พี่ ๆ รับมือกับ พรบ.ICT อย่างไรครับ โดยเฉพาะการเก็บ Log อ่ะ
มา shere ปรปะสบการณ์กันหน่อยครับ
พอดียังไม่ได้ Implement ระบบนี้เลย
Thin client thai Community
By Thin Client Thai.com Team
| Welcome | |
|---|---|
| Welcome to <strong>Thin client thai Community</strong>.
You are currently viewing our boards as a guest, which gives you limited access to view most discussions and access our other features. By joining our free community, you will have access to post topics, communicate privately with other members (PM), respond to polls, upload content, and access many other special features. Registration is fast, simple, and absolutely free, so please, <a href="/profile.php?mode=register">join our community today</a>! |
|
พี่ ๆ รับมือกับ พรบ.ICT อย่างไรครับ โดยเฉพาะการเก็บ Log อ่ะ
Moderators: highthehell, Admin
4 posts • Page 1 of 1
พี่ ๆ รับมือกับ พรบ.ICT อย่างไรครับ โดยเฉพาะการเก็บ Log อ่ะ
by T-Virus on Tue Apr 29, 2008 9:27 am
- T-Virus
- ม.ต้น
- Posts: 18
- Joined: Fri Mar 14, 2008 9:17 am
by highthehell on Tue Apr 29, 2008 9:46 am
โอ้ว ๆ การเก็บ Log เหรอครับผม คุณ T-virus ได้ทำความรู้จักกับ SRAN หรือยังครับ ?
อ่า... ถ้ายังไม่รู้จักเดียวผมจะแนะนำให้รู้จักน่ะครับ เพราะตัว SRAN นี้เองแหละครับ เป้นเครื่องมือที่ใช้เก็บ Log
“SRAN”(อ่านว่า สราญ) เป็นคำย่อมาจาก Security Revolution Analysis Network คือ การปฏิรูปเทคโนโลยีเพื่อใช้สำหรับเฝ้าระวังเหตุการณ์ข้อมูลจราจรบนเครือข่าย คอมพิวเตอร์
ซึ่งเป็นเครื่องมือทางเทคโนโลยี เพื่อใช้ทุ่นแรงสำหรับผู้ดูแลระบบ โดยสำรวจ ตรวจสอบ วิเคราะห์สาเหตุ และประเมินความเสี่ยงระบบเครือข่าย
ให้เกิดความสะดวกสบายสูงสุด พร้อมทั้งเป็นเทคโนโลยีเพื่อใช้สำหรับสร้างศูนย์เตือนภัยทางระบบเครือข่าย ที่เรียกว่า “Security Operation Center” เพื่อให้บริการ
บริหารจัดการความมั่นคงทางข้อมูล MSSP (Management Security Services Provider) ได้อย่างคุ้มค่าการลงทุน
ปรัชญาของ SRAN คือ การสร้างเทคโนโลยีด้านความมั่นคงทางข้อมูล เพื่อไทย สู่ตลาดโลก ประกอบด้วย
- การสร้างระบบป้องกันภัยคุกคามทางข้อมูลสารสนเทศที่เป็นรูปแบบของ ซอฟต์แวร์ หรือ ฮาร์ดแวร์พร้อมใช้งาน ที่สะดวกในการใช้งาน
และลดค่าใช้จ่ายในประเทศด้านการนำเข้าเทคโนโลยี
- การสร้างเทคโนโลยีระบบตรวจจับผู้บุกรุกและวิเคราะห์หาปัญหาเครือข่าย คอมพิวเตอร์ พร้อมเก็บบันทึกเหตุการณ์ที่เกิดขึ้นบนระบบเครือข่ายคอมพิวเตอร์
เพื่อทำการรวบรวมข้อมูลให้กับเจ้าหน้าที่พนักงาน ตำรวจ หรือผู้ดูแลระบบ ได้รู้เท่าทันปัญหาจากภัยคุกคามที่อาจจะเกิดขึ้น
- การเสริมองค์ความรู้ให้กับบุคคลที่สนใจ โดยเฉพาะเยาวชนในชาติไทย ให้ตระหนักถึงการใช้งานข้อมูลสารสนเทศและประยุกต์ Open Source
เพื่อการพัฒนาต่อยอดได้เอง ทั้งนี้ในอดีตที่ผ่านมา ทางทีมงานได้จัดทำในรูปแบบเอกสาร Presentation File, Web Blog บทความตามหนังสือนิตยสาร และงานสัมมนาต่างๆ
โดยที่ SRAN จะอยู่ในรูป Appliance ที่เป็นฮาร์ดแวร์สำเร็จรูป พร้อมการ Hardening ระบบ OS (Operating System) และ ซอฟต์แวร์ พร้อมใช้งานได้ในตัว
แบ่งเป็น 2 ตระกูล ได้แก่
1. Security Gateway หรือระบบ UTM (Unified Threat Management) ภายใต้ชื่อ “SRANwall” เป็นระบบ Firewall สมัยใหม่
ที่รวมความสามารถในการป้องกันไว้ในเครื่องเดียว ทั้งการป้องกันการบุกรุกระบบเครือข่าย ไวรัสคอมพิวเตอร์ ป้องกันอีเมล์ที่ไม่พึ่งประสงค์
กำหนดทางเข้าออกระบบเครือข่าย กำหนดการใช้งานบนระบบเครือข่าย ตัวกลางในการเชื่อมโยงระบบเครือข่ายให้ปลอดภัยยิ่งขึ้น
รวมทั้งระบบสร้างความปลอดภัยในการรีโมตจากเครือข่ายคอมพิวเตอร์ได้อีกด้วย
2. Security Center ในต่างประเทศมักจะเรียกระบบนี้ว่า USM (Unified Security Monitoring) ชื่อสินค้าคือ SRAN Security Center
คุณสมบัติทั่วไปที่มีในระบบ SRAN Security Center ได้แก่ มีความสามารถวิเคราะห์ระบบเครือข่าย (Network Analysis)
ระบบตรวจจับและป้องกันภัยคุกคาม (IDS/IPS), ระบบประเมินความเสี่ยงพร้อมออกรายงาน (VA/VM) รวมอยู่ในตัวเดียว การทำ Log Compliance
ที่ทำการเปรียบเทียบหาความสัมพันธ์ที่เกิดขึ้นจาก Log ระบบเครือข่าย มาบันทึกตามหมวดหมู่ของ ISO 17799 และที่สำคัญคือ เปรียบเทียบตาม พ.ร.บ.
ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ได้อีกด้วย ทำให้ผู้ใช้งาน SRAN Security Center ได้ทราบถึงความเสี่ยงที่อาจเกิดขึ้น ตาม พ.ร.บ.
ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ที่ประกาศใช้ไป ระบบ SRAN Security Center ในแต่ละรุ่นได้ถูกออกแบบเพื่อความสะดวกสบายแก่ผู้ติดตั้งระบบ
เพียงรู้ตำแหน่งการติดตั้งและเสียบสายแลน เปิดเครื่อง ระบบก็พร้อมทำงานได้ โดยไม่ต้องอาศัยผู้เชี่ยวชาญ
เป้นไงครับ พอจะได้ทำความรู้จักกับ SRAN แล้วหรือยัง
อ่า... ถ้ายังไม่รู้จักเดียวผมจะแนะนำให้รู้จักน่ะครับ เพราะตัว SRAN นี้เองแหละครับ เป้นเครื่องมือที่ใช้เก็บ Log
“SRAN”(อ่านว่า สราญ) เป็นคำย่อมาจาก Security Revolution Analysis Network คือ การปฏิรูปเทคโนโลยีเพื่อใช้สำหรับเฝ้าระวังเหตุการณ์ข้อมูลจราจรบนเครือข่าย คอมพิวเตอร์
ซึ่งเป็นเครื่องมือทางเทคโนโลยี เพื่อใช้ทุ่นแรงสำหรับผู้ดูแลระบบ โดยสำรวจ ตรวจสอบ วิเคราะห์สาเหตุ และประเมินความเสี่ยงระบบเครือข่าย
ให้เกิดความสะดวกสบายสูงสุด พร้อมทั้งเป็นเทคโนโลยีเพื่อใช้สำหรับสร้างศูนย์เตือนภัยทางระบบเครือข่าย ที่เรียกว่า “Security Operation Center” เพื่อให้บริการ
บริหารจัดการความมั่นคงทางข้อมูล MSSP (Management Security Services Provider) ได้อย่างคุ้มค่าการลงทุน
ปรัชญาของ SRAN คือ การสร้างเทคโนโลยีด้านความมั่นคงทางข้อมูล เพื่อไทย สู่ตลาดโลก ประกอบด้วย
- การสร้างระบบป้องกันภัยคุกคามทางข้อมูลสารสนเทศที่เป็นรูปแบบของ ซอฟต์แวร์ หรือ ฮาร์ดแวร์พร้อมใช้งาน ที่สะดวกในการใช้งาน
และลดค่าใช้จ่ายในประเทศด้านการนำเข้าเทคโนโลยี
- การสร้างเทคโนโลยีระบบตรวจจับผู้บุกรุกและวิเคราะห์หาปัญหาเครือข่าย คอมพิวเตอร์ พร้อมเก็บบันทึกเหตุการณ์ที่เกิดขึ้นบนระบบเครือข่ายคอมพิวเตอร์
เพื่อทำการรวบรวมข้อมูลให้กับเจ้าหน้าที่พนักงาน ตำรวจ หรือผู้ดูแลระบบ ได้รู้เท่าทันปัญหาจากภัยคุกคามที่อาจจะเกิดขึ้น
- การเสริมองค์ความรู้ให้กับบุคคลที่สนใจ โดยเฉพาะเยาวชนในชาติไทย ให้ตระหนักถึงการใช้งานข้อมูลสารสนเทศและประยุกต์ Open Source
เพื่อการพัฒนาต่อยอดได้เอง ทั้งนี้ในอดีตที่ผ่านมา ทางทีมงานได้จัดทำในรูปแบบเอกสาร Presentation File, Web Blog บทความตามหนังสือนิตยสาร และงานสัมมนาต่างๆ
โดยที่ SRAN จะอยู่ในรูป Appliance ที่เป็นฮาร์ดแวร์สำเร็จรูป พร้อมการ Hardening ระบบ OS (Operating System) และ ซอฟต์แวร์ พร้อมใช้งานได้ในตัว
แบ่งเป็น 2 ตระกูล ได้แก่
1. Security Gateway หรือระบบ UTM (Unified Threat Management) ภายใต้ชื่อ “SRANwall” เป็นระบบ Firewall สมัยใหม่
ที่รวมความสามารถในการป้องกันไว้ในเครื่องเดียว ทั้งการป้องกันการบุกรุกระบบเครือข่าย ไวรัสคอมพิวเตอร์ ป้องกันอีเมล์ที่ไม่พึ่งประสงค์
กำหนดทางเข้าออกระบบเครือข่าย กำหนดการใช้งานบนระบบเครือข่าย ตัวกลางในการเชื่อมโยงระบบเครือข่ายให้ปลอดภัยยิ่งขึ้น
รวมทั้งระบบสร้างความปลอดภัยในการรีโมตจากเครือข่ายคอมพิวเตอร์ได้อีกด้วย
2. Security Center ในต่างประเทศมักจะเรียกระบบนี้ว่า USM (Unified Security Monitoring) ชื่อสินค้าคือ SRAN Security Center
คุณสมบัติทั่วไปที่มีในระบบ SRAN Security Center ได้แก่ มีความสามารถวิเคราะห์ระบบเครือข่าย (Network Analysis)
ระบบตรวจจับและป้องกันภัยคุกคาม (IDS/IPS), ระบบประเมินความเสี่ยงพร้อมออกรายงาน (VA/VM) รวมอยู่ในตัวเดียว การทำ Log Compliance
ที่ทำการเปรียบเทียบหาความสัมพันธ์ที่เกิดขึ้นจาก Log ระบบเครือข่าย มาบันทึกตามหมวดหมู่ของ ISO 17799 และที่สำคัญคือ เปรียบเทียบตาม พ.ร.บ.
ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ได้อีกด้วย ทำให้ผู้ใช้งาน SRAN Security Center ได้ทราบถึงความเสี่ยงที่อาจเกิดขึ้น ตาม พ.ร.บ.
ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ที่ประกาศใช้ไป ระบบ SRAN Security Center ในแต่ละรุ่นได้ถูกออกแบบเพื่อความสะดวกสบายแก่ผู้ติดตั้งระบบ
เพียงรู้ตำแหน่งการติดตั้งและเสียบสายแลน เปิดเครื่อง ระบบก็พร้อมทำงานได้ โดยไม่ต้องอาศัยผู้เชี่ยวชาญ
เป้นไงครับ พอจะได้ทำความรู้จักกับ SRAN แล้วหรือยัง
ไม่มีอะไรที่เราทำไม่ได้ ถ้าพยายาม!!!
-
highthehell - Technical Support
- Posts: 96
- Joined: Thu Mar 13, 2008 2:52 pm
- Location: Fly Emirates stadium
by haamter on Tue Apr 29, 2008 10:03 am
ต้องบอกอย่างนี้ครับว่าการเก็บ Log ที่ถูกต้องนั้นจะต้องเป็นไปตามประกาศที่กระทรวง ICT ประกาศครับเค้ามีหลักเกณฑ์การเก็บอยู่ครับไม่ใช้ว่าเก็บอย่างไรก็ได้
ตามปกติ admin ทั่ว ๆ ไป(อันนี้รวมผมด้วยครับเคยเป็น)คิดว่าก็เอา Log จาก Switch , fire wall , router ,server เท่านี้ก็น่าจะพอแล้ว แต่อย่างลืมครับว่าตามพรบ. บอกว่าการเก็บ log นั้นหากจะให้สมบูรณ์โดยที่ ผู้บริหารไม่ต้องรับผิดนั้น Log ที่ได้มาจะต้องตอบคำถามเจ้าพนักงานได้ดังนี้ครับ
Who = ใครกระทำ ในที่นี้ผมคิดว่าบอกได้แค่ Host ครับอุปกรณ์อิเล็คทรอนิคไม่น่าจะระบุตัวตนผู้กระทำได้ในส่วนนี้คิดว่าเป็นหน้าที่ของเจ้าพนักงานสอบสวนครับหากจะระบุตัวตนได้จริง ๆ ต้องใช้การ Authentication แบบ 2 Facter Authen ที่ใช้ Key แบบ USBครับ ในที่นี้คิดว่า Log บอกได้แต่ IP Address ที่ใช้กับ MAC Address เท่านั้นครับหากเครื่องในยังใช้ Protocol TCP/IP Over NetBIOS ก็อาจเห็นชื่อเครื่องครับ
What = Host นั้นทำอะไร เช่น ใช้เมล์ เปิดเว็บ หรือทำอะไรบ้างในการใช้งาน อินเตอร์เน็ท
Where = Host นั้นไปกระทำผิดกับ IP Address ใด อันนี้เมื่อเกิดเหตุขึ้นผู้เสียหายก็จะไปตามที่ ISP ครับจากนั้นเมื่อ ISP ทราบว่า IP Address นี้มาจากบริษัทเรา ISP ก็จะแจ้งให้เจ้าพนักงานหรือพนักงานสอบสวนมาขอ Log ที่บริษัทเรา เราก็จะต้องมี Log ให้เค้าตรวจสอบได้ครับ
When = จะต้องบันไว้ด้วยครับว่าเหตุการณ์เกิดขึ้นเมื่อไหร่
Why = Log ที่ได้จะต้องบอกเนื้อหาการกระทำว่าไปทำอะไรเช่นส่งเมล์ Postweb ในส่วนนีเเราวิเคราะห์จาก Protocol ที่ Host ในใช้ในการกระทำผิดครับ
และที่สำคัญที่สุด Log ที่ได้มาจะต้องถูกเก็บรักษาไม่ให้มีการเปลี่ยนแปลงค่าได้หรือมีการแก้ไขเนื่องมาจาก อคติของผู้ดูแล Log ดังนั้นทางกระทรวง ICT จึงกำหนดไว้ในประกาศครับว่า
Log ที่ใช้ได้จะต้องเป็น Log ที่มี Hasing file เช่น MD5 , Masha1 หากเป็น Log ที่เกิดจากการรวบรวมอุปกรณ์ต่าง ๆ เช่น Switch , fire wall , router ,server นั้น Log ที่ได้จะเป็น Text file ครับไม่สามารถใช้ยืนยันในชั้นศาลได้ สุดท้ายผู้บริหารก็โดนปรับ 5 แสนบาทอยู่ดีครับ
ตามปกติ admin ทั่ว ๆ ไป(อันนี้รวมผมด้วยครับเคยเป็น)คิดว่าก็เอา Log จาก Switch , fire wall , router ,server เท่านี้ก็น่าจะพอแล้ว แต่อย่างลืมครับว่าตามพรบ. บอกว่าการเก็บ log นั้นหากจะให้สมบูรณ์โดยที่ ผู้บริหารไม่ต้องรับผิดนั้น Log ที่ได้มาจะต้องตอบคำถามเจ้าพนักงานได้ดังนี้ครับ
Who = ใครกระทำ ในที่นี้ผมคิดว่าบอกได้แค่ Host ครับอุปกรณ์อิเล็คทรอนิคไม่น่าจะระบุตัวตนผู้กระทำได้ในส่วนนี้คิดว่าเป็นหน้าที่ของเจ้าพนักงานสอบสวนครับหากจะระบุตัวตนได้จริง ๆ ต้องใช้การ Authentication แบบ 2 Facter Authen ที่ใช้ Key แบบ USBครับ ในที่นี้คิดว่า Log บอกได้แต่ IP Address ที่ใช้กับ MAC Address เท่านั้นครับหากเครื่องในยังใช้ Protocol TCP/IP Over NetBIOS ก็อาจเห็นชื่อเครื่องครับ
What = Host นั้นทำอะไร เช่น ใช้เมล์ เปิดเว็บ หรือทำอะไรบ้างในการใช้งาน อินเตอร์เน็ท
Where = Host นั้นไปกระทำผิดกับ IP Address ใด อันนี้เมื่อเกิดเหตุขึ้นผู้เสียหายก็จะไปตามที่ ISP ครับจากนั้นเมื่อ ISP ทราบว่า IP Address นี้มาจากบริษัทเรา ISP ก็จะแจ้งให้เจ้าพนักงานหรือพนักงานสอบสวนมาขอ Log ที่บริษัทเรา เราก็จะต้องมี Log ให้เค้าตรวจสอบได้ครับ
When = จะต้องบันไว้ด้วยครับว่าเหตุการณ์เกิดขึ้นเมื่อไหร่
Why = Log ที่ได้จะต้องบอกเนื้อหาการกระทำว่าไปทำอะไรเช่นส่งเมล์ Postweb ในส่วนนีเเราวิเคราะห์จาก Protocol ที่ Host ในใช้ในการกระทำผิดครับ
และที่สำคัญที่สุด Log ที่ได้มาจะต้องถูกเก็บรักษาไม่ให้มีการเปลี่ยนแปลงค่าได้หรือมีการแก้ไขเนื่องมาจาก อคติของผู้ดูแล Log ดังนั้นทางกระทรวง ICT จึงกำหนดไว้ในประกาศครับว่า
Log ที่ใช้ได้จะต้องเป็น Log ที่มี Hasing file เช่น MD5 , Masha1 หากเป็น Log ที่เกิดจากการรวบรวมอุปกรณ์ต่าง ๆ เช่น Switch , fire wall , router ,server นั้น Log ที่ได้จะเป็น Text file ครับไม่สามารถใช้ยืนยันในชั้นศาลได้ สุดท้ายผู้บริหารก็โดนปรับ 5 แสนบาทอยู่ดีครับ
รับออกแบบ ติดตั้ง บุตรธิดา ทั่วราชอาณาจักร อิอิ
-
haamter - Master Staff
- Posts: 96
- Joined: Thu Mar 13, 2008 2:41 pm
- Location: Anfield
4 posts • Page 1 of 1
Who is online
Users browsing this forum: No registered users and 0 guests
Donate Now
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Hosted by FreeForums.org | Create a free forum