១. ព័ត៌មានទូទៅ
នៅក្នុងបរិបទនៃបរិវត្តកម្មឌីជីថល ធនធានទិន្នន័យ និងប្រព័ន្ធបច្ចេកវិទ្យារបស់ស្ថាប័នត្រូវបានពង្រីក និងតភ្ជាប់កាន់តែស្មុគស្មាញ។ ការគ្រប់គ្រងថា “នរណា” អាចចូលប្រើប្រាស់ “អ្វី” នៅក្នុងប្រព័ន្ធ គឺជាកត្តាគន្លឹះក្នុងការទប់ស្កាត់ការវាយប្រហារសាយប័រ។
២. តើអ្វីទៅជា IAM?
Identity and Access Management (IAM) គឺជាក្របខណ្ឌបច្ចេកវិទ្យា គោលនយោបាយ និងដំណើរការការងារ ដែលប្រើប្រាស់ដើម្បីគ្រប់គ្រងអត្តសញ្ញាណឌីជីថល និងកំណត់សិទ្ធិទទួលបានធនធាននានាក្នុងស្ថាប័ន។ គោលបំណងចម្បងគឺ៖ “ធានាថាបុគ្គល ឬប្រព័ន្ធដែលត្រឹមត្រូវ អាចប្រើប្រាស់ធនធានដែលត្រឹមត្រូវ ក្នុងពេលដែលត្រឹមត្រូវ និងសម្រាប់ហេតុផលការងារដែលត្រឹមត្រូវ”។
៣. គោលការណ៍គ្រឹះទាំង ៤ នៃយុទ្ធសាស្ត្រ IAM
ដើម្បីកសាងប្រព័ន្ធ IAM មួយដែលមានប្រសិទ្ធភាព ស្ថាប័នគួរផ្អែកលើសសរស្តម្ភទាំង ៤ នេះ៖
- ការផ្ទៀងផ្ទាត់អត្តសញ្ញាណ: ការធានាថាអ្នកដែលព្យាយាមចូលប្រព័ន្ធ គឺជាម្ចាស់គណនីពិតប្រាកដ (ឧទាហរណ៍ការប្រើប្រាស់ Multi-Factor Authentication – MFA តាមរយៈ TOTP ឬ FIDO2 Security Keys)
- ការកំណត់សិទ្ធិ: ការកំណត់កម្រិតនៃការចូលប្រើប្រាស់ទិន្នន័យ ឬកម្មវិធី បន្ទាប់ពីការផ្ទៀងផ្ទាត់អត្តសញ្ញាណបានជោគជ័យ
- ការគ្រប់គ្រងអ្នកប្រើប្រាស់: ដំណើរការនៃការបង្កើត (Provisioning) កែប្រែ ឬលុបចោល (De-provisioning) គណនីរបស់មន្ត្រី ឬបុគ្គលិកនៅពេលផ្លាស់ប្តូរតួនាទី ឬឈប់ពីការងារ
- ការត្រួតពិនិត្យនិងកត់ត្រា: ការតាមដាន និងកត់ត្រារាល់សកម្មភាពនៃការចូលប្រើប្រាស់ប្រព័ន្ធ (Access Logs) ដើម្បីស្វែងរកសកម្មភាពមិនប្រក្រតី។
៤. យុទ្ធសាស្ត្រអនុវត្តសម្រាប់មន្ត្រីព័ត៌មានវិទ្យា
- គោលការណ៍ផ្តល់សិទ្ធិអប្បបរមា: ត្រូវកំណត់សិទ្ធិឱ្យអ្នកប្រើប្រាស់ត្រឹមតែកម្រិតទាបបំផុតដែលចាំបាច់សម្រាប់ការបំពេញការងាររបស់ពួកគេប៉ុណ្ណោះ។ ចៀសវាងការផ្តល់សិទ្ធិជា Administrator ដល់គណនីទូទៅ
- ការប្រើប្រាស់ Role-Based Access Control (RBAC): បែងចែកសិទ្ធិទៅតាម “តួនាទីការងារ” ជំនួសឱ្យការបែងចែកទៅតាមបុគ្គលម្នាក់ៗ។ ឧទាហរណ៍៖ មន្ត្រីផ្នែកគណនេយ្យ មិនគួរមានសិទ្ធិចូលទៅកាន់ម៉ាស៊ីន Server របស់ផ្នែកអភិវឌ្ឍន៍កម្មវិធីឡើយ
- ការតម្លើងប្រព័ន្ធគ្រប់គ្រងរួម: ប្រើប្រាស់ដំណោះស្រាយដូចជា Active Directory (AD), OpenLDAP, ឬ cloud-based providers (ដូចជា Okta, Microsoft Entra ID) ដើម្បីគ្រប់គ្រងគណនីទាំងអស់ពីកន្លែងតែមួយ
- យន្តការ Single Sign-On (SSO): អនុញ្ញាតឱ្យអ្នកប្រើប្រាស់វាយពាក្យសម្ងាត់តែម្តង ដើម្បីចូលប្រើប្រាស់កម្មវិធីច្រើនក្នុងស្ថាប័ន ដែលជួយកាត់បន្ថយហានិភ័យនៃការភ្លេច ឬការប្រើប្រាស់ Password ខ្សោយ។
៥. អត្ថប្រយោជន៍ចំពោះសន្តិសុខស្ថាប័ន
ការមានយុទ្ធសាស្ត្រ IAM ច្បាស់លាស់ នឹងជួយកាត់បន្ថយការវាយប្រហារតាមរយៈគណនី ការពារការលេចធ្លាយទិន្នន័យពីខាងក្នុង និងជួយឱ្យស្ថាប័នត្រៀមខ្លួនរួចជាស្រេចសម្រាប់ការអនុវត្តស្របតាម ច្បាប់ និងបទដ្ឋានគតិយុត្តិនានា។
៦. ឯកសារយោង៖
- https://pages.nist.gov/800-63-3/
- https://www.cisa.gov/news-events/topics/identity-and-access-management
- https://owasp.org/wwwcommunity/controls/Identity_and_Access_Management
