Найдваргүй хадгалалтын серверүүдийн хувьд үйл ажиллагааны тууштай, баталгаажуулах бүртгэл хөтлөх нь ямар ач холбогдолтой вэ, үүнд хэрхэн хүрэх вэ?

Кибер аюулгүй байдлын салбарт, ялангуяа найдвартай хадгалалтын серверүүд дээрх хадгалалтын аюулгүй байдлын хувьд үйл ажиллагааны тууштай, баталгаажуулах бүртгэл хөтлөх нь хамгийн чухал юм. Энэ шаардлага нь хадгалалтын дэд бүтцэд бүрэн итгэх боломжгүй орчинд өгөгдлийн бүрэн бүтэн байдал, хүртээмж, нууцлалыг хангах хэрэгцээ шаардлагаас үүдэлтэй. Найдваргүй хадгалалтын серверүүд нь өгөгдөлд зөвшөөрөлгүй өөрчлөлт оруулах, устгах, зөвшөөрөлгүй хандах зэрэг томоохон эрсдэлүүдийг үүсгэдэг. Иймд үйл ажиллагааны тууштай, баталгаажуулах бүртгэл нь эдгээр эрсдлийг бууруулахад чухал үүрэг гүйцэтгэдэг.

Үйлдлүүдийн тууштай бүртгэл нь сервер дээр хадгалагдсан өгөгдөл дээр хийгдсэн бүх үйлдлүүдийн дараалсан болон он дарааллын бүртгэлийг хэлнэ. Энэ бүртгэл нь ямар ч зөвшөөрөлгүй өөрчлөлтийг илрүүлэхийн тулд өөрчлөгдөшгүй, хөндлөнгийн оролцоотой байх ёстой. Ийм бүртгэлийн ач холбогдол нь аудит, шүүх эмнэлгийн шинжилгээ, зохицуулалтын шаардлагыг дагаж мөрдөхөд зайлшгүй шаардлагатай өгөгдөлтэй харилцан үйлчлэлийн бүх түүхийг үнэн зөв, найдвартай гаргаж өгөх чадварт оршдог.

Үйл ажиллагааны тууштай, баталгаатай бүртгэлд хүрэхийн тулд хэд хэдэн техник, технологийг ашиглаж болно. Үүнд криптографийн аргууд, аюулгүй бүртгэлийн механизм, зөвшилцлийн протоколууд орно. Доор бид эдгээр аргуудыг нарийвчлан авч үзэх болно.

Криптографийн аргууд

1. Хэш гинж: Хэш гинж нь хэш утга бүр өмнөхөөсөө хамааралтай хэш утгуудын дараалал юм. Энэ нь бүртгэлийн бичилт бүрийн хооронд холбоос үүсгэж, оруулгад оруулсан аливаа өөрчлөлт нь хэлхээг таслах болно. Жишээлбэл, хэрэв бүртгэлийн оруулгуудыг төлөөлсөн бол , хэш гинжийг дараах байдлаар байгуулж болно.

хаана криптограф хэш функцийг илэрхийлдэг ба холболтыг илэрхийлдэг. Энэ бүтэц нь бүртгэлийн оруулгад хөндлөнгөөс оролцохыг баталгаажуулдаг нь дараагийн хэш утгуудын үл нийцэлд хүргэж, улмаар хөндлөнгийн оролцоог илчлэх болно.

2. Дижитал гарын үсэг: Бүртгэл бүрт итгэмжлэгдсэн этгээд тэгш хэмт бус криптограф ашиглан тоон гарын үсэг зурж болно. Тоон гарын үсэг нь гарын үсэг зурсан хүний ​​нийтийн түлхүүрийг ашиглан баталгаажуулах боломжтой тул жинхэнэ, бүрэн бүтэн байдлыг хангадаг. Жишээлбэл, хэрэв бүртгэлийн оруулга бол хувийн түлхүүрээр гарын үсэг зурсан , гарын үсэг харгалзах нийтийн түлхүүрт хандах эрхтэй хүн бүр шалгаж болно . Энэ арга нь аливаа өөрчлөлтийг баталгаажуулдаг гарын үсгийг хүчингүй болгоно.

3. Мерклийн мод: Merkle мод нь хоёртын мод бөгөөд навчны зангилаа бүр нь бүртгэлийн оруулгын хэшийг, дотоод зангилаа бүр нь түүний хүүхдийн зангилааны хэшийг илэрхийлдэг. Merkle үндэс гэгддэг Merkle модны үндэс нь бүртгэлийн бүхэл бүтэн багцыг илэрхийлэх нэг хэш утгыг өгдөг. Merkle модны бүтэц нь оруулах үр дүнтэй, баталгаатай нотлох боломжийг олгодог бөгөөд энэ нь тухайн бүртгэлийн оруулга нь бүртгэлийн нэг хэсэг эсэхийг нотлох боломжтой гэсэн үг юм. Энэ нь бүрэн бүтэн байдлыг хангахын зэрэгцээ нууцлалыг хадгалахад онцгой ач холбогдолтой юм.

Аюулгүй мод бэлтгэх механизмууд

1. Зөвхөн хавсаргах бүртгэлүүд: Зөвхөн хавсаргах лог нь оруулгуудыг зөвхөн нэмэх боломжтой бөгөөд өөрчлөх, устгахгүй бүртгэлийн бүтэц юм. Энэхүү хувиршгүй байдал нь оруулгыг бүртгэсний дараа бүртгэлд байнга үлдэхийг баталгаажуулдаг. Зөвхөн хавсаргах логуудыг хэрэгжүүлэх нь ихэвчлэн нэг удаа бичих-унших-олон (WORM) хадгалах зөөвөрлөгчийг ашиглах эсвэл одоо байгаа бүртгэлийн оруулгуудыг өөрчлөхөөс сэргийлдэг програм хангамжид суурилсан механизмуудыг ашиглах явдал юм.

2. Blockchain технологи: Блокчэйн нь үйл ажиллагааны тууштай, шалгах боломжтой бүртгэлийг хангадаг төвлөрсөн бус, хуваарилагдсан дэвтэр технологи юм. Блокчейн дэх блок бүр нь гүйлгээний жагсаалт (логийн оруулгууд), цагийн тэмдэг, өмнөх блокийн криптограф хэшийг агуулдаг. Блокуудыг ингэж гинжлэх нь блокыг хөндлөнгөөс оруулах нь дараагийн блокуудыг хүчингүй болгоно. Блокчейн технологи нь тархсан зангилааны хооронд тохиролцоонд хүрэхийн тулд зөвшилцлийн протоколуудыг ашигладаг бөгөөд бүртгэлийн аюулгүй байдал, найдвартай байдлыг улам сайжруулдаг.

3. Итгэмжлэгдсэн гүйцэтгэлийн орчин (TEE): Intel SGX эсвэл ARM TrustZone зэрэг TEE нь процессор дотор код болон өгөгдлийг найдвартай ажиллуулж, хадгалах боломжтой аюулгүй бүсийг хангадаг. TEE-г ашигласнаар бүртгэлийн оруулгуудыг найдвартай, тусгаарлагдсан орчинд бүртгэж, найдвартай хадгалалтын серверээр хөндлөнгөөс оролцохоос хамгаалж болно. TEE-г мөн бүртгэлийн оруулгуудад гарын үсэг зурахад ашигладаг криптограф түлхүүрүүдийг найдвартай үүсгэж хадгалахад ашиглаж болно.

Зөвшилцлийн протоколууд

Тархсан системд бүртгэлүүдийн тууштай байдал, баталгаажуулалтад хүрэхийн тулд системийн бүх зангилаа бүртгэлийн оруулгуудын дараалал, агуулгын талаар зөвшилцөхийг баталгаажуулахын тулд зөвшилцлийн протоколуудыг шаарддаг. Зарим нийтлэг хэрэглэгддэг зөвшилцлийн протоколууд нь:

1. Paxos: Paxos нь бүтэлгүйтлийн үед тархсан зангилааны хооронд тохиролцоонд хүрэх зорилготой зөвшилцлийн протоколуудын гэр бүл юм. Paxos нь алдаагүй бүх зангилаа бүртгэлийн оруулгуудын ижил дарааллаар тохирч, тууштай байдал, алдааг тэсвэрлэх чадварыг хангадаг.

2. Raft: Raft бол Paxos-аас илүү ойлгомжтой, хэрэгжүүлэхэд хялбар байхаар бүтээгдсэн өөр нэг зөвшилцлийн алгоритм юм. Raft нь зөвшилцлийн үйл явцыг удирдагч сонгох, бүртгэлийн хуулбарлах, аюулгүй байдал гэж хуваадаг бөгөөд тараасан бүртгэл нь тууштай, шалгах боломжтой хэвээр байна.

3. Византийн алдааны хүлцэл (BFT): Практик Византийн алдааны хүлцэл (PBFT) зэрэг BFT протоколууд нь зангилаанууд дур зоргоороо (Византийн) алдаа, түүний дотор хорлонтой үйлдэл үзүүлж болзошгүй системд зөвшилцөлд хүрэхэд зориулагдсан болно. BFT протоколууд нь хорлонтой зангилаа байгаа ч гэсэн бүртгэл тогтвортой, шалгах боломжтой хэвээр байхыг баталгаажуулдаг.

Практик жишээ

Санхүүгийн байгууллага гүйлгээний бүртгэлийг хадгалахын тулд итгэлгүй үүл хадгалах үйлчилгээг ашигладаг хувилбарыг авч үзье. Эдгээр бүртгэлийн бүрэн бүтэн байдал, баталгаажуулалтыг хангахын тулд байгууллага дараахь арга хэмжээг авч болно.

1. Хэш гинж: Гүйлгээний бүртгэлийн бичилт бүрийг хэш гинж ашиглан өмнөх бичилттэй холбоно. Энэ нь бүртгэлийн оруулгад хөндлөнгөөс оролцох аливаа үйлдэл илрэх боломжтой болно.

2. Дижитал гарын үсэг: Бүртгэлийн бичилт бүрийг байгууллагын хувийн түлхүүрээр тоон гарын үсгээр баталгаажуулна. Энэ нь байгууллагын нийтийн түлхүүрийг ашиглан гарын үсгийг баталгаажуулах боломжтой тул үнэн зөв, татгалзахгүй байх боломжийг олгодог.

3. Мерклийн мод: Байгууллага нь бүртгэлийн оруулгуудын Merkle модыг үе үе барьж, Merkle үндэсийг олон нийтийн мэдээллийн самбар эсвэл блокчэйн дээр нийтэлдэг. Энэ нь хэнд ч бүх бүртгэлд хандахгүйгээр бүртгэлийн оруулгуудын бүрэн бүтэн байдлыг шалгах боломжийг олгодог.

4. Blockchain: Мөн байгууллага нь хувийн блокчэйн дээр гүйлгээний бүртгэлийг бүртгэх боломжтой. Блокчэйний төвлөрсөн бус шинж чанар нь итгэгдээгүй хадгалалтын серверүүд байсан ч бүртгэл нь тууштай, шалгах боломжтой хэвээр байх болно.

5. TEE: Байгууллага нь логоны оруулгуудыг найдвартай анклав дотор найдвартай бүртгэж, хадгалахын тулд TEE-г ашиглаж, найдвартай хадгалалтын серверээр хөндлөнгөөс оролцохоос хамгаалж чадна.

6. Зөвшилцлийн протоколууд: Хэрэв байгууллага нь хуваарилагдсан хадгалалтын системийг ашигладаг бол бүх зангилаа гүйлгээний бүртгэлийн дараалал, агуулгын талаар тохиролцохын тулд Raft эсвэл PBFT зэрэг зөвшилцлийн протоколуудыг ашиглаж болно.

Эдгээр арга хэмжээг хэрэгжүүлснээр санхүүгийн байгууллага нь найдвартай хадгалалтын сервер ашиглаж байсан ч гүйлгээний бүртгэлийнхээ бүрэн бүтэн байдал, хүртээмжтэй байдал, нууцлалыг баталгаажуулж, үйл ажиллагааны тууштай, баталгаажуулах боломжтой бүртгэл хөтлөх боломжтой.

Сүүлийн үеийн бусад асуулт, хариулт EITC/IS/ACSS дэвшилтэт компьютерийн системийн аюулгүй байдал:

• Системийн гүйцэтгэлийг хадгалахын зэрэгцээ цаг хугацааны довтолгооны эсрэг техник хангамж, програм хангамжийг бууруулах арга хэмжээг хэрэгжүүлэхэд ямар сорилт бэрхшээл, өөрчлөлтүүд байдаг вэ?
• Салбарын таамаглагч нь CPU-ийн цаг хугацааны халдлагад ямар үүрэг гүйцэтгэдэг вэ, халдагчид нууц мэдээллийг задруулахын тулд үүнийг хэрхэн удирдаж чадах вэ?
• Тогтмол цагийн програмчлал нь криптограф алгоритм дахь цаг хугацааны халдлагын эрсдлийг бууруулахад хэрхэн туслах вэ?
• Таамаглалын гүйцэтгэл гэж юу вэ, энэ нь орчин үеийн процессоруудыг Spectre гэх мэт цаг хугацааны халдлагад өртөхөд хэрхэн хувь нэмэр оруулдаг вэ?
• Хугацааны халдлага нь системийн нууц мэдээллийг гаргахын тулд гүйцэтгэх хугацааны өөрчлөлтийг хэрхэн ашигладаг вэ?
• Сэрээний тууштай байдлын тухай ойлголт нь авчрах-өөрчлөх тууштай байдлаас юугаараа ялгаатай вэ, яагаад сэрээний тууштай байдал нь найдвартай хадгалалтын серверүүдтэй системд хамгийн хүчтэй хүрч болох тогтвортой байдал гэж тооцогддог вэ?
• Найдваргүй сервер дээр хуваалцсан файлын системд зөвшөөрөлгүй өөрчлөлт оруулахаас урьдчилан сэргийлэхийн тулд найдвартай хандалтын хяналтын механизмыг хэрэгжүүлэхэд тулгарч буй бэрхшээл, боломжит шийдлүүд юу вэ?
• Тоон гарын үсэг, шифрлэлт зэрэг криптографийн аргууд нь найдвартай серверүүд дээр хадгалагдсан мэдээллийн бүрэн бүтэн байдал, нууцлалыг хангахад хэрхэн туслах вэ?
• Византийн серверүүд гэж юу вэ, тэдгээр нь хадгалах системийн аюулгүй байдалд хэрхэн заналхийлж байна вэ?
• STARTTLS, DKIM, DMARC зэрэг протоколууд имэйлийн аюулгүй байдалд хэрхэн хувь нэмэр оруулдаг вэ, мөн имэйлийн харилцааг хамгаалахад тус тусын үүрэг юу вэ?

EITC/IS/ACSS Advanced Computer Systems Security хэсгээс бусад асуулт, хариултыг харна уу

Илүү олон асуулт, хариулт:

• Талбар: Кибер аюулгүй байдал
• хөтөлбөр: EITC/IS/ACSS дэвшилтэт компьютерийн системийн аюулгүй байдал (гэрчилгээжүүлэх хөтөлбөрт очно уу)
• Хичээл: Хадгалалтын аюулгүй байдал (холбогдох хичээл рүүгээ яв)
• сэдэв: Найдваргүй хадгалах серверүүд (холбогдох сэдэв рүү оч)
• Шалгалтын тойм