Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
คมอ Check List ตรวจสอบเทคนคเชงลก (เลม1)
สนบสนนการตรวจสอบตามแนวปฏบตทดส าหรบการควบคมความเสยงของ
ระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ สายก ากบสถาบนการเงน ธนวาคม 2558
Version 1.0
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 1 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
สารบญ
Executive Summary 2
สรปการตรวจสอบระบบปฏบตการทางเทคนคเชงลก 3
ระบบปฏบตการ AS400 4
ระบบปฏบตการ AIX 14
ระบบปฏบตการ Window Server 27
Appendix: รายการขอเอกสารจากสง.ส าหรบการตรวจสอบเทคนคเชงลก 34
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 2 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
Executive Summary
ทมาและเหตผลความจ าเปน
ระบบเทคโนโลยสารสนเทศ (IT) นบเปนโครงสรางพนฐานส าคญทใชรองรบกลยทธและกระบวนการด าเนนธรกจดานตางๆ (Business Process) ของธนาคารพาณชย (ธพ.) จดออนหรอชองโหวของระบบ IT อาจมผลตอความปลอดภย ความถกตองและความตอเนองในการใหบรการทางการเงนแกลกคาประชาชน อกทงอาจสงผลกระทบตอภาพลกษณและความนาเชอถอของ ธพ. แตละแหงหรอระบบสถาบนการเงนโดยรวม ดงนน ธปท. จงไดจดใหมโครงการจดท าแนวปฏบตทดส าหรบการควบคมความเสยง (IT Best Practices) ดาน Operational/ IT Risk Management ของ ธพ. ทเชอมโยงกบธรกจหลก โดยมงเนนธรกรรมทมผลกระทบตอประชาชนในวงกวาง เพอให ธพ. สามารถน าไปใชเปนแนวทางในการควบคมความเสยงตนเอง (Self Control System) และพฒนาโครงสรางพนฐานระบบ IT พรอมรองรบกลยทธการขยายธรกจในอนาคต ตลอดจนใชในการพฒนาการก ากบดแลสถาบนการเงนของ ธปท. ใหทนกบววฒนาการและความเสยงทเปลยนแปลงทเกดขน โดยในป 2556 และ 2557 ไดจดท า IT Best Practices Phase 1 และ Phase 2 ทครอบคลมธรกจดานเงนฝาก ถอน และโอนเงนรวมถงการใหบรการการเงนและการช าระเงนทางอเลกทรอนกสเสรจไปแลว
ในป 2558 ทางฝตส. ไดจดท าโครงการตรวจสอบระบบปฏบตการทางเทคนคเชงลกส าหรบเครองคอมพวเตอรแมขาย โดยเนนเรองการก าหนดสทธของผใชงาน การรกษาความปลอดภยบนระบบปฏบตการ และการเกบหลกฐานหรอเหตการณในการเขาถงเครองคอมพวเตอร (Audit Log) โดยระบบปฏบตการทจะท าการตรวจสอบ ไดแก AIX AS/400 และMicrosoft Window Server ซง ธพ. สวนใหญใชเปนระบบปฏบตการหลกส าหรบเครองคอมพวเตอรแมขาย เพอใหผตรวจสอบ ธปท. สามารถน าไปใชเปนแนวทางการตรวจสอบระบบปฏบตทางเทคนคทมความซบซอน และมประสทธภาพมากขน อกทงยงเปนการลดความเสยงของการรกษาความปลอดภยทอาจจะมแนวโนมเกดขน ในกรณไมไดมการตงคาการรกษาความปลอดภยของเครอง Server อยางเหมาะสม หรอการใหสทธการเขาถงระบบปฏบตการทไมถกตอง รวมทงเปนการเพมประสทธภาพในการตรวจสอบและวเคราะหปญหาในกรณทเกดเหตการณผดปกต (IT Incidents)
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 3 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
สรปการตรวจสอบระบบปฏบตการทางเทคนคเชงลก 1. การก าหนดขอบเขตการจดท าแนวปฏบตทด
ครอบคลมกระบวนการท าธรกรรมการเงนผานชองทางอเลกทรอนกส ดงตอไปน 1. การควบคมการเขาถงระบบปฏบตการ ในการบรหารจดการบญชและสทธของผใชงาน 2. การควบคมการตงคาความปลอดภยของระบบปฏบตการ เปนการก าหนดระดบการรกษาความปลอดภย (Hardening) ของระบบ 3. การก าหนด Audit Log ส าหรบการบนทกเหตการณใหสามารถใชตดตาม ตรวจสอบการเขาใชงานระบบของผใชงาน
2. การเตรยมความพรอมผตรวจสอบ ธปท . เตรยมความพรอมผตรวจสอบ ธปท. ใหเขาใจแนวทางการตงคา Parameters ของระบบปฏบตการ AIX AS/400 และ Window Server
3. การรวบรวมขอมล เพอจดท าแนวปฏบตทด ศกษาการตงคา Parameters ทเกยวของกบการก าหนดสทธผใชงานบนระบบปฏบตการและดานรกษาความปลอดภยและการก าหนด Audit logเชน การตงคารหสผานของระบบ การก าหนดหนาททจ าเปนของกลมผใชงาน และการเกบ log บนระบบ เปนตน
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 4 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
ระบบปฏบตการ AS400
เปนระบบทพฒนาโดย IBM เพอทใชรองรบการใชงานขอมลทมความส าคญ (Sensitive Data) โดยระบบนสามารถท าใหการเกบขอมลและการประมวลผลขอมลสามารถท าไดโดยผใชหลายคนพรอมกน (Multitasking) เชนขอมลของการท าธรกรรมทางการเงนและระบบทพฒนานนใชส าหรบการเกบขอมลทมปรมาณมากๆ ขอดของระบบ AS/400 เปนระบบทวางโครงสรางสถาปตยกรรมแบบเปนล าดบชน (Layered Machine Architecture) สามารถปรบเปลยนตวอปกรณ Hardware โดยไมตองมการหยดการประมวลผลของงาน ระบบนสามารถรองรบการประมวลผลโดยเทคโนโลยการแบงพารตชนแบบโลจคล (logical partition-LPAR) โดยสามารถตดตง Software ประมวลผลหลายตวพรอมกน
Platform AS/400
รายละเอยดการตรวจสอบ คา Parameter ท Recommend
คา Baseline ของธนาคาร
คา Parameter ของธนาคาร
ความเสยงทจะเกดขน
Logical Access สวนท 1 การควบคมสทธและหนาทในการเขาถงระบบ Core Banking ทาง Logical วตถประสงค เพอใหมการควบคมการเขาถงระบบ Core Banking (AS/400) ทมประสทธภาพ โดยจ ากดการเขาถงเฉพาะผทไดรบอนญาต
(Authorized Person) และหนาททก าหนดให (Authorized Function) เทานน เพอใหมการจดการ User Profile ทเขมงวดและรดกม ทงการสราง แกไข และลบรายชอผใชงานในระบบ ซงสอดคลองกบลกษณะงานของผใชงานและนโยบายการรกษาความปลอดภยเทคโนโลยสารสนเทศ
ความเสยง การใชสทธเกนหนาททไดอนญาตจะเปนการเปดโอกาสใหผไมประสงคดสรางความเสยหายตอระบบ Core Banking การก าหนดรหสผานทงายตอการคาดเดา เชน default password ตวเลขเรยงกน มความเสยงทผไมประสงคดจะคาดเดารหสผานของผใชงานอนไดงาย ซงเออตอการสวมสทธของผใชงานอนและสามารถเขาถงระบบ Core Banking ไดโดยงาย
Best Practice ระยะเวลาในการระงบรหสผใชงานทไมไดเขาใชระบบมาระยะหนง มการจ ากดสทธในการเขาถงและการใชงานโปรแกรมอรรถประโยชน (System Utility), Command Line และชดค าสงทส าคญ
(Command) ทส าคญของระบบปฏบตการไวเฉพาะบคคลทมอ านาจหนาทเหมาะสมเทานน
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 5 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
Platform AS/400
รายละเอยดการตรวจสอบ คา Parameter ท Recommend
คา Baseline ของธนาคาร
คา Parameter ของธนาคาร
ความเสยงทจะเกดขน
การก าหนดสทธในการเขาใชทรพยากรส าคญของระบบงานตามอ านาจหนาทอยางเหมาะสม เชน การเขาถง File, Folder, Library ทส าคญ โดยค านงถงสทธในการ Read, Write, Execute, Append และ Delete เปนตน
มการระงบหรอยกเลก Default Account ทไมมความจ าเปนในการใชงานหรอไมมความจ าเปนตอการท างานของระบบ เชน Guest Accounts เปนตน รหสผานควรประกอบไปดวยตวเลข ตวอกษร และตวอกขระพเศษ
Access Control ขอ 2.4.6.2 (2)
1.1 มการแสดงขอมลเมอ log in เชน วน/เวลาทเขาระบบลาสด Parameter: QDSPSGNINF
1 ปองกนผไมหวงดลกลอบเขาใชงาน
Application Security ขอ 2.4.6.3 (7)
1.2 ระยะเวลาทระบบยนยอมให Job inactive หลงจากนนจะ take action Parameter: QINACTITV
60
1.3 Action ทจะท าหลงหมดเวลา Parameter: QINACTMSGQ
*DSCJOB
1.4 ระยะเวลาทระบบจะ End Job หากขอ 1.3 เลอก action เปน Disconnect Job Parameter: QDSCJOBITV
120
Logical Access Control ขอ 2.3.1 (7)
1.5 ใหผใชงานสามารถเขาระบบไดจากอปกรณเดยว Parameter: QLMTDEVSSN
1
Logical Access Control ขอ 2.3.1 (1)
1.6 ผใชงานสทธสง (*ALLOBJ หรอ *SERVICE) สามารถเขาระบบไดจากทใดบาง
1
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 6 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
Platform AS/400
รายละเอยดการตรวจสอบ คา Parameter ท Recommend
คา Baseline ของธนาคาร
คา Parameter ของธนาคาร
ความเสยงทจะเกดขน
Parameter: QLMTSECOFR Network Access Control ขอ 2.2.1(10)
1.7 การควบคมการเชอมตอแบบ Remote sign on Parameter: QRMTSIGN
*REJECT มความเสยงทท าใหผไมหวงดใชเปนชองทางในการเขาสระบบได
Logical Access Control ขอ 2.3.1 (6)
1.8 สทธในการเขาใชงาน Object ใหมทถกสรางขน Parameter: QCRTAUT
*EXCLUDE (ไมมการ
เปลยนแปลงสทธของผใชในกรณทมการสราง Object
ใหมเกดขน)
Logical Access Control ขอ 2.3.1 (12.1.1)
1.9 รหสผานควรเปลยนทกกวน Parameter: QPWDEXPITV
60 เกดชองโหวทผไมหวงดสามารถเขาถงเครองได (Brute Force Attack) และเปนการสมเดา password จากการรวบรวมค าศพทตางๆ (Dictionary Attacks)
Logical Access Control ขอ 2.3.1
(12.2)
1.10 รหสผานควรมความยาวไมนอยกวา xx ตวอกษร Parameter: QPWDMINLEN
8
1.11 การก าหนดความซบซอนของรหสผาน Parameter: QPWDLVL
3
Logical Access Control ขอ 2.3.1
(12.3)
1.12 ในรหสผานหามตงตวเลขตดกน Parameter: QPWDLMTAJC
1
1.13 การใชตวอกษรซ ากนในรหสผาน Parameter: QPWDLMTREP
2
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 7 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
Platform AS/400
รายละเอยดการตรวจสอบ คา Parameter ท Recommend
คา Baseline ของธนาคาร
คา Parameter ของธนาคาร
ความเสยงทจะเกดขน
1.14 รหสผานใหมทตงมตวอกษรเดมของรหสผานเดมอยในต าแหนงเดยวกน Parameter: QPWDPOSDIF
1 เกดชองโหวทผไมหวงดสามารถเขาถงเครองได (Brute Force Attack) และเปนการสมเดา password จากการรวบรวมค าศพทตางๆ (Dictionary Attacks)
Logical Access Control ขอ 2.3.1 (12.3)
1.15 ในรหสผานตองมตวเลขอยดวย Parameter: QPWDRQDDGT
1
Logical Access Control ขอ 2.3.1 (12.4)
1.16 รหสผานถกลอกเมอมการใสผด XX ครงตดกน Parameter: QMAXSIGN
3 มความเสยงทท าใหผไมหวงดใชชองโหวของระบบรกษาความปลอดภยในการเขาสระบบเพอเขาถงขอมลในเครองได
1.17 Action เมอมการใสรหสผานผดเกนจ านวนครงทก าหนด Parameter: QMAXSGNACN
3
Logical Access Control ขอ 2.3.1 (12.5)
1.18 รหสผานไมควรซ ากบรหสผานเดมทใช xx ครงทผานมา Parameter: QPWDRQDDIF
12 เกดชองโหวทผไมหวงดสามารถเขาถงเครองได (Brute Force Attack) และเปนการสมเดา password จากการรวบรวมค าศพทตางๆ (Dictionary Attacks)
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 8 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
Platform AS/400
รายละเอยดการตรวจสอบ คา Parameter ท Recommend
คา Baseline ของธนาคาร
คา Parameter ของธนาคาร
ความเสยงทจะเกดขน
Access Control ขอ 2.4.6.2 (5)
1.19 การตงคาใหมการเปลยน Password ในการ sign-on ครงแรก Parameter: PWDEXP
*YES ชวยยกระดบการรกษาความปลอดภยระบบใหดขน
สวนท 2 การควบคมการตงคาความปลอดภยของระบบ AS/400 วตถประสงค เปนการก าหนดระดบการรกษาความปลอดภย (Hardening) ของระบบ Core Banking AS/400 เพอปองกนระบบจากการขาถงโดยไมไดรบ
อนญาต ความเสยง การก าหนดระดบการรกษาความปลอดภยทต าหรอออนจะเออตอผไมประสงคดในการบกรกเขาถงระบบ Core Banking ไดโดยงาย Best Practice มการลบ ระงบ หรอยกเลก Services Application หรอ Network Protocol ทไมมความจ าเปนในการใชงาน (Hardening) System Security Management ขอ 6
2.1 ระดบการรกษาความปลอดภยของระบบ AS/400 Parameter: QSECURITY
40
มความเสยงทท าใหผไมหวงดใชชองโหวของระบบรกษาความปลอดภยในการเขาสระบบเพอ
เขาถงขอมลในเครองได
Logical Access Control ขอ 2.3.1
(9)
2.2 การตงคาอปกรณทมาเชอมตอโดยตรงกบ OS/400โดยอตโนมต Parameter: QAUTOCFG
0 ความเสยงจากการเขาใชงานจากอปกรณทไมไดรบอนญาต 2.3 จ านวน Virtual Device ทระบบสรางให
ส าหรบ remote user Parameter: QAUTOVRT
0
Logical Access Control ขอ 2.3.1 (3.1)
2.4 อนญาตใหมการเกบ Password ทถกถอดรหสไวแลวบนระบบ Parameter: QRETSVRSEC
0 มความเสยงทท าใหผไมหวงดใชชองโหวของระบบรกษาความปลอดภยในการเขาสระบบเพอ
เขาถงขอมลในเครองได
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 9 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
Platform AS/400
รายละเอยดการตรวจสอบ คา Parameter ท Recommend
คา Baseline ของธนาคาร
คา Parameter ของธนาคาร
ความเสยงทจะเกดขน
Input Validation ขอ 1
2.5 การตงคาในกรณถามการใสขอมล (Input) ผดพลาดบนระบบ (Error) Parameter: QDEVRCYACN
*DSCMSG
Application Security ขอ 2.4.6.3 (7)
2.6 การตงคาของงานทไมไดถก run (Inactive Job) และผาน Time-out ของระบบไปแลว Parameter: QINACTMSGQ
*DSCJOB
ความเสยงจากผไมประสงคดแอบใชเครองท log-on คางไว
Logical Access Control ขอ 2.3.1 (4)
2.7 การตงคาไมใหมการปรบเปลยนสทธของผใชเนองจากลงโปรแกรมใหม Parameter : QUSEADPAUT
*NO
Logical Access Control ขอ 2.3.1 (6)
2.8 การตงคาไมใหผใชทไมมสทธเขาไปแกไข QSYS.Lib ซงเปน Library ของระบบ Parameter : QPWFSERVER
*EXCLUDE
สวนท 3 การก าหนด Audit Log วตถประสงค เพอก าหนดระดบการเกบขอมล Log การเขาใชงานระบบ Core Banking AS/400 ทเพยงพอตอการสอบทานเหตการณยอนหลง โดยขอมล
Log ของระบบ AS/400 นนเมอถกบนทกในระบบแลวตองมนใจไดวาจะไมสามารถแกไขหรอเปลยนแปลงได ความเสยง 1.การไมบนทกการเขาถงระบบสารสนเทศ ท าใหไมสามารถตรวจสอบความผดปกตยอนหลงได และไมสามารถหาขอมลทส าคญทจะชวยเปนแนวทางการแกไข
ปญหา (Detection) รวมทงวธการแกไขทจะเกดขน (Prevention) ในอนาคตได Best Practice System Security Management
จดใหมการจดเกบบนทกเหตการณดงตอไปนอยางมนคงปลอดภย 1. บนทกรองรอยกจกรรมการท าธรกรรม (Transaction Log) 2. บนทกการเขาถงระบบงาน (Access Log) โดยบญชผใชทกประเภท
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 10 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
Platform AS/400
รายละเอยดการตรวจสอบ คา Parameter ท Recommend
คา Baseline ของธนาคาร
คา Parameter ของธนาคาร
ความเสยงทจะเกดขน
3. บนทกการด าเนนงาน (Activity Log) ทส าคญ โดยอยางนอยตองครอบคลม การเปลยนแปลงแกไขโครงสรางฐานขอมล และการเปลยนแปลงแกไขขอมล ( Update/ Insert/ Delete) ในตารางทส าคญ การเปลยนแปลงการตงคาความปลอดภยของระบบ การเขาถง Object ทส าคญของระบบ การเปลยนแปลงแกไขบญชและสทธของผใชงาน
โดยบนทกดงกลาวตองถกจดเกบเปนระยะเวลาอยางนอย 90 วน
System Security Management
ขอ 12
3.1 มการเปดใช audit log Parameter: QAUDCTL
*AUDLVL *OBJAUD
*NOQTEMP
มความเสยงทจะไมสามารถหาขอมลทส าคญรวมถงหาแนว
ทางการแกไขปญหา (Detection) และวธการแกไขท
จะเกดขน (Prevention) ในอนาคตไดรวมถง จะท าใหไม
สามารถตรวจสอบความผดปกตยอนหลงได
3.2 บนทกการด าเนนงาน (Activity Log) ทส าคญ Parameter: QAUDLVL
*AUTFAIL *DELETE *OBJMGT *PGMFAIL *SAVRST
*SECURITY *SERVICE *SYSMGT *CREATE
3.3 Action ทระบบจะท าเมอไมสามารถเขยน Audit log ได Parameter: QAUDENDACN
*NOTIFY
3.4 ตงคาใหมการ Audit เมอม Object ใหม *ALL
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 11 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
Platform AS/400
รายละเอยดการตรวจสอบ คา Parameter ท Recommend
คา Baseline ของธนาคาร
คา Parameter ของธนาคาร
ความเสยงทจะเกดขน
Parameter: QCRTOBJAUD Appendix User Profile
Special User Classes Special User Classes Authority *SECOFR *SECADM *PGMR *SYSOPR *USER *ALLOBJ ALL 10 or 20 10 or 20 10 or 20 10 or 20 *SECADM ALL ALL *JOBCTL ALL 10 or 20 10 or 20 ALL *SPLCTL ALL *SAVSYS ALL 10 or 20 10 or 20 ALL 10 or 20 *SERVICE ALL *AUDIT ALL
*IOSYSCFG ALL Configuration
Parameters Description *ALL ค าสงใหสทธผใชสามารถใชและเขาถงโปรแกรมและ Object บนระบบ
*ALLOBJ อนญาตใหสทธผใชสามารถใชทก Object บนระบบ *AUDIT อนญาตใหสทธผใชสามารถใชค าสงทเกยวของกบการตรวจสอบบนระบบ
*AUTFAIL ตรวจสอบวามการเขาสระบบทผดพลาดหรอลมเหลว
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 12 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
*AUDLVL การตงคาเกยวของกบการตรวจสอบการใชค าสงบนระบบ *CREATE ค าสงการสราง Object *DELETE ค าสงการลบ Object *DSCJOB ค าสงการยกเลกการเชอมตอกบงานทท าอย *DSCMSG ค าสงการยกเลกการเชอมตอกบงานทท าอยและแสดงขอความในระบบทผดพลาด *ENDJOB ค าสงการปดงานทท าอย *EXCLUDE ค าสงการระงบการเขาถงโปรแกรมและ Object บนระบบ *JOBCTL อนญาตใหสทธผใชสามารถใชค าสงทเกยวของกบการ Run Batch และการพมพผลของการ Run Batch
*IOSYSCFG อนญาตใหสทธผใชสามารถใชค าสงทเกยวของกบการปรบเปลยนขอมลทปอนเขาและออกจากระบบ *NOTIFY ค าสงทแจงเตอนสงทผดปกตตางๆ (Error Message) *OBJAUD การตงคาเกยวของกบการตรวจสอบการใช Object บนระบบ *OBJMGT การแจงเตอนเมอมการยาย Object รวมถงการเปลยนชอ Object ตางๆ *PGMFAIL การแจงเตอนเมอมโปรแกรมท างานผดพลาด
*PGMR Programmer Profile *SAVSYS อนญาตใหสทธผใชสามารถใชค าสงทเกยวของกบการ Save และ Restore Object บนระบบ *SAVRST การแจงเตอนเมอมการ Save และ Restore Object และโปรแกรมบนระบบ *SECADM อนญาตใหสทธผใชสามารถใชค าสงทเกยวของกบการใหสทธผใชระบบได และ Security Admin Profile *SECOFR Security Officer Profile
*SECURITY การแจงเตอนเมอมการตงคารกษาความปลอดภย *SERVICE อนญาตใหสทธผใชสามารถใชค าสงทเกยวของกบการปรบคาการใชทเกยวของกบ Software *SPLCTL อนญาตใหสทธผใชสามารถใชค าสงทเกยวของกบการจดล าดบการ Run Batch *SYSMGT การแจงเตอนเมอมการจดการคา Parameter บนระบบ *SYSOPR System Operator Profile *USER User Profile
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 13 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
Security Level
Parameters Description 10 ผใชไมจ าเปนตองลงชอเขาใชบนระบบและไมมการรกษาความปลอดภย 20 ผใชจ าเปนตองลงชอเขาใชบนระบบโดยสามารถเขาไดทก Object บนระบบ 30 ผใชจ าเปนตองลงชอเขาใชบนระบบโดยจ าเปนตองมการควบคมดานความปลอดภย 40 ผใชจ าเปนตองลงชอเขาใชบนระบบโดยจ าเปนตองมการควบคมดานความปลอดภยและการตรวจสอบความถกตองของชอ
ผใชและรหสผานทกครง 50 ผใชจ าเปนตองลงชอเขาใชบนระบบโดยจ าเปนตองมการควบคมดานความปลอดภยสงสดและการตรวจสอบความถกตองของ
ชอผใชและรหสผานสงสดทกครง Software Support Lifecycle
Product Name Version General Availability End of Support OS/400 5.1.x 25 May-2001 30 Sep 2005 OS/400 5.2.x 30 Aug 2002 30 Apr 2007 i5/OS 5.3.x 11 Jun 2004 30 Apr 2009 i5/OS 5.4.x 14 Feb 2006 30 Sep 2013 IBM i 6.1.x 21 Mar 2008 30 Sep 2015 IBM i 7.1.x 23 Apr 2010 IBM i 7.2.x 02 May 2014
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 14 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
ระบบปฏบตการ AIX
AIX (Advanced Interactive eXecutive) คอ Operating Systems ท Run บน Hardware ของเครอง IBM pSeries (RS/6000 ในอดต) ซงมพนฐานมาจากระบบปฏบตการ UNIX ทงน ระบบปฏบตการ AIX สามารถ run ไดบน Hardware หลากหลาย platform ทง pSeries , System/370 Mainframe หรอแมกระทง iSeries แตโดยมากมก Run บน Platform pSeries ทใช CPU chip “POWER” ของ IBM ซงระบบปฏบตการ AIX ไดเรมพฒนาขนในป 1986 และเรมมขายเปน Commercial ตงแตป 1990 เปนตนมา
Platform AIX รายละเอยดการตรวจสอบ คา Parameter
ท Recommend
คา Baseline
ของธนาคาร
คา Parameter
ของธนาคาร
ความเสยงทจะเกดขน
สวนท 1 การควบคมสทธและหนาทในการเขาถงระบบ Core Banking ทาง Logical
วตถประสงค เพอใหมการควบคมการเขาถงระบบ (AIX) ทมประสทธภาพ โดยจ ากดการเขาถงเฉพาะผทไดรบอนญาต (Authorized Person) และหนาทท
ก าหนดให (Authorized Function) เทานน เพอใหมการจดการ User Profile ทเขมงวดและรดกม ทงการสราง แกไข และลบรายชอผใชงานในระบบ ซงสอดคลองกบลกษณะงานของผใชงาน
และนโยบายการรกษาความปลอดภยเทคโนโลยสารสนเทศ
ความเสยง ● การใชสทธเกนหนาททไดอนญาตจะเปนการเปดโอกาสใหผไมประสงคดสรางความเสยหายตอระบบ Core Banking ● การก าหนดรหสผานทงายตอการคาดเดา เชน default รหสผาน ตวเลขเรยงกน มความเสยงทผไมประสงคดจะคาด
เดารหสผานของผใชงานอนไดงาย ซงเออตอการสวมสทธของผใชงานอนและสามารถเขาถงระบบ Core Banking ไดโดยงาย
Best Practice
● ระยะเวลาในการระงบรหสผใชงานทไมไดเขาใชระบบมาระยะหนง ● มการจ ากดสทธในการเขาถงและการใชงานโปรแกรมอรรถประโยชน (System Utility), Command Line และ
ชดค าสงทส าคญ (Command) ทส าคญของระบบปฏบตการไวเฉพาะบคคลทมอ านาจหนาทเหมาะสมเทานน ● การก าหนดสทธในการเขาใชทรพยากรส าคญของระบบงานตามอ านาจหนาทอยางเหมาะสม เชน การเขาถง File,
Folder, Library ทส าคญ โดยค านงถงสทธในการ Read, Write, Execute, Append และ Delete เปนตน
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 15 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
Platform AIX รายละเอยดการตรวจสอบ คา Parameter
ท Recommend
คา Baseline
ของธนาคาร
คา Parameter
ของธนาคาร
ความเสยงทจะเกดขน
● Best Practice มการระงบหรอยกเลก Default Account ทไมมความจ าเปนในการใชงานหรอไมมความจ าเปนตอการท างานของระบบ เชน Guest Accounts เปนตน
● รหสผานควรประกอบไปดวยตวเลข ตวอกษร และตวอกขระพเศษ
Logical Access
Control ขอ 2.3.1 (3.2)
1.1 ไมใหมการ login ดวย User deamon bin sys adm nobody uucp lpd โดยไมใชสทธ su หรอ root
ค าสงทใชเชค: lsuser -a login rlogin ชอ user account
Output ทควรจะได
ชอ user account login=false rlogin=false
กรณทไมไดมการจ ากดเขาถงของแตละผใช มความเสยงทผใชงานอาจน าไปใชผดวตถประสงค และสามารถเขาถงเปลยนแปลงขอมลในเครองได
Application Security ขอ
2.4.6.3 (7)
1.2 เมอใส รหสผาน ผดในเวลา XX วนาท จะท าการตดการเชอมตอ
Configuration file path: /etc/security/login.cfg
Parameter: logininterval
300 or less
มความเสยงทท าใหผไมหวงดใชชองโหวของระบบรกษาความปลอดภยในการเขาสระบบเพอเขาถงขอมลในเครองได
1.3 เมอใส รหสผาน ผดจ านวน XX ครง ในเวลาตามขอ
1.2 จะท าการตดการเชอมตอ
Configuration file path: /etc/security/login.cfg
10 or less
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 16 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
Platform AIX รายละเอยดการตรวจสอบ คา Parameter
ท Recommend
คา Baseline
ของธนาคาร
คา Parameter
ของธนาคาร
ความเสยงทจะเกดขน
Parameter: logindisable
1.4 Unlock อตโนมต ในเวลา XX นาทหลงจากถก lock
Configuration file path: /etc/security/login.cfg
Parameter: loginreenable
360 or greater
1.5 ระยะเวลา XX วนาท ในการใส รหสผาน
Configuration file path: /etc/security/login.cfg
Parameter: logintimeout
30 or less เกดชองโหวทผไมหวงดสามารถเขาถงเครองได (Brute Force Attack)
Logical Access
Control ขอ 2.3.1 (12.4)
1.6 Lock account เมอใส รหสผาน ผด XX ครง
Configuration file path: /etc/security/user
Parameter: loginretries
3 เกดชองโหวทผไมหวงดสามารถเขาถงเครองได (Brute Force Attack)
Logical Access
Control ขอ 2.3.1 (3.1)
1.7 ไมอนญาตให user root login แบบ remote
Configuration file path: /etc/security/user
Parameter: rlogin
rlogin=false มความเสยงทท าใหผไมหวงดใชเปนชองทางในการเขาสระบบได
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 17 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
Platform AIX รายละเอยดการตรวจสอบ คา Parameter
ท Recommend
คา Baseline
ของธนาคาร
คา Parameter
ของธนาคาร
ความเสยงทจะเกดขน
Logical Access
Control ขอ 2.3.1 (11)
1.8 รหสผานควรเปลยนทกกสปดาห
Configuration file path: /etc/security/user
Parameter: maxage = xx
xx = 12 เกดชองโหวทผไมหวงดสามารถเขาถงเครองได (Brute Force Attack)
Logical Access
Control ขอ 2.3.1 (12.2)
1.9 รหสผานควรมความยาวไมนอยกวา xx ตวอกษร
Configuration file path:/etc/security/user
Parameter: minlen = xx
xx = 8
เกดชองโหวทผไมหวงดสามารถเขาถงเครองได (Brute Force Attack) และเปนการสมเดา password จากการรวบรวมค าศพทตางๆ (Dictionary Attacks)
Logical Access
Control ขอ 2.3.1 (12.3)
1.10
รหสผานควรมตวอกษรไมนอยกวา
Configuration file path: /etc/security/user
Parameter: minalpha=xx
xx = 2
Logical Access
Control ขอ 2.3.1 (12.3)
1.11
รหสผานควรมอกขระพเศษไมนอยกวา
Configuration file path:/etc/security/user
Parameter: minspecialchar=xx
xx = 2
System Security
Management
ขอ.3.2 (16)
1.12
ปดไมใหผใช Remote เขาถงระบบไดเนองจากมการสง Usernames และ รหสผาน เปน Clear text ซงไมปลอดภย
Configuration file path:/etc/inetd.conf.
ตองไมมคาดงตอไปนใน Config File:
Parameter: /usr/bin/rcp
เกดชองโหวทผไมหวงดสามารถดกจบ (sniffer) Username Password ได
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 18 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
Platform AIX รายละเอยดการตรวจสอบ คา Parameter
ท Recommend
คา Baseline
ของธนาคาร
คา Parameter
ของธนาคาร
ความเสยงทจะเกดขน
Parameter: chmod ugo= /usr/bin/rcp
chmod ugo= /usr/bin/rlogin
chmod ugo= /usr/bin/rsh
/usr/bin/rlogin
/usr/bin/rsh
Logical Access
Control ขอ 2.3.1 (12.3)
1.14
การใชตวอกษรซ ากนในรหสผาน
Configuration file path: /etc/security/user
Parameter: maxrepeats = xx
xx = 2 เกดชองโหวทผไมหวงดสามารถเขาถงเครองไดหรอเขาสระบบงาน (Brute Force Attack) และเปนการสมเดา password จากการรวบรวมค าศพทตางๆ (Dictionary Attacks)
Logical Access
Control ขอ 2.3.1 (3.2)
1.15
การจ ากดการเขาถง User root ผานกลมของ Super User (SU)
Configuration file path:/etc/security/user
กรณเปน Super User Parameter: su=true sugroups=system root
กรณเปน User ทวไป Parameter: su=false Usergroups=User Group Name
ตรวจสอบจาก Policy ของธนาคาร
กรณทไมไดมการจ ากดเขาถง User root มความเสยงทผใชงานอาจน าไปใชผดวตถประสงค และสามารถเขาถงเปลยนแปลงขอมลในเครองได
Logical Access
1.16
ในรหสผานตองมตวเลขอยดวย xx = 1 เกดชองโหวทผไมหวงดสามารถเขาถงเครองไดหรอเขาสระบบงาน
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 19 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
Platform AIX รายละเอยดการตรวจสอบ คา Parameter
ท Recommend
คา Baseline
ของธนาคาร
คา Parameter
ของธนาคาร
ความเสยงทจะเกดขน
Control ขอ 2.3.1 (12.3)
Configuration file path:/etc/security/user
Parameter: mindigit = XX
(Brute Force Attack) และเปนการสมเดา password จากการรวบรวมค าศพทตางๆ (Dictionary Attacks)
Logical Access
Control ขอ 2.3.1 (12.4)
1.17
รหสผานถกลอกเมอมการใสผด XX ครงตดกน กรณทการ Login โดยใช Secure Shell(SSH)
Configuration file path: /etc/ssh/sshd_config
Parameter: MaxAuthTries xx
xx = 3 เกดชองโหวทผไมหวงดสามารถเขาถงเครองไดหรอเขาสระบบงาน (Brute Force Attack)
Logical Access
Control ขอ 2.3.1 (12.5)
1.18
รหสผานไมควรซ ากบรหสผานเดมทใช xx ครงทผานมา
Configuration file path: /etc/security/user
Parameter: histsize=XX
xx = 12 เกดชองโหวทผไมหวงดสามารถเขาถงเครองไดหรอเขาสระบบงาน (Brute Force Attack)
Access Control
ขอ 2.4.6.2 (5)
1.19
การตงคาตองใหมการเปลยน รหสผาน หลงจากหมดอาย
Configuration file path: /etc/security/user
Parameter : maxexpired=xx
xx = 1 เกดชองโหวทผไมหวงดสามารถเขาถงเครองหรอเขาสระบบงานได (Brute Force Attack)
Application Security ขอ
1.20
การตงคา Timeout เมอมการไมใชงาน กรณทการ Login โดยใช SSH (Seconds)
xx = 300 ,
yy = 0
มความเสยงทท าใหผไมหวงดใชเปนชองทางในการเขาสระบบได
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 20 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
Platform AIX รายละเอยดการตรวจสอบ คา Parameter
ท Recommend
คา Baseline
ของธนาคาร
คา Parameter
ของธนาคาร
ความเสยงทจะเกดขน
2.4.6.3 (7) Configuration file path: /etc/ssh/sshd_config
Parameter: ClientAliveCountMax XX ClientAliveInterval YY
สวนท 2 การควบคมการตงคาความปลอดภยของระบบ AIX
วตถประสงค เปนการก าหนดระดบการรกษาความปลอดภย (Hardening) ของระบบ Core Banking AIX เพอปองกนระบบจากการขาถงโดยไมไดรบอนญาต
ความเสยง การก าหนดระดบการรกษาความปลอดภยทต าหรอออนจะเออตอผไมประสงคดในการบกรกเขาถงระบบ Core Banking ไดโดยงาย
Best Practice มการลบ ระงบ หรอยกเลก Services Application หรอ Network Protocol ทไมมความจ าเปนในการใชงาน (Hardening)
Application Security ขอ
2.4.6.3 (4)
2.1 ปดการตงคาไมใหเครอง Server มการตอบกลบในกรณทสง Broadcast มาและปองกนการโจมตจากการสง Packet จ านวนมาก (Smurf Attack)
Configuration file path: /etc/tunables/nextboot
Parameter: bcastping = xx
xx = 0
มความเสยงทจะท าใหเกดการหยดชะงกตอเครอง Server จากการใชทรพยากรของระบบเครอขาย (Dos Atttack)
Application Security ขอ
2.4.6.3 (4)
2.2 ปดการตงคาไมใหเครอง Server มการตอบกลบจากการสงขอมลจากระบบเครอขาย (IP Source Route Attack)
xx = 0
มความเสยงทจะน าขอมลบนระบบเครอขายมาใชโจมตได (Bypass Security Restrictions)
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 21 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
Platform AIX รายละเอยดการตรวจสอบ คา Parameter
ท Recommend
คา Baseline
ของธนาคาร
คา Parameter
ของธนาคาร
ความเสยงทจะเกดขน
Configuration file path: /etc/tunables/nextboot
Parameter: icmpaddressmask = xx
udp_pmtu_discover = xx
ipsrcrouterecv = xx
nonlocsrcroute = xx
Application Security ขอ
2.4.6.3 (4)
2.3 ปดการใชค าสง Core Dumps
Configuration file path: /etc/security/limits
Parameter: core = xx core_hard = xx
fullcore = yy
xx = 0
yy = 0
เนองจากมโอกาสทสามารถโดนโจมตจากผทไมหวงดเพอทจะเอารหสผาน หรอขอมลทส าคญออกมา
Logical Access
Control ขอ 2.3.1 (9)
2.4 ปดการไมใหมการ Login โดยไมใชรหสผาน
Configuration file path: /etc/ssh/sshd_config
Parameter: PermitEmptyรหสผาน xx
xx = no มความเสยงทท าใหผไมหวงดใชชองโหวของระบบรกษาความปลอดภยในการเขาสระบบเพอเขาถงขอมลใน
เครองได
Logical Access
2.5 การตงคาอนญาตและปฏเสธการเขาใชของผใช และกลมของผใชงาน
กรณทไมไดมการจ ากดเขาถงของแตละกลมผใช มความเสยงทผใชงานอาจน าไปใชผดวตถประสงค และ
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 22 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
Platform AIX รายละเอยดการตรวจสอบ คา Parameter
ท Recommend
คา Baseline
ของธนาคาร
คา Parameter
ของธนาคาร
ความเสยงทจะเกดขน
Control ขอ 2.3.1 (3.2)
Configuration file path: /etc/ssh/sshd_config
Parameter: AllowUsers <userlist> AllowGroups <grouplist> DenyUsers <userlist> DenyGroups <grouplist>
สามารถเขาถงเปลยนแปลงขอมลในเครองได
สวนท 3 การก าหนด Audit Log
วตถประสงค เพอก าหนดระดบการเกบขอมล Log การเขาใชงานระบบ Core Banking AIX ทเพยงพอตอการสอบทานเหตการณยอนหลง โดยขอมล Log ของระบบ AIX นนเมอถกบนทกในระบบแลวตองมนใจไดวาจะไมสามารถแกไขหรอเปลยนแปลงได
ความเสยง 1.การไมบนทกการเขาถงระบบสารสนเทศ ท าใหไมสามารถตรวจสอบความผดปกตยอนหลงได และไมสามารถหาขอมลทส าคญทจะชวยเปนแนวทางการแกไขปญหา (Detection) รวมทงวธการแกไขทจะเกดขน (Prevention) ในอนาคตได
Best Practice
System Security Management จดใหมการจดเกบบนทกเหตการณดงตอไปนอยางมนคงปลอดภย
1. บนทกรองรอยกจกรรมการท าธรกรรม (Transaction Log) 2. บนทกการเขาถงระบบงาน (Access Log) โดยบญชผใชทกประเภท 3. บนทกการด าเนนงาน (Activity Log) ทส าคญ โดยอยางนอยตองครอบคลม
การเปลยนแปลงแกไขโครงสรางฐานขอมล และการเปลยนแปลงแกไขขอมล ( Update/ Insert/ Delete) ในตารางทส าคญ การเปลยนแปลงการตงคาความปลอดภยของระบบ การเขาถง Object ทส าคญของระบบ การเปลยนแปลงแกไขบญชและสทธของผใชงาน
โดยบนทกดงกลาวตองถกจดเกบเปนระยะเวลาอยางนอย 90 วน
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 23 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
Platform AIX รายละเอยดการตรวจสอบ คา Parameter
ท Recommend
คา Baseline
ของธนาคาร
คา Parameter
ของธนาคาร
ความเสยงทจะเกดขน
System Security
Management
ขอ.3.2 (12)
3.1 มการเปดใช audit log
Path: /etc/security/audit
Parameter: Binmode, Streammode
Binmode= on
หรอ
Streammode=on
มความเสยงทจะไมสามารถหาขอมลทส าคญรวมถงหาแนวทางการแกไข
ปญหา (Detection) และวธการแกไขทจะเกดขน (Prevention) ในอนาคตไดรวมถง จะท าใหไมสามารถตรวจสอบความผดปกตยอนหลงได
System Security
Management
ขอ.3.2 (12)
3.2 บนทกการด าเนนงาน (Activity Log) ทส าคญ
Path: /etc/security/audit
Parameter: general, objects
Classes:
general=USER_SU, รหสผาน_Change ,FILE_Unlink,FILE_Link,FILE_Rename, FS_Chdir,FS_Chroot, PORT_Locked, PORT_Change,FS_Mkdir, FS_Rmdir
objects= S_ENVIRON_WRITE, S_GROUP_WRITE, S_LIMITS_WRITE,S_LOGIN_WRITE, S_PASSWD_READ, S_PASSWD_WRITE,S
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 24 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
Platform AIX รายละเอยดการตรวจสอบ คา Parameter
ท Recommend
คา Baseline
ของธนาคาร
คา Parameter
ของธนาคาร
ความเสยงทจะเกดขน
_USER_WRITE, AUD_CONFIG_WR
Appendix Configuration
Parameters Description
u(User) ค าสงเรยกใหการปรบเปลยนของหนาทของผใช
g(Group) ค าสงเรยกใหการปรบเปลยนของหนาทของกลมผใช
o(Other) ค าสงเรยกใหการปรบเปลยนของหนาทของผใชอนๆ
adm บญชผใชพนฐาน (Local User) บนระบบซงสามารถท าหนาท Monitor Status หรอ Service ส าคญ
bcastping ค าสงใหเครอง Server สงการตอบกลบในกรณทเครอง Client หรอ Server อนๆมการตรวจเชคระบบทงเครอขาย(Broadcast) เพอทดสอบวา เครองตนทางและปลายทางเครองใดสามารถสอสารกนผานระบบเครอขายได (Ping)
bin บญชผใชพนฐานซงท าหนาทชวยแยก Directory ซงท าหนาทบรรจ Files ของผใชแตละคน
binmode เปดการตรวจสอบ Files ชวคราวทถกเรยกดหรอประมวลผลไปแลว (Temporary Files)
chmod ค าสงใชเปลยน Mode ของ Services หรอ Command Line ตางๆทถกเขยนไว
Core แกนหลกของ CPU บนตวเครอง Server
Core_hard แกนหลกอปกรณ Hardware บนตวเครอง Server
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 25 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
deamon บญชผใชพนฐานซงท าหนาทชวยให Process ตางๆบน O/S ใชขอมลทเกยวของกบ Process นนๆไดถกตอง
default ค าสงการปรบเปลยนคาเรมตนของ Command line
Fullcore การน าเอาขอมลทงหมดในหนวยความจ า (RAM) ณ ขณะหนงออกมาครบ
icmpaddressmask ค าสงใหเครอง Server สงการตอบกลบในกรณทเครอง Client หรอเครอง Server อนๆมการตรวจเชคในกลมของ IP (Subnet Mark) ของเครอง Server เพอทดสอบวาเครองตนทางและปลายทางเครองใดสามารถสอสารกนผานระบบเครอขายได
ipsrcrouterecv ค าสงใหเครอง Server สงการตอบกลบในกรณทเครองตนทางทมการตรวจเชควาเครองใดสามารถสอสารกนผานระบบเครอขายได
lpd บญชผใชพนฐานใหเครอง Server นนท าหนาทเปน Printer Server
nobody บญชผใชพนฐานซงท าหนาทอนญาตใหผใชอน Remote เพอทจะ Print งานบน Printer Server ในระดบเครอขาย (Network File System)
nonlocsrcroute ค าสงใหเครอง Server สงการตอบกลบในกรณทเครอง Client หรอ Server อนๆมการตรวจเชกนอกกลมของ IP เครอง Server เพอทดสอบวา เครองตนทางและปลายทางเครองใดสามารถสอสารกนผานระบบเครอขายได
sys บญชผใชพนฐานซงท าหนาทอนญาตใหตดตงโปรแกรมประยกต แบบ client/server ทยนยอมใหเครอง client ในการเขาถงและประมวลผลขอมลทเกบบนเครอง server ถาอยบนคอมพวเตอรเครองเดยวกน
Streamode เปดการตรวจสอบ Files ชวคราวทก าลงถกประมวลผลอย
udp_pmtu_discover ค าสงใหเครอง Server สงการตอบกลบในกรณทเครองตนทางมการแยกสง Packet (Packet Fragmentation)
uucp บญชผใชพนฐานซงท าหนาทอนญาตใหผใชอนสามารถท าการคดลอกขอมลในระดบเครอขาย
Configuration Directory
Directory Description
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 26 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
../etc/inetd.conf. Folders ใชปรบเปลยนคาการจดการ Service ของตวระบบ
../etc/security/audit Folders ใชปรบเปลยนคาการตรวจสอบ ของตวระบบ
../etc/security/limits Folders ส าหรบจดการใหผใชบางคนสามารถใชค าสงเฉพาะหรอเขาถงตวความจ าของ CPU ของตวเครอง
../etc/security/login.cfg Folders ส าหรบจดการและตงคา Login ของตวระบบ
../etc/ssh/sshd_config Folders ส าหรบจดการและตงคา Secure Shell ของตวระบบ
../etc/tunables/nextboot Folders ส าหรบความปลอดภยในระดบเครอขายของตวระบบ
Software Support Lifecycle
Product Name General Availability End of Support AIX 7 September 10, 2010 Not Announced AIX 6 November 9, 2007 Not Announced
AIX V5.3 August 13, 2004 April 30, 2012 AIX V5.2 October 18, 2002 April 30, 2009 AIX V5.1 May 4, 2001 April 1, 2006
ระบบปฏบตการ Window
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 27 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
Windows Server เปนระบบปฏบตการส าหรบเครองคอมพวเตอรแมขายทพฒนาโดยบรษทไมโครซอฟท ซงสามารถท าใหการเกบขอมลและการประมวลผลขอมลสามารถท าไดโดยผใชหลายคนพรอมกน (Multitasking) ใหบรการ Services หลากหลายขนกบ Application ทตดตงบนระบบปฏบตการ เชน ระบบฐานขอมล เวบเซฟเวอร เปนตน มความเสถยร และความสามารถในการจดการสทธ เชน Active Directory, Group policy เปนตน
Platform Windows
รายละเอยดการตรวจสอบ คา Parameter ท Recommend
คา Baseline ของธนาคาร
คา Parameter ของธนาคาร
ความเสยงทจะเกด
Logical Access สวนท 1 การควบคมการเขาถงระบบปฏบตการ Windows วตถประสงค ความเสยง Best Practice
Logical Access Control ขอ 2.3.1
(11)
1.1 ปดการใชงาน Build-in Guest account Parameter: Guest Account status
Disabled มความเสยงทท าใหผไมหวงดใชเปนชองโหวในการเขาถงเครองได โดยการสมเดา User/Password จากการรวบรวมค าศพทตางๆ (Dictionary Attacks) (Brute Force Attack)
Logical Access 1.2 สทธในการท าตวเสมอนเปนสวนหนงของ
ระบบปฏบตการ Not defined มความเสยงทผไมหวงดจะใช
เปนชองทางเขาสระบบ
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 28 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
Platform Windows
รายละเอยดการตรวจสอบ คา Parameter ท Recommend
คา Baseline ของธนาคาร
คา Parameter ของธนาคาร
ความเสยงทจะเกด
Control ขอ 2.3.1 (4)
Parameter: Act as part of the operating system
ปฏบตการของเครอง Server ไดโดยไมผานระบบรกษาความปลอดภย หรอผานในระดบต า
1.8 หาม Log on เขามาในลกษณะ Service Parameter: Deny log on as a service
Not defined
Logical Access
Control ขอ 2.3.1 (12.4)
1.11 Locked Account เมอมการใสรหสผานผด XX ครงตดกน Parameter: Account lockout threshold
3 มความเสยงทท าใหผไมหวงดใชเปนชองโหวในการเขาถงเครองได โดยการสมเดา User/Password จากการรวบรวมค าศพทตางๆ (Dictionary Attacks) (Brute Force Attack)
1.13 ระยะเวลากอนท windows จะท าการ reset จ านวนครงทใสรหสผานผดเปน 0 Parameter: Reset account lockout counter after
99999
1.14 ระยะเวลาท lock account ผใชทเดารหสผด Parameter: Account lockout duration
0 มความเสยงทท าใหผไมหวงดใชเปนชองโหวในการเขาถงเครองได โดยการสมเดา User/Password จากการรวบรวมค าศพท
Logical Access Control ขอ 2.3.1
(12.1.1)
1.12 รหสผานควรเปลยนทก XX วน 60
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 29 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
Platform Windows
รายละเอยดการตรวจสอบ คา Parameter ท Recommend
คา Baseline ของธนาคาร
คา Parameter ของธนาคาร
ความเสยงทจะเกด
Parameter: Maximum password age
ตางๆ (Dictionary Attacks) (Brute Force Attack)
Logical Access Control ขอ 2.3.1
(12.2)
1.15 รหสผานควรมความยาวไมนอยกวา xx ตวอกษร Parameter: Minimum password length
8
Logical Access Control ขอ 2.3.1
(12.3)
1.9 การก าหนดความซบซอนของรหสผาน Parameter: Password must meet complexity requirement
Enable
Logical Access Control ขอ 2.3.1
(12.5)
1.16 รหสผานไมควรซ ากบรหสผานเดมทใช xx ครงทผานมา Parameter: Enforce password history
12
System Security Management
2.3.2 (16)
1.10 เกบรหสผานแบบทสามารถถอดรหสกลบได (Plain Text) Parameter: Store password using reversible encryption
Disable
สวนท 2 การควบคมการตงคาความปลอดภยของ Windows (Security Option) วตถประสงค ความเสยง
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 30 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
Platform Windows
รายละเอยดการตรวจสอบ คา Parameter ท Recommend
คา Baseline ของธนาคาร
คา Parameter ของธนาคาร
ความเสยงทจะเกด
Best Practice
Logical Access Control ขอ
2.3.1(9)
2.1 หามใช Local account Logon ผาน Network services โดยไมใชรหสผาน Parameter: Limit local account use of blank passwords to console logon only
Enabled งายตอการเกดชองโหวทผไมหวงดสามารถเขาถงเครองโดยการใช Local Accountได (Brute Force Attack)
Logical Access Control ขอ
2.3.1(4)
2.2 หามตดตง Driver Printer บนเครอง Server Parameter: Prevent users from installing printer drivers
Enabled เกดชองโหวทเครอง Server จะตดโปรแกรมไวรสหรอโปรแกรมทผไมหวงดใชในการเขาถงเครอง
Logical Access Control ขอ 2.3.1
(12.1.1)
2.3 Machine account Password ตองเปลยนทก XX วน Parameter: Maximum machine account password age
60 เกดชองโหวทผไมหวงดสามารถเขาถงเครองได (Brute Force Attack) และเปนการสมเดา password จากการรวบรวมค าศพทตางๆ (Dictionary Attacks)
Logical Access Control ขอ 2.3.1
(12.1.3)
2.4 ให Machine account เปลยน Password อยางสม าเสมอ Parameter: Disable machine account password changes
Disabled
Application Security
ขอ 2.4.6.3(7)
2.5 ตดการเชอมตอเมอหมดระยะเวลาทตงไว Parameter: Disconnect clients when logon hours expire
Enabled เกดชองโหวทผไมหวงดสามารถเขาถงเครองได (Brute Force Attack)
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 31 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
Platform Windows
รายละเอยดการตรวจสอบ คา Parameter ท Recommend
คา Baseline ของธนาคาร
คา Parameter ของธนาคาร
ความเสยงทจะเกด
2.6 Force logoff when logon hours expire
Enabled
สวนท 3 การก าหนด Audit Log วตถประสงค ความเสยง
Best Practice
System Security Management ขอ 2.3.2 (12)
3.1 บนทกการเขาถง/ออกระบบงาน Parameter: Audit account logon event
Success, Failure มความเสยงทจะไมสามารถตรวจสอบความผดปกตยอนหลง และหาขอมลท
ส าคญชวยในการแกไขปญหา และรวมถงหาแนวทางการแกไขปญหา (Detection) และปองกนปญหาทจะ
เกดขน (Prevention) ในอนาคตได
3.2 บนทกเมอ User account/service ใชงาน sensitive privilege Parameter: Audit privilege use
Success, Failure
3.3 บนทกการด าเนนงาน (Activity Log) ทส าคญ Parameter: Audit account management
Success, Failure
3.4 บนทกการเขาใชงาน Object ของ Active directory Parameter: Audit directory service access
Success, Failure
3.5 บนทกการเขาใชงานจากเครองคอมพวเตอร
Success, Failure
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 32 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
Platform Windows
รายละเอยดการตรวจสอบ คา Parameter ท Recommend
คา Baseline ของธนาคาร
คา Parameter ของธนาคาร
ความเสยงทจะเกด
Parameter: Audit logon event 3.6 บนทกเหตการณท User เขาใช Object
Parameter: Audit object access Success, Failure
3.7 บนทกการเปลยนแปลงสทธของผใช, การเปลยนแปลง Policies Parameter: Audit policy change
Success
3.8 บนทกการเปลยนแปลงของระบบ เชน restart, shutdown Parameter: Audit system event
Success
3.9 บนทกรายละเอยดการเปลยนแปลงของ Process Parameter: Audit process tracking
Success
Appendix Software Support Lifecycle
Product Name Version General Availability End of Support Windows Server 2003 Cluster Edition 09/06/2006 07/14/2015
R2 Data Center Edition 03/05/2006 07/14/2015
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 33 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
R2 Data Center Edition Service Pack 2 03/13/2007 24 months after service pack release
R2 Standard Edition, R2 Enterprise Edition 03/05/2006 07/14/2015 Service Pack 1 03/30/2005 04/14/2009 Service Pack 2 for Itanium 03/13/2007 24 months after service
pack release Windows Server 2008 ทก Edition 05/06/2008 01/14/2020 Windows Server 2012 Data Center Edition 10/30/2012 01/10/2023
R2 Data Center 11/25/2012 01/10/2023 Standard Edition 10/30/2012 01/10/2023
การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)
P a g e 34 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ
Appendix: รายการขอเอกสารจากสง.ส าหรบการตรวจสอบเทคนคเชงลก
ระบบปฏบตการ รายละเอยดรายการขอเอกสาร AS400 File Configuration ของระบบปฏบตการ ในสวนของ Security Parameter ทเกยวของกบการตงคา
Password Policy, Audit Log Setting และ Service/Network Setting AIX Print Screen หนาจอจากระบบปฏบตการหรอสง File Configurationในสวนของ Security Parameter
ทเกยวของกบการตงคา Password Policy, Account Policy และ Audit Policy ใน Path ดงน
/etc/security/login.cfg
/etc/security/user
/etc/ssh/sshd_config
/etc/tunables/nextboot
/etc/security/audit/config
Window Server Print Screen หนาจอจากระบบปฏบตการในสวนของ Security Parameter ทเกยวของกบการตงคา Password Policy, Account Lockout Policy, Security options, User Rights Assignment และ Audit Policy