นโยบายการรักษาความมั่นคงปลอดภัย

รายละเอียด

นโยบายการรักษาความมั่นคงปลอดภัยเว็บไซต์ (Website Security Policy)

(1) มาตรการ และวิธีการรักษาความมั่นคงปลอดภัยเว็บไซต์ (หน่วยงาน/เว็บไซต์) ได้ตระหนักถึงความสำคัญในการรักษาความมั่นคงปลอดภัยเว็บไซต์ เพื่อปกป้องข้อมูลของผู้ใช้บริการจากการถูกทำลาย หรือบุกรุกจากผู้ไม่หวังดี หรือผู้ที่ไม่มีสิทธิ์ในการเข้าถึงข้อมูล จึงได้กำหนดมาตรการรักษาความมั่นคงปลอดภัยเว็บไซต์ โดยใช้มาตรฐานการรักษาความปลอดภัยของข้อมูลขั้นสูง ด้วยเทคโนโลยี Secured Socket Layer (SSL) หรือ Transport Layer Security (TLS) ซึ่งเป็นเทคโนโลยีที่ใช้คู่กับโปรโตคอล HTTP ในการเข้ารหัสข้อมูลที่ถูกส่งผ่านเครือข่ายอินเทอร์เน็ตในทุกครั้งที่มีการทำธุรกรรมทางการเงินผ่านเครือข่ายอินเทอร์เน็ตของ (หน่วยงาน/เว็บไซต์) ทำให้ผู้ที่ดักจับข้อมูลระหว่างทางไม่สามารถนำข้อมูลไปใช้ต่อได้ โดยจะใช้การเข้ารหัสเป็นหลักในการรักษาความปลอดภัยของข้อมูล โดยผู้ใช้บริการสามารถสังเกตได้จากชื่อโพรโตคอลที่เป็น https://

- SSL เป็นโปรโตคอลที่พัฒนาโดย Netscape ในปี 1995 สำหรับการเชื่อมต่อแบบความปลอดภัย (secure connection protocol) ระหว่างเว็บเบราว์เซอร์และเว็บเซิร์ฟเวอร์ หรือระบบอื่นๆ ที่ใช้การสื่อสารผ่านอินเทอร์เน็ต โดย SSL จะช่วยเข้ารหัสข้อมูลที่ถูกส่งไปยังเว็บไซต์เพื่อป้องกันการดักจับข้อมูลและการแฮกเกอร์ที่อาจจะเข้าถึงข้อมูลส่วนตัวของผู้ใช้งานได้ นอกจากนี้ SSL ยังช่วยให้ผู้เข้าชมเว็บไซต์สามารถตรวจสอบได้ว่าเว็บไซต์ที่พวกเขาเยี่ยมชมเป็นเว็บไซต์ที่ถูกต้องและมีความปลอดภัยหรือไม่ โดยการมองหาตัวรับรอง SSL ที่ปรากฏอยู่บนเว็บเบราว์เซอร์ ซึ่งจะแสดงว่าการเชื่อมต่อกับเว็บไซต์นั้นเป็นการเชื่อมต่อแบบปลอดภัย (secure connection)

- TLS ถือเป็นเวอร์ชันที่พัฒนามาจาก SSL และมีการปรับปรุงเพื่อเพิ่มความปลอดภัยและประสิทธิภาพในการเชื่อมต่อ โดยทั่วไปแล้ว TLS ถูกพัฒนาขึ้นเพื่อแก้ไขบางข้อจำกัดที่พบใน SSL และป้องกันการโจมตีแบบใหม่ที่อาจเกิดขึ้น นอกจากนี้ TLS ยังมีการเข้ารหัสที่มีความปลอดภัยสูงกว่า SSL โดยเฉพาะในการเข้ารหัสแบบก้าวหน้า (advanced encryption) ซึ่งทำให้มีความสามารถในการป้องกันการดักจับข้อมูลและการแฮกเกอร์ที่สูงกว่า SSL อีกด้วย ดังนั้น TLS ถือว่าดีกว่า SSL เนื่องจากมีการปรับปรุงเพื่อเพิ่มความปลอดภัยและประสิทธิภาพในการเชื่อมต่อ นอกจากนี้ TLS ยังเป็นโปรโตคอลที่ได้รับการยอมรับและใช้งานกันอย่างแพร่หลายในปัจจุบัน โดยส่วนใหญ่แล้วเว็บไซต์และแอปพลิเคชันต่างๆ ใช้ TLS เป็นโปรโตคอลสำหรับการเชื่อมต่อแบบความปลอดภัย

- ปัจจุบัน TLS 1.3 ถือเป็นเวอร์ชันล่าสุดของ TLS โดยมีการปรับปรุงและพัฒนาความปลอดภัยและประสิทธิภาพในการเชื่อมต่อ ใช้การเข้ารหัสแบบก้าวหน้า (advanced encryption) และลดการใช้งานทรัพยากรของเว็บเซิร์ฟเวอร์ (handshaking) ที่เป็นจุดอ่อนของเวอร์ชันก่อนหน้า นอกจากนี้ TLS 1.3 ยังมีการปรับปรุงเรื่องการจัดการรหัสลับที่ใช้ไปแล้ว (forward secrecy) และการลดการใช้งานของการเข้ารหัสแบบก้าวหน้าเมื่อเว็บไซต์มีการส่งข้อมูลใหญ่ๆ ที่อาจจะทำให้เกิดช่องโหว่ (vulnerabilities) ขึ้นได้ - ขนาดของ SSL/TLS (key size) ที่แนะนำคือขั้นต่ำ 128 bits ซึ่งถือว่ามีความปลอดภัยสูงและยากต่อการถอดรหัส และมีการใช้งานอย่างกว้างขวางในการป้องกันการขโมยข้อมูลและการเข้าถึงข้อมูล 175a0ed1- 42 - จากบุคคลที่ไม่มีสิทธิ์ อย่างไรก็ตาม การใช้งาน 128-bits encryption ยังไม่สามารถป้องกันการโจมตีด้วย bruteforce attack ที่ใช้เวลาและทรัพยากรมากเพื่อลองทำลาย key ได้ ดังนั้น ในการเลือกใช้ encryption นั้นจะต้องพิจารณาองค์ประกอบอื่นๆ เช่น อัลกอรึทึม (algorithm) และการส่งข้อมูลในระบบเครือข่ายเพื่อเพิ่มความปลอดภัยของการสื่อสารในระบบอีกด้วย

- QUIC (Quick UDP Internet Connections) เป็นโปรโตคอลของการเชื่อมต่อระหว่างเว็บเบราว์เซอร์และเว็บเซิร์ฟเวอร์ โดยใช้โพรโทคอล UDP แทน TCP ที่ใช้ใน HTTP และ HTTPS โดยทั่วไปถูกพัฒนาขึ้นโดย Google เพื่อเพิ่มประสิทธิภาพและความปลอดภัยของการเชื่อมต่อ เนื่องจาก TCP มีปัญหาบางอย่าง เช่น การควบคุมการถ่ายโอนข้อมูล (congestion control) ที่ช้า และต้องมีการส่งข้อมูลซ้ำๆ(retransmission) ในกรณีที่เกิดข้อผิดพลาด ซึ่งส่งผลให้เกิดความล่าช้าในการเรียกใช้เว็บไซต์ QUIC ยังมีความเร็วในการเชื่อมต่อที่ดีกว่า TCP และมีความปลอดภัยสูงกว่าด้วยการเข้ารหัสข้อมูลและการยืนยันตัวตน นอกจากนี้ QUIC ยังสามารถปรับปรุงและพัฒนาการเชื่อมต่อได้ง่ายขึ้น โดยไม่ต้องรอการอัพเดตโปรโตคอลใหม่ ซึ่งทำให้มีประสิทธิภาพการเชื่อมต่อที่ดีกว่าในระยะยาวและช่วยลดการเกิดช่องโหว่จากการใช้งานโปรโตคอลเดิม - การติดตั้ง QUIC สามารถดำเนินการได้ผ่านโปรโตคอล HTTP/3 แต่ยังถูกจำกัดกับเว็บเบราว์เซอร์และเซิร์ฟเวอร์บางรุ่น ซึ่งในอนาคตอันใกล้ อาจจะมีการใช้งานที่แพร่หลายมากยิ่งขึ้น และ มีการรองรับมากยิ่งขึ้น เพื่อความสะดวกในการติดตั้งและใช้งาน

(2) เทคโนโลยีเสริมที่นำมาใช้ในการรักษาความมั่นคงปลอดภัย นอกจากมาตรการ และวิธีการรักษาความมั่นคงปลอดภัยโดยทั่วไปที่กล่าวข้างต้นแล้ว (หน่วยงาน/เว็บไซต์) ยังใช้เทคโนโลยีระดับสูงดังต่อไปนี้ เพื่อปกป้องข้อมูลส่วนตัวของท่าน

- Firewall เป็นระบบซอฟท์แวร์ที่จะอนุญาตให้เฉพาะผู้ที่มีสิทธิ หรือผู้ที่ (หน่วยงาน/เว็บไซต์) อนุมัติเท่านั้นจึงจะผ่าน Firewall เพื่อเข้าถึงข้อมูลได้

- Scan Virus นอกจากเครื่องคอมพิวเตอร์ทุกเครื่องที่ให้บริการจะมีการติดตั้ง Softwareป้องกัน Virus ที่มีประสิทธิภาพสูงและ Update อย่างสม่ำเสมอแล้ว (หน่วยงาน/เว็บไซต์) ยังได้ติดตั้ง Scan VirusSoftware บนเครื่อง Server โดยเฉพาะอีกด้วย

- Cookies เป็นไฟล์คอมพิวเตอร์เล็กๆ ที่จะทำการเก็บข้อมูลชั่วคราวที่จำเป็นลงในเครื่องคอมพิวเตอร์ของผู้ขอใช้บริการ เพื่อความสะดวกและรวดเร็วในการติดต่อสื่อสาร อย่างไรก็ตาม (หน่วยงาน/เว็บไซต์) ตระหนักถึงความเป็นส่วนตัวของผู้ใช้บริการเป็นอย่างดี จึงหลีกเลี่ยงการใช้ Cookies แต่ถ้าหากมีความจำเป็นต้องใช้ Cookies บริษัทจะพิจารณาอย่างรอบคอบ ตระหนักถึงความปลอดภัย และความเป็นส่วนตัวของผู้ขอรับบริการเป็นหลัก

- Auto Log off ในการใช้บริการของ (หน่วยงาน/เว็บไซต์) หลังจากเลิกการใช้งานควร Log off ทุกครั้ง กรณีที่ผู้ใช้บริการลืม Log off ระบบจะทำการ Log off ให้โดยอัตโนมัติภายในเวลาที่ เหมาะสมของแต่ละบริการ ทั้งนี้ เพื่อความปลอดภัยของผู้ใช้บริการเอง175a0ed1- 43 -

- การใช้งานใบรับรองอิเล็กทรอนิกส์ (Electronic Certificate) สำหรับการรับรองSSL/TLS key จากผู้ให้บริการออกใบรับรอง (Certificate Authority) ที่น่าเชื่อถือ ก็สามารถเสริมความมั่นใจให้กับผู้ใช้บริการเว็บไซต์ได้ในการยืนยันว่า เว็บไซต์ดังกล่าวเป็นเว็บไซต์ของหน่วยงานนั้นจริง เนื่องจากการได้รับใบรับรองที่น่าเชื่อถือจำเป็นที่จะต้องยื่นเอกสารหลักฐานเพื่อยืนยันความมีอยู่จริงของหน่วยงาน และมีการถูกเพิกถอนกรณีเว็บไซต์ดังกล่าวขาดความน่าเชื่อถือ สามารถศึกษาเพิ่มได้จากเว็บไซต์ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์แห่งชาติ หรือ NRCA Thailand (https://www.nrca.go.th/)

(3) ข้อแนะนำเกี่ยวกับการรักษาความมั่นคงปลอดภัย แม้ว่า (หน่วยงาน/เว็บไซต์) จะมีมาตรฐานเทคโนโลยีและวิธีการทางด้านการรักษาความปลอดภัยอย่างสูงเพื่อช่วยมิให้มีการเข้าสู่ข้อมูลส่วนตัวหรือข้อมูลที่เป็นความลับของท่านโดยปราศจากอำนาจตามที่กล่าวข้างต้นแล้วก็ตาม แต่ก็เป็นที่ทราบกันอยู่โดยทั่วไปว่า ปัจจุบันนี้ยังมิได้มีระบบรักษาความปลอดภัยใดๆ ที่จะสามารถปกป้องข้อมูลของท่านได้อย่างเด็ดขาดจากการถูกทำลายหรือถูกเข้าถึงโดยบุคคลที่ปราศจากอำนาจได้ ดังนั้น ท่านจึงควรปฏิบัติตามข้อแนะนำเกี่ยวกับการรักษาความมั่นคงปลอดภัยดังต่อไปนี้ด้วย คือ

- ระมัดระวังในการ Download Program จาก Internet มาใช้งาน ควรตรวจสอบAddress ของเว็บไซต์ให้ถูกต้องก่อน Login เข้าใช้บริการเพื่อป้องกันกรณีที่มีการปลอมแปลงเว็บไซต์

- ควรติดตั้งระบบตรวจสอบไวรัสไว้ที่เครื่องและพยายามปรับปรุงให้โปรแกรม ตรวจสอบไวรัสในเครื่องของท่านมีความทันสมัยอยู่เสมอ

- ติดตั้งโปรแกรมประเภท Personal Firewall เพื่อป้องกันเครื่องคอมพิวเตอร์จากการจู่โจมของผู้ไม่ประสงค์ดี เช่น Cracker หรือ Hacker

Submit to FacebookSubmit to Google PlusSubmit to TwitterShare with friendsPrint this page

เกี่ยวกับหน่วยงาน

ข้อมูลพื้นฐาน

การบริหารงาน

การบริหารเงินงบประมาณ

การบริหารและพัฒนาทรัพยากรบุคคล

การส่งเสริมความโปร่งใส

การดำเนินการเพื่อป้องกันการทุจริต

มาตรการภายในเพื่อป้องกันการทุจริต

จำนวนผู้เยี่ยมชม

331342
Today
Yesterday
This Week
Last Week
This Month
Last Month
All days
311
870
3811
324450
3242
15665
331342
Your IP: 172.68.164.143
2025-12-06 11:17