उच्चशिक्षाको ओरालो यात्रा

लोकरञ्जन पराजुली

राष्ट्रिय सभाबाट भर्खरै ‘शिक्षा सम्बन्धी केही नेपाल ऐन संशोधन गर्ने विधेयक, २०७६’ सत्ताधारी पार्टीका सदस्यहरूको बहुमतबाट पारित भएको छ । यो विधेयक अब प्रतिनिधिसभामा प्रस्तुत गरिनेछ । राष्ट्रिय सभामा जस्तै विधेयकलाई त्यहाँ पनि बहुमतले पारित गरिनेछ र औपचारिक रूपमा ऐन बनेर कार्यान्वयनमा आउनेछ । यो प्रस्तावित ऐनले नेपालका एघार विश्वविद्यालयका ऐन परिवर्तन गर्नेछ ।

झट्ट हेर्दा यो ऐन बनाउनुको उद्देश्य पुराना ऐनमा रहेको ‘शिक्षा मन्त्रालय’ को नाम हाल परिवर्तन भएकाले त्यसलाई सच्याउने अथवा नयाँ संविधानसँग बाझिएका, अमिल्दा कुरालाई मिलान गर्ने हो कि जस्तो देखिन्छ  । त्यसो हुँदो हो त सो स्वाभाविक र वाञ्छनीय मानिन्थ्यो । तर अन्य केही ऐनजस्तै यो पनि कुत्सित मनसाय राखेर संशोधन गर्न खोजिएको देखिन्छ ।

यो ऐनमार्फत विश्वविद्यालयउपर प्रधानमन्त्री (कुलपति) र शिक्षामन्त्री (सहकुलपति) को पकड बढाउन खोजिएको प्रस्ट छ  । ऐन संशोधन गर्दा पहिले नभएका धारा ‘सहकुलपतिले आवश्यकता अनुसार विश्वविद्यालयको निरीक्षण गर्न, गराउन र निर्देशन दिन सक्नेछ’ थपिएको छ  । अर्थात्, शिक्षामन्त्रीले अब विश्वविद्यालयमा सीधै हस्तक्षेप गर्न कानुनी बाटो खोलिन लागेको छ  । हिजोसम्म नियुक्तिमा दलीय हस्तक्षेप थियो, अब दैनन्दिनीमै कार्यकारी हस्तक्षेप भित्रिँदै छ ।

विश्वविद्यालय र सोको नेतृत्वलाई नेताको कब्जामा राख्न अर्को प्रावधान पनि थपिएको छ  । यो नयाँ ‘पदबाट हटाउन सकिने’ दफा अनुसार, कुलपति र सहकुलपतिले चाहे कुनै पनि विश्वविद्यालयको नेतृत्वलाई तत्काल हटाउन सकिन्छ  । यो प्रावधान अनुसार विश्वविद्यालयको नेतृत्व तहलाई हटाउन जम्मा एकतिहाइ सभा सदस्यको उजुरी काफी हुन्छ  ।

उजुरी पाइसकेपछि प्रधानमन्त्रीले छानबिन समिति गठन गर्छन्  । छानबिन समिति गठन भैसकेपछि सो पदाधिकारी स्वतः निलम्बनमा पर्छ  । यो प्रावधान भनेको राजनीतिक नेताले विश्वविद्यालयका पदाधिकारीको घाँटीमा ‘मैले भनेको मान्छस् कि हटाइदिऊँ’ भनेर तरबार झुन्ड्याउनुसरह हो  ।

दुरुपयोग भैसक्यो !
यो प्रावधानको दुरुपयोग हुनैपर्छ भन्ने के छ र ? शंकाको लाभ दिऔं भन्ने पनि कोही होलान्, तर यो प्रावधान वा दफाको दुरुपयोग भैसकेको छ ।

हाल सरकारले थप्न लागेका यी प्रावधानसुदूर पश्चिमाञ्चल, मध्यपश्चिमाञ्चल जस्ता विश्वविद्यालयमा यसअघि नै परिसकेका थिए । ती विश्वविद्यालयका केही पदाधिकारीलाई हटाउन यही प्रावधान प्रयोग गरिएको थियो ।

सुदूर पश्चिमाञ्चल विश्वविद्यालयका उपकुलपति र रजिस्ट्रार मिलेर नीतिगत र आर्थिक भ्रष्टाचार गरेको उजुरी पर्‍यो । उनीहरूमाथि ‘छानबिन’ गर्न गत वर्ष माघमा समिति गठन गरियो । पदाधिकारीहरू स्वतः निलम्बनमा परे । छानबिन समितिले आफ्नो प्रतिवेदन सम्बन्धितहरूलाई बुझाइसकेको छ । यद्यपि प्रतिवेदनमा के भनिएको छ, बाहिर आएको छैन ।

बदमासी गरेका भए यी पदाधिकारीलाई पदमुक्त मात्रै होइन, कारबाहीसमेत गर्नुपर्थ्यो । होइन भने निलम्बन फुकुवा गरी उनीहरूलाई यथास्थान काम गर्न दिनुपर्थ्यो । तर दुवै भएन, न कारबाही भयो, न पुनःस्थापन । सो ऐनमा तीस दिनभित्र छानबिन गरिसक्नुपर्ने उल्लेख छ । तर छानबिनपछि कहिलेसम्म छिनोफानो गरिसक्नुपर्ने, त्यो उल्लेख छैन । सोही कारण निलम्बनको प्रक्रिया सुरु भएको महिनौं हुँदा पनि छिनोफानो गरिएन, ती पदाधिकारी निलम्बनमै रहिरहे । र अहिले उनीहरूको पदावधिसमेत समाप्त भैसकेको छ । सोही प्रक्रिया मध्यपश्चिमाञ्चल विश्वविद्यालयमा पनि दोहोरियो ।

निलम्बनका पछाडि दलीय आग्रह थिएन भने, ती उपकुलपति लगायतका पदाधिकारीलाई फगत आरोप लगाएर निलम्बनमा राखिन्थेन । विश्वविद्यालयउपर यस्ता दलीय हस्तक्षेपले तिनलाई अस्तव्यस्त तुल्याएका छन्, छियाछिया पारेका छन् । यसले वर्तमान सरकार विश्वविद्यालयहरूलाई शनैःशनैः निकम्मा बनाएर तिनलाई सम्पूर्ण रूपमा आफ्नो मुट्ठीमा पार्न उद्यत रहेको त छैन भन्ने शंका गर्ने प्रशस्त ठाउँ दिन्छ ।

कान नसुन्ने सरकार
पुराना ऐनलाई नयाँ संविधानसम्मत तुल्याउने निहुँमा सरकारले जस्केलाबाट नयाँ–नयाँ प्रावधान थपेर विश्वविद्यालयको रहेसहेको स्वायत्तता कानुनी रूपमा खोस्न खोजेपछि सोको विभिन्न तवरबाट, विभिन्न क्षेत्रबाट विरोध गरिएको थियो । प्रधानमन्त्री र शिक्षामन्त्रीलाई ध्यानाकर्षण गराइएको थियो ।

सरकारले ल्याएको विधेयकको मनसाय र त्यसले पार्न सक्ने दूरगामी प्रभावबाट चिन्तित हुँदै त्रिभुवन विश्वविद्यालय (त्रिवि) का पूर्वउपकुलपति केदारभक्त माथेमासहित विभिन्न विश्वविद्यालयका करिब एक दर्जन पूर्वउपकुलपतिले प्रेस सम्मेलन गरी एकैस्वरमा आपत्ति जनाएका थिए । सो विधेयक फिर्ता लिन उनीहरूले सरकारलाई आग्रह गरेका थिए (हेर्नुहोस्, कान्तिपुर, ४ जेठ २०७६, पृ १) । यो नेपालको इतिहासमै यस्तो अपूर्व अवसर थियो, जसमा यति धेरै पूर्वउपकुलपति एउटा ‘कज’ का लागि एकै ठाउँ आए । ज्ञातव्य छ, ती उपकुलपतिमध्ये अहिलेको सत्ताधारी पार्टी नेकपासँग निकट मानिनेहरूसमेत थिए ।

ती सबै पदाधिकारीले समवेत स्वरमा भनेका थिए— यो नयाँ विधेयक जरुरी छैन, यसले विश्वविद्यालयलाई अधोगति लानेछ, रसातलमा पुर्‍याउनेछ । पहिले नियुक्तिमा मात्र सीमित दलीय हस्तक्षेप अब विश्वविद्यालयको दैनिक कार्य सञ्चालनसम्म पुग्ने भन्दै उनीहरूले विरोध जनाएका थिए । प्राज्ञहरूका स्वरलाई त सरकारले सुनेन–सुनेन, उसले आफैले विगतमा नियुक्त गरेका पदाधिकारीका गम्भीर आग्रह पनि सुनेन ।

निरीह शिक्षामन्त्री
नयाँ संविधान बमोजिम निर्वाचन भई ठूलो बहुमतसाथ केपी शर्मा ओलीको नेतृत्वमा नेकपाको सरकार बन्यो । यो सरकार बनिसकेपछि गत वर्ष असारमा मूलतःआफ्नो दलको वरपर रहेका व्यक्तिहरू समेटेर शिक्षामन्त्री गिरिराजमणि पोखरेलको अध्यक्षतामा उच्चस्तरीयराष्ट्रिय शिक्षा आयोग गठन गरियो । सो आयोगले छ महिनाभन्दा बढी लगाएर प्रतिवेदन तयार गरी प्रधानमन्त्रीलाई बुझायो ।

प्रधानमन्त्री ओलीले प्रतिवेदन त बुझे, तर कहिल्यै सार्वजनिक गरेनन् । आफ्नो नेतृत्वमा बनेको प्रतिवेदनधरि सार्वजनिक गराउन नसक्ने मन्त्रीलाई पदमा बसिरहन नैतिकताले नदिनुपर्ने हो, तर पोखरेललाई त्यसले छोएन, उनी पदमा लिसोझैँ टाँसिइरहे । त्यसपछि उनलेआफ्ना पाँच जना विश्वासप्राप्त व्यक्तिको समूहलाई सो प्रतिवेदनमा आधारित रही राष्ट्रिय शिक्षा नीति तयार गर्न दिए । सो समूहले केही आधारभूत पक्षमा ‘ट्याम्परिङ’ गरेर तर कतिपय कुरा जस्ताको तस्तै सारेर मन्त्री पोखरेललाई नयाँ ‘शिक्षानीति’ बुझायो ।

सार्वजनिक बहसमा नल्याइएको र गुपचुप राखिएको यो नीति प्रधानमन्त्रीका विश्वासपात्र सञ्चारमन्त्री गोकुल बाँस्कोटाको समूहले केही महिनादेखि यो वा ऊ बहानामा क्याबिनेटमा पुग्नबाटै रोकिरहेको छ । एउटा मन्त्रीआफ्नो ‘सिग्नेचर वर्क’ नै सार्वजनिक गर्न सक्दैन, त्यसलाई ‘टोन डाउन’ गरेर पनि नीति बनाउन सक्दैन भने ऊ कुन नैतिकताका आधारमा पदमा बसिरहने हो भन्ने प्रश्न उठ्नु अस्वाभाविक होइन ।

यी दुवै प्रकरणमा शिक्षामन्त्री पोखरेलको निरीहता देखियो, दोषभन्दा पनि बढी । प्रतिवेदन र नीति सार्वजनिक नहुनु, कार्यान्वयनमा नजानुमा मुख्य दोष नेकपा र त्यसका अध्यक्ष तथा प्रधानमन्त्री ओलीलाई जान्छ । तर माथि उल्लिखित संशोधित विधेयकको हकमा भने शिक्षामन्त्री नै दोषी देखिन्छन् ।

निर्लज्जतातर्फ ?
शिक्षामन्त्री पोखरेलले सार्वजनिक गराउन नसकेको शिक्षा आयोगको प्रतिवेदन र पारित गराउन नसकेको शिक्षानीति दुवैमा उच्चशिक्षामा भैरहेको दलीय हस्तक्षेप रोक्न विश्वविद्यालयहरू स्वायत्त बनाउने कुरा छ । तिनमा प्रधानमन्त्री कुलपति, शिक्षामन्त्री सहकुलपति रहने व्यवस्था परिवर्तन गरी त्यसको सट्टा ‘बोर्ड अफ ट्रस्टिज’ गठन गर्ने कुरा परेको छ ।

यो नीति कार्यान्वयन गरिए बोर्डले नै आइन्दा विश्वविद्यालयका पदाधिकारीहरू नियुक्त गर्ने थियो । बोर्डमा राजनीतिक नेतृत्वको प्रत्यक्ष भूमिका नहुने हुँदा दलीय हस्तक्षेपबाट विश्वविद्यालयले थोरै राहत पाउने विश्वास गरिएको थियो ।

तर यहीँनेर विडम्बनापूर्ण स्थिति देखिएको छ । एकातिर तिनै शिक्षामन्त्री विश्वविद्यालयलाई स्वायत्त बनाउने भन्दै प्रतिवेदन तयार पार्छन्, नीति बनाउन लगाउँछन् अनि अर्कातिर विश्वविद्यालयमा रहेसहेको स्वायत्ततासमेत खोस्ने विधि स्वयं बनाउँछन् । कानुन संशोधन गर्ने निहुँमा विश्वविद्यालयलाई मनमौजी तरिकाले चलाउने प्रावधान घुसाउँछन् । विश्वविद्यालयमा सत्ताधारीको पकडलाई थप मजबुत बनाउन दैनन्दिनीमा हस्तक्षेप गर्ने कानुन पारित गराउँछन् ।

शिक्षामन्त्रीले अगाडि बढाइरहेको र शिक्षा व्यापारीहरूले आफ्ना स्रोत–व्यक्तिमार्फत रोकिरहेको शिक्षानीति दुई–चार महिना ढिलोचाँडो कुनै न कुनै अवतारमा आउला नै । सो नीति आयो भने अहिले अगाडि बढाइएको ऐनको सान्दर्भिकता समाप्त हुनेछ र पुनः ऐन संशोधन गर्नुपर्ने हुन्छ । त्यसो हो भने किन छोटो समय टिक्ने संशोधन गर्न शिक्षामन्त्री र सरकार लागिपरेका हुन्, बुझ्न कठिन छ ।

बोली र नीति एकातर्फ र व्यवहार अर्कातर्फ गरेका शिक्षामन्त्री अहिले निरीह मात्र होइन, निर्लज्जसमेत देखिएका छन् । कारण जेसुकै भए पनि यो प्रवृत्तिले शिक्षामन्त्री पोखरेलको साख त गिराएको छ नै, अहिले राष्ट्रिय सभाबाट पारित भएको विधेयक (जुन छिट्टै कानुन बन्दै छ) ले विश्वविद्यालयको गरिमा र मर्यादालाई पनि धूलिसात् पार्नेछ । अनि यसले नेपालको उच्चशिक्षा क्षेत्रलाई आउँदा धेरै वर्ष उठ्नै नसक्ने गरी धराशायी तुल्याउने पक्का छ ।

प्रकाशित : भाद्र २०, २०७६ ०८:५१
ADVERTISEMENT
प्रतिक्रिया
पठाउनुहोस्
ADVERTISEMENT

बैंकको साइबर सुरक्षा

सुशील कार्की

नेपाली बैंकहरूबाट चिनियाँ ह्याकरले करोडौं रुपैयाँ चम्पत पारेको समाचारले हाम्रो बैंकिङ सिस्टमको सूचना प्रविधि सम्बन्धी चुकलाई उजागर गरिदिएको छ । सूचना प्रविधि अचेल विश्वभरिकै संस्थाहरूका लागि प्राथमिकताको विषय बनेको छ र विशेषतः बैंक नै ह्याकरको निसानामा पर्ने गरेका छन् । अझ बढी चाहिँ एसिया–प्यासिफिक क्षेत्रका बैंक ।

त्यो किनभने, सूचना प्रविधिलाई सुरक्षित राख्ने प्रविधि एकदमै खर्चिलो हुन्छ र यस क्षेत्रका अधिकांश बैंकले त्यसमा अपेक्षित लगानी गरेका छैनन् ।

सूचना प्रविधि सुरक्षित नभएको कुनै पनि संस्थाले आर्थिक नोक्सानी र लगानीकर्ता तथा ग्राहकहरूको विश्वसनीयता दुवै गुमाउनुपर्ने हुन्छ । सूचना चुहिए नियामक निकायहरूले धेरै ठूलो जरिवाना लगाउन सक्छन्, जसले गर्दा संस्था नै नामेट हुने अवस्थासम्म आउन सक्छ । यसको उदाहरणका रूपमा अमेरिकाको ग्राहक क्रेडिट रिपोर्टिङ गर्ने एजेन्सी ‘इक्युफ्याक्स’ लाई लिन सकिन्छ, जसलाई ग्राहक तथ्याङ्क सुरक्षित गर्न नसक्दा अमेरिकी सरकारले ५७५ मिलियन अमेरिकी डलर जरिवाना गरेको थियो ।

अहिले बढ्दो जोखिमको न्यूनीकरणका लागि बैंक, सरकारी तथा गैरसरकारी कार्यालय, ठूला व्यापारिक घराना लगायतले सूचना प्रविधिको कडा सुरक्षालाई सम्बोधन गर्नुपर्छ । तल उल्लिखित प्रविधि र उपाय अवलम्बन गरेर सूचना प्रविधि प्रणालीलाई सुरक्षित बनाउन सकिन्छ :

प्याचिङ साइकल : संस्थामा प्रयोग भइराखेको कुनै पनि प्रविधि ‘अपडेटेड’ हुनुपर्छ । प्रयोगमा रहेको सिस्टमको प्याच वा अपडेटका माध्यमबाट तिनलाई नियमित अपग्रेड गर्नुपर्छ । जस्तै— माइक्रोसफ्टले प्रत्येक महिनाको दोस्रो मंगलबार आफ्नो सफ्टवेयर विन्डोज अपडेट रिलिज गर्छ । माइक्रोसफ्टको विन्डोज प्रयोग गर्नेहरूलेआफ्ना डेस्कटप, सर्भर, एटीएम आदिमा महिनैपिच्छे अपडेट गरेर सबै खाले जोखिम र भाइरसबाट जोगाउन सक्छन् । भीएमवेयर, थर्ड पार्टी सफ्टवेयर नेटवर्किङ तथा सूचना प्रविधि सम्बन्धी अन्य उपकरणको अपडेट पनि जरुरी हुन्छ ।

फायरवाल : फायरवालले कुनै पनि सिस्टममा आवश्यक सूचनालाई मात्र प्रवेश दिन्छ । यसका कारण नयाँ वा विश्वसनीय नलाग्ने केहीले पनि सिस्टममा छिर्न पाउँदैन । फायरवाल कम्तीमा पनि दुई लेभलको हुनु जरुरी हुन्छ । पहिलोले बाहिरबाट आएका ट्राफिकलाई सुरक्षा दिन्छ भने दोस्रोले भित्रकै अनावश्यक ट्राफिकबाट जोगाउँछ ।

एन्टिभाइरस : सिस्टममा कुनै पनि भाइरसले आक्रमण गरे त्यसविरुद्ध लड्ने माध्यम हो— एन्टिभाइरस । सिस्टममा छिरिसकेको कुनै भाइरस वा मालवेयरलाई पत्ता लगाई हटाउने काम गर्छ, यसले ।

जिरो डे सुरक्षा : जिरो डेको जोखिमका लागि निश्चित सुरक्षा प्रणाली बनेकै छैन । यस्तो खाले आक्रमण उही दिन रिलिज भएका मालवेयरले गर्ने गर्छन् । यसका लागि इमेल, नेटवर्क आदि सुरक्षित राखी जिरो डे सुरक्षाका प्रविधिको प्रयोग गर्नुपर्छ ।

इमेलको सुरक्षा : भाइरस, स्पेवेयर, मालवेयर आदिको मुख्य स्रोत इमेल हो । विभिन्न फिसिङ र स्पामको लिंकबाट ह्याकरहरूले सिस्टमका प्रयोगकर्तालाई निसाना बनाउन सक्छन् । त्यसैले इमेलको सुरक्षित गेटवे अत्यन्त जरुरी छ । इमेल गेटवे दिने एडप्टिभ इमेल सेक्युरिटी, अटोमेटेड रिडक्सन र सानिटाइजेसन, एन्टिस्पाम र फिसिङ, भाइरस स्क्यानिङजस्ता सुविधाले जोखिमहरूबाट बचाउन सक्छन् ।

जोखिम व्यवस्थापन : संस्थाका सूचना तथा तथ्याङ्कलाई फरक–फरक समूहमा राखेर जोखिम न्यूनीकरण र व्यवस्थापन गर्न सकिन्छ । जोखिम व्यवस्थापनमा प्रयोग हुने एलिन भल्ट युनिफाइड सेक्युरिटी म्यानेजमेन्ट, कोमोडो ह्याकर प्रुफ, ट्रिपवायर आईपी ३६० जस्ता सफ्टवेयर र उपकरणले सिस्टमलाई स्क्यानिङ गरी त्यसमा रहेका उच्च, मध्यम वा सामान्य जोखिमको सूची तयार पारिदिन्छन् ।

बन्द सफ्टवेयरको प्रयोग बन्द : कुनै पनि कम्पनीले बन्द गरिसकेका वा सहयोग नदिने सफ्टवेयर र हार्डवेयरहरूको प्रयोग गर्दा तिनमा ह्याकरहरूले सहजै आक्रमण गर्न सक्छन् । जस्तै— माइक्रोसफ्टले विन्डोज एक्सईमा सपोर्ट बन्द गरेको छ, जसको कुनै पनि प्याच वा अपडेट उपलब्ध हुँदैन । यस्ता खालका सिस्टम प्रयोग गर्न हुन्न ।

दोहोरो प्रमाणीकरण : जुनसुकै क्रिटिकल सर्भर सिस्टममा छिर्न दोहोरो प्रमाणीकरण विधि अपनाउनुपर्छ । पासवर्ड ह्याक भएको अवस्थामा पनि प्रमाणीकरणका लागि दोस्रो अप्सनले अनधिकृत पहुँचलाई रोक्छ । जस्तै— पासवर्ड राखेपछि पनि मोबाइल/इमेलमा कोड पठाएर उक्त कोड राख्न आरएसए सुरक्षा विधिको प्रयोग गर्ने ।

तथ्याङ्क वा डाटाको वर्गीकरण : कुनै पनि संस्थाका लागि तथ्याङ्क/डाटा सबैभन्दा महत्त्वपूर्ण सम्पत्ति हुन् । तथ्याङ्क ग्राहक स्वयं वा ग्राहकका तथ्याङ्क हुन सक्छन् । सर्वप्रथम त तथ्याङ्कलाई समूहगत रूपमा गोप्य, निषेधित वा सार्वजनिक गर्न मिल्ने भनी छुट्याउनु आवश्यक हुन्छ ।

जसले तथ्याङ्क संकलन गर्छ, उसले विभिन्न सफ्टवेयरका माध्यमले तिनलाई समूहगत रूपमा विभाजन गर्नुपर्छ, जस्तै— क्रेडिट कार्ड भएका नम्बरहरू, पासवर्ड भएका, आर्थिक कारोबार देखिने आदि । त्यो डाटा कसैले प्रिन्ट गर्न, इमेलद्वारा पठाउन, पेनड्राइभ लगायतमा कपी गर्न अनि एफटीपी/एचटीटीपीका माध्यमबाट इन्टरनेटमा अपलोड गर्न खोजेमा डाटा लिकेज प्रिभेन्सन सफ्टवेयरद्वारा अलर्ट आउने बनाउन सकिन्छ ।

डीएलपी प्रविधि प्रयोग गरे संस्थाका कर्मचारीबाट हुनसक्ने सूचनाको चुहावट रोक्न सकिन्छ । त्यसका लागि फोर्स प्वाइन्ट डीएलपी सोलुसन, स्यामेन्टेक डीएलपी सोलुसन, चेक प्वाइन्ट डीएलपी सोलुसन आदि प्रयोगमाल्याउन सकिन्छ ।

डाटा इन्क्रिप्सन : विभिन्न समूहमाछुट्याइएका सूचना/तथ्याङ्कलाई सुरक्षित तवरले सर्भरमा इन्क्रिप्ट गरेर राख्न जरुरी हुन्छ, ताकि त्यसलाई इन्क्रिप्ट गरेको व्यक्तिले मात्र प्रयोग गर्न सकोस् । इन्क्रिप्ट व्यक्तिगत वा सामूहिक आधारमा पनि गर्न सकिन्छ । जस्तै— सूचना प्रविधिसम्बद्ध कर्मचारीहरूले मात्र चलाउन सकिने गरी ग्रुप की बनाएर इन्क्रिप्ट गर्दा ती फाइल ती कर्मचारीबाहेक अरूले खोल्न वा प्रयोग गर्न सक्दैनन् ।

फिम र सिम : फिम (फाइल इन्टिग्रेटी मोनिटरिङ) ले फाइल सिस्टममा भएका सबै परिवर्तनलाई लग वा रेकर्ड गरेर राख्छ । यसका माध्यमबाट कोर अपरेटिङ सिस्टम फाइल, प्रोग्राम कम्पोनेन्ट, सिस्टम कन्फिग्रेसन आदिलाई सुरक्षित बनाउन सकिन्छ । सम्बन्धित कर्मचारीबाट हुन सक्ने दुरुपयोग रोक्न पनि यसले मद्दत गर्छ ।

त्यसैगरी सिम (सुरक्षा जानकारी र कार्य व्यवस्थापन) का माध्यमले अडिटिङ वा लगर प्रयोगकर्ताहरूको रेकर्डको अनुसन्धान गर्न सकिन्छ । जस्तै— कुनै कर्मचारीले बैंकिङ सिस्टमको सर्भरमा गएर अनधिकृत रूपमा केही परिवर्तन गरेको रहेछ भने सिमले त्यसको लग र भिडियोसमेत खिचेर राख्छ । नेटरिक्स मोनिटरिङ सिस्टम यसमा सहायक हुनसक्छ ।

अनधिकृत प्रवेश (पेनट्रेसन टेस्टिङ) को जाँच : सूचना प्रणालीमा अनधिकृत प्रवेशको जाँच मासिक, त्रैमासिक, अर्धवार्षिक वा वार्षिक रूपमा गर्नुपर्छ । ठूला कम्पनीका लागि त यो झन् आवश्यक छ । यस्तो गर्नु भनेको नियन्त्रित अवस्थामा सिस्टम ह्याक हुने सम्भावना कस्तो छ भनी जाँच गराउनु पनि हो । पेनट्रेसन टेस्टिङबाट जोखिम देखिए ह्याकको सम्भावना धेरै हुन्छ ।

डीडीओएस (डिस्ट्रिब्युटेड डेनियल अफ सर्भिस) : डीडीओएसमा आक्रमण गरेर ह्याकरहरूले मल्टिपल कम्प्रोमाइज्ड सिस्टमको प्रयोगबाट सूचना प्रणालीमा अत्यधिक अनुरोध पठाएर सिस्टमलाई डाउन गर्न सक्छन् । यस्तो आक्रमणबाट बच्न क्राउडफ्लावर प्रिभेन्सन सोलुसन, एफ फाइभ नेटवर्क्स, ब्ल्याक लोटसजस्ता डीडीओएस सुरक्षा प्रविधिको प्रयोग गर्नुपर्छ ।

विशेषाधिकार व्यवस्थापन : आफ्नै कर्मचारीबाट हुनसक्ने (आन्तरिक) र अन्य प्रयोगकर्ताबाट हुनसक्ने (बाह्य) जोखिमबाट बच्न सूचना प्रणालीको प्रयोग सम्बन्धमा विशेष नियम बनाउनुपर्छ । जस्तै— सूचना प्रणालीका कर्मचारीहरूको काम र कर्तव्यका आधारमा प्रणालीमाथि निश्चित प्रवेशको अधिकार दिन सकिन्छ ।

कुन डाटाबेसमा कुन कर्मचारीले कस्तो काम गर्ने हो, सोही बमोजिम प्रवेश दिने, नेटवर्किङ डिभाइसहरूमा कामका आधारमा निश्चित पढ्ने मात्रै, पढ्ने/लेख्ने, परिवर्तन पनि गर्ने अधिकार दिने, उच्च सुरक्षात्मक काम (जस्तै— डाटाबेसमा परिवर्तन, नेटवर्क परिवर्तन, क्रिटिकल सर्भरहरूको प्रयोग आदि) मा समयमा आधारित टोकन प्रणाली लागू गरी ट्र्याक गर्ने गर्नुपर्छ ।

एचआईपीएस (होस्ट बेस इन्ट्रुसन प्रिभेन्सन सिस्टम) : एचआईपीएसले सिस्टमको डाटाबेसको अवस्था, सफ्टवेयरहरूको रेकर्ड र फाइलमा भएका परिवर्तनको विश्लेषण गरी कुनै समस्या आए पत्ता लगाउन सहयोग गर्छ ।

एमडीएम (मोबाइल डिभाइस व्यवस्थापन) र भीपीएन (भर्चुअल प्राइभेट नेटवर्क) : एमडीएमको सहायताले कम्पनीबाट उपलब्ध गराइएका मोबाइल डिभाइस र ल्यापटपहरूलाई सुरक्षित गराउन सकिन्छ । जस्तै— उच्च तहका कर्मचारीले मोबाइलबाट इमेल प्रयोग गरेका छन् भने एमडीएमले त्यसलाई सुरक्षित बनाउँछ ।

मोबाइल चोरी हुनबाट जोगाउन त्यसमा रिमोट वाइप गर्ने जस्ता पोलिसी प्रयोग गर्न सकिन्छ । भीपीएनको प्रयोगबाट सूचना प्रणालीका र अन्य कर्मचारीलाई टाढैबाट नियमन गर्न र नेटवर्कमा प्रवेश दिई काम लगाउन सकिन्छ । यसले गर्दा थर्ड पार्टी भल्नरेबल सफ्टवेयरहरू प्रयोग गरिरहनुपर्दैन ।

वाफ (वेभ एप्लिकेसन फायरवाल) : वाफको प्रयोगले बाह्य रूपमा प्रयोग हुने वा भएका सफ्टवेयरहरू सुरक्षित रहन सक्छन् । जस्तै— बैंकले इबैंकिङ सफ्टवेयर वाफका माध्यमबाट प्रयोग गर्दा विभिन्न पोलिसीहरू बनाएर सुरक्षित बनाउन सकिन्छ । जस्तै— आफ्ना प्रयोगकर्ता नभएको देशमा प्रयोग निषेध गर्ने, उच्च जोखिमयुक्त देशबाट प्रयोगमा निषेध गर्ने, कमजोर सिफरहरूलाई बन्द गर्ने ।

युआरएल फिल्टरिङ : भाइरस, मालवेयर आदि कम्पनीको नेटवर्कमा प्रवेश हुने प्रमुख माध्यम इन्टरनेट हो । कर्मचारीको इन्टरनेट प्रयोगमा युआरएल फिल्टरिङको माध्यमबाट यसको नियन्त्रण गर्न सकिन्छ । जस्तै— अनधिकृत वेबसाइटलाई ब्लक गर्ने, एक्सनेन्सन र वेबसाइटको प्रकारका आधारमा फाइल डाउनलोड बन्द गर्ने आदि ।

कर्मचारीलाई ज्ञान : कम्पनीविशेषका कर्मचारीहरूलाई सूचना प्रणालीमा हुनसक्ने जोखिम र त्यसले पार्ने समस्याबारे बेलैमा जानकारी दिनुपर्छ । जोखिम हुनसक्ने माध्यम र कारणबारे तालिममार्फत पहिल्यै अवगत गराई उच्च सतर्कता अपनाउन लगाउनुपर्छ ।
अन्त्यमा, संसारमा अति अभेद्य मानिएका सुरक्षा प्रणाली पनि ह्याकरहरूको सिकार बनेका थुप्रै उदाहरण छन् ।

तर माथि उल्लिखित प्रविधिको प्रयोग गरेर सूचना प्रणालीलाई धेरै हदसम्म सुरक्षित बनाउन सकिन्छ । यस्तो प्रविधि खर्चिलो हुन्छ, तर कम्पनी वा संस्थाको तथ्याङ्क र सूचनाको महत्त्वका हिसाबले लगानी जति भए पनि कमै हुन्छ । भविष्यमा हुनसक्ने ठूलो आर्थिक क्षतिबाट बच्न सूचना प्रणालीको सुरक्षामा लगानी गर्नु फाइदाजनक नै साबित हुन्छ ।

दस वर्ष बैंकिङ सेक्टरमा सूचना प्रविधि सम्बन्धी काम गरेका लेखक अरब बैंक अस्ट्रेलियामा कार्यरत छन् ।

प्रकाशित : भाद्र २०, २०७६ ०८:४९
पूरा पढ्नुहोस्
ADVERTISEMENT
प्रतिक्रिया
पठाउनुहोस्
ADVERTISEMENT
ADVERTISEMENT
ADVERTISEMENT