PCI-DSS SOLUTION PART 1
มาตรฐานการรักษาความ ปลอดภัย ที่สถาบันการเงิน บริษัทผูใหบริการบัตรเครดิต และผูคาตองปฏิบัติตาม P. 06
นิตยสาร เบย คอมพิวติ้ง ฉบับที่ 11 ป 2554
Mobile Device
Management Solution เพื่อประสิทธิภาพในการดำเนินธุรกิจที่เพิ่มขึ้น ในยุคอุปกรณโมบายเฟองฟู
EDITOR’S NOTE & CONTENTS
กลับมาพบกันอีกครั้งสำหรับ Newsletter ฉบับแรกของปกระตาย ฉบับนี้ยังคง เต็มเปยมไปดวยขอมูลทั้งดาน IT Security และ Network Security โดยเราขอ นำเสนอโซลูชัน Mobile Device Management เนื่องจากปจจุบันมือถือมีความ สามารถที่จะรองรับการใชงานในเชิงธุรกิจมากขึ้น ไมวาจะเปน iPhone/iPad, Blackberry, Windows Mobile, Symbian และนองใหมมาแรงอยาง Android ตางถูกนำมาใชงานกันอยาง กวางขวาง เพื่อใหองคกรเพิ่มความสะดวก รวดเร็ว และเพิ่มประสิทธิภาพในการดำเนินธุรกิจใน ยุคนี้ อีกโซลูชันหนึ่งที่นาสนใจในยุคบัตรเครดิตเฟองฟู ก็คือ PCI-DSS : มาตรฐานเกี่ยวกับการรักษา ความปลอดภัย ครอบคลุมถึงการปกปองขอมูลที่สำคัญของผูถือบัตรเครดิต โดยมีผลบังคับใชกับ ผูออกบัตร, สถาบันการเงิน, ผูคา และทุกองคกรที่เกี่ยวของกับระบบการใชขอมูลจากบัตรเครดิต เพื่อเตรียมความพรอมในการรับมือกับมาตรฐานนี้ สำหรับทุกองคกรที่ตองเกี่ยวของกับระบบ บัตรเครดิต แลวพบกันใหมฉบับหนาในชวงฤดูรอนนะคะ นิดา ตั้งวงศศิริ, ผูจัดการทั่วไป
CONTENTS
02 EDITOR’s NOTE & CONTENTS 03 NEWS UPDATE 04 COVER STORY Mobile Device Management Solution (MDM)
06 SOLUTION UPDATE PCI-DSS Solution Part 1
08 TECHNOLOGY UPDATE
Secure Remote Access กับการสรางความไดเปรียบ ในเชิงธุรกิจ
12 ISMS STANDARD
เสริมมาตรการความปลอดภัยไอทีดวย ISO 27001:2005 ตอนที่ 9 “Annex A”
14 Aperto-WIMAX 2
Bay Computing Newsletter l 11th Issue
NEWS UPDATE
01
02
เบย คอมพิวติ้ง รวมบริจาค คอมพิวเตอรมือสอง
ตัวแทนบริษัท เบย คอมพิวติ้ง เขารวมโครงการบริจาค คอมพิวเตอรมือสองเพื่อการศึกษา แดนองๆ โรงเรียน บานหนองกุม จ. กาญจนบุรี เมื่อวันที่ 21 มกราคม 2554 ที่ ผ า นมา นอกจากนี้ ยั ง มี อุ ป กรณ ก ารเรี ย น การสอนตางๆ โดยไดรับความรวมมือจากพนักงาน ในบริษัทฯ ซึ่งนองๆ ทุกคนตางดีใจและใหการตอนรับ เปนอยางดี
03
บริษัท เบย คอมพิวติ้ง จำกัด จัดการแขงขันโบวลิ่งกระชับมิตร เมื่อวันเสารที่ 22 มกราคม 2554 ที่ผานมา เพื่อสรางความสัมพันธอันดี ระหวางบริษัทฯ และกลุมลูกคา บริษัท ไทย แอรเอเชีย และเปนการขอบคุณ ลูกคาที่ใหความไววางใจและการสนับสนุนที่ดีตลอดมา โดยงานจัดขึ้นที่ เมเจอร โบวล ฮิต อะเวนิว สาขาแจงวัฒนะ ซึ่งบริษัท ไทย แอรเอเชีย เปน ผูควาถวยรางวัลไปครอง
Bay Computing Family Trip to Beijing
เพือ่ เปนการฉลองยอดขายและสรางเสริมกำลังใจใหกบั พนักงาน ผูบ ริหารฯ บริษทั เบย คอมพิวติง้ จัดทริปพาพนักงานทองเทีย่ ว ณ กรุงปกกิง่ ประเทศจีน เมื่อวันที่ 23 - 27 กุมภาพันธ ที่ผานมา ทริปนี้พวกเราทุกคนได สัมผัสอากาศหนาวเย็นทามกลางหิมะ และไดเขาเยี่ยมชมสถานที่ที่สำคัญ ตางๆ ซึ่งเปนสถาปตยกรรมอันเกาแกของประเทศจีน ซึ่งนับวาเปนทริปที่ สรางความประทับใจใหแกพนักงานบริษัทฯ เปนอยางมาก
05
Bowling เชื่อมสัมพันธ
04
RSA Partner’s Appreciation Night
เมื่อวันที่ 28 มกราคม ที่ผานมา RSA จัดงานเลี้ยง สังสรรคระหวางพารตเนอรเพื่อฉลองความสำเร็จใน ปที่ผานมา ในชื่องาน RSA Partner’s Appreciation Night ณ ห อ งแพทติ นั่ ม เมเจอร โ บว ล รั ช โยธิ น ซึ่ ง ภายในงานนอกจากมีกิจกรรมตางๆ ที่นาสนใจแลว บริษัท เบย คอมพิวติ้ง ยังไดรับเกียรติขึ้นรับรางวัล จากทาง RSA อีกครั้ง
Lotusphere and InformationOnDemand Come to you
เมือ่ วันที่ 1 มีนาคม 2554 ทีผ่ า นมา เบย คอมพิวติง้ ไดรว มออกบูธกับ IBM ในงาน “Lotusphere and InformationOnDemand Come to you” ณ หอง World Ballroom Centara Grand โดยมีกลุมลูกคาจากหลายหนวยงานใหความสนใจเขารวมงานสัมมนาครั้งนี้เปนจำนวนมาก ซึ่งเราไดนำโซลูชัน Database Security ภายใตชื่อ IBM Infosphere Guardium ไปแสดง เพื่อใหขอมูลแกลูกคาผูที่สนใจแวะเขาเยี่ยมชมบูธ โดยมีผูเชี่ยวชาญของเราคอยใหคำแนะนำ เกี่ยวกับโซลูชันนี้เปนอยางดี Bay Computing Newsletter l 11th Issue
3
COVER STORY
Mobile Device Management Solution (MDM) โดย ธาดา กิจมาตรสุวรรณ, Consultant, บริษัท เบย คอมพิวติ้ง จำกัด
ทุกวันนี้เทคโนโลยีในโทรศัพทมือถือที่เปนสมารตโฟน (Smart Phone) ไดมกี ารพัฒนาความสามารถเพิม่ เติมอยาง ตอเนื่อง เพื่อที่จะมาเติมเต็มในชีวิตประจำวัน รวมไปถึงมีความ สามารถที่จะรองรับการใชงานในเชิงธุรกิจมากขึ้น ปจจุบัน บริษัท ระดับเอ็นเตอรไพรสมีแผนที่จะนำมือถือคายตางๆ ไมวาจะเปน iPhone/iPad, Blackberry, Windows Mobile, Symbian และ นองใหมมาแรงอยาง Android มาใชงานในองคกร เพื่อเพิ่มความ สะดวก รวดเร็ว และเพิ่มประสิทธิภาพของการดำเนินธุรกิจของ องคกร เนื่องจากการแขงขันและการพัฒนาปรับปรุงอยางตอเนื่องของ มือถือคายตางๆ เชน Microsoft, Apple, Blackberry, Nokia และ Google ทำใหภายในองคกรอาจจะมีการใชงานแพลตฟอรม ทีก่ ลาวมาขางตนมากกวาหนึง่ แพลตฟอรม เพราะฉะนัน้ ทางองคกร ควรจะตองตระหนักถึงความสามารถในการบริหารจัดการดาน การดูแลแกไขปญหาตางๆ ในการใชงาน รวมถึงเรือ่ งของความเสีย่ ง และความปลอดภัยที่อาจจะเกิดขึ้นจากการใชงานอุปกรณมือถือ ที่มีแพลตฟอรมหลากหลายเหลานี้ได ทางบริษัท เบย คอมพิวติ้ง ไดตระหนักถึงความจำเปนดานการ บริหารจัดการอุปกรณมอื ถือและความตองการดานความปลอดภัย
ในสวนของอุปกรณมอื ถือ ทางบริษทั ไดคน ควาและรวบรวมขอมูล เกีย่ วกับ Mobile Device Management Solution สำหรับองคกร เพือ่ ทีจ่ ะบริหารจัดการอุปกรณมอื ถือเหลานีไ้ ดอยางมีประสิทธิภาพ รวมถึงลดความเสีย่ งตางๆ ทีอ่ าจจะเกิดจากการใชงานมือถือ และ เพิม่ ความปลอดภัย เพือ่ สรางความมัน่ ใจใหกบั ทัง้ องคกรและผูใ ชงาน อุปกรณมือถือ ขอควรพิจารณาที่ เบย คอมพิวติง้ จัดทำและรวบรวมมาจาก Best Practices ที่ เบย คอมพิวติง้ ไดคน ความาสำหรับ Mobile Device Management Solution โดยเฉพาะ ขอพิจารณาเหลานี้เปนสิ่งที่ องคกรควรตระหนักและทำความเขาใจ เพือ่ การเลือกโซลูชนั ทีเ่ หมาะสม ที่สุดแกองคกร
Management and 1 Centralized Broad Mobile Platform Support
(Including RIM, iOS, Windows Mobile, Android, Symbian)
ควรมีความสามารถในการบริหารจัดการมือถือไดหลากหลาย แพลตฟอรม และมีการบริหารจัดการแบบ Centralized เพื่อให งายและสะดวกในการควบคุมและบริหารจัดการ โดยมีการสราง นโยบายตางๆ จากศูนยกลาง
On Encryption (Including 2 Turn Disk and External Storage)
ควรมีความสามารถในการเปดฟเจอรสำหรับการเขารหัสขอมูลบน มือถือ ไมวา จะเปนในสวนของ Local Disk/Storage รวมถึง External Storage เชน SD หรือ Micro SD ได เพือ่ ทีจ่ ะสรางความมัน่ ใจไดวา ในกรณีทมี่ อื ถือเกิดการสูญหาย ขอมูลสำคัญขององคกรทีถ่ ดู จัดเก็บ ลงบนมือถือจะไมสามารถถูกเปดอานโดยบุคคลทีไ่ มพงึ ประสงคได
on Authentication 3 Turn ควรมีความสามารถในการกำหนดรูปแบบในการใชงาน ให
4
Bay Computing Newsletter l 11th Issue
COVER VER STORY STORY ใสรหัส PIN (Personal Information Number) กอนการใชงาน ทุกครัง้ เพือ่ ทีจ่ ะปองกันไมใหบคุ คลทีไ่ มพงึ ประสงคสามารถเปดอาน หรือใชงานมือถือโดยที่ไมไดรับอนุญาตได
Lock and Remote Wipe 4 Device Capabilities
ในกรณีทมี่ อื ถือเกิดการสูญหาย ไมวา จะเกิดจากความไมตงั้ ใจหรือ จงใจถูกโจรกรรม ระบบ Mobile Device Management ที่ดีควร จะมีความสามารถในการล็อคเครือ่ งแบบระยะไกล (Remote) และ เพื่อที่จะสรางความมั่นใจในการปกปองขอมูลสำคัญขององคกร แบบสูงสุด ระบบจะตองมีความสามารถในการสัง่ ลบขอมูลตางๆ ที่ จัดเก็บลงบนมือถือแบบระยะไกล (Remote Wipe)
of Third-Party Apps 5 Control (Application Control)
ระบบ MDM ควรตองมีความสามารถในการสรางนโยบายควบคุม การติดตัง้ และใชงานแอพพลิเคชันตางๆ บนมือถือ เพือ่ ทีจ่ ะลดความ เสี่ยงที่จะเกิดขึ้นจากการลงแอพพลิเคชันเหลานั้น ไมวาจะเปน ในสวนของ Malware ที่อาจจะถูกฝงเขามาพรอมแอพพลิเคชัน รวมถึงเรือ่ งการฟองรองทางลิขสิทธิ์ ในกรณีทม่ี กี ารลงแอพพลิเคชัน ที่ผิดกฎหมาย (Software Piracy) บนมือถือขององคกร
Control Capabilities 6 Device ควรมีความสามารถในการเปดปดการใชงานฟงกชนั บางอยาง
ของอุปกรณมือถือ เชน การปดการใชงาน Bluetooth, Camera, Synchronization เพือ่ ทีจ่ ะใหสอดคลองกับนโยบายขององคกร และ ลดความเสี่ยงที่จะเกิดขึ้นจากการใชงานฟงกชันเหลานี้ได
Management 7 Configuration ในกรณีที่มีการใชงานมือถือจำนวนมาก เพื่อที่จะลด Cost
ของการบริหารจัดการในสวนของการตั้งคา Configuration ตางๆ บนมือถือ ไมวาจะเปน WIFI Setting, Email Setting และอื่นๆ ระบบ MDM ควรจะตองมีความสามารถในการติดตัง้ Configuration ไปยังมือถือที่ใชงานอยูจากศูนยกลางได
and Asset 8 Inventory Management
ควรมีความสามารถในการทำ Inventory สำหรับองคกร ไมวา จะเปน Device Model, Device OS, Device ID, Device IMEI, Phone Number, Email Name, Carrier และอื่นๆ รวมถึงชื่อยูสเซอรที่ ใชงานมือถือนั้นได เพื่อสรางความงายและสะดวกในการบริหาร จัดการทรัพยสินขององคกร
Provisioning/Activation 9 OTA Management
ควรมีความสามารถในการจัดเตรียมมือถือใหทำงานรวมกับระบบ MDM ขององคกรแบบ Over the Air (OTA) เชน มีการทำ Web Portal เพื่อที่จะใหผูใชงานสามารถมา Activate เครื่องมือถือผาน ทาง Intranet/Internet ได, มีการทำ Enterprise App Store สำหรับ ยูสเซอร เพื่อที่จะมาดาวนโหลดแอพพลิเคชันที่จำเปนสำหรับการ Activate เพื่อที่จะเพิ่มความสะดวก และลดระยะเวลาในการ จัดเตรียมมือถือเขากับระบบ MDM
Management 10 Helpdesk ควรมีความสามารถในการอินทิเกรตกับระบบ Helpdesk
ขององคกร เพื่อที่จะคอย Track ปญหาในการใชงานมือถือ และ แกไขไดอยางทันทวงที รวมถึงมีความสามารถอื่นที่จะชวยลดงาน ของ Helpdesk ได อยางเชน
ควรมีความสามารถในการทำ User Self Service เพือ่ ชวยเหลือ ผูใชงานใหสามารถแกไขปญหาเบื้องตนเองได ควรมีความสามารถในการทำ Remote Assistance สำหรับการ ชวยแกปญหาจากระยะไกล ในกรณีที่ไมสะดวกที่จะเขาถึงมือถือ ที่มีปญหาอยูได นอกจากนี้ องคกรยังอาจพิจารณานำความสามารถเสริมอืน่ ๆ ของ ระบบ MDM มาปรับใชไดอกี ยกตัวอยางเชน ความสามารถในการ ทำ GPS Tracking สำหรับเครื่องมือถือที่มีโมดูล GPS ได หรือ สามารถทำ Backup/Restore ขอมูลมือถือผานทางเครือขายได เปนตน สอบถามขอมูลเพิ่มเติมไดที่ บริษัท เบย คอมพิวติ้ง จำกัด อีเมล info@baycoms.com เว็บไซต www.baycoms.com Bay Computing Newsletter l 11th Issue
5
SOLUTION UPDATE PDATE
PCI-DSS Solution
Part 1
โดย อวิรุทธ เลี้ยงศิริ, Technology Director, บริษัท เบย คอมพิวติ้ง จำกัด
PCI คืออะไร?
PCI คือ ตัวยอของคำวา Payment Card Industry ซึ่งเปนองคกรกลาง จัดตั้งขึ้นเพื่อพัฒนา ปรับปรุง และบังคับใชมาตรฐานการรักษาความ ปลอดภัยเพื่อปกปองเลขที่บัญชีลูกคา (เลขที่บน บัตรเครดิตและเดบิต) และขอมูลสวนบุคคลของ ผูถือบัตร กอตั้งโดยกลุมของบริษัทผูใหบริการบัตร เครดิตชัน้ นำ เพือ่ รวมกันกำหนดมาตรฐานเพือ่ ปกปอง ขอมูลสวนบุคคล (Personal Information) และ มัน่ ใจวามีการรักษาความปลอดภัยอยางเหมาะสม และเพียงพอสำหรับการประมวลผลขอมูลเมื่อมี การใชบัตรเพื่อชำระเงิน สมาชิกของ PCI ทั้งหมด ทัง้ สถาบันการเงิน บริษทั ผูใ หบริการบัตรเครดิต และ ผูค า (merchant) จะตองปฏิบตั ติ าม (comply) ตาม มาตรฐานเหลานี้ ถายังตองการดำเนินธุรกิจผาน บัตรเครดิตตอไป การไมปฏิบตั ติ ามมาตรฐานทีก่ ำหนด สามารถสงผลใหถกู กำหนดคาปรับโดยกลุม ผูบ งั คับใช (enforcement entities)
PCI SSC คืออะไร?
PCI SSC คือ ตัวยอของคำวา PCI Security Standard Council กอตั้งขึ้นโดยบริษัท American Express, Discover Financials, JCB International, MasterCard Worldwide และ Visa Inc. โดยมีภารกิจที่สำคัญ เพือ่ เสริมสรางความปลอดภัยโดยการผลักดันใหเกิด ความรูและความตระหนักถึงมาตรฐานการรักษา ความปลอดภัยตามที่ PCI กำหนด โดยมีการปรับปรุง มาตรฐานใหมทุกๆ ประมาณ 3 ป
PCI กำหนดมาตรฐานอะไร ออกมาบาง?
PCI SSC ไดกำหนดมาตรฐานตางๆ ดังตอไปนี้ PIN Transaction Security (PCI PTS) PIN Entry Devices (PCI PED) Payment Application - Data Security Standard (PCI PA-DSS) PCI Data Security Standard (PCI DSS) Manufacturer PCI PTS
6
PCI DSS คืออะไร?
PCI DSS คือมาตรฐานเกี่ยวกับการรักษาความ ปลอดภัยซึ่งกำหนดโดย PCI SSC ซึ่งครอบคลุม การปกปองขอมูลทีม่ คี วามสำคัญ (Sensitive Data) โดยกำหนดตัวควบคุมสำหรับการบริหารจัดการ การรักษาความปลอดภัย, นโยบายการใชงานขอมูล, ขัน้ ตอนกระบวนการ, สถาปตยกรรมระบบเครือขาย, การออกแบบซอฟตแวร และอืน่ ๆ เพือ่ ปกปองขอมูล สำคัญของผูถือบัตร PCI DSS บังคับใชกบั ผูอ อกบัตร, ผูป ระมวลผลขอมูล บัตร, สถาบันการเงิน, ผูคา (merchant) และทุกๆ องคกรทีเ่ กีย่ วของกับระบบการใชขอ มูลจากบัตรเครดิต ไมวาจะเปนธนาคาร รานคาปลีกที่รับบัตรเครดิต รานคาสง และอื่นๆ โดยมีผลบังคับใช แบงไปตาม ระดับของผูคานั้นๆ โดยจะเริ่มจากสถาบันการเงิน ผูออกบัตร ผูประมวลผลบัตร และผูคาระดับที่ 1 (Tier 1 หรือ มีรายการใชจายของบัตรเกิดขึ้นเกิน 6 ลานรายการตอป) ซึง่ เสนตายในการบังคับใช จะ กำหนดโดยผูอ อกบัตรแตละบริษทั เชน VISA กำหนด ใหบังคับใชตั้งแต 1 ตุลาคม 2554 เปนตนไป โดย หนวยงานที่ไมไดรับการตรวจสอบจากผูตรวจสอบ ทีไ่ ดรบั การรับรองแลว กอนเวลาทีก่ ำหนด สามารถ ถูกปรับเงินมากถึงหลายแสนเหรียญสหรัฐ รวมถึง ตองรับผิดชอบคาใชจา ยทัง้ หมดทีเ่ กิดขึน้ ทัง้ คาใชจา ย
Software Developers
Merchants & Processors
PCI PA-DSS
PCI DSS
Bay Computing Newsletter l 11th Issue
ทางกฎหมาย ความรับผิดชอบ และอืน่ ๆ หากระบบ ของผูค า นัน้ ๆ เปนตนเหตุใหเกิดขอมูลของผูถ อื บัตร รั่วไหล PCI DSS กำหนดวา ขอมูลของผูถ อื บัตร (Cardholder data) ประกอบไปดวยขอมูลดังนี้ PAN (Primary Account Number) หรือ เลข 15/16 หลักที่ปรากฎอยูบนหนาบัตรเครดิต และ แถบแมเหล็กหลังบัตร ชื่อของผูถือบัตร (Cardholder Name) ตามที่ ปรากฏอยูใ นระบบ บนหนาบัตร และแถบแมเหล็ก หลังบัตร วันหมดอายุของบัตร (Expiration Date) ตามที่ ปรากฏอยูใ นระบบ บนหนาบัตร และแถบแมเหล็ก หลังบัตร รหัสบริการ (Service Code) ตามที่ปรากฏอยู ในระบบ และบนแถบแมเหล็กหลังบัตร นอกจากนี้แลว ขอมูลสำคัญอีกอยางหนึ่ง เรียกวา Sensitive Authentication Data หรือ ขอมูลสำคัญ สำหรับการยืนยันตัวตน ประกอบดวย ขอมูลทั้งหมดที่อยูบนแถบแมเหล็ก หรือ Chip เลข CAV2/CVC2/CVV2/CID เลข PIN และ PIN block
แผนภาพแสดงปริมาณผูเกี่ยวของเทียบกับ แตละประเภทของมาตรฐาน
Account Data
SOLUTION UPDATE
Cardholder Data Sensitive Authentication Data1
Data Element Primary Account Number (PAN) Cardholder Name Service Date Expiration Date Full Magnetic Stripe Data2 CAV2/CVC2/CVV2/CID PIN/PIN Block
แกนหลักของ PCI DSS คือ Principle ซึ่งเกิดจาก การรวมกันของ Requirement ตางๆ โดยแบงเปน 6 Principle รวม 12 Requirement ประกอบดวย
Principle 1 :
Build and Maintain a Secure Network
กำหนดใหมกี ารสรางและบำรุงรักษาเครือขายที่ มีความปลอดภัยรัดกุม Requirement 1 : Install and maintain a firewall configuration to protect cardholder data ติดตั้งและบำรุงรักษาคอนฟกูเรชันของไฟรวอลล เราเตอร และอุปกรณเกี่ยวของ ใหสามารถปกปอง ขอมูลของผูถ อื บัตร โดยตองปองกันการเขาถึงระบบ ฐานขอมูล และเครื่องที่ใชประมวลผลหรือจัดเก็บ ขอมูลของผูถือบัตร มีการแบงแยกขอบเขต หรือ โซนทีช่ ดั เจน พรอมทัง้ มีกระบวนการในการควบคุม การใช เปลี่ยนแปลง คอนฟกูเรชันที่เหมาะสม เพื่อ ปองกันการลักลอบแกไข รวมทั้งจัดใหมีแผนภาพ (diagram) ระบบเครือขายที่ทันสมัยอยูเสมอ Requirement 2 : Do not use vendor-supplied defaults for system passwords and other security parameters หามใช default system password ที่กำหนดโดย ผูผ ลิตในตอนเริม่ ตน (default) รวมถึงการตัง้ คาอืน่ ๆ เชน IP address 192.168.1.1 หรือ Username: admin และ Password: password หรือ วางเปลา (blank), Wireless encryption key, SNMP community string เปนตน รวมถึงปรับใชมาตรฐานในการกำหนด คอนฟกเู รชันทีเ่ หมาะสมโดยอางอิงจากสถาบันและ มาตรฐานทีเ่ ปนทีย่ อมรับ เชน Center for Internet Security, NIST, ISO, SANS institute เปนตน
Principle 2 :
Protect Cardholder Data
ดำเนินมาตรการทีจ่ ำเปนเพือ่ ปกปองขอมูลของ ผูถือบัตร
Storage Render Stored Account Data Permitted Unreadable per Requirement 3.4 Yes Yes Yes No Yes No Yes No No Cannot store per Requirement 3.2 No Cannot store per Requirement 3.2 No Cannot store per Requirement 3.2
Requirement 3 : Protect stored cardholder data มีมาตรการในการจำกัดจำนวนขอมูลของผูถ อื บัตร ในระบบ ใหมีนอยที่สุดเทาที่จำเปน ไมเก็บขอมูล เกีย่ วกับการยืนยันตัวบุคคล (sensitive authentication data) ทั้งในรูปแบบที่เขารหัส (encrypt) หรือไม เขารหัส (unencrypt) รวมถึงปองกันการแสดงผล ของขอมูลผูถือบัตรที่ตองไมถูกแสดงในลักษณะที่ ไมมีการปกปดบางสวน (mask) และจัดเก็บขอมูล ทั้งหมดในรูปแบบที่ถูกเขารหัส หรือไมสามารถนำ ไปใชไดโดยไมผา นการประมวลผลกอน ในกรณีทมี่ ี การใชระบบการเขารหัส ตองมีการตรวจสอบและ ปองกันการรัว่ ไหลของกลไก และกุญแจทีใ่ ชในการ เขาและถอดรหัส Requirement 4 : Encrypt transmission of cardholder data across open, public networks เขารหัสการสงขอมูลผูถ อื บัตรเปนอยางดีทกุ ครัง้ เมือ่ มีการสงขอมูลผานเครือขายสาธารณะ เชน เครือขาย โทรศัพท เครือขายอินเทอรเน็ต เปนตน รวมถึงหาม สงเลขทีบ่ ตั รผานเครือขายสาธารณะโดยไมเขารหัส หรือปกปด
Principle 3 :
ตารางแสดงขอมูลที่ PCI DSS อนุญาตใหจัดเก็บ และไมอนุญาตใหจัดเก็บ ดวยกระบวนการที่ตรวจสอบได รวมถึงตรวจสอบ ซอฟตแวรทพ่ี ฒ ั นาขึน้ เองอยางสม่ำเสมอดวยเครือ่ งมือ ทีเ่ ชือ่ ถือได และตรวจสอบกระบวนการแกไขปรับปรุง ซอฟตแวรอยางสม่ำเสมอ รวมถึงตรวจสอบความ ปลอดภัยของระบบกับภัยคุกคามใหมอยางสม่ำเสมอ
Principle 4 :
Implement Strong Access Control Measures
มีมาตรการควบคุมการเขาถึงขอมูลอยางเขมแข็ง Requirement 7 : Restrict access to cardholder data by business need-to-know มีกระบวนการจำกัดสิทธิใ์ นการเขาถึงขอมูลผูถ อื บัตร ตามหนาที่ และใหสทิ ธิน์ อ ยทีส่ ดุ เทาทีจ่ ำเปนเพือ่ ให การปฏิบัติงานในหนาที่นั้นๆ ลุลวงได ที่นิยมและ แนะนำคือ การกำหนดสิทธิแ์ บบ deny all และเปดให เฉพาะขอมูลและฟงกชนั ทีต่ อ งการเทานัน้ (Whitelisting) Requirement 8 : Assign a unique ID to each person with computer access มีกระบวนการปองกันการ share username กัน สำหรับระบบทีเ่ กีย่ วของกับขอมูลผูถ อื บัตร พรอมทัง้ มีการกำหนดนโยบายในการบริหารจัดการรหัสผาน และการยืนยันตัวตน (authentication) ที่เขมงวด เชน กำหนดความยาวรหัสผานไมนอยกวา 8 ตัว อักษรและตองเปลี่ยนทุก 30 วัน รวมถึงกำหนดให มีการยืนยันตัวตนแบบ two factor authentication เปนตน
จัดใหมกี ระบวนการบริหารจัดการชองโหวและ ความเสี่ยง Requirement 5 : Use and regularly update anti-virus software มีการใชซอฟตแวรปอ งกันไวรัสทีไ่ ดรบั การปรับปรุง ใหทนั สมัยเสมอ เพือ่ ลดความเสีย่ งจากซอฟตแวรไม พึงประสงค (Maliciousware) ทีแ่ อบลักลอบดักจับ ขอมูล
Requirement 9 : Restrict physical access to cardholder data มีการรักษาความปลอดภัยระบบที่เก็บขอมูลดวย วิธีการทางกายภาพอยางดี เชน มีระบบ access control กอนเขาถึงระบบทีป่ ระมวลผล หรือจัดเก็บ ขอมูล พรอมทัง้ กุญแจทีป่ ด ไวตลอดเวลา และยังมี การใชกลองวงจรปดเฝาระวังอยางสม่ำเสมอ พรอม กระบวนการที่เกี่ยวของเพื่อตรวจสอบยอนหลังผูที่ เขาถึงระบบทางกายภาพได พรอมกำหนดกระบวนการ ในการนำเขา ใชงาน และเลิกใชของสื่อ (media) และอุปกรณทั้งหมดที่เกี่ยวของกับระบบ
Requirement 6 : Develop and maintain secure systems and applications มีการปรับปรุงรุน ของซอฟตแวรทใ่ี ชในระบบทัง้ หมด อยางสม่ำเสมอ รวมถึงติดตัง้ Security Fix หรือ Patch
ในตอนที่ 2 เราจะมาติดตามตอถึง Principle 5 และ 6 พรอมลงลึกในรายละเอียดของระบบที่ สามารถนำมาใชเพือ่ ชวยตอบขอกำหนดตางๆ (Requirement) ของ PCI DSS
Maintain a Vulnerability Management Program
Bay Computing Newsletter l 11th Issue
7
TECHNOLOGY UPDATE
Secure Remote Access
กับการสรางความไดเปรียบในเชิงธุรกิจ ในปจจุบนั นีธ้ รุ กิจตางๆ กำลังเผชิญกับ ความทาทายทีม่ ากขึน้ เรือ่ ยๆ เกีย่ วกับ การเปลี่ยนแปลงทางเศรษฐกิจ ทำใหจำเปน ตองมีการปรับตัวเพื่อคงความสามารถในการ แขงขันเอาไวใหได และการใชเทคโนโลยีก็ได กลายเปนขอพิจารณาทีส่ ำคัญสำหรับการบรรลุ วัตถุประสงคทางธุรกิจ รวมทั้งสรางตัวเองให แตกตางจากคูแขงขันรายอื่นๆ ไปพรอมๆ กับ การลดตนทุนดวย ดวยการกระจายความสามารถในการเขาถึง อินเทอรเน็ตออกไปทัว่ ทุกสารทิศนัน้ ธุรกิจตางๆ ไดเพิ่มชองทางใหมๆ ในการเพิ่มผลผลิต เพิ่ม รายได ลดคาใชจา ยในการดำเนินงาน และสราง โอกาสใหมๆ ทางธุรกิจขึน้ มา ซึง่ หนึง่ ในโซลูชนั ทีธ่ รุ กิจตางๆ ใหความสนใจมากทีส่ ดุ ก็คอื การ ทำ Remote Access ซึง่ เปนการจัดเตรียมการ เขาถึงแบบทันทีทันใดจากผูใชงานเขามายัง ทรัพยากรตางๆ ของบริษทั ไมวา ผูใ ชจะอยูท ไี่ หน ก็ตาม บริษทั ตางๆ ทีก่ ำลังใชโซลูชนั Remote Access ที่ปลอดภัย ตางก็คาดหวังถึงผลผลิตที่มากขึ้น และรายไดทเ่ี พิม่ มากขึน้ เปนเงาตามตัว เนือ่ งจาก ตอไปนี้พนักงานบริษัทจะสามารถตอบสนอง ภารกิจตางๆ ไดอยางรวดเร็วดวยความสามารถ ในการเขาถึงขอมูลที่สำคัญๆ ได ไมวาผูใชจะ อยูที่ไหน หรือจะเปนเวลาใดก็ตาม ซึ่งปจจัย ตางๆ ที่เอื้อประโยชนและเปนตัวขับเคลื่อนให โซลูชัน Remote Access ก็คือ สมารตโฟนและแท็บเลต สมารตโฟน (Smart Phone) และแท็บเลต (Tablet) ไดกลายเปนตัวเลือกทีโ่ ดดเดนสำหรับ Mobile Computing ไปแลว และเปนทีค่ าดการณกนั วา ยอดขายรวมของอุปกรณดังกลาวจะมากกวา ยอดขายโนตบุกเปนครั้งแรกในประวัติศาสตร ซึ่งสมารตโฟนอยาง Apple iPhone, Google Android, Windows Mobile 7 และ Blackberry
8
Bay Computing Newsletter l 11th Issue
ไดกลายเปนอุปกรณที่พบเห็นไดทั่วไปมากขึ้น และแนวโน ม ดั ง กล า วก็ เ ป น การสร า งความ ตองการใหมๆ ทีจ่ ะเขาถึงขอมูลขององคกร โดย การใชอุปกรณจำพวกนี้ นับเปนสวนประกอบ ที่สำคัญสำหรับการทำงานในระดับมืออาชีพ ไปเรียบรอยแลว การเพิม่ ความสะดวกสบายใหพนักงาน ดวยเทคโนโลยี ขณะทีก่ ารทำงาน 10 ชัว่ โมงตอวันเปนเรือ่ งปกติ สำหรับบริษทั เอกชนจำนวนมาก ดังนัน้ พนักงาน ทั้ ง หลายต า งก็ มี สั ด ส ว นในการทำงานและ จั ด การเรื่ อ งส ว นตั ว เพิ่ ม มากขึ้ น ตามไปด ว ย พนั ก งานจำนวนมากต า งก็ ต อบอี เ มลอย า ง สม่ำเสมอ อีกทั้งยังทำงานโครงการที่สำคัญๆ จากที่บานไดดวย ดังนั้น เราสามารถพูดไดวา ผูคนสวนใหญกำลังสรางนิสัยการทำงานแบบ ใหมๆ ขึ้นมา และกำลังรับเอาเทคโนโลยีไวใน
ชีวติ ประจำวันของพวกเขาไปโดยไมรตู วั โดยที่ ทุกอยางไมมีขอจำกัดเรื่องสถานที่อีกตอไป ความยืดหยุนในการใชงาน และการเขาถึงไดจากทุกที่และทุกเวลา เพื่อใหการทำงานเปนไปอยางมีประสิทธิภาพ สูงสุด ทุกวันนี้ โมบายเวิรก เกอร (mobile workers) จึงตองการความสามารถในการเขาถึงขอมูลที่ สำคัญๆ ไดตลอดเวลา รวมถึงเครือ่ งมือตางๆ ที่ จำเปนตองใชทำงานรวมกัน และแอพพลิเคชัน ทางธุรกิจดวย พนักงานที่ทำงานจากที่อื่นๆ ที่ ไมใชทส่ี ำนักงานนัน้ อาจจะพบวาตัวเองมีความ พึงพอใจตองานที่ทำมากกวาเดิม และรูสึกวา ระดับความเครียดจากการทำงานลดนอยลง เนื่องจากพวกเขาจำเปนตองทำงานใหเสร็จ แบบวันตอวันเทานัน้ ซึง่ การแอ็กเซสเขามาทำงาน จากทีไ่ หนและในเวลาใดก็ไดนนั้ ชวยใหพวกเขา มีความยืดหยุน ในแงของชวงเวลาในการทำงาน
TECHNOLOGY UPDATE มากขึน้ ไมตอ งเสียเวลาสำหรับการเดินทาง และ สามารถบริหารเวลาระหวางงานและครอบครัว ไดงา ยขึน้ ซึง่ ก็ชว ยใหมผี ลตอขวัญและกำลังใจ ในการทำงานมากขึ้นในที่สุด แผนฉุกเฉิกสำหรับการกูคืนระบบ Disaster Recovery หรือการกูระบบคืนจาก หายนะภัยไดกลายเปนประเด็นเรงดวนสำหรับ องคกรทัง้ ภาครัฐและเอกชนไปแลว ซึง่ สืบเนือ่ ง มาจากเหตุภยั พิบตั ทิ างธรรมชาติ การกอการราย และภัยคุกคามจากโรคระบาดทีม่ มี ากขึน้ เรือ่ ยๆ นัน่ เอง นอกจากนีห้ ายนะภัยตางๆ ยังอาจรวมถึง พายุฝนฟาคะนอง กระแสไฟฟาถูกตัดขาด และ เหตุการณอน่ื ๆ ทีท่ ำใหพนักงานไมสามารถเขาไป ทำงานที่สำนักงานไดดวย โดยที่ความสูญเสีย ที่เกิดขึ้นตอการดำเนินงานของธุรกิจก็มักจะ ปรากฎออกมาในลักษณะของการสูญเสียโอกาส การสูญเสียรายได และการเสื่อมเสียชื่อเสียง นั่นเอง ดังนั้น Remote Access จึงถือวาเปน สวนทีม่ คี วามสำคัญตอแผน Disaster Recovery เปนอยางมาก ผลตอบแทนการลงทุนที่องคกร สามารถรับรูได
ธุรกิจในทุกวันนีค้ งจำเปนตองพึง่ พาสำนักงาน ใหนอ ยลงมากทีส่ ดุ เทาทีจ่ ะเปนไปได เนือ่ งจาก การมาทำงานที่สำนักงากนั้น พนักงานมักจะ ตองเดินทางเปนระยะทางไกลๆ ซึ่งก็เสียเวลา ไปโดยใชเหตุ ในขณะทีพ่ นักงานขององคกรทีม่ ี ลักษณะกระจายการบริหารงาน และองคกรที่ ทำตลาดสินคาในระดับโลกนั้น ตางก็ใชเวลา อยูภ ายนอกสำนักงานคอนขางมากอยูแ ลว ซึง่ ในเวลาเดียวกัน คาเชาพื้นที่เพื่อทำสำนักงาน ก็ไตระดับแพงขึน้ เรือ่ ยๆ อยางไมหยุดยัง้ ดังนัน้ การกำจัดพืน้ ทีส่ ำนักงานทีไ่ มจำเปนออกไปเสีย นาจะชวยลดคาใชจา ยไดปล ะหลายลานเหรียญ เลยทีเดียว โดยเฉพาะองคกรทีม่ พี นักงานระดับ เปนพันคนขึน้ ไป และพนักงานแตละคนก็สามารถ เพิม่ ผลผลิตของตัวเองไดมากขึน้ และสามารถ มีสวนในการรับผิดชอบตอการสรางผลลัพธ ตางๆ ที่เกี่ยวกับแผนงานที่สำคัญๆ ใหองคกร ไดรวดเร็วยิง่ ขึน้ และเนือ่ งจากการลงทุนทางดาน เทคโนโลยีสวนใหญจะทำกันในชวงไมเกิน 10 กวาปทผ่ี า นมานีเ้ อง ดังนัน้ ธุรกิจตางๆ จึงสามารถ รับรูไดถึงประสิทธิภาพการทำงานที่เพิ่มขึ้นได อยางชัดเจน ในขณะที่บริษัทหลายๆ แหงก็ได ประโยชนจากเทคโนโลยีในอีกแงมมุ หนึง่ นัน่ คือ พวกเขาสามารถจางพนักงานชัว่ คราวไดมากขึน้ หรื อ ไม ก็ จ า งที่ ป รึ ก ษาจากภายนอกเข า มา ทำงานให แทนทีจ่ ะตองจางพนักงานประจำอยู ตลอดเวลา ดังนัน้ สำหรับองคกรทีม่ กี ารบริหาร แบบกระจายนัน้ เรือ่ งของการ Remote Access อยางปลอดภัย พรอมใชงานไดตลอดเวลา และ มีตนทุนที่ไมแพงจนเกินไป จึงกลายเปนหัวใจ สำคัญของการสรางผลผลิตขององคกร ความเสี่ยงอันเกิดจากผูใชงาน ที่อยูนอกสำนักงาน หากปราศจากมาตรการเพื่อความปลอดภัย ทีด่ พี อแลว การเขาถึงขอมูลตางๆ จากทีใ่ ดก็ได และในเวลาใดก็ไดนน้ั จะกลายเปนความเสีย่ ง ขององคกรไปในทันที เชน พฤติกรรมตางๆ ในการ ใชงานของผูใ ชงานทัว่ ไปนัน้ สามารถทิง้ รองรอย บางอยางทีเ่ กีย่ วของกับขอมูลของบริษทั เอาไว ในเครื่องคอมพิวเตอรที่มีการใชงานรวมกัน ภายในองคกรไดอยางแนนอน ซึ่งสุดทายแลว มันก็อาจจะถูกเขาถึงโดยบุคคลภายนอกที่มี ความอยากรูอ ยากเห็นก็เปนได นอกจากนี้ ความ เสี่ยงก็อาจจะมาจากไวรัสชนิดตางๆ ที่อาจจะ
ถูกเผยแพรออกไปยังคอมพิวเตอรและอุปกรณ ตางๆ ของบริษทั อยางไมตงั้ ใจก็เปนไดเหมือนกัน สวนความเสีย่ งทีน่ า กังวลทีส่ ดุ นัน้ นาจะมาจาก บรรดาแฮกเกอรที่มีความประสงครายอยาง แนวแนนนั่ เอง พวกเขาอาจจะจูโ จมองคกรของ คุณดวยเทคนิควิธขี น้ั สูง เพือ่ ทีจ่ ะพยายามขโมย ขอมูลอันมีคา ของคุณ หรืออาจใชวธิ กี อ วินาศกรรม ตอการดำเนินงานและชื่อเสียงขององคกรคุณ โซลูชัน SonicWALL Aventail E-Class Secure Remote Access SonicWALL Aventail Secure Remote Access (SRA) ไดรบั การออกแบบมาใหสามารถดูแลความ ปลอดภั ย เครื่ อ งคอมพิ ว เตอร ข องผู ใ ช ง านที่ แอ็กเซสเขามาจากระยะไกล (remote users) ได โดยทำงานในลักษณะเชิงรุก และดวย SonicWALL Aventail SRA นั้น คุณจะไดรับความแนนอน ในการลดความเสีย่ งตางๆ ได โดยการจัดเตรียม นโยบายทีต่ ง้ั อยูบ นพืน้ ฐานของความนาเชือ่ ถือ ของผูใชงานแตละคน รวมทั้งสภาพแวดลอม อื่นๆ ประกอบดวย ซึ่ง SonicWALL Aventail SRA จะชวยใหผูดูแลระบบสรางกฎระเบียบ ในการควบคุมการเขาถึงขอมูล (access control rules) ทีท่ ำงานอยางมีประสิทธิภาพได โดยการ สนับสนุนสภาพแวดลอมการเขาถึงทีค่ รอบคลุม คุณสมบัติตางๆ ที่นาสนใจ ดังนี้ ทำการ Authentication อยางรัดกุม :
SonicWALL Aventail SRA จะเตรียมการเรือ่ ง การตรวจสอบและรับรอง (authentication) ที่ เขมงวดดวยความสามารถในการอินทิเกรต กับโซลูชันทางดานการตรวจสอบและรับรอง Bay Computing Newsletter l 11th Issue
9
TECHNOLOGY UPDATE เปนตน ซึ่งแตละโซนจะมีการยอมใหมีการเขา ใชงานไดในระดับการเขาถึง (level of access) ทีแ่ ตกตางกัน โดยขึน้ อยูก บั ระดับความเหมาะสม ในแงของความเสี่ยงเปนสำคัญ
SonicWALL Aventail® WorkPlaceTM Business Partners
Kiosk Users
Teleworkers PDA/Smartphone Users
SonicWALL Aventail® ConnectTM Internet Users
Wireless LANS IT-managed Devices
SonicWALL Aventail E-Class SRA
Web-based Applications File Shares
Service Edition Windows Servers
Windows XP Desktops
Thin Client/ Server Applications
Branch Office Applications
Traditional Client/Server Applications
SonicWALL Aventail® Connect MobileTM Mobile PDA Users
แบบทวิปจจัย (Two-factor) อยางเชน RSA SecurID และ Vasco เปนตน นอกจากนี้แลว SonicWALL Aventail SRA ยังสามารถทำงาน แบบ Built-in รวมกับระบบ One Time Password ทีร่ องรับการสรางหมายเลขพิน (pin numbers) แบบจำกัดจำนวนครัง้ การใชงาน (limited time) ที่สามารถสงผาน SMS Gateway ไดดวย ตรวจสอบอุปกรณตา งๆ อยางรอบคอบ :
SonicWALL Aventail Advanced End Point Control (EPC) จะตรวจสอบ (interrogates) อุปกรณปลายทางตางๆ (endpoint) ในทุกๆ ครัง้ ทีม่ ผี ใู ชงานแอ็กเซสเขามายัง SonicWALL Aventail E-Class SSL VPN เพือ่ ทีจ่ ะใหแนใจ วาแอ็กเซสพอยนต (Access Point) จะปลอดจาก ซอฟตแวรประสงคราย หรือมัลแวรบางอยาง เชน Keystroke Logger และ Trojan Horse เปนตน โดยจะกระทำกอนยอมใหมกี ารแอ็กเซส เขามา โดยทีโ่ ซลูชนั SonicWALL Aventail จะ สงเอเจนตจากไคลเอ็นตที่มีการอินทิเกรตกับ พันธมิตร (อยางเชน Symantec เปนตน) อยู ซึง่ ขัน้ ตอนดังกลาวเกิดขึน้ กอนการ Authentication ดังนัน้ การล็อกอินใดๆ จึงสามารถยุตลิ งไดหาก มีการพบมัลแวรหรือสิ่งผิดปกติขึ้นมา และจะ แตกตางจากระบบ Security Precaution ของ ผูจัดเตรียมโซลูชัน VPN รายอื่นๆ อยูก็ตรงที่ SonicWALL Aventail EPC จะสนับสนุนการ รวมมือกัน ทำงานแบบขามแพลตฟอรม (Cross Platform) อยางสมบูรณแบบ โดยจะตรวจสอบ ระบบปฏิบัติการและความสอดคลองกันของ
10
Bay Computing Newsletter l 11th Issue
ไคลเอ็นต เพื่อรักษาความปลอดภัยจากการ แอ็กเซสขอมูลเขามาจากทุกที่ไดอยางแทจริง สามารถบงบอกตัวตนของอุปกรณได :
EPC จะชวยใหผดู ูแลระบบสามารถเชื่อมโยง Serial หรือ Equipment ID Number สำหรับ อุปกรณบน Windows, iPhone หรือ iPad ได เพือ่ ใหสอดคลองเหมาะสม หรือถูกตองตรงกัน กับผูใชงานหรือกลุมผูใชงานที่ตองการได มี Policy Zones :
ดวย EPC นัน้ องคกรทางดานไอทีสามารถสราง และกำหนด Policy Zones ที่แตกตางกันเพื่อ ใหเหมาะสมกับความตองการมากที่สุดได ซึ่ง Policy Zones ทีพ่ บเห็นไดโดยทัว่ ไปก็อยางเชน Untrusted Machines อยาง Kiosks, หรือ Semi-trusted Machines อยาง Home PC ทั่วไป, หรือ Trusted Corporate Asset อยาง Laptop เปนตน ซึง่ ฝายไอทีจะสามารถบริหาร จัดการโซนเหลานัน้ ไดดว ยชุดของพารามิเตอร งายๆ ได ขณะทีก่ ระบวนการ Device Interrogation หรือการตรวจสอบอุปกรณกจ็ ะมองหาแอพพลิเคชัน ใดๆ หรือ “Watermarks” บนอุปกรณเอ็นพอยนต นัน้ ๆ ตัวอยางเชน ถาหากมีการใชงานผลิตภัณฑ Anti-virus หรือ Personal Firewall ใดๆ อยู กระบวนการ Device Interrogation ก็อาจจะ แยกประเภท (Classify) อุปกรณเอ็นพอยนต นั้นๆ เขาไปในอยูใน Policy Zones ที่กำหนด เอาไวลว งหนาโซนใดโซนหนึง่ เชน อาจจะเปน Trusted, Non-trusted หรือ Semi-trusted
มีระบบปกปองและลดความเสียหาย ของขอมูล :
Advanced EPC พรอมดวย Secure Desktop จะสามารถมอบการปกปองขอมูลขัน้ สูงสำหรับ เวิรกสเตชันแบบ Unmanaged อยาง Airport Kiosk หรือ Internet Café PC ได ซึ่ง Secure Desktop จะรวมและผนวกเขากับเทคโนโลยี จาก Symantec เพื่อสรางความปลอดภัยตอ Remote Session ซึ่งเปน Virtual Windows Session ที่รันอยูบนเดสกทอปจริงๆ อีกทีหนึ่ง ดังนั้น Mobile User จึงสามารถเบราซขอมูล ผานอินเทอรเน็ต เช็กอีเมล และจัดการไฟลตา งๆ ของตัวเองไดโดยการใชแอพพลิเคชันจากฝง เซิรฟ เวอรหรือไคลเอ็นตกไ็ ด และทันทีท่ี Session นั้นๆ สิ้นสุดลง ขอมูลทั้งหลายก็จะถูกลบออก จากเวิรก สเตชันดังกลาวจนหมดสิน้ นอกจากนี้ Advanced EPC ยังสามารถชวยใหการปกปอง เอ็ น พอยนต ง า ยขึ้ น ได ด ว ยรายการเช็ ก ลิ ส ต ของแอนตีไ้ วรัส ไฟรวอลลสว นตัว และผลิตภัณฑ ปองกันสปายแวรที่ทำงานบนวินโดวส ซึ่งจะ ตรวจสอบแมกระทั่งเวอรชันและซิกเนเจอร ของไฟลอัพเดตเลยทีเดียว เปนไปตามขอกำหนดและกฎระเบียบตางๆ :
SonicWALL Aventail SRA ถูก Built-in ดวย คุณสมบัติ Logging และ Reporting ที่มี ประสิทธิภาพ เพือ่ ใหสอดคลองและเปนไดตาม ขอกำหนดและกฎระเบียบตางๆ ในแงของการ ตรวจสอบ (auditing) และการพิสจู นหลักฐาน (forensics) นั่นเอง นอกจากนี้ SonicWALL Aventail SRA ยังสามารถอินทิเกรตกับโซลูชนั Security Information and Event Management (SIEM) สวนใหญไดดว ย ซึง่ โซลูชนั ดังกลาวจะ สามารถทำหนาทีต่ รวจสอบขอมูลและเหตุการณ ตางๆ ทีเ่ กิดขึน้ ในระหวางทีอ่ ปุ กรณตา งๆ ทำงาน รวมกัน เพือ่ ปกปองภัยคุกคามทัง้ หลายไดอยาง แทจริง
SonicWALL SuperMassive E10000 Series เปนแพลตฟอรมไฟรวอลล ยุคใหมที่ไดรับการออกแบบมาสำหรับการใชงานในเครือขายขนาดใหญ ซึ่งสามารถ มอบความยืดหยุนในการใชงาน ความนาเชื่อถือ และความปลอดภัยอันล้ำลึกดวย การปกปองในระดับหลายกิกะบิต SonicWALL SuperMassive E10000 Series เปนโซลูชนั ทีต่ อบสนองความตองการขององคกร หนวยงานภาครัฐ มหาวิทยาลัย และการใชงานของเซอรวิสโพรวายเดอรที่ใหบริการเทคโนโลยีชนิดตางๆ ถือเปน โซลูชันที่เหมาะสมเปนอยางมากกับเครือขายขององคกร ดาตาเซ็นเตอร รวมทั้ง เซิรฟ เวอรฟารม โซลูชนั นีเ้ ปนสวนผสมของสถาปตยกรรม Multi-Core และเทคโนโลยี Reassembly-Free Deep Packet InspectionTM (RFDPI) ซึ่งเปนสิทธิบัตร จดทะเบียนของ SonicWALL ดังนั้น มันจึงสามารถสงมอบความสามารถในการ ควบคุมแอพพลิเคชันในระดับแนวหนาของวงการ รวมไปถึงระบบการปองกันภัย คุกคาม การปองกันมัลแวรที่ประสงคราย และการตรวจสอบความปลอดภัยดวย เทคโนโลยีเอสเอสแอล (SSL Inspection) โดยการทำงานที่ระดับหลายกิกะบิต ทั้งนี้ SonicWALL E10000 Series นั้นไดรับการออกแบบมาใหคำนึงถึงอัตรา การใชพลังงาน การใชพื้นที่ในการจัดวาง และประสิทธิภาพในการระบายความรอน ไดเปนอยางดี ดังนั้น มันจึงสามารถเตรียมความพรอมในแงของการควบคุมการ ทำงานของแอพพลิเคชันในระดับ Mbps/Watt และสามารถจัดเตรียมการปองกัน ภัยคุกคามที่มีสมรรถนะในระดับ Mbps/Watt ไดในเปนอยางดี SSD Drive ขนาด 80 กิกะไบต
จอแอลซีดี ปุมควบคุมจอแอลซีดี
• สถาปตยกรรมสำหรับเครือขายขนาดใหญ : 10/40 กิกะบิตตอวินาที • ทำงานรวมกับแอพพลิเคชันชนิดตางๆ ได อยางชาญฉลาด อีกทั้งมีระบบควบคุม และการสื่อสารกับผูใชงาน ที่ออกแบบ มาเปนอยางดี • ปองกันภัยคุกคามดวยระบบปองกัน การบุกรุก (Intrusion Prevention) ประสิทธิภาพสูง และระบบปองกันมัลแวร ที่แอบแฝงเขามา • ตรวจสอบและรักษาความปลอดภัย ดวย SSL
เพาเวอรซัพพลาย Hot Swappable Redundant ขนาด 850 วัตต
พอรต SFP Management พอรตยูเอสบี ไฟสัญญาณ พอรตคอนโซล ชองเสียบเผื่อไว พอรต SFP+ สำหรับอนาคต ขนาด 10 Gbe ขนาด 1 Gbe Interface แบบ Dual แอลอีดี จำนวน 6 พอรต จำนวน 16 พอรต ขนาด 1 Gbe
พัดลมชนิด Module Slot
พัดลมคูชนิด Hot Swappable Dual Redundant
สถาปตยกรรมสำหรับสมรรถนะและความพรอมใชงานที่ปรับขนาดใหสอดคลองกับองคกรได • สรางประสิทธิภาพการทำงานดวยสถาปตยกรรม Multi-Core • จัดการดวยวิศวกรรมที่มุงเนนประสิทธิภาพสูงสุด • เปนการออกแบบเพื่อความพรอมใชงานในระดับ 10+ Gbps DPI Throughput สนใจขอมูลเพิ่มเติมติดตอไดที่
บริษัท เบย คอมพิวติ้ง จำกัด อีเมล info@baycoms.com Bay Computing Newsletter l 11th Issue
11
ISMS STANDARD
เสริมมาตรการความปลอดภัยไอที ดวย ISO 27001:2005 ตอนที่ 9
“Annex A”
โดย ภัคณัฏฐ โพธิ์ทองบวรภัค Senior Network and Security Engineer บริษัท เบย คอมพิวติ้ง จำกัด
สำหรับ ISO 27001:2005 ตอนที่ 9 “Annex A” นี้ จะเปนเนือ้ หา Annex A ของ มาตรฐาน ความปลอดภัยขอมูลสารสนเทศ ISO 27001:2005 ในขอ A.10 การบริหารจัดการดาน การสือ่ สารและการดำเนินงานของเครือขายสารสนเทศขององคกร (Communications and operations management) สวนที่เหลือ และขอ A.11 การควบคุมการเขาถึง (Access control) เรามาเริ่ม ทำความเขาใจกันตอเลยครับ
การใชงานสารสนเทศ (Audit logging) ตัวควบคุม : ตองกำหนดใหบนั ทึกกิจกรรมการใชงาน ของผูใช การปฏิเสธการใหบริการของระบบ และ เหตุการณตา งๆ ทีเ่ กีย่ วของกับความมัน่ คงปลอดภัย อยางสม่ำเสมอตามระยะเวลาที่กำหนดไว
A.10.8 การแลกเปลีย่ นสารสนเทศ (Exchange of information)
A.10.10.2 การตรวจสอบการใชงานระบบ (Monitoring system use) ตัวควบคุม : ตองกำหนดใหมีขั้นตอนปฏิบัติ เพื่อ ตรวจสอบการใชงานทรัพยสินสารสนเทศอยาง สม่ำเสมอ อาทิ เพื่อดูวามีสิ่งผิดปกติเกิดขึ้นหรือไม
วัตถุประสงค : เพือ่ รักษาความมัน่ คงปลอดภัยของ สารสนเทศและซอฟตแวรที่มีการแลกเปลี่ยนกัน ภายในองคกร และทีม่ กี ารแลกเปลีย่ นกับหนวยงาน ภายนอก A.10.8.4 การสงขอความทางอิเล็กทรอนิกส (Electronic messaging) ตัวควบคุม : ตองกำหนดมาตรการในการปองกัน สารสนเทศทีม่ กี ารสงผานทางขอความอิเล็กทรอนิกส
A.10.8.5 ระบบสารสนเทศทางธุรกิจทีเ่ ชือ่ มโยงกัน (Business information systems) ตัวควบคุม : ตองกำหนดนโยบายและขัน้ ตอนปฏิบตั ิ เพือ่ ปองกันสารสนเทศทีเ่ กีย่ วของกับระบบสารสนเทศ ทางธุรกิจที่เชื่อมโยงกัน
A.10.9 การสรางความมั่นคง ปลอดภัยสำหรับบริการพาณิชย อิเล็กทรอนิกส (Electronic commerce services)
วัตถุประสงค : เพือ่ สรางความมัน่ คงปลอดภัยสำหรับ บริการพาณิชยอิเล็กทรอนิกสและในการใชงาน A.10.9.1 การพาณิชยอเิ ล็กทรอนิกส (Electronic commerce) ตัวควบคุม : ตองกำหนดมาตรการสำหรับการปองกัน สารสนเทศของระบบพาณิชยอิเล็กทรอนิกสที่มี การสงผานทางเครือขายสาธารณะจากการฉอโกง การปฏิเสธ การเปดเผย และการเปลีย่ นแปลงแกไข โดยไมไดรับอนุญาต A.10.9.2 การทำธุรกรรมออนไลน (On-line transactions) ตัวควบคุม : ตองกำหนดมาตรการสำหรับการปองกัน สารสนเทศที่รับ-สงที่เกี่ยวของกับการทำธุรกรรม ออนไลน ทัง้ นี้ เพือ่ ปองกันไมใหเกิดความไมสมบูรณ ของสารสนเทศทีร่ บั -สง สารสนเทศถูกสงไปผิดเสนทาง บนเครือขายการเปลี่ยนแปลงสารสนเทศโดยไมได รับอนุญาต การเปดเผยสารสนเทศโดยไมไดรบั อนุญาต หรือการทำสำเนาสารสนเทศโดยไมไดรับอนุญาต A.10.9.3 สารสนเทศทีม่ กี ารเผยแพรออกสูส าธารณะ (Publicly available information) ตัวควบคุม : ตองกำหนดใหมกี ารปองกันความถูกตอง และความสมบูรณของสารสนเทศที่มีการเผยแพร ออกสูสาธารณะ
A.10.10.3 การปองกันขอมูลบันทึกเหตุการณ (Protection of log information) ตัวควบคุม : ตองกำหนดใหมมี าตรการปองกันขอมูล บันทึกกิจกรรมหรือเหตุการณตางๆ ที่เกี่ยวของกับ การใชงานสารสนเทศ เพือ่ ปองกันการเปลีย่ นแปลง หรือการแกไขโดยไมไดรับอนุญาต A.10.10.4 บันทึกกิจกรรมการดำเนินงานของ เจาหนาที่ที่เกี่ยวของกับระบบ (Administrator and operator logs) ตัวควบคุม : ตองกำหนดใหมีการบันทึกกิจกรรม การดำเนินงานของผูดูแลระบบหรือเจาหนาที่ที่ เกี่ยวของกับระบบอื่นๆ A.10.10.5 การบันทึกเหตุการณขอผิดพลาด (Fault logging) ตัวควบคุม : ตองกำหนดใหมกี ารบันทึกเหตุการณ ขอผิดพลาดตางๆ ทีเ่ กีย่ วของกับการใชงานสารสนเทศ วิเคราะหขอ ผิดพลาดเหลานัน้ และดำเนินการแกไข ตามสมควร
A.10.10 การเฝาระวังทางดาน A.10.10.6 การตัง้ เวลาของเครือ่ งคอมพิวเตอร ความมัน่ คงปลอดภัย (Monitoring) ใหตรงกัน (Clock synchronization)
วัตถุประสงค : เพือ่ ตรวจจับกิจกรรมการประมวลผล สารสนเทศที่ไมไดรับอนุญาต A.10.10.1 การบันทึกเหตุการณที่เกี่ยวของกับ
12
Bay Computing Newsletter l 11th Issue
ตัวควบคุม : ตองตั้งเวลาของเครื่องคอมพิวเตอร ทุกเครือ่ งในสำนักงานใหตรงกันโดยอางอิงจากแหลง เวลาที่ถูกตองเพื่อชวยในการตรวจสอบชวงเวลา หากเครื่องคอมพิวเตอรขององคกรถูกโจมตี
ISMS STANDARD A.11 การควบคุมการเขาถึง (Access control) A.11.1 ขอกำหนดทางธุรกิจ สำหรับการควบคุมการเขาถึง สารสนเทศ (Business requirements for access control)
วัตถุประสงค : เพื่อควบคุมการเขาถึงทรัพยสิน สารสนเทศ A.11.1.1 นโยบายการควบคุมการเขาถึงระบบ (Access control policy) ตัวควบคุม : ตองกำหนดใหมีการจัดทำนโยบาย ควบคุมการเขาถึงอยางเปนลายลักษณอักษร และ ปรับปรุงตามระยะเวลาทีก่ ำหนดไว การจัดทำนโยบาย นี้ จ ะพิ จ ารณาจากความต อ งการทางธุ ร กิ จ และ ทางดานความมัน่ คงปลอดภัยในการเขาถึงทรัพยสนิ สารสนเทศ
A.11.2 การบริหารจัดการการ เขาถึงของผูใช (User access management)
วัตถุประสงค : เพือ่ ควบคุมการเขาถึงระบบสารสนเทศ เฉพาะผูที่ไดรับอนุญาตแลวและปองกันการเขาถึง โดยไมไดรับอนุญาต A.11.2.1 การลงทะเบียนพนักงาน (User registration) ตัวควบคุม : ตองกำหนดใหมีขั้นตอนปฏิบัติอยาง เปนทางการ สำหรับการลงทะเบียนพนักงานใหม เพื่อใหมีสิทธิตางๆ ในการใชงานตามความจำเปน รวมทั้งขั้นตอนปฏิบัติสำหรับการยกเลิกสิทธิการ ใชงาน เชน เมื่อลาออกไปหรือเปลี่ยนตำแหนงงาน ภายในองคกร เปนตน A.11.2.2 การบริหารจัดการสิทธิการใชงานระบบ (Privilege management) ตัวควบคุม : ตองจัดใหมกี ารควบคุมและจำกัดสิทธิ การใชงานระบบตามความจำเปนในการใชงาน A.11.2.3 การบริหารจัดการรหัสผานสำหรับ ผูใชงาน (User password management) ตัวควบคุม : ตองจัดใหมกี ระบวนการบริหารจัดการ รหัสผานสำหรับผูใ ชงานอยางเปนทางการ เพือ่ ควบคุม การจัดสรรรหัสผานใหแกผใู ชงานอยางมีความมัน่ คง ปลอดภัย A.11.2.4 การทบทวนสิทธิการเขาถึงของผูใ ชงาน
(Review of user access rights) ตัวควบคุม : ตองจัดใหมกี ระบวนการทบทวนสิทธิ การเขาถึงของผูใ ชงานระบบอยางเปนทางการตาม ระยะเวลาที่กำหนดไว
A.11.3 หนาทีค่ วามรับผิดชอบของ ผูใ ชงาน (User responsibilities)
วัตถุประสงค : เพื่อปองกันการเขาถึงโดยไมไดรับ อนุญาต การเปดเผยหรือการขโมยสารสนเทศและ อุปกรณประมวลผลสารสนเทศ A.11.3.1 การใชงานรหัสผาน (Password use) ตัวควบคุม : ตองกำหนดวิธปี ฏิบตั ทิ ดี่ สี ำหรับผูใ ชงาน ในการเลือกและใชงานรหัสผาน
A.11.3.2 การปองกันอุปกรณทไ่ี มมพี นักงานดูแล (Unattended user equipment) ตัวควบคุม : ตองมีวิธีเพื่อปองกันไมใหผูไมมีสิทธิ สามารถเขาถึงอุปกรณสำนักงานทีไ่ มมพี นักงานดูแล A.11.3.3 นโยบายควบคุมการไมทิ้งทรัพยสิน สารสนเทศสำคัญไวในที่ที่ไมปลอดภัย (Clear desk and clear screen policy) ตัวควบคุม : ตองจัดทำนโยบายเพือ่ ควบคุมไมใหมี การปลอยใหทรัพยสนิ สารสนเทศทีส่ ำคัญ เชน เอกสาร สื่อบันทึกขอมูล อยูในสถานที่ที่ไมปลอดภัย เชน สามารถเขาถึงไดทางกายภาพ อยูในบริเวณที่เปน ที่สาธารณะหรือพบเห็นไดงาย เปนตน
A.11.4 การควบคุมการเขาถึง เครือขาย (Network access control)
วัตถุประสงค : เพื่อปองกันการเขาถึงบริการทาง เครือขายโดยไมไดรับอนุญาต A.11.4.1 นโยบายการใชงานบริการเครือขาย (Policy on use of network services) ตัวควบคุม : ตองจัดทำนโยบายการใชงานเครือขาย ซึง่ จะตองครอบคลุมถึงการระบุวา บริการใดทีอ่ นุญาต ใหผใู ชงานสามารถใชได บริการใดไมสามารถใชได
A.11.4.3 การพิสจู นตวั ตนอุปกรณบนเครือขาย (Equipment identification in networks) ตัวควบคุม : ตองกำหนดใหอุปกรณบนเครือขาย สามารถระบุและพิสูจนตัวตน เพื่อบงบอกวาการ เชื่ อ มต อ นั้ น มาจากอุ ป กรณ ห รื อ สถานที่ ที่ ไ ด รั บ อนุญาตแลว A.11.4.4 การปองกันพอรตทีใ่ ชสำหรับตรวจสอบ และปรับแตงระบบ (Remote diagnostic and configuration port protection) ตัวควบคุม : ตองมีมาตรการปองกันการเขาถึงพอรต ทีใ่ ชสำหรับตรวจสอบ และปรับแตงระบบ มาตรการ ตองครอบคลุมทัง้ การปองกันทางกายภาพและการ ปองกันการเขาถึงโดยผานทางเครือขาย A.11.4.5 การแบงแยกเครือขาย (Segregation in networks) ตัวควบคุม : ตองทำการแบงแยกเครือขายตามกลุม ของบริการสารสนเทศที่ใชงาน กลุมของผูใช และ กลุมของระบบสารสนเทศ A.11.4.6 การควบคุมการเชือ่ มตอทางเครือขาย (Network connection control) ตัวควบคุม : ตองจำกัดผูใ ชงานในการเชือ่ มตอทาง เครือขายระหวางองคกร การเชื่อมตอตองเปนไป ตามนโยบายควบคุมการเขาถึงและขอกำหนดที่ แอปพลิเคชันที่ใชงานทางธุรกิจไดระบุไว A.11.4.7 การควบคุมการกำหนดเสนทางบน เครือขาย (Network routing control) ตัวควบคุม : ตองกำหนดเสนทางบนเครือขายเพือ่ ควบคุมการเชือ่ มตอทางเครือขายและการไหลเวียน ของสารสนเทศบนเครือขายใหเปนไปตามนโยบาย ควบคุมการเขาถึง
A.11.4.2 การพิสจู นตวั ตนสำหรับผูใ ชทอ่ี ยูภ ายนอก องคกร (User authentication for external connections) ตัวควบคุม : ตองกำหนดใหมกี ารพิสจู น ฉบับหนาเราจะกลับมาทำความเขาใจในสวนของ ตั ว ตนก อ นที่ จ ะอนุ ญ าตให ผู ใ ช ที่ อ ยู Annex A ขอที่ 11 ที่เหลือกันตอ แลวพบกันใหม ภายนอกองคกร สามารถเขาใชงานเครือขาย ในฉบับหนาครับ และระบบสารสนเทศขององคกรได Bay Computing Newsletter l 11th Issue
13
Aperto Networks ผูนำในการผลิตอุปกรณที่ใชในระบบพื้นฐานที่ไดรับการรับรองจาก WiMAX Forum และเปนอุปกรณที่มีความยืดหยุนสูง คุมคา เงินลงทุน และทำงานมีประสิทธิภาพสูงมาก อุปกรณที่วานี้ยังเปนไปตามมาตรฐานบรอดแบนด 801.12d, 802.16e และ 802.16n อีกดวย อุปกรณ บรอดแบนดไรสายของ Aperto Networks ซึ่งมีรางวัลรับรองคุณภาพ อันไดแก Mobile WiMAX และโซลูชันดานระบบ VPN สำหรับองคกร ชวยให ผูใ หบริการระบบอินเทอรเน็ตสามารถใหบริการระบบบรอดแบนดไรสายราคาประหยัด โดยไมประสบสภาวะขาดทุน พรอมกับใหบริการไดทกุ ทีท่ กุ แหงในโลก และในชวงความถี่ที่กวางมาก
ระบบ VPN ภาคองคกรและแอพพลิเคชันทางธุรกิจ
ผลิตภัณฑจากตระกูล PacketMAX ซึง่ ชวยในการติดตัง้ ระบบเครือขาย WiMAX นั้น จะชวยใหผูใหบริการระบบเคลื่อนที่สามารถใหบริการการติดตอสื่อสารขอมูล ที่มีแบนดวิธสูง และชวยเพิ่มคุณคาใหแกภาคธุรกิจ โดยสามารถใหบริการระบบ ไดหลากหลาย อยางเชน ระบบ VPN แบบ MPLS, L2 และ L3 ระบบ WiMAX จาก PacketMAX นี้รองรับมาตรฐาน 802.1q มาตรฐาน VLAN Tagging การ ทำ Stack และการเชื่อมตอเขากับเทคโนโลยี MPLS อยางไรรอยตอ ไมทำใหเกิด การสะดุด ทัง้ นีเ้ พือ่ ใหการแยกทราฟฟกทีม่ าจากหลายๆ ที่ และใหลำดับความสำคัญ แกทราฟฟกเหลานั้น ทำใหการรับสงขอมูลมีประสิทธิภาพสูงสุด
การใหบริการเพื่อใหเกิดผลกำไร เริ่มจากการจำแนก ประเภททราฟฟกอยางชาญฉลาด
ผลิตภัณฑ PacketMAX ตระหนักถึงการใชวิธีระบุประเภทที่เปนเอกลักษณ และ ระบุประเภทของทราฟฟก เพือ่ หาวาทราฟฟกนัน้ มาจากระบบเครือขายใด ผูใ ชงาน คนไหน และจากแอพพลิเคชันใด ถาพูดกันในภาษาระบบเครือขายก็คือ ในเลเยอร ที่ 2, 3, 4 ในสวนเฮดเดอรของแพ็กเก็ตนัน้ เราสามารถใชระบุประเภทของทราฟฟก ไดอยางมีประสิทธิภาพ L2
L3
L4 User Data Video
Voice
Browsing
Traffic Tra Classify
โซลูชันที่เหมาะสมแบงตามประเภทธุรกิจ กาซและน้ำมัน
ความถี่ที่ไดรับการยกเวนจาก กสทช. จะเหมาะสำหรับองคกรอุตสาหกรรมที่มี ความตองการในดานการสื่อสารอยางมาก เนื่องจากสายไฟทองแดงและสายใย นำแกวนั้นไมสามารถตอบสนองความตองการได ระบบไรสายจึงเปนทางเลือกที่ เหมาะสมที่สุดสำหรับองคกรประเภทนี้ เทคโนโลยี OFDM-based WiMAX นั้น สามารถทำงานไดมปี ระสิทธิภาพและทนทานตอสัญญาณหลายเสนทาง (Multipath)
อันเกิดมาจากการสะทอนกับวัตถุตวั กลาง เชน น้ำ ภูเขา ละอองเมฆ ทำใหระบบมี สภาพพรอมใชงานสูง และสามารถใหบริการไดหลายชองทาง ภายใตสภาพแวดลอม ของคลืน่ ความถีว่ ทิ ยุ (Radio Frequency : RF) ที่อาจสงผลรายตอระบบได
ความปลอดภัยสาธารณะ
องคกรภาครัฐสามารถใชความถี่ที่ไดรับการอนุญาตขององคกร หรือความถี่ที่ ไดรบั การยกเวน เพือ่ ใชในการตรวจตราและการรักษาความปลอดภัย แพลตฟอรม ภายในผลิตภัณฑตระกูล PacketMAX นั้นมีประสิทธิภาพสูงและทำงานรวมกันได สมบูรณแบบ ซึง่ ทำใหระบบเครือขายนัน้ มีสภาพพรอมใชงานสูง เร็ว และสามารถ ใชงานไดตอ เนือ่ ง อุปกรณ CPE สามารถติดอยูบ นไฟจราจรและรถจักรยานยนต ลาดตระเวน และสามารถสงวิดีโอและไฟลแบบเรียลไทมเขามายังศูนยปฏิบัติงาน สวนกลาง เพื่อคอยตรวจสอบและบันทึกเหตุการณที่นาสงสัยได
บริการดานการเงิน
ระบบเครือขายที่ใชในธุรกิจการเงินนั้นตองการความปลอดภัย ความสามารถใน การจัดการทีส่ งู และมีประสิทธิผลทีม่ ากพอ ในขณะเดียวกัน ตองลดตนทุนในการ ทำธุรกรรมลงดวย สถาบันการเงินหลายแหงยังตองการทีจ่ ะมีขอ ไดเปรียบเหนือ คูแขงพรอมกับลดตนทุน โดยไมเกรตระบบ TDM แบบดั้งเดิมมาใชงานระบบใหม กัน ฟงกชันการจัดการทราฟฟกอยางระบบ VPN (Virtual Private Network) และเทคโนโลยี MPLS ทำใหสถาบันการเงินมั่นใจไดวาการโอนขอมูลความลับและ ขอมูลสำคัญตางๆ นั้นทำไดอยางปลอดภัย
การคมนาคม
ประเด็นขอพิจารณาสำคัญที่ภาคคมนาคมคำนึงถึงในระบบเครือขาย คือ ความ ครอบคลุมในการใหบริการ กลาวคือ จะมีบริการของระบบครอบคลุมไปถึงพื้นที่ ที่ตองการหรือไม ระบบ WiMAX ตอบโจทยขอนี้ไดเปนอยางดี โดยจะสรางโซนที่ เรียกวา Hotzone ซึ่งครอบคลุมทั้งสถานีรถไฟ ทางเดินสายรถไฟ และทาขนสง แทนที่จะใหบริการไดเปนจุดๆ หรือแบบ Hotspot ในรานกาแฟนั่นเอง
ธุรกิจอื่นๆ
ผลิตภัณฑตระกูล PacketMAX นัน้ สามารถปรับแตงเพือ่ ใหตรงกับความตองการ ของธุรกิจอืน่ ๆ ได อยางกระทรวงกลาโหม อุตสาหกรรมกอสราง ธุรกิจบริการ อุตสาหกรรมการผลิต โรงพยาบาลและสถาน สนใจขอมูลเพิ่มเติมติดตอไดที่ อนามัย และอื่นๆ อีกมากมาย
บริษัท เบย คอมพิวติ้ง จำกัด อีเมล info@baycoms.com
Exal altt - IP Backhaul on Microwave เมือ่ ทศวรรษทีผ่ า นมา เราไดเห็นการเติบโตอยางมากในการนำโครงสรางพืน้ ฐานระบบเครือขายไรสาย ทัง้ แบบอยูก บั ที่ (fixed) และแบบเคลือ่ นที่ (mobile) มาใหบริการดาน IP แกผบู ริโภคและภาคธุรกิจ ทำใหผใู หบริการอินเทอรเน็ตแบบไรสาย หรือ WISP (Wireless Internet Service Provider) ทำรายไดไดมากมายจากเทคโนโลยีใหมนี้ และ สามารถกาวขึ้นมาทัดเทียมกับผูใหบริการอินเทอรเน็ตผานสายแบบปกติ (ISP) แตกระนั้น การแขงขันที่วานี้ตองใชเงินทุนสูง ดังนั้น WISP จึงจำเปนตองลดตนทุนระบบ โครงสรางภายในของตนลง เพื่อคงไวซึ่งความสามารถในการแขงขันและความสามารถในการทำกำไร ในกรณีนี้ ผูใ หบริการอินเทอรเน็ตระบบไรสาย (WISP) ตองวางระบบ Backhaul เพือ่ เชือ่ มสัญญาณการับสงขอมูลจากลูกคาและภาคธุรกิจวิง่ เขามาทีจ่ ดุ เขาถึงอินเทอรเน็ต หรือ POP (point of presence) ของตนเองใหไดเหมือนกับระบบเครือขายแบบใชสายทั่วๆ ไป ในการแกปญหานี้ ผูใหบริการอินเทอรเน็ตไรสายตองลดตนทุนระบบ Backhaul แตในขณะเดียวกัน ตองคงคุณภาพสัญญาณไวใหไดในระดับเดิม เพื่อลดการเกิดปญหาสัญญาณหลุดใหเหลือนอยที่สุด บอยครั้งที่ผูใหบริการระบบเครือขาย ไรสายยังตองแขงขันกับระบบเครือขายแบบ WAN ที่ใชสัญญาณอะนาล็อกและสัญญาณ TDM แบบ Synchronous ในหลายๆ กรณี การวางระบบ Backhaul โดยใช สัญญาณ TDM นีจ้ ะมีคา ใชจา ยในการดำเนินการ (Operation Expense : OPEX) เพือ่ ใชสายเชา (Leased Line) คอนขางสูง และมีความยืดหยุน ในการขยายขนาดไดนอ ย นัน่ คือ ผูใ หบริการอินเทอรเน็ตระบบไรสาย (WISP) จะตองหาวิธกี ารทีส่ ามารถรองรับทราฟฟกอีเธอรเน็ตจากกลุม ลูกคามายังระบบเครือขายหลักใหไดคมุ คาตนทุนมากทีส่ ดุ ความสามารถในการสงทราฟฟกอีเธอรเน็ตหรือไอพีโดยใชสัญญาณระบบไมโครเวฟนั้น นอกจากจะคุมคาการลงทุนแลว ยังใหความยืดหยุนสูง สามารถปรับขนาดเพื่อ รองรับทราฟฟกที่เพิ่มขึ้นได และยังเปนสิ่งจำเปนในการทำธุรกิจอีกดวย ความสามารถในการลดตนทุนดวยระบบสัญญาณไมโครเวฟที่มีขนาดเล็ก แตสงขอมูลไดอยาง มีประสิทธิภาพนั้น เปนวิธีที่ทำใหผูใหบริการระบบอินเทอรเน็ตไรสายสามารถบรรลุเปาหมายผลตอบแทนการลงทุนไดดีที่สุด ACCESS PMP NETWORK Residential Subscriber Stations
Enterprise Subscriber Stations ACCESS MESH NETWORK
BACKHAUL NETWORK
CORE NETWORK
INTERNET
Point to Multipoint WiFi or WiMAX Base Station
POP
BACKHAUL NETWORK
CORE NETWORK
INTERNET WiFi Mesh
POP © 2002 Exalt Communications, Inc. All rights reserved.
สนใจขอมูลเพิ่มเติมติดตอไดที่
บริษัท เบย คอมพิวติ้ง จำกัด อีเมล info@baycoms.com
ระบบสัญญาณไมโครเวฟแบบ Point-to-Point จาก Exalt อาทิ ExtendAir® และ ExploreAir™ สามารถตอบสนองความตองการ ในการติดตัง้ ระบบ ทัง้ ยังมีฟง กชนั การทำงาน และแพลตฟอรม ที่ยืดหยุนพอที่จะเอื้อใหผูใหบริการระบบอิ น เทอร เ น็ ต ไร ส าย สามารถใหบริการทีแ่ ตกตางจากคูแ ขง และสรางกำไรใหกบั ธุรกิจ ของตนเองได สิ่งที่คุณจะไดรับจากระบบของ Exalt ไดแก • ความสามารถในการ Aggregate ขอมูลในความเร็วตั้งแต 25 เมกะบิตตอวินาทีในระยะทาง 1 ไมล ถึง 1 กิกะบิตตอวินาที ทำใหสามารถจัดการความจุไดเหมาะสมกับแอพพลิเคชันตางๆ ในการสงขอมูลจากพืน้ ทีข่ องลูกคามาจนถึงระบบเครือขายหลัก • การันตีการสงขอมูลลูกคาออกทุกๆ แถบคลืน่ ความถีใ่ นระบบ อีเธอรเน็ตถึงรอยละ 99.999 ทำใหมั่นใจไดวาระบบเครือขาย แบบ Backhaul นีจ้ ะไมมลี งิ คคณ ุ ภาพต่ำเลยสำหรับการเชือ่ ม ทราฟฟกจากฝงลูกคา • ฟงกชัน VLAN, QoS และการจำกัดอัตราความเร็ว ทำใหมี ความยืดหยุนในการใหบริการลูกคาหลากหลายประเภทและ ระดับการใหบริการ • ระบบในทุกๆ แถบคลื่นความถี่สามารถรองรับคา Latency sub-1 ms เพื่อใชในการสงไฟลวิดีโอและ VoIP • เทคโนโลยี ExaltSync™ นั้นอนุญาตใหสัญญาณวิทยุ TDD ที่ความถี่ 2.4 หรือ 5 กิกะเฮิรตซ วิ่งในไซตเดียวกัน และใช ชองสัญญาณเดียวกันได ซึง่ สงผลใหไซตทเี่ ปนตัว Aggregate ระบบนั้นทำงานไดงายขึ้น • ตนทุนทีใ่ ชในการทำ Sparing ลดลงอยางมาก อันเนือ่ งมาจาก เทคโนโลยี Single-unit sparing ที่มีมาพรอมทั้งในแถบคลื่น ความถี่แบบ License และ License-Exempt