هيكل امني شامل هو أفضل طريقة لتحقيق ذلك من خلال نهج متزايد حبيبي ان يبدأ من خارجي من خلال وجهة نظر وتقدم تفاصيل التنفيذ. المكونات التالية تنظيم المعلومات اللازمة لانشاء هيئة للتطبيق الهيكل الامني :
|
|
• تقييم المخاطر والاستجابة
• المتطلبات الأمنية
• مرحلة التصميم الامن
• تنفيذ المرحلة الأمن
تقييم المخاطر هي عملية هامة فى تطور اي منتج او التطبيق. خلق الطلب ويبدأ شرارة فكرة. ومن المرجح أن تطبيق هذه الفكره لا يحل مشكلة ، او يقدم فائدة او الابتكار الجديدة التي سبق ان فعلت غير فعال أو غير فعال ، أو عدم القيام به على الاطلاق ، من جانب التطبيقات القائمة. في حين ان التحليل هو القيام به لتحديد أوجه القصور في وظيفة من التطبيقات القديمة ، والاعتبارات الأمنية هي غالبا ما ينسى. الميل الى التركيز بشكل صارم على وظيفة طلب ويوفر مزايا واضحة الى انه يحل معضله الزيادات المحتملة للخطر الامن. ومن المهم للغاية فى حل المشاكل الأمنية للطلب ، فضلا عن المشاكل الوظيفيه.
ولذا ، فإن المرحلة الأولى في انشاء هيئة للتطبيق الهيكل الامني هو الوثيقة الى المخاطر الكامنة في التطبيقات الحالية التي هي الى ان تستبدل بها خلق جديد. مطوري ينبغي ايضا ملاحظه المخاطر المتصله طلبا مع البرنامج الجديد الذي سوف تتفاعل. الطلب الجديد غالبا ما يواجه كل من القضايا الامنية التى تواجه تطبيقات مماثلة ، وكذلك القضايا الجديدة التي تنشأ من الابتكار.
تقييم المخاطر الامنية لتطبيق بعض يقتضي الحرص على تطبيق جزء من المصممين ؛ اذا كان المصممون لها اي مستوى من الخبرة الامنية ، وبذل جهد لتقييم المخاطر التي سرعان ما يصبح اصغر. أبسط البحوث ان يحدد المسائل الامنية مع التطبيقات ذات الصلة ينطوي على البحث من خلال محفوظات بائع - دعم قضايا محددة. مواقع الانترنت من هذه المنظمات ، بوجه خاص المجالات والمحافل أن تعلن توافر الرقع الى المشاكل الامنية في تطبيقاتها. هذا البحث يعطي احساسا من القضايا المشتركة التى تواجهها الطلب الجديد والوظيفيه التي يقدمها. اجراء المزيد من البحوث في الامن - منتديات محددة توفر المزيد من التفاصيل الفنية حول الطبيعة من المشاكل ، وكذلك بمعنى أوسع من القضايا الامنية ذات الصلة الى تطبيق محدد المجال.
كما اوجه الضعف في المجالات التقنيه ذات الصلة هي البحث ، ومن المهم ان الوثيقة لها. انشاء قائمة من المخاطر الامنية ونواحي الضعف يساعد على انشاء مجال للتطبيق في اطار التنمية ، عن طريق تحديد القضايا التى من المحتمل ان تؤثر على التطور الجديد.
نقاط الضعف المعروفة من قائمة تطبيق يمكن ان توفر نحو تلميحات وجود او عدم وجود جهاز امني في تصميمها. نقاط الضعف في كثير من الاحيان يمكن ان تصنف على انها تنفيذ العيوب ، عيوب التصميم ، وعيوب وظيفيه. تنفيذ عيوب تتعلق الفعليه المدونه التي استخدمت لصنع التطبيق ؛ انها لا توفر سوى قدر ضئيل من البصيره الى الهيكل الامنى. تصميم وعيوب فنية تعكس فكر وجهد في وضع تصميم للتطبيق. طلب مع هيكل امني يبرز ويعزز القدرة الوظيفيه عن طريق جعل الوعي الامني جزءا اصيلا منه. أوجه القصور في تصميم وظيفة اجازة الثقوب في شموله وظيفة ، وغالبا ما خلق مخاطر امنية.
تصاميم قوية تعترف الوظيفة المنصوص عليها ، فضلا عن ان الذي لا ينص على. أبسط مستوى الاداء الوظيفي وتحديد ما هو ممكن طلب ةل. ويتم ذلك في اطار نظرة ايجابية تماما لانه يحدد فقط ما طلب هل في ظل أشد الظروف البكر. بسذاجه انها تفترض ان العالم على ما يرام وانه ليس سيئا على الاطلاق ان يحدث عندما يركض وتطبيق. وهذا يعني ان جميع المدخلات ستكون مفهومة تماما وتناسب المتوقع مساهمه "القالب" - على سبيل المثال ، "جميع اسماء المستخدمين وسيتم ابجدي - رقمي قيم عازما طول وليس المستخدم ، سواء صدفة أو خلاف ذلك ، ادخل هذا الطابع ليس أما عدد او رسالة. " ويفترض هذا الرأي أيضا ان جميع وصلات شبكيه سيكون من المعروف العملاء ، وذلك من شأنه ان جميع هؤلاء العملاء الاتصال مع حسن البروتوكول - على سبيل المثال ، "جميع العملاء الى ربط تطبيق ستتقيد المعروفة للمراسلة سلسلة المطلوبة لأداء تعريف الاتصال. " وأخيرا ، فهي تفترض ان جميع التفاعل مع نظام التشغيل الذي يحدث في بيئة معقمه ان تطبيق تتوقع - على سبيل المثال ، "كل ملف على ان يجري تعديل وهو موجود دائما بالشكل الصحيح." ومن الواضح ان هذه الحاله ليست بالضروره ولا يمكن ان يتوقع. ومما يؤسف له ان العديد من التطبيقات ونادرا ما جعلها تتجاوز هذا المستوى من التصميم. تصميم شاملة تأخذ في الاعتبار جوانب القصور في العالم الحقيقي. تصميم من هذا النوع تعترف بأن وضع قواعد وخطط توفر الموثوقيه.
النظر الايجابية والسلبيه على السواء سيناريوهات لتطبيق تشغيل امر حيوي عند انشاء تطبيق. فإن النظرة السلبيه يعرف رد فعل على المدخلات غير معروفة ، غير صالحة لغوي والاتصالات ، والأوضاع الشاذة التي يمكن ان تحدث. تطبيق بحاجة الى الاستجابة بشكل ملائم الى الاحداث التي ليس من المتوقع او تعريفها. الجدول ادناه مقارنة بين وضع التصميم الاساسي مقابل اكثر شمولا تصميم وآثار كل منهما على مدخلات المستخدمين ، والوصول الى الملف ، وصلات العملاء.
اثار الاساسية مقابل اكثر شمولا الامن التصميم على تطبيق المهام | ||
| يتم تطبيق وظيفة | مع التصميم الاساسي | مع تصميم شاملة |
| مدخلات المستخدم | تطبيق غير صالح يتلقى مدخلات وتحطم بسبب عدم ابجدي - رقمي هو قيمة يساء فهمي. | ويبحث تطبيق المدخلات غير صالحة للقيم ويستجيب مع رسالة خطأ ، مما يدل على عدم ابجدي - رقمي قيمة وجد. |
| وصول الملف | تطبيق تتوقع لايجاد ملف قاعدة البيانات في شكل سليم ، وعلى استعداد للانتظار وصول. وبدلا من ذلك ، وجود سوء بصيغة ملف او وصله الى ملف آخر بهذا الاسم هو فتح ، ويصبح افسدتها البيانات ، وتطبيق تحطم. | تطبيق ضوابط لوجود اسمه ان الملف هو من النوع المناسب ، وكذلك الشكل الداخلي للملف. |
| العميل صلات | وتتوقع تطبيق عميل للربط مع الرسالة الاولى التي يجري "مرحبا". اذا كان يربط العملاء ويرسل أي قيمة أخرى ، في انتظار تطبيق غير مسمى ، وتنكر أي الزبائن الآخرين من ربط ، وهو لم تعد تعمل. | تطبيق يصدق الارسال ويستجيب مع تحذير يشير الى انه تلقى رسالة غير متوقعة القيمه. |
الدرجة التي مصممي ومطوري صياغه اجوبه على النتائج السلبيه تلعب عاملا هاما فى الموثوقيه والأمن للطلب. ولئن كان من الصعب في كثير من الاحيان وغير قابل للتطبيق لمعالجة كل معروف صراحة استثناء ، قواعد عامة يمكن بسهولة انشاء لمعالجة أحداث غير مرغوب فيه. هذه ثلاثة امثلة على هذا بسيط للغاية السيناريوهات التي قد تبدو غير واقعيه ، ولكن كل حدثت أكثر من مرة في العديد من التطبيقات.
هذا النقاش سيكون ناقصا من دون الإشارة الى طرف ثالث المنظمات ، سواء كانت تجارية او المشاع ، أن توفير الأمن والبرمجيات والتطوير مجموعات ، وأجهزة لتعزيز امن التطبيقات. كثير من هذه المنظمات التجارية الحالية منتجاتها كما توفر "ضمان" الامن.
ومع ذلك ، ليس هناك اي أجهزة او برامج بديلا عن مدروسه بعناية وتصميم. في كثير من الاحيان ، والمديرين ، ومصممي ومطوري هي ما يحمله على الاعتقاد بأن اضافة معقدة ومكلفه بعض العناصر الأمنية التي توفرها تجاري لمنظمة الامن ينص على "ضمان" الامن. وهذا ببساطة غير صحيح ؛ "يضمن" الامن هو مغالطه. هذا المفهوم الفرائس على الضحايا الذين يفهمون الامن بوصفه سمة او عنصر يمكن ان تسد في لالامنية المباشره الارتياح.
قليلة تطبيقات تخلو من عناصر الامن ، ولكنه لا يكفي لمجرد ادراج الاكثر شيوعا المعروفة في المكونات لكي تضفي على التصميم أو التنفيذ امنا. ادراج عناصر الامن دون النظر لاستخدامها لا يعزز من أمن الطلب ويمكن ، في الواقع ، تكبله. المنتجات التي توفرها شركات الامن هي قيمة جدا ومفيدة عندما تستخدم على الوجه الصحيح ، ولكنها لا تستطيع ان تضمن امن الطلب. ادراج طرف ثالث الامن التكنولوجيات ينبغي دراسة للجدوى وقيمة ، وبالنظر إلى المتطلبات الامنية التي انشئت لتطبيق.
Online: 966 users browsing the articles directory
|
|