คู่มือการใช้งานและการรักษาความปลอดภัยระบบเครือข่ายสารสนเทศ บทที่ 2 โครงสร้างระบบเครือข่ายสารสนเทศ
"การใช้งานและการรักษาความปลอดภัยระบบเครือข่ายสารสนเทศ" เป็นสิ่งที่จำเป็นสำหรับผู้ที่มีหน้าที่ดูแลศูนย์สานสรเทศ การจัดทำคู่มือควรออกแบบให้สอดคล้องกับ แนวนโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ (Information Security Policy)
แนวทางจัดทำคู่มือ "การใช้งานและการรักษาความปลอดภัยระบบเครือข่ายสารสนเทศ" นี้จัดทำขึ้น เพื่อให้บุคลากรทุกคนที่ใช้งานระบบเครือข่ายสารสนเทศขององค์กร มีความรู้ความเข้าใจในหลักการและแนวปฏิบัติที่ถูกต้อง เพื่อให้มั่นใจได้ว่าการจัดทำคู่มือเพื่อใช้ในงานระบบเครือข่ายจะเป็นไปอย่างมีประสิทธิภาพ ปลอดภัย และสอดคล้องกับ นโยบายความมั่นคงปลอดภัยด้านสารสนเทศขององค์กร ควรเขียนครอบคลุมหัวข้อให้ครอบคลุม การอธิบายระบบการทำงาน แนวการใช้งานระบบ การควบคุมความเสี่ยงระบบ และการปฏิบัติในภาวะฉุกเฉิน โดยผู้สนใจอาจดูเป็นแนวทางตัวอย่างแล้วนำไปปรับปรุงให้เหมาะสมกับงานที่มี ตัวอย่างคู่มือบทที่ 1 มีดังนี้
.
บทที่ 2 โครงสร้างระบบเครือข่ายสารสนเทศ
ระบบเครือข่ายสารสนเทศ เป็นโครงสร้างพื้นฐานสำคัญที่เชื่อมโยงอุปกรณ์คอมพิวเตอร์ ผู้ใช้งาน และระบบงานต่าง ๆ เข้าด้วยกัน เพื่อสนับสนุนการทำงานและการแลกเปลี่ยนข้อมูลขององค์กรอย่างมีประสิทธิภาพ การออกแบบโครงสร้างเครือข่ายที่ดีต้องคำนึงถึงความเร็ว ความเสถียร ความปลอดภัย และความสามารถในการขยายระบบในอนาคต บทนี้จะอธิบายถึงโครงสร้างพื้นฐานและส่วนประกอบสำคัญของระบบเครือข่ายสารสนเทศขององค์กรอย่างละเอียด เพื่อให้ผู้ใช้งานมีความเข้าใจในภาพรวมของการทำงานของระบบ ซึ่งเป็นสิ่งจำเป็นสำหรับการใช้งานและการรักษาความปลอดภัยของข้อมูล
2.1 สถาปัตยกรรมเครือข่ายขององค์กร
สถาปัตยกรรมเครือข่ายขององค์กร คือ การออกแบบและจัดวางโครงสร้างของระบบเครือข่ายทั้งหมด เพื่อให้มั่นใจถึงประสิทธิภาพ ความน่าเชื่อถือ และความมั่นคงปลอดภัยในการรับส่งข้อมูลและการเข้าถึงทรัพยากร
- เครือข่ายภายใน (Local Area Network - LAN)
วัตถุประสงค์ เชื่อมต่ออุปกรณ์ภายในพื้นที่ทางกายภาพเดียวกัน เช่น สำนักงาน, อาคาร หรือวิทยาเขต
ส่วนประกอบหลัก: คอมพิวเตอร์ส่วนบุคคล (PCs), เครื่องพิมพ์ (Printers), เซิร์ฟเวอร์ (Servers), สวิตช์ (Switches), จุดเชื่อมต่อไร้สาย (Wireless Access Points - WAPs)
ลักษณะ: มักมีการรับส่งข้อมูลความเร็วสูงภายในเครือข่ายเดียวกัน
- เครือข่ายไร้สาย (Wireless Local Area Network - WLAN)
วัตถุประสงค์: อำนวยความสะดวกในการเชื่อมต่อแบบไร้สายสำหรับอุปกรณ์พกพา เช่น โน้ตบุ๊ก, สมาร์ทโฟน, แท็บเล็ต
ส่วนประกอบหลัก: จุดเชื่อมต่อไร้สาย (WAPs), ตัวควบคุมเครือข่ายไร้สาย (Wireless Controllers)
ความปลอดภัย: มีการใช้โปรโตคอลการเข้ารหัสที่แข็งแกร่ง (เช่น WPA2/WPA3-Enterprise) และการพิสูจน์ตัวตนผู้ใช้งาน เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
- เครือข่ายบริเวณกว้าง (Wide Area Network - WAN)
วัตถุประสงค์: เชื่อมโยงเครือข่าย LAN ที่อยู่ห่างไกลกัน เช่น ระหว่างสำนักงานใหญ่กับสาขา หรือเชื่อมต่อไปยังบริการคลาวด์ภายนอก
ส่วนประกอบหลัก: เราเตอร์ (Routers), วงจรเช่า (Leased Lines), VPN (Virtual Private Networks) ผ่านอินเทอร์เน็ต, MPLS (Multiprotocol Label Switching)
ลักษณะ: มักใช้สำหรับการสื่อสารระยะไกลและต้องพึ่งพาผู้ให้บริการเครือข่าย
- การเชื่อมต่ออินเทอร์เน็ต (Internet Connectivity)
วัตถุประสงค์: เป็นช่องทางหลักในการเข้าถึงข้อมูลและบริการจากเครือข่ายภายนอก
ส่วนประกอบหลัก: เราเตอร์, ไฟร์วอลล์ (Firewall), ระบบกรองเนื้อหา (Content Filtering Systems)
ความสำคัญ: เป็นจุดเชื่อมต่อที่สำคัญที่สุดที่ต้องได้รับการปกป้องสูงสุดจากการโจมตีจากภายนอก
- โซลูชันคลาวด์ (Cloud Solutions)
วัตถุประสงค์: การใช้บริการและโครงสร้างพื้นฐานด้านไอทีที่โฮสต์โดยผู้ให้บริการภายนอก (เช่น SaaS, PaaS, IaaS)
ส่วนประกอบ: แอปพลิเคชันบนคลาวด์ (เช่น Office 365, Google Workspace), เซิร์ฟเวอร์เสมือนบนคลาวด์, ระบบจัดเก็บข้อมูลบนคลาวด์
ความปลอดภัย: ต้องมีการกำหนดค่าความปลอดภัยที่เหมาะสมกับบริการคลาวด์ และตรวจสอบการปฏิบัติตามข้อกำหนดของผู้ให้บริการ
สถาปัตยกรรมเครือข่ายขององค์กร เป็นรูปแบบการจัดวางและเชื่อมต่อระบบต่าง ๆ ในองค์กร โดยแบ่งออกเป็น 3 ชั้นหลักตามมาตรฐานการออกแบบ (Hierarchical Network Design) ได้แก่
1) Core Layer ชั้นแกนกลางเครือข่าย ทำหน้าที่เชื่อมโยงการสื่อสารระหว่างเครือข่ายย่อยต่าง ๆ ภายในองค์กร เน้นความเร็วสูง ความเสถียร และปริมาณการรับส่งข้อมูลที่มาก มักใช้สวิตช์ระดับสูง (Core Switch) ที่รองรับการจัดการทราฟฟิกจำนวนมาก
2) Distribution Layer ชั้นกระจายเครือข่าย ทำหน้าที่เป็นตัวกลางระหว่าง Core Layer และ Access Layer มีหน้าที่จัดการการควบคุมการเข้าถึง (Access Control), Routing, Filtering เหมาะกับการติดตั้ง Firewall, Router หรือ Load Balancer
3) Access Layer ชั้นเข้าถึงของผู้ใช้งาน เป็นชั้นที่เชื่อมต่อกับอุปกรณ์ผู้ใช้งานโดยตรง เช่น คอมพิวเตอร์, เครื่องพิมพ์, โทรศัพท์ IP เป็นจุดเชื่อมต่อแบบมีสายหรือไร้สาย (LAN/WLAN) ต้องรองรับความปลอดภัยพื้นฐาน เช่น Port Security, VLAN Segmentation
2.2 ประเภทของระบบและอุปกรณ์เครือข่าย
การทำงานของเครือข่ายอาศัยอุปกรณ์และระบบต่าง ๆ ที่มีหน้าที่เฉพาะ
- เราเตอร์ (Router) ทำหน้าที่เชื่อมต่อเครือข่ายต่าง ๆ เข้าด้วยกัน (เช่น LAN กับ WAN) และส่งต่อแพ็กเก็ตข้อมูลระหว่างเครือข่ายโดยพิจารณาจากที่อยู่ IP ความสำคัญด้านความปลอดภัยเป็นจุดควบคุมการเข้าออกของข้อมูลระหว่างเครือข่าย สามารถกำหนดกฎการเข้าถึง (Access Control Lists - ACLs) เพื่ออนุญาตหรือปฏิเสธการจราจรข้อมูลที่ไม่พึงประสงค์
- สวิตช์ (Switch) ทำหน้าที่เชื่อมต่ออุปกรณ์ปลายทาง (End Devices) ภายในเครือข่าย LAN เดียวกัน โดยส่งข้อมูลไปยังพอร์ตของอุปกรณ์ปลายทางที่ถูกต้องโดยอาศัยที่อยู่ MAC Address ความสำคัญด้านความปลอดภัยสามารถแบ่ง VLAN (Virtual Local Area Network) เพื่อแยกการจราจรข้อมูล ลดการแพร่กระจายของภัยคุกคาม และจำกัดการเข้าถึงทรัพยากร
- ไฟร์วอลล์ (Firewall) หน้าที่เป็นอุปกรณ์หรือซอฟต์แวร์ที่ทำหน้าที่เป็นกำแพงกั้นระหว่างเครือข่ายที่เชื่อถือได้ (ภายใน) และเครือข่ายที่ไม่น่าเชื่อถือ (ภายนอก) โดยจะตรวจสอบและควบคุมการรับส่งข้อมูลตามชุดกฎที่กำหนดไว้ ความสำคัญด้านความปลอดภัยเป็นปราการด่านแรกในการป้องกันการโจมตีจากภายนอก และควบคุมการจราจรภายในเครือข่าย
- จุดเชื่อมต่อไร้สาย (Wireless Access Point - WAP) หน้าที่เป็นอุปกรณ์ที่ช่วยให้อุปกรณ์ไร้สายสามารถเชื่อมต่อเข้ากับเครือข่ายแบบมีสายได้ ความสำคัญด้านความปลอดภัยต้องมีการกำหนดค่าความปลอดภัยที่เหมาะสม เช่น การซ่อน SSID, การใช้รหัสผ่านที่แข็งแกร่ง (WPA2/WPA3), และการใช้การพิสูจน์ตัวตนแบบ 802.1X
- ระบบตรวจจับและป้องกันการบุกรุก (Intrusion Detection System - IDS / Intrusion Prevention System - IPS)
IDS (ตรวจจับ): ตรวจสอบการจราจรข้อมูลในเครือข่ายเพื่อหาพฤติกรรมที่ผิดปกติหรือรูปแบบการโจมตีที่รู้จัก และแจ้งเตือนผู้ดูแลระบบ
IPS (ป้องกัน): มีความสามารถเช่นเดียวกับ IDS แต่สามารถตอบสนองและป้องกันการโจมตีได้ทันทีโดยอัตโนมัติ เช่น บล็อกการเชื่อมต่อที่เป็นอันตราย
ความสำคัญด้านความปลอดภัยเพิ่มระดับการป้องกันอีกชั้นหนึ่ง โดยเฉพาะกับการโจมตีที่ผ่านไฟร์วอลล์เข้ามาได้
- พร็อกซีเซิร์ฟเวอร์ (Proxy Server) ทำหน้าที่เป็นตัวกลางระหว่างผู้ใช้งานกับอินเทอร์เน็ต โดยรับคำขอจากผู้ใช้งานและส่งต่อไปยังปลายทางภายนอก แล้วส่งผลลัพธ์กลับคืน ความสำคัญด้านความปลอดภัยช่วยในการควบคุมการเข้าถึงเว็บไซต์ กรองเนื้อหาที่ไม่เหมาะสม และสามารถเก็บบันทึกการจราจรข้อมูลของผู้ใช้งานเพื่อการตรวจสอบ
องค์ประกอบสำคัญของระบบเครือข่าย ประกอบด้วยฮาร์ดแวร์และซอฟต์แวร์หลากหลายชนิด โดยสามารถจำแนกได้ดังนี้
(1) ระบบเครือข่ายหลัก (Network Systems)
LAN (Local Area Network): ใช้ภายในพื้นที่จำกัด เช่น อาคารสำนักงาน
WAN (Wide Area Network): เชื่อมโยงสำนักงานหลายแห่งผ่านอินเทอร์เน็ตหรือวงจรสื่อสารเฉพาะ
Wireless Network: ระบบเครือข่ายแบบไร้สาย (Wi-Fi) สำหรับการใช้งานที่ยืดหยุ่น
(2) อุปกรณ์เครือข่ายหลัก (Network Devices)
Router: สำหรับกำหนดเส้นทางการส่งข้อมูลระหว่างเครือข่าย
Switch: ใช้เชื่อมต่ออุปกรณ์ภายใน LAN เข้าด้วยกัน
Firewall: ทำหน้าที่ควบคุมการเข้าถึงจากภายนอกและป้องกันภัยคุกคาม
Access Point (AP): กระจายสัญญาณ Wi-Fi ให้กับอุปกรณ์ไร้สาย
Network Server: เครื่องแม่ข่ายที่ทำหน้าที่บริการข้อมูล บริการระบบ หรือฐานข้อมูลต่าง ๆ
(3) ซอฟต์แวร์บริหารจัดการเครือข่าย
Network Monitoring Tools (เช่น Zabbix, PRTG): ใช้เฝ้าระวังสถานะเครือข่าย
Network Access Control (NAC): ควบคุมสิทธิ์การเข้าถึงเครือข่าย
SIEM (Security Information and Event Management): บันทึกและวิเคราะห์เหตุการณ์ด้านความปลอดภัย
2.3 การแบ่งเขตความปลอดภัย (Security Zones)
การแบ่งเขตความปลอดภัย เป็นการแบ่งเครือข่ายออกเป็นส่วนย่อยทางตรรกะ โดยแต่ละส่วนจะมีระดับความน่าเชื่อถือและความต้องการด้านความปลอดภัยที่แตกต่างกัน เพื่อจำกัดการแพร่กระจายของการโจมตีและเพิ่มประสิทธิภาพในการควบคุม การแบ่งเขตความปลอดภัยของระบบเครือข่าย (Network Segmentation) เป็นแนวทางสำคัญในการจำกัดความเสี่ยง และควบคุมการเข้าถึงระบบภายใน โดยแบ่งโซนหลัก ได้ดังนี้
- เครือข่ายสำหรับเซิร์ฟเวอร์ (Server Zone / Data Center Zone) วัตถุประสงค์สำหรับจัดเก็บเซิร์ฟเวอร์และระบบสำคัญขององค์กรที่ต้องได้รับการปกป้องสูงสุด ลักษณะมีมาตรการรักษาความปลอดภัยที่เข้มงวดที่สุด มีการควบคุมการเข้าถึงทางกายภาพและตรรกะอย่างเคร่งครัด การควบคุมไฟร์วอลล์และอุปกรณ์รักษาความปลอดภัยอื่น จะถูกกำหนดค่าเพื่อจำกัดการเข้าถึงโซนนี้อย่างมาก โดยอนุญาตเฉพาะการจราจรที่จำเป็นเท่านั้น
- เครือข่ายภายใน (Internal Network / Trusted Zone) วัตถุประสงค์สำหรับอุปกรณ์และผู้ใช้งานภายในองค์กรที่เชื่อถือได้ ลักษณะเป็นเขตที่มีความน่าเชื่อถือสูงที่สุด โดยมีกฎการเข้าถึงที่ค่อนข้างเปิดกว้างภายในโซนเดียวกัน แต่มีการควบคุมการเข้าออกที่เข้มงวดกับโซนอื่น เป็นเขตเครือข่ายภายในองค์กรที่ใช้เฉพาะบุคลากร เช่น ระบบ ERP, ฐานข้อมูล, ไฟล์เซิร์ฟเวอร์ ต้องใช้ระบบการควบคุมสิทธิ์ (Access Control) อย่างเข้มงวด ตัวอย่าง เช่น คอมพิวเตอร์พนักงาน, เซิร์ฟเวอร์ภายใน, เครือข่ายสำหรับแผนกต่างๆ
- โซนปลอดภัย (Demilitarized Zone - DMZ) เขตกึ่งกลางที่วางระบบที่ต้องให้บริการทั้งภายในและภายนอก เช่น Web Server, Mail Server มี Firewall ควบคุมการเข้าออกทั้งจากภายนอกและภายใน วัตถุประสงค์สำหรับโฮสต์บริการที่เข้าถึงได้จากอินเทอร์เน็ตภายนอก เช่น เว็บเซิร์ฟเวอร์, อีเมลเซิร์ฟเวอร์, DNS เซิร์ฟเวอร์ ลักษณะเป็นโซนที่อยู่ระหว่างเครือข่ายภายในและอินเทอร์เน็ต ถูกออกแบบมาให้เป็น "กับดัก" เพื่อแยกบริการสาธารณะออกจากเครือข่ายภายในหลัก หาก DMZ ถูกบุกรุก ก็จะไม่สามารถเข้าถึงเครือข่ายภายในได้โดยตรง การควบคุมมีกฎของไฟร์วอลล์ที่เข้มงวดเพื่อควบคุมการจราจรเข้าและออกจาก DMZ ทั้งจากอินเทอร์เน็ตและเครือข่ายภายใน
- เครือข่ายภายนอก (External Zone) เป็นเขตที่เชื่อมต่อกับเครือข่ายภายนอก เช่น อินเทอร์เน็ต มีความเสี่ยงสูง จำเป็นต้องมี Firewall ป้องกัน
- เครือข่ายผู้มาเยือน (Guest Network) วัตถุประสงค์สำหรับแขกหรือบุคคลภายนอกที่ต้องการใช้งานอินเทอร์เน็ต เขตสำหรับอุปกรณ์ภายนอก เช่น แขก, ผู้มาติดต่อ, อุปกรณ์พกพา แยกจากเครือข่ายหลัก ป้องกันการเข้าถึงข้อมูลภายใน ลักษณะเป็นเครือข่ายที่แยกออกจากเครือข่ายภายในองค์กรโดยสิ้นเชิง มีการจำกัดการเข้าถึงทรัพยากรภายในองค์กร และมักมีการจำกัดแบนด์วิดท์ ความปลอดภัยมีการควบคุมการเข้าถึงอินเทอร์เน็ตและป้องกันไม่ให้ผู้ใช้งานในโซนนี้สามารถเข้าถึงเครือข่ายภายในองค์กรได้
- ระบบที่มีความสำคัญสูงสุด (Restricted Zone) เขตที่มีข้อมูลหรือระบบที่มีความสำคัญสูงสุด เช่น ระบบบัญชี, ระบบบริหารจัดการความปลอดภัย ต้องมีการเข้ารหัสข้อมูล การพิสูจน์ตัวตนหลายชั้น (Multi-Factor Authentication)
บทสรุป การทำความเข้าใจสถาปัตยกรรมเครือข่าย ประเภทของอุปกรณ์ และการแบ่งเขตความปลอดภัย จะช่วยให้ผู้ใช้งานสามารถปฏิบัติตนได้อย่างเหมาะสมและระมัดระวังในการใช้งานระบบเครือข่ายสารสนเทศขององค์กร
.
-------------------------
-------------------------
ดูข้อมูลเพิ่มเติมคลิกที่นี่
เทคโนโลยีสารสนเทศและการสื่อสาร (Information and Communication Technology: ICT)
-------------------------
