ETWORK MANAGEMENT A D SECURITY DEZIGN

ETWORK MANAGEMENT A D SECURITY DEZIGN ETWORK MANAGEMENT A D SECURITY DEZIGNN

บทท�� 8 การบร�หารเคร�อข่�ายและการออกแบบระบบร�กษา

ความปลอดภั�ย

บทท�� 8 การบร�หารเคร�อข่�ายและการออกแบบระบบร�กษา

ความปลอดภั�ยการออกแบบระบบร�กษาความปลอดภั�ยและ

การบร�หารระบบเคร�อข่�ายนั้��นั้ จะเก��ยวข่�องก�บมนั้!ษย"เป#นั้ส่�วนั้ใหญ่� เนั้��องจากความปลอดภั�ยข่องระบบ

เคร�อข่�ายไม�เป#นั้ระบบอ�ตโนั้ม�ต� จะต�องอาศั�ยมนั้!ษย"เป#นั้ผู้,�ตรวจส่อบ และออกแบบมาตรการการร�กษา

ความปลอดภั�ย และในั้ทางตรงก�นั้ข่�ามมนั้!ษย"ก-เป#นั้ผู้,�หย!ดระบบร�กษาความปลอดภั�ยได�ด�วย โดยส่�งเกตในั้

กรณี�ท��ม�การเจาะระบบร�กษาความปลอดภั�ย หร�อกรณี�ท��เก�ดความเส่�ยหายข่/�นั้ในั้ระบบ หร�อข่�อม,ลข่ององค"กรร��วไหลไปย�งผู้,�อ��นั้ เหต!การณี"เหล�านั้��ล�วนั้แต�

เป#นั้ฝี1ม�อข่องมนั้!ษย"ท��งส่��นั้ ด�งนั้��นั้ จ/งควรตระหนั้�กถึ/งทร�พยากรมนั้!ษย"ซึ่/�งถึ�อเป#นั้ส่��งส่5าค�ญ่มากท��ส่!ด

การออกแบบระบบร�กษาความปลอดภั�ยและการบร�หารระบบเคร�อข่�ายนั้��นั้ จะเก��ยวข่�องก�บมนั้!ษย"

เป#นั้ส่�วนั้ใหญ่� เนั้��องจากความปลอดภั�ยข่องระบบเคร�อข่�ายไม�เป#นั้ระบบอ�ตโนั้ม�ต� จะต�องอาศั�ยมนั้!ษย"เป#นั้ผู้,�ตรวจส่อบ และออกแบบมาตรการการร�กษา

ความปลอดภั�ย และในั้ทางตรงก�นั้ข่�ามมนั้!ษย"ก-เป#นั้ผู้,�หย!ดระบบร�กษาความปลอดภั�ยได�ด�วย โดยส่�งเกตในั้

กรณี�ท��ม�การเจาะระบบร�กษาความปลอดภั�ย หร�อกรณี�ท��เก�ดความเส่�ยหายข่/�นั้ในั้ระบบ หร�อข่�อม,ลข่ององค"กรร��วไหลไปย�งผู้,�อ��นั้ เหต!การณี"เหล�านั้��ล�วนั้แต�

เป#นั้ฝี1ม�อข่องมนั้!ษย"ท��งส่��นั้ ด�งนั้��นั้ จ/งควรตระหนั้�กถึ/งทร�พยากรมนั้!ษย"ซึ่/�งถึ�อเป#นั้ส่��งส่5าค�ญ่มากท��ส่!ด

8.1 การออกแบบระบบโดยรวมและการบร�หารระบบเคร�อข่�าย8.1 การออกแบบระบบโดยรวมและการบร�หารระบบเคร�อ

ข่�าย

8.1 การออกแบบระบบโดยรวมและการบร�หารระบบเคร�อข่�าย8.1 การออกแบบระบบโดยรวมและการบร�หารระบบเคร�อ

ข่�ายผู้,�ด,แลระบบข่ององค"กรจะเป#นั้ท��ม�บทบาท

ส่5าค�ญ่ในั้การออกแบบระบบร�กษาความปลอดภั�ยด�งกล�าวเป#นั้อย�างมาก ผู้,�ด,แลระบบต�องประส่านั้งานั้ระหว�างผู้,�ท��ใช้�งานั้ท��วไปซึ่/�งม�กประส่บป7ญ่หาในั้การใช้�งานั้ระบบเคร�อข่�าย รวมถึ/งป7ญ่หาการร�กษาความปลอดภั�ยด�วย และประส่านั้งานั้ก�บผู้,�บ�งค�บบ�ญ่ช้าซึ่/�งทราบแต�เพ�ยงว�าจะม�ประโยช้นั้"อะไรบ�าง หร�อ ต�องลงท!นั้เท�าใด ซึ่/�งการจะออกแบบระบบโดยรวมท��งหมด จะต�องม�การว�เคราะห"ส่��งต�างๆด�งนั้�� (Russell & Gangemi , 1991)

ผู้,�ด,แลระบบข่ององค"กรจะเป#นั้ท��ม�บทบาทส่5าค�ญ่ในั้การออกแบบระบบร�กษาความปลอดภั�ยด�งกล�าวเป#นั้อย�างมาก ผู้,�ด,แลระบบต�องประส่านั้งานั้ระหว�างผู้,�ท��ใช้�งานั้ท��วไปซึ่/�งม�กประส่บป7ญ่หาในั้การใช้�งานั้ระบบเคร�อข่�าย รวมถึ/งป7ญ่หาการร�กษาความปลอดภั�ยด�วย และประส่านั้งานั้ก�บผู้,�บ�งค�บบ�ญ่ช้าซึ่/�งทราบแต�เพ�ยงว�าจะม�ประโยช้นั้"อะไรบ�าง หร�อ ต�องลงท!นั้เท�าใด ซึ่/�งการจะออกแบบระบบโดยรวมท��งหมด จะต�องม�การว�เคราะห"ส่��งต�างๆด�งนั้�� (Russell & Gangemi , 1991)

8.1.1 ว�เคราะห"งบประมาณีและความเส่��ยง8.1.1 ว�เคราะห"งบประมาณีและความเส่��ยง

ความปลอดภั�ยข่องระบบคอมพ�วเตอร"และเคร�อข่�ายเป#นั้เร��องข่องการใช้�งบประมาณีเพ��อร�กษาด!ล ค�อจะต�องว�เคราะห"ถึ/งความค!�มค�าในั้การลงท!นั้ด�วย ด�งต�วอย�างด�งตารางท�� 8.1

Item Amount

Access to unauthorized data and programs

$2,000

Unauthorized Use of Computing Facilities

$4,000

Expected Annual Loss $6,000

Effective use of Network Control

$8,000

ตารางท�� 81. แส่ดงความเส่�ยหายท��เก�ดข่/�นั้ต�อป1จากการบ!กร!กเข่�ามาในั้ Network

ตารางท�� 8.2 แส่ดงการเปร�ยบเท�ยบการลงท!นั้เพ��อร�กษา ความปลอดภั�ยข่องเคร�อข่�ายระยะ 5 ป1

ตารางท�� 8.2 แส่ดงการเปร�ยบเท�ยบการลงท!นั้เพ��อร�กษา ความปลอดภั�ยข่องเคร�อข่�ายระยะ 5 ป1

Control Cost Amount

Hardware ($50,000/5 years)

+$10,000/year

Software ($20,000/5 years)

+$4,000/year

Support Personnel (Per year)

+$40,000/year

Annual Cost $54,000/year

Expected Annual Loss : $6,000 - $6,000 + $54,000

$54,000/year

Saving : $6,000 – 54,000

-$48,000/year

จากตาราง 81. และ 82 แส่ดงต�วอย�างการว�เคราะห"พบว�าการลงท!นั้ในั้การซึ่��อระบบ Hardware และ Software มาใช้�ในั้องค"กรไม�ค!�มค�า

เทคนั้�คในั้การว�เคราะห"ระบบ (Techniques for Risk Assessment and Analysis)

เทคนั้�คในั้การว�เคราะห"ระบบ (Techniques for Risk Assessment and Analysis) 1. การตรวจส่อบระบบเบ��องต�นั้ (Identify Assets)

ส่��งต�างๆในั้ระบบคอมพ�วเตอร"ท��งไปท��ต�องตรวจส่อบ ม�ด�งตารางท��83

ตารางท�� 8.3 แส่ดงส่��งต�างๆในั้ระบบคอมพ�วเตอร"ท��งไปท��ต�องตรวจส่อบ

ตารางท�� 8.3 แส่ดงส่��งต�างๆในั้ระบบคอมพ�วเตอร"ท��งไปท��ต�องตรวจส่อบ

Hardware

Software

Data People Documentation

Supplies

CentralProcessorBoards

SourceProgramObjectPrograms

Data forExecutionsStored DataOn MagneticTapes

OperatorSystemEngineers

ProgramsManualsHardwareManuals

PapersForms

Key Boards

PurchasePrograms

Printed Data

Users SystemManuals

LaserCartridges

Monitors

UtilityPrograms

Archive Data

Programmers

AdministrativeProcedures

MagneticMedia

Terminal

OperatingSystems

Update Logs

Guest Users

User Manuals

Printer Fluid

Microcomputer

SystemsPrograms

AuditRecords

Remote Log –In Users

Etc.. Etc..

Workstation

MaintenancePrograms

Etc.. MaintenanceEngineers

Hardware

Software

Data People Documentation

Supplies

Tape Drivers

DiagnosticPrograms

Etc..

PrintersDisk DriversCablesConnectionsCommunicationDevices

Etc..

ตารางท�� 8.3 แส่ดงส่��งต�างๆในั้ระบบคอมพ�วเตอร" ท��งไปท��ต�องตรวจส่อบ (ต�อ)

ตารางท�� 8.3 แส่ดงส่��งต�างๆในั้ระบบคอมพ�วเตอร" ท��งไปท��ต�องตรวจส่อบ (ต�อ)

2. การส่5ารวจหาจ!ดอ�อนั้ข่องส่��งต�างๆในั้ระบบ (Identify Vulnerabilities)2. การส่5ารวจหาจ!ดอ�อนั้ข่องส่��งต�างๆในั้ระบบ (Identify Vulnerabilities)

หล�งจากส่5ารวจเบ��องต�นั้แล�ว ข่��นั้ตอนั้ต�อไปค�อส่5ารวจด,ส่��งท��เป#นั้อ�นั้ตรายจากภั�ยค!กคามต�างๆโดยจะต�องตอบค5าถึามต�อไปนั้��ได�ค�อ

21. ผู้ลข่องความเส่�ยหายท��อาจเก�ดจากความไม�ต��งใจข่องผู้,�ใช้� (Unintentional Errors)

22. ผู้ลข่องความเส่�ยหายท��อาจเก�ดจากผู้,�ไม�ประส่งค"ด�ท��อย,�ในั้ระบบแล�ว (Malicious Insiders)

23 ผู้ลข่องความเส่�ยหายท��อาจเก�ดจากผู้,�ไม�ประส่งค"ด�ท��แอบเข่�ามาในั้ระบบแล�ว (Malicious Outsiders)

24 ผู้ลข่องความเส่�ยหายท��อาจเก�ดจากภั�ยทางธรรมช้าต� เช้�นั้ ไฟไหม� นั้5�าท�วม เป#นั้ต�นั้

ตารางท��8.4แส่ดงการส่5ารวจป7จจ�ยท��เส่��ยงต�อภั�ยค!มคามตารางท��8.4แส่ดงการส่5ารวจป7จจ�ยท��เส่��ยงต�อภั�ยค!มคาม

Asset Secrecy Infegrity Availability

Hardware OverloadedDestroyedTampered With

FailedStolenDestroyedUnavailable

Software StolenCopiedPirated

Trojan HorsesModifiedTampered With

DeletedMisplacedUsage Expired

Data DisclosedAccessed By OutsidersInferred

Damage1. Software Error2. Hardware Error3. User Error

DeleteMisplacedDestroyd

Asset Secrecy Integrity Availability

People QuitRrtriedTerminetedOn Vacation

Documentation

LostStolenDestroyed

Supplies LostStolenDamaged

ตารางท��8.4 แส่ดงการส่5ารวจป7จจ�ยท��เส่��ยงต�อภั�ยค!มคาม (ต�อ)ตารางท��8.4 แส่ดงการส่5ารวจป7จจ�ยท��เส่��ยงต�อภั�ยค!มคาม (ต�อ)

ท��งนั้��การว�เคราะห"ต�องส่ามารถึตอบค5าถึามต�อไปนั้��ได�ค�อท��งนั้��การว�เคราะห"ต�องส่ามารถึตอบค5าถึามต�อไปนั้��ได�ค�อ

1. ม�ส่ารส่นั้เทศัใดท��องค"กรใช้�อย,�และม�ความส่5าค�ญ่เท�าใด

ส่ารส่นั้เทศัจะแบ�งได�เป#นั้หลายช้นั้�ดด�วยก�นั้ ข่/�นั้อย,�ก�บความส่5าค�ญ่ด�วย เช้�นั้ ข่�อม,ลระด�บประเทศั ข่�อม,ลทางการทหาร ข่�อม,ลด�านั้ธ!รก�จ เป#นั้ต�นั้2. ส่ารส่นั้เทศัม�จ!ดอ�อนั้หร�อจ!ดร��วไหลจากทางใดได�บ�าง

เอกส่ารม�ความส่5าค�ญ่ต�างๆ ก�นั้ บางช้นั้�ดส่5าค�ญ่มากส่5าหร�บองค"กร แต�ไม�ม�ความส่5าค�ญ่ก�บบ!คคลใดบ!คคลหนั้/�งเลยก-ได� ในั้บางคร��งการให�ความส่5าค�ญ่ก�บส่ารส่นั้เทศัข่อตนั้เองมากเก�นั้ไปอาจเป#นั้การจ!ดประกายให�เหล�าผู้,�ไม�ประส่งค"ด�ก�บองค"กรต�องการข่โมยส่ารส่นั้เทศันั้��ได�

1. ม�ส่ารส่นั้เทศัใดท��องค"กรใช้�อย,�และม�ความส่5าค�ญ่เท�าใด

ส่ารส่นั้เทศัจะแบ�งได�เป#นั้หลายช้นั้�ดด�วยก�นั้ ข่/�นั้อย,�ก�บความส่5าค�ญ่ด�วย เช้�นั้ ข่�อม,ลระด�บประเทศั ข่�อม,ลทางการทหาร ข่�อม,ลด�านั้ธ!รก�จ เป#นั้ต�นั้2. ส่ารส่นั้เทศัม�จ!ดอ�อนั้หร�อจ!ดร��วไหลจากทางใดได�บ�าง

เอกส่ารม�ความส่5าค�ญ่ต�างๆ ก�นั้ บางช้นั้�ดส่5าค�ญ่มากส่5าหร�บองค"กร แต�ไม�ม�ความส่5าค�ญ่ก�บบ!คคลใดบ!คคลหนั้/�งเลยก-ได� ในั้บางคร��งการให�ความส่5าค�ญ่ก�บส่ารส่นั้เทศัข่อตนั้เองมากเก�นั้ไปอาจเป#นั้การจ!ดประกายให�เหล�าผู้,�ไม�ประส่งค"ด�ก�บองค"กรต�องการข่โมยส่ารส่นั้เทศันั้��ได�

3. ส่ารส่นั้เทศันั้��นั้ม�ความส่5าค�ญ่อย�างไรเม��อส่,ญ่หายหร�อเม��อม�การป;องก�นั้

ส่ารส่นั้เทศับางอย�างไม�ส่ามารถึจะส่,ญ่หายหร�อถึ,กข่โมยได� ซึ่/�งเป#นั้ส่ารส่นั้เทศัท��ส่5าค�ญ่เป#นั้อย�างมาก เช้�นั้ ข่�อม,ลทางบ�ตรเอท�เอ-มข่องบ!คคลใดบ!คคลหนั้/�ง ข่�อม,ลส่5าค�ญ่ทางด�านั้การทหาร เป#นั้ต�นั้ ด�งนั้��นั้ จ/งควรด,ว�าประเภัทข่องส่ารส่นั้เทศัในั้องค"กรตนั้ม�ความส่5าค�ญ่เพ�ยงใด การปล�อยให�ส่,ญ่หายหร�อถึ,กข่โมยม�ผู้ลต�อองค"กรมากหร�อไม�4. อะไรค�อค�าใช้�จ�ายในั้การลงท!นั้ด�านั้การร�กษาความปลอดภั�ยข่องส่ารส่นั้เทศั ค�าใช้�จ�ายในั้ด�านั้การร�กษาความปลอดภั�ยได�แก� การส่5ารองข่�อม,ล การป;องก�นั้ภั�ยจากไฟไหม�แผู้�นั้ด�นั้ไหว นั้5�าท�วม ความผู้�ดพลาดท��เก�ดจากการใช้�งานั้ข่องผู้,�ใช้� นั้อกจากนั้��ย�งต�องค5านั้/งถึ/งความส่ะดวกรวดเร-วในั้การใช้�งานั้ด�วย

3. ส่ารส่นั้เทศันั้��นั้ม�ความส่5าค�ญ่อย�างไรเม��อส่,ญ่หายหร�อเม��อม�การป;องก�นั้

ส่ารส่นั้เทศับางอย�างไม�ส่ามารถึจะส่,ญ่หายหร�อถึ,กข่โมยได� ซึ่/�งเป#นั้ส่ารส่นั้เทศัท��ส่5าค�ญ่เป#นั้อย�างมาก เช้�นั้ ข่�อม,ลทางบ�ตรเอท�เอ-มข่องบ!คคลใดบ!คคลหนั้/�ง ข่�อม,ลส่5าค�ญ่ทางด�านั้การทหาร เป#นั้ต�นั้ ด�งนั้��นั้ จ/งควรด,ว�าประเภัทข่องส่ารส่นั้เทศัในั้องค"กรตนั้ม�ความส่5าค�ญ่เพ�ยงใด การปล�อยให�ส่,ญ่หายหร�อถึ,กข่โมยม�ผู้ลต�อองค"กรมากหร�อไม�4. อะไรค�อค�าใช้�จ�ายในั้การลงท!นั้ด�านั้การร�กษาความปลอดภั�ยข่องส่ารส่นั้เทศั ค�าใช้�จ�ายในั้ด�านั้การร�กษาความปลอดภั�ยได�แก� การส่5ารองข่�อม,ล การป;องก�นั้ภั�ยจากไฟไหม�แผู้�นั้ด�นั้ไหว นั้5�าท�วม ความผู้�ดพลาดท��เก�ดจากการใช้�งานั้ข่องผู้,�ใช้� นั้อกจากนั้��ย�งต�องค5านั้/งถึ/งความส่ะดวกรวดเร-วในั้การใช้�งานั้ด�วย

8.1.2 การวางแผู้นั้ป;องก�นั้ภั�ยอ�นั้เก�ดจากธรรมช้าต�8.1.2 การวางแผู้นั้ป;องก�นั้ภั�ยอ�นั้เก�ดจากธรรมช้าต�

การวางแผู้นั้ป;องก�นั้ภั�ยอ�นั้เก�ดจากธรรมช้าต� (DISATER RECOVERY PLANNING : DRP ) หากพ,ดก�นั้ในั้เช้�งธ!รก�จอาจใช้�ค5าว�า (BUSINESS CONTINUITY PLANNING : BCP ) ซึ่/�งเร��องข่อง BCP และ DRP นั้�บว�นั้จะย��งม�ความส่5าค�ญ่มากข่/�นั้เร��อยๆ จากเด�มท��เคยอย,�ในั้วงการธนั้าคารหร�อวงการไฟแนั้นั้ท"พวกเง�นั้ท!นั้หล�กทร�พย"ต�างๆ ตลอดจนั้ศั,นั้ย"คอมพ�วเตอร"ข่องค"กรต�างๆ ป7จจ!บ�นั้กลายเป#นั้เร��องท��ท!กองค"กรท��ม�ไฟล"เซึ่�ร"ฟเวอร" แอพพล�เคช้��นั้เซึ่�ร"ฟเวอร" หร�อ ดาต�าเบส่เซึ่�ร"ฟเวอร" ต�องให�ความส่5าค�ญ่ก�บเร��องนั้��

การวางแผู้นั้ป;องก�นั้ภั�ยอ�นั้เก�ดจากธรรมช้าต� (DISATER RECOVERY PLANNING : DRP ) หากพ,ดก�นั้ในั้เช้�งธ!รก�จอาจใช้�ค5าว�า (BUSINESS CONTINUITY PLANNING : BCP ) ซึ่/�งเร��องข่อง BCP และ DRP นั้�บว�นั้จะย��งม�ความส่5าค�ญ่มากข่/�นั้เร��อยๆ จากเด�มท��เคยอย,�ในั้วงการธนั้าคารหร�อวงการไฟแนั้นั้ท"พวกเง�นั้ท!นั้หล�กทร�พย"ต�างๆ ตลอดจนั้ศั,นั้ย"คอมพ�วเตอร"ข่องค"กรต�างๆ ป7จจ!บ�นั้กลายเป#นั้เร��องท��ท!กองค"กรท��ม�ไฟล"เซึ่�ร"ฟเวอร" แอพพล�เคช้��นั้เซึ่�ร"ฟเวอร" หร�อ ดาต�าเบส่เซึ่�ร"ฟเวอร" ต�องให�ความส่5าค�ญ่ก�บเร��องนั้��

ส่�วนั้ BCP ค�อแผู้นั้ท��จะท5าให�ธ!รก�จด5าเนั้�นั้ต�อไปได�แม�อย,�ในั้ส่ถึานั้การณี"ค�บข่�นั้ ข่��นั้ตอนั้แรกข่อง BCP หร�อ DRP ก-ค�อ เราต�องประเม�นั้ความเส่��ยง ให�ก�บระบบบข่องเรา โดยส่5ารวจท��มาข่อง Threat ต�างๆ ท��งภัายในั้และภัายนั้อก แล�วแบ�งแยกเป#นั้ Primary Threat และ Secondary Threat จากนั้��นั้ต�องหาว�ธ�ท��จะท5าอย�างไร ท��จะลดความเส่��ยงให�นั้�อยท��ส่!ดเท�าท��จะท5าได�

ส่�วนั้ BCP ค�อแผู้นั้ท��จะท5าให�ธ!รก�จด5าเนั้�นั้ต�อไปได�แม�อย,�ในั้ส่ถึานั้การณี"ค�บข่�นั้ ข่��นั้ตอนั้แรกข่อง BCP หร�อ DRP ก-ค�อ เราต�องประเม�นั้ความเส่��ยง ให�ก�บระบบบข่องเรา โดยส่5ารวจท��มาข่อง Threat ต�างๆ ท��งภัายในั้และภัายนั้อก แล�วแบ�งแยกเป#นั้ Primary Threat และ Secondary Threat จากนั้��นั้ต�องหาว�ธ�ท��จะท5าอย�างไร ท��จะลดความเส่��ยงให�นั้�อยท��ส่!ดเท�าท��จะท5าได�

เนั้��องจากธ!รก�จ หร�อธ!รกรรมต�างๆ ต�องพ/�งกาอาศั�ยเทคโนั้โลย�ส่ารส่นั้เทศัแทบท��งส่��นั้ ข่�อม,ลท!กอย�างล�วนั้ถึ,ก Digitized เก-บ เป#นั้ร,ปแบบล�กษณีะเช้�งเลข่ Binary ท��ม�แต� 0 ก�บ 1 ในั้อนั้าคตเราต�องฝีากความหว�งไว�ก�บ High-End Storage และระบบ Clustered Server ท��ค�อนั้ข่�างจะเช้��อถึ�อได� และม� Availability ให�ก�บเราเส่มอ แต�ในั้ความเป#นั้จร�งแล�ว ไม�ม�ระบบใด ไม�ม�การล�ม หร�อหย!ดท5างานั้ เนั้��องจากท!กว�นั้นั้�� ต�องยอมร�บว�าม�ภั�ย (Threat ) ท��งภัายในั้ และภัายนั้อก ท��จะท5าให�ระบบข่องเราต�องหย!ดท5างานั้

เนั้��องจากธ!รก�จ หร�อธ!รกรรมต�างๆ ต�องพ/�งกาอาศั�ยเทคโนั้โลย�ส่ารส่นั้เทศัแทบท��งส่��นั้ ข่�อม,ลท!กอย�างล�วนั้ถึ,ก Digitized เก-บ เป#นั้ร,ปแบบล�กษณีะเช้�งเลข่ Binary ท��ม�แต� 0 ก�บ 1 ในั้อนั้าคตเราต�องฝีากความหว�งไว�ก�บ High-End Storage และระบบ Clustered Server ท��ค�อนั้ข่�างจะเช้��อถึ�อได� และม� Availability ให�ก�บเราเส่มอ แต�ในั้ความเป#นั้จร�งแล�ว ไม�ม�ระบบใด ไม�ม�การล�ม หร�อหย!ดท5างานั้ เนั้��องจากท!กว�นั้นั้�� ต�องยอมร�บว�าม�ภั�ย (Threat ) ท��งภัายในั้ และภัายนั้อก ท��จะท5าให�ระบบข่องเราต�องหย!ดท5างานั้

การประเม�นั้ผู้ลกระทบก�บธ!รก�จหากม� DISASTER เก�ดข่/�นั้ (BUSINESS IMPACT ASESSMENT : BIA ) ค�อการเตร�ยมแผู้นั้เพ��อร�บส่ถึานั้การณี"ภั�ยธรรมช้าต� และป;องก�นั้ ม�ให�ม�ผู้ลกระทบก�บองค"กร ความแตกต�างจาก NON-DISASTER กล�าวค�อ NON-DISASTER เป#นั้การท��ระบบหย!ดท5างานั้ เนั้��องจาก ความผู้�ดพลาดบางประการข่องระบบเองโดยม�ผู้ลกระทบก�บระบบบางส่�วนั้เราต�องม�การเตร�ยมการร�บเหต!การณี" เพ��อให�ระบบข่องเราส่ามารถึหย!ดท5างานั้ต�อไปได�โดยไม�ส่ะด!ด แต� DISATER ต�วอย�างเช้�นั้ ไฟไหม� หร�อนั้5�าท�วม นั้��นั้ท5าให�ระบบข่องเรา หย!ดท5างานั้ไปท��งระบบ และ เป#นั้ระยะเวลานั้านั้ซึ่/�งอาจต�องใช้� OPERATION PROCESSING FACILTY ส่5ารอง แทนั้ระบบจร�งท��ย�งไม�ส่ามารถึใช้�งานั้ได� ซึ่/�งข่/�นั้ก�บงบประมาณี และล�กษณีะองค"กรว�าจะเล�อกใช้�ว�ธ�ไหนั้

การประเม�นั้ผู้ลกระทบก�บธ!รก�จหากม� DISASTER เก�ดข่/�นั้ (BUSINESS IMPACT ASESSMENT : BIA ) ค�อการเตร�ยมแผู้นั้เพ��อร�บส่ถึานั้การณี"ภั�ยธรรมช้าต� และป;องก�นั้ ม�ให�ม�ผู้ลกระทบก�บองค"กร ความแตกต�างจาก NON-DISASTER กล�าวค�อ NON-DISASTER เป#นั้การท��ระบบหย!ดท5างานั้ เนั้��องจาก ความผู้�ดพลาดบางประการข่องระบบเองโดยม�ผู้ลกระทบก�บระบบบางส่�วนั้เราต�องม�การเตร�ยมการร�บเหต!การณี" เพ��อให�ระบบข่องเราส่ามารถึหย!ดท5างานั้ต�อไปได�โดยไม�ส่ะด!ด แต� DISATER ต�วอย�างเช้�นั้ ไฟไหม� หร�อนั้5�าท�วม นั้��นั้ท5าให�ระบบข่องเรา หย!ดท5างานั้ไปท��งระบบ และ เป#นั้ระยะเวลานั้านั้ซึ่/�งอาจต�องใช้� OPERATION PROCESSING FACILTY ส่5ารอง แทนั้ระบบจร�งท��ย�งไม�ส่ามารถึใช้�งานั้ได� ซึ่/�งข่/�นั้ก�บงบประมาณี และล�กษณีะองค"กรว�าจะเล�อกใช้�ว�ธ�ไหนั้

DISATER PECOVERY PLANNING เป#นั้การวางแผู้นั้ท��จะต�องเตร�ยมไว�ในั้การก,�ระบบในั้กรณี�ท��ระบบล�ม (System Down) โดยรายละเอ�ยดจะกล�าวถึ/ง Emergency Response Procedure, Extended Backup Operation, Restoring Coomputing Faclities นั้อกจากเร��องข่อง Hot Site/Cold Site แล�วควรศั/กษาอ�ก 3 เร��อง ได�แก� Electronic Vaulting , Mirror Processing และ HSM ซึ่/�งก-เป#นั้ทางเล�อกในั้การ Backup ระบบเช้�นั้ก�นั้ ส่5าหร�บความเส่�ยหายอาจเก�ดได�จากส่าเหต!ต�อไปนั้��

DISATER PECOVERY PLANNING เป#นั้การวางแผู้นั้ท��จะต�องเตร�ยมไว�ในั้การก,�ระบบในั้กรณี�ท��ระบบล�ม (System Down) โดยรายละเอ�ยดจะกล�าวถึ/ง Emergency Response Procedure, Extended Backup Operation, Restoring Coomputing Faclities นั้อกจากเร��องข่อง Hot Site/Cold Site แล�วควรศั/กษาอ�ก 3 เร��อง ได�แก� Electronic Vaulting , Mirror Processing และ HSM ซึ่/�งก-เป#นั้ทางเล�อกในั้การ Backup ระบบเช้�นั้ก�นั้ ส่5าหร�บความเส่�ยหายอาจเก�ดได�จากส่าเหต!ต�อไปนั้��

8.1.2.1 ความเส่�ยหารจากบ!คลไม�ประส่งค"ด� ได�แก� - การท5าลายระบบ - การเข่�ามาใช้�โดยไม�ได�ร�บอนั้!ญ่าต8.1.2.2 ภั�ยธรรมช้าต� ได�แก�

- นั้5�าท�วม- ไฟไหม�

8.1.2.1 ความเส่�ยหารจากบ!คลไม�ประส่งค"ด� ได�แก� - การท5าลายระบบ - การเข่�ามาใช้�โดยไม�ได�ร�บอนั้!ญ่าต8.1.2.2 ภั�ยธรรมช้าต� ได�แก�

- นั้5�าท�วม- ไฟไหม�

8.1.2.3 ภั�ยจากระบบไฟฟ;าเส่�ยหาย(Power Losses ) เก�ดจากระบบส่�งไฟฟ;า เช้�นั้ ไฟเก�นั้ ไฟกระช้าก ไฟตก เป#นั้ต�นั้ ส่ามารถึป;องก�นั้ได�โดย

8.1.2.3 ภั�ยจากระบบไฟฟ;าเส่�ยหาย(Power Losses ) เก�ดจากระบบส่�งไฟฟ;า เช้�นั้ ไฟเก�นั้ ไฟกระช้าก ไฟตก เป#นั้ต�นั้ ส่ามารถึป;องก�นั้ได�โดยใช้�อ!ปกรณี"ส่5ารองไฟ (Uninterrupt Power Supplies : UPS ) ซึ่/�งส่ามารถึส่5ารองไฟได�ในั้ระยะเวลาหนั้/�ง อย�างนั้�อย 10 – 15 นั้าท� นั้านั้เพ�ยงพอท��จะป=ดเคร��อง หร�อบ�นั้ท/กข่�อม,ลได�ท�นั้เวลา และจะท5างานั้เป#นั้อ�ตโนั้ม�ต�เม��อไฟฟ;าด�บ หร�อไฟฟ;าจ�ายกระแส่ไม�เต-มท�� เช้�นั้ ไฟตก หร�อไฟฟ;าจ�ายกระแส่เก�นั้ หร�อ ไฟฟ;ากระช้าก ซึ่/�งอ!ปกรณี"ด�งกล�าวจะช้�วยปร�บแรงด�นั้ไฟให�เป#นั้อ�ตโนั้ม�ต�ข่/�นั้ด�วย

ใช้� Surge Suppressor หร�อ Stabilizer ม�หนั้�าท��ป;องก�นั้ความเส่�ยหายจากระบบการจ�ายก5าล�งท��ไม�ส่ม5�าเส่มอ เช้�นั้ ไฟกระช้าก ไฟตก ไฟเก�นั้ ซึ่/�งจะปร�บแรงด�นั้ไฟฟ;าให�คงท��ตลอดเวลา แต�ข่�อจ5าก�ดข่องอ!ปกรณี"ด�งกล�าวค�อ ไม�ส่5ารองไฟฟ;าเม��อไฟฟ;าด�บ จะท5าให�หย!ดการท5างานั้ลงได�

ใช้�อ!ปกรณี"ส่5ารองไฟ (Uninterrupt Power Supplies : UPS ) ซึ่/�งส่ามารถึส่5ารองไฟได�ในั้ระยะเวลาหนั้/�ง อย�างนั้�อย 10 – 15 นั้าท� นั้านั้เพ�ยงพอท��จะป=ดเคร��อง หร�อบ�นั้ท/กข่�อม,ลได�ท�นั้เวลา และจะท5างานั้เป#นั้อ�ตโนั้ม�ต�เม��อไฟฟ;าด�บ หร�อไฟฟ;าจ�ายกระแส่ไม�เต-มท�� เช้�นั้ ไฟตก หร�อไฟฟ;าจ�ายกระแส่เก�นั้ หร�อ ไฟฟ;ากระช้าก ซึ่/�งอ!ปกรณี"ด�งกล�าวจะช้�วยปร�บแรงด�นั้ไฟให�เป#นั้อ�ตโนั้ม�ต�ข่/�นั้ด�วย

ใช้� Surge Suppressor หร�อ Stabilizer ม�หนั้�าท��ป;องก�นั้ความเส่�ยหายจากระบบการจ�ายก5าล�งท��ไม�ส่ม5�าเส่มอ เช้�นั้ ไฟกระช้าก ไฟตก ไฟเก�นั้ ซึ่/�งจะปร�บแรงด�นั้ไฟฟ;าให�คงท��ตลอดเวลา แต�ข่�อจ5าก�ดข่องอ!ปกรณี"ด�งกล�าวค�อ ไม�ส่5ารองไฟฟ;าเม��อไฟฟ;าด�บ จะท5าให�หย!ดการท5างานั้ลงได�

8.1.2.4 ภั�ยจากความร�อนั้ (Heat ) ซึ่/�งอาจป;องก�นั้ได�โดยใช้�ระบบท5าความเย-นั้ (Air Conditioning)เข่�าช้�วย

8125. . . ภั�ยจากการท5าลายข่�อม,ลความล�บท��หละหลวม (Disposal of Sensitive Media ) เช้�นั้ ระบบการท5าลายเอกส่ารล�บท��พ�มพ"จากระบบคอมพ�วเตอร" หร�อข่�อส่อบต�างๆซึ่/�งส่�งเกตจากหนั้�วยงานั้ทางราช้การส่�วนั้ใหญ่�จะใช้�ว�ธ�การช้��งก�โลข่าย หร�อข่ายให�ร�านั้ร�บซึ่��อเศัษกระดาษ ซึ่/�งเป#นั้อ�กส่าเหต!หนั้/�งท5าให�ความล�บร��วไหลได� หร�อผู้,�ไม�ประส่งค"ด�ส่ามารถึนั้5าข่�อม,ลมาปะต�ดปะต�อให�ความล�ยกล�บค�นั้มาได� เช้�นั้ ข่�อม,ล User Name และ Password เป#นั้ต�นั้

8.1.2.4 ภั�ยจากความร�อนั้ (Heat ) ซึ่/�งอาจป;องก�นั้ได�โดยใช้�ระบบท5าความเย-นั้ (Air Conditioning)เข่�าช้�วย

8125 ภั�ยจากการท5าลายข่�อม,ลความล�บท��หละหลวม (Disposal of Sensitive Media ) เช้�นั้ ระบบการท5าลายเอกส่ารล�บท��พ�มพ"จากระบบคอมพ�วเตอร" หร�อข่�อส่อบต�างๆซึ่/�งส่�งเกตจากหนั้�วยงานั้ทางราช้การส่�วนั้ใหญ่�จะใช้�ว�ธ�การช้��งก�โลข่าย หร�อข่ายให�ร�านั้ร�บซึ่��อเศัษกระดาษ ซึ่/�งเป#นั้อ�กส่าเหต!หนั้/�งท5าให�ความล�บร��วไหลได� หร�อผู้,�ไม�ประส่งค"ด�ส่ามารถึนั้5าข่�อม,ลมาปะต�ดปะต�อให�ความล�ยกล�บค�นั้มาได� เช้�นั้ ข่�อม,ล User Name และ Password เป#นั้ต�นั้

8.1.3 การวางแผู้นั้เพ��อร�กษาความปลอดภั�ยข่องระบบ

เม��อว�เคราะห"ความเส่��ยงแล�วส่��งต�อไปค�อ การวางแผู้นั้เพ��อร�กษาความปลอดภั�ยข่องระบบ (Security Planning) โดยการวางแผู้นั้นั้��นั้จะต�องค5านั้/งถึ/งส่��งต�อไปนั้��

8.1.3 การวางแผู้นั้เพ��อร�กษาความปลอดภั�ยข่องระบบ

เม��อว�เคราะห"ความเส่��ยงแล�วส่��งต�อไปค�อ การวางแผู้นั้เพ��อร�กษาความปลอดภั�ยข่องระบบ (Security Planning) โดยการวางแผู้นั้นั้��นั้จะต�องค5านั้/งถึ/งส่��งต�อไปนั้��

1. นั้โยบาย (Policy ) ต�องม!�งเนั้�นั้ท��จ!ดหมาย นั้โยบายท��ด�ควรประกอบด�วย ใครเป#นั้ผู้,�ปฏิ�บ�ต� (Who) ใช้�ก�บส่�วนั้ใดบ�างภัายในั้ระบบ (To what Resources) ว�ธ�การท5าม�อย�างไร (How)

2. ส่ถึานั้ภัาพข่องระบบร�กษาความปลอดภั�ยในั้ป7จจ!บ�นั้ (Current State ) ต�องล5าด�บความส่5าค�ญ่ว�าอ�นั้ใดควรมาก�อนั้หร�อหล�ง ด�งนั้��

ความต�องการในั้การใช้�ข่�อม,ลท��ปลอดภั�ยและค5าแนั้ะนั้5าจากส่�วนั้ต�างๆท��ใช้�งานั้ภัายในั้ระบบ (Recommendations and Requirments) การแจกงานั้ไปส่,�ผู้,�ท��ร�บผู้�ดช้อบ (Accountibility) ตารางเวลา (Timetable ) ต�องก5าหนั้ดว�าส่�วนั้ใดข่องระบบจะปร�บปร!งอะไรบ�าง ณี เวลาใด การให�ความส่นั้ใจในั้การปฏิ�บ�ต�อย�างต�อเนั้��อง (Continuing Attention)

1. นั้โยบาย (Policy ) ต�องม!�งเนั้�นั้ท��จ!ดหมาย นั้โยบายท��ด�ควรประกอบด�วย ใครเป#นั้ผู้,�ปฏิ�บ�ต� (Who) ใช้�ก�บส่�วนั้ใดบ�างภัายในั้ระบบ (To what Resources) ว�ธ�การท5าม�อย�างไร (How)

2. ส่ถึานั้ภัาพข่องระบบร�กษาความปลอดภั�ยในั้ป7จจ!บ�นั้ (Current State ) ต�องล5าด�บความส่5าค�ญ่ว�าอ�นั้ใดควรมาก�อนั้หร�อหล�ง ด�งนั้��

ความต�องการในั้การใช้�ข่�อม,ลท��ปลอดภั�ยและค5าแนั้ะนั้5าจากส่�วนั้ต�างๆท��ใช้�งานั้ภัายในั้ระบบ (Recommendations and Requirments) การแจกงานั้ไปส่,�ผู้,�ท��ร�บผู้�ดช้อบ (Accountibility) ตารางเวลา (Timetable ) ต�องก5าหนั้ดว�าส่�วนั้ใดข่องระบบจะปร�บปร!งอะไรบ�าง ณี เวลาใด การให�ความส่นั้ใจในั้การปฏิ�บ�ต�อย�างต�อเนั้��อง (Continuing Attention)

3. การจ�ดระด�บการร�กษาความปลอดภั�ยการจ�ดระด�บการร�กษาความปลอดภั�ยข่องระบบท5าได�โดย

แบ�งระด�บความปลอดภั�ยออกเป#นั้ 4 ระด�บ ค�อ 31. Secutity Level 1 (SL1): เป#นั้ระด�บท��

ไม�ม�การปกป;องความปลอดภั�ยข่องข่�อม,ลใดๆให�แก�ข่�อม,ลทางด�านั้ธ!รก�จ

32. Security Level 2 (SL2): เป#นั้ระด�บการร�กษาความปลอดภั�ยต�อการค!กคามข่�อม,ลทางด�านั้ธ!รก�จท��วๆไป ซึ่/�งอาจก�อให�เก�ดความเส่�ยหายเป#นั้ระยะส่��นั้ๆเท�านั้��นั้33. Security Level 3 (SL3): เป#นั้ระด�บการป;องก�นั้ความปลอดภั�ยข่องข่�อม,ลทางด�านั้ธ!รก�จท��ต�องการความปลอดภั�ยส่,งและอาจก�อให�เก�ดความเส่�ยหายต�อการด5าเนั้�นั้งานั้ทางธ!รก�จได�

34. Security Level 4 (SL4): เป#นั้ระด�บการร�กษาความปลอดภั�ยข่องข่�อม,ลท��ส่5าค�ญ่มากท��ส่!ดและเป#นั้ความล�บในั้ทางธ!รก�จ ซึ่/�งหากเก�ดการร��วไหลแล�วอาจเก�ดความเส่�ยหายอย�างมหาศัาล

3. การจ�ดระด�บการร�กษาความปลอดภั�ยการจ�ดระด�บการร�กษาความปลอดภั�ยข่องระบบท5าได�โดย

แบ�งระด�บความปลอดภั�ยออกเป#นั้ 4 ระด�บ ค�อ 31. Secutity Level 1 (SL1): เป#นั้ระด�บท��

ไม�ม�การปกป;องความปลอดภั�ยข่องข่�อม,ลใดๆให�แก�ข่�อม,ลทางด�านั้ธ!รก�จ

32. Security Level 2 (SL2): เป#นั้ระด�บการร�กษาความปลอดภั�ยต�อการค!กคามข่�อม,ลทางด�านั้ธ!รก�จท��วๆไป ซึ่/�งอาจก�อให�เก�ดความเส่�ยหายเป#นั้ระยะส่��นั้ๆเท�านั้��นั้33. Security Level 3 (SL3): เป#นั้ระด�บการป;องก�นั้ความปลอดภั�ยข่องข่�อม,ลทางด�านั้ธ!รก�จท��ต�องการความปลอดภั�ยส่,งและอาจก�อให�เก�ดความเส่�ยหายต�อการด5าเนั้�นั้งานั้ทางธ!รก�จได�

34. Security Level 4 (SL4): เป#นั้ระด�บการร�กษาความปลอดภั�ยข่องข่�อม,ลท��ส่5าค�ญ่มากท��ส่!ดและเป#นั้ความล�บในั้ทางธ!รก�จ ซึ่/�งหากเก�ดการร��วไหลแล�วอาจเก�ดความเส่�ยหายอย�างมหาศัาล

ส่��งท��ต�องปฏิ�บ�ต�เป#นั้ประจ5าส่5าหร�บผู้,�ด,แลระบบ

ส่��งท��ต�องปฏิ�บ�ต�เป#นั้ประจ5าส่5าหร�บผู้,�ด,แลระบบ

1. การท5าส่5ารองข่�อม,ลหล�กในั้การส่5ารองข่�อม,ลม�ด�งนั้��

จงเข่�ารห�ส่ข่�อม,ลท��ส่5ารองไว�หากข่�อม,ลนั้��นั้เป#นั้ข่�อม,ลท��ส่5าค�ญ่ต�อองค"กร

เก-บข่�อม,ลท��ท5าการส่5ารองไว�ย�งท��ท��ปลอดภั�ยท��ส่!ด ตรวจส่อบวงรอบหร�อคร��งท��ส่5ารองข่�อม,ล ว�าเป#นั้

ข่�อม,ลท��เป#นั้ป7จจ!บ�นั้ท��ส่!ดหร�อไม� ก�อนั้ท��จะเล�กใช้�ส่��อเก-บข่�อม,ล เช้�นั้ เทป หร�อ ด�ส่ก"

หร�อนั้5าส่��อเหล�านั้��ไปท��ง ควรลบข่�อม,ลท��งหมดออกเส่�ยก�อนั้

จ�ดซึ่อฟต"แวร"ส่5ารองข่�อม,ลอ�ตโนั้ม�ต�ท��ต�ดต��งบนั้ เคร��องเซึ่�ร"ฟเวอร"

1. การท5าส่5ารองข่�อม,ลหล�กในั้การส่5ารองข่�อม,ลม�ด�งนั้��

จงเข่�ารห�ส่ข่�อม,ลท��ส่5ารองไว�หากข่�อม,ลนั้��นั้เป#นั้ข่�อม,ลท��ส่5าค�ญ่ต�อองค"กร

เก-บข่�อม,ลท��ท5าการส่5ารองไว�ย�งท��ท��ปลอดภั�ยท��ส่!ด ตรวจส่อบวงรอบหร�อคร��งท��ส่5ารองข่�อม,ล ว�าเป#นั้

ข่�อม,ลท��เป#นั้ป7จจ!บ�นั้ท��ส่!ดหร�อไม� ก�อนั้ท��จะเล�กใช้�ส่��อเก-บข่�อม,ล เช้�นั้ เทป หร�อ ด�ส่ก"

หร�อนั้5าส่��อเหล�านั้��ไปท��ง ควรลบข่�อม,ลท��งหมดออกเส่�ยก�อนั้

จ�ดซึ่อฟต"แวร"ส่5ารองข่�อม,ลอ�ตโนั้ม�ต�ท��ต�ดต��งบนั้ เคร��องเซึ่�ร"ฟเวอร"

2. การทดส่อบระบบร�กษาความปลอดภั�ย2. การทดส่อบระบบร�กษาความปลอดภั�ย

ค�อ การตรวจส่อบระบบร�กษาความปลอดภั�ยในั้องค"กร หร�อหาป7ญ่หาท��ก�อให�เก�ดความไม�ปลอดภั�ยข่/�นั้ในั้องค"กร หร�อกรณี�ท��ม�ระบบร�กษาความปลอดภั�ยอย,� ระบบด�งกล�าวม�จ!ดโหว� (Vulnerabilities ) หร�อไม� ซึ่/�งส่ามารถึตรวจส่อบห�วข่�อต�างๆด�งต�อไปนั้�� ม�ช้��อบ�ญ่ช้�ผู้,�ใช้�ใดท��ส่ามารถึเข่�าส่,�ระบบได�โดยไม�

ต�องใส่� Password

ม�ช้��อบ�ญ่ช้�ผู้,�ใช้�ท��ง�ายต�อการเดา Password หร�อไม� ม�ช้��อบ�ญ่ช้�ช้นั้�ดท��ให�เป#นั้กล!�ม (Group accounts ) และส่ามารถึเข่�าส่,�ระบบได�หลายคนั้โดยไม�ส่ามารถึระบ!ว�าใครเป#นั้คนั้เข่�าใช้�งานั้หร�อไม�

ม�ช้��อบ�ญ่ช้�ท��ไม�ได�ใช้�งานั้เป#นั้เวลานั้านั้หร�อเจ�าข่องออกไปจากองค"กรแล�วหร�อไม�ม�ช้��อบ�ญ่ช้�ท��ใหม�และไม�ร,�จ�กหร�อไม� ม�ช้��อไฟล"ท��ไม�ระบ!เจ�าข่องหร�อไม� การเปล��ยนั้แปลงร,ปแบบการป;องก�นั้ไฟล" การท��ช้��อผู้,�ใช้�งานั้บางช้��อม�พฤต�กรรมการใช้�งานั้ท��ผู้�ดปกต�

กรอบการบร�หารระบบร�กษาความปลอดภั�ยข่องส่ารส่นั้เทศักรอบการบร�หารระบบร�กษาความปลอดภั�ยข่องส่ารส่นั้เทศัค�อ แผู้นั้การและข่��นั้�ตอนั้การบร�หาระบบร�กษาความปลอดภั�ยข่องส่ารส่นั้เทศั ประกอบด�วย 7 ข่��นั้ตอนั้ ค�อ ค�อ แผู้นั้การและข่��นั้�ตอนั้การบร�หาระบบร�กษาความปลอดภั�ยข่องส่ารส่นั้เทศั ประกอบด�วย 7 ข่��นั้ตอนั้ ค�อ

1.RiskManagement/Vulnerability Assessement/ Penetration Testing

2.CriticalHardening/Patchiing/Fixing3.PracticalSecurity

Policy 4. Defense In-Depth/Best Practices Implementation

7. Managed Security Services (MSS ) / Real-timeMonitoring using IDS/IPSPenetration Testing

6. Internal/External Audit

5. Security Awareness/Technical/Know-how Transfer Training

ข่��นั้ตอนั้ท�� 1 Risk Management / Vulnerability Assessment / Penetration Testing

ข่��นั้ตอนั้ท�� 1 Risk Management / Vulnerability Assessment / Penetration Testing

การว�เคราะห"และประเม�นั้ความเส่��ยงข่องระบบส่ารส่นั้เทศัท��ใช้�งานั้อย,� (Risk Assessment and Risk Analysis ) ถึ�อ เป#นั้ข่��นั้ตอนั้แรกท��ต�องปฎิ�บ�ต� เร��มจากการท5า Inventory ข่องระบบ, การท5า Revised Network Diagram ท��ง Logical และ Physical Diagram ตลอดจนั้ด, ข่��นั้ตอนั้ในั้การปฏิ�บ�ต�งานั้ข่องพนั้�กงานั้ และช้�องทางเข่�าออกข่องระบบท��งด�ายกายภัาพและทางเคร�อข่�าย LAN และ WAN ท��เช้��อมต�อก�บระบบ อ�นั้เตอร"เนั้-ต ข่��นั้ตอนั้นั้��จะม�การทดส่อบเจาะระบบด,ช้�องโหว�ว�าระบบม�ช้�องโหว�ให�ผู้,�บ!กร!กเข่�ามาโจมต�หร�อไม� จากนั้��นั้ ควรลองเจาะระบบเพ��อนั้5าเอาข่�อม,ลหร�อ username/password ข่องระบบออกมาเพ��อด,ความแข่-งแกร�งในั้การป;องก�นั้ตนั้เองข่องระบบด�วย จากนั้��นั้จะได�รายงานั้ส่ร!ป ท��ท5าให�ร,�ถึ/งจ!ดอ�อนั้ข่องระบบ ตลอดจนั้ว�ธ�การท��จะท5าให�ระบบปลอดภั�ยต�อไป

การว�เคราะห"และประเม�นั้ความเส่��ยงข่องระบบส่ารส่นั้เทศัท��ใช้�งานั้อย,� (Risk Assessment and Risk Analysis ) ถึ�อ เป#นั้ข่��นั้ตอนั้แรกท��ต�องปฎิ�บ�ต� เร��มจากการท5า Inventory ข่องระบบ, การท5า Revised Network Diagram ท��ง Logical และ Physical Diagram ตลอดจนั้ด, ข่��นั้ตอนั้ในั้การปฏิ�บ�ต�งานั้ข่องพนั้�กงานั้ และช้�องทางเข่�าออกข่องระบบท��งด�ายกายภัาพและทางเคร�อข่�าย LAN และ WAN ท��เช้��อมต�อก�บระบบ อ�นั้เตอร"เนั้-ต ข่��นั้ตอนั้นั้��จะม�การทดส่อบเจาะระบบด,ช้�องโหว�ว�าระบบม�ช้�องโหว�ให�ผู้,�บ!กร!กเข่�ามาโจมต�หร�อไม� จากนั้��นั้ ควรลองเจาะระบบเพ��อนั้5าเอาข่�อม,ลหร�อ username/password ข่องระบบออกมาเพ��อด,ความแข่-งแกร�งในั้การป;องก�นั้ตนั้เองข่องระบบด�วย จากนั้��นั้จะได�รายงานั้ส่ร!ป ท��ท5าให�ร,�ถึ/งจ!ดอ�อนั้ข่องระบบ ตลอดจนั้ว�ธ�การท��จะท5าให�ระบบปลอดภั�ยต�อไป

ข่��นั้ตอนั้ท�� 2 Critical Hardening / Patching / Fixing

ข่��นั้ตอนั้ท�� 2 Critical Hardening / Patching / Fixing

หล�งจากท��ได�ประเม�นั้ความเส่��ยงในั้ข่��นั้ตอนั้ท��หนั้/�งไปนั้��นั้แล�ว พบว�าม�ช้�องโหว�ท��จ�ดอย,�ในั้ระบบ Critical ค�อ ส่ามารถึก�อความเส่�ยหายให�ก�บองค"กร จ/งต�องท5าการป=ดช้�องโหว�เหล�านั้��นั้ โดยการ Hardening ระบบข่อง หมายถึ/งการป=ด Port ต�างๆ ท��ไม�จ5าเป#นั้ต�องใช้�, การต�ดต��ง Firewall เพ��มเต�ม หร�อ การแก� Rules ท�� Firewall ให�ถึ,กต�องตลอดจนั้การต�ดต��ง Patch หร�อ Hotfix เพ��อแก�ป7ญ่หาช้�องโหว�ต�างๆ ท��ส่ามารถึ download patch ได�จาก Web site ข่องผู้,�ผู้ล�ต

หล�งจากท��ได�ประเม�นั้ความเส่��ยงในั้ข่��นั้ตอนั้ท��หนั้/�งไปนั้��นั้แล�ว พบว�าม�ช้�องโหว�ท��จ�ดอย,�ในั้ระบบ Critical ค�อ ส่ามารถึก�อความเส่�ยหายให�ก�บองค"กร จ/งต�องท5าการป=ดช้�องโหว�เหล�านั้��นั้ โดยการ Hardening ระบบข่อง หมายถึ/งการป=ด Port ต�างๆ ท��ไม�จ5าเป#นั้ต�องใช้�, การต�ดต��ง Firewall เพ��มเต�ม หร�อ การแก� Rules ท�� Firewall ให�ถึ,กต�องตลอดจนั้การต�ดต��ง Patch หร�อ Hotfix เพ��อแก�ป7ญ่หาช้�องโหว�ต�างๆ ท��ส่ามารถึ download patch ได�จาก Web site ข่องผู้,�ผู้ล�ต

ข่��นั้ตอนั้ท�� 3 Practical Security Policy

ข่��นั้ตอนั้ท�� 3 Practical Security Policy

ข่ณีะท��จ�ดการก�บระบบในั้ข่��นั้ตอนั้ท�� 2 ซึ่/�งต�องใช้�เวลาพอส่มควร ส่ามารถึท5างานั้ข่นั้านั้ก�บข่��นั้ตอนั้ท�� 2ได� โดยการจ�ดท5า Practical information Security Policy ให�ก�บองค"กร โดยนั้5าหล�กการนั้โยบายด�านั้ INFOSEC มาจากหลายๆ หนั้�วยงานั้ เช้�นั้ ISO17799, CBK (Common Body of Knowledge) ข่อง ISC2 ตลอดจนั้ CobiT ข่อง ISACA และ SANS/FBI Top 20 ข่องส่ถึาบ�นั้ SANS ร�วมก�บ FBI มาใช้�ในั้การท5า “Practical Security Policy” หมายถึ/ง การนั้5ามาประย!กต"ใช้�ให�ตรงก�บความต�องการข่ององค"กร ซึ่/�ง Policy ต�องม�การปร�บแต�ง แก�ไข่ให�เหมาะส่มก�บองค"กรด�วย

ข่ณีะท��จ�ดการก�บระบบในั้ข่��นั้ตอนั้ท�� 2 ซึ่/�งต�องใช้�เวลาพอส่มควร ส่ามารถึท5างานั้ข่นั้านั้ก�บข่��นั้ตอนั้ท�� 2ได� โดยการจ�ดท5า Practical information Security Policy ให�ก�บองค"กร โดยนั้5าหล�กการนั้โยบายด�านั้ INFOSEC มาจากหลายๆ หนั้�วยงานั้ เช้�นั้ ISO17799, CBK (Common Body of Knowledge) ข่อง ISC2 ตลอดจนั้ CobiT ข่อง ISACA และ SANS/FBI Top 20 ข่องส่ถึาบ�นั้ SANS ร�วมก�บ FBI มาใช้�ในั้การท5า “Practical Security Policy” หมายถึ/ง การนั้5ามาประย!กต"ใช้�ให�ตรงก�บความต�องการข่ององค"กร ซึ่/�ง Policy ต�องม�การปร�บแต�ง แก�ไข่ให�เหมาะส่มก�บองค"กรด�วย

ข่��นั้ตอนั้ท�� 4 Defense In-Depth / Best Practices Implementation

ข่��นั้ตอนั้ท�� 4 Defense In-Depth / Best Practices Implementationค5าว�า “Defense In-Depth” หมายถึ/ง การ

จ�ดการก�บระบบความปลอดภั�ยข่�อม,ลข่ององค"กรอย�างละเอ�ยดรอบคอบ โดยพ�จารณีาต��งแต� Border Router ท��เช้��อมต�อ อ�นั้เตอร"เนั้-ต จาก ISP ผู้�านั้มาท�� Firewall หล�กข่ององค"กร ตลอดจนั้การต�ดต��ง ISD หร�อ IPS (Intrusion Prevention System) และ การจ�ดการภัายในั้ LAN ข่องระบบ การแก�ป7ญ่หาภัายในั้ LAN ท��อ!ปกรณี"เคร�อข่�าย เช้�นั้ Core Switching/Core Router ตลอดจนั้ Server ต�างๆ ท��อย,�ในั้ LAN ซึ่/�งถึ�อว�าเป#นั้ภัายในั้แต�ย�งไม�ปลอดภั�ยจาก Virus ต�างๆ ในั้เวลานั้��ท��จะโจมต�เคร�อข่�าย LAN ภัายในั้มากข่/�นั้

ค5าว�า “Defense In-Depth” หมายถึ/ง การจ�ดการก�บระบบความปลอดภั�ยข่�อม,ลข่ององค"กรอย�างละเอ�ยดรอบคอบ โดยพ�จารณีาต��งแต� Border Router ท��เช้��อมต�อ อ�นั้เตอร"เนั้-ต จาก ISP ผู้�านั้มาท�� Firewall หล�กข่ององค"กร ตลอดจนั้การต�ดต��ง ISD หร�อ IPS (Intrusion Prevention System) และ การจ�ดการภัายในั้ LAN ข่องระบบ การแก�ป7ญ่หาภัายในั้ LAN ท��อ!ปกรณี"เคร�อข่�าย เช้�นั้ Core Switching/Core Router ตลอดจนั้ Server ต�างๆ ท��อย,�ในั้ LAN ซึ่/�งถึ�อว�าเป#นั้ภัายในั้แต�ย�งไม�ปลอดภั�ยจาก Virus ต�างๆ ในั้เวลานั้��ท��จะโจมต�เคร�อข่�าย LAN ภัายในั้มากข่/�นั้

ข่��นั้ตอนั้ท�� 5 Security Awareness / Technical / Know-how Transfer Training

ข่��นั้ตอนั้ท�� 5 Security Awareness / Technical / Know-how Transfer Training

ข่��นั้ตอนั้นั้��เป#นั้ข่��นั้ตอนั้ท��หลายๆ คนั้มองข่�าม และ ไม�ค�อยให�ความส่นั้ใจ แต�ในั้ทางปฎิ�บ�ต�นั้��นั้ ถึ�อเป#นั้เร��องส่5าค�ญ่ท��ต�องท5า และกระท5าอย�างต�อเนั้��องท!กป1ในั้องค"กร ได�แก�การจ�ดฝีAกอบรมให�บ!คลากรในั้องค"กรม�ความเข่�าใจท��ถึ,กต�องก�บป7ญ่หาเร��องความปลอดภั�ยข่�อม,ลคอมพ�วเตอร" การฝีAกอบรมควรเร��มจาก กล!�มผู้,�บร�หารระด�บส่,ง และ กล!�มผู้,�บร�หารระด�บกลางก�อนั้ แล�วตามด�วย กล!�มผู้,�ด,แลระบบ และกล!�มผู้,�ร�บผู้�ดช้อบเร��อง Information Security โดยตรง, กล!�ม Internal Audit ตลอดจนั้ กล!�มผู้,�ใช้�คอมพ�วเตอร"ท��วไป เพ��อจะได�ไม�หลงเป#นั้เหย��อพวกไวร�ส่ หร�อ โปรแกรมท��เข่�ามาท5าลายระบบต�างๆ ท��ม�กจะมาก�บอ�เมล" Attachment และ จากการเข่�าช้ม Web site ท��ไม�เหมาะส่ม

ข่��นั้ตอนั้นั้��เป#นั้ข่��นั้ตอนั้ท��หลายๆ คนั้มองข่�าม และ ไม�ค�อยให�ความส่นั้ใจ แต�ในั้ทางปฎิ�บ�ต�นั้��นั้ ถึ�อเป#นั้เร��องส่5าค�ญ่ท��ต�องท5า และกระท5าอย�างต�อเนั้��องท!กป1ในั้องค"กร ได�แก�การจ�ดฝีAกอบรมให�บ!คลากรในั้องค"กรม�ความเข่�าใจท��ถึ,กต�องก�บป7ญ่หาเร��องความปลอดภั�ยข่�อม,ลคอมพ�วเตอร" การฝีAกอบรมควรเร��มจาก กล!�มผู้,�บร�หารระด�บส่,ง และ กล!�มผู้,�บร�หารระด�บกลางก�อนั้ แล�วตามด�วย กล!�มผู้,�ด,แลระบบ และกล!�มผู้,�ร�บผู้�ดช้อบเร��อง Information Security โดยตรง, กล!�ม Internal Audit ตลอดจนั้ กล!�มผู้,�ใช้�คอมพ�วเตอร"ท��วไป เพ��อจะได�ไม�หลงเป#นั้เหย��อพวกไวร�ส่ หร�อ โปรแกรมท��เข่�ามาท5าลายระบบต�างๆ ท��ม�กจะมาก�บอ�เมล" Attachment และ จากการเข่�าช้ม Web site ท��ไม�เหมาะส่ม

ข่��นั้ตอนั้ท�� 6Internal/External Audit

ข่��นั้ตอนั้ท�� 6Internal/External Audit หล�งจากท��ได�ปฏิ�บ�ต�ตามข่��นั้ตอนั้ท�� 1 จนั้ถึ/งข่��นั้

ตอนั้ท�� 5 แล�ว ควรท5ากรตรวจส่อบ(Audit ) ระบบอ�กคร��งหนั้/�งว�า ผู้ลจากการ Assessment ในั้ข่��นั้ตอนั้ท��

1 เปร�ยบเท�ยบก�บผู้ลการ Re-Assessment ระบบในั้ข่��นั้ตอนั้ท�� 6 นั้��นั้ม�ความแตกต�างก�นั้อย�างไร ซึ่/�งผู้ลท��ได� ช้�องโหว�ควรจะลดลงอย,�ในั้ระด�บท��พอใจและเช้��อใจระบบได� ส่ามารถึตรวจส่อบดดยท�ม Internal Audit ข่ององค"กรเอง หร�อใช้�บร�การ External Audit Service ท��ม�ความเช้��ยวช้าญ่ด�านั้ Information Security มาตรวจส่อบให�ก-ได�

หล�งจากท��ได�ปฏิ�บ�ต�ตามข่��นั้ตอนั้ท�� 1 จนั้ถึ/งข่��นั้ตอนั้ท�� 5 แล�ว ควรท5ากรตรวจส่อบ(Audit ) ระบบอ�กคร��งหนั้/�งว�า ผู้ลจากการ Assessment ในั้ข่��นั้ตอนั้ท��

1 เปร�ยบเท�ยบก�บผู้ลการ Re-Assessment ระบบในั้ข่��นั้ตอนั้ท�� 6 นั้��นั้ม�ความแตกต�างก�นั้อย�างไร ซึ่/�งผู้ลท��ได� ช้�องโหว�ควรจะลดลงอย,�ในั้ระด�บท��พอใจและเช้��อใจระบบได� ส่ามารถึตรวจส่อบดดยท�ม Internal Audit ข่ององค"กรเอง หร�อใช้�บร�การ External Audit Service ท��ม�ความเช้��ยวช้าญ่ด�านั้ Information Security มาตรวจส่อบให�ก-ได�

ข่��นั้ตอนั้ท�� 7Managed Security Services (MSS) / Real time Monitoring using IDS/IPS

ข่��นั้ตอนั้ท�� 7Managed Security Services (MSS) / Real time Monitoring using IDS/IPS

จากท��กล�าวมาในั้ตอนั้ต�นั้ หล�กจากข่��นั้ตอนั้ท�� 1 และ 6 เร�ยบร�อยแล�ว เนั้��องจากระบบนั้��นั้ส่ามารถึเก�ดช้�อง

โหว�ใหม�ได�ตลอดเวลา ด�งนั้��นั้องค"กรส่ามารถึจ�ดการก�บป7ญ่หาด�านั้ระบบความปลอดภั�ยได�ส่องร,ปแบบค�อ

ร,ปแบบแรกใช้�ว�ธ�การจ�างบร�ษ�ทท��เก��ยวข่�องก�บการร�กษาความปลอดภั�ย(Outsourcing)มาด,แล ซึ่/�งเร�ยกว�า Managed Security Service Provider(MSSP) ด�งนั้��นั้ ข่��นั้ตอนั้ท��จ5าเป#นั้ค�อ ว�การท��จะค�ดเล�อก MSSP ท��เหมาะส่มมาด,แลระบบให� และพ�จารณีา Service Level Agreement (SLA) ว�าจะให�ด,แลในั้ระด�บใด และการด,แลระบบนั้��นั้ควรม�การด,แลล�กษณีะ Real time Monitoring 24x7 อย�างต�อเนั้��อง และต�องใช้�บ!คลากรท��ม�ความช้5านั้าญ่ผู้ล�ดเปล��ยนั้การด,แลตลอด 24 ช้��วโมง

จากท��กล�าวมาในั้ตอนั้ต�นั้ หล�กจากข่��นั้ตอนั้ท�� 1 และ 6 เร�ยบร�อยแล�ว เนั้��องจากระบบนั้��นั้ส่ามารถึเก�ดช้�อง

โหว�ใหม�ได�ตลอดเวลา ด�งนั้��นั้องค"กรส่ามารถึจ�ดการก�บป7ญ่หาด�านั้ระบบความปลอดภั�ยได�ส่องร,ปแบบค�อ

ร,ปแบบแรกใช้�ว�ธ�การจ�างบร�ษ�ทท��เก��ยวข่�องก�บการร�กษาความปลอดภั�ย(Outsourcing)มาด,แล ซึ่/�งเร�ยกว�า Managed Security Service Provider(MSSP) ด�งนั้��นั้ ข่��นั้ตอนั้ท��จ5าเป#นั้ค�อ ว�การท��จะค�ดเล�อก MSSP ท��เหมาะส่มมาด,แลระบบให� และพ�จารณีา Service Level Agreement (SLA) ว�าจะให�ด,แลในั้ระด�บใด และการด,แลระบบนั้��นั้ควรม�การด,แลล�กษณีะ Real time Monitoring 24x7 อย�างต�อเนั้��อง และต�องใช้�บ!คลากรท��ม�ความช้5านั้าญ่ผู้ล�ดเปล��ยนั้การด,แลตลอด 24 ช้��วโมง

ร,ปแบบท��ส่อง ในั้กรณี�ท��องค"กรม�งบประมาณีจ5าก�ดไม�ส่ามารถึจ�างบร�ษ�ทภัายนั้อกมาด,แลได� ก-ส่ามารถึตรวจส่อบด,แลด�วยตนั้เองได� ซึ่/�งอาจอาศั�ยเคร��องม�อท��ช้�วยในั้เร��องการเฝี;าระว�ง (Monitor) เช้�นั้ IDS IPS ซึ่/�งม�ท��ง ฮาร"ดแวร" และ ซึ่อฟต"แวร" แต�ผู้,�ด,แลระบบจะต�องม�ภัาระเพ��มมากข่/�นั้ ในั้การตรวจส่อบด,การท5างานั้ข่องอ!ปกรณี"ด�งกล�าว รวมถึ/งการอ�พเดตอ!ปกรณี"ด�งกล�าวไม�ว�าจะเป#นั้ ฮาร"ดแวร" หร�อ ซึ่อฟต"แวร"ให�ส่ามารถึใช้�งานั้ได�เป#นั้ปกต�และม�ประส่�ทธ�ภัาพค,�ก�นั้ไปด�วย

ร,ปแบบท��ส่อง ในั้กรณี�ท��องค"กรม�งบประมาณีจ5าก�ดไม�ส่ามารถึจ�างบร�ษ�ทภัายนั้อกมาด,แลได� ก-ส่ามารถึตรวจส่อบด,แลด�วยตนั้เองได� ซึ่/�งอาจอาศั�ยเคร��องม�อท��ช้�วยในั้เร��องการเฝี;าระว�ง (Monitor) เช้�นั้ IDS IPS ซึ่/�งม�ท��ง ฮาร"ดแวร" และ ซึ่อฟต"แวร" แต�ผู้,�ด,แลระบบจะต�องม�ภัาระเพ��มมากข่/�นั้ ในั้การตรวจส่อบด,การท5างานั้ข่องอ!ปกรณี"ด�งกล�าว รวมถึ/งการอ�พเดตอ!ปกรณี"ด�งกล�าวไม�ว�าจะเป#นั้ ฮาร"ดแวร" หร�อ ซึ่อฟต"แวร"ให�ส่ามารถึใช้�งานั้ได�เป#นั้ปกต�และม�ประส่�ทธ�ภัาพค,�ก�นั้ไปด�วย ส่ร!ป ส่ร!ปได�ว�าก�อนั้ท��เราจะป;องก�นั้ระบบได�อย�างม�ประส่�ทธ�ภัาพนั้��นั้ จ5าเป#นั้ต�องทราบจ!ดอ�อนั้ข่องระบบก�อนั้ว�าอย,�ท��ได ว�ธ�ท��ใช้�ในั้การตรวจส่อบหาจ!ดอ�อนั้ได�อธ�บายไว�ในั้บทนั้�� และการจ�ดการการร�กษาความปลอดภั�ยอย�างม�ประส่�ทธ�ภัาพโดยใช้�ทร�พยากรท��ม�อย,�จ5าก�ดนั้��นั้ ส่ามารถึใช้�ว�ธ�ว�เคราะห"ความเส่��ยง (Risk Analysis ) เข่�าช้�วยได�

ส่ร!ป ส่ร!ปได�ว�าก�อนั้ท��เราจะป;องก�นั้ระบบได�อย�างม�ประส่�ทธ�ภัาพนั้��นั้ จ5าเป#นั้ต�องทราบจ!ดอ�อนั้ข่องระบบก�อนั้ว�าอย,�ท��ได ว�ธ�ท��ใช้�ในั้การตรวจส่อบหาจ!ดอ�อนั้ได�อธ�บายไว�ในั้บทนั้�� และการจ�ดการการร�กษาความปลอดภั�ยอย�างม�ประส่�ทธ�ภัาพโดยใช้�ทร�พยากรท��ม�อย,�จ5าก�ดนั้��นั้ ส่ามารถึใช้�ว�ธ�ว�เคราะห"ความเส่��ยง (Risk Analysis ) เข่�าช้�วยได�