Archive for May, 2009

« Older Entries
23.05.09

บริการของ SRAN Data Safehouse

บริการรับฝากข้อมูลจราจรสำหรับเว็บไซด์ จากประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ ปรับปรุงล่าสุด ประกาศใช้วันที่ 19 ตุลาคม 2550

ได้กำหนดให้มีการเก็บบันทึกข้อมูลจราจรสำหรับผู้ให้บริการเว็บโดยมีหลักเกณฑ์ในการเก็บบันทึกดังนี้

1.ข้อมูล Log ที่บันทึกเมื่อมีการเข้าถึงเครื่องผู้ให้บริการเว็บ
2.ข้อมูลวัน และเวลาการติดต่อของเครื่องที่เข้ามาใช้บริการและเครื่องให้บริการ
3.ข้อมูลหมายเลขอินเตอร์เน็ตของเครื่องคอมพิวเตอร์ผู้เข้าใช้ที่เชื่อมต่ออยู่ในขณะนั้น
4.ข้อมูลคำสั่งการใช้งานระบบ
5.ข้อมูลที่บ่งบอกถึงเส้นทางในการเรียกดูข้อมูล (URI : Uniform Resource Identifier) เช่นตำแหน่งของเว็บเพ็จ

เพื่อความสะดวกในการเก็บบันทึกข้อมูลจราจรสำหรับผู้ให้บริการเว็บไซต์ ทางบริษัท โกลบอลเทคโนโลยี อินทิเกรเทด จำกัด ผู้ผลิตและจำหน่ายผลิตภัณฑ์ภายใต้เครื่องหมายการค้า ”SRAN” ได้พัฒนาระบบระบุตัวตน (Web Identity) ในการใช้เว็บไซต์ขึ้น โดยทำระบบเก็บบันทึกข้อมูลการใช้งานเว็บแบบรวมศูนย์ (Centralized Log Server) ใช้ชื่อบริการนี้ว่า “Safe House Centralized Log Provider”

บริการ SRAN Data Safehouse ถือว่าเป็นการทำ SaaS (Software as a Services) โดยที่ผู้ใช้บริการไม่ต้องลงทุนซื้อซอฟต์แวร์และฮาร์ดแวร์ แต่อย่างใด เพียงนำ Script ชนิดที่เป็น Embed ลงในเว็บไซต์ที่ใช้บริการในแต่ละเว็บเพจ หรือเฉพาะเว็บเพจที่ต้องการเฝ้าระวังอย่างใกล้ชิดเพื่อเก็บบันทึกข้อมูลการใช้งาน และตรวจสอบความผิดปกติที่อาจเกิดขึ้นต่อเว็บไซต์

สามารถแบ่งรายละเอียดของคุณสมบัติบริการได้ดังนี้

Number Feature Package1
Web Log & Statistic		 Package 2
Web Security Detection		 Package 3
Web Compliance
1. Log Recorder for website * Record traffic data in real-time.
* Data Archiving and Data Hashing.
* Visualize web tracking technology to support IT forensics.
2. Website Statistics * Website usage statistics in real-time.
* Usage statistics by period of time.
* Invisible script option.
* Visitor analysis : visitor paths, visit length, returning visit, recent visitor activity.
* Keyword analysis & recent keyword activity.
* Web page analysis : popular page, entry page, exit page, came from etc.
* Statistics of ISP, Browser, Operating System, Resolution.
* Locate visitors by displaying map, IP address, name of ISP and organization with more than 2 million known organizations worldwide.
* Ideal for Customer Relationship Management (CRM).
3. Check status * Up time / Downtime
* Availability checking OS / Web Application
4. Advance Web Monitoring Detection *  Send e-mail alert and specify IP address/Location of offender, Date & Time and Type of Attack.
*  Record data and generate report to support IT forensics.
* Realize website stability and Uptime/Downtime of the website.
*  Detect 14 types of Web Application Hacking :
- Remote File Access Attempt
- System Command Injection
- Cross-site Scripting (XSS) Attack
- SQL Injection Attack
- Backdoor Access
- Blind SQL Injection Attack
- SSI Injection Attack
- Injection of Undocumented ColdFusion Tags
- Session Fixation
etc.
5. Vulnerability Assessment for website * Realize all system risks and provide solution to fix.
* Weekly do vulnerability assessment for website and generate report.

Posted by ummy | Posted in Technique | No Comments

17.05.09

การตรวจสอบเว็บไซต์ให้ปลอดภัยผ่านมาตรฐาน PCI DSS

ก่อนศึกษาวิธีการตรวจสอบเว็บไซต์ให้ปลอดภัยสอดคล้องกับมาตรฐาน PCI DSS  นั้น ขออธิบายให้ทราบถึงความเป็นมาของมาตรฐาน PCI DSS กันก่อนครับ

มาตรฐาน PCI DSS ย่อมาจาก “Payment Card Industry Data Security Standard” เป็นมาตรฐานความปลอดภัยสารสนเทศที่แพร่หลายทั่วโลก รวบรวมโดยคณะกรรมการ Payment Card Industry Security Standards Council (PCI SSC) มาตรฐานนี้ถูกกำหนดขึ้นเพื่อช่วยให้องค์กรต่างๆ ที่มีการรับชำระเงินด้วยบัตรเครดิต สามารถป้องกันการฉ้อโกงบัตรเครดิต โดยการควบคุมข้อมูลและช่องโหว่ต่างๆ ให้เข้มงวดมากยิ่งขึ้น และได้นำไปใช้กับทุกองค์กรที่เก็บรักษา ประมวลผล หรือรับส่งข้อมูลของผู้ถือบัตรเครดิต ไม่ว่าจะเป็นบัตรของค่ายใดก็ตาม

มาตรฐาน PCI DSS ได้เริ่มใช้ในโครงการรักษาความปลอดภัยข้อมูลของบัตรเครดิต 5 ค่ายยักษ์ คือ Visa, MasterCard, American Express, Discover และ JCB ซึ่งมีจุดหมายร่วมกันเพื่อยกระดับการคุ้มครองลูกค้า โดยสร้างความมั่นใจว่าผู้ขาย (ผู้รับชำระเงินด้วยบัตรเครดิต) มีมาตรการรักษาความปลอดภัยที่เหมาะสมในการเก็บรักษา การประมวลผล และการรับส่งข้อมูลของผู้ถือบัตรเครดิต

การตรวจสอบการปฏิบัติตามมาตรฐานอาจทำได้โดยตรวจสอบเองด้วยบุคลากรภายในองค์กรหรือให้หน่วยงานภายนอกเป็นผู้ตรวจสอบก็ได้ ซึ่งจะใช้วิธีใดไม่เกี่ยวกับขนาดองค์กร แต่ขึ้นกับปริมาณการทำธุรกรรมผ่านบัตรเครดิตขององค์กรนั้นๆ การประเมินการปฏิบัติตามมาตรฐาน PCI DSS จะต้องทำเป็นประจำทุกปี โดยองค์กรที่มีปริมาณธุรกรรมผ่านบัตรเครดิตมาก จะต้องได้รับการตรวจประเมินจากผู้ตรวจประเมินอิสระ (Qualified Security Assessor : QSA) ส่วนบริษัทที่มีปริมาณธุรกรรมไม่มากนัก สามารถเลือกที่จะตรวจประเมินได้ด้วยตนเองผ่านแบบสำรวจประเมินตนเอง (Self-Assessment Questionnaire : SAQ)

ในประเทศสหรัฐอเมริกา องค์กรที่มีธุรกรรมทางการเงินผ่านบัตรเครดิตตั้งแต่หนึ่งค่ายขึ้นไป แต่ไม่ดำเนินการให้สอดคล้องกับข้อกำหนด PCI DSS จะไม่สามารถรับชำระเงินผ่านบัตรเครดิตได้ ทั้งยังต้องถูกตรวจสอบ และอาจถึงขั้นเสียเงินค่าปรับอีกด้วย

ข้อกำหนด PCI DSS

ปัจจุบันมาตรฐาน PCI DSS เป็นเวอร์ชั่น 1.2 ระบุข้อกำหนดไว้ 12 ข้อ จำแนกตามวัตถุประสงค์ได้เป็น 6 กลุ่ม คือ 

วัตถุประสงค์ที่ควบคุม ข้อกำหนด PCI DSS 
สร้างเครือข่ายที่ปลอดภัยและบำรุงรักษาไว้
 
1. ติดตั้งและดูแลรักษาค่าที่ตั้งไว้ของไฟร์วอลล์เพื่อปกป้องข้อมูลของผู้ถือบัตร
 
 
 
2. ไม่ใช้ค่าที่ตั้งมาพร้อมกับผลิตภัณฑ์สำหรับรหัสผ่านและการรักษาความปลอดภัยอื่นๆ ของระบบ
 
 
 
 
 
ปกป้องข้อมูลผู้ถือบัตร
 
3. ปกป้องข้อมูลของผู้ถือบัตรที่ได้เก็บรักษาไว้
 
 
 
4. เข้ารหัสข้อมูลผู้ถือบัตรก่อนส่งผ่านเครือข่ายสาธารณะแบบเปิด
 
 
 
 
 
บำรุงรักษาโปรแกรมที่ใช้จัดการกับช่องโหว่
 
5. ใช้โปรแกรมแอนตี้ไวรัสและอัพเดตสม่ำเสมอ สำหรับทุกระบบที่มักได้รับผลกระทบจากมัลแวร์
 
 
 
6. พัฒนาและดูแลรักษาระบบและแอพพลิเคชั่นต่าง ๆ ให้ปลอดภัย
 
 
 
 
 
ใช้มาตรการที่รัดกุมในการควบคุมการเข้าถึง
 
7. จำกัดการเข้าถึงข้อมูลผู้ถือบัตร เฉพาะผู้ที่ได้รับอนุญาตเท่านั้น 
 
 
 
8. กำหนดหมายเลขประจำตัวเฉพาะ (unique ID) ให้กับผู้ที่สามารถเข้าถึงคอมพิวเตอร์ได้
 
 
 
9. จำกัดการเข้าถึงทางกายภาพ สำหรับข้อมูลผู้ถือบัตร
 
 
 
 
 
ตรวจตราและทดสอบเครือข่ายต่างๆ อย่างสม่ำเสมอ
 
10. ติดตามและเฝ้าดูการเข้าถึงทรัพยากรทางเครือข่ายและข้อมูลผู้ถือบัตร
 
 
 
11. ทดสอบระบบและขั้นตอนต่าง ๆ ในการรักษาความปลอดภัยอย่างสม่ำเสมอ
 
 
 
 
 
คงไว้ซึ่งนโยบายความปลอดภัยสารสนเทศ
 
12. คงไว้ซึ่งนโยบายด้านการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ

ในประเทศไทยมี พ.ร.ฎ. ว่าด้วยการควบคุมดูแลธุรกิจบริการการชำระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2551 ซึ่งตราขึ้นเพื่อยกระดับความเชื่อมั่นในการทำธุรกรรมทางการเงินออนไลน์ อ่านรายละเอียดเพิ่มเติม

มาตรฐาน PCI DSS ที่มีใน SRAN Data Safehouse

การรับประกันความมั่นคงปลอดภัยให้กับเว็บไซต์ โดยเสริมเทคโนโลยี Vulnerability Assessment เข้าไปในระบบ ช่วยให้ผู้ให้บริการเว็บไซต์ที่ติดตั้ง SRAN Data Safehouse ทราบถึงช่องโหว่ที่เกิดขึ้น และรายละเอียดในการแก้ไข ซึ่งสอดคล้องกับกฎเกณฑ์มาตรฐาน เช่น PCI/DSS Compliance ซึ่งกำหนดให้เว็บไซต์ที่ให้บริการธุรกรรมออนไลน์ ต้องมีการประเมินความเสี่ยงเป็นประจำ โดย SRAN Data Safehouse จะประเมินความเสี่ยงของเว็บไซต์เป็นประจำ สัปดาห์ละ 1 ครั้ง พร้อมออกรายงานผล

รายงานแสดงผลการประเมินความเสี่ยงเพื่อหาช่องโหว่ที่ค้นพบในเว็บไซด์ (Vulnerability Assessment Web Application)

ระบบของ Data Safehouse ในส่วนของการประเมินการปฏิบัติตามมาตรฐานของ PCI DSS จะเน้นที่การตรวจสอบปัญหาต่าง ๆ ที่พบใน web server เป็นหลัก

หน้ารายงานในส่วนของ PCI DSS สามารถเปิดดูได้จากเมนู Status > Security scan เมื่อเข้ามาที่หน้า Security scan แล้วให้คลิกที่ลิงค์ PCI DSS Compliance check

จากนั้นจึงเลือกเปิดดูรายงานตามวันที่ที่ต้องการโดยคลิกที่ลิงค์ view report

จะปรากฏหน้าที่บอกรายละเอียดการประเมินผล พร้อมทั้งผลที่บอกว่า web server ของคุณผ่านมาตรฐาน PCI DSS หรือไม่ ซึ่งคุณสามารถอ่านรายละเอียดได้จากรายงานที่บอกถึงรายละเอียดที่อยู่ข้าง ล่าง

ตัวอย่างรายงานที่บอกรายละเอียดว่าเหตุใด server ที่ตรวจสอบถึงไม่ผ่านตามมาตรฐาน PCI DSS

สามารถดูรายละเอียดทั้งหมดได้ที่  http://www.datasafehouse.net/man/manual.html

Posted by admin | Posted in Uncategorized | No Comments

« Older Entries
© Copyright 2010 Global Technology Integrated