FAQ
คำถามที่ถามบ่อยเกี่ยวกับผลิตภัณฑ์ SRAN
ข้อมูลทั่วไปและคำถามเกี่ยวกับ SRAN Secuirty Center
1. SRAN Security Center คืออะไร มีคุณสมบัติอย่างไร ?
ตอบ : SRAN Security Center คืออุปกรณ์เฝ้าระวังภัยคุกคามเครือข่ายสารสนเทศ และเก็บบันทึกข้อมูลจราจรทางคอมพิวเตอร์ (Computer Traffic Data) โดยรวม 4 คุณสมบัติไว้ในอุปกรณ์เดียว ดังนี้
1. ระบบตรวจสอบและวิเคราะห์เครือข่ายคอมพิวเตอร์ (Network Monitorting & Analysis System)
2. ระบบตรวจจับและป้องกันภัยคุกคามทางเครือข่าย (Network Intrusion Detection & Prevention System)
3. ระบบบริหารจัดการประเมินความเสี่ยงระบบเครือข่าย (Vulnerability Assessment / Management System)
4. ระบบเก็บบันทึกเหตุการณ์ภัยคุกคาม และข้อมูลจราจรที่เกิดขึ้นบนเครือข่าย (Log Compliance System)
อ่านรายละเอียดเพิ่มเติมและศึกษาข้อมูลผลิตภัณฑ์ คลิกที่นี่
2. ควรติดตั้งอุปกรณ์ SRAN Security Center อย่างไร เพราะเหตุใด ?
ตอบ : การติดตั้ง SRAN Security Center สามารถทำได้ 3 วิธี คือ
1. การติดตั้งแบบ In-Line โดยวาง SRAN ขวางระบบเครือข่าย ระหว่างอุปกรณ์กับอุปกรณ์ หรือ อุปกรณ์กับระบบเครือข่าย ทั้งที่เป็นเครือข่ายภายใน และข้ามกันระหว่างเครือข่ายภายนอก การติดตั้งแบบ In-Line นี้จะไม่ได้เกี่ยวข้องกับค่า Configuration เดิม ไม่ต้องตั้งค่า Routing, NAT และ Default Gateway ใหม่ ทำให้สะดวกในการใช้งาน ทั้งยังสามารถป้องกันภัยคุกคามและบันทึกข้อมูลจราจร (Traffic Data) ได้ แต่มีข้อจำกัดคือ การติดตั้งแบบ In-Line เหมาะกับเครือข่ายขนาดเล็กเท่านั้น ก่อนพิจารณาติดตั้งจึงต้องคำนึงถึงค่าพื้นฐานในการรองรับอุปกรณ์ และจำนวน Concurrent Session บนระบบเครือข่ายเป็นสำคัญ
หมายเหตุ การติดตั้งแบบ Inline ควรคำนึงถึงระดับการใช้งานบนเครือข่าย และจำนวนเครื่องที่ออกสู่อินเตอร์เน็ท หรือเครือข่ายที่ทำการติดตั้งขวางระบบ ไม่ควรนำ SRAN ติดตั้งขวางระบบในองค์กรที่มีคอมพิวเตอร์เกิน 200 เครื่องเพราะอาจทำให้เกิดปัญหาคอขวดขึ้นกับเครือข่ายได้
2. การติดตั้งแบบ Passive โดยอาศัยความสามารถของอุปกรณ์ Switch ในการส่งข้อมูล (Traffic Data) มายังอุปกรณ์ SRAN Security Center โดยการทำ Mirror Port / SPAN Port บนตัวอุปกรณ์ Switch ในเครือข่าย โดยการ Capture traffic data มาให้อุปกรณ์ SRAN Security Center เป็นวิธีที่ทางบริษัทผู้ผลิตแนะนำให้ใช้ การติดตั้งแบบนี้เหมาะกับทุกระบบเครือข่าย และไม่ส่งผลกระทบกับเครือข่ายเดิม โดยการ Mirror Port สามารถทำจากอุปกรณ์ Switch ที่สามารถทำ Port Management ได้ หรือหาก Switch นั้นไม่สามารถทำ Mirror port ได้ก็ต้องใช้อุปกรณ์เสริม เช่นอุปกรณ์ในการ TAP Network เพื่อส่งข้อมูลทั้งหมดที่ผ่านเข้าออกระบบเครือข่ายมายังอุปกรณ์ SRAN เป็นต้น
3. การติดตั้งแบบ Transparent โดยวางขวางระหว่างอุปกรณ์เครือข่าย เช่นเดียวกับการติดตั้งแบบ Inline แต่การติดตั้งแบบ Transparent นี้จะไม่สามารถใช้ความสามารถ Intrusion Prevention System (IPS) ได้ กล่าวคือ ไม่สามารถป้องกันเหตุการณ์ตามรูปแบบ Signature ได้ แต่สามารถทำการบล็อค IP, MAC ADDRESS ได้ เหมาะสำหรับเครือข่ายที่ Switch ไม่สามารถ Mirror Port / SPAN Port ได้ และไม่ต้องการให้เกิดผลกระทบต่อทรูพุต (Throughput) ของเครือข่ายเหมือนกับการติดตั้งแบบ Inline
3. SRAN Security Center ใช้หลักการใดในการเก็บบันทึกข้อมูลจราจร ?
ตอบ : เทคนิคการเก็บบันทึกข้อมูลจราจรของ SRAN Security Center นั้น นำ 3 เทคโนโลยีมาใช้ร่วมกัน คือ
1. เทคนิคการทำ Flow Base Collector คือ การตรวจลักษณะการใช้งาน Bandwidth ผ่าน Protocol ICMP , TCP , UDP และ SNMP เพื่อดูลักษณะการใช้งาน ทั้งที่เป็นข้อมูลขาเข้า และขาออกจากระบบเครือข่าย
2. เทคนิคการวิเคราะห์ โดยเปรียบเทียบตามฐานข้อมูล ช่วยให้ทราบถึง Application Protocol ต่างๆ ไม่ว่าจะเป็นการใช้งาน Web , Mail , Chat , Telnet , VNC , Remote Desktop , Upload/Download และ การทำ VoIP ผ่านบางซอฟต์แวร์ ที่อยู่ในฐานข้อมูลของ SRAN
3. เทคนิคการตรวจจับค่า Syslog จากตัวอุปกรณ์ โดยสามารถรับค่า Syslog จากอุปกรณ์ เช่น Router , Firewall , IDS/IPS และ Proxy เครื่องแม่ข่าย เช่น Domain Controller, Proxy Server และ Web / Mail Server ได้ โดยกำหนดค่าตั้งรับ syslog ผ่านอุปกรณ์ SRAN Security Center ซึ่งจะมีอยู่ในรุ่นที่เป็น Hybrid Log Recorder คือ รุ่น SR-L Hybrid ขึ้นไปเท่านั้น
หมายเหตุ : สำหรับ SRAN Security Center ในรุ่นที่ไม่ใช่ Hybrid นั้น Log ที่เกิดขึ้นเป็น Log ที่เกิดจากการใช้งานระบบเครือข่าย ทั้งข้อมูลขาเข้าและขาออก และสามารถตรวจเครื่องลูกข่ายได้ แต่อาจเกิดความเข้าใจผิดใน Log นั้น (False Positive) หากไม่มีการวิเคราะห์เชิงลึก เพราะ Log ไม่ได้เกิดขึ้นจาก Local Host ของอุปกรณ์นั้นๆ โดยตรง
ข้อดีของเทคนิคการเก็บ Log แบบ SRAN
1. ติดตั้งสะดวก ไม่ส่งผลกระทบกับระบบเครือข่ายเดิม
2. ตัดปัญหาการออกแบบ และการติดตั้งระบบ ช่วยลดภาระค่าใช้จ่ายลงได้มาก
3. ใช้เนื้อที่เก็บบันทึกน้อย ด้วยเทคโนโลยีบีบอัดไฟล์ให้มีขนาดเล็ก
4. หลักฐานที่เก็บบันทึกไม่สามารถเปลี่ยนแปลงแก้ไขได้ โดยการทำ Data Hashing ด้วยอัลกอริธึม MD5 จึงเป็นหลักฐานที่เชื่อถือได้ในชั้นศาล
5. แสดงผลด้วยรายงานที่เข้าใจง่าย สะดวกต่อการสืบค้นข้อมูลย้อนหลัง (Data Archive) โดยเก็บบันทึกเป็นรายวัน ตามปฏิทินการใช้งาน พร้อมค่ายืนยัน Log File
6. เก็บข้อมูลจราจรโดยจัดเปรียบเทียบเหตุการณ์ (Correlation Log) ตามมาตรา 5 – 11 ซึ่งสามารถแปลความทางเทคนิคได้ โดยระบุ ใคร ทำอะไร ที่ไหน เมื่อไร อย่างไร ง่ายต่อการประมวลผลและการสืบหาผู้กระทำผิด โดยจัดเก็บข้อมูลไว้ได้มากกว่า 90 วัน
7. สามารถประเมินความเสี่ยงให้ผู้บริหารองค์กรทราบได้ว่ามีเครื่องใดในองค์กรที่เสี่ยงต่อการกระทำความผิดตาม พ.ร.บ.คอมพ์
8. สามารถวิเคราะห์การใช้งานเครือข่าย ทำให้ทราบว่าพนักงานในองค์กรใช้เครือข่ายไปในลักษณะใด ผิดประเภทหรือไม่
ศึกษารายละเอียดเพิ่มเติมเกี่ยวกับการอ่านค่า Log จาก SRAN คลิกที่นี่
กรณีศึกษาการใช้ SRAN วิเคราะห์จาก Log ตอนที่ 1
กรณีศึกษาการใช้ SRAN วิเคราะห์จาก Log ตอนที่ 2
4. Hybrid Log Recorder มีการทำงานอย่างไร ?
ตอบ : Hybrid Log Recorder เป็นการผสมผสานระหว่างเทคโนโลยี NSM (Network Security Monitoring) กับการรับค่า syslog จากอุปกรณ์ภายในเครือข่าย ขยายความได้ว่า
1. ในระดับ Internet และ Border Network ตรวจจับข้อมูลขาเข้าและขาออกโดยใช้เทคนิค Flow Base Collector และ เทคนิค Passive log จากเทคโนโลยี IDS/IPS
2. ในระดับ Host / user ตรวจจับลักษณะการใช้งานตาม Signature Base โดยแยกข้อมูลจราจรปกติ (Normal Traffic Data) และข้อมูลที่ไม่ปกติ (Threat Traffic Data) ออกจากกัน
3. ในระดับเครื่องสำคัญ เช่น Mail server ในองค์กร, Web Server ในองค์กร ทำการส่งค่า syslog มายังอุปกรณ์ SRAN Security Center
จึงเกิดเป็นเทคโนโลยี Hybrid ขึ้น อ่านรายละเอียดเพิ่มเติม คลิกที่นี่
ทำความรู้จัก SRAN Hybrid
การวิเคราะห์ข้อมูลผ่าน SRAN Hybrid
5. จำนวนอุปกรณ์ภายในเครือข่าย ที่รองรับได้สูงสุด หมายความว่าอย่างไร ? หากมี Concurrent มากจะส่งผลอย่างไร ?
ตอบ : เป็นจำนวนเครื่องภายในเครือข่ายซึ่งมีส่วนทำให้เกิด Concurrent ในการติดต่อสื่อสารระหว่างผู้รับและผู้ส่งข้อมูล ทั้งที่เป็นการติดต่อสื่อสารระหว่างเครื่องภายในองค์กร (LAN) เครื่องระหว่างองค์กร (Extranet) และการใช้งานเชื่อมต่ออินเตอร์เน็ต (Internet) เมื่อมี Concurrent มากเกินกว่าที่จะรับได้ ผลที่ตามมาคือ Services ที่ใช้ในการตรวจจับระดับข้อมูลเครือข่าย (Network Traffic) จะหยุดทำงาน หรือเลวร้ายที่สุดคือ เครื่อง SRAN หยุดทำงาน ทั้งนี้ หากติดตั้งแบบ Passive จะไม่ส่งผลกระทบกับระบบเครือข่าย แต่หากติดตั้งแบบ In-Line อาจส่งผลกระทบกับเครือข่ายได้ จึงต้องพิจารณารุ่นผลิตภัณฑ์ที่รองรับ Throughput, Concurrent Session และรองรับการ By pass ของฮาร์ดแวร์เป็นหลัก
6. จำนวน Session ที่รองรับได้สูงสุด หมายความว่าอย่างไร ?
ตอบ : หมายถึงจำนวน Concurrent Session ที่อุปกรณ์ SRAN Security Center แต่ละรุ่นสามารถรองรับได้ โดยรวมการติดต่อสื่อสารทั้งรับและส่งข้อมูล ตามจำนวน session การใช้งาน เช่น คอมพิวเตอร์ 1 เครื่อง สามารถสร้างได้หลาย session ในการใช้งานอินเตอร์เน็ต การเปิดเว็บ จำนวน 1 URL สร้างการเชื่อมโยง session ตามขนาดการตอบรับค่า TCP ซึ่งเกิดขึ้นจำนวน 2 segment TCP Port ต้นทาง และ TCP Port ปลายทาง (Port 80) เบื้องต้นก็เกิดประมาณ 6 session ทั้งการตอบรับ SYN ACK ACK- SYN และ FIN ถึงเกิดการรับและส่งข้อมูลได้ หากเปิดหลาย URL ก็จะมีการติดต่อสื่อสารหลาย session มากขึ้น เป็นต้น
7. การระบุตัวตนของ SRAN Security Center มีหลักการอย่างไร ?
ตอบ : หลักการระบุตัวตนของ SRAN Security Center ประกอบด้วย :
1. การระบุตัวตนการใช้งานเครื่องลูกข่าย โดยอุปกรณ์ SRAN Security Center สามารถทำการ Passive Inventory เพื่อเก็บเป็นคลังข้อมูลการใช้งาน ช่วยให้ทราบถึง ชื่อเครื่องลูกข่าย (Host name), IP Address, ค่า MAC Address และลักษณะการใช้งานตาม Application Protocol อ่านรายละเอียดเพิ่มเติม คลิกที่นี่
2. การระบุชื่อผู้ใช้งานผ่านระบบ Active Directory บน LDAP Protocol สามารถทราบชื่อผู้ใช้งาน หากมีการ Join Domain ผ่านระบบ Windows/Linux Active Directory ได้ อ่านรายละเอียดเพิ่มเติม คลิกที่นี่
3. การระบุตัวตนผ่าน Syslog (สำหรับ SRAN Security Center รุ่นที่เป็น Hybrid) สามารถทราบถึงการใช้งานของ User, ชื่อ User ที่ใช้งาน, รายละเอียดการ Login และความผิดพลาดเกี่ยวกับการระบุตัวตนได้ อ่านรายละเอียดเพิ่มเติม คลิกที่นี่
8. การใช้อุปกรณ์ SRAN Security Center ถือเป็นการดักข้อมูล (Sniffer) ตามมาตรา 8 แห่ง พ.ร.บ.คอมพ์ หรือไม่ ?
ตอบ : Sniffer คือการดักข้อมูลทางระบบเครือข่ายเพื่อนำข้อมูลทั้งหมดมาวิเคราะห์ หรือกระทำการอย่างใดอย่างหนึ่งเพื่อนำข้อมูลไปใช้ประโยชน์ ในทางกฎหมายให้ดูเจตนาเป็นหลัก (อ้างอิงจากคำอธิบายพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ โดย นายพรเพชร วิชิตชลชัย ประธานศาลอุทธรณ์ภาค ๔ ที่เผยแพร่โดยกระทรวง ICT ) หากเป็นการกระทำโดยมิชอบ เช่น ดักข้อมูล Username / Password เพื่อใช้ในทางมิชอบ ก็ถือว่าผู้กระทำการดังกล่าวมีฐานความผิดตามมาตรา 8 แห่ง พ.ร.บ.ฯ
อย่างไรก็ตาม อุปกรณ์ SRAN Security Center ใช้เทคนิคการกรองข้อมูลผ่านทางระบบเครือข่าย ไม่ใช่เทคนิคของ Sniffer เนื่องจากการใช้ Sniffer คือ Dump ข้อมูลทั้งหมดผ่านทางระบบเครือข่าย และเก็บบันทึกทุกเหตุการณ์ แต่ SRAN Security Center ไม่ได้บันทึกหมดทุกเหตุการณ์ เพียงพิจารณาตามหลักห่วงโซ่ของเหตุการณ์ (Chain of event) คือ ใคร, ทำอะไร, ที่ไหน, อย่างไร, เวลาใด เท่านั้น เพื่อให้เพียงพอต่อความต้องการในการหาตัวผู้กระทำผิดมาลงโทษ ตรงตามสาระสำคัญแห่ง พ.ร.บ. ฉบับนี้
SRAN Security Center จึงเป็นมากกว่าอุปกรณ์เก็บบันทึกข้อมูลจราจร แต่สามารถตรวจสอบ และวิเคราะห์หลักฐานที่ค้นพบได้ ตามหลักการสืบสวนสอบสวน เป็นประโยชน์อย่างยิ่งสำหรับผู้ดูแลระบบ ที่ต้องการวิเคราะห์หาสาเหตุ รวมถึงพนักงานเจ้าหน้าที่ และเจ้าหน้าที่ตำรวจ ตลอดจนนายจ้างที่ต้องการทราบถึงพฤติกรรมการใช้งานระบบสารสนเทศของพนักงานในองค์กร
9. SRAN Security Center มีบริการหลังการขายอย่างไร ?
ตอบ : ลูกค้า SRAN Security Center ทุกรายจะได้รับบริการอบรมการใช้งาน โดยไม่เสียค่าใช้จ่ายใดๆ ตลอดจนบริการบำรุงรักษา (MA) ฟรี ระยะเวลา 1 ปี นับจากวันที่ซื้ออุปกรณ์ (ซึ่งลูกค้าต้องทำการ Activate License เพื่อบันทึกข้อมูลเข้าระบบ) โดยบริการ MA นี้ ครอบคลุมการแก้ไขปัญหาที่เกี่ยวข้องกับ Hardware ตลอดจนการ Update ฐานข้อมูลต่างๆ เช่น Firmware, Signature เป็นต้น
ดูกำหนดการฝึกอบรมการใช้งาน SRAN Security Center คลิกที่นี่
10. ต้องการ Activate License Key ต้องทำอย่างไร ?
ตอบ อ่านรายละเอียดการ Activate License Key และการต่ออายุ License Key ได้ที่
คู่มือการ Activate License อุปกรณ์ SRAN
คู่มือการต่ออายุ License อุปกรณ์ SRAN
11. อุปกรณ์ SRAN Security Center ไม่ทำงาน ควรทำอย่างไร ?
ตอบ : มีแนวทางการตรวจสอบดังนี้
กรณีติดตั้งแบบ Inline หรือ Transparent ให้ตรวจสอบการใช้ชนิดของสายแลนว่าถูกต้องหรือไม่ เช่น การต่อจากอุปกรณ์ firewall มาที่เครื่อง SRAN โดยส่วนมากควรใช้สายแลนแบบต่อไขว้ (Crossover Ethernet Cable)ไม่ใช่แบบต่อตรง (Straight-Through Ethernet Cable)
กรณีติดตั้งแบบ Passive อาจเกิดจากการติดตั้งสาย LAN ไม่ถูกต้อง เช่น Mirroring หรือ SPAN Port ผิด ทำให้ดึงข้อมูลผิด Port ให้ดูวิธีการติดตั้งจากคู่มือให้ถูกต้อง หรือการส่งค่าของข้อมูลออกเพียง TX หรือ RX มาอย่างใดอย่างหนึ่งมิได้ หาก Proxy เป็น ISA เนื่องจากเครื่อง SRAN จะติดว่าใส่รูปแบบไม่ได้ เช่น \domain\user@pass ซึ่งยังไม่ Support การ Authen แบบนี้ แนะนำให้ Config ที่ ISA ว่าอนุญาติให้ IP เครื่อง SRAN ออกข้างนอกได้เลย หรือกรณีไม่อยากให้ออกทุก Protocol ก็แจ้งให้อนุญาติออกไปข้างนอก Port 21, 80, 443 เป็นต้น
12. ติดตั้ง SRAN แบบ Inline แล้วทุกเครื่องออก Internet ไม่ได้
ตอบ : มีแนวทางการตรวจสอบดังนี้
- ให้ทำการตรวจสอบในหน้า Management –> Services –> Start/Stop Service ดูว่า Service ของ IDP ทำงานหรือไม่ ถ้าไม่ทำงานให้สั่ง Start Service
- ให้ทำการตรวจสอบหน้า Management –> Protect ว่าได้ Set ให้ block 0.0.0.0/0 จาก SourceIP หรือไม่ หากใช่ก็จะทำให้ออก Internet ไม่ได้ ให้ลบ Rule นี้ออก
13. ไม่สามารถเข้าไป Monitor SRAN ผ่านหน้าเว็บได้
ตอบ : จากภายในองค์กร อาจเกิดได้จากหลายสาเหตุ ดังนี้
-
ไม่ได้เปิดเครื่อง SRAN
-
ไม่ได้ใช้ Protocol “HTTPS”
-
ใส่ IP ผิด
-
ไม่ได้ต่อสายที่ Port Manage เข้ากับเครื่องคอม หรือเข้ากับ Switch ในวง Network เดียวกัน
-
ในกรณีที่ต่อตรงเข้ากับคอมพิวเตอร์เครื่องเดียวให้ใช้สาย Cross ดีที่สุด
-
สายที่นำมาใช้ต่อเข้ากับ Port Manage มีการชำรุดหรือขาด
-
ตอน Set IP ใช้วิธี Set ผ่าน Port Console ซึ่งการ Set IP แบบนี้ต้องเข้ามา SAVE ผ่านหน้าเว็บด้วยทุกครั้งในหน้า Management –> TCP/IP Configuration ตรวจสอบ IP ให้ถูกต้อง แล้วกด Save Config
-
ถ้าในกรณีที่เปิดเครื่องแล้วยังไม่สามารถ Monitor SRAN ผ่านหน้าเว็บได้ ให้รอสักครู่ เนื่องจากบางทีเครื่อง SRAN อาจกำลังทำการ Scan Disk อยู่ ซึ่งจะสามารถเห็นได้ถ้าเปิดผ่านหน้า HyperTerminal โดยการต่อที่ Port Console
จากภายนอกองค์กร
- Firewall ขององค์กรที่ติดตั้ง SRAN ไม่ได้ฟอร์เวิร์ด Port 443 ของ SRAN ออกมาให้หรือ Config Rules Firewall ไม่ผ่าน
14. สังเกตอย่างไรว่า Harddisk ใกล้เต็มหรือไม่ ?
ตอบ เข้าไปดูได้ที่หน้า Management –> Services –> Data Archive แล้วสังเกตุจาก Total ว่าใช้ไปกี่ % โดยที่
- ส่วน /backup คือ ส่วนที่ใช้ในการเก็บ Log
- ส่วน /sran คือ Partition ในส่วนของตัวระบบ
15. หากพบว่า Harddisk ใกล้เต็ม (ส่วน /backup) ควรทำอย่างไร ?
ตอบ : ทำการสำรองข้อมูล Log โดยการ Export Log ออกมาเก็บไว้ภายนอก โดยเลือกที่ Management –> Services –> Log Export เลือก Enable ใส่ IP Address ที่จะเก็บ Log สำหรับ Backup จากนั้นตั้งชื่อ Share Directory ให้ตรงกับ Folder ของเครื่องที่ใช้ Backup Log โดยต้องกำหนดค่าให้ Share Folder ของเครื่องที่ใช้ Backup Log ด้วย
16. ทำไมปริมาณ HDD ที่เห็นจึงมีไม่ครบตามที่กำหนด ?
ตอบ : เพราะไฟล์ส่วนหนึ่งจะถูกใช้ในการแบ่งระบบ จะเป็นลักษณะเหมือนกับพวก Flash Drive ที่ซื้อมา 1 GB แต่มีเนื้อที่จริงๆแค่ 954 MB เท่านั้น
17. ทำอย่างไรหากต้องการดู Log ย้อนหลัง ?
ตอบ : เข้าไปดูได้ที่หน้า Management –> Services –> Data Archive เลือกวันที่ที่ต้องการดู Log ย้อนหลัง ที่ปฏิทินทางด้านข้าง
18. Log ขนาดใหญ่ เปิดดูไม่ได้ ต้องทำอย่างไร ?
ตอบ : ในขณะที่ตัวอุปกรณ์ กำลังทำงานอยู่นั้น อาจเกิดปัญหาเปิดดู log ย้อนหลังได้ช้า เนื่องจากในขณะที่กำลังทำงาน ตัวอุปกรณ์ก็ได้บันทึกเหตุการณ์ใหม่ๆ ลงไปด้วย SRAN จึงได้พัฒนา SRAN Viewer เพื่อเพิ่มความสะดวกในการวิเคราะห์ Log และอ่าน Log File ขนาดใหญ่ (500 MB ขึ้นไป) โดยสามารถดาวน์โหลดโปรแกรม SRAN Viewer และศึกษาคู่มือการใช้งานได้ คลิกที่นี่
19. ทำไมเปิด log จากปฏิทินใน Data Archive แล้วไม่มีอะไรเกิดขึ้น ?
ตอบ : อาจเกิดจาก 2 สาเหตุ คือ
1. ไฟล์ของ Log ที่เปิดมีขนาดใหญ่มาก อาจต้องใช้เวลานานสักหน่อย ซึ่งสามารถ Export Log ออกมาเปิดที่โปรแกรม SRAN Viewer ได้
2. การเปิด Log files มีลักษณะเป็นการ pop up ของ browser ต้องดูว่า browser ที่ใช้มีการ Block pop up หรือไม่ ถ้ามี ต้องปลดออกไม่ให้ Browser นั้น Block pop up
20. เวลาในเครื่อง SRAN ไม่ตรงตามเวลามาตรฐาน ?
ตอบ : ให้ตรวจสอบที่หน้า Management –> System –> Time Setting
- ในช่อง NTP Server ให้ใส่ว่า “time1.nimt.or.th time.navy.mi.th” แล้วกด Update Now
- แต่ถ้าภายในองค์กรมี Time Server แล้วในช่อง NTP Server ให้ใส่เป็น IP ของ Time Server ภายในองค์กรแทน
- ทดสอบเปลี่ยนค่าวัน เดือน ปี และเวลาในช่องบรรทัด Enter New Time แล้วกด Update Time หลังจากนั้นสังเกตจากบรรทัดบนค่าของวัน เดือน ปี และเวลาจะเปลี่ยนไปตามที่ Set ไว้ (ถ้าเวลาไม่เปลี่ยน อาจเกิดจากปัญหาที่ตัวอุปกรณ์) ต่อไปที่บรรทัด NTP Server ให้กรอกค่าตามที่กำหนดแล้วกด Update Now
- ถ้ายังไม่ได้อีกแสดงว่าเครื่อง SRAN ไม่สามารถต่อออก Internet ได้ ทำให้เวลาไม่สามารถไป Sync กับ Server ภายนอกได้ ซึ่งวิธีตรวจสอบว่า SRAN ออก Internet ได้หรือไม่ คือเข้าไปที่ Management –> License จะต้องแสดงช่องให้ใส่ License Key ถ้าใช่แสดงว่า SRAN สามารถออก Internet ได้
อ่านรายละเอียดเพิ่มเติม คลิกที่นี่
21. Register หน้า License ไม่ได้ ?
ตอบ : อาจเกิดได้จากหลายสาเหตุ ดังนี้
- เครื่อง SRAN ไม่สามารถต่อออก Internet ได้
- ในหน้า set IP ไม่ได้กำหนดค่าที่ถูกต้อง
- กรณีที่ในองค์กรมี Proxy ต้องระบุค่าลงไปให้ครบถ้วนด้วย
- ติด Rules Firewall ภายในองค์กร
22. Payload ของ SRAN Viewer เป็นข้อความที่ไม่สื่อความหมาย สามารถ Encode ให้อ่านออกได้หรือไม่ ?
ตอบ : SRAN Viewer ยังไม่สามารถแปลงรหัสภาษาของ Payload นอกเหนือจากภาษาอังกฤษ
23. Payload ของอุปกรณ์ SRAN เป็นข้อความที่ไม่สื่อความหมาย (เป็นแบบอักษรสี่เหลี่ยม) อ่านไม่ออก
ตอบ : Payload บางอย่างสามารถอ่านเป็นคำๆ ได้ บางอย่างก็ไม่สามารถอ่านได้ ตัวอย่างที่อ่านได้เช่น HTTP Get , HTTP Post , Chat ถ้าไม่สามารถอ่านข้อความได้ให้ไปปรับ Encoding ที่ Web Browser
- ใน Internet Explorer ไปที่ View > Encoding > Thai (Windows)
- ใน Firefox ไปที่ View > Character encoding > Thai เช่นกัน
สับไปมาระหว่าง Thai , UTF-8
24. หน้าจอ LCD ไม่แสดงผล เกิดจากสาเหตุใด ?
- หน้าจอ LCD เป็นส่วนที่แสดงผลเป็นตัวสุดท้าย ต้องใช้เวลาระยะหนึ่ง แต่หากพบว่าหน้าจอไม่แสดงผลจริงๆ ให้ทำการ restart เครื่องใหม่ หน้าจอจะกลับมาแสดงผลตามปกติ
- หน้าจอ LCD เสีย ให้สังเกตว่าไฟเข้าอุปกรณ์ตามปกติ แต่หน้าจอไม่ทำงาน แม้ได้ restart เครื่องแล้ว
25. Syslog ไม่สามารถรับ Log จากบางอุปกรณ์ ?
ตอบ : เนื่องจากอุปกรณ์ที่ส่ง Log มาให้อุปกรณ์ SRAN นั้นจำเป็นต้องส่งมาที่โปรโตคอลของ Syslog เท่านั้น ถ้าเป็นโปรโตคอลอื่นๆจะไม่สามารถรับ Syslog ได้
26. Hard Disk ในส่วนของ Backup Log เต็มส่งผลให้ SRAN หยุดเก็บ Log ทุกอย่าง ?
ตอบ : ใน Firmware Version ใหม่ จะมีการแจ้งเตือนเมื่อมีการใช้งาน Harddisk ไป 80% แล้ว ส่งไปที่อีเมล์ของ Admin ซึ่ง Admin ควร Backup Log ไว้ก่อนทำการลบทิ้ง อย่างไรก็ตามอีเมล์ที่ส่งไปอาจเข้าไปอยู่ใน Folder Junk Mail ผู้ดูแลระบบควรหมั่นตรวจสอบ Folder นี้ และกำหนดค่าอีเมล์ที่มาจาก SRAN เป็นอีเมล์ปกติ (Not Junk) เพื่อให้อีเมล์แจ้งเตือนครั้งต่อๆ ไปส่งถึง Inbox ของผู้ดูแลระบบโดยตรง
27. บางสภาวะไม่สามารถเปิดให้ทางทีมงานของ Global Tech ล็อกอินเข้าที่เครื่อง SRAN ได้ เนื่องจากลูกค้าไม่มี Link Internet เพราะถูกควบคุม Policy บน Firewall จาก IT Admin ที่อยู่ต่างประเทศ
ตอบ : วิธีแก้ไขคือ อาจจะให้ลูกค้าใช้โปรแกรมสำหรับการ Remote เช่น Logmein หรือ TeamViewer ลงในเครื่องที่สามารถติดต่อกับเครื่อง SRAN ในองค์กรของลูกค้า เพื่อให้ทางทีมงานของ Global Tech สามารถทำการ Remote เข้าไปแก้ไขอุปกรณ์ SRAN ได้
28. สรุปปัญหาที่พบจากการติดตั้งอุปกรณ์ SRAN และแนวทางแก้ไข
ตอบ : ปัญหาในการติดตั้งส่วนใหญ่มาจากการติดตั้งแบบวางขวาง ทั้งในโหมด Inline และ Transparent ส่วนการติดตั้งแบบ Passive ไม่ค่อยพบปัญหาเท่าใดนัก
- ตัวอย่างปัญหา เช่น ลูกค้าที่มีการใช้งาน Proxy และไม่สามารถติดตั้ง SRAN แบบ Passive ได้ เนื่องจากอุปกรณ์ที่มีอยู่ของลูกค้าไม่รองรับการทำ Mirror Port หรือ Span Port เมื่อทำการติดตั้ง SRAN ที่ตำแหน่งหลัง Firewall หน้า Switch อุปกรณ์ SRAN จะไม่สามารถเก็บข้อมูลการใช้งาน http (การใช้งานเว็บ) ของลูกค้าได้ จะเห็นเพียง Proxy ติดต่อกับภายนอก แต่หากติดตั้ง SRAN โดยวางขวาง Proxy จะสามารถเก็บข้อมูลในส่วนของ http ได้อย่างเดียว
- วิธีแก้ปัญหาคือ ใช้อุปกรณ์ Network Tap ที่สามารถทำ Mirror Port แบบ Many To One ได้ มาเสริม เช่น อุปกรณ์ของบริษัท Net Optics ซึ่งสามารถใช้แก้ปัญหาเหล่านี้ได้เป็นอย่างดี
29. ทำไมหน้า Monitor จึงไม่แสดงเหตุการณ์อะไรขึ้นเลย หลังจากทำการอัพ Firmware แล้ว ทั้งๆที่ก่อนหน้านี้ลักษณะการทำงานใช้ได้ปกติ
ตอบ : สาเหตุเกิดจากมีการอัพ Firmware ข้ามขั้นตอนซึ่งก่อนที่จะทำการอัพ Firmware ควรมาตรวจสอบที่ในอุปกรณ์ SRAN ที่เมนู Management -> System -> System status ก่อนว่า Firmware Date ล่าสุดในเครื่องเป็นของวันที่เท่าไหร่
หลังจากนั้นจึงเข้าไปตรวจสอบที่เว็บไซต์ www.gbtech.co.th แล้วเลือก SRAN Security Center: Firmwareเพื่อเลือกอัพ Firmware โดยขั้นตอนการอัพควรทำทีละขั้นตอน ไล่ลงมาทีละข้อดังภาพตัวอย่างด้านล่าง
ในกรณีที่เกิดปัญหาดังคำถามข้างต้น แนะนำให้ติดต่อทางตัวแทนจำหน่าย หรือทางบริษัทโกลบอลเทคโนโลยี เพื่อดำเนินการแก้ไขปัญหาต่อไปครับ
ข้อมูลทั่วไปและคำถามเกี่ยวกับ SRAN Light
1. ถามว่า SRAN เราใช้อะไรในการตัดสินใจการระบุตัวตนผู้ใช้งาน
ตอบ : ทาง SRAN ใช้ค่า MAC Address อย่างเดียว เป็นตัวระบุเครื่องหรือผู้ใช้งานในระบบ เพื่อให้ไม่เกิดปัญหาเวลาที่ User เปลี่ยน IP หรือเป็นแจกแบบ DHCP
2. เนื่องจากเขาทำระบบเป็น AD ทำให้ผู้ใช้งานไป Login ใช้เครื่องไหนก็ได้ในองค์กร ไม่มีเครื่องประจำ จะสามารถระบุตัวตนได้อย่างไร
ตอบ : เนื่องจาก SRAN ใช้ค่า MAC Address เป็นตัวระบูเครื่องหรือผู้ใช้งาน ซึ่งใน Case นี้ สามารถประยุกต์โดยการทำการเก็บ Log การ Login ของผู้ใช้งานที่ระบบ AD และนำเอามาเทียบกับอุปกรณ์สามารถ SRAN ในช่วงเวลาที่สงสัยได้
3. เรื่อง Hyblid (Syslog) ว่าจะพัฒนาบน SRAN_Light หรือไม่ และ เรื่อง Hyblid ที่ SRAN เดิมจะพัฒนาอะไรเพิ่มเติมหรือไม่
ตอบ : ณ ปัจจุบัน อุปกรณ์ SRAN Light ได้พัฒนาเรื่อง Hybrid ให้มีเรื่องของการรับ Syslog จากอุปกรณ์อื่นได้เรียบร้อยแล้ว
4. SRAN Light มีวิธีการอย่างไร ในเรื่องของการป้องกันการไม่ให้ละเมิดสิทธิส่วนบุคคลของพนักงานในองค์กร
ตอบ : ทางบริษัทหรือองค์กรควรมีการออกนโยบายด้านความมั่นคงปลอดภัยข้อมูล (Security Policy) และในระดับชั้นการเข้าถึงข้อมูลของ ระบบ SRAN หากบริษัทนั้นๆ ได้ติดตั้งระบบแล้ว ต้องมีการจัดหมวดหมู่การเข้าถึง เช่น การเข้าถึงในระดับชั้น Data Owner นั้นคือผู้บริหารเท่านั้นที่ดูได้ Data Custody นั้นคือผู้ที่ได้รับหน้าที่มาในการเก็บ Log ส่วนใหญ่อำนาจหน้าที่ควรเป็น CIO ของบริษัท เป็นต้น การละเมิดสิทธิส่วนบุคคล หากมีการกำหนดนโยบายด้านความมั่นคงปลอดภัยแล้ว พนักงานทุกคนรับทราบว่าเครื่องคอมพิวเตอร์ที่ท่านใช้บริษัทสามารถตรวจสอบได้ทุกเมื่อ เนื่องจากเป็นทรัพยากร และ ทรัพยสินของบริษัท ทุกคนก็ต้องรับทราบในการใช้ข้อมูล เป็นต้น
5. ในส่วนของผู้ดูแลระบบ SRAN Light ในองค์กร มีการ Login ก่อนเข้าใช้หรือไม่ และจะป้องกันไม่ให้เข้าไปดูข้อมูลของผู้อื่นอย่างไร
ตอบ : เช่นเดียวกับข้อที่ 4 คือควรมีการกำหนดบทบาทและหน้าที่ของผู้ดูแล Log ผู้ที่เข้าถึง log ผู้ที่ทำการ archive log โดยมีกรอบคือ Data owner คือใคร มีบทบาทหน้าที่อย่างไร Data custody คือใคร มีบทบาท อย่างไร ออกเป็น Policy ในองค์กรเสียก่อน จากนั้นค่อยทำให้ SRAN
*** อย่าลืมว่า SRAN เป็นเพียงเทคโนโลยี ในการอำนวยความสะดวกในการบริหารจัดการข้อมูลสารสนเทศให้รู้ทันปัญหาและเก็บบันทึกข้อมูลจราจร ให้ถูกต้องตามกฏหมายคอมพิวเตอร์ เท่านั้น
6. ในการที่ระบบ SRAN Light สามารถแยกภัยคุกคามเป็นระดับความเสี่ยง สูง กลาง ต่ำ นั้น ดูจากอะไรหรอคะ ทำไมถึงแยกได้ว่าอันไหน สูง กลาง ต่ำ
ตอบ : SRAN Light มีการตรวจสอบข้อมูล 2 ประเภท คือ ข้อมูลปกติ และ ไม่ปกติ
ข้อมูลปกติ ที่เกิดจากการใช้ข้อมูลสารสนเทศ ทั้งใน วง LAN และ ในการติดต่อสื่อสารผ่าน Internet ได้แก่ Web , Mail , Chat อื่นๆ เป็นต้น ไม่มีภัยคุกคามการติดต่อสื่อสารเหล่านั้นจะเก็บเข้าไปในรูป Log ที่สามารถค้นหา และทำการ Hashing ข้อมูลเพื่อป้องกันการแก้ไข ในกรณีที่มีการทุจริตเกิดขึ้นในองค์กร
- ข้อมูลไม่ปกติ ที่เกิดจากการใช้ข้อมูลสารสนเทศ เช่น ติดไวรัส ติดเป็นเหยื่อ botnet ส่ง spam และอื่นๆ นั้น SRAN จะใช้หลักการของ Network Intrusion Detection System ในการตรวจสอบ โดยมีฐานข้อมูลของพฤติกรรมอันไม่ปกติอยู่ในเครื่อง SRAN และมีการ update ฐานข้อมูลดังกล่าวตามระยะเวลาของ License ของ SRAN หากอยู่ในประกัน SRAN จะมีการอัพเดทอย่างสม่ำเสมอเพื่อได้เรียนรู้ถึงภัยคุกคามที่เกิดขึ้นมาใหม่ ได้ทันเวลา และเมื่อ SRAN มีการเรียนรู้เรื่องภัยคุกคาม ทีมพัฒนา SRAN จึงได้จัดหมวดหมู่ (Category) ของระดับความรุนแรงของภัยนั้น ว่ามีความเสี่ยง สูง กลาง และต่ำ อย่างไร ซึ่งในระบบ สามารถเปิดให้ ผู้ใช้งาน บริหารจัดการความเสี่ยงตามหมวดหมู่ของกลุ่ม Signature ที่เตรียมไว้ใน SRAN ได้ ทั้งนี้ขึ้นกับ Security Policy ขององค์กรด้วย ยกตัวอย่าง เช่น บางองค์กร อาจจะถือว่าการเล่น MSN เป็นภัยคุกคามที่รุนแรง โดยเฉพาะการส่ง file ออกนอกบริษัท ดังนั้น SRAN ก็จะเริ่มค่าว่าการส่ง file ผ่าน Protocol MSN นั้นจะมีความเสี่ยงที่สูง เป็นต้น ส่วนความเสี่ยงสูงที่มากับ SRAN ส่วนใหญ่จะเป็นเรื่องภัยจาก Malware และการทำ P2P เป็นหลัก ส่วนภัยที่เกิดจากความเสี่ยงปานกลาง และต่ำ ส่วนมากเป็นเรื่องเกี่ยวกับการ config ที่ไม่เหมาะสมในอุปกรณ์เครือข่าย เช่น Switch , Router หรือ Firewall ที่ปล่อยค่า ICMP หรือ Broadcast แบบไร้ที่มาที่ไป เป็นต้น
7. หากผู้ใช้หลายคนเข้าใช้เครื่องคอมพิวเตอร์เครื่องเดียวกัน หรือมีการใช้เครื่องคนอื่นและรหัสที่เข้าใช้งานของคนอื่นในการกระทำความผิด ตรงนี้จะสามารถหาผู้กระทำความผิดได้ไหมคะ และอย่างไร
ตอบ : หาผู้กระทำความผิดได้ หากในองค์กรนั้นทำระบบ Authentication และเอา Log Authentication โยนเข้ามาที่ SRAN Light แนะนำว่าควรใช้ SRAN Light รุ่น Hybrid เนื่องจากจะรับ syslog ได้ และได้มาตราฐานตามการเก็บ Log จาก NECTEC ส่วนหากองค์กรหรือบริษัท ยังไม่มีระบบ Authentication ทางบริษัทฯ (Global Technology Integrated : www.gbtech.co.th ) มีแนวทางในการจัดทำระบบให้สมบูรณ์ ทั้งหมดนี้ต้องเรียนว่าระบบจะสมบูรณ์ได้ไม่ได้ขึ้นกับ เทคโนโลยี อย่างเดียวแต่ต้องขึ้นการ คน และ กระบวนการด้วย ดังนั้นทางบริษัท ฯ ยินดีให้คำปรึกษา พร้อมการออกแบบระบบ เพื่อให้ยั้งยืนในอนาคตต่อไป
8. SRAN Light มองเห็น MAC Address สำหรับเครือข่ายที่ทำ VLAN หรือไม่
ตอบ: เนื่องจากในบางเครือข่าย (Network) ไม่สามารถมองเห็นเนื่องจากการออกแบบที่มีการใช้งานผ่าน core Switch ทั้งทีทำ VLAN และไม่มี VLAN จนอาจเกิดปัญหาว่า ” ชื่อผู้ใช้งานหายไปไหน” เมื่อชื่อผู้ใช้งานไม่โชว์ ทั้งๆที่เพิ่มข้อมูลผู้ใช้งานและ MAC Address แล้วก็ตาม หลายๆท่าน ที่ใช้ SRAN Light ในรุ่นต่างๆ คงสงสัยและพบปัญหานี้คงคิดว่าเป็น Bug ที่เกิดจาก SRAN เมื่อเพิ่มข้อมูลผู้ใช้งานในส่วนของ Inventory มาดูในหน้า Monitor กับไม่พบชื่อผู้ใช้ ทั้งๆที่เพิ่มข้อมูลผู้ใช้งานกับ MAC Address ในความเป็นจริงแล้ว เนื่องจากบางเครือข่ายมีอุปกรณ์ ที่ทำงานอยู่ layer 3 วางกันในส่วนของการออก Internet ทำให้ค่า MAC ไม่ forward ข้อมูลมา ดังภาพตัวอย่าง
เพราะอุปกรณ์ Switch บางรุ่นสนับสนุน SNMP ซึ่งสามารถเรียกดูหรือจัดการตัวอุปกรณ์ Switch เอง เพียงผู้ดูแลระบบทำการเปิดการใช้งาน SNMP ในส่วนของเวอร์ชั่น 1 หรือ 2 และทำการเซ็ตค่า community string เพียงเท่านี้ก็เสร็จไปขั้นตอนแล้วที่เหลือ ก็เพียงไปทำการเซ็ตที่อุปกรณ์ SRAN ดังภาพต่อไปนี้
เพียงเข้าไปเซ็ตค่าที่ SnmpWalk Configuration ในส่วนของอุปกรณ์ (Device) ทางทีมงานออกแบบให้รับรองถึง 3 อุปกรณ์ กรณีที่เครือข่ายมีการเชื่อมต่ออุปกรณ์ Core Switch หลายจุด แนะนำดังนี้หากมีจำนวนผู้ใช้งานจำนวนมาก ควรติดตั้ง SRAN Light มากกว่า 1 ตัว โดยตัวอุปกรณ์จะทำการร้องขอข้อมูลจากอุปกรณ์ Switch และทำการบันทึกข้อมูลชั่วคราวเอาไว้ เพื่อไม่เป็นการไปร้องขอข้อมูลจาก Switch จนเกินไป
9. ทำไมหน้า Monitor จึงไม่แสดงเหตุการณ์อะไรขึ้นเลย หลังจากทำการอัพ Firmware แล้ว ทั้งๆที่ก่อนหน้านี้ลักษณะการทำงานใช้ได้ปกติ
ตอบ : สาเหตุเกิดจากมีการอัพ Firmware ข้ามขั้นตอนซึ่งก่อนที่จะทำการอัพ Firmware ควรมาตรวจสอบที่ในอุปกรณ์ SRAN ที่เมนู Management -> System -> System status ก่อนว่า Firmware Date ล่าสุดในเครื่องเป็นของวันที่เท่าไหร่
หลังจากนั้นจึงเข้าไปตรวจสอบที่เว็บไซต์ www.gbtech.co.th แล้วเลือก SRAN Light: Firmware เพื่อเลือกอัพ Firmware โดยขั้นตอนการอัพควรทำทีละขั้นตอน ไล่ลงมาทีละข้อดังภาพตัวอย่างด้านล่าง
สอบถามข้อมูลเพิ่มเติม ติดต่อได้ที่ โทร. 02-982-5445 หรืออีเมล์ : supports at gbtech.co.th
เกร็ด พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
1. พ.ร.บ.ฉบับนี้ คือ “กฎหมายว่าด้วยการบังคับให้เก็บ Log File” จริงหรือ ?
ตอบ เป็นความจริงเพียงครึ่งหนึ่ง เพราะวัตถุประสงค์หลักของกฎหมายฉบับนี้ คือ ป้องปรามมิให้ผู้ใดใช้เทคโนโลยีสารสนเทศไปในทางที่ทำให้ผู้อื่นเกิดความเสียหาย และได้ระวางโทษไว้ทั้งจำและปรับ แต่ด้วยความที่ พ.ร.บ.ฉบับนี้เกี่ยวข้องกับเทคโนโลยีสารสนเทศ หลักฐานต่างๆ จึงอยู่ในรูปของข้อมูลอิเล็กทรอนิคส์ หรือใช้ศัพท์ว่า “ข้อมูลจราจรทางคอมพิวเตอร์ (Computer Traffic Data)” ซึ่งเป็นหลักฐานที่จำเป็นในการสืบสวนหาผู้กระทำความผิด แต่ปัญหาก็คือหลักฐานประเภทนี้ถูกทำลายหรือดัดแปลง ตกแต่ง ได้ง่าย กฎหมายจึงต้องบังคับให้มีการเก็บหลักฐานที่สามารถพิสูจน์ได้ว่าข้อมูลนั้นๆ จะไม่ถูกดัดแปลง หรือแก้ไข
2. ผู้ใดมีหน้าที่ต้องเก็บบันทึกข้อมูลจราจรทางคอมพิวเตอร์ (Log File) ?
ตอบ กฎหมายกำหนดให้ “ผู้ให้บริการ” มีหน้าที่ต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ ของ “ผู้ใช้บริการ”
ผู้ให้บริการ คือผู้ที่เปิดให้บุคคลอื่นเข้าสู่อินเตอร์เน็ต หรือให้บุคคลติดต่อกันได้ผ่านระบบคอมพิวเตอร์ ได้แก่ หน่วยงานทั้งภาครัฐและเอกชน, โรงพยาบาล,โรงแรม, ร้านอินเตอร์เน็ต, อพาร์ทเม้นท์ และอื่นๆ ที่มีเครือข่ายคอมพิวเตอร์ หรืออินเตอร์เน็ต ไม่ว่าจะมีสายหรือไร้สาย
อีกมุมหนึ่งคือ ผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์ของบุคคลอื่น เช่น ISP เป็นต้น
ผู้ใช้บริการ คือ บุคคลที่เข้ามาใช้บริการของผู้ให้บริการ ไม่ว่าจะเสียค่าใช้จ่ายหรือไม่ก็ตาม ได้แก่ พนักงานในองค์กร, ลูกค้า, ผู้พักอาศัย เป็นต้น
3. เก็บ Log File อย่างไร จึงสอดคล้องตามมาตรา 26 และ 27 แห่ง พ.ร.บ.คอมพ์ ?
ตอบ พ.ร.บ.กำหนดให้ “ผู้ให้บริการ” ต้องเก็บรักษาข้อมูลของ “ผู้ใช้บริการ” เท่าที่จำเป็น เพื่อให้ระบุตัวผู้กระทำความผิด หากเกิดคดีความขึ้นได้ โดยหลักฐานที่เก็บนั้นต้องสามารถพิสูจน์ต่อพนักงานเจ้าหน้าที่/ศาลได้ว่าไม่ได้ถูกดัดแปลง หรือแก้ไข โดยเก็บบันทึกไว้ไม่ต่ำกว่า 90 วัน นับจากวันสุดท้ายที่ใช้บริการ
ทั้งนี้ การเก็บ Log File “เท่าที่จำเป็น” นั้น คือเพื่อให้ทราบว่าใคร เข้ามาใช้เครือข่ายคอมพิวเตอร์ กระทำการใด ในช่วงเวลาใด เพื่อเป็นข้อมูลประกอบกับหลักฐานแวดล้อมอื่น ดังนั้น เครือข่ายใดที่มีผู้ใช้งานเพียงไม่กี่ราย ก็สามารถเลือกใช้วิธีจดบันทึกการใช้งานลงบนสมุด ระบุชื่อบุคคล, ช่วงเวลาที่ใช้งาน และเครื่องคอมพิวเตอร์ที่ใช้ ก็ถือเป็นการเก็บหลักฐานที่ไม่ถูกดัดแปลงแก้ไขได้เช่นกัน ไม่จำเป็นต้องติดตั้งอุปกรณ์เก็บบันทึก Log File ให้สิ้นเปลืองแต่อย่างใด
4. ลักษณะใดเรียกว่าการกระทำโดยมิชอบเพื่อดักรับไว้ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ระหว่างการส่งในระบบคอมพิวเตอร์ ตามมาตรา 8 แห่ง พ.ร.บ.คอมพ์ ?
ตอบ ประเด็นนี้มักเกิดความเข้าใจคลาดเคลื่อนบ่อยครั้ง โดยเข้าใจว่าอุปกรณ์หรือเทคโนโลยีใดที่มีการจับข้อมูลที่วิ่งอยู่บนเครือข่ายคอมพิวเตอร์ ถือว่าผิดตามมาตรานี้ ซึ่งหากตีความเช่นนี้คงเกิดความวุ่นวาย เพราะทั้ง Firewall, AntiVirus, IDS/IPS, UTM/USM ล้วนเข้าข่ายนี้ทั้งสิ้น เพราะทางเทคโนโลยีอุปกรณ์เหล่านี้ต้องนำข้อมูลที่วิ่งอยู่บนเครือข่ายมาเปรียบเทียบกับรูปแบบต่างๆ ที่ตัวเองมีอยู่เพื่อระบุว่าข้อมูลใดที่ผิดปรกติ เช่นเป็น Virus ประเภทใดเป็นต้น ดังนั้นการตีความจึงต้องดูเจตนาเป็นหลัก เช่น หากบริษัทใดมีระบบใดๆ ดังกล่าวข้างต้น หรือลักษณะการทำงานอย่างนี้ติดตั้งอยู่เพื่อกิจการงานของบริษัทฯ โดยบริษัทฯ เป็นผู้จัดหามาโดยชอบ ถือว่าเป็นการทำโดยชอบจึงไม่เข้าข่ายความผิดตามมาตรานี้ ซึ่งท่านพรเพชร วิชิตชลชัย ประธานศาลอุทธรณ์ภาค 4 ได้อธิบายไว้ว่า “ต้องอย่าลืมว่าการกระทำความผิดตามมาตรานี้ ผู้กระทำได้กระทำไป “โดยมิชอบ” ด้วย ซึ่งหมายถึงการไม่มีอำนาจกระทำ ดังนั้น ถ้าผู้กระทำมีอำนาจที่จะกระทำได้ไม่ว่าโดยกฎหมายหรือโดยการอนุญาตของเจ้าของสิทธิ ผู้กระทำย่อมไม่มีความผิด”
อีกกรณีหนึ่ง หากมีผู้ใช้บริการอินเตอร์เน็ตสาธารณะแล้วถูกผู้ไม่หวังดีดักข้อมูลบางอย่างที่เป็นข้อมูลส่วนตัวไป ก็อาจไม่สามารถอ้างความคุ้มครองตามมาตรานี้ได้ หากข้อมูลดังกล่าวมิได้ถูกเข้ารหัสเพื่อป้องกันการเข้าถึง ซึ่งท่านพรเพชร ได้อธิบายไว้ว่า “การพิจารณาว่าข้อมูลคอมพิวเตอร์ได้มีไว้เพื่อประโยชน์สาธารณะหรือเพื่อให้บุคคลทั่วไปใช้ประโยชน์ได้หรือไม่ ต้องพิจารณาจากข้อเท็จจริงว่าลักษณะการส่งข้อมูลคอมพิวเตอร์ดังกล่าวนั้นผู้ส่งต้องการให้เป็นเรื่องเฉพาะตน ไม่ได้ต้องการให้เปิดเผยข้อมูลนั้นแก่ผู้ใดหรือไม่ การพิจารณาว่าข้อมูลคอมพิวเตอร์ใดมีไว้เพื่อประโยชน์สาธารณะจึงต้องพิจารณาจากการมีการเข้ารหัสการเข้าถึงข้อมูลคอมพิวเตอร์ดังกล่าวเพียงใด ดังนั้นจึงไม่ใช่เรื่องที่จะพิจารณาจากเนื้อหาของข้อมูลว่าเป็นความลับหรือไม่ เช่น เนื้อหาของข้อมูลอาจเป็นเรื่องความลับทางการค้า แต่หากผู้ส่งใช้วิธีการส่งที่ไม่มีมาตรการป้องกันการเข้าถึงข้อมูลนั้น ผู้ที่ดักรับย่อมไม่มีความผิด”