МЭДЭЭЛЛИЙН НУУЦЛАЛТ,

ХАМГААЛАЛТ БА ХАНДАЛТ

ГҮЙЦЭТГЭСЭН О.ЦЭЦЭНХҮҮ /D.IS12D015/

Г.МӨНХТУНГАЛАГ /D.IS12D016/

Г.НАМУУН /D.IS12D017/

СИСТЕМИЙН НУУЦЛАЛ, ХАМГААЛАЛТЫН АСУУДАЛ

• Мэдээллийн үнэ цэнэ өсөхийн хирээр мэдээллийн хамгаалалт, аюулгүй, найдвартай байдлын асуудал маш хурцаар тавигдаж байгаа юм.

СИСТЕМИЙН НУУЦЛАЛ, ХАМГААЛАЛТЫН АСУУДАЛ

• Тухайн мэдээллийн хир өртөгтэйгээс хамаараад энэ бол маш их том сэдэв байдаг.

• Жишээ нь гэхэд банкны салбарынхан харилцагчдынхаа мэдээллийг алдвал ямар хохиролтой вэ гэдэг нь ойлгомжтой юм. Нэгэнтээ бид үргэлж хоорондоо холбогдсон сүлжээний орчинд ажиллаж амьдрах цаг ирсэн нь тодорхой болохоор мэдээллийн хамгаалалт, аюулгүй байдлын талаарх үндсэн суурь ойлголтууд, чадварыг суралцах зайлшгүй шаардлагатай байна.

СИСТЕМИЙН НУУЦЛАЛ, ХАМГААЛАЛТТАЙ ХОЛБООТОЙ ОЙЛГОЛТУУД

• Мэдээллийн аюулгүй байдал нь технологи, дүрэм журам, заавар зэрэг хэд хэдэн хүчин зүйлээс шалтгаалдаг.Технологийн түвшин бол мэдээж амин чухал хэсэг нь болох нь ойлгомжтой. Гэвч ихэнхи байгууллагууд нь үндсэн сүлжээндээ цоорхойтой, сүлжээний хамгийн доод түвшиндээ сул талтай байдаг.

1.СҮЛЖЭЭНИЙ ЭРСДЛИЙГ ТООЦОХ

• Энэ нь тухайн компаны хамгийн чухал тоног төхөөрөмжүүд болон тэдгээрийг холбосон сүлжээний тохиргоо муугаас үүдэн гэмтэл саатал гарахад хүргэдэг. Юу гэсэн үг вэ гэвэл, та өөрийн үнэт мэдээ мэдээллийг хамгаалахын тулд эхлээд тэдгээр мэдээлэл нь юу болох мөн хаана хадгалагдаж байгааг мэдэхгүйгээр тэднийг хамгаалж чадахгүй.

• АНУ-ын шуудангийн үйлчилгээний мэдээллийн аюулгүй байдлын ажилтны хэлсэнээр “Сүлжээний топологийн зураг эсвэл өөрийн сүлжээнд юу юу байгаа болон сүлжээгээр чинь дамжин юу юу хийгдэж байгааг тогтоох програм хангамжгүйгээр сүлжээний аюулгүй байдлыг хангах боломжгүй” гэжээ.

1.СҮЛЖЭЭНИЙ ЭРСДЛИЙГ ТООЦОХ

• Cisco systems компаны мэдээллийн аюулгүй байдлын ажилтан Майкл Лейны хэлсэнээр “Тухайн компани нь эрсдлийн үнэлгээг хийхгүйгээр зүгээр вирусны хамгаалалт, галт хана ашиглаад үйл ажиллагаа явуулах нь мэдэгдэхгүйгээр оршин тогтнож байгаа аюулын хүчийг улам нэмэгдүүлэх үндэс болдог” гэжээ.Мөн "Өөрийн сүлжээний аюулгүй байдлын төхөөрөмжүүд /routers, firewalls, switches, гэх мэт/ нь аюулаас 100 хувь хамгаална гэдэгт итгээд тэдгээр төхөөрөмжүүдийн хамгаалалтыг сайжруулдаггүй маш олон компани байдаг. Эдгээр олон тооны төхөөрөмжүүд нь зүгээр тэдний байгууллагадаа хадгалж байгаа тоглоомуудаас өөрцгүй” гэж хэлжээ.

2.АЛЬ НЭГ СТАНДАРТ, ДҮРЭМ ЖУРМЫГ ДАГАЖ МӨРДСӨНӨӨР НУУЦЛАЛ ХАМГААЛАЛТ

ХАНГАГДСАН ГЭЖ НАЙДАХГҮЙ БАЙХ

• Энэ нь ихэвчлэн дээд удирдлагуудтай холбоотой байдаг. Зарим компани маш их хэмжээний цаг хугацаа хөрөнгө мөнгөө HIPAA эсвэл PCI DSS зэрэг стандарт болон шаардлагуудыг хангахын тулд зарцуулдаг мөртлөө тэдгээрийг хэрхэн хангаж буйг шалгахад ашигладаг шалгах хуудсыг ганц бөглөөд л ахиж анхаарал хандуулалгүй орхидог.

• Мэргэжилтнүүдийн санал нэгтэйгээр хүлээн зөвшөөрдөг зүйл бол эдгээр стандартууд нь сүлжээний аюулгүй байдлыг хангах сайхан эхлэл боловч өгөгдөл мэдээллийг хамгаалахад шаардлагатай бүх шаардлагыг тусгасан гэсэн үг биш.

• Канадын нэгэн аюулгүй байдлын зөвлөх инжинерийн хэлснээр “Нууцлал хамгаалалт гэдэг нь ямар нэг стандарт шаардлагыг биелүүлсэнээр хэрэгждэг зүйл гэж ойлгох нь нэг талаас нууцлал хамгаалалт гэдгийг байнга хийгддэг биш нэг хэрэгжүүлээд орхидог зүйл гэж боддогтой холбоотой” гэжээ.

3.ХҮМҮҮСЭЭС ШАЛТГААЛАН УЧИРЧ БОЛОХ ЭРСДЛИЙГ ТООЦОХ

• Энд дурдсан асуудлуудын хамгийн энгийн зүйл нь байгууллагууд өөрийн нууцлал хамгаалалтыг авч үзэхдээ энэ нь сар бүр хийгддэг технологийн ажил болохоос байгууллагын компьютер хэрэгслийг ашиглаж буй хүмүүс нь юу хийж байгаагаа нарийн сайн ойлгоогүй, эсвэл мэдлэг дутмагаас шалтгаалан хакеруудад санаандгүй байдлаар мэдээлэл өгөх зэргээр хир аюул учруулж болохыг тооцож үзээгүйтэй холбоотой байдаг.

• Энэ нь байгууллагууд өөрийн дэд бүтэц болон аюулгүй байдлын хэрэгсэлд дэндүү анхаарал хандуулдаг мөртлөө хүмүүс эсвэл ажилтнууд нь санаатай хорлон сүйтгэх эсвэл санамсаргүй байдлаар мэдээллийг задруулдаг болохыг анхаардаггүй гэсэн үг.

3.ХҮМҮҮСЭЭС ШАЛТГААЛАН УЧИРЧ БОЛОХ ЭРСДЛИЙГ ТООЦОХ

• Firewall, VPN, IDS/IPS, нууцлалын, сүлжээний холболтын болон замчлалын төхөөрөмжүүд нь маш сайн хэрэгслүүд боловч эцсийн эцэст мэдээллийн аюулгүй байдал нь ажиллах хүчний мэдлэг чапвар, тэдний байгууллагынхаа компьютер хэрэгслийг ашиглаад юу хийж болох юуг хийж болохгүйг заасан, амьдралд нийцсэн, хэрэгжүүлэх боломжтой аюулгүй байдлын бодлого байхгүйгээс үүдэн гардагийг ихэнхи хүмүүс олж хардаггүй.

АНУ-ын банкны гүйцэтгэх захирал байсан Гари Бахадур-ын хэлсэнээр “Мэдээллийн аюулгүй байдлын хангахын тулд ажилтнуудыг мэдлэгжүүлэх, сургахгүйгээр амжилтанд хүрэхгүй” гэжээ.

• Мөн “Бүх нууцлал хамгаалалт хийгдэж түүнд зарцуулагдах төсөв хөрөнгийг зарцуулсан байлаа ч ажилтнууд нь вирустэй цахим шуудан руу орж үзэх, компьютерийн нууц үгээ алдах эсвэл хориотой цахим хуудсуудаар аялсаар байвал тэр нь ямар ч үр ашиггүй зарцуулсан болж таарна. Нууцлал хамгаалалтын амин сүнс нь хэрэглэгчдийн мэдлэг чадвар байдаг” гэжээ.

4.ОЛОН ЗҮЙЛД ЧИГЛЭСЭН ОЛОН ХАНДАЛТЫН ЭРХТЭЙ БАЙХ

• Хандалтыг хянах систем байхгүйгээс маш олон байгууллага асуудалд өртдөг гэдэгтэй ихэнхи хариуцлагатай ажилтнууд санал нэгтэй байдаг.

Хэн юуг хийх үүрэгтэй, хэн хандалтыг зөвшөөрөх цуцлахыг хариуцах, хэн өөрчлөлт шинэчлэлтүүдийг шалгах ёстойг ойлгомжтой болгосон ажлын тодорхой журамтай байх, мөн эдгээр зүйлсийг хийхэд байгууллагын үйл ажиллагааг нүсэр, хүнд хэцүү байдалд оруулахгүй байхад анхаарч түүнд удирдлагаас дэмжлэг үзүүлж, шаардлагатай хөрөнгө оруулалтыг хийгээгүйгээс үүдэн маш том асуудал үүсч болно”.

4.ОЛОН ЗҮЙЛД ЧИГЛЭСЭН ОЛОН ХАНДАЛТЫН ЭРХТЭЙ БАЙХ

• Байгууллагууд нь ажлын ачааллыг бууруулах, хяналтыг бууруулах үүднээс хүн бүрт хандалтын бүрэн эрхийг олгодог. Гэвч эсрэгээрээ, зөвхөн нэг голлон гүйцэтгэх хүнд бүрэн эрх олгож, бусдыг хязгаарласан ч учирч болох аюул, эрсдэл нь хэвээр оршсоор байдаг. Нэг хүний гарт олон зүйлийг хянах эрх олгох нь нэг талаараа эрсдэлтэй.

Хакеруудын хувьд голон гүйцэтгэх хүнийг ихэвчилэн хараандаа авдаг ба үүнийг “халим агнах тактик” гэж нэрлэх нь ч бий. Энэ нь томоохон эрсдэл үүсгэдэг. Энэ нь мөн нууцлал хамгаалалтыг ноцтойгоор сэвтүүлдэг ба дээд удирдлага энэ талаар анхааралдаа авдаггүй бол бүр ч дордоно.

5.ПРОГРАМЫН СУЛ ТАЛУУДЫГ НӨХӨХ АРГА АЖИЛЛАГААГ ТОГТМОЛ

АВЧ ХЭРЭГЖҮҮЛЭХ

• Сүлжээний төрөл бүрийн төхөөрөмжид хийгдэх шаардлагатай жижиг өөрчлөлтүүүдийг цаг тухайд нь бүрэн гүйцэд хийж байгаагүйгээс шалтгаалан аюулд учрах нь бий.

• Хакерууд ихэнхи байгууллагууд жижиг өөрчлөлт шинэчлэлтүүдийг тогтмол хийдэггүй гэдгийг мэддэг. Тиймээс тэд энэ сул талыг нь ашиглан халдлаг хийхээр төлөвлөсөн байдаг.

Энэ халдлагын төрлөөс хамгаалахын тулд үйлдлийн системүүдийн шинэчлэлтүүдээс гадна дунд түвшний програм хангамжууд, хэрэглээний програм хангамжууд болон жижиг төхөөрөмжүүдийн компьютертай холбогдон ажиллахад суулгадаг програмуудын нууцлал хамгаалалтын шинэчлэлтүүдийг тогтмол хийж байх шаардлагатай болж байна.

6.ТҮҮХ БИЧИЛТҮҮДИЙГ ШҮҮХ, МОНИТОРИНГ ХИЙХ

• Энэ нь сүлжээнд байгаа төрөл бүрийн төхөөрөмжөөс тэдний үйл ажиллагааны тухай түүх бичилтийн мэдээллүүд байнга гарч байдагтай холбоотой. Тухайн байгууллага нь өөрийн нууцлал хамгаалалтыг хангахын тулд сүлжээн дотроо юу болж байгааг мэдэж байх ёстой.

Эдгээр түүх бичилтийг цэгцэлж, хадгалах ажил нь цаг хугацаа шаардсан төвөгтэй ажил байдаг учраас тэр болгон хийлгүй орхигдуулдаг байна. Гэвч нууцлал хамгаалалтын ажилтан мөн л бол энэхүү түүх бичилтийн логуудыг маш нарийн гүнзгий судалж, эцсийн хэрэглэгчдийн зүгээс юу хийгдэж байгааг ойлгож авах нь чухал байдаг.

7.K.I.S.S. /KEEP IT SIMPLE STUPID/ ЗАРЧМЫГ БАРИМТЛАХ

• Сүлжээний нууцлал хамгаалалтыг хангах ажилд баримтлах нэг чухал зүйл нь K.I.S.S. зарчим юм. "keep it simple, stupid" эсвэл "keep it simple for security" гэж хэлэх тохиолдол байдаг. Энэ нь нууцлал хамгаалалтыг хангахад аль болох энгийн байдлыг баримтлах нь зүйтэй гэсэн үг юм.

•Харамсалтай нь, байгууллагуудын хувьд нэг төхөөрөмжийг дараагийнхтай нь уях байдлаар тохиргоог улам бүр муу байдлаар хийснээр мэдээллийн сүлжээ нь улам нарийн төвөгтэй болсон байдаг.

Ингэснээр сүлжээний бусад хэсгээс тусдаа тодорхой нэг хэсэгт асуудал үүсэхэд сүлжээ тэр чигээрээ аюулд учрах магадлалтай болдог.

7.K.I.S.S. /KEEP IT SIMPLE STUPID/ ЗАРЧМЫГ БАРИМТЛАХ

• Найдвартай сүлжээтэй байх нь Мэдээллийн аюлгүй байдлыг хангах үндсэн гол ойлголт нь байдаг. Гэсэн ч ихэнхи байгууллагууд өөрийгөө хүрээлсэн байдлаар хамгаалалтыг сайжрууалхад маш их мөнгийг зарцуулдаг ч тэд дотоод сүлжээгээ сайжруулахад цаг зарцуулдаггүй байх нь элбэг.

Үүнээс болж, сүлжээний нэг хэсгээс нөгөө рүү чөлөөтэй урсах чухал өгөгдөл мэдээллүүдийг зааглах, хянах боломж нээгдэхгүй. Хэрэв бүх өгөгдөл мэдээллүүдийг сүлжээний аль хэсэгт байгааг тодорхой мэдэхгүй бол тэдгээрийг хамгаална гэдэг маш төвөгтэй. Энэ нь мөн мэдээллийн технологийн аудиторуудад ажлаа хийхэд нь төвөг учруулдаг байна.

WEB APPLICATION-НИЙ НУУЦЛАЛ ХАМГААЛАЛТ

• Аливаа зүйлийн давуутай шинж чанар нь өөр нэгэн өнцгөөс харахад сул тал нь болж байдгийг хаа сайгүй олж харж болно. Тухайлбал вэб апликэшний хувьд хаанаас ч хэзээ ч хандаж ашиглаж болдог давуу тал нь, хэн дуртай нэгэнд ямар нэг гажууд хэлбэрээр хандах боломжыг олгодог. Хэрвээ өөрийн компьтер дээрээ л суулгаад өөрөө л хэрэглэдэг жирийн програмын хувьд бол гаднаас халдах халдлагаас айгаад байх зүйлгүй. Интэрнэтгүй, сүлжээгүй орчинд ч ажиллах учраас. Харин интэрнэт хэмээх задгай ертөнцөд байрлах вэб апликэшний хувьд бол нууцлал хамгаалалт гэдэг асуудал хамгаас чухалд тавигддаг. Ийм учраас эхлээд гаднах нууцлалыг хангаад дараа нь дотрох зүйлсээ хийдэг.

WEB APPLICATION-НИЙ НУУЦЛАЛ ХАМГААЛАЛТ

Server• Сэрвэрийн үйлдлийн системийн шинэчлэл, апдэйтийг цаг тухайд нь хийж байх. Мөн үйлдлийн

системийн чухал багц програм хангамжуудыг ч байнга шинэчилж байх хэрэгтэй.

• Хэрэггүй үйлдлийн систэмийн хэрэглэгч нэрсийг устгах. Тухайлбал windows дээр guest хэрэглэгчийг идэвхгүй болгох. Мөн хэрэглэчдийн нууц үгийг тогтмол хугацаанд солиж байхаар тохируулах, хамгийн багадаа 8 ч юмуу тэмдэгт байхаар зааж өгөх.

• Файл болон директоруудад хандах эрхийг(file permission) нарийн чанд тавьж өгөх. Системийн файлууд, директоруудыг сайтар нууцлаж хамгаалах хэрэгтэй.

• Логуудыг сайтар төлөвлөж тохируулах. Лог файлын үүсэх байрлал, хэд хоноод хуучин логууд устгагдах гэх мэт. Мөн лог дээр бичигдэж байгаа үзэгдлүүдийг автоматаар шинжилж, хэвийн бус зүйл илэрвэл мэйлээр ч юмуу мэдэгддэг байвал сайн.

• Сүлжээний тохиргоонд TCP/IP түвшинд боломжын хирээр шүүлтүүр тавьж өгөх. Хэрэггүй портуудыг хаах, iptablesдээр сэжигтэй пакетуудыг оруулахгүй байх гэх мэтээр тохируулж болдог.

WEB APPLICATION-НИЙ НУУЦЛАЛ ХАМГААЛАЛТ

Application server• Апликэшн сэрвэр буюу вэб сэрвэрээ байнга шинэчилж засвар эмчилгээг цаг тухайд нь хийж явах.

• Апликэшн сэрвэрийг ажиллуулах хэрэглэгчийн нэрийг логин хийж чадахааргүй байлгах. Мөн маш хязгаарлагдмал эрхтэйгээр тохируулж өгөх. Тухайлбал вэб апликэшний директориос бусад дирэктор луу хандах эрхгүй байлгаж болно.

• Хэрэглэгдэхгүй нэмэлт боломжуудыг идэвхгүй болгох. Тухайлбал CGI програм ажиллуулахыг зогсоох, мөн HTTP ийн PUT, TRACE, DELETE зэрэг мэтодуудыг идэвхгүй болгох гэх мэт.

• Вэб сэрвэрийн нэр болон хувилбарын дугаар, алдааны мэдээлэл зэргийг нуух. Ингэснээр гаднаас халдагчид сэрвэрийн програм хангамж болон бусад мэдээлэл дээр тулгуурлан онгорхой цоорхойг хайхаас сэргийлнэ.

WEB APPLICATION-НИЙ НУУЦЛАЛ ХАМГААЛАЛТ

Хөгжүүлэлт• Програмд гаднаас орж ирэх өгөгдлийг зөв байгаа эсэхийг шалгах хэрэгтэй.

• SQL Injection. Энэ нь ерөнхийдөө махан дотор эм хийгээд нохойд өгөх гэдэг Шурикийн аргатай адил. Хэрэглэгчийн оруулсан өгөгдлийг шалгалгүйгээр шууд SQL команд дотор оруулж хэрэглэх юм бол махыг эмтэй нь идчихлээ гэсэн үг. Эмийг махнаас ялгахын тулд хэрэглэгчийн оруулсан өгөгдөл дотор SQL байна уу үгүй юу шалгаж үзэх хэрэгтэй.

WEB APPLICATION-НИЙ НУУЦЛАЛ ХАМГААЛАЛТ

Хөгжүүлэлт• Шиншлэх. Энгийн HTTP ээр дамжиж байгаа өгөгдөл нь сүлжээгээр текст хэлбэрээрээ явах

тул ямар нэг сүлжээний шиншлэх багажаар(sniffer) ямар өгөгдлүүд явж байгааг мэдчихэж болдог. Ийм учраас хэрэглэгчийн нэр, нууц үг гэх мэт мэдээллийг энкрифтлэгдсэн хэлбэрээр дамжуулах хэрэгтэй. Тухайлбал логин хийдэг хуудсыг SSL(Secure Socket Layer) -ээр дамжихаар хийх хэрэгтэй. Мөн session timeout-ийг багасгах зэргээр sessionid-ийг хулгайлах, ашиглахаас сэргийлж болох юм. Энэ арга нь sessionid-ийг хулгайлагдах болон таагдахаас бүрэн хамгаалж чадахгүй ч учрах хохирлыг тодорхой хэмжээнд багасгах юм.

WEB APPLICATION-НИЙ НУУЦЛАЛ ХАМГААЛАЛТ

• Ингээд вэб апликэшн маань нууцлал хамгаалалтыг тодорхой түвшинд хангасан эсэхийг шалгахын тулд Вэб апликэшний нууцлалыг шалгагч(Web Application Security Scanner) багажаар шалгаж үзэх хэрэгтэй. Ийм төрлийн багажууд нь хэдэн мянган зүйлтэй шалгах листтэй байх бөгөөд түүгээрээ апликэшнийг чинь бөмбөгдөж өгнө. Ингээд ямар шалгууруудыг давахгүй байгааг илрүүлэх юм. Сайн багаж бол ямар шалгуурыг даваагүй болох, тухайн дайралт нь хир ноцтойгоор ашиглагдаж болох, яаж засаж залруулах мэдээллийг агуулсан байдаг.

АНХААРАЛ ТАВЬСАНД БАЯРЛАЛАА

АСУУЛТ?