Phenquestions
Yang dijamin adalah pakej maklumat dan perisian (aplikasi dan dokumen). Maklumat adalah sebarang mesej yang berguna bagi sesiapa sahaja. "Maklumat" adalah perkataan yang tidak jelas. Konteks di mana ia digunakan memberi maksudnya. Ini boleh bererti berita, kuliah, tutorial (atau pelajaran), atau penyelesaian. Pakej perisian biasanya merupakan penyelesaian untuk beberapa masalah atau masalah yang berkaitan. Pada masa lalu, semua maklumat yang tidak dituturkan ditulis di atas kertas. Hari ini, perisian boleh dianggap sebagai subset maklumat.
Perisian boleh berada di komputer, atau dalam perjalanan dari satu komputer ke komputer lain. File, data, e-mel, suara yang direkam, video yang direkam, program, dan aplikasi berada di komputer. Semasa berada di komputer, komputer boleh rosak. Semasa dalam perjalanan, ia masih boleh rosak.
Mana-mana peranti dengan pemproses dan memori adalah komputer. Jadi, dalam artikel ini, kalkulator, telefon pintar, atau tablet (e.g., iPad) adalah komputer. Setiap peranti ini dan media transmisi rangkaiannya mempunyai perisian, atau perangkat lunak dalam perjalanan yang harus dilindungi.
Keistimewaan
Seorang pengguna mungkin diberi hak istimewa untuk melaksanakan fail di komputer. Pengguna mungkin diberi hak istimewa untuk membaca kod fail di komputer. Seorang pengguna mungkin diberi hak istimewa untuk mengubah (menulis) kod fail dalam komputer. Pengguna boleh diberikan satu, dua, atau ketiga-tiga hak istimewa ini. Terdapat keistimewaan lain untuk sistem operasi atau pangkalan data. Pengguna mempunyai jumlah atau tahap keistimewaan yang berbeza dalam sistem.
Ancaman
Asas Ancaman Perisian
Untuk melindungi perisian, anda harus mengetahui ancamannya. Perisian ini harus dilindungi daripada orang yang tidak dibenarkan mengakses datanya. Ia mesti dilindungi daripada penggunaan yang tidak sah (misalnya, untuk menyebabkan bahaya). Perisian harus dilindungi daripada pendedahan kepada pesaing. Perisian tidak boleh rosak. Perisian tidak boleh dihapus secara tidak sengaja. Perisian tidak boleh terganggu. Perisian tidak boleh melakukan pengubahsuaian yang tidak diperlukan. Data (perisian) tidak boleh diperiksa tanpa alasan yang baik, terutama oleh orang yang tidak sah. Perisian tidak boleh disalin (cetak rompak).
Satu atau lebih asas ini, menghasilkan jenis ancaman klasik.
Kelas Ancaman Perisian
Serangan Spoofing
Ini adalah keadaan di mana seseorang (atau program) berjaya mewakili orang lain (atau program) dalam beberapa aktiviti perisian. Ini dilakukan dengan menggunakan data palsu untuk mendapatkan kelebihan yang tidak sah.
Penolakan
Ini adalah keadaan di mana seseorang melakukan sesuatu yang salah, dan menolak bahawa dia bukan orang yang melakukannya. Orang itu boleh menggunakan tandatangan orang lain untuk melakukan perkara yang salah.
Pelanggaran Data
Pelanggaran data adalah apabila maklumat selamat atau peribadi dilepaskan dengan sengaja atau tidak sengaja ke persekitaran yang tidak dipercayai.
Serangan Penolakan Perkhidmatan
Rangkaian komputer perisian mempunyai perisian yang berjalan di komputer rangkaian. Setiap pengguna biasanya menggunakan komputer di hadapannya dan biasanya meminta perkhidmatan dari komputer lain dalam rangkaian. Pengguna jenayah boleh memutuskan untuk membanjiri pelayan dengan permintaan berlebihan. Pelayan mempunyai sejumlah permintaan yang dapat ditangani dalam jangka masa yang lama. Dalam skema banjir ini, pengguna yang sah tidak dapat menggunakan pelayan sesering yang seharusnya, kerana pelayan sibuk menjawab permintaan penjenayah. Ini membebani pelayan, mengganggu perkhidmatan pelayan secara sementara atau tanpa had. Dalam proses ini, host (pelayan) melambatkan operasi untuk pengguna yang sah, sementara pelaku melakukan kesalahannya, yang tidak dapat dikesan, kerana pengguna yang sah yang sedang menunggu, menunggu perkhidmatan, tidak dapat mengetahui apa yang berlaku di pelayan. Pengguna yang baik ditolak perkhidmatan, sementara serangan sedang berlangsung.
Peningkatan Keistimewaan
Pengguna sistem operasi atau aplikasi yang berbeza mempunyai keistimewaan yang berbeza. Oleh itu, sebilangan pengguna memperoleh nilai lebih daripada yang lain, dari sistem. Mengeksploitasi bug perisian atau pengawasan konfigurasi untuk mendapatkan akses yang tinggi ke sumber atau maklumat yang tidak sah adalah Privilege Escalation.
Skema klasifikasi di atas boleh digunakan untuk menyebabkan virus dan cacing komputer.
Satu atau lebih skema klasifikasi di atas dapat digunakan untuk serangan perisian, yang meliputi: pencurian harta intelek, kerosakan pangkalan data, pencurian identiti, sabotaj, dan pemerasan maklumat. Sekiranya seseorang menggunakan satu atau lebih skema untuk mengubahsuai secara merosakkan, laman web sehingga pelanggan laman web tersebut kehilangan kepercayaan, itu adalah sabotaj. Pemerasan maklumat adalah mencuri komputer syarikat atau mendapatkan maklumat rahsia mengenai syarikat itu secara salah. Komputer yang dicuri mungkin mempunyai maklumat rahsia. Ini boleh menyebabkan ransomware, di mana pencuri akan meminta pembayaran, sebagai ganti harta atau maklumat yang dicuri.
Privasi
Apabila sesuatu sensitif atau sememangnya istimewa bagi anda, maka perkara itu adalah peribadi bagi anda. Ini juga berlaku untuk sekumpulan orang. Seseorang individu perlu menyatakan dirinya secara terpilih. Untuk mencapai selektiviti tersebut, individu tersebut harus menjadwalkan dirinya sendiri atau menjadualkan maklumat mengenai dirinya sendiri; itu adalah privasi. Sekumpulan orang perlu menyatakan diri secara terpilih. Untuk mencapai selektiviti tersebut, kumpulan harus menjadualkan diri atau menjadualkan maklumat mengenai diri mereka; itu adalah privasi. Seorang individu perlu melindungi dirinya secara terpilih. Untuk mendapatkan perlindungan selektif tersebut, individu tersebut harus melindungi dirinya sendiri atau melindungi maklumat mengenai dirinya secara selektif; iaitu privasi. Sekumpulan orang perlu melindungi diri mereka secara terpilih. Untuk mendapatkan perlindungan selektif seperti itu, kumpulan harus melindungi diri mereka sendiri atau melindungi maklumat mengenai diri mereka secara selektif; iaitu privasi.
Pengenalan dan Pengesahan
Apabila anda melancong ke negara asing, anda akan sampai ke pelabuhan negara itu. Di pelabuhan, pegawai polis akan meminta anda mengenal pasti diri anda. Anda akan menunjukkan pasport anda. Pegawai polis akan mengetahui usia anda (dari tarikh lahir), jantina anda, dan profesion anda dari pasport, dan dia akan melihat anda (wajah anda); itu adalah pengenalan. Pegawai polis akan membandingkan wajah sebenar anda dan foto di dalam pasport. Dia juga akan mengira usia anda dengan apa yang ada di pasport untuk mengetahui apakah itu anda.
Melihat anda dan mengaitkan usia, jantina, dan profesion anda dengan anda adalah pengenalan diri. Mengesahkan sama ada wajah dan foto sebenar anda sama, dan mengira sama ada persembahan anda sesuai dengan usia anda, adalah pengesahan. Pengenalan adalah mengaitkan seseorang atau sesuatu dengan sifat-sifat tertentu. Menunjukkan identiti juga pengenalan diri. Pengesahan adalah tindakan membuktikan bahawa identiti (pengenalan diri) adalah benar. Dengan kata lain, pengesahan adalah tindakan membuktikan penegasan.
Dalam pengkomputeran, cara pengesahan yang paling biasa adalah penggunaan kata laluan. Pelayan, misalnya, mempunyai banyak pengguna. Semasa log masuk, anda menunjukkan identiti anda (kenali diri anda) dengan nama pengguna anda. Anda membuktikan identiti anda dengan kata laluan anda. Kata laluan anda sepatutnya diketahui oleh anda sahaja. Pengesahan dapat melangkah lebih jauh; dengan mengemukakan soalan kepada anda, seperti “Di kota atau kota mana anda dilahirkan?"
Matlamat Keselamatan
Tujuan keselamatan dalam maklumat adalah Kerahsiaan, Integriti, dan Ketersediaan. Ketiga ciri ini dikenali sebagai CIA triad: C untuk Kerahsiaan, I untuk Integriti, dan A untuk Ketersediaan.
Kerahsiaan
Maklumat tersebut tidak boleh didedahkan kepada individu yang tidak dibenarkan, atau entiti yang tidak sah atau proses yang tidak dibenarkan; ini adalah kerahsiaan maklumat dalam keselamatan maklumat (serta keselamatan perisian). Pencurian kata laluan atau pengiriman e-mel sensitif kepada individu yang salah adalah kerahsiaan sedang dikompromikan. Kerahsiaan adalah komponen privasi yang melindungi maklumat daripada individu yang tidak dibenarkan, atau entiti yang tidak sah atau proses yang tidak dibenarkan.
Kesepaduan
Maklumat atau data mempunyai kitaran hidup. Dengan kata lain, maklumat atau data mempunyai masa bermula dan waktu berakhir. Dalam beberapa kes, setelah akhir kitaran hidup, maklumat (atau data) mesti dipadamkan (secara sah). Integriti terdiri daripada dua ciri, yaitu: 1) penyelenggaraan dan jaminan ketepatan maklumat (atau data) sepanjang keseluruhan siklus hidup, dan 2) kelengkapan informasi (atau data) sepanjang keseluruhan siklus hidup. Oleh itu, maklumat (atau data) tidak boleh dikurangkan atau diubah dengan cara yang tidak dibenarkan atau tidak dapat dikesan.
Ketersediaan
Agar sistem komputer dapat memenuhi tujuannya, maklumat (atau data) mesti tersedia apabila diperlukan. Ini bermaksud bahawa sistem komputer, dan media penghantarannya, mesti berfungsi dengan baik. Ketersediaan dapat dikompromikan oleh peningkatan sistem, kegagalan perkakasan, dan gangguan bekalan elektrik. Ketersediaan juga dapat dikompromikan oleh serangan penolakan perkhidmatan.
Tidak Menolak
Apabila seseorang menggunakan identiti dan tandatangan anda untuk menandatangani kontrak yang tidak pernah ditunaikannya, penolakan adalah apabila anda tidak dapat berjaya menolak di mahkamah bahawa anda tidak mengarang kontrak tersebut.
Pada akhir kontrak, pihak yang menawarkan perkhidmatan mesti menawarkan perkhidmatan tersebut; pihak yang membayar mesti telah membuat pembayaran.
Untuk memahami bagaimana penolakan tidak berlaku untuk komunikasi digital, anda harus terlebih dahulu mengetahui makna kunci dan makna tandatangan digital. Kunci adalah sekeping kod. Tandatangan digital adalah algoritma yang menggunakan kunci untuk menghasilkan beberapa kod lain yang disamakan dengan tandatangan bertulis pengirim.
Dalam keselamatan digital, penolakan tidak disediakan (tidak semestinya dijamin) oleh tandatangan digital. Dalam keselamatan perisian (atau keselamatan maklumat), penolakan tidak berkaitan dengan integriti data. Penyulitan data (yang mungkin pernah anda dengar) digabungkan dengan tandatangan digital turut menyumbang kepada kerahsiaan.
Tujuan keselamatan dalam maklumat adalah Kerahsiaan, Integriti, dan Ketersediaan. Walau bagaimanapun, penolakan adalah ciri lain yang harus anda pertimbangkan ketika berurusan dengan keselamatan maklumat (atau keselamatan perisian).
Tindak balas terhadap ancaman
Ancaman dapat ditanggapi, dengan satu atau lebih daripada tiga cara berikut:
- Pengurangan / pengurangan: Ini adalah pelaksanaan perlindungan dan tindakan pencegahan untuk menghilangkan kerentanan atau menyekat ancaman.
- Menugaskan / Memindahkan: Ini meletakkan beban ancaman kepada entiti lain, seperti syarikat insurans atau syarikat penyumberan luar.
- Penerimaan: Ini menilai sama ada kos penanggulangan melebihi kos kerugian yang mungkin disebabkan oleh ancaman.
Kawalan Akses
Dalam keselamatan maklumat yang mana bahagian keselamatan perisian, kawalan akses adalah mekanisme yang memastikan bahawa hanya pengguna yang memenuhi syarat yang dapat mengakses sumber yang dilindungi dalam sistem tertentu, dengan keistimewaan mereka yang layak.
Penyelesaian Semasa untuk Keselamatan Maklumat
Cara terkini dan popular untuk melakukan keselamatan maklumat adalah dengan menegakkan kawalan akses. Ini termasuk langkah-langkah seperti mengesahkan input ke aplikasi, memasang antivirus, menggunakan firewall ke jaringan area lokal, dan menggunakan Transport Layer Security.
Apabila anda mengharapkan tarikh sebagai input ke aplikasi, tetapi pengguna memasukkan nombor, input seperti itu harus ditolak. Itu adalah pengesahan input.
Antivirus yang dipasang di komputer anda mencegah virus merosakkan fail di komputer anda. Ini membantu dalam ketersediaan perisian.
Peraturan dapat dibuat untuk memantau dan mengendalikan lalu lintas masuk dan keluar dari jaringan kawasan setempat, untuk melindungi jaringan. Apabila peraturan tersebut dilaksanakan sebagai perisian, dalam jaringan kawasan setempat, itu adalah firewall.
Transport Layer Security (TLS) adalah protokol keselamatan yang dirancang untuk memudahkan privasi dan keselamatan data untuk penghantaran melalui Internet. Ini melibatkan menyulitkan komunikasi antara menghantar host dan menerima host.
Melakukan keselamatan maklumat dengan menegakkan kawalan akses disebut Security Software, yang berbeza dari Software Security, seperti yang dijelaskan di bawah. Kedua-dua pendekatan mempunyai tujuan yang sama, tetapi mereka berbeza.
Keselamatan Perisian Sesuai
Aplikasi, seperti yang ditulis hari ini, mempunyai banyak kelemahan perisian yang telah disedari oleh pengaturcara selama 20 tahun yang lalu. Sebilangan besar serangan dibuat dengan memanfaatkan kelemahan ini daripada mengatasi atau mengatasi kawalan akses.
Penyangga seperti array tetapi tanpa panjang yang dikenakan. Apabila pengaturcara menulis ke penyangga, kemungkinan untuk menimpa secara tidak sedar melebihi panjangnya. Kerentanan ini adalah buffer overflow.
Perisian hari ini telah cacat dengan kesan keselamatan - termasuk bug pelaksanaan seperti buffer overflow dan reka bentuk kekurangan seperti pengendalian ralat yang tidak konsisten. Ini adalah kelemahan.
Anda mungkin pernah mendengar mengenai cheat bahasa komputer seperti cheat PHP, cheat Perl, dan cheat C ++. Ini adalah kelemahan.
Keselamatan perisian, berbanding perisian keselamatan, mengatasi kerentanan ini dengan menulis kod pertahanan di mana kerentanan akan dicegah. Sementara aplikasi sedang digunakan, karena semakin banyak kerentanan ditemukan, pengembang (pengaturcara) harus mencari cara untuk mengekodkan kembali kerentanan, secara defensif.
Ancaman, serangan penolakan perkhidmatan, tidak dapat dihentikan oleh kawalan akses, kerana bagi pelaku untuk melakukannya, dia pasti sudah memiliki akses ke host (pelayan). Ia boleh dihentikan dengan memasukkan beberapa perisian dalaman yang memantau apa yang dilakukan pengguna di host.
Keselamatan perisian adalah reka bentuk yang kuat dari dalam, yang menyukarkan serangan perisian. Perisian ini harus melindungi diri dan, pada batasnya, tidak mempunyai kerentanan. Dengan cara ini, menjalankan rangkaian selamat menjadi lebih mudah dan menjimatkan kos.
Keselamatan perisian merancang kod pertahanan dari dalam aplikasi sementara perisian keselamatan menegakkan (merancang) kawalan akses. Kadang-kadang kedua-dua masalah ini bertindih, tetapi selalunya, kedua-duanya tidak berlaku.
Keselamatan perisian sudah cukup maju, walaupun masih dikembangkan, ia tidak dikembangkan seperti perisian keselamatan. Penggodam yang buruk mencapai tujuan mereka lebih banyak dengan memanfaatkan kelemahan dalam perisian daripada mengatasi atau mengatasi perisian keselamatan. Diharapkan pada masa akan datang, keselamatan maklumat lebih kepada keselamatan perisian daripada perisian keselamatan. Buat masa ini, kedua-dua perisian keselamatan dan keselamatan mesti dijalankan.
Keselamatan perisian tidak akan benar-benar berkesan sekiranya ujian yang ketat tidak dilakukan pada akhir pengembangan perisian.
Pengaturcara harus dididik dalam menjalankan pengaturcaraan kod pertahanan. Pengguna juga harus dididik mengenai cara menggunakan aplikasi secara bertahan.
Dalam keselamatan perisian, pembangun harus memastikan bahawa pengguna tidak mendapat lebih banyak keistimewaan daripada yang dia layak.
Kesimpulannya
Keselamatan perisian adalah merancang aplikasi dengan pengekodan defensif terhadap kerentanan untuk menyukarkan serangan perisian. Perisian keselamatan, sebaliknya, adalah pengeluaran perisian yang menegakkan kawalan akses. Keselamatan perisian masih dikembangkan, tetapi lebih menjanjikan keselamatan maklumat daripada perisian keselamatan. Sudah digunakan, dan semakin popular. Di masa depan, kedua-duanya akan diperlukan, tetapi dengan perisian, keselamatan lebih diperlukan.
