Нэвтрэх эрхийн хяналт сайн уу?
Нэвтрэх эрхийн хяналт (Access Control) гэдэг нь хэн, юунд, хэзээ, яаж хандаж болохыг тодорхойлсон боловсруулсан дүрэм, зохион байгуулалтын арга хэмжээ юм. Энэ нь систем, мэдээлэлд зөвхөн шаардлагатай эрх бүхий хэрэглэгчид хандах боломжийг олгож, бусдын хандалтыг хязгаарлах зорилготой.
Яагаад чухал вэ?
- Нууц, хувийн, бизнесийн мэдээллийг боломжгүй этгээдүүдээс хамгаална.
- Дотоодын хэрэглэгчийн алдаатай эсвэл санаатай үйлдлээс сэргийлнэ.
- Алдагдал, эвдрэл, нэр хүндийн уналт, хууль эрх зүйн асуудлаас урьдчилан сэргийлэхэд тусална.
- ISO 27001, NIST, GDPR, HIPAA зэрэг стандартууд нэвтрэх эрхийн зохицуулалтыг заавал шаарддаг.
Шалгах зүйлс
Role-Based Access Control (RBAC):
- Хэрэглэгчдэд эрх олгохдоо ажлын байрны үүрэгт үндэслэсэн үү?
- Жишээ нь: Admin, Editor, Viewer гэх мэт эрх бүхий бүлгүүд бий юу?
Granular Permission Management:
- Систем доторх хэрэглэгч бүрт нарийн хандалтын түвшин (create, read, update, delete) тогтоогдсон уу?
Authentication + Authorization ялгаж өгсөн эсэх:
- Нэвтэрсэн хэрэглэгч хэн болохыг (authentication), юу хийж болохыг (authorization) систем ялгаж таньдаг уу?
Session Management:
- Session-ууд хугацаа хэтрэх, автоматаар log out хийх функцтэй юу?
- Session hijacking-оос сэргийлсэн арга хэмжээ авч хэрэглэсэн үү?
Access Control Logs:
- Хэн хэзээ ямар үйлдэл хийснийг бүртгэж буй лог систем ажиллаж байна уу?
Privilege Escalation шалгасан эсэх:
- Хэрэглэгч буруу аргаар Admin эрхтэй болох боломжтой эсэх шалгагдсан уу?
Жишээ
“Editor” бүлэгт хамаарах хэрэглэгч зөвхөн өөрийн нийтлэлийг өөрчлөх боломжтой, бусдынхыг харж ч чадахгүй.
“Admin” хэрэглэгч бүх модулиудад хандах, эрх удирдах боломжтой.
Хэрэглэгч user/1 нь өөрийн профайл edit/1 хуудсанд хандаж чадна, харин edit/2 дээр хандах оролдлого хийвэл “Access Denied” гэж гарна.
Session нь 15 минут ашиглагдаагүй үед автоматаар log out хийдэг.
Лог системд: 2025-07-07 10:41 — user_id: 23 — accessed: settings/edit гэх мэт бүртгэл хадгалагддаг.