บทที่ 3 การตรวจสอบระบบปฏิบัติการ ดร. ครรชิต มาลัยวงศ์ ราชบัณฑิต
เนื้อหาคำบรรยาย หน้าที่ของระบบปฏิบัติการ ภัยคุกคามต่อระบบปฏิบัติการ การใช้ไอทีในการปฏิบัติงาน
ระบบปฏิบัติการ Operating System คือ ผู้จัดการการทำงานทั้งหมดของเครื่องคอมพิวเตอร์ (และ เครือข่าย) OS ที่สำคัญเวลานี้ได้แก่ Windows Linux Unix
หน้าที่หลักของ OS ดูแลให้ผู้ใช้และงานประยุกต์แบ่งปันทรัพยากรคอมพิวเตอร์ เช่น ตัวประมวลผล หน่วยความจำ ฐานข้อมูล และเครื่องพิมพ์ ด้วยการยินยอมให้ผู้ใช้ที่ได้รับอนุญาตเข้าถึงทรัพยากรเหล่านี้ และ ปกป้องไม่ยอมให้ผู้ที่ไม่ได้รับอนุญาตเข้าถึง จัดสรรลำดับการทำงานของโปรแกรมต่าง ๆ อย่างเหมาะสม ในช่วงการทำงานนั้นอาจจะมีผู้ใช้หลายคนพยายามขอใช้ทรัพยากรที่ถูกควบคุมอยู่พร้อม ๆ กัน ดูแลการแปลโปรแกรมจากภาษาระดับสูงเป็นภาษาเครื่อง
ระบบปฏิบัติการต้องควบคุมสิ่งต่อไปนี้ ป้องกันตนเองจากผู้ใช้ ต้องไม่ยอมให้โปรแกรมของผู้ใช้เข้ามาควบคุมหรือทำลายตัวมันเอง ป้องกันผู้ใช้ไม่ให้ถูกงานของผู้อื่นเข้ามายุ่งเกี่ยวหรือทำลายงานที่กำลังใช้คอมพิวเตอร์อยู่ ป้องกันผู้ใช้จากการถูกงานของตนเองทำลาย ป้องกันตนเองจากการทำงานที่ผิดพลาดของตนเอง ป้องกันตนเองจากสิ่งแวดล้อมเช่นไฟฟ้าดับ โดยจะต้องสามารถหยุดกิจกรรมเพื่อให้กู้มาดำเนินงานต่อได้ในภายหลัง การป้องกันเหล่านี้มีอยู่ในระบบปฏิบัติการอยู่แล้ว
การควบคุมความมั่นคงปลอดภัยของ OS OS security ประกอบด้วยการกำหนดนโยบายและวิธีปฏิบัติที่ระบุว่าใครจะใช้ OS ได้ จะใช้ทรัพยากรอะไรได้บ้าง และจะใช้ทำงานอะไร กระบวนการ Log-on เป็นด่านแรกในการปกป้องผู้ไม่ได้รับอนุญาต โดยผู้ใช้ต้องระบุชื่อและรหัสผ่าน สร้างระเบียนเกี่ยวกับผู้ใช้ว่าเป็นใครและจะทำอะไรได้บ้าง สร้างรายการควบคุมให้กับทรัพยากร เพื่อกำกับงานผู้ใช้ อนุญาตให้ผู้ใช้บางคนมีสิทธิ์ในการกำหนดสิทธิ์การใช้ทรัพยากร
ภัยคุกคามต่อระบบปฏิบัติการ ผู้มีสิทธิ์พิเศษในการกำหนดสิทธิ์ให้ผู้อื่นเช่น Sys Admin สามารถเข้าถึงและใช้ทรัพยากรต่าง ๆ ของคอมพิวเตอร์ได้อย่างไม่มีขีดจำกัด แต่กลับใช้สิทธิ์นี้ในการเข้าไปถึงโปรแกรม และ แฟ้มข้อมูลของผู้อื่น บุคคลทั้งภายในและภายนอกหน่วยงาน อาจจะลองสำรวจ OS ของหน่วยงานเพื่อดูจุดอ่อนของระบบ แล้วจะได้เข้ามาใช้งานระบบโดยไม่ได้รับอนุญาต บุคคลผู้จงใจ (หรือไม่จงใจ) นำไวรัสคอมพิวเตอร์หรือโปรแกรมอันตรายเข้ามาปล่อยในระบบปฏิบัติการ ภัยเหล่านี้เรามักจะคิดว่าเป็นภัยของทั้งระบบ แต่ที่จริงเป็นภัยที่เกิดกับระบบปฏิบัติการก่อนจุดอื่น ๆ
การควบคุม OS หากระบบ OS ถูกโจมตีได้ ก็จะเกิดปัญหากับงานประยุกต์ต่าง ๆ ที่ใช้งาน OS นั้น ดังนั้นเราจึงต้องกำหนดการควบคุม OS ขึ้นโดยวิธี เช่น Access Privilege Control Password Control Virus Control Audit Trail Control
Access Privilege Control Sys Admin อาจการมอบสิทธิพิเศษในการเข้าถึงทรัพยากร แก่บุคคลหนึ่งบุคคลใด หรือให้กับทั้งกลุ่มของบุคคลก็ได้ แต่ต้องพิจารณาหน้าที่ของผู้รับมอบสิทธิ์นั้นอย่างจริงจัง การมอบสิทธิ์นี้มีผลกระทบต่อความมั่นคงของระบบปฏิบัติการมาก ฝ่ายบริหารต้องดูแลให้แน่ใจว่าแต่ละบุคคลไม่ได้รับสิทธิ์ที่ไม่สอดคล้องกับหน้าที่ของเขา ผู้ตรวจสอบต้องสอบทวนว่าการให้สิทธิ์นั้นตรงกับหน้าที่ความรับผิดชอบและสอดคล้องกับนโยบายของหน่วยงาน
กระบวนการตรวจสอบ Access Privilege ทบทวนนโยบายในการกำหนดฟังก์ชันงานและตรวจให้แน่ใจว่าทำให้เกิดความมั่นคงที่เหมาะสม ทบทวนการมอบสิทธิ์แก่ผู้ใช้และกลุ่มผู้ใช้และพิจารณาว่าการมอบสิทธิ์นั้นเหมาะสมกับงานและตำแหน่งหน้าที่หรือไม่ นั่นคือมอบตามความจำเป็นที่จะต้องรู้ (need to know) ตรวจสอบประวัติบุคคลเพื่อดูว่าบุคคลนั้นได้รับการตรวจสอบประวัติก่อนตามนโยบายหรือไม่ ตรวจสอบประวัติว่าพนักงานได้รับทราบว่าพวกเขามีหน้าที่ความรับผิดชอบที่จะต้องรักษาความลับของข้อมูลหรือไม่ ตรวจสอบระยะเวลาที่ยอมให้ผู้ใช้เข้าใช้คอมพิวเตอร์นั้นสอดคล้องกับหน้าที่ที่มอบหมายให้ปฏิบัติ
กระบวนการตรวจสอบรหัสผ่าน รหัสผ่านเป็นด่านขั้นแรกในการป้องกันการเข้าถึงระบบปฏิบัติการ ปัญหาทั่วไปเกี่ยวกับรหัสผ่านก็คือ ลืมรหัสผ่าน ทำให้เข้าไปใช้คอมพิวเตอร์ไม่ได้ ไม่เปลี่ยนรหัสผ่านเพราะกลัวว่าจะลืม เขียนรหัสผ่านไว้บนกระดาษและแปะไว้กับจอภาพ ใช้รหัสผ่านแบบง่าย ๆ ที่สามารถเดาได้ ผู้บริหารหน่วยงานต้องกำหนดนโยบายเกี่ยวกับรหัสผ่านและดูแลให้ทุกคนปฏิบัติตาม
Password Control ฝ่ายบริหารควรกำหนดให้ผู้ใช้คอมพิวเตอร์เปลี่ยนรหัสผ่านอยู่เสมอ เช่น ทุกเดือน และไม่ให้ใช้รหัสผ่านที่ตั้งแบบง่าย ๆ และสามารถเดาได้ ผู้ตรวจสอบต้องตรวจสอบว่าฝ่ายบริหารมีนโยบายที่ดีในการกำหนดรหัสผ่านเพื่อให้มีการควบคุมระบบปฏิบัติการที่ดี
วิธีการตรวจสอบรหัสผ่าน ตรวจสอบว่าผู้ใช้ทุกคนจะต้องใช้รหัสผ่าน ตรวจสอบว่าผู้ใช้ใหม่ทุกคนได้รับคำแนะนำในการใช้รหัสผ่าน และความสำคัญของรหัสผ่าน ทบทวนกระบวนการควบคุมรหัสผ่านเพื่อให้แน่ใจว่ามีการเปลี่ยนรหัสผ่านอยู่เสมอ ทบทวนแฟ้มรหัสผ่านเพื่อตรวจหารหัสผ่านที่ไม่เหมาะสม ตรวจสอบว่าแฟ้มรหัสผ่านได้รับการเข้ารหัส และกุญแจรหัสมีความมั่นคง ประเมินมาตรฐานรหัสผ่านทางด้านความยาว และช่วงเวลาหมดอายุ ทบทวนนโยบายและกระบวนการปิดกั้นหากพิมพ์รหัสผ่านผิดหลาย ๆ ครั้ง
การควบคุมโปรแกรมอันตราย โปรแกรมอันตรายทำให้หน่วยงานต้องสูญเสียเงินจำนวนมหาศาล เนื่องมาจากข้อมูลถูกทำลาย คอมพิวเตอร์มีสมรรถนะต่ำลง ฮาร์ดแวร์เสียหาย ละเมิดข้อมูลส่วนบุคคล การเสียเวลาแก้ไขปัญหา โปรแกรมอันตรายมีหลายอย่าง ไวรัสคอมพิวเตอร์ หนอน Logic bomb ม้าโทรจัน Back door
การลดปัญหาโปรแกรมอันตราย ซื้อ SW จากผู้ขายที่น่าเชื่อถือ และ SW อยู่ในกล่องที่ปิดผนึกจากโรงงานอย่างเรียบร้อย กำหนดนโยบายห้ามใช้ SW ที่ไม่ได้รับอนุญาต หรือไม่มีสิทธิ์ในการใช้ ตรวจสอบการอัพเกรด SW ของผู้ขายให้แน่ใจว่าไม่มีไวรัสแอบแฝงก่อนการใช้งาน ตรวจสอบ SW สาธารณะว่าไม่มีไวรัสก่อนใช้งาน กำหนดขั้นตอนสำหรับใช้ทั้งหน่วยงานในกรณีที่ต้องมีการปรับแก้ซอฟต์แวร์ที่กำลังใช้งานอยู่ จัดฝึกอบรมให้ผู้ใช้เข้าใจผลร้ายของโปรแกรมอันตราย
การลดปัญหาโปรแกรมอันตราย 2 ระบบปฏิบัติการจะต้องได้รับการอัพเดทให้เป็นปัจจุบันโดยการปรับด้วยโปรแกรม patch ติดตั้งโปรแกรมในเครื่องที่ใช้งานเป็นเอกเทศ (stand alone) และทดสอบ ก่อนนำไปติดตั้งในเครือข่าย สำรองแฟ้มข้อมูลสำคัญของเครื่องเอาไว้ พิจารณาการให้สิทธิ์เฉพาะการอ่านข้อมูล และเรียกโปรแกรมทำงานเท่านั้น แต่ไม่ยอมให้เขียนหรือแก้ไขข้อมูลลงในแฟ้ม ใช้โปรแกรมตรวจสอบไวรัส
การตรวจสอบการควบคุมไวรัส ประเด็นสำคัญก็คือ การป้องกันอย่างเข้มงวดด้วยการกำหนดนโยบายและขั้นตอนการปฏิบัติงานที่ดีเพื่อลดโอกาสถูกโจมตี ผู้ตรวจสอบจะต้องสัมภาษณ์ผู้ปฏิบัติงานในศูนย์ไอทีเพื่อดูว่าเข้าใจความสำคัญ และความเสี่ยงของการถูกโจมตีด้วยโปรแกรมอันตรายหรือไม่ ตรวจสอบว่ามีการทดสอบ SW ใหม่ในเครื่องที่ทำงานเป็นเอกเทศก่อนติดตั้งในเครือข่าย ตรวจสอบว่าระบบป้องกันไวรัสเป็นเวอร์ชันใหม่ และติดตั้งทั้งเครือข่าย
การควบคุม Audit Trail Audit trail หมายถึงการบันทึกกิจกรรมที่เกิดกับระบบ งานประยุกต์ และผู้ใช้ ผู้บริหารต้องพิจารณาว่าจะต้องบันทึกรายละเอียดของกิจกรรมเอาไว้มากน้อยเพียงใด การบันทึกมีสองลักษณะ การบันทึกการคีย์ข้อมูล และคำตอบของระบบ การบันทึกเหตุการณ์ ซึ่งประกอบด้วยการบันทึกหมายเลขผู้ใช้ที่เข้าสู่ระบบ และระยะเวลาที่ใช้งาน โปรแกรมที่เรียกใช้และแฟ้ม ฐานข้อมูลเครื่องพิมพ์ ฯลฯ ที่ถูกใช้งาน ประโยชน์ของ Audit trail คือ ตรวจสอบการเข้าสู่ระบบโดยไม่ได้รับอนุญาต ช่วยในการจำลองสร้างเหตุการณ์ขึ้นใหม่ ช่วยยืนยันความรับผิดชอบของแต่ละคน
การตรวจสอบ Audit Trail
กระบวนการตรวจสอบ Audit Trail ตรวจสอบว่ามีการกำหนดให้ OS จัดเก็บบันทึก audit trail ผู้ตรวจสอบสามารถใช้ SW พิเศษเรียกบันทึกมาแสดงข้อมูลเกี่ยวกับ ผู้ใช้ที่ไม่ได้รับอนุญาตหรือที่ถูกปฏิเสธ ระยะเวลาที่ไม่ได้ใช้งาน ระยะเวลาที่ผู้ใช้ กลุ่มผู้ใช้ หรือแผนก ใช้งาน ระยะเวลา log-on ถึง log-off Log-on ที่ไม่ผ่าน การเข้าถึงแฟ้มหรืองานประยุกต์ กลุ่มงานดูแลความมั่นคงมีหน้าที่ต้องรายงานเกี่ยวกับการกำกับดูแลความมั่นคง และรายงานการละเมิดความมั่นคง ผู้ตรวจสอบต้องสุ่มเลือกกรณีที่มีการละเมิดมาประเมินว่ากลุ่มงานความมั่นคงมีประสิทธิผลมากน้อยเพียงใด
สรุปการตรวจสอบระบบปฏิบัติการ การตรวจสอบ OS ไม่ได้ตรวจสอบว่า OS ทำงานดีหรือไม่ แต่ตรวจสอบว่าหน่วยงานได้มีการควบคุม OS ดีหรือไม่ ประเด็นที่ตรวจสอบก็คือ การควบคุมการกำหนดสิทธิ์ในการใช้ การควบคุมรหัสผ่าน การควบคุมไวรัส การควบคุมการจัดทำ audit trail
ความคิดเห็นเพิ่มเติม ศูนย์ไอทีจังหวัดยังไม่ค่อยได้ตระหนักถึงปัญหาของระบบปฏิบัติการ ผู้ตรวจสอบภายใน ควรตรวจสอบเพื่อแนะนำให้ผู้บริหาร จัดศูนย์ไอทีทำนโยบายที่ชัดเจนเกี่ยวกับการกำหนดสิทธิ์ในการใช้ให้รอบคอบ และส่งให้ฝ่ายบริหารประกาศ จัดทำนโยบายการใช้รหัสผ่าน สั่งให้มีซอฟต์แวร์ตรวจจับไวรัสที่ทันสมัย สั่งให้มีการจัดเก็บข้อมูลเกี่ยวกับการใช้ระบบ
Thank You !