១. ព័ត៌មានទូទៅ
ឧបករណ៍ហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញគឺជាធាតុផ្សំនៃបណ្តាញដែលធ្វើការបញ្ជូនទំនាក់ទំនងរវាងទិន្នន័យ កម្មវិធី សេវាកម្ម និងពហុមេឌៀកំសាន្ត។ ឧបករណ៍ទាំងនេះរួមមាន រ៉ោតទ័រ ជញ្ជាំងភ្លើង switches ម៉ាស៊ីនមេ load-balancers ប្រព័ន្ធរកឃើញការឈ្លានពាន ប្រព័ន្ធឈ្មោះដែន និងបណ្តាញផ្ទុកទិន្នន័យ។
ឧបករណ៍ហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញគឺជាគោលដៅសម្រាប់ក្រុមចោរព័ត៌មានវិទ្យា ឬហេកគ័រ ពីព្រោះចរាចរណ៍ទិន្នន័យរបស់ស្ថាប័ន និងអតិថិជនភាគច្រើន ឬទាំងអស់ត្រូវតែឆ្លងកាត់ឧបករណ៍នេះ។
- ក្រុមចោរព័ត៌មានវិទ្យា ឬហេកគ័រ អាចមានវត្តមាននៅច្រកផ្លូវរ៉ោតទ័ររបស់ស្ថាប័ន និងអាចធ្វើការត្រួតពិនិត្យ កែប្រែ និងធ្វើការបដិសេធចរាចរណ៍ទៅនិងមក ពីស្ថាប័នរបស់អ្នក
- ក្រុមចោរព័ត៌មានវិទ្យា ឬហេកគ័រ អាចមានវត្តមាននៅលើផ្លូវផ្ទៃក្នុងរបស់ស្ថាប័ន និងឧបករណ៍ switches ហើយអាចត្រួតពិនិត្យ ផ្លាស់ប្តូរ ឬកែប្រែ និងបដិសេធចរាចរណ៍ទៅកាន់ម៉ាស៊ីនសំខាន់ៗនៅក្នុងបណ្តាញ និងប្រើប្រាស់បណ្តាញទំនាក់ទំនងហេដ្ឋារចនាសម្ព័ន្ធ ដើម្បីធ្វើការវាយប្រហារនៅពេលក្រោយទៅកាន់ម៉ាស៊ីនមេផ្សេងទៀត
ស្ថាប័ន ឬអង្គភាពណាដែលមិនបានធ្វើកូដនីយកម្មទិន្នន័យទេ គឺផ្តល់ភាពងាយស្រួលសម្រាប់ ក្រុមចោរព័ត៌មានវិទ្យា ឬហេកគ័រ ក្នុងការគ្រប់គ្រងម៉ាស៊ីន សេវាកម្ម និងអាចធ្វើការប្រមូលព័ត៌មានសម្ងាត់បានដោយជោគជ័យ។ សម្រាប់អ្នកគ្រប់គ្រងហេដ្ឋារចនាសម្ព័ន្ធផ្លូវនៃបណ្តាញ និងគ្រប់គ្រងទិន្នន័យគួរតែធ្វើកូដនីយកម្មទិន្នន័យ។
២.តើការគំរាមកំហែងអ្វីខ្លះដែលបានផ្សារភ្ជាប់ជាមួយនឹងឧបករណ៍ហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញ?
ឧបករណ៍ហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញ ជាញឹកញាប់គឺជាគោលដៅងាយស្រួលសម្រាប់អ្នកវាយប្រហារ។ នៅពេលអ្នកធ្វើការដំឡើងឧបករណ៍បណ្តាញរួច ឧបករណ៍បណ្តាញទាំងនោះនឹងត្រូវទុកចោលហើយក៏មិនបានយកចិត្តទុកដាក់ក្នុងការធ្វើលំហែទាំសុវត្ថិភាព ដូចជាការដូរលេខសម្ងាត់ ឬក៏ធ្វើការអាប់ដេតសុវត្ថិភាពដូចគ្នានឹងកុំព្យូទ័រលើតុ និងម៉ាស៊ីនមេ។ កត្តាខាងក្រោមក៏អាចរួមចំណែកដល់ភាពងាយរងគ្រោះនៃឧបករណ៍បណ្តាញ៖
- ឧបករណ៍បណ្តាញមួយចំនួន ជាពិសេសការិយាល័យតូច/ការិយាល័យនៅផ្ទះ និងរ៉ោតទ័រលំនៅដ្ឋានមិនបានដំណើរការកម្មវិធីកំចាត់មេរោគ ដើម្បីថែរក្សាសុវត្ថភាពឧបករណ៍ និងដំឡើងមុខងារសុវត្ថិភាពនៅលើឧបករណ៍ហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញ។
- ក្រុមហ៊ុនផលិតនិងចែកចាយឧបករណ៍បណ្តាញកេងប្រវ័ញ្ចមុខងារសុវត្ថិភាព ប្រតិបត្តិការ និងការថែទាំ។
- ម្ចាស់ និងប្រតិបត្តិករនៃឧបករណ៍បណ្តាញជារឿយៗមិនបានធ្វើការផ្លាស់ប្តូរការកំណត់លំនាំដើមរបស់អ្នកលក់និងមិនបានធ្វើការអាប់ដេតមុខងារសុវត្ថិភាពជាប្រចាំ។
- អ្នកផ្តល់សេវាអ៊ីនធឺណិតមិនបានធ្វើការផ្លាស់ប្តូរឧបករណ៍បណ្តាញរបស់អតិថិជន នៅពេលដែលឧបករណ៍នេះមិនត្រូវបានគាំទ្រដោយក្រុមហ៊ុនផលិត ឬអ្នកលក់ទៀតទេ។
- ម្ចាស់ និងប្រតិបត្តិករតែងតែមើលរំលងឧបករណ៍បណ្តាញ នៅពេលដែលពួកគេស៊ើបអង្កេត ស្វែងរកការ លួចចូល និងស្ដារម៉ាស៊ីនដែលប្រើជាទូទៅបន្ទាប់ពីការលួចចូលតាមប្រព័ន្ធអ៊ីនធឺណិត។
៣.តើយើងអាចកែលម្អសុវត្ថិភាពនៃឧបករណ៍ហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញយ៉ាងដូចម្តេច?
អ្នកគ្រប់គ្រងបណ្តាញគួរតែអនុវត្តដូចខាងក្រោម ដើម្បីទទួលបាននូវសុវត្ថិភាពហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញរបស់ពួកគេកាន់តែប្រសើរឡើង៖
- បែងចែកបណ្តាញ និងមុខងារដាច់ដោយឡែក។
- ធ្វើការកំណត់ទំនាក់ទំនងដែលមិនចាំបាច់។
- ពង្រឹងសុវត្ថិភាពឧបករណ៍បណ្តាញ។
- ពង្រឹងការចូលប្រើប្រាស់ឧបករណ៍ហេដ្ឋារចនាសម្ព័ន្ធ។
- អនុវត្តការគ្រប់គ្រងបណ្តាញក្រៅបណ្តាញ (OoB) ។
- ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃផ្នែករឹង និងសូហ្វវែរ។
៤.ការបែងចែក ការចែកបណ្តាញ និងមុខងារ
អ្នកគ្រប់គ្រងគួរតែពិចារណាលើប្លង់ហេដ្ឋារចនាសម្ព័ន្ធទាំងមូល រួមទាំងការបែងចែក និងការចែកបណ្តាញ។
ការបែងចែកបណ្តាញត្រឹមត្រូវគឺជាយន្តការសុវត្ថិភាពដ៏មានប្រសិទ្ធភាពមួយដើម្បីការពារពីការលួចចូល ការកេងប្រវ័ញ្ច ឬក៏ការផ្លាស់ទីបណ្តាញខាងក្នុង។ នៅលើបណ្តាញដែលបែងចែកមិនត្រឹមត្រូវ អ្នកឈ្លានពានអាចពង្រីកឥទ្ធិពលរបស់ពួកគេដើម្បីគ្រប់គ្រងឧបករណ៍សំខាន់ៗ ឬទទួលបានសិទ្ធិចូលប្រើទិន្នន័យរសើប។ ការបែងចែកបណ្តាញដាច់ដោយឡែកពីគ្នាដោយផ្អែកលើតួនាទី និងមុខងារ។ បណ្តាញដែលបានបំបែកដោយសុវត្ថិភាពអាចកាត់បន្ថយផលប៉ះពាល់ពីការឈ្លានពាន ការឆ្លងមេរោគ ឬឧបទ្ទវហេតុអាក្រក់ណាមួយ។ ក្នុងករណីដែលបណ្តាញណាមួយមានបញ្ហាញគឺងាយស្រួលក្នុងការកំណត់ទីតាំងបណ្តាញ។
៥.ការបំបែកព័ត៌មានរសើប
ឧបករណ៍បណ្តាញប្រពៃណី ដូចជារ៉ោតទ័រ អាចបំបែកផ្នែកបណ្តាញមូលដ្ឋាន (LAN) ដាច់ដោយឡែក។ ស្ថាប័ន ឬអង្គភាព អាចដាក់រ៉ោតទ័ររវាងបណ្តាញដើម្បីបង្កើតព្រំដែន បង្កើនចំនួនដែនផ្សាយ និងច្រោះនូវចរាចរណ៍ផ្សាយរបស់អ្នកប្រើប្រាស់ប្រកបដោយប្រសិទ្ធភាព។ ស្ថាប័ន ឬអង្គភាពអាចប្រើព្រំដែនទាំងនេះដើម្បីទប់ស្កាត់ការរំលោភលើសុវត្ថិភាព ដោយដាក់កម្រិតចរាចរណ៍ទិនិ្នន័យទៅកាន់ផ្នែកដាច់ដោយឡែក ហើយថែមទាំងអាចបិទផ្នែកនៃបណ្តាញក្នុងអំឡុងពេលមានការឈ្លានពានកើតមានឡើង ដោយដាក់កម្រិតការចូលប្រើប្រាស់។
អនុសាសន៍ណែនាំ
- អនុវត្តគោលការណ៍សុវត្ថិភាពផ្តល់សិទ្ធិតិចបំផុតសម្រាប់អ្នកប្រាស់ និងចាំបាច់ត្រូវដឹងអំពីហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញ។
- បម្រួមព័ត៌មានរសើប និងតម្រូវការសុវត្ថិភាពចូលទៅក្នុងផ្នែកនៃបណ្តាញ។
- អនុវត្តការណែនាំសុវត្ថិភាព និងការកំណត់រចនាសម្ព័ន្ធសុវត្ថិភាពចំពោះផ្នែកបណ្តាញ និងស្រទាប់បណ្តាញទាំងអស់។
៦.ការបំបែកនិម្មិតនៃព័ត៌មានរសើប
នៅពេលដែលបច្ចេកវិទ្យាស់ប្តូរ យុទ្ធសាស្រ្តថ្មីត្រូវបានបង្កើតឡើងដើម្បីកែលម្អប្រសិទ្ធភាពនៃបច្ចេកវិទ្យាព័ត៌មាន និងការគ្រប់គ្រងសុវត្ថិភាពបណ្តាញ។ ការបំបែកនិម្មិតគឺជាការផ្តាច់ខ្លួនឡូជីខលនៃបណ្តាញនៅលើបណ្តាញរូបវន្តដូចគ្នា។
ការបែងចែកនិម្មិតប្រើប្រាស់គោលការណ៍រចនាដូចគ្នានឹងការបែងចែកផ្នែករូបវន្តដែរ ប៉ុន្តែមិនត្រូវការផ្នែករឹងបន្ថែមទេ។ បច្ចេកវិទ្យាដែលមានស្រាប់អាចត្រូវបានប្រើដើម្បីការពារពីអ្នកឈ្លានពាន ពីការរំលោភលើផ្នែកបណ្តាញខាងក្នុងផ្សេងទៀត។
អនុសាសន៍ណែនាំ
- ប្រើបណ្តាញនិម្មិតឯកជន (VLANs) ដើម្បីញែកអ្នកប្រើប្រាស់ចេញពីដែនផ្សាយដែលនៅសល់។
- ប្រើបច្ចេកវិទ្យាការបញ្ជូនបន្តនិម្មិត (VRF) ដើម្បីបែងចែកចរាចរណ៍បណ្តាញនៅលើតារាងនាំផ្លូវជាច្រើនក្នុងពេលដំណាលគ្នានៅលើរ៉ោតទ័រតែមួយ។
- ប្រើបណ្តាញឯកជននិម្មិត (VPNs) ដើម្បីពង្រីកម៉ាស៊ីន/បណ្តាញដោយសុវត្ថិភាពដោយដំណើរការ តាមរយៈបណ្តាញសាធារណៈ ឬឯកជន។
៧.ការកំណត់ទំនាក់ទំនងដែលមិនចាំបាច់
ការអនុញ្ញាតឱ្យមានទំនាក់ទំនងរវាង peer-to-peer រួមមាន workstation-to-workstation ដែលអាចបង្កើតជាចំណុចងាយរងគ្រោះធ្ងន់ធ្ងរ និងអាចអនុញ្ញាតឱ្យចោរព័ត៌មានវិទ្យា ឬហេកគ័រ ចូលទៅក្នុងបណ្តាញបានយ៉ាងងាយស្រួលក្នុងការគ្រប់គ្រងបណ្តាញ និងអាចទៅគ្រប់គ្រងប្រព័ន្ធផ្សេងទៀតបាន។ ចោរព័ត៌មានវិទ្យា ឬហេកគ័រ អាចបង្កើតទំនាក់ទំនងនៅក្នុងបណ្តាញហេដ្ឋារចនាសម្ព័ន្ធ ដោយធ្វើការបង្កប់នៅមេរោគ backdoors ដើម្បីធ្វើការគ្រប់គ្រងបណ្តាញ និងពង្រីកការចម្លងមេរោគទៅកាន់បណ្តាញផ្សេងទៀត។
អនុសាសន៍ណែនាំ
- ដាក់កម្រិតទំនាក់ទំនងដោយប្រើច្បាប់ជញ្ជាំងភ្លើងដែលមានមូលដ្ឋានលើម៉ាស៊ីនដើម្បីបដិសេធលំហូរនៃកញ្ចប់ព័ត៌មានពីម៉ាស៊ីនផ្សេងទៀតនៅក្នុងបណ្តាញ។ច្បាប់ជញ្ជាំងភ្លើងអាចត្រូវបានបង្កើតឡើងដើម្បីត្រងនៅលើឧបករណ៍ម៉ាស៊ីន អ្នកប្រើប្រាស់ កម្មវិធី ឬអាសយដ្ឋានពិធីការអ៊ីនធឺណិត (IP) ដើម្បីកំណត់ការចូលប្រើប្រាស់ពីសេវាកម្ម និងប្រព័ន្ធ។
- អនុវត្តបញ្ជីត្រួតពិនិត្យការចូលប្រើ VLAN (VACL) ដែលជាតម្រងដែលគ្រប់គ្រងការចូលប្រើ និងពី VLAN ។ តម្រង VACL គួរតែត្រូវបានបង្កើតដើម្បីបដិសេធកញ្ចប់ព័ត៌មានដែលមានសមត្ថភាពហូរទៅកាន់ VLANs ផ្សេងទៀត។
- បែងចែកបណ្តាញដោយឡូជីខលដោយប្រើការបំបែករូបវន្ត ឬនិម្មិត ដែលអនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងបណ្តាញផ្តាច់ឧបករណ៍សំខាន់ៗទៅលើផ្នែកបណ្តាញ។
៨.ឯកសារពាក់ព័ន្ធ
- – https://www.cisa.gov/news-events/news/securing-network-infrastructure-devices
