องคกรสมยัใหมไมวาจะเปนภาครฐัหรอืเอกชน ลวนแลวแตอาศยัเทคโนโลยสีารสนเทศในการดาํเนนิธรุกจิ หรอื

สนับสนุนภารกิจหรือธุรกิจถึงขั้นขาดไมได การลงทุนดานไอทีจึงเปนสิ่งที่สําคัญ เพื่อใหการดําเนินธุรกิจมีประสิทธิภาพ

และพัฒนาธุรกิจใหกาวหนายิ่งขึ้น สรางความไดเปรียบตอคูแขง แตละองคกรจะมีระบบเทคโนโลยีสารสนเทศที่หลาก

หลาย ตั้งแต ระบบอเีมล เวบ็ไซต ระบบบญัช ีระบบอคีอมเมริซ ไปจนถงึระบบเฉพาะอยางเชน ระบบควบคมุกระบวนการ

อตุสาหกรรม ระบบสื่อสารโทรคมนาคม และระบบควบคมุสภาพแวดลอม เปนตน ปจจบุนัภยัคกุคามทางดานไซเบอรได

ทวคีวามรนุแรงขึ้นเรื่อยๆ ซึ่งทาํใหระบบตางๆ เหลานี้ลวนแลวแตมคีวามเสี่ยงที่จะถูกโจมตหีรอืถูกทาํลาย ซึ่งสงผลกระทบ

ตอการดาํเนนิธรุกจิขององคกร และสรางความเสยีหายตอทรพัยสนิของทั้งสวนบคุคลและองคกร นอกจากนี้ปจจบุนัยงัได

เกดิการทาํสงครามรปูแบบใหมที่เรยีกวา สงครามไซเบอร (Cyber Warfare) ซึ่งเปนการปฏบิตักิารสงครามที่เกดิขึ้นในสมรภมูิ

โลกไซเบอร แตสงผลกระทบในโลกจรงิ

ภยัคกุคาม (Threat) หมายถงึ สิ่งที่อาจจะกอใหเกดิความเสยีหายตอคณุสมบตัขิองขอมูลดานใดดานหนึ่ง หรอื

มากกวาหนึ่งดาน อนัไดแก ความลบั (Confidentiality), ความถูกตอง (Integrity) และความพรอมใชงาน (Availability) ความ

เสี่ยง (Risk) เกดิจากการที่ภยัคกุคาม (Threat) ใชประโยชนจากชองโหว (Vulnerability) แลวเกดิผลกระทบ (Impact) ตอ

ขอมูลหรอืระบบสารสนเทศ ภยัคกุคามอาจรวมถงึการโจมตทีางไซเบอร ภยัธรรมชาต ิ ความผดิพลาดอนัเกดิจากคนหรอื

เครื่องจกัร หรอืแมกระทั่งปญหาจากเรื่องโครงสรางอาคารสถานที่ ภยัคกุคามนั้นอาจจะไมเกดิขึ้นเลยกไ็ดถามกีารปองกนั

ที่ด ีหรอืถามกีารเตรยีมการที่ด ีเมื่อมเีหตกุารณเกดิขึ้นกจ็ะชวยลดความเสยีหายหรอืผลกระทบได การกระทาํที่อาจกอให

เกดิความเสยีหายเราจะเรยีกวา การโจมต ี(Attack) สวนผูที่ทาํเชนนั้น หรอืผูที่เปนเหตใุหเหตกุารณดงักลาวเกดิขึ้นจะเรยีก

วา ผูโจมต ี(Attacker) ภยัคกุคามหลกัของระบบคอมพวิเตอรคอื แฮคเกอรและมลัแวร ที่แตกตางกนัคอื แฮคเกอรเปนคน

สวนมลัแวรเปนโปรแกรมที่ทาํงานอตัโนมตั ิ อยางไรกต็าม แฮคเกอรอาจใชมลัแวรเปนเครื่องมอืในการโจมตอีกีทหีนึ่งกไ็ด

แตที่เหมอืนกนักค็อื ทั้งแฮคเกอรและมลัแวรจะใชประโยชนจากชองโหวของระบบคอมพวิเตอร ซึ่งกค็อื จดุออนหรอืขอผดิ

พลาดของโปรแกรม รวมไปถงึความหละหลวมในการคอนฟกระบบ และชองโหวทางกายภาพ เชน การวางอปุกรณทิ้งไว

โดยไมมคีนดูแล เปนตน

การรกัษาความปลอดภยั เปนหลกัการที่รวมเอาการบรหิารจดัการดานนโยบายและกระบวนการ บคุลากร และ

เทคโนโลย ี(PPT) มาใชเพื่อเพิ่มประสทิธภิาพในการรกัษาความลบั, การรกัษาความถูกตอง และการทาํใหพรอมใชงานของ

ขอมูล หนงัสอืเลมนี้จะไดอธบิายในรายละเอยีดของกระบวนการในการรกัษาความปลอดภยัขอมูล ซึ่งเนื้อหาสวนใหญได

จากประสบการณการทํางานสิบกวาปที่ผานมา ผูเขียนหวังเปนอยางยิ่งวาผูอานจะไดประโยชนจากหนังสือเลมนี้ และผู

เขยีนมุงมั่นที่จะพฒันาและปรบัปรงุใหเนื้อหาทนัสมยัอยูเรื่อยๆ

ขอขอบคณุ

จตชุยั แพงจนัทร

jatuchai@rtaf.mi.th

ทดลองอ่าน

I

Part 1 Information Security บทที่ 1 Cybersecurity

วัตถุประสงค .................................................................................................................... 3

วิวัฒนาการของการรักษาความปลอดภัย .............................................................. 5

หลักการพื้นฐานของการรักษาความปลอดภัยขอมูล ........................................... 13

ประเภทของภัยคุกคาม (Threat) ........................................................................... 18

แนวโนมภัยคุกคามในปจจุบัน ............................................................................. 26

สรุปทายบท .......................................................................................................... 34

คําถามทบทวน ..................................................................................................... 35

บทที่ 2 IT Security Governance

วัตถุประสงค .................................................................................................................. 37

บรรษัทภิบาล (Coporate Governance) ................................................................. 38

ไอทีภิบาล (IT Governance) .................................................................................. 39

การอภิบาลรักษาความปลอดภัยขอมูล (Information Security Governance) ....... 41

มาตรฐานไอทีภิบาล ............................................................................................. 43

นโยบายดานการรักษาความปลอดภัยขอมูล (Information Security Policy) ........ 65

การสรางความตระหนักดานการรักษาความปลอดภัย

(Security Awareness Training) ............................................................................. 69

การตรวจสอบ (Audit) ........................................................................................... 71

สรุปทายบท .......................................................................................................... 72

คําถามทบทวน ..................................................................................................... 73

บทที่ 3 การบริหารความเส่ียง (Risk Management)

วัตถุประสงค .................................................................................................................. 75

การวิเคราะหความเสี่ยง (Risk Analysis) .............................................................. 76

การบริหารความเสี่ยง (Risk Management) .......................................................... 78

มาตรฐานการบริหารความเสี่ยง........................................................................... 80

การประเมินความเสี่ยง (Risk Assessment) ......................................................... 84

การรักษาความเสี่ยง (Risk Treatment) .............................................................. 101

สรุปทายบท ........................................................................................................ 104

คําถามทบทวน ................................................................................................... 104

ทดลองอ่าน

II

Part 2 Network Security

บทที่ 4 Access Control

วัตถุประสงค ................................................................................................................ 107

การควบคุมการเขาถึง (Access Control) ............................................................ 108

การระบุตัวตน (Identification) ............................................................................. 109

การพิสูจนทราบตัวตน (Authentication) ............................................................. 111

การอนุญาต (Authorization) ............................................................................... 132

การตรวจสอบได (Accountability) ....................................................................... 133

สรุปทายบท ........................................................................................................ 134

คําถามทบทวน ................................................................................................... 135

บทที่ 5 Cryptography

วัตถุประสงค ................................................................................................................ 137

ประวัติการเขารหัสขอมูล ................................................................................... 139

ประเภทของการเขารหัสขอมูล ........................................................................... 141

Secret Key Cryptography ................................................................................... 142

Public Key Cryptography .................................................................................... 161

แฮชฟงกชัน (Hash Functions) ............................................................................ 177

Message Authentication Code (MAC) ............................................................... 181

Digital Envelope ................................................................................................. 182

ความยาวของคีย ................................................................................................ 184

Steganography .................................................................................................... 185

สรุปทายบท ........................................................................................................ 188

คําถามทบทวน ................................................................................................... 189

บทที่ 6 Network Security

วัตถุประสงค ................................................................................................................ 193

การรักษาความปลอดภัยในระดับแอพพลิเคชันเลเยอร ..................................... 194

การรักษาความปลอดภัยในระดับทรานสปอรตเลเยอร ..................................... 216

SSL ..................................................................................................................... 217

การรักษาความปลอดภัยในระดับเน็ตเวิรคเลเยอร ............................................ 227

การรักษาความปลอดภัยในระดับดาตาลิงคเลเยอร .......................................... 235

สรุปทายบท ........................................................................................................ 237

คําถามทบทวน ................................................................................................... 237

ทดลองอ่าน

III

บทที่ 7 Wireless LAN Security

วัตถุประสงค ................................................................................................................ 239

มาตรฐานไวรเลสแลน ........................................................................................ 240

การพิสูจนทราบตัวตนของไวรเลสแลน .............................................................. 241

มาตรฐาน IEEE 802.11i ..................................................................................... 245

มาตรฐาน IEEE 802.1X ...................................................................................... 246

โปรโตคอล EAP .................................................................................................. 249

การเขารหัสขอมูลในไวรเลสแลน ....................................................................... 251

เครื่องมือสแกนไวรเลสแลน ................................................................................ 258

การเจาะไวรเลสแลน .......................................................................................... 260

สรุปทายบท ........................................................................................................ 262

คําถามทบทวน ................................................................................................... 262

บทที่ 8 Firewall

วัตถุประสงค ................................................................................................................ 265

หลักการทํางานของไฟรวอลล ............................................................................ 267

โปรโตคอล TCP/IP .............................................................................................. 268

ประเภทของไฟรวอลล ........................................................................................ 270

UTM (Unified Threat Management) .................................................................. 287

นโยบายการรักษาความปลอดภัย ...................................................................... 288

NAT (Network Address Translation) .................................................................. 290

Linux Firewall : iptables ..................................................................................... 292

สรุปทายบท ........................................................................................................ 297

คําถามทบทวน ................................................................................................... 297

บทที่ 9 Intrusion Detection System

วัตถุประสงค ................................................................................................................ 299

IDS/IPS คืออะไร ................................................................................................. 300

ทําไมตองมี IDS/IPS ........................................................................................... 302

ขีดความสามารถของ IDS .................................................................................. 303

ประเภทของ IDS ................................................................................................ 304

การวิเคราะหและตรวจจับการบุกรุก .................................................................. 306

การแจงเตือนภัยของ IDS ................................................................................... 308

การรายงานแจงเตือนภัย .................................................................................... 314

การออกแบบและติดตั้ง IDS .............................................................................. 315

ทดลองอ่าน

IV

Snort–Open Source IDS/IPS .............................................................................. 321

NAC (Network Access Control) ......................................................................... 322

สรุปทายบท ........................................................................................................ 324

คําถามทบทวน ................................................................................................... 325

บทที่ 10 Malware

วัตถุประสงค ....................................................................................................... 329

วิวัฒนาการของไวรัสคอมพิวเตอร ..................................................................... 331

คุณลักษณะของมัลแวรในปจจุบัน ..................................................................... 337

ประเภทของมัลแวร (Malware) ........................................................................... 339

คุณสมบัติของมัลแวร ......................................................................................... 344

มัลแวรที่มีชื่อเสียง .............................................................................................. 352

แนวทางในการปองกันมัลแวร ............................................................................ 362

สรุปทายบท ........................................................................................................ 382

คําถามทบทวน ................................................................................................... 383

บทที่ 11 Hacking

วัตถุประสงค ................................................................................................................ 385

ความรูพื้นฐานเกี่ยวกับการเจาะระบบ ............................................................... 386

การสรางหองทดลองเจาะระบบ ......................................................................... 390

ขั้นตอนการเจาะระบบ ....................................................................................... 391

การลาดตระเวนหาขาว (Reconnaissance) ......................................................... 393

Scanning ............................................................................................................. 404

Exploitation ......................................................................................................... 417

Maintaining Access ............................................................................................ 443

สรุปทายบท ........................................................................................................ 445

คําถามทบทวน ................................................................................................... 446

บทที่ 12 การกูคืนระบบ

วัตถุประสงค ....................................................................................................... 447

การตรวจจับการถูกโจมตี ................................................................................... 448

การควบคุมสถานการณ ..................................................................................... 452

Part 3 Malware and Hacker

ทดลองอ่าน

V

การวิเคราะหการถูกโจมตี .................................................................................. 454

การกูคืนระบบ (System Recovery) .................................................................... 468

ขั้นตอนหลังจากการกูคืนระบบ .......................................................................... 474

สรุปทายบท ........................................................................................................ 475

คําถามทบทวน ................................................................................................... 475

บทที่ 13 Windows Security

วัตถุประสงค ................................................................................................................ 479

ชองโหวของระบบวินโดวส ................................................................................. 481

เครื่องมือสําหรับรักษาความปลอดภัยในวินโดวส .............................................. 483

Windows Hardening ........................................................................................... 488

การปองกันและกําจัดมัลแวร ............................................................................. 490

Web Browsers ................................................................................................... 493

File-Sharing Applications .................................................................................... 497

Mail Client .......................................................................................................... 499

Web Servers & Services ................................................................................... 501

Windows Remote Access Services .................................................................. 504

Microsoft SQL Server (MSSQL) ........................................................................ 509

Windows Authentication .................................................................................... 511

การรักษาความปลอดภัยดานอื่นๆ ..................................................................... 515

สรุปทายบท ........................................................................................................ 516

คําถามทบทวน ................................................................................................... 517

บทที่ 14 Linux Security

วัตถุประสงค ................................................................................................................ 519

การรักษาความปลอดภัยระบบลีนุกซ ................................................................ 520

Kernel ................................................................................................................. 527

Authentication .................................................................................................... 527

DNS .................................................................................................................... 533

Web Server ........................................................................................................ 534

Mail Server ......................................................................................................... 536

Database Server ................................................................................................. 538

OpenSSL ............................................................................................................ 540

SNMP ................................................................................................................. 540

DHCP .................................................................................................................. 542

Part 4 Endpoint Security

ทดลองอ่าน

VI

สรุปทายบท ........................................................................................................ 543

คําถามทบทวน ................................................................................................... 543

Part 5 Physical Security, Cyber Law & Cyber Warfareบทที่ 15 Physical and Environmental Security

วัตถุประสงค ................................................................................................................ 547

ภัยคุกคามทางกายภาพ ..................................................................................... 548

มาตรการปองกันทางกายภาพ ........................................................................... 549

CPTED (Crime Prevention Through Environmental Design) ............................. 550

การออกแบบดาตาเซ็นเตอร ............................................................................... 552

ระบบดับเพลิง (Fire Suppression System) ........................................................ 573

สรุปทายบท ........................................................................................................ 575

คําถามทบทวน ................................................................................................... 575

บทที่ 16 กฎหมายอาชญากรรมคอมพิวเตอร

วัตถุประสงค ................................................................................................................ 577

ธรรมชาติของอาชญากรรมทางคอมพิวเตอร ..................................................... 578

ความซับซอนของการโจมตี ................................................................................ 578

การพิสูจนหลักฐานทางคอมพิวเตอร (Computer Forensics) ............................. 581

กฎหมายที่เกี่ยวกับคอมพิวเตอร ........................................................................ 587

กฎหมายที่เกี่ยวกับเทคโนโลยีสารสนเทศและการสื่อสารในประเทศไทย .......... 589

สรุปทายบท ........................................................................................................ 606

คําถามทบทวน ................................................................................................... 606

บทที่ 17 Cyber Warfare

วัตถุประสงค ................................................................................................................ 609

ประวัติสงครามไซเบอร ...................................................................................... 611

สงครามที่ใชเครือขายเปนศูนยกลาง (Network Centric Warfare : NCW) ......... 615

การปฏิบัติการขาวสาร (IO) ................................................................................ 620

การปฏิบัติการเครือขายคอมพิวเตอร (CNO) ...................................................... 622

กองทัพไซเบอร ................................................................................................... 632

นักรบไซเบอร (Cyber Warrior) ............................................................................ 633

อาวุธไซเบอร (Cyber Weapon) ........................................................................... 636

สรุปทายบท ........................................................................................................ 642

คําถามทบทวน ................................................................................................... 643

ทดลองอ่าน

บทที่ 1 Cybersecurity

บทที่ 2 IT Security Governance

บทที่ 3 การบริหารความเสี่ยง (Risk Management)

บทที่ 4 Access Control

บทที่ 5 Cryptography

Mas

ter in

Sec

urity

3rd E

ditio

n

ทดลองอ่าน

PART 1Information Security

หลักการในการรักษาความปลอดภัยนั้นคือ การ

รกัษาไวซึ่งคณุสมบตัทิั้ง 3 มติคิอื ความลบั (Confidentiality),

ความถูกตอง (Integrity) และความพรอมใชงาน (Availability)

การบรหิารจดัการดานการรกัษาความปลอดภยัขอมูล เปนสิ่ง

ที่องคกรจะตองทําควบคูกับการบริหารองคกรดานอื่นๆ โดย

กระบวนการนั้นจะเริ่มตนดวยการวิเคราะหความเสี่ยง แลว

กําหนดมาตรการเพื่อลดความเสี่ยงใหอยูในระดับที่ยอมรับ

ได และควรตองทําทั้ง 3 สวนควบคูกันไปคือ คน (People),

กระบวนการ (Process) และเทคโนโลยี (Technology) โดย

กระบวนการที่เปนมาตรฐานและเปนที่ยอมรับ ไดแก ISO

27001

PART 1Information Security

หลักการในการรักษาความปลอดภัยนั้นคือ การ

รกัษาไวซึ่งคณุสมบตัทิั้ง 3 มติคิอื ความลบั (Confidentiality),

ความถูกตอง (Integrity) และความพรอมใชงาน (Availability)

การบรหิารจดัการดานการรกัษาความปลอดภยัขอมูล เปนสิ่ง

ที่องคกรจะตองทําควบคูกับการบริหารองคกรดานอื่นๆ โดย

กระบวนการนั้นจะเริ่มตนดวยการวิเคราะหความเสี่ยง แลว

กําหนดมาตรการเพื่อลดความเสี่ยงใหอยูในระดับที่ยอมรับ

ได และควรตองทําทั้ง 3 สวนควบคูกันไปคือ คน (People),

กระบวนการ (Process) และเทคโนโลยี (Technology) โดย

กระบวนการที่เปนมาตรฐานและเปนที่ยอมรับ ไดแก ISO

27001

ทดลองอ่าน

CHAPTER 1CHAPTER 1Cybersecurity

วัตถุประสงค ¢ รูและเขาใจววิฒันาการของการรกัษาความปลอดภยัไซเบอร

¢ รูและเขาใจหลกัการของการรกัษาความปลอดภยัขอมูล

¢ ·รูและเขาใจภยัคกุคามรูปแบบตางๆ ในปจจบุนัและแนวโนมในอนาคต

ในยุคขอมูลขาวสารในปจจุบันถือไดวา ขอมูลเปนทรัพยสินที่มีคายิ่งขององคกร ไมวาจะเปนองคกรภาครัฐ

หรอืธรุกจิเอกชน การประยกุตใชระบบเทคโนโลยสีารสนเทศอยางเหมาะสม จะชวยเพิ่มประสทิธภิาพ ศกัยภาพ และ

สงเสริมใหพัฒนาไปสูองคกรที่มีประสิทธิภาพสูงและองคกรแหงการเรียนรู สงผลใหไดเปรียบในดานการแขงขันทาง

ธุรกิจ ดังนั้นองคกรตางๆ จึงมีความตื่นตัวในดานการพัฒนาองคกร เพื่อจะกาวใหทันกับสภาวการณของโลกที่กําลัง

เปลี่ยนแปลงอยางรวดเรว็ โดยเฉพาะอยางยิ่งความเจรญิกาวหนาดานเทคโนโลยสีารสนเทศ ทาํใหเกดิการใชประโยชน

จากขอมูลขาวสารอยางมปีระสทิธภิาพและสรางโอกาสทางธรุกจิ ซึ่งถอืเปนความทาทายขององคกรสมยัใหม ที่จะตอง

มกีารพฒันาใหเจรญิกาวหนาและไมใหตนเองตกอยูในสภาวะลาหลงั

ทดลองอ่าน

บทที่ 1 Cybersecurity

PART 1

Information Security

4

ขอมูลหรือสารสนเทศ (Information) ถือวาเปนทรัพยสินประเภทหนึ่งที่มีคาสูงและมีความสําคัญตอองคกร

เนื่องจากองคกรที่รูขอมูลมากกวายอมไดเปรียบคูแขงเสมอ แตถาขอมูลที่สําคัญขององคกรถูกขโมยไป หรือระบบ

สารสนเทศถูกแฮคจนไมสามารถใชงานได ก็ยอมสงผลกระทบตอองคกรอยางแนนอน ดังนั้น การปกปองรักษาขอมูล

และระบบสารสนเทศจึงเปนสิ่งที่สําคัญไมแพไปกวาการปกปองรักษาทรัพยสินประเภทอื่นๆ เชน ผลิตภัณฑ วัตถุดิบ

อาคารสถานที่ เงนิ เปนตน ขอมูลที่ถูกจดัเกบ็ไวในระบบสารสนเทศนั้นมคีวามเสี่ยงที่จะถูกโจมตจีากหลายแหลง เชน

ผูใชงานที่รูเทาไมถงึการณ การโจมตจีากทั้งภายในและภายนอก การแพรกระจายของไวรสั เวริม โทรจนัฮอรส หรอืมลัแวร

ประเภทอื่นๆ ซึ่งอาจถูกสงผานทางอเีมล เวบ็ หรอือาจมผีูไมหวงัดหีรอืแฮคเกอรจากอนิเทอรเนต็พยายามที่จะเจาะเขา

ระบบเพื่อทาํลายระบบหรอืลบทิ้ง เปลี่ยนแปลงแกไข ขโมยไปใชงาน หรอืทาํใหเขาถงึขอมลูไมได ดงันั้น ระบบสารสนเทศ

จงึจาํเปนที่ตองมรีะบบรกัษาความปลอดภยัที่แขง็แกรงพอที่จะรบัมอืกบัภยัคกุคามตางๆ ได

ปจจุบันเครือขายอินเทอรเน็ตขยายตัวอยางรวดเร็ว องคกรสมัยใหมจําเปนตองเชื่อมตอเขากับอินเทอรเน็ต

เพื่อใชประโยชนจากแหลงขอมูลที่ใหญที่สุดในโลกนี้ อินเทอรเน็ตนั้นเปรียบเสมือนดาบสองคม ประโยชนที่ไดรับจาก

อินเทอรเน็ตนั้นอาจมากเกินกวาที่จะจินตนาการ แตโทษนั้นก็มีมากมายเชนกัน เหตุผลหนึ่งก็เนื่องจากขอมูลและ

เครื่องมอืที่ใชสาํหรบัการเจาะระบบนั้น สามารถคนหาและดาวนโหลดจากอนิเทอรเนต็ไดอยางงายดาย และเครื่องมอืหรอื

โปรแกรมเหลานี้ยงังายตอการใชงาน ถงึแมวาคนที่ไมมคีวามรูเกี่ยวกบัคอมพวิเตอรมากนกั กส็ามารถใชเครื่องมอืโจมตี

เครอืขายเหลานี้ไดไมยากนกั ดงันั้น ฝายไอทหีรอืผูที่มหีนาที่ดูแลระบบ จงึจาํเปนที่ตองวเิคราะหความเสี่ยง ออกแบบ

ตดิตั้ง ระบบรกัษาความปลอดภยั และเฝาระวงัระบบรกัษาความปลอดภยัในเครอืขาย ใหมใีชงานไดอยางตอเนื่องและ

มปีระสทิธภิาพ ดงันั้น การรกัษาความปลอดภยัในเครอืขายจงึเปนสิ่งที่สาํคญัและจาํเปนสาํหรบัองคกร

ไมมีระบบใดที่ปลอดภัยรอยเปอรเซ็นต ยังเปนคํากลาวที่เปนจริงเสมอ การรักษาความปลอดภัยนั้นเปนทั้ง

ศาสตรและศลิป การมรีะบบรกัษาความปลอดภยัที่ดทีี่สดุนั้นไมไดหมายความวา ขอมูล ระบบคอมพวิเตอร และองคกร

จะปลอดภยัจากอนัตรายทั้งปวง การรกัษาความปลอดภยัของขอมูลเปนกระบวนการ ไมใชแคการตดิตั้งเทคโนโลยดีาน

การรกัษาความปลอดภยัที่ดทีี่สดุ แตจะรวมถงึกระบวนการบรหิารความเสี่ยง (Risk Management) ซึ่งเริ่มตั้งแตการระบุ

ภยัคกุคาม (Threat) และชองโหวหรอืจดุออน (Vulnerability) ขององคกร แลวประเมนิโอกาสที่จะเกดิขึ้น (Likelihood) และ

ผลกระทบ (Impact) หากเกดิเหตกุารณดงักลาวขึ้น หลงัจากนั้นจะเปนการกาํหนดนโยบายการรกัษาความปลอดภยั การ

บงัคบัใชนโยบาย การเฝาระวงัเหตกุารณอยูตลอดเวลา หนงัสอืเลมนี้เขยีนขึ้นโดยมจีดุมุงหมายเพื่อแนะนาํแนวทางหรอื

วธิปีฏบิตัทิี่เหมาะสมสาํหรบัการรกัษาความปลอดภยัขอมูลขององคกร

กอนที่จะเรียนรูเกี่ยวกับกระบวนการรักษาความปลอดภัยขอมูล มาทําความรูจักเกี่ยวกับคําวา การรักษา

ความปลอดภยัขอมูล ( Information Security) กนักอน เราสามารถแยกคาํนี้ออกเปนสองคาํคอื ขอมูล (Information) ซึ่ง

หมายถงึ ความรู ความคดิ ขาวสาร และขอเทจ็จรงิ สวนการรกัษาความปลอดภยั (Security) หมายถงึ การทาํใหรอดพน

จากอนัตราย หรอืการทาํใหรอดพนจากความกลวั ความทกุขใจ หรอืความกงัวล ดงันั้น เมื่อเรานาํคาํสองคาํนี้มารวมกนั

เรากจ็ะไดวา การรกัษาความปลอดภยัขอมูล หมายถงึ การทาํใหความรู ความคดิ ขาวสาร และขอเทจ็จรงิ รอดพนจาก

อนัตราย และถาตคีวามใหเขากบัไอทกีจ็ะไดวา การรกัษาความปลอดภยัขอมูล หมายถงึ มาตรการที่ใชสาํหรบัปองกนั

ผูที่ไมไดรบัอนญุาตในการเขาถงึ ลบ แกไข หรอืขดัขวางไมใหผูที่ไดรบัอนญุาตใชงาน ความรู แนวคดิ และขอเทจ็จรงิ ทด

ลองอ่าน

Master in Security 3rd Edition

Master in Security 3Master in Security 3rd Edition Edition

5

ความหมายที่กลาวถึงขางตนนั้นเปนความหมายที่กวางมาก ซึ่งจะรวมถึงมาตรการทุกอยางที่อาจใชสําหรับ

ปองกันไมใหสิ่งไมดีเกิดขึ้นกับความรู ความคิด ขาวสาร และขอเท็จจริง นอกจากนี้รูปแบบของขอมูลก็ยังไมไดจํากัด

เฉพาะรูปแบบใดรูปแบบหนึ่ง มนัอาจเปนความรู หรอือาจเปนความสามารถกไ็ด อยางไรกต็ามมาตรการในการรกัษา

ความปลอดภยัขอมูลนั้นไมสามารถที่จะรบัรองไดวา ขอมูลจะปลอดภยัรอยเปอรเซน็ต ยกตวัอยางเชน ถงึแมวาเราจะ

สามารถสรางกําแพงเมืองไดใหญและแข็งแรงมากแคไหน แตศัตรูก็อาจสามารถสรางปนใหญที่สามารถทําลายกําแพง

ลงไดอยางงายดาย หรอืถงึแมวาเราจะมไีฟรวอลลที่มปีระสทิธภิาพดมีากแคไหน แตผูโจมตนีั้นอาจอยูภายในเครอืขาย

เปนตน การรกัษาความปลอดภยันั้นเปนการบรหิารความเสี่ยงใหอยูในระดบัที่ยอมรบัได

โดยทั่วไปแลวคาํวาขอมูล (Data) จะใชในความหมายที่แตกตางจากสารสนเทศ (Information) โดยขอมูลนั้น

สวนใหญจะหมายถงึ ขอมูลดบิ สวนสารสนเทศจะหมายถงึ ผลลพัธที่ไดจากการนาํขอมูลมาประมวลผล เพื่อใหไดสิ่ง

ที่เปนประโยชนในการนาํไปใชงานมากขึ้น และเมื่อนาํสารสนเทศผานกระบวนการวเิคราะหไตรตรองอยางด ีกจ็ะไดผล

ออกมาเปนความรู (Knowledge) ที่สามารถนาํไปประยกุตใชในปญหานั้นๆ ได และหากประมวลความรูจากหลายๆ ดาน

กจ็ะไดสิ่งที่เรยีกวา ปญญา (Wisdom) อยางไรกต็ามในระบบคอมพวิเตอรนั้นจะมองวาทกุอยางเปนขอมลูเหมอืนกนัหมด

เพราะฉะนั้นในหนงัสอืเลมนี้อาจใชคาํวา ขอมูลหรอืสารสนเทศในความหมายเดยีวกนั

อกีคาํหนึ่งที่กาํลงัไดรบัความนยิมคอื การรกัษาความปลอดภยัไซเบอร ( Cybersecurity) ซึ่งหมายถงึ กระบวนการ

ที่จะทําใหองคกรปราศจากความเสี่ยงและอันตรายที่มีผลตอความปลอดภัยของขอมูลขาวสารในทุกรูปแบบ ทั้งทาง

อิเล็กทรอนิกสและทางกายภาพ รวมถึงการรักษาความปลอดภัยของระบบสารสนเทศและเครือขายที่ใชในการเก็บ

เขาถงึ ประมวลผล และกระจายขอมูลขาวสารนั้นดวย นอกจากนี้ยงัรวมถงึการระวงัปองกนัตออาชญากรรม การโจมต ี

การบอนทาํลาย การจารกรรม อบุตัเิหต ุและความผดิพลาดตางๆ ตอขอมูลขาวสารขององคกรอกีดวย

วิวัฒนาการของการรักษาความปลอดภัยรูปแบบของการรกัษาความปลอดภยัของขอมูลและทรพัยสนิอื่นๆ นั้นไดมวีวิฒันาการกบักาลเวลาเหมอืนกบั

สังคมและเทคโนโลยีอื่นๆ การเรียนรูและเขาใจวิวัฒนาการนี้จะชวยใหเขาใจระบบการรักษาความปลอดภัยที่มีอยูใน

ปจจบุนั และอาจเปนบทเรยีนที่ชวยใหเราไมตองทาํผดิเหมอืนกบัที่เคยเกดิขึ้นในอดตีได

การรักษาความปลอดภัยดานกายภาพ ( Physical Security)แตกอนนั้นทรพัยสนิสวนใหญจะเปนวตัถทุี่จบัตองได ขอมลูที่สาํคญักอ็ยูในรปูแบบวตัถเุชนกนั เนื่องจากขอมลู

จะถกูบนัทกึไวบนแผนหนิ แผนหนงั หรอืกระดาษ และบคุคลสาํคญัในอดตีสวนใหญจะไมนยิมบนัทกึขอมลูที่สาํคญัมากๆ

ลงบนสื่อถาวร เชน แผนหนงัหรอืกระดาษ และจะไมสนทนาเกี่ยวกบัขอมูลเหลานี้กบับคุคลอื่นนอกเหนอืจากที่บคุคลที่

ไวใจไดเทานั้น นี่อาจเปนที่มาของคาํวา “ความรูคอือาํนาจ (Knowledge is power)” ซึ่งหมายความวา ผูที่มคีวามรูคอื

ผูที่มอีาํนาจนั่นเอง และนี่อาจเปนรูปแบบการรกัษาความปลอดภยัที่ดทีี่สดุในขณะนั้นกไ็ด ซนัซู นกัปรชัญาชาวจนี ได

กลาวไววา “ความลบัที่รูโดยคนมากกวาหนึ่งคน กไ็มถอืวาเปนความลบัอกีตอไป” การที่จะปกปองทรพัยสนิที่เปนวตัถุ

นั้นกต็องใชการปกปองทางดานกายภาพ เชน ปอมปราการ ประตู กาํแพง ประสาท หอง ตู กลอง กญุแจ ยาม เปนตน

ถาตองมกีารสงขอมลูไปที่อื่นกจ็ะใชผูสงขาว และสวนใหญกจ็ะมผีูคุมกนัตดิตามไปดวย ภยัอนัตรายนั้นจะอยู

ในรูปแบบทางกายภาพทั้งสิ้น ไมมทีางที่จะไดขอมูลมาโดยที่ไมตองไปความาดวยมอื โดยสวนใหญทรพัยสนิ เชน เงนิ

ทอง หรอืขอมูลที่บนัทกึลงบนสื่อ จะถูกขโมยหรอืถูกแยงไปจากเจาของหรอืผูดูแลทรพัยสนินั้น

ทดลองอ่าน

บทที่ 1 Cybersecurity

PART 1

Information Security

6

รูปที่ 1.1 : Enigma เครื่องมื อเขา/ถอดรหัสที่ใชในชวงสงครามโลกครั้งที่ 2

การรักษาความปลอดภัยดานการสื่อสาร ( Communication Security)อยางไรกต็ามการรกัษาความปลอดภยัเฉพาะดานกายภาพดานเดยีวนั้น กม็ขีอบกพรอง จดุออน หรอืชองโหว

หลายอยาง กลาวคอื ถาเอกสารหรอืวตัถทุี่ใชบนัทกึขอมูลถูกขโมยระหวางการรบัสง ศตัรูกส็ามารถเปดอานและเขาใจ

ขอมูลนั้นไดเลยทนัท ีจนกระทั่งเมื่อราวยคุของจูเลยีส ซซีาร (Julius Caesar) ขอบกพรองนี้ไดถูกคนพบ โดยในสมยันั้น

(ยคุศตวรรษที่ 2) ไดมกีารคดิคนวธิกีารที่ใชสาํหรบัการ “ซอน” ขอมูล หรอืการเขารหสัขอมูล ( Encryption) ซึ่งขอมูลจะ

ถูกเขารหสักอน ที่จะสงไปใหอกีฝายหนึ่ง ดงันั้น ถามกีารขโมยขอมูลระหวางทาง ผูอานกจ็ะไมเขาใจเนื้อหาที่แทจรงิของ

ขอมูลถาไมรูวธิถีอดรหสั

แนวคดินี้ไดถูกพฒันามาใชในชวงสงครามโลกครั้งที่ 2 โดยเยอรมนัใชเครื่องมอืที่เรยีกวา เอน็นกิมา (Enigma)

ดงัแสดงในรปูที่ 1.1 : Enigma สาํหรบัเขารหสัขอมลูที่รบัสงระหวางหนวยทหาร ในขณะนั้นเยอรมนัเชื่อวาไมมใีครสามารถ

ถอดรหัสลับนี้ได แตในที่สุดฝายพันธมิตรก็สามารถถอดรหัสของเครื่องเอ็นนิกมานี้ได ทําใหฝายพันธมิตรสามารถอาน

ขอมูลที่รับสงได ซึ่งสงผลใหเยอรมันแพสงครามในที่สุด อยางไรก็ตามชองโหวนั้นไมใชเพราะเทคนิคการเขารหัสไม

แขง็แกรงพอ แตเกดิจากขอผดิพลาดของผูใชงานเครื่องนี้เอง ที่ไมระมดัระวงัเกี่ยวกบัการเกบ็รกัษารหสัลบัที่ใชเขารหสั

ขอมูล ทาํใหหลดุรั่วออกไปยงัฝายตรงขามได

ในชวงสงครามโลกครั้งที่ 2 นี้ การสื่อสารทางดานการทหารนั้น จะใชรหสัแทนชื่อจรงิของหนวยทหารหรอืสถานที่

อยูแลว ตวัอยางเชน ญี่ปุนนั้นกใ็ชรหสัแทนชื่อเรยีกทั่วไปในการสื่อสารกนั ถงึแมวาสหรฐัฯ จะสามารถถอดรหสัขอมูลได

แตกย็งัตองทาํความเขาใจกบัรหสัที่ใชแทนชื่อทั่วไปนี้อกี ซึ่งเปนการเพิ่มความยากในการเขาใจขอมูลจรงิๆ ตวัอยางเชน

ในชวงกอนที่จะเกดิสงครามที่เกาะมดิเวยระหวางญี่ปุนและสหรฐัฯ ในตอนนั้นสหรฐัฯ สามารถถอดรหสัลบัของญี่ปุนได

แตยงัไมเขาใจรหสัที่ใชแทนชื่อสถานที่ โดยในขอความที่สงนั้นญี่ปุนจะโจมตเีปาหมายที่มรีหสัวา “AF” แตในที่สดุสหรฐัฯ

กส็ามารถถอดรหสันี้ได และรูวา “AF” นั้นหมายถงึ มดิเวยนั่นเอง เทคนคิการถอดรหสัของสหรฐัฯ ทาํไดโดยสหรฐัฯ สง

ขอความหลอกวา “เกาะมดิเวยขาดแคลนนํ้าจดื” โดยขอความนี้ไมไดเขารหสั เพื่อหลอกใหญี่ปุนอานขอความนี้ ญี่ปุนจะ

เขารหสัขอความนี้ แลวสงตอใหหนวยอื่นทราบ สหรฐัฯ สามารถดกัอานขอความนี้ไดและถอดรหสัออกมาแลวในขอความ

นั้นมอีกัษรวา “AF” ที่ระบสุถานที่ ทาํใหสหรฐัฯ รูไดทนัทวีาอกัษร “AF” นั้นหมายถงึเกาะมดิเวยนั่นเอง

ทดลองอ่าน

Master in Security 3rd Edition

Master in Security 3Master in Security 3rd Edition Edition

7

ขอความไมใชแคตวัอกัษรที่เขารหสัในระหวางการสื่อสารกนั ขอความที่สื่อสารดวยเสยีง เชน วทิยแุละโทรศพัท

กเ็ปนอกีขอมูลประเภทหนึ่งที่ตองเขารหสัเพื่อปกปองความลบัของขอมูล หรอืเพื่อปองกนัการดกัฟงการสื่อสารดวยเสยีง

สหรฐัฯ เขารหสัเสยีงโดยใช “นาวาโฮโคดทอลคเกอร (Navaho Code Talker)” นาโวโฮเปนชนเผาหนึ่งที่มภีาษาเปนของ

ตัวเอง ผูรับสงขาวนั้นจะใชภาษานี้ในการสื่อสารกัน ซึ่งถาฝายศัตรูมีการดักฟงวิทยุที่สื่อสารกันก็อาจจะไดยินแตคงไม

เขาใจภาษาได

หลงัจากสงครามโลกครั้งที่ 2 สหภาพโซเวยีตไดใชวนัไทมแพด็ ( One time pad) เพื่อเขารหสัขอมูลที่รบัสงโดย

สายลับ วันไทมแพ็ดใชการเขารหัสโดยการสงขอความบนปกกระดาษ โดยแตละหนาจะประกอบดวยตัวเลขที่เปนเลข

สุม แตละหนานั้นจะใชแทนหนึ่งขอความเทานั้น รูปแบบการเขารหัสแบบนี้จะไมสามารถถอดรหัสไดถามีการใชอยาง

ถูกตองคือ ใชหนึ่งคียตอการเขารหัสหนึ่งขอความ แตสหภาพโซเวียตไดใชคียมากกวาหนึ่งครั้ง ทําใหขอความที่สงนั้น

ถูกถอดรหสัไดโดยงาย

การรักษาความปลอดภัยการแผรังสี ( Emissions Security)การถอดรหสั เปนสิ่งที่ยากมากถาใชเทคนคิการเขารหสัขอมลูที่ด ีอยางไรกต็ามการถอดรหสัโดยใชเทคนคิทาง

คณติศาสตรนั้นไมใชวธิกีารเดยีวที่จะถอดรหสัขอมลูได ดงันั้น จงึไดมคีวามพยายามที่จะคดิคนเทคนคิใหมๆ สาํหรบัอาน

ขอมูลที่เขารหสั ในชวงทศวรรษ 1950 ไดมกีารคนพบวาขอมูลที่รบัสงนั้น สามารถอานไดโดยการอานสญัญาณไฟฟาที่

สงผานสายโทรศัพท อปุกรณอเิล็กทรอนิกสทกุประเภทจะมกีารแผรงัสีออกมา ซึ่งรวมถึงเครื่องพมิพโทรสารและเครื่อง

สาํหรบัเขาและถอดรหสัขอมูลดวย เครื่องเขารหสัจะรบัเขาขอความแลวเขารหสัและสงไปบนสายโทรศพัท ในชวงนั้นได

มกีารคนพบวาสญัญาณไฟฟาที่แทนขอมูลที่ยงัไมไดเขารหสั กถ็ูกสงไปบนสายโทรศพัทดวยเชนกนั นั่นหมายความวา

ขอมูลเดมิที่ยงัไมไดถูกเขารหสันั้น สามารถกูคนืไดถาใชเครื่องมอือานสญัญาณไฟฟาที่ด ี

ปญหานี้เปนเหตุใหสหรัฐฯ ตองกําหนดมาตรฐานที่ชื่อ เทมเปสต ( TEMPEST) ซึ่งเปนมาตรฐานที่ควบคุม

การแผรังสีของอุปกรณคอมพิวเตอร และใชกับระบบที่สําคัญๆ จุดมุงหมายก็เพื่อลดการแผรังสีที่อาจใชสําหรับการ

กูคนืขอมูลได

รูปที่ 1.2 : สัญญาณที่สงผานสายโทรศัพท

ทดลองอ่าน

บทที่ 1 Cybersecurity

PART 1

Information Security

8

การรักษาความปลอดภัยคอมพิวเตอร ( Computer Security)การเขารหสัขอมูลและการควบคมุการแผรงัส ีเปนมาตรการการรกัษาความปลอดภยัของขอมูลที่เพยีงพอ ถา

ระบบสื่อสารขอมูลนั้นมีเพียงแคการใชเครื่องสงโทรสารเหมือนดังในรูปที่ 1.2 แตตอมาไดมีการนําคอมพิวเตอรเขามา

ใชงานแทนเครื่องสงโทรสาร และขอมูลสวนใหญกอ็ยูในรูปแบบดจิติอล และไดมกีารพฒันาคอมพวิเตอรเพื่อใหใชงาน

งายและสะดวกมากขึ้นเรื่อยๆ ทําใหผูที่มีเครื่องคอมพิวเตอรสามารถเขาถึงขอมูลทั้งหมดที่จัดเก็บในเครื่องนั้นดวยเชน

กนั จงึเกดิปญหาความไมปลอดภยัในการจดัเกบ็ขอมูลในระบบคอมพวิเตอร

ดงันั้น ในชวงทศวรรษ 1970 เดวดิ เบลล (David Elliott Bell) และลโีอนารด ลา พาดูลา (Leonard J. La Padula)

ไดพฒันาแมแบบสาํหรบัการรกัษาความปลอดภยัของคอมพวิเตอร (Bell-La Padula Model) แมแบบนี้พฒันาจากแนวคดิ

ในการจดัระดบัความปลอดภยัของขอมูลของรฐับาลสหรฐัฯ ซึ่งแบงออกไดเปน 4 ชั้นคอื ไมจดัระดบั, ลบั, ลบัมาก และ

ลบัที่สดุ (Unclassified, Confidential, Secret, Top Secret) และระดบัสทิธิ์ของผูที่เขาถงึขอมลูลบันี้ ( Clearance) ซึ่งม ี4 ระดบั

เหมอืนกนั หลกัการของระบบนี้คอื ผูที่สามารถเขาถงึขอมูลในระด ับใดระดบัหนึ่งได จะตองมสีทิธิ์ (Clearance) เทากบั

หรอืสูงกวาชั้นความลบัของขอมูลนั้น ดงันั้น ผูที่มสีทิธิ์นอยกวาชั้นความลบัของไฟลกจ็ะไมสามารถเขาถงึไฟลนั้นได

แนวคดินี้ไดถูกนาํไปใชในกระทรวงกลาโหมของสหรฐัฯ โดยไดชื่อวา มาตรฐาน 5200.28 หรอื TCSEC (Trusted

Computing System Evaluation Criteria) หรอืเปนที่รูจกัทั่วไปวา ออเรนจบุค ( Orange Book) เหตทุี่เรยีกชื่อนี้เนื่องจากหนงัสอื

มาตรฐานนี้มปีกสสีมนั่นเอง ในมาตรฐานนี้ไดกาํหนดระดบัความปลอดภยัของคอมพวิเตอรออกเปนระดบัตางๆ ไดดงันี้

D — Minimal protection

Reserved for those systems that have been evaluated but that fail to meet the requirements for a higher

division.

C — Discretionary protection

C1 — Discretionary Security Protection ¢ Identification and authentication.

¢ Separation of users and data.

¢ Discretionary Access Control (DAC) capable

of enforcing access limitations on an individual

basis.

¢ Required System Documentation and user

manuals.

C2 — Controlled Access Protection ¢ More finely grained DAC.

¢ Individual accountability through login

procedures.

¢ Audit trails.

¢ Object reuse.

¢ Resource isolation.B — Mandatory protection

ทดลองอ่าน

Master in Security 3rd Edition

Master in Security 3Master in Security 3rd Edition Edition

9

B1 — Labeled Security Protection ¢ Informal statement of the security policy model.

¢ Data sensitivity labels.

¢ Mandatory Access Control (MAC) over selected

subjects and objects.

¢ Label exportation capabilities.

¢ All discovered flaws must be removed or

otherwise mitigated.

¢ Design specifications and verification.

B2 — Structured Protection ¢ Security policy model clearly defined and

formally documented.

¢ DAC and MAC enforcement extended to all

subjects and objects.

¢ Covert storage channels are analyzed for

occurrence and bandwidth.

¢ Carefully structured into protection-critical and

non-protection-critical elements.

¢ Design and implementation enable more

comprehensive testing and review.

¢ Authentication mechanisms are strengthened.

¢ Trusted facility management is provided with

administrator and operator segregation.

¢ Strict configuration management controls are

imposed.

¢ Operator and Administrator roles are separated.

ทดลองอ่าน

บทที่ 1 Cybersecurity

PART 1

Information Security

10

B3 — Security Domains ¢ Satisfies reference monitor requirements.

¢ Structured to exclude code not essential to

security policy enforcement.

¢ Significant system engineering directed toward

minimizing complexity.

¢ Security administrator role defined.

¢ Audit security-relevant events.

¢ Automated imminent intrusion detection,

notification, and response.

¢ Trusted system recovery procedures.

¢ Covert timing channels are analyzed for

occurrence and bandwidth.

¢ An example of such a system is the XTS-300,

a precursor to the XTS-400.A — Verified protection

A1 — Verified Design ¢ Functionally identical to B3.

¢ Formal design and verification techniques

including a formal top-level specification.

¢ Formal management and distribution procedures.

¢ Examples of A1-class systems are Honeywell's

SCOMP, Aesec's GEMSOS, and Boeing's SNS

Server. Two that were unevaluated were the

production LOCK platform and the cancelled

DEC VAX Security Kernel.

ในแตละระดับออเรนจบุคไดกําหนดฟงกชันตางๆ ที่ระบบตองมีและการประกัน ดังนั้น ระบบที่ตองการ

ใบรบัรองวาจดัอยูในระดบัใด ระบบนั้นตองมทีั้งฟงกชนัตางๆ ที่กาํหนดในระดบันั้น พรอมทั้งการรบัประกนัในระดบันั้นได

ดวย ขอกาํหนดเกี่ยวกบัการรบัประกนัสาํหรบัระบบเพื่อใหเปนไปตามมาตรฐานนั้น ตองใชเวลาและคาใชจายสงูสาํหรบั

บรษิทัผูผลติ นี่เปนผลที่ทาํใหมไีมกี่ระบบที่ไดรบัการรบัรองเหนอืกวาระดบั C2 ที่ผานมามแีคระบบเดยีวเทานั้นที่ไดรบั

ใบรบัรองในระดบั A1 นั่นคอื ระบบ Honeywell SCOMP แตระบบนี้ลาสมยัไปในตอนที่ผานกระบวนการตรวจสอบเสรจ็

หลงัจากนั้นไดมกีารกาํหนดมาตรฐานใหมขึ้นมาแทนออเรนจบุค เพื่อแกขอบกพรองในเรื่องของเวลาที่ใชในการ

ตรวจทดสอบเพื่อออกใบรบัรอง เชน German Green Book (1989), Canadian Criteria (1990), ITSEC : Information Technology

Security Evaluation Criteria (1991) และ Federal Criteria (1992) ซึ่งแตละมาตรฐานที่กลาวมานี้กเ็พื่อกาํหนดกระบวนการใน

การออกใบรบัรองวาระบบคอมพวิเตอรนั้นมคีวามปลอดภยัระดบัไหน อยางไรกต็ามคอมพวิเตอรมวีวิฒันาการอยางรวดเรว็

ระบบปฏบิตักิารสมยัใหมและฮารดแวรใหมๆ ไดถกูพฒันาขึ้นมาแทนที่ระบบเกาเรว็กวากอนที่ระบบเกาจะไดรบัใบรบัรอง

ทดลองอ่าน

Master in Security 3rd Edition

Master in Security 3Master in Security 3rd Edition Edition

11

แตสิ่งที่ยังขาดคือ กระบวนการสําหรับการตรวจทดลองเพื่อออกใบรับรองวาระบบคอมพิวเตอรนั้นปลอดภัย

เทคโนโลยมีกีารเปลี่ยนแปลงที่เรว็มากกวาเวลา ที่ใชกบักระบวนการตรวจทดลองความปลอดภยัของระบบ เพราะเปนการ

ยากมาก หรอืแทบจะเปนไปไมไดเลยเกี่ยวกบัการที่จะพสิูจนวาระบบใดปลอดภยัหรอืไม

การรักษาความปลอดภัยเครือขาย ( Network Security)ปญหาหนึ่งที่เกี่ยวกับการตรวจทดลอง เพื่อออกใบรับรองมาตรฐานระดับความปลอดภัยใหแกระบบ

คอมพวิเตอรกค็อื การขาดความเขาใจเกี่ยวกบัเรื่องเครอืขาย เมื่อคอมพวิเตอรถกูเชื่อมตอกนัเขาเปนเครอืขาย ปญหาใหม

กเ็กดิขึ้น และปญหาเกากเ็กดิจากอกีทางหนึ่ง ยกตวัอยางเชน การสื่อสารคอมพวิเตอรนั้นเปลี่ยนจาก WAN มาเปนแบบ

LAN ซึ่งมแีบนดวธิที่สูงมาก และอาจมหีลายเครื่องที่เชื่อมตอเขากบัสื่อเดยีวกนั การเขารหสัโดยใชเครื่องเขารหสัเดี่ยวๆ

อาจไมไดผล การแผรงัสจีากสายทองแดงที่ใชสื่อสารนั้นมสีงูมาก เพราะสายทองแดงจะกระจายทั่วทั้งหองหรอืทั่วทั้งอาคาร

กไ็ด และสดุทายกม็ผีูใชหลายๆ คนที่สามารถลอ็กอนิไดจากหลายๆ ที่โดยอาจมรีะบบบรหิารจดัการที่เปนศูนยกลาง

ออเรนจบุคไมไดมขีอกาํหนดเกี่ยวกบัเครอืขายคอมพวิเตอร ดงันั้น การเชื่อมตอคอมพวิเตอรเขากบัเครอืขาย

อาจทาํใหใบรบัรองเปนโมฆะหรอืไมมปีระโยชน ทางออกสาํหรบัปญหานี้คอื การใชมาตรฐาน TNI (Trusted Network

Interpretation) ของ TCSEC หรอืที่รูจกัในชื่อ เรดบุค ( Red Book) ซึ่งออกมาในป 1987 ขอกาํหนดในเรดบุคมาจากออเรนจ

บุคทั้งหมด และไดเพิ่มสวนที่เกี่ยวของกบัเครอืขายเขาไป อยางไรกต็ามเนื่องจากมขีอกาํหนดเกี่ยวกบัฟงกชนัและการรบั

ประกนัมากทาํใหใชเวลามาก เกนิไปในการตรวจทดลองระบบ โดยจะมเีพยีงบางระบบเทานั้นที่ผานการตรวจทดลองของ

TNI และในระบบที่ไดรบัใบรบัรองนั้นไมมรีะบบใดเลยที่ใชในเชงิพาณชิย

การรักษาความปลอดภัยขอมูล ( Information Security)จากประวตัศิาสตรที่ไดกลาวมานั้น เราสามารถสรปุไดวาไมมวีธิกีารใดที่สามารถแกปญหาเกี่ยวกบัการรกัษา

ความปลอดภยัไดทั้งหมด แทที่จรงิแลวการรกัษาความปลอดภยัที่ดนีั้นจะตองใชทกุๆ วธิกีารที่กลาวมารวมกนั การรกัษา

ความปลอดภัยทางดานกายภาพ ก็ยังเปนวิธีการที่ดีสําหรับการปกปองทรัพยสินที่เปนวัตถุ การรักษาความปลอดภัย

ดานการสื่อสาร ( COMSEC) เปนวธิทีี่ใชปกปองขอมูลในระหวางการสื่อสาร การรกัษาความปลอดภยัเกี่ยวกบัการแผรงัส ี

( EMSEC) เปนสิ่งที่จําเปน เมื่อฝายตรงกันขามมีเครื่องมือที่สามารถอานขอมูลจากรังสีที่แผออกจากระบบคอมพิวเตอร

การรกัษาความปลอดภยัคอมพวิเตอร ( COMPSEC) เปนสิ่งที่จาํเปนสาํหรบัการควบคมุการเขาถงึระบบคอมพวิเตอร และ

การรกัษาความปลอดภยัเครอืขาย ( NETSEC) กเ็ปนสิ่งที่จาํเปนสาํหรบัการควบคมุการใชงานเครอืขาย และวธิกีารที่กลาว

มาทั้งหมดนี้รวมกนั กส็ามารถใหบรกิารการรกัษาความปลอดภยัขอมูล ( INFOSEC) ได

การรกัษาความปลอดภยัขอมูลนั้นเปนการปกปองคณุสมบตัทิั้ง 3 ดานของขอมูล ซึ่งไดแก ความลบั ความ

ถูกตอง และความพรอมใชงาน การรกัษาความลบัของขอมูล หมายถงึ การอนญุาตใหเฉพาะผูมสีทิธิ์เทานั้นที่จะเขาถงึ

ขอมลูได สวนการรกัษาความถกูตองของขอมลู หมายถงึ การอนญุาตใหเฉพาะผูที่มสีทิธิ์เทานั้นที่สามารถแกไขขอมลูได

และดานสดุทายคอื ความพรอมใชงาน ซึ่งผูที่ไดรบัอนญุาตสามารถเขาถงึขอมูลไดเมื่อตองการ

เนื่องจากขอมูลปจจุบันจะอยูในรูปแบบดิจิตอล และอาจถูกจัดเก็บไวในมีเดียหรือฮารดดิสกในเครื่อง

คอมพวิเตอร หรอือาจอยูในระหวางการประมวลผลในระบบคอมพวิเตอร หรอือาจอยูระหวางการสงผานเครอืขาย หรอื

อาจบนัทกึไวบนกระดาษหรอืกระดานประกาศขาวกไ็ด ไมวาขอมลูจะอยูที่แหงใด การรกัษาความปลอดขอมลูนั้นจาํเปน

ตองมอียูเสมอ ดงันั้น มาตรการรกัษาความปลอดภยัทั้งหมดที่กลาวมา จงึมคีวามจาํเปนสาํหรบัการปกปองคณุสมบตัิ

ทั้ง 3 ดานของขอมูลนั่นเอง

ทดลองอ่าน

บทที่ 1 Cybersecurity

PART 1

Information Security

12

การรักษาความปลอดภัยไซเบอร ( Cybersecurity)การรกัษาความปลอดภยัไซเบอร หมายถงึ การใชเทคโนโลยแีละกระบวนการในการปองกนัระบบคอมพวิเตอร

เครอืขาย และขอมูล จากการเขาถงึโดยไมไดรบัอนญุาต หรอือกีนยัหนึ่งคอื การปองกนัอนัตรายในโลกออนไลน ที่มผีล

กระทบตอตัวผูใชงานและขอมูลซึ่งเปนทรัพยสินประเภทหนึ่ง ซึ่งในปจจุบันมีผูใชงานออนไลนทั่วโลกเพิ่มมากขึ้น ทั้งนี้

เนื่องมาจากปจจัยหลายๆ ดาน ไมวาจะเปนอัตราคาบริการที่ถูกลง หรือการเพิ่มขึ้นของอุปกรณพกพาตางๆ เชน

สมารทโฟนและแทบ็เลต็ เปนตน

ไซเบอร (Cyber) คอื คาํที่กรอนมาจากคาํวา ไซเบอรเนตกิส (Cybernetics) และมคีวามหมายวาเกี่ยวของกบั

ระบบเครอืขายหรอืสงัคมเครอืขาย เชน ระบบอนิเทอรเนต็ ไซเบอรเนตกิส เปนวชิาการที่ศกึษาเกี่ยวกบัระบบควบคมุ

ของสิ่งมชีวีติ เชน ระบบประสาทของสิ่งมชีวีติ เพื่อนาํไปใชประยกุตใชกบัระบบที่มนษุยสรางขึ้นหรอืระบบอเิลก็ทรอนกิส

วชิานี้เปรยีบเทยีบความคลายคลงึกนัระหวางสิ่งมชีวีติกบัสิ่งไมมชีวีติ และยดึหลกัการพื้นฐานทางดานการสื่อสารและการ

ควบคมุ ที่สามารถอธบิายการทาํงานของทั้งสิ่งมชีวีติและสิ่งไมมชีวีติได ชื่อของวชิานี้มาจากคาํภาษากรกี หมายความ

วา นาํหรอืปกครอง ทั้งนี้มคีาํหรอืกลุมคาํที่มคีวามหมายใกลเคยีงและมคีวามสมัพนัธกนั ไดแก Electronic, Cyber และ

Virtuality ซึ่งมักใชนําหนาผลิตภัณฑหรือการบริการ ที่มีระบบอิเล็กทรอนิกสหรือคอมพิวเตอรเปนสวนประกอบสําคัญ

เชน E- ยอมาจาก อิเล็กทรอนิกส (Electronic) ใชในนําหนาผลิตภัณฑหรือบริการที่อยูในรูปของอิเล็กทรอนิกส เชน

จดหมายอเิลก็ทรอนกิส (E-mail), การคาอเิลก็ทรอนกิส (E-commerce), ธรุกจิอเิลก็ทรอนกิส (E-business), การธนาคาร

อเิลก็ทรอนกิส (E-banking) และหนงัสอือเิลก็ทรอนกิส (E-book) เปนตน ปจจบุนัมคีวามนยิมที่จะใชคาํวา ไซเบอร (Cyber)

แทนคาํวาอเิลก็ทรอนกิสนั่นเอง

ไซเบอร เปนคาํนาํหนานามที่กรอนมาจากคาํวา ไซเบอรเนตกิส (Cybernetics) เปนคาํมาจากภาษากรกี แปลวา

ความสามารถในการนาํ (Steering) หรอืการปกครอง (Governing) ทั้งนี้ไซเบอรเนตกิสยงัมคีวามหมายในการควบคมุการ

พดูและกระบวนการในการทาํงานของสมอง ซึ่งนาํไปใชในเรื่องเกี่ยวกบัคอมพวิเตอรและอเิลก็ทรอนกิส ในการทาํงานของ

ระบบควบคมุระยะไกล หรอืการควบคมุแบบเครอืขายอเิลก็ทรอนกิส และเมื่อนาํไปใชในคาํวา ไซเบอรสเปซ (Cyberspace)

มคีวามหมายครอบคลมุถงึขอบเขตการทาํงานของระบบเครอืขายคอมพวิเตอร หรอืระบบอเิลก็ทรอนกิสระยะไกล ซึ่งมี

ความหมายเหมอืนกบัคาํวา เวอรชวลสเปซ (Virtual Space) หรอืเวอรชวลยูนเิวริส (Virtual Universe)

โดยรวมแลวไซเบอรจงึเปนความหมายในเชงินามธรรม หมายถงึ ขอบเขตที่เกี่ยวของกบัการใชงานของระบบ

เครอืขายคอมพวิเตอรหรอืระบบอเิลก็ทรอนกิส ซึ่งจะครอบคลมุมากกวาคอมพวิเตอร ซึ่งมคีวามหมายในเชงิรปูธรรมของ

อปุกรณระบบคอมพวิเตอรทั่วไป แตหากเปรยีบเทยีบกบัระบบขอมูลขาวสาร (Information System) สามารถกาํหนดให

ไซเบอรเปนสวนหนึ่ง หรอืสบัเซตของระบบขอมูลขาวสารได แตหากวาในทางปฏบิตัเิพื่อรกัษาความปลอดภยัของระบบ

ขอมลูขาวสาร ไซเบอรสเปซและเครอืขายคอมพวิเตอรนั้นไมสามารถแยกแยะออกจากกนัได ไซเบอรสเปซเปนขอบเขตที่

กาํหนดโดยการใชอปุกรณอเิลก็ทรอนกิส และแถบคลื่นแมเหลก็ไฟฟาในการจดัเกบ็ แกไขเปลี่ยนแปลง และแลกเปลี่ยน

ขอมูล ผานทางระบบเครอืขายและโครงสรางพื้นฐานทางกายภาพที่เกี่ยวของ

การรกัษาความปลอดภยัไซเบอร (Cyber Security หรอื Cybersecurity) คอื กระบวนการหรอืการกระทาํทั้งหมด

ที่จําเปน เพื่อทําใหองคกรปราศจากความเสี่ยงและความเสียหาย ที่มีผลตอความปลอดภัยของขอมูลขาวสารในทุก

รูปแบบ ทั้งทางอเิลก็ทรอนกิสและทางกายภาพ ความปลอดภยัของระบบและเครอืขายที่ใชในการเกบ็ เขาถงึ ประมวล

ผล และกระจายขอมูล ทั้งนี้การรกัษาความปลอดภยัไซเบอรยงัรวมถงึการระวงัปองกนัตออาชญากรรม การโจมต ีการ

บอนทาํลาย การจารกรรม อบุตัเิหต ุและความผดิพลาดตางๆ

ทดลองอ่าน

Master in Security 3rd Edition

Master in Security 3Master in Security 3rd Edition Edition

13

สงครามไซเบอร ( Cyber Warfare)การนําเทคโนโลยีสารสนเทศมาใชทางดานการทหารอยางแพรหลาย จนทําใหกองทัพตองปรับเปลี่ยน

รปูแบบในการทาํสงครามแบบใหม หรอืที่เรยีกวายคุการปฏบิตักิารที่ใชเครอืขายเปนศนูยกลาง ซึ่งเปนยคุที่จาํเปนตองใช

เทคโนโลยสีารสนเทศและการสื่อสารเขามาเปนองคประกอบที่สาํคญัในการขบัเคลื่อนปฏบิตักิารทางทหาร ยกตวัอยาง

เชน ระบบบญัชาการและควบคมุ ระบบเชื่อมโยงขอมลูทางยทุธวธิ ีระบบปองกนัภยัทางอากาศ ระบบอาวธุยทุโธปกรณ

และระบบสงกําลังบํารุง เปนตน การใชประโยชนจากเทคโนโลยีสารสนเทศจะชวยเพิ่มประสิทธิภาพในการปฏิบัติการ

อยางไรก็ตามระบบตางๆ เหลานี้มีความเสี่ยงสูงที่จะเปนเปาหมายของการถูกโจมตีผานทางไซเบอรสเปซ จนปจจุบัน

ไดเกดิการทาํสงครามรูปแบบใหม ที่เรยีกวา สงครามไซเบอร (Cyber Warfare) ซึ่งเปนการปฏบิตักิารสงครามที่เกดิขึ้น

ในโลกไซเบอรแตสงผลกระทบในโลกจรงิ

ตวัอยางที่เหน็ชดัเจนคอื กรณขีองสตกัซเนต็ (Stuxnet) ซึ่งเปนอาวธุไซเบอรชนดิหนึ่ง สามารถทาํลายโรงงาน

ผลิตอาวุธนิวเคลียรของประเทศอิหรานได จากตัวอยางกรณีนี้และอีกหลายๆ เหตุการณ ทําใหหลายประเทศไดเห็น

ความสาํคญั และเริ่มกระบวนการพฒันาอาวธุไซเบอรเพื่อใชโจมตเีปาหมายทางทหารบางประเภท ดงันั้น กองทพัจงึมี

ความจาํเปนอยางยิ่งที่ตองเตรยีมการในการปองกนัการโจมตจีากไซเบอรสเปซ และในขณะเดยีวกนัจาํเปนที่ตองพฒันา

ศักยภาพความพรอมในการปฏิบัติการสงครามไซเบอร ซึ่งจะเปนการทวีกําลังทางทหารในการตอสูในสงครามรูปแบบ

ใหมที่จะเกดิขึ้นอยางแนนอนในอนาคตอนัใกล

หลักการพื้นฐานของการรักษาความปลอดภัยขอมูลการที่จะบอกไดวาขอมูลนั้นมคีวามปลอดภยัหรอืไม กโ็ดยการวเิคราะหคณุสมบตัหิลกัทั้ง 3 ดานคอื ความลบั

รูปที่ 1.3 : คุณสมบัติของความปลอดภัยขอมูล

ความถูกตอง และความพรอมใชงานวามีอยูครบหรือไม ถา

ขาดคุณสมบัติดานใดดานหนึ่งก็แสดงวาขอมูลนั้นไมมีความ

ปลอดภัย ดังนั้น การรักษาความปลอดภัยขอมูลจึงเปนการ

ปกปองรกัษาคณุสมบตัทิั้ง 3 ดานดงัตอไปนี้

¢ ความลบั (Confidentiality) : หมายถงึ ขอมลู

สามารถเขาถงึไดเฉพาะผูที่ไดรบัอนญุาตเทานั้น

¢ ความถูกตอง (Integrity) : หมายถงึ ขอมูล

สามารถถูกแกไขไดเฉพาะผู ที่ไดรับอนุญาต

เทานั้น

¢ ความพรอมใชงาน (Availability) : หมายถงึ

ขอมูลสามารถเขาถึงไดโดยผูที่ไดรับอนุญาต

เมื่อตองการ

ความลับ ( Confidentiality)การรกัษาความลบัของขอมูล หมายถงึ การอนญุาตใหเฉพาะผูที่ไดรบัอนญุาตเขาถงึขอมูลได หรอืถามองอกี

มมุหนึ่งกจ็ะหมายถงึ การปกปองขอมูลไมใหผูที่ไมไดรบัอนญุาตสามารถเขาถงึขอมูลไดนั่นเอง ขอมูลบางอยางมคีวาม

สาํคญัและจาํเปนตองเกบ็ไวเปนความลบั เพราะถาถูกเปดเผยอาจมผีลเสยีหรอืเปนอนัตรายตอเจาของได

ทดลองอ่าน

ทดลองอ่าน