Respublikasi axborot texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi muhammad al-xorazmiy nomidagi toshkent axborot

Dasturiy vosita xavfsizligining fundamental prinsiplari

Download 4,35 Mb.

Pdf ko'rish

bet	113/203
Sana	05.01.2022
Hajmi	4,35 Mb.
	#317892

1 ... 109 110 111 112 113 114 115 116 ... 203

Bog'liq
Kiber

6.2. Dasturiy vosita xavfsizligining fundamental prinsiplari
Dasturiy  ta’minotni  ishlab  chiqqanda  va  foydalanganda  qator  prinsiplarga
amal  qilish  talab  qilinadi.  Quyida  OWASP  tashkiloti  tomonidan  taqdim  qilingan
prinsiplar keltirilgan:
Hujumga  uchrashi  mumkin  soha  maydonini  minimallashtirish.
Dasturiy
ta’minotga qo’shilgan har bir xususiyat umumiy holda dasturga ma’lum miqdordagi
xavf darajasini qo’shadi. Dasturni xavfsiz amalga oshirishning maqsadi bu – hujum
bo’lishi  mumkin  bo’lgan  sohani  kamaytirish  orqali  umumiy  dasturdagi  xavfni
kamaytirishdir.  Masalan,  veb  saytlarda  onlayn  yordamni  amalga  oshirish  uchun
qidirish  funksiyasi  mavjud.  Biroq,  ushbu  imkoniyat  veb  saytga  SQL  –  ineksiya
hujumi  bo’lishi  ehtimolini  keltirib  chiqarishi  mumkin.  Agar  qidiruv  imkoniyati
autentifikasiyadan  o’tgan  foydalanuvchilar  uchun  bo’lsa,  u  holda  hujum  bo’lishi
ehtimoli kamayadi. Agar qidiruv ma’lumotlari markazlashgan holatda tekshirilsa, u
holda ushbu imkoniyat yanada kamayadi.

204

Xavfsiz  standart  sozlanmalarni  o’rnatish.
Amalda  aksariyat  dasturiy
ta’minotlarda  va  operasion  tizimlarda  ko’plab  xavfsizlik  sozlanmalari  standart
tartibda  o’rnatilgan  bo’ladi.  Biroq,  bu  holat  foydalanuvchilar  tomonidan  yaxshi
qabul qilinmaydi va shuning uchun, aksariyat hollarda ushbu sozlanmalarni o’chirib
qo’yish  amalga  oshiriladi.  Masalan,  operasion  tizimlarda  parollarni  eskirish  vaqti
standart  holda  o’rnatilgan  bo’lsada,  aksariyat  foydalanuvchilar  tomonidan  ushbu
sozlanma o’chirib qo’yiladi.
Minimal imtiyozlar prinsipi.
Axborot xavfsizligi, informatika, dasturlash va
boshqa sohalarda keng qo’llaniluvchi minimal imtiyozlar prinsipi (ingl. Principle of
least privilege) bu  –  hisoblash  muhitidagi  u  yoki  bu  abstraksiya  darajasida
resurslarga murojaatni tashkil qilish prinsipi bo’lib, bunga ko’ra har bir modul o’z
vazifasini to’laqonli bajarishi uchun zarur bo’lgan resurs yoki axborotdan minimal
darajada foydalanishni talab etadi.
Bu prinsip foydalanuvchi yoki dasturga faqat o’z vazifasi uchun zarur bo’lgan
imtiyozlarga ega bo’lishi kerakligini anglatadi. Masalan, turli vaqt o’tkazish uchun
ishlab  chiqilgan  mobil  o’yin  dasturlar  SMS  xabarni  o’qish  yoki  qo’ng’iroq
qiluvchilar ro’yxatini bilish imkoniyatiga ega bo’lishi shart emas. Masalan, dasturlar
tillarida (Java dasturlash tilida keltirilgan) obyektlardan foydanishni cheklash uchun
turli kalit so’zlardan foydalaniladi.

13-jadval
Java dasturlash tilida foydalanuvchilar imtiyozlari

Default
Private
Protected
Public
Bir xil klass
+
+
+
+
Bir paket
qismklassi
+
-
+
+
Bir paket
qismklassi
bo’lmagan
+
-
+
+
Turli paket
qismklasslari
-
-
+
+
Turli paket
qismklassi
bo’lmagan
-
-
-
+

205

Teran  himoya  prinsipi.
Ushbu  prinsipga  ko’ra,  bitta  nazoratning  bo’lishi
yaxshi,  ko’plab  nazoratlardan  foydalanish  esa  yaxshiroq  deb  qaraladi.  Teran
himoyada  foydalanilgan  nazoratlar  turli  zaiflik  orqali  bo’lishi  mumkin  bo’lgan
tahdidlarni  oldini  oladi.  Xavfsiz  dastur  yozish  orqali  esa,  kirish  qiymatini
tekshirishni,  markazlashgan  auditni  boshqarishni  va  foydaluvchilarni  barcha
sahifalarga kirishlarini talab qilishlari mumkin.
Agar  noto’g’ri  ishlab  chiqilgan  administrator  interfeysi,  tarmoqqa  kirishni
to’g’ri  bajarsa,  foydalanuvchilarni  avtorizasiyasini  tekshirsa  va  barcha  holatlarni
qayd qilsa, u anonim hujumga bardoshsiz bo’lishi mumkin emas.

Download 4,35 Mb.

Do'stlaringiz bilan baham:

1 ... 109 110 111 112 113 114 115 116 ... 203