More Related Content More from Babaa Naya (20) 011 2 ba2. Агуулга
I. Зорилго
II. Онолын судалгаа
I. Сүлжээнд гарч болох аюулууд
II. МАБ болон САБ
III. Дэлхийн болон монгол улсын МАБ-н
өнөөгийн байдал
IV. САБ эрсдэлийн удирдлага
III. Гарсан үр дүнгүүд
I. Эрсдэлийг үнэлэх аргачлал
II. МХТС дээр САБ-н эрсдэлийн үнэлгээ
IV. Дүгнэлт
3. Байгууллагын МАБ-г хангах эхний алхам болох
сүлжээний эрсдэлийг хэрхэн үнэлэх талаар
судлах
Судалгаан дээр үндэслэн МХТС-н сүлжээнд
эрсдэлийн үнэлгээ хийх
Зорилго
5. Мэдээллийн аюулгүй байдал монгол
улсын хууль эрх зүй
2010 Онд МАБ-г хангах
үндэсний хөтөлбөр
MNS.5969:2009 Мэдээллийн аюулгүй байдлын эрсдэлийн удирдлага
MNS.ISO/IEC 13335-1:2009
Мэдээллийн ба холбооны технологийн аюулгүй байдлын
үндсэн ойлголтууд болон загварууд
MNS.ISO/IEC 27001:2009
Мэдээллийн аюулгүй байдлын удирдлагын
тогтолцоо.Шаардлага
MNS.ISO/IEC 27002:2007
Мэдээллийн аюулгүй байдлын удирдлагын үйл
ажиллагааны дүрэм
6. Эрсдэлийн үнэлэх технологийн үйл явц
Эрсдэлийг үнэлэх технологийн 5 үйл явц
5 алхамтай
1. Сүлжээг баримтжуулах
2. Нийтлэг халдлагуудыг
тодорхойлох
3. Програм хангамж,стандарттай
нийцүүлэх,санал асуулга
4. Тоон ,чанарын болон ерөнхий
5. Шийдэл боловсруулах тайлан
гаргах
8. Алхам I-Серверүүдийн дэлгэрэнгүй мэдээлэл
Сүлжээний мэдээлэл
IP: 203.212.28.73
Gateway: 203.212.28.65
DNS: 203.212.28.85
Ажил байгаа вэб хуудас http://203.212.28.73/cacti/
Техник хангамжийн
мэдээлэл
System model: Power Edge R410
RAM: 8GB
CPU: Intel (R) XEON 2.13GHz (4CPUs)
Вирусын эсрэг програм
KASPERSKY Endpoint 8.1.0.646
730 өдөр хэрэглэхээс 556 хэрэглэгдсэн
Хэрэглэгчид Administrator
Сервэр компьютерийн үнэ 4,736600
Мониторингийн серверийн дэлгэрэнгүй мэдээлэл
9. Алхам I-Өмч хөрөнгийн ач холбогдлыг
тооцоолох
Халдашгүй байдал, нууцлал (X)
Бүрэн бүтэн байдал(Б)
Хүртээмжтэй байдал(Хү)
Мөшгөн ажиглагдах байдал(М)
Нягтлан шалгагдах байдал(Н)
Өмч хөрөнгийн чанарын ач холбогдол(ЧаАХ)
АХ = Х+Б+Хү, АХ=Х*Б*Хү*М*Н
.
Д/д Сүлжээний төхөөрөмж болон
серверүүд
Х Б Хү М Н АХ
(1)
1
CISCO 7606 түгээлтийн түвшиний
рутер
3 5 5 4 4 1200
2
CISCO lynksys хандалтын түвшний
свитчүүд
3 4 4 3 3 432
3 Unimis сервер 3 5 4 3 5 900
4 Веб сервер 3 5 4 3 5 900
6 Мониторингийн сервер 3 4 4 3 3 432
7 Домэйн нэрийн сервер 3 4 4 3 3 432
8 Номын сангийн сервер 3 5 4 3 5 900
Өмч хөрөнгийн чанарын үнэлгээнээс хамгийн чухал гэж
үнэлэгдсэн
төхөөрөмжүүдийн эрсдэлийг илүү дэлгэрэнгүй үнэлэх хэрэгт
•CISCO 7606 түгээлтийн түвшиний рутер-1200
•Unimis сервер-900
•Веб сервер-900
•Номын сангийн сервер-900
10. МАБ-г ISO/IEC 27001:2005, MNS ISO/IEC 27001 : 2009
Стандарттай нийцүүлэх
Судалгааны хүрээ Эрсдэл/Үнэлгээ Зөвлөмж, авах арга хэмжээ
A.5.1 Мэдээллийн аюулгүй
байдлын бодлого
Зорилго: Ажил хэргийн
шаардлага, зохих хууль болон
зохицуулалтын дагуу удирдлагын
үндсэн чиглэлийг гаргах,
мэдээллийн аюулгүй байдлыг
дэмжих.
Өндөр
Мэдээллийн аюулгүй байдлын
бодлогын баримт бичгүүдийг
удирдлага сайшаан баталж, хэвлэн
нийтлүүлж, бүх ажилтнууд болон
холбогдох талуудад мэдээлсэн
байна.
МАБ-ын бодлого байхгүй
учир эрсдэлийн удирдлага
байхгүй.
A.6.1 Мэдээллийн аюулгүй
байдлын тогтолцоог зохион
байгуулах
Зорилго: Байгууллагын
хэмжээнд мэдээллийн
аюулгүй байдлыг удирдах.
Өндөр
МАБ ын бодлого дотор багтааж
батлуулах
САБ ын бодлого
байхгүй тул
холбогдох бусад
удирдлага
хэрэгжээгүй.
11. МАБ-г ISO/IEC 27001:2005, MNS ISO/IEC 27001 : 2009
Стандарттай нийцүүлэх
Судалгааны хүрээ Эрсдэл
A.5.1 Мэдээллийн аюулгүй байдлын бодлого Өндөр
A.6.1 Мэдээллийн аюулгүй байдлын тогтолцоог зохион
байгуулах
Өндөр
A.7.1 Эд хөрөнгийн удирдлага,мэдээллийн ангилал Бага
A.8.1 Хүний нөөцтэй холбоотой аюулгүй байдал Өндөр
A.9 Байр, байшин болон орчны болон тоног
төхөөрөмжийн аюулгүй байдал
Дунд
12. Алхам III- Сүлжээний төхөөрөмжүүдийн тохиргооны эмзэг сул байдлыг
стандарттай нийцүүлэх/ ISO 27001 Router Security Audit Checklist on Cisco
7606 (MXTC /
Өмч хөрөнгийн чанарын үнэлгээнээс хамгийн ач холбогдолтой гэж тооцогдсон
CISCO 7606 рутерын тохиргоог ISO/IEC 27001:2005 стандартын дагуу нийцүүлэе.
.
д/д Асуултууд
Одоогий
н байдал
ISO 27001 Control Байж болох стандарт/ хяналт
Ти
йм
Үг
үй
Баталгаажуулалтын тохиргоо
22
vty шугаманд SSH
хэрэглэдэг эсэх
1 A.12.3.1
SSH нь сүлжээгээр дамжиж
байгаа VTY холболт
тогтсоноос хойш бүх
өгөгдлийг шифрлэнэ.
Тохиргооны удирдлага
40
рүүтэрийн тохиргоо
болон image файлыг авах
зорилгоор TFTP
протоколыг хэрэглэдэг
үү?
0 A.10.6.1
TFTP протокол нь анхнаасаа
хаалттай байдаг бөгөөд ил
бичвэрийг сүлжээгээр
дамжуулдаг учир тийм ч
аюулгүй биш юм.
13. Алхам III- Сүлжээний төхөөрөмжүүдийн тохиргооны эмзэг сул байдлыг
стандарттай нийцүүлэх/ ISO 27001 Router Security Audit Checklist on Cisco
7606 (MXTC /
28 эмзэг байдал илэрсэн.Энэ эмзэг байдлуудыг
стандартын дагуу тохируулан зассан.Энэ
шалгалтын үр дүнгээс харахад:
•SNMP протоколоор ачаалал хянахдаа зөвхөн
cacti серверийг зөвшөөрөх
•Халдлага илрүүлэх системтэй болох
•Логийн сервертэй болох
•Замчлалын протоколын баталгаажил мессеж
авдаг болох
•Рутерын тохиргооны файл болон үйлдлиййн
системийг нөөцлөхдөө TFTP-с өөр нууцлал
сайтай сервер хэрэглэх
•Шаардлагагүй үйлчилгээнүүдийг хаах
•Сүлжээний админ рутерын шинэ эмзэг
байдлуудыг илрүүлж засч байх гэсэн эмзэг
байдлууд илэрлээ
•Серверүүд яг шаардлагатай портуудыг бусад
портуудыг хаах
•Рутерын болон сүлжээний документ байхгүй
Харин дараах талаараа аюулгүй байдал
нь сайн хангагдсан байна.
•Алсаас хандах хандалтSSH
•Сайн нууц хэрэглэсэн
•Рутерын CPU зэрэг ачааллын
мэдээллийг cacti сервер рүү авдаг
•Цагийн сервер тохируулсан
•Зарим шаардлагүй
үйлчилгээнүүдийг хаасан байна
0
5
10
15
20
25
30
тийм үгүй
нийт 50 асуултаас
14. Алхам III-Сүлжээний сервер төхөөрөмжүүдийн эмзэг байдлыг хайгуулын
хэрэгсэл ашиглан илрүүлэх
Acunitix-г ашиглан UNIMIS серверт эрсдэлийн үнэлгээ хийсэн үр дүнг
үзүүллээ.
15. Алхам III-Сүлжээний сервер төхөөрөмжүүдийн эмзэг байдлыг хайгуулын
хэрэгсэл ашиглан илрүүлэх
UNIMIS серверийн хэрэглээний түвшиний эмзэг байдал
Програмын нэр
Эмзэг байдал
Өндөр Дунд Сул
GFI Guard Сервер төхөөрөмжийн нэр нууц үгийг мэдэх шаардлатай
Acunetix
ASP.NET Padding Oracle
Vulnerability(1)
ASP.NET хэрэглэгчээс сервер лүү
өгөгдөл дамжуулахдаа нууцалдаг
ба энэ эмзэг байдал өгөгдлийг
дундаас барьж авбал тайлж унших
боломжтой болгож байгаа юм
байна
0
OPTION method
is enabled(1)
Веб сервер дээр
дэмжигдэж
байгаа бүх
методуудыг
дэлгэрэнгүй
харуулна.
Илрүүлсэн эмзэг байдлаа хариуцаж байгаа хүмүүст нь мэдэгдэх.GFI LAN
guard-р эмзэг байдлыг илрүүлэх.
18. Алхам III-Халдлага илрүүлэх систем
54%
20%
11%
3.80%
10.20%
Нийтлэг илэрсэн халдлагууд
Cross site
script
SQLInjection
Trojan-activity
Attempted
admin
Халдлага илрүүлэх системийг туршилтын журмаар тавьсан ба цаашид байнгын
ажиллагаатай болгож халдлага эсэргүүцэх системийг нэмэх
19. Алхам III- Эмзэг сул байдлыг шалган халдлага
хийх
Веб сервер лүү DOS халдлага хийж үзлээ.Веб сервер лүү DOS халдлага хийх
үед сүлжээний хяналтын серверээс харвал тухайн серверийн ачаалал огцом
нэмэгдэж байна.
Энэ шалгалтаас харахад
серверүүдийг DOS
халдлагаас сэргилэх
шаардлагатайг харуулж
байна.
20. Алхам III-Дотоод сүлжээний эрсдэлийг асуулгын аргаар
үнэлэх
Асуулгад МХТС-н нийт 38 багш ажилчид оролцсон
Нэр,утасны
дугаар,төрс
өн өдөр гэх
мэт хувийн
мэдээлэл…
Толь
бичигт
байдаг
энгийн үг
10%
Дараалсан
тоо
юмуу,үсгээс
бүрдсэн
26%
Тоо үсэг
хосолсон,я
мар нэг
утга
агуулаагүй
үг…
Таны компьютерын нууц үг хэр
хамгаалалт сайтай вэ?
Нэр,утасн
ы
дугаар,төр
сөн өдөр
гэх мэт…
Толь
бичигт
байдаг
энгийн үг
18%
Дараалсан
тоо
юмуу,үсгэ
эс бүрдсэн
23%
Тоо үсэг
хосолсон,
ямар нэг
утга
агуулаагү
й үг…
Таны багшийн веб рүү ханддаг
нууц үг хэр хамгаалалт сайтай
вэ?
Багш нарын компьютерын 71%,UNIMIS систем рүү хандаж байгаа нууц
үгийн 76% нь сул нууц үг байна.Сул нууц үг ашигласнаар толь бичгийн
халдлагад өртөх магадлал нэмэгдэнэ.
21. Алхам III-Дотоод сүлжээний эрсдэлийг асуулгын аргаар
үнэлэх
Энэ учирч болох эрсдэлээс урьдчилан сэргийлэхийн тулд МХТС-н багш нар
доор дурдсан сайн нууц ашиглах дэгийг мөрдөх хэрэгтэй.
1) санахад хялбар;
2) нэр, утасны дугаар, төрсөн өдөр гэх мэт хувийн мэдээлэл дээр чинь
тулгуурлан хялбархан тайлж болохооргүй;
3) толь бичгийн довтолгоонд өртөхөөргүй (ө.х толь бичгийн үгээс
бүрдээгүй);
4) дараалсан тоо, үсгүүдээс бүрдээгүй байх
Та баталгаатай,лицензтэй вирусны эсрэг програм хэрэглэдэг үү? Гэсэн
асуултанд 41% нь үгүй, 59% нь тийм гэж хариулсан байна.Энэ асуултын үр
дүнгээс харахад нийт багш болон ажилчдын компьютерын 30% нь вирустэх
эрсдэлтэй байна.
22. Алхам IV-Илрүүлсэн эмзэг байдлаа тоон аргаар үнэлэх
жишээ
Нийт ажилчдын 30%-н компьютер вирустэж 2 сардаа нэг удаа 2 цаг
форматлаж, шаардлагатай програм хангамжуудаа суулгана.
НУХ(Нэг удаагийн хохирол)=БХ*СХ=8000төг*2=16000төг
ЖХ=ҮД*НУХ=6*16000төг=96000төг энэ зөвхөн нэг ажилтаны хувьд.
Судалгаанаас харахад 30% гэхээр нийт 11 ажилтан гэж үзвэл.
ЖХ=ҮД*НУХ=6*16000төг=96000төг*11=1056000төг
Будлианаас учрах хохирол(БХ).Будлианаас учрах мөнгөн хохирол
БХ= 1 цагын ажлын хөлс дунджаар 8000төг
СХ=Сэргээн ажиллалуулах хугацаа 2цаг
Үүсэх давтамж(ҮД)=6
Нэг жилийн хохирол(ЖХ).Энэ нь нэг жилийн хугацаанд учирч болох хохирол
23. Алхам IV-Илрүүлсэн эмзэг байдлаа тоон аргаар үнэлэх
жишээ
Энэ эрсдэлээс сэргийлэхийн тулд баталгаатай лиценцтэй юмуу эсвэл үнэгүй
найдвартай вирусын эсрэг програм хангамж хэрэглэх болон хортой кодын
эсрэг дэгийг ажилчиддаа мөрдүүлэх хэрэгтэй.Хэрвээ үнэгүй найдвартай
вирусын эсрэг програм хангамж хэрэглэж хортой эсрэг дэгийг ажилчид
мөрдвөл.
ААЗ=0төг
Өртөг ашгийн шинжилгээ(ӨАШ)=ЖХ-ААЗ=1056000төг-
0төг=1056000төг
Хэрвээ жилийн лицензтэй вирусны эсрэг програм хангамж хэрэглэвэл.1
лиценз нь 15000төг гэж үзвэл.
ААЗ=15000төг*11ажилчидидын компьютер=165000төг
ӨАШ=1056000төг-165000төг=891000төг
Аюулгүй байдлын арга хэмжээний жилийн зардал(ААЗ)
24. Алхам IV-Эрсдэлийн үнэлгээний тайлангийн загвар
хүснэгт
Д/д
Эрсдэл
(НУХ)
НУХ=БУХ*СХ
Эрсдэ
л
(ҮД)
Жилийн
хохирол(ЖХ)
ЖХ=НУХ*ҮД
Аюулгүй
байдлын
арга
хэмжээний
зардал(ААЗ
)
Өртөг ашгийн
шинжилгээ(ӨА
Ш)
ӨАШ=ЖХ-ААЗ
1 Багш ажилчдын
30% вирусны
програмгүй
НУХ=8000төг*
2ц
6
ЖХ=(16000төг*6)*
11
165000төг 891000төг
25. Алхам V-Эрсдэлийн эсрэг арга хэмжээ
Судалгааны хүрээ Зөвлөмж, авах арга хэмжээ
A.5.1 Мэдээллийн аюулгүй
байдлын бодлого
Мэдээллийн аюулгүй байдлын бодлогын баримт бичгүүдийг удирдлага
сайшаан баталж, хэвлэн нийтлүүлж, бүх ажилтнууд болон холбогдох
талуудад мэдээлсэн байна.
A.6.1 Мэдээллийн аюулгүй
байдлын тогтолцоог зохион
байгуулах
.
МАБ ын бодлого дотор багтааж батлуулах
A.7.1 Эд хөрөнгийн
удирдлага,мэдээллийн ангилал
Мэдээлэл боловсруулах хэрэгслүүдтэй холбоотой мэдээлэл болон эд
хөрөнгийг зохих ёсоор ашиглах зааврыг боловсруулж, баримтжуулж
хэрэгжүүлэх
Цахим мэдээллийн үнэ цэнийг тогтоох
A.8.1 Хүний нөөцтэй
холбоотой аюулгүй байдал
Ажилтнуудын ажлын байрны тодорхойлолтонд МАБ-ын үүрэг, хариуцлагыг
тусгах
Нууцын гэрээ байгуулах
A.9 Байр, байшин болон
орчны болон тоног
төхөөрөмжийн аюулгүй байдал
Байгалийн гамшигт үзэгдлүүдээс хамгаалах хамгаалалтыг хэрэгжүүлэх
Удаан хугацаагаар, бүрэн бүтэн ажиллуулахын тулд тоног төхөөрөмжид
зөв, зохистой үйлчилгээ хийж байна.
A.10 Холбоо, үйл
ажиллагааны удирдлага
Үйл ажиллагааны дэг журмыг баримтуулж, дэмжиж, хэрэгцээтэй бүх
хэрэглэгчдэд хүртээмжтэй болгосон байх
Нөөц хуулбарын бодлогыг бий болгох
Халдлага илрүүлэх системтэй болох
Системийн администраторууд болон операторуудын үйл ажиллагаа
бүртгэгдэж байх ёстой.
A.11 Хандалтын хяналт Хэрэглэгчид аюулгүй байдлын хамгийн сайн туршлагыг даган мөрдөж, нууц
үг ашиглаж байна
26. Дүгнэлт
Энэ судалгааны ажлаараа байгууллагын сүлжээний
эрсдэлийг үнэлэх аргачлалыг боловсруулж,тухайн
аргачлалаараа МХТС-н сүлжээний эрсдэлийг үнэлэн.Авч
болох арга хэмжээнүүдийг аван эрсдэлийг тодорхой хувиар
багасгалаа.Энэ аргачлалаар хувийн болон төрийн бүх
байгууллагууд сүлжээний эрсдэлээ үнэлэх бүрэн
боломжтой.