На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера
№ 3 май-июнь 2013 г.
Тема номера:
Корпоративные центры мобильной безопасности
Систематика уязвимостей и дефектов безопасности программных ресурсов
А. С. Марков, кандидат технических наук, доцент кафедры «Информационная безопасность»
МГТУ им. Н. Э. Баумана
А. А. Фадин, главный конструктор
НПО «Эшелон»

Предыдущая статьяСледующая статья

В статье анализируются причины уязвимостей программных ресурсов и рассматриваются их современные таксономии и систематики. Кроме того, автором предложены принципы таксономии уязвимостей программ, основанной на дефектах безопасностей и таксономия уязвимостей программ, связанная с международными стандартами.

Введение

Проблема безопасности программ является одной из первостепенных в области информационной безопасности (ИБ), так как наличие уязвимостей в программных ресурсах информационных систем обуславливает возможность реализации промышленных компьютерных атак и вирусных эпидемий, а также причину разного рода непреднамеренных отказов и потери ресурсов. С учетом динамичности и сложности программ и развития технологий информационного противоборства решение указанной проблемы требует непрерывного совершенствования методов контроля, тестирования и испытаний, а именно: статического и динамического анализа, функционального тестирования, экспертиз бюллетеней безопасности, сканирования уязвимостей, антивирусного контроля и др. Синтез и комплексирование указанных подходов подразумевают систематизацию базовых понятий безопасности программного обеспечения (ПО). Но несмотря на то что подобные работы регулярно проводятся, в практике ИБ остается различное толкование понятия уязвимости ПО, в частности наиболее часто смешивают определения ошибок безопасного программирования и известных уязвимостей сетевых сервисов, недекларированных возможностей и программных закладок, скрытых каналов и скрытых криптографических каналов и т. п. В результате возникает не только путаница со средствами выявления уязвимостей и базами уязвимостей, но и с целями и результатами оценки соответствия. Отсутствие национального стандарта также ограничивает развитие отечественных инструментальных средств выявления дефектов и уязвимостей. Разработке предложений по иерархической классификации (таксономии) уязвимостей программ и принципам их построения (систематики) посвящена данная статья.

< ... >

warning!   Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»

Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        (812) 347-74-12, (921) 958-25-50


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2020 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100