/
x

Үндсэн / Шийдэл / Мэдээллийн аюулгүй байдал / Онлайн үйлчилгээний хамгаалалт

Онлайн үйлчилгээний хамгаалалт

Веб програмын хамгаалалт (WAF)

Веб-програм хангамжуудын томоохон давуу талууд бол олон төрлийн болоод интерактив чанарууд юм. Гэхдээ энэ чанаруудаас хамааран уламжлалт сүлжээ хоорондын дэлгэц хамгаалж чаддаггүй олон тооны халдлагад өртөх эрсдэл ихтэй байдаг. Энэ аюул, эрсдэлийг HTTP болон HTTPS-ээр дамжин өгөгдөл солилцох WAF/Web Application Firewall/ хэрэглээний програм хангамжийн шийдлээр хамгаалах бүрэн боломжтой. Орчин үеийн WAF нь зөвхөн сигнатурын төвшинд төдийгүй (энэ нь мэдэгдэж буй халдлагын төрлийг найдвартай тодорхойлох боломж олгодог), бизнес-логикийн төвшинд ажилладаг.

Softline компани вэб-програмын хамгаалалтын хэд хэдэн чухал шийдлүүдийг санал болгодог. 

DDoS халдлагын хамгаалалт

DDos халдлага бол маш энгийн, гэвч  тэднээс бий болох аюул занал, хор уршигих төвөгтэй байдаг. Arbor Networks, Verisign Inc. болон бусад компаниудын мэдээлж байгаагаар  байгууллагуудад өдөрт 2000 орчим DDoS халдлага ажиглагдаж байдаг ба жижиг дунд компанийг бүтэн долоо хоногийн турш “барих” боломжтой халдлага ердөө $150-ын үнэтэй байдаг байна.

Бид захиалагч байгууллагадаа интернет нөөцүүдийгDDoS халдлагаас хамгаалах програм, төхөөрөмжийн багц шийдлийг санал болгоод зогсохгүй хамгаалалтын төвшинг алдахгүй барихад шаардлагатай үйл ажиллагаа, зохион байгуулалтын үйлчилгээг мөн давхар санал болгодог. 

БидDDoS халдлагын бүх төрлүүд болох өргөн хэмжээний халдлагууд, протоколын болон програмын төвшний халдлагуудыг сайн мэднэ. Эдгээрээс хамгаалах шалгарсан сайн аргууд халдлагын төрөл болон интернетийн нөөцийн байр байдлаас /захиалагчийн талбайд болон дата төв дэх траффик шүүлт, сувгийн хүч чадал, нөөцийн тооцоолол сайтай гадаад хамгаалалтын тусгай үйлчилгээ/ хамааран олон төрөл байдаг. 

Урьдчилан сэргийлэх ажлын хүрээнд  бид нөөц хуулбар хийх, цаг тухайд нь програм хангамжийн аюулгүй байдлын цоорхойг арилгах болон DDoS  хамгаалалтын үйлчилгээний гэрээ хийгдсэн байх, давагдашгүй хүчин зүйлийг таних зорилгоор тухайн байгууллагын хэвийн үйл ажиллагааны төвшинг мэддэг байх, аврах ажиллагааны төлөвлөгөө зэргийг бэлэн байдалд байлгадаг. 

Хамгаалалтын төвшний техникийн дүн шинжилгээ, нэвтрэх туршилтууд

Бид жил бүр 50 гаруй тест, туршилтуудыг явуулдаг: бие даасан систем, веб болон хөдөлгөөнт хэрэгслийн програмуудыг шалгаж, олон улсын төвшний томоохон системүүдэд мэдээллийн аюулгүй байдлын цогц аудит хийдэг. Бидэнд дэлхий даяар мянга мянган хэрэглэгчид итгэл хүлээлгэн ажилладаг. Тэдгээрийн дотортөлбөрийн системүүд болон алсын зайны үйлчилгээ үзүүлэх банкны системүүд хүртэл байдаг.
Илүү гүнзгийрүүлсэн дүн шинжилгээ нь нэвтрэх туршилт юм. МТ-ийн системийн сул талыг гаднаас нь судалж гэмт этгээдүүдийн хийж болох үйлдлийг туршиж, улмаар тэдний ашиглаж болох эмзэг хэсгүүдийг эрж хайдаг. Туршилтуудын үр дүнд захиалагчид мэдээллийн аюулгүй байдлынхаа сул талууд, тэдгээрийг арилгах зөвлөмж,санал бүхий тодорхой дүр зураглалыг хүлээн авдаг.

Эх кодын  дүн шинжилгээ 

Програм хангамжийн эх кодод мэдээллийн аюулгүй байдлын дүн шинжилгээг (үйл ажиллагааны болон ачаалах үеийн туршилттай харьцуулахад) тэр бүр анхаарч хийхгүй тал олонтаа ажиглагддаг. Бидолон тооны харилцан уялдаатай  бүрдэл хэсэг бүхий орчин үеийн нарийн бүтэцтэй мэдээллийн системийн эх кодод шинжилгээ хийхдээ мэдээллийн аюулгүй байдалд тавигдах шаардлагад нийцсэн хэрэгслүүдийг санал болгодог. Тэдгээрийг програм хангамжийг боловсруулах үед болон бэлэн програм хангамжид аудит хийх үед ч ашиглагдах боломжтой.

Эх кодын эмзэг байдлыг илрүүлэх ажил амаргүй бөгөөд мэргэжлийн өндөр төвшний үйл ажиллагаа шаардагддаг. Иймд эмзэг байдлын маш чанартай дүн шинжилгээг хийхдээ кодын статистик дүн шинжилгээгээр олон жилийн туршлагатай манай мэргэжилтнүүдтэй хамтрахыг зөвлөж байна.