บิ๊กซี ซูเปอร์เซ็นเตอร์
มั่นใจเลือก RSA enVision เป็นระบบ SIEM เพื่อ รองรับการเติบโต ในอนาคต
นิตยสาร เบย์ คอมพิวติ้ง ฉบับที่ 10 ปี 2553
WIRELESS SECURITY เรื่องที่ต้องเรียนรู้ไว้เพื่อรักษาความปลอดภัยของเครือข่ายไร้สาย ที่อีกไม่นานจะกลายเป็นมาตรฐานการเชื่อมโยงเครือข่าย ในสำนักงานและการใช้งานทั่วไป
EDITOR’S NOTE & CONTENTS
ขอต้อนรับทุกท่านเข้าสู่ฤดูฝน ฤดูที่ทำให้ทุกท่านสดชื่นและชุ่มฉ่ำอีกครั้ง สำหรับ Bay Newsletter ฉบับนี้ ขอนำเสนอ Wireless Security เทคโนโลยีไร้สายที่มา พร้อมกับการรักษาความปลอดภัย เพื่อตอบสนองความต้องการของคนรุ่นใหม่ที่ ต้องการความสะดวกและรวดเร็ว ควบคู่ไปกับความปลอดภัยในการใช้งาน เทคโนโลยีนี้สามารถ นำไปประยุกต์ใช้ได้ในทุกองค์กร เพื่อเพิ่มประสิทธิภาพการทำงาน และรองรับการเติบโตของ ธุรกิจในอนาคต รวมถึงการเพิ่มโอกาสการแข่งขันในยุคเศรษฐกิจที่มีการแข่งขันสูงในขณะนี้ นอกจากนี้เรายังมีโซลูชันในเรื่องศูนย์ข้อมูลสำรอง หรือ DR Site (Disaster Recovery Site) เพื่อ ป้องกันความเสียหายต่อธุรกิจ ทั้งในด้านฮาร์ดแวร์ ซอฟต์แวร์ และข้อมูลที่สำคัญต่างๆ ของ องค์กร ในการเตรียมความพร้อมสำหรับเหตุการณ์ฉุกเฉิน หรือภัยพิบัติต่างๆ ที่ไม่สามารถ
คาดการณ์ได้ โดยเรามุ่งหวังว่าข้อมูลเหล่านี้จะเป็นประโยชน์ต่อองค์กรของท่านเพื่อที่จะก้าว
ต่อไปด้วยกันอย่างยั่งยืน
C O N T E N T S
นิดา ตั้งวงศ์ศิริ, ผู้จัดการทั่วไป
02 NOTE & CONTENTS 03 EDITOR's UPDATE 04 NEWS SUCCESS STORY บิ๊กซี ซูเปอร์เซ็นเตอร์ มั่นใจเลือก RSA enVision นระบบ SIEM เพื่อรองรับการเติบโตในอนาคต 08 เป็SOLUTION UPDATE Wireless Security 10 ISMS STANDARD
เสริมมาตรการความปลอดภัยไอทีด้วย ISO 27001:2005 ตอนที่ 8 “Annex A”
Access Point เทคโนโลยีแบบไร้สายที่ให้ประสิทธิภาพมากขึ้น
ของศูนย์วิศวกรรมองค์กรของไมโครซอฟท์
12 TECHNOLOGY UPDATE ทำความรู้จักกับ Xirrus Wi-Fi Array
16 SECURITY SOLUTION Disaster Recovery Site Solution 18 DATA CENTER KNOW-HOW ระบบทำความเย็นและตู้แร็กเซิร์ฟเวอร์ที่ตอบโจทย์ของความต้องการ 2
Bay Computing Newsletter l 10th Issue
NEWS UPDATE
01
Bay และ RSA ร่วมงาน SNS CON 2010
เมื่อเดือน ก.ค. ที่ผ่านมา เบย์ คอมพิวติ้ง ผนึกกำลังกับ RSA ร่วมออกงาน Social Networking Conference 2010 ซึ่งจัดขึ้นครั้งแรกใน ประเทศไทย เพื่อให้ความรู้และแลกเปลี่ยนความคิดเห็นสำหรับการใช้งาน เครือข่ายสังคมออนไลน์ ให้เกิดประโยชน์และมีความปลอดภัยในขณะเดียวกัน โดยงานนี้เราได้นำเสนอโซลูชันของ RSA แบบครบวงจร เพื่อเป็นเครื่องมือ สร้ า งความปลอดภั ยให้กับองค์กรในยุคสงครามข่าวสาร และเครือข่าย สังคมออนไลน์ในปัจจุบัน
02
งานนิทรรศการ ICT @ The Royal Thai Navy
เบย์ คอมพิวติ้ง ได้รับเกียรติร่วมออกบูธในงาน นิทรรศการ ความก้าวหน้าด้านเทคโนโลยีการสื่อสารและสารสนเทศ ซึ่งจัด ขึ้นโดยกรมการสื่อสารและเทคโนโลยีสารสนเทศทหารเรือ ณ อาคารส่วนบัญชาการ 5 พระราชวังเดิม ในวันที่ 30 กรกฏาคม ที่ ผ่ า นมา โดยในงานมี ก ารนำเสนอและให้ ข้ อ มู ล เพื่ อ เป็ น ประโยชน์ต่อบุคลากรของกองทัพเรือ ด้วยการสื่อสารทั้งระบบ ภาพและเสียง โดยผ่านระบบ Wireless Security, Wi-Max และครอบคลุมถึงความปลอดภัยในด้านเทคโนโลยีสารสนเทศ ต่อองค์กรอีกด้วย
03
Guardium International Partner Summit 2010
@ Rome
เบย์ คอมพิวติง้ เข้าร่วมงาน Guardium International Partner Summit 2010 ซึ่งจัดขึ้นที่โรม ประเทศอิตาลี เมื่อวันที่ 1718 พ.ค. ทีผ่ า่ นมา งานนีม้ ตี วั แทนฝ่ายบริหารจากพาร์ทเนอร์ ทั่วโลกของ Guardium เข้าร่วมการสัมนาเพื่อเสริมสร้าง กลยุทธ์ด้าน Database Security ให้กับองค์กรทั่วโลก โดย มี ก ารแชร์ ป ระสบการณ์ จ ากผู้ เ ชี่ ย วชาญ และแนวทาง
การตลาดเพื่อก้าวสู่ความสำเร็จไปด้วยกัน ซึ่งถือได้ว่าเป็น ก้าวแรกของการสัมนาระดับองค์กรครั้งใหญ่ หลังจากที่
ทาง IBM มีการควบรวมกิจการของ Guardium เมือ่ ปลายปี ที่ผ่านมา
04
เบย์ คอมพิวติ้ง คว้ารางวัลคุณภาพจาก RSA 3 ปีซ้อน
RSA จัดงาน RSA SEA Partner Conference 2010 ณ เมืองเซินเจิน้ ประเทศจีน เมื่อต้นเดือน ก.ค. ที่ผ่านมา ภายในงานมีพาร์ทเนอร์จากหลากหลายประเทศมา อัพเดทข้อมูลเชิงกลยุทธ์ทงั้ ในด้านธุรกิจและด้านเทคนิคไปพร้อมๆ กัน และบริษัท เบย์ คอมพิวติ้ง ยังได้รับเกียรติเป็นพาร์ทเนอร์รายเดียวจากประเทศไทย เข้ารับ รางวัล Best Partner of The Year 2010 รางวัลคุณภาพจาก RSA เป็นปีที่ 3 ติดต่อกัน ทางเราต้องขอขอบคุณ และให้คำมั่นว่าจะพัฒนาทีมงานในทุกๆ ด้าน เพื่อให้บริการที่ดีที่สุดต่อลูกค้าของเราตลอดไป Bay Computing Newsletter l 10th Issue
3
COVER STORY
บิ๊กซี ซูเปอร์เซ็นเตอร์
มั่นใจเลือก RSA enVision เป็นระบบ SIEM เพื่อรองรับการเติบโตในอนาคต กว่า 16 ปีที่ผ่านมา นับตั้งแต่การเปิดสาขาแรกเมื่อวันที่ 15 มกราคม 2537 ชื่อของห้างค้าปลีก สัญชาติไทยนาม “Big C” ภายใต้การบริหารงานโดย บริษัท บิ๊กซี ซูเปอร์เซ็นเตอร์ จำกัด (มหาชน) และบริษทั ย่อย ได้กลายเป็นทีร่ จู้ กั ของลูกค้าในประเทศไทยในฐานะไฮเปอร์มาร์เก็ตหรือซูเปอร์เซ็นเตอร์ขนาดใหญ่ ที่เป็นแหล่งสำหรับจับจ่ายสินค้าอุปโภคบริโภคที่มีคุณภาพและราคาประหยัดในบรรยากาศการซื้อสินค้าที่ สะดวกสบายเรื่อยมา ปัจจุบันบิ๊กซีมีจำนวนสาขาเปิดให้บริการทั้งสิ้น 68 สาขา แบ่งเป็นสาขาในเขตกรุงเทพฯ และปริมณฑล 26 สาขา สาขาในต่างจังหวัด 42 สาขา นอกจากนี้ บิ๊กซียังมีธุรกิจที่มีขนาดเล็กกว่า บิ๊กซีซูเปอร์เซ็นเตอร์ทั่วไปอีกกว่า 10 สาขา เพือ่ การให้บริการทีใ่ กล้ชดิ กับลูกค้าได้มากขึน้ ได้แก่ ธุรกิจร้านมินบิ กิ๊ ซี เป็นร้านสะดวกซือ้ ทีเ่ ปิดให้บริการตลอด 24 ชัว่ โมง, ธุรกิจร้าน เพรียว เป็นศูนย์รวมผลิตภัณฑ์เพือ่ สุขภาพ, ความงาม และยา โดยล่าสุดบิ๊กซีเพิ่งเปิด บิก๊ ซีจเู นียร์ เป็นธุรกิจกลุม่ ซูเปอร์มาร์เก็ตขึน้ ที่จังหวัดสระบุรีเป็นสาขาแรก และจะเปิด เพิ่มอีกปลายปีนี้
4
Bay Computing Newsletter l 10th Issue
COVER STORY
บิ๊กซี กับ ไอที
ด้วยการเติบโตของธุรกิจ ตลอดจนสภาวะการแข่งขันทีส่ งู มากของตลาดค้าปลีก ทำให้นอกเหนือจากแนวนโยบายทางการตลาดและการบริหารจัดการธุรกิจที่ บิ๊กซีมีการปรับเปลี่ยนรูปแบบให้สามารถแข่งขันได้ในสถานการณ์ต่างๆ แล้ว เทคโนโลยีสารสนเทศหรือไอทียงั เป็นอีกหนึง่ ปัจจัยทีส่ ำคัญทีเ่ ข้ามาช่วยสนับสนุน การดำเนินธุรกิจของบิ๊กซีให้มีประสิทธิภาพเพิ่มมากขึ้น คุณประเวทย์ ปรุงแต่งกิจ ในเรื่องนี้ คุณประเวทย์ ปรุงแต่งกิจ รองประธานฝ่ายจัดการระบบข้อมูล บริษัท รองประธานฝ่ายจัดการระบบข้อมูล บิ๊กซี ซูเปอร์เซ็นเตอร์ จำกัด (มหาชน) หัวหอกไอทีคนสำคัญของบิ๊กซี กล่าวถึง บริษัท บิ๊กซี ซูเปอร์เซ็นเตอร์ จำกัด (มหาชน) การนำไอทีมาใช้ในองค์กรว่า “ธุรกิจค้าปลีกใช้ไอทีเยอะไม่แพ้ธรุ กิจสายอืน่ ประเวทย์แนะนำว่า “กุญแจสำคัญคือ ต้อง ว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ ซึ่งบิ๊กซีเอง เราใช้ไอทีแทบทุกๆ ด้าน ไม่ว่า เข้าใจวิชนั่ ของธุรกิจ แล้วแปลงวิชนั่ ไปสูไ่ อที พ.ศ. 2550 ทีก่ ำหนดให้ตอ้ งมีการจัดเก็บข้อมูล จะเป็นด้านการบริหารสินค้า การจัดซือ้ การ ให้ถกู ทาง” รวมไปถึงต้องมีการจัดสรรงานที่ จราจร (Log) ในการออกสู่โลกอินเทอร์เน็ต บริหารจัดการสต็อก การขาย รวมไปถึงการ เหมาะสม ไปยังทีมพัฒนาภายใน (in-house) อย่างเหมาะสมและปลอดภัยไม่น้อยกว่า วิเคราะห์ข้อมูล โดยเรามีการวางรากฐาน และทีมเอาต์ซอร์ส เพือ่ ให้สามารถพัฒนางาน 90 วันด้วย ดังนั้น ทางบิ๊กซีจึงได้ตัดสินใจ และพัฒนาระบบไอทีมาอย่างต่อเนื่อง เพื่อ จำนวนมากได้ทัน โดยต้องควบคุมให้การ เลือกผลิตภัณฑ์ RSA enVision มาใช้ เพื่อ รองรับการเติบโตของบิก๊ ซี ทีม่ กี ารเปิดสาขา พัฒนาระบบต่างๆ ไม่หลุดจากกรอบของ จัดเก็บข้อมูล Log ตาม พ.ร.บ. แล้วนำข้อมูล ใหม่เพิ่มมากขึ้นทุกปี โดยในแต่ละปีนั้นผม สถาปัตยกรรมไอที (IT architecture) ใน ที่เก็บไปวิเคราะห์และบริหารข้อมูลเพื่อใช้ มีโปรเจ็กตจำนวนมาก ทั้งการพัฒนาระบบ ภาพรวม เพือ่ ไม่ให้ระบบย่อยต่างๆ กลายเป็น ให้เกิดประโยชน์สูงสุด โดยมี บริษัท เบย์ ใหม่ แ ละการปรั บ ปรุ ง ระบบเก่ า ให้ มี เกาะที่ทำงานไม่สัมพันธ์กัน (isolate) หรือ คอมพิวติง้ จำกัด เป็นผูด้ แู ลการอิมพลีเมนต์ มีการทำงานที่ซ้ำซ้อน (redundance) แล้ว ระบบให้ ประสิทธิภาพมากขึ้น” ทำให้เกิดค่าใช้จ่ายที่สูงตามมา คุณประเวทย์ เล่าถึงวัตถุประสงค์หลักในการ สำหรับการทำให้โปรเจ็กต์ที่มีจำนวนมาก แต่ละโปรเจ็กต์ประสบความสำเร็จนั้น คุณ คุณประเวทย์ยงั กล่าวเสริมว่า “การรักษาให้ นำระบบ RSA enVision มาใช้วา่ “ทางบิก๊ ซี architecture อยูใ่ นร่องในรอย ทำได้ยากมาก เริ่มนำเอาระบบ RSA enVision มาใช้เมื่อ ต้องยอมรับว่าผมไม่ได้เก่งทีส่ ดุ แต่ผมเข้าใจ ปลายปีที่แล้ว โดยเรื่อง พ.ร.บ. เป็นหนึ่งใน ธุรกิจและมีความจริงจังในการดู architecture วัตถุประสงค์ที่เรานำระบบนี้มาใช้ และอีก คือ ต้องใช้เวลาและความพยายามอย่างมาก วัตถุประสงค์คอื เพือ่ การกำกับดูแล ตรวจสอบ เพือ่ ทำให้โปรเจ็กต์ตา่ งๆ เดินไปอย่างถูกทิศ งานภายในของฝ่ายไอทีของบิก๊ ซีเอง โดยใช้ ถูกทางที่สุด” ประโยชน์จากการดูรายงานวิเคราะห์ข้อมูล จราจร (Log Report Analysis) เพื่อ 1. ใช้ มั่นใจเลือก RSA enVision ในการป้องกันปัญหา (Prevent problem) นอกจากการพั ฒ นาระบบให้ ต อบสนอง 2. ช่วยระบุตน้ เหตุกรณีเกิดปัญหาขึน้ (Identify ความต้องการของผู้ใช้และรองรับการเปิด cost of problem) 3. ช่วยในการวางแผนและ สาขาใหม่ในทุกปีของบิ๊กซีแล้ว หน่วยงาน ปรับปรุงประสิทธิภาพการทำงานของฝ่ายไอที ไอทีของบิ๊กซียังต้องกำกับดูแลการใช้งาน ให้ดยี งิ่ ขึน้ (Plan and improve performance) ของบุ ค ลากรภายในองค์ ก รที่ มี ม ากกว่ า และ 4. ช่วยให้รู้พฤติกรรมการใช้งานไอที 15,000 คนให้มีความถูกต้องและปลอดภัย ของยูสเซอร์ว่าถูกต้อง เหมาะสม หรือผิดที่ รวมถึงต้องสอดคล้องตามพระราชบัญญัติ ผิดทางหรือไม่ เพือ่ เราจะได้เข้าไปช่วยปรับปรุง Bay Computing Newsletter l 10th Issue
5
COVER STORY วิธกี ารทำงานของผูใ้ ช้ได้ (Make use IT by users)” “ถ้ามองในเชิงความปลอดภัย การวิเคราะห์ Log จาก RSA enVision ช่วยให้เรากำกับ และดูแล การใช้ไอทีของผู้ใช้ให้เป็นไปตาม กฎระเบียบทีต่ งั้ ไว้ได้อย่างเข้มงวด โดยช่วย ให้รับรู้หรือ identify ได้ถึงลักษณะของการ ทำงานทีผ่ ดิ วิธี ทีอ่ าจเป็นการส่อหรือล่อแหลม ไปในทางฝ่าฝืนระบบรักษาความปลอดภัย โดยเฉพาะอย่างยิ่ง กลุ่มคนที่เป็น critical user อย่างเช่น User ที่เป็น Admin ของ ระบบไอที เพราะเป็นกลุม่ ทีม่ สี ทิ ธิก์ ารใช้งาน
(authorized) สูง ส่วนอีกด้านหนึง่ คือ ด้าน พฤติกรรมการใช้ซอฟต์แวร์ของยูสเซอร์ว่ามี การใช้งานอย่างไร เช่น มีการใช้โหลดมาก หรือน้อยเพียงใด ใช้ผดิ หรือถูกวิธี หรือแม้แต่ การรับรูถ้ งึ พฤติกรรมของยูสเซอร์ในการออก ไปสูโ่ ลกอินเทอร์เน็ต เพือ่ เราสามารถกลับไป บอกเค้าให้ปรับปรุงการใช้งานให้ถูกต้อง” “สำหรับปัญหา ณ เวลานี้ที่เห็นอยู่ คือ การ ล็อกอินเข้ามาใช้งานตัวระบบงานซอฟต์แวร์ เป็นประเภท Retry จำนวนมาก ซึ่งเราต้อง มาศึกษาและวิเคราะห์ว่าเป็นเพราะเหตุใด แต่สงิ่ หนึง่ ทีเ่ ราพยายามเจาะลึกลงไปคือว่า ในบรรดาคนทีพ่ ยายามล็อกอินหลายๆ ครัง้ นั้น มีพวกที่มีเจตนาร้ายด้วยหรือไม่ เพื่อ ป้องกันภัย ซึ่งในส่วนของผู้ตรวจสอบระบบ ไอที (IT auditor) ระบบ RSA enVision ก็
6
Bay Computing Newsletter l 10th Issue
น่าจะเป็นประโยชน์ในเรื่อง ที่เค้าอาจเอาไปช่วยดูว่ามี ใครที่เข้าข่ายในลักษณะที่ พยายามเข้ามาในระบบโดย ไม่มี authorized หรือไม่ หรือ ใช้ตรวจดูฝ่าย IT Software ว่าซอฟต์แวร์ทพี่ ฒ ั นาขึน้ นัน้ ปฏิบตั ติ ามนโยบายด้านไอที (IT policy) ทีว่ างไว้ได้อย่าง ถูกต้องหรือไม่ เช่น กำหนด ว่าหากผูใ้ ช้พยายามล็อกอิน เกิน 3 ครั้ง ให้ระบบหยุด แต่หากระบบยัง ยอมให้ใส่ลอ็ กอินได้เกิน 3 ครัง้ ผูต้ รวจสอบ จะย้อนกลับไปดูที่ฝ่ายพัฒนาซอฟต์แวร์ว่า ทำไมจึงเป็นเช่นนั้น” สำหรั บ เหตุ ผ ลที่ ท ำให้ ท างบิ๊ ก ซี ตั ด สิ น ใจ เลือกใช้ RSA enVision นั้น คุณประเวทย์ กล่าวว่า “ในมุมมองของผม ผมมองว่า RSA enVision มีฟังก์ชันและฟีเจอร์ที่ครอบคลุม ได้หลากหลาย ตัวผลิตภัณฑ์เองก็สร้างได้ อย่างเรียบร้อย ทั้งในแง่อารมณ์ความรู้สึก (look and feel) ของตัวผลิตภัณฑ์ทนี่ า่ เชือ่ ถือ การใช้งานทีด่ แี ละใช้งานได้จริง (practical) และการที่มีฟังก์ชันและฟีเจอร์ที่ครอบคลุม ได้กว้างและลึก ทำให้เรามีความยืดหยุน่ ใน การใช้งาน สามารถเลือกใช้เฉพาะบางส่วน ได้ และถ้ามีความจำเป็นต้องขยายกรอบการ ใช้งานให้ครอบคลุมมากขึน้ ตัวนีก้ ร็ องรับได้ มากกว่าผลิตภัณฑ์ที่เน้นด้านใดด้านหนึ่ง โดยเฉพาะ อย่างผลิตภัณฑ์ สำหรับเก็บ Log เซิร์ฟเวอร์ อีเมล์โดยเฉพาะ แต่จะไม่มี Network Compliance หรือ Security Compliance ทำให้ ต้องมีตวั อืน่ ๆ ตามมาสำหรับ ระบบต่างๆ อันที่จริงวิธีนี้ก็ ทำงานได้ แต่ในเชิงการบริหาร จัดการ (administration) การ ใช้ RSA enVision ให้เป็น เครือ่ งมือตัวเดียว จะช่วยให้
ลดการใช้ทรัพยากร (resource) และการ แก้ไขปัญหาก็ทำได้ง่ายกว่า”
การลงทุนที่คุ้มค่า
ในการลงทุนด้านไอทีนั้น นอกจากฟีเจอร์ที่ ตอบความต้องการของธุรกิจได้แล้ว เรือ่ งของ ความคุ้ ม ค่ า ก็ เ ป็ น ปั จ จั ย ที่ บิ๊ ก ซี ใ ห้ ค วาม สำคัญ โดยคุณประเวทย์กล่าวว่า “เราเป็น ผูก้ ระหายเทคโนโลยี คือ เรากระหายอยากรู้ และอยากประยุกต์ใช้ (apply) เทคโนโลยี ทุกอย่างเป็นทีส่ ดุ แต่เราก็ตอ้ งระมัดระวังใน เรือ่ งของต้นทุนเป็นทีส่ ดุ เหมือนกัน การจะนำ เอาเทคโนโลยีใดมาใช้ เราต้องมองว่ามันให้ ผลตอบแทนการลงทุนที่คุ้มค่าหรือไม่ เมื่อ มีเทคโนโลยีหรือ gadget มาใหม่ เราไม่ สามารถประยุกต์ใช้ได้ทนั ที เพราะวิธคี ดิ หรือ วิธีตัดสินใจแบบเราไม่เหมือนบริษัทที่เป็น Marketing style เราต้องทำให้มนั่ คง ดูอะไร ก็ดแู บบรอบคอบ แต่ไม่หยุดดู เราคิดในเชิง apply ตลอดว่า apply ได้หรือยัง ถ้าระบบ ดั ง กล่ า วมี ค วามชั ด เจนและมั่ น ใจว่ า เกิ ด ประโยชน์ตอ่ เราแน่นอน เราก็ไม่รรี อ แล้วเรา ก็เป็น Mass Apply คือ เราทำกว้างและใหญ่ ดังนัน้ ถ้าใช้แล้วเราก็ไม่มที างถอดระบบทิง้ พรุ่งนี้แน่นอน” สำหรับระบบ RSA enVision แม้อาจถูก มองว่ามีค่าใช้จ่ายสูงกว่าระบบทั่วไปบ้าง และการคำนวณผลตอบแทนการลงทุนหรือ ROI (Return on Investment) ก็ทำได้
COVER STORY ค่อนข้างยาก เนื่องจากต้องรอให้เกิดความ เสี ย หายก่ อ นจึ ง จะวั ด ความคุ้ ม ค่ า เป็ น ตัวเลขทีช่ ดั เจนได้ แต่บกิ๊ ซีกย็ งั วางใจเลือกใช้ ซึ่งคุณประเวทย์ให้เหตุผลว่า “ในแง่ของการลงทุน ผมคิดว่าค่าใช้จา่ ยของ ตัวนีอ้ ยูใ่ นราคาสมเหตุสมผล (reasonable) ผมว่าแค่ตอบโจทย์ตามที่กฎหมายกำหนด ไว้ ใ นข้ อ ที่ เ กี่ ย วข้ อ งกั บ การจั ด เก็ บ ข้ อ มู ล จราจรก็เพียงพอแล้ว สำหรับการป้องกันความ เสียหาย (prevent fraud) ถ้าตัดสินด้วย เหตุผล (logical exponential) ระบบนี้มี
รีเทิร์นแน่นอน แต่บอกเป็นตัวเลขที่ชัดเจน ไม่ได้ ขึน้ อยูก่ บั fraud นัน้ ว่าถ้ามันผ่านไปได้ จะนำไปสูค่ วามเสียหายทีร่ นุ แรงกีบ่ าท หาก เป็นความเสียหายที่มีมูลค่า 200-300 ล้าน หรือมากกว่านั้น ก็ถือว่าคุ้มแสนคุ้ม ดังนั้น ถ้าระบบนี้สามารถป้องกันได้ 1-2 เคสต่อ หนึ่งเดือน ผมว่าเราก็คุ้มค่าแล้ว”
เบย์ คอมพิวติ้ง พันธมิตรที่ ไอที เพื่อให้การพัฒนาระบบไอทีของห้าง ช่วยตอบโจทย์ความต้องการ ค้าปลีกที่มีขนาดใหญ่อย่างบิ๊กซีประสบกับ ความสำเร็จ คือ “ทำวันนี้ เพือ่ พรุง่ นี”้ โดย คุณประเวทย์อธิบายว่า “การทำวันนี้ เพื่อ พรุ่งนี้ หมายความว่า นอกจากการที่เรารู้ วิชั่น รู้กลยุทธ์ของธุรกิจ แล้วแปลงไปสู่ไอที ที่ถูกทิศถูกทางแล้ว ต้องแปลงให้รองรับกับ ในอนาคตด้วย โดยการวางรากฐานที่ดี จะ ช่ ว ยให้ เ ราสามารถต่ อ ยอดระบบไอที ใ น อนาคตได้ดี” “เพราะในมุมมองของผม ไอทีไม่ใช่การปฏิวตั ิ (revolution) ทีห่ ากมีเงินก็สามารถไปซือ้ ระบบ สำเร็จมาติดตั้งและใช้ได้ทันที แต่ไอทีคือ วิวฒ ั นาการ (evolution) ทีพ่ ฒ ั นาแบบค่อยเป็น ค่อยไป เนื่องจากต้องเกี่ยวข้องกับคน แต่ คำว่าค่อยเป็นค่อยไปนี้ ไม่ใช่ตอ้ งทำช้าๆ เรา ทำให้เร็วก็ได้ แต่ไม่ใช่ปฏิวตั เิ ปรีย้ งเดียวแล้ว เปลี่ยน” คุณประเวทย์กล่าวทิ้งท้าย
ด้านความประทับใจในการได้ร่วมงานกับ บริษทั เบย์ คอมพิวติง้ จำกัดนัน้ คุณประเวทย์ กล่าวว่า ทีมฝ่ายขายของเบย์มีการดูแลที่ดี ต่อเนือ่ งสม่ำเสมอ และสามารถสือ่ สารกันได้ เข้าใจ นอกจากนีเ้ นือ่ งจากเราเองเป็นผูบ้ ริโภค เทคโนโลยีหลากหลาย และทางเบย์กจ็ ำหน่าย ผลิตภัณ ฑ์ ห ลากหลายเทคโนโลยี เ ช่ น กั น เราจึงมีความสัมพันธ์ที่ดีต่อกัน โดยตอนนี้ มีหนึง่ ระบบทีต่ รงกัน คือ RSA enVision ซึง่ ในการอิมพลีเมนต์ระบบนี้ เท่าทีต่ ดิ ตามความ ก้าวหน้าจากหัวหน้างานที่ดูแลโปรเจ็กต์นี้ พบว่า โครงการมีความก้าวหน้าไปในทางทีด่ ี ในต้นทุนทีค่ วบคุม และผลลัพธ์ทไี่ ด้กเ็ ป็นไป ตามที่โปรเจ็กต์คาดหวัง”
ทำวันนี้..เพื่อพรุ่งนี้
หลักคิดอย่างหนึ่งที่คุณประเวทย์ให้กับทีม
คุณสมบัติของ RSA enVision RSA enVision เป็นโซลูชนั สำหรับจัดการ Log ทีม่ รี ะบบ SIEM* (Security Information Event Management หรือระบบบริหารข้อมูลและเหตุการณ์ทางด้านความปลอดภัย) ในตัว เหมาะสำหรับองค์กรทีต่ อ้ งการปฏิบตั ติ าม
พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 อีกทั้งต้องการใช้ประโยชน์จาก ข้อมูลที่จัดเก็บไว้มาวิเคราะห์และแจ้งเตือนอย่างมีประสิทธิภาพ สำหรับการปฏิบัติตาม พ.ร.บ. RSA enVision เป็นโซลูชัน ที่มีคุณสมบัติตรงตามที่กฏหมายกำหนดไว้ในข้อที่ เกี่ยวข้องกับการจัดเก็บข้อมูลจราจร ได้แก่ มาตรา 26 : กำหนดให้มีการจัดเก็บข้อมูลจราจร ไม่น้อยกว่า 90 วัน และสามารถขยายได้ถึง 1 ปี มาตรา 27 : กำหนดให้ระบบต้องสามารถปฏิบัติตามคำสั่งของศาลหรือพนักงานเจ้าหน้าที่ โดยสามารถ นำส่งข้อมูลจราจรได้ เมื่อได้รับการร้องขอ นอกจากนี้ ยังมีคณ ุ สมบัตสิ อดคล้องกับประกาศกระทรวงเทคโนโลยีสารสนเทศและการสือ่ สาร เรือ่ งหลักเกณฑ์
การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ ซึ่งมีข้อที่เกี่ยวข้องคือ ข้อ 8 (1), (2) กำหนดให้มกี ารจัดเก็บข้อมูลจราจรอย่างเหมาะสมและปลอดภัย โดยจัดเก็บแบบ Centralized Log Server ข้อ 8 (4) กำหนดให้ระบบต้องระบุตัวบุคคลได้ โดยใช้ระบบ Proxy เข้ามาช่วยบังคับให้ผู้ใช้ต้องยืนยันตัว บุคคลก่อนใช้งานอินเทอร์เน็ต หรือยืนยันตัวบุคคลผ่าน Microsoft Active Directory แล้วใช้ RSA enVision ในการเก็บ log การยืนยันตัวบุคคล
RSA enVision ช่วยให้บกิ๊ ซีจดั เก็บ Log ได้ตามที่ พ.ร.บ. กำหนด และกำกับดูแล การใช้งานไอทีของ บุคลากรภายในองค์กรได้อย่างมีประสิทธิภาพ
Bay Computing Newsletter l 10th Issue
7
SOLUTION UPDATE
Wireless Security โดย อวิรุทธ์ เลิ้ยงศิริ, Technology Director, Bay Computing Co., Ltd.
การรั ก ษาความปลอดภั ย ระบบ เครือข่ายไร้สาย มีจุดประสงค์หลัก คือ ให้บริการเครือข่ายเพือ่ สือ่ สารข้อมูลแบบ ไร้สาย แต่ยงั ต้องคงไว้ซงึ่ หลักการสำคัญของ การรักษาความปลอดภัย (Security) ทัง้ 3 ข้อ คือ Confidentiality : การรักษาความลับ Integrity : ความถูกต้องครบถ้วน Availability : ความสามารถเข้าถึงข้อมูล ได้ (บางตำรา เช่น US Department of Defense ใช้คำว่า Authenticity หรือแปลว่า การสามารถยื น ยั น ตั ว ตนของต้ น ตอหรื อ แหล่งข้อมูลได้) กระบวนการในการรักษาความปลอดภัยที่ ได้รับความนิยมในปัจจุบัน คือ MAC address filtering : กระบวนการใน การกรองเฉพาะเครือ่ งหรืออุปกรณ์ทมี่ ี MAC address ตรงกับอุปกรณ์ที่ลงทะเบียนไว้ การใช้กระบวนการรักษาความปลอดภัย ตามมาตรฐาน 802.11x การเข้ารหัสข้อมูล (Encrypt) เพือ่ ป้องกัน การดักจับของข้อมูล (Sniff) การป้ อ งกั น ในการแพร่ ก ระจายของ สัญญาณวิทยุ (RF Shielding) โดยการใช้
8
Bay Computing Newsletter l 10th Issue
วัสดุทมี่ คี ณ ุ สมบัตทิ างด้านการสะท้อนคลืน่ สัญญาณ เพือ่ ป้องกันสัญญาณจากเครือข่าย ไร้สายแพร่กระจายออกไปยังพืน้ ทีส่ าธารณะ ลดโอกาสในการพยายามเจาะเข้าระบบ โดยผู้ไม่หวังดีได้ ในปัจจุบนั มาตรฐานการเข้ารหัส (Encryption) ระบบเครือข่ายอีเธอร์เน็ตแบบไร้สาย จะมี หลากหลายมาตรฐาน โดยมาตรฐานที่เป็น ที่นิยม คือ WEP (Wired Equivalent Privacy) เป็น มาตรฐานการเข้ารหัสเริม่ แรก สำหรับรักษา ความปลอดภัยระบบ Wireless LAN แต่ เนือ่ งจากมาตรฐาน WEP เป็นระบบ shared key จึงมีปญ ั หาในการบริหารจัดการและถูก ค้นพบวิธีการเจาะเพื่อเข้าถึงข้อมูลต้นฉบับ ได้อย่างรวดเร็ว ปัจจุบนั จึงไม่นยิ มใช้สำหรับ รักษาความปลอดภัยในระบบที่ต้องการจะ รักษาชั้นความลับ
WPA v1 (Wi-Fi Protected Access) เป็น มาตรฐานทีป่ รับปรุงจากมาตรฐาน WEP ซึง่ อ้างอิงตามมาตรฐาน 802.11i โดยตัดลด บางส่วน และใช้โพรโตคอล TKIP (Temporal Key Integrity Protocol) ในการออกและใช้ key สำหรับการเข้ารหัสแบบอัตโนมัติและ เปลีย่ นแปลงตลอดเวลา เพือ่ แก้ไขปัญหาใน มาตรฐาน WEP นอกจากนี้ WPA v1 ยัง รองรับส่วนเพิ่มขยายอื่นๆ สำหรับใช้ในการ ยืนยันตัวตนเข้ากับเครือข่าย โดยการอ้างอิง มาตรฐาน 802.1x และปรับปรุงเพือ่ ให้ทำงาน กับ RADIUS server ได้ โดยเรียกกันว่า
โพรโตคอล EAP (Extensible Authentication Protocol) ซึง่ มีอยูห่ ลายรูปแบบ เช่น LEAP
(Lightweight EAP), PEAP (Protected EAP) และ EAP-TLS เป็นต้น โดยปัจจุบัน EAP โพรโตคอลที่ ไ ด้ รั บ การยอมรั บ ว่ า มี ค วาม ปลอดภัยสูงที่สุดคือ EAP-TLS WPA v2 (Wi-Fi Protected Access version 2) เป็นมาตรฐานทีถ่ กู กำหนดให้ใช้
SOLUTION UPDATE
โดยมาตรฐานการรั ก ษาความปลอดภั ย 802.11i ถือเป็นมาตรฐานที่ปลอดภัยที่สุด ในปัจจุบนั โดยมีการปรับปรุงจาก WPA v1 ในการกำหนดมาตรฐานการเข้ารหัสแบบ AES-CCMP ในการเข้ารหัส โดยแทนทีก่ าร เข้ารหัสแบบ RC4 stream cipher ที่ใช้ใน มาตรฐาน WEP รวมทั้ง WPA (v1) โดย เครือข่ายที่ใช้มาตรฐาน WPA v2 (บางครั้ง เรียกว่า WPA2) ทัง้ ระบบจะสามารถเรียกได้ ว่าเป็น Robust Security Network (RSN) ตามมาตรฐานของ IEEE โดยพร้อมกันนี้ 2 โพรโตคอลใหม่ที่ถูกแนะนำมาพร้อมกับ มาตรฐาน 802.11i คือ 4-Way Handshake และ Group Key Handshake
การรักษาความปลอดภัย อุปกรณ์พกพา (Mobile device security) ในการรักษาความปลอดภัยอุปกรณ์พกพา (Mobile device security) ทีม่ คี วามสามารถ
ในการเชือ่ มต่อเครือข่ายไร้สาย ประกอบด้วย 3 ส่วนหลักๆ คือ การปกป้องไม่ให้ทำการเชือ่ มต่อเครือข่าย กับอุปกรณ์พกพาอืน่ ๆ โดยตรง (Protecting against ad-hoc networks) การปกป้องไม่ให้เชือ่ มต่อกับ Access Point เถื่อนหรือไม่ได้อยู่ภายใต้การดูแลปกป้อง ของทางหน่วยงาน (Connecting to rogue access points) การยืนยันตัวตนอย่างปลอดภัยและเชือ่ ถือ ได้ (Mutual authentication schemes such as WPA2) เทคโนโลยีในการรักษาความปลอดภัยของ เครือข่ายไร้สาย ควรสามารถทีจ่ ะปกป้องภัย คุกคามเหล่านี้ได้เป็นอย่างน้อย Rogue AP : ระบบทีด่ คี วรสามารถตรวจจับ และระบุ Wireless Access Point ที่ไม่ได้ อยู่ภายใต้การดูแล และระบุถึงประเภทได้ ว่าเป็น Rogue AP หรือ External AP ทีต่ ดิ ตัง้ อยู่ภายนอกองค์กร Mis-configured AP : ตรวจพบการตัง้ ค่า (configure) ของ Access Point ทีไ่ ม่ถกู ต้อง
ตามนโยบายและมาตรฐานที่กำหนดไว้ Client Mis-association : ปกป้องด้านการ เชื่อมต่อที่ไม่ถูกต้องของเครื่องและอุปกรณ์ ไร้สายทีไ่ ม่เกีย่ วข้องหรือเหมาะสม เช่น เครือ่ ง โน้ตบุก๊ กลุม่ นี้ ไม่ควร associate กับ Access Point ของอีกหน่วยงาน เป็นต้น
Unauthorized association : ปกป้องการ เชื่อมต่อของผู้ใช้หรือบุคคลอื่นที่ไม่ได้รับ อนุญาตให้เข้าใช้ Man in the Middle Attack : ปกป้องการ โจมตีในรูปแบบของ Man in the middle หรือ การแทรกกลางโดยผูไ้ ม่หวังดีในกระบวนการ สือ่ สาร ซึง่ ส่งผลให้ผไู้ ม่หวังดีสามารถตรวจจับ และสอดแทรกการสื่อสารได้โดยที่ผู้ส่งและ ผู้รับไม่รู้ตัว Ad-hoc Networks : การเชื่อมต่อกันเอง ในระหว่างอุปกรณ์ไร้สายด้วยกัน โดยไม่ตอ้ ง พึ่งพา Access Point Mac-Spoofing : การปลอมแปลง MAC address เพือ่ เจตนาในการปลอมแปลงเข้าสู่ ระบบ ปกป้องการโจมตีในรูปแบบของ Honeypot/ Evil Twin Attack และ Denial of Service (DoS) Attack การใช้งานเครือข่ายไร้สายปัจจุบนั มีความเร็ว และประสิทธิภาพเกือบเทียบเท่าเครือข่าย แบบมีสายปกติ โดยเฉพาะมาตรฐาน 802.11n ซึ่งรองรับความเร็วที่เทียบเท่ากับเครือข่าย แบบมีสายที่ 150Mbps และขยายเพิม่ ได้ถงึ 600Mbps ดังนั้น เมื่อมีความนิยมที่เพิ่มขึ้น การรักษาความปลอดภัยทีเ่ หมาะสมจึงเป็น สิง่ จำเป็น การบริหารจัดการระบบเครือข่าย ไร้สายทีใ่ ช้เทคโนโลยี Fat AP (Access Point ทีต่ อ้ งกำหนดและตัง้ ค่าทีละตัว) จึงเป็นสิง่ ที่ กำลังจะค่อยๆ เลือนหายไป และเปลีย่ นเป็น
การใช้ Thin AP (Access Point ที่มีการ
บริหารจัดการและปรับตัง้ ค่าจากศูนย์กลาง โดยไม่ตอ้ งใช้ผชู้ ำนาญงานพิเศษในการบำรุง รักษา Access Point นั้นๆ) อีกไม่นานการ สื่อสารแบบไร้สายจะเป็นมาตรฐานในการ เชื่อมโยงเครือข่ายของระบบเครือข่ายใน สำนักงานและการใช้งานโดยทั่วไปอย่าง แน่นอน การเรียนรู้ถึงข้อเด่นข้อด้อยในการ รักษาความปลอดภัยของระบบเครือข่าย
ไร้สายจึงเป็นสิ่งจำเป็น
Bay Computing Newsletter l 10th Issue
9
ISMS STANDARD
เสริมมาตรการความปลอดภัยไอที ด้วย ISO 27001: 2005 ตอนที่ 8
“Annex A”
โดย ภัคณัฏฐ์ โพธิ์ทองบวรภัค, Security Manager, Bay Computing Co., Ltd.
สวัสดีครับท่านผู้อ่าน หลังจากเราได้พูดถึงเนื้อหาในส่วนของ Annex A ของมาตรฐาน ความปลอดภัยข้อมูลสารสนเทศ ISO 27001:2005 ใน 2 ฉบับที่ผ่านมา ก็ผ่านมาแล้ว ครึ่งทางจากทั้งหมด 11 หัวข้อนะครับ ซึ่งได้แก่ หัวข้อ A.5 นโยบายความมั่นคงปลอดภัย
(Security policy), A.6 โครงสร้างทางด้านความมั่นคงปลอดภัยสำหรับองค์กร (Organization of information security), A.7 การบริหารจัดการทรัพย์สินขององค์กร (Asset management), A.8 ความมั่นคงปลอดภัยที่เกี่ยวข้องกับบุคลากร (Human resources security) และ A.9 การสร้าง ความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม (Physical and environmental security) และ ในฉบับนี้เราจะมาเรียนรู้เพิ่มเติมอีก 1 หัวข้อ คือ A.10 การบริหารจัดการด้านการสื่อสารและ การดำเนินงานของเครือข่ายสารสนเทศขององค์กร (Communications and operations management) ซึ่งจะมีรายละเอียดของการควบคุมหลายข้อที่จำเป็นสำหรับแต่ละบริษัทหรือองค์กร ดังนี ้ A.10 การบริหารจัดการด้าน A.10.1.3 การแบ่งหน้าที่ความรับผิดชอบ การสื่อสารและการดำเนินงาน (Segregation of duties) ของเครือข่ายสารสนเทศของ ตัวควบคุม : ต้องกำหนดให้มกี ารแบ่งหน้าทีค่ วาม องค์กร (Communications รับผิดชอบเพื่อลดโอกาสในการเปลี่ยนแปลงหรือ and operations แก้ไขโดยไม่ได้รับอนุญาต หรือใช้ผิดวัตถุประสงค์ management) ต่อทรัพย์สินสารสนเทศขององค์กร A.10.1 การกำหนดหน้าที่ ความรับผิดชอบและขั้นตอน A.10.1.4 การแยกระบบสำหรับการพัฒนา การ การปฏิบัติงาน (Operational ทดสอบ และการให้บริการออกจากกัน procedures and (Separation of development, test, and responsibilities) operational facilities) วัตถุประสงค์ : เพื่อให้การดำเนินงานที่เกี่ยวข้อง ตัวควบคุม : ต้องจัดให้มีการแยกระบบสำหรับ กับอุปกรณ์ประมวลผลสารสนเทศเป็ น ไปอย่ า ง การพัฒนา การทดสอบ และระบบที่ให้บริการจริง ถูกต้องและปลอดภัย ออกจากกัน เพื่อลดความเสี่ยงในการเข้าถึง หรือ เปลี่ยนแปลงแก้ไขต่อระบบที่ให้บริการจริงโดยไม่ A.10.1.1 ขัน้ ตอนการปฏิบตั งิ านทีเ่ ป็นลายลักษณ์ ได้รับอนุญาต อักษร (Documented operating procedures) ตัวควบคุม : ต้องจัดทำคูม่ อื ขัน้ ตอนการปฏิบตั งิ าน A.10.2 การบริหารจัดการการ ปรับปรุงตามระยะเวลาอันสมควร และแจกจ่ายให้ ให้บริการของหน่วยงานภายนอก กับผู้ที่เกี่ยวข้อง (Third party service delivery management) A.10.1.2 การควบคุมการเปลีย่ นแปลง ปรับปรุง วัตถุประสงค์ : เพื่อจัดทำและรักษาระดับความ หรื อ แก้ ไ ขระบบหรื อ อุ ป กรณ์ ป ระมวลผล มัน่ คงปลอดภัยของการปฏิบตั หิ น้าทีข่ องหน่วยงาน สารสนเทศ (Change management) ภายนอก ให้เป็นไปตามข้อตกลงทีจ่ ดั ทำไว้ระหว่าง ตัวควบคุม : ต้องกำหนดให้มี องค์กรกับหน่วยงานภายนอก การควบคุ ม การเปลี่ ย นแปลง ปรับปรุง หรือแก้ไขระบบหรือ A.10.2.1 การให้บริการโดยหน่วยงานภายนอก อุปกรณ์ประมวลผลสารสนเทศ (Service delivery)
10
Bay Computing Newsletter l 10th Issue
ตัวควบคุม : ต้องกำหนดให้ผใู้ ห้บริการจากภายนอก ปฏิ บั ติ ต ามข้ อ กำหนดหรื อ ข้ อ ตกลงที่ จั ด ทำขึ้ น ระหว่างองค์กรและผูใ้ ห้บริการจากภายนอก ข้อตกลง ควรกล่ า วถึ ง มาตรการการรั ก ษาความมั่ น คง ปลอดภัย ลักษณะของการให้บริการ และระดับของ การให้บริการ A.10.2.2 การตรวจสอบการให้บริการโดย หน่วยงานภายนอก (Monitoring and review of third party services) ตัวควบคุม : ต้องตรวจสอบการให้บริการโดย หน่วยงานภายนอกอย่างสม่ำเสมอ โดยดูจากการ ให้บริการ การศึกษาจากรายงานการให้บริการและ ข้อมูลต่างๆ ที่กำหนดให้บันทึกไว้ A.10.2.3 การบริหารจัดการการเปลี่ยนแปลง ในการให้บริการ (Managing changes to third party services) ตัวควบคุม : ต้องกำหนดให้ทำการปรับปรุงเงือ่ นไข การให้ บ ริ ก ารของหน่ ว ยงานภายนอกเมื่ อ มี ก าร เปลี่ยนแปลงที่สำคัญต่อระบบหรือกระบวนการที่ เกี่ยวข้องกับงานให้บริการของหน่วยงานภายนอก เช่น การปรับปรุงระบบสารสนเทศใหม่ การพัฒนา ระบบสารสนเทศใหม่ การปรับปรุงนโยบายและ ขั้ น ตอนปฏิ บั ติ ส ำหรั บ การรั ก ษาความมั่ น คง ปลอดภัย การเปลีย่ นเทคโนโลยีใหม่ การใช้ผลิตภัณฑ์ ใหม่ เป็นต้น ซึ่งมีผลกระทบต่อการดำเนินงานของ ผู้ให้บริการจากภายนอก
A.10.3 การวางแผนและ การตรวจรับทรัพยากร สารสนเทศ (System planning and acceptance)
วัตถุประสงค์ : เพือ่ ลดความเสีย่ งจากความล้มเหลว ของระบบ A.10.3.1 การวางแผนความต้องการทรัพยากร สารสนเทศ (Capacity management)
ISMS STANDARD ตัวควบคุม : ต้องมีการวางแผนเพื่อกำหนดความ ต้องการทรัพยากรสารสนเทศที่มีความจำเป็นต้อง เพิ่มเติมในอนาคต เพื่อให้ระบบมีประสิทธิภาพที่ เหมาะสมและเพียงพอต่อการใช้งาน A.10.3.2 การตรวจรับระบบ (System acceptance) ตัวควบคุม : ต้องจัดให้มเี กณฑ์ในการตรวจรับระบบ สารสนเทศใหม่ทปี่ รับปรุงเพิม่ เติม หรือทีเ่ ป็นรุน่ ใหม่ รวมทัง้ ต้องดำเนินการทดสอบก่อนทีจ่ ะรับระบบนัน้ มาใช้งาน
A.10.4 การป้องกันโปรแกรมที่ ไม่ประสงค์ดี (Protection against malicious and mobile code)
วัตถุประสงค์ : เพือ่ รักษาซอฟต์แวร์และสารสนเทศ ให้ปลอดภัยจากการถูกทำลายโดยซอฟต์แวร์ที่ไม่ ประสงค์ดี A.10.4.1 การป้องกันโปรแกรมที่ไม่ประสงค์ดี (Controls against malicious code) ตัวควบคุม : ต้องมีมาตรการสำหรับการตรวจจับ การป้องกัน และการกูก้ ลับคืน เพือ่ ป้องกันทรัพย์สนิ สารสนเทศจากโปรแกรมทีไ่ ม่ประสงค์ดี รวมทัง้ ต้อง มีการสร้างความตระหนักทีเ่ กีย่ วข้องให้กบั ผูใ้ ช้งาน A.10.4.2 การป้องกันโปรแกรมชนิดเคลื่อนที่ (Controls against mobile code) ตัวควบคุม : ต้องมีมาตรการเพือ่ ควบคุมการใช้งาน โปรแกรมชนิดเคลื่อนที่ (โปรแกรมที่เคลื่อนที่จาก หน่วยความจำของเครื่องคอมพิวเตอร์หนึ่งเพื่อไป ทำงานในหน่วยความจำของอีกเครือ่ งคอมพิวเตอร์ หนึ่ง) ให้เป็นไปตามนโยบายความมั่นคงปลอดภัย ขององค์กร และจะต้องป้องกันไม่ให้โปรแกรมชนิด เคลื่อนที่อื่นๆ สามารถทำงานหรือใช้งานได้
A.10.5 การสำรองข้อมูล (Back-up)
วัตถุประสงค์ : เพื่อรักษาความถูกต้องสมบูรณ์ และความพร้อมใช้ของสารสนเทศและอุปกรณ์ ประมวลผลสารสนเทศ A.10.5.1 การสำรองข้อมูล (Information back-up) ตัวควบคุม : ต้องจัดให้มีการสำรองและทดสอบ ข้อมูลทีส่ ำรองเก็บไว้อย่างสม่ำเสมอ และให้เป็นไป ตามนโยบายการสำรองข้อมูลขององค์กร
A.10.6 การบริหารจัดการ ทางด้านความมั่นคงปลอดภัย สำหรับเครือข่ายขององค์กร (Network security management)
วัตถุประสงค์ : เพือ่ ป้องกันสารสนเทศบนเครือข่าย และโครงสร้างพื้นฐานที่สนับสนุนการทำงานของ เครือข่าย A.10.6.1 มาตรการทางเครือข่าย (Network controls) ตัวควบคุม : ต้องบริหารและจัดการเครือข่าย กำหนด มาตรการเพือ่ ป้องกันภัยคุกคามต่างๆ ทางเครือข่าย และดูแลรักษาความมั่นคงปลอดภัยสำหรับระบบ และแอพพลิเคชันทีใ่ ช้งานเครือข่าย รวมทัง้ สารสนเทศ ต่างๆ ที่ส่งผ่านทางเครือข่าย A.10.6.2 ความมั่นคงปลอดภัยสำหรับบริการ เครือข่าย (Security of network services) ตัวควบคุม : ต้องกำหนดคุณสมบัตทิ างด้านความ มัน่ คงปลอดภัยระดับการให้บริการ และข้อกำหนด ในการบริหารจัดการสำหรับบริการเครือข่ายทัง้ หมด ทีอ่ งค์กรใช้บริการอยู่ และต้องกำหนดไว้ในข้อตกลง ในการให้บริการเครือข่าย โดยที่บริการเครือข่าย เหล่านีอ้ าจจะเป็นบริการเครือข่ายภายในขององค์กร เองหรือบริการที่ได้รับจากหน่วยงานภายนอก
A.10.7.3 ขั้นตอนปฏิบัติสำหรับการจัดการ สารสนเทศ (Information handling procedures) ตัวควบคุม : ต้องกำหนดขัน้ ตอนปฏิบตั สิ ำหรับการ จัดการและการจัดเก็บสารสนเทศ เพื่อป้องกันการ เข้ า ถึ ง โดยไม่ ไ ด้ รั บ อนุ ญ าตหรื อ การใช้ ง านผิ ด วัตถุประสงค์ A.10.7.4 การสร้างความมั่นคงปลอดภัย สำหรับเอกสารระบบ (Security of system documentation) ตัวควบคุม : ต้องกำหนดมาตรการป้องกันเอกสาร ระบบจากการเข้าถึงโดยไม่ได้รับอนุญาต
A.10.8 การแลกเปลีย่ นสารสนเทศ (Exchange of information)
วัตถุประสงค์ : เพือ่ รักษาความมัน่ คงปลอดภัยของ สารสนเทศและซอฟต์แวร์ที่มีการแลกเปลี่ยนกัน ภายในองค์กร และทีม่ กี ารแลกเปลีย่ นกับหน่วยงาน ภายนอก A.10.8.1 นโยบายและขั้นตอนปฏิบัติสำหรับ การแลกเปลี่ยนสารสนเทศ (Information exchange policies and procedures) ตัวควบคุม : ต้องกำหนดนโยบาย ขั้นตอนปฏิบัติ และมาตรการรองรับเพื่อป้องกันปัญหาของการ แลกเปลีย่ นสารสนเทศระหว่างองค์กร (เช่น องค์กร และหน่วยงานภายนอก) โดยผ่านทางช่องทางการ A.10.7 การจัดการสือ ่ ทีใ่ ช้ในการ สื่อสารทุกชนิด บันทึกข้อมูล (Media handling) วัตถุประสงค์ : เพื่อป้องกันการเปิดเผย การ A.10.8.2 ข้อตกลงในการแลกเปลี่ยน สารสนเทศ (Exchange agreements) เปลีย่ นแปลงแก้ไข การลบหรือการทำลายทรัพย์สนิ สารสนเทศโดยไม่ได้รบั อนุญาต และการติดขัดหรือ ตัวควบคุม : ต้องจัดทำข้อตกลงในการแลกเปลีย่ น สารสนเทศและซอฟต์ แ วร์ ร ะหว่ า งองค์ ก รอย่ า ง หยุดชะงักทางธุรกิจ เป็นลายลักษณ์อักษร A.10.7.1 การบริหารจัดการสื่อบันทึกข้อมูลที่ A.10.8.3 การส่งสื่อบันทึกข้อมูลออกไป สามารถเคลื่อนย้ายได้ นอกองค์กร (Physical media in transit) (Management of removable media) ตัวควบคุม : ต้องกำหนดขั้นตอนปฏิบัติสำหรับ ตัวควบคุม : ต้องป้องกันสือ่ บันทึกข้อมูล จากการ บริหารจัดการสือ่ บันทึกข้อมูลทีส่ ามารถเคลือ่ นย้าย เข้าถึงโดยไม่ได้รบั อนุญาต การใช้งานผิดวัตถุประสงค์ และการทำให้ข้อมูลเกิดความเสียหายในระหว่าง ได้ ที่ส่งข้อมูลนั้นออกไปนอกองค์กร A.10.7.2 การกำจัดสื่อบันทึกข้อมูล (Disposal of media) ตัวควบคุม : ต้องกำหนดขั้นตอนปฏิบัติ น่าเสียดายที่เรามีเนื้อที่ไม่พอ ไว้กลับมาต่อ
สำหรับการทำลายสื่อบันทึกข้อมูลที่ไม่มี เนื้อหาข้อ 10 กันในฉบับหน้า ในส่วนของ
ความจำเป็ น ต้ อ งใช้ ง านอี ก ต่ อ ไปแล้ ว Annex A ข้อที่ 10.8.4 - 10.10.6 พร้อมด้วย
การทำลายต้ อ งเป็ น ไปอย่ า งมั่นคงและ เนื้อหาข้อ 11 นะครับ ปลอดภัย Bay Computing Newsletter l 10th Issue
11
TECHNOLOGY UPDATE ถึงเวลาแล้วที่ระบบเครือข่ายแบบไร้สายจะกลายเป็นเครือข่ายหลักที่มาแทนที่เครือข่ายแบบใช้สายได้ อย่างแท้จริง เพื่อการใช้งานที่ยืดหยุ่นและเป็น Mobility ขนานแท้ โดย Xirrus Wi-Fi Array เป็น Access Point ที่ได้รับการออกแบบมาให้มีสถาปัตยกรรมที่แตกต่างจาก Access Point ทั่วไป ทำให้มีประสิทธิภาพการ ทำงานที่เหนือกว่า ทั้งในแง่ของกำลังส่งและ Bandwidth ทำให้สามารถรองรับการใช้งานของผู้ใช้จำนวนมากที่ ต้องการความเร็วสูงและความเสถียรของระบบ ได้เหมือนกับการใช้งานในเครือข่ายแบบใช้สาย
ทำความรู้จักกับ
Xirrus Wi-Fi Array
เทคโนโลยีแบบไร้สายที่ให้ประสิทธิภาพสูงขึ้น
12
Bay Computing Newsletter l 10th Issue
TECHNOLOGY UPDATE
สถาปัตยกรรมของ Xirrus Wi-Fi Array
สถาปัตยกรรมของ Xirrus Wi-Fi Array มีชดุ เสาอากาศแบบทิศทาง (Panel Antenna) รอบตัว เช่นเดียวกับการติดตั้งชุดเสาอากาศของเครือข่ายโทรศัพท์มือถือ (Cellular) ทำให้ Xirrus Wi-Fi Array สามารถกระจายสัญญาณได้แรงและไกลกว่า Access Point ทั่วไปที่ใช้ เสาอากาศแบบรอบทิศทาง (Omni Antenna) รวมถึงให้ประสิทธิภาพการทำงานที่ดีกว่า จากคุณสมบัติต่อไปนี้
Multiple radios : ใช้งานคลื่นวิทยุได้ในหลายความถี่ ทำให้มี Bandwidth มากกว่า และรองรับจำนวนผูใ้ ช้
ได้มากกว่า Directional antennas : เสาอากาศแบบทิศทาง ทำให้รบั -ส่งสัญญาณ ได้ชดั เจนขึน้ และครอบคลุมพืน้ ทีไ่ ด้เพิม่ ขึน้ Sectored RF patterns : สามารถแบ่งชุดคลื่นความถี่ได้ จึงจัดการ คลื่นความถี่ได้ดีขึ้นและทำโหลดบาลานซิ่ง ได้ Fewer devices : ใช้จำนวนอุปกรณ์น้อยกว่า ทำให้ประหยัด ค่าใช้จ่ายทั้งต้นทุนอุปกรณ์ ค่าติดตั้ง และ ค่าบริหารจัดการ
Xirrus Wi-Fi Array ยังได้รวมคุณสมบัติของเสาอากาศแบบ Sectored array antennas และ Network Switching ไว้ในอุปกรณ์เดียว ทำให้ Xirrus Wi-Fi Array กลายเป็น Wireless Switch ที่มาพร้อมความสามารถที่เป็นที่สุดในด้านต่างๆ ดังนี้
Distributed to the edge : ทีส่ ดุ แห่งการขยายโครงข่าย ทีว่ างแผนด้าน การใช้ ง านสวิ ต ช์ ไ ด้ อ ย่ า งมี ป ระสิ ท ธิ ภ าพ มากกว่า Intelligence at the edge : ที่สุดแห่งความฉลาด ที่สามารถทำ VLAN-
tagging และ QoS ได้อย่างมีประสิทธิภาพ มากกว่า Security at the edge : ทีส่ ดุ แห่งความปลอดภัย ทำให้ปกป้องข้อมูล ทั้งหมดในเครือข่ายได้ดีขึ้น More Bandwidth : Bandwidth ทีม่ ากกว่า ทำให้เพิม่ การใช้งาน ได้มากขึน้ รวมทัง้ ให้ประสิทธิภาพเครือข่าย ที่ดีขึ้น Bay Computing Newsletter l 10th Issue
13
TECHNOLOGY UPDATE
Wi-Fi Array ของ Xirrus สามารถทดแทน ทั้งระบบไว-ไฟในแบบเดิม (Overlay Wi-Fi) และอี เ ธอร์ เ น็ ต สวิ ต ช์ ส ำหรั บ เ ค รื่ อ ง คอมพิวเตอร์ตงั้ โต๊ะ โดย Xirrus Wi-Fi Array นั้น สามารถใช้งานได้ดีทั้งในบริเวณอาคาร สำนักงาน, ห้องทำงานขนาดเล็กทีม่ ฉี ากกัน้ (cubicles), ห้องสัมมนา, หอประชุม, แคมปัส, คลังสินค้า, ผูใ้ ช้ทอี่ ยูห่ า่ งไกลออกไป, ระบบ ฉุกเฉินต่างๆ และอื่นๆ อุปกรณ์ Wi-Fi Array นัน้ รวมเสาสัญญาณ 802.11abg+n ไว้ 4, 8, 12, 16 หรือ 24 ช่องสัญญาณเรดิโอไว้ภายในอุปกรณ์เดียว
เพื่ อ ระบบเสาอากาศแบบทิ ศ ทางที่ ใ ห้
ประสิทธิภาพในระดับสูง อีกทัง้ ยังรวมความ สามารถของสวิตช์มัลติกิกะบิต, ตัวควบคุม สัญญาณ Wi-Fi, ไฟร์วอลล์, ตัวตรวจจับ การโจมตีผ่านทาง Wi-Fi และตัววิเคราะห์ สัญญาณไว้ในตัวแบบ Onboard อีกด้วย ซึ่ง Wi-Fi Array นี้ให้ Bandwidth, ความ ปลอดภัย และความสามารถในการควบคุม ไว้อย่างเหลือเฟือ เพือ่ นำเอามาใช้เป็นระบบ เชือ่ มต่อหลักแทนอุปกรณ์สวิตช์ในเครือข่าย อีเธอร์เน็ตสำหรับเครือ่ งคอมพิวเตอร์ตงั้ โต๊ะ โดย Xirrus Wi-Fi Array ให้พนื้ ทีค่ รอบคลุม, Bandwidth, ปริมาณการส่งข้อมูลได้สูงสุด (Throughput) และสามารถรองรับจำนวน ผูใ้ ช้ตอ่ อุปกรณ์หนึง่ ชิน้ หรือต่อหนึง่ ระบบได้
มากกว่าอุปกรณ์ใดๆ ทีม่ ใี นท้องตลาด ขณะนี้ ผลลัพธ์กค็ อื โซลูชนั นีใ้ ช้อปุ กรณ์, สายเคเบิล, พอร์ตของสวิตช์, พลังงาน, พื้นที่ และเวลา ในการติดตั้ง น้อยลงถึง 75% เมื่อเทียบกับ อุปกรณ์แบบอื่นๆ กลุ่มผลิตภัณฑ์ของ Xirrus ประกอบไปด้วย : Wi-Fi Array ที่มีให้เลือกทั้งแบบ 4, 8,
12, 16 หรือ 24 ช่องสัญญาณเรดิโอบน
มาตรฐาน 802.11abg+n ระบบบริหารจัดการจากส่วนกลาง (Central
management system) โปรแกรมบริหารและจัดการคลื่นความถี่
(RF planning and management tools) ระบบตรวจจับและระบบป้องกันการบุกรุก
(Intrusion Detection & Prevention
Systems) สามารถใช้งานได้ทงั้ ไฟฟ้ากระแสสลับ (AC)
และไฟฟ้าจากสายอีเธอร์เน็ต (Power over
Gigabit Ethernet) อุปกรณ์เสริมสำหรับติดตั้งและจัดเก็บให้
เรียบร้อย (Enclosures and mounting
options)
Wi-Fi Array
Management System
Enclosures
Xirrus Wi-Fi Array ให้ระยะสัญญาณมาก ขึ้น 2 เท่า, ครอบคลุมพื้นที่มากขึ้น 4 เท่า, Bandwidth มากขึน้ 8 เท่า และส่งข้อมูลได้ ปริมาณสูงสุด (Throughput per cable drop) มากกว่าถึง 14 เท่า นอกจากนี้ยังใช้ จำนวนอุปกรณ์ สายเคเบิล และพอร์ตของ สวิตช์น้อยกว่าระบบอื่นถึง 75% รวมทั้งยัง ใช้เวลาสำหรับการติดตั้งน้อยกว่าอีกด้วย
Xirrus Management System (XMS) มอบ ความสามารถในการจัดการการตัง้ ค่าต่างๆ จากส่วนกลาง, การควบคุมความปลอดภัย (IDS/IPS), การตรวจตราประสิทธิภาพ และ การรายงานการทำงานของอุปกรณ์ Array นับร้อยใน Layer 3 network ไว้ให้ทั้งหมด
Xirrus ได้เตรียมอุปกรณ์เสริมสำหรับติดตั้ง และจั ด เก็ บ ให้ ส วยงามไว้ ใ ห้ ทั้ ง แบบที่ ใ ช้ สำหรับภายในและภายนอกอาคาร ทั้งนี้ก็ เพือ่ ความยืดหยุน่ ในการวางระบบ Wi-Fi ใน สถานทีต่ า่ งๆ รวมถึงการช่วยป้องกันอุปกรณ์ ในเครือข่ายที่มีความสำคัญสูงต่อองค์กร อีกด้วย
14
Bay Computing Newsletter l 10th Issue
ER
GEN
ON
T SE
M
RES
P
CY
EM
กลุ่มผลิตภัณฑ์ของ Xirrus EA
TECHNOLOGY UPDATE
แพลตฟอร์ม Xirrus Wi-Fi Array ล้ำหน้าด้วย Wi-Fi ประสิทธิภาพสูง
เมื่อเปรียบเทียบประสิทธิภาพการใช้งานของ Xirrus Wi-Fi Array กับอุปกรณ์ยี่ห้ออื่น จะพบว่า ในลักษณะการวางผังอาคารเดียวกัน จำนวน Access Point ที่ใช้เพื่อให้ สัญญาณไว-ไฟครอบคลุมพื้นที่ทั้งหมด Xirrus จะใช้จำนวนอุปกรณ์น้อยกว่ามาก
######## ######## ######## ########
############## ############## ############## ##############
######### ######### ######### #########
################ ################ ################ ################
############## ############## ############## ##############
################# ################# #################
############## ############## ############## ##############
######### ######### ######### #########
########### ########### ########### ###########
########### ########### ########### ###########
############## ############## ############## ##############
################# ################# #################
######## ######## ######## ########
################ ################ ################ ################
Rapid Deployment Wi-Fi Kit Xirrus Rapid Deployment Wi-Fi Kit เป็น ชุ ด กระเป๋ า และเสาสำหรั บ การใช้ ง านใน ภาคสนาม ที่สามารถเพิ่มความสะดวกใน การติดตั้ง Wi-Fi ประสิทธิภาพสูงได้อย่าง รวดเร็ว โดยให้บริการได้ครอบคลุมพื้นที่ใน บริเวณกว้างและรองรับผู้ใช้งานได้มากถึง 100 คนด้วยอุปกรณ์เพียงชุดเดียว นับเป็น โซลูชันที่เหมาะสำหรับงานที่ต้องการความ คล่องตัวสูงในการใช้งานเครือข่าย Wi-Fi อาทิ การจัดประชุม/สัมมนานอกสถานที่ การจัด งานแสดงสินค้า/นิทรรศการ และการตัง้ ศูนย์ บัญชาการหรือศูนย์รบั เรือ่ งร้องทุกข์ กรณีเกิด พิบัติภัย เป็นต้น
Bay Computing Newsletter l 10th Issue
15
SECURITY SOLUTION
Disaster Recovery Site Solution โดย ศิวาพร คมสัน, Solution Consultant, Bay Computing Co., Ltd.
ศูนย์ขอ้ มูลสำรอง หรือ DR Site คือ ระบบคอมพิวเตอร์ฉุกเฉิน ซึ่ง เตรียมไว้เพื่อรองรับความเสี่ยงจากการเกิด ภัยพิบตั ทิ างธรรมชาติหรือมนุษย์ อาทิ อัคคีภยั แผ่นดินไหว อุทกภัย วาตภัย แผ่นดินถล่ม การขโมยข้อมูล ขู่วางระเบิด วางเพลิง มี ปัญหาทางฮาร์ดแวร์หรือซอฟต์แวร์ ปัญหา การเชื่อมต่อเครือข่าย ซึ่งเป็นสาเหตุทำให้ ระบบในศูนย์คอมพิวเตอร์ขององค์กรใช้งาน ไม่ได้บางส่วนหรือทั้งหมด ซึ่งหากมี DR Site องค์กรจะยังคงสามารถดำเนินการต่อ ไปได้ด้วยข้อมูลที่ได้สำรองเอาไว้ที่ไซต์ ซึ่ง หากจะมองในมุ ม มองของผู้ บ ริ ห ารแล้ ว
ภัยพิบตั ติ า่ งๆ ไม่ได้กอ่ ให้เกิดความเสียหาย ต่ อ อุ ป กรณ์ ห รื อ ระบบภายในศู น ย์ ข้ อ มู ล เท่านั้น แต่สิ่งที่เสียหายมากกว่าคือความ ต่อเนื่องของธุรกิจ (Business Continuity) บางครั้ ง อาจจะตี ค่ า เป็ น เงิ น ตราไม่ ไ ด้ เพราะมันอาจจะหมายถึงการเสียชื่อเสียง และความน่าเชื่อถือด้วยเช่นกัน
การเริ่มทำ DR Site สิ่งแรกที่ต้องคำนึงถึง ก่อนก็คอื BCP (Business Continuity Plan) แผนดำเนินธุรกิจต่อเนือ่ ง ซึง่ ทีมผูบ้ ริหารจะ ต้องวิเคราะห์ว่า มูลค่าของหน่วยธุรกิจใดมี ความสำคัญทีส่ ดุ และยอมรับความเสียหาย หรือยอมให้ระบบหยุดทำงานได้นานเท่าไร
ทำไมถึงต้องทำ Disaster Recovery
ป้องกันการเสียหายต่อทางธุกิจ (Business Requirement) ป้องกันการเสียหายของฮาร์ดแวร์ (Hardware Failure Protection) ป้องกันการเสียหายของซอฟต์แวร์ (Protection from Application Failure) ป้องกันการผิดพลาดของผู้ใช้ (Protection from user error) SLA (Specific Service-level agreements with the users/customers) กฎหมายต่างๆ ที่เกี่ยวข้อง (Legal Requirement)
Productivity number of employees impacted x hours out Financial performance revenue recognition cash flow lost discounts (a/p) payment guarantees credit rating stock price
16
Revenue direct loss compensatory payments lost future revenues billing losses investment losses
Damaged reputation customers suppliers financial markets banks business partners
Other expenses
Bay Computing Newsletter l 10th Issue
Facilities & Infrastructure
Operational BC/ Process & BC/DR Plan DR Procedure
Component in DRs
การทำ Disaster Recovery ต้องครอบคลุม ทัง้ ฮาร์ดแวร์ ซอฟต์แวร์ การใช้งานทรัพยากร อื่นๆ ของคอมพิวเตอร์ รวมไปถึงสิ่งที่เป็น โครงสร้างพื้นฐานของระบบสารสนเทศ ทั้ง เครือข่ายคอมพิวเตอร์ เครื่องที่ใช้งานของ
ผูใ้ ช้ การเชือ่ มต่ออินเทอร์เน็ต ระบบโทรศัพท์ และอื่นๆ Servers Replications Software Leased Line Backup Drive/Software Data Center Services/Facilities Internet Access Engineers Locations
Types of backup sites
การที่ระบบหยุดทำงานไปบางส่วนหรือทั้ง ระบบ และกินระยะเวลานาน ซึง่ อาจต้องใช้ OPERATION PROCESSING FACILITY สำรอง แทนระบบจริงทีย่ งั ไม่สามารถใช้งาน ได้ ซึง่ เรามักเรียกว่า “OFFSITE BACKUP” ได้แก่ HOT SITE, WARM SITE และ COLD SITE ทั้งนี้ การเลือกใช้กับแต่ละ องค์กรนั้น ขึ้นกับงบประมาณและลักษณะ ธุรกิจว่าจะเลือกใช้วิธีไหน
SECURITY SOLUTION Hot Backup Sites เป็นไซต์ที่มีอุปกรณ์
และซอฟต์แวร์เหมือนไซต์หลัก มีความพร้อม ใช้งาน ทำให้เวลาในการกูค้ นื ระบบน้อย แต่ จะมีต้นทุนการจัดทำที่สูง Advantage It allowed immediate IT resolution during disaster No data lost at all during disaster The best business practice for mission critical operation Disadvantage The most expensive solutions both site maintenance hw/sw Required During Virus attack or file corrupted, both get effected a very high bandwidth for data Require replication Warm Backup Sites เป็นไซต์ทคี่ ล้ายกับ Hot site แต่อาจจะมีอุปกรณ์ไม่ครบ ทำให้ ความพร้อมใช้งานต่ำกว่า Hot site ใช้ระยะ เวลาในการกูค้ นื มากกว่า แต่ตน้ ทุนราคาการ จัดทำน้อยกว่า Hot site Advantage Slightly cheaper compare to Hot Site Able to protect data during Virus attack orDoesFilenotcorrupted require dedicated fibre/high bandwidth for data replication Operation can be recover within few hours Disadvantage One day data missing during disaster Still consider as an expensive solution Cold Backup Sites จะเป็นไซต์ที่มีแต่ สถานที่ ไม่มอี ปุ กรณ์ฮาร์ดแวร์และซอฟต์แวร์ ในการกู้คืน มีต้นทุนการจัดทำต่ำ แต่ระยะ เวลาในการกู้คืนนาน
Advantage
The cheapest solution Less maintenance for sw/hw Does not require any link to primary site Does not have any impact if primary site
servers infected by Virus
Disadvantage
Take a long time to recover the operation Data lost duration is longer
Operations Discontinued
Costs
Total Downtime
Minimum Alternative Recovery Strategies
Time
Disaster Recovery Planning
กราฟเปรียบเทียบค่าใช้จา่ ยกับระยะเวลาทีร่ ะบบ หยุดทำงาน เมือ่ เลือกใช้ Backup Site แบบต่างๆ
ต้องดูแลให้ธรุ กิจสามารถทำงานได้อย่าง ต่อเนื่องตลอดเวลา ต้องสามารถป้องกันข้อมูลทีม่ คี วามสำคัญ สุดยอดได้ เมื่อมีเหตุการณ์เกิดขึ้น ต้องมีผลกระทบ น้อยที่สุด จะต้องใช้ทรัพยากรของบริษัทที่มีอยู่ให้มี ประสิทธิภาพมากที่สุด
คือการวางแผนสิ่งที่จะต้องกระทำก่อน ใน ระหว่าง หรือหลังจากทีค่ วามหายนะเกิดขึน้ Disaster Recovery Planning (DRP) จะเป็น ตัวกำหนดถึงความสำคัญต่างๆ ของแผนงาน ทีส่ ามารถรองรับกับเหตุการณ์ใดๆ ทีอ่ าจจะ เกิดขึ้นได้ หรือนำมาซึ่งความเสียหายของ ข้อมูล ในการวางแผน BCP ต้องแน่ใจว่า องค์กรสามารถตอบสนองซึ่งสิ่งต่างๆ ดังนี้
Business Continuity Planning
IT Disaster Recovery Planning
Analysis Senior Management
Implement
Business Lines Application Availability
Business Continuity Planning Lifecycle
Test & Accept
Data Confidentiality and Integrity Telecommunications and Network
Solution Design
Maintenance
Property Management
External and Internal Risks
มาตรฐานสากลทางด้านความปลอดภัย ระบบเทคโนโลยีสารสนเทศที่นำมาใช้เป็นแนวทางปฏิบัติ International
Organization for Standardization
ISO/IEC 27001:2005 (formerly BS 7799-2:2002) Information Security Management System ISO/IEC 27002:2005 (remunerated ISO17999:2005) Information Security Management - Code of Practice ISO/IEC 22399:2007 Guideline for incident preparedness and operational continuity management ISO/IEC 24762:2008 Guidelines for information and communications technology disaster recovery services IWA 5:2006 Emergency Preparedness—British Standards Institution -- BS 25999-1:2006 Business Continuity Management Part 1: Code of practice BS 25999-2:2007 Business Continuity Management Part 2: Specification BS 25777:2008 Information and communications technology continuity management Bay Computing Newsletter l 10th Issue
17
DATA CENTER KNOW-HOW
ระบบทำความเย็นและตู้แร็กเซิร์ฟเวอร์ ที่ตอบโจทย์ของความต้องการของ ศูนย์วิศวกรรมองค์กรของไมโครซอฟท์
โดย Rittal Ltd.
เมื่อเดือนตุลาคม 2009 ที่ผ่านมา Rittal ได้ประกาศความสัมพันธ์เชิง
กลยุทธ์กับศูนย์วิศวกรรมองค์กรของทาง ไมโครซอฟท์ (Enterprise Engineering Center; EEC) ทีต่ งั้ อยูบ่ ริเวณศูนย์กลางของ บริษัทในเรดมอนด์ รัฐวอชิงตัน ในส่วนของ ฝ่ายเซิร์ฟเวอร์และทูลส์ EEC Data Center เทียบได้กบั ศูนย์ขอ้ มูลในระดับ Stage-of-art ทีม่ รี ะบบโครงสร้างพืน้ ฐานประกอบด้วย เซิรฟ์ เวอร์กว่า 700 เครือ่ ง รวมถึงระบบสตอเรจกว่า 2 เพตะไบต์ ทีถ่ กู เชือ่ มโยงด้วย switching fabric มากกว่า 20 เทราไบต์ ทั้งนี้ยังเป็นห้องทดลองที่สำคัญที่มี การจัดเตรียมระบบสำหรับให้ลูกค้าขนาดใหญ่ของไมโครซอฟท์ เข้ามาร่วมใช้เพือ่ ทดสอบการนำมาใช้ (deployments) และอัพเกรด ผลิตภัณฑ์ซอฟต์แวร์สำหรับองค์กรของไมโครซอฟท์ได้ เมือ่ EEC มีโครงการขยายงานด้านต่างๆ ขึน้ อีก จึงหมายความได้วา่ สิง่ อำนวยความสะดวกต่างๆ จะต้องถูกออกแบบเพือ่ รองรับจำนวน อุปกรณ์และพลังงานที่มากขึ้นได้อย่างเพียงพอ ซึ่งรวมไปถึง TS
8 server rack enclosures และชุดระบบทำความเย็น LCP+ (Liquid Cooling Package) ของ Rittal ซึง่ ตามแนวทางของ John Cressey แห่ง Microsoft EEC ระบบทำความเย็น LCP+ ของ Rittal ต้อง
จัดเตรียม 2 คุณสมบัติที่สอดคล้องกับกลยุทธ์ทางธุรกิจของ EEC Data Center ดังนี้ ระบบทำความเย็นที่ถูกรวมเข้าไปในระบบของตู้แร็ก (Rack 1 Enclosure) จะต้องสามารถบอกและติดตามการทำความเย็น ได้ดี ในกรณีทกี่ ารทดสอบและพัฒนาระบบมีการใช้พลังงานมากขึน้ เพื่อรองรับการแก้ปัญหาอย่างมีประสิทธิภาพในอนาคต
สถาปั ต ยกรรมในศู น ย์ ข้ อ มู ล นี้ จ ะ ต้องเตรียมการให้ระบบทำความเย็น ในศูนย์ข้อมูลมีการทำงานที่ยืดหยุ่นและ เคลื่อนย้ายได้มากกว่าระบบทำความเย็น แบบเดิมจากศูนย์กลาง โดยจะต้องสามารถ กำหนดตำแหน่งใหม่ในการย้ายไปยังสถานที่ อื่นได้ ถ้าแนวทางธุรกิจนั้นมีความต้องการ
เกิดขึ้น
2
TS 8 rack enclosures และ LCP+ ของ Rittal เป็นแนวทางที่ดี สำหรับศูนย์ขอ้ มูลยุคใหม่ทมี่ คี วามหนาแน่นมาก ซึง่ กำลังดิน้ รนเพือ่ สร้างสมดุลในการปฏิบัติงาน ให้มีประสิทธิภาพและไม่ละทิ้งการ ออกแบบที่เป็นมิตรกับสิ่งแวดล้อม โดย modular TS 8 สามารถ รับโหลดน้ำหนักได้ถึง 3,200 ปอนด์ และระบบ Liquid Cooling Packages สามารถลดการใช้พลังงานได้มากถึง 35-40 เปอร์เซ็นต์ เพราะระบบทั้งสองข้างต้นเป็นส่วนหนึ่งในระบบโครงสร้างพื้นฐาน ของศูนย์ขอ้ มูล RimatriX5 (รวมถึงการจัดการพลังงาน ระบบรักษา ความปลอดภัย และระบบเฝ้าระวัง) ทีส่ ามารถปรับขนาดได้โดยง่าย เพือ่ ให้เหมาะกับโครงสร้างใหม่ หรือการปรับปรุงเพือ่ ให้ระบบต่างๆ ในศูนย์ข้อมูลสามารถทำงานได้ดียิ่งขึ้น
ที่มา http://en.rittal.de/Microsoft_EEC_en.html
18
Bay Computing Newsletter l 10th Issue