Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
การจดการความปลอดภยภายในเครอขายคอมพวเตอร
กรณศกษา : บรษทแซนดแอนดซอยลอตสาหกรรม จากด
Management of Computer Network and Security
A Case Study of Sand And Soil Industry Co.,Ltd
ศราวฒ จนทะคด
Sarawut Chantakad
สารนพนธฉบบนเปนสวนหนงของการศกษา
ตามหลกสตรวทยาศาสตรมหาบณฑต
สาขาวชาเทคโนโลยสารสนเทศ บณฑตวทยาลย
มหาวทยาลยเทคโนโลยมหานคร
I
หวขอโครงงาน การจดการความปลอดภยภายในเครอขายคอมพวเตอร
กรณศกษา บรษทแซนดแอนดซอยล อตสาหกรรม จากด
นกศกษา ศราวฒ จนทะคด
รหสนกศกษา 5317680001
ปรญญา วทยาศาสตรมหาบณฑต
สาขาวชา เทคโนโลยสารสนเทศ
พ.ศ. 2554
อาจารยผควบคมโครงงาน ดร . วรพล ลลาเกยรตสกล
บทคดยอ
ปจจบนเทคโนโลยสารสนเทศและระบบคอมพวเตอรอนเทอรเนตมการใชงานอยาง
แพรหลายไมวาจะเปนภายในบรษท สถานศกษา หรอทพกอาศย
ซงการกาหนดนโยบายในการใชงานนนเปนสงสาคญทควจจะมการจดทา เพอความปลอดภยใน
ระบบสารสนเทศ โครงงานนจดทาขนเพอเปนแนวทางในการทดสอบระบบความปลอดภยและ
นโยบายภายในองคกร และทงยงแนะนาโปรแกรมทชวยสนบสนนโยบายเกยวกบความ
ปลอดภยภายในระบบคอมพวเตอรมาใชงาน เพอลดความเสยงในสวนตาง ๆ ของระบบ เพอให
องคกรลดความเสยงและสามารถดาเนนธรกจไดอยางตอเนอง
II
กตตกรรมประกาศ
การศกษาวจยในครงนสาเรจลลวงไปไดดวยด โดยไดรบความกรณาชวยเหลอจากอาจารย
ทกๆทาน และอาจารยทปรกษา ทไดประสาทวชาความร ไดถายทอดความร แนะแนวทางในการ
ปฎบตงาน และใหคาแนะนาในเรองตางๆ เปนอยางด อกทงขอบคณครอบครวพอ ,แม,นา, และ
เพอนๆ ทไดใหความชวยเหลอ เปนกาลงใจตลอดมา อนงตองขอบคณคอ บรษทแซนดแอนดซอยล
อตสาหกรรม จากด ทใหความอนเคราะหเพอใหโครงงานนสาเรจไปไดดวยด
ขาพเจาจงขอกราบขอบพระคณอาจารย ผบรหารหนวยงาน และหวหนาหนวยงานเปน
อยางสง มา ณ โอกาสน
ศราวฒ จนทะคด
III
สารบญ
หนา
บทคดยอ I
กตตกรรมประกาศ II
สารบญ III
สารบญรป V
สารบญตาราง VII
สารบญกราฟ VIII
บทท 1 บทนา
1.1 กลาวนา 1
1.2 กรณศกษา 2
1.3 ปญหาและแรงจงใจ 2
1.4 วตถประสงคและขอบเขตของโครงงาน 3
1.5 ประโยชนทคาดวาจะไดรบ 3
1.6 โครงสรางและเนอหาของโครงงาน 4
บทท 2 พนฐานและทฤษฎทเกยวของ
2.1 กลาวนา 5
2.2 รปแบบของภยคกคาม 5
2.3 หลกการทางานของไฟรวอลล 17
2.4 โปรแกรมทนามาสนบสนนในการทาโครงงาน 22
บทท 3 การดาเนนการ
3.1 กลาวนา 24
3.2 องคประกอบและโครงสรางของระบบเดม 24
3.3 องคประกอบและโครงสรางของระบบใหม 26
3.4 วธการนาเสนอ 27
3.5 ขนตอนและวธการดาเนนงาน 29 3.6 วธการพฒนานโยบายสารสนเทศ 30 บทท 4 ผลการดาเนนการ
4.1 กลาวนา 31
4.2 การกาหนดนโยบายประโยชนทสาคญ 31
4.3 การจดลาดบความเสยง 31
IV
สารบญ (ตอ)
หนา
4.4 การกาหนดแบบสอบถามและผลการตอบแบบสอบถาม 31
4.5 โปรแกรมทชวยสนบสนนนโยบาย 36
บทท 5 สรปผลการดาเนนการ
5.1 สรปผลการทดลอง 56
5.2 ขอเสนอแนะ 56
เอกสารอางอง 58
ภาคผนวก ก.
ตวอยางการตดตงโปรแกรม Pfsense Firewall
ภาคผนวก ข.
ตวอยางเอกสารดานความปลอดภยดานเทคโยโลยสารสนเทศ
พระราชบญญต วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐
V
สารบญรป
หนา
รปท 2.1 ตวอยาง Phishing 13
รปท 2.2 ตวอยาง Phishing (2) 14
รปท 2.3 การออกแบบไฟรวอลลไวหลงเราเตอร 19
รปท 2.4 การตงคาใชงาน Proxy 22
รปท 2.5 โปรแกรม Pfsense 23
รปท 2.6 หนาจอกาหนดพอรตการใชงาน 24
รปท 2.7 หนาจอการใชงานแบนดวดท (Bandwidth) 24
รปท 3.1 ระบบภายในองคกรกอนปรบปรง 26
รปท 3.2 ระบบภายในองคกรหลงปรบปรง 27
รปท 4.1 สรปผลวดระดบความเหนในการจดทานโยบาย 36
รปท 4.2 หนาแสดงระบบไฟรวอลล 37
รปท 4.3 กาหนดพอรต 3389 (MS RPD) ไมใหใชงาน 3 7
รปท 4.4 กาหนดพอรต 3389 (MS RPD) ไมใหใชงาน (ตอ) 38
รปท 4.5 ตวอยางผล Remote เขาเครอง server ไมได 3 8
รปท 4.6 กาหนดพอรต 5900 (VNC) ไมใหใชงาน 39
รปท 4.7 ตวอยางผล VNC เขาเครอง server ไมได 39
รปท 4.8 กาหนดพอรต 443 (HTTPS) ไมใหใชงาน 40
รปท 4.9 ตวอยางผล Protocol HTTPS เขาใชงาน ไมได 41
รปท 4.10 กาหนดเวบไซตไมใหใชงาน 42
รปท 4.11 ตวอยางผล เวบไซตเขาใชงาน ไมได 4 2
รปท 4.12 กอนทดสอบปดพอรต 43
รปท 4.13 กาหนดพอรต 25,53 ไมใหใชงาน 4 4
รปท 4.14 ตวอยางผล ทดสอบ สแกน หาพอรต 45
รปท 4.15 แสดงแบนดวดทไอพทใชในเครอขาย 46
รปท 4.16 ไอพทใชงานปจจบน 47
รปท 4.17 แสดงการทางานของระบบ 48
VI
รปท 4.18 แสดง Traffic ของ WAN 48
รปท 4.19 แสดง Traffic ของ LAN 49
สารบญรป (ตอ)
หนา
รปท 4.20 แสดง Packets ของ WAN 49
รปท 4.21 แสดง Packets ของ LAN 50
รปท 4.22 แสดง Logfile ของระบบ 50
รปท 4.23 แสดง Logfile ของแตละไอพ 51
รปท 4.24 แสดงการแจก DHCP 51
รปท 4.25 แสดงแบนดวธของ LAN 52
รปท 4.26 แสดงแบนดวธของ WAN 52
รปท 4.27 แสดง Logfile เปนรายวน/เดอน/ป 53
รปท 4.28 แสดง Logfile ไอพแตละหมายเลข 53
รปท 4.29 แสดงเวบไซตทไอพเขาใชงาน 54
รปท 4.30 แสดงไอพทดาวหโหลดไฟล 54
รปท 4.31 แสดงการเขาเวบไซตดาวหโหลดของไอพ 55
รปท 4.32 แสดงเขาออกของไอพทใชงานอนเทอรเนต 55
รปท 4.33 หนาจอเขาใชงานของผใชงาน 56
รปท 4.34 ลอกอนเขาระบบเขาใชงาน 56
VII
สารบญตาราง
หนา
ตารางท 2.1 แสดงการเปดเฉพาะพอรต 80 20
ตารางท 2.2 แสดงการเปดเฉพาะพอรต 443 21
ตารางท 2.3 แสดงการเปดเฉพาะพอรต 25,110,143 21
ตารางท 3.1 รายชอผรบผดชอบ server 29
ตารางท 4.1 ตวอยางแบบสอบถาม 33
ตารางท 4.2 ผลการจดเกบแบบสอบถาม 35
VIII
สารบญกราฟ
หนา
กราฟท 2.1 กราฟแสดงการโจมตระบบ 9
ปการศกษา 2554
1
บทท 1
บทนา
1.1 กลาวนา
ในปจจบนการใชบรการเครอขายคอมพวเตอรภายในและนอกองคกรนน ไดมการขยายตว
อยางมาก ซงเกดจากการขยายตวของธรกจเอง โดยแตกตางจากในอดต ซงการเขาถงเครอขาย
คอมพวเตอรนน ไมไดมการแพรหลายอยางในปจจบน เมอธรกจมความเจรญเตบโตขนองคกรก
หลกเลยงไมไดเลย ทจะนาเอาเทคโนโลยเขามาใชภายในองค กร ซงใหสามารถแขงขนกบธรกจ
ทอยในประเภทเดยวกนได และขอมลทอยภายในระบบคอมพวเตอรกมความสาคญเปนอยาง
มาก ทจะนามาวเคราะหสงตาง ๆ ทเราตองการ และเปนไปไมไดเลยทบคลากรภายในองคจะไม
ใชงานขอมลตาง ๆเหลานน
จะเหนไดอยางชนเจนเลยวาการใชงานอนเตอรเนตนนทาใหสามารถตดตอสอสารทาง
ธรกจไดเปนอยางด
ไมวาจะรบสงอเมล เขาชมเวบไซตตาง ๆ แตอยางไรกด กเปนดาบสองคมทพรอมจะทาลายเรา
ไดอยทกเมอ ซงการทผใชงานเองเขาเวบไซตทไมเหมาะสม ไมวาจะเปนเวบไซตทผดกฎหมาย
หรอเขาไปดาวนโหลดโปรแกรมตาง ๆ ภายในอนเตอรเนต ซงในบางครงเราไมรตววาเราไดของ
แถมมา เมอเราตดตงโปรแกรมดงกลาวแลว เครองเรากจะถกไวรส และในบางครงไวรสนนจะ
กระจายตวไปอยในเครอขายภายในองคกรของเราเอง อาจจะทาใหขอมลทถกขโมยไปตกอยกบ
ผไมหวงด หรออาจเปนการลอลวงใหเขาไปใชงานบางเวบไซตโดยทผใชงานไมทนรตวโดยทม
ลกษณคลายกน หรอเวบไซตปลอมโดยเราไมทนสงเกต ซงเวบไซตดงกลาวนนจะหลอกดกจบ
username และ password ของผใชงาน และในปจจบนการใชงานระบบเครอขาย Wireless ก
เปนชองทางหนงททาใหผไมประสงคด ทจะเขาภายในระบบเครอขายในองคกร
ดงนนการทจะหยดตนตอกบปญหาตาง ๆทผานมา จงตองมระบบรกษาความปลอดภย
ภายในองคกร ระบบนจะเปรยบไดจากผรกษาความปลอดภยดานแรกทเขามาภายในบรษท
ตองมการตรวจตราผทเขามาตดตอกบบคคลภายใน แตถาเปนผรกษาความปลอดภยของระบบ
เครอขายคอมพวเตอรแลวนน กคอ ไฟรวอลล (Firewall) ทจะทาหนาทเปนผรกษาความ
ปลอดภยใหกบระบบเครอขายทจะคอยดแลปองกน เครอขายใหมความปลอดภยมากยงขน
2
1.2 กรณศกษา
การออกแบบ และกาหนดโครงสรางของความปลอดภยในองคกรนน เปรยบได
จากการตอกเสาเขมใหกบระบบคอมพวเตอรภายในองคกร เพอในอนาคตจะไดรองรบ
เทคโนโลยตาง ๆ ทนามาสนบสนนการเจรญเตบโตทางธรกจ และสรางความมนคง
ใหกบองคกรเอง
บรษท แซนดแอนดซอยลอตสาหกรรม จากด ไดนาระบบเทคโนโลยเขามาใช
ภายในองคกร ไมวาจะเปนระบบฐานขอมล ระบบอเมล ระบบ Enterprise resource
planning (ERP) และระบบอนเตอรเนต ดงนนบรษทเองจงมความเสยงตอความ
ปลอดภยของขอมลภายในบรษท ในการเขาใชงานอนเตอรเนต โดยแบงออกไดดงน
1.2.1 การเขาใชงานเวบไซตตาง ๆ ไมมการกาหนดการเขาใชงาน
1.2.2 ไมมการจดเกบ logfile ทผใชงาน เขาใชงานระบบอนเตอรเนต
1.2.3 ปญหาการดาวนโหลดโปรแกรมหรอไฟลภาพ เพลง ตาง ๆ ทผด
กฎหมาย ทาใหสนเปลองแบนดวดท (Bandwidth)
1.2.4 ความเสยงตอความปลอดภยจากบคคลภายนอกทเขามาใชงานระบบ
คอมพวเตอรภายในโดยไมมการกาหนดการเขาถงขอมล
1.3 ปญหาและแรงจงใจ
เนองจากในปจจบนบรษทไดนาระบบเทคโนโลยเขามาใชภายในองคกร ทาใหผใชงาน
เขาถงขอมลตาง ๆ ไมวาจะเปนฐานขอมล อเมล เวบไซต ไฟลภาพ เพลงในอนเตอรเนต
ผใชงานอาจรเทาไมถงการ อาจจะดาวนโหลดไฟล เหลานนมา ซงจะเปนการสรางปญหาและ
นาความเสยหายมาสในองคกร จะกระทบตอการทางานแอพพลเคชนทเปนหลกของผใชงาน ทา
ใหการทางานมความลาชา หรอทางานไมไดเลย และเมอคอมพวเตอรของผใชงานภายใน
องคกรตดไวรสคอมพวเตอร ผลมาจากการเขาใชงานเวบไซตทไมมความนาเชอถอ หรอเวบทม
ไวรส จะนาความเสยหายมาใหผใชงานอนๆ ดวย
ศกษาระบบรกษาความปลอดภยของระบบสารสนเทศ ทเปนมาตรฐานและนยมใชงาน
เพอนามาประยกต
ใชงานภายในองคกร พรอมทงหาเครองมอทเปนระบบรกษาความปลอดภยใหกบระบบ
สารสนเทศ เพอเปนการหยด และสกดกนการโจมตของ Hacker และไวรส พรอมทงจดทา
นโยบายความปลอดภยในการเขาใชงานระบบสารสนเทศ
การนา Pfsense firewall (FreeBSD) เขามาใชงาน ซงเปนทางเลอกทนาสนใจ ในการท
จะนามาเปนเกาะปองกนความเสยหายดงกลาวทอาจกอใหเกดความเสยหายในภายหลงได และ
เปนซอฟตแวรโอเพนซอรส (Open Source) ซงผดแลระบบสามารถดาวนโหลดมาใชงานโดยไม
เสยคาใชจาย ขอดของระบบนจะมความเสถยร เหมาะอยางยงทนามาเปนผรกษาความ
3
ปลอดภยในกบระบบคอมพวเตอรภายในองคกร และจะเปนการลดตนทนในอกทางหนงใหกบ
องคกรเอง
จากปญหาตาง ๆ ขางตน ผศกษาจงมแนวความคดทจะนา Pfsense Firewall เขามาเปน
เครองมอรกษาความปลอดภย ภายในระบบคอมพวเตอรและอนเตอรเนตใหกบองคกร
1.4 วตถประสงคและขอบเขตของโครงงาน
วตถประสงคและขอบเขตของโครงงานน จะมงเนนการสรางความปลอดภยใหกบระบบ
สารสนเทศภายในองคกร ตามวตถประสงคขางตน โดยไดออกแบบจดทาระบบรกษาความ
ปลอดภย เพอใหสอดคลองกบนโยบายขององคกร โดยมขอบเขตของโครงงานดงตอไปน
1.4.1 สารวจความปลอดภยกอนตดตงระบบรกษาความปลอดภย
1.4.2 กาหนดขอบเขตในการทดสอบระบบรกษาความปลอดภย
1.4.3 จดหาระบบและตดตงระบบปองกนพรอมทงกาหนดนโยบาย
1.4.4 ปรบปรงนโยบายทางดานความปลอดภยใหสอดคลองตอการใชงานจรงภายใน
องคกร
1.4.5 จดทาเปนนโยบายและประกาศใชงาน
1.5 ประโยชนทคาดวาจะไดรบ
ประโยชนทไดจากการศกษาโครงงานน เปนการรและตระหนกถงความปลอดภยของ
ขอมลภายในองคกร ทมความสาคญในการดาเนนธรกจ และใหผใชงานภายในองคกรรถงความ
ปลอดภยในการใชงานระบบสารสนเทศ โดยการนาเอามาตรฐานการรกษาความปลอดภยมาใช
ภายในองคกร พรอมทงรวธการในการวางแผนทจะดแลระบบสารสนเทศภายในองคกรใหม
ประสทธภาพตอไป
1.5.1 เขาใจการโจมตในรปแบบตาง ๆ ภายในระบบสารสนเทศ
1.5.2 รถงวธการรกษาความปลอดภยของระบบสารสนเทศ
1.5.3 การกาหนดนโยบายใหกบองคกรไดอยางถกตอง
1.5.4 ทาใหผบรหารระดบสงเชอมนตอความปลอดภยของระบบสารสนเทศภายใน
องคกร
1.5.5 เจาหนาทและผใชงานรและมความเขาใจในทางเดยวกน
1.5.6 สรางความนาเชอถอใหกบบคคลภายนอก
1.6 โครงสรางและเนอหาของโครงงาน
จากทไดกลาวมาขางตน เปนกรณศกษา การจดทา วางแผนจดทานโยบายในการรกษา
ความปลอดภยใหกบระบบสารสนเทศภายในองค ไมวาจะเปนปญหาแรงจงใจในการจดทา
โครงการนขนมา และวตประสงคทจะไดรบในการศกษาในการทาโครงงานในครงน เพอนาไปใช
งานจรงภายในองคกรตอไป
4
บทท 1 เปนการกลาวนาตงแตปญหาจนกระทงวธการแกไข
บทท 2 ความรพนฐานทจะตองใชในการทาโครงงาน
บทท 3 การนามาตรฐานและวธมาใชงานในการวเคราะหแกไขปญหา
บทท 4 ผลทไดจากการดาเนนการ และวธปฎบตในการวางนโยบายความปลอดภย
บทท 5 สรปผลของโครงงาน คอการนาขอมลตาง ๆ ทไดดาเนนการและวธปฎบตมา
สรปผลทองคนไดรบ ในการจดทาโครงการน
5
บทท 2
พนฐานและทฤษฎทเกยวของ
2.1 กลาวนา
ในยคปจจบนนการรกษาความปลอดภยของขอมลทางสารสนเทศตาง ๆ นนยอมม
ความสาคญตอองคกรธรกจตาง ๆ เปนอยางมาก ไมวาจะเปนเรองฐานขอมลภายในบรษทเอง
ซงถาไปตกอยกบคแขงในธรกจประเภทเดยวกนยอมทจะเปนผลเสยหายตอบรษทเอง ซงความ
เสยงนนมหลายรปแบบดวยกน ไมวาจะเปนการรเทาไมถงการของบคคลากรภายในองคกรเอง
หรอการเขาใชงานภายในเครอขายอนเทอรเนต การเขาเยยมชมเวบไซตทไมมความปลอดภย
เชนเวบไซต แครก (crack) แนนอนวาเมอผใชงานภายในองคกรเองเขาไป แลวยอมทจะนา
ของแถมตดมาเกบไวทเครอขายภายในขององคกรดวย หรอจากเขาใชงานอเมล โดยความไม
ปลอดภยในรปแบบอเมลนจะเรยกกนวา สแปมเมล (Spam mail) ซงดงทกลาวมาขางตนจงเปน
ความเสยงทงหมดทอยภายในเครอขายทงสน ดงนนระบบสารสนเทศจาเปนทจะตองมระบบ
รกษาความปลอดภยภายในเครอขายทมความแขงแกรงและพรอมทจะรบมอกบภยคกคามตาง
ๆ เหลานนได
2.2 รปแบบของภยคกคาม
หากกลาวถงในปจจบนความปลอดภยในการใชงานเครอขายคอมพวเตอรตาง ๆ ลวนแลว
มความเสยงทงสนไมวาจะเปนการใชงานอนเทอรเนท การแชรไฟล ลวนแลวแต มชองโหวท
สามารถเกดภยคกคามอยทกเมอ แตอยางไรกดองคกรในปจจบนกหลกเหลยงไมไดทจะไมใช
งานเครอขายคอมพวเตอร และอนเทอรเนท เพราะในปจจบนการแขงขนทางธรกจจะประสบ
ความสาเรจไดมาก ยอมมากจากการใชงานเทคโนโลยสารสนเทศตาง ๆ ซงจะนามาวเคาะร
ขอมลทใชงานในการตดสนใจ
การรกษาความปลอดภยของขอมลซงจะมองคประกอบความปลอดภยของขอมล โดย
แบงออก 3 ดาน ความลบ ความคงสภาพ ความพรอมใชงาน โดย 3 หวขอนถาขาดสวนใดสวน
หนงไปกถอไดวาขอมลในสวนนนไมมความปลอดภย โดยจะอธบายไดดงน
ความลบ (Confidentiality) โดยบคคลทมสทธในการเขาถงขอมลเทานนทจะสามารถ
อานขอมลในสวนนน ๆ ได และผไมมสทธในการเขาถงขอมลยอมทจะไมสามารถเขาถงขอมล
ไดเชนกน
การรกษาความลบของขอมล หมายถง การทจะอนญาตใหเฉพาะบคคลทไดรบการเขาถง และ
ใชงานขอมลนน ๆ ได และไมใหบคคลทไมมสทธ เขาใชงานขอมล เพราะเมอทผไมมสทธในการ
เขาใชงานขอมลนาขอมลไปเปดเผยอาจจะทาใหเกดความเสยหายตอเจาของขอมลเองไมวา
ทางตรง หรอวาทางออม กลไกลในการรกษาความปลอดภยของขอมลนนทาไดหลายรปแบบ
เชนการเขารหสของในการสงขอมล หรอการเขารหสในการเกบรหสผาน โดยทวไปเวบทมความ
6
เชอถอในการเกบรกษาขอมลของสมาชกทมาสมคร โดยรหสผานนนจะเกบเปนแบบเขารหสไว
ทงสน ซงเมอผท ไมประสงคดเขาไปดแลว รหสผานนน ๆ จะถกเขารหสกทาใหอานไมรเร อง
หรอเดารหสผานไดยาก แตอยางไรกดรหสผานกควรจะเปลยนบอย ๆ ยกตวอยางการเขาใช
งานระบบของธนาคารตาง ๆ สงเกตใหด ๆ เมอเขาใชงานเวบไซตของธนาคาร ควรตดตาม
ขาวสารในการเปลยนหนาเวบไซต ในการทจะเขาไปทาธรกรรมทางการเงน เพราะการขโมย
ขอมลในรปแบบใหมน ผไมประสงคทจะทาหนาเวบไซตปลอมไวหลอก ตบตาผทเขามาใชงาน
เวบไซตของธนาคาร เมอผใชงาน เขาใชงานโดยใส ชอผใชงาน และรหสผานเขาไป เวบไซต
ปลอมนนกจะเกบขอมลทผใชงานไดกรองมาจากขางตนไวทงหมด โดยทผใชงานเองไมทนรตว
ทางปองกนทาการเปลยนรหสผาน และตรวจสอบขอมลหนาเวบไซตของธนาคารเสมอวา
เปลยนไปในรปแบบใด
ความคงสภาพ (Integrity) การรกษาความปลอดภยของขอมลใหถกตองและสมบรณ ซง
ขอมลนน ๆ ใหมความนาเชอถอ และมใหผไมมสทธแกไขขอมลหรอนาขอมลตาง ๆ ไปทาการ
อยางใดอยางหนงทาใหขอมลเกดการเสยหาย และไมสามารถเชอถอขอมลนนได
ความคงสภาพของขอมล หมายถง ขอมลตางๆ ทมสภาพเดมอยโดยไมมการเปลยนแปลงไป
จากขอมลเดม โดยการปองกนไมใหขอมลเดมนนถกเปลยนแปลงไป โดยผทไมมสทธแกไข
ขอมลนนมใหทาการใด ๆ เกยวกบขอมลเหลานน เพราะเมอขอมลนนถกแกไขแลว ขอมลจะไม
มความนาเชอถอ เชนยอดขายภายในบรษทโดยปกตยอดขายตอเดอน ขอมลนนจะทามาจาก
ฝายขาย แตเมอฝายการบญชเขาไปใชขอมล หรอทาการแกไข เมอขอมลถกเสนอตอในท
ประชม สงเกตวาขอมลจะแบงออกเปน 2 สวนทาใหขอมลยอดขายนนไมมความนาเชอถอ
กลไกลของการรกษาความคงสภาพของขอมลนนประกอบดวย 2 สวน
1. การปองกน (Prevention)
การปองกนนมจดมงหมายคอ การรกษาขอมลมใหผท ไมมสทธในการใชงานขอ สามารถ
เขามาใชขอมลโดยไมไดรบอนญาต ซงการปองกนแบบนจะเปนแบบการพสจนตวตนกอน
การเขาใชงานในสวนตาง ๆ ของระบบ หรอขอมล ซงวธการแบบนเปนวธทนยมใชกนอย
ในลาดบตน ๆ กฎการเขาใชงาน เมอเขาใชงานระบบ ตองมการ เขาสระบบ (Login) ตอง
ใชชอผใชทมอยในระบบ และรหสผาน ถาผใชงานใดไมมสทธกจะไมสามารถเขาใชงานใน
สวนนน ได
2. การตรวจสอบ (Detection)
การตรวจสอบของขอมลน เปนการตรวจสอบขอมลตาง ๆ ภายในระบบวามการแกไขไป
แลวหรอไม ซงขอมลทมการเปลยนแปลงไปจากเดม เชนการแกไข การเพม ซงถา
ตรวจสอบแลววาขอมลนนถกเปลยนแปลงไป จะไมมความเชอถอของขอมล เมอจะนามา
วเคราะหในเรองตาง ๆ
ความพรอมใชงาน (Availability) การทขอมลตาง ๆ มสภาพความพรอมใชงานอยเสมอ
เมอตองการทจะใชขอมล
7
ความพรอมใชงานขอมล หมายถง ความสามารถใชขอมลตาง ๆ เมอตองการ และความพรอม
ใชงานของระบบ กมความสาคญ ถาระบบไมมสภาพทจะพรอมใชงานขอมลตาง ๆกจะไมพรอม
ใชงานตามไปดวย โดยระบบทไมพรอมใชงานนจะถกแสดงออกมาโดย เชน ระบบใชงานไมได
เชน โปรแกรมภายในบรษท ซงจาเปนตองใชงานผานฐานขอมลทงสน และเมอระบบไมสามารถ
ดาเนนกจกรรมของระบบเองได กจะไมสามารถใหบรการไดเลย อาจจะมสาเหตมาจากตว
ฐานขอมลเอง หรอ ระบบทมการใชงานมายาวนานโดยไมไดมการปรบเปลยนฮารดแวร ซงสง
ตาง ๆ เหลานลวนแลวแตเปนปจจยททาใหระบบไมสามารถตอบสนองการใหบรการได
2.2.1 การรกษาความปลอดภยของขอมลในดานตาง ๆ
การระบตวตน ( Identification )
ภายในระบบสารสนเทศนนตองมการระบตวตนภายในตวระบบได ในการระบตวตนน
เปนขนตอนแรกกอนจะเขาถงขอมลชนความลบ และเปนพนฐานขนตอนตอไปในการพสจน
ตวตน (Authentication) และการพสจนสทธ (Authorization) เชนการเขาใชงานเวบไซตจะเหน
วามการใหกรองชอผใช และรหสผานเขาใชงาน โดยสทธในการเขาถงขอมลกจะแตกตางกน
ออกเปนตามชอผใชงานนน ๆ
การพสจนทราบตวตน (Authentication)
การทระบบจะบอกไดวาเมอผใชงานนนทาการเขาระบบมาแลว วาชอผใชงานนนม
รหสผานตรงกบชอผใชงานภายในระบบหรอไม หรอจะเปนคาถามคาตอบเมอเราสมครสมาชก
ไวแตตอนตนแลวเมอลมรหสผาน ระบบกจะทาการใหเราตอบคาถามซงเปนการระบตวตนได
เชนกน
การอนญาตใชงาน (Authorization)
เมอผานขนตอนขางตนมาแลวในสวนนจะเปนการทชอผใชงานแตละคนมสทธในการเขา
ถงขอมลในสวนตาง ๆ โดยสทธการเขาถงขอมลนนจะแตกตางกนออกไปเชน สทธการเขาใช
งานระบบฐานขอมล ผใชธรรมดายอมมสทธไดแคด อยางเดยว หรอเวนแตผดแลระบบจะมอบ
สทธให แตผดแลระบบจะสามารถสราง ลบ แกไขฐานขอมลได
การตรวจสอบได (Accountability)
โดยการตรวจสอบระบบไดนในกรณทผใชงานเขาสระบบแลว ทางระบบจะมการเกบการ
เขาใชงานภายในระบบ (logs) เพอจะสามารถตรวจสอบไดวาผใดเขามาใชงานภายในระบบบาง
8
2.2.2 ถกคกคามโดยนกเจาะระบบ (Hacker)[2]
นกเจาะระบบจะอาศยจดออนของระบบ (Vulnerability) เพอทจะเขาถงระบบดวยสทธ
ของผใชหรอสทธของผดแลระบบ เมอเขาสระบบไดแลวเปาหมายของนกเจาะระบบมกจะเปน
ขอมลสาคญซงขอมลสามารถทจะถกขโมยถกเปลยนแปลง หรอทาลายได
กราฟท 2.1 กราฟแสดงการโจมตระบบ[5]
อางองจาก http://www.cse.sc.edu/~farkas/csce790-2002/lectures/csce790-lect1.ppt
2.2.3 ภยคกคาม (Threat)
ภยคกคาม หมายถง เปนสงททาใหเกดความเสยหายของขอมล ไมวาจะเปนสวนใดสวน
หนงของขอมล เมอขอมลนนการคกคาม โดยภยคกคามนถาไมไดมการปองกนทรดกมแลวนน
กจะเปนสาเหตทจะทาใหขอมลนนเกดการเสยหายได โดยการโจมตของกลมทไมหวงดเชนจาก
บคคลภายในองคกรเอง หรอกลม เจาะระบบ (Hacker) แต อยางไรกไดถามการจดการทดตอ
ขอมล ทาใหขอมลนนปลอดภยรดกมอยเสมอ ภยตาง ๆ กไมสามารถทจะทาใหขอมลเสยหาย
ได
การรกษาความปลอดภยของคณสมบตขอมลทง 3 ดานคอ ความลบ ความคงสภาพ และ
ความพรอมใชงาน จะเปนสงทเขามาชวยเปนเกาะปองกนกบภยคกคามในรปแบบตาง ๆ ท
เกดขนได โดยจะแบงภยคกคามออกได 4 ประเภท
การเปดเผย (Disclosure) คอการเขาถงขอมลสารสนเทศโดยมไมไดรบอนญาตจาก
เจาของขอมล
High
Low 1980 1985 1990 1995 2000
password guessing self-replicating code
password cracking
exploiting known vulnerabilities
disabling audits back doors
hijacking sessions
sweepers
sniffers
packet spoofing
GUI automated probes/scans
denial of service
www attacks
Tools
Attackers
Intruder Knowledge
Attack Sophistication
“stealth” / advanced scanning techniques
burglaries
network mgmt. diagnostics
distributed attack tools
Cross site scripting
Staged attack
9
การหลอกลวง (Deception) คอการใหขอมลตาง ๆเปนเทจ
การขดขวาง (Disruption) คอการทาลายขอมลหรอกนขดขวางมใหกระทาตอขอมลทเปน
จรง
การควบคมระบบ (Usurpation) คอการเขามาในระบบหรอทงหมดภายในระบบโดยมไดม
สทธในการเขาใชงาน
2.2.4 การสอดแนม (Snooping)
หมายถง การดกเพอแอบดขอมล ซงจดอยในประเภทเปดเผย การสอดแนมเปนการโจมต
แบบพาสซฟ (Passive) คอเปนการกระทาทไมมการเปลยนแปลงหรอการแกไขขอมล เชน การ
ดกอานขอมลระหวางการสงผานเครอขาย การอานไฟลทจดเกบอยในระบบ การแทปสาย ขอมล
(Wiretapping) เปนวธการหนงของการสนฟปงเพอเฝาดขอมลทว งบนเครอขาย การปกปอง
รกษาความลบของขอมล คอการเขารหสขอมล ( Encryption) นนเอง
แพก เกตสนฟเฟอร ( Packet Sniffer) เปนรปแบบหนงของการโจมตแบบสอดแนม ขอมล
ทสงผานเครอขายนนจะถกแบงยอยเปนชดเลกๆซงเรยกวาแพก เกต Application บางชนดสง
ขอมลแบบไมไดเขารหสหรอแบบเคลยรเทกซ (Clear Text) ดงนนขอมลอาจถกคดลอกและโพ
รเซสโดยเครองอนทมใชเครองปลายทาง ได เชนโปรแกรมทสามารถดกจบขอมลกคอ Sniffer
2.2.5 การเปลยนแปลงขอมล (Modification)
หมาย ถง การแกไขขอมลโดยทไมไดรบอนญาต (ซงอาจถอเปนการหลอกลวง
Deception ) ซงเมอขอมลถกเปลยนแปลงจากผบกรกระบบแลว ขอมลนนจะไมเปนขอมลทคง
สภาพเดม
2.2.6 การปลอมตว (Spoofing)
หมายถง การทาใหอกฝายหนงเขาใจวาเปนตวเองเปนอกบคลหนง การโจมตแบบนจดอย
ในประเภทหลอกลวงและควบคมระบบ การสปฟงเปนการหลอกใหคสนทนาเชอวาตนกาลง
สนทนากบฝายหรอบคคลทตองการสนทนาจรงๆ ดงนนการรกษาความคงสภาพกโดยการ
พสจนทราบตวตน (Authentication) ซงจะเปนวธการปองกนการโจมตในลกษณะนได
ไอพสปฟง ( IP Spoofing) หมายถง การทผบกรกอยนอกเครอขาย แลวแสรงทาเปนวา
เปนคอมพวเตอรทเชอถอได โดยอาจใชไอพแอดเดรสเหมอนกบทใชในเครอขาย หรออาจใชไอ
พอแดเดรสขางนอก ทเครอขายเชอวาเปนคอมพวเตอรทเชอไดหรออนญาตใหเขาใชทรพยากร
ในเครอขายได การโจมตแบบนโดยมากมกเปนการเปลยนแปลง หรอเพมขอมลเขาไปในแพก
เกตทรบสงระหวางไคลเอนทและเซรฟเวอร หรอคอมพวเตอรทส อสารกนในเครอขาย
2.2.7 การปฏเสธการใหบรการ (Denial of Service)
หมายถง การขดขวางการใหบรการของเซอรฟเวอรเปนเวลานาน การใชทรพยากรจน
หมดหรอถงขดจากดของเซรฟเวอร หรอขดขวางชองทางสอสารไปยงเซรฟเวอร การสงแพก
10
เกตเขาไปในเครอขายจานวนมาก ซงจะทาใหประสทธภาพของเครอขายลดลง หรออาจเกด
ระหวางทางโดยการละทงแพกเกตขอมลทรบสงระหวางเซรฟเวอร ดงนนการรกษาความพรอม
ใช (Availability) จะชวยแกไขปญหาการโจมตในลกษณะน
การโจมตทมจดประสงคเพอทาใหไมสามารถบรการไดหรอทเรยกวา Denial of Service หรอ
DoS ถกจดใหมคณสมบตเปนความพยายามของผโจมตหรอผบก ทตองการทาใหเกดภาวะของ
การไมสามารถเขาใชบรการหรอทรพยากรในระบบได
กระทาการสงแพกเกตจานวนมากเขาไปในเครอขายหรอ " Flooding" ทาใหปรมาณทราฟ
ฟกในเครอขายเพมสงขนในเวลาอนรวดเรว ทาใหการสอสารในเครอขายตามปกตชาลง หรอใช
ไมได
กระทาการขดขวางการเชอมตอใดๆ ในเครอขายทาใหเครองคอมพวเตอรหรออปกรณ
เครอขายไมสามารถสอสารกนได ตวอยางเชนการถอดสายเชอมตอเครอขายของเครอง
เซรฟเวอรออกจากอปกรณสวตซ
กระทาการใดกตามเพอขดขวางมใหผใชในระบบไมสามารถเขาใชบรการในระบบ เชนการ
ปดบรการเวบเซรฟเวอรลง
กระทาการในการทาลายระบบหรอบรการในระบบ เชนการลบชอและขอมลผใชออกจาก
ระบบ ทาใหไมสามารถเขาสระบบได
การกระทาการทเกดจากความประมาทหรอเลนเลอของผดแลระบบกอาจจะนาพาไปสการ
ทาใหเกด DoS ไดเชนเดยวกน หรออาจจะเกดจากสาเหตทางธรรมชาตเชนแผนดนไหว ทาให
เครองเซรฟเวอรหรอระบบเครอขายไมสามารถใชงานไดกจดอยในความหมายของ DoS ได
ทงสน แตในทางปฏบตการโจมตแบบ DoS มกจะเจาะจงไปทผบกรกหรอผทไมมสทธในระบบ
มากกวา เหตการณธรรมชาตหรอความผดพลาดของผดแลระบบ
การโจมตแบบ DoS มกเกดสบเนองมาจากการโจมตประเภทอนรวมดวยเชน การ
แพรกระจายของไวรสปรมาณมากในเครอขายทาใหเกดปรมาณทราฟฟกจานวนมาก หรอการ
โจมตขอบกพรองของซอฟตแวรระบบเพอจดประสงคในการเขาถงสทธทสงขน การโจมตใน
ลกษณะดงกลาวถาไมสาเรจมกจะทาใหซอฟตแวรระบบนนปดตวเองลงอตโนมตหรอไมสามารถ
ทางานไดตอไป ซงจดอยในขายวาไมสามารถใหบรการไดหรอเกด DoS ไดเชนเดยวกน เปนตน
การเขาใชทรพยาการในระบบตามปกตกอาจจะทาใหเกด DoS ไดเชนเดยวกน เชนการ
อนญาตใหอพโหลดไฟลผานทางบรการโอนยายไฟลหรอ FTP ผบกรกสามารถจะใชพนทท
อนญาตนทาการนาไฟลสาคญหรอขอมลทางการคาจานวนมากทาใหพนทนอยลงไปหรอหมดไป
ได รวมถงอาจจะเปนสาเหตใหทราฟฟกเพมขนจากการโอนยายขอมลทเกดจากการกระทาของ
ผบกรกดวย
โดยดงทกลาวมาแลวนน Denial of Service คอจะเปนการทาใหระบบไมตอบสนองการ
ใหบรการเครอขายภายในระบบ เชน การเขาใชงานเวบไซตธนาคาร เมอผเขาใชงานเขาไป
11
ดาเนนการธรกรรมทางการเงนผานเวบไซต แต เมอเวบไซตของธนาคารแหงนนถกโปรแกรมท
เปนประเภททาใหเครองไมมการตอบสนองการใหบรการ ขอมลตาง ๆ ทผใชงานกรอกกจะ
ปฏเสธการใหบรการทงสน
2 .2.8 นยามและรปแบบไวรสชนดตาง ๆ
ไวรสคอมพวเตอร ทบกรกเขาไปในเครองคอมพวเตอรโดยไมไดรบความยนยอมจากผใช
สวนมากมกจะมประสงครายและสรางความเสยหายใหกบระบบของเครองคอมพวเตอรนนๆ
ในเชงเทคโนโลยความมนคงของระบบคอมพวเตอรนน ไวรสเปนโปรแกรมคอมพวเตอรท
สามารถทาสาเนาของตวเอง เพอแพรออกไปโดยการสอดแทรกตวสาเนาไปในคอมพวเตอรสวน
ทสามารถปฏบตการไดหรอขอมลเอกสาร ดงนนไวรสคอมพวเตอรจงมพฤตกรรมในลกษณะ
เดยวกบไวรสในทางชววทยา ซงสามารถแพรกระจายไปในเซลลของสงมชวตในลกษณะ
เดยวกนน คาอนๆ ทใชกบไวรสในทางชววทยายงขยายขอบขายของความหมายครอบคลมถง
ไวรสในทางคอมพวเตอร เชน การตดไวรส ( infection) แฟมขอมลทตดไวรสนจะเรยกวา โฮสต
(host) ไวรสนนเปนประเภทหนงของโปรแกรมประเภทมลแวร ( malware) หรอโปรแกรมทม
ประสงคราย ในความหมายทใชกนทวไปนน ไวรสยงใชหมายรวมถง เวรม ( worm) ซงกเปน
โปรแกรมอกรปแบบหนงของมลแวร ซงบางครงกทาใหผใชคอมพวเตอรนนสบสนเมอ คา
ไวรสนนใชในความหมายทเฉพาะเจาะจง คอมพวเตอรไวรสนนโดยทวไปจะไมสงผล
กอใหเกดความเสยหายตอฮารดแวรโดยตรง แตจะทาความเสยหายตอซอฟตแวร
ในขณะทไวรสโดยทวไปนนกอใหเกดความเสยหาย (เชน ทาลายขอมล) แตกมหลายชนดทไม
กอใหเกดความเสยหาย เพยงแตกอใหเกดความราคาญเทานน ไวรสบางชนดนนจะมการตง
เวลาใหทางานเฉพาะตามเงอนไข เชน เมอถงวนททกาหนด หรอเมอทาการขยายตวไดถงระดบ
หนง ซงไวรสเหลานจะเรยกวา บอมบ ( bomb) หรอระเบด ระเบดเวลาจะทางานเมอถงวนทท
กาหนด สวนระเบดเงอนไขนนจะทางานเมอผใชคอมพวเตอรมการกระทาเฉพาะซงเปนตว
จดชนวน ไมวาจะเปนไวรสชนดทกอใหเกดความเสยหายหรอไมกตาม กจะมผลเสยทเกดจาก
การแพรขยายตวของไวรสอยางไรการควบคม และบางชนดเมอนาเมาสคลกทตวไวรส กจะทา
การแพรกระจายไปในสวนตาง ๆ ของระบบ หรอแมแตแพรกระจายเขาไปในเครอขาย
คอมพวเตอร สวนมากแลวไวรสทจะทางานบนระบบปฏบตการวนโดวสาเหตทเลอกทจะใช
วนโดวเปนฐาน ในการแพรกระจายกเนองมากจากในปจจบนผใชงานทวไปนยมใช
ระบบปฏบตการวนโดว ซงแตกตางจากระบบปฏบตการ ลนกซ ยนกซเพราะผใชงานไมนยมใช
กน
2 .2.9 Phishing
Phishing คอ การโจมตในรปแบบของการปลอมแปลงอ-เมล ( Email Spoofing) และทา
การสรางเวบไซตปลอม เพอทาการหลอกลวงใหเหยอหรอผรบอ-เมลเปดเผยขอมลทางดาน
12
การเงนหรอขอมลสวนบคคลอนๆ อาท ขอมลของหมายเลขบตรเครดต บญชผใช ( Username)
และ รหสผาน (Password) หมายเลขบตรประจาตวประชาชน หรอขอมลสวนบคคลอนๆ
Phishing สามารถทาไดโดยการขโมยหรอนาเครองหมายหรอสญลกษณตลอดจน
รปลกษณของธนาคารหรอสถาบนการเงนทมชอเสยง และบตรเครดตประเภทตางๆของ
ผประกอบการ การใหสนเชอทางอนเตอรเนต มาประกอบเขากบการหลอกลวงเหยอหรอผใชให
เปดเผยขอมล ซงมการประเมนเบองตนวา การโจมตในรปแบบของ phishing สามารถหลอกให
เหยอรอยละ 5 ของทงหมด เปดเผยขอมลทตองการ นอกจากน ผโจมต ( Hacker หรอ
Spammer) ยงใชยทธวธการหลอกลวงแบบ Social Engineering ประกอบเพมเตม เพอใหม
ความนาเชอถอยงขน เชน การหลอกลวงชออ-เมล เปนตนวา เปนเรองดวนจากธนาคาร การ
หลอกลวงวาบญชทใชงานจะหมดอาย การเสนอสนคาทมดอกเบยตาตางๆ เปนตน
อางองจาก http://www.kasikornbank.com/TH/WhatHot/Pages/Phishing_Kcyber.aspx
รปท 2.1 ตวอยาง Phishing
13
รปท 2.2 ตวอยาง Phishing (2)
ในการโจมตดวยวธการ Phishing ผทตกเปนเหยอจะสงเกตยากมากเพราะเวบทผใชงาน
เขาไปใชถาไมทนสงเกต จะเหมอนเวบไซตทเปนปกต หรอการสงอเมลมาโหลดเหยอกดดลงค
หรอไฟลแนบทสงมากบอเมล ถาเหยอรเทาไมถงการ เมอกดเขาไปดไวรสกจะอยทเครองโดยไม
ทนรตว
ในการแกไขมใหตกเปนเหยอ มนตรวจสอบการเปลยนแปลงของเวบไซตทมความเสยงสง
ในการทจะเปน Phishing สวนมากเวบทไดรบความนยมจะเปนเวบทเกยวกบการเงนธนาคาร ด
การเปลยนแปลงแกไขในสวนตาง ๆ และธนาคารเองกจะแจงทางผใชงานวามเปลยนแปลง
เวบไซต ในสวนไหนบาง ทก ๆครงไป
14
2.2.10 มาตรฐานความปลอดภย[2]
วธการทจะทาใหระบบคอมพวเตอรและเครอขายมความปลอดภยนนจะตองมกระบวนการ
ในการดาเนนการดานความปลอดภย ซงกระบวนการตาง ๆไดกาหนดไวเปนมาตรฐานซงมอย
หลายมาตรฐานดวยกน บางมาตรฐานถกดดแปลงมาจากมาตรฐานความปลอดภยทวๆไป บาง
มาตรฐานถกดดแปลงมาจากมาตรฐานการดาเนนธรกจ อยางไรกตามผปฎบตสามารถทจะเลอก
มาตรฐานทเหมาะสมกบหนวยงานของตน และเพมเตมในบางสวนหรอยกเวนการปฎบตใน
บางสวนไดหากมเหตผลพอเพยง (มาตรฐานทมกจะถกนามาใชเพอยกระดบความปลอดภย
ใหกบระบบคอมพวเตอรและเครอขายมากทสดคอ ISO/IEC27001)
โดยมาตรฐานความปลอดภยตาง ๆไดแก
ISO/IEC27001 [2]
ISO/IEC27001 ปจจบนเปนเวอรชน ISO/IEC27001:2005 หรอเรยกวา ISMS
(Information Security Management System) เปนมาตรฐานการจดการขอมลทมไวเพอให
ธรกจดาเนนการตอไปไดอยางตอเนอง ขอกาหนดตาง ๆถกกาหนดขนโดยองคกรทมความ
นาเชอถอวา ISO (The International Organization for Standardization) และ IEC (The
International Electrotechnical Commission) การนา ISMS มาใชสามารถชวยใหกจกรรมทาง
ธรกจดาเนนไปอยางตอเนองไมสะดด ชวยปองกนกระบวนการทางธรกจจากภยรายแรง เชน
ภยธรรมชาต และปองกนความเสยหายของระบบขอมลได ISMS สามารถนามาใชงานได
ครอบคลมทกกลมอตสาหกรรมและทกกลมธรกจ
หอขอสาคญในมาตรฐาน ISO/IEC27001 : 2005 ประกอบดวย 11 โดเมนหลกไดแก
1. นโยบายความมนคงขององคกร (Security Policy)
2. โครงสรางความมนคงปลอดภยในองคกร (Organization of information security)
3. การจดหมวดหมและการควบคมทรพยสนขององคกร (Asset Management)
4. มาตรฐานของบคคลเพอสรางความมนคงปลอดภยใหกบองคกร (Human Resources
Security)
5. ความมนทางดานกายภาพสอการและการดาเนนงานของระบบสารสนเทศขององคกร
(Communications and Operations Management )
6. การบรหารจดการดานการสอการและการดาเนนงานของระบบสารสนเทศขององคกร
(Communications and Operations Management)
7. การควบคมการเขาถงระบบสารสนเทศขององคกร (Access Control)
15
8. การพฒนาและดแลระบบสารสนเทศ (Information Systems Acquisition,
Development and Maintenance)
9. การบรหารจดการเหตการณละเมดความมนคงปลอดภย (Information Security Incident
Management )
10. การบรหารความตอเนองในการดาเนนงานขององคกร (Business Continuity
Management)
11. การปฎบตตามขอกาหนดทางดานกฎหมายและบทลงโทษของการละเมดนโยบาย
(Compliance)
มาตรฐาน ISO/IEC27001 มการใชโมเดลทเรยกวา PDCA (Plan-Do-Check-Act) ซงม
วงจร
มาตรฐาน ISO 27001:2005 และมาตรฐาน ISO/IEC 27002:2005 เปนมาตรฐานสากล
ทใชกนอยางแพรหลายแลว ดงนน ความพรอมใชของมาตรฐานน และความสาคญของการเปน
มาตรฐานทวาดวยเรองของความมนคงปลอดภยระบบเทคโนโลยสารสนเทศ มาตรฐานนจงควร
ศกษาและใหความสาคญเปนอยางมาก
ITIL (Information Technology Infrastructure Library)
ITIL (Information Technology Infrastructure Library) เปนแนวทางปฏบต
(Guidance) ทวาดวยเรองเกยวกบโครงสรางพนฐานเทคโนโลยสารสนเทศ ไดรบการจดทา
เผยแพรโดยหนวยงานรฐบาล คอ Central Computer and Telecommunications Agency หรอ
CCTA ซงขณะนกลายเปนองคกร The British Office of Government Commerce (OGC) แต
กมไดประกาศบงคบวาทกองคกรทเกยวของจะตองปฏบตตาม ITIL โดยเนอหาใน ITIL แบงเปน
8 เรอง ดงน
1. การบรหารจดการซอฟตแวรและทรพยสนขององคกร (Software and Asset Management)
2. การสงมอบผลตภณฑหรอบรการทไดมาตรฐาน (Service Delivery)
3. คณภาพของการบรการหลงสงมอบ (Service Support)
4. การวางแผนสาหรบการบรหารจดการการใหบรการ (Planning to Implement Service
Management)
5. การบรหารจดการโครงสรางพนฐานดานไอซท ( ICT Infrastructure Management)
6. การบรหารจดการแอพพลเคชน (Application Management)
7. การบรหารจดการดานความมนคงปลอดภย (Security Management)
8. มมมองทางธรกจ (Business Perspective, Volume II)
16
ITIL ไดชอวาเปนแนวทางปฏบตทดเยยม (best practice) ในการบรหารจดการดาน IT Service
ใหแกผบรโภคอยางเปยมคณภาพ แนวทางปฏบตนเหมาะกบองคกรไมวาจะขนาดเลกหรอใหญ
โดยเฉพาะอยางยงองคกรทเนนเรองของการบรการดาน IT Service
ITIL เปนแนวทางปฏบตปจจบนยงไมสามารถขอใบรบรองไดเนองจากปจจบน ITIL
เปนเอกสารอางองสาหรบใชเปนแนวทางปฏบต แตในอนาคตกอาจมการคดเอาเฉพาะสวนนมา
ทาขอกาหนด และมการออกใบรบรองภายใตชอ ISO 20000 (มาตรฐานการใหบรการดาน
สารสนเทศ)
COBIT [2]
กรอบวธปฎบต COBIT (Control Objectives for Information and related
Technology) พฒนาขนโดย ISACA ใชสาหรบการพฒนาเพอใหระบบเทคโนโลยสารสนเทศม
ความเปน “ไอทภบาล” (IT Government) เพอใหระบบเทคโนโลยสารสนเทศมประสทธภาพ
และมความคมทน COBIT ไดรบการใชแพรหลายในกลมธรกจดานการเงนและการธนาคาร เดม
ท COBIT ไดรบการเผยแพรในรปแบบของ “กระบวนการ” ดานเทคโนโลยสารสนเทศ ภายหลง
ไดมการเพมแนวทางการปฎบตเพอ “การใหบรการ” ดานเทคโนโลยสารสนเทศทม
ประสทธภาพมากขน อยางไรกตามกรอบวธปฎบต COBIT มงเนนไปทการยกระดบ
“ประสทธภาพ” ของระบบเทคโนโลยสารสนเทศมากกวาการมงเนนทางดานการ “รกษาความ
ปลอดภย”
2.2.11 การศกษาการทางานระบบในปจจบน
จากการตรวจสอบพบวาบรษทแซนดแอนดซอยลเดมนน ไมไดมการจดทานโยบายทาง
ดานความปลอดภยในระบบเทคโนโลยสารสนเทศมากอน ดงนนทางผจดทาโครงการจงได
ออกแบบนโยบาย เพอใหครอบคลมความปลอดภยทางระบบเทคโนโลยสารสนเทศ
ประกอบไปดวยขอกาหนดดงน
1. กาหนดบทบาทหนาทการปฎบตงาน
2. ขอกาหนดในการจดการองคกรรกษาความปลอดภยของขอมลสารสนเทศ
3. ขอกาหนดการจดระดบความลบของขอมล
4. ขอกาหนดในการจดระดบการปองกนขอมล
5. ขอกาหนดการรกษาทรพยสนสารสนเทศ
6. ขอกาหนดการจดระบบงานสารสนเทศและระบบเชอมตอ
7. ขอกาหนดมาตรการในการจดการกบไวรส
17
8. ขอกาหนดการใชงานระบบเทคโนโลยสารสนเทศ
9. ขอกาหนดสาหรบการเขาถงระบบสารสนเทศ
10. ขอกาหนดการบารงรกษาระบบสารสนเทศ
11. ขอกาหนดจดซอหาอปกรณ
12. ขอกาหนดแผนการสรางความตอเนองทางธรกจ
13. ขอกาหนดในการปฎบตตามขอบงคบและกฎหมาย
14. ขอกาหนดจดทาและแกไขนโยบายทางดานความปลอดภยของระบบเทคโนโลย
สารสนเทศ
15. ขอกาหนดการลงโทษเมอผใชไมปฎบตตามนโยบาย
2.3 หลกการทางานของไฟรวอลล[2]
ระบบเครอขายปจจบนไดรบการเชอมตอกบอนเทอรเนตตลอด 24 ชวโมง การตอเชอมกบ
อนเทอรเนตนนทาใหผใชอนทอยคนละเนตเวรกซงอาจจะอยอกซกโลกหนงและเชอตอกบ
อนเทอรเนต สามารถตดตอสอสารคอมพวเตอรภายในเนตเวรกเราไดตลอดเวลา หรอใน
บางครงอาจจะมผบกรกระบบเครอขายทพยายามเจาะเขามาเพอขโมยขอมลสาคญหรอโจมต
ระบบ ดงนนเราควรมสงชวยปองกนระบบของเราใหปลอดภยมากขน
18
รปท 2.3 การออกแบบไฟรวอลลไวหลงเราเตอร
ปจจบนหลาย ๆหนวยงานมเซรฟเวอรทเปดบรการใหผใชจากอนเทอรเนตสามารถแอก
เซสเขามาใชงาน เชน Web Server, Mail Server Database Server เปนตน ซงผใชทอย
บนอนเทอรเนตตองสามารถสอสารกบ Web Server ของเราผานทางพอรต 80 และ 443 ได
นอกจากนนหนวยงานอนทตองการทจะสง e-mail มายง Mail Server ของเรากจาเปนท
จะตองตดตอดวยพอรต 25 เปนตน หากเรานาเครองเชรฟเวอรเหลานมาวางไวบนเนตเวรก
ภายในทเราหวงแหน เชน วางในเนตเวรกเดยวกนกบเครองคอมพวเตอรของพนกงาน หรอ
วางในเนตเวรกเดยวกนกบ Database Server ทมขอมลสาคญ จากนนสงเปดไฟรวอลลโดย
กาหนด ในกฎวา “ทกไอพแอดเดรส สามารเขาถงเนตเวรกภายในได” เพอทผใชจาก
อนเทอรเนตจะไดตดตอกบ Web Server, Mail Server ,Database Server ของเราได ระดบ
ความปลอดภยยอมลดลงมากจนถงระบดบตาสดแนนอน หรอหากจะปรบปรงกฎใหปลอดภยขน
อกนดโดยกาหนดวา “ทกไอพแอดเดรส สามารถเขาถงเนตเวรกภายในไดเฉพาะพอรต
80,443,25 เปนตน กถอวาปลอดภยขน แตหากพจารณาดด ๆแลวเราจะพบวา แฮกเกอรจาก
อนเทอรเนตสามารถเขาถงพอรต 80,443,25 ของเครองผใชภายในหนวยงานไดทกเครอง
นอกจากนนยงสามารถเขาถงเครอง Database Server บนพอรตเหลานได หาร Database
19
Server ม Web Application เพอใหผใชภายในเขาถงฐานขอมลทางพอรต 80 แฮกเกอรกจะ
เขาถงไดเชนกน ดงนนเราจงจาเปนตองมการแยกโซนเพอใหเครองเซรฟเวอรตาง ๆทเรา
จะตองเปดใหผใชทอยบนอนเทอรเนตเขาถงไดนน อยในพนทแยกกนตางหากไมเกยวของกบ
เครองผใชภายในและ Database Server
2.3.1 โปรโตคอลและพอรตตางๆกบการตงกฎไฟรวอลล [2]
HTTP เปนโปรโตคอลหลกทบราวเซอรใชสอสารแลกเปลยนขอมลกบเวบเซรฟเวอร
บราวเซอรจะคอนเนคไปยงพอรตหมายเลข 80 ของเซรฟเวอร จากนนบราวเซอรจงสงคาขอ
หนาเวบเพจดวยคาสง GET สวนการสงขอมลกลบไปยงเซรฟเวอรจะใชคาสง PUT เชน การสง
รหสผใชและรหสผาน Application จะตองเปนผดแลเรองสถานะเอง เชน สถานะการลอกอนผาน
หรอสถานะการลอกเอาตเปนตน เพอใหการสอสารแลกเปลยนขอมลกนระหวางผใชภายใน
หนวยงานกบเวบเซรฟเวอรทอยบนอนเทอรเนตสามารถทาไดถกตอง ผต งกฎไฟรวอลลจะตอง
เปดใหผใชภายในตดตอกบภายนอกทพอรต 80 ได ตวอยางเชน กฎไฟรวอลลดงตอไปน
ตารางท 2.1 แสดงการเปดเฉพาะพอรต 80
Rule Number Source IP Address Destination IP Address Destination Port Action
1 192.168.1.0/24 0.0.0.0/0 80 Accept
2 0.0.0.0/0 0.0.0.0/0 ALL Deny
HTTPS ถงแมวา HTTP จะเปนโปรโตคอลหลกทใชสอสารแลกเปลยนขอมลกนระหวาง
บราวเซอรกบเวบเซรฟเวอร แตขอเสยของ HTTP คอไมมการเขารหส หากใช HTTP เพอสง
ขอมลทสาคญ เชน รหสผานหรอรหสบตรเครดต ขอมลสาคญเหลานกอาจจะถกดกจบไดและ
อานขอมลไดโดยงายดงนนจะไดมการนาเทคโนโลย SSL ซงเปนการเขารหสถอวาปลอดภย
มาก มาผสมผสานกบโปรโตคอล HTTP กลายเปนโปรโตคอล HTTPS ซงถอไดวาปลอดภยถง
ขนทมการยอมรบวาสามารถนาไปใชกบ e-commerce ได ทวโลก โปรโตคอล HTTPS จะใช
งานผานพอรต 443 ดงนนนอกจากการเปดพอรต 80 แลวพอรตหมายเลข 443 กจาเปนตอง
เปดใชงานเชนกบ พอรต 80 ผต งกฎไฟรวอลลจะตองเปดใหผใชภายในตดตอกบ
ภายนอกทพอรต 443 ได ตวอยางเชน กฎไฟรวอลลดงตอไปน
ตารางท 2.2 แสดงการเปดเฉพาะพอรต 443
Rule Number Source IP Address Destination IP Address Destination Port Action
1 192.168.1.0/24 0.0.0.0/0 80 Accept
2 192.168.1.0/24 0.0.0.0/0 443 Accept
3 0.0.0.0/0 0.0.0.0/0 ALL Deny
20
SMTP, POP3 และ IMAP เปนโปรโตคอลทใชในการสงอเมลในเนตเวรกทมการตง Mail
Server ขนใชงานเองภายในองคกรผใชจะสงอเมลโดยใช Agent เชน โปรแกรม Microsoft
Outlook การสงอเมลจะใชโปรโตคอล SMTP บนพอรตหมายเลข 25 และรบอเมลดวย
โปรโตคอล POP3 และ IMAP ซงไดพอรตหมายเลข 110 และ 143 เพอใหผใชสามารถรบสงเมล
กบ Mail Server ของหนวยงานไดดงนนเราจงจาเปนตองเปดไฟรวอลลเพมดงน และตอง
อนญาตใหไอพแอดเดรสบนอนเทอรเนตตดตอกบ Mail Server บนพอรต 25 เพอทอเมลจาก
ภายนอกสามารถวงเขามายง Mail Server ได
ผต งกฎไฟรวอลลจะตองเปดใหผใชภายในตดตอกบภายนอกทพอรต 25,110,143 ได
ตวอยางเชน กฎไฟรวอลลดงตอไปน
ตารางท 2.3 แสดงการเปดเฉพาะพอรต 25,110,143
Rule Number Source IP Address Destination IP Address Destination Port Action
1 192.168.1.0/24 0.0.0.0/0 80 Accept
2 192.168.1.0/24 0.0.0.0/0 443 Accept
3 192.168.1.0/24 0.0.0.0/0 25 Accept
4 192.168.1.0/24 0.0.0.0/0 110 Accept
5 192.168.1.0/24 0.0.0.0/0 143 Accept
6 0.0.0.0/0 0.0.0.0/0 ALL Deny
21
Proxy หรอ (Web Cache) คออปกรณหรอเครองคอมพวเตอรททาหนาทเปนตวกลาง
ระหวางเครองไคลเอนต และเวบเซรฟเวอรในการรองขอและจดสงหนาเวบเพจ ตวอยางเชน
เมอ User1 ตองการเขาใชงานเวบไซต hosting-th.net จากนนคารองขอการใชงานเวบเพจนนจะ
ไปยง Proxy เมอ Proxy ไดรบคารองดงกลาวนน กจะโหลดเวบเพจตามท User1 รองขอมา ซง
ขอมลเวบไซตนนจะเกบไวใน Proxy เมอ User2 เขาใชงานเวบไซตเดม การทางานของ Proxy
กไปนาเอาเวบเพจทเกบไวใน Cache Proxy มาแสดง Proxy มกใชพอรตหมายเลข 8080 หรอ
หมายเลข 3128 การตงคา Proxy ดงรปดานลาง
รปท 2.4 การตงคาใชงาน Proxy
22
2.4 โปรแกรมทนามาสนบสนนในการทาโครงงาน
Pfsense(FreeBSD) [4] ซงเปน Firewall แบบเปดเผยรหส (open source) เปน
ซอฟแวรทฟร สามารถโหลดมาใชงานโดยไมตองเสยคาใชจายใด ๆ และมคณสมบต ทตรง
นโยบายททางผจดทา ไดทาโครงงานในครงน
รปท 2.5 โปรแกรม Pfsense
23
รปท 2.6 หนาจอกาหนดพอรตการใชงาน
รปท 2.7 หนาจอการใชงานแบนดวดท (Bandwidth)
24
บทท 3
การดาเนนการ
3.1 กลาวนา
เนองจากในอดตทไมมการระบบรกษาความปลอดภยเลย ทงการจดทานโยบายความ
ปลอดภยในสวนตาง ๆ ของระบบ อนเนองมาจากอดตการเชอมตอระบบคอมพวเตอรและอน
เทอรเนทนนเปนไปไดงายอาจเพราะไมคอยมความเสยงตอขอมลภายในระบบจงไมไดจดทา
นโยบายความปลอดภยไว และจงเหนวาไมคอยมความสาคญกบการทางานสกเทาไรเลยไมได
จดทา แตในยคปจจบนนการแขงขนทางธรกจ การขยายตว หรอการเจรญเตบโต เปนทยอมรบ
กนแลววาองคกรไหนไมมระบบเครอขายคอมพวเตอรและอนเทอรเนทนน กจะเสยเปรยบเปน
อยางมาก ฉะนนจงขาดไมไดทจะมระบบปองกนและนโยบายทรดกมทจะมาเปนสวนชวย
ทาใหลดความเสยงทจะเกดขนกบระบบภายในองคกรได
3.2 องคประกอบและโครงสรางของระบบเดม
โดยบรษทแซนดแอนดซอยลจะมโรงงานอย 2 แหง ลพบรและบางพล สวนสานกงานจะอย
ทกรงเทพ ในการจดทานโยบายจะครอบคลมทง 3 แหงน ในการเชอมตอเครอขายจะใช Lead
Line ในการเชอมตอเครอขายทง 3 ทเขาไวดวยกน โดยโครงสรางและองคประกอบของระบบ
จะมดงน
ดงเหนไดจากภาพดานลาง โดยเครอง Server มทงหมด 6 เครอง โดยแยกจากทางาน
ของเครอง Server ออกเปน
- เครอง Active Directory ทาหนาทสรางผใชงานภายในระบบ เพอใหสามารถเขาใช
งานทงภายในและนอกองคกรได อกทงยงเปน DHCP Server เพอแจก IP ใหกบ
เครองลกขาย และเปน Domain Controller
- เครอง Database Server ทาหนาทเกบฐานขอมลของระบบ Enterprise resource
planning (ERP) และฐานขอมล Payroll (HR focus)
- เครอง Citrix Server 1 ทาหนาทใหผใช 2 สาขาจากโรงงาน เขามาใชงานโปรแกรม
ERP โดยเขาใชงานผาน Browser
- เครอง Citrix Server 2 ทาหนาทใหผใช 2 สาขาจากโรงงาน เฉพาะพนกงานฝาย
บคคล เขามาใชงานโปรแกรม Payroll (HR focus)
- เครอง Mail Server ใชเพอทดสอบอเมลภายในองค
- เครอง Backup Server ทาหนาทในการสารองขอมล ทงหมดในระบบ เชน Active
Directory , Data base , Citrix 1,Citrix 2,Mail Server
25
รปท 3.1 ระบบภายในองคกรกอนปรบปรง
จากรป 3.1 จะเหนไดวาระบบคอมพวเตอรภายในบรษท แซนดแอนดซอลยมระบบ
Firewall แคเพยงสานกงานใหญเทานน แตสาขาสองแหงนนไมม Firewall ในการจดการขอมล
ภายในเครอขายคอมพวเตอร ฉะนนจงเปนความเสยงอยางมากทระบบภายในเครอขาย จะถก
บกรกได ไมวาจะเปนจากภายในและภายนอกบรษทเอง และไมมการจดการเกบ logfile ใหกบ
ระบบ ซงทางผดแลระบบไมสามารถวเคราะหไดวาเครองผใชงานเครองไหน ทาอะไร เขา
เวบไซตอะไรบางในวน ๆ หนง อกทงผบรหารของบรษทจะไมทราบเลยวา สาขาทง 2 แหงนน
ฝายตาง ๆ เขาใชงานเวบไซตใดในแตละวน
26
3.3 องคประกอบและโครงสรางของระบบใหม
กาหนดจดทานโนบายความปลอดใหกบบรษท แซนดแอนดซอยล และหาระบบไฟรวอล
(Firewall) ทจะนามาสนบสนนและสอดคลองกบนโยบายของบรษททจะจดทาขน
รปท 3.2 ระบบภายในองคกรหลงปรบปรง
จากรป 3.2 จะเหนไดวาระบบคอมพวเตอรภายในบรษท แซนดแอนดซอลยมระบบ
Firewall ทจะสามารถทาใหลดความเสยงทระบบเครอขายคอมพวเตอรภายในบรษทเกด
ความเสยหายในเรองตาง ๆ และ ยงสามารถตรวจสอบ กาหนด ตดตามการใชงาน
เครอขายอนเทอรเนทของผใชงานทงหมด อกทงยงสอดคลองกบนโยบายทไดจดทาขน
เพอใหสามารถลดความเสยงตอระบบภายในบรษท
27
3.4 วธการนาเสนอ
การจดทานโยบายการรกษาความปลอดภยของระบบคอมพวเตอรในโครงงานน จะ
เปนไปตามขนตอนและวธการดาเนนงานโดยมรายละเอยดดงน
โดยการจดการทานโยบายการรกษาความปลอดภยของระบบคอมพวเตอรน ซงไดรบ
ความเหนชอบจากผบรหารสงสด โดยผบรหารไดเลงเหนความสาคญในการขอกาหนดนโยบาย
ตาง ๆ
3.4.1 ตรวจสอบความพรอมเพอเรมโครงการ
3.4.1.1 ขอความสนบสนนจากผบรการบรษทแซนดแอนดซอยล
3.4.1.2 กาหนดเปาหมายของการพฒนานโยบายใหชดเจน
3.4.1.3 ขอความรวมมอจากผทเกยวของทจะไดรบผลกระทบจากนโยบาย ซงจะ
ประกอบดวยสวนตาง ๆของบรษท
3.4.1.4 รางหมายกาหนดการของแตละขนตอนและงบประมาณทจะตองใชกบ
โครงงานน
3.4.2 การวเคราะห
3.4.2.1 ทาการตรวจสอบและประเมนความเสยงของระบบสารสนเทศภายในองคกร
3.4.2.2 ทาการศกษาและพจารณาเอกสารอางองทสาคญ รวมทงศกษานโยบายเดม
ทมอย
3.4.3 การออกแบบ
3.4.3.1 กาหนดสงทจาเปนและประเดนทสาคญทจะตองบรรจลงในนโยบาย
3.4.3.2 กาหนดกระบวนการในการเผยแพรและประกาศใชนโยบาย
3.4.3.3 กาหนดเครองมอทเปนอตโนมตทจะใชในการตรวจสอบการปฎบตตาม
นโยบาย
3.4.4 พฒนานโยบาย
3.4.4.1 มนใจวานโยบายจะสามารถบงคบใชงานได
3.4.4.2 มนใจวานโยบายไดถกเผยแพรใหพนกงานทกคนรบทราบ
3.4.4.3 มนใจวาเปนนโยบายสารสนเทศทดตามกฎเกณฑดงตอไปน
3.4.4.3.1 ตองเขยนขอความใหเหมาะสมกบผอานทกระดบ
3.4.4.3.2 ตองพยายามใชคาทเปนเชงเทคนคนอยทสด และใชถอยคาททาให
ผอานเขาใจงาย
3.4.4.3.3 ตองมความยดหยน สามารถปรบเปลยนไดตามความเหมาะสม
3.4.4.3.4 ตองคานงถงความตองการทางธรกจ
3.4.4.3.5 ตองสามารถใชงานไดในสภาวะแวดลอมการทางานในปจจบน
3.4.4.3.6 งายในการนาไปปฎบตงานจรง
3.4.4.3.7 ตองถกตองและทนสมยอยเสมอ
28
3.4.4.3.8 คาใชจายในการจดทาตองสมเหตสมผล
3.4.4.3.9 ตองสามารถบงคบใหผใชงานปฎบตตามได
3.4.4.3.10 รวบรวมนโยบายทงหมดสงใหผจดการเกบรกษาและประกาศใช
งาน
3.4.5 การบารงรกษา
3.4.5.1 แกไขและปรบปรงนโยบายตามความจาเปนเพอใหมนใจไดวาจะยงคงเปน
นโยบายทมประสทธผลทเหมาะสมกบภยคกคามทเปลยนไป
3.4.5.2 นโยบายจะตองมกลไกในตวเองททาใหผใชงานสามารถจะรายงานปญหาท
เกดขนกบนโยบาย
3.4.5.3 ตองกาหนดใหมการทบทวนนโยบายอยางเปนระยะ
ตารางท 3.1 รายชอผรบผดชอบ server
เครองใหบรการ ไอพ การขออนญาตใช
งาน
ผรบผดชอบ ตรวจสอบความ
ปลอดภย
Active
Directory
192.168.1.231
-
ศราวฒ ทกวน
Database
Server
192.168.1.232 ขอตอผจดการไอท
โดยทาหนงสอ
ศราวฒ ทกวน
Citrix Server 1 192.168.1.234 - ศราวฒ ทกวน
Citrix Server 2 192.168.1.235 - ศราวฒ ทกวน
Mail Server 192.168.1.233 ขอตอผจดการไอท
โดยทาหนงสอ
ศราวฒ ทกวน
Backup Server 192.168.1.236 - ศราวฒ ทกวน
29
3.5 ขนตอนและวธการดาเนนงาน
การจดทานโยบายการรกษาความปลอดภยของระบบคอมพวเตอรในโครงงานน จะ
เปนไปตามขนตอนและวธการดาเนนงานโดยมรายละเอยดดงน
โดยการจดการทานโยบายการรกษาความปลอดภยของระบบคอมพวเตอรน ซงไดรบ
ความเหนชอบจากผบรหารสงสด โดยผบรหารไดเลงเหนความสาคญในการขอกาหนดนโยบาย
ตาง ๆ
3.4.6 เสนอผบรหารสงสดเพอขออนมตจดทานโยบายใหกบบรษท
3.4.7 เสนอการจดทานโยบายใหผจดการแผนกคอมพวเตอรรบทราบและจดทา
แบบสอบถาม เพอนาผลทไดจากแบบสอบถามมาจดทานโยบาย
3.4.8 ผจดการแผนกคอมพวเตอรเปนผดแลในการจดทานโยบายการรกษาความ
ปลอดภย
3.4.9 ผจดทาโครงงานรางนโยบายขอกาหนดตาง ๆ เพอใหสอดคลองกบการรกษา
ความปลอดภยในระบบสารสนเทศ
3.4.10 ผจดทาโครงงานวางแผนสาหรบงบประมาณทจะใชในโครงงานน
3.4.11 ผจดทาโครงงานจดหาระบบทจะนามาสนบสนน (Firewall) นโยบายททาง
ผจดทาโครงงานใหจดทาขนมา
3.4.12 ผจดทาโครงงานจดตดตงระบบ Firewall ทงสองสาขา
3.4.13 ผจดทาโครงงานตรวจสอบการใชงานคอมพวเตอรของผใชงานผาน Firewall
3.4.14 นานโยบายใหอาจารยทปรกษาตรวจสอบ
3.4.15 ผจดทาโครงงานปรบปรงแกไขนโยบายขอผดพลาดหรอตกหลนสงบางสงไป
3.4.16 ผจดการแผนกคอมพวเตอรจดอบรมณใหผจดการแผนกตาง วานโยบายม
ขอกาหนดอะไร และผบรหารสงสดเซนตอนมตประกาศ
3.4.17 ผจดทาโครงงานจดพมพนโยบายขอกาหนดตาง ๆใหกบแผนกบคคลเพอ
พนกงานภายในบรษทรบทราบ
3.4.18 ตดตามเฝาดตรวจสอบการปฏบตตามขอกาหนดในสวนตาง ๆของนโยบาย
3.4.19 ทาการทบทวน แกไขปรบปรงนโยบายใหสอดคลองกบเหตการณปจจบน ท
เหมาะสมกบภยคกคามทเปลยนแปลงไป
30
3.6 วธการพฒนานโยบายสารสนเทศ
หลงจากไดผานการศกษาขอมลดานตาง ๆแลว เชนกระประเมนความเสยงของระบบ
สารสนเทศทมอยในปจจบนมาแลว การศกษาขอกาหนดในมาตรฐานทเลอกใช การศกษา
ขอกาหนดในนโยบายเดมทมอย แลวทาการเปรยบเทยบขอมลพนฐานตาง ๆ หลงจากนนจงทา
การพฒนานโยบายสารสนเทศแตละหวขอดงมข นตอนตอไปน
3.6.1 นาขอมลพนฐานตาง ๆ รวมทงขอมลทไดจากการตรวจสอบการดาเนนงานและประเมน
ความเสยงของระบบสารสนเทศในปจจบน มาจดลาดบความสาคญเพอกาหนดลาดบใน
การพฒนานโยบาย โดยจดทาตารางการใหคะแนนอตราความเสยหายทจะเกดขนกบ
ขอมล โดยแยกเปนอตราคามเสยง ซงไดจากการตอบแบบสอบถามของกลมตวอยาง
3.6.2 ดาเนนการตดตงระบบทใชในการสนบสนนตรวจสอบความปลอดภยใหกบ Server ทอย
ในระบบ
3.6.3 ขอมลในแตละนโยบายและการพฒนาระบบจะประกอบไปดวย
- ชอนโยบาย
- วตถประสงค
- นยาม
- รายละเอยดของนโยบาย
- บทลงโทษและการบงคบใช
- เอกสารอางอง
3.6.4 ทาคมอและรวบรวมนโยบายทงหมด กอนสงใหผบรหารเทคโนโลยสารสนเทศ
31
บทท 4
ผลการดาเนนการ
4.1 กลาวนา
จากขนตอนและวธการกาหนดนโยบายความปลอดภยดานเทคโนโลยสารสนเทศจาก
บทท 3 จะเหนไดวาจะมผเกยวของกบการดาเนนการจดทานโยบายอยดวยกนหลายฝาย ซง
จาเปนตองไดรบความรวมมอเปนอยางดกบทกๆฝาย การดาเนนการจงจะประสบความสาเรจได
สงทสาคญทสดคอการกาหนดนโยบายทดและโปรแกรมทมาชวยสนบสนนนโยบายทกาหนด
ขนมา โครงงานนจะนาเสนอถงผลการดาเนนงาน ในสวนการพฒนานโยบายและผลทดลองการ
ใชงานโปรแกรม
4.2 การกาหนดนโยบาย ประโยชนทสาคญ
การตรวจจบ (Detector) การตรวจจบความผดปกตโดยอาศยความสามารถของโปรแกรม
Pfsense
การเฝามอง (Monitor) การเฝามองของการใชงาน ของผใชงาน โดยระบบ Pfsense น
การทางานหลก ๆจะเปนการกาหนดเขาใชงานอนเทอรเนทของผใชงาน เมอกาหนดกฎ (Rule)
ตาง ๆ ตามทมในนโยบาย ถาผใชงานเขาใชงานจะเกบ logfile ทงหมด เพอตรวจสอบการเขาใช
งานในขณะเวลานน ๆ
4.3 การจดลาดบความเสยง
การจดการระบบสาคญ ๆของระบบภายในองคกรเอง จะเปนการจดลาดบความสาคญของ
ความเสยงในการบกรกเขามาภายในระบบ เมอเราทราบความเสยงทงหมดแลว ขนตอนตอมา
จะประเมนความเสยงและลาดบความสาคญของแตละระบบงาน การจดลาดบความเสยงนน
อาจจะกาหนดระบบ 1 ถง 5 วธการประเมนความเสยงนนอาจจะใชวธการงาย ๆคอนาความ
คดเหนของบคคลภายในองคกรเอง หรอสมบคคลภายในองคกร เกยวกบความเสยงนน ๆ มา
กาหนดความเสยงทอาจเกดขนกบระบบภายในองคกร
4.4 การกาหนดแบบสอบถามและผลการตอบแบบสอบถาม
การกาหนดหวขอและการทาแบบสอบถามน เพอสารวจความคดเหนของผใชงานภายใน
องคกร วามทศนคตอยางไรเกยวกบการจดทานโยบายดานความปลอดภยในครงน โดยขอ
หลกๆ จะเปนการสอบถามความคดเหนกบสงทเกยวของกบความปลอดภยในระบบสารสนเทศ
ภายในองคกรทงหมด เชน ควรมการจดทานโยบายความปลอดภยหรอไม ,ควรมการนาระบบ
ความปลอดภยมาตดตงภายในองคกรหรอไม โดยจะมผลการสรปแบบสอบถามโดยแบง
ออกเปน 1 หวขอใหญและ 11 ขอยอย
32
ตวอยางแบบสอบถาม
การจดทานโยบายความมนคงปลอดภย ภายในเครอขายคอมพวเตอร
เรอง การจดทานโยบายความมนคงปลอดภยและการตดตงระบบความปลอดภย
กรณศกษา บรษทแซนดแอนดซอยล อตสาหกรรม จากด วตถประสงค เพอสารวจความคดเหนของบคลากรภายในองคกร และจดทานโยบายตอไป
คาชแจง โปรดทาเครองหมาย / ลงในชองหนาขอความทตรงกบความเปนจรงมากทสด คาอธบาย 5 =เหนดวยอยางยง 4=เหนดวย 3=ไมแนใจ 2=ไมเหนดวย 1=ไมเหนดวยอยาง
ยง
ตารางท 4.1 ตวอยางแบบสอบถาม
ขอ คาถาม ระดบ
5 4 3 2 1
นโยบายเรอง :การจดทานโยบายดานความปลอดภยภายในระบบสารสนเทศ
1 ผบรหารควรใหความสาคญกบการจดทานโยบายดานความปลอดภย
2 คณะทางานดานความมนคงปลอดภยระบบเครอขายคอมพวเตอร ควรมหนาทในการประสานงาน,
กาหนดความเหมาะสม,ประเมนผลและตรวจสอบ งานดานความปลอดภยสารสนเทศ
3 ควรมการกาหนดบทบาท หนาทและความรบผดชอบของบคลากรทเกยวของกบระบบสารสนเทศของ
องคกร
4 องคกรควรมการพจารณาอนมตและกาหนดสทธการใชงานระบบเทคโนโลยสารสนเทศใหม ๆ ภายใต
การควบคมของแผนกคอมพวเตอร
5 องคกรควรจดทาขอกาหนดหรอเงอนไขการเขาใชงานระบบเครอขายคอมพวเตอรของบคลากรอยาง
เปนลายลกษณอกษร
6 องคกรควรกาหนดบทบาทและหนาทความรบผดชอบดานความมนคงปลอดภยใหสอดคลองกบ
นโยบายความมงคงปลอดภย
7 ควรมการตรวจสอบคณสมบตของผทเกยวของกบระบบเครอขายคอมพวเตอรวามความเหมาะสมใน
ตาแหนงหนาทหรอไม
8 องคกรควรจดโปรแกรมการอบรมความรและแนวทางรกษาความปลอดภยแกผทเกยวของดานระบบ
เครอขายคอมพวเตอรเพอใหมความเขาใจเปนแนวทางเดยวกน
9 ควรมการจดประเมนความเสยงทางกายภาพของสภาพแวดลอมขององคกรและความมนคงปลอดภย
ดานสารสนเทศพรอมกาหนดมาตราการลดความเสยง
10 องคกรควรมการกาหนดการบารงรกษาระบบเครอขายคอมพวเตอรตามวงรอบและมการตดตาม
ประเมนผลอยางสมาเสมอ
11 องคกรควรมการตดตงระบบความปลอดภย ภายในระบบเครอขายคอมพวเตอร
33
ทาโร ยามาเน (Taro Yamane) [7] ไดพฒนาสตรขนมาเพอใชในการคานวณหาขนาดของ
กลมตวอยาง ดงน
n= N1+N(𝑒𝑒)2
e = ความคลาดเคลอนของการสมกลมตวอยาง = 0.05 แอลฟา 20
N คอ ขนาดของประชากร
n คอ ขนาดของกลมตวอยาง
ตวอยางในการสารวจความคดเหนของกลมตวอยางในหวขอเรองการจดทานโยบายดาน
ความปลอดภยภายในระบบสารสนเทศ เพอนาไปใชในการตดสนใจในการจดทานโยบายและ
ตดตงระบบความปลอดภยในเครอขายคอมพวเตอรตอไป โดยจากตามสตรดงน โดยทางผจดทา
โครงการเลอกกลมตวอยางทงหมด 50 ตวอยาง ทใชงานระบบสารสนเทศ
n =
50
1+50(0.0025)
50
1+0.125
50
1.125 44.444
∴ n = 44 จานวนตวอยางทไดจะอยท 44 ตวอยาง
ดงนนทางผจดทาโครงงานนขนมา จดพมพแบบสอบถามจานวน 44 ใบ เพอใหกลม
ตวอยางตอบแบบสอบถาม วามแนวความคดอยางไรกบการจดทานโยบายความปลอดภยใน
ครงน
34
ตารางท 4.2 ผลการจดเกบแบบสอบถาม
ขอ คาถาม ระดบ
นโยบายเรอง :การจดทานโยบายดานความปลอดภยภายในระบบสารสนเทศ 5 4 3 2 1
1 ผบรหารควรใหความสาคญกบการจดทานโยบายดานความปลอดภย 31 14
2 คณะทางานดานความมนคงปลอดภยระบบเครอขายคอมพวเตอร ควรมหนาทในการ
ประสานงาน,กาหนดความเหมาะสม,ประเมนผลและตรวจสอบ งานดานความปลอดภย
สารสนเทศ
25 18 1
3 ควรมการกาหนดบทบาท หนาทและความรบผดชอบของบคลากรทเกยวของกบระบบ
สารสนเทศขององคกร
24 17 2
4 องคกรควรมการพจารณาอนมตและกาหนดสทธการใชงานระบบเทคโนโลยสารสนเทศ
ใหม ๆ ภายใตการควบคมของแผนกคอมพวเตอร
25 17 2
5 องคกรควรจดทาขอกาหนดหรอเงอนไขการเขาใชงานระบบเครอขายคอมพวเตอรของ
บคลากรอยางเปนลายลกษณอกษร
23 18 2
6 องคกรควรกาหนดบทบาทและหนาทความรบผดชอบดานความมนคงปลอดภยให
สอดคลองกบนโยบายความมงคงปลอดภย
20 20 1
7 ควรมการตรวจสอบคณสมบตของผทเกยวของกบระบบเครอขายคอมพวเตอรวามความ
เหมาะสมในตาแหนงหนาทหรอไม
23 17 4
8 องคกรควรจดโปรแกรมการอบรมความรและแนวทางรกษาความปลอดภยแกผท
เกยวของดานระบบเครอขายคอมพวเตอรเพอใหมความเขาใจเปนแนวทางเดยวกน
28 16
9 ควรมการจดประเมนความเสยงทางกายภาพของสภาพแวดลอมขององคกรและความ
มนคงปลอดภยดานสารสนเทศพรอมกาหนดมาตราการลดความเสยง
24 19 1
10 องคกรควรมการกาหนดการบารงรกษาระบบเครอขายคอมพวเตอรตามวงรอบและม
การตดตามประเมนผลอยางสมาเสมอ
30 11 2
11 องคกรควรมการตดตงระบบความปลอดภย ภายในระบบเครอขายคอมพวเตอร 28 14
จากการสารวจความคดเหนทางผจดทาโครงการเลอกขอท 1 และ 11 มาเพอ
จดทานโยบายและตดตงระบบความปลอดภยภายในระบบเครอขายคอมพวเตอร
35
รปท 4.1 สรปผลวดระดบความเหนในการจดทานโยบาย
ผลจากการวดระดบความเหนดวยในการจดทานโยบายความปลอดภยสรปไดดงตอไปน
5=เหนดวยอยางยง 59% 4=เหนดวย 38% 3=ไมแนใจ 3% 2=ไมเหนดวย 0%
1=ไมเหนดวยอยางยง 0% การตอบแบบสอบถามของกลมตวอยางบงบอกไดวา ตองการทจะมการจดทานโยบาย
ความปลอดภยและควรมระบบรกษาความปลอดภยภายในเครอขายดงนน ทางผจดทานโยบาย
จงเลอกขอทจะดาเนนการจดทาคอ
1. ผบรหารควรใหความสาคญกบการจดทานโยบายดานความปลอดภย
11. องคกรควรมการตดตงระบบความปลอดภย ภายในระบบเครอขายคอมพวเตอร
36
4.5 โปรแกรมทชวยสนบสนนนโยบาย
รปท 4.2 หนาแสดงระบบไฟรวอลล
หนาจอนจะเปนการบอกถงทรพยากรตางๆ ททาใหโปรแกรมมประสทธภาพ เชน การใชงาน
ของ CPU , Memory , Disk เปนตน
รปท 4.3 กาหนดพอรต 3389 (MS RPD) ไมใหใชงาน
37
รปท 4.4 กาหนดพอรต 3389 (MS RPD) ไมใหใชงาน (ตอ)
รปท 4.5 ตวอยางผล Remote เขาเครอง server ไมได
38
รปท 4.6 กาหนดพอรต 5900 (VNC) ไมใหใชงาน
รปท 4.7 ตวอยางผล VNC เขาเครอง server ไมได
39
รปท 4.8 กาหนดพอรต 443 (HTTPS) ไมใหใชงาน
สรปทจะตงคาสาคญ ๆ มดงน
Action = Block คอ จะทาการ Blockสงตาง ๆทกาหนด
Protocal = Protocal กาหนดทจะทาการ Block
Source = ถาจะ Block ใน วงแลนดวยกน กาหนด LAN subnet
Destination = กาหนดเปน LAN subnet
Destination port range = กาหนด port ทจะทาการ Block
40
รปท 4.9 ตวอยางผล Protocol HTTPS เขาใชงาน ไมได
กาหนดเครองคอมพวเตอรภายใน LAN subnet ไมใหใชงาน Protocal https
41
รปท 4.10 กาหนดเวบไซตไมใหใชงาน
รปท 4.11 ตวอยางผล เวบไซตเขาใชงาน ไมได
42
รปท 4.12 กอนทดสอบปดพอรต
เพอทดสอบ พอรตตาง ๆ ของเครองเซฟเวอร วามความปลอดภยมากนอยแคไหน และ
พอรต อะไรทเครองเซฟเวอรไดเปดใชงานบาง โดยทางผจดทาใหนาโปรแกรม Supperscan มา
ทดสอบหาชองโหวของเครองเซฟเวอร
43
รปท 4.13 กาหนดพอรต 25,53 ไมใหใชงาน
สรปทจะตงคาสาคญ ๆ มดงน
Action = Block คอ จะทาการ Blockสงตาง ๆทกาหนด
Protocal = Protocal กาหนดทจะทาการ Block
Source = ถาจะ Block ใน วงแลนดวยกน กาหนด LAN subnet
Destination = กาหนดเปน LAN subnet
Destination port range = กาหนด port ทจะทาการ Block
44
รปท 4.14 ตวอยางผล ทดสอบ สแกน หาพอรต
ผลการทดลองจากภาพสกเกตวาเมอเราสแกนหา พอรตทเปดอยเพอจะโจมต แตพอรต
ทเราจะโจมตนนไดถก block ไวไมใหใชงาน
45
รปท 4.15 แสดงแบนดวดทไอพทใชในเครอขาย
หนาจอนจะเปนการจดเกบแบนดวดทภายในระบบเครอขายของการใชงานแตละไอพ เพอ
ตรวจสอบดวาไอพไหนใชงานแบนดวดทมากทสด เพอจะประเมนวาไอพนนใชงานจรงหรอไม
หรอเขาทาอะไรภายในเครอขาย
46
รปท 4.16 ไอพทใชงานปจจบน
หนาจอนจะเปนการแสดงรายละเอยดการเขาใชงานของแตละไอพจะแสดงออกมาเปน
IP Address, Mac Address, Hostname, การเขาใชงาน Start, การหมดอายใชงาน End
,Online ,Lease Type ซงทาใหผดแลระบบเฝามองการเขาใชงานของแตละไอพได
47
รปท 4.17 แสดงการทางานของระบบ
ถอวาปกตของการใชงาน ระบบตาง ๆภายใน
รปท 4.18 แสดง Traffic ของ WAN
48
รปท 4.19 แสดง Traffic ของ LAN
รปท 4.20 แสดง Packets ของ WAN
49
รปท 4.21 แสดง Packets ของ LAN
รปท 4.22 แสดง Logfile ของระบบ
50
รปท 4.23 แสดง Logfile ของแตละไอพ
รปท 4.24 แสดงการแจก DHCP
51
รปท 4.25 แสดงแบนดวธของ LAN
หนาจอนจะแสดงการใชงาน แบนดวดทปจจบนของแตละไอพ ซงทางผดแลระบบจะสามารถ
ทราบไดวาไอพใดใชงาน แบนดวดท เทาไร ณ ชวงเวลานนๆ
รปท 4.26 แสดงแบนดวธของ WAN
52
รปท 4.27 แสดง Logfile เปนรายวน/เดอน/ป
หนาการเกบ Logfile จะสามารถจดเกบ logfile ของ ไอพภายในเครอขายไดทงหมด เพอจะ
นามาประเมนวาไอพใดเขาใชงานเวบไซตไหนบาง
โดย Logfile ทได จะนาไปใชในการดพฤตกรรมการใชงานของอนเทอรเนต และใชใน
การจดซอคอมพวเตอรใหกบแผนกนน ๆโดยผบรหารจะวเคราะหวาควรทจะจดซอหรอไม
รปท 4.28 แสดง Logfile ไอพแตละหมายเลข
53
รปท 4.29 แสดงเวบไซตทไอพเขาใชงาน
หนาจอนจะแสดงการเขาใชงานของไอพแลว จะบอกถงเขาใชงานแตละเวบไซต
รปท 4.30 แสดงไอพทดาวหโหลดไฟล
หนาจอแสดงผลน จะบงบอกถงการโหลดไฟลของแตละไอพ วาไดทาการโหลดไฟลชนดใด
ขนาดเทาไร เพอทางผดแลระบบจะนามาตรวจสอบวา เวลาขณะนน เครอขายอนเทอรเนต ชา
เพราะเหตใด กจะทราบสาเหตวาเปนอยางไรได
54
รปท 4.31 แสดงการเขาเวบไซตดาวหโหลดของไอพ
รปท 4.32 แสดงเขาออกของไอพทใชงานอนเทอรเนต
55
รปท 4.33 หนาจอเขาใชงานของผใชงาน
รปท 4.34 ลอกอนเขาระบบเขาใชงาน
56
บทท 5
สรปผลการดาเนนการ
5.1 สรปผลการทดลอง
จากการทผจดทาโครงงานไดทดสอบการใชงานโปรแกรม Pfsense ในครงน พบวาการ
การกาหนด ตรวจสอบในเรองการใชงานอนเทอรเนตพบวาโปรแกรมนสามารถสนบสนน
นโยบายนไดทงหมดไมวาจะเปนการบลอกการใชงานเวบไซตทมความเสยตอความปลอดภย
ของระบบเครอขาย สามารถทางานไดมประสทธภาพ โดยแบงออกเปน
- ลดชองโหวทเกดจากการทแฮกเกอรเขาผานพอรตอน ๆโดยทผดแลระบบไมไดเปด
ไว
- สามารถเปดพอรตใชงานได วาตองการใหพอรตใดใชงานได
- สามารถบลอกเวบไซตทผดกฎหมาย ซงตาม พ.ร.บ.กาหนดไว
- ชวยจดการแบนดวดทในเครอขายไดอยางมประสทธภาพ
- ชวยจดเกบขอมลจราจรทางคอมพวเตอร และสามารถดไดวาผใชงานทานไดเขา
เวบไซตใดบาง เวลาเขาใชงาน
- สามารถทา Load Balancer ได ในกรณทอนเทอรเนตอกหนงเสนใชงานไมได (จะ
อยในหมวดการดาเนนธรกจอยางตอเนอง)
- สามารถจดทา Captive portal ได
- โปรแกรมนสามารถสนบสนนกบนโยบายททางผจดทาโครงงานจดทาขนทกขอ
- จดทานโยบายการใชงานระบบคอมพวเตอรและการเชอมตออนเทอรเนต
- โปรแกรมทสนบสนนนโยบายน ไมสามารถตรวจจบไวรสประเภท Phishing ทมา
กบอเมล ไดดเทาทควร
5.2 ขอเสนอแนะ
ในยคปจจบนนการแขงขนทางธรกจนนมสงมาก ซงการนาระบบอนเทอรเนตเขามาใช
ใชงานภายในองคกรกเปนสงสาคญ และการนาระบบอนเทอรเนตเขามาใชงานนน กตองมความ
เสยงทระบบจะเกดความเสยหายไมวาจะเปนปจจยภายในและภายนอก และบางครงทาใหการ
ดาเนนธรกจหยดชะงกไป แตอยางไรกดความเสยงตาง ๆจะมารปแบบใหม ๆ อยเสมอดงนน
ผดแลระบบจงตองมการตดตามขาวสารในสอตาง ๆ เพอใหทนตอเหตการณอยเสมอ
โดยขอเสนอแนะจะแบงออกเปน
- การพฒนาระบบรกษาความปลอดภยควรคานงถงปจจยอนเปนองคประกอบท
สาคญคอ การประเมนความเสยง การกาหนดนโยบาย การออกแบบและตดตง
ระบบรกษาความปลอดภย การฝกอบรมพนกงาน และการตรวจสอบ
57
- หมนหาขอมลการตงคาโปรแกรมทสนบสนนนโยบาย หรอ อพเดทโปรแกรมททาง
ผพฒนาจดทาขน เพราะการอพเดทสงใหม ๆ จะทาใหชวยลดความเสยงได
- ในการเลอกใชเทคโนโลยตาง ๆตองตรวจสอบการใชงานวาเขากนไดกบนโยบายท
ไดจดทาขนหรอไม
- การกาหนดรหสผานควจจะกาหนดตวอกษรเลขสลบการ เพราะการกาหนด
รหสผานทเดาไดงายจะมความเสยงอยางมาก เชนการเขาใชงานเวบไซตธนาคาร
เมอผใชงานกาหนดรหสผานทไมปลอดภย ทางผไมหวงดตรวจสอบพบรหสนน
ขอมลทางการเงนกอาจเสยหายได
- หมนจดทานโยบายใหมๆ ใหสอดคลองกบในยคปจจบนมากทสดเพอสรางความ
ปลอดภยใหกบองคกร
- การตดตงและใชงานระบบรกษาความปลอดภยน ไมสามารถปองกนไวรสประเภท
Phishing ไดดเทาทควร การปองกน ตองแจงกบทางบคลากร วาหามกดลงค ตาม
อเมลทมความเสยง เพราะจะทาใหตดไวรสทเครองได
58
เอกสารอางอง
[1] จตชย แพงจนทร(2550) Master in Security .—กรงเทพ :บรษท อนโฟเพรท จากด.
[2] อ.ธวชชย ชมศร Computer and Network Security .—กรเทพ :โปรวชน, 2553
[3] http://www.mict.go.th
[4] www.pfsense.org
[5] http://www.cse.sc.edu/~farkas/csce790-2002/lectures/csce790-lect1.ppt
[6] http://www.kasikornbank.com/TH/WhatHot/Pages/Phishing_Kcyber.aspx
[7] Taro Yamane เพอใชในการคานวณหาขนาดของกลมตวอยาง
[8] พระราชบญญตวาดวยการกระทาผดเกยวกบคอมพวเตอร พ.ศ.๒๕๕๐http://www.mict.go.th/download/law/20070618_CC_Final.pdf
ภาคผนวก ก
ตวอยางการตดตงโปรแกรม Pfsense Firewall
รปท ก.1 หนาจอระบบกอนการตงตดโปรแกรม
รปท ก.2 ตงคาการดแลน
ใหพพมตวอกษร n เพอไมตองการทา VLANs
รปท ก.3 ตงคาการดแลน(ตอ 2)
หนาจอนใหกาหนด Card Lan ภายในระบบ โดยจะมอย 2 เสนคอ LAN,WAN
รปท ก.4 ตงคาการดแลน(ตอ 3)
เมอไดกาหนดแลว ใหพมพตวอกษร y
รปท ก.5 ระบบกาลงตดตง
รปท ก.6 พมพ 99 เพอตดตงในฮารดดส
รปท ก.7 Accept these Settings เพอจะตดตงโปรแกรม
รปท ก.8 ตดตงแบบ Quick/Easy
รปท ก.9 กด OK
รปท ก.10 ระบบกาลงตดตงโปรแกรมในฮารดดส
รปท ก.11 เลอก Symmetric multiprocessing kernel
รปท ก.12 เลอก Reboot
รปท ก.13 เลอกตวเลข 2
รปท ก.14 หนาจอนจะใหกาหนด IP ของ Pfsense Firewall
รปท ก.15 กาหนด LAN subnet
รปท ก.16 เปดใชงาน DHCP
รปท ก.17 กาหนดความกวางของ IP ในวง LAN
รปท ก.18 ENTER เพอยอมรบการตงคาตาง ๆของระบบ
รปท ก.19 หนาจอระบบ
รปท ก.20 หนาจอลอกอน
ระบชอผใช : admin
ระบรหสผาน : pfsense
รปท ก.21 Next
รปท ก.22 กาหนด Hostname domain
รปท ก.23 เลอกโซนเวลา
รปท ก.24 ระบไอพ
รปท ก.25 หนานสาหรบเปลยนรหสผานของ Admin
รปท ก.26 Reload เพอจบการตดตงโปรแกรม
พระราชบญญต วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐
พระราชบญญต
วาดวยการกระทาความผดเกยวกบคอมพวเตอร
พ.ศ. ๒๕๕๐
ภมพลอดลยเดช ป.ร.
ใหไว ณ วนท ๑๐ มถนายน พ.ศ. ๒๕๕๐
เปนปท ๖๒ ในรชกาลปจจบน
พระบาทสมเดจพระปรมนทรมหาภมพลอดลยเดช มพระบรมราชโองการโปรดเกลา ฯ
ใหประกาศวา
โดยทเปนการสมควรมกฎหมายวาดวยการกระทาความผดเกยวกบคอมพวเตอร
จงทรงพระกรณาโปรดเกลา ฯ ใหตราพระราชบญญตขนไวโดยคาแนะนาและยนยอมของ
สภานตบญญตแหงชาต ดงตอไปน
มาตรา ๑ พระราชบญญตนเรยกวา “พระราชบญญตวาดวยการกระทาความผด
เกยวกบ
คอมพวเตอร พ.ศ. ๒๕๕๐”
มาตรา ๒ พระราชบญญตนใหใชบงคบเมอพนกาหนดสามสบวนนบแตวนประกาศ
ในราชกจจานเบกษาเปนตนไป
มาตรา ๓ ในพระราชบญญตน
“ระบบคอมพวเตอร” หมายความวา อปกรณหรอชดอปกรณของคอมพวเตอรทเชอมการ
ทางาน
เขาดวยกน โดยไดมการกาหนดคาสง ชดคาสง หรอสงอนใด และแนวทางปฏบตงานให
อปกรณ
หรอชดอปกรณทาหนาทประมวลผลขอมลโดยอตโนมต
“ขอมลคอมพวเตอร” หมายความวา ขอมล ขอความ คาสง ชดคาสง หรอสงอนใด
บรรดาทอยในระบบคอมพวเตอรในสภาพทระบบคอมพวเตอรอาจประมวลผลได และให
หมายความรวมถงขอมลอเลกทรอนกสตามกฎหมายวาดวยธรกรรมทางอเลกทรอนกส
ดวย
“ขอมลจราจรทางคอมพวเตอร” หมายความวา ขอมลเกยวกบการตดตอสอสาร
ของระบบคอมพวเตอร ซงแสดงถงแหลงกาเนด ตนทาง ปลายทาง เสนทาง เวลา วนท
ปรมาณ ระยะเวลาชนดของบรการ หรออน ๆ ทเกยวของกบการตดตอสอสารของระบบ
คอมพวเตอรนน
“ผใหบรการ” หมายความวา
(๑) ผใหบรการแกบคคลอนในการเขาสอนเทอรเนต หรอใหสามารถตดตอถงกนโดย
ประการอน โดยผานทางระบบคอมพวเตอร ทงน ไมวาจะเปนการใหบรการในนามของ
ตนเอง หรอ
ในนามหรอเพอประโยชนของบคคลอน
(๒) ผใหบรการเกบรกษาขอมลคอมพวเตอรเพอประโยชนของบคคลอน
“ผใชบรการ” หมายความวา ผใชบรการของผใหบรการไมวาตองเสยคาใชบรการหรอไมก
ตาม
“พนกงานเจาหนาท” หมายความวา ผซงรฐมนตรแตงตงใหปฏบตการตาม
พระราชบญญตน
“รฐมนตร” หมายความวา รฐมนตรผรกษาการตามพระราชบญญตน
มาตรา ๔ ใหรฐมนตรวาการกระทรวงเทคโนโลยสารสนเทศและการสอสาร
รกษาการตาม
พระราชบญญตน และใหมอานาจออกกฎกระทรวงเพอปฏบตการตามพระราชบญญตน
กฎกระทรวงนน เมอไดประกาศในราชกจจานเบกษาแลวใหใชบงคบได
หมวด ๑
ความผดเกยวกบคอมพวเตอร
มาตรา ๕ ผใดเขาถงโดยมชอบซงระบบคอมพวเตอรทมมาตรการปองกนการ
เขาถง
โดยเฉพาะและมาตรการนนมไดมไวสาหรบตน ตองระวางโทษจาคกไมเกนหกเดอน หรอ
ปรบไมเกนหนงหมนบาท หรอทงจาทงปรบ
มาตรา ๖ ผใดลวงรมาตรการปองกนการเขาถงระบบคอมพวเตอรทผอนจดทาขน
เปนการเฉพาะถานามาตรการดงกลาวไปเปดเผยโดยมชอบในประการทนาจะเกดความ
เสยหายแกผอน ตองระวางโทษจาคกไมเกนหนงป หรอปรบไมเกนสองหมนบาท หรอทง
จาทงปรบ
มาตรา ๗ ผใดเขาถงโดยมชอบซงขอมลคอมพวเตอรทมมาตรการปองกนการ
เขาถงโดยเฉพาะและมาตรการนนมไดมไวสาหรบตน ตองระวางโทษจาคกไมเกนสองป
หรอปรบไมเกนสหมนบาทหรอทงจาทงปรบ
มาตรา ๘ ผใดกระทาดวยประการใดโดยมชอบดวยวธการทางอเลกทรอนกสเพอ
ดกรบไวซงขอมลคอมพวเตอรของผอนทอยระหวางการสงในระบบคอมพวเตอร และ
ขอมลคอมพวเตอรนนมไดมไวเพอประโยชนสาธารณะหรอเพอใหบคคลทวไปใชประโยชน
ไดตองระวางโทษจาคกไมเกนสามป หรอปรบไมเกนหกหมนบาท หรอทงจาทงปรบ
มาตรา ๙ ผใดทาใหเสยหาย ทาลาย แกไข เปลยนแปลง หรอเพมเตมไมวา
ทงหมดหรอ
บางสวน ซงขอมลคอมพวเตอรของผอนโดยมชอบ ตองระวางโทษจาคกไมเกนหาป หรอ
ปรบไมเกนหนงแสนบาท หรอทงจาทงปรบ
มาตรา ๑๐ ผใดกระทาดวยประการใดโดยมชอบ เพอใหการทางานของระบบ
คอมพวเตอรของผอนถกระงบ ชะลอ ขดขวาง หรอรบกวนจนไมสามารถทางานตามปกต
ไดตองระวางโทษจาคกไมเกนหาป หรอปรบไมเกนหนงแสนบาท หรอทงจาทงปรบ
มาตรา ๑๑ ผใดสงขอมลคอมพวเตอรหรอจดหมายอเลกทรอนกสแกบคคลอนโดย
ปกปดหรอปลอมแปลงแหลงทมาของการสงขอมลดงกลาว อนเปนการรบกวนการใชระบบ
คอมพวเตอรของบคคลอนโดยปกตสข ตองระวางโทษปรบไมเกนหนงแสนบาท
มาตรา ๑๒ ถาการกระทาความผดตามมาตรา ๙ หรอมาตรา ๑๐
(๑) กอใหเกดความเสยหายแกประชาชน ไมวาความเสยหายนนจะเกดขนในทนทหรอ
ในภายหลงและไมวาจะเกดขนพรอมกนหรอไม ตองระวางโทษจาคกไมเกนสบป และปรบ
ไมเกนสองแสนบาท
(๒) เปนการกระทาโดยประการทนาจะเกดความเสยหายตอขอมลคอมพวเตอร หรอระบบ
คอมพวเตอรทเกยวกบการรกษาความมนคงปลอดภยของประเทศ ความปลอดภย
สาธารณะ ความมนคงในทางเศรษฐกจของประเทศ หรอการบรการสาธารณะ หรอเปน
การกระทาตอขอมลคอมพวเตอรหรอระบบคอมพวเตอรทมไวเพอประโยชนสาธารณะ
ตองระวางโทษจาคกตงแตสามปถงสบหาป และปรบตงแตหกหมนบาทถงสามแสนบาท
ถาการกระทาความผดตาม (๒) เปนเหตใหผอนถงแกความตาย ตองระวางโทษจาคก
ตงแต
สบปถงยสบป
มาตรา ๑๓ ผใดจาหนายหรอเผยแพรชดคาสงทจดทาขนโดยเฉพาะเพอนาไปใช
เปนเครองมอในการกระทาความผดตามมาตรา ๕ มาตรา ๖ มาตรา ๗ มาตรา ๘ มาตรา
๙ มาตรา ๑๐ หรอ
มาตรา ๑๑ ตองระวางโทษจาคกไมเกนหนงป หรอปรบไมเกนสองหมนบาท หรอ
ทงจาทงปรบ
มาตรา ๑๔ ผใดกระทาความผดทระบไวดงตอไปน ตองระวางโทษจาคกไมเกนหา
ป หรอปรบไมเกนหนงแสนบาท หรอทงจาทงปรบ
(๑) นาเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรปลอมไมวาทงหมดหรอบางสวน หรอ
ขอมลคอมพวเตอรอนเปนเทจ โดยประการทนาจะเกดความเสยหายแกผอนหรอประชาชน
(๒) นาเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรอนเปนเทจ โดยประการทนาจะเกด
ความเสยหายตอความมนคงของประเทศหรอกอใหเกดความตนตระหนกแกประชาชน
(๓) นาเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรใด ๆ อนเปนความผดเกยวกบความ
มนคง
แหงราชอาณาจกรหรอความผดเกยวกบการกอการรายตามประมวลกฎหมายอาญา
(๔) นาเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรใด ๆ ทมลกษณะอนลามกและ
ขอมลคอมพวเตอรนนประชาชนทวไปอาจเขาถงได
(๕) เผยแพรหรอสงตอซงขอมลคอมพวเตอรโดยรอยแลววาเปนขอมลคอมพวเตอรตาม
(๑)
(๒) (๓) หรอ (๔)
มาตรา ๑๕ ผใหบรการผใดจงใจสนบสนนหรอยนยอมใหมการกระทาความผดตาม
มาตรา ๑๔ในระบบคอมพวเตอรทอยในความควบคมของตน ตองระวางโทษเชนเดยวกบ
ผกระทาความผดตามมาตรา ๑๔
มาตรา ๑๖ ผใดนาเขาสระบบคอมพวเตอรทประชาชนทวไปอาจเขาถงไดซงขอมล
คอมพวเตอรทปรากฏเปนภาพของผอน และภาพนนเปนภาพทเกดจากการสรางขน ตด
ตอ เตม
หรอดดแปลงดวยวธการทางอเลกทรอนกสหรอวธการอนใด ทงน โดยประการทนาจะทา
ใหผอนนนเสยชอเสยง ถกดหมน ถกเกลยดชง หรอไดรบความอบอาย ตองระวางโทษ
จาคกไมเกนสามป หรอปรบไมเกนหกหมนบาท หรอทงจาทงปรบถาการกระทาตามวรรค
หนง เปนการนาเขาขอมลคอมพวเตอรโดยสจรต ผกระทาไมมความผดความผดตามวรรค
หนงเปนความผดอนยอมความไดถาผเสยหายในความผดตามวรรคหนงตายเสยกอนรอง
ทกข ใหบดา มารดา คสมรส หรอบตรของผเสยหายรองทกขได และใหถอวาเปน
ผเสยหาย
มาตรา ๑๗ ผใดกระทาความผดตามพระราชบญญตนนอกราชอาณาจกรและ
(๑) ผกระทาความผดนนเปนคนไทย และรฐบาลแหงประเทศทความผดไดเกดขนหรอ
ผเสยหายไดรองขอใหลงโทษ หรอ
(๒) ผกระทาความผดนนเปนคนตางดาว และรฐบาลไทยหรอคนไทยเปนผเสยหายและ
ผเสยหายไดรองขอใหลงโทษ
จะตองรบโทษภายในราชอาณาจกร
หมวด ๒
พนกงานเจาหนาท
มาตรา ๑๘ ภายใตบงคบมาตรา ๑๙ เพอประโยชนในการสบสวนและสอบสวนใน
กรณทมเหตอนควรเชอไดวามการกระทาความผดตามพระราชบญญตน ใหพนกงาน
เจาหนาทมอานาจอยางหนงอยางใด ดงตอไปน เฉพาะทจาเปนเพอประโยชนในการใช
เปนหลกฐานเกยวกบการกระทาความผดและหาตวผกระทาความผด
(๑) มหนงสอสอบถามหรอเรยกบคคลทเกยวของกบการกระทาความผดตาม
พระราชบญญต
นมาเพอใหถอยคา สงคาชแจงเปนหนงสอ หรอสงเอกสาร ขอมล หรอหลกฐานอนใดทอย
ในรปแบบ
ทสามารถเขาใจได
(๒) เรยกขอมลจราจรทางคอมพวเตอรจากผใหบรการเกยวกบการตดตอสอสารผานระบบ
คอมพวเตอรหรอจากบคคลอนทเกยวของ
(๓) สงใหผใหบรการสงมอบขอมลเกยวกบผใชบรการทตองเกบตามมาตรา ๒๖ หรอทอย
ในความครอบครองหรอควบคมของผใหบรการใหแกพนกงานเจาหนาท
(๔) ทาสาเนาขอมลคอมพวเตอร ขอมลจราจรทางคอมพวเตอร จากระบบคอมพวเตอร
ทมเหตอนควรเชอไดวามการกระทาความผดตามพระราชบญญตน ในกรณทระบบ
คอมพวเตอรนนยงมไดอยในความครอบครองของพนกงานเจาหนาท
(๕) สงใหบคคลซงครอบครองหรอควบคมขอมลคอมพวเตอร หรออปกรณทใชเกบ
ขอมลคอมพวเตอร สงมอบขอมลคอมพวเตอร หรออปกรณดงกลาวใหแกพนกงาน
เจาหนาท
(๖) ตรวจสอบหรอเขาถงระบบคอมพวเตอร ขอมลคอมพวเตอร ขอมลจราจรทาง
คอมพวเตอร
หรออปกรณทใชเกบขอมลคอมพวเตอรของบคคลใด อนเปนหลกฐานหรออาจใชเปน
หลกฐานเกยวกบการกระทาความผด หรอเพอสบสวนหาตวผกระทาความผดและสงให
บคคลนนสงขอมลคอมพวเตอรขอมลจราจรทางคอมพวเตอร ทเกยวของเทาทจาเปนให
ดวยกได
(๗) ถอดรหสลบของขอมลคอมพวเตอรของบคคลใด หรอสงใหบคคลทเกยวของกบการ
เขารหสลบของขอมลคอมพวเตอร ทาการถอดรหสลบ หรอใหความรวมมอกบพนกงาน
เจาหนาทในการถอดรหสลบดงกลาว
(๘) ยดหรออายดระบบคอมพวเตอรเทาทจาเปนเฉพาะเพอประโยชนในการทราบ
รายละเอยด
แหงความผดและผกระทาความผดตามพระราชบญญตน
มาตรา ๑๙ การใชอานาจของพนกงานเจาหนาทตามมาตรา ๑๘ (๔) (๕) (๖) (๗)
และ(๘) ใหพนกงานเจาหนาทยนคารองตอศาลทมเขตอานาจเพอมคาส งอนญาตให
พนกงานเจาหนาทดาเนนการตามคารอง ทงน คารองตองระบเหตอนควรเชอไดวาบคคล
ใดกระทาหรอกาลงจะกระทาการอยางหนงอยางใดอนเปนความผดตามพระราชบญญตน
เหตทตองใชอานาจ ลกษณะของการกระทาความผด รายละเอยดเกยวกบอปกรณทใชใน
การกระทาความผดและผกระทาความผด เทาทสามารถจะระบได ประกอบคารองดวยใน
การพจารณาคารองใหศาลพจารณาคารองดงกลาวโดยเรวเมอศาลมคาสงอนญาตแลว
กอนดาเนนการตามคาสงของศาล ใหพนกงานเจาหนาทสงสาเนาบนทกเหตอนควรเชอท
ทาใหตองใชอานาจตามมาตรา ๑๘ (๔) (๕) (๖) (๗) และ (๘) มอบใหเจาของหรอผ
ครอบครองระบบคอมพวเตอรนนไวเปนหลกฐาน แตถาไมมเจาของหรอผครอบครอง
เครองคอมพวเตอรอย ณ ทนน ใหพนกงานเจาหนาทสงมอบสาเนาบนทกนนใหแกเจาของ
หรอผครอบครองดงกลาวในทนททกระทาไดใหพนกงานเจาหนาทผเปนหวหนาในการ
ดาเนนการตามมาตรา ๑๘ (๔) (๕) (๖) (๗) และ(๘) สงสาเนาบนทกรายละเอยดการ
ดาเนนการและเหตผลแหงการดาเนนการใหศาลทมเขตอานาจภายในสสบแปดชวโมงนบ
แตเวลาลงมอดาเนนการ เพอเปนหลกฐาน
การทาสาเนาขอมลคอมพวเตอรตามมาตรา ๑๘ (๔) ใหกระทาไดเฉพาะเมอมเหตอนควร
เชอ
ไดวามการกระทาความผดตามพระราชบญญตน และตองไมเปนอปสรรคในการดาเนน
กจการของเจาของหรอผครอบครองขอมลคอมพวเตอรนนเกนความจาเปน
การยดหรออายดตามมาตรา ๑๘ (๘) นอกจากจะตองสงมอบสาเนาหนงสอแสดงการยด
หรอ
อายดมอบใหเจาของหรอผครอบครองระบบคอมพวเตอรนนไวเปนหลกฐานแลวพนกงาน
เจาหนาทจะ
สงยดหรออายดไวเกนสามสบวนมได ในกรณจาเปนทตองยดหรออายดไวนานกวานน ให
ยนคารองตอศาลทมเขตอานาจเพอขอขยายเวลายดหรออายดได แตศาลจะอนญาตให
ขยายเวลาครงเดยวหรอหลายครงรวมกนไดอกไมเกนหกสบวน เมอหมดความจาเปนทจะ
ยดหรออายดหรอครบกาหนดเวลาดงกลาวแลว พนกงานเจาหนาทตองสงคนระบบ
คอมพวเตอรทยดหรอถอนการอายดโดยพลนหนงสอแสดงการยดหรออายดตามวรรคหา
ใหเปนไปตามทกาหนดในกฎกระทรวง
มาตรา ๒๐ ในกรณทการกระทาความผดตามพระราชบญญตนเปนการทาให
แพรหลายซงขอมลคอมพวเตอรทอาจกระทบกระเทอนตอความมนคงแหงราชอาณาจกร
ตามทกาหนดไวในภาคสองลกษณะ ๑ หรอลกษณะ ๑/๑ แหงประมวลกฎหมายอาญา
หรอทมลกษณะขดตอความสงบเรยบรอยหรอศลธรรมอนดของประชาชน พนกงาน
เจาหนาทโดยไดรบความเหนชอบจากรฐมนตรอาจยนคารองพรอมแสดงพยานหลกฐาน
ตอศาลทมเขตอานาจขอใหมคาส งระงบการทาใหแพรหลายซงขอมลคอมพวเตอรนนได
ในกรณทศาลมคาสงใหระงบการทาใหแพรหลายซงขอมลคอมพวเตอรตามวรรคหนง ให
พนกงานเจาหนาททาการระงบการทาใหแพรหลายนนเอง หรอสงใหผใหบรการระงบการ
ทาใหแพรหลายซงขอมลคอมพวเตอรนนกได
มาตรา ๒๑ ในกรณทพนกงานเจาหนาทพบวา ขอมลคอมพวเตอรใดมชดคาสงไม
พง
ประสงครวมอยดวย พนกงานเจาหนาทอาจยนคารองตอศาลทมเขตอานาจเพอขอใหม
คาส งหามจาหนายหรอเผยแพร หรอสงใหเจาของหรอผครอบครองขอมลคอมพวเตอรนน
ระงบการใช ทาลายหรอแกไขขอมลคอมพวเตอรนนได หรอจะกาหนดเงอนไขในการใช ม
ไวในครอบครอง หรอเผยแพรชดคาสงไมพงประสงคดงกลาวกได
ชดคาสงไมพงประสงคตามวรรคหนงหมายถงชดคาสงทมผลทาใหขอมลคอมพวเตอร หรอ
ระบบคอมพวเตอรหรอชดคาสงอนเกดความเสยหาย ถกทาลาย ถกแกไขเปลยนแปลง
หรอเพมเตมขดของ หรอปฏบตงานไมตรงตามคาสงทกาหนดไว หรอโดยประการอน
ตามทกาหนดในกฎกระทรวงทงน เวนแตเปนชดคาสงทมงหมายในการปองกนหรอแกไข
ชดคาสงดงกลาวขางตน ตามทรฐมนตรประกาศในราชกจจานเบกษา
มาตรา ๒๒ หามมใหพนกงานเจาหนาทเปดเผยหรอสงมอบขอมลคอมพวเตอร
ขอมลจราจรทางคอมพวเตอร หรอขอมลของผใชบรการ ทไดมาตามมาตรา ๑๘ ใหแก
บคคลใดความในวรรคหนงมใหใชบงคบกบการกระทาเพอประโยชนในการดาเนนคดกบ
ผกระทาความผดตามพระราชบญญตน หรอเพอประโยชนในการดาเนนคดกบพนกงาน
เจาหนาทเกยวกบการใชอานาจหนาทโดยมชอบ หรอเปนการกระทาตามคาสงหรอทไดรบ
อนญาตจากศาลพนกงานเจาหนาทผใดฝาฝนวรรคหนงตองระวางโทษจาคกไมเกนสามป
หรอปรบไมเกนหกหมนบาท หรอทงจาทงปรบ
มาตรา ๒๓ พนกงานเจาหนาทผใดกระทาโดยประมาทเปนเหตใหผอนลวงร
ขอมลคอมพวเตอรขอมลจราจรทางคอมพวเตอร หรอขอมลของผใชบรการ ทไดมาตาม
มาตรา ๑๘ ตองระวางโทษจาคกไมเกนหนงป หรอปรบไมเกนสองหมนบาท หรอทงจาทง
ปรบ
มาตรา ๒๔ ผใดลวงรขอมลคอมพวเตอร ขอมลจราจรทางคอมพวเตอรหรอขอมล
ของผใชบรการ ทพนกงานเจาหนาทไดมาตามมาตรา ๑๘ และเปดเผยขอมลนนตอผหนง
ผใด ตองระวางโทษจาคกไมเกนสองป หรอปรบไมเกนสหมนบาท หรอทงจาทงปรบ
มาตรา ๒๕ ขอมล ขอมลคอมพวเตอร หรอขอมลจราจรทางคอมพวเตอรท
พนกงานเจาหนาทไดมาตามพระราชบญญตน ใหอางและรบฟงเปนพยานหลกฐานตาม
บทบญญตแหงประมวลกฎหมายวธพจารณาความอาญาหรอกฎหมายอนอนวาดวยการ
สบพยานได แตตองเปนชนดทมไดเกดขนจากการจงใจมคามนสญญา ขเขญ หลอกลวง
หรอโดยมชอบประการอน
มาตรา ๒๖ ผใหบรการตองเกบรกษาขอมลจราจรทางคอมพวเตอรไวไมนอยกวา
เกาสบวนนบแตวนทขอมลนนเขาสระบบคอมพวเตอร แตในกรณจาเปนพนกงาน
เจาหนาทจะสงใหผใหบรการผใดเกบรกษาขอมลจราจรทางคอมพวเตอรไวเกนเกาสบวน
แตไมเกนหนงปเปนกรณพเศษเฉพาะรายและเฉพาะคราวกไดผใหบรการจะตองเกบรกษา
ขอมลของผใชบรการเทาทจาเปนเพอใหสามารถระบตวผใชบรการนบตงแตเรมใชบรการ
และตองเกบรกษาไวเปนเวลาไมนอยกวาเกาสบวนนบตงแตการใชบรการสนสดลง
ความในวรรคหนงจะใชกบผใหบรการประเภทใด อยางไร และเมอใด ใหเปนไปตามท
รฐมนตรประกาศในราชกจจานเบกษาผใหบรการผใดไมปฏบตตามมาตราน ตองระวาง
โทษปรบไมเกนหาแสนบาท
มาตรา ๒๗ ผใดไมปฏบตตามคาสงของศาลหรอพนกงานเจาหนาททส งตาม
มาตรา ๑๘หรอมาตรา ๒๐ หรอไมปฏบตตามคาสงของศาลตามมาตรา ๒๑ ตองระวาง
โทษปรบไมเกนสองแสนบาทและปรบเปนรายวนอกไมเกนวนละหาพนบาทจนกวาจะ
ปฏบตใหถกตอง
มาตรา ๒๘ การแตงตงพนกงานเจาหนาทตามพระราชบญญตน ใหรฐมนตรแตงตงจากผม
ความรและความชานาญเกยวกบระบบคอมพวเตอรและมคณสมบตตามทรฐมนตรกาหนด
มาตรา ๒๙ ในการปฏบตหนาทตามพระราชบญญตน ใหพนกงานเจาหนาทเปน
พนกงานฝายปกครองหรอตารวจชนผใหญตามประมวลกฎหมายวธพจารณาความอาญาม
อานาจรบคารองทกขหรอรบคากลาวโทษ และมอานาจในการสบสวนสอบสวนเฉพาะ
ความผดตามพระราชบญญตนในการจบ ควบคม คน การทาสานวนสอบสวนและ
ดาเนนคดผกระทาความผดตามพระราชบญญตน บรรดาทเปนอานาจของพนกงานฝาย
ปกครองหรอตารวจชนผใหญ หรอพนกงานสอบสวนตามประมวลกฎหมายวธพจารณา
ความอาญา ใหพนกงานเจาหนาทประสานงานกบพนกงานสอบสวนผรบผดชอบเพอ
ดาเนนการตามอานาจหนาทตอไปใหนายกรฐมนตรในฐานะผกากบดแลสานกงานตารวจ
แหงชาตและรฐมนตรมอานาจรวมกนกาหนดระเบยบเกยวกบแนวทางและวธปฏบตในการ
ดาเนนการตามวรรคสอง
มาตรา ๓๐ ในการปฏบตหนาท พนกงานเจาหนาทตองแสดงบตรประจาตวตอ
บคคลซงเกยวของ
บตรประจาตวของพนกงานเจาหนาทใหเปนไปตามแบบทรฐมนตรประกาศในราช
กจจานเบกษา
ผรบสนองพระบรมราชโองการ
พลเอก สรยทธ จลานนท
นายกรฐมนตร
หมายเหต :- เหตผลในการประกาศใชพระราชบญญตฉบบน คอ เนองจากในปจจบนระบบ
คอมพวเตอรไดเปนสวนสาคญของการประกอบกจการและการดารงชวตของมนษย หากม
ผกระทาดวยประการใด ๆ ใหระบบคอมพวเตอรไมสามารถทางานตามคาสงทกาหนดไวหรอทา
ใหการทางานผดพลาดไปจากคาสงทกาหนดไว หรอใชวธการใด ๆ เขาลวงรขอมล แกไข หรอ
ทาลายขอมลของบคคลอนในระบบคอมพวเตอรโดยมชอบ หรอใชระบบคอมพวเตอรเพอ
เผยแพรขอมลคอมพวเตอรอนเปนเทจหรอมลกษณะอนลามกอนาจาร ยอมกอใหเกดความ
เสยหาย กระทบกระเทอนตอเศรษฐกจ สงคม และความมนคงของรฐ รวมทงความสงบสขและ
ศลธรรม
อนดของประชาชน สมควรกาหนดมาตรการเพอปองกนและปราบปรามการกระทาดงกลาว จง
จาเปนตองตราพระราชบญญตน
ภาคผนวก ข
ตวอยางเอกสารดานความปลอดภยดานเทคโยโลยสารสนเทศ
นโยบายเกยวกบการรกษาความมนคงปลอดภยระบบสารสนเทศ
ของ
บรษท แซนดแอนดซอยลอตสาหกรรม จากด
เรอง นโยบายการใชระบบสารสนเทศของบรษทฯ
เรยน ผบรหารและพนกงาน บรษท แซนดแอนดซอยลอตสาหกรรม จากดทกทาน
วตถประสงค
เพอใหการใชระบบสารสนเทศของบรษทฯ มความถกตองและเหมาะสม ทางบรษทฯ ขอ
ประกาศใหพนกงานทกทานไดทราบถงนโยบายการใชระบบสารสนเทศของบรษทฯ ดงตอไปน
1. บรษท แซนดแอนดซอยลอตสาหกรรม จากด มนโยบายใชและสนบสนน Software ท
ถกตองตามกฎหมายเทานน
2. บรษทฯ ไดจดสรรระบบสารสนเทศใหตามความเหมาะสมตามลกษณะงานของแตละ
หนวยงาน โดยหนวยงานตาง ๆ มหนาทในการรวมพจารณากบบรษทในการจดสรร
ดงกลาวดวย
3. หามมใหพนกงานเพมเตม และ/หรอ ปรบปรง, เปลยนแปลง ระบบสารสนเทศใด ๆ ท
บรษทจดใหเปนอนขาด หากมการตรวจสอบ แลวพบการดาเนนการดงกลาว บรษทฯ
จะถอเปนความผด และจะมการดาเนนการลงโทษทางวนย
4. พนกงานทกทานจะตองปฎบตตามและลงนามใน "หนงสอยนยอมรบเงอนไข
นโยบายเกยวกบการรกษาความมนคงปลอดภยระบบสารสนเทศ"
5. เพอใหเกดภาพลกษณทดในการสอสารผานระบบสารสนเทศของบรษทฯ พนกงานหาม
ใชถอยคาหยาบคาย ดหมนหมนเหยยดหยามผอนหรอสถาบน หรอผดจรรยาบรรใด ๆ
อนสงผลเสยหายตอบรษท ทงนความผดดงกลาวจะถอเปนความผดสวนบคคล บรษท
จะไมมสวนในความรบผดชอบใด ๆ ทงสน
6. บรษทฯ มสทธในการตรวจสอบการใชงานระบบสารสนเทศของบรษทตามความ
เหมาะสม
นยาม
ภายใตเอกสารฉบบนอาง
ถง
ความหมาย
“บรษท” บรษท แซนดแอนดซอยลอตสาหกรรม จากด
“ผใชงาน” ผบรหาร พนกงาน ลกจาง ทไดรบอนญาตใหใชระบบสารสนเทศ
ของบรษท รวมถงบคคลและนตบคคลทปฏบตหนาทตามสญญาจาง
งาน ในกรณทเปนเครองรวมของหนวยงาน ใหถอวาหวหนา
หนวยงานเปนรบผดชอบในฐานะผใชงาน
“ขอมล” ขอความ ขาวสาร คาสง ชดคาสง ภาพ เสยง หรอสงอนใดท
สามารถสอความหมายได โดยสภาพของสงนนเองหรอโดยผาน
กระบวนการใด ๆ ทงทอยในรปอเลกทรอนกสหรอทอยในรป
สงพมพ
“ทรพยสน” ขอมล คอมพวเตอร ฮารดแวร ซอฟทแวร อปกรณตอพวงท
เกยวของ
“ระบบสารสนเทศ” ระบบคอมพวเตอร ระบบสอสาร ระบบจดเกบขอมล เครองพมพ
เครองสแกน และ/หรออปกรณใด ๆ ทเกยวของ รวมถง Software
ทใชในระบบดงกลาว
“ระดบชนความลบ” ระดบความลบของขอมล
“นโยบาย” นโยบายเกยวกบการรกษาความมนคงปลอดภยระบบสารสนเทศ
“ผดและระบบสารสนเทศ”
พนกงานทไดรบมอบหมายจากบรษท ใหมหนาทรบผดชอบในการ
ดแลรกษาระบบสารสนเทศใหสามารถทางานไดตามนโยบาย
“รหสประจาตว” รหสผใชงาน (User ID) และรหสผาน (Password) สาหรบการ
เขาถงระบบสารสนเทศใด ๆ
“ทรพยสนสวนตว” “ทรพยสน” ทเปนของพนกงาน
นโยบายของบรษท สาหรบผใชระบบสารสนเทศ
ระบบสารสนเทศ ถอเปนทรพยสนทางธรกจทสาคญยงของบรษท ซงจะเปนตองมการ
คมครองปองกนไวเปนอยางด นโยบายนนามาใชเพอปองกนทรพยสนดงกลาวจากการแกไข
ดดแปลงขอมล การเปดเผย หรอการทาลาย หรอลบขอมลทง โดยทไมไดรบอนญาต รวมทง
เพอสรางความเชอมนในดานความมนคงปลอดภย ความนาเชอถอ และความสมบรณครบถวน
ของงานจดรวบรวม หรอประมวลผลขอมล นโยบายนกาหนดใหใชกบผใชงานระบบสารสนเทศ
โดยครอบคลมถงการใชทรพยสน และทรพยสนสวนตว ทงหมด
สงทตองรบผดชอบ
เมอผใชงานไดรบรหสประจาตว และชดอปกรณคอมพวเตอรเพอใชงานระบบ
สารสนเทศของบรษทแลว ผนนจะตองรบผดชอบทงสนตอการกระทาใด ๆ ทเกดขนจากการใช
รหสประจาตว และอปกรณคอมพวเตอรนน ๆ รวมถงการดาเนนการใด ๆ ทขดกบนโยบาย
เกยวกบการรกษาความมนคงปลอดภยของระบบสารสนเทศ ทงนหากเปนทรยพสนสวนตว
เจาของทรพยสนสวนตวมหนาทปฏบตตามนโยบายทไดออกไปกอนหนาน
หวขอตอไปนจงเปนเพยงสวนหนงของการปฏบตตามนโยบายดงกลาว ( แตไมจากดวามเพยง
เทาน ) เพอใชยกเปนตวอยางเกยวกบความรบผดชอบของผใชงานระบบสารสนเทศของบรษท
1. ตองศกษา ปฏบตตามและตดตามนโยบาย ระเบยบ และวธปฏบตในการใชงานระบบ
สารสนเทศทบรษทไดกาหนดและประกาศใชอยางเครงครด
2. ตระหนกวากจกรรมใด ๆ ทมสวนเกยวของกบระบบสารสนเทศของบรษทจะตอง
สอดคลองกบนโยบายทกาหนดขน
3. ตระหนกวาการกระทาใด ๆ อนเปนการสรางความเสยหาย เปลยนแปลง หรอรบกวน
ขอมลหรอระบบขอมล เพอไมใหปฏบตการไดอยางเปนปกต ไมวาจะสาเรจหรอไม จะ
ดาเนนการดงกลาวนน ณ สถานทใด หรอเวลาใด ๆ กตาม ถอเปนความผดทงสน
4. ใชระบบสารสนเทศของบรษททเกยวของกบงานของบรษทเทานน
5. ไมใชรหสประจาตวของผอน เพอประโยชนในการใชอปกรณ โปรแกรมคอมพวเตอร
หรอเขาถงขอมลของบคคลอนไมวากรณใด ๆ
6. ไมเปดเผยรหสประจาตวของตนใหแกผอนทราบ หรอมอบใหผอนนาไปใช เพอ
ประโยชนในการใชอปกรณ โปรแกรมคอมพวเตอร หรอเขาถงขอมลของบคคลอนไมวา
กรณใด ๆ
7. ไมใชงานระบบสารสนเทศในทางทขดตอกฏหมาย ประกาศ ระเบยบ ขอบงคบ และ
วธปฏบตของหนวยงานกากบดแลภายนอก
8. การเชอมตออปกรณ หรอทรพยสนสวนตวใด ๆ กบระบบสารสนเทศของบรษท ตอง
ขออนญาต และการเชอมตอตองดาเนนการโดยผดแลระบบสารสนเทศเทานน
9. ไมกระทาเกนขอบเขตอานาจหนาททไดรบมอบหมายในการเปลยนแปลง เปดเผย
ทาซา ลอกเลยบแบบ หรอทาลายขอมล ในระบบสารสนเทศของบรษท
10. ไมคดลอก ลอกเลยนหรอใชประโยชนงานทรพยสนทางปญญาในลกษณะอนเปนการ
ละเมดตอกฏหมายลขสทธ สญญาสทธบตร หรอจรรยาบรรณในการประกอบวชาชพ
11. การกระทาใด ๆ ทเกยวของกบระบบสารสนเทศทไมไดกาหนดวาสามารถดาเนนการใด
การดาเนนการนนตองไดรบการอณมต กอนการดาเนนการทกครง
การใชงานระบบสารสนเทศทวไป
1. ผใชงานมหนาทดแล และรบผดชอบทรพยสนตาง ๆ ของบรษท ทอยในความครอบครอง
ใหมความมนคงปลอดภยและมความใชงานอยเสมอ
2. ผใชงานตองกาหนดรหสผานตามวธการทกาหนด ควรเปลยนรหสผานทนทสาหรบเขา
ระบบงานในครงแรก รวมถงควรเปลยนรหสผานตามเวลาทกาหนดและเกบรกษา
รหสผานไวเปนความลบสวนบคคล รวมถงตองไมเปดเผย หรอทาใหผอ นลวงร หรอ
มอบใหบคคลอนใชงานในทก ๆ กรณ และตองรบผดชอบในทกการกระทาทเกดขนจาก
การใชงานรหสประจาตวทไดรบ
3. ผใชงานตองใหความรวมมอ และอานวยความสะดวกแกผดแลระบบสารสนเทศ ผ
ตรวจสอบทไดรบมอบหมายจากบรษท ในการตรวจสอบขอมล การใชงาน การทางาน
ตาง ๆ ของเครองคอมพวเตอรทตนใชในการดาเนนงาน พรอมทงปฏบตตามคาแนะนา
จากผดแลระบบสารสนเทศ
4. ผใชงานตองไมตดตงโปรแกรมใด ๆ ลงในเครองคอมพวเตอรของบรษท และหาก
จาเปนตองใชงานโปรแกรมเหลานใหทาการตดตอ ขออณญาตใชโปรแกรม และ
ดาเนนการโดยผดแลระบบสารสนเทศ
5. การเชอมตอเครอขายใด ๆ ของบรษท หรอเปดใชงานฟงกชนการสอสารไรสาย ( อาท
เชน Wireless LAN, Bluetooth ) บนอปกรณระบบสารสนเทศทกประเภท ในบรเวณ
พนทสานกงานจะตองไดรบอนญาตการใช และจะตองใชงานภายในบรเวณพนทท
กาหนดเทานน
6. ผใชงานใชสอบนทกขอมลใด ๆ อาทเชน Thumb Drive, Flash Drive, External Media
ตองไดรบอนญาตกอนการใชงาน
7. หามผใชงานนาขอมลทมระดบชนความลบทไมใชขอมลเปดเผยไดออกออกนอกพนท
บรษท โดยไมไดรบอนญาตจากเจาของขอมล (Data Owner)
8. ผใชงานจะตอง Log-off จากระบบสารสนเทศทกครงเมอเสรจสนการใชงานและ เครอง
คอมพวเตอรจะตองไดรบการปกปองดวยรหสผานหรอดวยวธการควบคมอน ๆ ทกครง
เมอไมไดปฏบตหนาทอยท เครองคอมพวเตอรดงกลาว
การใชงาน E-mail และ Internet
1. ผใชงานตองใชงานระบบ Email ของบรษท เพอการตดตอทางดานธรกจของบรษท
เทานน
2. ผใชงานตองไมนา Email อนใด นอกจากของบรษท มาใชในการตดตอทางดานธรกจ
ของบรษท
3. ผใชงานตองตระหนกวาความมนคงปลอดภยของขอมลทจดสงโดยทางอนเตอรเนตเปน
สงทอยเหนอการควบคม ขอมลทสงผานระบบอนเตอรเนตอาจจะลาชาหรอไมถงผรบ
ปลายทาง โดยอาจมเหตจากระบบสอสาร สภาพแวดลอมภายนอก การโจมตเครอขาย
หรอจากไวรส ดงนนจงตองใชอยางระมดระวง
4. ผใชงานตองไมนา Email address ของบรษท ในการสมครจดหมายขาวหรอใหขอมล
กบ Website, Blog หรอ Webboard หรอระบบอน ๆ ทไมเกยวของกบการทางาน
เพอปองกนผไมประสงคดนา Email address ดงกลาวโจมตระบบสารสนเทศของ
บรษท
5. ผใชงานตองใชงานระบบ Email ดวยความระมดระวงในการสง หรอสงตอ (Forward)
ทไมเหมาะสม เชน สงขอมลไปยงผรบจานวนมาก หรอในลกษณะลกโซ เพราะจะ
เปนการทาใหกระทบตอประสทธภาพโดยรวมของระบบสารสนเทศของบรษท
6. ผใชงานจะตองไมทาการแลกเปลยน สง หรอสงตอ (Forward) Email ทมเนอหาหรอ
ไฟลแนบทไมเหมาะสม เชน ไฟลรปทเปนภาพลามกอนาจาร หรอไฟลทละเมด
ลขสทธของผอน หรอเนอหาทกอใหผอ นเดอดรอน ไดรบความเสยหาย หรอกระทบ
ตอความมนคงภายใน เปนตน
7. ผใชงานตองไมเปดอาน หรอเปดเอกสารแนบจาก E-mail ทไมสามารถระบผสง
หรอไมทราบแหลงทมาของ E-mail ซงอาจเปนอนตรายตอระบบสารสนเทศของบรษท
บทลงโทษและการบงคบใช
ความผด
ผใชงานทฝาฝนหรอละเวนการปฏบตตามเงอนไขนโยบายเกยวกบการรกษาความ
มนคงปลอกภยระบบสารสนเทศตามเอกสารฉบบน แมวาการฝาฝนหรอการละเวนนนจะกระทา
การสาเรจหรอไม ใหถอวามความผดโดยสมบรณ
การลงโทษ
ผกระทาความผดตามนโยบายเกยวกบการรกษาความมนคง ปลอดภยระบบสารสนเทศ
ของบรษท จะถกลงโทษทางวนย ตามระเบยบขอบงคบการทางานของบรษท หากการกระทา
ดงกลาวเปนความผดตามพระราชบญญตวาดวยการกระทาผดเกยวกบคอมพวเตอร พ.ศ.
2550 หรอกฏหมายอนทเกยวของ ยงตองถกดาเนนคดตามกฏหมาย
ขอบงคบใช
หนงสอยนยอมรบเงอนไขเกยวกบนโยบายเกยวกบการรกษาความมนคง ปลอดภย
ระบบสารสนเทศฉบบน มผลบงคบใชตงแต วนท 10 พฤษภาคม 2554 เปนตนไป โดยผบรหาร
ของบรษท ทกระดบในฐานะผบงคบบญชา มหนาทในการควบคมผใตบงคบบญชา ใหปฏบต
ตามเงอนไขนโยบายเกยวกบการรกษาความมนคง ปลอดภยระบบสารสนเทศของบรษทอยาง
เครงครด หากพบวาผใชงานภายใตการควบคมไดกระทาความผด ผบงคบบญชามหนาท
ดาเนนการตามกฏระเบยบขอบงคบของบรษท การละเวนการปฏบตหนาทถอเปนความผด
เชนเดยวกบผกระทาผด