ДТ хавфсизлиги принциплари (OWASP)
Минимал имтиёзлар принципи
- Ахборот хавфсизлиги, информатика, дастурлаш ва бошқа соҳаларда кенг қўлланилувчи минимал имтиёзлар принципи (ингл. Principle of least privilege) бу – ҳисоблаш муҳитидаги у ёки бу абстракция даражасида ресурсларга мурожаатни ташкил қилиш принципи бўлиб, бунга кўра ҳар бир модул ўз вазифасини тўлақонли бажариши учун зарур бўлган ресурс ёки ахборотдан минимал даражада фойдаланишни талаб этади.
Мисол:
- Турли вақт ўтказиш учун ишлаб чиқилган мобил ўйин дастурлар SMS хабарни ўқиш ёки қўнғироқ қилиш имкониятига эга бўлиши шарт эмас.
Мисол Дастурлар тилларида (масалан, Java) объектлардан фойданишни чеклаш учун турли калит сўзлардан фойдаланилади:
|
Default
|
Private
|
Protected
|
Public
|
Бир хил класс
|
+
|
+
|
+
|
+
|
Бир пакет қисмкласси
|
+
|
-
|
+
|
+
|
Бир пакет қисмкласс бўлмаган
|
+
|
-
|
+
|
+
|
Турли пакет қисмкласслари
|
-
|
-
|
+
|
+
|
Турли пакет қисмкласс бўлмаган
|
-
|
-
|
-
|
+
| ДТ хавфсизлиги принциплари (OWASP)
Теран ҳимоя принципи
- Ушбу принципга кўра, битта назоратнинг бўлиши яхши, кўплаб назоратлардан фойдаланиш эса яхшироқ. Теран ҳимояда фойдаланилган назоратлар турли заифлик орқали бўлиши мумкин бўлган таҳдидларни камайтиради.
- Хавфсиз дастур ёзиш орқали эса, кириш қийматини текширишни, марказлашган аудитни бошқаришни ва фойдалувчиларни барча саҳифаларга киришларини талаб қилишлари мумкин.
Мисол:
- Агар нотўғри ишлаб чиқилган администратор интерфейси, тармоққа киришни тўғри очса, фойдаланувчиларни авторизациясини текширса ва барча ҳолатларни қайд қилса, у аноним ҳужумга бардошсиз бўлиши мумкин эмас.
Do'stlaringiz bilan baham: |
