สวนที่ ๙
               การใชงานระบบรักษาความปลอดภัยเครือขายคอมพิวเตอรไฟรวอลล (Use of Firewall)


               วัตถุประสงค
                        เพื่อใหผูใชที่อยูภายในองคกรสามารถใชบริการเครือขายภายในไดเต็มที่และใชบริการเครือขาย
               ภายนอก เชน อินเทอรเน็ตได ในขณะที่ไฟรวอลลจะปองกันไมใหผูใชภายนอกเขามาใชบริการเครือขายที่อยู

               ขางใน ไฟรวอลลสามารถควบคุมการใชเครือขายได โดยอนุญาตหรือไมอนุญาตใหแพ็กเก็ตผานไดซึ่งแพ็กเก็ต
               ที่อนุญาตใหผานหรือไมนี้จะขึ้นอยูกับนโยบายการรักษาความปลอดภัย (Security Policy) ของเครือขาย
               ไฟรวอลเปนระบบที่บังคับใชนโยบายการรักษาความปลอดภัยระหวางเครือขาย โดยหลักการแลวไฟรวอลล

               จะทำงานอยู ๒ กลไก คือ การอนุญาตหรือไมอนุญาตใหแพ็กเก็ตผาน ถาเครือขายองคกรนั้นมีการเชื่อมตอ
               โดยตรงกับอินเทอรเน็ตโดยที่ไมมีไฟรวอลลเปนการเปดชองโหวใหเครือขายสามารถถูกโจมตี หรือบุกรุก
               ไดอยางงายดาย ตัวอยางเชน เครือขายมีโฮสตหรือเซิรฟเวอรมากกวารอยเครื่อง ถาผูบุกรุกเครือขายสามารถ
               บุกรุกเขาเครื่องใดเครื่องหนึ่งได ตอไปนี้ก็ไมเปนการยากที่จะบุกรุกเขาไปยังเครื่องอื่นๆ การติดตั้งไฟรวอลล
               จะเปนการปองกันผูบุกรุกไดในระดับหนึ่ง


               แนวปฏิบัติ
                        ๙.๑ ผูดูแลระบบตองเฝาระวังและบริหารจัดการระบบรักษาความปลอดภัย (Firewall)

                        ๙.๒ ผูดูแลระบบตองกำหนดนโยบาย (Policy) การใชงานไฟรวอลล
                        ๙.๓ ผูดูแลระบบตองจัดใหมีระบบตรวจสอบตัวตนจริง และสิทธิ์การเขาใชงานของผูใชงาน
               (Identification and Authentication) กอนเขาสูระบบงานคอมพิวเตอรที่รัดกุมเพียงพอ เชน การกำหนด
               รหัสผาน (Password) ใหยากแกการคาดเดา เปนตน หรือใชการยืนยันตัวตนโดยหลายปจจัย (MFA) เพิ่มเติม
                        ๙.๔ ผูดูแลระบบตองกำหนดคา (Configuration) หรือกำหนดนโยบาย (Policy) เพื่อกลั่นกรอง

               ขอมูลที่มาทางเว็บไซตใหมีความปลอดภัยตอระบบสารสนเทศและเครือขายคอมพิวเตอรของกรมพัฒนาที่ดิน
               ปองกันผูบุกรุก ไวรัส รวมทั้ง malicious code ตางๆ มิใหเขาถึง (Access Risk) หรือสรางความเสียหาย
               (Availability Risk) แกขอมูลหรือการทำงานของระบบคอมพิวเตอร

                        ๙.๕ ผูดูแลระบบตองกำหนดขั้นตอนหรือวิธีปฏิบัติ ในการตรวจสอบการรักษาความปลอดภัยระบบ
               คอมพิวเตอรแมขาย และในกรณีที่พบวามีการใชงานหรือเปลี่ยนแปลงคา Parameter ในลักษณะที่ผิดปกติ
               ตองดำเนินการแกไข รวมทั้งมีการรายงานผูบังคับบัญชาโดยทันที
                        ๙.๖ การเปดใชบริการ (Service) ตองไดรับอนุญาตจากผูอำนวยการศูนยเทคโนโลยีสารสนเทศและ

               การสื่อสาร ทั้งนี้หากบริการที่จำเปนตองใชมีความเสี่ยงตอระบบรักษาความปลอดภัย ผูดูแลระบบตองกำหนด
               มาตรการปองกันเพิ่มเติม
                        ๙.๗ ผูดูแลระบบตองเปดใชงานไฟรวอลลตลอดเวลา
                        ๙.๘ ผูดูแลระบบตองออกจากระบบงาน (Log Out) ในชวงเวลาที่มิไดอยูปฏิบัติงานที่หนาเครื่อง

               คอมพิวเตอรทุกครั้ง
                        ๙.๙ ผูดูแลระบบตองกำหนดใหมีการควบคุมการใชงาน โดยการจัดใหมีบัญชีผูใชงาน







                                        นโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยดานสารสนเทศ กรมพัฒนาที่ดิน
                                                                                                       ๓๒