TAS : Training

Products

TAS Log system Management

จากการประกาศใช้ พรบ ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ 2550 ที่มีผลบังคับใช้แล้ว ตั้งแต่วันที่ 18 กรกฎาคม 2550 ทำให้หลายองค์กรทั้งภาครัฐและภาคเอกชนด้องมีการปรับตัวครั้งใหญ่มาตราสำคัญที่เป็น ประเด็นร้อนวันนี้คือ มาตรา 26 และมาตรา 27 ซึ่ง มาตรา 26 บัญญัติให้ผู้ให้บริการต้องเก็บข้อมูลจราจรคอมพิวเตอร์ไว้ไม่ต่ำกว่า 90 วัน แต่ไม่เกิน 1 ปี ซึ่งรายละเอียดข้อมูลจราจรคอมพิวเตอร์ที่ต้องจัดเก็บจะอยู่ในประกาศรัฐมนตรีว่าการกระทรวงเทคโนโลยีสารสนเทศ และการสื่อสารที่กำลังทยอยออกตามหลังการประกาศใช้งานกฏหมายฉบับนี้ โดยผู้ให้บริการจะมีภาระหน้าที่เก็บข้อมูลจราจรเท่าที่จำเป็น เพื่อให้สามารถรบุตัวผู้ใช้บริการได้ หากผู้ให้บริการผู้ใดไม่ปฏิบัติ ต้องระวางโทษปรับไม่เกิน 5 แสนบาท และในมาตรา 27 บัญญัติไว้ชัดเจนว่าหากผู้ใดไม่ให้ความร่วมมือในการปฏิบัติตาม มาตรา 18 หรือ มาตรา 20 หรือไม่ปฏิบัติตามมาตรา 21 ต้องระวางโทษปรับไม่เกิน 2 แสนบาท และที่สำคัญต้องโทษปรับ รายวันอีก ไม่เกินวันละ 5 พันบาท “จนกว่าจะปฏิบัติให้ถูกต้อง” ระบบโครสร้างพื้นฐานที่องค์กรควรจัดทำเพื่อรองรับ พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ 2550

ระบบโครงสร้างพื้นฐานสารสนเทศ (IT Infrastructure) ที่องค์กรควรจัดทำเพื่อรองรับ พรบ การกระทำความผิดเกี่ยวกับคอมพิวเตอร์นั้นควรมีระบบอย่างน้อย ดังต่อไปนี้

ระบบที่จำเป็นต้องมี (Mandatory)
- ระบบโครงสร้างพื้นฐานสำหรับการพิสูจน์ตัวตน (Identification and Authentication System)
- ระบบโครงสร้างพื้นฐานสำหรับการเก็บข้อมูลระบบที่ส่วนกลาง (Centralized log Management system) หรือ ระบบ SEM (Security Event Management System)
- ระบบโครงสร้างพื้นฐานสำหรับการกำหนดเวลาให้ตรงกับเวลาอ้างอิงสากล (Stratum 0) โดยใช้ NTP (Network Time Protocol)

ระบบที่ช่วยเพิ่มประสิทธิภาพ (Add-on Option)
- ระบบวิเคราะห์ปูมระบบ (Security Information Management System)
- ระบบบริหารจัดการการใช้งานระบบเครือข่าย (Bandwidth Management System)
- ระบบ Proxy Cache
- ระบบ ANTI-MalWare
- ระบบ ANTI-SPAM
- ระบบ Patch Management

หลักเกณ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ ตามประกาศข้อ 5 (1) ข ถึง ค. ทั้งหมด 6 ประเภท ได้แก่
1. การเก็บ Log ที่เกิดจากการเข้าถึงระบบเครือข่าย( Authentication Server)
2. การเก็บ Log ที่เครื่องผู้ให้บริการจดหมายอิเล็กทรอนิกส์ (e-Mail Server)
3. การเก็บ Log จากการโอนแฟ้มข้อมูลบนเครื่องใช้บริการโอนแฟ้มข้มูล (File Sharing Server)
4. การจัดเก็บ Log บนเครื่องผู้ให้บริการเว็บ (Web Server)
5. การจัดเก็บ Log ของระบบ USENET ระบบ USENET หรือ NEWSGROUP ที่ใช้ โปรโตคอล NNTP ในปัจจุบันเราไม่ค่อยได้ใช้จึงไม่มีความจำเป็นต้องจัดเก็บแต่อย่างใด แต่ถ้ามีความจำเป็นต้องให้ก็ต้องจัดวางโครงสร้างพื้นฐานให้รองรับการเก็บ Log ด้วย
6. การจัดเก็บ Log ของระบบ IRC และ IM ในปัจจุบันการใช้งานโปรโตคอล IRC ไม่เป็นที่นิยมแล้วเพราะผู้ใช้งานส่วนใหญ่นิยมใช้บริการ Instant Messaging เช่น MSN, Yahoo Messenger เป็นต้น แต่ในทางตรงกันข้าม ในโลกของแฮกเกอร์ กลับนิยมใช้โปรโตคอล IRC ในการควบคุม BOT ที่แฮกเกอร์ได้ทำการยึดเครื่องคอมพิวเตอร์ของเหยื่อแล้วกลายเป็นปัญหาใหญ่ของ ISP ทั่วโลกในเวลานี้ ดังนั้นการจัดเก็บ Log ของการใช้งาน IRC คงไม่มีมากนัก แต่สามารถดู Log จากระบบ IPS หรือ IDS ได้ แต่สำหรับ IM เราควรเก็บ Log เมื่อผู้ใช้ IM ทำการ “Authen” หรือ “Logon” เข้าสู่ระบบ (จะเข้าเงื่อนไขแบบเดียวกับขอ 1) แต่ควรแยกได้ว่าเป็นการ Authen เพื่อออกไปใช้งาน Internet โดยทั้ว เช่น Web site, Web mail หรือ เป็นการ Aulthen เพื่อออกไปใช้งาน IM เช่น MSN, Yahoo Messaging เป็นต้น

10 ข้อควรปฎิบัติเพื่อความปลอดภัยขององค์กรและเป็นไปตามที่กฎหมายกำหนด

ลำดับที่	รายการที่ควรต้องทำ (Thing to do)	M* or A*	ทำแล้ว (Y)	ยังไม่ทำ (N)	หมายเหตุ
1	ติดตั้ง Proxy Server เพื่อทำการ Authentication ระบุตัวตนผู้ใช้งานระบบเครือข่ายเป็นรยบุคคลกับ RADIUS หรือ LDAP Server	M
2	ติดตั้ง Microsoft Active Directory หรือ LDAP Server อื่น เช่น OpenLDAP, eDirectory เป็นต้น เพื่อเก็บชื่อผู้และรหัสผ่าน	M
3	ติดตั้งระบบ NTP Server เพื่อตั้งค่านาฬิกาของระบบทั้งงค์กรให้ตรงกัน โดยอ้างอิงจาก Stratum 0 และ ปรับแต่งค่าเครื่องแม่ข่าย และอุปกรณ์เครือข่ายให้อ้างอิงเวลากับ NTP Server ดังกล่าว	M
4	ติดตั้งระบบ SEM (Security Event Management) หรือระบบ Centralized Log Management ที่สามารถเก้บ Log ได้ไม่น้อยกว่า 90 วัน	M
5	ติดตั้งระบบ SIM (Security Information Management) เพื่อวิเคราะห์ Log	A
6	ปรับแต่งระบบต่าง ๆเพื่อให้ส่ง Log มายัง Log Server ที่ส่วนกลางได้	M
7	พัฒนานโยบายด้านความปลอดภัยระบบสารสนเทศ (Information Security Policy) และจัดทำ Acceptable Use Policy (AUP) ให้พนักงานทุกคนเช็นรับทราบ	M
8	จัดฝึกอบรมหลักสูตรความรู้ด้านปลอดภัยเบื่องต้น “Security Awareness Training” ให้กับพนักงานทุกระดับ	M
9	จัดเตรียมข้อมูลให้ผู้บริหารระดับสูงได้รับทราบในเครื่องของข้อกฎหมายที่ผู้บริหารควรทราบ	M
10	ประเมินความเสื่ยงระบบสารสนเทศด้วยการกระทำ Gap Analysis, Vulnerability Assessment Penetration Testing	M

หมายเหตุ: M = Mandatory, A= Add-on Option

TAS System Log Management

เป็นระบบสำหรับบริหารและจัดการจัดเก็บรักษาข้อมูล Log โดยการออกแบบให้มีคุณสมบัติตรงตามข้อกำหนดของประกาศกระทรวงเทคโนโลยีสารสนเทศ เรื่องหลักเกษณ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ 2550 ตามพระราชบัญญติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ 2550 โดยเฉพาะ สิ่งที่เราสามารถช่วยท่านเตรียมความพร้อมในการปฏิบัติตาม พรบ.ฯ มีดังนี้

สามารถรวบรวม Log ในรูปแบบรวมศูนย์ Centralized Log หรือ Log Archiving
สามารถรองรับการเก็บข้อมูลเป็นระยเวลาอย่างน้อย 90 วัน และสามารถขยายได้ 1 ปี หรือมากกว่า
สามารถกำหนดตารางเวลา (Log Scheduling) ในการเก็บ Log ล่วงหน้าได้
สามารถแสดงสถานะการรวมรวม Log ในรูปแบบกราฟฟิก และ ทำรายงานได้
มีเครื่องมือช่วยค้นหา Log โดยมี Index ในการค้นหาเหตุการณ์ต่างๆ ตามแหล่งที่มาของ Log (Investigation Tool)
มีเครื่องมือในการดึง Original Log (Retrieval Tool) กรณีทางกฏหมายต้องการตรวจสอบ หรือขอข้อมูล และสามารถ export ออกมาในรูปแบบ excel ที่มีระบบป้องกันโดยระหัสผ่านเพื่อไม่ให้ข้อมูลที่ export ออกมาถูกแก้ไขได้
สามารถรวบรวม Log จาก IT Log ต่างๆ

Operation System : Windows, Linux, AIX, ที่สนับสนุนโปรโตคอล syslog
Directory service: Active Directory, eDirectory (Novell), LDAP
Database : MySQL server
Mail server : POP3, SMTP, Web mail, Postfix
Protocol: HTTP, FTP, POP3, IMAP4, etc
Application : Micosoft IIS, Apache, Microsoft Exchange, SQUID
Security and Network Device : Firewall ทุกชนิดที่สนับสนุนโปรโตคอล Syslog เช่น Fortigate, Microsoft ISA, Endian, Astaro, etc.

สามารถทำงานผ่านเว็บบราวเซอร์ เช่น Internet Brower หรือ Mozilla ได้

TAS Syslog Diagram