1. Tools
1.1. Detection Tools
1.1.1. เป็นเครื่องมือที่ใช้สำหรับการตรวจสอบความผิดปกติของเครือข่ายหรือข้อมูลในระบบ เช่น โปรแกรมป้องกันไวรัสต่างๆ เป็นต้น
1.2. Availability Improvement Tools
1.2.1. เป็นเครื่องมือที่ช่วยให้ระบบสามารถรองรับการทำงานได้มากขึ้น เช่น การทำ High Availabilty (HA) โดยใช้ Load balancing เป็นต้น
1.3. Protection Tools
1.3.1. เป็นเครื่องมือที่ช่วยในการป้องกันภัยคุกคามจากผู้ไม่หวังดีในการเข้าถึงเครือข่ายหรือข้อมูล เช่น โปรแกรมป้องกันไวรัสต่างๆ เป็นต้น
1.4. Monitoring Tools
1.4.1. เป็นเครื่องมือที่ใช้ในการติดตามพฤติกรรมต่างๆที่เกิดขึ้นในระบบ เช่น Cacti ที่ใช้ในการตรวจสอบปริมาณการใช้งานต่างๆ ไม่ว่าจะเป็น CPU , Memory หรือ Network เป็นต้น
1.5. Scanning Tools
1.5.1. เป็นเครื่องมือที่ใช้ในการค้นหาไฟล์ที่ผิดปกติในเครื่องหรือเครือข่าย เช่น Nessus หรือ Metasploit ที่ใช้ในการแสกนช่องโหว่ของระบบ เป็นต้น
1.6. Backup/Recovery Tools
1.6.1. เป็นเครื่องมือที่ใช้ในการสำรองและกู้ไฟล์ข้อมูล เพื่อป้องกันปัญหาการสูญหายของข้อมูลอันเกิดจากภัยพิบัติหรือเหตุฉุกเฉิน เช่น โปรแกรม Paragon Backup & Recover เป็นต้น
2. Risk Management
2.1. ภัยคุกคาม (Threats)
2.1.1. เหตุฉุกเฉิน (Incident)
2.1.1.1. คือเหตุฉุกเฉินซึ่งเกิดแล้วสามารถควบคุมดูแลได้
2.1.1.1.1. ติดไวรัส
2.1.1.1.2. DDOS
2.1.1.1.3. Software Error
2.1.1.1.4. Disk เต็ม
2.1.1.1.5. ไฟดับ
2.1.1.1.6. Hacked
2.1.2. ภัยพิบัติ (Disaster)
2.1.2.1. คือภัยพิบัติซึ่งเกิดขึ้นแล้วแต่ไม่สามารถควบคุมดูแลได้
2.1.2.1.1. น้ำท่วม
2.1.2.1.2. แผ่นดินไหว
2.1.2.1.3. เหตุชุมนุม
2.1.2.1.4. พายุ
2.1.2.1.5. โรงไฟฟ้านิวเคลียร์ระเบิด
2.1.2.1.6. อุกกาบาตตก
2.2. แผนสำรองฉุกเฉิน (Contingecy Plan)
2.2.1. แผนรับมือเหตุฉุกเฉิน (Incident Response Plan)
2.2.1.1. เป็นการดำเนินการเมื่อเกิดเหตุฉุกเฉินโดยทันที
2.2.1.2. เป็นการดำเนินการแบบตอบสนอง (Reactive) ไม่ใช่การป้องกัน
2.2.2. แผนกู้คืนระบบจากภัยพิบัติ (Disaster Recovery Plan)
2.2.2.1. เน้นการกอบกู้หลังการเกิดภัยพิบัติ
2.2.3. แผนการดำเนินธุรกิจต่อเนื่อง (Business Continuity Plan)
2.2.3.1. เน้นการทำงานที่ระบบสำรองแทนระบบหลัก (ชั่วคราว) เพื่อให้ธุรกิจสามารถดำเนินงานได้อย่างต่อเนื่อง
2.3. Disaster Recovery Site
2.3.1. Hot Site เป็นการทำให้ระบบสำรองทำงานทันทีที่ระบบหลักเกิดปัญหา คล้ายกับ Mirror site ซึ่งจะมีระบบเหมือนระบบหลักสำรองอยู่อีกที่หนึ่ง
2.3.2. Warm Site เป็นการทำให้ระบบสำรองสามารถทำงานได้ก็ต่อเมื่อมีการติดตั้งข้อมูลอัพเดทที่ได้จากการทำการสำรองข้อมูล
2.3.3. เป็นวิธีการแก้ไขปัญหาระบบสารสนเทศที่เกิดขึ้นจากภัยคุกคาม
2.3.4. Cold Site เป็นการจัดเตรียมสถานที่และอุปกรณ์เบื้องต้นในระดับหนึ่ง ถ้ามีปัญหาจำเป็นต้องซื้ออุปกรณ์ที่เกี่ยวข้องกับระบบ และทำการติดตั้งใหม่ทั้งหมด
2.3.5. Stand by Site เป็นการจัดเตรียมแค่สถานที่ แต่ยังไม่ได้ดำเนินการใดๆที่เกี่ยวกับระบบ
2.3.6. Nothing ไม่ได้มีการจัดเตรียมระบบสำรองใดๆเลย
2.4. กระบวนการจัดการบริหารความเสี่ยงตามมาตรฐาน COSO
2.4.1. 1. การกำหนดเป้าหมายการบริหารความเสี่ยง
2.4.2. 2. การระบุความเสี่ยงต่างๆ
2.4.3. 3. การประเมินความเสี่ยง
2.4.4. 4. กลยุทธ์ที่ใช้ในการจัดการกับแต่ละความเสี่ยง
2.4.5. 5. กิจกรรมการบริหารความเสี่ยง
2.4.6. 6. ข้อมูลและการสื่อสารด้านบริหารความเสี่ยง
2.4.7. 7. การติดตามผลและเฝ้าระวังความเสี่ยงต่างๆ
3. กฎหมายที่เกี่ยวข้อง
3.1. พระราชบัญญัติ
3.1.1. พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ 2550
3.1.1.1. แบ่ง 2 หมวด
3.1.1.1.1. หมวดที่ 1 : ความผิดเกี่ยวกับคอมพิวเตอร์
3.1.1.1.2. หมวดที่ 2 : พนักงานเจ้าหน้าที่
3.1.1.2. บุคคลที่ได้รับผลกระทบ
3.1.1.2.1. ผู้ให้บริการ
3.1.1.2.2. ผู้ใช้บริการ
3.1.1.2.3. พนักงานเจ้าหน้าที่
3.1.1.2.4. รัฐมนตรี
3.1.2. รัฐสภาร่าง เพื่อให้พระมหากษัตริย์ทรงลงพระปรมาภิไธย และประกาศในราชกิจจานุเบกขา
3.2. พระราชกำหนด
3.2.1. ใช้ในสำหรับกรณีฉุกเฉิน
3.2.2. คณะรัฐมนตรีร่าง และถวายให้พระมหากษัตริย์ทรงลงพระปรมาภิไธย และประกาศบังคับใช้
3.3. พระราชกฤษฎีกา
3.3.1. เมื่อพรบ. หรือ พรก. กำหนดให้ออกพระราชกฤษฎีกาได้ รัฐมนตรีจะนำร่างพระราชกฤษฎีกาถวายพระมหากษัตริย์เพื่อทรงตราพระราชกฤษฎกา และประกาศในราชกิจจานุเบกษา
3.4. ประกาศ
3.4.1. ออกโดยหน่วยงานที่รับผิดชอบ และมีอำนาจในการออกประกาศ
3.5. การพัฒนากฎหมายสารสนเทศ
3.5.1. เริ่มใข้เมื่อวันที่ 15 ธันวาคม 2541 โดยคณะกรรมการเทคโนโลยีสารสนเทศแห่งชาติ (กสทช)
3.5.2. กฎหมายเทคโนโลยีสารสนเทศ 6 ฉบับ
3.5.2.1. กฎหมายเกี่ยวกับธุรกรรมทางอิเล็กทรอนิกส์ (Electronic Transactions Law)
3.5.2.2. กฎหมายเกี่ยวกับลายชื่ออิเล็กทรอนิกส์ (Electronic Signatures Law)
3.5.2.3. กฎหมายเกี่ยวกับการพัฒนาโครงสร้างพื้นฐานสารสนเทศให้ทั่วถึง และเท่าเทียมกัน (National Information Infrastructure Law)
3.5.2.4. กฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Law)
3.5.2.5. กฎหมายเกี่ยวกับการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (Computer Crime Law)
3.5.2.6. กฎหมายเกี่ยวกับการโอนเงินทางอิเล็กทรอนิกส์ (Electronic Funds Transfer Law)
4. Network
4.1. Design
4.1.1. Diagram
4.1.1.1. Physical (L2-)
4.1.1.1.1. Site Connection - เชื่อมต่อระหว่างอาคาร / องค์กร
4.1.1.1.2. Switch Network - การเชื่อมต่อ Switch / ระหว่างชั้น
4.1.1.1.3. Device Connection - เชื่อมต่ออุปกรณ์ต่างๆ
4.1.1.2. Logical (L3+)
4.1.1.2.1. มักแสดงรายละเอียดของ IP/Policy/Location/Protocol/จำนวนผู้ใช้
4.1.1.3. รายละเอียดที่ควรมี
4.1.1.3.1. ชื่ออุปกรณ์
4.1.1.3.2. ชนิดสาย
4.1.1.3.3. หมายเลข IP/Network
4.1.1.3.4. หมายเลข Port
4.1.1.3.5. Topology ที่ใช้
4.1.1.3.6. การ Grouping
4.1.2. Subnetting
4.1.2.1. ประโยชน์
4.1.2.1.1. ลดปริมาณ Traffic
4.1.2.1.2. เพิ่มประสิทธิภาพ Network
4.1.2.1.3. ใช้งาน IP อย่างคุ้มค่า
4.1.2.1.4. บริหารจัดการง่ายขึ้น
4.1.2.2. ประเภท
4.1.2.2.1. Classless
4.1.2.2.2. Classful
4.1.3. VLAN
4.1.3.1. IEEE 802.1q
4.1.3.2. Static VLAN
4.1.3.3. Dynamic VLAN
4.2. Security Zone
4.2.1. Trusted Zone
4.2.1.1. ใช้กับเครื่องภายในเครือข่าย ซึ่งบอกว่าเป็น zone ที่สามารถเชื่อถือได้
4.2.2. Untrusted Zone
4.2.2.1. ใช้กับเครื่องภายนอกเครือข่าย ซึ่งบอกว่าเป็น zone ที่ไม่น่าเชื่อถือ
4.2.3. DMZ Zone
4.2.3.1. เป็น zone ที่อยู่ระหว่างเครือข่ายภายในและภายนอก ซึ่งมีการป้องกันน้อยสุดหรือไม่มีเลย
4.3. Firewall
4.3.1. ชนิดของ Firewall
4.3.1.1. Packet Filtering
4.3.1.1.1. ดูแค่ IP, Port เท่านั้นซึ่งจะตรวจจับและ filter โดยพิจารณาจาก header ของ packet
4.3.1.1.2. รูปแบบง่าย รวดเร็ว
4.3.1.1.3. ไม่สามารถป้องกันการโจมตีในระดับ Application Layer
4.3.1.2. Stateful Inspection
4.3.1.2.1. สามารถตรวจสอบ state ได้ด้วยเช่น ESTABLISHED เป็นต้น
4.3.1.2.2. มีการทำ user authentication
4.3.1.3. Application Proxy
4.3.1.3.1. ติดต่อสื่อสารผ่าน proxy ซึ่งเป็นตัวกลาง ทำให้ปลอดภัยสูง
4.3.1.4. Next Generation
4.3.1.4.1. เน้นที่ data มากกว่า link ของเครือข่ายและจับ botnet ได้
4.3.1.4.2. มี 2 ประเภท
4.3.2. Default Policy
4.3.2.1. Allow All / Deny Some
4.3.2.2. Deny All / Allow Some
4.3.3. Design Goals
4.3.3.1. ไว้ตรวจสอบ data หรือ packet ที่เข้าออกเครือข่าย
4.3.3.2. การเข้าถึงข้อมูลทำได้เฉพาะผู้มีสิทธิ์เท่านั้น
4.3.4. ข้อจำกัด
4.3.4.1. ไม่สามารถป้องกันการโจมตีบางประเภทได้
4.3.4.2. ไม่สามารถป้องกันไวรัสได้
4.4. IDS/IPS
4.4.1. Intrusion Detection System (IDS)
4.4.1.1. ทำหน้าที่คอย monitoring อย่างเดียว หากพบความผิดปกติจะทำการแจ้งเตือน
4.4.1.2. มี 2 ชนิด
4.4.1.2.1. Host-based
4.4.1.2.2. Network-based
4.4.2. Intrusion Prevention System (IPS)
4.4.2.1. มี 2 ชนิด
4.4.2.1.1. Misuse
4.4.2.1.2. Anomaly
4.4.2.2. ทำหน้าที่เพิ่มเติมจาก IDS คือจะมีการป้องกันให้ระดับหนึ่งด้วยแล้วทำการแจ้งเตือน
4.5. VPN
4.5.1. เป็นการรักษาความปลอดภัยในการส่งข้อมูลจากที่หนึ่งไปยังอีกที่หนึ่ง
4.5.2. รูปแบบต่างๆ
4.5.2.1. Black box based
4.5.2.1.1. ข้อดี
4.5.2.1.2. ข้อเสีย
4.5.2.2. Firewall based
4.5.2.2.1. ข้อดี
4.5.2.2.2. ข้อเสีย
4.5.2.3. Software based
4.5.2.3.1. ข้อดี
4.5.2.3.2. ข้อเสีย
4.5.2.4. Router based
4.5.2.4.1. ข้อดี
4.5.2.4.2. ข้อเสีย
4.6. Web Security
4.6.1. Vulnerability
4.6.1.1. คือ จุดอ่อนอย่างหนึ่งที่ทำให้ผู้โจมตีสามารถลดทอนการประกันสารสนเทศของระบบ
4.6.2. Exploit
4.6.2.1. เป็นการอาศัยประโยชน์จากช่องโหว่ที่เกิดขึ้นเพื่อเข้าถึงหรือควบคุมระบบคอมพิวเตอร์ รวมถึงข้อมูลด้วย
4.6.3. OSAWP Top 10
4.6.3.1. A1 - Injection
4.6.3.2. A2 - Broken Authentication and Session Management
4.6.3.3. A3 - Cross-Site Scripting (XSS)
4.6.3.4. A4 - Insecure Direct Object References
4.6.3.5. A5 - Security Misconfiguration
4.6.3.6. A6 - Sensitive Data Exposure
4.6.3.7. A7 - Missing Function Level Access Control
4.6.3.8. A8 - Cross-Site Request Forgery (CSRF)
4.6.3.9. A9 - Using Known Vulnerable Components
4.6.3.10. A10 - Unvalidated Redirects and Forwards
4.6.4. ความไม่ปลอดภัยของ TCP/IP
4.6.4.1. No secure
4.6.4.2. Fake header
4.6.4.3. No authentication
4.6.4.4. No access control
4.7. Wireless LAN
4.7.1. อยู่ในระดับ Untrusted Network
4.7.2. IEEE 802.11
4.7.2.1. 802.11a
4.7.2.2. 802.11b
4.7.2.3. 802.11g
4.7.2.4. 802.11n
4.7.2.5. 802.11ac
4.7.2.6. 802.11an (WiGig)
4.7.2.7. ข้อมูลที่ถูกส่งต้องเป็นความลับ (Confidentciality)
4.7.2.8. ต้องมี Authentication ที่แข็งแกร่ง
4.7.2.8.1. อุปกรณ์ไม่เห็น access point และ access point ไม่เห็นอุปกรณ์
4.7.3. Security
4.7.3.1. Authentication
4.7.3.1.1. WEP
4.7.3.1.2. WPA
4.7.3.1.3. WPA2
4.7.3.2. Confidentiality
4.7.3.2.1. AES
4.7.3.2.2. TKIP
4.7.3.3. MAC filtering
4.7.3.3.1. กำหนดว่า MAC Address ไหนที่สามารถใช้งานได้ และที่ใช้งานไม่ได้
4.7.3.4. Change default SSID
4.7.3.5. Hide SSID
4.7.3.6. Authentication Server (802.1x)
5. มาตรฐานที่เกี่ยวข้อง
5.1. ISO 27001
5.1.1. PDCA
5.1.1.1. Plan
5.1.1.1.1. กำหนดนโยบายความมั่นคงปลอดภัยและจัดทำระบบบริหารจัดการความมั่นคงปลอดภัย
5.1.1.2. Do
5.1.1.2.1. ลงมือปฏิบัติหรือดำเนินการตามระบบบริหารจัดการความมั่นคงปลอดภัย
5.1.1.3. Check
5.1.1.3.1. ตรวจสอบและทบทวนผลการดำเนินงานตามระบบบริหารจัดการความมั่นคงปลอดภัย
5.1.1.4. Act
5.1.1.4.1. บำรุงรักษาหรือปรับปรุงคุณภาพของระบบบริหารจัดการความมั่นคงปลอดภัย
5.1.2. มาตรการการจัดการด้านความมั่นคงปลอดภัยสำหรับสารสนเทศ
5.1.2.1. นโยบายความมั่นคงปลอดภัย
5.1.2.2. โครงสร้างความมั่นคงปลอดภัยสำหรับองค์กร
5.1.2.3. การบริหารจัดการทรัพย์สินขององค์กร
5.1.2.4. ความมั่นคงปลอดภัยที่เกี่ยวข้องกับบุคลากร
5.1.2.5. ความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม
5.1.2.6. การบริหารจัดการด้านการสื่อสารและการดำเนินงานของเครือข่ายสารสนเทศขององค์กร
5.1.2.7. การควบคุมการเข้าถึง
5.1.2.8. การจัดหา การพัฒนาและการบำรุงรักษาระบบสารสนเทศ
5.1.2.9. การบริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยขององค์กร
5.1.2.10. การบริหารความต่อเนื่องในการดำเนินงานขององค์กร
5.1.2.11. การปฏิบัติตามข้อกำหนด
5.2. NIST SP800
5.2.1. http://csrc.nist.gov/publications/PubsSPs.html
6. IT Systems
6.1. Hardware
6.1.1. สามารถรองรับการทำงานได้ตามระยะเวลาที่ให้บริการ (ทำไหวและทำได้อย่างต่อเนื่อง)
6.2. Software
6.2.1. ทำงานได้ตามที่ระบุ และจัดการกับเหตุการณ์ที่เป็นปกติและไม่ปกติได้ และทำงานได้ในระยะเวลาที่ให้บริการ
6.3. Network
6.3.1. ต้องรองรับต่อปริมาณการใช้งานได้อย่างเพียงพอ
6.4. Data
6.4.1. ข้อมูลจะต้องมีให้บริการเมื่อมีการเรียกใช้
6.5. People
6.5.1. ต้องมีความรู้ในด้านของ security และด้าน function การทำงานของตนเอง
6.6. Process
6.6.1. ต้องสามารถใช้ในการแก้ปัญหาด้วยตัวมันเอง เมื่อเกิดปัญหาขึ้น
7. Security Concept
7.1. CIA
7.1.1. Confidentiality
7.1.1.1. ใช้กับข้อมูลที่เป็นความลับในช่วงเวลาใดเวลาหนึ่ง เช่น การเข้ารหัสลับข้อมูล เป็นต้น
7.1.1.2. (ให้เลือกว่าจะเอาอันไหน) ข้อมูลใดที่เป็นความลับ จะต้องถูกกำหนดให้เป็นความลับในช่วงเวลาที่กำหนด เช่น เกรดนักศึกษา เป็นต้น
7.1.1.3. กิจกรรมที่ส่งเสริมได้แก่ การเข้ารหัสข้อมูล , การเปลี่ยนปใช้ IPv6 เป็นต้น
7.1.2. Integrity
7.1.2.1. ความถูกต้องสมบูรณ์ของข้อมูล ต้องทราบถ้ามีการเปลี่ยนแปลง เช่น การตรวจสอบหมายเลขประจำตัวประชาชน ค่าแฮชไม่ต้องกับไฟล์ต้นฉบับ เป็นต้น
7.1.2.2. ต่อจากข้างบน +รวมไปถึงการกรอกข้อมูลผิดด้วย
7.1.3. Availability
7.1.3.1. ระบบให้บริการได้ตามที่กำหนดไว้ใน Service Level Agreement (SLC)
7.1.3.2. ต่อจากข้างบน + เช่น ระบบลงทะเบียน ต้องลงทะเบียนได้ในช่วงเวลาที่กำหนด เป็นต้น
7.2. AAA
7.2.1. Authentication
7.2.1.1. มีสิ่งที่พิสูจน์ว่าเราเป็นใคร
7.2.1.1.1. What you are
7.2.1.1.2. What you know
7.2.1.1.3. What you have
7.2.2. Authorization
7.2.2.1. การให้สิทธิ์และบทบาทของผู้ใช้ในระบบ มักใช้ Security model
7.2.2.1.1. Discretionary Access Control (DAC)
7.2.2.1.2. Mandatory Access Control (MAC)
7.2.2.1.3. Role-Based Access Control (RBAC)
7.2.3. Accounting
7.2.3.1. การบันทึกและตรวจสอบได้ ซึ่งจะมีการเก็บ log ไว้ และที่สำคัญควรหลีกเลี่ยงการใช้ root user
7.3. PDR
7.3.1. Prevent
7.3.1.1. การป้องกันเหตุที่สามารถระบุได้ล่วงหน้า เช่น Firewall มักกัน DDOS ล่วงหน้า เป็นต้น
7.3.2. Detect
7.3.2.1. การเฝ้าระวังซึ่งจะมีการเก็บข้อมูลเพื่อติดตามพฤติกรรมที่ผิดปกติ และ alert อย่างเหมาะสม
7.3.3. Respond
7.3.3.1. การระงับเหตุ ซึ่งต้องมีการวางแผนล่วงหน้าโดยการทำแผนสำรองฉุกเฉิน (Contingency Plan)