مبادئ التصميم الالكتروني آمنة

Share

|

مبادئ التصميم آمنة نوقشت في هذا الفرع اعرب عن شعور مشترك بين التطبيقات من البساطه والتقييد من حيث الحوسبه.

مبدأ اقل امتيازا

هذا المبدأ يقيد كيف تمنح الامتيازات.

مبدأ اقل امتيازا للدول ان الموضوع ينبغي ان تعطى تلك الامتيازات إلا أنه بحاجة لاتمام مهمته.

اذا الموضوع لا يحتاج الى أحد الحق في الوصول ، وهذا الموضوع لا ينبغي ان يكون هذا الحق. وعلاوة على ذلك ، وظيفة هذا الموضوع (كمقابل لهويتها) يجب ان يسيطر على التنازل عن الحقوق. إذا عمل محددة تقتضي ان موضوع وصول الانسان يزاد ، وتلك الخارجة عن الانسان ينبغي التخلي فورا عن الانتهاء من العمل. وهذا هو التناظريه من "الحاجة الى المعرفه" القاعده : اذا كان هذا الموضوع ليس في حاجة الى الحصول على جسم لأداء مهمتها ، وأنه لا ينبغي أن يكون الحق في الوصول الى ذلك الجسم. وبعباره ادق ، اذا كان الموضوع يحتاج الى اضف الى الجسم ، ولكن ليس لتغيير المعلومات الواردة اصلا في الجسم ، فإنه ينبغي اعطاء ارفاق الانسان وليس الانسان الكتابة.

في الممارسه العملية ، فإن معظم نظم لا تملك الحبوبيه من الامتيازات والرخص المطلوبة لتطبيق هذا المبدأ على وجه التحديد. مصممي الآليات الامنية ثم يطبق هذا المبدأ هو افضل ما يكون. وفي مثل هذه النظم ، والآثار المترتبة على المشاكل الامنية التي غالبا ما تكون اكثر قسوه من عواقب بالنسبة للأنظمة التي التقيد بهذا المبدأ.

مثلا : نظام التشغيل يونيكس لا تنطبق التحكم في الوصول الى المستخدمين الجذريه. ان بامكان المستخدم أن ينهي أي عملية والقراءة والكتابة ، او تحذف اى ملف. وهكذا ، مستخدمين الذين يخلقون احتياطية يمكن ايضا حذف الملفات. مدير البرنامج على حساب ويندوز لديه نفس الصلاحيات.

هذا المبدأ يقتضي ان العمليات يجب ان تقتصر على ما صغيرة للحمايه المجال الى اقصى حد ممكن.

ومن الامثله على ذلك : خادم البريد تقبل الرسائل من الانترنت ونسخ الرسائل الى بكره الدليل ؛ محلى خادم سينتهي التسليم. البريد خادم يحتاج الانسان للوصول الى شبكة مناسبة الميناء ، لتهيئة ملفات في بكرة دليل ، والى تغيير تلك الملفات (حتى أنها يمكن أن نسخة الرسالة في الملف ، واعادة كتابة ايصال معالجة إذا دعت الحاجة ، وتضاف مناسبة "تلقى "الخطوط). وينبغي ان تتخلى عن الحق في الحصول على الملف في اقرب وقت أنه أنهى كتابة الملف الى بكره دليل ، لأنها ليست في حاجة الى وصول هذا الملف مرة اخرى. الخادم لا ينبغي ان تكون قادرة على الوصول الى اي مستخدم للملفات ، او اي ملفات اخرى من ترتيب الملفات الخاصة بها.

- مبدأ عدم التخلف عن الدفع الامنه

هذا المبدأ يقيد الامتيازات هي كيف تتم تهيئة عندما يخضع الجسم أو خلق.

مبدأ تفشل - ان الدول الامنه الافتراضيات ، ما لم يرد صراحة موضوع الحصول على جسم ما ، فإنه ينبغي الوصول الى ذلك الجسم.

هذا المبدأ يقتضي ان التقصير الوصول الى وجود جسم لا شيء. كلما الوصول ، والامتيازات ، او بعض المتصله بالامن صفة لا تمنح صراحة ، فانه ينبغي ان يحرم. وعلاوة على ذلك ، إذا كان هذا الموضوع لم يتمكن من اتمام عملها او المهمة ، وينبغي ان التراجع عن تلك التغييرات التي تعهدت بها في أمن الدولة للنظام قبل ان تنهي فيه. وبهذه الطريقة ، وحتى لو فشل هذا البرنامج ، فان هذا النظام ما زال امنا.

مثلا : اذا كان خادم البريد هو غير قادر على انشاء ملف في بكرة دليل ، وهو ان نغلق اتصال الشبكه ، واصدار رسالة خطأ ، ووقف. وينبغي ألا يحاول تخزين الرسالة في مكان آخر او لتوسيع الامتيازات لانقاذ رسالة في مكان آخر ، لان المهاجم يمكن استخدام القدرة على ان اكتب او غيرها من الملفات الأخرى تملأ أقراص (الحرمان من الخدمة الهجوم). الحمايه على البريد بكرة دليل في حد ذاته ينبغي ان يتيح خلق والكتابة فقط الوصول الى خدمة البريد وقراءة فقط وحذف الوصول الى الخادم المحلي. أي مستخدم آخر ان يتمكن من الوصول الى الدليل. في الممارسه العملية ، فإن معظم نظم سيسمح اداري الوصول إلى البريد بكرة دليل. قبل اقل امتيازا من حيث المبدأ ، ان مدير ينبغي ان تكون قادرة على الوصول فقط المواضيع وأعيان مستخدمة في البريد التسلسل والتسليم. وكما رأينا ، فإن هذا القيد يقلل من تهديدات لو ان مدير حساب لشبهة. نظام البريد ويمكن تضررت او دمرت ، ولكن يمكن ان يكون اي شيء آخر.

مبدأ اقتصاد اليه

هذا المبدأ يبسط تصميم وتنفيذ الآليات الأمنية.

مبدأ اقتصاد اليه الدول ان اليات الامن ينبغي ان يكون بسيطا قدر الامكان.

اذا كان تصميم وتنفيذ بسيطة ، ثمة امكانيات لعدد اقل من الاخطاء. الفحص والاختبار هو عملية أقل تعقيدا ، لأن عدد اقل من العناصر والقضايا تحتاج الى اختبارها. آليات معقدة في كثير من الاحيان تجعل الافتراضات حول النظام والبيئة التي تديرها. واذا كانت هذه الافتراضات غير صحيحة ، قد يؤدي الى مشاكل امنية.

مثلا : ident البروتوكول يرسل اسم المستخدم المرتبطه بعمليه ان لديه مشاريع التعاون التقني الصدد الى نائية المضيف. آلية على استضافة ان سمح بدخولها واستنادا الى نتائج نتيجة وجود ident البروتوكول يجعل افتراض ان يكون منشؤها المضيف هو جدير بالثقه. واذا تقرر ان تستضيف لهجوم ب أ المضيفه ، ومن ثم يمكن ربط وترسل اي الهوية التي يختارها استجابة لطلب ident. وهذا مثال على آلية اجراء افتراض خاطئ عن البيئة) على وجه التحديد ، ان استضافة يمكن الوثوق ب).

وصلات الى وحدات اخرى مشبوهة بشكل خاص ، لان الوحدات غالبا ما يجعل الافتراضات الضمنيه عن مدخلات الانتاج أو معالم أو النظام الحالي للدولة ؛ وينبغي على أي من هذه الافتراضات الخطأ ، الوحدة تصرفات غير متوقعة قد تنتج ، والخاطئة ، والنتائج. التفاعل مع الكيانات الخارجية ، مثل غيرها من البرامج ، نظم ، أو البشر ، ويضاعف من هذه المشكلة.

مثلا : الاصبع البروتوكول يرسل معلومات عن المستخدم او النظام. كثير من العملاء التطبيقات تفترض ان الخادم هو استجابة بشكل جيد. ولكن ، اذا كان المهاجم لخلق الخادم ان تولد تيار لانهائي من الحروف ، ووضع اصبعه على العملاء تم ربط اليها ، زبون المطبوعه جميع الحروف. وكنتيجه لذلك ، سجل الملفات والاقراص يمكن ان يملأ ، مما تسبب في الحرمان من الخدمة الهجوم على سؤال المضيف. وهذا مثال على افتراضات خاطءه بشأن المدخلات الى الزبون.

مبدأ الوساطه الكامل

هذا المبدأ يقيد استخدام الذاكرة الوسيطه من المعلومات ، والذي غالبا ما يؤدي الى ابسط آليات التنفيذ.

مبدأ الوساطه الكامل يقتضي ان يكون جميع المداخل الى ان فحص الاجسام لضمان ان يسمح لهم.

كلما الموضوع محاولات ليصبح الجسم ، ونظام التشغيل وينبغي للتوسط في العمل. اولا ، تحديد ما اذا كان هذا الموضوع هو السماح ليصبح الجسم. واذا كان الامر كذلك ، فهو يوفر الموارد للقراءة الى ان يحدث. واذا كان موضوع يحاول قراءة وجوه ومرة أخرى ، ينبغي للنظام ان تتحقق من ان الموضوع لا يزال يسمح ليصبح الجسم. معظم النظم لن تجعل الثانية الشيك. انهم سوف مخبأ نتائج الفحص الأولى والثانية قاعدة الحصول على نتائج المخباه.

مثال : عندما يونيكس عملية يحاول قراءة الملف ، ونظام التشغيل الذي يقرر اذا سمح لعملية قراءة الملف. وإذا كان الأمر كذلك ، فإن عملية تلقي ملف واصف التشفير المسموح الوصول. كلما يريد ان عملية قراءة الملف ، وهو يعرض الملف واصف الى نواة. نواة ثم يتيح الوصول. واذا كان المالك للملف يرفض عملية اذن لقراءة الملف بعد الانتهاء من الملف واصف ويصدر ، لا تزال نواة سمح بدخولها. هذا المخطط ينتهك مبدأ الوساطه كاملة ، لأن الثانية ليست الوصول دققت. المخباه تستخدم القيمه ، مما يؤدي الى الحرمان من الحصول يجري غير فعالة.

مثلا : اسم حقل الخدمة (دياناس) مخابئ المعلومات ورسم الخرائط استضافة الأسماء إلى عناوين بروتوكول انترنت. واذا كان مهاجم قادر على "تسميم" المخبا عن طريق زرع ربط سجلات ا مزيف معالجة الملكيه الفكريه مع اسم احد المضيفه سوف طريق الاتصال بالانترنت الى آخر المضيفه بشكل خاطئ.

مبدأ مفتوحة تصميم

هذا المبدأ يشير الى ان التعقيد لا يضيف الامن.

مبدأ مفتوحة تصميم الدول ان امن اليه لا ينبغي ان يتوقف على السرية من التصميم أو التنفيذ.

والمصممين والمنفذين للبرنامج يجب الا يعتمد على سرية تفاصيل تصميمها وتنفيذها لضمان الامن. النمس بها يمكن للآخرين ان مثل هذه التفاصيل اما من خلال الوسائل التقنيه ، مثل التفكيك والتحليل ، او عن طريق وسائل غير تقني ، مثل البحث من خلال اوعية القمامه لشفره المصدر القوائم (يسمى "سلة المهملات - الغطس"). وإذا كان قوام البرنامج آمن يعتمد على جهل المستخدم ، ويستطيع المستخدم معرفة ان هزيمة الامن اليه. مصطلح "الامن من خلال الغموض" يجسد هذا المفهوم بالضبط.

وينطبق ذلك بصفة خاصة من البرمجيات ونظم الترميز. لأن الترميز هو غاية رياضية الموضوع ، ان شركات السوق الترميز او استخدام برمجيات التشفير لحمايه البيانات المستخدم في كثير من الاحيان مع احتفاظهم بتقديم الخوارزميات السرية. وقد اثبتت التجربه ان هذه السرية يضيف شيئا قليلا اذا لأمن النظام. والاسوأ من ذلك ، انه يعطي هالة من القوة التي هي غالبا ما تفتقر الى التنفيذ الفعلي للنظام.

حفظ كلمات المرور ومفاتيح ترميز سرية لا تنتهك هذا المبدأ ، بسبب رئيسي هو لا خوارزميه. ومع ذلك ، ابقاء فك التشفير والخوارزميات انه سينتهك السرية.

قضايا الملكيه البرمجيات والاسرار التجارية تعقيد تطبيق هذا المبدأ. وفي بعض الحالات ، يمكن لشركات لا نريد منها تصاميم ادلى العامة ، خشية استخدامها لمنافسيهم. ثم مبدأ يتطلب ان التصميم والتنفيذ تكون متاحة للناس ممنوعين من الكشف عليه خارج الشركة.

مثلا : مضمون نظام الجهاد (CSS) هي خوارزميه الترميز ان يحمي الفيلم أقراص دي في دي من النسخ غير المأذون به. فان القرص دي في دي له التوثيق الرئيسية ، قرص الرئيسية ، ويحمل عنوانا رئيسيا. عنوان رئيسي هو مشفر مع القرص الرئيسية. كتلة دي في دي يحتوى على عدة نسخ من القرص الرئيسية ، كل مشفر عن طريق مختلف لاعب رئيسي ، واختباري من القرص الرئيسية. متى سيتم ادراج دي في دي دي في دي أي لاعب ، خوارزميه يقرأ التوثيق الرئيسية. ومن ثم يحل القرص دي في دي باستخدام المفاتيح الفريده لاعب اساسي. عندما يجد الشفره الرئيسية مع تصحيح البعثره ، ويستخدم هذا المفتاح ليفكوا عنوان رئيسي ، ويستخدم عنوان مفتاح فك الفيلم. التوثيق والقرص المفاتيح ليست موجودة في ملف يحوي الفيلم ، حتى اذا نسخ ملف واحد ، واحدة لا تزال بحاجة الى قرص دى فى دى فى دى فى دى لاعب ليكون قادرا على اداء الفيلم. وفى عام 1999 ، قامت مجموعة فى النرويج اكتسب (البرامج) دي في دي لعب البرنامج الذي كان احد unenciphered الرئيسية. كما انها تستمد خوارزميه متوافقه تماما مع CSS خوارزميه من البرمجيات. وهذا مكنهم من فك اي ملف الفيلم دي في دي. البرمجيات التي يمكن ان اداء هذه المهام بسرعة ، اصبحت متاحة فى جميع انحاء الانترنت ، الى الكثير من الانزعاج من دى فى دى مراقبة حقوق التأليف والنشر للرابطة ، التي دعوى على الفور لمنع المدونه التي تبذل من الجمهور. كما لو ان نؤكد مشاكل توفير الامن عن طريق اخفاء الخوارزميات ، المدعي المحامين اودعت اعلانا يتضمن شفره المصدر تنفيذية للCSS خوارزميه. وعندما أدركوا ذلك ، وطلبوا ان تكون مختومه من اعلان الرأي العام. وبحلول ذلك الوقت ، ان الاعلان قد تنشر على عدة مواقع على شبكة الانترنت ، بما في آن واحد وكان اكثر من 21،000 عملية تنزيل من الاعلان امام المحكمه انها مختومه.

مبدأ الفصل بين امتياز

وهذا المبدأ هو تقييدا لانه يحد من الوصول الى منظومة الكيانات.

مبدأ الفصل بين امتياز الدول أن نظام لا ينبغي السماح للاستنادا الى شرط واحد.

هذا هو المعادل لمبدأ الفصل بين المبدأ واجب. شركة الشيكات لاكثر من 75،000 دولار ويجب ان يوقع على اثنين من موظفي الشركة. اما اذا لم توقع ، الشيك غير صحيح. الشرطين هي تواقيع ضباطا.

وبالمثل ، ونظم وبرامج منح الحصول على الموارد ينبغي ان نفعل ذلك الا عندما يكون هناك اكثر من شرط واحد هو الوفاء. وهذا يوفر غرامة محبب - السيطرة على الموارد ، فضلا عن تأكيد اضافي على ان الوصول هو اذن.

مثلا : بيركلي القائم على نسخ من نظام التشغيل يونيكس ، والمستخدمين لا يسمح للتغيير من حساباتهم الى جذور حساب الا اذا توافر شرطان. والشرط الأول هو أن المستخدم يعرف السبب الجذري لكلمة السر. والشرط الثاني هو ان المستخدم هو في العجله المجموعة (مجموعة مع رمز المجموعة 0). اما الجلسة ليست شرطا كافيا لاكتساب الوصول الى جذور ؛ الاجتماع كلا الشرطين هو المطلوب.

من حيث المبدأ لا تقل عن آلية مشتركة

وهذا المبدأ هو تقييدا لانه يحد من تقاسم.

مبدأ لا تقل عن آلية مشتركة للدول ان الآليات المستخدمة في الحصول على الموارد ينبغي ان لا تشاركه فيها.

وتقاسم الموارد ، ويوفر على طول قناة المعلومات التي يمكن نقلها ، وحتى هذا التقاسم ينبغي التقليل الى أدنى حد. في الممارسه ، واذا كان نظام التشغيل الذي يوفر الدعم لآلات الكترونيه ، ونظام التشغيل وسوف تنفذ هذه الميزه تلقائيا الى هذا الحد او ذاك. وإلا ، فانه سوف توفر بعض الدعم (مثل الذاكرة الافتراضيه الفضاء) ولكن ليس على الدعم الكامل (لأن نظام ملفات سيظهر المشتركة بين عدة عمليات).

مثلا : موقع على شبكة الانترنت يوفر خدمات التجارة الالكترونيه لاحدى الشركات الكبرى. المهاجمون يريدون حرمان الشركة من الايرادات التي تحصل عليها من موقع على شبكة الانترنت. انهم الفيضان الموقع والتعادل مع رسائل تتناول خدمات التجارة الالكترونيه. المشروعة الزبائن لا يستطيعون الوصول الى الموقع ، وكنتيجه لذلك ، تأخذ اعمالهم في اماكن اخرى. هنا ، وتقاسم الانترنت مع المهاجمين 'مواقع تسبب الهجوم على النجاح. المناسبه المضاد سيكون لتقييد المهاجمين في الوصول الى هذا الجزء من شبكة الانترنت صلة الى موقع على شبكة الانترنت. تقنيات للقيام بذلك تشمل بالوكاله خدمة مثل بوردو سين كانت ربه في اساطير النورس الوسيط او المرور الخنق. السابق اهدافا مشبوهة وصلات ؛ الاخير يقلل من الحمل على شريحة ذات الصلة للشبكة بشكل عشوائي.

مبدأ القبول النفسي

هذا مبدأ تعترف العنصر البشرى فى الكمبيوتر الامن.

مبدأ القبول النفسي الدول ان اليات الامن لا ينبغي ان نجعل من الموارد التي يصعب الوصول اليها اكثر مما لو كان الامن آليات لم تكن موجودة.

تشكيل وتنفيذ برنامج ينبغي ان تكون سهلة وكما حدس ممكن ، وبأي الناتج ينبغي ان يكون واضحا ، مباشرا ، ومفيدة. اذا المتصله بالامن البرمجيات هي بالغة التعقيد لتهيئة ، ربما عن غير قصد مديري النظام انشاء البرمجيات في nonsecure المناسب. وبالمثل ، المتصله بالامن المستخدم البرامج يجب ان تكون سهلة الاستعمال ويجب الناتج رسائل مفهومة. اذا كانت كلمة السر مرفوض ، وكلمة السر تغيير البرنامج ينبغي ان يذكر السبب وقد رفضه بدلا من اعطاء الامثال رسالة خطأ. اذا كان تشكيل ملف له بارامتر غير صحيح ، رسالة الخطأ التي ينبغي أن يصف البارامتر السليم.

مثلا : 19/4/2001 البرنامج تتيح للمستعمل ان انشاء آلية المفتاح العمومي للاتصالات بين نظم التشفير. تركيب وتشكيل اليات ليونيكس صيغة تسمح لأحد ان يرتب المفتاح العمومي تخزن محليا دون اي حمايه كلمة السر. في هذه الحاله ، ان المرء لا يحتاج الى كلمة سر لتوريد لربط نظام الناءيه ، ولكنها ستظل الحصول مشفر الصدد. هذه الاليه يرضي مبدأ القبول النفسي.

ومن ناحية اخرى ، فان الامن يتطلب ان الرسائل لا لزوم لها المعلومات ونقلها.

مثال : عندما يقوم المستخدم كلمة السر اللوازم خاطءه اثناء تسجيل الدخول ، وهذا النظام يجب ان نرفض محاولة مع رسالة تنص على ان فشل الدخول. واذا كان القول بأن كلمة السر غير صحيحة ، فإن المستخدم سوف نعرف ان اسم الحساب هو المشروعة. واذا كان "المستخدم" هي في الواقع غير مرخص به المهاجم ، فإنها عندئذ معرفة اسم أي حساب لأنها التي يمكن ان تحاول تخمين كلمة السر.

في الممارسه ، لمبدأ القبول النفسي هو تفسيرها على انها تعني ان الامن قد تضيف اليه بعض عبئا ، ولكن يجب ان تكون عبئا على حد سواء ، والحد الادنى المعقول.

ومن الامثله على ذلك : نظام الحاسوب يتيح للمستخدمين المكان كلمات السر على الملفات. ويتطلب الوصول الى الملفات ان برنامج العرض كلمة السر. ورغم ان هذه الاليه ينتهك مبدا كما ذكرت ، فإنه يعتبر الحد الادنى من الكفايه ليكون مقبولا. على نظام تفاعلي ، حيث نمط الملف المداخل هي اكثر شيوعا واكثر عابرة ، وهذا الشرط سيكون عبئا كبيرا جدا على ان تكون مقبولة.