Respublikasi axborot texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi muhammad al-xorazmiy nomidagi toshkent axborot


 Dasturiy vosita xavfsizligining fundamental prinsiplari



Download 4,35 Mb.
Pdf ko'rish
bet113/203
Sana05.01.2022
Hajmi4,35 Mb.
#317892
1   ...   109   110   111   112   113   114   115   116   ...   203
Bog'liq
Kiber

6.2. Dasturiy vosita xavfsizligining fundamental prinsiplari 
Dasturiy  ta’minotni  ishlab  chiqqanda  va  foydalanganda  qator  prinsiplarga 
amal  qilish  talab  qilinadi.  Quyida  OWASP  tashkiloti  tomonidan  taqdim  qilingan 
prinsiplar keltirilgan: 
Hujumga  uchrashi  mumkin  soha  maydonini  minimallashtirish. 
Dasturiy 
ta’minotga qo’shilgan har bir xususiyat umumiy holda dasturga ma’lum miqdordagi 
xavf darajasini qo’shadi. Dasturni xavfsiz amalga oshirishning maqsadi bu – hujum 
bo’lishi  mumkin  bo’lgan  sohani  kamaytirish  orqali  umumiy  dasturdagi  xavfni 
kamaytirishdir.  Masalan,  veb  saytlarda  onlayn  yordamni  amalga  oshirish  uchun 
qidirish  funksiyasi  mavjud.  Biroq,  ushbu  imkoniyat  veb  saytga  SQL  –  ineksiya 
hujumi  bo’lishi  ehtimolini  keltirib  chiqarishi  mumkin.  Agar  qidiruv  imkoniyati 
autentifikasiyadan  o’tgan  foydalanuvchilar  uchun  bo’lsa,  u  holda  hujum  bo’lishi 
ehtimoli kamayadi. Agar qidiruv ma’lumotlari markazlashgan holatda tekshirilsa, u 
holda ushbu imkoniyat yanada kamayadi. 


204 
 
Xavfsiz  standart  sozlanmalarni  o’rnatish. 
Amalda  aksariyat  dasturiy 
ta’minotlarda  va  operasion  tizimlarda  ko’plab  xavfsizlik  sozlanmalari  standart 
tartibda  o’rnatilgan  bo’ladi.  Biroq,  bu  holat  foydalanuvchilar  tomonidan  yaxshi 
qabul qilinmaydi va shuning uchun, aksariyat hollarda ushbu sozlanmalarni o’chirib 
qo’yish  amalga  oshiriladi.  Masalan,  operasion  tizimlarda  parollarni  eskirish  vaqti 
standart  holda  o’rnatilgan  bo’lsada,  aksariyat  foydalanuvchilar  tomonidan  ushbu 
sozlanma o’chirib qo’yiladi. 
Minimal imtiyozlar prinsipi. 
Axborot xavfsizligi, informatika, dasturlash va 
boshqa sohalarda keng qo’llaniluvchi minimal imtiyozlar prinsipi (ingl. Principle of 
least privilege) bu  –  hisoblash  muhitidagi  u  yoki  bu  abstraksiya  darajasida 
resurslarga murojaatni tashkil qilish prinsipi bo’lib, bunga ko’ra har bir modul o’z 
vazifasini to’laqonli bajarishi uchun zarur bo’lgan resurs yoki axborotdan minimal 
darajada foydalanishni talab etadi. 
Bu prinsip foydalanuvchi yoki dasturga faqat o’z vazifasi uchun zarur bo’lgan 
imtiyozlarga ega bo’lishi kerakligini anglatadi. Masalan, turli vaqt o’tkazish uchun 
ishlab  chiqilgan  mobil  o’yin  dasturlar  SMS  xabarni  o’qish  yoki  qo’ng’iroq 
qiluvchilar ro’yxatini bilish imkoniyatiga ega bo’lishi shart emas. Masalan, dasturlar 
tillarida (Java dasturlash tilida keltirilgan) obyektlardan foydanishni cheklash uchun 
turli kalit so’zlardan foydalaniladi.
 
13-jadval 
Java dasturlash tilida foydalanuvchilar imtiyozlari 
 
Default 
Private 
Protected 
Public 
Bir xil klass 




Bir paket 
qismklassi 




Bir paket 
qismklassi 
bo’lmagan 




Turli paket 
qismklasslari 




Turli paket 
qismklassi 
bo’lmagan 






205 
 
Teran  himoya  prinsipi. 
Ushbu  prinsipga  ko’ra,  bitta  nazoratning  bo’lishi 
yaxshi,  ko’plab  nazoratlardan  foydalanish  esa  yaxshiroq  deb  qaraladi.  Teran 
himoyada  foydalanilgan  nazoratlar  turli  zaiflik  orqali  bo’lishi  mumkin  bo’lgan 
tahdidlarni  oldini  oladi.  Xavfsiz  dastur  yozish  orqali  esa,  kirish  qiymatini 
tekshirishni,  markazlashgan  auditni  boshqarishni  va  foydaluvchilarni  barcha 
sahifalarga kirishlarini talab qilishlari mumkin. 
Agar  noto’g’ri  ishlab  chiqilgan  administrator  interfeysi,  tarmoqqa  kirishni 
to’g’ri  bajarsa,  foydalanuvchilarni  avtorizasiyasini  tekshirsa  va  barcha  holatlarni 
qayd qilsa, u anonim hujumga bardoshsiz bo’lishi mumkin emas. 

Download 4,35 Mb.

Do'stlaringiz bilan baham:
1   ...   109   110   111   112   113   114   115   116   ...   203




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish