Веб программ гэдэг нь интернет болон дотоод сүлжээгээр дамжуулан ажилладаг программ хангамж юм. Энэ төрлийн програмууд нь веб хөтчөөр (browser) нэвтрэн ашиглах боломжтой бөгөөд сервер болон хэрэглэгчийн төхөөрөмжийн хооронд өгөгдөл дамжуулж ажилладаг.
Веб программын аюулгүй байдал гэдэг нь веб програм болон түүний өгөгдлийг хамгаалах, халдлага, алдаатай ажиллагаа, эсвэл зөвшөөрөлгүй нэвтрэлтээс урьдчилан сэргийлэх үйл ажиллагаа юм. Энэ нь веб програмын ажиллах орчин, хэрэглэгчийн мэдээлэл, системийн нууцлалыг хамгаалж, аливаа аюул заналыг багасгахыг зорьдог. Вебийн аюулгүй байдал нь дараах чухал элементүүдийг багтаадаг.
- Өгөгдлийн нууцлал (Confidentiality) гэдэг нь мэдээлэл зөвхөн зөвшөөрөгдсөн этгээдүүдэд л хүртээмжтэй байхыг баталгаажуулах аюулгүй байдлын чухал зарчим юм. Энэ нь мэдээ мэдээлэл, өгөгдлийг зөвшөөрөлгүй хандах, ашиглах, ил болгох, эсвэл хулгайлагдахаас сэргийлэхэд чиглэсэн арга хэмжээ, бодлогыг хамардаг.
1.1 Өгөгдлийн нууцлалын үндсэн зарчмууд
1.1.1Мэдээлэл зөвшөөрөгдсөн этгээдэд л хүрэх ёстой:
Хэрэглэгчийн өгөгдөл зөвхөн тухайн хэрэглэгч эсвэл зөвшөөрөгдсөн гуравдагч этгээдэд л ил байх ёстой.
1.1.2 Шифрлэлт (Encryption):
Өгөгдлийг дамжуулах эсвэл хадгалах үед шифрлэж, зөвхөн зөвшөөрөлтэй хэрэглэгчид үүнийг тайлж унших боломжтой болгоно.
Жишээ нь: HTTPS протокол нь вебээр дамжуулж буй мэдээллийг шифрлэдэг.
1.1.3 Нууцлалын хяналт:
Хэн мэдээлэлд хандаж болох болон ямар төрлийн хандалт хийх боломжтойг тодорхойлох.
1.1.4 Бүртгэл, хяналт (Logging and Monitoring):
Өгөгдөлд хэн, хэзээ, ямар үйлдэл хийснийг хянах, сэжигтэй үйлдлийг илрүүлэх.
1.2Өгөгдлийн нууцлалыг хангах аргууд
1.2.1 Хэрэглэгчийн нэвтрэлт танилт (Authentication):
зөв хэрэглэгчид системд нэвтрэх боломжтой байх.
Жишээ: Нууц үг, хоёр шатлалт баталгаажуулалт (2FA), биометрийн танилт (хурууны хээ, царай таних).
1.2.2Хандалтын эрхийн хяналт (Access Control):
Өгөгдөлд зөвхөн тодорхой эрх бүхий хэрэглэгчид хандах боломжтой.
Жишээ нь:
- Role-based Access Control (RBAC): Хэрэглэгчийн үүрэгт тохирсон эрхийг тодорхойлох.
- Least Privilege Principle: Зөвхөн шаардлагатай эрхийг олгох.
1.2.3 Шифрлэлт (Encryption):
Дамжуулах болон хадгалах өгөгдлийг шифрлэнэ.
Жишээ:
- AES (Advanced Encryption Standard): Өндөр түвшний өгөгдөл шифрлэх алгоритм.
- RSA: Нийтийн түлхүүрт суурилсан шифрлэлт.
1.2.4 Сүлжээний аюулгүй байдал:
Мэдээллийн урсгалыг хамгаалах.
Жишээ:
- VPN: Хувийн сүлжээгээр мэдээлэл дамжуулах.
- Firewall: Зөвшөөрөгдөөгүй хандалтаас хамгаалах.
1.2.5 Өгөгдөлд хандалтын бүртгэл (Auditing):
Өгөгдөлд хэн хэзээ хандсан тухай тэмдэглэл хөтлөхөд байх.
Бүрэн бүтэн байдал (Integrity) гэдэг нь өгөгдөл зөвшөөрөлгүйгээр өөрчлөгдөх, устах, эсвэл хуурамч болохоос хамгаалагдсан байхыг баталгаажуулдаг аюулгүй байдлын үндсэн зарчим юм. Энэ нь өгөгдөл анх үүсгэсэн хэлбэрээрээ хадгалагдаж, зөвшөөрөгдсөн этгээдүүд л тухайн өгөгдөлд өөрчлөлт хийх боломжтой байхыг хангах явдал юм.
2.1 Бүрэн бүтэн байдлын зорилго юу вэ?
2.1.1 Өгөгдөл үнэн зөв байх (Accuracy):
- Өгөгдөл алдаа, хуурамч мэдээлэлгүй, эх үүсвэртээ нийцсэн байх.
2.1.2 Өгөгдөлд зөвшөөрөлгүй өөрчлөлтөөс хамгаалах (Unauthorized Modification):
- Гуравдагч этгээд, халдлага, эсвэл техникийн алдаанаас болж өгөгдөл өөрчлөгдөхөөс сэргийлэх.
2.1.3 Өгөгдөл алдагдахгүй байх (Completeness):
- Өгөгдөл бүрэн, ямар ч хэсэг алга болохгүй байхад анхаарах.
Бүрэн бүтэн байдлыг алдагдуулах шалтгаанууд
- Зөвшөөрөлгүй өөрчлөлт:
- Систем рүү хакер нэвтэрч өгөгдөлд өөрчлөлт хийх.
- Хүний алдаа:
- Програм хангамжийн хөгжүүлэгчид, хэрэглэгчид санамсаргүй алдаа гаргах.
- Програм хангамжийн алдаа:
- Системийн гажиг, буруу ажиллагаа өгөгдөлд нөлөөлөх.
- Хортой программ (Malware):
- Өгөгдлийг зориудаар гэмтээх, устгах хортой програм ашиглах
3. Нэвтрэх эрхийн хяналт (Authentication & Authorization)
- Зөвхөн зөв хэрэглэгч зөвшөөрөгдсөн үйлдлийг хийх боломжтой байх.
- Жишээ нь: хэрэглэгчийн нууц үг, хоёр шатлалт баталгаажуулалт ашиглах.
4. Халдлагад тэсвэртэй байдал
- Нийтлэг халдлагуудаас сэргийлэх:
- SQL Injection: Өгөгдлийн сан руу буруу команд оруулах халдлага.
- Cross-Site Scripting (XSS): Хортой JavaScript код гүйлгэх.
- Cross-Site Request Forgery (CSRF): Хэрэглэгчийн нэрийн өмнөөс зөвшөөрөлгүй үйлдэл хийх.
- Denial of Service (DoS): Системийн нөөцийг хэт ачаалуулах.
5. Өндөр хүртээмж (Availability)
- Систем байнга ажиллах боломжтой байх.
- Халдлага, техникийн алдаанаас үүдсэн доголдол, тасалдлыг багасгах.
6. Лог болон хяналт шалгалт (Logging and Monitoring)
- Системийн үйл ажиллагааг хянах, сэжигтэй үйлдлийг илрүүлэх.
- Жишээ нь: IP хаягийн хяналт, нэвтрэх оролдлогын бүртгэл.
7. Аюулгүй хөгжүүлэлт
- Код бичих үе шатнаас эхлэн аюулгүй байдлыг анхаарч ажиллах.
- Жишээ нь: кодын аудит, аюулгүй байдлын тест хийх.
Чухал зөвлөмжүүд:
- Үргэлж шинэчлэлтүүдийг суулгах.
- Баталгаат номын сан, хүрээг ашиглах.
- Хэрэглэгчийн оролтыг шалгах (Input Validation).
- Өгөгдлийг шифрлэх.
Веб програмын аюулгүй байдлыг сайжруулснаар хэрэглэгчдийн итгэлцэл нэмэгдэж, таны системд учрах эрсдэл буурах болно.
Хайлт
Категори
Категори
- 1 минутын уншлага (303)
- 2 минутын уншлага (142)
- Богино прожектууд (9)
- боловсрол (82)
- Зөвлөгөө (29)
- Зөвлөгөө (64)
- Код (39)
- Хөндлөнгийн (14)