186
boshqarish va foydaluvchilarning barcha sahifalardan foydalanishlari
ta’minlanishi mumkin.
Agar to‘g‘ri ishlab chiqilgan ma’mur interfeysi, tarmoqdan
foydalanish qoidalarini to‘g‘ri bajarsa, foydalanuvchilarning
avtorizatsiyasini tekshirsa va barcha holatlarni qaydlasa, u anonim
hujumga bardoshsiz bo‘lishi mumkin emas.
Xavfsizlikning buzilishi. Ilovalar, amalga oshirilishi jarayonida turli
sabablarga ko‘ra, buzilishlarga uchraydi. Masalan, quyida e’tiborsizlik
oqibatida qoldirilgan xavfsizlik holati keltirilgan.
isAdmin = true;
try {
codeWhichMayFail();
isAdmin = isUserInRole( “Administrator” );
}
catch (Exception ex) {
log.write(ex.toString());
}
Mazkur holda codeWhichMayFail() yoki isUserInRole()
funksiyalarida xatolik bo‘lsa yoki biror Exception kuzatilgan taqdirda
ham foydalanuvchi ma’mur rolida qolaveradi. Bu ko‘rinib
turgan
xavfsizlik riski hisoblanadi.
Xizmatlarga ishonmaslik. Hozirgi kunda ko‘plab tashkilotlar
uchinchi tomon, sheriklarining hisoblash imkoniyatidan foydalanadi.
Masalan, bir tashkilot o‘z ma’lumotlarini o‘z sherigiga tegishli dasturiy
ta’minot bilan ishlashi mumkin. Bu holda ularga ishonish
kafolatlanmaydi. Masalan, Payme yoki shunga o‘xshash ilovalar bir
necha bank kartalaridagi ma’lumotlarni taqdim qiladi. Mazkur holda, har
bir bank foydalanuvchi tomonida o‘z ma’lumotlarining to‘g‘ri
akslantirilganini tekshirishi lozim.
Vazifalarni ajratish. Firibgarlikni oldini olishga qaratilgan asosiy
chora – vazifalarni ajratish. Masalan, tashkilotda kompyuter olish
bo‘yicha talab yuborgan odam tomonidan uni qabul qilinmasligi shart.
Sababi, bu holda u ko‘plab kompyuterlarni so‘rashi va qabul qilib
olganini rad qilishi mumkin. Ba’zi holda, bir rol uchun oddiy
foydalanuvchilarga nisbatan ishonch darajasi turlicha bo‘ladi. Masalan,
ma’murlar tizimni o‘chirishi yoki yoqishi, parollar siyosatini o‘rnata
olishi kerak. Biroq, ular onlayn savdo do‘koniga imtiyozga ega
187
foydalanuvchi sifatida
kira olmasligi, xususan, tovarlarni boshqalar
nomidan sotib olish imkoniyatiga ega bo‘lmasligi kerak.
Xavfsizlikni noaniqlikdan saqlash. Noaniqlikka asoslangan xavfsiz
– zaif xavfsizlik bo‘lib, birinchi nazoratning o‘zida xatolikka uchraydi.
Bu biror sirni saqlash yomon g‘oya ekanligini anglatmasada,
xavfsizlikning muhim jihatlari tafsilotlarining yashirin bo‘lishiga
asoslanmasligini bildiradi.
Masalan, dastur xavfsizligi uning ochiq kodidan xabardor
bo‘linganida barbod bo‘lmasligi kerak. Xavfsizlik ko‘plab
boshqa
omillarga, masalan, parolning oqilona siyosatiga, tarmoq arxitekturasiga,
auditni boshqarish vositalariga tayanishi lozim.
Bunga amaliy misol sifatida, Linux operatsion tizimini keltirish
mumkin. Ushbu operatsion tizimning kodi ochiq hisoblansada, to‘g‘ri
himoyalangan va shuning uchun, hozirgi kundagi mustahkam operatsion
tizimlardan biri hisoblanadi.
Xavfsizlikni soddaligi. Hujumga uchrash
soha maydoni va soddalik
bir-biriga bog‘liq. Ba’zi dasturiy ta’minot muhandislari kodning sodda
ko‘rinishidan ko‘ra murakkabligini afzal ko‘radilar. Biroq, sodda va
tushunishga oson ko‘rinish tezkor bo‘lishi mumkin. Shuning uchun,
dasturiy ta’minotni yaratish jarayonida murakkablikdan qochishga
harakat qilish zarur.
Dasturiy mahsulotlarga qo‘yilgan xavfsizlik talablari. Dasturiy
ta’minotni ishlab chiqishda unga ko‘plab talablar qo‘yiladi.
Dasturiy mahsulotlarga qo‘yiladigan talablar uch turga bo‘linadi:
- vazifaviy talablar:
o
tizim amalga oshirilishida kerak bo‘lgan vazifalar.
- novazifaviy talablar:
o
tizimning xususiyatlariga qo‘yilgan talablar.
Vazifaviy talablar. Bu talablar quyidagilarni o‘z ichiga oladi:
- tizim kutgan kirishga qo‘yilgan talablar;
- tizimdan chiqqan natijaga qo‘yilgan talablar;
- kirish va chiqishga aloqador bo‘lgan talablar.
Novazifaviy talablar. Novazifaviy talablarga quyidagilar taalluqli:
- audit qilish imkoniyati;
- kengaytirish mumkinligi;
-
foydalanishga qulayligi;
- bajarilishi;
- ixchamligi;
- ishonchliligi;
188
- xavfsizligi;
-
testlash imkoniyati;
- foydalanuvchanligi va h.
Xususiy xavfsizlik talablariga quyidagilar taalluqli:
– maxfiylik talabiga misol:
o
tizim ruxsat berilgan foydalanuvchigagina .doc fayllarni
ko‘rsatishi kerak;
o
xavfsiz aloqa kanalidan foydalanish.
– ruxsatlarni nazoratlash talabiga misol:
o
tizim paroldan foydalanishni talab etishi kerak;
o
rollarga asoslangan foydalanishga ruxsatlarni
nazoratlash amalga oshirilishi kerak.
– butunlik talabiga misol:
o
ochiq (public) turdagi foydalanuvchilar uchun faqat
o‘qish, maxfiy (private) turidagi
foydalanuvchilar uchun ham
o‘qish ham yozish huquqi berilishi.
– foydalanuvchanlik talabiga misol:
o
barcha qayd yozuvlarda parol bo‘lishi shart;
o
3 ta muvaffaqqiyatsiz urinishdan so‘ng qayd yozuvi
blokirovkalanishi shart;
o
qayd yozuviga 5 min davomida tahdid amalga
oshirilmasa u blokirovkadan yechilishi shart.
Dasturlash tiliga asoslangan xavfsizlik. Turli dasturlash tillari
o‘ziga xos imkoniyatlarga ega, dasturlash sathida xavfsizlikni ta’minlash
muhim ahamiyat kasb etadi. Mavjud dasturlash tillarini
xavfsiz yoki
xavfsiz emas turlariga ajratish nisbiy tushuncha bo‘lib, ularni
quyidagicha tasvirlash mumkin (7.5-rasm).
Mashina kodi
C
C++
MISRA-C
Java
C#
Scala
Rust
Haskell
Clean
ML
OCaml
Prolog
