១. ព័ត៌មានទូទៅ
គោលការណ៍សន្តិសុខសាយប័រ (Cybersecurity Principles) គឺជាគោលការណ៍ណែនាំមូលដ្ឋាន ដែលត្រូវបានប្រើដើម្បីការពារប្រព័ន្ធឌីជីថល បណ្តាញ និងទិន្នន័យ ពីការចូលប្រើដោយគ្មានការអនុញ្ញាត ឬការខូចខាត។ គោលការណ៍ទាំងនេះត្រូវបានចាត់ចែងជា 3 ក្របខណ្ឌស្នូលសំខាន់ៗ គឺ CIA Triad, ការគ្រប់គ្រងការចូលប្រើ (Access Management) និង ភាពធន់នៃវដ្តជីវិត និងប្រតិបត្តិការ (Lifecycle Resilience)។
២. CIA Triad (មូលដ្ឋានគ្រឹះ)
CIA Triad គឺជាគ្រឹះសំខាន់នៃសន្តិសុខសាយប៊រ ដែលធានាថាទិន្នន័យមានសុវត្ថិភាព ត្រឹមត្រូវ និងអាចប្រើប្រាស់បាន។
- ភាពសម្ងាត់ (Confidentiality)៖ ធានាថាព័ត៌មានរសើប អាចចូលប្រើបានតែដោយអ្នកប្រើដែលមានសិទ្ធិអនុញ្ញាតប៉ុណ្ណោះ។ បច្ចេកទេសដែលប្រើរួមមាន ការធ្វើកូដនីយកម្ម (Encryption) ដែលបម្លែងទិន្នន័យឱ្យអានបានតែអ្នកដែលមានសោ (Key) និងការគ្រប់គ្រងសិទ្ធិចូលប្រើយ៉ាងតឹងរឹង
- ភាពត្រឹមត្រូវ (Integrity)៖ រក្សាភាពត្រឹមត្រូវ និងភាពទុកចិត្តបាននៃទិន្នន័យ។ ធានាថាព័ត៌មានមិនត្រូវបានកែប្រែ ឬរំលោភ ក្នុងអំឡុងពេលរក្សាទុក ឬបញ្ជូន ជាធម្មតាត្រូវបានផ្ទៀងផ្ទាត់តាមរយៈហត្ថលេខាឌីជីថល (Digital Signatures) ឬ Hashing
- ភាពអាចប្រើប្រាស់បាន (Availability)៖ ធានាថាប្រព័ន្ធ និងទិន្នន័យអាចចូលប្រើបាននៅពេលចាំបាច់ និងត្រូវបានរក្សាទុកតាមរយៈការបម្រុងទុកទិន្នន័យជាប្រចាំ ការថែទាំឧបករណ៍ និងការការពារពីការវាយប្រហារ DDoS (Distributed Denial of Service)។
៣. គោលការណ៍គ្រប់គ្រងការចូលប្រើ (Access Management Principles)
គោលការណ៍ទាំងនេះកំណត់របៀបដែលអ្នកប្រើប្រាស់ធ្វើអន្តរកម្មជាមួយប្រព័ន្ធ ដើម្បីកាត់បន្ថយ “ការវាយប្រហារ” (Attack Surface) ឬចំណុចចូលសម្រាប់អ្នកវាយប្រហារ។
- សិទ្ធិតិចតួចបំផុត (Least Privilege – PoLP)៖ អ្នកប្រើ និងប្រព័ន្ធគួរតែមានសិទ្ធិចូលប្រើត្រឹមតែអប្បបរមាដែលចាំបាច់សម្រាប់បំពេញភារកិច្ចរបស់ខ្លួនប៉ុណ្ណោះ
- ការបែងចែកភារកិច្ច (Separation of Duties)៖ បែងចែកភារកិច្ចសំខាន់ៗទៅឱ្យមនុស្សផ្សេងៗគ្នា ដើម្បីកាត់បន្ថយហានិភ័យនៃការក្លែងបន្លំ ឬសកម្មភាពមិនមានការអនុញ្ញាត
- ការផ្ទៀងផ្ទាត់ និងការអនុញ្ញាត (Authentication & Authorization)៖ ការផ្ទៀងផ្ទាត់ គឺពិនិត្យថាអ្នកជានរណា (ឧ. ប្រើការផ្ទៀងផ្ទាត់ច្រើនស្រទាប់ Multi-Factor Authentication) ដែលកំណត់ថាអ្នកអាចធ្វើអ្វីបានខ្លះ បន្ទាប់ពីចូលទៅក្នុងប្រព័ន្ធ។
៤. គោលការណ៍វដ្តជីវិត និងប្រតិបត្តិការ (Lifecycle & Operational Principles)
សន្តិសុខសាយប៊រពេលបច្ចុប្បន្នទាមទារឱ្យមានវដ្តបន្តនៃការត្រួតពិនិត្យ និងការឆ្លើយតប ដែលជាញឹកញាប់ស្របតាម NIST Cybersecurity Framework។
- គ្រប់គ្រង (Govern)៖ បង្កើតវប្បធម៌ផ្តោតលើសុវត្ថិភាព និងការអនុលោមតាមច្បាប់ (ឧ. GDPR)។
- កំណត់អត្តសញ្ញាណ (Identify)៖ ចុះបញ្ជីទ្រព្យសម្បត្តិ (ឧបករណ៍រឹង កម្មវិធី និងទិន្នន័យ) ដើម្បីកំណត់អត្តសញ្ញណ អ្វីខ្លះដែលត្រូវការការការពារ។
- ការពារ (Protect)៖ អនុវត្តវិធានការការពារ ដូចជា Firewall ការគ្រប់គ្រងបំណះ (Patch Management/ការធ្វើបច្ចុប្បន្នភាពកម្មវិធីជាប្រចាំ) និងការធ្វើឱ្យប្រព័ន្ធរឹងមាំ (System Hardening) ដោយបិទសេវាកម្មដែលមិនចាំបាច់
- រកឃើញ និងឆ្លើយតប (Detect & Respond)៖ បន្តត្រួតពិនិត្យការគំរាមកំហែងដោយប្រើប្រព័ន្ធរកឃើញការបំពាន (Intrusion Detection Systems) និងមានផែនការឆ្លើយតបពេលមានហេតុការណ៍ ដើម្បីទប់ស្កាត់ និងលុបបំបាត់គ្រោះថ្នាក់
- ស្ដារឡើងវិញ (Recover)៖ ប្រើការបម្រុងទុកទិន្នន័យ និងផែនការស្ដារឡើងវិញពីគ្រោះមហន្តរាយ ដែលបានបញ្ជាក់ពីប្រសិទ្ធភាព ដើម្បីបន្តប្រតិបត្តិការធម្មតាឡើងវិញបន្ទាប់ពីមានការបំពាន។
៥. ការការពារជាច្រើនស្រទាប់ (Defense in Depth)
គោលការណ៍នេះពាក់ព័ន្ធនឹងការប្រើស្រទាប់សន្តិសុខជាច្រើន។ ប្រសិនបើការការពារមួយ (ដូចជាជញ្ជាំងភ្លើង Firewall) បរាជ័យ ការការពារផ្សេងទៀត (ដូចជា ការធ្វើកូដនីយកម្ម Encryption ឬ ការបម្រុងទុកទិន្នន័យ Backup) នឹងការពារទ្រព្យសម្បត្តិ។ នៅឆ្នាំ 2026 ស្ថាប័នជាច្រើនកំពុងប្រើ Zero Trust Architecture ដែលសន្មត់ថា គ្មានអ្នកប្រើ ឬឧបករណ៍ណាមួយត្រូវបានទុកចិត្តដោយស្វ័យប្រវត្តិ ទោះបីស្ថិតនៅក្នុងបណ្តាញរួចហើយក៏ដោយ។
៦. ឯកសារពាក់ព័ន្ធ
- https://www.cyber.gov.au/business-government/asds-cyber-security-frameworks/ism/cyber-securityprinciples
- https://www.naukri.com/campus/career-guidance/what-is-cyber-security
