- ข้อความ
- ประวัติศาสตร์
3 ไม่มีการกำหนดและบังคับใช้นโยบายรห
3 ไม่มีการกำหนดและบังคับใช้นโยบายรหัสผ่าน
จากการสอบทานการกำหนดและบังคับใช้นโยบายรหัสผ่านระบบปฏิบัติการ HP-UX เครื่องแม่ข่าย GFUX102 และ GFUX125 พบว่า ปัจจุบันไม่มีการกำหนดและบังคับใช้นโยบายรหัสผ่าน เพื่อควบคุมและรักษาความปลอดภัยบัญชีผู้ใช้งาน เช่นความพยายามเข้าสู่ระบบปฏิบัติการโดยผู้ที่ไม่ได้รับอนุญาตโดยการคาดเดารหัสผ่านของบัญชีผู้ใช้งานที่ไม่มีการใช้งานรหัสผ่านที่มีความซับซ้อนอย่างเพียงพอ สูง การไม่กำหนดและบังคับใช้นโยบายรหัสผ่านก่อให้เกิดความเสี่ยงทางด้านความปลอดภัยเทคโนโลยีสารสนเทศ เช่นผู้ใช้งานอาจไม่ดำเนินการกำหนดรหัสผ่านที่มีความซับซ้อนอย่างเพียงพอและเปลี่ยนรหัสผ่านอย่างสม่ำเสมอ เพื่อป้องกันการคาดเดารหัสผ่านจากผู้ไม่ประสงค์ดีหรือผู้บุกรุกระบบ ควรมีการกำหนดและบังคับใช้นโยบายรหัสผ่านเพื่อป้องกันความเสี่ยงทางด้านความปลอดภัยเทคโนโลยีสารสนเทศ โดยนโยบายรหัสผ่านควรประกอบไปด้วยนโยบายดังต่อไปนี้
• ความยาวรหัสผ่าน: 6-8 ตัวอักษร
• อายุการใช้งานรหัสผ่าน: 60-90 วัน
• อายุการใช้งานรหัสผ่านขั้นต่ำ: 1 วัน
• การป้องกันการใช้งานรหัสผ่านซ้ำ: 8-12 ครั้ง
• การระงับการใช้งานรหัสผ่านกรณีใส่รหัสผ่านไม่ถูกต้อง: 3-5 ครั้ง
4 มีการอนุญาตให้เข้าสู่ระบบโดยใช้บัญชีผู้ใช้งาน Root โดยตรง
จากการสอบทานการกำหนดค่าช่องทางปลอดภัยในการเข้าสู่ระบบปฏิบัติการโดยบัญชีผู้ใช้งาน Root ในแฟ้มข้อมูล /etc/securetty และประวัติการใช้งานบัญชีผู้ใช้งานจากคำสั่ง Last พบว่า มีการอนุญาตให้ใช้งานบัญชีผู้ใช้งาน Root เพื่อเข้าสู่ระบบปฏิบัติการได้โดยตรง
ปานกลาง การอนุญาตให้สามารถเข้าสู่ระบบปฏิบัติการโดยใช้บัญชีผู้ใช้งาน Root ได้โดยตรงผ่านช่องทางเช่น Telnet ก่อให้เกิดความเสี่ยงทางด้านความปลอดภัยสารสนเทศ เช่น รหัสผ่านถูกดักจับเนื่องจากช่องทางการสื่อสารไม่ถูกเข้ารหัส รวมถึงผู้ดูแลระบบทางด้านความปลอดภัยไม่สามารถตรวจสอบย้อนกลับได้ว่าเจ้าหน้าที่ผู้ดูแลระบบท่านใดเป็นผู้ใช้งานบัญชีผู้ใช้งาน Root ควรดำเนินการกำหนดช่องทางปลอดภัยสำหรับการใช้งานบัญชีผู้ใช้งาน Root โดยใช้ Protocol ที่มีความปลอดภัย รวมถึงบังคับให้ผู้ใช้งานต้องดำเนินการพิสูจน์ตัวตนเป็นผู้ใช้งานปกติทั่วไปก่อน และดำเนินการเปลี่ยนสิทธิเป็นผู้ใช้งาน Root โดยการใช้คำสั่ง Switch user (SU) เพื่อให้คงความสามารถในการตรวจสอบย้อนกลับว่าเจ้าหน้าที่ผู้ปฏิบัติงานท่านใดเป็นผู้ใช้บัญชีผู้ใช้งาน Root ในช่วงเวลาดังกล่าว
5 มีบัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้วคงค้างอยู่บนระบบปฏิบัติการ
จากการสอบทานรายชื่อบัญชีผู้ใช้งานบนระบบปฏิบัติการ HP-UX พบว่า มีบัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้วคงค้างอยู่บนระบบ
GFUX102 บัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้วคงค้าง 18 บัญชีผู้ใช้งาน
GFUX125 บัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้วคงค้าง 12 บัญชีผู้ใช้งาน
ดูรายละเอียดเพิ่มเติมในภาคผนวก 1. ปานกลาง บัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้วคงค้างอยู่บนระบบก่อให้เกิดความเสี่ยงทางด้านการบุกรุกระบบ โดยอาศัยบัญชีผู้ใช้งานดังกล่าว เนื่องจากไม่มีผู้รับผิดชอบและยากต่อการตรวจสอบ ควรมีการสอบทานรายชื่อบัญชีผู้ใช้งานบนระบบปฏิบัติการอย่างสม่ำเสมอ โดยและระงับหรือยกเลิกบัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้ว
6 มีการใช้งานบัญชีผู้ใช้งานร่วมกันในกลุ่มผู้พัฒนาระบบ
จากการสอบทานรายชื่อบัญชีผู้ใช้งานระบบปฏิบัติการ HP-UX เครื่องแม่ข่าย GFUX102 และ GFUX125 พบว่ามีการใช้งานบัญชีผู้ใช้งานร่วมกันในกลุ่มผู้พัฒนาระบบงาน (KCSUSR01) ปานกลาง การใช้งานบัญชีผู้ใช้งานร่วมกันก่อให้เกิดความเสี่ยงทางด้านประสิทธิภาพของระบบตรวจสอบเนื่องจากไม่สามารถตรวจสอบย้อนกลับได้กรณีเกิดความผิดปกติจากการใช้งานบัญชีผู้ใช้งานที่มีการใช้งานร่วมกัน ควรมีการกำหนดบัญชีผู้ใช้งานของเจ้าหน้าที่แต่ละบุคคลอย่างชัดเจน เพื่อกำหนดความรับผิดชอบต่อการใช้งานบัญชีผู้ใช้งานส่วนบุคคล และยกเลิกบัญชีผู้ใช้งานกลางที่มีการใช้งานร่วมกัน
7 มีการใช้งานบริการทางเครือข่ายที่มีความเสี่ยงทางด้านความปลอดภัย
จากการสอบทานการเปิดใช้งานบริการทางเครือข่ายบนเครื่องแม่ข่าย GFUX102 และ GFUX125 พบว่ามีการใช้งานบริการทางเครือข่ายที่มีความเสี่ยงทางด้านการรักษาความปลอดภัยเนื่องจากไม่มีการเข้ารหัสดังนี้
• Telnet
• Ftp
• Tftp ปานกลาง การใช้งานบริการทางเครือข่ายที่ไม่มีการเข้ารหัส ก่อให้เกิดความเสี่ยงทางด้านความปลอดภัยเทคโนโลยีสารสนเทศ เช่นการถูกดักจับและขโมยรหัสผ่าน ควรมีการระงับการใช้งานบริการทางเครือข่ายที่มีความเสี่ยงทางด้านความปลอดภัยโดยใช้งานบริการทางเครือข่ายที่มีการเข้ารหัส เช่น Secure Shell และ Secure FTP เป็นการทดแทน
กรณีจำเป็นต้องใช้งาน ควรระงับการให้บริการทางเครือข่ายที่มีความเสี่ยงทางด้านความปลอดภัยผ่านเครือข่ายสาธารณะ
การควบคุมเชิงเทคนิค – ระบบจัดการฐานข้อมูล Oracle
8 ไม่มีการบังคับใช้นโยบายรหัสผ่าน และไม่มีการเปลี่ยนรหัสผ่านที่เป็นรหัสผ่านเริ่มต้นจากการติดตั้งระบบ
จากการสอบทานการกำหนดและบังคับใช้นโยบายรหัสผ่านระบบจัดการฐานข้อมูล Oracle พบว่า ปัจจุบันไม่มีการกำหนดและบังคับใช้นโยบายรหัสผ่าน เพื่อควบคุมและรักษาความปลอดภัยบัญชีผู้ใช้งาน
นอกจากนั้นแล้วจากการสอบทานการใช้งานรหัสผ่านของบัญชีผู้ใช้งานที่ติดตั้งมาพร้อมกับระบบจัดการฐานข้อมูล พบว่ามีบัญชีผู้ใช้งานจำนวน 5 บัญชีผู้ใช้งานที่ติดตั้งมาพร้อมกับระบบจัดการฐานข้อมูลยังไม่มีการเปลี่ยนรหัสผ่านจากค่าตั้งต้น ดังต่อไปนี้
• SYS
• SYSTEM
• OUTLN
• DBSNMP
• PERFSTAT สูง การไม่กำหนดและบังคับใช้นโยบายรหัสผ่านก่อให้เกิดความเสี่ยงทางด้านความปลอดภัยเทคโนโลยีสารสนเทศ เช่นผู้ใช้งานอาจไม่ดำเนินการกำหนดรหัสผ่านที่มีความซับซ้อนอย่างเพียงพอและเปลี่ยนรหัสผ่านอย่างสม่ำเสมอ เพื่อป้องกันการคาดเดารหัสผ่านจากผู้ไม่ประสงค์ดีหรือผู้บุกรุกระบบ
นอกจากนั้นรหัสผ่านของบัญชีผู้ใช้งานที่ติดตั้งมาพร้อมกับระบบจัดการฐานข้อมูลเป็นรหัสผ่านที่เป็นที่ทราบเป็นการทั่วไป การคงรหัสผ่านที่ติดตั้งมาพร้อมกับระบบก่อให้เกิดความเสี่ยงของการเข้าใช้งานกลุ่มบัญชีผู้ใช้งานดังกล่าวโดยไม่ได้รับอนุญาต
ควรมีการกำหนดและบังคับใช้นโยบายรหัสผ่านเพื่อป้องกันความเสี่ยงทางด้านความปลอดภัยเทคโนโลยีสารสนเทศ โดยนโยบายรหัสผ่านควรประกอบไปด้วยนโยบายดังต่อไปนี้
• ความยาวรหัสผ่าน: 6-8 ต
จากการสอบทานการกำหนดและบังคับใช้นโยบายรหัสผ่านระบบปฏิบัติการ HP-UX เครื่องแม่ข่าย GFUX102 และ GFUX125 พบว่า ปัจจุบันไม่มีการกำหนดและบังคับใช้นโยบายรหัสผ่าน เพื่อควบคุมและรักษาความปลอดภัยบัญชีผู้ใช้งาน เช่นความพยายามเข้าสู่ระบบปฏิบัติการโดยผู้ที่ไม่ได้รับอนุญาตโดยการคาดเดารหัสผ่านของบัญชีผู้ใช้งานที่ไม่มีการใช้งานรหัสผ่านที่มีความซับซ้อนอย่างเพียงพอ สูง การไม่กำหนดและบังคับใช้นโยบายรหัสผ่านก่อให้เกิดความเสี่ยงทางด้านความปลอดภัยเทคโนโลยีสารสนเทศ เช่นผู้ใช้งานอาจไม่ดำเนินการกำหนดรหัสผ่านที่มีความซับซ้อนอย่างเพียงพอและเปลี่ยนรหัสผ่านอย่างสม่ำเสมอ เพื่อป้องกันการคาดเดารหัสผ่านจากผู้ไม่ประสงค์ดีหรือผู้บุกรุกระบบ ควรมีการกำหนดและบังคับใช้นโยบายรหัสผ่านเพื่อป้องกันความเสี่ยงทางด้านความปลอดภัยเทคโนโลยีสารสนเทศ โดยนโยบายรหัสผ่านควรประกอบไปด้วยนโยบายดังต่อไปนี้
• ความยาวรหัสผ่าน: 6-8 ตัวอักษร
• อายุการใช้งานรหัสผ่าน: 60-90 วัน
• อายุการใช้งานรหัสผ่านขั้นต่ำ: 1 วัน
• การป้องกันการใช้งานรหัสผ่านซ้ำ: 8-12 ครั้ง
• การระงับการใช้งานรหัสผ่านกรณีใส่รหัสผ่านไม่ถูกต้อง: 3-5 ครั้ง
4 มีการอนุญาตให้เข้าสู่ระบบโดยใช้บัญชีผู้ใช้งาน Root โดยตรง
จากการสอบทานการกำหนดค่าช่องทางปลอดภัยในการเข้าสู่ระบบปฏิบัติการโดยบัญชีผู้ใช้งาน Root ในแฟ้มข้อมูล /etc/securetty และประวัติการใช้งานบัญชีผู้ใช้งานจากคำสั่ง Last พบว่า มีการอนุญาตให้ใช้งานบัญชีผู้ใช้งาน Root เพื่อเข้าสู่ระบบปฏิบัติการได้โดยตรง
ปานกลาง การอนุญาตให้สามารถเข้าสู่ระบบปฏิบัติการโดยใช้บัญชีผู้ใช้งาน Root ได้โดยตรงผ่านช่องทางเช่น Telnet ก่อให้เกิดความเสี่ยงทางด้านความปลอดภัยสารสนเทศ เช่น รหัสผ่านถูกดักจับเนื่องจากช่องทางการสื่อสารไม่ถูกเข้ารหัส รวมถึงผู้ดูแลระบบทางด้านความปลอดภัยไม่สามารถตรวจสอบย้อนกลับได้ว่าเจ้าหน้าที่ผู้ดูแลระบบท่านใดเป็นผู้ใช้งานบัญชีผู้ใช้งาน Root ควรดำเนินการกำหนดช่องทางปลอดภัยสำหรับการใช้งานบัญชีผู้ใช้งาน Root โดยใช้ Protocol ที่มีความปลอดภัย รวมถึงบังคับให้ผู้ใช้งานต้องดำเนินการพิสูจน์ตัวตนเป็นผู้ใช้งานปกติทั่วไปก่อน และดำเนินการเปลี่ยนสิทธิเป็นผู้ใช้งาน Root โดยการใช้คำสั่ง Switch user (SU) เพื่อให้คงความสามารถในการตรวจสอบย้อนกลับว่าเจ้าหน้าที่ผู้ปฏิบัติงานท่านใดเป็นผู้ใช้บัญชีผู้ใช้งาน Root ในช่วงเวลาดังกล่าว
5 มีบัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้วคงค้างอยู่บนระบบปฏิบัติการ
จากการสอบทานรายชื่อบัญชีผู้ใช้งานบนระบบปฏิบัติการ HP-UX พบว่า มีบัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้วคงค้างอยู่บนระบบ
GFUX102 บัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้วคงค้าง 18 บัญชีผู้ใช้งาน
GFUX125 บัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้วคงค้าง 12 บัญชีผู้ใช้งาน
ดูรายละเอียดเพิ่มเติมในภาคผนวก 1. ปานกลาง บัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้วคงค้างอยู่บนระบบก่อให้เกิดความเสี่ยงทางด้านการบุกรุกระบบ โดยอาศัยบัญชีผู้ใช้งานดังกล่าว เนื่องจากไม่มีผู้รับผิดชอบและยากต่อการตรวจสอบ ควรมีการสอบทานรายชื่อบัญชีผู้ใช้งานบนระบบปฏิบัติการอย่างสม่ำเสมอ โดยและระงับหรือยกเลิกบัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้ว
6 มีการใช้งานบัญชีผู้ใช้งานร่วมกันในกลุ่มผู้พัฒนาระบบ
จากการสอบทานรายชื่อบัญชีผู้ใช้งานระบบปฏิบัติการ HP-UX เครื่องแม่ข่าย GFUX102 และ GFUX125 พบว่ามีการใช้งานบัญชีผู้ใช้งานร่วมกันในกลุ่มผู้พัฒนาระบบงาน (KCSUSR01) ปานกลาง การใช้งานบัญชีผู้ใช้งานร่วมกันก่อให้เกิดความเสี่ยงทางด้านประสิทธิภาพของระบบตรวจสอบเนื่องจากไม่สามารถตรวจสอบย้อนกลับได้กรณีเกิดความผิดปกติจากการใช้งานบัญชีผู้ใช้งานที่มีการใช้งานร่วมกัน ควรมีการกำหนดบัญชีผู้ใช้งานของเจ้าหน้าที่แต่ละบุคคลอย่างชัดเจน เพื่อกำหนดความรับผิดชอบต่อการใช้งานบัญชีผู้ใช้งานส่วนบุคคล และยกเลิกบัญชีผู้ใช้งานกลางที่มีการใช้งานร่วมกัน
7 มีการใช้งานบริการทางเครือข่ายที่มีความเสี่ยงทางด้านความปลอดภัย
จากการสอบทานการเปิดใช้งานบริการทางเครือข่ายบนเครื่องแม่ข่าย GFUX102 และ GFUX125 พบว่ามีการใช้งานบริการทางเครือข่ายที่มีความเสี่ยงทางด้านการรักษาความปลอดภัยเนื่องจากไม่มีการเข้ารหัสดังนี้
• Telnet
• Ftp
• Tftp ปานกลาง การใช้งานบริการทางเครือข่ายที่ไม่มีการเข้ารหัส ก่อให้เกิดความเสี่ยงทางด้านความปลอดภัยเทคโนโลยีสารสนเทศ เช่นการถูกดักจับและขโมยรหัสผ่าน ควรมีการระงับการใช้งานบริการทางเครือข่ายที่มีความเสี่ยงทางด้านความปลอดภัยโดยใช้งานบริการทางเครือข่ายที่มีการเข้ารหัส เช่น Secure Shell และ Secure FTP เป็นการทดแทน
กรณีจำเป็นต้องใช้งาน ควรระงับการให้บริการทางเครือข่ายที่มีความเสี่ยงทางด้านความปลอดภัยผ่านเครือข่ายสาธารณะ
การควบคุมเชิงเทคนิค – ระบบจัดการฐานข้อมูล Oracle
8 ไม่มีการบังคับใช้นโยบายรหัสผ่าน และไม่มีการเปลี่ยนรหัสผ่านที่เป็นรหัสผ่านเริ่มต้นจากการติดตั้งระบบ
จากการสอบทานการกำหนดและบังคับใช้นโยบายรหัสผ่านระบบจัดการฐานข้อมูล Oracle พบว่า ปัจจุบันไม่มีการกำหนดและบังคับใช้นโยบายรหัสผ่าน เพื่อควบคุมและรักษาความปลอดภัยบัญชีผู้ใช้งาน
นอกจากนั้นแล้วจากการสอบทานการใช้งานรหัสผ่านของบัญชีผู้ใช้งานที่ติดตั้งมาพร้อมกับระบบจัดการฐานข้อมูล พบว่ามีบัญชีผู้ใช้งานจำนวน 5 บัญชีผู้ใช้งานที่ติดตั้งมาพร้อมกับระบบจัดการฐานข้อมูลยังไม่มีการเปลี่ยนรหัสผ่านจากค่าตั้งต้น ดังต่อไปนี้
• SYS
• SYSTEM
• OUTLN
• DBSNMP
• PERFSTAT สูง การไม่กำหนดและบังคับใช้นโยบายรหัสผ่านก่อให้เกิดความเสี่ยงทางด้านความปลอดภัยเทคโนโลยีสารสนเทศ เช่นผู้ใช้งานอาจไม่ดำเนินการกำหนดรหัสผ่านที่มีความซับซ้อนอย่างเพียงพอและเปลี่ยนรหัสผ่านอย่างสม่ำเสมอ เพื่อป้องกันการคาดเดารหัสผ่านจากผู้ไม่ประสงค์ดีหรือผู้บุกรุกระบบ
นอกจากนั้นรหัสผ่านของบัญชีผู้ใช้งานที่ติดตั้งมาพร้อมกับระบบจัดการฐานข้อมูลเป็นรหัสผ่านที่เป็นที่ทราบเป็นการทั่วไป การคงรหัสผ่านที่ติดตั้งมาพร้อมกับระบบก่อให้เกิดความเสี่ยงของการเข้าใช้งานกลุ่มบัญชีผู้ใช้งานดังกล่าวโดยไม่ได้รับอนุญาต
ควรมีการกำหนดและบังคับใช้นโยบายรหัสผ่านเพื่อป้องกันความเสี่ยงทางด้านความปลอดภัยเทคโนโลยีสารสนเทศ โดยนโยบายรหัสผ่านควรประกอบไปด้วยนโยบายดังต่อไปนี้
• ความยาวรหัสผ่าน: 6-8 ต
0/5000
3 ไม่มีการกำหนดและบังคับใช้นโยบายรหัสผ่านจากการสอบทานการกำหนดและบังคับใช้นโยบายรหัสผ่านระบบปฏิบัติการ HP-UX เครื่องแม่ข่าย GFUX102 และ GFUX125 พบว่า ปัจจุบันไม่มีการกำหนดและบังคับใช้นโยบายรหัสผ่าน เพื่อควบคุมและรักษาความปลอดภัยบัญชีผู้ใช้งาน เช่นความพยายามเข้าสู่ระบบปฏิบัติการโดยผู้ที่ไม่ได้รับอนุญาตโดยการคาดเดารหัสผ่านของบัญชีผู้ใช้งานที่ไม่มีการใช้งานรหัสผ่านที่มีความซับซ้อนอย่างเพียงพอ สูง การไม่กำหนดและบังคับใช้นโยบายรหัสผ่านก่อให้เกิดความเสี่ยงทางด้านความปลอดภัยเทคโนโลยีสารสนเทศ เช่นผู้ใช้งานอาจไม่ดำเนินการกำหนดรหัสผ่านที่มีความซับซ้อนอย่างเพียงพอและเปลี่ยนรหัสผ่านอย่างสม่ำเสมอ เพื่อป้องกันการคาดเดารหัสผ่านจากผู้ไม่ประสงค์ดีหรือผู้บุกรุกระบบ ควรมีการกำหนดและบังคับใช้นโยบายรหัสผ่านเพื่อป้องกันความเสี่ยงทางด้านความปลอดภัยเทคโนโลยีสารสนเทศ โดยนโยบายรหัสผ่านควรประกอบไปด้วยนโยบายดังต่อไปนี้• ความยาวรหัสผ่าน: 6-8 ตัวอักษร• อายุการใช้งานรหัสผ่าน: 60-90 วัน• อายุการใช้งานรหัสผ่านขั้นต่ำ: 1 วัน• การป้องกันการใช้งานรหัสผ่านซ้ำ: 8-12 ครั้ง• การระงับการใช้งานรหัสผ่านกรณีใส่รหัสผ่านไม่ถูกต้อง: 3-5 ครั้ง 4 มีการอนุญาตให้เข้าสู่ระบบโดยใช้บัญชีผู้ใช้งาน Root โดยตรงจากการสอบทานการกำหนดค่าช่องทางปลอดภัยในการเข้าสู่ระบบปฏิบัติการโดยบัญชีผู้ใช้งาน Root ในแฟ้มข้อมูล /etc/securetty และประวัติการใช้งานบัญชีผู้ใช้งานจากคำสั่ง Last พบว่า มีการอนุญาตให้ใช้งานบัญชีผู้ใช้งาน Root เพื่อเข้าสู่ระบบปฏิบัติการได้โดยตรง ปานกลาง การอนุญาตให้สามารถเข้าสู่ระบบปฏิบัติการโดยใช้บัญชีผู้ใช้งาน Root ได้โดยตรงผ่านช่องทางเช่น Telnet ก่อให้เกิดความเสี่ยงทางด้านความปลอดภัยสารสนเทศ เช่น รหัสผ่านถูกดักจับเนื่องจากช่องทางการสื่อสารไม่ถูกเข้ารหัส รวมถึงผู้ดูแลระบบทางด้านความปลอดภัยไม่สามารถตรวจสอบย้อนกลับได้ว่าเจ้าหน้าที่ผู้ดูแลระบบท่านใดเป็นผู้ใช้งานบัญชีผู้ใช้งาน Root ควรดำเนินการกำหนดช่องทางปลอดภัยสำหรับการใช้งานบัญชีผู้ใช้งาน Root โดยใช้ Protocol ที่มีความปลอดภัย รวมถึงบังคับให้ผู้ใช้งานต้องดำเนินการพิสูจน์ตัวตนเป็นผู้ใช้งานปกติทั่วไปก่อน และดำเนินการเปลี่ยนสิทธิเป็นผู้ใช้งาน Root โดยการใช้คำสั่ง Switch user (SU) เพื่อให้คงความสามารถในการตรวจสอบย้อนกลับว่าเจ้าหน้าที่ผู้ปฏิบัติงานท่านใดเป็นผู้ใช้บัญชีผู้ใช้งาน Root ในช่วงเวลาดังกล่าว 5 มีบัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้วคงค้างอยู่บนระบบปฏิบัติการจากการสอบทานรายชื่อบัญชีผู้ใช้งานบนระบบปฏิบัติการ HP-UX พบว่า มีบัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้วคงค้างอยู่บนระบบGFUX102 บัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้วคงค้าง 18 บัญชีผู้ใช้งานGFUX125 บัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้วคงค้าง 12 บัญชีผู้ใช้งานดูรายละเอียดเพิ่มเติมในภาคผนวก 1. ปานกลาง บัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้วคงค้างอยู่บนระบบก่อให้เกิดความเสี่ยงทางด้านการบุกรุกระบบ โดยอาศัยบัญชีผู้ใช้งานดังกล่าว เนื่องจากไม่มีผู้รับผิดชอบและยากต่อการตรวจสอบ ควรมีการสอบทานรายชื่อบัญชีผู้ใช้งานบนระบบปฏิบัติการอย่างสม่ำเสมอ โดยและระงับหรือยกเลิกบัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้ว 6 มีการใช้งานบัญชีผู้ใช้งานร่วมกันในกลุ่มผู้พัฒนาระบบจากการสอบทานรายชื่อบัญชีผู้ใช้งานระบบปฏิบัติการ HP-UX เครื่องแม่ข่าย GFUX102 และ GFUX125 พบว่ามีการใช้งานบัญชีผู้ใช้งานร่วมกันในกลุ่มผู้พัฒนาระบบงาน (KCSUSR01) ปานกลาง การใช้งานบัญชีผู้ใช้งานร่วมกันก่อให้เกิดความเสี่ยงทางด้านประสิทธิภาพของระบบตรวจสอบเนื่องจากไม่สามารถตรวจสอบย้อนกลับได้กรณีเกิดความผิดปกติจากการใช้งานบัญชีผู้ใช้งานที่มีการใช้งานร่วมกัน ควรมีการกำหนดบัญชีผู้ใช้งานของเจ้าหน้าที่แต่ละบุคคลอย่างชัดเจน เพื่อกำหนดความรับผิดชอบต่อการใช้งานบัญชีผู้ใช้งานส่วนบุคคล และยกเลิกบัญชีผู้ใช้งานกลางที่มีการใช้งานร่วมกัน 7 มีการใช้งานบริการทางเครือข่ายที่มีความเสี่ยงทางด้านความปลอดภัยจากการสอบทานการเปิดใช้งานบริการทางเครือข่ายบนเครื่องแม่ข่าย GFUX102 และ GFUX125 พบว่ามีการใช้งานบริการทางเครือข่ายที่มีความเสี่ยงทางด้านการรักษาความปลอดภัยเนื่องจากไม่มีการเข้ารหัสดังนี้• Telnet• Ftp• Tftp ปานกลาง การใช้งานบริการทางเครือข่ายที่ไม่มีการเข้ารหัส ก่อให้เกิดความเสี่ยงทางด้านความปลอดภัยเทคโนโลยีสารสนเทศ เช่นการถูกดักจับและขโมยรหัสผ่าน ควรมีการระงับการใช้งานบริการทางเครือข่ายที่มีความเสี่ยงทางด้านความปลอดภัยโดยใช้งานบริการทางเครือข่ายที่มีการเข้ารหัส เช่น Secure Shell และ Secure FTP เป็นการทดแทนกรณีจำเป็นต้องใช้งาน ควรระงับการให้บริการทางเครือข่ายที่มีความเสี่ยงทางด้านความปลอดภัยผ่านเครือข่ายสาธารณะ การควบคุมเชิงเทคนิค – ระบบจัดการฐานข้อมูล Oracle8 ไม่มีการบังคับใช้นโยบายรหัสผ่าน และไม่มีการเปลี่ยนรหัสผ่านที่เป็นรหัสผ่านเริ่มต้นจากการติดตั้งระบบจากการสอบทานการกำหนดและบังคับใช้นโยบายรหัสผ่านระบบจัดการฐานข้อมูล Oracle พบว่า ปัจจุบันไม่มีการกำหนดและบังคับใช้นโยบายรหัสผ่าน เพื่อควบคุมและรักษาความปลอดภัยบัญชีผู้ใช้งาน นอกจากนั้นแล้วจากการสอบทานการใช้งานรหัสผ่านของบัญชีผู้ใช้งานที่ติดตั้งมาพร้อมกับระบบจัดการฐานข้อมูล พบว่ามีบัญชีผู้ใช้งานจำนวน 5 บัญชีผู้ใช้งานที่ติดตั้งมาพร้อมกับระบบจัดการฐานข้อมูลยังไม่มีการเปลี่ยนรหัสผ่านจากค่าตั้งต้น ดังต่อไปนี้• SYS• SYSTEM• OUTLN• DBSNMP• PERFSTAT สูง การไม่กำหนดและบังคับใช้นโยบายรหัสผ่านก่อให้เกิดความเสี่ยงทางด้านความปลอดภัยเทคโนโลยีสารสนเทศ เช่นผู้ใช้งานอาจไม่ดำเนินการกำหนดรหัสผ่านที่มีความซับซ้อนอย่างเพียงพอและเปลี่ยนรหัสผ่านอย่างสม่ำเสมอ เพื่อป้องกันการคาดเดารหัสผ่านจากผู้ไม่ประสงค์ดีหรือผู้บุกรุกระบบนอกจากนั้นรหัสผ่านของบัญชีผู้ใช้งานที่ติดตั้งมาพร้อมกับระบบจัดการฐานข้อมูลเป็นรหัสผ่านที่เป็นที่ทราบเป็นการทั่วไป การคงรหัสผ่านที่ติดตั้งมาพร้อมกับระบบก่อให้เกิดความเสี่ยงของการเข้าใช้งานกลุ่มบัญชีผู้ใช้งานดังกล่าวโดยไม่ได้รับอนุญาต ควรมีการกำหนดและบังคับใช้นโยบายรหัสผ่านเพื่อป้องกันความเสี่ยงทางด้านความปลอดภัยเทคโนโลยีสารสนเทศ โดยนโยบายรหัสผ่านควรประกอบไปด้วยนโยบายดังต่อไปนี้• ความยาวรหัสผ่าน: 6-8 ต
การแปล กรุณารอสักครู่..
3
HP-UX เครื่องแม่ข่ายและ GFUX102 GFUX125 พบว่า สูง
ความยาวรหัสผ่าน: 6-8 ตัวอักษร
•อายุการใช้งานรหัสผ่าน: 60-90 วัน
•อายุการใช้งานรหัสผ่านขั้นต่ำ: 1 วัน
•การป้องกันการใช้งานรหัสผ่านซ้ำ: 8-12 ครั้ง
• 3-5 ครั้ง4 ราก รากในแฟ้มข้อมูล / etc / securetty พบล่าสุดว่า ราก รากได้โดยตรงผ่านช่องทางเช่น Telnet เช่น ราก รากโดยใช้โพรโทคอที่มีความปลอดภัย รากโดยการใช้คำสั่งของผู้ใช้สวิทช์ (SU) รากในช่วงเวลาดังกล่าว5 HP-UX พบว่า 18 บัญชีผู้ใช้งานGFUX125 12 1. ปานกลาง โดยอาศัยบัญชีผู้ใช้งานดังกล่าว HP-UX เครื่องแม่ข่ายและ GFUX102 GFUX125 (KCSUSR01) ปานกลาง GFUX102 และ GFUX125 Telnet Ftp • • TFTP ปานกลาง เช่นการถูกดักจับและขโมยรหัสผ่าน เช่น Secure Shell และ FTP การรักษาความปลอดภัยเป็นการทดแทนกรณีจำเป็นต้องใช้งาน - ระบบจัดการฐานข้อมูลของออราเคิล8 ไม่มีการบังคับใช้นโยบายรหัสผ่าน ออราเคิลพบว่า พบว่ามีบัญชีผู้ใช้งานจำนวน 5 ดังต่อไปนี้• SYS •ระบบ• OUTLN Dbsnmp • • PERFSTAT สูง ความยาวรหัสผ่าน: 6-8 ต
HP-UX เครื่องแม่ข่ายและ GFUX102 GFUX125 พบว่า สูง
ความยาวรหัสผ่าน: 6-8 ตัวอักษร
•อายุการใช้งานรหัสผ่าน: 60-90 วัน
•อายุการใช้งานรหัสผ่านขั้นต่ำ: 1 วัน
•การป้องกันการใช้งานรหัสผ่านซ้ำ: 8-12 ครั้ง
• 3-5 ครั้ง4 ราก รากในแฟ้มข้อมูล / etc / securetty พบล่าสุดว่า ราก รากได้โดยตรงผ่านช่องทางเช่น Telnet เช่น ราก รากโดยใช้โพรโทคอที่มีความปลอดภัย รากโดยการใช้คำสั่งของผู้ใช้สวิทช์ (SU) รากในช่วงเวลาดังกล่าว5 HP-UX พบว่า 18 บัญชีผู้ใช้งานGFUX125 12 1. ปานกลาง โดยอาศัยบัญชีผู้ใช้งานดังกล่าว HP-UX เครื่องแม่ข่ายและ GFUX102 GFUX125 (KCSUSR01) ปานกลาง GFUX102 และ GFUX125 Telnet Ftp • • TFTP ปานกลาง เช่นการถูกดักจับและขโมยรหัสผ่าน เช่น Secure Shell และ FTP การรักษาความปลอดภัยเป็นการทดแทนกรณีจำเป็นต้องใช้งาน - ระบบจัดการฐานข้อมูลของออราเคิล8 ไม่มีการบังคับใช้นโยบายรหัสผ่าน ออราเคิลพบว่า พบว่ามีบัญชีผู้ใช้งานจำนวน 5 ดังต่อไปนี้• SYS •ระบบ• OUTLN Dbsnmp • • PERFSTAT สูง ความยาวรหัสผ่าน: 6-8 ต
การแปล กรุณารอสักครู่..
ไม่มีการกำหนดและบังคับใช้นโยบายรหัสผ่าน
3จากการสอบทานการกำหนดและบังคับใช้นโยบายรหัสผ่านระบบปฏิบัติการ 50 เครื่องแม่ข่าย gfux102 และ gfux125 พบว่าปัจจุบันไม่มีการกำหนดและบังคับใช้นโยบายรหัสผ่านเพื่อควบคุมและรักษาความปลอดภัยบัญชีผู้ใช้งานสูงการไม่กำหนดและบังคับใช้นโยบายรหัสผ่านก่อให้เกิดความเสี่ยงทางด้านความปลอดภัยเทคโนโลยีสารสนเทศเช่นผู้ใช้งานอาจไม่ดำเนินการกำหนดรหัสผ่านที่มีความซับซ้อนอย่างเพียงพอและเปลี่ยนรหัสผ่านอย่างสม่ำเสมอควรมีการกำหนดและบังคับใช้นโยบายรหัสผ่านเพื่อป้องกันความเสี่ยงทางด้านความปลอดภัยเทคโนโลยีสารสนเทศโดยนโยบายรหัสผ่านควรประกอบไปด้วยนโยบายดังต่อไปนี้
บริการความยาวรหัสผ่าน : 6-8 ตัวอักษร
-
- อายุการใช้งานรหัสผ่าน : 60-90 ได้รับเลือกตั้งผ่านกระบวนการประชาธิปไตยของพม่าอายุการใช้งานรหัสผ่านขั้นต่ำ 1 ได้รับเลือกตั้งผ่านกระบวนการประชาธิปไตยของพม่า
-
- การป้องกันการใช้งานรหัสผ่านซ้ำ : 8-12 ครั้งการระงับการใช้งานรหัสผ่านกรณีใส่รหัสผ่านไม่ถูกต้อง 3-5 ครั้ง
4 มีการอนุญาตให้เข้าสู่ระบบโดยใช้บัญชีผู้ใช้งานรากโดยตรง
จากการสอบทานการกำหนดค่าช่องทางปลอดภัยในการเข้าสู่ระบบปฏิบัติการโดยบัญชีผู้ใช้งานรากในแฟ้มข้อมูล / etc / securetty และประวัติการใช้งานบัญชีผู้ใช้งานจากคำสั่งสุดท้ายพบว่ามีการอนุญาตให้ใช้งานบัญชีผู้ใช้งานรากปานกลางการอนุญาตให้สามารถเข้าสู่ระบบปฏิบัติการโดยใช้บัญชีผู้ใช้งานรากได้โดยตรงผ่านช่องทางเช่น Telnet ก่อให้เกิดความเสี่ยงทางด้านความปลอดภัยสารสนเทศเช่นรวมถึงผู้ดูแลระบบทางด้านความปลอดภัยไม่สามารถตรวจสอบย้อนกลับได้ว่าเจ้าหน้าที่ผู้ดูแลระบบท่านใดเป็นผู้ใช้งานบัญชีผู้ใช้งานควรดำเนินการกำหนดช่องทางปลอดภัยสำหรับการใช้งานบัญชีผู้ใช้งานรากรากโดยใช้พิธีสารรวมถึงบังคับให้ผู้ใช้งานต้องดำเนินการพิสูจน์ตัวตนเป็นผู้ใช้งานปกติทั่วไปก่อนและดำเนินการเปลี่ยนสิทธิเป็นผู้ใช้งานรากโดยการใช้คำสั่งสลับผู้ใช้ ( ซู )รากในช่วงเวลาดังกล่าว
5 มีบัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้วคงค้างอยู่บนระบบปฏิบัติการธุรกิจพบว่ามีบัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้วคงค้างอยู่บนระบบ
จากการสอบทานรายชื่อบัญชีผู้ใช้งานบนระบบปฏิบัติการgfux102 บัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้วคงค้าง 18 บัญชีผู้ใช้งาน
gfux125 บัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้วคงค้าง 12 บัญชีผู้ใช้งาน
ดูรายละเอียดเพิ่มเติมในภาคผนวก 1ปานกลางบัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้วคงค้างอยู่บนระบบก่อให้เกิดความเสี่ยงทางด้านการบุกรุกระบบโดยอาศัยบัญชีผู้ใช้งานดังกล่าวเนื่องจากไม่มีผู้รับผิดชอบและยากต่อการตรวจสอบโดยและระงับหรือยกเลิกบัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้ว
มีการใช้งานบัญชีผู้ใช้งานร่วมกันในกลุ่มผู้พัฒนาระบบ
6จากการสอบทานรายชื่อบัญชีผู้ใช้งานระบบปฏิบัติการ 50 เครื่องแม่ข่าย gfux102 และ gfux125 พบว่ามีการใช้งานบัญชีผู้ใช้งานร่วมกันในกลุ่มผู้พัฒนาระบบงาน ( kcsusr01 ) ปานกลางควรมีการกำหนดบัญชีผู้ใช้งานของเจ้าหน้าที่แต่ละบุคคลอย่างชัดเจนเพื่อกำหนดความรับผิดชอบต่อการใช้งานบัญชีผู้ใช้งานส่วนบุคคลและยกเลิกบัญชีผู้ใช้งานกลางที่มีการใช้งานร่วมกัน
7 มีการใช้งานบริการทางเครือข่ายที่มีความเสี่ยงทางด้านความปลอดภัย
จากการสอบทานการเปิดใช้งานบริการทางเครือข่ายบนเครื่องแม่ข่าย gfux102 และ gfux125 พบว่ามีการใช้งานบริการทางเครือข่ายที่มีความเสี่ยงทางด้านการรักษาความปลอดภัยเนื่องจากไม่มีการเข้ารหัสดังนี้
-
- Telnet FTPบริการปานกลาง TFTP การใช้งานบริการทางเครือข่ายที่ไม่มีการเข้ารหัสก่อให้เกิดความเสี่ยงทางด้านความปลอดภัยเทคโนโลยีสารสนเทศเช่นการถูกดักจับและขโมยรหัสผ่านเช่น Secure shell และการรักษาความปลอดภัย FTP เป็นการทดแทน
กรณีจำเป็นต้องใช้งานควรระงับการให้บริการทางเครือข่ายที่มีความเสี่ยงทางด้านความปลอดภัยผ่านเครือข่ายสาธารณะ
ระบบจัดการฐานข้อมูลการควบคุมเชิงเทคนิค–ออราเคิล8 ไม่มีการบังคับใช้นโยบายรหัสผ่านและไม่มีการเปลี่ยนรหัสผ่านที่เป็นรหัสผ่านเริ่มต้นจากการติดตั้งระบบ
จากการสอบทานการกำหนดและบังคับใช้นโยบายรหัสผ่านระบบจัดการฐานข้อมูล Oracle พบว่าปัจจุบันไม่มีการกำหนดและบังคับใช้นโยบายรหัสผ่านเพื่อควบคุมและรักษาความปลอดภัยบัญชีผู้ใช้งาน
นอกจากนั้นแล้วจากการสอบทานการใช้งานรหัสผ่านของบัญชีผู้ใช้งานที่ติดตั้งมาพร้อมกับระบบจัดการฐานข้อมูลพบว่ามีบัญชีผู้ใช้งานจำนวน 5ดังต่อไปนี้
- ระบบ - ระบบ - outln
-
dbsnmpบริการ perfstat สูงการไม่กำหนดและบังคับใช้นโยบายรหัสผ่านก่อให้เกิดความเสี่ยงทางด้านความปลอดภัยเทคโนโลยีสารสนเทศเพื่อป้องกันการคาดเดารหัสผ่านจากผู้ไม่ประสงค์ดีหรือผู้บุกรุกระบบ
นอกจากนั้นรหัสผ่านของบัญชีผู้ใช้งานที่ติดตั้งมาพร้อมกับระบบจัดการฐานข้อมูลเป็นรหัสผ่านที่เป็นที่ทราบเป็นการทั่วไปควรมีการกำหนดและบังคับใช้นโยบายรหัสผ่านเพื่อป้องกันความเสี่ยงทางด้านความปลอดภัยเทคโนโลยีสารสนเทศโดยนโยบายรหัสผ่านควรประกอบไปด้วยนโยบายดังต่อไปนี้
- ความยาวรหัสผ่าน : 6-8 ต
3จากการสอบทานการกำหนดและบังคับใช้นโยบายรหัสผ่านระบบปฏิบัติการ 50 เครื่องแม่ข่าย gfux102 และ gfux125 พบว่าปัจจุบันไม่มีการกำหนดและบังคับใช้นโยบายรหัสผ่านเพื่อควบคุมและรักษาความปลอดภัยบัญชีผู้ใช้งานสูงการไม่กำหนดและบังคับใช้นโยบายรหัสผ่านก่อให้เกิดความเสี่ยงทางด้านความปลอดภัยเทคโนโลยีสารสนเทศเช่นผู้ใช้งานอาจไม่ดำเนินการกำหนดรหัสผ่านที่มีความซับซ้อนอย่างเพียงพอและเปลี่ยนรหัสผ่านอย่างสม่ำเสมอควรมีการกำหนดและบังคับใช้นโยบายรหัสผ่านเพื่อป้องกันความเสี่ยงทางด้านความปลอดภัยเทคโนโลยีสารสนเทศโดยนโยบายรหัสผ่านควรประกอบไปด้วยนโยบายดังต่อไปนี้
บริการความยาวรหัสผ่าน : 6-8 ตัวอักษร
-
- อายุการใช้งานรหัสผ่าน : 60-90 ได้รับเลือกตั้งผ่านกระบวนการประชาธิปไตยของพม่าอายุการใช้งานรหัสผ่านขั้นต่ำ 1 ได้รับเลือกตั้งผ่านกระบวนการประชาธิปไตยของพม่า
-
- การป้องกันการใช้งานรหัสผ่านซ้ำ : 8-12 ครั้งการระงับการใช้งานรหัสผ่านกรณีใส่รหัสผ่านไม่ถูกต้อง 3-5 ครั้ง
4 มีการอนุญาตให้เข้าสู่ระบบโดยใช้บัญชีผู้ใช้งานรากโดยตรง
จากการสอบทานการกำหนดค่าช่องทางปลอดภัยในการเข้าสู่ระบบปฏิบัติการโดยบัญชีผู้ใช้งานรากในแฟ้มข้อมูล / etc / securetty และประวัติการใช้งานบัญชีผู้ใช้งานจากคำสั่งสุดท้ายพบว่ามีการอนุญาตให้ใช้งานบัญชีผู้ใช้งานรากปานกลางการอนุญาตให้สามารถเข้าสู่ระบบปฏิบัติการโดยใช้บัญชีผู้ใช้งานรากได้โดยตรงผ่านช่องทางเช่น Telnet ก่อให้เกิดความเสี่ยงทางด้านความปลอดภัยสารสนเทศเช่นรวมถึงผู้ดูแลระบบทางด้านความปลอดภัยไม่สามารถตรวจสอบย้อนกลับได้ว่าเจ้าหน้าที่ผู้ดูแลระบบท่านใดเป็นผู้ใช้งานบัญชีผู้ใช้งานควรดำเนินการกำหนดช่องทางปลอดภัยสำหรับการใช้งานบัญชีผู้ใช้งานรากรากโดยใช้พิธีสารรวมถึงบังคับให้ผู้ใช้งานต้องดำเนินการพิสูจน์ตัวตนเป็นผู้ใช้งานปกติทั่วไปก่อนและดำเนินการเปลี่ยนสิทธิเป็นผู้ใช้งานรากโดยการใช้คำสั่งสลับผู้ใช้ ( ซู )รากในช่วงเวลาดังกล่าว
5 มีบัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้วคงค้างอยู่บนระบบปฏิบัติการธุรกิจพบว่ามีบัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้วคงค้างอยู่บนระบบ
จากการสอบทานรายชื่อบัญชีผู้ใช้งานบนระบบปฏิบัติการgfux102 บัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้วคงค้าง 18 บัญชีผู้ใช้งาน
gfux125 บัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้วคงค้าง 12 บัญชีผู้ใช้งาน
ดูรายละเอียดเพิ่มเติมในภาคผนวก 1ปานกลางบัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้วคงค้างอยู่บนระบบก่อให้เกิดความเสี่ยงทางด้านการบุกรุกระบบโดยอาศัยบัญชีผู้ใช้งานดังกล่าวเนื่องจากไม่มีผู้รับผิดชอบและยากต่อการตรวจสอบโดยและระงับหรือยกเลิกบัญชีผู้ใช้งานที่ไม่มีการใช้งานแล้ว
มีการใช้งานบัญชีผู้ใช้งานร่วมกันในกลุ่มผู้พัฒนาระบบ
6จากการสอบทานรายชื่อบัญชีผู้ใช้งานระบบปฏิบัติการ 50 เครื่องแม่ข่าย gfux102 และ gfux125 พบว่ามีการใช้งานบัญชีผู้ใช้งานร่วมกันในกลุ่มผู้พัฒนาระบบงาน ( kcsusr01 ) ปานกลางควรมีการกำหนดบัญชีผู้ใช้งานของเจ้าหน้าที่แต่ละบุคคลอย่างชัดเจนเพื่อกำหนดความรับผิดชอบต่อการใช้งานบัญชีผู้ใช้งานส่วนบุคคลและยกเลิกบัญชีผู้ใช้งานกลางที่มีการใช้งานร่วมกัน
7 มีการใช้งานบริการทางเครือข่ายที่มีความเสี่ยงทางด้านความปลอดภัย
จากการสอบทานการเปิดใช้งานบริการทางเครือข่ายบนเครื่องแม่ข่าย gfux102 และ gfux125 พบว่ามีการใช้งานบริการทางเครือข่ายที่มีความเสี่ยงทางด้านการรักษาความปลอดภัยเนื่องจากไม่มีการเข้ารหัสดังนี้
-
- Telnet FTPบริการปานกลาง TFTP การใช้งานบริการทางเครือข่ายที่ไม่มีการเข้ารหัสก่อให้เกิดความเสี่ยงทางด้านความปลอดภัยเทคโนโลยีสารสนเทศเช่นการถูกดักจับและขโมยรหัสผ่านเช่น Secure shell และการรักษาความปลอดภัย FTP เป็นการทดแทน
กรณีจำเป็นต้องใช้งานควรระงับการให้บริการทางเครือข่ายที่มีความเสี่ยงทางด้านความปลอดภัยผ่านเครือข่ายสาธารณะ
ระบบจัดการฐานข้อมูลการควบคุมเชิงเทคนิค–ออราเคิล8 ไม่มีการบังคับใช้นโยบายรหัสผ่านและไม่มีการเปลี่ยนรหัสผ่านที่เป็นรหัสผ่านเริ่มต้นจากการติดตั้งระบบ
จากการสอบทานการกำหนดและบังคับใช้นโยบายรหัสผ่านระบบจัดการฐานข้อมูล Oracle พบว่าปัจจุบันไม่มีการกำหนดและบังคับใช้นโยบายรหัสผ่านเพื่อควบคุมและรักษาความปลอดภัยบัญชีผู้ใช้งาน
นอกจากนั้นแล้วจากการสอบทานการใช้งานรหัสผ่านของบัญชีผู้ใช้งานที่ติดตั้งมาพร้อมกับระบบจัดการฐานข้อมูลพบว่ามีบัญชีผู้ใช้งานจำนวน 5ดังต่อไปนี้
- ระบบ - ระบบ - outln
-
dbsnmpบริการ perfstat สูงการไม่กำหนดและบังคับใช้นโยบายรหัสผ่านก่อให้เกิดความเสี่ยงทางด้านความปลอดภัยเทคโนโลยีสารสนเทศเพื่อป้องกันการคาดเดารหัสผ่านจากผู้ไม่ประสงค์ดีหรือผู้บุกรุกระบบ
นอกจากนั้นรหัสผ่านของบัญชีผู้ใช้งานที่ติดตั้งมาพร้อมกับระบบจัดการฐานข้อมูลเป็นรหัสผ่านที่เป็นที่ทราบเป็นการทั่วไปควรมีการกำหนดและบังคับใช้นโยบายรหัสผ่านเพื่อป้องกันความเสี่ยงทางด้านความปลอดภัยเทคโนโลยีสารสนเทศโดยนโยบายรหัสผ่านควรประกอบไปด้วยนโยบายดังต่อไปนี้
- ความยาวรหัสผ่าน : 6-8 ต
การแปล กรุณารอสักครู่..
ภาษาอื่น ๆ
การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.
- 3 รอบ
- ทำไมคุณถึงสนใจที่จะทำงานนี้?
- Thay say they're the only company sellin
- A tragedy is a serious play in which the
- Hi... is cold... I'm in bed... lazy....
- Micro Test
- We have modern exercise equipment in lar
- สังคมใหม่
- Thailand is a land of friendliness and h
- บ้านฉันไม่ติดกับชายหายเหมือนพัทยานะ
- all or nothingresearch say about exeruis
- ฉันกำลังอ่านหนังสือ
- ตีดาบ
- today first day sad
- Thay say they're the only company sellin
- Which currently has an internal corporat
- A Sport Star
- Micro Test
- happy birthday backward.
- ระหว่าง Punyanut G กับ Dusita ใครเป็นแฟน
- What is Azure? In short, it’s Microsoft’
- ฉันหวังว่าเราคงได้พบกันอีกครั้ง
- today first day sad
- Ore Inventory, a current asset. To illus
