จ้างทำของ/จ้างเหมาบริการระหว่างดำเนินการ

ประกวดราคาจ้างเหมาบำรุงรักษาและซ่อมแซมแก้ไขระบบคอมพิวเตอร์พร้อมอุปกรณ์สื่อสารการประชุมทางไกลผ่านระบบวิดีโอ (Video Conference) และเว็บไซต์ของกรมการขนส่งทางบก (www.dlt.go.th) ประจำปีงบประมาณ พ.ศ. 2569 (ครั้งที่ 3)

กรมการขนส่งทางบก 69029086353

฿5,594,925 ปีงบ 2569 ประกาศ 12 ก.พ. 2569 กรุงเทพมหานคร

รายละเอียดการจ้าง

โครงการนี้มุ่งเน้นการประเมินความมั่นคงปลอดภัยของระบบไอที โดยจัดทำรายงานผลการทดสอบความมั่นคงปลอดภัย (Security Vulnerability Assessment Report) สำหรับระบบเครื่องคอมพิวเตอร์แม่ข่ายและเว็บไซต์ของหน่วยงาน วัตถุประสงค์หลักคือการตรวจหา จัดลำดับความรุนแรง และรายงานช่องโหว่ด้านความปลอดภัยที่อาจถูกโจมตีได้ ขอบเขตงานประกอบด้วยการรวบรวมข้อมูลทั่วไปของโครงการและเป้าหมายการทดสอบ การดำเนินการตรวจสอบช่องโหว่บน IP Address ที่กำหนด การวิเคราะห์และสรุปผลการตรวจพบโดยแบ่งระดับความรุนแรงตามมาตรฐาน Common Vulnerability Scoring System (CVSS) และการจัดทำรายงานละเอียดพร้อมภาพประกอบที่แสดงช่องโหว่ที่สำคัญ ผลลัพธ์ที่ได้รับคือรายงานสรุปเชิงบริหาร (Executive Summary) ที่แสดงสถิติการตรวจสอบและจำนวนช่องโหว่ แบบรายงานละเอียดของแต่ละช่องโหว่พร้อมคำอธิบายผลกระทบ และสุดท้ายคือแนวทางแก้ไขเชิงปฏิบัติ พร้อมข้อเสนอแนะสำหรับการปรับปรุงระบบให้มีความมั่นคงปลอดภัยยิ่งขึ้นในอนาคต

English summary

This project involves the preparation of a Security Vulnerability Assessment Report for server systems and websites. The primary objective is to identify, evaluate, and report security vulnerabilities. The scope of work includes gathering general project information and test targets, conducting vulnerability scans on specified IP addresses, analyzing and summarizing findings according to the Common Vulnerability Scoring System (CVSS) severity levels, and compiling a detailed report with evidence. The key deliverables are an Executive Summary with scan statistics and vulnerability counts, a detailed technical report on each finding, and actionable remediation guidelines with future improvement recommendations.

สถานที่ดำเนินการ

คำสำคัญ

การทดสอบความมั่นคงปลอดภัย Vulnerability Assessment สแกนช่องโหว่CVSS รายงานความมั่นคงปลอดภัย Security Audit ระบบแม่ข่าย เว็บไซต์Penetration Testing แนวทางแก้ไขช่องโหว่

ข้อมูลเชิงลึกของโครงการ

AI วิเคราะห์ ปลดล็อกแล้ว

เป้าหมายโครงการ

เพื่อตรวจสอบและประเมินช่องโหว่ความมั่นคงปลอดภัยของระบบเครื่องแม่ข่ายและเว็บไซต์
เพื่อจัดทำรายงานผลการทดสอบความมั่นคงปลอดภัยที่สมบูรณ์
เพื่อระบุระดับความรุนแรงของช่องโหว่ที่พบตามมาตรฐาน CVSS
เพื่อเสนอแนะแนวทางแก้ไขและปรับปรุงความมั่นคงปลอดภัยของระบบ

ขอบเขตของงาน

การรวบรวมข้อมูลทั่วไปของโครงการและเหตุผลในการทดสอบ
การกำหนดขอบเขตและเป้าหมายการทดสอบ (IP Address/URL)
การดำเนินการตรวจสอบและสแกนหาช่องโหว่ความปลอดภัย
การวิเคราะห์และจัดหมวดหมู่ช่องโหว่ที่ตรวจพบตามระดับความรุนแรง (ต่ำ, ปานกลาง, สูง) ตามมาตรฐาน CVSS
การสรุปผลการตรวจสอบในเชิงสถิติ (จำนวน IP ที่ตรวจสอบ, จำนวนและระดับช่องโหว่)
การจัดทำรายงานละเอียดสำหรับแต่ละช่องโหว่ที่พบ พร้อมภาพหน้าจอเป็นหลักฐาน
การให้แนวทางการแก้ไขสำหรับช่องโหว่แต่ละรายการ
การให้ข้อเสนอแนะสำหรับการปรับปรุงความปลอดภัยในอนาคต

สิ่งที่ต้องส่งมอบ

เอกสารรายงานผลการทดสอบความมั่นคงปลอดภัยระบบเครื่องแม่ข่ายและเว็บไซต์ (ฉบับสมบูรณ์)
สรุปผลการตรวจสอบช่องโหว่ (Executive Summary) แสดงสถิติและภาพรวม
ตารางสรุปจำนวน IP Address ที่ตรวจสอบและผลการประเมินความเสี่ยง
ตารางสรุปจำนวนช่องโหว่ที่ตรวจพบแยกตามระดับคะแนน CVSS
รายการความเสี่ยงที่ตรวจพบแยกตามระดับความรุนแรง
ตารางสรุปช่องโหว่ที่ตรวจพบแยกตามชื่อ พร้อมระดับความรุนแรงและ IP Address ที่ได้รับผลกระทบ
ส่วนรายละเอียดช่องโหว่ที่ตรวจพบ (พร้อมภาพหน้าจอการทดสอบ)
ส่วนแนวทางแก้ไขและข้อเสนอแนะสำหรับแต่ละช่องโหว่

ระยะเวลาดำเนินการ

คุณสมบัติผู้เสนอราคา

Eligibility Requirements: -
Standards Compliance: ความเข้าใจและสามารถประยุกต์ใช้มาตรฐาน Common Vulnerability Scoring System (CVSS) ในการประเมินระดับความรุนแรงของช่องโหว่
Experience: ประสบการณ์ในการดำเนินการทดสอบความมั่นคงปลอดภัย (Vulnerability Assessment / Penetration Testing) และการจัดทำรายงานตามรูปแบบที่กำหนด
Previous Project Cost: -
Technical Capabilities: ความเชี่ยวชาญในการใช้เครื่องมือทดสอบความมั่นคงปลอดภัย (Security Testing Tools) เพื่อสแกนหาช่องโหว่และบันทึกภาพหน้าจอเป็นหลักฐาน
Personnel: ทีมงานที่มีความสามารถในการวิเคราะห์ช่องโหว่ด้านความปลอดภัยระดับต่างๆ และให้คำแนะนำเชิงเทคนิคสำหรับการแก้ไข

เกณฑ์การพิจารณา

ข้อกำหนดทางเทคนิค

การทดสอบต้องครอบคลุมการสแกนหาช่องโหว่บนระบบเครื่องแม่ข่ายและเว็บไซต์ตาม IP Address หรือ URL ที่กำหนด ผลการทดสอบต้องถูกวิเคราะห์และจัดระดับความรุนแรงตามมาตรฐาน Common Vulnerability Scoring System (CVSS) โดยแบ่งระดับคะแนนตั้งแต่ 1-9 รายงานต้องแสดงผลการวิเคราะห์แยกตามระดับความเสี่ยง (Low, Medium, High) และให้รายละเอียดเชิงเทคนิคของแต่ละช่องโหว่ พร้อมภาพยืนยันผลการทดสอบ

เงื่อนไขสัญญา

คำถามที่พบบ่อย (FAQ)

Q: รายงานนี้เน้นการทดสอบประเภทใดเป็นหลัก?
A: เน้นการทดสอบเพื่อตรวจหาช่องโหว่ (Vulnerability Assessment) และการประเมินความเสี่ยง มากกว่าการทดสอบเจาะระบบแบบเต็มรูปแบบ (Penetration Testing)
Q: ต้องทดสอบทั้งหมดกี่ IP Address?
A: จากตัวอย่างในเอกสาร ทดสอบทั้งหมด 376 IP Address แต่จำนวนจริงจะขึ้นอยู่กับขอบเขตที่หน่วยงานกำหนดในสัญญา
Q: ต้องใช้อะไรเป็นมาตรฐานในการจัดระดับความรุนแรงของช่องโหว่?
A: ต้องใช้มาตรฐาน Common Vulnerability Scoring System (CVSS) ในการให้คะแนนและจัดระดับความรุนแรง (ตั้งแต่ระดับต่ำถึงสูง)
Q: รายงานต้องมีภาพประกอบหรือไม่?
A: ต้องมีภาพหน้าจอจากเครื่องมือทดสอบที่แสดงให้เห็นถึงกระบวนการและผลการตรวจพบช่องโหว่ โดยเฉพาะในส่วนรายละเอียดช่องโหว่
Q: นอกเหนือจากการรายงานช่องโหว่แล้ว ต้องให้บริการอะไรเพิ่มเติม?
A: ต้องให้แนวทางการแก้ไข (Remediation) ที่เป็นรูปธรรมสำหรับแต่ละช่องโหว่ที่พบ พร้อมทั้งข้อเสนอแนะในการปรับปรุงระบบในอนาคต
Q: การจัดส่งงานมีรูปแบบใดบ้าง?
A: จัดส่งเป็นเอกสารรายงานฉบับสมบูรณ์ ตามโครงสร้างที่กำหนดไว้ในเอกสารตัวอย่าง ซึ่งประกอบด้วยส่วนสรุปผู้บริหารและส่วนรายละเอียดทางเทคนิค
Q: ต้องระบุเครื่องมือที่ใช้ในการทดสอบหรือไม่?
A: จากตัวอย่างเอกสารไม่ได้บังคับ แต่การแสดงภาพจากเครื่องมือเป็นหลักฐานถือเป็นข้อกำหนดโดยนัย
Q: ช่องโหว่ระดับไหนที่ต้องให้ความสำคัญสูงสุดในรายงาน?
A: ช่องโหว่ระดับ High (คะแนน CVSS สูง) ต้องได้รับการรายงานและวิเคราะห์รายละเอียดเป็นพิเศษ เนื่องจากมีความเสี่ยงต่อระบบมากที่สุด
Q: ผู้รับจ้างต้องมีบทบาทในการแก้ไขช่องโหว่ที่พบหรือไม่?
A: ตามขอบเขตงานนี้เป็นเพียงการทดสอบและรายงานผล พร้อมให้คำแนะนำการแก้ไข โดยไม่ได้รวมการดำเนินการแก้ไขจริงไว้ในสัญญา
Q: ข้อมูลใดบ้างที่ถือเป็นความลับและต้องปกป้อง?
A: ข้อมูลทั้งหมดในรายงาน รวมถึง IP Address เป้าหมาย, รายละเอียดช่องโหว่, และภาพหน้าจอ ต้องถูกจัดการเป็นความลับของหน่วยงาน

เอกสารขอบเขตงาน (TOR) ฉบับเต็ม

ณ.
นายกิตติชัยฯ
Frand
เอกสารแนบ
rosacmous rulman
นายสุพจน์ฯ
นายโชคอ้านวยา
น.ส.ชนิกานต์ฯ
พรรณา ……..
น.ส.กรรณิกา ฯ
เอกสารตัวอย่าง
รายงานผลการทดสอบความมั่นคงปลอดภัย ระบบเครื่องคอมพิวเตอร์แม่ข่ายและเว็บไซต์
เอกสารแนบ ๑
am
นายกิตติชัยฯ
นายสุพจน์ฯ
นายโชคอํานวยฯ
น.ส.ชนิกานต์ฯ
น.ส.กรรณิการ์ฯ
โลโก้ผู้ว่าจ้างและผู้รับจ้าง
รายงานผลการทดสอบความมั่นคงปลอดภัย ระบบเครื่องแม่ข่ายและเว็บไซต์
ตามโครงการ
สัญญาเลขที่
นายกิตติชัยฯ
Pro
Frams
นายสุพจน์ฯ นายโชคอํานวยฯ น.ส.ชนิกานต์ฯ
และ ……… น.ส.กรรณิการ์ฯ
1
สารบัญ
เนื้อหา

ข้อมูลทั่วไป (General Information……….
………..5
ข้อมูลเอกสาร (Document Information………
…….. 5
ข้อมูลการเปลี่ยนแปลงเอกสาร (Docurrent Change History)
………. 5
สรุปผลการตรวจสอบช่องโหว่ (Executive Summary)..
……. 6
ณ.
นายกิตติชัยฯ
นายสุพจน์ฯ
Forous and
นายโชคอํานวยฯ
am
2
น.ส.ชนิกานต์ฯ
น.ส.กรรณิการ์ฯ
สารบัญตาราง (ถ้ามี)
ม
Frachmat
Mem
3
นายกิตติชัยฯ
นายสุพจน์ฯ นายโชคอํานวยฯ
น.ส.ชนิกานต์ฯ
น.ส.กรรณิการ์ฯ
นายกิตติชัยฯ
โพ
สารบัญแผนภูมิ (ถ้ามี)
Tarnomor
Jahman
นายสุพจน์ฯ นายโชคอํานวยฯ
น.ส.ชนิกานต์ฯ
4
น.ส.กรรณิการ์ฯ
สรุปผลการตรวจสอบ/ประเมินช่องโหว่
ข้อมูลทั่วไป (General Information)
อธิบายรายละเอียดและเหตุผลในการทําการตรวจสอบ/ประเมินช่องโหว่
ข้อมูลเอกสาร (Document Information
ชื่อเอกสาร เวอร์ชั่น
ผู้จัดทํา ผู้ทดสอบ
ผู้ตรวจสอบ
URL/IP Address :
:
ข้อมูลการเปลี่ยนแปลงเอกสาร (Document Change History)
ตารางที่ ……. ประวัติการแก้ไขเอกสาร
เวอร์ชัน
วันที่
ผู้จัดทํา / แก้ไข
นายกิตติชัยฯ
กษ
นายสุพจน์ฯ
โด
นายโชคอ้านวยา
ท
หมายเหตุ
น.ส.ชนิกานต์ฯ
รรมการ..
น.ส.กรรณิการ์ฯ
5
สรุปผลการตรวจสอบช่องโหว่ (Executive Summary)
4.1
จํานวนการ IP Address ที่ทําการตรวจสอบ
(สรุปว่าทําการตรวจสอบว่าพบที่ IP Address ที่มีความเสี่ยง)
376
ตัวอย่างการสรุปจํานวน IP ที่ตรวจสอบและพบช่องโหว่
Low
Medium
High
Trom
นายกิตติชัยฯ
นายสุพจน์ฯ
นายโชคอ้านวยา น.ส.ชนิกานต์ฯ
วง รา
น.ส.กรรณิการ์ฯ
6
4.2 จํานวนช่องโหว่ที่ตรวจพบ
(สรุปรายการแบ่งตามระดับความเสี่ยง ของ Common Vulnerability Scoring System (CVSS))
CVSS
ระดับ
จํานวนรายการช่องโหว่
4.3
(CVSS))
9
7
6
5
4
3
2
1
รายการความเสี่ยงที่ตรวจพบ
(สรุปรายการแบ่งตามระดับความเสี่ยง ของ Common Vulnerability Scoring System
GUES
ระดับ
จํานวนรายการควาเสียง
6
7
ณ.
นายกิตติชัยฯ
6
30
5
4
3
2
1
โหลดm
นายสุพจน์ฯ
นายโชคอ้านวยฯ น.ส.ชนิกานต์ฯ
กรรณิการ์
น.ส.กรรณิการ์ฯ
7
4.4 สรุปช่องโหว่ที่ตรวจพบ
(สรุปช่องโหว่ที่ตรวจพบจําแนกตามชื่อช่องโหว่)
ช่องโหว่
ความรุนแรง
เครื่องที่ได้รับผลกระทบ/
IP Address
H…
ชาติ
นายกิตติชัยฯ
นายสุพจน์ฯ นายโชคอ้านวยๆ
Firmen
น.ส.ชนิกานต์ฯ
กรมการ
น.ส.กรรณิการ์ฯ
co
8
:
รายละเอียดช่องโหว่ที่ตรวจพบ
อธิบายช่องโหว่ที่ตรงพบที่มีความเสี่ยงสูง ปานกลาง และต่ํา มีอะไรบ้าง
พร้อมภาพหน้าจอที่แสดงให้เห็นถึงเครื่องมือ
และผลการตรวจสอบ
นายกิตติชัยฯ
offer
นายสุพจน์ฯ นายโชคอ้านวยา
t
น.ส.ชนิกานต์ฯ
9
น.ส.กรรณิการ์ฯ
แนวทางแก้ไขและข้อเสนแนะในแต่ละช่องโหว่
นายกิตติชัย
มีหัวข้ออย่างน้อย ดังนี้

แนวทางการแก้ไขช่องโหว่ที่ตรวจพบ
ผลกระทบที่ได้รับจากการปรับปรุง
(พร้อมภาพหน้าจอการแก้ไข)
ข้อเสนอแนะในการปรับปรุงในอนาคต
No
Pasaca
นายสุพจน์ฯ
นายโชคอ้านวยๆ
น.ส.ชนิกานต์ฯ
กรรมการ DISAN……….
น.ส.กรรณิการ์ฯ
10