Professional Documents
Culture Documents
086 ระบบการจัดเก็บข้อมูลจราจรคอมพิวเตอร์
086 ระบบการจัดเก็บข้อมูลจราจรคอมพิวเตอร์
วัชรินทร์ จิรโสภณ
สารนิพนธ์น้เี ป็นส่วนหนึ่งของการศึกษา
หลักสูตรวิทยาศาสตรมหาบัณฑิต สาขาวิชาเทคโนโลยีสารสนเทศ
คณะวิทยาการและเทคโนโลยีสารสนเทศ
มหาวิทยาลัยเทคโนโลยีมหานคร
ปีการศึกษา 2555
หัวข้อ การจัดเก็บข้อมูลจราจรคอมพิวเตอร์ตามพระราชบัญญัตเิ กีย่ วกับ
การกระทาผิดเกีย่ วกับคอมพิวเตอร์
ชื่อนักศึกษา นาย วัชรินทร์ จิรโสภณ
รหัสนักศึกษา 5417680014
หลักสูตร วิทยาศาสตรมหาบัณฑิต สาขาเทคโนโลยีสารสนเทศ
ปี การศึกษา 2555
อาจารย์ที่ปรึกษา ดร.วรพล ลีลาเกียรติสกุล
บทคัดย่อ
I
กิ ตติ กรรมประกาศ
วัชรินทร์ จิรโสภณ
มีนาคม 2555
II
สารบัญ
หน้ า
บทคัดย่อ I
กิตติกรรมประกาศ II
สารบัญ III
สารบัญรูป V
สารบัญตาราง VI
บทที่ 1 บทนา 1
1.1 กล่าวนา 1
1.2 ปญั หาและแรงจูงใจ 1
1.3 วัตถุประสงค์ 1
1.4 ขอบเขตของโครงาน 2
1.5 ประโยชน์ทค่ี าดว่าจะได้รบั 2
1.6 โครงสร้างสารนิพนธ์ 2
บทที่ 2 ทฤษฎีและหลักการทีเ่ กีย่ วข้อง 3
2.1 กล่าวนา 3
2.2 พระราชบัญญัติ ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550..... 3
2.3 แนวทางการจัดเก็บข้อมูลจราจรคอมพิวเตอร์สาหรับองค์กร 17
2.4 ซอฟท์แวร์ทเ่ี กีย่ วข้อง 23
บทที่ 3 การออกแบบและพัฒนาระบบ 39
3.1 กล่าวนา 39
3.2 การออกแบบ 41
3.3 ขัน้ ตอนการทางาน 43
บทที่ 4 ผลการทดลองโครงงาน 47
4.1 กล่าวนา 47
4.2 Login chillispot 47
4.3 ข้อมูลการใช้อนิ เตอร์เน็ตทีเ่ กิดจากการเข้าถึงระบบเครือข่าย 49
4.4 การลงทะเบียนผูใ้ ช้บริการ 51
4.5 รายละเอียดข้อมูลจราจรอินเตอร์เน็ต 52
บทที่ 5 สรุปผลการดาเนินงาน 53
5.1 กล่าวนา 53
5.2 ผลการดาเนินงาน 53
5.3 สรุปผลการดาเนินงาน 53
III
สารบัญ (ต่อ)
หน้ า
5.4 แนวทางในการศึกษาต่อ 54
เอกสารอ้างอิง 55
ภาคผนวก
IV
สารบัญรูป
หน้ า
V
สารบัญตาราง
หน้ า
VI
บทที่ 1
บทนำ
1.1 กล่ำวนำ
เนื่ องจากหอพักและอพาร์ทเมนท์ในปจั จุบนั มีก ารให้บริการอินเตอร์เ น็ ตภายใน จึง
จาเป็ นต้องมีการเก็บ Log ของผู้พกั อาศัยภายในที่ใช้บริการ เพื่อป้องกันการกระทาความผิด
เกีย่ วกับคอมพิวเตอร์ ตามพระราชบัญญัติ พ.ศ.2550 ว่าด้วย
"ระบบคอมพิว เตอร์" หมายความว่า อุ ปกรณ์ หรือ ชุดอุ ป กรณ์ ท่เี ชื่อ มการทางานเข้า
ด้วยกัน โดยได้มกี ารกาหนดชุดคาสัง่ และแนวทางปฏิบตั งิ านให้อุปกรณ์ทาหน้าที่ประมวลผล
ข้อมูลโดยอัตโนมัติ หากมีผู้กระทาความผิดด้วยประการใด ๆ ให้แก่ระบบคอมพิวเตอร์ โดยมิ
ชอบ ย่อมก่อให้เกิดความเสียหาย ต่อ เศรษฐกิจ สังคม และความมันคงของรั ่ ฐ รวมทัง้ ความสงบ
สุขและศีลธรรมอันดีของประชาชน สมควรกาหนดมาตรการเพื่อป้องกันและปราบปรามการ
กระทาดังกล่าว จึงจาเป็ นต้องตราพระราชบัญญัตนิ ้ี ดังนัน้ ผูจ้ ดั ทาจึงสร้างวิธตี รวจสอบผูใ้ ช้งาน
อินเตอร์เน็ต เพื่อความปลอดภัยให้กบั ข้อมูลและระบบคอมพิวเตอร์ภายในหอพัก
1.2 ปัญหำและแรงจูงใจ
เนื่อ งจากทางหอพัก ที่ข้าพเจ้าดูแ ลยังไม่มกี ารจัดทาระบบเก็บ Log การใช้งาน
อินเตอร์เน็ตภายใน ตามพระราชบัญญัตนิ ้ี จึงได้คดิ โครงงานเพื่อนามาใช้เก็บข้อมูลการใช้งาน
และเข้าถึงอินเตอร์เน็ตด้วยคอมพิวเตอร์ รวมถึงการระบุตวั ตนของผูใ้ ช้งานและเก็บข้อมูลจราจร
บนเครือข่ายคอมพิวเตอร์ไม่น้อยกว่า 90 วัน แต่ไม่เกิน 1 ปี และจะทาการจัดเก็บอย่างไรที่ทงั ้
ถูกต้องตาม พ.ร.บ.ฯ และประหยัด
เพื่อสร้างระบบเก็บข้อมูลการจราจรคอมพิวเตอร์ เพื่อป้องกันการใช้งานระบบเครือข่าย
คอมพิวเตอร์ในทางทีผ่ ดิ เช่นการโพสรูปภาพ หรือ ข้อมูล ทีผ่ ดิ กฎหมายและ ตรวจสอบสถานะ
ของผูใ้ ช้งาน อินเตอร์เน็ต เพื่อลดความเสีย่ งให้กบั ทางหอพักผูใ้ ห้บริการอินเตอร์เน็ต
1.3 วัตถุประสงค์ของโครงงำน
เพื่อนาความรู้ทางด้านเทคโนโลยีสารสนเทศ และ เทคนิค ต่าง ๆ ที่ได้เรียน เข้ามา
พัฒนาและปรับปรุง การให้บริการอินเตอร์เ น็ ต ภายใน ของหอพัก โดยนาซอฟแวร์ต่าง ๆที่
เกีย่ วข้องนาไปใช้ตามวัตถุประสงค์ โดยไม่ต้องเสียค่าใช้จ่ายหรือปญั หาลิขสิทธิ ์ในภายหลัง เช่น
การนา ระบบการยืนยัน ตัว ตนเพื่อ เข้าใช้งานระบบเครือ ข่าย อย่าง ระบบปฏิบตั ิการ Linux
ซอฟแวร์ FreeRadius มาประยุกต์ใช้งานเพื่อระบุตวั ตนและบันทึกการใช้งานอินเตอร์เน็ต โดย
การเก็บ Log ตามพระราชบัญญัติ
1
1.4 ขอบเขตของโครงงำน
1.4.1 ศึกษาถึงหลักการ และ วัตถุประสงค์ และแนวทางที่จะนามาใช้ในการออกแบบ
ระบบ
1.4.2 ศึกษาทฤษฏีพน้ื ฐานของการทางานของระบบทีจ่ าเป็นต้องรูใ้ นการออกแบบระบบ
1.4.3 การออกแบบระบบ จะเป็ นการอธิบายการออกแบบโครงสร้างและระบบต่าง ๆ
รวมถึงการทางานของระบบ Authentication Gateway ด้วยระบบ ปฏิบตั กิ าร Linux Centos5.9
ซอฟท์แวร์ FreeRadius, chillispot, Squid, rsyslog, Loganalyzer, PHP Scripts
1.4.4 ดาเนินการติดตัง้ ระบบและเก็บผลการทดลองหลังการออกแบบระบบ
1.4.5 สรุปรายงานผลการทดลองต่าง ๆ ทีไ่ ด้เริม่ ดาเนินการใช้งาน
1.5 ประโยชน์ของโครงงำน
1.5.1 ทาให้ทราบถึง ข้อดี-ข้อเสีย ในการจัดเก็บข้อมูลล็อกไฟล์แบบรวมศูนย์
1.5.2 เพื่อ ให้ห อพัก ที่บริการอินเตอร์เน็ ต สามารถจัดเก็บข้อ มูล การจราจรได้อ ย่าง
ถูกต้องตามพระราชบัญญัติ
1.5.3 เพื่อ ให้ง่ า ยต่ อ การตรวจสอบของเจ้า หน้ า ที่ ในการตรวจสอบ สืบ ค้น ข้อ มูล
การจราจรทางคอมพิวเตอร์
1.5.4 เพื่อให้ผใู้ ห้บริการอินเตอร์เน็ต ได้มกี ารจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ตาม
พระราชบัญญัตวิ ่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 และใช้เป็ นข้อมูลใน
การค้นหาผูก้ ระทาความผิด ในกรณีมลี กู ค้าเข้ามาใช้บริการอินเตอร์เน็ตในทางมิชอบภายใน
หอพักหรือ อพาร์ทเมนท์ของผูใ้ ห้บริการ
2
บทที่ 2
ทฤษฏีที่เกี่ยวข้อง
2.1 กล่ำวนำ
ในส่วนของทฤษฏีทเ่ี กี่ยวข้องกับโครงงานหลัก ๆ ผูศ้ กึ ษาจะอธิบายถึงโปรแกรมต่าง ๆ
ที่ใช้ในการพัฒนาโครงงานนี้ รวมไปถึงพระราชบัญ ญัติ ว่าด้วยการกระทาความผิดเกี่ยวกับ
คอมพิว เตอร์ พ.ศ.2550 เรื่อ งเกี่ย วกับ การเก็บ บัน ทึก ข้อ มู ล จราจรหรือ ข้อ มู ล ล็อ ก ซึ่ง มี
รายละเอียดดังต่อไปนี้
4
มาตรา 12 เป็นการกระทาผิดทีม่ โี ทษในกรณีทม่ี ผี ลกระทบต่อความมันคงทางเศรษฐกิ
่ จ
ของประเทศ หรือ บริการสาธารณะ โทษสูงสุดจาคุก 15 ปี และปรับ 3 แสนบาท แต่ถ้าหากทา
ให้ผอู้ ่นื ถึงแก่ความตาย โทษจะสูงสุดจาคุกถึง 20 ปี
มาตรา 14 ถึง 16 จะกล่าวถึง ผู้ใช้คอมพิวเตอร์ ตลอดจนผู้ให้บริการ ตามข้อกาหนด
ของกฎหมาย ต้องระมัดระวังไม่ให้ขอ้ มูลอันไม่เหมาะสม ปรากฏอยู่บนอินเตอร์เน็ตในลักษณะ
การปรากฏของตัวข้อมูลเอง เช่น รูปภาพ หรือข้อ ความ ทีถ่ ูกอัพโหลดขึน้ ไป รวมถึง Link ทีจ่ ะ
พาไปยังข้อมูลดังกล่าว โดยมาตรานี้จะเกี่ยวข้องกับ Forward mail หรือ Webbord ซึ่งมีโทษ
จาคุกไม่เกิน 5 ปี หรือปรับไม่เกิน 1 แสนบาท หรือ ทัง้ จาทัง้ ปรับ
ตามทีไ่ ด้วเิ คราะห์หมวด 1 เพิม่ เติม ได้ประกาศลงในราชกิจจานุเบกษา เรื่องหลักเกณฑ์
ทางเทคนิคในการเก็บข้อมูล จราจรทาง"ความผิดเกี่ยวกับ คอมพิวเตอร์" ตัง้ แต่มาตรา 5 ถึง
มาตรา 17 โดยที่ม าตรา 5 ถึง มาตรา10 และ มาตรา 12 กล่ า วถึง ความผิด ที่ก ระท าต่ อ
คอมพิวเตอร์ และมาตรา 11 มาตรา 13 ถึง มาตรา 16 กล่ าวถึงการใช้คอมพิวเตอร์ใ นการ
กระทาความผิด รวมถึงมาตรา 17 ทีก่ ล่าวถึงการกระทาความผิดนอกราชอาณาจักรต้องรับโทษ
ในราชอาณาจักรนัน้ สามารถสรุปสาระสาคัญของมาตรา 5 ถึง มาตรา 17 รวม 13 มาตรา ได้ดงั
ตารางที่ 2.1 ดังนี้
5
ตำรำงที่ 2.1 หมวด 1 ความผิดเกีย่ วกับคอมพิวเตอร์
ฐำนควำมผิดและบทลงโทษสำหรับกำรกระทำโดยมิชอบ
มาตรา5 การเข้าถึงระบบคอมพิวเตอร์
มาตรา7 การเข้าถึงข้อมูลคอมพิวเตอร์
มาตรา8 การดักข้อมูลคอมพิวเตอร์โดยมิชอบ
มาตรา9 การรบกวนข้อมูลคอมพิวเตอร์
มาตรา10 การรบกวนระบบคอมพิวเตอร์
มาตรา12 การกระทาความผิดต่อความมันคง
่
มาตรา14 การปลอมแปลงข้อมูลคอมพิวเตอร์หรือเผยแพร่เนื้อหาอันไม่เหมาะสม
มาตรา16 การเผยแพร่ภาพจากการตัดต่อหรือดัดแปลง
6
ตำรำงที่ 2.2 บทกาหนดโทษ
7
และจะยึดหรืออายัดห้ามเกิน 30 วัน ขายได้เต็มทีอ่ กี ไม่เกิน 60 วัน สาหรับมาตรา 20 ได้บญ ั ญัติ
เรื่อ งการระงับ การท าให้แ พร่ ห ลายของข้อ มูล ที่อ าจกระทบกระเทือ นต่ อ ความมัน่ คงแห่ ง
ราชอาณาจักร หรือ มีผลกระทบต่อความสงบเรียบร้อยและศีลธรรมอันดีของประชาชน และใน
มาตรา 21 พนักงานเจ้าหน้าทีส่ ามารถร้องขอต่อศาลให้มคี าสังห้ ่ ามจาหน่ายหรือเผยแพร่ หรือสัง่
ให้เจ้าของ หรือ ผู้ครอบครองข้อมูลคอมพิวเตอร์นัน้ ระงับการใช้งานและทาลายข้อมูลนัน้ ได้
โดยทีช่ ุดคาสังไม่ ่ พงึ ประสงค์ หมายถึง มัลแวร์ (Malware) ต่าง ๆ เช่น ไวรัส หนอนคอมพิวเตอร์
(Worm) ม้าโทรจัน สปายแวร์ ตลอดจน โปรแกรม Hacking tool ต่าง ๆ
พนักงานก็มสี ่วนต้องรับผิดชอบในการเก็บรักษาข้อมูลทีไ่ ด้มาเช่นกัน ดังทีบ่ ญ ั ญัตไิ ว้ใน
มาตรา 22 ถึง มาตรา 24 ห้ามมิให้พนักงานเจ้าหน้าที่เปิ ดเผย หรือส่งมอบข้อมูลที่ได้มาตาม
มาตรา 18 แก่บุคคลใด หากฝ่าฝื น พนักงานเจ้าหน้าทีม่ โี ทษระวางจาคุกไม่เกิน 3 ปี หรือ ปรับ
ไม่เ กิน 6 หมื่นบาท หรือ ทัง้ จ าทัง้ ปรับ โดยในมาตรา 23 หากพนักงานเจ้าหน้ าที่ป ระมาท
เลินเล่อ ทาให้ผลู้ ่วงรูข้ อ้ มูลดังกล่าวต้องระวางโทษจาคุกและปรับ และ มาตรา 24 ได้บญ ั ญัตวิ ่า
ผู้อ่ ืนที่ล่ ว งรู้ข้อ มูล ที่ไ ด้จากพนัก งานเจ้าหน้ าที่ก็มโี ทษจ าคุ กและปรับ เช่ นเดียวกับพนักงาน
เจ้าหน้าทีท่ ป่ี ฏิบตั ติ นไม่ชอบ
มาตราส าคัญ ที่เ กี่ยวข้อ งกับโครงงานนี้คอื มาตรา 26 และ มาตรา 27 ซึ่งมาตรา 26
บัญญัตใิ ห้ผู้ให้บริการต้องทาการจัดเก็บข้อมูลจราจรคอมพิวเตอร์ไว้ไม่น้อยกว่า 90 วัน แต่ไม่
เกิน 1 ปี โดยให้ผู้ให้บริการมีภาระหน้าที่เก็ บข้อมูลจราจรเท่าที่จาเป็ น เพื่อให้สามารถระบุตวั
ผูใ้ ช้บริการได้ หากผูใ้ ห้บริการผูใ้ ดไม่ปฏิบตั ติ าม ต้องระวางโทษปรับไม่เกิน ห้าแสนบาท และใน
มาตรา 27 บัญญัติไว้ชดั เจนว่าหากผู้ใดไม่ให้ความร่วมมือ ในการปฏิบตั ิตามมาตรา 18 หรือ
มาตรา 20 หรือไม่ปฏิบตั ิ ตามมาตรา 21 ต้องระวางโทษปรับไม่เกินสองแสนบาท และทีส่ าคัญ
คือต้องระวางโทษปรับรายวันอีกไม่เกินวันละห้าพันบาท จนกว่าจะปฏิบตั ใิ ห้ถูกต้อง
ดังนัน้ จะเห็นได้ว่าผูใ้ ห้บริการควรจะจัดหาอุปกรณ์ฮาร์ดแวร์ และซอฟท์แวร์มาใช้ในการ
เก็บ Log ตามข้อกฎหมาย โดยอุปกรณ์ทใ่ี ช้ควรมีการจัดเก็บ Log ในลักษณะ "Centralize Log
Server" ที่สามารถป้องกันการแก้ไขจากแฮกเกอร์ หรือ การแก้ไขข้อมูลจากผู้ดูแลระบบเอง
ข้อมูลจราจร หรือ Log ทีเ่ กิดขึน้ จากอุปกรณ์และการใช้งานต่าง ๆ ในระบบควรอยู่ในรูปแบบ
ของข้อมูลดิบ (Raw Data) ทีถ่ ูกป้องกันจากการแก้ไข ดังนัน้ ข้อมูลจราจร (Log) ควรทีจ่ ะมี
ความถูกต้องแน่ นอนตามจริง และสามารถระบุตวั ตน (Accountability) ของผูก้ ระทาความผิดได้
โดยไม่มขี อ้ โต้แย้งในชัน้ ศาล
มาตรา 28 ได้บญ ั ญัตถิ งึ การแต่งตัง้ พนักงานเจ้าหน้าทีซ่ ง่ึ มีความรูค้ วามสามารถเฉพาะ
ในด้าน "Computer Forensic" และมีคุณสมบัตติ ามทีร่ ฐั มนตรีกาหนด เพื่อให้สามารถแน่ ใจได้ว่า
พนักงานเจ้าหน้ าที่นัน้ มีความรู้ความเข้าใจขัน้ ตอนการเก็บข้อมูลหลักฐานและการวิ เคราะห์
สืบสวน ให้อยู่ในรูปแบบ ดิจติ ลั (Digital Format) ตลอดจนสามารถปฏิบตั ติ ามวิธกี ารทีถ่ ูกต้อง
ในการเก็บจัดการข้อมูล จนถึงการพิจารณาคดีในชัน้ ศาล (Chain of Custody)
8
มาตรา 29 บัญญัตใิ ห้เจ้าหน้าทีต่ ้องเป็ นพนักงานฝ่ายปกครอง หรือ ตารวจชัน้ ผูใ้ หญ่ซง่ึ
มีอานาจรับคาร้องทุกข์ หรือ คากล่าวโทษได้ และมีอานาจในการสืบสวน สอบสวน แต่อานาจใน
การขับกุมให้พนักงานเจ้าหน้าทีป่ ระสาน กับพนักงานสอบสวน ผูร้ บั ผิดชอบเพื่อดาเนินงานตาม
หน้าที่
มาตรา 30 ได้บญ ั ญัตวิ ่า พนักงานเจ้าหน้าที่ต้องมี "บัตรประจาตัว " เพื่อแสดงตน โดย
รายละเอียดรูปแบบบัตรฯ ให้เป็นไปตามทีร่ ฐั มนตรีประกาศต่อไป
จะเห็นได้ว่ากฎหมายฉบับนี้ มีผลกระทบต่อ ระบบเทคโนโลยี สารสนเทศ ของประเทศ
ไทยระดับหนึ่ง ซึ่งถือเป็ นการเปลี่ยนแปลงครัง้ สาคัญในแวดวง ไอที ที่ผใู้ ช้คอมพิวเตอร์ทุกคน
ควรทราบ และ ควรสนใจศึกษารายละเอียดของกฎหมายนี้ ตลอดจนมีการเตรียมตัวและปรับตัว
ให้องค์กรปฏิบตั ติ ามกฎหมาย เช่น ไม่ส่งต่อจดหมายอิเล็กทรอนิกส์ (Forward mail) ที่ไม่
เหมาะสม หรือ การโพสรูป ตาม เว็บไซต์ต่าง ๆ รวมถึงข้อความ ที่ไม่เหมาะสม ตามเว็บไซท์
สังคมต่าง ๆ เช่น Facebook ซึ่งเป็ น รูปแบบของสังคมออนไลน์ Social network จึงมีความ
จาเป็นต้องมี การใช้กฎหมายทีม่ ผี ลบังคับใช้เช่น พระราชบัญญัตวิ ่าด้วยการกระทาความผิดทาง
คอมพิว เตอร์ ไว้ค วบคุ ม ดูแ ล เพื่อ ให้ ม ีค วามเป็ น ระเบีย บเรียบร้อ ย และ ปลอดภัย ส าหรับ
ประชาชนผู้ใช้อนิ เตอร์เน็ตและสื่อออนไลน์ ต่าง ๆ ที่เราใช้งานในชีวติ ประจาวัน จึงควรปฏิบตั ิ
ตามด้วยความเคร่งครัดและเข้าใจ ในวัตถุประสงค์ของกฎหมายดังกล่าว
2.2.3 แนวทำงปฏิ บตั ิ กำรเก็บข้อมูลจรำจรคอมพิ วเตอร์และข้อมูลผูใ้ ช้บริ กำร
ปจั จุบนั การติดต่อสื่อสารผ่านระบบคอมพิวเตอร์ หรือ ระบบ อิเล็กทรอนิกส์มบี ทบาท
และมีบทบาทสาคัญต่อระบบเศรษฐกิจ และ คุณภาพชีวติ ของประชาชน แต่ในขณะเดียวกันการ
กระทาความผิดเกี่ยวกับคอมพิวเตอร์ก็มแี นวโน้มขยายวงกว้างและรุนแรงตามไปด้วย ข้อมูล
จราจรคอมพิวเตอร์จงึ นับเป็ นพยานหลักฐานสาคัญในการดาเนินคดี อันเป็ นประโยชน์อย่างยิง่
ต่อการสืบสวน สอบสวน เพื่อนาตัวผูก้ ระทาความผิดมาลงโทษ จึงสมควรกาหนดให้ผใู้ ห้บริการ
มีหน้าทีใ่ นการเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ดงั กล่ าว อาศัยอานาจตามความในมาตรา
26 วรรค 3 แห่ ง พ.ร.บ. ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 ดังนัน้
รัฐมนตรีว่าการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารจึงได้กาหนดหลักเกณฑ์ไว้โดย
ประกาศในราชกิจจานุเบกษา เรื่องหลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้
ให้บริการ พ.ศ.2550 เมื่อวันที่ 23 สิงหาคม พ.ศ.2550 ตามเอกสารอ้างอิง โดยสรุปสาระสาคัญ
ได้ดงั นี้
ข้อ 1 ประกาศนี้เรียกว่า "หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้
ให้บริการ พ.ศ.2550"
ข้อ 2 ประกาศนี้ให้ใช้บงั คับตัง้ แต่วนั ถัดจากวันประกาศในราชกิจจานุ เบกษาเป็ นต้นไป
ข้อ 3 ให้รฐั มนตรีว่าการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารรักษาการตาม
ประกาศนี้
9
ข้อ 4 ในประกาศนี้ "ผู้ใช้บริการ" หมายความว่า ผู้ใช้บริการของผู้ให้บริการไม่ว่าต้อง
เสียค่าใช้บริการหรือไม่กต็ าม
ข้อ 5 ภายใต้บ ัง คับ ของมตรา 26 แห่ ง พระราชบัญ ญัติว่ า ด้ว ยการกระท าความผิด
เกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 ประเภทของผูใ้ ห้บริการซึง่ มีหน้าทีต่ ้องเก็บรักษาข้อมูลจราจร
ทางคอมพิวเตอร์แบ่งได้ดงั นี้
(1) ผู้ให้บริการแก่บุคคลทัวไปในการเข้
่ าสู่อนิ เตอร์เน็ต หรือ ให้สามารถติดต่อ
ถึงกันโดยประการอื่น ทัง้ นี้ โดยผ่านทางระบบคอมพิวเตอร์ ไม่ว่าจะเป็ นการให้บริการในนาม
ของตนเองหรือเพื่อประโยชน์ของบุคคลอื่น สามารถจาแนกได้ 4 ประเภท ดังนี้
ก. ผู้ ป ระกอบกิจ การโทรคมนาคมและการกระจายภาพและเสีย ง
(Telecommunication and Broadcast Carrier) ยกตัวอย่างเช่น บริษัทผู้ให้บริการ
โทรศัพท์เคลื่อนที่ ได้แก่ AIS, DTAC, True Move, Hutch เป็นต้น
ข. ผูใ้ ห้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ (Access Service
Provider)นอกจากจะหมายถึง ISP แล้วยังหมายถึงบริษทั โรงเรียน มหาวิทยาลัย และองค์กรทัง้
ภาครัฐและเอกชนส่วนใหญ่โดยทัวไป ่
ค. ผู้ใ ห้บริการเช่า ระบบคอมพิว เตอร์ หรือ ให้เ ช่า บริการโปรแกรม
ประยุกต์ต่าง ๆ (Host Service Provider) ยกตัวอย่างเช่น ผูใ้ ห้บริการเช่า Web Hosting
ง. ผูใ้ ห้บริการร้านอินเตอร์เน็ต ยกตัวอย่าง เช่น Internet Café ทัวไป
่
(2) ผูใ้ ห้บริการในการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลตาม
(1) (Content Service Provider) ยกตัวอย่าง เช่น www. pantip.com หรือ www.sanook.com
เป็ นต้น หรือ ผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่านแอพพลิเคชันต่ ่ าง ๆ (Application Service
Provider) จะเห็นได้ว่าทุกองค์กรทีม่ กี ารใช้งานระบบสารสนเทศต่อเชื่อมกับระบบอินเตอร์เน็ต
ถือเป็นผูใ้ ห้บริการทัง้ หมด
ข้อ 6 ข้อมูลจราจรทางคอมพิวเตอร์ท่ผี ู้ให้บริการต้องเก็บรักษา โดยดูรายละเอียดได้ท่ี
ข้อ 7 ซึ่ง เป็ น ข้อ มูล จราจรทางคอมพิว เตอร์ท่ผี ู้ใ ห้บริก ารต้อ งเก็บ รัก ษาแยกตามประเภทผู้
ให้บริการ
ข้อ 7 ผูใ้ ห้บริการมีหน้าทีเ่ ก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ โดยแยกตามประเภท
ผูใ้ ห้บริการ ดังนี้
(1) ผู้ประกอบกิจการโทรคมนาคมและกิจการกระจายภาพและเสียง มีหน้ าที่
เก็บข้อมูลจราจรทางคอมพิวเตอร์
ก. ข้อมูล ที่สามารถระบุและติดตามแหล่ งกาเนิด ต้นทาง ปลายทาง
และทางสายทีผ่ ่านของการติดต่อสื่อสารของระบบคอมพิวเตอร์ เช่น
- ข้อมูลระบบชุมสายโทรศัพท์พน้ื ฐาน โทรศัพท์วทิ ยุมอื ถือ และระบบตู้
โทรศัพท์สาขา(Fixed Network Telephony and Mobile Telephony)
10
-หมายเลขโทรศัพท์ หรือ เลขหมายวงจร รวมทัง้ บริการเสริมอื่น ๆ เช่น
บริการโอนสายและหมายเลขโทรศัพท์ท่ไี ด้โอนสาย รวมทัง้ หมายเลขโทรศัพท์ซ่งึ ถูกเรียกจาก
โทรศัพท์ทม่ี กี ารโอน
-ชื่อ ที่อ ยู่ของผู้ใ ช้บ ริก ารหรือ ผู้ใ ช้งานที่ล งทะเบีย น (Name and
Address of Subscriber or Registered User)
-ข้อมูลเกี่ยวกับวันที่ เวลา และที่ตงั ้ ของ Cell ID ซึง่ มีการใช้บริการ
(Data and Time of the initial Activation of the Service and the Location Label Cell ID)
ข. ข้อมูลที่สามารถระบุวนั เวลา และระยะเวลาของการติดต่อสื่ อสาร
ของระบบคอมพิวเตอร์รวมทัง้ เวลาเริม่ ต้นและสิน้ สุดของการใช้งาน (Fixed Network Telephony
and Mobile Telephony, the Date and Time of the Start and End of the Communication)
ค. ข้อมูลซึ่งสามารถระบุท่ตี งั ้ ในการใช้โทรศัพท์มอื ถือ หรือ อุปกรณ์
ติดต่อสื่อสารแบบไร้สาย (Mobile Communication Equipment) เช่น ทีต่ งั ้ Label ในการเชื่อต่อ
(Cell ID) ณ สถานทีเ่ ริม่ ติดต่อสื่อสาร และข้อมูลซึง่ ระบุทต่ี งั ้ ทางกายภาพของโทรศัพท์มอื ถือ อัน
เชื่อมโยงกับข้อมูล ที่ตงั ้ ของ Cell ID ขณะที่มกี ารติดต่อสื่อ สาร โดยจัดให้มรี ะบบบริการ
ตรวจสอบบุคคลผู่ใช้บริการ
(2) ผู้ให้บริก ารเข้าถึงระบบเครือ ข่ายคอมพิวเตอร์ และผู้ใ ห้บริการเช่าระบบ
คอมพิวเตอร์เพื่อให้บริการโปรแกรมประยุกต์ต่าง ๆ มีหน้าที่เก็บข้อมูลจราจรทางคอมพิวเตอร์
ตามประเภทชนิดและหน้าทีก่ ารให้บริการ ดังนี้
ก. ข้ อ มู ล อิ น เตอร์ เ น็ ต ที่เ กิ ด จากการเข้ า ถึ ง ระบบเครือ ข่ า ย เช่ น
Authentication Server เป็ นข้อมูลล็อกการพิสูจน์ตวั ตนของเซิรฟ์ เวอร์หรืออุปกรณ์พสิ ูจน์ตวั ตน
มีรายการทีต่ อ้ งจัดเก็บคือ
-ข้อ มู ล ล็อ กที่ม ีก ารบัน ทึก ไว้ เ มื่อ มีก ารเข้า ถึง ระบบเครือ ข่ า ยหรือ
Access Log
-ข้อมูลเกีย่ วกับวัน และ เวลาการติดต่อของเครือ่ งทีเ่ ข้ามาใช้บริการและ
เครือ่ งให้บริการ(Date and Time of Connection of Client to Server)
-ข้อมูลเกีย่ วกับชื่อทีร่ ะบุตวั ตนผูใ้ ช้ (User ID)
-ข้อ มู ล หมายเลขอิน เตอร์เ น็ ต ที่ถู ก ก าหนดโดยระบบผู้ ใ ห้ บ ริก าร
(Assigned IP Address)
- ข้อ มู ล ที่ บ อกถึ ง หมายเลขสายที่เ รีย กเข้ า มา (Calling Line
Identification)
ข. ข้อมูลอินเตอร์เน็ตบนเครื่องผู้ให้บริการจดหมายอิเล็กทรอนิกส์ (E-
mail server)เช่นSMTP Server หรือ POP/IMAP Server เป็ นข้อมูลล็อกของอีเมล์เซิรฟ์ เวอร์ท่ี
สื่อสารข้อมูลด้วย SMTP หรือ POP3 หรือ IMAP4 มีรายการทีต่ อ้ งจัดเก็บคือ
11
-ข้ อ มู ล Log ที่ บ ั น ทึ ก ไว้ เ มื่ อ เข้ า ถึ ง เครื่ อ งให้ บ ริ ก ารไปรษณี ย์
อิเล็กทรอนิกส์ (SMTP) ซึง่ ได้แก่ ข้อมูลหมายเลขของข้อความทีร่ ะบุในจดหมายอิเล็กทรอนิกส์
(Message ID) ข้อมูลชื่อทีอ่ ยู่อเิ ล็กทรอนิกส์ของผูส้ ่ง (Sender E-mail Address) ข้อมูลชื่อทีอ่ ยู่
อิเล็กทรอนิกส์ของผู้รบั (Receiver E-mail Address) ข้อมูลทีบ่ อกถึงสถานะในการตรวจสอบ
(Status Indicator) ซึง่ ได้แก่ อีเมล์ทส่ี ่งสาเร็จ อีเมล์ทต่ี อบกลับ หรือ อีเมล์ทม่ี กี ารส่งล่าช้าเป็นต้น
-ข้อมูลหมายเลขชุดอินเตอร์เน็ต ของเครื่องคอมพิวเตอร์ผู้ใช้บริการที่
เชื่อมต่ออยู่ขณะเข้ามาใช้บริการ (Date and time of connection of Client Connected to
server)
-ข้อมูลหมายเลข Port ในการใช้งาน (Protocol Process ID)
-ข้อมูลชื่อเครือ่ งให้บริการ (Host Name)
-ข้อมูลหมายเลขลาดับข้อความที่ได้ถูกส่งไปแล้ว (Posted Message
ID)
ค. ข้อ มู ล ที่เ กิด จากการโต้ ต อบกัน บนเครือ ข่ า ยอิน เตอร์เ น็ ต เช่ น
Internet Relay Chat (IRC) หรือ Instance Message (IM) เป็นต้น
-ข้อมูลเกี่ยวกับวัน เวลาการติดต่อของผูใ้ ช้บริการ (Date and Time of
Connection of client to Server)
-ข้อมูลชื่อเครือ่ งบนเครือข่าย (Client Hostname and/or IP Address)
-หมายเลขเครื่อ งของผู้ใ ห้บริการที่เชื่อ มต่ ออยู่ขณะนัน้ (Destination
Hostname and/or IP Address)
(3) ผูใ้ ห้บริการร้านอินเตอร์เน็ต มีหน้าทีเ่ ก็บข้อมูลจราจรทางคอมพิวเตอร์ ดังนี้
ก. ข้อมูล ที่สามารถระบุตวั บุค คล หรือ บัญชีผู้ใช้ท่ลี ็อกอินเข้าใช้งาน
ภายในร้าน ทัง้ ผ่านระบบปฏิบตั กิ าร หรือ ผ่าน Proxy Server และบัญชีผใู้ ช้นนั ้ ควรจะมีผูกพัน
ถึง บัตรประจาตัวประชาชนของผูเ้ ข้ามาใช้บริการ ทะเบียนบ้าน รูปถ่าย บางร้านใช้ระบบสมาชิก
ในการเก็บบันทึกเพียงครัง้ แรกครัง้ เดียว
ข. วันที่ เวลาของการเข้าใช้ และเลิกใช้บริการ รวมถึงหมายเลขเครื่อง
ทีใ่ ช้ IP Address (Internet Protocol Address) เช่น วันและเวลาทีเ่ ริม่ ต้นใช้งาน วันและเวลาที่
หยุดใช้งาน ระยะเวลาการใช้งาน เครื่องคอมพิวเตอร์ท่ใี ช้งาน และหมายเลขไอพีท่ใี ช้งาน โดย
ข้อมูลดังกล่าวนี้สามารถบันทึกด้วยการะนาระบบ Proxy Server หรือ Authentication Gateway
มาใช้
(4)ผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่านแอพพลิเคชันต่ ่ าง ๆ มีหน้ าที่เก็บข้อมูล
จราจรคอมพิวเตอร์ดงั นี้
-ข้อ มูล รหัส ประจาตัว ผู้ใ ช้หรือ ข้อ มูลที่สามารถระบุตวั ผู้ใ ช้บริการได้
หรือ เลขประจาตัว (User ID) ของผูข้ ายสินค้าหรือบริการ หรือ เลขประจาตัวผูใ้ ช้บริการ (User
ID) และทีอ่ ยูอ่ เี มล์ของผูใ้ ช้บริการ
12
-บันทึกข้อมูลการเข้าใช้บริการ
-กรณีผใู้ ห้บริการเว็บบอร์ด (Web board) หรือผูใ้ ห้บริการบล็อก (Blog)
ให้เก็บข้อมูลของผูป้ ระกาศ (Post) ข้อมูล
ทัง้ นี้ ในการเก็บรักษาข้อมูลจราจรตามที่กล่าวไปข้างต้นนัน้ ให้ผุ้ให้บริการเก็บเพียง
เฉพาะในส่วนทีเ่ ป็นข้อมูล จราจรทีเ่ กิดจากส่วนทีเ่ กีย่ วข้องกับบริการของตนเท่านัน้
ข้อ 8 การเก็บรักษาข้อมูล จราจรทางคอมพิว เตอร์ ผู้ใ ห้บริการต้องใช้วธิ กี ารที่มนคง ั่
ปลอดภัย ดังต่อไปนี้
(1) เก็บในสื่อ (Media) ทีส่ ามารถรักษาความครบถ้วนถูกต้องแท้จริง (Integrity)
และระบุตวั บุคคล (Identification) ที่เข้าถึงสื่อดังกล่าวได้ โดยสื่อทีจ่ ดั เก็บข้อมู ลจราจรควรต้อง
เป็ นสื่อทีส่ ามารถป้องกันความปลอดภัยจากการแก้ไขข้อมูลโดยมิชอบของผูท้ ไ่ี ม่มสี ่วนเกี่ยวข้อง
ได้เป็ นอย่างดี เรียกได้ว่าสามารถรักษาความถูกต้องของข้อมูลจราจรไว้ได้ เพื่อให้มนี ้ าหนักใน
ชัน้ ศาลในการสืบสวน สอบสวนต่อไป และควรต้องมีระดับชัน้ ความปลอดภัยในการเข้าถึงข้อมูล
จราจรดังกล่าว (Access Control) โดยระบุตวั บุคคลได้ ซึง่ ควรต้องมีระบบ Authentication หรือ
Identity Management เป็นต้น
(2)มีระบบการเก็บรักษาความลับของข้อมูลทีจ่ ดั เก็บ และกาหนดชัน้ ความลับใน
การเข้าถึงข้อมูลดังกล่าว เพื่อรักษาความน่ าเชื่อถือของข้ อมูล และไม่ให้ผู้ดูแลระบบสามารถ
แก้ไขข้อมูลที่เก็บรักษาไว้ เช่น การเก็บไว้ใน Centralized Log Server หรือการทา Data
Archiving หรือทา Data Hashing เป็ นต้น เว้นแต่ ผู้มหี น้าทีเ่ กี่ยวข้องทีเ่ จ้าของหรือผูบ้ ริหาร
องค์กรกาหนดให้สามารถเข้าถึงข้อมูลดังกล่าวได้ เช่น ผูต้ รวจสอบระบบสารสนเทศขององค์กร
(IT Auditor) หรือ บุ ค คลที่อ งค์กรมอบหมาย เป็ น ต้น รวมทัง้ พนักงานเจ้าหน้ าที่ต าม
พระราชบัญญัตนิ ้ี
(3)ผูม้ หี น้าทีป่ ระสานงานและให้ขอ้ มูลกับพนักงานเจ้าหน้าทีค่ วรถูกแต่งตัง้ โดย
ผู้บ ริห ารระดับ สู ง ขององค์ก รไว้ล่ ว งหน้ า เพื่อ เวลาพนัก งานเจ้า หน้ า ที่ต้อ งการข้อ มูล จะได้
ประสานงานได้อย่างถูกต้องและรวดเร็ว
(4)ในการเก็บข้อ มูล จราจรนัน้ ต้อ งสามารถระบุรายละเอียดผู้ใ ช้บริการเป็ น
รายบุคคลได้(Identification and Authentication) เช่น ลักษณะการใช้บริการ Proxy Server,
Network Address Translation (NAT) หรือ Proxy Cache หรือ Cache Engine หรือ บริการ
Free Internet หรือ บริการ Wi-Fi Hotspot ต้องสามารถระบุตวั ตนของผูใ้ ช้บริการเป็ นรายบุคคล
ได้จริง
การที่ จ ะระบุ ผู้ ใ ช้ บ ริ ก ารเป็ นรายบุ ค คล ได้ นั ้น องค์ ก รจ าเป็ นที่ จ ะต้ อ งมี ร ะบบ
Authentication เพื่อให้ผใู้ ช้บริการเข้ามา Log on หรือ Sign On กับระบบ โดยอาจผ่านทาง
ระบบ Proxy หรือ ระบบ Cache โดยสามารถตรวจสอบผูใ้ ช้บริการนัน้ เป็ นรายบุคคลแบบหนึ่ง
ต่อ หนึ่ง ซึ่งผู้ใ ช้บริก ารควรเก็บรักษารหัสผ่ านของตนไว้เ ป็ นความลับและไม่ค วรมีการใช้ช่อื
ร่วมกัน (Shared User ID) ในการเข้าใช้งานระบบทุกระบบโดยเฉพาะระบบอินเตอร์เน็ต
13
สาหรับบริการของ Service provider เช่นการใช้ Air card หรือ ใช้ SIM card แบบ
prepaid ก็ควรต้องระบุตวั ตนของผูใ้ ช้งานหรือผูท้ จ่ี ะจดทะเบียนเป็ นเจ้าของ Air card หรือ SIM
card ดังกล่าว เพื่อที่จะให้พนักงานเจ้าหน้าที่สามารถติดตามตรวจสอบการใช้งานของผู้ต้อง
สงสัยได้
(5) ในกรณีท่ผี ใู้ ห้บริการประเภทหนึ่งประเภทใด ในข้อ 1 ถึงข้อ 4 ข้างต้น ได้
ให้บริการในนามตนเอง แต่บริการดังกล่าวเป็ นบริการที่ใช้ระบบของผู้ให้บริการซึง่ เป็ นบุคคลที่
สามเป็ นเหตุให้ผู้บริการในข้อ 1 ถึงข้อ 4 ไม่สามารถรูไ้ ด้ว่าผู้ใช้บริการที่เข้ามาในระบบนัน้ เป็ น
ใคร ผู้ให้บริการ เช่นว่านี้ ต้องมาดาเนินการให้มวี ธิ กี ารระบุและยืนยันตัวบุคคล (Identification
and Authentication) ของผูใ้ ช้บริการผ่านบริการของตนเองด้วย
ยกตัวอย่างผูใ้ ห้บริการเข่าเว็บไซต์ (Web site) ทีจ่ ดทะเบียนทาธุรกิจในประเทศไทยแต่
ใช้คอมพิวเตอร์ท่ที าหน้าที่เป็ นเว็บไซต์ (Web server) อยู่ในประเทศสหรัฐอเมริกา ซึ่งไม่สาร
มารถจัดเก็บข้อมูล จราจรคอมพิว เตอร์ได้ ผู้ให้บริการดังกล่ าวควรมีระบบสมาชิกที่ส ามารถ
ติดตามผู้ใช้บริการที่มาเข่าเว็บไซต์ได้ เพื่อที่จะให้สามารถระบุตวั ตนบุคคลของผู้ใช้บริการได้
อย่างไม่มปี ญั หา
ข้อ 9 เพื่อให้ขอ้ มูลจราจรมีความถูกต้อง และนามาใช้ประโยชน์ได้จริง ผูใ้ ห้บริการต้อง
ตัง้ นาฬิกาของอุปกรณ์บริการทุกชนิดให้ตรงกับเวลาอ้างอิงสากล (Stratum 0) โดยผิดพลาดไม่
เกิน 10 มิลลิวนิ าที
แนวทางการดาเนินการ โดยกาหนดให้ปรับเวลาบนเครื่องเซิร์ฟเวอร์หรือ อุปกรณ์ ท่ี
เกี่ยวข้องกับการจัดเก็บข้อมูลจราจรคอมพิวเตอร์ให้เดินตามเวลามาตรฐาน ผ่านโปรโตคอล
Network Time Protocol หรือ NTP ไปที่ NTP Server ทีม่ คี ่าเป็ น Stratum อยู่ในช่วง 1-15
เพื่อให้เวลาผิดพลาดไม่เกิน 10 มิลลิวนิ าที ควรเลือก NTP Server ที่มคี ่าน้อย ๆซึ่งหมายถึง
เวลาจะตรงกับมาตรฐานสากลทีส่ ุด ตัวอย่างการดาเนินการ เช่น
(1) จัดให้มกี ารตัง้ สัญญาณเวลาด้วยโปรโตคอล Network Time Protocol หรือ
NTP ไปยังเซิร์ฟเวอร์ท่ใี ห้บริการข้อมูลเวลาอย่างน้ อยเป็ น Stratum 1 ในเมืองไทย มีผู้
ให้บริการ ดังต่อไปนี้
-สถาบันมาตรวิทยาแห่งชาติ เครือ่ ง time1.nimt.or.th หรือ ip 203.185.69.90
-กรมอุ ทกศาสตร์ กองทัพเรือ เครื่อ งเซิร์ฟเวอร์ time.navy.mi.th หรือ ip
118.175.67.83
-ศู น ย์ป ระสานงานการรัก ษาความปลอดภัย คอมพิว เตอร์ป ระเทศไทยหรือ
ThaiCERT เครือ่ งเซิรฟ์ เวอร์ clock.thaicert.org หรือ ip 192.43.244.18
(2) ควรกาหนดให้มกี ารตัง้ ค่าเวลาผ่าน NTP ไปทีเ่ ซิรฟ์ เวอร์ NTP Server ทีม่ ี
ค่า Stratum เป็น 1 อย่างน้อย 2 หรือ 3 เซิรฟ์ เวอร์เป็นอย่างน้อย
14
การอ้า งอิง เวลาของระบบที่อ งค์ก รใช้ง านอยู่ใ ห้ต รงกับ เวลาสากล ส าหรับ การรับ
สัญญาณนาฬิกา โดยการใช้ Network Time Protocol จาก NTP Server มีการอ้างอิงเวลามา
จาก Stratum 0 เช่นกัน
ข้อ 10 ผูใ้ ห้บริการซึง่ มีหน้าทีเ่ ก็บข้อมูลจราจรทางคอมพิวเตอร์ตามข้อ 7 เริม่ เก็บข้อมูล
ดังกล่าวตามลาดับ ดังนี้
(1) ให้ผปู้ ระกอบกิจการโทรคมนาคมและกิจการกระจายภาพและเสียง เริม่ เก็บ
ข้อมูลจราจรทางคอมพิวเตอร์เมือ่ พ้นสามสิบวันนับจากวันประกาศในราชกิจจานุเบกษา
(2) ให้ผู้ ใ ห้บ ริก ารเข้า ถึง ระบบเครือ ข่ า ยคอมพิว เตอร์ เฉพาะผู้ ใ ห้บ ริก าร
เครือข่ายสาธารณะหรือผูใ้ ห้บริการอินเตอร์เน็ต (ISP) เริม่ เก็บข้อมูลจราจรทางคอมพิวเตอร์เมื่อ
พ้นหนึ่งร้อยแปดสิบวันนับจากวันประกาศในราชกิจจานุเบกษา
ผูใ้ ห้บริการอื่นนอกจากทีก่ ล่าวมาในข้อ 10 (1) และข้อ 10 (2) ข้างต้น ให้เริม่ เก็บข้อมูล
จราจรทางคอมพิวเตอร์เมือ่ พ้นหนึ่งปีนบั จากวันประกาศในราชกิจจานุเบกษา
15
2.2.5 ปั ญหำโดยรวมของพระรำชบัญญัติ ว่ำด้ วยกำรกระทำควำมผิ ดเกี่ยวกับ
คอมพิ วเตอร์ พ.ศ.2550 และแนวทำงแก้ไข
1.ปญั หาคอขวด (Bottleneck) ทีอ่ าจเกิดขึน้ ได้ในทุกองค์กร ถ้าออกแบบระบบไม่ดโี ดย
ไม่มกี ารเผื่อ ขนาดของอุปกรณ์ ก็อาจก่ อให้เกิดปญั หาเวลาที่มผี ู้ใช้งานระบบเครือข่ายจานวน
มาก ดังนัน้ จึงควรมีการกาหนดค่า EPS หรือ Event Per Second ให้กบั อุปกรณ์เวลาจัดซือ้ จัด
จ้างให้รองรับ Log จากเครือ่ งแม่ขา่ ย และอุปกรณ์เครือข่ายทัง้ หลายได้อย่างไม่มปี ญั หา
2.ปญั หาผู้ใช้งานระบบไม่ยอมรับ เป็ นปญั หาเกี่ยวกับ "คน" ไม่เกี่ยวกับ "เทคโนโลยี"
เนื่องจากในปจั จุบนั ผูใ้ ช้งานเครือข่าย และระบบ อินเตอร์เน็ตมี "ความเคยชินทีจ่ ะใช้อนิ เตอร์เน็ต
โดยไม่มกี ารใส่ username และ password แต่ภายหลังจากทีต่ ดิ ตัง้ ระบบ Authentication เวลา
ที่ทุกคนต้องการใช้งานอินเตอร์เน็ตต้องป้อน Username และ password ทุกครัง้ ไป ทาให้
ผู้ใช้งานอาจเกิดความไม่สะดวก และไม่เข้าใจถึงเหตุผลที่ต้องทาเช่นนี้ ดังนัน้ แนวทางในการ
แก้ปญั หาทีถ่ ูกต้องคือ องค์กรควรมีการจัดทาโครงการฝึ กอบรม ความเข้าใจพื้นฐานด้านความ
ปลอดภัยของข้อมูลและความเข้าใจในกฎหมาย ICT ต่าง ๆ ทีค่ วรทราบ ให้กบั ผูใ้ ช้งานเครือข่าย
และระบบอินเตอร์เน็ต ก็สามารถจะช่วยให้ผใู้ ช้งาน มีความเข้าใจและปฏิบตั ิ ตามนโยบายด้าน
ความปลอดภัยขององค์กรด้วยความเต็มใจ
3.ปญั หาเรื่องไม่มงี บประมาณ หรือ งบประมาณไม่เพียงพอ ก็เป็ นอีกปญั หาหนึ่งที่ต้อง
รีบแก้ไขตัง้ แต่เนิ่น ๆ โดยเฉพาะหน่ วยงานราชการทีต่ ้ องวางแผนในการใช้งบประมาณล่วงหน้า
จึงต้องมีการจัดทางบประมาณสาหรับสังซื ่ อ้ อุปกรณ์และการจัดทา ระบบ Centralized log ไว้
ตัง้ แต่เนิ่น ๆ
4.ปญั หาเรือ่ งผูบ้ ริหารระดับสูงไม่ใส่ใจเรือ่ งกฎหมายมากเพียงพอ นับว่าเป็ นปญั หาใหญ่
ที่ต้อ งแก้ไ ขอย่า งรีบ ด่ ว น ซึ่ง อาจเกิด จากการที่ผู้ บ ริห ารระดับ สูง ไม่ไ ด้ร บั ทราบข้อ มูล เรื่อ ง
กฎหมายอย่างเพียงพอ ทาให้ต ัว ผู้บริหารเองที่ไม่ใ ช่ค นไอที ไม่ราบว่าตอนและองค์กรต้อ ง
ปฏิบตั อิ ย่างไร อีกทัง้ เรือ่ งความปลอดภัยข้อมูลคอมพิวเตอร์มกั จะเป็น "Second Priority" เสมอ
ผู้บริหารส่วนใหญ่จงึ ไม่ค่อยเข้าใจและไม่ให้ความสาคัญเท่าใดนัก จนกว่าจะเกิดปญั หาขึน้ ซึ่ง
บางครัง้ ก็สายเกินไปดังนัน้ จึงต้องมีการจัดอบรมความเข้าใจพื้นฐานด้านความปลอดภัยข้อมูล
สาหรับผู้บริห ารระดับสูง ซึ่งควรใช้เ วลา 1-3 ชัวโมง ่ เพื่อ สร้างความเข้าใจในเรื่อ งกฎหมาย
พ.ร.บ.ฯว่าด้วยการกระทาความผิดเกีย่ วกับคอมพิวเตอร์
5.ปญั หาเรื่องการขาดบุคลากรที่มคี วามเชี่ยวชาญในเรื่องการจัดเก็บและการวิเคราะห์
Log ป ญ ั หานี้ เ ป็ น ป ญั หาปกติท่ีส ามารถแก้ ไ ขได้โ ดยง่ า ย กล่ า วคือ หลายองค์ก รไม่ ไ ด้ ม ี
ผูเ้ ชีย่ วชาญด้านความปลอดภัย หรือ ผูเ้ ชีย่ วชาญเรื่องการจัดเก็บและวิเคราะห์ Log โดยตรง แต่
องค์สามารถจ้าง Outsource เพื่อให้ผเู้ ชีย่ วชาญจากภายนอกเข้ามาช่วยได้ ซึง่ ส่วนใหญ่บริษทั
ประเภท MSSP หรือ "Management Security Provider" ควรต้องมีบุคคลากรผูเ้ ชีย่ วชาญด้าน
ความปลอดภัย ข้อ มูล สารสนเทศและมีนั ก วิเ คราะห์ด้ า นความปลอดภัย ฯ หรือ "Security
Analyst" เพื่อให้บริการด้านการวิเคราะห์ขอ้ มูลจาก Log Server อยู่แล้ว ดังนัน้ องค์กรจึงไม่ม ี
16
ความจาเป็ นต้องลงทุนเพิม่ เรื่องบุคคลากรตลอดจนไม่ต้องทาในสิง่ ทีอ่ งค์กรไม่มคี วามถนัดและ
เชีย่ วชาญ รวมทัง้ สามารถประหยัดงบประมาณโดยรวมให้กบั องค์กรอีกด้วย
กล่ า วโดยสรุ ป คือ การปฏิ บ ัติ ตาม พ.ร.บ.ฯ ว่ า ด้ว ยการกระท าความผิด เกี่ย วกับ
คอมพิว เตอร์นัน้ ถือ เป็ น หน้ า ที่ท่ีทุก องค์กรต้อ งปฏิบ ัติ เพื่อ แสดงความรับผิด ชอบต่ อ สัง คม
โดยรวม เพราะเมื่อเกิดเหตุการณ์ หรืออาชญากรรมทางคอมพิวเตอร์ การสืบสวนของตารวจ
และพนักงานเจ้าหน้าที่ จาเป็ นต้องมีหลักฐานทางคอมพิวเตอร์ หรือ Digital Evidence เพื่อใช้
ประกอบการพิจารณาคดีใ นชัน้ ศาล และ ระบุหาต้นตอและแหล่ งที่มาของผู้กระทาความผิด
ดังกล่าว
17
ข้อบังคับ หรือ พ.ร.บ.ฯ หรือตามจุดประสงค์ขององค์กร เช่นข้อมูลล็อกตามความหมายของ
ข้อมูลจราจรคอมพิวเตอร์ หรือ ข้อมูลผู้ใช้บริการต้องเก็บไว้ไม่น้อยกว่า 90 วันนับตัง้ แต่ขอ้ มูล
เข้าสู่ระบบคอมพิวเตอร์เป็ นต้น และทีส่ าคัญ ควรกาหนดมาตรการการสารองข้อมูลล็อก เพื่อให้
สามารถรักษาความพร้อมใช้ของข้อมูลล็อก เมื่อผูท้ ไ่ี ด้รบั อนุ ญาตต้องการใช้งานข้อมูลล็อกด้วย
เช่นกัน
จากประกาศในราชกิจ จานุ เ บกษาเรื่อ ง หลัก เกณฑ์ก ารเก็บ รัก ษาข้อ มูล จราจรทาง
คอมพิวเตอร์ของผู้ให้บริการ พ.ศ.2550 เมื่อวันที่ 23 สิงหาคม 2550 ตามข้อ 8 และข้อ 9 นัน้
ต้องการให้ผใู้ ห้บริการต้องดาเนินการเก็บข้อมูลล็อกตามประเภทของผูใ้ ห้บริการให้ครบถ้วนและ
ต้องมีการรักษาข้อมูลจราจรคอมพิวเตอร์ หรือข้อมูลล็อกให้มคี วามมันคงปลอดภั ่ ยและสามารถ
น ามาใช้ ส ืบ สวนตามกระบวนการต่ อ ไปได้ ซึ่ง การวิเ คราะห์ ข้อ มู ล ล็ อ กหรือ ข้อ มู ล จราจร
คอมพิวเตอร์ได้อย่างถูกต้อง ค่าเวลาที่ปรากฏบนข้อมู ลล็อกต้องตรงกับเวลาจริง ดังนัน้ การนา
ข้อมูลล็อกจากหลายแหล่งมาวิเคราะห์จะสามารถลาดับเหตุการณ์ทเ่ี กิดขึน้ ได้อย่างถูกต้อง
ตาม พ.ร.บ.ว่าด้วยการกระทาผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 โดยที่การเก็บล็อก
ตาม พ.ร.บ. นัน้ จะต้องดาเนินการเก็บล็อกดังต่อไปนี้
- Operating System Logs คือ ล็อกทีเ่ กิดขึน้ กับระบบปฏิบตั กิ าร เช่น แจ้งข้อมูลของ
เหตุการณ์ของเซอร์วสิ ใดบ้างทีไ่ ม่ทางานหรือมีการทางานผิดพลาด (error)
- Application Logs คือ ล็อกทีเ่ กิดขึน้ กับโปรแกรมนัน้ ๆ เช่น โปรแกรมระบบฐานข้อมูล
ก็จะมีการเก็บข้อมูลเหตุการณ์การใช้งานระบบฐานข้อมูล เป็นต้น
-Security Logs คือ ล็อกทีเ่ กิดขึน้ จากเหตุการณ์บุกรุก หรือ โปรแกรมป้องกันภัยด้าน
IT ต่าง ๆ เช่น ข้อมูลของเหตุการณ์ทโ่ี ปรแกรมไฟร์วอลล์นนั ้ แจ้งเตือนการพยายามละเมิดกฏที่
ได้กาหนดไว้ ทัง้ นี้ ตาม พ.ร.บ. จะต้องมีการเก็บล็อกเหล่านี้ไว้ไม่น้อยกว่า 90 วัน
2.3.2 ข้อกำหนดกำรเก็บข้อมูลล็อกตำมมำตรฐำนควำมมันคงปลอดภั ่ ย ISO/IEC
27001
ข้อมูลล็อกในความหมายตามมาตรฐานความมันคงปลอดภั ่ ย ISO/IEC 27001 หมายถึง
ข้อมูลทีเ่ ป็นการบันทึกเหตุการณ์ทเี กิดขึน้ บนระบบอุปกรณ์คอมพิวเตอร์ หรือ อุปกรณ์เครือข่าย
และมีความหมายเดียวกัน กับข้อมูลจราจรคอมพิวเตอร์ และข้อมูลผู้ใช้บริการ ตามที่ พ.ร.บ.ว่า
ด้วยการกระทาความผิดเกีย่ วกับคอมพิวเตอร์ พ.ศ.2550
หรือ กล่ า วได้ว่ า ข้อ มูล จราจรคอมพิว เตอร์แ ละข้อ มูล ผู้ใ ช้บ ริก ารตามความหมายใน
พ.ร.บ.นัน้ เป็ นข้อมูลทีร่ ะบบหรือ อุปกรณ์คอมพิวเตอร์ทาการบันทึกไว้ หรือเรียกว่าข้อมูลล็อก
หรือ Log ซึง่ ควรจะมี วัน เวลา ของเหตุการณ์ขอ้ มูลทีเ่ กี่ยวข้อง เช่น ถ้าเป็ นทราฟฟิกเครือข่าย
หรือข้อมูลการติดต่อจะมีขอ้ มูลไอพีแอดเดรสต้นทาง ปลายทาง โปรโตคอลที่ใช้ ซึ่งสอดคล้อง
ตามความหมายของคาว่าข้อมูลจราจรคอมพิวเตอร์ ในกรณีทเี ป็ นการทางานของแอพพลิเคชัน่
ข้อมูลล็อกดังกล่าวควรมีการบันทึก วันที่ เวลา การเชื่อมต่อ ฟงั ก์ชนของแอพพลิ
ั่ เคชันที
่ เ่ รียกใช้
ชื่อบัญชี ผูใ้ ช้ทใ่ี ช้งาน ซึง่ สอดคล้องกับความหมายของข้อมูลผูใ้ ห้บริการ
18
โดยสรุ ป ค าว่ า "ข้อ มูล ล็อ ก" มีค วามหมายรวมความว่ า เป็ น ได้ ท ัง้ "ข้อ มู ล จราจร
คอมพิวเตอร์" หรือเป็น "ข้อมูลผูใ้ ช้บริการ" ก็ได้ขน้ึ อยูก่ บั ว่าจะมองในมุมใด
ข้อปฏิบตั ทิ ต่ี อ้ งกระทาให้สอดคล้องตามที่ พ.ร.บ.ฯ ได้กาหนดไว้คอื
- ในกรณีท่ขี ้อมูลล็อกบนระบบทัง้ เซิร์ฟเวอร์ และระบบเครือข่าย หรือ แอพพลิเ คชัน่
ไม่ได้มกี ารจัดเก็บตามที่ พ.ร.บ.ฯ ได้กาหนดไว้ต้องดาเนินการปรับแต่งค่าบนอุปกรณ์เซิรฟ์ เวอร์
แอพพลิเคชันให้ ่ ดาเนินการเก็บข้อมูลล็อกให้ได้ตามประเภทของผูใ้ ห้บริการ
- จัดให้มกี ารกาหนดมาตรการป้องกันข้อมูลล็อกให้มคี วามมันคงปลอดภั ่ ยและเชื่อถือได้
- แต่งตัง้ เจ้าหน้าที่ ในองค์กรหรือหน่วยงานเพื่อติดต่อประสานงานกับพนักงานเจ้าหน้าที่
ที่ไ ด้รบั แต่งตัง้ ของรัฐ เพื่อสะดวกรวดเร็วเมื่อ มีเ หตุ การณ์ ท่ขี ดั ต่อ พ.ร.บ. หรือเมื่อ พนักงาน
เจ้าหน้าทีต่ อ้ งการข้อมูล
ระบบบริหารจัดเก็บข้อมูลล็อกทีส่ ่วนกลาง (Centralized Log Management system)
ควรมีค วามสามารถในการรวบรวมล็อก มาวิเ คราะห์รายละเอียดและทารายงานในลักษณะ
Real-Time และ Daily report เพื่อให้ผเู้ ชีย่ วชาญด้านความปลอดภัยสามารถนาข้อมูลเหล่านี้มา
วิเ คราะห์เ ชิงลึก และแจ้งเตือ นองค์กรให้ทราบถึงความเสี่ยงที่อ าจเกิดขึ้ นจากการวิเ คราะห์
ข้อ มูล ล็อ กทาให้อ งค์ก รสามารถลดผลกระทบจากความเสียหายที่อ าจเกิดขึ้น หากไม่มกี าร
วิเคราะห์ขอ้ มูลล็อกดังกล่าว ตลอดจนเป็ นประโยชน์ต่อผูต้ รวจสอบระบบสารสนเทศ (IT Audit)
ในการทาข้อมูลรายงานจากระบบบริหารจัดการข้อมูลล็อกส่วนกลาง ตามหลักการทีเ่ ป็ นไปตาม
มาตรฐาน COSO, CobiT, หรือ ISO/IEC 27001 เป็นต้น
การจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ หรือ ข้อมูลล็อกที่ถูกต้องนัน้ ควรต้องจัดเก็บ
แบบรวมศูนย์ท่สี ่วนกลาง ต้องสามารถป้องกันการเข้ามาแก้ไขข้อมูลล็อกโดยไม่ได้รบั อนุ ญาต
อีกทัง้ ต้องสามารถเก็บข้อมูลล็อกไว้ได้นานตามทีก่ ฎหมายระบุไว้ คืออย่างน้อย 90 วัน เรียกว่า
"Log Retention Period" ดังนัน้ ฮาร์ดดิสก์หรือระบบ Storage ของ Centralized Log
Management System ต้องถูกออกแบบมาโดยเฉพาะใช้ในการเก็บข้อมูลล็อกเท่านัน้
2.3.3 ส่วนประกอบของระบบเก็บข้อมูลล็อก
1.Log Generation หรือ Log Source เป็ นแหล่งกาเนิดข้อมูลล็อกหรือสร้าง
ข้อ มูล ล็อ กเป็ นเซิร์ฟ เวอร์ห รือ อุ ปกรณ์ บนเครือ ข่ายที่ม ีข้อ มูล ล็อ กจากระบบปฏิบตั ิการ แล ะ
แอพพลิเคชันการจั ่ ดเก็บข้อมูลล็อ กบนเครื่องเซิรฟ์ เวอร์หรืออุปกรณ์ในตัวเองเรียกว่า Primary
Logging ในกรณีทม่ี กี ารจัดส่งข้อมูลล็อกไปยังล็อกเซิร์ฟเวอร์ (Log server) จะเรียกลักษณะการ
ส่งข้อมูลล็อกนี้ว่า Secondary Logging
2. Log Storage and Correlation เป็ นล็อกเซิรฟ์ เวอร์สาหรับรับข้อมูลล็อก
จากแหล่งกาเนิดข้อมูลล็อก (Log Generation) เพื่อจัดเก็บตามรูปแบบทีก่ าหนดไว้ รวมทัง้ การ
แปลงข้อมูลล็อกให้อยู่ในรูปแบบทีส่ ามารถจัดเก็บได้ ซีง่ อาจรวมถึงการแปลงรูปแบบข้อมูลล็อก
ให้พ ร้อ มจะน าไปวิเ คราะห์ต่ อ ได้ ไม่ ว่ า จะมีรูป แบบของข้อ มูล ล็อ กแตกต่ า งกัน ในกรณี ท่ี
19
เซิร์ฟเวอร์ดงั กล่าวรับข้อมูลล็อกจากแหล่งกาเนิดข้อมูลล็อกจานวนมากจะเรียกว่า Collector
หรือ Aggregators
3. Log Analysis and Monitoring เป็ นหน้าต่างสาหรับผูด้ ูแลระบบ หรือผูท้ ม่ี ี
หน้าที่รบั ผิดชอบในการวิเคราะห์ขอ้ มูลล็อก และติดตามตรวจสอบความถูกต้องของข้อมูลล็อก
ระบบจัดเก็บข้อมูลล็อกบางระบบสนับสนุนการสร้างรายงานการวิเคราะห์ขอ้ มูลล็อก ทัง้ นี้เพื่อให้
ข้อมูลเร็วและตรงกับความเป็ นจริงในปจั จุบนั ทีส่ ุด ดังรูปที่ 2.1
20
ซึง่ หากพิจารณาแล้วระบบเก็บข้อมูลล็อกตาม พ.ร.บ. จะมีส่วนประกอบดังนี้
1.ควำมสำมำรถทัวไปของระบบกำรจั
่ ดเก็บข้อมูลล็อก [3]
1) Log parsing ทาหน้าทีใ่ นการดึงข้อมูลล็อก เพื่อให้สามารถเก็บบนระบบฐานข้อมูล
หรือส่งต่อให้กบั ระบบเก็บฐานข้อมูลล็อกอื่นได้ รวมถึงการแปลงข้อมูลล็อกหรือ Log
Conversation ให้อยูใ่ นรูปแบบทีต่ อ้ งการหรือพร้อมสาหรับนาไปใช้งานต่อไป
2) Event filtering ทาหน้าทีก่ รองข้อมูลล็อก เพื่อใช้สาหรับการวิเคราะห์ การรายงาน
หรือการประเมินแนวโน้มของเหตุการณ์ ตามคุณลักษณะของเหตุการณ์หรือความผิดปกติท่ี
เกิดขึน้ รวมถึงคัดกรองเหตุการณ์หรือข้อมูลล็อกทีไ่ ม่เกี่ยวข้อง ฟงั ก์ชนของ
ั่ event filtering ควร
มีการป้องกันการเปลีย่ นแปลงของข้อมูลล็อกด้วย
3) Event aggregation ทาหน้าทีใ่ นการรวบรวมข้อมูล หรือ ปรับเปลีย่ นข้อมูลให้อยูท่ ่ี
เดียวกันเพื่อให้สะดวกต่อการร้องขอหรือสร้างรายงาน
2.กำรจัดเก็บข้อมูลล็อก
1) Log rotation เป็นการจัดเก็บล็อกไฟล์โดยการหมุนเวียนข้อมูลล็อก หมายถึงการ
บันทึกไฟล์ขอ้ มูลไว้เป็ นชื่ออื่น และสร้างไฟล์ลอ็ กใหม่เพื่อรองรับการบันทึกข้อมูลต่อไป
ตัวอย่างเช่นการบันทึกไฟล์ลอ็ กเป็น /var/log/message เมือ่ มีการหมุนเวียน จะบันทึก
ข้อมูลล็อกเป็น /var/log/message.1 และสร้างไฟล์ลอ็ กใหม่เป็ นชื่อ /var/log/message เป็นต้น
เพื่อป้องกันไม่ให้มไี ฟล์ขอ้ มูลล็อกขนาดใหญ่เกินจนไม่สามารถใช้งานได้ โดยปกติการหมุน
ข้อมูลล็อกจะดาเนินการตามระยะเวลาทีเ่ หมาะสมเช่น ทุกวัน ทุกสัปดาห์ หรือ เมือ่ ขนาดของ
ไฟล์ขอ้ มูลล็อกมีขนาดถึงทีก่ าหนดไว้ นอกจากนี้ยงั นาข้อมูลล็อกเดิมเมือ่ มีการหมุนเวียนข้อมูล
ล็อกไปบีบอัดข้อมูลเพื่อเพิม่ พืน้ ทีเ่ ก็บข้อมูล หรือ ทา Log archive ได้ การหมุนเวียนข้อมูลล็อก
ทีเ่ หมาะสมคือการบันทึกข้อมูลล็อกแยกเป็นรายวัน และแยกตามเซิรฟ์ เวอร์ หรือ อุปกรณ์ใน
ระบบเครือข่าย
2) Log archival คือการสารองข้อมูลล็อกเพื่อให้สามารถรักษาระยะเวลาในการจัดเก็บ
ข้อมูลล็อกตามความต้องการ โดยการบันทึกข้อมูลล็อกบนสื่อบันทึกข้อมูลภายนอก หรือการ
บันทึกข้อมูลบน SAN (Storage Area Network) หรือการบันทึกบนเซิรฟ์ เวอร์หรือข้อมูลทีท่ า
หน้าทีเ่ ฉพาะในการบันทึกข้อมูลล็อก เป็นต้น การจัดทา Log archival แบ่งเป็นสองแบบคือ
- Log retention เป็นการบันทึกข้อมูลล็อกของเหตุการณ์จากระบบสม่าเสมอ
- Log preservation เป็นกระบวนการรักษาข้อมูลล็อก เพื่อให้สามารถนาไปใช้รว่ มกับ
การรับมือเหตุการณ์ดา้ นความมันคงปลอดภั
่ ยหรือเหตุการณ์ผดิ ปกติทเ่ี กิดขึน้ กับระบบ
สารสนเทศและสามารถรักษาข้อมูลล็อกได้ตามระยะเวลากาหนดไว้ หรือตามความต้องการจาก
ภายนอกเช่น ความต้องการ ของ พ.ร.บ. ว่าด้วยการะกระทาผิดเกี่ยวกับคอมพิวเตอร์เป็นต้น
21
3) Log compression คือการบีบอัดข้อมูลล็อก เพื่อเพิม่ พืน้ ทีใ่ นการจัดเก็บข้อมูลล็อก
และง่ายต่อการสารองข้อมูลล็อก หรือ การย้ายข้อมูลล็อกไปเก็บไว้บนสื่อบันทึกข้อมูลอื่น มัก
ดาเนินการต่อเนื่องจาก Log rotation หรือ Log archival
4) Log reduction เป็นการตัด ลบ หรือ ลดข้อมูลล็อกบางส่วนทีไ่ ม่เกีย่ วข้อง เช่นการลบ
ตัวอักษรหรืออักขระทีไ่ ม่จาเป็นต่อการเก็บบันทึกข้อมูลล็อก มักจะดาเนินการควบคู่กบั
กระบวนการ Log archival เพื่อลดข้อมูลล็อกทีไ่ ม่เกีย่ วข้องก่อนจะบันทึกข้อมูลล็อกในสื่อบันทึก
ข้อมูล
5) Log conversion เป็นการแปลงรูปแบบการจัดเก็บข้อมูลล็อก หรือ แปลงรูปแบบการ
เก็บข้อมูลล็อกจากรูปแบบหนึ่งไปเป็ นอีกรูปแบบหนึ่ง เช่น แปลงข้อมูลล็อกจากรูปแบบของไฟล์
Text เป็นรูปแบบข้อมูลล็อกแบบ XML เป็นต้น ส่วนหนึ่งแล้วการทา Log conversion มักจะทา
กระบวนการ Event filtering และ Event aggregation จนถึง Log normalization
6) Log normalization เป็นการปรับรูปแบบของข้อมูลล็อกให้อยูใ่ นรูปแบบเดียวกัน เช่น
การปรับรูปแบบของวันที่ ทีแ่ ตกต่างกัน หรือ ความแตกต่างของชื่อตาแหน่งของข้อมูลล็อก มี
ความสาคัญมากกับการใช้ลอ็ กเซิรฟ์ เวอร์แบบศูนย์กลาง เพื่อเก็บข้อมูลล็อก และ สามารถ
วิเคราะห์ขอ้ มูลล็อก ซึง่ ต้องมีความสามารถในการรับข้อมูลล็อกหลายรูปแบบ และต้องทา Log
normalization ในการแปลงข้อมูลล็อกให้อยูใ่ นรูปแบบทีส่ ามารถจัดเก็บ สืบค้น และวิเคราะห์ได้
โดยผูท้ ม่ี คี วามรูค้ วามเชีย่ วชาญต่อไป
7) Log file integrity checking เป็นกระบวนการตรวจสอบความถูกต้องของล็อกไฟล์
โดยการทา Data Hashing กับล็อกไฟล์ทไ่ี ม่มกี ารเขียนข้อมูลแล้ว เช่น การทา log rotation เป็น
รายวัน ดังนัน้ สามารถนาข้อมูลล็อกไฟล์ของเดือนก่อนหน้ามาเข้ากระบวนการนี้ได้ ซึง่ จะจะ
นามาบีบอัดและคานวณด้วยวิธ ี Message Digest เช่นการคานวณด้วยอัลกอริทมึ MD5 ขนาด
128 บิต หรือ อัลกอริทมึ SHA-1 ขนาด 128 บิต เป็นต้น ผลลัพธ์ทไ่ี ด้จะมีขนาดความยาวขนาด
128 บิต เพื่อใช้เป็นตัวแทนของล็อกไฟล์ และ ควรจัดเก็บไว้ในสื่อบันทึกข้อมูลทีป่ ลอดภัยเช่น
สื่อบันทึกทีเ่ ขียนได้อย่างเดียว
ซึง่ ในโครงงานนี้จะมี แหล่งกาเนิดข้อมูลล็อกทีส่ าคัญต้องเก็บไว้ตามหลัก พ.ร.บ. คือ
1.ข้อมูลล็อกการเข้าใช้งานระบบ หรือ Account Information เป็นการบันทึกข้อมูลล็อก
การพิสูจน์ตวั ตน ทัง้ ในกรณีสาเร็จและไม่สาเร็จทีเ่ กิดขึน้
2.ข้อมูลการเริม่ ใช้งานระบบและเลิกใช้งานของระบบ
3. ข้อมูล จาก เซิรฟ์ เวอร์สาหรับการพิสูจน์ตวั ตน หรือ Authentication Server ด้วย
โปรโตคอล RADIUS ซึง่ ได้แก่ ล็อก บัญชีผใู้ ช้ รหัสผ่าน สถานะการพิสจู น์ตวั ตน วัน เวลา เป็น
ต้น
ซึง่ ในโครงงานนี้มกี ารใช้งาน Authentication gateway ในระบบเครือข่ายไร้สายด้วย ซึง่
เรียกว่า Captive Portal เพื่อเข้าถึงเครือข่ายไร้สายแบบ Hotspot ข้อมูลล็อกโดยมากจะ
22
ประกอบด้วย วันเวลาของเครือ่ งผูใ้ ช้ หมายเลขไอพีแอดเดรสก่อนและหลังการเชื่อมต่อ
สถานะการพิสูจน์ตวั ตน ชื่อผูใ้ ช้สาหรับพิสูจน์ตวั ตน เป็นต้น
2.4 ซอฟต์แวร์ที่เกี่ยวข้อง
จากข้อมูลขัน้ ต้นที่ได้กล่าวถึงเครื่องมือและโปรแกรมต่าง ๆ ที่ใช้ซ่งึ อาจจะมีโปรแกรม
อื่น ๆ ที่ไม่ได้กล่าวถึง โดยในที่น้ี ผู้ศกึ ษาจะนาเอา Tools ที่ไม่ใช่ Commercial หรือ Open
source มาใช้ในการพัฒนาใช้ให้สอดคล้องกับพระราชบัญญัติว่าด้วยการกระทาผิดเกี่ยวกับ
คอมพิวเตอร์ พ.ศ.2550 โดย Software ทีใ่ ช้มดี งั ต่อไปนี้
Centos 5.9
Apache 2.2.3
Freeradius
Chillispot
Squid
NTP(Network Time Protocol)
rsyslog
Iptables
PHP
MySQL 5.6
23
2.4.2 Apache [7]
Apache พัฒนาโดย Rob McCool ในช่วงปี 1990 มีต้นกาเนิดมาจาก National Center
for Supercomputing Applications (NCSA) HTTPd web server หลังจากทีโ่ ครงการ NCSA
HTTPs web server ถูกยกเลิก ได้มนี กั พัฒนาหลายคนนา HTTPd มาปรับปรุงและใช้งาน
ในเดือนกุมภาพันธ์ 1995 ได้มกี ารจัดตัง้ Apache Group ขึน้ โดยนักพัฒนา 8 คน และ
ได้เผยแพร่เวอร์ชนแรกของ
ั่ Apache คือ v.0.6.2 ในเดือนเมษายน 1995 และจากนัน้ Apache
1.0 ก็ได้ถูกเผยแพร่เมือ่ 1 ธันวาคม 1995 และได้รบั ความนิยมอย่างรวดเร็วภายในเวลา 1 ปี
กลายเป็ นเว็บเซิรฟ์ เวอร์ทม่ี ผี ใู้ ช้งานมากทีส่ ุด
ปจั จุบนั The Apache Software Foundation เป็นผูด้ แู ลโครงการ Apache HTTP
server ซึง่ มีจดุ ประสงค์เพื่อสร้างเว็บเซิรฟ์ เวอร์ทม่ี คี วามทนทานต่อการใช้งาน มีคุณภาพใน
ระดับของ Commercial-grade มี feature ทีน่ ่ าใช้งาน และสามารถเปิดเผย source code ได้
ทัง้ นี้สามารถใช้ Apache เว็บเซิรฟ์ เวอร์ได้ฟรีภายใต้ขอ้ กาหนด Apache Software license
การติดตัง้ Apache ให้มคี วามปลอดภัยนัน้ ขึน้ อยูก่ บั ตัวระบบปฏิบตั กิ ารและการเชื่อมต่อ
เครือข่ายมากกว่า เพราะถึงแม้ว่าหน้าต่างจะปิดไว้แต่ถา้ พอร์ตยังเปิดช่องไว้อยูก่ ไ็ ม่มปี ระโยชน์
แต่อย่างไร
อย่างไรก็ตามการทีเ่ ราจะติดตัง้ เว็บเซิรฟ์ เวอร์ให้มคี วามปลอดภัยนัน้ ก็ไม่ควรทีจ่ ะติดตัง้
เซอร์วสิ อื่น ๆ ทีไ่ ม่จาเป็น เช่น ftp, mail ซึง่ ถ้ามีความจาเป็นต้องติดตัง้ ก็ควรจะติดตัง้ แยกเครือ่ ง
กันต่างหาก ทัง้ นี้รวมไปถึงการไม่ตดิ ตัง้ แอพพลิเคชันที ่ ไ่ ม่จาเป็ นรวมทัง้ คอมไพเลอร์ดว้ ย
นอกจากนี้ปญั หาเรือ่ ง Network security ก็จาเป็ นต้องกล่าวถึงเป็นอย่างยิง่ เพราะ โดย
ส่วนใหญ่แล้ว Apache จะถูกเชื่อมต่อโดยตรงกับอินเตอร์เน็ต โดยไม่ได้มกี ารกรองจาก
ไฟร์วอลล์ซง่ึ ถ้ามีความสามารถในการลงทุนและให้ความสาคัญกับ network security แล้ว ก็
จาเป็ นทีจ่ ะติดตัง้ ไฟร์วอลล์เพื่อป้องกันการโจมตีแบบ Denial of Service และ Network-base
attacks แบบอื่น ๆ อีก และนอกจากนี้การติดตัง้ ซอฟต์แวร์เสริมตัวอื่นเช่น TCP wrapper,
Iptables, SSH ก็จะช่วยให้ระบบมีความพร้อมในการรับมือกับเหตุการณ์ทจ่ี ะเกิดขึน้ ด้วย
2.4.3 Freeradius [9]
Freeradius เป็นโปรแกรมโอเพ่นซอร์สสาหรับระบบลีนุกซ์ ซอฟท์แวร์น้สี ามารถทางาน
ร่วมกับ EAP-MD5 และ EAP-TLS ซึง่ เป็ นระบบสาหรับตรวจสอบผูใ้ ช้งานโดยเฉพาะทีใ่ ช้กนั อยู่
ทัวไป
่ ทีใ่ ช้ในการจัดการ Account และใช้ในการตรวจสอบสิทธิ ตามมาตรฐาน IEEE 802.1X
ตามแนวคิด AAA (Accounting, Authentication, Authorize) Accounting นันคื ่ อ การจัดการ
จัดการ Account ในด้านต่าง ๆ ทัง้ การสร้าง ลบ และ เพิม่ account ตลอดจนการเพิม่ เติม
คุณสมบัตติ ่าง ๆ ของแต่ละ account สาหรับ Authentication จะเป็นสิทธิตามวิธกี าร
24
Acccounting โดยในขัน้ ตอนนี้จะมีการแจ้งข้อความต่าง ๆ ว่าผ่านหรือไม่ผ่านการตรวจสอบสิทธิ ์
และเมือ่ ผ่านกระบวนการนี้ได้สาเร็จก็จะเข้าสู่กระบวนการสุดท้ายนัน่ คือ Authorize
กระบวนการทางานของ Freeradius
เริม่ แรกหลังจากทีไ่ ด้มกี ารสร้าง account เป็นทีเ่ รียบร้อยแล้ว มีการใช้โปรแกรม
radius-client ต่าง ๆ เช่น Pgina, ntradping หรือโปรแกรมอื่น ๆเพื่อล็อกอินหรือตรวจสอบสิทธิ ์
ก็จะเข้าสู่กระบวนการต่าง ๆ ดังรูปที่ 2.2
25
ในโปรแกรม Freeradius ต้องอาศัยฐานข้อมูลเพื่อดึงข้อมูลมาใช้ในการประมวลผลไม่ว่า
จะเป็ น username, password, หรือ message และเงือ่ นไขต่าง ๆ ของแต่ละ user ซึง่ ใน
ฐานข้อมูลจะมีตารางทีเ่ กีย่ วข้องดังนี้ radcheck, radgroupcheck, radgroupreply, usergroup,
และ radact
2.4.3.1 มำตรฐำน 802.1X และ RADIUS
มาตรฐาน 802.1X และ RADIUS เป็นมาตรฐานใหม่สาหรับ MAC
Layer ทีใ่ ห้ใช้ในการตรวจสอบผูใ้ ช้งานระบบเครือข่ายทัง้ ในระบบ LAN และ Wireless LAN ให้
มีความปลอดภัยสูงยิง่ ขึน้ ในกรณีทม่ี ผี ขู้ อใช้งานเครือข่าย (Supplicant) จะต้องมีการแสดง
หลักฐานประกอบการตรวจสอบ (Credential) กับอุปกรณ์แม่ข่าย (Authenticator) หลังจากนัน้
Authenticator จะส่งหลักฐานดังกล่าวไปให้ Authenticator Server (RADIUS) ซึง่ เป็ นระบบทีใ่ ช้
สาหรับทาการตรวจสอบข้อมูลผูใ้ ช้กบั ดาต้าเบส วิธนี ้จี ะเป็นไปตามโปรโตคอลทีเ่ รียกว่า EAP
(Extensible Authentication Protocol) ซึง่ มีความยืดหยุ่นสูงทาให้ผพู้ ฒ ั นาระบบสามารถ
นาไปใช้สร้างกลไกการตรวจสอบดังรูปที่ 2.3
26
รูปที่ 2.4 EAP architecture
27
NAS ส่งไปนัน้ ประกอบไปด้วย username, password, NAS IP Address, NAS Port Number
และข้อมูลอื่น ๆ เพื่อที่ RADIUS Server ใช้ในการตรวจสอบสิทธิ ์ในการขอเข้าใช้ระบบของ
User นัน้ ๆ
RADIUS Server คือ Server ทีท่ าหน้าทีใ่ นการตรวจสอบสิทธิ ์ของการ
ขอเข้าใช้งานของ user ทีส่ ่งมาจาก NAS กับฐานข้อมูลทีอ่ ยูท่ ตี วั RADIUS Server เอง หรือจะ
เป็น ฐานรากข้อมูลจากภายนอกอื่น ๆเช่น MS-SQL Server, Oracle, Database, Mysql,
LDAP Database เป็นต้น
หลังจากได้ขอ้ มูลต่าง ๆ จนครบแล้ว และทาการตรวจสอบสิทธิ ์
เรียบร้อยแล้ว RADIUS Server ก็จะส่งผลกลับมายัง NAS เป็น (Access-Accept) ถ้าข้อมูลนัน้
ถูกต้องและได้รบั อนุญาตหรือ (Access-Reject) ถ้าข้อมูลนัน้ ไม่ได้รบั อนุญาตให้เข้าใช้งาน ต่อไป
NAS จะมีการเชื่อมต่อหรือยกเลิก การเชื่อมต่อตามที่ RADIUS Server ได้ส่งมา โดยทัวไปแล้ ่ ว
NAS จะมีการส่งข้อมูลต่าง ๆเข่น วันที่ เวลา ที่ user นัน้ ใช้งาน เพื่อทีจ่ ะให้ RADIUS Server
ทาการจัดเก็บในฐานข้อมูลด้วย
28
สอบถามกับ RADIUS Server ทีก่ าหนดไว้ จากนัน้ RADIUS Server ก็จะตอบกลับมายัง
chillispot แล้วทาการเปิดเส้นทางให้กบั ผูใ้ ช้งานก็ตอ้ เมือ่ username และ password ถูกต้อง
Captive portal เป็นเทคนิคทีม่ กี ารทางานโดยการทีเ่ มือ่ user ขอใช้งานอินเตอร์เน็ตก็จะ
ถูกบังคับให้ไปทีห่ น้าเว็บของการ Authentication ของ Chillispot ก่อนเพื่อใส่ค่า username
และ password แล้วนาไปตรวจสอบกับ RADIUS ก่อน ถ้าได้รบั อนุญาต user ก็จะสามารถใช้
งานอินเตอร์เน็ตได้ ซึง่ Chillispot มี port 3990 เป็ น port ทีเ่ ปิดรับ request และมีการใช้
iptables เป็นตัวบังคับการใช้งาน
chillispot ยังทาหน้าทีเ่ ป็น DHCP Server ในการจ่าย IP Address ให้กบั เครือ่ งลูกข่าย
โดยอัตโนมัตติ ามทีเ่ รากาหนดไว้เมือ่ เปิดเครือ่ งขึน้ มาและทาการเชื่อมต่อกับเครือข่าย
นอกจากนี้ยงั สามารถทา MAC filtering, Limited bandwidth ด้วยการคอนฟิก
ดังรูปที่ 2.5
29
ไปว่าต้องการให้ ลิสต์นนั ้ สามารถแอกเซสผ่านพร็อกซีไ่ ด้หรือไม่ ดังนั น้ การทีเ่ สริมการทางาน
ของอินเตอร์เน็ตเซิรฟ์ เวอร์ดว้ ย Squid Proxy Web Cache จึงเป็นการควบคุมการเข้าสู่
อินเตอร์เน็ตของผูใ้ ช้งานในองค์กรได้ตามต้องการ ยังช่วยเพิม่ ประสิทธิภาพให้แก่ระบบอีกด้วย
เพราะ Squid จะมีคุณสมบัติ เป็น HTTP Object cache ทีช่ ่วยเก็บข้อมูลจากเว็บไซต์ภายนอก
ไว้ในหน่วยความจา (RAM และ Hard disk) ของตัวเซิรฟ์ เวอร์เองอีกด้วย ช่วยให้การเรียก
เว็บไซต์ทเ่ี คยเข้าชมมาก่อนทาได้รวดเร็วยิง่ ขึน้ เนื่องจากมีขอ้ มูลบางส่วนทีย่ งั อยูใ่ นแคชนันเอง
่
30
NTP ในอุปกรณ์บริการ และเครือ่ งลูกข่ายของระบบเพื่อให้ระบบสารสนเทศขององค์กรมีความ
สอดคล้องกับ พ.ร.บ. และประกาศดังกล่าว
1.ควำมรู้พื้นฐำนของ NTP
Network Time Protocol (NTP) เป็นโปรโตคอลในระดับ Application Layer ของระบบ
เครือข่ายแบบ TCP/IP ทีท่ าหน้าทีใ่ นการเทียบเวลาระหว่างอุปกรณ์คอมพิวเตอร์ ซีง่ อ้างอิงจาก
RFC 778, RFC891, RFC 956, RFC 958 และ RFC 1305 การทางานของโปรโตคอล UDP
ชนิดนี้จะต้องอาศัยเครื่องให้บริการทีเ่ ปิดพอร์ตหมายเลข 123 ในการรอรับข้อมูลร้องขอการ
เทียบเวลาจากเครือ่ งลูกข่าย
ลักษณะการจ่ายเวลาของ NTP นัน้ จะอยูใ่ นรูปแบบลาดับขัน้ หรือทีเ่ รียกว่า "Clock
Strata" โดยแบ่งลาดับชัน้ ของการเทียบเวลาดังนี้
Stratum 0 เป็นอุปกรณ์ของแหล่งกาเนิดเวลา เช่น Atomic clock เป็นลาดับชัน้ แรกของ
การเทียบเวลา ซึง่ ใช้อุปกรณ์วดั เวลาเทีย่ งตรงทีส่ ุด โดยเวลาในลาดับนี้จะส่งไปยังระดับ
Stratum 1 ผ่านพอร์ตสื่อสารต่าง ๆ เช่น RS-232
Stratum 1 ในลาดับนี้จะใช้คอมพิวเตอร์เซิรฟ์ เวอร์เชื่อมต่อเข้ากับ Stratum 0 เพื่อขอ
เทียบเวลาโดยใช้ โปรโตคอล NTP และยังต้องเปิดบริการให้แก่ Stratum ชัน้ ถัดไปด้วย ซึง่ ใน
ประเทศไทยีหน่วยงานทีท่ าหน้าทีใ่ นระดับ Stratum 1 ได้แก่ สถาบันมาตรวิทยาแห่งชาติกบั
กรมอุทกศาสตร์กองทัพเรือ เป็นต้น
Stratum 2 เป็นลาดับทีข่ อเทียบเวลาจากเซิรฟ์ เวอร์ในลาดับชัน้ Stratum 1 โดยใช้
คอมพิวเตอร์เซิรฟ์ เวอร์เชื่อมต่อผ่านระบบเครือข่ายอินเตอร์เน็ต ซึง่ สามารถขอบริการเทียบเวลา
ได้มากกว่าหนึ่ง Stratum เพื่อรองรับการทางานทีไ่ ม่สามารถเชื่อมต่อกับเซิรฟ์ เวอร์ในระดับ
Stratum 1 เครือ่ งใดเครือ่ งหนึ่งได้ อีกทัง้ ยังให้บริการเปรียบเทียบเวลาแก่เซิรฟ์ เวอร์ในระดับ
เดียวกันได้ดว้ ย ซึง่ ผูด้ แู ลระบบสามารถจัดตัง้ Time Server ขัน้ ในระดับ Stratum 2 นี้ได้ เพื่อ
ให้บริการแก่คอมพิวเตอร์ไคลเอ็นต์ ดังรูปที่ 2.6
31
รูปที่ 2.6 ลาดับชัน้ ของการเทียบเวลา
2.กำรประยุกต์ใช้ NTP
รูปแบบการทางานของ NTP จะอยู่ในลักษณะของ Server-Client ซึง่ Server จะทา
หน้าทีแ่ จกจ่ายเวลาให้กบั Client ที่อยู่ในระดับ Stratum ที่ต่ ากว่า แนวทางการเทียบเวลาให้
สอดคล้องกับ พ.ร.บ. นันคื
่ อการกาหนดให้ Client ภายในเครือข่ายขององค์กรขอเทียบเวลาจาก
เครื่องให้บริการ NTP ในระดับ Stratum 1 ซึง่ ในปจั จุบนั มีเครื่องให้บริการเทียบเวลาในรูปแบบ
NTP อยู่มากมายเช่น NTP Pool Project, Stratum One Time Server Project และ ThaiCERT
ยังมีบริการ stratum 1 ทีช่ ่อื clock.thaicert.org เป็นต้นดังตารางที่ 2.3
32
2.4.8 Log Management System
หมายถึง ระบบบริหารจัดการเก็บข้อมูลจราจรทางคอมพิวเตอร์ และแยกออกจากการ
เก็บล็อกไฟล์ (Log File) ภายในเครื่องแม่ข่าย เนื่องจากการเก็บล็อกไฟล์ในเครื่องแม่ข่ายในทุก
วันนี้ม ี 2 แบบคือ Centralize log Server และ Distributed log Server ในที่น้ีจะกล่าวถึง
Centralize log Server เป็ นเซิรฟ์ เวอร์ทค่ี อยรวบรวมข้อมูลล็อกจากแหล่งกาเนิดต่าง ๆผ่าน
ระบบเครือข่าย เช่น รับข้อมูลล็อกทีเ่ กิดจากการทางานของ Web Server, Radius Server,
NAT Server, chillispot เป็ นต้น เนื่องจากเป็ นไปตามที่กฎหมายระบุไว้ คือ ต้องเก็บอย่างน้อย
90 วัน เรียกว่า Log Rotation Period ดังนัน้ ฮาร์ดดิสก์หรือระบบ Storage ของ Centralize
log จึงใช้ในการเก็บ Log file เท่านัน้
ข้อ ดีของ centralize log คือ สามารถนาข้อ มูล ล็อ กไฟล์มาทาการวิเ คราะห์ห า
ข้อผิดพลาดในการทางานและเป็ นการเพิม่ ประสิทธิภาพและประสิทธิผลในการทางานให้กับ
ระบบคอมพิวเตอร์และอานวยความสะดวกในการบริหารจัดการของผูด้ ูแลระบบและเจ้าหน้าที่
เวลาตรวจสอบ
2.4.9 rsyslog [11]
rsyslog คือ syslog ทีไ่ ด้รบั การปรับปรุงให้มปี ระสิทธิภาพในการทางานทีม่ าก
ขึน้ มีรปู แบบการใช้งานที่หลากหลาย อีกทัง้ ยังสามารถใช้โปรโตคอล TCP ในการรับส่งข้อมูล
ล็อก และรองรับการส่งข้อมูลล็อกแบบเข้ารหัส ซีง่ ระบบปฏิบตั กิ ารลินุกซ์รุ่นใหม่ ๆ ของบางค่าย
เช่น Fedora จะเปลีย่ นใช้ rsyslog แทน syslog แต่ ระบบปฏิบตั กิ ารลินุกซ์ Centos 5.9 นี้ยงั ใช้
syslog แบบเดิมอยู่ จึงจาเป็นต้องเปลีย่ นมาเป็ น rsyslog แทน syslog เดิม เพื่อประสิทธิภาพใน
การส่งข้อมูลล็อก
เซิรฟ์ เวอร์ทใ่ี ช้เป็ น Log server มีความจาเป็ นต้องติดตัง้ rsyslog ด้วยเช่นกัน
โดยให้ตดิ ตัง้ โปรแกรม rsyslog และหยุดการทางานของ syslog เดิม ซึ่งในทีน้ีจะเปิ ดบริการ
เทียบเวลาให้ตรงกันทุกเครื่องรวมทัง้ Log Server ด้วย rsyslog เป็ นโปรแกรมทีพ่ ฒ ั นามาจาก
syslogd ซึง่ เป็ นกลไกทีใ่ ช้ในการเก็บข้อมูลล็อกของ kernel และ application บนระบบยูนิกซ์
และลินุกซ์ เป็น daemon ทีถ่ ูกติดตัง้ มาให้พร้อมกับระบบปฏิบตั กิ ารในเกือบทุกระบบ โดยผูด้ ูแล
ระบบสามารถปรับแต่งไฟล์ configuration เพื่อควบคุมการทางานของ rsyslog ได้ เช่น ให้
rsyslog เก็บข้อมูลไปไว้ทไ่ี ฟล์ใด หรือให้ส่งข้อมูลล็อกนี้ไปเก็บไว้ยงั เครือ่ งอื่นในเครือข่าย
ข้อมูลล็อกทีค่ วบคุมโดย rsyslog หรือ syslogd นัน้ จะถูกกาหนดให้มคี ่า facility และ priority
โดยส่วนของ facility นัน้ เป็นข้อมูลทีอ่ ธิบายถึงแหล่งกาเนิดของข้อมูลล็อกนัน้ ๆ เช่น ข้อมูลล็อก
ทีส่ ่งมาจากระบบเมล์กจ็ ะมี facility เป็น mail ส่วน priority นัน้ จะแสดงถึงระดับความสาคัญของ
เหตุการณ์ทเ่ี กิดสาหรับแต่ละ facility ทัง้ นี้ขอ้ มูลล็อกทุกอันจาเป็ นต้องมี facility และ priority
เสมอดังตารางที่ 2.4 และ ตารางที่ 2.5
33
ตำรำงที่ 2.4 แสดง Facility
34
การทางานของ rsyslog นัน้ จะขึน้ อยูก่ บั ไฟล์ /etc/rsyslog.conf เป็ นหลัก การแก้ไขใด ๆ
ทีเ่ กิดกับไฟล์น้จี ะยังไม่มผี ลจนกว่าจะทาการ restart rsyslogd service รูปแบบคาสังมี ่ ดงั นี้
facility.level action
facility, facility.level action
facility1.level1; facility2.level2 action
*.level action
*.level;badfaility.none action
หมายความว่า เมือ่ มีขอ้ มูลล็อกทีม่ ี facility และ level ทีต่ รงหรือมากกว่ากับทีต่ งั ้ ไว้ ก็จะ
กระทา action ตามทีก่ าหนดไว้ ทัง้ นี้เพราะ level ทีต่ งั ้ ไว้นนั ้ เป็ นค่า minimum ซึง่ หมายความว่า
ถ้าตัง้ level เป็ น debug ก็จะครอบคลุมทุก level ของ facility นัน้ ๆ ด้ว ย สามารถใช้
เครื่อ งหมาย * แทนทุก ๆ ค่ าใน facility หรือ priority level นัน้ ๆ ได้เ ช่น เช่น auth.*
/var/log/auth หมายความว่า ให้ rsyslogd เก็บข้อ มูล ของ auth ทุก level ไฟยังไฟล์
/var/log/raddb ในขณะทีค่ ่า level ทีเ่ ป็ น none นัน้ หมายความว่าไม่สนใจ facility ทีป่ ระกาศค่า
level เป็ น none เช่น *.emerg;mail.none /var/log/emer.log คือให้เก็บข้อมูลล็อกทีม่ ี level เป็ น
emerg ทุกกรณียกเว้น mail facility สาหรับ action นัน้ สามารถเลือกได้ดงั นี้คอื
filename: เก็บข้อมูลล็อกลงในไฟล์ทก่ี าหนด
@hostname : ส่งต่อข้อมูลล็อกไปยัง rsyslogd บน hostทีก่ าหนด
@ipaddress: ส่งต่อข้อมูลล็อกไปยัง host ทีม่ ี IP Address ทีกาหนด
user1: ส่งข้อมูลล็อกไปยังหน้าจอของ user ทีก่ าหนดถ้ายังล็อกอินในระบบ
* : ส่งข้อมูลล็อกไปยังทุก ๆ user ทีย่ งั ล็อกอินอยูใ่ นระบบ
- rsyslog สามารถแก้ไขข้อบกพร่องส่วนใหญ่ของ syslog ได้ โดย
- rsyslog สามารถทางานได้ทงั ้ บน TCP และ UDP
- rsyslog สามารถทางานในรูปแบบทีอ่ ้างอิง priority/facility ได้ ดังนัน้ จึงทางานแทนที่
syslog ได้
นอกจากนี้ rsyslog ยังสนับสนุ น log forwarding ได้ ซึง่ ทาให้สามารถทราบได้ว่าต้น
ทางของล็อกถูกส่งมาจากเครือ่ งใด
สรุป rsyslog เป็ นโปรแกรมทีม่ คี วามยืดหยุ่นในการทางาน เหมาะสาหรับนามาใช้งาน
เป็ น log server เป็ นอย่างยิง่ เพราะสามารถเก็บข้อมูลล็อกแยกตามเครื่องที่ส่งล็อกมาได้
นอกจากนี้ยงั ทางานร่วมกับโปรแกรม sqlsyslog เพื่อนาข้อมูลล็อกบันทึกลงฐานข้อมูลได้ดว้ ย
35
2.4.10 iptables [6]
Linux สามารถใช้งานเป็นไฟร์วอลล์ได้ตงั ้ แต่เคอร์เนล 1.1 ซึง่ เป็ นเวอร์ชนแรกโดย
ั่ Alan
Cox ใช้ช่อื ว่า ipfw ต่อมา Linux 2.0 ได้ถูกพัฒนาและปรับปรุงได้เครื่องมือทีม่ ชี ่อื ว่า ipfwadm
โดยเครื่องมือชินนี้อนุ ญาตให้ผใู้ ช้สามารถควบคุม filtering rule ได้และต่อมา Linux 2.2 ก็ได้
สร้างเครื่องมือตัวใหม่ช่อื ipchains ซึง่ เผยแพร่ในปี 1998 โดย Rusty Russel และทีมงาน ทัง้ นี้
netfilter และ iptables ซึง่ ถือว่าเป็นพัฒนาการขัน้ ทีส่ ข่ี อง Linux Firewall
Netfilter นัน้ เป็นชื่อใหม่ของโค้ดทีท่ าหน้าทีเ่ ป็น packet handler (stateful inspection)
ใน Linux kernel 2.4 ซึง่ ได้ถูกออกแบบและปรับปรุงใหม่จากเวอร์ชนั ก่อนหน้านี้ เป็ นเรื่องทีย่ นิ ดี
คือ netfilter นัน้ สามารถทางานย้อนหลังร่วมกับ ipchains และ ipfwadm ได้และคาสังในการ ่
เรียกใช้งานคือ iptables
ดังรูปที่ 2.7 iptables ประกอบไปด้วย built-in chain จานวน 3 chain ซึง่ ไม่สามารถลบ
ได้คอื INPUT, OUTPUT, FORWARD เมื่อเครื่องคอมพิวเตอร์เริม่ ทางานในครัง้ แรก ทัง้ 3
chain จะมี default policy เป็ น ACCEPT ซึง่ หมายความว่าอนุ ญาตให้ทุกอย่างผ่านเข้าออกได้
หมดและสาหรับ FORWARD chain นัน้ ถึงแม้จะกาหนดให้ policy เป็ น ACCEPT แล้ว packet
ก็จะยังไม่สามารถถูก forward ไปยังจุดหมายทีต่ ้องการได้ ตราบใดทีย่ งั ไม่ได้เซ้นให้ enable IP
forwarding ทัง้ นี้โดย default แล้ว forward=0 สามารถกาหนดให้ enable IP forwarding
(forward=1) ได้ โดย
ใช้คาสัง่ echo "1" > /proc/sys/net/ip_forward เพื่อกาหนดให้ IP forwarding เป็ น
enable เพื่อให้ Linux box สามารถ forward ip packet ได้ ในบางครัง้ การใช้คาสังดั ่ งกล่าวทุก
ครัง้ อาจจะไม่ส ะดวก สามารถแก้ไ ขไฟล์ configuration ที่ etc/sysctl.conf แล้ว set ให้
net.ipv4.ip_forward=1 เพื่อเป็นการแก้ไขแบบถาวร
ในกรณีทต่ี อ้ งการให้สนับสนุนการทางานกับ dynamic IP ด้วย เช่น PPP, SLIP, DHCP
ก็สามารถทาได้โดยใช้คาสัง่ echo "1"> /proc/sys/net/ipv4/ip_dynaddr ได้เช่นเดียวกัน
36
2.4.10 PHP
พีเอชพี (PHP) คือ ภาษาคอมพิวเตอร์ในลักษณะเซิรฟ์ เวอร์-ไซด์ สคริปต์ อยูใ่ นลักษณะ
โอเพนซอร์ส ภาษาพีเอชพีใช้สาหรับจัดทาเว็บไซต์ และแสดงผลออกมาในรูปแบบ HTML โดยมี
รากฐานโครงสร้างคาสังมาจาก ่ ภาษาซี ภาษาจาวา และ ภาษาเพิรล์ ซึง่ ภาษาพีเอชพี นัน้ ง่าย
ต่อการเรียนรู้ ซึง่ เป้าหมายหลักของภาษานี้ คือให้นักพัฒนาเว็บไซต์ สามารถเขียน เว็บเพจ ที่
สามารถตอบโต้ได้อย่างรวดเร็ว
PHP เกิดขึน้ ในปี 1994 โดย Rasmus Lerdorf โปรแกรมเมอร์ชาวอเมริกนั ได้คดิ ค้น
เครื่องมือที่ใช้พฒั นาเว็บส่วนตัว โดยใช้ขอ้ ดีของภาษาซี และ ภาษา เพิร์ล เรียกว่า Personal
Home Page และได้สร้างส่วนติดต่อกับฐานข้อมูลทีช่ ่อื ว่า Form Interpreter (FI) รวมเรียกว่า
PHP/FI ซึง่ เป็นจุดเริม่ ต้นของภาษา PHP มีคนทีเ่ ข้ามาเยีย่ มชมเว็บไซต์ของเขาแล้วเกิดชอบจึง
ติดต่อขอเอาโค้ดไปใช้และนาไปพัฒนาต่อ ในลักษณะของ Open Source ภายหลังมีความนิยม
ขึน้ เป็ นอย่างมากภายใน 3 ปี มีเว็บไซต์ทใ่ี ช้ PHP/FI ในการติดต่อฐานข้อมูลและแสดงผลแบบ
ไดนามิกและอื่น ๆ มากกว่า 50,000 ไซต์
PHP2 ในช่วงระหว่างปี 1995-1997 Ramus Ledorf ได้มผี ทู้ ม่ี าช่วยพัฒนาอีก 2 คนคือ
Zeev Suraski และ Andri Gutmans ชาวอิสราเอล ซึ่งปรับปรุงโค้ดของ Ledorf ใหม่โดยใช้
ภาษา C ++ ให้มคี วามสามารถในการจัดการเกี่ยวกับแบบฟอร์มข้อมูลทีถ่ ูกสร้างมาจากภาษา
HTML และสนับสนุนการติดต่อกับโปรแกรมจัดการฐานข้อมูล mySQL จึงทาให้ภาษา PHP เริม่
ถูกใช้มากขึน้ อย่างรวดเร็ว และเริม่ มีผสู้ นับสนุ นการใช้งาน PHP มากขึน้ โดยในปลายปี 1996
PHP ถูกนาไปใช้ประมาณ 15,000 เว็บทัวโลก ่ และเพิม่ จานวนมากขึน้ เรื่อย ๆ ต่อมาก็มผี เู้ ข้ามา
ช่วยพัฒนาอีก 3 คน คือ Stig Bakken รับผิดชอบความสามารถในการติดต่อ Oracle และ
Shane Caraveo รับผิดชอบดูแล PHP บน Window และ Jim Winstead รับผิดชอบการตรวจ
ความบกพร่องต่าง ๆ และได้เปลีย่ นชื่อเป็น Professional Home Page ในเวอร์ชนที ั่ ่ 2
PHP3 ออกมาในช่ ว งระหว่ า งเดือ นมิถุ น ายน 1997-1999 ได้อ อกสู่ ส ายตาของ
โปรแกรมเมอร์ มีคุณสมบัตเิ ด่นคือ สนับสนุ นระบบปฏิบตั กิ ารทัง้ Windows, Linux และ เว็บ
เซิรฟ์ เวอร์ อย่าง IIS, PWS, Apache, OmniHTTPd สนันสนุ นระบบฐานข้อมูลได้หลายรูปแบบ
เช่น SQL Server, MySQL , mSQL, Oracle, informix, ODBC
PHP4 ตัง้ แต่ปี 1999-2007 ซึง่ ได้เพิม่ Function การทางานในด้านต่าง ๆ ให้มากและ
ง่า ยขึ้น โดย บริษัท Zend ซึ่ง มี Zeev และ Andi Gutmans ได้ร่ว มก่ อ ตัง้ ขึ้น
(http://www.zend.com) ในเวอร์ชนนี ั ่ ้จะเป็ น Compile script ซึ่งในเวอร์ชนก่ั ่ อนหน้านี้จะเป็ น
embed script interpreter ในปจั จุบนั มีคนใช้ PHP อย่างกว้างขวางกว่า 5,000,000 ไซต์แล้วทัว่
โลก และผู้พฒ ั นาได้ตงั ้ ชื่อของ PHP ใหม่ว่า PHP: Hypertext Preprocessor ซึ่งหมายถึงมี
ประสิทธิภาพระดับโปรเฟสเซอร์สาหรับไฮเปอร์เท็กซ์
PHP5 เริม่ ตัง้ แต่ปี 2007 จนถึงปจั จุบนั ได้เพิม่ Functions การทางานในด้านต่าง ๆ
เช่น
37
Object Oriented Model
Exception handling
XML and Web Service
MySQLi and SQLite
Zend engine 2.0
Scope public/private/protected
2.4.11 MySQL
MySQL เป็ นฐานข้อมูลแบบ open source ที่ได้รบั ความนิยมในการใช้งานสูงสุด
โปรแกรมหนึ่งบนเครื่องให้บริการ มีความสามารถในการจัดการกับฐานข้อมูลด้วยภาษา SQL
(Structures Query Language) อย่างมีประสิทธิภาพ มีความรวดเร็วในการทางาน รองรับการ
ทางานจากผูใ้ ช้หลาย ๆคนและหลาย ๆ งานได้ในขณะเดียวกัน
MySQL ถูกพัฒนาขึน้ โดย MySQL AB โดยมีลขิ สิทธิ ์การใช้งาน 2 แบบ นัน่ คือ ผูด้ ูแล
ระบบสามารถใช้งานซอฟต์แวร์ MySQL ได้โดยไม่มคี ่าใช้จ่ายใด ๆ ภายใต้ลขิ สิทธิ ์ของ GNU
General Public License หรืออาจเลือกใช้แบบทีม่ ลี ขิ สิทธิ ์ทางการค้าของ MySQL AB ซึง่ เป็ น
ผูผ้ ลิตและพัฒนาซอฟแวร์โดยตรงก็ได้ หากไม่ตอ้ งการเกีย่ วข้องกับข้อตกลงเรือ่ ง GPL
ความสามารถและการทางานของโปรแกรม MySQL มีดงั ต่อไปนี้
1. MySQLถือเป็ นระบบจัดการฐานข้อมูล (DBMS: Database Management
System)
ฐานข้อมูลมีลกั ษณะเป็ นโครงสร้างของการเก็บรวบรวมข้อมูล การทีจ่ ะเพิม่ เติม
เข้าถึงหรือประมวลผลข้อมูลทีเ่ ก็บในฐานข้อมูล จาเป็ นจะต้องอาศัย ระบบการจัดการฐานข้อมูล
ซึง่ จะทาหน้าทีเ่ ป็นตัวกลางในการจัดการกับข้อมูลในฐานข้อมูลทัง้ สาหรับการใช้งานเฉพาะ และ
รองรับการทางานของแอพพลิเ คชันอื ่ ่ น ๆ ที่ต้องการใช้งานข้อมูลในฐานข้อมูล เพื่อให้ได้ร ั บ
ความสะดวกในการจัดการกับข้อมูล จานวนมาก MySQL ทาหน้ าที่เป็ นทัง้ ตัวฐานข้อมูลและ
ระบบจัดการฐานข้อมูล
2. MySQL เป็นระบบจัดการฐานข้อมูลแบบ relational
ฐานข้อมูลแบบ relational จะทาการเก็บข้อมูลทัง้ หมดในรูปแบบของตาราง
แทนการเก็บข้อมูลทัง้ หมดในไฟล์เพียงไฟล์เดียว ทาให้ทางานได้รวดเร็วและมีความยืดหยุ่น
นอกจากนัน้ แต่ละตารางที่เก็บข้อมูลสามารถเชื่อมโยงเข้าหากันทาให้สามารถรวมหรือจัดกลุ่ม
ข้อมูลได้ตามต้องการ โดยอาศัยภาษา SQL ทีเ่ ป็นส่วนหนึ่งของโปรแกรม MySQL ซึง่ เป็ นภาษา
มาตรฐานในการเข้าถึงฐานข้อมูล
3. MySQL แจกจ่ายให้ใช้งานแบบ open source
นันคื
่ อผูใ้ ช้งาน MySQL ทุกคนสามารถใช้งานและปรับแต่งการทางานได้ตาม
ต้องการสามารถดาวน์โหลดโปรแกรม MySQL ได้จากอินเตอร์เน็ตและนามาใช้
งานโดยไม่มคี ่าใช้จ่ายใด ๆ
38
บทที่ 3
กำรออกแบบและพัฒนำระบบ
3.1 กล่ำวนำ
การออกแบบและพัฒนาระบบ เนื่องจากการเข้าใช้งานของระบบภายในหอพัก ต้องมี
การพิสูจน์ตวั ตนการเข้าใช้งานอินเตอร์เน็ต ให้สอดคล้องกับ พระราชบัญญัตวิ ่าด้วยการกระทา
ความผิดทางคอมพิวเตอร์ พ.ศ.2550 ผู้ศกึ ษาได้ออกแบบโครงสร้างการทางานของโครงการนี้
โดยให้มกี ารพิสูจน์ตวั ตนก่อนใช้งานและได้มกี ารเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์ ซึง่ จะเป็ น
Authentication Gateway โดยให้มกี ารพิสูจน์ตวั ตนก่อนใช้งาน และมีการเก็บบันทึกข้อมูล
จราจรคอมพิวเตอร์ ซึง่ มีโครงสร้างการทางานของโครงงาน ดังรูปที่ 3.1
39
ระยะที่ 4 เป็ น การติด ตัง้ ระบบงานจริง และเริม่ ทดลองใช้ง าน พร้อ มกับ การพัฒนา
ระบบงาน
ระยะที่ 5 ทดสอบระบบงาน และ สรุปผลการทดลองโครงงาน
ระยะที่ 6 จัดทาเอกสารและสรุปผล การดาเนินโครงงาน
40
3.2 กำรออกแบบ
จากรูปที่ 3.1 ระบบเครือข่ายทีท่ าการทดลองได้มกี ารติดตัง้ แอพพลิเคชันต่ ่ าง ๆ ลงบน
เซิร์ฟ เวอร์ เพื่อ ใช้ ใ นการจัด เก็ บ ข้อ มู ล จราจรเครือ ข่ า ยและการพิสู จ น์ ต ัว ตนผู้ ใ ช้ บ ริก าร
อินเตอร์เน็ต โดยมีรายละเอียดดังนี้
1. Centos 5.9
2.Freeradius
3.chillispot
4.squid
5.NTP (Network Time Protocol)
6.rsyslog
7.httpd(Apache)
8.MySQL
ในโครงงานนี้ได้มกี ารติดตัง้ Chillispot, Freeradius, และ rsyslog ไว้ระหว่าง เครือข่าย
ภายในหอพัก ก่อนจะออกสู่โมเด็มออกสู่ อินเตอร์เน็ต ทาหน้าทีเ่ ป็ น Authentication Gateway
เพื่อใช้ในการจัดเก็บข้อมูลและแจก ไอพีแอดเดรสให้กบั เครือข่ายภายใน ซึง่ จะเป็ นการบังคับให้
ผูใ้ ช้งานในระบบทีต่ ้องการใช้งานอินเตอร์เน็ตทุกคน ต้องทาการ Authentication ยืนยันตัวตน
ก่อนใช้อนิ เตอร์เน็ต โดย การติดตัง้ Authentication Gateway จะใช้ Chillispot
เป็นซอฟต์แวร์โอเพ่นซอร์ส ทีน่ ามาใช้ในการควบคุมการใช้งานเครือข่าย มาเป็ น เกตเวย์ ติดตัง้
ไว้บน linux เพื่อดักจับแพ็กเก็จ TCP port 80 และส่งหน้ าจอ login ไปยังผู้ใช้งาน โดย
Chillispot จะทางานร่วมกับ โปรแกรม Radius ซึง่ ทาหน้าทีบ่ ริหารจัดการฐานข้อมูลของ user
ทัง้ นี้โปรแกรม Chillispot กับ Radius จะตรวจสอบสิทธิและบันทึกข้อมูลการเข้าใช้งานระบบ
ทัง้ หมดไว้ เช่น เวลาทีเ่ ข้าใช้งาน หมายเลขไอพี MAC Address userID รวมถึงระยะเวลาทีใ่ ช้
งาน และมีการเข้ารหัส WPA2 รวมถึง MAC address filter เพื่อป้องกันการลักลอบใช้งาน
เครือข่ายจากภายนอก
โดยผู้ศกึ ษาติดตัง้ แอพพลิเคชันดั ่ งกล่าวลง บนเครื่องเดียวกันเพื่อ ความเหมาะสม กับ
การใช้งานd
หลักการออกแบบระบบมีขนั ้ ตอนและสิง่ ทีจ่ าเป็นในการทาระบบดังต่อไปนี้
1.ศึกษาโครงสร้าง ระบบเครือข่ายภายในของหอพัก
2.ทาการติดตัง้ เครือ่ งเซิรฟ์ เวอร์พร้อมแอพพลิเคชันที
่ เ่ กีย่ วข้องกับโครงงาน
3.กาหนดและปรับค่าต่าง ๆ ทีเ่ กี่ยวข้อง เช่น IP address, rule iptables (ใช้ในการทา
ip fowarding) , squid และ rsyslog ให้เหมาะสมและถูกต้องกับระบบเครือข่ายเดิมของหอพัก
4.ตรวจสอบการทางานของเซิรฟ์ เวอร์ว่าสามารถใช้งานได้ตามเป้าหมายและไม่กระทบ
กับระบบเครือข่ายเดิมของหอพัก
41
จากโครงงานดั ง กล่ า วของการเก็ บ ข้ อ มู ล จราจรเครื อ ข่ า ยคอมพิ ว เตอร์ ต าม
พระราชบัญญัติ นัน้ เป็ นการง่ายที่ระบบนัน้ สามารถจัดเก็บข้อมูล ได้ตามความต้องการและข้อ
กฎหมายตามพระราชบัญ ญัติฯ ผู้จดั ทาได้ใ ช้แอพลิเ คชันเสริ
่ มและพัฒนาขึ้นมาเพื่อ เจ้าของ
หอพักสามารถทีจ่ ะตรวจสอบข้อมูลจราจรเครือข่ายคอมพิวเตอร์ได้บน เบราเซอร์ โดยมีขนั ้ ตอน
ดังนี้
3.2.1 ผังระบบการจัดเก็บล็อก
42
3.2.2 โครงสร้างฐานข้อมูล ER-Diagram
43
รูปที่ 3.4 ขัน้ ตอนการลงทะเบียน
44
3.3.3 ขัน้ ตอนการเก็บข้อมูลล็อกทีเ่ กิดจากการเข้าใช้งานอินเตอร์เน็ตซึง่ เกิดจาก
NAT Server, Radius server, chillispot เพื่อไว้เป็ นหลักฐานตามหลักการเก็บล็อกตาม
พระราชบัญญัตกิ ารกระทาความผิดเกีย่ วกับคอมพิวเตอร์ พ.ศ.2550 ดังรูปที่ 3.6
45
3.3.4 ขัน้ ตอนการนาข้อมูลล็อกมาแสดง เพื่อตรวจข้อมูลล็อก จาก user ID วันที่ เวลา
และ IP Address ดังรูปที่ 3.7
46
บทที่ 4
ผลกำรทดลองโครงงำน
4.1 กล่ำวนำ
ในบทนี้ ผู้ศึก ษาได้ทาการทดลองโครงงานนี้บนเครือ ข่ายจริง ซึ่งตัว Authentication
Gateway ลงระบบปฏิบตั กิ าร Linux Centos 5.9 รวมถึง Log server ส่วนเครื่องลูกข่ายส่วน
ใหญ่ใช้งาน ระบบปฏิบตั กิ าร Windows XP, Windows7, รวมถึง Smartphone ต่าง ๆ ที่
สามารถใช้งาน wifi ตามทีไ่ ด้ออกแบบไว้ดงั บทที่ 3 โดยขัน้ ตอนการทดลองจะพิจารณาเพื่อให้
สอดคล้องกับพระราชบัญญัตวิ ่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 ตาม
ภาคผนวก ข ของประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่องหลักเกณฑ์การ
เก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผูใ้ ห้บริการ พ.ศ.2550 ซึง่ ใช้อานาจตามมาตรา 26
ของพระราชบัญญัติ ได้กาหนดให้ผบู้ ริการประเภท 5 (1) ข มีหน้าที่ต้องเก็บรักษาข้อมูลจราจร
คอมพิวเตอร์ โดยโครงงานนี้มกี ารให้บริการและกาหนดรายการข้อมูลทีต่ อ้ งจัดเก็บดังนี้
47
4.2.2 เมื่อคลิกหน้า Login ก็จะ redirect ไปยังหน้า Web Chillispot เพื่อให้ใส่
Username Password ก่อน ถ้าเป็นการเข้าใช้งานครัง้ แรกจะขึน้ หน้าเว็บนี้และจะต้องยืนยันก่อน
จึงจะใช้งานได้ โดยเลือก ฉันเข้าใจในความเสีย่ งและยืนยันการเข้าใช้งาน ดังรูปที่ 4.2
4.2.3 เมื่อผูใ้ ช้งานป้อน Username Password แล้ว Chillispot จะนา Username และ
Password นัน้ ไปตรวจสอบที่ Radius Server ถูกต้องก็จะ redirect หน้าเว็บไปยังเว็บใน
อินเตอร์เน็ต ดังรูปที่ 4.3
48
4.2.4 เมื่อผู้ใช้ป้อน Username Password ทีไ่ ด้ทาการลงทะเบียนไว้ใน User and
password linux ก็จะสามารถเล่น อินเตอร์เน็ตได้ ดังรูปที่ 4.4
49
รูปที่ 4.5 Chillispot Log
จากรูปที่ 4.5 แสดงถึงข้อมูลการ Login และได้รบั IP Address จาก chillispot server
50
โดย Log Rotate เป็ นวิธกี ารจัดเก็บไฟล์ขอ้ มูลล็อกทีช่ ่วยให้ขนาดของไฟล์มขี นาดทีไ่ ม่
ใหญ่จนเกินไปโดย Log Server จะย้ายไฟล์ขอ้ มูลล็อกปจั จุบนั เป็ นไฟล์อ่นื พร้อมทัง้ เปลีย่ นชื่อ
ไฟล์ จากนั ้น จะสร้า งไฟล์ เ พื่อ รองรับ ข้อ มูล ล็อ กขึ้น มาใหม่ เช่ น ย้า ยหรือ เปลี่ย นชื่อ ไฟล์
/var/log/messages เป็ นไฟล์ /var/log/messages1 จากนัน้ สร้างไฟล์ /var/log/messages ขึน้
ใหม่ จนครบกาหนดหมุนเวียนข้อมูลล็อก ระบบจะเปลี่ยนไฟล์ /var/log/message1 ไปเป็ น
/var/log/message2 แทน และตามมาตรา 26 ใน พระราชบัญญัตวิ ่าด้วยการกระทาผิดเกี่ยวกับ
คอมพิวเตอร์ พ.ศ.2550 ทีร่ ะบุให้จดั เก็บข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่า 90 วัน ซึง่
ระยะการหมุนเวียนของข้อมูลนัน้ มีหลายรูปแบบ เช่น หมุนเวียนข้อมูลล็อกทุกวัน , ทุกสัปดาห์
หรือ ทุกเดือน โดยปกติของระบบจะกาหนดให้หมุนเวียนทุก สัปดาห์ และจัดเก็บไฟล์ขอ้ มูลล็อก
ไว้ 4 รอบการหมุนเวียนโดยดูข้อกาหนดเหล่านี้ได้จากไฟล์ /etc/logrotate.conf ซึ่งเป็ นไฟล์ท่ี
กาหนดรูปแบบการหมุนเวียนไฟล์ขอ้ มูลล็อกโดยรวมของระบบปฏิบตั กิ าร ดังรูปที่ 4.8
52
บทที่ 5
สรุปผลกำรดำเนิ นงำน
5.1 กล่ำวนำ
จากการทดลองติดตัง้ ระบบ โดย ระบบปฏิบตั กิ าร Linux Centos ทาหน้าที่เป็ น
Authentication Gateway โดยการลง Package ต่าง ๆ ทีเ่ กี่ยวข้อง คือ Freeradius, Chillispot,
Squid, rsyslog เพื่อเก็บ Log ยืนยันตัวตนของผู้เข้ามาใช้งานระบบอินเตอร์เน็ต ตาม
พระราชบัญญัติ โดยใช้ระบบปฏิบตั กิ ารลีนุกซ์ และ ซอฟแวร์โอเพ่นซอร์สต่าง ๆ ในการศึกษา
53
5.4 แนวทำงในกำรศึกษำต่อ
เนื่องจากสารนิพนธ์ฉบับนี้จดั ทาขึน้ เพื่อศึกษาการจัดเก็บข้อมูลจราจรคอมพิวเตอร์ตาม
พระราชบัญญัติว่าด้วยการกระทาผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 เรื่องเกี่ยวกับการเก็บ
บันทึก ข้อมูลจราจรในส่ว นการให้บริการของหอพัก ดังนัน้ หากมีการนาไปใช้งานจริงกับทาง
หอพัก ผูศ้ กึ ษาจึงมีความเห็นว่าควรมีการพัฒนาระบบเพิม่ ดังนี้
1) การจัดทารายงานข้อมูลจราจรในรูปแบบอื่น ๆ ซึง่ แสดงในส่วนของผูใ้ ช้บริการ
ว่ามีการเข้าใช้งานเว็บไซต์ใดบ่อย และ มีเว็บอันตรายหรือไม่
2) เพิม่ การป้องกันการแอคเซสเข้าถึงเว็บต้องห้ามต่าง ๆ รวมถึงการป้องกันการ
โหลด บิททอเรนท์ เพื่อป้องกันการโหลดไฟล์ผดิ กฎหมาย
3) ศึก ษาเครื่อ งมือ อื่น ๆ ที่ส ามารถน าข้อ มูล จราจรคอมพิว เตอร์ม าแสดงใน
รูปแบบทีเ่ ข้าใจง่ายและไม่ซบั ซ้อน
54
เอกสำรอ้ำงอิ ง
55
หนา ๔
เลม ๑๒๔ ตอนที่ ๒๗ ก ราชกิจจานุเบกษา ๑๘ มิถุนายน ๒๕๕๐
ภาคผนวก ก.
พระราชบัญญัติ
วาดวยการกระทําความผิดเกี่ยวกับคอมพิวเตอร
พ.ศ. ๒๕๕๐
ภูมิพลอดุลยเดช ป.ร.
ใหไว ณ วันที่ ๑๐ มิถนุ ายน พ.ศ. ๒๕๕๐
เปนปที่ ๖๒ ในรัชกาลปจจุบัน
พระบาทสมเด็จ พระปรมิน ทรมหาภู มิพลอดุล ยเดช มีพ ระบรมราชโองการโปรดเกล า ฯ
ใหประกาศวา
โดยที่เปนการสมควรมีกฎหมายวาดวยการกระทําความผิดเกี่ยวกับคอมพิวเตอร
จึงทรงพระกรุณาโปรดเกลา ฯ ใหตราพระราชบัญญัติขึ้นไวโดยคําแนะนําและยินยอมของ
สภานิติบัญญัติแหงชาติ ดังตอไปนี้
มาตรา ๑ พระราชบัญญัตินี้เรียกวา “พระราชบัญญัติวาดวยการกระทําความผิดเกี่ยวกับ
คอมพิวเตอร พ.ศ. ๒๕๕๐”
มาตรา ๒ พระราชบัญ ญั ติ นี้ ใ ห ใ ช บั ง คั บ เมื่อ พ น กํ า หนดสามสิ บวั น นั บ แต วัน ประกาศ
ในราชกิจจานุเบกษาเปนตนไป
มาตรา ๓ ในพระราชบัญญัตินี้
“ระบบคอมพิวเตอร” หมายความวา อุปกรณหรือชุดอุปกรณของคอมพิวเตอรที่เชื่อมการทํางาน
เขาดวยกัน โดยไดมีการกําหนดคําสั่ง ชุดคําสั่ง หรือสิ่งอื่นใด และแนวทางปฏิบัติงานใหอุปกรณ
หรือชุดอุปกรณทําหนาที่ประมวลผลขอมูลโดยอัตโนมัติ
ก-1
หนา ๕
เลม ๑๒๔ ตอนที่ ๒๗ ก ราชกิจจานุเบกษา ๑๘ มิถุนายน ๒๕๕๐
มาตรา ๕ ผูใ ดเข า ถึง โดยมิ ช อบซึ่ ง ระบบคอมพิ วเตอร ที่ มีม าตรการป อ งกั น การเข า ถึ ง
โดยเฉพาะและมาตรการนั้นมิไดมีไวสําหรับตน ตองระวางโทษจําคุกไมเกินหกเดือน หรือปรับไมเกิน
หนึ่งหมื่นบาท หรือทั้งจําทั้งปรับ
มาตรา ๖ ผูใดลวงรูมาตรการปองกันการเขาถึงระบบคอมพิวเตอรที่ผูอื่นจัดทําขึ้นเปนการเฉพาะ
ถานํามาตรการดังกลาวไปเปดเผยโดยมิชอบในประการที่นาจะเกิดความเสียหายแกผูอื่น ตองระวางโทษจําคุก
ไมเกินหนึ่งป หรือปรับไมเกินสองหมื่นบาท หรือทั้งจําทั้งปรับ
ก-2
หนา ๖
เลม ๑๒๔ ตอนที่ ๒๗ ก ราชกิจจานุเบกษา ๑๘ มิถุนายน ๒๕๕๐
มาตรา ๗ ผูใดเขาถึงโดยมิชอบซึ่งขอมูลคอมพิวเตอรที่มีมาตรการปองกันการเขาถึงโดยเฉพาะ
และมาตรการนั้นมิไดมีไวสําหรับตน ตองระวางโทษจําคุกไมเกินสองปหรือปรับไมเกิน สี่หมื่นบาท
หรือทั้งจําทั้งปรับ
มาตรา ๘ ผูใดกระทําดวยประการใดโดยมิชอบดวยวิธีการทางอิเล็กทรอนิกสเพื่อดักรับไว
ซึ่งขอมูลคอมพิวเตอรของผูอื่นที่อยูระหวางการสงในระบบคอมพิวเตอร และขอมูลคอมพิวเตอรนั้น
มิไดมีไวเพื่อประโยชนสาธารณะหรือเพื่อใหบุคคลทั่วไปใชประโยชนไดตองระวางโทษจําคุกไมเกิน
สามป หรือปรับไมเกินหกหมื่นบาท หรือทั้งจําทั้งปรับ
มาตรา ๙ ผูใดทําใหเสียหาย ทําลาย แกไข เปลี่ยนแปลง หรือเพิ่มเติมไมวาทั้งหมดหรือ
บางสวน ซึ่งขอมูลคอมพิวเตอรของผูอื่นโดยมิชอบ ตองระวางโทษจําคุกไมเกินหาป หรือปรับไมเกิน
หนึ่งแสนบาท หรือทั้งจําทั้งปรับ
มาตรา ๑๐ ผูใดกระทําดวยประการใดโดยมิชอบ เพื่อใหการทํางานของระบบคอมพิวเตอร
ของผูอื่นถูกระงับ ชะลอ ขัดขวาง หรือรบกวนจนไมสามารถทํางานตามปกติไดตองระวางโทษจําคุก
ไมเกินหาป หรือปรับไมเกินหนึ่งแสนบาท หรือทั้งจําทั้งปรับ
มาตรา ๑๑ ผูใดสงขอมูลคอมพิวเตอรหรือจดหมายอิเล็กทรอนิกสแกบุคคลอื่นโดยปกปด
หรือปลอมแปลงแหลงที่มาของการสงขอมูลดังกลาว อันเปนการรบกวนการใชระบบคอมพิวเตอรของ
บุคคลอื่นโดยปกติสุข ตองระวางโทษปรับไมเกินหนึ่งแสนบาท
มาตรา ๑๒ ถาการกระทําความผิดตามมาตรา ๙ หรือมาตรา ๑๐
(๑) กอ ให เกิด ความเสีย หายแกประชาชน ไมว าความเสี ยหายนั้น จะเกิ ดขึ้น ในทัน ทีหรื อ
ในภายหลังและไมวาจะเกิดขึ้นพรอมกันหรือไม ตองระวางโทษจําคุกไมเกินสิบป และปรับไมเกิน
สองแสนบาท
(๒) เปนการกระทําโดยประการที่นาจะเกิดความเสียหายตอขอมูลคอมพิวเตอร หรือระบบ
คอมพิวเตอรที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยของประเทศ ความปลอดภัยสาธารณะ ความมั่นคง
ในทางเศรษฐกิจของประเทศ หรือการบริการสาธารณะ หรือเปนการกระทําตอขอมูลคอมพิวเตอรหรือ
ระบบคอมพิวเตอรที่มีไวเพื่อประโยชนสาธารณะ ตองระวางโทษจําคุกตั้งแตสามปถึงสิบหาป และ
ปรับตั้งแตหกหมื่นบาทถึงสามแสนบาท
ถาการกระทําความผิดตาม (๒) เปนเหตุใหผูอื่นถึงแกความตาย ตองระวางโทษจําคุกตั้งแต
สิบปถึงยี่สิบป
ก-3
หนา ๗
เลม ๑๒๔ ตอนที่ ๒๗ ก ราชกิจจานุเบกษา ๑๘ มิถุนายน ๒๕๕๐
มาตรา ๑๓ ผูใดจําหนายหรือเผยแพรชุดคําสั่งที่จัดทําขึ้นโดยเฉพาะเพื่อนําไปใชเปนเครื่องมือ
ในการกระทําความผิดตามมาตรา ๕ มาตรา ๖ มาตรา ๗ มาตรา ๘ มาตรา ๙ มาตรา ๑๐ หรือ
มาตรา ๑๑ ตองระวางโทษจําคุกไมเกินหนึ่งป หรือปรับไมเกินสองหมื่นบาท หรือทั้งจําทั้งปรับ
มาตรา ๑๔ ผูใดกระทําความผิดที่ระบุไวดังตอไปนี้ ตองระวางโทษจําคุกไมเกินหาป หรือ
ปรับไมเกินหนึ่งแสนบาท หรือทั้งจําทั้งปรับ
(๑) นําเขาสูระบบคอมพิวเตอรซึ่งขอมูลคอมพิวเตอรปลอมไมวาทั้งหมดหรือบางสวน หรือ
ขอมูลคอมพิวเตอรอันเปนเท็จ โดยประการที่นาจะเกิดความเสียหายแกผูอื่นหรือประชาชน
(๒) นําเขาสูระบบคอมพิวเตอรซึ่งขอมูลคอมพิวเตอรอัน เปน เท็จ โดยประการที่นาจะเกิด
ความเสียหายตอความมั่นคงของประเทศหรือกอใหเกิดความตื่นตระหนกแกประชาชน
(๓) นําเขาสูระบบคอมพิวเตอรซึ่งขอมูลคอมพิวเตอรใด ๆ อันเปนความผิดเกี่ยวกับความมั่นคง
แหงราชอาณาจักรหรือความผิดเกี่ยวกับการกอการรายตามประมวลกฎหมายอาญา
(๔) นํ า เข า สู ร ะบบคอมพิ ว เตอร ซึ่ ง ข อ มู ล คอมพิ ว เตอร ใ ด ๆ ที่ มี ลั ก ษณะอั น ลามกและ
ขอมูลคอมพิวเตอรนั้นประชาชนทั่วไปอาจเขาถึงได
(๕) เผยแพรหรือสงตอซึ่งขอมูลคอมพิวเตอรโดยรูอยูแลววาเปนขอมูลคอมพิวเตอรตาม (๑)
(๒) (๓) หรือ (๔)
มาตรา ๑๕ ผูใหบริการผูใดจงใจสนับสนุนหรือยินยอมใหมีการกระทําความผิดตามมาตรา ๑๔
ในระบบคอมพิวเตอรที่อยูในความควบคุมของตน ตองระวางโทษเชนเดียวกับผูกระทําความผิดตาม
มาตรา ๑๔
มาตรา ๑๖ ผู ใ ดนํ า เข า สู ร ะบบคอมพิ ว เตอร ที่ ป ระชาชนทั่ ว ไปอาจเข า ถึ ง ได ซึ่ ง ข อ มู ล
คอมพิ วเตอรที่ปรากฏเปน ภาพของผูอื่น และภาพนั้น เป น ภาพที่เกิ ดจากการสรางขึ้ น ตั ดตอ เติ ม
หรือดัดแปลงดวยวิธีการทางอิเล็กทรอนิกสหรือวิธีการอื่นใด ทั้งนี้ โดยประการที่นาจะทําใหผูอื่นนั้น
เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือไดรับความอับอาย ตองระวางโทษจําคุกไมเกินสามป หรือ
ปรับไมเกินหกหมื่นบาท หรือทั้งจําทั้งปรับ
ถาการกระทําตามวรรคหนึ่ง เปนการนําเขาขอมูลคอมพิวเตอรโดยสุจริต ผูกระทําไมมีความผิด
ความผิดตามวรรคหนึ่งเปนความผิดอันยอมความได
ถาผูเสียหายในความผิดตามวรรคหนึ่งตายเสียกอนรองทุกข ใหบิดา มารดา คูสมรส หรือ
บุตรของผูเสียหายรองทุกขได และใหถือวาเปนผูเสียหาย
มาตรา ๑๗ ผูใดกระทําความผิดตามพระราชบัญญัตินี้นอกราชอาณาจักรและ
ก-4
หนา ๘
เลม ๑๒๔ ตอนที่ ๒๗ ก ราชกิจจานุเบกษา ๑๘ มิถุนายน ๒๕๕๐
(๑) ผูกระทําความผิ ดนั้น เปน คนไทย และรัฐ บาลแห งประเทศที่ความผิ ดไดเ กิดขึ้ น หรื อ
ผูเสียหายไดรองขอใหลงโทษ หรือ
(๒) ผูกระทําความผิดนั้ น เปน คนต างดาว และรัฐ บาลไทยหรือคนไทยเปน ผูเสี ยหายและ
ผูเสียหายไดรองขอใหลงโทษ
จะตองรับโทษภายในราชอาณาจักร
หมวด ๒
พนักงานเจาหนาที่
ก-5
หนา ๙
เลม ๑๒๔ ตอนที่ ๒๗ ก ราชกิจจานุเบกษา ๑๘ มิถุนายน ๒๕๕๐
ก-6
หนา ๑๐
เลม ๑๒๔ ตอนที่ ๒๗ ก ราชกิจจานุเบกษา ๑๘ มิถุนายน ๒๕๕๐
หนังสือแสดงการยึดหรืออายัดตามวรรคหาใหเปนไปตามที่กําหนดในกฎกระทรวง
มาตรา ๒๐ ในกรณีที่ การกระทําความผิดตามพระราชบัญญัตินี้ เปน การทําใหแ พรหลาย
ซึ่งขอมูลคอมพิวเตอรที่อาจกระทบกระเทือนตอความมั่นคงแหงราชอาณาจักรตามที่กําหนดไวในภาคสอง
ลักษณะ ๑ หรือลักษณะ ๑/๑ แหงประมวลกฎหมายอาญา หรือที่มีลักษณะขัดตอความสงบเรียบรอย
หรือศีลธรรมอันดีของประชาชน พนักงานเจาหนาที่โดยไดรับความเห็นชอบจากรัฐมนตรีอาจยื่นคํารอง
พร อมแสดงพยานหลั กฐานต อศาลที่ มี เขตอํ านาจขอให มี คํ าสั่ งระงั บการทํ าให แ พร หลายซึ่ งข อมู ล
คอมพิวเตอรนั้นได
ในกรณีที่ศ าลมีคําสั่งใหระงับการทําใหแพรหลายซึ่งขอมูลคอมพิวเตอรตามวรรคหนึ่ง ให
พนักงานเจาหนาที่ทํ าการระงับการทําใหแ พร หลายนั้ นเอง หรือ สั่งให ผูใ หบริ การระงับการทําให
แพรหลายซึ่งขอมูลคอมพิวเตอรนั้นก็ได
มาตรา ๒๑ ในกรณีที่ พ นั ก งานเจา หน า ที่พ บว า ข อ มูล คอมพิ ว เตอร ใ ดมีชุ ด คํ า สั่ง ไม พึ ง
ประสงครวมอยูดว ย พนักงานเจาหนาที่อ าจยื่น คํารองตอ ศาลที่มีเ ขตอํา นาจเพื่ อขอใหมีคํา สั่งหา ม
จําหนายหรือเผยแพร หรือสั่งใหเจาของหรือผูครอบครองขอมูลคอมพิวเตอรนั้นระงับการใช ทําลาย
หรือ แกไ ขขอ มูล คอมพิวเตอร นั้น ได หรื อจะกํา หนดเงื่อ นไขในการใช มี ไวใ นครอบครอง หรื อ
เผยแพรชุดคําสั่งไมพึงประสงคดังกลาวก็ได
ชุดคําสั่งไมพึงประสงคตามวรรคหนึ่งหมายถึงชุดคําสั่งที่มีผลทําใหขอมูลคอมพิวเตอร หรือ
ระบบคอมพิวเตอรหรือชุดคําสั่งอื่นเกิดความเสียหาย ถูกทําลาย ถูกแกไขเปลี่ยนแปลงหรือเพิ่มเติม
ขัดของ หรือปฏิบัตงิ านไมตรงตามคําสั่งที่กําหนดไว หรือโดยประการอื่นตามที่กําหนดในกฎกระทรวง
ทั้งนี้ เวนแตเปนชุดคําสั่งที่มุงหมายในการปองกันหรือแกไขชุดคําสั่งดังกลาวขางตน ตามที่รัฐมนตรี
ประกาศในราชกิจจานุเบกษา
มาตรา ๒๒ หามมิใ หพ นัก งานเจา หน าที่ เป ดเผยหรื อส งมอบขอ มูล คอมพิ วเตอร ข อมู ล
จราจรทางคอมพิวเตอร หรือขอมูลของผูใชบริการ ที่ไดมาตามมาตรา ๑๘ ใหแกบุคคลใด
ความในวรรคหนึ่งมิใหใชบังคับกับการกระทําเพื่อประโยชนในการดําเนินคดีกับผูกระทําความผิด
ตามพระราชบัญญัตินี้ หรือเพื่อประโยชนในการดําเนินคดีกับพนักงานเจาหนาที่เกี่ยวกับการใชอํานาจหนาที่
โดยมิชอบ หรือเปนการกระทําตามคําสั่งหรือที่ไดรับอนุญาตจากศาล
พนั กงานเจ าหน าที่ ผู ใดฝ าฝ นวรรคหนึ่ งต องระวางโทษจํ าคุ กไม เกิ นสามป หรื อปรั บไม เกิ น
หกหมื่นบาท หรือทั้งจําทั้งปรับ
ก-7
หนา ๑๑
เลม ๑๒๔ ตอนที่ ๒๗ ก ราชกิจจานุเบกษา ๑๘ มิถุนายน ๒๕๕๐
มาตรา ๒๓ พนักงานเจาหนาที่ผูใดกระทําโดยประมาทเปนเหตุใหผูอื่นลวงรูขอมูลคอมพิวเตอร
ขอมูลจราจรทางคอมพิวเตอร หรือขอมูลของผูใชบริการ ที่ไดมาตามมาตรา ๑๘ ตองระวางโทษจําคุก
ไมเกินหนึ่งป หรือปรับไมเกินสองหมื่นบาท หรือทั้งจําทั้งปรับ
มาตรา ๒๔ ผูใ ดล วงรู ขอมู ลคอมพิว เตอร ขอมู ลจราจรทางคอมพิวเตอร หรือ ขอมู ลของ
ผูใชบริการ ที่พนักงานเจาหนาที่ไดมาตามมาตรา ๑๘ และเปดเผยขอมูลนั้นตอผูหนึ่งผูใด ตองระวางโทษ
จําคุกไมเกินสองป หรือปรับไมเกินสี่หมื่นบาท หรือทั้งจําทั้งปรับ
มาตรา ๒๕ ขอมูล ขอมูลคอมพิวเตอร หรือขอมูลจราจรทางคอมพิวเตอรที่พนักงานเจาหนาที่
ไดมาตามพระราชบัญญัตินี้ ใหอางและรับฟงเปนพยานหลักฐานตามบทบัญญัติแหงประมวลกฎหมาย
วิธีพิจารณาความอาญาหรือกฎหมายอื่นอันวาดวยการสืบพยานได แตตองเปนชนิดที่มิไดเกิดขึ้นจากการจูงใจ
มีคํามั่นสัญญา ขูเข็ญ หลอกลวง หรือโดยมิชอบประการอื่น
มาตรา ๒๖ ผูใหบริการตองเก็บรักษาขอมูลจราจรทางคอมพิวเตอรไวไมนอยกวาเกาสิบวัน
นับแตวันที่ขอมูลนั้นเขาสูระบบคอมพิวเตอร แตในกรณีจําเปนพนักงานเจาหนาที่จะสั่งใหผูใหบริการ
ผูใดเก็บรักษาขอมูลจราจรทางคอมพิวเตอรไวเกินเกาสิบวันแตไมเกินหนึ่งปเปนกรณีพิเศษเฉพาะราย
และเฉพาะคราวก็ได
ผูใหบริการจะตองเก็บรักษาขอมูลของผูใชบริการเทาที่จําเปนเพื่อใหสามารถระบุตัวผูใชบริการ
นับตั้งแตเริ่มใชบริการและตองเก็บรักษาไวเปนเวลาไมนอยกวาเกาสิบวันนับตั้งแตการใชบริการสิ้นสุดลง
ความในวรรคหนึ่งจะใชกับผูใหบริการประเภทใด อยางไร และเมื่อใด ใหเปนไปตามที่รัฐมนตรี
ประกาศในราชกิจจานุเบกษา
ผูใหบริการผูใดไมปฏิบัติตามมาตรานี้ ตองระวางโทษปรับไมเกินหาแสนบาท
มาตรา ๒๗ ผูใ ดไมปฏิบัติตามคําสั่งของศาลหรือพนักงานเจาหนาที่ที่สั่งตามมาตรา ๑๘
หรือมาตรา ๒๐ หรือไมปฏิบัติตามคําสั่งของศาลตามมาตรา ๒๑ ตองระวางโทษปรับไมเกินสองแสนบาท
และปรับเปนรายวันอีกไมเกินวันละหาพันบาทจนกวาจะปฏิบัติใหถูกตอง
มาตรา ๒๘ การแตงตั้งพนักงานเจาหนาที่ตามพระราชบัญญัตินี้ ใหรัฐมนตรีแตงตั้งจากผูมีความรู
และความชํานาญเกี่ยวกับระบบคอมพิวเตอรและมีคุณสมบัติตามที่รัฐมนตรีกําหนด
มาตรา ๒๙ ในการปฏิบัติหนาที่ตามพระราชบัญญัตินี้ ใหพนักงานเจาหนาที่เปนพนักงาน
ฝายปกครองหรือตํารวจชั้นผูใหญตามประมวลกฎหมายวิธีพิจารณาความอาญามีอํานาจรับคํารองทุกข
หรือรับคํากลาวโทษ และมีอํานาจในการสืบสวนสอบสวนเฉพาะความผิดตามพระราชบัญญัตินี้
ก-8
หนา ๑๒
เลม ๑๒๔ ตอนที่ ๒๗ ก ราชกิจจานุเบกษา ๑๘ มิถุนายน ๒๕๕๐
ในการจั บ ควบคุ ม ค น การทํ า สํ า นวนสอบสวนและดํ า เนิ น คดี ผู ก ระทํ า ความผิ ด ตาม
พระราชบัญญัตินี้ บรรดาที่เปนอํานาจของพนักงานฝายปกครองหรือตํารวจชั้นผูใหญ หรือพนักงาน
สอบสวนตามประมวลกฎหมายวิธีพิจารณาความอาญา ใหพนักงานเจาหนาที่ประสานงานกับพนักงาน
สอบสวนผูรับผิดชอบเพื่อดําเนินการตามอํานาจหนาที่ตอไป
ใหนายกรัฐมนตรีในฐานะผูกํากับดูแลสํานักงานตํารวจแหงชาติและรัฐมนตรีมีอํานาจรวมกัน
กําหนดระเบียบเกี่ยวกับแนวทางและวิธีปฏิบัติในการดําเนินการตามวรรคสอง
มาตรา ๓๐ ในการปฏิ บั ติ หน าที่ พนั กงานเจ าหน าที่ ต องแสดงบั ตรประจํ า ตั วต อบุ คคล
ซึ่งเกี่ยวของ
บัตรประจําตัวของพนักงานเจาหนาที่ใหเปนไปตามแบบที่รัฐมนตรีประกาศในราชกิจจานุเบกษา
ผูรับสนองพระบรมราชโองการ
พลเอก สุรยุทธ จุลานนท
นายกรัฐมนตรี
ก-9
หนา ๑๓
เลม ๑๒๔ ตอนที่ ๒๗ ก ราชกิจจานุเบกษา ๑๘ มิถุนายน ๒๕๕๐
ก - 10
หนา ๕
เลม ๑๒๔ ตอนพิเศษ ๑๐๒ ง ราชกิ จจานุเบกษา
ภาคผนวก ข. ๒๓ สิงหาคม ๒๕๕๐
ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
เรื่อง หลักเกณฑการเก็บรักษาขอมูลจราจรทางคอมพิวเตอรของผูใหบริการ
พ.ศ. ๒๕๕๐
ดวยในปจจุบันการติดตอสื่อสารผานระบบคอมพิวเตอรหรือระบบอิเล็กทรอนิกสเริ่มเขาไปมีบทบาท
และทวี ค วามสํ า คั ญ เพิ่ ม ขึ้ น ตามลํ า ดั บ ต อ ระบบเศรษฐกิ จ และคุ ณ ภาพชี วิ ต ของประชาชน
แตในขณะเดียวกันการกระทําความผิดเกี่ยวกับคอมพิวเตอรมีแนวโนมขยายวงกวาง และทวีความรุนแรง
เพิ่ ม มากขึ้ น ข อ มู ล จราจรทางคอมพิ ว เตอร นั บ เป น พยานหลั ก ฐานสํ า คั ญ ในการดํ า เนิ น คดี
อันเปนประโยชนอยางยิ่งตอการสืบสวน สอบสวน เพื่อนําตัวผูกระทําความผิดมาลงโทษ จึงสมควรกําหนด
ใหผูใหบริการมีหนาที่ในการเก็บรักษาขอมูลจราจรทางคอมพิวเตอรดังกลาว
อาศัยอํานาจตามความในมาตรา ๒๖ วรรค ๓ แหงพระราชบัญญัติวาดวยการกระทําความผิด
เกี่ยวกับคอมพิวเตอร พ.ศ. ๒๕๕๐ ดังนั้น รั ฐ มนตรีวา การกระทรวงเทคโนโลยีสารสนเทศและ
การสื่อสาร จึงไดกําหนดหลักเกณฑไว ดังตอไปนี้
ขอ ๑ ประกาศนี้ เ รี ย กว า “หลั ก เกณฑ ก ารเก็ บ รั ก ษาข อ มู ล จราจรทางคอมพิ ว เตอร
ของผูใหบริการ พ.ศ. ๒๕๕๐”
ขอ ๒ ประกาศนี้ใหใชบังคับตั้งแตวันถัดจากวันประกาศในราชกิจจานุเบกษาเปนตนไป
ขอ ๓ ให รั ฐ มนตรี ว า การกระทรวงเทคโนโลยี ส ารสนเทศและการสื่ อ สารรั ก ษาการ
ตามประกาศนี้
ขอ ๔ ในประกาศนี้
“ผูใหบริการ” หมายความวา
(๑) ผู ใ ห บ ริ ก ารแก บุ ค คลอื่ น ในการเข า สู อิ น เทอร เ น็ ต หรื อ ให ส ามารถติ ด ต อ ถึ ง กั น
โดยประการอื่น โดยผานทางระบบคอมพิวเตอร ทั้งนี้ ไมวาจะเปนการใหบริการในนามของตนเอง
หรือเพื่อประโยชนของบุคคลอื่น
(๒) ผูใหบริการเก็บรักษาขอมูลคอมพิวเตอรเพื่อประโยชนของบุคคลอื่น
“ขอมูลจราจรทางคอมพิวเตอร” หมายความวา ขอมูลเกี่ยวกับการติดตอสื่อสารของระบบ
คอมพิวเตอร ซึ่งแสดงถึงแหลงกําเนิด ตนทาง ปลายทาง เสนทาง เวลา วัน ที่ ปริมาณ ระยะเวลา
ชนิดของบริการ หรืออื่น ๆ ที่เกี่ยวของกับการติดตอสื่อสารของระบบคอมพิวเตอรนั้น
ข-1
หนา ๖
เลม ๑๒๔ ตอนพิเศษ ๑๐๒ ง ราชกิจจานุเบกษา ๒๓ สิงหาคม ๒๕๕๐
ข-2
หนา ๗
เลม ๑๒๔ ตอนพิเศษ ๑๐๒ ง ราชกิจจานุเบกษา ๒๓ สิงหาคม ๒๕๕๐
ข-3
หนา ๘
เลม ๑๒๔ ตอนพิเศษ ๑๐๒ ง ราชกิจจานุเบกษา ๒๓ สิงหาคม ๒๕๕๐
เชน วา นั้น ตอ งดํ าเนิน การใหมี วิธี การระบุ แ ละยื น ยั น ตั วบุ คคล (Identification and Authentication)
ของผูใชบริการผานบริการของตนเองดวย
ขอ ๙ เพื่อใหขอมูลจราจรมีความถูกตองและนํามาใชประโยชนไดจริงผูใหบริการตองตั้งนาฬิกา
ของอุปกรณบริการทุกชนิดใหตรงกับเวลาอางอิงสากล (Stratum 0) โดยผิดพลาดไมเกิน ๑๐ มิลลิวินาที
ขอ ๑๐ ผูใหบริการซึ่งมีหนาที่เก็บขอมูลจราจรทางคอมพิวเตอรตามขอ ๗ เริ่ม เก็บขอมูล
ดังกลาวตามลําดับ ดังนี้
(๑) ผูใหบริการตามขอ ๕ (๑) ก. เริ่มเก็บขอมูลจราจรทางคอมพิวเตอรเมื่อพนสามสิบวัน
นับจากวันประกาศในราชกิจจานุเบกษา
(๒) ใหผูใหบริการตามขอ ๕ (๑) ข. เฉพาะผูใหบริการเครือขายสาธารณะหรือผูใหบริการ
อินเทอรเน็ต (ISP) เริ่มเก็บขอมูลจราจรทางคอมพิวเตอรเมื่อพนหนึ่งรอยแปดสิบวันนับจากวันประกาศ
ในราชกิจจานุเบกษา
ผูใหบริการอื่นนอกจากที่กลาวมาในขอ ๑๐ (๑) และขอ ๑๐ (๒) ขางตน ใหเริ่มเก็บขอมูล
จราจรทางคอมพิวเตอรเมื่อพนหนึ่งปนับจากวันประกาศในราชกิจจานุเบกษา
ข-4
ข-5
ข-6
ข-7
ข-8
ข-9
ข - 10
ข - 11
ข - 12
ภาคผนวก ค.
การติ ดตัง้ Service Squid
ค-1
ภาคผนวก ง.
การติ ดตัง้ Service rsyslog
# destinations
destination d_mysql {
pipe("/var/log/mysql.pipe" template("INSERT INTO logs(host, facility, priority, level, tag, datetime,
program, msg) VALUES('$HOST', '$FACILITY', '$PRIORITY', '$LEVEL', '$TAG', '$YEAR-$MONTH-
$DAY $HOUR:$MIN:$SEC', '$PROGRAM', '$MSG');\n") template-escape(yes));
};
ง-1
2. สร้างสคริปเพื่อทาไปน์สาหรับส่งค่าสตรีมจากไปน์สฐู่ านข้อมูลต่อไปนี้
# vi rsyslog2mysql.sh
#!/bin/bash
if [ ! -e /var/log/mysql.pipe ]
then
mkfifo /var/log/mysql.pipe
fi
while [ -e /var/log/mysql.pipe ]
do
mysql -u root --password=radius rsyslog < /var/log/mysql.pipe >/dev/null
done
:wq
3.ทาการเปลี่ยนสิทธิไฟล์ แล้วรันคาสังต่
่ อไปนี้
# chmod +x syslog2mysql.sh
# ./rsyslog2mysql.sh & /etc/init.d/rsyslog start
ง-2
ภาคผนวก จ.
การติ ดตัง้ Service MySQL
# mysql -u root -p
mysql> use mysql;
mysql> grant usage on *.* to root@localhost identified by 'password';
mysql> flush privileges;
จ-1
ภาคผนวก ฉ.
การติ ดตัง้ Service httpd และ PHP
ฉ-1
phpRestore-exec.php
phpRestore.php
phpSearch1.php
phpSearch.php
phpSetting.php
register-exec1.php
register-exec2.php
register-exec.php
register-form1.php
register-form2.php
register-form.php
register-success1.php
register-success2.php
register-success.php
restore-completed.php
restore-failed.php
tc_calendar.php
ฉ-2