ประวัติอาจารย์ผู้สอน

ประวัติอาจารย์ผู้สอน
พ.อ. รศ. ดร. เศรษฐพงศ์ มะลิสุวรรณ

Mobile: 081-870-9621

Email Address: settapong_m@hotmail.com

จบการศึกษา:

ระดับปริญญาตรี

ด้านวิศวกรรมไฟฟ้าสื่อสารโทรคมนาคม จากโรงเรียนนายร้อยพระจุลจอมเก้า (เกียรตินิยมเหรียญทอง)

ระดับปริญญาโท

ด้านวิศวกรรมไฟฟ้าสื่อสารโทรคมนาคม จาก Geogia Institute of Technology ประเทศสหรัฐอเมริกา โดยทุนกองทัพไทย

ระดับปริญญาเอก

ด้านวิศวกรรมไฟฟ้าสื่อสารโทรคมนาคม จาก State University System of Florida (Florida Atlantic University) ประเทศสหรัฐอเมริกา โดยทุนกองทัพไทยหลัก

สูตรเสนาธิการทหารบก ในระหว่างรับราชการในกองบัญชาการกองทัพไทยได้รับคัดเลือกจากกระทรวงกลาโหมสหรัฐอเมริกา เพื่อเข้ารับการฝึกอบรมในหลักสูตรต่อต้านก่อการร้ายสากล (Counter Terrorism Fellowship Program) ที่ National Defense University, Washington D.C.

หลักสูตรการบริหารทรัพยากรเพื่อความมั่นคง (Defense Resource Management) ที่ Naval Postgraduate School, Monterey, CA ประเทศสหรัฐอเมริกา

ประสบการณ์ด้านการวิจัย

มีประสบการณ์การวิจัยหลายด้านเช่น

- Electromagnetic Interference and Compatibility (EMI/EMC)
- Mobile Cellular Communication, Satellite Communication
- Broadband Communication และ ICT Management and Policy ผลงานตีพิมพ์ระดับนานาชาติทั้งในวารสารการประชุมระดับนานาชาติและวารสารวิจัยระดับนานาชาติที่เป็นที่ยอมรับมากกว่า 80 ฉบับ

ประสบการณ์การทำงาน

ประสบการณ์การทำงานที่หลากหลาย เช่น

- อาจารย์โรงเรียนนายร้อยพระจุลจอมเกล้า

- เลขานุการประธานกรรมการ บริษัท กสท โทรคมนาคม จำกัด (มหาชน) โดยมี พลเอกมนตรี สังขทรัพย์ เป็นประธานบอร์ด

- คณะกรรมการกำกับดูแล การดำเนินงานและโครงการของ บริษัท กสท โทรคมนาคม จำกัด (มหาชน)

- นายทหารฝ่ายเสนาธิการประจำเสนาธิการทหารบก

- คณะกรรมการร่างหลักเกณฑ์ใบอนุญาตประกอบกิจการโทรคมนาคมผ่านดาวเทียมสื่อสารและโครงข่ายสถานีวิทยุคมนาคมภาคพื้นดิน กทช.

- คณะกรรมการเทคโนโลยีสารสนเทศและการสื่อสาร สำนักงานตรวจเงินแผ่นดิน

- คณะทำงานวางระบบเทคโนโลยสารสนเทศ C4ISR กองทัพบก

- ผู้พิพากษาสมทบศาลทรัพย์สินทางปัญญาและการค้าระหว่างประเทศกลาง

- คณะอนุกรรมการ การประชาสัมพันธ์ สื่อทางอินเทอร์เน็ต ศาลยุติธรรม

- ที่ปรึกษาคณะอนุกรรมาธิการพิจารณาศึกษาหามาตรการในการป้องกันการแพร่ระบาดของเกมส์คอมพิวเตอร์ สภาผู้แทนราษฎร

- คณะอนุกรรมาธิการทรัพยากรน้ำในคณะกรรมาธิการทรัพยากรธรรมชาติและสิ่งแวดล้อม สนช.

- ผู้เชี่ยวชาญเพื่อพิจารณาข้อเสนอโครงการวิจัย พัฒนาและวิศวกรรม ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC)

- ผู้เชี่ยวชาญเพื่อพิจารณาข้อเสนอโครงการวิจัยและพัฒนา กระทรวงกลาโหม

- ที่ปรึกษาโครงการดาวเทียมเพื่อความมั่นคง ศูนย์พัฒนากิจการอวกาศเพื่อความมั่นคง กระทรวงกลาโหม

- นักวิจัย (Visiting Researcher), Asian Center for Research on Remote Sensing (ACRoRS); Asian Institute of Technology

- กรรมการพิจารณาผลงานวิจัยในวารสารวิจัยระดับนานาชาติหลายแห่ง

ปัจจุบัน:

- ปฏิบัติหน้าที่ในตำแหน่ง นายทหารฝ่ายเสนาธิการประจำรองผู้บัญชาการทหารสูงสุด กองบัญชาการกองทัพไทย (พลเอกมนตรี สังขทรัพย์)

- อาจารย์พิเศษโรงเรียนนายร้อยพระจุลจอมเกล้า

- กองบรรณาธิการ NGN Forum กทช.

- คณะอนุกรรมการบริหารโปรแกรมเทคโนโลยีเพื่อความมั่นคง ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC)

- Associate Professor of New Hampshire University, USA.

การจัดการความปลอดภัยของวงจรสารสนเทศ

จัดทำโดย : นางสาวชนานาถ เยือกเย็น รหัสนักศึกษา 5107517
วิชา ITM633 : การจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management)
อาจารย์ผู้สอน : พ.อ.รศ.ดร. เศรษฐพงศ์ มะลิสุวรรณ
(สามารถดูประวัติอาจารย์ผู้สอนได้ในหัวข้อ "ประวัติอาจารย์ผู้สอน" หรือ คลิกที่นี่)

ปัญหาในการรับ-ส่งข้อมูลสารสนเทศผ่านระบบเครือข่าย
องค์กรที่มีระบบสารสนเทศอาจจะประสบกับปัญหาต่างๆ ในการ รับ-ส่ง ข้อมูลสารสนเทศผ่านระบบเครือข่าย จาก
1. อาชญากรรมไซเบอร์ (cyber terrorism)
2. การขโมยข้อมูล (data theft)
3. องค์กรที่มีความยืดหยุ่นและขาดความเข้าใจเรื่องการจัดการความปลอดภัยของวงจร
4. มีการ Access ข้อมูลจากทั้งภายในและภายนอกองค์กรเป็นจำนวนมาก แต่องค์กรยังจำกัดงบประมาณในการบริหารจัดการความปลอดภัยสารสนเทศ
5. การขยายตัวของอินเตอร์เน็ต ทำให้ข้อมูลสารสนเทศเป็นเป้าหมายที่ง่ายต่อการโจมตี เนื่องจากสามารถเข้าสู่เครือข่ายได้มากมายหลายจุด , มีจำนวนเครือข่ายมากมาย , เป็นระบบ “เปิด” (open system) , สามารถใช้เครื่องมือในการโจมตีได้หลากหลาย

การจัดการความปลอดภัยของวงจรสารสนเทศ แบ่งออกเป็น 3 หมวด คือ
1) Physical Security : เป็นการรักษาความปลอดภัยของข้อมูล โดยการเลือกใช้สื่อที่มีความมั่นคง ตั้งแต่การเลือกใช้ Hardware device ต่างๆ ไปจนกระทั่งการดูแลศูนย์กลางของการจัดเก็บข้อมูลให้มีความปลอดภัยมั่นคง
2) Access Control : เป็นการกำหนดกฎเกณฑ์ในการเข้าถึงข้อมูลสารสนเทศ เช่น ใครเป็นผู้ใช้งาน ใช้งานได้แค่ไหน ใช้งานอย่างไร สารสนเทศมีการปรับแก้โดยใคร และปรับแก้อย่างไรบ้าง
3) Encryption : เป็นการป้องกันการใช้งานโดยปรับเปลี่ยนข้อมูลให้เป็นข้อความที่อ่านไม่รู้เรื่อง (cipher-text) และมีการถอดรหัส (description) ให้เป็นข้อมูลที่อ่านได้

การ Implement ทางด้านการจัดการความปลอดภัยวงจรสารสนเทศ มีสิ่งที่ต้องพิจารณาอยู่ 4 ด้าน คือ
1) Overall Considerations คือ การพิจารณาภาพรวมแล้วหาจุดอ่อน ซึ่งต้องใช้เวลามากในการพิจารณาหาจุดอ่อนทุกๆด้าน ในทางปฏิบัติจำเป็นต้องใช้เครื่องมือ (tools) เทคนิคต่างๆ (techniques) และการบวนการ (processes) ที่เหมาะสม
2) Physical Security Considerations เป็นการพิจารณาสื่อที่ใช้ในการบันทึกข้อมูลและสถานที่เก็บข้อมูล โดยแบ่งเป็น 2 ระดับ
2.1) ระดับการใช้สื่อที่บันทึกข้อมูล (Media level) จะต้องคำนึงถึงด้านต่างๆ ดังนี้
• ไม่ใช้ media ที่มีปัญหา
• ไม่ใช้ media ที่ไม่ได้รับอนุญาต
• Media ที่ใช้แล้วควรทำลาย เพื่อป้องกันการแอบนำข้อมูลมาอ่าน
2.2) ระดับศูนย์ข้อมูล (Data center level) จะต้องคำนึงถึงด้านต่างๆ ดังต่อไปนี้
• การใช้โทรทัศน์วงจรปิดเพื่อเฝ้าระวังศูนย์ข้อมูล
• การปรับปรุงระบบเครือข่ายให้มีความปลอดภัย
• การตรวจสอบ ดูแล การใช้โปรแกรมประยุกต์ต่างๆ ในองค์กร
• การติดตามพฤติกรรมการใช้งานของผู้ใช้
3) Access Control Considerations เป็นการพิจารณาวิธีการควบคุมการใช้งานซึ่งทำโดยหน่วยงานกลาง เป็นการกำหนดนโยบายความปลอดภัยให้เป็นไปอย่างมีเหตุผลและความจำเป็นของการใช้งาน (ไม่ใช่ตามความต้องการของผู้ใช้) เช่น
• ผู้ใช้จะต้องมีการเซ็นสัญญาการรักษาความปลอดภัยของข้อมูล (security agreement) เมื่อต้องการเข้าใช้ข้อมูล
• การเข้าถึงข้อมูลจะต้องใช้บัญชีผู้ใช้ของตนเท่านั้น
• มีการกำหนดเวลาและสถานที่ในการเข้าถึงข้อมูล เป็นต้น
4) Encryption Considerations เป็นการพิจารณาถึงการเข้ารหัสข้อมูลเพื่อให้เกิดความปลอดภัยในระหว่างที่มีการรับส่งข้อมูล โดยเมื่อผู้ส่งจะทำการส่งข้อมูลจะต้องมีการทำให้เป็นข้อความที่อ่านไม่รู้เรื่อง (cipher-text) เมื่อข้อมูลถูกส่งไปถึงผู้รับก็ทำการ Decryption โดยใช้ Key ที่ตรงกันเพื่อทำให้ข้อมูลอ่านรู้เรื่องเพื่อนำไปใช้ต่อไป

การจัดการความปลอดภัยของวงจรสารสนเทศ เพื่อให้องค์กรได้ใช้ประโยชน์สูงสุดจากสารสนเทศนั้นควรดำเนินการ ดังต่อไปนี้
• ปรับยุทธศาสตร์ขององค์กรให้สอดคล้องกับการใช้งานสารสนเทศ
• จัดกลุ่มของผู้ใช้ให้เหมาะกับการใช้งานสารสนเทศ
• บริหารจัดการข้อมูลสารสนเทศทั้งหมด
• บริหารจัดการนโยบายทางด้านความปลอดภัยสำหรับการใช้งานสารสนเทศ
• บริหารจัดการทรัพยากรทางด้านสารสนเทศและเครือข่าย

การปฏิบัติเพื่อการจัดการความปลอดภัยของสารสนเทศขององค์กร จะประกอบด้วยขั้นตอนดังนี้
• จัดทำข้อมูลด้านความเสี่ยงของสารสนเทศขององค์กร
• จัดทำข้อกำหนดและขั้นตอนการรักษาความปลอดภัยของข้อมูล
• จัดทำให้เป็นส่วนหนึ่งของแผนงานด้าน ICT ขององค์กร
• จัดทำรายงานผลกระทบของผู้ใช้
• ปรับปรุงเพิ่มเติมและติดตามผลอย่างต่อเนื่อง

แนวทางวิธีปฏิบัติในด้านความปลอดภัยสารสนเทศของระบบงานบนเว็บ
1. ควรมีการใช้เทคนิคและการจัดการที่เหมาะสมในการยืนยันตัวตน (Authentication) โดยมีการจำกัดจำนวนครั้งในการพยายามเข้าถึงระบบด้วยการตรวจเช็คจากการทำงานของ Web Server ให้สามารถทำได้เพียง 3 ครั้งเท่านั้น หากครบ 3 ครั้ง ให้ทำการล็อคผู้ใช้งานดังกล่าวไม่ให้เข้าใช้งานระบบ โดยหลังจากทำการล็อคแล้วควรจัดทำกระบวนการอย่างใดอย่างหนึ่งดังนี้
1.1 ทำการล็อคผู้ใช้งานดังกล่าวจนกว่าจะมีการแจ้งการปลดล็อคจากผู้ใช้งานระบบโดยทำการแจ้งถึงเหตุผลให้กับผู้ดูแลระบบรับทราบ
1.2 ทำการล็อคผู้ใช้งานดังกล่าวจนกว่าจะถูก Resetโดยผู้ดูแลระบบ
1.3 ทำการล็อคผู้ใช้งานดังกล่าวเป็นระยะเวลาหนึ่ง อย่างน้อยไม่ควรต่ำกว่า 3 นาที
2. ควรสร้างมาตรฐานระบบการจัดการรหัสผ่าน (Password) ที่ดี
3. ควรมีการบันทึกความพยายามในการเข้าสู่ระบบโดยไม่ได้รับอนุญาต และเกินจำนวนครั้งที่ตั้งไว้ และเก็บรักษาบันทึกไว้ในระบบอย่างน้อยไม่ต่ำกว่า 3 เดือน (ตามความเหมาะสมในศักยภาพการจัดเก็บของระบบรวมถึงข้อบังคับต่าง ๆ ที่เกี่ยวข้องกับการดำเนินธุรกิจประกอบกัน) โดยให้บุคคลที่ได้รับอนุญาตอ่านได้เท่านั้น ในกรณีที่บันทึกดังกล่าวสามารถเข้าถึงผ่านทาง Internet ควรจะทำการสำเนาบันทึกดังกล่าวทุกวัน และทำการย้ายไปไว้ที่เครื่องอื่นที่ไม่สามารถเข้าถึงผ่านทาง Internet ได้ เพื่อป้องกันความเสี่ยงที่เกิดขึ้นในการเข้าถึงบันทึกดังกล่าวโดยผู้ที่ไม่ได้รับอนุญาต ซึ่งการบันทึกควรมีรายละเอียดดังนี้
3.1 จำนวนรายการของความพยายาม
3.2 ชื่อผู้ใช้งานระบบ
3.3 วันและเวลาที่พยายามเข้าสู่ระบบ
3.4 IP address และ Port ของเครื่อง Client ที่ผู้ใช้งานระบบใช้ในการพยายามเข้าสู่ระบบ
3.5 สถานภาพการยืนยันตัวตน ว่าทำการยืนยันตัวตนสำเร็จหรือไม่
4. ควรประยุกต์ใช้ Session ในการจัดทำการอนุญาตและการควบคุมการเข้าถึงระบบ
5. ควรทำการตรวจสอบการป้อนข้อมูลเข้าสู่ระบบ (Input Validation)
6. ควรมีการจัดเก็บข้อมูลและกำหนดสิทธิการเข้าถึงไฟล์ของระบบอย่างเหมาะสม ดังนี้
6.1 มีการกำหนดการแสดงผลของการ List กายภาพของ File ทั้งหมดที่อยู่ใน Directory (Directory Indexing) อย่างเหมาะสม โดยทำการกำหนดในส่วนการควบคุมระบบ Web Server
6.2 มีการกำหนดการเข้าถึง (Restricting Access) อย่างเหมาะสม โดยทำการกำหนดในส่วนการควบคุมระบบ Web Server
6.3 ทำการจัดเก็บ Hidden File , Backup File , Un-Referenced File , Temp File ไม่ให้เข้าถึงได้โดยผู้ใช้งานระบบ ซึ่งวิธีที่นิยมกันคือ ทำการกำหนดนามสกุลของไฟล์ดังกล่าวให้ Web Server รู้จัก และควรมีการตรวจสอบค่า Session ที่ใช้ในการป้องกันการเรียกไฟล์ดังกล่าว ผ่าน Browser โดยตรง
6.4 จัดการกับไฟล์ที่มากับการลง Web Server โดยทำการยกเลิกการเข้าถึงหรือย้ายไฟล์ดังกล่าวไปไว้ที่อื่น เพื่อป้องกันความเสี่ยงที่เกิดจากการที่ผู้โจมตีสามารถทำงานไฟล์ที่ลงมากับ Web Server เพื่อทำการโจมตีระบบ
7. ควรประยุกต์ใช้ IP Address หรือ DNS Name ในการยืนยันตัวตน เพื่อเพิ่มความมั่นใจในการรักษาความปลอดภัยของระบบ
8. ควรจัดการกับข้อความผิดพลาดของระบบ โดยสามารถจัดทำได้ 2 ลักษณะดังนี้
8.1 จัดการแสดงผลของ Web Server เมื่อเกิดข้อผิดพลาดจากการทำงานของระบบ โดย
- ผู้ดูแลระบบควรทำหน้าจอการแสดงผลข้อความผิดพลาดต่างๆ ให้เป็นหน้าจอของระบบเองแทนการแสดงผล Default
- สำหรับ Browser ของผู้ใช้งาน ควรตั้งค่าในลักษณะ User Friendly Message เพื่อป้องกันการแสดงผลข้อความผิดพลาดในลักษณะ Debugging หรือ Default ของระบบ
8.2 จัดการแสดงผลของ Web Application เมื่อเกิดข้อผิดพลาดจากการทำงานของระบบ (Error Message) ไม่ควรแสดงผลข้อมูลที่ไม่จำเป็นกับผู้ใช้งานระบบ เช่น การแสดงรายละเอียดของ Database Server หรือแสดงรายละเอียดของการทำงานผิดพลาดรวมถึงบรรทัดของ Source Code เป็นต้น
9. ควรมีการจัดทำการควบคุมข้อมูลส่วนบุคคลของผู้ใช้งานระบบ เช่น
- ข้อมูลเบอร์โทรศัพท์ ควรจะแสดงผลเป็น 01-456-77xx เป็นต้น
- ไม่อนุญาตให้ทำการเก็บหน่วยความจำไว้ในหน่วยความจำของ Browser (No Cache)
- กำหนดการหมดอายุ (Date และ Time) ของ Web Page
- ส่งค่า Parameter ทุกตัว โดยใช้ Post Method
- จัดทำข้อตกลงในการรักษาความเป็นส่วนตัวของข้อมูลลูกค้าและผู้ใช้งานในระบบ

สำหรับระบบงานที่ต้องการความปลอดภัยสูง เช่น Internet Banking ต้องมีการประยุกต์ใช้งาน SSL หรือ Protocol อื่น ๆ ที่มีการเข้ารหัสข้อมูลที่เหมาะสมในการติดต่อสื่อสารกับเครื่องลูกข่าย

การกำหนดรหัสผ่าน (Password) ที่ดี
1. มีการบังคับใช้รหัสผ่าน (Password)ในแต่ละรหัสผู้ใช้ และควรกำหนดให้เป็นลักษณะของ Strong Password หมายถึง Password ที่สามารถทำการเดาสุ่มได้ยาก ซึ่งประกอบด้วย
1.1 กำหนดให้รหัสผ่านมีความยาวไม่น้อยกว่า 8 ตัวอักษร
1.2 ใช้อักขระพิเศษประกอบ เช่น : ; < > เป็นต้น
1.3 การกำหนดรหัสผ่านใหม่ไม่ควรซ้ำกับของเดิมครั้งสุดท้าย
1.4 ไม่กำหนดรหัสผ่านอย่างเป็นแบบแผน เช่น “abcdef” , “aaaaaaa” , “123456” เป็นต้น
1.5 ไม่กำหนดรหัสผ่านที่เกี่ยวข้องกับผู้ใช้งาน เช่น ชื่อ, นามสกุล, วันเดือนปีเกิด, ที่อยู่ เป็นต้น
1.6 ไม่กำหนดรหัสผ่านเป็นคำศัพท์ที่อยู่ในพจนานุกรม
1.7 ไม่เป็นคำที่เกี่ยวข้องกับธนาคาร เช่น ชื่อธนาคาร , ชื่อหน่วยงาน เป็นต้น
2. ผู้ใช้สามารถเปลี่ยนรหัสผ่านของตัวเองได้
3. มีการสร้างรหัสผ่านเบื้องต้น (Default Password) โดยมีรายละเอียดดังนี้
3.1 ไม่เป็น Blank Password และไม่ควรเป็นการสุ่มจากระบบ
3.2 มีความยาวอย่างน้อย 8 ตัวอักษร
3.3 มีการกำหนดระยะเวลาในการใช้งานที่เหมาะสม โดยเมื่อถึงระยะเวลาดังกล่าวระบบจะทำการยกเลิกโดยอัตโนมัติ
3.4 สามารถบังคับให้ผู้ใช้เปลี่ยนรหัสผ่านเบื้องต้น (Default Password) ที่ได้รับในการเข้าสู่ระบบครั้งแรก โดยจัดทำช่องรับข้อมูล (Confirmation) ที่ทำการรับค่ารหัสผ่านเพื่อป้อนเข้าสู่ระบบซ้ำอีกครั้ง ระบบต้องทำการตรวจสอบว่าตรงกับค่าที่กรอกมาก่อนหน้านี้ จึงสามารถทำการเปลี่ยนแปลงรหัสผ่านในระบบได้
4. สามารถเก็บประวัติการใช้รหัสผ่านเพื่อป้องกันการนำกลับมาใช้ใหม่ได้
5. ปกปิดหรือไม่แสดงรหัสผ่านให้เห็นบนหน้าจอในขณะที่ทำการป้อนข้อมูลรหัสผ่าน
6. มีการเข้ารหัส Password ที่ทำการส่งจากการยืนยันตัวตน ด้วยวิธีการเข้ารหัสแบบทิศทางเดียว (One way encryption) ที่เหมาะสม เช่น MD5 เป็นต้น โดย Algorithm ที่ทำการใช้งานในการเข้ารหัส Password นั้น ควรเป็นวิธีเดียวกันกับที่ทำการเข้ารหัสไว้ใน Database Server และไม่ควรส่งข้อมูลสำหรับการยืนยันตัวตน (Credential) ที่ไม่ได้ทำการเข้ารหัสมาด้วย
7. มีการจำกัดระยะเวลาการใช้งานรหัสผ่านของผู้ใช้งานระบบ โดยบังคับให้มีการเปลี่ยนแปลงรหัสผ่านตามความเหมาะสม เช่น สำหรับผู้ใช้งานทั่วไป ควรเปลี่ยนรหัสผ่านอย่างน้อยทุกๆ 3-6 เดือน และสำหรับผู้ใช้งานที่ได้รับสิทธิสูงสุด (Super User) หรือ User ที่มีสิทธิพิเศษสูง (Privilege) ควรกำหนดให้มีการเปลี่ยนรหัสผ่านทุก 30 วัน

เทคนิคการตรวจสอบการป้อนข้อมูลเข้าสู่ระบบ
1. การป้องกันเทคนิคการโจมตีที่ถูกใช้งานโดยคำสั่ง SQL ที่มาจากการป้อนข้อมูลของผู้ใช้งานกล่าวคือทำให้เกิดการเข้าถึงระบบโดยบุคคลที่ไม่ได้รับอนุญาต และสามารถทำการเปิดเผยข้อมูลภายในระบบได้ (SQL Injection)โดยการเพิ่มความสามารถของระบบในส่วนของ Input Validation มีรายละเอียดดังนี้
1.1 ต้องจัดทำ Input Validation ให้ทำการป้องกันการป้อน Special Character (') เข้าสู่ระบบ โดยการตรวจสอบค่า Parameter ที่ส่งผ่านจากหน้าที่ทำการใช้งาน โดยให้ทำการตรวจสอบจากการทำงานของ Web Server เท่านั้น
1.2 กรณีที่ผู้ใช้งานระบบจำเป็นต้องใช้ข้อมูลสำหรับการยืนยันตัวตน (Credential) ที่มีการป้อน Special Character (') ระบบต้องทำการป้องกัน โดยการใช้วิธีการสร้าง Query โดยอาศัย Prepared Statement หรือ Parameterize Stored Procedure
2. เพื่อป้องกันเทคนิคการโจมตีที่ทำการบังคับระบบให้แสดงผลจากโปรแกรม หรือ Script ที่ผู้โจมตีได้ทำการส่งเข้าสู่ระบบ ผ่านทาง Browser ของผู้ใช้งาน กล่าวคือทำให้เกิดอันตรายต่อระบบโดยการทำงาน Script ที่ผู้โจมตีกรอกผ่านระบบ (Cross Site Scripting) โดยการเพิ่มความสามารถของระบบในส่วนของ Input Validation มีรายละเอียดดังนี้
2.1 ทุกหน้าจอของระบบในส่วนของ HTML ควรทำการกำหนด Meta Tag ในส่วนของการบังคับ Character Encoding ในการแสดงผลของหน้าจอ
2.2 ต้องระบุ Special Character ที่ต้องทำการป้องกันในส่วนต่าง ๆ ควรทำการ Filter Content ที่ทำการกรอกผ่านช่องรับข้อมูล ตามการระบุ Special Character ที่ต้องทำการป้องกันในส่วนต่าง ๆ

แหล่งอ้างอิง

• กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร. Information Security (IS) และ มาตรฐาน ISO/IEC 27001, 2549
• ชลิต วณิชยานันต์. Best Practices in Information Lifecycle Management Security, Sun Microsystems, inc. 2549
• ความรู้เบื้องต้นเกี่ยวกับการพิสูจน์ตัวตน ; http://www.thaicert.nectec.or.th/paper/authen/authentication_guide.php
• แนวโน้มด้านความปลอดภัยในอนาคตจาก SANS Institute ; http://www.thaicert.nectec.or.th/paper/basic/SANS.Trend.pdf
• เริ่มต้นอย่างไรดีเมื่อต้องการความปลอดภัย ; http://www.thaicert.nectec.or.th/paper/basic/security_start.php

ระบบมาตรฐานด้านความปลอดภัยของข้อมูล มาตรฐาน ISO/IEC 27001

จัดทำโดย : นางสาวชนานาถ เยือกเย็น รหัสนักศึกษา 5107517

วิชา ITM633 : การจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management)

อาจารย์ผู้สอน : พ.อ.รศ.ดร. เศรษฐพงศ์ มะลิสุวรรณ

(สามารถดูประวัติอาจารย์ผู้สอนได้ในหัวข้อ "ประวัติอาจารย์ผู้สอน" หรือ คลิกที่นี่)

การประยุกต์ใช้ ISMS (Information Security Management System) จะช่วยให้กิจกรรมทางธุรกิจสามารถดำเนินไปได้อย่างต่อเนื่อง ช่วยป้องกันระบบข้อมูลสารสนเทศขององค์กรจากความเสี่ยงต่อภัยคุกคามต่างๆ เช่น การหลอกลวงทางคอมพิวเตอร์ การจารกรรมข้อมูล ไวรัสจากคอมพิวเตอร์ การเจาะเข้าโปรแกรมคอมพิวเตอร์และการโจมตีเข้าระบบ ฯลฯ นอกจากนี้ยังช่วยป้องกันกระบวนการทางธุรกิจจากความเสี่ยงหากเกิดภัยร้ายแรงต่างๆเช่น แผ่นดินไหว วาตภัย อัคคีภัย อุทกภัย ฯลฯ

ISO27000 Family

ISO 27000
ISO 27000 มีวัตถุประสงค์เพื่อแสดง ศัพท์และนิยาม (Vocabulary and Definitions) ที่ใช้ในมาตรฐาน นั่นคือ ศัพท์บัญญัติ (Terminology) ทั้งหลายที่ใช้ในมาตรฐานการจัดการด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Management Standards- ISMS)

ISO 27001
ISO 27001 คือ มาตรฐานที่จำเป็นของ ISMS ได้แก่ คุณลักษณะเฉพาะ (Specification) ซึ่งองค์กรทั้งหลายจะต้องขอรับ "ใบรับรอง" (Certificate) จากหน่วยงานภายนอก ว่าได้มี "การปฏิบัติตามข้อกำหนด (Compliance)" เหล่านี้แล้ว อย่างเป็นทางการ

ISO 27002
ISO 27002 เป็นชื่อเรียกใหม่ของ ISO 17799 ซึ่งเดิมเรียกว่า "BS 7799 Part 1" เป็นมาตรฐานแสดง หลักปฏิบัติสำหรับ ISM (Code of practice for Information Security Management) ที่อธิบายวัตถุประสงค์ของระเบียบวิธีการควบคุมด้าน IS ทั้งหลายอย่างละเอียด และแสดงรายการวิธีปฏิบัติที่ดีที่สุด ของการควบคุมความมั่นคงปลอดภัย (Best-practice security controls)

ISO 27003
ISO 27003 เป็นแนวทางประยุกต์ใช้มาตรฐาน (Implementation guide)

ISO 27004
ISO 27004 เป็นมาตรฐานการวัด ISM เพื่อที่จะช่วยวัดประสิทธิภาพหรือประเมินผล การนำ ISMS ไปใช้

ISO 27005
ISO 27005 เป็นมาตรฐาน "การบริหารจัดการความเสี่ยงด้าน IS (Information Security Risk Management)" ซึ่งจะมาแทนที่มาตรฐานเดิม ได้แก่ "BS 7799 Part 3"

ISO 27006
ISO 27006 เป็นแนวทางปฏิบัติสำหรับกระบวนการ ออกใบรับรอง (Certification process) หรือการลงทะเบียน (Registration process) .ให้กับหน่วยงานที่เกี่ยวข้อง (ISMS certification/registration bodies)

มาตรฐานการรักษาความมั่นคงฯ อื่นๆ

Ø BSI IT Security Baselines
· จัดทำโดยองค์กรในประเทศเยอรมันนี เพื่อวางมาตรฐานด้าน IT Security (Bundesamt fur Sicherheit der Informationstechnik) (

http://www.bsi.de/ )

Ø GASSP
· The General Accepted System Security Principles (GASSP) เพื่อกำหนดมาตรฐานตามความต้องการของรัฐบาลสหรัฐอเมริกา โดย Computer Society Institute (http://www.gocsi.com/, www.mit.edu/security/www/gassp1.html )

Ø GMITS
· Guidelines for the management of IT Security (GMITS) หรือ เรียกอีกชื่อหนึ่ง ว่า "ISO/IEC TR 13335 1-4" (http://www.iso.ch/ )

Ø COBIT
· The Control Objectives for IT (COBIT) (http://www.isaca.org/ ) มุ่งที่จะกำหนดกรอบการทำงานเพื่อการควบคุม ผลผลิตที่สำคัญขององค์กร อาทิ เช่น Management Guide, Control Objectives เป็นต้น เผยแพร่โดย ISACA (Internal Audit Professional Representative body)

Ø ITIL: Information Technology Infrastructure Library
· เผยแพร่โดย the Central Computer & Telecommunications Agency (CCTA) เพื่อกำหนดความรู้พื้นฐานสำหรับ การบริหารจัดการของโครงสร้างพื้นฐานด้านไอที และเพื่อการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (www.itil.co.uk )

Ø NIST: the U.S. National Institute of Standards and Technology
· Federal Information Processing Standards: FIPS 199 (Standards for Security Categorization of Federal Information and Information Systems); FIPS 201 (Personal Identity Verification for Federal Employees and Contractors)

Ø Special Publication: SP 800-53 (Feb 2005) -Recommended Security Controls for Federal Information Systems; 800-53A –Techniques and Procedures for Verifying the Effectiveness of Security Controls in Information Systems (Spring 2004)

มาตรฐาน ISO/IEC 27001 คืออะไร
เป็นมาตรฐานการจัดการข้อมูลที่สำคัญเพื่อให้ธุรกิจดำเนินไปอย่างต่อเนื่อง กำหนดขึ้นโดยองค์กรที่มีชื่อเสียงและน่าเชื่อถือระหว่างประเทศ คือ ISO (The International Organization for Standardization) และ IEC (The International Electrotechnical Commission) มาตรฐานนี้เป็นมาตรฐานสากลที่มุ่งเน้นด้านการรักษาความมั่นคงปลอดภัยให้กับระบบสารสนเทศขององค์กร และใช้เป็นมาตรฐานอ้างอิงเพื่อเป็นแนวทางในการเสริมสร้างความมั่นคงปลอดภัยให้กับระบบสารสนเทศขององค์กรอย่างแพร่หลาย โดยแบ่งเนื้อหาออกเป็น 11 หัวข้อใหญ่ๆ (Domain) ซึ่งแต่ละหัวข้อประกอบด้วยวัตถุประสงค์จำนวนแตกต่างกัน รวมแล้วจำนวน 39 วัตถุประสงค์ (Control objectives) และภายใต้วัตถุประสงค์แต่ละข้อประกอบด้วยมาตรการในการรักษาความมั่นคงปลอดภัยแตกต่างกันรวมแล้ว 133 ข้อ ซึ่งสามารถนำไปประยุกต์ใช้เพื่อรักษาความมั่นคงให้กับระบบสารสนเทศขององค์กร

ก่อนที่จะมาเป็นมาตรฐานสากลนี้ มาตรฐาน ISO/IEC 27001 ได้ปรับปรุงมาจากมาตรฐานเดิมที่ชื่อว่า BS 7799-1 และ ISO 17799:2000 ตามลำดับ มาตรฐานนี้จะประกอบด้วยเลขหมายในตระกูล 27000 อีกหลายเลขลำดับ

มาตรฐาน ISO/IEC27001 : ว่าด้วยเรื่องของข้อกำหนดในการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัยหรือ ISMS ให้กับองค์กร ซึ่งมีหัวข้อที่เกี่ยวข้องคือ
1. ขอบเขต (Scope)
2. ศัพท์เทคนิคและนิยาม (Terms and definitions)
3. โครงสร้างของมาตรฐาน (Structure of this standard)
4. การประเมินความเสี่ยงและการจัดการกับความเสี่ยง โดยการ ลด / โอนย้าย / ยอมรับความเสี่ยง (Risk assessment and treatment)

มาตรฐาน ISO/IEC27001 นี้ ปัจจุบันได้รับความนิยมอย่างแพร่หลาย เนื่องจากประกอบด้วยวงจร Plan-Do-Check-Act และใช้แนวทางการประเมอนความเสี่ยงมาประกอบการพิจารณาหาวิธีการหรือมาตรการเพื่อป้องกัน ลดความเสี่ยง และรักษาทรัพย์สินสารสนเทศที่มีค่าขององค์กรให้มีความมั่นคงปลอดภัยในระดับที่เหมาะสม

มาตรฐาน ISO/IEC 17799-2005
ว่าด้วยเรื่องของวิธีปฏิบัติที่จะนำไปสู่ระบบบริหารจัดการความมั่นคงปลอดภัยที่องค์กรได้จัดทำขึ้น ซึ่งต้องเป็นไปตามข้อกำหนดในมาตรฐาน ISO/IEC27001 รายละเอียดของมาตรฐานนี้จะบอกวิธีปฏิบัติในการลดความเสี่ยงที่เกิดจากจุดอ่อนของระบบโดยแบ่งเป็นหัวข้อหลักที่เกี่ยวข้องกับระบบ และให้แนวทางว่าผู้จัดทำควรปฏิบัติอย่างไร ซึ่งผู้ใช้สามารถเพิ่มเติมมาตรการหรือใช้วิธีการที่มีความปลอดภัยเพียงพอ หรือเหมาะสมตามที่องค์กรได้ประเมินไว้

หัวข้อสำคัญหรือ 11 โดเมนหลักในมาตรฐาน ISO/IEC 17799-2005 มีดังนี้
1. นโยบายความมั่นคงปลอดภัยขององค์กร (Security policy)
2. โครสร้างความมั่นคงปลอดภัยภายในองค์กร (Organization of information security)
3. การจัดหมวดหมู่และควบคุมทรัพย์สินขององค์กร (Asset management)
4. มาตรฐานของบุคลากรเพื่อสร้างความปลอดภัยให้กับองค์กร (Human resources security)
5. ความปลอดภัยทางด้านกายภาพและสิ่งแวดล้อมขององค์กร (Physical and environmental security)
6. การบริหารจัดการด้านการสื่อสารและการดำเนินงานของเครือข่ายสารสนเทศขององค์กร (Communications and operations management)
7. การควบคุมการเข้าถึงระบบสารสนเทศขององค์กร (Access control)
8. การพัฒนาดูแลระบบสารสนเทศ (Information systems acquisition, development and maintenance)
9. การบริหารจัดการเหตุการณ์ละเมิดความมั่นคงปลอดภัย (Information security incident management)
10. การบริหารความต่อเนื่องในการดำเนินงานขององค์กร (Business continuity management)
11. การปฏิบัติตามข้อกำหนดทางด้านกฎหมายและบทลงโทษของการละเมิดนโยบาย (Compliance)

กระบวนการจัดการด้านความมั่นคงปลอดภัยสารสนเทศ

เอกสารอ้างอิง

• กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร. "Information Security (IS) และ มาตรฐาน ISO/IEC 27001", 2549
• "แนวโน้มด้านความปลอดภัยที่สำคัญที่คาดว่าจะเกิดขึ้นในอนาคต" ; http://www.thaicert.nectec.or.th/paper/basic/SANS.Trend.pdf
• หน่วยปฏิบัติการวิจัยเทคโนโลยีและนวตกรรมเพื่อความมั่นคงของประเทศ “มาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ (เวอร์ชัน 2.5) ประจำปี 2550” http://www.dpu.ac.th/eng/te/article.php?id=73
• "เริ่มต้นอย่างไรดีเมื่อต้องการความปลอดภัย" ; http://www.thaicert.nectec.or.th/paper/basic/security_start.php
• http://www.iso27001security.com
• http://www.thaicert.nectec.or.th/paper/basic/COBIT_mapping_revised2.pdf