ict4all

อบรมติดตามระบบงานวิชาการ และงานดูแลช่วยเหลือนักเรียน

2011-07-13T23:38:00.000-07:00

อบรมติดตามระบบงานวิชาการ และงานดูแลช่วยเหลือนักเรียน

ณ โรงแรมโกลเด้น ดรากอน นนทบุรี

11 - 15 กรกฎาคม 2554

เก็บตกการอบรมทะเบียน-วัดผล

2011-02-27T23:37:00.001-08:00

ข้อเสนอแนะสำหรับการติดตั้งโปรแกรม

1. ติดตั้ง windows (ของแท้) http://blog.wanthanaa.net/

2. ติดตั้ง Office 2007 แท้ (http://blog.wanthanaa.net/)

3. Update Office 2007 http://www.microsoft.com/downloads/thankyou.aspx?familyId=b444bf18-79ea-46c6-8a81-9db49b4ab6e5&displayLang=th

4. ติดตั้ง SQL2008R2 Server

5. Restore ฐานข้อมูล

6. เปิดโปรแกรมเข้าใช้งาน

แจ้ง Update โปรแกรมทะเบียน-วัดผล

2011-02-27T23:25:00.000-08:00

สำหรับโรงเรียนเอกชน ปทุมธานี เขต 2 สามารถติดต่อขอรับ database ที่เพิ่มชื่อโรงเรียนเข้าไปแล้ว ได้ที่ ศน.ไอลดา

การทำ web conference ด้วย red5

2010-07-12T21:28:00.000-07:00

Web Conference เป็นอีกหนึ่งเรื่องที่กำลังเป็นสนใจของหลายๆ หน่วยงานที่ต้องการทำ video conference หรือ web conference ใช้เองในหน่วยงาน ซึ่ง RED5 เป็น Opensource ที่ดีที่หลายองค์กรนำมาใช้งาน ติดตามรายละเอียดการใช้งานในชุมชนชาว RED5 ได้ที่ http://202.29.13.53/

ความมั่นคงปลอดภัยกับเทคโนโลยี VoIP

2010-02-20T23:50:00.000-08:00

จัดทำโดย
นายศิรมณ์ เสถียรรัมย์
รหัสนักศึกษา 5207964
เสนอ
พ.อ.รศ.ดร.เศรษฐพงค์ มะลิสุวรรณ
รายงานนี้เป็นส่วนหนึ่งของรายวิชา
ITM 633 Information Security Management
หลักสูตรวิทยาศาสตรมหาบัณฑิต สาขาวิชาการจัดการเทคโนโลยีสารสนเทศ
(ระบบการศึกษาทางไกลทางอินเทอร์เน็ต) มหาวิทยาลัยรังสิต

ประวัติอาจารย์ผู้สอน พ.อ.รศ.ดร.เศรษฐพงค์ มะลิสุวรรณ

การศึกษา
• ปริญญาเอกวิศวกรรมไฟฟ้าสื่อสารโทรคมนาคม Ph.D. in Electrical Engineering (Telecommunications) จาก State University System of Florida; Florida Atlantic University, USA
• ปริญญาโทวิศวกรรมไฟฟ้าสื่อสารโทรคมนาคม (ระบบสื่อสารเคลื่อนที่) MS in EE (Telecommunications) จาก The George Washington University, USA
• ปริญญาโทวิศวกรรมไฟฟ้า (เครือข่ายสื่อสารคอมพิวเตอร์) MS in EE จาก Georgia Institute of Technology, USA
• ปริญญาตรีวิศวกรรมไฟฟ้าสื่อสารโทรคมนาคม (เกียรตินิยมเหรียญทอง) จาก โรงเรียนนายร้อยพระจุลจอมเกล้า (นักเรียนเตรียมทหารรุ่น 26, จปร. รุ่น 37) BS.EE. (Telecommunication Engineering)
• มัธยมปลาย จากโรงเรียนเตรียมอุดมศึกษา

เกียรติประวัติด้านการศึกษา
• จบการศึกษาปริญญาตรีวิศวกรรมไฟฟ้าสื่อสารโทรคมนาคม อันดับที่ ๑ ด้วยเกียรตินิยมเหรียญทอง
• ได้รับเกียรตินิยมปริญญาเอก Outstanding Academic Achievement จาก Tau Beta Pi Engineering Honor Society และ Phi Kappa Phi Honor Society
• ได้รับทุนวิจัยระดับปริญญาเอกจาก EMI R&D LAB (Collaboration between Florida Atlantic University and Motorola, Inc.) หลักสูตรประกาศนียบัตร
• หลักสูตรการรบร่วมรบผสม (Joint and Combined Warfighting Course), National Defense University, Norfolk ประเทศสหรัฐอเมริกา โดยทุนต่อต้านก่อการร้ายสากล (Counter Terrorism Fellowship Program) กระทรวงกลาโหม สหรัฐอเมริกา
• หลักสูตรการบริหารทรัพยากรเพื่อความมั่นคง (Defense Resourse Management) โดยทุน International Military Education and Training (IMET) program, Naval Postgraduate School ประเทศสหรัฐอเมริกา
• หลักสูตร Streamlining Government Through Outsourcing Course โดยทุน International Military Education and Training (IMET) program, Naval Postgraduate School ประเทศสหรัฐอเมริกา ตำแหน่งและหน้าที่ปัจจุบัน
• ประจำกรมข่าวทหาร กองบัญชาการกองทัพไทย
• กรรมการกำหนดและจัดสรรคลื่นความถี่ใหม่ ภายใต้คณะกรรมการกิจการโทรคมนาคมแห่งชาติ (กทช.)
• ผู้ช่วยเลขานุการในคณะประสานงานการบริหารคลื่นความถี่เพื่อความมั่นคงของรัฐ ภายใต้คณะกรรมการกิจการโทรคมนาคมแห่งชาติ (กทช.)
• กองบรรณาธิการ NGN Forum สำนักงานคณะกรรมการกิจการโทรคมนาคมแห่งชาติ
• บรรณาธิการวารสาร International Journal of Telecommunications, Broadcasting, and Innovation Management
• ประธานโครงการศึกษาความเป็นไปได้ในการกำกับดูแลเรื่องการบริหารคลื่นความถี่ด้วยเทคโนโลยี Dynamic Spectrum Allocation เพื่ออุตสาหกรรมโทรคมนาคมไทย ภายใต้การสนับสนุนของ คณะกรรมการกิจการโทรคมนาคมแห่งชาติ (กทช.)
• อาจารย์พิเศษภาควิชาวิศวกรรมไฟฟ้าและคอมพิวเตอร์ โรงเรียนนายร้อยพระจุลจอมเกล้า
• รองศาสตราจารย์ Business School, TUI University International, USA. (Accredited Internet Distance Learning University)
• รองศาสตราจารย์ American University of London (Internet Distance Learning University)
• กรรมการกำกับมาตรฐานในหลักสูตรวิศวกรรมไฟฟ้าโทรคมนาคม, วิศวกรรมซอฟท์แวร์, เกมส์และมัลติมีเดีย, เทคโนโลยีสารสนเทศ, การจัดการสารสนเทศ ในหลายมหาวิทยาลัย ทั้งของรัฐบาลและเอกชน
• อาจารย์พิเศษในมหาวิทยาลัยหลายแห่ง เช่น จุฬาลงกรณ์มหาวิทยาลัย, มหาวิทยาลัยมหิดล, มหาวิทยาลัยธรรมศาสตร์, มหาวิทยาลัยรามคำแหง, มหาวิทยาลัยนเรศวร, มหาวิทยาลัยขอนแก่น, มหาวิทยาลัยอัสสัมชัญ, มหาวิทยาลัยกรุงเทพ และมหาวิทยาลัยรังสิต ตำแหน่งและหน้าที่สำคัญในอดีต
• ผู้บังคับหมวด กองพันทหารสื่อสารที่ ๑ รักษาพระองค์
• อาจารย์ภาควิชาวิศวกรรมไฟฟ้าและคอมพิวเตอร์โรงเรียนนายร้อยพระจุลจอมเกล้า
• ผู้พิพากษาสมทบศาลทรัพย์สินทางปัญญาและการค้าระหว่างประเทศกลาง
• ช่วยราชการสำนักงานเสนาธิการประจำเสนาธิการทหารบก
• ปฏิบัติหน้าที่ใน บริษัท กสท โทรคมนาคม จำกัด (มหาชน) ๑. ตำแหน่งผู้เชี่ยวชาญและเลขานุการ ประธานกรรมการฯ ๒. ตำแหน่งกรรมการกำกับดูแล การดำเนินงานและโครงการ
• อนุกรรมการบริหารโปรแกรมเทคโนโลยีเพื่อความมั่นคงศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิว เตอร์แห่งชาติ (NECTEC)
• อนุกรรมาธิการ ทรัพยากรน้ำ ในคณะกรรมาธิการทรัพยากรธรรมชาติและสิ่งแวดล้อมสนช.
• ที่ปรึกษาโครงการดาวเทียมเพื่อความมั่นคงศูนย์พัฒนากิจการอวกาศเพื่อความมั่นคง กระทรวงกลาโหม
• หัวหน้าโครงวิจัย การศึกษาความเป็นไปได้การจัดสร้างพื้นที่ทดสอบความเข้ากันได้ทางแม่เหล็กไฟฟ้าและสอบเทียบสายอากาศ ศูนย์ทดสอบผลิตภัณฑ์ไฟฟ้าและอิเล็กทรอนิกส์ (PTEC) สนับสนุนโครงการโดย สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (NSTDA)
• อนุกรรมการ การประชาสัมพันธ์ สื่อทางอินเทอร์เน็ต ศาลยุติธรรม
• ที่ปรึกษาคณะอนุกรรมาธิการพิจารณาศึกษาหามาตรการในการป้องกันการแพร่ระบาดของเกมส์คอมพิวเตอร์ (ออนไลน์) ในสภาผู้แทนราษฎร
• กรรมการร่างหลักเกณฑ์ใบอนุญาตประกอบกิจการโทรคมนาคมผ่านดาวเทียมสื่อสาร และโครงข่ายสถานีวิทยุคมนาคมภาคพื้นดิน ภายใต้คณะกรรมการกิจการโทรคมนาคมแห่งชาติ (กทช.)
• คณะทำงานกำหนดคุณลักษณะเฉพาะเครื่องคอมพิวเตอร์และระบบเครือข่าย และกำหนดขอบเขตการจ้างที่ปรึกษาในการออกแบบและพัฒนาระบบงาน สำนักงานตรวจเงินแผ่นดิน
• ที่ปรึกษาในคณะกรรมการเทคโนโลยีสารสนเทศและการสื่อสาร (CIO Board) สำนักงานตรวจเงินแผ่นดิน
• อนุกรรมการปรับปรุงระบบข้อมูลสารสนเทศ สำนักงานตรวจเงินแผ่นดิน
• นักวิจัย Visiting Researcher, Asian Center for Research on Remote Sensing (ACRoRS); Asian Institute of Technology (AIT)
• นักวิจัย Visiting Researcher, FAU EMI R&D LAB, Boca Raton, Florida, USA
• ผู้เชี่ยวชาญเพื่อพิจารณาข้อเสนอโครงการวิจัย พัฒนาและวิศวกรรม ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC)
* ผู้เชี่ยวชาญเพื่อพิจารณาข้อเสนอโครงการวิจัยและพัฒนา กระทรวงกลาโหม
• ผู้ประเมินนักวิจัยดีเด่นประจำปี ของสภาวิจัยแห่งชาติ
• Adjunct Professor, School of Information Technology, Southern Cross University, Australia
• Adjunct Professor, Southern Cross University, Australia (Cooperation with Narasuan University, Thailand)
• Adjunct Professor, University of Canberra, Australia (Cooperation with Narasuan University, Thailand) ผลงานตีพิมพ์ทางวิชาการ
• วารสารวิจัยระดับนานาชาติ ๒๒ ฉบับ
• วารสารการประชุมทางวิชาการระดับชาติและนานาชาติ ๖๓ ฉบับ

เทคโนโลยี Voice Over Internet Protocol (VoIP)

เทคโนโลยี Voice Over Internet Protocol หรือ การส่งเสียงบนเครือข่ายไอพี เป็นเรื่องของการส่งเสียงพูดหรือข้อมูลประเภทของเสียงผ่านเครือข่าย Internet หรือ Intranet ของทางบริษัทหรือหน่วยงาน โดยที่จะมี Gateway อยู่ระหว่างตู้โทรศัพท์หรือ PMX (Private Branch Exchange) กับระบบ LAN โดยทำหน้าที่บีบขนาดไฟล์ข้อมูลของการคุย แปลงข้อมูลให้อยู่ในรูปของแพ็กเกต IP แล้วส่งเข้าไปในเครือข่าย จากนั้น Gateway ฝั่งตรงข้ามจะทำการขยายขนาดและแปลงข้อมูลกลับมาอยู่ในรูปของเสียง ทำให้ผู้ใช้คุยกันได้ด้วยโทรศัพท์ธรรมดา(www.thaiinternetwork.com)

VoIP สามารถประยุกต์ใช้ได้กับข้อกำหนดของการสื่อสารได้เกือบทั้งหมด ตั้งแต่การสื่อสารระหว่างอินเทอร์คอมของสำนักงาน ไปจนถึง multi-point teleconference การที่จะประยุกต์ใช้ VoIP นั้นส่วนใหญ่จะเป็นแบบ real time อุปกรณ์ที่จะใช้ต้องมีความยืดหยุ่นสูง สามารถสร้างความพึงพอใจให้กับทุกฝ่ายและใช้งานได้กับทุกสภาพแวดล้อมที่หลากหลาย และยังสามารถทำงานร่วมกับระบบโทรศัพท์ดั้งเดิมได้อีกด้วย

มาตรฐานของเทคโนโลยี VoIP

มาตรฐานของเทคโนโลยี VoIP โดยทั่วไปจะมีอยู่ 2 มาตรฐาน คือ

1. H.323 Standard

โดยทั่วไปแล้วระบบนี้ไม่ได้ถูกออกแบบมาให้ใช้งานกับระบบเครือข่ายที่ใช้ IP นอกจากนั้นมาตรฐานนี้มีการทำงานที่ค่อนข้างช้า โดยปกติจะใช้ก็ต่อเมื่อในระบบเดิมของลูกค้ามีการใช้มาตรฐาน H.323 อยู่แล้วเท่านั้น

2. SIP (Session Initiation Protocol) Standard

เป็นมาตรฐานใหม่ในการใช้งานของเทคโนโลยี VoIP ซึ่งมาตรฐาน SIP ได้ถูกออกแบบมาเพื่อใช้กับระบบ IP โดยเฉพาะ ซึ่งโดยปกติแล้วจะแนะนำให้ลูกค้าใหม่ที่จะมีการใช้ VoIP ให้มีการใช้งานอยู่บนมาตรฐาน SIP และเป็นมาตรฐานที่มี Reliability ที่ค่อนข้างสูง (พ.อ.รศ.ดร.เศรษฐพงค์ มะลิสุวรรณ: http://www.guru-ict.com/guru/files/VOIP.doc)

ความแพร่หลายของ เทคโนโลยี Voice over IP (VoIP) ซึ่งปัจจุบันได้รับการพัฒนาจนสามารถให้คุณภาพในการสื่อสารที่ใกล้เคียงกับ การใช้โทรศัพท์พื้นฐานแบบ Time Division multiplexing (TDM) ที่มีมาแต่อดีต นอกจากจะเป็นการช่วยลดต้นทุนในการให้บริการของผู้ประกอบการเครือข่าย ด้วยเหตุที่ว่า VoIP ทำให้มีการใช้งานแบนด์วิดธ์ของวงจรสื่อสารได้อย่างมีประสิทธิภาพมากกว่าการ สื่อสารแบบ TDM ที่ต้องมีการจองแบนด์วิดธ์ตายตัวให้กับวงจรสื่อสารแต่ละวงจร (วงจรละ 64 กิโลบิตต่อวินาที) ความง่ายและความสะดวกของการใช้งาน VoIP ไม่ว่าจะเป็นการใช้งานผ่านเครื่องคอมพิวเตอร์ ความหลากหลายของผู้ให้บริการ ซึ่งมีทั้งที่เป็นผู้ให้บริการสื่อสารเครือข่ายโทรศัพท์เดิม และบรรดาผู้ให้บริการบนโลกอินเทอร์เน็ตอย่าง Skype ก็ทำให้ผู้บริโภครู้สึกสะดวกในการใช้งาน ทั้งนี้ยังไม่นับถึงผลพวงจากต้นทุนในการให้บริการที่ลดต่ำลง และการแข่งขันของผู้ประกอบการที่ทำให้อัตราค่าบริการของโทรศัพท์แบบ VoIP ถูกมาก โดยเฉพาะการใช้บริการระหว่างประเทศ

ลำพังเฉพาะการใช้งาน VoIP ในหมู่ผู้บริโภคทั่วไป ก็จะเห็นได้ว่าเป็นการพึ่งพาเครือข่ายอินเทอร์เน็ตอย่างไม่มีพรมแดน ภาพของการใช้งานบริการ VoIP ของผู้บริโภคที่อาศัยอยู่ในประเทศหนึ่ง ผ่านทางอุปกรณ์ VoIP Gateway และ VoIP Server (หรือ Softswitch) ที่เป็นของผู้ประกอบการที่ติดตั้งอยู่ ณ อีกซีกหนึ่งของโลก หรือแม้กระทั่งการใช้งานบริการ VoIP ของผู้ประกอบการเครือข่ายที่อยู่ในประเทศเดียวกัน ก็ยังมีความเป็นไปได้ว่าบนเส้นทางการรับส่งสัญญาณเสียงจากโทรศัพท์ต้นทางไป สู่ปลายทาง ย่อมจะต้องมีบางช่วงที่ถูกส่งผ่านเครือข่ายอินเทอร์เน็ต หรือแม้กระทั่งผ่านเครือข่าย IP ที่มีการเช่าใช้งานแบบสาธารณะร่วมกับผู้ประกอบการหรือผู้เช่าใช้งานรายอื่น

ประเด็นในเรื่องของความปลอดภัย ไม่ว่าจะเป็นการถูกจู่โจมจากบรรดาไวรัส วอร์ม หรือโทรจันต่าง ๆ ที่มีแพร่กระจายอยู่บนเครือข่ายอินเทอร์เน็ต หรือแม้กระทั่งการถูกลักลอบดักฟังการสนทนาทางโทรศัพท์โดยบุคคลที่สาม ซึ่งสามารถจับ (Trace and Track) สัญญาณโทรศัพท์ที่อยู่ในรูปของโปรโตคอล VoIP กลายเป็นการละเมิดสิทธิส่วนบุคคล หรืออาจนำไปสู่การมุ่งร้ายอื่น ๆ กำลังกลายเป็นเรื่องที่ได้รับความสนใจจากผู้ใช้บริการ VoIP โดยเฉพาะกับกลุ่มผู้ใช้บริการในลักษณะองค์กร (Enterprise Customer) ซึ่งผลจากการถูกลักลอบดังฟังจะกระทบโดยตรงกับธุรกิจหรือกิจการที่องค์กร ดำเนินการอยู่

(ภาพจาก http://sendanonymousemail.com/mail/wp-content/uploads/2009/03/voip.jpg)

ในปัจจุบันมีมาตรฐานโปรโตคอลที่ได้รับการออกแบบมา เพื่อให้ผู้ประกอบการเลือกใช้อยู่หลายประเภท ไม่ว่าจะเป็นมาตรฐาน H.323 มาตรฐาน SIP (Session Initiation Protocol) ซึ่งมีแนวโน้มว่าจะได้เป็นมาตรฐานหลักสำหรับ VoIP ในอนาคต นอกจากนั้นยังมีมาตรฐานอื่น ๆ ที่เติบโตขึ้นจากโลกของเครือข่ายโทรคมนาคมเดิม ทั้งมาตรฐาน Media Gateway Control Protocol (MGCP) และ Megaco/H.248 มาตรฐานโปรโตคอลเหล่านี้เน้นให้ความสำคัญกับการรักษาคุณภาพในการรับส่ง สัญญาณโทรศัพท์ VoIP ผ่านเครือข่าย IP และเครือข่ายอินเทอร์เน็ต ซึ่งมีความซับซ้อนของการเชื่อมต่ออุปกรณ์เครือข่ายต่าง ๆ ไม่ว่าจะเป็นไฟร์วอลล์ เราเตอร์ เกตเวย์ ฯลฯ โดยมุ่งลดความล่าช้า (delay) ในการส่งผ่านแพ็กเก็ตข้อมูล VoIP ไปบนอุปกรณ์เหล่านี้ เพื่อหวังผลให้คุณภาพของการสนทนาปลอดจากผลกระทบของ jitter ซึ่งเป็นความหน่วงในการสื่อสารที่เกิดขึ้นและแฝงเร้นอยู่บนเส้นทางการสื่อสาร

(ภาพจาก http://195.224.249.41/images/products/voip_diagram.jpg)

ไม่ว่าการให้บริการ VoIP โดยผู้ประกอบการจะเลือกใช้โปรโตคอลแบบใด รวมถึงความใส่ใจของผู้ประกอบการในการปรับแต่งค่าพารามิเตอร์ในการให้บริการ เพื่อให้คุณภาพการสนทนาแบบ VoIP อยู่ในระดับที่ทัดเทียมกับการใช้งานโทรศัพท์แบบ TDM เพียงใด แต่ในแง่ของผู้ใช้งาน โดยเฉพาะกับกลุ่มผู้ใช้งานที่เป็นองค์กรแล้ว ก็ยังต้องให้ความสำคัญกับการเลือกใช้และออกแบบเครือข่ายคอมพิวเตอร์ และ/หรือ เครือข่าย IP ที่อยู่ภายในองค์กรของตนเองด้วย ไม่ว่าจะเป็นการกำหนดมาตรการ (policy) ในการให้อุปกรณ์เครือข่ายอย่างเราเตอร์ ไฟล์วอลล์ หรือแม้กระทั่ง Border Gateway มีคุณสมบัติในการรองรับข้อมูลที่เป็นแพ็กเก็ต VoIP เป็นพิเศษนอกเหนือจากข้อมูลที่อยู่ในรูปแพ็กเก็ตโปรโตคอลอื่น ๆ จะหวังพึ่งการกำหนดค่าของผู้ให้บริการเพียงอย่างเดียวลำพังก็ย่อมจะยากที่จะ รักษาคุณภาพในการใช้บริการ VoIP

มาตรการป้องกันความปลอดภัยของผู้ใช้บริการ VoIP

สำหรับแนวทางในการหามาตรการป้องกันความปลอดภัยของข้อมูลนั้น แนวทางที่เป็นไปได้สำหรับผู้ใช้บริการ VoIP ทั้งที่เป็นลูกค้ารายย่อยและลูกค้ากลุ่มองค์กร ก็คือการหาทางป้องกันเท่าที่จะทำได้ ณ จุดที่ตนเองใช้งาน ซึ่งยังมีความเป็นไปได้ที่จะป้องกันการลักลอบดักฟัง ณ จุดเชื่อมต่อ (Access Point) อันหมายถึงทุก ๆ สถานที่ที่ผู้ใช้งานมีความเป็นไปได้ที่จะใช้บริการ VoIP และการกำหนดนโยบายป้องกันการดักฟังระหว่างที่ข้อมูลแพ็กเก็ต VoIP วิ่งผ่านเครือข่ายของผู้ให้บริการ รวมถึงบนเครือข่ายเชื่อมต่ออย่าง IP และอินเทอร์เน็ต

การป้องกัน ณ จุดเชื่อมต่อ (Access Point)

แนวทางแรกซึ่งเป็นเรื่องของการ ป้องกันการลักลอบดักฟัง ณ จุดเชื่อมต่อ ก็คือการกำหนดมิให้บุคคลที่สามมีโอกาสเข้ามาจับเชื่อมต่อ (Tapping) เครือข่ายภายในบ้านหรือองค์กร ซึ่งในกรณีของเครือข่าย LAN ที่มีการเชื่อมต่อแบบเคเบิ้ลทั้งหมดนั้นไม่น่าจะมีปัญหามากนัก ทั้งนี้อาจมีการล็อกรหัสเลขหมาย MAC ของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่ายต่าง ๆ ที่ได้รับอนุญาตให้เชื่อมต่อกับเครือข่าย หรืออาจถึงขั้นกำหนดให้มีการล็อกอินก่อนผ่านเข้าใช้งานเครือข่าย

อย่างไรก็ตามในกรณีที่เปิดให้มีการใช้เชื่อมต่อผ่านทาง เครือข่ายไร้สาย โดยเฉพาะอย่างยิ่งกับเครือข่าย Wi-Fi ซึ่งตามที่อยู่อาศัยทั่วไปที่มีการติดตั้งอุปกรณ์ Wi-Fi ADSL Router และประยุกต์ใช้งาน VoIP ผ่านคอมพิวเตอร์โน้ตบุ๊คที่เชื่อมต่อกับเครือข่ายภายในบ้าน โดย Wi-Fi หรือแม้กระทั่งใช้โทรศัพท์ VoIP ที่เป็นแบบ Wi-Fi เสียเอง ในกรณีนี้แนะนำให้เปิดใช้งานฟังก์ชั่นการเข้ารหัสแบบ WPA (Wi-Fi Protected Access) ผ่านทางอุปกรณ์ Wi-Fi Router พร้อมทั้งกำหนดค่าบนเครื่องคอมพิวเตอร์โน้ตบุ๊ค และโทรศัพท์ VoIP แบบ Wi-Fi (ถ้าทำได้) หลีกเลี่ยงที่จะใช้โปรโตคอลรักษาความปลอดภัยง่าย ๆ อย่าง WEP (Wired Equivalent Privacy) นอกจากนี้หากเป็นไปได้ควรทำการล็อกเลขหมาย MAC ในอุปกรณ์ Wi-Fi Router ให้ยอมรับเฉพาะเครื่องคอมพิวเตอร์ที่ใช้งานภายในบ้านหรือองค์กรเท่านั้น ก็จะสามารถป้องกันการลักลอบจับใช้งานเครือข่ายต้นทางเพื่อดักฟังการสนทนา VoIP ได้แล้วในระดับหนึ่ง

(ภาพจาก http://www.dialaphone.co.uk/blog/wp-content/uploads/2008/02/voip_1.jpg)

การป้องกันข้อมูล VoIP บนเครือข่าย

ปัจจุบันแนวทางในการรักษาความ ปลอดภัยให้กับแพ็กเก็ตข้อมูล VoIP ที่ถูกส่งผ่านเครือข่าย ดูจะมีข้อสรุปไปที่การใช้โปรโตคอล IP Security (IPsec) ซึ่งสามารถทำได้ทั้งที่จุดเชื่อมต่อต้นทาง (End-point) ซึ่งหมายถึงอุปกรณ์เครือข่ายขององค์กรต้นทางและปลายทาง หรือทำที่เครือข่ายของผู้ให้บริการต้นทางและปลายทาง มีข้อถกเถียงกันมากว่าการนำโปรโตคอล IPsec มาใช้งานเข้ารหัสแพ็กเก็ต VoIP จะทำให้เกิดความหน่วงในการรับส่งข้อมูลจนส่งผลให้คุณภาพในการสนทนาด้วย เทคโนโลยี VoIP ลดลงหรือไม่ ผลจากการทดสอบโดย National Institute of Standards and Technology (NIST) พบว่าการใช้งานโปรโตคอล IPsec ทำให้เวลาหน่วงในการขอเชื่อมต่อวงจรสื่อสารเพิ่มขึ้นประมาณ 3 วินาที ในขณะที่ไม่มีผลกระทบมากนักต่อการหน่วงของเสียงสนทนาหลังจากการเชื่อมต่อแล้ว

(ภาพจาก http://www.baacs.com/voip.jpg)

อย่างไรก็ตามยังมีประเด็นที่ต้องดำเนินการทดลองและหาข้อสรุป เกี่ยวกับการประยุกต์ใช้โปรโตคอล IPsec กับการให้บริการ VoIP แบบเข้ารหัส ซึ่งส่วนใหญ่เกี่ยวข้องกับการรักษาคุณภาพของสัญญาณสนทนาแบบ VoIPsec ซึ่งยิ่งความนิยมในการใช้บริการ VoIP เพิ่มขึ้นมากเท่าไร ความหนาแน่นของแพ็กเก็ตข้อมูล VoIP บนเครือข่าย IP และอินเทอร์เน็ตย่อมเพิ่มมากขึ้น และความหนาแน่นนี้อาจส่งผลรบกวนต่อประสิทธิภาพในการทำงานของโปรโตคอล VoIP และ VoIPsec ในภาพรวมมากขึ้น ในทางปฏิบัติจึงมีนักพัฒนาบางรายเสนอแนวคิดในการเข้ารหัสสัญญาณเสียงโดยใช้ ซอฟท์แวร์เฉพาะกิจพิเศษ ซึ่งจะทำการแปลงสัญญาณเสียงอนาล็อกที่พูดผ่านไมโครโฟนของโทรศัพท์ VoIP ต้นทาง ให้มีคุณสมบัติเฉพาะด้วยการสลับสเปกตรัมของสัญญาณเสียงก่อนที่จะแปลงไปเป็น สัญญาณดิจิตอล ซึ่งโทรศัพท์ปลายทางเท่านั้นที่จะทราบกันว่าเมื่อแปลงสัญญาณดิจิตอลที่ได้ รับกลับมาเป็นสัญญาณอนาล็อกแล้ว จะต้องทำการสลับสเปกตรัมของสัญญาณอนาล็อกในรูปแบบที่ย้อนกลับกับโทรศัพท์ต้น ทาง จึงจะสามารถเข้าใจเนื้อหาของการสนทนานั้นได้ดังเดิม แต่วิธีการนี้ก็ต้องการซอฟท์แวร์หรือโทรศัพท์ VoIP พิเศษ บางครั้งอาจต้องการฮาร์ดแวร์พิเศษ ซึ่งมองว่ามีโอกาสในการทำตลาดแบบ mass ได้ไม่ง่ายนัก การรอคอยให้มีการพัฒนาโปรโตคอล VoIPsec ให้แข็งแกร่งและสามารถรับปริมาณการสื่อสารแบบ mass ได้โดยไม่ส่งผลกระทบต่อคุณภาพในการสนทนามากจนเกินไปนักจึงน่าจะเป็นทางเลือก ที่ดีที่สุด (http://www.numsai.com)

รูป Inter Phone Adapter

รักษาความปลอดภัยให้กับ VoIP

ปัจจุบันนี้ VoIP ดูจะกลายเป็นส่วนหนึ่งของหลายๆ บริษัทไปเสียแล้วโดยอาศัยโครงสร้างพื้นฐานเดิมที่มีอยู่ภายในองค์กร ทำให้ VoIP ที่วิ่งกันอยู่ในระบบนั้นอาศัยเพียงแค่ไอพีในการทำงาน หรือมากขึ้นมาหน่อยก็เป็น VPN เพื่อรักษาความปลอดภัยให้กับข้อมูล เพียงเท่านี้ก็ทำให้หลายๆ บริษัทใช้ฟีเจอร์ทั้งพื้นฐานและฟีเจอร์ขั้นสูงของระบบ IP Telephony ได้แล้ว และยุคนี้ยังมีเครื่องมือที่พัฒนาขึ้นมาในแบบเว็บเบสที่ช่วยให้การควบคุม หรือการดูแลระบบของผู้ดูแลระบบไอทีทำได้ง่ายขึ้น รวมทั้งพนักงานสามารถเข้าถึงระบบได้ง่ายอีกด้วยเช่นกัน ซึ่งถ้าหากมองทิศทางในอนาคตของระบบ VoIP แล้วจะเห็นว่ามีความเป็นไปได้สูงที่จะเข้ามาอยู่ร่วมเป็นส่วนหนึ่งของ แอพพลิเคชันหลักในระบบที่ทำงานบนเครือข่ายไอพี เช่น แอพพลิเคชันฐานข้อมูลหรือระบบที่ใช้ติดต่อลูกค้าของบริษัทนั้นสามารถติดตั้ง โมดูล VoIP ลงไปทำให้แอพพลิเคชันมีความสามารถในการใช้ระบบ VoIP ได้ทันที ซึ่งด้วยความสามารถดังกล่าวนี้ทำให้แอพพลิเคชันสมัยใหม่นั้นทำมีประสิทธิภาพ สูงขึ้น และยังดูไร้ขีดจำกัดตามความต้องการใช้งานของผู้ใช้ และยังส่งผลให้เกิดรูปแบบการทำงานใหม่ๆ และสร้างผลผลิตจากองค์กรได้สูงขึ้นตามไปด้วยเช่นกัน

(ภาพจาก http://www.quintum.com/images/hospitality-voip.jpg)

โดยธรรมชาติของ ทราฟฟิก VoIP ที่ใช้กันอยู่ทุกวันนี้ ก็ไม่ได้แตกต่างอะไรจากข้อมูลแบบอื่นๆ ที่วิ่งอยู่บนเน็ตเวิร์กแบบไอพี เพียงแต่มีสิ่งที่ต้องการเพิ่มขึ้นมาเล็กน้อยสำหรับ VoIP ก็คือเรื่องของประสิทธิภาพในการทำงานแบบเรียลไทม์ที่ถือว่าเป็นสิ่งที่จำเป็นและขาดไม่ได้เลยทีเดียว กับอีกประเด็นนั่นก็คือเรื่องของการรักษาความปลอดภัยในระบบ VoIP ที่ไม่ควรมองข้ามเช่นกัน ซึ่งในการรักษาความปลอดภัยของระบบ VoIP นั้นมีหลากหลายประเด็นที่เราต้องให้ความสำคัญซึ่งถือเป็นพื้นฐานอยู่แล้วในการติดตั้งระบบ และจะต้องปรับแต่งโครงสร้างพื้นฐานรวมทั้งโพรซีเยอร์ต่างๆ ให้เหมาะสมกับระบบเช่นกัน โดยเฉพาะอย่างยิ่งในบางจุดที่เสี่ยงต่อการถูกโจมตี

เป้าหมายในการรักษาความปลอดภัย

สำหรับระบบ VoIP นั้นมีเป้าหมายในการรักษาความปลอดภัยไม่แตกต่างไปจากระบบอื่นๆ ในทุกๆ ประเด็น ซึ่งถ้ามองว่าข้อมูลที่สื่อสารกันเป็นโทรศัพท์ส่วนตัวของใครสักคนหนึ่ง แน่นอนว่าทุกคนย่อมไม่อยากให้การติดต่อโทรศัพท์ของตนเองถูกดักฟัง แม้ว่าการพูดคุยครั้งนั้นจะเป็นเรื่องธรรมดา ไม่มีความลับใดๆ ก็ตาม แต่จะยิ่งแย่ลงไปกว่าเดิมหากว่าเป็นการคุยเรื่องที่ค่อนข้างจะส่วนตัวสัก หน่อย หรือร้ายที่สุดก็คือเรื่องที่เป็นความลับ ซึ่งความเสียหายที่เกิดขึ้นกับการถูกดักฟังโทรศัพท์ในการใช้งานส่วนตัวนั้น อาจจะไม่เกิดขึ้น หรือเกิดขึ้นน้อยมาก ไม่ต่างจากระบบคอมพิวเตอร์ส่วนบุคคลที่โดนเจาะผ่านระบบรักษาความปลอดภัยเข้า ไป สุดท้ายแล้วก็แค่ข้อมูลส่วนตัวของแต่ละคนที่อาจจะไม่มีประโยชน์สำหรับบุคคล อื่นเลยก็เป็นได้ แต่สำหรับองค์กร มันไม่ได้เป็นเช่นนั้น เพราะว่าระบบคอมพิวเตอร์ในองค์กรมีหลายสิ่งที่เป็นความลับอยู่มากมายทีเดียว จึงเป็นเหตุผลว่าทำไมทุกองค์กรจึงต้องติดตั้งระบบรักษาความปลอดภัยให้ดีที่ สุด มีการติดตั้งไฟร์วอลล์ป้องกันเอาไว้หลายชั้น บางหน่วยงานยกเลิกการใช้แผ่นดิสก์ไปนาน จนมาพบปัญหากับไดรฟ์ USB ที่สามารถก๊อปปี้ข้อมูลออกจากระบบได้ บางแห่งถึงขนาดนำข้อมูลไปรวมศูนย์และไม่เก็บสำเนาเอาไว้ในเครื่องพีซีพนักงาน หรือเปลี่ยนไปใช้เป็น Thin Client ไปเลยก็มี ซึ่งถ้าข้อมูลในคอมพิวเตอร์สำคัญเช่นนั้น เสียงที่ส่งผ่าน VoIP ก็สำคัญไม่แพ้กัน การติดต่อหรือพูดคุยก็ล้วนแต่มีความลับขององค์กรวิ่งผ่านในระบบ การรักษาความปลอดภัยของระบบ VoIP จึงเป็นเรื่องที่มองข้ามไปไม่ได้เลยเช่นกัน และไม่ใช่เพียงแค่การโจมตีเพื่อขโมยข้อมูลเพียงอย่างเดียว แต่การโจมตีเพื่อทำลายระบบให้ระบบ VoIP ใช้งานไม่ได้ก็เป็นปัญหาใหญ่สำหรับหลายๆ องค์กรที่ยอมรับไม่ได้เลยทีเดียว

http://static.voip-weblog.com/voip-weblog.com/imgname--voip_scam_unearthed---50226711--images--voip_123.jpg

ประเด็นสำคัญในการรักษาความปลอดภัยของระบบ VoIP
ประเด็นสำคัญในการรักษาความปลอดภัยของระบบ VoIP นั้นจริงๆ แล้วสามารถแยกออกมาได้เป็นสามส่วนหลักๆ เท่านั้น ซึ่งก็นับว่าเป็นประเด็นที่ต้องพิจารณาและมองข้ามไปไม่ได้เลยแม้แต่ข้อเดียว

1. ความสามารถของบริการและ Availability ของระบบ เราจะต้องมั่นใจว่ารูปแบบการให้บริการของระบบนั้นตรงกับความต้องการ และระบบต้องมี availability สูงพอกับความต้องการใช้งาน แอพพลิเคชันต่างๆ ที่เชื่อมต่อเข้ากับระบบ VoIP จะต้องพร้อมใช้งานได้ทันทีเมื่อต้องการ และจะต้องมีหน้าตาที่สะดวกต่อการใช้งานของยูสเซอร์ มีโพรโตคอลสื่อสารที่แน่นอนควบคุมได้ง่าย หน่วยความจำของเครื่อง ซีพียู และแบนด์วิดธ์ของระบบต้องมีมากพอ รวมไปถึงแม้แต่การรองรับสำหรับปัญหาเนื่องจากซีพียูทำงานไม่ทันกับระบบจะต้องไม่เกิดขึ้นอีกด้วย ไม่เช่นนั้นแล้ว VoIP ก็ไม่ต่างอะไรจากโปรแกรม Chat ของเล่นสำหรับวัยรุ่นเท่านั้น

2. Service Integrity หรือระดับสิทธิในการใช้บริการ ซึ่งประเด็นนี้ค่อนข้างสำคัญสำหรับการป้องกันการใช้งานระบบโดยไม่ได้รับอนุญาต ซึ่งสิทธิทุกอย่างนั้นก็จะไปสัมพันธ์กับฟังก์ชันของระบบ และข้อมูลในระบบด้วยเช่นกัน อย่างเช่นพนักงานฝ่ายการเงิน หรือฝ่ายบัญชีอาจจะไม่สามารถติดต่อข้ามสำนักงานได้โดยตรง แต่ผู้จัดการฝ่ายสามารถติดต่อข้ามสาขาและข้ามประเทศได้ หรือพนักงานอาจจะติดต่อได้เฉพาะในเวลางานเท่านั้น เว้นแต่ฝ่ายบริการลูกค้า และระดับผู้บริหารเท่านั้นที่มีสิทธิในการใช้งานได้ตลอด 24 ชั่วโมง ตรงนี้ก็เพื่อรักษาสิทธิของบริษัทที่ป้องกันพนักงานนำระบบ VoIP ไปใช้โทรทางไกลข้ามประเทศในเรื่องส่วนตัวของพนักงานเอง ซึ่งอาจจะส่งผลให้องค์กรสูญเสียรายได้ก้อนใหญ่ทีเดียว

3. การรักษาความลับและความเป็นส่วนตัวของระบบ ตรงนี้มักจะเป็นประเด็นหลักที่ส่วนใหญ่จะมองเป็นประเด็นแรกเสมอ เพราะเราจะต้องทำอย่างไรก็ได้ให้สัญญาณที่ส่งออกไปนั้นกลายเป็นความลับ หรือถ้าโดนดักจับจากระบบ Sniffer ก็จะต้องไม่สามารถถอดรหัสออกมาได้ ซึ่งไม่จำเป็นว่าจะต้องเป็นสัญญาณเพียงอย่างเดียว แม้แต่เสียงหรือการสื่อสารอื่นๆ ผ่านเว็บก็จะต้องรักษาความลับได้ดีไม่แพ้กัน และแม้แต่ข้อมูลส่วนตัวของลูกค้า หรือพนักงานก็จะหลุดออกไปจากระบบไม่ได้เลยเช่นกัน

(ภาพจาก http://www.callrecordingcenter.com/images/crc_voip_multimedia_diagram.jpg)

หลากหลายการโจมตีกับ VoIP

ในเรื่องของการโจมตีระบบ VoIP นั้นจะว่าไปแล้วก็สามารถแยกได้เป็นสามกลุ่มหลักๆ เช่นเดียวกับประเด็นในเรื่องของการรักษาความปลอดภัย เพราะเราจำเป็นต้องรักษาความปลอดภัยให้ตรงจุดกับตำแหน่งที่กำลังจะถูกโจมตี โดยหลักแล้วจะแย่งได้เป็น Denial of Service, Fraud and Aubse และ Data Confidentiality ซึ่งถ้ามองลึกกันลงไปแล้ว ทั้งสามอย่างนั้นต่างส่งผลร้ายต่อการให้บริการของ VoIP ได้ไม่แพ้กันเลยทีเดียว

1. Denial of Service Attacks หรือที่คุ้นเคยกันในชื่อของ DoS นั้นเป็นการโจมตีแบบหนึ่งที่พบเห็นได้บ่อยครั้งบนอินเทอร์เน็ต ซึ่งอาศัยช่องโหว่ของซอฟต์แวร์ในระบบเน็ตเวิร์กที่เราใช้งานอยู่ หรือปัญหาที่เกิดจากการอิมพลีเมนต์ที่ไม่ลงตัว ซึ่งจะส่งผลทำให้อุปกรณ์ในระบบเน็ตเวิร์กต้องสูญเสียรีซอร์สที่ต้องการไปโดย ไม่จำเป็น และอาจจะไปรบกวนโพรโตคอลที่ให้บริการ รวมทั้งมีการประมวลผลโปรเซลที่ไม่จำเป็น ส่งผลให้องค์กรไม่สามารถให้บริการที่ตอบสนองกับสมาชิกได้ในระดับที่คาดหวัง เอาไว้ ซึ่งในการโจมตีโดยส่วนใหญ่แล้วจะมุ่งเป้าไปที่อุปกรณ์ต่างๆ ในระบบเน็ตเวิร์ก แต่ก็มีบางครั้งที่โจมตีไปที่อุปกรณ์ของลูกค้า (CPE) เช่นกัน อย่างในกรณีของอุปกรณ์ในเน็ตเวิร์กนั้นจะเป็นคอมโพเนนท์ที่จำเป็นทั้งต่อการสร้างสัญญาณโทรศัพท์และกำหนดเส้นทางในการติดต่อของระบบ โดยอุปกรณ์แต่ละตัวก็จะมีระบบปฏิบัติการของมันเองที่ใช้เพื่ออินเทอร์เฟซ ระหว่างอุปกรณ์ที่เป็นฮาร์ดแวร์ภายในตัวมัน และแอพพลิเคชันที่ติดตั้งอยู่ภายใน ซึ่งจะช่วยให้อุปกรณ์ดังกล่าวทำงานได้อย่างถูกต้อง รูปแบบการโจมตี แบบ DoS นั้นมีอยู่หลายแบบด้วยกัน วิธีหนึ่งก็คือการบังคับให้ระบบปฏิบัติการของอุปกรณ์เน็ตเวิร์กตัวใดตัวหนึ่งหยุดทำงาน หรือทำงานผิดพลาด ซึ่งจะส่งผลต่อการทำงานของตัวมันเอง แล้วทำให้ระบบโดยรวมไม่สามารถใช้การได้ หรือมีประสิทธิภาพต่ำลงกว่าที่ลูกค้าคาดหวังเอาไว้ ส่วนอีกวิธีหนึ่งที่ใช้กันมากก็คือการเข้าไปทริกอุปกรณ์เน็ตเวิร์ก หรือ CPE ให้รับข้อความที่ผิดพลาดเข้าไปจากหลายๆ โพรโตคอลที่ใช้ในบริการดังกล่าว ซึ่งข้อความที่ผิดพลาดนี้จะเข้าไปรบกวนการทำงานปกติของบริการ ทำให้ระบบเข้าใจผิดและต้องเสียเวลาในการตัดสินใจ ซึ่งก็จะส่งผลให้คุณภาพของการบริการต่ำลง ส่วนการโจมตีที่เราเรียกว่า floos หรือการโจมตีแบบ Distributed Denail of Service(DDoS) นั้นเป็นการโจมตีที่คล้ายๆ กันแต่จะส่งผลให้รีซอร์สของเน็ตเวิร์กส่วนใหญ่หายไปในทันที และระบบต้องรับภาระจำนวนมหาศาล เพราะ DDoS จะเป็นเหมือนการบังคับให้รีซอร์สทั้งหมดไม่ว่าจะเป็นซีพียูหรือ หน่วยความจำในเครื่องต้องรับมือกับรีเควสที่ผิดพลาดจำนวนมากที่ส่งเข้ามา ซึ่งจะส่งผลกระทบทำให้ระบบมีคุณภาพต่ำลงทันที จนอาจจะทำงานไม่ได้เลยทีเดียว แต่ก็ไม่ใช่ว่าจะต้องเป็นการโจมตีของบุคคลเสมอไป บางครั้งแม้แต่เวิร์มหรือไวรัสก็สามารถสร้างการโจมตี DDoS ขึ้นมาได้เช่นกัน ซึ่งเมื่อมีทราฟฟิกจำนวนมากวิ่งเข้ามา นอกจากจะสร้างภาระให้กับอุปกรณ์แล้ว ทราฟฟิกจำนวนมากก็ลดคุณภาพเน็ตเวิร์กไปโดยปริยาย การโจมตีอาจจะมุ่งไปที่ระบบหนึ่ง แต่ทราฟฟิกที่วิ่งอยู่ทำให้แพ็กเก็ตเสียงมีไม่พอ ทำให้เสียงเกิดดีเลย์ หรือสูญหายไปเลยก็มี

2. Fraud and Abuse หรืออธิบายได้ง่ายๆ ว่าเป็นการขโมยใช้บริการ ซึ่งเกิดจากกรณีที่บุคคลใดก็ตามสามารถใช้บริการหรือรีซอร์สได้มากกว่าสิทธิ์ที่เขาควรจะมี ซึ่งถ้าแบ่งเป็นประเภทแล้วก็ยังสามารถพิจารณาได้เป็นสองประเภทหลักๆ ก็คือ การขโมยใช้งานเต็มรูปแบบก็คือมีการเข้าใช้บริการโดยที่ผู้ใช้ไม่มีสิทธิในการใช้งานเลย หรือไม่ได้ลงทะเบียนเป็นสมาชิกเอาไว้ กับอีกประเภทหนึ่งคือการขโมยใช้งานบางส่วน ซึ่งเป็นการใช้งานของสมาชิกที่มีอยู่ในระบบแต่ใช้งานเกินกว่าสิ่งที่ได้รับอนุญาตเอาไว้ หรือว่ามากกว่าที่เขาจ่ายค่าบริการลงไป แต่ไม่ว่าจะเป็นแบบใดก็ตาม ถ้าหากมีการใช้งานนอกเหนือไปจาก policy ที่กำหนดเอาไว้ในระบบก็ถือว่าเป็นการขโมยใช้งานโดยทั้งสิ้น ซึ่งพฤติกรรมของผู้ใช้เองอาจจะมีทั้งจงใจขโมยใช้งาน หรือใช้เกินขอบเขตโดยไม่ได้ตั้งใจ อย่างกรณีแรกนั้นคงชัดเจนในตัวอยู่แล้ว แต่การใช้งานโดยไม่ได้ตั้งใจนั้น อาจจะเกิดจากพนักงานไม่ทราบสิทธิที่แท้จริงของตน แต่ระบบยอมให้ทำได้เนื่องจากการจัดการระบบผิดพลาด หรือว่าดูแลไม่ทั่วถึงนั่นเอง แต่ทั้งการโจมตีแบบ Fraud และ Abuse นั้นในวันนี้ถือว่าเป็นเรื่องที่ค่อนข้างใหม่สำหรับระบบ VoIP ซึ่งอาจจะเกิดขึ้นได้โดยง่ายเมื่อมีการติดตั้งฟีเจอร์ใหม่ๆ หรือฟีเจอร์ขั้นสูงเพิ่มเติมลงไปในระบบ โดยที่ไม่มีการป้องกันเอาไว้อย่างดีเพียงพอ และเนื่องจากระบบ VoIP นั้นก็ยังถือว่าเป็นของใหม่สำหรับโลกในปัจจุบัน เพราะแม้ว่าจะมีการพัฒนามานับสิบปีแล้วก็ตาม แต่การนำมาใช้งานนั้นยังไม่กว้างขวางและยังไม่กลายเป็นอุปกรณ์พื้นฐานเสียที เดียว ดังนั้นเทคนิคในการหลอกลวงหรือขโมยใช้ระบบก็ยังมีเกิดขึ้นใหม่อยู่เรื่อยๆ และก็เป็นตัวผลักดันให้มีการพัฒนาระบบป้องกันให้ดีขึ้นตามไปด้วยเช่นกัน

(ภาพจาก http://www.atsgreece.gr/cms/images/stories/revenueassurance.jpg)

3. Confidentiality and Data Privacy สำหรับในเรื่องของ Data Privacy นั้นถูกมองว่าเป็นเรื่องสำคัญจึงต้องป้องกันสิทธิของผู้ใช้เอาไว้โดยการปกป้องข้อมูลส่วนตัวของผู้ใช้ให้ปลอดภัยตามไปด้วยเช่นกัน ข้อมูลหลายอย่างของสมาชิกนั้นมีความจำเป็นในการเข้าสู่ระบบ ซึ่งข้อมูลดังกล่าวนั้นอาจจะเก็บเอาไว้ในฐานข้อมูลอื่นๆ ภายในระบบ ดังนั้นการโจมตีที่เกิดขึ้นในส่วนนี้ จะโจมตีเข้าไปที่ไอพีและละเมิดความเป็นส่วนตัวของเจ้าของทันที โดยเจาะตรงไปที่อุปกรณ์บนเน็ตเวิร์ก หรือโจมตีเข้าไปที่ฐานข้อมูลของระบบที่บรรจุข้อมูลส่วนตัวของลูกค้าเอาไว้ ซึ่งหากโจมตีสำเร็จข้อมูลดังกล่าวก็จะตกไปอยู่ในมือของแฮกเกอร์ และสามารถนำมาใช้เพื่อการย้อนกลับเข้าสู่ระบบในภายหลัง หรือแม้แต่นำไปใช้ในเรื่องอื่นๆ ก็ยังได้เช่นกัน ข้อมูลต่างๆ ของยูสเซอร์ในระบบ VoIP นั้นจะถูกมองว่าเป็นข้อมูลลับ และเป็นข้อมูลส่วนตัวที่รั่วไหลไม่ได้ แต่ขณะเดียวกันก็จะต้องถูกส่งออกแบบร่วมกับเสียงที่วิ่งผ่านในระบบ รวมไปถึงโพรโตคอลสื่อสารที่ใช้อีกด้วย ซึ่งข้อมูลส่วนตัวที่อยู่ภายในโพรโตคอลสัญญาณนั้นอาจจะรวมตั้งแต่หมายเลขโทรศัพท์ปลายทางที่กำลังติดต่อไป หรืออาจจะมีข้อมูลต้นทาง และอื่นๆ รวมไปด้วยเช่นกัน ซึ่งทั้งเสียงและสัญญาณที่ไม่ได้มีการป้องกัน และส่งผ่านเน็ตเวิร์กแบบไอพีที่ใช้งานร่วมกันกับผู้อื่น หรือระบบสาธารณะนั้นอาจจะถูกดับจับและโจมตีได้โดยง่าย แต่แม้ว่าป้องกันเอาไว้แล้ว ก็อาจจะมีข้อมูลบางส่วนที่ถอดรหัสออกมาได้เช่นกัน

กลไกการรักษาความปลอดภัยของ VoIP

การรักษาความปลอดภัยของ VoIP ให้มีประสิทธิภาพสูงสุดนั้นจะรวมทั้งกลไกพื้นฐานของการรักษาความปลอดภัยในระบบเครือข่ายแบบไอพี และกลไกการรักษาความปลอดภัยเพิ่มเติมสำหรับ VoIP ด้วย โดยสามารถแยกออกมาได้หลายส่วน ดังนี้

1. โพลีซีรักษาความปลอดภัย: ระบบการรักษาความปลอดภัย เริ่มต้นจากการกำหนดโพลิซีหรือเงื่อนไขต่างๆ ในการใช้งานเพื่อให้ครอบคลุมการใช้งานได้อย่างถูกต้องที่สุด โดยที่โพลิซีสำหรับ VoIP นั้นเปรียบได้เหมือนกับการเป็นศูนย์กลางสำหรับการทำงานในเรื่องการรักษาความ ปลอดภัยอื่นๆ ที่เกี่ยวข้องกันทั้งหมด การสร้างระบบขึ้นมาจากพื้นฐานโพลิซีนี้ จะช่วยให้กระบวนการติดตั้งระบบ VoIP นั้นกลายเป็นเรื่องง่าย และสามารถควบคุมสิทธิในการใช้งานของยูสเซอร์ทุกๆ คนได้ตั้งแต่เริ่มต้นวางแผนติดตั้งระบบ ซึ่งไม่จำเป็นว่าจะต้องติดตั้งระบบลงไปก่อนเสียด้วยซ้ำ เพราะว่าการกำหนดโพลิซีนั้นสามารถทำได้ตั้งแต่ในกระบวนการของเอกสาร หรือแม้แต่ในส่วนของการวางแผนโครงการ ซึ่งอาจจะต้องแบ่งกลุ่มผู้ใช้ หรือระดับผู้ใช้ ไปจนถึงแบ่งเขตพื้นที่รับผิดชอบต่างๆ เอาไว้ให้ชัดเจน เมื่อควบคุมโครงสร้างของโพลิซีได้แล้ว ที่เหลือก็เพียงแค่นำไปประกอบเข้ากับระบบ VoIP ที่ติดตั้งแล้วเท่านั้น ซึ่งก็เป็นขั้นตอนที่สามารถแยกกันทำได้โดยอิสระ และสามารถปรับแต่งเพิ่มเติมได้ โดยการกำหนดโพลิซีย่อยในภายหลังเช่นกัน

2. ป้องกันความเสียหายจาก Denail of Service: การโจมตี DoS หรืออย่างที่รู้จักกันก็คือการ flood ข้อมูลนั้นนับว่าเป็นเรื่องร้ายแรงและอันตรายเป็นอย่างมากสำหรับระบบ VoIP เนื่องจากระบบ VoIP นั้นต้องการประสิทธิภาพในการทำงานค่อนข้างสูงเพื่อที่คงไว้ซึ่งการส่งผ่านทราฟฟิกเสียงได้ในแบบเรียลไทม์ หากว่าไม่สามารถส่งแพ็กเก็ตได้แบบเรียลไทม์ระบบนี้ก็จะหมดความหมายในทันที ซึ่งสำหรับการโจมตี DoS นั้นจะต้องวางแผนรับมือเอาไว้ในทุกๆ ส่วนของเน็ตเวิร์กที่ระบบ VoIP ของเราต้องวิ่งผ่าน ไม่ว่าจะเป็นในส่วนของ LAN, WAN หรือเน็ตเวิร์กอื่นที่จำเป็นต้องเข้าถึงเพื่อกำหนดเป็นเส้นทางสำหรับ VoIP เป็นต้น โดยปกติแล้ว ในกลไกการรับมือ DoS นั้นจะต้องติดตั้งเอาไว้ในระดับโครงสร้างพื้นฐานของระบบ โดยที่ขอบระหว่างเน็ตเวิร์กนั้น อุปกรณ์เน็ตเวิร์กจะต้องมีอุปกรณ์ป้องกันสำหรับ VoIP ติดตั้งเอาไว้และต้องสามารถบล๊อกทราฟฟิกที่ไม่ถูกต้องหรือทราฟฟิกที่ต้องการ โจมตีให้หยุดตั้งแต่จุดดังกล่าวได้เสียก่อน เงื่อนไขในการป้องกันระบบเน็ตเวิร์กก็จะต้องอนุญาตให้เฉพาะบริการ และเฉพาะไอพีที่กำหนดเท่านั้นที่สามารถวิ่งผ่านเข้าหรือออกจากเครือข่ายที่ เราดูแลได้ ส่วนในการคอนฟิกไฟร์วอลล์, เราเตอร์, สวิตซ์ หรือเซิร์ฟเวอร์จะต้องลดผลกระทบจากการ flood หรือการโจมตี DoS แบบอื่นๆ ให้ได้ทั้งหมดเช่นกัน ซึ่งการตรวจสอบอุปกรณ์เน็ตเวิร์กทุกตัวรวมทั้งเครื่องพีซีทั้งหมดอยู่เป็น ประจำจะช่วยลดปัญหาดังกล่าวนี้ไปได้มาก และยังช่วยอัพเดตระบบให้ทันสมัยอยู่ตลอดเวลาเช่นเดียวกัน ส่วนในการป้องกัน DDoS นั้นนับเป็นส่วนจำเป็นที่จะต้องติดตั้งเอาไว้เพื่อปกป้องจากการโจมตีโดยการ flood โดยที่อุปกรณ์เน็ตเวิร์กต่างๆ นั้นจะต้องกำหนดขอบเขตความสามารถเพื่อใช้จำกัดปริมาณของรีซอร์สที่จำเป็น ต้องใช้งานสำหรับบริการ ซึ่งในส่วนนี้ถือเป็นเรื่องสำคัญในการบริหารจัดการบริการเพื่อให้รองรับกับ ความต้องการใช้งานได้ตลอดเวลา ซึ่งเมื่อพบว่ามีการโจมตีเข้ามาในระบบ การรับมือกับปัญหาก็จะทำได้อย่างรวดเร็วทั้งในการสืบหาที่มา และรับมือกับปัญหาทั้งหมด ก่อนที่จะเกิดผลกระทบต่อระบบ

3. รักษาความปลอดภัยสำหรับฟีเจอร์ขั้นสูงของ VoIP: จุดเด่นที่นับเป็นข้อได้เปรียบของ VoIP ก็คือการรวมกันระหว่างทั้งเสียงกับเว็บ อย่างเช่น ผู้ใช้ VoIP นั้นสามารถบริหารจัดการแอคเคานต์ของตนเองได้ และเลือกใช้ฟีเจอร์ขั้นสูง รวมทั้งเข้าถึงแอคเคานต์ของตนเองได้จากระยะไกลผ่านทางเว็บ ดังนั้นในการเข้าถึงฟีเจอร์ขั้นสูงต่างๆ เหล่านี้ล้วนแต่จำเป็นต้องมีการระบุตัวตนและป้องกันการเข้าถึงโดยไม่ได้รับ อนุญาต ยิ่งไปกว่านั้นแล้ว ฟีเจอร์ขั้นสูงทุกอย่างจำเป็นต้องถูกตรวจสอบเรื่องการรักษาความปลอดภัยพื้น ฐานด้วยเสมอ และต้องมั่นใจได้ว่าไม่มีโอกาสที่จะต้องเสี่ยงกับจากโจมตีหรือขโมยใช้งานอีก ด้วย ส่วนฟีเจอร์ใดๆ ก็ตามที่ไม่ได้ใช้งานก็ควรจะต้องปิดเอาไว้ก่อนเสมอ เพื่อจำกัดโอกาสที่ผู้โจมตีจะใช้ช่องทางดังกล่าวในการโจมตีเข้ามาในระบบอีก ด้วยเช่นกัน

4. รักษาความปลอดภัยกับเสียงและสัญญาณ: เสียงและสัญญาณอื่นๆ ที่สัมพันธ์กันนั้นควรจะถูกแยกออกมาเป็นอิสระจากทราฟฟิกข้อมูลอื่นทั่วไป เพื่อที่จะได้สามารถเพิ่มการรักษาความปลอดภัยลงไปได้ ซึ่งในจัดนี้นั้น ทราฟฟิก VoIP จะต้องถูกฟิลเตอร์ออกมาจากทราฟฟิกข้อมูล และต้องแยกออกมาจากทราฟฟิก VoIP แปลกปลอมอื่นๆ อีกด้วย โดยกลไกที่ทำงานบนเน็ตเวิร์กนั้นค่อนข้างจำเป็นในการคัดแยกข้อมูลดังกล่าว นี้ออกมา อย่างเช่น VPN อาจจะต้องนำมาใช้กับ WAN เพื่อจัดการทั้งในเรื่องของความปลอดภัย และ QoS ไปพร้อมๆ กันส่วนการเข้ารหัสและการป้องกันระดับข้อมูลสำหรับทั้งสัญญาณและเสียงนั้นก็ จะช่วยให้มั่นใจยิ่งขึ้นจากการโจมตี DoS ในบางประเภท

5. Fraud Prevention and Detection: ในส่วนนี้เป็นกลไกสำหรับตรวจสอบการขโมยเข้าใช้งานในเซอร์วิสโทรศัพท์ที่มี อยู่ในระบบ ซึ่งสามารถใช้เซอร์วิสธรรมดาในการตรวจสอบกับ VoIP ได้เช่นกัน โดยอุปกรณ์ในเน็ตเวิร์กของ VoIP นั้นจำเป็นต้องได้รับการตรวจสอบที่ดีกว่าเพื่อสามารถกำหนดสิทธิในการใช้งานได้อย่างชัดเจนมากยิ่งขึ้น ไม่ต่างจากระบบตู้สาขาที่สามารถจำกัดสิทธิการใช้งานได้อย่างอิสระ VoIP ก็จำเป็นต้องทำได้เช่นกัน โดยกลไกในการป้องกันระบบนั้นจำต้องมีทั้งการรักษาความปลอดภัยในทางกายภาพ เพื่อจำกัดการเข้าถึงระบบโดยตรง และการรักษาความปลอดภัยในส่วนของคอนฟิกูเรชันเพื่อป้องกันในส่วนของการเข้าถึงแบบรีโมทแอคเซสอีกด้วย นอกจากนี้จะต้องมีระบบบันทึกข้อมูล (Log) เพื่อมอนิเตอร์และตรวจสอบการเข้าใช้งานได้ไม่ได้รับอนุญาตอยู่อย่างต่อ เนื่องเช่นกัน สำหรับผู้ให้บริการ ก็ยังมีความจำเป็นต้องพัฒนาอัลกอริธึมในการป้องกันการลักลอบใช้งานเพิ่มเติม อีกด้วย เพื่อเตรียมตัวรับมือกับการโจมตี VoIP ในรูปแบบใหม่ๆ ที่กำลังจะเกิดขึ้น

6. รักษาความปลอดภัยที่ปลายทาง: ที่ปลายทางของ VoIP นั้นมักจะเป็นอุปกรณ์ที่ออกแบบมาเฉพาะและค่อนข้างฉลาดพอ แต่ก็จำเป็นต้องป้องกันเอาไว้ด้วยเช่นกัน ซึ่งรวมถึงจะต้องมีการแพทช์ช่องโหว่ของระบบทันทีที่ตรวจสอบพบ รวมถึงมีการอัพเดตอยู่อย่างต่อเนื่อง โดยสำหรับปลายทางของ VoIP นั้นจะต้องมีการควบคุมการดาวน์โหลดซอฟต์แวร์ หรือการรีโมทแอคเซสเพื่อให้ทุกอย่างเป็นไปอย่างปลอดภัยเช่นกัน และแน่นอนว่าการเข้าถึงโดยตรงที่อุปกรณ์ปลายทางของ VoIP นั้นก็จำเป็นต้องทำเสมอ เพื่อปกป้องระบบของเราเช่นกัน ไม่ต่างจากโทรศัพท์อื่นๆ ภายในองค์กรที่หากใครเดินเข้าไปใช้งานได้ก็สามารถต่อไปยังปลายทางได้ทันที โดยที่องค์กรจะทราบเพียงแค่จุดต่อภายในว่ามาจากที่ใด แต่ไม่มีทางทราบได้ว่าใครเป็นผู้โทรติดต่อ

7. รักษาความปลอดภัย กับโครงสร้างพื้นฐาน: กลไกในการรักษาความปลอดภัยสำหรับโครงสร้างพื้นฐานของระบบนั้น จะต้องติดตั้งเอาไว้เป็นเลเยอร์หลายๆ ชั้น ซึ่งถ้าหากในขณะใช้งาน มีระบบใดเกิดความเสียหายไม่สามารถทำงานได้ขึ้นมา ก็ยังจะมีระบบรักษาความปลอดภัยอื่นๆ ที่คอยปกป้องเอาไว้อีกด้วยเข่นกัน โดยจะต้องแบ่งการรักษาความปลอดภัยออกเป็นส่วนๆ ดังนี้

- รักษาความปลอดภัยที่เซิร์ฟเวอร์ และอุปกรณ์ปลายทาง

- รักษาความปลอดภัยของเครือข่าย

- อัพเดต และแพทช์ซอฟต์แวร์รักษาความปลอดภัยเป็นประจำ

- ตรวจสอบช่วงโหว่ในการรักษาความปลอดภัยทั้งสำหรับผลิตภัณฑ์ที่ออกวางจำหน่าย แล้วและมีแผนการวางจำหน่าย(สำหรับผู้ผลิต)

ระบบการรักษาความปลอดภัย นั้นนับเป็นส่วนหนึ่งภายในระบบรวมของ VoIP จำเป็นต้องติดตั้งและให้ความสำคัญ โดยการรักษาความปลอดภัยจะต้องรวมไว้ตั้งแต่จุดเริ่มต้นในกระบวนการติดตั้ง ตลอดจนถึงช่วงอายุตลอดการใช้งาน และยังจะต้องให้ความสำคัญในทุกๆ ระดับเพื่อให้เกิดสภาพแวดล้อมในการทำงานที่ปลอดภัยอย่างแท้จริง กลไกการรักษาความปลอดภัยยังจำเป็นต้องมีการตรวจสอบและพัฒนาอยู่อย่างต่อ เนื่องที่ส่งผลให้เกิดประสิทธิภาพในการทำงานสูงสุดเช่นเดียวกัน (http://www.dnsthailand.net/index.php?option=com_content&task=view&id=189&Itemid=55)

ปกป้องเครือข่าย VoIP ก่อนโดนโจมตี
นักเจาะระบบโทรศัพท์, พวกต้มตุ๋น, พวกดักจับข้อมูล, RATS (Remote Administration Trojan), SPIT (Spam over Internet Telephony, การสแปมบน VoIP,ปัญหา men in the middle (MITM), ปัญหา broadcast storm และแม้แต่ปัญหา WiFi jamming ต่างสร้างปัญหาให้กับเครือข่าย VoIP ทั้งสิ้น
ระบบ VOIP ได้รับความนิยมอย่างมากจนกลายเป็นแอพพลิเคชันหลักไปตั้งแต่ช่วงปี 2005 ที่ผ่านมา โดยที่อุปกรณ์ IP PBX ของ Dell’ Oro group มียอดขายมากกว่า 1,000 ล้านดอลลาร์และเป็นครั้งแรกที่ระบบ IP PBX มียอดขายมากกว่า TDM PBX ซึ่งจริง ๆ แล้ว นักวิเคราะห์ประมาณการว่า IP PBX จะมีการใช้งานกว่า 90% ในตลาดภายในปี 2009 อย่างไรก็ตามก่อนหน้าที่จะมีการติดตั้งระบบ VOIP คุณควรตระหนักถึงความเสี่ยงด้านความปลอดภัยและวิธีป้องกันก่อนที่จะนำมาใช้ เช่นกัน
การรักษาความปลอดภัยมีความสำคัญอย่างมากเมื่อคุณทำการ เปลี่ยนระบบการติดต่อสื่อสารที่เก่าแก่ที่สุด, ใหญ่ที่สุด, ยืดหยุ่นมากที่สุดและมีผู้ใช้งานมากที่สุดให้เป็น VOIP แม้ว่าจะไม่มีมาตรฐานรักษาความปลอดภัยใดที่สามารถปกป้องการบุกรุก VOIP ได้ทั้งหมดก็ตาม แต่วิธีการป้องกันแบบหลายชั้น หลายขั้นตอนสามารถลดโอกาสที่ผู้ไม่ประสงค์ดีจะบุกรุกระบบได้สำเร็จลงไปได้ มากทีเดียว

การคุกคาม VoIP
ลูกค้า VOIP ระดับบริษัทและผู้ให้บริการยังคงมีจุดอ่อนสำหรับ phreaker ซึ่งจะทำการบุกรุกในรูปแบบที่คล้ายกับการบุกรุกระบบโทรศัพท์หรือระบบ โทรศัพท์มือถือแบบดั้งเดิมและมีเป้าหมายเดียวกันซึ่งก็คือการขโมยข้อมูลต่าง ๆ และโกงค่าใช้งานโทรศัพท์ การบุกรุกส่วนมากจะมีเป้าหมายอยู่ที่ ส่วนปลายทางของ VOIP ทั้งโอเอส, อินเทอร์เน็ตโพรโตคอล, แอพพลิเคชัน, ระบบจัดการ VOIP บน hard phone หรือแม้กระทั่งโปรแกรมที่รันบน soft phone ต่างมีช่องโหว่ที่ไวรัส, วอร์มสามารเข้าถึงได้โดยไม่รับอนุญาต, และการบุกรุกแบบ Denial-of-Service DoS สามารถรบกวนโพรโตคอลอินเทอร์เน็ต และโพรโตคอล VOIP ได้ด้วยเช่นกัน VoIP ใช้โพรโตคอลแบบ SIP (Session Initiation Protocol) และ RTP (Real-time Transport Protocol) สำหรับสร้างสัญญาณโทรศัพท์และการส่งผ่านข้อมูลเสียง และด้วยโพรโตคอลนี้รวมถึงส่วนเสริมต่าง ๆ เช่น SDP, RTCP ยังไม่มีระบบการตรวจสอบคู่สนทนาที่เพียงพอ และไม่มีระบบตรวจสอบความเที่ยงตรงของสัญญาณในแต่ละ session ใช้งานที่ดีพอ ผู้บุกรุกจึงมีช่องทางมากมายที่จะก่อกวนระบบได้จนกว่าจะมีมาตรฐานระบบรักษา ความปลอดภัยรูปแบบใหม่ ๆ เกิดขึ้นในระบบ VOIP
ปัจจุบัน ทั้ง SIP และ RTP ไม่ได้มีการเข้ารหัส packet ของข้อมูลเสียงซึ่งทำให้ข้อมูลต่าง ๆ รวมถึง SIP uniform Resource Identifier (ซึ่งก็คือเบอร์โทรศัพท์ของ VOIP) ถูกดักจับได้ในระบบแลน และระบบแลนไร้สายด้วยเครื่องมือ sniffer ต่าง ๆ ผู้บุกรุกสามารถดักจับข้อมูลต่าง ๆ ของแอคเคาท์ผู้ใช้งานและทำการติดต่อไปยังศูนย์บริการลูกค้า หรือระบบ self-service portal เสมือนเจ้าของแอคเคาท์นั้นจริง ๆ เพื่อทำการเปลี่ยนแพลนการใช้งานเพื่อให้สามารถใช้งานกับหมายเลข 1-900-xxx-xxxx หรือสามารถเปิดใช้บริการโทรศัพท์ระหว่างประเทศได้ อีกทั้งยังสามารถเข้าสู่ระบบ voicemail หรือระบบ call-forwarding ได้อีกด้วย โดยการบุกรุกรูปแบบนี้ส่วนมากมักใช้เพื่อทำการโกงค่าบริการ แต่บางรายจะทำการดักจับการสนทนาทางธุรกิจที่สำคัญเพื่อนำไปขายเป็นข้อมูลลับ ต่าง ๆ การบุกรุกแบบ Flooding (ส่ง Invite, Register, bye หรือ RTP media stream จำนวนมาก) ต่อระบบ VOIP เป้าหมายจะทำให้คุณภาพการให้บริการแย่ลง, ทำให้การสนทนาถูกตัดก่อนปกติ หรือแม้กระทั่งทำให้อุปกรณ์ VOIP บางตัวไม่สามารถใช้งานได้ อุปกรณ์ VOIP ยังมีช่องโหว่ต่อการบุกรุกแบบ DoS ต่ออินเทอร์เน็ตโพรโตคอล เช่น TCP Syn, ping of death, และ DNS DoS เป็นต้น
ระบบ VOIP สามารถถูกรบกวนได้จากการบุกรุกผ่านเข้าทางสื่อสัญญาณ เช่น Broadcast storm และ WiFi radio jamming ระบบโอเอส และ TCP/IP stack ที่ใช้ในอุปกรณ์ VOIP รุ่นใหม่ ๆ มีแนวโน้มที่จะถูกบุกรุกผ่านทางข้อบกพร่องของการเขียนโปรแกรม โดยข้อบกพร่องนี้อาจทำให้ระบบหยุดทำงานหรือยอมให้ผู้บุกรุกควบคุมระบบ VOIP ทั้งหมดได้

สำหรับ VOIP softphone นั้นมีปัญหาที่แตกต่างไป แอพพลิเคชัน softphone จะรันบนอุปกรณ์ของผู้ใช้ (PCs หรือ PDA) ซึ่งจะทำให้เกิดช่องโหว่ต่อการบุกรุกด้วยโค้ดต่าง ๆ ทั้งต่อแอพพลิเคชันของข้อมูลและเสียง ผู้ดูแลระบบควรพิจารณาถึงความเป็นไปได้ที่ผู้บุกรุกจะพยายามเจาะเข้าระบบ ผ่านระบบป้องกันมัลแวร์ โดยการใส่โค้ดบางอย่างผ่านทาง VOIP

แอพพลิเคชัน สแปม มักจะประกอบด้วยสปายแวร์และโค้ดที่เปิดการใช้ remote administrator การสแปมบนระบบโทรศัพท์แบบไอพี มักจะเป็นการโทรเพื่อการโฆษณา, ส่งข้อความรบกวนต่าง ๆ และอาจมีการแทรกโปรแกรมที่มีมัลแวร์ต่าง ๆ ให้ติดตั้งบน softphone

การประเมินความเสี่ยง
ผู้จัดการด้านไอทีควรมีการประเมินความเสี่ยงที่อาจเกิดขึ้นเมื่อนำ VOIP มาใช้ และแนวทางการพัฒนาหรือการใช้เทคโนโลยีด้านระบบรักษาความปลอดภัยที่มีอยู่ เพื่อลดความเสี่ยงการส่งผ่านสัญญาณเสียงทำกำไรให้กับผู้ให้บริการโทรศัพท์มาเป็นเวลานาน การเติบโตขึ้นอย่างมากของตลาดผู้ให้บริการ VOIP ยังคงมีความเสี่ยงที่สำคัญที่สุดอย่างหนึ่งทั้งต่อ public (ผู้ให้บริการ) และ private (บริษัท) คือการจัดการกับปัญหาในการใช้บริการ ผู้ใช้ บริการ VOIP ต่างมีความคาดหวังในการใช้งานว่า VOIP ควรสามารถใช้งานได้ไม่แย่ไปกว่าระบบโทรศัพท์แบบ PSTN ดั้งเดิม (PSTN, public switched telephone network) ในการวางแผนติดตั้งระบบ VOIP ต้องมีการแนวทางการแก้ปัญหาเพื่อลดการบุกรุกจาก DoS
ความเสี่ยงที่มีความสำคัญอื่นได้แก่การขโมยแอคเคาท์และการโกงค่าโทรศัพท์ ผู้ให้บริการโทรศัพท์ไอพีสาธารณะจะประสบปัญหามากกว่าระบบ PSTN และระบบโทรศัพท์เคลื่อนที่ที่มีการระบุตัวตนและการตรวจสอบปลายทาง เนื่องจากโดยทั่วไปหมายเลขไอพีของปลายทางนั้นจะไม่สามารถตรวจสอบได้จาก internet ingress point และไม่เหมือนกับเบอร์ของโทรศัพท์สาธารณะ อีกทั้งวิธีการที่ผู้ให้บริการจะสามารถตรวจสอบว่าตัวของ SIP นั้น ๆ ถูกต้องยังไม่ถูกนำไปใช้อย่างแพร่หลาย ผู้ให้บริการ VOIP จึงต้องระมัดระวังในการทำ trust relationship กับผู้ให้บริการ VOIP รายอื่น ๆ และควรหลีกเลี่ยงบริการการจัดเตรียมการให้บริการ นอกจากผู้ให้บริการรายอื่นจะมีการระบุตัวตนและระบุปลายทางรูปแบบเดียวกัน โดยการส่งผ่านข้อมูลอาจทำในรูปแบบของสัญญาระหว่างบริษัทหรือระหว่างผู้ให้ บริการ VOIP

โดยทั่วไปแล้ว ผู้บุกรุกจากภายในบริษัทเดียวกันเองพบบ่อยกว่าการบุกรุกจากภายนอก ดังนั้นผู้ให้บริการเครือข่าย VoIP ควรพิจารณาถึงปัญหาการคุกคามจากภายในระบบเดียวกันด้วย ผู้จัดการระบบ VoIP ในบริษัทต้องพิจารณาถึงมาตรการการตรวจจับและป้องกันการคุกคามข้อมูลส่วนตัว และควรมีระบบประเมินผลเพื่อช่วยตรวจหาปัญหาจากการขโมยข้อมูลส่วนตัว สำหรับการให้บริการ VoIP แบบสาธารณะนั้นมีโอกาสที่จะถูกคุกคามทั้งจากปัญหาด้านการเมืองและผู้ก่อการ ร้าย และระบบ VoIP แบบ private ก็มีปัญหาการดักฟังเพิ่มขึ้นเช่นกัน (ตัวอย่างเช่น ลูกจ้างดักฟังการสนทนาของผู้บริหาร) ลูกค้าในระดับ บริษัทควรคำนึงถึงการให้บริการ Helpdesk หรือ customer care ด้วยเช่นกัน เนื่องจากปัญหาข้อขัดข้องในการใช้บริการ, ปัญหาถูกดักฟัง หรือปัญหาถูกโกงค่าโทรศัพท์เป็นปัญหาหลักสำหรับการให้บริการ ประสิทธิภาพในการแก้ไขข้อขัดแย้งและปัญหาการใช้งานของพนักงานที่มีปัญหาอาจ ส่งผลกระทบต่อประสิทธิภาพการทำงานของพนักงาน ผลกระทบจากปัญหาด้านความปลอดภัยยังส่งผลกระทบต่อทั้งผู้ใช้งาน, พนักงาน, ฝ่ายบริหารหรือแม้กระทั่งต่อผู้ถือหุ้น

มาตรการที่จำเป็นในการรักษาความปลอดภัยให้กับ VoIP
VoIP เป็นสิ่งใหม่และเป็นแอพพลิเคชันอินเทอร์เน็ตประเภทที่ต่างออกไป แต่อย่างไรก็ตามนี่ก็ไม่ต่างจากการส่งข้อมูลแบบเรียลไทม์ที่ใช้ไอพี มาตรการรักษาความปลอดภัยที่ใช้กันอย่างกว้างขวางในปัจจุบันสำหรับ แอพพลิเคชันแบบข้อความ, telnet, ftp, อีเมล์, เว็บ, instant messaging ต่าง ๆ สามารถใช้เพื่อพัฒนาระบบรักษาความปลอดภัยสำหรับ VoIP ได้ แอพพลิเคชันส่วนใหญ่ของ VoIP จะรันบนโอเอสของเซิร์ฟเวอร์ธุรกิจ การทำ hardening เซิร์ฟเวอร์ การติดตั้งระบบป้องกันการบุกรุกต่าง ๆ สามารถพัฒนาระดับความปลอดภัยของ VoIP ในองค์กร มาตรการด้านความปลอดภัยที่มักเป็นที่แนะนำสำหรับเซิร์ฟเวอร์ที่ให้บริการ VoIP มีดังนี้

1. อัพเดต patch สำหรับโอเอสและแอพพลิเคชัน VoIP อย่างสม่ำเสมอ

2. รันเฉพาะแอพพลิเคชันที่จำเป็นต่อการให้บริการ VoIP

3. มีการ authenticate แอคเคาท์ของผู้ใช้งานและผู้ดูแลระบบอย่างเข้มงวด

4. อนุญาตให้เพียงบาง แอคเคาท์ที่สามารถดูแลและแก้ไขระบบเพื่อต่อต้านการเจาะเข้าระบบ

5. มี การพัฒนานโยบายสำหรับการขออนุญาตเพื่อป้องกันการเข้าถึงข้อมูลหรือบริการ VoIP โดยไม่ได้รับอนุญาต

6. มีการตรวจสอบทุกกิจกรรมที่เกี่ยวข้องกับ แอพพลิเคชันการให้บริการของทั้งผู้ดูแลระบบและผู้ใช้งานคนอื่น

7. ติดตั้งและมีการดูแลไฟร์วอล, ระบบป้องกันมัลแวร์สำหรับเซิร์ฟเวอร์ เพื่อป้องกันการโจมตีด้วย DoS

8. ปรับตั้งค่าต่าง ๆ ของแอพพลิเคชัน VOIP อย่างระมัดระวังเพื่อป้องกันการนำไปใช้ในทางที่ผิด เช่น กำหนดไวท์ลิสต์ของประเทศที่สามารถติดต่อไปได้จะป้องกันการโทรถูกทำฟอร์เวิด หรือส่งผ่านไปในที่ที่ไม่ได้รับอนุญาต

เมื่อเซิร์ฟเวอร์และแอพพลิเคชัน VoIP มีการปรับตั้งค่าอย่างระมัดระวังและมีระบบการป้องกันการบุกรุกหลายชั้น เซิร์ฟเวอร์และระบบพื้นฐาน (เช่น DNS, LDAP) ก็ควรจะถูกแยกออกมาจากเครื่องลูกข่าย (เช่นโทรศัพท์, PDA, laptop) โดยการใช้ VLAN หรือระบบที่แยกออกจากกันอย่างเด็ดขาดจริง ๆ แต่ยังสามารถจัดการและรับ-ส่งข้อมูลเสียงได้ ใช้ไฟร์วอลหลายๆ ตัวเพื่อจำกัดประเภทของข้อมูลและโพรโตคอลเฉพาะที่จำเป็นเท่านั้นที่จะสามารถ ผ่านข้าม VLAN ได้ การแบ่งส่วนไฟร์วอลออกเป็นหลาย ๆ ส่วนนี้มีประสิทธิภาพในการลดการขยายตัวของมัลแวร์เข้าสู่เซิร์ฟเวอร์ VOIP เมื่อมีเครื่องลูกข่ายเครื่องใดเครื่องหนึ่งติดมัลแวร์ โดยเฉพาะในเครือข่ายของวินโดว์ และการแบ่งส่วนนี้ทำให้สะดวกต่อการทำโพลิซีด้านความปลอดภัยเมื่อเทียบกับการ มีไฟร์วอลเพียงตัวเดียว การแบ่ง segment ของเครือข่ายก็เป็นวิธีรักษาความปลอดภัยที่ดีอย่างหนึ่งและสามารถนำไปใช้ใน การทำ QoS (Quality of Service) ด้วยเช่นกัน ดังเช่น การแบ่งโทรศัพท์แบบไอพีที่ใช้โพรโตคอล SIP ให้อยู่ใน VLAN ต่างหากเพื่อควบคุมการให้บริการ VoIP สำหรับบางอุปกรณ์และสามารถกำหนดความสำคัญ (priority) ของแพ็กเก็จที่วิ่งจากระบบไปยังส่วนอื่น ๆ พิจารณาถึงการแยก Voice user agent เช่น hard phone ออกจากพีซีหรือแล็ปทอป ที่ใช้สำหรับเข้าถึงแอพพลิเคชันในเครือข่าย ด้วยวิธีนี้สามารถป้องกันการบุกรุกด้วยการรบกวนระบบเสียงเพื่อให้กระทบต่อ ส่วนที่เก็บข้อมูล ประสิทธิภาพของไฟร์วอลก็เป็นอีกประเด็นหนึ่ง เมื่อมีการแบ่งส่วนเครือข่ายและมีการทำการโพลิซีของแต่ละส่วน ต้องระมัดระวังถึงปัญหา latency ของส่วนที่จะต้องมีข้อมูลเสียงวิ่งผ่าน การรักษาความปลอดภัยสำหรับ endpoint ถือเป็นชั้นนอกสุดของการติดตั้งระบบรักษาความปลอดภัย VoIP ทั้งหมด การใช้มาตรฐาน IEEE 802.1x ซึ่งเป็นระบบควมคุมการเข้าถึงโดยใช้พอร์ทหรือเทคนิคด้านอื่น ๆ ที่ใกล้เคียงจะทำให้เสมือนมีระบบป้องกันเพิ่มขึ้นอีกชั้นหนึ่ง เพื่อกันไม่ให้ผู้บุกรุกเข้าถึงระบบ LAN หรือ WLAN ก่อนที่จะมีการยืนยันตัวตนเพื่อเข้าสู่ระบบ ผู้ดูแลระบบสามารถเลือกที่จะบล็อกอุปกรณ์ที่ติดมัลแวร์หรือมีระบบอื่น ๆ ที่ไม่ผ่านเกณฑ์ที่กำหนด เช่น อุปกรณ์ที่ไม่มี patch, ตั้งค่าไฟร์วอลผิด ผู้ดูแลสามารถนำอุปกรณ์ที่ไม่ผ่านเกณฑ์เหล่านี้ไปอยู่ใน LAN ส่วนที่แยกออกไปเพื่อจำกัดการให้บริการหรือแนะนำให้ผู้ใช้อุปกรณ์จำพวก softphone ทำการติดตั้ง patch, อัพเดทไฟร์วอลหรือรายชื่อไวรัสให้ผ่านเกณฑ์ที่กำหนด ในหลายกรณี มาตรการรักษาความปลอดภัยนี้สามารถดำเนินการได้ก่อนการยืนยันตัวตนเพื่อ ป้องกันการดักจับข้อมูลต่าง ๆ ของมัลแวร์จำพวก keystroke logger หลาย บริษัทที่มีไฟร์วอลอยู่แล้วอาจพบว่าไฟร์วอลที่มีอยู่นั้นไม่เหมาะสมกับการ รักษาความปลอดภัยข้อมูลเสียงหรือข้อมูล ไฟร์วอลของเครือข่ายทั่วไปนั้นถูกออกแบบมาเพื่ออนุญาตหรือปฏิเสธการรับ-ส่ง ของ TCP, UDP และอ้างอิงข้อมูลบนไอพีเฮดเดอร์ เช่น แอดเดรส, พอร์ตและชนิดของโพรโตคอล แต่สำหรับโพรโตคอลของ VOIP นั้นจะใช้พอร์ท UDP จำนวนมากและจะปรับเปลี่ยนอย่างต่อเนื่องสำหรับ media stream ไฟร์วอลทั่วไปอาจไม่สามารถตรวจตราการดำเนินการเหล่านี้และมักจะต้องเปิดพอร์ทที่ใช้สำหรับ VoIP เอาไว้ซึ่งจะเป็นช่องโหว่สำหรับการบุกรุกได้ ไฟร์วอลบางแบบไม่สามารถจัดการกับ UDP ได้อย่างมีประสิทธิภาพ บางแบบไม่รองรับการทำ QoS เพื่อจัดการกับ latency และเกิดเสียงรบกวนในสัญญาณเสียงอีกด้วย ผู้ดูแลด้านไอทีควรเลือกไฟร์วอลที่สามารถรองรับ SIP, สามารถตรวจสอบข้อความที่เป็นสัญญาณ SIP, และสามารถดำเนินการกับ RTP media stream โดยไม่เพิ่ม latency ให้กับระบบมากนัก
การใช้ application layer gateway หรือ proxies มีประโยชน์ต่อการติดตั้ง VoIP อย่างมาก การใช้ SSL tunnel ร่วมกับ SIP proxies เป็นวิธีที่ได้รับความนิยมเพื่อเพิ่มประสิทธิภาพในการยืนยันตัวตนและเพิ่ม ความเที่ยงตรงในการป้องกันข้อมูลระหว่างผู้ใช้งานถึง SIP proxies องค์กรหลายแห่งได้ใช้การเชื่อมต่อด้วย SSL เพื่อปกป้องข้อมูลระหว่าง SIP proxies ไปจนถึงส่วนต่าง ๆ ขององค์กรหรือแม้กระทั่งนอกองค์กร การใช้ RTP proxies ก็มีความจำเป็นถ้าต้องมีการหน่วงเวลาของ media stream ทั้งจากไอพี และพอร์ตที่เป็น global และ local RTP บางองค์กรก็ได้ใช้ความสามารถจาก IPSec เพื่อช่วยเพิ่มความปลอดภัยในการรับ-ส่งข้อมูลเสียงระหว่างสำนักงานสาขา ในบางองค์กรมีการตั้งค่าอ้างอิงสำหรับการรับส่ง VoIP ด้วยการสร้าง IPSec security association เพื่อทำให้ข้อมูลเสียงมีความสำคัญกว่าข้อมูลอื่น และในบางแห่งอาจต้องการให้มีการกรองสัญญาณและ RTP media stream ผ่าน Session Border Controller (SBC) ซึ่ง SBC ทำงานเสมือนเป็นเอเจ้นแบบ back-to-back ของผู้ใช้งาน, เชื่อมต่อและบังคับใช้โพลิซีในแต่ละการใช้งานระหว่างเอเจ้น public และ private ในบางกรณี SBC เป็นเสมือน mail proxies ที่มีระบบรักษาความปลอดภัยได้เช่นกัน มันสามารถทำการเขียนเฮดเดอร์ของจดหมายขึ้นมาใหม่เพื่อซ่อนรายละเอียด บางอย่างของเครือข่ายภายใน (เช่น แอดเดรส) และสามารถตัด header SIP บางส่วนที่ไม่ต้องการและตัดเบอร์โทรศัพท์ที่ไม่ต้องการเปิดเผยออก ทุกข้อมูลที่รับ-ส่งผ่าน SBC, โพลิซี STP สามารถนำมาบังคับใช้ได้
ด้วยมาตรการด้านความปลอดภัยเหล่านี้และการตรวจสอบถึงช่องโหว่ต่าง ๆ ในระบบรวมถึงระบบป้องกันผู้บุกรุกไม่เพียงแค่พัฒนาระบบ VoIP แต่ยังสามารถลดความเสี่ยงต่อระบบเครือข่ายข้อมูลได้ด้วย มาตรการหลายๆ อย่างนั้นมีประโยชน์นอกเหนือจากการพัฒนาด้านความปลอดภัยดังเช่นสามารถทำงาน ร่วมกับ VoIP โพรโตคอลและสถาปัตยกรรมอื่นๆ

แหล่งอ้างอิงข้อมูล

http://www.dnsthailand.net/index.php?option=com_content&task=view&id=120&Itemid=55

http://www.dnsthailand.net/index.php?option=com_content&task=view&id=189&Itemid=55

http://www.numsai.com

http://www.guru-ict.com/guru/files/VOIP.doc

http://www.dpu.ac.th/compcntre/page.php?id=2361

http://www.dcomputer.com/Proinfo/support/TipTrick/techno_VoIP01.asp

http://www.telecomjournal.net/index.php?option=com_content&task=view&id=1301&Itemid=47

แนวโน้มเทคโนโลยีและความปลอดภัยในปี 2010 ตอนที่ 1

2009-12-22T13:43:00.000-08:00

แนวโน้มเทคโนโลยีและความปลอดภัยในปี 2010 ตอนที่ 1

http://www.fultonschools.org/itdivision/techfair/Poster/Technology_Competition_2010_Poster_v2a_LG_web.jpg
บริษัทที่เป็นที่ปรึกษาและวิจัยเกี่ยวกับเทคโลโลยีสารสนเทศอย่าง Gartner, Inc. ได้วิเคราะห์ Trend ของเทคโนโลยีในปีนี้และประกาศเทคโนโลยีที่จะเป็นกลยุทธสำหรับองค์กรต่างๆใน ปี 2010 ผลการวิเคราะห์นี้ได้มีการนำเสนอในงาน Gartner Symposium/ITxpo ที่ผ่านมา เทคโนโลยีที่ถูกพูดถึงจะเป็นตัวสำคัญที่จะมีผลต่อองค์กรต่างๆในระยะ 3 ปี ต่อไปนี้ โดยองค์กรต่าง ๆ ควรทำแผนระยะยาวสำหรับดำเนินการในบางเทคโนโลยีที่พิจารณาแล้วว่ามี ผลกระทบต่อองค์กร ทั้งนี้สาเหตุที่ต้องทำเพราะเทคโนโลยีเหล่านี้จะเป็นที่นิยมหรืออาจจะได้ประโยชน์จากการเริ่มใช้ก่อนนั่นเอง
สำหรับแนวโน้มเทคโนโลยี The top 10 strategic technologies สำหรับปี 2010 (http://www.ipattt.com/2009/top-10-technology-2010/) ที่ Gartner, Inc. ได้กล่าวถึงมีดังนี้
1. Cloud Computing.
Cloud computing คือโมเดลที่ผู้ให้บริการ IT หลากหลายรูปแบบสามารถกำหนดวิธีการบริการสู่ลูกค้า ผู้ให้บริการจะทำ Cloud Computing ให้บริการกับลูกค้า (ผู้ประกอบการหรือผู้ให้บริการ ทำกับธุรกิจที่เป็นลูกค้า เป็น B2B) ได้มากขึ้น Cloud Computing เป็นการให้บริการโดยการนำเทคโนโลยีสารสนเทศร่วมกับอินเทอร์เน็ตเข้ามาใช้ เพื่อที่ส่งมอบการให้บริการให้กับลูกค้าได้เร็วที่สุด โดยผู้ให้บริการจะเตรียมระบบเครือข่ายของการให้บริการไว้สำหรับลูกค้าภายนอก โดยที่ลูกค้าสามารถเข้าถึงระบบของผู้ให้บริการได้โดยผ่านอุปกรณ์ไอทีและการ สื่อสารต่างๆ เช่น ไอโฟน (iPhone) PSP, BlackBerry หรือคอมพิวเตอร์โน้ตบุ๊ก หรืออุปกรณ์ (Device) ใดๆ ก็ได้ที่สามารถเชื่อมต่อเข้ากับระบบอินเทอร์เน็ตได้ ก็สามารถใช้บริการนั้นได้
Cloud-based services สามารถที่จะประยุกต์ได้หลายทางที่จะใช้เป็นแนวทางในการพัฒนาตัว application และ Solution แต่การใช้ cloud resources ไม่ได้ช่วยลดต้นทุนของ IT Solution แต่สามารถที่จะปรับเปลี่ยนรูปแบบการบริการต่างๆและลดการใช้บริการในส่วนอื่น ในทางเดียวกัน การใช้ cloud services enterprises จะมีหน้าที่มากขึ้นเหมือนกับ cloud providers และส่งต่อ application, information หรือ business process services ไปที่ลูกค้าหรือ Business Partner

Reference
http://www.ipattt.com/2009/top-10-technology-2010/
http://www.oknation.net/blog/thananum/2009/12/02/entry-1/comment
http://www.gartner.com/DisplayDocument?doc_cd=167983&ref=g_BETAnoreg
http://www.gartner.com/resources/167900/167983/security_in_2013_and_beyond_167983.pdf
http://www.docstoc.com/docs/DownloadDoc.aspx?doc_id=7139474
http://www.gartner.com/teleconferences/asset_135627_75.jsp
http://www.net-security.org/secworld.php?id=8171
http://asiaprnews.com/2009/11/24/security-trends-to-watch-in-2010-symantec/
http://www.sran.net/archives/370
http://www.telecomjournal.net/index.php?option=com_content&task=view&id=2756&Itemid=36
http://compcenter.bu.ac.th/index.php?option=com_content&task=view&id=72&Itemid=172
http://mfatix.com/home/node/165
http://www.symantec.com/connect/blogs/don-t-read-blog

จำนวนสมาชิก tr-lms

2009-11-27T22:18:00.000-08:00

ขณะนี้มีจำนวน 3299 คน

ศักยภาพในการแข่งขันของไอทีไทย

2009-10-16T14:50:00.000-07:00

ศักยภาพในการแข่งขันของไอทีไทย
เป็นบทความที่น่าสนใจครับจากมติชน อ่านรายละเอียด ที่นี่

Ubiquitous Computing

2009-10-10T20:31:00.000-07:00

Ubiquitous Computing
Ubiquitous Computing หมายถึง การนำคอมพิวเตอร์เข้ามาเป็นส่วนหนึ่งของการดำรงชีวิต รูปลักษณะของคอมพิวเตอร์จะแฝงอยู่ในรูปของเครื่องใช้ต่าง ๆ เช่น เครื่องแต่งกาย เครื่องมือสื่อสาร ยานพาหนะเครื่องอำนวยความสะดวกในบ้าน และฝังตัวอยู่ในสรรพสิ่งรอบตัวเรา สารสนเทศที่ได้จากการประมวลผล สามารถเชื่อมโยงซึ่งกันและกันระหว่างอุปกรณ์ผ่านระบบเครือข่ายความเร็วสูง(http://guru.sanook.com/pedia/topic/Ubiquitous_Computing)
หรืออีกความหมายหนึ่ง (Ubiquitous society) หรือ ยูบิคอมบ์ (Ubicomp) เป็นทำให้เกิด สภาพแวดล้อมของการสื่อสารใหม่และเป็นแนวโน้มของสังคมสารสนเทศ ยูบิควิตัส เป็นภาษาลาติน มีความหมายว่า อยู่ในทุกแห่ง หรือ มีอยู่ทุกหนทุกแห่ง มาร์ค ไวเซอร์ (Mark Weiser) แห่งศูนย์วิจัย Palo Alto ของบริษัท Xerox ประเทศสหรัฐอเมริกา ได้ให้คำนิยาม "ยูบิควิตัสคอมพิวติง" ไว้ว่า เราสามารถเข้าถึงคอมพิวเตอร์ได้ทุกหนทุกแห่ง-สภาพแวดล้อมที่สามารถใช้คอมพิวเตอร์เชื่อมต่อกับเครือข่าย ไม่ว่าจะอยู่ในที่แห่งใด ( http://www.kasidetp.com/e-learning/ICT%20for%20life_files/frame.htm#slide0051.htm)

http://www.oki.com/en/profile/vision/e_society.html

ชัยธร ลิมาภรณ์วณิชย์ ผู้จัดการโครงการสำนักงานนวัตกรรมแห่งชาติ กล่าวถึง Ubiquitous Computing ไว้ดังนี้
“Ubiquitous” ถ้าแปลตรงตัวคือ “เป็นที่พบเห็นได้ทั่วไป” ดังนั้น Ubiquitous Computing ก็คือหน่วยประมวลผลที่สามารถพบเห็นได้ทั่วไป ไม่ว่าจะเป็นอุปกรณ์เครื่องใช้ใดก็แล้วแต่ที่อยู่รอบตัวเรา รูปแบบของเทคโนโลยี Ubiquitous Computing มักเน้นไปที่อุปกรณ์ที่ผู้ใช้แทบไม่รู้เลยว่ากำลังใช้งานอุปกรณ์คอมพิวเตอร์อยู่ในระหว่างการดำเนินชีวิตประจำวันไปตามปกติ หรือกล่าวอีกนัยหนึ่งคือ อุปกรณ์ประมวลผลที่สามารถผสมผสานกับการดำเนินชีวิตของผู้ใช้โดยที่ไม่เปลี่ยนแปลงรูปแบบการดำเนินชีวิต
จึงทำให้อุปกรณ์เหล่านี้สามารถเข้าถึงกลุ่มผู้ใช้ได้มากยิ่งขึ้นจนในอนาคตอันสั้นเราอาจกล่าวได้ว่า วิถีการดำเนินชีวิตประจำวันนั้นจะดำเนินไปได้ด้วยความช่วยเหลือจากอุปกรณ์คอมพิวเตอร์แบบ Ubiquitous Computing เหล่านี้ทั้งหมดเลยก็ว่าได้ แนวคิดของ Ubiquitous Computing ได้ถูกนิยามโดย Mark Weiser ตั้งแต่ปี พ.ศ. 2531 ซึ่งถ้าย้อนไปเมื่อยุคสมัยนั้น อุปกรณ์คอมพิวเตอร์แทบไม่มีให้พบเห็นสำหรับบุคคลทั่วไปเลย มีใช้กันแต่เพียงบางกลุ่มคนเท่านั้น แต่ Weiser ได้คาดการณ์แนวโน้มของการใช้งานอุปกรณ์คอมพิวเตอร์ในอนาคตตามนิยามของ Ubiquitous Computing ไว้ดังต่อไปนี้
1)อุปกรณ์คอมพิวเตอร์มีไว้สำหรับช่วยเหลือผู้ใช้ทำการกระทำสิ่งใดสิ่งหนึ่ง
2) อุปกรณ์คอมพิวเตอร์ที่ดีนั้นเปรียบเสมือนผู้รับใช้ที่ไม่สามารถมองเห็นได้
3) อุปกรณ์คอมพิวเตอร์ควรเพิ่มทักษะและความสามารถให้กับผู้ใช้ในการใช้งานอุปกรณ์นั้นๆ
4) อุปกรณ์คอมพิวเตอร์ที่ดีควรทำงานได้โดยไม่ต้องให้ผู้ใช้สั่งงาน
จากนิยามข้อแรก เป็นคำนิยามสำหรับเครื่องคอมพิวเตอร์ ทุกเครื่องอยู่แล้ว นับตั้งแต่คอมพิวเตอร์เครื่องแรกของโลกก็ถูกสร้างขึ้นเพื่อช่วยเหลือผู้ใช้ในการคำนวนทางคณิตศาสตร์
นิยามข้อที่สอง หมายถึง เมื่อเรามีอุปกรณ์คอมพิวเตอร์อยู่ก็เปรียบเสมือนเรามีผู้รับใช้ที่ล่องหนได้อยู่ ซึ่งนิยามข้อนี้จะเป็นจริงได้ เมื่อรูปแบบการสื่อสารระหว่างผู้ใช้กับอุปกรณ์คอมพิวเตอร์ คล้ายกับรูปแบบที่มนุษย์ใช้ติดต่อสื่อสารกัน กล่าวคืออุปกรณ์คอมพิวเตอร์จะต้องสามารถรับคำสั่งการทำงานได้เสมือนกับมนุษย์ที่รับคำสั่งด้วยประสาทสัมผัสต่างๆ ของตนได้ การรับคำสั่งโดยการใช้ตาดูสำหรับมนุษย์นั้น สิ่งสำคัญคือการระบุตัววัตถุและทราบถึงตำแหน่งวัตถุนั้นๆ ซึ่งต้องอาศัยเทคโนโลยีในการประมวลผลภาพเข้ามาช่วย ถึงแม้เทคโนโลยีนี้จะมีงานวิจัยให้พบเห็นได้ทั่วไป แต่ยังมีข้อจำกัดในการใช้งานจริงจึงมีปรากฏให้พบเห็นไม่บ่อยครั้ง ดังนั้น จึงมีการนำเทคโนโลยีอื่นๆมาประยุกต์ใช้เพื่อทดแทนหรือช่วยในการประมวลผลภาพ อาทิ เทคโนโลยี RFID สำหรับการระบุตัววัตถุ เทคโนโลยี GPS สำหรับการระบุตำแหน่งของวัตถุ เนื่องจากเทคโนโลยีเหล่านี้สามารถประยุกต์ใช้งานจริงและมีต้นทุนการใช้งานที่ต่ำกว่า
สำหรับการรับคำสั่งด้วยการฟังนั้น อุปกรณ์คอมพิวเตอร์จะใช้ไมโครโฟนเป็นสื่อกลางในการรับสัญญาณเสียงจากผู้ใช้งาน ข้อมูลเสียงที่จะเข้ามาในระบบนั้นมีทั้งในรูปแบบของเสียงทั่วไปและรูปแบบของเสียงพูด ซึ่งล้วนแล้วแต่ต้องใช้เทคโนโลยีการประมวลผลสัญญาณเสียง โดยอาศัยระบบรู้จำเสียงพูดซึ่งเป็นการนำเอาสัญญาณสเปกตรัมที่ได้จากการแปลงผ่านระบบประมวลผลสัญญาณเสียงมาแปลงให้เป็นคำสั่งที่เครื่องคอมพิวเตอร์สามารถเข้าใจได้ สำหรับในภาษาอังกฤษมีใช้งานกันอยู่บ้าง เช่น ระบบสั่งงานด้วยเสียงบนโทรศัพท์มือถือบางรุ่น เป็นต้น แต่สำหรับในภาษาไทยมีใช้งานกันในเฉพาะกลุ่มนักวิจัย เช่น ระบบต่อสายโทรศัพท์อัตโนมัติโดยใช้เสียง เป็นต้น แต่ยังไม่พบเห็นในรูปแบบของผลิตภัณฑ์ที่มีการต่อยอดออกสู่เชิงพาณิชย์
นิยามในข้อที่สามนี้ตรงกับเทคโนโลยีในยุคปัจจุบันที่เรียกว่าเทคโนโลยีระบบฝังตัว ซึ่งเป็นการฝังหน่วยประมวลผลขนาดเล็กหรือไมโครโพรเซสเซอร์ลงไปในอุปกรณ์หนึ่ง เพื่อให้ผู้ใช้สามารถใช้งานอุปกรณ์นั้นได้สะดวกและมีประสิทธิภาพยิ่งขึ้น เช่น ระบบปรับสมดุลขณะเข้าโค้งที่ฝังตัวอยู่ภายในรถยนต์บางรุ่น ระบบนี้เป็นการฝังหน่วยประมวลผลซึ่งจะรับคำสั่งจากสภาพแวดล้อมที่เปลี่ยนไป เช่น ความเร็ว สภาพพื้นผิวของถนน เป็นต้น
สำหรับในนิยามข้อสุดท้ายซึ่งถือได้ว่าเป็นจุดสูงสุดของเทคโนโลยี Ubiquitous Computing เนื่องจากเป็นการหลอมรวมเอาเทคโนโลยีคอมพิวเตอร์เข้าไปไว้ในชีวิตประจำวันของมนุษย์ได้อย่างสมบูรณ์แบบ โดยมนุษย์ไม่ต้องไปยุ่งเกี่ยวกับเทคโนโลยีเหล่านี้เลย ซึ่งเทคโนโลยีในหัวข้อนี้จะต้องผนวกรวมเอาเทคโนโลยีสำหรับการรับคำสั่งที่กล่าวมาทั้งหมด ประกอบกับการนำเอาเทคโนโลยีปัญญาประดิษฐ์มาใช้ในการตัดสินใจว่าควรจะโต้ตอบกับผู้ใช้อย่างไรได้โดยอัตโนมัติ เช่น ระบบการผลิตแบบอัตโนมัติ
จากนิยามทั้ง 4 ของ Weiser แสดงให้เห็นถึงแนวทางในการพัฒนานวัตกรรมที่เกี่ยวข้องกับอุปกรณ์ประมวลผล ที่มุ่งไปสู่การอำนวยความสะดวกและส่งเสริมกิจกรรมต่างๆ ในชีวิตประจำวันของผู้ใช้ ดังนั้นการพัฒนาและสร้างสรรค์นวัตกรรมในปัจจุบัน จึงอาศัยแนวคิดในการมองความต้องการและความสะดวกในการใช้งานของผู้ใช้เป็นหัวใจสำคัญ เพื่อให้ผลิตภัณฑ์ได้รับการยอมรับในการใช้งานและช่วยอำนวยประโยชน์ รวมถึงสร้างมูลค่าเพิ่มในกิจกรรมต่างๆ ในชีวิตประจำวัน

ตัวอย่างผลกระทบและความเปลี่ยนแปลงที่เกิดขึ้นในปัจจุบันของ Ubiquitous Computing

1. มนุษยเอาชนะความบกพรองทางรางกาย

คอมพิวเตอรอาจเปลี่ยนแปลงลักษณะการรับรูและประสาทสัมผัสของผูที่บกพรองทางรางกายไดยกตัวอยางเชน ชาวอเมริกันสวนหนึ่งมีปญหาทางสายตาอยางรุนแรง ซึ่งปญหานี้มิอาจแกไขไดดวยแวนตาธรรมดา Ubiquitous Computing ของ MIT แกปญหาโดยใชคอมพิวเตอรขนาดเล็กที่ออกแบบเปนแวนตาซึ่งติดกลองดิจิตอลและจอแสดงผลใหผูปวยใสเปน wearable computer นอกจากเทคโนโลยีเกี่ยวกับแสงแล้ว Ubiquitous Computing ยังประยุกต์กับเสียงไดดวย

2. ระบบการเก็บขอมูลที่สะดวกและแมนยําบอยครั้งที่มนุษยมีปญหาในการจําขอมูลที่แนชัดไมไดโดยเฉพาะอยางยิ่งขอมูลที่เปนตัวเลขดวยเหตุนี้ MIT MediaLab ไดพัฒนา Remembrance Agent
ซึ่งเปนเครื่องชวยจําคลายๆกับอุปกรณ PDAใน ปจจุบันเพียงแตอุปกรณดังกลาวเปนอุปกรณที่สวมใสไดและเชื่อมเขากับฐานขอมูลผานระบบWirelessNetworkเมื่อใกลถึงเวลานัดหมายก็จะเปลงเสียงเตือนและยังสามารถเชื่อมกับอุปกรณแวนตาเพื่อแสดงขอมูลสําคัญที่เราตองการใหปรากฏซึ่งการใชงานนั้นใชการสั่งงานดวยเสียง

http://quantumcinema.blogspot.com/2008/01/ubiquitous-computing.html

IT Security Audit ตอน 12

2009-10-10T19:55:00.000-07:00

IT Governance
การบริหารจัดการและการกำกับดูแลสารสนเทศที่ดี (IT governance) ครอบคลุมถึง
- Control of the work -- มีมาตรการควบคุมงานที่ดี
- Co-ordination between different pieces of work -- มีการประสานงานที่ดีเพื่อให้งานลุล่วง
- Measurement of outcome -- มีการวัดความสำเร็จของงานเพื่อปรับปรุงแก้ไขตามความเหมาะสม
- Compliance with internal policy or regulation – มีการตรวจสอบเพื่อให้เป็นไปตามนโยบาย ระเบียบ กฎหมาย หรือข้อบังคับภายนอกอื่นๆ ที่องค์กรต้องปฏิบัติตาม
- Justification of spending -- มีการควบคุมการใช้จ่ายตามงบประมาณที่กำหนดไว้
- Accountability and transparency -– มีผู้รับผิดชอบชัดเจนแยกตามกระบวนการต่างๆ ตรวจสอบการปฏบัติได้ และมีความโปร่งใสที่สามารถตรวจสอบได้ในแต่ละระดับจากบนลงสู่ล่าง (องค์กร ฝ่ายสารสนเทศ กระบวนการสารสนเทศ กิจกรรมของกระบวนการสารสนเทศ)
- Connecting with the needs of customers, the broader organisation, and other stakeholders – ตอบสนองหรือตรงตามความต้องการของลูกค้า องค์กร และผู้ที่มีผลประโยชน์เกี่ยวข้อง

IT Governance Focus Areas

บรรณานุกรม
[1] พิมพ์กมล ศรีสวัสดิ์ 2551 : การประเมินความเสี่ยงจากการใช้เทคโนโลยีสารสนเทศด้วย Cobit
[2] บรรจง หะรังษี และทีมงาน : เอกสารประกอบการบรรยายหลักสูตรมาตรฐานและกระบวนการตรวจสอบและควบคุมคุณภาพด้านเทคโนโลยีสารสนเทศ อ้างอิงตาม กรอบมาตรฐาน COBIT 4.1 และ
ISO/IEC 27001
[3] http://www.acisonline.net/article/?p=5
[3] http://www.oknation.net/blog/sathorn69/2009/08/20/entry-1
[4] http://www.isaca-bangkok.org/cobit.html
[5] http://www.positioningmag.com/prnews/prnews.aspx?id=59833
[6] http://www.tlaa.org/seminar/20090522-COBIT/02-1030-1105.pdf

IT Security Audit ตอน 11

2009-10-10T19:43:00.000-07:00

กรอบมาตรฐาน COBIT ใหม่ช่วยลดความเสี่ยงด้านไอที พร้อมปรับปรุงการปฏิบัติตามกฏเกณฑ์
สถาบันไอทีภิบาล (ITGI) ได้จัดพิมพ์มาตรฐาน COBIT 4.1 ซึ่งเป็นเวอร์ชันปรับปรุงใหม่ของกรอบแนวทางด้านไอทีภิบาล COBIT (Control Objectives for Information and related Technology) ซึ่งจะนำเสนอมาตรฐานการปฏิบัติสากลที่เชื่อถือได้และได้รับการยอมรับกันกันโดยทั่วไป ซึ่งจะช่วยคณะกรรมการ ผู้บริหารและผู้จัดการในการเพิ่มมูลค่าเทคโนโลยีสารสนเทศ (ไอที) และลดความเสี่ยงที่เกี่ยวข้อง
COBIT ซึ่งมีการใช้กันอย่างกว้างขวางเพื่อเป็นเครื่องมือสำหรับการปฏิบัติตามกฏหมาย Sarbanes-Oxley และมาตรฐานอื่นๆของโลกนั้น เกิดขึ้นก่อนกฏหมายควบคุมที่มีการใช้กันทั่วโลก โดยเป็นผลของการวิจัยและความร่วมมือมานาน 15 ปีระหว่างผู้เชี่ยวชาญด้านไอทีและธุรกิจทั่วโลก และเป็นกรอบมาตรฐานสากลที่รวมมาตรฐานหลักๆด้านไอทีทั้งหมดในโลกเข้าเป็นหนึ่งเดียว รวมถึงมาตรฐาน ITIL, CMMI และ ISO17799 โดยท่านสามารถดาวน์โหลดเวอร์ชันใหม่ของกรอบมาตรฐานดังกล่าวได้โดยไม่เสียค่าใช้จ่ายจาก ITGI ซึ่งเป็นองค์กรอิสระที่ไม่หวังผลกำไรได้ที่ www.itgi.org
COBIT 4.1 เป็นเวอร์ชันปรับปรุงของกรอบมาตรฐานที่ได้รับการยอมรับทั่วโลกซึ่งจะรับประกันว่าระบบไอทีจะเป็นไปตามเป้าหมายของธุรกิจ ทรัพยากรจะถูกใช้อย่างรับผิดชอบและมีการจัดการความเสี่ยงอย่างเหมาะสม COBIT 4.1 เป็นเวอร์ชันปรับปรุงของกรอบบาตรฐาน COBIT 4.0 และสามารถใช้เพื่อสนับสนุนการดำเนินงานตามมาตรฐาน COBIT เวอร์ชันก่อนหน้านี้ โดยส่วนที่มีการปรับปรุงในเวอร์ชัน COBIT 4.1 รวมถึงการวัดผลการดำเนินงาน, ปรับปรุงเป้าหมายการควบคุม และการปรับเป้าหมายของธุรกิจและไอทีให้สอดคล้องกันมากขึ้น
"COBIT เป็นกรอบการจัดการมาตรฐานเดียวซึ่งจะตอบสนองวงจรชีวิตที่สมบูรณ์ของการลงทุนด้านไอที กรอบมาตรฐานดังกล่าวจะสนับสนุนความสำเร็จด้านเป้าหมายธุรกิจไอที, รับประกันความสอดคล้องด้านไอทีและธุรกิจ รวมถึงปรับปรุงประสิทธิภาพและประสิทธิผลด้านไอที" นายโรเจอร์ เดบรีเซนี ประธานคณะทำงานด้าน COBIT ของ ITGI กล่าว "COBIT 4.1 ถูกสร้างขึ้นตามคำแนะนำที่เป็นไปได้ในทางปฏิบัติจากบรรดาผู้จัดการทั่วโลกที่ใช้กรอบมาตรฐานดังกล่าวเพื่อปรับปรุงการกำกับดูแลด้านไอทีในองค์กร ดังนั้นจึงเป็นแนวทางที่ได้รับการทดสอบและพิสูจน์แล้ว"

Gartner Prediction about Security

4 Phases of Information Security Maturity

An Integrated Approach To Governance, Risk & Compliance (GRC)

http://www.tlaa.org/seminar/20090522-COBIT/02-1030-1105.pdf

IT Security Audit ตอน 10

2009-10-10T19:38:00.000-07:00

โครงสร้างของโคบิต (Cobit Structure)
การนำระบบเทคโนโลยีสารสนเทศเข้ามาใช้ เพื่อสนับสนุนการทำงานและกลยุทธ์ต่างๆ ขององค์กร จะสามารถประสบความสำเร็จได้นั้น องค์กรจะต้องมีการกำหนดหน้าที่ความรับผิดชอบต่างๆ ให้ชัดเจน และพนักงานทุกคนจะต้องเข้าใจว่าอะไรคือสิ่งที่ได้จากการนำเทคโนโลยีสารสนเทศเข้ามาใช้ และจะใช้สิ่งต่างๆ เหล่านั้นให้เกิดประโยชน์ได้อย่างไร ซึ่งโคบิตได้จัดเตรียมเนื้อหาที่ครอบคลุมในเรื่องของการบริหารจัดการเทคโนโลยีสารสนเทศที่นำมาใช้ในองค์กร โดยจะแบ่งออกเป็น 4 โดเมนหลักๆ ซึ่งมีรายละเอียดดังนี้
1.การวางแผนและการจัดองค์กร (Plan and Organize : PO)
เนื้อหาในโดเมนนี้ครอบคลุมในเรื่องของกลยุทธ์และวิธีการที่นำมาใช้ในองค์กร โดยจะเน้นในเรื่องของการกำหนดวิธีที่จะทำให้เทคโนโลยีสารสนเทศ มีบทบาทสำคัญ เพื่อให้สารสนเทศนั้นสามารถตอบสนองความต้องการทางด้านธุรกิจขององค์กรได้ ซึ่งการกำหนดกลยุทธ์ที่สามารถนำมาใช้ได้จริงนั้นจำเป็นที่จะต้องมีการวางแผน มีการบริหารจัดการที่ดี และต้องมีการสื่อสารให้พนักงานทั้งองค์กรรับทราบร่วมกัน และท้ายสุด องค์กรจำเป็นต้องมีการจัดวางโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศที่เหมาะสม จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้
- ทำให้ผู้บริหารทราบว่ากลยุทธ์ทางด้าน IT และกลยุทธ์ทางด้านธุรกิจเป็นไปในทิศทางเดียวกันหรือไม่
- ประสิทธิภาพและคุณภาพของระบบ IT ที่องค์กรนำมาใช้ มีความเหมาะสมกับความต้องการทางด้านธุรกิจหรือไม่
- เพื่อให้ผู้บริหารสามารถทราบได้ว่าองค์กรกำลังประสบความสำเร็จด้วยการใช้ทรัพยากรต่างๆ อย่างเต็มที่หรือไม่
- เพื่อให้ทราบได้ว่าพนักงานในองค์กรมีความเข้าใจในวัตถุประสงค์ขององค์กรหรือไม่
- เพื่อให้ทราบว่าผู้ปฏิบัติงานมีความรู้ความเข้าใจในความเสี่ยงทางด้าน IT ที่เกี่ยวข้องกับการปฏิบัติงานของตนหรือไม่ และจะมีวิธีการบริหารจัดการกับความเสี่ยงดังกล่าวได้อย่างไร
2.การจัดหาและนำระบบออกใช้งานจริง (Acquire and Implement : AI)
เนื้อหาในโดเมนนี้จะเน้นที่เรื่องของการทำให้กลยุทธ์ที่ได้กำหนดไว้ประสบผลสำเร็จ ซึ่งการดำเนินงานตามกลยุทธ์ที่ได้วางไว้นั้น จะต้องมีการระบุ พัฒนาหรือจัดซื้อจัดหา นำไปติดตั้งใช้งาน รวมถึงการผนวกรวมเทคโนโลยีสารสนเทศเข้าเป็นส่วนหนึ่งของกระบวนการทางธุรกิจ และในโดเมนนี้ยังรวมถึงการเปลี่ยนแปลงและการดูแลรักษาระบบงานที่องค์กรมีอยู่ เพื่อให้สามารถมั่นใจได้ว่าเทคโนโลยีสารสนเทศยังคงสามารถสนับสนุนการทำงาน และวัตถุประสงค์ของธุรกิจได้อยู่ตลอดเวลา จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้
- โครงการด้านเทคโนโลยีสารสนเทศใหม่ที่กำลังพัฒนาหรือจัดหานั้น สามารถนำมาใช้เพื่อแก้ไขปัญหาหรือสร้างประโยชน์ให้กับธุรกิจได้หรือไม่
- โครงการที่กำลังพัฒนาหรือจัดหานั้น สามารถนำมาใช้งานได้ทันตามระยะเวลาและงบประมาณที่กำหนดไว้หรือไม่
- ระบบใหม่ที่นำมาใช้งานนั้น สามารถทำงานได้อย่างมีประสิทธิภาพ ตรงตามความต้องการของธุรกิจหรือไม่
- การเปลี่ยนแปลงที่เกิดขึ้นทำให้เกิดผลเสียต่อการปฏิบัติงานของธุรกิจในปัจจุบันหรือไม่
3.การส่งมอบและการสนับสนุน (Delivery and Support : DS)
เนื้อหาในโดเมนนี้ จะเน้นในเรื่องของการส่งมอบบริการด้านเทคโนโลยีสารสนเทศเมื่อมีความต้องการจากภาคธุรกิจ ซึ่งรวมตั้งแต่การส่งมอบบริการ การดำเนินงานด้านการรักษาความปลอดภัยและความต่อเนื่องของการให้บริการ การบริหารจัดการสารสนเทศและอุปกรณ์อำนวยความสะดวกต่างๆ ที่ใช้ในการปฏิบัติงาน ไปจนถึงการฝึกอบรมพนักงานเพื่อให้มีความรู้ในเรื่องของเทคโนโลยีสารสนเทศที่เกี่ยวข้องกับงานที่ตนเองปฏิบัติ จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้
- การให้บริการด้านเทคโนโลยีสารสนเทศสามารถสนับสนุนกรปฏิบัติงานด้านธุรกิจได้อย่างสอดคล้องกับเป้าหมายและวัตถุประสงค์ของธุรกิจหรือไม่
- ต้นทุนด้านเทคโนโลยีสารสนเทศที่ใช้ไปคุ้มค่าแล้วหรือไม่
- การปฏิบัติงานต่างๆ ขององค์กรสามารถที่จะใช้งานระบบสารสนเทศได้อย่างมีประสิทธิภาพและเกิดความปลอดภัยหรือไม่
- ระบบเทคโนโลยีสารสนเทศที่ใช้อยู่ในปัจจุบันมีการรักษาความลับ (Confidentiality) ความถูกต้องตรงกัน (Integrity) และความพร้อมใช้งาน (Availability) เพียงพอแล้วหรือไม่
4.การติดตามและประเมินผล (Monitor and Evaluate)
เนื้อหาในโดเมนนี้จะเน้นในเรื่องของการตรวจสอบติดตาม และประเมิน ผลของระบบเทคโนโลยีสารสนเทศ โดยกระบวนการด้านเทคโนโลยีสารสนเทศทั้งหมดจะต้องได้รับการประเมินอยู่เสมอ เพื่อรับประกันได้ถึงคุณภาพและการปฏิบัติตามขอบังคับของการควบคุม ในโดเมนนี้จะเป็นการระบุถึงการบริหารจัดการในด้านของประสิทธิภาพของระบบสารสนเทศ ซึ่งจะต้องได้รับการประเมินจากผู้ตรวจสอบทั้งภายในและภายนอกองค์กร จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้
- มีการประเมินหรือวัดประสิทธิภาพของระบบเทคโนโลยีสารสนเทศ เพื่อตรวจหาปัญหาก่อนที่ปัญหานั้นจะเกิดขึ้นจริงหรือไม่
- ผู้บริหารจะสามารถมั่นใจได้อย่างไรว่าการควบคุมต่างๆ ที่องค์กรนำมาใช้นั้นมีประสิทธิภาพและประสิทธิผลจริง
- ประสิทธิภาพของระบบเทคโนโลยีสารสนเทศที่มีอยู่นั้นสามารถสนับสนุนเป้าหมายทางด้านธุรกิจหรือไม่
- มีการวัดผลและรายงานในเรื่องของความเสี่ยง การควบคุม การปฏิบัติตามกฎ และประสิทธิภาพ ไปยังผู้บริหารระดับสูงขององค์กรหรือไม่

IT Security Audit ตอน 9

2009-10-10T19:35:00.000-07:00

วัตถุประสงค์ของโคบิตในเรื่องของธรรมภิบาลด้านเทคโนโลยีสารสนเทศ
โคบิตสนับสนุนในเรื่องของธรรมภิบาลด้านเทคโนโลยีสารสนเทศโดยมีการจัดเตรียมกรอบวิธีปฏิบัติต่างๆ เพื่อต้องการให้แน่ใจว่า :
- เทคโนโลยีสารสนเทศที่นำมาใช้จะเป็นไปในทิศทางเดียวกันกับธุรกิจขององค์กร
- เทคโนโลยีสารสนเทศสามารถที่จะสนับสนุนความต้องทางด้านธุรกิจได้อย่างเต็มประสิทธิภาพ
- ทรัพยากรด้านเทคโนโลยีสารสนเทศถูกใช้อย่างเหมาะสม
- สามารถจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศได้อย่างเหมาะสม
ประโยชน์ของการนำโคบิตมาใช้
การนำโคบิตมาประยุกต์ใช้ในองค์กรสามารถสร้างประโยชน์หลายประการให้แก่องค์กร ดังนี้ :
- ทำให้ธุรกิจและเทคโนโลยีสารสนเทศดำเนินไปในทิศทางเดียวกัน โดยให้ภาคธุรกิจเป็นเป้าหมายหลักในการดำเนินนโยบาย
- เกิดการแบ่งปันในส่วนของความรู้และความเข้าใจให้กับผู้ที่มีส่วนเกี่ยวข้องทุกคน โดยเป็นการใช้ภาษาเดียวกันทำให้เกิดความเข้าใจที่ตรงกัน
- ทำให้เกิดความเข้าใจมุมมองหรือภาพรวมในเรื่องของการนำเทคโนโลยีสารสนเทศเข้ามาใช้ในการจัดการด้านธุรกิจขององค์กรอย่างไร
- ทำให้เกิดความกระจ่างในเรื่องของบทบาท หน้าที่ความรับผิดชอบ และความเป็นเจ้าของ ในการปฏิบัติงานของพนักงานในองค์กร เพื่อให้เกิดความไว้วางใจและการยอมรับกันอย่างแพร่หลายจากองค์กรหรือบริษัทภายนอกที่เกี่ยวข้องและผู้วางกฎระเบียบ (regulator) ต่างๆ

IT Security Audit ตอน 8

2009-10-10T19:33:00.000-07:00

วิวัฒนาการของ COBIT

IT Security Audit ตอน 7

2009-10-10T19:24:00.000-07:00

ทรัพยากรด้านเทคโนโลยี (IT Resources) 5 ประเภท
- ข้อมูล (Data) รวมความถึงข้อมูลในรูปแบบต่างๆทั้งที่มีโครงสร้างและไม่มีโครงสร้าง ข้อมูลด้านกราฟฟิค และข้อมูลที่เป็นเสียง
- ระบบงาน (Application System) ได้แก่ขั้นตอนและกระบวนการปฎิบัติงานทั้งที่ทำด้วยมือและโปรแกรมคอมพิวเตอร์
- Technology ได้แก่ เครื่องคอมพิวเตอร์ (hardware) โปรแกรมระบบ (Operating Systems) ระบบบริหารฐานข้อมูล (database management system) ระบบเครือข่าย (Networking) และระบบมัลติมีเดีย
- Facilities ได้แก่ทรัพยากรต่างๆที่ใช้เป็นสถานที่ติดตั้งหรือจัดวาง ตลอดจนสาธารณูปโภคที่จำเป็นเพื่อการปฎิบัติงานของระบบสารสนเทศ
- บุคลากร (People) ได้แก่บุคคลากรที่มีความรู้ความชำนาญในการบริหารและปฎิบัติงาน สำหรับการดูแลและจัดทำระบบสารสนเทศ

รูป Cobit cube

IT Security Audit ตอน 6

2009-10-10T19:23:00.000-07:00

คุณภาพของระบบข้อมูล 7 ประการ (Information Criteria)
ประสิทธิภาพ (Effectiveness) หมายถึงข้อมูลที่ใช้เกี่ยวข้องกับกระบวนการทางธุรกิจ รวมทั้งมีการส่งมอบข้อมูลแก่ผู้ใช้อย่าง ถูกต้อง ตรงเวลา สม่ำเสมอ (Consistent) และใช้ประโยชน์ได้ (Usable)
ประสิทธิผล (Efficiency) หมายถึง มีการใช้ประโยชน์จากทรัพยากรอย่างเต็มที่เพื่อให้ได้มาซึ่งข้อมูลสารสนเทศ
ความลับ (Confidentiality) หมายถึง การป้องกันการเปิดเผยข้อมูลที่สำคัญต่อบุคคลหรือหน่วยงานที่ไม่ได้รับอนุญาต ความสมบูรณ์ (Integrity) หมายถึงความครบถ้วนถูกต้องของข้อมูล ตลอดจนเป็นข้อมูลใช้ได้(Validity) ในแง่ของความคาดหมายและการให้ความสำคัญของธุรกิจ (business values and expectations)
การมีใช้เมื่อต้องการ (Availability) หมายถึง เป็นข้อมูลที่เรียกใช้ได้เมื่อต้องการและจำเป็นใช้ ทั้งในปัจจุบันและอนาคต และรวมทั้งการป้องกันภัยให้กับทรัพยากรต่างๆที่จำเป็นและการรักษาระดับความสามารถในการทำงานของทรัพยากรเหล่านั้น
การปฎิบัติตามระบบ (Compliance) หมายถึง การที่ข้อมูลได้จัดทำขึ้นตามกฎ ระเบียบ ข้อบังคับ หลักเกณฑ์ ข้อตกลง หรือกฎหมาย ที่มีขึ้นเพื่อบังคับใช้ทั้งจากหน่วยงานภายในและภายนอกองค์กร เช่น ข้อบังคับของตลาดหลักทรัพย์ ประมวลกฎหมายภาษีอากร หลักการบัญชีที่ยอมรับโดยทั่วไป เป็นต้น
ความน่าเชื่อถือของข้อมูล (Reliability of Information) หมายถึงความสามารถในการจัดหาข้อมูลที่เหมาะสมให้แก่ผู้บริหารของกิจการเพื่อสามารถดำเนินธุรกิจและเพื่อให้สามารถจัดทำรายงานทางการเงินและรายงานที่จำเป็นอื่นๆภายใต้ความรับผิดชอบของผู้บริหาร

IT Security Audit ตอน 5

2009-10-10T19:21:00.000-07:00

การนำ COBIT Framework มาใช้ในการควบคุมภายในสำหรับงานเทคโนโลยีสารสนเทศ
ในปัจจุบันองค์กรต่างๆ ต่างเล็งเห็นถึงประโยชน์ของเทคโนโลยีที่จะนำมาใช้ในการดำเนินงาน อย่างไรก็ดี องค์กรที่ได้รับความสำเร็จอย่างแท้จริงจากการนำเทคโนโลยีใช้ให้เกิดประโยชน์จะได้แก่องค์กรที่ผู้บริหารมีความรู้ความเข้าใจที่จะจัดการกับความเสี่ยงด้านการนำเทคโนโลยีมาใช้ในองค์กรอย่างเหมาะส การบริหารและจัดการความเสี่ยงด้านเทคโนโลยีจึงกลายเป็นส่วนที่มีนัยสำคัญในการบริหารจัดการความเสี่ยงขององค์กรโดยรวม โดยเฉพาะองค์กรที่มุ่งสู่การเป็นบรรษัทภิบาล (Good Corporate Governance) CoBIT หรือ Control Objectives for Information and Related Technologyเป็นทั้งแนวคิดและแนวทางการปฎิบัติ (Framework) เพื่อการควบคุมภายในที่ดีด้านเทคโนโลยีสำหรับองค์กรต่างๆที่จะใช้อ้างอิงถึงแนวทางการปฎิบัติที่ดี (Best Practice)ซึ่งสามารถนำไปปรับใช้ได้ในทุกองค์กรสำหรับกิจกรรมที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ โดยโครงสร้างของ CoBITâ ออกแบบอยู่บนพื้นฐานของกระบวนการทางธุรกิจ Business Process ซึ่งแบ่งเป็น 4 กระบวนการหลัก (Domain) ได้แก่ การวางแผนและการจัดการองค์กร (Planning and Organization) การจัดหาและติดตั้ง (Acquisition and Implementation) การส่งมอบและบำรุงรักษา (Delivery and Support) การติดตามผล (Monitoring)
ในแต่ละกระบวนการหลักข้างต้น CoBIT แสดงวัตถุประสงค์ของการควบคุมหลัก ( High-level Control Objectives รวมถึง34 หัวข้อ และในแต่ละหัวข้อจะประกอบด้วยวัตถุประสงค์ของการควบคุมย่อยลงไปอีกขั้นหนึ่ง (Detailed Control Objectives) รวมถึง 318หัวข้อย่อย พร้อมทั้งแนวทางการตรวจสอบ (Audit Guidelines) สำหรับแต่ละหัวข้ออีกด้วย ในแต่ละหัวข้อของวัตถุประสงค์ของการควบคุม CoBITแสดงถึงความสัมพันธ์ต่อปัจจัย 2 ประการ ได้แก่
- คุณภาพของระบบข้อมูล ประการ (Information Criteria)
- ทรัพยากรด้านเทคโนโลยี (IT Resources) 5 ประเภท
นอกจากโครงสร้างของ CoBIT ดังกล่าวข้างต้นแล้ว CoBIT ยังให้แนวทางสำหรับผู้บริหาร (Management Guidelines) เพื่อใช้ในการในการวัดผลการนำ CoBIT ไปใช้ในองค์กร โดยประกอบด้วย 4 ปัจจัยหลัก ได้แก่
• Maturity Model
• Critical Success Factors
• Key Goal Indicators
• Key Performance Indicators

IT Security Audit ตอน 4

2009-10-10T19:19:00.000-07:00

การผสมผสานกระบวนการของ CobiT และ ITIL
ผู้ตรวจสอบมักนำ CobiT มาร่วมใช้งานโดยประกอบกับ ITIL self-assessment workbook เพื่อใช้ในการตรวจสอบการจัดการด้านการบริการของฝ่ายระบบสารสนเทศ CobiT นั้นจะมีองค์ประกอบพวก Key Goal และ Performance Indicators รวมไปถึง Critical Success Factors ของกระบวนการต่างๆ ซึ่งสิ่งนี้จะช่วยเสริมการทำงานของ ITIL เพื่อเป็นพื้นฐานของการจัดการกับกระบวนการของ ITIL จึงทำให้หลายๆองค์กรนั้นนำ Cobit มาใช้ร่วมกับ Framework ในเชิงลึกต่างๆ หลายๆกระบวนการของ CobiT ซึ่งอยู่ใน domain "Delivery & Support" (DS1, DS3, DS4, DS8, DS9 และ DS10) นั้นมีความสอดคล้องกับ กระบวนการของ ITIL เป็นอย่างมาก เช่น Service Level, Configuration, problem, incident, release, capacity, availability หรือ financial management อีกทั้งกระบวนการของ CobiT AI6 change management process เองก็สอดคล้องกับ ITIL ในแง่ของ change management process และ supporting processes อื่นๆเช่น Release management. ITIL นั้นไม่ครอบคลุม การจัดการโครงการ (PO10) แต่ Projects in Controlled Environments (PRINCE2) นั้นสามารถเข้ามาเสริมได้. (PRINCE2 นั้นเป็นมาตรฐานซึ่งเริ่มและใช้โดยรัฐบาลและภาคธุรกิจของอังกฤษ )
กล่าวโดยสรุป CobiT และ ITIL นั้นไม่สามารถแทนที่ซึ่งกันและกันได้ ดังนั้นเพื่อให้ได้ "ไอทีภิบาล" หรือ "IT governance" องค์กรจึงควรที่จะผนวกจุดแข็งของ CobiT และ ITIL เข้าด้วยกัน โดยยึด Framework ด้านการควบคุมของ CobiT เป็นกรอบความคิดในเชิงกว้างจากนั้นจึงนำ ITIL และ Framework อื่นๆเข้าร่วมเพื่อเพิ่มเติมในรายละเอียดของการนำไปปฏิบัติจริงต่อไป (eWeek Thailand ปักษ์แรก ประจำเดือน เดือนพฤษภาคม 2548 , Update Information : 24 มิถุนายน 2548 : http://www.oknation.net/blog/sathorn69/2009/08/20/entry-1)

IT Security Audit ตอน 3

2009-10-10T19:12:00.000-07:00

การเตรียมองค์กรให้พร้อมเข้าสู่ยุค IT Governance ด้วยมาตรฐาน CobiT และ ITIL COBIT
ทุกวันนี้หลายองค์กรในประเทศไทยและทั่วโลก กำลังกล่าวถึงคำว่า "Best Practices" หรือมาตรฐานที่ควรนำมาเป็นแนวทางในการเตรียมระบบสารสนเทศขององค์กรให้พร้อมเข้าสู่ยุค IT Governance โดยที่ "Best Practices" ที่นิยมใช้กันได้แก่ มาตรฐาน ISO/IEC17799, CobiT และ ITIL เป็นต้น มาตรฐาน "CobiT" นั้นย่อมาจาก "Control OBjectives for Information and Related Technology" CobiT นั้นมีจุดประสงค์ในการสร้างความมั่นใจว่าการใช้ทรัพยากรด้านเทคโนโลยีสารสนเทศนั้นสอดคล้องกับวัตุประสงค์เชิงธุรกิจขององค์กร (Business Objectives) เพื่อให้เกิดการใช้ทรัพยากรอย่างมีประสิทธิผลอันจะส่งประโยชน์สูงสุดแก่องค์กร ช่วยให้เกิดความสมดุลย์ระหว่างความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk) และผลตอบแทนของการลงทุนในระบบสารสนเทศ (IT ROI) มารตฐาน CobiT นั้นประกอบด้วยกิจกรรมหลัก 34 หัวข้อซึ่งเชื่อมกับ กิจกรรมย่อยอีก 318 หัวข้อ ซึ่งทำให้เกิด Framework ด้านการตรวจสอบภายในเทคโนโลยีสารสนเทศขึ้น (IT Internal audit) CobiT นั้นเริ่มพัฒนาโดย The Information Systems Audit and Control Association (ISACA) และ IT Governance Institute (ITGI) เป็นผู้ดูแลในปัจจุบัน (ISACA และ ITGI เป็นองค์กรระดับโลกตั้งอยู่ที่ประเทศสหรัฐอเมริกา) โดยเดิมทีตั้งใจให้เป็น Tools หรือ Guideline ของผู้ตรวจสอบระบบสารสนเทศ แต่ต่อมาก็มีการนำไปใช้โดย ผู้บริหารธุรกิจ และ ผู้บริหารระบบสารสนเทศ เนื่องจากในช่วงแรก CobiT นั้นถูกใช้เป็นแนวทางสำหรับการตรวจสอบระบบสารสนเทศ จึงทำให้ผู้บริหารระบบสารสนเทศ มักมองว่า CobiT นั้นเป็นภัยแก่ตน แทนที่จะมองว่าเป็น เครื่องมืออันทรงพลังสำหรับการสื่อสารระหว่างภาคไอทีและภาคธุรกิจ ซึ่งจะเป็นความเข้าใจที่ถูกต้องมากกว่า กระบวนการของ CobiT นั้นสามารถแบ่งได้เป็น 4 หัวข้อใหญ่ๆ ได้แก่
- การวางแผนและจัดการองค์กร (PO : Planning and Organization)
- การจัดหาและติดตั้ง (AI : Acquisition and Implementation)
- การส่งมอบและบำรุงรักษา (DS : Delivery and Support)
- การติดตามผล ( M : monitoring)
CobiT นั้นมีพื้นฐานมาจาก Framework ชั้นนำต่างๆมากมาย ได้แก่ The Software Engineering Institute's Capability Maturity Model (CMM), ISO 9000 และ The Information Technology Infrastructure Library (ITIL) ของประเทศอังกฤษ อย่างไรก็ตาม CobiT นั้นก็ยังขาดในส่วนของ Guideline เพื่อใช้ในทางปฏิบัติเนื่องจาก CobiT เป็น Framework ที่เน้นในเรื่องของ การควบคุม (Control) เป็นหลัก CobiT นั้นมุ่งประเด็นในการบอกว่าองค์กรต้องการอะไรบ้าง (What) แต่ไม่มีรายละเอียดในแง่ของวิธีการที่นำไปสู่จุดนั้น (How) ซึ่งเหมาะกับผู้ตรวจสอบระบบสารสนเทศที่ต้องการนำ CobiT มาใช้เพื่อทำเป็น Check Lists หรือ Audit Program แต่อาจจะยังไม่มีรายละเอียดพอสำหรับ ผู้บริหารธุรกิจ และผู้บริหารระบบสารสนเทศ ซึ่งต้องการนำ CobiT ไปปรับใช้กับองค์กรในทางปฏิบัติ (Practical Implementation) สำหรับมาตรฐาน ITIL นั้น มีวัตถุประสงค์ในการสร้าง "Best Practices" สำหรับกระบวนการของ IT Service Delivery และ Support แต่ไม่ได้เป็นการกำหนด Framework ของการควบคุมในแนวกว้างอย่างที่ CobiT เป็น ITIL นั้นจะมุ่งไปทางการเสนอวิธีการในการปฏิบัติ แต่มีขอบเขตงานเพียงแค่ IT service Management ซึ่งแคบกว่า CobiT มาก ITIL นั้นค่อนข้างลึกในรายละเอียดของกระบวนการทำงาน ซึ่งมีวัตถุประสงค์ที่จะให้ทางฝ่ายระบบสารสนเทศ และ Service Management เป็นผู้นำไปใช้

IT Security Audit ตอน 2

2009-10-10T19:08:00.000-07:00

ความหมายของ "IT Audit" ปรัชญาของ "IT Audit" แตกต่างจากปรัชญาของ "Internal Audit" กล่าวคือ องค์ความรู้ของ "Internal Audit" เน้นเรื่องการประยุกต์ใช้ "COSO Framework" และการมองภาพรวมในลักษณะของ "Enterprise Risk Management" หรือ "ERM" ซึ่งเป็นภาพใหญ่ขององค์กร แต่ "IT Audit" นั้น จะเน้นไปที่ "CobiT Framework" หรือ อีกชื่อหนึ่งคือ "IT Governance Framework" โดยปรัชญาก็คือ การใช้งานระบบสารสนเทศให้สอดคล้อง หรือ "Align" กับวัตถุประสงค์ทางด้านธุรกิจหรือ "Business Objective" ตลอดจน "Governance Objective" ซึ่งได้แก่เรื่อง "Regulatory Compliance" ต่าง ๆ โดยการตรวจสอบระบบสารสนเทศมีลักษณะคล้ายกับการตรวจสอบภายใน ก็คือ การนำหลักการ "GRC" หรือ "Governance , Risk Management and Compliance" มาประยุกต์ใช้ และมีลักษณะการตรวจสอบในแบบ "Risk-Based Approach" แต่การตรวจสอบระบบสารสนเทศจำเป็นต้องมีองค์ความรู้เรื่อง "Information System Audit Process or IS Audit Process" เป็นองค์ความรู้หลัก ซึ่งองค์ความรู้ที่จำเป็นต้องศึกษามีทั้งหมด 6 องค์ความรู้ ได้แก่ 1. IS Audit Process 2. IT Governance 3. Systems and Infrastructure Lifecycle Management 4. IT Service Delivery and Support 5. Protection of Information Assets 6. Business Continuity and Disaster Recovery โดยองค์ความรู้ทั้ง 6 เป็นองค์ความรู้ที่ใช้ในการทดสอบผู้ที่ต้องการได้รับใบรับรองผู้เชี่ยวชาญด้านการตรวจสอบระบบสารสนเทศ หรือ CISA (Certified Information System Auditor) จาก ISACA ผู้ที่สอบผ่าน "CISA" นั้น เป็นการพิสูจน์ในระดับหนึ่งว่ามีความรู้ความเชี่ยวชาญที่สามารถเป็นผู้ตรวจสอบระบบสารสนเทศที่แม่นยำในหลักวิชาการ (เหมือนผู้สอบผ่าน CIA) แต่ก็ยังต้องหาความรู้เฉพาะทางเพิ่มเติมอีก เช่น การตรวจสอบระบบฐานข้อมูล RDBMS เช่น Audit Oracle , Audit MS SQL Server หรือ การตรวจสอบ Network และ System ต่าง ๆ เช่น การตรวจสอบ Microsoft Windows , UNIX/Linux Operating System ,การตรวจสอบ Wireless, การตรวจสอบ Router และ Switching เป็นต้น
จึงสรุปได้ว่า การศึกษาองค์ความรู้พื้นฐานและการสอบผ่าน CIA หรือ CISA นั้นนับเป็น "จุดเริ่มต้นที่ดี" สำหรับการเป็น "ผู้ตรวจสอบภายใน" หรือ "ผู้ตรวจสอบระบบสารสนเทศ" ที่มีประสิทธิภาพสูง แต่ไม่ได้หมายความว่าผู้สอบผ่าน CIA และ CISA จะปฏิบัติงานด้านการตรวจสอบได้ครบทุกเรื่อง เพราะจำเป็นต้องมีความรู้เฉพาะทางในเรื่องต่าง ๆ ดังที่กล่าวมาแล้วในตอนต้น อีกทั้งยังต้องอาศัยประสบการณ์หรือชั่วโมงบินในการตรวจสอบอีกด้วย (http://www.acisonline.net/article/?p=5)

IT Security Audit ตอน 1

2009-10-10T18:42:00.000-07:00

บทนำ

ศักยภาพที่เพิ่มขึ้นของเทคโนโลยีที่ขับเคลื่อนการเปลี่ยนแปลงกระบวนการทำงานที่เกิดขึ้นในองคกร รวมทั้งปรับเปลี่ยนหลักการการจัดการและปฏิบัติงาน ซึ่งกอใหเกิดโอกาสทางธุรกิจใหม ๆ และชวยใหตนทุนลดลง องคกรที่มีการปฏิบัติงานในระบบอัตโนมัตโดยใชเทคโนโลยีเปนตัวขับเคลื่อน จึงจำเปนตองมีกลไกในการบริหารความเสี่ยงและการควบคุมที่ดียิ่งขึ้น โดยเฉพาะการควบคุมทั้งระบบคอมพิวเตอร และ ระบบเครือขาย ทั้งในดานของ ฮารดแวร ซอรฟแวร การควบคุมทั่วไป และการควบคุมระบบงาน เพื่อปองกันความเสี่ยงอันอาจจะเกิดจากการใชเทคโนโลยีไมเต็มประสิทธิภาพหรือใชเทคโนโลยีในทางที่เหมาะสม ในปัจจุบันการควบคุมภายในระบบสารสนเทศขององคกรยังไมมีประสิทธิภาพเพียงพอตอการดำเนินงาน เนื่องจากนโยบายการบริหารการเปลี่ยนแปลงที่ไมเหมาะสม การกำหนดหนาที่และความรับผิดชอบในการปฏิบัติงานไมชัดเจน การบริหารจัดการกำลังคนและการพัฒนาทักษะความรูความสามารถทางดานเทคโนโลยีและสารสนเทศของบุคลากรมีไมเพียงพอ การขาดเทคโนโลยีที่ทันสมัย มีความพรอมใช และเหมาะสมกับระบบสารสนเทศขององคกร และนโยบายดานการรักษาความปลอดภัยและความลับของขอมูลไมครอบคลุมเพียงพอ สงผลให ระบบสารสนเทศไมสามารถตองสนองตอความตองการขององคกรไดอยางเต็มประสิทธิภาพ

การตรวจสอบความปลอดภัยทางสารสนเทศ (IT Security Audit) ตามแนวทาง CoBit หรือ IT Governance จึงเป็นความจำเป็นที่องค์กรยุคใหม่จะต้องปฏิบัติเพื่ความมั่นคงปลอดภัยในระบบ IT ขององค์กรให้มีประสิทธิภาพอย่างดีที่สุด

Free TextEditor

ระบบสารสนเทศในสถานศึกษา

2009-10-07T06:33:00.000-07:00

ระบบสารสนเทศในสถานศึกษา ( School Management Information System)

ความหมายและบทบาทของระบบสารสนเทศ
ระบบสารสนเทศ (Information System หรือ IS) คือระบบแบบเฉพาะเจาะจงชนิดหนึ่ง ซึ่งอาจกล่าวได้ว่าเป็นกลุ่มของส่วนประกอบพื้นฐานต่างๆ ที่ทำงานเกี่ยวข้องกันในการเก็บ (นำเข้า), จัดการ (ประมวลผล) และเผยแพร่(แสดงผล) ข้อมูลและสารสนเทศและสนับสนุนกลไกลของผลสะท้อนกลับ เพื่อให้บรรลุตามวัตถุประสงค์

ส่วนประกอบของระบบสารสนเทศ
1. ส่วนที่นำเข้า (Inputs) ได้แก่การรวบรวมและการจัดเตรียมข้อมูลดิบ ส่วนที่นำเข้านี้สามารถมีได้หลายรูปแบบไม่ว่าจะเป็นการโทรเข้าเพื่อขอข้อมูลในระบบสอบถามเบอร์โทรศัพท์ ข้อมูลที่ลูกค้ากรอกในใบ สอบถามการให้บริการของร้านค้าฯลฯ ขึ้นอยู่กับส่วนแสดงผลที่ต้องการ ส่วนที่นำเข้านี้อาจเป็นขบวนการที่ทำด้วยตัวเองหรือเป็นแบบอัตโนมัติก็ได้ เช่นการอ่านข้อมูลรายชื่อสินค้าและรายราคาโดยเครื่องอ่าน บาร์โค้ดของห้างสรรพสินค้า จัดเป็นส่วนที่นำเข้าแบบอัตโนมัติ
2. การประมวลผล (Processing) เกี่ยวข้องกับการเปลี่ยนและการแปลงข้อมูลให้อยู่ในรูปของส่วนแสดงผลที่มีประโยชน์ ตัวอย่างของการประมวลผลได้แก่การคำนวณ การเปรียบเทียบ การเลือกทางเลือกในการปฏิบัติงานและการเก็บข้อมูลไว้ใช้ในอนาคต โดยการประมวลผลสามารถทำได้ด้วยตนเองหรือสามารถใช้คอมพิวเตอร์เข้ามาช่วยก็ได้ ตัวอย่างเช่น ระบบคิดเงินเดือนพนักงาน สามารถคิดได้จากการนำจำนวน ชั่วโมงการทำงานของพนักงานคูณเข้ากับอัตราค่าจ้างเพื่อให้ได้ยอดเงินรวมที่ต้องจ่ายรวม ถ้าชั่วโมงการทำงานรายสัปดาห์มากกว่า 40 ชั่วโมงอาจมีการคิดเงินล่วงเวลาให้ โดยเพิ่มเข้าไปกับเงินรวม จากนั้นอาจจะทำการหักภาษีพนักงาน โดยการนำเงินรวมมาคิดภาษีและนำเงินรวมมาลบด้วยภาษีที่คำนวณได้ จะทำให้ได้เงินสุทธิที่ต้องจ่ายให้กับพนักงาน
3. ส่วนที่แสดงผล (Outputs) เกี่ยวข้องกับการผลิตสารสนเทศที่มีประโยชน์ มักจะอยู่ในรูปของเอกสาร หรือรายงานหรืออาจะเป็นเช็คที่จ่ายให้กับพนักงาน รายงานที่นำเสนอผู้บริหารและสารสนเทศที่ถูกผลิตออกมาให้กับผู้ถือหุ้น ธนาคาร หรือกลุ่มอื่นๆ โดยส่วนแสดงผลของระบบหนึ่งอาจใช้เป็นส่วนที่นำเข้าเพื่อควบคุมระบบหรืออุปกรณ์อื่นๆ ก็ได้ เช่นในขบวนการผลิตเฟอร์นิเจอร์ พนักงานขาย ลูกค้า และ นักออกแบบเฟอร์นิเจอร์อาจจะทำการออกแบบเฟอร์นิเจอร์ซ้ำแล้วซ้ำเล่า เพื่อให้ตรงตามความต้องการของลูกค้า โดยอาจจะใช้ซอฟต์แวร์หรือฮาร์ดแวร์คอมพิวเตอร์เข้ามาช่วยในการออกแบบนี้ด้วย จนกระทั่งได้ต้นแบบที่ตรงความต้องการมากที่สุด จึงส่งแบบนั้นไปทำการผลิต จะเห็นว่าแบบเฟอร์นิเจอร์ที่ได้จากการออกแบบแต่ละครั้งจะเป็นส่วนที่ถูกนำไปปรับปรุงการออกแบบในครั้งต่อๆ ไป จนกระทั่งได้แบบ สุดท้ายออกมา อาจอยู่ในรูปของสิ่งพิมพ์ที่ออกมาจากเครื่องพิมพ์หรือแสดงอยู่บนหน้าจอคอมพิวเตอร์ที่เป็นอุปกรณ์แสดงผลตัวหนึ่งหรืออาจจะอยู่ในรูปของรายงานและเอกสารที่เขียนด้วยมือก็ได้
4. ผลสะท้อนกลับ (Feedback) คือส่วนแสดงผลที่ใช้ในการทำให้เกิดการเปลี่ยนแปลงต่อส่วนที่นำเข้าหรือส่วนประมวลผล เช่น ความผิดพลาดหรือปัญหาที่เกิดขึ้น อาจจำเป็นต้องแก้ไขข้อมูลนำเข้าหรือทำการเปลี่ยนแปลงการประมวลผลเพื่อให้ได้ส่วนแสดงผลที่ถูกต้อง ตัวอย่างเช่น ระบบการจ่ายเงินเดือนพนักงาน ถ้าทำการป้อนชั่วโมงการทำงานรายสัปดาห์เป็น 400 แทนที่จะเป็น 40 ชั่วโมง ถ้าทำการกำหนดให้ระบบตรวจสอบค่าชั่วโมงการทำงานให้อยู่ในช่วง 0-100 ชั่วโมง ดังนั้นเมื่อพบข้อมูลนี้เป็น 400 ชั่วโมง ระบบจะทำการส่งผลสะท้อนกลับออกมา อาจจะอยู่ในรูปของรายงานความผิดพลาด ซึ่งสามารถนำไปใช้ในการตรวจสอบและแก้ไขจำนวนชั่วโมงการทำงานที่นำเข้ามาคำนวณให้ถูกต้องได้

ระบบสารสนเทศที่ใช้คอมพิวเตอร์ (Computer-Based Information Systems : CBIS)
ระบบสารสนเทศที่ใช้คอมพิวเตอร์ประกอบด้วย ฮาร์ดแวร์ (Hardware), ซอฟต์แวร์ (Software), ข้อมูล(Data), บุคคล (People), ขบวนการ (Procedure) และการสื่อสารข้อมูล (Telecommunication) ซึ่งถูกกำหนดขึ้นเพื่อทำการรวบรวม, จัดการ จัดเก็บและประมวลผลข้อมูลให้เป็นสารสนเทศ

1. ฮาร์ดแวร์ คืออุปกรณ์ทางกายภาพ ที่ใช้ในการรวบรวม การนำเข้า และการจัดเก็บข้อมูล, ประมวลผล ข้อมูลให้เป็นสารสนเทศ และแสดงสารสนเทศที่เป็นผลลัพธ์ออกมา
2. ซอฟต์แวร์ ประกอบด้วยกลุ่มของโปรแกรมที่ใช้ในการปฏิบัติงานร่วมกับฮาร์ดแวร์และใช้ในการประมวลผลข้อมูลเป็นสารสนเทศ
3. ข้อมูล ในส่วนนี้หมายถึงข้อมูลและสารสนเทศที่ถูกเก็บอยู่ในฐานข้อมูล โดยฐานข้อมูล (Database) หมายถึงกลุ่มของค่าความจริงและสารสนเทศที่มีความเกี่ยวข้องกันนั่นเอง
4. บุคคล หมายถึงบุคคลที่ใช้งานและปฏิบัติงานร่วมกับระบบสารสนเทศ
5. ขบวนการ หมายถึงกลุ่มของคำสั่งหรือกฎ ที่แนะนำวิธีการปฏิบัติงานกับคอมพิวเตอร์ในระบบสารสนเทศ ซึ่งอาจได้แก่การแนะนำการควบคุมการเข้าใช้งานคอมพิวเตอร์, วิธีการสำรองสารสนเทศในระบบและวิธีจัดการกับปัญหาที่อาจเกิดขึ้นได้
6. การสื่อสารข้อมูล หมายถึงการส่งสัญญาณอิเล็กทรอนิกส์เพื่อติดต่อสื่อสาร และช่วยให้องค์กรสามารถเชื่อมระบบคอมพิวเตอร์เข้ากับระบบเครือข่าย (Network) ที่มีประสิทธิภาพได้ โดยเครือข่ายใช้ในการเชื่อมต่อคอมพิวเตอร์และอุปกรณ์คอมพิวเตอร์ไว้ด้วยกัน อาจจะเป็นภายในอาคารเดียวกัน ในประเทศเดียวกัน หรือทั่วโลก เพื่อให้สามารถสื่อสารข้อมูลอิเล็กทรอนิกส์ได้
(http://irrigation.rid.go.th/rid15/ppn/Knowledge/Management%20Information%20Systems/mis2.htm)

คุณลักษณะที่ดีของสารสนเทศ
1. ใช้ง่าย ใช้เวลาเรียนรู้น้อย
2. ผิดพลาดน้อย (Error rate)
3. เมื่อมีข้อบกพร่อง สามารถแก้ไขได้เร็ว (MTBF)
4. เก็บรวบรวมข้อสนเทศที่เกิดจากการปฎิบัติงานตามปกติ
5. ให้ข้อสนเทศได้ครบถ้วน ถูกต้อง ทันเวลา

ระบบสารสนเทศในสถานศึกษา ประกอบด้วยระบบงานต่าง ๆ ดังนี้
1. การวางแผนจัดการเรียนการสอนและอัตรากำลัง
2. การจัดชั้นเรียนตามความต้องการของผู้เรียน วิชาเลือกเสรี พื้นฐานอาชีพ
3. การจัดกิจกรรมการศึกษาเพื่อสนองตอบความต้องการของชุมชน
4. การจัดทำทะเบียนประวัติ และพัฒนาการของนักเรียน
5. การวัดวิเคราะห์และประเมินผลการเรียน
6. ธนาคารข้อสอบ
7. ระบบงานห้องสมุด
8. ระบบงานปกครอง
9. ระบบงานบุคลากร
10. ระบบงานธุรการ การเงิน และพัสดุ
11. ระบบสาธารณูปโภค อาคารสถานที่
12. ระบบงานแนะแนว
13. ระบบงานสหกรณ์/สวัสดิการ
14. ระบบงานสุขอนามัยและโภชนาการ
15. ระบบแผนงานและโครงการ
(รุ่งแสง อรุณไพโรจน์ และ สมชาติ หรั่งเจริญ)

ติดตั้ง PhpMyAdmin

2009-08-19T17:50:00.000-07:00

cd /usr/ports/databases/phpmyadmin
make install

รายงานหลังจากติดตั้งเสร็จแล้ว
phpMyAdmin-2.9.0.2 has been installed into:

/usr/local/www/phpMyAdmin

Please edit config.inc.php to suit your needs.

To make phpMyAdmin available through your web site, I suggest
that you add something like the following to httpd.conf:

Alias /phpmyadmin/ "/usr/local/www/phpMyAdmin/"

Options none
AllowOverride Limit

Order Deny,Allow
Deny from all
Allow from 127.0.0.1 .example.com

===> Registering installation for phpMyAdmin-2.9.0.2

asterisk ไม่ทำงาน

2009-08-13T22:17:00.000-07:00

ตอนเช้าของทุกวัน asterisk จะค้างไม่ทำงาน โทรออกไม่ได้ reboot ก็ยังเหมือนเดิม ต้อง shutdown เครื่องประมาณ 2-3 นาที แล้ว boot ใหม่กลับใช้ได้ปกติ เมื่อ login ที่ terminal จะมีข้อความตามรูปนี้ครับ ยังไม่รู้จะแก้ยังไง

บันทึกช่วยจำ :VoIP : sip.conf

2009-06-06T22:56:00.000-07:00

ระหว่างที่รออบรมกับอาจารย์ 27-28 นี้ ก็เลยลอง config ตามหนังสือไปพลาง ๆ ก่อน กับ Server Acer Altos G330 Mk2 ใส่ X400P เข้าไป
ลง freeBSD6.2 และ asterisk ตามหนังสือเรียบร้อย วันนี้มีเวลา เลยเริ่ม config ไฟล์ต่าง ๆ เริ่มที่ pico /usr/local/etc/asterisk/sip.conf ตามนี้ครับ (ตั้งเลขหมายตามห้องและอาคารต่าง ๆ )
[general]
context=default
port=5060
externhost=thanyarat.ac.th ; ชื่อ domain ของเรา
localnet=192.168.212.0/255.255.255.0 ; ไอพีของเน็ตเวิร์คเราครับ
nat=yes

[111]
type=friend
host=dynamic
username=111
secret=111
[112]
type=friend
host=dynamic
username=112
secret=112
[113]
type=friend
host=dynamic
username=113
secret=113
[114]
type=friend
host=dynamic
username=114
secret=114
[121]
type=friend
host=dynamic
username=121
secret=121
[122]
type=friend
host=dynamic
username=122
secret=122
[123]
type=friend
host=dynamic
username=123
secret=123
[124]
type=friend
host=dynamic
username=124
secret=124
[125]
type=friend
host=dynamic
username=125
secret=125
[126]
type=friend
host=dynamic
username=126
secret=126
[127]
type=friend
host=dynamic
username=127
secret=127
[128]
type=friend
host=dynamic
username=128
secret=128
[133]
type=friend
host=dynamic
username=133
secret=133
[134]
type=friend
host=dynamic
username=134
secret=134
[135]
type=friend
host=dynamic
username=135
secret=135
[136]
type=friend
host=dynamic
username=136
secret=136
[141]
type=friend
host=dynamic
username=141
secret=141
[143]
type=friend
host=dynamic
username=143
secret=143
[211]
type=friend
host=dynamic
username=211
secret=211
[212]
type=friend
host=dynamic
username=212
secret=212
[213]
type=friend
host=dynamic
username=213
secret=213
[214]
type=friend
host=dynamic
username=214
secret=214
[221]
type=friend
host=dynamic
username=221
secret=221
[222]
type=friend
host=dynamic
username=222
secret=222
[223]
type=friend
host=dynamic
username=223
secret=223
[224]
type=friend
host=dynamic
username=224
secret=224
[226]
type=friend
host=dynamic
username=226
secret=226
[230]
type=friend
host=dynamic
username=230
secret=230
[234]
type=friend
host=dynamic
username=234
secret=234
[240]
type=friend
host=dynamic
username=240
secret=240
[316]
type=friend
host=dynamic
username=316
secret=316
[326]
type=friend
host=dynamic
username=326
secret=326
[411]
type=friend
host=dynamic
username=411
secret=411
[421]
type=friend
host=dynamic
username=421
secret=421
[422]
type=friend
host=dynamic
username=422
secret=422
[426]
type=friend
host=dynamic
username=426
secret=426
[436]
type=friend
host=dynamic
username=436
secret=436
[446]
type=friend
host=dynamic
username=446
secret=446
[520]
type=friend
host=dynamic
username=520
secret=520
[531]
type=friend
host=dynamic
username=531
secret=531
[532]
type=friend
host=dynamic
username=532
secret=532
[533]
type=friend
host=dynamic
username=533
secret=533
[534]
type=friend
host=dynamic
username=534
secret=534
[540]
type=friend
host=dynamic
username=540
secret=540
[541]
type=friend
host=dynamic
username=541
secret=541
[550]
type=friend
host=dynamic
username=550
secret=550
[560]
type=friend
host=dynamic
username=560
secret=560
[570]
type=friend
host=dynamic
username=570
secret=570
[580]
type=friend
host=dynamic
username=580
secret=580
[590]
type=friend
host=dynamic
username=590
secret=590

ติดตั้ง SIS6.0.1 ให้กับโรงเรียนประถม

2009-05-09T00:56:00.000-07:00

เมื่อวันที่ 7/5/52 ที่ผ่านมา ได้ฤกษ์ไปติดตั้ง Linux sis6.0.1 (http://www.opentle.org)ให้กับ โรงเรียนระดับประถมศึกษาแห่งหนึ่งซึ่งได้รับงบประมาณ จาก สพฐ. มี server พร้อม M$-2003Server และ เครื่อง cient รวมแล้วประมาณ 20 เครื่อง หลังจากติดตั้งเสร็จซึ่งใช้เวลาไม่ถึง 30 นาที ก็ปรับแต่ง เปิดบริการ DNS proxy dhcp ก็ใช้งานได้เลย ไม่เปิดการตรวจสอบตัวตนตาม พรบ. เพราะเกรงว่าจะทำความยุ่งยากให้กับผู้ใช้งานครับ ง่ายดีครับ สำหรับผู้ต้องการทำ Server องค์กรขนาดไม่ใหญ่มาก

โครงสร้างโลก

2009-04-30T05:47:00.001-07:00

ยินดีต้อนรับสู่ InnoTech4All

2009-04-15T23:43:00.000-07:00

ยินดีต้อนรับสู่ InnoTech4All สำหรับสมาชิก TCU e-pro ทุกท่านครับ