ขอเสนอแนะมาตรฐานดานเทคโนโลยสารสนเทศ และการสอสารทจ าเปนตอธรกรรม
ทางอเลกทรอนกส ETDA Recommendation on ICT Standard
for Electronic Transactions
ขมธอ.1 – 2557
วาดวยมาตรฐานการรกษาความมนคงปลอดภยส าหรบเวบไซต Website Security Standard
เวอรชน 1.0
ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) กระทรวงเทคโนโลยสารสนเทศและการสอสาร
ขอเสนอแนะมาตรฐานดานเทคโนโลยสารสนเทศและการสอสารทจ าเปนตอธรกรรมทางอเลกทรอนกส
วาดวย มาตรฐานการรกษาความมนคงปลอดภยส าหรบเวบไซต
ขมธอ.1 – 2557
ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) อาคารเดอะ ไนน ทาวเวอร แกรนด พระรามเกา (อาคารบ) ชน 21
เลขท 33/4 ถนนพระราม 9 แขวงหวยขวาง เขตหวยขวาง กรงเทพมหานคร 10310 www.etda.or.th
โทรศพท 0 2123 1234
ประกาศโดย
ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) กระทรวงเทคโนโลยสารสนเทศและการสอสาร
วนท 30 กนยายน พ.ศ. 2557
ขอเสนอแนะมาตรฐานดานเทคโนโลยสารสนเทศและการสอสารทจ าเปนตอการท าธรกรรมทางอเลกทรอนกส วาดวยมาตรฐานการรกษาความมนคงปลอดภยส าหรบเวบไซตฉบบน จดท าขนเพอเปนแนวทางและขอก าหนดส าหรบการรกษาความมนคงปลอดภยของเวบไซต โดยเนนไปทการรกษาความมนคงปลอดภยของเครองบรการเวบในสวนของโปรแกรมส าหรบใหบรการเวบ (Web server software) ระบบบรหารจดการเวบไซต (Content management system: CMS) ระบบฐานขอมล (Database system) และโปรแกรมประยกตบนเวบ (Web applications) เพอลดความเสยงจากการโจมตเวบไซตและท าใหผทเกยวของมวธการรบมอและจดการกบปญหาทเกดขนภายใตมาตรฐานทยอมรบได โดยพฒนาตามแนวมาตรฐานของ
NIST SP 800-44 Guidelines on Securing Public Web Servers OWASP Open Web Application Security Project ขอก าหนดทเกยวของจากขอแนะน าแกไขและปองกนขอบกพรองหรอจดออนของเวบไซต ของศนย
ประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอรประเทศไทย หรอไทยเซรต (ThaiCERT) คมอ “How to Secure Your Website” ของ ส านกงานสงเสรมเทคโนโลยสารสนเทศ ประเทศ
ญปน(Information-Technology Promotion Agency (IPA), Japan)
และไดมการน าเสนอเพอรบฟงความคดเหนเปนการทวไป เพอน าขอมล ขอสงเกต ขอคดเหนจากผทรงคณวฒและจากหนวยงานทเกยวของ เพอใหขอเสนอแนะเกยวกบมาตรฐานฉบบนมความสมบรณครบถวน และสามารถน าไปปรบใชในทางปฏบตไดอยางมประสทธภาพ
ขอเสนอแนะมาตรฐานดานเทคโนโลยสารสนเทศและการสอสารทจ าเปนตอธรกรรมทางอเลกทรอนกส วาดวยมาตรฐานการรกษาความมนคงปลอดภยส าหรบเวบไซตฉบบน จดท าโดยส านกมาตรฐาน รวมกบส านกความมนคงปลอดภย ภายใตส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)
ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) อาคารเดอะ ไนน ทาวเวอร แกรนด พระรามเกา (อาคารบ) ชน ๒๑ เลขท ๓๓/๔ ถนนพระราม ๙ แขวงหวยขวาง เขตหวยขวาง กรงเทพมหานคร ๑๐๓๑๐ โทรศพท ๐ ๒๑๒๓ ๑๒๓๔ โทรสาร ๐ ๒๑๒๓ ๑๒๐๐ E-mail: [email protected] www.etda.or.th
สารบญ
1. ขอบเขต 1
2. การน าไปใชงาน 2
3. นยาม 3
4. การวางแผนเพอบรหารจดการเวบไซต 4
4.1 การวางแผนดานความมนคงปลอดภยของเวบไซต 5
4.2 การเลอกผรบจดทะเบยนชอโดเมน 5
4.3 แนวทางการเลอกรปแบบเครองบรการเวบ 6
4.4 แนวทางการเลอกระบบบรหารจดการเวบไซต (CMS) 8
5. การตงคาเครองบรการเวบอยางมนคงปลอดภย 9
5.1 การตงคาโปรแกรมส าหรบใหบรการเวบ (Web server software) 9
5.2 การตงคาระบบบรหารจดการเวบไซต (CMS) 11
5.3 การตงคาฐานขอมล (Database system) 11
5.4 การตงคา Server-side Script Engine 12
5.5 การก าหนดและรกษารหสผาน 13
6. การพฒนาโปรแกรมประยกตบนเครองบรการเวบอยางมนคงปลอดภย 13
6.1 การปองกนการโจมตจากเทคนค SQL Injection 14
6.2 การปองกนการโจมตจากเทคนค Session Hijacking 16
6.3 การปองกนการโจมตจากเทคนค Cross-site Scripting 17
6.4 การปองกนการโจมตจากเทคนค CSRF 18
6.5 การปองกนการโจมตจากปญหาขอมลลบรวไหล (Sensitive Data Exposure) 19
7. การรบมอสถานการณภยคกคามทเกดจากการโจมตเวบไซต (Incident Handling) 19
7.1 การรบมอภยคกคามทเกดขนกบเวบไซต 20
7.2 การใชโปรแกรมตรวจสอบความมนคงปลอดภยของเวบไซต 22
7.3 การเกบรกษาขอมลจราจรทางคอมพวเตอร 22
7.4 การส ารองขอมลเวบไซต 22
ภาคผนวก ก. แบบประเมนส าหรบผดแลเครองบรการเวบและผพฒนาโปรแกรมประยกตบนเวบ 24
ภาคผนวก ข. รปแบบการสอสารอยางมนคงปลอดภยระหวางโปรแกรมคนดเวบและเครองบรการเวบ 34
1. การเลอกเวอรชนของ SSL/TLS ทเหมาะสม 35
2. การเลอกวธการเขารหสของ SSL/TLS ทเหมาะสม 35
ภาคผนวก ค. การใชงานใบรบรองอเลกทรอนกสส าหรบการสอสารอยางมนคงปลอดภย 38
1. การขอใบรบรองอเลกทรอนกสส าหรบเครองบรการเวบเพอตดตง SSL/TLS 38
2. การสงค ารองขอใชงานใบรบรองอเลกทรอนกส 39
3. การตดตงใบรบรองอเลกทรอนกส 41
4. การปรบแตงคาตดตงทเกยวกบ SSL/TLS 41
5. การบ ารงรกษาใบรบรองอเลกทรอนกส 43
รายการแกไขเอกสาร 44 บรรณานกรม 45
สารบญรป
หนา
ภาพท 1 ขอบเขตของมาตรฐานการรกษาความมนคงปลอดภยส าหรบเวบไซต 1
ภาพท 2 โมดลส าหรบสรางไฟล CSR คอ Create Certificate Request 40
ภาพท 3 การใช command line ในการสรางทงกญแจครหสไฟล CSR 40
ภาพท 4 เครองมอของโปรแกรมคนดเวบ Google Chrome ทชอวา JavaScript Console 42
ภาพท 5 ตวอยางสญลกษณกญแจสเขยวจากโปรแกรมคนดเวบ Google Chrome 42
ภาพท 6 ตวอยางสญลกษณกญแจสเขยวจากโปรแกรมคนดเวบ Internet Exploer 42
ภาพท 7 ตวอยางสญลกษณกญแจสเขยวจากโปรแกรมคนดเวบ Mozilla Firefox 42
สารบญตาราง
หนา
ตารางท 1 ลกษณะการใชงานและความมนคงปลอดภยทแนะน าไวใน 37 Guideline on Securing Public Web Servers
ขอเสนอแนะมาตรฐานดานเทคโนโลยสารสนเทศ
และการสอสารทจ าเปนตอธรกรรมทางอเลกทรอนกส
วาดวย มาตรฐานการรกษาความมนคงปลอดภยส าหรบเวบไซต
บทน า
ภยคกคามดานสารสนเทศซงอาจเปนการโจมตเพอเปลยนแปลงขอมลหนาเวบ (Web Defacement) การโจมตเพอขโมยขอมลส าคญ การโจมตเพอใชเปนฐานในการเผยแพรมลแวร (Malware URL) หรอใชเปนฐานในการฉอโกงทางการเงนผานหนาเวบไซตหลอกลวง (Phishing Website) ภยคกคามเหลานลวนกอใหเกดความเสยหายแกชอเสยงของหนวยงานทเปนเจาของเวบไซต ความนาเชอถอของธรกจ และยงอาจเปนอนตรายตอคว ามมนคงปลอดภยตอองคกรหรอในระดบประเทศ ถาเวบไซตทถกเจาะระบบ หรอถกโจมต หรอใชเปนฐานในการเผยแพรมลแวรเพอโจมตผใชบรการเวบไซต ซงสวนใหญลวนอาศยชองโหว (Vulnerability) ของซอฟตแวรทมอยในหลายสวนของเวบไซต ไดแก ชองโหวของเครองบรการเวบ (Web Server) ชองโหวของโปรแกรมประยกตบนเวบ (Web Application) และชองโหวทเกดจากการบรหารจดการดแลเวบทไมไดมาตรฐานซงยอมรบได
ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) หรอ สพธอ. ไดเหนถงความส าคญของการรกษาความมนคงปลอดภยของเวบไซต โดยในมาตรฐานฉบบนจะเนนไปทการรกษาความมนคงปลอดภยของเวบไซต มจดมงหมายใหผทเกยวของกบการบรหารจดการและดแลเวบไซตสามารถด าเนนมาตรการในการจดท าเวบไซตและเพอปองกน ตรวจสอบ และรบมอกบการโจมต รวมทงลดความเสยงทอาจถกโจมตภายใตมาตรฐานหรอแนวปฏบตอนยอมรบได ดวยเหตน สพธอ. จงไดจดท ามาตรฐานการรกษาความมนคงปลอดภยส าหรบเวบไซต เพอใชเปนขอก าหนด และเปนแนวทางในการจดท าและพฒนาเวบไซตเพอลดความเสยงจากการถกโจมตผานทางชองโหวตาง ๆ ของเวบไซต
ขมธอ.1-2557
ขมธอ.1-2557
-1-
ขอเสนอแนะมาตรฐานดานเทคโนโลยสารสนเทศ และการสอสารทจ าเปนตอธรกรรมทางอเลกทรอนกส
วาดวย มาตรฐานการรกษาความมนคงปลอดภยส าหรบเวบไซต
1. ขอบเขต
มาตรฐานการรกษาความมนคงปลอดภยส าหรบเวบไซตฉบบน เปนแนวทางและขอก าหนดส าหรบการรกษาความมนคงปลอดภยของเวบไซต โดยขอบเขตของแนวทางและขอก าหนดในมาตรฐานฉบบนจะเนนไปทการรกษาความมนคงปลอดภยของเครองบรการเวบในสวนของโปรแกรมส าหรบใหบรการเวบ (Web server software) ระบบบรหารจดการเวบไซต (Content management system: CMS) ระบบฐานขอมล (Database system) และโปรแกรมประยกตบนเวบ (Web applications) เพอลดความเสยงจากการโจมตเวบไซต และท าใหผทเกยวของมแนวทางในการรบมอและสามารถจดการกบปญหาทเกดขนไดอยางเปนมาตรฐาน อยางไรกตาม มาตรฐานฉบบนเปนเพยงขอเสนอแนะ เพอลดความเสยงจากการถกโจมตทางเทคโนโลยสารสนเทศและการสอสาร หรอทางออนไลนเทานน ทงน การท าใหเวบไซตมความมนคงปลอดภยนน ยงจ าเปนตองอาศยความเขมแขงในการบรหารจดการและการดแล การด าเนนการตามขอเสนอแนะมาตรฐานนยงมไดเปนสงทรบรองวาเวบไซต มความมนคงปลอดภยโดยสนเชงจากการโจมต หรอการบกรกระบบ หรอขาดความเขมแขงในการบรหารจดการเวบไซตในทางปฏบต หรอมภยคกคามในรปแบบทไมเคยเกดขนมากอน (Zero Day Attack) หรอถกโจมต เพอเขามาในระบบโดยไมไดรบอนญาตหรอโดยมชอบ (Unauthorized Access) เปนตน
ภาพท 1 ขอบเขตของมาตรฐานการรกษาความมนคงปลอดภยส าหรบเวบไซต (สวนทเปนเสนทบ)
มาตรฐานฉบบนมงหมายใหผทเกยวของกบเวบไซตมแนวทางในการจดท าเวบไซตและบรหารจดการ ปองกน ตรวจสอบ และรบมอกบการโจมตทเกดขนกบเวบไซต โดยมผดแลเครองบรการเวบ (Web server administrator) ท าหนาทดแลรบผดชอบ โปรแกรมส าหรบใหบรการเวบ ระบบบรหารจดการเวบไซต ระบบฐานขอมล และการด าเนนกจกรรมตาง ๆ ทเกยวของกบเครองบรการเวบ เชน การตดตงและการตงคาทเกยวของกบโปรแกรมส าหรบใหบรการเวบ ระบบบรหารจดการเวบไซต และระบบฐานขอมล ใหมความมนคงปลอดภย รวมถงการรบมอเหตภยคกคามทเกดจากการโจมตเวบไซต ในขณะทผพฒนาโปรแกรมประยกตบนเวบ (Web application developer) มหนาทในการ
ขมธอ.1-2557
-2-
พฒนาโปรแกรมประยกตบนเวบ ปรบปรงและแกไขสวนประกอบของโปรแกรมประยกตบนเวบใหมความมนคงปลอดภย
มาตรฐานฉบบนอางองขอก าหนดและแนวทางทเกยวของกบการวางแผนเพอบรหารจดการเวบไซต การตดตงและการตงคาทเกยวของกบเครองบรการเวบ การส ารองขอมลเวบไซต และการรบมอสถานการณภยคกคามทเกดกบเวบไซตจากมาตรฐาน NIST SP 800-44 Version 2. Guidelines on Securing Public Web Servers [1] และในสวนของการพฒนาโปรแกรมประยกตบนเวบอยางมนคงปลอดภยนนไดอางองขอก าหนดทเกยวของจากขอแนะน าแกไขและปองกนขอบกพรองหรอจดออนของเวบไซต ของศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอรประเทศไทย หรอไทยเซรต (ThaiCERT) และ แนวทางการพฒนาโปรแกรมประยกตบนเวบทมนคงปลอดภยจาก Open Web Application Security Project (OWASP) Foundation และ คมอ “How to Secure Your Website” ของ ส านกงานสงเสรมเทคโนโลยสารสนเทศ ประเทศญปน (Information-Technology Promotion Agency (IPA), Japan)
2. การน าไปใชงาน
ในปจจบนหนวยงานตาง ๆ ใชเวบไซต เปนเครองมอในการเผยแพรประชาสมพนธขาวสารและตดตอกบลกคาเพอด าเนนกจกรรมทางธรกจ ดวยเหตนเวบไซตจงเปนเปาหมายหนงทถกคกคามดานสารสนเทศมากทสด โดยเฉพาะเวบไซตทมชอเสยง หรอเวบไซตทมชองโหว มกมความเสยงทจะตกเปนเปาหมายการโจมตจากผประสงครายอยเสมอ โดยอาจเปนการโจมตเพอเปลยนแปลงขอมลหนาเวบ (Web Defacement) การโจมตเพอขโมยขอมลส าคญ การโจมตเพอใชเปนฐานในการเผยแพรมลแวร (Malware URL) หรอใชเปนฐานในการฉอโกงทางการเงนผานหนาเวบไซตหลอกลวง (Phishing Website) ภยคกคามเหลานลวนกอใหเกดผลกระทบตอความนาเชอถอของเวบไซต การโจมตเวบไซตดงทกลาวมาแลว สวนใหญลวนอาศยชองโหวของระบบหรอโปรแกรมประยกตทเกยวของกบเวบไซต เชน โปรแกรมส าหรบใหบรการเวบ (Web server software) ระบบบรหารจดการเวบไซต (Content management system: CMS) ระบบฐานขอมล (Database system) และโปรแกรมประยกตบนเวบ (Web applications)
ขอก าหนดและแนวทาง (Clauses and Guidelines) ในมาตรฐานฉบบนจดท าขนส าหรบการบรหารจดการความมนคงปลอดภยของเครองบรการเวบและโปรแกรมประยกตบนเวบ โดยเสนอแนะแนวทางและขอก าหนดทเกยวของเพอปองกนการโจมตและแกไขชองโหวทเกยวของกบเวบไซต โดยขอก าหนดและแนวทางในมาตรฐานฉบบนถกแบงออกเปนสหมวดซงไดแก การวางแผน (Planning) การตดตงและการตงคาท เกยวของกบเวบไซต (Installation and Configuration) การพฒนาโปรแกรมประยกตบนเวบอยางมนคงปลอดภย และการรบมอเหต ภยคกคามทเกดกบเวบไซต (Security Incident Handling) ซงมรายละเอยดดงน
(1) การวางแผน (Planning) ประกอบดวยแนวทางในการวางแผนบรหารจดการเวบไซต ซงไดแก การวางแผนดานความมนคงปลอดภยของเวบไซต แนวทางการเลอกผรบจดทะเบยนชอโดเมน แนวทางการเลอกผใหบรการเวบโฮสตง และ แนวทางในการเลอกใชระบบบรหารจดการเวบไซต (Content Management System: CMS)
ขมธอ.1-2557
-3-
(2) การตดตงและการตงคาทเกยวของกบเวบไซต (Installation and Configuration) เปนขอก าหนดทมงเนนใหมการตดตงและการตงคาของ โปรแกรมส าหรบใหบรการเวบ ระบบบรหารจดการเวบไซต ระบบฐานขอมล และ Server-side script engine รวมถงแนวทางการก าหนดรหสผานทมนคงปลอดภย
(3) การพฒนาโปรแกรมประยกตบนเวบอยางมนคงปลอดภย ซงขอก าหนดในสวนนเนนการปองกนการโจมตดวยเทคนคตาง ๆ ทพบบอยจากรายงานของศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอรประเทศไทย หรอไทยเซรต (ThaiCERT) แนวทางการปองกนจากเอกสารของ IPA และ OWASP
(4) การรบมอเหตภยคกคาม (Security Incident Handling) เปนขอก าหนดทมงเนนใหผดแลเครองบรการเวบสามารถรบมอกบเหตภยคกคามดานความมนคงปลอดภยทเกดขนกบเวบไซต ไดแก กรณเวบไซตถกบกรกและควบคม (Intrusions) กรณการถกโจมตในลกษณะ (Denial of services: DoS) และ กรณโดเมนถกขโมย (Domain Hijack) เปนตน
มาตรฐานฉบบนเปนแนวทางและขอก าหนดส าหรบการรกษาความมนคงปลอดภยของเวบไซตเพอลดความเสยงจากการโจมตเวบไซต และท าใหผทเกยวของมแนวทางในการรบมอและสามารถจดการกบปญหาทเกดขนได โดยผดแลเครองบรการเวบและผพฒนาโปรแกรมประยกตบนเวบ สามารถใชตวอยางของแบบประเมนเพอตรวจสอบความมนคงปลอดภยของเวบไซตทอยในภาคผนวก ก. มาประยกตใชไดกบเวบไซตทวไปตามแนวทางและขอก าหนดในมาตรฐานฉบบน นอกจากนผดแลเครองบรการเวบและผพฒนาโปรแกรมประยกตบนเวบยงสามารถใชมาตรฐานฉบบนเพอแสดงความสอดคลองกบขอก าหนดและแนวทางทเกยวของโดย
(1) ประเมนตนเอง (Self-assessment) และประกาศการรบรองตนเอง (Self-Declaration) วาไดมการด าเนนการตามขอเสนอแนะฉบบน
(2) ยนยนถงความสอดคลองกบมาตรฐานจากผมสวนไดสวนเสยกบเวบไซต (3) ยนยนถงการประกาศรบรองตนเองจากหนวยงานภายนอก (4) ขอรบการรบรอง (certification) มาตรฐานการรกษาความมนคงปลอดภยส าหรบผดแลและพฒนาเวบไซต
จากหนวยตรวจสอบและรบรอง (Conformity assessment body)
ขอก าหนดในมาตรฐานฉบบนสามารถน าไปใชไดกบเวบไซตทวไปทอยบนเครองบรการเวบสวนตว (Private web server) หรอ เวบไซตทใชบรการกบผใหบรการเวบโฮสตง หรอ เวบไซตทใชบรการระบบ Cloud
3. นยาม
ค านยามของศพททใชกบมาตรฐานฉบบน
3.1. เวบเพจ (Web page)1 หมายถง เอกสารเวบทสรางดวยภาษา HTML หรอ HyperText Markup Language ซงเปนภาษามาตรฐานทใชในการสรางเวบเพจ
1 ศพทบญญตราชบณฑตยสถาน
ขมธอ.1-2557
-4-
3.2. เวบไซต (Website)1 หมายถง กลมของเวบเพจทอยบนเครองบรการเวบ (Web server) ซงมยอารแอลก ากบอย
3.3. ยอารแอล (Universal resource locator: URL) 1 หมายถง ตวชแหลงในอนเทอรเนตซงประกอบดวยชอโพรโทคอลทใชในการเขาถงขอมล (เชน http://) และ ชอโดเมน (เชน www.etda.or.th) ทก ากบเครองบรการเวบ
3.4. เวลดไวดเวบ (WWW) 1 หมายถง กลมของเวบไซตหรอเครองคอมพวเตอรทมขอมลพรอมไวใหผใชบรการเรยกดขอมลผานโพรโทคอลเอชททพ (HTTP หรอ Hypertext Transfer Protocol)
3.5. เครองบรการเวบ (Web server) 1 หมายถง เครองคอมพวเตอรทท าหนาทเปนเครองบรการ (Server) พรอมกบโปรแกรมทใหบรการขอมลเวบผานเครอขายเวลดไวดเวบ
3.6. โปรแกรมส าหรบใหบรการเวบ (Web sever software) หมายถง โปรแกรมทตดตงบนเครองบรการ (Server) เพอท าใหเครองบรการสามารถใหบรการขอมลเวบได เชน โปรแกรม Apache และ โปรแกรม Internet Informaiton Service (IIS) for window server เปน
3.7. โปรแกรมคนดเวบ (Web browser) 1 หมายถง โปรแกรมทใชเรยกขอมลเวบจากเครองบรการเวบผานเครอขายเวลดไวดเวบ
3.8. โปรแกรมประยกตบนเวบ (Web application)1 หมายถง โปรแกรมประยกตทถกพฒนาขนส าหรบการเรยกใชงานและเขาถงไดโดยโปรแกรมคนดเวบผานเครอขายคอมพวเตอร เชน เครอขายอนเทอรเนตหรอเครอขายอนทราเนต เปนตน
3.9. ระบบบรหารจดการเวบไซต (Content management system: CMS)2 หมายถง โปรแกรมทผดแลเครองบรการเวบสามารถใชในการดแลบรหารจดการเวบไซตผานสวนตอประสาน (interface) ซงชวยใหงายตอการบรหารจดการเวบเพจและการปรบปรงคาตดตงตางๆ ทเกยวของ
4. การวางแผนเพอบรหารจดการเวบไซต
องคประกอบของเวบไซตโดยทวไปจะประกอบดวย เครองบรการเวบ (Web server) โปรแกรมประยกตบนเวบ (Web application) และ ขอมลบนเวบหรอเวบเพจ ทอยภายใตการควบคมดแลเดยวกน การวางแผนบรหารจดการเวบไซตใหมความมนคงปลอดภยเปนกระบวนการทมความส าคญเนองจากเวบไซตทขาดการวางแผนทเหมาะสมมกจะมคาใชจายทสงในการแกไขปญหาดานความมนคงปลอดภยและมความเสยงทจะท าใหเกดผลกระทบกบองคประกอบสวนตาง ๆ ของเวบไซต ดวยเหตนการวางแผนเพอบรหารจดการเวบไซตจะชวยใหผทเกยวของสามารถบรหารจดการเวบไซตใหมความมนคงปลอดภยดวยเงนลงทนทเหมาะสมและสอดคลองกบความตองการทางธรกจ ในการวางแผนผดแลเครองบรการเวบจะตองศกษาขอมลทเกยวของตงแต การวางแผนดานความมนคงปลอดภยของเวบไซต การจดทะเบยนชอโดเมน การเลอกผใหบรการเวบโฮสตง (Web hosting service provider) และการเลอกระบบบรหารจดการเวบไซตทมนคงปลอดภย เพอวางรากฐานดานความมนคงปลอดภยใหกบเวบไซตกอนทจะเปดใหบรการ
2 คลงศพทไทย ส านกงานพฒนาวทยาศาสตรและเทคโนโลยแหงชาต
ขมธอ.1-2557
-5-
4.1 การวางแผนดานความมนคงปลอดภยของเวบไซต
การวางแผนดานความมนคงปลอดภยของเวบไซต มหลกเกณฑทใชส าหรบการพจารณาเพอจดท าแผนซงไดแก การวางแผนเพอบรหารจดการเครองบรการเวบ ภยคกคาม (Threat) ทเกยวของ และการวางมาตรการ (Mesasure) เพอปองกนภยคกคามทมความส าคญ มาตรฐานฉบบนมแนวทางในการจดท าแผนดานความมนคงปลอดภยของเวบไซตดงตอไปน
(1) การวางแผนเพอบรหารจดการเครองบรการเวบ กอนทจะมการจดท าเวบไซต การส ารวจความตองการทางธรกจหรอความตองการของผใชบรการ
เปนขอมลทส าคญส าหรบการวางแผนเพอบรหารจดการเครองบรการเวบ ซงบอกไดวาการจดท าเวบไซตมจดประสงคเพออะไร คณสมบตของเครองบรการเวบเปนอยางไร ตองใชโปรแกรมประยกตบนเวบส าหรบบรการดานใดบาง มการเกบรกษาขอมลบนเวบอยางไร และการก าหนดหนาทความรบผดชอบของบคลากรทเกยวของ รวมถงการใชเทคโนโลยทเกยวของกบการรกษาความมนคงปลอดภยอยางเหมาะสมเพอตอบสนองตอความตองการของธรกจและผใชบรการ ทงน การวางแผนเพอบรหารจดการเครองบรการเวบสามารถน าแนวทางในหวขอท 3 “Planning and Managing Web Server” ของมาตรฐาน NIST SP 800-44 [2] มาใชเปนแนวทางในการจดท าได
(2) จดล าดบความเสยงของภยคกคามทคาดวาจะเกดขนกบเวบไซต การจะจดล าดบความเสยงของภยคกคามทคาดวาจะเกดขนกบเวบไซตไดนน ผดแลเครองบรการเวบ
จะตองมการจดท ารายการของสนทรพย (Asset inventory) ของเวบไซต เชน จ านวนเครองบรการเวบ โปรแกรมประยกตบนเวบ และขอมลบนเวบหรอเวบเพจทเกยวของ รวมถงมลคาของสนทรพย (Asset value) และผรบผดชอบทเกยวของ หลงจากนนกจะตองมการระบภยคกคาม (threat) ความเปนไปไดทคาดวานาจะเกดภยคกคามดงกลาวขน พรอมกบผลกระทบ (Impact) ตอสนทรพยหากมภยคกคามดงกลาวเกดขน เพอน ามาเปนขอมลในการจดล าดบความเสยงของภยคกคามทจะตองมการวางมาตรการปองกนตอไป ทงน วธการและขนตอนของการประเมนความเสยงสามารถน าขนตอนทก าหนดไวในมาตรฐาน ISO/IEC 27005:2011 มาใชอางองได
(3) ก าหนดมาตรการทเกยวของเพอปองกนภยคกคามทมความส าคญ การจดล าดบความเสยงของภยคกคามท าใหสามารถเลอกใชมาตรการเพอปองกนหรอลดความเสยง
จากภยคกคามทมความส าคญโดยมคาใชจายทเหมาะสม ไมวาจะเปนเรองของการเตรยมความพรอมใหกบบคคลทเกยวของ การเลอกใชเทคโนโลยและมาตรฐานดานความมนคงปลอดภยทเหมาะกบภยคกคามและสามารถขยายขอบเขตการรกษาความมนคงปลอดภยไดอยางมประสทธภาพในกรณทเวบไซตมผใชบรการมากขน ทงนการเลอกหรอก าหนดมาตรการทเหมาะสมเพอปองกนภยคกคามทมความส าคญนนสามารถใชแนวทางตามทมาตรฐาน ISO/IEC 27002:2013 ก าหนดไวเปนแนวทางได
4.2 การเลอกผรบจดทะเบยนชอโดเมน
ขมธอ.1-2557
-6-
เครองบรการเวบหรอเครองคอมพวเตอรทใหบรการอยบนเครอขายอนเทอรเนต ในความเปนจรงจะถกระบดวย หมายเลข IP (เชน 165.134.170.27) แตเนองจากคนเราสามารถจดจ า ชอไดดกวาการจ าตวเลขยาว ๆ ยอารแอล (URL: universal resource locator) หรอ ตวชแหลงในอนเทอรเนต จงมขนเพออ านวยความสะดวกในการอางถงเครองบรการเวบบนเครอขายอนเทอรเนต โดยยอารแอลจะมความสมพนธกบชอโดเมน เพราะชอโดเมนเปนทอยเปาหมายและเปนสวนประกอบของยอารแอล เชน http://www.etda.or.th หรอ https://www.thaicert.or.th จะมชอโดเมนทมการใชคอ etda.or.th และ thaicert.or.th ตามล าดบ ดงนน กอนทจะพฒนาเวบไซต ผดแลเครองบรการเวบจงมความจ าเปนจะตองจดทะเบยนชอโดเมนของเวบไซตตนเองเสยกอน ชอโดเมนจงมความส าคญเปนอนดบแรกส าหรบเวบไซต โดยเฉพาะกบการโฆษณาประชาสมพนธบนอนเทอรเนต ถาไดชอทจดจ างาย ตรงกบกลมเปาหมายทมความสนใจในบรการหรอสนคาอยแลวนน จะท าใหชอโดเมน หรอ เวบไซตนนๆ ไดรบความสนใจและเปนทจดจ าไดงายไมเฉพาะลกคาของเวบไซตเทานน แตยงรวมไปถงโปรแกรมคนหา (Search Engine) ชอดงตางๆ ทจะเขามาท าดชนการคนหา (index) ในเวบเพจหนาตางๆ ของเวบไซต เชน Google Yahoo และ BING เปนตน หลายครงทชอโดเมนถกแกไขใหชไปยงเวบไซตหลอกลวง และสาเหตหนงทท าใหเกดเหตการณนขนคอการเขาถงบญชทใชจดทะเบยนชอโดเมนโดยไมไดรบอนญาต ท าใหผประสงครายสามารถเขาไปเปลยนแปลงการตงคาของชอโดเมนเพอน าไปใชในทางทผด ซงปรากฏตามรายงานของ Security and Stability Advisory Committee (SSAC) [3] ดงนน มาตรฐานฉบบนมแนวทางในการเลอกผรบจดทะเบยนชอโดเมนดงตอไปน
(1) มการยนยนการลงทะเบยน โดยใหผขอจดทะเบยนยนยนอเมลของตนโดยการเขาไปยงจดเชอมโยงหลายมต (hyperlink) บนเวบเพจ ซงระบไวในอเมลเปดการใชงาน (activation email) ทผรบจดทะเบยนสงมา บรการจดทะเบยนสามารถเพมมาตรการความมนคงปลอดภยโดยใชการตดตอไปยงหมายเลขโทรศพทของผขอจดทะเบยน เพอบอกหมายเลขส าหรบยนยนการลงทะเบยน (confirmation number) ใหผขอจดทะเบยนน าหมายเลขมากรอกในแบบฟอรมบนเวบเพจ เพอเปดการใชงานบญชหรออนญาตใหท าธรกรรมได
(2) มมาตรการในการเพมความมนคงปลอดภยใหกบรหสผาน เชน การก าหนดคาเรมตนของรหสผานทมความซบซอนคาดเดาไดยาก (Strong password) ระบความยาวขนต าของรหสผาน และจ ากดอายการใชงาน เปนตน
(3) มการแจงเตอนและการยนยนการเปลยนแปลงขอมลการลงทะเบยน ทงน การเปลยนแปลงขอมลตางๆ ตองมการก าหนดขนตอนส าหรบการเปลยนแปลงขอมลซงตองอาศยการยนยนจากหลายบคคลทเกยวของ ซงการยนยนการเปลยนแปลงลกษณะนจะชวยปองกนการเปลยนแปลงจากผประสงครายทอาจจะปลอมตวเพอเขามาเอาขอมลจากบคคลใดบคคลหนงได
4.3 แนวทางการเลอกรปแบบเครองบรการเวบ
ผใหบรการเวบโฮสตง มสวนส าคญในดานความมนคงปลอดภยของเวบไซต เนองจากในรปแบบทนยมกระท ากนนน ผใหบรการจะมฐานะเปนผดแลระบบปฏบตการ (Operating system) โปรแกรมส าหรบใหบรการเวบ (Web server software) ระบบบรหารจดการเวบไซต (CMS) และซอฟตแวรทเกยวของกบเครองบรการเวบทงหมด ทงในการตดตง ตงคา และการปรบเวอรชนหรอปรบปรงระบบ (Upgrade/Update) ซงในบางครง ชองโหวกอาจจะเกดขนมาจากขอผดพลาดของระบบปฏบตการ (Operating system) หรอ โปรแกรมส าหรบใหบรการเวบ หรอ ระบบบรหารจดการเวบไซต ซงบางครงการตงคาบางอยางผใชบรการไมสามารถแกไขปรบปรงไดเอง
ขมธอ.1-2557
-7-
มาตรฐานฉบบนมแนวทางในการพจารณาเลอกผใหบรการเวบโฮสตง ดงตอไปน
(1) พจารณาเลอกรปแบบการใหบรการระหวาง Shared หรอ Dedicated รปแบบการใหบรการเวบโฮสตงนนมหลายรปแบบไมวาจะเปนการใหบรการแบบ Shared หรอ
Dedicated ซงรปแบบการใหบรการนนมขอแตกตางกนทงในเรองของตนทนคาใชจายและสภาพแวดลอมทมผลกระทบตอความมนคงปลอดภยของเวบไซต การใหบรการแบบ Shared มคาใชจายทต าเนองจากเปนการใชเครองบรการเวบรวมกนระหวางผใชบรการหลายๆ ราย โดยมกไมไดมการแบงแยกสทธการเขาถงระหวางโปรแกรมประยกตของผใชบรการแตละราย ดงนน หากเวบไซตของผใชบรการรายใดรายหนงมชองโหว ผประสงครายกอาจอาศยชองโหวนนในการเขาโจมตเวบไซตอนๆ ทอยในเครองบรการเดยวกนได แมวาจะเปนเวบไซตทไมมชองโหวเลยกตาม สวนรปแบบ Dedicated นน ผใชบรการแตละรายจะไดเครองบรการเวบแยกกนไปโดยเฉพาะ จงท าใหมคาใชจายสงกวามาก แตชวยปองกนความเสยงจากการถกโจมตผานชองโหวของเวบไซตอนได แตรปแบบการใหบรการดงกลาวกจะมคาใชจายทสงขน ดงนนหากผใชบรการมขอจ ากดทางดานตนทนและคาใชจายกมความจ าเปนทจะตองรบทราบถงความเสยงดานความมนคงปลอดภยและเตรยมแนวทางการปองกนหรอบรรเทาผลกระทบจากความเสยงดงกลาวไว
(2) การพจารณาจากรปแบบนโยบายการจดการชองโหว เมอมการคนพบชองโหวในซอฟตแวรทใชงานอยในเครองบรการเวบ ผใหบรการจะตองมนโยบายท
ชดเจนในการปองกนความเสยหายทอาจจะเกดจากชองโหวนนๆ เชน การแจงใหผใชบรการทราบในทนท การ patch หรอแกไขปญหาเฉพาะหนา (Workaround) ตามทผผลตซอฟตแวร หรอผเชยวชาญดานความมนคงปลอดภยทเชอถอไดแนะน า ตลอดจนแผนส ารอง ในกรณทเปนชองโหวทไมสามารถหาวธแกไข หรอปองกนความเสยหายไดในระยะเวลาสนๆ โดยตองพจารณาทงผลทคาดวาจะไดรบ และระยะเวลาทสามารถด าเนนการไดส าเรจ ตลอดจนอาจตองพจารณาถงความรบผด (Liability) ทผใหบรการอาจจะตองชดเชยในกรณทเกดความเสยหายแกผใชบรการในกรณทเกดความบกพรองในการจดการกบชองโหวดวย
(3) รปแบบการใหบรการโอนยายไฟลขอมล (Remote file transfer) ในการโอนยายไฟลขอมลระหวางเครองของผใชบรการและเครองบรการเวบ ผใหบรการเวบโฮสตง
ควรมชองทางการโอนยายไฟลทมนคงปลอดภยและมการเขารหสเพอรกษาความลบของขอมลระหวางทมการโอนยาย เชน มบรการ Secure Transfer Protocol (SFTP) ส าหรบกระบวนการโอนยายไฟล เปนตน
(4) การใหบรการรปแบบการสอสารอยางมนคงปลอดภยส าหรบเวบไซต (บรการโพรโทคอล SSL/TLS) บรการโพรโทคอล SSL (Secure Socket Layer protocol) และ TLS (Transport Layer
Security protocol) เปนโพรโทคอลทก าหนดรปแบบการสอสารทมความมนคงปลอดภย (ดรายละเอยดเพมเตมในภาคผนวก ข.) ซงสามารถปองกนการสอสารของโปรแกรมประยกตในระบบรบ -ให (Client-Server system) จากการลอบฟง (eavesdropping) การแกไขใหเสยหาย (tampering) และ การปลอมแปลงขอความทใชในการสอสาร (Message forgery) เวบไซตทไมไดมการน า SSL/TLS มาใชงาน จะเปดโอกาสใหผประสงครายสามารถลอบฟง แกไขและปลอมแปลงขอมลทใชรบ-สงระหวางเครองบรการเวบและ
ขมธอ.1-2557
-8-
ผใชบรการได ในกรณทมความจ าเปนตองใชงานบรการ SSL/TLS ผใชบรการควรตรวจสอบวาผใหบรการเวบโฮสตง มการใหบรการ SSL/TLS หรอไม หากผใหบรการสามารถใหบรการ SSL/TLS ผใชบรการกจ าเปนจะขอใบรบรองอเลกทรอนกสประเภทเวบไซต หรอ SSL Certificate (ดรายละเอยดเพมในภาคผนวก ค.) จากผใหบรการใบรบรองอเลกทรอนกสทนาเชอถอ บรการ SSL/TLS จะเปนเครองมอทส าคญในการรกษาความมนคงปลอดภยของขอมลส าคญๆ เชน ขอมลลกคา ขอมลบตรเครดต ซงมการรบสงกนระหวางเครองของผใชบรการและเครองบรการเวบ โดยเฉพาะผใชบรการทตองการจะเปดบรการเวบไซตส าหรบการท าพาณชยอเลกทรอนกส (e-commerce website) หรอการท าธรกรรมทางอเลกทรอนกสของภาครฐ
(5) การส ารองขอมลและการดแลรกษาเครองบรการเวบ ผใหบรการตองมการส ารองขอมลของเครองบรการเวบทอยในความดแลอยางสม าเสมอ นอกจากน
ผใหบรการควรมเครองมอใหกบผใชบรการส าหรบการส ารองขอมลของเวบไซตดวยตวเอง ผใชบรการควรตรวจสอบนโยบายทเกยวของกบการส ารองและกคนขอมลของผใหบรการ วธการส ารองขอมลทผใหบรการใช และเครองมออ านวยความสะดวกใหกบการส ารองและกคนขอมล วามความเหมาะสมและสอดคลองกบความตองการใชงานหรอไม
(6) การตดตอผใหบรการเมอมเหตฉกเฉน ผใหบรการควรจะมชองทางตดตอเฉพาะส าหรบกรณทเกดเหตการณดานความมนคงปลอดภย เพอ
ใชในการประสานงานอยางทนทวงท ทงในกรณทผใชบรการตองการตดตอเพอขอความชวยเหลอ หรอกรณทมหนวยงานอนประสานเขามา การทผใหบรการมชองทางตดตอเฉพาะเกยวกบเรองความมนคงปลอดภย จะชวยสะทอนวา ผใหบรการมความเอาใจใสตอปญหาดานความมนคงปลอดภยเปนอยางยง
4.4 แนวทางการเลอกระบบบรหารจดการเวบไซต (CMS)
การพฒนาเวบไซตของหนวยงานของรฐและเอกชนในปจจบน เหนไดชดวามแนวโนมของการน า ระบบบรหารจดการเวบไซต มาใชงานกนอยางแพรหลาย อาจเนองมาจากความสะดวกสบายของการพฒนาและการบรหารจดการเวบไซต โดยรปแบบของการพฒนามทงทเปนการน า CMS ทพฒนาจากผพฒนาในตางประเทศ ซงอนญาตใหผใชบรการทวโลกสามารถน าไปใชงานตอไดฟร หรออกประเภทหนงคอเปน CMS ทพฒนาโดยบรษทในประเทศไทยและมการคดคาบรการหรอลขสทธในการใชงาน ซงเปนอกทางเลอกหนงของเทคโนโลยการพฒนาเวบไซต โดยในปจจบนพบวา ระบบบรหารจดการเวบไซตทเปนทนยมและมผใชบรการมากทสดไดแก WordPress, Joomla, Drupal ตามล าดบ จากสถตของ Google Trends [4] และจากสถตเรองชองโหวท National Vulnerability Database (NVD) ซงเปนองคกรทอยภายใตก ากบของ National Institute of Standards and Technology หรอ NIST [5] พบวา CMS ทมความนยมใชกนมากกจะมรายงานชองโหวของระบบมากเชนกน ถงแมวาการน า ระบบบรหารจดการเวบไซต มาประยกตใชจะถอเปนการตอบโจทยหนวยงานทตองการใหการบรหารจดการเวบไซตเปนไปไดอยางงายดาย และสามารถยนระยะเวลาในการพฒนาลง น าเวลาไปพฒนาในสวนของเนอหาใหมความสมบรณได แตเนองจาก CMS ทเปนทนยมมกเปนระบบทพฒนาแบบโอเพนซอรส (Open source) ซงมความเสยงทจะพบชองโหวตาง ๆ
ขมธอ.1-2557
-9-
มาตรฐานฉบบนมแนวทางในการพจารณาเลอกระบบบรหารจดการเวบไซตทมความมนคงปลอดภยดงน
(1) พจารณาจากตวเลอกทเกยวของกบการรกษาความมนคงปลอดภย
CMS ควรมเอกสารแนะน าแนวทางการตดตงและการตงคาเพอรกษาความมนคงปลอดภย (Security best practice) และม plugin เสรมทตดตงใหเกดความมนคงปลอดภยตรงตามความตองการของผดแลเครองบรการเวบและผใชบรการ นอกจากตวเลอกดานความมนคงปลอดภยแลวยงมปจจยอน ๆ ทสามารถน ามาพจารณาใชเปนแนวทางในการเลอก CMS ได โดยอานรายละเอยดเพมเตมไดจาก “Choosing a CMS” [6] ของ GSA’s Office of Citizen Services and Innovative Technologies และ the Federal Web Managers Council
(2) พจารณาจากคณภาพของประชาคมนกพฒนา CMS
ในกรณของ CMS ทเปน open source ซงตองอาศยประชาคมของนกพฒนาในการปรบปรง CMS ใหดขน CMS ทมประชาคมนกพฒนาทมขนาดใหญ มการสอสารภายใน และพฒนาอยางตอเนอง (Active developer community) จะเปน CMS ทมฟงกชนการท างานตอบสนองตอความตองการของผใชไ ดมากกวา รวมถงการปรบเวอรชนหรอปรบปรงระบบ เพอแกไขขอบกพรองและชองโหวของ CMS ซงสามารถสงเกตไดจากความถของการปรบเวอรชนหรอปรบปรงระบบ CMS เพอแกไขชองโหวทเกดขน หรอ ระยะเวลาใชในการพฒนาตวปรบรน (patch) เพอแกไขชองโหวทเกดขน
(3) พจารณาจากแหลงขอมลทเกยวกบการตดตง การตงคา และแนวทางการรกษาความมนคงปลอดภย CMS ทดควรมแหลงขอมลและเอกสารสนบสนนทเกยวของกบการตดตง การตงคา และ แนว
ทางการรกษาความมนคงปลอดภยใหกบ CMS
5. การตงคาเครองบรการเวบอยางมนคงปลอดภย
เมอมการตดตงระบบปฏบตการ (operating software) ใหกบเครองบรการเวบเรยบรอยแลวขนตอนตอไปคอการตดตงโปรแกรมส าหรบใหบรการเวบ (Web server software) ซงมผพฒนาหลายรายและมหลายรน ดวยเหตนกอนการตดตงซอฟตแวรดงกลาว ผดแลเครองบรการเวบควรศกษารายละเอยดของคมอการตดตง ( Installation guideline) และการตงคาพารามเตอรตางๆ ทเกยวของเพอใหซอฟตแวรดงกลาวสามารถท างานไดตามความตองการของผใหบรการและมความมนคงปลอดภย ซงในมาตรฐานฉบบนจะกลาวถงขอก าหนดทเกยวของการตดตง (Installation) และการตงคา (Configuration) ทเกยวของกบเครองบรการเวบ โดยจะไดกลาวถงหวขอทส าคญๆ ไดแก การตงคาโปรแกรมส าหรบบรการเวบ การตงคาระบบบรหารจดการเวบไซต การตงคาฐานขอมล การตงคา Server-side script engine และ การก าหนดรหสผานและรกษารหสผานใหมความมนคงปลอดภย
5.1 การตงคาโปรแกรมส าหรบใหบรการเวบ (Web server software)
การตดตงและตงคาโปรแกรมส าหรบใหบรการเวบ (Web sever software) ซงเปนโปรแกรมทมผพฒนาหลายรายและมหลายรน ดวยเหตนกอนการตดตงโปรแกรมดงกลาว ผดแลเครองบรการเวบควรศกษารายละเอยดของคมอการตดตง (Installation guideline) และการตงคาพารามเตอรตางๆ ทเกยวของเพอให
ขมธอ.1-2557
-10-
โปรแกรมดงกลาวสามารถท างานไดตามความตองการของผใหบรการและมความมนคงปลอดภย การตดตงเครองบรการเวบนนควรท าใหเกดความมนคงปลอดภยมากทสด ผดแลเครองบรการเวบควรศกษาเอกสาร ขอมลในการตดตงเครองบรการเวบอยางละเอยดกอนทจะเรมตดตงจรง ซงในระหวางขนตอนตดตง อาจจะมการตดตงโปรแกรมหรอสครปต (Script) ใดๆ ทไมจ าเปน ตดตงมาใหอยางอตโนมต ดงนน เมอพบขอมลใดๆ ทไมจ าเปน ผดแลเครองบรการเวบควรลบออกไปทนท เพอไมเปนการเปดชองโหวใหผประสงครายเขามาท าอนตรายแกเครองบรการเวบได ดงนน มาตรฐานฉบบนจงมขอก าหนดทเกยวกบโปรแกรมส าหรบใหบรการเวบใหมความมนคงปลอดภย ดงน
(1) ปรบปรงสวนประกอบของโปรแกรมส าหรบใหบรการเวบอยางสม าเสมอ สวนใหญแลวชดปรบปรง (patch) นนจะเปนโปรแกรมทมการแกไขขอบกพรองหรอจดออนของโปรแกรมทตรวจพบรวมถงมการพฒนาประสทธภาพในการท างานของโปรแกรมใหดยงขน
(2) ควบคมขอความแจงเตอนหรอขอความแสดงขอผดพลาด (Error Message) ไมใหแสดงขอมลทเปนประโยชนตอผประสงคราย เนองจากผประสงครายสามารถใชขอมลจากขอความแจงเตอนหรอขอความแสดงขอผดพลาดคาดเดาขอมลการตงคาของโปรแกรมและระบบทเกยวของได
(3) จดหมวดหมของสารบบ (directory) ทใชเกบไฟลขอมล เวบเพจ ระบบปฏบตการ โปรแกรมส าหรบใหบรการเวบ และโปรแกรมอน ๆ โดยจะตองมการก าหนดสทธในการเขาถงสารบบทเกยวของทงหมดใหเหมาะสมกบการใชงานและค านงถงความมนคงปลอดภย
(4) ตรวจสอบและจดการลบ ตวอยางโปรแกรม ตวอยางไฟลขอมล บญชผใชทไมไดใชงาน เชน บญชซงมการใชงานระหวางกระบวนการตดตงเครองบรการเวบทงหมด เชน ไฟลเอกสารทมาจากบรษทผผลตเครองบรการเวบ ไฟลทดสอบ ไฟลตวอยางทตดตงจากเครองบรการเวบ บญชผใชพนฐานทเครองบรการเวบสรางขน เปนตน
(5) ตรวจสอบไมใหมการใชคาเรมตนของชอสารบบ ชอไฟลขอมล ต าแหนงไฟลขอมล รหสผาน ทมากบการตดตงเครองบรการเวบ เนองจากผประสงครายมกจะใชคาเรมตนเหลานเปนขอมลเบองตนในการโจมตเครองบรการเวบ
(6) ควบคมการเขาถงเครองบรการเวบ และจ ากดหมายเลขไอพปลายทางหรอยอารแอลทอนญาตใหเครองบรการเวบสามารถเชอมตอ (Whitelist) ซงชวยใหผดแลเครองบรการเวบตรวจพบความผดปกตหากพบวามการเชอมตอออกไปยงหมายเลขไอพปลายทางหรอยอารแอลทไมไดรบอนญาต
(7) ปดบรการตางๆ ทไมจ าเปนบนเครองบรการเวบ โดยเฉพาะบรการประเภท Remote Access สวนใหญเครองบรการเวบไซตมกมการตดตงซอฟตแวรตาง ๆ มาใหกบผดแลเครองบรการเวบเ พอเพมความสะดวกสบายจากการเขาจดสวนประกอบตาง ๆ ของเวบไซต ไมวาจะเปนบรการประเภท Remote Access เชน Remote Desktop, VNC, SSH, Telnet หรอบรการอน ๆ ทมความเกยวของกบเวบไซตโดยตรง อยางเชน บรการฐานขอมล (Database) ตลอดจนบรการ FTP ส าหรบจดการไฟลของเวบไซต การเปดบรการตาง ๆ ทงไวบนเครองบรการเวบโดยไมไดใชงานกเปรยบเสมอนการเปดโอกาสใหผประสงครายไดทดสอบโจมตหาชองโหวตามชองทางนน ๆ ซงในกรณทรนแรงมาก อาจถงขนถกผประสงครายเขาถงขอมลในเครองบรการเวบในระดบสทธของผดแลระบบกเปนได
ขมธอ.1-2557
-11-
5.2 การตงคาระบบบรหารจดการเวบไซต (CMS)
แนวทางในการพฒนาเวบไซตนนมดวยกนหลากหลายวธ ซงการน าระบบบรหารจดการเวบไซตมาประยกตใชนนกเปนอกทางเลอกหนงทชวยอ านวยความสะดวกในการพฒนาและการบรหารจดการเวบไซต ผดแลเครองบรการเวบจงจ าเปนตองตงคาองคประกอบบางอยางกอนทจะใชงานจรง เพอใหเวบไซตมความมนคงปลอดภยและปองกนภยคกคามจากผประสงคราย [7] [12] [13] [14]
ดงนน มาตรฐานฉบบนจงมขอก าหนดส าหรบการตงคาระบบบรหารจดการเวบไซต ดงน
(1) ตองมการก าหนดสทธการใชงาน (permission) และการควบคมการเขาถง (access control) ไฟลตาง ๆ ใหเหมาะสมกบบทบาทและหนาทของผใชบรการ
(2) ตรวจสอบวามไฟลหรอโปรแกรมเสรม (plug-in program) ทไมจ าเปนหรอไมไดใชงานปรากฏอยหรอไม ถาตรวจพบผดแลเครองบรการเวบตองลบหรอถอนการตดตงไฟลหรอโปรแกรมเสรมนนทนท
(3) หมนตรวจสอบการอพเดตเวอรชนของระบบบรหารจดการเวบไซตอยเสมอ และอพเดตเวอรชนใหเปนปจจบน ใหดาวนโหลดไฟลจากเวบไซตหลกของผใหบรการระบบบรหารจดการเวบไซตเทานน
(4) ลบบญชผใชทมากบการตดตงระบบบรหารจดการเวบไซต เปลยนชอผใชของบญชผใชนนหรอเปลยนรหสผานของบญชผใชนน ใหเปนรหสผานทมความมนคงปลอดภยแทน
(5) เปลยน table prefix ของฐานขอมลทมาในระหวางการตดตงระบบบรหารจดการเวบไซต ยกตวอยางเชนใน wordpress จะมการใช table prefix ทขนตนดวย wp_xxx ใหเปลยนเปนชออน เนองจากอาจเปนชองทางใหผประสงครายสามารถทราบถงโครงสรางและตารางในฐานขอมลได
5.3 การตงคาฐานขอมล (Database system)
จากเอกสารเรอง Oracle Database Security Checklist ของ Oracle [15] และ Making Database Security an IT Security Priority ของ SANS [16] ทกลาวถงแนวทางการรกษาความมนคงปลอดภยของฐานขอมล นบวามความนาสนใจเปนอยางมาก เนองจากในกระบวนการท างานของเครองบรการเวบและเวบไซตนน จะตองมการเกบขอมลตาง ๆ ลงในฐานขอมลอยเสมอ ดงนน ผดแลเครองบรการเวบจงจ าเปนตองตงคาองคประกอบบางอยางเพอรกษาความมนคงปลอดภยของขอมล
ดงนน มาตรฐานฉบบนจงมขอก าหนดส าหรบการตงคาฐานขอมล ดงน
(1) ตงคาฐานขอมล อนญาตใหเฉพาะโปรแกรมประยกต (application) และเครองบรการเวบทเกยวของเขาถงไดเทานน
(2) ควบคมการเขาถงระบบฐานขอมลดวยระบบรกษาความมนคงปลอดภย เชน ดานกนบกรกหรอไฟรวอลล (Firewall) เปนตน เพอไมใหผใชบรการทวไปเขาถงฐานขอมลได
(3) ตรวจสอบและปดบรการ (Services) ทไมจ าเปนหรอไมไดใชงาน ในระบบฐานขอมล (4) จดใหมการทบทวนบญชผใชภายในฐานขอมลตามระยะเวลาทก าหนด และลบบญชผใชทไมไดมการใชงาน
ออกจากระบบฐานขอมล
ขมธอ.1-2557
-12-
(5) ปดบญชผใชทมาพรอมกบการตดตงฐานขอมล หรอเปลยนรหสผานของบญชผใชดงกลาว ใหเปนรหสผานทมความมนคงปลอดภย
(6) ก าหนดคาตดตงระบบฐานขอมลเพอไมอนญาตใหใชงานรหสผานทมคาวาง (Null password) (7) ตรวจสอบและลบแฟมชวคราว (temporary file) ทถกสรางขนระหวางการตดตงระบบฐานขอมล เนองจาก
ไฟลขอมลดงกลาวอาจจะมขอมลทเปนประโยชนตอผประสงคราย (8) ปรบปรงเวอรชนของโปรแกรมระบบฐานขอมล หรออพเดต patch จากบรษทผพฒนาซอฟตแวรใหเปนเวอร
ชนลาสดเสมอ เพอใหโปรแกรมมความมนคงปลอดภยมากทสด (9) ก าหนดสทธการใชงาน (permission) และการควบคมการเขาถง (access control) ใหเหมาะสมกบบทบาท
และหนาทของผใช [17] (10) รหสผานทเกบในฐานขอมล ตองมการเขารหสเสมอ
5.4 การตงคา Server-side Script Engine
ในปจจบน หลายเวบไซตไดมการใชเทคโนโลยในการพฒนาเวบไซตแบบพลวต (Dynamic Website) ซงเนอหาในหนาเวบเพจเปลยนแปลงไดตามปจจยทก าหนด โดยการพฒนาหนาเวบเพจแบบพลวตนนตองอาศยการใชเทคโนโลย Server-side Script Engine เชน PHP [18], ASP.NET [19], JSP [20] เปนตน ซงผดแลเครองบรการเวบตองท าการตงคาองคประกอบบางอยางของ Server-side Script Engine ใหมความมนคงปลอดภยเพอปองกนการเขาถงของผประสงคราย
ดงนน มาตรฐานฉบบนจงมขอก าหนดส าหรบการตงคา Server-side Script Engine ดงน
(1) ควบคมการเขาถงไฟลหรอสารบบตาง ๆ ใหเหมาะสมกบบทบาทของผใช เชน ไฟล Script หรอสารบบทเกบโปรแกรม ควรอนญาตการเขาถงและใหสทธแกผใชทเปนเจาของไฟลหรอนกพฒนาซอฟตแวรเทานน ผใชบรการทวไปไดรบสทธแคอานและไมสามารถแกไขได หรอผดแลเครองบรการเวบไดรบสทธทงอาน เขยนและแกไขได เปนตน
(2) ปรบปรงเวอรชนของ Server-side Script Engine หรออพเดต patch จากบรษทผพฒนาซอฟตแวรใหเปนเวอรชนลาสดเสมอ เพอใหโปรแกรมมความมนคงปลอดภยมากทสด
(3) ก าหนดคาตดตงไมให Server-side Script Engine แสดงขอมลเวอรชนของ Server-side Script Engine ทเครองบรการเวบใชงาน ใน HTTP Header เนองจากอาจเปนชองทางใหผประสงครายลวงรเวอรชนทเครองบรการเวบใชงานและหาชองโหวเขามาท าอนตรายได [21]
(4) ก าหนดคาตดตง Server-side Script Engine ไมใหมการแสดงรายละเอยดของขอความหรอแสดงขอผดพลาด (Error message) หากตองมรายละเอยดควรจะแสดงขอมลเทาทจ าเปนและไมเปนประโยชนกบผประสงคราย
ขมธอ.1-2557
-13-
5.5 การก าหนดและรกษารหสผาน
การเขาใชงานระบบตาง ๆ ของเวบไซตในปจจบน เครองบรการเวบจ าเปนทจะตองตรวจสอบและยนยนตวตนของผใชบรการ วาเปนบคคลทไดรบอนญาตหรอไม ซงโดยมากนนมกใช ชอบญชผใช (Username) และรหสผาน (Password) ในการตรวจสอบ ซงการเขาสระบบดวยชอบญชผใชและรหสผานนน มความเสยงสงตอการถกโจมตจากผประสงคราย และปจจยทจะท าใหการโจมตส าเรจหรอไมนน มกขนอยกบการก าหนดรหสผานของผใชบรการเองเปนหลก ซงหากผใชบรการก าหนดรหสผานทไมมความมนคงปลอดภยแลว กเทากบเปนการเปดโอกาสใหผประสงครายคาดเดารหสผานและขอมลทเปนความลบของผใชบรการไดโดยงายและกอใหเกดผลกระทบมากมาย เชน การท าธรกรรมออนไลน ผประสงครายเดาสมชอบญชและรหสผานของผใชบรการได กสามารถปลอมตวเสมอนวาเปนผใชบรการเองเขาไปท าธรกรรมใดๆ กไดอยางอสระ เปนตน รปแบบในการโจมตเพอดกเอารหสผานของบญชผใช ม 2 วธกคอ Dictionary Attack และ Brute Force Attack การโจมตรหสผานแบบ Dictionary Attack เปนการสมเดาขอมลหรอรหสผานจากค าศพททอยใน Dictionary และค าศพททพบบอยซงเรยกวา “Word list” ในขณะทการโจมตรหสผานแบบ Brute force Attack [2] จะเปนวธการโจมตดวยการสมขอมลหรอรหสผาน โดยคาดเดารหสผานตามทกความเปนไปไดของตวอกษรในแตละหลก ผประสงครายอาจเปนผเดาสมเองหรออาจจะใชโปรแกรมอตโนมตท างานเพอเดาสมกได ซง Brute force Attack สามารถหารหสผานทถกตองได เพยงแตขนอยกบระยะเวลาของเดาสมทจะมากหรอนอยนนขนอยกบความซบซอนของการตงรหสผาน
ดงนนมาตรฐานฉบบนจงมขอก าหนดทเกยวกบการจดการรหสผานใหมความมนคงปลอดภยดงน
(1) ตงคารหสผานใหมความมนคงปลอดภย (Strong password) โดยรหสผานควรประกอบดวยตวอกษรทงตวเลกและตวใหญผสมกน มตวเลขและสญลกษณพเศษอยางนอย 1 หลก และตองมความยาวทงหมดไมนอยกวา 8 หลก
(2) ก าหนดใหมการเปลยนรหสผานอยางสม าเสมอจะชวยลดโอกาสจากการถกคาดเดารหสผาน (3) ไมเกบรหสผานทไมมการเขารหสลบบนเครองบรการเวบ หากจ าเปนตองมการเกบรหสผานควรอยในรปทม
การเขารหสลบตามทมาตรฐานดานความมนคงปลอดภยก าหนด [22] เชน AES หรอ Triple DES เปนตน และหากมการเกบอยในรปแบบของคาแฮช (Hash value) ควรใชขนตอนวธ (Algorithm) ตามทมาตรฐานดานความมนคงปลอดภยก าหนดไว [22] เชน SHA-224 SHA-256 SHA-384 SHA-512 เปนตน
6. การพฒนาโปรแกรมประยกตบนเครองบรการเวบอยางมนคงปลอดภย
องคประกอบส าคญของการรกษาความมนคงปลอดภยเวบไซตประกอบดวยการรกษาความมนคงปลอดภยในสองสวนหลก ไดแก (1) การรกษาความมนคงปลอดภยของเครองบรการเวบและโปรแกรมส าหรบใหบรการเวบ (ซงไดกลาวในรายละเอยดไวบทท 5) และ (2) การรกษาความมนคงปลอดภยของโปรแกรมประยกตบนเวบ จากสถตภยคกคามทเปนการโจมตเวบไซตเพอเปลยนแปลงขอมลเผยแพรหนาเวบ (Website Defacement) ซงผโจมตมวตถประสงคเพอปรบเปลยนหนาเวบไซต ในป พ.ศ. 2556 จ าแนกตามประเภทหนวยงาน (เฉพาะ โดเมนเนม .th) พบวาเวบไซตของหนวยงานของรฐ (go.th) ทถกภยคกคามดงกลาวมจ านวนสงสด1,929 เวบไซต (คดเปนรอยละ 44.6) และเวบไซตของสถาบนการศกษา (ac.th) มจ านวน 1,515 เวบไซต (คดเปนรอยละ 35) ซงสาเหตหลกทท าให
ขมธอ.1-2557
-14-
เกดมการโจมตประเภทดงกลาวมาจากชองโหวหรอขอบกพรองทเกดจากโปรแกรมประยกตบนเวบ เนองจากบอยครงทการรกษาความมนคงปลอดภยของโปรแกรมประยกตบนเวบมกจะถกมองขามทงทเปนเรองทส าคญ
Open Web Application Security Project หรอ OWASP ซงเปนองคกรจดตงขนเพอสงเสรมและพฒนาการรกษาความมนคงปลอดภยของเวบไซตหรอโปรแกรมประยกตบนเวบไดมการจดท าโครงการจด 10 อนดบความเสยงของโปรแกรมประยกตบนเวบเปนประจ าทกป ซงในป 2013 นน มการจดอนดบความเสยงทพบสงสด 10 อนดบ (รายละเอยดเพมเตมจากเวบไซต https://www.owasp.org) ซงสอดคลองกบความเสยงทศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอรประเทศไทย หรอ ไทยเซรต ตรวจพบในเวบไซตทมอยในประเทศไทย โดยชองโหวหรอความเสยงทเกยวกบโปรแกรมประยกตบนเวบทพบสวนใหญจะเปนเรองการโจมตจากเทคนคตาง ๆ เชน SQL Injection, Session Hijacking และ CSRF เปนตน
ดงนน มาตรฐานฉบบนจงมขอก าหนดส าหรบแนวทางในการรกษาความมนคงปลอดภยของโปรแกรมประยกตบนเวบเพอปองกนความเสยงทเกยวกบโปรแกรมประยกตซงพบเปนสวนใหญดงน
6.1 การปองกนการโจมตจากเทคนค SQL Injection
ในปจจบน หลายเวบไซตไดมการใชเทคโนโลยในการพฒนาเวบเพจแบบพลวต (Dynamic Website) ซงเนอหาในหนาเวบเพจเปลยนแปลงไดตามปจจยทก าหนดเชน เปลยนแปลงตามชวงเวลาทผใชบรการเขาถงเวบไซต หรอเปลยนแปลงตามทผใชบรการก าหนดเปนตน ยกตวอยางเชน เวบไซตกระดานขาว เมอผใชบรการตองการอานกระทในกระดานขาว โปรแกรมประยกตทเกยวของจะประมวลผลและแสดงหนาเวบเพจทเปนปจจบนมากทสดใหแกผใชบรการ
ซงจากลกษณะการท างานขางตน โปรแกรมประยกตบนเวบเชอมตอกบฐานขอมลทกครงทมการเรยกหนาเวบเพจ เปนสาเหตใหเกดการโจมตเวบไซตดวยเทคนค Injection ซงการโจมตดวยเทคนค SQL Injection น ผประสงครายแทรกค าสง SQL เขาไปทาง input form บนเวบเพจ ท าใหสามารถด าเนนการใดๆ กตามกบในฐานขอมลได โดยผานค าสง SQL เชน insert update delete หรอ สงค าสงปดฐานขอมล เปนตน ผพฒนาโปรแกรมประยกตบนเวบนนตองพฒนาเวบไซตโดยค านงถงการปองกนการโจมตดวยเทคนค Injection ดวย ดงนน มาตรฐานฉบบนจงมขอก าหนดในการปองกนปญหาดงกลาว ดงน
(1) โปรแกรมประยกตบนเวบตองมการจดท า Prepared Statement และ/หรอ Stored Procedure เปนวธการทจะแยกค าสงในการประมวลผลและคาทจะน าไปประมวลผลออกจากกน จากวธการดงกลาวจะชวยปองกนการโจมตดวยวธการท า SQL Injection ได ซงสามารถศกษารายละเอยดเพมเตมเรอง Stored Procedure ไดท https://www.owasp.org/index.php/Guide_to_SQL_Injection และ https://www.owasp.org/index.php/Avoiding_SQL_Injection#Parameterized_ Stored_Procedures
(2) โปรแกรมประยกตบนเวบตองมการจดท า Input validation Input validation เปนวธการทใชในการตรวจสอบขอมลท ไดรบกอนสงมาประมวลผลจรง นบวาเปนวธการทส าคญและจ าเปนทสดในกระบวนการพฒนาระบบใหมความมนคงปลอดภย หากระบบใดๆ ยอมใหผใชบรการสามารถปอนขอมลไดโดยไมมการตรวจสอบแลว การโจมตระบบจะสามารถท าไดงาย การท า Input validation มหลกการงายๆ
ขมธอ.1-2557
-15-
เพยงแคตองสามารถระบรปแบบของขอมลทอนญาตหรอไมอนญาตใหปอนเขาสระบบ ซงเรยกอกชอวาการท า Whitelist และ Blacklist ตามล าดบตวอยางการท า Whitelist เชน การอพโหลดไฟลเอกสารจะตองอนญาตใหอพโหลดไดเฉพาะไฟลทมนามสกล (File extension) เปน .txt .docx .xlsx .pdf เทานน ซงการพฒนาฟงกชนส าหรบท า Whitelist ดงกลาวกจะท าใหการพยายามอพโหลดไฟลอนตรายตางๆ ขนบนระบบท าไดยากยงขน ตวอยางการท า Blacklist เชน การรบคาจาก Form ทผใชบรการกรอกเขามาจะตองไมอนญาตใหมอกขระพเศษประเภททเออใหเกดการโจมตดวยเทคนคตางๆ เชน ตองไมมการใสเครองหมาย < > หรอตองไมใหมการใสค าวา <script> เปนตน ซงการพฒนาฟงกชนส าหรบท า Blacklist ดงกลาวจะชวยท าใหลดโอกาสในการถกโจมตส าเรจไดอกระดบหนง
(3) โปรแกรมประยกตบนเวบตองมการท า Encoding หรอท า Sanitization ขอมลทรบมาจากภายนอกควรมการท า Encoding หรอ Sanitization กอนน าคามาประมวลผล
เพอปองกนการโจมตดวยเทคนคตาง ๆ ขอมลทผานกระบวนการดงกลาวจะถกแปลงรปแบบของขอมลทสงมาจากฝงผใชบรการใหอยในรปแบบทระบบน าไปประมวลผลไดโดยไมอนตราย ตวอยางเชน การใชงานฟงกชน mysql_real_escape_string ในภาษา PHP เพอปองกนการโจมตดวยเทคนค SQL Injection โดยฟงกชนดงกลาวจะท าการตรวจสอบวามการปอนคาอกขระพเศษเขามาหรอไม หากมฟงกชนดงกลาวจะท าการเพมเครองหมาย Backslash ลงไปดานหนา เชน หากผประสงครายปอนขอมลทใชในการโจมตระบบเปน ' OR 1=1 --' ระบบจะแปลงคาเปน \' OR 1=1 --\' ซงเทากบขอมลทสงมาโจมตจะไมเปนผลใด ๆ รายละเอยดสามารถอานเพมเตมไดจากเอกสารของ OWASP (https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet และhttps://www.owasp.org/index.php/Query_Parameterization_Cheat_Sheet)
ขมธอ.1-2557
-16-
6.2 การปองกนการโจมตจากเทคนค Session Hijacking
ในการเขาถงเวบไซตใด ๆ ของผใชบรการ จะมการสงค ารองไปยงเครองบรการเวบ ซงเครองบรการเวบกจะมวธการในการตรวจสอบและพสจนตวตนของผใชบรการหลากหลายวธ ซงวธทใชกนโดยมากนนคอ การสรางโทเคน (token) ซงใชเปนขอมลการรบรองตวตนของผใชบรการ (User authentication credential) ขนหลงจากกระบวนการยนยนตวตนของผใชบรการส าเรจ ทมกเรยกวา Session ID โดย Session ID นจะถกน าไปใชในการอางองและตรวจสอบสทธในการเขาถงหนาเวบเพจตาง ๆ ในเวบไซตทผใชบรการเขาเยยมชม Session ID นจะถกใชจนกวาผใชบรการจะปดหนาตางโปรแกรมคนดเวบ กถอจะเปนการลบ Session ID นนไป และจะไมสามารถใช Session ID เดมในการอางองไดอก นอกเสยจากตองเปดโปรแกรมคนดเวบขนใหม จงจะไดรบ Session ID ใหม จากลกษณะการท างานขางตน ท าใหเครองบรการเวบสามารถตดตามขอมลทางฝงผใชบรการไดตลอดตราบเทาทโปรแกรมคนดเวบยงไมถกปด ท าใหผประสงครายสามารถอาศยชองโหวนในการโจมตเวบไซตดวยวธ Session Hijack ไดนนกคอการดกขโมย Session ID ของผใชบรการ น าเอา Session ID ไปใชในการเขาเวบไซตดวยสทธของเจาของ session ได
มาตรฐานฉบบนมขอก าหนดในการปองกนปญหาดงกลาว ดงน
(1) Session ID ทมขอมลการรบรองตวตนของผใชบรการ (User authentication credential) ตองมการเขารหสลบ การเขารหสลบขอมลการรบรองตวตนของผใชบรการ ดวยอลกอรทมส าหรบการเขารหสลบ หรอ ฟงกชนแฮช จะชวยใหผประสงครายไมสามารถน าขอมลดงกลาวมาใชไดโดยงาย ซงจะชวยลดความเสยงจากการโจมตดวยเทคนค Session Hijacking
(2) โปรแกรมประยกตบนเวบตองก าหนด Session Timeout ในระยะเวลาท เหมาะสม การก าหนด Session Timeout เปนมาตรการหนงทชวยลดความเสยงจากการโจมตดวยเทคนค Session Hijacking ทงนระยะเวลาทใชก าหนด Session Timeout ของแตละเวบไซตขนอยกบพฤตกรรมการใชงานและความตองการใชงานของผใชบรการ ยกตวอยางเชน หากผใชบรการใชเวลาเฉลยในการเขาชมและท าธรกรรมทเกยวของบนเวบไซตเฉลยคนละ 1 ชวโมง กอาจจะก าหนดให Session timeout อยท 1 ชวโมงเปนตน
(3) ก าหนดคา Session ID เปนคาสมทคาดเดาไมไดและไมมการใชซ าในระยะเวลาทเหมาะสม การใช Session ID ทเปนคาสม (Random value) คาดเดาไมได และเปนคาทไมมการน ากลบมาใชซ าในระยะเวลาทเหมาะสมจะชวยลดความเสยงจากการโจมตดวยเทคนค Session Hijacking ได
(4) ตองสงคา Session ID ในชองทางการสอสารทมการเขารหสลบ (Encrypted connection) โปรแกรมประยกตบนเวบทมการสงคา Session ID ผานระบบเครอขายคอมพวเตอร โดยเฉพาะการสงผานตวแปรใน URL อยางเปดเผย มกจะมความเสยงตอการโจมตดวยเทคนค Session Hijacking สง การสงคา Session ID ควรสงผานชองทางการสอสารทมการเขารหสลบ เชน การสงขอมลผานโพรโทคอล HTTPS (ดรายละเอยดเพมเตมในภาคผนวก ข.) เพอปองกนการลกลอบดกรบขอมล หรอ มการสงผานชองทางลบทไมเปดเผยตอสาธารณะ เปนตน
ขมธอ.1-2557
-17-
รายละเอยดทเกยวของกบการปองกนการโจมตจากเทคนค Session Hijacking สามารถศกษาเพมเตมไดจากเอกสารของ OWASP ตาม URL นhttps://www.owasp.org/index.php/Session_Management_Cheat_Sheet
6.3 การปองกนการโจมตจากเทคนค Cross-site Scripting
Cross-Site Scripting (XSS) เกดจากชองโหวของเวบไซต/เวบเพจทไมมการคดกรองและตรวจสอบขอมลทไดรบจากผใชบรการวาเปนขอมลทเชอถอไดหรอไม ท าใหผประสงครายสามารถแทรกค าสงตาง ๆ เขาไปในเวบเพจ เมอผใชบรการเรยกหนาเวบเพจนน กอาจจะถกขโมยขอมลส าคญไปได ซงผประสงครายอาจจะน าไปสวมรอยและลอกอนเขาไปยงเวบไซตเสมอนหนงวาเปนผใชบรการตวจรง
มาตรฐานฉบบนมขอก าหนดในการปองกนการโจมตดวยเทคนคดงกลาว ดงน
(1) โปรแกรมประยกตบนเวบตองมการท า Input validation Input validation เปนวธการทใชในการตรวจสอบขอมลทไดรบกอนสงมาประมวลผลจรง โดยใชกฎ
จาก Whitelist คอ ระบรปแบบของขอมลทอนญาตใหปอนเขามลเขาระบบ เชน การอพโหลดไฟลเอกสารจะตองอนญาตใหอพโหลดไดเฉพาะไฟลทมนามสกล (File Extension) เปน .txt .docx .xlsx .pdf เทานน
(2) โปรแกรมประยกตบนเวบตองมการตรวจสอบขอมลชดค าสงในเวบไซต การตรวจสอบขอมลชดค าสงในเวบไซตวาก าลงรบขอมลทผดปกต เปนสครปตทอนตราย หรอไม
เชน สครปตทมเครองหมายอกขระพเศษตางๆ เชน < > ? & # เปนตน โดยตองคดกรองเครองหมายเหลานกอนทจะน าไปประมวลผลทเครองบรการเวบ และการกรองอนพตจากผใชเปนหลก โดยอนพตตางๆ ไมควรถกน ามาใชงานในทนท แตตองมการกรองกอนทกครง และตองมนใจไดวาผใชไมสามารถวางสครปตใดๆ ลงในเวบได ควรแปลงพวก "Non-alphanumeric data" ใหกลายเปน HTML character เสยกอน เชน เครองหมายนอยกวา "<" ควรถกแปลงเปน "& l t ;" เปนตน
(3) โปรแกรมประยกตบนเวบตองมการท า Output validation ในลกษณะ Sanitization การ HTML Entity Encoding หรอ URL Encoding กบขอมลทจะแสดงผล โดยการท า Output
validation เปรยบเสมอนการปองกนการแสดงผลขอมลทไมพงประสงคยงฝงผใชบรการ เชน การแสดงผลขอผดพลาด (Error Message) ทในบางครงอาจแสดงขอมลทเปนประโยชนตอผประสงคราย ซงขอมลทงหมดนผประสงครายสามารถรวบรวมมาเปนขอมลทใชโจมตเวบไซตไดงายมากขน ตวอยางเชน การใชงานฟงกชน htmlentities ในภาษา PHP เพอปองกนการโจมตดวยเทคนค XSS สมมตวาผประสงครายมการสงคา <script>alert("Hacked")</script> เขามายงระบบผานตวแปรหนง เมอคาดงกลาวถกน าไปประมวลผลผานฟงกชน htmlentities ซงจะมการ Encode คาตาง ๆ ใหอยในรปแบบทโปรแกรมคนดเวบมองเปนเพยงขอความธรรมดา กรณนผลลพธท ไดจากการ Encode ดวยฟงกชนดงกลาว จะไดออกมาเปน <script>alert("Hacked")</script> อยางไรกตาม โปรแกรมคนดเวบยงสามารถแสดงผลคาดงกลาวไดเปน <script>alert("Hacked")</script> ในฝงผใชบรการไดอย แตอยในรปแบบของขอความซงไมสามารถน ามาประมวลผลในลกษณะสครปตตามทผประสงครายตองการได
ขมธอ.1-2557
-18-
(4) โปรแกรมประยกตบนเวบตองมการใชงาน HTTPOnly Cookie flag HTTPOnly เปนรปแบบการก าหนดคาเพมเตม (Flag) ส าหรบปองกนไมใหฝงผใชบรการสามารถ
การเขาถงคา Cookie ของระบบได โดยทวไปหากระบบมชองโหวของการโจมตดวยเทคนค XSS ผประสงครายอาจสงค าสงเพอใหผใชบรการท าการอานขอมล Cookie ของผใชบรการและลกลอบสงขอมลออกไปยงปลายทาง รวมถงในบางครงอาจสงใหมการปรบเปลยนคาใน Cookie ไดดวย แตอยางไรกตามการใชงาน HTTPOnly3 นนยงมขอจ ากดวาสามารถใชงานกบโปรแกรมคนดเวบทสนบสนนเทานน เชน โปรแกรมคนดเวบ Chrome ตงแตเวอรชน 1.0.154 หรอ Safari ตงแตเวอรชน 4 หรอ Internet Explorer ตงแตเวอรชน 6sp1 เปนตน
6.4 การปองกนการโจมตจากเทคนค CSRF
Cross Site Script Forgery (CSRF)4 เปนภยคกคามประเภทหนงทางเวบไซตทเกดจากการทผประสงครายลกลอบปลอมแปลงค าสงขอมลใหเสมอนเปนค าสงจากผใชบรการตวจรงเพอตดตอกบระบบตาง ๆ ของเวบไซต โดยเวบไซตจะเขาใจวานนคอค าสงทมาจากผใชบรการตวจรงและด าเนนการตามทรองขอ เชน ผประสงครายอาศยชองโหวของเวบเพจ ปลอมแปลงค าสงขอมลใหเสมอนเปนค าสงจากเจาของบญชจรงเพอตดตอกบระบบธนาคารทางอนเทอรเนต ท าใหระบบเชอและเขาใจวาเจาของบญชตองการท าธรกรรมการเงนนน ๆ จรง
มาตรฐานฉบบนมขอก าหนดในการปองกนการโจมตดวยเทคนคดงกลาว ดงน
(1) โปรแกรมประยกตบนเวบตองมการใชงาน Unique Token และ/หรอตรวจสอบ Referrer รวมกบการสงขอมล หรอค าสงผานแบบฟอรม
การโจมตดวยเทคนค CSRF อาจเปนเรองทเขาใจไดยากสกนด แตวธการปองกนทไดผลดทสดคอการสรางขอมลอางอง เพอใชในการตรวจสอบความถกตองของขอมลทสงมาประมวลผล อาจจะดวยการสราง Unique Token ในแบบฟอรม เพอใหแนใจวาขอมลในแบบฟอรมทจะสงมาประมวลผลในแตละครงนนเปนขอมลทเกดมาจากการทผใชบรการจรง ไมใชโปรแกรมอตโนมตหรอสครปททใชในการโจมตแตอยางใด ซงจะเหนตวอยางของวธการดงกลาวไดจากการเขาใชงาน Online Banking ทในแตละการท าธรกรรม
3 เอกสารของ OWASP ไดทURL https://www.owasp.org/index.php/HttpOnly#Browsers_Supporting_HttpOnly) OWASP ไดมเอกสารทรวบรวมเทคนคตาง ๆ ในการปองกนจากการโจมตดวยเทคนค Cross-site scripting ดง รายละเอยดเพมเตมตาม URL น https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet 4 ขอมลเพมเตมทเกยวของกบการโจมตดวยทางเทคนคดงกลาวสามารถอานเพมเตมไดเวบไซตของ OWASP และ v SANS จาก URL ดงน https://www.owasp.org/index.php/Cross -Site_Request_Forgery_(CSRF)_ Prevention_Cheat _Sheet https://www.sans.org/reading-room/whitepapers/application/appsec-cross-site-request-forgery- attackers-33108
ขมธอ.1-2557
-19-
จะตองมการยนยนดวยหมายเลข OTP กอนเสมอ เพอเปนการยนยนวาการท าธรกรรมนนเกดจากผใชบรการจรง
(2) โปรแกรมประยกตบนเวบตองมการใช Captcha การเปลยนแปลงสถานะการท างานในฟงกชนทส าคญ ๆ เชน เปลยนจากสถานะเลอกซอสนคา เปน จายเงนช าระคาสนคา ระบบควรจะใหผใชบรการ ยนยนตวตนอกครง เชน ใหกรอกรหสผานใหม พรอมกบใช Captcha เปนตน
6.5 การปองกนการโจมตจากปญหาขอมลลบรวไหล (Sensitive Data Exposure)
ปจจบน เวบไซตมกมการเกบขอมลทมความส าคญของผใชบรการ ซงกคอ หมายเลขบตรประจ าตวประชาชน หมายเลขบตรเครดต รหสผานทใชเขาระบบเปนตน จงจ าเปนทจะตองมการควบคมใหเปดเผยขอมลดงกลาวตอผทเกยวของเทานน และตองมการควบคมขอความแจงเตอนหรอขอความแสดงขอผดพลาดไมใหแสดงขอมลใด ๆ ทเปนประโยชนตอผประสงคราย ผพฒนาโปรแกรมประยกตบนเวบนนตองพฒนาเวบไซตโดยค านงถงการรกษาความลบของขอมลทมความส าคญดวย
มาตรฐานฉบบนมขอก าหนดในการปองกนปญหาดงกลาว ดงน
(1) โปรแกรมประยกตบนเวบจะตองมการออกแบบและควบคมขอความแจงเตอนหรอขอความแสดงขอผดพลาด (Notification or Error Message) ไมใหแสดงขอมลทเปนประโยชนตอผประสงคราย
(2) โปรแกรมประยกตบนเวบจะตองพฒนาเวบไซตโดยไมใหมการใชงาน Autocomplete ในแบบฟอรมส าคญ เชน แบบฟอรมส าหรบการลงทะเบยนการใชงานระบบทมรหสผาน หรอ แบบฟอรมทเกยวของกบการช าระเงน เปนตน
(3) ไมใชชอ URL ทคาดเดาไดงายซงใชในการเขาถงหนาเวบส าหรบผดแลเครองบรการเวบ (Administrator Control panel web page) เชน admin.php หรอ login.php เปนตน
7. การรบมอสถานการณภยคกคามทเกดจากการโจมตเวบไซต (Incident Handling)
ภยคกคามหรอสถานการณการโจมตทเกดขนกบเวบไซตในปจจบน สามารถจ าแนกไดในหลากหลายประเภทของการโจมต อาจเปนเพราะความเจรญเตบโตของการใชงานอนเทอรเนตท าใหมกลมแฮกเกอรรวมตวกนงายขน พรอมทงยงมการเผยแพรขอมลวธการโจมตทเปดเผยและสามารถคนหาไดอยางงายดายบนโลกอนเทอรเนต ซงจากตวอยางสถตทไทยเซรตตรวจสอบพบการเจาะเวบไซตของหนวยงานในประเทศไทย (.th) ในป 2556 พบสถตเวบไซต .th ถกเจาะเพอเปลยนแปลงเวบไซตหรอทเรยกวา Web defacement ถง 5,230 เวบไซต นอกจากนยงพบเหตการณโจมตในลกษณะอนๆ อกมากมาย ในทศทางทเพมขนเรอยๆ อยางตอเนอง แสดงใหเหนถงความเสยงตอการถกโจมตของระบบในหนวยงานตางๆ จงมความจ าเปนตองรบทราบมาตรการและการด าเนนการทเกยวของในการรบมอเมอเกดเหตการณโจมตในลกษณะตางๆ ทอาจเกดขน
ขมธอ.1-2557
-20-
7.1 การรบมอภยคกคามทเกดขนกบเวบไซต
โดยแนวทางการรบมอสถานการณภยคกคามทเกดกบเวบไซตตามเอกสารฉบบน จ าแนกออกเปน 3 ประเภทของรปแบบการโจมตดงตอไปน
7.1.1 กรณเวบไซตถกบกรกและควบคม (Intrusions)
ภยคกคามจากการบกรกและควบคมเวบไซต (Intrusions) สามารถพบเหนและยนยนไดงายทสด เนองจากการโจมตนนมกจะตองมการสรางรองรอยหรอหลกฐานทเหนไดอยางชดเจน ตามแตละจดประสงคของผประสงคราย ตวอยางเชน การสรางหนาเวบไซตหลอกลวง (Phishing) เพอหวงผลทางการเงน การเปลยนแปลงขอมลตางๆ บนเวบไซต (Web Defacement) เพอหวงผลในการท าลายชอเสยง หรอแมกระทงการเผยแพรมลแวรบนเวบไซต (Malware) เพอใหผเขาชมเวบไซตตดมลแวร เปนตน ซงการรบมอสถานการณภยคกคามในกรณเวบไซตถกบกรกและควบคมนสามารถด าเนนการไดในลกษณะเดยวกน ดงนน มาตรฐานฉบบนจงมขอก าหนดทเกยวของดงน
(1) ปดการเชอมตอของเวบไซต (2) ส าเนาขอมลตางๆ ทเกยวของกบการถกบกรกเพอน ามาใชในการวเคราะห เชน Web Log Sourcecode
Database (3) ตรวจสอบชองทางการโจมตและชองโหวของเวบไซตดวยขอมลทส าเนามา โดยในระหวางทผดแลก าลง
ตรวจสอบชองทางการโจมต (4) ระหวางการตรวจสอบจดสรางเวบเพจแบบ Static ขนมาทดแทนเปนการชวคราว เพอชแจงสถานการณการ
ปดปรบปรง รวมไปถงเพอใหหนวยงานสามารถด าเนนภารกจไดอยางตอเนอง โดยเวบเพจดงกลาวควรตดตงอยในเครองบรการเวบใหม เพอลดความเสยงจากการทเครองบรการเวบเดมถกควบคมและปรบเปลยนการตงคาตางๆ เพอปองกนไมใหมผลกบขอมลตางๆ ทอยบนเครองเดม
(5) กคนโปรแกรมทเกยวของ ขอมลเวบ และฐานขอมลทเกยวของกบเวบไซตเปนเวอรชนกอนหนาทจะถกโจมต (6) ตรวจสอบชองโหวของเวบไซต (เวอรชนกอนหนาทจะถกโจมต) ดวยการท า Vulnerability Assessment
แกไขชองโหวของเวบไซตทท าใหผประสงครายสามารถเจาะเพอเขาควบคมระบบได (7) บนทกเหตการณและขนตอนการด าเนนการทเกดขนทงหมด เพอใชเปนขอมลในการปองกนและการ
ประสานงานกบหนวยงานทเกยวของในกรณทจ าเปน
ในหลายครงพบวาผประสงครายสามารถบกรกและเขาควบคมเวบไซตไดมาเวลานานแลวแตเพงมาสรางรองรอยหรอเปลยนแปลงขอมลในเวลาตอมา สงผลใหการวเคราะหขอมลการโจมตและชองโหวของเวบไซตผานขอมล Log นนท าไดยากขน เนองจากในบางหนวยงานมเกบขอมล Log ไวเพยงชวขณะหนง ท าใหการวเคราะหขอมลในชองเวลาทมการโจมตจรงๆ นนไมสามารถท าได อยางไรกตามผดแลตองทบทวนขอมล Log อยางสม าเสมอเพอตรวจสอบดการโจมตทเกดขน
7.1.2 กรณเวบไซตถกโจมตในลกษณะ DoS (Denial Of Service)
การโจมตเวบไซตในลกษณะ DoS นนกลาวคอ การโจมตเพอมงเนนใหเวบไซตไมสามารถใหบรการตอได ซงเปาประสงคสามารถเกดไดจากหลายสวน เชน การลดความนาเชอถอของหนวยงาน การลดโอกาสในการท าธรกจ รวมถงในปจจบนพบวามเปาประสงคในเชงการเมองการบรหารเขามาเกยว ดงทเหนกลมแฮกเกอรประกาศวาจะโจมตหนวยงานราชการแบบไมใหเปดบรการไดอก ในปจจบนการโจมตขยายตวออกไปถงการ โจมตทเรยกวา ดดอส หรอ
ขมธอ.1-2557
-21-
DDoS (Distributed Denial of Service) เปนลกษณะการโจมตเปนกลมทเกดจากเครองคอมพวเตอรหลายๆ เครองโจมตเปาหมายในเวลาเดยวกน ซงการรบมอสถานการณภยคกคามในกรณเวบไซตถกโจมตในลกษณะ DDoS นน มาตรฐานฉบบนจงมขอก าหนดทเกยวของดงน
(1) ปดการเชอมตอของเวบไซต (2) ส าเนาขอมลตางๆ ทเกยวของกบการถกบกรกเพอน ามาใชในการวเคราะห เชน Web Log หรอFirewall
Log (3) ตรวจสอบหมายเลขไอพทตองสงสยวาจะเปนการโจมตดวยขอมลทส าเนามา โดยปกตจะพบเหนขอมลใน
ลกษณะทเกดซ าๆ ในรปแบบเดยวกน เชน มการเรยกเวบไซตดวยยอารแอลหนงเปนจ านวนมาก หรอมการสงขอมลมายงบรการหนงซ า ๆ เปนจ านวนมาก
(4) ปดกนการเขาถงจากไอพแอดเดรสดงกลาว และแจงไปยงผใหบรการเครอขายอนเทอรเนตเพอหามาตรการทรองรบในกรณทอปกรณปองกนของหนวยงานไมสามารถรองรบปรมาณขอมลทมากมายได
(5) บนทกเหตการณและขนตอนการด าเนนการทเกดขนทงหมด เพอใชเปนขอมลในการปองกนและการประสานงานกบหนวยงานทเกยวของในกรณทจ าเปน
การจดการกบเหตการณภยคกคามในกรณถกโจมตดวยเทคนค DoS หรอ DDoS นน สงส าคญคอผดแลตองมทกษะในการพจารณาและคดแยกไอพแอดเดรสทคาดวาจะเปนการโจมตทรวดเรวและถกตอง เพอปองกนขอผดพลาดจากการปดกนการเชอมตอ โดยอาจอาศยการประมวลผลในลกษณะสถต และลกษณะการเขาใชงานทผดปกต รวมถงยงจ าเปนตองมความรวมมอกบผใหบรการอนเทอรเนตเพอใหการปองกนการโจมตท าไดอยางมประสทธภาพมากยงขน
7.1.3 กรณโดเมนถกขโมย (Domain Hijack)
การขโมยโดเมน (Domain Hijack) เปนหนงในรปแบบการโจมตทมมานานแลว และดเหมอนวายงคงเปนรปแบบการโจมตทพบอยเสมอ เหยอทถกขโมยโดเมนสามารถเปนไดตงแตบรษทขนาดเลกและไมเ วนแมแตบรษทขนาดใหญทด าเนนธรกจดานเทคโนโลยสารสนเทศทยงพบวาตกเปนเหยอในหลายครง โดยจดประสงคของการขโมยขอมลนนสวนใหญมงประโยชนไปยงการหาผลประโยชนในหลายลกษณะ ตวอยางเชน ขโมยโดเมนเนมเพอน าไปหาประโยชนโดยการเรยกคาไถจากเจาของโดเมนตวจรง น าไปใชสรางสถานการณการหลอกลวงหนา Phishing เปนตน ซงการรบมอสถานการณภยคกคามในกรณเวบไซตถกขโมยโดเมนนน สามารถด าเนนการได แตอยางไรกตามจ าเปนตองมขอมลทเพยงพอเพอใหการแกปญหาท าไดอยางมประสทธภาพ ดงนนมาตรฐานฉบบนจงมขอก าหนดทเกยวของดงน
(1) เกบรวบรวมหลกฐานทเกดขนทงหมด เชน วน เดอน ป ทขอมลโดเมนเปลยนหนาจอของโดเมนทใชงาน (2) ตรวจสอบกบผลงทะเบยนโดเมนถงสาเหตของการเปลยนแปลงโดเมน ในบางครงพบวาผดแลถกขโมยขอมล
รหสผานโดยการตดมลแวร ท าใหผประสงครายสามารถเขาสเวบไซตบรหารจดการโดเมนและท าการเปลยนแปลงขอมลสวนบคคล
(3) แจงการถกขโมยขอมลโดเมนกบผลงทะเบยนโดเมนทเราใชบรการ โดยน าหลกฐานทเกยวของแนบไปดวย เชน หลกฐานการโอนเงน หลกฐานการตอบรบ เปนตน
(4) เมอไดรบสทธในการบรหารจดการโดเมนคนมาแลว ใหตรวจสอบขอมลตางๆ ทใชในการยนยนตวตน เชน ขอมลอเมลผจดทะเบยนโดเมน รวมถงเปลยนรหสผานระบบบรหารจดการโดเมน
ขมธอ.1-2557
-22-
(5) บนทกเหตการณและขนตอนการด าเนนการทเกดขนทงหมด เพอใชเปนขอมลในการปองกนและการประสานงานกบหนวยงานทเกยวของในกรณทจ าเปน
ภายหลงจากถกขโมยโดเมนแลว สงทยากทสดส าหรบผดแลคอ การท าใหผใหบรการลงทะเบยนโดเมนเชอวาโดเมนถกขโมยจรง และยอมคนสทธกลบคนใหกบผดแลตวจรง แตอยางไรกตามความส าคญไมนอยไปกวานนคอผดแลจ าเปนตองทราบสาเหตของการถกขโมยโดเมนทเกดขน เพอเปนการปองกนและรบมอสถานการณการโจมตทอาจเกดซ าอก
7.2 การใชโปรแกรมตรวจสอบความมนคงปลอดภยของเวบไซต
การใชโปรแกรมตรวจสอบความมนคงปลอดภยของเครองบรการเวบอยางสม าเสมอจะชวยใหผดแลเครองบรการเวบในการคนหาขอบกพรองของเวบไซตในเบองตน มาตรฐานฉบบนจงมขอก าหนดทเกยวของกบการใชโปรแกรมตรวจสอบความมนคงปลอดภยของเวบไซตดงน
(1) เลอกโปรแกรมทนาเชอถอ หรอ ไดรบการแนะน าจากหนวยงานทเกยวของ (2) ปรบรนของโปรแกรมทใชในการตรวจสอบขอบกพรองใหเปนรนลาสดเพอทจะไดตรวจสอบชองโหวใหม ๆ
ได (3) หากการใชโปรแกรมสงผลกระทบกบการใหบรการของเครองบรการเวบ ควรจะมการส ารองขอมลทกครง
กอนมการใชโปรแกรมตรวจสอบ (4) ควรใชโปรแกรมมากกวาสองโปรแกรมขนไปในการตรวจสอบเพอเปรยบเทยบผลลพธทไดจากการตรวจสอบ
7.3 การเกบรกษาขอมลจราจรทางคอมพวเตอร
เวบไซตทไมมการบนทกขอมลจราจรทางคอมพวเตอร หรอขอมลการใชงานของผใช (Log) เมอเกดเหตการณดานความมนคงปลอดภยหรอเหตขดของทางเทคนคขนระหวางการใหบรการ กจะไมสามารถตรวจหาสาเหตได การเกบรกษาขอมลจราจรทางคอมพวเตอร หรอ ขอมลการเขาใชงานเวบไซต (Log) ตามมาตรฐานฉบบน ใหเปนไปตามขอก าหนดในพระราชบญญตวาดวยการกระท าความผดทางคอมพวเตอร พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยสารสนเทศและการสอสาร เรอง หลกเกณฑการเกบรกษาขอมลจราจรทางคอมพวเตอรของผใหบรการ พ.ศ. 2550
7.4 การส ารองขอมลเวบไซต
เพอใหกจกรรมตางๆ ของเวบไซตด าเนนไปไดอยางราบรน การส ารองขอมลตางๆ ทเกยวของกบเวบไซตอาจไมใชวธการปองกนการโจมตทเกดขน แตเปนวธทมกจะมสวนเกยวของมากทสดเมอมเหตการณการโจมตหรอเหตการณฉกเฉนกบเวบไซต เพราะเมอพบวาเวบไซตถกโจมต สงทท าไดในเบองตนคอการกคนขอมลเวอรชนกอนทจะพบวาถกโจมต เนองจากหนวยงานไมสามารถทราบไดวาการโจมตทเกดขนสงผลกระทบตอขอมลหรอการท างานสวนใดของเวบไซตบาง เชน อาจถกแกไขขอมลในฐานขอมลของเวบไซตในสวนทยากตอการตรวจสอบโดยปกต เปนตน ทงนหนาทส าคญอยางหนงของผดแลเครองบรการเวบ คอ การดแลรกษาความสมบรณของขอมลบนเครองบรการเวบ เนองจากเครองบรการเวบเปนเครองบรการทถกเปดเผยและมความส าคญมากทสดบนระบบเครอขายขององคกร โดยองคประกอบหลกในการส ารองขอมลบนเครองบรการเวบม 2 องคประกอบ คอ การส ารองขอมลและระบบปฏบตการ
ขมธอ.1-2557
-23-
บนเครองบรการเวบ และการดแลรกษาขอมลส ารองทเชอถอได (Authoritative copy) ของเวบไซตโดยมการปองกนแยกตางหากจากเครองบรการเวบ เพอใหเกดความมนใจวาจะสามารถกคนเวบไซตใหอยในสภาพสมบรณพรอมใชงานไดเหมอนเดม
ผดแลเครองบรการเวบจ าเปนตองด าเนนการส ารองขอมลของเครองบรการเวบอยางสม าเสมอ เนองจากอาจจะเกดความผดพลาดขนกบเครองบรการเวบไดจากการกระท าทประสงครายหรอโดยไมตงใจ หรอจากความขดของของฮารดแวรและซอฟตแวร นอกจากน หนวยงานภาครฐหรอองคกรตางๆ ไดมการก าหนดกฎเกณฑขอบงคบในการส ารองและการเกบรกษาขอมลของเครองบรการเวบ องคกรตางๆ จ าเปนตองสรางนโยบายในการส ารองขอมลของเครองบรการเวบ
ดงนนมาตรฐานฉบบนจงมขอก าหนดทเกยวกบการจดท าแนวปฏบตในการส ารองขอมลของเครองบรการเวบซงอางองจากแนวทางตามมาตรฐานของ NIST [1] ดงน
(1) แนวปฏบตตองสอดคลองกบขอก าหนดทางกฎหมาย (2) แนวปฏบตตองสอดคลองกบขอผกพนทางสญญา (3) แนวปฏบตตองสอดคลองกบแนวนโยบายทเกยวของขององคกร (4) จดประสงคและขอบเขตของแนวปฏบต (5) บทบาทและหนาทของผเกยวของ (6) เครองบรการเวบทเกยวของกบแนวปฏบต (7) ค านยามของศพทเฉพาะ โดยเฉพาะในทางกฎหมายและทางเทคนค (8) รายละเอยดของกฎหมาย ขอผกพนสญญา และแนวนโยบายขององคกรทเกยวของ (9) ความถของการส ารองขอมล (10) ขนตอนส าหรบยนยนวาขอมลทมการส ารองไดรบการดแลรกษาและการปองกนอยางเหมาะสม (11) ขนตอนส าหรบยนยนวาขอมลไดรบการท าลายหรอมการเกบรกษาเมอไมมความจ าเปนในการใชงาน (12) ขนตอนส าหรบยนยนวาขอมลทมการส ารองสามารถถกเรยกออกมาใชงานไดอยางถกตอง
ในกรณทมการรองขอ (13) ความรบผดชอบของผทมสวนรวมในการเกบรกษา การปองกน และการท าลายขอมล (14) ระยะเวลาในการเกบรกษาขอมลแตละประเภท (15) หนาทรบผดชอบของทมส ารองขอมล ในกรณทองคกรมทมดงกลาว
ขมธอ.1-2557
-24-
ภาคผนวก ก. แบบประเมนส าหรบผดแลเครองบรการเวบและผพฒนาโปรแกรมประยกตบนเวบ
แบบฟอรมตรวจสอบสถานะความมนคงปลอดภยส าหรบเวบไซต (ส าหรบผดแลเครองบรการเวบและผพฒนาโปรแกรมประยกตบนเวบ)
หวขอ ยอมรบได ยงตองปรบปรง หมายเหต
การวางแผนเพอบรหารจดการเวบไซต (หวขอ 4)
1 การวางแผนดานความมนคงปลอดภยของเวบไซต (หวขอ 4.1) 1.1 มการวางแผนเพอบรหารจดการเครองบรการเวบ
(หวขอ 4.1 ขอ 1) 1.2 จดล าดบความเสยงของภยคกคามทคาดวาจะเกดขนกบเวบไซต
(หวขอ 4.1 ขอ 2) 1.3 ไดก าหนดมาตรการทเกยวของเพอปองกนภยคกคามทม
ความส าคญ (หวขอ 4.1 ขอ 3)
การตงคาเครองบรการเวบอยางมนคงปลอดภย (หวขอท 5)
2 การตงคาโปรแกรมส าหรบใหบรการเวบ (Web server software) (หวขอท 5.1)
2.1 มการตรวจสอบและปรบปรงสวนประกอบของโปรแกรมส าหรบใหบรการเวบใหเปนเวอรชนปจจบนอยางสม าเสมอ (หวขอท 5.1 ขอ 1)
2.2 มการควบคมขอความแจงเตอนหรอขอความแสดงขอผดพลาด
(Error Message) ไมใหแสดงขอมลทเปนประโยชนตอผประสงคราย (หวขอท 5.1 ขอ 2)
2.3 ไดก าหนดสทธในการเขาถงสารบบ (directory) ทใชเกบไฟล
หรอโปรแกรมตาง ๆ ทเกยวของกบเครองบรการเวบใหเหมาะสม เชน ก าหนดสทธโฟลเดอรทเกบหนาเวบเพจของระบบหลงบาน อนญาตใหเฉพาะผดแลเขาถงไดเทานน (หวขอท 5.1 ขอ 3)
2.4 มการตรวจสอบและจดการลบ ตวอยางโปรแกรม ตวอยาง
ไฟลขอมล บญชผใชทไมไดใชงาน เชน บญชซงมการใชงานระหวางกระบวนการตดตงเครองบรการเวบทงหมด (หวขอท 5.1 ขอ 4)
2.5 ไดตรวจสอบไมใหมการใชคาเรมตนของ ชอสารบบ ชอ
ไฟลขอมล ต าแหนงไฟลขอมล รหสผาน ทมากบการตดตง
ขมธอ.1-2557
-25-
แบบฟอรมตรวจสอบสถานะความมนคงปลอดภยส าหรบเวบไซต (ส าหรบผดแลเครองบรการเวบและผพฒนาโปรแกรมประยกตบนเวบ)
หวขอ ยอมรบได ยงตองปรบปรง หมายเหต
เครองบรการเวบ (หวขอท 5.1 ขอ 5)
2.6 มการควบคมการเขาถงเครองบรการเวบ และจ ากดหมายเลขไอพปลายทางหรอยอารแอลทอนญาตใหเครองบรการเวบสามารถเชอมตอ เชน การก าหนด IP Whitelist ทสามารถเขาถงเครองบรการเวบ (หวขอท 5.1 ขอ 6)
2.7 ปดบรการตางๆ ทไมจ าเปนบนเครองบรการเวบ โดยเฉพาะ
บรการประเภท Remote Access (หวขอท 5.1 ขอ 7)
3 การตงคาระบบบรหารจดการเวบไซต (CMS) (หวขอท 5.2) 3.1 มการก าหนดสทธการใชงาน (permission) และการควบคม
การเขาถง(access control) (หวขอท 5.2 ขอ 1) 3.2 ตรวจสอบวามไฟลหรอโปรแกรมเสรม (plug-in program) ท
ไมจ าเปนหรอไมไดใชงานปรากฏอยหรอไม ถาตรวจพบผดแลเครองบรการเวบตองลบหรอถอนการตดตงไฟลหรอโปรแกรมเสรมนนทนท (หวขอท 5.2 ขอ 2)
3.3 ตรวจสอบการอพเดตเวอรชนของระบบบรหารจดการเวบไซต
อยเสมอ และอพเดตเวอรชนใหเปนปจจบน (หวขอท 5.2 ขอ 3)
3.4 ลบบญชผใชทมากบการตดตงระบบบรหารจดการเวบไซต
เปลยนชอผใชของบญชผใชนนหรอเปลยนรหสผานของบญชผใชนน ใหเปนรหสผานทมความมนคงปลอดภยแทน (หวขอท 5.2 ขอ 4)
3.5 เปลยน table prefix ของฐานขอมลทมาในระหวางการตดตง
ระบบบรหารจดการเวบไซต (หวขอท 5.2 ขอ 5)
4 การตงคาฐานขอมล (Database system) (หวขอท 5.3) 4.1 มการตงคาฐานขอมล อนญาตใหเฉพาะโปรแกรมประยกต
(application) และเครองบรการเวบทเกยวของเขาถงไดเทานน (โปรแกรมประยกตทใชเกยวของกบฐานขอมล เชน MySql Workbench) (หวขอท 5.3 ขอ 1)
4.2 ควบคมการเขาถงระบบฐานขอมลดวยระบบรกษาความมนคง
ปลอดภย เชน ดานกนบกรกหรอไฟรวอลล (Firewall)
ขมธอ.1-2557
-26-
แบบฟอรมตรวจสอบสถานะความมนคงปลอดภยส าหรบเวบไซต (ส าหรบผดแลเครองบรการเวบและผพฒนาโปรแกรมประยกตบนเวบ)
หวขอ ยอมรบได ยงตองปรบปรง หมายเหต
(หวขอท 5.3 ขอ 2)
4.3 ตรวจสอบและปดบรการ (Services, Extension) ทไมจ าเปนหรอไมไดใชงาน ในระบบฐานขอมล เชน phpMyAdmin (หวขอท 5.3 ขอ 3)
4.4 จดใหมการทบทวนบญชผใชภายในฐานขอมลตามระยะเวลาท
ก าหนด และลบบญชผใชทไมไดมการใชงานออกจากระบบฐานขอมล (หวขอท 5.3 ขอ 4)
4.5 ปดบญชผใชทมาพรอมกบการตดตงฐานขอมล หรอเปลยน
รหสผานของบญชผใชดงกลาว ใหเปนรหสผานทมความมนคงปลอดภย (หวขอท 5.3 ขอ 5)
4.6 ก าหนดคาตดตงระบบฐานขอมลเพอไมอนญาตใหใชงาน
รหสผานทมคาวาง (Null password) (หวขอท 5.3 ขอ 6) 4.7 ตรวจสอบและลบแฟมชวคราว (temporary file) ทถกสรางขน
ระหวางการตดตงระบบฐานขอมล (หวขอท 5.3 ขอ 7)
4.8 ปรบปรงเวอรชนของโปรแกรมระบบฐานขอมล หรออพเดต patch จากบรษทผพฒนาซอฟตแวรใหเปนเวอรชนลาสดเสมอ (หวขอท 5.3 ขอ 8)
4.9 ก าหนดสทธการใชงาน (permission) และการควบคมการ
เขาถง (access control) ใหเหมาะสมกบบทบาทและหนาทของผใช (หวขอท 5.3 ขอ 9)
4.10 รหสผานทเกบในฐานขอมล ตองมการเขารหสเสมอ
(หวขอท 5.3 ขอ 10)
5 การตงคา Server-side script Engine (หวขอท 5.4) 5.1 มการควบคมการเขาถงไฟลหรอสารบบตาง ๆ ใหเหมาะสมกบ
บทบาทของผใช (Permission and Access Control) (หวขอท 5.4 ขอ 1)
5.2 ปรบปรงเวอรชนของ Server-side Script Engine หรออพเดต
patch จากบรษทผพฒนาซอฟตแวรใหเปนเวอรชนลาสดเสมอ (หวขอท 5.4 ขอ 2)
5.3 ก าหนดคาตดตงไมให Server-side Script Engine แสดงขอมล
เวอรชนของ Server-side Script Engine ทเครองบรการเวบ
ขมธอ.1-2557
-27-
แบบฟอรมตรวจสอบสถานะความมนคงปลอดภยส าหรบเวบไซต (ส าหรบผดแลเครองบรการเวบและผพฒนาโปรแกรมประยกตบนเวบ)
หวขอ ยอมรบได ยงตองปรบปรง หมายเหต
ใชงาน ใน HTTP Header (หวขอท 5.4 ขอ 3)
5.4 ก าหนดคาตดตง Server-side Script Engine ไมใหมการแสดงรายละเอยดของขอความแสดงขอผดพลาด (Error message) หากตองมรายละเอยดควรจะแสดงขอมลเทาทจ าเปน (หวขอท 5.4 ขอ 4)
6 การก าหนดและรกษารหสผาน (หวขอท 5.5) 6.1 ไดมการจดท านโยบายการตงคารหสผานใหมความมนคง
ปลอดภย (Strong password) (หวขอท 5.5 ขอ 1) 6.2 ก าหนดนโยบายใหมการเปลยนรหสผานอยางสม าเสมอ
(หวขอท 5.5 ขอ 2) 6.3 ไมเกบรหสผานทไมมการเขารหสลบบนเครองบรการเวบ หาก
จ าเปนตองมการเกบรหสผานควรอยในรปทมการเขารหสลบตามทมาตรฐานดานความมนคงปลอดภยก าหนด (หวขอท 5.5 ขอ 3)
การพฒนาโปรแกรมประยกตบนเครองบรการเวบอยางมนคงปลอดภย (หวขอท 6) 7 มการปองกนการโจมตจากเทคนค SQL Injection
(หวขอท 6.1) 7.1 มการจดท า Prepared Statement และ/หรอ Stored
Procedure ของโปรแกรมประยกตบนเวบ (หวขอท 6.1 ขอ 1)
7.2 มการจดท า Input validation ของโปรแกรมประยกตบนเวบ
(หวขอท 6.1 ขอ 2) 7.3 มการท า Encoding หรอท า Sanitization ของโปรแกรม
ประยกตบนเวบ (หวขอท 6.1 ขอ 3) 8 การปองกนการโจมตจากเทคนค Session Hijacking
(หวขอท 6.2) 8.1 Session ID ทมขอมลการรบรองตวตนของผใชบรการ (User
authentication credential) ตองมการเขารหสลบ (หวขอท 6.2 ขอ 1)
ขมธอ.1-2557
-28-
แบบฟอรมตรวจสอบสถานะความมนคงปลอดภยส าหรบเวบไซต (ส าหรบผดแลเครองบรการเวบและผพฒนาโปรแกรมประยกตบนเวบ)
หวขอ ยอมรบได ยงตองปรบปรง หมายเหต
8.2 ตองก าหนด Session Timeout ในระยะเวลาทเหมาะสมของโปรแกรมประยกตบนเวบ (หวขอท 6.2 ขอ 2)
8.3 ก าหนดคา Session ID เปนคาสมทคาดเดาไมไดและไมมการใชซ าในระยะเวลาทเหมาะสม (หวขอท 6.2 ขอ 3)
8.4 ตองสงคา Session ID ในชองทางการสอสารทมการเขารหสลบ (Encrypted connection) (หวขอท 6.2 ขอ 4)
9 การปองกนการโจมตจากเทคนค Cross-site Scripting ของโปรแกรมประยกตบนเวบ (หวขอท 6.3)
9.1 มการท า Input validation ของโปรแกรมประยกตบนเวบ (หวขอท 6.3 ขอ 1)
9.2 มการตรวจสอบขอมลชดค าสงในเวบไซตของโปรแกรมประยกตบนเวบ (หวขอท 6.3 ขอ 2)
9.3 มการท า Output validation ในลกษณะ Sanitization ของโปรแกรมประยกตบนเวบ (หวขอท 6.3 ขอ 3)
9.4 มการใชงาน HTTPOnly Cookie flag ของโปรแกรมประยกตบนเวบ (หวขอท 6.3 ขอ 4)
10 การปองกนการโจมตจากเทคนค CSRF (หวขอท 6.4)
10.1 มการใชงาน Unique Token และ/หรอตรวจสอบ Referrer รวมกบการสงขอมล หรอค าสงผานแบบฟอรม ของโปรแกรมประยกตบนเวบ (หวขอท 6.4 ขอ 1)
10.2 มการใช Captcha ของโปรแกรมประยกตบนเวบ
(หวขอท 6.4 ขอ 2) 11 การปองกนการโจมตจากปญหาขอมลลบรวไหล (Sensitive
Data Exposure) (หวขอท 6.5) 11.1 มการออกแบบและควบคมขอความแจงเตอนหรอขอความ
แสดงขอผดพลาด (Notification or Error Message) ไมใหแสดงขอมลทเปนประโยชนตอผประสงครายของโปรแกรมประยกตบนเวบ (หวขอท 6.5 ขอ 1)
11.2 พฒนาเวบไซตโดยไมใหมการใชงาน Autocomplete ใน
แบบฟอรมส าคญของโปรแกรมประยกตบนเวบ (หวขอท 6.5 ขอ 2)
ขมธอ.1-2557
-29-
แบบฟอรมตรวจสอบสถานะความมนคงปลอดภยส าหรบเวบไซต (ส าหรบผดแลเครองบรการเวบและผพฒนาโปรแกรมประยกตบนเวบ)
หวขอ ยอมรบได ยงตองปรบปรง หมายเหต
11.3 ไมใชชอ URL ทคาดเดาไดงายซงใชในการเขาถงหนาเวบส าหรบผดแลเครองบรการเวบ (Administrator Control panel web page) (หวขอท 6.5 ขอ 3)
การรบมอสถานการณภยคกคามทเกดจากการโจมตเวบไซต (Security Incident Handling) (หวขอท 7)
12 การรบมอภยคกคามทเกดขนกบเวบไซต (หวขอท 7.1)
12.1 กรณเวบไซตถกบกรกและควบคม (Intrusions) (หวขอท 7.1.1)
12.1.1 ปดการเชอมตอของเวบไซต (หวขอท 7.1.1 ขอ 1)
12.1.2 ส าเนาขอมลตางๆทเกยวของกบการถกบกรกเพอน ามาใชในการวเคราะห (หวขอท 7.1.1 ขอ 2)
12.1.3 ตรวจสอบชองทางการโจมตและชองโหวของเวบไซตดวยขอมลทส าเนามา (หวขอท 7.1.1 ขอ 3)
12.1.4 ระหวางการตรวจสอบจดสรางเวบเพจแบบ Static ขนมาทดแทนเปนการชวคราว เพอชแจงสถานการณการปดปรบปรง (หวขอท 7.1.1 ขอ 4)
12.1.5 กคนโปรแกรมทเกยวของ ขอมลเวบ และฐานขอมลทเกยวของกบเวบไซตเปนเวอรชนกอนหนาทจะถกโจมต (หวขอท 7.1.1 ขอ 5)
12.1.6 ตรวจสอบชองโหวของเวบไซต (เวอรชนกอนหนาทจะถกโจมต) ดวยการท า Vulnerability Assessment (หวขอท 7.1.1 ขอ 6)
12.1.7 แกไขชองโหวของเวบไซตทท าใหผประสงครายสามารถเจาะเพอเขาควบคมระบบได (หวขอท 7.1.1 ขอ 7)
12.1.8 บนทกเหตการณและขนตอนการด าเนนการทเกดขนทงหมด (หวขอท 7.1.1 ขอ 8)
12.2 กรณเวบไซตถกโจมตในลกษณะ DoS (Denial Of Service) (หวขอท 7.1.2)
ขมธอ.1-2557
-30-
แบบฟอรมตรวจสอบสถานะความมนคงปลอดภยส าหรบเวบไซต (ส าหรบผดแลเครองบรการเวบและผพฒนาโปรแกรมประยกตบนเวบ)
หวขอ ยอมรบได ยงตองปรบปรง หมายเหต
12.2.1 ปดการเชอมตอของเวบไซต (หวขอท 7.1.2 ขอ 1)
12.2.2 ส าเนาขอมลตางๆ ทเกยวของกบการถกบกรกเพอน ามาใชในการวเคราะห (หวขอท 7.1.2 ขอ 2)
12.2.3 ตรวจสอบหมายเลขไอพทตองสงสยวาจะเปนการโจมตดวยขอมลทส าเนามา (หวขอท 7.1.2 ขอ 3)
12.2.4 ปดกนการเขาถงจากไอพแอดเดรสดงกลาว และแจงไปยงผใหบรการเครอขายอนเทอรเนตเพอหามาตรการทรองรบ (หวขอท 7.1.2 ขอ 4)
12.2.5 บนทกเหตการณและขนตอนการด าเนนการทเกดขนทงหมด (หวขอท 7.1.2 ขอ 5)
12.3 กรณโดเมนถกขโมย (Domain Hijack) (หวขอท 7.1.3) 12.3.1 เกบรวบรวมหลกฐานทเกดขนทงหมด เชน วน เดอน ปทขอมล
โดเมนเปลยน หนาจอของโดเมนทใชงาน (หวขอท 7.1.3 ขอ 1)
12.3.2 ตรวจสอบกบผลงทะเบยนโดเมนถงสาเหตของการเปลยนแปลงโดเมน (หวขอท 7.1.3 ขอ 2)
12.3.3 แจงการถกขโมยขอมลโดเมนกบผลงทะเบยนโดเมนทใชบรการ โดยน าหลกฐานทเกยวของแนบไปดวย (หวขอท 7.1.3 ขอ 3)
12.3.4 เมอไดรบสทธในการบรหารจดการโดเมนคนมาแลว ใหตรวจสอบขอมลตางๆทใชในการยนยนตวตน รวมถงเปลยนรหสผานระบบบรหารจดการโดเมน (หวขอท 7.1.3 ขอ 4)
12.3.5 บนทกเหตการณและขนตอนการด าเนนการทเกดขนทงหมด (หวขอท 7.1.3 ขอ 5)
13 การใชโปรแกรมตรวจสอบความมนคงปลอดภยของเวบไซต (หวขอท 7.2)
13.1 เลอกโปรแกรมทนาเชอถอ หรอ ไดรบการแนะน าจากหนวยงานทเกยวของ (หวขอท 7.2 ขอ 1)
ขมธอ.1-2557
-31-
แบบฟอรมตรวจสอบสถานะความมนคงปลอดภยส าหรบเวบไซต (ส าหรบผดแลเครองบรการเวบและผพฒนาโปรแกรมประยกตบนเวบ)
หวขอ ยอมรบได ยงตองปรบปรง หมายเหต
13.2 ปรบรนของโปรแกรมทใชในการตรวจสอบขอบกพรองใหเปนรนลาสด (หวขอท 7.2 ขอ 2)
13.3 หากการใชโปรแกรมสงผลกระทบกบการใหบรการของเครองบรการเวบ ควรจะมการส ารองขอมลทกครงกอนมการใชโปรแกรมตรวจสอบ (หวขอท 7.2 ขอ 3)
13.4 ควรใชโปรแกรมมากกวาสองโปรแกรมขนไปในการตรวจสอบเพอเปรยบเทยบผลลพธทไดจาก (หวขอท 7.2 ขอ 4)
14 การเกบรกษาขอมลจราจรทางคอมพวเตอร (หวขอท 7.3) 14.1 การเกบรกษาขอมลจราจรทางคอมพวเตอร หรอ ขอมลการใช
งานของผใช (Log) ตามมาตรฐานฉบบน ปฏบตตามขอก าหนดในพระราชบญญตวาดวยการกระท าความผดทางคอมพวเตอร พ.ศ. 2550 และ ประกาศกระทรวงเทคโนโลยสารสนเทศและการสอสาร เรอง หลกเกณฑการเกบรกษาขอมลจราจรทางคอมพวเตอรของผใหบรการ พ.ศ. 2550 (หวขอท 7.3)
15 การส ารองขอมลเวบไซต (หวขอท 7.4)
15.1 มการจดท าแนวปฏบตในการส ารองขอมลของเครองบรการเวบ (1) แนวปฏบตตองสอดคลองกบขอก าหนดทางกฎหมาย (2) แนวปฏบตตองสอดคลองกบขอผกพนทางสญญา (3) แนวปฏบตตองสอดคลองกบแนวนโยบายทเกยวของขององคกร (4) จดประสงคและขอบเขตของแนวปฏบต (5) บทบาทและหนาทของผเกยวของ (6) เครองบรการเวบทเกยวของกบแนวปฏบต (7) ค านยามของศพทเฉพาะ โดยเฉพาะในทางกฎหมายและทางเทคนค (8) รายละเอยดของกฎหมาย ขอผกพนสญญา และแนวนโยบายขององคกรทเกยวของ
ขมธอ.1-2557
-32-
แบบฟอรมตรวจสอบสถานะความมนคงปลอดภยส าหรบเวบไซต (ส าหรบผดแลเครองบรการเวบและผพฒนาโปรแกรมประยกตบนเวบ)
หวขอ ยอมรบได ยงตองปรบปรง หมายเหต
(9) ความถของการส ารองขอมล (10) ขนตอนส าหรบยนยนวาขอมลทมการส ารองไดรบการดแลรกษาและการปองกนอยางเหมาะสม (11) ขนตอนส าหรบยนยนวาขอมลไดรบการท าลายหรอมการเกบรกษาเมอไมมความจ าเปนในการใชงาน (12) ขนตอนส าหรบยนยนวาขอมลทมการส ารองสามารถถกเรยกออกมาใชงานไดอยางถกตองในกรณทมการรองขอ (13) ความรบผดชอบของผทมสวนรวมในการเกบรกษา การปองกน และการท าลายขอมล (14) ระยะเวลาในการเกบรกษาขอมลแตละประเภท (15) หนาทรบผดชอบของทมส ารองขอมล (หากม)
ขมธอ.1-2557
-33-
แบบฟอรมส าหรบการแกไขรายการทยงตองปรบปรง (จากการตรวจสอบสถานะความมนคงปลอดภย)
ตวอยางของแบบฟอรมส าหรบการแกไขรายการทยงตองปรบปรงซงเกดจากการตรวจสอบสถานะความมนคงปลอดภยของเวบไซตตามขอก าหนดและแนวทางในมาตรฐานฉบบน และเมอพบรายการทไมเปนไปตามขอก าหนดกใหระบรายการแกไขลงในแบบฟอรมพรอมกบก าหนดระยะเวลาในการแกไขเพอน าเสนอตอผทเกยวของตอไป
วนทตรวจสอบ
สถานะ เวบไซต:
โดยหนวยงาน
ล าดบท วนท
รายงาน ค าอธบายรายการท
ยงตองปรบปรง สาเหต
การแกไขชวคราว
สงทตองแกไข
รายการแกไข รบผดชอบ
โดย วนทแลว
เสรจ
ขมธอ.1-2557
-34-
ภาคผนวก ข. รปแบบการสอสารอยางมนคงปลอดภยระหวางโปรแกรมคนดเวบและเครองบรการเวบ
โพรโทคอล SSL (Secure Socket Layer protocol) และ TLS (Transport Layer Security protocol) เปนโพรโทคอลทก าหนดรปแบบการสอสารทมความมนคงปลอดภย ซงสามารถปองกนการสอสารของโปรแกรมประยกตในระบบรบ-ให (Client-Server system) จากการลอบฟง (eavesdropping) การแกไขใหเสยหาย (tampering) และ การปลอมแปลงขอความทใชในการสอสาร (Message forgery) โพรโทคอล SSL ถกน ามาใชงานครงแรกในป 1994 โดยบรษท Netscape Communications และทผานมาไดมการปรบปรงเพอแกไขปญหาความมนคงปลอดภยของโพรโทคอลไป 2 ครง และเวอรชนสดทายของ SSL คอเวอรชน 3 ซงถกพฒนาในป 1996 ตามเอกสาร RFC 6101 [8] ในขณะทโพรโทคอล TLS ถกพฒนาตอยอดเพอแกไขปญหาความมนคงปลอดภยในโพรโทคอล SSL ในป 1999 โดย IETF ซงไดมการก าหนดเปนมาตรฐานและไดมการพฒนาปรบปรงตอเนองกนมาเปน TLS เวอรชน 1.2 ในป 2008 ตาม RFC 5246 [9] เปนเวอรชนปจจบนทไดรบการยอมรบในเรองของความมนคงปลอดภยมากทสด อยางไรกตามในปจจบนเครองบรการเวบและโปรแกรมคนดเวบไมไดรองรบโพรโทคอล SSL/TLS ทกเวอรชน ทงนจากผลการส ารวจเวบไซตทวไป [10] เมอเดอนมกราคม พ.ศ. 2557 พบวาเวบไซตมากกวารอยละ 99 รองรบโพรโทคอล TLS 1.0 และ SSL 3.0 ในขณะทเวบไซตทรองรบ TLS 1.1 และ TLS 1.2 มจ านวนรอยละ 23 และรอยละ 25 ตามล าดบ
โพรโทคอล SSL/TLS ก าหนดรปแบบการสอสารทมความมนคงปลอดภยดวยกระบวนการพนฐานทส าคญ 3 กระบวนการซงไดแก
1. การยนยนตวตนของเครองบรการเวบ โพรโทคอล SSL/TLS อนญาตใหผใชบรการยนยนเอกลกษณของเครองบรการเวบ (Web server’s
identity) โดยใชเทคนคของการเขารหสโดยใชกญแจสาธารณะตรวจสอบใบรบรองอเลกทรอนกสของเครองบรการเวบวาออกโดยผใหบรการออกใบรบรองอเลกทรอนกสทนาเชอถอหรอไมและใบรบรองอเลกทรอนกสดงกลาวยงสามารถใชงานได ไมหมดอายหรออยในรายการเพกถอนใบรบรองอเลกทรอนกส
2. การยนยนตวตนของผใชบรการ เครองบรการเวบสามารถยนยนเอกลกษณของผ ใชบรการ ดวยการตรวจสอบใบรบรอง
อเลกทรอนกสของผใชบรการดวยเทคนคของการเขารหสโดยใชกญแจสาธารณะเชนกน สวนใหญแลวในกรณทมการยนยนตวตนของผใชบรการ ผใชบรการจะมการยนยนตวตนของเครองบรการเวบควบคกนไป ซงเปนการยนยนตวตนทงสองฝาย (Mutual authentication)
3. การเขารหสขอมลทใชในการสอสาร โพรโทคอล SSL/TLS สามารถใชในการเขารหสขอมลทใชรบสงกนระหวางเครองบรการเวบและ
โปรแกรมคนดเวบ โดยการเลอกกระบวนการเขารหสขอมลทมความมนคงปลอดภยและเหมาะสมกบการสอสาร นอกจากนยงสามารถตรวจสอบไดวาขอมลทมการรบสงนนมการแกไขหรอปลอมแปลงหรอไม
เวบไซตทไมไดมการน า SSL/TLS มาใชงาน จะเปดโอกาสใหผประสงครายสามารถลอบฟง แกไขและปลอมแปลงขอมลทใชรบ-สงระหวางเครองบรการเวบและผใชบรการได
ขมธอ.1-2557
-35-
1. การเลอกเวอรชนของ SSL/TLS ทเหมาะสม
1.1 โพรโทคอล SSL/TLS มหลายเวอรชน แตละเวอรชนมคณสมบตดานความมนคงปลอดภยไมเหมอนกน ซงในแตละเวอรชนของ SSL/TLS มรายละเอยดดงน
(1) SSL เวอรชน 2 มความมนคงปลอดภยต าและปจจบนไมมการใชงาน (2) SSL เวอรชน 3 พฒนามาจาก SSL เวอรชน 2 แตในปจจบนหนวยงานสวนใหญไมนยมใชงาน SSL
เวอรชน 3 เนองจาก SSL เวอรชนนไมมคณสมบตทส าคญบางอยาง อกทงผใชบรการสวนใหญหนไปใชงาน TLS v1.0
(3) TLS เวอรชน 1.0 พฒนามาจาก SSL เวอรชน 3 คณสมบตสวนใหญแลวมความมนคงปลอดภย เมอใชงานกบองคประกอบอนๆ อยางระมดระวง ผานโพรโทคอล HTTP
(4) TLS เวอรชน 1.1 และ 1.2 แกไขปญหาในดานความมนคงปลอดภยทเปนทรจกทงหมด
ในปจจบนโปรแกรมคนดเวบมการรองรบ SSL/TLS ในแตละเวอรชนดงตอไปน (1) Mozilla Firefox เวอรชน 27 ขนไป รองรบ TLS v1.2 เวอรชนทต ากวานนรองรบเฉพาะ SSL 3.0
และ TLS 1.0 (2) Google Chrome เวอรชน 30 ขนไป รองรบ TLS v1.2 (3) Internet Explorer เวอรชน 8 ขนไป รองรบ SSL 2.0, SSL 3.0, TLS v1.0, TLS v1.1, TLS v1.2
1.2 แนวทางการเลอกใชเวอรชนของโพรโทคอล SSL/TLS มดงน (1) TLS v1.2 ควรจะน ามาใชเปนโพรโทคอลหลก เนองจากในเวอรชนน มองคประกอบและมการ
แกปญหาในดานความมนคงปลอดภยทไมมในโพรโทคอลเวอรชนกอนๆ ซงถา แพลตฟอรมของเครองบรการเวบไมรองรบ TLS v1.2 กใหวางแผนเพอปรบปรง หรอถาบรการของผใหบรการไมรองรบ กใหเสนอไปยงผใหบรการนนๆ เพออพเดตตอไปในอนาคต
(2) ในขนตน แนะน าวาเครองบรการเวบตองรองรบ TLS v1.0/ TLS v1.1 เนองจากยงม เครองผใชบรการใชโพรโทคอลเวอรชนอนๆ อยางหลากหลาย ซง TLS ของทง 2 เวอรชนน จะรองรบความมนคงปลอดภยในการใชงานทเพยงพอส าหรบเวบไซต
2. การเลอกวธการเขารหสของ SSL/TLS ทเหมาะสม
ในการตดตอสอสารและแลกเปลยนขอมลอยางมนคงปลอดภย จะตองท าใหแนใจไดวาการตดตอสอสารนนเกดขนโดยตรงระหวางผสงขอมลและผรบขอมลทตองการและไมมการดกฟงขอมลโดยบคคลอน ซงในโพรโทคอล SSL และ TLS ไดมการใช Cipher suite ส าหรบก าหนดระดบความมนคงปลอดภยของการตดตอสอสารทเกดขน โดย Cipher suite จะประกอบดวยหนวยโครงสรางตางๆ ทน ามาประกอบกนท าใหเกดความมนคงปลอดภยในระดบตางๆ ซงสามารถปรบเปลยนหนวยโครงสรางหนวยใดหนวยหนงได หากตรวจพบวาไมมระดบความมนคงปลอดภยเพยงพอ โดยโพรโทคอล SSL/TLS จะมการใชโพรโทคอล handshake ในการตกลงวธการสอสารระหวางเครองบรการเวบและเครองรบบรการเวบดวยการเลอก Cipher suite ไปใชงาน เพอการยนยนตวตนของแตละฝาย การสงใบรบรองอเลกทรอนกสระหวางกน และการสราง session key ตาง ๆ ทงน การเลอกวธการเขารหสของ SSL/TLS ท
ขมธอ.1-2557
-36-
เหมาะสมขนอยกบหลายปจจยตามแตละองคกร ซงไมจ าเปนทจะตองใชวธการเขารหสทมความมนคงปลอดภยสงสดเสมอไป โดยปจจยเบองตนในการเลอกใชขนตอนวธการเขารหสมดงน
(1) ความมนคงปลอดภยทตองการ ก. ความส าคญของขอมล โดยหากขอมลมความส าคญมาก ควรใชวธการเขารหสทมความมนคงปลอดภยสง ข. ระยะเวลาของขอมล โดยหากขอมลมความส าคญแตอยในระยะเวลาสน (เชน หลกวนแทนทจะเปนหลก
ป) กสามารถใชวธการเขารหสทมระดบความมนคงปลอดภยลดลงมา ค. ภยคกคามตอขอมล โดยหากขอมลมระดบภยคกคามสง กควรใชวธการเขารหส
ทมความมนคงปลอดภยสง ง. มาตรการการปองกนอนๆ ซงสามารถใชแทนเพอลดความจ าเปนในการใชวธการเขารหสทมความมนคง
ปลอดภยสง เชน การเลอกใชวธการตดตอสอสารทมการปองกน โดยอาจเปนการใชงานอนเทอรเนตแบบจ ากดขอบเขตแทนการใชงานอนเทอรเนตสาธารณะ
(2) สมรรถนะทตองการ (Required performance) โดยหากตองการสมรรถนะทสง อาจจะตองจดหาทรพยากรของระบบเพมเตม หรออาจจ าเปนตองลดระดบความมนคงปลอดภยของวธการเขารหส
(3) ทรพยากรของระบบ โดยหากมทรพยากร เชน กระบวนการ หรอหนวยความจ า ไมมาก กสามารถใชวธการเขารหสทมระดบความมนคงปลอดภยลดลงมาได
(4) ขอจ ากดดานการน าเขา การสงออก และการใชงานวธการเขารหสของแตละประเทศ (5) การรองรบวธการเขารหสแบบตางๆ โดยโปรแกรมประยกตบนเวบ (6) การรองรบวธการเขารหสแบบตางๆ โดยโปรแกรมคนดเวบของกลมผใชบรการเปาหมาย
ขมธอ.1-2557
-37-
โดยมตวอยางการเลอกใช SSL/TLS Cipher suite ตามลกษณะการใชงานและความมนคงปลอดภยทแนะน าไวใน Guideline on Securing Public Web Servers มดงน
ตารางท 1 ลกษณะการใชงานและความมนคงปลอดภยทแนะน าไวใน Guideline on Securing Public Web Servers
อยางไรกตาม SSL รองรบเฉพาะ cipher suites ทเปน RSA, Diffie-Hellman, และ Fortezza/DMS เพอน าไปใชรวมกบตวแปรอนๆ ในการสรางรหสลบ สวน TLS ไดหยดการรองรบ cipher suite ทเปน Fortezza/DLS แตอนญาตใหสามารถเพม cipher suites เขาไปในโพรโทคอล TLS เวอรชนตอไปได
ลกษณะการใชงาน Cipher Suite ใบรบรองอเลกทรอนกสส าหรบเครองบรการเวบ
ความมนคงปลอดภยสงสด วธการเขารหส: การเขารหสแบบ Advanced Encryption Standard (AES) ดวยกญแจขนาด 128 บตขนไป หรอเลอกเปนการเขารหสแบบ Triple Data Encryption Standard (3DES) ดวยกญแจขนาด 168 บต (ใชกญแจ 3 อน) โดยการเขารหสแบบ 3DES จะชากวาแบบ AES HMAC: Secure Hash Algorithm 1 (SHA-1) หรอ SHA-256 วธการยนยนตวตน: Digital Signature Standard (DSS) หรอ RSA
DSS หรอ RSA ดวยกญแจขนาด 2048 บตขนไป และ hash function แบบ SHA-1 หรอ SHA-256 ทงน การใช SHA-256 ในใบรบรองอเลกทรอนกสอาจท างานรวมกนไมไดกบผใชบรการเวอรชนเกา
ความมนคงปลอดภยและสมรรถนะ (Security and Preformance)
วธการเขารหส: การเขารหสแบบ AES ดวยกญแจขนาด 128 บต HMAC: SHA-1 วธการยนยนตวตน: DSS หรอ RSA
DSS หรอ RSA ดวยกญแจขนาด 1024 บตขนไป และ hash function แบบ SHA-1
ความมนคงปลอดภยและความเขากนไดรวมกนไดของระบบ (Security and Compatability)
วธการเขารหส: การเขารหสแบบ AES ดวยกญแจขนาด 128 บต หรอเลอกเปนการเขารหสแบบ 3DES ดวยกญแจขนาด 168 บต (ใชกญแจ 3 อน) HMAC: SHA-1 วธการยนยนตวตน: DSS หรอ RSA
DSS หรอ RSA ดวยกญแจขนาด 1024 บตขนไป และ hash function แบบ SHA-1
การยนยนตวตนและการปองกนการปลอมแปลง
HMAC: SHA-1 วธการยนยนตวตน: DSS หรอ RSA
DSS หรอ RSA ดวยกญแจขนาด 1024 บตขนไป และ hash function แบบ SHA-1
ขมธอ.1-2557
-38-
ภาคผนวก ค. การใชงานใบรบรองอเลกทรอนกสส าหรบการสอสารอยางมนคงปลอดภย
ในการตดตงและใชงาน SSL/TLS นนมความแตกตางกนไปในตามประเภทของเครองบรการเวบ ซงผดแลเครองบรการเวบ ควรเลอกใชงานใบรบรองอเลกทรอนกสตามประเภทธรกจและลกษณะเนอหาของเวบไซตโดยใบรบรองอเลกทรอนกสส าหรบเวบไซตมอย 3 ประเภท ไดแก
ประเภทท 1 Domain Validation เปนใบรบรองทเขารหสระดบ 128-256 บต ตรวจสอบความเปนเจาของ โดเมนวาตรงกบขอมลผขอใบรบรอง SSL หรอไมกอนการอนมต ท าใหมความมนคงปลอดภยและมความนาเชอถอ
ประเภทท 2 Organization Validation : เปนใบรบรองส าหรบองคกรทตองการเพมความนาเชอถอ โดยมการตรวจสอบองคกรทขอใบรบรอง SSL วามอยจรงหรอไม มการยนยนขอมลผขอใบรบรอง SSL ทางโทรศพท (Verify Call) โดยขนตนเขารหสลบท 128 บต และ สงสดท 256 บต ท าใหมความมนคงปลอดภยและมความนาเชอถอสง
ประเภทท 3 Extended Validation : เปนใบรบรองระดบสงสด โดยมการตรวจสอบขอมลอยางเขมงวดถงความเปนเจาของโดเมนและตรวจสอบตวตนขององคกร เชน การตรวจสอบวาองคกรมอยจรง โดยอาจจะมการขอเอกสารทางกฎหมายอน ๆ ของหนวยงาน, การใหเจาหนาทมาตรวจสอบทอยขององคกรวามตวตนตงอยตามทอยทลงทะเบยนไวหรอไม เปนตน โดยตองใหนกกฎหมาย (Third Party) ซงในประเทศไทยนกกฏหมายหรอผทมตวทนายจากสภาทนายความแหงประเทศไทย ลงนามรบรองเอกสารขององคกรดวย โดยขนตนเขารหสลบท 128 บต และ สงสดท 256 บต ซงเหมาะกบองคกรทตองการความนาเชอถอสง เชน เวบไซตธนาคาร เปนตน
เมอเลอกประเภทของใบรบรองอเลกทรอนกสทเหมาะสมไดแลว กจะเขาสกระบวนการสงค ารองขอใชงานใบรบรองอเลกทรอนกสและการตดตงใบรบรองอเลกทรอนกส ซงมขนตอนดงตอไปน
1. การขอใบรบรองอเลกทรอนกสส าหรบเครองบรการเวบเพอตดตง SSL/TLS
ในปจจบนเวบไซตหลอกลวงมมากมาย จนผใชบรการไมสามารถแยกแยะไดวาเวบไซตใดมความนาเชอถอหรอเวบไซตใดไมนาเชอถอ กระบวนการยนยนตวตนเวบไซตโดยใชใบรบรองอเลกทรอนกสส าหรบเครองบรการเวบจงเปนวธการหนงทจะท าใหผใชบรการเวบไซตสามารถมนใจไดวาเวบไซตทตวเองก าลงใชบรการนนมตวตนอยจรงและไดรบการรบรองจากผใหบรการออกใบรบรองอเลกทรอนกสทนาเชอถอ กระบวนการรกษาความมนคงปลอดภยของโพรโทคอล SSL/TLS ไมวาจะเปนการเขารหสขอมลทใชในการสอสาร และการยนยนตวตนลวนขนอยกบกญแจสาธารณะทอยในใบรบรองอเลกทรอนกสส าหรบเครองบรการเวบซงเปนใบรบรองทผใหบรการออกใบรบรองอเลกทรอนกส (Certificate Authority) รบรองกญแจสาธารณะ (public key) ทใชงานวาเปนของเวบไซตทมบคคลหรอนตบคคลทเกยวของเปนเจาของและเปนผรบผดชอบ เมอผใชบรการใชโปรแกรมคนดเวบตดตอกบเครองบรการเวบทใชโพรโทคอล SSL/TLS กอนทจะด าเนนการเขารหสขอมลเพอการสอสารระหวางกนนน โปรแกรมคนดเวบจะตรวจสอบความถกตองของใบรบรองอเลกทรอนกสซงไดแกตรวจสอบวาเปนใบรบรองทออกโดยผใหบรการออกใบรบรองทโปรแกรมคนดเวบนน ๆ เชอถอหรอไม หรอ ตรวจสอบวาใบรบรองดงกลาวไดถกยกเลกการใชงานหรอ
ขมธอ.1-2557
-39-
หมดอายหรอไม เปนตน การเลอกผใหบรการออกใบรบรองอเลกทรอนกสเปนตวแปรหนงทมค วามส าคญตอความมนคงปลอดภยซงแนวทางส าหรบการเลอกใชบรการจากผใหบรการออกใบรบรองอเลกทรอนกสส าหรบเครองบรการเวบมดงตอไปน
(1) ส าหรบการเลอกผใหบรการออกใบรบรองอเลกทรอนกสทนาเชอถอภายในประเทศไทย เจาของเวบไซตหรอผดแลเครองบรการเวบควรขอใบรบรองอเลกทรอนกสจากผใหบรการทไดรบการรบรองจากผใหบรการออกใบรบรองอเลกทรอนกสแหงชาต (Thailand National Root Certification Authority) ซงสามารถตรวจสอบรายชอของผใหบรการออกใบรบรองอเลกทรอนกสทไดรบการรบรองจาก URL: http://www.nrca.go.th
(2) ส าหรบการเลอกผใหบรการออกใบรบรองอเลกทรอนกสในตางประเทศ เจาของเวบไซตหรอผดแลเครองบรการเวบควรเลอกผใหบรการออกใบรบรองอเลกทรอนกสทผานการตรวจประเมนการด าเนนกจการตามมาตรฐานสากลเชน มาตรฐาน Web Trust เปนตน
(3) เจาของเวบไซตหรอผดแลเครองบรการเวบทขอใชบรการควรศกษารายละเอยดของแนวนโยบาย (Certificate policy) และแนวปฏบต (Certification practice statement) ของผใหบรการออกใบรบรองอเลกทรอนกสอยางรอบคอบ รวมถงศกษารายละเอยดและเงอนไขการใหบรการของใบรบรองอเลกทรอนกสแตละประเภท
(4) ผใหบรการออกใบรบรองอเลกทรอนกสอยางนอยตองใหบรการขอมลของรายการเพกถอนใบรบรองอเลกทรอนกส (Certificate Revocation List (CRL)) โดยในสวนของบรการอนๆ ผใชบรการสามารถน ามาใชในการพจารณาเลอกใชบรการไดเชน มบรการโพรโทคอลโอซเ อสพ (Online Certificate Status Protocol (OCSP)) ส าหรบการตรวจสอบสถานะของใบรบรองอเลกทรอนกส หรอบรการออกใบรบรองอเลกทรอนกสประเภท domain-validated และใบรบรองอเลกทรอนกสประเภท Extended Validation เปนตน [11]
2. การสงค ารองขอใชงานใบรบรองอเลกทรอนกส
หลงจากทเลอกผใหบรการออกใบรบรองอเลกทรอนกสทนาเชอถอแลวนน ในสวนของขนตอนการสงค ารองเพอขอใชงาน Certificate นน มรายละเอยดดงตอไปน
(1) ผดแลเครองบรการเวบ สรางกญแจครหส (Key Pair) ขน โดยกญแจสาธารณะนนจะประกอบดวย Public Key และ Private Key ของเครองบรการเวบ เพอน ามาใชในขนตอนการสรางไฟล Certificate Signing Request
(2) ผดแลเครองบรการเวบ สราง Certificate Signing Request (CSR) โดยไฟล CSR ทมรปแบบตามมาตรฐาน RFC 2986 และ PKCS#10 โดยไฟล CSR จะประกอบไปดวย 3 องคประกอบหลกดงน
ก. Certificate Request Information (CRI) ซง CRI นจะประกอบไปดวย Distinguish Name, Public Key ของเครองบรการเวบ และ Attribute อนๆ เชน รายละเอยดขององคกร เปนตน (Optional)
ขมธอ.1-2557
-40-
ข. Signature Algorithm Identifier ค. Digital Signature : เปนการ Sign ดวย Private Key ของเครองบรการเวบ เพอเปนการรบรอง
ขอมลวาเปนความจรง
เมอมขอมลครบทง 3 สวน เครองบรการเวบจะสรางไฟล CSR โดยในแตละบรษทผใหบรการเครองบรการเวบจะมวธการสรางไฟล CSR แตกตางกนไป ยกตวอยางเชน
ใน Microsoft IIS จะมโปรแกรม IIS Manager เพอใชในการจดการขอมลตาง ๆ ทเกยวกบเครองบรการเวบ และจะมโมดลส าหรบสรางไฟล CSR คอ Create Certificate Request ดงรป
ภาพท 2 โมดลส าหรบสรางไฟล CSR คอ Create Certificate Request
ใน Apache ผดแลเครองบรการเวบใชโมดลของ Apache ทชอ Apache OpenSSL ในการสรางไฟล CSR ซง OpenSSL นจะถกตดตงมาแลว อยภายใต /usr/local/ssl/bin และใช command line ในการสรางทงกญแจครหสไฟล CSR ดงรป
ภาพท 3 การใช command line ในการสรางทงกญแจครหสไฟล CSR
(3) ผดแลเครองบรการเวบน าไฟล CSR นสงไปยงผใหบรการออกใบรบรองอเลกทรอนกส เพอสงค ารองขอใชงานใบรบรองอเลกทรอนกส ซงในการสงค ารองขอใชงานใบรบรองอเลกทรอนกสนน มขอสงเกต ดงน
ก. ถาองคกรของทานเปนหนวยงานของรฐ จะตองท าการซอใบรบรองอเลกทรอนกสผานตวแทนในประเทศไทย ซงผดแลเครองบรการเวบตองสงแบบฟอรมค ารองขอใชงาน ไปพรอมกบไฟล CSR ดวย เชน บรษท iNET เปนตวแทนจ าหนาย ใบรบรองอเลกทรอนกสของ GlobalSign เปนตน
ข. ถาองคกรของทานเปนหนวยงานเอกชน สามารถท าการซอ ใบรบรองอเลกทรอนกสไดโดยตรงจาก Certificate Authority หรอจะท าการซอผานบรษทตวแทนของประเทศไทยกได
ค. ปจจบน บรษท Thai Digital ID หรอ TDID เปนผใหบรการออกใบรบรองอเลกทรอนกสรายแรกของประเทศไทยทไดรบการรบรองตามมาตรฐานสากล Trust Service Principles and Criteria for Certification Authorities Version2.0 (WebTrust for CAs) เชนเดยวกบผใหบรการออกใบรบรองอเลกทรอนกสทวโลก ตงแตป 2013 ซงสามารถยนค ารองขอใชงาน ใบรบรอง
ขมธอ.1-2557
-41-
อเลกทรอนกสพรอมทงเอกสารอน ๆ ไดเชนเดยวกน รายละเอยดเพมเตมตาม URL http://www.thaidigitalid.com/index.jsp?page=registration_ssl.jsp
(4) ผดแลเครองบรการเวบตองท าการส ารองขอมลไฟล CSR และ key-pair ไวดวย โดยขอมลในสวนนตองเกบเปนความลบ
3. การตดตงใบรบรองอเลกทรอนกส
เมอผใหบรการออกใบรบรองอเลกทรอนกสตรวจสอบตวตนของผขอใชบรการและด าเนนการในขนตอนตาง ๆ เพออนมต ใบรบรองอเลกทรอนกสใหแกผขอใชบรการตามรปแบบของ X.509 เรยบรอย กจะสามารถเขาสขนตอนการตดตงใบรบรองอเลกทรอนกสได โดยผดแลเครองบรการเวบจะไดรบอเมลจากผใหบรการออกใบรบรองอเลกทรอนกส เปนลกษณะไฟลหรอชดรหสขอความแนบมาพรอมกบอเมล ซงจะท าการสงถงอเมลของผขอใบรบรองอเลกทรอนกสโดยตรงหรอผานตวแทนจ าหนาย ซงรปแบบจะแตกตางกนออกไปตามแตละบรษทผใหบรการเครองบรการเวบ ในอเมลมรายละเอยดของใบรบรองอเลกทรอนกสพรอมวธการตดตง SSL ซงโดยหลกแลวจะมวธการดงน
(1) ผดแลเครองบรการเวบตรวจสอบกอนการตดตง ใหแนใจวามไฟล Certificate ส าหรบเตรยมตดตงครบถวน โดยทวไปมกไดแก
ก. intermediate certificate : เปน certificate ทมมาเพอรบรององคกรทรองขอใชงานใบรบรองอเลกทรอนกสวามตวตนจรง โดย intermediate certificate จะออกผใหบรการออกใบรบรองอเลกทรอนกส (GlobalSign) ซงไดรบการรบรองผใหบรการออกใบรบรองอเลกทรอนกส (Root CA)
ข. SSL Certificate เปนใบรบรองอเลกทรอนกสของโดเมนเนมทรองขอใชงาน SSL Certificate (2) ผดแลเครองบรการเวบตดตง intermediate certificate และ SSL Certificate ตามคมอการตดตงของบรษทผ
ใหบรการเครองบรการเวบแตละบรษท ซงวธการตดตงจะมอยในอเมลทผดแลเครองบรการเวบไดรบจากผใหบรการออกใบรบรองอเลกทรอนกส
(3) เมอตดตงเสรจเรยบรอยแลว ผดแลเครองบรการเวบรสตารทเครองบรการเวบ
4. การปรบแตงคาตดตงทเกยวกบ SSL/TLS
ผดแลเครองบรการเวบปรบแตงคาตางๆของเครองบรการเวบ เพอใหเวบไซตใชงานใบรบรองอเลกทรอนกสไดอยางสมบรณ โดยการใชบรการ Configuration Checker จากผใหบรการออกใบรบรองอเลกทรอนกสเพอเปนการตรวจสอบความครบถวนของการปรบแตงคาเครองบรการเวบ เชน GlobalSign จะมบรการตรวจสอบความครบถวนในการตดตงและปรบแตงคาเพอใชงาน SSL ตาม URL: https://sslcheck.globalsign.com/en_US โดยสามารถใส URL ของเวบไซตทตองการทดสอบ เมอประมวลผลเสรจกจะแสดงระดบทเวบไซตนนไดรบ A-F และมรายการของขอบกพรองทตองแกไขเพมเตมพรอมทงรายละเอยดโดยคราว ผดแลเครองบรการเวบสามารถน ารายการขอบกพรองทพบทงหมดไปปรบปรงเพมได ซงขนตอนการปรบแตงคาบางอยางของเครองบรการเวบและเวบไซตจะแตกตางกนไปตามบรษทผใหบรการของเครองบรการเวบแตละบรษท และใชเครองมอของโปรแกรมคนดเวบ Google Chrome ทชอวา JavaScript Console เพอชวยในการตรวจสอบหนาเวบเพจ วามสวนใดทตองปรบปรงแกไขเพอใหใชงานใบรบรองอเลกทรอนกสไดอยางเตมประสทธภาพ โดยเปด Google Chrome แลวกดปม
ขมธอ.1-2557
-42-
เลอก Tool > JavaScript Console กจะปรากฏหนาตางดงภาพ ซงถามขอบกพรองใด ๆ กจะปรากฏในหนาตางน
ภาพท 4 เครองมอของโปรแกรมคนดเวบ Google Chrome ทชอวา JavaScript Console
ซงสวนใหญขอก าหนดพนฐานทผดแลเครองบรการเวบตองน าไปปฏบตตาม มดงน
ก. Disable การใชงาน PCT1.0, SSL2.0, SSL3.0 ข. Enable การใชงาน TLS1.0, TLS1.1, TLS1.2 ค. ก าหนดรปแบบการเขารหสลบในการรบ-สงขอมลผานโพรโทคอล https ตาม Cipher suite ทเลอก
(รายละเอยดตาม 5.1.3) ง. ปรบคาเครองบรการเวบใหรบ-สงขอมลจาก port 443 ซงเปน port พนฐานของการใชโพรโทคอล https
ซงถากอนหนาน เครองบรการเวบไมเคยใชงาน port 443 นมากอน port 443 จะถกปดอย จ. ปด port ทงหมดทนอกเหนอจาก port 443 และ อพเดตโครงสรางระบบเครอขาย เชน firewall ควร
block request ทงหมดทพยายามเชอมตอมาทาง port อนๆ แตถาเครองบรการเวบเปนแมขายใหทง HTTP และ HTTPS กควรเปด port 80 ไวดวย
ฉ. ปรบแตงคาโครงสรางเวบไซตเพอใหรองรบ SSL/TLS เชน ตรวจสอบและแกไข URL ทงหมดในเวบไซต ใหมการเรยกใชจากโพรโทคอล HTTPS เทานน และตรวจสอบการเรยกใช URL จากภายนอกทโพรโทคอล HTTPS แจงเตอนวาไมมนคงปลอดภย
เมอตดตงและปรบแตงคาทงหมดเสรจเรยบรอย ผดแลเครองบรการเวบทดลองเขาเวบไซตจากโปรแกรมคนดเวบตาง ๆ เพอตรวจสอบเวบไซตวาสามารถเขาถงดวยโพรโทคอล HTTPS หรอไม ซงถากระบวนการตาง ๆ เสรจสมบรณจะปรากฏลกษณะตางๆ ซงจะแตกตางกนไปตามประเภทของ ใบรบรองอเลกทรอนกสทเลอกใช ในทนจะขอยกตวอยาง ใบรบรองอเลกทรอนกสประเภท Organization Validation จะมลกษณะปรากฏ ดงน
ช. Google Chrome ภาพท 5 ตวอยางสญลกษณกญแจสเขยวจากโปรแกรมคนดเวบ Google Chrome
ในกรณท ไ ม เป นสญล กษณกญแจส เ ข ย ว ส ามารถตรวจสอบสา เหต ได ต าม URL: https://support.google.com/chrome/answer/95617?hl=en&topic=14666&ctx=topic
ซ. Internet Explorer ภาพท 6 ตวอยางสญลกษณกญแจสเขยวจากโปรแกรมคนดเวบ Internet Exploer
ฌ. Mozilla Firefox ภาพท 7 ตวอยางสญลกษณกญแจสเขยวจากโปรแกรมคนดเวบ Mozilla Firefox
ขมธอ.1-2557
-43-
และผดแลเครองบรการเวบตองท าการส ารองขอมลไฟล SSL Certificate ไวดวย โดยขอมลในสวนนตองเกบเปนความลบ
5. การบ ารงรกษาใบรบรองอเลกทรอนกส
เมอตดตงและปรบแตงคาเครองบรการเวบและเวบไซตเพอใหใชงานใบรบรองอเลกทรอนกสเรยบรอย ผดแลเครองบรการเวบตองปฏบตตามขอก าหนดตอไปนเพอบ ารงรกษาใบรบรองอเลกทรอนกส
(1) หมนตรวจสอบวนหมดอายของใบรบรองอเลกทรอนกส เนองจากใบรบรองอเลกทรอนกสจะมอายใชงานคราวละ 1 ป ท าใหเมอใกลครบอาย ผดแลเครอง
บรการเวบตองท าการ Renew Certificate จากผใหบรการออกใบรบรองอเลกทรอนกสเดม โดยขนตอนการ Renew Certificate กจะเหมอนกบขนตอนการขอใชงานใบรบรองอเลกทรอนกสใหม เรมตนตงแตการสงค ารองขอใชงานใบรบรองอเลกทรอนกส เพราะในการตออายใบรบรองอเลกทรอนกสนน จะด าเนนการสรางกญแจครหสขนมาใหมและออกใบรบรองอเลกทรอนกสใบใหมแทนใบเดมทหมดอาย
(2) หมนตรวจสอบความตองการและลกษณะขององคกรเสมอ วาตองการใบรบรองอเลกทรอนกสทมนคงปลอดภยมากขนหรอไม
หมนตรวจสอบขาวสารของผใหบรการออกใบรบรองอเลกทรอนกสอยเสมอ วามความนาเชอถอมากขนหรอนอยลงอยางไร เพอชวยเลอกใชบรการกบผใหบรการฯ ทนาเชอถอทสด โดยผดแลเครองบรการเวบสามารถเปลยนผใหบรการออกใบรบรองอเลกทรอนกสได โดยขนตอนนนกจะเหมอนกบขนตอนการขอใชงานใบรบรองอเลกทรอนกสใหมนนเอง
ขมธอ.1-2557
-44-
รายการแกไขเอกสาร
เวอรชนเอกสาร วนทแกไข รายละเอยดการแกไข Version 0.1 DD prepared
26/01/2557
จดท าเนอหาโดยส านกมาตรฐาน สพธอ. ในรปแบบของรางขอเสนอแนะเพอจดท ามาตรฐาน ตามเอกสารขนตอนการจดท าขอเสนอแนะเกยวกบมาตรฐานเทคโนโลยสารสนเทศและการสอสารทจ าเปนตอธรกรรมทางอเลกทรอนกส (ตามนยามใน ขอ 2.7 และขนตอนการพจารณารางขอเสนอแนะฯ ตามภาคผนวก ก.1)
Version 0.2 DD approved
07/05/2557
ผานการพจารณาจาก ผอ. ส านกมาตรฐาน
Version 0.3 PRD approved
08/05/2557
ผานการพจารณาจากคณะท างานพจารณารางขอเสนอแนะมาตรฐานดานเทคโนโลยสารสนเทศและการสอสารทจ าเปนตอธรกรรมทางอเลกทรอนกส ครงท 1/2557 เมอวนท 8 พฤษภาคม 2557
Version 0.4 FDD(1) approved
08/09/2557
อนมตในหลกการโดยคณะท างานพจารณารางขอเสนอแนะฯ ตามมตของการประชมผบรหารระดบสงและผบรหารระดบกลาง สพธอ. ครงท 44/2557 เมอวนท 8 กนยายน 2557 และใหปรบแกไขตามความเหนของการเวยนราง และตามมตของคณะท างานพจารณารางขอเสนอแนะฯ
Version 0.5 FDD(2) approved
26/09/2557
พจารณาและปรบปรงเพมเตมโดยส านกกฏหมาย ดงน ปกหนา, ปกใน, เกรนน า, หนาประกาศส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน), ขอบเขต, การน าไปใชงาน
Version 0.6 FDD(2) approved
30/09/2557
อนมตโดย ผอ. สพธอ. และมสวนทปรบปรงเพมเตม ดงน เกรนน า, บทน า, ขอบเขต, การน าไปใชงาน, แนวทางการเลอกรปแบบเครองบรการเวบ และการรบมอภยคกคามทเกดขนกบเวบไซต, การปองกนการโจมตจากเทคนค Cross-side Scripting, การปองกนการโจมตจากเทคนค CSRF, ภาคผนวก ก. แบบประเมนส าหรบผดแลเครองบรการเวบและผพฒนาโปรแกรมประยกตบนเวบ และภาคผนวก ข. รปแบบการสอสารอยางมนคงปลอดภยระหวางโปรแกรมคนดเวบและเครองบรการเวบ เพอใหเนอหามความชดเจนและตรงประเดนในแงการใชงานมากขน
Version 1.0 EDR approved
30/09/2557
ประกาศเปน ETDA Recommendation
ขมธอ.1-2557
-45-
บรรณานกรม
[1] M. Tracy, W. Jansen, K. Scarfone, and T. Winograd, “Guidelines on Securing Public Web Server”, National Institute of Standards and Technology, 2007.
[2] Open Web Application Security Project (OWASP), “Brute force attack”, 12 August 2013. [Online]. Available: https://www.owasp.org/index.php/Brute_force_attack.
[3] ICANN Security and Stability Advisor Committee (SSAC), “SAC 40 Measure to Protect Domain Registration Services Against Exploitation or Misuse”, 2009.
[4] Google Inc., “Google Trends” , [Online]. Available: http://trends.google.com/trends.
[5] National Institute of Standards and Technology, “NIST”, [Online]. Available: http://www.nist.gov/.
[6] GSA’s Office of Citizen Services and Innovative Technologies and the Federal Web Managers Council, “choosing CMS”, 31 October 2013. [Online]. Available: http://www.howto.gov/web-content/technology.
[7] National Vulnerability Database, “National Vulnerability Database-CVE Static (Wordpress, Joomla!, Drupal)”, NIST, [Online]. Available: http://web.nvd.nist.gov.
[8] A. Freier, P. Karlton and P. Kocher, “RFC 6160 - The Secure Sockets Layer (SSL) Protocol Version 3.0”, August 2011. [Online]. Available: http://tools.ietf.org/html/rfc6101.
[9] T. Dierks and E. Rescorla, “RFC 5246 - The Transport Layer Security (TLS) Protocol”, August 2008. [Online]. Available: http://tools.ietf.org/html/rfc5246.
[10] Trustworthy Internet Movement (TIM), “Survey of the SSL Implementation of the Most Popular Web Sites”, 3 January 2014. [Online]. Available: https://www.trustworthyinternet.org/ssl-pulse/.
[11] I. Ristić, “SSL/TLS Deployment Best Practices”,vol. 1.3, 17 September 2013.
[12] WordPress, “Hardening WordPress”, [Online]. Available: http://codex.wordpress.org/Hardening_WordPress.
[13] Joomla!, “Security Checklist/Joomla! Setup”, 14 March 2014. [Online]. Available: http://docs.joomla.org/.
[14] Drupal, “Securing your site”, 12 November 2013. [Online]. Available: https://drupal.org/.
ขมธอ.1-2557
-46-
[15] Oracle Corporation, “Oracle Database Security Checklist”, June 2008. [Online]. Available: http://www.oracle.com/technetwork/database/security.
[16] T. Baccam, “Making Database Security an IT Security Priority”, SANS Institute , November 2009. [Online]. Available: https://www.sans.org/reading-room/.
[17] D. Sarel and C. L. Grand, “Database Security, Compliance and Audit”, Information System Control Journal, ISACA, vol. V, pp. 1-5, 2008.
[18] Open Web Application Security Project (OWASP), “PHP Security Cheat Sheet”, 25 March 2014. [Online]. Available: https://www.owasp.org/index.php/PHP_Security_Cheat_Sheet.
[19] Microsoft, “Securing ASP.NET Configuration”, [Online]. Available: http://msdn.microsoft.com/en-us/library/.
[20] Oracle, “Creating and Configuring JSPs”, [Online]. Available: http://docs.oracle.com.
[21] World Wide Web Consortium (W3C), “HTTP/1.1 header fields”, [Online]. Available: http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html.
[22] E. Barker and A. Roginsky, “NIST Special Publication 800-131A”, National Institute of Standards and Technology (NIST), U.S. Department of Commerce , 2011.