Мэдээллийн аюулгүй байдлын ойлголт ба хэрэгжүүлэлтийн суурийг ойлгох нь
Jason Andress (ISSAP, CISSP, GPEN, CEH) мэдээллийн аюулгүй байдал гэх энэ номыг бичиж байсан. Andress аюулгүй байдлын ойлголтыг туршлагатайгаар мэргэжлийн ба бизнесийн төвшинд судалж эхэлсэн ба энэхүү номондоо аливаа амжилттай бизнесийн хамгийн чухал зүйл нь үнэ цэнэтэй гэгдэх “мэдээлэл”-ийг хэрхэн хамгаалах вэ гэдэг асуудал юм. Andress компьютерийн ухааны докторын зэргээ өгөгдөл хамгаалал, нийтийн мэдээллийн аюулгүй байдлын penetration тест болон эрсдлийн шинжилгээг ашиглан хэрхэн хангах зэрэг хүрээнд судлан хамгаалсан. Сүүлийн 12 сард томоохон хувийн болон нийтийн байгууллагын хэсгүүд
халдлагад өртсөн ба халдагчид (anonymous) SQL болон DDoS халдлагын төрлийг ашиглан халдлага үйлдсэн. Mobile тооцоолол, олон нийтийн сүлжээ, үүлэн тооцоолол зэрэг нь бизнесийн ажиллагаанд мэдээллийн аюулгүй байдлын түвшнээ нэмэгдүүлэх шалтгаан нь GIO болж байна. Одоо үед байгууллагууд бүх төвшний ажилчдаа мэдээллийг хэрхэн цуглуулах, дамжуулах,хадгалах тухай мэдлэгтэй болгох тал дээр анхаарч байгаа. Andress судалгааны ажлаа мэдээллийн аюулгүй байдлын гурвалжин гэгдэх Confidentially Integrity Availability дээр тулгуурлан хийж эхэлсэн. Дараа нь халдлагын төрлүүд болох мэдээллийг замаас нь барих, ажиллагааг зогсоох, өөрчлөлт оруулах мөн хуурамч дүр бүтээн хууран мэхлэх зэргийг судалсан. Мөн тэр аюул занал, эмзэг байдал, эрсдэл зэргийн ялгааг тайлбарлан, физик хяналт, логик хяналт , administrative хяналтыг ашиглан эрсдэлийг сулруулах арга замуудыг хэлэлцэж байсан. Номын дүгнэлтийг товчоор илэрхийлсэн энэ хэсэг нь номыг үр дүнтэй ашиглахад илүү тустай байх болно.
Jason Andress (ISSAP, CISSP, GPEN, CEH) мэдээллийн аюулгүй байдал гэх энэ номыг бичиж байсан. Andress аюулгүй байдлын ойлголтыг туршлагатайгаар мэргэжлийн ба бизнесийн төвшинд судалж эхэлсэн ба энэхүү номондоо аливаа амжилттай бизнесийн хамгийн чухал зүйл нь үнэ цэнэтэй гэгдэх “мэдээлэл”-ийг хэрхэн хамгаалах вэ гэдэг асуудал юм. Andress компьютерийн ухааны докторын зэргээ өгөгдөл хамгаалал, нийтийн мэдээллийн аюулгүй байдлын penetration тест болон эрсдлийн шинжилгээг ашиглан хэрхэн хангах зэрэг хүрээнд судлан хамгаалсан. Сүүлийн 12 сард томоохон хувийн болон нийтийн байгууллагын хэсгүүд
халдлагад өртсөн ба халдагчид (anonymous) SQL болон DDoS халдлагын төрлийг ашиглан халдлага үйлдсэн. Mobile тооцоолол, олон нийтийн сүлжээ, үүлэн тооцоолол зэрэг нь бизнесийн ажиллагаанд мэдээллийн аюулгүй байдлын түвшнээ нэмэгдүүлэх шалтгаан нь GIO болж байна. Одоо үед байгууллагууд бүх төвшний ажилчдаа мэдээллийг хэрхэн цуглуулах, дамжуулах,хадгалах тухай мэдлэгтэй болгох тал дээр анхаарч байгаа. Andress судалгааны ажлаа мэдээллийн аюулгүй байдлын гурвалжин гэгдэх Confidentially Integrity Availability дээр тулгуурлан хийж эхэлсэн. Дараа нь халдлагын төрлүүд болох мэдээллийг замаас нь барих, ажиллагааг зогсоох, өөрчлөлт оруулах мөн хуурамч дүр бүтээн хууран мэхлэх зэргийг судалсан. Мөн тэр аюул занал, эмзэг байдал, эрсдэл зэргийн ялгааг тайлбарлан, физик хяналт, логик хяналт , administrative хяналтыг ашиглан эрсдэлийг сулруулах арга замуудыг хэлэлцэж байсан. Номын дүгнэлтийг товчоор илэрхийлсэн энэ хэсэг нь номыг үр дүнтэй ашиглахад илүү тустай байх болно.
1-р бүлэгт-“Defense in depth” судалж үүн дээр хэлэлцүүлэг хийх бүх төвшинд хэрхэн хамгаалах талаар судлан үүнийг шийдвэрлэх арга замууд болох penetration test, эмзэг байдлын шинжилгээ, backup, access control, encryption, content filtering, нууц үгийн нууцлал, вирусны программ, IDS, IPS, Proxy судална.
2-р бүлэгт- хэрэглэгчийн баталгаажуулалтын суурь ойлголтуудын талаар танилцуулна. Харин 3-р бүлэгт баталгаажуулалт хийгдсэний дараа хийгдэх боломжтой үйлдлүүдийг зааж өгөх Authorization ба Access control list мөн хэрэглэгчийн эрхүүдийн талаар судлах болно. Энэ бүлэг нь ACL-ын модел болох discretionary access control, mandatory access control, role-д суурилсан ба attribute-д суурилсан access control –ын тухайн танилцуулна.
4-р бүлэгт auditing ба accounting-ийн тухай хураангуйлсан бүлэг ба IDS IPS ын талаар судалгаа танилуулга багтана.
5-р бүлэг- мэдээлэл олон янзын төлөвт байхад хэрхэн хамгаалах тухай cryptography хэрэглэгдэхүүний талаар судална. Symmetric asymmetric key-үүдийн тухай бусад cryptograph-ын алгоритмүүдийн тухай тухайлбал hash функц тоон гарын үсэг гэх мэт асуудлуудыг танилцуулна.
6 ба 7-р бүлэгт- аюулгүй байдлын тухай практикт мэдээлэл өгнө. Энэ бүлэгт уншигчдад байгууллагын ямар мэдээлэл илүү үнэлэгдэхүйц гэдгийг таних үүний ач холбогдлыг мэдэх зэргийг танилцуулна. Эрсдэлийн шинжилгээнд тулгуурлан аюул занал, эрсдэл, эмзэг байдлын ялгааг тайлбарлана. Чухал анхаарлаа хандуулах асуудлууд бол
- Аюул заналыг ойлгох
- Хамгаалсны үр дүнг ойлгох
- Хэрвээ хамгаалахгүйгээр аюулд өртсөн бол яах вэ гэдэг асуудлыг ойлгох
7-р бүлэгт аюулгүй байдлын асуудлыг физик талаас нь хэрхэн хамгаалахыг илүү ойлгуулах зорилготой. Үүнд физик аюулгүй байдлын хяналт, мэдээлэл болон төхөөрөмжийг хамгаалах багтана. Хяналт нь 3 төрөл байдаг deterrent, detective, preventive.
Бүлэг 8-10 хүртэл сүлжээний аюулгүй байдал, үйлдлийн системийн аюулгүй байдал, аппликейшн аюулгүй байдлын ойлголтууд багтана. Энэхүү сүүлийн бүлэгт халдагчид хэрхэн онлайн банк болон өөртөө үйлчлэх машинуудыг давуу талыг өөрт ашиглан халдлага үйлдэж байгаа тал дээр илүү анхаарсан байгаа. Үйлдлийн системийн сул тал, веб аюулгүй байдал, өгөгдлийн сангийн аюулгүй байдал зэргийг энэ бүлэгт тодорхойлсон байгаа.
Бүлэг бүрийн төгсгөлд байгаа асуулт даалгаварыг хийх хэрэгтэй ба коллежийн анхлан элсэгчид хийх боломжтой. Энэ ном нь лабораторын орчинд хийх даалгавар багатай ч гэсэн хэрхэн практикт хийх боломжтой талаар дэлгэрэнгүй оруулсан байгаа. Эцэст нь хэлэхэд мэдээллийн аюулгүй байдлын ойлголт ухагдахууны талаар сурах гэж хайж судлаж байгаа хүн бүрт энэ ном зориулагдсан юм.
Зохиогч : Jason Andress
Pdf №27 Michael_2012_Computers-&-
Орчуулсан: Хулан, Мөнхцацрал нар
Зохиогч : Jason Andress
Орчуулсан: Хулан, Мөнхцацрал нар
No comments:
Post a Comment