บทที่ 3 การตรวจสอบระบบปฏิบัติการ

Slides:



Advertisements
งานนำเสนอที่คล้ายกัน
รายละเอียดวิชา ง การงานพื้นฐาน4(คอมพิวเตอร์2)
Advertisements

ส่วนที่ : 2 เรื่อง การวางแผน
โรงพิมพ์แห่งจุฬาลงกรณ์มหาวิทยาลัย
ความสำคัญของงานวิจัย เสนอ รศ.ดร.เผชิญ กิจระการ
บทที่ 2 หลักการควบคุมภายใน
บทที่ 1 ลักษณะของระบบบัญชี
The Management of Distributed Transaction
รายงานการวิจัย.
การจัดทำรายงานการควบคุมภายใน ตามระเบียบคณะกรรมการตรวจเงินแผ่นดิน
เอชไอวีควบคุมได้ เอดส์รักษาได้ เราอยู่ด้วยกันได้
การเขียนผังงาน.
Lecture No. 3 ทบทวนทฤษฎีและแบบฝึกหัด
อ.กิตติพงศ์ เซ่งลอยเลื่อน อาจารย์พิเศษ มหาวิทยาลัยแม่โจ้
   ฮาร์ดแวร์ (Hardware)               ฮาร์ดแวร์เป็นองค์ประกอบสำคัญของระบบสารสนเทศ หมายถึง เครื่องคอมพิวเตอร์ อุปกรณ์รอบข้าง รวมทั้งอุปกรณ์สื่อสารสำหรับเชื่อมโยงคอมพิวเตอร์เข้าเป็นเครือข่าย.
การศึกษารายกรณี.
ระบบสารสนเทศประมวณผลรายการธุรกรรม
คุณธรรมในการใช้เทคโนโลยีสารสนเทศ
การงานอาชีพและเทคโนโลยี 2 (ง31102)
ระบบตะกร้าและระบบชำระเงิน Shopping Cart + Payment
ซอฟต์แวร์.
การพัฒนากิจกรรม การเรียนรู้ โดยโครงงาน
ระบบฐานข้อมูล ข้อมูลมีความสำคัญมากต่อองค์การ ดังนั้นจะต้องมีการจัดเก็บที่เป็นระบบ สามารถค้นหาได้ง่าย เพื่อที่นำมาใช้ให้ทันเวลา ในการตัดสินใจของผู้บริหาร.
การวิเคราะห์ความต้องการด้านระบบ
Surachai Wachirahatthapong
Operating System ฉ NASA 4.
บทบาทการบริหารงานสำนักงาน 1
ไวรัสคอมพิวเตอร์คืออะไรมาจากไหน ?
การวางแผนและ การจัดทำ IT Audit
ดร. ครรชิต มาลัยวงศ์ ราชบัณฑิต
การจัดทำคู่มือ การปฏิบัติงาน Work Manual
ความรู้เบื้องต้นเกี่ยวกับระบบฐานข้อมูล
การออกแบบฐานข้อมูลและการบริหารธุรกิจ
IS กับ IT IS ต้องอาศัย IT
กิจกรรมที่ 1 ซอฟต์แวร์ระบบ จุดประสงค์ 1. บอกความหมายของซอฟต์แวร์
และการประเมินแบบมีส่วนร่วม
บทที่ 7 Deadlock Your company slogan.
ข้อมูลและสารสนเทศ.
การบริหารและกระบวนการวางแผน
การตรวจสอบ และการควบคุมภายใน
2.1 วิธีแก้ปัญหาด้วยคอมพิวเตอร์ (Computer problem solving methods)
: information security (ความมั่นคงปลอดภัยของสารสนเทศ)
ระบบปฏิบัติการ ( Operating System : OS )
บุคลากรคอมพิวเตอร์.
บทที่ 6 การเปลี่ยนแปลงเข้าสู่การออกแบบระบบ การประเมินทางเลือกซอฟท์แวร์
โรงเรียนเทศบาล ๕ (วัดหาดใหญ่)
การเขียนเอกสารชี้แจงผู้เข้าร่วมการวิจัย (Participant Information Sheet) โดย นางนวี เอกศักดิ์ กรรมการจริยธรรมการวิจัยในคน มหาวิทยาลัยมหิดล (Layperson)
: information security (ความมั่นคงปลอดภัยของสารสนเทศ)
หน่วยที่ 7 จริยธรรมและความปลอดภัย
หมวด5 การมุ่งเน้นทรัพยากรบุคคล
ระบบสารสนเทศ เพื่อการบริหาร
การจัดการฐานข้อมูล.
โปรแกรมฐานข้อมูลที่นิยมใช้
วัตถุประสงค์ สามารถนำมาตรฐานความปลอดภัยมาประยุกต์ใช้งานจริง
เรื่อง คุณธรรมในการใช้เทคโนโลยีสารสนเทศ วิชา คอมพิวเตอร์ จัดทำโดย
แผนการจัดการเรียนรู้ที่
วัตถุประสงค์ เพื่อให้นักศึกษาเข้าใจมาตรการความปลอดภัยขั้นพื้นฐาน
การแบ่งหนังสือออกตามลักษณะการจัดทำและความเหมาะสมของผู้อ่านแต่ละกลุ่ม
หลักการเขียนโปรแกรม ( )
คอมพิวเตอร์และระบบปฏิบัติการเบื้องต้น
ศูนย์อำนวยการจราจร และลดอุบัติเหตุทางถนน ตำรวจภูธรจังหวัดบุรีรัมย์
4.1 (ก) การวัดผลการดำเนินการ การเลือก จากการจัดทำแผนกลยุทธ์ ของหมวด 2.1ก (1) ผู้บริหารระดับสูงได้กำหนดตัวชี้วัดหลักของศูนย์ศรีพัฒน์ฯ เพื่อให้สอดคล้องกับยุทธศาสตร์/เป้าหมาย.
ระบบฐานข้อมูล.
ภัยจากเจ้าหน้าที่หรือบุคลากรของหน่วยงาน
การออกแบบการวิจัย.
เนื่องจากในปัจจุบันเทคโนโลยีคอมพิวเตอร์ มีการ เชื่อมโยงกันทางเครือข่ายอินเทอร์เน็ต ย่อมมีข้อมูลสารสนเทศที่ส่งผ่าน จากผู้ส่ง ไปยัง ผู้รับ และหากเครือข่ายอินเทอร์เน็ตนั้น.
7.Discussion การอภิปราย นายวัชรกร เดชะบุญ รหัสนิสิต
หน่วยที่1 ข้อมูลทางการตลาด
ประเด็น ( ปัญหา ) ที่เกี่ยวข้องกับ ความผิด (Liability) ประเด็น ( ปัญหา ) ที่เกี่ยวกับ คุณภาพของระบบ : คุณภาพข้อมูลและ ความผิดพลาดจากระบบ (Data quality.
1. ศึกษาการนำเสนอที่หลากหลาย 2. เลือกวิธีการที่เหมาะสม
ซอฟต์แวร์ (software) จัดทำโดย นาย ยุทธพงศ์ คำยอง
ใบสำเนางานนำเสนอ:

บทที่ 3 การตรวจสอบระบบปฏิบัติการ ดร. ครรชิต มาลัยวงศ์ ราชบัณฑิต

เนื้อหาคำบรรยาย หน้าที่ของระบบปฏิบัติการ ภัยคุกคามต่อระบบปฏิบัติการ การใช้ไอทีในการปฏิบัติงาน

ระบบปฏิบัติการ Operating System คือ ผู้จัดการการทำงานทั้งหมดของเครื่องคอมพิวเตอร์ (และ เครือข่าย) OS ที่สำคัญเวลานี้ได้แก่ Windows Linux Unix

หน้าที่หลักของ OS ดูแลให้ผู้ใช้และงานประยุกต์แบ่งปันทรัพยากรคอมพิวเตอร์ เช่น ตัวประมวลผล หน่วยความจำ ฐานข้อมูล และเครื่องพิมพ์ ด้วยการยินยอมให้ผู้ใช้ที่ได้รับอนุญาตเข้าถึงทรัพยากรเหล่านี้ และ ปกป้องไม่ยอมให้ผู้ที่ไม่ได้รับอนุญาตเข้าถึง จัดสรรลำดับการทำงานของโปรแกรมต่าง ๆ อย่างเหมาะสม ในช่วงการทำงานนั้นอาจจะมีผู้ใช้หลายคนพยายามขอใช้ทรัพยากรที่ถูกควบคุมอยู่พร้อม ๆ กัน ดูแลการแปลโปรแกรมจากภาษาระดับสูงเป็นภาษาเครื่อง

ระบบปฏิบัติการต้องควบคุมสิ่งต่อไปนี้ ป้องกันตนเองจากผู้ใช้ ต้องไม่ยอมให้โปรแกรมของผู้ใช้เข้ามาควบคุมหรือทำลายตัวมันเอง ป้องกันผู้ใช้ไม่ให้ถูกงานของผู้อื่นเข้ามายุ่งเกี่ยวหรือทำลายงานที่กำลังใช้คอมพิวเตอร์อยู่ ป้องกันผู้ใช้จากการถูกงานของตนเองทำลาย ป้องกันตนเองจากการทำงานที่ผิดพลาดของตนเอง ป้องกันตนเองจากสิ่งแวดล้อมเช่นไฟฟ้าดับ โดยจะต้องสามารถหยุดกิจกรรมเพื่อให้กู้มาดำเนินงานต่อได้ในภายหลัง การป้องกันเหล่านี้มีอยู่ในระบบปฏิบัติการอยู่แล้ว

การควบคุมความมั่นคงปลอดภัยของ OS OS security ประกอบด้วยการกำหนดนโยบายและวิธีปฏิบัติที่ระบุว่าใครจะใช้ OS ได้ จะใช้ทรัพยากรอะไรได้บ้าง และจะใช้ทำงานอะไร กระบวนการ Log-on เป็นด่านแรกในการปกป้องผู้ไม่ได้รับอนุญาต โดยผู้ใช้ต้องระบุชื่อและรหัสผ่าน สร้างระเบียนเกี่ยวกับผู้ใช้ว่าเป็นใครและจะทำอะไรได้บ้าง สร้างรายการควบคุมให้กับทรัพยากร เพื่อกำกับงานผู้ใช้ อนุญาตให้ผู้ใช้บางคนมีสิทธิ์ในการกำหนดสิทธิ์การใช้ทรัพยากร

ภัยคุกคามต่อระบบปฏิบัติการ ผู้มีสิทธิ์พิเศษในการกำหนดสิทธิ์ให้ผู้อื่นเช่น Sys Admin สามารถเข้าถึงและใช้ทรัพยากรต่าง ๆ ของคอมพิวเตอร์ได้อย่างไม่มีขีดจำกัด แต่กลับใช้สิทธิ์นี้ในการเข้าไปถึงโปรแกรม และ แฟ้มข้อมูลของผู้อื่น บุคคลทั้งภายในและภายนอกหน่วยงาน อาจจะลองสำรวจ OS ของหน่วยงานเพื่อดูจุดอ่อนของระบบ แล้วจะได้เข้ามาใช้งานระบบโดยไม่ได้รับอนุญาต บุคคลผู้จงใจ (หรือไม่จงใจ) นำไวรัสคอมพิวเตอร์หรือโปรแกรมอันตรายเข้ามาปล่อยในระบบปฏิบัติการ ภัยเหล่านี้เรามักจะคิดว่าเป็นภัยของทั้งระบบ แต่ที่จริงเป็นภัยที่เกิดกับระบบปฏิบัติการก่อนจุดอื่น ๆ

การควบคุม OS หากระบบ OS ถูกโจมตีได้ ก็จะเกิดปัญหากับงานประยุกต์ต่าง ๆ ที่ใช้งาน OS นั้น ดังนั้นเราจึงต้องกำหนดการควบคุม OS ขึ้นโดยวิธี เช่น Access Privilege Control Password Control Virus Control Audit Trail Control

Access Privilege Control Sys Admin อาจการมอบสิทธิพิเศษในการเข้าถึงทรัพยากร แก่บุคคลหนึ่งบุคคลใด หรือให้กับทั้งกลุ่มของบุคคลก็ได้ แต่ต้องพิจารณาหน้าที่ของผู้รับมอบสิทธิ์นั้นอย่างจริงจัง การมอบสิทธิ์นี้มีผลกระทบต่อความมั่นคงของระบบปฏิบัติการมาก ฝ่ายบริหารต้องดูแลให้แน่ใจว่าแต่ละบุคคลไม่ได้รับสิทธิ์ที่ไม่สอดคล้องกับหน้าที่ของเขา ผู้ตรวจสอบต้องสอบทวนว่าการให้สิทธิ์นั้นตรงกับหน้าที่ความรับผิดชอบและสอดคล้องกับนโยบายของหน่วยงาน

กระบวนการตรวจสอบ Access Privilege ทบทวนนโยบายในการกำหนดฟังก์ชันงานและตรวจให้แน่ใจว่าทำให้เกิดความมั่นคงที่เหมาะสม ทบทวนการมอบสิทธิ์แก่ผู้ใช้และกลุ่มผู้ใช้และพิจารณาว่าการมอบสิทธิ์นั้นเหมาะสมกับงานและตำแหน่งหน้าที่หรือไม่ นั่นคือมอบตามความจำเป็นที่จะต้องรู้ (need to know) ตรวจสอบประวัติบุคคลเพื่อดูว่าบุคคลนั้นได้รับการตรวจสอบประวัติก่อนตามนโยบายหรือไม่ ตรวจสอบประวัติว่าพนักงานได้รับทราบว่าพวกเขามีหน้าที่ความรับผิดชอบที่จะต้องรักษาความลับของข้อมูลหรือไม่ ตรวจสอบระยะเวลาที่ยอมให้ผู้ใช้เข้าใช้คอมพิวเตอร์นั้นสอดคล้องกับหน้าที่ที่มอบหมายให้ปฏิบัติ

กระบวนการตรวจสอบรหัสผ่าน รหัสผ่านเป็นด่านขั้นแรกในการป้องกันการเข้าถึงระบบปฏิบัติการ ปัญหาทั่วไปเกี่ยวกับรหัสผ่านก็คือ ลืมรหัสผ่าน ทำให้เข้าไปใช้คอมพิวเตอร์ไม่ได้ ไม่เปลี่ยนรหัสผ่านเพราะกลัวว่าจะลืม เขียนรหัสผ่านไว้บนกระดาษและแปะไว้กับจอภาพ ใช้รหัสผ่านแบบง่าย ๆ ที่สามารถเดาได้ ผู้บริหารหน่วยงานต้องกำหนดนโยบายเกี่ยวกับรหัสผ่านและดูแลให้ทุกคนปฏิบัติตาม

Password Control ฝ่ายบริหารควรกำหนดให้ผู้ใช้คอมพิวเตอร์เปลี่ยนรหัสผ่านอยู่เสมอ เช่น ทุกเดือน และไม่ให้ใช้รหัสผ่านที่ตั้งแบบง่าย ๆ และสามารถเดาได้ ผู้ตรวจสอบต้องตรวจสอบว่าฝ่ายบริหารมีนโยบายที่ดีในการกำหนดรหัสผ่านเพื่อให้มีการควบคุมระบบปฏิบัติการที่ดี

วิธีการตรวจสอบรหัสผ่าน ตรวจสอบว่าผู้ใช้ทุกคนจะต้องใช้รหัสผ่าน ตรวจสอบว่าผู้ใช้ใหม่ทุกคนได้รับคำแนะนำในการใช้รหัสผ่าน และความสำคัญของรหัสผ่าน ทบทวนกระบวนการควบคุมรหัสผ่านเพื่อให้แน่ใจว่ามีการเปลี่ยนรหัสผ่านอยู่เสมอ ทบทวนแฟ้มรหัสผ่านเพื่อตรวจหารหัสผ่านที่ไม่เหมาะสม ตรวจสอบว่าแฟ้มรหัสผ่านได้รับการเข้ารหัส และกุญแจรหัสมีความมั่นคง ประเมินมาตรฐานรหัสผ่านทางด้านความยาว และช่วงเวลาหมดอายุ ทบทวนนโยบายและกระบวนการปิดกั้นหากพิมพ์รหัสผ่านผิดหลาย ๆ ครั้ง

การควบคุมโปรแกรมอันตราย โปรแกรมอันตรายทำให้หน่วยงานต้องสูญเสียเงินจำนวนมหาศาล เนื่องมาจากข้อมูลถูกทำลาย คอมพิวเตอร์มีสมรรถนะต่ำลง ฮาร์ดแวร์เสียหาย ละเมิดข้อมูลส่วนบุคคล การเสียเวลาแก้ไขปัญหา โปรแกรมอันตรายมีหลายอย่าง ไวรัสคอมพิวเตอร์ หนอน Logic bomb ม้าโทรจัน Back door

การลดปัญหาโปรแกรมอันตราย ซื้อ SW จากผู้ขายที่น่าเชื่อถือ และ SW อยู่ในกล่องที่ปิดผนึกจากโรงงานอย่างเรียบร้อย กำหนดนโยบายห้ามใช้ SW ที่ไม่ได้รับอนุญาต หรือไม่มีสิทธิ์ในการใช้ ตรวจสอบการอัพเกรด SW ของผู้ขายให้แน่ใจว่าไม่มีไวรัสแอบแฝงก่อนการใช้งาน ตรวจสอบ SW สาธารณะว่าไม่มีไวรัสก่อนใช้งาน กำหนดขั้นตอนสำหรับใช้ทั้งหน่วยงานในกรณีที่ต้องมีการปรับแก้ซอฟต์แวร์ที่กำลังใช้งานอยู่ จัดฝึกอบรมให้ผู้ใช้เข้าใจผลร้ายของโปรแกรมอันตราย

การลดปัญหาโปรแกรมอันตราย 2 ระบบปฏิบัติการจะต้องได้รับการอัพเดทให้เป็นปัจจุบันโดยการปรับด้วยโปรแกรม patch ติดตั้งโปรแกรมในเครื่องที่ใช้งานเป็นเอกเทศ (stand alone) และทดสอบ ก่อนนำไปติดตั้งในเครือข่าย สำรองแฟ้มข้อมูลสำคัญของเครื่องเอาไว้ พิจารณาการให้สิทธิ์เฉพาะการอ่านข้อมูล และเรียกโปรแกรมทำงานเท่านั้น แต่ไม่ยอมให้เขียนหรือแก้ไขข้อมูลลงในแฟ้ม ใช้โปรแกรมตรวจสอบไวรัส

การตรวจสอบการควบคุมไวรัส ประเด็นสำคัญก็คือ การป้องกันอย่างเข้มงวดด้วยการกำหนดนโยบายและขั้นตอนการปฏิบัติงานที่ดีเพื่อลดโอกาสถูกโจมตี ผู้ตรวจสอบจะต้องสัมภาษณ์ผู้ปฏิบัติงานในศูนย์ไอทีเพื่อดูว่าเข้าใจความสำคัญ และความเสี่ยงของการถูกโจมตีด้วยโปรแกรมอันตรายหรือไม่ ตรวจสอบว่ามีการทดสอบ SW ใหม่ในเครื่องที่ทำงานเป็นเอกเทศก่อนติดตั้งในเครือข่าย ตรวจสอบว่าระบบป้องกันไวรัสเป็นเวอร์ชันใหม่ และติดตั้งทั้งเครือข่าย

การควบคุม Audit Trail Audit trail หมายถึงการบันทึกกิจกรรมที่เกิดกับระบบ งานประยุกต์ และผู้ใช้ ผู้บริหารต้องพิจารณาว่าจะต้องบันทึกรายละเอียดของกิจกรรมเอาไว้มากน้อยเพียงใด การบันทึกมีสองลักษณะ การบันทึกการคีย์ข้อมูล และคำตอบของระบบ การบันทึกเหตุการณ์ ซึ่งประกอบด้วยการบันทึกหมายเลขผู้ใช้ที่เข้าสู่ระบบ และระยะเวลาที่ใช้งาน โปรแกรมที่เรียกใช้และแฟ้ม ฐานข้อมูลเครื่องพิมพ์ ฯลฯ ที่ถูกใช้งาน ประโยชน์ของ Audit trail คือ ตรวจสอบการเข้าสู่ระบบโดยไม่ได้รับอนุญาต ช่วยในการจำลองสร้างเหตุการณ์ขึ้นใหม่ ช่วยยืนยันความรับผิดชอบของแต่ละคน

การตรวจสอบ Audit Trail

กระบวนการตรวจสอบ Audit Trail ตรวจสอบว่ามีการกำหนดให้ OS จัดเก็บบันทึก audit trail ผู้ตรวจสอบสามารถใช้ SW พิเศษเรียกบันทึกมาแสดงข้อมูลเกี่ยวกับ ผู้ใช้ที่ไม่ได้รับอนุญาตหรือที่ถูกปฏิเสธ ระยะเวลาที่ไม่ได้ใช้งาน ระยะเวลาที่ผู้ใช้ กลุ่มผู้ใช้ หรือแผนก ใช้งาน ระยะเวลา log-on ถึง log-off Log-on ที่ไม่ผ่าน การเข้าถึงแฟ้มหรืองานประยุกต์ กลุ่มงานดูแลความมั่นคงมีหน้าที่ต้องรายงานเกี่ยวกับการกำกับดูแลความมั่นคง และรายงานการละเมิดความมั่นคง ผู้ตรวจสอบต้องสุ่มเลือกกรณีที่มีการละเมิดมาประเมินว่ากลุ่มงานความมั่นคงมีประสิทธิผลมากน้อยเพียงใด

สรุปการตรวจสอบระบบปฏิบัติการ การตรวจสอบ OS ไม่ได้ตรวจสอบว่า OS ทำงานดีหรือไม่ แต่ตรวจสอบว่าหน่วยงานได้มีการควบคุม OS ดีหรือไม่ ประเด็นที่ตรวจสอบก็คือ การควบคุมการกำหนดสิทธิ์ในการใช้ การควบคุมรหัสผ่าน การควบคุมไวรัส การควบคุมการจัดทำ audit trail

ความคิดเห็นเพิ่มเติม ศูนย์ไอทีจังหวัดยังไม่ค่อยได้ตระหนักถึงปัญหาของระบบปฏิบัติการ ผู้ตรวจสอบภายใน ควรตรวจสอบเพื่อแนะนำให้ผู้บริหาร จัดศูนย์ไอทีทำนโยบายที่ชัดเจนเกี่ยวกับการกำหนดสิทธิ์ในการใช้ให้รอบคอบ และส่งให้ฝ่ายบริหารประกาศ จัดทำนโยบายการใช้รหัสผ่าน สั่งให้มีซอฟต์แวร์ตรวจจับไวรัสที่ทันสมัย สั่งให้มีการจัดเก็บข้อมูลเกี่ยวกับการใช้ระบบ

Thank You !