Page 1

PCI-DSS SOLUTION PART 1

มาตรฐานการรักษาความ ปลอดภัย ที่สถาบันการเงิน บริษัทผูใหบริการบัตรเครดิต และผูคาตองปฏิบัติตาม P. 06

นิตยสาร เบย คอมพิวติ้ง ฉบับที่ 11 ป 2554

Mobile Device

Management Solution เพื่อประสิทธิภาพในการดำเนินธุรกิจที่เพิ่มขึ้น ในยุคอุปกรณโมบายเฟองฟู


EDITOR’S NOTE & CONTENTS

กลับมาพบกันอีกครั้งสำหรับ Newsletter ฉบับแรกของปกระตาย ฉบับนี้ยังคง เต็มเปยมไปดวยขอมูลทั้งดาน IT Security และ Network Security โดยเราขอ นำเสนอโซลูชัน Mobile Device Management เนื่องจากปจจุบันมือถือมีความ สามารถที่จะรองรับการใชงานในเชิงธุรกิจมากขึ้น ไมวาจะเปน iPhone/iPad, Blackberry, Windows Mobile, Symbian และนองใหมมาแรงอยาง Android ตางถูกนำมาใชงานกันอยาง กวางขวาง เพื่อใหองคกรเพิ่มความสะดวก รวดเร็ว และเพิ่มประสิทธิภาพในการดำเนินธุรกิจใน ยุคนี้ อีกโซลูชันหนึ่งที่นาสนใจในยุคบัตรเครดิตเฟองฟู ก็คือ PCI-DSS : มาตรฐานเกี่ยวกับการรักษา ความปลอดภัย ครอบคลุมถึงการปกปองขอมูลที่สำคัญของผูถือบัตรเครดิต โดยมีผลบังคับใชกับ ผูออกบัตร, สถาบันการเงิน, ผูคา และทุกองคกรที่เกี่ยวของกับระบบการใชขอมูลจากบัตรเครดิต เพื่อเตรียมความพรอมในการรับมือกับมาตรฐานนี้ สำหรับทุกองคกรที่ตองเกี่ยวของกับระบบ บัตรเครดิต แลวพบกันใหมฉบับหนาในชวงฤดูรอนนะคะ นิดา ตั้งวงศศิริ, ผูจัดการทั่วไป

CONTENTS

02 EDITOR’s NOTE & CONTENTS 03 NEWS UPDATE 04 COVER STORY Mobile Device Management Solution (MDM)

06 SOLUTION UPDATE PCI-DSS Solution Part 1

08 TECHNOLOGY UPDATE

Secure Remote Access กับการสรางความไดเปรียบ ในเชิงธุรกิจ

12 ISMS STANDARD

เสริมมาตรการความปลอดภัยไอทีดวย ISO 27001:2005 ตอนที่ 9 “Annex A”

14 Aperto-WIMAX 2

Bay Computing Newsletter l 11th Issue


NEWS UPDATE

01

02

เบย คอมพิวติ้ง รวมบริจาค คอมพิวเตอรมือสอง

ตัวแทนบริษัท เบย คอมพิวติ้ง เขารวมโครงการบริจาค คอมพิวเตอรมือสองเพื่อการศึกษา แดนองๆ โรงเรียน บานหนองกุม จ. กาญจนบุรี เมื่อวันที่ 21 มกราคม 2554 ที่ ผ า นมา นอกจากนี้ ยั ง มี อุ ป กรณ ก ารเรี ย น การสอนตางๆ โดยไดรับความรวมมือจากพนักงาน ในบริษัทฯ ซึ่งนองๆ ทุกคนตางดีใจและใหการตอนรับ เปนอยางดี

03

บริษัท เบย คอมพิวติ้ง จำกัด จัดการแขงขันโบวลิ่งกระชับมิตร เมื่อวันเสารที่ 22 มกราคม 2554 ที่ผานมา เพื่อสรางความสัมพันธอันดี ระหวางบริษัทฯ และกลุมลูกคา บริษัท ไทย แอรเอเชีย และเปนการขอบคุณ ลูกคาที่ใหความไววางใจและการสนับสนุนที่ดีตลอดมา โดยงานจัดขึ้นที่ เมเจอร โบวล ฮิต อะเวนิว สาขาแจงวัฒนะ ซึ่งบริษัท ไทย แอรเอเชีย เปน ผูควาถวยรางวัลไปครอง

Bay Computing Family Trip to Beijing

เพือ่ เปนการฉลองยอดขายและสรางเสริมกำลังใจใหกบั พนักงาน ผูบ ริหารฯ บริษทั เบย คอมพิวติง้ จัดทริปพาพนักงานทองเทีย่ ว ณ กรุงปกกิง่ ประเทศจีน เมื่อวันที่ 23 - 27 กุมภาพันธ ที่ผานมา ทริปนี้พวกเราทุกคนได สัมผัสอากาศหนาวเย็นทามกลางหิมะ และไดเขาเยี่ยมชมสถานที่ที่สำคัญ ตางๆ ซึ่งเปนสถาปตยกรรมอันเกาแกของประเทศจีน ซึ่งนับวาเปนทริปที่ สรางความประทับใจใหแกพนักงานบริษัทฯ เปนอยางมาก

05

Bowling เชื่อมสัมพันธ

04

RSA Partner’s Appreciation Night

เมื่อวันที่ 28 มกราคม ที่ผานมา RSA จัดงานเลี้ยง สังสรรคระหวางพารตเนอรเพื่อฉลองความสำเร็จใน ปที่ผานมา ในชื่องาน RSA Partner’s Appreciation Night ณ ห อ งแพทติ นั่ ม เมเจอร โ บว ล รั ช โยธิ น ซึ่ ง ภายในงานนอกจากมีกิจกรรมตางๆ ที่นาสนใจแลว บริษัท เบย คอมพิวติ้ง ยังไดรับเกียรติขึ้นรับรางวัล จากทาง RSA อีกครั้ง

Lotusphere and InformationOnDemand Come to you

เมือ่ วันที่ 1 มีนาคม 2554 ทีผ่ า นมา เบย คอมพิวติง้ ไดรว มออกบูธกับ IBM ในงาน “Lotusphere and InformationOnDemand Come to you” ณ หอง World Ballroom Centara Grand โดยมีกลุมลูกคาจากหลายหนวยงานใหความสนใจเขารวมงานสัมมนาครั้งนี้เปนจำนวนมาก ซึ่งเราไดนำโซลูชัน Database Security ภายใตชื่อ IBM Infosphere Guardium ไปแสดง เพื่อใหขอมูลแกลูกคาผูที่สนใจแวะเขาเยี่ยมชมบูธ โดยมีผูเชี่ยวชาญของเราคอยใหคำแนะนำ เกี่ยวกับโซลูชันนี้เปนอยางดี Bay Computing Newsletter l 11th Issue

3


COVER STORY

Mobile Device Management Solution (MDM) โดย ธาดา กิจมาตรสุวรรณ, Consultant, บริษัท เบย คอมพิวติ้ง จำกัด

ทุกวันนี้เทคโนโลยีในโทรศัพทมือถือที่เปนสมารตโฟน (Smart Phone) ไดมกี ารพัฒนาความสามารถเพิม่ เติมอยาง ตอเนื่อง เพื่อที่จะมาเติมเต็มในชีวิตประจำวัน รวมไปถึงมีความ สามารถที่จะรองรับการใชงานในเชิงธุรกิจมากขึ้น ปจจุบัน บริษัท ระดับเอ็นเตอรไพรสมีแผนที่จะนำมือถือคายตางๆ ไมวาจะเปน iPhone/iPad, Blackberry, Windows Mobile, Symbian และ นองใหมมาแรงอยาง Android มาใชงานในองคกร เพื่อเพิ่มความ สะดวก รวดเร็ว และเพิ่มประสิทธิภาพของการดำเนินธุรกิจของ องคกร เนื่องจากการแขงขันและการพัฒนาปรับปรุงอยางตอเนื่องของ มือถือคายตางๆ เชน Microsoft, Apple, Blackberry, Nokia และ Google ทำใหภายในองคกรอาจจะมีการใชงานแพลตฟอรม ทีก่ ลาวมาขางตนมากกวาหนึง่ แพลตฟอรม เพราะฉะนัน้ ทางองคกร ควรจะตองตระหนักถึงความสามารถในการบริหารจัดการดาน การดูแลแกไขปญหาตางๆ ในการใชงาน รวมถึงเรือ่ งของความเสีย่ ง และความปลอดภัยที่อาจจะเกิดขึ้นจากการใชงานอุปกรณมือถือ ที่มีแพลตฟอรมหลากหลายเหลานี้ได ทางบริษัท เบย คอมพิวติ้ง ไดตระหนักถึงความจำเปนดานการ บริหารจัดการอุปกรณมอื ถือและความตองการดานความปลอดภัย

ในสวนของอุปกรณมอื ถือ ทางบริษทั ไดคน ควาและรวบรวมขอมูล เกีย่ วกับ Mobile Device Management Solution สำหรับองคกร เพือ่ ทีจ่ ะบริหารจัดการอุปกรณมอื ถือเหลานีไ้ ดอยางมีประสิทธิภาพ รวมถึงลดความเสีย่ งตางๆ ทีอ่ าจจะเกิดจากการใชงานมือถือ และ เพิม่ ความปลอดภัย เพือ่ สรางความมัน่ ใจใหกบั ทัง้ องคกรและผูใ ชงาน อุปกรณมือถือ ขอควรพิจารณาที่ เบย คอมพิวติง้ จัดทำและรวบรวมมาจาก Best Practices ที่ เบย คอมพิวติง้ ไดคน ความาสำหรับ Mobile Device Management Solution โดยเฉพาะ ขอพิจารณาเหลานี้เปนสิ่งที่ องคกรควรตระหนักและทำความเขาใจ เพือ่ การเลือกโซลูชนั ทีเ่ หมาะสม ที่สุดแกองคกร

Management and 1 Centralized Broad Mobile Platform Support

(Including RIM, iOS, Windows Mobile, Android, Symbian)

ควรมีความสามารถในการบริหารจัดการมือถือไดหลากหลาย แพลตฟอรม และมีการบริหารจัดการแบบ Centralized เพื่อให งายและสะดวกในการควบคุมและบริหารจัดการ โดยมีการสราง นโยบายตางๆ จากศูนยกลาง

On Encryption (Including 2 Turn Disk and External Storage)

ควรมีความสามารถในการเปดฟเจอรสำหรับการเขารหัสขอมูลบน มือถือ ไมวา จะเปนในสวนของ Local Disk/Storage รวมถึง External Storage เชน SD หรือ Micro SD ได เพือ่ ทีจ่ ะสรางความมัน่ ใจไดวา ในกรณีทมี่ อื ถือเกิดการสูญหาย ขอมูลสำคัญขององคกรทีถ่ ดู จัดเก็บ ลงบนมือถือจะไมสามารถถูกเปดอานโดยบุคคลทีไ่ มพงึ ประสงคได

on Authentication 3 Turn ควรมีความสามารถในการกำหนดรูปแบบในการใชงาน ให

4

Bay Computing Newsletter l 11th Issue


COVER VER STORY STORY ใสรหัส PIN (Personal Information Number) กอนการใชงาน ทุกครัง้ เพือ่ ทีจ่ ะปองกันไมใหบคุ คลทีไ่ มพงึ ประสงคสามารถเปดอาน หรือใชงานมือถือโดยที่ไมไดรับอนุญาตได

Lock and Remote Wipe 4 Device Capabilities

ในกรณีทมี่ อื ถือเกิดการสูญหาย ไมวา จะเกิดจากความไมตงั้ ใจหรือ จงใจถูกโจรกรรม ระบบ Mobile Device Management ที่ดีควร จะมีความสามารถในการล็อคเครือ่ งแบบระยะไกล (Remote) และ เพื่อที่จะสรางความมั่นใจในการปกปองขอมูลสำคัญขององคกร แบบสูงสุด ระบบจะตองมีความสามารถในการสัง่ ลบขอมูลตางๆ ที่ จัดเก็บลงบนมือถือแบบระยะไกล (Remote Wipe)

of Third-Party Apps 5 Control (Application Control)

ระบบ MDM ควรตองมีความสามารถในการสรางนโยบายควบคุม การติดตัง้ และใชงานแอพพลิเคชันตางๆ บนมือถือ เพือ่ ทีจ่ ะลดความ เสี่ยงที่จะเกิดขึ้นจากการลงแอพพลิเคชันเหลานั้น ไมวาจะเปน ในสวนของ Malware ที่อาจจะถูกฝงเขามาพรอมแอพพลิเคชัน รวมถึงเรือ่ งการฟองรองทางลิขสิทธิ์ ในกรณีทม่ี กี ารลงแอพพลิเคชัน ที่ผิดกฎหมาย (Software Piracy) บนมือถือขององคกร

Control Capabilities 6 Device ควรมีความสามารถในการเปดปดการใชงานฟงกชนั บางอยาง

ของอุปกรณมือถือ เชน การปดการใชงาน Bluetooth, Camera, Synchronization เพือ่ ทีจ่ ะใหสอดคลองกับนโยบายขององคกร และ ลดความเสี่ยงที่จะเกิดขึ้นจากการใชงานฟงกชันเหลานี้ได

Management 7 Configuration ในกรณีที่มีการใชงานมือถือจำนวนมาก เพื่อที่จะลด Cost

ของการบริหารจัดการในสวนของการตั้งคา Configuration ตางๆ บนมือถือ ไมวาจะเปน WIFI Setting, Email Setting และอื่นๆ ระบบ MDM ควรจะตองมีความสามารถในการติดตัง้ Configuration ไปยังมือถือที่ใชงานอยูจากศูนยกลางได

and Asset 8 Inventory Management

ควรมีความสามารถในการทำ Inventory สำหรับองคกร ไมวา จะเปน Device Model, Device OS, Device ID, Device IMEI, Phone Number, Email Name, Carrier และอื่นๆ รวมถึงชื่อยูสเซอรที่ ใชงานมือถือนั้นได เพื่อสรางความงายและสะดวกในการบริหาร จัดการทรัพยสินขององคกร

Provisioning/Activation 9 OTA Management

ควรมีความสามารถในการจัดเตรียมมือถือใหทำงานรวมกับระบบ MDM ขององคกรแบบ Over the Air (OTA) เชน มีการทำ Web Portal เพื่อที่จะใหผูใชงานสามารถมา Activate เครื่องมือถือผาน ทาง Intranet/Internet ได, มีการทำ Enterprise App Store สำหรับ ยูสเซอร เพื่อที่จะมาดาวนโหลดแอพพลิเคชันที่จำเปนสำหรับการ Activate เพื่อที่จะเพิ่มความสะดวก และลดระยะเวลาในการ จัดเตรียมมือถือเขากับระบบ MDM

Management 10 Helpdesk ควรมีความสามารถในการอินทิเกรตกับระบบ Helpdesk

ขององคกร เพื่อที่จะคอย Track ปญหาในการใชงานมือถือ และ แกไขไดอยางทันทวงที รวมถึงมีความสามารถอื่นที่จะชวยลดงาน ของ Helpdesk ได อยางเชน

ควรมีความสามารถในการทำ User Self Service เพือ่ ชวยเหลือ ผูใชงานใหสามารถแกไขปญหาเบื้องตนเองได ควรมีความสามารถในการทำ Remote Assistance สำหรับการ ชวยแกปญหาจากระยะไกล ในกรณีที่ไมสะดวกที่จะเขาถึงมือถือ ที่มีปญหาอยูได นอกจากนี้ องคกรยังอาจพิจารณานำความสามารถเสริมอืน่ ๆ ของ ระบบ MDM มาปรับใชไดอกี ยกตัวอยางเชน ความสามารถในการ ทำ GPS Tracking สำหรับเครื่องมือถือที่มีโมดูล GPS ได หรือ สามารถทำ Backup/Restore ขอมูลมือถือผานทางเครือขายได เปนตน สอบถามขอมูลเพิ่มเติมไดที่ บริษัท เบย คอมพิวติ้ง จำกัด อีเมล info@baycoms.com เว็บไซต www.baycoms.com Bay Computing Newsletter l 11th Issue

5


SOLUTION UPDATE PDATE

PCI-DSS Solution

Part 1

โดย อวิรุทธ เลี้ยงศิริ, Technology Director, บริษัท เบย คอมพิวติ้ง จำกัด

PCI คืออะไร?

PCI คือ ตัวยอของคำวา Payment Card Industry ซึ่งเปนองคกรกลาง จัดตั้งขึ้นเพื่อพัฒนา ปรับปรุง และบังคับใชมาตรฐานการรักษาความ ปลอดภัยเพื่อปกปองเลขที่บัญชีลูกคา (เลขที่บน บัตรเครดิตและเดบิต) และขอมูลสวนบุคคลของ ผูถือบัตร กอตั้งโดยกลุมของบริษัทผูใหบริการบัตร เครดิตชัน้ นำ เพือ่ รวมกันกำหนดมาตรฐานเพือ่ ปกปอง ขอมูลสวนบุคคล (Personal Information) และ มัน่ ใจวามีการรักษาความปลอดภัยอยางเหมาะสม และเพียงพอสำหรับการประมวลผลขอมูลเมื่อมี การใชบัตรเพื่อชำระเงิน สมาชิกของ PCI ทั้งหมด ทัง้ สถาบันการเงิน บริษทั ผูใ หบริการบัตรเครดิต และ ผูค า (merchant) จะตองปฏิบตั ติ าม (comply) ตาม มาตรฐานเหลานี้ ถายังตองการดำเนินธุรกิจผาน บัตรเครดิตตอไป การไมปฏิบตั ติ ามมาตรฐานทีก่ ำหนด สามารถสงผลใหถกู กำหนดคาปรับโดยกลุม ผูบ งั คับใช (enforcement entities)

PCI SSC คืออะไร?

PCI SSC คือ ตัวยอของคำวา PCI Security Standard Council กอตั้งขึ้นโดยบริษัท American Express, Discover Financials, JCB International, MasterCard Worldwide และ Visa Inc. โดยมีภารกิจที่สำคัญ เพือ่ เสริมสรางความปลอดภัยโดยการผลักดันใหเกิด ความรูและความตระหนักถึงมาตรฐานการรักษา ความปลอดภัยตามที่ PCI กำหนด โดยมีการปรับปรุง มาตรฐานใหมทุกๆ ประมาณ 3 ป

PCI กำหนดมาตรฐานอะไร ออกมาบาง?

PCI SSC ไดกำหนดมาตรฐานตางๆ ดังตอไปนี้ PIN Transaction Security (PCI PTS) PIN Entry Devices (PCI PED) Payment Application - Data Security Standard (PCI PA-DSS) PCI Data Security Standard (PCI DSS) Manufacturer PCI PTS

6

PCI DSS คืออะไร?

PCI DSS คือมาตรฐานเกี่ยวกับการรักษาความ ปลอดภัยซึ่งกำหนดโดย PCI SSC ซึ่งครอบคลุม การปกปองขอมูลทีม่ คี วามสำคัญ (Sensitive Data) โดยกำหนดตัวควบคุมสำหรับการบริหารจัดการ การรักษาความปลอดภัย, นโยบายการใชงานขอมูล, ขัน้ ตอนกระบวนการ, สถาปตยกรรมระบบเครือขาย, การออกแบบซอฟตแวร และอืน่ ๆ เพือ่ ปกปองขอมูล สำคัญของผูถือบัตร PCI DSS บังคับใชกบั ผูอ อกบัตร, ผูป ระมวลผลขอมูล บัตร, สถาบันการเงิน, ผูคา (merchant) และทุกๆ องคกรทีเ่ กีย่ วของกับระบบการใชขอ มูลจากบัตรเครดิต ไมวาจะเปนธนาคาร รานคาปลีกที่รับบัตรเครดิต รานคาสง และอื่นๆ โดยมีผลบังคับใช แบงไปตาม ระดับของผูคานั้นๆ โดยจะเริ่มจากสถาบันการเงิน ผูออกบัตร ผูประมวลผลบัตร และผูคาระดับที่ 1 (Tier 1 หรือ มีรายการใชจายของบัตรเกิดขึ้นเกิน 6 ลานรายการตอป) ซึง่ เสนตายในการบังคับใช จะ กำหนดโดยผูอ อกบัตรแตละบริษทั เชน VISA กำหนด ใหบังคับใชตั้งแต 1 ตุลาคม 2554 เปนตนไป โดย หนวยงานที่ไมไดรับการตรวจสอบจากผูตรวจสอบ ทีไ่ ดรบั การรับรองแลว กอนเวลาทีก่ ำหนด สามารถ ถูกปรับเงินมากถึงหลายแสนเหรียญสหรัฐ รวมถึง ตองรับผิดชอบคาใชจา ยทัง้ หมดทีเ่ กิดขึน้ ทัง้ คาใชจา ย

Software Developers

Merchants & Processors

PCI PA-DSS

PCI DSS

Bay Computing Newsletter l 11th Issue

ทางกฎหมาย ความรับผิดชอบ และอืน่ ๆ หากระบบ ของผูค า นัน้ ๆ เปนตนเหตุใหเกิดขอมูลของผูถ อื บัตร รั่วไหล PCI DSS กำหนดวา ขอมูลของผูถ อื บัตร (Cardholder data) ประกอบไปดวยขอมูลดังนี้ PAN (Primary Account Number) หรือ เลข 15/16 หลักที่ปรากฎอยูบนหนาบัตรเครดิต และ แถบแมเหล็กหลังบัตร ชื่อของผูถือบัตร (Cardholder Name) ตามที่ ปรากฏอยูใ นระบบ บนหนาบัตร และแถบแมเหล็ก หลังบัตร วันหมดอายุของบัตร (Expiration Date) ตามที่ ปรากฏอยูใ นระบบ บนหนาบัตร และแถบแมเหล็ก หลังบัตร รหัสบริการ (Service Code) ตามที่ปรากฏอยู ในระบบ และบนแถบแมเหล็กหลังบัตร นอกจากนี้แลว ขอมูลสำคัญอีกอยางหนึ่ง เรียกวา Sensitive Authentication Data หรือ ขอมูลสำคัญ สำหรับการยืนยันตัวตน ประกอบดวย ขอมูลทั้งหมดที่อยูบนแถบแมเหล็ก หรือ Chip เลข CAV2/CVC2/CVV2/CID เลข PIN และ PIN block

แผนภาพแสดงปริมาณผูเกี่ยวของเทียบกับ แตละประเภทของมาตรฐาน


Account Data

SOLUTION UPDATE

Cardholder Data Sensitive Authentication Data1

Data Element Primary Account Number (PAN) Cardholder Name Service Date Expiration Date Full Magnetic Stripe Data2 CAV2/CVC2/CVV2/CID PIN/PIN Block

แกนหลักของ PCI DSS คือ Principle ซึ่งเกิดจาก การรวมกันของ Requirement ตางๆ โดยแบงเปน 6 Principle รวม 12 Requirement ประกอบดวย

Principle 1 :

Build and Maintain a Secure Network

กำหนดใหมกี ารสรางและบำรุงรักษาเครือขายที่ มีความปลอดภัยรัดกุม Requirement 1 : Install and maintain a firewall configuration to protect cardholder data ติดตั้งและบำรุงรักษาคอนฟกูเรชันของไฟรวอลล เราเตอร และอุปกรณเกี่ยวของ ใหสามารถปกปอง ขอมูลของผูถ อื บัตร โดยตองปองกันการเขาถึงระบบ ฐานขอมูล และเครื่องที่ใชประมวลผลหรือจัดเก็บ ขอมูลของผูถือบัตร มีการแบงแยกขอบเขต หรือ โซนทีช่ ดั เจน พรอมทัง้ มีกระบวนการในการควบคุม การใช เปลี่ยนแปลง คอนฟกูเรชันที่เหมาะสม เพื่อ ปองกันการลักลอบแกไข รวมทั้งจัดใหมีแผนภาพ (diagram) ระบบเครือขายที่ทันสมัยอยูเสมอ Requirement 2 : Do not use vendor-supplied defaults for system passwords and other security parameters หามใช default system password ที่กำหนดโดย ผูผ ลิตในตอนเริม่ ตน (default) รวมถึงการตัง้ คาอืน่ ๆ เชน IP address 192.168.1.1 หรือ Username: admin และ Password: password หรือ วางเปลา (blank), Wireless encryption key, SNMP community string เปนตน รวมถึงปรับใชมาตรฐานในการกำหนด คอนฟกเู รชันทีเ่ หมาะสมโดยอางอิงจากสถาบันและ มาตรฐานทีเ่ ปนทีย่ อมรับ เชน Center for Internet Security, NIST, ISO, SANS institute เปนตน

Principle 2 :

Protect Cardholder Data

ดำเนินมาตรการทีจ่ ำเปนเพือ่ ปกปองขอมูลของ ผูถือบัตร

Storage Render Stored Account Data Permitted Unreadable per Requirement 3.4 Yes Yes Yes No Yes No Yes No No Cannot store per Requirement 3.2 No Cannot store per Requirement 3.2 No Cannot store per Requirement 3.2

Requirement 3 : Protect stored cardholder data มีมาตรการในการจำกัดจำนวนขอมูลของผูถ อื บัตร ในระบบ ใหมีนอยที่สุดเทาที่จำเปน ไมเก็บขอมูล เกีย่ วกับการยืนยันตัวบุคคล (sensitive authentication data) ทั้งในรูปแบบที่เขารหัส (encrypt) หรือไม เขารหัส (unencrypt) รวมถึงปองกันการแสดงผล ของขอมูลผูถือบัตรที่ตองไมถูกแสดงในลักษณะที่ ไมมีการปกปดบางสวน (mask) และจัดเก็บขอมูล ทั้งหมดในรูปแบบที่ถูกเขารหัส หรือไมสามารถนำ ไปใชไดโดยไมผา นการประมวลผลกอน ในกรณีทมี่ ี การใชระบบการเขารหัส ตองมีการตรวจสอบและ ปองกันการรัว่ ไหลของกลไก และกุญแจทีใ่ ชในการ เขาและถอดรหัส Requirement 4 : Encrypt transmission of cardholder data across open, public networks เขารหัสการสงขอมูลผูถ อื บัตรเปนอยางดีทกุ ครัง้ เมือ่ มีการสงขอมูลผานเครือขายสาธารณะ เชน เครือขาย โทรศัพท เครือขายอินเทอรเน็ต เปนตน รวมถึงหาม สงเลขทีบ่ ตั รผานเครือขายสาธารณะโดยไมเขารหัส หรือปกปด

Principle 3 :

ตารางแสดงขอมูลที่ PCI DSS อนุญาตใหจัดเก็บ และไมอนุญาตใหจัดเก็บ ดวยกระบวนการที่ตรวจสอบได รวมถึงตรวจสอบ ซอฟตแวรทพ่ี ฒ ั นาขึน้ เองอยางสม่ำเสมอดวยเครือ่ งมือ ทีเ่ ชือ่ ถือได และตรวจสอบกระบวนการแกไขปรับปรุง ซอฟตแวรอยางสม่ำเสมอ รวมถึงตรวจสอบความ ปลอดภัยของระบบกับภัยคุกคามใหมอยางสม่ำเสมอ

Principle 4 :

Implement Strong Access Control Measures

มีมาตรการควบคุมการเขาถึงขอมูลอยางเขมแข็ง Requirement 7 : Restrict access to cardholder data by business need-to-know มีกระบวนการจำกัดสิทธิใ์ นการเขาถึงขอมูลผูถ อื บัตร ตามหนาที่ และใหสทิ ธิน์ อ ยทีส่ ดุ เทาทีจ่ ำเปนเพือ่ ให การปฏิบัติงานในหนาที่นั้นๆ ลุลวงได ที่นิยมและ แนะนำคือ การกำหนดสิทธิแ์ บบ deny all และเปดให เฉพาะขอมูลและฟงกชนั ทีต่ อ งการเทานัน้ (Whitelisting) Requirement 8 : Assign a unique ID to each person with computer access มีกระบวนการปองกันการ share username กัน สำหรับระบบทีเ่ กีย่ วของกับขอมูลผูถ อื บัตร พรอมทัง้ มีการกำหนดนโยบายในการบริหารจัดการรหัสผาน และการยืนยันตัวตน (authentication) ที่เขมงวด เชน กำหนดความยาวรหัสผานไมนอยกวา 8 ตัว อักษรและตองเปลี่ยนทุก 30 วัน รวมถึงกำหนดให มีการยืนยันตัวตนแบบ two factor authentication เปนตน

จัดใหมกี ระบวนการบริหารจัดการชองโหวและ ความเสี่ยง Requirement 5 : Use and regularly update anti-virus software มีการใชซอฟตแวรปอ งกันไวรัสทีไ่ ดรบั การปรับปรุง ใหทนั สมัยเสมอ เพือ่ ลดความเสีย่ งจากซอฟตแวรไม พึงประสงค (Maliciousware) ทีแ่ อบลักลอบดักจับ ขอมูล

Requirement 9 : Restrict physical access to cardholder data มีการรักษาความปลอดภัยระบบที่เก็บขอมูลดวย วิธีการทางกายภาพอยางดี เชน มีระบบ access control กอนเขาถึงระบบทีป่ ระมวลผล หรือจัดเก็บ ขอมูล พรอมทัง้ กุญแจทีป่ ด ไวตลอดเวลา และยังมี การใชกลองวงจรปดเฝาระวังอยางสม่ำเสมอ พรอม กระบวนการที่เกี่ยวของเพื่อตรวจสอบยอนหลังผูที่ เขาถึงระบบทางกายภาพได พรอมกำหนดกระบวนการ ในการนำเขา ใชงาน และเลิกใชของสื่อ (media) และอุปกรณทั้งหมดที่เกี่ยวของกับระบบ

Requirement 6 : Develop and maintain secure systems and applications มีการปรับปรุงรุน ของซอฟตแวรทใ่ี ชในระบบทัง้ หมด อยางสม่ำเสมอ รวมถึงติดตัง้ Security Fix หรือ Patch

ในตอนที่ 2 เราจะมาติดตามตอถึง Principle 5 และ 6 พรอมลงลึกในรายละเอียดของระบบที่ สามารถนำมาใชเพือ่ ชวยตอบขอกำหนดตางๆ (Requirement) ของ PCI DSS

Maintain a Vulnerability Management Program

Bay Computing Newsletter l 11th Issue

7


TECHNOLOGY UPDATE

Secure Remote Access

กับการสรางความไดเปรียบในเชิงธุรกิจ ในปจจุบนั นีธ้ รุ กิจตางๆ กำลังเผชิญกับ ความทาทายทีม่ ากขึน้ เรือ่ ยๆ เกีย่ วกับ การเปลี่ยนแปลงทางเศรษฐกิจ ทำใหจำเปน ตองมีการปรับตัวเพื่อคงความสามารถในการ แขงขันเอาไวใหได และการใชเทคโนโลยีก็ได กลายเปนขอพิจารณาทีส่ ำคัญสำหรับการบรรลุ วัตถุประสงคทางธุรกิจ รวมทั้งสรางตัวเองให แตกตางจากคูแขงขันรายอื่นๆ ไปพรอมๆ กับ การลดตนทุนดวย ดวยการกระจายความสามารถในการเขาถึง อินเทอรเน็ตออกไปทัว่ ทุกสารทิศนัน้ ธุรกิจตางๆ ไดเพิ่มชองทางใหมๆ ในการเพิ่มผลผลิต เพิ่ม รายได ลดคาใชจา ยในการดำเนินงาน และสราง โอกาสใหมๆ ทางธุรกิจขึน้ มา ซึง่ หนึง่ ในโซลูชนั ทีธ่ รุ กิจตางๆ ใหความสนใจมากทีส่ ดุ ก็คอื การ ทำ Remote Access ซึง่ เปนการจัดเตรียมการ เขาถึงแบบทันทีทันใดจากผูใชงานเขามายัง ทรัพยากรตางๆ ของบริษทั ไมวา ผูใ ชจะอยูท ไี่ หน ก็ตาม บริษทั ตางๆ ทีก่ ำลังใชโซลูชนั Remote Access ที่ปลอดภัย ตางก็คาดหวังถึงผลผลิตที่มากขึ้น และรายไดทเ่ี พิม่ มากขึน้ เปนเงาตามตัว เนือ่ งจาก ตอไปนี้พนักงานบริษัทจะสามารถตอบสนอง ภารกิจตางๆ ไดอยางรวดเร็วดวยความสามารถ ในการเขาถึงขอมูลที่สำคัญๆ ได ไมวาผูใชจะ อยูที่ไหน หรือจะเปนเวลาใดก็ตาม ซึ่งปจจัย ตางๆ ที่เอื้อประโยชนและเปนตัวขับเคลื่อนให โซลูชัน Remote Access ก็คือ สมารตโฟนและแท็บเลต สมารตโฟน (Smart Phone) และแท็บเลต (Tablet) ไดกลายเปนตัวเลือกทีโ่ ดดเดนสำหรับ Mobile Computing ไปแลว และเปนทีค่ าดการณกนั วา ยอดขายรวมของอุปกรณดังกลาวจะมากกวา ยอดขายโนตบุกเปนครั้งแรกในประวัติศาสตร ซึ่งสมารตโฟนอยาง Apple iPhone, Google Android, Windows Mobile 7 และ Blackberry

8

Bay Computing Newsletter l 11th Issue

ไดกลายเปนอุปกรณที่พบเห็นไดทั่วไปมากขึ้น และแนวโน ม ดั ง กล า วก็ เ ป น การสร า งความ ตองการใหมๆ ทีจ่ ะเขาถึงขอมูลขององคกร โดย การใชอุปกรณจำพวกนี้ นับเปนสวนประกอบ ที่สำคัญสำหรับการทำงานในระดับมืออาชีพ ไปเรียบรอยแลว การเพิม่ ความสะดวกสบายใหพนักงาน ดวยเทคโนโลยี ขณะทีก่ ารทำงาน 10 ชัว่ โมงตอวันเปนเรือ่ งปกติ สำหรับบริษทั เอกชนจำนวนมาก ดังนัน้ พนักงาน ทั้ ง หลายต า งก็ มี สั ด ส ว นในการทำงานและ จั ด การเรื่ อ งส ว นตั ว เพิ่ ม มากขึ้ น ตามไปด ว ย พนั ก งานจำนวนมากต า งก็ ต อบอี เ มลอย า ง สม่ำเสมอ อีกทั้งยังทำงานโครงการที่สำคัญๆ จากที่บานไดดวย ดังนั้น เราสามารถพูดไดวา ผูคนสวนใหญกำลังสรางนิสัยการทำงานแบบ ใหมๆ ขึ้นมา และกำลังรับเอาเทคโนโลยีไวใน

ชีวติ ประจำวันของพวกเขาไปโดยไมรตู วั โดยที่ ทุกอยางไมมีขอจำกัดเรื่องสถานที่อีกตอไป ความยืดหยุนในการใชงาน และการเขาถึงไดจากทุกที่และทุกเวลา เพื่อใหการทำงานเปนไปอยางมีประสิทธิภาพ สูงสุด ทุกวันนี้ โมบายเวิรก เกอร (mobile workers) จึงตองการความสามารถในการเขาถึงขอมูลที่ สำคัญๆ ไดตลอดเวลา รวมถึงเครือ่ งมือตางๆ ที่ จำเปนตองใชทำงานรวมกัน และแอพพลิเคชัน ทางธุรกิจดวย พนักงานที่ทำงานจากที่อื่นๆ ที่ ไมใชทส่ี ำนักงานนัน้ อาจจะพบวาตัวเองมีความ พึงพอใจตองานที่ทำมากกวาเดิม และรูสึกวา ระดับความเครียดจากการทำงานลดนอยลง เนื่องจากพวกเขาจำเปนตองทำงานใหเสร็จ แบบวันตอวันเทานัน้ ซึง่ การแอ็กเซสเขามาทำงาน จากทีไ่ หนและในเวลาใดก็ไดนนั้ ชวยใหพวกเขา มีความยืดหยุน ในแงของชวงเวลาในการทำงาน


TECHNOLOGY UPDATE มากขึน้ ไมตอ งเสียเวลาสำหรับการเดินทาง และ สามารถบริหารเวลาระหวางงานและครอบครัว ไดงา ยขึน้ ซึง่ ก็ชว ยใหมผี ลตอขวัญและกำลังใจ ในการทำงานมากขึ้นในที่สุด แผนฉุกเฉิกสำหรับการกูคืนระบบ Disaster Recovery หรือการกูระบบคืนจาก หายนะภัยไดกลายเปนประเด็นเรงดวนสำหรับ องคกรทัง้ ภาครัฐและเอกชนไปแลว ซึง่ สืบเนือ่ ง มาจากเหตุภยั พิบตั ทิ างธรรมชาติ การกอการราย และภัยคุกคามจากโรคระบาดทีม่ มี ากขึน้ เรือ่ ยๆ นัน่ เอง นอกจากนีห้ ายนะภัยตางๆ ยังอาจรวมถึง พายุฝนฟาคะนอง กระแสไฟฟาถูกตัดขาด และ เหตุการณอน่ื ๆ ทีท่ ำใหพนักงานไมสามารถเขาไป ทำงานที่สำนักงานไดดวย โดยที่ความสูญเสีย ที่เกิดขึ้นตอการดำเนินงานของธุรกิจก็มักจะ ปรากฎออกมาในลักษณะของการสูญเสียโอกาส การสูญเสียรายได และการเสื่อมเสียชื่อเสียง นั่นเอง ดังนั้น Remote Access จึงถือวาเปน สวนทีม่ คี วามสำคัญตอแผน Disaster Recovery เปนอยางมาก ผลตอบแทนการลงทุนที่องคกร สามารถรับรูได

ธุรกิจในทุกวันนีค้ งจำเปนตองพึง่ พาสำนักงาน ใหนอ ยลงมากทีส่ ดุ เทาทีจ่ ะเปนไปได เนือ่ งจาก การมาทำงานที่สำนักงากนั้น พนักงานมักจะ ตองเดินทางเปนระยะทางไกลๆ ซึ่งก็เสียเวลา ไปโดยใชเหตุ ในขณะทีพ่ นักงานขององคกรทีม่ ี ลักษณะกระจายการบริหารงาน และองคกรที่ ทำตลาดสินคาในระดับโลกนั้น ตางก็ใชเวลา อยูภ ายนอกสำนักงานคอนขางมากอยูแ ลว ซึง่ ในเวลาเดียวกัน คาเชาพื้นที่เพื่อทำสำนักงาน ก็ไตระดับแพงขึน้ เรือ่ ยๆ อยางไมหยุดยัง้ ดังนัน้ การกำจัดพืน้ ทีส่ ำนักงานทีไ่ มจำเปนออกไปเสีย นาจะชวยลดคาใชจา ยไดปล ะหลายลานเหรียญ เลยทีเดียว โดยเฉพาะองคกรทีม่ พี นักงานระดับ เปนพันคนขึน้ ไป และพนักงานแตละคนก็สามารถ เพิม่ ผลผลิตของตัวเองไดมากขึน้ และสามารถ มีสวนในการรับผิดชอบตอการสรางผลลัพธ ตางๆ ที่เกี่ยวกับแผนงานที่สำคัญๆ ใหองคกร ไดรวดเร็วยิง่ ขึน้ และเนือ่ งจากการลงทุนทางดาน เทคโนโลยีสวนใหญจะทำกันในชวงไมเกิน 10 กวาปทผ่ี า นมานีเ้ อง ดังนัน้ ธุรกิจตางๆ จึงสามารถ รับรูไดถึงประสิทธิภาพการทำงานที่เพิ่มขึ้นได อยางชัดเจน ในขณะที่บริษัทหลายๆ แหงก็ได ประโยชนจากเทคโนโลยีในอีกแงมมุ หนึง่ นัน่ คือ พวกเขาสามารถจางพนักงานชัว่ คราวไดมากขึน้ หรื อ ไม ก็ จ า งที่ ป รึ ก ษาจากภายนอกเข า มา ทำงานให แทนทีจ่ ะตองจางพนักงานประจำอยู ตลอดเวลา ดังนัน้ สำหรับองคกรทีม่ กี ารบริหาร แบบกระจายนัน้ เรือ่ งของการ Remote Access อยางปลอดภัย พรอมใชงานไดตลอดเวลา และ มีตนทุนที่ไมแพงจนเกินไป จึงกลายเปนหัวใจ สำคัญของการสรางผลผลิตขององคกร ความเสี่ยงอันเกิดจากผูใชงาน ที่อยูนอกสำนักงาน หากปราศจากมาตรการเพื่อความปลอดภัย ทีด่ พี อแลว การเขาถึงขอมูลตางๆ จากทีใ่ ดก็ได และในเวลาใดก็ไดนน้ั จะกลายเปนความเสีย่ ง ขององคกรไปในทันที เชน พฤติกรรมตางๆ ในการ ใชงานของผูใ ชงานทัว่ ไปนัน้ สามารถทิง้ รองรอย บางอยางทีเ่ กีย่ วของกับขอมูลของบริษทั เอาไว ในเครื่องคอมพิวเตอรที่มีการใชงานรวมกัน ภายในองคกรไดอยางแนนอน ซึ่งสุดทายแลว มันก็อาจจะถูกเขาถึงโดยบุคคลภายนอกที่มี ความอยากรูอ ยากเห็นก็เปนได นอกจากนี้ ความ เสี่ยงก็อาจจะมาจากไวรัสชนิดตางๆ ที่อาจจะ

ถูกเผยแพรออกไปยังคอมพิวเตอรและอุปกรณ ตางๆ ของบริษทั อยางไมตงั้ ใจก็เปนไดเหมือนกัน สวนความเสีย่ งทีน่ า กังวลทีส่ ดุ นัน้ นาจะมาจาก บรรดาแฮกเกอรที่มีความประสงครายอยาง แนวแนนนั่ เอง พวกเขาอาจจะจูโ จมองคกรของ คุณดวยเทคนิควิธขี น้ั สูง เพือ่ ทีจ่ ะพยายามขโมย ขอมูลอันมีคา ของคุณ หรืออาจใชวธิ กี อ วินาศกรรม ตอการดำเนินงานและชื่อเสียงขององคกรคุณ โซลูชัน SonicWALL Aventail E-Class Secure Remote Access SonicWALL Aventail Secure Remote Access (SRA) ไดรบั การออกแบบมาใหสามารถดูแลความ ปลอดภั ย เครื่ อ งคอมพิ ว เตอร ข องผู ใ ช ง านที่ แอ็กเซสเขามาจากระยะไกล (remote users) ได โดยทำงานในลักษณะเชิงรุก และดวย SonicWALL Aventail SRA นั้น คุณจะไดรับความแนนอน ในการลดความเสีย่ งตางๆ ได โดยการจัดเตรียม นโยบายทีต่ ง้ั อยูบ นพืน้ ฐานของความนาเชือ่ ถือ ของผูใชงานแตละคน รวมทั้งสภาพแวดลอม อื่นๆ ประกอบดวย ซึ่ง SonicWALL Aventail SRA จะชวยใหผูดูแลระบบสรางกฎระเบียบ ในการควบคุมการเขาถึงขอมูล (access control rules) ทีท่ ำงานอยางมีประสิทธิภาพได โดยการ สนับสนุนสภาพแวดลอมการเขาถึงทีค่ รอบคลุม คุณสมบัติตางๆ ที่นาสนใจ ดังนี้ ทำการ Authentication อยางรัดกุม :

SonicWALL Aventail SRA จะเตรียมการเรือ่ ง การตรวจสอบและรับรอง (authentication) ที่ เขมงวดดวยความสามารถในการอินทิเกรต กับโซลูชันทางดานการตรวจสอบและรับรอง Bay Computing Newsletter l 11th Issue

9


TECHNOLOGY UPDATE เปนตน ซึ่งแตละโซนจะมีการยอมใหมีการเขา ใชงานไดในระดับการเขาถึง (level of access) ทีแ่ ตกตางกัน โดยขึน้ อยูก บั ระดับความเหมาะสม ในแงของความเสี่ยงเปนสำคัญ

SonicWALL Aventail® WorkPlaceTM Business Partners

Kiosk Users

Teleworkers PDA/Smartphone Users

SonicWALL Aventail® ConnectTM Internet Users

Wireless LANS IT-managed Devices

SonicWALL Aventail E-Class SRA

Web-based Applications File Shares

Service Edition Windows Servers

Windows XP Desktops

Thin Client/ Server Applications

Branch Office Applications

Traditional Client/Server Applications

SonicWALL Aventail® Connect MobileTM Mobile PDA Users

แบบทวิปจจัย (Two-factor) อยางเชน RSA SecurID และ Vasco เปนตน นอกจากนี้แลว SonicWALL Aventail SRA ยังสามารถทำงาน แบบ Built-in รวมกับระบบ One Time Password ทีร่ องรับการสรางหมายเลขพิน (pin numbers) แบบจำกัดจำนวนครัง้ การใชงาน (limited time) ที่สามารถสงผาน SMS Gateway ไดดวย ตรวจสอบอุปกรณตา งๆ อยางรอบคอบ :

SonicWALL Aventail Advanced End Point Control (EPC) จะตรวจสอบ (interrogates) อุปกรณปลายทางตางๆ (endpoint) ในทุกๆ ครัง้ ทีม่ ผี ใู ชงานแอ็กเซสเขามายัง SonicWALL Aventail E-Class SSL VPN เพือ่ ทีจ่ ะใหแนใจ วาแอ็กเซสพอยนต (Access Point) จะปลอดจาก ซอฟตแวรประสงคราย หรือมัลแวรบางอยาง เชน Keystroke Logger และ Trojan Horse เปนตน โดยจะกระทำกอนยอมใหมกี ารแอ็กเซส เขามา โดยทีโ่ ซลูชนั SonicWALL Aventail จะ สงเอเจนตจากไคลเอ็นตที่มีการอินทิเกรตกับ พันธมิตร (อยางเชน Symantec เปนตน) อยู ซึง่ ขัน้ ตอนดังกลาวเกิดขึน้ กอนการ Authentication ดังนัน้ การล็อกอินใดๆ จึงสามารถยุตลิ งไดหาก มีการพบมัลแวรหรือสิ่งผิดปกติขึ้นมา และจะ แตกตางจากระบบ Security Precaution ของ ผูจัดเตรียมโซลูชัน VPN รายอื่นๆ อยูก็ตรงที่ SonicWALL Aventail EPC จะสนับสนุนการ รวมมือกัน ทำงานแบบขามแพลตฟอรม (Cross Platform) อยางสมบูรณแบบ โดยจะตรวจสอบ ระบบปฏิบัติการและความสอดคลองกันของ

10

Bay Computing Newsletter l 11th Issue

ไคลเอ็นต เพื่อรักษาความปลอดภัยจากการ แอ็กเซสขอมูลเขามาจากทุกที่ไดอยางแทจริง สามารถบงบอกตัวตนของอุปกรณได :

EPC จะชวยใหผดู ูแลระบบสามารถเชื่อมโยง Serial หรือ Equipment ID Number สำหรับ อุปกรณบน Windows, iPhone หรือ iPad ได เพือ่ ใหสอดคลองเหมาะสม หรือถูกตองตรงกัน กับผูใชงานหรือกลุมผูใชงานที่ตองการได มี Policy Zones :

ดวย EPC นัน้ องคกรทางดานไอทีสามารถสราง และกำหนด Policy Zones ที่แตกตางกันเพื่อ ใหเหมาะสมกับความตองการมากที่สุดได ซึ่ง Policy Zones ทีพ่ บเห็นไดโดยทัว่ ไปก็อยางเชน Untrusted Machines อยาง Kiosks, หรือ Semi-trusted Machines อยาง Home PC ทั่วไป, หรือ Trusted Corporate Asset อยาง Laptop เปนตน ซึง่ ฝายไอทีจะสามารถบริหาร จัดการโซนเหลานัน้ ไดดว ยชุดของพารามิเตอร งายๆ ได ขณะทีก่ ระบวนการ Device Interrogation หรือการตรวจสอบอุปกรณกจ็ ะมองหาแอพพลิเคชัน ใดๆ หรือ “Watermarks” บนอุปกรณเอ็นพอยนต นัน้ ๆ ตัวอยางเชน ถาหากมีการใชงานผลิตภัณฑ Anti-virus หรือ Personal Firewall ใดๆ อยู กระบวนการ Device Interrogation ก็อาจจะ แยกประเภท (Classify) อุปกรณเอ็นพอยนต นั้นๆ เขาไปในอยูใน Policy Zones ที่กำหนด เอาไวลว งหนาโซนใดโซนหนึง่ เชน อาจจะเปน Trusted, Non-trusted หรือ Semi-trusted

มีระบบปกปองและลดความเสียหาย ของขอมูล :

Advanced EPC พรอมดวย Secure Desktop จะสามารถมอบการปกปองขอมูลขัน้ สูงสำหรับ เวิรกสเตชันแบบ Unmanaged อยาง Airport Kiosk หรือ Internet Café PC ได ซึ่ง Secure Desktop จะรวมและผนวกเขากับเทคโนโลยี จาก Symantec เพื่อสรางความปลอดภัยตอ Remote Session ซึ่งเปน Virtual Windows Session ที่รันอยูบนเดสกทอปจริงๆ อีกทีหนึ่ง ดังนั้น Mobile User จึงสามารถเบราซขอมูล ผานอินเทอรเน็ต เช็กอีเมล และจัดการไฟลตา งๆ ของตัวเองไดโดยการใชแอพพลิเคชันจากฝง เซิรฟ เวอรหรือไคลเอ็นตกไ็ ด และทันทีท่ี Session นั้นๆ สิ้นสุดลง ขอมูลทั้งหลายก็จะถูกลบออก จากเวิรก สเตชันดังกลาวจนหมดสิน้ นอกจากนี้ Advanced EPC ยังสามารถชวยใหการปกปอง เอ็ น พอยนต ง า ยขึ้ น ได ด ว ยรายการเช็ ก ลิ ส ต ของแอนตีไ้ วรัส ไฟรวอลลสว นตัว และผลิตภัณฑ ปองกันสปายแวรที่ทำงานบนวินโดวส ซึ่งจะ ตรวจสอบแมกระทั่งเวอรชันและซิกเนเจอร ของไฟลอัพเดตเลยทีเดียว เปนไปตามขอกำหนดและกฎระเบียบตางๆ :

SonicWALL Aventail SRA ถูก Built-in ดวย คุณสมบัติ Logging และ Reporting ที่มี ประสิทธิภาพ เพือ่ ใหสอดคลองและเปนไดตาม ขอกำหนดและกฎระเบียบตางๆ ในแงของการ ตรวจสอบ (auditing) และการพิสจู นหลักฐาน (forensics) นั่นเอง นอกจากนี้ SonicWALL Aventail SRA ยังสามารถอินทิเกรตกับโซลูชนั Security Information and Event Management (SIEM) สวนใหญไดดว ย ซึง่ โซลูชนั ดังกลาวจะ สามารถทำหนาทีต่ รวจสอบขอมูลและเหตุการณ ตางๆ ทีเ่ กิดขึน้ ในระหวางทีอ่ ปุ กรณตา งๆ ทำงาน รวมกัน เพือ่ ปกปองภัยคุกคามทัง้ หลายไดอยาง แทจริง


SonicWALL SuperMassive E10000 Series เปนแพลตฟอรมไฟรวอลล ยุคใหมที่ไดรับการออกแบบมาสำหรับการใชงานในเครือขายขนาดใหญ ซึ่งสามารถ มอบความยืดหยุนในการใชงาน ความนาเชื่อถือ และความปลอดภัยอันล้ำลึกดวย การปกปองในระดับหลายกิกะบิต SonicWALL SuperMassive E10000 Series เปนโซลูชนั ทีต่ อบสนองความตองการขององคกร หนวยงานภาครัฐ มหาวิทยาลัย และการใชงานของเซอรวิสโพรวายเดอรที่ใหบริการเทคโนโลยีชนิดตางๆ ถือเปน โซลูชันที่เหมาะสมเปนอยางมากกับเครือขายขององคกร ดาตาเซ็นเตอร รวมทั้ง เซิรฟ เวอรฟารม โซลูชนั นีเ้ ปนสวนผสมของสถาปตยกรรม Multi-Core และเทคโนโลยี Reassembly-Free Deep Packet InspectionTM (RFDPI) ซึ่งเปนสิทธิบัตร จดทะเบียนของ SonicWALL ดังนั้น มันจึงสามารถสงมอบความสามารถในการ ควบคุมแอพพลิเคชันในระดับแนวหนาของวงการ รวมไปถึงระบบการปองกันภัย คุกคาม การปองกันมัลแวรที่ประสงคราย และการตรวจสอบความปลอดภัยดวย เทคโนโลยีเอสเอสแอล (SSL Inspection) โดยการทำงานที่ระดับหลายกิกะบิต ทั้งนี้ SonicWALL E10000 Series นั้นไดรับการออกแบบมาใหคำนึงถึงอัตรา การใชพลังงาน การใชพื้นที่ในการจัดวาง และประสิทธิภาพในการระบายความรอน ไดเปนอยางดี ดังนั้น มันจึงสามารถเตรียมความพรอมในแงของการควบคุมการ ทำงานของแอพพลิเคชันในระดับ Mbps/Watt และสามารถจัดเตรียมการปองกัน ภัยคุกคามที่มีสมรรถนะในระดับ Mbps/Watt ไดในเปนอยางดี SSD Drive ขนาด 80 กิกะไบต

จอแอลซีดี ปุมควบคุมจอแอลซีดี

• สถาปตยกรรมสำหรับเครือขายขนาดใหญ : 10/40 กิกะบิตตอวินาที • ทำงานรวมกับแอพพลิเคชันชนิดตางๆ ได อยางชาญฉลาด อีกทั้งมีระบบควบคุม และการสื่อสารกับผูใชงาน ที่ออกแบบ มาเปนอยางดี • ปองกันภัยคุกคามดวยระบบปองกัน การบุกรุก (Intrusion Prevention) ประสิทธิภาพสูง และระบบปองกันมัลแวร ที่แอบแฝงเขามา • ตรวจสอบและรักษาความปลอดภัย ดวย SSL

เพาเวอรซัพพลาย Hot Swappable Redundant ขนาด 850 วัตต

พอรต SFP Management พอรตยูเอสบี ไฟสัญญาณ พอรตคอนโซล ชองเสียบเผื่อไว พอรต SFP+ สำหรับอนาคต ขนาด 10 Gbe ขนาด 1 Gbe Interface แบบ Dual แอลอีดี จำนวน 6 พอรต จำนวน 16 พอรต ขนาด 1 Gbe

พัดลมชนิด Module Slot

พัดลมคูชนิด Hot Swappable Dual Redundant

สถาปตยกรรมสำหรับสมรรถนะและความพรอมใชงานที่ปรับขนาดใหสอดคลองกับองคกรได • สรางประสิทธิภาพการทำงานดวยสถาปตยกรรม Multi-Core • จัดการดวยวิศวกรรมที่มุงเนนประสิทธิภาพสูงสุด • เปนการออกแบบเพื่อความพรอมใชงานในระดับ 10+ Gbps DPI Throughput สนใจขอมูลเพิ่มเติมติดตอไดที่

บริษัท เบย คอมพิวติ้ง จำกัด อีเมล info@baycoms.com Bay Computing Newsletter l 11th Issue

11


ISMS STANDARD

เสริมมาตรการความปลอดภัยไอที ดวย ISO 27001:2005 ตอนที่ 9

“Annex A”

โดย ภัคณัฏฐ โพธิ์ทองบวรภัค Senior Network and Security Engineer บริษัท เบย คอมพิวติ้ง จำกัด

สำหรับ ISO 27001:2005 ตอนที่ 9 “Annex A” นี้ จะเปนเนือ้ หา Annex A ของ มาตรฐาน ความปลอดภัยขอมูลสารสนเทศ ISO 27001:2005 ในขอ A.10 การบริหารจัดการดาน การสือ่ สารและการดำเนินงานของเครือขายสารสนเทศขององคกร (Communications and operations management) สวนที่เหลือ และขอ A.11 การควบคุมการเขาถึง (Access control) เรามาเริ่ม ทำความเขาใจกันตอเลยครับ

การใชงานสารสนเทศ (Audit logging) ตัวควบคุม : ตองกำหนดใหบนั ทึกกิจกรรมการใชงาน ของผูใช การปฏิเสธการใหบริการของระบบ และ เหตุการณตา งๆ ทีเ่ กีย่ วของกับความมัน่ คงปลอดภัย อยางสม่ำเสมอตามระยะเวลาที่กำหนดไว

A.10.8 การแลกเปลีย่ นสารสนเทศ (Exchange of information)

A.10.10.2 การตรวจสอบการใชงานระบบ (Monitoring system use) ตัวควบคุม : ตองกำหนดใหมีขั้นตอนปฏิบัติ เพื่อ ตรวจสอบการใชงานทรัพยสินสารสนเทศอยาง สม่ำเสมอ อาทิ เพื่อดูวามีสิ่งผิดปกติเกิดขึ้นหรือไม

วัตถุประสงค : เพือ่ รักษาความมัน่ คงปลอดภัยของ สารสนเทศและซอฟตแวรที่มีการแลกเปลี่ยนกัน ภายในองคกร และทีม่ กี ารแลกเปลีย่ นกับหนวยงาน ภายนอก A.10.8.4 การสงขอความทางอิเล็กทรอนิกส (Electronic messaging) ตัวควบคุม : ตองกำหนดมาตรการในการปองกัน สารสนเทศทีม่ กี ารสงผานทางขอความอิเล็กทรอนิกส

A.10.8.5 ระบบสารสนเทศทางธุรกิจทีเ่ ชือ่ มโยงกัน (Business information systems) ตัวควบคุม : ตองกำหนดนโยบายและขัน้ ตอนปฏิบตั ิ เพือ่ ปองกันสารสนเทศทีเ่ กีย่ วของกับระบบสารสนเทศ ทางธุรกิจที่เชื่อมโยงกัน

A.10.9 การสรางความมั่นคง ปลอดภัยสำหรับบริการพาณิชย อิเล็กทรอนิกส (Electronic commerce services)

วัตถุประสงค : เพือ่ สรางความมัน่ คงปลอดภัยสำหรับ บริการพาณิชยอิเล็กทรอนิกสและในการใชงาน A.10.9.1 การพาณิชยอเิ ล็กทรอนิกส (Electronic commerce) ตัวควบคุม : ตองกำหนดมาตรการสำหรับการปองกัน สารสนเทศของระบบพาณิชยอิเล็กทรอนิกสที่มี การสงผานทางเครือขายสาธารณะจากการฉอโกง การปฏิเสธ การเปดเผย และการเปลีย่ นแปลงแกไข โดยไมไดรับอนุญาต A.10.9.2 การทำธุรกรรมออนไลน (On-line transactions) ตัวควบคุม : ตองกำหนดมาตรการสำหรับการปองกัน สารสนเทศที่รับ-สงที่เกี่ยวของกับการทำธุรกรรม ออนไลน ทัง้ นี้ เพือ่ ปองกันไมใหเกิดความไมสมบูรณ ของสารสนเทศทีร่ บั -สง สารสนเทศถูกสงไปผิดเสนทาง บนเครือขายการเปลี่ยนแปลงสารสนเทศโดยไมได รับอนุญาต การเปดเผยสารสนเทศโดยไมไดรบั อนุญาต หรือการทำสำเนาสารสนเทศโดยไมไดรับอนุญาต A.10.9.3 สารสนเทศทีม่ กี ารเผยแพรออกสูส าธารณะ (Publicly available information) ตัวควบคุม : ตองกำหนดใหมกี ารปองกันความถูกตอง และความสมบูรณของสารสนเทศที่มีการเผยแพร ออกสูสาธารณะ

A.10.10.3 การปองกันขอมูลบันทึกเหตุการณ (Protection of log information) ตัวควบคุม : ตองกำหนดใหมมี าตรการปองกันขอมูล บันทึกกิจกรรมหรือเหตุการณตางๆ ที่เกี่ยวของกับ การใชงานสารสนเทศ เพือ่ ปองกันการเปลีย่ นแปลง หรือการแกไขโดยไมไดรับอนุญาต A.10.10.4 บันทึกกิจกรรมการดำเนินงานของ เจาหนาที่ที่เกี่ยวของกับระบบ (Administrator and operator logs) ตัวควบคุม : ตองกำหนดใหมีการบันทึกกิจกรรม การดำเนินงานของผูดูแลระบบหรือเจาหนาที่ที่ เกี่ยวของกับระบบอื่นๆ A.10.10.5 การบันทึกเหตุการณขอผิดพลาด (Fault logging) ตัวควบคุม : ตองกำหนดใหมกี ารบันทึกเหตุการณ ขอผิดพลาดตางๆ ทีเ่ กีย่ วของกับการใชงานสารสนเทศ วิเคราะหขอ ผิดพลาดเหลานัน้ และดำเนินการแกไข ตามสมควร

A.10.10 การเฝาระวังทางดาน A.10.10.6 การตัง้ เวลาของเครือ่ งคอมพิวเตอร ความมัน่ คงปลอดภัย (Monitoring) ใหตรงกัน (Clock synchronization)

วัตถุประสงค : เพือ่ ตรวจจับกิจกรรมการประมวลผล สารสนเทศที่ไมไดรับอนุญาต A.10.10.1 การบันทึกเหตุการณที่เกี่ยวของกับ

12

Bay Computing Newsletter l 11th Issue

ตัวควบคุม : ตองตั้งเวลาของเครื่องคอมพิวเตอร ทุกเครือ่ งในสำนักงานใหตรงกันโดยอางอิงจากแหลง เวลาที่ถูกตองเพื่อชวยในการตรวจสอบชวงเวลา หากเครื่องคอมพิวเตอรขององคกรถูกโจมตี


ISMS STANDARD A.11 การควบคุมการเขาถึง (Access control) A.11.1 ขอกำหนดทางธุรกิจ สำหรับการควบคุมการเขาถึง สารสนเทศ (Business requirements for access control)

วัตถุประสงค : เพื่อควบคุมการเขาถึงทรัพยสิน สารสนเทศ A.11.1.1 นโยบายการควบคุมการเขาถึงระบบ (Access control policy) ตัวควบคุม : ตองกำหนดใหมีการจัดทำนโยบาย ควบคุมการเขาถึงอยางเปนลายลักษณอักษร และ ปรับปรุงตามระยะเวลาทีก่ ำหนดไว การจัดทำนโยบาย นี้ จ ะพิ จ ารณาจากความต อ งการทางธุ ร กิ จ และ ทางดานความมัน่ คงปลอดภัยในการเขาถึงทรัพยสนิ สารสนเทศ

A.11.2 การบริหารจัดการการ เขาถึงของผูใช (User access management)

วัตถุประสงค : เพือ่ ควบคุมการเขาถึงระบบสารสนเทศ เฉพาะผูที่ไดรับอนุญาตแลวและปองกันการเขาถึง โดยไมไดรับอนุญาต A.11.2.1 การลงทะเบียนพนักงาน (User registration) ตัวควบคุม : ตองกำหนดใหมีขั้นตอนปฏิบัติอยาง เปนทางการ สำหรับการลงทะเบียนพนักงานใหม เพื่อใหมีสิทธิตางๆ ในการใชงานตามความจำเปน รวมทั้งขั้นตอนปฏิบัติสำหรับการยกเลิกสิทธิการ ใชงาน เชน เมื่อลาออกไปหรือเปลี่ยนตำแหนงงาน ภายในองคกร เปนตน A.11.2.2 การบริหารจัดการสิทธิการใชงานระบบ (Privilege management) ตัวควบคุม : ตองจัดใหมกี ารควบคุมและจำกัดสิทธิ การใชงานระบบตามความจำเปนในการใชงาน A.11.2.3 การบริหารจัดการรหัสผานสำหรับ ผูใชงาน (User password management) ตัวควบคุม : ตองจัดใหมกี ระบวนการบริหารจัดการ รหัสผานสำหรับผูใ ชงานอยางเปนทางการ เพือ่ ควบคุม การจัดสรรรหัสผานใหแกผใู ชงานอยางมีความมัน่ คง ปลอดภัย A.11.2.4 การทบทวนสิทธิการเขาถึงของผูใ ชงาน

(Review of user access rights) ตัวควบคุม : ตองจัดใหมกี ระบวนการทบทวนสิทธิ การเขาถึงของผูใ ชงานระบบอยางเปนทางการตาม ระยะเวลาที่กำหนดไว

A.11.3 หนาทีค่ วามรับผิดชอบของ ผูใ ชงาน (User responsibilities)

วัตถุประสงค : เพื่อปองกันการเขาถึงโดยไมไดรับ อนุญาต การเปดเผยหรือการขโมยสารสนเทศและ อุปกรณประมวลผลสารสนเทศ A.11.3.1 การใชงานรหัสผาน (Password use) ตัวควบคุม : ตองกำหนดวิธปี ฏิบตั ทิ ดี่ สี ำหรับผูใ ชงาน ในการเลือกและใชงานรหัสผาน

A.11.3.2 การปองกันอุปกรณทไ่ี มมพี นักงานดูแล (Unattended user equipment) ตัวควบคุม : ตองมีวิธีเพื่อปองกันไมใหผูไมมีสิทธิ สามารถเขาถึงอุปกรณสำนักงานทีไ่ มมพี นักงานดูแล A.11.3.3 นโยบายควบคุมการไมทิ้งทรัพยสิน สารสนเทศสำคัญไวในที่ที่ไมปลอดภัย (Clear desk and clear screen policy) ตัวควบคุม : ตองจัดทำนโยบายเพือ่ ควบคุมไมใหมี การปลอยใหทรัพยสนิ สารสนเทศทีส่ ำคัญ เชน เอกสาร สื่อบันทึกขอมูล อยูในสถานที่ที่ไมปลอดภัย เชน สามารถเขาถึงไดทางกายภาพ อยูในบริเวณที่เปน ที่สาธารณะหรือพบเห็นไดงาย เปนตน

A.11.4 การควบคุมการเขาถึง เครือขาย (Network access control)

วัตถุประสงค : เพื่อปองกันการเขาถึงบริการทาง เครือขายโดยไมไดรับอนุญาต A.11.4.1 นโยบายการใชงานบริการเครือขาย (Policy on use of network services) ตัวควบคุม : ตองจัดทำนโยบายการใชงานเครือขาย ซึง่ จะตองครอบคลุมถึงการระบุวา บริการใดทีอ่ นุญาต ใหผใู ชงานสามารถใชได บริการใดไมสามารถใชได

A.11.4.3 การพิสจู นตวั ตนอุปกรณบนเครือขาย (Equipment identification in networks) ตัวควบคุม : ตองกำหนดใหอุปกรณบนเครือขาย สามารถระบุและพิสูจนตัวตน เพื่อบงบอกวาการ เชื่ อ มต อ นั้ น มาจากอุ ป กรณ ห รื อ สถานที่ ที่ ไ ด รั บ อนุญาตแลว A.11.4.4 การปองกันพอรตทีใ่ ชสำหรับตรวจสอบ และปรับแตงระบบ (Remote diagnostic and configuration port protection) ตัวควบคุม : ตองมีมาตรการปองกันการเขาถึงพอรต ทีใ่ ชสำหรับตรวจสอบ และปรับแตงระบบ มาตรการ ตองครอบคลุมทัง้ การปองกันทางกายภาพและการ ปองกันการเขาถึงโดยผานทางเครือขาย A.11.4.5 การแบงแยกเครือขาย (Segregation in networks) ตัวควบคุม : ตองทำการแบงแยกเครือขายตามกลุม ของบริการสารสนเทศที่ใชงาน กลุมของผูใช และ กลุมของระบบสารสนเทศ A.11.4.6 การควบคุมการเชือ่ มตอทางเครือขาย (Network connection control) ตัวควบคุม : ตองจำกัดผูใ ชงานในการเชือ่ มตอทาง เครือขายระหวางองคกร การเชื่อมตอตองเปนไป ตามนโยบายควบคุมการเขาถึงและขอกำหนดที่ แอปพลิเคชันที่ใชงานทางธุรกิจไดระบุไว A.11.4.7 การควบคุมการกำหนดเสนทางบน เครือขาย (Network routing control) ตัวควบคุม : ตองกำหนดเสนทางบนเครือขายเพือ่ ควบคุมการเชือ่ มตอทางเครือขายและการไหลเวียน ของสารสนเทศบนเครือขายใหเปนไปตามนโยบาย ควบคุมการเขาถึง

A.11.4.2 การพิสจู นตวั ตนสำหรับผูใ ชทอ่ี ยูภ ายนอก องคกร (User authentication for external connections) ตัวควบคุม : ตองกำหนดใหมกี ารพิสจู น ฉบับหนาเราจะกลับมาทำความเขาใจในสวนของ ตั ว ตนก อ นที่ จ ะอนุ ญ าตให ผู ใ ช ที่ อ ยู Annex A ขอที่ 11 ที่เหลือกันตอ แลวพบกันใหม ภายนอกองคกร สามารถเขาใชงานเครือขาย ในฉบับหนาครับ และระบบสารสนเทศขององคกรได Bay Computing Newsletter l 11th Issue

13


Aperto Networks ผูนำในการผลิตอุปกรณที่ใชในระบบพื้นฐานที่ไดรับการรับรองจาก WiMAX Forum และเปนอุปกรณที่มีความยืดหยุนสูง คุมคา เงินลงทุน และทำงานมีประสิทธิภาพสูงมาก อุปกรณที่วานี้ยังเปนไปตามมาตรฐานบรอดแบนด 801.12d, 802.16e และ 802.16n อีกดวย อุปกรณ บรอดแบนดไรสายของ Aperto Networks ซึ่งมีรางวัลรับรองคุณภาพ อันไดแก Mobile WiMAX และโซลูชันดานระบบ VPN สำหรับองคกร ชวยให ผูใ หบริการระบบอินเทอรเน็ตสามารถใหบริการระบบบรอดแบนดไรสายราคาประหยัด โดยไมประสบสภาวะขาดทุน พรอมกับใหบริการไดทกุ ทีท่ กุ แหงในโลก และในชวงความถี่ที่กวางมาก

ระบบ VPN ภาคองคกรและแอพพลิเคชันทางธุรกิจ

ผลิตภัณฑจากตระกูล PacketMAX ซึง่ ชวยในการติดตัง้ ระบบเครือขาย WiMAX นั้น จะชวยใหผูใหบริการระบบเคลื่อนที่สามารถใหบริการการติดตอสื่อสารขอมูล ที่มีแบนดวิธสูง และชวยเพิ่มคุณคาใหแกภาคธุรกิจ โดยสามารถใหบริการระบบ ไดหลากหลาย อยางเชน ระบบ VPN แบบ MPLS, L2 และ L3 ระบบ WiMAX จาก PacketMAX นี้รองรับมาตรฐาน 802.1q มาตรฐาน VLAN Tagging การ ทำ Stack และการเชื่อมตอเขากับเทคโนโลยี MPLS อยางไรรอยตอ ไมทำใหเกิด การสะดุด ทัง้ นีเ้ พือ่ ใหการแยกทราฟฟกทีม่ าจากหลายๆ ที่ และใหลำดับความสำคัญ แกทราฟฟกเหลานั้น ทำใหการรับสงขอมูลมีประสิทธิภาพสูงสุด

การใหบริการเพื่อใหเกิดผลกำไร เริ่มจากการจำแนก ประเภททราฟฟกอยางชาญฉลาด

ผลิตภัณฑ PacketMAX ตระหนักถึงการใชวิธีระบุประเภทที่เปนเอกลักษณ และ ระบุประเภทของทราฟฟก เพือ่ หาวาทราฟฟกนัน้ มาจากระบบเครือขายใด ผูใ ชงาน คนไหน และจากแอพพลิเคชันใด ถาพูดกันในภาษาระบบเครือขายก็คือ ในเลเยอร ที่ 2, 3, 4 ในสวนเฮดเดอรของแพ็กเก็ตนัน้ เราสามารถใชระบุประเภทของทราฟฟก ไดอยางมีประสิทธิภาพ L2

L3

L4 User Data Video

Voice

Browsing

Traffic Tra Classify

โซลูชันที่เหมาะสมแบงตามประเภทธุรกิจ กาซและน้ำมัน

ความถี่ที่ไดรับการยกเวนจาก กสทช. จะเหมาะสำหรับองคกรอุตสาหกรรมที่มี ความตองการในดานการสื่อสารอยางมาก เนื่องจากสายไฟทองแดงและสายใย นำแกวนั้นไมสามารถตอบสนองความตองการได ระบบไรสายจึงเปนทางเลือกที่ เหมาะสมที่สุดสำหรับองคกรประเภทนี้ เทคโนโลยี OFDM-based WiMAX นั้น สามารถทำงานไดมปี ระสิทธิภาพและทนทานตอสัญญาณหลายเสนทาง (Multipath)

อันเกิดมาจากการสะทอนกับวัตถุตวั กลาง เชน น้ำ ภูเขา ละอองเมฆ ทำใหระบบมี สภาพพรอมใชงานสูง และสามารถใหบริการไดหลายชองทาง ภายใตสภาพแวดลอม ของคลืน่ ความถีว่ ทิ ยุ (Radio Frequency : RF) ที่อาจสงผลรายตอระบบได

ความปลอดภัยสาธารณะ

องคกรภาครัฐสามารถใชความถี่ที่ไดรับการอนุญาตขององคกร หรือความถี่ที่ ไดรบั การยกเวน เพือ่ ใชในการตรวจตราและการรักษาความปลอดภัย แพลตฟอรม ภายในผลิตภัณฑตระกูล PacketMAX นั้นมีประสิทธิภาพสูงและทำงานรวมกันได สมบูรณแบบ ซึง่ ทำใหระบบเครือขายนัน้ มีสภาพพรอมใชงานสูง เร็ว และสามารถ ใชงานไดตอ เนือ่ ง อุปกรณ CPE สามารถติดอยูบ นไฟจราจรและรถจักรยานยนต ลาดตระเวน และสามารถสงวิดีโอและไฟลแบบเรียลไทมเขามายังศูนยปฏิบัติงาน สวนกลาง เพื่อคอยตรวจสอบและบันทึกเหตุการณที่นาสงสัยได

บริการดานการเงิน

ระบบเครือขายที่ใชในธุรกิจการเงินนั้นตองการความปลอดภัย ความสามารถใน การจัดการทีส่ งู และมีประสิทธิผลทีม่ ากพอ ในขณะเดียวกัน ตองลดตนทุนในการ ทำธุรกรรมลงดวย สถาบันการเงินหลายแหงยังตองการทีจ่ ะมีขอ ไดเปรียบเหนือ คูแขงพรอมกับลดตนทุน โดยไมเกรตระบบ TDM แบบดั้งเดิมมาใชงานระบบใหม กัน ฟงกชันการจัดการทราฟฟกอยางระบบ VPN (Virtual Private Network) และเทคโนโลยี MPLS ทำใหสถาบันการเงินมั่นใจไดวาการโอนขอมูลความลับและ ขอมูลสำคัญตางๆ นั้นทำไดอยางปลอดภัย

การคมนาคม

ประเด็นขอพิจารณาสำคัญที่ภาคคมนาคมคำนึงถึงในระบบเครือขาย คือ ความ ครอบคลุมในการใหบริการ กลาวคือ จะมีบริการของระบบครอบคลุมไปถึงพื้นที่ ที่ตองการหรือไม ระบบ WiMAX ตอบโจทยขอนี้ไดเปนอยางดี โดยจะสรางโซนที่ เรียกวา Hotzone ซึ่งครอบคลุมทั้งสถานีรถไฟ ทางเดินสายรถไฟ และทาขนสง แทนที่จะใหบริการไดเปนจุดๆ หรือแบบ Hotspot ในรานกาแฟนั่นเอง

ธุรกิจอื่นๆ

ผลิตภัณฑตระกูล PacketMAX นัน้ สามารถปรับแตงเพือ่ ใหตรงกับความตองการ ของธุรกิจอืน่ ๆ ได อยางกระทรวงกลาโหม อุตสาหกรรมกอสราง ธุรกิจบริการ อุตสาหกรรมการผลิต โรงพยาบาลและสถาน สนใจขอมูลเพิ่มเติมติดตอไดที่ อนามัย และอื่นๆ อีกมากมาย

บริษัท เบย คอมพิวติ้ง จำกัด อีเมล info@baycoms.com


Exal altt - IP Backhaul on Microwave เมือ่ ทศวรรษทีผ่ า นมา เราไดเห็นการเติบโตอยางมากในการนำโครงสรางพืน้ ฐานระบบเครือขายไรสาย ทัง้ แบบอยูก บั ที่ (fixed) และแบบเคลือ่ นที่ (mobile) มาใหบริการดาน IP แกผบู ริโภคและภาคธุรกิจ ทำใหผใู หบริการอินเทอรเน็ตแบบไรสาย หรือ WISP (Wireless Internet Service Provider) ทำรายไดไดมากมายจากเทคโนโลยีใหมนี้ และ สามารถกาวขึ้นมาทัดเทียมกับผูใหบริการอินเทอรเน็ตผานสายแบบปกติ (ISP) แตกระนั้น การแขงขันที่วานี้ตองใชเงินทุนสูง ดังนั้น WISP จึงจำเปนตองลดตนทุนระบบ โครงสรางภายในของตนลง เพื่อคงไวซึ่งความสามารถในการแขงขันและความสามารถในการทำกำไร ในกรณีนี้ ผูใ หบริการอินเทอรเน็ตระบบไรสาย (WISP) ตองวางระบบ Backhaul เพือ่ เชือ่ มสัญญาณการับสงขอมูลจากลูกคาและภาคธุรกิจวิง่ เขามาทีจ่ ดุ เขาถึงอินเทอรเน็ต หรือ POP (point of presence) ของตนเองใหไดเหมือนกับระบบเครือขายแบบใชสายทั่วๆ ไป ในการแกปญหานี้ ผูใหบริการอินเทอรเน็ตไรสายตองลดตนทุนระบบ Backhaul แตในขณะเดียวกัน ตองคงคุณภาพสัญญาณไวใหไดในระดับเดิม เพื่อลดการเกิดปญหาสัญญาณหลุดใหเหลือนอยที่สุด บอยครั้งที่ผูใหบริการระบบเครือขาย ไรสายยังตองแขงขันกับระบบเครือขายแบบ WAN ที่ใชสัญญาณอะนาล็อกและสัญญาณ TDM แบบ Synchronous ในหลายๆ กรณี การวางระบบ Backhaul โดยใช สัญญาณ TDM นีจ้ ะมีคา ใชจา ยในการดำเนินการ (Operation Expense : OPEX) เพือ่ ใชสายเชา (Leased Line) คอนขางสูง และมีความยืดหยุน ในการขยายขนาดไดนอ ย นัน่ คือ ผูใ หบริการอินเทอรเน็ตระบบไรสาย (WISP) จะตองหาวิธกี ารทีส่ ามารถรองรับทราฟฟกอีเธอรเน็ตจากกลุม ลูกคามายังระบบเครือขายหลักใหไดคมุ คาตนทุนมากทีส่ ดุ ความสามารถในการสงทราฟฟกอีเธอรเน็ตหรือไอพีโดยใชสัญญาณระบบไมโครเวฟนั้น นอกจากจะคุมคาการลงทุนแลว ยังใหความยืดหยุนสูง สามารถปรับขนาดเพื่อ รองรับทราฟฟกที่เพิ่มขึ้นได และยังเปนสิ่งจำเปนในการทำธุรกิจอีกดวย ความสามารถในการลดตนทุนดวยระบบสัญญาณไมโครเวฟที่มีขนาดเล็ก แตสงขอมูลไดอยาง มีประสิทธิภาพนั้น เปนวิธีที่ทำใหผูใหบริการระบบอินเทอรเน็ตไรสายสามารถบรรลุเปาหมายผลตอบแทนการลงทุนไดดีที่สุด ACCESS PMP NETWORK Residential Subscriber Stations

Enterprise Subscriber Stations ACCESS MESH NETWORK

BACKHAUL NETWORK

CORE NETWORK

INTERNET

Point to Multipoint WiFi or WiMAX Base Station

POP

BACKHAUL NETWORK

CORE NETWORK

INTERNET WiFi Mesh

POP © 2002 Exalt Communications, Inc. All rights reserved.

สนใจขอมูลเพิ่มเติมติดตอไดที่

บริษัท เบย คอมพิวติ้ง จำกัด อีเมล info@baycoms.com

ระบบสัญญาณไมโครเวฟแบบ Point-to-Point จาก Exalt อาทิ ExtendAir® และ ExploreAir™ สามารถตอบสนองความตองการ ในการติดตัง้ ระบบ ทัง้ ยังมีฟง กชนั การทำงาน และแพลตฟอรม ที่ยืดหยุนพอที่จะเอื้อใหผูใหบริการระบบอิ น เทอร เ น็ ต ไร ส าย สามารถใหบริการทีแ่ ตกตางจากคูแ ขง และสรางกำไรใหกบั ธุรกิจ ของตนเองได สิ่งที่คุณจะไดรับจากระบบของ Exalt ไดแก • ความสามารถในการ Aggregate ขอมูลในความเร็วตั้งแต 25 เมกะบิตตอวินาทีในระยะทาง 1 ไมล ถึง 1 กิกะบิตตอวินาที ทำใหสามารถจัดการความจุไดเหมาะสมกับแอพพลิเคชันตางๆ ในการสงขอมูลจากพืน้ ทีข่ องลูกคามาจนถึงระบบเครือขายหลัก • การันตีการสงขอมูลลูกคาออกทุกๆ แถบคลืน่ ความถีใ่ นระบบ อีเธอรเน็ตถึงรอยละ 99.999 ทำใหมั่นใจไดวาระบบเครือขาย แบบ Backhaul นีจ้ ะไมมลี งิ คคณ ุ ภาพต่ำเลยสำหรับการเชือ่ ม ทราฟฟกจากฝงลูกคา • ฟงกชัน VLAN, QoS และการจำกัดอัตราความเร็ว ทำใหมี ความยืดหยุนในการใหบริการลูกคาหลากหลายประเภทและ ระดับการใหบริการ • ระบบในทุกๆ แถบคลื่นความถี่สามารถรองรับคา Latency sub-1 ms เพื่อใชในการสงไฟลวิดีโอและ VoIP • เทคโนโลยี ExaltSync™ นั้นอนุญาตใหสัญญาณวิทยุ TDD ที่ความถี่ 2.4 หรือ 5 กิกะเฮิรตซ วิ่งในไซตเดียวกัน และใช ชองสัญญาณเดียวกันได ซึง่ สงผลใหไซตทเี่ ปนตัว Aggregate ระบบนั้นทำงานไดงายขึ้น • ตนทุนทีใ่ ชในการทำ Sparing ลดลงอยางมาก อันเนือ่ งมาจาก เทคโนโลยี Single-unit sparing ที่มีมาพรอมทั้งในแถบคลื่น ความถี่แบบ License และ License-Exempt


Bay Newletter 11  

This is news letter of Bay Computing