บทความนี้เป็นส่วนหนึ่งของวิชา ITM 633: การจัดการความมั่นคงปลอดภัยสารสนเทศ
โดยมีอาจารย์ พ.อ.รศ.ดร. เศรษฐพงศ์ มะลิสุวรรณ เป็นผู้สอน
โดยมีอาจารย์ พ.อ.รศ.ดร. เศรษฐพงศ์ มะลิสุวรรณ เป็นผู้สอน
บทนำ
ปัจจุบันกิจการโทรคมนาคมได้เข้ามามีบทบาทสำคัญต่อการพัฒนาเศรษฐกิจและสังคมของประเทศ โครงข่ายโทรคมนาคมและอินเทอร์เน็ตได้กลายเป็นโครงสร้างพื้นฐานที่สำคัญของประเทศต่างๆ ทั่วโลก โครงข่ายต่างๆ กำลังพัฒนาไปสู่โครงข่าย Next Generation Network (NGN) ซึ่งนำไปสู่ยุคของการหลอมรวมมากขึ้น ท่ามกลางการเปิดเสรีโทรคมนาคมและการพัฒนาเทคโนโลยี ในระยะเวลาหลายปีที่ผ่านมา ได้มีเหตุการณ์ซึ่งเป็นภัยคุกคามต่อโครงข่ายที่มีผลต่อการให้บริการโทรคมนาคมเกิดขึ้น และมีแนวโน้มที่จะขยายวงกว้าง ทวีความรุนแรงเพิ่มมากขึ้น และอาจก่อให้เกิดความเสียหายต่อกิจการโทรคมนาคมของประเทศ
ปัจจุบันอุปกรณ์ที่เชื่อมต่อกับโครงข่ายก็มีการพัฒนาและขยายการใช้งานอย่างรวดเร็วมากขึ้น ยอดขายเครื่องคอมพิวเตอร์แบบ Notebook มีมากกว่าเครื่องคอมพิวเตอร์ PC กล้องถ่ายรูปดิจิทัล โทรศัพท์เคลื่อนที่และสื่อบันทึกข้อมูลมีขนาดเล็กลงเรื่อยๆ แต่ความจุเพิ่มมากขึ้นเป็น 2 เท่าทุก 2 ปี ทุกคนสามารถเข้าถึงอินเทอร์เน็ตได้ แต่ส่วนใหญ่ป้องกันระบบข้อมูลเพียงใช้รหัสผ่าน (Password) ความยาว 6-8 ตัวอักษร เพียงเท่านั้น
ท่ามกลางการแพร่ขยายอย่างรวดเร็วของบริการโทรคมนาคมและอินเทอร์เน็ต ปัญหาเกี่ยวกับความมั่นคงปลอดภัยของโครงข่าย ได้กลายเป็นปัญหาสำคัญของประเทศต่างๆ ทั่วโลก โดยเฉพาะบนโครงข่ายอินเทอร์เน็ตซึ่งมีลักษณะเป็นโครงข่ายเปิดที่เข้าถึงได้ง่าย
ในช่วงหลายปีที่ผ่านมานับแต่มีการนำเทคโนโลยีสารสนเทศเข้ามาใช้และให้บริการในภาคส่วนต่างๆ ก็มีเหตุการณ์ละเมิดความมั่นคงปลอดภัย (Security Incident) ของโครงข่ายอินเทอร์เน็ต สร้างความเสียหายต่อบุคคล องค์กร ทั้งในระดับประเทศและต่างประเทศเป็นจำนวนมาก ซึ่งเหตุการณ์ดังกล่าวได้ส่งผลกระทบทั้งในด้านเศรษฐกิจและสังคม รวมทั้งกระทบต่อความเชื่อมั่นในการใช้งานของผู้ใช้ทั่วไป
ในประเทศไทย เหตุการณ์ด้านความมั่นคงปลอดภัย (Security Incidents) ที่มีการแจ้งอย่างเป็นทางการมากที่สุด คือ การปลอมแปลงอีเมล์ / สร้างเว็บไซต์ปลอม (Phishing) เพื่อหลอกให้เหยื่อเปิดเผยข้อมูลที่สำคัญ และการแพร่กระจายโปรแกรมแปลกปลอม (Malware) เข้าสู่ระบบ
การศึกษาพบว่าภัยคุกคามด้านความมั่นคงปลอดภัยเป็นสิ่งที่มีการเปลี่ยนแปลง ไม่คงที่ มีลักษณะ Dynamic และเกี่ยวข้องกับหลายฝ่าย การป้องกันแก้ไขต้องอาศัยการประสานความร่วมมือระหว่างหน่วยงานรัฐและเอกชนบนหลักการ Public Private Partnership (PPP)
ปัญหาด้านความมั่นคงปลอดภัย
ในช่วงหลายปีที่ผ่านมานับแต่มีการนำเทคโนโลยีสารสนเทศเข้ามาใช้และให้บริการในภาคส่วนต่างๆ ก็มีเหตุการณ์ละเมิดความมั่นคงปลอดภัย (Security Incident) ของโครงข่ายอินเทอร์เน็ต สร้างความเสียหายต่อบุคคล องค์กร ทั้งในระดับประเทศและต่างประเทศเป็นจำนวนมาก ซึ่งเหตุการณ์ดังกล่าวได้ส่งผลกระทบทั้งในด้านเศรษฐกิจและสังคม รวมทั้งกระทบต่อความเชื่อมั่นในการใช้งานของผู้ใช้ทั่วไป
จากประสบการณ์ของศูนย์ประสานงานความปลอดภัยคอมพิวเตอร์ประเทศไทย (ThaiCERT) พบว่าปัญหา ภัยคุกคามด้านความมั่นคงปลอดภัยในประเทศไทย เกิดจากสาเหตุหลายประการ โดยทั่วไป ได้แก่
ปัญหาที่เกี่ยวข้องกับกระบวนการบริหารจัดการความมั่นคงปลอดภัย
- การขาดมาตรฐานหรือวิธีการที่เป็นรูปธรรมสำหรับการบริการจัดการโครงข่ายเพื่อให้บริการอย่างมีคุณภาพและต่อเนื่องสูงสุด ซึ่งอาจส่งผลกระทบต่อผู้ใช้บริการที่จำเป็นต้องใช้ระบบโครงข่ายของผู้ให้บริการนั้น
- ระบบโครงข่ายถูกเข้าถึงโดยไม่ได้รับอนุญาต
- ระบบโครงข่ายไม่ได้รับดูแลบำรุงรักษา แก้ไขช่องโหว่อย่างเพียงพอ
- การขาดคณะทำงานภายในองค์กรด้านความมั่นคงปลอดภัยโดยตรง
- การขาดนโยบายด้านความมั่นคงปลอดภัยที่ครอบคลุมและเพียงพอต่อการใช้งาน
- การขาดการตรวจสอบภายในด้านความมั่นคงปลอดภัย (Internal audit)
- การขาดหน่วยงานภายในองค์กรที่สามารถประสานงานและรับมือกับเหตุการณ์ด้านความมั่นคงปลอดภัยที่เกิดขึ้น (Computer Security Incident Response Team - CSIRT)
- การขาดการวางแผนด้านความมั่นคงปลอดภัยโดยตรง ถึงแม้มีการวางแผนแม่บทเทคโนโลยีสารสนเทศไว้แล้ว
- การขาดการทบทวนด้านความมั่นคงปลอดภัยโดยผู้บริหารอย่างสม่ำเสมอ
- การขาดการตรวจสอบด้านความมั่นคงปลอดภัยโดยผู้ตรวจสอบอิสระภายนอก (External audit)
- การขาดการวางแผนเพื่อสร้างความต่อเนื่องทางธุรกิจในกรณีที่เกิดภัยพิบัติรุนแรง
ปัญหาที่เกี่ยวข้องเทคโนโลยีความมั่นคงปลอดภัย
- ระบบโครงข่ายถูกบุกรุก
- ระบบโครงข่ายถูกสแกนเพื่อตรวจสอบหาช่องโหว่และใช้เป็นช่องทางในการบุกรุก
- การแพร่กระจายของไวรัสในระบบโครงข่าย
- ระบบโครงข่ายไม่สามารถให้บริการ ซึ่งเกิดขึ้นจากสาเหตุที่หลากหลาย
ปัญหาที่เกี่ยวข้องบุคลากรด้านความมั่นคงปลอดภัยและผู้ใช้งาน
- การขาดบุคลากรที่มีความรู้ความสามารถด้านความมั่นคงปลอดภัย
- ผู้ใช้งานขาดความตระหนักด้านความมั่นคงปลอดภัย
ความจำเป็นที่ต้องมีการกำหนดมาตรฐาน
โดยหลักการทั่วไป วัตถุประสงค์ของการกำหนดมาตรฐานนั้น มีดังนี้ คือ
1. เพื่อคุ้มครองผู้บริโภค
2. เพื่อส่งเสริมให้อุตสาหกรรมให้สามารถแข่งขันได้
3. เพื่อรักษาสิ่งแวดล้อมและทรัพยากรธรรมชาติ ประหยัดพลังงาน
สำหรับการกำหนดมาตรฐานในกิจการโทรคมนาคมนั้น ตั้งอยู่บนหลักการทั่วไปของการกำหนดมาตรฐานเพื่อการคุ้มครองผู้บริโภค โดยมีวัตถุประสงค์ในการดำเนินการที่เฉพาะมากขึ้น คือ
1. เพื่อให้แน่ใจว่าเครื่องโทรคมนาคมและอุปกรณ์สามารถใช้งานร่วมกันกับระบบหรือโครงข่ายโทรคมนาคมได้
2. เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นกับระบบหรือโครงข่ายโทรคมนาคม หรือสิ่งอำนวยความสะดวกด้านโทรคมนาคม
3. เพื่อป้องกันสุขภาพและความปลอดภัยของผู้เกี่ยวข้อง
4. เพื่อป้องกันไม่ให้เกิดการรบกวนด้านคลื่นแม่เหล็กไฟฟ้าในระดับรุนแรง ต่อการใช้เครื่องโทรคมนาคมและอุปกรณ์
มาตรฐานสากลด้านความมั่นคงปลอดภัยของโครงข่ายโทรคมนาคม
ด้วยความสำคัญของมาตรฐานด้านความมั่นคงปลอดภัยของโครงข่ายโทรคมนาคม สหภาพโทรคมนาคมระหว่างประเทศ (ITU : International Telecommunications Union ) และ องค์การระหว่างประเทศว่าด้วยมาตรฐาน/ คณะกรรมาธิการระหว่างประเทศว่าด้วยมาตรฐาน สาขาอิเล็กทรอนิกส์ (ISO/IEC : International Organization for Standardization/International Electromechanical Commission) ซึ่งเป็นองค์กรระหว่างประเทศที่กำหนดมาตรฐานสากล ได้กำหนดมาตรฐานด้านความมั่นคงปลอดภัยของโครงข่ายโทรคมนาคม และของระบบสารสนเทศไว้หลายฉบับ
โดยที่มาตรฐานสากลของ ITU ซึ่งเรียกว่า Recommendation นั้น มีกลุ่ม Recommendation ด้าน ความมั่นคงปลอดภัยของโครงข่ายโทรคมนาคม 12 กลุ่ม ประกอบด้วยมาตรฐานต่างๆ ดังนี้
1.กลุ่ม Security Architecture and Frameworks
X.800 – Security architecture
X.802 – Lower layer security model
X.803 – Upper layer security model
X.810 – Security Frameworks for open system: Overview
X.811 – Security Frameworks for open system: Authentication framework
X.812 – Security Frameworks for open system: Access control framework
X.813 – Security Frameworks for open system: Non-repudiation framework
X.814 – Security Frameworks for open system: Confidentiality framework
X.815 – Security Frameworks for open system: Integrity framework
X.816 – Security Frameworks for open system: Security audit and alarm framework
2.กลุ่ม Telecommunications Security
E.408 – Telecommunication network security requirements
E.409 – Incident organization and security incident handling: Guidelines for telecommunication organizations
X.805 – Security architecture for systems providing end-to-end communications
X.1051 – Information security management system – Requirements for telecommunications (ISMS-T)
X.1081 – A framework for the specification of security and safety aspects of telebiometrics
X.1121 – Framework of security technologies for mobile end-to-end data communications
X.1122 – Guideline for implementing secure mobile systems based on PKI
3.กลุ่ม Protocols
X.273 – Network layer security protocol
X.274 – Transport layer security protocol
4.กลุ่ม Security in Frame Relay
X.272 – Data compression and privacy over frame relay networks
5.กลุ่ม Security Techniques
X.841 – Security information objects for access control
X.842 – Guidelines for the use and management of trusted third party services
X.843 – Specification of TTP services to support the application of digital signatures
6.กลุ่ม Directory Services and Authentication
H.350 – Series– Directory services architecture for multimedia conferencing
X.500 – Overview of concepts, models and services
X.501 – Models
X.509 – Public-key and attribute certificate frameworks
X.519 – Protocol specifications
7.กลุ่ม Network Management Security
M.3010 – Principles for a telecommunications management network
M.3016 – TMN security overview
M.3210.1 – TMN management services for IMT-2000 security management
M.3320 – Management requirements framework for the TMN X-Interface
M.3400 – TMN management functions
8.กลุ่ม Systems Management
X.733 – Alarm reporting function
X.735 – Log control function
X.736 – Security alarm reporting function
X.740 – Security audit trail function
X.741 – Objects and attributes for access control
9.กลุ่ม Television and Cable Systems
J.91 – Technical methods for ensuring privacy in long-distance international television transmission
J.93 – Requirements for conditional access in the secondary distribution of digital television on cable television systems
J.170 – IP Cablecom security specification
10.กลุ่ม Multimedia Communications
H.233 – Confidentiality system for audiovisual services
H.234 – Encryption key management and authentication system for audiovisual services
H.235 – Security and encryption for H-series multimedia systems
H.323 Annex J – Packet-based multimedia communications systems - Security for simple endpoint types
H.530 – Symmetric security procedures for H.323 mobility in H.510
T.123 Annex B – Network-specific data protocol stacks for multimedia conferencing : extended transport connections
11.กลุ่ม Facsimile
T.36 – Security capabilities for use with Group 3 facsimile terminals
T.503 – A document application profile for the interchange of Group 4 facsimile documents
T.563 – Terminal characteristics for Group 4 facsimile apparatus
12.กลุ่ม Message Handling System (MHS)
X.400/F.400 – Message handling system and service overview
X.402 – Message Handling Systems (MHS): Overall architecture
X.411 – Message Transfer System: Abstract Service Definition and Procedures
X.413 – Message store - Abstract service definition
X.419 – Protocol specifications
X.420 – Interpersonal Messaging System
X.435 – Electronic data interchange messaging system
X.440 – Voice messaging system
ในมาตรฐานทั้ง 12 กลุ่ม มาตรฐานที่เป็นพื้นฐานคือ กลุ่ม Telecommunications Security ซึ่งที่สำคัญมีจำนวน 4 ฉบับ คือ
E.408 – Telecommunication network security requirements
E.409 – Incident organization and security incident handling: Guidelines for telecommunications
X.805 – Security architecture for systems providing end-to-end communications
X.1051 – Information security management system – Requirements for telecommunications (ISMS-T)
สำหรับมาตรฐานด้านความมั่นคงปลอดภัยของระบบสารสนเทศของ ISO/IEC ซึ่งเป็นมาตรฐานที่ใช้มากในระบบไอทีของหน่วยงานต่างๆ มีมาตรฐานที่สาคัญ คือ
ISO/IEC 27001 Information technology - Security techniques - Information security management systems - Requirements
ISO/IEC 18028-x Information technology - Security techniques - IT network security
ร่าง ISO/IEC 27033-x Information technology - Security techniques - Network security
ISO/IEC 18044 Information technology - Security techniques - Information security incident management
ISO/IEC 20000 Information technology - Service management
นอกจากมาตรฐานของ ISO/IEC แล้ว มาตรฐาน BS 25999 – Business continuity management ของ British Standard Institute (BSI) ของประเทศอังกฤษ ก็มีการใช้อย่างแพร่หลายสำหรับการสร้างความต่อเนื่องทางธุรกิจในกรณีเกิดเหตุการณ์ด้านความมั่นคงปลอดภัย
สำหรับสาระสำคัญของมาตรฐานด้านความมั่นคงปลอดภัยของโครงข่ายโทรคมนาคม กลุ่ม Telecommunications Security ทั้ง 4 ฉบับ มีรายละเอียดโดยสังเขป ดังนี้
1.มาตรฐาน ITU-T E.408 : Telecommunication network security requirements
มาตรฐาน ITU-T E.408 เป็นภาพรวมข้อกำหนดด้านความมั่นคงปลอดภัยของโครงข่ายโทรคมนาคม กรอบการวิเคราะห์เพื่อระบุภัยคุกคาม และแนวทางกำหนดมาตรการรับมือเพื่อลดความเสี่ยงจากภัยคุกคาม เพื่อให้การรักษาความมั่นคงปลอดภัยมีประสิทธิภาพระบบโทรคมนาคมควรมี Layer ต่างๆ ที่เกี่ยวกับความมั่นคงปลอดภัย โดยยิ่งมีจำนวน Security Layer มาก ก็ยิ่งทำให้มีประสิทธิภาพในความมั่นคงปลอดภัยมากขึ้นตามไปด้วย Layer ต่างๆ แสดงในรูปที่ 1
ปัจจุบันกิจการโทรคมนาคมได้เข้ามามีบทบาทสำคัญต่อการพัฒนาเศรษฐกิจและสังคมของประเทศ โครงข่ายโทรคมนาคมและอินเทอร์เน็ตได้กลายเป็นโครงสร้างพื้นฐานที่สำคัญของประเทศต่างๆ ทั่วโลก โครงข่ายต่างๆ กำลังพัฒนาไปสู่โครงข่าย Next Generation Network (NGN) ซึ่งนำไปสู่ยุคของการหลอมรวมมากขึ้น ท่ามกลางการเปิดเสรีโทรคมนาคมและการพัฒนาเทคโนโลยี ในระยะเวลาหลายปีที่ผ่านมา ได้มีเหตุการณ์ซึ่งเป็นภัยคุกคามต่อโครงข่ายที่มีผลต่อการให้บริการโทรคมนาคมเกิดขึ้น และมีแนวโน้มที่จะขยายวงกว้าง ทวีความรุนแรงเพิ่มมากขึ้น และอาจก่อให้เกิดความเสียหายต่อกิจการโทรคมนาคมของประเทศ
ปัจจุบันอุปกรณ์ที่เชื่อมต่อกับโครงข่ายก็มีการพัฒนาและขยายการใช้งานอย่างรวดเร็วมากขึ้น ยอดขายเครื่องคอมพิวเตอร์แบบ Notebook มีมากกว่าเครื่องคอมพิวเตอร์ PC กล้องถ่ายรูปดิจิทัล โทรศัพท์เคลื่อนที่และสื่อบันทึกข้อมูลมีขนาดเล็กลงเรื่อยๆ แต่ความจุเพิ่มมากขึ้นเป็น 2 เท่าทุก 2 ปี ทุกคนสามารถเข้าถึงอินเทอร์เน็ตได้ แต่ส่วนใหญ่ป้องกันระบบข้อมูลเพียงใช้รหัสผ่าน (Password) ความยาว 6-8 ตัวอักษร เพียงเท่านั้น
ท่ามกลางการแพร่ขยายอย่างรวดเร็วของบริการโทรคมนาคมและอินเทอร์เน็ต ปัญหาเกี่ยวกับความมั่นคงปลอดภัยของโครงข่าย ได้กลายเป็นปัญหาสำคัญของประเทศต่างๆ ทั่วโลก โดยเฉพาะบนโครงข่ายอินเทอร์เน็ตซึ่งมีลักษณะเป็นโครงข่ายเปิดที่เข้าถึงได้ง่าย
ในช่วงหลายปีที่ผ่านมานับแต่มีการนำเทคโนโลยีสารสนเทศเข้ามาใช้และให้บริการในภาคส่วนต่างๆ ก็มีเหตุการณ์ละเมิดความมั่นคงปลอดภัย (Security Incident) ของโครงข่ายอินเทอร์เน็ต สร้างความเสียหายต่อบุคคล องค์กร ทั้งในระดับประเทศและต่างประเทศเป็นจำนวนมาก ซึ่งเหตุการณ์ดังกล่าวได้ส่งผลกระทบทั้งในด้านเศรษฐกิจและสังคม รวมทั้งกระทบต่อความเชื่อมั่นในการใช้งานของผู้ใช้ทั่วไป
ในประเทศไทย เหตุการณ์ด้านความมั่นคงปลอดภัย (Security Incidents) ที่มีการแจ้งอย่างเป็นทางการมากที่สุด คือ การปลอมแปลงอีเมล์ / สร้างเว็บไซต์ปลอม (Phishing) เพื่อหลอกให้เหยื่อเปิดเผยข้อมูลที่สำคัญ และการแพร่กระจายโปรแกรมแปลกปลอม (Malware) เข้าสู่ระบบ
การศึกษาพบว่าภัยคุกคามด้านความมั่นคงปลอดภัยเป็นสิ่งที่มีการเปลี่ยนแปลง ไม่คงที่ มีลักษณะ Dynamic และเกี่ยวข้องกับหลายฝ่าย การป้องกันแก้ไขต้องอาศัยการประสานความร่วมมือระหว่างหน่วยงานรัฐและเอกชนบนหลักการ Public Private Partnership (PPP)
ปัญหาด้านความมั่นคงปลอดภัย
ในช่วงหลายปีที่ผ่านมานับแต่มีการนำเทคโนโลยีสารสนเทศเข้ามาใช้และให้บริการในภาคส่วนต่างๆ ก็มีเหตุการณ์ละเมิดความมั่นคงปลอดภัย (Security Incident) ของโครงข่ายอินเทอร์เน็ต สร้างความเสียหายต่อบุคคล องค์กร ทั้งในระดับประเทศและต่างประเทศเป็นจำนวนมาก ซึ่งเหตุการณ์ดังกล่าวได้ส่งผลกระทบทั้งในด้านเศรษฐกิจและสังคม รวมทั้งกระทบต่อความเชื่อมั่นในการใช้งานของผู้ใช้ทั่วไป
จากประสบการณ์ของศูนย์ประสานงานความปลอดภัยคอมพิวเตอร์ประเทศไทย (ThaiCERT) พบว่าปัญหา ภัยคุกคามด้านความมั่นคงปลอดภัยในประเทศไทย เกิดจากสาเหตุหลายประการ โดยทั่วไป ได้แก่
ปัญหาที่เกี่ยวข้องกับกระบวนการบริหารจัดการความมั่นคงปลอดภัย
- การขาดมาตรฐานหรือวิธีการที่เป็นรูปธรรมสำหรับการบริการจัดการโครงข่ายเพื่อให้บริการอย่างมีคุณภาพและต่อเนื่องสูงสุด ซึ่งอาจส่งผลกระทบต่อผู้ใช้บริการที่จำเป็นต้องใช้ระบบโครงข่ายของผู้ให้บริการนั้น
- ระบบโครงข่ายถูกเข้าถึงโดยไม่ได้รับอนุญาต
- ระบบโครงข่ายไม่ได้รับดูแลบำรุงรักษา แก้ไขช่องโหว่อย่างเพียงพอ
- การขาดคณะทำงานภายในองค์กรด้านความมั่นคงปลอดภัยโดยตรง
- การขาดนโยบายด้านความมั่นคงปลอดภัยที่ครอบคลุมและเพียงพอต่อการใช้งาน
- การขาดการตรวจสอบภายในด้านความมั่นคงปลอดภัย (Internal audit)
- การขาดหน่วยงานภายในองค์กรที่สามารถประสานงานและรับมือกับเหตุการณ์ด้านความมั่นคงปลอดภัยที่เกิดขึ้น (Computer Security Incident Response Team - CSIRT)
- การขาดการวางแผนด้านความมั่นคงปลอดภัยโดยตรง ถึงแม้มีการวางแผนแม่บทเทคโนโลยีสารสนเทศไว้แล้ว
- การขาดการทบทวนด้านความมั่นคงปลอดภัยโดยผู้บริหารอย่างสม่ำเสมอ
- การขาดการตรวจสอบด้านความมั่นคงปลอดภัยโดยผู้ตรวจสอบอิสระภายนอก (External audit)
- การขาดการวางแผนเพื่อสร้างความต่อเนื่องทางธุรกิจในกรณีที่เกิดภัยพิบัติรุนแรง
ปัญหาที่เกี่ยวข้องเทคโนโลยีความมั่นคงปลอดภัย
- ระบบโครงข่ายถูกบุกรุก
- ระบบโครงข่ายถูกสแกนเพื่อตรวจสอบหาช่องโหว่และใช้เป็นช่องทางในการบุกรุก
- การแพร่กระจายของไวรัสในระบบโครงข่าย
- ระบบโครงข่ายไม่สามารถให้บริการ ซึ่งเกิดขึ้นจากสาเหตุที่หลากหลาย
ปัญหาที่เกี่ยวข้องบุคลากรด้านความมั่นคงปลอดภัยและผู้ใช้งาน
- การขาดบุคลากรที่มีความรู้ความสามารถด้านความมั่นคงปลอดภัย
- ผู้ใช้งานขาดความตระหนักด้านความมั่นคงปลอดภัย
ความจำเป็นที่ต้องมีการกำหนดมาตรฐาน
โดยหลักการทั่วไป วัตถุประสงค์ของการกำหนดมาตรฐานนั้น มีดังนี้ คือ
1. เพื่อคุ้มครองผู้บริโภค
2. เพื่อส่งเสริมให้อุตสาหกรรมให้สามารถแข่งขันได้
3. เพื่อรักษาสิ่งแวดล้อมและทรัพยากรธรรมชาติ ประหยัดพลังงาน
สำหรับการกำหนดมาตรฐานในกิจการโทรคมนาคมนั้น ตั้งอยู่บนหลักการทั่วไปของการกำหนดมาตรฐานเพื่อการคุ้มครองผู้บริโภค โดยมีวัตถุประสงค์ในการดำเนินการที่เฉพาะมากขึ้น คือ
1. เพื่อให้แน่ใจว่าเครื่องโทรคมนาคมและอุปกรณ์สามารถใช้งานร่วมกันกับระบบหรือโครงข่ายโทรคมนาคมได้
2. เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นกับระบบหรือโครงข่ายโทรคมนาคม หรือสิ่งอำนวยความสะดวกด้านโทรคมนาคม
3. เพื่อป้องกันสุขภาพและความปลอดภัยของผู้เกี่ยวข้อง
4. เพื่อป้องกันไม่ให้เกิดการรบกวนด้านคลื่นแม่เหล็กไฟฟ้าในระดับรุนแรง ต่อการใช้เครื่องโทรคมนาคมและอุปกรณ์
มาตรฐานสากลด้านความมั่นคงปลอดภัยของโครงข่ายโทรคมนาคม
ด้วยความสำคัญของมาตรฐานด้านความมั่นคงปลอดภัยของโครงข่ายโทรคมนาคม สหภาพโทรคมนาคมระหว่างประเทศ (ITU : International Telecommunications Union ) และ องค์การระหว่างประเทศว่าด้วยมาตรฐาน/ คณะกรรมาธิการระหว่างประเทศว่าด้วยมาตรฐาน สาขาอิเล็กทรอนิกส์ (ISO/IEC : International Organization for Standardization/International Electromechanical Commission) ซึ่งเป็นองค์กรระหว่างประเทศที่กำหนดมาตรฐานสากล ได้กำหนดมาตรฐานด้านความมั่นคงปลอดภัยของโครงข่ายโทรคมนาคม และของระบบสารสนเทศไว้หลายฉบับ
โดยที่มาตรฐานสากลของ ITU ซึ่งเรียกว่า Recommendation นั้น มีกลุ่ม Recommendation ด้าน ความมั่นคงปลอดภัยของโครงข่ายโทรคมนาคม 12 กลุ่ม ประกอบด้วยมาตรฐานต่างๆ ดังนี้
1.กลุ่ม Security Architecture and Frameworks
X.800 – Security architecture
X.802 – Lower layer security model
X.803 – Upper layer security model
X.810 – Security Frameworks for open system: Overview
X.811 – Security Frameworks for open system: Authentication framework
X.812 – Security Frameworks for open system: Access control framework
X.813 – Security Frameworks for open system: Non-repudiation framework
X.814 – Security Frameworks for open system: Confidentiality framework
X.815 – Security Frameworks for open system: Integrity framework
X.816 – Security Frameworks for open system: Security audit and alarm framework
2.กลุ่ม Telecommunications Security
E.408 – Telecommunication network security requirements
E.409 – Incident organization and security incident handling: Guidelines for telecommunication organizations
X.805 – Security architecture for systems providing end-to-end communications
X.1051 – Information security management system – Requirements for telecommunications (ISMS-T)
X.1081 – A framework for the specification of security and safety aspects of telebiometrics
X.1121 – Framework of security technologies for mobile end-to-end data communications
X.1122 – Guideline for implementing secure mobile systems based on PKI
3.กลุ่ม Protocols
X.273 – Network layer security protocol
X.274 – Transport layer security protocol
4.กลุ่ม Security in Frame Relay
X.272 – Data compression and privacy over frame relay networks
5.กลุ่ม Security Techniques
X.841 – Security information objects for access control
X.842 – Guidelines for the use and management of trusted third party services
X.843 – Specification of TTP services to support the application of digital signatures
6.กลุ่ม Directory Services and Authentication
H.350 – Series– Directory services architecture for multimedia conferencing
X.500 – Overview of concepts, models and services
X.501 – Models
X.509 – Public-key and attribute certificate frameworks
X.519 – Protocol specifications
7.กลุ่ม Network Management Security
M.3010 – Principles for a telecommunications management network
M.3016 – TMN security overview
M.3210.1 – TMN management services for IMT-2000 security management
M.3320 – Management requirements framework for the TMN X-Interface
M.3400 – TMN management functions
8.กลุ่ม Systems Management
X.733 – Alarm reporting function
X.735 – Log control function
X.736 – Security alarm reporting function
X.740 – Security audit trail function
X.741 – Objects and attributes for access control
9.กลุ่ม Television and Cable Systems
J.91 – Technical methods for ensuring privacy in long-distance international television transmission
J.93 – Requirements for conditional access in the secondary distribution of digital television on cable television systems
J.170 – IP Cablecom security specification
10.กลุ่ม Multimedia Communications
H.233 – Confidentiality system for audiovisual services
H.234 – Encryption key management and authentication system for audiovisual services
H.235 – Security and encryption for H-series multimedia systems
H.323 Annex J – Packet-based multimedia communications systems - Security for simple endpoint types
H.530 – Symmetric security procedures for H.323 mobility in H.510
T.123 Annex B – Network-specific data protocol stacks for multimedia conferencing : extended transport connections
11.กลุ่ม Facsimile
T.36 – Security capabilities for use with Group 3 facsimile terminals
T.503 – A document application profile for the interchange of Group 4 facsimile documents
T.563 – Terminal characteristics for Group 4 facsimile apparatus
12.กลุ่ม Message Handling System (MHS)
X.400/F.400 – Message handling system and service overview
X.402 – Message Handling Systems (MHS): Overall architecture
X.411 – Message Transfer System: Abstract Service Definition and Procedures
X.413 – Message store - Abstract service definition
X.419 – Protocol specifications
X.420 – Interpersonal Messaging System
X.435 – Electronic data interchange messaging system
X.440 – Voice messaging system
ในมาตรฐานทั้ง 12 กลุ่ม มาตรฐานที่เป็นพื้นฐานคือ กลุ่ม Telecommunications Security ซึ่งที่สำคัญมีจำนวน 4 ฉบับ คือ
E.408 – Telecommunication network security requirements
E.409 – Incident organization and security incident handling: Guidelines for telecommunications
X.805 – Security architecture for systems providing end-to-end communications
X.1051 – Information security management system – Requirements for telecommunications (ISMS-T)
สำหรับมาตรฐานด้านความมั่นคงปลอดภัยของระบบสารสนเทศของ ISO/IEC ซึ่งเป็นมาตรฐานที่ใช้มากในระบบไอทีของหน่วยงานต่างๆ มีมาตรฐานที่สาคัญ คือ
ISO/IEC 27001 Information technology - Security techniques - Information security management systems - Requirements
ISO/IEC 18028-x Information technology - Security techniques - IT network security
ร่าง ISO/IEC 27033-x Information technology - Security techniques - Network security
ISO/IEC 18044 Information technology - Security techniques - Information security incident management
ISO/IEC 20000 Information technology - Service management
นอกจากมาตรฐานของ ISO/IEC แล้ว มาตรฐาน BS 25999 – Business continuity management ของ British Standard Institute (BSI) ของประเทศอังกฤษ ก็มีการใช้อย่างแพร่หลายสำหรับการสร้างความต่อเนื่องทางธุรกิจในกรณีเกิดเหตุการณ์ด้านความมั่นคงปลอดภัย
สำหรับสาระสำคัญของมาตรฐานด้านความมั่นคงปลอดภัยของโครงข่ายโทรคมนาคม กลุ่ม Telecommunications Security ทั้ง 4 ฉบับ มีรายละเอียดโดยสังเขป ดังนี้
1.มาตรฐาน ITU-T E.408 : Telecommunication network security requirements
มาตรฐาน ITU-T E.408 เป็นภาพรวมข้อกำหนดด้านความมั่นคงปลอดภัยของโครงข่ายโทรคมนาคม กรอบการวิเคราะห์เพื่อระบุภัยคุกคาม และแนวทางกำหนดมาตรการรับมือเพื่อลดความเสี่ยงจากภัยคุกคาม เพื่อให้การรักษาความมั่นคงปลอดภัยมีประสิทธิภาพระบบโทรคมนาคมควรมี Layer ต่างๆ ที่เกี่ยวกับความมั่นคงปลอดภัย โดยยิ่งมีจำนวน Security Layer มาก ก็ยิ่งทำให้มีประสิทธิภาพในความมั่นคงปลอดภัยมากขึ้นตามไปด้วย Layer ต่างๆ แสดงในรูปที่ 1
รูปที่ 1 Security Layer บนโครงข่ายโทรคมนาคม
ภัยคุกคาม (Threats)
ภัยคุกคามคือ การละเมิดทำลายความมั่นคงปลอดภัยที่อาจเกิดขึ้นได้ ซึ่งมุ่งก่อความเสียหายใน 4 ด้าน คือ
- Confidentiality – ความลับของข้อมูลที่เก็บไว้หรือข้อมูลที่โอนย้าย
- Data integrity – การป้องกันข้อมูลที่เก็บไว้หรือข้อมูลที่รับส่ง
- System integrity – การป้องกันระบบปฏิบัติการ
- Accountability – ผู้กระทำควรต้องรับผิดชอบต่อการกระทำที่ตนกระทำ
- Availability - ผู้ใช้ควรสามารถเข้าใช้งานโครงข่ายโทรคมนาคมที่ทำงานได้อย่างถูกต้อง
ทั้งนี้ในการวิเคราะห์ภัยคุกคามควรพิจารณาเรื่องต่างๆ ดังต่อไปนี้
- Masquerade และการปลอมแปลง address (spoofing) เป็นการปลอมตัวเพื่อให้เข้าใจผิด
- Eavesdropping เป็นการหาช่องโหว่ของการรักษาความลับโดยการเฝ้าฟังการสื่อสารในโครงข่าย
- Unauthorized access ความพยายามที่จะเข้าถึงข้อมูลโดยการฝ่าฝืนนโยบายด้านความมั่นคงปลอดภัย - Loss or corruption of information ความถูกต้องข้อมูลที่รับส่งจะถูกทำลายได้โดยการลบ การเพิ่ม การแก้ไข การสั่งใหม่ หรือทำใหม่ หรือทำให้การส่งข้อมูลช้าลง
- Repudiation เป็นการที่ผู้กระทำปฏิเสธความรับผิดชอบในการกระทำใดๆ ในโครงข่าย
- Forgery entity ทำการปลอมแปลงข้อมูล และอ้างว่าเป็นข้อมูลที่ได้รับจากแหล่งอื่นหรือ ส่งไปยังแหล่งอื่น
- Denial of service เหตุการณ์ที่ระบบโครงข่ายถูกโจมตีจนกระทั่งไม่สามารถให้บริการได้ตามปกติ
การจัดทำข้อกำหนดด้านความมั่นคงปลอดภัย (Security Requirements)
กระบวนการจัดทำข้อกำหนดด้านความมั่นคงปลอดภัย (Security Requirements) ตามรูปที่ 2 เริ่มจากการวิเคราะห์ภัยคุกคาม (Threat) กำหนด วัตถุประสงค์ด้านความมั่นคงปลอดภัย (Security Objectives) เพื่อพัฒนาไปสู่ข้อกำหนดด้านความมั่นคงปลอดภัยฯ จากนั้นจะพิจารณา Security Services เพื่อตอบโต้ภัยคุกคาม ซึ่งจะประกอบด้วย Security Mechanism ต่างๆ และสุดท้ายนำไปสู่ Security Algorithm ต่างๆ
รูปที่ 2 การจัดทำข้อกำหนดด้านความมั่นคงปลอดภัยของโครงข่ายโทรคมนาคม
สาระสำคัญในมาตรฐาน ITU-T E.408 กำหนดว่าระบบโครงข่ายโทรคมนาคมควรมีคุณสมบัติลักษณะอันพึงประสงค์ในด้านความมั่นคงปลอดภัย (Security Requirement) ดังนี้
- Verification of identities - ควรมีระบบที่สามารถกำหนดและตรวจสอบตัวตนของ Actor ในโครงข่ายได้
- Controlled access and authorization - ควรมีระบบที่สามารถป้องกัน Actor มิให้เข้าถึงสารสนเทศ หรือทรัพยากรในโครงข่ายเกินสิทธิที่ได้รับ
- Protection of confidentiality - ควรสามารถรักษาความลับของข้อมูลที่เก็บไว้และข้อมูลที่อยู่ระหว่างการรับส่ง
- Protection of system and data integrity - ควรสามารถประกันความถูกต้องของระบบ ข้อมูลที่เก็บ และข้อมูลที่อยู่ระหว่างการรับส่ง
- Accountability - ควรมีระบบระบุความรับผิดชอบในการกระทำ และผลของการกระทำใดๆ โดยไม่สามารถปฏิเสธได้ เช่น โครงข่ายควรมีวิธีการในการพิสูจน์ว่าผู้ใดได้กระทำสิ่งใดในระบบ
- Activity logging - ควรมีระบบจัดเก็บสารสนเทศเกี่ยวกับกิจกรรมต่างๆ ในระบบพร้อมทั้งมีความเป็นไปได้ในการตรวจย้อนกลับถึงตัวผู้ที่เกี่ยวข้องกับกิจกรรม
- Security alarm report - ควรสามารถแจ้งเตือนภัยเหตุการณ์ต่างๆ ตามที่กำหนดไว้ โดยผู้ใช้ควรสามารถกำหนดเกณฑ์ระบุลักษณะของเหตุการณ์ที่ต้องมีการแจ้งเตือนได้
- Security audit - ควรสามารถวิเคราะห์ข้อมูลเหตุการณ์ด้านความมั่นคงปลอดภัย เพื่อตรวจสอบการฝ่าฝืนนโยบายด้านความมั่นคงปลอดภัย
- System integrity - ซอฟแวร์และฮาร์ดแวร์ที่ใช้ประกอบเป็นระบบการรักษาความมั่นคงปลอดภัยของโครงข่าย จะต้องมีระดับความมั่นคงปลอดภัยตามที่กำหนดไว้
2. มาตรฐาน ITU-T E.409 : Incident organization and security incident handling: Guidelines for telecommunication organizations
การบริหารจัดการด้านความมั่นคงปลอดภัย ประกอบด้วยกระบวนการหลายกระบวนการ มาตรฐาน ITU-T E.409 กำหนดแนวปฏิบัติกว้างๆ ของขั้นตอนการจัดการเหตุการณ์ด้านความมั่นคง ปลอดภัย โดยกำหนดเหตุการณ์ไว้ 3 ระดับ ดังแสดงในรูปที่ 3
รูปที่ 3 ปิระมิดแสดงระดับของเหตุการณ์
เหตุการณ์ทั่วไป (Incident) เช่น เหตุการณ์ต่างๆ ที่ Help Desk ได้รับแจ้งจากผู้ใช้งาน และให้ความช่วยเหลือในการแก้ไขและมักเป็นเหตุการณ์ที่ไม่รุนแรง
เหตุการณ์ด้านความมั่นคงปลอดภัย (Security Incident) เช่น เหตุการณ์ที่ทำให้
- เกิดการหยุดชะงักต่อกระบวนการทางธุรกิจสาคัญ (เช่น เนื่องจากระบบงานหรือ โครงข่ายซึ่งสนับสนุน กระบวนการทางธุรกิจนั้นเกิดการหยุดชะงัก เป็นต้น)
- ละเมิดต่อกฎหมาย ระเบียบ ข้อบังคับ หรือข้อกำหนดต่างๆ ที่องค์กรต้องปฏิบัติตาม
- เกิดภาพลักษณ์ที่ไม่ดีต่อองค์กร หรือทำให้องค์กรสูญเสียชื่อเสียง เป็นต้น
เหตุการณ์ในลักษณะดังกล่าว เป็นเหตุการณ์ที่มีระดับความรุนแรงสูงกว่าเหตุการณ์ทั่วไป โดยทั่วไปองค์กรควรจะมีการกำหนดทีมบริหารจัดการเหตุการณ์ด้านความมั่นคง ปลอดภัยขึ้นมา (Security Incident Response Team) เพื่อรับมือและบริหารจัดการกับเหตุการณ์ที่เกิดขึ้น
เหตุการณ์ภัยพิบัติ (Crisis) เช่น เหตุการณ์ไฟไหม้ แผ่นดินไหว น้ำท่วม ซึ่งเหตุการณ์ เหล่านี้เป็นเหตุการณ์ที่มีระดับความรุนแรงสูงสุด โดยทั่วไปองค์กรควรจะกำหนดทีม บริหารจัดการเหตุการณ์ภัยพิบัติขึ้น (Crisis or Catastrophe Team) เพื่อรับมือกับเหตุการณ์ที่เกิดขึ้น เหตุการณ์เหล่านี้อาจทำให้เกิดความเสียหายรุนแรง ต่อชีวิตของพนักงานและผู้ที่เกี่ยวข้อง รวมทั้งทรัพย์สินขององค์กร
มาตรฐาน ITU-T E.409 นำเสนอโครงสร้างสำหรับการจัดการกับเหตุการณ์ด้านความมั่นคงปลอดภัย (Security Incident) ดังแสดงในรูปที่ 4
รูปที่ 4 โครงสร้างสำหรับการจัดการกับเหตุการณ์ด้านความมั่นคงปลอดภัย
โครงสร้างในข้างต้นประกอบด้วยขั้นตอน ดังนี้
1. การเตรียมการก่อนเกิดเหตุการณ์ (Preparation) คือการเตรียมการป้องกันในสภาวะปกติต่างๆ ไว้ก่อนล่วงหน้าก่อนที่จะมีเหตุการณ์เกิดขึ้น เช่น การสร้างความตระหนักและการให้ความรู้แก่ผู้ที่เกี่ยวข้องเกี่ยวกับการจัดการเหตุการณ์ด้านความมั่นคงปลอดภัย
2. การระบุเหตุการณ์ (Identification) คือการระบุว่าเหตุการณ์ด้านความมั่นคงปลอดภัยเกิดขึ้นแล้วหรือไม่ บันทึกข้อมูลเหตุการณ์ที่เกิดขึ้นนั้น ประสานงานแจ้งให้ผู้ที่เกี่ยวข้องได้รับทราบ รวมทั้งระดมบุคลากรที่เกี่ยวข้องเพื่อเริ่มปฏิบัติการรับมือกับเหตุการณ์นั้น
3. การจัดการกับเหตุการณ์ที่เกิดขึ้น (Security Incident Handling) ซึ่งประกอบด้วย
- การจำกัดการขยายตัวหรือการกระจายของเหตุการณ์ในวงที่กว้างขึ้น (Containment) คือความพยายามในการป้องกันการขยายตัวหรือการกระจายของเหตุการณ์ที่เกิดขึ้นนั้น เพื่อมิให้ลุกลามไปในวงกว้าง เช่น การป้องกันไม่ให้ไวรัสเกิดการแพร่กระจายไปในระบบโครงข่ายส่วนอื่นๆ ขององค์กร
- การกำจัดสาเหตุของเหตุการณ์ที่เกิดขึ้น (Eradication) คือการกำจัดหรือลดปัจจัยต่างๆ ที่ทำให้เกิดเหตุการณ์นั้น
4. การกู้ระบบกลับคืน (Recovery) คือการนำระบบโครงข่ายกลับคืนมาให้บริการภายหลังจากที่ตรวจสอบและแก้ไขปัญหาแล้ว เช่น การติดตั้งระบบกลับคืนโดยใช้ข้อมูลที่ได้สำรองเก็บไว้
5. การดำเนินการหลังเหตุการณ์สิ้นสุดลง (Follow-up) คือการทบทวน ทั้งการเตรียมการก่อนการเกิดเหตุการณ์ด้านความมั่นคงปลอดภัย และการจัดการกับเหตุการณ์ฯ ที่เกิดขึ้นแล้วนั้น ว่าจำเป็นต้องปรับปรุงแก้ไขอย่างไร เพื่อให้การรับมือในอนาคตเป็นไปอย่างมีประสิทธิภาพมากขึ้น
3. มาตรฐาน ITU-T X.805 : Security architecture for systems providing end-to-end communications
มาตรฐาน ITU-T X.805 กำหนดองค์ประกอบด้านความมั่นคงปลอดภัยโดยทั่วไป เพื่อประยุกต์ใช้ให้เกิดความมั่นคงปลอดภัยของโครงข่ายจากต้นทางถึงปลายทาง (End-to-End Network Security) สถาปัตยกรรมที่มาตรฐาน ITU-T X.805 เสนอสามารถประยุกต์ใช้กับโครงข่ายใดๆ ที่มีความต้องการโดยไม่ขึ้นอยูกับเทคโนโลยีที่ใช้ในการสื่อสาร มาตรฐานนี้แบ่งองค์ประกอบสถาปัตยกรรมด้านความมั่นคงปลอดภัยออกเป็น 3 ส่วนหลัก ได้แก่ Security Dimensions, Security Layers และ Security Planes โดยพยายามตอบ 3 คำถามที่สำคัญเกี่ยวกับ End-to-End Security คือ
1. โครงข่ายต้องการการป้องกันในลักษณะใด เพื่อป้องกันภัยคุกคามชนิดใด (Security Dimensions)
2. อุปกรณ์โครงข่ายชนิดใดและสถานที่ใดต้องการการป้องกัน (Security Layers)
3. กิจกรรมบนโครงข่ายชนิดใดที่ต้องการการป้องกัน (Security Planes)
Security Dimensions
Security Dimension คือการกำหนดตัววัดด้านความมั่นคงปลอดภัย มาตรฐานฉบับนี้กำหนดตัววัดด้านความมั่นคงปลอดภัยไว้ 8 ตัว ได้แก่
1. Access control การควบคุมการเข้าถึง – เป็นการป้องกันการใช้งานทรัพยากรโครงข่ายโดยไม่ได้รับอนุญาต การควบคุมการเข้าถึงจะทำให้มั่นใจได้ว่า เฉพาะบุคลากรหรืออุปกรณ์ที่ได้รับอนุญาตเท่านั้นจึงจะเข้าใช้งานอุปกรณ์โครงข่าย ข้อมูล บริการ หรือแอปพลิเคชั่นได้
2. Authentication การพิสูจน์ตัวตน – ช่วยยืนยันเอกลักษณ์ของคู่สนทนา (คู่สนทนาในที่นี้อาจหมายถึงบุคคล อุปกรณ์ บริการ หรือแอปพลิเคชั่น) และให้ความมั่นใจว่าคู่สนทนาไม่ได้ถูกปลอมแปลง
3. Non-repudiation การที่สามารถตรวจสอบได้ – ช่วยป้องการไม่ให้บุคคลหรือหน่วยงานปฏิเสธความรับผิดชอบจากการกระทำการใดๆ บนข้อมูล โดยจัดทำหลักฐานของการกระทำต่างๆ ที่เกี่ยวข้องกับระบบโครงข่าย (เช่น หลักฐานที่แสดงเจตนา หลักฐานที่มาของข้อมูล หลักฐานความเป็นเจ้าของ หลักฐานการใช้ทรัพยากรต่างๆ เป็นต้น)
4. Data confidentiality ความลับของข้อมูล – ช่วยป้องการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต ช่วยให้ความมั่นใจว่าเนื้อหาของข้อมูลจะไม่ถูกอ่านโดยผู้ที่ไม่ได้รับอนุญาต การเข้ารหัส การใช้ระบบควบคุมการเข้าถึงและ File permission เป็นวิธีการที่มักถูกนำมาใช้ในการรักษาความลับข้อมูล
5. Communication security ความปลอดภัยของการสื่อสาร – ช่วยให้ความมั่นใจว่าข้อมูลจะถูกส่งระหว่างคู่สนทนาที่ได้รับอนุญาตเท่านั้น และข้อมูลจะต้องไม่ถูกดักฟังในระหว่างการสื่อสาร
6. Data integrity ความถูกต้องของข้อมูล – ช่วยให้ความมั่นใจว่าข้อมูลจะมีความถูกต้องสมบูรณ์ ข้อมูลจะถูกป้องกันจากการแก้ไข ลบ สร้างใหม่ หรือทำซ้ำ ที่ไม่ได้รับอนุญาต
7. Availability ความพร้อมใช้งาน – ช่วยให้ความมั่นใจว่าผู้ที่มีสิทธิใช้โครงข่ายจะต้องไม่ถูกปฏิเสธการใช้งาน มาตรการจัดการกับภัยพิบัติเป็นส่วนหนึ่งของการจัดการเพื่อเพิ่มความพร้อมใช้งาน
8. Privacy ความเป็นส่วนตัว – ช่วยป้องกันข้อมูลที่อาจถูกอนุมานได้จากการสังเกตพฤติกรรมการใช้โครงข่าย เช่นข้อมูลเกี่ยวกับเว็บไซต์ที่เข้าชม ตำแหน่งที่อยู่ IP address และ DNS ของอุปกรณ์ในโครงข่าย
Security Layers
Security Layer คือการกำหนดลำดับชั้นของอุปกรณ์โครงข่ายและ Facility ที่ต้องป้องกัน
1. Infrastructure Security Layer ประกอบด้วยอุปกรณ์สื่อสารและอุปกรณ์โครงข่ายอื่นๆ ที่จะต้องถูกปกป้องด้วย Security Dimension ทั้งแปดด้านข้างต้น Infrastructure Layer เป็นชั้นพื้นฐานที่สุดของโครงข่าย ตัวอย่างอุปกรณ์ในชั้นนี้ได้แก่ Router, Switch, Server และลิงค์ที่เชื่อมต่อระหว่างอุปกรณ์ต่างๆ
2. Service Security Layer เน้นการป้องกันบริการต่างๆ บริการในที่นี้อาจหมายถึงบริการด้านการเชื่อมต่อสื่อสารขั้นพื้นฐาน ไปจนถึงบริการที่จำเป็นต่อการให้บริการอินเทอร์เน็ต (เช่น AAA, DHCP, DNS) หรือบริการเสริมต่างๆ เช่น QoS, VPN, Instant Messaging เพราะบริการเหล่านี้ล้วนเป็นเป้าหมายของการจู่โจมจากภายนอก
3. Application Security Layer เน้นการป้องกันแอปพลิเคชั่นด้านโครงข่ายที่ลูกค้าใช้ ตัวอย่างของแอปพลิเคชั่นในที่นี้ได้แก่ การแลกเปลี่ยนไฟล์ข้อมูล (FTP), การท่องเว็บ อีเมล, Directory Assistance, Voice Messaging การให้บริการแอปพลิเคชั่น อาจทำโดย Application Service Provider (ASP) หรือผู้ให้บริการอินเทอร์เน็ตโดยตรง ที่ Application Layer นี้มีจุดที่อาจเป็นเป้าหมายของการจู่โจมอยู่สี่จุด คือ ผู้ใช้แอปพลิเคชั่น ผู้ให้บริการแอปพลิเคชั่น Middleware ที่ให้บริการโดยผู้ให้บริการภายนอก และผู้ให้บริการอินเทอร์เน็ต
Security Planes
Security Planes เป็นวิธีการระบุลักษณะของกิจกรรมต่างๆ บนโครงข่ายที่ถูกป้องกันด้วย Security Dimension ทั้งแปดชนิด ข้อเสนอแนะฉบับนี้กำหนดรูปแบบของกิจกรรม 3 ชนิดที่ต้องการการป้องกัน ได้แก่ Management Plane, Control Plane และ End-User Plane โดยในหลักการแล้ว กิจกรรมในแต่ละ Plane ไม่ควรส่งผลกระทบต่อกิจกรรมใน Plane อื่นๆ
1.Management Plane เกี่ยวข้องกับกิจกรรมประเภท OAM&P (Operation, Administration, Maintenance and Provisioning) หรือการดูแลบริหารจัดการอุปกรณ์โครงข่าย อุปกรณ์สื่อสาร ระบบให้บริการลูกค้า และศูนย์ข้อมูล ข้อมูลที่เกี่ยวข้องกับการบริหารจัดการอาจถูกส่งไปบนโครงข่ายเดียวกับข้อมูลของลูกค้าหรือคนละโครงข่ายก็ได้
2.Control Plane เกี่ยวข้องกับกิจกรรมที่ช่วยเพิ่มประสิทธิภาพให้กับการส่งข้อมูล การให้บริการและแอปพลิเคชั่นในโครงข่าย เช่นการหาเส้นทางการส่งข้อมูลที่ดีที่สุด ข้อมูลลักษณะนี้เรียกว่า Control หรือ Signaling Information ซึ่งอาจถูกส่งไปบนโครงข่ายเดียวกับข้อมูลของลูกค้าหรือคนละโครงข่ายก็ได้ เช่นถ้าเป็น IP network จะใช้โครงข่ายเดียวกัน แต่ถ้าเป็น PSTN network จะใช้คนละโครงข่าย
3.End-User Plane เกี่ยวข้องกับกิจกรรมการใช้งานโครงข่ายโดยตรงของลูกค้า หรือ End-User ลูกค้าอาจใช้โครงข่ายเพียงเพื่อสื่อสารข้อมูลระหว่างกัน หรืออาจใช้โครงข่ายสำหรับบริการเสริม หรืออาจใช้เพื่อเข้าถึงแอปพลิเคชั่นด้านโครงข่าย
Security Threats
สถาปัตยกรรมความมั่นคงปลอดภัยที่กล่าวมาข้างต้น ถูกกำหนดขึ้นเพื่อป้องกันภัยคุกคามทั้งที่เกิดจากการกระทำโดยมีเจตนาและไม่มีเจตนา รูปแบบของภัยคุกคามต่อโครงข่ายมี 5 ประเภทดังนี้
- การทำลายข้อมูล และ/หรือ ทรัพยากรอื่น (Destruction of information or other resources)
- การเปลี่ยนแปลงข้อมูลหรือทำให้ข้อมูลเสียหาย (Corruption or modification of information)
- การขโมย ลบทิ้ง หรือทำให้ข้อมูลและ/หรือทรัพยากรอื่นสูญหาย (Theft, removal or loss of information and other resources)
- การเปิดเผยข้อมูล (Disclosure of information)
- การทำให้บริการขัดข้อง (Interruption of services)
4.มาตรฐาน ITU-T X.1051 : Information security management system – Requirements for telecommunications (ISMS-T)
มาตรฐาน ITU-T X.1051 เป็นมาตรฐานสำหรับการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัย (Information Security Management System - ISMS) เช่นเดียวกับมาตราฐาน ISO/IEC 27001 แต่มาตรฐานนี้ได้ศึกษาและปรับข้อมูลจากมาตรฐานเวอร์ชั่นเก่าของ ISO/IEC 27001 กล่าวคือ ปรับจากมาตรฐาน BS 7799-2 เพื่อให้เหมาะสมกับองค์กรที่ให้บริการหรือทำธุรกิจเกี่ยวกับโทรคมนาคม
โครงสร้างสำหรับการบริหารจัดการ Plan-Do-Check-Act ของมาตรฐานนี้ใช้โครงสร้าง เดียวกับ ISO/IEC 27001 รวมทั้งข้อมูลในส่วนของ การวางแผน (Plan), การลงมือปฏิบัติ (Do), การตรวจสอบและทบทวนผล (Check) และการบำรุงรักษาหรือปรับปรุงคุณภาพของระบบบริหารจัดการความมั่นคงปลอดภัย (Act)โดยพื้นฐานจะมีลักษณะเช่นเดียวกับของมาตรฐาน ISO/IEC 27001 ตามในรูปที่ 5
รูปที่ 5 Plan-Do-Check-Act Model ในระบบบริหารจัดการความมั่นคงปลอดภัย ITU-T X.1051
มาตรฐาน ITU-T X.1051 นี้อ้างอิงถึงวิธีปฏิบัติต่างๆ จากมาตรฐาน ISO/IEC 17799 เวอร์ชั่น ปี 2000 ในขณะที่มาตรฐาน ISO/IEC 27001 เวอร์ชั่นปี 2005 อ้างอิงจากมาตรฐาน ISO/IEC 17799 เวอร์ชั่นปี 2005 ซึ่งเป็นเวอร์ชั่นที่ปรับปรุงเพิ่มเติมจากเวอร์ ISO/IEC 17799 เวอร์ชั่นปี 2000
อย่างไรก็ตามมาตรฐาน ITU-T X.1051 ใช้เฉพาะมาตรการบางส่วนจำนวน 45 ข้อ (จากทั้งหมด 133 ข้อของ ISO/IEC 27001) โดยใช้เพียง 7 หัวข้อใหญ่ (จากทั้งหมด 11 หัวข้อใหญ่) และนำมาอธิบายเป็นวิธีปฏิบัติในมุมมองขององค์กรที่ให้บริการหรือทำธุรกิจเกี่ยวกับโทรคมนาคม หัวข้อใหญ่ 7 หัวข้อของมาตรฐาน ITU-T X.1051 ประกอบด้วย
1.การกำหนดโครงสร้างทางด้านความมั่นคงปลอดภัยสำหรับองค์กร (Organization of information security) ซึ่งส่วนหนึ่งที่สำคัญ คือการกำหนดคณะทำงานด้านความมั่นคงปลอดภัย และหน้าที่ความรับผิดชอบที่สำคัญๆ ของคณะทำงานนี้ ซึ่งรวมถึงการทบทวนด้านความมั่นคงปลอดภัยอย่างสม่ำเสมอ และการจัดทำแผนด้านความมั่นคงปลอดภัยขององค์กร
2.การบริหารจัดการทรัพย์สินขององค์กร (Asset management) ซึ่งหลักๆ กำหนดให้มีการบริหารจัดการบัญชีทรัพย์สินสารสนเทศขององค์กร บัญชีนี้จะใช้สำหรับการบริหารความเสี่ยง และกำหนดแผนการลดความเสี่ยงสำหรับทรัพย์สินเหล่านั้น
3.ความมั่นคงปลอดภัยที่เกี่ยวข้องกับบุคลากร (Human resources security) ซึ่งหลักๆ กำหนดให้มีการพัฒนาบุคลากรขององค์กรให้มีความตระหนัก ความรู้ และความสามารถด้านความมั่นคงปลอดภัย
4.การสร้างความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม (Physical and environmental security) ซึ่งหลักๆ กำหนดให้มีการป้องกันภัยคุกคามต่างๆ ทางกายภาพและสิ่งแวดล้อมต่อทรัพย์สินขององค์กร
5.การบริหารจัดการด้านการสื่อสารและการดำเนินงานของโครงข่ายสารสนเทศขององค์กร (Communications and operations management) ซึ่งหลักๆ กำหนดให้มีการบริหารจัดการด้านการสื่อสารและการปฏิบัติงานด้านสารสนเทศต่างๆ ภายในองค์กร ซึ่งรวมถึงการป้องกันไวรัส ความมั่นคงปลอดภัยสำหรับโครงข่าย และการเฝ้าระวังด้านความมั่นคงปลอดภัย
6.การควบคุมการเข้าถึง (Access control) ซึ่งหลักๆ กำหนดให้มีการจัดทำนโยบายควบคุมการเข้าถึง การบริหารจัดการการเข้าถึงระบบโครงข่ายของผู้ใช้งาน การควบคุมการเข้าถึงระบบโครงข่าย และการบริหารจัดการการเข้าถึงระบบโครงข่ายจากระยะไกล
7.การจัดหา การพัฒนา และการบำรุงรักษาระบบสารสนเทศ (Information systems acquisition, development and maintenance) ซึ่งหลักๆ กำหนดให้มีการพัฒนาระบบงานอย่างมั่นคงปลอดภัย กำหนดให้มีการใช้มาตรการการเข้ารหัสข้อมูลตามความจำเป็น ควบคุมการติดตั้งระบบงานภายหลังจากที่พัฒนาแล้วเสร็จ ควบคุมการพัฒนาระบบงานโดยผู้ให้บริการภายนอก และบริหารจัดการช่องโหว่ของระบบงาน
การดำเนินการด้านความมั่นคงปลอดภัยของโครงข่ายโทรคมนาคม ในประเทศไทย
คณะกรรมการกิจการโทรคมนาคมแห่งชาติ (กทช.) ซึ่งเป็นองค์กรกำกับดูแลการประกอบกิจการโทรคมนาคม ได้ตระหนักถึงความสำคัญของโครงข่ายและระบบโทรคมนาคมซึ่งเป็นโครงสร้างพื้นฐานที่สำคัญของประเทศ และเหตุภัยคุกคามต่อโครงข่ายและระบบโทรคมนาคมที่เกิดขึ้นจากพัฒนาการทางเทคโนโลยี การกระทำของบุคคล และภัยธรรมชาติ ได้มีการแต่งตั้งคณะอนุกรรมการเฉพาะกิจจัดทำมาตรฐานทางเทคนิคด้านความมั่นคงปลอดภัยของโครงข่ายและระบบโทรคมนาคม โดยคณะกรรมการฯ ได้ยกร่าง หลักเกณฑ์เกี่ยวกับมาตรฐานทางเทคนิคด้านความมั่นคงปลอดภัยของโครงข่ายและระบบโทรคมนาคม (กทช. มท. 6301-2553) ซึ่งอยู่ระหว่างขั้นตอนการรับฟังความคิดเห็นสาธารณะ เพื่อรับฟังประเด็นต่างๆ เช่น เนื้อหา ขอบเขตและการนำไปใช้ แนวทางการกำกับดูแล ข้อเสนอแนะอื่นๆ โดยที่มาตรฐานทางเทคนิคด้านความมั่นคงปลอดภัยฉบับนี้ ได้อ้างอิงเนื้อหาจากมาตรฐาน ITU-T Recommendation X.1051 ซึ่งประกอบด้วยมาตรการทางเทคนิคในการรักษาความมั่นคงปลอดภัย และแนวทางในการปฏิบัติตามและบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศสำหรับองค์กรที่ให้บริการโทรคมนาคม (ซึ่งในมาตรฐานนี้ เรียกว่า “องค์กรโทรคมนาคม”)
มาตรฐาน ITU-T Recommendation X.1051 เป็นมาตรฐานที่กำหนดแนวทางปฏิบัติในการบริหารจัดการความมั่นคงปลอดภัยในองค์กรโทรคมนาคม ที่ใช้มาตรฐาน ISO/IEC 27002 (การบริหารจัดการความมั่นคงปลอดภัย) เป็นมาตรฐานอ้างอิงพื้นฐาน และได้เพิ่มเติมองค์ประกอบสำคัญ 3 ส่วนดังนี้
1)ความลับ (Confidentiality) ข้อมูลที่เกี่ยวข้องกับองค์กรโทรคมนาคมควรได้รับการป้องกันจากการถูกเปิดเผยโดยไม่ได้รับอนุญาต ซึ่งรวมถึงการไม่เปิดเผยข้อมูลการสื่อสาร เช่น เนื้อหาแหล่งต้นทางของข้อมูล ปลายทางที่จะส่งข้อมูลไป วันเวลาที่เกิดขึ้น เป็นต้น องค์กรโทรคมนาคมจะต้องให้ความสำคัญอย่างยิ่งยวดต่อการไม่ละเมิดเปิดเผยข้อมูลการสื่อสารซึ่งอยู่ในขอบเขตการให้บริการของตนเอง บุคลากรที่เกี่ยวข้องกับองค์กรโทรคมนาคมควรจะต้องเก็บรักษาความลับ
ของข้อมูลที่เกี่ยวข้องกับผู้อื่นซึ่งตนเองอาจล่วงรู้จากการปฏิบัติหน้าที่ของตนเอง
2)ความถูกต้องสมบูรณ์ (Integrity) การติดตั้งและใช้งานอุปกรณ์โทรคมนาคมควรมีการควบคุมโดยคำนึงถึงแหล่งที่มา ความถูกต้อง และความสมบูรณ์ของข้อมูลที่มีการส่งมาให้โดยตรง ส่งมาให้อีกต่อหนึ่ง หรือได้รับข้อมูลนั้นโดยวิธีการต่างๆ เช่น โดยผ่านทางสายสัญญาณสื่อสาร สัญญาณวิทยุ หรืออื่นๆ
3)ความพร้อมใช้ (Availability) เฉพาะผู้ที่ได้รับอนุญาตแล้วเท่านั้นจึงจะสามารถเข้าถึงข้อมูลอุปกรณ์ และสื่อกลางการสื่อสารสำหรับให้บริการโทรคมนาคม สื่อกลางการสื่อสารดังกล่าวอาจเป็นสายสัญญาณสื่อสาร สัญญาณวิทยุ หรือวิธีการสื่อสารอื่นๆ นอกจากนั้นแล้วความพร้อมใช้ยังหมายถึงว่าองค์กรโทรคมนาคมควรให้ความสำคัญกับการให้บริการการสื่อสารขององค์กรที่เนื้อหาของการสื่อสารมีความสำคัญสูงสำหรับกรณีที่มีเหตุฉุกเฉินเกิดขึ้น รวมทั้งต้องสอดคล้องกับกฎหมาย ระเบียบ หรือข้อบังคับที่ได้กำหนดไว้และองค์กรต้องปฏิบัติตาม
ความต้องการในการสร้างความมั่นคงปลอดภัยสำหรับองค์กรโทรคมนาคม
ความต้องการในการสร้างความมั่นคงปลอดภัยให้กับองค์กรโทรคมนาคมที่จะต้องมีการนำมาตรการและแนวทางปฏิบัติต่างๆ ในมาตรฐานฉบับนี้มาสนับสนุนการบริหารจัดการความมั่นคงปลอดภัยภายในองค์กรของตนเองมีสาเหตุสำคัญมาจาก
- ลูกค้าหรือผู้ใช้บริการหรือผู้ที่สมัครใช้บริการต้องการความมั่นใจในการใช้เครือข่ายและบริการต่างๆ ที่องค์กรโทรคมนาคมเป็นผู้ให้บริการ ซึ่งรวมถึงสภาพความพร้อมใช้ของบริการเหล่านั้นเมื่อมีเหตุภัยพิบัติเกิดขึ้น
- หน่วยงานผู้มีอำนาจ (เช่น หน่วยงานของรัฐ) ต้องการความมั่นคงปลอดภัยที่สูงขึ้น จึงมีการออกคำสั่ง กฎหมาย ระเบียบ หรือข้อบังคับเพื่อให้หน่วยงานที่เกี่ยวข้องซึ่งรวมถึงองค์กรโทรคมนาคมต้องปฏิบัติตาม ทั้งนี้เพื่อให้หน่วยงานดังกล่าวระมัดระวังเรื่องสภาพความพร้อมใช้ของบริการที่ให้แก่ลูกค้าหรือผู้ใช้บริการ มีการแข่งขันกันอย่างยุติธรรม และป้องกันหรือรักษาความเป็นส่วนตัวของลูกค้าหรือผู้ใช้บริการ
- ผู้ประกอบการด้านเครือข่ายและผู้ให้บริการเครือข่ายต้องการความมั่นคงปลอดภัยที่สูงขึ้น เพื่อปกป้องการดำเนินการและผลประโยชน์ทางธุรกิจขององค์กรเอง และเพื่อให้สอดคล้องกับข้อตกลงหรือพันธะในการให้บริการต่อทั้งลูกค้าและประชาชน
- องค์กรโทรคมนาคมมีการเชื่อมโยงอุปกรณ์ให้บริการโทรคมนาคมเข้าหากัน เช่น เร้าเตอร์ สวิทซ์DNS และอื่นๆ ดังนั้นเหตุการณ์ด้านความมั่นคงปลอดภัยที่เกิดขึ้นกับองค์กรโทรคมนาคมหนึ่ง เช่น เกิดกับอุปกรณ์โทรคมนาคมหนึ่ง จึงสามารถแพร่กระจายข้ามไปสู่อีกองค์กรหนึ่งได้อย่างรวดเร็ว จึงมีความจำเป็นที่จะต้องมีมาตรการป้องกันร่วมกันที่เหมาะสม
- จุดอ่อนในโพรโตคอลเครือข่ายและสถาปัตยกรรมการเชื่อมโยงทางเครือข่ายอาจนำไปสู่การบุกรุกระบบ นอกจากนั้นการรวมเครือข่ายที่ให้บริการเสียง (Voice Network) และเครือข่ายให้บริการข้อมูล (Data Network) เข้าด้วยกันเป็นเครือข่ายแบบใหม่ที่เรียกกันว่าเครือข่าย NGN(Next Generation Networking) หรือเรียกอีกอย่างหนึ่งว่าเครือข่าย Voice Data Convergence(กล่าวคือเสียงและข้อมูลสามารถทำงานร่วมกันได้บนเครือข่ายที่เป็นหนึ่งเดียว) ส่งผลให้จำเป็นต้องมีการพัฒนาโพรโตคอลการสื่อสารเพื่อให้เครือข่ายทั้งสองสามารถสื่อสารซึ่งกันและกันได้ โพรโตคอลที่พัฒนาขึ้นมานั้นอาจมีจุดอ่อนซึ่งอาจส่งผลต่อความมั่นคงปลอดภัยบนเครือข่ายได้ (การรวมเครือข่ายทั้งสองประเภทเข้าด้วยกันมีจุดประสงค์เพื่อประโยชน์ในด้านต่างๆ เช่น ง่ายต่อการดูแลบำรุงรักษา ลดค่าใช้จ่าย รองรับกับการพัฒนาบริการใหม่ๆ ที่จะเกิดขึ้นได้ในอนาคต รองรับต่อความต้องการของลูกค้าและความต้องการการใช้งานในอนาคตโดยเฉพาะอย่างยิ่งการเพิ่มขึ้นของข้อมูลแบบมัลติมีเดียบนอินเทอร์เน็ต)
- สำหรับเหตุการณ์ด้านความมั่นคงปลอดภัยที่เกิดขึ้นกับเครือข่ายขององค์กรโทรคมนาคมและส่งผลให้เครือข่ายไม่สามารถให้บริการได้ (เช่น การโจมตีทางเครือข่าย) เหตุการณ์เหล่านี้อาจส่งผลกระทบด้านค่าใช้จ่าย เช่น สูญเสียรายรับขององค์กร ต้องเสียค่าใช้จ่ายในการกู้คืน และผลกระทบด้านความสัมพันธ์กับลูกค้า การโจมตีทางเครือข่ายต่อหน่วยงานที่เป็นโครงสร้างพื้นฐานด้านโทรคมนาคมของประเทศ ซึ่งรวมถึงหน่วยงาน Critical infrastructure ของประเทศถือเป็นประเด็นด้านความมั่นคงปลอดภัยในระดับชาติที่จำเป็นต้องมีการพิจารณาดำเนินการป้องกัน
- เครือข่ายและระบบขององค์กรโทรคมนาคมมีโอกาสถูกบุกรุกมากขึ้น แรงจูงใจหนึ่งที่สำคัญของการบุกรุกคือการแอบขโมยใช้บริการและแรงจูงใจทางการเงิน เช่น การแอบใช้บริการเครือข่ายโดยผ่านทางฟังก์ชันของอุปกรณ์เครือข่ายที่ใช้สำหรับการวิเคราะห์การทำงานของเครือข่าย การเปลี่ยนแปลงข้อมูลทางบัญชี การเปลี่ยนแปลงฐานข้อมูลสำหรับให้บริการ การดักแอบฟังในสายสัญญาณ เป็นต้น
- ประเด็นด้านความมั่นคงปลอดภัยภายในองค์กรเอง เช่น การเปลี่ยนแปลงต่อฐานข้อมูลและค่าคอนฟิกกูเรชันสำหรับการบริหารจัดการเครือข่ายโดยบุคลากรที่ไม่ได้รับอนุญาต ไม่ว่าจะเกิดขึ้นโดยอุบัติเหตุหรือโดยเจตนาก็ตาม อาจส่งผลต่อความมั่นคงปลอดภัยของเครือข่ายขององค์กรได้
เป้าหมายของกลุ่มผู้ใช้งานมาตรฐาน
มาตรฐานฉบับนี้จะเป็นประโยชน์กับหน่วยงานหรือองค์กรที่รับผิดชอบด้านความมั่นคงปลอดภัย บริษัท ที่ให้บริการหรือทำผลิตภัณฑ์ด้านความมั่นคงปลอดภัย ผู้ตรวจสอบ และผู้ให้บริการข้อมูลโดยผ่านทางระบบงานที่ให้บริการหรือผู้ที่เกี่ยวข้องดังนี้
- องค์กรโทรคมนาคมที่ต้องการสร้างข้อได้เปรียบด้านการแข่งขัน
- องค์กรโทรคมนาคมที่ต้องการสร้างความมั่นใจให้แก่ลูกค้า หน่วยงานที่ทำหน้าที่กำกับดูแล เป็นต้น ว่าความต้องการด้านความมั่นคงปลอดภัยจากลูกค้าหรือหน่วยงานดังกล่าวจะได้รับการตอบสนองและปฏิบัติอย่างสอดคล้อง
- ผู้ใช้บริการและผู้ขายผลิตภัณฑ์หรือผู้ให้บริการด้านความมั่นคงปลอดภัยแก่องค์กรโทรคมนาคม
- ผู้ประเมินและตรวจสอบระบบบริหารจัดการความมั่นคงปลอดภัยขององค์กรโทรคมนาคมเพื่อให้สอดคล้องตามมาตรฐาน ISO/IEC 27001 ทั้งที่เป็นบุคลากรภายในและภายนอกองค์กร
- ผู้ที่ให้คำแนะนำหรืออบรมด้านระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับองค์กรโทรคมนาคม ทั้งที่เป็นบุคลากรภายในและภายนอกองค์กร
บทสรุป
ปัจจุบันกิจการโทรคมนาคมได้เข้ามามีบทบาทสำคัญต่อการพัฒนาเศรษฐกิจและสังคมของประเทศ โครงข่ายโทรคมนาคมและอินเทอร์เน็ตได้กลายเป็นโครงสร้างพื้นฐานที่สำคัญของประเทศต่างๆ ทั่วโลก โครงข่ายต่างๆ กำลังพัฒนาไปสู่โครงข่าย NGN ซึ่งนำไปสู่ยุคของการหลอมรวมมากขึ้น ในระยะเวลาหลายปีที่ผ่านมาท่ามกลางการเปิดเสรีโทรคมนาคมและการพัฒนาเทคโนโลยี ได้มีเหตุการณ์ซึ่งเป็นภัยคุกคามต่อโครงข่ายที่มีผลต่อการให้บริการโทรคมนาคมเกิดขึ้น และมีแนวโน้มที่จะขยายวงกว้าง ทวีความรุนแรงเพิ่มมากขึ้น และอาจก่อให้เกิดความเสียหายต่อกิจการโทรคมนาคมของประเทศ ดังนั้นปัญหาความมั่นคงปลอดภัยของโครงข่ายโทรคมนาคมและอินเทอร์เน็ตได้กลายเป็นปัญหาสำคัญที่ต้องได้รับการแก้ไข
ในประเทศไทย เหตุการณ์ด้านความมั่นคงปลอดภัย (Security Incidents) ที่มีการแจ้งอย่างเป็นทางการมากที่สุด คือ การปลอมแปลงอีเมล์ / สร้างเว็บไซต์ปลอม (Phishing) เพื่อหลอกให้เหยื่อเปิดเผยข้อมูลที่สาคัญ และการแพร่กระจายโปรแกรมแปลกปลอม (Malware) เข้าสู่ระบบ
การบริหารจัดการความมั่นคงปลอดภัยขององค์กรโทรคมนาคมมีความจำเป็นต้องดำเนินการทั้งในส่วนของการสื่อสารโดยผ่านทางเครือข่ายที่ใช้สายสัญญาณตามปกติ เครือข่ายไร้สาย หรือเครือข่ายประเภทบรอดแบนด์ การบริหารจัดการนี้หากไม่มีการดำเนินการอย่างเหมาะสมแล้ว อาจส่งผลให้ความเสี่ยงด้านโทรคมนาคมสูงขึ้น
ความมั่นคงปลอดภัยของสารสนเทศและโครงข่าย เป็นปัญหาที่ซับซ้อน ภัยคุกคามต่างๆ มีการเปลี่ยนแปลง ไม่คงที่มีลักษณะ Dynamic และเกี่ยวข้องกันหลายฝ่าย มีภัยคุกคามแบบใหม่เกิดขึ้นเสมอจากอาชญากร ดังนั้นการแก้ปัญหาที่มีลักษณะเป็น Dynamic เช่นนี้ จึงไม่สามารถกำหนดวิธีการ หรือใช้มาตรฐานที่ Static ได้ การแก้ปัญหาจะต้องอาศัยความร่วมมือระหว่างภาครัฐ และเอกชน (Public Private Partnership) เนื่องจากในยุคการเปิดเสรีโครงข่ายและระบบสารสนเทศต่างๆ ดำเนินการโดยภาคเอกชนเป็นหลัก มาตรการป้องกันแก้ไขปัญหาความมั่นคงปลอดภัยจะต้องปรับเปลี่ยนตามพัฒนาการของภัยคุกคาม การบริหารจัดการความมั่นคงปลอดภัยจึงต้องร่วมมือกันและพึ่งพาอาศัยกันระหว่างองค์กรเหล่านั้น ซึ่งอาจรวมถึงการบริหารจัดการต่อโครงสร้างพื้นฐานทางเครือข่าย ระบบงานสำหรับให้บริการ และอุปกรณ์ให้บริการต่างๆ โดยไม่ขึ้นอยู่กับขอบเขตในการให้บริการหรือประเภทของบริการที่ให้ องค์กรที่เชื่อมโยงเข้าหากันเหล่านั้นจึงควรกำหนดมาตรการที่เหมาะสมเพื่อรักษาไว้ซึ่งความลับ ความถูกต้องสมบูรณ์ ความพร้อมใช้หรือคุณสมบัติอื่นๆ ด้านความมั่นคงปลอดภัยของโครงข่ายโทรคมนาคม
อ้างอิง
1.http://www.ntc.or.th/uploadfiles/securitystandard_regulation_draft_public.pdf
2.http://www.ntc.or.th/uploadfiles/19022553_issue.doc
3.http://www.itsc.org.sg/pdf/2ndmtg/Contributions.pdf
4.http://www.itu.int/itudoc/gs/promo/tsb/86261.pdf
5.http://www.itu.int/dms_pub/itu-t/opb/hdb/T-HDB-SEC.03-2006-PDF-E.pdf
6.http://www.itu.int/itudoc/gs/promo/tsb/86261.pdf
7.http://www.thaicert.org/event/SecurityStandard/SecurityStandardV1-2547.pdf
8.http://www.thaicert.org/paper/basic/Book_2.5_FullVersion.pdf
9.สำนักงานคณะกรรมการกิจการโทรคมนาคมแห่งชาติ,รายงานการศึกษามาตรฐานทางเทคนิคด้านความมั่นคงปลอดภัยของโครงข่ายโทรคมนาคม คณะอนุกรรมการเฉพาะกิจศึกษามาตรฐานทางเทคนิคด้านความมั่นคงปลอดภัยของโครงข่ายโทรคมนาคม สิงหาคม 2552
ปัจจุบันกิจการโทรคมนาคมได้เข้ามามีบทบาทสำคัญต่อการพัฒนาเศรษฐกิจและสังคมของประเทศ โครงข่ายโทรคมนาคมและอินเทอร์เน็ตได้กลายเป็นโครงสร้างพื้นฐานที่สำคัญของประเทศต่างๆ ทั่วโลก โครงข่ายต่างๆ กำลังพัฒนาไปสู่โครงข่าย NGN ซึ่งนำไปสู่ยุคของการหลอมรวมมากขึ้น ในระยะเวลาหลายปีที่ผ่านมาท่ามกลางการเปิดเสรีโทรคมนาคมและการพัฒนาเทคโนโลยี ได้มีเหตุการณ์ซึ่งเป็นภัยคุกคามต่อโครงข่ายที่มีผลต่อการให้บริการโทรคมนาคมเกิดขึ้น และมีแนวโน้มที่จะขยายวงกว้าง ทวีความรุนแรงเพิ่มมากขึ้น และอาจก่อให้เกิดความเสียหายต่อกิจการโทรคมนาคมของประเทศ ดังนั้นปัญหาความมั่นคงปลอดภัยของโครงข่ายโทรคมนาคมและอินเทอร์เน็ตได้กลายเป็นปัญหาสำคัญที่ต้องได้รับการแก้ไข
ในประเทศไทย เหตุการณ์ด้านความมั่นคงปลอดภัย (Security Incidents) ที่มีการแจ้งอย่างเป็นทางการมากที่สุด คือ การปลอมแปลงอีเมล์ / สร้างเว็บไซต์ปลอม (Phishing) เพื่อหลอกให้เหยื่อเปิดเผยข้อมูลที่สาคัญ และการแพร่กระจายโปรแกรมแปลกปลอม (Malware) เข้าสู่ระบบ
การบริหารจัดการความมั่นคงปลอดภัยขององค์กรโทรคมนาคมมีความจำเป็นต้องดำเนินการทั้งในส่วนของการสื่อสารโดยผ่านทางเครือข่ายที่ใช้สายสัญญาณตามปกติ เครือข่ายไร้สาย หรือเครือข่ายประเภทบรอดแบนด์ การบริหารจัดการนี้หากไม่มีการดำเนินการอย่างเหมาะสมแล้ว อาจส่งผลให้ความเสี่ยงด้านโทรคมนาคมสูงขึ้น
ความมั่นคงปลอดภัยของสารสนเทศและโครงข่าย เป็นปัญหาที่ซับซ้อน ภัยคุกคามต่างๆ มีการเปลี่ยนแปลง ไม่คงที่มีลักษณะ Dynamic และเกี่ยวข้องกันหลายฝ่าย มีภัยคุกคามแบบใหม่เกิดขึ้นเสมอจากอาชญากร ดังนั้นการแก้ปัญหาที่มีลักษณะเป็น Dynamic เช่นนี้ จึงไม่สามารถกำหนดวิธีการ หรือใช้มาตรฐานที่ Static ได้ การแก้ปัญหาจะต้องอาศัยความร่วมมือระหว่างภาครัฐ และเอกชน (Public Private Partnership) เนื่องจากในยุคการเปิดเสรีโครงข่ายและระบบสารสนเทศต่างๆ ดำเนินการโดยภาคเอกชนเป็นหลัก มาตรการป้องกันแก้ไขปัญหาความมั่นคงปลอดภัยจะต้องปรับเปลี่ยนตามพัฒนาการของภัยคุกคาม การบริหารจัดการความมั่นคงปลอดภัยจึงต้องร่วมมือกันและพึ่งพาอาศัยกันระหว่างองค์กรเหล่านั้น ซึ่งอาจรวมถึงการบริหารจัดการต่อโครงสร้างพื้นฐานทางเครือข่าย ระบบงานสำหรับให้บริการ และอุปกรณ์ให้บริการต่างๆ โดยไม่ขึ้นอยู่กับขอบเขตในการให้บริการหรือประเภทของบริการที่ให้ องค์กรที่เชื่อมโยงเข้าหากันเหล่านั้นจึงควรกำหนดมาตรการที่เหมาะสมเพื่อรักษาไว้ซึ่งความลับ ความถูกต้องสมบูรณ์ ความพร้อมใช้หรือคุณสมบัติอื่นๆ ด้านความมั่นคงปลอดภัยของโครงข่ายโทรคมนาคม
อ้างอิง
1.http://www.ntc.or.th/uploadfiles/securitystandard_regulation_draft_public.pdf
2.http://www.ntc.or.th/uploadfiles/19022553_issue.doc
3.http://www.itsc.org.sg/pdf/2ndmtg/Contributions.pdf
4.http://www.itu.int/itudoc/gs/promo/tsb/86261.pdf
5.http://www.itu.int/dms_pub/itu-t/opb/hdb/T-HDB-SEC.03-2006-PDF-E.pdf
6.http://www.itu.int/itudoc/gs/promo/tsb/86261.pdf
7.http://www.thaicert.org/event/SecurityStandard/SecurityStandardV1-2547.pdf
8.http://www.thaicert.org/paper/basic/Book_2.5_FullVersion.pdf
9.สำนักงานคณะกรรมการกิจการโทรคมนาคมแห่งชาติ,รายงานการศึกษามาตรฐานทางเทคนิคด้านความมั่นคงปลอดภัยของโครงข่ายโทรคมนาคม คณะอนุกรรมการเฉพาะกิจศึกษามาตรฐานทางเทคนิคด้านความมั่นคงปลอดภัยของโครงข่ายโทรคมนาคม สิงหาคม 2552
