ระบบตดตามการใชไฟลขอมลภายในเครอขาย Data files in local network tracking system

สรชาต ชนเจรญ Surachat Chuenjaroen

สารนพนธนเปนสวนหนงของการศกษา หลกสตรวทยาศาสตรมหาบณฑต สาขาวชาวศวกรรมเครอขาย

คณะวทยาการและเทคโนโลยสารสนเทศ มหาวทยาลยเทคโนโลยมหานคร

ปการศกษา 2557

I

หวขอ ระบบตดตามการใชไฟลขอมลภายในเครอขาย ชอนกศกษา จาสบเอก สรชาต ชนเจรญ รหสนกศกษา 5617660044 หลกสตร วทยาศาสตรมหาบณฑต วศวกรรมเครอขาย ปการศกษา 2557 อาจารยทปรกษา ดร.วรวฒ ไพรวน

บทคดยอ โครงงานนเปนการศกษาเกยวกบ การศกษาการจดการล าดบเหตการณของไฟลขอมล ซงจะท าการเกบบนทกการเคลอนไหวไฟลขอมลทส าคญภายในหนวยงาน ทมการเชอมตออยภายในระบบเครอขาย โดยท าการตรวจสอบการเคลอนไหวของไฟลขอมลทไดท าการเปลยนแปลง รวมถงการเคลอนยายไฟลขอมลออกจากเครองคอมพวเตอรภายในหนวยงานทม การท างานระหวางฝ งลกขายและฝ งเครองแมขาย ดวยเหตนจงมแนวความคดในการพฒนา โปรแกรมใหสามารถท าการสงขอมลเหตการณทเกดขนจากฝ งลกขายและสามารถน ามาแสดงทเครองแมขายได โดยการแสดงผลนนจะแบงออกตามประเภท และตามความตองการในการคนหา ท าใหผดแลระบบสามารถจะเฝาดและตรวจสอบพฤตกรรมผใชงานในการเขาใชงานไฟลขอมลได เพอเปนประโยชนในการสงเกตการณพฤตกรรมทนาสงสย ทเปนการเสยงตอการละเมดการรกษาความปลอดภยขอมลขาวสารภายในหนวยงานได

II

กตตกรรมประกาศ โครงงานระบบตดตามการใชไฟลขอมลภายในเครอขาย ทไดพฒนาขนจนประสบผลส าเรจในครงน กระผมตองขอขอบพระคณ ดร.วรวฒ ไพรวน ซงไดรบค าแนะน าทเปนประโยชนในการพฒนาระบบมาโดยตลอด อกทงใหค าปรกษาในการจดท าโครงงานเปนอยางด ขอขอบพระคณคณะอาจารยของภาควชาบณฑตศกษาสาขาวชา ผดแลระบบและเครอขาย และคณะกรรมการทเขารวมการน าเสนอโครงงาน ส าหรบการใหค าแนะน าและขอเสนอแนะเพอน าไปใชในการปรบปรงโครงงานใหมความสมบรณ ส าเรจลลวงไปไดดวยด ขอขอบคณก าลงใจจากครอบครวของขาพเจา ตลอดระยะเวลาของโครงงานน

จงขอขอบพระคณทกทานทไดกลาวมา ณ ทนดวย

จาสบเอก สรชาต ชนเจรญ ธนวาคม 2557

III

สารบญ หนา

บทคดยอภาษาไทย I กตตกรรมประกาศ II สารบญ III สารบญรป V สารบญตาราง VII บทท 1 บทน า 1

1.1 กลาวน า 1 1.2 ปญหาและแรงจงใจ 1 1.3 วตถประสงคของโครงงาน 2 1.4 ขอบเขตของโครงงาน 2 1.5 แผนเวลาของโครงงาน 2

บทท 2 พนฐานและทฤษฎทเกยวของ 4 2.1 หนวยงาน 4 2.2 กฎหมายคอมพวเตอรทเกยวของ 4 2.3 งานวจยทเกยวของ 8 2.4 ทฤษฎทเกยวของ 9

บทท 3 การออกแบบโปรแกรม 16 3.1 กลาวน า 16 3.2 ความตองการพนฐานของระบบในการทดลองโครงงาน 16 3.3 การท างานของ Even Log 16 3.4 โครงสรางไดอะแกรม 19 3.5 กระบวนการท างานของระบบตดตามไฟลขอมลภายในเครอขาย 22 3.6 แผนภมการไหลขอมล 24 3.7 โครงสรางฐานขอมล 28 3.8 สทธของผใชงานระบบตดตามการใชไฟลขอมลภายในเครอขาย 31

บทท 4 การทดลองและผลการทดลอง 32 4.1 กลาวน า 32 4.2 วธการทดลองโครงงาน 32 4.3 สรปผลการทดลองโครงงาน 50

บทท 5 สรปผลการด าเนนงาน 51 5.1สรปผลการด าเนนงาน 51

IV

สารบญ (ตอ) หนา

5.2 สรปปญหา / แนวทางแกไข 52 5.3 แนวทางการน าไปพฒนาตอ 52

เอกสารอางอง 53

V

สารบญรป หนา

รปท 2.1 แสดงประเภทของเหตการณขอมล Log ใน Windows XP 12 รปท 2.2 แสดงประเภทของเหตการณขอมล Log ใน Windows 7 13 รปท 2.3 แสดงประเภทของเหตการณของ Event Log 14 รปท 3.1 รปแสดง Event Viewer ใน Windows 7 18 รปท 3.2 Applications and Service Logs 19 รปท 3.3 โครงสรางไดอะแกรมและองคประกอบของโครงงาน 19 รปท 3.4 จ าลอง Organize Chart 20 รปท 3.5 ขอมลในไฟลเซรฟเวอร 21 รปท 3.6 กระบวนการท างานของระบบตดตามไฟลขอมลภายในเครอขาย 22 รปท 3.7 แผนภาพการไหลขอมล(Context Diagram) 24 รปท 3.8 ล าดบการท างานของระบบตดตามไฟลขอมลบนไฟลเซรฟเวอร 25 รปท 3.9 ล าดบการท างานของระบบตดตามไฟลขอมลบนเครองลกขาย 26 รปท 3.10 ล าดบการท างานของเครองลกขาย กรณไฟลขอมลทตดตามออกจากเครองลกขาย27 รปท 3.11 แสดง Database Relationship Diagram 28 รปท 3.12 แสดงสวนประกอบตางๆ ของโครงสรางไฟล File_attributes.xml 30 รปท 3.13 แสดงโครงสรางไฟล File_attributes.xml 31 รปท 4.1 ล าดบการทดลองโครงงาน 2 รปท 4.2 ไฟลขอมลภายในไฟลเซรฟเวอร 33 รปท 4.3 ตดตงโปรแกรม File List Service 34 รปท 4.4 แสดงสถานะการท างานของโปรแกรม File List Service 34 รปท 4.5 แสดงสถานะevents ของFile List Serviceบน Event Viewer 35 รปท 4.6 แสดงสถานะของไฟลขอมลบนฐานขอมล file_trace 35 รปท 4.7 แสดงสถานะบน Event Viewer เมอเพมไฟลขอมลบนเซรฟเวอร 36 รปท 4.8 แสดงสถานะบนฐานขอมลตาราง File_traceเมอเพมไฟลขอมลบนไฟลเซรฟเวอร 37 รปท 4.9 แสดงสถานะบน Event Viewerเมอลบไฟลขอมลบนเซรฟเวอร 37 รปท 4.10 แสดงสถานะบนฐานขอมลตาราง File_traceเมอลบไฟลขอมลบนไฟลเซรฟเวอร 38 รปท 4.11 ตดตงโปรแกรม File Trace Service 38 รปท 4.12 แสดงสถานะการท างานของโปรแกรม File Trace Service 39 รปท 4.13 แสดงสถานะ events ของ File Trace Service บน Event Viewer 40 รปท 4.14 กรณคดลอกไฟลขอมลมาจดเกบภายในเครองผใชงาน 40 รปท 4.15 แสดงสถานะ Event Viewer เมอคดลอกไฟลขอมลไปเกบไวภายในเครองลกขาย 41

VI

สารบญรป (ตอ) หนา

รปท 4.16 แสดงสถานะEvent Viewer หลงเปลยนชอไฟลขอมลทเกบไวภายในเครองลกขาย 41 รปท 4.17 แสดงสถานะEvent Viewer เมอลบไฟลขอมลทเกบไวภายในเครองลกขาย 42 รปท 4.18 กรณผใชงานน าอปกรณบนทกขอมลชนดดงออกไดมาคดลอกไฟลขอมล 42 รปท 4.19 แสดงสถานะ Event Viewer เมอน าอปกรณบนทกขอมลชนดดงออกไดมาใชงาน 43 รปท 4.20 แสดงสถานะ Event Viewer เมอคดลอกไฟลขอมลออกจากเครองคอมพวเตอร 43 รปท 4.21 แสดงสถานะในฐานขอมลตาราง events เมอคดลอกไฟลขอมลออกจากเครอง 44 คอมพวเตอร รปท 4.22 แสดงสถานะ Event Viewer เมอคดลอกไฟลขอมลออกจากเครองคอมพวเตอร 45 แลวท าการเปลยนชอไฟลขอมล รปท 4.23 แสดงสถานะ Event Viewer เมอคดลอกไฟลขอมลออกจากเครองคอมพวเตอร 45 แลวท าการลบไฟลขอมล รปท 4.24 รปการเขาใชงานระบบ 46 รปท 4.25 ตรวจสอบสทธการใชงาน 46 รปท 4.26 เมนการใชงานของระบบ 47 รปท 4.27 คนหาชอของไฟลขอมลทสนใจ 47 รปท 4.28 ขอมลรายละเอยดของไฟลขอมล 48 รปท 4.29 คนหาไฟลขอมลโดยก าหนดชวงเวลา 48 รปท 4.30 แสดงผลการท างานในรปแบบของแผนภมแทง 49 รปท 4.31 แสดงผลการท างานในรปแบบของรายงาน 49 รปท 4.32 การสงหยดการท างานของโปรแกรม 50

VII

สารบญตาราง หนา

ตารางท 1.1 แผนการด าเนนงาน 3 ตารางท 3.1 ตารางชนดของขอมลทอยใน Event Message 17 ตารางท 3.2 สวนตางๆ ของฐานขอมล Event 29 ตารางท 3.3 สวนตางๆ ของฐานขอมล File_trace 29 ตารางท 5.1 แสดงขอบเขตและผลการด าเนนงาน 51

1

บทท 1 บทน า

1.1 กลาวน า

โครงงานน จดท าขนเพอศกษาเกยวกบการจดการล าดบเหตการณและท าการตดตามไฟลขอมล ซงจะท าการเกบบนทกการเคลอนไหวของไฟลขอมลทส าคญภายในหนวยงานทมการเชอมตออยภายในระบบเครอขาย โดยท าการตรวจสอบการเคลอนไหวของไฟลขอมลทไดท าการเปลยนแปลง รวมถงการเคลอนยายไฟลขอมลออกจากเครองคอมพวเตอรภายในหนวยงานทมการท างานระหวางฝ งลกขายและฝ งเครองแมขาย ดวยเหตนจงมแนวความคดในการพฒนาโปรแกรมใหสามารถท าการสงขอมลเหตการณทเกดขนจากฝ งลกขายและสามารถน ามาแสดงทเครองแมขายได โดยการแสดงผลนนจะแบงออกตามประเภท และตามความตองการในการคนหา ท าใหผดแลระบบสามารถจะเฝาดและตรวจสอบพฤตกรรมผใชงานในการเขาใชงานไฟลขอมลได เพอเปนประโยชนในการสงเกตการณพฤตกรรมทนาสงสย หรอผดปกตรวมถงทเปนการเสยงตอการละเมดการรกษาความปลอดภยขอมลขาวสารภายในหนวยงานได 1.2 ปญหาและแรงจงใจ

เนองจากหนวยงานราชการศนยรกษาความปลอดภย กองบญชาการกองทพไทย เปนหนวยงานทท างานเกยวกบขอมลขาวสารชนความลบทางราชการ โดยมระบบเครอขายอนทราเนตในการเชอมตอสอสาร รบสงขอมลขาวสารกนระหวางหนวยงานภายใน ท าใหระบบคอมพวเตอรภายในเครอขาย จ าเปนตองมมาตรการความปลอดภยขนพนฐาน เชน การลอกเครองคอมพวเตอรเพอปองกนไมใหผอ นมาใชเครองโดยไมไดรบอนญาตเปนตน อยางไรกตาม รหสผานทเปนความลบในการเขาใชงานเครองคอมพวเตอร อาจจะไมเปนความลบหากรหสผานดงกลาวถกผอนลวงร และน าไปใชในทางมชอบ เชน ตองการลวงความลบทางราชการ ท าใหอาจมความไมปลอดภยในขอมลขาวสารทมความส าคญตอหนวยงานอกทงเครองคอมพวเตอรภายในองคกรมจ านวนจ ากดตอผใชงานจงจ าเปนตองอนญาตใหมผใชงานไดมากกวาหนงคน และสามารถเขาถงทรพยากรทมอยในระบบ เชน ไฟลขอมล แตตองมการก าหนดสทธ การใชทรพยากรบนเครอขายโดยการก าหนดสทธการใชงานนน จะก าหนดโดยผบรหารเครอขาย โดยทก าหนดสทธการใชงานใหใครบางและเมอไดรบสทธในการใชงานแลว จะก าหนดใหบคคลนนๆ สามารถเขาถงขอมลไดอยางไรเชน สามารถอานไดอยางเดยว สามารถเขยนหรอบนทกได เพอปองกนการละเมดการรกษาความปลอดภยขอมลขาวสารทางราชการ

ดวยเหตนการตรวจสอบพฤตกรรมการใชไฟลขอมลในเครอขายจงเปนแนวทางหนงในการปองกนผไมหวงดทอยภายในระบบเครอขาย และท าการละเมดการรกษาความปลอดภยในหนวยงานราชการ โดยระบบตรวจสอบจะท าการบนทกขอมล เหตการณทกระท ากบไฟลขอมล เกดลอกไฟล และตรวจสอบเฝาระวงผใชงานทเขามายงระบบ โดยจะมการบนทกขอมลและสงท

2

กระท ากบขอมลตางๆไวเปนหลกฐาน และจดเกบไวในรปแบบของไฟล หรอเรยกวา อเวนทลอกซงจะเกบรายละเอยดตางๆและสามารถท าการตรวจสอบยอนหลงไดวาแตละวนมการกระท าสงใดกบไฟลขอมลขาวสารทส าคญซงจะชวยท าใหผดแลระบบเครอขายสามารถสงเกตพฤตกรรมของผใชงานในการใชไฟลขอมลในระบบ เพอบนทกไวเปนหลกฐานอางอง หากมการกระท าผดของผใชตอไฟลขอมลภายในระบบเครอขายได 1.3 วตถประสงคของโครงงาน

1.3.1 วเคราะหการใชงานไฟลขอมลของผใชงาน ซงจะชวยใหผดแลระบบทราบวาไฟลขอมลภายในหนวยงานนน มละเมดหรอกระท าความผดจากนโยบายของหนวยงานตามทก าหนดหรอไม

1.3.2 ชวยใหผดแลระบบภายในเครอขายสามารถเฝาระวงหรอตรวจสอบสงผดปกตจากไฟลขอมลไดงายขนและท าการปองกนหรอแกไขสงทเกดขนไดอยางตรงจด

1.3.3 ชวยอ านวยความสะดวกใหกบผดแลระบบภายในเครอขายสามารถท ารายงาน กราฟแสดงผล เกยวกบไฟลขอมลของภายในหนวยงานเพอเสนอผบรหารเครอขายไดอยางเหมาะสม

1.4 ขอบเขตของโครงงาน

1.4.1 โปรแกรมเอเจนทในเครองลกขายสามารถเฝาดพฤตกรรมการใชไฟลในเครองลกขายนนๆได และบนทกพฤตกรรมการใชไฟลขอมลลงลอกไฟล

1.4.2 กรณผใชไฟลขอมล มการใชงานทไมพงประสงคเกยวกบไฟลขอมลบนเครองแมขาย โปรแกรมเอเจนทจะท าการบนทกพฤตกรรมการใชไฟลขอมลลงฐานขอมลของเครองแมขาย

1.4.3 โปรแกรมเอเจนทบนลกขายจะตรวจการใชงานไดรฟทเปนการบนทกขอมลชนดดงออกจากคอมพวเตอรได เชน Thumb drive , SD Card เปนตน

1.4.4 ผดแลระบบภายในเครอขายสามารถวเคราะหพฤตกรรมการใชงานไฟลขอมลจากฐานขอมลทบนทกได ในรปแบบรายงานและแผนภมตางๆได

1.4.5 ขอมลในฐานขอมลสามารถบนทกไวเปนหลกฐานอางอง หากมการกระท าผดของผใชตอไฟลขอมลในเครองแมขายได

1.5 แผนเวลาของโครงงาน

1.5.1 ศกษาความเปนไปไดของโครงงาน 1.5.2 ศกษาแนวคดและทฤษฎทเกยวของ 1.5.3 วเคราะหและออกแบบระบบงาน 1.5.4 พฒนาและทดสอบการท างานของระบบ

3

1.5.5 สรปผลการด าเนนโครงงาน 1.5.6 รวบรวมขอมล และเอกสารของโครงงาน

ตารางท 1.1 แผนการด าเนนงาน

ล าดบท

ขนตอนการด าเนนงาน ระยะเวลาในการด าเนนงาน

พ.ค. ม.ย. ก.ค. ส.ค. ก.ย. ต.ค. พ.ย. 1 ศกษาความเปนไปได

ของโครงงาน 2 ศกษาแนวคดและ

ทฤษฎทเกยวของ 3 วเคราะหและออกแบบ

ระบบงาน 4 พฒนาและทดสอบ

การท างานของระบบ 5 สรปผลการด าเนน

โครงงาน 6 รวบรวมขอมล และ

เอกสารของโครงงาน

4

บทท 2 ทฤษฎและเทคโนโลยทเกยวของ

2.1 หนวยงาน ภารกจของศนยรกษาความปลอดภยกองบญชาการกองทพไทย ศนยรกษาความปลอดภยกองบญชาการกองทพไทย (ศรภ.) มหนาทเกยวกบการ

ปฏบตการขาวกรองและการตอตานการขาวกรองทางหาร เพอความมนคงของประเทศ การรกษาความปลอดภย รวมกบหนวยงานทเกยวของ ส าหรบองคพระมหากษตรย พระราชน รชทายาท และพระบรมวงศานวงศ ตลอดจนบคคลส าคญ การรกษาความปลอดภยทางทหาร ทางการขาวกรองและทางการสอสาร รวมทงการด าเนนการฝกศกษาดานการขาวกรองและปฏบตภารกจอนๆตามทผบงคบบญชามอบหมาย

2.2 กฎหมายคอมพวเตอรทเกยวของ

ระเบยบ กองบญชาการทหารสงสด วาดวยการรกษาความปลอดภยระบบสารสนเทศของกองทพไทย พ.ศ.2547 [1]

เพอใหการรกษาความปลอดภยระบบสารสนเทศของกองทพไทยเปนไปดวยความเรยบรอยและมประสทธภาพ จงวางระเบยบไวดงตอไปน

หมวดท 4 การรกษาความปลอดภยระบบสารสนเทศ ขอ1 ตองจดใหมแผนการรกษาและปองกนความลบของขอมล

1) ตองไมเขาถงขอมลอน โดยไมไดรบอนญาตจากเจาของขอมล 2) หามท าการพมพหรอท าส าเนาขอมลทเปนชนความลบ เวนแต

ไดรบอนญาตจากเจาของขอมล 3) ตองมการก าหนดผร บผดชอบอปกรณคอมพวเตอรในระบบ

สารสนเทศของหนวย ขอ 2 การรกษาความปลอดภยเกยวกบเครอขายคอมพวเตอร

1) สวนราชการเจาของเรองสารสนเทศในเครอขายระบบสารสนเทศ ผมสทธและอ านาจในสายงาน ทมการตดตอแลกเปลยนสารสนเทศผานระบบเครอขายคอมพวเตอร เปนผพจารณาคณสมบตของผใชทร บอนญาตใหเขาถงและด าเนนการกบสารสนเทศดงกลาว รวมทงพจารณาระดบการปองกนทตองการ

2) การสงขอมลทมชนความลบ ผานเครอขายคอมพวเตอร จะตองไดร บอนญาตจากผมสทธและอ านาจในสายงานทก าหนด ชนความลบนนกอน แลวจงสงเขารหสตามมาตรฐานทไดรบการรบรองจากสวนราชการ

5

ขอ 3 สวนราชการเจาของเรองสารสนเทศในเครอขายระบบสารสนเทศ ผมสทธ และอ านาจในสายงานสามารถก าหนดระเบยบปฏบตของการเขาใชทสอดคลองกบระเบยบน

ขอ 4 สวนราชการตองจดใหมการรกษาความปลอดภยฐานขอมล เ พ อ ก า ห น ด ม า ต ร ก า ร ป อ ง ก น ฐ า น ข อ ม ล จ า ก ก า ร เ ข า ถ ง

การเปลยนแปลง การโอนถายขอมล หรอการกระท าใดๆ โดยผไมเกยวของโดย 1) ขอมล ขาวสาร สารสนเทศทกประเภท ในฐานขอมลตองไดรบการ

จดระดบการปองกน ผมสทธเขาใชหรอด าเนนการ รวมทงรายละเอยดอนๆทจ าเปนตอมาตรการรกษาความปลอดภย

2) สวนราชการเจาของฐานขอมล ผมสทธและอ านาจในสายงาน เปนผพจารณาคณสมบตของผใชและโปรแกรมทไดรบอนญาตใหกระท าการใดๆกบขอมลนนไดตามสทธ และจดใหมแฟมลงบนทกเขาออก(Log File) การใชงานส าหรบฐานขอมลตามความจ าเปน เพอประโยชนในการตรวจสอบความถกตองของการใชงานฐานขอมล

3) ในกรณฐานขอมลทมการใชรวมกนระหวางราชการใหจดท าขอตกลงการใช

4) ตองจดใหมแผนการปองกนไวรสคอมพวเตอรเพอ ปองกนฐานขอมลถกท าลายโดย

- หามเจาหนาทน าคอมพวเตอร ซอฟตแวร หรอขอมลทไมมนใจวาตดไวรสคอมพวเตอรมาตดตง หรอใชงาน เวนแตคอมพวเตอรซอฟตแวรน นไดผานการตรวจสอบจากเจาห นาทควบคมการรกษาความปลอดภยระบบสารสนเทศของสวนราชการกอน

- หามเจาหนาทปรบแตง หรอยกเลก การท างานของคอมพวเตอรซอฟตแวรปองกนไวรสทตดตงใชงานในเครองคอมพวเตอรตามทเจาหนาทควบคมการรกษาความปลอดภยระบบสารสนเทศของสวนราชการจดหามาให

- กรณทมการเชอมตอกบระบบอนเตอรเนต จะตองจดใหมแผนการใชงานคอมพวเตอรในระบบอนเตอรเนต โดยค านงถงความปลอดภยของระบบสารสนเทศเปนหลก

ขอ 5 สวนราชการจะตองจดท าเอกสารประกอบสารสนเทศใหสมบรณครบถวนในทกดาน เพอความสะดวกในการปรบปรง แกไข และพฒนาระบบใหม เมอมความจ าเปน

6

หมวดท 6 การปฏบตเมอเกดการละเมดการรกษาความปลอดภยระบบสารสนเทศ

ขอ 1 ความมงหมาย เพอใหทราบถงสาเหตแหงการละเมดการรกษาความปลอดภยระบบสารสนเทศ การปฏบตของเจาหนาท และความรบผดชอบของผบงคบบญชาเมอปรากฏการละเมด

ขอ 2 สาเหตแหงการละเมดการรกษาความปลอดภย การละเมดการรกษาความปลอดภยอนเปนเหตใหความลบของทาง

ราชการรวไหล เครองจกรค านวณ อปกรณวสด และสถานท ถกท าลาย หรอขอมลถกลบลาง แกไข จนเกดความเสยหายขน มสาเหตจากการขาดจตส านก และวนยในการรกษาความปลอดภย ประมาทเลนเลอเกยจคราน ไมเครงครดตอหนาท หรอเหนแกประโยชนสวนตว รวมถงการจารกรรมและการกอวนาศกรรมอนเกดจากการกระท าของบคคลภายนอก หรอขาราชการทตกเปนเครองมอของฝายตรงขาม

ขอ 3 การปฏบตเพอปรากฏการละเมดการรกษาความปลอดภย 1) ผใดตรวจสอบหรอทราบวามการละเมด หรอสงสยวาจะมการ

ละ เมดการรกษาความปลอดภย เกดขน ตอ งรบรายงานผบงคบบญชา หรอเจาหนาทควบคมการรกษาความปลอดภย หรอเจาหนาทผรบผดชอบ

2) เมอปรากฏวาการละเมดการรกษาความปลอดภยไดเกดขนแลว เจาหนาททเกยวของหรอเจาหนาทควบคมการรกษาความปลอดภย ตองรบด าเนนการดงน

- รายงานผบงคบบญชา และแจงกรรมการสนเทศทหาร กองบญชาการทหารสงสด เพอใหค าแนะน าชวยเหลอในเรองดงกลาว

- ส ารวจความเสยหายอนเกดจากการละเมดการรกษาความปลอดภย คนหาสาเหตแหงการละเมด ตลอดจนจดออน ขอบกพรอง และความปลอดภยของเครองจกรค านวณและอปกรณ

- ในกรณทระบบการรหสของหนวยสญหาย หรอสงสยวารวไหล ใหเจาหนาทควบคมการรกษาความปลอดภยของหนวย รายงานดวน ใหผบงคบบญชาตามล าดบชนทราบโดยเรวทสด และพจารณาน าระบบรหสส ารองทเตรยมไวใชแทน

- หากปรากฏหลกฐานหรอสงสยวา ถกจารกรรม หรอกอวนาศกรรม ใหรายงานผบงคบบญชาตามล าดบชนทราบ

7

เพอสงการใหเจาหนาทผมอ านาจในดานการสบสวนและสอบสวนด าเนนการตอไป

ขอ 4 ความรบผดชอบของผบงคบบญชา 1) แจงใหสวนราชการเจาของเรองเดม หรอเจาของขอมลทมขายงาน

รวมกนทราบทนท 2) สงการสอบสวนหาตวผกระท าผด และผรบผดชอบโดยเรวทสด 3) พจารณาแกไขขอบกพรอง และปองกนมใหเหตการณเชนนอบตซ า

อก 4) พจารณาสงการลงทณฑ หรอด าเนนคดตามกฎหมายตอผละเมด

ผเกยวของกบการละเมด และผรบผดชอบเมอมการละเมด หรอไมปฏบตตามระเบยบน จะโดยเจตนาหรอไมเจตนา และการละเมดนนจะเกดความเสยหาย หรอยงไมเกดความเสยหายตอทางราชการกตาม

ขอ 5 ความรบผดชอบของเจาของเรอง เมอไดรบการแจงวาไดเกดการละเมดการรกษาความปลอดภย ใหสวน

ราชการเจาของเรองเดมด าเนนการดงน 1) พจารณาวาเอกสารกรรมวธขอมล ประมวลลบ หรอรหสทจ าเปนใน

การใชวงจรสอสารทางสายมผลกระทบกระเทอนเสยหายอยางใดหรอไม

2) ขจดความเสยหายทเกดขนหรอคาดวาจะเกดขนจากการละเมดโดยทนท ในการนอาจจะตองด าเนนการแกไขเปลยนแปลงแผนงานและวธปฏบต พรอมทงปจจยตางๆ ทเกยวของตามทเหนควร

ขอ 6 ในกรณทการละเมดการรกษาความปลอดภยเกดผลกระทบกระเทอนเสยหายอยางรายแรงใหอยในดลพนจของผบงคบบญชาแกไขเปลยนแปลงแผนงานและวธปฏบต หากจ าเปนใหรายงานหนวยเหนอตามความเหมาะสม

ขอ 7 ใหสวนราชการทมหนวยกรรมวธขอมลอตโนมตอยในสงกด ออกระเบยบปลกยอยได โดยไมขดตอระเบยบน

8

2.3 งานวจยทเกยวของ 2.3.1 โปรแกรมเชงศกษาทเกยวของกบโครงงาน รปแบบท 1 [2]

วตถประสงคของการตดตามไฟล เนองจากไฟลขอมลของบรษทมจ านวนมากขน ซงอาจจะอยในรปแบบ

ของขอมลอเลกทรอนกสจงมความจ าเปนในการควบคมและการจดการไฟลขอมลดงกลาว ถอเปนสงส าคญของไฟลขอมลเหลานทจะตองถกตดตาม

ตดตามไฟลขอมลเฉพาะบนเครองลกขายส าหรบการจดการเอกสารและไฟลขอมลทม

- การจดการเอกสาร / ไฟล - เวอรชน - การรกษาความปลอดภยของผใช - การเขารหสไฟล - แจงเตอนทางอเมล - ตรวจสอบ / ออกและใชส าหรบการตดตามและการตดตามเอกสาร

ทไมซ ากนส าหรบไฟล สงทตองตดตามหรอไม

การไหลของขอมล (ภายนอก และภายในบรษท) และเปลยนแปลงขอมล (สราง แกไข ลบ) ลกษณะการท างาน

- ขนตอนการตดตาม - การควบคมและบนทกการเขาถงแฟม - ตดตามการเปลยนแปลงควบคมและปรบปรงบนทกแฟม - เอกสาร / การจดการแฟม - รน - ความปลอดภยผใช - เขารหสลบแฟม - อเมลแจงเตอน - ตรวจสอบการเขา/ ออกระบบ

ท าไมตองตดตามไฟลขอมล - แฟมตดตามเปนสวนส าคญของการบรหารความเสยงขององคกร

และการแขงขน - แฟมตดตามผใชงานระบบภายในเครอขาย โดยเขาควบคม

ตรวจสอบและปรบปรงการควบคมตรวจสอบแฟม

9

2.3.2 โปรแกรมเชงศกษาทเกยวของกบโครงงาน รปแบบท 2 แฟมระบบตดตาม

การบนทกเกบรกษาขอมลดวยกระดาษยงคงมการใชอยหลายบรษท และอตสาหกรรมใด ๆ ทตดตามไฟลและการจดการบรหารดวยระบบซอฟตแวร (บารโคดหรอ RFID) เปนสวนประกอบ บางครงอาจจะเกดความลมเหลวหรอผดพลาดไดซง BarcodesInc สามารถใหบรการฮารดแวรและซอฟแวรชวยในการรกษาขอมลเกยวกบเอกสารและไฟลโดยมระบบตามสถานทตดตามเอกสารและโฟลเดอรตวเองเชนเดยวกบทปจจบนอาคารชน หองพก ต ฯลฯ โดยท าหนาทชวยลกคาแกปญหาไฟลทหายไปและมการบนทกลดชวโมงคนเสยเวลาคนหาเอกสารทถกใสผดและแกปญหาทเกยวของกบการปฏบตตามและการตรวจสอบ แมวาธรกจหลกของผใชงาน จะไมไดอยในการจดการเอกสาร แตหลายองคกรยงคงสามารถไดรบประโยชนจากการแกปญหาเหลานส าหรบงาน เชน การรบประกนและการจดการสญญาเชา

2.4 ทฤษฎทเกยวของ

2.4.1 MySQL [3] MySQL เปนโปรแกรมระบบส าหรบจดการฐานขอมล โดยท าหนาทเกบขอมล

อยางเปนระบบ รองรบค าสง SQL เปนเครองมอส าหรบจดเกบขอมล ทตองใชรวมกบเครองมอหรอโปรแกรมอน เพอใหไดระบบงานทรองรบความตองการของผใช ซงตวโปรแกรมถกออกแบบใหสามารถท างานไดบนระบบปฏบตการทหลากหลาย และเปนระบบฐานขอมลโอเพนทซอรท (Open Source) จงนยมน าไปใชงานจ านวนมากโดยท MySQL เปนระบบจดการฐานขอมลแบบ relational ซงฐานขอมลแบบ relational จะท าการเกบขอมลทงหมดในรปแบบของตารางแทนการเกบขอมลทงหมดลงในไฟลเพยงไฟลเดยว ท าใหท างานไดรวดเรวและมความยดหยน นอกจากนน แตละตารางทเกบขอมลสามารถเชอมโยงเขาหากนท าใหสามารถรวมหรอจดกลมขอมลไดตามตองการ โดยอาศยภาษา SQL ทเปนสวนหนงของโปรแกรม MySQL ซงเปนภาษามาตรฐานในการเขาถงฐานขอมลMySQLซงการจดเกบขอมลภายในระบบฐานขอมลสามารถชวยแกปญหาของการประมวลผลดวยระบบไฟลได ดงตอไปน

- ลดความซ าซอน และความไมสอดคลองของขอมล - สามารถใชขอมลรวมกนได - ขอมลมความคงสภาพ - ชวยลดความซ าซอนในการเขาถงขอมล - ขอมลมความปลอดภย - ขอมลทจดเกบมความเปนอสระของขอมล

10

2.4.2 ภาษา C# [4] ภาษา C# ออกแบบใหท างานกบ .NET platform ของ Microsoft เพออ านวย

ความสะดวกในการแลกเปลยนสารสนเทศและบรการผานเวบ ภาษา C# ถกพฒนาขนโดยเปนสวนหนงในการพฒนาโครงสรางพนฐานของ .NET Framework เปนการการน าขอดของภาษาตางๆ (เชนภาษา Delphi , ภาษา C++) มาปรบปรงเพอใหมความเปน OOP (โปรแกรมเชงวตถ) มากขน ขณะเดยวกนกลดความซบซอนในโครงสรางของภาษาลง และมสงทเกนความจ าเปนนอยลง โดยจดเดนหลกๆ ของภาษา C# มดงน

- Component oriented เปนภาษาทเนนชนสวนโดยถกออกแบบมาเปนอยางดท าใหสามารถน ามาใชตอกนเปนอะไรกได

- สงตาง ๆ ใน C# เปนออบเจกตทงหมด - เปนภาษาททนทาน (robust) ทนตอความผดพลาดไมท าใหระบบแฮงก

หรอระบบท างานชา - ภาษา C# จดเตรยมกลไกไวหลายอยางทชวยใหผเขยนโปรแกรมสามารถ

น าโคดทเขยนไวในโปรเจคหนงไปใชกบอกโปรเจคหนงไดงาย 2.4.3 ASP (Active Server Page) [5]

ASP (Active Server Pages) คอเทคโนโลยในการพฒนาแอปพลเคชนส าหรบการท างานบน Web Page เพอทจะเพมประสทธภาพของการท าโปรแกรมประเภท CGI (Common Gateway Interface) โดยโปรแกรม CGI นเองจะเปนตวทคอยสอสารกบ Web Server ในการแสดงผลขอมลทไดรบมาจาก database จากการรองขอของขอมลจากผใช เปนเทคโนโลยทออกแบบขนมาเพอท าใหงานดานการสรางแอปพลเคชนบนเวบไซตท าไดงายขน ซง ASP มจดเดนในการใชพฒนาและจดการกบสวนทเปนแอปพลเคชนบนเวบ Server

เอกสารทใชงานส าหรบ ASP นนจะเปนลกษณะของแฟมขอความทมนามสกลเปน .asp หรอ .asa ซงจะแตกตางจากเอกสาร HTML ทมนามสกลเปน .html หรอ .htm ส าหรบ ASP นน ตวเอกสารจะประกอบดวยภาษาสครปต เชน VBScript หรอ Jscript ซง TAG ของ ASP จะสามารถใชงานรวมกบ TAG ของ HTML ไดโดยจะใชเครองหมาย<>ก ากบ ซงไมสามารถใชแสดงผลบน Web Browser ทวไปได สงผลใหการท างานของ ASP เปนลกษณะของ Server Side Scriptเอกสาร ASP ถกจดเกบอยในฝ ง Server เมอมการเรยกใชงานเอกสาร Web Server จะท าการแปลงเอกสารนใหอยในรปของ HTML และน าไปแสดงผลยง Web Browserใน ASP เราสามารถเขยน Script ไดจากภาษาตางๆ ไมวาจะเปน VB Script, Jscript, Java Script หรอ Peal Script กได ซงถาเราเขยนโดยไมก าหนดภาษาทน ามาใช ASP จะตความวาเราใชภาษา VB Script ในการเขยน

2.4.4 XML [6] XML ยอมาจาก Extensible Markup Language มโครงสรางทประกอบดวย

แทกเปด และแทกปดเชนเดยวกบภาษา HTML แตภาษา XML คณสามารถสรางแทกรวมทง

11

ก าหนดโครงสรางของขอมลไดเองซงความสามารถตรงนตวภาษาท าไมไดเพราะภาษา HTML ถกก าหนดแทกตายตวโดย W3C หรอ World Wide Web Consortium อาจกลาวไดวา XML เปนสวนเสรมของ HTML เพราะตว XML ไมสามารถแสดงผลไดในตวของมนเองหากตองการแสดงผลทถกตอง จะตองมการใชรวมกบภาษาอน เชน HTML,JSP, PHP , ASP หรอภาษาอน ๆ ทสนบสนน XML จะมนามสกลเปน .XML สามารถสรางขนจากโปรแกรมประเภท Text Editor ใดกได สงทถอไดวาเปนเสนหของ XML นนจะเปนความสะดวกในการจดการดานระบบการตดตอกบผใชจากโครงสรางของขอมล เราสามารถน าขอมลจากหลายแหลงมาแสดงผลและประมวลผลรวมกนไดกสามารถแปลงใหเปน XML ได และในสวนของขอมลสามารถปรบใหเปน HTML ไดส าหรบประโยชนในการใชงานนนเราจะสามารถน ามาใชส าหรบการเขาถงระบบขอมลขนาดใหญใชกบระบบเครอขายในองคกรหรออนเตอรเนตเพอดขอมลหรอเรยกใชขอมลทใหการแสดงผลทางหนาจอทรวดเรวโดยจดเดนของ XML มดงน

- ดเอกสารไดงาย สะดวก และไดผลดเหมอน HTML - เขยนงาย สนบสนนการประยกตใชกบงานตางๆและสนบสนนโปรแกรม

ประยกตตาง ๆ - อานไดดวยมนษย โดยไมตองอาศยโปรแกรมหรอเครองมอชวยแปล - การเขยน XML ท าไดดวยการใช Text editor ทวไป - ใชเปนตวควบคมขอมล (Meta data) จงเปนแนวทางในการขนสงขอมล

และสรางการเชอมโยงระหวางแอปพลเคชนไดงาย - สนบสนน UNICODE ท าใหใชไดกบหลากหลายภาษา และผสมกนได

หลากหลายภาษา - ดงเอกสาร XML มาใชงานไดงาย และใชรวมกบโปรแกรมประยกตอนได

งาย เชน โปรแกรม DB2, Oracle, SAP เปนตน 2.4.5 Event Log [7]

ในระบบปฏบตการของ Windows XP และ Windows 7 นน จะมกระบวนการในการเกบ log ในแตละประเภทไวใน Event Viewer ประเภทของ log ทเกบ Application Log , System log , Security Log , Forwarded Event Log (มใน Windows 7) ชวยใหผดแลระบบวเคราะหเหตการณหรอวาระบการเกดเหตการณหรอแหลงทมาของเหตการณนนๆ ไดแลว ยงจะชวยปองกนไมใหเกดขอผดพลาดกบระบบในอนาคตได และยงสามารถด Log เหตการณทเกดยอนหลงไดอกดวย เพอตรวจสอบวาเหตการณนเกดขนมาแลวกคร ง

2.4.6 การวเคราะหเหตการณ ในแตละรายการ log นนจะถกแยกโดยประเภทของเหตการณ และมขอมล

Property ไวอธบายขอมลของ log นนๆ ในแตละเหตการณ มทงใน Windows XP และ Windows 7 ดงตอไปน

12

รปท 2.1 แสดงประเภทของเหตการณขอมล Log ใน Windows XP

ขอมล Property ของเหตการณใน Windows XP มขอมลดงตอไปน - Type ประเภทของเหตการณ สามารถเปนหนงใน

หาประเภท Information , Warning , Error , Success Audit , Failure Audit

- Date วนทเหตการณเกดขน - Time เวลาทเหตการณเกดขน - Source แหลงของเหตการณ สามารถเปนชอของ

โปรแกรม คอมโปแนนทของระบบ หรอคอมโปแนนทขอ งแ ต ล ะคอมโปแนนทขอ งโปรแกรมขนาดใหญ

- Category การแยกประเภทของเหตการณโดยแหลงของเห ตการณ ใช งานเ ปนหลกในส วนของ Security Log

- Event ID หมายเลขเหตการณท ระบประเภทของเหตการณ

- User ชอทใชในการ Login เมอเกดเหตการณขน - Computer ชอของคอมพวเตอรทเกดเหตการณขน

13

รปท 2.2 แสดงประเภทของเหตการณขอมล Log ใน Windows 7 ขอมล Property ของเหตการณใน Windows 7 มขอมลดงตอไปน

- Level ใน Windows XP จะเปน Type แตใน Windows 7 นน จะใชค าวา Level แทน และ Level ใน Windows 7 นนกจะมการเพมชนดของ Level เขามาอก 1 ตว โดยจะ ม Information , Warning , Error ,Critical , Success Audit , Failure Audit

- Date and Time วนทและเวลาของเหตการณทเกดขน - Source แหลงของเหตการณ สามารถเปนชอของ

โปรแกรม คอมโปแนนทของระบบ หรอคอมโปแนนทขอ งแ ต ล ะคอมโปแนนทขอ งโปรแกรมขนาดใหญ

- Event ID หมายเลขเหตการณท ระบประเภทของเหตการณ

- Task Category การแยกประเภทของเหตการณโดยแหลงของเห ตการณ ใช งานเ ปนหลกในส วนของ Security Log

- Log จะเปนตวบอกกลมของเหตการณทเกดขน เชน Application , System , Setup เปนตน

- User ชอทใชในการ Login เมอเกดเหตการณนนขน

14

- Keywords ก าหนดประเภทหรอ Tags ทสามารถใชในการกรองหรอเพอคนหาเหตการณ เชน Network , Security , Resource not found เปนตน

- Computer ชอของคอมพวเตอรทเกดเหตการณขน 2.4.7 ประเภทของเหตการณ

คอ ค าอธบายของแตละเหตการณทไดรบการบนทกลงไปในแตละกลมของ Event Log และแตละเหตการณทเกดขนนนกสามารถแยกเปนชนดไดดงน

รปท 2.3 แสดงประเภทของเหตการณของ Event Log

Information (ขอมล) เหตการณทอธบายการท างานทส าคญของงาน เชน Application

Driver หรอ Service ตวอยางเชน เหตการณขอมลทไดรบการบนทกเมอโหลด Driver เครอขายส าเรจ Warning (ค าเตอน)

เหตการณทไมส าคญมาก อยางไรกตาม อาจจะบอกถงโอกาสในการเกดของปญหาในอนาคต ตวอยางเชน ขอความการเตอนจะไดรบการบนทกไวใน Log เมอพนทวางใน Disk เรมนอยลง Error (ขอผดพลาด)

เหตการณทอธบายปญหาส าคญ เชน ความลมเหลวของงานส าคญ เหตการณความผดพลาดอาจเกยวกบการสญหายของขอมลหรอการสญเสยฟงกชน ตวอยางเชน เหตการณขอผดพลาดจะไดรบการบนทกหาก Service ไมสามารถโหลดระหวางการเรมตนได

15

Critical (วกฤต) ส าหรบชนด Log ชนดน จะมเพมเขาใน Windows 7 โดย Log ชนดน

จะบอกถงเหตการณความลมเหลวทเกดขนจากโปรแกรมหรออปกรณทไมสามารถกคนไดโดยอตโนมต Success Audit (การรกษาความปลอดภย)

เหตการณทอธบายถงความส าคญของเหตการณการรกษาความปลอดภย ทตรวจสอบ ตวอยางเชน เหตการณการตรวจสอบทส าเรจจะไดรบการบนทกเมอผใช Login เขาสคอมพวเตอร Failure Audit (ลอคการรกษาความปลอดภย)

เหตการณทอธบายเหตการณการรกษาความปลอดภยทมการตรวจสอบทไมส าเรจ ตวอยางเชน Failure Audit อาจไดรบการบนทกไวเมอผใชไมสามารถเขาถง Drive เครอขายได

16

บทท 3 การออกแบบโปรแกรม

3.1 กลาวน า

ในการออกแบบโปรแกรมระบบตดตามการใชไฟลขอมลภายในเครอขาย มวตถประสงคทตองการตรวจสอบและตดตามพฤตกรรมการใชไฟลขอมลของเครองลกขายภายในหนวยงาน เพอเปนการปองกนการกระท าการจากผไมหวงด และท าการละเมดการรกษาความปลอดภยในหนวยงาน ซงตวโปรแกรมจะมหนาทเฝาดและตดตามไฟลขอมลจากผใชงานทเขามาภายในระบบ โดยจะท าการบนทกขอมลและเหตการณทไดกระท ากบขอมลตางๆนนไวเปนหลกฐาน และจดเกบไวในรปแบบของไฟล หรอเรยกวา อเวนทลอค ซงจะเกบรายละเอยดตางๆตามทไดก าหนดไวในฐานขอมล แลวสามารถสงมายงเครองแมขายเพอแสดงผลการตดตามไฟลขอมลใหแกเจาหนาทเกยวของไดทราบ ในรปแบบรายงาน กราฟแสดงผล เพอบนทกไวเปนหลกฐานอางอง หากมการกระท าความผดตอผใชงานภายหนวยงาน 3.2 ความตองการพนฐานของระบบในการทดลองโครงงาน

3.2.1 ระบบปฏบตของ Microsoft ตงแตเวอรชน Windows XP 3.2.2 โปรแกรม Microsoft Visual Studio 3.2.3 Microsoft .Net Framwork 4.0 ขนไป 3.2.4 โปรแกรมระบบจดการฐานขอมล MySQL

3.3 การท างานของ Even Log

3.3.1 ระบบสงและรบ Event Log การท างานของระบบสงเหตการณจะท างานโดยเมอมเหตการณใดๆ เกดขน

เชน การเปดปด Service การเกดขอผดพลาดของโปรแกรมตางๆ ทางเครองลกขาย จะท าการเชอมตอไปยง Event Log Server เมอท าการเชอมตอไดแลว กจะท าการจดสงขอมลเหตการณทเกดขนขนมายงเครอง Event Log Server

รปแบบของขอมล Event Message Event Message เปนสวนชองขอมลทเครอง Client ท าการจดสงมายงเครอง Event Log Server โดยขอมลตางๆ ทไดท าการจดสงมขอมลดงตารางท 3.1

17

ตารางท 3.1 ตารางชนดของขอมลทอยใน Event Message Type log Event ID Entry Type Message Client Name IP Address

1. Type log คอ ประเภทของ Event ทเกดขน เชน Application , System , Security เปนตน

2. Event ID คอ หมายเลขเหตการณทระบประเภทเหตการณ สามารถใช Event ID ในการแกปญหาวาเกดอะไรขนบางในขณะนน

3. Entry Type คอ ประเภทของเหตการณ สามารถเปนหนงใน 6 ประเภท ถารวม Entry Type ใน Windows 7 ดวย แตใน Windows 7 จะใชค าวา Level แทน ไดแก Information , Warning ,Error ,Critical ,Success Audit หรอ Failure Audit

4. Message คอ ขอความอธบายวาเหตการณทเกดขนเกดจากสาเหตอะไร 5. Client Name คอ ชอของเครอง Client นน ไดท าการจดสง Event Log มา 6. IP Address คอ หมายเลข IP Address ของเครอง Client ทเกดเหตการณ

นนในขณะนน 3.3.2 Event Log ในกลมตางๆ Event Log คอ Log File ของระบบปฏบตการ Microsoft Windows โดยใน

ระบบปฏบตการ Microsoft Windows นนมสวนของ Event Viewer ทท าหนาทเกยวกบการแสดงขอมลของ Log โดยการขอรบขอมลเกยวกบ Hardware Software และ Component ระบบ และตรวจสอบกจกรรมของการรกษาความปลอดภยในเครองคอมพวเตอร ในระบบหรอแบบระยะไกล Event Log สามารถชวยระบและชวยในการวเคราะหปญหาตนเหตของปญหาในเครองคอมพวเตอร ดงในรปท 3.1

18

รปท 3.1 รปแสดง Event Viewer ใน Windows 7

ในรปท 3.1 นน จะแสดงหนาจอของ Event Viewer บน Windows 7 ซงใน Event Viewer นจะม Tool ชวยในการจดการ Log ทเกดขน ไมวาจะเปนการ Filter Log ทละเอยดกวา Filter ของ Event Viewer บน Windows XP หรอจะเปนการ Create Custom Viewer ซงบน Windows XP ไมมแลวยงจะมในสวนของ Log ทนอกเหนอจาก Log ของ Windows ดวยไมวาจะเปน Log ทเกยวกบโปรแกรม Microsoft Office ซงจะอยในสวนของ Application and Services Log และยงม Log อกหลายตวทเพมเขามาซงจะอยใน Application and Service Log ดวยซงกจะชวยใหการจดการ Log หรอการวเคราะห Log ท าไดดขนและวเคราะหถงปญหาทเกดขนไดละเอยดและถกตองมากขนดวย แตในบางสวนทเกยวกบการบอกคาของ Log ระหวาง Windows7 กบ Windows XP นนอาจจะบอกคาเดยวกน แตการเรยกอาจจะเรยกไมเหมอนกน ใน Windows XP ชนดของ Log เชน Information , Error นนจะใชค าวา Type ในการเรยก แตส าหรบใน Windows 7 นนจะใชค าวา Level แทนซงบางครงอาจจะท าใหสบสนได

19

รปท 3.2 Applications and Service Logs

รปท 3.2 Applications and Service Logs คอ กลมใหมของ Event log ทบนทกจาก Application บน Windows โดยเวลาจะดตองเลอกชอ Application ทตองการดวย 3.4 โครงสรางไดอะแกรม

File Server

� (Run Sctipt)

� �

� � �

�

�

Event

�� /

Event

Database

ServerFile_trace Event

1

2

3

4

รปท 3.3 โครงสรางไดอะแกรมและองคประกอบของโครงงาน

20

จากรปท 3.3 แสดงใหเหนถงภาพรวมของระบบ โดยมองคประกอบของโปรแกรมดวยกน 4 สวน คอ

3.4.1 เซรฟเวอรเซอรวส ท าหนาทส าหรบการจดเกบและจดการสวนกลางของไฟลขอมล ซงคอมพวเตอรทอยภายในเครอขายเดยวกนสามารถเขาถงไฟลน โดยสามารถจดการสทธใชงานไฟลขอมลภายในเซรฟเวอรของผใชงานภายในองคกรตามล าดบต าแหนงสวนงานผใชงานไดงายและเหมาะสม อกทงยงสามารถแสดงรายละเอยดการใชงานไฟลขอมลพรอมระบตวตนของผใชงาน เพอลดปญหาหากขอมลภายในไฟลเซรฟเวอรสญหาย ดวยเหตนจงท าการพจารณาการก าหนดสทธของผใชงานในการเขาถงระบบไฟลเซรฟเวอร โดยดงน

3.4.1.1 สวนงานและต าแหนงงานของผใชงาน โดยพจารณาจากผใชงานวาสามารถเขาถงไฟลขอมลไดระดบไหน

จากนนจงท าการก าหนดสทธใหกบผใชงานสามารถเขาถงขอมลไดตามทก าหนดไว โดยสงวนมใหเขาไปใชไฟลขอมลสวนกลางอน ทงนในเรองของล าดบชนในแตละระดบของสวนงานกจะถกพจารณาในการใหสทธใชงานดวยเชนกน เพอใหสามารถเขาถงขอมลในสวนทส าคญของหนวยงานแตกตางกนไปตามล าดบชน

3.4.1.2 ไฟลขอมลสวนกลาง เปนแหลงเกบไฟลขอมลตางๆ ทถกตงขนมาภายในระบบเซรฟเวอร

เซอรวส เพอวตถประสงคใหหนวยงานใชงานรวมกน ตามสทธเขาถงไฟลขอมลสวนกลางของผใชงานภายในหนวยงาน

CEO

SVP

SVP

MGR

SVP

MGR

STAFF

STAFF

STAFF

MGR

รปท 3.4 จ าลอง Organize Chart

21

จากรปท 3.4 เปนการจ าลองใหเหนล าดบชนของต าแหนงงาน ซงจะสมพนธกบการใชงานระบบ กลาวคอ ระดบผบงคบบญชา ซงอยในชนต าแหนงบนสด หรอมสทธการเขาถงขอมลสวนกลางสงสด และระดบเจาหนาทซงอยในต าแหนงลางสดมสทธการเขาถงขอมลสวนกลางนอยทสด

รปท 3.5 ขอมลในไฟลเซรฟเวอร

3.4.2 ดาตาเบสเซรฟเวอร คอโปรแกรมทท าหนาทใหบรการดาตาเบส หรอฐานขอมล คอ กลมของขอมลทถกเกบรวบรวมไว โดยมความสมพนธซงกนและกน โดยไมไดบงคบวาขอมลทงหมดนจะตองเกบไวในแฟมขอมลเดยวกนหรอแยกเกบหลาย ๆ แฟมขอมล โดยแตละแฟมขอมลจะประกอบดวยขอมลสวนยอย ๆ หรอฟลดหลายชนทมความสมพนธเกยวของกนและขอมลแตละชดทจดเกบในแฟม โดยจะแยกออกเปนแฟมๆคลายกบการจดเกบในแฟมเอกสารทเปนกระดาษปกต แตมประสทธภาพการใชงานและการบ ารงรกษาทดกวา

3.4.3 ไคลเอนต เซอวส เ ปนโปรแกรมทถกรนอยบนเครองของผ ใช เพอเรยกใชบรการจากเซรฟเวอร ไคลเอนตจะเปดชองทางสอสารกบเซรฟเวอรโดยใชไอพแอดเดรส และหมายเลขพอรตของเซรฟเวอร เมอชองทางการสอสารเปดออกแลว ไคลเอนตสามารถสงค ารองและรบบรการจากเซรฟเวอรได

3.4.4 เวบแอพพลเคชน คอ การพฒนาระบบงานบนเวบ ซงมขอดคอ ขอมลตาง ๆ ในระบบมการไหลเวยนในแบบ Online ทงแบบ Local (ภายในวง LAN) และ Global (ออกไปยงเครอขายอนเตอรเนต) ท าใหเหมาะส าหรบงานทตองการขอมลแบบ Real Time ระบบมประสทธภาพ แตใชงานงาย ระบบงานทพฒนาขนมาจะตรงกบ

22

ความตองการกบหนวยงาน เครองทใชงานไมจ าเปนตองตดตงโปรแกรมใด ๆ เพมเตมทงสน

3.5 กระบวนการท างานของระบบตดตามไฟลขอมลภายในเครอขาย

รปท 3.6 กระบวนการท างานของระบบตดตามไฟลขอมลภายในเครอขาย

กระบวนการท างานของระบบตดตามไฟลขอมลภายในเครอขาย มล าดบขนตอนดงตอไปน

1) ตวโปรแกรมทไดท าการตดตงอยภายในเครองเซรฟเวอรเซอรวส จะมหนาทในการเฝาสงเกตการณดไฟลขอมลทอยภายในไฟลเซรฟเวอรวามการเปลยนแปลง หรอแกไขอยางไร ซงตวโปรแกรมจะท าการส ารวจการเปลยนแปลงทไดกระท าขน ทงในสวนของการเพมไฟลขอมล ลบไฟลขอมล เปนตน เพอไดทราบสถานะของไฟลขอมลลาสดในปจจบน แลวท าการอพเดทขอมลของไฟลขอมลในไฟลเซรฟเวอรลงฐานขอมล ในสข นตอนถดไป

2) เมอมการกระท าเกยวกบไฟลขอมลภายในไฟลเซรฟเวอร ทตวโปรแกรมไดท าการตดตามและส ารวจขอมลการเปลยนแปลงลาสดทไดท าการอพเดทมาแลว ระบบจะท าการบนทกลงใน ฐานขอมลในตารางชอวา File_trace ซงไดท าการก าหนดไวอย

23

ภายในระบบฐานขอมลของดาตาเบส ทใชส าหรบในการจดเกบขอมลทเกยวของกบการเปลยนแปลงทไดกระท าไฟลขอมลภายในไฟลเซรฟเวอร

3) ในสวนถดมา คอสวนของเครองผใชงานคอมพวเตอรภายในหนวยงานทไดท าการเชอมตอระบบอยภายในเครอขายเดยวกน ระบบจะท าการตดตามไฟลขอมลทน าออกมาจากไฟลเซรฟเวอร เชน กรณผใชงานไดท าการคดลอกไฟลขอมลอนๆ ออกมาจากไฟลเซรฟเวอรอก ระบบจะท าการอพเดทขอมลไฟลขอมลลาสด ซงโปรแกรมจะท าการตรวจสอบ ตดตามการเปลยนแปลงของไฟลดงกลาวทผใชงานไดกระท าไว

4) โปรแกรมเอเจนตทฝงอยภายในเครองใชงานของลกขาย จะท าการเฝาตดตามการเคลอนไหวของไฟลขอมลทเกดขนจากการน ามาจากไฟลเซรฟเวอร โดยท าการอพเดทไฟลขอมลทท าการตดตามไวดวาผใชงานมการท าสงใดบางกบไฟลขอมลบาง หลงจากไดคดลอกน าออกมาจากไฟลเซรฟเวอร

5) เมอเกดการกระท าเกยวกบไฟลขอมลซงอยภายในเครองลกขาย ระบบจะท าการตดตามและบนทกการเคลอนไหวของไฟลขอมล เชน ผใชงานท าการคดลอกไฟลขอมลจดเกบไวในเครองคอมพวเตอรของผใชงาน หรอมการแกไขชอของไฟลขอมล ระบบจะท าการบนทกเหตการณการกระท ากบไฟลขอมลของผใชงาน ลงในเครองของผใชงานในรปแบบไฟล File_attributes.xml

6) กรณเกดเหตการณวกฤต ซงระบบไดท าการตดตามไฟลขอมล โดยมการกระท ากบไฟลขอมลทตดตาม เมอผใชงานไดมการกระท ากบไฟลขอมลโดยการคดลอกไฟลขอมลบออกจากเครองลกขายของผใชงาน ระบบตดตามไฟลขอมลภายในเครอขาย จะท าการบนทกเหตการณทเกดขน เชน มการคดลอกไฟลขอมล ไปยงอปกรณ Thumb drive เพอน าออกจากเครองคอมพวเตอร ระบบจะท าการบนทกขอมลลงในฐานขอมลตาราง Event ทไวส าหรบการบนทกลงยงฐานขอมลการกระท าเกยวกบไฟลขอมลดงกลาว

7) ผดแลระบบสามารถตรวจสอบการตดตามไฟลขอมลของผใชงานภายในหนวยงานได โดยสามารถใชงานผานเวบแอพพลเคชน ทไดท าการออกแบบไว โดยสามารถแสดงเปนรปแบบของรายงาน หรอแผนภมแทงได ตามความเหมาะสมของผใชงาน

24

3.6 แผนภาพการไหลขอมล (Context Diagram)

รปท 3.7 แผนภาพการไหลขอมล (Context Diagram)

จากรปท 3.7 เปนแผนภาพคอนแทคของระบบตดตามการใชไฟลขอมลภายในเครอขาย

ประกอบดวย ฝ งผดแลระบบ และฝ งผใชงานระบบตดตอกบระบบการตรวจตดตามไฟลขอมลน ซงระบบจะคอยตรวจตดตามพฤตกรรมการใชไฟลขอมลของผใชงานภายในระบบเครอขาย และบนทกเขาไปในระบบเพอรายงานพฤตกรรมการใชของผใช โดยผดแลระบบสามารถเลอกดพฤตกรรมของผใชแตละคนได

ล าดบการท างานของระบบตดตามไฟลขอมลภายในเครอขาย สามารถแสดงขนตอนไดดงน

25

�

�

File_trace

รปท 3.8 ล าดบการท างานของระบบตดตามไฟลขอมลบนไฟลเซรฟเวอร

การท างานของระบบตดตามไฟลขอมลบนไฟลเซรฟเวอร โปรแกรมทไดท าการตดตงบนไฟลเซรฟเวอร จะท าหนาทในการตรวจสอบ ด

การเปลยนแปลงของไฟลขอมลในไฟลเซรฟเวอร แลวท าการอพเดทขอมลกรณมการเปลยนแปลงทเกยวกบไฟลขอมล หลงจากนนท าการบนทกการเปลยนแปลงทเกดขนลงในฐานขอมล File_trace ตามทไดก าหนดไว

26

� File_trace

� �

�

File_attributes.xml

รปท 3.9 ล าดบการท างานของระบบตดตามไฟลขอมลบนเครองลกขาย

การท างานของระบบตดตามไฟลขอมลบนเครองลกขาย โปรแกรมทไดท าการตดตงบนเครองลกขาย จะท าหนาทในการตดตาม

ไฟลขอมลเมอผใชงานไดกระท าการเกยวกบไฟลขอมลบนไฟลเซรฟเวอร โดยตรวจสอบไฟลขอมลวามสงใดเกดขนบาง เพอท าการอพเดทขอมลลงในฐานขอมล File_trace ซงเมอมเหตการณทกระท ากบไฟลขอมล โดยอยภายในเครองลกขายของผใชงาน ระบบจะท าการบนทกลงในไฟล File_attributes.xml และจะท าการอพเดทขอมลทกครงเมอมการเปลยนแปลงเกดขน

27

XML Copy �

� File_trace

� File Trace Log

XML

Removable

�

Log

� Event

รปท 3.10 ล าดบการท างานของเครองลกขาย กรณไฟลขอมลทตดตามออกจากเครองลกขาย

28

การท างานของเครองลกขาย กรณมการกระท ากบไฟลขอมลทตดตามออกจากเครองลกขาย

โปรแกรมทไดท าการตดตงบนเครองลกขาย จะท าหนาทในการตรวจสอบการเคลอนไหวของไฟลในเครองลกขาย เมอมเหตการณกระท ากบไฟลขอมลทเกดนนบนเครองลกขายของผใชงาน ระบบจะท าการเปรยบเทยบไฟลขอมลวาตรงกบเรดคอรดใน File_trace หรอไม ถาการกระท าทเกดขนนน อยภายในเครองของผใชงาน ระบบจะบนทกลงในไฟล File_attributes.xml แตเมอเกดกรณการกระท ากบไฟลขอมลทระบบไดท าการเฝาตดตามไว ออกจากเครองลกขาย เชน กรณมการคดลอกไฟลขอมลไปยงอปกรณ Thumb drive เพอน าไฟลขอมลออกจากเครองผใชงาน ระบบตดตามกจะท าการบนทกลงในฐานขอมลEvent แลวสงขอมลมายงไฟลลอค เพอจดเกบส าหรบใชในการตรวจสอบ

3.7 โครงสรางฐานขอมล

3.7.1 Database Relationship Diagram

รปท 3.11 แสดง Database Relationship Diagram

3.7.2 การจดเกบอเวนทลอค ในสวนของการจดเกบอเวนทลอคนน ไดถกก าหนดรปแบบไวในฐานขอมล

เพอชวยใหผดแลระบบ มความสะดวกในการเรยกดอเวนทลอคยอนหลงไดจากฐานขอมลอเวนลอค ซงไดท าการจดเกบไวในรปแบบทไดก าหนดไวส าหรบจดเกบอเวนลอค โดยแบงเปนสวนของขอมลตาราง ดงน

File_trace File_id PK Path Name Hash Size Date_write Active

Event Event_id PK File_id FK Hostname Username Ip Media path Event_type Date_occure Message

1 M

29

ตารางท 3.2 สวนตางๆ ของฐานขอมล Event ชอฟลด ค าอธบาย ชนดขอมล ขนาด คย Event_id รหสอเวนท int 20 Pk File_id รหสไฟล int 20 Fk Hostname ชอเครอง varchar 100 Username ชอผใชงาน varchar 100 Ip หมายเลขไอพ varchar 130 Media สอขอมล varchar 100 path พาทของไฟล varchar 500 Event_type ประเภทของเหตการณ varchar 50 Date_occure วนทเกดเหตการณ datetime Message หมายเหต varchar 300

ตารางท 3.3 สวนตางๆ ของฐานขอมล File_trace

ชอฟลด ค าอธบาย ชนดขอมล ขนาด คย File_id รหสไฟล int 20 Pk Path พาทของไฟล varchar 100 Name ชอไฟล varchar 100 Hash คาแฮช varchar 130 Size ขนาดของไฟล int 100 Date_write วนทเขยนไฟล datetime 500 Active สถานะ int 50

30

3.7.3 โครงสรางไฟล File_attributes.xml

< xml >

< files >

< file >

< file_id > …………… ……………………< /file_id >

< path > …………….... ……………….< /path >

< name > ……………... ……………………..< /name >

< size > …………….... ……………….< /size >

< hash > …………….... ………………………< /hash >

< data_write > ………. ………….< /date_write >

< active > ……….......... …………....................< /active >

< /file >

< file >

…………

………….

< /file >

< files >

< xml >

รปท 3.12 แสดงสวนประกอบตางๆ ของโครงสรางไฟล File_attributes.xml

31

XML

Files

file

file_id

path name size hash

data_write

active

รปท 3.13 แสดงโครงสรางไฟล File_attributes.xml

3.8 สทธของผใชงานระบบตดตามการใชไฟลขอมลภายในเครอขาย ในดานของสทธผใชงานระบบตดตามไฟลขอมลในเครอขายน จะเปนสทธผดแลระบบเครอขายเทานน เพราะโปรแกรมนจะชวยดแลระบบไฟลขอมลทเกดการเปลยนแปลง หรอมการกระท ากบไฟลขอมล โดยสามารถชวยตดตามไฟลขอมลทส าคญภายในระบบเครอขาย อกทงผดแลระบบเครอขายภายในหนวยงาน จะสามารถมสทธในการลบไฟลขอมลทไมจ าเปน เพอชวยใหลดปรมาณพนทจดเกบขอมลภายในระบบเครอขายได

32

บทท 4 การทดลองและผลการทดลอง

4.1 กลาวน า

ภายในหนวยงานของศนยรกษาความปลอดภย ไดมการใชแชรไฟลขอมลเพอใชในองคกร หรอมการกระจายขาวขาวสารเพอใหหนวยงานทเกยวของไดรบทราบขอมลขาวสาร โดยการก าหนดชนความลบในการเขาถงขอมลขาวสาร โดยขอมลขาวสารทมความส าคญสงสดและลบทสด จะตองมการรกษาความปลอดภยในการปองกนการรวไหลของขอมลขาวสารใหดทสด เนองจากมความส าคญหรออาจสงผลกระทบตอหนวยงานขององคกร ดวยเหตน ขอมลขาวสารทไดก าหนดชนความลบวา “ลบทสด” จะท าการตงรหส เพอปองกนการเขาถงไฟลขอมล โดยผทจะสามารถท าการเขาถงไฟลขอมล จะตองทราบรหสและใชรหสในการเปดไฟลขอมล

ดวยเหตน ในการทดลองท างานของระบบตดตามไฟลขอมลภายในเครอขาย จะท าการตดตามไฟลขอมลทไมไดก าหนดชนความลบในการเขาถง หรอทมการเขารหสไฟลขอมลไว เน องจากตองการตดตามการเปลยนแปลงทเกดขนกบไฟลขอมลภายในไฟลเซรฟเวอร ตลอดจนกระทงไฟลขอมลไดถกกระท า หรอเกดเหตการณจากผใชงานภายในระบบเครอขาย ซงอยภายในเครองคอมพวเตอรของผใชงาน หรอน าไฟลขอมลออกจากเครองผใชงาน ระบบจะท าการบนทกลงฐานขอมล เพอน าขอมลมาแสดงใหเจาหนาทควบคมสามารถท าการตรวจสอบ และเปนหลกฐานได เมอเกดกรณการละเมดความปลอดภยของไฟลขอมลขนภายในหนวยงาน 4.2 วธการทดลองโครงงาน

�

(Run Sctipt)

�

�

� � �

�

� �� �

Event

�� /

EventFile_trace Event

1

2

3

รปท 4.1 ล าดบการทดลองโครงงาน

33

ขนตอนการทดสอบระบบตดตามไฟลขอมลภายในเครอขาย สามารถจดเรยงล าดบได ดงน

4.2.1 การท างานของโปรแกรมบนไฟลเซรฟเวอร

รปท 4.2 ไฟลขอมลภายในไฟลเซรฟเวอร

ในรปท 4.2 เปนการแสดงไฟลขอมลทอยภายในไฟลเซรฟเวอร เพอใชส าหรบเปนขอมลไฟลสวนกลางส าหรบผใชงานภายในเครอขายเขามาใชงาน โดยการเอาไฟลขอมลดงกลาวน าไปใชงานตอไป ซงไฟลขอมลทมความส าคญมาก ภายในหนวยงานไดท าการก าหนดสทธผใชงานและท าการใสรหสการเขาถงไฟลขอมล เพอเปนการรกษาความปลอดภยในขอมลขาวสารอกชน

34

รปท 4.3 ตดตงโปรแกรม File List Service

ในรปท 4.3 แสดงขนตอนการตดตงระบบตดตามไฟลขอมลภายในเครอขาย ซงเปนตวโปรแกรม File List Service ท าการตดตงบนไฟลเซรฟเวอรเมอจะท าการตดตง ระบบจะท าการเลอกพนทในการตดตงตวโปรแกรมในไดรฟ C:\Program Files (x86)\File Trace Inc\File List Service\ เปนคาเบองตน หลงจากนน กด Next เพอตดตงโปรแกรมขนตอไปใหแลวเสรจ

รปท 4.4 แสดงสถานะการท างานของโปรแกรม File List Service

35

ในรปท 4.4 หลงจากท าการตดตงโปรแกรม File List Service บนไฟลเซรฟเวอรแลว กเรมการท างานของโปรแกรม โดยท าการสงรนการท างานของโปรแกรมบนServices ของเครองเซรฟเวอร เพอใหโปรแกรมท างานตามตองการ

รปท 4.5 แสดงสถานะevents ของFile List Serviceบน Event Viewer

ในรปท 4.5 เมอโปรแกรมเรมท างาน สามารถเขามาดสถานะการท างานของโปรแกรม โดยจะเกด event ขน บน Event Viewer ระบบจะท าการตรวจดขอมลบนไฟลเซรฟเวอรวามไฟลขอมลอะไรในปจจบน หลงจากเรมการท างานของโปรแกรม

รปท 4.6 แสดงสถานะของไฟลขอมลบนฐานขอมล file_trace

36

ในรปท 4.6 การท างานของโปรแกรมจะท าการตรวจสอบไฟลขอมลปจจบนบนเซรฟเวอร แลวจดเกบขอมลบนฐานขอมลตาราง file_trace ซงแสดงรายละเอยด ดงน

- File_id คอ ล าดบเหตการณทเกดขนของไฟลขอมลนน แสดงถง Events ของไฟลขอมล

- Path คอ แสดงต าแหนงทอยของไฟลขอมล - Name คอ ชอของไฟลขอมล - Hash คอ ท าการจดเกบขอมลโดยใชฟงกชนแฮช ซงเปนฟงกชนการบบอด

ชนดหนง ทมขนาดของเอาทพททเลกกวาขนาดของอนพท โดยใชเปนของ MD5 ซงคา plaintext จะถกแบงออกเปนบลอก

- Size คอ ขนาดของไฟลขอมลนน - date_writeคอ แสดงสถานะวนทเขยนไฟลขอมล - active คอ ระบบจะแสดงสถานะของไฟลขอมล ถายงมไฟลขอมลภายใน

ไฟลเซรฟเวอรจะแสดงสถานะเปน 1 แตเมอถกลบ หรอเอาออกจากไฟลเซรฟเวอรจะแสดงสถานะเปน 0

รปท 4.7 แสดงสถานะบน Event Viewerเมอเพมไฟลขอมลบนเซรฟเวอร

ในรปท 4.7 เมอมการเพมไฟลขอมลบนไฟลเซรฟเวอรจะเกด events ขน

บน Event Viewer ดงตวอยางในรป เพอทราบถงการเปลยนแปลงทไดเกดขนบนไฟลเซรฟเวอร

37

รปท 4.8 แสดงสถานะบนฐานขอมลตาราง File_traceเมอเพมไฟลขอมลบนไฟลเซรฟเวอร

ในรปท 4.8 ระบบจะท าการตรวจดการเปลยนไฟลขอมลทเกดขนบนไฟล

เซรฟเวอร แลวท าการบนทกการเปลยนแปลงลงในฐานขอมลตาราง File_trace ซงท าใหเกดขอมลบนฐานขอมลเพมขน ซงโปรแกรมจะท าการตรวจสอบไฟลขอมลทเกดขน เชน กรณไฟลขอมลทมชอของไฟลนนตางกน แตมขนาดของไฟลขอมลเทากน แตตวโปรแกรมไดท าการตรวจสอบแสดงผลในคอลมน hash ซงจะพบไดวาอาจเปนไฟลอนเดยวกน เพยงแตตงชอไฟลไมเหมอนกน

รปท 4.9 แสดงสถานะบน Event Viewerเมอลบไฟลขอมลบนเซรฟเวอร

ในรปท 4.9 เมอท าการลบไฟลขอมลบนไฟลเซรฟเวอร จะเกด events ขน บน Event Viewer ดงตวอยางในรป เพอทราบถงการเปลยนแปลงทไดเกดขนบนเซรฟเวอร

38

รปท 4.10แสดงสถานะบนฐานขอมลตาราง File_traceเมอลบไฟลขอมลบนไฟลเซรฟเวอร

ในรปท 4.10 ระบบจะท าการตรวจดการเปลยนไฟลขอมลทเกดขน แลวท าการบนทกการเปลยนแปลงลงในตาราง File_traceโดยเมอเกดการลบไฟลขอมลบนไฟลเซรฟเวอร ระบบจะท าการบนทกขอมลทเกดขนลงในคอลมนของ active แลวแสดงสถานะเปน 0 เพอใหทราบวาไฟลดงกลาวเคยมอยในไฟลเซรฟเวอร แตปจจบนไดถกลบทงออกไปแลว

4.2.2 การท างานของโปรแกรมบนเครองลกขาย

รปท 4.11 ตดตงโปรแกรม File Trace Service

39

ในรปท 4.11 แสดงขนตอนการตดตงระบบตดตามไฟลขอมลภายในเครอขาย โดยท าการตดตงโปรแกรม File Trace Serviceบนเครองลกขาย ซงตวโปรแกรมเมอจะท าการตดตง ระบบจะท าการเลอกพนทในการตดตงตวโปรแกรมในไดรฟ C:\Program Files (x86)\File Trace Inc\File List Service\ เปนคาเบองตน เหมอนกบการตดตงโปรแกรม File List Service หลงจากนน กด Next เพอตดตงโปรแกรมขนตอไปใหแลวเสรจ

รปท 4.12 แสดงสถานะการท างานของโปรแกรม File Trace Service

ในรปท 4.12 หลงจากท าการตดตงโปรแกรมFile Trace Serviceบนเครองลกขายแลว กเรมการท างานของโปรแกรม โดยท าการสงรนการท างานของโปรแกรมบน Services ของเครองลกขายเพอใหโปรแกรมท างานตามตองการ

40

รปท 4.13 แสดงสถานะ events ของFile Trace Serviceบน Event Viewer

ในรปท 4.13 เมอโปรแกรมเรมท างาน สามารถเขามาดสถานะการท างานของโปรแกรม โดยจะเกด event ขน บน Event Viewerเมอเรมการท างานของโปรแกรม

รปท 4.14 กรณคดลอกไฟลขอมลมาจดเกบภายในเครองผใชงาน

รปท 4.14 เมอผใชงานไดท าการคดลอกไฟลขอมลบนไฟลเซรฟเวอร แลวท าการจดเกบไวอยภายในเครองคอมพวเตอรระบบจะท าการเปรยบเทยบไฟลขอมลวาตรงกบ เรดคอรดในฐานขอมล File_trace หรอไม

41

รปท 4.15 แสดงสถานะEvent Viewerเมอคดลอกไฟลขอมลไปเกบไวภายในเครองลกขาย

รปท 4.15 การทผใชงานไดท าการคดลอกไฟลขอมลจากไฟลเซรฟเวอร ไปเกบไวภายในเครองคอมพวเตอรของผใชงานภายในเครอขายนน จะเกด events ขน โดยโปรแกรมจะท าการเทยบดไฟลขอมลดงกลาว วาเปนไฟลขอมลตรงตามกบเรดคอรดใน File_trace หรอไม ถาตรงตามเรดคอรดระบบจะแสดงสถานะของการกระท าทไดเกดขนกบไฟลขอมลบน Event Viewer เชน ท าการคดลอกไฟลขอมลเกบไวภายในฮารดไดรฟ หรอเนตเวรคไดรฟ ภายในเครองคอมพวเตอรเปนตน

รปท 4.16 แสดงสถานะEvent Viewer หลงเปลยนชอไฟลขอมลทเกบไวภายในเครองลกขาย

42

รปท 4.16 เมอผใชงานไดท าการคดลอกไฟลขอมลไปเกบไวภายในเครองคอมพวเตอร แลวไดท าการเปลยนชอไฟลขอมล ตวโปรแกรมจะแสดงสถานะเหตการณทเกดขนใน Event Viewer

รปท 4.17 แสดงสถานะEvent Viewer เมอลบไฟลขอมลทเกบไวภายในเครองลกขาย

รปท 4.17 เมอผใชงานไดท าการลบไฟลขอมลทเกบไวภายในเครองคอมพวเตอร ตวโปรแกรมจะแสดงสถานะเหตการณทเกดขนในEvent Viewer เพอใหทราบถงการเปลยนแปลงทเกดขน

รปท 4.18 กรณผใชงานน าอปกรณบนทกขอมลชนดดงออกไดมาคดลอกไฟลขอมล

43

รปท 4.18 เมอผใชงานไดท าการน าอปกรณบนทกขอมลชนดดงออกจาก เครองคอมพวเตอรไดมาคดลอกไฟลขอมลออกจากเครองคอมพวเตอร เชน น า Thumb drive หรอ SD cade มาตอกบเครองคอมพวเตอร

รปท 4.19 แสดงสถานะEvent Viewer เมอน าอปกรณบนทกขอมลชนดดงออกไดมาใชงาน

รปท 4.19 เมอผใชงานน าอปกรณบนทกขอมลชนดดงออกไดมาใชงานตอเขากบเครองคอมพวเตอรภายในระบบเครอขาย ตวโปรแกรมจะสามารถท าการตรวจสอบ เจอไดรฟใหมทเกดขนได เพอใหทราบไดวามการเชอมตออย โดยดไดจาก Event Viewer

รปท 4.20 แสดงสถานะEvent Viewer เมอคดลอกไฟลขอมลออกจากเครองคอมพวเตอร

44

รปท 4.20 เมอผใชงานไดท าการคดลอกไฟลขอมลทเปนไฟลขอมลตรงตามกบเรดคอรดใน File_trace ออกจากเครองคอมพวเตอร โดยผานอปกรณบนทกขอมลชนด ดงออกไดมาใชงาน ซงตวโปรแกรมสามารถท าการตรวจสอบได กจะแสดง events ใน Event Viewer เพอใหทราบไดถงการเปลยนแปลงทเกดขน

รปท 4.21 แสดงสถานะในฐานขอมลตาราง events เมอคดลอกไฟลขอมลออกจากเครองคอมพวเตอร

รปท 4.21 หลงจากทผใชงานไดท าการคดลอกไฟลขอมลออกจากเครอง

คอมพวเตอร โดยท าการบนทกขอมลชนดดงออกจากเครองคอมพวเตอรได ตวโปรแกรมจะท าการตดตามไฟลขอมลทถกคดลอกออกไป แลวบนทกลงในฐานขอมลตาราง events โดยแสดงรายละเอยดดงน

- event_id คอ หมายเลขเหตการณ - file_id คอ ล าดบเหตการณทเกดขนของไฟลขอมลนน แสดงถง Events

ของไฟลขอมล - hostname คอ ชอเครองคอมพวเตอร - username คอ ชอผใชงาน - ip คอ หมายเลขไอพ - media คอ สอขอมล - path คอ พาทของไฟล - event_type คอ ประเภทของเหตการณ - date_occure คอ วนทเกดเหตการณ - Message คอ หมายเหต

45

รปท 4.22 แสดงสถานะEvent Viewer เมอคดลอกไฟลขอมลออกจากเครองคอมพวเตอรแลว

ท าการเปลยนชอไฟลขอมล

รปท 4.22 เมอผใชงานไดท าการคดลอกไฟลขอมลออกจากเครองคอมพวเตอร แลวท าการเปลยนชอไฟลขอมล ระบบจะท าการแสดงการเปลยนแปลงทเกดขนใน Event Viewer เพอใหทราบได

รปท 4.23 แสดงสถานะEvent Viewer เมอคดลอกไฟลขอมลออกจากเครองคอมพวเตอรแลวท าการลบไฟลขอมล

46

รปท 4.23 หลงจากผใชงานไดท าการคดลอกไฟลขอมลออกจากเครองคอมพวเตอร แลวท าการลบไฟลขอมลภายในอปกรณบนทกขอมลชนดดงออกจากเครองคอมพวเตอรได ระบบจะท าการแสดงการเปลยนแปลงทเกดขนใน Event Viewer เพอใหทราบไดเหมอนเชนเดยวคลายกบกรณเปลยนชอไฟลขอมล

4.2.3 การแสดงผลของระบบตดตามไฟลขอมลภายในเครอขายบนเวบแอพพลเคชน

รปท 4.24 รปการเขาใชงานระบบ

รปท 4.24 เมอผดแลระบบไดท าการเรยกใชงานการแสดงผลของระบบตดตามไฟลขอมลภายในเครอขายบนเวบแอพพลเคชนจะปรากฏกลองขอความใหใสชอผใชงานและรหสผาน ส าหรบการตรวจสอบตวตนผใชงานในการเขาใชงานระบบ

รปท 4.25 ตรวจสอบสทธการใชงาน

47

รปท 4.25 เมอระบบไดท าการตรวจสทธของผเขาใชงาน กรณเมอผเขาใชงานไมมสทธเขาใชงาน หรอใสชอผใชงานและรหสผานผด ระบบสามารถท าการแจงเตอนโดยขนขอความดงกลาว ตามรป

รปท 4.26 เมนการใชงานของระบบ

รปท 4.26 เมอผใชงานเขามายงภายในระบบตดตามการใชไฟลขอมลภายในเครอขาย สามารถท าการเลอกการจดการในการใชงานของระบบ ตามหวขอตางๆ ได

รปท 4.27 คนหาชอของไฟลขอมลทสนใจ

รปท 4.27 ใชส าหรบคนหาชอของไฟลขอมลทสนใจ โดยผใชงานสามารถปอนขอความชอของไฟลขอมล ระบบจะท าการคนหาชอไฟลขอมลจากฐานขอมลตาราง events ตามทตองการได เพอสะดวกในการใชงาน

48

รปท 4.28 ขอมลรายละเอยดของไฟลขอมล

รปท 4.28 หลงจากทผใชงานท าการเลอกไฟลขอมลทตองการแลว ระบบจะท าการแสดงรายละเอยดของไฟลขอมลนน เพอใหทราบถงเหตการณหรอการกระท าทเกดขนกบไฟลขอมล

รปท 4.29 คนหาไฟลขอมลโดยก าหนดชวงเวลา

รปท 4.29 ในการใชงานของระบบตดตามการใชไฟลขอมลภายในเครอขาย สามารถท าการคนหาไฟลขอมลโดยก าหนดชวงเวลา ทงในสวนของวน เดอน ป และเวลา ตามทตองการได เพอทจะสามารถท าการคนหาไฟลขอมลยอนหลงไดตามตองการ

49

รปท 4.30 แสดงผลการท างานในรปแบบของแผนภมแทง

รปท 4.30 ระบบตดตามการใชไฟลขอมลภายในเครอขาย สามารถท าการแสดงผลการตดตามไฟลขอมลทเกยวกบการคดลอกไฟลขอมลออกจากเครองคอมพวเตอรของผใชงาน โดยแสดงเปนแผนภมแทงใหเหนวาไฟลขอมลอะไรบางทถกท าการคดลอกออกไปจากภายในเครองคอมพวเตอรภายในเครอขาย โดยเรยงล าดบคาจ านวนทไฟลขอมลถกคดลอกจากมากไปหานอย จ านวน 10 ไฟลขอมล ซงสามารถชวยในการวเคราะหความเสยงในขอมลขาวสารทส าคญอาจจะรวไหลภายในหนวยงานได

รปท 4.31 แสดงผลการท างานในรปแบบของรายงาน

รปท 4.31 สามารถแสดงจ านวนการเกดเหตการณคดลอกไฟลขอมลภายในเครอขายทไดท าการตดตงระบบตดตามการใชไฟลขอมลภายในเครอขาย โดยผใชงานสามารถคนหาตามชวงเวลาทตองการได ซงระบบจะท าการแสดงผลเปนรปแบบของรายงาน ท าใหสามารถชวยในการวเคราะหจ านวนเหตการณทเกดขนไดของไฟลขอมลภายในหนวยงาน

50

4.3 สรปผลการทดลองโครงงาน การทดลองโครงงานน ไดท าการตดตงโปแกรมเพอฝงไวในเครองทเปนไฟลเซรฟเวอร

และเครองลกขายภายในระบบของผใชงาน ท าใหสามารถตรวจสอบไฟลขอมลตงแตมไฟลขอมลภายในโฟลเดอรของไฟลเซรฟเวอร แลวท าการตดตามไฟลขอมลมายงผใชงานของเครองลกขายวามการด าเนนการกบไฟลขอมลบนไฟลเซรฟเวอรอยางไร ตลอดจนมการน าไฟลขอมลดงกลาวส าเนาออกจากเครองคอมพวเตอรของผใชงานหรอไม เพอปองการรวไหลของไฟลขอมลทส าคญ โดยจะบนทกไวเปนหลกฐานแลวแสดงผลใหผดแลระบบไดรบทราบตอไป

รปท 4.32 การสงหยดการท างานของโปรแกรม

รปท 4.32 การท างานของโปรแกรมระบบตดตามการใชไฟลขอมลภายในเครอขายนน เมอท าการตดตงตวโปรแกรมแลวเรมการท างาน ผใชงานคอมพวเตอรภายในเครอขายระดบ ยสเซอรจะไมสามารถท าการสงหยดการรนท างานของโปรแกรมได เนองจากไดก าหนดสทธเฉพาะระบบผดแลระบบระดบแอดมนเทานน เพอปองกนการหยดรนการท างานของระบบตดตามการใชไฟลขอมลภายในเครอขายโดยใชเหต

51

บทท 5

สรปผลการด าเนนงาน

เปาหมายหลกของโครงงานคอ การตดตามไฟลขอมลทส าคญภายในเครอขาย จากการใชงานของเครองลกขาย ทมการใชไฟลขอมลภายในไฟลเซรฟเวอรรวมกน เพอตดตามไฟลขอมลเมอเกดกรณไฟลขอมลทส าคญรวไหลออกจากภายในหนวยงาน หรอเกดจากการละเมดการรกษาความปลอดภยดานขอมลภายในเครองคอมพวเตอรของผใชงาน โดยผดแลระบบสามารถท าการตรวจสอบ และตดตามไฟลขอมลทส าคญภายในหนวยงาน พรอมทงเปนหลกฐานทส าคญอยางดยง เมอมผกระท าผดภายในหนวยงาน

5.1 สรปผลการด าเนนงาน

ตารางท 5.1 แสดงขอบเขตและผลการด าเนนงาน ขอบเขตการด าเนนงาน ผลการด าเนนงาน

โปรแกรมเอเจนทในเครองลกขายสามารถเฝาดพฤตกรรมการใชไฟลในเครองลกขายนนๆได และบนทกพฤตกรรมการใชไฟลขอมลลงลอกไฟล

สามารถเฝาดพฤตกรรมการใชไฟลในเครองลกขายและบนทกพฤตกรรมการใชไฟลขอมลลงลอกไฟลได

กรณผ ใชไฟลขอมล มการใชงานทไมพงประสงคเกยวกบไฟลขอมลบนเครองแมขาย โปรแกรมเอเจนทจะท าการบนทกพฤตกรรมการใชไฟลขอมลลงฐานขอมลของเครองแมขาย

บนทกพฤตกรรมการใชไฟลขอมลลงฐานขอมลตาราง event ของเครองแมขาย กรณผใชไฟลขอมล มการใชงานทไมพงประสงค

โปรแกรมเอเจนทบนลกขายจะตรวจการใชงานไดรฟทเปนการบนทกขอมลชนดดงออกจากคอมพวเตอรได เชน Thumb drive , SD Card เปนตน

ตรวจการใชงานไดรฟทเปนการบนทกขอมลชนดดงออกจากคอมพวเตอรไดเมอมการเชอมตอกบระบบภายในเครอขาย

ผดแลระบบภายในเครอขายสามารถวเคราะห พฤตกรรมการใชงานไฟลขอมลจากฐานขอมลทบนทกได ในรปแบบรายงานและแผนภมตางๆได

วเคราะหและแสดงผลการตดตามไฟลขอมลจากฐานขอมลทบนทกได ในรปแบบรายงานและแผนภมแทงได

52

5.2 สรปปญหา / แนวทางแกไข ปญหาทพบของระบบตดตามไฟลขอมลภายในเครอขาย พบวามปญหาดงน

5.2.1 ตวโปรแกรมสามารถรองรบการท างานไดเฉพาะเครองลกขายของผใชงานทใชระบบปฏบตการ Microsoft Windows เทานน

5.2.2 การท างานของโปรแกรมตดตามไฟล จะไมสามารถท าการตดตามการเปลยนแปลงไฟลขอมลทไดท าการเปลยนชอไฟล และขนาดของไฟลขอมล ทง 2 อยาง ท าใหระบบไมสามารถท าการตดตามไฟลขอมลตอไปได

5.2.3 ไฟลขอมลทเปดแลวสงผานออกไปดวยแอพพลเคชนอนๆ ทไมไดผานตวจดการไฟลของวนโดว ระบบจะไมสามารถตามรอยเหตการณทเกดขนได

5.3 แนวทางการน าไปพฒนาตอ

5.3.1 ตวโปรแกรมควรทจะสามารถรองรบการท างานของเครองคอมพวเตอรไดทกระบบปฏบตการ

5.3.2 ตวโปรแกรมสามารถทท างานไดทนท เมอเครองคอมพวเตอรเปดใชงานบนเครองลกขายภายในระบบ

5.3.3 ตวโปรแกรมควรทจะสามารถตรวจสอบการเคลอนไหวการท างานของไฟลขอมลทไดท าการอพโหลดไฟลขอมลบนแอพพลเคชนของรปแบบคลาวดในอนาคต

53

เอกสารอางอง

[1] ระเบยบ กองบญชาการทหารสงสด วาดวยการรกษาความปลอดภยระบบสารสนเทศของกองทพไทย พ.ศ.2547 [2] http://www.filetrackingclient.com/index.htm [3] http://www.th.easyhostdomain.com/dedicated-servers/mysql.html [4] http://thaioop.wordpress.com [5] กตต ภกดวฒนะกล และจ าลอง ครอตสาหะ . (2544). ASP ฉบบโปรแกรมเมอร (พมพครงท 2). กรงเทพมหานคร: ส านกพมพเคทพ คอมพ แอนด คอนซลท. [6] http://www.nextproject.net [7] http://technet.microsoft.com/en-us/library/cc766042.aspx