ซื้อระหว่างดำเนินการ

ประกวดราคาซื้อจัดซื้อพร้อมติดตั้งระบบรวบรวม วิเคราะห์ และตอบสนองความปลอดภัยการใช้งานระบบสารสนเทศโดยอัตโนมัติ จำนวน 1 ระบบ ณ อาคาร 60 ปี สำนักงานใหญ่ ทุ่งมหาเมฆ

บริษัท วิทยุการบินแห่งประเทศไทย จำกัด 69079297556
฿30,000,000 ปีงบ 2569 ประกาศ 15 ก.ค. 2569 กรุงเทพมหานคร
รายละเอียดการจ้าง

โครงการนี้มีวัตถุประสงค์เพื่อปรับปรุงและพัฒนาระบบเฝ้าระวังความมั่นคงปลอดภัยทางสารสนเทศของ บวท. ให้มีประสิทธิภาพสูงขึ้น โดยการจัดหาระบบรวบรวม วิเคราะห์ และตอบสนองต่อเหตุการณ์ภัยคุกคามโดยอัตโนมัติ (Security Automation Analysis) เนื่องจากปัจจุบันการวิเคราะห์ความเชื่อมโยงของข้อมูลจากหลายแหล่ง (เช่น ICT Data Center และ AIS Data Center) ยังต้องใช้เจ้าหน้าที่ดำเนินการ ซึ่งก่อให้เกิดความล่าช้าและอาจไม่ครบถ้วน

ขอบเขตงานครอบคลุมการจัดหาและติดตั้งอุปกรณ์และซอฟต์แวร์ ได้แก่ 1) อุปกรณ์ Next-Generation Firewall (NGFW) จำนวน 2 ชุด 2) อุปกรณ์เฝ้าระวังและวิเคราะห์ภัยคุกคามบนเครือข่าย (Network Traffic Analysis) 3) ระบบบริหารจัดการและตอบสนองภัยคุกคามอัตโนมัติ (SOAR) แบบ SaaS และ 4) ระบบบริหารจัดการพื้นผิวการโจมตี (Attack Surface Management) โดยระบบทั้งหมดต้องสามารถทำงานร่วมกันได้ (Integrate) และรองรับการตอบสนองต่อภัยคุกคามแบบอัตโนมัติหรือกึ่งอัตโนมัติ นอกจากนี้ ผู้ขายต้องดำเนินการฝึกอบรมเจ้าหน้าที่ให้มีความเชี่ยวชาญในการติดตั้ง บำรุงรักษา และแก้ไขปัญหา รวมถึงการรับประกันระบบและอุปกรณ์เป็นเวลาไม่น้อยกว่า 3 ปี พร้อมสิทธิ์การอัปเดตฐานข้อมูลภัยคุกคามตลอดระยะเวลาการรับประกัน

English summary

This project aims to procure and install an automated system for collecting, analyzing, and responding to information security threats for AEROTHAI. The scope includes the deployment of Next-Generation Firewalls (NGFW), Network Traffic Analysis (NTA) tools, Security Orchestration, Automation, and Response (SOAR) platforms, and Attack Surface Management (ASM) solutions. The system is designed to replace manual incident analysis, reducing response times and enhancing threat detection capabilities across the organization’s ICT and AIS data centers. The project requires a 3-year warranty, including threat intelligence updates, and comprehensive onsite and online training for technical staff.

สถานที่ดำเนินการ

สำนักงานใหญ่ทุ่งมหาเมฆ

ข้อมูลเชิงลึกของโครงการ

AI วิเคราะห์

เป้าหมายโครงการ

  • เพื่อปรับปรุงและพัฒนาระบบเฝ้าระวังความมั่นคงปลอดภัยทางสารสนเทศให้มีประสิทธิภาพ
  • เพื่อรองรับภัยคุกคามทางไซเบอร์รูปแบบใหม่ๆ
  • เพื่อให้การรักษาความมั่นคงปลอดภัยเป็นไปตามมาตรฐานของบริษัทฯ
  • เพื่อลดความล่าช้าในการวิเคราะห์และตอบสนองต่อเหตุการณ์ภัยคุกคาม

ขอบเขตของงาน

  • จัดหาและติดตั้งระบบ Next-Generation Firewall (NGFW) จำนวน 2 ชุด
  • จัดหาและติดตั้งระบบ Network Traffic Analysis (NTA)
  • จัดหาและติดตั้งระบบ Security Automation Analysis (SOAR) ในรูปแบบ SaaS
  • จัดหาและติดตั้งระบบ Attack Surface Management (ASM) ในรูปแบบ SaaS
  • ดำเนินการทดสอบระบบ (VA Scan) และทำ Hardening อุปกรณ์
  • จัดทำคู่มือ Configuration Security Baseline, คู่มือการติดตั้ง และคู่มือการซ่อมบำรุง
  • ดำเนินการฝึกอบรมเจ้าหน้าที่ทั้งแบบ Onsite และ Online
  • เชื่อมต่อระบบเข้ากับโครงสร้างพื้นฐานเดิมของ บวท.

สิ่งที่ต้องส่งมอบ

  • ระบบ Next-Generation Firewall (NGFW) จำนวน 2 ชุด
  • ระบบ Network Traffic Analysis (NTA) จำนวน 1 ชุด
  • ระบบ Security Automation Analysis (SOAR) จำนวน 1 ระบบ
  • ระบบ Attack Surface Management (ASM) จำนวน 1 ระบบ
  • คู่มือการติดตั้ง, คู่มือการซ่อมบำรุง และคู่มือ Configuration Security Baseline
  • แผนการทดสอบระบบ
  • การฝึกอบรมเจ้าหน้าที่ตามจำนวนรุ่นและชั่วโมงที่กำหนด

ระยะเวลาดำเนินการ

ระยะเวลาดำเนินงาน 150 วัน นับถัดจากวันลงนามสัญญา

คุณสมบัติผู้เสนอราคา

  • Eligibility Requirements: ต้องเป็นนิติบุคคลที่มีอาชีพขายพัสดุที่ประกวดราคา
  • Standards Compliance: ระบบ SaaS ต้องได้รับการรับรองมาตรฐาน ISO/IEC 27001
  • Experience: ต้องเป็นตัวแทนจำหน่ายที่ได้รับการแต่งตั้งจากผู้ผลิตหรือเจ้าของผลิตภัณฑ์โดยตรง
  • Previous Project Cost: -
  • Technical Capabilities: อุปกรณ์ NGFW ต้องอยู่ในกลุ่ม Leader ของ Gartner Magic Quadrant สำหรับ Hybrid Mesh Firewalls ปี 2025 หรือปีล่าสุด
  • Personnel: วิทยากรต้องเป็นผู้เชี่ยวชาญจากเจ้าของผลิตภัณฑ์หรือตัวแทนจำหน่ายที่มีประสบการณ์สูง

เกณฑ์การพิจารณา

เกณฑ์ราคา (Price-based)

ข้อกำหนดทางเทคนิค

  • NGFW: รองรับ Throughput ไม่น้อยกว่า 30 Gbps, รองรับ SSL Decryption, รองรับ HA (Active-Active/Active-Passive)
  • NTA: รองรับ Throughput ไม่น้อยกว่า 4.5 Gbps, ทำงานร่วมกับ NGFW ได้
  • SOAR: รองรับการทำงานแบบ SaaS, SLA 99.9%, รองรับการเชื่อมต่อ API (RESTful, JSON, XML, SOAP)
  • ASM: ตรวจสอบ Asset ได้ไม่น้อยกว่า 200 รายการ, ระบุช่องโหว่ (CVE, CVSS), Crawl เว็บไซต์และแสดงผล Screenshot

เงื่อนไขสัญญา

  • จ่ายเงินงวดเดียว (100%) เมื่อส่งมอบงานครบถ้วนและผ่านการตรวจรับ
  • ค่าปรับ 0.2% ต่อวันของวงเงินรวมตามสัญญา
  • รับประกันอุปกรณ์และระบบไม่น้อยกว่า 3 ปี (รวมสิทธิ์อัปเดตฐานข้อมูลภัยคุกคาม)
  • กรณีอุปกรณ์ขัดข้องต้องซ่อมแซมภายใน 30 วัน หรือเปลี่ยนอุปกรณ์สำรองภายใน 7 วัน

คำถามที่พบบ่อย (FAQ)

  • Q: ระบบ SOAR ต้องรองรับการเชื่อมต่อกับระบบภายนอกอย่างไร? A: ต้องรองรับมาตรฐาน API สากล เช่น RESTful, JSON, XML หรือ SOAP
    • Q: อุปกรณ์ NGFW ต้องมีมาตรฐานการจัดอันดับอย่างไร? A: ต้องอยู่ในกลุ่ม Leader ของ Gartner Magic Quadrant ในกลุ่ม Hybrid Mesh Firewalls ปี 2025 หรือปีล่าสุด
    • Q: การฝึกอบรมแบ่งเป็นกี่ประเภท? A: แบ่งเป็น Onsite (ไม่เกิน 10 คน) และ Online (ไม่จำกัดจำนวน)
    • Q: ระบบ SaaS ต้องมีมาตรฐานความปลอดภัยระดับใด? A: ต้องได้รับการรับรองมาตรฐาน ISO/IEC 27001 เป็นอย่างน้อย
    • Q: หากอุปกรณ์ขัดข้องและซ่อมหน้างานไม่ได้ต้องทำอย่างไร? A: ต้องนำอุปกรณ์สำรองมาเปลี่ยนภายใน 7 วัน
    • Q: ระบบ ASM ต้องตรวจสอบ Asset ได้ครอบคลุมเท่าใด? A: ไม่น้อยกว่า 200 Asset
    • Q: การรับประกันครอบคลุมถึงสิ่งใดบ้าง? A: ครอบคลุมอุปกรณ์ ซอฟต์แวร์ และสิทธิ์การอัปเดตฐานข้อมูลภัยคุกคามตลอด 3 ปี
    • Q: ผู้ขายต้องส่งแผนการทดสอบระบบเมื่อใด? A: ก่อนดำเนินการติดตั้งไม่น้อยกว่า 3 วัน
    • Q: ระบบ SOAR ต้องรองรับการสืบค้นย้อนหลังนานเท่าใด? A: ไม่น้อยกว่า 30 วัน
    • Q: วิทยากรต้องมาจากใคร? A: ต้องเป็นวิทยากรจากเจ้าของผลิตภัณฑ์หรือตัวแทนจำหน่ายที่มีประสบการณ์

เอกสารขอบเขตงาน (TOR) ฉบับเต็ม

ขอบเขตของงานโครงการจัดหาพร้อมติดตั้งระบบรวบรวม วิเคราะห์ และตอบสนองความปลอดภัยการ
๑. ความเป็นมา
H
ใช้งานระบบสารสนเทศโดยอัตโนมัติ จํานวน ๑ ระบบ


ศว.สว. ได้รับมอบหมายให้ดูแลข่ายสื่อสาร และเฝ้าระวังความมั่นคงปลอดภัยทางสารสนเทศ ซึ่งต้องรับ ข้อมูลการใช้งานจากระบบงานของหน่วยงานต่าง ๆ เช่น บท.สท. (การใช้งาน ICT Data Center, End Terminal) วข.บว. (การใช้งาน AIS Data Center, End Terminal) เป็นต้น เพื่อมาวิเคราะห์การใช้งาน และ ตอบสนอง ต่อเหตุการณ์ต่าง ๆ ที่เกิดขึ้น ซึ่งปัจจุบันยังไม่มีระบบที่จะรวบรวมข้อมูลจากหลาย ๆ แหล่งเข้ามา วิเคราะห์ และหาความเชื่อมโยง ทําให้การวิเคราะห์และตอบสนองต่อเหตุการณ์จึงต้องใช้เจ้าหน้าที่ในการ ดําเนินการ ทําให้เกิดความล่าช้า และไม่ครบถ้วนสมบูรณ์ จึงมีความจําเป็นต้องจัดหาพร้อมติดตั้งระบบรวบรวม วิเคราะห์ และตอบสนองการใช้งานระบบสารสนเทศโดยอัตโนมัติ เพื่อให้การปฏิบัติงานเฝ้าระวังความมั่นคง ปลอดภัยทางสารสนเทศ มีประสิทธิภาพ และครอบคลุมระบบสารสนเทศทั้งหมดของบริษัทฯ ๒. วัตถุประสงค์
เพื่อปรับปรุงและพัฒนา การเฝ้าระวังความมั่นคงปลอดภัยทางสารสนเทศ ให้ทํางานได้อย่างมี ประสิทธิภาพ รองรับภัยคุกคามใหม่ๆ ให้คงความมั่นคงปลอดภัยตามประกาศมาตรฐานความมั่นคงปลอดภัย
ทางสารสนเทศของบริษัทฯ
คุณสมบัติของผู้ยื่นข้อเสนอ
(๑) ผู้ยื่นขอเสนอจะต้องมีคุณสมบัติตามที่ระบุในแบบเอกสารเชิญชวนของคณะกรรมการนโยบายการ จัดซื้อจัดจ้างและการบริหารพัสดุภาครัฐหรือคณะกรรมการวินิจฉัยปัญหาการจัดซื้อจัดจ้างและการ
บริหารพัสดุภาครัฐกําหนด
(๒) ผู้ยื่นข้อเสนอจะต้องเป็น นิติบุคคล ผู้มีอาชีพขายพัสดุที่ประกวดราคาอิเล็กทรอนิกส์ดังกล่าว (๓) ผู้ยื่นข้อเสนอต้องไม่มีกรรมการหรือพนักงาน บวท. เป็นผู้จัดการ หุ้นส่วนผู้จัดการ กรรมการผู้จัดการ
ผู้บริหาร ผู้มีอํานาจในการดําเนินงานในกิจการของบุคคลธรรมดาหรือของนิติบุคคล เป็นหุ้นส่วนใน
ห้างหุ้นส่วนสามัญหรือห้างหุ้นส่วนจํากัด เป็นผู้ถือหุ้นรายใหญ่ในบริษัทจํากัดหรือบริษัทจํากัดมหาชน หรือเป็นที่ปรึกษาของกิจการนั้น
(๔) ผู้ยื่นข้อเสนอต้องเป็นตัวแทนจําหน่ายที่ได้รับการแต่งตั้งจากผู้ผลิตหรือเจ้าของผลิตภัณฑ์ หรือตัวแทน
จําหน่ายในประเทศไทย สําหรับระบบอุปกรณ์ที่เสนอในโครงการโดยต้องแสดงเอกสารในวันเสนอราคา ๔. รายละเอียดคุณลักษณะเฉพาะ
ดังรายละเอียดในเอกสารแนบท้ายขอบเขตงานและรายละเอียดคุณลักษณะเฉพาะ
๔. การส่งมอบ
ผู้ขายจะต้องส่งมอบอุปกรณ์ทั้งหมดในโครงการ ณ สํานักงานใหญ่ทุ่งมหาเมฆ ให้แล้วเสร็จภายใน
เวลา ๑๕๐ วัน (ร้อยห้าสิบวัน) นับจากวันที่ บวท. ลงนามสัญญา
5. หลักเกณฑ์ในการพิจารณาคัดเลือกข้อเสนอ
เกณฑ์ราคา
๗. วงเงินงบประมาณที่ได้รับจัดสรร
ÉNC,DO,Ooo บาย
6. งวดงานและการจ่ายเงิน
ผู้ขายจะต้องส่งมอบพร้อมติดตั้งระบบรวบรวม วิเคราะห์ และตอบสนองความปลอดภัยการใช้งาน ระบบสารสนเทศโดยอัตโนมัติ จํานวน ๑ ระบบ และอุปกรณ์ประกอบพร้อมฝึกอบรมให้แล้วเสร็จทั้งหมด ภายใน ๑๕๐ วัน นับถัดจากวันลงนามสัญญาซื้อขาย โดยมีรายละเอียดการส่งมอบดังนี้
๔.๑ ผู้ขายจะต้องดําเนินการนําอุปกรณ์เข้ามาในราชอาณาจักรไทย ส่งมอบพร้อมติดตั้ง ระบบ
รวบรวม วิเคราะห์ และตอบสนองความปลอดภัยการใช้งานระบบสารสนเทศโดยอัตโนมัติ ให้กับ บวท. ให้แล้ว เสร็จภายใน ๑๕๐ วัน นับถัดจากวันลงนามสัญญาซื้อขาย
๔.๒ ผู้ขายต้องดําเนินการฝึกอบรมเกี่ยวกับระบบรวบรวม วิเคราะห์ และตอบสนองความปลอดภัยการ ใช้งานระบบสารสนเทศโดยอัตโนมัติ ที่เสนอให้กับเจ้าหน้าที่ บวท. ตามข้อ ๑๒. ให้แล้วเสร็จภายใน ๑๕๐ วัน นับถัดจากวันลงนามสัญญาซื้อข
อขาย
ผู้ซื้อจะจ่ายเงินให้แก่ผู้ขายเป็นจํานวนเงินซึ่งได้รวมภาษีมูลค่าเพิ่มตลอดจนภาษีอากรอื่นๆ และ
ค่าใช้จ่ายทั้งปวงด้วยแล้ว โดยกําหนดการจ่ายเงิน ดังนี้
๔.๓ การจ่ายเงิน จ่ายงวดเดียว (ร้อยละ ๑๐๐) เมื่อผู้ขายได้ดําเนินการตามข้อ ๔.๑ และ ๔.๒ ให้ ถูกต้องครบถ้วนทุกประการ และคณะกรรมการตรวจรับพัสดุได้ทําการตรวจรับเรียบร้อยแล้ว ๕. อัตราค่าปรับ
บวท. จะคิดค่าปรับในอัตราร้อยละ ๐.๒ (0.2%) ต่อวันของวงเงินรวมตามสัญญานับถัดจากวันครบ กําหนดตามสัญญาจนถึงวันส่งมอบการติดตั้งให้แก่ บวท. จนถูกต้องครบถ้วน ในกรณีการจัดหาสิ่งของที่ ประกอบกันเป็นชุด ถ้าขาดส่วนประกอบส่วนใดส่วนหนึ่งไปแล้วจะไม่สามารถใช้งานได้สมบูรณ์ แม้ผู้ขายจะส่ง มอบสิ่งของภายในกําหนดตามสัญญา แต่ยังขาดส่วนประกอบบางส่วน ต่อมาได้ส่งมอบส่วนประกอบที่ยังขาด
นั้นเกินกําหนดสัญญาให้ถือว่าไม่ได้ส่งมอบสิ่งของนั้นเลยให้ปรับเต็มราคา
๑๐. การรับประกัน
ดังนี้
ผู้ชายซึ่งได้ทําข้อตกลงเป็นหนังสือหรือสัญญาซื้อขายจะต้องรับประกันความชํารุดบกพร่องของอุปกรณ์
๑๐.๑ ระยะเวลาการรับประกันระบบ/อุปกรณ์ทั้งโครงการ เป็นเวลาอย่างน้อย ๓ ปี (สามปี) และต้อง
รวมสิทธิ์การอัปเดตฐานข้อมูลภัยคุกคามและซอฟต์แวร์ที่จําเป็นต่อการทํางานด้านความมั่นคงปลอดภัยของ ระบบตลอดระยะเวลาการรับประกัน นับจากวันที่ บวท. รับมอบสิ่งของครบถ้วนตามสัญญา
๑๐.๒ ถ้าปรากฏว่าสิ่งของที่ส่งมอบดังกล่าวชํารุด ด้วยเหตุใดๆ ก็ตาม ผู้ขายต้องรีบจัดการนําไป ซ่อมแซม แก้ไขหรือนําของใหม่มาเปลี่ยนให้เสร็จเรียบร้อยภายใน ๓๐ วัน นับถัดจากวันที่ได้รับแจ้งความชํารุด
บกพร่อง
กรณีมีอุปกรณ์ใด ๆ ขัดข้องแล้วไม่สามารถแก้ไข ซ่อมแซมที่หน้างานได้ มีความจําเป็นจะต้องนํา กลับไปซ่อมนอกสถานที่หรือต้องจัดส่งไปซ่อมยังบริษัทเจ้าของผลิตภัณฑ์ จะต้องนําอุปกรณ์สํารองมาเปลี่ยน ภายใน ๗ วัน นับจากวันที่ได้รับแจ้งความชํารุดบกพร่อง ให้สามารถใช้งานทดแทนได้ จนกว่าอุปกรณ์ที่ขัดข้อง จะซ่อมเสร็จ โดยไม่มีค่าใช้จ่ายเพิ่มเติมแต่อย่างใด
00.
หน้าที่ของผู้ขาย
ผู้ขายต้องส่งมอบพร้อมติดตั้งระบบรวบรวม วิเคราะห์ และตอบสนองความปลอดภัยการใช้งาน ระบบสารสนเทศโดยอัตโนมัติ และดําเนินการอบรมให้กับ บวท. ให้แล้วเสร็จภายใน ๑๕๐ วัน นับถัดจากวันลง
นามสัญญาซื้อขาย
๑๑.๒ ผู้ขายจะต้องทําการทดสอบระบบ (VA Scan) พร้อม Hardening อุปกรณ์ในโครงการ หากพบ ช่องโหว่ต้องดําเนินการแก้ไขและทดสอบระบบอีกครั้ง รวมทั้งต้องจัดทําคู่มือ Configuration Security
Baseline โดยต้องส่งแผนการทดสอบระบบให้คณะกรรมการตรวจรับพัสดุพิจารณาเห็นชอบก่อนดําเนินการ ติดตั้งไม่น้อยกว่า ๓ วัน
ผู้ขายต้องเชื่อมต่อระบบที่กําหนดไว้ในหัวข้อที่ ๔. รายละเอียดคุณลักษณะเฉพาะ เข้ากับระบบของ บวท. พร้อมทั้งร่วมดําเนินการทดสอบระบบรวบรวม วิเคราะห์ และตอบสนองความปลอดภัย การใช้งานระบบสารสนเทศโดยอัตโนมัติ กับ บวท. ให้แล้วเสร็จทั้งหมด
๑๑.๔ ผู้ขายจะต้องจัดทําพร้อมส่งมอบคู่มือการติดตั้ง และ คู่มือการซ่อมบํารุง ระบบรวบรวม
8
วิเคราะห์ และตอบสนองความปลอดภัยการใช้งานระบบสารสนเทศโดยอัตโนมัติ ให้แล้วเสร็จภายใน ๑๕๐ วัน
นับถัดจากวันลงนามสัญญาซื้อขาย
๑๑.๕ ผู้ขายต้องดําเนินการฝึกอบรมเกี่ยวกับระบบรวบรวม วิเคราะห์ และตอบสนองความปลอดภัย การใช้งานระบบสารสนเทศโดยอัตโนมัติ ที่เสนอให้กับเจ้าหน้าที่ บวท. ตามข้อ ๑๒. ให้แล้วเสร็จภายใน ๑๕๐ วัน นับถัดจากวันลงนามสัญญาซื้อขาย
๑๑.๖ ในกรณีที่ต้องมีอุปกรณ์เพิ่มเติม เพื่อให้อุปกรณ์สามารถทํางานได้ตาม Function ที่กําหนดใน หัวข้อที่ ๔. รายละเอียดคุณลักษณะเฉพาะ ผู้ขายต้องจัดหาอุปกรณ์ดังกล่าวส่งมอบให้ บวท. โดยไม่มีค่าใช้จ่าย เพิ่มเติม
๑๒. การอบรม
๑๒.๑ ผู้ขายต้องดําเนินการฝึกอบรมเกี่ยวกับอุปกรณ์ Application Firewall และ อุปกรณ์ Network Traffic ในโครงการจัดหาพร้อมติดตั้งระบบรวบรวม วิเคราะห์ และตอบสนองความปลอดภัยการใช้งานระบบ สารสนเทศโดยอัตโนมัตินี้ ให้กับเจ้าหน้าที่ บวท. โดยอบรมแบบ onsite จํานวนไม่เกิน ๑๐ คน และแบบ online ไม่จํากัดจํานวนผู้เข้าอบรม เป็นจํานวนไม่น้อยกว่า ๑ รุ่นเป็นเวลาไม่น้อยกว่า ๕ วัน เพื่อให้ผู้เข้ารับการ ฝึกอบรมมีความรู้ความเข้าใจเกี่ยวกับการทํางานของระบบ/อุปกรณ์ สามารถทําการติดตั้งใช้งาน โยกย้าย บํารุงรักษา และแก้ไขปัญหาเมื่อเกิดเหตุขัดข้องได้
๑๒.๒ ผู้ขายต้องดําเนินการฝึกอบรมเกี่ยวกับ ระบบ Security Automation Analysis และ ระบบ Attack Surface Management ในโครงการจัดหาพร้อมติดตั้งระบบรวบรวม วิเคราะห์ และตอบสนองความ ปลอดภัยการใช้งานระบบสารสนเทศโดยอัตโนมัตินี้ ให้กับเจ้าหน้าที่ บวท. โดยอบรมแบบ onsite จํานวนไม่ เกิน ๑๐ คน และแบบ online ไม่จํากัดจํานวนผู้เข้าอบรม เป็นจํานวนไม่น้อยกว่า ๓ รุ่นเป็นเวลาไม่น้อยกว่า ๕ วัน เพื่อให้ผู้เข้ารับการฝึกอบรมมีความรู้ความเข้าใจเกี่ยวกับการทํางานของระบบ/อุปกรณ์ สามารถทําการ ติดตั้งใช้งาน โยกย้าย บํารุงรักษา และแก้ไขปัญหาเมื่อเกิดเหตุขัดข้องได้
๑๒.๓ ผู้ขายต้องรับผิดชอบค่าใช้จ่ายในการจัดหาวิทยากร สถานที่ในการอบรมในเขตกรุงเทพฯ หรือ ปริมณฑล และห้องอบรม Online พร้อมเอกสารสําหรับการฝึกอบรม และอุปกรณ์ต่างๆ ในการฝึกอบรมให้ ครบถ้วนตามจํานวนผู้เข้ารับการฝึกอบรม
ทั้งนี้หากพบว่าวิทยากรผู้
๑๒.๔ การฝึกอบรมต้องอบรมโดยวิทยากรจากเจ้าของผลิตภัณฑ์หรือตัวแทนจําหน่าย ที่มี ประสบการณ์ ความสามารถเป็นอย่างดีในการฝึกอบรม และมีความรู้เกี่ยวกับอุปกรณ์ ทั้งนี้หาก ฝึกอบรม ไม่สามารถดําเนินการฝึกอบรมได้ตามวัตถุประสงค์ บวท. ขอสงวนสิทธิ์ในการให้ผู้ขายเปลี่ยนตัว วิทยากร และเริ่มการฝึกอบรมใหม่ และผู้ขายต้องเป็นผู้รับผิดชอบค่าใช้จ่ายที่เกิดขึ้นทั้งหมด
๑๐ วัน
๑๒.๔. ผู้ขายจะต้องส่ง Course Outline ให้คณะกรรมการตรวจรับพัสดุ พิจารณาก่อนการดําเนินการ
๑๓. การยืนราคา
ผู้ขายจะต้องกําหนดยืนราคาไม่น้อยกว่า ๑๒๐ วัน (หนึ่งร้อยยี่สิบวัน)
เอกสารแนบท้าย
เอกสารแนบท้ายขอบเขตงานและรายละเอียดคุณลักษณะเฉพาะ โครงการจัดหาพร้อมติดตั้งระบบรวบรวม วิเคราะห์ และตอบสนองความปลอดภัยการใช้งาน
ระบบสารสนเทศโดยอัตโนมัติ จํานวน ๑ ระบบ
๑. คุณสมบัติระบบตอบสนองความปลอดภัยการใช้งานสารสนเทศอัตโนมัติจํานวน ๑ ระบบ มีคุณสมบัติดังนี้ ๑.๑.อุปกรณ์รักษาความปลอดภัยบนเครือข่ายคอมพิวเตอร์ในระดับแอพพลิเคชั่น (Application
Firewall) จํานวน ๒ ชุด แต่ละชุดโดยมีคุณสมบัติอย่างน้อย
อยดังนี
๑.๑.๑. เป็นอุปกรณ์ประเภท Next-Generation Firewall (NGFW) แบบ Appliance-Based ๑.๑.๒. มี Network Interface อย่างน้อย ดังนี้
0.0.5.0).
๓.๑.๒.๒.
0.0.b.m.
Interface แบบ 1 (RJ45) หรือดีกว่าไม่น้อยกว่า 4 พอร์ท
interface แบบ 10G (RJ45) หรือดีกว่าไม่น้อยกว่า ๔ พอร์ท
interface แบบ 10G/25G SFP+/SFP28 หรือดีกว่า ไม่น้อยกว่า ๔ ช่อง พร้อมเสนอ
Transceiver Module VU 25GBase-LR duugaas 2 Module was 10GBase-LR จํานวนชุดละ 2 Module
๑๑.๑.๓. มี interface HA แบบ 1G (RJ45) หรือดีกว่าไม่น้อยกว่า 6 พอร์ท และมี Interface แบบ 16 (RJ45) หรือดีกว่าสําหรับบริหารจัดการ (Management Port) ไม่น้อยกว่า ๓ พอร์ท โดยทั้งหมด ไม่นับรวมกับ interface จากข้อที่ ๑.๑.๒.
๓.๑.๔. มี interface สําหรับ Console ไม่น้อยกว่า ๑ พอร์ท พร้อมกับสาย Console
๑.๑.๕. มี Application Firewall Throughput ไม่น้อยกว่า 30 Gbps ในแบบ Appmix หรือ
Enterprise test conditions wão Enterprise traffic mix
๑.๑.๖. มี Threat prevention Throughput ไม่น้อยกว่า 14 Gbps ในแบบ Appmix หรือ Enterprise
test conditions vão Enterprise traffic mix
๒.๓.๗. มี Concurrent Sessions ไม่น้อยกว่า 2,300,000 sessions ที่สามารถประมวลผลพร้อมกันได้
ในสภาพแวดล้อมปกติ และมี New Sessions ไม่น้อยกว่า 250,000 Sessions ต่อวินาที ๑.๑.๔. มี Storage ชนิด SSD สําหรับจัดเก็บข้อมูลระบบ (System Storage) ขนาดไม่ต่ํากว่า 480 GB
หรือดีกว่า
๑.๑.๔. สามารถรองรับการทํางานของ Routing Protocols แบบ Static, RIP, BGP, OSPF, Multicast
และ Policy Based Forwarding หรือ Policy Based Routing ได้เป็นอย่างน้อย
หน้า ๑/๑
เอกสารแนบท้าย
๑.๑.๑. สามารถทําการตรวจสอบ Traffic ที่เข้ารหัส SS ด้วยการทํา SSL decryption (ทั้งแบบ Inbound และ Outbound) หรือนําเสนอระบบอื่นๆเพิ่มเติมที่มีมาตรฐานเทียบเท่า เพื่อให้ สามารถทําได้ตามข้อกําหนด
๑.๑.๑๓. สามารถทํางานร่วมกับระบบการพิสูจน์ตัวตน (Authentication Systems) ได้แก่ Active
Directory, LDAP, Radius เพื่อระบุตัวตนผู้ใช้งาน (User Identity) ได้เป็นอย่างน้อย
๒.๑.๑๒. สามารถควบคุมประเภทของไฟล์ (File Type Control) ที่อนุญาตให้ Download หรือ Upload
ผ่านแต่ละ Application ได้

๑.๑.๑๓. สามารถตรวจสอบและป้องกันการรั่วไหลของข้อมูล (Data Filtering/DLP/Data Patterns)
จากเครือข่าย
๑.๑.๑๔. สามารถตรวจจับและป้องกันภัยคุกคาม (Threat Prevention) ประเภท Vulnerability และ Malware/Spyware ได้ โดยสามารถทําการอัพเดท Signature และ Threat intelligence แบบอัตโนมัติ เพื่อให้การป้องกันเป็นปัจจุบัน
๑.๑.๑๕. สามารถตรวจจับและป้องกันภัยคุกคามประเภท Zero-Day Malware ได้แบบ inline Prevention (Real time) และสามารถเสนอระบบเสริม (เช่น Sandboxing, Advanced Threat Prevention) เพื่อให้เป็นไปตามข้อกําหนด
๑.๑.๑๖. สามารถกําหนดนโยบายและควบคุมการเข้าถึง website (URL Filtering) สามารถติดตามและ
ควบคุมการเข้าถึงเว็บได้ตาม Category, Block list, Allow tist ที่กําหนดได้
๑.๑.๑๗. สามารถบริหารจัดการอุปกรณ์แบบ Web-based Management (HTTPS), Command Line
interface ได้
๑.๑.๑๘. สามารถสรุปและแสดงผลข้อมูลในรูปแบบกราฟิก (Graphical Report) รวมถึงรองรับการสร้าง
รายงานได้อย่างน้อยดังนี้
๑.๑.๑๘.๑. Top Application, Application Category
0.0.0.b. Top Source, User, Destination
๑.๑.๑๘.m. User activity report
๑.๑.๑๙. สามารถสร้างรายงานและปรับแต่งรายงานได้ตามความต้องการ
๑.๑.๒๐. รองรับการติดตั้งเพื่อทํางานในรูปแบบ High Availability (HA) ได้ทั้งแบบ Active-Active และ
Active-Passive
หน้า / ด
เอกสารแนบท้าย
๑.๑.๒. มีแหล่งจ่ายไฟฟ้า (Power Supply) แบบ redundant หรือรองรับการถอดเปลี่ยน (Hot-
Swappable) ได้ โดยไม่มีผลกระทบต่อการให้บริการ
๑.๒.๒๒. ต้องได้รับการจัดอันดับให้อยู่ในกลุ่ม Leader ของ Gartner Magic Quadrant ในกลุ่มผลิตภัณฑ์
Hybrid Mesh Firewalls ปี ๒๐๒๕ หรือปีล่าสุด
๑.๑.๒๓. ต้องรับประกันอุปกรณ์เป็นเวลาอย่างน้อย ๓ ปี และต้องรวมสิทธิ์การอัปเดตฐานข้อมูลภัย คุกคามและซอฟต์แวร์ที่จําเป็นต่อการทํางานด้านความมั่นคงปลอดภัยของระบบตลอด
ระยะเวลาการรับประกัน
๑.๑.๒๔. ผู้เสนอราคาต้องแสดงหลักฐานการมีสิทธิ์เสนอราคาสําหรับโครงการนี้ โดยต้องได้รับการแต่งตั้ง
เป็นตัวแทนจําหน่ายจากบริษัทเจ้าของผลิตภัณฑ์ พร้อมการได้รับการบริการหลังการขาย และ
ได้รับการสนับสนุนทางด้านเทคนิค ตลอดช่วงระยะเวลาการรับประกันโดยตรงจากบริษัทฯ
เจ้าของผลิตภัณฑ์หรือบริษัทฯ สาขาของเจ้าของผลิตภัณฑ์ประจําประเทศไทย สําหรับผลิตภัณฑ์ ที่เสนอในโครงการนี้โดยเฉพาะ โดยมีเอกสารหรือหลักฐานแสดง ณ วันยื่นเอกสารประกวดราคา อีเล็กทรอนิกส์ เพื่อรองรับการให้บริการทางเทคนิคและบริการหลังการขายเป็นอย่างดี
๑.๒. อุปกรณ์เฝ้าระวังการโจมตีและวิเคราะห์ภัยคุกคามบนระบบเครือข่าย (Network Traffic
Analysis) จํานวน ๑ ชุด โดยมีคุณสมบัติดังนี้
๑.๒.๑. เป็นอุปกรณ์แบบ Appliance-Based หรือ Virtual appliance ที่ออกแบบมาเพื่อการวิเคราะห์ ตรวจจับ และเฝ้าระวังภัยคุกคามทางไซเบอร์บนเครือข่าย (Network-based threat detection) โดยเฉพาะ และต้องอยู่ภายใต้ผู้ผลิตเดียวกันกับอุปกรณ์รักษาความปลอดภัย เครือข่ายในระดับแอปพลิเคชัน (Application Firewall) ที่นําเสนอในโครงการนี้
๑.๒.๒. มี Network interface แบบ 1G (RJ45) หรือดีกว่าไม่น้อยกว่า 4 พอร์ท
๒.๒.๓. มี Interface แบบ 16 (RJ45) หรือดีกว่าสําหรับบริหารจัดการ (Management Port) ไม่น้อย
กว่า ๑ พอร์ท โดยทั้งหมดไม่นับรวมกับ interface จากข้อที่ ๒.๒.๒.
๑.๒.๔. มี interface สําหรับ Console ไม่น้อยกว่า ๑ พอร์ท พร้อมกับสวย Cortisole
๑.๒.๕. มี Application Firewall Throughput ไม่น้อยกว่า 4.5 Gbps ในแบบ Apopmix หรือ
Enterprise test conditions wa Enterprise traffic mix
๑.๒.๒. มี Threat prevention Throughput ไม่น้อยกว่า 3 Gbps ในแบบ Appmix หรือ Enterprise
test conditions vão Enterprise traffic mix
หน้า ๓ /G
เอกสารแนบท้าย
๑.๒.๒. มี Concurrent Sessions ไม่น้อยกว่า 400,000 sessions ที่สามารถประมวลผลพร้อมกันได้ใน
สภาพแวดล้อมปกติ และมี New Sessions ไม่น้อยกว่า 65,000 Sessions ต่อวินาที
๑.๒.๔. มี Storage ชนิด SSD หรือ eMMC สําหรับจัดเก็บข้อมูลระบบ (System Storage) ขนาดไม่ต่ํา
กว่า 128GB หรือดีกว่า
๑.๒.๔. สามารถติดตั้งในรูปแบบ Transparent Mode, Moritoring Mode (Tap/Span/Mirror), L2
และ L3 หรือเทียบเท่าได้
๑.๒.๑๐. สามารถทําการตรวจสอบ Traffic ที่เข้ารหัส SS ด้วยการทํา SSL decryption (ทั้งแบบ Inbound และ Outbound) หรือนําเสนอระบบอื่นๆเพิ่มเติมที่มีมาตรฐานเทียบเท่า เพื่อให้
สามารถทําได้ตามข้อกําหนด
๑.๒.๑๑. สามารถทํางานร่วมกับระบบการพิสูจน์ตัวตน (Authentication Systems) ได้แก่ Active Directory, LDAP, Radius เพื่อระบุตัวตนผู้ใช้งาน (User identity) ได้เป็นอย่างน้อย ๑.๒.๑๒. สามารถตรวจจับและเฝ้าระวังการถ่ายโอนไฟล์ (File Type Control) ที่อนุญาตให้ Download
หรือ Upload ผ่านแต่ละ Application ได้

๑.๒.๑๓. สามารถตรวจจับและเฝ้าระวังการรั่วไหลของข้อมูล (Data Filtering/DLP/Data Patterns)
ออกจากระบบเครือข่าย
๑.๒.๑๔. สามารถตรวจจับและเฝ้าระวังภัยคุกคาม (Threat Prevention) ประเภท Vulnerability และ Malware/Spyware ได้ โดยสามารถทําการอัพเดท Signature และ Threat Intelligence แบบอัตโนมัติ เพื่อให้การป้องกันเป็นปัจจุบัน
๑.๒.๑๕. สามารถการตรวจจับและเฝ้าระวัง ภัยคุกคามประเภท Zero-Day Malware ได้แบบ Inline Prevention (Real-time) และสามารถเสนอระบบเสริม (เช่น Sandboxing, Advanced Threat Prevention) เพื่อให้เป็นไปตามข้อกําหนด
๑.๒.๑๖. สามารถกําหนดนโยบายและเฝ้าระวังการเข้าถึง website (URL. Filtering) สามารถติดตามและ
เฝ้าระวัง การเข้าถึงเว็บได้ตาม Category, Block list, Allow list ที่กําหนดได้
๑.๒.๑๗. สามารถบริหารจัดการอุปกรณ์แบบ Web-based Management (HTTPS), Command Line
Interface
๑.๒.๑๘. สามารถรับข้อมูล Log จากระบบภายนอก เช่น Proxy, Authentication Server, Wi-Fi Controller หรือระบบอื่นที่มีอยู่ได้ เพื่อใช้ในการพิสูจน์ตัวตน หรือ ดําเนินการเชื่อมโยงข้อมูล ผู้ใช้งาน (User Identity Mapping) ของผู้ใช้งานที่อยู่ในระบบภายนอกข้างต้น หรือนําเสนอ ระบบอื่นๆที่มีมาตรฐานเทียบเท่าเพิ่มเติม เพื่อให้สามารถทําได้ตามข้อกําหนด
หน้า ๔/๑๓
เอกสารแนบท้าย
๓.๓.
๑.๒.๑๙. สามารถสร้างรายงานและปรับแต่งรายงานได้ตามความต้องการ
๑.๒.๒๐. ต้องรับประกันอุปกรณ์เป็นเวลาอย่างน้อย ๓ ปี และต้องรวมสิทธิ์การอัปเดตฐานข้อมูลภัย คุกคามและซอฟต์แวร์ที่จําเป็นต่อการทํางานด้านความมั่นคงปลอดภัยของระบบตลอด
ระยะเวลาการรับประกัน
๑.๒.๒๑. ผู้เสนอราคาต้องแสดงหลักฐานการมีสิทธิ์เสนอราคาสําหรับโครงการนี้ โดยต้องได้รับการแต่งตั้ง
เป็นตัวแทนจําหน่ายจากบริษัทเจ้าของผลิตภัณฑ์ พร้อมการได้รับการบริการหลังการขาย และ
ได้รับการสนับสนุนทางด้านเทคนิค ตลอดช่วงระยะเวลาการรับประกันโดยตรงจากบริษัทฯ
เจ้าของผลิตภัณฑ์หรือบริษัทฯ สาขาของเจ้าของผลิตภัณฑ์ประจําประเทศไทย สําหรับผลิตภัณฑ์
ที่เสนอในโครงการนี้โดยเฉพาะ โดยมีเอกสารหรือหลักฐานแสดง ณ วันยื่นเอกสารประกวดราคา อิเล็กทรอนิกส์ เพื่อรองรับการให้บริการทางเทคนิคและบริการหลังการขายเป็นอย่างดี
ระบบรวบรวมและวิเคราะห์เพื่อหาสาเหตุของภัยคุกคามทางไซเบอร์แบบอัตโนมัติ จํานวน ๑
ระบบ โดยมีคุณสมบัติดังนี้
๑.๓.๑. เป็นระบบที่ให้บริการในรูปแบบ Software as a Service (SaaS) หรือ ทํางานบนระบบคลาวด์ (Cloud-based) โดย ผู้ให้บริการต้องได้รับการรับรองมาตรฐาน ด้านความมั่นคงปลอดภัย
สารสนเทศ (ISO/IEC 27001) เป็นอย่างน้อย
๑.๓.๒. เป็นระบบที่ถูกออกแบบมาเพื่อให้สามารถบริหารจัดการและตอบสนองต่อเหตุการณ์ภัยคุกคาม
ที่เกิด
ระบบเครือข่ายคอมพิวเตอร์ได้อย่างอัตโนมัติ และมีระบบ Threat intelligence
หรือ Threat Prevention อยู่ภายในระบบเดียวกัน แบบพร้อมใช้งานภายในระบบดังกล่าว หรือ นําเสนอ Threat intelligence เพิ่มเติม
๑.๓.๓. ระบบที่นําเสนอต้องมีลิขสิทธิ์การใช้งานสําหรับผู้ใช้งานในระดับ Administrator ไม่น้อยกว่า
๑๐ ผู้ใช้งาน และระดับ Operation ไม่น้อยกว่า ๑๒ ผู้ใช้งาน
06
๒.๓.๔. สามารถเข้าใช้งานในรูปแบบของ web base Gil ผ่าน Browser เช่น Chrome หรือ Firefox
หรือ Microsoft Edge เป็นอย่างน้อย
๒.๓.๕. มีการรับประกันความพร้อมใช้งาน (Service Level Agreement: SLA) ไม่น้อยกว่า 99.9%
เพื่อให้มั่นใจว่าระบบสามารถให้บริการได้อย่างต่อเนื่อง
๒.๓.๖. สามารถพิสูจน์ตัวตนของผู้ใช้ระบบบน Local system หรือ รองรับการทํา Single sign-on
(SSO) ผ่านโปรโตคอล SAML2.0 เป็นอย่างน้อย
หน้า ๕/๑๓
เอกสารแนบท้าย

๑.๓.๗. สามารถจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยด้านสารสนเทศ (Security incident) ได้
โดยสามารถมอบหมายเหตุการณ์ให้กับผู้ดูแลแต่ละคนได้
6.67.6. ระบบสามารถทํางานร่วมกันระหว่างเจ้าหน้าที่ด้านความมั่นคงปลอดภัยไซเบอร์ ผ่านหน้าจอ
Incident หรือ Case Management โดยสามารถแสดงข้อมูลเหตุการณ์ การวิเคราะห์ และการ ตอบสนองร่วมกันได้ในลักษณะ Virtual War Room หรือโต้ตอบผ่านความเห็น (Comment)
ได้
๑.๒.๔. ระบบสามารถกําหนด Response Workflow หรือ Automation Workflow ผ่านส่วนติดต่อ
ผู้ใช้งานแบบกราฟิก (เช่น Drag and Drop หรือ Rute-based) โดยมี Predefined integration / Connector และ Predefined Automated Response Action ให้พร้อมใช้งาน (Out-of-
Box)
๑.๑.๒๐. ระบบต้องสามารถสร้างและเรียกใช้งานกระบวนการตอบสนองต่อเหตุการณ์ (Response Workflow) ได้ทั้งแบบอัตโนมัติ (Automated Response) หรือ กึ่งอัตโนมัติ (Semi-
Automated)
๑.๓.๑๑. ระบบต้องรองรับการออกแบบกระบวนการตอบสนองต่อเหตุการณ์ (Response Workflow)
โดยมีความสามารถอย่างน้อยดังนี้
๒.๓.๑๑.๒. รองรับ Manual Action / Analyst Task ภายใน incident
๑.๓.๑๑.๒. รองรับการกําหนดขั้นตอนการตัดสินใจ การอนุมัติ หรือการยืนยันจากผู้ใช้งาน ก่อน
ดําเนินการตอบสนองในขั้นตอนถัดไป (Approval)
๒.๓.๑๑.๓. รองรับการกําหนดเงื่อนไข (Condition-based Logic) หรือการวนซ้ําของกระบวนการ
ทํางานตามเหตุการณ์
๑.๓.๑๓.๔. รองรับการกําหนดพฤติกรรมเมื่อเกิดข้อผิดพลาด เช่น การหยุดการทํางาน การแจ้ง
เตือน หรือการดําเนินการต่อโดยอัตโนมัติ
๑.๓.๑๒. ระบบสามารถตรวจสอบโดยใช้ indicator of Compromise (IOC) จากข้อมูลที่อยู่ภายในไฟล์ เช่น PDF หรือ Image โดยอัตโนมัติ ผ่านเทคโนโลยีการวิเคราะห์ไฟล์หรือการประมวลผลข้อมูล (เช่น CCR, File Analysis หรือ Threat intelligence)
๒.๓.๑๓. ระบบสามารถจัดการ Response Workflow หรือมีความสามารถในการย้อนกลับ (Revert)
เพื่อให้สามารถย้อนกลับหรือแก้ไขเมื่อเกิดความผิดพลาดได้
๑.๓.๑๔. ระบบสามารถจําลองหรือทดสอบ Response Workflow ก่อนนําไปใช้งานจริง เพื่อประเมินผล
กระทบและความถูกต้องของการตอบสนอง
หน้า ๖/๑
เอกสารแนบท้าย
๒.๓.๑๕. ระบบต้องสามารถรับและบริหารจัดการข้อมูลภัยคุกคามจากแหล่ง Threat intelligence ที่ เชื่อถือได้ และเป็นที่ยอมรับในระดับสากล เช่น MITRE ATT&CK, Cyber Threat Alliance (CTA) หรือองค์กรด้าน Cybersecurity อื่น ๆ ที่เป็นที่ยอมรับ
๑.๑.๑๖. ระบบสามารถส่งอีเมลโต้ตอบกับผู้ใช้งานเพื่อขอให้ดําเนินการหรือให้ข้อมูลเพิ่มเติม
๒.๓.๑๗. ระบบสามารถปรับแต่ง Response Workflow ผ่าน Custom Script หรือ API อย่างน้อยหนึ่ง
ภาษา เช่น Python, PowerShell, JavaScript หรือ REST API
๑.๓.๑๘. ระบบสามารถจัดเก็บและบริหารจัดการ Indicator ภายในระบบ Threat intelligence หรือ
Threat Repository
๑.๓.๑๙. ระบบต้องมี Dashboard สําหรับแสดงภาพรวมเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ (Incident Review) โดยสามารถแสดงรายละเอียดเหตุการณ์ ระดับความรุนแรง (Severity) และระดับความเร่งด่วน (Urgency) หรือระดับความเชื่อถือ (Confidence) เพื่อสนับสนุนการ จัดลําดับความสําคัญในการตอบสนอง
๑.๓.๒๐. ระบบที่นําเสนอต้องสามารถแสดงผล (Dashboard) และรายงาน (Report) ได้ โดยผู้ใช้งาน สามารถกําหนดรูปแบบการแสดงผลและโครงสร้างรายงานตามความต้องการ และสามารถ จัดทํารายงานในรูปแบบไฟล์ PDF ได้เป็นอย่างน้อย
ทั้งจาก
๑.๓.๒๑. ระบบที่นําเสนอต้องสามารถแจ้งเตือน (Notification) และแสดงข้อมูล Audit Log
Agent และ Management ผ่านทาง E-mail, Collaboration Platform (เช่น Stack หรือ เทียบเท่า) หรือ Syslog ได้ รวมทั้งสามารถแจ้งเตือนและแสดงข้อมูลเหตุการณ์ด้านความ ปลอดภัย โดยผู้ใช้งานสามารถกําหนดการแจ้งเตือนตามระดับความรุนแรง (Severity Level) ได้
๑.๓.๒๒. ระบบต้องสามารถแจ้งเตือนโดยอัตโนมัติเมื่อปริมาณข้อมูลที่จัดเก็บใกล้ถึงหรือเกินขีดจํากัดของ License ที่กําหนด และต้องมีมาตรการป้องกันการสูญเสียข้อมูลในกรณีที่สามารถดําเนินการได้ ๑.๓.๒๓. ระบบที่นําเสนอต้องสามารถนําข้อมูลมาประมวลผลเพื่อวิเคราะห์ภัยคุกคาม และสามารถสืบค้น
ย้อนหลังได้ไม่น้อยกว่า ๓๐ วัน
๑.๓.๒๔. ระบบสามารถรับข้อมูล Log ได้หลากหลายรูปแบบ เช่น Syslog (UDP/TCP), HTTP/HTTPS หรือการเชื่อมต่อผ่าน API โดยอาจเป็นแบบ Agent-based หรือ Agentless ตามความ
เหมาะสม
๑.๓.๒๕. ระบบต้องสามารถรับเหตุการณ์ (Log) จาก Log Source ได้ในรูปแบบ Systog, CEF ได้เป็น
อย่างน้อย
เอกสารแนบท้าย
๑.๓.๒๖, ระบบที่นําเสนอต้องสามารถทํา Normalization หรือ Correlation ข้อมูลเหตุการณ์ (Event, Log) ให้อยู่ในรูปแบบโครงสร้างข้อมูลที่เป็นมาตรฐานเดียวกัน เพื่อความสะดวกในการวิเคราะห์
และการใช้งานข้อมูลร่วมกัน
๒.๓.๒๗. ระบบที่นําเสนอต้องมีการจัดเตรียม Predefined Analytic หรือ Detection Model หรือ UEBA หรือ Detection Catalog จากผู้ให้บริการ และสามารถรับการอัปเดตได้อย่างสม่ําเสมอ เพื่อรองรับภัยคุกคามใหม่ๆ และต้องครอบคลุม Use Case มาตรฐาน เช่น MITRE ATT&CK, Network Threat, Endpoint Threat เป็นต้น
๒.๓.๒๘. ระบบที่นําเสนอต้องสามารถวิเคราะห์และตรวจจับภัยคุกคามบนระบบเครือข่ายโดยใช้ เทคโนโลยี Machine Learning และ AI (MAI) ในการวิเคราะห์พฤติกรรม โดยอาศัยการหา ความสัมพันธ์ของข้อมูลที่ได้จาก Endpoint, Log ของอุปกรณ์ตรวจจับภัยคุกคามเครือข่าย ระดับแอปพลิเคชัน (Network Sensor) เป็นต้น โดยทํางานในรูปแบบอัตโนมัติ
๑.๒.๒๙. รองรับการค้นหาและระบุภัยคุกคามที่เกิดขึ้น (Threat Hunting) ที่อาจไม่ถูกตรวจจับด้วย Signature-based detection โดยวิเคราะห์จากพฤติกรรมการใช้งานที่ผิดปกติ (Behavior Threat) และสามารถแสดงรายละเอียดของเครื่องปลายทาง เช่น Application, System
information, Process, Connection เป็นต้น
๒.๓.๓๐. ระบบต้องมีความสามารถในการสร้าง Rute หรือ Query โดยรองรับการใช้เงื่อนไขทางตรรกะ (Logical Operations) และกฎแบบซ้อน (Nested Rules) เพื่อให้สามารถรวม วิเคราะห์ ปรับเปลี่ยน และแสดงผลข้อมูลได้อย่างยืดหยุ่น เช่น การใช้ฟังก์ชันหรือคําสั่งในการประมวลผล ข้อมูล (เช่น stats, eval, append, join, convert, rex, regex หรือเทียบเท่า)
๒.๓.๓๑. ระบบต้องมีความสามารถในการสืบค้น (Query) เพื่อสนับสนุนการทํางานด้านการวิเคราะห์และ จัดการเหตุการณ์ ไม่ว่าจะเป็นการทํา Correlation, การรายงาน (Reporting) ตลอดจนการ เชื่อมโยงข้อมูล Log เข้ากับข้อมูลบริบท เช่น ข้อมูลทรัพย์สิน (Assets) หรือข้อมูลผู้ใช้งาน Users) เป็นต้น
๑.๔.๓๒. สามารถวิเคราะห์และเรียนรู้จากพฤติกรรมภายในระบบ (Behavior Analytics) โดยใช้เทคนิค เช่น Machine Learning (ML), Statistical Analysis และ Anomaly Detection เพื่อสร้าง รูปแบบพฤติกรรมปกติ (Baseline) ของผู้ใช้งาน แอปพลิเคชัน และระบบเครือข่าย จากนั้น สามารถตรวจจับเหตุการณ์ที่เบี่ยงเบนออกจากค่าปกติได้โดยอัตโนมัติ พร้อมทั้งระบุความเสี่ยง หรือความผิดปกติที่อาจบ่งบอกถึงภัยคุกคาม เช่น การเข้าสู่ระบบผิดเวลา ปริมาณการรับส่ง ข้อมูลที่ผิดปกติ หรือการใช้งานแอปพลิเคชันที่ไม่เคยปรากฏมาก่อน ได้
หน้า ๘/๑๘
เอกสารแนบท้าย
๑.๓.๓๓. สามารถวิเคราะห์พฤติกรรมจาก User และ Asset ประเภท Suspicious authentication,
Suspicious VPNs login, Brute force, password spray, and excessive logins, wa
irregular resource access เป็นอย่างน้อย จากพฤติกรรมปกติ (Baseline) แบบอัติโนมัติ ๑.๓.๓๔. ระบบต้องสามารถกําหนดค่า Service Level Agreement (SLA) ตามระดับความรุนแรงของ
เหตุการณ์ (Incident Severity) ได้
๑.๒.๓๕, ระบบรองรับความสามารถในการยกระดับความรุนแรงของเหตุการณ์ (Incident Severity
Escalation) หรือสามารถติดตามเหตุการณ์ (Follow up) ที่มีความสําคัญได้ ๑.๓.๓๖. ระบบต้องสามารถเชื่อมโยงเหตุการณ์ด้านความมั่นคงปลอดภัยกับกรอบการวิเคราะห์ MITRE ATT&CK เพื่อสนับสนุนการวิเคราะห์และการตอบสนองต่อภัยคุกคามอย่างเป็นระบบ ๒.๓.๓๗. ระบบต้องสามารถติดตามและบริหารจัดการสถานะของเหตุการณ์ด้านความมั่นคงปลอดภัยไซ เบอร์ (Incident Status Tracking) โดยต้องมีความสามารถในการจัดการวงจรชีวิตของ เหตุการณ์ (Incident Lifecycle Management) หรือการสรุปเหตุการณ์ (Incident Summary) ตั้งแต่การตรวจพบ การวิเคราะห์ การตอบสนอง ไปจนถึงการปิดเหตุการณ์ พร้อมทั้งแสดง ประวัติการดําเนินการย้อนหลัง (Audit Trail) เช่น วันเวลา ผู้ดําเนินการ และการกระทําที่ เกิดขึ้น ในรูปแบบ Timeline หรือ List activities เพื่อให้สามารถตรวจสอบและติดตามความ คืบหน้าได้อย่างเป็นระบบ
๒.๓.๓๘. ระบบสามารถบันทึกและแนบ Note หรือ Comment ภายใน incident เพื่อใช้ในการสื่อสาร การประสานงาน และการติดตามผลการดําเนินงาน โดยต้องจัดเก็บข้อมูลพร้อมวันเวลาและผู้ บันทึกอย่างถูกต้อง สามารถตรวจสอบย้อนหลังได้ และรองรับการเชื่อมโยงกับข้อมูลหรือ หลักฐานที่เกี่ยวข้องกับเหตุการณ์
๑.๓.๓๙. ระบบต้องสามารถสืบค้นและเรียกดูข้อมูลที่เกี่ยวข้องกับเหตุการณ์ที่ผ่านมาได้อย่างมี ประสิทธิภาพ เช่น Indicator of Compromise (IOC), รายละเอียดเหตุการณ์, ฟิลด์ข้อมูลที่ เกี่ยวข้อง และความสัมพันธ์ของเหตุการณ์ เพื่อสนับสนุนการวิเคราะห์ การสอบสวน และการ ตอบสนองต่อเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์
๑.๑.๕๐. ระบบต้องสามารถแสดงข้อมูลเหตุการณ์ภัยคุกคามทางไซเบอร์ (Incident Details) โดยมี
รายละเอียดอย่างน้อยดังนี้
๓.๓.๔๐.๑. ประเภทของภัยคุกคาม
๑.๓.๔๐.๒. วันและเวลา เริ่มต้นและสิ้นสุดของภัยคุกคาม
๒.๓.๔๐.๓. แหล่งที่มา (Source) และปลายทาง (Destination) ที่เกี่ยวข้อง
หน้า ๑ / ๑๕
เอกสารแนบท้าย
๑.๓.๔๐.๔. ระดับความรุนแรงของเหตุการณ์ (Severity)
๑.๑.๔๐.๕. รายละเอียดของเหตุการณ์และพฤติกรรมที่ตรวจพบ
๑.๓.๔๐.๖. คะแนนหรือระดับความเสี่ยง (Scoring) ของภัยคุกคามเมื่อเกิดขึ้นกับ IP address,
Domain และ User Account ได้เป็นอย่างน้อย
๑.๓.๔๐.๗. การแสดงเทคนิคหรือขั้นตอนของภัยคุกคามที่ตรวจพบ โดยสามารถเชื่อมโยงหรืออ้างอิง
กับกรอบการวิเคราะห์ MITRE ATT&CK
๑.๓.๑.๑. ระบบต้องสามารถดําเนินการแก้ไขหรือตอบสนองต่อภัยคุกคาม (Response Action) ได้ โดยตรงจากการแจ้งเตือนหรือเหตุการณ์ (Incident) ที่ตรวจพบ ทั้งในรูปแบบอัตโนมัติหรือ กึ่งอัตโนมัติ เช่น Block IP Domain หรือ URL ที่เป็นอันตราย Quarantine, Kill Process, Reset Credential หรือ Isolate Host เป็นต้น เพื่อเพิ่มประสิทธิภาพและความรวดเร็วในการ
จัดการ
๑.๒.๔๒. ระบบต้องมีความสามารถในการใช้เทคโนโลยี AI และ/หรือ Machine Learning เพื่อประเมิน และให้คะแนนเหตุการณ์ (Incident Scoring) หรือลําดับความสําคัญ (priority) โดยอัตโนมัติ เพื่อจัดลําดับความเร่งด่วนในการจัดการ
1.46.241. ระบบสามารถจัดการกระบวนการตอบสนอง (Response Workflow หรือ Automation Workflow) โดยสามารถบันทึก จัดเก็บ และแลกเปลี่ยนโครงสร้างหรือรูปแบบของกระบวนการ ทํางานดังกล่าวในรูปแบบไฟล์มาตรฐาน เช่น JSON, YAML หรือรูปแบบอื่นที่เทียบเท่า เพื่อให้ สามารถปรับใช้กับระบบหรือแพลตฟอร์มอื่นได้อย่างยืดหยุ่น
๑.๓.๔๔. สามารถเชื่อมโยงกับอุปกรณ์อื่นจากผู้ผลิตภายนอก (3rd Party Integration) ผ่านการเรียกใช้ API และรองรับมาตรฐาน API สากล เช่น RESTful, JSON, XML หรือ SOAP ได้อย่างใดอย่าง หนึ่งเป็นอย่างน้อย
๑.๓.๔๕. ระบบสามารถรับ ประมวลผล และวิเคราะห์ข้อมูลเหตุการณ์หรือข้อมูลจราจร (Event / Log / Telemetry) สําหรับการทําระบบวิเคราะห์พฤติกรรมผู้ใช้งานและอุปกรณ์ (UEBA : User and Entity Behavior Analytics) ได้ไม่น้อยกว่า 200 GB ต่อวัน
หน้า ๑๐/๑
เอกสารแนบท้าย
ระบบบริหารและตรวจสอบการโจมตีจากภายนอกแบบอัจฉริยะ (Attack Surface
Management) จํานวน ๑ ระบบ
๑.๔.๑. เป็นระบบที่ให้บริการในรูปแบบ Software as a Service (SaaS) หรือ ทํางานบนระบบคลาวด์ (Cloud-based) โดย ผู้ให้บริการต้องได้รับการรับรองมาตรฐาน ด้านความมั่นคงปลอดภัย สารสนเทศ (ISO/IEC 27001) เป็นอย่างน้อย
๑.๔.๒. ระบบที่เสนอต้องสามารถตรวจหา Asset ที่มีการสื่อสาร (Exposed) ผ่านทางอินเทอร์เน็ต รวมถึงการใช้บริการต่างๆ ขององค์กรผ่านระบบ Public Cloud ได้ โดยสามารถตรวจสอบและ ครอบคลุมปริมาณ Asset ได้ไม่น้อยกว่า 200 Asset
๑.๔.๓. ระบบต้องสามารถตรวจพบทรัพย์สินที่เกี่ยวข้องกับบริการขององค์กรบนอินเทอร์เน็ต เช่น
Domain, Subdomain, IP Address, Cloud Resource, Application wa Service เชื่อมโยงกับองค์กรโดยอัตโนมัติ
๑.๔.๔. ระบบต้องสามารถตรวจหาผลกระทบที่เกิดขึ้นจากช่องโหว่ (Vulnerabilities) โดยสามารถเชื่อม ข้อมูลของช่องโหว่ เข้ากับ Asset ที่มีอยู่ของหน่วยงาน พร้อมทั้งสามารถระบุค่าความเสี่ยง เช่น CVSS, EPSS หรือ Risk Scoring ที่เทียบเท่า
๓.๔.๕. ระบบต้องสามารถจัดลําดับความสําคัญของความเสี่ยง (Risk Prioritization) โดยพิจารณาจาก บริบทของทรัพย์สิน ความรุนแรงของช่องโหว่ และนโยบายความปลอดภัยขององค์กร พร้อมทั้ง แนะนําแนวทางการแก้ไขหรือบรรเทาความเสี่ยง (Remediation Guidance)
๒.๔.๖. ระบบสามารถจัดทํารายงานระดับความเสี่ยงของพื้นผิวการโจมตี (Attack Surface) ๒.๔.๗. ระบบที่เสนอต้องสามารถระบุการให้บริการของ Asset ต่างๆ เช่น Services, Port ที่มีการใช้ งาน, เทคโนโลยีหรือซอฟต์แวร์ที่เกี่ยวข้อง และระบุช่องโหวในรูปแบบ CVE ที่สัมพันธ์กับ Service หรือ Software นั้นๆได้
๑.๔.๔. ระบบต้องสามารถตรวจพบความเสี่ยงด้าน DNS เช่น Dangling DNS, Subdomain Takeover
หรือ Domain Hijacking Risk เพื่อป้องกันการถูกยึดครองทราฟฟิกหรือทรัพยากรขององค์กร ๑.๔.๔. ระบบที่นําเสนอต้องสามารถตรวจสอบพื้นผิวการโจมตี (Attack Surface) ที่ครอบคลุมกับความ
เสี่ยงดังต่อไปนี้
0.6.x.0.
การจัดการช่องโหว่ (Vulnerability Management)
๑.๔.๔.๒. ความสอดคล้องตามข้อกําหนดหรือแนวปฏิบัติ (Compliance) หรือ Best practices
หน้า ๑ /pcf
3
เอกสารแนบท้าย
9.c.e.m.
ความเสี่ยงจาก SSL/TLS Certificate เช่น การหมดอายุหรือการตั้งค่าที่ไม่ปลอดภัย
๑.๔.๔.๔. ความเสี่ยงจากการตั้งค่า DNS Record ที่ไม่เหมาะสม
๑.๔.๑๐. ระบบต้องสามารถดําเนินการทดสอบพื้นผิวการโจมตี (Attack Surface) ได้ไม่น้อยกว่า 200 รายการ เพื่อระบุทรัพย์สินที่มีความเสี่ยงหรือมีช่องโหว่ และสามารถแสดงหลักฐานหรือเหตุผล ประกอบว่าทรัพย์สินดังกล่าวมีความเป็นไปได้ในการถูกโจมตี (Exploitability Evidence) ๑.๔.๑๓. ระบบต้องสามารถบริหารจัดการรายการทรัพย์สิน (Asset inventory) ผ่าน Web User Interface โดยต้องสามารถระบุ หน่วยงานของทรัพย์สิน, ประเภทของทรัพย์สิน ได้เป็นอย่าง
น้อย
๑.๔.๑๒. ระบบต้องสามารถทําการ Crawl เว็บไซต์หรือ Web Application ที่เปิดเผยต่ออินเทอร์เน็ต และแสดงข้อมูลสําคัญ เช่น URL, Technology Stack และภาพหน้าจอ (Screenshot) เพื่อใช้ ประกอบการวิเคราะห์ความเสี่ยง
๑.๔.๑๓. ระบบที่เสนอสามารถ integrate workflow เข้ากับระบบการบริหารจัดการด้าน Cyber Security Workflow ได้อย่างมีประสิทธิภาพ โดยสามารถทํางานร่วมกับระบบในข้อ ๑.๓ ที่ เสนอในโครงการนี้ โดยสามารถส่งข้อมูลความเสี่ยงหรือเหตุการณ์จาก Attack Surface Management เพื่อสร้างกระบวนการตอบสนองในรูปแบบอัตโนมัติ หรือกึ่งอัตโนมัติได้
หน้า ๑๒/๑๙
๒. ผู้ขายต้องดําเนินการติดตั้งตาม รูปที่
SIMI (QRadar}
7835
Network Architecture Diagram with Security Controls
Deploy Automation Response
Deploy Cloud ASH
Identity
รูปที่
Deploy an inline tap/appilance
See Switch ICT
Automatic Control

(Public (P)
เอกสารแนบท้าย
Remote Site
開飯
SD-WAN
SD-WAN
Replace Firewall instead of Lg ISP
✪. Network Architecture Diagram with Security Controls
VW1 om / am