การจดการความปลอดภยภายในเครอขายคอมพวเตอร

กรณศกษา : บรษทแซนดแอนดซอยลอตสาหกรรม จากด

Management of Computer Network and Security

A Case Study of Sand And Soil Industry Co.,Ltd

ศราวฒ จนทะคด

Sarawut Chantakad

สารนพนธฉบบนเปนสวนหนงของการศกษา

ตามหลกสตรวทยาศาสตรมหาบณฑต

สาขาวชาเทคโนโลยสารสนเทศ บณฑตวทยาลย

มหาวทยาลยเทคโนโลยมหานคร

I

หวขอโครงงาน การจดการความปลอดภยภายในเครอขายคอมพวเตอร

กรณศกษา บรษทแซนดแอนดซอยล อตสาหกรรม จากด

นกศกษา ศราวฒ จนทะคด

รหสนกศกษา 5317680001

ปรญญา วทยาศาสตรมหาบณฑต

สาขาวชา เทคโนโลยสารสนเทศ

พ.ศ. 2554

อาจารยผควบคมโครงงาน ดร . วรพล ลลาเกยรตสกล

บทคดยอ

ปจจบนเทคโนโลยสารสนเทศและระบบคอมพวเตอรอนเทอรเนตมการใชงานอยาง

แพรหลายไมวาจะเปนภายในบรษท สถานศกษา หรอทพกอาศย

ซงการกาหนดนโยบายในการใชงานนนเปนสงสาคญทควจจะมการจดทา เพอความปลอดภยใน

ระบบสารสนเทศ โครงงานนจดทาขนเพอเปนแนวทางในการทดสอบระบบความปลอดภยและ

นโยบายภายในองคกร และทงยงแนะนาโปรแกรมทชวยสนบสนนโยบายเกยวกบความ

ปลอดภยภายในระบบคอมพวเตอรมาใชงาน เพอลดความเสยงในสวนตาง ๆ ของระบบ เพอให

องคกรลดความเสยงและสามารถดาเนนธรกจไดอยางตอเนอง

II

กตตกรรมประกาศ

การศกษาวจยในครงนสาเรจลลวงไปไดดวยด โดยไดรบความกรณาชวยเหลอจากอาจารย

ทกๆทาน และอาจารยทปรกษา ทไดประสาทวชาความร ไดถายทอดความร แนะแนวทางในการ

ปฎบตงาน และใหคาแนะนาในเรองตางๆ เปนอยางด อกทงขอบคณครอบครวพอ ,แม,นา, และ

เพอนๆ ทไดใหความชวยเหลอ เปนกาลงใจตลอดมา อนงตองขอบคณคอ บรษทแซนดแอนดซอยล

อตสาหกรรม จากด ทใหความอนเคราะหเพอใหโครงงานนสาเรจไปไดดวยด

ขาพเจาจงขอกราบขอบพระคณอาจารย ผบรหารหนวยงาน และหวหนาหนวยงานเปน

อยางสง มา ณ โอกาสน

ศราวฒ จนทะคด

III

สารบญ

หนา

บทคดยอ I

กตตกรรมประกาศ II

สารบญ III

สารบญรป V

สารบญตาราง VII

สารบญกราฟ VIII

บทท 1 บทนา

1.1 กลาวนา 1

1.2 กรณศกษา 2

1.3 ปญหาและแรงจงใจ 2

1.4 วตถประสงคและขอบเขตของโครงงาน 3

1.5 ประโยชนทคาดวาจะไดรบ 3

1.6 โครงสรางและเนอหาของโครงงาน 4

บทท 2 พนฐานและทฤษฎทเกยวของ

2.1 กลาวนา 5

2.2 รปแบบของภยคกคาม 5

2.3 หลกการทางานของไฟรวอลล 17

2.4 โปรแกรมทนามาสนบสนนในการทาโครงงาน 22

บทท 3 การดาเนนการ

3.1 กลาวนา 24

3.2 องคประกอบและโครงสรางของระบบเดม 24

3.3 องคประกอบและโครงสรางของระบบใหม 26

3.4 วธการนาเสนอ 27

3.5 ขนตอนและวธการดาเนนงาน 29 3.6 วธการพฒนานโยบายสารสนเทศ 30 บทท 4 ผลการดาเนนการ

4.1 กลาวนา 31

4.2 การกาหนดนโยบายประโยชนทสาคญ 31

4.3 การจดลาดบความเสยง 31

IV

สารบญ (ตอ)

หนา

4.4 การกาหนดแบบสอบถามและผลการตอบแบบสอบถาม 31

4.5 โปรแกรมทชวยสนบสนนนโยบาย 36

บทท 5 สรปผลการดาเนนการ

5.1 สรปผลการทดลอง 56

5.2 ขอเสนอแนะ 56

เอกสารอางอง 58

ภาคผนวก ก.

ตวอยางการตดตงโปรแกรม Pfsense Firewall

ภาคผนวก ข.

ตวอยางเอกสารดานความปลอดภยดานเทคโยโลยสารสนเทศ

พระราชบญญต วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐

V

สารบญรป

หนา

รปท 2.1 ตวอยาง Phishing 13

รปท 2.2 ตวอยาง Phishing (2) 14

รปท 2.3 การออกแบบไฟรวอลลไวหลงเราเตอร 19

รปท 2.4 การตงคาใชงาน Proxy 22

รปท 2.5 โปรแกรม Pfsense 23

รปท 2.6 หนาจอกาหนดพอรตการใชงาน 24

รปท 2.7 หนาจอการใชงานแบนดวดท (Bandwidth) 24

รปท 3.1 ระบบภายในองคกรกอนปรบปรง 26

รปท 3.2 ระบบภายในองคกรหลงปรบปรง 27

รปท 4.1 สรปผลวดระดบความเหนในการจดทานโยบาย 36

รปท 4.2 หนาแสดงระบบไฟรวอลล 37

รปท 4.3 กาหนดพอรต 3389 (MS RPD) ไมใหใชงาน 3 7

รปท 4.4 กาหนดพอรต 3389 (MS RPD) ไมใหใชงาน (ตอ) 38

รปท 4.5 ตวอยางผล Remote เขาเครอง server ไมได 3 8

รปท 4.6 กาหนดพอรต 5900 (VNC) ไมใหใชงาน 39

รปท 4.7 ตวอยางผล VNC เขาเครอง server ไมได 39

รปท 4.8 กาหนดพอรต 443 (HTTPS) ไมใหใชงาน 40

รปท 4.9 ตวอยางผล Protocol HTTPS เขาใชงาน ไมได 41

รปท 4.10 กาหนดเวบไซตไมใหใชงาน 42

รปท 4.11 ตวอยางผล เวบไซตเขาใชงาน ไมได 4 2

รปท 4.12 กอนทดสอบปดพอรต 43

รปท 4.13 กาหนดพอรต 25,53 ไมใหใชงาน 4 4

รปท 4.14 ตวอยางผล ทดสอบ สแกน หาพอรต 45

รปท 4.15 แสดงแบนดวดทไอพทใชในเครอขาย 46

รปท 4.16 ไอพทใชงานปจจบน 47

รปท 4.17 แสดงการทางานของระบบ 48

VI

รปท 4.18 แสดง Traffic ของ WAN 48

รปท 4.19 แสดง Traffic ของ LAN 49

สารบญรป (ตอ)

หนา

รปท 4.20 แสดง Packets ของ WAN 49

รปท 4.21 แสดง Packets ของ LAN 50

รปท 4.22 แสดง Logfile ของระบบ 50

รปท 4.23 แสดง Logfile ของแตละไอพ 51

รปท 4.24 แสดงการแจก DHCP 51

รปท 4.25 แสดงแบนดวธของ LAN 52

รปท 4.26 แสดงแบนดวธของ WAN 52

รปท 4.27 แสดง Logfile เปนรายวน/เดอน/ป 53

รปท 4.28 แสดง Logfile ไอพแตละหมายเลข 53

รปท 4.29 แสดงเวบไซตทไอพเขาใชงาน 54

รปท 4.30 แสดงไอพทดาวหโหลดไฟล 54

รปท 4.31 แสดงการเขาเวบไซตดาวหโหลดของไอพ 55

รปท 4.32 แสดงเขาออกของไอพทใชงานอนเทอรเนต 55

รปท 4.33 หนาจอเขาใชงานของผใชงาน 56

รปท 4.34 ลอกอนเขาระบบเขาใชงาน 56

VII

สารบญตาราง

หนา

ตารางท 2.1 แสดงการเปดเฉพาะพอรต 80 20

ตารางท 2.2 แสดงการเปดเฉพาะพอรต 443 21

ตารางท 2.3 แสดงการเปดเฉพาะพอรต 25,110,143 21

ตารางท 3.1 รายชอผรบผดชอบ server 29

ตารางท 4.1 ตวอยางแบบสอบถาม 33

ตารางท 4.2 ผลการจดเกบแบบสอบถาม 35

VIII

สารบญกราฟ

หนา

กราฟท 2.1 กราฟแสดงการโจมตระบบ 9

ปการศกษา 2554

1

บทท 1

บทนา

1.1 กลาวนา

ในปจจบนการใชบรการเครอขายคอมพวเตอรภายในและนอกองคกรนน ไดมการขยายตว

อยางมาก ซงเกดจากการขยายตวของธรกจเอง โดยแตกตางจากในอดต ซงการเขาถงเครอขาย

คอมพวเตอรนน ไมไดมการแพรหลายอยางในปจจบน เมอธรกจมความเจรญเตบโตขนองคกรก

หลกเลยงไมไดเลย ทจะนาเอาเทคโนโลยเขามาใชภายในองค กร ซงใหสามารถแขงขนกบธรกจ

ทอยในประเภทเดยวกนได และขอมลทอยภายในระบบคอมพวเตอรกมความสาคญเปนอยาง

มาก ทจะนามาวเคราะหสงตาง ๆ ทเราตองการ และเปนไปไมไดเลยทบคลากรภายในองคจะไม

ใชงานขอมลตาง ๆเหลานน

จะเหนไดอยางชนเจนเลยวาการใชงานอนเตอรเนตนนทาใหสามารถตดตอสอสารทาง

ธรกจไดเปนอยางด

ไมวาจะรบสงอเมล เขาชมเวบไซตตาง ๆ แตอยางไรกด กเปนดาบสองคมทพรอมจะทาลายเรา

ไดอยทกเมอ ซงการทผใชงานเองเขาเวบไซตทไมเหมาะสม ไมวาจะเปนเวบไซตทผดกฎหมาย

หรอเขาไปดาวนโหลดโปรแกรมตาง ๆ ภายในอนเตอรเนต ซงในบางครงเราไมรตววาเราไดของ

แถมมา เมอเราตดตงโปรแกรมดงกลาวแลว เครองเรากจะถกไวรส และในบางครงไวรสนนจะ

กระจายตวไปอยในเครอขายภายในองคกรของเราเอง อาจจะทาใหขอมลทถกขโมยไปตกอยกบ

ผไมหวงด หรออาจเปนการลอลวงใหเขาไปใชงานบางเวบไซตโดยทผใชงานไมทนรตวโดยทม

ลกษณคลายกน หรอเวบไซตปลอมโดยเราไมทนสงเกต ซงเวบไซตดงกลาวนนจะหลอกดกจบ

username และ password ของผใชงาน และในปจจบนการใชงานระบบเครอขาย Wireless ก

เปนชองทางหนงททาใหผไมประสงคด ทจะเขาภายในระบบเครอขายในองคกร

ดงนนการทจะหยดตนตอกบปญหาตาง ๆทผานมา จงตองมระบบรกษาความปลอดภย

ภายในองคกร ระบบนจะเปรยบไดจากผรกษาความปลอดภยดานแรกทเขามาภายในบรษท

ตองมการตรวจตราผทเขามาตดตอกบบคคลภายใน แตถาเปนผรกษาความปลอดภยของระบบ

เครอขายคอมพวเตอรแลวนน กคอ ไฟรวอลล (Firewall) ทจะทาหนาทเปนผรกษาความ

ปลอดภยใหกบระบบเครอขายทจะคอยดแลปองกน เครอขายใหมความปลอดภยมากยงขน

2

1.2 กรณศกษา

การออกแบบ และกาหนดโครงสรางของความปลอดภยในองคกรนน เปรยบได

จากการตอกเสาเขมใหกบระบบคอมพวเตอรภายในองคกร เพอในอนาคตจะไดรองรบ

เทคโนโลยตาง ๆ ทนามาสนบสนนการเจรญเตบโตทางธรกจ และสรางความมนคง

ใหกบองคกรเอง

บรษท แซนดแอนดซอยลอตสาหกรรม จากด ไดนาระบบเทคโนโลยเขามาใช

ภายในองคกร ไมวาจะเปนระบบฐานขอมล ระบบอเมล ระบบ Enterprise resource

planning (ERP) และระบบอนเตอรเนต ดงนนบรษทเองจงมความเสยงตอความ

ปลอดภยของขอมลภายในบรษท ในการเขาใชงานอนเตอรเนต โดยแบงออกไดดงน

1.2.1 การเขาใชงานเวบไซตตาง ๆ ไมมการกาหนดการเขาใชงาน

1.2.2 ไมมการจดเกบ logfile ทผใชงาน เขาใชงานระบบอนเตอรเนต

1.2.3 ปญหาการดาวนโหลดโปรแกรมหรอไฟลภาพ เพลง ตาง ๆ ทผด

กฎหมาย ทาใหสนเปลองแบนดวดท (Bandwidth)

1.2.4 ความเสยงตอความปลอดภยจากบคคลภายนอกทเขามาใชงานระบบ

คอมพวเตอรภายในโดยไมมการกาหนดการเขาถงขอมล

1.3 ปญหาและแรงจงใจ

เนองจากในปจจบนบรษทไดนาระบบเทคโนโลยเขามาใชภายในองคกร ทาใหผใชงาน

เขาถงขอมลตาง ๆ ไมวาจะเปนฐานขอมล อเมล เวบไซต ไฟลภาพ เพลงในอนเตอรเนต

ผใชงานอาจรเทาไมถงการ อาจจะดาวนโหลดไฟล เหลานนมา ซงจะเปนการสรางปญหาและ

นาความเสยหายมาสในองคกร จะกระทบตอการทางานแอพพลเคชนทเปนหลกของผใชงาน ทา

ใหการทางานมความลาชา หรอทางานไมไดเลย และเมอคอมพวเตอรของผใชงานภายใน

องคกรตดไวรสคอมพวเตอร ผลมาจากการเขาใชงานเวบไซตทไมมความนาเชอถอ หรอเวบทม

ไวรส จะนาความเสยหายมาใหผใชงานอนๆ ดวย

ศกษาระบบรกษาความปลอดภยของระบบสารสนเทศ ทเปนมาตรฐานและนยมใชงาน

เพอนามาประยกต

ใชงานภายในองคกร พรอมทงหาเครองมอทเปนระบบรกษาความปลอดภยใหกบระบบ

สารสนเทศ เพอเปนการหยด และสกดกนการโจมตของ Hacker และไวรส พรอมทงจดทา

นโยบายความปลอดภยในการเขาใชงานระบบสารสนเทศ

การนา Pfsense firewall (FreeBSD) เขามาใชงาน ซงเปนทางเลอกทนาสนใจ ในการท

จะนามาเปนเกาะปองกนความเสยหายดงกลาวทอาจกอใหเกดความเสยหายในภายหลงได และ

เปนซอฟตแวรโอเพนซอรส (Open Source) ซงผดแลระบบสามารถดาวนโหลดมาใชงานโดยไม

เสยคาใชจาย ขอดของระบบนจะมความเสถยร เหมาะอยางยงทนามาเปนผรกษาความ

3

ปลอดภยในกบระบบคอมพวเตอรภายในองคกร และจะเปนการลดตนทนในอกทางหนงใหกบ

องคกรเอง

จากปญหาตาง ๆ ขางตน ผศกษาจงมแนวความคดทจะนา Pfsense Firewall เขามาเปน

เครองมอรกษาความปลอดภย ภายในระบบคอมพวเตอรและอนเตอรเนตใหกบองคกร

1.4 วตถประสงคและขอบเขตของโครงงาน

วตถประสงคและขอบเขตของโครงงานน จะมงเนนการสรางความปลอดภยใหกบระบบ

สารสนเทศภายในองคกร ตามวตถประสงคขางตน โดยไดออกแบบจดทาระบบรกษาความ

ปลอดภย เพอใหสอดคลองกบนโยบายขององคกร โดยมขอบเขตของโครงงานดงตอไปน

1.4.1 สารวจความปลอดภยกอนตดตงระบบรกษาความปลอดภย

1.4.2 กาหนดขอบเขตในการทดสอบระบบรกษาความปลอดภย

1.4.3 จดหาระบบและตดตงระบบปองกนพรอมทงกาหนดนโยบาย

1.4.4 ปรบปรงนโยบายทางดานความปลอดภยใหสอดคลองตอการใชงานจรงภายใน

องคกร

1.4.5 จดทาเปนนโยบายและประกาศใชงาน

1.5 ประโยชนทคาดวาจะไดรบ

ประโยชนทไดจากการศกษาโครงงานน เปนการรและตระหนกถงความปลอดภยของ

ขอมลภายในองคกร ทมความสาคญในการดาเนนธรกจ และใหผใชงานภายในองคกรรถงความ

ปลอดภยในการใชงานระบบสารสนเทศ โดยการนาเอามาตรฐานการรกษาความปลอดภยมาใช

ภายในองคกร พรอมทงรวธการในการวางแผนทจะดแลระบบสารสนเทศภายในองคกรใหม

ประสทธภาพตอไป

1.5.1 เขาใจการโจมตในรปแบบตาง ๆ ภายในระบบสารสนเทศ

1.5.2 รถงวธการรกษาความปลอดภยของระบบสารสนเทศ

1.5.3 การกาหนดนโยบายใหกบองคกรไดอยางถกตอง

1.5.4 ทาใหผบรหารระดบสงเชอมนตอความปลอดภยของระบบสารสนเทศภายใน

องคกร

1.5.5 เจาหนาทและผใชงานรและมความเขาใจในทางเดยวกน

1.5.6 สรางความนาเชอถอใหกบบคคลภายนอก

1.6 โครงสรางและเนอหาของโครงงาน

จากทไดกลาวมาขางตน เปนกรณศกษา การจดทา วางแผนจดทานโยบายในการรกษา

ความปลอดภยใหกบระบบสารสนเทศภายในองค ไมวาจะเปนปญหาแรงจงใจในการจดทา

โครงการนขนมา และวตประสงคทจะไดรบในการศกษาในการทาโครงงานในครงน เพอนาไปใช

งานจรงภายในองคกรตอไป

4

บทท 1 เปนการกลาวนาตงแตปญหาจนกระทงวธการแกไข

บทท 2 ความรพนฐานทจะตองใชในการทาโครงงาน

บทท 3 การนามาตรฐานและวธมาใชงานในการวเคราะหแกไขปญหา

บทท 4 ผลทไดจากการดาเนนการ และวธปฎบตในการวางนโยบายความปลอดภย

บทท 5 สรปผลของโครงงาน คอการนาขอมลตาง ๆ ทไดดาเนนการและวธปฎบตมา

สรปผลทองคนไดรบ ในการจดทาโครงการน

5

บทท 2

พนฐานและทฤษฎทเกยวของ

2.1 กลาวนา

ในยคปจจบนนการรกษาความปลอดภยของขอมลทางสารสนเทศตาง ๆ นนยอมม

ความสาคญตอองคกรธรกจตาง ๆ เปนอยางมาก ไมวาจะเปนเรองฐานขอมลภายในบรษทเอง

ซงถาไปตกอยกบคแขงในธรกจประเภทเดยวกนยอมทจะเปนผลเสยหายตอบรษทเอง ซงความ

เสยงนนมหลายรปแบบดวยกน ไมวาจะเปนการรเทาไมถงการของบคคลากรภายในองคกรเอง

หรอการเขาใชงานภายในเครอขายอนเทอรเนต การเขาเยยมชมเวบไซตทไมมความปลอดภย

เชนเวบไซต แครก (crack) แนนอนวาเมอผใชงานภายในองคกรเองเขาไป แลวยอมทจะนา

ของแถมตดมาเกบไวทเครอขายภายในขององคกรดวย หรอจากเขาใชงานอเมล โดยความไม

ปลอดภยในรปแบบอเมลนจะเรยกกนวา สแปมเมล (Spam mail) ซงดงทกลาวมาขางตนจงเปน

ความเสยงทงหมดทอยภายในเครอขายทงสน ดงนนระบบสารสนเทศจาเปนทจะตองมระบบ

รกษาความปลอดภยภายในเครอขายทมความแขงแกรงและพรอมทจะรบมอกบภยคกคามตาง

ๆ เหลานนได

2.2 รปแบบของภยคกคาม

หากกลาวถงในปจจบนความปลอดภยในการใชงานเครอขายคอมพวเตอรตาง ๆ ลวนแลว

มความเสยงทงสนไมวาจะเปนการใชงานอนเทอรเนท การแชรไฟล ลวนแลวแต มชองโหวท

สามารถเกดภยคกคามอยทกเมอ แตอยางไรกดองคกรในปจจบนกหลกเหลยงไมไดทจะไมใช

งานเครอขายคอมพวเตอร และอนเทอรเนท เพราะในปจจบนการแขงขนทางธรกจจะประสบ

ความสาเรจไดมาก ยอมมากจากการใชงานเทคโนโลยสารสนเทศตาง ๆ ซงจะนามาวเคาะร

ขอมลทใชงานในการตดสนใจ

การรกษาความปลอดภยของขอมลซงจะมองคประกอบความปลอดภยของขอมล โดย

แบงออก 3 ดาน ความลบ ความคงสภาพ ความพรอมใชงาน โดย 3 หวขอนถาขาดสวนใดสวน

หนงไปกถอไดวาขอมลในสวนนนไมมความปลอดภย โดยจะอธบายไดดงน

ความลบ (Confidentiality) โดยบคคลทมสทธในการเขาถงขอมลเทานนทจะสามารถ

อานขอมลในสวนนน ๆ ได และผไมมสทธในการเขาถงขอมลยอมทจะไมสามารถเขาถงขอมล

ไดเชนกน

การรกษาความลบของขอมล หมายถง การทจะอนญาตใหเฉพาะบคคลทไดรบการเขาถง และ

ใชงานขอมลนน ๆ ได และไมใหบคคลทไมมสทธ เขาใชงานขอมล เพราะเมอทผไมมสทธในการ

เขาใชงานขอมลนาขอมลไปเปดเผยอาจจะทาใหเกดความเสยหายตอเจาของขอมลเองไมวา

ทางตรง หรอวาทางออม กลไกลในการรกษาความปลอดภยของขอมลนนทาไดหลายรปแบบ

เชนการเขารหสของในการสงขอมล หรอการเขารหสในการเกบรหสผาน โดยทวไปเวบทมความ

6

เชอถอในการเกบรกษาขอมลของสมาชกทมาสมคร โดยรหสผานนนจะเกบเปนแบบเขารหสไว

ทงสน ซงเมอผท ไมประสงคดเขาไปดแลว รหสผานนน ๆ จะถกเขารหสกทาใหอานไมรเร อง

หรอเดารหสผานไดยาก แตอยางไรกดรหสผานกควรจะเปลยนบอย ๆ ยกตวอยางการเขาใช

งานระบบของธนาคารตาง ๆ สงเกตใหด ๆ เมอเขาใชงานเวบไซตของธนาคาร ควรตดตาม

ขาวสารในการเปลยนหนาเวบไซต ในการทจะเขาไปทาธรกรรมทางการเงน เพราะการขโมย

ขอมลในรปแบบใหมน ผไมประสงคทจะทาหนาเวบไซตปลอมไวหลอก ตบตาผทเขามาใชงาน

เวบไซตของธนาคาร เมอผใชงาน เขาใชงานโดยใส ชอผใชงาน และรหสผานเขาไป เวบไซต

ปลอมนนกจะเกบขอมลทผใชงานไดกรองมาจากขางตนไวทงหมด โดยทผใชงานเองไมทนรตว

ทางปองกนทาการเปลยนรหสผาน และตรวจสอบขอมลหนาเวบไซตของธนาคารเสมอวา

เปลยนไปในรปแบบใด

ความคงสภาพ (Integrity) การรกษาความปลอดภยของขอมลใหถกตองและสมบรณ ซง

ขอมลนน ๆ ใหมความนาเชอถอ และมใหผไมมสทธแกไขขอมลหรอนาขอมลตาง ๆ ไปทาการ

อยางใดอยางหนงทาใหขอมลเกดการเสยหาย และไมสามารถเชอถอขอมลนนได

ความคงสภาพของขอมล หมายถง ขอมลตางๆ ทมสภาพเดมอยโดยไมมการเปลยนแปลงไป

จากขอมลเดม โดยการปองกนไมใหขอมลเดมนนถกเปลยนแปลงไป โดยผทไมมสทธแกไข

ขอมลนนมใหทาการใด ๆ เกยวกบขอมลเหลานน เพราะเมอขอมลนนถกแกไขแลว ขอมลจะไม

มความนาเชอถอ เชนยอดขายภายในบรษทโดยปกตยอดขายตอเดอน ขอมลนนจะทามาจาก

ฝายขาย แตเมอฝายการบญชเขาไปใชขอมล หรอทาการแกไข เมอขอมลถกเสนอตอในท

ประชม สงเกตวาขอมลจะแบงออกเปน 2 สวนทาใหขอมลยอดขายนนไมมความนาเชอถอ

กลไกลของการรกษาความคงสภาพของขอมลนนประกอบดวย 2 สวน

1. การปองกน (Prevention)

การปองกนนมจดมงหมายคอ การรกษาขอมลมใหผท ไมมสทธในการใชงานขอ สามารถ

เขามาใชขอมลโดยไมไดรบอนญาต ซงการปองกนแบบนจะเปนแบบการพสจนตวตนกอน

การเขาใชงานในสวนตาง ๆ ของระบบ หรอขอมล ซงวธการแบบนเปนวธทนยมใชกนอย

ในลาดบตน ๆ กฎการเขาใชงาน เมอเขาใชงานระบบ ตองมการ เขาสระบบ (Login) ตอง

ใชชอผใชทมอยในระบบ และรหสผาน ถาผใชงานใดไมมสทธกจะไมสามารถเขาใชงานใน

สวนนน ได

2. การตรวจสอบ (Detection)

การตรวจสอบของขอมลน เปนการตรวจสอบขอมลตาง ๆ ภายในระบบวามการแกไขไป

แลวหรอไม ซงขอมลทมการเปลยนแปลงไปจากเดม เชนการแกไข การเพม ซงถา

ตรวจสอบแลววาขอมลนนถกเปลยนแปลงไป จะไมมความเชอถอของขอมล เมอจะนามา

วเคราะหในเรองตาง ๆ

ความพรอมใชงาน (Availability) การทขอมลตาง ๆ มสภาพความพรอมใชงานอยเสมอ

เมอตองการทจะใชขอมล

7

ความพรอมใชงานขอมล หมายถง ความสามารถใชขอมลตาง ๆ เมอตองการ และความพรอม

ใชงานของระบบ กมความสาคญ ถาระบบไมมสภาพทจะพรอมใชงานขอมลตาง ๆกจะไมพรอม

ใชงานตามไปดวย โดยระบบทไมพรอมใชงานนจะถกแสดงออกมาโดย เชน ระบบใชงานไมได

เชน โปรแกรมภายในบรษท ซงจาเปนตองใชงานผานฐานขอมลทงสน และเมอระบบไมสามารถ

ดาเนนกจกรรมของระบบเองได กจะไมสามารถใหบรการไดเลย อาจจะมสาเหตมาจากตว

ฐานขอมลเอง หรอ ระบบทมการใชงานมายาวนานโดยไมไดมการปรบเปลยนฮารดแวร ซงสง

ตาง ๆ เหลานลวนแลวแตเปนปจจยททาใหระบบไมสามารถตอบสนองการใหบรการได

2.2.1 การรกษาความปลอดภยของขอมลในดานตาง ๆ

การระบตวตน ( Identification )

ภายในระบบสารสนเทศนนตองมการระบตวตนภายในตวระบบได ในการระบตวตนน

เปนขนตอนแรกกอนจะเขาถงขอมลชนความลบ และเปนพนฐานขนตอนตอไปในการพสจน

ตวตน (Authentication) และการพสจนสทธ (Authorization) เชนการเขาใชงานเวบไซตจะเหน

วามการใหกรองชอผใช และรหสผานเขาใชงาน โดยสทธในการเขาถงขอมลกจะแตกตางกน

ออกเปนตามชอผใชงานนน ๆ

การพสจนทราบตวตน (Authentication)

การทระบบจะบอกไดวาเมอผใชงานนนทาการเขาระบบมาแลว วาชอผใชงานนนม

รหสผานตรงกบชอผใชงานภายในระบบหรอไม หรอจะเปนคาถามคาตอบเมอเราสมครสมาชก

ไวแตตอนตนแลวเมอลมรหสผาน ระบบกจะทาการใหเราตอบคาถามซงเปนการระบตวตนได

เชนกน

การอนญาตใชงาน (Authorization)

เมอผานขนตอนขางตนมาแลวในสวนนจะเปนการทชอผใชงานแตละคนมสทธในการเขา

ถงขอมลในสวนตาง ๆ โดยสทธการเขาถงขอมลนนจะแตกตางกนออกไปเชน สทธการเขาใช

งานระบบฐานขอมล ผใชธรรมดายอมมสทธไดแคด อยางเดยว หรอเวนแตผดแลระบบจะมอบ

สทธให แตผดแลระบบจะสามารถสราง ลบ แกไขฐานขอมลได

การตรวจสอบได (Accountability)

โดยการตรวจสอบระบบไดนในกรณทผใชงานเขาสระบบแลว ทางระบบจะมการเกบการ

เขาใชงานภายในระบบ (logs) เพอจะสามารถตรวจสอบไดวาผใดเขามาใชงานภายในระบบบาง

8

2.2.2 ถกคกคามโดยนกเจาะระบบ (Hacker)[2]

นกเจาะระบบจะอาศยจดออนของระบบ (Vulnerability) เพอทจะเขาถงระบบดวยสทธ

ของผใชหรอสทธของผดแลระบบ เมอเขาสระบบไดแลวเปาหมายของนกเจาะระบบมกจะเปน

ขอมลสาคญซงขอมลสามารถทจะถกขโมยถกเปลยนแปลง หรอทาลายได

กราฟท 2.1 กราฟแสดงการโจมตระบบ[5]

อางองจาก http://www.cse.sc.edu/~farkas/csce790-2002/lectures/csce790-lect1.ppt

2.2.3 ภยคกคาม (Threat)

ภยคกคาม หมายถง เปนสงททาใหเกดความเสยหายของขอมล ไมวาจะเปนสวนใดสวน

หนงของขอมล เมอขอมลนนการคกคาม โดยภยคกคามนถาไมไดมการปองกนทรดกมแลวนน

กจะเปนสาเหตทจะทาใหขอมลนนเกดการเสยหายได โดยการโจมตของกลมทไมหวงดเชนจาก

บคคลภายในองคกรเอง หรอกลม เจาะระบบ (Hacker) แต อยางไรกไดถามการจดการทดตอ

ขอมล ทาใหขอมลนนปลอดภยรดกมอยเสมอ ภยตาง ๆ กไมสามารถทจะทาใหขอมลเสยหาย

ได

การรกษาความปลอดภยของคณสมบตขอมลทง 3 ดานคอ ความลบ ความคงสภาพ และ

ความพรอมใชงาน จะเปนสงทเขามาชวยเปนเกาะปองกนกบภยคกคามในรปแบบตาง ๆ ท

เกดขนได โดยจะแบงภยคกคามออกได 4 ประเภท

การเปดเผย (Disclosure) คอการเขาถงขอมลสารสนเทศโดยมไมไดรบอนญาตจาก

เจาของขอมล

High

Low 1980 1985 1990 1995 2000

password guessing self-replicating code

password cracking

exploiting known vulnerabilities

disabling audits back doors

hijacking sessions

sweepers

sniffers

packet spoofing

GUI automated probes/scans

denial of service

www attacks

Tools

Attackers

Intruder Knowledge

Attack Sophistication

“stealth” / advanced scanning techniques

burglaries

network mgmt. diagnostics

distributed attack tools

Cross site scripting

Staged attack

9

การหลอกลวง (Deception) คอการใหขอมลตาง ๆเปนเทจ

การขดขวาง (Disruption) คอการทาลายขอมลหรอกนขดขวางมใหกระทาตอขอมลทเปน

จรง

การควบคมระบบ (Usurpation) คอการเขามาในระบบหรอทงหมดภายในระบบโดยมไดม

สทธในการเขาใชงาน

2.2.4 การสอดแนม (Snooping)

หมายถง การดกเพอแอบดขอมล ซงจดอยในประเภทเปดเผย การสอดแนมเปนการโจมต

แบบพาสซฟ (Passive) คอเปนการกระทาทไมมการเปลยนแปลงหรอการแกไขขอมล เชน การ

ดกอานขอมลระหวางการสงผานเครอขาย การอานไฟลทจดเกบอยในระบบ การแทปสาย ขอมล

(Wiretapping) เปนวธการหนงของการสนฟปงเพอเฝาดขอมลทว งบนเครอขาย การปกปอง

รกษาความลบของขอมล คอการเขารหสขอมล ( Encryption) นนเอง

แพก เกตสนฟเฟอร ( Packet Sniffer) เปนรปแบบหนงของการโจมตแบบสอดแนม ขอมล

ทสงผานเครอขายนนจะถกแบงยอยเปนชดเลกๆซงเรยกวาแพก เกต Application บางชนดสง

ขอมลแบบไมไดเขารหสหรอแบบเคลยรเทกซ (Clear Text) ดงนนขอมลอาจถกคดลอกและโพ

รเซสโดยเครองอนทมใชเครองปลายทาง ได เชนโปรแกรมทสามารถดกจบขอมลกคอ Sniffer

2.2.5 การเปลยนแปลงขอมล (Modification)

หมาย ถง การแกไขขอมลโดยทไมไดรบอนญาต (ซงอาจถอเปนการหลอกลวง

Deception ) ซงเมอขอมลถกเปลยนแปลงจากผบกรกระบบแลว ขอมลนนจะไมเปนขอมลทคง

สภาพเดม

2.2.6 การปลอมตว (Spoofing)

หมายถง การทาใหอกฝายหนงเขาใจวาเปนตวเองเปนอกบคลหนง การโจมตแบบนจดอย

ในประเภทหลอกลวงและควบคมระบบ การสปฟงเปนการหลอกใหคสนทนาเชอวาตนกาลง

สนทนากบฝายหรอบคคลทตองการสนทนาจรงๆ ดงนนการรกษาความคงสภาพกโดยการ

พสจนทราบตวตน (Authentication) ซงจะเปนวธการปองกนการโจมตในลกษณะนได

ไอพสปฟง ( IP Spoofing) หมายถง การทผบกรกอยนอกเครอขาย แลวแสรงทาเปนวา

เปนคอมพวเตอรทเชอถอได โดยอาจใชไอพแอดเดรสเหมอนกบทใชในเครอขาย หรออาจใชไอ

พอแดเดรสขางนอก ทเครอขายเชอวาเปนคอมพวเตอรทเชอไดหรออนญาตใหเขาใชทรพยากร

ในเครอขายได การโจมตแบบนโดยมากมกเปนการเปลยนแปลง หรอเพมขอมลเขาไปในแพก

เกตทรบสงระหวางไคลเอนทและเซรฟเวอร หรอคอมพวเตอรทส อสารกนในเครอขาย

2.2.7 การปฏเสธการใหบรการ (Denial of Service)

หมายถง การขดขวางการใหบรการของเซอรฟเวอรเปนเวลานาน การใชทรพยากรจน

หมดหรอถงขดจากดของเซรฟเวอร หรอขดขวางชองทางสอสารไปยงเซรฟเวอร การสงแพก

10

เกตเขาไปในเครอขายจานวนมาก ซงจะทาใหประสทธภาพของเครอขายลดลง หรออาจเกด

ระหวางทางโดยการละทงแพกเกตขอมลทรบสงระหวางเซรฟเวอร ดงนนการรกษาความพรอม

ใช (Availability) จะชวยแกไขปญหาการโจมตในลกษณะน

การโจมตทมจดประสงคเพอทาใหไมสามารถบรการไดหรอทเรยกวา Denial of Service หรอ

DoS ถกจดใหมคณสมบตเปนความพยายามของผโจมตหรอผบก ทตองการทาใหเกดภาวะของ

การไมสามารถเขาใชบรการหรอทรพยากรในระบบได

กระทาการสงแพกเกตจานวนมากเขาไปในเครอขายหรอ " Flooding" ทาใหปรมาณทราฟ

ฟกในเครอขายเพมสงขนในเวลาอนรวดเรว ทาใหการสอสารในเครอขายตามปกตชาลง หรอใช

ไมได

กระทาการขดขวางการเชอมตอใดๆ ในเครอขายทาใหเครองคอมพวเตอรหรออปกรณ

เครอขายไมสามารถสอสารกนได ตวอยางเชนการถอดสายเชอมตอเครอขายของเครอง

เซรฟเวอรออกจากอปกรณสวตซ

กระทาการใดกตามเพอขดขวางมใหผใชในระบบไมสามารถเขาใชบรการในระบบ เชนการ

ปดบรการเวบเซรฟเวอรลง

กระทาการในการทาลายระบบหรอบรการในระบบ เชนการลบชอและขอมลผใชออกจาก

ระบบ ทาใหไมสามารถเขาสระบบได

การกระทาการทเกดจากความประมาทหรอเลนเลอของผดแลระบบกอาจจะนาพาไปสการ

ทาใหเกด DoS ไดเชนเดยวกน หรออาจจะเกดจากสาเหตทางธรรมชาตเชนแผนดนไหว ทาให

เครองเซรฟเวอรหรอระบบเครอขายไมสามารถใชงานไดกจดอยในความหมายของ DoS ได

ทงสน แตในทางปฏบตการโจมตแบบ DoS มกจะเจาะจงไปทผบกรกหรอผทไมมสทธในระบบ

มากกวา เหตการณธรรมชาตหรอความผดพลาดของผดแลระบบ

การโจมตแบบ DoS มกเกดสบเนองมาจากการโจมตประเภทอนรวมดวยเชน การ

แพรกระจายของไวรสปรมาณมากในเครอขายทาใหเกดปรมาณทราฟฟกจานวนมาก หรอการ

โจมตขอบกพรองของซอฟตแวรระบบเพอจดประสงคในการเขาถงสทธทสงขน การโจมตใน

ลกษณะดงกลาวถาไมสาเรจมกจะทาใหซอฟตแวรระบบนนปดตวเองลงอตโนมตหรอไมสามารถ

ทางานไดตอไป ซงจดอยในขายวาไมสามารถใหบรการไดหรอเกด DoS ไดเชนเดยวกน เปนตน

การเขาใชทรพยาการในระบบตามปกตกอาจจะทาใหเกด DoS ไดเชนเดยวกน เชนการ

อนญาตใหอพโหลดไฟลผานทางบรการโอนยายไฟลหรอ FTP ผบกรกสามารถจะใชพนทท

อนญาตนทาการนาไฟลสาคญหรอขอมลทางการคาจานวนมากทาใหพนทนอยลงไปหรอหมดไป

ได รวมถงอาจจะเปนสาเหตใหทราฟฟกเพมขนจากการโอนยายขอมลทเกดจากการกระทาของ

ผบกรกดวย

โดยดงทกลาวมาแลวนน Denial of Service คอจะเปนการทาใหระบบไมตอบสนองการ

ใหบรการเครอขายภายในระบบ เชน การเขาใชงานเวบไซตธนาคาร เมอผเขาใชงานเขาไป

11

ดาเนนการธรกรรมทางการเงนผานเวบไซต แต เมอเวบไซตของธนาคารแหงนนถกโปรแกรมท

เปนประเภททาใหเครองไมมการตอบสนองการใหบรการ ขอมลตาง ๆ ทผใชงานกรอกกจะ

ปฏเสธการใหบรการทงสน

2 .2.8 นยามและรปแบบไวรสชนดตาง ๆ

ไวรสคอมพวเตอร ทบกรกเขาไปในเครองคอมพวเตอรโดยไมไดรบความยนยอมจากผใช

สวนมากมกจะมประสงครายและสรางความเสยหายใหกบระบบของเครองคอมพวเตอรนนๆ

ในเชงเทคโนโลยความมนคงของระบบคอมพวเตอรนน ไวรสเปนโปรแกรมคอมพวเตอรท

สามารถทาสาเนาของตวเอง เพอแพรออกไปโดยการสอดแทรกตวสาเนาไปในคอมพวเตอรสวน

ทสามารถปฏบตการไดหรอขอมลเอกสาร ดงนนไวรสคอมพวเตอรจงมพฤตกรรมในลกษณะ

เดยวกบไวรสในทางชววทยา ซงสามารถแพรกระจายไปในเซลลของสงมชวตในลกษณะ

เดยวกนน คาอนๆ ทใชกบไวรสในทางชววทยายงขยายขอบขายของความหมายครอบคลมถง

ไวรสในทางคอมพวเตอร เชน การตดไวรส ( infection) แฟมขอมลทตดไวรสนจะเรยกวา โฮสต

(host) ไวรสนนเปนประเภทหนงของโปรแกรมประเภทมลแวร ( malware) หรอโปรแกรมทม

ประสงคราย ในความหมายทใชกนทวไปนน ไวรสยงใชหมายรวมถง เวรม ( worm) ซงกเปน

โปรแกรมอกรปแบบหนงของมลแวร ซงบางครงกทาใหผใชคอมพวเตอรนนสบสนเมอ คา

ไวรสนนใชในความหมายทเฉพาะเจาะจง คอมพวเตอรไวรสนนโดยทวไปจะไมสงผล

กอใหเกดความเสยหายตอฮารดแวรโดยตรง แตจะทาความเสยหายตอซอฟตแวร

ในขณะทไวรสโดยทวไปนนกอใหเกดความเสยหาย (เชน ทาลายขอมล) แตกมหลายชนดทไม

กอใหเกดความเสยหาย เพยงแตกอใหเกดความราคาญเทานน ไวรสบางชนดนนจะมการตง

เวลาใหทางานเฉพาะตามเงอนไข เชน เมอถงวนททกาหนด หรอเมอทาการขยายตวไดถงระดบ

หนง ซงไวรสเหลานจะเรยกวา บอมบ ( bomb) หรอระเบด ระเบดเวลาจะทางานเมอถงวนทท

กาหนด สวนระเบดเงอนไขนนจะทางานเมอผใชคอมพวเตอรมการกระทาเฉพาะซงเปนตว

จดชนวน ไมวาจะเปนไวรสชนดทกอใหเกดความเสยหายหรอไมกตาม กจะมผลเสยทเกดจาก

การแพรขยายตวของไวรสอยางไรการควบคม และบางชนดเมอนาเมาสคลกทตวไวรส กจะทา

การแพรกระจายไปในสวนตาง ๆ ของระบบ หรอแมแตแพรกระจายเขาไปในเครอขาย

คอมพวเตอร สวนมากแลวไวรสทจะทางานบนระบบปฏบตการวนโดวสาเหตทเลอกทจะใช

วนโดวเปนฐาน ในการแพรกระจายกเนองมากจากในปจจบนผใชงานทวไปนยมใช

ระบบปฏบตการวนโดว ซงแตกตางจากระบบปฏบตการ ลนกซ ยนกซเพราะผใชงานไมนยมใช

กน

2 .2.9 Phishing

Phishing คอ การโจมตในรปแบบของการปลอมแปลงอ-เมล ( Email Spoofing) และทา

การสรางเวบไซตปลอม เพอทาการหลอกลวงใหเหยอหรอผรบอ-เมลเปดเผยขอมลทางดาน

12

การเงนหรอขอมลสวนบคคลอนๆ อาท ขอมลของหมายเลขบตรเครดต บญชผใช ( Username)

และ รหสผาน (Password) หมายเลขบตรประจาตวประชาชน หรอขอมลสวนบคคลอนๆ

Phishing สามารถทาไดโดยการขโมยหรอนาเครองหมายหรอสญลกษณตลอดจน

รปลกษณของธนาคารหรอสถาบนการเงนทมชอเสยง และบตรเครดตประเภทตางๆของ

ผประกอบการ การใหสนเชอทางอนเตอรเนต มาประกอบเขากบการหลอกลวงเหยอหรอผใชให

เปดเผยขอมล ซงมการประเมนเบองตนวา การโจมตในรปแบบของ phishing สามารถหลอกให

เหยอรอยละ 5 ของทงหมด เปดเผยขอมลทตองการ นอกจากน ผโจมต ( Hacker หรอ

Spammer) ยงใชยทธวธการหลอกลวงแบบ Social Engineering ประกอบเพมเตม เพอใหม

ความนาเชอถอยงขน เชน การหลอกลวงชออ-เมล เปนตนวา เปนเรองดวนจากธนาคาร การ

หลอกลวงวาบญชทใชงานจะหมดอาย การเสนอสนคาทมดอกเบยตาตางๆ เปนตน

อางองจาก http://www.kasikornbank.com/TH/WhatHot/Pages/Phishing_Kcyber.aspx

รปท 2.1 ตวอยาง Phishing

13

รปท 2.2 ตวอยาง Phishing (2)

ในการโจมตดวยวธการ Phishing ผทตกเปนเหยอจะสงเกตยากมากเพราะเวบทผใชงาน

เขาไปใชถาไมทนสงเกต จะเหมอนเวบไซตทเปนปกต หรอการสงอเมลมาโหลดเหยอกดดลงค

หรอไฟลแนบทสงมากบอเมล ถาเหยอรเทาไมถงการ เมอกดเขาไปดไวรสกจะอยทเครองโดยไม

ทนรตว

ในการแกไขมใหตกเปนเหยอ มนตรวจสอบการเปลยนแปลงของเวบไซตทมความเสยงสง

ในการทจะเปน Phishing สวนมากเวบทไดรบความนยมจะเปนเวบทเกยวกบการเงนธนาคาร ด

การเปลยนแปลงแกไขในสวนตาง ๆ และธนาคารเองกจะแจงทางผใชงานวามเปลยนแปลง

เวบไซต ในสวนไหนบาง ทก ๆครงไป

14

2.2.10 มาตรฐานความปลอดภย[2]

วธการทจะทาใหระบบคอมพวเตอรและเครอขายมความปลอดภยนนจะตองมกระบวนการ

ในการดาเนนการดานความปลอดภย ซงกระบวนการตาง ๆไดกาหนดไวเปนมาตรฐานซงมอย

หลายมาตรฐานดวยกน บางมาตรฐานถกดดแปลงมาจากมาตรฐานความปลอดภยทวๆไป บาง

มาตรฐานถกดดแปลงมาจากมาตรฐานการดาเนนธรกจ อยางไรกตามผปฎบตสามารถทจะเลอก

มาตรฐานทเหมาะสมกบหนวยงานของตน และเพมเตมในบางสวนหรอยกเวนการปฎบตใน

บางสวนไดหากมเหตผลพอเพยง (มาตรฐานทมกจะถกนามาใชเพอยกระดบความปลอดภย

ใหกบระบบคอมพวเตอรและเครอขายมากทสดคอ ISO/IEC27001)

โดยมาตรฐานความปลอดภยตาง ๆไดแก

ISO/IEC27001 [2]

ISO/IEC27001 ปจจบนเปนเวอรชน ISO/IEC27001:2005 หรอเรยกวา ISMS

(Information Security Management System) เปนมาตรฐานการจดการขอมลทมไวเพอให

ธรกจดาเนนการตอไปไดอยางตอเนอง ขอกาหนดตาง ๆถกกาหนดขนโดยองคกรทมความ

นาเชอถอวา ISO (The International Organization for Standardization) และ IEC (The

International Electrotechnical Commission) การนา ISMS มาใชสามารถชวยใหกจกรรมทาง

ธรกจดาเนนไปอยางตอเนองไมสะดด ชวยปองกนกระบวนการทางธรกจจากภยรายแรง เชน

ภยธรรมชาต และปองกนความเสยหายของระบบขอมลได ISMS สามารถนามาใชงานได

ครอบคลมทกกลมอตสาหกรรมและทกกลมธรกจ

หอขอสาคญในมาตรฐาน ISO/IEC27001 : 2005 ประกอบดวย 11 โดเมนหลกไดแก

1. นโยบายความมนคงขององคกร (Security Policy)

2. โครงสรางความมนคงปลอดภยในองคกร (Organization of information security)

3. การจดหมวดหมและการควบคมทรพยสนขององคกร (Asset Management)

4. มาตรฐานของบคคลเพอสรางความมนคงปลอดภยใหกบองคกร (Human Resources

Security)

5. ความมนทางดานกายภาพสอการและการดาเนนงานของระบบสารสนเทศขององคกร

(Communications and Operations Management )

6. การบรหารจดการดานการสอการและการดาเนนงานของระบบสารสนเทศขององคกร

(Communications and Operations Management)

7. การควบคมการเขาถงระบบสารสนเทศขององคกร (Access Control)

15

8. การพฒนาและดแลระบบสารสนเทศ (Information Systems Acquisition,

Development and Maintenance)

9. การบรหารจดการเหตการณละเมดความมนคงปลอดภย (Information Security Incident

Management )

10. การบรหารความตอเนองในการดาเนนงานขององคกร (Business Continuity

Management)

11. การปฎบตตามขอกาหนดทางดานกฎหมายและบทลงโทษของการละเมดนโยบาย

(Compliance)

มาตรฐาน ISO/IEC27001 มการใชโมเดลทเรยกวา PDCA (Plan-Do-Check-Act) ซงม

วงจร

มาตรฐาน ISO 27001:2005 และมาตรฐาน ISO/IEC 27002:2005 เปนมาตรฐานสากล

ทใชกนอยางแพรหลายแลว ดงนน ความพรอมใชของมาตรฐานน และความสาคญของการเปน

มาตรฐานทวาดวยเรองของความมนคงปลอดภยระบบเทคโนโลยสารสนเทศ มาตรฐานนจงควร

ศกษาและใหความสาคญเปนอยางมาก

ITIL (Information Technology Infrastructure Library)

ITIL (Information Technology Infrastructure Library) เปนแนวทางปฏบต

(Guidance) ทวาดวยเรองเกยวกบโครงสรางพนฐานเทคโนโลยสารสนเทศ ไดรบการจดทา

เผยแพรโดยหนวยงานรฐบาล คอ Central Computer and Telecommunications Agency หรอ

CCTA ซงขณะนกลายเปนองคกร The British Office of Government Commerce (OGC) แต

กมไดประกาศบงคบวาทกองคกรทเกยวของจะตองปฏบตตาม ITIL โดยเนอหาใน ITIL แบงเปน

8 เรอง ดงน

1. การบรหารจดการซอฟตแวรและทรพยสนขององคกร (Software and Asset Management)

2. การสงมอบผลตภณฑหรอบรการทไดมาตรฐาน (Service Delivery)

3. คณภาพของการบรการหลงสงมอบ (Service Support)

4. การวางแผนสาหรบการบรหารจดการการใหบรการ (Planning to Implement Service

Management)

5. การบรหารจดการโครงสรางพนฐานดานไอซท ( ICT Infrastructure Management)

6. การบรหารจดการแอพพลเคชน (Application Management)

7. การบรหารจดการดานความมนคงปลอดภย (Security Management)

8. มมมองทางธรกจ (Business Perspective, Volume II)

16

ITIL ไดชอวาเปนแนวทางปฏบตทดเยยม (best practice) ในการบรหารจดการดาน IT Service

ใหแกผบรโภคอยางเปยมคณภาพ แนวทางปฏบตนเหมาะกบองคกรไมวาจะขนาดเลกหรอใหญ

โดยเฉพาะอยางยงองคกรทเนนเรองของการบรการดาน IT Service

ITIL เปนแนวทางปฏบตปจจบนยงไมสามารถขอใบรบรองไดเนองจากปจจบน ITIL

เปนเอกสารอางองสาหรบใชเปนแนวทางปฏบต แตในอนาคตกอาจมการคดเอาเฉพาะสวนนมา

ทาขอกาหนด และมการออกใบรบรองภายใตชอ ISO 20000 (มาตรฐานการใหบรการดาน

สารสนเทศ)

COBIT [2]

กรอบวธปฎบต COBIT (Control Objectives for Information and related

Technology) พฒนาขนโดย ISACA ใชสาหรบการพฒนาเพอใหระบบเทคโนโลยสารสนเทศม

ความเปน “ไอทภบาล” (IT Government) เพอใหระบบเทคโนโลยสารสนเทศมประสทธภาพ

และมความคมทน COBIT ไดรบการใชแพรหลายในกลมธรกจดานการเงนและการธนาคาร เดม

ท COBIT ไดรบการเผยแพรในรปแบบของ “กระบวนการ” ดานเทคโนโลยสารสนเทศ ภายหลง

ไดมการเพมแนวทางการปฎบตเพอ “การใหบรการ” ดานเทคโนโลยสารสนเทศทม

ประสทธภาพมากขน อยางไรกตามกรอบวธปฎบต COBIT มงเนนไปทการยกระดบ

“ประสทธภาพ” ของระบบเทคโนโลยสารสนเทศมากกวาการมงเนนทางดานการ “รกษาความ

ปลอดภย”

2.2.11 การศกษาการทางานระบบในปจจบน

จากการตรวจสอบพบวาบรษทแซนดแอนดซอยลเดมนน ไมไดมการจดทานโยบายทาง

ดานความปลอดภยในระบบเทคโนโลยสารสนเทศมากอน ดงนนทางผจดทาโครงการจงได

ออกแบบนโยบาย เพอใหครอบคลมความปลอดภยทางระบบเทคโนโลยสารสนเทศ

ประกอบไปดวยขอกาหนดดงน

1. กาหนดบทบาทหนาทการปฎบตงาน

2. ขอกาหนดในการจดการองคกรรกษาความปลอดภยของขอมลสารสนเทศ

3. ขอกาหนดการจดระดบความลบของขอมล

4. ขอกาหนดในการจดระดบการปองกนขอมล

5. ขอกาหนดการรกษาทรพยสนสารสนเทศ

6. ขอกาหนดการจดระบบงานสารสนเทศและระบบเชอมตอ

7. ขอกาหนดมาตรการในการจดการกบไวรส

17

8. ขอกาหนดการใชงานระบบเทคโนโลยสารสนเทศ

9. ขอกาหนดสาหรบการเขาถงระบบสารสนเทศ

10. ขอกาหนดการบารงรกษาระบบสารสนเทศ

11. ขอกาหนดจดซอหาอปกรณ

12. ขอกาหนดแผนการสรางความตอเนองทางธรกจ

13. ขอกาหนดในการปฎบตตามขอบงคบและกฎหมาย

14. ขอกาหนดจดทาและแกไขนโยบายทางดานความปลอดภยของระบบเทคโนโลย

สารสนเทศ

15. ขอกาหนดการลงโทษเมอผใชไมปฎบตตามนโยบาย

2.3 หลกการทางานของไฟรวอลล[2]

ระบบเครอขายปจจบนไดรบการเชอมตอกบอนเทอรเนตตลอด 24 ชวโมง การตอเชอมกบ

อนเทอรเนตนนทาใหผใชอนทอยคนละเนตเวรกซงอาจจะอยอกซกโลกหนงและเชอตอกบ

อนเทอรเนต สามารถตดตอสอสารคอมพวเตอรภายในเนตเวรกเราไดตลอดเวลา หรอใน

บางครงอาจจะมผบกรกระบบเครอขายทพยายามเจาะเขามาเพอขโมยขอมลสาคญหรอโจมต

ระบบ ดงนนเราควรมสงชวยปองกนระบบของเราใหปลอดภยมากขน

18

รปท 2.3 การออกแบบไฟรวอลลไวหลงเราเตอร

ปจจบนหลาย ๆหนวยงานมเซรฟเวอรทเปดบรการใหผใชจากอนเทอรเนตสามารถแอก

เซสเขามาใชงาน เชน Web Server, Mail Server Database Server เปนตน ซงผใชทอย

บนอนเทอรเนตตองสามารถสอสารกบ Web Server ของเราผานทางพอรต 80 และ 443 ได

นอกจากนนหนวยงานอนทตองการทจะสง e-mail มายง Mail Server ของเรากจาเปนท

จะตองตดตอดวยพอรต 25 เปนตน หากเรานาเครองเชรฟเวอรเหลานมาวางไวบนเนตเวรก

ภายในทเราหวงแหน เชน วางในเนตเวรกเดยวกนกบเครองคอมพวเตอรของพนกงาน หรอ

วางในเนตเวรกเดยวกนกบ Database Server ทมขอมลสาคญ จากนนสงเปดไฟรวอลลโดย

กาหนด ในกฎวา “ทกไอพแอดเดรส สามารเขาถงเนตเวรกภายในได” เพอทผใชจาก

อนเทอรเนตจะไดตดตอกบ Web Server, Mail Server ,Database Server ของเราได ระดบ

ความปลอดภยยอมลดลงมากจนถงระบดบตาสดแนนอน หรอหากจะปรบปรงกฎใหปลอดภยขน

อกนดโดยกาหนดวา “ทกไอพแอดเดรส สามารถเขาถงเนตเวรกภายในไดเฉพาะพอรต

80,443,25 เปนตน กถอวาปลอดภยขน แตหากพจารณาดด ๆแลวเราจะพบวา แฮกเกอรจาก

อนเทอรเนตสามารถเขาถงพอรต 80,443,25 ของเครองผใชภายในหนวยงานไดทกเครอง

นอกจากนนยงสามารถเขาถงเครอง Database Server บนพอรตเหลานได หาร Database

19

Server ม Web Application เพอใหผใชภายในเขาถงฐานขอมลทางพอรต 80 แฮกเกอรกจะ

เขาถงไดเชนกน ดงนนเราจงจาเปนตองมการแยกโซนเพอใหเครองเซรฟเวอรตาง ๆทเรา

จะตองเปดใหผใชทอยบนอนเทอรเนตเขาถงไดนน อยในพนทแยกกนตางหากไมเกยวของกบ

เครองผใชภายในและ Database Server

2.3.1 โปรโตคอลและพอรตตางๆกบการตงกฎไฟรวอลล [2]

HTTP เปนโปรโตคอลหลกทบราวเซอรใชสอสารแลกเปลยนขอมลกบเวบเซรฟเวอร

บราวเซอรจะคอนเนคไปยงพอรตหมายเลข 80 ของเซรฟเวอร จากนนบราวเซอรจงสงคาขอ

หนาเวบเพจดวยคาสง GET สวนการสงขอมลกลบไปยงเซรฟเวอรจะใชคาสง PUT เชน การสง

รหสผใชและรหสผาน Application จะตองเปนผดแลเรองสถานะเอง เชน สถานะการลอกอนผาน

หรอสถานะการลอกเอาตเปนตน เพอใหการสอสารแลกเปลยนขอมลกนระหวางผใชภายใน

หนวยงานกบเวบเซรฟเวอรทอยบนอนเทอรเนตสามารถทาไดถกตอง ผต งกฎไฟรวอลลจะตอง

เปดใหผใชภายในตดตอกบภายนอกทพอรต 80 ได ตวอยางเชน กฎไฟรวอลลดงตอไปน

ตารางท 2.1 แสดงการเปดเฉพาะพอรต 80

Rule Number Source IP Address Destination IP Address Destination Port Action

1 192.168.1.0/24 0.0.0.0/0 80 Accept

2 0.0.0.0/0 0.0.0.0/0 ALL Deny

HTTPS ถงแมวา HTTP จะเปนโปรโตคอลหลกทใชสอสารแลกเปลยนขอมลกนระหวาง

บราวเซอรกบเวบเซรฟเวอร แตขอเสยของ HTTP คอไมมการเขารหส หากใช HTTP เพอสง

ขอมลทสาคญ เชน รหสผานหรอรหสบตรเครดต ขอมลสาคญเหลานกอาจจะถกดกจบไดและ

อานขอมลไดโดยงายดงนนจะไดมการนาเทคโนโลย SSL ซงเปนการเขารหสถอวาปลอดภย

มาก มาผสมผสานกบโปรโตคอล HTTP กลายเปนโปรโตคอล HTTPS ซงถอไดวาปลอดภยถง

ขนทมการยอมรบวาสามารถนาไปใชกบ e-commerce ได ทวโลก โปรโตคอล HTTPS จะใช

งานผานพอรต 443 ดงนนนอกจากการเปดพอรต 80 แลวพอรตหมายเลข 443 กจาเปนตอง

เปดใชงานเชนกบ พอรต 80 ผต งกฎไฟรวอลลจะตองเปดใหผใชภายในตดตอกบ

ภายนอกทพอรต 443 ได ตวอยางเชน กฎไฟรวอลลดงตอไปน

ตารางท 2.2 แสดงการเปดเฉพาะพอรต 443

Rule Number Source IP Address Destination IP Address Destination Port Action

1 192.168.1.0/24 0.0.0.0/0 80 Accept

2 192.168.1.0/24 0.0.0.0/0 443 Accept

3 0.0.0.0/0 0.0.0.0/0 ALL Deny

20

SMTP, POP3 และ IMAP เปนโปรโตคอลทใชในการสงอเมลในเนตเวรกทมการตง Mail

Server ขนใชงานเองภายในองคกรผใชจะสงอเมลโดยใช Agent เชน โปรแกรม Microsoft

Outlook การสงอเมลจะใชโปรโตคอล SMTP บนพอรตหมายเลข 25 และรบอเมลดวย

โปรโตคอล POP3 และ IMAP ซงไดพอรตหมายเลข 110 และ 143 เพอใหผใชสามารถรบสงเมล

กบ Mail Server ของหนวยงานไดดงนนเราจงจาเปนตองเปดไฟรวอลลเพมดงน และตอง

อนญาตใหไอพแอดเดรสบนอนเทอรเนตตดตอกบ Mail Server บนพอรต 25 เพอทอเมลจาก

ภายนอกสามารถวงเขามายง Mail Server ได

ผต งกฎไฟรวอลลจะตองเปดใหผใชภายในตดตอกบภายนอกทพอรต 25,110,143 ได

ตวอยางเชน กฎไฟรวอลลดงตอไปน

ตารางท 2.3 แสดงการเปดเฉพาะพอรต 25,110,143

Rule Number Source IP Address Destination IP Address Destination Port Action

1 192.168.1.0/24 0.0.0.0/0 80 Accept

2 192.168.1.0/24 0.0.0.0/0 443 Accept

3 192.168.1.0/24 0.0.0.0/0 25 Accept

4 192.168.1.0/24 0.0.0.0/0 110 Accept

5 192.168.1.0/24 0.0.0.0/0 143 Accept

6 0.0.0.0/0 0.0.0.0/0 ALL Deny

21

Proxy หรอ (Web Cache) คออปกรณหรอเครองคอมพวเตอรททาหนาทเปนตวกลาง

ระหวางเครองไคลเอนต และเวบเซรฟเวอรในการรองขอและจดสงหนาเวบเพจ ตวอยางเชน

เมอ User1 ตองการเขาใชงานเวบไซต hosting-th.net จากนนคารองขอการใชงานเวบเพจนนจะ

ไปยง Proxy เมอ Proxy ไดรบคารองดงกลาวนน กจะโหลดเวบเพจตามท User1 รองขอมา ซง

ขอมลเวบไซตนนจะเกบไวใน Proxy เมอ User2 เขาใชงานเวบไซตเดม การทางานของ Proxy

กไปนาเอาเวบเพจทเกบไวใน Cache Proxy มาแสดง Proxy มกใชพอรตหมายเลข 8080 หรอ

หมายเลข 3128 การตงคา Proxy ดงรปดานลาง

รปท 2.4 การตงคาใชงาน Proxy

22

2.4 โปรแกรมทนามาสนบสนนในการทาโครงงาน

Pfsense(FreeBSD) [4] ซงเปน Firewall แบบเปดเผยรหส (open source) เปน

ซอฟแวรทฟร สามารถโหลดมาใชงานโดยไมตองเสยคาใชจายใด ๆ และมคณสมบต ทตรง

นโยบายททางผจดทา ไดทาโครงงานในครงน

รปท 2.5 โปรแกรม Pfsense

23

รปท 2.6 หนาจอกาหนดพอรตการใชงาน

รปท 2.7 หนาจอการใชงานแบนดวดท (Bandwidth)

24

บทท 3

การดาเนนการ

3.1 กลาวนา

เนองจากในอดตทไมมการระบบรกษาความปลอดภยเลย ทงการจดทานโยบายความ

ปลอดภยในสวนตาง ๆ ของระบบ อนเนองมาจากอดตการเชอมตอระบบคอมพวเตอรและอน

เทอรเนทนนเปนไปไดงายอาจเพราะไมคอยมความเสยงตอขอมลภายในระบบจงไมไดจดทา

นโยบายความปลอดภยไว และจงเหนวาไมคอยมความสาคญกบการทางานสกเทาไรเลยไมได

จดทา แตในยคปจจบนนการแขงขนทางธรกจ การขยายตว หรอการเจรญเตบโต เปนทยอมรบ

กนแลววาองคกรไหนไมมระบบเครอขายคอมพวเตอรและอนเทอรเนทนน กจะเสยเปรยบเปน

อยางมาก ฉะนนจงขาดไมไดทจะมระบบปองกนและนโยบายทรดกมทจะมาเปนสวนชวย

ทาใหลดความเสยงทจะเกดขนกบระบบภายในองคกรได

3.2 องคประกอบและโครงสรางของระบบเดม

โดยบรษทแซนดแอนดซอยลจะมโรงงานอย 2 แหง ลพบรและบางพล สวนสานกงานจะอย

ทกรงเทพ ในการจดทานโยบายจะครอบคลมทง 3 แหงน ในการเชอมตอเครอขายจะใช Lead

Line ในการเชอมตอเครอขายทง 3 ทเขาไวดวยกน โดยโครงสรางและองคประกอบของระบบ

จะมดงน

ดงเหนไดจากภาพดานลาง โดยเครอง Server มทงหมด 6 เครอง โดยแยกจากทางาน

ของเครอง Server ออกเปน

- เครอง Active Directory ทาหนาทสรางผใชงานภายในระบบ เพอใหสามารถเขาใช

งานทงภายในและนอกองคกรได อกทงยงเปน DHCP Server เพอแจก IP ใหกบ

เครองลกขาย และเปน Domain Controller

- เครอง Database Server ทาหนาทเกบฐานขอมลของระบบ Enterprise resource

planning (ERP) และฐานขอมล Payroll (HR focus)

- เครอง Citrix Server 1 ทาหนาทใหผใช 2 สาขาจากโรงงาน เขามาใชงานโปรแกรม

ERP โดยเขาใชงานผาน Browser

- เครอง Citrix Server 2 ทาหนาทใหผใช 2 สาขาจากโรงงาน เฉพาะพนกงานฝาย

บคคล เขามาใชงานโปรแกรม Payroll (HR focus)

- เครอง Mail Server ใชเพอทดสอบอเมลภายในองค

- เครอง Backup Server ทาหนาทในการสารองขอมล ทงหมดในระบบ เชน Active

Directory , Data base , Citrix 1,Citrix 2,Mail Server

25

รปท 3.1 ระบบภายในองคกรกอนปรบปรง

จากรป 3.1 จะเหนไดวาระบบคอมพวเตอรภายในบรษท แซนดแอนดซอลยมระบบ

Firewall แคเพยงสานกงานใหญเทานน แตสาขาสองแหงนนไมม Firewall ในการจดการขอมล

ภายในเครอขายคอมพวเตอร ฉะนนจงเปนความเสยงอยางมากทระบบภายในเครอขาย จะถก

บกรกได ไมวาจะเปนจากภายในและภายนอกบรษทเอง และไมมการจดการเกบ logfile ใหกบ

ระบบ ซงทางผดแลระบบไมสามารถวเคราะหไดวาเครองผใชงานเครองไหน ทาอะไร เขา

เวบไซตอะไรบางในวน ๆ หนง อกทงผบรหารของบรษทจะไมทราบเลยวา สาขาทง 2 แหงนน

ฝายตาง ๆ เขาใชงานเวบไซตใดในแตละวน

26

3.3 องคประกอบและโครงสรางของระบบใหม

กาหนดจดทานโนบายความปลอดใหกบบรษท แซนดแอนดซอยล และหาระบบไฟรวอล

(Firewall) ทจะนามาสนบสนนและสอดคลองกบนโยบายของบรษททจะจดทาขน

รปท 3.2 ระบบภายในองคกรหลงปรบปรง

จากรป 3.2 จะเหนไดวาระบบคอมพวเตอรภายในบรษท แซนดแอนดซอลยมระบบ

Firewall ทจะสามารถทาใหลดความเสยงทระบบเครอขายคอมพวเตอรภายในบรษทเกด

ความเสยหายในเรองตาง ๆ และ ยงสามารถตรวจสอบ กาหนด ตดตามการใชงาน

เครอขายอนเทอรเนทของผใชงานทงหมด อกทงยงสอดคลองกบนโยบายทไดจดทาขน

เพอใหสามารถลดความเสยงตอระบบภายในบรษท

27

3.4 วธการนาเสนอ

การจดทานโยบายการรกษาความปลอดภยของระบบคอมพวเตอรในโครงงานน จะ

เปนไปตามขนตอนและวธการดาเนนงานโดยมรายละเอยดดงน

โดยการจดการทานโยบายการรกษาความปลอดภยของระบบคอมพวเตอรน ซงไดรบ

ความเหนชอบจากผบรหารสงสด โดยผบรหารไดเลงเหนความสาคญในการขอกาหนดนโยบาย

ตาง ๆ

3.4.1 ตรวจสอบความพรอมเพอเรมโครงการ

3.4.1.1 ขอความสนบสนนจากผบรการบรษทแซนดแอนดซอยล

3.4.1.2 กาหนดเปาหมายของการพฒนานโยบายใหชดเจน

3.4.1.3 ขอความรวมมอจากผทเกยวของทจะไดรบผลกระทบจากนโยบาย ซงจะ

ประกอบดวยสวนตาง ๆของบรษท

3.4.1.4 รางหมายกาหนดการของแตละขนตอนและงบประมาณทจะตองใชกบ

โครงงานน

3.4.2 การวเคราะห

3.4.2.1 ทาการตรวจสอบและประเมนความเสยงของระบบสารสนเทศภายในองคกร

3.4.2.2 ทาการศกษาและพจารณาเอกสารอางองทสาคญ รวมทงศกษานโยบายเดม

ทมอย

3.4.3 การออกแบบ

3.4.3.1 กาหนดสงทจาเปนและประเดนทสาคญทจะตองบรรจลงในนโยบาย

3.4.3.2 กาหนดกระบวนการในการเผยแพรและประกาศใชนโยบาย

3.4.3.3 กาหนดเครองมอทเปนอตโนมตทจะใชในการตรวจสอบการปฎบตตาม

นโยบาย

3.4.4 พฒนานโยบาย

3.4.4.1 มนใจวานโยบายจะสามารถบงคบใชงานได

3.4.4.2 มนใจวานโยบายไดถกเผยแพรใหพนกงานทกคนรบทราบ

3.4.4.3 มนใจวาเปนนโยบายสารสนเทศทดตามกฎเกณฑดงตอไปน

3.4.4.3.1 ตองเขยนขอความใหเหมาะสมกบผอานทกระดบ

3.4.4.3.2 ตองพยายามใชคาทเปนเชงเทคนคนอยทสด และใชถอยคาททาให

ผอานเขาใจงาย

3.4.4.3.3 ตองมความยดหยน สามารถปรบเปลยนไดตามความเหมาะสม

3.4.4.3.4 ตองคานงถงความตองการทางธรกจ

3.4.4.3.5 ตองสามารถใชงานไดในสภาวะแวดลอมการทางานในปจจบน

3.4.4.3.6 งายในการนาไปปฎบตงานจรง

3.4.4.3.7 ตองถกตองและทนสมยอยเสมอ

28

3.4.4.3.8 คาใชจายในการจดทาตองสมเหตสมผล

3.4.4.3.9 ตองสามารถบงคบใหผใชงานปฎบตตามได

3.4.4.3.10 รวบรวมนโยบายทงหมดสงใหผจดการเกบรกษาและประกาศใช

งาน

3.4.5 การบารงรกษา

3.4.5.1 แกไขและปรบปรงนโยบายตามความจาเปนเพอใหมนใจไดวาจะยงคงเปน

นโยบายทมประสทธผลทเหมาะสมกบภยคกคามทเปลยนไป

3.4.5.2 นโยบายจะตองมกลไกในตวเองททาใหผใชงานสามารถจะรายงานปญหาท

เกดขนกบนโยบาย

3.4.5.3 ตองกาหนดใหมการทบทวนนโยบายอยางเปนระยะ

ตารางท 3.1 รายชอผรบผดชอบ server

เครองใหบรการ ไอพ การขออนญาตใช

งาน

ผรบผดชอบ ตรวจสอบความ

ปลอดภย

Active

Directory

192.168.1.231

-

ศราวฒ ทกวน

Database

Server

192.168.1.232 ขอตอผจดการไอท

โดยทาหนงสอ

ศราวฒ ทกวน

Citrix Server 1 192.168.1.234 - ศราวฒ ทกวน

Citrix Server 2 192.168.1.235 - ศราวฒ ทกวน

Mail Server 192.168.1.233 ขอตอผจดการไอท

โดยทาหนงสอ

ศราวฒ ทกวน

Backup Server 192.168.1.236 - ศราวฒ ทกวน

29

3.5 ขนตอนและวธการดาเนนงาน

การจดทานโยบายการรกษาความปลอดภยของระบบคอมพวเตอรในโครงงานน จะ

เปนไปตามขนตอนและวธการดาเนนงานโดยมรายละเอยดดงน

โดยการจดการทานโยบายการรกษาความปลอดภยของระบบคอมพวเตอรน ซงไดรบ

ความเหนชอบจากผบรหารสงสด โดยผบรหารไดเลงเหนความสาคญในการขอกาหนดนโยบาย

ตาง ๆ

3.4.6 เสนอผบรหารสงสดเพอขออนมตจดทานโยบายใหกบบรษท

3.4.7 เสนอการจดทานโยบายใหผจดการแผนกคอมพวเตอรรบทราบและจดทา

แบบสอบถาม เพอนาผลทไดจากแบบสอบถามมาจดทานโยบาย

3.4.8 ผจดการแผนกคอมพวเตอรเปนผดแลในการจดทานโยบายการรกษาความ

ปลอดภย

3.4.9 ผจดทาโครงงานรางนโยบายขอกาหนดตาง ๆ เพอใหสอดคลองกบการรกษา

ความปลอดภยในระบบสารสนเทศ

3.4.10 ผจดทาโครงงานวางแผนสาหรบงบประมาณทจะใชในโครงงานน

3.4.11 ผจดทาโครงงานจดหาระบบทจะนามาสนบสนน (Firewall) นโยบายททาง

ผจดทาโครงงานใหจดทาขนมา

3.4.12 ผจดทาโครงงานจดตดตงระบบ Firewall ทงสองสาขา

3.4.13 ผจดทาโครงงานตรวจสอบการใชงานคอมพวเตอรของผใชงานผาน Firewall

3.4.14 นานโยบายใหอาจารยทปรกษาตรวจสอบ

3.4.15 ผจดทาโครงงานปรบปรงแกไขนโยบายขอผดพลาดหรอตกหลนสงบางสงไป

3.4.16 ผจดการแผนกคอมพวเตอรจดอบรมณใหผจดการแผนกตาง วานโยบายม

ขอกาหนดอะไร และผบรหารสงสดเซนตอนมตประกาศ

3.4.17 ผจดทาโครงงานจดพมพนโยบายขอกาหนดตาง ๆใหกบแผนกบคคลเพอ

พนกงานภายในบรษทรบทราบ

3.4.18 ตดตามเฝาดตรวจสอบการปฏบตตามขอกาหนดในสวนตาง ๆของนโยบาย

3.4.19 ทาการทบทวน แกไขปรบปรงนโยบายใหสอดคลองกบเหตการณปจจบน ท

เหมาะสมกบภยคกคามทเปลยนแปลงไป

30

3.6 วธการพฒนานโยบายสารสนเทศ

หลงจากไดผานการศกษาขอมลดานตาง ๆแลว เชนกระประเมนความเสยงของระบบ

สารสนเทศทมอยในปจจบนมาแลว การศกษาขอกาหนดในมาตรฐานทเลอกใช การศกษา

ขอกาหนดในนโยบายเดมทมอย แลวทาการเปรยบเทยบขอมลพนฐานตาง ๆ หลงจากนนจงทา

การพฒนานโยบายสารสนเทศแตละหวขอดงมข นตอนตอไปน

3.6.1 นาขอมลพนฐานตาง ๆ รวมทงขอมลทไดจากการตรวจสอบการดาเนนงานและประเมน

ความเสยงของระบบสารสนเทศในปจจบน มาจดลาดบความสาคญเพอกาหนดลาดบใน

การพฒนานโยบาย โดยจดทาตารางการใหคะแนนอตราความเสยหายทจะเกดขนกบ

ขอมล โดยแยกเปนอตราคามเสยง ซงไดจากการตอบแบบสอบถามของกลมตวอยาง

3.6.2 ดาเนนการตดตงระบบทใชในการสนบสนนตรวจสอบความปลอดภยใหกบ Server ทอย

ในระบบ

3.6.3 ขอมลในแตละนโยบายและการพฒนาระบบจะประกอบไปดวย

- ชอนโยบาย

- วตถประสงค

- นยาม

- รายละเอยดของนโยบาย

- บทลงโทษและการบงคบใช

- เอกสารอางอง

3.6.4 ทาคมอและรวบรวมนโยบายทงหมด กอนสงใหผบรหารเทคโนโลยสารสนเทศ

31

บทท 4

ผลการดาเนนการ

4.1 กลาวนา

จากขนตอนและวธการกาหนดนโยบายความปลอดภยดานเทคโนโลยสารสนเทศจาก

บทท 3 จะเหนไดวาจะมผเกยวของกบการดาเนนการจดทานโยบายอยดวยกนหลายฝาย ซง

จาเปนตองไดรบความรวมมอเปนอยางดกบทกๆฝาย การดาเนนการจงจะประสบความสาเรจได

สงทสาคญทสดคอการกาหนดนโยบายทดและโปรแกรมทมาชวยสนบสนนนโยบายทกาหนด

ขนมา โครงงานนจะนาเสนอถงผลการดาเนนงาน ในสวนการพฒนานโยบายและผลทดลองการ

ใชงานโปรแกรม

4.2 การกาหนดนโยบาย ประโยชนทสาคญ

การตรวจจบ (Detector) การตรวจจบความผดปกตโดยอาศยความสามารถของโปรแกรม

Pfsense

การเฝามอง (Monitor) การเฝามองของการใชงาน ของผใชงาน โดยระบบ Pfsense น

การทางานหลก ๆจะเปนการกาหนดเขาใชงานอนเทอรเนทของผใชงาน เมอกาหนดกฎ (Rule)

ตาง ๆ ตามทมในนโยบาย ถาผใชงานเขาใชงานจะเกบ logfile ทงหมด เพอตรวจสอบการเขาใช

งานในขณะเวลานน ๆ

4.3 การจดลาดบความเสยง

การจดการระบบสาคญ ๆของระบบภายในองคกรเอง จะเปนการจดลาดบความสาคญของ

ความเสยงในการบกรกเขามาภายในระบบ เมอเราทราบความเสยงทงหมดแลว ขนตอนตอมา

จะประเมนความเสยงและลาดบความสาคญของแตละระบบงาน การจดลาดบความเสยงนน

อาจจะกาหนดระบบ 1 ถง 5 วธการประเมนความเสยงนนอาจจะใชวธการงาย ๆคอนาความ

คดเหนของบคคลภายในองคกรเอง หรอสมบคคลภายในองคกร เกยวกบความเสยงนน ๆ มา

กาหนดความเสยงทอาจเกดขนกบระบบภายในองคกร

4.4 การกาหนดแบบสอบถามและผลการตอบแบบสอบถาม

การกาหนดหวขอและการทาแบบสอบถามน เพอสารวจความคดเหนของผใชงานภายใน

องคกร วามทศนคตอยางไรเกยวกบการจดทานโยบายดานความปลอดภยในครงน โดยขอ

หลกๆ จะเปนการสอบถามความคดเหนกบสงทเกยวของกบความปลอดภยในระบบสารสนเทศ

ภายในองคกรทงหมด เชน ควรมการจดทานโยบายความปลอดภยหรอไม ,ควรมการนาระบบ

ความปลอดภยมาตดตงภายในองคกรหรอไม โดยจะมผลการสรปแบบสอบถามโดยแบง

ออกเปน 1 หวขอใหญและ 11 ขอยอย

32

ตวอยางแบบสอบถาม

การจดทานโยบายความมนคงปลอดภย ภายในเครอขายคอมพวเตอร

เรอง การจดทานโยบายความมนคงปลอดภยและการตดตงระบบความปลอดภย

กรณศกษา บรษทแซนดแอนดซอยล อตสาหกรรม จากด วตถประสงค เพอสารวจความคดเหนของบคลากรภายในองคกร และจดทานโยบายตอไป

คาชแจง โปรดทาเครองหมาย / ลงในชองหนาขอความทตรงกบความเปนจรงมากทสด คาอธบาย 5 =เหนดวยอยางยง 4=เหนดวย 3=ไมแนใจ 2=ไมเหนดวย 1=ไมเหนดวยอยาง

ยง

ตารางท 4.1 ตวอยางแบบสอบถาม

ขอ คาถาม ระดบ

5 4 3 2 1

นโยบายเรอง :การจดทานโยบายดานความปลอดภยภายในระบบสารสนเทศ

1 ผบรหารควรใหความสาคญกบการจดทานโยบายดานความปลอดภย

2 คณะทางานดานความมนคงปลอดภยระบบเครอขายคอมพวเตอร ควรมหนาทในการประสานงาน,

กาหนดความเหมาะสม,ประเมนผลและตรวจสอบ งานดานความปลอดภยสารสนเทศ

3 ควรมการกาหนดบทบาท หนาทและความรบผดชอบของบคลากรทเกยวของกบระบบสารสนเทศของ

องคกร

4 องคกรควรมการพจารณาอนมตและกาหนดสทธการใชงานระบบเทคโนโลยสารสนเทศใหม ๆ ภายใต

การควบคมของแผนกคอมพวเตอร

5 องคกรควรจดทาขอกาหนดหรอเงอนไขการเขาใชงานระบบเครอขายคอมพวเตอรของบคลากรอยาง

เปนลายลกษณอกษร

6 องคกรควรกาหนดบทบาทและหนาทความรบผดชอบดานความมนคงปลอดภยใหสอดคลองกบ

นโยบายความมงคงปลอดภย

7 ควรมการตรวจสอบคณสมบตของผทเกยวของกบระบบเครอขายคอมพวเตอรวามความเหมาะสมใน

ตาแหนงหนาทหรอไม

8 องคกรควรจดโปรแกรมการอบรมความรและแนวทางรกษาความปลอดภยแกผทเกยวของดานระบบ

เครอขายคอมพวเตอรเพอใหมความเขาใจเปนแนวทางเดยวกน

9 ควรมการจดประเมนความเสยงทางกายภาพของสภาพแวดลอมขององคกรและความมนคงปลอดภย

ดานสารสนเทศพรอมกาหนดมาตราการลดความเสยง

10 องคกรควรมการกาหนดการบารงรกษาระบบเครอขายคอมพวเตอรตามวงรอบและมการตดตาม

ประเมนผลอยางสมาเสมอ

11 องคกรควรมการตดตงระบบความปลอดภย ภายในระบบเครอขายคอมพวเตอร

33

ทาโร ยามาเน (Taro Yamane) [7] ไดพฒนาสตรขนมาเพอใชในการคานวณหาขนาดของ

กลมตวอยาง ดงน

n= N1+N(𝑒𝑒)2

e = ความคลาดเคลอนของการสมกลมตวอยาง = 0.05 แอลฟา 20

N คอ ขนาดของประชากร

n คอ ขนาดของกลมตวอยาง

ตวอยางในการสารวจความคดเหนของกลมตวอยางในหวขอเรองการจดทานโยบายดาน

ความปลอดภยภายในระบบสารสนเทศ เพอนาไปใชในการตดสนใจในการจดทานโยบายและ

ตดตงระบบความปลอดภยในเครอขายคอมพวเตอรตอไป โดยจากตามสตรดงน โดยทางผจดทา

โครงการเลอกกลมตวอยางทงหมด 50 ตวอยาง ทใชงานระบบสารสนเทศ

n =

50

1+50(0.0025)

50

1+0.125

50

1.125 44.444

∴ n = 44 จานวนตวอยางทไดจะอยท 44 ตวอยาง

ดงนนทางผจดทาโครงงานนขนมา จดพมพแบบสอบถามจานวน 44 ใบ เพอใหกลม

ตวอยางตอบแบบสอบถาม วามแนวความคดอยางไรกบการจดทานโยบายความปลอดภยใน

ครงน

34

ตารางท 4.2 ผลการจดเกบแบบสอบถาม

ขอ คาถาม ระดบ

นโยบายเรอง :การจดทานโยบายดานความปลอดภยภายในระบบสารสนเทศ 5 4 3 2 1

1 ผบรหารควรใหความสาคญกบการจดทานโยบายดานความปลอดภย 31 14

2 คณะทางานดานความมนคงปลอดภยระบบเครอขายคอมพวเตอร ควรมหนาทในการ

ประสานงาน,กาหนดความเหมาะสม,ประเมนผลและตรวจสอบ งานดานความปลอดภย

สารสนเทศ

25 18 1

3 ควรมการกาหนดบทบาท หนาทและความรบผดชอบของบคลากรทเกยวของกบระบบ

สารสนเทศขององคกร

24 17 2

4 องคกรควรมการพจารณาอนมตและกาหนดสทธการใชงานระบบเทคโนโลยสารสนเทศ

ใหม ๆ ภายใตการควบคมของแผนกคอมพวเตอร

25 17 2

5 องคกรควรจดทาขอกาหนดหรอเงอนไขการเขาใชงานระบบเครอขายคอมพวเตอรของ

บคลากรอยางเปนลายลกษณอกษร

23 18 2

6 องคกรควรกาหนดบทบาทและหนาทความรบผดชอบดานความมนคงปลอดภยให

สอดคลองกบนโยบายความมงคงปลอดภย

20 20 1

7 ควรมการตรวจสอบคณสมบตของผทเกยวของกบระบบเครอขายคอมพวเตอรวามความ

เหมาะสมในตาแหนงหนาทหรอไม

23 17 4

8 องคกรควรจดโปรแกรมการอบรมความรและแนวทางรกษาความปลอดภยแกผท

เกยวของดานระบบเครอขายคอมพวเตอรเพอใหมความเขาใจเปนแนวทางเดยวกน

28 16

9 ควรมการจดประเมนความเสยงทางกายภาพของสภาพแวดลอมขององคกรและความ

มนคงปลอดภยดานสารสนเทศพรอมกาหนดมาตราการลดความเสยง

24 19 1

10 องคกรควรมการกาหนดการบารงรกษาระบบเครอขายคอมพวเตอรตามวงรอบและม

การตดตามประเมนผลอยางสมาเสมอ

30 11 2

11 องคกรควรมการตดตงระบบความปลอดภย ภายในระบบเครอขายคอมพวเตอร 28 14

จากการสารวจความคดเหนทางผจดทาโครงการเลอกขอท 1 และ 11 มาเพอ

จดทานโยบายและตดตงระบบความปลอดภยภายในระบบเครอขายคอมพวเตอร

35

รปท 4.1 สรปผลวดระดบความเหนในการจดทานโยบาย

ผลจากการวดระดบความเหนดวยในการจดทานโยบายความปลอดภยสรปไดดงตอไปน

5=เหนดวยอยางยง 59% 4=เหนดวย 38% 3=ไมแนใจ 3% 2=ไมเหนดวย 0%

1=ไมเหนดวยอยางยง 0% การตอบแบบสอบถามของกลมตวอยางบงบอกไดวา ตองการทจะมการจดทานโยบาย

ความปลอดภยและควรมระบบรกษาความปลอดภยภายในเครอขายดงนน ทางผจดทานโยบาย

จงเลอกขอทจะดาเนนการจดทาคอ

1. ผบรหารควรใหความสาคญกบการจดทานโยบายดานความปลอดภย

11. องคกรควรมการตดตงระบบความปลอดภย ภายในระบบเครอขายคอมพวเตอร

36

4.5 โปรแกรมทชวยสนบสนนนโยบาย

รปท 4.2 หนาแสดงระบบไฟรวอลล

หนาจอนจะเปนการบอกถงทรพยากรตางๆ ททาใหโปรแกรมมประสทธภาพ เชน การใชงาน

ของ CPU , Memory , Disk เปนตน

รปท 4.3 กาหนดพอรต 3389 (MS RPD) ไมใหใชงาน

37

รปท 4.4 กาหนดพอรต 3389 (MS RPD) ไมใหใชงาน (ตอ)

รปท 4.5 ตวอยางผล Remote เขาเครอง server ไมได

38

รปท 4.6 กาหนดพอรต 5900 (VNC) ไมใหใชงาน

รปท 4.7 ตวอยางผล VNC เขาเครอง server ไมได

39

รปท 4.8 กาหนดพอรต 443 (HTTPS) ไมใหใชงาน

สรปทจะตงคาสาคญ ๆ มดงน

Action = Block คอ จะทาการ Blockสงตาง ๆทกาหนด

Protocal = Protocal กาหนดทจะทาการ Block

Source = ถาจะ Block ใน วงแลนดวยกน กาหนด LAN subnet

Destination = กาหนดเปน LAN subnet

Destination port range = กาหนด port ทจะทาการ Block

40

รปท 4.9 ตวอยางผล Protocol HTTPS เขาใชงาน ไมได

กาหนดเครองคอมพวเตอรภายใน LAN subnet ไมใหใชงาน Protocal https

41

รปท 4.10 กาหนดเวบไซตไมใหใชงาน

รปท 4.11 ตวอยางผล เวบไซตเขาใชงาน ไมได

42

รปท 4.12 กอนทดสอบปดพอรต

เพอทดสอบ พอรตตาง ๆ ของเครองเซฟเวอร วามความปลอดภยมากนอยแคไหน และ

พอรต อะไรทเครองเซฟเวอรไดเปดใชงานบาง โดยทางผจดทาใหนาโปรแกรม Supperscan มา

ทดสอบหาชองโหวของเครองเซฟเวอร

43

รปท 4.13 กาหนดพอรต 25,53 ไมใหใชงาน

สรปทจะตงคาสาคญ ๆ มดงน

Action = Block คอ จะทาการ Blockสงตาง ๆทกาหนด

Protocal = Protocal กาหนดทจะทาการ Block

Source = ถาจะ Block ใน วงแลนดวยกน กาหนด LAN subnet

Destination = กาหนดเปน LAN subnet

Destination port range = กาหนด port ทจะทาการ Block

44

รปท 4.14 ตวอยางผล ทดสอบ สแกน หาพอรต

ผลการทดลองจากภาพสกเกตวาเมอเราสแกนหา พอรตทเปดอยเพอจะโจมต แตพอรต

ทเราจะโจมตนนไดถก block ไวไมใหใชงาน

45

รปท 4.15 แสดงแบนดวดทไอพทใชในเครอขาย

หนาจอนจะเปนการจดเกบแบนดวดทภายในระบบเครอขายของการใชงานแตละไอพ เพอ

ตรวจสอบดวาไอพไหนใชงานแบนดวดทมากทสด เพอจะประเมนวาไอพนนใชงานจรงหรอไม

หรอเขาทาอะไรภายในเครอขาย

46

รปท 4.16 ไอพทใชงานปจจบน

หนาจอนจะเปนการแสดงรายละเอยดการเขาใชงานของแตละไอพจะแสดงออกมาเปน

IP Address, Mac Address, Hostname, การเขาใชงาน Start, การหมดอายใชงาน End

,Online ,Lease Type ซงทาใหผดแลระบบเฝามองการเขาใชงานของแตละไอพได

47

รปท 4.17 แสดงการทางานของระบบ

ถอวาปกตของการใชงาน ระบบตาง ๆภายใน

รปท 4.18 แสดง Traffic ของ WAN

48

รปท 4.19 แสดง Traffic ของ LAN

รปท 4.20 แสดง Packets ของ WAN

49

รปท 4.21 แสดง Packets ของ LAN

รปท 4.22 แสดง Logfile ของระบบ

50

รปท 4.23 แสดง Logfile ของแตละไอพ

รปท 4.24 แสดงการแจก DHCP

51

รปท 4.25 แสดงแบนดวธของ LAN

หนาจอนจะแสดงการใชงาน แบนดวดทปจจบนของแตละไอพ ซงทางผดแลระบบจะสามารถ

ทราบไดวาไอพใดใชงาน แบนดวดท เทาไร ณ ชวงเวลานนๆ

รปท 4.26 แสดงแบนดวธของ WAN

52

รปท 4.27 แสดง Logfile เปนรายวน/เดอน/ป

หนาการเกบ Logfile จะสามารถจดเกบ logfile ของ ไอพภายในเครอขายไดทงหมด เพอจะ

นามาประเมนวาไอพใดเขาใชงานเวบไซตไหนบาง

โดย Logfile ทได จะนาไปใชในการดพฤตกรรมการใชงานของอนเทอรเนต และใชใน

การจดซอคอมพวเตอรใหกบแผนกนน ๆโดยผบรหารจะวเคราะหวาควรทจะจดซอหรอไม

รปท 4.28 แสดง Logfile ไอพแตละหมายเลข

53

รปท 4.29 แสดงเวบไซตทไอพเขาใชงาน

หนาจอนจะแสดงการเขาใชงานของไอพแลว จะบอกถงเขาใชงานแตละเวบไซต

รปท 4.30 แสดงไอพทดาวหโหลดไฟล

หนาจอแสดงผลน จะบงบอกถงการโหลดไฟลของแตละไอพ วาไดทาการโหลดไฟลชนดใด

ขนาดเทาไร เพอทางผดแลระบบจะนามาตรวจสอบวา เวลาขณะนน เครอขายอนเทอรเนต ชา

เพราะเหตใด กจะทราบสาเหตวาเปนอยางไรได

54

รปท 4.31 แสดงการเขาเวบไซตดาวหโหลดของไอพ

รปท 4.32 แสดงเขาออกของไอพทใชงานอนเทอรเนต

55

รปท 4.33 หนาจอเขาใชงานของผใชงาน

รปท 4.34 ลอกอนเขาระบบเขาใชงาน

56

บทท 5

สรปผลการดาเนนการ

5.1 สรปผลการทดลอง

จากการทผจดทาโครงงานไดทดสอบการใชงานโปรแกรม Pfsense ในครงน พบวาการ

การกาหนด ตรวจสอบในเรองการใชงานอนเทอรเนตพบวาโปรแกรมนสามารถสนบสนน

นโยบายนไดทงหมดไมวาจะเปนการบลอกการใชงานเวบไซตทมความเสยตอความปลอดภย

ของระบบเครอขาย สามารถทางานไดมประสทธภาพ โดยแบงออกเปน

- ลดชองโหวทเกดจากการทแฮกเกอรเขาผานพอรตอน ๆโดยทผดแลระบบไมไดเปด

ไว

- สามารถเปดพอรตใชงานได วาตองการใหพอรตใดใชงานได

- สามารถบลอกเวบไซตทผดกฎหมาย ซงตาม พ.ร.บ.กาหนดไว

- ชวยจดการแบนดวดทในเครอขายไดอยางมประสทธภาพ

- ชวยจดเกบขอมลจราจรทางคอมพวเตอร และสามารถดไดวาผใชงานทานไดเขา

เวบไซตใดบาง เวลาเขาใชงาน

- สามารถทา Load Balancer ได ในกรณทอนเทอรเนตอกหนงเสนใชงานไมได (จะ

อยในหมวดการดาเนนธรกจอยางตอเนอง)

- สามารถจดทา Captive portal ได

- โปรแกรมนสามารถสนบสนนกบนโยบายททางผจดทาโครงงานจดทาขนทกขอ

- จดทานโยบายการใชงานระบบคอมพวเตอรและการเชอมตออนเทอรเนต

- โปรแกรมทสนบสนนนโยบายน ไมสามารถตรวจจบไวรสประเภท Phishing ทมา

กบอเมล ไดดเทาทควร

5.2 ขอเสนอแนะ

ในยคปจจบนนการแขงขนทางธรกจนนมสงมาก ซงการนาระบบอนเทอรเนตเขามาใช

ใชงานภายในองคกรกเปนสงสาคญ และการนาระบบอนเทอรเนตเขามาใชงานนน กตองมความ

เสยงทระบบจะเกดความเสยหายไมวาจะเปนปจจยภายในและภายนอก และบางครงทาใหการ

ดาเนนธรกจหยดชะงกไป แตอยางไรกดความเสยงตาง ๆจะมารปแบบใหม ๆ อยเสมอดงนน

ผดแลระบบจงตองมการตดตามขาวสารในสอตาง ๆ เพอใหทนตอเหตการณอยเสมอ

โดยขอเสนอแนะจะแบงออกเปน

- การพฒนาระบบรกษาความปลอดภยควรคานงถงปจจยอนเปนองคประกอบท

สาคญคอ การประเมนความเสยง การกาหนดนโยบาย การออกแบบและตดตง

ระบบรกษาความปลอดภย การฝกอบรมพนกงาน และการตรวจสอบ

57

- หมนหาขอมลการตงคาโปรแกรมทสนบสนนนโยบาย หรอ อพเดทโปรแกรมททาง

ผพฒนาจดทาขน เพราะการอพเดทสงใหม ๆ จะทาใหชวยลดความเสยงได

- ในการเลอกใชเทคโนโลยตาง ๆตองตรวจสอบการใชงานวาเขากนไดกบนโยบายท

ไดจดทาขนหรอไม

- การกาหนดรหสผานควจจะกาหนดตวอกษรเลขสลบการ เพราะการกาหนด

รหสผานทเดาไดงายจะมความเสยงอยางมาก เชนการเขาใชงานเวบไซตธนาคาร

เมอผใชงานกาหนดรหสผานทไมปลอดภย ทางผไมหวงดตรวจสอบพบรหสนน

ขอมลทางการเงนกอาจเสยหายได

- หมนจดทานโยบายใหมๆ ใหสอดคลองกบในยคปจจบนมากทสดเพอสรางความ

ปลอดภยใหกบองคกร

- การตดตงและใชงานระบบรกษาความปลอดภยน ไมสามารถปองกนไวรสประเภท

Phishing ไดดเทาทควร การปองกน ตองแจงกบทางบคลากร วาหามกดลงค ตาม

อเมลทมความเสยง เพราะจะทาใหตดไวรสทเครองได

58

เอกสารอางอง

[1] จตชย แพงจนทร(2550) Master in Security .—กรงเทพ :บรษท อนโฟเพรท จากด.

[2] อ.ธวชชย ชมศร Computer and Network Security .—กรเทพ :โปรวชน, 2553

[3] http://www.mict.go.th

[4] www.pfsense.org

[5] http://www.cse.sc.edu/~farkas/csce790-2002/lectures/csce790-lect1.ppt

[6] http://www.kasikornbank.com/TH/WhatHot/Pages/Phishing_Kcyber.aspx

[7] Taro Yamane เพอใชในการคานวณหาขนาดของกลมตวอยาง

[8] พระราชบญญตวาดวยการกระทาผดเกยวกบคอมพวเตอร พ.ศ.๒๕๕๐http://www.mict.go.th/download/law/20070618_CC_Final.pdf

ภาคผนวก ก

ตวอยางการตดตงโปรแกรม Pfsense Firewall

รปท ก.1 หนาจอระบบกอนการตงตดโปรแกรม

รปท ก.2 ตงคาการดแลน

ใหพพมตวอกษร n เพอไมตองการทา VLANs

รปท ก.3 ตงคาการดแลน(ตอ 2)

หนาจอนใหกาหนด Card Lan ภายในระบบ โดยจะมอย 2 เสนคอ LAN,WAN

รปท ก.4 ตงคาการดแลน(ตอ 3)

เมอไดกาหนดแลว ใหพมพตวอกษร y

รปท ก.5 ระบบกาลงตดตง

รปท ก.6 พมพ 99 เพอตดตงในฮารดดส

รปท ก.7 Accept these Settings เพอจะตดตงโปรแกรม

รปท ก.8 ตดตงแบบ Quick/Easy

รปท ก.9 กด OK

รปท ก.10 ระบบกาลงตดตงโปรแกรมในฮารดดส

รปท ก.11 เลอก Symmetric multiprocessing kernel

รปท ก.12 เลอก Reboot

รปท ก.13 เลอกตวเลข 2

รปท ก.14 หนาจอนจะใหกาหนด IP ของ Pfsense Firewall

รปท ก.15 กาหนด LAN subnet

รปท ก.16 เปดใชงาน DHCP

รปท ก.17 กาหนดความกวางของ IP ในวง LAN

รปท ก.18 ENTER เพอยอมรบการตงคาตาง ๆของระบบ

รปท ก.19 หนาจอระบบ

รปท ก.20 หนาจอลอกอน

ระบชอผใช : admin

ระบรหสผาน : pfsense

รปท ก.21 Next

รปท ก.22 กาหนด Hostname domain

รปท ก.23 เลอกโซนเวลา

รปท ก.24 ระบไอพ

รปท ก.25 หนานสาหรบเปลยนรหสผานของ Admin

รปท ก.26 Reload เพอจบการตดตงโปรแกรม

พระราชบญญต วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐

พระราชบญญต

วาดวยการกระทาความผดเกยวกบคอมพวเตอร

พ.ศ. ๒๕๕๐

ภมพลอดลยเดช ป.ร.

ใหไว ณ วนท ๑๐ มถนายน พ.ศ. ๒๕๕๐

เปนปท ๖๒ ในรชกาลปจจบน

พระบาทสมเดจพระปรมนทรมหาภมพลอดลยเดช มพระบรมราชโองการโปรดเกลา ฯ

ใหประกาศวา

โดยทเปนการสมควรมกฎหมายวาดวยการกระทาความผดเกยวกบคอมพวเตอร

จงทรงพระกรณาโปรดเกลา ฯ ใหตราพระราชบญญตขนไวโดยคาแนะนาและยนยอมของ

สภานตบญญตแหงชาต ดงตอไปน

มาตรา ๑ พระราชบญญตนเรยกวา “พระราชบญญตวาดวยการกระทาความผด

เกยวกบ

คอมพวเตอร พ.ศ. ๒๕๕๐”

มาตรา ๒ พระราชบญญตนใหใชบงคบเมอพนกาหนดสามสบวนนบแตวนประกาศ

ในราชกจจานเบกษาเปนตนไป

มาตรา ๓ ในพระราชบญญตน

“ระบบคอมพวเตอร” หมายความวา อปกรณหรอชดอปกรณของคอมพวเตอรทเชอมการ

ทางาน

เขาดวยกน โดยไดมการกาหนดคาสง ชดคาสง หรอสงอนใด และแนวทางปฏบตงานให

อปกรณ

หรอชดอปกรณทาหนาทประมวลผลขอมลโดยอตโนมต

“ขอมลคอมพวเตอร” หมายความวา ขอมล ขอความ คาสง ชดคาสง หรอสงอนใด

บรรดาทอยในระบบคอมพวเตอรในสภาพทระบบคอมพวเตอรอาจประมวลผลได และให

หมายความรวมถงขอมลอเลกทรอนกสตามกฎหมายวาดวยธรกรรมทางอเลกทรอนกส

ดวย

“ขอมลจราจรทางคอมพวเตอร” หมายความวา ขอมลเกยวกบการตดตอสอสาร

ของระบบคอมพวเตอร ซงแสดงถงแหลงกาเนด ตนทาง ปลายทาง เสนทาง เวลา วนท

ปรมาณ ระยะเวลาชนดของบรการ หรออน ๆ ทเกยวของกบการตดตอสอสารของระบบ

คอมพวเตอรนน

“ผใหบรการ” หมายความวา

(๑) ผใหบรการแกบคคลอนในการเขาสอนเทอรเนต หรอใหสามารถตดตอถงกนโดย

ประการอน โดยผานทางระบบคอมพวเตอร ทงน ไมวาจะเปนการใหบรการในนามของ

ตนเอง หรอ

ในนามหรอเพอประโยชนของบคคลอน

(๒) ผใหบรการเกบรกษาขอมลคอมพวเตอรเพอประโยชนของบคคลอน

“ผใชบรการ” หมายความวา ผใชบรการของผใหบรการไมวาตองเสยคาใชบรการหรอไมก

ตาม

“พนกงานเจาหนาท” หมายความวา ผซงรฐมนตรแตงตงใหปฏบตการตาม

พระราชบญญตน

“รฐมนตร” หมายความวา รฐมนตรผรกษาการตามพระราชบญญตน

มาตรา ๔ ใหรฐมนตรวาการกระทรวงเทคโนโลยสารสนเทศและการสอสาร

รกษาการตาม

พระราชบญญตน และใหมอานาจออกกฎกระทรวงเพอปฏบตการตามพระราชบญญตน

กฎกระทรวงนน เมอไดประกาศในราชกจจานเบกษาแลวใหใชบงคบได

หมวด ๑

ความผดเกยวกบคอมพวเตอร

มาตรา ๕ ผใดเขาถงโดยมชอบซงระบบคอมพวเตอรทมมาตรการปองกนการ

เขาถง

โดยเฉพาะและมาตรการนนมไดมไวสาหรบตน ตองระวางโทษจาคกไมเกนหกเดอน หรอ

ปรบไมเกนหนงหมนบาท หรอทงจาทงปรบ

มาตรา ๖ ผใดลวงรมาตรการปองกนการเขาถงระบบคอมพวเตอรทผอนจดทาขน

เปนการเฉพาะถานามาตรการดงกลาวไปเปดเผยโดยมชอบในประการทนาจะเกดความ

เสยหายแกผอน ตองระวางโทษจาคกไมเกนหนงป หรอปรบไมเกนสองหมนบาท หรอทง

จาทงปรบ

มาตรา ๗ ผใดเขาถงโดยมชอบซงขอมลคอมพวเตอรทมมาตรการปองกนการ

เขาถงโดยเฉพาะและมาตรการนนมไดมไวสาหรบตน ตองระวางโทษจาคกไมเกนสองป

หรอปรบไมเกนสหมนบาทหรอทงจาทงปรบ

มาตรา ๘ ผใดกระทาดวยประการใดโดยมชอบดวยวธการทางอเลกทรอนกสเพอ

ดกรบไวซงขอมลคอมพวเตอรของผอนทอยระหวางการสงในระบบคอมพวเตอร และ

ขอมลคอมพวเตอรนนมไดมไวเพอประโยชนสาธารณะหรอเพอใหบคคลทวไปใชประโยชน

ไดตองระวางโทษจาคกไมเกนสามป หรอปรบไมเกนหกหมนบาท หรอทงจาทงปรบ

มาตรา ๙ ผใดทาใหเสยหาย ทาลาย แกไข เปลยนแปลง หรอเพมเตมไมวา

ทงหมดหรอ

บางสวน ซงขอมลคอมพวเตอรของผอนโดยมชอบ ตองระวางโทษจาคกไมเกนหาป หรอ

ปรบไมเกนหนงแสนบาท หรอทงจาทงปรบ

มาตรา ๑๐ ผใดกระทาดวยประการใดโดยมชอบ เพอใหการทางานของระบบ

คอมพวเตอรของผอนถกระงบ ชะลอ ขดขวาง หรอรบกวนจนไมสามารถทางานตามปกต

ไดตองระวางโทษจาคกไมเกนหาป หรอปรบไมเกนหนงแสนบาท หรอทงจาทงปรบ

มาตรา ๑๑ ผใดสงขอมลคอมพวเตอรหรอจดหมายอเลกทรอนกสแกบคคลอนโดย

ปกปดหรอปลอมแปลงแหลงทมาของการสงขอมลดงกลาว อนเปนการรบกวนการใชระบบ

คอมพวเตอรของบคคลอนโดยปกตสข ตองระวางโทษปรบไมเกนหนงแสนบาท

มาตรา ๑๒ ถาการกระทาความผดตามมาตรา ๙ หรอมาตรา ๑๐

(๑) กอใหเกดความเสยหายแกประชาชน ไมวาความเสยหายนนจะเกดขนในทนทหรอ

ในภายหลงและไมวาจะเกดขนพรอมกนหรอไม ตองระวางโทษจาคกไมเกนสบป และปรบ

ไมเกนสองแสนบาท

(๒) เปนการกระทาโดยประการทนาจะเกดความเสยหายตอขอมลคอมพวเตอร หรอระบบ

คอมพวเตอรทเกยวกบการรกษาความมนคงปลอดภยของประเทศ ความปลอดภย

สาธารณะ ความมนคงในทางเศรษฐกจของประเทศ หรอการบรการสาธารณะ หรอเปน

การกระทาตอขอมลคอมพวเตอรหรอระบบคอมพวเตอรทมไวเพอประโยชนสาธารณะ

ตองระวางโทษจาคกตงแตสามปถงสบหาป และปรบตงแตหกหมนบาทถงสามแสนบาท

ถาการกระทาความผดตาม (๒) เปนเหตใหผอนถงแกความตาย ตองระวางโทษจาคก

ตงแต

สบปถงยสบป

มาตรา ๑๓ ผใดจาหนายหรอเผยแพรชดคาสงทจดทาขนโดยเฉพาะเพอนาไปใช

เปนเครองมอในการกระทาความผดตามมาตรา ๕ มาตรา ๖ มาตรา ๗ มาตรา ๘ มาตรา

๙ มาตรา ๑๐ หรอ

มาตรา ๑๑ ตองระวางโทษจาคกไมเกนหนงป หรอปรบไมเกนสองหมนบาท หรอ

ทงจาทงปรบ

มาตรา ๑๔ ผใดกระทาความผดทระบไวดงตอไปน ตองระวางโทษจาคกไมเกนหา

ป หรอปรบไมเกนหนงแสนบาท หรอทงจาทงปรบ

(๑) นาเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรปลอมไมวาทงหมดหรอบางสวน หรอ

ขอมลคอมพวเตอรอนเปนเทจ โดยประการทนาจะเกดความเสยหายแกผอนหรอประชาชน

(๒) นาเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรอนเปนเทจ โดยประการทนาจะเกด

ความเสยหายตอความมนคงของประเทศหรอกอใหเกดความตนตระหนกแกประชาชน

(๓) นาเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรใด ๆ อนเปนความผดเกยวกบความ

มนคง

แหงราชอาณาจกรหรอความผดเกยวกบการกอการรายตามประมวลกฎหมายอาญา

(๔) นาเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรใด ๆ ทมลกษณะอนลามกและ

ขอมลคอมพวเตอรนนประชาชนทวไปอาจเขาถงได

(๕) เผยแพรหรอสงตอซงขอมลคอมพวเตอรโดยรอยแลววาเปนขอมลคอมพวเตอรตาม

(๑)

(๒) (๓) หรอ (๔)

มาตรา ๑๕ ผใหบรการผใดจงใจสนบสนนหรอยนยอมใหมการกระทาความผดตาม

มาตรา ๑๔ในระบบคอมพวเตอรทอยในความควบคมของตน ตองระวางโทษเชนเดยวกบ

ผกระทาความผดตามมาตรา ๑๔

มาตรา ๑๖ ผใดนาเขาสระบบคอมพวเตอรทประชาชนทวไปอาจเขาถงไดซงขอมล

คอมพวเตอรทปรากฏเปนภาพของผอน และภาพนนเปนภาพทเกดจากการสรางขน ตด

ตอ เตม

หรอดดแปลงดวยวธการทางอเลกทรอนกสหรอวธการอนใด ทงน โดยประการทนาจะทา

ใหผอนนนเสยชอเสยง ถกดหมน ถกเกลยดชง หรอไดรบความอบอาย ตองระวางโทษ

จาคกไมเกนสามป หรอปรบไมเกนหกหมนบาท หรอทงจาทงปรบถาการกระทาตามวรรค

หนง เปนการนาเขาขอมลคอมพวเตอรโดยสจรต ผกระทาไมมความผดความผดตามวรรค

หนงเปนความผดอนยอมความไดถาผเสยหายในความผดตามวรรคหนงตายเสยกอนรอง

ทกข ใหบดา มารดา คสมรส หรอบตรของผเสยหายรองทกขได และใหถอวาเปน

ผเสยหาย

มาตรา ๑๗ ผใดกระทาความผดตามพระราชบญญตนนอกราชอาณาจกรและ

(๑) ผกระทาความผดนนเปนคนไทย และรฐบาลแหงประเทศทความผดไดเกดขนหรอ

ผเสยหายไดรองขอใหลงโทษ หรอ

(๒) ผกระทาความผดนนเปนคนตางดาว และรฐบาลไทยหรอคนไทยเปนผเสยหายและ

ผเสยหายไดรองขอใหลงโทษ

จะตองรบโทษภายในราชอาณาจกร

หมวด ๒

พนกงานเจาหนาท

มาตรา ๑๘ ภายใตบงคบมาตรา ๑๙ เพอประโยชนในการสบสวนและสอบสวนใน

กรณทมเหตอนควรเชอไดวามการกระทาความผดตามพระราชบญญตน ใหพนกงาน

เจาหนาทมอานาจอยางหนงอยางใด ดงตอไปน เฉพาะทจาเปนเพอประโยชนในการใช

เปนหลกฐานเกยวกบการกระทาความผดและหาตวผกระทาความผด

(๑) มหนงสอสอบถามหรอเรยกบคคลทเกยวของกบการกระทาความผดตาม

พระราชบญญต

นมาเพอใหถอยคา สงคาชแจงเปนหนงสอ หรอสงเอกสาร ขอมล หรอหลกฐานอนใดทอย

ในรปแบบ

ทสามารถเขาใจได

(๒) เรยกขอมลจราจรทางคอมพวเตอรจากผใหบรการเกยวกบการตดตอสอสารผานระบบ

คอมพวเตอรหรอจากบคคลอนทเกยวของ

(๓) สงใหผใหบรการสงมอบขอมลเกยวกบผใชบรการทตองเกบตามมาตรา ๒๖ หรอทอย

ในความครอบครองหรอควบคมของผใหบรการใหแกพนกงานเจาหนาท

(๔) ทาสาเนาขอมลคอมพวเตอร ขอมลจราจรทางคอมพวเตอร จากระบบคอมพวเตอร

ทมเหตอนควรเชอไดวามการกระทาความผดตามพระราชบญญตน ในกรณทระบบ

คอมพวเตอรนนยงมไดอยในความครอบครองของพนกงานเจาหนาท

(๕) สงใหบคคลซงครอบครองหรอควบคมขอมลคอมพวเตอร หรออปกรณทใชเกบ

ขอมลคอมพวเตอร สงมอบขอมลคอมพวเตอร หรออปกรณดงกลาวใหแกพนกงาน

เจาหนาท

(๖) ตรวจสอบหรอเขาถงระบบคอมพวเตอร ขอมลคอมพวเตอร ขอมลจราจรทาง

คอมพวเตอร

หรออปกรณทใชเกบขอมลคอมพวเตอรของบคคลใด อนเปนหลกฐานหรออาจใชเปน

หลกฐานเกยวกบการกระทาความผด หรอเพอสบสวนหาตวผกระทาความผดและสงให

บคคลนนสงขอมลคอมพวเตอรขอมลจราจรทางคอมพวเตอร ทเกยวของเทาทจาเปนให

ดวยกได

(๗) ถอดรหสลบของขอมลคอมพวเตอรของบคคลใด หรอสงใหบคคลทเกยวของกบการ

เขารหสลบของขอมลคอมพวเตอร ทาการถอดรหสลบ หรอใหความรวมมอกบพนกงาน

เจาหนาทในการถอดรหสลบดงกลาว

(๘) ยดหรออายดระบบคอมพวเตอรเทาทจาเปนเฉพาะเพอประโยชนในการทราบ

รายละเอยด

แหงความผดและผกระทาความผดตามพระราชบญญตน

มาตรา ๑๙ การใชอานาจของพนกงานเจาหนาทตามมาตรา ๑๘ (๔) (๕) (๖) (๗)

และ(๘) ใหพนกงานเจาหนาทยนคารองตอศาลทมเขตอานาจเพอมคาส งอนญาตให

พนกงานเจาหนาทดาเนนการตามคารอง ทงน คารองตองระบเหตอนควรเชอไดวาบคคล

ใดกระทาหรอกาลงจะกระทาการอยางหนงอยางใดอนเปนความผดตามพระราชบญญตน

เหตทตองใชอานาจ ลกษณะของการกระทาความผด รายละเอยดเกยวกบอปกรณทใชใน

การกระทาความผดและผกระทาความผด เทาทสามารถจะระบได ประกอบคารองดวยใน

การพจารณาคารองใหศาลพจารณาคารองดงกลาวโดยเรวเมอศาลมคาสงอนญาตแลว

กอนดาเนนการตามคาสงของศาล ใหพนกงานเจาหนาทสงสาเนาบนทกเหตอนควรเชอท

ทาใหตองใชอานาจตามมาตรา ๑๘ (๔) (๕) (๖) (๗) และ (๘) มอบใหเจาของหรอผ

ครอบครองระบบคอมพวเตอรนนไวเปนหลกฐาน แตถาไมมเจาของหรอผครอบครอง

เครองคอมพวเตอรอย ณ ทนน ใหพนกงานเจาหนาทสงมอบสาเนาบนทกนนใหแกเจาของ

หรอผครอบครองดงกลาวในทนททกระทาไดใหพนกงานเจาหนาทผเปนหวหนาในการ

ดาเนนการตามมาตรา ๑๘ (๔) (๕) (๖) (๗) และ(๘) สงสาเนาบนทกรายละเอยดการ

ดาเนนการและเหตผลแหงการดาเนนการใหศาลทมเขตอานาจภายในสสบแปดชวโมงนบ

แตเวลาลงมอดาเนนการ เพอเปนหลกฐาน

การทาสาเนาขอมลคอมพวเตอรตามมาตรา ๑๘ (๔) ใหกระทาไดเฉพาะเมอมเหตอนควร

เชอ

ไดวามการกระทาความผดตามพระราชบญญตน และตองไมเปนอปสรรคในการดาเนน

กจการของเจาของหรอผครอบครองขอมลคอมพวเตอรนนเกนความจาเปน

การยดหรออายดตามมาตรา ๑๘ (๘) นอกจากจะตองสงมอบสาเนาหนงสอแสดงการยด

หรอ

อายดมอบใหเจาของหรอผครอบครองระบบคอมพวเตอรนนไวเปนหลกฐานแลวพนกงาน

เจาหนาทจะ

สงยดหรออายดไวเกนสามสบวนมได ในกรณจาเปนทตองยดหรออายดไวนานกวานน ให

ยนคารองตอศาลทมเขตอานาจเพอขอขยายเวลายดหรออายดได แตศาลจะอนญาตให

ขยายเวลาครงเดยวหรอหลายครงรวมกนไดอกไมเกนหกสบวน เมอหมดความจาเปนทจะ

ยดหรออายดหรอครบกาหนดเวลาดงกลาวแลว พนกงานเจาหนาทตองสงคนระบบ

คอมพวเตอรทยดหรอถอนการอายดโดยพลนหนงสอแสดงการยดหรออายดตามวรรคหา

ใหเปนไปตามทกาหนดในกฎกระทรวง

มาตรา ๒๐ ในกรณทการกระทาความผดตามพระราชบญญตนเปนการทาให

แพรหลายซงขอมลคอมพวเตอรทอาจกระทบกระเทอนตอความมนคงแหงราชอาณาจกร

ตามทกาหนดไวในภาคสองลกษณะ ๑ หรอลกษณะ ๑/๑ แหงประมวลกฎหมายอาญา

หรอทมลกษณะขดตอความสงบเรยบรอยหรอศลธรรมอนดของประชาชน พนกงาน

เจาหนาทโดยไดรบความเหนชอบจากรฐมนตรอาจยนคารองพรอมแสดงพยานหลกฐาน

ตอศาลทมเขตอานาจขอใหมคาส งระงบการทาใหแพรหลายซงขอมลคอมพวเตอรนนได

ในกรณทศาลมคาสงใหระงบการทาใหแพรหลายซงขอมลคอมพวเตอรตามวรรคหนง ให

พนกงานเจาหนาททาการระงบการทาใหแพรหลายนนเอง หรอสงใหผใหบรการระงบการ

ทาใหแพรหลายซงขอมลคอมพวเตอรนนกได

มาตรา ๒๑ ในกรณทพนกงานเจาหนาทพบวา ขอมลคอมพวเตอรใดมชดคาสงไม

พง

ประสงครวมอยดวย พนกงานเจาหนาทอาจยนคารองตอศาลทมเขตอานาจเพอขอใหม

คาส งหามจาหนายหรอเผยแพร หรอสงใหเจาของหรอผครอบครองขอมลคอมพวเตอรนน

ระงบการใช ทาลายหรอแกไขขอมลคอมพวเตอรนนได หรอจะกาหนดเงอนไขในการใช ม

ไวในครอบครอง หรอเผยแพรชดคาสงไมพงประสงคดงกลาวกได

ชดคาสงไมพงประสงคตามวรรคหนงหมายถงชดคาสงทมผลทาใหขอมลคอมพวเตอร หรอ

ระบบคอมพวเตอรหรอชดคาสงอนเกดความเสยหาย ถกทาลาย ถกแกไขเปลยนแปลง

หรอเพมเตมขดของ หรอปฏบตงานไมตรงตามคาสงทกาหนดไว หรอโดยประการอน

ตามทกาหนดในกฎกระทรวงทงน เวนแตเปนชดคาสงทมงหมายในการปองกนหรอแกไข

ชดคาสงดงกลาวขางตน ตามทรฐมนตรประกาศในราชกจจานเบกษา

มาตรา ๒๒ หามมใหพนกงานเจาหนาทเปดเผยหรอสงมอบขอมลคอมพวเตอร

ขอมลจราจรทางคอมพวเตอร หรอขอมลของผใชบรการ ทไดมาตามมาตรา ๑๘ ใหแก

บคคลใดความในวรรคหนงมใหใชบงคบกบการกระทาเพอประโยชนในการดาเนนคดกบ

ผกระทาความผดตามพระราชบญญตน หรอเพอประโยชนในการดาเนนคดกบพนกงาน

เจาหนาทเกยวกบการใชอานาจหนาทโดยมชอบ หรอเปนการกระทาตามคาสงหรอทไดรบ

อนญาตจากศาลพนกงานเจาหนาทผใดฝาฝนวรรคหนงตองระวางโทษจาคกไมเกนสามป

หรอปรบไมเกนหกหมนบาท หรอทงจาทงปรบ

มาตรา ๒๓ พนกงานเจาหนาทผใดกระทาโดยประมาทเปนเหตใหผอนลวงร

ขอมลคอมพวเตอรขอมลจราจรทางคอมพวเตอร หรอขอมลของผใชบรการ ทไดมาตาม

มาตรา ๑๘ ตองระวางโทษจาคกไมเกนหนงป หรอปรบไมเกนสองหมนบาท หรอทงจาทง

ปรบ

มาตรา ๒๔ ผใดลวงรขอมลคอมพวเตอร ขอมลจราจรทางคอมพวเตอรหรอขอมล

ของผใชบรการ ทพนกงานเจาหนาทไดมาตามมาตรา ๑๘ และเปดเผยขอมลนนตอผหนง

ผใด ตองระวางโทษจาคกไมเกนสองป หรอปรบไมเกนสหมนบาท หรอทงจาทงปรบ

มาตรา ๒๕ ขอมล ขอมลคอมพวเตอร หรอขอมลจราจรทางคอมพวเตอรท

พนกงานเจาหนาทไดมาตามพระราชบญญตน ใหอางและรบฟงเปนพยานหลกฐานตาม

บทบญญตแหงประมวลกฎหมายวธพจารณาความอาญาหรอกฎหมายอนอนวาดวยการ

สบพยานได แตตองเปนชนดทมไดเกดขนจากการจงใจมคามนสญญา ขเขญ หลอกลวง

หรอโดยมชอบประการอน

มาตรา ๒๖ ผใหบรการตองเกบรกษาขอมลจราจรทางคอมพวเตอรไวไมนอยกวา

เกาสบวนนบแตวนทขอมลนนเขาสระบบคอมพวเตอร แตในกรณจาเปนพนกงาน

เจาหนาทจะสงใหผใหบรการผใดเกบรกษาขอมลจราจรทางคอมพวเตอรไวเกนเกาสบวน

แตไมเกนหนงปเปนกรณพเศษเฉพาะรายและเฉพาะคราวกไดผใหบรการจะตองเกบรกษา

ขอมลของผใชบรการเทาทจาเปนเพอใหสามารถระบตวผใชบรการนบตงแตเรมใชบรการ

และตองเกบรกษาไวเปนเวลาไมนอยกวาเกาสบวนนบตงแตการใชบรการสนสดลง

ความในวรรคหนงจะใชกบผใหบรการประเภทใด อยางไร และเมอใด ใหเปนไปตามท

รฐมนตรประกาศในราชกจจานเบกษาผใหบรการผใดไมปฏบตตามมาตราน ตองระวาง

โทษปรบไมเกนหาแสนบาท

มาตรา ๒๗ ผใดไมปฏบตตามคาสงของศาลหรอพนกงานเจาหนาททส งตาม

มาตรา ๑๘หรอมาตรา ๒๐ หรอไมปฏบตตามคาสงของศาลตามมาตรา ๒๑ ตองระวาง

โทษปรบไมเกนสองแสนบาทและปรบเปนรายวนอกไมเกนวนละหาพนบาทจนกวาจะ

ปฏบตใหถกตอง

มาตรา ๒๘ การแตงตงพนกงานเจาหนาทตามพระราชบญญตน ใหรฐมนตรแตงตงจากผม

ความรและความชานาญเกยวกบระบบคอมพวเตอรและมคณสมบตตามทรฐมนตรกาหนด

มาตรา ๒๙ ในการปฏบตหนาทตามพระราชบญญตน ใหพนกงานเจาหนาทเปน

พนกงานฝายปกครองหรอตารวจชนผใหญตามประมวลกฎหมายวธพจารณาความอาญาม

อานาจรบคารองทกขหรอรบคากลาวโทษ และมอานาจในการสบสวนสอบสวนเฉพาะ

ความผดตามพระราชบญญตนในการจบ ควบคม คน การทาสานวนสอบสวนและ

ดาเนนคดผกระทาความผดตามพระราชบญญตน บรรดาทเปนอานาจของพนกงานฝาย

ปกครองหรอตารวจชนผใหญ หรอพนกงานสอบสวนตามประมวลกฎหมายวธพจารณา

ความอาญา ใหพนกงานเจาหนาทประสานงานกบพนกงานสอบสวนผรบผดชอบเพอ

ดาเนนการตามอานาจหนาทตอไปใหนายกรฐมนตรในฐานะผกากบดแลสานกงานตารวจ

แหงชาตและรฐมนตรมอานาจรวมกนกาหนดระเบยบเกยวกบแนวทางและวธปฏบตในการ

ดาเนนการตามวรรคสอง

มาตรา ๓๐ ในการปฏบตหนาท พนกงานเจาหนาทตองแสดงบตรประจาตวตอ

บคคลซงเกยวของ

บตรประจาตวของพนกงานเจาหนาทใหเปนไปตามแบบทรฐมนตรประกาศในราช

กจจานเบกษา

ผรบสนองพระบรมราชโองการ

พลเอก สรยทธ จลานนท

นายกรฐมนตร

หมายเหต :- เหตผลในการประกาศใชพระราชบญญตฉบบน คอ เนองจากในปจจบนระบบ

คอมพวเตอรไดเปนสวนสาคญของการประกอบกจการและการดารงชวตของมนษย หากม

ผกระทาดวยประการใด ๆ ใหระบบคอมพวเตอรไมสามารถทางานตามคาสงทกาหนดไวหรอทา

ใหการทางานผดพลาดไปจากคาสงทกาหนดไว หรอใชวธการใด ๆ เขาลวงรขอมล แกไข หรอ

ทาลายขอมลของบคคลอนในระบบคอมพวเตอรโดยมชอบ หรอใชระบบคอมพวเตอรเพอ

เผยแพรขอมลคอมพวเตอรอนเปนเทจหรอมลกษณะอนลามกอนาจาร ยอมกอใหเกดความ

เสยหาย กระทบกระเทอนตอเศรษฐกจ สงคม และความมนคงของรฐ รวมทงความสงบสขและ

ศลธรรม

อนดของประชาชน สมควรกาหนดมาตรการเพอปองกนและปราบปรามการกระทาดงกลาว จง

จาเปนตองตราพระราชบญญตน

ภาคผนวก ข

ตวอยางเอกสารดานความปลอดภยดานเทคโยโลยสารสนเทศ

นโยบายเกยวกบการรกษาความมนคงปลอดภยระบบสารสนเทศ

ของ

บรษท แซนดแอนดซอยลอตสาหกรรม จากด

เรอง นโยบายการใชระบบสารสนเทศของบรษทฯ

เรยน ผบรหารและพนกงาน บรษท แซนดแอนดซอยลอตสาหกรรม จากดทกทาน

วตถประสงค

เพอใหการใชระบบสารสนเทศของบรษทฯ มความถกตองและเหมาะสม ทางบรษทฯ ขอ

ประกาศใหพนกงานทกทานไดทราบถงนโยบายการใชระบบสารสนเทศของบรษทฯ ดงตอไปน

1. บรษท แซนดแอนดซอยลอตสาหกรรม จากด มนโยบายใชและสนบสนน Software ท

ถกตองตามกฎหมายเทานน

2. บรษทฯ ไดจดสรรระบบสารสนเทศใหตามความเหมาะสมตามลกษณะงานของแตละ

หนวยงาน โดยหนวยงานตาง ๆ มหนาทในการรวมพจารณากบบรษทในการจดสรร

ดงกลาวดวย

3. หามมใหพนกงานเพมเตม และ/หรอ ปรบปรง, เปลยนแปลง ระบบสารสนเทศใด ๆ ท

บรษทจดใหเปนอนขาด หากมการตรวจสอบ แลวพบการดาเนนการดงกลาว บรษทฯ

จะถอเปนความผด และจะมการดาเนนการลงโทษทางวนย

4. พนกงานทกทานจะตองปฎบตตามและลงนามใน "หนงสอยนยอมรบเงอนไข

นโยบายเกยวกบการรกษาความมนคงปลอดภยระบบสารสนเทศ"

5. เพอใหเกดภาพลกษณทดในการสอสารผานระบบสารสนเทศของบรษทฯ พนกงานหาม

ใชถอยคาหยาบคาย ดหมนหมนเหยยดหยามผอนหรอสถาบน หรอผดจรรยาบรรใด ๆ

อนสงผลเสยหายตอบรษท ทงนความผดดงกลาวจะถอเปนความผดสวนบคคล บรษท

จะไมมสวนในความรบผดชอบใด ๆ ทงสน

6. บรษทฯ มสทธในการตรวจสอบการใชงานระบบสารสนเทศของบรษทตามความ

เหมาะสม

นยาม

ภายใตเอกสารฉบบนอาง

ถง

ความหมาย

“บรษท” บรษท แซนดแอนดซอยลอตสาหกรรม จากด

“ผใชงาน” ผบรหาร พนกงาน ลกจาง ทไดรบอนญาตใหใชระบบสารสนเทศ

ของบรษท รวมถงบคคลและนตบคคลทปฏบตหนาทตามสญญาจาง

งาน ในกรณทเปนเครองรวมของหนวยงาน ใหถอวาหวหนา

หนวยงานเปนรบผดชอบในฐานะผใชงาน

“ขอมล” ขอความ ขาวสาร คาสง ชดคาสง ภาพ เสยง หรอสงอนใดท

สามารถสอความหมายได โดยสภาพของสงนนเองหรอโดยผาน

กระบวนการใด ๆ ทงทอยในรปอเลกทรอนกสหรอทอยในรป

สงพมพ

“ทรพยสน” ขอมล คอมพวเตอร ฮารดแวร ซอฟทแวร อปกรณตอพวงท

เกยวของ

“ระบบสารสนเทศ” ระบบคอมพวเตอร ระบบสอสาร ระบบจดเกบขอมล เครองพมพ

เครองสแกน และ/หรออปกรณใด ๆ ทเกยวของ รวมถง Software

ทใชในระบบดงกลาว

“ระดบชนความลบ” ระดบความลบของขอมล

“นโยบาย” นโยบายเกยวกบการรกษาความมนคงปลอดภยระบบสารสนเทศ

“ผดและระบบสารสนเทศ”

พนกงานทไดรบมอบหมายจากบรษท ใหมหนาทรบผดชอบในการ

ดแลรกษาระบบสารสนเทศใหสามารถทางานไดตามนโยบาย

“รหสประจาตว” รหสผใชงาน (User ID) และรหสผาน (Password) สาหรบการ

เขาถงระบบสารสนเทศใด ๆ

“ทรพยสนสวนตว” “ทรพยสน” ทเปนของพนกงาน

นโยบายของบรษท สาหรบผใชระบบสารสนเทศ

ระบบสารสนเทศ ถอเปนทรพยสนทางธรกจทสาคญยงของบรษท ซงจะเปนตองมการ

คมครองปองกนไวเปนอยางด นโยบายนนามาใชเพอปองกนทรพยสนดงกลาวจากการแกไข

ดดแปลงขอมล การเปดเผย หรอการทาลาย หรอลบขอมลทง โดยทไมไดรบอนญาต รวมทง

เพอสรางความเชอมนในดานความมนคงปลอดภย ความนาเชอถอ และความสมบรณครบถวน

ของงานจดรวบรวม หรอประมวลผลขอมล นโยบายนกาหนดใหใชกบผใชงานระบบสารสนเทศ

โดยครอบคลมถงการใชทรพยสน และทรพยสนสวนตว ทงหมด

สงทตองรบผดชอบ

เมอผใชงานไดรบรหสประจาตว และชดอปกรณคอมพวเตอรเพอใชงานระบบ

สารสนเทศของบรษทแลว ผนนจะตองรบผดชอบทงสนตอการกระทาใด ๆ ทเกดขนจากการใช

รหสประจาตว และอปกรณคอมพวเตอรนน ๆ รวมถงการดาเนนการใด ๆ ทขดกบนโยบาย

เกยวกบการรกษาความมนคงปลอดภยของระบบสารสนเทศ ทงนหากเปนทรยพสนสวนตว

เจาของทรพยสนสวนตวมหนาทปฏบตตามนโยบายทไดออกไปกอนหนาน

หวขอตอไปนจงเปนเพยงสวนหนงของการปฏบตตามนโยบายดงกลาว ( แตไมจากดวามเพยง

เทาน ) เพอใชยกเปนตวอยางเกยวกบความรบผดชอบของผใชงานระบบสารสนเทศของบรษท

1. ตองศกษา ปฏบตตามและตดตามนโยบาย ระเบยบ และวธปฏบตในการใชงานระบบ

สารสนเทศทบรษทไดกาหนดและประกาศใชอยางเครงครด

2. ตระหนกวากจกรรมใด ๆ ทมสวนเกยวของกบระบบสารสนเทศของบรษทจะตอง

สอดคลองกบนโยบายทกาหนดขน

3. ตระหนกวาการกระทาใด ๆ อนเปนการสรางความเสยหาย เปลยนแปลง หรอรบกวน

ขอมลหรอระบบขอมล เพอไมใหปฏบตการไดอยางเปนปกต ไมวาจะสาเรจหรอไม จะ

ดาเนนการดงกลาวนน ณ สถานทใด หรอเวลาใด ๆ กตาม ถอเปนความผดทงสน

4. ใชระบบสารสนเทศของบรษททเกยวของกบงานของบรษทเทานน

5. ไมใชรหสประจาตวของผอน เพอประโยชนในการใชอปกรณ โปรแกรมคอมพวเตอร

หรอเขาถงขอมลของบคคลอนไมวากรณใด ๆ

6. ไมเปดเผยรหสประจาตวของตนใหแกผอนทราบ หรอมอบใหผอนนาไปใช เพอ

ประโยชนในการใชอปกรณ โปรแกรมคอมพวเตอร หรอเขาถงขอมลของบคคลอนไมวา

กรณใด ๆ

7. ไมใชงานระบบสารสนเทศในทางทขดตอกฏหมาย ประกาศ ระเบยบ ขอบงคบ และ

วธปฏบตของหนวยงานกากบดแลภายนอก

8. การเชอมตออปกรณ หรอทรพยสนสวนตวใด ๆ กบระบบสารสนเทศของบรษท ตอง

ขออนญาต และการเชอมตอตองดาเนนการโดยผดแลระบบสารสนเทศเทานน

9. ไมกระทาเกนขอบเขตอานาจหนาททไดรบมอบหมายในการเปลยนแปลง เปดเผย

ทาซา ลอกเลยบแบบ หรอทาลายขอมล ในระบบสารสนเทศของบรษท

10. ไมคดลอก ลอกเลยนหรอใชประโยชนงานทรพยสนทางปญญาในลกษณะอนเปนการ

ละเมดตอกฏหมายลขสทธ สญญาสทธบตร หรอจรรยาบรรณในการประกอบวชาชพ

11. การกระทาใด ๆ ทเกยวของกบระบบสารสนเทศทไมไดกาหนดวาสามารถดาเนนการใด

การดาเนนการนนตองไดรบการอณมต กอนการดาเนนการทกครง

การใชงานระบบสารสนเทศทวไป

1. ผใชงานมหนาทดแล และรบผดชอบทรพยสนตาง ๆ ของบรษท ทอยในความครอบครอง

ใหมความมนคงปลอดภยและมความใชงานอยเสมอ

2. ผใชงานตองกาหนดรหสผานตามวธการทกาหนด ควรเปลยนรหสผานทนทสาหรบเขา

ระบบงานในครงแรก รวมถงควรเปลยนรหสผานตามเวลาทกาหนดและเกบรกษา

รหสผานไวเปนความลบสวนบคคล รวมถงตองไมเปดเผย หรอทาใหผอ นลวงร หรอ

มอบใหบคคลอนใชงานในทก ๆ กรณ และตองรบผดชอบในทกการกระทาทเกดขนจาก

การใชงานรหสประจาตวทไดรบ

3. ผใชงานตองใหความรวมมอ และอานวยความสะดวกแกผดแลระบบสารสนเทศ ผ

ตรวจสอบทไดรบมอบหมายจากบรษท ในการตรวจสอบขอมล การใชงาน การทางาน

ตาง ๆ ของเครองคอมพวเตอรทตนใชในการดาเนนงาน พรอมทงปฏบตตามคาแนะนา

จากผดแลระบบสารสนเทศ

4. ผใชงานตองไมตดตงโปรแกรมใด ๆ ลงในเครองคอมพวเตอรของบรษท และหาก

จาเปนตองใชงานโปรแกรมเหลานใหทาการตดตอ ขออณญาตใชโปรแกรม และ

ดาเนนการโดยผดแลระบบสารสนเทศ

5. การเชอมตอเครอขายใด ๆ ของบรษท หรอเปดใชงานฟงกชนการสอสารไรสาย ( อาท

เชน Wireless LAN, Bluetooth ) บนอปกรณระบบสารสนเทศทกประเภท ในบรเวณ

พนทสานกงานจะตองไดรบอนญาตการใช และจะตองใชงานภายในบรเวณพนทท

กาหนดเทานน

6. ผใชงานใชสอบนทกขอมลใด ๆ อาทเชน Thumb Drive, Flash Drive, External Media

ตองไดรบอนญาตกอนการใชงาน

7. หามผใชงานนาขอมลทมระดบชนความลบทไมใชขอมลเปดเผยไดออกออกนอกพนท

บรษท โดยไมไดรบอนญาตจากเจาของขอมล (Data Owner)

8. ผใชงานจะตอง Log-off จากระบบสารสนเทศทกครงเมอเสรจสนการใชงานและ เครอง

คอมพวเตอรจะตองไดรบการปกปองดวยรหสผานหรอดวยวธการควบคมอน ๆ ทกครง

เมอไมไดปฏบตหนาทอยท เครองคอมพวเตอรดงกลาว

การใชงาน E-mail และ Internet

1. ผใชงานตองใชงานระบบ Email ของบรษท เพอการตดตอทางดานธรกจของบรษท

เทานน

2. ผใชงานตองไมนา Email อนใด นอกจากของบรษท มาใชในการตดตอทางดานธรกจ

ของบรษท

3. ผใชงานตองตระหนกวาความมนคงปลอดภยของขอมลทจดสงโดยทางอนเตอรเนตเปน

สงทอยเหนอการควบคม ขอมลทสงผานระบบอนเตอรเนตอาจจะลาชาหรอไมถงผรบ

ปลายทาง โดยอาจมเหตจากระบบสอสาร สภาพแวดลอมภายนอก การโจมตเครอขาย

หรอจากไวรส ดงนนจงตองใชอยางระมดระวง

4. ผใชงานตองไมนา Email address ของบรษท ในการสมครจดหมายขาวหรอใหขอมล

กบ Website, Blog หรอ Webboard หรอระบบอน ๆ ทไมเกยวของกบการทางาน

เพอปองกนผไมประสงคดนา Email address ดงกลาวโจมตระบบสารสนเทศของ

บรษท

5. ผใชงานตองใชงานระบบ Email ดวยความระมดระวงในการสง หรอสงตอ (Forward)

ทไมเหมาะสม เชน สงขอมลไปยงผรบจานวนมาก หรอในลกษณะลกโซ เพราะจะ

เปนการทาใหกระทบตอประสทธภาพโดยรวมของระบบสารสนเทศของบรษท

6. ผใชงานจะตองไมทาการแลกเปลยน สง หรอสงตอ (Forward) Email ทมเนอหาหรอ

ไฟลแนบทไมเหมาะสม เชน ไฟลรปทเปนภาพลามกอนาจาร หรอไฟลทละเมด

ลขสทธของผอน หรอเนอหาทกอใหผอ นเดอดรอน ไดรบความเสยหาย หรอกระทบ

ตอความมนคงภายใน เปนตน

7. ผใชงานตองไมเปดอาน หรอเปดเอกสารแนบจาก E-mail ทไมสามารถระบผสง

หรอไมทราบแหลงทมาของ E-mail ซงอาจเปนอนตรายตอระบบสารสนเทศของบรษท

บทลงโทษและการบงคบใช

ความผด

ผใชงานทฝาฝนหรอละเวนการปฏบตตามเงอนไขนโยบายเกยวกบการรกษาความ

มนคงปลอกภยระบบสารสนเทศตามเอกสารฉบบน แมวาการฝาฝนหรอการละเวนนนจะกระทา

การสาเรจหรอไม ใหถอวามความผดโดยสมบรณ

การลงโทษ

ผกระทาความผดตามนโยบายเกยวกบการรกษาความมนคง ปลอดภยระบบสารสนเทศ

ของบรษท จะถกลงโทษทางวนย ตามระเบยบขอบงคบการทางานของบรษท หากการกระทา

ดงกลาวเปนความผดตามพระราชบญญตวาดวยการกระทาผดเกยวกบคอมพวเตอร พ.ศ.

2550 หรอกฏหมายอนทเกยวของ ยงตองถกดาเนนคดตามกฏหมาย

ขอบงคบใช

หนงสอยนยอมรบเงอนไขเกยวกบนโยบายเกยวกบการรกษาความมนคง ปลอดภย

ระบบสารสนเทศฉบบน มผลบงคบใชตงแต วนท 10 พฤษภาคม 2554 เปนตนไป โดยผบรหาร

ของบรษท ทกระดบในฐานะผบงคบบญชา มหนาทในการควบคมผใตบงคบบญชา ใหปฏบต

ตามเงอนไขนโยบายเกยวกบการรกษาความมนคง ปลอดภยระบบสารสนเทศของบรษทอยาง

เครงครด หากพบวาผใชงานภายใตการควบคมไดกระทาความผด ผบงคบบญชามหนาท

ดาเนนการตามกฏระเบยบขอบงคบของบรษท การละเวนการปฏบตหนาทถอเปนความผด

เชนเดยวกบผกระทาผด