yoszui

1. МЭДЭЭЛЛИЙН ХАМГААЛАЛТ

2. Өгөгдлийн Нууцлал / security /
Криптограф гэдэг нь мэдээллийн агуулгыг нуух, үнэн
зөв байдлыг бий болгох, илрээгүй
өөрчлөлт, цуцлалт болон зөвшөөрөлгүй хэрэглээнээс
сэргийлэх зорилгоор өгөгдлиг
хувиргах зарчим, арга хэрэгслиг багтаасан шинжлэх
ухааны салбар юм.
VPN - Virtual Private Network
VPN холболтын тусламжтайгаар та газарзүйн байрлал
хамаарахгүйгээр дотоод сүлжээ мэт өндөр нууцлалтай
сүлжээг бий болгож чадна. Үүнийг хийхийн тулд танд
интернетийн найдвартай холболт, VPN router 2 байхад

3. ●Өгөгдөл гэж юу вэ? - Өгөгдөл гэдэг нь
тоо болон тэмдэгтүүдийн цогц юм.
●Мэдээ гэж юу вэ? – Мэдээ гэдэг нь ямар
нэг зорилгогүйгээр цуглуулсан өгөдөл.
●Мэдээлэл гэж юу вэ? – Мэдээлэл гэдэг
нь тодорхой зорилготойгоор ямар нэг
хэрэгцээ шаардлагыг хангахуйцаар
боловсруулагдсан мэдээг хэлнэ.

4. ●Өгөгдлийн сан буюу Database гэдэг нь
мэдээллийг хадгалахад зориулагдсан,
дизайн нь хийгдсэн, логик уялдаа холбоо
бүхий өгөгдлийн хуваан ашиглаж болох
цуглуулга юм. (мөн тэдгээр өгөгдлийн
тодорхойлолтууд юм.)
●Өгөгдлийн санг удирдах систем- ӨСУС
Өгөгдлийн санг үүсгэх, устгах, өөрчлөх
боломжийг тодорхой хяналт
хандалттайгаар олгодог программ
хангамжийг өгөгдлийн санг удирдах

5. ●Монгол улс мэдээллийн аюулгүй
байдалд ач холбогдол өгч MNS ISO/IEC
17799: 2007 Мэдээллийн аюулгүй
байдлын бодлогын стандартыг гаргасан
бөгөөд энэхүү стандартад
криптографийн үндсэн ойлголт,
шаардлагууд ба криптографийн
хэрэгжүүлэлтийн удирдамжийг тусгаж
өгсөн.

6. ●Харин уг стандартаар түлхүүрийн
удирдлага, өгөгдлийн энкриптлэлт,
аудинтификаци зэрэг нь ямар крипто
алгоритм, протокол, механизмуудаар
хийгдэх тухай заагаагүй болно.
●Иймээс энэхүү стандарт нь MNS ISO/IEC
17770-2007-ын дэд стандарт бөгөөд Монгол
улсын төрийн байгууллагуудын хүрээнд
мэдээллийн аюулгүй байдлыг
криптографийг ашиглан гүйцэтгэх
удирдамжаар хангана.

7. http://gsmaf.gov.mn
Хувь хүн мэдээллийг боловсруулах явцад
шаардлагатай стандартуудыг тодорхойлсон
мэдээлэл хамгаалах 8 зарчим байдаг.
Мэдээлэл хамгаалах журмын зорилго нь хувь
хүнтэй холбогдолтой мэдээлэл, түүнийг олж
авах, эзэмших, ашиглах буюу дэлгэх явцын
зохицуулалтыг хангахад оршино

8. Мэдээлэл хамгаалах 1
дүгээр зарчим
“Хувь хүний мэдээллийг шударгаар, хуулийн дагуу
боловсруулах ёстой”.
“Боловсруулах” гэдэгт мэдээлэл цуглуулах үйл
ажиллагаа орно. Мэдээлэл шударгаар цуглуулахын тулд
өгөгдлийн subject-д өгөгдөл хянагчийн нэр, боловсруулах
шаардлага (хэрэв тэд аль хэдийн мэдээллийг олж
аваагүй бол),”цаашид шаардлагатай аливаа мэдээлэл ….
боловсруулагдахдаа …. Шударга байна.гэсэн мэдэгдэл
бичигдэх ёстой .

9. ●Байгууллага хувь хүний өгөгдлийг анх хэрхэн олж
авсан нь дараа дараагийн боловсруулалтад
нөлөөлдөг.
Хэн нэгнээс мэдээлэл эрэлхийлж байгаа хүмүүс хувь
хүний өгөгдөл яаж хэрэглэгдэх талаар мэддэг гэсэн
төсөөлөл хянагчдад байх ёсгүй.
●ISP/ hosting үйлчилгээ үзүүлэгч өгөгдлийг бие даан
цуглуулах, эсвэл хэрэглэхийг зөвшөөрөхгүй байхаар
гэрээгээ хийх ёстой.
Шударгаар мэдээлэл олж авах тухай мэдэгдэл
ойлгомжтой үг хэллэг, байр суурьтай байх ёстой.
●Веб менежер хувь хүний тухай хувь хүнийг
эмзэглүүлж болзошгүй өгөгдхүүнийг
боловсруулахдаа хуулиар хориглосон зүйлийг

10. Мэдээлэл хамгаалах 2
дугаар зарчим
“Хувь хүний өгөгдлийг хууль ёсны шаардлагуудын дагуу
олж авах ёстой ба цаашид тэдгээр шаардлагуудтай
нийцэхгүй байдлаар боловсруулагдах ёсгүй”
Энэхүү зарчмыг үр нөлөө нь нэгдүгээр зарчмыг
сахиулахдаа хувь хүний өгөгдлийг цаашид
боловсруулахыг хориглож байгаа бөгөөд үүнд өгөгдлийг
хамгийн анх олж авах үеийн шаардлагатай нийцсэн
шаардлагаар л тэрхүү өгөгдлийг хүлээн авагч
боловсруулах явдал орно.

11. Мэдээлэл хамгаалах 3
дугаар зарчим
●“Хувь хүний өгөгдөл учир шалтгаантай, шаардлага
хангасан, боловсруулалтын зорилго,шаардлагаас
хэтрээгүй байх ёстой.
●Нөлөө талаас хангалттай мэдээллийг цуглуулах их
чухал. Маягтыг зохиохдоо зайлшгүй орох ёстой
мэдээллийн хэсэг болон зайлшгүй орох албагүй бусад
мэдээллийн хэсгийг тодорхой зааж өгөх ёстой.
●Үйл ажиллагааны шаардлагаас өөр шалтгаанаар хувь
хүмүүсээс мэдээлэл хүссэн тохиолдолд тэдэнд
нэмэлт мэдээлэл юунд хэрэглэгдэх талаар
тайлбарлах хэрэгтэй.
Жишээ нь: судалгаа, хэн нэгнийг тодорхойлоход

12. Мэдээлэл хамгаалах 4
дүгээр зарчим
●“Хувь хүний өгөдөл үнэн зөв, шаардлагатай үед
шинэчлэгдэж байх ёстой”
өгөгдлийн асуулт бүрт хаирулсан мэдээлэл үнэн зөв
байдаг гэсэн төсөөлөл хянагчдад байдаг.
●Зарим сайт бусад хүмүүсийн талаар мэдээлэл өгдөг
”гай таригч” хүмүүсийн анхаарлыг татаж болно.
Хэрэв хянагч ийм асуудлыг мэддэг байх юм бол тэр
тэдгээр хүмүүс хэн болох, тэдгээрийн өгсөн
өгөгдлийн үнэн зөв эсэхийг шалгах арга хэмжээ авах
хэрэг гарч болох юм.
●Зарим тохиолдолд хамгийн зохиcтой үйлдэл бол
эргэлзээтэй өгөгдлийг устгаж, энэхүү өгөгдөл

13. Мэдээлэл хамгаалах 5
дугаар зарчим
●“Тодорхой зорилго буюу шаардлагын дагуу
боловсруулагдсан хувь хүний өгөдлийг уг зорилго буюу
шаардлагуудад хэрэгцээтэй хугацаанаас илүү
хугацаагаар хадгалах ёсгүй“.
●Электрон маягт дээр цуглуулсан өгөгдлийг уламжлалт
аргаар хийгдсэн түүнтэй ижил өгөгдөлтэй ижил
хугацаатайгаар хадгалах ёстой.
●Веб менежер хэн нэгний хэн болох талаарх маягтыг
үйл ажиллагаанд шаардлагатай маягтаас бага
хугацаагаар хадгалах нь зүйтэй.
●Жишээ нь: сайтад ороход өгсөн хувь хүний өгөдлийг
түр хугацааны чат өрөөний хувьд сешн дууссан л бол

14. Мэдээлэл хамгаалах 6
дугаар зарчим
●“ Хувь хүний өгөгдлийг өгөгдлийн subject-ийн
эрхүүдийн дагуу боловсруулах ёстой”.
өгөгдлийн subject-ийн эрхүүдэд дараах зүйлс орно:
хувь хүний өгөгдлийн хувийн хүсэх (subject-ийн
хүртээмж)
●Yлэмж хэмжээний хохирол учруулж болзошгүй
боловсруулалтаас урьдчилан сэргийлэх:
Шууд маркетингийн зорилгоор боловсруулахаас
урьдчилан сэргийлэх,
Хувь хүний эсрэг шийдвэр гаргах шууд үндэслэл
болох ёсгүй.

15. ●Subject-ийн хүртээмжийн хүсэлтийг бичгээр үйлдсэн
байх ёстой . хянагч хүсэлт хийж байгаа хүн хэн болох
талаар хангалттай мэдсэний дараа хариулах
хэрэгтэй.
●Хэрэв хянагч хүсэлт тавьсан хүний хэн болохыг
шалгаагүй л бол хүсэлтийн хаиултыг е-мэйлээр
хёсгүй.
●Жишээ нь: электрон гарын үсэг. Ирээдүйн веб
боловсруулагчид нар хувь хүн subject-ийн
хүртээмжийг онлайнаар орж авах бололцоотой болгох
хэрэгтэй.
●Ингэснээр хувь хүн өөртэйгөө холбоотой хадгалагдаж
байгаа мэдээллийг subject-ийн хүртээмжийн
хүсэлтийн бичиггүйгээр үзэх болоцоог бий болгоно.

16. Мэдээлэл хамгаалах 7
дугаар зарчим
“Хувь хүний өгөгдлийг зөвшөөрөлгүйгээр буюу хуулийн
дагуу бус ашиглахын эсрэг, мөн хувь хүний өгөгдлийг
тохиолдлоор гээх, устгах эсвэл хохироохын эсрэг зохих
техникийн болон зохион байгуулалттай арга хэмжээ
авах ёстой”
Үүнд encryption, електрон гарын үсэг болон бусад
хамгаалалтыг хэрэглэх шаардлагатай бөгөөд ингэснээр
змзэг өгөгдлүүдийг электрон байдлаар шилжүүлэх
явдлыг нэмэгдүүлэх болно.
Вебсайтаас татаж болох аливаа хувь хүний өгөгдлийн
ашиглалтыг хянадаг бололцоотой арга хэмжээг авах
ёстой. Жишээ нь е-мэйл хаягуудын жагсаалтыг гаргаж

17. Мэдээлэл хамгаалах 8
дугааар зарчим
“Хувь хүний өгөгдөл өөр бусад улсад хэрэв тухайн
улсад хувь хүний өгөгдөлтэй холбоотой эрх,эрх
чөлөөний хамгаалалт зохих түвшинд хүрээгүй бол,
шилжүүлдэг ёсгүй”.
Вебсайт дээр хувь хүний өгөгдлийг бичиж байрлуулах
нь өгөгдлийг дэлхий дахинд шилжүүлж байгаа гэсэн үг.
Хэрэв хувь хүний өгөгдлийг төрийн вебсайт дээр
жишээ нь сайдууд болон төрийн том албан
тушаалтнуудын өгөгдлүүдийг байршуулсан
тохиолдолд, тэдний хувийн нууцлалын эрсдэлийн
ихэсгэлээ гэдэгтэй маргахад хэцүү байх болно. Харин
бусад хүний хувьд зөвшөөрөл авах нь зохимжтой.

18. Мэдээллийн хадгалалт,
хамгаалалт, нууцлалт
Мэдээллийн санг нийслэлийн нутгийн захиргааны
мэргэжлийн байгууллагууд, мэдээллийг
бүрдүүлэгч байгууллага, иргэдийн санал,
холбогдох хууль тогтоомжийг үндэслэн нууц
мэдээлэл, олон нийтийн мэдээлэл гэж ангилан
хадгалалт, хамгаалалтыг зохицуулна.
http://www.citycouncil.mn/index.php?
option=com_content&task=view&id=96&Itemid=64
http://www.cud.ub.gov.mn/index.php?
option=com_content&task=view&id=82

19. 3.2.Эрхлэгч байгууллага нь мэдээний бүрэн бүтэн
байдал, хадгалалт, нууцлалыг хариуцаж хяналт тавина.
Үүнд:
3.2.1.Мэдээллийн сангийн ангилал бүрээр мэдээлэлд
хандах эрх, үүргийг тогтооно.
3.2.2.Нууц мэдээ, материалын хадгалалт хамгаалалт,
ашиглалтыг хариуцсан нууцын мэргэжилтэн байна.
3.2.3.Эх мэдээний ашиглалтын бүртгэл хөтөлнө.
3.2.4.Тоон хэлбэрийн мэдээний нарийвчилсан
бүртгэлтэй байна.

20. 3.2.6.Тоон мэдээллийг эх хувь, ажлын хэрэгцээний,
архив гэсэн 3 хэсэгт хадгална. Эх хувийг эх
материалын хамт сейфэнд хадгалж, хэрэгцээний хувь
нь албан хэрэгцээнд хэрэглэгдэнэ.
3.2.7.Архивын хувь нь гэнэтийн ослоос сэргийлэх
зорилгоор долоо хоног бүрийн эцэст хийгдэх ба
хугацааны найдвартай ажиллагааг хангах зорилгоор 4
хувь байна.
3.2.8.Мэдээллийн санд бүртгэгдсэн барилга
байгууламж, инженерийн шугам сүлжээний талаар
лавлагаа авахдаа мэдээ бүрдүүлэгч үндсэн
байгууллагаас зөвшөөрөл авна.

21. Мэдээллийн хадгалалт,
хамгаалалт, нууцлалт
3.3.Мэдээллийн сангийн хадгалалт, хамгаалалт,
нууцлалтыг алдсан тохиолдолд холбогдох хуулийн
дагуу хариуцлага хүлээлгэнэ.
3.4.Мэдээллийн сангийн мэдээ, өгөгдөлд засвар
өөрчлөлт оруулах тохиолдолд мэдээллийн санг
эрхлэгч байгууллагын даргад мэдэгдэж, зөвшөөрөл
авна.
3.5.Мэдээллийн санг эрхэлж байгаа байгууллагын
зөвшөөрөлгүйгээр ашиг олох зорилгоор бусдад
дамжуулах болон худалдахыг хориглоно. Зөрчсөн

22. Вэб хамгаалалт - Нууц үг
Сүүлийн үед нэг сонирхолтой вирус вэбүүдээр тарж
олон хүний уур бухимдлыг төрүүлж байна. Та хэрвээ
давгүй антивирустэй бол Монгол сайтуудаас зарим нэг
нь вирусын алдаа зааж байсныг харсан байх.
Үндсэндээ уг вирус нь FTP буюу File Transfer Protocol -
р тархдаг бөгөөд эхэн хэлбэрийн хувилбарууд нь
зөвхөн index.htm, index.html файлуудад хандаж код
нэмдэг эсвэл дарж хуулдаг байсан бол аажимдаа
index.php зэрэг боловсруулалт хийдэг хуудсуудад
тархсан.

23. ●Харин одоогоор бүр бүх файлуудад өөрийн
скриптээ нэмдэг болсон байгаа. Таны үндсэн
файлд ямар ч нөлөө үзүүлэхгүй зөвхөн файлыг
нээгээд дээр нь аль нэг хэсэг iframe дууддаг жава
гэх мэт хэл дээр бичигдсэн кодыг нэмдэг. Энэ нь
таниас илүүтэйгээр хэрэглэгчдэд хор хохирол
учруулах боломжтой.
●Голдуу ийм скриптүүд хэрэглэгчийн хувийн
мэдээлэл нууц үг кардын дугаар авахад чиглэсэн
байдаг.
●Гол нь яаж хамгаалах вэ? Cервер авч явдаг, хост
хэрэглэдэг хүмүүст:
●Юуны өмнө вирус орж ирэх гол шалтгаан бол FTP
нууц үгээ алдах. Ихэнх хостууд таниас олон

24. ●Харин зарим нэг хостууд хэрэглэгчийг өөрөө нууц үг
үүсгэхийг зөвшөөрдөг. Энд л вэб хийж сурч байгаа
хүмүүсийн алдаа байдаг.
●FTP -д тийм сүртэй хамгаалалт байхгүй. Хэрвээ
хэрэглэгчийн нэрийг мэдэж байвал нууц үгийг олохын
тулд бяцхан программ ажиллахад л хангалттай.
●Хэрвээ таны нууц үг хэдхэн оронтой /3-5/ зөвхөн
тооноос эсвэл үсгээс бүрдсэн байвал нууц үг тань хэн
нэгнийх болоход хангалттай шалтаг.
●Харин ингээд таны нэр нууц үгийг олчихсон бол таньд
халдаж байгаа программ тэр дороо файлуудад өөрийн
өөрчлөлтөө оруулж эхлэнэ.
●Тэгэхээр та хэрвээ нууц үгээ өөрөө бүтээдэг бол нууц
үгээ 8-16 оронтой үсэг тоо тэмдэгт холидсоноор үүсгэж

25. ●Харин нэгэнт вирустчихсэн хойно хэрхэх вэ?
●Ямар ч тохиолдолд та үргэлж бэлэн болсон вэб
сайтаа сайн гэгч нь хадгалж аваад занш.
●Сард нэг удаа байхад хангалттай.
●Эсвэл томоохон өөрчлөлт хийсний дараа хадгалж
авч занш.
●Хадгалж авахад тань том том зурагнууд файлууд
саад болоод байвал тухайн хэсгийг хасаад
хадгалж ав.
●Бараг бүх л хостуудад Backup буюу нөөшилж авах
хэрэглүүрүүд байдаг. cPanel, plesk зэрэг түгээмэл
удирдах цонхуудад энэ боломж хангалттай байдаг.
Тэдгээрээр залхууралгүй нөөшлөөд авчихвал танд
дараа хэзээ нэгэн цагт маш их хэрэг болно.

26. ●Эдгээрээс гадна та өдөр бүр вэбийн өгөгдлийн санг
нөөшилж авч занш.
●Google -р database backup script гээд хайхад хэрэгтэй
юм маш олноороо олдоно. Түүнчлэн одоо үед
Имэйлийг багтаамж гэдэг асуудалгүй болсон цаг.
●Google -ийн имэйл хаяг нээгээд түүн рүүгээ өдөр
тутмын өгөгдлийн сангийн нөөшөө явуулахаар
тохируулчихвал аятайхан байдаг.
●Ямар нэг байдлаар өгөгдлийн сангаа алдсан
устгуулсан гэмтээсэн үед танд өдөр бүрийн нөөш
бэлэн байгаа шүү дээ.
●Өгөгдлийн сангууд асар том портал сайт л биш бол
шахуулсан хэлбэр нь жижигхээн хэмжээтэй байдаг
болохоор траффик бараг идэхгүй зай ч их авахгүй

27. Өгөгдлийн Сангийн
хамгаалалт
Өгөгдлийн сангийн төрлүүд
• Үйл ажиллагааны өгөгдлийн сан ( Operational
database)
• Хувиарлагдсан өгөгдлийн сан ( Distributed database)
• Гадаад өгөгдлийн сан ( External database)
• Гипермедиа өгөгдлийн сан ( Hypermedia database)
• Өгөгдлийн агуулах ( Data warehouse)

28. Өгөгдлийн Сангийн
хамгаалалт
Өгөгдлийн сангууд ерөнхийдөө бүтэцийн хувьд
ижилхэн бөгөөд маш олон төрлийн баазууд
хэрэглэгдэж байна. Заримаас нь дурдвал Excel,
Access, MS SQL, MySQL, ORACLE, Postgre SQL гэх
мэт. Эдгээрээс хамгийн их хэрэглэгддэг нь Access, MS
SQL.
Хэрвээ өгөгдлийн сан их чухал бөгөөд нууцлах
шаардлагатай бол Access гэх мэт ӨСУС нь өөрийн
өгөгдлийн сангаа түгжих/хамгаалах боломжтой.
Тэрээр өөрийн өгөгдлийн сангаа .MDE гэсэн файл
болгон хөрвүүлэх чадвартай. Энэ нь тусгай

29. MS-SQL 2005 Security design