ความปลอดภัยและการปฏิบัติตามกฎเกณฑ์¶
อัปเดตล่าสุด: 30 มีนาคม 2569 — เพิ่มข้อมูลจากการสำรวจ Server จริง
สถานะความปลอดภัยปัจจุบัน (สำรวจ 30 มี.ค. 2569)¶
ข้อค้นพบด้านความปลอดภัยจากการสำรวจ Server¶
| # | ระดับ | ข้อค้นพบ | Server | รายละเอียด |
|---|---|---|---|---|
| 1 |  Critical |
ใช้ sa account ทุก Connection | WEBFRONT → DB | Web_CMS, Web_API, Web_ADMIN, Web_WITNESS ทั้งหมดใช้ sa — ละเมิด Least Privilege |
| 2 | Critical |
SQL Server ไม่ Patch | RLPD-WEBSITE-DB | ใช้ RTM build 15.0.2000.5 ตั้งแต่ ก.ย. 2019 — ไม่มี CU ติดตั้ง |
| 3 | Critical |
sa login Enabled | RLPD-WEBSITE-DB | sa account ยังคง enabled — ควร disable |
| 4 |  High |
SSL cert หมดอายุ (UAT) | OCIPA UAT | Self-signed cert หมดอายุ ส.ค. 2024 |
| 5 | High |
SSL cert หมดอายุ (ww2) | WEBFRONT | ww2.rlpd.go.th cert ใน cert store หมดอายุ 2021 |
| 6 | Medium |
Windows Server 2016 | WEBFRONT | Mainstream support สิ้นสุด ม.ค. 2022 |
| 7 | Medium |
DB Server ไม่ join domain | RLPD-WEBSITE-DB | อยู่ใน WORKGROUP — ไม่มี AD policy enforcement |
| 8 |  Info |
OCIPA Security Headers | OCIPA Prod | X-XSS-Protection, X-Frame-Options, X-Content-Type-Options — ตั้งค่าถูกต้อง |
| 9 | Info |
HttpOnly + Secure cookies | OCIPA Prod | Session cookies ใช้ HttpOnly, Secure, SameSite — ถูกต้อง |
Endpoint Security ที่ติดตั้ง¶
| Server | EDR/AV | Monitoring |
|---|---|---|
| WEBFRONT | SentinelOne (v23.4.347) + Kaspersky Endpoint Agent | Zabbix 7.2.2 |
| RLPD-WEBSITE-DB | Trend Micro Endpoint Basecamp + Windows Defender | Zabbix 7.2.2 |
| OCIPA Prod/UAT | (ไม่ทราบ — ไม่สามารถเข้าถึง OS) | (ไม่ทราบ) |
Backup & Recovery¶
| รายการ | สถานะ |
|---|---|
| RLPD_WEB Full Backup | ทุก ~3 วัน (~150 GB) |
| RLPD_WEB Log Backup | ไม่มี — Transaction log โต 260 GB |
| RLPD_WEB_UAT Backup | ไม่มี |
| Disaster Recovery Plan | ไม่มี (ไม่พบเอกสาร) |
| Application Backup | Manual folder copy (_Old) |
การประเมินความเสี่ยง (VA Scan)¶
ภาพรวม¶
การประเมินความเสี่ยงเป็นส่วนหนึ่งของกระบวนการปฏิบัติตามกฎเกณฑ์ด้านความปลอดภัย โดยมีทางเลือกสองวิธี:
ตัวเลือกที่ 1: VA Scan จากหน่วยงานรัฐบาล (สกมช)¶
องค์กรนำ: สกมช (หน่วยงานรัฐบาลอย่างเป็นทางการ)
กำหนดเวลากระบวนการ: ประมาณ 1 เดือนรวมทั้งสิ้น
ขั้นตอนกระบวนการ:
- แจ้งเจตนา - สื่อสารไปยัง สกมช ว่าจะทำ VA Scan
- กำหนดการเปิด Kickoff - ทำงานร่วมกับ สกมช เพื่อกำหนดการ Scanning Engagement
- ดำเนินการ Scan - สกมช ดำเนินการประเมินความเสี่ยง
- รับ Summary Report - ได้รับการค้นพบเบื้องต้นและรายงาน Summary
- การประชุม Closing - เข้าร่วมการประชุม Closing เพื่อหารือผลลัพธ์และการแก้ไข
สำคัญ: ระบบต้องเสร็จสมบูรณ์และพร้อมสำหรับการ Scan ก่อนเริ่มต้น Engagement
ตัวเลือกที่ 2: VA Scan จากบริษัท Third-Party ที่ได้รับใบรับรอง¶
ผู้ให้บริการ: บริษัท Security Firm ที่ได้รับใบรับรอง
ลักษณะ: - ความเร็ว: การส่งมอบที่เร็วกว่ากระบวนการหน่วยงานรัฐบาล - ต้นทุน: มีค่าใช้จ่ายมากกว่าตัวเลือกรัฐบาล - ความน่าเชื่อถือ: องค์กร Security ที่ได้รับใบรับรอง
[เปิด] กำหนดวิธีการ VA Scanning ที่ต้องการและการจัดสรร Budget
การทดสอบ Penetration (Pentest)¶
ภาพรวม¶
Penetration Testing ให้การตรวจสอบความปลอดภัยที่ลึกซึ้งยิ่งขึ้นนอกเหนือจากการประเมินความเสี่ยง
พิจารณาด้าน Timeline¶
- ระยะเวลา: ใช้เวลานานกว่า Vulnerability Assessment Scans
- การวางแผน: ต้องวางแผน Timeline อย่างรอบคอบเพื่อรองรับระยะเวลา Engagement ที่นาน
[เปิด] กำหนด Pentest Scope, Timeline, และ Budget จัดเวลา Pentest หลังจากแก้ไข VA
ความเข้ากันได้ของการเข้าถึง¶
ข้อกำหนด WCAG 2.2 Level AA¶
มาตรฐาน: Web Content Accessibility Guidelines (WCAG) 2.2 Level AA
หน่วยงานที่มีอำนาจกำหนด: TOR 7.18.2
ข้อบัญชาด้านการปฏิบัติตามกฎเกณฑ์: - ไม่มีข้อผิดพลาด ยอมรับได้สำหรับความเข้ากันได้ของ Level AA - ระบบทั้งหมดต้องตรงตามมาตรฐาน Level AA ก่อนการจัดส่ง
ขอบเขต: - ส่วนติดต่อผู้ใช้ด้านเว็บทั้งหมด - เนื้อหาหน้าเว็บสาธารณะ - ส่วนติดต่อการจัดการ
การสแกน Code¶
ข้อกำหนด¶
Code Scanning เป็นสิ่งจำเป็นก่อนการจัดส่งระบบ
ขอบเขต: - Repositories ซอร์สโค้ดทั้งหมด - Code ที่พัฒนาเองเป็นอย่างดี - Third-party Integrations
เป้าหมาย: - ระบุ Security Vulnerabilities ในโค้ด - ค้นหา Code Quality Issues - ตรวจสอบความปฏิบัติตามมาตรฐาน Secure Coding
Compliance Roadmap¶
| กิจกรรม | เจ้าของ | ขึ้นต่อกัน | Timeline |
|---|---|---|---|
| Code Scanning | ทีม Development | ซอร์สโค้ดที่เสร็จสมบูรณ์ | ต่อเนื่อง, ก่อนการจัดส่ง |
| WCAG 2.2 AA Testing | ทีม QA | ความเสร็จสมบูรณ์ของ UI | ก่อน UAT |
| VA Scan (แจ้งเจตนา) | Project Manager | ระบบพร้อม | |
| VA Scan (การดำเนินการ) | สกมช | เสร็จสิ้นการแจ้งเจตนา | ~1 เดือน |
| VA Remediation | ทีม Development | ได้รับ VA Scan Report | |
| Penetration Test | ทีม Security | เสร็จสิ้น VA Remediation | |
| Final Compliance Review | Project Manager | เสร็จสิ้นทั้งหมดข้างต้น | ก่อน Production |
[เปิด] สร้าง Compliance Execution Timeline โดยละเอียดและมอบหมาย Ownership
Compliance Checklist¶
- Code Scanning ถูกรวมเข้าไปในกระบวนการ Development
- WCAG 2.2 Level AA Testing Framework ได้รับการ Implement
- กระบวนการ VA Scan สกมช เริ่มต้น
- ระบบแก้ไขตามการค้นพบ VA
- Penetration Testing เสร็จสมบูรณ์และการค้นพบได้รับการแก้ไข
- Accessibility Audit ขั้นสุดท้าย Passed
- การรวบรวมและตรวจสอบเอกสาร Compliance ทั้งหมด
- ระบบพร้อมสำหรับการปล่อยไปยัง Production