Mühazirə. Boşluqların analizi Boşluqların idarə edilməsinin həyat dövrü. Boşluqlar üzrə məlumat



Yüklə 0,62 Mb.
Pdf görüntüsü
səhifə5/6
tarix05.05.2023
ölçüsü0,62 Mb.
#107820
növüMühazirə
1   2   3   4   5   6
Boşluqların-analizi

Boşluqların skorinqi sistemi  
Boşluqları ümumi qiymətləndirmə sistemi (Common Vulnerability Scoring System, CVSS) – 
IT-boşluqların menecerlər, tətbiqi proqramların və informasiya təhlükəsizliyi vasitələrinin 
istehsalçıları, tədqiqatçılar və istifadəçiləri üçün anlaşıqlı, şəffaf və ümumi qəbul edilmiş 
qiymətləndirmə üsuludur. CVSS qiymətləndirmə sistemi 3 metrikadan ibarətdir:
– baza metrikası (Base Score Metrics);
– zaman metrikası (Temporal Score Metrics);


– mühit metrikası (Environmental Score Metrics).
Hər bir metrika 0-dan 10-a kimi intervalda olan ədəddən (qiymətdən) və vektordan – qiymətin 
hesablanması üçün istifadə edilən kəmiyyətlərin qısa mətn təsvirindən ibarətdir. Baza metrikası 
boşluğun əsas xarakteristikalarını əks etdirir. Zaman metrikası boşluğun zamanla dəyişən 
xarakteristikalarına, mühit metrikası – boşluğun istifadəçinin mühiti üçün unikal 
xarakteristikalarına uyğundur.
CVSS boşluqların əsas xarakteristikalarını tutmağa imkan verir və onların kritikliyinə əsasən 
ədədi qiymət çıxarır. Ədədi qiymətlər kəmiyyət qiymətlərinə çevrilir (təhlükəsiz, aşağı, orta, 
yüksək və kritik). 
Təhlükəsizlik 
Base Score qiyməti 
Təhlükəsiz 
0.0 
Aşağı 
0.1 – 3.9 
Orta 
4.0 – 6.9 
Yüksək 
7.0 – 8.9
Kritik 
9.0 – 10.0 
 
Boşluqlar haqqında məlumatın açıqlanması 
Kompüter sistemlərində boşluqlar layihələndirmə, reallaşdırma və istismar zamanı buraxılan 
səhvlər nəticəsində meydana çıxır. Boşluqların xeyli hissəsini istehsalçı məhsulun yaradılması, 
test edilməsi və müşaiyət edilməsi gedişində aşkarlayır, lakin onların bir hissəsi müstəqil 
tədqiqatçılar tərəfindən aşkarlanır. Boşluğu aşkarlayan şəxs məqsədlərindən, mənəvi 
dəyərlərindən və digər amillərdən asılı olaraq müxtəlif davranış strategiyaları seçə bilər. 
Boşluğun aşkarlanması, düzəlişlərin hazırlanması və boşluğun aradan qaldırılması prosesi 
qarşılıqlı əlaqədə olan üç tərəfin: tədqiqatçının, istehsalçının və istifadəçinin maraqlarında 
münaqişə yaradır. İnformasiya təhlükəsizliyi boşluqları haqqında məlumatların açıqlanması 
metodları informasiya təhlükəsizliyi ictimaiyyəti arasında mübahisələrə səbəb olur.
Keçən əsrin sonlarında istehsalçıların dəstəklədiyi əsas siyasət açıqlamama (ing. non-
disclosure) siyasəti idi, onu çox vaxt «susmaq yolu ilə təhlükəsizlik» (ing. security through 
obscurity) adlandırırdılar. Buna əks olaraq, bəzi mütəxəssislər boşluq tapılan kimi onun haqqında 


məlumatın əlyetər mənbələrdə tam açıqlanmasını (ing. full-disclosure) təkidlə tələb edirlər. Ümid 
edilir ki, bu yanaşma istehsalçıların təhlükəsizlik sahəsində fəallığını artıracaq və zəruri düzəlişlər 
olduqda istifadəçilərə boşluğu müstəqil aradan qaldırmağa imkan verəcək.
Lakin tam açıqlama siyasətinin tənzimlənməyən istifadəsi ciddi ziyan vura bilər, çünki 
bədniyyətlilər boşluqlar haqqında məlumatları, bir qayda olaraq, istifadəçilərdən və 
administratorlardan daha fəal istifadə edirlər. 
Digər bir yanaşma bunu nəzərə alaraq, daha böyük riskə məruz qalan istifadəçilərə boşluq 
haqqında məlumat verilməsini, tam məlumatın isə yalnız müəyyən gecikmə ilə nəşr edilməsini və 
ya heç nəşr edilməməsini məsləhət görür. Gecikmə məlumatlandırılan istifadəçilərə boşluğu 
aradan qaldırmağa imkan verə bilər, lakin məlumat almayanlar baxımından riski artıra bilər. 
Boşluq haqqında məlumatın açıqlanması üzrə bir sıra siyasətlər mövcuddur: Rain Forest 
Puppy (RFPolicy), CERT/CC Vulnerability Disclosure Policy, OIS Guidelines (Organization for 
Internet Safety). RFPolicy siyasətinə əsasən boşluğu aşkarlayan şəxs bu barədə istehsalçıya e-
poçtla müvafiq məlumat göndərir. Məktubda açıqlama tarixi bildirilir və razılaşdırmaq tələb edilir 
ki, istehsalçının düzəliş buraxmağa və ya boşluqdan qorunmaq üçün məsləhətlər verməyə imkanı 
olsun. Istehsalçı, öz növbəsində həmin şəxslə əlaqə saxlamalı və onu problemin aradan 
qaldırılması gedişi haqqında məlumatlandırmalıdır. Əgər beş gün başa çatdıqdan sonra istehsalçı 
susursa, hansısa üsullarla öz istifadəçilərini çaşdırırsa və ya nəzakətsiz dialoqa girirsə, onda haker 
təkrar məktub göndərir. Daha beş iş günü gözlədikdən sonra hakerin boşluq haqqında məlumatı 
öz resursunda və ya digər açıq resurslarda yerləşdirmək hüququ var.
Qeyd etmək lazımdır ki, RFPolicy siyasətinin tələbləri kifayət qədər kəskindir, digər 
siyasətlərdə bu tələblər bir qədər yumşaldılır, məsələn, CERT/CC boşluq haqqında məlumatın 
açıqlanması üçün 45 gün, OIS Guidelines isə 30 gün vaxt qoyur. 

Yüklə 0,62 Mb.

Dostları ilə paylaş:
1   2   3   4   5   6




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©azkurs.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin