Байгууллагын сүлжээнд үүсэх асуудлууд
Энэ өгүүллийг Сүлжээний аюулгүй байдал өгүүлэлтэй нэгтгэх хэрэгтэй байна (Хэлэлц) |
Танилцуулга
[засварлах | кодоор засварлах]Бизнест сүлжээний аюулгүй байдлыг хангах нь их чухал асуудал болоод байгаа билээ. Зогсолтгүй хөгжиж буй аюулуудыг эсрэг уламжлалт галт ханаар бүрэн аргалах боломжгүй юм. Орчин үеийн сүлжээний хосолсон халдлагуудаас зөвхөн нэг тал дээр анаарсан хамгаалалтаар хамгаалах нь учир дутагдалтай юм. Эдгээр асуудлуудаас болж Нэгдсэн аюулын менежмэнт (UTM) бий болсон бөгөөд аюулгүй байдлын тал дээр маш хурдацтай өсөж байгаа. Энэ нь нэг төхөөрөмж дээр олон тооны аюулгүй байдлын чанаруудыг агуулсан байх ба сүлжээг бүхэлд нь ямар ч халдлагаас хамгаалж чадна.
Физик аюулууд
[засварлах | кодоор засварлах]Энэ нь ямар ч сүлжээнд чухал бөгөөд корпорацийн сүлжээнд зайлшгүй физик аюулгүй байдал байх шаардлагатай. Рутерүүд болон серверүүд нь заавалчгүй тусгай газарт суурилагдсан байх ёстой. Энэ газар маш сайн хамгаалагдсан байх ёстой бөгөөд зөвхөн хүлээн зөвшөөрөгдсөн хүмүүс л нэвтрэх эрхтэй байх юм.
Хүрээлэн буй орчины аюулууд
[засварлах | кодоор засварлах]Бүхэл серверүүд болон сүлжээний төхөөрөмжүүд нь цаг тутам энэ талаар хамгаалагдсан байх шаардлагатай. Агаар шүүгч болон дулаан мэдрэгч заавал суулгаж ажиглаж байх ёстой. Энэ нь сүлжээний төхөөрөмжүүдийг рак дотор зайтай бөгөөд агаар солилцож байхаар суурилуулах нь их чухал юм. Статик гүйдлийн эсрэг бугуйвчийг төхөөрөмжүүдийн ойролцоо ажиллаж байхдаа ашиглаж байх хэрэгтэй. Эцэст нь дулааны дохио тохируулах хэрэгтэй.
Цахилгааны аюулууд
[засварлах | кодоор засварлах]UPS суурилуулснаар төхөөрөмжүүд нь системийг цахилгааны асуудалтай байсан ч ажиллах боломжыг олгодог. UPS мөн цахилгааны хүчинд буй бохирдолуудыг шүүдэг. Ингэснээр цахилгаан тэжээлийн хэрэглэх хугацааг уртасгадаг.
Сүлжээний аюулууд - Халдлагууд
[засварлах | кодоор засварлах]Сүлжээний аюулууд нь програм хангамж болон үйлдлийн системүүд дээр байдаг. UTM-г ашиглаж эдгээр асуудлыг шийдэх нь зүйтэй.
Нууц үгийн халдлагууд
[засварлах | кодоор засварлах]Нууц үг нь системд хэрэглэгчийг таних хамгийн түгээмэл аргуудын нэг нь юм. Өргөн хэрэглэгдэгээс биш энэ нь хэд хэдэн асуудалтай. Ихэнхи хүмүүс нууц үгээ мартахгүйн тулд хялбараар хийдэг. Нууц үгийг хүчээр үг тааруулах буюу Brute force эсвэл түгээмэл ашиглагддаг нууц үгийн жагсаалтаар (Rainbow tables) олох зэрэг олон аргууд байдаг. Үүний эсрэг хүчтэй нүүц үг хийж халдлагын боломжыг бууруулж болно. Мөн олон ISP болон интернетээр хангагч нар хэрэглэгчийн нууц үгийг хэд хэдэн бүтэлгүй оролдогын дараа хүчингүй болгодог.
Вирус
[засварлах | кодоор засварлах]Вирус нь аюулгүй байдлын тал дээр хамгийн түгээмэл аюул юм. Вирусууд нь жижиг хэмжээтэй ачааллах боломжтой код байдаг ба эдгээрийн чухал шинж чанар нь өөрсдийгөө хувилж хэрэглэгчийн компьютерт халдварладаг. Зарим төрлийн вирус нь ачааллах боломжтой файлууд, бүүт сектор, батч файлууд, бичиг хэргийн материал зэрэг ямарч гуравдагч програмууд дээр байх бөгөөд үйлдлийн систем дээр ажиллаж чаддаг.
Вирусын төрөлүүд
[засварлах | кодоор засварлах]- Бүүт сектор вирусууд: Энэ төрлийн вирус нь ихэвчлэн хатуу диск драйвуудад халдварладаг. Мастер бүүт бичигч нь үйлдлийн системийг унших болон ачааллах үүргийг гүйцэтгэдэг. Хэрвээ Мастер бүүт бичигч нь вирусээс болж халдвар авсан бол бүхэл захын драйвууд болох флоппи диск эсвэл usb нар нь комьютер дахин ачааллах үед халдвар авна. Энэ төрлийн вирус нь халдвар авсан дискүүд болон ачаалагдах боломжтой USB зөөгчүүдээр дамжуулан өргөждөг байна.
- Program viruses: Энэ төрлийн вирусууд нь зөвхөн програм идэвхижих үед л идэвхиждэг. Хэрвээ програм нь идэвхижвэл вирус нь өөрийгөө үржүүлж бусад програм хангамжуудыг халдварладаг.
- Multipartite viruses: Энэ төрлийн вирусууд нь өмнөх 2 төрлийн вирусын хослол юм. Эхээд вирус нь програм файлуудад халдварлах ба дараагаар нь эдгээр халдвартай файлууд нь мастер бүүт рекордод халдвар тараана. Хамгийн сүүлд дахин ачааллах үед мастер бүүт рекорд нь дискүүд болон usb оролтуудад халдвар тараана.
- Stealth viruses:
Үл үзэгдэх вирус нь антивирусны програмд үл үзэгдэх байдлаар өөрчилж чаддаг. Эдгээр вирусууд нь өөрсдийн хэмжээ болон байрлалаа цааш нь солих чадвартай байдаг. Үл үзэгдэх вирус нь антивирусны програмд үл үзэгдэх байдлаар өөрчилж чаддаг. Эдгээр вирусууд нь өөрсдийн хэмжээ болон байрлалаа цааш нь солих чадвартай байдаг.
- Polymorphic viruses: Энэ төрлийн вирусууд нь яг л хамелеон шиг, энэ нь 2-тын зам өөрчлөгдөхөд үржиж шинэ файлуудал халдвар тараадаг. Үүний улмаас антивирусны програмуудад илэрүүлэхэд хэцүү байдаг.
- Macro Viruses: Макро вирусууд: Энэ төрлийн вирусууд хэрэглээний програмууд руу макро байдлаар шигддэг. Эксел эсвэл Ворд шиг програмууд нь макро хэлийг дэмжиж ажилдаг. Хэрвээ макро вирус програмд халдварласан бол энэхүү програмаар хийж үүсгэсэн бүх зүйл вирустэй болно гэсэн үг юм.
Trojan Horse Programs
[засварлах | кодоор засварлах]Ерөнхийдөө Трожан морь програмууд нь эцсийн хэрэглэгчийн функцууд эсвэл хэрэгтэй үйлчилгээнүүдийг олгодог програмууд юм. Ихэнхи тохиолдолд Трожан морь програм нь сайжируулсаныг санал болгодог. Гэхдээ энэ нь заримдаа хэрэглэгчид хохирол учруулах функцуудыг ажилуулдаг. Дараах үндсэн 5 өөр төрлийн Трожанууд байдаг.
- Remote access Trojans: Алсын хандалттай Трожанууд: Эдгээр Трожанууд халдагчид бүрэн удирдлагыг олгодог. Халдагч өгөгдөл рүү хандах бүрэн эрхтэй болох ба хохирогчийн файлууд болон хэрэгтэй мэдээлэлүүд ч байна. Хохирогчийн машин доторх Трожан нь сервер шиг байх бөгөөд интернэтийн портыг нээж халдагчийг хүлээнэ. Зарим Трожанууд нь IRC командуудаар удирдах боломжтой байх бөгөөд эцсийн хэрэглэгч болон халдагч TCP/IP холболто үүсгэх боломжгүй.
- Data-sending Trojans: Өгөгдөл илгээдэг Трожанууд: Эдгээр Трожанууд нь халдагчинд нууц үг эсвэл нууцлалтай мэдээлэл зэргийг буцааж явуулдаг. Трожан нь энэхүү мэдээллийг тусгай газруудаас хайх эсвэл keylogger -г суулгана. Үүний дараа бүх keystrokе-үүдийг халдагч руу илгээнэ. Хакер нь ихэнхи хугацаанд энэ бүх өгөгдлийг майл хаяг эсвэл вэб хуудас дээрээ хүлээн авна. Аль ч тохиолдолд халдагч нь үнэгүй вэб-д суурилсан мэйл эсвэл хуудас хангагчыг ашигласнаар халдагчыг барих хэцүү болно.
- Destructive Trojans: Хөнөөлт Трожанууд: Эдгээр Трожанууд нь энгийн үүрэгтэй. Эдгээр нь файлуудыг устгах болон үгүй хийх үүрэгтэй. Эдгээр нь халдагчаар дамжуулж идэвхжиж болно эсвэл тодорхой хугацаа болон өдөр идэвхжиж болно.
- Denial of Service Trojans: Үйлчилгээ бусниулах Трожанууд: Ийм төрлийн Трожанууд нь халдагчид зөвхөн хангалттай хохирогч байгаа үед л ашигтай. Халдагч нь нэгэн зэрэг бүх хохирогчид рүү халдах бөгөөд үйл ажилгааг зогсоодог. Үүнтэй төстэй техник нь мэйл бөмбөгдөх Трожан халдлага юм. Үндсэн зорилго нь аль болох олон машинуудад халдвар тараах ба бүх халдвартай компьютерүүд нь тодорхой мэйл хаяг руу нэгэн зэрэг мэйлүүд илгээх юм.
- Proxy Trojans: Прокси Трожанууд: Энэ нь хохирогчийн машиныг прокси сервер болгон хувиргах юм. Энэ нь ихэнхдээ хууль бус санхүүгийн үйл ажилгаан дээр хэрэглэгддэг. Мөн бусад интернэт худалдаа гүйлгээг халдагч 3дагч итгээд болон байгуулгаас авдаг. Халдагч илэрсэн тохиолдолд мөшгихөд халдагч биш буцаад хохирогч дээр ирдэг.
Packet Sniffer
[засварлах | кодоор засварлах]Пакет шиншлэгч нь сүлжээнд байгаа пакетуудыг ажигладаг програм хангамж юм. Урт хугацааны турш сүлжээний инженерүүд, систем админууд болон аюулгүй байдлын мэргэжилтнүүд иймэрхүү түүлүүдийг ашиглагдаг. Энэ сүлжээний урсгалыг хянах болон ажиглахад хууль ёсны үйлдэл юм. Ихэнхи хувийн компьютерүүд LAN (Local Area Network - LAN)-д холбогдсон байдаг учир тэд бусад компьютерүүдтэй холботыг хувааж ашиглаж байгаа юм. Хэрвээ сүлжээ нь свитч ашиглаагүй тохиолдолд урсгал нь нэг сектор луу замчлагдаж сүлжээнд байгаа бүх машин руу дамжуулал хийнэ. Ямар ч компьютер үнэндээ өгөгдлийг хүлээж авдаг бөгөөд тоохгүй орхидог. Шиншлэгч нь эдгээр пакетуудыг ажиглаж байдаг. Үүнийг хийхийн тулд шиншлэгч нь “NIC” -ийг тусгай горим болох promiscuous горимд шилжүүлнэ. NIC энэ горимд байгаа үед машин нь дамжигдаж буй бүх өгөгдлийг харж чадна. Харин үүнийг халдагчид ашигласнаар их аюултай бөгөөд олон тооны сүлжээний протоколууд мэдээллийг уншигдахуйцаар илгээдэг. Жишээ нь FTP, POP болон telnet.
Denial of Service
[засварлах | кодоор засварлах]Үйлчилгээ бусинуулах халдлага нь түгээмэл бөгөөд халдагч нь ямар нэгэн компьютер эсвэл үйлчилгээ рүү хандах гэж биш харин зогсоох гэж оролдоно. Ийм төрлийн халдлагыг хийх дээ вэб сайтыг хэтэрхий их хүсэлтээр бөмбөгдөх юм. Вэб сайт нь өөр холболтыг нээж халдагчын хариуг хүлээнэ. Энэ бүх нээлттэй холболтууд нь вэб сайтыг унахад хүргэдэг. Үүнийг мөн SYN flood халдлага гэдэг. Үүний шинэ төрлийн халдлага нь Distributed DoS (DDoS) юм. Энэ халдлага нь олон системүүд ашиглаж тодорхой үйлчилгээ рүү халддаг.
Spyware
[засварлах | кодоор засварлах]Ерөнхийдөө шууд нэрнээс нь харахад л ойлгомжтой. Ийм төрлийн хортой код нь тухайн компьютерийн системд тагнуул хийж байдаг. Энэ нь хэрэглэгчийн компьютероос маш олон төрлийн мэдээллийг нууцаар цуглуулдаг. Spyware буюу тагнах зорилготой код нь маркетингийн санаачлагаар тухайн компаниас гаргасан программ хангамжинд суулгагдан шингэсэн , вэб хуудаснаас татагдах боломжийг гаргаж өгсөн мөн нууцаар байршлийг тодорхойлж олох функцийг агуулсан байдаг. Иймэрхүү кодын жишээг авч үзвэл Sony Rootkit. Энд Sony-гоос гаргасан CD-нд Trojan шингэсэн ба энэ нь нууцаар хэрэглэгчийн компьютерт суулгагдсан байдаг.Зорилго нь тухайн CD-нээс өгөгдлийг хуулбарлаж авахыг хааж өгдөг үүний эсрэг хүмүүсийн гаргасан хортой код нь тухайн програмын эмзэг байдал руу халдан нээлттэй байдлыг нээж болдог.
Spam
[засварлах | кодоор засварлах]Спам нь бараа үйлчилгээг сурталчилсан энгийн цахим мэдээнээс эхлэн хөгжсөөр сүүлийн жилүүдэд энгийн нэг сурталчилгааны мэдээнээс илүү аюултай хэлбэрийг олж, хууран мэхлэх, сүлжээний ачааллыг ихэсгэх, зарим тохиолдолд залилангийн хэлбэрээр хөгжиж, вирус, мэлвэйр зэргийг түгээх арга зам болсон. И-мэйл илгээх зардал маш бага, илгээж буй мэдээний тооноос хамаардаггүй нь спамчид и-мэйлээ бүх л бололцоотой мэйл хаягт хэдэн ч удаа хамаагүй илгээх нөхцөлийг бүрдүүүлдэг учир өдөрт илгээгдэх спамын тоо тэрбумаар тоологддог. Ингэхдээ интернет сүлжээгээр дэлхийн аль ч хэсэгт түгээдэг. Үүнээс шалтгаалаад сүлжээний ачаалал тодорхой хэмжээгээр нэмэгддэг.
Pishing
[засварлах | кодоор засварлах]Энэ нь онлайн залилан хурдацтай хөгжиж байгаагийн нэг хэлбэр юм. Фишинг нь Fishing ббуюу загасчлах гэсэн утгатай төстэй. Илгээгч тал нь санхүүгийн байгууллага, онлайн дэлгүүр, интернет үйлчигээнээс илгээж байгаа юм санагдуулж таны үнэ цэнэтэй мэдээллийг хулгайлах зорилготой. Жишээ нь таны үйлчлүүлдэг компаниас албан ёсны мэйл ирж таны мэдээллүүд хэрэгтэй байгаа бөгөөд та дараах мэдээллийг бөглөнө үү? Гэсэн утга бүхий мэдээлэл ирж таны картын дугаар, нууц үг зэрэг мэдээллийг авах зорилготой юм. Ерөнхийдөө СПАМ бол гэм хор багатай их сайндаа л сүлжээний урсгалыг удаашруулдаг бол Фишинг нь таны халааснаас мөнгө авч мэдэх хэрэгсэл юм.
P2P Worms
[засварлах | кодоор засварлах]P2P сүлжээнүүд нь их өргөн хэрэглэгддэг. Жишээ нь limewire болон shareaza энэ 2 нь P2P програмууд бөгөөд сая сая хэрэглэгчидтэй. Эдгээр нь мэдээж worm-уудад сайхан үүр болдог. Энэ нь ерөнхийдөө вирустай төстэй. Нэгэнт PC-д нэвтэрсэн бол маш хурдан тархдаг. Гэхдээ бас вирус шиг биш. Worm нь ямар нэгэн хэрэглэгчийн програмыг шаарддаггүй. Өөрийгөө зөөврийн диск буюу флаш, хатуу дискээр хуулбарлахаас гадна таны үйлдлийн системийн эмзэг байдлыг ашиглан сүлжээгээр ч нэвтэрч өөрийгөө хуулбарлах чадвартай. Мөн эдгээр worm ууд нь P2P сүлжээнүүдийн энгийн урсгалын нэг хэсэгч болдог.
Аюулгүй байдлын бодлого
[засварлах | кодоор засварлах]Аюулгүй байдлын тооцооллоос өмнө бид аюулгүй байдлын бодлогыг авч үзэх ёстой юм. Уг бодлого нь юуг яаж хамгаалах талаар байх ба бүх гаднаас хандах боломжтой апликэшнууд нь суухаасаа өмнө кодын жагсаалттай байх ёстой ба үгүй бол хэрэглэгч нь нууц үгээ хуваалцахгүй юм эсхүл компани болон гаднах нь холболтын цэгтэй байж энэ нь 6 сар болгон портоо шалгаж байх юм. Ямар нэгэн бодогогүйгээр хэрэглэгчид болон админуудын зөвшөөрлийг, юу шаардлагатай байгаа болон юуг зөвшөөрснийг мэдэхэд хүндрэлтэй юм. Бодлого нь аюулгүй байдлын замын зураг ба хэрвээ сайт нь бага хамгаалалттайгаас өндөр хамгаалалтруу явахад замын зураг хэрэгтэй юм. Аюулгүй байдлын бодлого нь бий болсноор хүмүүст энэ нь нөлөөлөх юм. Бодлого нь амьд докум?ент ба үүний дагуу бүх аюулгүй байдлын юмс явагдах болно.
Эмзэг байдлын үнэлгээ
[засварлах | кодоор засварлах]Бид хэрхэн аюулгүй байдлын бодлогыг зөв хэрэгжсэн гэдгийг шалгах вэ? Хамгийн сайн арга нь эмзэг байдлын үнэлгээг нь ажиллуулах юм. Иймэрхүү үнэлгээ нь нийгмийн инженерчлэлээс эрсдэлийн үнэлгээгээр порт хайлтийг хийдэг. Жишээ нь, эрсдлийн үнэлгээ нь програм, удирдлагын баг, систем эсхүл байгууллагын хүрээнд асуугдах ба аюулгүй байдлын ямар хэсгүүд байж болох мөн эсрдлийг хэрхэн бууруулах тал дээр ярилцдаг. Эмзэг байдлын үнэлгээний цөм ойлголт нь нэвтрэлтийн тест юм. эмзэг байдлын хайлт нь компьютер нь хамгийн бага түвшиндээ хэр ажиллаж байгааг хардаг. Дараах хэсгээр тодорхой тайлбарлая. Хувийн системд системийг шалгах хэд хэдэн ойлголтууд байдаг:
- Нууц үг нь богино эсхүл таахад хялбар
- Зөвшөөрөгдөөгүй програмууд, setuid гэх мэт
- Системийн директорууд дахь зөвшөөрөгдөөгүй програмууд
- Таамаглаж байгаагүй урт хугацаанд ажиллах үйл явцууд
- Хэрэглэгч болон системийн директорууд дахь зохисгүй директорын хамгаалалт
- Системийн өгөгдлийн файл дахь зохисгүй хамгаалалт, нууц үгийн файл, төхөөрөмжийн драйвер, үйлдлийн системийн кернел
- Програмын хайлтын хэсэгдэхь аюултай оролтууд (Trojan horse)
- Хүлээж байгаагүй эсхүл нуугдсан сүлжээний daemon-ууд
Аюулгүй байдлын хайлтанд олдсон алдаанууд нь автоматаар эсхүл админаар засагдаж болохоор байдаг. Сүлжээтэй холбогдсон компьютерууд нь дан системийн хажууд аюулгүй байдлын халдлагуудад өртөмтгий байдаг учир энэ асуудлыг нухацтай авч үздэг. Бидний өдөр тутмын хэрэглээнд байнга интернет-д холбогдож байгаа ба бидний мэдэхгүй маш олон төрлийн мэдэгдэхгүй халдлагууд байдаг. Жишээ нь, Америкийн нэгдсэн улсын засгийн газар гадаад холболтоо аюулгүй хамгаалагдсан байлгахыг хичээдэг ба маш нууц систем нь барилга дотроосоо хандагдаж магадгүй байдаг. Ихэнх засгийн газруудад маш нууц мэдээлэл, өгөгдлүүд маш их байдаг учир мэдээж өөрсдийн мэдээллээ маш аюулгүй байлгах тал дээр арга хэмжээнүүдийг авдаг ба ялангуяа сүлжээнд холбогдож байгаа үед. Мөн ажилчидаа маш олон аргаар адилтган танилтыг хийж, барилгат оруулдаг. Харамсалтайн системийн админ болон компьютерийн аюулгүй байдлын мэргэжилтнүүдэд өрөөн дэхь машинийг цоожлох болон алсын хандалтыг үл зөвшөөрдөг болгох бараг л боломжгүй юм. Сүлжээнд холбогдсон маш олон газрууд байдаг ба тэнд сайн болон муу хүмүүс зөндөө байдаг ба интернетийг ямар ч зорилгоор ашиглаж болох юм. Ялангуяа муу хүмүүст буюу хакеруудад маш олон төрлийн хэрэгсэл байдаг тэдгээрийг юу хийхийг мэдэхгүй ч Моррисийн хийсэнтэй адилхан өтийг үүсгэж ч магадгүй юм. Эцэст нь, Зарим хүмүүс аюулгүй байдлыг үл ойлгогдох зүйлээр буюу хэрэгслүүдийг тест хийлгэхгүй байдлаар тохируулах ба энэ нь аюулгүй байдлын нүхнүүдийг олоход хэцүү болгож байгаа юм. Халдлага илрүүлэлт Илрүүлэлтийн статистик онцгой тохиолдолын аргуудыг 2 үндсэн хэсэг хуваан авч үздэг: threshold илрүүлэлт болон profile-т суурилсан систем юм. Threshold илрүүлэлт нь тодорхой заагдсан хугацааны хооронд тодорхой төрлийн үйлдэл хэдэн удаа болсоныг тоолдог. Хэрвээ тооцоолж байсан тоололтоос хэтрэх юм бол үүнийг халдлага гэж үздэг. Threshold анализ нь дунд зэргийн нарийн халдлагуудын эсрэг болхи бас үр дүн багатай юм. Threshold болон хугацааны агшин нь тодорхойлогдсон байх ёстой. Өөр төрлийн олон хэрэглэгчдийн улмаас threshold нь хуурамч эсрэг эсхүл хуурамч сөрөг мэдээллийг үүсгэж болдог. Хэдийгээр энгийн threshold илрүүлэгч нь хэд хэдэн нарийн текникүүдээс бүрдсэн нийлмэл халдлагуудын эсрэг үр дүнтэй. Profile-д суурилсан илрүүлэлт систем нь хэрэглэгийн хувийн зан ааш эсхүл хэрэглэгчтэй хамааралтай группүүдийг анхааран судалж, дараа нь гаж үзэгдэл байна уу хэмээн халдлагыг илрүүлдэг. Profile нь хэд хэдэн параметрүүдийн бүрдлээс бүрдэж болох ба, хэрэв нэг нь гажсан байвал, анхааруулгыг систем рүү илгээдэг. Уг хандалтын суурь нь аудитын анализ бүртгэл юм. Аудитын тэмдэглэл нь оролтондоо халдлага илрүүлэх функцын 2 аргатай. Эхнийх нь загварчилж байгаа хүн нь хэрэглэгчийн зан аашд тааруулан хэд хэдэн хэмжээсийг тодорхойлж шийдэх ёстой. Тодорхой хугацааны үе дэх аудитийн тэмдэглэлийн анализ нь хэрэглэгчийн дунджаар хийдэг үйл ажиллагаанд хэрэглэгдэж болдог. Иймээс, аудитын тэмдэглэлүүд нь ерөнхий зан аашийг тодорхойлоход хэрэглэгддэг. Хоёрдугаарт, одоогоор байгаа аудитын тэмдэглэлүүд нь халдлага илрүүлэхэд хэрэглэдэг. Халдлага илрүүлэх загвар нь тэмдэглэлээс гажсан зан аашинд аудит тэмдэглэлийн анализ хийдэг. Дараах хэмжүүр нь profile-д суурилсан халдлагыг илрүүлэхэд хэрэглэгддэг:
- Тоолуур: Сөрөг бус бүхэл тоо нь нэмэгдэж болох ба гэвч удирдлагын үйлдэл нь дахин шинэчлэгдэх хүртэл хасагдаж болохгүй. Ерөнхийдөө, тодорхой тоологддог үйл явцын төрлүүд нь тодорхой хугацаанд хадгалагддаг. Жишээ нь: энэ нь тухайн цагийн турш хэрэглэгч нь хэдэн удаа нэвтэрч орсныг, тухайн хэрэглэгчийн session-д хэдэн удаа комманд гүйцэтгэсэн болон тухайн минутанд нууц үгээ хэдэн удаа буруу хийсэн тоо зэргийг багтаадаг.
- Хэмжүүр: Сөрөг бус бүхэл тоо нь нэмэгдэж эсвэл хасагдаж болдог. Ерөнхийдөө, хэмжүүр нь зарим нэгжийн одоогоор байгаа үнэ цэнийг хэмжихэд хэрэглэгддэг. Жишээ нь: хэрэглэгчийн аппликэшнд даалгасан логик холболтуудын тоо болон хэрэглэгчийн үйл явц-д оочирлосон гарцын мессежийн тоонуудыг багтаадаг.
- Цаг хугацааны хэмжүүрийн зай: Хоорондоо хамааралтай 2 үйл явдлын хугацааны урт. Жишээ нь: данс руу амжилттай нэвтэрч орсон хугацааны урт.
- Нөөцийн ашиглалт: тодорхой хугацаанд хэр их нөөцөөс хэрэглэсэн бэ гэдгийг заана. Жишээ нь: хэрэглэгчдийн session-д хэдэн хуудас хэвлэгдсэн болон програм ажиллахад зарцуулсан нийт хугацааг багтаадаг.
Дээрх ерөнхий метрикүүд өгөгдсөн үед, олон төрлийн тестүүдийг тодорхой хязгаартай хугацаанд ашиглаж болох юм. [DENN87] нь дараах хандалтын жагсаалтыг гаргасан.
- Mean болон стандарт хазайлт
- Multivariate
- Markov үйл явц
- Хугацааны цуваа
- Үйлдлийн
Хамгийн энгийн статистик тест нь mean болон стандарт хазайлт хэмжих юм. Mean болон стандарт хазайлтын хэрэглээ нь олон төрлийн өргөн хамаарагддаг тоолуур, цаг хугацааны хэмжүүр, нөөцийн арга хэмжээ гэсэн ойлголтыг агуулдаг. Гэвч эдгээр арга хэмжээ нь, ерөнхийдөө халдлага илрүүлэх зорилгоор ашиглавал их болхи юм. Multivariate загвар нь харилцан хамааралд суурилсан ба энэ нь 2 болон түүнээс дээш хүчин зүйлсийг хэлнэ. Халдагчийн зан аашийг корреляцийг(жишээ нь процессор хугацаа болон нөөцийн хэрэглээ эсхүл нэвтрэх давтамж болон session) авч үзвэл магадгүй маш их итгэлтэй. Markov үйл явц загвар нь олон төрлийн нөхцөл байдал дунд өөрчлөлтийн магадлалыг тооцоолоход ашиглагддаг. Жишээ нь, энэ загвар нь тодорхой коммандууд хооронд өөрчлөлтийг харахад ашиглагддаг. Хугацааны цувааны загвар нь хугацааны зайнд анхаарлаа хандуулдаг ба энэ нь үйл явдлын болж байгаа давтамж нь хурдан эсхүл удаан байгааг хардаг. Олон төрлийн статистик тестүүд нь хэвийн бус хугацааг шинжэхэд ашиглагдаж болдог. Эцэст нь, ажиллагааны загвар нь ямар нэг хэвийн бус зүйл байгаа бол түүнийг илрүүлэн шалгадаг. Ерөнхийдөө хязгаар нь тогтсон цагаар тодорхойлогддог ба халдлага нь тодорхой хязгаараас давах юм үүнийг халдлага гэж үздэг. Иймэрхүү арга нь халдагчийн зан характерыг тодорхой төрлийн үйл ажилд бууруулахад маш сайн ашиглагддаг. Жишээ нь богино хугацаанд маш олон нэвтрэх хандалт нь халдлага гэж ойлгож болно. Статистик profile-ийг хэрэглэх гол давуу тал нь хамгаалалтын эмзэг байдлын мэдлэг мэдээлэл нь шаардлагагүй байдаг. Илрүүлэгч програм нь “энгийн” шинж чанар ямар байдаг гэдгийг суралцдаг ба гаж байгаа зүйлийг хайдаг. Хандалт нь тусгаар систем характеристик болон эмзэг байдалд суурилдаггүй. Иймээс, энэ нь өөр төрлийн системүүд дунд зөөврийн байдлаар амархан ашиглагддаг.
Вирусны хамгаалалт
[засварлах | кодоор засварлах]Бидний үзсэнчилэн, вирус нь системийг орвонгоор нь эргүүлэх чадвартай. Вирусны эсрэг хамгаалалт нь аюулгүй байдлын нэг чухал ойлголт юм. Вирусны эсрэг програмууд нь уг хамгаалалтыг хийхэд ашиглагддаг. Тэд систем дээрх програмуудыг хайн вирусыг илрүүлдэг. TRIPWIRE ФАЙЛ СИСТЕМ Anomaly-илрүүлэх хэрэгсэлийн нэг бол UNIX-д зориулагдсан tripwire файл систем бүрэн бүтэн байдал-шалгах хэрэгсэл нь Purdue их сургуулиар хөгжүүлэгдсэн юм. IVipwire нь системийн директоруудыг өөрчилж чадах халдлага юм. Жишээ нь, халдагч нь системийн програмыг өөрчилж, Trojan horse-ийг оруулах эсхүл хэрэглэгчийн shell-д шинэ програм суулгах юм. Tripwire нь файл системд нэмэгдсэн, устсан, өөрчлөгдсөн файлуудыг хянах шалгах ба хэрвээ өөрчлөлт орсон бол системийн админд мэдээллэх юм. Tripwire-ийн ажиллагаа нь тохиргооны файл болох tw.config-оор удирдагддаг ба файлд өөрчлөлт орохыг ажигладаг. Тухайн тохиргооны файлд, файлын өөрчлөлтийг хэрхэн ажиглах файлын шинжийг тохируулж өгдөг. Жишээ нь, сонголтын маск нь файлын зөвшөөрлийг ажиглах байж болох ба нэмж хэлэхэд сонголтын маск нь файл өөрчлөгдөхөд ажиглах байдлаар тохируулагдаж болно. Файлын хашыг шалгах нь файлыг шалгасантай алилхан ба гэвч файлуудын хашуудыг хадгалах нь файлыг хуулсанаас бага зайг шаарддаг. Tripwire нь tw.config файлд тохиргоогоо оруулах ба файл бүрийн гарын үсгийг тооцоолж шалгадаг. Тэдгээр гарын үсгүүд нь өгөгдлийн санд хадгалагддаг. Ажиллахдаа, өгөгдлийн сан дахь гарын үсгийг аван мөн өөрийн tw.config файл дахь оролтыг харан ажиглалтаа хийдэг. Үйл явдал нь админд мэдэгдэх ба ажиглагдсан файл эсхүл директор нь бааз дахь гарын үсэгтэй таарахгүй байвал үүнийг устсан эсхүл вирус гэж үзнэ. Вирусууд болон анти-вирусууд нь улам ихээр боловсронгуй болсоор байгаа билээ. Зарим вирусууд нь өөрсдийгөө анти-вирусны илрүүлэлтэнээс зайлсхийх зорилгоор өөрийгөө өөрчилдөг. Анти-вирусууд нь мөн вирусны шинж чанартай адилхан шинжээр нь вирусыг илрүүлэн устгаж байгаа. Зарим анти-вирусын програмууд нь хэд хэдэн илрүүлэх алгоритмуудыг ашигладаг. Тэд шахагдсан байгаа вирусуудыг гарын үсгийг нь шалгахаас өмнө задалж чаддаг. Ажиллагааны файлын нээх үйл явцыг нь бичнэ гэдэг их сэжигтэй зүйл ба энэ нь ажиллуулагч биш бол юм. Өөр нэг алдартай ашиглагддаг арга нь sandbox дээр програмыг ажиллуулах ба энэ нь системийн хэсэг дээр хянагддаг юм. Анти-вирусын програм нь Sandbox дээр кодын шинжийг шалгадаг. Зарим анти-вирус програмууд нь дээрхийг бүгдийг нь хийн бүрэн хамгаалалтыг олгодог.Компьютерийн вирусны эсрэг хамгийн сайн хамгаалалт нь урьдчилан сэргийлэх ба энэ нь аюулгүй тооцоолол юм. Үнэгүй, crack хийгдсэн нээгдээгүй програмуудыг татаж аван суулгахаас зайлхийх хэрэгтэй ба хэдийгээр албан ёсны лизенцтэй програм ууд нь вирусд халдварлагдаагүй байдаг. Гэвч зарим тохиолдолд програм хангамжийн компаниуд нь хийсэн байх тохиолдлууд байдаг. Макро вирусд rich text format(RTF) Word-ийн файлаа ийм өргөтгөлтэй болговол макро вирусд өртөхгүй юм. Өөр нэг хамгаалалт нь электрон шуудангаар ирж буй шахагдсан файлыг татаж авах мөн нээхгүй байх юм. Бас нэг аюулгүй байдлын хамгаалалт нь, хэдийн энэ нь халдалтаас урьдчилан сэргийлэхгүй ч тэрнээс өмнөх илрүүлэлтээс урьдчилан сэргийлж чадах юм. Хэрэглэгч нь хатуу дискээ формат хийх юм. Учир нь үүнд вирус ихээхэн халддаг. Хамгийн гол зүйл бол хэрэглэгчийн зүй зохистой хэрэглээ ба интернет-д буюу сүлжээгээр дамжуулж янз бүрийн зорилготой янз бүрийн халдлагууд байх ба төгс хамгаалалт гэж байдаггүй ба хамгийн гол зүйл нь хэрэглэгч та өөрөө л өөрийнхөө ашигладаг электрон төхөөрөмж, компьютераа хамгаалж чадах юм.
Аудит хийх, бүртгэх болон бичих
[засварлах | кодоор засварлах]Аудит хийх, бүртгэх болон бичих нь системийн гүйцэтгэлийг бууруулдаг гэвч тэдгээр нь хэд хэдэн талбарт буюу аюулгүй байдалд үр ашигтай байдаг. Бүх системийн-дуудлага ашиглалт нь програмын зан төлөвийн дүн шинжилгээнд бичигдэх юм. Илүү нарийн тайлбарлавал, сэжигтэй үйл явдал нь бичигдэх юм. Адилтган танилт болон зөвшөөрөлийн алдаанууд нь халдлагын талаарх маш олон зүйлсийг хэлж өгч чадах юм. Бүртгэх нь аюулгүй байдлын админы хэрэгслийн чадвартай хэрэгсэл юм. Энэ нь систем дээрх гүйцэтгэлийн өөрчлөлтийг олж чадах ба аюулгүй байдлын асуудлыг харуулж өгөх юм. UNIX-ын компьютерийн өмнөх үед Cliff Stoll нь бүртгэгдсэн логуудыг шалгаж байгаа халдлагыг илрүүлсэн байдаг.
Систем болон сүлжээг Firewall-аар хамгаалах
[засварлах | кодоор засварлах]Бидний дараагийн асуулт бол найдвартай, итгэмжлэгдсэн компьютер нь хэрхэн найдваргүй сүлжээтэй аюулгүй холбогдох вэ юм. үүний нэг шийдэл нь галт ханыг ашиглах юм. Галт хана нь компьютер, рутер ба энэ нь найдвартай болон найдваргүй хооронд байрлах юм. Сүлжээний галт хана нь 2 аюулгүй байдлын домайн, монитор болон бүх лог холболтуудын хооронд сүлжээний хандалтыг хязгаарладаг. Мөн энэ нь эх үүсгэвэр болон хүлээн авах хаягт суурилан, эх үүсгэвэр болон хүлээн авах порт, холболтын зүг дээр суурилан холболтыг хязгаарладаг. Жишээ нь, веб серверүүд нь HTTP-г ашиглан веб броузертэй холбогддог. Түүнчлэн галт хана нь галт хананаас гаднах бүх хостуудыг галт хана дахь веб сервер рүү HTTP-ээр хандахыг зөвшөөрч болох юм. Жишээ нь Morris-ын интернет өтнүүд нь finger протоколыг ашиглан компьютеруудруу халдсан байдаг ба энэ тохиолдолд finger нь нэвтэрч чадахгүй юм. Сүлжээний галт хана нь сүлжээгээ хэд хэдэн домайнд хувааж чаддаг. Интернеттэй жирийн хэрэгжүүлэлт нь найдваргүй домайн ба энэ нь хагас найдвартай болон хагас аюулгүй сүлжээ буюу DMZ гэгддэг, үүнийг зураг 15.10-т харуулав. Интернетээс DMZ компьютеруудад мөн компанийн компьютеруудаас интернет рүү холбогдох холболтыг зөвшөөрдөг гэвч интернет эсхүл DMZ компьютеруудаас компанийн компьютер руу зөвшөөрдөггүй. Хяналттай холбоо нь зөвхөн DMZ болон байггууллагын нэг компьютертай байж болдог. Мэдээж, галт хана нь өөрөө аюулгүй, халдлагаас хамгаалагдсан баталгаатай байх ёстой ба өөрөөр бол аюулгүй холбоо нь асуудалтай байх юм. Түүнчлэн, галт хана нь халдлагаас урьдчилан сэргийлэхгүй ба веб сервер дэхь буффер дүүргэлтийн халдлагаас галт хана нь хамгаалж чадахгүй юм. Мөн DoS халдлага нь галт ханы ажиллагаа доголдуулах чадвартай байдаг. Галт ханын өөр нэг эмзэг байдал нь spoofing ба зөвшөөрөгдөөгүй хэрэглэгч нь зөвшөөрөлтэй хэрэглэгч мэт хандахыг илрүүлж чадахгүй юм.
Ашигласан материал
[засварлах | кодоор засварлах]- "SURVEY OF UNIFIED THREAT MANAGEMENT APPLIANCES" Kingston University London
- Operating System concepts ном
Гадаад холбоосууд
[засварлах | кодоор засварлах]Ганхүлэг J.IN11D048 2016 он