลขอมลทเขาถง

3) กรณผใหบรการเวบบอรด (Web board) หรอผใหบรการบลอค (Blog) ใหเกบขอมลของผประกาศ (Post) ขอมล

− วนและเวลาทประกาศขอความ − ไอพแอดเดรสทใช − ขอความทประกาศ − ขอมลทเกยวของอนๆ

7. การเรมเกบขอมลจราจรคอมพวเตอรของผใหบรการ จากเอกสารอางอง [7] ไดกาหนดใหผใหบรการแตละประเภทเรมดาเนนการเกบขอมลจราจรคอมพวเตอร โดยมรายละเอยดดงน

ขอ ๑๐ ผใหบรการซงมหนาทเกบขอมลจราจรทางคอมพวเตอรตามขอ ๗ เรมเกบขอมล ดงกลาวตามลาดบ ดงน (๑) ผใหบรการตามขอ ๕ (๑) ก. เรมเกบขอมลจราจรทางคอมพวเตอรเมอพนสามสบวน นบจากวนประกาศในราชกจจานเบกษา (๒) ใหผใหบรการตามขอ ๕ (๑) ข. เฉพาะผใหบรการเครอขายสาธารณะหรอผใหบรการ อนเทอรเนต (ISP) เรมเกบขอมลจราจรทางคอมพวเตอรเมอพนหนงรอยแปดสบวนนบจากวนประกาศ ในราชกจจานเบกษา ผใหบรการอนนอกจากทกลาวมาในขอ ๑๐ (๑) และขอ ๑๐ (๒) ขางตน ใหเรมเกบขอมล จราจรทางคอมพวเตอรเมอพนหนงปนบจากวนประกาศในราชกจจานเบกษา

หนา 29 จาก 51

 

และสามารถสรป โดยแยกประเภทของผใหบรการตาม 5 (1) และ 5 (2) ไดตามตาราง

ท ประเภทผใหบรการ

ประเภท การเรมเกบขอมลจราจรคอมพวเตอร

ก. ผประกอบกจการโทรคมนาคมและกจการกระจายภาพและเสยง (Telecommunication and Broadcast Carrier)

23 กนยายน 2550 5 (1)

ข. ผใหบรการการเขาถงระบบเครอขายคอมพวเตอร (Access Service Provider) เฉพาะ

ผใหบรการอนเทอรเนต (Internet Service Provider – ISP) ทงมสายและไรสาย

23 กมภาพนธ 2551

ผใหบรการแกบคคลทวไปในการเขาสอนเทอรเนต หรอใหสามารถตดตอถงกน

ข. ผใหบรการการเขาถงระบบเครอขายคอมพวเตอร (Access Service Provider)

โดยประการอน ทงน โดยผานทางระบบคอมพวเตอร ไมวาจะเปนการใหบรการในนามของตนเอง 23 สงหาคม 2551

ค. ผใหบรการเชาระบบคอมพวเตอรเพอใหบรการโปรแกรมประยกตตางๆ (Hosting Service Provider)

หรอเพอประโยชนของบคคลอน

ง. ผใหบรการรานอนเทอรเนต 5 (2) ผใหบรการในการ

เกบรกษาขอมลคอมพวเตอรเพอประโยชนของบคคลตาม ขอ 5(1)

ผใหบรการขอมลคอมพวเตอรผานแอพพลเคชนตางๆ (Content and Application Service Provider)

ขอกาหนดการเกบขอมลลอกตามมาตรฐานความมนคงปลอดภย ISO/IEC 27001 ขอมลลอกในความหมายตามมาตรฐานความมนคงปลอดภย ISO/IEC 27001 หมายถงขอมลทเปนการบนทกเหตการณทเกดขนบนระบบ อปกรณคอมพวเตอร หรออปกรณเครอขาย และมความหมายเดยวกนกบขอมลจราจรคอมพวเตอรและขอมลผใชบรการตามท พ.ร.บ. วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 หรอกลาวไดวาขอมลจราจรคอมพวเตอรและขอมลผใชบรการตามความหมายใน พ.ร.บ. นนเปนขอมลทระบบหรออปกรณคอมพวเตอรทาการบนทกไวหรอเรยกวาขอมลลอกหรอ Log ซงควรจะม วนเวลาของเหตการณ ขอมลทเกยวของเชน ถาเปนทราฟฟกเครอขายหรอขอมลการตดตอจะมขอมลไอพแอดเดรสตนทาง ปลายทาง โพรโตคอลทใชซงสอดคลองตามความหมายของคาวาขอมลจราจรคอมพวเตอร ในกรณทเปนการทางานของแอพพลเคชน ขอมลลอกดงกลาวควรมการบนทกวนเวลาการเชอมตอ ฟงกชนของแอพพลเคชนทเรยกใช ชอบญชผใชทใชงาน ซงสอดคลองกบความหมายของขอมลผใชบรการ โดยสรปคาวา “ขอมลลอก” มความหมายรวมความวาเปนไดทง “ขอมลจราจรคอมพวเตอร” หรอเปน “ขอมลผใชบรการ” กไดขนอยกบวาจะมองในมมใด ขอปฏบตทตองกระทาใหสอดคลองตามท พ.ร.บ.ฯ ไดกาหนดไวคอ

− ในกรณทขอมลลอกบนระบบทงเซรฟเวอร และระบบเครอขาย หรอแอพพลเคชน ไมไดมการจดเกบตามท พ.ร.บ.ฯ ไดกาหนดไวตองดาเนนการปรบแตงคาบนอปกรณ เซรฟเวอร แอพพลเคชนใหดาเนนการเกบขอมลลอกใหไดตามประเภทของผใหบรการ

− จดใหมการกาหนดมาตรการปองกนขอมลลอกใหมความมนคงปลอดภยและเชอถอได − แตงตงเจาหนาทในองคกรหรอหนวยงานเพอตดตอประสานงานกบพนกงานเจาหนาททไดรบแตงตงของ

รฐ เพอสะดวกรวดเรวเมอมเหตการณทขดตอ พ.ร.บ. หรอเมอพนกงานเจาหนาทตองการขอมล ตามหนงสอ มาตรฐานการรกษาความมนคงปลอดภย ในการประกอบธรกรรมทางอเลกทรอนกส (เวอรชน 2.5) ประจาป 2550 ในเอกสารอางอง [3] ไดกลาวถงมาตราการการเฝาระวงทางดานความมนคงปลอดภยในหนา 41 ไวโดยมรายละเอยดดงตอไปน

6.10 การเฝาระวงทางดานความมนคงปลอดภย (Monitoring) จดประสงค เพอตรวจจบกจกรรมการประมวลผลสารสนเทศทไมไดรบอนญาต 6.10.1 การบนทกเหตการณทเกยวของกบการใชงานสารสนเทศ (Audit logging) (หวหนางานสารสนเทศ) ตองกาหนดใหทาการบนทกกจกรรมการใชงานของผใช การปฏเสธการใหบรการของระบบ และเหตการณตางๆ ทเกยวของกบความมนคงปลอดภยอยางสมาเสมอตามระยะเวลาทกาหนดไว 6.10.2 การตรวจสอบการใชงานระบบ (Monitoring system use) (หวหนางานสารสนเทศ) ตองกาหนดใหมขนตอนปฏบต เพอตรวจสอบการใชงานทรพยสนสารสนเทศอยางสมาเสมอ อาท เพอดวามสงผดปกตเกดขนหรอไม 6.10.3 การปองกนขอมลบนทกเหตการณ (Protection of log information) (หวหนางานสารสนเทศ) ตองกาหนดใหมมาตรการปองกนขอมลบนทกกจกรรมและเหตการณตางๆ ทเกยวของกบการใชงานสารสนเทศ เพอปองกนการเปลยนแปลงหรอแกไขโดยไมไดรบอนญาต 6.10.4 บนทกกจกรรมการดาเนนงานของเจาหนาททเกยวของกบระบบ (Administrator and operator logs) (หวหนางานสารสนเทศ) ตองกาหนดใหมการบนทกกจกรรมการดาเนนงานของผดแลระบบหรอเจาหนาททเกยวของกบระบบอนๆ 6.10.5 การบนทกเหตการณขอผดพลาด (Fault logging) (หวหนางานสารสนเทศ) ตองกาหนดใหมการบนทกเหตการณขอผดพลาดตางๆ ทเกยวของกบการใชงานสารสนเทศ วเคราะหขอผดพลาดเหลานน และดาเนนการแกไขตามสมควร 6.10.6 การตงเวลาของเครองคอมพวเตอรใหตรงกน (Clock synchronization)

หนา 30 จาก 51

 

(ผดแลระบบ) ตองตงเวลาของเครองคอมพวเตอรทกเครองในสานกงานใหตรงกนโดยอางองจากแหลงเวลาทถกตองเพอชวยในการตรวจสอบชวงเวลา หากเครองคอมพวเตอรขององคกรถกบกรก

อางองตามมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 หรอตามเอกสารอางอง [8] แลว สามารถกาหนดแนวทางการบรหารจดการขอมลลอกภายในองคกร ไดดงตอไปน

หนา 31 จาก 51

 

ท ประเดน ขอพจารณา ตวอยางการดาเนนการ กาหนดใหมการเกบขอมลลอกของเซรฟเวอรและอปกรณภายในระบบสารสนเทศ เพอใหสามารถตดตามกจกรรมการใชงานของผใช การโจมตระบบเครอขายเชน Denial of Service หรอการโจมตเพอใหปฏเสธการใหบรการ หรอเหตการณทกระทบกบความมนคงปลอดภยระบบสารสนเทศ

− ควรกาหนดใหมการเกบ ขอมลลอกทสาคญตวอยางเชน ชอผใชงาน วนเวลา และเหตการณทเกดขนเชนการลอกอน

หมายเลขไอพแอดเดรสทเชอมตอเขามา รวมถงโพรโตคอลการเชอมตอทใชงาน

สถานะของเหตการณเชน ถาเปนลอกอนตองระบวาสาเรจ ในกรณทไมสาเรจควรระบเหตผลทไมสาเรจเชนรหสผานผดพลาด

ขอมลของเหตการณ เชนถามการแกไขเปลยนแปลงไฟลบนระบบ ควรมการบนทกวาผใชงานทาการเปลยนแปลง ไฟลใดถกเปลยนแปลง ขอมลทถกเปลยนแปลง

ขอมลอนทสาคญตอการตดตามกจกรรมทเกดขนกบระบบ เปนตน

1 การบนทกเหตการณทเกยวของกบการใชงานสารสนเทศ (Audit logging)

กาหนดใหดาเนนการเกบขอมล ลอกตามระยะเวลาทกาหนด

− ตวอยางเชนถาเปนผใหบรการตาม พ.ร.บ. ฯ ตองกาหนดใหมการเกบขอมลลอกมระยะเวลาไมนอยกวา 90 วนนบตงแตขอมลเขาสระบบคอมพวเตอรเปนตน

กาหนดเหตการณในการเฝาระวง โดยพจารณาจากขอมลลอก ทงนเพอใหมการตดตามเหตการณความผดปกตทเกดขนนาไปสการแกไขปญหาเพอหาสาเหตของปญหาทแทจรง

− ตวอยางเหตการณทควรกาหนดใหเฝาระวงจากขอมลลอกเชน ความพยายามในการลอกอนผดพลาดจานวน 3 ครง (หรอเทากบทกาหนดไว)

การลอกอนเขาใชงานระบบในชวงเวลาหลงเลกงานเชน 18.00 ถง 8.00

การเพมสทธบนระบบ การเปลยนแปลงแกไข ขอมลหรอไฟลบนระบบงานสาคญ

การเพมขนของทราฟฟกในระบบเครอขายอยางผดปกต

ปรมาณการใชงานพนทของฮารดดสกมากเกนกวา 70% เปนตน

2 การตรวจสอบการใชงานระบบ (Monitoring system use)

กาหนดขนตอนปฏบตในการเฝาระวงและตดตามการตรวจสอบขอมลลอก เพอตรวจสอบความผดปกตในระบบสารสนเทศตามทกาหนดไว

− ขนตอนปฏบตในการเฝาระวงเชน ขนตอนปฏบตรบมอกบเหตการณแพรระบาดของไวรสในองคกร

ขนตอนปฏบตเมอระบบถกบกรกโดยไมไดรบอนญาต

− กาหนดความถและบคลากรในการตดตามเฝาระวงขอมลลอก เชนทก 1

หนา 32 จาก 51

 

ท ประเดน ขอพจารณา ตวอยางการดาเนนการ วนเปนตน

3 การปองกนขอมลลอกบนทกเหตการณ (Protection of log information)

กาหนดมาตรการปองกนขอมลลอกทบนทกเหตการณทเกดขนกบระบบสารสนเทศจากการเปลยนแปลงโดยไมไดรบอนญาต

− ระบบคลากร ไอพแอดเดรสของบคลากรผทมสทธเขาถงขอมลลอกบนลอกเซรฟเวอร

− กาหนดมาตราการควบคมการเขาถง ใหสอดคลองกบรายชอของผทมสทธเขาถงขอมลลอก

− ขอมลลอกบนลอกเซรฟเวอรควรจะเขาถงไดเฉพาะเจาหนาททไดรบการตดตงเปนการเฉพาะ และไมควรเปนผดแลระบบ เพอปองกนการเปลยนแปลงโดยไมไดรบอนญาต

− จดทา Data Hashing เพอระบการเปลยนแปลงทเกดขนกบลอกไฟล

4 การบนทกเหตการณขอผดพลาด (Fault logging)

กาหนดขนตอนปฏบตเพอรบมอกบขอมลลอกของขอผดพลาดการทางานของระบบสารสนเทศ เชน รวมไปถงจดใหมการทบทวนขอมลลอกเพอวเคราะหความผดพลาดและมงเนนวธการแกไขปญหาในระยะยาว

− เมอมการพฒนาแอพพลเคชนตองมการกาหนดใหมการบนทกขอผดพลาดหรอ Error จากการทางานหรอเมอตองรบขอมลจากผใช

5 การตงเวลาของเครองคอมพวเตอรใหตรงกน (Clock synchronization)

ตงเวลาของเครองเซรฟเวอรและอปกรณบนเครอขายใหตรงกน โดยอางองเวลาจากแหลงเวลาทถกตอง เพอใหสามารถลาดบเวลาของเหตการณทเกดขน และวเคราะหขอมลลอกไดอยางถกตอง

− จดใหมการตงสญญาณเวลาดวยโพรโตคอล Network Time Protocol หรอ NTP ไปยงเซรฟเวอรทใหบรการขอมลเวลาอยางนอยทเปน Stratum 1 ตามเอกสารอางอ [9] ระบวาในเมองไทยมผใหบรการ ดงตอไปน

สถาบนมาตรวทยาแหงชาต เครอง time1.nimt.or.th หรอ 203.185.69.60

กรมอทกศาสตร กองทพเรอ เครองเซรฟเวอร time.navy.mi.th หรอ 118.175.67.83

ศนยประสานงานการรกษาความปลอดภยคอมพวเตอรประเทศไทยหรอ ThaiCERT เครองเซรฟเวอร clock.thaicert.org หรอ 203.185.129.186 หรอ 203.185.129.187

− ในตางประเทศ National Institute of

Standards and Technology ประเทศสหรฐอเมรกา เครองเซรฟเวอร time.nist.gov หรอ 192.43.244.18

การบรหารจดการการเกบขอมลลอกสาหรบองคกร ขอมลลอกหรอ Log หมายถงขอมลของการบนทกเหตการณทเกดขนจากระบบหรอเครอขาย [4] หรอเรยกวา Audit Trail ขอมลลอกนามาใชเปนขอมลเพอ

− วเคราะหปญหาทเกดขนกบระบบหรอเครอขาย เพอนาไปสการแกไขปญหาทงระยะสนหรอการแกไขปญหาชวคราว และระยะยาวหรอการแกไขปญหาถาวร

− ปรบปรงประสทธภาพของระบบและเครอขายภายในองคกร − วเคราะหปญหาทางดานความมนคงปลอดภย เชนการโจมตทางเวบเซรฟเวอร การเขาถงระบบโดยไมได

รบอนญาต การสงขอความบดเบอนขอเทจจรง หรอการสงสแปมเมลเปนตน ดงนนจากทไดกลาวไปแลวคาวา ขอมลลอกหรอ Log หรอ Audit Trail หรอขอมลจราจรคอมพวเตอร หรอขอมลผใชบรการทไดนยามไวใน พ.ร.บ. วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 และทไดกาหนดจากมาตรฐาน ISO/IEC 27001 นนเปนคาเดยวกน หรอเปนขอมลทเกดจากการบนทกเหตการณทเกดขนของระบบสารสนเทศภายในองคกรหรอหนวยงานนนๆ ความสาคญของกระบวนการบรหารจดการขอมลลอกระบบคอมพวเตอรเพอใหสามารถรองรบการขยายตวของระบบ แอพพลเคชน หรอความตองการของทงองคกรภาครฐและภาคเอกชนทนาระบบคอมพวเตอรหรอระบบสารสนเทศมาใชเพมมากขน ตองคานงถงขอมลลอกจากทเกดขนจากระบบสารสนเทศ การสงขอมลลอก การเกบขอมลลอก การควบคมการเขาถงขอมลลอก การวเคราะหขอมลลอก และการทาลายขอมลลอก ในเอกสารฉบบนคาวา “ลอก” และ “ขอมลลอก” มความหมายเชนเดยวกน 1. การบรหารจดการขอมลลอก (Log management)

การบรหารจดการเกบขอมลลอกทด ควรพจารณาทางเลอกการดาเนนการดงตอไปน

หนา 33 จาก 51

 

ท ประเดน ขอพจารณา ตวอยางการดาเนนการ 1 กาหนด

ความสาคญของการจดเกบขอมลลอก

กาหนดความตองการในการเกบขอมลลอกและจดใหมการเกบขอมลลอก ตดตามการเกบขอมลลอก กระบวนการนาขอมลลอกมาใชวเคราะหเพอหาสาเหตของปญหาทางดานความมนคงปลอดภยทเกดขนหรอปรบปรงประสทธภาพของการใหบรการ

− ความสาคญของการจดเกบขอมลลอกในประเทศไทยเนองมาจาก พ.ร.บ. วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 ทกาหนดใหผบรการตองมการจดเกบขอมลจราจรทางคอมพวเตอรตามมาตราท 26 เปนตน

− นโยบายการจดเกบขอมลลอกสาหรบองคกร (ดรายละเอยดการจดทานโยบายไดท

2 จดทานโยบายและขนตอนปฏบตในการบรหารจดการขอมลลอก (Policies and Procedures for Log Management)

เพอระบนโยบายจากฝายบรหารตามความตองการของการเกบขอมลลอก และระบขนตอนปฏบตเพอใหผดแลระบบ ผดแลระบบเครอขาย ผพฒนาระบบจดทาและดาเนนการเกบลอกตามขนตอนปฏบตใหครบถวน และสอดคลองตามนโยบายทไดกาหนดขน นอกจากนควรจดใหมการตรวจสอบหรอ Audit การบรหารจดการขอมลลอกเพอตรวจสอบการปฏบตตามนโยบายและขนตอนปฏบตขององคกร

นโยบายการเกบรกษาขอมลจราจรคอมพวเตอร)

− นโยบายการทาลายขอมลลอก − ขนตอนปฏบตสาหรบการจดทาลอก

เซรฟเวอร − ขนตอนปฏบตสาหรบการเกบขอมลล

อกสาหรบระบบปฏบตการ Microsoft Windows

3 จดทาระบบจดเกบขอมล ลอกอยางมนคง

โดยออกแบบโครงสรางพนฐานระบบสารสนเทศทเออใหมการจดเกบขอมลลอกอยางมนคง

− ปรบปรงความมนคงปลอดภยของเซรฟเวอร

− ดาเนนการจดทาลอกเซรฟเวอรหรอ

หนา 34 จาก 51

 

ท ประเดน ขอพจารณา ตวอยางการดาเนนการ ปลอดภย ปลอดภย Log Server

− ปรบปรงระบบเครอขายใหมการแบงแยกเครอขายในการจดเกบลอก

− ปรบปรงไฟรวอลลใหมความมนคงปลอดภยมากยงขน

− การควบคมการเขาถงขอมลลอก − การปองกนการเปลยนแปลงขอมล

ลอก − การเขารหสขอมลลอกทจาเปน − หนาทความรบผดชอบของฝายบรหาร

ตอการเกบขอมลลอก 4 กาหนดหนาท

ความรบผดชอบในการบรหารจดการขอมลลอก

โดยระบผทมหนาทรบผดชอบในการดาเนนการจดเกบขอมลลอก บคลากรในการจดทานโยบายการเกบขอมลลอก บคลากรในการปรบปรงระบบเครอขายใหมนคงปลอดภยและเออตอการเกบขอมลลอก การจดอบรมสรางความตระหนกในการจดทาระบบเกบขอมลลอก หรอการอบรมการใชวเคราะหขอมลลอก การสารองขอมลลอก การกาหนดการเขาถงขอมลลอกเปนตน

− หนาทความรบผดชอบของผดแลระบบ ผดแลเครอขาย และผพฒนาระบบ

การออกแบบการบรหารจดการขอมลลอก มประเดนทควรคานงถงหลายประการ ทงจากขอมลลอกมตนกาเนดจากแหลงขอมลลอกหลายแหลงเชนขอมลลอกจากระบบปฏบตการ ขอมลลอกจากแอพพลเคชน หรอจากการจดการความแตกตางของขอมลลอก เชนรปแบบของวนเวลาจากขอมลลอกบนระบบปฏบตการไมเหมอนกบรปแบบวนเวลาของขอมลลอกจากแอพพลเคชน หรอเวลาบนขอมลลอกไมตรงกน ซงสามารถทาใหการวเคราะหขอมลลอกไมถกตองได ยงมประเดนเรองของความถกตอง ความปลอดภยในการจดเกบและสงขอมลลอก ซงสงผลโดยตรงตอการนาขอมลลอกไปวเคราะห ทสาคญคอผวเคราะหลอกควรเปนผเชยวชาญทผานการอบรม ผานการประเมนหรอมประสบการณในการวเคราะหขอมลลอกโดยตรง เพอปองกนความผดพลาดจากการวเคราะหและแปลผลจากขอมลลอกอกปญหาหนงดวย 1.1. การสรางและการจดเกบขอมลลอก

ท ประเดน ขอพจารณา ตวอยาง 1 จานวนของ

ขอมลลอกจากตนกาเนดขอมลลอก

การพจารณาการเกบขอมลลอกควรพจารณาจากจานวนขอมลลอกทเกดจากระบบนนวามแหลงกาเนดขอมลลอกทแตกตางกนเปนจานวนเทาใด มาจากแหลงกาเนดใดบาง

ตวอยางท 1− ขอมลลอกจากเวบเซรฟเวอร ประกอบไปดวยขอมลลอกของระบบปฏบตการ และขอมลลอกของเวบเซรฟเวอรแอพพลเคชน รวมเปนขอมลลอก 2 แหลงเปนตน ตวอยางท 2− ขอมลลอกของแอพพลเคชนพฒนาใหมการจบเกบขอมลลอกแยกระหวางลอกของการพสจนตวตน (Authentication log) และลอกของการทางานของแอพพลเคชน (Operation log)

2 รปแบบของขอมลลอก

การวเคราะหหาความสมพนธของเหตการณจากขอมลลอกจาเปนตองมการปรบรปแบบขอมลลอกใหอยในรปแบบเดยวกน ทงนเพอความสะดวกในการจดเกบขอมล ความถกตองแมนยาในการวเคราะหขอมล รวมถงปองกนความสบสนขณะวเคราะห

รปแบบของขอมลลอกทมความแตกตาง − กรณทหนง เปนการเกบขอมลทไม

เหมอนกน ตวอยางเชนขอมลลอกจากอปกรณเครอขายจากอปกรณ A บนทกขอมลทงไอพแอดเดรสและชอผใชทลอกอนเขาสระบบ แตอปกรณเครอขายจากอปกรณ B บนทกเฉพาะชอผใชทลอกอนเขาสระบบเพยงอยางเดยวเปนตน

ขอมลลอกไดอกทางหนงดวย − กรณทสอง เปนจดเกบเหมอนกนแตม

หนา 35 จาก 51

 

ท ประเดน ขอพจารณา ตวอยาง รปแบบการบนทกไมเหมอนกน เชนระบบปฏบตการระบบ X บนทกวนเวลาในขอมลลอกเปน MM-DD-YYYY ในขณะทระบบปฏบตการ Y บนทกเวลาในขอมลลอกเปน YYDDMM

− กรณทสาม เปนรปแบบทซบซอนขนเชนการเกบขอมลลอกของแอพพลเคชน M เกบเปน File Transfer Protocol (FTP) ในขณะทแอพพลคน N เกบเปนหมายเลขของพอรตเชน 21/TCP เปนตน

3 รปแบบเวลาบนขอมลลอก

Timestamp บนขอมลลอกทระบวนเวลาของเหตการณทเกดขน

ตามพ.ร.บ. ไดกาหนดใหอปกรณทจาตองมการเกบขอมลลอกตองดาเนนการปรบปรงเวลาบนระบบใหตรงกบเวลามาตรฐานสากล สามารถดาเนนการผาน Network Time Protocol หรอ NTP ได

โดยปกตวนเวลาบนขอมลลอกหรอ Timestamp ไดมาจากวนเวลาบนระบบหรออปกรณ ดงนนถาวนเวลาบนระบบหรออปกรณเดนไมตรงเวลา จะทาใหวนเวลาของการประมวลผลขอมลลอกคลาดเคลอนและอาจสงผลโดยตรงตอการวเคราะหปญหาทเกดขนบนระบบ

4 รปแบบการสรางและสงขอมลลอก

รปแบบของการสรางขอมลลอก มจดประสงคแตกตางกนตามวธการเกบขอมลลอกของระบบทเกยวของ ตวอยางเชนการสรางขอมลลอกในรปแบบไฟลฐานขอมลมกมจดประสงคเพอเกบขอมลลอกลงระบบบรหารจดการฐานขอมลโดยตรง หรอการสงขอมลลอกตามรปแบบมาตรฐาน Syslog ซงผดแลระบบสามารถเขาถงและวเคราะหไดงายกวา สามารถจดเกบในรปแบบของไฟลบนระบบไดเปนตน ดงนนการออกแบบระบบเกบขอมลลอก อาจตองคานงถงการสรางขอมลลอกจากแหลงกาเนดขอมลลอก เพอใหสามารถรองรบการเกบขอมลไดหลากหลายมากยงขน

การสรางและสงขอมลลอกจากแหลงตนกาเนดขอมลลอกอาจแตกตางกนได เชน − จดสงในรปแบบของไฟล CSV หรอ

ไฟล Comma-Separated − รปแบบของไฟลฐานขอมลหรอ

Database Management System หรอดวยโครงสรางภาษา SQL หรอ Structure Query Language

− รปแบบมาตรฐาน Syslog − รปแบบของ Eventlog บน

ระบบปฏบตการไมโครซอฟต − สงในรปแบบของโพรโตคอล Simple

Network Management Protocol หรอ SNMP

− สงในรปแบบของ XML หรอ XHTML − สงในรปแบบไฟลไบนาร เปนตน

โดยสรป การสรางและการจดเกบขอมลลอกมประเดนทตองคานงถงคอ 1. การปรบเวลาของเครองเซรฟเวอรและอปกรณใหเปนเวลามาตรฐาน เพอใหขอมลลอกบนลอก

เซรฟเวอรมเวลาตอเนองกนโดยตลอด สามารถดาเนนการไดผานโพรโตคอล Network Time Protocol หรอ NTP

2. การปรบรปแบบของการสรางขอมลลอก ใหอยในรปแบบทสามารถสงและจดเกบไวทลอกเซรฟเวอรและสามารถวเคราะหตอไดโดยงาย

3. การวเคราะหจานวนขอมลลอกจากแหลงกาเนดขอมลลอก วามจานวนลอกอยางไร มรปแบบเปนอยางไร และจะดาเนนการจดเกบในรปแบบใด

1.2. การปองกนขอมลลอก ผทเกยวของมหนาทในการดาเนนการจดทาความมนคงปลอดภยใหกบขอมลลอก เพอใหขอมลลอกมความนาเชอถอและตรงตามความเปนจรงสาหรบการวเคราะหเพอหาสาเหตของปญหาทางดานประสทธภาพหรอความมนคงปลอดภยไดอยางถกตอง และใชประกอบเปนหลกฐานในชนศาลได การสงขอมลลอกผานทางระบบเครอขาย มประเดนสาคญทตองพจารณาดงตอไปน

หนา 36 จาก 51

 

ท ประเดน ขอพจารณา ตวอยางการดาเนนการ 1 การควบคมการ

เขาถงขอมลลอก ตองมการกาหนดมาตรการควบคมการเขาถงขอมลลอก โดยการพสจนตวตนตามรายชอของผทมสทธเขาถงขอมลลอกทกาหนดไว รวมถงจดใหมการบนทกการเขาถงขอมลลอกทกครง

− จดใหมการการพสจนตวตนกอนเขาถงขอมลลอก

− กาหนดใหมการจดทาลอกเซรฟเวอรทเกบเฉพาะขอมลลอกซงจะสามารถควบคมการเขาถงขอมลลอกไดอยางมประสทธภาพยงขน

2 การปองกนการเปลยนแปลงขอมลลอกโดยไมไดรบอนญาต

ตองมการกาหนดมาตรการในการระบการเปลยนแปลงทเกดขนบนขอมลลอก และตรวจสอบไดวาเปนการเปลยนแปลงทถกตอง

− จดใหมการบนทกการเขาถงขอมล ลอกทกครง เชนผใชทเขาถง ไอพแอดเดรสของผใชทเขาถงขอมลลอก การลบหรอแกไขขอมลลอก เปนตน

− นาวธการ Digital Hashing มาใชเพอตรวจสอบความเปลยนแปลงทเกดขนบนขอมลลอก เชนการใช MD5 หรอ GPG เปนตน

− จดเกบขอมลลอกไวในสอบนทกขอมลชนดเขยนไดอยางเดยวเชน CD-ROM เปนตน

3 การจดทาลอกเซรฟเวอร หรอ Log Server

เพอปองกนการเปลยนแปลงขอมลลอกบนเซรฟเวอรหรออปกรณกาเนดขอมลลอก นารปแบบทเรยกวา

− โดยปกตขอมลลอกจะจดเกบบนอปกรณหรอเซรฟเวอรตนกาเนดขอมลลอก

Secondary ระบบปฏบตการไมโครซอฟตวนโดวสเกบบนทกลอกผาน Eventlog

Logging หรอการจดทาลอกเซรฟเวอรและปรบแตงใหเซรฟเวอรหรออปกรณกาเนดขอมลลอกจดสงขอมลลอกไปทลอกเซรฟเวอรดวย

ระบบปฏบตการลนกซปกตจะเกบลอกท /var/log

− การสงขอมลลอกไปทลอกเซรฟเวอรสามารถปองกนความเสยงทผบกรกสามารถเขาถงระบบและแกไขขอมลลอกเพอลบรองรอยการบกรก ซงขอมลลอกบนเซรฟเวอรจะถกเปลยนแปลงไป แตขอมลลอกบนลอกเซรฟเวอรจะไมไดถกเปลยนแปลง (ยกเวนผบกรกจะสามารถบกรกลอกเซรฟเวอรดวย)

− กาหนดมาตรการปองกนการเขาถงขอมลลอกบนลอกเซรฟเวอร ใหรดกมและปลอดภยเชนการใช Two-factor Authentication เปนตน

− กาหนดมาตรการปองกนบนระบบเครอขายเพอปองกนการเขาถงลอกเซรฟเวอรโดยไมไดรบอนญาต

4 การปองกนขอมลลอกทมขอมลสวนบคคล

ตองมการกาหนดมาตรการการปองกนและควบคมการเขาถงขอมลลอกกรณทขอมลลอกมการบนทกขอมลทเกยวของกบขอมลสวนบคคล

− กาหนดใหมการเขารหสขอมลสวนบคคล หรอเกบเฉพาะบางสวนของขอมลเชนเกบเฉพาะเลข 4 หลกสดทายของบตรประจาตวประชาชนเปนตน

หนา 37 จาก 51

 

ท ประเดน ขอพจารณา ตวอยางการดาเนนการ ขอมลสวนบคคลตวอยางเชน ชอ นามสกล ทอย หมายเลขบตรประจาตวประชนชน เงนเดอน ภาษ

ขอมลสวนบคคลทเกยวของการใชงานระบบ เชนรหสผาน เนอหาอเมลของผใช หรอขอมลอนๆ

5 การปองกนขอมลลอกทสงผานระบบเครอขาย

ตองมการกาหนดมาตรการปองกนการเขาถงหรอเปลยนแปลงขอมลลอกทสงผานระบบเครอขายโดยไมไดรบอนญาต

− ออกแบบระบบเครอขายใหรองรบการสงขอมลลอกผานระบบเครอขายใหปลอดภย เชนการแบงเครอขายของ ลอกเซรฟเวอรโดยเฉพาะ การควบคมผานไฟรวอลลเปนตน

− เขารหสขอมลลอกทมการสงผานระบบเครอขาย เชนเขารหสขอมลกอนแลวคอยสงไปทลอกเซรฟเวอรเปนตน

6 การรกษาความพรอมใชของขอมลลอก

ขอมลลอกตองเขาถงไดจากผทไดรบอนญาตหรอไดสทธ และเมอตองการเขาถงขอมล ลอกควรจะเขาถงไดตามตองการโดยทนท

− จดทาระบบสารองขอมลลอก โดยกาหนดตามแผนการสารองขอมลลอก เชนดาเนนการสารองขอมลแบบ Full ทก 1 เดอนเปนตน หรอการบบขอมลลอก (Archive Log) และเขยนในสอบนทกขอมลชนดเขยนไดอยางเดยว

− ควรกาหนดปรมาณขอมลลอกทสามารถสบคนไดทนท เชนกาหนดใหสบคนไดยอนหลงไป 10 วน ถาตองการสบคนยอนหลงไปมากกวานน ตองไปดงขอมลจากขอมลในเทปสารองขอมลเปนตน

− ควรมการกาหนดระบบทดแทนระบบเกบขอมลลอก เชนม 2 เซรฟเวอรทาหนาทเกบขอมลลอกเปนตน หรอพจารณาทา RAID บนฮารดดสกทใชเกบขอมลลอกเพอใหรองรบความเสยหายทอาจจะเกดขนบนฮารดดสก เพอเพมระดบความพรอมใชของการใหบรการขอมลลอก

− ควรมการประเมนและตดตามปรมาณขอมลลอกตอวน เพอใหสามารถวางแผนและกาหนดขดความสามารถในการจดเกบขอมลลอกบนเซรฟเวอรเกบขอมลลอกได

− กาหนดวธการรกษาระยะเวลาการจดเกบขอมลลอกใหไดตามทกาหนด เชนการทา Archive Log ของขอมล ลอกทเกากวา 30 วนเกบลงบนสอบนทกขอมลแยกตางหาก เพอลดการเกบขอมลลอกบนเซรฟเวอรหลก เปนตน

7 การรกษาระยะเวลาของการเกบขอมลลอกหรอ

การนาขอมลลอกมาวเคราะหเพอหาสาเหตของปญหาหรอปรบปรงประสทธภาพดานความปลอดภย ตองการขอมลลอกทนาเชอถอ และตองใชขอมลลอกในวนทมเหตการณทตองการนามาใชวเคราะห และโดยปกตมกจะตองใชขอมลลอกยอนหลงรวมดวย การรกษาระยะเวลาการจดเกบขอมลลอกจงมความเปนจาเปน และควรกาหนดมาตรการปองกนใหขอมลลอกมการจดเกบตามระยะเวลาทกาหนดไว

Log Archival

− กาหนดมาตรการสารองขอมลลอก เพอใหสามารถนาขอมลลอกยอนหลงไดตามทตองการ

− ควรมการประเมนและตดตามปรมาณขอมลลอกตอวน เพอใหสามารถวางแผนและกาหนดขดความสามารถในการจดเกบขอมลลอกบน

ลอกเซรฟเวอร ตาม พ.ร.บ. วาดวยการกระทา

หนา 38 จาก 51

 

ท ประเดน ขอพจารณา ตวอยางการดาเนนการ ความผดเกยวกบคอมพวเตอร พ.ศ. 2550 กาหนดใหมการจดเกบขอมล 90 วนหรอตองการใหรกษาระยะเวลาการเกบขอมลลอกยอนหลงไป 90 วน (ในกรณพเศษอาจสงใหมการเกบเพมเตมได แตไมเกน 1 ป)

1.3. การวเคราะหขอมลลอก

โดยปกตผดแลระบบ (System Administrator) ผดแลระบบเครอขาย (Network Administrator) และผพฒนา (Developer) มหนาทความรบผดชอบโดยตรงในการวเคราะหขอมลลอก อาจมนกวเคราะหความมนคงปลอดภยระบบ (Security Analyst) เพอวเคราะหขอมลลอกจากอปกรณทางดานความปลอดภยเชนไฟรวอลลหรอระบบปองกนการบกรกโดยตรง และมประเดนสาคญ 2 ประเดนคอ ท ประเดน ขอพจารณา ตวอยางการดาเนนการ 1 การอบรมความร

ในการวเคราะหขอมลลอก

การวเคราะหขอมลลอกจาเปนตองใชความเชยวชาญและทกษะระดบสงของผทมหนาทรบผดชอบโดยตรง เพอวเคราะหลาดบของเหตการณ สาเหตของเหตการณ และแนวทางการแกไขทถกตองใหได ดงนนการอบรมความรใหกบผทมหนาทรบผดชอบโดยตรงเพอปองกนปญหาการขาดความรและทกษะความเชยวชาญในการวเคราะหขอมลลอก

− จดใหการอบรมการวเคราะหขอมลลอก โดยบรษทผตดตงลอกเซรฟเวอร

2 เครองมอสาหรบการวเคราะหขอมลลอก

เพอใหสามารถวเคราะหขอมลลอกจานวนมากไดอยางรวดเรวและถกตอง การใชเครองมอเชนการเรยงเวลาลาดบการเกดเหตการณ การแปลงขอมลลอกจากแหลงกาเนดขอมลลอกทแตกตางกน ซงจะชวยใหผทมหนาทรบผดชอบสามารถดาเนนการวเคราะหไดตอไป

− ตรวจสอบความสามารถในการวเคราะหลอกของซอฟตแวรในการจดเกบขอมลลอกบนเซรฟเวอร หรอความสามารถของลอกเซรฟเวอรในการวเคราะหเหตการณตามทตองการ

2. โครงสรางระบบเกบขอมลลอกสาหรบองคกร โครงสรางพนฐานระบบเกบขอมลลอกเกยวของทงฮารดแวร ซอฟตแวร ระบบเครอขาย และสอบนทกขอมลทเลอกมาใชเพอใหเกดการจดเกบขอมลลอกไดตามความตองการ ทงการสรางขอมลลอก การสงขอมลลอก การเกบขอมลลอก การวเคราะหขอมลลอก และการลบขอมลลอกเมอไมมความจาเปนตองเกบในระบบแลว โดยทวไปรปแบบระบบเกบขอมลลอกสาหรบองคกร ตามเอกสารอางอง [4] ไดแบงสวนประกอบหลกเปน 3 สวนดงรป

2.1. สวนประกอบของระบบเกบขอมลลอก

Log Generation หรอ Log Source เปนแหลงกาเนดขอมลลอกหรอสรางขอมลลอก เปนเซรฟเวอรหรออปกรณบนระบบเครอขายทมขอมลลอกจากระบบปฏบตการและแอพพลเคชน การจดเกบขอมลลอกบนเครองเซรฟเวอรหรออปกรณในตวเองเรยกวา Primary Logging ในกรณทมการจดสงขอมลลอกไปยงลอกเซรฟเวอรหรอ Log server จะเรยกลกษณะการสงขอมลลอกนวา Secondary Logging Log Storage and Correlation เปนลอกเซรฟเวอรสาหรบรบขอมลลอกจากแหลงกาเนดขอมลลอกหรอ Log Generation เพอจดเกบตามรปแบบทกาหนดไว รวมทงการแปลงขอมลลอกใหอยในรปแบบทสามารถจดเกบได ซงอาจรวมถงการแปลงขอมลลอกใหมรปแบบทพรอมจะนาไปวเคราะหตอได ไมวาจะมรปแบบของขอมลลอกแตกตางกน ในกรณทเซรฟเวอรดงกลาวรบขอมลลอกจากแหลงกาเนดขอมลลอกจานวนมากจะเรยกวา Collectors หรอ Aggregators Log Analysis and Monitoring เปนหนาตางสาหรบผดแลระบบหรอผทมหนาทรบผดชอบในการวเคราะหขอมลลอก และตดตามตรวจสอบความถกตองของขอมลลอก ระบบจดเกบขอมลลอกบางระบบสนบสนนการสรางรายงานการวเคราะหขอมลลอก ทงนเพอใหขอมลเรวและตรงกบความเปนจรงในปจจบนทสด

หนา 39 จาก 51

 

2.2. การจดเกบขอมลลอกแบบ Primary Logging และ Secondary Logging

โดยปกตแลวเครองเซรฟเวอรหรออปกรณสามารถบนทกขอมลลอกได และ/หรอสามารถสงขอมลลอกไปยงเซรฟเวอรอนได ทงนไดแยกรปแบบเปน 2 แบบคอ

− การบนทกขอมลลอกบนตวระบบเองเรยกวา Primary Logging หรอการบนทกขอมลลอกแบบปฐมภม

− การสงขอมลลอกไปบนทกหรอจดเกบทลอกเซรฟเวอรเรยกวา Secondary Logging หรอการบนทกขอมลลอกแบบทตยภม ซงชอวธการสงขอมลแบบนใชตามเอกสารอางอง [5]

ตามรป

การจดเกบขอมลลอกแบบ Primary Logging เปนการจดเกบขอมลบนฮารดดสกหรอสอบนทกขอมลบนตวอปกรณหรอระบบทกาเนดขอมลลอกเอง จากในรปเปนตวอยางการเกบขอมลลอกแยกตามขอมลลอกของระบบปฏบตการ เปนระบบปฏบตการลนกซ ขอมลลอกของเวบเซรฟเวอรและขอมลลอกของระบบแอพพลเคชน ในตวอยางเปนระบบ E-ticket ระบบปฏบตการลนกซจะบนทกขอมลลอกไวในไดเรกทอร /var/log เปนตน การสงขอมลลอกไปทลอกเซรฟเวอรนน สามารถสงผานระบบเครอขายไดหลายวธการ ตวอยางเชน

− สงขอมลตามรปแบบของไฟลไบนารหรอการเรยกใช Application Programming Interface หรอ API ของลอกเซรฟเวอรเพอสงขอมลลอก

− สงขอมลในรปแบบของไฟลเชนสงไฟลเปน TEXT หรอรปแบบไฟล CSV (Comma-Separated) ผานการสงไฟลขามเครองดวย File Transfer Protocol หรอ FTP

− สงขอมลในรปแบบมาตรฐาน SYSLOG เปนโพรโตคอล UDP ใชหมายเลขพอรตเปน 514 นยมใชกบระบบปฏบตตระกลยนกซและลนกซ ซงเปนตวอยางทใชในรป

− สงขอมลในรปแบบมาตรฐาน EVENTLOG ซงเปนรปแบบของไฟลหรอผานสครปตการสงขอมล EVENTLOG นยมใชบนระบบปฏบตการตระกลไมโครซอฟตวนโดวส

− สงขอมลในรปแบบของระบบฐานขอมลดวยโครงสรางภาษา SQL หรอ Structure Query Language เพอสงขอมลลอกไปเกบทระบบบรหารจดการฐานขอมลหรอ Database Management System บนลอกเซรฟเวอรโดยตรง

− ใชการสงขอมลผานโพรโตคอล Simple Network Management Protocol หรอ SNMP − สงขอมลในรปแบบ XML หรอ XHTML ผานโพรโตคอล SOAP

ลอกเซรฟเวอรหรอ Log Server สาหรบการบนทกขอมลตามแบบ Secondary Logging ซงทาหนาทหลกในการจดเกบขอมลลอก สารองขอมลลอก มระบบปองกนการเขาถงหรอควบคมการเปลยนแปลงโดยไมไดรบอนญาต อาจมความสามารถในการวเคราะหขอมลลอก รวมถงบรหารจดการขอมลลอกชนสงอนๆ เปนตน มชอเรยกในการใชงานหลายชอ เชน

หนา 40 จาก 51

 

− Centralized Log Server หรอเซรฟเวอรจดเกบขอมลลอกแบบศนยกลาง − Centralized Log Management Server หรอเซรฟเวอรบรหารจดเกบขอมลลอกแบบศนยกลาง − Security Event Manager System หรอ SEM หรอระบบบรหารจดการเหตการณดานความมนคง

ปลอดภย ทาหนาทเกบบนทกขอมลเหตการณดานความมนคงปลอดภยทเกดขนภายในระบบสารสนเทศ

− Security Information Management System หรอ SIM หรอระบบบรหารจดการขอมลเหตการณดานความมนคงปลอดภย ทาหนาทเกบบนทกขอมลเหตการณ ตอบสนองผานการวเคราะหและสรป เพอใหผเชยวชาญระบบความมนคงปลอดภยนาไปวเคราะหตอไดอยางแมนยา มกมการนาไปใชในระบบวเคราะหขอมลลอกระดบสง เพอตดตามปญหา วเคราะหปญหา และหาสาเหตของปญหาทางดานความมนคงปลอดภยอยางเปนระบบ

จากเหตผลของการรกษาความถกตองและเชอถอไดของขอมลลอก ทาใหประเดนการพจารณาเลอกวธการตดตงลอกเซรฟเวอรและบนทกขอมลแบบ Secondary Logging รวมดวยนนเปนทางเลอกทด เพราะ

− สามารถควบคมและบรหารจดการความมนคงปลอดภยของขอมลลอก ผานการควบคมการเขาถง การปองกนการเปลยนแปลงโดยไมไดรบอนญาต การสารองขอมลลอก ดาเนนการผานศนยกลางหรอลอกเซรฟเวอรเพยงจดเดยว

− เพมระดบความมนคงปลอดภยใหกบขอมลลอก ในกรณทผบกรกเขาถงระบบโดยไมไดรบอนญาตนน ขอมลลอกท Primary Logging มกจะถกแกไขหรอถกลบขอมลการเขามาในระบบ หรอโดยมากมกจะพจารณาไดโดยทนทวาในกรณทระบบถกบกรกโดยไมไดรบอนญาตนน ขอมลลอกท Primary Logging จะมความนาเชอถอและความถกตองนอยมากจนไมสามารถนามาพจารณาไดทงหมด

− สามารถประเมนระดบความตองการและขดความสามารถในการรองรบการเกบขอมลลอกไดอยางมประสทธภาพ เชนการตดตามปรมาณของการเกบขอมลลอกบนสอบนทกขอมลหรอฮารดดสกเฉพาะทลอกเซรฟเวอร เพอประเมนแนวโนมอตราการเตบโตของขอมลลอกเปนตน

− สามารถนาขอมลลอกทศนยกลางไปใชวเคราะหไดอยางรวดเรวและมประสทธภาพ รวมถงการตงแจงเตอนเปน Real-time หรอการวเคราะหขอมลลอกแบบ Off-line กยอมได

2.3. ฟงกชนการทางานลอกเซรฟเวอร

ถาพจารณาตาม พ.ร.บ วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 แลวเจตนารมณการจดเกบขอมลจราจรคอมพวเตอร และขอมลผใชตองการใหขอมลลอกนนตองการให

− ขอมลลอกควรมความถกตองและเชอถอได − มการกาหนดมาตราการปองกนขอมลลอก − มการกาหนดใหรกษาระยะเวลาเกบขอมลลอกใหเหมาะสมเชน 90 วนเปนอยางนอย − สามารถวเคราะหขอมลหาผทเกยวของกบระบบสารสนเทศ และรปแบบของเหตการณทเกดขน

จากขอมลลอกได นอกจากการเกบขอมลลอกแลว ตามตาม พ.ร.บ วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 ในมาตรา 28 ไดกาหนดใหมการแตงตงพนกงานเจาหนาทความเชยวชาญในการวเคราะหหลกฐานขอมลคอมพวเตอรหรอ Computer Forensic ซงตองดาเนนการเกบหลกฐานและวเคราะหขอมลคอมพวเตอร และมวธการในการเกบและจดการกบหลกฐานทางอเลกทรอนกสเพอใหสามารถนาไปพจารณาไดในชนศาลอยางถกตองหรอทเรยกวามความรความเขาใจและดาเนนการตามระเบยบวธการรกษา Chain of Custody ไดซงไดกลาวเนนไวในเอกสารอางอง [6] ถาพจารณาเฉพาะความสามารถของลอกเซรฟเวอรทสามารถทาได จะครอบคลมฟงกชนการทางานทงหมดดงตอไปน อางองขอมลจาก [4] ความสามารถทวไป

− Log parsing ทาหนาทในการดงขอมลลอกเพอใหสามารถเกบบนระบบฐานขอมล หรอสงตอใหกบระบบเกบฐานขอมลลอกอนได ยงรวมถงการแปลงขอมลลอกหรอ Log Conversation ใหอยในรปแบบทตองการหรอพรอมสาหรบนาไปใชงานตอไป

หนา 41 จาก 51

 

− Event filtering ทาหนาทกรองขอมลลอกเพอใชสาหรบการวเคราะห การรายงานหรอการประเมนแนวโนมของเหตการณตามคณลกษณะของเหตการณหรอความผดปกตทเกดขน รวมถงคดกรองเหตการณหรอขอมลลอกทไมเกยวของ ฟงกชนของ Event filtering ควรมการปองกนการเปลยนแปลงขอมลลอกดวย

− Event aggregation ทาหนาทในการรวบรวมขอมลหรอปรบเปลยนขอมลใหอยทเดยวกน

เพอใหสะดวกตอการรองขอหรอการสรางรายงาน การจดเกบขอมลลอก

− Log rotation เปนการจดเกบลอกไฟลโดยการหมนขอมลลอก หมายถงการบนทกไฟลขอมลลอกไวเปนชออน และสรางไฟลลอกใหมเพอรองรบการบนทกขอมลตอไป ตวอยางเชนการบนทกไฟลลอกเปน /var/log/message เมอมการหมนขอมลลอกจะบนทกขอมลลอกเปน /var/log/message.1 และสรางไฟลลอกใหมเปนชอ /var/log/message เปนตน เพอปองกนไมใหมไฟลขอมลลอกขนาดใหญเกนจนไมสามารถใชงานได โดยปกตการหมนขอมลลอกจะดาเนนการตามระยะเวลาท เหมาะสมเชน ทกวน หรอทกสปดาห หรอเมอมขนาดของไฟลขอมลลอกมขนาดถงทกาหนดไว นอกจากนยงนาขอมลลอกเดมเมอมการหมนขอมลลอกไปบบอดขอมลเพอเพมพนทเกบขอมล หรอทา Log archive ได การหมนขอมลลอกทเหมาะสมคอการบนทกขอมลลอกแยกเปนรายวน และแยกตามเซรฟเวอรหรออปกรณในระบบเครอขาย

− Log archival คอการสารองขอมลลอกเพอใหสามารถรกษาระยะเวลาในการจดเกบขอมลลอก

ตามความตองการ โดยการบนทกขอมลลอกบนสอบนทกขอมลภายนอก หรอการบนทกขอมลบน Storage area network หรอ SAN หรอการบนทกบนเซรฟเวอรหรอขอมลททาหนาทเฉพาะในการบนทกขอมลลอกเปนตน ยงรวมถงการสารองขอมลลอกบนสอบนทกขอมลอนเชนเทปสารองขอมล ซดรอมหรอดวดเปนตน การจดทา Log archival แบงเปนสองแบบคอ

Log retention เปนการบนทกขอมลลอกของเหตการณจากระบบอยางสมาเสมอ Log preservation เปนกระบวนการรกษาขอมลลอกเพอใหสามารถนาไปใชรวมกบการรบมอเหตการณดานความมนคงปลอดภย หรอเหตการณผดปกตทเกดขนกบระบบสารสนเทศ และสามารถรกษาขอมลลอกไดตามระยะเวลาทกาหนดไวหรอตามความตองการจากภายนอก เชนความตองการของ พ.ร.บ. วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 เปนตน

− Log compression คอการบบอดขอมลลอกเพอเพมพนทในการจดเกบขอมลลอก และงายใน

การสารองขอมลลอกหรอการยายขอมลลอกไปเกบไวบนสอบนทกขอมลอน มกดาเนนการตอเนองจาก Log rotation หรอ Log archival

− Log reduction เปนการตด ลบ หรอลดขอมลลอกบางสวนทไมเกยวของ เชนการลบตวอกษร

หรออกขระทไมจาเปนตอเกบบนทกขอมลลอก มกจะดาเนนการควบคกบกระบวนการ Log archival เพอลดขอมลลอกทไมเกยวของกอนจะบนทกขอมลลอกในสอบนทกขอมล

− Log conversion เปนการแปลงรปแบบการจดเกบขอมลลอกเชน แปลงขอมลลอกจากรปแบบ

ของไฟล TEXT เปนรปแบบขอมลลอกแบบ XML เปนตน เปนวธการแปลงรปแบบการเกบขอมลลอกจากรปแบบหนงไปเปนอกรปแบบหนง สวนหนงแลวการทา Log conversion มกทากระบวนการ Event filtering และ Event aggregation จนถง Log normalization

− Log normalization เปนการปรบรปแบบของขอมลลอกใหอยในรปแบบเดยวกน เชนการปรบรปแบบของวนททแตกตางกน เชน หรอความแตกตางของชอตาแหนงของขอมลลอก เชน

ขอมลลอกวนทจากเวบเซรฟเวอรเปนรปแบบ 12 ชวโมงหรอเขยนเปน 2:34:56 P.M. IDT ในขณะทขอมลลอกวนทของเวบเซรฟเวอรอกเซรฟเวอรจดเกบในรปแบบ 24 ชวโมง เชน 14:34 GMT+7 เปนตน

ในระบบหนงเรยกขอมลลอกวนทวา Timestamp ในขณะทอกระบบหนงเรยกวา Event Time เปนตน

หนา 42 จาก 51

 

บางระบบเกบขอมลลอกของ Timezone เปน GMT+7 ในขณะทอกระบบหนงเกบขอมลลอกเปน Zone-21 เปนตน ดงนนกระบวนการ Log normalization ตองทราบวาความหมายของ Zone-21 หมายถง GMT+7 เปนตน

กระบวนการ Log normalization มความสาคญมากยงเฉพาะกบการใชลอกเซรฟเวอรแบบศนยกลางเพอเกบขอมลลอก และสามารถวเคราะหขอมลลอก ซงตองมความสามารถในการรบขอมลลอกหลายรปแบบและตองทา Log normalization ในการแปลงขอมลลอกใหอยในรปแบบทสามารถจดเกบ สบคน และวเคราะหไดโดยผทมความรความเชยวชาญตอไป

− Log file integrity checking เปนกระบวนการตรวจสอบความถกตองของลอกไฟล โดยการ

ทา Data Hashing กบลอกไฟลทไมมการเขยนขอมลแลว ตวอยางดาเนนการทา Log rotation เปนวนดงนนสามารถนาขอมลลอกไฟลของเดอนกอนหนามาเขากระบวนการนได หรอการทา Log compression กบลอกไฟลทผานกระบวนการ Log archival แลวเชนขอมลลอกของสปดาหทแลวนามาบบอดและคานวณดวยวธการนเปนตน ซงจะไดเปนขอมลเปน Message Digest เชนการคานวณดวยอลกอรทม MD5 ขนาด 128 บต หรอใชอลกอรทม SHA-1 ขนาด 128 บตเปนตน ผลลพธทไดหรอทเรยกวา Message Digest จะมความยาวขนาด 128 บตเพอใชเปนตวแทนของลอกไฟล ขอมล Message Digest ควรจะตองเกบไวในสอบนทกขอมลทปลอดภยเชน สอบนทกขอมลแบบเขยนไดอยางเดยวเปนตน ตวอยางในรปเปนการใชงาน Data Hashing

ลอกไฟล /var/log/message และ C:\WINDOWS\System32\config\SecEvent.Evt ตามรปบนระบบปฏบตการยนกซและขอมลลอกไฟลของ Security Log บนระบบปฏบตการวนโดวสตามลาดบทจดเกบบนลอกเซรฟเวอร นามาคานวณผานกระบวนการ Data Hashing และขอมล Message Digest ทไดนาไปเกบไวบนสอบนทกขอมลประเภท CD-ROM ซงเขยนไดอยางเดยวเปนตน เมอตองการเทยบวาลอกไฟลดงกลาวมการเปลยนแปลงหรอไม ใหคานวณเทยบดวยวธการเชนเดม และนาผลลพธของ Message Digest ไปเทยบกบคาของ Message Digest ทคานวณไวตอนตน ถาคาทไดไมเทากน แสดงวาเกดการเปลยนแปลงโดยทไมไดรบอนญาตแลว ขอสาคญคอขอมล Message Digest ทไดจากการคานวณตอนแรกตองมการกาหนดมาตรการควบคมการเกบอยางมนคงปลอดภยและปองกนการเปลยนแปลงโดยไมไดรบอนญาตดวย

การวเคราะหขอมลลอก

− Event correlation เปนกระบวนการสรางความสมพนธของขอมลลอกตวอยางเชนการสรางกฏความสมพนธหรอ Rule-based correlation ระหวางขอมลลอก เชนการสรางความสมพนธของขอมลลอกจาก วนเวลา จากไอพแอดเดรส จากชนดของเหตการณจากขอมลลอกเปนตน

หนา 43 จาก 51

 

กระบวนการ Event correlation สามารถนาระเบยบวธการประมวลผลขอมลระดบสงมาใชรวมได เชนการใชวธการทางสถตมาหาแนวโนมของเหตการณทเกยวของกน หรอการใชความนาจะเปนมาคานวณเพอวเคราะหหาความสมพนธของเหตการณเปนตน จนถงการนาเทคนคของ Data Mining มาใชเพมเตมเพอจดแบงกลมขอมลและความสมพนธของขอมลลอกหรอเหตการณทเกดขนไดอยางแมนยามากขน

− Log viewing เปนระบบการแสดงขอมลลอก มความสามารถของ Event filtering เชนสามารถ

การจดเรยงขอมลลอกตามวนท การแยกขอมลลอกตามเซรฟเวอรหรออปกรณ

− Log reporting เปนการแสดงผลลพทจากการวเคราะหขอมลลอก ระบความสมพนธทเกยวของ หรอขอมลสรปการวเคราะหขอมลลอกหรอเหตการณทเกยวของ แสดงความตอเนองของเหตการณทเกดขนและคดกรองรวมถงแสดงเปนกราฟหรอแผนภมเพอใหงายตอการแสดงผลเปนตน

การทาลายหรอยกเลกใชงานขอมลลอก

− Log clearing คอการลบขอมลจากลอกไฟลตามวนเวลาทกาหนดไว ซงเปนการลบขอมลทไมไดใชงานแลวหรอไมมความสาคญตอการใชงานแลว การลบขอมลลอกตองคานงถง Log archival

3. ประเภทของของขอมลลอกจากแหลงกาเนดขอมลลอก (Log source หรอ Log generation)

แหลงกาเนดขอมลลอกทนามาใชเพอวเคราะหปญหาทางดานความมนคงปลอดภย ประกอบดวย

− ขอมลลอกทเกดจากระบบปฏบตการของอปกรณคอมพวเตอรทงเครองคอมพวเตอรและอปกรณเครอขาย

− ขอมลลอกทเกดจากแอพพลเคชนบนระบบ − ขอมลลอกทเกดจากอปกรณหรอซอฟตแวรทเกยวกบการรกษาความมนคงปลอดภยของระบบ

การบนทกขอมลลอกและการสงขอมลลอก สามารถบนทกขอมลลอกไดสองรปแบบ

− การบนทกขอมลลอกอยางตอเนองหรอ Continuous คอเมอมเหตการณเกดขนจะบนทกขอมลลอกทนท

− การบนทกขอมลลอกตามระยะเวลาทกาหนดไว หรอเมอถงจานวนของขอมลทกาหนดไวแลวแตกรณ เรยกวา Batches กลาวคอเมอเกดเหตการณบนระบบ ระบบจะรวบรวมบนทกไวในทพกชวคราวจนชวงเวลาทกาหนดหรอจานวนขอมลทกาหนดไว จะนาขอมลบนทกในสอบนทกขอมลทกาหนดไว หรอสงขอมลลอกไปทลอกเซรฟเวอรเปนตน ในกรณทบนทกแบบ Batches ควรคานงถงความตองการขอมลลอกภายในระยะเวลาทกาหนดวาจะมขอมลลอกเพอใหนามาใชวเคราะหไดทนเวลาหรอไม

3.1. ขอมลลอกทเกดจากระบบปฏบตการ (Operating system log)

ระบบปฏบตการสาหรบเซรฟเวอร (Servers) เครองผใชงาน (Workstations) รวมถงอปกรณเครอขายเชน Routers หรอ Switches สามารถบนทกขอมลลอกของกจกรรมทเกดขนทเกยวเนองกบระบบ โดยสามารถแบงไดเปนสองประเภทคอ System Events หรอขอมลลอกบนทกเหตการณทเกดขนและเกยวของกบระบบปฏบตการหรอสวนประกอบของระบบปฏบตการเอง ตวอยางเชนการปดระบบปฏบตการหรอการเปดใชงานระบบปฏบตการ (Boot and Shutting down Operating System) หรอการเรมตนทางานของซอฟตแวรทใหบรการบนเครองเซรฟเวอรเปนตน ขอมลลอกดงกลาวนสาคญตอการวเคราะหและแกไขปญหาทเกดขนตอระบบโดยตรง และมกจะเกยวของกบการวเคราะหปญหาทางดานความมนคงปลอดภยของระบบปฏบตการดวย ตวอยางเชน Aug 16 06:01:50 localhost@server kernel: kjournald starting. Commit interval 5 seconds Aug 16 06:01:50 localhost@server kjournald starting. Commit interval 5 seconds

หนา 44 จาก 51

 

Aug 17 06:01:51 localhost@server Allocating PCI resources starting at 40000000 (gap: 3c000000:c2c00000) Aug 17 06:01:51 localhost@server kernel: ehci_hcd 0000:00:10.4: USB 2.0 started, EHCI 1.00, driver 10 Dec 2004 … Aug 25 06:00:42 localhost@server syslog-ng[2005]: Termination requested via signal, terminating; Aug 25 06:00:42 localhost@server syslog-ng[2005]: syslog-ng shutting down; version='2.0.9' Aug 25 06:01:51 localhost@server syslog-ng[2004]: syslog-ng starting up; version='2.0.9' … Aug 25 04:02:04 localhost@server logrotate: ALERT exited abnormally with [1] Aug 25 06:00:01 localhost@server shutdown[11127]: shutting down for system reboot Aug 25 06:01:51 localhost@server kernel: SI 27 (level, low) -> IRQ 169

Audit Records หรอขอมลลอกทางดานความมนคงปลอดภยบนระบบปฏบตการเชน ขอมลลอกการพสจนตวตน การเขาถงไฟลในระบบ การเปลยนแปลงไฟลคอนฟกกเรชนของระบบ การเปลยนแปลงบญชผใช การเปลยนแปลงสทธของผใชบนระบบ เปนตน โดยทวไปผดแลระบบจาเปนจะตองดาเนนการปรบแตงระบบปฏบตการเพมเตมเพอใหสามารถเกบบนทกขอมลลอกทเกยวของกบความมนคงปลอดภยนดวยตวเอง ตวอยางขอมลลอกทเกยวของกบความมนคงปลอดภยของระบบ Aug 1 22:25:41 localhost@server sshd[7876]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.96.6 user=teerapap Aug 1 22:25:43 localhost@server sshd[7876]: Failed password for teerapap from 192.168.1.6 port 1068 ssh2 Aug 1 22:25:46 localhost@server sshd[7876]: Accepted password for teerapap from 192.168.1.6 port 1068 ssh2 Aug 1 22:25:46 localhost@server sshd[7876]: pam_unix(sshd:session): session opened for user suwit by (uid=0) Aug 1 22:25:55 localhost@server sshd[7909]: Connection closed by 192.168.1.96 Aug 1 22:26:52 localhost@server su: pam_unix(su-l:auth): authentication failure; logname=suwit uid=502 euid=0 tty=pts/0 ruser=suwit rhost= user=root Aug 1 22:27:00 localhost@server su: pam_unix(su-l:auth): authentication failure; logname=suwit uid=502 euid=0 tty=pts/0 ruser=suwit rhost= user=root Aug 1 22:27:05 localhost@server sshd[7919]: Connection closed by 192.168.1.96 Aug 1 22:27:10 localhost@server su: pam_unix(su-l:auth): authentication failure; logname=suwit uid=502 euid=0 tty=pts/0 ruser=suwit rhost= user=root Aug 1 22:27:38 src@serverwifi su: pam_unix(su-l:session): session opened for user root by suwit(uid=502)

การวเคราะหปญหาของการใชงานและปญหาทางดานความมนคงปลอดภยของระบบเกยวของกบการนาขอมลลอกทเกยวของกบระบบปฏบตการทง 2 ประเภทนมาวเคราะหโดยตรง เนองจากวาเปนขอมลลอกโดยตรงทเกดขนบนเครองทเซรฟเวอรทใหบรการ หรอเครองใชงานของผใชงานโดยตรง ตวอยางเชนขอมลลอกบนอปกรณไฟรวอลลระบวามการเชอมตอเกดขนบนเซรฟเวอรจากภายนอก แตไมไดระบรายละเอยดของการเขาถง ซงตองใชขอมลลอกทเกดขนจากระบบปฏบตการของเซรฟเวอรทเกยวของ ซงควรจะมขอมลลอกของการพสจนตวตน การเขาถงไฟลบนระบบ หรอเหตการณผดปกตอนเชนการปดเครองเซรฟเวอรเปนตน ขอมลลอกบนระบบปฏบตการทนามาวเคราะหเพมเตมสามารถบอกรายละเอยดเพมเตมไดครอบคลมมากยงขน บางครงจาเปนจะตองใชขอมลลอกทเกดจากแอพพลเคชนบนเซรฟเวอรนามาวเคราะหรวมดวยเปนตน

3.2. ขอมลลอกทเกดจากแอพพลเคชนบนระบบ (Application log)

หนา 45 จาก 51

 

แอพพลเคชนบนระบบหรอ Application สามารถจาแนกไดเปนสองประเภท ประเภทแรกเปนแอพพลเคชนใหบรการทวไปเชนแอพพลเคชนระบบอเมล แอพพลเคชนระบบเวบเซรฟเวอร แอพพลเคชนระบบอนทราเนต แอพพลเคชนสาหรบการโอนยายไฟลระยะไกล (FTP Application Server) ประเภททสองเปนแอพพลเคชนทสมพนธกบระบบธรกจโดยตรงหรอเปนแอพพลเคชนเฉพาะทาง เชนแอพพลเคชนทางดานการเงน (Financial Application) แอพพลเคชนระบบงานสารบรรณเพอบรหารจดการเอกสารภายในหนวยงาน แอพพลเคชนระบบการวางแผนทรพยากรภายในองคกรหรอ Enterprise Resource Planning (ERP) แอพพลเคชนของงานจดซอภายในองคกร แอพพลเคชนทางดาน Logistic เปนตน ขอมลลอกทเกดจากแอพพลเคชนบนระบบมรปแบบการจดเกบขอมลลอกเปน 2 แบบคอแบบแรกคอแอพพลเคชนทเกบบนทกขอมลลอกโดยตรง หรอแบบทสองคอแอพพลเคชนสงขอมลลอกใหระบบปฏบตการเกบให ประเภทของขอมลลอกทเปนประโยชนตอการนามาวเคราะหปญหาทางดานความมนคงปลอดภยทนาสนใจ มรายละเอยดดงน ขอมลลอกการรองขอและการตอบกลบของแอพพลเคชนหรอ Application requests and responses: เปนการบนทกลาดบการเชอมตอทเกดขนจากการรองขอของผใชงานมาทแอพพลเคชน ตวอยางเชนขอมลลอกบนแอพพลเคชนอ-เมล (E-mail application server) สามารถบนทกลาดบการเชอมตอเพอสงอ-เมลไดโดยละเอยดตงแตผสง ผรบ วนเวลาททาการสง หวขอจดหมายอ-เมล ไฟลแนบได หรอกรณของขอมลลอกของแอพพลเคชนเวบเซรฟเวอร (Web server application) เกบบนทกขอมลการเชอมตอจากไอพแอดเดรสตนทาง หนาเวบทเขาถง ขอมลตอบกลบผใช หรอแอพพลเคชนทางดานการเงน ซงจะมการบนทกขอมลลอกของ Transaction ทเกดขนกบธรกรรมทางการเงนของผใชโดยละเอยดเปนตน ตวอยางขอมลลอกของ Sendmail และ Net-SNMP ซงแสดงการรองขอและตอบกลบของแอพพลเคชนบนเซรฟเวอรตระกลยนกซ Nov 21 12:21:29 server sendmail[28855]: jALHLTNW028855: to=Dr_xxx@hotmail.com, ctladdr=apache (48/48), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=31029, relay=[127.0.0.1] [127.0.0.1], dsn=2.0.0, stat=Sent (jALHLTs3028856 Message accepted for delivery) … Aug 25 22:30:31 localhost@server snmpd[2271]: Received SNMP packet(s) from UDP: [127.0.0.1]:10503 Aug 25 22:30:33 localhost@server snmpd[2271]: Connection from UDP: [192.168.1.1]:10503 Aug 25 22:30:33 localhost@server snmpd[2271]: Received SNMP packet(s) from UDP: [192.168.1.1]:10503 Aug 25 22:31:41 localhost@server snmpd[2271]: Connection from UDP: [127.0.0.1]:10503

ขอมลลอกการเขาใชงานระบบหรอ Account Information: เปนการบนทกขอมลลอกการพสจนตวตนทงในกรณทสาเรจและไมสาเรจทเกดขนกบแอพพลเคชน การเปลยนแปลงบญชผใชงานบนระบบแอพพลเคชนเชนการเปลยนสทธหรอหนาทบนแอพพลเคชน ระบบแอพพลเคชนบางระบบสามารถบนทกขอมลลอกเงอนไขพเศษไดเชน เมอพบวามการพยายามจะเดาสมรหสผานในหนาลอกอนกอนเขาใชงานแอพพลเคชนระบบจะบนทกเหตการณนไวเปนขอมลลอกและยกเลกใชงานบญชผใชนชวคราวไดเปนตน ตวอยางขอมลลอกการพสจนตวตนผาน SSH บนระบบปฏบตการลนกซ และขอมลลอกการพสจนตวตนเขามาผาน OpenVPN Aug 15 22:25:41 localhost@server sshd[7876]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.96.6 user=tawatchai Aug 15 22:26:04 localhost@server su: pam_unix(su-l:auth): authentication failure; logname=seewat uid=502 euid=0 tty=pts/0 ruser=seewat rhost= user=root … Aug 20 13:29:39 localhost@server openvpn[2235]: 203.48.33.231:2686 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Aug 20 14:29:56 localhost@server openvpn[2235]: client/203.48.33.231:2686 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC

หนา 46 จาก 51

 

authentication

Aug 20 14:29:56 localhost@server openvpn[2235]: client/203.48.33.231:2686 Data Channel

ขอมลการใชงานแอพพลเคชนหรอ Usage information: เปนขอมลลอกบนทกการใชงานแอพพลเคชน โดยมากจะนามาใชเปนขอมลเพอปรบปรงประสทธภาพการทางานของแอพพลเคชน หรอนามาใชรายงานสถานะการทางานของแอพพลเคชน เชนขอมลลอกบนทกจานวนของขอมลทระบบแอพพลเคชนประมวลผลตอวน หรอความเรวในการตอบสนองการรองขอขอมล ขนาดของไฟลทมการแนบกบระบบงาน ขอมลลอกเหลานสามารถนามาใชเปนขอมลเพอวเคราะหเหตการณทางดานความมนคงปลอดภยไดเชนเดยวกน เชนการใชงานแอพพลเคชนโดยปกตจะมการประมวลผลงานจานวนหนงตอวน เมอพบจานวนการประมวลผลมากผดปกตอาจเปนการแจงเตอนหรอสญญาณความผดปกตของเหตการณได ตวอยางเชน Aug 1 00:50:01 localhost@server snmpd[2271]: Connection from UDP: [127.0.0.1]:10525 Aug 1 00:50:01 localhost@server snmpd[2271]: Connection from UDP: [127.0.0.1]:10525 Aug 1 00:50:01 localhost@server snmpd[2271]: Connection from UDP: [127.0.0.1]:10525 Aug 1 00:50:01 localhost@server snmpd[2271]: Connection from UDP: [127.0.0.1]:10525 … Aug 1 16:39:57 localhost@server named[2042]: unexpected RCODE (SERVFAIL) resolving 'webindex.siamzab.com/AAAA/IN': 192.168.99.1#53 … Aug 1 06:01:25 localhost@server kernel: TCP bind hash table entries: 65536 (order: 7, 524288 bytes) Aug 1 06:01:25 localhost@server kernel: TCP: Hash tables configured (established 131072 bind 65536) Aug 2 06:01:18 localhost@server kernel: TCP bind hash table entries: 65536 (order: 7, 524288 bytes)

ขอมลลอกการทางานของแอพพลเคชนหรอ Operational actions: เชนการเรมหรอหยดทางานของแอพพลเคชน การทางานผดพลาดทเกดขนบนแอพพลเคชน การเปลยนแปลงคาบนแอพพลเคชน เปนตน ตวอยางเชน Aug 11 06:05:51 192.168.1.21/192.168.1.21 syslog: chilli : chilli daemon successfully started Aug 11 06:05:51 192.168.1.21/192.168.1.21 syslog: ttraff : traffic counter daemon successfully started Aug 11 06:05:51 192.168.1.21/192.168.1.21 syslog: ttraff: data collection started Aug 11 06:05:53 192.168.1.21/192.168.1.21 syslog: chilli : chilli daemon successfully started Aug 11 06:05:53 192.168.1.21/192.168.1.21 syslog: klogd : klog daemon successfully stopped … Aug 12 06:01:58 localhost@server monit[2481]: Monit started Aug 12 06:01:48 localhost@server named[2040]: starting BIND 9.3.3rc2 -u named -t /var/named/chroot Aug 12 06:02:02 localhost@server monit[2481]: monit HTTP server started Aug 12 06:02:02 localhost@server monit[2481]: Monit started … Aug 13 17:40:09 localhost@server monit[2481]: 'ADMIN-sshd' trying to restart Aug 13 17:40:10 localhost@server monit[2481]: 'ADMIN-sshd' start: /etc/init.d/sshd Aug 13 17:43:57 localhost@server monit[2481]: 'WWW-httpd' trying to restart

นกออกแบบระบบ นกพฒนาระบบสามารถใชขอมลลอกทเกดจากแอพพลเคชนบนระบบเพอวเคราะหปญหาการทางานรวมถงการปรบปรงประสทธภาพการทางานของแอพพลเคชน รวมถงนาไปใชวเคราะหปญหาทางดานความมนคงปลอดภย การวเคราะหความสอดคลองตามขอกาหนดการออกแบบของระบบแอพพลเคชน รปแบบลอกของแอพพลเคชนทแตกตางกนนนขนอยกบการออกแบบระบบหรอการพฒนาระบบ

หนา 47 จาก 51

 

3.3. ขอมลลอกทเกดจากอปกรณหรอซอฟตแวรทเกยวกบการรกษาความมนคงปลอดภยของระบบ (Security-related device/software log) อปกรณหรอซอฟตแวรทเกยวของกบการรกษาความมนคงปลอดภยของระบบเปนไดทงอยในรปแบบของอปกรณเครอขายหรอ Network-based หรออยบนระบบเซรฟเวอร เครองลกขายหรอเครองผใช หรอ Host-based เพอใชบนทกเหตการณทางดานความมนคงปลอดภย มจดประสงคเพอปองกน ตรวจจบ รวมถงมความสามารถในการแกไขหรอกคนความเสยหายไดตามความจาเปน ตวอยางเชน Routers หรออปกรณเลอกเสนทางระบบเครอขาย: ควบคมการใชงานระบบเครอขายและสามารถควบคมการเชอมตอระบบเครอขายได บอยครงมการทา Network Address Translation (NAT) เพอแปลงไอพแอดเดรสภายในใหสามารถเชอมตออนเทอรเนตได ขอมลลอกการทา NAT เปนขอมลลอกทสาคญเพราะบอกถงการเชอมตอระหวางเครองลกขายภายในและอนเทอรเนตภายนอก นอกจากนเปนขอมลลอกการเชอมตอเครอขายทเกดขนเปนตน ไฟรวอลล หรอ Firewall: อปกรณหรอซอฟตแวรใชสาหรบควบคมการเขาถงเครอขายดวยกฏไฟรวอลล สามารถกาหนดไอพแอดเดรสของการเชอมตอ พอรตสาหรบการเชอมตอ สามารถกรองเนอความของขอมลจราจรคอมพวเตอรหรอทราฟฟกเครอขายได มความสามารถในการปองกนการโจมตทางระบบเครอขายเชนการปองกน Denial of Service หรอการปองกน IP Spoofing เปนตน ขอมลลอกบนไฟรวอลลถอเปนแหลงขอมลลอกสาคญอกสวนหนง เนองจากบนทกขอมลการเชอมตอ การอนญาตและการไมอนญาตใหเชอมตอ รวมถงขอมลลอกการโจมตทเกดขนบนเครอขายเปนตน ตวอยางขอมลลอกไฟรวอลลของ IPTables บนระบบปฏบตลนกซ Aug 25 22:20:17 192.168.1.21/192.168.1.21 kernel: DROP IN=vlan1 OUT= MAC=01:00:5e:00:00:01:00:02:cf:b4:b7:84:08:00:46:00:00:24 SRC=192.168.1.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0x00 TTL=1 ID=64587 OPT (94040000) PROTO=2 Aug 25 22:25:02 192.168.1.21/192.168.1.21 kernel: ACCEPT IN=vlan1 OUT= MAC=00:1d:7e:dc:1b:37:00:1d:60:8f:44:b6:08:00:45:00:00:41 SRC=192.168.1.99 DST=192.168.1.21 LEN=65 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=10499 DPT=161 LEN=45 Aug 25 22:26:31 192.168.1.21/192.168.1.21 kernel: DROP IN=vlan1 OUT= MAC=01:00:5e:00:00:01:00:02:cf:b4:b7:84:08:00:46:00:00:24 SRC=192.168.1.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0x00 TTL=1 ID=64982 OPT (94040000) PROTO=2 Aug 25 22:28:36 192.168.1.21/192.168.1.21 kernel: DROP IN=vlan1 OUT= MAC=01:00:5e:00:00:01:00:02:cf:b4:b7:84:08:00:46:00:00:24 SRC=192.168.1.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0x00 TTL=1 ID=65212 OPT (94040000) PROTO=2

พรอกซเซรฟเวอร (Proxy Server) หรอ เวบพรอกซ (Web Proxies): ทาหนาทเหมอนไฟรวอลลในระดบแอพพลเคชน ควบคมการเขาใชงานเวบแอพพลเคชนทเขาถงดวยโปรโตคอล HTTP หรอ FTP เปนตน และยงชวยเพมความเรวการใชงานอนเทอรเนต สนบสนนการควบคมการไมอนญาตใหเขาถงเวบไมพงประสงคได ขอมลลอกในเวบพรอกซประกอบไปดวย วนเวลาทผใชเขาถงขอมลเวบ เวบทเขาถง ขนาดของขอมล ไอพแอดเดรสของผใชเปนตน ตวอยางซอฟตแวรเชน Squid หรอ Microsoft ISA Server หรออปกรณโดยเฉพาะ (Appliance) เชนผลตภณฑของ Bluecoat เปนตน ตวอยางขอมลลอกทผใชงานการเขาถงเวบของ Squid 1219678885.680 245 192.168.56.80 TCP_MISS/200 19875 GET http://directory.narak.com/vote.php? - DIRECT/203.121.145.220 text/html 1219678885.776 748 192.168.56.78 TCP_MISS/200 337 GET http://widget.alot.com/geocode - DIRECT/208.76.11.230 text/html 1219678885.791 839 192.168.56.73 TCP_MISS/200 424 GET http://www.thaiebayuser.com/forum/index.php? - DIRECT/74.86.247.98 text/html 1219678885.832 25 192.168.56.78 TCP_IMS_HIT/304 325 GET http://www.sanook.com/temp/hdmbg2.jpg - NONE/- image/jpeg 1219678885.980 144 192.168.56.80 TCP_MISS/200 426 GET http://lvs.truehits.in.th/goggen.php? - DIRECT/164.115.2.135 image/jpeg 1219678886.547 1044 192.168.56.54 TCP_MISS/200 360 GET http://tracker.prq.to/scrape.php? - DIRECT/77.247.176.136 text/plain

หนา 48 จาก 51

 

1219678886.643 610 192.168.56.80 TCP_MISS/200 82392 GET http://images2.narak.com/banner/jobs_468x60.gif - DIRECT/203.151.233.144 image/gif

ซอฟตแวรปองกนมลแวรหรอโปรแกรมปองกนไวรส: ซอฟตแวรเพอปองกนมลแวรหรอ (Malware หรอ Malicious Software หรอโปรแกรมไมประสงคด ซงรวมถงสปายแวร หนอนอนเตอรเนต โทรจน รทคท (Rootkit) เชนซอฟตแวร Antivirus ทาการบนทกวนเวลาทสามารถตรวจจบมลแวรบนเครองคอมพวเตอร หรอผลลพธจากการสแกนฮารดดสกเพอหาไวรสบนเครอง ตวอยางเชน Kaspersky, ESET NOD, Symantec Antivirus, Trend Micro, McAfee เปนตน อปกรณหรอซอฟตแวรเพอเขาถงระบบจากระยะไกลผานทางเครอขายหรอ Remote Access Software: การเขาถงระยะไกลผานทางเครอขายเปนการเชอมตอผานชองทางทเรยกวา Virtual Private Network หรอ VPN เพอเปนการสรางชองทางการเชอมตอทมการเขารหสและพสจนตวตนกอนเชอมตอเขาสระบบเครอขายขององคกร และเขาถงระบบภายในองคกรผานทาง VPN ได อปกรณหรอซอฟตแวร Remote Access จะบนทกขอมลลอกการพสจนตวตนและการเชอมตอทเกดขน บางระบบสามารถบนทกระยะเวลาการเขาใชงาน ขนาดขอมลทเครองลกขายใชทงการดาวนโหลดและการอพโหลด และอาจรวมถงปรมาณการใชงานทรพยากรบนระบบเครอขายดวย เชน SSL VPN อยางอปกรณ Juniper SSL VPN หรอใช Microsoft ISA Server เพออนญาตใหเขาถงดวยโพรโตคอล PPTP หรอ L2TP เปนตน หรอการใชซอฟตแวร POPTOP บนระบบปฏบตการยนกซเปนตน ระบบตรวจจบผบกรกหรอ Intrusion Detection Systems (IDS) และระบบปองกนผบกรกหรอ Intrusion Prevention Systems (IPS): ทาการบนทกขอมลลอกจากการตรวจจบเหตการณการบกรก การโจมตระบบ หรอเหตการณนาสงสยอน รวมถงขอมลลอกการปองกนการบกรกทเกดขน ระบบตรวจจบผบกรกเชน Snort ซอฟตแวรบรหารจดการชองโหวระบบคอมพวเตอรหรอ Vulnerability Management Software: เปนซอฟตแวรเพอบรการจดการชองโหวบนระบบปฏบตการหรอระบบเครอขายทสนบสนน ซอฟตแวรบรหารจดการแพตซหรอ Patch Management Software ใชสาหรบปรบปรงชองโหวและเกบบนทกขอมลการปรบปรงชองโหวของระบบ และสถานะขอมลชองโหวของแตละอปกรณ รวมถงซอฟตแวรตรวจประเมนชองโหวหรอ Vulnerability Assessment Software เพอคนหาชองโหวบนระบบคอมพวเตอรและหาแนวทางปรบปรงในลาดบถดไป ในแตละครงของการตรวจประเมนชองโหว ขอมลลอกทบนทกประกอบไปดวย วนเวลาทดาเนนการตรวจสอบ เครองหรออปกรณทดาเนนการตรวจสอบ ชองโหวทพบ คาแนะนาเปนตน ตวอยางซอฟตแวรเชน Microsoft Baseline Security Analyzer (MBSA), Nessus หรอผลตภณฑจาก GFI Network Security เปนตน เซรฟเวอรสาหรบการพสจนตวตนหรอ Authentication Servers: เซรฟเวอรใหบรการการพสจนตวตนและการเขาถงขอมลผใชดวยโปรโตคอล Lightweight Directory Access Protocol หรอ LDAP เชน Microsoft Active Directory หรอ Novell E-Directory เปนตน หรอความสามารถทางดาน Single Sign-on เพมเตม รวมถงการพสจนตวตนดวยโปรโตคอล RADIUS หรอ TACAC+ เชน FreeRadius หรอ Funk ดวย ขอมลลอกทพบไดเชนลอกของการพสจนตวตนซงบนทกขอมลบญชผใช รหสผาน สถานะการพสจนตวตน วนเวลาเปนตน ตวอยางขอมลลอกการพสจนตวตนของ FreeRadius หรอ Authentication Log Aug 12 19:49:46 localhost@server radiusd[2305]: Login OK: [6HN3fe5/<CHAP-Password>] (from client APF2 port 3 cli 00-17-C4-23-A3-2D) Aug 12 20:17:26 localhost@server radiusd[2305]: Login OK: [8uJY5653/<CHAP-Password>] (from client APF2 port 7 cli 00-1B-77-F3-18-C3) Aug 12 20:25:07 localhost@server radiusd[2305]: Invalid user (rlm_sqlcounter: Maximum never usage time reached): [AU33WHq/<CHAP-Password>] (from client APF5 port 8 cli 00-18-DE-46-8A-12) Aug 12 21:31:57 localhost@server radiusd[2305]: Login OK: [VU6agCw/<CHAP-Password>] (from client APF5 port 10 cli 00-0E-35-58-BA-8D) Aug 12 21:34:53 localhost@server radiusd[2305]: Multiple logins (max 1) : [RU4XgCw/<CHAP-Password>] (from client APF2 port 0 cli 00-0E-35-58-BA-8D)

ตวอยางขอมลลอกการบนทกการใชงานของผใชงานทพสจนตวตนแลวของ FreeRadius หรอ Accounting Log

หนา 49 จาก 51

 

Sun Mar 18 04:35:24 2008 Acct-Status-Type = Start User-Name = “uXas36yT” Calling-Station-Id = “00-14-2A-4B-D8-71” Called-Station-Id = “00-14-22-17-0A-11” NAS-Port-Type = Wireless-802.11 NAS-Port = 103 NAS-Port-Id = “00000103” NAS-IP-Address = 192.168.1.1 NAS-Identifier = “AP221” Framed-IP-Address = 192.168.1.5 Acct-Session-Id = “4921040504040422” Acct-Unique-Session-Id = “d6e75vbd643333a754” Timestamp = 5040232301

เกตเวยทตองมการพสจนตวตนกอนการใชงานหรอ Authentication Gateway ถานาไปใชงานในระบบเครอขายไรสายจะเรยกวา Captive Portal เพอเขาถงเครอขายไรสายแบบ HotSpot หรอถาอปกรณหรอเซรฟเวอรมการตรวจสอบคณสมบตของเครองลกขายกอนเชอมตอเขาระบบเครอขายเชน ตรวจสอบวาเครองลกขายไดรบการปรบปรงความมนคงปลอดภยตามนโยบายการเชอมตอเครอขายแลวหรอไมไดเปนตน และคดแยกโดยจดใหเครองลกขายทผานการตรวจสอบสามารถเขาเชอมตอเครอขายไดตามปกต ในกรณทไมผานจะตองดาเนนการปรบปรงเครองลกขายกอน อปกรณลกษณะนเรยกวา Network Quarantine Server ขอมลลอกโดยมากจะประกอบไปดวย วนเวลาของเครองผใช หมายเลขไอพแอดเดรสกอนการเชอมตอและหลงการเชอมตอ (อาจจะเปนหมายเลขไอพแอดเดรสหมายเลขเดยวกนได) สถานะการพสจนตวตน ชอผใชสาหรบพสจนตวตนเปนตน ตวอยางขอมลลอกของระบบ Authentication Gateway ทใช ChilliSpot ใหบรการเครอขายไรสาย Aug 13 20:34:03 192.168.1.21/192.168.1.21 chillispot[1099]: chilli.c: 3230: New DHCP request from MAC=00-1B-77-0A-F8-20 Aug 13 20:34:05 192.168.1.21/192.168.1.21 chillispot[1099]: chilli.c: 3200: Client MAC=00-1B-77-0A-F8-20 assigned IP 192.168.12.122 Aug 13 20:34:10 192.168.1.21/192.168.1.21 chillispot[1102]: chilli.c: 3502: Successful UAM login from username=56F7hesa IP=192.168.12.122 Aug 19 23:31:25 192.168.1.21/192.168.1.21 chillispot[1102]: chilli.c: 3502: Successful UAM login from username=6A7eRkc IP=192.168.12.73 Aug 20 06:59:34 192.168.1.21/192.168.1.21 chillispot[1099]: chilli.c: 3502: Successful UAM login from username=Yb4agCw IP=192.168.12.97 Aug 25 20:58:31 192.168.1.21/192.168.1.21 chillispot[1099]: chilli.c: 3280: DHCP addr released by MAC=00-1B-77-0A-F8-20 IP=192.168.12.56 Aug 25 21:05:53 192.168.1.21/192.168.1.21 chillispot[1099]: chilli.c: 968: Rereading configuration file and doing DNS lookup

หนา 50 จาก 51

 

เอกสารอางอง [1] ประกาศราชกจจานเบกษา, “พระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐”,

วนท 18 มถนายน 2550 [2] นายพรเพชร วชตชลชย ประธานศาลอทธรณภาค ๔, “คาอธบายพระราชบญญตวาดวยการกระทาความผด

เกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐” [3] หนวยปฏบตการวจยเทคโนโลยและนวตกรรมเพอความมนคงของประเทศ และคณะอนกรรมการดานความ

มนคง ภายใต ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต ในคณะอนกรรมการธรกรรมทางอเลกทรอนกส, “มาตรฐานการรกษาความมนคงปลอดภย ในการประกอบธรกรรมทางอเลกทรอนกส (เวอรชน 2.5) ประจาป 2550”, ISBN: 978-974-229-584-4, พมพครงท 1, ธนวาคม 2550

[4] Karen Kent and Murugiah Souppaya, NIST, Special Publication 800-92, “Guide to Computer Security Log Management”, September 2006

[5] Roger Meyer, “Auditing a Corporate Log Server” GAIC Gold Certification, GIAC Systems and Network Auditor (GSNA), SANS Institute 2006 Reading Room, 17 September 2006

[6] อ. ปรญญา หอมเอนก และทมงาน ACIS Professional Center & ACIS i-Secure, “คมอวธปฏบตสาหรบองคกรตาม พรบ.วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐ และ ประกาศกระทรวงเทคโนโลยสารสนเทศและการสอสาร เรองหลกเกณฑการเกบรกษาขอมลจราจรทางคอมพวเตอรของผใหบรการ พ.ศ. ๒๕๕๐”, http://www.acisonline.net

[7] ประกาศราชกจจานเบกษา, “ประกาศกระทรวงเทคโนโลยสารสนเทศและการสอสาร เรอง หลกเกณฑการเกบรกษาขอมลจราจรทางคอมพวเตอรของผใหบรการ พ.ศ. ๒๕๕๐”, วนท 23 สงหาคม 2550

[8] SN ISO/IEC 17799:2005, “Information technology – Security Technique – Code of practice for information security management (ISO/IEC 17799:2005)”, Second Edition, 2005-06-15

[9] Chaiyakorn Apiwathanokul, “Computer Time Synchronization Scheme” , http://www.etcommission.go.th/documents/standard/time_sync_server_v1_0.pdf, 3 October 2007

[10] อสมาภรณ ฉตรตตกรณ และ ชวลต ทนกรสตบตร, “การเทยบเวลาดวย Network Time Protocol ใหสอดคลองกบ พรบ. วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550” http://www.thaicert.org/paper/basic/NTPandLAW.php, 27 กมภาพนธ 2551 อสมาภรณ ฉตรตตกรณ และ ชวลต ทนกรสตบตร, “คมอการใชบรการ Time Server [ฉบบปรบปรง]”, http://www.thaicert.org/paper/basic/manualTimeServer.php, 27 กมภาพนธ 2551

[11]

[12] Wikipedia, “List of RADIUS Servers”, http://en.wikipedia.org/wiki/List_of_RADIUS_Servers [13] Wikipedia, “List of mail servers”, http://en.wikipedia.org/wiki/List_of_mail_servers [14] Wikipedia, “List of FTP server software”,

http://en.wikipedia.org/wiki/List_of_FTP_server_software [15] Wikipedia, “Comparison of web server software”

http://en.wikipedia.org/wiki/Comparison_of_web_servers [16] Wikipedia, “News server”, http://en.wikipedia.org/wiki/News_server [17] Wikipedia, “Network Access Control”, http://en.wikipedia.org/wiki/Network_Access_Control [18] Wikipedia, “Proxy Server”, http://en.wikipedia.org/wiki/Proxy_server [19] สรางคณา วายภาพ, “ขอควรรเกยวกบกฎหมายวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ.2550”,

ฝายศกษาประเดนดานจรยธรรม กฎหมาย และผลกระทบทางสงคมของเทคโนโลยสารสนเทศและการสอสาร (Ethical, Legal and Social Impacts of ICT : ELSIT), ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต

หนา 51 จาก 51