اختبار الأمان
عودة للموسوعةاختبار الأمان هوعملية تهدف إلى الكشف عن العيوب في آليات الأمان لنظام المعلومات التي تحمي البيانات وتحافظ على وظائفها على النحوالمنشود. نظرًا للقيود المنطقية لاختبار الأمان ، فإن اجتياز اختبار الأمان ليس مؤشراً على عدم وجود عيوب أوحتى النظام يفي بمتطلبات الأمان بشكل كاف.
قد تتضمن متطلبات الأمان النموذجية عناصر محددة من السرية والنزاهة والمصادقة والتوافر والترخيص وعدم التنصل. تعتمد متطلبات الأمان العملية التي تم اختبارها على متطلبات الأمان التي ينفذها النظام نفسه. اختبار الأمان كمصطلح له عدد من المعاني المتنوعة ويمكن إكماله ووصفه بعدد من الطرق المتنوعة. على هذا النحو، يساعدنا تصنيف الأمان على فهم هذه الطرق والمعاني المتنوعة من خلال توفير مستوى أساسي للعمل منه.
السرية
- هوالتدبير الأمني الذي يحمي من الكشف عن المعلومات لأطراف أخرى غير المستلم المقصود وهوبأي حال من الأحوال الطريقة الوحيدة لضمان الأمن.
النزاهة
يشير تكامل المعلومات إلى حماية المعلومات من التعديل بواسطة جهات غير مصرح بها
- تدبير مخصص للسماح للمستقبل بتحديد صحة المعلومات التي يوفرها النظام.
- غالبًا ما تستخدم أنظمة النزاهة بعضًا من التقنيات الأساسية نفسها مثل مخططات السرية ، ولكنها تتضمن عادةً إضافة معلومات إلى الاتصال ، لتشكيل أساس عملية التحقق من الخوارزميات ، بدلاً من تشفير جميع الاتصالات.
- للتحقق من نقل المعلومات السليمة من تطبيق إلى آخر.
المصادقة
قد يشتمل ذلك على تأكيد هوية إنسان ما ، أوتتبع أصول بترة أثرية ، أوالتأكد من حتى المنتج هوما تدعي عبوته وتوسيمه ، أوالتأكد من حتى برنامج الكمبيوتر هوبرنامج موثوق به.
التفويض/الترخيص
- عملية تحديد السماح لمقدم الطلب باستلام خدمة أوإجراء عملية.
- التحكم في الوصول هومثال للترخيص.
التوافر
- التأكد من حتى خدمات المعلومات والاتصالات ستكون جاهزة للاستخدام عند تسقطها.
- يجب حتى تظل المعلومات متاحة للأشخاص المصرح لهم عندما يحتاجون إليها.
عدم التنصل/الرفض
- بالإشارة إلى الأمن الرقمي ، يعني عدم التنصل ضمان إرسال رسالة منقولة واستلامها من قبل الأطراف التي تزعم أنها قد أوفدت الرسالة واستقبلتها. عدم التنصل هووسيلة لضمان عدم تمكن مرسل الرسالة لاحقًا من رفض إرسال الرسالة وعدم تمكن المستلم من رفض استلام الرسالة.
تصنيفات اختبار الأمان
المصطلحات الشائعة المستخدمة لتقديم اختبار الأمان هي تكون تحت مراحل أساسية يمكن جردها كالتالي:
- فترة الاكتشاف - الغرض من هذه الفترة هوتحديد الأنظمة ضمن النطاق والخدمات المستخدمة. ليس الغرض منه اكتشاف نقاط الضعف ، ولكن اكتشاف الإصدار قد يسلط الضوء على الإصدارات المهملة من البرامج / البرامج الثابتة ، وبالتالي يشير إلى نقاط الضعف المحتملة.
- فترة فحص الثغرات الأمنية - بعد فترة الاكتشاف ، تبحث هذه الفترة عن مشكلات الأمان المعروفة باستخدام الأدوات الآلية لمطابقة الظروف مع الثغرات الأمنية المعروفة. يتم تعيين مستوى المخاطرة المُبلغ عنه تلقائيًا بواسطة الأداة دون التحقق اليدوي أوالتفسير من قبل بائع الاختبار. يمكن استكمال ذلك بمسح مستند إلى بيانات الاعتماد يتطلع إلى إزالة بعض الإيجابيات الخاطئة الشائعة عن طريق استخدام بيانات الاعتماد المزودة للمصادقة مع خدمة (مثل حسابات windows المحلية).
- فترة تقييم الثغرات الأمنية - يستخدم هذا الكشف بمسح الثغرات الأمنية وذلك لتحديد الثغرات الأمنية ووضع النتائج في سياق البيئة قيد الاختبار. ومن الأمثلة على ذلك إزالة الإيجابيات الخاطئة الشائعة من التقرير وتحديد مستويات المخاطر التي ينبغي تطبيقها على جميع تقرير يخلص إلى تحسين فهم الأعمال والسياق.
- فترة تقييم الأمان - يعتمد على تقييم الثغرات الأمنية عن طريق إضافة التحقق اليدوي لتأكيد التعرض ، ولكنه لا يضم استغلال الثغرات الأمنية للوصول إلى مزيد من الوصول. يمكن حتىقد يكون التحقق في شكل وصول مصرح به إلى نظام معين لتأكيد إعدادات النظام ويتضمن فحص السجلات ، واستجابات النظام ، ورسائل الخطأ ، والرموز ، وما إلى ذلك. يتطلع تقييم الأمان إلى الحصول على تغطية واسعة للأنظمة قيد الاختبار ، ولكن ليس العمق التعرض الذي قد يؤدي إلى ثغرة أمنية محددة.
- فترة اختبار الاختراق - إختبار الاختراق يحاكي عمليات الهجوم من قبل أطراف ضارة. بناء على المراحل السابقة ، هوأيضاً يتضمن استغلال الثغرات الموجودة للوصول إلى مزيد من عمليات الوصول. سيؤدي استخدام هذا النهج إلى فهم قدرة المهاجم على الوصول إلى المعلومات السرية والتأثير على سلامة البيانات أوتوفر الخدمة والتأثير ذي الصلة. يتم التعامل مع جميع اختبار باستخدام منهجية متسقة وكاملة بكيفية تسمح للاختبار باستخدام قدراته في حل المشكلات ، والإخراج بمجموعة من الأدوات المعهدية الخاصة بالشبكات والأنظمة لإيجاد الثغرات الأمنية التي لا يمكن تحديدها بواسطة الأدوات الآلية. ينظر هذا النهج إلى عمق الهجوم مقارنةً بنهج التقييم الأمني الذي ينظر إلى التغطية الأوسع.
- التدقيق الأمني - مدفوعًا بوظيفة التدقيق / المخاطرة للنظر في معضلة تحكم أوالتزام محددة. يتميز هذا النطاق من المشاركة بنطاق ضيق ، ويمكنه الاستفادة من أي من الأساليب السابقة التي تمت مناقشتها ( تقييم الثغرات الأمنية ، تقييم الأمان ، اختبار الاختراق).
- مراجعة الأمان - التحقق من تطبيق معايير الأمان أوالصناعة الداخلية على مكونات النظام أوالمنتج. يتم إكمال هذا عادةً من خلال تحليل الفجوات ويستخدم مراجعات البناء / الرمز أوعن طريق مراجعة مستندات التصميم والرسوم البيانية. لا يستخدم هذا النشاط أيًا من الطرق السابقة (تقييم الثغرات الأمنية ، تقييم الأمان ، اختبار الاختراق ، تدقيق الأمان).
المراجع
- ↑ "Introduction to Information Security" US-CERT https://www.us-cert.gov/security-publications/introduction-information-security
التصنيفات: أمن الحاسوب, اختبار البرمجيات, بوابة برمجيات/مقالات متعلقة, جميع المقالات التي تستخدم شريط بوابات, صفحات بترجمات غير مراجعة