Upload
ochiroo-dorj
View
994
Download
10
Embed Size (px)
DESCRIPTION
Citation preview
Монгол дахь цахим
мэдээллийн аюулгүй байдал
О.Энхбат*, М.Батсэргэлэн**, Ч.Эрдэнэбат***, Б.Төгөлдөр****
*MCS Холдинг \CEH\, **MT –ийн зөвлөх, ***ШУТИС, КТМС, Компьютерийн ухааны салбар,
****MCS Холдинг
АГУУЛГА
МАБ –ын ойлголт ба баримт бичиг
Төрийн байгууллагын сүлжээ, вэбүүд
Тоног төхөөрөмжийн асуудлууд
Имэйл серверүүд
Сүлжээний тохиргооны сул талууд
IPv6 -руу шилжих
Хуулийн мэдлэг
MonCirt
Зохиогчийн эрх ба лицинзтэй програм хангамж
Аюулгүй байдлын блогууд
Аюулгүй байдлын компаниуд
Bug Bounty монголд
Зөвлөгөө
МАБ –ЫН ОЙЛГОЛТ БА БАРИМТ БИЧИГ
80% орчим нь тухайн хүнийн зан үйл, мэдлэгээс шалтгаална.
20% техник технологиос хамааралтай.
МАБ –ЫН ОЙЛГОЛТ БА БАРИМТ БИЧИГ
Эрсдлийн үнэлгээ
Бодлого, Журам боловсруулах
Аудитын шалгалт
ТОНОГ ТӨХӨӨРӨМЖИЙН АСУУДЛУУД
21 аймгийг холбосон шилэн кабелийн
холболтын тоног төхөөрөмжүүд.
Үүрэн холбооны компаниудын сүлжээ.
Гурвалсан үйлчилгээ үзлүүлэгч компаниуд.
ZTE
Huawei
ТОНОГ ТӨХӨӨРӨМЖИЙН АСУУДЛУУЛ
Тоног төхөөрөмжүүдээ ашиглахаас өмнө
шалгалт хийдэг мэргэжлийн багтай болох.
Hardware
Software төвшинд шалгалт хийх.
Хий хардлага буюу ZTE, Huawei –ийн тоног
төхөөрөмжүүдээ шалгуулах. \Англи, Энэтхэг\
ТӨРИЙН БАЙГУУЛЛАГУУДЫН СҮЛЖЭЭ, ВЭБҮҮД
*.gov.mn хаягтай вэбүүд байнга шахуу хакдуулна. \joomla\ SQL injection
XSS
DDOS
55 ширхэг төрийн вэб хуудаст судалгаа хийхэд 25 орчим нь нэг серверт байрлаж байв. Нэг серверт Php, wordpress, joomla технологиор хийгдсэн
вэбүүд байх боловч аль нэгний сул талаас шалтгаалан бусад бүх вэбүүд эрсдэлд орж байна.
Зөвлөмж: Бэлэн нээлтэй код ашиглаж вэб хийхээс аль болох зайлсхийх.
ИМЭЙЛ СЕРВЕРҮҮД
Имэйл сервертээ SSLv3, TLSv1.0 шифрлэлт
ашигладаг газар тун цөөхөн.
Хэрэв үнэгүй гэвэл OpenPGP ашиглан RSA хос
түлхүүр үг үүсгэж хэрэглэх боломжтой.
ХУУЛИЙН МЭДЛЭГ
Хуулинд ямар заалт байгааг мэддэггүй.
МАБ – ын талаарх хууль байгаа бол
сурталчилах
ХУУЛИЙН МЭДЛЭГ
Монгол Улсын Эрүүгийн хуулийн 25-р бүлэг, 226-229-р зүйлд Цахим гэмт хэргийн зарим бүрэлдэхүүнийг хуульчилсан байна. Үүнд:
226-р зүйл: Компьютерийн мэдээлэл, програмыг өөрчлөх, эвдэх, сүйтгэх
227-р зүйл: Компьютерийн мэдээллийг хууль бусаар олж авах
228-р зүйл: Компьютерийн мэдээллийн сүлжээнд хууль бусаар нэвтрэх тусгай хэрэгсэл бэлтгэх, борлуулах
229-р зүйл: Нянтай программ зохион бүтээх, ашиглах
СҮЛЖЭЭНИЙ ТОХИРГООНЫ СУЛ ТАЛУУД
SNMP түлхүүр үг “default” байх
Cisco cdp тохиргоо хийгдээгүй байх
Утасгүй сүлжээнд пассворт хийхгүй байх,
эсхүл пассворт нь WEP кодчлолтой байх.
IPV6 –РУУ ШИЛЖИХ
Жил болгоны семинар, конференц дээр энэ
талаар яригдаж байгаа ч үр дүн гарахгүй
байна.
Ipv6 шилжих, хэрхэн шилжих талаар
төлөвлөгөө гаргах
IPV6 –РУУ ШИЛЖИХ
IPV6 –РУУ ШИЛЖИХ
MONCIRT
MonCirt –ын үйл ажиллагааг сайжруулах,
шинэ аюул заналын мэдээ мэдээллүүдийг
нийтэлж байх.
ЗОХИОГЧИЙН ЭРХ БА ЛИЦИНЗТЭЙ ПРОГРАМ ХАНГАМЖ
Нэг үеээ бодвол лизинзтэй программ хангамж
ашиглах нь ихсэж байна.
Microsoft Windows 7, 8
Kaspersky Antivirus, Nod32, Bitdefender гэх мэт.
АЮУЛГҮЙ БАЙДЛЫН БЛОГУУД
http://jnaya.com
http://mongolian-it.blogspot.com
http://gdatacenter.blogspot.com/
http://manaach.blogspot.com
http://hamgaalalt.blogspot.com/
АЮУЛГҮЙ БАЙДЛЫН КОМПАНИУД
Security Solution Service LLC
http://www.sssmn.com/
PSSA LLC
http://www.pssa.mn/
BUG BOUNTY МОНГОЛД
Банкууд, Төрийн болон Хувийн хэвшлийн
томоохон байгууллагуудад.
ЗӨВЛӨГӨӨ
Ажилчдийг МАБ –ын анхан шатны сургалтанд байнга хамруулах.
Жилд нэгээс доошгүй удаа хөндлөнгийн компаниар эрдслийн үнэлгээ болон аудитын шалгалт хийлгэж байх.
Бодлого, журамаа байнга шинэчилж мөрдүүлэх, хэрхэн оновчтой мөрдүүлэх талаар арга техникүүдийг хэрэглэх.
Удирдах ажилтнуудын МАБ –ын талаарх ойлголтыг сайжруулж сургалт, зөвлөгөөнүүдийг байнга өгч байх.
Баярлалаа
2013 он