9.โครงการพัฒนาระบบเครือข่ายส่วนตัวเสมือน (SSL VPN)

สถานที่ : สำนักงานคณะกรรมการพัฒนาการเศรษฐกิจและสังคมแห่งชาติ
ผู้ว่าจ้าง : สำนักงานคณะกรรมการพัฒนาการเศรษฐกิจและสังคมแห่งชาติ
วันที่เริ่มโครงการ : 28 เมษายน 2554
วันสิ้นสุดโครงการ : 27 ตุลาคม 2554

วัตถุประสงค์/เป้าหมายโครงการ

1. ทำการศึกษาระบบการทำงาน รูปแบบการให้บริการ และรูปแบบการใช้งานของระบบเครือข่ายส่วนตัวเสมือน (SSL VPN) ที่เหมาะสมต่อการนำมาประยุกต์ใช้ในงานของสำนักงานฯ พร้อมทั้งวางแผนการจัดทำระบบระบบเครือข่ายส่วนตัวเสมือน (SSL VPN) ให้มีความปลอดภัยต่อระบบเครือข่ายคอมพิวเตอร์ สศช. ทั้งในด้านเทคนิคการใช้งานอุปกรณ์ฮาร์ดแวร์บนระบบเครือข่ายของ สศช. โดยการใช้อุปกรณ์ในรูปแบบฮาร์ดแวร์ VPN หรือติดตั้งซอฟต์แวร์ซึ่งมีคุณสมบัติที่สามารถบริหารจัดการเพื่อเข้าใช้งานระบบเครือข่ายส่วนตัวเสมือนได้ กำหนดให้ระบบมีการเข้ารหัสในการเข้าถึงระบบเพื่อพิสูจน์ตัวตนสำหรับผู้ใช้ที่อยู่ภายนอกองค์กร มีการจัดเก็บข้อมูลจราจรคอมพิวเตอร์ (Log File) เพื่อให้สอดคล้องกับ พรบ.คอมพิวเตอร์ ตลอดจนมีการกำหนดนโยบายควบคุมการเข้าถึงเครือข่ายอย่างชัดเจน
2. ทำการติดตั้งระบบเครือข่ายส่วนตัวเสมือน (SSL VPN) ตามแผนการทำงานที่ได้ศึกษาในเบื้องต้นโดยมีรายละเอียดการติดตั้งดังนี้
   • ทำการติดตั้งอุปกรณ์ฮาร์ดแวร์ VPN และติดตั้งซอฟต์แวร์ที่ใช้สร้างอุโมงค์เชื่อมต่อและเข้ารหัสข้อมูลข่าวสารในอุโมงค์ หรือวิธีการอย่างใดอย่างหนึ่งเพื่อให้สามารถใช้งานเครือข่ายส่วนตัวเสมือน (SSL VPN) ได้ รวมถึงการติดตั้งซอฟต์แวร์ที่ช่วยในบริหารจัดการอุปกรณ์ฮาร์ดแวร์ VPN บนเครื่องคอมพิวเตอร์เดสก์ท้อปเพื่อให้ผู้ดูแลระบบสามารถกำหนดค่า Configuration อุปกรณ์ผ่านทาง เวปบราวเซอร์ได้
   • มีการติดตั้งค่า Setting ในอุปกรณ์ Firewall ให้สามารถตรวจสอบ Packet ต่างๆ ที่วิ่งเข้าออกได้เฉพาะ Packet ที่มีการเข้ารหัสจากอุปกรณ์ VPN ของสำนักงานได้เท่านั้น
   • มีการปรับตั้งค่าการทำงานให้สามารถพิสูจน์ตัวตน (Authentication) โดยใช้บัญชีรายชื่อที่อยู่ในระบบ Active Directory ของสำนักงานฯ
   • ระบบสามารถบันทึกข้อมูลการเข้าใช้งานจากภายนอกเครือข่ายโดยจัดเก็บข้อมูลจราจรคอมพิวเตอร์ (Log File) ไว้ที่ระบบจัดเก็บข้อมูลจราจรเครือข่าย (Central Log) ส่วนกลางของสำนักงาน
   • ระบบมีเครื่องมือหรือแอพพลิเคชันที่สามารถออกรายงานสรุปข้อมูลการเข้าใช้งานให้กับผู้ดูแลระบบทราบเป็นรายเดือนได้
3. กำหนดรูปแบบการใช้งานระบบเครือข่ายส่วนตัวเสมือน (SSL VPN) ของสำนักงานฯ เพื่อให้มีความปลอดภัยต่อการใช้งานบนระบบเครือข่ายคอมพิวเตอร์ของสำนักงานฯและมีความเหมาะสมกับรูปแบบการใช้งานแต่ละประเภทภายนอกองค์กร โดยมีรายละเอียดดังนี้
   • ระบบสามารถกำหนดรูปแบบการใช้งานภายนอกสำนักงานฯ ได้ 2 แบบคือ 1) การเลือกการใช้บริการทรัพยากรบนระบบเครือข่ายเสมือนกับการใช้งานได้ทุกระบบ (Client-based) บนระบบเครือข่ายของสำนักงานฯ หรือ 2) เลือกใช้งานทรัพยากรบนระบบเครือข่ายเสมือนเฉพาะบางระบบ (Clientless) ได้แก่ ระบบอีเมล์ (E-mail) และ Web-base Application
   • มีการกำหนดรูปแบบการใช้งานของผู้ใช้บนระบบเครือข่ายส่วนตัวเสมือน เช่น การกำหนดรหัสผ่าน (Password) และการระบุตัวตน (Authentication) การกำหนดสิทธิ์ในการเข้าถึงเครื่องคอมพิวเตอร์แม่ข่ายภายใน (Authorization)
   • ระบบสามารถกำหนดจำนวนผู้ใช้ (Users) ที่มีสิทธิ์ในการเข้าใช้งานได้จำนวนสูงสุดในแต่ละวัน หรือตามจำนวนที่อุปกรณ์สามารถรองรับระบบการทำงานจากภายนอกได้
   • แนะนำแนวทางการติดตั้งโปรแกรม Client-based ที่เครื่องลูกข่ายและคู่มือวิธีการใช้งานระบบ (User Manual) ให้กับทางสำนักงานฯ
4. กำหนดให้มีการฝึกอบรมเจ้าหน้าที่ผู้ดูแลระบบ (Administrators) และผู้ใช้งาน (Users) ซึ่ง ที่ปรึกษาจะต้องมีการจัดคู่มือวิธีการใช้งานระบบ(User Manual) ตามที่ได้กล่าวไว้ข้างต้น ให้กับทางสำนักงานฯ ทั้งในส่วนที่เกี่ยวข้องกับการตั้งค่าระบบ การควบคุมการใช้งาน รวมถึงวิธีการตรวจสอบรายงานรูปแบบต่างๆ ให้กับผู้ดูแลระบบ และคู่มือการใช้งานระบบทั่วไปให้กับผู้ใช้งาน

กิจกรรมของโครงการ

1. ดำเนินการศึกษา รวบรวมข้อมูลโครงสร้างพื้นฐานของระบบเครือข่ายปัจจุบันและนำผลการศึกษาวิเคราะห์มาวางแผนรูปแบบการจัดทำระบบเครือข่ายส่วนตัวเสมือน
2. ออกแบบระบบการติดตั้งอุปกรณ์ให้มีความปลอดภัยต่อระบบเครือข่ายคอมพิวเตอร์ของ สศช.
   • จัดทำรายงานผลการศึกษาระบบ และออกแบบระบบที่มีความเหมาะสมและปลอดภัยต่อระบบเครือข่ายคอมพิวเตอร์ของ สศช.
   • นำเสนอรายงานขั้นต้น
3. ดำเนินการติดตั้งอุปกรณ์เครือข่ายส่วนตัวเสมือน และปรับแต่งค่า (Configuration) ของ SSL VPN ให้สามารถใช้งานได้ตามแผนการศึกษาที่ได้วิเคราะห์และออกแบบไว้แล้วในข้อ 1 และ 2
4. ติดตั้งโปรแกรมบริหารจัดการอุปกรณ์ฯ
   • ติดตั้งระบบการพิสูจน์ตัวตนโดยสามารถเชื่อมโยงกับฐานข้อมูลบัญชีรายชื่อของสำนักงานฯ
   • เชื่อมต่อข้อมูลจราจรคอมพิวเตอร์ระบบเครือข่ายส่วนตัวเสมือนไปจัดเก็บที่ข้อมูลจราจรเครือข่ายส่วนกลาง (Central Log) ของสำนักงานฯ
5. ทำการปรับแต่งค่าการสร้างรายงานข้อมูลระบบฯ สำหรับผู้ดูแลระบบ
   • นำเสนอรายงานขั้นกลาง
6. ตรวจสอบติดตามการใช้งานระบบเครือข่ายส่วนตัวเสมือนที่ได้ติดตั้งและใช้งานจริง พร้อมปรับรูปแบบการใช้งานให้เกิดประสิทธิผลและประสิทธิภาพสูงสุดตามข้อกำหนดใน TOR
   • จัดทำคู่มือการใช้งานให้กับผู้ดูแลระบบฯ
   • จัดทำคู่มือการใช้งานให้กับผู้ใช้งานทั่วไป
7. จัดฝึกอบรมให้กับผู้ดูแลระบบฯ และผู้ใช้งานทั่วไป
8. ประเมินผลโครงการ
   • นำเสนอรายงานขั้นสุดท้าย