หน่วยงานภาครัฐเป็นโครงสร้างพื้นฐานสำคัญของประเทศทั้งในเรื่องการขับเคลื่อนภาคเศรษฐกิจและภาคสังคม ข้อมูลดิจิทัลของภาครัฐมีเป็นจำนวนมาก และมีรูปแบบที่หลากหลายตามแต่การใช้งานของแต่ละหน่วยงาน แต่เพื่อให้การประสานงานระหว่างหน่วยงาน และการให้บริการออนไลน์แก่ประชาชนเป็นไปอย่างมีประสิทธิภาพ จึงจำเป็นต้องมีการแลกเปลี่ยนข้อมูลดิจิทัลระหว่างหน่วยงานภาครัฐที่มีประสิทธิภาพเช่นกัน
ทำไมเราจึงต้องมีมาตรฐานการเชื่อมโยงและแลกเปลี่ยนข้อมูลภาครัฐ
แม้ว่าปัจจุบันหน่วยงานรัฐแต่ละแห่งจะสามารถเชื่อมต่อข้อมูลระหว่างกันได้อยู่แล้ว แต่เป็นการเชื่อมต่อในรูปแบบที่หลากหลาย ไม่มีมาตรฐานกลาง เปรียบเสมือนระบบการจราจรที่ไร้ผู้ควบคุม การพัฒนารูปแบบใหม่ๆ ก็จะไร้ทิศทาง ทำให้เกิดการต่อยอดการเชื่อมโยงและแลกเปลี่ยนข้อมูลได้ยาก เมื่อเป็นเช่นนั้น มาตรฐานการเชื่อมโยงแลกเปลี่ยนข้อมูลสำหรับภาครัฐจึงเป็นสิ่งจำเป็น
สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) หรือ สพร. หรือ DGA จึงได้จัดทำมาตรฐานการเชื่อมโยงและแลกเปลี่ยนข้อมูลภาครัฐ (Thailand Government Information Exchange: TGIX) ขึ้นมา โดยขับเคลื่อนภายใต้แบรนด์ “มาตรฐาน TGIX-Linkage” เพื่อจะนำไปสู่การบูรณาการข้อมูล และการใช้ข้อมูลเพื่อขับเคลื่อนประเทศอย่างมีประสิทธิภาพ โดย DGA ได้จัดทำมาตรฐานว่าด้วยเรื่องของสถาปัตยกรรมการเชื่อมโยงและแลกเปลี่ยนข้อมูลภาครัฐ รวมถึงกำหนดองค์ประกอบของสถาปัตยกรรมนี้ไว้อย่างชัดเจน เพื่อให้หน่วยงานภาครัฐต่างๆ ได้ยึดถือเป็นแนวทางในการพัฒนาระบบต่อไป และ DGA ได้ดำเนินการปรับเปลี่ยนระบบศูนย์กลางแลกเปลี่ยนข้อมูลภาครัฐ (Government Data Exchange Center: GDX) เดิมให้เป็นผู้ให้บริการระบบสารสนเทศการเชื่อมโยงและแลกเปลี่ยนข้อมูลกลางที่มีมาตรฐานตาม TGIX
ขับเคลื่อน TGIX Sandbox ร่วมกับหน่วยงานรัฐ-เอกชน
จากเป้าหมายที่ประเทศไทยควรต้องมีการเชื่อมโยงและแลกเปลี่ยนข้อมูลกลางที่มีมาตรฐาน ดังนั้นในต้นปี 2566 ทาง DGA ได้เปิดทำการทดสอบระบบด้วยการขับเคลื่อน Sandbox ของ “โครงการทดสอบการพัฒนาระบบการแลกเปลี่ยนข้อมูลตามมาตรฐานการเชื่อมโยงและแลกเปลี่ยนข้อมูลภาครัฐ (TGIX)” โดยร่วมมือกับหน่วยงานรัฐ และเอกชนผ่านสมาคมโปรแกรมเมอร์ไทย
ทั้งนี้ Sandbox ดังกล่าว เป็นกลไกในการทดสอบความเป็นไปได้ หรือ Proof of Concept เชิงประจักษ์ที่จะเป็นต้นแบบในการแลกเปลี่ยนข้อมูล และเพื่อใช้เป็นแนวทางในการปรับปรุงมาตรฐานให้เหมาะสมในทางปฏิบัติ รวมถึงวางแนวทางในการกำกับดูแลการใช้งานมาตรฐานอย่างมีเอกภาพ
เลิกกังวล แค่เชื่อมโยงข้อมูลโดยไม่แตะต้องตัวข้อมูล
หน่วยงานภาครัฐทุกภาคส่วนสามารถปรับใช้มาตรฐานสถาปัตยกรรมการเชื่อมโยงและแลกเปลี่ยนข้อมูลภาครัฐได้ โดยไม่ต้องเป็นกังวลเรื่องการจัดการข้อมูลใดๆ ทั้งสิ้น เพราะมาตรฐานนี้มีขอบเขตที่ระดับการเชื่อมโยงข้อมูลเท่านั้น ไม่ได้ครอบคลุมถึงระดับการจัดการข้อมูลทางธุรกรรมของหน่วยงาน (Business Transaction Data) ที่เกิดขึ้นจากการเชื่อมโยงและแลกเปลี่ยนระหว่างกัน
รองรับการเชื่อมโยงและการแลกเปลี่ยนข้อมูล 3 รูปแบบ
ด้วยเหตุที่ไม่มีการกำหนดมาตรฐานมาตั้งแต่ต้น ทำให้ปัจจุบันมีการใช้สถาปัตยกรรมการเชื่อมโยงและแลกเปลี่ยนข้อมูลที่หลากหลาย โดยเฉพาะในหน่วยงานภาครัฐขนาดใหญ่ที่มีการใช้งานข้อมูลปริมาณมากทั้งภายในหน่วยงานเองและให้บริการข้อมูลแก่หน่วยงานภายนอก รวมถึงให้บริการแก่ประชาชน จึงมีการพัฒนาระบบแลกเปลี่ยนข้อมูลของตัวเองขึ้นมาใช้ เช่น ระบบบูรณาการฐานข้อมูลประชาชนและการบริการภาครัฐ ระบบเชื่อมโยงข้อมูลการนำเข้า ส่งออก และโลจิสติกส์ สำหรับในประเทศและต่างประเทศ และระบบการแลกเปลี่ยนข้อมูลสุขภาพของผู้ป่วยระหว่างหน่วยงานในระบบสุขภาพ เป็นต้น
DGA คำนึงถึงส่วนนี้ ดังนั้นสถาปัตยกรรมการเชื่อมโยงและแลกเปลี่ยนข้อมูลภาครัฐที่ DGA กำหนดขึ้นจึงรองรับการเชื่อมโยงและแลกเปลี่ยนข้อมูลครอบคลุม 3 รูปแบบ ดังต่อไปนี้
- การเชื่อมโยงและแลกเปลี่ยนข้อมูลภายในกลุ่ม TGIX (TGIX Intra-DX) สำหรับการแลกเปลี่ยนข้อมูลที่สมาชิกในกลุ่มดำเนินการตามมาตรฐาน TGIX อยู่แล้ว
- การเชื่อมโยงและแลกเปลี่ยนข้อมูลระหว่างกลุ่ม TGIX (TGIX Inter-DX) สำหรับการแลกเปลี่ยนข้อมูลระหว่างกลุ่มที่ดำเนินการตามมาตรฐาน TGIX อยู่แล้วเช่นกัน
- การเชื่อมโยงและแลกเปลี่ยนข้อมูลระหว่างกลุ่ม TGIX กับ กลุ่ม Data Exchange อื่นๆ ของประเทศ (Federated DX) สำหรับการแลกเปลี่ยนข้อมูลระหว่างกลุ่มที่ดำเนินการตามมาตรฐาน TGIX กับกลุ่มที่ใช้มาตรฐานอื่นๆ
โดย DGA ได้กำหนดไว้ว่าในการเชื่อมโยงและแลกเปลี่ยนข้อมูลภาครัฐใดๆ ให้หน่วยงานดำเนินการตามมาตรฐานสถาปัตยกรรมการเชื่อมโยงและแลกเปลี่ยนข้อมูลภายในกลุ่ม TGIX ประกอบไปด้วย 3 องค์ประกอบ ดังภาพด้านล่าง
สถาปัตยกรรมในส่วน “ผู้ให้บริการข้อมูล”
ว่าด้วยเรื่อง สถาปัตยกรรมของส่วนผู้ให้บริการข้อมูล หน่วยงานต้องพัฒนา API ที่ให้บริการตามแนวทาง ดังต่อไปนี้
- เป็น API ประเภท Representational State Transfer (REST API หรือ RESTful API) ด้วยลักษณะโครงสร้าง JavaScript Object Notation (JSON) ซึ่งเป็นหนึ่งในมาตรฐานในการแลกเปลี่ยนข้อมูลที่ใช้งานกันอย่างแพร่หลาย เพราะเป็นไฟล์ประเภทข้อความ (Text based) ขนาดเล็กน้ำหนักเบา และเป็นมาตรฐานกลางทุกภาษาสามารถใช้งานได้ง่าย
- มีข้อกำหนดด้านการยืนยันตัวตน การกำหนดสิทธิ และบัญชีการใช้งาน (Authentication, Access Control, API User Account)
- มีข้อกำหนดด้านโปรโตคอลระดับแอปพลิเคชัน เอนพอยน์ การจัดการโทเคนและเซสชัน
- มีข้อกำหนดด้านความน่าเชื่อถือและความมั่นคงปลอดภัย (Security Data, Signature)
- มีข้อกำหนดด้านการตรวจสอบระบบและการลงบันทึกล็อก (Log & Monitor)
- ข้อกำหนดด้านการกาหนดชื่อและเนมสเปซ (Namespace)
ในด้านความมั่นคงปลอดภัยทางไซเบอร์ควรมีแนวทางอย่างน้อย ดังต่อไปนี้
- ป้องกันไม่ให้มีการส่ง SQL Query หรือ Command ต่างๆ ที่ไม่ต้องการ ผ่านส่วนต่างๆ ของ API
- ตรวจสอบข้อมูลในคำขอ แล้วแจ้ง Response Code ที่เหมาะสมกลับไปให้ ผู้ใช้บริการ API ทราบ เช่น ตรวจสอบ HTTP Method ตรวจสอบ Content-Type ตรวจสอบ Resource ที่ไม่ถูกต้อง เป็นต้น
- อนุญาตให้เฉพาะบางผู้ใช้บริการ API หรือ เฉพาะ IP Address, Domain หรือ กลุ่มผู้ใช้บริการเท่านั้นที่เรียกใช้ API ได้
- ป้องกันไม่ให้มีการโจมตี API จากผู้ใช้งานที่ไม่พึงประสงค์ ก่อนที่คำขอไปถึงยัง ระบบสารสนเทศที่ให้บริการ API
- กำหนดจำนวนการเรียกใช้ API เพื่อป้องกันการโจมตีจากผู้ใช้บริการที่ไม่พึงประสงค์และลดโหลดของระบบสารสนเทศที่ให้บริการ API
สุดท้ายคือ ต้องทำการลงทะเบียน API พร้อมสร้างคู่มือการเรียกใช้งาน API ไว้ที่ Service Catalog ของ TGIX Service Operation Center (SOC) ซึ่งดูแลโดยผู้ให้บริการ TGIX Platform
สถาปัตยกรรมในส่วน “ผู้ใช้บริการข้อมูล”
ว่าด้วยเรื่อง สถาปัตยกรรมของส่วนผู้ใช้บริการข้อมูล ระบบสารสนเทศของหน่วยงานที่ใช้บริการ API ต้องพัฒนาแอปพลิเคชันเรียกใช้ข้อมูลแบบ REST API Client โดยมีข้อกำหนดตามมาตรฐานเช่นเดียวกับผู้ให้บริการข้อมูล และต้องทำข้อตกลงการใช้บริการ API (API Service Agreement) กับผู้ให้บริการ API ที่ TGIX Service Operation Center (SOC)
สถาปัตยกรรมในส่วน “ผู้ให้บริการ TGIX Platform”
ว่าด้วยเรื่อง สถาปัตยกรรมของส่วนผู้ให้บริการ TGIX Platform หรือ TGIX Platform Provider ซึ่งทำหน้าที่เป็น Data Exchange Platform จะประกอบไปด้วย 3 บริการหลัก คือ
- Service Operation Center (SOC) คือ ระบบอำนวยการกลางการเชื่อมโยงและแลกเปลี่ยนข้อมูล ทำหน้าที่ในการจัดการและกำกับดูแลให้การเชื่อมโยงและแลกเปลี่ยนข้อมูลภาครัฐให้เป็นไปตามมาตรฐาน TGIX มีบริการย่อย ดังต่อไปนี้
- บริการรายชื่อของ API (Service Catalog) เกิดจากผู้ให้บริการมาลงทะเบียนข้อมูล API และ Endpoint URL ไว้และอนุญาตให้สมาชิกในกลุ่ม TGIX ค้นหาเพื่อเรียกดูรายชื่อของ API ได้
- บริการจัดทำข้อตกลง (Service Agreement) หรือสัญญา (Service Contract) ระหว่างผู้ให้บริการข้อมูลและผู้ใช้บริการข้อมูลเกี่ยวกับการใช้งาน API
- บริการประทับรับรองเวลาอิเล็กทรอนิกส์ (Timestamp Service) ใช้ประกอบในการลงลายมือชื่อดิจิทัล (Digital Signature) เพื่อสร้างความเชื่อมั่น
- บริการจัดเก็บ Log (Logging and Auditing) เก็บข้อมูลว่าใครส่งข้อมูลอะไรไปหรือใครรับข้อมูลอะไรมา
- บริการตรวจสอบระบบ (Monitoring) ตรวจสอบข้อมูลจาก Log เพื่อตรวจหาความผิดปกติ
- บริการวิเคราะห์ผลการตรวจสอบ (Analytics) นำผลที่ตรวจสอบได้ไปแสดงผลในลักษณะแผนภูมิรูปภาพ รวมทั้งแจ้งเตือนให้กับผู้ให้บริการและผู้ใช้บริการทราบถึงปัญหาที่เกิดขึ้น
2. Identity Provider (IDP) ให้บริการพิสูจน์และยืนยันตัวตน ทำหน้าที่สร้างความยินยอมเมื่อผู้ให้บริการข้อมูลจะส่งข้อมูลให้ผู้ใช้บริการข้อมูล โดยมีบริการย่อย 3 ด้าน คือ
- บริการกำหนดบัญชีรายชื่อผู้ใช้งาน (API User Account Service)
- บริการยืนยันตัวตนผู้ใช้บริการ API (Authentication Service)
- บริการตรวจสอบสิทธิของผู้ใช้บริการ API เพื่ออนุญาตให้เข้าถึง API (Access Control Service ในระดับ System Level)
3. Certification Authority (CA) ให้บริการออกใบรับรองอิเล็กทรอนิกส์ และส่งใบรับรองฯ ให้แก่สมาชิกในกลุ่มแบบอัตโนมัติ
สถาปัตยกรรมการเชื่อมโยงและแลกเปลี่ยนข้อมูลระหว่างกลุ่ม TGIX
ในรูปแบบนี้สถาปัตยกรรมพื้นฐานยังคงเหมือนเดิม มีเพิ่มเติมในส่วนของการทำข้อตกลงบริการระหว่างกลุ่ม TGIX (Inter-DX Service Agreement) ระหว่างผู้ให้บริการและผู้ใช้บริการข้อมูล และจัดให้มีบริการยืนยันตัวตนระดับกลุ่ม โดยมี Inter Gateway คอยตรวจสอบ และให้ความสำคัญกับการป้องกันการโจมตีจากภายนอกกลุ่ม
การเชื่อมโยงและแลกเปลี่ยนข้อมูลระหว่างกลุ่ม TGIX กับ กลุ่ม Data Exchange อื่น
ในรูปแบบนี้แบ่งเป็น 2 กรณีใหญ่ๆ คือ กลุ่มที่ทำมาตรฐาน TGIX เป็นกลุ่มผู้ให้บริการข้อมูลแก่กลุ่ม Data Exchange อื่นๆ และกลุ่มที่ทำมาตรฐาน TGIX เป็นกลุ่มผู้ใช้บริการข้อมูลจากกลุ่ม Data Exchange อื่นๆ
- กรณีแรก กลุ่มที่ทำมาตรฐาน TGIX เป็นกลุ่มผู้ให้บริการ สามารถอิงตามมาตรฐานพื้นฐานได้เลย
- กรณีที่สอง กลุ่มที่ทำมาตรฐาน TGIX เป็นกลุ่มผู้ใช้บริการ ซึ่งจะมีผู้ให้บริการและผู้ใช้บริการ TGIX Platform ภายในกลุ่มอีกที ผู้ให้บริการTGIX Platform ภายในกลุ่ม ต้องจัดให้มีบริการตัวกลาง (Federated Connector) เพื่อเชื่อมโยงและแลกเปลี่ยนระหว่างกลุ่ม TGIX และกลุ่ม Data Exchange ที่ใช้มาตรฐานอื่น เพื่อทำหน้าที่แปลง REST API ตามมาตรฐาน TGIX ไปเป็น API ของมาตรฐานอื่นๆ และจัดให้มี API Gateway เป็น Federated Gateway เพื่อป้องกันการโจมตีจากภายนอกกลุ่ม ส่วนผู้ใช้บริการ TGIX Platform ภายในกลุ่ม ต้องทำข้อตกลงบริการ Endpoint URL กับ Federated Connector ของผู้ให้บริการ TGIX Platform
จึงขอสรุปเป็นภาพประกอบไว้ด้านล่างนี้เพื่อฉายให้เห็นภาพรวม และขอบเขตของการของมาตรฐานสถาปัตยกรรมการเชื่อมโยงและแลกเปลี่ยนข้อมูลภาครัฐ
ทั้งนี้ การเชื่อมโยงและแลกเปลี่ยนข้อมูลภาครัฐอย่างราบรื่นจะเป็นกลไกสำคัญในการใช้ข้อมูล เพื่อการวางนโยบาย และวางแผนปฏิบัติของภาครัฐ อันจะเป็นประโยชน์ต่อการบริหารงานราชการและขับเคลื่อนประเทศอย่างมีประสิทธิภาพ และเพิ่มประสิทธิผลของนโยบายในการพัฒนาประเทศระยะยาว หน่วยงานภาครัฐใดที่ต้องการข้อมูลเพิ่มเติมหรือขอคำปรึกษาแนะนำสามารถติดต่อได้ที่สำนักงานพัฒนารัฐบาลดิจิทัล (สพร.) หรือ DGA