कंप्यूटर सुरक्षा

मुक्त ज्ञानकोश विकिपीडिया से
यहाँ जाएँ: भ्रमण, खोज

कंप्यूटर सुरक्षा कंप्यूटर प्रौद्योगिकी की एक शाखा है, जिसे coin coin और नेटवर्क में लागू की जाने वाली सूचना सुरक्षा के रूप में जाना जाता है. कंप्यूटर सुरक्षा का उद्देश्य इसके नियत उपयोगकर्ताओं के लिए सूचना तथा सामग्री को सुलभ रखते हुए चोरी, भ्रष्टाचार या प्राकृतिक आपदा से सूचना और सामग्री की रक्षा करना है. कंप्यूटर प्रणाली सुरक्षा का मतलब है सामूहिक प्रक्रियाओं और तंत्रों के द्वारा संवेदनशील और महत्वपूर्ण सूचना और सेवाओं को प्रकाशन, छेड़छाड़ या अनधिकृत गतिविधियों या अविश्वासी व्यक्तियों और अनियोजित घटनाओं से क्रमशः संरक्षित रखना. कंप्यूटर सुरक्षा की रणनीतियां और कार्यप्रणालियां अधिकांश अन्य कंप्यूटर प्रौद्योगिकियों से अक्सर भिन्न होती हैं क्योंकि इसका छिपा हुआ उद्देश्य वांछित कंप्यूटर व्यवहार को सक्षम बनाने की बजाए अवांछित कंप्यूटर व्यवहार को रोकना है.

डिजाइन द्वारा सुरक्षा[संपादित करें]

कंप्यूटर सुरक्षा की प्रौद्योगिकियां तर्क पर आधारित हैं. अधिकांश कंप्यूटर अनुप्रयोगों के लिए सुरक्षा आवश्यक रूप से प्राथमिक लक्ष्य नहीं होती है, लेकिन सुरक्षा को ध्यान में रखते हुए किसी कार्यक्रम को बनाए जाने से अक्सर ही उस कार्यक्रम के व्यवहार में रोक लग जाती है.

कंप्यूटिंग में सुरक्षा की 4 पद्धतियां होती हैं, कभी-कभी पद्धतियों का संयोजन मान्य होता है:

  1. सुरक्षा नीति का पालन करने के लिए सभी सॉफ्टवेयर का भरोसा करें लेकिन सॉफ्टवेयर विश्वसनीय नहीं हुआ करते (यह कंप्यूटर असुरक्षा है).
  2. सुरक्षा नीति का पालन करने के लिए सभी सॉफ्टवेयर का भरोसा करें और सॉफ्टवेयर विश्वसनीय के रूप में मान्य है (उदाहरण के लिए कठिन शाखा तथा कार्यप्रणाली विश्लेषण द्वारा).
  3. सॉफ्टवेयर का भरोसा नहीं करना लेकिन ऐसे तंत्रों के साथ सुरक्षा नीति लागू करना जो कि भरोसेमंद नहीं है (यह भी कंप्यूटर असुरक्षा है).
  4. सॉफ्टवेयर पर भरोसा नहीं करना लेकिन भरोसेमंद हार्डवेयर तंत्र के साथ एक सुरक्षा नीति को लागू करना.

अनेक प्रणालियां अनजाने में पहली संभावना में आ जाया करती हैं. महंगी और गैर-निश्चयात्मक होने के कारण दूसरी पद्धति का उपयोग बहुत सीमित है. पहली और तीसरी पद्धतियां विफल हो जाती हैं. हार्डवेयर तंत्र पर आधारित होने के कारण और कपोल-कल्पना से बचने तथा स्वतंत्रता की की डिग्री की विविधता की वजह से चौथी पद्धति अधिक व्यावहारिक होती है. दो पतली परतों और चार मोटी परतों के साथ स्तरित बनावट में दूसरी तथा चौथी पद्धतियों के संयोजन का अक्सर उपयोग हुआ करता है.

सुरक्षा प्रणाली को तैयार करने के लिए विभिन्न प्रकार की रणनीतियों और तकनीकों का इस्तेमाल किया जाता है. हालांकि तैयार करने के बाद सुरक्षा को बढ़ाने के लिए कुछ, यदि कोई हो, प्रभावी रणनीतियां होती हैं. कम सुविधा के सिद्धांत को बहुत अधिक करने के लिए एक तकनीक बल प्रदान करती है, जहां एक इकाई को अपने कार्य करने की जरुरत के लिए ही विशेषाधिकार होता है. . इस तरह अगर कोई घुसपैठिया प्रणाली के एक हिस्से में अपनी पहुंच बना भी लेता है तो सूक्ष्म सुरक्षा बाकी हिस्सों में घुसपैठ की पहुंच को मुश्किल बनाना सुनिश्चित कर देती है.

इसके अलावा, छोटे घटकों में प्रणाली को बांटने से अलग-अलग घटकों की जटिलता कम हो जाती है, इससे महत्वपूर्ण सॉफ्टवेयर उपप्रणालियों की शुद्धता को साबित करने के लिए स्वचालित प्रमेय परीक्षण जैसी तकनीकों का उपयोग करने की संभावना के रास्ते खुल जाते हैं. इससे सुरक्षा का एक संवृत आकार समाधान मिलता है जो तभी अच्छी तरह से काम करता है जब केवल एक एकल अच्छी विशेषता वाली सामग्री को महत्वपूर्ण के रूप में अलग किया जा सकता हो और उस सामग्री का गणित में भी मूल्यांकन किया जा सके. आश्चर्य की बात नहीं है कि यह सामान्यीकृत शुद्धता के लिए अव्यावहारिक है, जिसे शायद परिभाषित भी नहीं किया जा सकता है, साबित करना दूर की बात है. जहां औपचारिक शुद्धता के सबूत संभव नहीं हैं, वहां कोड समीक्षा और इकाई परीक्षण का सख्त उपयोग मॉड्यूल को सुरक्षित करने का सबसे अच्छा प्रयास होता है.

जहां एक से अधिक उपप्रणाली को प्रणाली और उसमें जमा सूचना की शुद्धता के साथ समझौता करने का उल्लंघन करने की जरुरत होती है, वहां डिजाइन में "गहराई से सुरक्षा" का उपयोग किया जाना चाहिए. जब कोई सुरक्षा उपाय का उल्लंघन दूसरे को नष्ट करने के लिए कोई मंच प्रदान नहीं करता है तब गहरी सुरक्षा काम करती है. इसके अलावा, कैस्केडिंग सिद्धांत का मानना है कि कई छोटी बाधाएं एक बड़ी बाधा नहीं बना करतीं. इसलिए कई सोपानी कमजोर तंत्र एक मज़बूत तंत्र को सुरक्षा प्रदान नहीं कर सकते.

सेटिंग्स को सुरक्षित करने के लिए उपप्रणाली को डिफ़ॉल्ट होना चाहिए और जहां कहीं भी संभव हो "फेल इनसेक्योर" के बजाय "फेल सिक्योर" की तरह डिजाइन किया जाना चाहिए (सुरक्षा इंजीनियरिंग में बराबरी के लिए फेल-सेफ देखें). आदर्श रूप से, इस असुरक्षित बनाने के सिलसिले में सुरक्षित प्रणाली को वैध अधिकारियों द्वारा एक सुविचारित, सचेत, सुविज्ञ और मुक्त निर्णय लेने की जरुरत होती है.

इसके अतिरिक्त, सुरक्षा को सब कुछ या कुछ नहीं जैसा मुद्दा नहीं मान लेना चाहिए. प्रणालियों के डिजाइनरों और ऑपरेटरों को मान लेना चाहिए कि सुरक्षा उल्लंघन अपरिहार्य हैं. प्रणाली गतिविधि के पूरे लेखा परीक्षण के निशान रखने चाहिए, ताकि जब सुरक्षा उल्लंघन की घटना घटे तब क्रियाविधि और उल्लंघन की सीमा निर्धारित की जा सके. जहां उन्हें सिर्फ संलग्न किया जा सके, ऐसी जगह लेखा परीक्षण के दूर कहीं भंडारण से घुसपैठियों को उनके मार्गों का पता लगाने में कठिनाई पेश आ सकती है. अंत में, पूर्ण प्रकटीकरण यह सुनिश्चित करने में तब मदद करता है कि जहां तक संभव हो, बग्स मिलने की अवस्था में "असुरक्षा की स्थिति" कम से कम हो.

सुरक्षा संरचना[संपादित करें]

सुरक्षा संरचना को डिजाइन शिल्पकृति के रूप में परिभाषित किया जा सकता है, जो यह वर्णित करती है कि सुरक्षा नियंत्रण (सुरक्षा प्रत्युपाय) किस अवस्थिति में है और वे समग्र सूचना प्रौद्योगिकी संरचना से किस तरह संबंधित हैं. ये नियंत्रण प्रणाली की गुणवत्ता विशेषताओं को बनाए रखने के उद्देश्य को पूरा करते है, इन विशेषताओं में गोपनीयता, शुद्धता, उपलब्धता, जवाबदेही और आश्वासन शामिल हैं."[1] .

कंप्यूटर और डेटा की रक्षा करनेवाले हार्डवेयर तंत्र[संपादित करें]

हार्डवेयर आधारित या सहायक कंप्यूटर सुरक्षा सॉफ्टवेयर-मात्र कंप्यूटर सुरक्षा के लिए एक विकल्प प्रदान करती है. डोंगल जैसे उपकरणों को अधिक सुरक्षित माना जा सकता है क्योंकि जरुरत पड़ने पर इनका बाहरी तौर पर भी उपयोग किया जा सकता है.[मूल शोध?].

सुरक्षित ऑपरेटिंग सिस्टम[संपादित करें]

कंप्यूटर सुरक्षा शब्द का प्रयोग एक सुरक्षित ऑपरेटिंग सिस्टम को लागू करने वाली प्रौद्योगिकी के लिए संदर्भित है. इस प्रौद्योगिकी का अधिकांश 1980 के दशक में विकसित विज्ञान पर आधारित है और इनका उपयोग कुछ सबसे अभेद्य ऑपरेटिंग सिस्टम के निर्माण में किया जा सकता है. हालांकि यह अभी भी मान्य है, लेकिन इन दिनों इस प्रौद्योगिकी का प्रयोग सीमित है; क्योंकि इसका मुख्य कारण यह है कि यह व्यवस्था प्रबंधन में कुछ बदलाव लाती है और इसलिए भी कि आम तौर पर इसे समझा नहीं जा सका है. इस जैसे अति-सुदृढ़ सुरक्षित ऑपरेटिंग सिस्टम ऑपरेटिंग सिस्टम कर्नेल तकनीक पर आधारित है, जो ऑपरेटिंग वातावरण में कुछ सुरक्षा नीतियों को पूरी तरह से लागू करने की गारंटी कर सकती है. ऐसी कंप्यूटर सुरक्षा नीति का एक उदाहरण है बेल-लापडूला मॉडल. विशेष माइक्रोप्रोसेसर हार्डवेयर फीचर, जिसमें प्रायः स्मृति प्रबंधन इकाई शामिल होती है, को विशेष सही ढंग से लागू ऑपरेटिंग सिस्टम कर्नेल के साथ युग्मन पर यह रणनीति आधारित है. यह एक सुरक्षित ऑपरेटिंग सिस्टम की नींव का निर्माण करती है, अगर कुछ महत्वपूर्ण भागों को सही ढंग से बनाया और लागू किया गया, तो यह शत्रुओं के घुसपैठ को पूरी तरह से असंभव बनाना सुनिश्चित कर सकती है. यह क्षमता इसलिए प्राप्त हुई है क्योंकि कॉन्फ़िगरेशन न सिर्फ एक सुरक्षा नीति अधिरोपित करता है बल्कि सिद्धांततः पूरी तरह से खुद को विकृति से बचाता है. दूसरी तरफ, साधारण ऑपरेटिंग सिस्टम में उन विशेषताओं की कमी होती है जो इस उच्चतम स्तर की सुरक्षा निश्चित करती हैं. इस तरह की सुरक्षा प्रणाली के निर्माण के लिए डिजाइन पद्धति सटीक, निश्चयात्मक और तार्किक है.

ऐसी कार्यपद्धति से प्रणाली को बनाया जाना कंप्यूटर सुरक्षा के अत्याधुनिकीकरण[तथ्य वांछित] को दर्शाता है हालांकि ऐसी सुरक्षा का उपयोग करने वाले उत्पादों को व्यापक रूप से नहीं जाना जाता है. अधिकांश सॉफ्टवेयर के एकदम विपरीत वे आकार, वजन और शक्ति के विनिर्देशों के साथ तुलनीय निरीक्षण की निश्चयता के विनिर्देशों को पूरा करते हैं. इस तरह से तैयार सुरक्षित ऑपरेटिंग सिस्टम मुख्य रूप से राष्ट्रीय सुरक्षा की सूचना, सेना की गोपनीयता और अंतरराष्ट्रीय वित्तीय संस्थानों के तथ्यों-आंकड़ों की रक्षा करते है. ये बहुत ही शक्तिशाली सुरक्षा उपकरण हैं और बहुत कम सुरक्षित ऑपरेटिंग सिस्टम को उच्चतम स्तर पर (ऑरेंज बुक ए-1) "टॉप सीक्रेट" से लेकर "अवर्गीकृत" (हनीवेल एससीओएमपी, यूएसएएफ एसएसीडीआईएन, एनएसए ब्लैकर और बोइंग एमएलएस एलएएन सहित) की श्रेणी में काम करने के लिए प्रमाणित किया जाता है. सुरक्षा के आश्वासन सिर्फ डिजाइन रणनीति की सुदृढ़ता पर ही नहीं, बल्कि कार्यान्वयन के सही होने के आश्वासन पर भी निर्भर है, और इसीलिए कम्प्युसेक (COMPUSEC) के लिए सुरक्षा क्षमता की डिग्री परिभाषित की गयी है. दो घटकों, सुरक्षा कार्यात्मकता और आश्वासन स्तर (जैसे कि ईएएल स्तर) के मामले में आम मानदंड उत्पादों की सुरक्षा क्षमता को परिमाणित करता है और उत्पाद के विवरणों के लिए आवश्यकताओं तथा एक सुरक्षा लक्ष्य की सुरक्षा प्रोफाइल में इनका स्पष्ट उल्लेख होता है. दशकों से उत्पादन कर रहे इन अति-उच्च सुरक्षा आश्वासनों में से किसी को भी आम प्रयोजन ऑपरेटिंग सिस्टम हासिल नहीं हुआ है या किसी को भी आम मानदंड के तहत प्रमाणित नहीं किया गया है.

अमेरिका की भाषा में, उच्च आश्वासन (हाई एश्योरेंस) शब्दावली का मतलब आम तौर पर डीओडी ( DoD) और डीओई (DoE) वर्गीकृत जानकारी की सुरक्षा के लिए पर्याप्त मजबूती के साथ लागू किये गए सही सुरक्षा कार्यों की प्रणाली होती है. मध्यम आश्वासन (मीडियम एश्योरेंस) आयकर जानकारी जैसी कम महत्वपूर्ण सूचना की रक्षा कर सकता है. सुरक्षा कार्यों और आश्वासन के मध्यम मजबूती स्तरों को पाने के लिए सुरक्षित ऑपरेटिंग सिस्टम तैयार किये जाते हैं और सरकार तथा वाणिज्यिक बाजारों में इनका व्यापक इस्तेमाल देखा जाता है. उच्च आश्वासन सुरक्षित ऑपरेटिंग सिस्टम की तरह ही मध्यम मजबूत प्रणालियां उसी तरह के सुरक्षा कार्य कर सकते हैं लेकिन निचले आश्वासन स्तर पर ऐसा करते हैं (जैसे कि आम मानदंड स्तर ईएएल4 या ईएएल5 पर). निचले स्तर का मतलब है कि सुरक्षा कार्यों के सुचारू रूप से काम करने के बारे में हम पूरी तरह से निश्चिन्त नहीं हो सकते हैं और इसीलिए यह कम भरोसेमंद है. इन पद्धतियों का प्रयोग वेब सर्वर, गार्ड, डेटाबेस सर्वर और प्रबंधन समूह में किया जाता है और इनका प्रयोग न सिर्फ इन प्रणालियों में जमा डेटा की रक्षा के लिए होता है बल्कि नेटवर्क कनेक्शन और अनुमार्गण सेवाओं के लिए उच्च स्तर की रक्षा भी प्रदान की जाती है.

सुरक्षित कूटबद्धता[संपादित करें]

अगर ऑपरेटिंग वातावरण एक ऐसे सुरक्षित ऑपरेटिंग सिस्टम पर आधारित नहीं है, जो अपने खुद के निष्पादन के कार्य क्षेत्र को कायम रखने में सक्षम हो और जो दुर्भावनापूर्ण विनाश से अनुप्रयोग कोड की रक्षा में सक्षम हो तथा जो भ्रष्ट कोड से प्रणाली की रक्षा करने में समर्थ हो, तो फिर उच्च स्तर की सुरक्षा संभव नहीं है. हालांकि ऐसे सुरक्षित ऑपरेटिंग सिस्टम संभव हैं और लागू किये जा चुके हैं, लेकिन अधिकांश वाणिज्यिक प्रणालियां 'निचली सुरक्षा' को अपना रही हैं क्योंकि वे सुरक्षित ऑपरेटिंग सिस्टम के द्वारा समर्थित विशेषताओं पर भरोसा नहीं करतीं (जैसे पोर्टेबिलिटी, तथा अन्य). निम्न सुरक्षा ऑपरेटिंग वातावरण में, अनुप्रयोगों को अपनी खुद की सुरक्षा में भागीदारी पर भरोसा करना चाहिए. ऐसी "सर्वोत्तम प्रयास" सुरक्षित कूटबद्धता कार्यप्रणाली होती हैं जो दुर्भावनापूर्ण नाश को रोकने के लिए अनुप्रयोग को और अधिक प्रतिरोधी बनाती हैं.

वाणिज्यिक वातावरण में, अधिकांश सॉफ्टवेयर ध्वंस अरक्षितता कूटबद्धता दोषों की कुछ ज्ञात किस्मों के परिणाम हैं. आम सॉफ्टवेयर दोषों में प्रतिरोधक अतिप्रवाह, प्रारूप स्ट्रिंग अरक्षितता, पूर्णांक अतिप्रवाह और कोड/कमांड इंजेक्शन शामिल हैं. इस पर तत्काल ध्यान दिया जाना चाहिए कि सभी पूर्ववर्ती दोषों के सामान्य वर्ग के विशिष्ट उदाहरण हैं, जहां की स्थिति में तथाकथित "डेटा" दरअसल अन्तर्निहित अव्यक्त या सुस्पष्ट, निष्पादन योग्य निर्देशों का चतुराई के साथ इस्तेमाल करते हैं.

सी (C) और सी++ (C++) जैसी कुछ आम भाषाएं इन सभी दोषों के लिए असुरक्षित हैं (सीकोर्ड (Seacord), "सी और सी++ में सिक्योर कोडिंग" देखें). अन्य भाषाएं, जैसे कि जावा, इन दोषों के लिए और अधिक प्रतिरोधी होती हैं, लेकिन फिर भी कोड/कमांड इंजेक्शन और अन्य सॉफ्टवेयर दोष प्रवण होती हैं, जो विध्वंस लाती हैं.

हाल ही में एक और खराब कोडिंग अभ्यास जांच के दायरे में आया है; जिसे डैंगलिंग प्वाइंटर्स कहते हैं. जुलाई 2007 में पहली बार इस विशेष समस्या के ज्ञात कारनामे का पता चला. इसके सामने आने से पहले भी इस समस्या की जानकारी थी, लेकिन इसे अकादमिक माना जाता था और व्यावहारिक उपलब्धि नहीं माना जाता था.[2]

दुर्भाग्यवश, "सुरक्षित कोडिंग" कार्यप्रणाली का कोई सैद्धांतिक मॉडल नहीं है, और न ही व्यावहारिक रूप से साध्य ही है, अब तक तंत्रों की किस्में बहुत अधिक व्यापक हैं और उनको काम में लगा सकने के तरीके विचित्र हैं. दिलचस्प बात है कि इस तरह की अरक्षितता अक्सर ही पुरातन दर्शनों से उत्पन्न होती हैं जिनमें कंप्यूटरों को कुछ चुनिंदा लोगों द्वारा उपयोग की जाने वाली एक कठिनाई से प्रसारित सत्ता मान लिया गया है, उनमें से सभी व्यर्थ उच्च शिक्षित, सुप्रशिक्षित शिक्षाविद थे, लेकिन उनके मन में मानव जाति की भलाई की भावना थी. इस प्रकार, यह काफी हानिरहित माना जाता था अगर, (काल्पनिक) उदाहरण के लिए, एक फोरट्रान (FORTRAN) कार्यक्रम में एक फॉर्मेट (FORMAT) स्ट्रिंग "मुद्रण के बाद सिस्टम को बंद" ("shut down system after printing") करने वाले जे फॉर्मेट स्पेसिफायर को रख सकती थी. आखिरकार, एक सदाशयी सिस्टम प्रोग्रामर के बिना ऐसे फीचर का प्रयोग कौन करेगा? यह सोच से परे बात थी कि सॉफ्टवेयर को विनाशकारी रूप से लगाया जा सकता है.

यह ध्यान देने योग्य बात है कि, कुछ भाषाओं में, डेटा (आदर्शतः, केवल पढ़ने के लिए) और कोड (आमतौर पर पढ़ने/लिखने में) के बीच भेद अस्पष्ट होता है. लिस्प (LISP) में, विशेष रूप से, कोड और डेटा के बीच कोई अंतर नहीं होता है, दोनों एक ही रूप के होते हैं: एक एस-अभिव्यक्ति (S-expression) को कोड, या डेटा, या दोनों किया जा सकता है; और लिस्प कार्यक्रम का "उपयोगकर्ता" जो तथाकथित "डेटा" में एक निष्पादन योग्य लैम्ब्डा (LAMBDA) खंड को डाल पाता है, वह मनमाने ढंग से सामान्य व खतरनाक कार्यात्मकता प्राप्त कर सकता है. पर्ल (Perl) द्वारा इवल (eval) प्रकार्य जैसा कुछ "आधुनिक" देने से यह पर्ल कोड उत्पन्न करने में सक्षम करता है और स्ट्रिंग डेटा के छद्मवेष में इसे इन्टरप्रेटर में पेश करता है.

क्षमताएँ और अभिगम नियंत्रण सूची[संपादित करें]

कंप्यूटर सिस्टम के अंतर्गत, दो सुरक्षा मॉडल होते हैं जो विशेषाधिकार अलगाव (प्रिविलेज सेपरेशन) को लागू करने में सक्षम हैं, और अभिगम नियंत्रण सूची (ACLs) तथा क्षमता-आधारित सुरक्षा में उनकी पहुंच होती है. अनेक स्थितियों में एसीएल (ACLs) के अर्थ विज्ञान असुरक्षित साबित हुए हैं, जैसे कि, भ्रामक डिप्टी समस्या. यह भी दिखाया गया है कि केवल एक ही व्यक्ति को एक वस्तु का उपयोग करने देने के एसीएल के वादे की व्यवहार में गारंटी नहीं की जा सकती. इन दोनों समस्याओं के समाधान क्षमताओं (कैपेबिलिटीज) द्वारा किये जाते हैं. इसका मतलब यह नहीं कि सभी एसीएल-आधारित सिस्टम में व्यावहारिक खामियां हुआ करती हैं, लेकिन केवल तभी जब कुछ उपयोगिताओं के डिजाइनर यह सुनिश्चित करें कि उन्होंने कोई खामी नहीं रख छोड़ी है.[कृपया उद्धरण जोड़ें]

क्षमताओं को ज्यादातर अनुसंधान ऑपरेटिंग सिस्टम तक ही सीमित रखा गया है और वाणिज्यिक ओएस (OSs) अभी भी एसीएल का उपयोग कर रहे हैं. तथापि, क्षमताओं को भाषा के स्तर पर भी लागू किया जा सकता है, जो कि प्रोग्रामिंग की एक शैली की ओर ले जाती है, जो मानक लक्ष्य-उन्मुख डिजाइन की आवश्यक शुद्धता है. इस क्षेत्र में एक खुली परियोजना ई भाषा (E language) है.

1970 के दशक में हार्डवेयर और सॉफ्टवेयर दोनों में पहले प्लेसे प्रणाली 250 और फिर कैंब्रिज कैप कंप्यूटर ने क्षमताओं के उपयोग का प्रदर्शन किया. क्षमताओं को अपनाने में कमी का एक कारण यह हो सकता है कि ऑपरेटिंग सिस्टम और हार्डवेयर को व्यापक नया स्वरुप दिए बिना ही एसीएल ने सुरक्षा के लिए एक "क्विक फिक्स" का प्रस्ताव पेश कर दिया.[कृपया उद्धरण जोड़ें]

सबसे सुरक्षित कंप्यूटर वे हैं जो इंटरनेट से जुड़े हुए नहीं हैं और किसी हस्तक्षेप से बचने के लिए कवचबंद हैं. वास्तविक दुनिया में, अधिकांश सुरक्षा ऑपरेटिंग सिस्टम से आती है, जहां सुरक्षा अतिरिक्त रूप से जोड़ी नहीं गयी हो.

अनुप्रयोग[संपादित करें]

कंप्यूटर प्रणाली पर चलने वाले लगभग सभी प्रौद्योगिकी आधारित उद्योग में कंप्यूटर सुरक्षा महत्वपूर्ण है. कंप्यूटर सुरक्षा को कंप्यूटर सेफ्टी के रूप में भी निर्दिष्ट किया जा सकता है. कंप्यूटर आधारित प्रणालियों के मुद्दे और उनकी असंख्य कमजोरियां किसी क्रियाशील उद्योग के रखरखाव का एक अभिन्न हिस्सा हैं.[3]

क्लाउड कंप्यूटिंग सुरक्षा[संपादित करें]

क्लाउड सुरक्षा चुनौतीपूर्ण है[कृपया उद्धरण जोड़ें], क्योंकि बादल की स्थिति में सुरक्षा सुविधा और प्रबंधन व्यवस्था विविध डिग्री की हुआ करती हैं. इस संबंध में एक तार्किक प्रोटोकॉल आधार को विकसित करने की जरुरत होती है ताकि घटकों का पूरा क्षेत्र समकालिक और सुरक्षापूर्ण तरीके से संचालित हों[मूल शोध?].

विमानन में[संपादित करें]

कंप्यूटर सुरक्षा का विश्लेषण करते समय विमानन उद्योग विशेष रूप से महत्वपूर्ण है, क्योंकि इसके साथ मानव जीवन, महंगे उपकरण, माल और परिवहन के बुनियादी ढांचे का जोखिम जुड़े हुए हैं. हार्डवेयर और सॉफ्टवेयर के कदाचार, मानव त्रुटि और दोषपूर्ण ऑपरेटिंग वातावरण से सुरक्षा को खतरे में डाला जा सकता है. तोड़फोड़, जासूसी, औद्योगिक प्रतियोगिता, आतंकवादी हमले, यांत्रिक खराबी और मानव त्रुटि से पैदा होने वाली कंप्यूटर की कमजोरियों का दोहन किया जा सकता है.[4]

विमानन उद्योग में सफलतापूर्वक जानबूझकर किये गये या लापरवाही के कारण कंप्यूटर प्रणाली के दुरुपयोग के परिणामस्वरूप गोपनीयता के नुकसान से लेकर सिस्टम की शुद्धता तक का नुकसान हो सकता है, जिससे डेटा की चोरी या क्षति, नेटवर्क और हवाई यातायात नियंत्रण में रुकावट जैसी अधिक गंभीर चिंताएं पैदा हो सकती हैं, जिनकी वजह से हवाई अड्डे बंद होने, विमानों की क्षति और यात्रियों के जीवन की क्षति जैसी घटनाएं भी हो सकती है. हथियारों पर नियंत्रण रखने वाली सैन्य प्रणालियां कहीं बड़े खतरे पैदा कर सकती हैं.

एक बड़े हमले को बहुत अधिक हाई टेक होने की या इसे अधिक धन की भी जरुरत नहीं है; हवाई अड्डे में बिजली कटौती से ही विश्वव्यापी प्रभाव पड़ सकते हैं.[5]. सुरक्षा कमजोरियों में सबसे आसान और यकीनन सबसे कठिन विशिष्ट रेडियो फ्रीक्वेंसी पर अनधिकृत संचार प्रसारण का पता लगाना है. ये प्रसारण हवाई यातायात नियंत्रकों को धोखा दे सकते हैं या संचार व्यवस्था को पूरी तरह बाधित कर सकते हैं. ऐसी घटनाएं बहुत आम हैं, जिनसे वाणिज्यिक विमान के उड़ान क्रम में बदलाव लाना पड़ा है और पिछले दिनों इससे आतंक तथा भ्रम की स्थिति पैदा हुई थी.[कृपया उद्धरण जोड़ें] महासागरों पर विमान नियंत्रण विशेष रूप से खतरनाक है, क्योंकि राडार निगरानी तट से केवल 175-225 मील तक ही फैली हुई होती है. राडार की निगरानी के अलावा नियंत्रकों को एक तीसरी पार्टी के साथ आवधिक रेडियो संचार पर भरोसा करना पड़ता है.

बिजली गिरने, विद्युत की अस्थिरता, विद्युत तरंग, ब्राउन-आउट्स (बिजली का चला जाना), फ़्यूज़ उड़ने और अन्य विभिन्न विद्युत कटौती या गड़बड़ी से सभी कंप्यूटर सिस्टम अक्षम हो जाते हैं, क्योंकि वे विद्युत स्रोत पर निर्भर होते हैं. अन्य आकस्मिक और जानबूझकर की गई भूलों से पिछले कुछ दशकों में सुरक्षा महत्वपूर्ण सिस्टम में उल्लेखनीय व्यवधान पैदा हुए हैं और विश्वसनीय संचार व्यवस्था तथा विद्युत ऊर्जा पर निर्भरता कंप्यूटर सेफ्टी को जोखिम में डाल देती है.[कृपया उद्धरण जोड़ें]

उल्लेखनीय प्रणाली दुर्घटनाएं[संपादित करें]

1994 में, अमेरिकी वायु सेना के मुख्य कमान और अनुसंधान इकाई रोम प्रयोगशाला में अज्ञात घुसपैठियों द्वारा एक सौ से अधिक अतिक्रमण किये गए थे. ट्रोजन हॉर्स वायरस का प्रयोग करके हैकर्स ने रोम की नेटवर्किंग प्रणाली में पहुंच बना ली और अपनी गतिविधियों के निशान मिटा दिए. घुसपैठिये एयर टास्किंग ऑर्डर सिस्टम्स डेटा जैसी वर्गीकृत फाइलें प्राप्त करने में सक्षम हुए औए इसके अलावा नॅशनल एयरोनॉटिक्स एंड स्पेस एडमिनिस्ट्रेशन के गोडार्ड स्पेस फ्लाइट सेंटर, राइट पैटर्सन एयर फोर्स बेस, कुछ रक्षा ठेकेदारों और अन्य निजी क्षेत्र की संस्थाओं के नेटवर्क में घुसपैठ की, और यह सब एक विश्वसनीय रोम केन्द्र उपयोगकर्ता के रूप में किया गया.[6]

कंप्यूटर सुरक्षा नीति[संपादित करें]

संयुक्त राज्य अमेरिका[संपादित करें]

2010 का साइबर सुरक्षा अधिनियम[संपादित करें]

1 अप्रैल 2009 को, सीनेटर जे रॉकफेलर (डी-डब्ल्यू वी) ने सीनेट में "2009 का साइबरसिक्युरिटी एक्ट - एस. 773" (पूरा पाठ) पेश किया; सीनेटर एवान बेह (डी-इन), बारबरा मिकुल्स्की (डी-एमडी), बिल नेल्सन (डी-एफएल) और ओलिम्पिया स्नोवे (आर-एमई) के लिखे विधेयक को वाणिज्य, विज्ञान और परिवहन की समिति के पास भेज दिया गया, जिसने 24 मार्च 2010 को उस विधेयक का संशोधित संस्करण ("2010 का साइबरसिक्युरिटी एक्ट) स्वीकृत किया[7]. विधेयक साइबर सुरक्षा के मामलों में सार्वजनिक और निजी क्षेत्र के बीच सहयोग को बढ़ाना चाहता है, खासकर राष्ट्रीय सुरक्षा हितों के लिए महत्वपूर्ण बुनियादी संरचना वाली उन निजी कंपनियों के लिए(राष्ट्रपति के राष्ट्रीय सुरक्षा व आतंकवाद-विरोधी सहायक जॉन ब्रेनन के बयान का विधेयक उल्लेख करता है, "हमारे देश की सुरक्षा और आर्थिक सम्पन्नता सुरक्षा, स्थिरता और संचार व सूचना संरचना पर निर्भर करती है, जो विश्व स्तर पर मुख्यतः निजी स्वामित्व में हैं" और "साइबर कैटरिना"[8] का देश द्वारा सामना किये जाने की बात की गयी है). साथ ही साइबर सुरक्षा मामले में लोगों के बीच जागरूकता बढ़ाना और साइबर सुरक्षा शोध को प्रोत्साहित करना और धन प्रदान करना इस विधेयक का उद्देश्य है. विधेयक के सबसे विवादास्पद भागों में परिच्छेद 315 शामिल है, जो राष्ट्रपति को अधिकार देता है कि वह "किसी भी संघीय सरकार या अमेरिका की महत्वपूर्ण संरचनात्मक सूचना प्रणाली या नेटवर्क की इंटरनेट आवाजाही को सीमित करने या बंद करने का आदेश दे सकता है[8]." अमेरिका स्थित एक अंतरराष्ट्रीय अलाभकारी डिजिटल अधिकार पैरोकार और कानूनी संस्था इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन ने विधेयक को एक "संभावित खतरनाक रवैया" बताते हुए कहा है कि "यह संयमी प्रतिक्रिया के बजाय नाटकीयता को बढ़ावा देता है"[9].

अंतरराष्ट्रीय साइबर अपराध रिपोर्टिंग और सहयोग अधिनियम[संपादित करें]

25 मार्च 2010 को, प्रतिनिधि य्वेत्ते क्लार्क (डी-एनवाई) ने प्रतिनिधि सभा में "इंटरनॅशनल साइबर क्राइम रिपोर्टिंग एंड कोऑपरेशन एक्ट - एच. आर. 4962" (पूरा पाठ) पेश किया; सात अन्य प्रतिनिधियों (उनमें से सिर्फ एक रिपब्लिकन थे) द्वारा सह-प्रायोजित विधेयक को तीन हाउस समितियों के पास भेज दिया गया[10]. विधेयक ने यह सुनिश्चित करना चाहा था कि सूचना के बुनियादी ढांचे, साइबर क्राइम और विश्वव्यापी स्तर पर उपयोगकर्ता के सरक्षण के बारे में प्रशासन कांग्रेस को सूचित करता रहेगा. इसने "उन देशों को साइबर अपराध के सिलसिले में कानूनी, न्यायिक और प्रवर्तन क्षमताओं में मदद को प्राथमिकता देने के लिए राष्ट्रपति को निर्देश दिया, जिनके सूचना और संचार प्रौद्योगिकी विकास के स्तर निम्न श्रेणी के हैं या जो अपने महत्वपूर्ण बुनियादी संरचना, दूरसंचार प्रणाली और वित्तीय उद्योगों के उपयोग के मामले में पिछड़े हुए हैं"[10]; इसके अलावा "साइबर मामले" के देशों के लिए एक कार्रवाई योजना और एक वार्षिक अनुपालन मूल्यांकन विकसित करने का भी निर्देश दिया[10].

साइबरस्पेस की रक्षा के लिए 2010 का नॅशनल एसेट एक्ट ("किल स्विच बिल ")[संपादित करें]

19 जून 2010 को, संयुक्त राज्य अमेरिका के सीनेटर जो लीबरमैन ने "2010 का प्रोटेक्टिंग साइबरस्पेस ऐज ए नॅशनल एसेट एक्ट - एस.3480" (पीडीएफ में पूरा पाठ)पेश किया, जिसे उन्होंने सीनेटर सुजन कोलिन्स (आर-एमई) तथा सीनेटर थोमस कारपर (डी-डीई) के साथ मिलकर लिखा था. यह विवादास्पद विधेयक, जिसे अमेरिकी मीडिया "किल स्विच बिल " कहती है, के क़ानून बन जाने से राष्ट्रपति को इंटरनेट पर आपातकालीन अधिकार मिल जाएंगे. हालांकि, विधेयक के तीनों लेखकों ने एक बयान में दावा किया है कि इसके बजाय विधेयक से "दूरसंचार नेटवर्क पर राष्ट्रपति के मौजूदा व्यापक अधिकार कम हो जाएंगे"[11].

शब्दावली[संपादित करें]

इंजीनियरिंग सुरक्षित सिस्टम में प्रयुक्त निम्नलिखित शब्दों की व्याख्या नीचे दी गयी है.

  • प्रमाणीकरण तकनीकों का प्रयोग यह सुनिश्चित करने के लिए किया जा सकता है कि संचार के अंत-बिंदु वही हैं जैसा कि वे खुद को बताते हैं.
  • स्वचालित प्रमेय परिक्षण (ऑटोमेटेड थ्योरम प्रूविंग) और अन्य सत्यापन उपकरण सुरक्षित प्रणाली में इस्तेमाल होने वाले महत्वपूर्ण एल्गोरिदम और कोड को अपने विनिर्देशों को प्राप्त करने के लिए गणितीय रूप से सिद्ध कर सकने में सक्षम हो सकते हैं.
  • विशेषाधिकार अलगाव (प्रिविलेज सेपरेशन) और अनिवार्य अभिगम नियंत्रण को सुनिश्चित करने के लिए क्षमता और अभिगम नियंत्रण सूची तकनीकों का उपयोग कर सकते हैं. इस अनुभाग में उनके उपयोग की चर्चा की गयी है.
  • सभी डाले गए प्रमाणित सॉफ्टवेयरों को सिस्टम के डिजाइनरों द्वारा प्रामाणिक बताये जाने को सुनिश्चित करने के प्रयास में चेन ऑफ़ ट्रस्ट तकनीक का उपयोग किया जा सकता है.
  • प्रणालियों के बीच डेटा के पारगमन की रक्षा के लिए क्रिप्टोग्राफ़िक तकनीक का उपयोग किया जा सकता है, इससे प्रणालियों के बीच डेटा के विनिमय के समय उन्हें अटकाने या संशोधित करने की संभावना कम हो जाती है.
  • फ़ायरवॉल ऑनलाइन घुसपैठ को रोकने में कुछ सुरक्षा प्रदान कर सकता है.
  • माइक्रोकेर्नेल सावधानी से तैयार किया जाता है, जो सोच-समझकर सॉफ्टवेयर के छोटे कोष में ऑपरेटिंग सिस्टम में स्वतः कार्य करता है और यह पूरी तरह बहुत ही निम्न स्तर पर काम करता है, जो प्रारंभिक स्तर को बहुत ही सही ढंग से परिभाषित करता है, जिस पर किसी ऑपरेटिंग सिस्टम को विकसित किया जा सकता है. 90 के दशक के आरंभिक चरण का जेम्सोस (GEMSOS) (जेमिनी कंप्यूटर) काफी शिक्षाप्रद मूल्य के साथ एक सरल उदाहरण है, जो बहुत ही निम्न-स्तर के प्रारंभिक प्रदान करता है, जैसे कि "सिग्मेंट" प्रबंधन, जिस पर कोई ऑपरेटिंग सिस्टम बनाया जा सकता है. ("सिग्मेंट" के मामले में) सिद्धांत यह था कि - सैन्य शैली की लेबलिंग के उपायों द्वारा अनिवार्य अभिगम अलगाव के बारे में ऑपरेटिंग सिस्टम को खुद चिंतित होने के बजाय - निम्न-स्तर पर होना सुरक्षित है, इससे स्वतंत्र रूप से जांचे गये मॉड्यूल को अलग-अलग लेबल किये गए खण्डों के प्रबंधन के साथ अकेले ही आवेशित किया जा सकता है. उन्हें मेमोरी "सिग्मेंट" या फ़ाइल सिस्टम "सिग्मेंट" या साध्य पाठ "सिग्मेंट" में रखा जा सकता है. अगर सॉफ्टवेयर ऑपरेटिंग सिस्टम की दृश्यता के नीचे है (जैसा कि इस मामले में) तो वह लेबलिंग के साथ आवेशित होता है, ऐसे में लेबलिंग योजना को किसी चालाक हैकर द्वारा नष्ट करने का सैद्धांतिक रूप से कोई साध्य उपाय नहीं है, क्योंकि ऑपरेटिंग सिस्टम स्वतः ही लेबलिंग के साथ छेड़छाड़ करने के लिए तंत्र मुहैया नहीं करता है; ऑपरेटिंग सिस्टम, मूलतः, माइक्रोकेर्नेल के ऊपर एक क्लाइंट (बेशक एक "अनुप्रयोग") है और अपने आपमें इसके प्रतिबंधों के अधीन है.
  • एंडप्वाइंट सुरक्षा सॉफ्टवेयर यूएसबी ड्राइव जैसे पोर्टेबल भंडारण उपकरणों के जरिये डेटा चोरी और वायरस के संक्रमण को रोकने में मदद करता है.

निम्नलिखित में से कुछ सामग्री कंप्यूटर असुरक्षा से संबंधित हो सकती हैं:

  • अभिगम अधिकार से प्रमाणीकरण प्रणाली के उपयोग के जरिये उपयोगकर्ताओं के समूह को किसी कंप्यूटर का उपयोग करने से रोका जाता है. ये प्रणालियां पूरे कंप्यूटर की रक्षा कर सकती हैं - जैसे कि एक इंटरैक्टिव लॉगऑन स्क्रीन के जरिये - या फिर अलग-अलग सेवाओं की रक्षा कर सकती हैं, जैसे कि एफटीपी सर्वर. उपयोगकर्ताओं की पहचान और सत्यापन की अनेक पद्धतियां हैं, जैसे कि पासवर्ड, पहचान कार्ड और अभी हाल में आये स्मार्ट कार्ड और बॉयोमेट्रिक पद्धतियां.
  • कंप्यूटर प्रोग्राम में शामिल एंटी-वायरस सॉफ्टवेयर पहचानने, कंप्यूटर वायरस और अन्य दुर्भावनापूर्ण सॉफ्टवेयर (मैलवेयर) को रोकने और समाप्त करने का काम करते हैं.
  • ज्ञात सुरक्षा खामियों के साथ अनुप्रयोगों को नहीं चलाया जाना चाहिए. या तो जब तक इसे दुरुस्त नहीं कर लिया जाता तब तक इसे बंद रखा जाय, या इसे हटा दिया जाय और इसकी जगह कोई अन्य अनुप्रयोग डाला जाए. सार्वजनिक रूप से ज्ञात खामियां वर्म्स के मुख्य प्रवेश द्वार हैं, जिसका इस्तेमाल करके वे किसी सिस्टम में अपने आप घुसपैठ करते हैं और उससे जुड़े अन्य सिस्टम में फ़ैल जाते हैं. सुरक्षा वेबसाइट सेक्युनिया (Secunia) लोकप्रिय उत्पादों की उन ज्ञात खामियों के लिए खोज उपकरण का काम करती है, जो दुरुस्त नहीं की गई हैं.
  • सूचना को सुरक्षित रखने का एक तरीका है बैकअप: इसके तहत सभी महत्वपूर्ण कंप्यूटर फाइलों की एक प्रति दूसरे स्थान में रखी जाती है. इन फ़ाइलों को हार्ड डिस्क, सीडी-आर, सीडी-आरडब्ल्यू और टेपों में रखा जाता है. बैकअप अग्निरोधक, जलरोधक और तापरोधक अलमारी में रखने चाहिए, या फिर इन्हें मूल फाइलों के स्थान से दूर किसी अलग जगह में रखना चाहिए. कुछ लोग और कंपनियां बैंक के वॉल्ट की तिजोरी में भी अपने बैकअप रखा करती हैं. एक चौथा विकल्प भी है, जिसमें फ़ाइल जमा रखने वाली सेवाएं व्यापारिक घरानों और व्यक्तियों के बैकअप फाइलों को इंटरनेट में सुरक्षित रखती हैं.
    • सुरक्षा के अलावा अन्य कारण भी बैकअप के लिए महत्वपूर्ण हैं. भूकंप, तूफान या बवंडर जैसी प्राकृतिक आपदाएं उस इमारत को भी चपेट में ले सकती हैं जहां कंप्यूटर स्थित है. इमारत में आग लग सकती है, या विस्फोट भी हो सकता है. इस तरह की आपदा की स्थिति में, वैकल्पिक सुरक्षित स्थान में हाल के बैकअप होने चाहिए. इसके अलावा, यह भी सुझाव दिया जाता है कि वैकल्पिक सुरक्षित स्थान ऐसा होना चाहिए कि एक ही आपदा का असर एक साथ दोनों स्थानों पर न पड़े. वैकल्पिक आपदा पुनःप्राप्ति स्थानों के जोखिम में आ जाने के उदाहरणों में एक है प्राथमिक स्थान वर्ल्ड ट्रेड सेंटर I और पुनःप्राप्ति स्थान 7 वर्ल्ड ट्रेड सेंटर, ये दोनों ही स्थान एक साथ 9/11 के हमले में तबाह हो गये. और, समुद्र तटीय क्षेत्र में भी प्राथमिक तथा पुनःप्राप्ति स्थानों के एक साथ तबाह होने के उदाहरण हैं (जैसे कि न्यू ओरलियंस का प्राथमिक स्थान और जेफरसन पारिश का पुनःप्राप्ति स्थान, 2005 में दोनों ही कैटरीना तूफ़ान की चपेट में एक साथ आ गए थे). बैकअप माध्यम को भौगोलिक स्थलों के बीच सुरक्षित तरीके से स्थानांतरित किया जाना चाहिए, ताकि उन्हें चोरी होने से बचाया जा सके.
क्रिप्टोग्राफ़िक तकनीक की जानकारी को बदलने में शामिल है, यह पांव मार तो यह प्रसारण के दौरान अपठनीय हो जाता है. भावी प्राप्तकर्ता संदेश को हल कर सकता है, लेकिन प्रच्छन्नश्रावी नहीं कर सकता.
  • दूसरों की दृष्टि से संदेशों को बचाने के लिए एन्क्रिप्शन का इस्तेमाल किया जाता है. अव्यवहारिकता को तोड़ने के किसी व्यावहारिक प्रयास के लिए क्रिप्टोग्राफिक रूप से सुरक्षित साइफ़र बनाये गए हैं. साझा कुंजी का उपयोग करने वाले एन्क्रिप्शन के लिए सिमेट्रिक-कुंजी साइफ़र होते हैं और जब पहले से ही कोई कुंजी सहभाजित न हो तो डिजिटल प्रमाणपत्र का उपयोग करने वाला सार्वजनिक-कुंजी एन्क्रिप्शन सुरक्षित रूप से समस्या का व्यावहारिक समाधान मुहैया कर सकता है.
  • फायरवॉल वह सिस्टम है जो कंप्यूटर और कंप्यूटर नेटवर्क पर हमले से रक्षा करता है और नेटवर्क ट्रैफिक को बाधित करके बाद के घुसपैठ को रोकता है जो इससे होकर गुजर सकता है; यह सिस्टम प्रशासक परिभाषित नियमों के एक सेट पर आधारित है.
  • हनी पॉट्स ऐसे कंप्यूटर्स हैं जिन्हें अनजाने में या जानबूझकर घुसपैठियों के हमले के लिए असुरक्षित छोड़ दिया जाता है. घुसपैठियों को पकड़ने के लिए या कमजोरियों को ठीक करने के लिए उनका उपयोग किया जा सकता है.
  • घुसपैठ-पहचान प्रणाली नेटवर्क का उपयोग करने वाले ऐसे लोगों के स्कैन कर सकती है जिन्हें वहां नहीं होना चाहिए था या वे जो कुछ कर रहे हैं उन्हें नहीं करना चाहिए; मसलन नेटवर्क में पहुंच बनाने के लिए बहुत सारे पासवर्ड डालने की कोशिश करना.
  • संभावित क्रैकर द्वारा आईपी एड्रेस पाने के लिए पिन्गिंग द पिंग अनुप्रयोग का इस्तेमाल किया जा सकता है. अगर किसी क्रैकर को कोई कंप्यूटर मिल जाता है तो वह उस कंप्यूटर की सेवाओं का पता लगाने और हमला करने के लिए पोर्ट स्कैन करने का प्रयास कर सकता है.
  • सोशल इंजीनियरिंग जागरूकता से सोशल इंजीनियरिंग के खतरों के बारे में कर्मचारी सचेत रहते हैं और/या सोशल इंजीनियरिंग द्वारा नेटवर्क तथा सर्वरों की सफलतापूर्वक उल्लंघनों को कम करने के लिए जरुरी नीति अपनाते हैं.
  • फ़ाइल इंटीग्रिटी मोनिटर्स ऐसे उपकरण हैं जिनका इस्तेमाल करके सिस्टम और फ़ाइल की शुद्धता में बदलावों का पता लगाया जाता है.

नोट्स[संपादित करें]

  1. परिभाषाएं: आईटी (IT) सुरक्षा वास्तुकला. SecurityArchitecture.org, जनवरी, 2008
  2. न्यू हैकिंग टेक्निक एक्स्प्लॉइट्स कॉमन प्रोग्रैमिंग एरर. SearchSecurity.com, जुलाई 2007
  3. जे.सी. विलेम्ससेन, "एफएए (FAA) कंप्यूटर सुरक्षा". GAO/T-AIMD-00-330. विज्ञान समिति, प्रतिनिधि सभा, 2000 में प्रस्तुत किया.
  4. पी. जी. न्यूमैन, 21 सदी में विमानन रक्षा और सुरक्षा पर अंतर्राष्ट्रीय सम्मेलन में "विमानन में कंप्यूटर सुरक्षा," को प्रस्तुत किया, व्हाइट हॉउस कमीशन ऑन सेफ्टी एंड सिक्युरिटी, 1997.
  5. जे ज़ेलन, विमानन सुरक्षा. हॉपपॉज, एनवाई: नोवा विज्ञान, 2003, पीपी 65–70.
  6. सूचना सुरक्षा. युनाइटेड स्टेट्स डिपार्टमेंट ऑफ़ डिफेन्स, 1986.
  7. साइबरसिक्युरिटी बिल पासेज़ फर्स्ट हर्डल, कंप्यूटर वर्ल्ड, 24 मार्च 2010. 26 जून 2010 को पुनःप्राप्त.
  8. साइबरसिक्युरिटी एक्ट ऑफ़ 2009, OpenCongress.org, 1 अप्रैल 2009. 26 जून 2010 को पुनःप्राप्त.
  9. फेडरल अथॉरिटी ओवर द इंटरनेट?द साइबरसिक्युरिटी एक्ट ऑफ़ 2009, eff.org, 10 अप्रैल 2009. 26 जून 2010 को पुनःप्राप्त.
  10. एच.आर.4962 - अंतर्राष्ट्रीय साइबरक्राइम रिपोर्टिंग एंड कोऑपरेशन एक्ट, OpenCongress.org. 26 जून 20109 को पुनःप्राप्त.
  11. सीनेटर्स से साइबर सिक्युरिटी बिल हैज़ नो 'किल स्विच', informationweek.com, 24 जून 2010. 25 जून 2010 को पुनःप्राप्त.

इन्हें भी देखें[संपादित करें]

  • अटैक ट्री
  • प्रमाणीकरण
  • प्राधिकरण
  • कॅप्चा (CAPTCHA)
  • सीईआरटी (CERT)
  • क्लाउड कंप्यूटिंग सुरक्षा
  • कंप्यूटर असुरक्षा
  • कंप्यूटर सुरक्षा मॉडल
  • काउंटरमेज़र (कंप्यूटर)
  • कूट-लेखन
  • साइबर सुरक्षा मानक
  • नाचते सूअर
  • डिस्क एन्क्रिप्शन
  • डेटा हानि की रोकथाम के उत्पाद
  • डेटा सुरक्षा
  • विभेदित सुरक्षा
  • शोषण (कंप्यूटर सुरक्षा)
  • दोष सहिष्णुता
  • फायरवॉल
  • पूर्ण प्रकटीकरण
  • उच्च प्रौद्योगिकी अपराध जांच संघ
  • ह्युमन-कंप्यूटर संपर्क (सुरक्षा)
  • अभिज्ञान प्रबंधन
  • सूचना रिसाव निवारण
  • सूचना सुरक्षा
  • इंटरनेट की गोपनीयता
  • आईटी (IT) जोखिम
  • आईएसओ/आईईसी (ISO/IEC) 15408
  • नेटवर्क सुरक्षा टूलकिट
  • नेटवर्क सुरक्षा
  • ओडब्ल्यूएएसपी (OWASP)
  • निवेश परीक्षा
  • शारीरिक सूचना सुरक्षा
  • शारीरिक सुरक्षा
  • प्रकल्पित सुरक्षा
  • प्रोएक्टिव साइबर डिफेन्स
  • सैंडबॉक्स (कंप्यूटर सुरक्षा)
  • सुरक्षा वास्तुकला
  • संरक्षण और सुरक्षा के भिन्नता
  • भय (कंप्यूटर)
  • अरक्षितता (कंप्यूटिंग)
  • गोपनीयता सॉफ्टवेयर

संदर्भ[संपादित करें]

बाहरी लिंक्स[संपादित करें]