कंप्यूटर सुरक्षा

कंप्यूटर सुरक्षा कंप्यूटर प्रौद्योगिकी की एक शाखा है, जिसे coin और नेटवर्क में लागू की जाने वाली सूचना सुरक्षा के रूप में जाना जाता है। कंप्यूटर सुरक्षा का उद्देश्य इसके नियत उपयोगकर्ताओं के लिए सूचना तथा सामग्री को सुलभ रखते हुए चोरी, भ्रष्टाचार या प्राकृतिक आपदा से सूचना और सामग्री की रक्षा करना है। कंप्यूटर प्रणाली सुरक्षा का मतलब है सामूहिक प्रक्रियाओं और तंत्रों के द्वारा संवेदनशील और महत्वपूर्ण सूचना और सेवाओं को प्रकाशन, छेड़छाड़ या अनधिकृत गतिविधियों या अविश्वासी व्यक्तियों और अनियोजित घटनाओं से क्रमशः संरक्षित रखना. कंप्यूटर सुरक्षा की रणनीतियां और कार्यप्रणालियां अधिकांश अन्य कंप्यूटर प्रौद्योगिकियों से अक्सर भिन्न होती हैं क्योंकि इसका छिपा हुआ उद्देश्य वांछित कंप्यूटर व्यवहार को सक्षम बनाने की बजाए अवांछित कंप्यूटर व्यवहार को रोकना है।

डिजाइन द्वारा सुरक्षा संपादित करें

कंप्यूटर सुरक्षा की प्रौद्योगिकियां तर्क पर आधारित हैं। अधिकांश कंप्यूटर अनुप्रयोगों के लिए सुरक्षा आवश्यक रूप से प्राथमिक लक्ष्य नहीं होती है, लेकिन सुरक्षा को ध्यान में रखते हुए किसी कार्यक्रम को बनाए जाने से अक्सर ही उस कार्यक्रम के व्यवहार में रोक लग जाती है।

कंप्यूटिंग में सुरक्षा की 4 पद्धतियां होती हैं, कभी-कभी पद्धतियों का संयोजन मान्य होता है:

सुरक्षा नीति का पालन करने के लिए सभी सॉफ्टवेयर का भरोसा करें लेकिन सॉफ्टवेयर विश्वसनीय नहीं हुआ करते (यह कंप्यूटर असुरक्षा है).
सुरक्षा नीति का पालन करने के लिए सभी सॉफ्टवेयर का भरोसा करें और सॉफ्टवेयर विश्वसनीय के रूप में मान्य है (उदाहरण के लिए कठिन शाखा तथा कार्यप्रणाली विश्लेषण द्वारा).
सॉफ्टवेयर का भरोसा नहीं करना लेकिन ऐसे तंत्रों के साथ सुरक्षा नीति लागू करना जो कि भरोसेमंद नहीं है (यह भी कंप्यूटर असुरक्षा है).
सॉफ्टवेयर पर भरोसा नहीं करना लेकिन भरोसेमंद हार्डवेयर तंत्र के साथ एक सुरक्षा नीति को लागू करना।

अनेक प्रणालियां अनजाने में पहली संभावना में आ जाया करती हैं। महंगी और गैर-निश्चयात्मक होने के कारण दूसरी पद्धति का उपयोग बहुत सीमित है। पहली और तीसरी पद्धतियां विफल हो जाती हैं। हार्डवेयर तंत्र पर आधारित होने के कारण और कपोल-कल्पना से बचने तथा स्वतंत्रता की की डिग्री की विविधता की वजह से चौथी पद्धति अधिक व्यावहारिक होती है। दो पतली परतों और चार मोटी परतों के साथ स्तरित बनावट में दूसरी तथा चौथी पद्धतियों के संयोजन का अक्सर उपयोग हुआ करता है।

सुरक्षा प्रणाली को तैयार करने के लिए विभिन्न प्रकार की रणनीतियों और तकनीकों का इस्तेमाल किया जाता है। हालांकि तैयार करने के बाद सुरक्षा को बढ़ाने के लिए कुछ, यदि कोई हो, प्रभावी रणनीतियां होती हैं। कम सुविधा के सिद्धांत को बहुत अधिक करने के लिए एक तकनीक बल प्रदान करती है, जहां एक इकाई को अपने कार्य करने की जरुरत के लिए ही विशेषाधिकार होता है। . इस तरह अगर कोई घुसपैठिया प्रणाली के एक हिस्से में अपनी पहुंच बना भी लेता है तो सूक्ष्म सुरक्षा बाकी हिस्सों में घुसपैठ की पहुंच को मुश्किल बनाना सुनिश्चित कर देती है।

इसके अलावा, छोटे घटकों में प्रणाली को बांटने से अलग-अलग घटकों की जटिलता कम हो जाती है, इससे महत्वपूर्ण सॉफ्टवेयर उपप्रणालियों की शुद्धता को साबित करने के लिए स्वचालित प्रमेय परीक्षण जैसी तकनीकों का उपयोग करने की संभावना के रास्ते खुल जाते हैं। इससे सुरक्षा का एक संवृत आकार समाधान मिलता है जो तभी अच्छी तरह से काम करता है जब केवल एक एकल अच्छी विशेषता वाली सामग्री को महत्वपूर्ण के रूप में अलग किया जा सकता हो और उस सामग्री का गणित में भी मूल्यांकन किया जा सके। आश्चर्य की बात नहीं है कि यह सामान्यीकृत शुद्धता के लिए अव्यावहारिक है, जिसे शायद परिभाषित भी नहीं किया जा सकता है, साबित करना दूर की बात है। जहां औपचारिक शुद्धता के सबूत संभव नहीं हैं, वहां कोड समीक्षा और इकाई परीक्षण का सख्त उपयोग मॉड्यूल को सुरक्षित करने का सबसे अच्छा प्रयास होता है।

जहां एक से अधिक उपप्रणाली को प्रणाली और उसमें जमा सूचना की शुद्धता के साथ समझौता करने का उल्लंघन करने की जरुरत होती है, वहां डिजाइन में "गहराई से सुरक्षा" का उपयोग किया जाना चाहिए। जब कोई सुरक्षा उपाय का उल्लंघन दूसरे को नष्ट करने के लिए कोई मंच प्रदान नहीं करता है तब गहरी सुरक्षा काम करती है। इसके अलावा, कैस्केडिंग सिद्धांत का मानना है कि कई छोटी बाधाएं एक बड़ी बाधा नहीं बना करतीं. इसलिए कई सोपानी कमजोर तंत्र एक मज़बूत तंत्र को सुरक्षा प्रदान नहीं कर सकते.

सेटिंग्स को सुरक्षित करने के लिए उपप्रणाली को डिफ़ॉल्ट होना चाहिए और जहां कहीं भी संभव हो "फेल इनसेक्योर" के बजाय "फेल सिक्योर" की तरह डिजाइन किया जाना चाहिए (सुरक्षा इंजीनियरिंग में बराबरी के लिए फेल-सेफ देखें). आदर्श रूप से, इस असुरक्षित बनाने के सिलसिले में सुरक्षित प्रणाली को वैध अधिकारियों द्वारा एक सुविचारित, सचेत, सुविज्ञ और मुक्त निर्णय लेने की जरुरत होती है।

इसके अतिरिक्त, सुरक्षा को सब कुछ या कुछ नहीं जैसा मुद्दा नहीं मान लेना चाहिए। प्रणालियों के डिजाइनरों और ऑपरेटरों को मान लेना चाहिए कि सुरक्षा उल्लंघन अपरिहार्य हैं। प्रणाली गतिविधि के पूरे लेखा परीक्षण के निशान रखने चाहिए, ताकि जब सुरक्षा उल्लंघन की घटना घटे तब क्रियाविधि और उल्लंघन की सीमा निर्धारित की जा सके। जहां उन्हें सिर्फ संलग्न किया जा सके, ऐसी जगह लेखा परीक्षण के दूर कहीं भंडारण से घुसपैठियों को उनके मार्गों का पता लगाने में कठिनाई पेश आ सकती है। अंत में, पूर्ण प्रकटीकरण यह सुनिश्चित करने में तब मदद करता है कि जहां तक संभव हो, बग्स मिलने की अवस्था में "असुरक्षा की स्थिति" कम से कम हो।

सुरक्षा संरचना संपादित करें

सुरक्षा संरचना को डिजाइन शिल्पकृति के रूप में परिभाषित किया जा सकता है, जो यह वर्णित करती है कि सुरक्षा नियंत्रण (सुरक्षा प्रत्युपाय) किस अवस्थिति में है और वे समग्र सूचना प्रौद्योगिकी संरचना से किस तरह संबंधित हैं। ये नियंत्रण प्रणाली की गुणवत्ता विशेषताओं को बनाए रखने के उद्देश्य को पूरा करते है, इन विशेषताओं में गोपनीयता, शुद्धता, उपलब्धता, जवाबदेही और आश्वासन शामिल हैं।"^[1] .

कंप्यूटर और डेटा की रक्षा करनेवाले हार्डवेयर तंत्र संपादित करें

हार्डवेयर आधारित या सहायक कंप्यूटर सुरक्षा सॉफ्टवेयर-मात्र कंप्यूटर सुरक्षा के लिए एक विकल्प प्रदान करती है। डोंगल जैसे उपकरणों को अधिक सुरक्षित माना जा सकता है क्योंकि जरुरत पड़ने पर इनका बाहरी तौर पर भी उपयोग किया जा सकता है।^{[मूल शोध?]}.

सुरक्षित ऑपरेटिंग सिस्टम संपादित करें

कंप्यूटर सुरक्षा शब्द का प्रयोग एक सुरक्षित ऑपरेटिंग सिस्टम को लागू करने वाली प्रौद्योगिकी के लिए संदर्भित है। इस प्रौद्योगिकी का अधिकांश 1980 के दशक में विकसित विज्ञान पर आधारित है और इनका उपयोग कुछ सबसे अभेद्य ऑपरेटिंग सिस्टम के निर्माण में किया जा सकता है। हालांकि यह अभी भी मान्य है, लेकिन इन दिनों इस प्रौद्योगिकी का प्रयोग सीमित है; क्योंकि इसका मुख्य कारण यह है कि यह व्यवस्था प्रबंधन में कुछ बदलाव लाती है और इसलिए भी कि आम तौर पर इसे समझा नहीं जा सका है। इस जैसे अति-सुदृढ़ सुरक्षित ऑपरेटिंग सिस्टम ऑपरेटिंग सिस्टम कर्नेल तकनीक पर आधारित है, जो ऑपरेटिंग वातावरण में कुछ सुरक्षा नीतियों को पूरी तरह से लागू करने की गारंटी कर सकती है। ऐसी कंप्यूटर सुरक्षा नीति का एक उदाहरण है बेल-लापडूला मॉडल. विशेष माइक्रोप्रोसेसर हार्डवेयर फीचर, जिसमें प्रायः स्मृति प्रबंधन इकाई शामिल होती है, को विशेष सही ढंग से लागू ऑपरेटिंग सिस्टम कर्नेल के साथ युग्मन पर यह रणनीति आधारित है। यह एक सुरक्षित ऑपरेटिंग सिस्टम की नींव का निर्माण करती है, अगर कुछ महत्वपूर्ण भागों को सही ढंग से बनाया और लागू किया गया, तो यह शत्रुओं के घुसपैठ को पूरी तरह से असंभव बनाना सुनिश्चित कर सकती है। यह क्षमता इसलिए प्राप्त हुई है क्योंकि कॉन्फ़िगरेशन न सिर्फ एक सुरक्षा नीति अधिरोपित करता है बल्कि सिद्धांततः पूरी तरह से खुद को विकृति से बचाता है। दूसरी तरफ, साधारण ऑपरेटिंग सिस्टम में उन विशेषताओं की कमी होती है जो इस उच्चतम स्तर की सुरक्षा निश्चित करती हैं। इस तरह की सुरक्षा प्रणाली के निर्माण के लिए डिजाइन पद्धति सटीक, निश्चयात्मक और तार्किक है।

ऐसी कार्यपद्धति से प्रणाली को बनाया जाना कंप्यूटर सुरक्षा के अत्याधुनिकीकरण^{[तथ्य वांछित]} को दर्शाता है हालांकि ऐसी सुरक्षा का उपयोग करने वाले उत्पादों को व्यापक रूप से नहीं जाना जाता है। अधिकांश सॉफ्टवेयर के एकदम विपरीत वे आकार, वजन और शक्ति के विनिर्देशों के साथ तुलनीय निरीक्षण की निश्चयता के विनिर्देशों को पूरा करते हैं। इस तरह से तैयार सुरक्षित ऑपरेटिंग सिस्टम मुख्य रूप से राष्ट्रीय सुरक्षा की सूचना, सेना की गोपनीयता और अंतरराष्ट्रीय वित्तीय संस्थानों के तथ्यों-आंकड़ों की रक्षा करते है। ये बहुत ही शक्तिशाली सुरक्षा उपकरण हैं और बहुत कम सुरक्षित ऑपरेटिंग सिस्टम को उच्चतम स्तर पर (ऑरेंज बुक ए-1) "टॉप सीक्रेट" से लेकर "अवर्गीकृत" (हनीवेल एससीओएमपी, यूएसएएफ एसएसीडीआईएन, एनएसए ब्लैकर और बोइंग एमएलएस एलएएन सहित) की श्रेणी में काम करने के लिए प्रमाणित किया जाता है। सुरक्षा के आश्वासन सिर्फ डिजाइन रणनीति की सुदृढ़ता पर ही नहीं, बल्कि कार्यान्वयन के सही होने के आश्वासन पर भी निर्भर है और इसीलिए कम्प्युसेक (COMPUSEC) के लिए सुरक्षा क्षमता की डिग्री परिभाषित की गयी है। दो घटकों, सुरक्षा कार्यात्मकता और आश्वासन स्तर (जैसे कि ईएएल स्तर) के मामले में आम मानदंड उत्पादों की सुरक्षा क्षमता को परिमाणित करता है और उत्पाद के विवरणों के लिए आवश्यकताओं तथा एक सुरक्षा लक्ष्य की सुरक्षा प्रोफाइल में इनका स्पष्ट उल्लेख होता है। दशकों से उत्पादन कर रहे इन अति-उच्च सुरक्षा आश्वासनों में से किसी को भी आम प्रयोजन ऑपरेटिंग सिस्टम हासिल नहीं हुआ है या किसी को भी आम मानदंड के तहत प्रमाणित नहीं किया गया है।

अमेरिका की भाषा में, उच्च आश्वासन (हाई एश्योरेंस) शब्दावली का मतलब आम तौर पर डीओडी (DoD) और डीओई (DoE) वर्गीकृत जानकारी की सुरक्षा के लिए पर्याप्त मजबूती के साथ लागू किये गए सही सुरक्षा कार्यों की प्रणाली होती है। मध्यम आश्वासन (मीडियम एश्योरेंस) आयकर जानकारी जैसी कम महत्वपूर्ण सूचना की रक्षा कर सकता है। सुरक्षा कार्यों और आश्वासन के मध्यम मजबूती स्तरों को पाने के लिए सुरक्षित ऑपरेटिंग सिस्टम तैयार किये जाते हैं और सरकार तथा वाणिज्यिक बाजारों में इनका व्यापक इस्तेमाल देखा जाता है। उच्च आश्वासन सुरक्षित ऑपरेटिंग सिस्टम की तरह ही मध्यम मजबूत प्रणालियां उसी तरह के सुरक्षा कार्य कर सकते हैं लेकिन निचले आश्वासन स्तर पर ऐसा करते हैं (जैसे कि आम मानदंड स्तर ईएएल4 या ईएएल5 पर). निचले स्तर का मतलब है कि सुरक्षा कार्यों के सुचारू रूप से काम करने के बारे में हम पूरी तरह से निश्चिन्त नहीं हो सकते हैं और इसीलिए यह कम भरोसेमंद है। इन पद्धतियों का प्रयोग वेब सर्वर, गार्ड, डेटाबेस सर्वर और प्रबंधन समूह में किया जाता है और इनका प्रयोग न सिर्फ इन प्रणालियों में जमा डेटा की रक्षा के लिए होता है बल्कि नेटवर्क कनेक्शन और अनुमार्गण सेवाओं के लिए उच्च स्तर की रक्षा भी प्रदान की जाती है।

सुरक्षित कूटबद्धता संपादित करें

अगर ऑपरेटिंग वातावरण एक ऐसे सुरक्षित ऑपरेटिंग सिस्टम पर आधारित नहीं है, जो अपने खुद के निष्पादन के कार्य क्षेत्र को कायम रखने में सक्षम हो और जो दुर्भावनापूर्ण विनाश से अनुप्रयोग कोड की रक्षा में सक्षम हो तथा जो भ्रष्ट कोड से प्रणाली की रक्षा करने में समर्थ हो, तो फिर उच्च स्तर की सुरक्षा संभव नहीं है। हालांकि ऐसे सुरक्षित ऑपरेटिंग सिस्टम संभव हैं और लागू किये जा चुके हैं, लेकिन अधिकांश वाणिज्यिक प्रणालियां 'निचली सुरक्षा' को अपना रही हैं क्योंकि वे सुरक्षित ऑपरेटिंग सिस्टम के द्वारा समर्थित विशेषताओं पर भरोसा नहीं करतीं (जैसे पोर्टेबिलिटी, तथा अन्य). निम्न सुरक्षा ऑपरेटिंग वातावरण में, अनुप्रयोगों को अपनी खुद की सुरक्षा में भागीदारी पर भरोसा करना चाहिए। ऐसी "सर्वोत्तम प्रयास" सुरक्षित कूटबद्धता कार्यप्रणाली होती हैं जो दुर्भावनापूर्ण नाश को रोकने के लिए अनुप्रयोग को और अधिक प्रतिरोधी बनाती हैं।

वाणिज्यिक वातावरण में, अधिकांश सॉफ्टवेयर ध्वंस अरक्षितता कूटबद्धता दोषों की कुछ ज्ञात किस्मों के परिणाम हैं। आम सॉफ्टवेयर दोषों में प्रतिरोधक अतिप्रवाह, प्रारूप स्ट्रिंग अरक्षितता, पूर्णांक अतिप्रवाह और कोड/कमांड इंजेक्शन शामिल हैं। इस पर तत्काल ध्यान दिया जाना चाहिए कि सभी पूर्ववर्ती दोषों के सामान्य वर्ग के विशिष्ट उदाहरण हैं, जहां की स्थिति में तथाकथित "डेटा" दरअसल अन्तर्निहित अव्यक्त या सुस्पष्ट, निष्पादन योग्य निर्देशों का चतुराई के साथ इस्तेमाल करते हैं।

सी (C) और सी++ (C++) जैसी कुछ आम भाषाएं इन सभी दोषों के लिए असुरक्षित हैं (सीकोर्ड (Seacord), "सी और सी++ में सिक्योर कोडिंग" देखें). अन्य भाषाएं, जैसे कि जावा, इन दोषों के लिए और अधिक प्रतिरोधी होती हैं, लेकिन फिर भी कोड/कमांड इंजेक्शन और अन्य सॉफ्टवेयर दोष प्रवण होती हैं, जो विध्वंस लाती हैं।

हाल ही में एक और खराब कोडिंग अभ्यास जांच के दायरे में आया है; जिसे डैंगलिंग प्वाइंटर्स कहते हैं। जुलाई 2007 में पहली बार इस विशेष समस्या के ज्ञात कारनामे का पता चला. इसके सामने आने से पहले भी इस समस्या की जानकारी थी, लेकिन इसे अकादमिक माना जाता था और व्यावहारिक उपलब्धि नहीं माना जाता था।^[2]

दुर्भाग्यवश, "सुरक्षित कोडिंग" कार्यप्रणाली का कोई सैद्धांतिक मॉडल नहीं है और न ही व्यावहारिक रूप से साध्य ही है, अब तक तंत्रों की किस्में बहुत अधिक व्यापक हैं और उनको काम में लगा सकने के तरीके विचित्र हैं। दिलचस्प बात है कि इस तरह की अरक्षितता अक्सर ही पुरातन दर्शनों से उत्पन्न होती हैं जिनमें कंप्यूटरों को कुछ चुनिंदा लोगों द्वारा उपयोग की जाने वाली एक कठिनाई से प्रसारित सत्ता मान लिया गया है, उनमें से सभी व्यर्थ उच्च शिक्षित, सुप्रशिक्षित शिक्षाविद थे, लेकिन उनके मन में मानव जाति की भलाई की भावना थी। इस प्रकार, यह काफी हानिरहित माना जाता था अगर, (काल्पनिक) उदाहरण के लिए, एक फोरट्रान (FORTRAN) कार्यक्रम में एक फॉर्मेट (FORMAT) स्ट्रिंग "मुद्रण के बाद सिस्टम को बंद" ("shut down system after printing") करने वाले जे फॉर्मेट स्पेसिफायर को रख सकती थी। आखिरकार, एक सदाशयी सिस्टम प्रोग्रामर के बिना ऐसे फीचर का प्रयोग कौन करेगा? यह सोच से परे बात थी कि सॉफ्टवेयर को विनाशकारी रूप से लगाया जा सकता है।

यह ध्यान देने योग्य बात है कि, कुछ भाषाओं में, डेटा (आदर्शतः, केवल पढ़ने के लिए) और कोड (आमतौर पर पढ़ने/लिखने में) के बीच भेद अस्पष्ट होता है। लिस्प (LISP) में, विशेष रूप से, कोड और डेटा के बीच कोई अंतर नहीं होता है, दोनों एक ही रूप के होते हैं: एक एस-अभिव्यक्ति (S-expression) को कोड, या डेटा, या दोनों किया जा सकता है; और लिस्प कार्यक्रम का "उपयोगकर्ता" जो तथाकथित "डेटा" में एक निष्पादन योग्य लैम्ब्डा (LAMBDA) खंड को डाल पाता है, वह मनमाने ढंग से सामान्य व खतरनाक कार्यात्मकता प्राप्त कर सकता है। पर्ल (Perl) द्वारा इवल (eval) प्रकार्य जैसा कुछ "आधुनिक" देने से यह पर्ल कोड उत्पन्न करने में सक्षम करता है और स्ट्रिंग डेटा के छद्मवेष में इसे इन्टरप्रेटर में पेश करता है।

क्षमताएँ और अभिगम नियंत्रण सूची संपादित करें

कंप्यूटर सिस्टम के अंतर्गत, दो सुरक्षा मॉडल होते हैं जो विशेषाधिकार अलगाव (प्रिविलेज सेपरेशन) को लागू करने में सक्षम हैं और अभिगम नियंत्रण सूची (ACLs) तथा क्षमता-आधारित सुरक्षा में उनकी पहुंच होती है। अनेक स्थितियों में एसीएल (ACLs) के अर्थ विज्ञान असुरक्षित साबित हुए हैं, जैसे कि, भ्रामक डिप्टी समस्या. यह भी दिखाया गया है कि केवल एक ही व्यक्ति को एक वस्तु का उपयोग करने देने के एसीएल के वादे की व्यवहार में गारंटी नहीं की जा सकती. इन दोनों समस्याओं के समाधान क्षमताओं (कैपेबिलिटीज) द्वारा किये जाते हैं। इसका मतलब यह नहीं कि सभी एसीएल-आधारित सिस्टम में व्यावहारिक खामियां हुआ करती हैं, लेकिन केवल तभी जब कुछ उपयोगिताओं के डिजाइनर यह सुनिश्चित करें कि उन्होंने कोई खामी नहीं रख छोड़ी है।^{[उद्धरण चाहिए]}

क्षमताओं को ज्यादातर अनुसंधान ऑपरेटिंग सिस्टम तक ही सीमित रखा गया है और वाणिज्यिक ओएस (OSs) अभी भी एसीएल का उपयोग कर रहे हैं। तथापि, क्षमताओं को भाषा के स्तर पर भी लागू किया जा सकता है, जो कि प्रोग्रामिंग की एक शैली की ओर ले जाती है, जो मानक लक्ष्य-उन्मुख डिजाइन की आवश्यक शुद्धता है। इस क्षेत्र में एक खुली परियोजना ई भाषा (E language) है।

1970 के दशक में हार्डवेयर और सॉफ्टवेयर दोनों में पहले प्लेसे प्रणाली 250 और फिर कैंब्रिज कैप कंप्यूटर ने क्षमताओं के उपयोग का प्रदर्शन किया। क्षमताओं को अपनाने में कमी का एक कारण यह हो सकता है कि ऑपरेटिंग सिस्टम और हार्डवेयर को व्यापक नया स्वरुप दिए बिना ही एसीएल ने सुरक्षा के लिए एक "क्विक फिक्स" का प्रस्ताव पेश कर दिया।^{[उद्धरण चाहिए]}

सबसे सुरक्षित कंप्यूटर वे हैं जो इंटरनेट से जुड़े हुए नहीं हैं और किसी हस्तक्षेप से बचने के लिए कवचबंद हैं। वास्तविक दुनिया में, अधिकांश सुरक्षा ऑपरेटिंग सिस्टम से आती है, जहां सुरक्षा अतिरिक्त रूप से जोड़ी नहीं गयी हो।

अनुप्रयोग संपादित करें

कंप्यूटर प्रणाली पर चलने वाले लगभग सभी प्रौद्योगिकी आधारित उद्योग में कंप्यूटर सुरक्षा महत्वपूर्ण है। कंप्यूटर सुरक्षा को कंप्यूटर सेफ्टी के रूप में भी निर्दिष्ट किया जा सकता है। कंप्यूटर आधारित प्रणालियों के मुद्दे और उनकी असंख्य कमजोरियां किसी क्रियाशील उद्योग के रखरखाव का एक अभिन्न हिस्सा हैं।^[3]

क्लाउड कंप्यूटिंग सुरक्षा संपादित करें

क्लाउड सुरक्षा चुनौतीपूर्ण है^{[उद्धरण चाहिए]}, क्योंकि बादल की स्थिति में सुरक्षा सुविधा और प्रबंधन व्यवस्था विविध डिग्री की हुआ करती हैं। इस संबंध में एक तार्किक प्रोटोकॉल आधार को विकसित करने की जरुरत होती है ताकि घटकों का पूरा क्षेत्र समकालिक और सुरक्षापूर्ण तरीके से संचालित हों^{[मूल शोध?]}.

विमानन में संपादित करें

कंप्यूटर सुरक्षा का विश्लेषण करते समय विमानन उद्योग विशेष रूप से महत्वपूर्ण है, क्योंकि इसके साथ मानव जीवन, महंगे उपकरण, माल और परिवहन के बुनियादी ढांचे का जोखिम जुड़े हुए हैं। हार्डवेयर और सॉफ्टवेयर के कदाचार, मानव त्रुटि और दोषपूर्ण ऑपरेटिंग वातावरण से सुरक्षा को खतरे में डाला जा सकता है। तोड़फोड़, जासूसी, औद्योगिक प्रतियोगिता, आतंकवादी हमले, यांत्रिक खराबी और मानव त्रुटि से पैदा होने वाली कंप्यूटर की कमजोरियों का दोहन किया जा सकता है।^[4]

विमानन उद्योग में सफलतापूर्वक जानबूझकर किये गये या लापरवाही के कारण कंप्यूटर प्रणाली( Computer system) के दुरुपयोग के परिणामस्वरूप गोपनीयता के नुकसान से लेकर सिस्टम की शुद्धता तक का नुकसान हो सकता है, जिससे डेटा की चोरी या क्षति, नेटवर्क और हवाई यातायात नियंत्रण में रुकावट जैसी अधिक गंभीर चिंताएं पैदा हो सकती हैं, जिनकी वजह से हवाई अड्डे बंद होने, विमानों की क्षति और यात्रियों के जीवन की क्षति जैसी घटनाएं भी हो सकती है। हथियारों पर नियंत्रण रखने वाली सैन्य प्रणालियां कहीं बड़े खतरे पैदा कर सकती हैं।

एक बड़े हमले को बहुत अधिक हाई टेक होने की या इसे अधिक धन की भी जरुरत नहीं है; हवाई अड्डे में बिजली कटौती से ही विश्वव्यापी प्रभाव पड़ सकते हैं।^[5]. सुरक्षा कमजोरियों में सबसे आसान और यकीनन सबसे कठिन विशिष्ट रेडियो फ्रीक्वेंसी पर अनधिकृत संचार प्रसारण का पता लगाना है। ये प्रसारण हवाई यातायात नियंत्रकों को धोखा दे सकते हैं या संचार व्यवस्था को पूरी तरह बाधित कर सकते हैं। ऐसी घटनाएं बहुत आम हैं, जिनसे वाणिज्यिक विमान के उड़ान क्रम में बदलाव लाना पड़ा है और पिछले दिनों इससे आतंक तथा भ्रम की स्थिति पैदा हुई थी।^{[उद्धरण चाहिए]} महासागरों पर विमान नियंत्रण विशेष रूप से खतरनाक है, क्योंकि राडार निगरानी तट से केवल 175-225 मील तक ही फैली हुई होती है। राडार की निगरानी के अलावा नियंत्रकों को एक तीसरी पार्टी के साथ आवधिक रेडियो संचार पर भरोसा करना पड़ता है।

बिजली गिरने, विद्युत की अस्थिरता, विद्युत तरंग, ब्राउन-आउट्स (बिजली का चला जाना), फ़्यूज़ उड़ने और अन्य विभिन्न विद्युत कटौती या गड़बड़ी से सभी कंप्यूटर सिस्टम अक्षम हो जाते हैं, क्योंकि वे विद्युत स्रोत पर निर्भर होते हैं। अन्य आकस्मिक और जानबूझकर की गई भूलों से पिछले कुछ दशकों में सुरक्षा महत्वपूर्ण सिस्टम में उल्लेखनीय व्यवधान पैदा हुए हैं और विश्वसनीय संचार व्यवस्था तथा विद्युत ऊर्जा पर निर्भरता कंप्यूटर सेफ्टी को जोखिम में डाल देती है।^{[उद्धरण चाहिए]}

उल्लेखनीय प्रणाली दुर्घटनाएं संपादित करें

1994 में, अमेरिकी वायु सेना के मुख्य कमान और अनुसंधान इकाई रोम प्रयोगशाला में अज्ञात घुसपैठियों द्वारा एक सौ से अधिक अतिक्रमण किये गए थे। ट्रोजन हॉर्स वायरस का प्रयोग करके हैकर्स ने रोम की नेटवर्किंग प्रणाली में पहुंच बना ली और अपनी गतिविधियों के निशान मिटा दिए। घुसपैठिये एयर टास्किंग ऑर्डर सिस्टम्स डेटा जैसी वर्गीकृत फाइलें प्राप्त करने में सक्षम हुए औए इसके अलावा नॅशनल एयरोनॉटिक्स एंड स्पेस एडमिनिस्ट्रेशन के गोडार्ड स्पेस फ्लाइट सेंटर, राइट पैटर्सन एयर फोर्स बेस, कुछ रक्षा ठेकेदारों और अन्य निजी क्षेत्र की संस्थाओं के नेटवर्क में घुसपैठ की और यह सब एक विश्वसनीय रोम केन्द्र उपयोगकर्ता के रूप में किया गया।^[6]

कंप्यूटर सुरक्षा नीति संपादित करें

संयुक्त राज्य अमेरिका संपादित करें

2010 का साइबर सुरक्षा अधिनियम संपादित करें

1 अप्रैल 2009 को, सीनेटर जे रॉकफेलर (डी-डब्ल्यू वी) ने सीनेट में "2009 का साइबरसिक्युरिटी एक्ट - एस. 773" (पूरा पाठ) पेश किया; सीनेटर एवान बेह (डी-इन), बारबरा मिकुल्स्की (डी-एमडी), बिल नेल्सन (डी-एफएल) और ओलिम्पिया स्नोवे (आर-एमई) के लिखे विधेयक को वाणिज्य, विज्ञान और परिवहन की समिति के पास भेज दिया गया, जिसने 24 मार्च 2010 को उस विधेयक का संशोधित संस्करण ("2010 का साइबरसिक्युरिटी एक्ट) स्वीकृत किया^[7]. विधेयक साइबर सुरक्षा के मामलों में सार्वजनिक और निजी क्षेत्र के बीच सहयोग को बढ़ाना चाहता है, खासकर राष्ट्रीय सुरक्षा हितों के लिए महत्वपूर्ण बुनियादी संरचना वाली उन निजी कंपनियों के लिए (राष्ट्रपति के राष्ट्रीय सुरक्षा व आतंकवाद-विरोधी सहायक जॉन ब्रेनन के बयान का विधेयक उल्लेख करता है, "हमारे देश की सुरक्षा और आर्थिक सम्पन्नता सुरक्षा, स्थिरता और संचार व सूचना संरचना पर निर्भर करती है, जो विश्व स्तर पर मुख्यतः निजी स्वामित्व में हैं" और "साइबर कैटरिना"^[8] का देश द्वारा सामना किये जाने की बात की गयी है). साथ ही साइबर सुरक्षा मामले में लोगों के बीच जागरूकता बढ़ाना और साइबर सुरक्षा शोध को प्रोत्साहित करना और धन प्रदान करना इस विधेयक का उद्देश्य है। विधेयक के सबसे विवादास्पद भागों में परिच्छेद 315 शामिल है, जो राष्ट्रपति को अधिकार देता है कि वह "किसी भी संघीय सरकार या अमेरिका की महत्वपूर्ण संरचनात्मक सूचना प्रणाली या नेटवर्क की इंटरनेट आवाजाही को सीमित करने या बंद करने का आदेश दे सकता है^[8]." अमेरिका स्थित एक अंतरराष्ट्रीय अलाभकारी डिजिटल अधिकार पैरोकार और कानूनी संस्था इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन ने विधेयक को एक "संभावित खतरनाक रवैया" बताते हुए कहा है कि "यह संयमी प्रतिक्रिया के बजाय नाटकीयता को बढ़ावा देता है"^[9].

अंतरराष्ट्रीय साइबर अपराध रिपोर्टिंग और सहयोग अधिनियम संपादित करें

25 मार्च 2010 को, प्रतिनिधि य्वेत्ते क्लार्क (डी-एनवाई) ने प्रतिनिधि सभा में "इंटरनॅशनल साइबर क्राइम रिपोर्टिंग एंड कोऑपरेशन एक्ट - एच. आर. 4962" (पूरा पाठ) पेश किया; सात अन्य प्रतिनिधियों (उनमें से सिर्फ एक रिपब्लिकन थे) द्वारा सह-प्रायोजित विधेयक को तीन हाउस समितियों के पास भेज दिया गया^[10]. विधेयक ने यह सुनिश्चित करना चाहा था कि सूचना के बुनियादी ढांचे, साइबर क्राइम और विश्वव्यापी स्तर पर उपयोगकर्ता के सरक्षण के बारे में प्रशासन कांग्रेस को सूचित करता रहेगा. इसने "उन देशों को साइबर अपराध के सिलसिले में कानूनी, न्यायिक और प्रवर्तन क्षमताओं में मदद को प्राथमिकता देने के लिए राष्ट्रपति को निर्देश दिया, जिनके सूचना और संचार प्रौद्योगिकी विकास के स्तर निम्न श्रेणी के हैं या जो अपने महत्वपूर्ण बुनियादी संरचना, दूरसंचार प्रणाली और वित्तीय उद्योगों के उपयोग के मामले में पिछड़े हुए हैं"^[10]; इसके अलावा "साइबर मामले" के देशों के लिए एक कार्रवाई योजना और एक वार्षिक अनुपालन मूल्यांकन विकसित करने का भी निर्देश दिया^[10].

साइबरस्पेस की रक्षा के लिए 2010 का नॅशनल एसेट एक्ट ("किल स्विच बिल ") संपादित करें

19 जून 2010 को, संयुक्त राज्य अमेरिका के सीनेटर जो लीबरमैन ने "2010 का प्रोटेक्टिंग साइबरस्पेस ऐज ए नॅशनल एसेट एक्ट - एस.3480" (पीडीएफ में पूरा पाठ) पेश किया, जिसे उन्होंने सीनेटर सुजन कोलिन्स (आर-एमई) तथा सीनेटर थोमस कारपर (डी-डीई) के साथ मिलकर लिखा था। यह विवादास्पद विधेयक, जिसे अमेरिकी मीडिया "किल स्विच बिल " कहती है, के क़ानून बन जाने से राष्ट्रपति को इंटरनेट पर आपातकालीन अधिकार मिल जाएंगे. हालांकि, विधेयक के तीनों लेखकों ने एक बयान में दावा किया है कि इसके बजाय विधेयक से "दूरसंचार नेटवर्क पर राष्ट्रपति के मौजूदा व्यापक अधिकार कम हो जाएंगे"^[11].

शब्दावली संपादित करें

इंजीनियरिंग सुरक्षित सिस्टम में प्रयुक्त निम्नलिखित शब्दों की व्याख्या नीचे दी गयी है।

प्रमाणीकरण तकनीकों का प्रयोग यह सुनिश्चित करने के लिए किया जा सकता है कि संचार के अंत-बिंदु वही हैं जैसा कि वे खुद को बताते हैं।
स्वचालित प्रमेय परिक्षण (ऑटोमेटेड थ्योरम प्रूविंग) और अन्य सत्यापन उपकरण सुरक्षित प्रणाली में इस्तेमाल होने वाले महत्वपूर्ण एल्गोरिदम और कोड को अपने विनिर्देशों को प्राप्त करने के लिए गणितीय रूप से सिद्ध कर सकने में सक्षम हो सकते हैं।
विशेषाधिकार अलगाव (प्रिविलेज सेपरेशन) और अनिवार्य अभिगम नियंत्रण को सुनिश्चित करने के लिए क्षमता और अभिगम नियंत्रण सूची तकनीकों का उपयोग कर सकते हैं। इस अनुभाग में उनके उपयोग की चर्चा की गयी है।
सभी डाले गए प्रमाणित सॉफ्टवेयरों को सिस्टम के डिजाइनरों द्वारा प्रामाणिक बताये जाने को सुनिश्चित करने के प्रयास में चेन ऑफ़ ट्रस्ट तकनीक का उपयोग किया जा सकता है।
प्रणालियों के बीच डेटा के पारगमन की रक्षा के लिए क्रिप्टोग्राफ़िक तकनीक का उपयोग किया जा सकता है, इससे प्रणालियों के बीच डेटा के विनिमय के समय उन्हें अटकाने या संशोधित करने की संभावना कम हो जाती है।
फ़ायरवॉल ऑनलाइन घुसपैठ को रोकने में कुछ सुरक्षा प्रदान कर सकता है।
माइक्रोकेर्नेल सावधानी से तैयार किया जाता है, जो सोच-समझकर सॉफ्टवेयर के छोटे कोष में ऑपरेटिंग सिस्टम में स्वतः कार्य करता है और यह पूरी तरह बहुत ही निम्न स्तर पर काम करता है, जो प्रारंभिक स्तर को बहुत ही सही ढंग से परिभाषित करता है, जिस पर किसी ऑपरेटिंग सिस्टम को विकसित किया जा सकता है। 90 के दशक के आरंभिक चरण का जेम्सोस (GEMSOS) (जेमिनी कंप्यूटर) काफी शिक्षाप्रद मूल्य के साथ एक सरल उदाहरण है, जो बहुत ही निम्न-स्तर के प्रारंभिक प्रदान करता है, जैसे कि "सिग्मेंट" प्रबंधन, जिस पर कोई ऑपरेटिंग सिस्टम बनाया जा सकता है। ("सिग्मेंट" के मामले में) सिद्धांत यह था कि - सैन्य शैली की लेबलिंग के उपायों द्वारा अनिवार्य अभिगम अलगाव के बारे में ऑपरेटिंग सिस्टम को खुद चिंतित होने के बजाय - निम्न-स्तर पर होना सुरक्षित है, इससे स्वतंत्र रूप से जांचे गये मॉड्यूल को अलग-अलग लेबल किये गए खण्डों के प्रबंधन के साथ अकेले ही आवेशित किया जा सकता है। उन्हें मेमोरी "सिग्मेंट" या फ़ाइल सिस्टम "सिग्मेंट" या साध्य पाठ "सिग्मेंट" में रखा जा सकता है। अगर सॉफ्टवेयर ऑपरेटिंग सिस्टम की दृश्यता के नीचे है (जैसा कि इस मामले में) तो वह लेबलिंग के साथ आवेशित होता है, ऐसे में लेबलिंग योजना को किसी चालाक हैकर द्वारा नष्ट करने का सैद्धांतिक रूप से कोई साध्य उपाय नहीं है, क्योंकि ऑपरेटिंग सिस्टम स्वतः ही लेबलिंग के साथ छेड़छाड़ करने के लिए तंत्र मुहैया नहीं करता है; ऑपरेटिंग सिस्टम, मूलतः, माइक्रोकेर्नेल के ऊपर एक क्लाइंट (बेशक एक "अनुप्रयोग") है और अपने आपमें इसके प्रतिबंधों के अधीन है।
एंडप्वाइंट सुरक्षा सॉफ्टवेयर यूएसबी ड्राइव जैसे पोर्टेबल भंडारण उपकरणों के जरिये डेटा चोरी और वायरस के संक्रमण को रोकने में मदद करता है।

निम्नलिखित में से कुछ सामग्री कंप्यूटर असुरक्षा से संबंधित हो सकती हैं:

अभिगम अधिकार से प्रमाणीकरण प्रणाली के उपयोग के जरिये उपयोगकर्ताओं के समूह को किसी कंप्यूटर का उपयोग करने से रोका जाता है। ये प्रणालियां पूरे कंप्यूटर की रक्षा कर सकती हैं - जैसे कि एक इंटरैक्टिव लॉगऑन स्क्रीन के जरिये - या फिर अलग-अलग सेवाओं की रक्षा कर सकती हैं, जैसे कि एफटीपी सर्वर. उपयोगकर्ताओं की पहचान और सत्यापन की अनेक पद्धतियां हैं, जैसे कि पासवर्ड, पहचान कार्ड और अभी हाल में आये स्मार्ट कार्ड और बॉयोमेट्रिक पद्धतियां.
कंप्यूटर प्रोग्राम में शामिल एंटी-वायरस सॉफ्टवेयर पहचानने, कंप्यूटर वायरस और अन्य दुर्भावनापूर्ण सॉफ्टवेयर (मैलवेयर) को रोकने और समाप्त करने का काम करते हैं।
ज्ञात सुरक्षा खामियों के साथ अनुप्रयोगों को नहीं चलाया जाना चाहिए। या तो जब तक इसे दुरुस्त नहीं कर लिया जाता तब तक इसे बंद रखा जाय, या इसे हटा दिया जाय और इसकी जगह कोई अन्य अनुप्रयोग डाला जाए. सार्वजनिक रूप से ज्ञात खामियां वर्म्स के मुख्य प्रवेश द्वार हैं, जिसका इस्तेमाल करके वे किसी सिस्टम में अपने आप घुसपैठ करते हैं और उससे जुड़े अन्य सिस्टम में फ़ैल जाते हैं। सुरक्षा वेबसाइट सेक्युनिया (Secunia) लोकप्रिय उत्पादों की उन ज्ञात खामियों के लिए खोज उपकरण का काम करती है, जो दुरुस्त नहीं की गई हैं।
सूचना को सुरक्षित रखने का एक तरीका है बैकअप: इसके तहत सभी महत्वपूर्ण कंप्यूटर फाइलों की एक प्रति दूसरे स्थान में रखी जाती है। इन फ़ाइलों को हार्ड डिस्क, सीडी-आर, सीडी-आरडब्ल्यू और टेपों में रखा जाता है। बैकअप अग्निरोधक, जलरोधक और तापरोधक अलमारी में रखने चाहिए, या फिर इन्हें मूल फाइलों के स्थान से दूर किसी अलग जगह में रखना चाहिए। कुछ लोग और कंपनियां बैंक के वॉल्ट की तिजोरी में भी अपने बैकअप रखा करती हैं। एक चौथा विकल्प भी है, जिसमें फ़ाइल जमा रखने वाली सेवाएं व्यापारिक घरानों और व्यक्तियों के बैकअप फाइलों को इंटरनेट में सुरक्षित रखती हैं।
- सुरक्षा के अलावा अन्य कारण भी बैकअप के लिए महत्वपूर्ण हैं। भूकंप, तूफान या बवंडर जैसी प्राकृतिक आपदाएं उस इमारत को भी चपेट में ले सकती हैं जहां कंप्यूटर स्थित है। इमारत में आग लग सकती है, या विस्फोट भी हो सकता है। इस तरह की आपदा की स्थिति में, वैकल्पिक सुरक्षित स्थान में हाल के बैकअप होने चाहिए। इसके अलावा, यह भी सुझाव दिया जाता है कि वैकल्पिक सुरक्षित स्थान ऐसा होना चाहिए कि एक ही आपदा का असर एक साथ दोनों स्थानों पर न पड़े. वैकल्पिक आपदा पुनःप्राप्ति स्थानों के जोखिम में आ जाने के उदाहरणों में एक है प्राथमिक स्थान वर्ल्ड ट्रेड सेंटर I और पुनःप्राप्ति स्थान 7 वर्ल्ड ट्रेड सेंटर, ये दोनों ही स्थान एक साथ 9/11 के हमले में तबाह हो गये। और, समुद्र तटीय क्षेत्र में भी प्राथमिक तथा पुनःप्राप्ति स्थानों के एक साथ तबाह होने के उदाहरण हैं (जैसे कि न्यू ओरलियंस का प्राथमिक स्थान और जेफरसन पारिश का पुनःप्राप्ति स्थान, 2005 में दोनों ही कैटरीना तूफ़ान की चपेट में एक साथ आ गए थे). बैकअप माध्यम को भौगोलिक स्थलों के बीच सुरक्षित तरीके से स्थानांतरित किया जाना चाहिए, ताकि उन्हें चोरी होने से बचाया जा सके।

क्रिप्टोग्राफ़िक तकनीक की जानकारी को बदलने में शामिल है, यह पांव मार तो यह प्रसारण के दौरान अपठनीय हो जाता है। भावी प्राप्तकर्ता संदेश को हल कर सकता है, लेकिन प्रच्छन्नश्रावी नहीं कर सकता.

दूसरों की दृष्टि से संदेशों को बचाने के लिए एन्क्रिप्शन का इस्तेमाल किया जाता है। अव्यवहारिकता को तोड़ने के किसी व्यावहारिक प्रयास के लिए क्रिप्टोग्राफिक रूप से सुरक्षित साइफ़र बनाये गए हैं। साझा कुंजी का उपयोग करने वाले एन्क्रिप्शन के लिए सिमेट्रिक-कुंजी साइफ़र होते हैं और जब पहले से ही कोई कुंजी सहभाजित न हो तो डिजिटल प्रमाणपत्र का उपयोग करने वाला सार्वजनिक-कुंजी एन्क्रिप्शन सुरक्षित रूप से समस्या का व्यावहारिक समाधान मुहैया कर सकता है।
फायरवॉल वह सिस्टम है जो कंप्यूटर और कंप्यूटर नेटवर्क पर हमले से रक्षा करता है और नेटवर्क ट्रैफिक को बाधित करके बाद के घुसपैठ को रोकता है जो इससे होकर गुजर सकता है; यह सिस्टम प्रशासक परिभाषित नियमों के एक सेट पर आधारित है।
हनी पॉट्स ऐसे कंप्यूटर्स हैं जिन्हें अनजाने में या जानबूझकर घुसपैठियों के हमले के लिए असुरक्षित छोड़ दिया जाता है। घुसपैठियों को पकड़ने के लिए या कमजोरियों को ठीक करने के लिए उनका उपयोग किया जा सकता है।
घुसपैठ-पहचान प्रणाली नेटवर्क का उपयोग करने वाले ऐसे लोगों के स्कैन कर सकती है जिन्हें वहां नहीं होना चाहिए था या वे जो कुछ कर रहे हैं उन्हें नहीं करना चाहिए; मसलन नेटवर्क में पहुंच बनाने के लिए बहुत सारे पासवर्ड डालने की कोशिश करना।
संभावित क्रैकर द्वारा आईपी एड्रेस पाने के लिए पिन्गिंग द पिंग अनुप्रयोग का इस्तेमाल किया जा सकता है। अगर किसी क्रैकर को कोई कंप्यूटर मिल जाता है तो वह उस कंप्यूटर की सेवाओं का पता लगाने और हमला करने के लिए पोर्ट स्कैन करने का प्रयास कर सकता है।
सोशल इंजीनियरिंग जागरूकता से सोशल इंजीनियरिंग के खतरों के बारे में कर्मचारी सचेत रहते हैं और/या सोशल इंजीनियरिंग द्वारा नेटवर्क तथा सर्वरों की सफलतापूर्वक उल्लंघनों को कम करने के लिए जरुरी नीति अपनाते हैं।
फ़ाइल इंटीग्रिटी मोनिटर्स ऐसे उपकरण हैं जिनका इस्तेमाल करके सिस्टम और फ़ाइल की शुद्धता में बदलावों का पता लगाया जाता है।

नोट्स संपादित करें

↑ परिभाषाएं: आईटी (IT) सुरक्षा वास्तुकला. Archived 2019-01-10 at the वेबैक मशीन SecurityArchitecture.org, जनवरी, 2008
↑ न्यू हैकिंग टेक्निक एक्स्प्लॉइट्स कॉमन प्रोग्रैमिंग एरर. Archived 2008-08-30 at the वेबैक मशीन SearchSecurity.com, जुलाई 2007
↑ जे.सी. विलेम्ससेन, "एफएए (FAA) कंप्यूटर सुरक्षा". GAO/T-AIMD-00-330. विज्ञान समिति, प्रतिनिधि सभा, 2000 में प्रस्तुत किया।
↑ पी. जी. न्यूमैन, 21 सदी में विमानन रक्षा और सुरक्षा पर अंतर्राष्ट्रीय सम्मेलन में "विमानन में कंप्यूटर सुरक्षा," को प्रस्तुत किया, व्हाइट हॉउस कमीशन ऑन सेफ्टी एंड सिक्युरिटी, 1997.
↑ जे ज़ेलन, विमानन सुरक्षा. हॉपपॉज, एनवाई: नोवा विज्ञान, 2003, पीपी 65–70.
↑ सूचना सुरक्षा. Archived 2011-11-15 at the वेबैक मशीन युनाइटेड स्टेट्स डिपार्टमेंट ऑफ़ डिफेन्स, 1986.
↑ साइबरसिक्युरिटी बिल पासेज़ फर्स्ट हर्डल Archived 2011-12-04 at the वेबैक मशीन, कंप्यूटर वर्ल्ड, 24 मार्च 2010. 26 जून 2010 को पुनःप्राप्त.
↑ ^अ ^आ साइबरसिक्युरिटी एक्ट ऑफ़ 2009 Archived 2010-06-17 at the वेबैक मशीन, OpenCongress.org, 1 अप्रैल 2009. 26 जून 2010 को पुनःप्राप्त.
↑ फेडरल अथॉरिटी ओवर द इंटरनेट? Archived 2011-03-04 at the वेबैक मशीन द साइबरसिक्युरिटी एक्ट ऑफ़ 2009 Archived 2011-03-04 at the वेबैक मशीन, eff.org, 10 अप्रैल 2009. 26 जून 2010 को पुनःप्राप्त.
↑ ^अ ^आ ^इ एच.आर.4962 - अंतर्राष्ट्रीय साइबरक्राइम रिपोर्टिंग एंड कोऑपरेशन एक्ट Archived 2010-12-28 at the वेबैक मशीन, OpenCongress.org. 26 जून 20109 को पुनःप्राप्त.
↑ सीनेटर्स से साइबर सिक्युरिटी बिल हैज़ नो 'किल स्विच' Archived 2012-09-21 at archive.today, informationweek.com, 24 जून 2010. 25 जून 2010 को पुनःप्राप्त.

इन्हें भी देखें संपादित करें

Computer security प्रवेशद्वार

अटैक ट्री
प्रमाणीकरण
प्राधिकरण
कॅप्चा (CAPTCHA)
सीईआरटी (CERT)
क्लाउड कंप्यूटिंग सुरक्षा
कंप्यूटर असुरक्षा
कंप्यूटर सुरक्षा मॉडल
काउंटरमेज़र (कंप्यूटर)
कूट-लेखन
साइबर सुरक्षा मानक
नाचते सूअर
डिस्क एन्क्रिप्शन
डेटा हानि की रोकथाम के उत्पाद
डेटा सुरक्षा
विभेदित सुरक्षा
शोषण (कंप्यूटर सुरक्षा)
दोष सहिष्णुता
फायरवॉल
पूर्ण प्रकटीकरण
उच्च प्रौद्योगिकी अपराध जांच संघ

ह्युमन-कंप्यूटर संपर्क (सुरक्षा)
अभिज्ञान प्रबंधन
सूचना रिसाव निवारण
सूचना सुरक्षा
इंटरनेट की गोपनीयता
आईटी (IT) जोखिम
आईएसओ/आईईसी (ISO/IEC) 15408
नेटवर्क सुरक्षा टूलकिट
नेटवर्क सुरक्षा
ओडब्ल्यूएएसपी (OWASP)
निवेश परीक्षा
शारीरिक सूचना सुरक्षा
शारीरिक सुरक्षा
प्रकल्पित सुरक्षा
प्रोएक्टिव साइबर डिफेन्स
सैंडबॉक्स (कंप्यूटर सुरक्षा)
सुरक्षा वास्तुकला
संरक्षण और सुरक्षा के भिन्नता
भय (कंप्यूटर)
अरक्षितता (कंप्यूटिंग)
गोपनीयता सॉफ्टवेयर

सन्दर्भ संपादित करें

रॉस जे. एंडरसन: सिक्युरिटी इंजीनियरिंग: अ गाइड टू बिल्डिंग डिपेंडबल डिस्ट्रिब्यूटेड सिस्टम्स, ISBN 0-471-38922-6
मोरी गैसर: बिल्डिंग अ सिक्युर कंप्यूटर सिस्टम ISBN 0-442-23022-2 1988
स्टीफन हाग, मैव कमिंग्स, डॉनल्ड मैककबरी, एलेन पिंसोंनिऔल्ट, रिचर्ड डोनोवन: मैनेजमेंट इन्फॉर्मेशन सिस्टम्स फॉर द इंफॉर्मेशन एज, ISBN 0-07-091120-7
ई. स्टीवर्ट ली: एसेज़ अबाउट कंप्यूटर सिक्युरिटी कैम्ब्रिज, 1999
पीटर जी न्यूमैन: प्रिंसिपल्ड अश्योर्डली ट्रस्टवर्दी कौम्पोज़बल आर्किटेकचर्स^{[मृत कड़ियाँ]} 2004
पॉल ए कर्गेर, रॉजर आर. शेल: थर्टी इयर्स लेटर: लेसंस फ्रॉम द मल्टिक्स सेक्युरिटी एवैल्युएशन^{[मृत कड़ियाँ]}, आईबीएम (IBM) व्हाइट पेपर.
ब्रूस श्नीडर: सीक्रेट्स एंड लाइज़: डिजिटल सिक्युरिटी इन अ नेटवर्क्ड वर्ल्ड, ISBN 0-471-25311-1
रॉबर्ट सी. सीकॉर्ड: सिक्युर कोडिंग इन C and C++. एडिसन वेस्ली, सितंबर, 2005. ISBN 0-321-33572-4
क्लिफर्ड स्टोल: ककुज़ एग: ट्रेकिंग अ स्पाई थ्रू द मेज़ ऑफ़ कंयूटर एस्पिएनेज, पॉकेट बुक्स, ISBN 0-7434-1146-3
नेटवर्क इंफ्रास्ट्रक्चर सिक्युरिटी , एंगस वोंग और एलन यौंग, स्प्रिंगर, 2009.

बाहरी कड़ियाँ संपादित करें

विकिमीडिया कॉमन्स पर Computer security से सम्बन्धित मीडिया है।

[1] परिभाषाएं: आईटी (IT) सुरक्षा वास्तुकला. Archived 2019-01-10 at the वेबैक मशीन SecurityArchitecture.org, जनवरी, 2008

[2] न्यू हैकिंग टेक्निक एक्स्प्लॉइट्स कॉमन प्रोग्रैमिंग एरर. Archived 2008-08-30 at the वेबैक मशीन SearchSecurity.com, जुलाई 2007

[FAA_Computer_Security-3] जे.सी. विलेम्ससेन, "एफएए (FAA) कंप्यूटर सुरक्षा". GAO/T-AIMD-00-330. विज्ञान समिति, प्रतिनिधि सभा, 2000 में प्रस्तुत किया।

[Computer_Security_in_Aviation-4] पी. जी. न्यूमैन, 21 सदी में विमानन रक्षा और सुरक्षा पर अंतर्राष्ट्रीय सम्मेलन में "विमानन में कंप्यूटर सुरक्षा," को प्रस्तुत किया, व्हाइट हॉउस कमीशन ऑन सेफ्टी एंड सिक्युरिटी, 1997.

[5] जे ज़ेलन, विमानन सुरक्षा. हॉपपॉज, एनवाई: नोवा विज्ञान, 2003, पीपी 65–70.

[6] सूचना सुरक्षा. Archived 2011-11-15 at the वेबैक मशीन युनाइटेड स्टेट्स डिपार्टमेंट ऑफ़ डिफेन्स, 1986.

[computerworldapproval-7] साइबरसिक्युरिटी बिल पासेज़ फर्स्ट हर्डल Archived 2011-12-04 at the वेबैक मशीन, कंप्यूटर वर्ल्ड, 24 मार्च 2010. 26 जून 2010 को पुनःप्राप्त.

[cybersecurity2010-8] अ ^आ साइबरसिक्युरिटी एक्ट ऑफ़ 2009 Archived 2010-06-17 at the वेबैक मशीन, OpenCongress.org, 1 अप्रैल 2009. 26 जून 2010 को पुनःप्राप्त.

[notsober-9] फेडरल अथॉरिटी ओवर द इंटरनेट? Archived 2011-03-04 at the वेबैक मशीन द साइबरसिक्युरिटी एक्ट ऑफ़ 2009 Archived 2011-03-04 at the वेबैक मशीन, eff.org, 10 अप्रैल 2009. 26 जून 2010 को पुनःप्राप्त.

[reportingandcooperation-10] अ ^आ ^इ एच.आर.4962 - अंतर्राष्ट्रीय साइबरक्राइम रिपोर्टिंग एंड कोऑपरेशन एक्ट Archived 2010-12-28 at the वेबैक मशीन, OpenCongress.org. 26 जून 20109 को पुनःप्राप्त.

[nokillswitch-11] सीनेटर्स से साइबर सिक्युरिटी बिल हैज़ नो 'किल स्विच' Archived 2012-09-21 at archive.today, informationweek.com, 24 जून 2010. 25 जून 2010 को पुनःप्राप्त.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]