บทท 10

บทท�� 10การนำาเทคโนำโลยี�มาใช้�ในำ

การตรวจสอบ

ว�ตถุ�ประสงค�เพื่ �อให้�ผู้#�เร�ยีนำสามารถุ 1. อธิ�บายตารางความสามารถของโปรแกรมส�าเร�จร�ปส�าหร�บการตรวจสอบทั่��วไปได้�

2. อธิ�บายเหต ผลในการใช้�โปรแกรมอรรถประโยช้น'ได้�

3. อธิ�บายเคร(�องม(ออ�ตโนม�ต�เพื่(�อใช้�ในการทั่ด้สอบทั่ะล ละลวงได้�

4. อธิ�บายทั่�กษะทั่+�จ�าเป,นของการทั่ด้สอบทั่ะล ทั่ะลวงตามแนวทั่างของ ISACA ได้�

5. อธิ�บายการทั่ด้สอบโปรแกรมบนเว�บได้�

1.โปรแกรมสาเร%จร#ปสาห้ร�บการตรวจสอบท��วไป ป-จจ บ�นก�จการต.างๆม+การน�าเทั่คโนโลย+ทั่างคอมพื่�วเตอร'มาใช้�ในการ

ปฏิ�บ�ต�งานเป,นจ�านวนมาก ต�วอย.างเช้.น การจ�ด้การล�กหน+1 การจ�ด้การ ส�นค�าคงคล�ง การจ�ด้การเง�นเด้(อน เป,นต�น เม(�อก�จการน�าคอมพื่�วเตอร'

เข�ามาช้.วยปฏิ�บ�ต�งาน จะทั่�าให�หล�กฐานทั่+�เก+�ยวก�บการด้�าเน�นก�จกรรมของก�จการซึ่4�งอย�.ในร�ปกระด้าษเปล+�ยนไปอย�.ในร�ปของส(�อบ�นทั่4กทั่าง

คอมพื่�วเตอร' เช้.นแฟ้6มข�อม�ล เป,นต�น ส.งผลให�ผ��ตรวจสอบต�องน�าเทั่คน�คการใช้�คอมพื่�วเตอร'ช้.วยในการตรวจสอบ(Computer assisted audit tools and techniques หร(อCAATT) มาช้.วยงานด้�านตรวจ

สอบก�นมากข41น การใช้�คอมพื่�วเตอร'ช้.วยในการตรวจสอบน+1น�บเป,นส��ง จ�าเป,นในป-จจ บ�น และไม.ใช้.ของฟ้ 7มเฟ้8อยเหม(อนในอด้+ต นอกจากน+1ผ��ตรวจ

สอบทั่��วไปไม.แต.เฉพื่าะผ��ตรวจสอบทั่างด้�านคอมพื่�วเตอร'เทั่.าน�1นทั่+�จะใช้�CAATT เน(�องจากCAATT สามารถช้.วยงานผ��ตรวจสอบต�1งแต. การ

วางแผน การปฏิ�บ�ต�งานและการจ�ด้ทั่�าเพื่(�อรายงานตรวจสอบ

1.โปรแกรมสาเร%จร#ปสาห้ร�บการตรวจสอบท��วไป(ต'อ) ในด้�านการวางแผนตรวจสอบน�1น ผ��ตรวจสอบสามารถเก�บข�อม�ลเก+�ยวก�บล�กษณะของ

ก�จการทั่+�ทั่�าการตรวจสอบ แผนการตรวจสอบทั่+�ทั่�าข41น และส��งทั่+�ค�นพื่บจากการตรวจ สอบในคร�1งก.อนๆไว�ในคอมพื่�วเตอร' ซึ่4�งผ��ตรวจสอบสามารถด้4งข�อม�ลเหล.าน�1นมา

ว�เคราะห'เพื่(�อประเม�นความเส+�ยงและสาระส�าค�ญในการวางแผนเพื่(�อตรวจสอบในคร�1ง ต.อไปหร(อสามารถน�าข�อม�ลด้�งกล.าวไปวางแผนการตรวจสอบส�าหร�บก�จการอ(�น ใน

ด้�านการปฏิ�บ�ต�งานตรวจสอบ ผ��ตรวจสอบต�องเก�บรวบรวมหล�กฐานความถ�ก ต�องเช้(�อถ(อได้�ของข�อม�ล และในบางคร�1งต�องประเม�นประส�ทั่ธิ�ภาพื่และประส�ทั่ธิ�ผลของ

การด้�าเน�นงานของก�จการน�1น ผ��ตรวจสอบสามารถใช้�เทั่คโนโลย+มาช้.วยในการตรวจ สอบเช้.นก�น เช้.น การส .มต�วเลข การว�เคราะห'เปร+ยบเทั่+ยบ การค�านวณค.าสถ�ต� เป,นต�น

และทั่�ายทั่+�ส ด้ผ��ตรวจสอบสามารถใช้�คอมพื่�วเตอร'ช้.วยจ�ด้ทั่�ารายงานการตรวจสอบเพื่(�อ ให�รายงานเป,นมาตรฐานทั่+�ม+ผ��จ�ด้ทั่�าและจ�าหน.ายส�าหร�บช้.วยงานตรวจสอบโด้ยเฉพื่าะ

เช้.น CaseWare papers v2000 ซึ่4�งเป,นโปรแกรมช้.วยจ�ด้ทั่�ากระด้าษทั่�าการทั่าง อ�เล�กทั่รอน�กส' เป,นต�น นอกจากโปรแกรมด้�งกล.าวแล�ว ผ��ตรวจสอบอาจพื่�จารณาใช้�

โปรแกรมทั่+�ใช้�งานด้�านอ(�นๆ เช้.น โปรแกรมเอ�กเซึ่ล(Excel),เว�ร'ด้โปรเซึ่สซึ่��ง(Word Processing) และอ�นเตอร'เน�ตเพื่(�อช้.วยงานตรวจสอบได้�เช้.นก�น

1.โปรแกรมสาเร%จร#ปสาห้ร�บการตรวจสอบท��วไป(ต'อ) เทั่คน�คการใช้�คอมพื่�วเตอร'ช้.วยในการตรวจสอบภายหล�งทั่+�

รายการเก�ด้แล�ว (Expost auditing) เช้.น โปรแกรมส�าเร�จร�ป ส�าหร�บการตรวจสอบทั่��วไป (Generalized audit software

หร(อGAS) การใช้�โปรแกรมตรวจสอบเฉพื่าะทั่าง(Specialized Audit software) การใช้�โปรแกรมอรรถประโยช้น'(Utility software)และการใช้�ข�อม�ลทั่ด้สอบ(Test Data)และเทั่คน�คการใช้�คอมพื่�วเตอร'ช้.วยในการตรวจสอบระหว.างการเก�ด้รายการ(Concurrent auditing techniques)(Weber,1999) ทั่�ายทั่+�ส ด้จะกล.าวถ4งการตรวจสอบโปรแกรมการทั่�าเหม(องข�อม�ลเพื่(�อการตรวจสอบ(Data mining) การทั่ด้สอบทั่ะล ทั่ะลวง(Penetration testing)และการใช้�โปรแกรมด้�านอ(�นๆเพื่(�อการตรวจสอบ

โปรแกรมสาเร%จร#ปสาห้ร�บการตรวจสอบท��วไป 1) ความสามารถของโปรแกรม เป,นเคร(�องม(อทั่+�ส�าค�ญทั่+�ผ��ตรวจสอบใช้�ในการเก�บรวบรวมหล�กฐานเพื่(�อประเม�นค ณภาพื่ของโปรแกรมประย กต'

ซึ่4�งก�จการทั่+�ตรวจสอบใช้�อย�. รวมถ4งประส�ทั่ธิ�ภาพื่ ของการปฏิ�บ�ต�งานของเจ�าหน�าทั่+�ของก�จการ

ตารางทั่+� 1 แสด้งให�เห�นถ4งความสามารถของโปรแกรมส�าเร�จร�ปส�าหร�บการตรวจสอบทั่��วไป

ตารางทั่+� 1 ความสามารถของโปรแกรมส�าเร�จร�ปส�าหร�บการตรวจสอบทั่��วไป

โปรแกรมสาเร%จร#ปสาห้ร�บการตรวจสอบท��วไป(ต'อ)

2) การน�ามาใช้�งานตรวจสอบ ผ��ตรวจสอบสามารถใช้�ความสามารถของโปรแกรมส�าเร�จร�ปส�าหร�บการตรวจสอบทั่��วไปเพื่(�อช้.วยงานเก+�ยวก�บการตรวจสอบด้�งน+1 (1) ตรวจค ณภาพื่ข�อม�ล (2) ตรวจสอบค ณภาพื่ของการประมวลผล (3) ตรวจสอบว.ารายการทั่+�เก�ด้ข41นเป,นรายการทั่+�เก�ด้ข41นจร�ง

(4) จ�ด้ทั่�าว�เคราะห'เปร+ยบเทั่+ยบ

โปรแกรมสาเร%จร#ปสาห้ร�บการตรวจสอบท��วไป(ต'อ)

3) ข�อจ�าก�ด้ของโปรแกรม นอกจากสามารถช้.วย ตรวจสอบด้�งกล.าวแล�ว โปรแกรมส�าเร�จร�ปส�าหร�บ

การตรวจสอบทั่��วไปก�ม+ข�อจ�าก�ด้ด้�งน+1▪ (1) สามารถช้.วยตรวจสอบในล�กษณะของการตรวจสอบภายหล�งจากการเก�ด้ข41นแล�ว▪ (2) ความสามารถในการตรวจสอบค�าส��งของประมวลผลทั่+�ถ�กจ�าก�ด้▪ (3) ยากทั่+�จะต�ด้ส�นแนวโน�มของความผ�ด้พื่ลาด้ของโปรแกรม

ประย กต'เม(�อใช้� GAS

2.โปรแกรมตรวจตรวจสอบเฉพื่าะเร �อง โปรแกรมช้.วยตรวจสอบน+1แตกต.างจาก GAS

สองแนวทั่างด้�วยก�น ประการแรก เป,นโปรแกรมทั่+�ถ�กออกแบบเพื่(�อทั่�าให�ผ��ตรวจสอบเฉพื่าะเร(�อง

เทั่.าน�1น เช้.น ค�านวณด้อกเบ+1ยเง�นก�� เป,นต�น ประการทั่+�สอง โปรแกรมทั่�างานภายใต�โครงแบบ

ของฮาร'ด้แวร'ทั่+�จ�าก�ด้มากกว.า GAS โปรแกรม เฉพื่าะเร(�องทั่+�สามารถพื่�ฒนาและต�ด้ต�1งม+ 2

ประเภทั่ ค(อ▪ (1) พื่�ฒนาโปรแกรมตรวจสอบเฉพื่าะเร(�องข41นมาเอง▪ (2) ปร�บปร งโปรแกรมประย กต'บางส.วน

2.โปรแกรมตรวจตรวจสอบเฉพื่าะเร �อง(ต'อ)

ส.วนการพื่�ฒนาโปรแกรมน�1นสามารถทั่�าได้� 3 ทั่าง ค(อ ประการแรก ผ��ตรวจสอบพื่�ฒนาโปรแกรมข41น เอง ประการทั่+�สอง ให�โปรแกรมเมอร'เป,นผ��เข+ยน

โปรแกรมให� ประการทั่+�สาม ให�ก�จการร�บพื่�ฒนาโปแกรมเป,นผ��จ�ด้ทั่�าให�

3. โปรแกรมอรรถุประโยีช้นำ�

ปกต�โปรแกรมประย กต'ต.างๆในเคร(�องคอมพื่�วเตอร'จะสามารถปฏิ�บ�ต�งานได้�จ�าเป,นต�องม+ซึ่อฟ้ต'แวร'ระบบ(System software) โด้ยซึ่อฟ้ต'แวร'ระบบเป,นโปรแกรมใช้�สน�บสน นการ

ทั่�างานของโปรแกรม ไม.ว.าจะเป,นด้�านการ พื่�ฒนาการ การปฏิ�บ�ต�งาน และการใช้�งาน

โปรแกรมประย กต' ซึ่อฟ้ต'แวร'ระบบ ประกอบด้�วยระบบปฏิ�บ�ต�การ(Operating System) และ

โปรแกรมอรรถประโยช้น'

1) เห้ต�ผู้ลในำการใช้�โปรแกรมอรรถุประโยีช้นำ� (1) ไม.ม+ GAS (2) ข�อจ�าก�ด้ด้�านความสามารถของ GAS (3) การพื่�จารณาด้�านประส�ทั่ธิ�ภาพื่ (4) ทั่�าให�สะด้วกต.อการใช้�เคร(�องม(อตรวจสอบอ(�นๆ

(5) ช้.วยพื่�ฒนาเคร(�องม(อตรวจสอบใหม.

4. เคร �องม ออ�ตโนำม�ต)เพื่ �อใช้�ในำการทดสอบทะล�ทะลวง เคร(�องม(อ 10 อ�นด้�บแรกทั่+�ผ��ทั่ด้สอบควรศึ4กษาหร(อทั่�าความเข�าใจเพื่(�อนใช้�เป,นเคร(�องม(อในการทั่ด้สอบทั่ะล ทั่ะลวงม+ด้�งน+1▪ (1) Nessus เป,นฟ้ร+แวร'ทั่+�ทั่�าหน�าทั่+�สแกนช้.องโหว.ของเคร(อข.ายซึ่4�งม+ซึ่อฟ้ต'แวร'เสร�ม(plug-in) จ�านวนมากกว.า 11,000 เพื่(�อตรวจสอบการร�กษาความปลอด้ภ�ยทั่�1งเฉพื่าะทั่+�(Logic)และระยะไกล(Remote)

▪ (2) GFI LANguard เป,นโปรแกรมทั่+�ขยายในทั่�องตลาด้เพื่(�อสแกนการร�กษา ความปลอด้ภ�ยของเคร(อข.ายส�าหร�บว�นโด้ว' จะสแกนเลขทั่+�อย�.ไอพื่+หร(อไอพื่+แอด้

แด้รสทั่+�ก�าล�งใช้�งานอย�.▪ (3) Retina เป,นโปรแกรมทั่+�ขยายในทั่�องตลาด้เพื่(�อสแกนช้.องโหว.โด้ย eye โปรแกรมน+1จะสแกนแม.ข.ายทั่�1งหมด้ในเคร(อข.ายและรายงานช้.องโหว.ทั่+�พื่บ

ทั่�1งหมด้เช้.นเด้+ยวก�บ Nessus▪ (4) CORE IMPACT เป,นเคร(�องม(อทั่+�ใช้�ในการทั่ด้สอบทั่ะล ทั่ะลวงแบบ

อ�ตโนม�ต�ทั่+�ยอมร�บว.าม+ประส�ทั่ธิ�ภาพื่ส�งส ด้ แต.ต�องเส+ยค.าใช้�จ.ายจ�านวนมากในการใช้�เคร(�องม(อน+1เช้.นก�น

4. เคร �องม ออ�ตโนำม�ต)เพื่ �อใช้�ในำการทดสอบทะล�ทะลวง(ต'อ) (5) ISS Internet Scanner เป,นโปรแกรมทั่+�สแกนช้.อง

โหว.ในระด้�บโปรแกรม โปรแกรมน+1สามารถระบ ประเภทั่ของ อ ปกรณ'เคร(อข.ายในระบบเคร(อข.ายมากกว.า 1,300 ประเภทั่

(6) X-Scan เป,นซึ่อฟ้ต'แวร'เสร�มทั่+�ทั่�าหน�าทั่+�สแกนช้.องโหว. เคร(อข.าย ซึ่4�งบอกให�ทั่ราบถ4งประเภทั่ของบร�การ ประเภทั่ของ

ระบบปฏิ�บ�ต�การและร .น ช้(�อผ��ใช้�และรห�สผ.านทั่+�ถ�กแกะได้�ง.าย (7) SARA หร(อ Security Auditor’s Research

Assistant) เป,นเคร(�องม(อประเม�นช้.องโหว.ซึ่4�งพื่�ฒนามาจาก โปรแกรม System Administrator Tool for

Analzing Network(SATAN)

4. เคร �องม ออ�ตโนำม�ต)เพื่ �อใช้�ในำการทดสอบทะล�ทะลวง(ต'อ)

(8) QualysGuard เป,นโปรแกรมเว�บสแกน ช้.องโหว. ผ��ใช้�สามารถใช้�งานโปรแกรมผ.านเว�บ

โปรแกรมน+1สามารถตรวจสอบช้.องโหว.ได้�มากกว.า5,000จ ด้

(9) SAINT หร(อ Security Administrator’s Integrated Network Tool เป,นเคร(�องม(อสแกนช้.องโหว.ทั่+�ขยายในทั่�องตลาด้

(10) MBSA หร(อ Microsoft Baseline Security Analyzer น�ามาใช้�เพื่(�อสแกนว.าโครงสร�างพื่(1นฐานของเคร(�องคอมพื่�วเตอร'ว.าเข�าก�นได้�ก�บผล�ตภ�ณฑ์'ต.างๆของไมโครซึ่อฟ้ต'

การทดสอบทะล�ทะลวงตามแนำวทาง ของ ISACA

ISACA(2004) เสนอกระบวนงานตรวจสอบ ระบบสารสนเทั่ศึ ด้�วยการประเม�นการร�กษาความ

ปลอด้ภ�ยในล�กษณะการทั่ด้สอบทั่ะล ทั่ะลวงและ การว�เคราะห'ช้.องโหว. โด้ย ทั่+�เก+�ยวข�องประกอบ

ด้�วย และ ซึ่4�งม+ว�ตถ ประสงค'หล�กเก+�ยวก�บ การ ร�กษาความล�บ ความสมบ�รณ' การม+ใช้�เม(�อ

ต�องการ และว�ตถ ประสงค'รองเก+�ยวก�บความม+ ประส�ทั่ธิ�ภาพื่และประส�ทั่ธิ�ผล ด้�งน+1

การทดสอบทะล�ทะลวงตามแนำวทาง ของ ISACA (ต'อ)

(1) การวางแผน 1) ก�าหนด้ขอบเขตการตรวจสอบล�กษณะ เวลา และขอบเขตของการประเม�น

2) สอบทั่านได้�ว.าไม.ม+การทั่ด้สอบใด้ๆทั่+�ฝ่7าฝ่8นกฎหมายเฉพื่าะของทั่�องถ��นน�1นหร(อไม.ต.างประเทั่ศึ

3) ส�ารวจและใช้�เคร(�องม(ออ�ตโนม�ต�ทั่+�ม+ให�ใช้�ได้�เพื่(�อด้�าเน�นการทั่ด้สอบทั่ะล ทั่ะลวงและการประเม�นช้.องโหว.

4) ก�าหนด้ขอบเขตตรวจสอบ 5) เข�าถ4งและน�าเคร(�องม(อทั่+�ม+ช้(�อเส+ยงในการทั่ด้สอบช้.องโหว.และควรเป,นเคร(�องม(อล.าส ด้


(2) ทั่�กษะทั่+�จ�าเป,น 1) ความร� �ทั่างเทั่คน�คเพื่+ยงพื่อ และความสามารถในการจ�าแนกและตรวจพื่บความแตกต.างของข�อบกพื่ร.องหร(อช้.องโหว.ของการร�กษาความปลอด้ภ�ย

2) ความร� �ในการใช้�งานเทั่คโนโลย+ต.างๆ 3) ความร� �เก+�ยวก�บภาษในการเข+ยนโปรแกรมประย กต' 4) ความร� �เก+�ยวก�บระบบปฏิ�บ�ต�การประเภทั่ต.างๆ 5) ความร� �เก+�ยวก�บ TCP/IP และโพื่รโทั่คอลส�าหร�บเคร(อข.าย 6) ความร� �เก+�ยวก�บซึ่อฟ้ต'แวร'ของเว�บเซึ่�ร'ฟ้วอร' 7) ความร� �ในการใช้�เคร(�องม(อทั่ะล ทั่ะลวงทั่+�เล(อกใช้�เพื่(�อค�นหาช้.องโหว. 8) ความร� �เก+�ยวก�บผลของเคร(�องม(อทั่+�ใช้�ในการกระทั่�าการทั่ด้สอบทั่ะล ทั่ะลวงช้.องโหว.


(3) ข�อตกลง 1) เก�บการกระทั่�าทั่�1งหมด้ รวมถ4งรายละเอ+ยด้ของการกด้แป6นพื่�มพื่'และการสนทั่นาของก�จกรรมต.างๆระหว.างการทั่ด้สอบทั่ะล ทั่ะลวงและช้.องโหว.

2) เก�บรายการทั่ด้สอบทั่ะล ทั่ะลวงทั่�1งหมด้รวมถ4ง ผลล�พื่ธิ'ม+ความอ.อนไหว และทั่�าการควบค มอย.างเหมาะ

สมในองค'กร


(4) ขอบเขตของค�าถาม 1) การทั่ด้สอบประกอบด้�วยการประเม�นสภาพื่แวด้ล�อมของการควบค มของโครงสร�างพื่(1นฐานของส��งทั่+�จะทั่ด้สอบภายในและภายนอกเคร(อข.ายหร(อไม.

2) ระด้�บของผ��บร�หารทั่+�เหมาะสมในองค'กร 3) ให�ข�อม�ลเก+�ยวก�บบ คคลทั่+�จะทั่�าการทั่ด้สอบล.วงหน�า

หร(อไม.


(5) การทั่ด้สอบทั่ะล ทั่ะลวงอ�นเตอร'เน�ต 1) การเก�บรายละเอ+ยด้เคร(อข.าย (Network

enumeration) ทั่�าให�ทั่ราบสารสนเทั่ศึเก+�ยวก�บทั่ร�พื่ยากรและการรวมก�นของเคร(อข.าย

2) ปฏิ�บ�ต�การว�เคราะห'ช้.องโหว. 3) ระบ การใช้�ประโยช้น'ช้.องโหว.ในการว�เคราะห'ช้.องโหว.

เพื่(�อให�ทั่ราบถ4งการเข�าถ4งระบบเป6าหมายของ Root หร(อ Administrator หร(อบ�ญช้+ผ��ใช้�คนอ(�นๆ


(6) การทั่ด้สอบทั่ะล ทั่ะลวงการต.อเลขหมาย 1) ทั่ะล ทั่ะลวงระบบด้�วยการต.อหมายเลขผ.านโทั่รศึ�พื่ทั่'และลงบ�นทั่4กเข�าส�.ระบบช้.องโหว.ทั่+�ค�นหา

2) รวบรวมกล .มโทั่รศึ�พื่ทั่'ซึ่4�งใช้�ในการโทั่รจากแหล.งข�อม�ล

3) ระบ โมเด้�มทั่+�ใช้�ในการร�กษาการเช้(�อมต.อ 4) พื่�จารณาว.าม+การด้�กจ�บข�อม�ลและการจ�บข�อม�ลจาก

แป6นพื่�มพื่'ทั่+�ต�ด้ต�1งอ ปกรณ' DMZ เพื่(�อด้�กจ�บรห�สผ��ใช้�และรห�สผ.าน

5) พื่�จารณาว.าม+การต�ด้ต�1ง PCAnywhere และถ�กปร�บปร งแต.งเพื่(�อให�สามารถเช้(�อมต.อโด้ยไม.ต�องพื่�ส�จน'หร(อไม.


(7) การทั่ด้สอบทั่ะล ทั่ะลวง 1) ทั่ด้สอบการค�นหาเคร(อข.าย 2) ว�เคราะห'ช้.องโหว. 3) ใช้�ประโยช้น'ของช้.องโหว.และแจ�งผล


(8) การควบค มการเข�าถ4งทั่างกายภาพื่ 1) ค�นหาการเข�าถ4งเต�าร�บ (Jack) 2) เข�าถ4งระบบด้�วยรห�สผ��ใช้�ภายหล�งการเข�าถ4งเคร(อข.ายทั่างกายภาพื่

3) เข�าถ4งทั่างกายภาพื่และทั่�ากลลวงทั่างส�งคม


(9) การทั่ด้สอบกลลวงทั่างส�งคม 1) ทั่ด้สอบการควบค มเพื่(�อป6องก�นกลลวงทั่างส�งคมหร(อหล+กเล+�ยง

การร�กษาความปลอด้ภ�ยทั่างกายภาพื่ 2) ค�นหาสารสนเทั่ศึทั่+�ส�าค�ญๆทั่+�ถ�กน�ามาทั่�1งในถ�งขยะหร(อสถานทั่+�ก�าจ�ด้ขยะ

3) สอบทั่านนโยบายและการปฏิ�บ�ต�ทั่+�เก+�ยวก�บความล�บ 4) สอบทั่านการทั่�าลายส(�อบ�นทั่4ก (Media) ทั่+�จ�ด้เก�บข�อม�ลทั่+�ม+ความอ.อนไหว

5) สอบทั่านการทั่�าลายของพื่น�กงาน 6) ค�นหาอาคารและช้�1นทั่+�เป,นพื่(1นทั่+�ทั่+�ส�าค�ญ 7) พื่�จารณาว.าเคร(�องคอมพื่�วเตอร'ต�1งโตCะของพื่น�กงานม+โปรแกรมถนอมหน�าจอและม+การใส.ก ญแจโตCะทั่�างาน


(10) การทั่ด้สอบไร�สาย 1) การทั่�า War dialing เพื่(�อจ�ด้ทั่�าภาพื่ของส�ญญาณเคร(อข.ายไร�สายบร�เวณรอบๆบร�ษ�ทั่

2) แกะค+ย' WEB(Wired Equivalent Privacy) ด้�วยเคร(�องอ�ตโนม�ต�

3) ด้�กจ�บและว�เคราะห'การจราจรในเคร(อข.ายเพื่(�อหา จ�านวนกล .มข�อม�ลทั่+�ส.งผ.านเคร(อข.ายไร�สาย SSIDและ

อ(�นๆด้�วยเคร(�องม(ออ�ตโนม�ต� 4) หล�งจากแกะค+ย'ส�าเร�จให�ทั่ด้สอบทั่ะล ทั่ะลวง ต.อจากน�1นจ�ด้ทั่�าเอกสารเพื่(�อรายงานผลการทั่ด้สอบให�ผ��บร�หารทั่ราบ


(11) การทั่ด้สอบโปรแกรมบนเว�บ 1) สอบทั่านว.า SSL/TLS เป,นไปตามนโยบายหร(อการปฏิ�บ�ต�ของอ ตสาหกรรม

2) ว�เคราะห'ช้.วงทั่+�ต�ด้ตาม ประกอบด้�วย ว�ธิ+การและรห�สช้.วงเวลา

3) ระบ ว�ธิ+พื่�ส�จน'ต�วจร�ง รวมถ4งใบร�บรองเคร(�องไคลเอ�นต' 4) ระบ การว�ธิ+การในการลงบ�นทั่4กเข�าและลงบ�นทั่4กออก 5) ระบ ทั่ กจ ด้ทั่+�ใช้�ในการป6อนข�อม�ล 6) บ�นทั่4กข�อความระบ ความผ�ด้พื่ลาด้ต.างๆ รวมถ4ง

ทั่ด้สอบส.วนห�วของ HTTP ทั่+�ถ�กใช้�ข�อม�ลน�าเข�า


7) สอบทั่านการซึ่.อนองค'ประกอบหร(อการร��วไหลสารสนเทั่ศึในรายงานของโปรแกรมบนเว�บ

8) สอบทั่านร�กษาความปลอด้ภ�ยของรห�สช้.วงเวลาพื่ร�อมทั่�1งทั่ด้สอบ

9) สอบทั่านการควบค มการลงบ�นทั่4กเข�า 10) พื่�จารณาว.าสารสนเทั่ศึทั่+�จ�ด้ส.งทั่�1งหมด้ได้�ร�บการเข�ารห�ส

11) ประมวลผลโปรแกรมทั่างธิ รก�จ หร(อต�นฉบ�บเปDด้ทั่+�เป,นเคร(�องม(อส�าหร�บประเม�นช้.องโหว.ของระบบ


(12) การจ�ด้ทั่�ารายงานผลการตรวจสอบ จ�ด้ทั่�ารายงานผลการตรวจสอบมาตรฐานการตรวจสอบ

ของ ISACA ด้�งน+1▪ ระบ ขอบเขตของงาน▪ ว�ตถ ประสงค'▪ ช้.วงเวลาด้�าเน�นงาน▪ ล�กษณะและเวลาในการทั่ด้สอบทั่ะล ทั่ะลวงและการว�เคราะห'ช้.องโหว.ทั่+�กระทั่�า▪ สร ปประส�ทั่ธิ�ภาพื่ของการควบค มและระบ ช้.องโหว.ทั่+�ส�าค�ญๆ

5. โปรแกรมด�านำอ �นำๆเพื่ �อการทดสอบป-จจ บ�นม+โปรแกรมออกจ�าหน.ายในทั่�องตลาด้เป,นจ�านวนมากทั่+�ผ��ตรวจสอบสามารถน�ามาช้.วยในการ

ตรวจสอบได้� โปรแกรมส�าเร�จร�ปเพื่(�อใช้�งานทั่��วไปในส�าน�กงานเพื่(�อการตรวจสอบและโปรแกรมช้.วยต�ด้ส�นใจและผ��เช้+�ยวช้าญ

โปรแกรมสาเร%จร#ปเพื่ �อใช้�ทางานำท��วไปในำสานำ�กงานำเพื่ �อการตรวจสอบ

ป-จจ บ�นม+โปรแกรมส�าเร�จร�ปเพื่(�อใช้�ทั่�างานทั่��วไปในส�าน�กงานจ�านวนมากทั่+�ผ��ตรวจสอบสามารถน�ามา

ช้.วยงานด้�านการตรวจสอบได้�โด้ยเส+ยต�นทั่ นต��านอกจากน+1ย�งไม.จ�าเป,นต�องใช้�ความร� �ความสามารถทั่างด้�านเทั่คโนโลย+และความซึ่�บซึ่�อนใน

การน�าเทั่คโนโลย+เหล.าน�1นมาใช้�งาน ต�วอย.างของโปรแกรมส�าเร�จเพื่(�อใช้�ทั่�างานทั่��วไปในส�าน�กงาน

เพื่(�อการตรวจสอบ เช้.น โปรแกรมเว�ร'ด้โปรเซึ่สซึ่��ง(Word Processing) โปรแกรมแผ.นตาราง

ทั่�างาน (Spreadsheet programs ) โปรแกรมการจ�ด้ทั่�าผ�งงาน (Flowcharting)

โปรแกรมส�าหร�บด้าวน'โหลด้หร(อบรรจ ข�อม�ลลง(Downloading program) และโปรแกรม

การส(�อสาร

6. โปรแกรมช้'วยีต�ดส)นำใจและผู้#�เช้��ยีวช้าญ โปรแกรมช้.วยต�ด้ส�นใจและผ��เช้+�ยวช้าญ เป,นโปรแกรมทั่+�เน�นด้�านการต�ด้ส�นใจมากกว.าการช้.วย

เหล(อด้�านการเก�บหล�กฐาน ค(อ ระบบจะเสนอแนะทั่างเล(อกในการต�ด้ส�นใจภายใต�เง(�อนไขของ

ก�จการทั่+�ผ��ตรวจสอบป6อนเข�าส�.ระบบงาน ต�วอย.าง ของโปรแกรมช้.วยต�ด้ส�นใจ เช้.น ระบบช้�านาญการ

โด้ยใช้�กรณ+ศึ4กษาเพื่(�อตอบป-ญหา ส�าหร�บการตรวจสอบการด้�าเน�นก�จกรรมอย.างต.อเน(�อง

6. โปรแกรมช้'วยีต�ดส)นำใจและผู้#�เช้��ยีวช้าญ(ต'อ)

บทั่สร ป ป-จจ บ�นได้�ม+การพื่�ฒนาเคร(�องม(อเพื่(�อช้.วยให�ตรวจสอบทั่างคอมพื่�วเตอร'ม+ความสะด้วกมาก

ข41นและทั่�าให�ม+ประส�ทั่ธิ�ภาพื่ส�ง อย.างไรก�ตามผ��ตรวจสอบควรเล(อกเคร(�องม(อให�เหมาะสมก�บ

ว�ตถ ประสงค'ของการตรวจสอบ เน(�องจากเคร(�องม(อแต.ละประเภทั่ม+ข�อด้+และข�อเส+ยทั่+�แตกต.างก�นออกไป

บทท 10

Technology