Was ist Software -Sicherheit?
Was gesichert ist, sind Informationen und Softwarepakete (Anwendungen und Dokumente). Informationen sind jede Nachricht, die für jeden nützlich ist. "Information" ist ein vage Wort. Der Kontext, in dem es verwendet wird, gibt seine Bedeutung. Es kann Neuigkeiten, Vorlesungen, Tutorial (oder Lektion) oder Lösung bedeuten. Ein Softwarepaket ist normalerweise eine Lösung für Probleme oder verwandte Probleme. In der Vergangenheit wurden alle nicht gesprochenen Informationen auf Papier geschrieben. Heute kann die Software als Untergruppe von Informationen betrachtet werden.
Die Software kann sich in einem Computer befinden oder sich von einem Computer zum anderen transportieren. Dateien, Daten, E -Mails, aufgezeichnete Sprache, aufgezeichnete Videos, Programme und Anwendungen befinden sich auf einem Computer. Während des Wohnsitzes in einem Computer kann es beschädigt werden. Während des Transits kann es immer noch beschädigt werden.
Jedes Gerät mit Prozessor und Speicher ist ein Computer. Also in diesem Artikel ein Taschenrechner, ein Smartphone oder ein Tablet (e).G., iPad) ist ein Computer. Jedes dieser Geräte und deren Netzwerkübertragungsmedien verfügt über Software oder Software im Transit, die geschützt werden sollten.
Privilegien
Einem Benutzer kann das Berechtigung erhalten, eine Datei auf einem Computer auszuführen. Einem Benutzer kann das Berechtigung erhalten, den Code einer Datei in einem Computer zu lesen. Einem Benutzer kann das Berechtigung erhalten, den Code einer Datei in einem Computer zu ändern (zu schreiben). Ein Benutzer kann eins, zwei oder alle drei Berechtigungen erhalten. Es gibt andere Berechtigungen für ein Betriebssystem oder eine Datenbank. Benutzer haben unterschiedliche Beträge oder Berechtigungsstufen in einem System.
Bedrohungen
Grundlagen der Softwarebedrohungen
Um Software zu schützen, müssen Sie seine Bedrohungen kennenlernen. Die Software muss vor nicht autorisierten Personen geschützt werden, die auf ihre Daten zugreifen. Es muss vor rechtswidriger Verwendung geschützt werden (zum Beispiel Schaden zu verursachen). Die Software sollte gegen die Offenlegung gegenüber Rivalen geschützt werden. Die Software sollte nicht beschädigt werden. Die Software sollte nicht unbeabsichtigt gelöscht werden. Die Software sollte nicht gestört werden. Die Software sollte keine Änderung haben, die nicht berechnet ist. Daten (Software) sollten nicht ohne guten Grund geprüft werden, insbesondere von nicht autorisierten Personen. Die Software sollte nicht kopiert werden (Raubkopien).
Eine oder mehrere dieser Grundlagen, was zu einer bestimmten Art von klassischer Bedrohung führt.
Klassen der Softwarebedrohung
Spoofing -Angriff
Dies ist die Situation, in der eine Person (oder Programm) eine andere Person (oder ein Programm) in einer Softwareaktivität erfolgreich repräsentiert. Dies geschieht mit falschen Daten, um einen illegalen Vorteil zu erzielen.
Zurückweisung
Dies ist die Situation, in der jemand etwas falsch macht, und weigert sich, dass er/sie nicht derjenige ist, der es getan hat. Die Person kann die Unterschrift einer anderen Person verwenden, um das Falsche zu tun.
Datenleck
Eine Datenverletzung ist, wenn sichere oder private Informationen absichtlich oder unbeabsichtigt in eine Umgebung freigeben, der nicht vertrauenswürdig ist.
Denial-of-Service-Angriff
In einem Software -Computernetzwerk wird Software in den Computern des Netzwerks ausgeführt. Jeder Benutzer verwendet normalerweise seinen Computer vor ihm und fordert normalerweise Dienste von anderen Computern im Netzwerk an. Ein krimineller Benutzer kann sich dafür entscheiden, einen Server mit überflüssigen Anfragen zu überfluten. Ein Server verfügt über eine begrenzte Anzahl von Anforderungen, die er in einer Dauer bearbeiten kann. In diesem Überschwemmungsschema können legitime Benutzer den Server nicht so oft wie er sein sollten, da der Server damit beschäftigt ist, auf die Anfragen des Verbrechers zu reagieren. Dadurch überlastet der Server den Server vorübergehend oder unendlich störende Dienste des Servers. Im Laufe dessen verlangsamt sich der Host (Server) für legitime Benutzer in Betrieb, während der Täter sein Unfug, der unentdeckt bleibt der Kellner. Den guten Nutzern wird der Service verweigert, während der Angriff stattfindet.
Privilegienkalation
Verschiedene Benutzer eines Betriebssystems oder einer Anwendung haben unterschiedliche Berechtigungen. Einige Benutzer haben also mehr Wert als andere aus dem System. Nutzung eines Software -Fehlers oder einer Konfigurationsaufsicht, um erhöhten Zugriff auf Ressourcen oder nicht autorisierte Informationen zu erhalten.
Die obigen Klassifizierungsschemata können verwendet werden, um ein Computervirus und Würmer zu verursachen.
Ein oder mehrere der oben genannten Klassifizierungssysteme können für Softwareangriffe verwendet werden, darunter: Diebstahl von geistig. Wenn eine Person ein oder mehrere der Programme verwendet, um sie zerstörend zu ändern, ist eine Website, damit die Kunden der Website Vertrauen verlieren, das ist Sabotage. Informationserpressung ist das Diebstahl des Computers eines Unternehmens oder fälschlicherweise geheime Informationen über das Unternehmen. Der gestohlene Computer kann geheime Informationen haben. Dies kann zu Ransomware führen, wobei der Dieb eine Zahlung verlangen würde, als Gegenleistung für die gestohlene Eigenschaft oder die Informationen.
Privatsphäre
Wenn etwas für Sie sensibel oder von Natur aus besonders ist, dann ist dieses Ding für Sie privat. Dies gilt auch für eine Gruppe von Menschen. Eine Person muss sich selektiv ausdrücken. Um eine solche Selektivität zu erreichen, muss die Person sich selbst planen oder Informationen über sich selbst planen. Das ist Privatsphäre. Eine Gruppe von Menschen muss sich selektiv ausdrücken. Um eine solche Selektivität zu erreichen, muss die Gruppe sich selbst planen oder Informationen über sich selbst planen. Das ist Privatsphäre. Eine Person muss sich selektiv schützen/sich selbst schützen. Um einen solchen selektiven Schutz zu erreichen, muss sich die Person selbst/sich selbst schützen oder Informationen über sich selbst auf selektive Weise schützen. das heißt, Privatsphäre. Eine Gruppe von Menschen muss sich selektiv schützen. Um einen solchen selektiven Schutz zu erreichen, muss sich die Gruppe selbst schützen oder Informationen über sich selbst auf selektive Weise schützen. das heißt, Privatsphäre.
Identifizierung und Authentifizierung
Wenn Sie in ein fremdes Land reisen, erreichen Sie einen Hafen dieses Landes. Im Hafen wird ein Polizist Sie bitten, sich zu identifizieren. Sie werden Ihren Reisepass präsentieren. Der Polizeibeamte kennt Ihr Alter (ab dem Geburtsdatum), Ihr Geschlecht und Ihren Beruf aus dem Reisepass und er wird Sie (Ihr Gesicht) ansehen. Das ist Identifikation. Der Polizist wird Ihr echtes Gesicht und das Foto im Pass vergleichen. Er schätzt Ihr Alter auch mit dem, was im Pass ist, um zu wissen, ob Sie es sind.
Wenn Sie sich ansehen und Ihr Alter, Ihr Geschlecht und Ihr Beruf mit Ihnen in Verbindung bringen, ist die Identifizierung. Überprüfen. Die Identifizierung assoziiert eine Person oder etwas mit bestimmten Attributen. Es ist auch die Identifizierung, eine Identität anzuzeigen. Die Authentifizierung ist der Akt des Beweisens, dass die Identität (Identifizierung) wahr ist. Mit anderen Worten, die Authentifizierung ist der Gesetz, eine Behauptung zu beweisen.
Bei der Computing ist die häufigste Authentifizierungsmethode die Verwendung eines Kennworts. Ein Server hat zum Beispiel viele Benutzer. Bei Login geben Sie Ihre Identität an (identifizieren Sie sich) mit Ihrem Benutzernamen. Sie beweisen Ihre Identität mit Ihrem Passwort. Ihr Passwort soll nur von Ihnen bekannt sein. Die Authentifizierung kann weiter gehen; Indem Sie Ihnen eine Frage stellen, wie „in welcher Stadt oder in der Stadt Sie geboren wurden?”
Sicherheitsziele
Die Sicherheitsziele in der Information sind Vertraulichkeit, Integrität und Verfügbarkeit. Diese drei Merkmale werden als CIA Triade: C für die Vertraulichkeit, i für Integrität und für die Verfügbarkeit bezeichnet.
Vertraulichkeit
Die Informationen dürfen nicht autorisierten Personen oder nicht autorisierten Unternehmen oder nicht autorisierten Prozessen weitergegeben werden. Dies ist die Vertraulichkeit der Informationssicherheit in Bezug auf Informationssicherheit (sowie Software -Sicherheit). Das Diebstahl von Passwörtern oder das Senden sensibler E -Mails an eine falsche Person ist die Vertraulichkeit, die gefährdet ist. Die Vertraulichkeit ist ein Bestandteil der Privatsphäre, der Informationen vor nicht autorisierten Personen oder nicht autorisierten Unternehmen oder nicht autorisierten Prozessen schützt.
Integrität
Informationen oder Daten haben einen Lebenszyklus. Mit anderen Worten, Informationen oder Daten haben eine Startzeit und Endzeit. In einigen Fällen müssen nach dem Ende des Lebenszyklus die Informationen (oder Daten) (legal) gelöscht werden. Die Integrität besteht aus zwei Merkmalen, die: 1) die Wartung und Sicherung der Genauigkeit der Informationen (oder Daten) über den gesamten Lebenszyklus und 2) die Vollständigkeit der Informationen (oder Daten) über den gesamten Lebenszyklus. Informationen (oder Daten) dürfen also nicht auf nicht autorisierte oder unentdeckte Weise reduziert oder geändert werden.
Verfügbarkeit
Damit ein Computersystem seinen Zweck erfüllen kann, müssen Informationen (oder Daten) bei Bedarf verfügbar sein. Dies bedeutet, dass das Computersystem und seine Übertragungsmedien korrekt funktionieren müssen. Die Verfügbarkeit kann durch System -Upgrades, Hardwarefehler und Stromausfälle beeinträchtigt werden. Die Verfügbarkeit kann auch durch Denial-of-Service-Angriffe beeinträchtigt werden.
Nicht-Repudiation
Wenn jemand Ihre Identität und Ihre Unterschrift verwendet, um einen Vertrag zu unterzeichnen, den er nie erfüllt hat.
Am Ende eines Vertrags muss die Partei, die den Dienst anbietet, den Service angeboten haben. Die Partei, die bezahlt hat, muss die Zahlung geleistet haben.
Um zu verstehen, wie die Nicht-Repudiation für die digitale Kommunikation anwendbar ist, müssen Sie zunächst die Bedeutung des Schlüssels und die Bedeutung der digitalen Signatur kennenlernen. Ein Schlüssel ist ein Stück Code. Eine digitale Signatur ist ein Algorithmus, der einen Schlüssel zum Erstellen eines anderen Codes verwendet, der mit einer schriftlichen Signatur des Absenders verglichen wird.
In der digitalen Sicherheit wird eine Nicht-Repudiation (nicht unbedingt garantiert) durch eine digitale Signatur bereitgestellt. In der Software-Sicherheit (oder Informationssicherheit) hängt die Nicht-Repudiation mit der Datenintegrität aus. Die Datenverschlüsselung (die Sie vielleicht gehört haben) in Kombination mit digitaler Signatur trägt auch zur Vertraulichkeit bei.
Die Sicherheitsziele in der Information sind Vertraulichkeit, Integrität und Verfügbarkeit. Nicht-Repudiation ist jedoch eine weitere Funktion, die Sie bei der Behandlung von Informationssicherheit (oder Software-Sicherheit) berücksichtigen müssen.
Antworten auf Bedrohungen
Bedrohungen können auf eine oder mehrere der folgenden drei Arten beantwortet werden:
- Reduktion/Minderung: Dies ist die Umsetzung von Schutzmaßnahmen und Gegenmaßnahmen, um Schwachstellen zu beseitigen oder Bedrohungen zu blockieren.
- Zuweisung/Übertragung: Dies legt die Last der Bedrohung auf ein anderes Unternehmen wie eine Versicherungsgesellschaft oder ein Outsourcing -Unternehmen.
- Akzeptanz: Dies bewertet, ob die Kosten der Gegenmaßnahme die möglichen Verlustkosten aufgrund der Bedrohung überwiegt.
Zugangskontrolle
In der Informationssicherheit, in der Software -Sicherheit ein Teil ist, ist die Zugriffskontrolle ein Mechanismus, der sicherstellt.
Aktuelle Lösung für die Informationssicherheit
Der aktuelle und beliebte Weg, um Informationssicherheit zu betreiben, besteht darin, die Zugangskontrolle durchzusetzen. Dies umfasst Maßnahmen wie die Validierung der Eingaben für eine Anwendung, die Installation von Antiviren, die Verwendung einer Firewall in ein lokales Netzwerk und die Verwendung der Transportschichtsicherheit.
Wenn Sie ein Datum als Eingabe für eine Anwendung erwarten, der Benutzer jedoch eine Nummer eingibt, muss eine solche Eingabe abgelehnt werden. Das ist Eingabevalidierung.
Ein in Ihrem Computer installierter Antivirus verhindert, dass Viren Dateien auf Ihrem Computer verfälschen. Dies hilft bei der Verfügbarkeit von Software.
Regeln können zur Überwachung und Kontrolle des eingehenden und ausgehenden Verkehrs eines lokalen Netzwerks erfolgt, um das Netzwerk zu schützen. Wenn solche Regeln als Software im lokalen Netzwerk implementiert werden, ist dies eine Firewall.
Transport Layer Security (TLS) ist ein Sicherheitsprotokoll, das die Datenschutz- und Datensicherheit für Übertragungen über das Internet erleichtert. Dies beinhaltet die Verschlüsselung der Kommunikation zwischen dem Senden des Hosts und dem Empfangshost.
Durch die Durchsetzung der Zugriffskontrolle wird die Sicherheit der Informationssicherheit durchgesetzt, die sich von der Software -Sicherheit unterscheidet, wie unten erläutert. Beide Ansätze haben das gleiche Ziel, aber sie sind unterschiedlich.
Software -Sicherheit ordnungsgemäß
Bewerbungen haben, wie sie heute geschrieben sind. Die meisten Angriffe erfolgen durch die Nutzung dieser Schwachstellen, als die Zugangskontrolle zu überwinden oder zu arbeiten.
Ein Puffer ist wie ein Array, jedoch ohne eine auferlegte Länge. Wenn ein Programmierer in einen Puffer schreibt, ist es möglich, unbewusst über seine Länge hinaus zu überschreiben. Diese Sicherheitsanfälligkeit ist ein Pufferüberlauf.
Die heutige Software hat heute mit Sicherheitsauswirkungen aufgenommen, einschließlich Implementierungsfehler wie Pufferüberläufen und Designfehler wie inkonsistenter Fehlerbehandlung. Dies sind Schwachstellen.
Möglicherweise haben Sie von Computersprach -Cheats wie PHP -Cheats, Perl -Cheats und C ++ - Cheats gehört. Dies sind Schwachstellen.
Die Software -Sicherheit im Gegensatz zu Sicherheitssoftware besteht darin. Während die Anwendung verwendet wird, sollten Entwickler (Programmierer) nach Wegen suchen, um die Schwachstellen defensiv neu zu beschreiben.
Die Bedrohung, die Denial-of-Service-Angriff, kann nicht von der Zugriffskontrolle gestoppt werden, da der Täter, dass er dies tut, bereits Zugriff auf den Host (Server) haben muss. Es kann gestoppt werden, indem eine interne Software einbezogen wird, die das überwacht, was Benutzer im Host tun.
Software Security ist ein robustes Design von innen, das Software -Angriffe schwierig macht. Die Software sollte sich selbst schützen und unter der Grenze keine Anfälligkeit haben. Auf diese Weise wird das Ausführen eines sicheren Netzwerks einfacher und kostengünstiger.
Software Security entwirft Defensivcode aus der Anwendung, während die Sicherheitssoftware die Zugangskontrolle durchsetzen (entwerfen). Manchmal überschneiden sich diese beiden Probleme, aber oft nicht.
Die Software -Sicherheit ist bereits sehr entwickelt, obwohl sie noch entwickelt wird, ist sie nicht so entwickelt wie Sicherheitssoftware. Schlechte Hacker erreichen ihre Ziele mehr, indem sie Schwachstellen in der Software nutzen als durch Überwindung oder Arbeiten von Sicherheitssoftware. Es ist zu hoffen, dass die Informationssicherheit in Zukunft mehr Software -Sicherheit als Sicherheitssoftware sein wird. Im Moment müssen sowohl Software -Sicherheits- als auch Sicherheitssoftware für Software stattfinden.
Die Software -Sicherheit wird nicht wirklich effektiv sein, wenn am Ende der Softwareentwicklung strenge Tests nicht durchgeführt werden.
Programmierer müssen bei der Durchführung von Defensivcode -Programmierungen unterrichtet werden. Benutzer müssen auch darüber informiert werden, wie Anwendungen defensiv verwendet werden können.
In der Software -Sicherheit muss der Entwickler sicherstellen, dass der Benutzer nicht mehr Privilegien erhält, als er verdient.
Abschluss
Software Security ist das Entwerfen von Anwendungen mit defensiver Codierung gegen Schwachstellen, um Software -Angriffe schwierig zu machen. Sicherheitssoftware hingegen ist die Produktion von Software, die die Zugriffskontrolle erzwingt. Die Software -Sicherheit wird weiterhin entwickelt, ist jedoch vielversprechender für die Informationssicherheit als für Sicherheitssoftware. Es wird bereits verwendet und wird immer beliebter. In Zukunft werden beide benötigt, aber mit Software benötigte Sicherheit mehr.