1. Монгол дахь цахим
мэдээллийн аюулгүй байдал
О.Энхбат*, М.Батсэргэлэн**, Ч.Эрдэнэбат***, Б.Төгөлдөр****
*MCS Холдинг CEH, **MT –ийн зөвлөх, ***ШУТИС, КТМС, Компьютерийн ухааны салбар,
****MCS Холдинг

2. АГУУЛГА













МАБ –ын ойлголт ба баримт бичиг
Төрийн байгууллагын сүлжээ, вэбүүд
Тоног төхөөрөмжийн асуудлууд
Имэйл серверүүд
Сүлжээний тохиргооны сул талууд
IPv6 -руу шилжих
Хуулийн мэдлэг
MonCirt
Зохиогчийн эрх ба лицинзтэй програм хангамж
Аюулгүй байдлын блогууд
Аюулгүй байдлын компаниуд
Bug Bounty монголд
Зөвлөгөө

3. МАБ –ЫН ОЙЛГОЛТ БА БАРИМТ БИЧИГ


80% орчим нь тухайн хүнийн зан үйл, мэдлэгээс шалтгаална.
20% техник технологиос хамааралтай.

4. МАБ –ЫН ОЙЛГОЛТ БА БАРИМТ БИЧИГ
Эрсдлийн үнэлгээ
 Бодлого, Журам боловсруулах
 Аудитын шалгалт


5. ТОНОГ ТӨХӨӨРӨМЖИЙН АСУУДЛУУД
21 аймгийг холбосон шилэн кабелийн
холболтын тоног төхөөрөмжүүд.
 Үүрэн холбооны компаниудын сүлжээ.
 Гурвалсан үйлчилгээ үзлүүлэгч компаниуд.

 ZTE
 Huawei

6. ТОНОГ ТӨХӨӨРӨМЖИЙН АСУУДЛУУЛ

Тоног төхөөрөмжүүдээ ашиглахаас өмнө
шалгалт хийдэг мэргэжлийн багтай болох.
 Hardware
 Software

төвшинд шалгалт хийх.
Хий хардлага буюу ZTE, Huawei –ийн тоног
төхөөрөмжүүдээ шалгуулах. Англи, Энэтхэг

7. ТӨРИЙН БАЙГУУЛЛАГУУДЫН СҮЛЖЭЭ, ВЭБҮҮД

*.gov.mn хаягтай вэбүүд байнга шахуу хакдуулна.
joomla




SQL injection
XSS
DDOS
55 ширхэг төрийн вэб хуудаст судалгаа хийхэд 25
орчим нь нэг серверт байрлаж байв.
Нэг серверт Php, wordpress, joomla технологиор хийгдсэн
вэбүүд байх боловч аль нэгний сул талаас шалтгаалан
бусад бүх вэбүүд эрсдэлд орж байна.
Зөвлөмж: Бэлэн нээлтэй код ашиглаж вэб хийхээс аль
болох зайлсхийх.


8. ИМЭЙЛ СЕРВЕРҮҮД

Имэйл сервертээ SSLv3, TLSv1.0 шифрлэлт
ашигладаг газар тун цөөхөн.
 Хэрэв
үнэгүй гэвэл OpenPGP ашиглан RSA хос
түлхүүр үг үүсгэж хэрэглэх боломжтой.

9. ХУУЛИЙН МЭДЛЭГ
Хуулинд ямар заалт байгааг мэддэггүй.
 МАБ – ын талаарх хууль байгаа бол
сурталчилах


10. ХУУЛИЙН МЭДЛЭГ

Монгол Улсын Эрүүгийн хуулийн 25-р бүлэг, 226-229-р
зүйлд Цахим гэмт хэргийн зарим бүрэлдэхүүнийг
хуульчилсан байна. Үүнд:
 226-р зүйл: Компьютерийн мэдээлэл, програмыг
өөрчлөх, эвдэх, сүйтгэх
 227-р зүйл: Компьютерийн мэдээллийг хууль бусаар
олж авах
 228-р зүйл: Компьютерийн мэдээллийн сүлжээнд
хууль бусаар нэвтрэх тусгай хэрэгсэл бэлтгэх,
борлуулах
 229-р зүйл: Нянтай программ зохион бүтээх, ашиглах

11. СҮЛЖЭЭНИЙ ТОХИРГООНЫ СУЛ ТАЛУУД
SNMP түлхүүр үг “default” байх
 Cisco cdp тохиргоо хийгдээгүй байх
 Утасгүй сүлжээнд пассворт хийхгүй байх,
эсхүл пассворт нь WEP кодчлолтой байх.


12. IPV6 –РУУ ШИЛЖИХ
Жил болгоны семинар, конференц дээр энэ
талаар яригдаж байгаа ч үр дүн гарахгүй
байна.
 Ipv6 шилжих, хэрхэн шилжих талаар
төлөвлөгөө гаргах


13. IPV6 –РУУ ШИЛЖИХ

14. IPV6 –РУУ ШИЛЖИХ

15. MONCIRT

MonCirt –ын үйл ажиллагааг сайжруулах,
шинэ аюул заналын мэдээ мэдээллүүдийг
нийтэлж байх.

16. ЗОХИОГЧИЙН ЭРХ БА ЛИЦИНЗТЭЙ ПРОГРАМ ХАНГАМЖ

Нэг үеээ бодвол лизинзтэй программ хангамж
ашиглах нь ихсэж байна.
 Microsoft
Windows 7, 8
 Kaspersky Antivirus, Nod32, Bitdefender гэх мэт.

17. АЮУЛГҮЙ БАЙДЛЫН БЛОГУУД
http://jnaya.com
 http://mongolian-it.blogspot.com
 http://gdatacenter.blogspot.com/
 http://manaach.blogspot.com
 http://hamgaalalt.blogspot.com/


18. АЮУЛГҮЙ БАЙДЛЫН КОМПАНИУД

Security Solution Service LLC
 http://www.sssmn.com/

PSSA LLC
 http://www.pssa.mn/

19. BUG BOUNTY МОНГОЛД

Банкууд, Төрийн болон Хувийн хэвшлийн
томоохон байгууллагуудад.

20. ЗӨВЛӨГӨӨ
Ажилчдийг МАБ –ын анхан шатны сургалтанд
байнга хамруулах.
 Жилд нэгээс доошгүй удаа хөндлөнгийн
компаниар эрдслийн үнэлгээ болон аудитын
шалгалт хийлгэж байх.
 Бодлого, журамаа байнга шинэчилж мөрдүүлэх,
хэрхэн оновчтой мөрдүүлэх талаар арга
техникүүдийг хэрэглэх.
 Удирдах ажилтнуудын МАБ –ын талаарх
ойлголтыг сайжруулж сургалт, зөвлөгөөнүүдийг
байнга өгч байх.


21. Баярлалаа
 2013 он
