105
Security flaw
T
əhlükəsizlik çatı − səlahiyyətlərin təyin
edilməsi və ya sistemin
mühafiz
ə vasitələrinin yaradılması, reallaşdırılması və ya idarə
edilm
əsi zamanı buraxılan səhv, təhlükəsizliyin pozulmasına gətirib
çıxara bilər.
Security kernel
T
əhlükəsizlik nüvəsi – Etibarlı Hesablama Bazasında müraciətlər
monitoru konsepsiyasını həyata keçırən proqram və aparat
elementl
əri. Onlar subyektlərin obyektlərə bütün giriş cəhdlərini
ayırmalı, dəyişdırılməkdən mühafizə olunmalı və öz funksiyalarını
düzgün yerin
ə yetirmələri yoxlanılmalıdır.
Security level
T
əhlükəsizlik səviyyəsi − informasiyanın kritiklik səviyyəsini
göst
ərən iyerarxik təsnifatın (giriş səviyyəsi) və qeyri-iyerarxik
kateqoriyaların kombinasiyası.
Security metrics
T
əhlükəsizlik metrikaları – informasiya təhlükəsizliyi üzrə
faəliyyətin qiymətləndirilməsi ilə əlaqəli relevant verilənlərin
toplanması, analizi və hesabat verilməsi yolu ilə qərar qəbul
e
dilməsini asanlaşdırmaq, faəliyyətin məhsuldarlığını və
hesabatlılığı yaxşılaşdırmaq üçün nəzərdə tutulmuş alətlərdir. Sadə
yanaşmada, metrikalar təhlükəsizliyi ölçmək, xüsusilə təşkilatın
təhlükəsizlik səviyyəsini ölçmək üçün standartdır.
İnformasiya təhlükəsizliyinin səviyyəsini qiymətləndirmək üçün
əsasən üç termin istifadə edilir: ölçmə (ing
. measurement),
göst
əricilər (ing
. measures) və təhlükəsizlik metrikaları (ing
.
security metrics).
Onlar çox zaman sinonim kimi
şlədilir (xüsusilə
ikinci v
ə üçüncü), çünki fəaliyyətdə olan sistemlərdən emal
edilm
əmiş informasiyanın (ing
. raw data) bilavasitə toplanması
zamanı alınırlar. Lakin bu terminlərin mənaları müxtəlifdir, emal
edilm
əmiş informasiyanın toplanması və analizi zamanı müxtəlif
h
ərəkətlər yerinə yetirilir. Təhlükəsizlik metrikası göstəricinin
106
k
əmiyyət qiymətlərini almaq üçün ölçülən sistemin bir
və ya bir
neç
ə obyektinə ölçmə metodunun tətbiqinin nəticəsidir.
Security Operations Center (SOC)
T
əhlükəsizlik Əməliyyatları Mərkəzi – təşkilati və texniki
s
əviyyədə
t
əhlükəsizlik məsələləri ilə
m
əşğul
olan
m
ərkəzləşləşdirilmiş bölmə.
Security policy
T
əhlükəsizlik siyasəti − əsasında kritik informasiyanın idarə
edilm
əsinin, yayılmasının və mühafizəsinin qurulduğu qanunlar,
qaydalar v
ə praktiki təcrübələr.
Security policy model
T
əhlükəsizlik siyasəti modeli − sistem üçün işlənmiş təhlükəsizlik
siyas
ətinin formal təsviri. Bu modeldə kritik informasiyanın idarə
edilm
əsini, yayılmasını və mühafizəsini müəyyən edən formal
t
əsvirlər verilməlidir.
Security posture
T
əhlükəsizlik duruşu – daxili və xarici
təhdidlərə ünvanlanan
texniki v
ə qeyri-texniki elementləri (siyasət, prosedurlar və nəzarət
kimi)
əhatə edir.
Sensitive information
Kritik informasiya
− itirilməsi,
qeyri-düzgün istifadəsi,
modifikasiyası və ya açılması milli maraqlara ziyan vura bilən və ya
milli proqramların yerinə yetirilməsinə mane ola bilən və ya ayrıca
şəxslərin maraqlarına ziyan vura bilən, lakin bununla belə milli
müdafi
ə və ya xarici siyasət maraqlarına toxunmayan istənilən
informasiya.
Kommersiya sektorunda kritik informasiya anlayışı
analoji daxil edilir − itirilməsi, qeyri-düzgün istifadəsi,
modifikasiy
ası və ya açılması şirkətin və ya digər təşkilatın
maraqlarına maddi və ya qeyri-maddi (mənəvi ziyan) formada ziyan
vura bil
ən informasiya.
107
Separation of duties
V
əzifələrin bölünməsi – kritik informasiya üçün məsuliyyətin elə
bölünm
əsidir ki, ayrılıqda fəaliyyət göstərən fərd verilənlərin emalı
sisteminin yalnız məhdud hissəsinin təhlükəsizliyini risk altına sala
bilsin.
S-HTTP (Secure HTTP)
T
əhlükəsiz HTTP – HTTP protokolunun genişləndirilmiş variantı,
veb-serverl
ə
veb-
brauzer
arasında
ötürülən verilənlərin
şifrlənməsini, həmçinin serverin və kliyentin autentifikasiyasını
t
əmin edir. 1999-cu ildə RFC 2660 kimi nəşr olunmuşdu. Microsoft
v
ə Netscape kimi veb-brauzer istehsalçıları HTTPS-i
d
əstəklədiklərindən S-HTTP geniş yayılmamışdır.
S-
HTTP yalnız ötürülən səhifədəki verilənləri
və POST sahəsindəki
veril
ənləri şifrləyir, lakin ilkin protokola dəyişiklıik etmir. Bunun
say
əsində, S-HTTP protokolu HTTP ilə paralel işləyə və eyni
portdan istifad
ə edə bilir, çünki paketin şifrlənməyən başlığı
ötürül
ən verilənlərin tipini (şifrlənmiş və şifrlənməmiş) müəyyən
edir.
Situational awareness
Situasiyadan m
əlumatlılıq – zaman və məkan
çərçivəsində
mü
əssisənin təhlükəsizlik duruşunun və təhdidlər mühitinin başa
düşülməsi.
Skimminq
Skimming –
tanış olmayan, baxılan anda verilənləri öz xoşuna
t
əqdim etməyən son istifadəçidən məlumatın əldə edilməsi.
Skipjack
Clipper çipind
ə realizə edilmiş şifrələmə alqoritmi. 64-bitlik
blokların şifrələnməsi üçün 80 bitlik açar istifadə edilir. Şifrələmə
raundlarının sayı 32-dir. DES alqoritmindən daha etibarlı olduğu
iddia edilir.
Alqoritmin n
əşr olunmaması və məxfi saxlanması çox tənqid
edilmişdir. Hesab edilir ki, alqoritmdə qəsdən buraxılmış boşluqlar