Phenquestions
Това, което е защитено, са информационни и софтуерни пакети (приложения и документи). Информацията е всяко съобщение, което е полезно за никого. „Информация“ е неясна дума. Контекстът, в който се използва, дава своето значение. Това може да означава новина, лекция, урок (или урок) или решение. Софтуерният пакет обикновено е решение на някакъв проблем или свързани проблеми. В миналото цялата неизказана информация е била написана на хартия. Днес софтуерът може да се разглежда като подмножество информация.
Софтуерът може да се намира в компютър или да се прехвърля от един компютър на друг. Файлове, данни, имейли, записан глас, записани видеоклипове, програми и приложения се намират на компютър. Докато пребивавате в компютър, той може да бъде повреден. Докато е в транспорт, той все още може да бъде повреден.
Всяко устройство с процесор и памет е компютър. И така, в тази статия калкулатор, смартфон или таблет (напр.ж., iPad) е компютър. Всяко от тези устройства и техните мрежови носители за предаване имат софтуер или софтуер в процес на преминаване, който трябва да бъде защитен.
Привилегии
Потребителят може да получи привилегията да изпълнява файл на компютър. Потребителят може да получи привилегията да чете кода на файл в компютър. Потребителят може да получи привилегията да модифицира (записва) кода на файл в компютър. Потребителят може да получи една, две или трите от тези привилегии. Има и други привилегии за операционна система или база данни. Потребителите имат различни суми или нива на привилегии в системата.
Заплахи
Основи на софтуерни заплахи
За да защитите софтуера, трябва да знаете заплахите му. Софтуерът трябва да бъде защитен от неоторизиран достъп до неговите данни. Той трябва да бъде защитен срещу незаконна употреба (например, за да причини вреда). Софтуерът трябва да бъде защитен срещу разкриване на конкуренти. Софтуерът не трябва да е повреден. Софтуерът не трябва да бъде изтрит неволно. Софтуерът не трябва да се нарушава. Софтуерът не трябва да има модификация, за която не е извикан. Данните (софтуерът) не трябва да се проверяват без основателна причина, особено от неоторизирани хора. Софтуерът не трябва да се копира (пиратски).
Една или повече от тези бази, водещи до определен тип класическа заплаха.
Класове на софтуерна заплаха
Spoofing Attack
Това е ситуацията, при която човек (или програма) успешно представлява друго лице (или програма) в някаква софтуерна дейност. Това се прави с помощта на фалшиви данни, за да се получи предимство, което е незаконно.
Репутация
Това е ситуацията, в която някой прави нещо нередно и отказва, че той / тя не е направил това. Човекът може да използва подпис на друг човек, за да извърши грешното.
Нарушаване на данни
Нарушение на данните е, когато защитена или лична информация се пуска умишлено или неволно в среда, на която не се вярва.
Атака за отказ на услуга
Софтуерна компютърна мрежа има софтуер, работещ в компютрите на мрежата. Всеки потребител обикновено използва своя компютър пред себе си и обикновено иска услуги от други компютри в мрежата. Престъпник потребител може да реши да залее сървър с излишни заявки. Сървърът има ограничен брой заявки, които може да обработи за продължителност. В тази схема за заливане законните потребители не могат да използват сървъра толкова често, колкото би трябвало, тъй като сървърът е зает да отговаря на исканията на престъпника. Това претоварва сървъра, временно или за неопределено време нарушава услугите на сървъра. В хода на това хостът (сървърът) забавя работата на легитимни потребители, докато извършителят извършва своето зло, което остава неоткрито, тъй като легитимните потребители, които са в очакване на услугата, не могат да знаят какво се случва сървърът. На добрите потребители се отказва услуга, докато атаката продължава.
Привилегия ескалация
Различните потребители на операционна система или приложение имат различни привилегии. Така че, някои потребители в крайна сметка имат по-голяма стойност от други, от системата. Експлоатацията на софтуерна грешка или надзор на конфигурацията за получаване на повишен достъп до ресурси или неоторизирана информация е Privilege Escalation.
Горните класификационни схеми могат да се използват за причиняване на компютърен вирус и червеи.
Една или повече от горните класификационни схеми могат да се използват за софтуерни атаки, които включват: кражба на интелектуална собственост, повреда на база данни, кражба на самоличност, саботаж и изнудване на информация. Ако човек използва една или повече от схемите за деструктивна модификация, уебсайт, така че клиентите на сайта да загубят доверие, това е саботаж. Изнудването с информация е кражба на компютър на компанията или фалшиво получаване на секретна информация за компанията. Откраднатият компютър може да има секретна информация. Това може да доведе до рансъмуер, където крадецът да поиска плащане, в замяна на откраднато имущество или информация.
поверителност
Когато нещо е чувствително или по същество специално за вас, тогава това нещо е лично за вас. Това важи и за група хора. Човек трябва да се изразява селективно. За да постигне такава селективност, индивидът трябва да планира себе си или да планира информация за себе си; това е поверителността. Група хора трябва да се изразят избирателно. За да постигне такава селективност, групата трябва да планира себе си или да планира информация за себе си; това е поверителността. Човек трябва да се защити избирателно. За да постигне такава селективна защита, индивидът трябва да се защити или да защити информацията за себе си по селективен начин; тоест поверителност. Група хора трябва да се предпазват избирателно. За да постигне такава селективна защита, групата трябва да се защити или да защити информацията за себе си по селективен начин; тоест поверителност.
Идентификация и удостоверяване
Когато пътувате до чужда държава, ще стигнете до пристанище на тази държава. На пристанището полицай ще ви помоли да се легитимирате. Ще представите паспорта си. Полицейският служител ще знае възрастта ви (от датата на раждане), пола ви и професията ви от паспорта и ще ви погледне (лицето ви); това е идентификация. Полицаят ще сравни истинското ви лице и снимката в паспорта. Той също така ще прецени възрастта ви с това, което е в паспорта, за да разбере дали сте вие.
Разглеждането на вас и свързването на вашата възраст, пол и професия с вас е идентификация. Проверката дали истинското ви лице и снимката ви са еднакви и оценката дали презентацията ви отговаря на вашата възраст е удостоверяване. Идентификацията е свързване на човек или нещо с определени атрибути. Посочването на самоличност също е идентификация. Удостоверяването е акт за доказване, че идентичността (идентификацията) е вярна. С други думи, удостоверяването е акт за доказване на твърдение.
При изчисленията най-често срещаният начин за удостоверяване е използването на парола. Например сървърът има много потребители. При влизане посочвате вашата самоличност (идентифицирайте се) с потребителското си име. Вие доказвате самоличността си с паролата си. Паролата ви трябва да се знае само от вас. Удостоверяването може да продължи по-далеч; като ви зададе въпрос, като „В кой град или град сте родени?”
Цели за сигурност
Целите за сигурност в информацията са конфиденциалност, почтеност и наличност. Тези три характеристики са известни като триадата на ЦРУ: C за поверителност, I за целостта и A за наличност.
Поверителност
Информацията не трябва да се разкрива на неупълномощени лица или на неупълномощени субекти или на неоторизирани процеси; това е поверителност на информацията при информационната сигурност (както и софтуерната сигурност). Кражбата на пароли или изпращането на чувствителни имейли до неправилно лице нарушава поверителността. Поверителността е компонент на поверителността, който защитава информацията от неупълномощени лица или неупълномощени субекти или неразрешени процеси.
Интегритет
Информацията или данните имат жизнен цикъл. С други думи, информацията или данните имат начален и краен час. В някои случаи след края на жизнения цикъл информацията (или данните) трябва да бъдат изтрити (законно). Целостта се състои от две характеристики, които са: 1) поддържане и гарантиране на точността на информацията (или данните) през целия жизнен цикъл и 2) пълнотата на информацията (или данните) през целия жизнен цикъл. Така че информацията (или данните) не трябва да се намалява или модифицира по неоторизиран или неоткрит начин.
Наличност
За да може всяка компютърна система да изпълни своето предназначение, информацията (или данните) трябва да са на разположение, когато е необходимо. Това означава, че компютърната система и нейният носител за предаване трябва да функционират правилно. Наличността може да бъде нарушена от надстройки на системата, откази на хардуера и прекъсване на електрозахранването. Наличността може да бъде нарушена и чрез атаки за отказ на услуга.
Без отричане
Когато някой използва вашата самоличност и вашия подпис, за да подпише договор, който той никога не е изпълнил, отказ е когато не можете успешно да отречете в съда, че не сте автор на договора.
В края на договор страната, предлагаща услугата, трябва да е предложила услугата; страната, която плаща, трябва да е извършила плащането.
За да разберете как неприемането е приложимо към цифровата комуникация, първо трябва да знаете значението на ключа и значението на цифровия подпис. Ключът е парче код. Цифровият подпис е алгоритъм, който използва ключ за създаване на някакъв друг код, който се оприличава на писмен подпис на подателя.
При цифровата сигурност отказът се предоставя (не е задължително гарантиран) от цифров подпис. При сигурността на софтуера (или сигурността на информацията) отказът е свързан с целостта на данните. Криптирането на данни (което може би сте чували), комбинирано с цифров подпис, също допринася за поверителността.
Целите за сигурност в информацията са конфиденциалност, почтеност и наличност. Неотхвърлянето обаче е друга функция, която трябва да вземете под внимание, когато се занимавате с информационна сигурност (или софтуерна сигурност).
Отговори на заплахи
На заплахите може да се отговори по един или повече от следните три начина:
- Намаляване / смекчаване: Това е прилагането на предпазни мерки и контрамерки за премахване на уязвимости или блокиране на заплахи.
- Възлагане / прехвърляне: Това поставя тежестта на заплахата върху друг субект, като застрахователна компания или аутсорсинг компания.
- Приемане: Това оценява дали разходите за противодействие надхвърлят възможните разходи за загуба поради заплахата.
Контрол на достъпа
В информационната сигурност, част от която е защитата на софтуера, контролът на достъпа е механизъм, който гарантира, че само отговарящите на условията потребители могат да имат достъп до защитени ресурси в дадена система с техните различни заслужени привилегии.
Текущо решение за информационна сигурност
Настоящият и популярен начин за осигуряване на информационна сигурност е налагането на контрол на достъпа. Това включва мерки като валидиране на въведените данни за приложение, инсталиране на антивирусна програма, използване на защитна стена към локална мрежа и използване на защитата на транспортния слой.
Когато очаквате дата като вход за приложение, но потребителят въведе номер, такъв вход трябва да бъде отхвърлен. Това е проверка на входа.
Антивирусът, инсталиран на вашия компютър, предотвратява вирусите да повреждат файловете на вашия компютър. Това помага за наличността на софтуер.
Могат да се създадат правила за наблюдение и контрол на входящия и изходящия трафик на локална мрежа, за да се защити мрежата. Когато такива правила се прилагат като софтуер, в локалната мрежа това е защитна стена.
Защита на транспортния слой (TLS) е протокол за сигурност, предназначен да улесни поверителността и сигурността на данните при предавания през Интернет. Това включва криптиране на комуникацията между изпращащия хост и приемащия хост.
Извършването на информационна сигурност чрез налагане на контрол на достъпа се нарича Софтуер за сигурност, който е различен от Софтуерната сигурност, както е обяснено по-долу. И двата подхода имат една и съща цел, но са различни.
Правилна софтуерна сигурност
Приложенията, както са написани днес, имат много софтуерни уязвимости, които програмистите осъзнават все повече и повече през последните 20 години. Повечето атаки се извършват чрез възползване от тези уязвимости, отколкото преодоляване или заобикаляне на контрола на достъпа.
Буферът е като масив, но без наложена дължина. Когато програмист пише в буфер, е възможно несъзнателно да презапише над неговата дължина. Тази уязвимост е препълване на буфер.
Днес софтуерът е дефектирал с последствия за сигурността, включително грешки при изпълнението, като препълване на буфери и недостатъци в дизайна, като непостоянно обработване на грешки. Това са уязвимости.
Може би сте чували за компютърни езикови мами, като PHP мами, Perl мами и C ++ мами. Това са уязвимости.
Софтуерната сигурност, за разлика от софтуера за сигурност, преодолява тези уязвимости, като пише защитен код, където уязвимостите ще бъдат предотвратени. Докато приложението се използва, тъй като се откриват повече уязвимости, разработчиците (програмисти) трябва да търсят начини за прекодиране на уязвимостите в защита.
Заплахата, атака за отказ на услуга, не може да бъде спряна чрез контрол на достъпа, тъй като за да извърши извършителят, той вече трябва да има достъп до хоста (сървъра). Тя може да бъде спряна чрез включване на вътрешен софтуер, който следи какво правят потребителите в хоста.
Софтуерната сигурност е здрав дизайн отвътре, който затруднява софтуерните атаки. Софтуерът трябва да бъде самозащитен и в крайна сметка да няма уязвимост. По този начин управлението на защитена мрежа става по-лесно и по-рентабилно.
Софтуерната сигурност проектира защитен код от приложението, докато софтуерът за сигурност налага (проектира) контрол на достъпа. Понякога тези два проблема се припокриват, но често не.
Софтуерната сигурност вече е доста развита, въпреки че все още се разработва, тя не е толкова развита, колкото софтуерът за сигурност. Лошите хакери постигат целите си повече като се възползват от уязвимостите в софтуера, отколкото като преодоляват или заобикалят софтуера за сигурност. Надяваме се, че в бъдеще информационната сигурност ще бъде по-скоро софтуерна, отколкото софтуер за сигурност. Засега трябва да работи както софтуерна сигурност, така и софтуер за сигурност.
Софтуерната сигурност наистина няма да бъде ефективна, ако в края на разработката на софтуера не се извърши стриктно тестване.
Програмистите трябва да бъдат обучени да извършват програмиране на защитен код. Потребителите също трябва да бъдат обучени как да използват приложенията в защита.
В софтуерната сигурност разработчикът трябва да гарантира, че потребителят няма да получи повече привилегии, отколкото заслужава.
Заключение
Софтуерната сигурност е проектирането на приложение с защитно кодиране срещу уязвимости, за да затрудни софтуерните атаки. Софтуерът за сигурност, от друга страна, е производството на софтуер, който налага контрола на достъпа. Софтуерната сигурност все още се разработва, но е по-обещаваща за информационната сигурност, отколкото софтуерът за сигурност. Той вече се използва и нараства популярността си. В бъдеще ще са необходими и двете, но със софтуер се изисква повече сигурност.
