Phenquestions
Оно што је осигурано су информативни и софтверски пакети (апликације и документи). Информације су било која порука која је корисна било коме. „Информација“ је нејасна реч. Контекст у коме се користи даје своје значење. То може значити вест, предавање, водич (или лекцију) или решење. Софтверски пакет је обично решење за неки проблем или с њим повезане проблеме. У прошлости су све неизговорене информације писане на папиру. Данас се софтвер може сматрати подскупом информација.
Софтвер се може налазити у рачунару или бити у транзиту са једног рачунара на други. Датотеке, подаци, е-адресе, снимљени глас, снимљени видео записи, програми и апликације налазе се на рачунару. Док боравите у рачунару, он може бити оштећен. Док је у транзиту, још увек може бити оштећен.
Било који уређај са процесором и меморијом је рачунар. Дакле, у овом чланку калкулатор, паметни телефон или таблет (нпр.г., иПад) је рачунар. Сваки од ових уређаја и њихов мрежни медиј за пренос садржи софтвер или софтвер у транзиту који треба заштитити.
Привилегије
Корисник може добити привилегију да изврши датотеку на рачунару. Корисник може добити привилегију да чита код датотеке на рачунару. Корисник може добити привилегију да модификује (упише) код датотеке на рачунару. Корисник може добити једну, две или све три ове привилегије. Постоје и друге привилегије оперативном систему или бази података. Корисници имају различите износе или нивое привилегија у систему.
Претње
Основе софтверских претњи
Да бисте заштитили софтвер, морате знати његове претње. Софтвер мора бити заштићен од неовлашћених људи који приступају његовим подацима. Мора се заштитити од незаконите употребе (на пример, да би се нанела штета). Софтвер треба заштитити од откривања ривалима. Софтвер не сме бити оштећен. Софтвер се не сме ненамерно брисати. Софтвер не сме бити ометан. Софтвер не би требало да има било какву модификацију на коју се не позива. Податке (софтвер) не треба прегледавати без доброг разлога, посебно неовлашћене особе. Софтвер не треба копирати (пиратски).
Једна или више ових база, што резултира одређеном врстом класичне претње.
Класе софтверске претње
Споофинг Аттацк
Ово је ситуација када особа (или програм) успешно представља другу особу (или програм) у некој софтверској активности. То се ради помоћу лажних података да би се стекла предност која је нелегална.
Репудиатион
Ово је ситуација у којој неко учини нешто погрешно и одбије да он / она није тај који је то учинио. Особа може да користи потпис друге особе да би учинила погрешну ствар.
Кршење података
Кршење података је када су безбедне или приватне информације намерно или ненамерно пуштене у окружење којем се не верује.
Напад ускраћивања услуге
Софтверска рачунарска мрежа има софтвер покренут на мрежним рачунарима. Сваки корисник обично користи свој рачунар испред себе и обично захтева услуге од других рачунара у мрежи. Корисник криминалац може одлучити да преплави сервер сувишним захтевима. Сервер има ограничен број захтева које може да обради током трајања. У овој шеми поплаве, легитимни корисници не могу да користе сервер онолико често колико би требали, јер је сервер заузет одговарањем на захтеве криминалца. Ово преоптерећује сервер, привремено или на неодређено време ометајући услуге сервера. Током тога, домаћин (сервер) успорава рад легитимних корисника, док починилац извршава своје несташлуке, који остају неоткривени, јер легитимни корисници који чекају услугу нису могли знати шта се дешава у сервер. Добрим корисницима је ускраћена услуга док траје напад.
Привилеге Есцалатион
Различити корисници оперативног система или апликације имају различите привилегије. Дакле, неки корисници на крају имају већу вредност од других, из система. Привилеге Есцалатион је искоришћавање софтверске грешке или надзора над конфигурацијом ради повећаног приступа ресурсима или неовлашћеним информацијама.
Горе наведене шеме класификације могу се користити за изазивање рачунарског вируса и црва.
Једна или више горе наведених шема класификације могу се користити за софтверске нападе, који укључују: крађу интелектуалне својине, корупцију базе података, крађу идентитета, саботажу и изнуђивање информација. Ако особа користи једну или више шема за деструктивну модификацију, веб локацију тако да купци веб локације изгубе самопоуздање, то је саботажа. Изнуда података је крађа рачунара компаније или лажно добијање тајних података о компанији. Украдени рачунар можда има тајне информације. То може довести до рансомваре-а, где би лопов тражио исплату, у замену за украдену имовину или информације.
Приватност
Кад вам је нешто осетљиво или по својој природи посебно, онда је та ствар за вас приватна. Ово се односи и на групу људи. Појединац треба да се изрази селективно. Да би постигао такву селективност, појединац мора да закаже себе или да закаже информације о себи; то је приватност. Група људи треба да се селективно изрази. Да би постигла такву селективност, група мора да закаже себе или да закаже информације о себи; то је приватност. Појединац треба да се заштити селективно. Да би постигао такву селективну заштиту, појединац мора да се заштити или заштити податке о себи на селективан начин; односно приватност. Група људи треба да се заштити селективно. Да би постигла такву селективну заштиту, група мора да се заштити или заштити податке о себи на селективан начин; односно приватност.
Идентификација и аутентификација
Када путујете у страну земљу, стићи ћете до луке те земље. У луци ће вас полицајац замолити да се идентификујете. Предочићете пасош. Полицајац ће из пасоша знати ваше године (од датума рођења), пол и професију и погледаће вас (ваше лице); то је идентификација. Полицајац ће упоредити ваше право лице и фотографију у пасошу. Такође ће проценити вашу старост на основу онога што је у пасошу како би знао да ли сте то ви.
Гледање у вас и повезивање ваших година, пола и професије је идентификација. Потврда идентитета вашег стварног лица и фотографије и процена да ли се презентација подудара са вашим годинама је потврда идентитета. Идентификација је повезивање особе или нечега са одређеним атрибутима. Означавање идентитета је такође идентификација. Аутентификација је чин доказивања да је идентитет (идентификација) истинит. Другим речима, аутентификација је чин доказивања тврдње.
У рачунарству је најчешћи начин аутентификације употреба лозинке. На пример, сервер има много корисника. Приликом пријављивања својим корисничким именом наводите свој идентитет (идентификујте се). Свој идентитет доказујете лозинком. Лозинку треба да знате само ви. Аутентификација може ићи даље; постављањем питања попут „У ком граду сте рођени?”
Сигурносни циљеви
Сигурносни циљеви у информацијама су поверљивост, интегритет и доступност. Ове три карактеристике познате су као ЦИА тријада: Ц за поверљивост, И за интегритет и А за доступност.
Повјерљивост
Информације се не смеју откривати неовлашћеним лицима, или неовлашћеним субјектима или неовлашћеним процесима; ово је поверљивост информација у информационој сигурности (као и софтверска сигурност). Крађа лозинки или слање осетљивих имејлова нетачном појединцу представља нарушавање поверљивости. Поверљивост је компонента приватности која штити информације од неовлашћених појединаца или неовлашћених лица или неовлашћених процеса.
Интегритет
Информације или подаци имају животни циклус. Другим речима, информације или подаци имају време почетка и завршетка. У неким случајевима, након завршетка животног циклуса, информације (или подаци) морају бити избрисане (легално). Интегритет се састоји од две карактеристике, а то су: 1) одржавање и осигуравање тачности информација (или података) током читавог животног циклуса и 2) комплетност информација (или података) током читавог животног циклуса. Дакле, информације (или подаци) се не смеју смањивати или модификовати на неовлашћен или неоткривен начин.
Доступност
Да би било који рачунарски систем служио својој сврси, информације (или подаци) морају бити доступне по потреби. То значи да рачунарски систем и његови преносни медији морају исправно функционисати. Доступност се може угрозити надоградњом система, кваром хардвера и нестанком струје. Доступност такође може бити угрожена нападима ускраћивања услуге.
Нерепутација
Када неко користи ваш идентитет и ваш потпис за потписивање уговора који никада није испунио, одрицање је када на суду не можете успешно порећи да нисте потписали уговор.
На крају уговора, страна која нуди услугу мора да је понудила услугу; странка која плаћа мора да је извршила уплату.
Да бисте разумели како је одбацивање примењиво на дигиталну комуникацију, прво морате знати значење кључа и значење дигиталног потписа. Кључ је део кода. Дигитални потпис је алгоритам који користи кључ за стварање неког другог кода који је упоређен са писаним потписом пошиљаоца.
У дигиталној сигурности, одбацивање се обезбеђује (није нужно загарантовано) дигиталним потписом. У софтверској сигурности (или информационој сигурности) нерегирање се односи на интегритет података. Шифровање података (које сте можда чули) у комбинацији са дигиталним потписом такође доприноси поверљивости.
Сигурносни циљеви у информацијама су поверљивост, интегритет и доступност. Међутим, одбацивање је још једна карактеристика коју морате узети у обзир када се бавите информационом сигурношћу (или софтверском сигурношћу).
Одговори на претње
На претње се може одговорити на један или више од следећа три начина:
- Смањење / ублажавање: Ово је примена заштитних мера и противмера за уклањање рањивости или блокирање претњи.
- Додељивање / пренос: Ово терет претње пребацује на други ентитет, као што је осигуравајуће друштво или компанија која преузима спољне услуге.
- Прихватање: Овим се процењује да ли су трошкови противмере већи од могућих трошкова губитка услед претње.
Контрола приступа
У информационој сигурности чији је део софтверска сигурност, контрола приступа је механизам који осигурава да само корисници који испуњавају услове могу да приступе заштићеним ресурсима у датом систему, са својим различитим заслуженим привилегијама.
Тренутно решење за информациону сигурност
Тренутни и популаран начин за заштиту информација је спровођење контроле приступа. То укључује мере као што су валидација уноса у апликацију, инсталирање антивируса, коришћење заштитног зида на локалној мрежи и коришћење безбедности транспортног слоја.
Када очекујете датум као улаз у апликацију, али корисник унесе број, такав унос мора бити одбијен. То је валидација уноса.
Антивирус инсталиран на рачунару спречава вирусе да кваре датотеке на рачунару. Ово помаже у доступности софтвера.
Могу се створити правила за надгледање и контролу долазног и одлазног саобраћаја локалне мреже, у циљу заштите мреже. Када се таква правила примене као софтвер, у локалној мрежи то је заштитни зид.
Сигурност транспортног слоја (ТЛС) је сигурносни протокол дизајниран да олакша приватност и сигурност података за преносе путем Интернета. То укључује шифровање комуникације између домаћина који шаље и домаћина који прима.
Заштита података спровођењем контроле приступа назива се Сигурносни софтвер, који се разликује од Софтверске сигурности, као што је објашњено у наставку. Оба приступа имају исти циљ, али су различити.
Правилна безбедност софтвера
Апликације, како су данас написане, имају пуно софтверских рањивости које су програмери све више схватали током последњих 20 година. Већина напада врши се искориштавањем ових рањивости него превладавањем или заобилажењем контроле приступа.
Бафер је попут низа, али без наметнуте дужине. Када програмер уписује у међуспремник, могуће је несвесно преписати преко његове дужине. Ова рањивост је прелив бафера.
Софтвер је данас отклонио сигурносне последице - укључујући грешке у примени, као што су преливање бафера и недостаци у дизајну, попут недоследног руковања грешкама. То су рањивости.
Можда сте чули за варалице на рачунарском језику као што су ПХП варалице, Перл варалице и Ц ++ варалице. То су рањивости.
Софтверска сигурност, за разлику од сигурносног софтвера, превазилази ове рањивости писањем одбрамбеног кода тамо где би рањивости биле спречене. Док се апликација користи, како се открива све више рањивости, програмери (програмери) треба да траже начине за поновно кодирање рањивости, у одбрани.
Пријетњу, напад ускраћивањем услуге, не може зауставити контрола приступа, јер да би починитељ то учинио, он већ мора имати приступ хосту (серверу). Може се зауставити укључивањем интерног софтвера који надгледа шта корисници раде у хосту.
Софтверска сигурност робустан је дизајн који отежава софтверске нападе. Софтвер би требао бити самозаштитни и, у крајњем случају, без рањивости. На тај начин вођење сигурне мреже постаје лакше и исплативије.
Софтверска сигурност дизајнира одбрамбени код из апликације док сигурносни софтвер намеће (дизајнира) контролу приступа. Понекад се ова два питања преклапају, али често се не.
Софтверска сигурност је већ прилично развијена, иако се још увек развија, није толико развијена као безбедносни софтвер. Лоши хакери постижу своје циљеве више искориштавањем рањивости софтвера него превладавањем или заобилажењем сигурносног софтвера. Надамо се да ће у будућности информациона сигурност бити више софтверска него безбедносна софтвера. За сада мора да се ради и безбедност софтвера и софтвер за заштиту.
Сигурност софтвера неће заиста бити ефикасна ако се на крају развоја софтвера не изврши ригорозно тестирање.
Програмери морају бити едуковани за извођење програмирања одбрамбеног кода. Корисници такође морају бити едуковани о томе како да користе апликације у одбрани.
У софтверској сигурности, програмер мора осигурати да корисник не добије више привилегија него што заслужује.
Закључак
Софтверска сигурност је дизајнирање апликације са дефанзивним кодирањем против рањивости ради отежавања софтверских напада. С друге стране, сигурносни софтвер је производња софтвера који намеће контролу приступа. Софтверска сигурност се још увек развија, али је за информациону сигурност изгледнија од безбедносног софтвера. Већ се користи и расте у популарности. У будућности ће бити потребно и једно и друго, али са софтвером је потребна већа сигурност.
