ประวัติอาจารย์ผู้สอน

ประวัติอาจารย์ผู้สอน
พ.อ. รศ. ดร. เศรษฐพงศ์ มะลิสุวรรณ

Mobile: 081-870-9621

Email Address: settapong_m@hotmail.com

จบการศึกษา:

ระดับปริญญาตรี

ด้านวิศวกรรมไฟฟ้าสื่อสารโทรคมนาคม จากโรงเรียนนายร้อยพระจุลจอมเก้า (เกียรตินิยมเหรียญทอง)

ระดับปริญญาโท

ด้านวิศวกรรมไฟฟ้าสื่อสารโทรคมนาคม จาก Geogia Institute of Technology ประเทศสหรัฐอเมริกา โดยทุนกองทัพไทย

ระดับปริญญาเอก

ด้านวิศวกรรมไฟฟ้าสื่อสารโทรคมนาคม จาก State University System of Florida (Florida Atlantic University) ประเทศสหรัฐอเมริกา โดยทุนกองทัพไทยหลัก

สูตรเสนาธิการทหารบก ในระหว่างรับราชการในกองบัญชาการกองทัพไทยได้รับคัดเลือกจากกระทรวงกลาโหมสหรัฐอเมริกา เพื่อเข้ารับการฝึกอบรมในหลักสูตรต่อต้านก่อการร้ายสากล (Counter Terrorism Fellowship Program) ที่ National Defense University, Washington D.C.

หลักสูตรการบริหารทรัพยากรเพื่อความมั่นคง (Defense Resource Management) ที่ Naval Postgraduate School, Monterey, CA ประเทศสหรัฐอเมริกา

ประสบการณ์ด้านการวิจัย

มีประสบการณ์การวิจัยหลายด้านเช่น

- Electromagnetic Interference and Compatibility (EMI/EMC)
- Mobile Cellular Communication, Satellite Communication
- Broadband Communication และ ICT Management and Policy ผลงานตีพิมพ์ระดับนานาชาติทั้งในวารสารการประชุมระดับนานาชาติและวารสารวิจัยระดับนานาชาติที่เป็นที่ยอมรับมากกว่า 80 ฉบับ

ประสบการณ์การทำงาน

ประสบการณ์การทำงานที่หลากหลาย เช่น

- อาจารย์โรงเรียนนายร้อยพระจุลจอมเกล้า

- เลขานุการประธานกรรมการ บริษัท กสท โทรคมนาคม จำกัด (มหาชน) โดยมี พลเอกมนตรี สังขทรัพย์ เป็นประธานบอร์ด

- คณะกรรมการกำกับดูแล การดำเนินงานและโครงการของ บริษัท กสท โทรคมนาคม จำกัด (มหาชน)

- นายทหารฝ่ายเสนาธิการประจำเสนาธิการทหารบก

- คณะกรรมการร่างหลักเกณฑ์ใบอนุญาตประกอบกิจการโทรคมนาคมผ่านดาวเทียมสื่อสารและโครงข่ายสถานีวิทยุคมนาคมภาคพื้นดิน กทช.

- คณะกรรมการเทคโนโลยีสารสนเทศและการสื่อสาร สำนักงานตรวจเงินแผ่นดิน

- คณะทำงานวางระบบเทคโนโลยสารสนเทศ C4ISR กองทัพบก

- ผู้พิพากษาสมทบศาลทรัพย์สินทางปัญญาและการค้าระหว่างประเทศกลาง

- คณะอนุกรรมการ การประชาสัมพันธ์ สื่อทางอินเทอร์เน็ต ศาลยุติธรรม

- ที่ปรึกษาคณะอนุกรรมาธิการพิจารณาศึกษาหามาตรการในการป้องกันการแพร่ระบาดของเกมส์คอมพิวเตอร์ สภาผู้แทนราษฎร

- คณะอนุกรรมาธิการทรัพยากรน้ำในคณะกรรมาธิการทรัพยากรธรรมชาติและสิ่งแวดล้อม สนช.

- ผู้เชี่ยวชาญเพื่อพิจารณาข้อเสนอโครงการวิจัย พัฒนาและวิศวกรรม ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC)

- ผู้เชี่ยวชาญเพื่อพิจารณาข้อเสนอโครงการวิจัยและพัฒนา กระทรวงกลาโหม

- ที่ปรึกษาโครงการดาวเทียมเพื่อความมั่นคง ศูนย์พัฒนากิจการอวกาศเพื่อความมั่นคง กระทรวงกลาโหม

- นักวิจัย (Visiting Researcher), Asian Center for Research on Remote Sensing (ACRoRS); Asian Institute of Technology

- กรรมการพิจารณาผลงานวิจัยในวารสารวิจัยระดับนานาชาติหลายแห่ง

ปัจจุบัน:

- ปฏิบัติหน้าที่ในตำแหน่ง นายทหารฝ่ายเสนาธิการประจำรองผู้บัญชาการทหารสูงสุด กองบัญชาการกองทัพไทย (พลเอกมนตรี สังขทรัพย์)

- อาจารย์พิเศษโรงเรียนนายร้อยพระจุลจอมเกล้า

- กองบรรณาธิการ NGN Forum กทช.

- คณะอนุกรรมการบริหารโปรแกรมเทคโนโลยีเพื่อความมั่นคง ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC)

- Associate Professor of New Hampshire University, USA.

การจัดการความปลอดภัยของวงจรสารสนเทศ

จัดทำโดย : นางสาวชนานาถ เยือกเย็น รหัสนักศึกษา 5107517
วิชา ITM633 : การจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management)
อาจารย์ผู้สอน : พ.อ.รศ.ดร. เศรษฐพงศ์ มะลิสุวรรณ
(สามารถดูประวัติอาจารย์ผู้สอนได้ในหัวข้อ "ประวัติอาจารย์ผู้สอน" หรือ คลิกที่นี่)

ปัญหาในการรับ-ส่งข้อมูลสารสนเทศผ่านระบบเครือข่าย
องค์กรที่มีระบบสารสนเทศอาจจะประสบกับปัญหาต่างๆ ในการ รับ-ส่ง ข้อมูลสารสนเทศผ่านระบบเครือข่าย จาก
1. อาชญากรรมไซเบอร์ (cyber terrorism)
2. การขโมยข้อมูล (data theft)
3. องค์กรที่มีความยืดหยุ่นและขาดความเข้าใจเรื่องการจัดการความปลอดภัยของวงจร
4. มีการ Access ข้อมูลจากทั้งภายในและภายนอกองค์กรเป็นจำนวนมาก แต่องค์กรยังจำกัดงบประมาณในการบริหารจัดการความปลอดภัยสารสนเทศ
5. การขยายตัวของอินเตอร์เน็ต ทำให้ข้อมูลสารสนเทศเป็นเป้าหมายที่ง่ายต่อการโจมตี เนื่องจากสามารถเข้าสู่เครือข่ายได้มากมายหลายจุด , มีจำนวนเครือข่ายมากมาย , เป็นระบบ “เปิด” (open system) , สามารถใช้เครื่องมือในการโจมตีได้หลากหลาย

การจัดการความปลอดภัยของวงจรสารสนเทศ แบ่งออกเป็น 3 หมวด คือ
1) Physical Security : เป็นการรักษาความปลอดภัยของข้อมูล โดยการเลือกใช้สื่อที่มีความมั่นคง ตั้งแต่การเลือกใช้ Hardware device ต่างๆ ไปจนกระทั่งการดูแลศูนย์กลางของการจัดเก็บข้อมูลให้มีความปลอดภัยมั่นคง
2) Access Control : เป็นการกำหนดกฎเกณฑ์ในการเข้าถึงข้อมูลสารสนเทศ เช่น ใครเป็นผู้ใช้งาน ใช้งานได้แค่ไหน ใช้งานอย่างไร สารสนเทศมีการปรับแก้โดยใคร และปรับแก้อย่างไรบ้าง
3) Encryption : เป็นการป้องกันการใช้งานโดยปรับเปลี่ยนข้อมูลให้เป็นข้อความที่อ่านไม่รู้เรื่อง (cipher-text) และมีการถอดรหัส (description) ให้เป็นข้อมูลที่อ่านได้

การ Implement ทางด้านการจัดการความปลอดภัยวงจรสารสนเทศ มีสิ่งที่ต้องพิจารณาอยู่ 4 ด้าน คือ
1) Overall Considerations คือ การพิจารณาภาพรวมแล้วหาจุดอ่อน ซึ่งต้องใช้เวลามากในการพิจารณาหาจุดอ่อนทุกๆด้าน ในทางปฏิบัติจำเป็นต้องใช้เครื่องมือ (tools) เทคนิคต่างๆ (techniques) และการบวนการ (processes) ที่เหมาะสม
2) Physical Security Considerations เป็นการพิจารณาสื่อที่ใช้ในการบันทึกข้อมูลและสถานที่เก็บข้อมูล โดยแบ่งเป็น 2 ระดับ
2.1) ระดับการใช้สื่อที่บันทึกข้อมูล (Media level) จะต้องคำนึงถึงด้านต่างๆ ดังนี้
• ไม่ใช้ media ที่มีปัญหา
• ไม่ใช้ media ที่ไม่ได้รับอนุญาต
• Media ที่ใช้แล้วควรทำลาย เพื่อป้องกันการแอบนำข้อมูลมาอ่าน
2.2) ระดับศูนย์ข้อมูล (Data center level) จะต้องคำนึงถึงด้านต่างๆ ดังต่อไปนี้
• การใช้โทรทัศน์วงจรปิดเพื่อเฝ้าระวังศูนย์ข้อมูล
• การปรับปรุงระบบเครือข่ายให้มีความปลอดภัย
• การตรวจสอบ ดูแล การใช้โปรแกรมประยุกต์ต่างๆ ในองค์กร
• การติดตามพฤติกรรมการใช้งานของผู้ใช้
3) Access Control Considerations เป็นการพิจารณาวิธีการควบคุมการใช้งานซึ่งทำโดยหน่วยงานกลาง เป็นการกำหนดนโยบายความปลอดภัยให้เป็นไปอย่างมีเหตุผลและความจำเป็นของการใช้งาน (ไม่ใช่ตามความต้องการของผู้ใช้) เช่น
• ผู้ใช้จะต้องมีการเซ็นสัญญาการรักษาความปลอดภัยของข้อมูล (security agreement) เมื่อต้องการเข้าใช้ข้อมูล
• การเข้าถึงข้อมูลจะต้องใช้บัญชีผู้ใช้ของตนเท่านั้น
• มีการกำหนดเวลาและสถานที่ในการเข้าถึงข้อมูล เป็นต้น
4) Encryption Considerations เป็นการพิจารณาถึงการเข้ารหัสข้อมูลเพื่อให้เกิดความปลอดภัยในระหว่างที่มีการรับส่งข้อมูล โดยเมื่อผู้ส่งจะทำการส่งข้อมูลจะต้องมีการทำให้เป็นข้อความที่อ่านไม่รู้เรื่อง (cipher-text) เมื่อข้อมูลถูกส่งไปถึงผู้รับก็ทำการ Decryption โดยใช้ Key ที่ตรงกันเพื่อทำให้ข้อมูลอ่านรู้เรื่องเพื่อนำไปใช้ต่อไป

การจัดการความปลอดภัยของวงจรสารสนเทศ เพื่อให้องค์กรได้ใช้ประโยชน์สูงสุดจากสารสนเทศนั้นควรดำเนินการ ดังต่อไปนี้
• ปรับยุทธศาสตร์ขององค์กรให้สอดคล้องกับการใช้งานสารสนเทศ
• จัดกลุ่มของผู้ใช้ให้เหมาะกับการใช้งานสารสนเทศ
• บริหารจัดการข้อมูลสารสนเทศทั้งหมด
• บริหารจัดการนโยบายทางด้านความปลอดภัยสำหรับการใช้งานสารสนเทศ
• บริหารจัดการทรัพยากรทางด้านสารสนเทศและเครือข่าย

การปฏิบัติเพื่อการจัดการความปลอดภัยของสารสนเทศขององค์กร จะประกอบด้วยขั้นตอนดังนี้
• จัดทำข้อมูลด้านความเสี่ยงของสารสนเทศขององค์กร
• จัดทำข้อกำหนดและขั้นตอนการรักษาความปลอดภัยของข้อมูล
• จัดทำให้เป็นส่วนหนึ่งของแผนงานด้าน ICT ขององค์กร
• จัดทำรายงานผลกระทบของผู้ใช้
• ปรับปรุงเพิ่มเติมและติดตามผลอย่างต่อเนื่อง

แนวทางวิธีปฏิบัติในด้านความปลอดภัยสารสนเทศของระบบงานบนเว็บ
1. ควรมีการใช้เทคนิคและการจัดการที่เหมาะสมในการยืนยันตัวตน (Authentication) โดยมีการจำกัดจำนวนครั้งในการพยายามเข้าถึงระบบด้วยการตรวจเช็คจากการทำงานของ Web Server ให้สามารถทำได้เพียง 3 ครั้งเท่านั้น หากครบ 3 ครั้ง ให้ทำการล็อคผู้ใช้งานดังกล่าวไม่ให้เข้าใช้งานระบบ โดยหลังจากทำการล็อคแล้วควรจัดทำกระบวนการอย่างใดอย่างหนึ่งดังนี้
1.1 ทำการล็อคผู้ใช้งานดังกล่าวจนกว่าจะมีการแจ้งการปลดล็อคจากผู้ใช้งานระบบโดยทำการแจ้งถึงเหตุผลให้กับผู้ดูแลระบบรับทราบ
1.2 ทำการล็อคผู้ใช้งานดังกล่าวจนกว่าจะถูก Resetโดยผู้ดูแลระบบ
1.3 ทำการล็อคผู้ใช้งานดังกล่าวเป็นระยะเวลาหนึ่ง อย่างน้อยไม่ควรต่ำกว่า 3 นาที
2. ควรสร้างมาตรฐานระบบการจัดการรหัสผ่าน (Password) ที่ดี
3. ควรมีการบันทึกความพยายามในการเข้าสู่ระบบโดยไม่ได้รับอนุญาต และเกินจำนวนครั้งที่ตั้งไว้ และเก็บรักษาบันทึกไว้ในระบบอย่างน้อยไม่ต่ำกว่า 3 เดือน (ตามความเหมาะสมในศักยภาพการจัดเก็บของระบบรวมถึงข้อบังคับต่าง ๆ ที่เกี่ยวข้องกับการดำเนินธุรกิจประกอบกัน) โดยให้บุคคลที่ได้รับอนุญาตอ่านได้เท่านั้น ในกรณีที่บันทึกดังกล่าวสามารถเข้าถึงผ่านทาง Internet ควรจะทำการสำเนาบันทึกดังกล่าวทุกวัน และทำการย้ายไปไว้ที่เครื่องอื่นที่ไม่สามารถเข้าถึงผ่านทาง Internet ได้ เพื่อป้องกันความเสี่ยงที่เกิดขึ้นในการเข้าถึงบันทึกดังกล่าวโดยผู้ที่ไม่ได้รับอนุญาต ซึ่งการบันทึกควรมีรายละเอียดดังนี้
3.1 จำนวนรายการของความพยายาม
3.2 ชื่อผู้ใช้งานระบบ
3.3 วันและเวลาที่พยายามเข้าสู่ระบบ
3.4 IP address และ Port ของเครื่อง Client ที่ผู้ใช้งานระบบใช้ในการพยายามเข้าสู่ระบบ
3.5 สถานภาพการยืนยันตัวตน ว่าทำการยืนยันตัวตนสำเร็จหรือไม่
4. ควรประยุกต์ใช้ Session ในการจัดทำการอนุญาตและการควบคุมการเข้าถึงระบบ
5. ควรทำการตรวจสอบการป้อนข้อมูลเข้าสู่ระบบ (Input Validation)
6. ควรมีการจัดเก็บข้อมูลและกำหนดสิทธิการเข้าถึงไฟล์ของระบบอย่างเหมาะสม ดังนี้
6.1 มีการกำหนดการแสดงผลของการ List กายภาพของ File ทั้งหมดที่อยู่ใน Directory (Directory Indexing) อย่างเหมาะสม โดยทำการกำหนดในส่วนการควบคุมระบบ Web Server
6.2 มีการกำหนดการเข้าถึง (Restricting Access) อย่างเหมาะสม โดยทำการกำหนดในส่วนการควบคุมระบบ Web Server
6.3 ทำการจัดเก็บ Hidden File , Backup File , Un-Referenced File , Temp File ไม่ให้เข้าถึงได้โดยผู้ใช้งานระบบ ซึ่งวิธีที่นิยมกันคือ ทำการกำหนดนามสกุลของไฟล์ดังกล่าวให้ Web Server รู้จัก และควรมีการตรวจสอบค่า Session ที่ใช้ในการป้องกันการเรียกไฟล์ดังกล่าว ผ่าน Browser โดยตรง
6.4 จัดการกับไฟล์ที่มากับการลง Web Server โดยทำการยกเลิกการเข้าถึงหรือย้ายไฟล์ดังกล่าวไปไว้ที่อื่น เพื่อป้องกันความเสี่ยงที่เกิดจากการที่ผู้โจมตีสามารถทำงานไฟล์ที่ลงมากับ Web Server เพื่อทำการโจมตีระบบ
7. ควรประยุกต์ใช้ IP Address หรือ DNS Name ในการยืนยันตัวตน เพื่อเพิ่มความมั่นใจในการรักษาความปลอดภัยของระบบ
8. ควรจัดการกับข้อความผิดพลาดของระบบ โดยสามารถจัดทำได้ 2 ลักษณะดังนี้
8.1 จัดการแสดงผลของ Web Server เมื่อเกิดข้อผิดพลาดจากการทำงานของระบบ โดย
- ผู้ดูแลระบบควรทำหน้าจอการแสดงผลข้อความผิดพลาดต่างๆ ให้เป็นหน้าจอของระบบเองแทนการแสดงผล Default
- สำหรับ Browser ของผู้ใช้งาน ควรตั้งค่าในลักษณะ User Friendly Message เพื่อป้องกันการแสดงผลข้อความผิดพลาดในลักษณะ Debugging หรือ Default ของระบบ
8.2 จัดการแสดงผลของ Web Application เมื่อเกิดข้อผิดพลาดจากการทำงานของระบบ (Error Message) ไม่ควรแสดงผลข้อมูลที่ไม่จำเป็นกับผู้ใช้งานระบบ เช่น การแสดงรายละเอียดของ Database Server หรือแสดงรายละเอียดของการทำงานผิดพลาดรวมถึงบรรทัดของ Source Code เป็นต้น
9. ควรมีการจัดทำการควบคุมข้อมูลส่วนบุคคลของผู้ใช้งานระบบ เช่น
- ข้อมูลเบอร์โทรศัพท์ ควรจะแสดงผลเป็น 01-456-77xx เป็นต้น
- ไม่อนุญาตให้ทำการเก็บหน่วยความจำไว้ในหน่วยความจำของ Browser (No Cache)
- กำหนดการหมดอายุ (Date และ Time) ของ Web Page
- ส่งค่า Parameter ทุกตัว โดยใช้ Post Method
- จัดทำข้อตกลงในการรักษาความเป็นส่วนตัวของข้อมูลลูกค้าและผู้ใช้งานในระบบ

สำหรับระบบงานที่ต้องการความปลอดภัยสูง เช่น Internet Banking ต้องมีการประยุกต์ใช้งาน SSL หรือ Protocol อื่น ๆ ที่มีการเข้ารหัสข้อมูลที่เหมาะสมในการติดต่อสื่อสารกับเครื่องลูกข่าย

การกำหนดรหัสผ่าน (Password) ที่ดี
1. มีการบังคับใช้รหัสผ่าน (Password)ในแต่ละรหัสผู้ใช้ และควรกำหนดให้เป็นลักษณะของ Strong Password หมายถึง Password ที่สามารถทำการเดาสุ่มได้ยาก ซึ่งประกอบด้วย
1.1 กำหนดให้รหัสผ่านมีความยาวไม่น้อยกว่า 8 ตัวอักษร
1.2 ใช้อักขระพิเศษประกอบ เช่น : ; < > เป็นต้น
1.3 การกำหนดรหัสผ่านใหม่ไม่ควรซ้ำกับของเดิมครั้งสุดท้าย
1.4 ไม่กำหนดรหัสผ่านอย่างเป็นแบบแผน เช่น “abcdef” , “aaaaaaa” , “123456” เป็นต้น
1.5 ไม่กำหนดรหัสผ่านที่เกี่ยวข้องกับผู้ใช้งาน เช่น ชื่อ, นามสกุล, วันเดือนปีเกิด, ที่อยู่ เป็นต้น
1.6 ไม่กำหนดรหัสผ่านเป็นคำศัพท์ที่อยู่ในพจนานุกรม
1.7 ไม่เป็นคำที่เกี่ยวข้องกับธนาคาร เช่น ชื่อธนาคาร , ชื่อหน่วยงาน เป็นต้น
2. ผู้ใช้สามารถเปลี่ยนรหัสผ่านของตัวเองได้
3. มีการสร้างรหัสผ่านเบื้องต้น (Default Password) โดยมีรายละเอียดดังนี้
3.1 ไม่เป็น Blank Password และไม่ควรเป็นการสุ่มจากระบบ
3.2 มีความยาวอย่างน้อย 8 ตัวอักษร
3.3 มีการกำหนดระยะเวลาในการใช้งานที่เหมาะสม โดยเมื่อถึงระยะเวลาดังกล่าวระบบจะทำการยกเลิกโดยอัตโนมัติ
3.4 สามารถบังคับให้ผู้ใช้เปลี่ยนรหัสผ่านเบื้องต้น (Default Password) ที่ได้รับในการเข้าสู่ระบบครั้งแรก โดยจัดทำช่องรับข้อมูล (Confirmation) ที่ทำการรับค่ารหัสผ่านเพื่อป้อนเข้าสู่ระบบซ้ำอีกครั้ง ระบบต้องทำการตรวจสอบว่าตรงกับค่าที่กรอกมาก่อนหน้านี้ จึงสามารถทำการเปลี่ยนแปลงรหัสผ่านในระบบได้
4. สามารถเก็บประวัติการใช้รหัสผ่านเพื่อป้องกันการนำกลับมาใช้ใหม่ได้
5. ปกปิดหรือไม่แสดงรหัสผ่านให้เห็นบนหน้าจอในขณะที่ทำการป้อนข้อมูลรหัสผ่าน
6. มีการเข้ารหัส Password ที่ทำการส่งจากการยืนยันตัวตน ด้วยวิธีการเข้ารหัสแบบทิศทางเดียว (One way encryption) ที่เหมาะสม เช่น MD5 เป็นต้น โดย Algorithm ที่ทำการใช้งานในการเข้ารหัส Password นั้น ควรเป็นวิธีเดียวกันกับที่ทำการเข้ารหัสไว้ใน Database Server และไม่ควรส่งข้อมูลสำหรับการยืนยันตัวตน (Credential) ที่ไม่ได้ทำการเข้ารหัสมาด้วย
7. มีการจำกัดระยะเวลาการใช้งานรหัสผ่านของผู้ใช้งานระบบ โดยบังคับให้มีการเปลี่ยนแปลงรหัสผ่านตามความเหมาะสม เช่น สำหรับผู้ใช้งานทั่วไป ควรเปลี่ยนรหัสผ่านอย่างน้อยทุกๆ 3-6 เดือน และสำหรับผู้ใช้งานที่ได้รับสิทธิสูงสุด (Super User) หรือ User ที่มีสิทธิพิเศษสูง (Privilege) ควรกำหนดให้มีการเปลี่ยนรหัสผ่านทุก 30 วัน

เทคนิคการตรวจสอบการป้อนข้อมูลเข้าสู่ระบบ
1. การป้องกันเทคนิคการโจมตีที่ถูกใช้งานโดยคำสั่ง SQL ที่มาจากการป้อนข้อมูลของผู้ใช้งานกล่าวคือทำให้เกิดการเข้าถึงระบบโดยบุคคลที่ไม่ได้รับอนุญาต และสามารถทำการเปิดเผยข้อมูลภายในระบบได้ (SQL Injection)โดยการเพิ่มความสามารถของระบบในส่วนของ Input Validation มีรายละเอียดดังนี้
1.1 ต้องจัดทำ Input Validation ให้ทำการป้องกันการป้อน Special Character (') เข้าสู่ระบบ โดยการตรวจสอบค่า Parameter ที่ส่งผ่านจากหน้าที่ทำการใช้งาน โดยให้ทำการตรวจสอบจากการทำงานของ Web Server เท่านั้น
1.2 กรณีที่ผู้ใช้งานระบบจำเป็นต้องใช้ข้อมูลสำหรับการยืนยันตัวตน (Credential) ที่มีการป้อน Special Character (') ระบบต้องทำการป้องกัน โดยการใช้วิธีการสร้าง Query โดยอาศัย Prepared Statement หรือ Parameterize Stored Procedure
2. เพื่อป้องกันเทคนิคการโจมตีที่ทำการบังคับระบบให้แสดงผลจากโปรแกรม หรือ Script ที่ผู้โจมตีได้ทำการส่งเข้าสู่ระบบ ผ่านทาง Browser ของผู้ใช้งาน กล่าวคือทำให้เกิดอันตรายต่อระบบโดยการทำงาน Script ที่ผู้โจมตีกรอกผ่านระบบ (Cross Site Scripting) โดยการเพิ่มความสามารถของระบบในส่วนของ Input Validation มีรายละเอียดดังนี้
2.1 ทุกหน้าจอของระบบในส่วนของ HTML ควรทำการกำหนด Meta Tag ในส่วนของการบังคับ Character Encoding ในการแสดงผลของหน้าจอ
2.2 ต้องระบุ Special Character ที่ต้องทำการป้องกันในส่วนต่าง ๆ ควรทำการ Filter Content ที่ทำการกรอกผ่านช่องรับข้อมูล ตามการระบุ Special Character ที่ต้องทำการป้องกันในส่วนต่าง ๆ

แหล่งอ้างอิง

• กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร. Information Security (IS) และ มาตรฐาน ISO/IEC 27001, 2549
• ชลิต วณิชยานันต์. Best Practices in Information Lifecycle Management Security, Sun Microsystems, inc. 2549
• ความรู้เบื้องต้นเกี่ยวกับการพิสูจน์ตัวตน ; http://www.thaicert.nectec.or.th/paper/authen/authentication_guide.php
• แนวโน้มด้านความปลอดภัยในอนาคตจาก SANS Institute ; http://www.thaicert.nectec.or.th/paper/basic/SANS.Trend.pdf
• เริ่มต้นอย่างไรดีเมื่อต้องการความปลอดภัย ; http://www.thaicert.nectec.or.th/paper/basic/security_start.php

ระบบมาตรฐานด้านความปลอดภัยของข้อมูล มาตรฐาน ISO/IEC 27001

จัดทำโดย : นางสาวชนานาถ เยือกเย็น รหัสนักศึกษา 5107517

วิชา ITM633 : การจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management)

อาจารย์ผู้สอน : พ.อ.รศ.ดร. เศรษฐพงศ์ มะลิสุวรรณ

(สามารถดูประวัติอาจารย์ผู้สอนได้ในหัวข้อ "ประวัติอาจารย์ผู้สอน" หรือ คลิกที่นี่)

การประยุกต์ใช้ ISMS (Information Security Management System) จะช่วยให้กิจกรรมทางธุรกิจสามารถดำเนินไปได้อย่างต่อเนื่อง ช่วยป้องกันระบบข้อมูลสารสนเทศขององค์กรจากความเสี่ยงต่อภัยคุกคามต่างๆ เช่น การหลอกลวงทางคอมพิวเตอร์ การจารกรรมข้อมูล ไวรัสจากคอมพิวเตอร์ การเจาะเข้าโปรแกรมคอมพิวเตอร์และการโจมตีเข้าระบบ ฯลฯ นอกจากนี้ยังช่วยป้องกันกระบวนการทางธุรกิจจากความเสี่ยงหากเกิดภัยร้ายแรงต่างๆเช่น แผ่นดินไหว วาตภัย อัคคีภัย อุทกภัย ฯลฯ

ISO27000 Family

ISO 27000
ISO 27000 มีวัตถุประสงค์เพื่อแสดง ศัพท์และนิยาม (Vocabulary and Definitions) ที่ใช้ในมาตรฐาน นั่นคือ ศัพท์บัญญัติ (Terminology) ทั้งหลายที่ใช้ในมาตรฐานการจัดการด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Management Standards- ISMS)

ISO 27001
ISO 27001 คือ มาตรฐานที่จำเป็นของ ISMS ได้แก่ คุณลักษณะเฉพาะ (Specification) ซึ่งองค์กรทั้งหลายจะต้องขอรับ "ใบรับรอง" (Certificate) จากหน่วยงานภายนอก ว่าได้มี "การปฏิบัติตามข้อกำหนด (Compliance)" เหล่านี้แล้ว อย่างเป็นทางการ

ISO 27002
ISO 27002 เป็นชื่อเรียกใหม่ของ ISO 17799 ซึ่งเดิมเรียกว่า "BS 7799 Part 1" เป็นมาตรฐานแสดง หลักปฏิบัติสำหรับ ISM (Code of practice for Information Security Management) ที่อธิบายวัตถุประสงค์ของระเบียบวิธีการควบคุมด้าน IS ทั้งหลายอย่างละเอียด และแสดงรายการวิธีปฏิบัติที่ดีที่สุด ของการควบคุมความมั่นคงปลอดภัย (Best-practice security controls)

ISO 27003
ISO 27003 เป็นแนวทางประยุกต์ใช้มาตรฐาน (Implementation guide)

ISO 27004
ISO 27004 เป็นมาตรฐานการวัด ISM เพื่อที่จะช่วยวัดประสิทธิภาพหรือประเมินผล การนำ ISMS ไปใช้

ISO 27005
ISO 27005 เป็นมาตรฐาน "การบริหารจัดการความเสี่ยงด้าน IS (Information Security Risk Management)" ซึ่งจะมาแทนที่มาตรฐานเดิม ได้แก่ "BS 7799 Part 3"

ISO 27006
ISO 27006 เป็นแนวทางปฏิบัติสำหรับกระบวนการ ออกใบรับรอง (Certification process) หรือการลงทะเบียน (Registration process) .ให้กับหน่วยงานที่เกี่ยวข้อง (ISMS certification/registration bodies)

มาตรฐานการรักษาความมั่นคงฯ อื่นๆ

Ø BSI IT Security Baselines
· จัดทำโดยองค์กรในประเทศเยอรมันนี เพื่อวางมาตรฐานด้าน IT Security (Bundesamt fur Sicherheit der Informationstechnik) (

http://www.bsi.de/ )

Ø GASSP
· The General Accepted System Security Principles (GASSP) เพื่อกำหนดมาตรฐานตามความต้องการของรัฐบาลสหรัฐอเมริกา โดย Computer Society Institute (http://www.gocsi.com/, www.mit.edu/security/www/gassp1.html )

Ø GMITS
· Guidelines for the management of IT Security (GMITS) หรือ เรียกอีกชื่อหนึ่ง ว่า "ISO/IEC TR 13335 1-4" (http://www.iso.ch/ )

Ø COBIT
· The Control Objectives for IT (COBIT) (http://www.isaca.org/ ) มุ่งที่จะกำหนดกรอบการทำงานเพื่อการควบคุม ผลผลิตที่สำคัญขององค์กร อาทิ เช่น Management Guide, Control Objectives เป็นต้น เผยแพร่โดย ISACA (Internal Audit Professional Representative body)

Ø ITIL: Information Technology Infrastructure Library
· เผยแพร่โดย the Central Computer & Telecommunications Agency (CCTA) เพื่อกำหนดความรู้พื้นฐานสำหรับ การบริหารจัดการของโครงสร้างพื้นฐานด้านไอที และเพื่อการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (www.itil.co.uk )

Ø NIST: the U.S. National Institute of Standards and Technology
· Federal Information Processing Standards: FIPS 199 (Standards for Security Categorization of Federal Information and Information Systems); FIPS 201 (Personal Identity Verification for Federal Employees and Contractors)

Ø Special Publication: SP 800-53 (Feb 2005) -Recommended Security Controls for Federal Information Systems; 800-53A –Techniques and Procedures for Verifying the Effectiveness of Security Controls in Information Systems (Spring 2004)

มาตรฐาน ISO/IEC 27001 คืออะไร
เป็นมาตรฐานการจัดการข้อมูลที่สำคัญเพื่อให้ธุรกิจดำเนินไปอย่างต่อเนื่อง กำหนดขึ้นโดยองค์กรที่มีชื่อเสียงและน่าเชื่อถือระหว่างประเทศ คือ ISO (The International Organization for Standardization) และ IEC (The International Electrotechnical Commission) มาตรฐานนี้เป็นมาตรฐานสากลที่มุ่งเน้นด้านการรักษาความมั่นคงปลอดภัยให้กับระบบสารสนเทศขององค์กร และใช้เป็นมาตรฐานอ้างอิงเพื่อเป็นแนวทางในการเสริมสร้างความมั่นคงปลอดภัยให้กับระบบสารสนเทศขององค์กรอย่างแพร่หลาย โดยแบ่งเนื้อหาออกเป็น 11 หัวข้อใหญ่ๆ (Domain) ซึ่งแต่ละหัวข้อประกอบด้วยวัตถุประสงค์จำนวนแตกต่างกัน รวมแล้วจำนวน 39 วัตถุประสงค์ (Control objectives) และภายใต้วัตถุประสงค์แต่ละข้อประกอบด้วยมาตรการในการรักษาความมั่นคงปลอดภัยแตกต่างกันรวมแล้ว 133 ข้อ ซึ่งสามารถนำไปประยุกต์ใช้เพื่อรักษาความมั่นคงให้กับระบบสารสนเทศขององค์กร

ก่อนที่จะมาเป็นมาตรฐานสากลนี้ มาตรฐาน ISO/IEC 27001 ได้ปรับปรุงมาจากมาตรฐานเดิมที่ชื่อว่า BS 7799-1 และ ISO 17799:2000 ตามลำดับ มาตรฐานนี้จะประกอบด้วยเลขหมายในตระกูล 27000 อีกหลายเลขลำดับ

มาตรฐาน ISO/IEC27001 : ว่าด้วยเรื่องของข้อกำหนดในการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัยหรือ ISMS ให้กับองค์กร ซึ่งมีหัวข้อที่เกี่ยวข้องคือ
1. ขอบเขต (Scope)
2. ศัพท์เทคนิคและนิยาม (Terms and definitions)
3. โครงสร้างของมาตรฐาน (Structure of this standard)
4. การประเมินความเสี่ยงและการจัดการกับความเสี่ยง โดยการ ลด / โอนย้าย / ยอมรับความเสี่ยง (Risk assessment and treatment)

มาตรฐาน ISO/IEC27001 นี้ ปัจจุบันได้รับความนิยมอย่างแพร่หลาย เนื่องจากประกอบด้วยวงจร Plan-Do-Check-Act และใช้แนวทางการประเมอนความเสี่ยงมาประกอบการพิจารณาหาวิธีการหรือมาตรการเพื่อป้องกัน ลดความเสี่ยง และรักษาทรัพย์สินสารสนเทศที่มีค่าขององค์กรให้มีความมั่นคงปลอดภัยในระดับที่เหมาะสม

มาตรฐาน ISO/IEC 17799-2005
ว่าด้วยเรื่องของวิธีปฏิบัติที่จะนำไปสู่ระบบบริหารจัดการความมั่นคงปลอดภัยที่องค์กรได้จัดทำขึ้น ซึ่งต้องเป็นไปตามข้อกำหนดในมาตรฐาน ISO/IEC27001 รายละเอียดของมาตรฐานนี้จะบอกวิธีปฏิบัติในการลดความเสี่ยงที่เกิดจากจุดอ่อนของระบบโดยแบ่งเป็นหัวข้อหลักที่เกี่ยวข้องกับระบบ และให้แนวทางว่าผู้จัดทำควรปฏิบัติอย่างไร ซึ่งผู้ใช้สามารถเพิ่มเติมมาตรการหรือใช้วิธีการที่มีความปลอดภัยเพียงพอ หรือเหมาะสมตามที่องค์กรได้ประเมินไว้

หัวข้อสำคัญหรือ 11 โดเมนหลักในมาตรฐาน ISO/IEC 17799-2005 มีดังนี้
1. นโยบายความมั่นคงปลอดภัยขององค์กร (Security policy)
2. โครสร้างความมั่นคงปลอดภัยภายในองค์กร (Organization of information security)
3. การจัดหมวดหมู่และควบคุมทรัพย์สินขององค์กร (Asset management)
4. มาตรฐานของบุคลากรเพื่อสร้างความปลอดภัยให้กับองค์กร (Human resources security)
5. ความปลอดภัยทางด้านกายภาพและสิ่งแวดล้อมขององค์กร (Physical and environmental security)
6. การบริหารจัดการด้านการสื่อสารและการดำเนินงานของเครือข่ายสารสนเทศขององค์กร (Communications and operations management)
7. การควบคุมการเข้าถึงระบบสารสนเทศขององค์กร (Access control)
8. การพัฒนาดูแลระบบสารสนเทศ (Information systems acquisition, development and maintenance)
9. การบริหารจัดการเหตุการณ์ละเมิดความมั่นคงปลอดภัย (Information security incident management)
10. การบริหารความต่อเนื่องในการดำเนินงานขององค์กร (Business continuity management)
11. การปฏิบัติตามข้อกำหนดทางด้านกฎหมายและบทลงโทษของการละเมิดนโยบาย (Compliance)

กระบวนการจัดการด้านความมั่นคงปลอดภัยสารสนเทศ

เอกสารอ้างอิง

• กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร. "Information Security (IS) และ มาตรฐาน ISO/IEC 27001", 2549
• "แนวโน้มด้านความปลอดภัยที่สำคัญที่คาดว่าจะเกิดขึ้นในอนาคต" ; http://www.thaicert.nectec.or.th/paper/basic/SANS.Trend.pdf
• หน่วยปฏิบัติการวิจัยเทคโนโลยีและนวตกรรมเพื่อความมั่นคงของประเทศ “มาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ (เวอร์ชัน 2.5) ประจำปี 2550” http://www.dpu.ac.th/eng/te/article.php?id=73
• "เริ่มต้นอย่างไรดีเมื่อต้องการความปลอดภัย" ; http://www.thaicert.nectec.or.th/paper/basic/security_start.php
• http://www.iso27001security.com
• http://www.thaicert.nectec.or.th/paper/basic/COBIT_mapping_revised2.pdf
  

วัตถุประสงค์การเรียนรู้วิชาเทคโนโลยีการสื่อสารและอินเตอร์เน็ต

เพื่อให้ผู้เรียนทราบถึง

1. หลักการและความรู้พื้นฐานเกี่ยวกับเทคโนโลยีอินเตอร์เน็ตและการสื่อสาร เช่น

• อินเตอร์เน็ต
• อุปกรณ์โมเด็ม
• อินเตอร์เน็ตแถบกว้าง
• การสื่อสารในเครือข่ายขนาดเล็ก
• มาตรฐานอินเตอร์เน็ตต่างๆ
• มาตรฐานอีเธอเน็ต
• เครือข่ายและเทคโนโลยีการสื่อสารภายในองค์กรขนาดใหญ่
• โครงข่ายโทรศัพท์ทั้งชนิดมีสายและไร้สาย

2. การประยุกต์ใช้ระบบเครือข่ายความรู้ทั่วไปเกี่ยวกับ

• อินเตอร์เน็ต
• เวิร์ดไวต์เว็บ
• Search Engine
• ผู้ให้บริการอินเตอร์เน็ต
• การสื่อสารโทรคมนาคม
• สถาปัตยกรรมไคลแอนท์-เซิร์ฟเวอร์
• URL และชื่อโดเมน
• เทคโนโลยีแบบหนุน
• เครื่องมือต่างๆ สำหรับการจัดแต่งเว็บ
• โปรโตคอลอินเตอร์เน็ต
• การออกแบบเว็บไซต์
• การจัดการลิงค์และเนื้อหา
• ภาษาคอมพิวเตอร์ต่างๆ ได้แก่ HTML, XML, DHTML, Java, และ Perl
• เทคโนโลยี DotNet
• เทคโนโลยีเว็บเซอร์วิส
• เทคโนโลยีเชิงวัตถุและ J2EE
• สภาพแวดล้อมของการพัฒนาระบบ
• มัลติมีเดีย
• ฐานข้อมูลเชิงสัมพันธ์และฐานข้อมูลเชิงวัตถุ

3. การป้องกันความมั่นคงปลอดภัยคอมพิวเตอร์ ได้แก่

• ไฟร์วอลล์
• การเข้ารหัสและถอดรหัส
• ระบบคริปโตแบบรหัสสาธารณะ และลายเซ็นต์ดิจิตอล

4. เกี่ยวกับ Search Engine ได้แก่

• วจีภาคของเอกสาร
• การบีบอัดและทำสารบัญ
• สไปเดอร์และคลอเลอร์
• การวัดความสำคัญ
• การให้คะแนน
• การจัดลำดับ
• หน้าเว็บ
• การกำหนดคิวรี
• ฟิลเตอร์
• การแยกส่วนข้อมูล เกี่ยวกับซอฟต์แวร์เอเจนท์ : บอทและเอเจนท์, โบรกเกอร์และเอเวตาร์, การแท
• ความรู้, หลักวิธีค้นหา, การวินิจฉัยกฎ, นิวโรเน็ตเวิร์ค; ระบบสำหรับการเขียนโปรแกรมเอเจนท์
  

ที่มา : http://www.rsu-cyberu.com/msitm/media/PopUp/ITM640.html

ดาวเทียม GPS (Global Positioning System Satellites)

จะกล่าวถึงระบบ GPS โดยมีหัวข้อหลัก ดังนี้

• ความเป็นมาของระบบ GPS <= click link
• สัญญาณจากดาวเทียม GPS <= click link
• องค์ประกอบของระบบ GPS ในการสื่อสารผ่านดาวเทียม <= click link
• ส่วนอวกาศของ GPS (Space Segment) <= click link
• การควบคุม GPS (Control) <= click link
• ผู้ใช้งาน GPS (User) <= click link
• Precise Positioning Services (PPS) <= click link
• Standard Positioning Services (SPS) <= click link
• เครื่องรับสัญญาณ GPS และรหัส <= click link
• ประเภทเครื่องรับสัญญาณ GPS <= click link
• ประเภทเครื่องที่สามารถรับดาวเทียมได้ 4 ดวง หรือ มากกว่าพร้อมกัน <= click link
• ประเภทเครื่องรับแบบเรียงลำดับสัญญาณดาวเทียม <= click link
• การหาตำแหน่งในระบบ GPS <= click link

ความเป็นมาของระบบ GPS

ระบบ Gtobal Positioning Satellite System หรือ GPS เป็นระบบที่ใช้ในการบอกทิศทางและบอกตำแหน่งของวัตถุที่ต้องการ ในปัจจุบันมีการประยุกต์ใช้งานอย่างกว้างขวางไม่ว่าจะเป็นการเดินเรือทะเล การบิน การสำรวจพื้นที่รวมไปถึงการบอกตำแหน่งบนพื้นผิวโลก โดยการอ้างอิงจากระบบดาวเทียมที่ทำหน้าที่ส่งสัญญาณ GPS โดยเฉพาะ ระบบนี้เป็นระบบที่มีการคิดค้นพัฒนาขึ้นโดยกระทรวงกลาโหมของประเทศสหรัฐอเมริกา (U.S. Department of Defense) โดยในเริ่มแรกโครงการนี้เป็นโครงการที่ใช้งานเฉพาะด้านการทหารเท่านั้น แต่ในปัจจุบันพลเรือนสามารถนำมาใช้งานได้อย่างกว้างขวาง


ก่อนหน้าจะมีการใช้ระบบ GPS อย่างเป็นทางการ ได้มีการสร้างระบบบอกทิศทางสำหรับการเดินเรือทะเลในระบบ LORAN ซึ่งใช้คลื่นวิทยุติดตั้งตามพื้นที่ส่วนต่างๆ อ่านค่าตำแหน่งออกมาได้ แต่คำที่ได้มีความแม่นยำและความน่าเชื่อถือที่ค่อนข้างต่ำ บอกตำแหน่งได้เพียงบริเวณหนึ่งๆ เท่านั้นไม่สามารถที่จะทำการบอกตำแหน่งได้ครอบคลุมทั้งหมด ต่อจากระบบ LORAN ก็จะเป็นระบบ SATNAV หรือระบบ TRANSIT ระบบนี้ใช้ดาวเทียมคล้ายระบบ GPS ในปัจจุบัน สามารถที่จะบอกตำแหน่งครอบคลุมพื้นที่ได้มากกว่าระบบ LORAN แต่ก็มีข้อบกพร่องคือ วงโคจรดาวเทียมของระบบอยู่ในระบบต่ำและมีจำนวนน้อยเกินไป ใช้วิธีการวัดคลื่นแบบ Doppler การวัดคลื่นแบบนี้มีจุดอ่อนมาก การสั่นไหวหรือเคลื่อนไหวของเครื่องรับสัญญาณเพียงเล็กน้อยจะทำให้เกิดความคลาดเคลื่อนในการบอกตำแหน่งได้มาก


ดาวเทียมที่ใช้ในระบบ GPS จะเป็นดาวเทียม LEO (Low Earth Orbit Satellite) และดาวเทียม MEO (Medium Earth Orbit Satellite) ซึ่งเป็นดาวเทียมประเภทที่มีวงโคจรไม่โคจรไปพร้อมโลก (Non-Geo-Stationary Satellite) โดยที่ดาวเทียม LEO ที่ใช้ในระบบ GPS มีวงโคจรที่ความสูงประมาณ 500 – 1,500 กิโลเมตร และดาวเทียม MEO ที่ใช้ในระบบ GPS มีวงโคจรอยู่ที่ความสูงประมาณ 1,500 – 3,000 กิโลเมตร โดยทั่วไปแล้ว ดาวเทียมที่ใช้ในระบบ GPS จะเป็นดาวเทียม MEO


กระทรวงกลาโหม ประเทศสหรัฐอเมริกา ได้ดำเนินการโครงการ Global Positioning System หรือ “GPS” โดยใช้ดาวเทียมจำนวน 24 ดวง โคจรอยู่ในระดับสูงที่พ้นจากคลื่นวิทยุรบกวนของโลก ในวงโคจรของดาวเทียม MEO ที่ความสูง 20,200 กิโลเมตร มีมุมเอียง 55 องศา ดาวเทียมทั้งหมดในระบบ GPS จะแบ่งเป็นกลุ่ม (cluster) กลุ่มหนึ่งมี 4 ดวงเรียกว่า Constellation แต่ละ Constellation จะมีมุมที่ต่างกันไป 60 องศา ตามแนวลองจิจูด การโคจรรอบหนึ่งจะใช้เวลาประมาณ 11 ชั่วโมง 58 นาที ดังนั้นใน 1 วัน ดาวเทียมดวงเดิมจะปรากฏอยู่ ณ ตำแหน่งเดิมบนท้องฟ้า 2 ครั้ง การใช้ดาวเทียมทั้งหมด 24 ดวงทำให้ทุกๆวินาทีไม่ว่าตำแหน่งใดของโลกจะมีสัญญาณ GPS จากดาวเทียมอย่างน้อย 4 ดวงเสมอ ในบางครั้ง ณ ตำแหน่งหนึ่งอาจมองเห็นดาวเทียมมากถึง 10 ดวง และเวลาเกือบทั้งหมดที่เห็นดาวเทียมจะเห็นดาวเทียมมากกว่า 4 ดวงเสมอ การทำงานของดาวเทียมมักจะต้องมีดาวเทียมสำรองไว้ เผื่อความผิดพลาดที่อาจจะเกิดขึ้นและเพิ่มความน่าเชื่อถือของระบบ ดาวเทียมในระบบ GPS จึงมีจำนวนประมาณ 30 ดวงอยู่ในวงโคจรแต่ใช้งานจริง 24 ดวง ที่เหลือเป็นดาวเทียมสำรอง นอกจากนี้ยังมีดาวเทียมที่พร้อมที่จะส่งขึ้นสู่ห้วงอวกาศทันทีที่ต้องการอีกจำนวนหนึ่ง ด้วยเหตุผลที่ว่ากระทรวงกลาโหม ประเทศสหรัฐอเมริกา ให้ความสำคัญกับระบบ GPS มากเนื่องจากเป็นระบบที่เกี่ยวกับความมั่นคงและการป้องกันประเทศ


การทำงานของระบบ GPS เป็นแบบแพร่กระจาย (Broadcasting) ซึ่งหมายความว่า ผู้รับสามารถรับสัญญาณ GPS ได้แบบไม่จำกัดจำนวนในเวลาเดียวกัน เครื่องรับ GPS จะทำการหาตำแหน่งตนเองจากดาวเทียม GPS 4 ดวง และวิธีการนี้สามารถให้ความถูกต้องเพียงพอที่จะใช้ชี้บอกตำแหน่งได้ทุกแห่งบนโลก ตลอดเวลา 24 ชั่วโมง จากการนำมาใช้งานจริงจะให้ความถูกต้องสูง โดยมีความคลาดเคลื่อนมาตรฐานของตำแหน่งทางราบต่ำกว่า 50 เมตร และถ้ารังวัดแบบวิธี “อนุพันธ์” (Differential) จะให้ความถูกต้องถึงระดับเซนติเมตร นอกจากนี้เครื่องรับ GPS ก็มีขนาดเล็กมากเมื่อเทียบกับการนำมาใช้งานช่วงแรก

สัญญาณจากดาวเทียม GPS

คลื่นสัญญาณจากดาวเทียม GPS ที่ใช้งานอยู่ในปัจจุบัน ได้แก่ Carrier Code และ Pseudo Random Noise Code

1. Carrier Code ประกอบด้วย L1 Code ใช้ความถี่ 1,575.42 MHz และ L2 Code ใช้ความถี่
   1,227.6 MHz
2. Pseudo Random Noise Code ประกอบด้วย C/A Code (Coarse/Acquisition Code) ใช้ความถี่ 1,023 MHz , P Code (Precision Code) ใช้ความถี่ 10.23 MHz และ Navigation Code ใช้ความถี่ 50 MHz
   
   
   C/A Code (Coarse/Acquisition Code) เป็นรหัสไบนารี่เลขฐาน 2 (0,1)ใช้ความถี่ 1,023 MHz ทำการมอดูเลตกับคลื่นพาห์ที่ L1 รูปแบบของคลื่น (0,1) มีการทำซ้ำทุกๆ 1,023 บิต รูปแบบของคลื่นจากดาวเทียมแต่ละดวงมีลักษณะเฉพาะตัวไม่ซ้ำกัน ใช้ในกิจการพลเรือน
   
   
   P Code (Precision Code) เป็นรหัสไบนารี่เลขฐาน 2 (0,1)ใช้ความถี่ 10.23 MHz ทำการมอดูเลตกับคลื่นพาห์ที่ L1 และ L2 ทำการเข้ารหัสเป็น Y Code ในการเชื่อมต่อแบบ Anti-Spoofing Mode เครื่องรับจึงต้องมีอุปกรณ์ในการถอดรหัส Y Code ก่อนจึงทำการเข้ารหัสได้ P Code นี้ใช้ในกิจการทหารจึงจำเป็นต้องได้รับอนุญาตจากรัฐบาลสหรัฐอเมริกาก่อนเสมอ
   
   
   Navigation Code เป็นรหัสไบนารี่เลขฐาน 2 (0,1) ใช้ความถี่ 50 Hz ทำการมอดูเลตกับคลื่นพาห์ที่ P Code และ C/A Code มีข้อมูลต่างๆ ครบถ้วน เช่น ข้อมูลวงโคจรของดาวเทียม ข้อมูลดาวเทียม ข้อมูลเวลา ข้อมูลการปรับแก้เวลา ข้อมูลระบบต่างๆ เป็นต้น
   
   
   GPS Navigation Message จะประกอบด้วย Time-Tagged Data Bits ซึ่งเป็นตัวระบุเวลาของการส่งในแต่ละ Subframe ณ เวลาที่ถูกส่งออกมา Data Bit Frame ประกอบด้วย 1,500 บิต แบ่งออกเป็น5 กลุ่มของ 300-Bit Subframe กลุ่มที่ 1 เป็น Orbital และ Clock Data SV Clock Corrections ขณะที่กลุ่มที่ 2 และ 3 เป็น Precise SV Orgital Data Sets (Ephemeris Data Parameters) ข้อมูลที่เกี่ยวข้องทั้งหมดมี 25 Frames (125 Subframes) รวมกันเป็น 1 Navigation Message ซึ่งจะส่งในคาบของ 12.5 นาที

องค์ประกอบของระบบ GPS ในการสื่อสารผ่านดาวเทียม

องค์ประกอบของระบบ GPS ในการสื่อสารผ่านดาวเทียม แบ่งออกได้เป็น 3 ด้าน คือ

1. อวกาศ (Space) <= click link
2. การควบคุม (Control) <= click link
3. ผู้ใช้งาน (User) <= click link

ส่วนอวกาศของ GPS (Space Segment)

ในระบบดาวเทียม GPS จะประกอบด้วยดาวเทียมทั้งหมด 24 ดวง โดยดาวเทียมจำนวน 21 ดวงจะใช้ในการบอกค่าพิกัด ส่วนที่เหลือ 3 ดวง จะสำรองเอาไว้ ดาวเทียมแต่ละดวงจะใช้เวลาในการโคจรออกเป็น 6 ระนาบ แต่ละระนาบมีดาวเทียม 4 ดวง และมีรัศมีวงโคจรสูงจากพื้นโลกประมาณ 20,200 กิโลเมตร เอียงทำมุมกับเส้นศูนย์สูตร เป็นมุม 55 องศา ในลักษณะสานกันคล้ายลูกตะกร้อ ดาวเทียมแต่ละดวงจะมีนาฬิกาอะตอม (Atomic Clock) ติดตั้ง 4 เครื่องเพื่อให้เวลาที่ถูกต้องมากที่สุด ความถี่ที่ใช้ในการบอกตำแหน่งค่าพิกัดของดาวเทียมแต่ละดวงมี 2 ความถี่ คือ ความถี่ L1:1,575.42 MHz และความถี่ L2 :1,227.60MHz ซึ่งจะเป็น Pseudorandom (PN)


ดาวเทียมแต่ละดวงจะมีนาฬิกาอะตอมอยู่ 4 เครื่องภายในดาวเทียมเพื่อความแน่นอนของเวลาเครื่องรับ GPS จะทำการ Synchronize ตัวเองเข้ากับดาวเทียมและใช้ในการวัด เวลาประวิงในหน่วยของบิต ซึ่งจะออกมาเป็นระยะระหว่างเครื่องรับกับดาวเทียม หลักจากที่ระยะทางระหว่างดาวเทียมและเครื่องรับเป็นที่ทราบแล้ว ข้อมูลที่ต้องการอีกชุดหนึ่งก็คือ ตำแหน่งของดาวเทียมแต่ละดวงบนท้องฟ้าซึ่งหาได้จากข้อมูลวงโคจร การใช้ข้อมูลจากดาวเทียม 4 ตัวทำให้ได้ความแม่นยำที่ค่อนข้างสูง การที่มีดาวเทียมที่ต้องใช้ 4 ดวง ไม่ใช่ 3 ดวง เนื่องมาจากนาฬิกาในเครื่องรับนั้นไม่มีความแม่นยำมากพอ ซึ่งเมื่อผ่านการ Synchronize แล้วจะมีความแม่นยำอยู่ในช่วงของ 100 ns

การควบคุม GPS (Control)

ส่วนการควบคุม (Control Station Segment) เป็นศูนย์ควบคุมและสั่งการของระบบดาวเทียม GPS ตั้งอยู่ที่เมือง Colorado Springs รัฐ Colorado สหรัฐอเมริกา มีสถานีสังเกตการณ์ (Monitor Station) 5 แห่ง ได้แก่ เมือง Diego Garcia, Ascension Island, Kwajalein, Hawaii, Colorado Springs

สถานีควบคุมต่างๆ เหล่านี้มีหน้าที่คอยติดตามและสื่อสารกับดาวเทียม ทำการคำนวณผลเพื่อบอกตำแหน่งของดาวเทียมแต่ละดวง และส่งข้อมูลที่ได้ไปยังดาวเทียมอยู่ตลอดเวลา

จานส่งสัญญาณภาคพื้นดิน (Ground Antennas) มีอยู่ 3 แห่ง ได้แก่ เมือง Ascension Island , Diego Garcia และ Kwajalein

ศูนย์บัญชาการ (Master Control Station) ตั้งอยู่ที่ฐานทัพอากาศสหรัฐอเมริกา Schriever AFB รัฐ Colorodo ศูนย์บัญชาการนี้จะทำการปรับปรุงข้อมูลวงโคจร ข้อมูลดาวเทียม และข้อมูลเวลาของดาวเทียมแต่ละดวง