Монгол дахь цахим

мэдээллийн аюулгүй байдал

О.Энхбат*, М.Батсэргэлэн**, Ч.Эрдэнэбат***, Б.Төгөлдөр****

*MCS Холдинг \CEH\, **MT –ийн зөвлөх, ***ШУТИС, КТМС, Компьютерийн ухааны салбар,

****MCS Холдинг

АГУУЛГА

МАБ –ын ойлголт ба баримт бичиг

Төрийн байгууллагын сүлжээ, вэбүүд

Тоног төхөөрөмжийн асуудлууд

Имэйл серверүүд

Сүлжээний тохиргооны сул талууд

IPv6 -руу шилжих

Хуулийн мэдлэг

MonCirt

Зохиогчийн эрх ба лицинзтэй програм хангамж

Аюулгүй байдлын блогууд

Аюулгүй байдлын компаниуд

Bug Bounty монголд

Зөвлөгөө

МАБ –ЫН ОЙЛГОЛТ БА БАРИМТ БИЧИГ

80% орчим нь тухайн хүнийн зан үйл, мэдлэгээс шалтгаална.

20% техник технологиос хамааралтай.

МАБ –ЫН ОЙЛГОЛТ БА БАРИМТ БИЧИГ

Эрсдлийн үнэлгээ

Бодлого, Журам боловсруулах

Аудитын шалгалт

ТОНОГ ТӨХӨӨРӨМЖИЙН АСУУДЛУУД

21 аймгийг холбосон шилэн кабелийн

холболтын тоног төхөөрөмжүүд.

Үүрэн холбооны компаниудын сүлжээ.

Гурвалсан үйлчилгээ үзлүүлэгч компаниуд.

ZTE

Huawei

ТОНОГ ТӨХӨӨРӨМЖИЙН АСУУДЛУУЛ

Тоног төхөөрөмжүүдээ ашиглахаас өмнө

шалгалт хийдэг мэргэжлийн багтай болох.

Hardware

Software төвшинд шалгалт хийх.

Хий хардлага буюу ZTE, Huawei –ийн тоног

төхөөрөмжүүдээ шалгуулах. \Англи, Энэтхэг\

ТӨРИЙН БАЙГУУЛЛАГУУДЫН СҮЛЖЭЭ, ВЭБҮҮД

*.gov.mn хаягтай вэбүүд байнга шахуу хакдуулна. \joomla\ SQL injection

XSS

DDOS

55 ширхэг төрийн вэб хуудаст судалгаа хийхэд 25 орчим нь нэг серверт байрлаж байв. Нэг серверт Php, wordpress, joomla технологиор хийгдсэн

вэбүүд байх боловч аль нэгний сул талаас шалтгаалан бусад бүх вэбүүд эрсдэлд орж байна.

Зөвлөмж: Бэлэн нээлтэй код ашиглаж вэб хийхээс аль болох зайлсхийх.

ИМЭЙЛ СЕРВЕРҮҮД

Имэйл сервертээ SSLv3, TLSv1.0 шифрлэлт

ашигладаг газар тун цөөхөн.

Хэрэв үнэгүй гэвэл OpenPGP ашиглан RSA хос

түлхүүр үг үүсгэж хэрэглэх боломжтой.

ХУУЛИЙН МЭДЛЭГ

Хуулинд ямар заалт байгааг мэддэггүй.

МАБ – ын талаарх хууль байгаа бол

сурталчилах

ХУУЛИЙН МЭДЛЭГ

Монгол Улсын Эрүүгийн хуулийн 25-р бүлэг, 226-229-р зүйлд Цахим гэмт хэргийн зарим бүрэлдэхүүнийг хуульчилсан байна. Үүнд:

226-р зүйл: Компьютерийн мэдээлэл, програмыг өөрчлөх, эвдэх, сүйтгэх

227-р зүйл: Компьютерийн мэдээллийг хууль бусаар олж авах

228-р зүйл: Компьютерийн мэдээллийн сүлжээнд хууль бусаар нэвтрэх тусгай хэрэгсэл бэлтгэх, борлуулах

229-р зүйл: Нянтай программ зохион бүтээх, ашиглах

СҮЛЖЭЭНИЙ ТОХИРГООНЫ СУЛ ТАЛУУД

SNMP түлхүүр үг “default” байх

Cisco cdp тохиргоо хийгдээгүй байх

Утасгүй сүлжээнд пассворт хийхгүй байх,

эсхүл пассворт нь WEP кодчлолтой байх.

IPV6 –РУУ ШИЛЖИХ

Жил болгоны семинар, конференц дээр энэ

талаар яригдаж байгаа ч үр дүн гарахгүй

байна.

Ipv6 шилжих, хэрхэн шилжих талаар

төлөвлөгөө гаргах

IPV6 –РУУ ШИЛЖИХ

IPV6 –РУУ ШИЛЖИХ

MONCIRT

MonCirt –ын үйл ажиллагааг сайжруулах,

шинэ аюул заналын мэдээ мэдээллүүдийг

нийтэлж байх.

ЗОХИОГЧИЙН ЭРХ БА ЛИЦИНЗТЭЙ ПРОГРАМ ХАНГАМЖ

Нэг үеээ бодвол лизинзтэй программ хангамж

ашиглах нь ихсэж байна.

Microsoft Windows 7, 8

Kaspersky Antivirus, Nod32, Bitdefender гэх мэт.

АЮУЛГҮЙ БАЙДЛЫН БЛОГУУД

http://jnaya.com

http://mongolian-it.blogspot.com

http://gdatacenter.blogspot.com/

http://manaach.blogspot.com

http://hamgaalalt.blogspot.com/

АЮУЛГҮЙ БАЙДЛЫН КОМПАНИУД

Security Solution Service LLC

http://www.sssmn.com/

PSSA LLC

http://www.pssa.mn/

BUG BOUNTY МОНГОЛД

Банкууд, Төрийн болон Хувийн хэвшлийн

томоохон байгууллагуудад.

ЗӨВЛӨГӨӨ

Ажилчдийг МАБ –ын анхан шатны сургалтанд байнга хамруулах.

Жилд нэгээс доошгүй удаа хөндлөнгийн компаниар эрдслийн үнэлгээ болон аудитын шалгалт хийлгэж байх.

Бодлого, журамаа байнга шинэчилж мөрдүүлэх, хэрхэн оновчтой мөрдүүлэх талаар арга техникүүдийг хэрэглэх.

Удирдах ажилтнуудын МАБ –ын талаарх ойлголтыг сайжруулж сургалт, зөвлөгөөнүүдийг байнга өгч байх.

Баярлалаа

2013 он