Мэдээллийн шифрлэл хийгдсэн үү?
Мэдээллийн шифрлэл гэдэг нь мэдээллийг зөвхөн эрхтэй этгээд л уншиж ойлгож болохоор кодчилох үйлдэл юм. Энэ нь өгөгдөл хадгалах (at rest), дамжуулах (in transit) үед гуравдагч этгээдээс хамгаалах гол арга юм. Шифрлэл нь энгийн текстийг (plaintext) уншигдахгүй крипто хэлбэрт (ciphertext) шилжүүлдэг.
Яагаад чухал вэ?
- Мэдээлэл дамжуулах явцад (жишээ: хэрэглэгчийн нууц үг, картын мэдээлэл) хакерууд interception хийх эрсдэлтэй.
- Сервер дээр хадгалагдаж буй эмзэг мэдээлэл (иргэний мэдээлэл, санхүүгийн бичлэг гэх мэт) шууд харагдахуйц байвал алдагдах өндөр магадлалтай.
- ISO 27001, GDPR, HIPAA зэрэг олон улсын стандарт, хууль шифрлэлийг заавал хийхийг шаарддаг.
Шалгах зүйлс
Дамжуулалтын шифрлэл (Transport Encryption):
- Вэбсайт HTTPS хэрэглэж байгаа эсэх (SSL/TLS сертификат хүчинтэй юу?)
- API endpoint-ууд TLS ашигладаг уу?
Хадгалалтын шифрлэл (Data at Rest):
- Өгөгдлийн сангийн эмзэг талбарууд (жишээ: нууц үг, ID дугаар, картын мэдээлэл) AES, RSA, bcrypt, SHA-256 гэх мэт алгоритмаар шифрлэгдсэн эсэх.
- Backup болон файлууд шифрлэгдсэн хэлбэрээр хадгалагдаж байгаа эсэх.
Нууц үгийн шифрлэл:
- Нууц үгийг plaintext хэлбэрээр хадгалдаггүй.
- Бусад хэрэглэгчдэд харагдахгүй, зөвхөн hash хэлбэрээр хадгалагдсан байх.
Key management (түлхүүрийн хамгаалалт):
- Шифрлэлд хэрэглэгдэж буй түлхүүрүүд хаана, яаж хадгалагдаж байгаа вэ?
- Key rotation, key expiration бодлоготой юу?
Жишээ
Хэрэглэгчийн нууц үг өгөгдлийн санд bcrypt ашиглан hash хийсэн хэлбэрээр хадгалагдсан байна.
Вэбсайтын хаяг https://example.mn байдлаар ажиллаж, SSL сертификат хүчинтэй.
API дамжуулалт POST хүсэлтээр JSON өгөгдлийг TLS 1.2 шифрлэлттэйгээр дамжуулж байна.
Эмзэг файлуудыг .enc өргөтгөлтэй AES256 шифрлэлтээр сервер дээр хадгалдаг.