|
ประเด็นสำคัญ
พระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 มีผลต่อระบบเครือข่ายพื้นฐานอย่างไร
ระบบเครือข่ายพื้นฐานที่จำเป็นสำหรับรองรับ พรบ.คอมพิวเตอร์ ฉบับนี้
การดำเนินการปรับปรุงระบบให้รองรับ พรบ.คอมพิวเตอร์
“ผู้ให้บริการ” หมายความว่า
(1) ผู้ให้บริการแก่บุคคลอื่นในการเข้าสู่อินเทอร์เน็ต หรือให้สามารถติดต่อถึงกันโดยประการอื่น โดยผ่านทางระบบคอมพิวเตอร์ ทั้งนี้ ไม่ว่าจะเป็นการให้บริการในนามของตนเอง หรือในนามหรือเพื่อประโยชน์ของบุคคลอื่น (2) ผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลอื่นโดยมีใช้อยู่ในมาตรา 15 มาตรา 18 มาตรา 20 และมาตรา26 หน้าที่และความรับผิดชอบของผู้ให้บริการ
มาตรา 15 ผู้ให้บริการผู้ใดจงใจสนับสนุนหรือยินยอมให้มีการกระทำความผิดตามมาตรา 14 ในระบบคอมพิวเตอร์ที่อยู่ในความควบคุมของตน ต้องระวางโทษเช่นเดียวกับผู้กระทำความผิดตามมาตรา 14 มาตรา 14 ผู้ใดกระทำความผิดที่ระบุไว้ดังต่อไปนี้ ต้องระวางโทษจำคุกไม่เกินห้าปี หรือ ปรับไม่เกินหนึ่งแสนบาท หรือทั้งจำทั้งปรับ
(1) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ปลอมไม่ว่าทั้งหมดหรือบางส่วน หรือข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายแก่ผู้อื่นหรือประชาชน
(2) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายต่อความมั่นคงของประเทศหรือก่อให้เกิดความตื่นตระหนกแก่ประชาชน
(3) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใด ๆ อันเป็นความผิดเกี่ยวกับความมั่นคง แห่งราชอาณาจักรหรือความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา
(4) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใด ๆ ที่มีลักษณะอันลามกและ ข้อมูลคอมพิวเตอร์นั้นประชาชนทั่วไปอาจเข้าถึงได้
(5) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์โดยรู้อยู่แล้วว่าเป็นข้อมูลคอมพิวเตอร์ตาม (1)(2) (3) หรือ (4) มาตรา 26 ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวัน นับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็นพนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกินเก้าสิบวันแต่ไม่เกินหนึ่งปีเป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้
ผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จำเป็นเพื่อให้สามารถระบุตัวผู้ใช้บริการนับตั้งแต่เริ่มใช้บริการและต้องเก็บรักษาไว้เป็นเวลาไม่น้อยกว่าเก้าสิบวันนับตั้งแต่การใช้บริการสิ้นสุดลงความในวรรคหนึ่งจะใช้กับผู้ให้บริการประเภทใด อย่างไร และเมื่อใด ให้เป็นไปตามที่รัฐมนตรีประกาศในราชกิจจานุเบกษาผู้ให้บริการผู้ใดไม่ปฏิบัติตามมาตรานี้ ต้องระวางโทษปรับไม่เกินห้าแสนบาท “ข้อมูลจราจรทางคอมพิวเตอร์”
หมายความว่า ข้อมูลเกี่ยวกับการติดต่อสื่อสารของระบบคอมพิวเตอร์ ซึ่งแสดงถึงแหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ปริมาณ ระยะเวลาชนิดของบริการ หรืออื่น ๆ ที่เกี่ยวข้องกับการติดต่อสื่อสารของระบบคอมพิวเตอร์นั้น
หมายถึง ข้อมูลที่แสดงให้เห็นถึงการติดต่อสื่อสารที่แสดงให้เห็นผู้ส่ง เช่น IP Address ของเครื่อง ชื่อที่อยู่ของผู้ใช้ ข้อมูลของผู้ให้บริการ ลักษณะของการให้บริการ วันเวลาของการส่งข้อมูล และข้อมูลทุกประเภทที่เกิดจากการสื่อสารผ่านระบบคอมพิวเตอร์ การเก็บรักษาข้อมูลของระบบเครือข่าย
1.ระบบเครือข่ายพื้นฐานที่มีอยู่ต้องสามารถเก็บข้อมูลที่เจ้าหน้าต้องการได้ เช่น แหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ปริมาณ ระยะเวลาชนิดของบริการ หรืออื่น ๆ ที่เกี่ยวข้องกับการติดต่อสื่อสารของระบบคอมพิวเตอร์นั้น
2.ระบบเครือข่ายพื้นฐานที่มีอยู่ต้องเก็บข้อมูลไว้ตั้งแต่ 90 วัน จนถึง 1 ปี
3.ระบบเครือข่ายพื้นฐานต้องระบุตัวตนของผู้ใช้ในระบบได้ว่าเป็นใคร ไม่ว่าจะเป็นระบบเครือข่ายแบบปกติ หรือ แบบไร้สาย การเก็บ Log เพียงอย่างเดียวจะไม่เพียงพอที่จะรองรับ พรบ.
ระบบมี Log ที่เก็บข้อมูลได้เก้าสิบวัน แต่
• ไม่รู้ว่าใครเป็นเจ้าของ IP Address
• มีการทำ NAT ทำให้ไม่ทราบว่าใครเป็นเจ้าของ IP Address
• เวลาของเหตุการณ์ที่เกิดขึ้นในระบบไม่ตรงกัน ทำให้ไม่รู้ว่่าเหตุการณ์ที่เกิดขึ้นมา ช่วงไหน
การเก็บ Log ของข้อมูลจึงไม่เพียงพอ ที่จะ Comply ตาม พรบ. การจัดเตรียมระบบให้สามารถรองรับ พรบ.ได้อย่างครบถ้วน
1.จะต้องมีการระบุตัวตนของผู้ใช้งานอย่างชัดเจน
• IP Address : เครื่องคอมพิวเตอร์เครื่องไหน
• User ID : ผู้ใช้งานคือใคร
• ใช้งาน Service อะไร : Web , FTP , Telnet
2.ต้องมีระบบเวลามาตรฐานที่น่าเชื่อถือสามารถนำไปอ้างอิงเมื่อเกิดเหตุได้ โดยมีความผิดพลาดไม่เกิน 10 มิลลิวินาที
3.มีระบบเก็บรักษาข้อมูลคบถ้วน และเชื่อถือได้
4.จะต้องมีการระบุตัวตนของผู้ใช้งานอย่างชัดเจน
• ระบบจัดการ User
• ระบบ Authentication วิธีการระบุตัวตนของผู้ใช้งาน
มีระบบการจัดการผู้ใช้งาน
• จัดเก็บ Profile ของผู้ใช้งานทั้งหมดในระบบ : User Name ,Password,User Informatiion
• จัดเก็บสิทธิ์การใช้งาน : Server ที่สามารถใช้งานได้,Priority ของผู้ใช้งาน
• สามารถเปลี่ยนแปลง User Profile ได้ง่าย
จัดการโดยผู้็ใช้งาน
จัดการโดย Network Admin
• ระบบที่เป็นที่นิยมใช้งาน ได้แก่
LDAP Server
Radius Server Centralized User Policy Management
• Centralized User Database
• User Name and Password
Organization , E-mail Address , Telephone No
• Authorization for each Services
• Internet Services
• E-Mail/Messaging Services
• IP Telephone Services
• Intranet Applications
• Network Services วิธีการระบุตัวตนของผู้ใช้งาน
มีระบบ Authentication เพื่อที่จะระบุตัวตนผู้ใช้ได้อย่่างถูกต้อง
• การแสดงตนเมื่อต้องการติดต่อกับอินเตอร์เน็ต
• การแสดงตนเมื่อต้องการใช้งานระบบเครือข่ายภายในองค์กร
Authenticaton Solution
การแสดงตนเมื่อต้องการติดต่อกับอินเตอร์เน็ต
• Perimeter Authentication
• ระบบกำหนดให้มีการแสดงตัวตน ก่อนที่ผู้ใช้งานเข้าไปติดต่อกับโลกภายนอก การแสดงตัวตนเพื่อใช้งานระบบเครือข่ายในองค์กร
• เป็นระบบที่ตรวจสอบผู้ใช้งานก่อนการใช้งานเครือข่าย
• อนุญาตให้ผู้มีสิทธิสามารถใช้งานเครือข่ายได้ตามสิทธิที่ได้รับอนุญาต
• ป้องกันผู้ที่ไม่ได้รับอนุญาต เข้ามาใช้งานเครือข่าย
• ป้องกันการลักลอบเข้ามาทาง WLAN
• มีการเก็บบันทึกรายละเอียดของผู้ใช้งาน Summary
• การดำเนินการที่จำเป็นสำหรับการปรับปรุงระบบเครือข่ายให้รองรับ พรบ.ได้อย่างมีประสิทธิภาพ
• Process :
1. มีระบบ Authentication เพื่อที่จะระบุตัวตนผู้ใช้ได้อย่างถูกต้อง
2. สร้างระบบเวลามาตรฐานโดยการติดตั้ง NTP Server และให้ทุกอุปกรณ์ทำการปรับเวลาให้ตรงกัน
3. ติดตั้งระบบ Centralized Log Server ที่สามารถเก็บข้อมูลได้เก้าสิบวัน
4. มีการป้องกันไม่ให้ผู้ใช้งานในระบบเข้าไปโจมตี ระบบเครือข่ายของผู้อื่น
• Policy : จะทำอย่างไรที่ทำให้ผู้ใช้งานมีแนวทางปฏิบัติที่ชัดเจน
• People : สร้างจิตสำนึกในเรื่องความปลอดภัยให้กับผู้ใช้งานได้อย่างไร |
การเตรียมความพร้อมของระบบ infrastructure เพื่อรองรับ พรบ.คอมพิวเตอร์
