Monday, October 15, 2012

Сүлжээний аюулгүй байдлыг хангах зарчмууд

    Сүлжээний аюулгүй байдлыг хангах зарчмууд Мэдээллийн сүлжээний аюулгүй байдлыг хангаж чадаагүй байгууллагууд нь энд дурдсан 7 зарчмаас 1 эсвэл түүнээс олон зарчмыг дагаж мөрдөөгүй байдаг.
       Мэдээллийн аюулгүй байдал нь технологи, дүрэм журам, заавар зэрэг хэд хэдэн хүчин зүйлээс шалтгаалдаг.Технологийн түвшин бол мэдээж амин чухал хэсэг нь болох нь олйгомжтой. Гэвч ихэнхи байгууллагууд нь үндсэн сүлжээндээ цоорхойтой, сүлжээний хамгийн доод түвшиндээ сул талтай байдаг.Доор дэлхийн хэмжээнд нийтлэг тохиолдох сүлжээний аюулгүй байдлын дутагдлуудыг арилгах арга замуудыг дурдав. Эдгээр дутагдлуудыг арилгаснаар сүлжээний аюулгүй байдал тань нэг алхмаар урагш ахих болно. 
    1.Сүлжээний эрсдлийг тооцох Энэ нь тухайн компаны хамгийн чухал тоног төхөөрөмжүүд болон тэдгээрийг холбосон сүлжээний тохиргоо муугаас үүдэн гэмтэл саатал гарахад хүргэдэг. Юу гэсэн үг вэ гэвэл, та өөрийн үнэт мэдээ мэдээллийг хамгаалахын тулд эхлээд тэдгээр мэдээлэл нь юу болох мөн хаана хадгалагдаж байгааг мэдэхгүйгээр тэднийг хамгаалж чадахгүй л гэсэн үг. АНУ-ын шуудангийн үйлчилгээний мэдээллийн аюулгүй байдлын ажилтны хэлсэнээр “Сүлжээний топологийн зураг эсвэл өөрийн сүлжээнд юу юу байгаа болон сүлжээгээр чинь дамжин юу юу хийгдэж байгааг тогтоох програм хангамжгүйгээр сүлжээний аюулгүй байдлыг хангах боломжгүй” гэжээ. Cisco systems компаны мэдээллийн аюулгүй байдлын ажилтан Майкл Лейны хэлсэнээр “Тухайн компани нь эрсдлийн үнэлгээг хийхгүйгээр зүгээр вирусны хамгаалалт, галт хана ашиглаад үйл ажиллагаа явуулах нь мэдэгдэхгүйгээр оршин тогтнож байгаа аюулын хүчийг улам нэмэгдүүлэх үндэс болдог” гэжээ. Мөн "Өөрийн сүлжээний аюулгүй байдлын төхөөрөмжүүд /routers, firewalls, switches, гэх мэт/ нь аюулаас 100 хувь хамгаална гэдэгт итгээд тэдгээр төхөөрөмжүүдийн хамгаалалтыг сайжруулдаггүй маш олон компани байдаг. Эдгээр олон тооны төхөөрөмжүүд нь зүгээр тэдний байгууллагадаа хадгалж байгаа тоглоомуудаас өөрцгүй” гэж хэлжээ. Forsythia Technology компаны аюулгүй байдлын шийдэл болосвруулагч Кен Смитын хэлсэнээр эхлээд бизнесийн хэрэгцээ шаардлагаа ойлголгүйгээр аюулгүй байдлын бодлого хяналтыг хэрэгжүүлэх нь олон удаа түүнийг асуудалд оруулж байсан байна. Энэ нь аюулгүй байдлын ажилтнууд нь компаны үйл ажиллагаандаа ач хобогдол өгөлгүй тогтсон жишгээр ажилладагтай холбоотой. Ингэсэн тохиолдолд дотоодод үүссэн жижиг алдаа дутагдлыг засалгүйгээр цааш үргэлжлүүлэх нь ихэсдэг ба тэр нь хамгийн түрүүнд таны сэргийлэхээр хичээж буй гаднаас ирэх аюулаас ч илүү асуудлыг үүсгэдэг байна.
     2.Аль нэг стандарт, дүрэм журмыг дагаж мөрдсөнөөр нууцлал хамгаалалт хангагдсан гэж найдахгүй байх Энэ нь ихэвчилэн дээд удирдлагуудтай холбоотой байдаг. Зарим компани маш их хэмжээний цаг хугацаа хөрөнгө мөнгөө HIPAA эсвэл PCI DSS зэрэг стандарт болон шаардлагуудыг хагхын тулд зарцуулдаг мөртлөө тэдгээрийг хэрхэн хангаж буйг шалгахад ашигладаг шалгах хуудсыг ганц бөглөөд л ахьж анхаарал хандуулалгүй орхидог. Мэргэжилтнүүдийн санал нэгтэйгээр хүлээн зөвшөөрдөг зүйл бол эдгээр стандартууд нь сүлжээний аюулгүй байдлыг хангах сайхан эхлэл боловч өгөгдөл мэдээллийг хамгаалахад шаардлагатай бүх шаардлагыг тусгасан гэсэн үг биш. Канадын нэгэн аюулгүй байдлын зөвлөх инжинерийн хэлсэнээр “Нууцлал хамгаалалт гэвэг нь ямар нэг стандарт шаардлагыг биелүүлсэнээр хэрэгждэг зүйл гэж ойлгох нь нэг талаас нууцлал хамгаалалт гэдгийг байнга хийгддэг биш нэг хэрэгжүүлээд орхидог зүйл гэж боддогтой холбоотой” гэжээ. Ихэнхи компаны дээд удирдлагуудын хувьд мэдээллийн аюулгүй байдлыг харахдаа ямар нэг стандартыг хангасан байх шаардлага гарахад хэрэгжүүлээд орхих төсөл, тэгээд дараа нь тийм ч сонирхол татах зүйл биш гэж боддог байна. Нууцлал хамгаалалтын – технологи, технологи нийлүүлэгчид, халдлага дайралт, эмзэг байдал зэрэг нь байнга хувьсан өөрчлөгдөж байдаг зүйлс. Сүүлийн үеийн технологи болох firewall, IDS/IPS, нэвтрэлтийг хянах систем, арга ажиллагаа, эсвэл бодлого, стандарт, бүтэц, үйл ажиллагаа нь байгууллагын нууцлал хамгаалалтын төлөв байдлыг тодорхой хугацаанд дээшлүүлэх боловч яг үнэндээ бүтэн жил эсвэл тав, арван жилээр хангадаггүй. Certified information security manger, Certified information system security professional болох Даниел Блэндэрын хэлсэнээр “Хэд хэдэн аюулгүй байдлын төсөл хэрэгжүүлэхэд тулгарч байсан гол асуудал нь тухайн байгууллагын дээд удирдлагуудын “Бид стандарт хангаж байна уу тэгвэл бид аюулгүй гэсэн үг” гэсэн бодолтой холбоотой байсан” гэжээ. Мөн “Зарим удирдлагууд Яагаад нууцлал хамгаалалт хэрэгтэй гэдгийг ойлгодог ч түүнийг хнагахын тулд эрсдлийн менежментийг байнга хийх хэрэгтэй гэдгийг ойлгодоггүй. Харин аюул занал аль хэдийн болж өнгөрсөний дараа анхаарал хандуулдаг нь гол бэрхшээл байдаг" гэжээ.
   3.Хүмүүсээс шалтгаалан учирч болох эрсдлийг тооцох Энд дурдсан 7 асуудлын хамгийн энгийн зүйл нь байгууллагууд өөрийн нууцлал хамгаалалтыг авч үзэхдээ энэ нь сар бүр хийгддэг технологийн ажил болохоос байгууллагын компьютер хэрэгслийг ашиглаж буй хүмүүс нь юу хийж байгаагаа нарийн сайн ойлгоогүй, эсвэл мэдлэг дутмагаас шалтгаалан хакеруудад санаандгүй байдлаар мэдээлэл өгөх зэргээр хир аюул учруулж болохыг тооцож үзээгүйтэй холбоотой байдаг. Энэ нь байгууллагууд өөрийн дэд бүтэц болон аюулгүй байдлын хэрэгсэлд дэндүү анхаарал хандуулдаг мөртлөө хүмүүс эсвэл ажилтнууд нь санаатай хорлон сүйтгэх эсвэл санамсаргүй байдлаар мэдээллийг задруулдаг болохыг анхаардаггүй гэсэн үг. Firewall, VPN, IDS/IPS, нууцлалын, сүлжээний холболтын болон замчлалын төхөөрөмжүүд нь маш сайн хэрэгслүүд боловч эцсийн эцэст мэдээллийн аюулгүй байдал нь ажиллах хүчний мэдлэг чапвар, тэдний байгууллагынхаа компьютер хэрэгслийг ашиглаад юу хийж болох юуг хийж болохгүйг заасан, амьдралд нийцсэн, хэрэгжүүлэх боломжтой аюулгүй байдлын бодлого байхгүйгээс үүдэн гардагийг ихэнхи хүмүүс олж хардаггүй. АНУ-ын банкны гүйцэтгэх захирал байсан Гари Бахадур-ын хэлсэнээр “Мэдээллийн аюулгүй байдлын хангахын тулд ажилтнуудыг мэдлэгжүүлэх, сургахгүйгээр амжилтанд хүрэхгүй” гэжээ. Мөн “Бүх нууцлал хамгаалалт хийгдэж түүнд зарцуулагдах төсөв хөрөнгийг зарцуулсан байлаа ч ажилтнууд нь вирустэй цахим шуудан руу орж үзэх, компьютерийн нууц үгээ алдах эсвэл хориотой цахим хуудсуудаар аялсаар байвал тэр нь ямар ч үр ашиггүй зарцуулсан болж таарна. Нууцлал хамгаалалтын амин сүнс нь хэрэглэгчдийн мэдлэг чадвар байдаг” гэжээ.
    4.Олон зүйлд чиглэсэн олон хандалтын эрхтэй байх Хандалтыг хянах систем байхгүйгээс маш олон байгууллага асуудалд өртдөг гэдэгтэй ихэнхи хариуцлагатай ажилтнууд санал нэгтэй байдаг. Хэн юуг хийх үүрэгтэй, хэн хандалтыг зөвшөөрөх цуцлахыг хариуцах, хэн өөрчлөлт шинэчлэлтүүдийг шалгах ёстойг ойлгомжтой болгосон ажлын тодорхой журамтай байх, мөн эдгээр зүйлсийг хийхэд байгууллагын үйл ажиллагааг нүсэр, хүнд хэцүү байдалд оруулахгүй байхад анхаарч түүнд удирдлагаас дэмжлэг үзүүлж, шаардлагатай хөрөнгө оруулалтыг хийгээгүйгээс үүдэн маш том асуудал үүсч болно”. Байгууллагууд нь ажлын ачааллыг бууруулах, хяналтыг бууруулах үүднээс хүн бүрт хандалтын бүрэн эрхийг олгодог. Гэвч эсрэгээрээ, зөвхөн нэг голлон гүйцэтгэх хүнд бүрэн эрх олгож, бусдыг хязгаарласан ч учирч болох аюул, эрсдэл нь хэвээр оршсоор байдаг. Нэг хүний гарт олон зүйлийг хянах эрх олгох нь нэг талаараа эрсдэлтэй. Хакеруудын хувьд голон гүйцэтгэх хүнийг ихэвчилэн хараандаа авдаг ба үүнийг “халим агнах тактик” гэж нэрлэх нь ч бий. Энэ нь томоохон эрсдэл үүсгэдэг. Энэ нь мөн нууцлал хамгаалалтыг ноцтойгоор сэвтүүлдэг ба дээд удирдлага энэ талаар анхааралдаа авдаггүй бол бүр ч дордоно.
  5.Програмын сул талуудыг нөхөх арга ажиллагааг тогтмол авч хэрэгжүүлэх Сүлжээний төрөл бүрийн төхөөрөмжид хийгдэх шаардлагатай жижиг өөрчлөлтүүүдийг цаг тухайд нь бүрэн гүйцэт хийж байгаагүйгээс шалтгаалан аюулд учрах нь бий. Үүний нэг жишээ нь Verizon-д тохиолдсон байна. Энд хийгдсэн халдлагын 90 хувь нь 6 сар эсвэл түүнээс удаан хугацааны дараа хийгддэг жижиг шинэчлэлт өөрчлөлтүүдийг цаг тухайд нь хийгээгүйгээс үүдэлтэй байжээ. Мэдэгдэж буй эсзэг байдлыг ашиглан хийгддэг халдлагуудаас хамгаалахын тулд үүссэн цоорхойг нөхөх жижиг шинэчлэлтүүдийг сар бүр хийх нь зүйтэй байсан тухай Verizon мэдээлж байжээ. Мөн хамгийн гол нь уг халдлагууд хийгдсэнээс хойш сар хүрэхгүй хугацаанд тэр жижиг өөрчлөлт шинэчлэлт нь хийгдэх ёстой байжээ. Хакерууд ихэнхи байгууллагууд жижиг өөрчлөлт шинэчлэлтүүдийг тогтмол хийдэггүй гэдгийг мэддэг. Тиймээс тэд энэ сул талыг нь ашиглан халдлаг хийхээр төлөвлөсөн байдаг. Энэ халдлагын төрлөөс хамгаалахын тулд үйлдлийн системүүдийн шинэчлэлтүүдээс гадна дунд түвшиний програм хангамжууд, хэрэглээний програм хангамжууд болон жижиг төхөөрөмжүүдийн ъомюьтертаый холбгодон ажиллахад суулгадаг програмуудын нууцлал хамгаалалтын шинэчлэлтүүдийг тогтмол хийж байх шаардлагатай болж байна.
   6.Түүх бичилтүүдийг шүүх, мониторинг хийх Энэ нь сүлжээнд байгаа төрөл бүрийн төхөөрөмжөөс тэдний үйл ажиллагааны тухай түүх бичилтийн мэдээллүүд байнга гарч байдагтай холбоотой. Тухайн байгууллага нь өөрийн нууцлал хамгаалалтыг хангахын тулд сүлжээн дотроо юу болж байгааг мэдэж байх ёстой. Эдгээр түүх бичилтийг цэгцэлж, хадгалах ажил нь цаг хугацаа шаардсан төвөгтэй ажил байдаг учраас тэр болгон хийлгүй орхигдуулдаг байна. Гэвч нууцлал хамгаалалтын ажилтан мөн л бол энэхүү түүх бичилтийн логуудыг маш нарийн гүнзгий судалж, эцсийн хэрэглэгчдийн зүгээс юу хийгдэж байгааг ойлгож авах нь чухал байдаг.
   7.K.I.S.S. /keep it simple stupid/ зарчмыг баримтлах Сүлжээний нууцлал хамгаалалтыг хангах ажилд баримтлах нэг чухал зүйл нь K.I.S.S. зарчим юм. "keep it simple, stupid" эсвэл "keep it simple for security" гэж хэлэх тохиолдол байдаг. Энэ нь нууцлал хамгаалалтыг хангахад аль болох энгийн байдлыг баримтлах нь зүйтэй гэсэн үг юм. Харамсалтай нь, байгууллагуудын хувьд нэг төхөөрөмжийг дараагийнхтай нь уях байдлаар тохиргоог улам бүр муу байдлаар хийснээр мэдээллийн сүлжээ нь улам нарийн төвөгтэй болсон байдаг. Ингэснээр сүлжээний бусад хэсгээс тусдаа тодорхой нэг хэсэгт асуудал үүсэхэд сүлжээ тэр чигээрээ аюулд учрах магадлалтай болдог. Найдвартай сүлжээтэй байх нь Мэдээллийн аюлгүй байдлыг хангах үндсэн гол ойлголт нь байдаг. Гэсэн ч ихэнхи байгууллагууд өөрийгөө хүрээлсэн байдлаар хамгаалалтыг сайжрууалхад маш их мөнгийг зарцуулдаг ч тэд дотоод сүлжээгээ сайжруулахад цаг зарцуулдаггүй байх нь элбэг. Үүнээс болж, сүлжээний нэг хэсгээс нөгөө рүү чөлөөтэй урсах чухал өгөгдөл мэдээллүүдийг зааглах, хянах боломж нээгдэхгүй. Хэрэв бүх өгөгдөл мэдээллүүдийг сүлжээний аль хэсэгт байгааг тодорхой мэдэхгүй бол тэдгээрийг хамгаална гэдэг маш төвөгтэй. Энэ нь мөн мэдээллийн технологийн аудиторуудад ажлаа хийхэд нь төвөг учруулдаг байна.

http://it.ub.gov.mn/

No comments:

Post a Comment