Өнөө үед Интернетийн сүлжээнд холбогдсон улс орон
төдийгүй тухайн нэг компани, аж ахуйн нэгжүүд кибер
аюулгүй байдлыг хангах буюу мэдээллийн аюулгүй байдлыг хамгаалах асуудалд
ихээхэн анхаарах болж. Иймд энэ нийтлэлдээ мэргэжсэн боловсон хүчинг хэрхэн бэлтгэх, сургах асуудлыг
хөндлөө.
Өндөр хөгжилтэй улс орнууд кибер аюулгүй байдлын чиглэлээр дараах үндсэн хоёр багаас бүрдсэн
CSIRT(Computer Security Incident Response Team)-ыг байгуулан, багын гишүүдийн зайлшгүй мэдэж
байх, олон салбарыг
хамарсан мэдлэгийн стандартыг тогтоож, боловсон хүчнийг бэлтгэх, шат дараалсан мэдлэг
олгох, сургалтын загварчлалыг бий болгосон байна. Монголд ч гэсэх харуул занги (http://haruulzangi.mn/) гээд том арга хэмжээ амжилттай болох шиг
боллоо.
Хамгаалалтын баг буюу “Blue team” – Defense team
Энэ багыг бүрдүүлэхдээ тодорхой туршлага бүхий системийн инженер болон администраторуудад зориулсан Сүлжээ, Уних, Виндоусын хамгаалалтыг хэрхэн хийх талаар сургалт явуулж, үүнээс
гадна аюулгүй байдлын шинжээч(Security analyst)-ын мэдлэг олгох зорилгоор Incident handling, Digital Forensic, Malware/Reverse
engineering чиглэлийн сургалтуудыг мөн
явуулж, тэдгээрийн дунд төрөл бүрийн уралдаан тэмцээн зохион байгуулан,
мэргэжлийн шалгалтуудыг авч, үнэмлэхжүүлэн шилдэг боловсон хүчинг сонгон авч байна.
Шалгалтыг хийгч баг буюу “Red team” – Hacking team
Энэ багт ажиллах боловсон хүчинг сонгохдоо системийн болон вебийн програмчлалын чиглэлээр
туршлага бүхий мэргэжилтнүүдэд утастай, утасгүй сүлжээ, үйлдлийн систем, веб болон
бусад интернетийн үйлчилгээний системүүдийг хэрхэн хакдах, ажиллагаагүй болгон доголдуулах, аюулгүй байдлыг нь хэрхэн
шалгах, мөн хэрхэн хамгаалах чиглэлийн мэдлэг олгох сургалтуудыг явуулан
бэлтгэж байна.
Мэдлэгийг хаанаас олж авч эзэмших вэ?
Энэ чиглэлийн мэдлэг олгох богино хугацааны
төлбөртэй сургалтууд болон үнэгүй онлайн сургалтууд суух, төрөл бүрийн тэмцээнд
орж, амжилт гаргасан багуудын гүйцэтгэлийн тайлангаас суралцах, сургалт болон
судалгааны зориулалттай системүүдийг татан авч ажиллуулан суралцах зэрэг маш
олон төрлийн арга замууд бий.
Ер нь бол мэдээллийн аюулгүй байдлын мэргэжилтэн
болох хүн нэлээн олон зүйлийг үзэх хэрэгтэй болдог. Юунаас эхлэх үү, хэрхэн
системтэйгээр цааш явах уу зэрэг асуудалд дараах хаягууд хариу өгөх болов уу?
Мөн эдгээр линк дэх схем нь бүх чиглэлийг бүрэн хамраагүй ч гэсэн сургалтын төлөвлөлтөө хийхдээ санаа авч ашиглавал хэрэгтэй байх юм.
Malware analysis - http://opensecuritytraining.info/IntroX86_files/droppedImage_1.jpg
Vulnerability assessment -
Exploit development - http://opensecuritytraining.info/IntroX86_files/droppedImage_3.jpg
Mobile system security - http://opensecuritytraining.info/IntroX86_files/droppedImage_4.jpg
Deep system security - http://opensecuritytraining.info/IntroX86_files/droppedImage_2.jpg
Төлбөртэй сургалтууд
Төлбөргүй онлайн сургалтууд
Сургалтын үйлдлийн системүүд
Тэмцээнүүдэд оролцсон багуудын гүйцэтгэлийн тайлан
Товчлолын хүснэгтүүд буюу шифинүүд
(Cheat sheet)
Мэдээллийн аюулгүй байдлын мэргэжилтэн байнга мэдлэгийн цар хүрээгээ нэмэгдүүлж
байхад хүн л болсон хойно мартах асуудал
гарч шаардлагатай мэдээллийг интернетээс
болон номоос хайхаар олдохгүй байх, хугацаа алдах, ялангуяа ямар нэг програмын
зааврыг уншихаар ойлгомжгүй байх зэрэг асуудал байнга гардаг. Иймээс ном,
програмын заавруудыг товч тэмдэглэлийн хүснэгтийн хэлбэрт оруулан ашиглах нь
хэрэг болно. Иймд дараах хэдэн веб хаягийг оруулав.