Компоненты Безопасности Архитектура
Комплексная безопасность архитектуры лучше всего достигается посредством все более гранулированных подход, который начинается с внешней точки зрения и прогрессирует посредством деталей выполнения. В следующие компоненты организовать информацию, необходимую для создания приложений архитектуры безопасности:
· Оценка рисков и ответ
· требования безопасности
· Дизайн этапа безопасности
· Осуществление этапа безопасности
Установить этап по безопасности
Оценка рисков является важным процессом в развитии любого продукта или применения. Создание заявки начинается с искрой идея. Вполне вероятно, что применение этой идее решает проблемы или создает новые полезности или новшеством, которое было ранее сделано неэффективно или неэффективно, или не сделано вообще, существующих приложений. Хотя анализ делается для определения недостатков в зависимости от пожилых приложений, безопасности зачастую забывают. Тенденция сосредоточиться исключительно на функциональность приложения и обеспечивает выгоды для прямого дилемму решает он повышает потенциал риска для безопасности. Очень важно для решения проблем безопасности в заявке, а также функциональные проблемы.
Таким образом, первый этап создания приложений архитектуры безопасности заключается в том, чтобы документ, риски, связанные с существующих приложений, которые должны быть заменены на новые творения. Разработчики должны также отметить риски, связанные с получением, с которой новая программа будет взаимодействовать. Новое применение часто сталкивается всех вопросов безопасности, что подобные заявления лицом, а также новые вопросы, которые возникают в результате нововведений.
Оценка рисков безопасности в заявке требует некоторой осмотрительности по части применения дизайнеров; Если дизайнеры есть уровень безопасности, опыт, усилия по оценке рисков быстро становится меньше. Наиболее фундаментальные исследования, что определяет вопросы безопасности, связанные с применение предполагает поиск в архивах поставщиков поддержку специальных вопросов. На сайтах этих организаций в целом специальных помещений и форумов, сообщить наличие исправлений проблем безопасности в их применении. Это исследование дает ощущение общих проблем, стоящих перед новой заявки и функциональность он предоставляет. Дальнейшие исследования в области безопасности конкретных форумов дает больше технических подробностей о характере тех проблем, а также широком смысле этого вопросов безопасности, связанных с конкретной области применения.
Как уязвимости в соответствующих технических областях исследований, важно документ них. Создание перечня угроз безопасности и уязвимости помогает создать возможности для применения в рамках развития, в определении того, какие вопросы могут повлиять на развитие новых.
Известные уязвимости существующей применение может обеспечить намеки на присутствие или отсутствие в архитектуре безопасности в ее дизайн. В уязвимости часто можно квалифицировать как осуществление изъяны, недостатки конструкции и функциональные недостатки. Осуществление недостатки связаны с фактическими код использовать для применения; Они обеспечивают лишь небольшую сумму на понимание архитектуры безопасности. Дизайн и функциональные недостатки отражают мысли и усилия положить в разработке применения. Заявка в архитектуре безопасности подчеркивает и укрепляет функциональность путем осознания безопасности неотъемлемой частью. Недостатки конструкции и функции оставить отверстия в тщательности функциональность, часто создает угрозы безопасности.
Рассмотрим функциональность не предусмотрено
Сильные конструкций признать функциональность, а также то, что не предусмотрено. На самом базовом уровне функциональности можно определить, какие заявления делает. Это делается под абсолютно позитивный взгляд поскольку он излагается только то, что заявление делает в самых нетронутых условиях. Он наивно полагает, что мир совершенства и что ничего плохого никогда не случится, когда приложение работает. Это означает, что все мероприятия будут абсолютно понятны и соответствуют ожидаемым вкладом "mold" - например, "Все пользователей будет буквенно-цифровых значений в длину и определяется не пользователь, случайно или введите символ, не будь рядом или письма. " Эта точка зрения также предполагает, что все сети будут от известных клиентов, и эти клиенты будут общаться все с надлежащим протокола - например, "Все клиенты при подключении к применению будут придерживаться известных сообщений последовательности, необходимые для выполнения определенной коммуникации. " Наконец, предполагается, что все взаимодействие с операционной системой происходит в стерильных условиях, что применение ожидает - например, "Каждый файл, который изменяется всегда существует и в нужном формате." Очевидно, это не всегда так, и нельзя ожидать. К сожалению, многие приложения редко сверх этого уровня проектирования. Комплексный дизайн учитывает недостатки в реальном мире. А дизайн этого характера признает, что установление правил и схем обеспечивает надежность.
Учитывая как позитивные, так и негативные сценарии для приложений операции является жизненно важным при создании заявки. Негативное мнение определяет реакцию неизвестных материалов, неверный синтаксис и связь, и аномальные условия, которые могут произойти. В заявке необходимо ответить правильно на события, которые не будут или определены. В таблице ниже сравниваются базовой конструкции в сравнении с более полной разработки и воздействия каждого из них на вводимого пользователем, файл доступа, и клиентской соединений.
Действие основных сравнению с более всеобъемлющей безопасности разработки по применению функций | ||
| Осуществляется применением функции | В базовой конструкции | Что комплексного проекта |
| Пользователь Input | Заявка получает неверный ввод и аварии, поскольку не буквенно-цифровые стоимость неправильно. | Заявка рассматривается вклад в недействительные значения и в ответ сообщение об ошибке, что свидетельствует о не буквенно-цифровые значения не было обнаружено. |
| Файл Доступ | Заявка предполагает найти файл базы данных в нужном формате, готовы и ждут доступа. Напротив, плохо отформатированный файл или ссылку на другой файл, что зовут открыл данных становится поврежден, и применение аварий. | Применение проверяет наличие именованный файл, который имеет соответствующий тип, а также внутренний формат файла. |
| Подключения клиентов | Применение ожидает клиенту подключиться с первого сообщения, "привет." Если клиент подключается и передает любого другого значения, применение ждать бесконечно, запрещение любого другого клиента от подключения, и не функционирует. | Применение подтверждает передачу и реагирует с предупреждением о том, что сообщение было получено неожиданное значение. |
Степень, в которой дизайнеры и разработчики сформулировать ответы на отрицательные результаты играет значительным фактором в надежности и безопасности приложения. Хотя зачастую бывает сложно и невозможно четко обрабатывать все известные исключения, общие правила могут быть легко созданы для обработки нежелательных событий. Эти три примера нынешней чрезвычайно простой сценарии, которые могут показаться нереальными, но все произошло несколько раз во многих случаях.
Приезжайте сюда для гарантированной безопасности
Эта дискуссия была бы неполной без упоминания сторонних организаций, будь то коммерческие или общественным достоянием, чтобы обеспечить безопасность программного обеспечения, развитие комплекты и оборудование для повышения безопасности применения. Многие из этих коммерческих организаций представить свою продукцию как "гарантируется" безопасности.
Однако нет аппаратного или программного обеспечения заменить собой хорошо продуманный дизайн. Зачастую, менеджеры, дизайнеры, разработчики основания полагать, что добавление некоторых сложных и дорогостоящих компонентов, безопасности, предлагаемых коммерческой безопасности организации оказывает "гарантируется" безопасности. Это просто не соответствует действительности; "Гарантируется" безопасность является ошибочной. Эта концепция preys о жертвах, которые понимают безопасность как функция или компонент, который может быть подключен в безопасности для немедленного удовлетворения.
Мало заявок лишены безопасности компонентов, но это не достаточно просто включить наиболее широко известных компонентов, с тем чтобы вынести разработке и осуществлении безопасности. Включение безопасности компонентов, без учета их использования не повысить безопасность приложения и могут, по сути, препятствует его. В предлагаемых продуктов безопасности компании очень ценным и полезным, когда используется правильно, но они не могут гарантировать безопасность заявки. Включение сторонних технологий безопасности должны быть проверены на предмет полезности и стоимости, с учетом требований безопасности, которые созданы для применения.
Опровержение: Наш сайт не несет ответственности за информацию, содержащуюся в этой статье. Эта статья никоим образом не отражает взгляды, мнения, мысли или веры каталог статей сотрудников.
Перевод уведомления: В статье "Компоненты Безопасности Архитектура" была переведена с использованием автоматизированной службы перевода. Мы приносим извинения за любые ошибки перевода, что произошло. Спасибо за понимание.
Online: 317 users browsing the articles directory
 . |