การจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพ (Information Security Management Framework - ISMF)
by A.Pinya Hom-anek, GCFW, CISSP, CISA
ACIS Professional Team
E-mail:
ทุกวันนี้ความเสี่ยง (Risk) ของระบบข้อมูลคอมพิวเตอร์มีเพิ่มมากขึ้นทุกวัน เนื่องจากระบบที่เราใช้อยู่ไม่ว่าจะเป็นค่าย Microsoft หรือค่าย Unix ตลอดจนระบบ Open Source ที่ใช้ Linux เป็นหลัก ล้วนมีช่องโหว่ (Vulnerability) ด้วยกันทั้งสิ้น ช่องโหว่เหล่านี้เกิดขึ้นทุกวัน โดยเฉลี่ยแต่ละเดือนมีมากกว่า 10 ช่องโหว่ขึ้นไป (ข้อมูลเพิ่มเติมดูที่ http://www.securityfocus.com และ http://www.cert.org) จนต้องมีหน่วยงานกลาง ทำหน้าที่รวบรวมช่องโหว่ต่างๆ ไว้เพื่ออ้างอิงอย่างเป็นทางการ ที่ website http://cve.mitre.org

ข้อมูลช่องโหว่ที่ถูกค้นพบของระบบปฏิบัติการต่างๆ จะถูกรวบรวมและให้ชื่อว่า CVE ย่อมาจาก (Common Vulnerabilities and Exposures) ถ้าเราเข้าไปดูจะพบว่าช่องโหว่ เกิดขึ้นอย่างต่อเนื่องโดยเฉพาะช่องโหว่ Buffer Overflow ซึ่งเป็นที่มาของ Virus ต่างๆ ตั้งแต่ CodeRed, Nimda, จนถึง Blaster และ Nachi Worm ซึ่งกำลังทำให้หลายองค์กรในประเทศไทยมีปัญหาอยู่ในเวลานี้ เนื่องจากเจ้า Nachi Worm อาศัยช่องโหว่ของระบบปฏิบัติการตระกูล Windows ตั้งแต่ NT,2000,XP จนถึง 2003 ทำการเข้ายึดครองเครื่องตระกูล Windows ที่มีช่องโหว่แต่ไม่ได้รับการแก้ไขที่ถูกต้อง ในทางเทคนิคเราเรียกว่า ยังไม่ได้ Patch ซึ่งเครื่อง Windows ในองค์กรนั้นมีใช้อยู่มากมาย บางองค์กรมีมากกว่าหนึ่งพันเครื่อง การเข้าไป Patch ระบบ Windows ทุกตัว ในทางปฏิบัติจึงทำได้ยากมาก (วิธีการแก้ปัญหา Blaster/Nachi Worm) ให้ได้ผลนั้นติดตามอ่านได้ใน eWeek นะครับ)

ข้อมูลเิพิ่มเติมของ Nachi Worm อ่านได้จาก http://thaicert.nectec.or.th/advisory/alert/nachi.php

จากข้อมูลข้างต้น เราพบว่าการที่จะให้บุคลากรในองค์กรจัดการกับปัญหาเรื่องระบบความปลอดภัยข้อมูลนั้นไม่ใช่เรื่องง่าย ต้องอาศัยความรู้ทางด้านเทคนิคขั้นสูงจากผู้เชี่ยวชาญด้าน Information Security โดยตรง การติดตั้ง Firewall และ IDS (Intrusion Detection System) นั้นเป็นแต่เพียงการผ่อนหนักให้เป็นเบา แต่ไม่สามารถป้องกันความเสี่ยงให้กับระบบของเราได้ทั้งหมด ยังไงก็ต้องอาศัย "คน" ที่มีความเชี่ยวชาญมาดูแลระบบของเราอยู่ดี ดังนั้น กระแสการจัดจ้างบริษัทมาดูแลระบบที่เรานิยมเรียกว่า IT Outsourcing จึงค่อนข้างมาแรงในช่วง 2-3 ปีให้หลัง และมีแนวโน้มที่จะเพิ่มขึ้นอย่างต่อเนื่อง โดยเฉพาะการ Outsourcing Managed Security Services (MSS) ดูเหมือนจะเป็นทางออกที่ดีสำหรับผู้บริหารที่ต้องการโอนความเสี่ยง (Transfer Risk) ทางด้านการจัดการ Information Security ไปให้กับผู้ให้บริการรับดูแลที่เรียกว่า Managed Security Service Provider (MSSP) อย่างไรก็ตาม การเลือก MSSP นั้นก็เป็นเรื่องสำคัญที่ต้องนำมาคิดเช่นเดียวกัน และก่อนที่เราจะเลือก MSSP มาให้บริการนั้น เราควรทำการตรวจสอบระบบของเราเองเสียก่อนว่าพร้อมที่จะให้ MSSP มาดูแลหรือไม่

การวิเคราะห์ (Analyze) และ ตรวจสอบ (Audit) ระบบ ถือเป็นการประเมินความเสี่ยง (Risk Assessment) ให้กับระบบของเรา เพื่อดูว่าระบบของเรานั้นมีความแข็งแกร่งต่อการโจมตีของ Hacker เพียงใด และระบบได้รับการติดตั้งอย่างถูกต้องหรือไม่ ซึ่งการทำ Risk Assessment นั้นถือเป็นขั้นตอนที่ 1 ที่เราควรทำเป็นการเริ่มต้นของ Information Security Management Framework (ISMF) ซึ่งมีทั้งหมด 7 ขั้นตอน โดยมีรายละเอียดดังนี้



ขั้นตอนที่ 1 Risk Management / Vulnerability Assessment / Penetration Testing

การวิเคราะห์และประเมินความเสี่ยงของระบบ IT ที่เราใช้งานอยู่ (Risk Assessment and Risk Analysis) ถือเป็นขั้นตอนแรกที่ต้องปฏิบัติ เริ่มจากการทำ Inventory ของระบบ, การทำ Revised Network Diagram ทั้ง Logical และ Physical Diagram ตลอดจนดูขั้นตอนในการปฏิบัติงานของพนักงาน และช่องทางเข้าออกระบบทั้งด้านกายภาพและทางเครือข่าย LAN และ WAN ที่เชื่อมต่อกับระบบ Internet ในบริเวณที่เรียกว่า Perimeter Network ขั้นตอนนี้จะมีการทดสอบเจาะระบบดูช่องโหว่ว่าระบบเรามีช่องโหว่ให้ผู้บุกรุกเข้ามาโจมตี หรือไม่ เราเรียกขั้นตอนนี้ว่า "Vulnerability Assessment" จากนั้น เราควรลองเจาะระบบเพื่อนำเอาข้อมูลหรือ username/password ของระบบออกมาเพื่อดูความแข็งแกร่งในการป้องกันตนเองของระบบด้วย ขั้นตอนนี้เราเรียกว่า "Penetration Testing" จากนั้นเราจะได้รายงานสรุป (Risk Assessment Summary Report) ที่ทำให้เรารู้ถึงจุดอ่อนของระบบเรา ตลอดจนวิธีการที่จะทำให้ระบบของเราปลอดภัยต่อไป

ขั้นตอนที่ 2 Critical Hardening/Patching/Fixing

หลังจากที่เราได้ประเมินความเสี่ยงในขั้นตอนที่หนึ่งไปแล้วนั้น เราพบว่ามีช่องโหว่ที่จัดอยู่ในระบบ Critical คือ สามารถก่อความเสียหายให้กับองค์กร เราจึงต้องควรทำการปิดช่องโหว่เหล่านั้น โดยการ Hardening ระบบของเรา หมายถึงการปิด Port ต่างๆ ที่ไม่จำเป็นต้องใช้, การติดตั้ง Firewall เพิ่มเติม หรือ การแก้ไข Rules ที่ Firewall ให้ถูกต้องตลอดจนการติดตั้ง Patch หรือ Hotfix เพื่อแก้ปัญหาช่องโหว่ต่างๆ ที่เราสามารถ download patch ได้จาก Web site ของผู้ผลิต การติดตั้ง Patch นั้นควรมีกรรมวิธีในการจัดการ เราไม่อาจติดตั้ง Patch ทั้งหมดได้ เนื่องจาก Patch มีจำนวนมาก ตลอกจน Workstation และ Server ที่เราใช้งานอยู่ก็มีจำนวนมาก อาจเกิดผลกระทบจากการติดตั้ง Patch เราควรปฏิบัติตามคำแนะนำของผู้เชี่ยวชาญ หรือใช้ Tools ในการช่วยติดตั้ง Patch จะทำให้เราของเราง่ายขึ้นมาก

ขั้นตอนที่ 3 Practical Security Policy

ขณะที่เราจัดการกับระบบในขั้นตอนที่ 2 ซึ่งต้องใช้เวลาพอสมควร เราสามารถทำงานขนานกับขั้นตอนที่ 2 ได้ โดยการจัดทำ Practical Information Security Policy ให้กับองค์กรของเรา โดยนำหลักการนโยบายด้าน INFOSEC มาจากหลายๆ หน่วยงาน เช่น ISO17799, CBK (Common Body of Knowledge) ของ ISC2 ตลอดจน CobiT ของ ISACA และ SANS/FBI Top 20 ของสถาบัน SANS ร่วมกับ FBI มาใช้ในการทำ "Practical Security Policy" หมายถึง การนำมาประยุกต์ใช้ให้ตรงกับความต้องการขององค์กร ซึ่ง Policy ต้องมีการปรับแต่ง แก้ไขให้เหมาะสมกับองค์กรด้วย

ขั้นตอนที่ 4 Defense In-Depth / Best Practices Implementation

คำว่า "Defense In-Depth" หมายถึง การจัดการกับระบบความปลอดภัยข้อมูลขององค์กรอย่างละเอียดรอบคอบ โดยพิจารณาตั้งแต่ Border Router ที่ต่อเชื่อม Internet จาก ISP ผ่านมาที่ Firewall หลักขององค์กร ตลอดจนการติดตั้ง IDS หรือ IPS (Intrusion Prevention System) และ การจัดการภายใน LAN ของระบบ การแก้ไขปัญหาภายใน LAN ที่อุปกรณ์เครือข่าย เช่น Core Switching/Core Router ตลอดจน Server ต่างๆ ที่อยู่ใน LAN ซึ่งถือว่าเป็นภายในแต่ยังไม่ปลอดภัยจาก Virus ต่างๆ ในเวลานี้ที่จะโจมตีเครือข่าย LAN ภายในมากขึ้น

เราจึงต้องมีการนำ "Best Practices" ซึ่งเป็นสูตรสำเร็จในการจัดการกับอุปกรณ์เครือข่าย ตลอดจน Workstation และ Server ที่เราใช้งานอยู่ทั้งใน DMZ และบริเวณ LAN ภายใน ขั้นตอนนี้จะใช้เวลานานกว่าเมื่อเทียบกับขั้นตอนที่ 1 และ 2

ขั้นตอนที่ 5 Security Awareness/Technical/Know-how Transfer Training

ขั้นตอนนี้เป็นขั้นตอนที่หลายๆ คนมองข้าม และ ไม่ค่อยให้ความสนใจ แต่ในทางปฏิบัตินั้น ถือเป็นเรื่องสำคัญที่ต้องทำ และกระทำอย่างต่อเนื่องทุกปีในองค์กร ได้แก่การจัดฝึกอบรมให้บุคลากรในองค์กรมีความเข้าใจที่ถูกต้องกับปัญหาเรื่องความปลอดภัยข้อมูลคอมพิวเตอร์ การฝึกอบรมควรเริ่มจาก กลุ่มผู้บริหารระดับสูง และ กลุ่มผู้บริหารระดับกลางก่อน แล้วตามด้วย กลุ่มผู้ดูแลระบบ และ กลุ่มผู้รับผิดชอบเรื่อง Information Security โดยตรง, กลุ่ม Internal Audit ตลอดจน กลุ่มผู้ใช้คอมพิวเตอร์ทั่วไป เพื่อจะได้ไม่หลงเป็นเหยื่อพวก Virus, AdWare/Spyware และ Trojan ต่างๆ ที่มักจะมากับ e-Mail Attachment และ จากการเข้าชม Web Site ที่ไม่เหมาะสม

ขั้นตอนที่ 6 Internal/External Audit

หลังจากที่เราได้ปฏิบัติตามขั้นตอนที่ 1 จนถึง ขั้นตอนที่ 5 แล้ว เราควรทำการ Audit ระบบอีกครั้งหนึ่งว่า ผลจากการ Assessment ในขั้นตอนที่ 1 เปรียบเทียบกับผลการ Re-Assessment ระบบในขั้นตอนที่ 6 นั้นมีความแตกต่างกันอย่างไร ซึ่งผลที่ได้ ช่องโหว่ควรจะลดลงอยู่ในระดับที่เราพอใจและเชื่อใจระบบได้ เราสามารถตรวจสอบโดยทีม Internal Audit ขององค์กรเราเอง หรือ ใช้บริการ External Audit Service ที่มีความเชี่ยวชาญด้าน Information Security มาตรวจสอบให้เราก็ได้เช่นกัน

ขั้นตอนที่ 7 Managed Security Services (MSS) / Real time Monitoring using IDS/IPS

จากที่กล่าวมาแล้วในตอนต้น หลังจาก ขั้นตอนที่ 1 และ 6 เรียบร้อยแล้ว เนื่องจากระบบนั้นสามารถเกิดช่องโหว่ใหม่ๆ ได้ตลอดเวลา เราจึงควร Outsourcing การดูแลปัญหาด้านระบบความปลอดภัยข้อมูลคอมพิวเตอร์ให้กับ Managed Security Services Provider (MSSP) ดังนั้น ขั้นตอนที่จำเป็นคือ วิธีการที่จะคัดเลือก MSSP ที่เหมาะสมมาดูแลระบบให้เรา และพิจารณา Services Level Agreement (SLA) ว่าจะให้ดูแลในระดับใดเช่น 5x8 หรือ 24x7 เป็นต้น การดูแลระบบนั้นควรมีการดูแลในลักษณะ Real time Monitoring 24x7 อย่างต่อเนื่อง และ ต้องใช้บุคลากรที่มีความชำนาญผลัดเปลี่ยนกันดูแลตลอด 24 ชั่วโมง เพื่อจะได้สามารถเตือนองค์กรเราได้อย่างทันท่วงทีในกรณีที่เกิดปัญหาและช่องโหว่ใหม่ๆ และ เพื่อไม่ไห้มีผลกระทบในระยะสั้นกับองค์กรของเรา ตลอดจนให้ MSSP รับผิดชอบปัญหาเรื่อง Hacker และ Virus ไปด้วย จะทำให้องค์กรมีความคล่องตัวในการบริหารงานด้าน IT Security มากขึ้น

ใน eLeader ฉบับต่อไป ผมจะกล่าวถึงขั้นตอนต่างๆ โดยละเอียด อย่าลืมติดตามนะครับ


จาก : หนังสือ eLeaderThailand
ฉบับที่176 ประจำเดือนตุลาคม 2546
Update Information : 1 ตุลาคม 2546


10 ภัยมืดยุคอินเทอร์เน็ตปี คศ. 2007" Top 10 Cyber Threats Year 2007
Update: 29 December 2006, 2006


หน้าที่ ความรับผิดชอบ และมุมมองที่แตกต่าง ของ "ผู้ตรวจสอบภายใน" และ "ผู้ตรวจสอบระบบสารสนเทศ" Internal Auditor and IT/IS Auditor's Perception Analysis
Update: 29 December 2006, 2006


ยุทธศาสตร์การเตรียมพร้อมป้องกันภัยจากมัลแวร์อย่างได้ผลในทางปฏิบัติ Understanding MalWare Point-of-Entry and How to protect by implementing practical Anti-Malware strategy
Update: 30 November, 2006


แนวทางการประเมินความเสี่ยงระบบสารสนเทศเพื่อให้สอดคล้องกับยุคสมัยที่เปลี่ยนแปลงของเทคโนโลยี (Information Technology Risk Assessment Guidelines for Modern IT Auditors)
Update: 30 November, 2006


กรณีศึกษา : วิเคราะห์แผนยุทธศาสตร์นโยบายการป้องกันความปลอดภัยข้อมูลของประเทศสิงค์โปร์ (iN2015 and Infocomm Security Masterplan)
Update: 19 September, 2006


"เอาต์ซอร์สระบบความปลอดภัยเชื่อได้แค่ไหน?" : Can we trust IT security outsourcer or MSSP (managed security services provider)
Update: 18 September, 2006


14 เทคโนโลยีการป้องกันความปลอดภัยข้อมูลสารสนเทศล่าสุดที่คุณควรรู้
14 IT Security Technology Update
Update: 18 September, 2006


Information Security Awareness Program เรื่องสำคัญขององค์กรที่ถูกมองข้าม ?
Update: 31 August, 2006


กรณีศึกษาเกี่ยวกับ อาชญากรรมคอมพิวเตอร์ และ การใช้กฎหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ในกระบวนการยุติธรรมของประเทศเกาหลีใต้ Case Study : Cyber Crime and IT Law in South Korea
Update: 19 July, 2006


เรียนรู้โมเดลในการบริหารจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพ (รุ่นที่สอง) ตอนจบ Information Security Management Framework (ISMF) Version 2 : "Act" Part
Update: 19 July, 2006


ทิศทางในอนาคตของอาชญากรรมคอมพิวเตอร์ และ 10 วิธีในการป้องกันตนเองและ องค์กรให้ปลอดภัยจากภัยอินเทอร์เน็ต Future Cyber Crime Trend and Ten Ways to Secure your IT Infrastructure
Update: 28 June, 2006


การประยุกต์ใช้มาตรฐานสากลด้านความปลอดภัยข้อมูลกับงานบริหารความเสี่ยงระบบสารสนเทศในองค์กรอย่างได้ผลในทางปฏิบัติ Information Technology Risk Management using International Standard Methodologies and Frameworks
Update: 24 April, 2006


เรียนรู้โมเดลในการบริหารจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพ (รุ่นที่สอง) ตอนที่ 3 Information Security Management Framework (ISMF) Version 2 : "Do" Part
Update: 18 April, 2005


แผนยุทธศาสตร์ IT839: วิวัฒนาการของกระบวนการรักษาความปลอดภัยข้อมูลคอมพิวเตอร์ระดับชาติของประเทศเกาหลีใต้ Get Ready for Ubiquitous Society
Update: 24 March, 2005


เรียนรู้โมเดลในการบริหารจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพ (รุ่นที่สอง) Information Security Management Framework (ISMF) Version 2
Update: 1 February, 2006


จับกระแสทิศทาง IT Security Outsourcing โดย MSSP (Managed Security Service Provider) ในประเทศไทยและทั่วโลก "What Motivates an enterprise to outsource IT security?
Update: 30 January, 2006


มุมมองใหม่ของแฮกเกอร์ในการโจมตีระบบความปลอดภัยข้อมูลคอมพิวเตอร์ บทวิเคราะห์ SANS TOP 20 Version 6.01 จากสถาบัน SANS USA
Update: 8 December, 2005


10 Information Security Easy Tips
10 เทคนิคการรักษาความปลอดภัยข้อมูลคอมพิวเตอร์อย่างง่ายด้วยตนเอง
Update: 1 December, 2005


TOP 10 Information Security Threat Year 2006 (Part II) ทิศทางภัยคุกคามด้านความปลอดภัยข้อมูลคอมพิวเตอร์ปี 2006 (ตอนจบ)
Update: 14 Nov, 2005


TOP 10 Information Security Threat Year 2006 (Part I) ทิศทางภัยคุกคามด้านความปลอดภัยข้อมูลคอมพิวเตอร์ปี 2006 (ตอนที่1)
Update: 14 Nov, 2005


มาตรฐานสากลทางด้านความปลอดภัยระบบเทคโนโลยีสารสนเทศที่ CIO ควรรู้เพื่อนำมาใช้เป็นแนวทางปฏิบัติในองค์กร และ กลยุทธ์ CIO กับการบริหารระบบความปลอดภัยเทคโนโลยีสารสนเทศในองค์กรสมัยใหม่ Update: 30 Aug, 2005

ทำความเข้าใจเรื่องความแตกต่างของใบรับรองผู้เชี่ยวชาญระบบรักษาความมั่นคงปลอดภัยข้อมูลคอมพิวเตอร์ระดับสากลวันนี้ Professional Information Security Certification: CISSP, CISM, CISA, SANS GIAC Update: 30 Aug, 2005

สถานการณ์ขององค์กรในประเทศไทยเกี่ยวกับการรับรองมาตรฐาน BS7799 Part 2 กับ บทวิเคราะห์มาตรฐานการรักษาความปลอดภัยข้อมูลสารสนเทศ ISO/IEC 17799 Second Edition และ มาตรฐาน ISO/IEC FDIS 27001:2005 Update: 28 July, 2005

บทวิเคราะห์คำปราศัยวิสัยทัศน์ของ มร. บิล เกตส์ ในงาน Thailand Digital Inspiration ในมุมมองด้านการรักษาความปลอดภัยข้อมูลสารสนเทศกับเทคโนโลยีใหม่ในอนาคต
Update: 12 July, 2005


การเตรียมองค์กรให้พร้อมเข้าสู่ยุค IT Governance ด้วยมาตรฐาน CobiT และ ITIL
Update: 24 Jun, 2005


วิเคราะห์ปัญหาสแปมอีเมล์ เทคนิคใหม่ของสแปมเมอร์ DHAs (Directory Harvest Attacks) และ วิธีการป้องกันระบบอีเมล์ของเราอย่างมีประสิทธิภาพ (ตอนที่ 1)
Update: 22 Jun, 2005


วิเคราะห์ปัญหาสแปมอีเมล์ เทคนิคใหม่ของสแปมเมอร์ DHAs (Directory Harvest Attacks) และ วิธีการป้องกันระบบอีเมล์ของเราอย่างมีประสิทธิภาพ (ตอนจบ)
Update: 22 Jun, 2005


ภัยร้ายไอทีแอบแฝงภายในองค์กรที่เราควรระวัง
Hidden Threat from using email
Update: 22 Jun, 2005


เรียนรู้หลักการ Baseline Security Compliance ด้วยกระบวนการ Compliance Management
Update: 3 Jun, 2005


เตือนระวังภัยอินเตอร์เน็ตใหม่ล่าสุด "Pharming"
Update: 22 Apr, 2005


5 ขั้นตอนในการบริหารจัดการช่องโหว่ในระบบสารสนเทศเพื่อการป้องกันระบบอย่างมีประสิทธิภาพ
"5 Steps Proactive Security Management using Vulnerability Management Concept"


แนวคิดใหม่เรื่องการตรวจสอบระบบสารสนเทศ และหัวใจสำคัญของระบบความปลอดภัยข้อมูลคอมพิวเตอร์ที่มีประสิทธิภาพ New IT Audit Paradigm "Using Vulnerability Management and Patch Management System"

ความสำคัญของการจัดตั้งศูนย์บัญชาการความปลอดภัยเทคโนโลยีสารสนเทศและการสื่อสารแห่งชาติ สำหรับประเทศไทย
Thailand's National ICT Security and Incident Response Center Initiative Project


ทิศทางการเปลี่ยนแปลงของกระบวนการควบคุมความปลอดภัยข้อมูลด้านเทคโนโลยีสารสนเทศทั่วโลก และ สถานะการณ์ล่าสุดของประเทศไทย (The World Information Technology and Information Security Control Trend and latest Thailand's situationg)
Update: 27 Jan, 2005


สรุปสถิติจำนวนผู้เชี่ยวชาญระบบความปลอดภัยข้อมูลสารสนเทศ (CISSP) ในเอเชีย และ ประโยชน์ที่ประเทศไทยได้รับจากการประชุมคณะกรรมการที่ปรึกษาแห่งเอเชีย (ISC)2 Asian Advisory Board Meeting
Update: 25 Jan, 2005


Top 10 Information Security Trend 2005 10 ทิศทาง และแนวโน้มด้านความปลอดภัยข้อมูลคอมพิวเตอร์ ปี ค.ศ. 2005
Update: 3 Dec, 2004


วิเคราะห์มาตรฐานในการตรวจสอบระบบสารสนเทศ สำหรับระบบความปลอดภัยบนระบบปฏิบัติการ UNIX/Linux
Update: 2 Dec, 2004


วิเคราะห์มาตรฐานในการตรวจสอบระบบสารสนเทศสำหรับระบบความปลอดภัยบนระบบปฏิบัติการ Microsoft Windows (ตอนจบ)
Update: 2 Dec, 2004


วิเคราะห์มาตรฐานในการตรวจสอบระบบสารสนเทศ สำหรับระบบความปลอดภัยบนระบบปฏิบัติการ Microsoft Windows (ตอนที่ 1)
Update: 2 Dec, 2004


Proactive Vulnerability Management and Patch Management
แนวคิดใหม่ของการบริหารจัดการระบบความปลอดภัยข้อมูลคอมพิวเตอร์วันนี้
Update: Sep 27, 2004


  3 องค์ประกอบหลักสู่ความสำเร็จด้านการจัดการบริหารความปลอดภัยข้อมูลคอมพิวเตอร์อย่างสมบูรณ์แบบ
"Best Practices for Information Security Management - [ PPT : People, Process/Policy and Technology/Tool ]"
Update: Sep 27, 2004


  สรุปสถานการณ์ความเคลื่อนไหวด้านความปลอดภัยข้อมูลคอมพิวเตอร์ และ การวิเคราะห์ผลกระทบจากปัญหาความปลอดภัยข้อมูลคอมพิวเตอร์ของภูมิภาคเอเชีย (ผลสรุปจากการประชุมคณะกรรมการที่ปรึกษาความปลอดภัยข้อมูลแห่งเอเชียที่ฮ่องกง)
Update: Sep 10, 2004


  วันนี้คอมพิวเตอร์ของคุณปลอดภัยแล้วหรือยัง? "10 แนวทางปฏิบัติเพื่อการใช้งานอินเทอร์เน็ตอย่างปลอดภัย"
Update: Sep 1, 2004


  "Information Security Management Outsourcing" เหตุผล และมุมมอง การวิเคราะห์ข้อดี /ข้อเสีย ในการบริหารระบบความปลอดภัยคอมพิวเตอร์ โดยการทำสัญญาใช้บริการจาก MSSP (Managed Security Service Provider)
Update: July 30, 2004


  วิเคราะห์ผลสำรวจสถิติการนำเทคโนโลยีรักษาความปลอดภัยคอมพิวเตอร์มาใช้ในองค์กรปี 2004
Update: July 30, 2004


  "Remote Access Vulnerability" ช่องโหว่ระบบที่หลายคนมองข้าม
Update: July 30, 2004


  เมื่อโปรแกรมป้องกันไวรัสไม่ใช่คำตอบสุดท้ายในการปราบไวรัส
Update: July 1, 2004


  เรียนรู้วิธีการเจาะระบบ Web Application ทั้ง 10 วิธี ของแฮกเกอร์ และวิธีการป้องกันอย่างได้ผล (ตอนจบ) (Top 10 Web Application Hacking)
Update: June 17, 2004


  เรียนรู้วิธีการเจาะระบบ Web Application Hacking ทั้ง10 วิธี ของแฮกเกอร์ และวิธีป้องกันอย่างได้ผล (Top 10 Web Application Hacking and How to Protect from Hackers)
Update: June 3, 2004


  เปรียบเทียบระบบ Two-Factor Authentication ระหว่าง การใช้ One Time Password (OTP) และ Smart Card ร่วมกับ Public Key Infrastructure (PKI)
Update: May 25, 2004


  รู้จักกับตำแหน่งผู้บริหารใหม่ในองค์กรยุคไฮเทค CSO (Chief Security Officer) /CISO (Chief Information Security Officer)
Update: May 25, 2004


  ถึงเวลาแล้วหรือยังสำหรับ Smart Card และ PKI (ความเข้าใจที่ถูกต้องสำหรับความจำเป็นในการทำ Authentication)
Update: April 29, 2004


  ระวังภัยอินเทอร์เน็ทใหม่ล่าสุด "PHISHING"
Update: April 20, 2004


  10 Technical Tips for securing your Wireless LAN System ( 10 เทคนิคการติดตั้งระบบ LAN ไร้สายให้ปลอดภัยจากแฮกเกอร์ )
Update: April 19, 2004


  Information Security Management Framework (ISMF) ขั้นตอนที่ 7 "Managed Security Services (MSS) / Real-time Monitoring using IDS/IPS"
Update: March 25, 2004


  Information Security Management Framework (ISMF) ขั้นตอนที่ 6 "Internal/ External Audit, Re-Assessment and Re-Hardening"
Update: March 25, 2004


  เรียนรู้หลักการตรวจสอบระบบสารสนเทศ (IT Audit) อย่างมีประสิทธิภาพในทางปฏิบัติ วิเคราะห์ปัญหาการตรวจสอบระบบสารสนเทศ และ การแก้ปัญหาในเชิงบูรณาการ
Update: February 24, 2004


  Information Security Management Framework (ISMF) ขั้นตอนที่ 5 "Security Awareness/ Technical Know-how Transfer Training"
Update: February 24, 2004


  กฎหมายอาชญากรรมคอมพิวเตอร์ และ การพิสูจน์หลักฐานด้วยวิธีการ "นิติคอมพิวเตอร์" (Thailand Computer Crime Law and Computer Forensics)
Update: February 11, 2004


  Information Security Management Framework (ISMF) ขั้นตอนที่ 4 "Defense-In-Depth/Best Practices Implementation"
Update: January 25, 2004


  10 ทิศทางและแนวโน้มด้านระบบรักษาความปลอดภัยข้อมูลคอมพิวเตอร์ ในปี ค.ศ. 2004 (Top 10 Information Security Paradigm Shift)
Update: December 24, 2003


  Information Security Management Framework (ISMF) ขั้นตอนที่ 3 "Practical Information Security Policy"
Update: December 24, 2003


  Information Security Management Framework (ISMF) ขั้นตอนที่ 2 :Critical Networks & Hosts Hardening / Patching / Fixing
Update: November 20, 2003


  Browser Hijacking " ช่องโหว่ใน Browser Internet Explorer (IE) ภัยอินเทอร์เน็ตใกล้ตัวคุณวันนี้ "
Update: November 12, 2003


  Information Security Management Framework (ISMF) ขั้นตอนที่ 1:Risk Management, Vulnerability Assessment และ Penetration testing
Update: November 1, 2003


  บทสรุป Wireless LAN Security ในงานประชุม APEC Thailand 2003
Update: October 30, 2003


  กรณีศึกษา Wireless Security ในงานประชุม APEC Thailand 2003
Update: October 13, 2003


  การจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพ (Information Security Management Framework - ISMF)
Update: October 1, 2003


  จะลงทุนกับ IDS, IPS หรือ Honeypot อย่างไหนจะคุ้มค่ากว่ากัน ? (ตอนจบ)
Update: September 18, 2003


  บทเรียนจากหนอนอินเทอร์เน็ต Blaster Worm วิเคราะห์การทำงานของ VIRUS และวิธีการป้องกันสำหรับอนาคต"
Update: September 15, 2003


  จะลงทุนกับ IDS, IPS หรือ Honeypots อย่างไหนจะคุ้มค่ากว่ากัน ? (ตอนที่ 1)
Update: August 9, 2003


 เจาะลึก Web Application Security ตอนจบ"Cross-Site Scripting Attack"
Update: August 9, 2003


Hacking Web Application (ตอนที่ 2) "ช่องโหว่ใน SSL Protocol และ ความเข้าผิดในการใช้งาน SSL กับ Web Application"
Update: July 17, 2003


เจาะลึก Web Application Security ( ตอนที่2) Knowledge Hackers Vs. Web Application Programmer
Update: July 17, 2003


Hacking Web Application (ตอนที่ 1)
Update: July 17, 2003


เจาะลึก Web Application Security ( ตอนที่1 ) Knowledge Hackers Vs. Web Application Programmer
Update: July 17, 2003


Perimeter Security กับ กรณีศึกษาการ Hack Web Site ภาครัฐ
Update: July 17, 2003


เทคนิคการแก้ปัญหา SPAM Mail และเจาะลึก Web Application Security (ตอนที่1)
Update: May 9, 2003


วันนี้คุณแน่ใจได้อย่างไรว่าระบบของคุณปลอดภัยจาก Hacker ? (ตอนจบ) "The 6 Steps of Information Security Risk Assessment Process"
Update: May 6, 2003


ถอดรหัสใบรองผู้ดูแลระบบความปลอดภัยข้อมูลคอมพิวเตอร์
Update: April 4, 2003


วันนี้คุณแน่ใจได้อย่างไรว่าระบบของคุณปลอดภัยจาก Hacker ? (ตอนที่ 1) "Information Security Risk Assessment and Vulnerability Assessment - Part1"
Update: March 21, 2003


มาตรฐานสำหรับผู้ตรวจสอบด้านเทคโนโลยีสารสนเทศ (IT & IS AUDITOR) , เรื่องจำเป็นของทุกองค์กรวันนี้
Update: March 21, 2003


พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ (CBK) ตอนจบ
Update: Dec 23, 2002


เรียนรู้ และ เข้าใจ วิธีการจัดการระบบความปลอดภัยข้อมูลอย่างเป็นระบบ Understanding Information Security Process Management
Update: Dec 17, 2002


พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ (CBK) ตอนที่ 7
Update: Dec 17, 2002


พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ (CBK) ตอนที่ 6
Update: Dec 6, 2002


พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ (CBK) ตอนที่ 5
Update: Dec 6, 2002


จับตาสถานการณ์ Information Security ของประเทศเพื่อนบ้าน
Update: Dec 2, 2002


LINUX Certification มาตรฐานใหม่สำหรับวงการ Open source วันนี้
Update: Oct 21, 2002


Wireless LAN Security LAB Testing at Siam Discovery
Update: Oct 17, 2002


พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ ตอนที่4
Update: Oct 17, 2002


พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ ตอนที่3
Update: Sep 24, 2002


พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ ตอนที่2
Update: Sep 24, 2002


Wireless Network Hacking ภัยไร้สาย เป้าหมายใหม่ของ Hacker
Update: Aug 26, 2002


Security Awareness Program เรื่องสำคัญที่ถูกมองข้าม ?
Update: Aug 19, 2002


พื้นฐานที่จำเป็นสำหรับ "Information Security Professional" ตอนที่ 1
Update: Aug 6, 2002


แน่ใจได้อย่างไรว่าระบบของเราปลอดภัยจาก Hacker/Cracker ?
Update: July 20, 2002


เตรียมพร้อมสู่ความเป็นมืออาชีพด้าน Information Security (INFOSEC) ตอนที่ 3
Update: July 19, 2002


ระวังช่องโหว่ SMTP Services เปิดทางให้ HACKERS/SPAMMERS
Update: July 18, 2002


เรียนรู้วิธีป้องกัน PC ด้วยโปรแกรมประเภท Personal Firewalls , SteathWare Finders/Removers และ SPAM Fighters
Update: July 4, 2002


เตรียมพร้อมสู่ความเป็นมืออาชีพด้าน Information Security (INFOSEC) ตอนที่ 2
Update: June 28, 2002


เตรียมพร้อมสู่ความเป็นมืออาชีพด้าน Information Security (INFOSEC)
Update: June 28, 2002


"IT Professional Certification" สำคัญอย่างไร...ในยุคการสื่อสารไร้พรมแดน
Update: May 31, 2002


ถึงเวลาแล้วหรือยัง….กับคำว่า IT Professional Certification
Update: May 28, 2002


ใบรับรอง CISSP กับอุตสาหกรรมไอทีไทย
Update: May 11, 2002


วันนี้คุณเตรียมพร้อมแล้วหรือยังกับ mCommerce Security
Update: May 11, 2002


all_pix_trans.gif (807 bytes)