Тестування безпеки

Тестування безпеки (англ. Security testing) - оцінка вразливості програмного забезпечення до різних атак.

Комп'ютерні системи дуже часто є мішенню незаконного проникнення. Під проникненням розуміється широкий діапазон дій: спроби хакерів проникнути в систему із спортивного інтересу, помста розсерджених службовців, взлом шахраями для незаконної наживи. Тестування безпеки перевіряє фактичну реакцію захисних механізмів, вбудованих в систему, на проникнення. У ході тестування безпеки випробувач грає роль хакера, який намагається знайти в системі вразливі місця. Йому дозволено все:

  • Спроби дізнатися пароль за допомогою зовнішніх засобів;
  • Атака системи за допомогою спеціальних утиліт, які аналізують захищеність;
  • Подавлення, перевантаження системи (в надії, що вона відмовиться обслуговувати інших клієнтів);
  • Цілеспрямоване введення помилок з ціллю проникнути в систему в ході відновлення;
  • Перегляд несекретних даних з метою знайти ключ для входу в систему.

При необмеженому часі і ресурсах хороше тестування безпеки взламає будь-яку систему. Завдання проектувальника системи - зробити ціну проникнення більш високою, ніж ціна одержуваної в результаті інформації.

Тестування безпеки являє собою процес, який використовується для визначення захисту даних інформаційної системи при збереженні функціональності.

Шість основних аспектів безпеки, з яких складається тестування безпеки є: конфіденційність, цілісність, аутентифікація, доступність, авторизації і безвідмовність. Тестування безпеки як термін має кілька різних значень і може бути інтерпретований різними способами. Таксономія безпеки допомагає нам зрозуміти ці різні підходи і значення, надаючи базовий рівень, з якого можна розпочинати роботу по забезпеченню безпеки.

Конфіденційність

  • Міра безпеки, яка захищає інформацію від розкриття іншим сторонам, крім одержувача. Ця міра в жодному разі не є єдиним способом забезпечення безпеки.

Цілісність

  • Дозволяє клієнту визначити, що інформація, яку він отримує від системи, є правильною.
  • Схеми цілісності часто використовують деякі з основних технологій, як конфіденційність схеми, але вони зазвичай включають інформацію в повідомлення на основі алгоритмічних перевірок, а не кодування всього канала.

Ідентифікація

  • Цей етап включає в себе підтверждення особи, простежуючи хід виконання тих чи інших дій. Також, ця міра гарантує, що ПЗ надає клієнту таку інформацію, яку має надавати.

Авторизація

  • Процес визначення того, чи є дозвіл в користувача отримувати ту чи іншу послугу або виконати операцію.

Управління доступом є прикладом авторизації.

Доступність

  • Забезпечення того, що інформація та комунікаційні сервіси будуть готові для використання тоді, коли очікується.
  • Інформація повинна бути доступна для авторизованих осіб, в будь-який момент.

Безвідмовність

  • Відносно цифрової безпеки, безвідмовність означає запевнення того, що повідомлення, яке передається, було відправлено і отримано саме тими сторонами, які цим займалися. Безвідмовність гарантує те, що відправник і отримувач повідомлення не зможуть згодом відмінити свої дії.

Таксономія тестування безпеки

Загальні терміни, які використовуються в тестуванні безпеки:

  • Визначення - Метою даного етапу є визначення системи в межах її обсягу та послуг, які при цьому задіяні. Цей етап не призначений для виявлення вразливих місць. Визначення версії допомагає знайти зміни з попередніх версій програмного забезпечення і таким чином вказати на потенційні вразливості.
  • Пошук вразливостей - Після етапу виявлення цей етап перевіряє на наявність відомих проблем безпеки за допомогою автоматизованих засобів відповідно до умов. Рівень повідомлень ризику встановлюється автоматично за допомогою інструменту, без ручної перевірки або втручання тестувальника. Також, цей етап може бути доповнений певним скануванням, яке базується на ідентифікації. Воно слідкує за деякими помилковими спрацьовуваннями системи за допомогою облікових даних для перевірки (наприклад, локальні облікові записи Windows).
  • Оцінка вразливості - цей етап визначає і використовує сканування для пошуку вразливостей, які згодом розміщує в контексті навколишнього середовища. Прикладом може служити видалення загальних помилкових спрацьовувань із звіту та виявлення рівня ризиків, які повинні бути застосовані до кожного спрацьовування для покращення розуміння системи та її контексту.
  • Оцінка безпеки - базується на оцінці вразливості, за рахунок додавання ручної перевірки для підтвердження експозиції, але не включає експлуатацію вразливостей, щоб отримати більш широкий доступ. Перевірка може проводитися у вигляді несанкціонованого доступу до системи, щоб підтвердити налаштування та захист системи, задіяти системний лог, повідомлення про помилки, коди і т.д. За допомогою оцінки безпеки тестувальники прагнуть отримати широке представлення системи, але без подробиць про її внутрішню функціональність.
  • Випробування на проникнення - Тест проникнення імітує напад зловмисників. Ґрунтуючись на попередніх етапах та включаючи в себе використання знайдених вразливостей, тест намагається отримати більш широкий доступ до системи. При використанні цей підхід приводить до розуміння того, як зловмисник отримає доступ до конфіденційної інформації та повпливає на цілісність даних. Кожен тест розрахований на використання постійної та повноцінної методології таким чином, що дозволяє тестеру використовувати свої здібності, щоб вирішувати проблеми, які виходять за межі дії їх інструментів, їх власних знань та досвіду. Це допомагає знайти ті вразливості, які б не були ідентифіковані ні одним автоматизованим засобом. Цей підхід ґрунтується на типі атаки в порівнянні з оцінкою безпеки системи, яка охоплює більш широку зону системи.
  • Аудит безпеки - це функція, яка дивитися на конкретний елемент керування або дотримання його специфіки. Охарактеризований вузькою сферою, цей тип взаємодії може використовувати як будь-який з підходів, що обговорювався раніше (оцінка вразливості, оцінка безпеки, тест проникнення).
  • Огляд Безпеки - підтвердження того, що галузеві стандарти або внутрішня безпека були застосовані до компонентів системи або продукту. Це, як правило, робиться в ході аналізу недоліків і використовує побудову / огляд коду або виконується шляхом перегляду проектної документації та архітектури діаграм. Ця дія не використовує будь-яку з попередніх підходів (оцінка вразливості, оцінка безпеки, тест проникнення, аудит безпеки).

Посилання

Read other articles:

Gusko Budori no Denki

Artikel ini sebatang kara, artinya tidak ada artikel lain yang memiliki pranala balik ke halaman ini.Bantulah menambah pranala ke artikel ini dari artikel yang berhubungan atau coba peralatan pencari pranala.Tag ini diberikan pada November 2022. グスコーブドリの伝記Gusko Budori no DenkiSutradaraGisaburo SugiiSkenarioGisaburo SugiiBerdasarkanGusko Budori no Denkioleh Kenji MiyazawaPemeranShun OguriShiori KutsunaPenata musikRyota KomatsuPerusahaanproduksiTezuka ProductionsTangga...

 

Gummy (penyanyi)

GummyInformasi latar belakangNama lahirPark Ji YeonLahir8 April 1981 (umur 42)AsalSeoul, Korea SelatanGenreSoul, contemporary R&B hip hopPekerjaanPenyanyiInstrumenVokal , PianoTahun aktif2003–sekarangLabelYG Entertainment (2003–2013)C-JeS Entertainment (2013–)[1]Situs webGummy's Official Facebook Nama lahirHangul박지연 Hanja朴智妍 Alih AksaraBak Ji-yeonMcCune–ReischauerPak ChiyŏnNama panggungHangul거미 Alih AksaraGeomiMcCune–ReischauerKŏmi Park Ji Yeon (Ha...

 

Daftar bukit pasir ekstraterestrial

Ini mungkin terlihat seperti pepohonan di Mars, tapi sebenarnya bukanlah pohon. Kelompok garis-garis coklat tua yang difoto oleh Mars Reconnaissance Orbiter ini memperlihatkan mencairnya bukit pasir merah muda yang ditutupi embun beku. Gambar ini diambil di dekat Kutub Utara Mars, pada musim semi 2010. Objek setinggi 25 sentimeter yang terpetakan pada gambar ini, lebar aslinya sekitar satu kilometer. Close up dari beberapa bagian gambar ini menampilkan penampakan seperti bulu yang mengepul y...

Sandra Olga

Biografi ini memerlukan lebih banyak catatan kaki untuk pemastian. Bantulah untuk menambahkan referensi atau sumber tepercaya. Materi kontroversial atau trivial yang sumbernya tidak memadai atau tidak bisa dipercaya harus segera dihapus, khususnya jika berpotensi memfitnah.Cari sumber: Sandra Olga – berita · surat kabar · buku · cendekiawan · JSTOR (Desember 2023) (Pelajari cara dan kapan saatnya untuk menghapus pesan templat ini) Sandra OlgaLahir10 Ap...

 

Tragic Week (Spain)

Social revolt You can help expand this article with text translated from the corresponding article in Spanish and Catalan. (March 2018) Click [show] for important translation instructions. View a machine-translated version of the Spanish article. Machine translation, like DeepL or Google Translate, is a useful starting point for translations, but translators must revise errors as necessary and confirm that the translation is accurate, rather than simply copy-pasting machine-translated te...

 

New York City FC

New York City FCNama lengkapNew York City Football ClubBerdiri21 Mei 2013; 10 tahun lalu (2013-05-21)StadionStadion Yankee(Kapasitas: 28,743[1](maksimal sampai 47,422)[2])PemilikCity Football Group (80%)Yankee Global Enterprises (20%)[3]CEOBrad SimsPelatih kepalaNick Cushing (interim)LigaMajor League Soccer2021Wilayah timur: ke-4Keseluruhan: ke-8Play-off:JuaraSitus webSitus web resmi klub Kostum kandang Kostum tandang Musim ini New York City FC adalah tim sep...

Floriana

Floriana Il-FurjanaDewan lokal BenderaLambang kebesaranLokasi di MaltaNegara MaltaLuas • Total0,94 km2 (36 sq mi)Populasi (2014) • Total2.205 • Kepadatan23/km2 (61/sq mi)Kode ISO 3166-2MT-09Situs webhttp://www.florianalocalcouncil.com Floriana adalah salah satu dewan lokal di Malta. Menurut sensus 2014, Floriana memiliki luas 0,94 kilometer persegi dan populasi 2.205 jiwa. Kode ISO 3166-2 daerah ini adalah MT-09. Referensi City...

 

Agrippa d'Aubigné

French poet Agrippa d'AubignéBorn8 February 1552Château de Saint-Maury, Pons, Charente-Maritime, FranceDied29 April 1630(1630-04-29) (aged 78)Geneva, SwitzerlandOccupationPoetsoldierNationalityFrenchPeriod16th centuryGenrePoetryLiterary movementBaroque Théodore-Agrippa d'Aubigné (French pronunciation: [teo.dɔʁ aɡʁipa dobiɲe], 8 February 1552 – 29 April 1630) was a French poet, soldier, propagandist and chronicler. His epic poem Les Tragiques (1616) is wide...

 

NGC 4444

Galaxy in the constellation Centaurus NGC 4444DSS image of NGC 4444Observation data (J2000 epoch)ConstellationCentaurusRight ascension12h 28m 36.419s[1]Declination−43° 15′ 42.15″[1]Redshift0.009771[1]Heliocentric radial velocity2915 km/s[1]Distance(38.8 ± 5.7 Mpc)[2]CharacteristicsTypeSAB(rs)bc[3]Mass5.8 × 109[4] M☉Apparent size (V)2′.4 × 1′.6[5]Other designationsMCG -07-26-007...

VXL

Computer Vision Library This article has multiple issues. Please help improve it or discuss these issues on the talk page. (Learn how and when to remove these template messages) The topic of this article may not meet Wikipedia's general notability guideline. Please help to demonstrate the notability of the topic by citing reliable secondary sources that are independent of the topic and provide significant coverage of it beyond a mere trivial mention. If notability cannot be shown, the article...

 

Stefan Wyszyński

Stefan Wsyzynski (1901-1981), Ia adalah seorang Uskup Polandia di Gereja Stefan Wyszyński (3 Agustus 1901 – 28 Mei 1981) adalah seorang uskup Polandia di Gereja Katolik Roma.[1][2] Ia menjabat sebagai uskup Lublin 1946-1948, Uskup Agung Warsawa dan Uskup Agung Gniezno 1948-1981.[1][2] Wyszynski diangkat kardinal pada 12 Januari 1953 oleh Paus Pius XII, Ia diasumsikan mendapatkan gelar Primate Polandia.[1] Stefan Wyszynski sering disebut...

 

جورج الأول بطريرك الإسكندرية

جورج الأول   معلومات شخصية تاريخ الوفاة القرن 7  اللقب بطريرك الحياة العملية الكنيسة بطريركية الإسكندرية للروم الأرثوذكس السلف يوحنا الرحيم الخلف المقوقس المراتب سيامته الأسقفية 621-631 المهنة موظف ديني  [لغات أخرى]‏  تعديل مصدري - تعديل   جورج الأول بطريرك �...

American Public Television

American public television syndicator Not to be confused with Alabama Public Television. American Public TelevisionFormerlyEastern Educational Network (1960–1980)Interregional Program Service (1980–1992)American Program Service (1992–2000)Company typeNon-profitIndustryPublic televisionTelevision syndicationFoundedFebruary 9, 1960; 64 years ago (1960-02-09)HeadquartersBoston, Massachusetts, U.S.Area servedWorldwideWebsiteaptonline.org American Public Television (APT) is...

 

Batek people

Group of Malaysian indigenous people For the language, see Batek language. Ethnic group Batek people Orang Batek / BateqA Batek familyTotal population1,359 (2010)[1]Regions with significant populations Malaysia (Pahang, Kelantan, Terengganu)LanguagesBatek language, Malay languageReligionTraditional religion and significant adherents of Islam, Christianity and Buddhism.Related ethnic groupsSemang (Jahai people, Lanoh people), Negritos (Maniq people, Philippine Negritos, Andamanese...

 

Architettura postmoderna

Voci principali: Architettura del Novecento, Postmodernismo. (EN) «The Post-Modern Age is a time of incessant choosing. It's an era when no orthodoxy can be adopted without self-consciousness and irony, because all traditions seems to have some validity.» (IT) «L'era post-moderna è un'epoca in cui si devono fare continuamente delle scelte. È un'epoca in cui non può essere adottata alcuna ortodossia senza imbarazzo e ironia, perché tutte le tradizioni sembrano avere una qualche validit...

Oquaga Creek State Park

State park in New York, United States Oquaga Creek State ParkArctic Lake at Oquaga Creek State Park.Location of Oquaga Creek State Park within New York StateTypeState parkLocation5995 County Route 20 Bainbridge, New York[1]Nearest cityBainbridge, New YorkCoordinates42°10′34″N 75°25′34″W / 42.176°N 75.426°W / 42.176; -75.426Area1,385 acres (5.60 km2)[2]Created1979 (1979)Operated byNew York State Office of Parks, Recreation...

 

Ritratto di signora (film)

Ritratto di signoraNicole Kidman in una scena del filmTitolo originaleThe Portrait of a Lady Paese di produzioneStati Uniti d'America Anno1996 Durata142 min Generedrammatico RegiaJane Campion Soggettodal romanzo di Henry James SceneggiaturaLaura Jones ProduttoreMonty Montgomery, Steve Golin Casa di produzionePolyGram Filmed Entertainment, Propaganda Films FotografiaStuart Dryburgh MontaggioVeronika Jenet Effetti specialiFabio Traversari, Kent Houston MusicheWojciech Kilar ScenografiaJanet Pat...

 

Iran ai Giochi della XXXIII Olimpiade

Voce principale: Iran ai Giochi olimpici. Iran ai Giochi della XXXIII OlimpiadeParigi 2024 Codice CIOIRI Comitato nazionaleComitato Olimpico Nazionale della Repubblica Islamica dell'Iran Atleti partecipanti40 in 14 discipline Di cui uomini/donne29 - 11 PortabandieraMahdi Olfati e Neda Shahsavari (apertura) Medagliere Posizione 21ª 3 6 3 12 Cronologia olimpica (sommario)Giochi olimpici estivi 1900 · 1904 · 1908 · 1912 · 1920 · 1924 · 1928...

Vanwall

VanwallSede Regno UnitoLondra CategorieFormula 1 Dati generaliAnni di attivitàdal 1951 al 1962 Fondatore Tony Vandervell Formula 1Anni partecipazioneDal 1954 al 1960 Miglior risultato1 campionato mondiale costruttori di Formula 1(1958) Gare disputate28 Vittorie9 Thinwall Special (1952-1954) Vanwall VW5 al Gran Premio di Gran Bretagna 1957 La Vanwall fu una scuderia automobilistica britannica degli anni cinquanta del XX secolo, attiva nella Formula 1. Il nome Vanwall è una parola m...

 

Zoroastrianism

Iranian religion founded by Zoroaster This article needs more complete citations for verification. Please help add missing citation information so that sources are clearly identifiable. (April 2024) (Learn how and when to remove this message) ZoroastrianismAtash Behram at the Fire Temple of Yazd in IranTypeEthnic religionClassificationIranianScriptureAvestaTheologyDualistic[1][2]LanguageAvestanFounderZoroaster (traditional)Originc. 2nd millennium BCE Iranian PlateauSepar...