สิ่งที่ผู้ใช้อินเทอร์เน็ตไม่ควรทำ 

ในฐานะบุคคลธรรมดา ท่านไม่ควรทำในสิ่งต่อไปนี้ เพราะอาจจะเป็นหนทางนำไปสู่ "กระทำความผิด" ตาม พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 มีดังนี้

1. อย่าบอก password ของท่านแก่ผู้อื่น

2. อย่าให้ผู้อื่นยืมใช้เครื่องคอมพิวเตอร์หรือโทรศัพท์เคลื่อนที่เพื่อเข้าเน็ต

3. อย่าติดตั้งระบบเครือข่ายไร้สายในบ้านหรือที่ทำงานโดยไม่ใช้มาตรการการตรวจสอบผู้ใช้งาน และการเข้ารหัสลับ

4. อย่าเข้าสู่ระบบด้วย User ID และ password ที่ไม่ใช่ของท่านเอง

5. อย่านำ User ID และ password ของผู้อื่นไปใช้งานหรือเผยแพร่

6. อย่าส่งต่อซึ่งภาพหรือข้อความ หรือภาพเคลื่อนไหวที่ผิดกฎหมาย

7. อย่า กด "remember me" หรือ "remember password" ที่เครื่องคอมพิวเตอร์สาธารณะ และอย่า log-in เพื่อทำธุรกรรมทางการเงินที่เครื่องสาธารณะ ถ้าท่านไม่ใช่เซียนทาง computer security

8. อย่าใช้ WiFi (Wireless LAN) ที่เปิดให้ใช้ฟรี โดยปราศจากการเข้ารหัสลับข้อมูล

From NectecPedia  โดย ทวีศักดิ์ กออนันตกูล 

http://wiki.nectec.or.th/

วันพฤหัสที่ 19 สิงหาคม 2553 ศูนย์สารสนเทศ กรมควบคุมโรค ได้จัดสัมมนาเรื่อง ภัย ICT ผ่านระบบ Conference โดยมีวิทยากรจากสถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหารลาดกระบัง มาให้ความรู้็ดังนี้

แนวคิดหลักในเรื่องความมั่งคงปลอดภัยของสารสนเทศแบบ CIA (วิทยากร : ดร.พิทยา จากสถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหารลาดกระบัง)
- Confidentiality ผู้มีสิทธิ์เท่านั้นเข้าถึงได้
- Integrity ครบถ้วน ถูกต้อง มีมีสิ่งปลอมปน
- Availability เข้าถึงได้เฉพาะผู้ได้รับอนุญาต (ผู้ไม่ได้รับอนุญาต จะถูกขัดขวาง)

วงจรการพัฒนาระบบความมั่นคงปลอดภัย (Security SDLC)
1. Investigation รับคำสั่งจากผู้บริหาร และสำรวจ
2. Analysis วิเคราะห์ ได้แก่ ศึกษาภัยคุกคาม วิธีป้องกัน, วิเคราะห์ประเด็นกฏหมาย พรบ., จัดการความเสี่ยง
3. Logical Design ออกแบบ ได้แก่ จัดทำโครงร่างระบบ, ทำแผนรับมือเหตุการณ์ไม่คาดคิด, ตรวจสอบ
4. Physical Design
5. Implementation พัฒนา
6. Maintenance and Change บำรุงรักษาและเปลี่ยนแปลง

วงจร PDCA
- Plan --> Establish ISMS วางแผนจัดตั้งระบบ ISMS (Information Security Management System ระบบบริหารการรักษาความปลอดภัย)
- Do --> Implement and Operate พัฒนา นำไปใช้ ได้แก่ การตรวจจับจาก Log File และการตอบสนองต่อเหตุการณ์ไม่คาดคิด
- Check --> Monitor and Review ติดตาม ทบทวน
- Act --> Maintain and Improve บำรุงรักษา ปรับปรุง

ISO/IEC 27001 : 2005 คุณสมบัติระบบข้อมูลสารสนเทศที่เป็นมาตรฐาน ได้แก่
- Security Policy
- Organization Information Security
- Asset Management



OSI Model ภัยคุกคามใน 7 Layer (OSI: Open system Interconnection)
1. Application   \
2. Presentation   --> เช่น Mail, Browser ที่มีไวรัส, การ Pop up ขึ้นมาเรื่อยๆ
3. Session        /
4. Transport      --> เช่น การโจมตีแบบ SYN Flood, DoS, DDoS
5. Network        --> เช่น การปลอม/เปลี่ยนค่า IP
6. Data link       --> เช่น ดักจับข้อมูล (Shiffer)
7. Physical        --> ทางกายภาพ เ่ช่น สายสัญญาณ , Wireless
+  People          --> เช่น download software ที่มีไวรัส แล้วปล่อยไวรัสไปยังเครื่องอื่น

10 วิธีการป้องกันภัยจากการใช้อินเทอร์เน็ต (วิทยากร : ผศ.ดร.พิพัฒน์ จากสถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหารลาดกระบัง)
1. ตั้งสติก่อนเปิดเครื่องคอมพิวเตอร์
2. กำหนด Password ที่ยากต่อการเดา
3. สังเกตขณะเปิดเครื่อง ว่าบูตเครื่องนานกว่าปกติหรือไม่ หรือมีโปรแกรมแปลกๆ ขึ้นมา
4. ตรวจสอบและ Update OS และ Software ให้ถูกลิขสิทธิ์และเป็นเวอร์ชั่นปัจจุบัน
5. ไม่ลง Software มากเกินความจำเป็น
6. ไม่เข้าเว็บไซต์ที่มีความเสี่ยง เช่น เว็บที่ให้โหลดฟรี, เว็บลามก/พนัน, มี pop up, มีลิงค์ืไม่ตรงกับชื่อเว็บ
7. สังเกตความปลอดภัยบนเว็บไซต์ที่ให้บริการธุรกรรมออนไลน์ เช่น Address ควรเป็น https:// (มี s คือ security ด้วย)
8. ไม่เปิดเผยข้อมูลส่วนตัวผ่าน So cial Network เช่น ใน Facebook
9. ศึกษากฏหมาย พรบ.
10. ไม่หลงเชื่อโดยง่าย

หลักฐานทาง ดิจิตอล (Log File) จะเชื่อมโยงหาผู้กระทำความผิดตาม พรบ.คอมพิวเตอร์ ได้
เก็บข้อมูลต้นทาง ปลายทาง เส้นทาง วันที่ เวลา ปริมาณการใช้อินเทอร์เน็ต
ตามพรบ.คอม ปี 50 IT เป็นผู้ให้บริการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ ได้แก่ ISP หน่วยงานราชการ จะต้องเก็บ Log File ที่สามารถตรวจสอบได้

สายโซ่การสืบค้น
1. ข้อมูลตั้งต้น ได้แก่ IP ต้นทาง, IP ปลายทาง, เมื่อไร (วันที่ เวลา), อะไร (Protocol)
2. สืบค้นผู้ใช้ จากบัญชีผู้ใช้ (Log File)
3. ได้รายชื่อผู้ใช้ และข้อมูลบุคคล
4. ได้รหัสหมายเลขเครื่อง และชื่อเจ้าของเครื่อง พร้อมที่จะติดต่อ

การประเมินความเสี่ยงระบบเครือข่าย
1. Assessment ประเมินความเสี่ยง ตามมาตรฐาน ISO 27001 หรือ COBIT Framework และทดสอบการเจาะระบบ (Penetration Test) จำลองเหตุการณ์ถูกโจมตี การประเมินความเสี่ยงมี 4 ขั้นตอนคือ
    (1) สำรวจ
    (2) ตรวจสอบ Audit Checklist
    (3) วิเคราะห์ Network Analysis report
    (4) ประเมิน Assessment report
2. Implement ปฏิบัติการปิดช่องโว่ (Hardening) ได้แก่ การลดช่องทางการจู่โจมด้วยการ Update Patch, ลบซอฟต์แวร์ที่ไม่จำเป็น, ยกเิลิก Username/Login ที่ไม่จำเป็น
3. Managed Security Service บริหารจัดการความปลอดภัยบนเครือข่ายสารสนเทศ (MSS)
    (1) รายงานผลเชิงรูปธรรม Bandwidth Report, Assessment Report, ISO 27001
    (2) เก็บบันทึกเหตุการณ์
    (3) แจ้งเตือนภัย เมื่อเกิดเหตุฉุกเฉิน

เรื่องแจ้งจากศูนย์สารสนเทศ กรมควบคุมโรค
แจ้ง URL Address ของ GFMIS ใหม่คือ https://203.157.41.5 (ที่ http มี s ด้วย) โดยใช้โครงข่าย GIN (Government Information Network เครือข่ายสื่อสารข้อมูลเชื่อมโยงหน่วยงานภาครัฐ) ความเร็ว 2 MB ซึึ่งจะรวดเร็วกว่าเดิม (512 KB)


สรุปสิ่งที่จะต้องดำเนินการ ในปี 54 คือ
1. จัดทำระเบียบปฏิบัติด้านความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ (Checklist) และดำเนินการ
2. จัดทำคู่มือและข้อปฏิบัติสำหรับผู้ใช้งาน และแจ้งให้ทราบ
3. จัดทำแผนแก้ไขปัญหาจากสถานการณ์ความไม่แน่นอนและภัยพิบัติ ที่อาจเกิดขึ้นกับระบบฐานข้อมูลและสารสนเทศ (IT Contingency Plan) ได้แก่ กรณีเกิดเหตุไฟ้ไหม้, โดนเจาะระบบ, ไฟฟ้าดับ, สัญญาณเครื่องตรวจควันดัง
Download เอกสารตัวอย่าง (ข้อ 1.-3.) จากศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร สำนักงานปลัดกระทรวงสาธารณสุข คลิ๊กที่ Download 


ที่มา : http://ict.moph.go.th/it/

TOP 10 WEBSITES ยอดนิยมในประเทศไทย

Website                         IP/day
1. www.sanook.com         694,220
2. www.kapook.com         530,524
3. www.mthai.com           491,446
4. www.dek-d.com           333,408
5. www.teenee.com         308,088
6. www.exteen.com         295,493
7. www.truelife.com         273,970
8. www.manager.co.th     260,641
9. www.weloveshopping.com             191,683
10. www.siamsport.co.th/home.html   184,100
 
ข้อมูลจาก
http://truehits.net/
http://webboard.campus.sanook.com/

วันที่ 11 สิงหาคม 2553 คุณพัชรา (งานการเงิน) คุณนันท์ (งานอาคารสถานที่) คุณคมสัน (งานการเจ้าหน้าที่) และฝน (งาน IT) ได้เข้าร่วมประชุม "การถ่ายทอดกระบวนการสร้างคุณค่า และกระบวนการสนับสนุน ของกรมควบคุมโรค" ณ โรงแรมโกลเด้นดรากอน จ.นนทบุรี ซึ่งเป็นกิจกรรมที่อยู่ใน PMQA หมวด 6 การจัดการกระบวนการ มีเนื้อหาการประชุมดังนี้

วันที่ 10 ส.ค.2553 กรมควบคุมโรค นำเสนอกระบวนการสร้างคุณค่า ได้แก่

      - 1. กระบวนการบริหารงานวิจัย

        2. กระบวนการสร้างและพัฒนาเครือข่าย

        3. กระบวนการพัฒนาระบบข่าวกรองโรคและภัยสุขภาพ

        4. กระบวนการเตรียมพร้อมตอบโต้ภาวะฉุกเฉินด้านสาธารณสุข

        5. กระบวนการพัฒนารูปแบบการบริการเฉพาะด้าน

        6. กระบวนการเสริมสร้างพฤติกรรมสุขภาพลดปัจจัยเสี่ยงและภาระโรค

วันที่ 11 ส.ค.2553 กรมควบคุมโรค นำเสนอกระบวนการสนับสนุน ได้แก่

      - 1. กระบวนการจัดการเชิงยุทธศาสตร์

        2. กระบวนการบริหารจัดการทรัพยากรบุคคล (กองการเจ้าหน้าที่ ผู้นำเสนอ)

        3. กระบวนการพัฒนาระบบข้อมูลและสารสนเทศ (คุณวรวิทย์ ศูนย์สารสนเทศ ผู้นำเสนอ)

        4. กระบวนการจัดการความรู้ (สำนัก KM ผู้นำเสนอ)

        5. กระบวนการควบคุมภายใน (กองคลัง ผู้นำเสนอ)

        6. กระบวนการบริหารจัดการงบประมาณ

        7. กระบวนการสื่อสารและประชาสัมพันธ์

ในทุกกระบวนการ จะมีการนำเสนอคู่มือการปฏิบัติงาน (Work Manual) ที่มีรายละเอียดเกี่ยวกับ ที่มา, วัตถุประสงค์, ขอบเขต, คำจำกัดความ, ความรับผิดชอบ, ขั้นตอนการปฏิบัติ, เอกสารอ้างอิง, แบบฟอร์มที่ใช้ และเอกสารบันทึก โดยมีอาจารย์ศรันญา งามศิริอุดม ที่ปรึกษาในการพัฒนาองค์กร โครงการพัฒนาคุณภาพการบริหารจัดการภาครัฐ สำนักงาน ก.พ.ร. และคุณสายใจ พินิจเวชการ เลขานุการคณะทำงานหมวด 6 PMQA กรมควบคุมโรค เป็นผู้ให้ความคิดเห็นและข้อเสนอแนะ

และจัดทำแบบฟอร์มการจัดเก็บข้อมูลการใช้คู่มือการปฏิบัติงานตามกระบวนการ ซึ่งจะเป็นขั้นตอนที่จะให้หน่วยงานต่างๆ ได้ดำเนินการ ตามระยะเวลาที่กำหนด

สำหรับขั้นตอนการดำเนินการตามกระบวนการสนับสนุน ของกระบวนการพัฒนาระบบข้อมูลและสารสนเทศ มีดังนี้

1. กำหนดความต้องการระบบข้อมูลและสารสนเทศ (รวม Hardware, Software, Anti virus) ส.ค.53

2. นำเสนอศูนย์สารสนเทศ กรมควบคุมโรค

3. รับแจ้งจากศูนย์สารสนเทศ ถึงการได้รับการสนับสนุน

4. เตรียมวัสดุ ครุภัณฑ์ บุคลากร

5. เข้ารับการอบรม

6. ใช้งาน ประเมินคู่มือการใช้งานระบบ

7. ประเมินระบบร่วมกับศูนย์สารสนเทศ

8. ประเมินผลความสำเร็จของโครงการ

โดยสรุปคือ การประชุมวันนี้ เป็นการถ่ายทอดกระบวนการสร้างคุณค่า และกระบวนการสนับสนุน ที่กรมควบคุมโรคได้จัดทำร่างขั้นตอนการดำเนินงานของแต่ละกระบวนการ ให้สำนักและสคร.ต่าง ๆ ได้รับทราบ และเป็นแนวทางขั้นตอนในการดำเนินงาน ซึ่งกรมควบคุมโรคจะจัดส่งข้อมูลให้หน่วยงานต่าง ๆ ได้รับทราบและปฏิบัติต่อไป

                         PMQA คืออะไร ?? 

การพัฒนาคุณภาพการบริหารจัดการภาครัฐ หรือ PMQA (Public Sector Management Quality Award) เป็นเครื่องมือผลักดันให้การพัฒนาระบบราชการของหน่วยงานมีประสิทธิภาพและยั่งยืน (เป็นตัวชี้วัดของหน่วยงานที่มีคะแนนสูง) มีขั้นตอนการดำเนินงาน ดังนี้

1. จัดตั้งคณะทำงาน จัดทำแผนปรับปรุงตามประเด็นของโอกาสในการปรับปรุงที่มีความสำคัญการพัฒนา คุณภาพการบริหารจัดการภาครัฐ (PMQA)

2. ทบทวนการจัดทำลักษณะสำคัญขององค์กรและรายงานผลการดำเนินงาน ประกอบด้วย 7 หมวด ได้แก่

หมวด 1 การนำองค์กร (วางวิสัยทัศน์ ค่านิยม ทิศทางการทำงาน)      

หมวด 2 การวางแผนเชิงยุทธศาสตร์และกลยุทธ์ (วางยุทธศาสตร์ การบริหารความเสี่ยง การถ่ายทอดเป้าหมายและตัวชี้วัดขององค์กรไปสู่หน่วยงาน/บุคคล (การนำยุทธศาสตร์ไปปฏิบัติ))

หมวด 3 การให้ความสำคัญกับผู้รับบริการและผู้มีส่วนได้เสีย (การรับฟังความเห็นหรือมีส่วนร่วมจากประชาชน การปรับระบบให้บริการประชาชน การสำรวจความพึงพอใจ)

หมวด 4 การวัด การวิเคราะห์ และการจัดการความรู้ (การจัดการสารสนเทศ การจัดการความรู้)

หมวด 5 การมุ่งเน้นทรัพยากรบุคคล (ระบบการบริหารทรัพยากรบุคคล : HRM และ HRD การปรับกระบวนทัศน์ ค่านิยม ทัศนคติ คุณธรรมจริยธรรม กระบวนการสร้างคุณค่า)

หมวด 6 การจัดการกระบวนการ (การลดขั้นตอน การเปลี่ยนแปลงกระบวนงาน)

หมวด 7 ผลลัพธ์การ ดำเนินการ (ผลการปฏิบัติงานตามมิติการประเมิน 4 ด้าน)

3. ระบุโอกาสในการปรับปรุง (OFI)

4. ประมวลผล สรุปการประเมินโอกาสในการปรับปรุง

5. จัดลำดับความสำคัญของโอกาสในการปรับปรุง

6. จัดทำแผนเพื่อปรับปรุงองค์กรที่สอดคล้องกับประเด็นของโอกาสในการปรับปรุง

7. ดำเนินการปรับปรุงตามแผน

8. ติดตามผลการดำเนินงาน และจัดทำรายงานสรุปผลการดำเนินงาน

 

************

หมายเหตุ: เอกสารประกอบการประชุมจะจัดส่งให้ทางอีเมล์ของคณะกรรมการ PMQA และหน.กลุ่ม ต่อไป

  วันที่ 5 ส.ค.2553 ได้มีโอกาสไปร่วมงานสัมมนา “ลิขสิทธิ์ซอฟต์แวร์กับแนวทางการใช้งานซอฟต์แวร์ที่ถูกต้องตามกฎหมาย” ณ โรงแรมสีมาธานี จ.นครราชสีมา จัดโดย สำนักงานส่งเสริมอุตสาหกรรมซอฟต์แวร์แห่งชาติ (องค์กรมหาชน) หรือ SIPA แม้จะอยู่ในช่วงที่มีทำแผนปฏิบัติการปี 2554 ก็ยังได้เจียดเวลาไปฟัง เพราะ MaMa (แม่นิ่ม) บอกว่าน่าสนใจ และเป็นช่วงที่หน่วยงานต่าง ๆ กำลังตื่นตัวในเรื่องการตรวจลิขสิทธิ์ซอฟต์แวร์คอมพิวเตอร์ที่ใช้งานอยู่

 

วิทยากรได้อธิบายเกี่ยวกับ การละเมิดลิขสิทธิ์ซอฟต์แวร์ และการใช้ Open source เป็นทางเลือก ดังนี้

ซอฟต์แวร์ที่เป็นงานลิขสิทธิ์ ได้แก่

- โปรแกรมปฏิบัติการ เช่น Windows

- โปรแกรมใช้งานทางธุรกิจ เช่น MS. Office

- โปรแกรมเครื่องมือพัฒนา เช่น XML

- โปรแกรมจัดการฐานข้อมูล เช่น SQL Server

 

การละเมิดลิขสิทธิ์ซอฟต์แวร์ ที่พบบ่อย ได้แก่ การติดตั้งโปรแกรมที่ไม่ถูกลิขสิทธิ์ลงฮาร์ดดิสก์ การติดตั้งซ้ำเกินที่ได้รับอนุญาต การดาวน์โหลดมาใช้ เป็นต้น

 

การลดความเสี่ยงจากการละเมิดลิขสิทธิ์ซอฟต์แวร์ ได้แก่

- การซื้อซอฟต์แวร์จากตัวแทนจำหน่ายที่เชื่อถือได้

- ดูแลตรวจตราการใช้ซอฟต์แวร์ในองค์กร (เป็นประจำ สม่ำเสมอ)

- แจ้งนโยบายการป้องกันการละเมิดลิขสิทธิ์ซอฟต์แวร์แก่บุคลากรทุกคนในองค์กร

- ใช้ซอฟต์แวร์คอมพิวเตอร์แบบรหัสเปิด (Open source software)

 

Open source software คือ ซอฟต์แวร์ที่ให้มาพร้อมกับซอร์สโค้ด  โดยให้สิทธิ์ในการนำไปใช้งาน  ทำสำเนาแจกจ่ายได้ และนำไปปรับปรุงแก้ไขได้

 

 

Open source software ที่หน่วยงานรัฐสนับสนุนให้ใช้ฟรี ไม่มีลิขสิทธิ์ ได้แก่

- แผ่นสุริยัน (Suriyan) ใช้แทนระบบปฏิบัติการ Windows  

- แผ่นจันทรา (Chantra) ใช้แทนโปรแกรมปฏิบัติงาน MS. Office

- แผ่นเมฆา (Mekha) เกมส์ (มีด้วยนะเนี่ย 5555)

 

การนำ Open source software มาใช้ในองค์กร

1. ตรวจสอบ เก็บข้อมูลการใช้ซอฟต์แวร์

2. เตรียมบุคลากรในองค์กรให้พร้อมรับการเปลี่ยนแปลง (ชี้แจงทำความเข้าใจ ฝึกอบรม)

3. ติดตั้ง Open source software

4. ทดลองใช้งาน

5. ติดตามผล และแก้ไขปัญหา

 

"พร้อมเปลี่ยน.. และเรียนรู้ เพื่อสิ่งที่ถูกต้อง"

  

แหล่งข้อมูล

เว็บกรมทรัพย์สินทางปัญญา http://www.ipthailand.go.th/ ตรวจสอบฐานข้อมูลลิขสิทธิ์

www.suriyan.in.th

www.chantra.in.th

www.thaiopensource.org

www.ubuntuclub.com

www.sipa.or.th (SIPA)

www.sipakorat.org (SIPA Korat)