From Wikipedia, the free encyclopedia
कम्प्युटर सुरक्षामा, एक जोखिम एक कमजोरी हो जुन एक खतरनाक अभिनेता द्वारा शोषण गर्न सकिन्छ, जस्तै एक आक्रमणकारीले कम्प्युटर प्रणाली भित्र अनाधिकृत कार्यहरू प्रदर्शन गर्न। जोखिमलाई शोषण गर्न, आक्रमणकर्तासँग कम्तिमा एक लागू उपकरण वा प्रविधि हुनुपर्दछ जुन प्रणाली कमजोरीमा जडान हुन सक्छ। यस फ्रेममा, भेद्यतालाई हमला सतह पनि भनिन्छ।
कमजोरी व्यवस्थापन भनेको पहिचान, वर्गीकरण, उपचार, र कमजोरहरूलाई कम गर्ने चक्रीय अभ्यास हो। यस अभ्यासले सामान्यतया कम्प्युटि systems प्रणालीमा सफ्टवेयर कमजोरीलाई जनाउँछ।
एक सुरक्षा जोखिम अक्सर गलत रूपमा कमजोरीको रूपमा वर्गीकृत गरिन्छ। जोखिमको उही अर्थको साथ भेद्यताको उपयोगले भ्रममा पार्न सक्छ। जोखिम एक कमजोर प्रभावको शोषण परिणामस्वरूप एक महत्वपूर्ण प्रभावको सम्भावना हो। त्यसोभए जोखिमविना कमजोरहरू छन्: उदाहरणको लागि जब प्रभावित सम्पत्तिको कुनै मूल्य हुँदैन। एक वा बढि ज्ञात घटनाहरू काम गर्ने र पूर्ण रूपमा लागू भएका आक्रमणहरूको एक जोखिमलाई एक शोषणनीय जोखिम-को रूपमा वर्गीकृत गरिएको छ - एक जोखिम जुनको लागि एक शोषण अवस्थित छ। भेद्यताको विन्डो त्यस्तो समय हो जब सुरक्षा घेरा पेश गरिएको थियो वा प्रयोग गरिएको सफ्टवेयरमा प्रकट गरिएको थियो, जब पहुँच हटाइएको थियो, एक सुरक्षा फिक्स उपलब्ध थियो / तैनात गरिएको थियो, वा आक्रमणकर्ता असक्षम भएको थियो - शून्य-दिन आक्रमण हेर्नुहोस्
सुरक्षा बग (सुरक्षा दोष) एक संकुचित अवधारणा हो: त्यहाँ कमजोरीहरू छन् जुन सफ्टवेयरसँग सम्बन्धित छैन: हार्डवेयर, साइट, कर्मचारी कमजोरीहरू कमजोरीहरूको उदाहरण हो जुन सफ्टवेयर सुरक्षा बगहरू होइन।
प्रोग्रामिंग भाषाहरूमा निर्माणहरू जुन सही तरिकाले प्रयोग गर्न गाह्रो छ कमजोरहरूको ठूलो स्रोत हुन सक्छ।
ISO 27005 ले कमजोरलाई परिभाषित गर्दछ:
सम्पत्ति वा सम्पत्तिको समूहको कमजोरी जुन एक वा बढी धम्कीबाट शोषण गर्न सकिन्छ
जहाँ एक सम्पत्ति केहि छ जुन संगठनको मूल्य छ, यसको व्यवसाय परिचालन र तिनीहरूको निरन्तरता, सूचना को स्रोत सहित संगठनको मिशन समर्थन
IETF RFC 4949 कमजोर रूपमा:
प्रणालीको डिजाइन, कार्यान्वयन, वा अपरेशन र व्यवस्थापनमा त्रुटि वा कमजोरी जुन प्रणालीको सुरक्षा नीति उल्ल to्घन गर्नका लागि शोषण गर्न सकिन्छ।
संयुक्त राज्य अमेरिकाको नेशनल सेक्युरिटी सिस्टमस कमिटीले २ated अप्रिल 2010 मा CNSS निर्देशन नं। 4009 in मा जोखिमलाई परिभाषित गर्यो।
कमजोरी - एक सूचना प्रणालीमा कमजोरी, प्रणाली सुरक्षा प्रक्रियाहरू, आन्तरिक नियन्त्रणहरू, वा कार्यान्वयन जुन एक खतरा स्रोतले शोषण गर्न सक्दछ।
धेरै एनआईएसटी प्रकाशनहरू आईटी सन्दर्भमा जोखिमलाई विभिन्न प्रकाशनहरूमा परिभाषित गर्दछ: FISMApedia अवधि एक सूची प्रदान गर्दछ। तिनीहरू बीच एसपी -30००--30०, एक फराकिलो दिनुहोस्:
ENISA कमजोरलाई यस रूपमा परिभाषित गर्दछ:
खुला समूहले रूपमा कमजोरलाई परिभाषित गर्दछ
जानकारी जोखिम को कारक विश्लेषण (FAIR) जोखिम परिभाषित गर्दछ:
एफएआईआर कमजोर जोखिम नियन्त्रणको शक्तिसँग सम्बन्धित छ, अर्थात् बलको एक मानक मापदण्ड र खतरा क्षमताको तुलनामा नियन्त्रणको शक्ति, अर्थात एक सम्भावित तहको बल जुन एक खतरनाक एजेन्ट एक सम्पत्ति विरुद्ध आवेदन दिन सक्षम छ।
ISACA जोखिममा यो जोखिमलाई परिभाषित गर्दछ यो रूपरेखाको रूपमा:
डिजाइन, कार्यान्वयन, अपरेशन वा आन्तरिक नियन्त्रणमा कमजोरी
डाटा र कम्प्युटर सुरक्षा: मानक अवधारणा र सर्तहरूको शब्दकोश, लेखक डेनिस लांगले र माइकल श्यान, स्टकटन प्रेस, ISBN ०- 9 3535859 -17-१--,, असुरक्षालाई परिभाषित गर्दछ:
१) कम्प्युटर सुरक्षामा, स्वचालित प्रणाली सुरक्षा प्रक्रियाहरू, प्रशासनिक नियन्त्रणहरू, इन्टर्नेट नियन्त्रणहरू, इत्यादिमा कमजोरी जुन सूचनामा अनाधिकृत पहुँच प्राप्त गर्न वा आलोचनात्मक प्रक्रियामा अवरोध खतराहरू द्वारा शोषण गर्न सक्दछ। २) कम्प्युटर सुरक्षामा, शारीरिक लेआउट, संगठन, प्रक्रियाहरू, कर्मचारीहरू, व्यवस्थापन, प्रशासन, हार्डवेयर वा सफ्टवेयरमा कमजोरी जुन एडीपी प्रणाली वा गतिविधिलाई हानी गर्नका लागि शोषण गर्न सकिन्छ। )) कम्प्युटर सुरक्षामा, कुनै कमजोरी वा त्रुटि प्रणालीमा अवस्थित छ। आक्रमण वा हानिकारक घटना, वा त्यो आक्रमण आरोहण गर्न एक खतरा एजेन्टलाई अवसर।
म्याट विशप र डेव बेली कम्प्युटर जोखिमको निम्न परिभाषा दिन्छ:
एक कम्प्युटर प्रणाली कम्प्युटर प्रणाली बनाउने संस्थाको वर्तमान कन्फिगरेसन वर्णन राज्यहरु मिलेर बनेको छ। प्रणालीले राज्यको परिवर्तनको माध्यमबाट कम्प्युट गर्छ। सुरक्षा ट्रान्जिसनको सेटको प्रयोग गरी दिइएको राज्यको पहुँचबाट सबै राज्यहरू पहुँच योग्य हुन्छन् जुन सुरक्षा नीतिले परिभाषित गरेको छ। यस कागजमा, यी वर्ग र ट्रान्जिसनहरूको परिभाषा अक्षीय मानिन्छ। कमजोर राज्य एक आधिकारिक राज्य हो जहाँबाट एक अनधिकृत राज्य आधिकारिक राज्य ट्रान्जिसनहरूको प्रयोग गरेर पुग्न सकिन्छ। एक सम्झौता राज्य राज्य छ कि पुग्यो। एउटा आक्रमण अधिकृत राज्य ट्रान्जिसनको क्रम हो जुन एक सम्झौता राज्यमा समाप्त हुन्छ। परिभाषा द्वारा, आक्रमण एउटा कमजोर राज्यमा सुरु हुन्छ। एक जोखिम नै एक कमजोर राज्यको चरित्र हो जुन यसलाई सबै असुरक्षित राज्यहरू भन्दा फरक पार्छ। यदि जेनेरिक, कमजोर जोखिम धेरै धेरै कमजोर राज्य विशेषता हुन सक्छ; यदि विशिष्ट छ भने, यो केवल एक विशेषता हुन सक्छ ...
राष्ट्रिय सूचना आश्वासन प्रशिक्षण र शिक्षा केन्द्रले जोखिमलाई परिभाषित गर्दछ:
स्वचालित प्रणाली सुरक्षा प्रक्रियाहरू, प्रशासनिक नियन्त्रणहरू, आन्तरिक नियन्त्रणहरू, र यस्तै अन्य कुनै कमजोरी, जुन जानकारीमा अनधिकृत पहुँच प्राप्त गर्न वा महत्वपूर्ण प्रक्रियामा अवरोध खतराहरू द्वारा शोषण गर्न सकिन्छ। २. प्रणाली सुरक्षा प्रक्रियाहरू, हार्डवेयर डिजाइन, आन्तरिक नियन्त्रणहरू, इत्यादिमा कमजोरी, जुन वर्गीकृत वा संवेदनशील जानकारीमा अनधिकृत पहुँच प्राप्त गर्न शोषण गर्न सकिन्छ। The. एडीपी प्रणाली वा गतिविधिलाई नोक्सान पुर्याउन शारीरिक शोषण, संगठन, प्रक्रियाहरू, कर्मचारीहरू, व्यवस्थापन, प्रशासन, हार्डवेयर, वा सफ्टवेयरमा कमजोरी। एक जोखिम को उपस्थिति आफैमा हानि पैदा गर्दैन; जोखिम केवल एक अवस्था वा सर्तहरूको सेट हो जुन एडीपी प्रणाली वा गतिविधिलाई आक्रमणले नोक्सान पुर्याउन सक्छ। An. एक दावा मुख्यतया आन्तरिक वातावरण (सम्पत्ति) को अस्तित्व को बारे मा; हामी भन्छौं कि एक सम्पत्ति (वा सम्पत्तिको वर्ग) कमजोर छ (कुनै न कुनै रूपमा, सम्भवतः एजेन्ट वा एजेन्टको संग्रह समावेश गर्दै); हामी लेख्छौं: V (i, e) जहाँ: e खाली सेट हुन सक्छ। Various. विभिन्न खतराहरूको लागि संवेदनशीलता। Specific. एक विशिष्ट आन्तरिक इकाईको गुणहरूको सेट जुन, एक विशिष्ट बाह्य इकाईको गुणहरूको सेटको साथमा, जोखिम दर्शाउँछ। A. अस्वाभाविक (मानव निर्मित) शत्रुतापूर्ण वातावरणमा प्रभावको एक निश्चित स्तरको अधीनमा परेको परिणामस्वरूप एक निश्चित गिरावट (निर्दिष्ट गरिएको मिसन गर्न असमर्थता) भोग्नु पर्ने प्रणालीको विशेषताहरू।
एक संसाधन (या त शारीरिक वा तार्किक) एक वा बढी सम्भावनाहरू हुन सक्छ जुन एक खतरनाक एजेन्टले धम्की कार्यमा शोषण गर्न सक्दछ। नतिजाले एक संगठन र / वा अन्य पार्टीहरू (ग्राहकहरू, आपूर्तिकर्ता) सम्बन्धित सम्बन्धित गोपनीयता, अखण्डता वा संसाधनहरूको उपलब्धता सम्भावित रूपमा सम्झौता गर्न सक्दछ।
तथाकथित सीआईए ट्राईड सूचना सुरक्षाको आधार हो।
एक आक्रमण सक्रिय हुन सक्छ जब यसले प्रणाली स्रोतहरू परिवर्तन गर्न वा उनीहरूको सञ्चालनमा असर पार्ने, अखण्डता वा उपलब्धता सम्झौता गर्ने प्रयास गर्दछ। "निष्क्रिय आक्रमण" ले प्रणालीबाट जानकारी सिक्न वा प्रयोगको लागि प्रयास गर्दछ तर सुरक्षा संसाधनहरूमा असर गर्दैन, गोपनीयतासँग सम्झौता गर्दै।
OWASP (चित्र हेर्नुहोस्) उही घटना लाई अलि फरक शब्दहरु मा दर्शाउँछ: एक हमला भेक्टर मार्फत एक धम्की एजेन्ट प्रणाली को एक कमजोरी (जोखिम) को शोषण र सम्बन्धित सुरक्षा नियन्त्रण, एक आईटी संसाधन मा एक प्राविधिक प्रभाव को कारण (सम्पत्ति) मा जडित व्यापार प्रभाव।
समग्र तस्वीर जोखिम परिदृश्यको जोखिम कारक प्रतिनिधित्व गर्दछ।
सूचना सुरक्षा प्रबन्धनसँग सम्बन्धित नीतिहरूको एक सेट, सूचना सुरक्षा प्रबन्धन प्रणाली (ISMS), व्यवस्थापन गर्न विकसित गरिएको छ, जोखिम प्रबन्धन सिद्धान्तहरू अनुसार, सुरक्षा रणनीति सुनिश्चित गर्नका लागि काउन्मेजरहरू दिइएको नियममा लागू हुने नियम र नियमहरू पछ्याउने छ। देश। यी काउन्मेसरहरूलाई सुरक्षा नियन्त्रण पनि भनिन्छ, तर जब सूचना प्रसारणमा लागु गरिन्छ, तिनीहरूलाई सुरक्षा सेवाहरू भनिन्छ।
असुरक्षाहरू सम्पत्ति वर्ग अनुसार वर्गीकृत गरिएको छ तिनीहरू सम्बन्धित छन्:
अनुसन्धानले देखाईएको छ कि अधिक जानकारी प्रणालीमा सबैभन्दा जोखिमपूर्ण बिन्दु मानव प्रयोगकर्ता, अपरेटर, डिजाइनर, वा अन्य मानव हो: त्यसैले मानिसहरूलाई तिनीहरूको विभिन्न भूमिकामा सम्पत्ति, धम्की, सूचना संसाधनको रूपमा विचार गर्नुपर्दछ। सामाजिक ईन्जिनियरिंग एक बढ्दो सुरक्षा चिन्ता हो।
एक सुरक्षा उल्लंघन को प्रभाव धेरै उच्च हुन सक्छ। यो तथ्य जुन आईटी प्रबन्धकहरू, वा माथिल्लो व्यवस्थापनले (सजिलैसँग) जान्न सक्दछ कि आईटी प्रणाली र अनुप्रयोगहरूले कमजोरीहरू छन् र आईटी जोखिम प्रबन्ध गर्न कुनै कार्यहरू गर्दैनन् जुन प्रायः कानूनहरूमा एक दुराचारको रूपमा देखिन्छ। गोपनीयता कानूनले व्यवस्थापकहरूलाई सुरक्षा जोखिमको प्रभाव वा सम्भावना कम गर्न कार्य गर्न बल गर्दछ। सूचना प्रविधि सुरक्षा अडिट अन्य स्वतन्त्र व्यक्तिहरूलाई यो प्रमाणित गर्न एक तरीका हो कि आईटी वातावरण राम्रोसँग व्यवस्थापन गरिएको छ र जिम्मेवारी कम गर्ने, कम्तिमा राम्रो विश्वास प्रदर्शन गरेको हो। पेन्टेसन टेस्ट भनेको संस्थाले अपनाएको कमजोरी र काउन्टरमाइजरको प्रमाणिकरणको एक रूप हो: एक व्हाइट ह्याट ह्याकरले संगठनको सूचना प्रविधि सम्पत्तिमा आक्रमण गर्न खोज्छ, IT सुरक्षामा सम्झौता गर्नु कत्तिको सजिलो वा गाह्रो छ भनेर पत्ता लगाउन। आईटी जोखिमलाई व्यवसायिक रूपमा व्यवस्थित गर्ने उचित तरिका भनेको सूचना सुरक्षा प्रबन्धन प्रणाली अपनाउनु हो, जस्तै ISO/IEC 27002 वा जोखिम आईटी र त्यसलाई अनुसरण गर्नुहोस्, माथिल्लो प्रबन्धले तोकेको सुरक्षा रणनीतिका अनुसार।
सूचना सुरक्षाको एक प्रमुख अवधारणा भनेको गहिराईमा रक्षाको सिद्धान्त हो: अर्थात् बहुपक्षीय रक्षा प्रणाली सेट अप गर्न जुन:
घुसपैठ पत्ता लगाउने प्रणाली प्रणालीहरूको वर्गको उदाहरण हो जुन आक्रमणहरू पत्ता लगाउन प्रयोग गरियो।
शारीरिक सुरक्षा जानकारी को सम्पत्ति को रक्षा गर्न उपायहरु को एक सेट हो: यदि कसैले जानकारी सम्पत्ति को लागी भौतिक पहुँच प्राप्त गर्न सक्दछ भने, यो वैध प्रयोगकर्ताहरु को लागी संसाधनहरु अनुपलब्ध बनाउन को लागी एकदम सजिलो छ।
कम्प्युटरले सन्तुष्ट हुने मापदण्डका केही सेटहरू, यसको अपरेटि system प्रणाली र राम्रो सुरक्षा स्तर पूरा गर्नका लागि एप्लिकेसनहरू विकसित गरिएको छ: ITSEC र साझा मापदण्ड दुईवटा उदाहरण हुन्।
एक जिम्मेवार प्रकटीकरणले प्रभावित विक्रेताहरूलाई दुई हप्ता पछि CERT सचेत गर्नु अघि गोप्य रूपमा सतर्क गराउँछ, जसले विक्रेताहरूलाई सुरक्षा सल्लाह प्रकाशित गर्नु अघि 45 45 दिनको अतिरिक्त अवधि प्रदान गर्दछ।
पूर्ण खुलासा तब गरिन्छ जब सम्भाव्यताको सबै विवरणहरू सार्वजनिक गरिन्छ, सायद सफ्टवेयर वा प्रक्रिया लेखकहरूमाथि दबाब दिने अभिप्रायले तुरुन्तै एउटा समाधान फेला पार्न।
सम्मानित लेखकहरूले कमजोरीहरू र उनीहरूको शोषण कसरी गर्ने भन्ने बारेमा पुस्तकहरू प्रकाशित गरेका छन्: ह्याकि:: एक्सप्लुटेसन दोस्रो संस्करणको एक राम्रो उदाहरण हो।
साइबर वारफेयर वा साइबर क्राइम उद्योगको आवश्यकता पूरा गर्ने सुरक्षा अनुसन्धानकर्ताहरूले भनेका छन् कि यस दृष्टिकोणले उनीहरूको प्रयासको लागि पर्याप्त आय प्रदान गर्दैन। यसको सट्टामा, उनीहरूले निजी शोरो दिन शून्य आक्रमणहरू सक्षम पार्न प्रस्ताव गर्छन्।
नयाँ कमजोरीहरू फेला पार्न र त्यसलाई सच्याउनको लागि कहिल्यै अन्त्य नभएको प्रयासलाई कम्प्युटर सुरक्षा भनिन्छ।
जनवरी २०१ 2014 मा जब Google ले यसलाई ठीक गर्न प्याच जारी गर्नु अघि माइक्रोसफ्टको जोखिम प्रकट गर्यो, माइक्रोसफ्टका एक प्रतिनिधिले खुलासा खुलासा गर्दा सफ्टवेयर कम्पनीहरूमा समन्वित अभ्यासको लागि आग्रह गरे।
मिटर कर्पोरेशनले सामान्य असुरक्षा र एक्सपोजर भनिने प्रणालीमा खुलासा गरिएको कमजोरहरूको सूची राख्दछ, जहाँ भेद्यतालाई वर्गीकृत गरीन्छ (स्कोर) सामान्य वेन्नरबिलिटी स्कोरिंग सिस्टम (CVSS) प्रयोग गरेर।
OWASP ले प्रणाली डिजाइनरहरू र प्रोग्रामरहरूलाई शिक्षित गर्ने उद्देश्यको साथ सम्भावित जोखिमहरूको सूची संकलन गर्दछ, जसले गर्दा सफ्टवेयरमा अन्जानमा लेखिएको कमजोरताको सम्भावना कम गर्दछ।
भेद्यताको खुलासाको समय सुरक्षा समुदाय र उद्योगमा बिभिन्न किसिमले परिभाषित गरिएको छ। यसलाई प्राय "" एक निश्चित पार्टी द्वारा सुरक्षा जानकारीको एक किसिमको सार्वजनिक प्रकटीकरण "भनेर चिनिन्छ। सामान्यतया, भेद्यता जानकारी मेलिंग सूचीमा छलफल गरिन्छ वा सुरक्षा वेब साइटमा प्रकाशित हुन्छ र सुरक्षा सल्लाहकार पछि परिणाम हुन्छ।
खुलासाको समय पहिलो मिति एक सुरक्षा जोखिम एक च्यानलमा वर्णन गरिएको छ जहाँ भेद्यताको खुलासा गरिएको जानकारीले निम्न आवश्यकता पूरा गर्नुपर्दछ:
धेरै सफ्टवेयर उपकरणहरू अवस्थित छन् जुन एक कम्प्युटर प्रणालीमा कमजोरीहरूको खोज (र कहिलेकाँही हटाउने) लाई सहयोग पुर्याउन सक्छ। यद्यपि यी उपकरणहरूले एक सम्भावित सम्भावित कमजोरीहरूको राम्रो सिंहावलोकनको साथ एक लेखा परीक्षक प्रदान गर्न सक्छ, ती मानव न्याय बदल्न सक्दैन। केवल स्क्यानरहरूमा भर पर्नाले गलत सकारात्मक र प्रणालीमा उपस्थित समस्याहरूको सीमित क्षेत्र दृश्य उत्पन्न गर्दछ।
विन्डोज, म्याकोस, युनिक्स र लिनक्सको विभिन्न रूपहरू, ओपनभीएमएस, र अन्य लगायत हरेक प्रमुख अपरेटिंग सिस्टममा कमजोरीहरू फेला परेका छन्। एक प्रणालीको बिरूद्ध कमजोर जोखिमको सम्भावना कम गर्ने एकमात्र तरीका भनेको सतर्क सतर्कता, सावधान प्रणाली मर्मतसहित (जस्तै सफ्टवेयर प्याचहरू लागू गर्ने), डिप्लोयमेन्टमा उत्तम अभ्यासहरू (जस्तै फायरवालहरू र पहुँच नियन्त्रणहरूको प्रयोग) र अडिटिंग (दुबै समयमा) विकास र तैनाती जीवन भर मा)।
कमजोरीहरू सम्बन्धित छन्:
यो स्पष्ट छ कि एक शुद्ध प्राविधिक दृष्टिकोणले भौतिक सम्पत्तिलाई पनि सुरक्षित गर्न सक्दैन: एकसँग प्रशासनिक प्रक्रिया हुनुपर्छ सुविधाहरूमा प्रवेश गर्न दिन र प्रक्रियाको पर्याप्त ज्ञान भएका मानिसहरूलाई, उचित हेरचाहको साथ यसलाई अनुसरण गर्न प्रेरित। सामाजिक ईन्जिनियरिंग (सुरक्षा) हेर्नुहोस्।
कमजोरी शोषणका चार उदाहरणहरू:
सामान्य प्रकारका सफ्टवेयर त्रुटिहरूमा जोखिम निम्त्याउँछ:
कोडिंग दिशानिर्देशहरूको केही सेट विकसित गरिएको छ र कोड कोड दिशानिर्देशहरू पालना गर्दछ भन्ने प्रमाणित गर्नको लागि स्थिर कोड विश्लेषकहरूको ठूलो संख्या प्रयोग गरिएको छ।
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.