นตยสาร เบย คอมพวตง ฉบบท 11 ป 2554

เพอประสทธภาพในการดำเนนธรกจทเพมขน ในยคอปกรณโมบายเฟองฟ

Mobile Device Management Solution

PCI-DSS SOLUTION PART 1 มาตรฐานการรกษาความ ปลอดภย ทสถาบนการเงน บรษทผใหบรการบตรเครดต และผคาตองปฏบตตาม P. 06

2 Bay Computing Newsletter l 11th Issue

EDITOR’S NOTE & CONTENTS

กลบมาพบกนอกครงสำหรบ Newsletter ฉบบแรกของปกระตาย ฉบบนยงคง

เตมเปยมไปดวยขอมลทงดาน IT Security และ Network Security โดยเราขอ

นำเสนอโซลชน Mobile Device Management เนองจากปจจบนมอถอมความ

สามารถทจะรองรบการใชงานในเชงธรกจมากขน ไมวาจะเปน iPhone/iPad, Blackberry,

Windows Mobile, Symbian และนองใหมมาแรงอยาง Android ตางถกนำมาใชงานกนอยาง

กวางขวาง เพอใหองคกรเพมความสะดวก รวดเรว และเพมประสทธภาพในการดำเนนธรกจใน

ยคน

อกโซลชนหนงทนาสนใจในยคบตรเครดตเฟองฟ กคอ PCI-DSS : มาตรฐานเกยวกบการรกษา

ความปลอดภย ครอบคลมถงการปกปองขอมลทสำคญของผถอบตรเครดต โดยมผลบงคบใชกบ

ผออกบตร, สถาบนการเงน, ผคา และทกองคกรทเกยวของกบระบบการใชขอมลจากบตรเครดต

เพอเตรยมความพรอมในการรบมอกบมาตรฐานน สำหรบทกองคกรทตองเกยวของกบระบบ

บตรเครดต แลวพบกนใหมฉบบหนาในชวงฤดรอนนะคะ

นดา ตงวงศศร, ผจดการทวไป

02 EDITOR’s NOTE & CONTENTS 03 NEWS UPDATE 04 COVER STORY Mobile Device Management Solution (MDM) 06 SOLUTION UPDATE PCI-DSS Solution Part 1 08 TECHNOLOGY UPDATE Secure Remote Access กบการสรางความไดเปรยบ ในเชงธรกจ 12 ISMS STANDARD เสรมมาตรการความปลอดภยไอทดวย ISO 27001:2005 ตอนท 9 “Annex A” 14 Aperto-WIMAX

C O N T E N T S

Bay Computing Newsletter l 11th Issue 3

NEWS UPDATE

Lotusphere and InformationOnDemand Come to you

เมอวนท 1 มนาคม 2554 ทผานมา เบย คอมพวตง ไดรวมออกบธกบ IBM ในงาน “Lotusphere

and InformationOnDemand Come to you” ณ หอง World Ballroom Centara Grand

โดยมกลมลกคาจากหลายหนวยงานใหความสนใจเขารวมงานสมมนาครงนเปนจำนวนมาก

ซงเราไดนำโซลชน Database Security ภายใตชอ IBM Infosphere Guardium ไปแสดง

เพอใหขอมลแกลกคาผทสนใจแวะเขาเยยมชมบธ โดยมผเชยวชาญของเราคอยใหคำแนะนำ

เกยวกบโซลชนนเปนอยางด

เบย คอมพวตง รวมบรจาค คอมพวเตอรมอสอง

ตวแทนบรษท เบย คอมพวตง เขารวมโครงการบรจาค

คอมพวเตอรมอสองเพอการศกษา แดนองๆ โรงเรยน

บานหนองกม จ. กาญจนบร เมอวนท 21 มกราคม

2554 ทผานมา นอกจากน ยงมอปกรณการเรยน

การสอนตางๆ โดยไดรบความรวมมอจากพนกงาน

ในบรษทฯ ซงนองๆ ทกคนตางดใจและใหการตอนรบ

เปนอยางด

01 Bowling เชอมสมพนธ บรษท เบย คอมพวตง จำกด จดการแขงขนโบวลงกระชบมตร

เมอวนเสารท 22 มกราคม 2554 ทผานมา เพอสรางความสมพนธอนด

ระหวางบรษทฯ และกลมลกคา บรษท ไทย แอรเอเชย และเปนการขอบคณ

ลกคาทใหความไววางใจและการสนบสนนทดตลอดมา โดยงานจดขนท

เมเจอร โบวล ฮต อะเวนว สาขาแจงวฒนะ ซงบรษท ไทย แอรเอเชย เปน

ผควาถวยรางวลไปครอง

02

RSA Partner’s Appreciation Night

เมอวนท 28 มกราคม ทผานมา RSA จดงานเลยง

สงสรรคระหวางพารตเนอรเพอฉลองความสำเรจใน

ปทผานมา ในชองาน RSA Partner’s Appreciation

Night ณ หองแพทตนม เมเจอรโบวล รชโยธน ซง

ภายในงานนอกจากมกจกรรมตางๆ ทนาสนใจแลว

บรษท เบย คอมพวตง ยงไดรบเกยรตขนรบรางวล

จากทาง RSA อกครง

04 Bay Computing Family Trip to Beijing เพอเปนการฉลองยอดขายและสรางเสรมกำลงใจใหกบพนกงาน

ผบรหารฯ บรษท เบย คอมพวตง จดทรปพาพนกงานทองเทยว ณ กรงปกกง

ประเทศจน เมอวนท 23 - 27 กมภาพนธ ทผานมา ทรปนพวกเราทกคนได

สมผสอากาศหนาวเยนทามกลางหมะ และไดเขาเยยมชมสถานททสำคญ

ตางๆ ซงเปนสถาปตยกรรมอนเกาแกของประเทศจน ซงนบวาเปนทรปท

สรางความประทบใจใหแกพนกงานบรษทฯ เปนอยางมาก

03

05

4 Bay Computing Newsletter l 11th Issue

COVER STORY

ทกวนนเทคโนโลยในโทรศพทมอถอทเปนสมารตโฟน (Smart Phone) ไดมการพฒนาความสามารถเพมเตมอยาง

ตอเนอง เพอทจะมาเตมเตมในชวตประจำวน รวมไปถงมความสามารถทจะรองรบการใชงานในเชงธรกจมากขน ปจจบน บรษทระดบเอนเตอรไพรสมแผนทจะนำมอถอคายตางๆ ไมวาจะเปน iPhone/iPad, Blackberry, Windows Mobile, Symbian และนองใหมมาแรงอยาง Android มาใชงานในองคกร เพอเพมความสะดวก รวดเรว และเพมประสทธภาพของการดำเนนธรกจขององคกร เนองจากการแขงขนและการพฒนาปรบปรงอยางตอเนองของ มอถอคายตางๆ เชน Microsoft, Apple, Blackberry, Nokia และ Google ทำใหภายในองคกรอาจจะมการใชงานแพลตฟอรมทกลาวมาขางตนมากกวาหนงแพลตฟอรม เพราะฉะนน ทางองคกรควรจะตองตระหนกถงความสามารถในการบรหารจดการดานการดแลแกไขปญหาตางๆ ในการใชงาน รวมถงเรองของความเสยงและความปลอดภยทอาจจะเกดขนจากการใชงานอปกรณมอถอทมแพลตฟอรมหลากหลายเหลานได ทางบรษท เบย คอมพวตง ไดตระหนกถงความจำเปนดานการบรหารจดการอปกรณมอถอและความตองการดานความปลอดภย

Mobile Device Management Solution (MDM) โดย ธาดา กจมาตรสวรรณ, Consultant, บรษท เบย คอมพวตง จำกด

ในสวนของอปกรณมอถอ ทางบรษทไดคนควาและรวบรวมขอมลเกยวกบ Mobile Device Management Solution สำหรบองคกร เพอทจะบรหารจดการอปกรณมอถอเหลานไดอยางมประสทธภาพ รวมถงลดความเสยงตางๆ ทอาจจะเกดจากการใชงานมอถอ และเพมความปลอดภย เพอสรางความมนใจใหกบทงองคกรและผใชงานอปกรณมอถอ ขอควรพจารณาท เบย คอมพวตง จดทำและรวบรวมมาจาก Best Practices ท เบย คอมพวตง ไดคนความาสำหรบ Mobile Device Management Solution โดยเฉพาะ ขอพจารณาเหลานเปนสงทองคกรควรตระหนกและทำความเขาใจ เพอการเลอกโซลชนทเหมาะสมทสดแกองคกร

Centralized Management and Broad Mobile Platform Support

(Including RIM, iOS, Windows Mobile, Android, Symbian) ควรมความสามารถในการบรหารจดการมอถอไดหลากหลาย แพลตฟอรม และมการบรหารจดการแบบ Centralized เพอใหงายและสะดวกในการควบคมและบรหารจดการ โดยมการสรางนโยบายตางๆ จากศนยกลาง

Turn On Encryption (Including Disk and External Storage)

ควรมความสามารถในการเปดฟเจอรสำหรบการเขารหสขอมลบนมอถอ ไมวาจะเปนในสวนของ Local Disk/Storage รวมถง External Storage เชน SD หรอ Micro SD ได เพอทจะสรางความมนใจไดวา ในกรณทมอถอเกดการสญหาย ขอมลสำคญขององคกรทถดจดเกบลงบนมอถอจะไมสามารถถกเปดอานโดยบคคลทไมพงประสงคได

Turn on Authentication ควรมความสามารถในการกำหนดรปแบบในการใชงาน ให

1

2

3

Bay Computing Newsletter l 11th Issue 5

COVER STORY

ใสรหส PIN (Personal Information Number) กอนการใชงานทกครง เพอทจะปองกนไมใหบคคลทไมพงประสงคสามารถเปดอานหรอใชงานมอถอโดยทไมไดรบอนญาตได

Device Lock and Remote Wipe Capabilities

ในกรณทมอถอเกดการสญหาย ไมวาจะเกดจากความไมตงใจหรอจงใจถกโจรกรรม ระบบ Mobile Device Management ทดควรจะมความสามารถในการลอคเครองแบบระยะไกล (Remote) และเพอทจะสรางความมนใจในการปกปองขอมลสำคญขององคกรแบบสงสด ระบบจะตองมความสามารถในการสงลบขอมลตางๆ ทจดเกบลงบนมอถอแบบระยะไกล (Remote Wipe)

Control of Third-Party Apps (Application Control)

ระบบ MDM ควรตองมความสามารถในการสรางนโยบายควบคมการตดตงและใชงานแอพพลเคชนตางๆ บนมอถอ เพอทจะลดความเสยงทจะเกดขนจากการลงแอพพลเคชนเหลานน ไมวาจะเปน ในสวนของ Malware ทอาจจะถกฝงเขามาพรอมแอพพลเคชน รวมถงเรองการฟองรองทางลขสทธ ในกรณทมการลงแอพพลเคชนทผดกฎหมาย (Software Piracy) บนมอถอขององคกร

Device Control Capabilities ควรมความสามารถในการเปดปดการใชงานฟงกชนบางอยาง

ของอปกรณมอถอ เชน การปดการใชงาน Bluetooth, Camera, Synchronization เพอทจะใหสอดคลองกบนโยบายขององคกร และลดความเสยงทจะเกดขนจากการใชงานฟงกชนเหลานได

Configuration Management ในกรณทมการใชงานมอถอจำนวนมาก เพอทจะลด Cost

ของการบรหารจดการในสวนของการตงคา Configuration ตางๆ บนมอถอ ไมวาจะเปน WIFI Setting, Email Setting และอนๆ ระบบ MDM ควรจะตองมความสามารถในการตดตง Configuration ไปยงมอถอทใชงานอยจากศนยกลางได

Inventory and Asset Management

ควรมความสามารถในการทำ Inventory สำหรบองคกร ไมวาจะเปน Device Model, Device OS, Device ID, Device IMEI, Phone Number, Email Name, Carrier และอนๆ รวมถงชอยสเซอรท ใชงานมอถอนนได เพอสรางความงายและสะดวกในการบรหารจดการทรพยสนขององคกร

OTA Provisioning/Activation Management

ควรมความสามารถในการจดเตรยมมอถอใหทำงานรวมกบระบบ MDM ขององคกรแบบ Over the Air (OTA) เชน มการทำ Web Portal เพอทจะใหผใชงานสามารถมา Activate เครองมอถอผานทาง Intranet/Internet ได, มการทำ Enterprise App Store สำหรบยสเซอร เพอทจะมาดาวนโหลดแอพพลเคชนทจำเปนสำหรบการ Activate เพอทจะเพมความสะดวก และลดระยะเวลาในการ จดเตรยมมอถอเขากบระบบ MDM

Helpdesk Management ควรมความสามารถในการอนทเกรตกบระบบ Helpdesk

ขององคกร เพอทจะคอย Track ปญหาในการใชงานมอถอ และแกไขไดอยางทนทวงท รวมถงมความสามารถอนทจะชวยลดงานของ Helpdesk ได อยางเชน ควรมความสามารถในการทำ User Self Service เพอชวยเหลอผใชงานใหสามารถแกไขปญหาเบองตนเองได ควรมความสามารถในการทำ Remote Assistance สำหรบการชวยแกปญหาจากระยะไกล ในกรณทไมสะดวกทจะเขาถงมอถอทมปญหาอยได นอกจากน องคกรยงอาจพจารณานำความสามารถเสรมอนๆ ของระบบ MDM มาปรบใชไดอก ยกตวอยางเชน ความสามารถในการทำ GPS Tracking สำหรบเครองมอถอทมโมดล GPS ได หรอสามารถทำ Backup/Restore ขอมลมอถอผานทางเครอขายได เปนตน

4

5

6

7

8

9

10

สอบถามขอมลเพมเตมไดท บรษท เบย คอมพวตง จำกด

อเมล info@baycoms.com เวบไซต www.baycoms.com

VER SSSSSSTTTTORY

6 Bay Computing Newsletter l 11th Issue

SOLUTION UPDATEPDATE

PCI คออะไร? PCI คอ ตวยอของคำวา Payment Card

Industry ซงเปนองคกรกลาง จดตงขนเพอพฒนา ปรบปรง และบงคบใชมาตรฐานการรกษาความปลอดภยเพอปกปองเลขทบญชลกคา (เลขทบนบตรเครดตและเดบต) และขอมลสวนบคคลของ ผถอบตร กอตงโดยกลมของบรษทผใหบรการบตรเครดตชนนำ เพอรวมกนกำหนดมาตรฐานเพอปกปองขอมลสวนบคคล (Personal Information) และมนใจวามการรกษาความปลอดภยอยางเหมาะสมและเพยงพอสำหรบการประมวลผลขอมลเมอมการใชบตรเพอชำระเงน สมาชกของ PCI ทงหมด ทงสถาบนการเงน บรษทผใหบรการบตรเครดต และผคา (merchant) จะตองปฏบตตาม (comply) ตามมาตรฐานเหลาน ถายงตองการดำเนนธรกจผานบตรเครดตตอไป การไมปฏบตตามมาตรฐานทกำหนดสามารถสงผลใหถกกำหนดคาปรบโดยกลมผบงคบใช (enforcement entities) PCI SSC คออะไร? PCI SSC คอ ตวยอของคำวา PCI Security StandardCouncil กอตงขนโดยบรษท American Express, Discover Financials, JCB International, MasterCardWorldwide และ Visa Inc. โดยมภารกจทสำคญเพอเสรมสรางความปลอดภยโดยการผลกดนใหเกดความรและความตระหนกถงมาตรฐานการรกษาความปลอดภยตามท PCI กำหนด โดยมการปรบปรงมาตรฐานใหมทกๆ ประมาณ 3 ป PCI กำหนดมาตรฐานอะไร ออกมาบาง? PCI SSC ไดกำหนดมาตรฐานตางๆ ดงตอไปน PIN Transaction Security (PCI PTS) PIN Entry Devices (PCI PED) Payment Application - Data Security Standard

(PCI PA-DSS) PCI Data Security Standard (PCI DSS)

PCI DSS คออะไร? PCI DSS คอมาตรฐานเกยวกบการรกษาความปลอดภยซงกำหนดโดย PCI SSC ซงครอบคลมการปกปองขอมลทมความสำคญ (Sensitive Data) โดยกำหนดตวควบคมสำหรบการบรหารจดการการรกษาความปลอดภย, นโยบายการใชงานขอมล, ขนตอนกระบวนการ, สถาปตยกรรมระบบเครอขาย, การออกแบบซอฟตแวร และอนๆ เพอปกปองขอมลสำคญของผถอบตร PCI DSS บงคบใชกบผออกบตร, ผประมวลผลขอมลบตร, สถาบนการเงน, ผคา (merchant) และทกๆองคกรทเกยวของกบระบบการใชขอมลจากบตรเครดตไมวาจะเปนธนาคาร รานคาปลกทรบบตรเครดต รานคาสง และอนๆ โดยมผลบงคบใช แบงไปตามระดบของผคานนๆ โดยจะเรมจากสถาบนการเงน ผออกบตร ผประมวลผลบตร และผคาระดบท 1 (Tier 1 หรอ มรายการใชจายของบตรเกดขนเกน 6 ลานรายการตอป) ซงเสนตายในการบงคบใช จะกำหนดโดยผออกบตรแตละบรษท เชน VISA กำหนดใหบงคบใชตงแต 1 ตลาคม 2554 เปนตนไป โดยหนวยงานทไมไดรบการตรวจสอบจากผตรวจสอบทไดรบการรบรองแลว กอนเวลาทกำหนด สามารถถกปรบเงนมากถงหลายแสนเหรยญสหรฐ รวมถงตองรบผดชอบคาใชจายทงหมดทเกดขน ทงคาใชจาย

ทางกฎหมาย ความรบผดชอบ และอนๆ หากระบบของผคานนๆ เปนตนเหตใหเกดขอมลของผถอบตรรวไหล PCI DSS กำหนดวา ขอมลของผถอบตร (Cardholder data) ประกอบไปดวยขอมลดงน PAN (Primary Account Number) หรอ เลข

15/16 หลกทปรากฎอยบนหนาบตรเครดต และ แถบแมเหลกหลงบตร ชอของผถอบตร (Cardholder Name) ตามท

ปรากฏอยในระบบ บนหนาบตร และแถบแมเหลก หลงบตร วนหมดอายของบตร (Expiration Date) ตามท

ปรากฏอยในระบบ บนหนาบตร และแถบแมเหลก หลงบตร รหสบรการ (Service Code) ตามทปรากฏอย

ในระบบ และบนแถบแมเหลกหลงบตร นอกจากนแลว ขอมลสำคญอกอยางหนง เรยกวา Sensitive Authentication Data หรอ ขอมลสำคญสำหรบการยนยนตวตน ประกอบดวย ขอมลทงหมดทอยบนแถบแมเหลก หรอ Chip เลข CAV2/CVC2/CVV2/CID เลข PIN และ PIN block

PCI-DSS Solution โดย อวรทธ เลยงศร, Technology Director, บรษท เบย คอมพวตง จำกด

Manufacturer Software Developers Merchants & ProcessorsPCI PTS

PCI PA-DSSPCI DSS

แผนภาพแสดงปรมาณผเกยวของเทยบกบ แตละประเภทของมาตรฐาน

Part 1

Bay Computing Newsletter l 11th Issue 7

SOLUTION UPDATE

แกนหลกของ PCI DSS คอ Principle ซงเกดจากการรวมกนของ Requirement ตางๆ โดยแบงเปน 6 Principle รวม 12 Requirement ประกอบดวย Principle 1 : Build and Maintain a Secure Network กำหนดใหมการสรางและบำรงรกษาเครอขายทมความปลอดภยรดกม Requirement 1 : Install and maintain a firewall configuration to protect cardholder data ตดตงและบำรงรกษาคอนฟกเรชนของไฟรวอลล เราเตอร และอปกรณเกยวของ ใหสามารถปกปองขอมลของผถอบตร โดยตองปองกนการเขาถงระบบ ฐานขอมล และเครองทใชประมวลผลหรอจดเกบขอมลของผถอบตร มการแบงแยกขอบเขต หรอ โซนทชดเจน พรอมทงมกระบวนการในการควบคมการใช เปลยนแปลง คอนฟกเรชนทเหมาะสม เพอปองกนการลกลอบแกไข รวมทงจดใหมแผนภาพ (diagram) ระบบเครอขายททนสมยอยเสมอ Requirement 2 : Do not use vendor-supplied defaults for system passwords and other securityparameters หามใช default system password ทกำหนดโดยผผลตในตอนเรมตน (default) รวมถงการตงคาอนๆ เชน IP address 192.168.1.1 หรอ Username: admin และ Password: password หรอ วางเปลา (blank), Wireless encryption key, SNMP community string เปนตน รวมถงปรบใชมาตรฐานในการกำหนดคอนฟกเรชนทเหมาะสมโดยอางองจากสถาบนและมาตรฐานทเปนทยอมรบ เชน Center for Internet Security, NIST, ISO, SANS institute เปนตน Principle 2 : Protect Cardholder Data ดำเนนมาตรการทจำเปนเพอปกปองขอมลของผถอบตร

Requirement 3 : Protect stored cardholder dataมมาตรการในการจำกดจำนวนขอมลของผถอบตรในระบบ ใหมนอยทสดเทาทจำเปน ไมเกบขอมลเกยวกบการยนยนตวบคคล (sensitive authenticationdata) ทงในรปแบบทเขารหส (encrypt) หรอไมเขารหส (unencrypt) รวมถงปองกนการแสดงผลของขอมลผถอบตรทตองไมถกแสดงในลกษณะทไมมการปกปดบางสวน (mask) และจดเกบขอมลทงหมดในรปแบบทถกเขารหส หรอไมสามารถนำไปใชไดโดยไมผานการประมวลผลกอน ในกรณทมการใชระบบการเขารหส ตองมการตรวจสอบและปองกนการรวไหลของกลไก และกญแจทใชในการเขาและถอดรหส Requirement 4 : Encrypt transmission of cardholderdata across open, public networks เขารหสการสงขอมลผถอบตรเปนอยางดทกครงเมอมการสงขอมลผานเครอขายสาธารณะ เชน เครอขายโทรศพท เครอขายอนเทอรเนต เปนตน รวมถงหามสงเลขทบตรผานเครอขายสาธารณะโดยไมเขารหสหรอปกปด Principle 3 : Maintain a Vulnerability Management Program จดใหมกระบวนการบรหารจดการชองโหวและความเสยง Requirement 5 : Use and regularly update anti-virus software มการใชซอฟตแวรปองกนไวรสทไดรบการปรบปรงใหทนสมยเสมอ เพอลดความเสยงจากซอฟตแวรไมพงประสงค (Maliciousware) ทแอบลกลอบดกจบขอมล Requirement 6 : Develop and maintain secure systems and applications มการปรบปรงรนของซอฟตแวรทใชในระบบทงหมดอยางสมำเสมอ รวมถงตดตง Security Fix หรอ Patch

ดวยกระบวนการทตรวจสอบได รวมถงตรวจสอบซอฟตแวรทพฒนาขนเองอยางสมำเสมอดวยเครองมอทเชอถอได และตรวจสอบกระบวนการแกไขปรบปรงซอฟตแวรอยางสมำเสมอ รวมถงตรวจสอบความปลอดภยของระบบกบภยคกคามใหมอยางสมำเสมอ Principle 4 : Implement Strong Access Control Measures มมาตรการควบคมการเขาถงขอมลอยางเขมแขง Requirement 7 : Restrict access to cardholder data by business need-to-know มกระบวนการจำกดสทธในการเขาถงขอมลผถอบตร ตามหนาท และใหสทธนอยทสดเทาทจำเปนเพอให การปฏบตงานในหนาทนนๆ ลลวงได ทนยมและแนะนำคอ การกำหนดสทธแบบ deny all และเปดใหเฉพาะขอมลและฟงกชนทตองการเทานน (Whitelisting) Requirement 8 : Assign a unique ID to each person with computer access มกระบวนการปองกนการ share username กน สำหรบระบบทเกยวของกบขอมลผถอบตร พรอมทงมการกำหนดนโยบายในการบรหารจดการรหสผาน และการยนยนตวตน (authentication) ทเขมงวด เชน กำหนดความยาวรหสผานไมนอยกวา 8 ตวอกษรและตองเปลยนทก 30 วน รวมถงกำหนดใหมการยนยนตวตนแบบ two factor authentication เปนตน Requirement 9 : Restrict physical access to cardholder data มการรกษาความปลอดภยระบบทเกบขอมลดวยวธการทางกายภาพอยางด เชน มระบบ access control กอนเขาถงระบบทประมวลผล หรอจดเกบขอมล พรอมทงกญแจทปดไวตลอดเวลา และยงมการใชกลองวงจรปดเฝาระวงอยางสมำเสมอ พรอมกระบวนการทเกยวของเพอตรวจสอบยอนหลงผทเขาถงระบบทางกายภาพได พรอมกำหนดกระบวนการในการนำเขา ใชงาน และเลกใชของสอ (media) และอปกรณทงหมดทเกยวของกบระบบ ในตอนท 2 เราจะมาตดตามตอถง Principle 5 และ 6 พรอมลงลกในรายละเอยดของระบบทสามารถนำมาใชเพอชวยตอบขอกำหนดตางๆ (Requirement) ของ PCI DSS

Render Stored Account Data Unreadable per Requirement 3.4

Yes

No

No

No

Cannot store per Requirement 3.2

Cannot store per Requirement 3.2

Cannot store per Requirement 3.2

Acco

unt D

ata Cardholder

Data

Sensitive Authentication

Data1

Data Element

Primary Account Number (PAN)

Cardholder Name

Service Date

Expiration Date

Full Magnetic Stripe Data2

CAV2/CVC2/CVV2/CID

PIN/PIN Block

Storage Permitted

Yes

Yes

Yes

Yes

No

No

No

ตารางแสดงขอมลท PCI DSS อนญาตใหจดเกบ และไมอนญาตใหจดเกบ

8 Bay Computing Newsletter l 11th Issue

TECHNOLOGY UPDATE

ในปจจบนนธรกจตางๆ กำลงเผชญกบความทาทายทมากขนเรอยๆ เกยวกบ

การเปลยนแปลงทางเศรษฐกจ ทำใหจำเปนตองมการปรบตวเพอคงความสามารถในการแขงขนเอาไวใหได และการใชเทคโนโลยกไดกลายเปนขอพจารณาทสำคญสำหรบการบรรลวตถประสงคทางธรกจ รวมทงสรางตวเองใหแตกตางจากคแขงขนรายอนๆ ไปพรอมๆ กบการลดตนทนดวย ดวยการกระจายความสามารถในการเขาถงอนเทอรเนตออกไปทวทกสารทศนน ธรกจตางๆ ไดเพมชองทางใหมๆ ในการเพมผลผลต เพมรายได ลดคาใชจายในการดำเนนงาน และสรางโอกาสใหมๆ ทางธรกจขนมา ซงหนงในโซลชนทธรกจตางๆ ใหความสนใจมากทสดกคอ การทำ Remote Access ซงเปนการจดเตรยมการเขาถงแบบทนททนใดจากผใชงานเขามายงทรพยากรตางๆ ของบรษท ไมวาผใชจะอยทไหนกตาม บรษทตางๆ ทกำลงใชโซลชน Remote Access ทปลอดภย ตางกคาดหวงถงผลผลตทมากขน และรายไดทเพมมากขนเปนเงาตามตว เนองจากตอไปนพนกงานบรษทจะสามารถตอบสนองภารกจตางๆ ไดอยางรวดเรวดวยความสามารถในการเขาถงขอมลทสำคญๆ ได ไมวาผใชจะอยทไหน หรอจะเปนเวลาใดกตาม ซงปจจยตางๆ ทเออประโยชนและเปนตวขบเคลอนให โซลชน Remote Access กคอ สมารตโฟนและแทบเลต สมารตโฟน (Smart Phone) และแทบเลต (Tablet)ไดกลายเปนตวเลอกทโดดเดนสำหรบ Mobile Computing ไปแลว และเปนทคาดการณกนวา ยอดขายรวมของอปกรณดงกลาวจะมากกวายอดขายโนตบกเปนครงแรกในประวตศาสตร ซงสมารตโฟนอยาง Apple iPhone, Google Android, Windows Mobile 7 และ Blackberry

ไดกลายเปนอปกรณทพบเหนไดทวไปมากขนและแนวโนมดงกลาวกเปนการสรางความตองการใหมๆ ทจะเขาถงขอมลขององคกร โดยการใชอปกรณจำพวกน นบเปนสวนประกอบทสำคญสำหรบการทำงานในระดบมออาชพไปเรยบรอยแลว การเพมความสะดวกสบายใหพนกงาน ดวยเทคโนโลย ขณะทการทำงาน 10 ชวโมงตอวนเปนเรองปกตสำหรบบรษทเอกชนจำนวนมาก ดงนน พนกงานทงหลายตางกมสดสวนในการทำงานและจดการเรองสวนตวเพมมากขนตามไปดวย พนกงานจำนวนมากตางกตอบอเมลอยางสมำเสมอ อกทงยงทำงานโครงการทสำคญๆ จากทบานไดดวย ดงนน เราสามารถพดไดวา ผคนสวนใหญกำลงสรางนสยการทำงานแบบใหมๆ ขนมา และกำลงรบเอาเทคโนโลยไวใน

ชวตประจำวนของพวกเขาไปโดยไมรตว โดยททกอยางไมมขอจำกดเรองสถานทอกตอไป ความยดหยนในการใชงาน และการเขาถงไดจากทกทและทกเวลา เพอใหการทำงานเปนไปอยางมประสทธภาพสงสด ทกวนน โมบายเวรกเกอร (mobile workers)จงตองการความสามารถในการเขาถงขอมลทสำคญๆ ไดตลอดเวลา รวมถงเครองมอตางๆ ทจำเปนตองใชทำงานรวมกน และแอพพลเคชนทางธรกจดวย พนกงานททำงานจากทอนๆ ทไมใชทสำนกงานนน อาจจะพบวาตวเองมความพงพอใจตองานททำมากกวาเดม และรสกวาระดบความเครยดจากการทำงานลดนอยลง เนองจากพวกเขาจำเปนตองทำงานใหเสรจแบบวนตอวนเทานน ซงการแอกเซสเขามาทำงานจากทไหนและในเวลาใดกไดนน ชวยใหพวกเขามความยดหยนในแงของชวงเวลาในการทำงาน

Secure Remote Access กบการสรางความไดเปรยบในเชงธรกจ

Bay Computing Newsletter l 11th Issue 9

TECHNOLOGY UPDATE

มากขน ไมตองเสยเวลาสำหรบการเดนทาง และสามารถบรหารเวลาระหวางงานและครอบครวไดงายขน ซงกชวยใหมผลตอขวญและกำลงใจในการทำงานมากขนในทสด แผนฉกเฉกสำหรบการกคนระบบ Disaster Recovery หรอการกระบบคนจากหายนะภยไดกลายเปนประเดนเรงดวนสำหรบองคกรทงภาครฐและเอกชนไปแลว ซงสบเนองมาจากเหตภยพบตทางธรรมชาต การกอการราย และภยคกคามจากโรคระบาดทมมากขนเรอยๆ นนเอง นอกจากนหายนะภยตาง ๆ ยงอาจรวมถงพายฝนฟาคะนอง กระแสไฟฟาถกตดขาด และเหตการณอนๆ ททำใหพนกงานไมสามารถเขาไปทำงานทสำนกงานไดดวย โดยทความสญเสยทเกดขนตอการดำเนนงานของธรกจกมกจะปรากฎออกมาในลกษณะของการสญเสยโอกาสการสญเสยรายได และการเสอมเสยชอเสยงนนเอง ดงนน Remote Access จงถอวาเปนสวนทมความสำคญตอแผน Disaster Recovery เปนอยางมาก ผลตอบแทนการลงทนทองคกร สามารถรบรได

ถกเผยแพรออกไปยงคอมพวเตอรและอปกรณตางๆ ของบรษทอยางไมตงใจกเปนไดเหมอนกน สวนความเสยงทนากงวลทสดนน นาจะมาจากบรรดาแฮกเกอรทมความประสงครายอยางแนวแนนนเอง พวกเขาอาจจะจโจมองคกรของคณดวยเทคนควธขนสง เพอทจะพยายามขโมยขอมลอนมคาของคณ หรออาจใชวธกอวนาศกรรมตอการดำเนนงานและชอเสยงขององคกรคณ โซลชน SonicWALL Aventail E-Class Secure Remote Access SonicWALL Aventail Secure Remote Access(SRA) ไดรบการออกแบบมาใหสามารถดแลความปลอดภยเครองคอมพวเตอรของผใชงานทแอกเซสเขามาจากระยะไกล (remote users) ได โดยทำงานในลกษณะเชงรก และดวย SonicWALLAventail SRA นน คณจะไดรบความแนนอนในการลดความเสยงตางๆ ได โดยการจดเตรยมนโยบายทตงอยบนพนฐานของความนาเชอถอของผใชงานแตละคน รวมทงสภาพแวดลอมอนๆ ประกอบดวย ซง SonicWALL Aventail SRA จะชวยใหผดแลระบบสรางกฎระเบยบในการควบคมการเขาถงขอมล (access controlrules) ททำงานอยางมประสทธภาพได โดยการสนบสนนสภาพแวดลอมการเขาถงทครอบคลมคณสมบตตางๆ ทนาสนใจ ดงน ทำการ Authentication อยางรดกม :

SonicWALL Aventail SRA จะเตรยมการเรองการตรวจสอบและรบรอง (authentication) ทเขมงวดดวยความสามารถในการอนทเกรต กบโซลชนทางดานการตรวจสอบและรบรอง

ธรกจในทกวนนคงจำเปนตองพงพาสำนกงานใหนอยลงมากทสดเทาทจะเปนไปได เนองจากการมาทำงานทสำนกงากนน พนกงานมกจะตองเดนทางเปนระยะทางไกลๆ ซงกเสยเวลาไปโดยใชเหต ในขณะทพนกงานขององคกรทมลกษณะกระจายการบรหารงาน และองคกรททำตลาดสนคาในระดบโลกนน ตางกใชเวลาอยภายนอกสำนกงานคอนขางมากอยแลว ซง ในเวลาเดยวกน คาเชาพนทเพอทำสำนกงานกไตระดบแพงขนเรอยๆ อยางไมหยดยง ดงนน การกำจดพนทสำนกงานทไมจำเปนออกไปเสยนาจะชวยลดคาใชจายไดปละหลายลานเหรยญเลยทเดยว โดยเฉพาะองคกรทมพนกงานระดบเปนพนคนขนไป และพนกงานแตละคนกสามารถเพมผลผลตของตวเองไดมากขน และสามารถ มสวนในการรบผดชอบตอการสรางผลลพธตางๆ ทเกยวกบแผนงานทสำคญๆ ใหองคกรไดรวดเรวยงขน และเนองจากการลงทนทางดานเทคโนโลยสวนใหญจะทำกนในชวงไมเกน 10 กวาปทผานมานเอง ดงนน ธรกจตาง ๆจงสามารถรบรไดถงประสทธภาพการทำงานทเพมขนไดอยางชดเจน ในขณะทบรษทหลายๆ แหงกไดประโยชนจากเทคโนโลยในอกแงมมหนง นนคอพวกเขาสามารถจางพนกงานชวคราวไดมากขน หรอไมกจางทปรกษาจากภายนอกเขามาทำงานให แทนทจะตองจางพนกงานประจำอยตลอดเวลา ดงนน สำหรบองคกรทมการบรหารแบบกระจายนน เรองของการ Remote Access อยางปลอดภย พรอมใชงานไดตลอดเวลา และมตนทนทไมแพงจนเกนไป จงกลายเปนหวใจสำคญของการสรางผลผลตขององคกร ความเสยงอนเกดจากผใชงาน ทอยนอกสำนกงาน หากปราศจากมาตรการเพอความปลอดภย ทดพอแลว การเขาถงขอมลตางๆ จากทใดกได และในเวลาใดกไดนน จะกลายเปนความเสยงขององคกรไปในทนท เชน พฤตกรรมตาง ๆในการใชงานของผใชงานทวไปนน สามารถทงรองรอยบางอยางทเกยวของกบขอมลของบรษทเอาไวในเครองคอมพวเตอรทมการใชงานรวมกนภายในองคกรไดอยางแนนอน ซงสดทายแลวมนกอาจจะถกเขาถงโดยบคคลภายนอกทมความอยากรอยากเหนกเปนได นอกจากน ความเสยงกอาจจะมาจากไวรสชนดตางๆ ทอาจจะ

10 Bay Computing Newsletter l 11th Issue

TECHNOLOGY UPDATE

แบบทวปจจย (Two-factor) อยางเชน RSA SecurID และ Vasco เปนตน นอกจากนแลว SonicWALL Aventail SRA ยงสามารถทำงานแบบ Built-in รวมกบระบบ One Time Passwordทรองรบการสรางหมายเลขพน (pin numbers) แบบจำกดจำนวนครงการใชงาน (limited time) ทสามารถสงผาน SMS Gateway ไดดวย ตรวจสอบอปกรณตางๆ อยางรอบคอบ :

SonicWALL Aventail Advanced End Point Control (EPC) จะตรวจสอบ (interrogates) อปกรณปลายทางตางๆ (endpoint) ในทกๆ ครงทมผใชงานแอกเซสเขามายง SonicWALL Aventail E-Class SSL VPN เพอทจะใหแนใจวาแอกเซสพอยนต (Access Point) จะปลอดจากซอฟตแวรประสงคราย หรอมลแวรบางอยาง เชน Keystroke Logger และ Trojan Horse เปนตน โดยจะกระทำกอนยอมใหมการแอกเซสเขามา โดยทโซลชน SonicWALL Aventail จะสงเอเจนตจากไคลเอนตทมการอนทเกรตกบพนธมตร (อยางเชน Symantec เปนตน) อย ซงขนตอนดงกลาวเกดขนกอนการ Authenticationดงนน การลอกอนใดๆ จงสามารถยตลงไดหากมการพบมลแวรหรอสงผดปกตขนมา และจะแตกตางจากระบบ Security Precaution ของ ผจดเตรยมโซลชน VPN รายอนๆ อยกตรงท SonicWALL Aventail EPC จะสนบสนนการรวมมอกน ทำงานแบบขามแพลตฟอรม (Cross Platform) อยางสมบรณแบบ โดยจะตรวจสอบระบบปฏบตการและความสอดคลองกนของ

เปนตน ซงแตละโซนจะมการยอมใหมการเขาใชงานไดในระดบการเขาถง (level of access) ทแตกตางกน โดยขนอยกบระดบความเหมาะสมในแงของความเสยงเปนสำคญ มระบบปกปองและลดความเสยหาย

ของขอมล :

Advanced EPC พรอมดวย Secure Desktop จะสามารถมอบการปกปองขอมลขนสงสำหรบเวรกสเตชนแบบ Unmanaged อยาง Airport Kiosk หรอ Internet Café PC ได ซง Secure Desktop จะรวมและผนวกเขากบเทคโนโลยจาก Symantec เพอสรางความปลอดภยตอ Remote Session ซงเปน Virtual Windows Session ทรนอยบนเดสกทอปจรงๆ อกทหนง ดงนน Mobile User จงสามารถเบราซขอมลผานอนเทอรเนต เชกอเมล และจดการไฟลตางๆ ของตวเองไดโดยการใชแอพพลเคชนจากฝงเซรฟเวอรหรอไคลเอนตกได และทนทท Sessionนนๆ สนสดลง ขอมลทงหลายกจะถกลบออกจากเวรกสเตชนดงกลาวจนหมดสน นอกจากน Advanced EPC ยงสามารถชวยใหการปกปองเอนพอยนตงายขนไดดวยรายการเชกลสต ของแอนตไวรส ไฟรวอลลสวนตว และผลตภณฑปองกนสปายแวรททำงานบนวนโดวส ซงจะตรวจสอบแมกระทงเวอรชนและซกเนเจอรของไฟลอพเดตเลยทเดยว เปนไปตามขอกำหนดและกฎระเบยบตางๆ :

SonicWALL Aventail SRA ถก Built-in ดวยคณสมบต Logging และ Reporting ทมประสทธภาพ เพอใหสอดคลองและเปนไดตามขอกำหนดและกฎระเบยบตางๆ ในแงของการตรวจสอบ (auditing) และการพสจนหลกฐาน (forensics) นนเอง นอกจากน SonicWALL Aventail SRA ยงสามารถอนทเกรตกบโซลชน Security Information and Event Management(SIEM) สวนใหญไดดวย ซงโซลชนดงกลาวจะ สามารถทำหนาทตรวจสอบขอมลและเหตการณตางๆ ทเกดขนในระหวางทอปกรณตางๆ ทำงานรวมกน เพอปกปองภยคกคามทงหลายไดอยางแทจรง

ไคลเอนต เพอรกษาความปลอดภยจากการแอกเซสขอมลเขามาจากทกทไดอยางแทจรง สามารถบงบอกตวตนของอปกรณได :

EPC จะชวยใหผดแลระบบสามารถเชอมโยง Serial หรอ Equipment ID Number สำหรบอปกรณบน Windows, iPhone หรอ iPad ได เพอใหสอดคลองเหมาะสม หรอถกตองตรงกนกบผใชงานหรอกลมผใชงานทตองการได ม Policy Zones :

ดวย EPC นน องคกรทางดานไอทสามารถสรางและกำหนด Policy Zones ทแตกตางกนเพอใหเหมาะสมกบความตองการมากทสดได ซง Policy Zones ทพบเหนไดโดยทวไปกอยางเชน Untrusted Machines อยาง Kiosks, หรอ Semi-trusted Machines อยาง Home PC ทวไป, หรอ Trusted Corporate Asset อยาง Laptop เปนตน ซงฝายไอทจะสามารถบรหารจดการโซนเหลานนไดดวยชดของพารามเตอรงาย ๆได ขณะทกระบวนการ Device Interrogationหรอการตรวจสอบอปกรณกจะมองหาแอพพลเคชนใดๆ หรอ “Watermarks” บนอปกรณเอนพอยนตนนๆ ตวอยางเชน ถาหากมการใชงานผลตภณฑ Anti-virus หรอ Personal Firewall ใดๆ อย กระบวนการ Device Interrogation กอาจจะแยกประเภท (Classify) อปกรณเอนพอยนตนนๆ เขาไปในอยใน Policy Zones ทกำหนดเอาไวลวงหนาโซนใดโซนหนง เชน อาจจะเปน Trusted, Non-trusted หรอ Semi-trusted

SonicWALL Aventail® WorkPlaceTM

Business Partners

Kiosk Users Teleworkers PDA/Smartphone

Users

SonicWALL Aventail® ConnectTM

Internet Users Wireless LANS IT-managed Devices

Service Edition

Windows Servers

Windows XP Desktops

Branch Office Applications

SonicWALL Aventail® Connect MobileTM

Mobile PDA Users

SonicWALL Aventail E-Class SRA Web-based Applications

File Shares

Thin Client/ Server Applications

Traditional Client/Server Applications

Bay Computing Newsletter l 11th Issue 11

SonicWALL SuperMassive E10000 Series เปนแพลตฟอรมไฟรวอลลยคใหมทไดรบการออกแบบมาสำหรบการใชงานในเครอขายขนาดใหญ ซงสามารถมอบความยดหยนในการใชงาน ความนาเชอถอ และความปลอดภยอนลำลกดวยการปกปองในระดบหลายกกะบต SonicWALL SuperMassive E10000 Seriesเปนโซลชนทตอบสนองความตองการขององคกร หนวยงานภาครฐ มหาวทยาลย และการใชงานของเซอรวสโพรวายเดอรทใหบรการเทคโนโลยชนดตางๆ ถอเปนโซลชนทเหมาะสมเปนอยางมากกบเครอขายขององคกร ดาตาเซนเตอร รวมทงเซรฟเวอรฟารม โซลชนนเปนสวนผสมของสถาปตยกรรม Multi-Core และเทคโนโลย Reassembly-Free Deep Packet InspectionTM (RFDPI) ซงเปนสทธบตรจดทะเบยนของ SonicWALL ดงนน มนจงสามารถสงมอบความสามารถในการควบคมแอพพลเคชนในระดบแนวหนาของวงการ รวมไปถงระบบการปองกนภยคกคาม การปองกนมลแวรทประสงคราย และการตรวจสอบความปลอดภยดวยเทคโนโลยเอสเอสแอล (SSL Inspection) โดยการทำงานทระดบหลายกกะบต ทงน SonicWALL E10000 Series นนไดรบการออกแบบมาใหคำนงถงอตราการใชพลงงาน การใชพนทในการจดวาง และประสทธภาพในการระบายความรอนไดเปนอยางด ดงนน มนจงสามารถเตรยมความพรอมในแงของการควบคมการทำงานของแอพพลเคชนในระดบ Mbps/Watt และสามารถจดเตรยมการปองกนภยคกคามทมสมรรถนะในระดบ Mbps/Watt ไดในเปนอยางด

• สถาปตยกรรมสำหรบเครอขายขนาดใหญ : 10/40 กกะบตตอวนาท • ทำงานรวมกบแอพพลเคชนชนดตางๆ ได อยางชาญฉลาด อกทงมระบบควบคม และการสอสารกบผใชงาน ทออกแบบ มาเปนอยางด • ปองกนภยคกคามดวยระบบปองกน การบกรก (Intrusion Prevention) ประสทธภาพสง และระบบปองกนมลแวร ทแอบแฝงเขามา • ตรวจสอบและรกษาความปลอดภย ดวย SSL

สถาปตยกรรมสำหรบสมรรถนะและความพรอมใชงานทปรบขนาดใหสอดคลองกบองคกรได • สรางประสทธภาพการทำงานดวยสถาปตยกรรม Multi-Core • จดการดวยวศวกรรมทมงเนนประสทธภาพสงสด • เปนการออกแบบเพอความพรอมใชงานในระดบ 10+ Gbps DPI Throughput

SSD Drive ขนาด 80 กกะไบต จอแอลซด ปมควบคมจอแอลซด

เพาเวอรซพพลาย Hot Swappable Redundant ขนาด 850 วตต พดลมชนด Module Slot

พอรตคอนโซล พอรต SFP+ ขนาด 10 Gbe จำนวน 6 พอรต

พอรต SFP ขนาด 1 Gbe

จำนวน 16 พอรต

Management Interface

ขนาด 1 Gbe

พอรตยเอสบ แบบ Dual

ไฟสญญาณ แอลอด

พดลมคชนด Hot Swappable Dual Redundant ชองเสยบเผอไว สำหรบอนาคต

สนใจขอมลเพมเตมตดตอไดท บรษท เบย คอมพวตง จำกด อเมล info@baycoms.com

12 Bay Computing Newsletter l 11th Issue

ISMS STANDARD

เสรมมาตรการความปลอดภยไอทดวย ISO 27001:2005“Annex A”

ตอนท 9

โดย ภคณฏฐ โพธทองบวรภค Senior Network and Security Engineer บรษท เบย คอมพวตง จำกด

A.10.8 การแลกเปลยนสารสนเทศ (Exchange of information) วตถประสงค : เพอรกษาความมนคงปลอดภยของสารสนเทศและซอฟตแวรทมการแลกเปลยนกนภายในองคกร และทมการแลกเปลยนกบหนวยงานภายนอก A.10.8.4 การสงขอความทางอเลกทรอนกส (Electronic messaging) ตวควบคม : ตองกำหนดมาตรการในการปองกนสารสนเทศทมการสงผานทางขอความอเลกทรอนกส A.10.8.5 ระบบสารสนเทศทางธรกจทเชอมโยงกน (Business information systems) ตวควบคม : ตองกำหนดนโยบายและขนตอนปฏบตเพอปองกนสารสนเทศทเกยวของกบระบบสารสนเทศทางธรกจทเชอมโยงกน A.10.9 การสรางความมนคง ปลอดภยสำหรบบรการพาณชย อเลกทรอนกส (Electronic commerce services)

วตถประสงค : เพอสรางความมนคงปลอดภยสำหรบบรการพาณชยอเลกทรอนกสและในการใชงาน A.10.9.1 การพาณชยอเลกทรอนกส (Electronic commerce) ตวควบคม : ตองกำหนดมาตรการสำหรบการปองกนสารสนเทศของระบบพาณชยอเลกทรอนกสทมการสงผานทางเครอขายสาธารณะจากการฉอโกง การปฏเสธ การเปดเผย และการเปลยนแปลงแกไขโดยไมไดรบอนญาต A.10.9.2 การทำธรกรรมออนไลน (On-line transactions) ตวควบคม : ตองกำหนดมาตรการสำหรบการปองกนสารสนเทศทรบ-สงทเกยวของกบการทำธรกรรมออนไลน ทงน เพอปองกนไมใหเกดความไมสมบรณของสารสนเทศทรบ-สง สารสนเทศถกสงไปผดเสนทางบนเครอขายการเปลยนแปลงสารสนเทศโดยไมไดรบอนญาต การเปดเผยสารสนเทศโดยไมไดรบอนญาตหรอการทำสำเนาสารสนเทศโดยไมไดรบอนญาต A.10.9.3 สารสนเทศทมการเผยแพรออกสสาธารณะ(Publicly available information) ตวควบคม : ตองกำหนดใหมการปองกนความถกตองและความสมบรณของสารสนเทศทมการเผยแพรออกสสาธารณะ A.10.10 การเฝาระวงทางดาน ความมนคงปลอดภย (Monitoring) วตถประสงค : เพอตรวจจบกจกรรมการประมวลผลสารสนเทศทไมไดรบอนญาต A.10.10.1 การบนทกเหตการณทเกยวของกบ

การใชงานสารสนเทศ (Audit logging) ตวควบคม : ตองกำหนดใหบนทกกจกรรมการใชงานของผใช การปฏเสธการใหบรการของระบบ และเหตการณตางๆ ทเกยวของกบความมนคงปลอดภยอยางสมำเสมอตามระยะเวลาทกำหนดไว A.10.10.2 การตรวจสอบการใชงานระบบ (Monitoring system use) ตวควบคม : ตองกำหนดใหมขนตอนปฏบต เพอตรวจสอบการใชงานทรพยสนสารสนเทศอยางสมำเสมอ อาท เพอดวามสงผดปกตเกดขนหรอไม A.10.10.3 การปองกนขอมลบนทกเหตการณ (Protection of log information) ตวควบคม : ตองกำหนดใหมมาตรการปองกนขอมลบนทกกจกรรมหรอเหตการณตางๆ ทเกยวของกบการใชงานสารสนเทศ เพอปองกนการเปลยนแปลงหรอการแกไขโดยไมไดรบอนญาต A.10.10.4 บนทกกจกรรมการดำเนนงานของเจาหนาททเกยวของกบระบบ (Administrator and operator logs) ตวควบคม : ตองกำหนดใหมการบนทกกจกรรมการดำเนนงานของผดแลระบบหรอเจาหนาททเกยวของกบระบบอนๆ A.10.10.5 การบนทกเหตการณขอผดพลาด (Fault logging) ตวควบคม : ตองกำหนดใหมการบนทกเหตการณขอผดพลาดตางๆ ทเกยวของกบการใชงานสารสนเทศวเคราะหขอผดพลาดเหลานน และดำเนนการแกไขตามสมควร A.10.10.6 การตงเวลาของเครองคอมพวเตอร ใหตรงกน (Clock synchronization) ตวควบคม : ตองตงเวลาของเครองคอมพวเตอรทกเครองในสำนกงานใหตรงกนโดยอางองจากแหลงเวลาทถกตองเพอชวยในการตรวจสอบชวงเวลา หากเครองคอมพวเตอรขององคกรถกโจมต

สำหรบ ISO 27001:2005 ตอนท 9 “Annex A” น จะเปนเนอหา Annex A ของ มาตรฐานความปลอดภยขอมลสารสนเทศ ISO 27001:2005 ในขอ A.10 การบรหารจดการดาน

การสอสารและการดำเนนงานของเครอขายสารสนเทศขององคกร (Communications and operationsmanagement) สวนทเหลอ และขอ A.11 การควบคมการเขาถง (Access control) เรามาเรม

ทำความเขาใจกนตอเลยครบ

Bay Computing Newsletter l 11th Issue 13

ISMS STANDARD

A.11 การควบคมการเขาถง (Access control) A.11.1 ขอกำหนดทางธรกจ สำหรบการควบคมการเขาถง สารสนเทศ (Business requirements for access control) วตถประสงค : เพอควบคมการเขาถงทรพยสนสารสนเทศ A.11.1.1 นโยบายการควบคมการเขาถงระบบ (Access control policy) ตวควบคม : ตองกำหนดใหมการจดทำนโยบายควบคมการเขาถงอยางเปนลายลกษณอกษร และปรบปรงตามระยะเวลาทกำหนดไว การจดทำนโยบายนจะพจารณาจากความตองการทางธรกจและ ทางดานความมนคงปลอดภยในการเขาถงทรพยสนสารสนเทศ A.11.2 การบรหารจดการการ เขาถงของผใช (User access management) วตถประสงค : เพอควบคมการเขาถงระบบสารสนเทศเฉพาะผทไดรบอนญาตแลวและปองกนการเขาถงโดยไมไดรบอนญาต A.11.2.1 การลงทะเบยนพนกงาน (User registration) ตวควบคม : ตองกำหนดใหมขนตอนปฏบตอยางเปนทางการ สำหรบการลงทะเบยนพนกงานใหม เพอใหมสทธตางๆ ในการใชงานตามความจำเปน รวมทงขนตอนปฏบตสำหรบการยกเลกสทธการใชงาน เชน เมอลาออกไปหรอเปลยนตำแหนงงานภายในองคกร เปนตน A.11.2.2 การบรหารจดการสทธการใชงานระบบ (Privilege management) ตวควบคม : ตองจดใหมการควบคมและจำกดสทธการใชงานระบบตามความจำเปนในการใชงาน A.11.2.3 การบรหารจดการรหสผานสำหรบ ผใชงาน (User password management) ตวควบคม : ตองจดใหมกระบวนการบรหารจดการรหสผานสำหรบผใชงานอยางเปนทางการ เพอควบคมการจดสรรรหสผานใหแกผใชงานอยางมความมนคงปลอดภย A.11.2.4 การทบทวนสทธการเขาถงของผใชงาน

(Review of user access rights) ตวควบคม : ตองจดใหมกระบวนการทบทวนสทธการเขาถงของผใชงานระบบอยางเปนทางการตามระยะเวลาทกำหนดไว A.11.3 หนาทความรบผดชอบของผใชงาน (User responsibilities)วตถประสงค : เพอปองกนการเขาถงโดยไมไดรบอนญาต การเปดเผยหรอการขโมยสารสนเทศและอปกรณประมวลผลสารสนเทศ A.11.3.1 การใชงานรหสผาน (Password use) ตวควบคม : ตองกำหนดวธปฏบตทดสำหรบผใชงานในการเลอกและใชงานรหสผาน A.11.3.2 การปองกนอปกรณทไมมพนกงานดแล(Unattended user equipment) ตวควบคม : ตองมวธเพอปองกนไมใหผไมมสทธสามารถเขาถงอปกรณสำนกงานทไมมพนกงานดแล A.11.3.3 นโยบายควบคมการไมทงทรพยสนสารสนเทศสำคญไวในททไมปลอดภย (Clear desk and clear screen policy) ตวควบคม : ตองจดทำนโยบายเพอควบคมไมใหมการปลอยใหทรพยสนสารสนเทศทสำคญ เชน เอกสารสอบนทกขอมล อยในสถานททไมปลอดภย เชน สามารถเขาถงไดทางกายภาพ อยในบรเวณทเปนทสาธารณะหรอพบเหนไดงาย เปนตน A.11.4 การควบคมการเขาถง เครอขาย (Network access control) วตถประสงค : เพอปองกนการเขาถงบรการทางเครอขายโดยไมไดรบอนญาต A.11.4.1 นโยบายการใชงานบรการเครอขาย (Policy on use of network services) ตวควบคม : ตองจดทำนโยบายการใชงานเครอขาย ซงจะตองครอบคลมถงการระบวาบรการใดทอนญาตใหผใชงานสามารถใชได บรการใดไมสามารถใชได A.11.4.2 การพสจนตวตนสำหรบผใชทอยภายนอกองคกร (User authentication for external connections) ตวควบคม : ตองกำหนดใหมการพสจนตวตนกอนทจะอนญาตใหผ ใชทอ ยภายนอกองคกร สามารถเขาใชงานเครอขายและระบบสารสนเทศขององคกรได

A.11.4.3 การพสจนตวตนอปกรณบนเครอขาย (Equipment identification in networks) ตวควบคม : ตองกำหนดใหอปกรณบนเครอขายสามารถระบและพสจนตวตน เพอบงบอกวาการเชอมตอนนมาจากอปกรณหรอสถานททไดรบอนญาตแลว A.11.4.4 การปองกนพอรตทใชสำหรบตรวจสอบและปรบแตงระบบ (Remote diagnostic and configuration port protection) ตวควบคม : ตองมมาตรการปองกนการเขาถงพอรตทใชสำหรบตรวจสอบ และปรบแตงระบบ มาตรการตองครอบคลมทงการปองกนทางกายภาพและการปองกนการเขาถงโดยผานทางเครอขาย A.11.4.5 การแบงแยกเครอขาย (Segregation in networks) ตวควบคม : ตองทำการแบงแยกเครอขายตามกลมของบรการสารสนเทศทใชงาน กลมของผใช และกลมของระบบสารสนเทศ A.11.4.6 การควบคมการเชอมตอทางเครอขาย (Network connection control) ตวควบคม : ตองจำกดผใชงานในการเชอมตอทางเครอขายระหวางองคกร การเชอมตอตองเปนไปตามนโยบายควบคมการเขาถงและขอกำหนดทแอปพลเคชนทใชงานทางธรกจไดระบไว A.11.4.7 การควบคมการกำหนดเสนทางบน เครอขาย (Network routing control) ตวควบคม : ตองกำหนดเสนทางบนเครอขายเพอควบคมการเชอมตอทางเครอขายและการไหลเวยน ของสารสนเทศบนเครอขายใหเปนไปตามนโยบาย ควบคมการเขาถง

ฉบบหนาเราจะกลบมาทำความเขาใจในสวนของ Annex A ขอท 11 ทเหลอกนตอ แลวพบกนใหม

ในฉบบหนาครบ

Traffic Classify Browsing

Tra

L2 L3

User Data

L4

Voice

Video

Aperto Networks ผนำในการผลตอปกรณทใชในระบบพนฐานทไดรบการรบรองจาก WiMAX Forum และเปนอปกรณทมความยดหยนสง คมคาเงนลงทน และทำงานมประสทธภาพสงมาก อปกรณทวานยงเปนไปตามมาตรฐานบรอดแบนด 801.12d, 802.16e และ 802.16n อกดวย อปกรณ บรอดแบนดไรสายของ Aperto Networks ซงมรางวลรบรองคณภาพ อนไดแก Mobile WiMAX และโซลชนดานระบบ VPN สำหรบองคกร ชวยให ผใหบรการระบบอนเทอรเนตสามารถใหบรการระบบบรอดแบนดไรสายราคาประหยด โดยไมประสบสภาวะขาดทน พรอมกบใหบรการไดทกททกแหงในโลก และในชวงความถทกวางมาก

ระบบ VPN ภาคองคกรและแอพพลเคชนทางธรกจ ผลตภณฑจากตระกล PacketMAX ซงชวยในการตดตงระบบเครอขาย WiMAX นน จะชวยใหผใหบรการระบบเคลอนทสามารถใหบรการการตดตอสอสารขอมลทมแบนดวธสง และชวยเพมคณคาใหแกภาคธรกจ โดยสามารถใหบรการระบบไดหลากหลาย อยางเชน ระบบ VPN แบบ MPLS, L2 และ L3 ระบบ WiMAX จาก PacketMAX นรองรบมาตรฐาน 802.1q มาตรฐาน VLAN Tagging การทำ Stack และการเชอมตอเขากบเทคโนโลย MPLS อยางไรรอยตอ ไมทำใหเกดการสะดด ทงนเพอใหการแยกทราฟฟกทมาจากหลายๆ ท และใหลำดบความสำคญแกทราฟฟกเหลานน ทำใหการรบสงขอมลมประสทธภาพสงสด การใหบรการเพอใหเกดผลกำไร เรมจากการจำแนก ประเภททราฟฟกอยางชาญฉลาด ผลตภณฑ PacketMAX ตระหนกถงการใชวธระบประเภททเปนเอกลกษณ และระบประเภทของทราฟฟก เพอหาวาทราฟฟกนนมาจากระบบเครอขายใด ผใชงานคนไหน และจากแอพพลเคชนใด ถาพดกนในภาษาระบบเครอขายกคอ ในเลเยอรท 2, 3, 4 ในสวนเฮดเดอรของแพกเกตนน เราสามารถใชระบประเภทของทราฟฟกไดอยางมประสทธภาพ โซลชนทเหมาะสมแบงตามประเภทธรกจ กาซและนำมน

ความถทไดรบการยกเวนจาก กสทช. จะเหมาะสำหรบองคกรอตสาหกรรมทมความตองการในดานการสอสารอยางมาก เนองจากสายไฟทองแดงและสายใยนำแกวนนไมสามารถตอบสนองความตองการได ระบบไรสายจงเปนทางเลอกทเหมาะสมทสดสำหรบองคกรประเภทน เทคโนโลย OFDM-based WiMAX นนสามารถทำงานไดมประสทธภาพและทนทานตอสญญาณหลายเสนทาง (Multipath)

อนเกดมาจากการสะทอนกบวตถตวกลาง เชน นำ ภเขา ละอองเมฆ ทำใหระบบมสภาพพรอมใชงานสง และสามารถใหบรการไดหลายชองทาง ภายใตสภาพแวดลอมของคลนความถวทย (Radio Frequency : RF) ทอาจสงผลรายตอระบบได ความปลอดภยสาธารณะ

องคกรภาครฐสามารถใชความถทไดรบการอนญาตขององคกร หรอความถทไดรบการยกเวน เพอใชในการตรวจตราและการรกษาความปลอดภย แพลตฟอรมภายในผลตภณฑตระกล PacketMAX นนมประสทธภาพสงและทำงานรวมกนไดสมบรณแบบ ซงทำใหระบบเครอขายนนมสภาพพรอมใชงานสง เรว และสามารถ ใชงานไดตอเนอง อปกรณ CPE สามารถตดอยบนไฟจราจรและรถจกรยานยนตลาดตระเวน และสามารถสงวดโอและไฟลแบบเรยลไทมเขามายงศนยปฏบตงานสวนกลาง เพอคอยตรวจสอบและบนทกเหตการณทนาสงสยได บรการดานการเงน

ระบบเครอขายทใชในธรกจการเงนนนตองการความปลอดภย ความสามารถในการจดการทสง และมประสทธผลทมากพอ ในขณะเดยวกน ตองลดตนทนในการทำธรกรรมลงดวย สถาบนการเงนหลายแหงยงตองการทจะมขอไดเปรยบเหนอคแขงพรอมกบลดตนทน โดยไมเกรตระบบ TDM แบบดงเดมมาใชงานระบบใหมกน ฟงกชนการจดการทราฟฟกอยางระบบ VPN (Virtual Private Network) และเทคโนโลย MPLS ทำใหสถาบนการเงนมนใจไดวาการโอนขอมลความลบและขอมลสำคญตางๆ นนทำไดอยางปลอดภย การคมนาคม

ประเดนขอพจารณาสำคญทภาคคมนาคมคำนงถงในระบบเครอขาย คอ ความครอบคลมในการใหบรการ กลาวคอ จะมบรการของระบบครอบคลมไปถงพนททตองการหรอไม ระบบ WiMAX ตอบโจทยขอนไดเปนอยางด โดยจะสรางโซนทเรยกวา Hotzone ซงครอบคลมทงสถานรถไฟ ทางเดนสายรถไฟ และทาขนสง แทนทจะใหบรการไดเปนจดๆ หรอแบบ Hotspot ในรานกาแฟนนเอง ธรกจอนๆ

ผลตภณฑตระกล PacketMAX นนสามารถปรบแตงเพอใหตรงกบความตองการของธรกจอนๆ ได อยางกระทรวงกลาโหม อตสาหกรรมกอสราง ธรกจบรการ อตสาหกรรมการผลต โรงพยาบาลและสถานอนามย และอนๆ อกมากมาย สนใจขอมลเพมเตมตดตอไดท

บรษท เบย คอมพวตง จำกด อเมล info@baycoms.com

WiFi Mesh

ACCESS PMP NETWORK

ACCESS MESH NETWORK

BACKHAUL NETWORK

BACKHAUL NETWORK

CORE NETWORK

CORE NETWORK

© 2002 Exalt Communications, Inc. All rights reserved.

POP

POP

INTERNET

INTERNET

Residential Subscriber Stations

Enterprise Subscriber Stations

Point to Multipoint

WiFi or WiMAX Base Station

เมอทศวรรษทผานมา เราไดเหนการเตบโตอยางมากในการนำโครงสรางพนฐานระบบเครอขายไรสาย ทงแบบอยกบท (fixed) และแบบเคลอนท (mobile) มาใหบรการดาน IP แกผบรโภคและภาคธรกจ ทำใหผใหบรการอนเทอรเนตแบบไรสาย หรอ WISP (Wireless Internet Service Provider) ทำรายไดไดมากมายจากเทคโนโลยใหมน และสามารถกาวขนมาทดเทยมกบผใหบรการอนเทอรเนตผานสายแบบปกต (ISP) แตกระนน การแขงขนทวานตองใชเงนทนสง ดงนน WISP จงจำเปนตองลดตนทนระบบโครงสรางภายในของตนลง เพอคงไวซงความสามารถในการแขงขนและความสามารถในการทำกำไร ในกรณน ผใหบรการอนเทอรเนตระบบไรสาย (WISP) ตองวางระบบ Backhaul เพอเชอมสญญาณการบสงขอมลจากลกคาและภาคธรกจวงเขามาทจดเขาถงอนเทอรเนต หรอ POP (point of presence) ของตนเองใหไดเหมอนกบระบบเครอขายแบบใชสายทวๆ ไป ในการแกปญหาน ผใหบรการอนเทอรเนตไรสายตองลดตนทนระบบ Backhaul แตในขณะเดยวกน ตองคงคณภาพสญญาณไวใหไดในระดบเดม เพอลดการเกดปญหาสญญาณหลดใหเหลอนอยทสด บอยครงทผใหบรการระบบเครอขาย ไรสายยงตองแขงขนกบระบบเครอขายแบบ WAN ทใชสญญาณอะนาลอกและสญญาณ TDM แบบ Synchronous ในหลายๆ กรณ การวางระบบ Backhaul โดยใชสญญาณ TDM นจะมคาใชจายในการดำเนนการ (Operation Expense : OPEX) เพอใชสายเชา (Leased Line) คอนขางสง และมความยดหยนในการขยายขนาดไดนอย นนคอ ผใหบรการอนเทอรเนตระบบไรสาย (WISP) จะตองหาวธการทสามารถรองรบทราฟฟกอเธอรเนตจากกลมลกคามายงระบบเครอขายหลกใหไดคมคาตนทนมากทสด ความสามารถในการสงทราฟฟกอเธอรเนตหรอไอพโดยใชสญญาณระบบไมโครเวฟนน นอกจากจะคมคาการลงทนแลว ยงใหความยดหยนสง สามารถปรบขนาดเพอรองรบทราฟฟกทเพมขนได และยงเปนสงจำเปนในการทำธรกจอกดวย ความสามารถในการลดตนทนดวยระบบสญญาณไมโครเวฟทมขนาดเลก แตสงขอมลไดอยาง มประสทธภาพนน เปนวธททำใหผใหบรการระบบอนเทอรเนตไรสายสามารถบรรลเปาหมายผลตอบแทนการลงทนไดดทสด

ระบบสญญาณไมโครเวฟแบบ Point-to-Point จาก Exalt อาท ExtendAir® และ ExploreAir™ สามารถตอบสนองความตองการในการตดตงระบบ ทงยงมฟงกชนการทำงาน และแพลตฟอรมทยดหยนพอทจะเออใหผใหบรการระบบอนเทอรเนตไรสาย สามารถใหบรการทแตกตางจากคแขง และสรางกำไรใหกบธรกจของตนเองได สงทคณจะไดรบจากระบบของ Exalt ไดแก • ความสามารถในการ Aggregate ขอมลในความเรวตงแต 25 เมกะบตตอวนาทในระยะทาง 1 ไมล ถง 1 กกะบตตอวนาท ทำใหสามารถจดการความจไดเหมาะสมกบแอพพลเคชนตางๆ ในการสงขอมลจากพนทของลกคามาจนถงระบบเครอขายหลก • การนตการสงขอมลลกคาออกทกๆ แถบคลนความถในระบบ อเธอรเนตถงรอยละ 99.999 ทำใหมนใจไดวาระบบเครอขาย แบบ Backhaul นจะไมมลงคคณภาพตำเลยสำหรบการเชอม ทราฟฟกจากฝงลกคา • ฟงกชน VLAN, QoS และการจำกดอตราความเรว ทำใหม ความยดหยนในการใหบรการลกคาหลากหลายประเภทและ ระดบการใหบรการ • ระบบในทกๆ แถบคลนความถสามารถรองรบคา Latency sub-1 ms เพอใชในการสงไฟลวดโอและ VoIP • เทคโนโลย ExaltSync™ นนอนญาตใหสญญาณวทย TDD ทความถ 2.4 หรอ 5 กกะเฮรตซ วงในไซตเดยวกน และใช ชองสญญาณเดยวกนได ซงสงผลใหไซตทเปนตว Aggregate ระบบนนทำงานไดงายขน • ตนทนทใชในการทำ Sparing ลดลงอยางมาก อนเนองมาจาก เทคโนโลย Single-unit sparing ทมมาพรอมทงในแถบคลน ความถแบบ License และ License-Exempt

สนใจขอมลเพมเตมตดตอไดท บรษท เบย คอมพวตง จำกด อเมล info@baycoms.com

EExxalalt - t - IIP P Backhaul Backhaul oon n Microwave Microwave