จากการเปลี่ยนแปลงอย่างรวดเร็วของเทคโนโลยีสารสนเทศและสังคมนานาชาติที่มุ่งเน้นการพัฒนาประเทศไปสู่ระบบเศรษฐกิจและสังคมแห่งภูมิปัญญาและการเรียนรู้ (Knowledge-based Economy/Society : KBE/KBS) คณะกรรมการเทคโนโลยีสารสนเทศแห่งชาติจึงได้จัดทำกรอบนโยบายเทคโนโลยีสารสนเทศของประเทศในระยะที่สองซึ่งครอบคลุมเวลา 10 ปี (พ.ศ.2544-2553) หรือ IT 2010 ขึ้น โดยให้ความสำคัญกับเทคโนโลยีสารสนเทศในฐานะเครื่องมือขับเคลื่อนการพัฒนาประเทศทั้งด้านเศรษฐกิจและสังคม และใช้ประกอบกับแผนพัฒนาเศรษฐกิจและสังคมแห่งชาติฉบับที่ 9 ใน 5 ปีข้างหน้า (พ.ศ. 2545-2549) โดยคณะรัฐมนตรีได้มีมติเห็นชอบในหลักการของกรอบของนโยบาย IT 2010 เมื่อวันที่ 19 มีนาคม พ.ศ. 2545

นโยบาย IT 2010 เน้นการพัฒนาด้านเทคโนโลยีสารสนเทศใน 5 สาขา ได้แก่ การพัฒนาเทคโนโลยีสารสนเทศในภาครัฐ (e-Government) การพัฒนาเทคโนโลยีสารสนเทศในภาคอุตสาหกรรม (e-Industry) การพัฒนาเทคโนโลยีสารสนเทศในภาคการพาณิชย์ (e-Commerce) การพัฒนาเทคโนโลยีสารสนเทศในภาคการศึกษา (e-Education) การพัฒนาเทคโนโลยีสารสนเทศในภาคสังคม (e-Society) รวมไปถึงการเสริมสร้างอุตสาหกรรมเทคโนโลยีสารสนเทศ (IT Industry) ให้มีขีดความสามารถและความเข้มแข็งมากขึ้น จากนโยบาย IT 2010 ดังกล่าวข้างต้นจะพบเครื่องมือสำคัญส่วนหนึ่งที่เป็นหัวใจสำคัญคือเครือข่ายคอมพิวเตอร์ซึ่งเป็นช่องทางในการแลกเปลี่ยนข้อมูลข่าวสาร นโยบายผลักดันประเทศโดยใช้ระบบอิเล็กทรอนิกส์ทั้ง 5 สาขาจะก่อให้เกิดการไหลเวียนและการแลกเปลี่ยนข้อมูลในปริมาณมาก หรือเป็นตัวเร่งให้เกิด “e-Transaction” เพิ่มขึ้น และนับเป็นความเสี่ยงด้านความปลอดภัยเมื่อข้อมูลสำคัญต้องส่งผ่านอินเทอร์เน็ตซึ่งมีโครงข่ายซับซ้อนและมักไม่สามารถกำหนดว่าข้อมูลจะใช้เส้นทางผ่านเครือข่ายใดบ้าง โอกาสที่ข้อมูลจะถูกลักลอบใช้ เปลี่ยนแปลงแก้ไข หรือปลอมแปลง ผู้ส่งจึงเป็นปัจจัยเสี่ยงที่ตามมา ปัญหาด้านความปลอดภัยของเครือข่ายจึงเป็นปัญหาที่รัฐต้องให้ความสำคัญอย่างสูง แต่อาจกล่าวได้ว่าประเทศไทยยังขาดแคลนผู้เชี่ยวชาญที่มีความรู้และเทคนิควิธีการป้องกันรักษาความปลอดภัยของเครือข่าย ทั้งขาดการสนับสนุนด้านการวิจัยและพัฒนาจากทั้งภาครัฐและภาคเอกชน

เครือข่ายคอมพิวเตอร์เป็นโครงสร้างพื้นฐานสำคัญอย่างยิ่งของประเทศในยุคปัจจุบันและถือว่าเป็นโครงสร้างพื้นฐานหนึ่งที่เป็นโครงสร้างวิกฤต (Critical infrastructure) หรือเป็นโครงสร้างที่จะส่งผลกระทบต่อประเทศทั้งในแง่ระบบเศรษฐกิจ หรือเป็นอันตรายต่อชีวิตและทรัพย์สินหากมีเหตุขัดข้องใดที่หยุดยั้งการให้บริการ ประเทศที่มีหน่วยงานคุ้มครองโครงสร้างพื้นฐานอย่างเป็นระบบเช่นสหรัฐอเมริกาได้วางมาตรการคุ้มครองโครงสร้างพื้นฐานวิกฤต โดยให้หน่วยงานรัฐที่เกี่ยวข้องร่วมมือกับภาคเอกชนเพื่อหาแนวทางในการป้องกันและแก้ไขปัญหาความปลอดภัยของโครงสร้างพื้นฐานที่มีความสำคัญสูงต่อเศรษฐกิจและความมั่นคงของประเทศและเสี่ยงต่อการถูกโจมตีทั้งในรูปแบบเดิมและการโจมตีเครือข่ายคอมพิวเตอร์ หากจัดประเภทของหน่วยงานหรือเครือข่ายซึ่งจัดอยู่ในข่ายโครงสร้างพื้นฐานวิกฤตในประเทศไทยอาจแยกได้เป็นดังนี้คือ
1. กลุ่มสารสนเทศและโทรคมนาคม ได้แก่ เครือข่ายโทรศัพท์และการสื่อสาร บริษัทธุรกิจโทรคมนาคม บริษัทผู้ให้บริการอินเทอร์เน็ต เครือข่ายของรัฐ เช่นเครือข่ายกระทรวงมหาดไทย เครือข่ายกระทรวงกลาโหม
2. กลุ่มธนาคารและสถาบันการเงิน ได้แก่ เครือข่ายธนาคารและสถาบันการเงิน เครือข่ายตลาดหลักทรัพย์แห่งประเทศไทย
3. กลุ่มพลังงาน ได้แก่ การไฟฟ้าฝ่ายผลิต การไฟฟ้าส่วนภูมิภาค การไฟฟ้านครหลวง การปิโตรเลียมแห่งประเทศไทย
4. กลุ่มการขนส่งทางกายภาพ ได้แก่ เครือข่ายและระบบสื่อสารควบคุมระบบการจราจรทางอากาศของการท่าอากาศยาน และบริษัทวิทยุการบินแห่งประเทศไทย เครือข่ายควบคุมการเดินรถไฟฟ้าของบริษัทบีทีเอส และเครือข่ายควบคุมการเดินรถใต้ดินขององค์การรถไฟฟ้า
5. กลุ่มบริการที่จำเป็นต่างๆ เช่น เครือข่ายสำนักงานตำรวจแห่งชาติ

ปัญหาและผลกระทบจากการบุกรุกหรือการโจมตีทางเครือข่ายในส่วนของโครงสร้างพื้นฐานเป็นประเด็นที่มีความสำคัญอย่างยิ่ง ในกรณีของประเทศไทยจำเป็นต้องดำเนินการทั้งในด้านนโยบายและมาตรการที่เป็นรูปธรรมเพื่อป้องกันความเสียหายที่อาจเกิดขึ้นดังต่อไปนี้
1. กระตุ้นเตือนองค์กรทั้งภาครัฐและภาคเอกชนให้คำนึงถึงการรักษาความปลอดภัยของเครือข่าย
2. จัดให้มีหน่วยงานรับผิดชอบด้านระบบความปลอดภัยโครงสร้างพื้นฐาน โดยทำหน้าที่กำหนดขอบเขตการประกันความปลอดภัย การนำนโยบายไปใช้ปฏิบัติ การพัฒนากลยุทธ์ การประสานงานเพื่อเป็นศูนย์กลางความร่วมมือระหว่างภาครัฐและเอกชน
3. สนับสนุนให้มีการจัดตั้งหน่วยงานประกันด้านความปลอดภัย (Security Assurance) ในหน่วยงานแต่ละกลุ่ม
4. เร่งรัดให้มีการศึกษาและจัดทำรายงานวิเคราะห์ความเสี่ยงเรื่องความปลอดภัยของทั้งระบบฮาร์ดแวร์และซอฟต์แวร์ที่ใช้งานและผลกระทบที่อาจเกิดขึ้นจากการโจมตีในหน่วยงานแต่ละกลุ่ม โดยกำหนดมาตรการป้องกัน การบรรเทาเมื่อเกิดปัญหา แผนรับมือฉุกเฉิน และการกู้คืนระบบ
5. เร่งรัดให้มีการวางมาตรการที่เป็นรูปธรรมในการป้องกันปัญหาและผลกระทบที่เกิดขึ้นจากการโจมตีทางเครือข่าย
6. ส่งเสริมและจัดหาแหล่งทุนเพื่อสนับสนุนการทดสอบและประเมินความเสียหายโดยการจำลองสถานการณ์เมื่อเกิดปัญหาความปลอดภัย
7. จัดให้มีและสนับสนุนแผนการฝึกอบรมการประกันความปลอดภัยโครงสร้างพื้นฐาน
8. จัดให้มีและสนับสนุนการสร้างเครือข่ายความร่วมมือเพื่อแลกเปลี่ยนข้อมูลด้านความปลอดภัย
9. ส่งเสริมให้ทั้งภาครัฐและภาคเอกชนพัฒนาและจัดทำกระบวนการเกี่ยวกับการรายงานปัญหาความปลอดภัยและการนำไปใช้อย่างเป็นรูปธรรม

ในด้านการรักษาความปลอดภัยของเครือข่ายจำเป็นต้องมีแนวทางการลดความเสี่ยงจากปัญหาดังกล่าวโดยกำหนดมาตรการจัดระบบรักษาความปลอดภัยในแต่ละเครือข่ายและมีหน่วยงานดูแลรักษาความปลอดภัยประจำองค์กร องค์กรต้องมีการจัดทำนโยบายรักษาความปลอดภัยและการจัดชั้นความลับ
นอกจากนี้ยังจำเป็นต้องมีหน่วยงานด้านความปลอดภัยซึ่งในประเทศไทยยังไม่มีการวางแผนหรือการวางแนวทางการจัดตั้งหน่วยงานดังกล่าวอย่างมีเป้าหมายและมีทิศทางการดำเนินการที่เป็นรูปธรรมอย่างชัดเจน ซึ่งหากเปรียบเทียบกับการเตรียมการเกี่ยวกับความปลอดภัยของเครือข่ายในต่างประเทศจะเห็นว่าประเทศไทยยังล้าหลังอยู่ ไม่ว่าจะเปรียบเทียบกับประเทศที่อยู่ในภูมิภาคเดียวกันอย่างเช่น มาเลเซีย หรือสิงคโปร์ หรือประเทศในแถบเอเชียแปซิฟิก เช่น ญี่ปุ่นหรือเกาหลี รัฐจึงควรสนับสนุนการจัดตั้งหน่วยงานด้านความปลอดภัยของเครือข่ายคอมพิวเตอร์ระดับประเทศ โดยการแบ่งบทบาทหน้าที่ออกเป็น 3 หน่วยงานดังนี้
1. หน่วยงานกำหนดนโยบายความปลอดภัย ทำหน้าที่กำหนดนโยบายความปลอดภัยของเครือข่ายระดับชาติ โดยการกำหนดแนวทางและขอบเขตการรักษาความปลอดภัยของเครือข่ายในภาพรวม ดูแลเรื่องการประกันความความปลอดภัย มาตรการการคุ้มครองโครงสร้างพื้นฐานและการนำไปปฏิบัติ การนำเสนอกฎหมายเพื่อกำหนดหน้าที่ ระเบียบปฏิบัติ และการแลกเปลี่ยนข้อมูลของหน่วยงานที่ให้บริการระบบสื่อสารและเครือข่ายที่เกี่ยวข้อง
2. หน่วยงานติดตามและสืบค้นแหล่งปัญหาต้นตอเมื่อเกิดปัญหาความปลอดภัย ทำหน้าที่ปฏิบัติตามนโยบายที่กำหนดโดยหน่วยงานกำหนดนโยบายความปลอดภัยภายใต้กฎหมายและข้อบังคับ รวมทั้งการติดตามกรณีเกิดเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นและเป็นปัญหาในวงกว้าง หน่วยงานนี้เป็นผู้มีอำนาจหน้าที่ตามกฎหมายในการขอข้อมูลที่จำเป็นต่อการสืบสวนติดตาม เช่นการขอระงับเส้นทาง การขอบันทึกการเข้าใช้ระบบจากผู้ให้บริการอินเทอร์เน็ตหรือผู้ให้บริการโทรคมนาคม นอกจากนี้ยังต้องทำหน้าที่ด้านการประสานงานกับหน่วยงานอื่นๆอีกหลายหน่วยงาน เช่น การประสานงานกับสำนักงานตำรวจแห่งชาติ หรือการให้ข้อมูลเกี่ยวกับคดีในชั้นศาล เป็นต้น
3. หน่วยงานรับมือปัญหาฉุกเฉินด้านความปลอดภัย ทำหน้าที่แจ้งเตือนและวิเคราะห์ปัญหาด้านความปลอดภัยของเครือข่ายให้กับประเทศ การเก็บข้อมูลเพื่อใช้ในการวิเคราะห์ปัญหาและกำหนดวิธีการแก้ปัญหา การให้การศึกษาและฝึกอบรม การร่วมมือกับหน่วยงานอื่นๆ เพื่อรับมือและแก้ปัญหาด้านความปลอดภัย

ขั้นตอนปฏิบัติควรเริ่มต้นด้วยการแต่งตั้งคณะทำงานเพื่อกำหนดขั้นตอนก่อตั้งหน่วยงานข้างต้น และให้หน่วยงานกำหนดนโยบายความปลอดภัยดำเนินการพิจารณาจัดทำร่างกฎหมายคุ้มครองโครงสร้างพื้นฐานและรักษาความปลอดภัยของเครือข่ายเพื่อนำเสนอต่อคณะรัฐมนตรี นอกจากนี้การวิจัยและพัฒนาเพื่อสร้างความเชี่ยวชาญและสร้างความรู้ใหม่ด้านความปลอดภัยของเครือข่ายเป็นสิ่งที่รัฐควรสนับสนุน โดยมุ่งเน้นงานวิจัยและพัฒนาในเรื่องดังต่อไปนี้
- โมเดลความปลอดภัย(Security Model) โครงแบบอธิบายกระบวนการทำงานของระบบการรักษาความปลอดภัย, รูปแบบปัญหาด้านความปลอดภัย
- ความเป็นส่วนตัว (Security Privacy) กระบวนการสร้างความเป็นส่วนตัวของระบบ, การปกป้องข้อมูล
- การตรวจจับการบุกรุก(Intrusion Detection) การวิเคราะห์การบุกรุก, การพัฒนาเทคนิคสำหรับตรวจจับการบุกรุก
- ความมั่นคงของข้อมูลและการตรวจสอบ (Data Integrity and Audit) การสร้างความมั่นคงและถูกต้องให้ข้อมูล, การตรวจสอบความถูกต้องของข้อมูล
- ความปลอดภัยของการไหลของข้อมูล (Information Flow Security) การสร้างความปลอดภัยของการรับส่งข้อมูล, กระบวนการไหลของข้อมูล
- ความปลอดภัยของเครือข่ายไร้สาย (Security of Mobile and Wireless Networks) ระบบรักษาความปลอดภัยสำหรับเครือข่ายไร้สายและอุปกรณ์ไร้สาย, การออกแบบเครือข่ายไร้สายที่มีความปลอดภัย
- ความปลอดภัยของโครงสร้างเครือข่ายและระบบคอมพิวเตอร์ (Computer and Network Security Infrastructure) การออกแบบโครงสร้างเครือข่ายที่มีความปลอดภัยสูง, ความปลอดภัยของระบบคอมพิวเตอร์และอุปกรณ์เครือข่าย
- เทคโนโลยีการเข้ารหัสและถอดรหัส (Cryptography Technology) การเข้ารหัสข้อมูล, การถอดรหัสข้อมูล
- ความปลอดภัยของฐานข้อมูล (Database Security) การพัฒนาระบบรักษาความปลอดภัยฐานข้อมูล, การออกแบบฐานข้อมูลที่มีความปลอดภัยสูง
- การให้สิทธิ์และการพิสูจน์ตัวจริง (Access Control Authentication and Authorization) การควบคุมการเข้าถึงข้อมูล, การให้สิทธิ์ใช้งานข้อมูล, เทคนิคการพิสูจน์ตัวจริง
- ความปลอดภัยในเชิงพาณิชย์และอตสาหกรรม (Commercial and Industrial Security) เครือข่ายที่มีความปลอดภัยสูงสำหรับการทำธุรกรรมอิเล็กทรอนิกส์, การออกแบบระบบความปลอดภัยสำหรับพาณิชย์อิเล็กทรอนิกส์
- การวิเคราะห์ความเสี่ยงและให้การรับรองความปลอดภัย (Analysis Risk and Security Certification)กระบวนการวิเคราะห์ความเสี่ยงด้านความปลอดภัย, ระบบประเมินคุณภาพด้านความปลอดภัย
-ไวรัส หนอน และโปรแกรมที่ใช้ทำลายระบบ (Viruses, Worms, and Other Malicious Code Security) ความเสียหายที่เกิดขึ้นจากโปรแกรม, พฤติกรรมการทำงานของโปรแกรม, วิธีการตรวจจับ
- นโยบายความปลอดภัยและผลกระทบต่อสังคม (Security Policy and Social Impact) การสร้างนโยบายรักษาความปลอดภัย, การวิเคราะห์ผลกระทบที่มีต่อสังคม