Texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi muhammad al-xorazmiy nomidagi toshkent
Dasturiy vosita xavfsizligining fundamental tamoyillari
Yüklə 5,01 Kb. Pdf görüntüsü
|
|
7.2. Dasturiy vosita xavfsizligining fundamental tamoyillari Dasturiy ta’minot yaratilganida va foydalanilganida qator tamoyillarga amal qilish talab qilinadi. Quyida OWASP tashkiloti tomonidan taqdim etilgan tamoyillar keltirilgan: Hujumga uchrashi mumkin bo‘lgan soha maydonini minimallashtirish. Dasturiy ta’minotga qo‘shilgan har bir xususiyat dasturga ma’lum miqdordagi xavf darajasini ham qo‘shadi. Dasturni xavfsiz amalga oshirishning maqsadi – hujumga uchrashi mumkin bo‘lgan sohani toraytirish orqali umumiy dasturdagi xavfni kamaytirish. Masalan, web saytlarda onlayn yordamini amalga oshirish uchun qidirish funksiyasi mavjud. Biroq, ushbu imkoniyat web saytga SQL – inyeksiya hujumi bo‘lishi ehtimolini keltirib chiqarishi mumkin. Qidiruv imkoniyati autentifikatsiyadan o‘tgan foydalanuvchilar uchun bo‘lsa, hujum bo‘lishi ehtimoli kamayadi. Agar qidiruv ma’lumotlari markazlashgan tarzda tekshirilsa, ushbu hujum ehtimoli yanada kamayadi. Xavfsiz standart sozlanmalarini o‘rnatish. Amalda, aksariyat dasturiy ta’minotlarda va operatsion tizimlarda ko‘plab xavfsizlik sozlanmalari standart tartibda o‘rnatilgan bo‘ladi. Biroq, bu foydalanuvchilar tomonidan yaxshi qabul qilinmaydi va shuning uchun, aksariyat hollarda, ushbu sozlanmalarni o‘chirib qo‘yish amalga oshiriladi. Masalan, operatsion tizimlarda parollarni eskirish vaqti 185 standart holda o‘rnatilgan bo‘lsada, aksariyat foydalanuvchilar tomonidan ushbu sozlanma o‘chirib qo‘yiladi. Minimal imtiyozlar tamoyili. Axborot xavfsizligi, informatika, dasturlash va boshqa sohalarda keng qo‘llaniluvchi minimal imtiyozlar tamoyili (Principle of least privilege) – hisoblash muhitidagi u yoki bu abstraksiya darajasida resurslarga murojaatni tashkil qilish. Bunga ko‘ra har bir modul o‘z vazifasini to‘laqonli bajarishi uchun zarur bo‘lgan resurs yoki axborotdan minimal darajada foydalanish talab etiladi. Bu tamoyil foydalanuvchi yoki dasturchiga faqat o‘z vazifasi uchun zarur bo‘lgan imtiyozlarga ega bo‘lishi kerakligini anglatadi. Masalan, vaqt o‘tkazish uchun ishlab chiqilgan turli mobil o‘yin dasturlari SMS xabarni o‘qish yoki qo‘ng‘iroq qiluvchilar ro‘yxatini bilish imkoniyatiga ega bo‘lishi shart emas. Masalan, dasturlash tillarida (Java dasturlash tilida keltirilgan) obyektlardan foydanishni cheklash uchun turli kalit so‘zlardan foydalaniladi (7.2-jadval). 7.2-jadval Yüklə 5,01 Kb. Dostları ilə paylaş:
|