ประกวดราคาซื้องานปรับปรุงเพื่อเพิ่มประสิทธิภาพระบบป้องกันการโจมตีแบบ DDoS (Distributed Denial of Service Protection System) และระบบป้องกันการบุกรุกเว็บไซต์ WAF (Web Application Firewall)

• จัดหาระบบรักษาความมั่นคงปลอดภัยสารสนเทศ จำนวน 1 ระบบ
• ทดแทนอุปกรณ์ที่หมดอายุการใช้งาน
• เพิ่มประสิทธิภาพระบบรักษาความมั่นคงปลอดภัยสารสนเทศ
• เพิ่มประสิทธิภาพการตรวจจับและป้องกันภัยคุกคามทางไซเบอร์ในปัจจุบัน
• สร้างความต่อเนื่องในการให้บริการเว็บไซต์ของ กทพ.

• จัดหาระบบตรวจจับและป้องกันผู้บุกรุกระบบเครือข่ายและหยุดยั้งการโจมตีประเภท DDoS (DDoS Mitigation) จำนวน 1 ชุด
• จัดหาระบบบริหารจัดการและออกรายงานอุปกรณ์ DDoS (DDoS Mitigator) จำนวน 1 ชุด
• จัดหาระบบป้องกันการบุกรุกเว็บไซต์ (Web Application Firewall) สำหรับป้องกันการโจมตีผ่านเครือข่ายอินเทอร์เน็ต จำนวน 1 ชุด
• ติดตั้งและปรับแต่งค่าการทำงานของอุปกรณ์ทั้งหมด
• ทดสอบการทำงานของระบบ
• จัดทำแผนการทำงานภายใน 15 วัน นับถัดจากวันที่ลงนามในสัญญา
• จัดทำคู่มือการใช้งานเป็นภาษาไทย
• ฝึกอบรมเจ้าหน้าที่ของ กทพ. เกี่ยวกับการใช้งานระบบ
• เคลื่อนย้ายและติดตั้งอุปกรณ์ DDoS Appliance เดิมไปยังศูนย์ควบคุมสำรอง

• ระบบตรวจจับและป้องกันผู้บุกรุกระบบเครือข่ายและหยุดยั้งการโจมตีประเภท DDoS (DDoS Mitigation) จำนวน 1 ชุด
• ระบบบริหารจัดการและออกรายงานอุปกรณ์ DDoS (DDoS Mitigator) จำนวน 1 ชุด
• ระบบป้องกันการบุกรุกเว็บไซต์ (Web Application Firewall) จำนวน 1 ชุด
• คู่มือการใช้งานเป็นภาษาไทย (เอกสารสิ่งพิมพ์ 2 ชุด และ Digital File 2 ชุด)
• แผนการฝึกอบรมและหลักสูตร
• รายงานการใช้งานรายเดือน (Monthly Usage Report)
• รายงานการประชุมสรุปผลการทำงานทุก 3 เดือน

• ระยะเวลาส่งมอบงานภายใน 90 วัน นับถัดจากวันที่ลงนามในสัญญา
• ระยะเวลาการรับประกัน 3 ปี แบบ 24x7 On Site Services

• Eligibility Requirements:
  • ต้องเป็นนิติบุคคล
  • ต้องได้รับการแต่งตั้งให้เป็นตัวแทนจำหน่ายจากผู้ผลิตหรือตัวแทนจำหน่ายในประเทศไทย
• Standards Compliance:
  • ต้องได้รับการรับรอง FCC Part 15 (Class A), UL/CB, RCM, VCCI, CE (สำหรับ DDoS Mitigation)
  • ผลิตภัณฑ์ที่นำเสนอ Gartner จะต้องอยู่ใน Magic Quadrant for Web Application Firewall ในปี 2022 เป็นอย่างน้อย (สำหรับ WAF)
  • ต้องได้รับการรับรองจาก SPARK Matrix ในหมวดหมู่ DDoS Mitigation ปี 2025 ให้อยู่ใน Technology Leader (สำหรับ DDoS Mitigation)
• Experience:
  • มีผลงานการขายหรือติดตั้งระบบรักษาความมั่นคงปลอดภัยสารสนเทศ หรือบำรุงรักษาระบบรักษาความมั่นคงปลอดภัยสารสนเทศ หรือที่มีการดำเนินงานใกล้เคียงกับงานประกวดราคาอิเล็กทรอนิกส์ครั้งนี้ภายในระยะเวลา 5 ปี นับถึงวันที่ยื่นเสนอราคา ในวงเงินต่อสัญญาไม่น้อยกว่า 5 ล้านบาท (รวมภาษีมูลค่าเพิ่ม)
• Previous Project Cost:
  • วงเงินต่อสัญญาไม่น้อยกว่า 5 ล้านบาท (รวมภาษีมูลค่าเพิ่ม)
• Technical Capabilities:
  • มีความสามารถในการติดตั้งและปรับแต่งค่าการทำงานของอุปกรณ์
  • มีความสามารถในการทดสอบการทำงานของระบบ
  • มีความสามารถในการจัดทำนโยบายความมั่นคงปลอดภัย (Security Policy) ที่สอดคล้องกับโครงสร้างของแต่ละเว็บไซต์ (สำหรับ WAF)
  • มีความสามารถในการทำงานร่วมกับอุปกรณ์ชุดปัจจุบัน (Radware Alteon รุ่น 5208S) ในรูปแบบ High Availability (HA)
  • มีความสามารถในการเคลื่อนย้ายและติดตั้งอุปกรณ์ DDoS Appliance เดิมไปยังศูนย์ควบคุมสำรอง
  • มีความสามารถในการปรับแต่งและส่งค่า Configuration ของอุปกรณ์ตามที่เสนอ
• Personnel:
  • ผู้ขายต้องส่งเจ้าหน้าที่เข้ามาดำเนินการติดตั้งและปรับแต่งค่าการทำงาน (Configuration) ของอุปกรณ์ โดยต้องได้รับใบประกาศนียบัตร (Certificate) จากเจ้าของผลิตภัณฑ์
  • ผู้ขายต้องดำเนินการฝึกอบรมเจ้าหน้าที่ของ กทพ.
  • ผู้ขายต้องดำเนินการส่งบุคลากรที่เกี่ยวข้องกับโครงการทุกคนเข้ารับการฝึกอบรมด้านความมั่นคงปลอดภัยไซเบอร์ตามหลักสูตรที่ กทพ. กำหนด

ใช้เกณฑ์ราคา

• DDoS Mitigation System:
  • อุปกรณ์แบบเฉพาะสำหรับป้องกัน DDoS
  • Throughput ไม่น้อยกว่า 22 Gbps, Processing Power ไม่น้อยกว่า 27 Mpps
  • DDoS Flood Prevention Rate ไม่น้อยกว่า 27 Mpps, Latency ไม่เกิน 70 Micro Seconds
  • Interface Type: 10GE-LC แบบ SR (2 คู่), 10 GE SFP+ หรือ 1 GE SFP (LAN 2 Port, WAN 2 Port), Gigabit Copper (Management 1 Port)
  • ทำงานแบบ Transparent หรือ Invisible
  • ป้องกัน Behavioral DoS (BDoS Protection) หรือ Machine Learning Detection, Zero-day Flood Attack (SYN Flood, TCP Flood, UDP Flood, ICMP Flood)
  • ป้องกัน Zero-day Attack ด้วย Machine Learning ที่สร้าง Real time Signature หรือ Adaptive Baseline
  • ทำ DNS Response Validation ไม่น้อยกว่า 7.5 Mpps
  • แยกแยะ Flash Crowd/Attack ออกจากการโจมตีได้
  • ป้องกันการโจมตีแบบ DNS (RFC Compliance, Query Rate Limit)
  • ตรวจสอบผู้ใช้งานจริง/Validate Source IP ด้วย TCP Cookie, HTTP Redirect, DNS Authentication
  • ทำ TLS 1.3 Decryption, TLS RFC Compliance
  • ป้องกันการโจมตีแบบ DNS ด้วย DNS Challenge Response, DNS RFC Compliance, Auto Scoping, Adaptive Rate Limiting
  • แหล่งจ่ายไฟ 2 หน่วยแบบ Hot Swappable
  • ป้องกัน Sync Flood ด้วย Sync Cookie ไม่น้อยกว่า 19 Mpps
  • Monitor Session Setup / Teardown ไม่น้อยกว่า 726 k CPS
  • Monitor Source ได้พร้อมๆ กันไม่น้อยกว่า 4 M Sources
  • มี AI หรือ Machine Learning สำหรับ Predictive, Heuristic และ Adaptive Analysis
  • ป้องกัน Anomaly ใน Layer 3, Layer 4, Layer 7 (ICMP, TCP State, HTTP Headers, DNS, NTP)
  • ป้องกัน Layer 3 Attack (Protocol Flood, Fragmentation Flood, Source Flood, IP-Inside-GRE Inspection)
  • ป้องกัน Layer 4 Attack (UDP Ports Mitigation, TCP Ports Mitigation, TCP Syn, TCP Flag)
  • ป้องกัน Layer 7 (HTTP URL, Host, Cookie, GET/POST, HTTP Method Flood, SSL/TLS Renegotiation, DNS Query, NTP Request/Response)
  • Update IP Reputation หรือ Bad IP Database ตลอดระยะเวลาสัญญา
  • รายงาน DDoS (Top Attacks, Attackers, Subnets/IP, Protocol, Ports, ICMP Types/Codes, HTTP URL/Hosts, DNS Anomalies/Servers)
  • เตรียม DDoS Report แบบ Schedule และ On-Demand, ส่งออกทาง Email ได้
• DDoS Mitigator System:
  • Log Analysis แบบ Appliance
  • Network Interface: GE RJ45 (2 Port)
  • รับ Log ได้ไม่น้อยกว่า 100 GB ต่อวัน หรือ Analytic Sustained Rate ไม่น้อยกว่า 2,000 Log/second
  • Storage หลัง RAID-1 ไม่น้อยกว่า 3 TB
  • มี Generative AI assistance สำหรับ Summarize Incidents หรือถามคำถามเกี่ยวกับ Alert
  • มี Connector หรือ API สำหรับสั่งงานระบบภายนอกผ่าน HTTPS
• Web Application Firewall (WAF):
  • อุปกรณ์ Appliance ป้องกันด้าน Web Application/Web Service
  • Port SFP+ สำหรับ 10 Gigabit Ethernet หรือดีกว่า (2 Port พร้อม Module)
  • พอร์ต RJ45 สำหรับ 1 Gigabit Ethernet หรือดีกว่า (8 Port)
  • WAF Throughput ไม่น้อยกว่า 1 Gbps
  • Performance Throughput Layer 7 ไม่น้อยกว่า 6 Gbps
  • Health Monitor แบบ Service Check Monitor (POP3, RADIUS, ICMP, DNS, ARP, DHCP, SSL, TCP, UDP)
  • SSL Offloading สำหรับ RSA 2K Keys ไม่น้อยกว่า 20,500 CPS/TPS, สำหรับ ECC/ECDSA ไม่น้อยกว่า 12,000 CPS/TPS
  • รองรับโปรโตคอล HTTP/1.1, HTTP/2, HTTP/3
  • Connection Persistence (Cookie หรือ Source IP)
  • อัปเดตฐานข้อมูลช่องโหว่, รูปแบบการโจมตี (Manual และ Automatic)
  • กำหนด Policy แบบ Positive model และ Negative Model
  • ป้องกันการโจมตีตาม OWASP Top 10 ปี 2021
  • ป้องกันการโจมตีจาก Bad Bot ด้วย Technology Fingerprint
  • ป้องกัน SQL injections, data leakage, buffer overflows, Cross site Scripting, API security
  • ทำงานแบบ Content Routing, HTTP Content Class, Decision Rule, Local Policy
  • ป้องกันการรั่วไหลของข้อมูลด้วย Custom Pattern
  • ตรวจสอบสถานะการทำงานของแอปพลิเคชันผ่าน HTTP/HTTPS (Health Check)
  • เขียน Code Programing เพิ่มเติมในตัวอุปกรณ์ได้ด้วยภาษา TCL Language
  • ทำ Access Control Lists (ACL) Layer 3/4, รองรับ NAT
  • ทำงานบนมาตรฐาน IPv4 และ IPv6
  • ทำงานแบบ Transparent หรือ Reverse proxy
  • จัดการอุปกรณ์ผ่าน Web-based GUI, CLI, Telnet, SSH
  • ส่ง Traffic Log หรือ Transaction Log ไปยังอุปกรณ์จัดการเก็บ Log ภายนอกผ่าน Syslog Protocol
  • ทำงานแบบ High Availability Network โดยใช้ VRRP (Active-Standby, Active-Active)

• Payment Schedule:
  • กทพ. จะจ่ายเงินให้แก่ผู้ขายเมื่อผู้ขายได้ส่งมอบพัสดุครบถ้วนถูกต้อง และคณะกรรมการตรวจรับพัสดุได้ดำเนินการตรวจรับเป็นที่เรียบร้อยแล้ว
• Penalties:
  • หากผู้ขายไม่สามารถส่งมอบสิ่งของภายในระยะเวลาที่กำหนดไว้ในสัญญา ผู้ขายจะต้องชำระค่าปรับเป็นรายวันในอัตราร้อยละ 0.1 ของมูลค่างานตามสัญญา
  • หากผู้ขายไม่สามารถปฏิบัติตามที่ระบุไว้ในการรับประกัน ผู้ขายต้องยินยอมให้ กทพ. ปรับเป็นรายชั่วโมง โดยคิดค่าปรับตามอัตรา: จำนวนชั่วโมงที่เกิน X ร้อยละ 0.01 X วงเงินตามสัญญา
• Warranty:
  • รับประกันการใช้งานอุปกรณ์ 3 ปี แบบ 24x7 On Site Services
  • ผู้ขายมีหน้าที่บำรุงรักษาและซ่อมแซมแก้ไขให้อยู่ในสภาพที่ใช้งานได้ดีอยู่เสมอด้วยค่าใช้จ่ายของผู้ขาย
  • ผู้ขายต้องตอบรับทราบปัญหา/ข้อผิดพลาดภายใน 4 ชั่วโมง นับตั้งแต่เวลาที่ได้รับแจ้ง (24x7)
  • ผู้ขายต้องให้การสนับสนุนจัดเตรียมผู้ดูแลระบบเข้ามาดำเนินการกรณี กทพ. มีการปรับเปลี่ยนค่าการทำงานหรือวิธีการใช้งานอุปกรณ์ โดยไม่คิดค่าใช้จ่ายเพิ่มเติมตลอดระยะเวลาการรับประกัน
  • ผู้ขายต้องทำ Preventive Maintenance (PM) ทุก 3 เดือน ตลอดระยะเวลารับประกัน
  • ผู้ขายต้องจัดทำเอกสารรายงานการใช้งานรายเดือน (Monthly Usage Report)
  • ผู้ขายต้องจัดประชุมสรุปผลการทำงานทุก 3 เดือน

• Q: ระบบ DDoS เดิมของ กทพ. มีปัญหาอย่างไร?
  • A: ระบบ DDoS เดิมหมดอายุการใช้งาน (End-of-Life) ทำให้ไม่สามารถอัปเดตแพตช์ด้านความปลอดภัย (Security Patch) ได้ และไม่สามารถตรวจจับและป้องกันการโจมตีรูปแบบใหม่ที่มีความซับซ้อนได้
  • Q: ระบบ WAF เดิมของ กทพ. มีความเสี่ยงอย่างไร?
  • A: ระบบ WAF เดิมมีลักษณะเป็นชุดเดียว (Single Point of Failure) ซึ่งหากอุปกรณ์เกิดความขัดข้อง จะส่งผลให้เว็บไซต์ทั้งหมดไม่สามารถให้บริการได้
  • Q: โครงการนี้ต้องการจัดหาระบบอะไรบ้าง?
  • A: โครงการนี้ต้องการจัดหาระบบ DDoS Mitigation จำนวน 1 ชุด, ระบบบริหารจัดการและออกรายงานอุปกรณ์ DDoS (DDoS Mitigator) จำนวน 1 ชุด และระบบ Web Application Firewall (WAF) จำนวน 1 ชุด
  • Q: คุณสมบัติผลงานของผู้ยื่นข้อเสนอต้องเป็นอย่างไร?
  • A: ผู้ยื่นข้อเสนอต้องมีผลงานการขายหรือติดตั้งหรือบำรุงรักษาระบบรักษาความมั่นคงปลอดภัยสารสนเทศ หรือที่ใกล้เคียง ภายใน 5 ปี นับถึงวันที่ยื่นเสนอราคา ในวงเงินต่อสัญญาไม่น้อยกว่า 5 ล้านบาท (รวมภาษีมูลค่าเพิ่ม)
  • Q: ผู้ยื่นข้อเสนอต้องได้รับการรับรองจากหน่วยงานใดบ้าง?
  • A: สำหรับระบบ DDoS Mitigation ต้องได้รับการรับรองจาก SPARK Matrix ในหมวดหมู่ DDoS Mitigation ปี 2025 ให้อยู่ใน Technology Leader และได้รับการรับรอง FCC Part 15 (Class A), UL/CB, RCM, VCCI, CE สำหรับผลิตภัณฑ์ที่นำเสนอ สำหรับระบบ WAF ต้องได้รับการจัดอันดับจาก Gartner ใน Magic Quadrant for Web Application Firewall ปี 2022 เป็นอย่างน้อย
  • Q: ระยะเวลาการรับประกันอุปกรณ์เป็นเท่าใด?
  • A: ผู้ขายต้องรับประกันการใช้งานอุปกรณ์เป็นระยะเวลา 3 ปี แบบ 24x7 On Site Services
  • Q: ผู้ขายต้องดำเนินการฝึกอบรมอะไรบ้าง?
  • A: ผู้ขายต้องฝึกอบรมเจ้าหน้าที่ของ กทพ. เกี่ยวกับการติดตั้ง การปรับแต่งค่า การบริหารจัดการ การใช้งาน การบำรุงรักษา และการแก้ปัญหาเบื้องต้นของระบบทั้ง 3 ส่วน (DDoS Mitigation, DDoS Mitigator, WAF)
  • Q: มีข้อกำหนดเรื่องการรักษาความปลอดภัยไซเบอร์อย่างไรบ้าง?
  • A: ผู้ขายต้องปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์ของ กทพ., พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 และ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงต้องส่งบุคลากรเข้ารับการฝึกอบรมด้าน Security Awareness
  • Q: หากผู้ขายส่งมอบงานล่าช้าจะมีค่าปรับอย่างไร?
  • A: ผู้ขายจะต้องชำระค่าปรับเป็นรายวันในอัตราร้อยละ 0.1 ของมูลค่างานตามสัญญา
  • Q: การจ่ายเงินค่าจ้างจะเป็นอย่างไร?
  • A: กทพ. จะจ่ายเงินให้แก่ผู้ขายเมื่อผู้ขายได้ส่งมอบพัสดุครบถ้วนถูกต้อง และคณะกรรมการตรวจรับพัสดุได้ดำเนินการตรวจรับเป็นที่เรียบร้อยแล้ว

รายละเอียดคุณลักษณะเฉพาะ
งานปรับปรุงเพื่อเพิ่มประสิทธิภาพระบบป้องกันการโจมตีแบบ DDoS (Distributed Denial of Service Protection System) และระบบป้องกันการบุกรุกเว็บไซต์WAF (Web Application Firewall)

1. ความเป็นมา
   การทางพิเศษแห่งประเทศไทย (กทพ.) มีระบบ DDoS (Distributed Denial of Service) ซึ่งทำหน้าที่ สำคัญในการตรวจจับและป้องกันการโจมตีทางไซเบอร์ ด้วยการเปลี่ยนแปลงของเทคโนโลยีและการโจมตีที่ ซับซ้อนขึ้นอย่างต่อเนื่อง ทำให้ระบบ DDoS เดิมที่ใช้อยู่ในปัจจุบันไม่สามารถตรวจจับและป้องกันการโจมตี รูปแบบใหม่ได้ พร้อมทั้งระบบ DDoS เดิมหมดอายุการใช้งาน (End-of-Life) ทำให้ไม่สามารถอัปเดตแพตช์ ด้านความปลอดภัย (Security Patch) ได้ และ กทพ. มีระบบ WAF (Web Application Firewall) ทำหน้าที่ ป้องกันการโจมตีเว็บไซต์ทั้งหมดที่ให้บริการเพียงชุดเดียว (Single Point of Failure) ซึ่งหากอุปกรณ์เกิดความ ขัดข้องจะส่งผลทำให้เว็บไซต์ทั้งหมดไม่สามารถให้บริการได้ กทพ. จึงมีความจำเป็นเร่งด่วนในการจัดหาระบบ DDoS และ WAF เพื่อเพิ่มประสิทธิภาพการตรวจจับ ป้องกันภัยคุกคามทางไซเบอร์ในปัจจุบัน และสร้างความ ต่อเนื่องในการให้บริการเว็บไซต์ ของ กทพ.
2. วัตถุประสงค์
   กทพ. มีความประสงค์จะจัดหาอุปกรณ์ระบบรักษาความมั่นคงปลอดภัยสารสนเทศ จำนวน 1 ระบบ เพื่อทดแทนอุปกรณ์ที่หมดอายุการใช้งานและเพิ่มประสิทธิภาพระบบรักษาความมั่นคงปลอดภัยสารสนเทศ ซึ่งประกอบด้วยอุปกรณ์ ดังนี้
   2.1 ระบบตรวจจับและป้องกันผู้บุกรุกระบบเครือข่ายและหยุดยั้งการโจมตีประเภท DDoS (DDoS Mitigation) จำนวน 1 ชุด
   2.2 ระบบบริหารจัดการและออกรายงานอุปกรณ์ DDoS (DDoS Mitigator) จำนวน 1 ชุด 2.3 ระบบป้องกันการบุกรุกเว็บไซต์ (Web Application Firewall) สำหรับป้องกันการโจมตีผ่านเครือข่าย อินเทอร์เน็ต จำนวน 1 ชุด
3. คุณสมบัติของผู้ยื่นข้อเสนอ
   3.1 ผู้ยื่นข้อเสนอต้องมีผลงานการขายหรือติดตั้งระบบรักษาความมั่นคงปลอดภัยสารสนเทศหรือ บำรุงรักษาระบบรักษาความมั่นคงปลอดภัยสารสนเทศ หรือที่มีการดำเนินงานใกล้เคียงกับงานประกวดราคา อิเล็กทรอนิกส์ครั้งนี้ภายในระยะเวลา 5 ปี นับถึงวันที่ยื่นเสนอราคา ในวงเงินต่อสัญญาไม่น้อยกว่า 5 ล้านบาท (รวมภาษีมูลค่าเพิ่ม) โดยยื่นหนังสือรับรองผลงาน และสำเนาสัญญาซึ่งมีหัวหน้าหน่วยงานหรือผู้ทำการแทนของ หน่วยงานคู่สัญญาเป็นผู้ลงนามรับรอง โดยระบุเลขที่สัญญาหรือชื่อสัญญา ระยะเวลาดำเนินการและวงเงินตาม สัญญา ซึ่งเป็นผลงานที่เป็นคู่สัญญาโดยตรงกับหน่วยงานของรัฐ หรือหน่วยงานเอกชนที่ กทพ. เชื่อถือ ทั้งนี้กทพ. สงวนสิทธิ์ที่จะตรวจสอบข้อเท็จจริงโดยตรงจากหน่วยงานดังกล่าว
   ……………………………………… ……………………………………… ………………………………….. ……………………………… ……………………………………. (นายวุฒิชัย เกษรปทุมานันท์) (นายจีระวัฒน์ เวชประสิทธิ์) (นายจตุรงค์ วงศ์ราษฎร์) (นายชัยณรงค์ สมมิตร) (นายพงษ์พันธุ์ อิฐสุวรรณ) ประธานกรรมการ กรรมการ กรรมการ กรรมการ กรรมการและเลขานุการ

๒
3.2 ผู้ยื่นข้อเสนอต้องได้รับการแต่งตั้งให้เป็นตัวแทนจำหน่ายจากผู้ผลิตหรือตัวแทนจำหน่าย ในประเทศไทย โดยให้ยื่นขณะเข้าเสนอราคา
4. รายละเอียดทั่วไป
4.1 ผู้ยื่นข้อเสนอต้องจัดทำตารางเปรียบเทียบข้อกำหนด โดยเทียบกับรายละเอียดคุณลักษณะเฉพาะ ของ กทพ. ให้ชัดเจน พร้อมแนบแคตตาล็อกตัวจริงที่มีการขีดเส้นใต้เน้นคุณสมบัติที่ตรงตามข้อกำหนดของ กทพ. กรณีที่อุปกรณ์มีหลายรุ่น (Model) และ/หรือ Option ผู้เสนอราคาต้องระบุให้ชัดเจน ว่าจะส่งมอบรุ่น หรือ Series ใด และ Option ใด โดยให้ยื่นขณะเข้าเสนอราคา
4.2 อุปกรณ์ที่เสนอจะต้องเป็นของแท้ ของใหม่ อยู่ในสภาพที่ใช้งานได้ดี และเป็นรุ่นที่อยู่ใน สายการผลิต (Product Line) รวมทั้งเป็นรุ่นที่ไม่อยู่ในการประกาศสิ้นสุดอายุการใช้งาน (End of Life) อย่างเป็น ทางการจากผู้ผลิต
4.3 คู่สัญญาต้องจัดทำแผนการทำงานมาให้ภายใน 15 วัน นับถัดจากวันที่ลงนามในสัญญาทั้งนี้ แผนการทำงานดังกล่าวให้ถือเป็นเอกสารส่วนหนึ่งของสัญญา
5. รายละเอียดคุณลักษณะเฉพาะ
5.1 ระบบตรวจจับและป้องกันผู้บุกรุกระบบเครือข่ายและหยุดยั้งการโจมตีประเภท DDoS (DDoS Mitigation) จำนวน 1 ชุด โดยแต่ละชุดมีคุณสมบัติอย่างน้อย ดังนี้
5.1.1 เป็นอุปกรณ์แบบเฉพาะทำหน้าที่ป้องกันการบุกรุก หรือการโจมตีประเภท Distributed Denial of Service (DDoS) ต่อจุดบกพร่องของระบบเครือข่ายและเครื่องแม่ข่ายภายในองค์กร 5.1.2 มีความสามารถในการป้องกัน หรือ Inspected หรือ Mitigation Throughput ไม่น้อย กว่า 22 Gbps และ Processing Power ไม่น้อยกว่า 27 Million Packet Per Second (Mpps) ถ้ามีการคิด License ต้องเสนอให้ครอบคลุมการใช้งาน Throughput ดังกล่าว
5.1.3 มีความเร็วในการป้องกันการโจมตี DDoS Flood Prevention Rate ไม่น้อยกว่า 27 Mpps และมีค่า Latency ไม่เกิน 70 Micro Seconds
5.1.4 อุปกรณ์ที่นำเสนอต้องมี Interface Type สำหรับใช้งานอย่างน้อยดังนี้

1. 10GE-LC แบบ SR พร้อม Built-in bypass ไม่น้อยกว่า 2 คู่ หรือ 2 LAN + 2 WAN 2) มี LAN Interface แบบ 10 GE SFP+ หรือ 1 GE SFP อย่างน้อย 2 Port
2. มี WAN Interface แบบ 10 GE SFP+ หรือ 1 GE SFP อย่างน้อย 2 Port
   5.1.5 มี Gigabit Copper เพื่อใช้ในการบริหารระบบ (Management) อย่างน้อย 1 Port 5.1.6 สามารถทำงานแบบ Transparent หรือ Invisible โดยที่ไม่มี IP หรือ MAC address เพื่อปกปิดตัวเองจาก Attacker
   5.1.7 สามารถป้องกันการโจมตีแบบ Behavioral DoS (BDoS Protection) หรือ Machine Learning Detectionโดยสามารถตรวจจับและป้องกันการโจมตีแบบ Zero-day Flood Attack ได้ เช่น SYN Flood, TCP Flood, UDP Flood, ICMP Flood
   5.1.8 สามารถป้องกัน Zero-day Attack ได้โดยต้องมี Machine Learning ที่สร้าง Real time Signature หรือ Adaptive Baseline ได้
   5.1.9 สามารถทำ DNS Response Validation เมื่อโดน Flood Attack ได้ไม่น้อยกว่า 7.5 Mpps 5.1.10 สามารถแยกแยะ Flash Crowd หรือ Flash Attack หรือ Attack Evaluation ออก จากการโจมตีได้และไม่กระทบต่อผู้ใช้งานจริง
   ……………………………………… ……………………………………… ………………………………….. ……………………………… ……………………………………. (นายวุฒิชัย เกษรปทุมานันท์) (นายจีระวัฒน์ เวชประสิทธิ์) (นายจตุรงค์ วงศ์ราษฎร์) (นายชัยณรงค์ สมมิตร) (นายพงษ์พันธุ์ อิฐสุวรรณ) ประธานกรรมการ กรรมการ กรรมการ กรรมการ กรรมการและเลขานุการ
   ๓
   5.1.11 ÿามารถป้องกันการโจมตีแบบ DNS ได้ โดยต้องÿามารถตรüจÿอบคüามถูกต้องตาม มาตรฐาน RFC (DNS RFC Compliance) และ Query Rate Limit ได้เป็นอย่างน้อย
   5.1.12 ÿามารถตรüจÿอบผู้ใช้งานจริง Āรือ Validate Source IP เพื่อป้องกัน Brute Force Attack ด้üยüิธีอย่างน้อยดังนี้
3. TCP Cookie
4. HTTP Redirect
5. DNS Authentication
   5.1.13 ÿามารถทำ TLS 1.3 Decryption ได้
   5.1.14 ÿามารถตรüจÿอบคüามถูกต้องของการเชื่อมต่อ TLS ตามมาตรฐาน RFC (TLS RFC Compliance)
   5.1.15 ÿามารถป้องกันการโจมตีแบบ DNS ได้อย่างมีประÿิทธิภาพ โดยมีเทคนิคเช่น DNS Challenge Response, DNS RFC Compliance, Auto Scoping และ Adaptive Rate Limiting ได้เป็นอย่างน้อย 5.1.16 มีแĀล่งจ่ายไฟÿองĀน่üยแบบ Hot Swappable
   5.1.17 ต้องได้รับการรับรอง FCC Part 15 (Class A), UL/CB, RCM, VCCI, CE
   5.1.18 ต้องได้รับการรับรองจาก SPARK Matrix ในĀมüดĀมู่ DDoS Mitigation ปี 2025 ใĀ้ อยู่ใน Technology Leader
   5.1.19 ÿามารถป้องกัน Sync Flood โดยทำ Sync Cookie ได้ไม่น้อยกü่า 19 Mpps 5.1.20 ÿามารถ Monitor Session Setup / Teardown ได้ไม่น้อยกว่า 726 k CPS
   5.1.21 ÿามารถ Monitor Source ได้พร้อมๆ กันไม่น้อยกว่า 4 M Sources
   5.1.22 มี AI Āรือ Machine Learning ÿำĀรับทำ Predictive, Heuristic และ Adaptive Analysis เป็นต้น
   5.1.23 ÿามารถป้องกัน Anomaly ใน Layer 3, Layer 4 และ Layer 7 ดังนี้
6. ICMP Types และ Code
7. TCP State และ Transition Anomalies
8. HTTP Headers
9. DNS Header และ Payload
10. NTP Header และ Payload
    5.1.24 ÿามารถป้องกัน Layer 3 Attack ดังนี้
11. Protocol Flood
12. Fragmentation Flood
13. Source Flood
14. L3-L7 Inspection ของข้อมูล IP ภายใน GRE (IP-Inside-GRE Inspection)
    5.1.25 ÿามารถป้องกัน Layer 4 Attack ดังนี้
15. UDP Ports Mitigation
16. TCP Ports Mitigation
17. TCP Syn Āรือ Syn Destination Āรือ Sync Source
18. ตรüจÿอบ TCP Flag กรณี Invalid Āรือ Out-of-State Flood
    ……………………………………… ……………………………………… ………………………………….. ……………………………… ……………………………………. (นายüุฒิชัย เกþรปทุมานันท์) (นายจีระüัฒน์ เüชประÿิทธิ์) (นายจตุรงค์ üงý์ราþฎร์) (นายชัยณรงค์ ÿมมิตร) (นายพงþ์พันธุ์ อิฐÿุüรรณ) ประธานกรรมการ กรรมการ กรรมการ กรรมการ กรรมการและเลขานุการ
    ๔
    5.1.26 ÿามารถป้องกัน Layer 7 ดังนี้
19. HTTP URL, Host, Cookie, HTTP GET/POST Client Validation
20. HTTP Method Flood (all 8 Methods)
21. SSL Āรือ TLS Renegotiation และ Cypher Anomalies
22. DNS Query, ZT (Zone Transfer), Fragment, per-Source Flood,
    Response Code Flood
23. NTP Request / Response and Response-per-Destination Flood
    5.1.27 ÿามารถ Update IP Reputation Āรือ Bad IP Database จากผู้ใĀ้บริการตลอด ระยะเüลาÿัญญา
    5.1.28 ÿามารถทำ Report ที่เกี่ยüข้องกับ DDoS โดยมีข้อมูลต่างๆ อย่างน้อยดังนี้
24. Top Attacks
25. Top Attackers
26. Top Attacked Subnets Āรือ IP Addresses
27. Top Attacked Protocol
28. Top Attacked TCP และ UDP Ports
29. Top Attack ICMP Types / Codes
30. Top Attack HTTP URL, HTTP Hosts
31. Top Attack DNS Anomalies และ Servers
    5.1.29 ÿามารถเตรียม DDoS Report ได้ทั้งแบบ Schedule และ On-Demand โดยÿ่งออก ทาง Email ได้
    5.2 ระบบบริĀารจัดการและออกรายงานอุปกรณ์ DDoS (DDoS Mitigator) จำนüน 1 ชุด โดย แต่ละชุดมีคุณÿมบัติอย่างน้อย ดังนี้
    5.2.1 ระบบ Log Analysis แบบ Appliance โดยมีรายละเอียดอย่างน้อยดังนี้
32. มี Network Interface แบบ GE RJ45 ไม่น้อยกว่า 2 Port
33. ÿามารถรับ Log ได้ไม่น้อยกü่า 100 GB ต่อวัน Āรือ Analytic Sustained Rate ไม่น้อยกว่า 2,000 Log/second
34. มี Storage ใĀ้ใช้งานĀลังจาก ทำ RAID-1 (mirroring) ไม่น้อยกว่า 3 TB
35. มีการรüม Generative AI assistance เพื่อช่üยในการÿรุปรüม Summarize Incidents Āรือ ถามคำถามเกี่ยüกับ Alert ต่างๆ ของระบบ
36. มี Connector Āรือ API ในการÿั่งงานระบบภายนอกผ่าน HTTPS โดยÿามารถ Custom HTTP Header และ Body พร้อมรองรับ HTTP Authentication แบบ Basic Āรือ OAuth2 5.3 ระบบป้องกันการบุกรุกเü็บไซต์ (Web Application Firewall) ÿำĀรับป้องกันการโจมตีผ่าน เครือข่ายอินเทอร์เน็ต จำนüน 1 ชุด ซึ่งมีคุณÿมบัติอย่างน้อยดังนี้
    5.3.1 เป็นอุปกรณ์ Appliance ทำĀน้าที่ป้องกันด้าน Web Application Āรือ Web Service โดยเฉพาะ 5.3.2 มีPort SFP+ ÿำĀรับ 10 Gigabit Ethernet Āรือดีกว่าไม่น้อยกว่า 2 port พร้อม Module 10G SFP+ จำนüน 2 Module
    5.3.3 มีพอร์ต RJ45 ÿำĀรับ 1 Gigabit Ethernet Āรือดีกว่าไม่น้อยกว่า 8 port
    5.3.4 มี Web Application Firewall Throughput ไม่น้อยกว่า 1 Gbps
    ……………………………………… ……………………………………… ………………………………….. ……………………………… ……………………………………. (นายüุฒิชัย เกþรปทุมานันท์) (นายจีระüัฒน์ เüชประÿิทธิ์) (นายจตุรงค์ üงý์ราþฎร์) (นายชัยณรงค์ ÿมมิตร) (นายพงþ์พันธุ์ อิฐÿุüรรณ) ประธานกรรมการ กรรมการ กรรมการ กรรมการ กรรมการและเลขานุการ
    ๕
    5.3.5 มี Performance Throughput Layer 7 ไม่น้อยกว่า 6 Gbps
    5.3.6 ÿามารถทำ Health Monitor แบบ Service Check Monitor เช่น POP3, RADIUS, ICMP, DNS, ARP, DHCP, SSL, TCP และ UDP ได้เป็นอย่างน้อย
    5.3.7 ÿามารถทำ SSL Offloading ÿำĀรับ RSA 2K Keys ได้ไม่น้อยกว่า 20,500 CPS Āรือ 2K Keys ได้ไม่น้อยกว่า 20,500 TPS และÿำĀรับ ECC จะต้องÿามารถรองรับได้ 12,000 CPS Āรือ ECDSA จะต้องÿามารถรองรับได้ 12,000 TPS เป็นอย่างน้อย
    5.3.8 ÿามารถรองรับโปรโตคอล HTTP เวอร์ชัน HTTP 1.1, HTTP/2 และ HTTP/3 เป็นอย่างน้อย 5.3.9 ÿามารถทำ Connection Persistence โดยดูจาก Cookie Āรือ Source IP ได้เป็นอย่างน้อย 5.3.10 ผลิตภัณฑ์ที่นำเÿนอ Gartner จะต้องใĀ้อยู่ใน Magic Quadrant for Web Application Firewall ในปี 2022เป็นอย่างน้อย
    5.3.11 ÿามารถอัพเดทฐานข้อมูลช่องโĀü่ รูปแบบการโจมตี (Attack Signature) ทั้งในแบบ Manual และ Automatic
    5.3.12 อุปกรณ์ที่นำเÿนอÿามารถกำĀนด Policy ได้ทั้งในรูปแบบ Positive model และ Negative Model
    5.3.13 ÿามารถป้องกันการโจมตีตาม OWASP Top 10 ในปี 2021
    5.3.14 อุปกรณ์ที่นำเÿนอต้องÿามารถป้องกันการโจมตีจาก Bad Bot ได้โดยการใช้ Technology Fingerprint ทดแทนการใช้ IP Address เพื่อป้องกันการ Block ผู้ใช้งานที่อยู่ภายใต้ Proxy Server Āรือ NAT ร่üมกับ Attacker
    5.3.15 อุปกรณ์ที่นำเÿนอมีคüามÿามารถในการทำงานและปกป้อง Web Application จาก การโจมตีได้แก่ SQL injections, data leakage, buffer overflows, Cross site Scripting, API security เป็น อย่างน้อย
    5.3.16 ÿามารถทำงานในลักþณะ Content Routing Āรือ HTTP Content Class Āรือ Decision Rule Āรือ Local Policy ได้
    5.3.17 ÿามารถป้องกันการรั่üไĀลของข้อมูลด้üยการกำĀนด Custom Pattern ได้
    5.3.18 ÿามารถตรüจÿอบÿถานะการทำงานของแอปพลิเคชันผ่านโปรโตคอล HTTP Āรือ HTTPS (Health Check) ได้ โดยÿามารถกำĀนดค่าการตรüจÿอบดังกล่าüได้ผ่านĀน้า GUI Āรือ CLI อย่างน้อยใน Āัüข้อต่อไปนี้
37. Host (Host Header)
38. Path (Request Path)
39. HTTP Method (GET, POST)
40. Response Code
41. Return string
    5.3.19 ÿามารถเขียน Code Programing เพิ่มเติมในตัüอุปกรณ์ได้เพื่อตรüจÿอบ Traffic ที่ ผ่านตัüอุปกรณ์ ได้ด้üยภาþา TCL Language
    5.3.20 ÿามารถทำ Access Control Lists (ACL) ในระดับ Layer 3 และ Layer 4 รวมทั้ง รองรับการทำ Network Address Translation (NAT) ได้
    5.3.21 ÿามารถทำงานบนมาตรฐาน IPv4 และ IPv6 ได้
    ……………………………………… ……………………………………… ………………………………….. ……………………………… ……………………………………. (นายüุฒิชัย เกþรปทุมานันท์) (นายจีระüัฒน์ เüชประÿิทธิ์) (นายจตุรงค์ üงý์ราþฎร์) (นายชัยณรงค์ ÿมมิตร) (นายพงþ์พันธุ์ อิฐÿุüรรณ) ประธานกรรมการ กรรมการ กรรมการ กรรมการ กรรมการและเลขานุการ
    ๖
    5.3.22 อุปกรณ์ที่นำเÿนอÿามารถทำงานแบบ Transparent ĀรือReverse proxy ได้เป็นอย่างน้อย 5.3.23 ÿามารถจัดการตัüอุปกรณ์ผ่าน Web-based GUI, CLI, Telnet และ SSH ได้เป็นอย่างน้อย 5.3.24 ÿามารถÿ่ง Traffic Log Āรือ Transaction Log ไปยังอุปกรณ์จัดการเก็บ Log ภายนอกได้ ผ่าน Syslog Protocol
    5.3.25 ÿามารถทำงานแบบ High Availability Network โดยใช้ VRRP ได้ เมื่อทำงาน 2 ตัว รองรับการทำงานแบบ Active-Standby, Active-Active

6. เงื่อนไขการติดตั้ง
   6.1 ผู้ขายต้องÿ่งเจ้าĀน้าที่เข้ามาดำเนินการติดตั้งและปรับแต่งค่าการทำงาน (Configuration) ของอุปกรณ์ ในข้อ 5 โดยต้องได้รับใบประกาýนียบัตร (Certificate) จากเจ้าของผลิตภัณฑ์
   6.2 ผู้ขายต้องกำĀนดค่าการทำงานของอุปกรณ์ที่นำมาติดตั้งทดแทน เพื่อใĀ้ÿามารถทำงานร่üมกับระบบงาน ของ กทพ. พร้อมทั้งทำการทดÿอบการทำงานของระบบงานทั้งĀมดใĀ้ÿามารถใช้งานได้อย่างมีประÿิทธิภาพไม่ด้อยกü่า ระบบเดิม Āรือมีประÿิทธิภาพดียิ่งขึ้น
   6.3 ผู้ขายต้องติดตั้งระบบ DDOS Appliance ใĀ้เป็นไปตามข้อกำĀนดคüามปลอดภัยของ กทพ. และทำการ ทดÿอบการทำงานของระบบดังกล่าü
   6.4 ผู้ขายต้องติดตั้งระบบ Web Application Firewall (WAF) และจัดทำนโยบายคüามมั่งคงปลอดภัย (Security Policy) ที่ÿอดคล้องกับโครงÿร้างของแต่ละเü็บไซต์ที่ใĀ้บริการอยู่ พร้อมทั้งทดÿอบและเปลี่ยนโĀมดการ ทำงานใĀ้เü็บไซต์รับ-ÿ่งข้อมูลผ่านระบบ WAF ได้อย่างมีประÿิทธิภาพ
   6.5 ผู้ขายต้องดำเนินการตั้งค่าอุปกรณ์ใĀ้ÿามารถทำงานร่üมกับอุปกรณ์ชุดปัจจุบัน (Radware Alteon รุ่น 5208S) ในรูปแบบ High Availability (HA) ทั้งในลักþณะ Active-Standby Āรือ Active-Active Āรือตามที่ กทพ. กำĀนดและทดÿอบการทำงานใĀ้ÿามารถใช้งานได้อย่างมีประÿิทธิภาพ
   6.6 ผู้ขายต้องดำเนินการเคลื่อนย้ายและติดตั้งอุปกรณ์ DDOS Appliance เดิมไปยังýูนย์คüบคุมÿำรองที่ กทพ. กำĀนด พร้อมทั้งกำĀนดค่าการทำงานเพื่อใĀ้ÿามารถใช้งานได้อย่างมีประÿิทธิภาพ
   6.7 ผู้ขายต้องปรับแต่งและÿ่งค่า Configuration ของอุปกรณ์ ตามที่เÿนอในข้อ 5 รายละเอียดคุณ ลักþณะเฉพาะในโครงการนี้พร้อมคู่มือการใช้งานเป็นภาþาไทย ภายใน 90 üันนับถัดจากüันที่ลงนามในÿัญญา ใน รูปแบบ เอกÿารÿิ่งพิมพ์ (Hard Copy) จำนüน 2 ชุด และ Digital File (Soft Copy) ที่ÿามารถแก้ไขปรับปรุงได้ เช่น .DOCX, .XLSX และ .VSD บันทึกลงในอุปกรณ์จัดเก็บข้อมูลแบบพกพาขนาดเล็ก (USB Flash Drive) จำนüน 2 ชุด
7. การฝึกอบรม
   ผู้ขายต้องทำการฝึกอบรมเจ้าĀน้าที่ของ กทพ. เกี่ยüกับการติดตั้งการปรับแต่งค่า (Configuration) การ บริĀารจัดการ การใช้งาน การบำรุงรักþา และการแก้ปัญĀาเบื้องต้นที่อาจเกิดขึ้นกับระบบและอุปกรณ์ในข้อ 5 ทั้งนี้ ผู้ขายจะต้องรับภาระค่าใช้จ่ายในการ ฝึกอบรม เช่น ค่าÿถานที่ การจัดเตรียมÿถานที่ üิทยากร ค่าอาĀาร อุปกรณ์ฝึกอบรม ค่าเอกÿาร และ ค่าพาĀนะในการเดินทางไปÿถานที่ฝึกอบรม โดยผู้ขายต้องเÿนอแผนฝึกอบรม Āลักÿูตรผู้ดูแล ĀรือใĀ้ กทพ. พิจารณาตามคüามเĀมาะÿมและมีประÿิทธิภาพ โดยต้องฝึกอบรมแต่ละĀลักÿูตร (เป็นเüลาไม่น้อยกü่า 1 üัน จำนüนไม่น้อยกü่า 5 คน) โดยประกอบด้üยĀลักÿูตรดังต่อไปนี้
   ๗.๑ ระบบตรüจจับป้องกันผู้บุกรุกระบบเครือข่ายและĀยุดยั้งการโจมตีประเภท DDoS (DDoS Mitigation) 7.2 ระบบบริĀารจัดการและออกรายงานอุปกรณ์ DDoS (DDoS Mitigator)
   7.3 ระบบป้องกันการบุกรุกเü็บไซต์ (Web Application Firewall)
   ……………………………………… ……………………………………… ………………………………….. ……………………………… ……………………………………. (นายüุฒิชัย เกþรปทุมานันท์) (นายจีระüัฒน์ เüชประÿิทธิ์) (นายจตุรงค์ üงý์ราþฎร์) (นายชัยณรงค์ ÿมมิตร) (นายพงþ์พันธุ์ อิฐÿุüรรณ) ประธานกรรมการ กรรมการ กรรมการ กรรมการ กรรมการและเลขานุการ
   ๗
8. กำหนดส่งมอบพัสดุ
   ระยะเวลาส่งมอบงานภายใน 90 วัน นับถัดจากวันที่ลงนามในสัญญา
9. หลักเกณฑ์ในการพิจารณาคัดเลือกข้อเสนอ
   ใช้เกณฑ์ราคา
10. วงเงินงบประมาณ/วงเงินที่ได้รับการจัดสรร
    วงเงินงบประมาณ 17,655,000.- บาท (สิบเจ็ดล้านหกแสนห้าหมื่นห้าพันบาทถ้วน) รวมภาษีมูลค่าเพิ่ม
11. การจ่ายเงิน
    กทพ. จะจ่ายเงินให้แก่ผู้ขายเมื่อผู้ขายได้ส่งมอบพัสดุครบถ้วนถูกต้อง และคณะกรรมการตรวจรับพัสดุ ได้ดำเนินการตรวจรับเป็นที่เรียบร้อยแล้ว
12. อัตราค่าปรับ
    12.1 หากผู้ขายไม่สามารถส่งมอบสิ่งของภายในระยะเวลาที่กำหนดไว้ในสัญญา ผู้ขายจะต้องชำระ ค่าปรับให้แก่ กทพ. เป็นรายวันในอัตราร้อยละ 0.1 (ศูนย์จุดหนึ่งศูนย์) ของมูลค่างานตามสัญญา 12.2 ถ้าหากผู้ขายไม่สามารถปฏิบัติตามที่ระบุไว้ในการรับประกัน ในแต่ละครั้ง ตามข้อ 1 3 ผู้ขายต้องยินยอมให้ กทพ. ปรับเป็นรายชั่วโมง โดยคิดค่าปรับตามอัตราดังนี้
    วิธีคิดค่าปรับรายชั่วโมง = จำนวนชั่วโมงที่เกินเวลาที่กำหนดโดยเศษของชั่วโมงให้คิดเป็น 1 ชั่วโมง X ร้อยละ 0.01 X วงเงินตามสัญญา
13. การรับประกัน
    13.1 ผู้ขายจะต้องรับประกันการใช้งานอุปกรณ์ ตามที่เสนอในข้อ 5 รายละเอียดคุณลักษณะเฉพาะใน โครงการนี้เป็นระยะเวลา 3 ปี แบบ 24x7 On Site Services นับตั้งแต่วันที่ กทพ. ได้รับส่งมอบงานทั้งหมดเสร็จ สมบูรณ์แล้ว โดยผู้ขายมีหน้าที่บำรุงรักษาและซ่อมแซมแก้ไขให้อยู่ในสภาพที่ใช้งานได้ดีอยู่เสมอด้วยค่าใช้จ่ายของผู้ขาย
    13.2 กทพ. หรือผู้แทนของ กทพ. อาจแจ้งปัญหา/ข้อผิดพลาด สภาพของการชำรุดบกพร่องเบื้องต้น ของอุปกรณ์ ตามที่เสนอในข้อ 5 รายละเอียดคุณลักษณะเฉพาะในโครงการนี้ไปยังผู้ขายทางโทรศัพท์หรือจดหมาย อิเล็กทรอนิกส์ (E-mail) ได้ทุกวันไม่เว้นวันหยุดและตลอด 24 ชั่วโมง (24x7) และผู้ขายจะต้องตอบรับทราบ มายัง กทพ. หรือผู้แทนของ กทพ. ภายใน 4 ชั่วโมง นับตั้งแต่เวลาที่ได้รับแจ้งโดยทางโทรศัพท์หรือจดหมาย อิเล็กทรอนิกส์ (E-mail) โดยผู้ขายต้องมีช่องทางการติดต่อสื่อสารที่ชัดเจน เช่น จดหมายอิเล็กทรอนิกส์ (E-mail) เบอร์โทรศัพท์ และรายชื่อผู้รับผิดชอบในเรื่องต่าง ๆ อย่างชัดเจน และต้องแจ้งเจ้าหน้าที่ กทพ. ทุกครั้ง ที่มีการ เปลี่ยนแปลงผู้รับผิดชอบ
    13.3 ในระหว่างการรับประกันการใช้งาน หาก กทพ. มีการปรับเปลี่ยนค่าการทำงาน (Configuration) หรือปรับเปลี่ยนวิธีการใช้งานอุปกรณ์ ตามที่เสนอในข้อ 5 รายละเอียดคุณลักษณะเฉพาะใน โครงการนี้ผู้ขายต้องให้การสนับสนุนจัดเตรียมผู้ดูแลระบบเข้ามาดำเนินการโดยไม่คิดค่าใช้จ่ายเพิ่มเติมตลอด ระยะเวลาการรับประกัน
    ……………………………………… ……………………………………… ………………………………….. ……………………………… ……………………………………. (นายวุฒิชัย เกษรปทุมานันท์) (นายจีระวัฒน์ เวชประสิทธิ์) (นายจตุรงค์ วงศ์ราษฎร์) (นายชัยณรงค์ สมมิตร) (นายพงษ์พันธุ์ อิฐสุวรรณ) ประธานกรรมการ กรรมการ กรรมการ กรรมการ กรรมการและเลขานุการ
    ๘
    13.4 ผู้ขายต้องทำ Preventive Maintenance (PM) ทุก 3 เดือน ตลอดระยะเวลารับประกันโดย ตรวจสอบดูแลอุปกรณ์ในข้อ 5 รายละเอียดคุณลักษณะเฉพาะ ให้อยู่ในสภาพใช้งานได้ดีอยู่เสมอ และหาก กทพ. พบปัญหาจากการใช้งานหรือปัญหาที่เกิดจากสาเหตุอื่นๆ ผู้ขายต้องดำเนินการเข้ามาช่วย วิเคราะห์ แก้ไขปัญหา ที่พบ แบบ On Site หรือตามที่ กทพ. กำหนด โดยมีรายละเอียดของการบำรุงรักษาแบบป้องกัน PM ตาม ภาคผนวก ก. รายละเอียดการบำรุงรักษาอุปกรณ์ระบบป้องกันการโจมตีแบบ DDoS (Distributed Denial of Service Protection System) และระบบป้องกันการบุกรุกเว็บไซต์ WAF (Web Application Firewall)
    13.5 ผู้ขายต้องจัดทำเอกสารรายงานการใช้งานรายเดือน (Monthly Usage Report) ส่งให้ กทพ. และต้องจัดประชุมสรุปผลการทำงานของระบบป้องกันการโจมตีแบบ DDoS (Distributed Denial of Service Protection System) และระบบป้องกันการบุกรุกเว็บไซต์ WAF (Web Application Firewall) ทุก 3 เดือน
14. ข้อปฏิบัติด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ
    ผู้ขายต้องปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศของ กทพ. โดยต้องเก็บรักษาความลับข้อมูลและรายละเอียดต่าง ๆ ที่เกิดขึ้นจากการทำงานกับ กทพ. รวมทั้งข้อมูล ทรัพย์สิน ระบบคอมพิวเตอร์ ระบบเครือข่ายสื่อสารข้อมูลและระบบรักษาความปลอดภัยเครือข่ายคอมพิวเตอร์ ของ กทพ. ตามสัญญานี้ ผู้ขายจะต้องถือเป็นความลับของ กทพ. ทั้งในระหว่างระยะเวลาในสัญญาและสิ้นสุด สัญญา โดยจะต้องไม่มอบหรือเปิดเผยข้อมูลแก่ผู้อื่นโดยไม่ได้รับอนุญาตจาก กทพ. และหากมีการนำไปใช้หรือ เปิดเผย
    หรือเผยแพร่ข้อมูลดังกล่าวก่อให้เกิดความเสียหายต่อ กทพ. ผู้ขายจะต้องรับผิดชอบต่อการกระทำ ดังกล่าวและ กทพ. มีสิทธิดำเนินคดีตามกฎหมายแก่ผู้ขาย
15. ข้อปฏิบัติด้านความมั่นคงปลอดภัยไซเบอร์
    ผู้ขายจะต้องปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์ของ กทพ. พระราชบัญญัติการ รักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อย่างเคร่งครัด โดยมีข้อกำหนดเพิ่มเติมดังนี้
    15.1 การฝึกอบรมภาคบังคับ ผู้ขายต้องดำเนินการส่งบุคลากรที่เกี่ยวข้องกับโครงการทุกคนเข้ารับการ ฝึกอบรมตามหลักสูตรที่ กทพ. กำหนด ซึ่งครอบคลุมหัวข้อ “ข้อปฏิบัติ การตระหนักรู้ด้านความมั่นคงปลอดภัย ไซเบอร์ (Security Awareness) และความปลอดภัยของระบบเครือข่ายของ กทพ. ให้เสร็จสิ้น ก่อนเริ่มปฏิบัติงาน
    15.2 ความรับผิดชอบ การละเลยหรือไม่ปฏิบัติตามข้อกำหนดด้านความมั่นคงปลอดภัยไซเบอร์ ซึ่ง นำไปสู่ความเสียหายต่อข้อมูลหรือระบบของ กทพ. ผู้ขายจะต้องรับผิดชอบต่อการกระทำ ดังกล่าวและ กทพ. มีสิทธิดำเนินคดีตามกฎหมายแก่ผู้ขาย
16. การกำหนดเรื่องความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการทำงาน ผู้รับจ้างต้องปฏิบัติตามกฎหมายด้านความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการทำงานและ กฎหมายอื่น ๆ ที่เกี่ยวข้องกับการทำงานนั้น และต้องปฏิบัติตามข้อบังคับและคู่มือว่าด้วยความปลอดภัยในการ ทำงานสำหรับผู้รับเหมาของ กทพ.
    ……………………………………… ……………………………………… ………………………………….. ……………………………… ……………………………………. (นายวุฒิชัย เกษรปทุมานันท์) (นายจีระวัฒน์ เวชประสิทธิ์) (นายจตุรงค์ วงศ์ราษฎร์) (นายชัยณรงค์ สมมิตร) (นายพงษ์พันธุ์ อิฐสุวรรณ) ประธานกรรมการ กรรมการ กรรมการ กรรมการ กรรมการและเลขานุการ
    ภาคผนวก ก. รายละเอียดการบำรุงรักþาอุปกรณ์
    ระบบป้องกันการโจมตีแบบ DDoS (Distributed Denial of Service Protection System) และระบบป้องกันการบุกรุกเü็บไซต์ WAF (Web Application Firewall)
17. การตรวจสอบสถานะระบบและฮาร์ดแวร์ (System Health & Hardware Check) 1.1 ตรüจÿอบÿถานะทางกายภาพ (ÿำĀรับ Physical Appliance): ตรüจÿอบไฟแÿดงÿถานะ (LEDs) ของอุปกรณ์, แĀล่งจ่ายไฟ (Power Supply), และพัดลมระบายคüามร้อนü่าทำงานปกติตรüจÿอบÿภาพแüดล้อม ในĀ้อง Data Center เช่น อุณĀภูมิและคüามชื้น
    1.2 ตรüจÿอบทรัพยากรระบบ (System Resources): ตรüจÿอบการใช้งาน CPU, Memory (RAM) และพื้นที่จัดเก็บข้อมูล (Disk Storage) ü่าอยู่ในระดับปกติ ไม่ÿูงจนผิดÿังเกต (ÿำĀรับ Virtual Appliance) ตรüจÿอบทรัพยากรที่จัดÿรรใĀ้จาก Host Server
    1.3 ตรüจÿอบÿถานะบริการ (Service Status): ตรüจÿอบใĀ้แน่ใจü่า Service Āรือ Process ที่ เกี่ยüข้องกับ WAF ทั้งĀมดทำงานอยู่ (Running)
    1.4 ตรüจÿอบการเชื่อมต่อเครือข่าย (Network Connectivity): ตรüจÿอบÿถานะของ Network Interface ทั้งĀมดü่า “Up” และไม่มี Error Count ที่ÿูงผิดปกติ
18. การอัปเดตข้อมูลความปลอดภัย (Security Content Update)
    2.1 ระบบ WAF: อัปเดต Attack Signatures ตรüจÿอบและอัปเดตฐานข้อมูล Signature การโจมตี เü็บแอปพลิเคชัน (เช่น SQL Injection, XSS) ใĀ้เป็นเüอร์ชันล่าÿุดอัปเดต Bot & IP Reputation: อัปเดต ฐานข้อมูล IP ที่ไม่น่าเชื่อถือ, Bot ที่เป็นอันตราย, และข้อมูล Geo-Location
    2.2 ระบบ DDoS:อัปเดต DDoS Attack Signaturesอัปเดตฐานข้อมูลรูปแบบการโจมตี DDoS ทั้งในระดับ Network, Protocol, และ Application (เช่น UDP Flood, SYN Flood) อัปเดต DDoS Threat Intelligence: รับข้อมูล Threat Feed เกี่ยüกับ Botnets, C&C Servers, และแĀล่งที่มาของการโจมตี DDoS ทั่üโลก
19. การอัปเดตซอฟต์แวร์/เฟิร์มแวร์ (Software/Firmware Update)
    3.1 ตรüจÿอบเüอร์ชัน: ตรüจÿอบเüอร์ชันของซอฟต์แüร์/เฟิร์มแüร์เป็นประจำเทียบกับเüอร์ชันที่ผู้ผลิต แนะนำ (Recommended Release)
    3.2 üางแผนการอัปเดต: เมื่อมีเüอร์ชันใĀม่ออกมาเพื่อปิดช่องโĀü่ (Vulnerability Patch) Āรือเพิ่ม ประÿิทธิภาพ จะต้องมีการüางแผนการอัปเดตอย่างรัดกุม โดยต้องทดÿอบและดำเนินการในช่üงเüลาที่ÿ่งผล กระทบน้อยที่ÿุด
20. การทบทวนและปรับปรุงนโยบายความปลอดภัย (Policy & Rule Review/Tuning) 4.1 ระบบ WAF ต้องดำเนินการüิเคราะĀ์และปรับตั้งค่าโดยมีรายละเอียดดังนี้

• üิเคราะĀ์ False Positives: ตรüจÿอบ Log ของทราฟฟิกที่ถูกบล็อก เพื่อĀาทราฟฟิกปกติที่ถูก บล็อกโดยไม่ได้ตั้งใจ และทำการปรับแก้กฎ (Fine-tuning) เพื่ออนุญาตใĀ้ผ่านได้
• จัดการ Learning Mode: ทบทüนโปรไฟล์ที่ยังอยู่ในÿถานะ “Learning” Āรือ “Alert” และ üางแผนปรับเป็น “Blocking” เมื่อมั่นใจü่ากฎมีคüามแม่นยำ
  ……………………………………… ……………………………………… ………………………………….. ……………………………… ……………………………………. (นายüุฒิชัย เกþรปทุมานันท์) (นายจีระüัฒน์ เüชประÿิทธิ์) (นายจตุรงค์ üงý์ราþฎร์) (นายชัยณรงค์ ÿมมิตร) (นายพงþ์พันธุ์ อิฐÿุüรรณ) ประธานกรรมการ กรรมการ กรรมการ กรรมการ กรรมการและเลขานุการ
  4.2 ระบบ DDoS: ต้องดำเนินการüิเคราะĀ์และปรับตั้งค่าโดยมีรายละเอียดดังนี้
• ปรับปรุง Baseline: ทบทüนและปรับปรุงค่า Baseline ของทราฟฟิกปกติ (Peacetime Traffic) เพื่อใĀ้ระบบÿามารถตรüจจับคüามผิดปกติ (Anomaly) ได้อย่างแม่นยำ
• ทบทüน Thresholds: ปรับค่า Thresholds ในการป้องกัน เช่น จำนüน Connections per second, Packets per second, Āรือ Bandwidth per IP ใĀ้เĀมาะÿมกับลักþณะการใช้งานปัจจุบัน - ทบทüน Protection Profiles: ตรüจÿอบü่า Protection Profile ที่ใช้กับบริการต่างๆ (เช่น Web, DNS, Mail) ยังคงเĀมาะÿมĀรือไม่

5. การตรวจสอบและจัดการ Log (Log Monitoring & Management)
   5.1 ตรüจÿอบพื้นที่จัดเก็บ: ตรüจÿอบพื้นที่ü่าง Disk ที่ใช้เก็บ Log
   5.2 ตรüจÿอบการÿ่ง Log: Āากมีการใช้งาน SIEM ใĀ้ตรüจÿอบü่าอุปกรณ์ยังคงÿ่ง Log ไปยัง SIEM ได้อย่างถูกต้องและต่อเนื่อง
6. การสำรองข้อมูลการตั้งค่า (Configuration Backup)
   6.1 ÿำรองข้อมูล: ทำการÿำรองข้อมูลการตั้งค่าทั้งĀมดของอุปกรณ์เป็นประจำ (อย่างน้อยทุกÿัปดาĀ์ และทุกครั้งĀลังมีการเปลี่ยนแปลงที่ÿำคัญ)
   6.2 จัดเก็บไฟล์: จัดเก็บไฟล์ Backup ไü้ในที่ปลอดภัยและแยกต่างĀากจากตัüอุปกรณ์ 6.3 ทดÿอบการกู้คืน: üางแผนทดÿอบการ Restore Configuration (อย่างน้อยปีละครั้ง) เพื่อใĀ้แน่ใจ ü่าไฟล์ Backup ÿามารถใช้งานได้จริง
7. การตรวจสอบประสิทธิภาพระบบ (Performance Monitoring)
   7.1 ระบบ WAF: ตรüจÿอบ Latency: üัดค่าคüามĀน่üงเüลาที่ WAF เพิ่มเข้าไปในทราฟฟิก เพื่อใĀ้ แน่ใจü่าไม่ÿ่งผลกระทบต่อประÿบการณ์ของผู้ใช้งาน
   7.2 ระบบ DDoS: ตรüจÿอบ Mitigation Capacity: ประเมินü่าประÿิทธิภาพในการป้องกัน (Mitigation Throughput) ของอุปกรณ์ยังเพียงพอต่อปริมาณทราฟฟิกขององค์กรĀรือไม่ โดยเฉพาะในช่üงที่มีการโจมตี 7.3 (ทั้งÿองระบบ): ตรüจÿอบปริมาณ Throughput และ Session/Connection Count เทียบกับขีด คüามÿามารถของอุปกรณ์
8. การตรวจสอบระบบ High Availability (HA)
   8.1 ตรüจÿอบÿถานะ Cluster: ตรüจÿอบÿถานะของ HA Cluster ü่าเป็นปกติ (Healthy) และ อุปกรณ์ทั้งÿองตัüÿามารถÿื่อÿารและซิงค์ข้อมูลถึงกันได้
   8.2 ตรüจÿอบการซิงค์ข้อมูล (Config Sync): ตรüจÿอบü่าการเปลี่ยนแปลงการตั้งค่าบนอุปกรณ์Āลัก (Active) ถูกÿ่งต่อไปยังอุปกรณ์ÿำรอง (Standby) โดยอัตโนมัติ
   8.3 ทดÿอบการÿลับการทำงาน (Failover Test): üางแผนและดำเนินการทดÿอบ Failover (อย่าง น้อยปีละครั้ง) โดยจำลองÿถานการณ์ใĀ้อุปกรณ์Āลักล่ม เพื่อใĀ้แน่ใจü่าอุปกรณ์ÿำรองÿามารถขึ้นมาทำงานแทน ได้อย่างราบรื่นและถูกต้อง
   ……………………………………… ……………………………………… ………………………………….. ……………………………… ……………………………………. (นายüุฒิชัย เกþรปทุมานันท์) (นายจีระüัฒน์ เüชประÿิทธิ์) (นายจตุรงค์ üงý์ราþฎร์) (นายชัยณรงค์ ÿมมิตร) (นายพงþ์พันธุ์ อิฐÿุüรรณ) ประธานกรรมการ กรรมการ กรรมการ กรรมการ กรรมการและเลขานุการ