Өгөгдлийн сангийн аюулгүй байдлын хэрэгжүүлэх: Өөрийн хамгаалалтаа халдлага шинжилгээг ашиглан сайжруулах
Хэрэглээний аюулгүй байдал, Inc.-ийн технологийн стратегийн захирал Жош Шаул. Дэд бүтцийн үнэлгээний дараа байгууллага нь дор дурдсан үйл ажиллагааг дэс дарааллаар хийх хэрэгтэй. Энэ нь өмнөх бууруулах шатанд байгууллага бүх өгөгдлийн санг олохын тулд илрүүлсэн сканыг ажиллуулах өөр эрсдлийг тодорхойлох мөн одоо байгаа эмзэг байдал болон тэргүүлэх чиглэлийн эмзэг сканыг тодорхойлно. А зэрэглэлийн жагсаалтад байгууллага нь хаанаас эхлэх болон аюулгүй байдлын сайжруулах төлөвлөгөөг баримтжуулах шийдвэрт тусалдаг. Өгөгдлийн санг системтэйгээр баталгаажуулах вирусын төлөвлөгөө нь зорилгуудын эсрэг тогтвортой ахиц дэвшлийг харуулах болно.
Өгөгдлийн санг сайжруулах аюулгүй байдал: Өгөгдлийн сангийн аюулгүй байдал ажиллагааг (lifecycle) ашиглана
IT орчинд урсгал тогтмол байдалд байна. Хуучин нөөц халагдаж шинэ техник хангамж, програм хангамж нэмэгдсэн байна. Сүлжээ нь өргөжсөн. Шинэ ажилчид болон бусад хүмүүс нь комданидаа үлдэж ажилладаг. Байгууллагын нэн чухал өөрчлөлт, өсөлт нь өнөөгийн динамик IT орчинг хангахад үр дүнтэй юм. Эрсдэлийн удирдлагын ерөнхий зорилго нь сүлжээ болон хостуудыг аюулгүй байлгахад 10 гаруй жилийн турш байгууллагуудад ашиглаж байна.
Өгөгдлийн сангийн аюулгүй байдлын ажиллагаа нь 4-н энгийн давтагддаг алхмуудаас тогтоно. Assess, Prioritize, Flx, Monitor
Өгөгдлийн сангийн аюулгүй байдлын эрсдэл удирдлагын ажиллагаа(lifecycle)
Байгууллагууд нь өгөгдлийн сангийн түвшинд эрсдлийн удирдлагын ажиллагааг хэрэглэх замаар эрсдэл болон найдвартай өгөгдлийн санг багасгадаг. Ижил зарчмыг хэрэгжүүлснээр тухайн сүлжээ болон бусад элементүүдийн өгөгдлийн санд гарах эрсдэл, аюулгүй байдлын эрсдэлийн нөхөн сэргээлтээс IT-ийн байгууллагууд энэ аргачлалыг өргөжүүлж байна.
Өгөгдлийн сангийн аюулгүй байдлын ажиллагаа нь 4-н алхмуудаас тогтоно
Энэ нь байнгын өгөгдлийн сангийн хөрөнгийг аюулгүй болгоход дараах дэг журмыг алхам алхмаар гүйцэтгэнэ.
- Өгөгдлийн сангийн нээлт болон үнэлгээний менежмент
- Өгөгдлийн сангийн эрсдлийн үнэлгээ
- Эрсдэл эрэмбэлэх болон нөхөн сэргээх
- Бууруулах болон орлуулах хяналт хэрэгжүүлэх
- Хэрэглэгч болон үйл ажиллагааны хуулбар
- Policy-base үйл ажиллагааны хяналт шинэжилгээ
- Real-time давуу эрхтэй хэрэглэгчийн байдал
- Real-time халдлага илрүүлэх болон дохиолох
Өгөгдлийн сангийн аюулгүй байдлын ажиллагааны аргыг хэрэглэж оролцдог хэд хэдэн тодорхой алхам байдаг:
IT орчныг үнэлэх
Үнэлгээ нь бүх өгөгдлийн сангийн одоогийн эрсдэлийг тодорхойлох, байнгын харьцуулалт юм. Өгөгдөл түүний эрсдэлийн талаарх ойлголт нь албан ёсны бодлого бий болгох зорилгоор чухал ач холбогдолтой хамгаалагдсан байна. Өгөгдлийн сангийн аюулгүй байдлын өнөөгийн төвшинг үнэлж цаашдын харьцуулалт жишгийг бий болгох, жишиг зохион байгуулах боломж олгож их хэмжээний ногдол ашиг төлөх, урагш шилжих явцыг харуулах ердийн оролдлого юм. Хянах чадвар болон хяналт тавих дэвшил нь дагаж мөрдөх хамгийн чухал бүрэлдэхүүн хэсэг юм. Үйл явц түүний дотор нийтлэг алдаа гарсныг тодорхойлоход тусалдаг: unpatched систем, сул эсвэл анхдагч нууц үг, их хэмжээний давуу эрх болон системийн хяналт тавих нь дутмаг байна. Технологийн шийдэл, нээлт нь аюулгүй байдлын байр суурь бий болгох, нөхөн сэргээлт хурдасгахын тулд засагдах скриптийг үүсгэх замаар зорилтыг оновчтой болгоно. Бүрэн бүтэн өгөгдлийн сангийн аюулгүй байдлын шийдэл нь бодит цаг хугацаанд аюул, эрсдэлд хяналт тавих бодлого орно.Бүрэн бүтэн мэдээллийн сангийн аюулгүй байдлын шийдэл нь бодит хугацаанд аюул болон амархан гэмтэх зүйлд мониторинг хийх бодлого юм.
Дараалал тогтоох хүртэл
Цогц мэдээллийн сан дахь аюулгүй байдлын оролдлого нь өгөгдлийн сандаа нэн чухал болон хор хөнөөлтэй байдлыг өөртөө агуулдаг хамгийн хурдан гэмтэх байдал болон аюул заналын мэдээлэл дээр суурилсан байдаг. Байгууллагын албан ёсны аюулгүй байдлын төлөвлөгөөг батлах ёстой ба тайлан дээрх үйл явц болон байнгын сайжруулалтыг харуулах нэг давуу эрх баримтжуулсан байна.
Засвартай болон эмзэг нөхцөл нь мэдэгдэж буй байдлуудыг сэргээх
Өгөгдлийн сангийн аюулгүй байдлын төлөвийг сайжруулахын тулд эрсдэлийг бууруулах, ингэхдээ анхны нууц үгийг арилгах болон тохиргоонд засвар хийхгүй байх ёстой.
Програм хангамжийн засвар болон мэдэгдэж буй арга замыг практик болон үйл явцтайгаа харьцуулах ёстой.
Бодит цаг хугацаан дахь хийгдэж буй бүх үйл ажиллагааг хянах
Бүх эмзэг биш байдлуудыг нэн даруй арилгах болон засвар хийх. Сэжиг бүхий үйл ажиллагаан дээрх өөрчилсөн бодлого болон бодит хугацааны мэдэгдэл нь байгууллагын аюул заналд хариу арга хэмжээ авах боломжийг олгодог. Мэдээллийн сангийн аюулгүй байдал мөчлөгийн аргачлал нь байгууллагад хамгаалалтын давхаргыг репозиторлуу сунгах бөгөөд үүний үр дүнд тэдний хамгийн чухал, нууц мэдээлэл зэргийн аюулгүй байдлын эрсдэлийг бууруулж өгнө. Шаардлагатай үед ямар нэгэн оролдлогыг дагаж мөрдөх,шуурхай хариу үйлдлийг идэвхтэй болгох, мэдээллийг нөхөн сэргээх болон мэдэгдэл зэрэг эдгээр алхмууд нь чухал бүрэлдэхүүн хэсэг болох юм.
Анхны нууц үгийг өөрчлөх
Oracle мэдээллийн сан бүрт анх тохируулсан нууц үг болон аccount хадгалагдсан байдаг. Тэдгээр хэрэглэгчийн нэр болон нууц үгийг сайн мэдэгдэхээр болон баримтжуулсан байна. Анхны нууц үг их бэрхшээлтэй байдаг учир хаалган доторх зүйлийг үлдээж мэдээллийн санг нээдэг. Тэд одоогоор 600 анхдагч хэрэглэгчийн нэр , нууц үгийн хослол болон хэдэн арван үнэгүй хэрэгслийг хайж чадна. Мөн хэд хэдэн нэмэлт үнэгүй хэл болон хэрэгслүүд дээр ажиллах боломжийг олгодог:
- Улаан өгөгдлийн сангийн аюулгүй байдлаас Checkpwd: www.red-database-security.com/
software/checkpwd.html 1
- Oracle-аас Default нууц үг хайх :
http://updates.oracle.com/ARULink/PatchDetails/process_form?patch_num=4926128
- Oracle аюулгүй байдал :
www.petefinnigan.com/default/
default_password_checker.htm 3
Амархан таах нууц үгийг зөвшөөрөхгүй байх
Өнөөдрийн хүртэлх хамгийн түгээмэл халдлагын нэг нь вектор халдлага бөгөөд энэ нь амархан таах нууц үгээр нэвтэрдэг юм. Халдагчид нь үйлдвэрлэлийн мэдээллийн сан дээрх хэрэглэгчийн нэр болон нууц үг нь ижил байнуу гэдгийг тестлэж үзэхээ мэдэж байгаа. Нийтлэг нууц үгийн толь бичиг хүртэл байдаг. Маш олон хакерууд http://www.openwall.com/passwords/wordlists/ сайтаас үгийн жагсаалтын давуу талыг олдог Эдгээр үгийн жагсаалт нь системрүү хандахын тулд нууц үгийг задлахад зориулагдсан.
Хүчтэй нууц үг
Өгөгдлийн сангийн аюулгүй байдлыг сайжруулахын тулд хүчтэй нууц үгийг ашиглаж хэрэгжүүлдэг. Хүчтэй нууц үг боловсруулахад эд хэдэн түлхүүрүүд байдаг.
Уртыг авч үзье
Нууц үгийн тэмдэг тус бүр нь нууц үгийн аюулгүй байдлыг сайжруулдаг. Нууц үг нь найм ба түүнээс дээш тэмдэгт орсон байх ёстой; 14 тэмдэгт түүнээс урт байвал тохиромжтой юм. Нууц үг нь санамсаргүй гарч ирсэн үсэг болон тоо гэх мэт 15 тэмдэгтээс бүрдсэн байх ба бүх keyboard-аас тэмдэгт ашиглан 8 тэмдэгт нууц үг хийснээс 33000 дахин хүчтэй байдаг.
Төвөгтэй байдалд орох
Үсэг , тоо болон тэмдэгтийн хослол нь нууц үг ашигласан тэмдэгтүүдийн төрлийг нэмэгдүүлдэг. Олон систем нь space-bar -аас нууц үг олгохыг дэмждэг ба ингэснээр олон үгнээс бүтсэн өгүүлбэр үүсгэх боломжтой болдог. Нэвтрүүлэх зурвас нь хялбар урт болон хэцүүг таахаас илүүтэйгээр энгийн нууц үгийг санах нь хялбар байдаг. Дараалсан болон давтсан тэмдэгтүүдээс зайлсхийж аль алиныг нь сэлгэх хэрэгтэй. Түүнээс гадна, Oracle нь, нууц үг нь ASCII үсгээр эхлэх ёстой. Тэндээс ASCII үсэг нь A-Z, _, #, $, 0-9 тоо байх эрхтэй. Нууц үг нь space bar-т дэмжигддэггүй. Oracle 11 г тохиолдолд мэдрэмтгий нууц үг дэмждэг, бусад хувилбаруудад том үсэг нь болгон ямар нэгэн нууц үгийг хувиргадаг.
Олон зүйл ашиглах
Таны орчинд нэгээс илүү нууц үг ашиглана - бид нар ашиглахад илүү хэцүү ба аюултай хэрэглэгчид бол тэднийг эвдэнэ.
Нэмэлт арга хэмжээ авах:
-Сонсогч нууц үгийг тохируулах
-Хамгийн сүүлийн үеийн үйлчилгээний багцыг суулгах
-түгжээтэй бүртгэлийг ашиглаж болохгүй
-зөвшөөрлийг олон нийтэд хүчингүй болгох шаардлагагүй
Өгөгдлийн сангийн аюулгүй байдлыг хэрэгжүүлэхэд хугацаа, оролдлого хэрэгтэй ба эдгээрийг бууруулах замаар, эрсдэлийн дундын газар болох байгууллагын аюулгүй байдлын маягтыг мэдэгдэхүйц сайжруулж болно.
Өмнөх эмзэг байдалд үлдэх, зөрчлийн эрсдэлийг бууруулах
Байгууллагууд анхаарал болгоомжтой байх бөгөөд дайралт болон хаяг алдахаас сэргийлж идэвх санаачлагчтай арга замыг илэрхийлэх ёстой. Хамгийн сайн зөвлөмж нь мэдээллийн сангийн эмзэг байдал болон аж ахуйн нэгжийн өгөгдлийн эрсдэлийг бууруулах юм.
Өгөгдлийн сангийн аюулгүй байдлыг автоматжуулах
Аюулгүй байдлыг хангахын тулд тухайн төхөөрөмжийн аюулгүй байдлын үнэлгээг анзаарахгүй орхиж болохгүй.Ингэснээр их хохиролд хүргэх магадлалтай байдаг.Өгөгдлийн сангийн аюулгүй байдлыг автоматжуулахын тулд аюулгүй байдлын мэргэжилтнүүд өдөр тутмын лог мэдээллийг шалгаж түүнийг тайлан болгон мэдээлдэг.Автоматаар тайлан гаргахдаа (аудиторууд, зохицуулагчид болон аюулгүй байдлын ажилтнууд) мэдээлэл хадгалах явцыг хялбар болгоно.
Өгөгдлийн урсгалыг хадгалах
Халдагч нь өгөгдлийн сангийн эрсдэлүүдийг тооцон халдах оролдлого хийдэг.Үүнээс хамгаалахын тулд байнга аюулгүй байдлын тохиргоог сервер дээр тохируулах хэрэгтэй.
Аюулгүй байдлын олон давхар хамгаалалт хэрэгжүүлэх
Өгөгдлийн сангийн өгөгдөл алдагдах тоо түүнийг урьдчилан сэргийлэх хэрэгтэй.Энэ арга нь уламжлалт өгөгдлийн сан хамгаалах арыг бодоход өгөгдлийн сангийн мэдээллийг агуулсан байдгаараа давуу талтай.Уламжлалт системийн хувьд бол халдагч их хэмжээний өгөгдлийг нэг бол устгана эсвэл өгөгдөлд аюул учруулдаг.
Аудитын систем
Аудитын газар нь аюулгүй байдлын дүрэм журам боловсруулах ба нөхцөл байдлыг хэтэрхий оройтохоос өмнө нь авах арга хэмжээний цогц шийдэл юм.Аюулгүй байдлын аудит ажиллаж байх үед өгөгдлийн санд сэжигтэй зүйл ажиглагдвал мэдээллэх олон мэдрэгчүүд ажиллаж байдаг.Үүнийг хянахдаа аудит нь урсгалд monitoring хийх эсвэл record хийх аргыг ашиглана.Энэ нь дотоод ба гадаад халдлагаас өгөгдлийн санг хамгаалах сайн аргын нэг болдог.
Өгөгдлийг нууцлах
Өгөгдлийг нууцлаж дамжуулах бол маш чухал бөгөөд үр дүнтэй аргын нэг юм.Өгөгдөл нь олон төхөөрөмжөөр дамжих,утсаар дамжих,олон компьютерээр дамжих тул түүнийг нууцалж дамжуулах нь үр дүнтэй арга юм.
Байнгын хяналт тавих системийг хэрэгжүүлэх
Өгөгдлийн сангийн аюулгүй байдлыг тасралтгй хангаж ажиллаж байх нь чухал.Аюулгүй байдлын мэргэжилтнүүд өгөгдлийн сангийн мэдээллийг хянаж ажиллаж байх ба халдагч довтолсон үед хариу арга хэмжээ авдаг байх хэрэгтэй.Аюулгүй байдлын хүлээн зөвшөөрөгдсөн систем нь байгуулгын өгөгдлийн санг хамгаалж байгууллагын ашиг орлогыг нэмэгдүүлдэг байна.
Өөрийн өгөгдлийн сангийн системдээ халдлага илрүүлэх техникийг хэрэгжүүлэх
Аудит болон эрсдэлийн үнэлгээ нь аюулгүй байдлыг тооцох чухал үзүүлэлтэд хамаарагдана.Үүнд дээр нэмээд халдлагыг яг гарсан даруйд нь илрүүлдэг техник чухал үүрэгтэй.Энэ нь халдлага гарангуут шууд ямар нэг хэлбэрээр анхааруулга мэдээлэл илгээдэг байхаар загварчлагддаг.
Өгөгдлийн сангийн аюулгүй байдал
Хэрэглээний давхаргад өгөгдлийн сангийн аюулгүй байдлыг хангах нь их амар ажил биш юм.Өгөгдлийн санд хадгалагдсан чухал мэдээллийг хадгалахын тулд халдлага илэрүүлэх техникүүдийг ашиглах ёстой.Үүний дараа аюулгүй байдлын төлөвлөгөөг боловсруулж хяналт тавьж ажиллах ёстой байна.Эдгээр дүрэм журам,арга техникийг өгөгдлийн сангийн систэмд хэрэгжүүлснээр илүү найдвартай ажиллах итгэлтэй болох юм.Өгөгдлийн сангийн аюулгүй байдал хэрэгжүүлснээр систэмд хэн нэвтэрч юу хийсэн хэдэн минут системд байсныг товч тодрхой мэдээлдэг.Мөн хэн таны мэдээллийг хулгайлах гэж оролдсон,мөн тэдгээрт хариу арга хэмжээ авж болно.Харин дээрх аюулгүй байдлын арга хэмжээг хэрэгжүүлээгүй байгууллага мэдээлэл алдагдах эрсэдл маш өндөр байх ба үүнийг дагаад байгуулгын бизнес алагдалд орж эхэлдэг.Иймээс өгөгдлийн сангийн аюулгүй байдлыг сайн хангах нь чухал юм.
Ашигласан материал
1.“Oracle Password Checker (Cracker).” Red Database Security. 19 May 2008. www.red-database-security.com /software/checkpwd.html
2. “Default password scanner (DPS).” Oracle. 19 May 2008. http://updates. oracle.com/ARULink/PatchDetails/ process_form?patch_num=4926128
3. Krijgsman, Marcel-Jan. “Oracle Default Password Auditing Tool.” PeteFinnigan. 19 May 2008. www.petefinnigan.com/default/default_ password_checker.htm
4. “Openwall wordlists collection.” Openwall Project. 19 May 2008. <www.openwall.com/passwords/ wordlists/>
No comments:
Post a Comment