تصميم آمن (حوسبة)

في هندسة البرمجيات، آمن تصميميًا أو آمن بالتصميم تعني أن البرمجية مصممة لتكون آمنة بشكل أساسي.

جزء من سلسلة مقالات حول
أمن المعلومات
مفاهيم رئيسة
التهديدات
الحماية
شعار بوابة بوابة أمن المعلومات

تأخذ الاستراتيجيات والتكتيكات والأنماط الأمنية البديلة في الاعتبار في بداية تصميم البرمجية، ويختار أفضلها وتنفيذها حسب البنية، ويتم استخدامها كمبادئ توجيهية للمطورين. [1] كما يتم تشجيعه لاستخدام أنماط تصميم إستراتيجية لها تأثيرات مفيدة على الأمن، حتى لو لم تكن أنماط التصميم في الأصل مصصمة مع أخذ الأمن في الاعتبار. [2]

أصبح التصميم الآمن نهج التطوير السائد شيئًا فشيئًا لضمان أمان وخصوصية أنظمة البرمجيات، حيث يتم أخذ الأمان في الاعتبار ودمجه في النظام في كل طبقة ويبدأ ببنية قوية. تعتمد قرارات تصميم البنية الأمنية على استراتيجيات وتكتيكات وأنماط أمنية معروفة يتم تعريفها على أنها تقنيات قابلة لإعادة الاستخدام لتحقيق اهتمامات محددة تتعلق بالجودة. توفر التكتيكات/الأنماط الأمنية حلولًا لفرض متطلبات مطلوبة كالمصادقة والترخيص والسرية التامة وسلامة البيانات والخصوصية والمساءلة والتوافر والسلامة وعدم التنصل، حتى عندما يتعرض النظام للهجوم. [3] من أجل ضمان أمان نظام برمجي، ليس من المهم فقط تصميم بنية أمنية قوية مقصودة بل من الضروري أيضًا رسم استراتيجيات وتكتيكات وأنماط أمنية محدثة لتطوير البرمجيات من أجل الحفاظ على استمرارية الأمن.

توقع الهجمات

يجب افتراض حدوث هجمات ضارة على البرمجيات، ويتم توخي الحذر لتقليل التأثير. يُتوقع وجود ثغرات أمنية إلى جانب إدخال غير صالح من المستخدم. [4] يرتبط ارتباطًا وثيقًا بممارسة استخدام تصميم "جيد" للبرمجية -مثل تصميم مقاد بالنطاق- كوسيلة لزيادة الأمان عن طريق تقليل مخاطر إتاحة فرص لثغرات أمنية، حتى على الرغم من أن مبادئ التصميم المستخدمة لم يتم تصميمها في الأصل لأغراض أمنية.

تجنب الأمن من خلال الغموض

بشكل عام، التصميمات التي تعمل بشكل جيد لا تعتمد على كونها سرية. في كثير من الأحيان تقلل السرية من عدد المهاجمين عن طريق تثبيط مجموعة فرعية من التهديد. المنطق هو أنه إذا كانت هناك زيادة في التعقيد بالنسبة للمهاجم، فإن جهد المهاجم المتزايد لتسوية الهدف يثبط عزيمته. في حين أن هذه التقنية تنطوي على تقليل المخاطر الكامنة فإن مجموعة لا حصر لها تقريبًا من الجهات الفاعلة والتقنيات التهديدية المطبقة بمرور الوقت ستؤدي إلى فشل معظم الأساليب السرية. ليس بالضرورة لكن الأمان المناسب يسمح عادةً للجميع بمعرفة تصميمه وفهمه لأنه آمن. ويمتاز بالسماح لعديد من الأشخاص بإلقاء نظرة على نص الحاسوب البرمجي، مما يزيد من احتمالات العثور على أي عيوب في وقت أقرب (راجع قانون لينوس). ويعاب بالسماح للمهاجمين بالحصول على الرمز البرمجي، مما يسهل عليهم العثور على نقاط ضعف لاستغلالها. ومع ذلك، يُعتقد بشكل عام أن ميزة المصدر المفتوح تفوق عيوبه.

صلاحيات أقل

ومن المهم أيضًا أن يعمل كل شيء بأقل قدر ممكن من الصلاحيات. على سبيل المثال، يمكن أن يتمتع خادم ويب يعمل كمستخدم إداري ("جذر" أو "مسؤول") بامتياز إزالة الملفات والمستخدمين. وبالتالي فإن وجود خلل في مثل هذه البرمجية يمكن أن يعرض النظام بأكمله للخطر، في حين أن خادم ويب يعمل داخل بيئة معزولة، ويتمتع فقط بالامتيازات الخاصة بوظائف الشبكة ونظام الملفات المطلوبة، فلا يمكنه تعريض النظام الذي يعمل عليه للخطر ما لم يكن الأمان المحيط به في حد ذاته معيب أيضا.

المنهجيات

يجب أن يكون التصميم الآمن في الاعتبار خلال جميع مراحل دورة حياة التطوير (أيًا كانت عملية تطوير البرمجيات المختارة). توجد بضعة منهجيات تطوير تصميم آمن معدة مسبقًا.

المعايير والتشريعات

توجد معايير وتشريعات لمساعدة التصميم الآمن بالتحكم في تعريف "آمن" وتوفير خطوات محددة لاختبار الأنظمة الآمنة ودمجها.

بعض الأمثلة على المعايير التي تغطي أو تتطرق إلى مبادئ التصميم الآمن:

  • معيار المعهد الأوروبي لمعايير الاتصالات TS 103 645 [5] والذي تم تضمينه جزئيًا في "مقترحات حكومة المملكة المتحدة لتنظيم الأمن السيبراني للمنتجات الذكية الاستهلاكية" [6]
  • تغطي سلسلة ISO/IEC 27000 العديد من جوانب التصميم الآمن.

بنيات الخادم/العميل

في بنيات الخادم/العميل، قد لا تكون البرمجية الموجودة في الطرف الآخر عميلاً معتمدًا وقد لا يكون خادم العميل خادمًا معتمدًا. وحتى عندما يكون الأمر كذلك، فإن هجوم الوسيط يمكن أن يضر بالاتصالات.

غالبًا ما تكون أسهل طريقة لكسر أمان نظام العميل/الخادم هي عدم الانتقال مباشرةً إلى آليات الأمان، بل بالالتفاف حولها. يعد هجوم الوسيط مثالًا بسيطًا على ذلك، حيث يمكن استخدامه لجمع التفاصيل لانتحال شخصية المستخدم. ولهذا السبب من المهم مراعاة التعمية والتلبيد وآليات أمان أخرى في التصميم للتيقن من أن المعلومات التي جمعها مهاجم لن تسمح بالوصول.

الميزة الرئيسية الأخرى لتصميم أمان خادم العميل هي ممارسة البرمجة الجيدة. على سبيل المثال، يمكن أن يساعد اتباع هيكل تصميم برمجي معروف -مثل العميل والوسيط- في تصميم هيكل متين. علاوة على ذلك، إذا كان سيتم تعديل البرمجية في المستقبل، فمن الأهم أن يتبع أساسًا منطقيًا للفصل بين العميل والخادم. وذلك لأنه إذا جاء مبرمج ولم يتمكن من فهم ديناميكيات البرمجية بوضوح، فقد ينتهي به الأمر إلى إضافة أو تغيير شيء قد يسبب ثغرة أمنية. حتى مع أفضل التصاميم، يظل هذا احتمالًا واردًا، ولكن كلما كان توحيد التصميم أفضل، قلت فرصة حدوث ذلك.

أنظر أيضا

مراجع

  1. ^ Santos، Joanna C. S.؛ Tarrit، Katy؛ Mirakhorli، Mehdi (2017). "A Catalog of Security Architecture Weaknesses". 2017 IEEE International Conference on Software Architecture Workshops (ICSAW). ص. 220–223. DOI:10.1109/ICSAW.2017.25. ISBN:978-1-5090-4793-2. S2CID:19534342.
  2. ^ Dan Bergh Johnsson؛ Daniel Deogun؛ Daniel Sawano (2019). Secure By Design. Manning Publications. ISBN:9781617294358.
  3. ^ Hafiz، Munawar؛ Adamczyk، Paul؛ Johnson، Ralph E. (أكتوبر 2012). "Growing a pattern language (For security)". Proceedings of the ACM international symposium on New ideas, new paradigms, and reflections on programming and software. ص. 139–158. DOI:10.1145/2384592.2384607. ISBN:9781450315623. S2CID:17206801.
  4. ^ Dougherty، Chad؛ Sayre، Kirk؛ Seacord، Robert C.؛ Svoboda، David؛ Togashi، Kazuya (أكتوبر 2009). "Secure Design Patterns". DOI:10.1184/R1/6583640.v1. {{استشهاد بدورية محكمة}}: الاستشهاد بدورية محكمة يطلب |دورية محكمة= (مساعدة)
  5. ^ "ETSI TS 103 645" (PDF). مؤرشف من الأصل (PDF) في 2024-05-28.
  6. ^ "Policy paper: Proposals for regulating consumer smart product cyber security - call for views". مؤرشف من الأصل في 2024-05-04.

روابط خارجية

Read other articles:

Artur Rasizade

Artur RasizadeNama dalam bahasa asli(az) Artur Tahir oğlu Rəsizadə BiografiKelahiran26 Februari 1935 (89 tahun)Ganja   Daftar Perdana Menteri Azerbaijan 4 November 2003 – 21 April 2018 ← Ilham Aliyev   Daftar Perdana Menteri Azerbaijan 20 Juli 1996 – 4 Agustus 2003 ← Fuad Guliyev (en) – Ilham Aliyev → Data pribadiAgamaIslam PendidikanAzerbaijan State Oil and Industrial University (en) (–1957) KegiatanPeker...

 

 

Strada statale 193 di Augusta

Strada statale 193di AugustaLocalizzazioneStato Italia Regioni Sicilia DatiClassificazioneStrada statale InizioSS 114 presso Augusta FineAugusta Lunghezza5,250[1] km Provvedimento di istituzioneD.P.R. 27 maggio 1953, n. 782[2] GestoreANAS Manuale La strada statale 193 di Augusta (SS 193) è una strada statale italiana che collega la strada statale 114 Orientale Sicula con la città di Augusta. Indice 1 Descrizione 1.1 Tabella percorso 2 Note 3 Altri progetti Descrizione S...

 

 

Mashiko, Tochigi

Mashiko 益子町Kota kecil BenderaLambangLokasi Mashiko di Prefektur TochigiNegara JepangWilayahKantōPrefektur TochigiDistrikHagaPemerintahan • Wali kotaTomoyuki ŌtsukaLuas • Total89,4 km2 (345 sq mi)Populasi (Oktober 1, 2015) • Total23.281 • Kepadatan260,4/km2 (6,740/sq mi)Zona waktuUTC+09:00 (JST)Kode pos321-4293Simbol  • PohonPinus densiflora • BungaLilium auratum •...

The Maze (novel)

For other books with a similar title, see Maze (disambiguation) § Books. This article has multiple issues. Please help improve it or discuss these issues on the talk page. (Learn how and when to remove these template messages) The topic of this article may not meet Wikipedia's notability guideline for books. Please help to demonstrate the notability of the topic by citing reliable secondary sources that are independent of the topic and provide significant coverage of it beyond a mere tr...

 

 

Rutgers Campus Buses

Bus service used by students at Rutgers University in the US This article uses bare URLs, which are uninformative and vulnerable to link rot. Please consider converting them to full citations to ensure the article remains verifiable and maintains a consistent citation style. Several templates and tools are available to assist in formatting, such as reFill (documentation) and Citation bot (documentation). (August 2022) (Learn how and when to remove this template message) Rutgers Campus BusesRu...

 

 

SMA Negeri 2 Blitar

SMA Negeri 2 BlitarInformasiDidirikan20 Maret 1984JenisNegeriAkreditasiA (2008)[1]Nomor Statistik Sekolah20535051Nomor Pokok Sekolah Nasional301056501002Jurusan atau peminatanIlmu Alam, Ilmu SosialRentang kelasX, XI, dan XIIKurikulum2013AlamatLokasiJl. Ciliwung No. 396 Kelurahan Tanggung Kecamatan Kepanjenkidul, Blitar, Jawa Timur, IndonesiaTel./Faks.(0342) 802229Situs [email protected] UPT SMA Negeri 2 Blitar, atau disebut juga sebagai Sma...

Unione Sportiva Femminile Salernitana

Disambiguazione – Se stai cercando l'omonima designazione societaria della AC Salernitana Femminile, attiva dal 1982 al 2010, vedi Associazione Calcio Salernitana Femminile. U.S.F. SalernitanaCalcio Le Granatine, le girls Segni distintivi Uniformi di gara Casa Trasferta Colori sociali Granata Simboli Ippocampo Dati societari Città Salerno Nazione  Italia Confederazione UEFA Federazione FIGC Fondazione 1971 Scioglimento1977 Stadio Stadio Donato Vestuti(9 000 posti) Palmarès Tito...

 

 

1974 Ellice Islands self-determination referendum

Referendum 1974 Ellice Islands self-determination referendum July–September 1974 [_] The establishment of a separate Ellice Islands Colony.[_] To remain with the Gilberts as part of the GEIC and what the colony becomes when its status is altered.Results Choice Votes % Separate Ellice Islands Colony 3,799 92.84% Remain in the GEIC 293 7.16% Valid votes 4,092 99.03% Invalid or blank votes 40 0.97% Total votes 4,132 100.00% Registered voters/turnout 4,676 88.37% Politics of Tuvalu Government C...

 

 

Urbino

For the bus series, see Solaris Urbino. Comune in Marche, ItalyUrbino Urbìn (Romagnol)ComuneComune di Urbino Coat of armsLocation of Urbino UrbinoLocation of Urbino in ItalyShow map of ItalyUrbinoUrbino (Marche)Show map of MarcheCoordinates: 43°43′N 12°38′E / 43.717°N 12.633°E / 43.717; 12.633CountryItalyRegionMarcheProvincePesaro and Urbino (PU)FrazioniCa' Mazzasette, Canavaccio, Castelcavallino, La Torre, Mazzaferro, Pieve di Cagna, San Marino, Schieti,...

UTC+0

UTCLocalizzazione del fuso UTCDenominazioni Greenwich Mean Time (GMT) Western European Time (WET) CodiceZ Differenza da UTC0 Longitudine equivalenteMeridiano di Greenwich (0°) Superficie emersa≈ 5 100 000 km² Popolazione≈ 223 000 000 Densità≈ 44 ab./km² Paesi o territori18 in inverno13 in estate UTC è il fuso orario di base del Tempo universale coordinato. Utilizzano questo fuso orario tre categorie di Stati: quelli che lo usano tutto l'...

 

 

貝廷

貝廷是巴西的城市,位於該國東南部,距離里約熱內盧461公里,由米納斯吉拉斯州負責管轄,始建於1938年12月17日,面積345平方公里,海拔高度860米,受熱帶氣候影響,2006年人口407,003。 參考資料 这是一篇與巴西相關的地理小作品。你可以通过编辑或修订扩充其内容。查论编 查论编 米納斯吉拉斯州市鎮首府及最大城市:贝洛奥里藏特 巴巴塞納巴巴塞納 阿尔弗雷多瓦斯�...

 

 

A&W Restaurants

Artikel ini bukan mengenai A&W Root Beer. A&W Restaurants, Inc.JenisAnak usahaIndustriMakanan cepat sajiDidirikanLodi, California, Amerika Serikat (1919 (1919))KantorpusatLexington, Kentucky, United StatesCabanglebih dari 1.000Wilayah operasiseluruh duniaProdukHot dog, root beer, cheese curds, hamburger, ayamIndukA Great American Brand LLCSitus webwww.awrestaurants.com A&W Restaurants adalah jaringan restoran siap saji yang tersebar di seluruh dunia. Restoran ini pertama kali...

Doctor Who: The Adventure Games

2010 video gameDoctor Who: The Adventure GamesDeveloper(s)Sumo DigitalPublisher(s)BBC Wales InteractiveLegacy Games (Steam)Director(s)Sean MillardWriter(s)Phil FordJames MoranComposer(s)Murray GoldSeriesDoctor WhoEngineEmmersionPlatform(s)Microsoft Windows, Mac OSRelease5 June 2010 (2010-06-05)—31 October 2011Genre(s)Graphic adventureMode(s)Single-player Doctor Who: The Adventure Games is an episodic adventure video game based on the BBC television series Doctor Who and deve...

 

 

Fannan Hasib

Fannan Hasib Bupati Sampang ke-13Masa jabatan2013 – 2017PresidenSusilo Bambang Yudhoyono Joko WidodoGubernurImam Utomo Setia Purwaka (Plt.) SoekarwoWakilFadhilah BudionoPendahuluNoer TjahjaPenggantiFadhilah Budiono Informasi pribadiLahir(1961-12-12)12 Desember 1961Sampang, Jawa TimurMeninggal3 Mei 2017(2017-05-03) (umur 55)Surabaya, Jawa TimurPartai politikPPPSuami/istriAnik AmanillahAnak3Sunting kotak info • L • B Drs. K.A Fannan Hasib (12 Desember 1961 ...

 

 

2007 Northampton Borough Council election

2007 UK local government election 2007 Northampton Borough Council election ← 2003 3 May 2007 2011 → All 45 seats in the Northampton Borough Council23 seats needed for a majority   First party Second party Third party   Party Liberal Democrats Conservative Labour Last election 17 19 11 Seats won 26 15 5 Seat change 9 4 6 Popular vote 38,400 31,044 19,462 Percentage 40.0 32.4 20.3 Map showing the results of the 2007 Northampton Borough Counci...

Mutation (genetic algorithm)

Genetic operation used to add population diversityPart of a series on theEvolutionary algorithm Artificial development Artificial life Cellular evolutionary algorithm Cultural algorithm Differential evolution Effective fitness Evolutionary computation Evolution strategy Gaussian adaptation Grammar induction Evolutionary multimodal optimization Particle swarm optimization Memetic algorithm Natural evolution strategy Neuroevolution Promoter based genetic algorithm Spiral optimization algorithm ...

 

 

馮白駒

冯白驹冯裕球中华人民共和国浙江省副省长任期1963年4月 - 1966年 中华人民共和国广东省副省长任期1954年12月 - 1958年1月 个人资料性别男别名冯继周(学名)出生(1903-06-07)1903年6月7日 大清帝國广东省琼州府琼山县云龙镇长泰村逝世1973年7月19日(1973歲—07—19)(70歲) 中国北京市国籍 中华人民共和国政党 中国共产党配偶曾惠予儿女女儿冯尔超、冯尔敏、冯尔曾儿...

 

 

Ritmo Perfeito

2014 studio album by AnittaRitmo PerfeitoStudio album by AnittaReleased3 June 2014 (2014-06-03)Recorded2014StudioU.M. Music (Rio de Janeiro, Brazil)Genre Pop electropop R&B Length30:55LanguagePortuguese, SpanishProducer Toninho Aguiar Head Media Rafael Castilhol Danilo Sinna Anitta chronology Anitta(2013) Ritmo Perfeito(2014) Meu Lugar(2014) Singles from Ritmo Perfeito CobertorReleased: 24 May 2014 Na BatidaReleased: 29 July 2014 Ritmo PerfeitoReleased: 10 December ...

UFC 75

UFC 75: Champion vs. ChampionProdotto da{{{Prodotto da}}} Data8 settembre 2007 Città Londra, Regno Unito SedeThe O2 Arena Spettatori16.235 Cronologia pay-per-viewUFC 74: RespectUFC 75: Champion vs. ChampionUFC Fight Night: Thomas vs Florian Progetto Wrestling Manuale UFC 75: Champion vs. Champion è stato un evento di arti marziali miste tenuto dalla Ultimate Fighting Championship l'8 settembre 2007 alla The O2 Arena di Londra, Regno Unito. Indice 1 Retroscena 2 Risultati 2.1 Card preliminar...

 

 

French corsairs

Not to be confused with Piracy.French privateers authorized by the French crown The statue of Robert Surcouf on the northern wall of Saint-Malo in Brittany.The finger of the statue points out to sea towards England Corsairs (French: corsaire) were privateers, authorised to conduct raids on shipping of a foreign state at war with France, on behalf of the French crown. Seized vessels and cargo were sold at auction, with the corsair captain entitled to a portion of the proceeds. Although not Fre...