Академический Документы
Профессиональный Документы
Культура Документы
มศอ. ๔๐๐๓.๑–๒๕๕๒
NECTEC STANDARD
NTS 4003.1 – 2552
ระบบเกบร7กษาข:อมลจราจรทางคอมพวเตอร
เลม ๑ ข:อก=าหนด
ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต
ส=าน7กงานพ7ฒนาวทยาศาสตรและเทคโนโลยแหงชาต
กระทรวงวทยาศาสตรและเทคโนโลย
มาตรฐานศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต
National Electronics and Computer Technology Center Standard
ระบบเกบร6กษาข9อมลจราจรทางคอมพวเตอร
เลม ๑ ข9อก=าหนด
Computer Log Systems
Part 1 Requirements
ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต
ส=าน7กงานพ7ฒนาวทยาศาสตรและเทคโนโลยแหงชาต
๒๕๕๒
คณะกรรมการวชาการ
ประธานกรรมการ
นายอาจน จรชพพ6ฒนา ส=าน6กสงเสรมอRตสาหกรรมเทคโนโลยสารสนเทศและการสSTอสาร
กระทรวงเทคโนโลยสารสนเทศและการสSTอสาร
กรรมการ
นายถน6ด มานะพ6นธRนยม ส=าน6กงานคณะกรรมการคR9มครองผ9บรโภค
พ6นต=ารวจเอกก6ลป[ ท6งสRพานช ศนยตรวจสอบและวเคราะหการกระท=าความผดทางเทคโนโลย
ส=าน6กงานต=ารวจแหงชาต
นายธงช6ย แสงศร ส=าน6กก=าก6บการใช9เทคโนโลยสารสนเทศ
กระทรวงเทคโนโลยสารสนเทศและการสSTอสาร
นายณ6ฐ สกลช6ย ส=าน6กงานมาตรฐานผลตภ6ณฑอRตสาหกรรม
นายวร6ตน พ^Tงสาระ ส=าน6กงานสงเสรมอRตสาหกรรมซอฟตแวรแหงชาต
นายสมญา พ6ฒนวรพ6นธR ส=าน6กขาวกรองแหงชาต ส=าน6กนายกร6ฐมนตร
นายสวางพงศ หมวดเพชร สมาคมสมาพ6นธซอฟตแวรโอเพนซอรส
นายราเมศวร ศลปะพรหม สมาคมสมาพ6นธเทคโนโลยสารสนเทศแหงประเทศไทย
นายขจร สนอภรมยสราญ บรษ6ท ไอท คอมพาเนTยน จ=าก6ด
นายบรรจง หะร6งส ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต
นายกมล เอSอc ชนกRล
กรรมการและเลขานCการ
นายกรช นาสงหข6นธR ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต
ผ:ชวยเลขานCการ
นางสาวพลอยรว เกรกพ6นธกRล กระทรวงเทคโนโลยสารสนเทศและการสSTอสาร
นายอรรถนต อ6ศวนนมตกRล ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต
รายชEFอคณะท=างาน
ทFปรGกษา
นายพ6นธศ6กดd ศรร6ชตพงษ ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต
นายกว9าน สตะธน ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต
นายโกเมน พบลยโรจน ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต
นายศวร6กษ ศวโมกษธรรม ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต
คณะท=างาน ด:านเทคนค
นายกรช นาสงหข6นธR ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต
นายก=าธร ไกรร6กษ ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต
นายถรเจต พ6นพาไพร ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต
นายพRธ นาฑสRวรรรณ บรษ6ท ท-เนต จ=าก6ด
นายปeยว6ฒน เลSTอนสRค6นธ บรษ6ท ท-เนต จ=าก6ด
สารบ7ญ
เรSอT ง หน9าทT
บทน=า i
1. ขอบขาย 1
2. นยาม 2
3. ข9อมลและเอกสารอ9างอง 3
4. คRณล6กษณะท6Tวไป 4
5. การแสดงเครSTองหมายและฉลาก 5
6. ข9อก=าหนดของระบบ 6
7. การร6บและการเกบข9อมลจราจรทางคอมพวเตอร 7
ภาคผนวก ก. 9
ภาคผนวก ข. 10
ภาคผนวก ค. 14
มศอ. ๔๐๐๓.๑ - ๒๕๕๒
บทน=า
0 หล7กการของการเกบร7กษาข:อมลจราจรทางคอมพวเตอร
หล6ก การตอไปนc ไ มครอบคลR ม ถ^ง ข9 อ ก= า หนดด9า นความปลอดภ6 ย ด9า นความเข9 า ก6 นได9 ท างแมเหลกไฟฟj า ด9 า น
สมรรถนะ และล6กษณะเฉพาะของระบบเกบร6กษาข9อมลจราจรทางคอมพวเตอร
0.1 หล7กการท7Fวไป
ผ9ออกแบบจ=าเปkนต9องเข9าใจหล6กการทTส=าค6ญของระบบเกบร6 กษาข9 อมลจราจรทางคอมพวเตอรเพSTอให9สามารถ
ออกแบบสร9างระบบทTเปkนไปตามข9อก=าหนดทTต9องการได9
หล6กการนcไมได9เปkนทางเลSอกเพTมเตมส=าหร6บข9อก=าหนดในมาตรฐานนc แตมเจตนาให9ข9อมลเพSอT ให9ผ9ออกแบบเข9าใจ
หล6กการพScนฐานของข9อก=าหนดเหลาน6cน ในกรณทTระบบเกบร6กษาข9อมลจราจรทางคอมพวเตอรเกTยวข9องก6บ
เทคโนโลย หรSอเทคนค หรSอการสร9างทTไมได9ครอบคลRมไว9เฉพาะ การออกแบบระบบควรจ6ดให9มระด6บความสามารถ
ไมด9อยกวาทTระบRไว9ในหล6กการนc
ผ9ออกแบบต9องไมค=าน^งแตเฉพาะภาวะการท=างานปกตของระบบเทาน6cน แตต9องค=าน^งถ^งภาวะผดปกตทTอาจเกดข^cน
ผลสSบเนSTองของภาวะผดปกตทTตามมา การใช9งานผดทTคาดหมายลวงหน9าได9อยางมเหตRผล การบRกรRกจโจมโดย
เจตนา และภ6ยคRกคามภายนอกอSTนๆ ทTอาจมผลตอความถกต9องและสมบรณของข9อมล อาท ไวร6สคอมพวเตอร
ความผดปกตบนแหลงจายไฟฟjาประธาน และความผดปกตบนโครงขายสSTอสาร
ควรจ6ดล=าด6บความส=าค6ญตอไปนc ในการพจารณาหามาตรการในการออกแบบ
- ในกรณทTเปkนไปได9 ให9ระบRเกณฑการออกแบบทTก=าจ6ด ลด ปjองก6น ความเสยหายทTอาจเกดข^cนแกระบบ หรSอ
ข9อมลจราจรทางคอมพวเตอรทTระบบเกบร6กษาไว9
- หากกรณข9างต9นเปkนไปไมได9ในทางปฏบ6ตเนSTองจากท=าให9ความสามารถของระบบด9อยลง ให9ระบRวธซ^Tงไมข^cนอย
ก6บระบบ เชน การก=าหนดนโยบายควบคRมการเข9าถ^งข9อมล (ซ^งT ไมได9ระบRไว9ในมาตรฐานศนยเทคโนโลย
อเลกทรอนกสและคอมพวเตอรแหงชาตนc)
- หากท6cง ๒ กรณข9างต9นเปkนไปไมได9ในทางปฏบ6ต หรSอเพSTอเปkนการเพTมเตมมาตรการข9างต9น ให9ระบRในการท=า
ฉลากและข9อแนะน=า ถ^งความเสTยงทTมอย
จ=าเปkนต9องพจารณาถ^งผ9ทTเกTยวข9องก6บการเกบร6กษาข9อมลจราจรทางคอมพวเตอร ๓ ประเภทคSอ “ผ9ดแลระบบ
(administrator) ผ9ดแลข9อมล และพน6กงานเจ9าหน9าทT
“ผ9ดแลระบบ” ในทTนcจะหมายถ^ง บRคคล หรSอกลRมบRคคล ทTมหน9าทT ดแลร6กษา ระบบเกบร6กษาข9อมลจราจรทาง
คอมพวเตอร แตจะไมมสทธdในการเข9าถ^งข9อมลจราจรทางคอมพวเตอร และอาจรวมถ^งข9อมลคอมพวเตอร หรSอข9อ
มลอSนT ๆ ทTเกTยวข9อง
“ผ9ดแลข9อมล” หมายถ^ง ผ9ทTได9ร6บมอบสทธdจากองคกร/หนวยงานในการเข9าถ^งข9อมลจราจรทางคอมพวเตอร และ
i
มศอ. ๔๐๐๓.๑ - ๒๕๕๒
อาจรวมถ^งข9อมลคอมพวเตอร และข9อมลอSนT ๆ ทTเกTยวข9อง สทธdในการเข9าถ^งข9อมลจะต9องไมรวมถ^งสทธdในการ
แก9ไข เปลTยนแปลง ลบ หรSอ ท=าลายข9อมล
“พน6กงานเจ9าหน9าทT” หมายถ^ง ผ9ทTได9ร6บการแตงต6cงตามกฎหมายให9มหน9าทTในการตรวจสอบข9อมลจราจรทาง
คอมพวเตอร ปกตพน6กงานเจ9าหน9าทTจะตดตอประสานงานก6บผ9ดแลข9อมลขององคกร เฉพาะเมSอT เกดกรณทTสงส6ย
วามการกระท=าผดกฎหมายและเกTยวข9องก6บองคกรน6cนๆ
0.4 อ7นตรายและภ7ยคCกคาม
การน=ามาตรฐานฉบ6บนcไปใช9มเจตนาเพSTอลดความเสTยงจากการสญเสยบรณภาพของข9อมล เนSTองจากสาเหตRตอไปนc
- อ6นตรายจากภาวะแวดล9อม
- ภ6ยคRกคาม
0.4.1 อ7นตรายจากภาวะแวดล:อม
อ6นตรายจากภาวะแวดล9อม ปกตจะหมายถ^งอ6นตรายตอระบบเกบร6กษาข9อมลจราจรคอมพวเตอรหรSอข9อมลจราจร
คอมพวเตอร ซ^งT ปกตเกดข^cนได9เอง โดยไมมเจตนาของบRคคลเข9ามาเกTยวข9อง อาท
- ความผดปกตของระบบแหลงจายไฟฟjาประธาน
- ความผดปกตของโครงขายสSTอสาร โทรคมนาคม
- ความเสSTอมสภาพของสSอT บ6นท^กข9อมล
ii
มศอ. ๔๐๐๓.๑ - ๒๕๕๒
- ความไมเสถยรของระบบ อ6นเนSTองมาจากสภาพแวดล9อม อาท อRณหภม ความชSนc ฝRvน ส6ญญาณรบกวนแมเหลก
ไฟฟjา
- ภ6ยธรรมชาต
- ความไมเสถยรของระบบชวยหรSอระบบสน6บสนRนหรSอสวนประกอบ อ6นเนSTองมาจากสาเหตRข9างต9น
ต6วอยางมาตรการทTลดความเสTยงและความรRนแรงของอ6นตรายด6งกลาว ได9แก
- การเลSอกสวนประกอบของระบบทTได9ร6บการร6บรองวามความคงทนหรSอมภมคR9มก6นตอภาวะแวดล9อมในระด6บสง
และเชSTอถSอได9ตลอดอายRการใช9งานทTคาดการณหรSอออกแบบไว9
- การตดต6cงสวนประกอบเชงหน9าทTส=ารอง หรSอเพTมเตม
- การตดต6cงระบบในพScนทTทTสามารถควบคRมสภาพแวดล9อม ให9อยในพส6ยทTตอ9 งการได9อยางนาเชSTอถSอ
0.4.2 ภ7ยคCกคาม
เจตนาของบRคคล เปkนสTงทTแยกภ6ยคRกคามออกจากอ6นตรายจากสภาพแวดล9อม ภ6ยคRกคามอาจเกดข^cนได9 ท6cงใน
ล6กษณะเฉพาะเจาะจงเปjาหมายและในล6กษณะไมเฉพาะเจาะจงเปjาหมาย
ภ6ยคRกคามอาจเกดข^cนได9จาก
- โปรแกรมไมพ^งประสงคทTกระจายอยในเครSอขายคอมพวเตอร อาท หนอนคอมพวเตอร ไวร6สคอมพวเตอร โทร
จ6น เปkนต9น
- การด6ดแปลง แก9ไข สร9างสภาพแวดล9อมทTผดปกตโดยเจตนาให9เกดความล9มเหลวแกระบบ หรSอความเสยหายแก
ข9อมล
- การบRกรRก เข9าถ^งพScนทTหรSอระบบหรSอข9อมล ทTจ=าก6ดการเข9าถ^ง โดยไมได9ร6บอนRญาต หรSอโดยไมมการปjองก6นหรSอ
แจ9งเตSอน ท6cงทางกายภาพหรSอทางอเลกทรอนกส (ทางตรรก) หรSอท6cงสองทาง
ต6วอยางของมาตรการทTลดความเสTยงด6งกลาว ได9แก
- การตดต6cงโปรแกรมควบคRมโปรแกรมไมพ^งประสงคทTเชSTอถSอได9 และจ6ดให9มการปร6บปรRงฐานข9อมลให9ท6นสม6ย
เสมอ
- การจ6ดให9มการปjองก6นการต6cงคา แก9ไข เปลTยนแปลงคาทTต6cงไว9ของระบบชวยหรSอระบบสน6บสนRน รวมถ^งการ
จ6ดการให9มแผนการซอมบ=ารRงทTเหมาะสม
- การจ6ดให9มการก=าหนดสทธและระด6บการเข9าถ^ง รวมถ^งการควบคRมการใช9ทTเหมาะสม
- จ6ดให9มมาตรการเฝjาระว6งทTเหมาะสม
- จ6ดให9มข6cนตอน หรSอนโยบายด9านการร6กษาความม6Tนคงปลอดภ6ยของระบบและข9อมลเพTมเตมตามความเหมาะสม
iii
มศอ. ๔๐๐๓.๑ - ๒๕๕๒
มาตรฐานศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต
ระบบเกบร6กษาข9อมลจราจรทางคอมพวเตอร
เลม ๑ ข9อก=าหนด
1 ขอบขาย
1.1 ท6Tวไป
มาตรฐานศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต ฉบ6บนc ก=าหนดคRณล6กษณะทTต9องการ
การแสดงเครSTองหมายและฉลาก วธการร6บและเกบร6กษาข9อมล ของระบบเกบร6กษาข9อมลจราจรทางคอมพวเตอร
โดยมว6ตถRประสงคเพSTอให9วธการร6บข9อมลจราจรทางคอมพวเตอรเปkนไปโดยชอบตามกฎหมายและหล6กการทTถกต9อง
ลดความเสTยงตอการสญเสยความถกต9องสมบรณของข9อมลจราจรทางคอมพวเตอรทTจ6ดเกบไว9 รวมถ^งประสงคจะ
ให9หล6กเกณฑในการเลSอกเกบข9อมลจราจรทางคอมพวเตอรทTเหมาะสมก6บประเภทของบรการ และเพยงพอส=าหร6บชc
บงผ9เกTยวข9องได9อยางนาเชSอT ถSอ
มาตรฐานฉบ6 บ นc ใ ช9 ไ ด9 ก6 บ ท6c ง ระบบซ^T ง อาจหมายถ^ ง หลายหนวยตอเชST อ มก6 น หรS อ หนวยเดT ย ว รวมถ^ ง
ซอฟตแวรประยRกตทTออกแบบมาโดยประสงคให9ตดต6cงในระบบคอมพวเตอร เพSTอให9ระบบคอมพวเตอรน6cนท=าหน9าทT
เปkนระบบเกบร6กษาข9อมลจราจรทางคอมพวเตอร
มาตรฐานศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต ระบบเกบร6 กษาข9 อมลจราจรทาง
คอมพวเตอร แบงออกได9เปkน 2 เลม ด6งนc
เลม ๑ ข9อก=าหนด
เลม ๒ แนวทางในการจ6ดท=าและตรวจสอบระบบ
1.2 ข9อก=าหนดเพTมเตม
ข9อก=าหนดเพTมเตมนอกเหนSอไปจากทTก=าหนดไว9ในมาตรฐานฉบ6บนc อาจมความจ=าเปkนส=าหร6บ
– ระบบเกบร6กษาข9อมลจราจรทางคอมพวเตอร ทTออกแบบส=าหร6บผ9ให9บรการทTประสงคให9บรการแก
บRคคลภายนอกทTมาใช9บรการแบบช6TวคราวหรSอระยะส6cนๆ
– ระบบเกบร6 กษาข9 อมลจราจรทางคอมพวเตอร ทT ออกแบบส=า หร6 บ ผ9 ให9บ รการทT ป ระสงคให9 บ รการ
เปkนการช6TวคราวหรSอระยะส6cนๆ
– ระบบเกบร6กษาข9อมลจราจรทางคอมพวเตอร ทTความเสTยงตอการถกคRกคามมากกวาปกต อาท ตดต6cง
ในสภาพแวดล9อมทTมระด6บการปjองก6นการเข9าถ^งตT=ากวาทTแนะน=า
-1-
มศอ. ๔๐๐๓.๑ - ๒๕๕๒
– ผ9ประกอบกจการโทรคมนาคมและผ9ประกอบกจการกระจายภาพและเสยง
1.3 ข9อยกเว9น
มาตรฐานฉบ6บนcไมครอบคลRมถ^งการท=างานของ โปรแกรม ซอฟตแวรประยRกต อRปกรณเครSอขาย เครSTอง
และระบบคอมพวเตอร อSTนซ^Tงท=าหน9าทTให9บรการใดๆ ในระบบคอมพวเตอรทTตอเชSTอมถ^งก6น และมหน9าทTต9องสง
ข9อมลจราจรทางคอมพวเตอรทTก=าหนด ให9ระบบเกบร6กษาข9อมลจราจรทางคอมพวเตอร
หมายเหตC ผ9ประกอบกจการโทรคมนาคม และผ9ประกอบกจการกระจายภาพและเสยง ทTให9บรการอSTนๆ นอกเหนSอจากการให9บรการโครงขาย
โทรคมนาคม และการกระจายภาพและเสยง ถกพจารณาวาอยในขอบขายของมาตรฐานฉบ6บนc
2 บทนยาม
ความหมายของค=าทTใช9ในมาตรฐานศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต ฉบ6บนcมด6งตอ
ไปนc
2.1 ระบบเกบร7ก ษาข: อ มลจราจรทางคอมพวเตอร ซ^Tง ตอไปในมาตรฐานฉบ6 บ นc จ ะเรยกวา “ระบบ” หมายถ^ ง
คอมพวเตอร หรS อ ระบบคอมพวเตอรทT ท=า หน9า ทT เ กบร6 ก ษาข9 อมลจราจรทางคอมพวเตอร ท6c ง นc หมายรวมถ^ ง
ซอฟตแวรทTจะตดต6cงในระบบคอมพวเตอรเพSTอให9ท=าหน9าทTด6งกลาวข9างต9น
2.2 ระบบคอมพวเตอร หมายถ^ง คอมพวเตอร หรSออRปกรณ หรSอชRดอRปกรณของคอมพวเตอร ทTเชSTอมการท=างาน
เข9าด9วยก6น โดยได9มการก=าหนดค=าส6Tง ชRดค=าส6Tง หรSอสTงอSTนใด และแนวทางปฏบ6ตงานให9อRปกรณหรSอชRดอRปกรณท=า
หน9าทTประมวลผลข9อมลโดยอ6ตโนม6ต
2.2 ข:อมลจราจรทางคอมพวเตอร หมายถ^ง ข9อมลเกTยวก6บการตดตอสSTอสารของระบบคอมพวเตอร ซ^Tงแสดงถ^ง
แหลงก=าเนด ต9นทาง ปลายทาง เส9นทาง เวลา ว6นทT ปรมาณ ระยะเวลา ชนดของบรการ หรSอข9อมลอSTน ๆ ทT
เกTยวข9องก6บการตดตอสSอT สารของระบบคอมพวเตอรน6cน
2.3 ผ:ให:บรการ หมายถ^ง ผ9ซง^T มเจตนา
2.3.1 ให9บรการแก บRคคลอSTนในการเข9าสอนเทอรเนต หรSอให9สามารถตดตอถ^งก6นโดยประการอSTน โดยผานทาง
ระบบคอมพวเตอร ท6cงนc ไมวาจะเปkนการให9บรการในนามของตนเอง หรSอเพSTอประโยชนของบRคคลอSนT
2.3.2 ให9บรการเกบร6กษาข9อมลคอมพวเตอรเพSTอประโยชนของบRคคลอSTน
2.4 ผ: ด แลระบบ หมายถ^ ง บR ค คล หรS อ กลR มบR ค คล ทT ม หน9 า ทT ดแลร6 ก ษา ระบบเกบร6 ก ษาข9 อ มลจราจรทาง
คอมพวเตอร แตจะไมมสทธdในการเข9าถ^งข9อมลจราจรทางคอมพวเตอร และอาจรวมถ^งข9อมลคอมพวเตอร หรSอข9อ
มลอSนT ๆ ทTเกTยวข9อง
2.5 ผ:ดแลข:อมล หมายถ^ง ผ9ทTได9ร6บมอบสทธdจากองคกร/หนวยงานในการเข9าถ^งข9อมลจราจรทางคอมพวเตอร และ
อาจรวมถ^งข9อมลคอมพวเตอร และข9อมลอSTนๆ ทTเกTยวข9อง สทธdในการเข9าถ^งข9อมลจะต9องไมรวมถ^งสทธdในการ
-2-
มศอ. ๔๐๐๓.๑ - ๒๕๕๒
แก9ไข เปลTยนแปลง ลบ หรSอ ท=าลายข9อมล
2.6 ผ:ใช: หมายถ^ง ผ:ดแลระบบ หรSอ ผ:ดแลข:อมล
2.7 การยEนย7นต7วบCคคล หมายถ^ง ข6cนตอนการชcบง เพSTอยSนย6นความถกต9องของหล6กฐานทTใช9ระบR (Identity) แสดง
วาเปkนบRคคลทTกลาวอ9างจรง สามารถแบงออกได9เปkน 2 ข6cนตอน คSอ การระบRต6วตน และการพสจนต6วตน
2.8 การระบCต7วตน (Identification) หมายถ^ง ข6cนตอนหรSอวธ ทTผ9ใช9แสดงเปkนหล6กฐานชcบงตนเอง เชน ชSTอผ9ใช9
(username) เปkนต9น
2.9 การพสจนต7วตน (Authentication) หมายถ^ง ข6cนหรSอวธ การตรวจสอบหล6กฐานแวดล9อมเพSTอยSนย6นวาเปkน
บRคคลทTกลาวอ9างจรง
2.10 การลอกอน หมายถ^ง การเข9าใช9งานระบบคอมพวเตอร โดยต9องท=าการพสจนต6วตนกอนเข9าใช9งาน
2.11 ข:อมลการลอกอน หมายถ^ง ข9อมลทTใช9ในการพสจนต6วตนกอนเข9าใช9งานระบบคอมพวเตอร
2.12 บรณภาพของข:อมล (Integrity) หมายถ^ง ความถกต9อง เทTยงตรง และความสมบรณของข9อมล
3 ข:อมลและเอกสารอ:างอง
3.1 ประกาศราชกจจานRเบกษา, “พระราชบ6ญญ6ตวาด9วยการกระท=าความผดเกTยวก6บคอมพวเตอร พ.ศ. 2550”, ว6นทT
18 มถRนายน 2550
3.2 ประกาศราชกจจานRเบกษา, “ประกาศกระทรวงเทคโนโลยสารสนเทศและการสSTอสาร เรSTอง หล6กเกณฑการเกบ
ร6กษาข9อมลจราจรทางคอมพวเตอรของผ9ให9บรการ พ.ศ. 2550”, ว6นทT 23 สงหาคม 2550
3.3 หนวยปฏบ6ตการ วจ6ยเทคโนโลยและนว6ตกรรมเพSTอความม6Tนคงของประเทศ และคณะอนRกรรมการด9านความ
ม6Tนคง ภายใต9 ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต ในคณะอนRกรรมการธRรกรรมทาง
อเลกทรอนกส , “มาตรฐานการร6 กษาความม6Tนคงปลอดภ6ย ในการประกอบธRรกรรมทางอเลกทรอนกส
(เวอรช6น 2.5) ประจ=าป~ 2550”, ISBN: 978-974-229-584-4, พมพคร6cงทT 1, ธ6นวาคม 2550
3.4 SN ISO/IEC 17799:2005, “Information technology – Security Technique – Code of practice for
information security management (ISO/IEC 17799:2005)”, Second Edition, 2005-06-15
3.5 Chaiyakorn Apiwathanokul, “Computer Time Synchronization Scheme” ,
http://www.etcommission.go.th/documents/standard/time_sync_server_v1_0.pdf, 3 October 2007
3.6 ศนยประสานงานการร6กษาความปลอดภ6ยคอมพวเตอรประเทศไทย ภายใต9 ศนยเทคโนโลยอเลกทรอนกสและ
คอมพวเตอรแหงชาต, “แนวทางการจ6ดเกบข9อมลลอกส=าหร6บองคกรเพSTอให9สอดคล9องตาม พ.ร.บ. วาด9วย
การกระท=าความผดเกTยวก6บคอมพวเตอร พ.ศ. 2550” ,
http://www.thaicert.org/paper/auditing/LogImplementationandAuditingGuideline_r2.pdf , 23 สงหาคม
-3-
มศอ. ๔๐๐๓.๑ - ๒๕๕๒
2550
3.7 อสมาภรณ ฉ6ตร6ตตกรณ และ ชวลต ทนกรสตบRตร, “การเทยบเวลาด9วย Network Time Protocol ให9
สอดคล9องก6บ พรบ. วาด9วยการกระท=าความผดเกTยวก6บคอมพวเตอร พ.ศ. 2550”
http://www.thaicert.org/paper/basic/NTPandLAW.php, 27 กRมภาพ6นธ 2551
อสมาภรณ ฉ6ตร6ตตกรณ และ ชวลต ทนกรสตบRตร, “คมSอการใช9บรการ Time Server [ฉบ6บปร6บปรRง]”,
http://www.thaicert.org/paper/basic/manualTimeServer.php, 27 กRมภาพ6นธ 2551
3.8 W3C, "Extended Log File Format", http://www.w3.org/pub/WWW/TR/WD-logfile-960221.html, 19
May 2009
3.9 IETF Working Groups, "RFC1738 - Uniform Resource Locators (URL)",
http://www.ietf.org/rfc/rfc1738.txt, December 1994
3.10 IETF Working Groups, "RFC1321 - The MD5 Message-Digest Algorithm",
http://www.ietf.org/rfc/rfc1321.txt, April 1992
3.11 IETF Working Groups, "US Secure Hash Algorithm 1 (SHA1)", http://www.ietf.org/rfc/rfc3164.txt,
September 2001
3.12 IETF Working Groups, "The BSD syslog Protocol", http://www.ietf.org/rfc/rfc3174.txt, August 2001
3.13 Federal Information Processing Standards (FIPS), "FIPS-180-1 SECURE HASH STANDARD", http://
www.itl.nist.gov/fipspubs/fip180-1.htm, 1995 April 17
3.14 Wikipedia, "Cryptographic hash function", http://en.wikipedia.org/wiki/Cryptographic_hash_function, 19
May 2009
3.15 Karen Kent and Murugiah Souppaya, NIST, Special Publication 800-92, “Guide to Computer Security
Log Management”, September 2006
3.16 Roger Meyer, “Auditing a Corporate Log Server” GAIC Gold Certification, GIAC Systems and
Network Auditor (GSNA), SANS Institute 2006 Reading Room, 17 September 2006
4 คCณล7กษณะท7Fวไป
4.1 ท6Tวไป
ปกตระบบเกบร6กษาข9อมลจราจรทางคอมพวเตอร จะท=างานเกTยวข9องก6บผ9ใช9สองประเภททTแตกตางก6นคSอ ผ9ดแล
ระบบ ซ^Tงท=าหน9าทTตดต6cง ต6cงคาและดแลการท=างานของระบบ แตจะไมมสทธเข9าถ^งข9อมลทTจ6ดเกบไว9 และผ9ดแล
ข9อมล ซ^Tงจะสามารถเข9าถ^งข9อมลได9 แตจะไมมสทธdแก9ไข ด6ดแปลง หรSอลบ ท=าลายข9อมลจราจรทางคอมพวเตอร
-4-
มศอ. ๔๐๐๓.๑ - ๒๕๕๒
และไมมสทธdในการเปลTยนแปลงการต6cงคาใดๆ ของระบบ
ระบบควรจ=าก6ดจ=านวนผ9ใช9ทTอนRญาตหรSอยอมให9สร9างบ6ญชผ9ใช9ข^cนบนระบบ โดยท6Tวไปจ=านวนผ9ดแลข9อมล ไมควร
จะมเกน 1 บ6ญช และผ9ดแลระบบควรมจ=านวนน9อยทTสRดเทาทTเปkนไปได9ตามความจ=าเปkน และต9องไมสามารถ
ก=าหนดให9มบ6ญชผ9ใช9ใดๆ มสทธเปkนผ9ดแลระบบและผ9ดแลข9อมลพร9อมก6นได9
หมายเหตC การเพTมจ=านวนบ6ญชผ9ใช9 จะท=าให9ความเสTยงตออ6นตรายและภ6ยคRกคามเพTมมากข^cน ด6งน6cนผ9ออกแบบควรจ6ดให9มมาตรการควบคRม
เพTมเตมตามระด6บความเสTยงทTเพTมข^cน เชนการก=าหนดจ=านวนผ9ใช9งานได9พร9อมก6น การควบคRมบ6ญชและรห6สผาน หรSอการให9ข9อ
แนะน=าเกTยวก6บนโยบายด9านความม6Tนคงปลอดภ6ยเสรมอSTน เชน นโยบายเกTยวก6บการต6cงรห6ส การก=าหนดอายRใช9งานของรห6ส
นโยบายการเข9าถ^งและใช9งานของผ9ใช9ส=ารอง เปkนต9น
4.2 คมSอและข9อแนะน=า
ระบบ ต9องให9ข9อแนะน=าวธการตดต6cง การต6cงคาและการเตรยมการตางๆ อยางเพยงพอส=าหร6บผ9ดแลระบบ ท6cงนc
หมายรวมถ^งข9อแนะน=าในการปร6บปรRง เลSอกและก=าหนดพScนทTตดต6cง สภาพแวดล9อมทTเหมาะสม รปแบบและวธ
การตอเชSTอมเข9าก6บระบบคอมพวเตอรอSTน การประเมนปtจจ6ยและความเสTยงและการตรวจสอบข6cนต9น เพSTอให9แนใจ
วาผ9ดแลระบบจะสามารถปฏบ6ตตามได9อยางถกต9องตามว6ตถRประสงคทTต6cงไว9
ระบบ ต9องมข9อแนะน=าการใช9งานทTจ=าเปkน ส=าหร6บผ9ดแลข9อมล อาท วธการเรยกดข9อมล การต6cงรห6ส การแก9ไข
ปtญหาข6cนต9น
คมSอและข9อแนะน=าการใช9 ต9องจ6ดท=าเปkนภาษาไทย ส=าหร6บคมSอหรSอข9อแนะน=าเพTมเตมอSTน ทTใช9ประกอบเพSTอเปkน
ข9อมล อนRญาตให9ใช9ภาษาอSTนได9หากไมเปkนการเพTมความเสTยงในการใช9งานปกต
หมายเหตC การใช9ภาษาอSTนนอกเหนSอจากภาษาไทย อาจเพTมความเสTยงตอการตความข9อมล และสารสนเทศผดไปจากความหมายทTต6cงไว9
4.3 สภาพแวดล9อมส=าหร6บตดต6cงระบบ
โดยปกต สภาพแวดล9อมส=าหร6บตดต6cงระบบต9องสามารถปjองก6นการเข9าถ^งระบบหรSอข9อมล โดยไมเจตนาของบRคคล
อSTนซ^Tงไมใชผ9ใช9ได9 รวมถ^งต9องมคRณสมบ6ตเหมาะสม ส=าหร6บการท=างานอยางถกต9องเชSTอถSอได9ของระบบ ในกรณ
ทTสภาพแวดล9อมทTตดต6cงระบบ มผลอยางส=าค6ญตอการท=างานของระบบหรSอการปjองก6นการเข9าถ^งระบบและข9อมล
จราจรทางคอมพวเตอร ผ9ออกแบบควรให9ข9อแนะน=าในการเลSอก ด6ดแปลงและปร6 บปรRง ทTเพยงพอ เพSTอให9ม
คRณล6กษณะตามทTต9องการ และต9องท=าเครSอT งหมายหรSอแสดงข9อมลให9เหนได9อยางช6ดเจนถ^งความต9องการด6งกลาว
5 การแสดงเครEFองหมายและฉลาก
5.1 ระบบ ต9องแสดงเครSTองหมายหรSอข9อความบนเปลSอกหR9มด9านนอกของบรรจRภ6ณฑ และบนเปลSอกหR9มของ
บรภ6ณฑหรSอระบบ ในล6กษณะทTสามารถเหนได9งายและช6ดเจน ทTให9ข9อมลอยางน9อยด6งนc
— ชSTอแบบรRน และชSอ
T ผ9ท=า
-5-
มศอ. ๔๐๐๓.๑ - ๒๕๕๒
— ประเภทของข9อมลจราจรทางคอมพวเตอร ทTสามารถเกบได9
— คRณล6กษณะพScนฐานทTมให9 หรSอคRณล6กษณะพScนฐานทTตอ
9 งการ ด9านการประมวลผลของระบบ ได9แก แบบ
รRนของหนวยประมวลผล ขนาดหนวยความจ=า
— ความสามารถในการจ6ดเกบข9อมล หรSอขนาดความจRของฮารดดสกหรSอสSอ T อSTนๆ ทTต9องการ
เครSอT งหมายและข9อความ ต9องมความคงทนตอการใช9งานตามปกต และอานเข9าใจได9งาย
การตรวจความเปkนไปตามข9อก=าหนดให9ท=าโดยการตรวจพนจท6cงขนาด รปแบบ การสะกดและเนScอหา ส=าหร6บความ
คงทนให9ท=าโดยการถเครSTองหมายและข9อความด9วยผ9าชRมนc=าเปkนเวลา ๑๕ วนาทและด9วยผ9าชRมปeโตรเลยมสปeรต
(petroleum spirit) เปkนเวลา ๑๕ วนาท หล6งการทดสอบนcเครSTองหมายและข9อความต9องอานได9งาย ไมเลอะเลSอน
ต9องไมสามารถแกะหรSอถอดแผนเครSอT งหมายและข9อความออกได9โดยงาย และแผนเครSTองหมายและข9อความต9องไม
ม9วน หรSอโกงงอ
6 ข:อก=าหนดของระบบ
6.1 ระบบ ต9องสามารถเกบข9อมลจราจรทางคอมพวเตอร ตามประเภทและความสามารถทTระบRไว9 และต9องเกบ
ร6กษาข9อมลจราจรทางคอมพวเตอรไว9ได9ตอเนSTองเปkนเวลาไมน9อยกวา ๙๐ ว6น
การตรวจความเปkนไปตามข9อก=าหนด ให9ท=าโดยการประเมนข9อมลจากฉลากและเอกสารทTเกTยวข9อง การประเมน
ทร6พยากรและคาทTต6cงไว9หรSอโดยการทดสอบก6บระบบจ=าลองสภาพการท=างานทTเกTยวข9องตามข9อ 7.2
-6-
มศอ. ๔๐๐๓.๑ - ๒๕๕๒
การตรวจความเปkนไปตามข9อก=าหนด ให9ท=าโดยการประเมนคาทTต6cงไว9และข9อมลแวดล9อมทTเกTยวข9อง
หมายเหตC รายชSTอหนวยงานและเครSTองแมขายทTให9บรการปร6บเทยบเวลาอ9างองมาตรฐานระด6บชาต ได9แก
1. สถาบ6นมาตรวทยาแหงชาต ได9แก time1.nimt.or.th(203.185.69.60) time2.nimt.or.th(203.185.69.59) และ
time3.nimt.or.th(203.185.69.56)
2. กรมอRทกศาสตร กองท6พเรSอ ได9แก time.navy.mi.th(118.175.67.83)
3. ศนยประสานงานการร6กษาความปลอดภ6ยคอมพวเตอรประเทศไทย(ThaiCERT) ได9แก clock1.thaicert.org
(203.185.129.186) และ clock2.thaicert.org (203.185.129.187)
6.3 ระบบต9 อ งมการก= า หนดการปj อ งก6 น การเข9 า ถ^ ง ระบบโดยผ9 ไ มได9 ร6 บ อนR ญ าต ท6c ง ทางกายภาพและทาง
อเลกทรอนกสอยางเหมาะสม ท6cงนcอาจหมายรวมถ^งข9อแนะน=าตางๆ ทTเกTยวข9อง โดยอยางน9อยวธใดวธหน^Tง หรSอ
รวมก6นตอไปนc
– การใช9รห6สผานหรSอการยSนย6นต6วบRคคลหรSอวธการอSTนทTคล9ายก6น
– การจ=าก6ดรปแบบและวธการเข9าถ^ง
– การจ=าก6ดจ=านวนผ9ใช9
– การจ=าก6ดเวลาการใช9
– การก=าหนดชวงเวลาทTอนRญาต
– การก=าหนดใช9นโยบายและเทคนคด9านความม6Tนคงปลอดภ6ยอSนT
หากระบบอนRญาตให9เข9าถ^งระยะไกลได9 โดยผานระบบคอมพวเตอรทTตอเชSTอมถ^งก6นโดยโครงขายภายในองคกรหรSอ
โครงขายสาธารณะ อาจจ=าเปkนต9องมมาตรการด9านความม6Tนคงปลอดภ6ยเพTมเตมจากทTระบRไว9ข9างต9น อาท
– การใช9เทคนคการเข9ารห6สข9อมล
– การจ=าก6ดสทธ หรSอยกเลกสทธบางประการ
– การก=าหนดรปแบบ หรSอเทคนคการเข9าถ^งแบบเฉพาะ
6.5 ระบบต9องสามารถระบRแ ละจ=า แนกต6 วบR ค คล และบ6น ท^ กประว6 ตการเข9 า ถ^งและใช9งานระบบได9 รวมถ^ง ต9อง
สามารถปjองก6นการแก9ไข เปลTยนแปลง การปลอมแปลงข9อมลทTเกTยวข9องเพSTอการเข9าถ^งระบบหรSอข9อมลโดยไมได9
ร6บอนRญาตได9 เทคนคและวธทTใช9ในการระบRต6วบRคคลและปjองก6นการเปลTยนแปลง ควรเปkนเทคนคทTถกตรวจสอบ
-7-
มศอ. ๔๐๐๓.๑ - ๒๕๕๒
ยSนย6นความใช9ได9แล9ว
7 การร7บและการเกบร7กษาข:อมลจราจรทางคอมพวเตอร
7.1 การร6บข9อมลจราจรทางคอมพวเตอร
ระบบต9องสามารถร6บข9อมลจราจรทางคอมพวเตอร จากอRปกรณ บรการหรSอระบบต9นทาง ตามทTระบRได9 อยางครบ
ถ9วน ถกต9อง และหากเปkนไปได9ระบบควรมระบบตรวจสอบและปฏเสธข9อมลจราจรทางคอมพวเตอร หรSอข9อมล
อSTนทTสงมาจากระบบต9นทาง ทTไมถกต9องหรSอผดปกต
7.2 การเกบร6กษาข9อมลจราจรทางคอมพวเตอร
ข9อมลจราจรทางคอมพวเตอร ทTร6บเข9ามาในระบบต9อง
– เกบในสSTอ (Media) ทTสามารถร6กษาบรณภาพของข:อมลได9อยางเหมาะสมและปjองก6นการสญหาย เสยหาย
ถกลบ ท=าลาย แก9ไข ด6ดแปลง ท6cงโดยเจตนาและไมเจตนา
– เข9าถ^งได9เฉพาะผ9ดแลข9อมล และไมสามารถเข9าถ^งได9โดยผ9ไมเกTยวข9องหรSอผ9ไมได9ร6บอนRญาต
– ถกเกบร6กษาไว9เปkนเวลาไมน9อยกวาทTได9ระบRไว9 และต9องไมน9อยกวา ๙๐ ว6น
-8-
มศอ. ๔๐๐๓.๑ - ๒๕๕๒
ภาคผนวก ก
การตรวจสอบความถกต:องสมบรณของข:อมล
-9-
มศอ. ๔๐๐๓.๑ - ๒๕๕๒
ภาคผนวก ข
ต7วอยางข:อมลจราจรทางคอมพวเตอร
-10-
มศอ. ๔๐๐๓.๑ - ๒๕๕๒
* ข9อมลทTบอกถ^งสถานะในการตรวจสอบ (Status Indicator) ซ^Tงได9แก จดหมายอเลกทรอนกสทTสงส=าเรจ
จดหมายอเลกทรอนกสทTสงคSน จดหมายอเลกทรอนกสทTมการสงลาช9า เปkนต9น
– ข9อมลหมายเลขชRดอนเทอรเนตของเครSTองคอมพวเตอรผ9ใช9บรการทTเชSTอมตออยขณะเข9ามาใช9บรการ (IP
Address of Client Connected to Server)
– ข9อมลว6นและเวลาการตดตอของเครSTองทTเข9ามาใช9บรการและเครSTองให9บรการ (Date and time of
connection of Client Connected to server)
– ข9อมลหมายเลขชRดอนเทอรเนตของเครSTองบรการจดหมายอเลกทรอนกสทTถกเชSอT มตออยใน ข ณ ะ น6c น
(IP Address of Sending Computer)
– ชSTอผ9ใช9งาน (User ID) (ถ9าม)
– ข9อมลทTบ6นท^ก การเข9าถ^งข9อมลจดหมายอเลกทรอนกส ผานโปรแกรมจ6ดการจากเครSTองของสมาชก หรSอ
เข9าถ^งเพSTอเรยกข9อมลจดหมายอเลกทรอนกสไปย6งเครSTองสมาชก โดยย6งคงจ6ดเกบข9อมลทTบ6นท^กการเข9าถ^ง
ข9อมลจดหมายอเลกทรอนกสทTด^ง ไปน6cน ไว9ทTเครSTองให9บรการ หรSอ POP3 Log หรSอ IMAP4 Log
-11-
มศอ. ๔๐๐๓.๑ - ๒๕๕๒
-12-
มศอ. ๔๐๐๓.๑ - ๒๕๕๒
– ข9 อ มลว6 น และเวลาการตดตอของเครST อ งทT เ ข9 า มาใช9 บ รการและเครST อ งให9 บ รการ (Date and Time of
Connection of Client to Server)
– ข9อมลหมายเลข Port ในการใช9งาน (Protocol Process ID)
– ข9อมลชSอT เครSTองให9บรการ (Host Name)
– ข9อมลหมายเลขล=าด6บข9อความทTได9ถกสงไปแล9ว (Posted Message ID)
ข 6. ข:อมลจราจรทางคอมพวเตอร จากการโต:ตอบก7นบนเครEอขายคอมพวเตอร
รายการข9อมลทTต9องจ6ดเกบ
– ข9อมลเกTยวก6บว6น เวลาการตดตอของผ9ใช9บรการ (Date and Time of Connection of Client to Server)
– ข9อมลชSTอเครSTองบนเครSอขาย (Client Hostname and/or IP Address)ข9อมลหมายเลข Port ในการใช9งาน
(Protocol Process ID)
– หมายเลขเครST อ งของผ9 ให9 บ รการทT เ ครST อ งคอมพวเตอรเชST อ มตออยในขณะน6c น (Destination Hostname
and/or IP Address)
หมายเหตC ต6วอยางการโต9ตอบก6นบนเครSอขายคอมพวเตอร ได9แก Internet Relay Chat (IRC) หรSอ Instance Messaging
(IM) เปkนต9น
-13-
มศอ. ๔๐๐๓.๑ - ๒๕๕๒
ภาคผนวก ค
กระบวนการจ7ดเกบข:อมลจราจรทางคอมพวเตอร
ระบบเกบร6กษาข9อมลจราจรทางคอมพวเตอรเปkนสวนหน^Tงของกระบวนการจ6ดเกบข9อมลจราจราทางคอมพวเตอร
ซ^Tงจะท=างานเกTยวข9องเชSTอมโยงก6นท6cงฮารดแวร ซอฟตแวร ระบบและอRปกรณเครSอขายตางๆ รวมถ^งสSอT บ6นท^กข9อมล
ทTเลSอกใช9 เพSTอให9ได9ข9อมลจราจรทางคอมพวเตอร มาเกบร6กษาไว9ตามว6ตถRประสงคทTต9องการ
ค.1 สวนประกอบในกระบวนการจ7จ7ด เกบข:อมลจราจรทางคอมพวเตอร
ส=าหร6บองคกรท6Tวไป กระบวนการจ6ดเกบข9อมลจราจรทางคอมพวเตอร (ดเอกสารอ9างอง 3.15) จะสามารถแบงสวน
ประกอบหล6กได9เปkน 3 สวน คSอ สวนของการสร9างข9อมลจราจรทางคอมพวเตอรและการสงผานข9อมลจราจรทาง
คอมพวเตอร(ซ^TงปกตจะสงผานเครSอขายท9องถTนหรSอเครSอขายสวนบRคคล) สวนของการเกบร6กษาข9อมลจราจรทาง
คอมพวเตอร (รวมถ^งสวนของการต6ดสนอนRญาตให9ลบข9อมลจราจรทางคอมพวเตอร หากพจารณาแล9ววาไมมความ
จ=าเปkนต9องเกบในระบบแล9ว) และสวนของการวเคราะหและเฝjาระว6งข9อมลจราจรทางคอมพวเตอร ด6งได9แสดงไว9
ในรป ค.1
-14-
มศอ. ๔๐๐๓.๑ - ๒๕๕๒
- สวนสร:างข:อมลจราจรทางคอมพวเตอร ท=าหน9าทTเปkนแหลงก=าเนดหรSอสร9างข9อมลจราจรทางคอมพวเตอร (Log
Generation) ปกตข9อมลจราจรทางคอมพวเตอรจะสร9างข^cนบนเครSTองให9บรการ(เครSTองเซรฟเวอร) หรSอ Log Source
ทTให9บรการอยางใดอยางหน^Tง หรSออRปกรณบนระบบเครSอขายทTมข9อมลจราจรทางคอมพวเตอรจากระบบปฏบ6ตการ
และซอฟตแวรประยRกต
การเกบร6กษาข9อมลจราจรทางคอมพวเตอรไว9บนเครSTองให9บรการทTสร9างข9อมลน6cนข^cนมา หรSอในอRปกรณทTเครSTองน6cน
ควบคRมโดยตรงได9 เรยกวาการจ6ดเกบแบบปฐมภม (Primary Logging) ในกรณทTมการสงผานข9อมลจราจรทาง
คอมพวเตอรไปเกบร6กษาทTเครSTองหรSอระบบอSTนซ^TงไมใชเครSTองทTสร9างข9อมลข^cนมา อาท เครSTองให9บรการเกบร6กษา
ข9อมลจราจรทางคอมพวเตอร (Log server) เรยกวา การจ6ดเกบแบบทRตยภม (Secondary Logging)
- สวนของการเกบร7กษาข:อมลจราจรทางคอมพวเตอร ท=าหน9าทTร6บข9อมลจราจรทางเคอมพวเตอรทTได9จากแหลงก=าเนด
(Log Storage and Correlation) และจ6ดเกบตามรปแบบ วธ และระยะเวลาทTก=าหนดไว9 ท6cงนcอาจรวมถ^งการแปลง
หรSอเข9ารห6สข9อมลจราจรทางคอมพวเตอร ให9อยในรปแบบทTเหมาะสมก6บการจ6ดเกบด9วย สวนนcจะหมายรวมถ^งสSอT
ทTใช9ในการบ6นท^กข9อมลทTจ6ดเกบด9วย
ในบางกรณ สวนนcอาจท=าหน9าทTเสรมในการเปลTยนการจ6ดรปแบบข9อมลจราจรทางคอมพวเตอรให9อยในรปแบบทT
พร9อมส=าหร6บการน=าไปใช9วเคราะหตอได9
ส=าหร6บเครSTองให9บรการทTมความสามารถในการร6บข9อมลจราจรทางคอมพวเตอรจากแหลงก=าเนดข9อมลจราจรทาง
คอมพวเตอรจ=านวนมาก อาจถกเรยกวา Collectors หรSอ Aggregators
- สวนของการวเคราะหและเฝcาระว7งข:อมลจราจรทางคอมพวเตอร ท=าหน9าทTเปkนสวนตดตอก6บผ9ดแลระบบหรSอผ9ดแล
ข9อมลแล9วแตกรณ (Log Analysis and Monitoring) โดยจะท=าหน9าทTวเคราะหข9อมลจราจรทางคอมพวเตอรทTเกบ
ร6กษาไว9 เฝjาระว6งบรณภาพของข9อมล และชวยในการตรวจสอบคาทTต6cงไว9 โดยท6Tวไปสวนนcม6กตดต6cงหรSอท=างาน
อยบนเครSอT งหรSอระบบเดยวก6นก6บสวนของการเกบร6กษาข9อมลจราจรทางคอมพวเตอร
บางระบบสน6บสนRนการสร9างรายงานการวเคราะหข9อมลจราจรทางคอมพวเตอร รวมถ^งสามารถต6cงคาการแจ9งเตSอนผ9
เกTยวข9องโดยอ6ตโนม6ตได9 ท6cงนcเพSTอให9ข9อมลเรวและตรงก6บความเปkนจรงในปtจจRบ6นทTสRด
-15-
มศอ. ๔๐๐๓.๑ - ๒๕๕๒
การจ6ดเกบข9อมลจราจรทางคอมพวเตอรแบบปฐมภม ปกตจะเปkนการจ6ดเกบข9อมลบนฮารดดสกหรSอสSTอบ6นท^ก
ข9อมลบนต6วอRปกรณหรSอระบบทTก=าเนดข9อมลจราจรทางคอมพวเตอรเอง ในรปทT ค.2 เปkนต6วอยางการเกบข9อมล
ทางคอมพวเตอร แยกตามข9อมลทางคอมพวเตอรของระบบปฏบ6ตการ ในต6วอยางนcใช9เปkนระบบปฏบ6ตการลนRกซ
ข9อมลจราจรทางคอมพวเตอรของเวบเซรฟเวอรและข9อมลจราจรทางคอมพวเตอรของระบบแอพพลเคช6น ในทTนcเปkน
ระบบ E-ticket ระบบปฏบ6ตการลนRกซจะบ6นท^กข9อมลจราจรทางคอมพวเตอรไว9ในไดเรกทอร /var/log/httpd และ
/var/log/ticket1 เปkนต9น
การจ6ดสงข9อมลจราจรทางคอมพวเตอรไปบ6นท^กหรSอเกบร6กษาไว9ทTเครSTองให9บรการจ6ดเกบลอก (ลอกเซรฟเวอร)
ตามทTแสดงไว9ในรปน6cน สามารถสงผานระบบเครSอขายได9อกหลายรปแบบ ต6วอยางเชน
– สงข9อมลตามรปแบบของไฟลไบนารหรSอการเรยกใช9 Application Programming Interface หรSอ API ของ
ลอกเซรฟเวอรเพSTอสงข9อมลจราจรทางคอมพวเตอร
– สงข9อมลในรปแบบของไฟล เชนสงไฟลเปkน TEXT หรSอรปแบบไฟล CSV (Comma-Separated) ผาน
โปรโตคอล ร6บ-สงไฟล (File Transfer Protocol หรSอ FTP)
– สงข9อมลในรปแบบมาตรฐาน SYSLOG เปkนโพรโตคอล UDP ใช9หมายเลขพอรตเปkน 514 นยมใช9ก6บ
ระบบปฏบ6ตตระกลยนกซและลนRกซ ซ^Tงใช9เปkนต6วอยาง ตามรปทT ค.2
– สงข9 อ มลในรปแบบมาตรฐาน EVENTLOG ซ^T ง เปk น รปแบบของไฟลหรS อ ผานสครปตการสงข9 อ มล
EVENTLOG นยมใช9บนระบบปฏบ6ตการตระกลไมโครซอฟตวนโดวส
– สงข9อมลในรปแบบของระบบฐานข9อมลด9วยโครงสร9างภาษา SQL หรSอ Structure Query Language เพSTอ
สงข9 อ มลจราจรทางคอมพวเตอรไปเกบทT ระบบบรหารจ6 ด การฐานข9 อ มลหรS อ Database Management
-16-
มศอ. ๔๐๐๓.๑ - ๒๕๕๒
System บนลอกเซรฟเวอรโดยตรง
– ใช9การสงข9อมลผานโพรโตคอล Simple Network Management Protocol หรSอ SNMP
– สงข9อมลในรปแบบ XML หรSอ XHTML ผานโพรโตคอล SOAP
-17-
มศอ. ๔๐๐๓.๑ - ๒๕๕๒
ถกลบข9อมลการเข9ามาในระบบ หรSอโดยมากม6กจะพจารณาได9โดยท6นทวาในกรณทTระบบถกบRกรRกโดยไมได9
ร6บอนRญาตน6cน ข9อมลจราจรทางคอมพวเตอรทTบ6นท^กและเกบไว9แบบปฐมภมน6cน จะมความนาเชSTอถSอและ
ความถกต9องน9อยมากจนไมสามารถน=ามาพจารณาได9ท6cงหมด
– สามารถประเมนระด6 บ ความต9 อ งการและขดความสามารถในการรองร6 บ การเกบข9 อ มลจราจรทาง
คอมพวเตอรได9อยางมประสทธภาพ เชน การตดตามปรมาณของการเกบข9อมลจราจรทางคอมพวเตอรบน
สSTอบ6นท^กข9อมลหรSอฮารดดสกเฉพาะทTลอกเซรฟเวอร เพSTอประเมนแนวโน9มอ6ตราการเตบโตของข9อมล
จราจรทางคอมพวเตอรเปkนต9น
– สามารถน=าข9อมลจราจรทางคอมพวเตอรทTศนยกลางไปใช9วเคราะหได9อยางรวดเรวและมประสทธภาพ รวม
ถ^งการเพTมเตมความสามารถอSTนๆ สามารถท=าได9โดยไมมผลกระทบตอสมรรถนะของเครSTองให9บรการ อาท
การต6cงให9แจ9งเตSอนเปkนแบบท6นท (Real-time) หรSอ การเพTมสวนสน6บสนRนการวเคราะหข9อมลจราจรทาง
คอมพวเตอรแบบ Off-line กยอมได9โดยงาย
-18-