Təhlükəsizlik mühəndisliyi
Təhlükəsizlik mühəndisliyi — mühəndisliyin ixtisaslaşmış sahəsi olub, informasiya sistemlərini müxtəlif mənbəli təhlükələrdən və zərərli hərəkətlərdən qorumaq üçün sistemlərin dizaynında fokuslanmışdır. Bu sahə o biri mühəndislik sahələri kimi həm istifadəçi ehtiyaclarını və funksiyalarını qarşılayır həm də əlavə olaraq sistem ehtiyatlarından suistimalı və zərərli davranışları önləyir. Bu cür məhdudiyyətlər və önləmələr security policy tərəfindən tətbiq edilir.
Neçə əsrlərdən bəri təhlükəsizlik mühəndisliyi qeyri-rəsmi təhsil sahəsi olaraq mövcud olmuşdur. Məsələn, locksmithing və security printing sahələri çox illərdir varlığını davam etdirir.
Baş verən katastrofik hadisələrə əsasən, özəlliklə 9/11 (baş verən terror aktı), Təhlükəsizlik Mühəndisliyi sürətli inkişaf edən bir sahəyə çevrilmişdir. 2006-cı ildə təqdim edilən hesabata əsasən bu sahəyə 150 milyard US$ xərclənmişdir .[citation needed]
Təhlükəsizlik Mühəndisliyi sosial elmlər, psixologiya, iqtisadiyat, fizika, kimya, riyaziyyat və memarlıq sahələrini müxtəlif aspektlərdən əhatə edir.[1] fault tree analysis kimi bəzi texnikalar təhlükəsizlik mühəndisliyindən törənmişdir.
Kriptoqrafiya kimi bəzi texnikalar öncələri hərbi tətbiqetmələr vasitəsilə məhdudlaşdırılırdı. Təhlükəsizlik mühəndisliyinin rəsmi sahə olaraq öyrənilməsində təşəbbüsçülərdən biri də Ross Anderson olmuşdur.
Özəlliklər[redaktə | mənbəni redaktə et]
Təhlükəsizlik mühəndisi üçün xas özəlliklər bunlardır:
- Professional Engineer, Chartered Engineer, Chartered Professional Engineer
- Certified Protection Professional (CPP) - International certification by ASIS International
- Physical Security Professional (PSP) - International certification by ASIS International
- Certified Information Systems Security Professional (CISSP)
Çoxlu özəlliyi olan mühəndis və ya bir neçə belə şəxslər daha tam nəticə əldə edə bilirlər.[2]
Təhlükəsizlik durumu[redaktə | mənbəni redaktə et]
Təhlükəsizlik məsələlərində varsayılan 2 vəziyyət:
1. Varsayılan inkar - "Hər bir şey əgər icazəli deyilsə, qadağandır."
- Funksionallıqda təhlükəsizliyi dəyərli dərcədə artırır.
- Əgər təhlükəsizlikdə çoxlu təhdidlər varsa, bu yaxşı yanaşmadır.
2. Varsayılan icazə - "Hər bir şey əgər qadağan edilməyibsə, icazəlidir."
- Təhlükəsizliyi qurban verərək daha çox funksionallığa imkan verir.
- Əgər təhlükəsizlik təhdidləri olmayan və ya cüzi olan bir mühitdirsə, bu yaxşı bir yanaşmadır.
- Kompüter Təhlükələri real dünyada bu yanaşmanın misalı kimi göstərilə bilər.
Əsas Təcrübələr[redaktə | mənbəni redaktə et]
- Security Requirements Analysis
- Secure coding
- Security testing
- Engineering Product Lifecycle
- Economics of security
Alt Sahələr[redaktə | mənbəni redaktə et]
- Fiziki təhlükəsizlik
- Hücumçuların təsisə,resursa və ya fiziki mediada saxlanmış məlumata yaxınlaşmasının qarşısını alır.
- Məlumat Təhlükəsizliyi
- dataları icazəsiz əldə etməni, istifadəni, açıqlanmasını, dağıdılmasının, dəyişilməsinin və ya silinməsinin qarşısını alır.
- Həmçinin bax. Computer security and Malice Engineering
- Əks tədbirlərə texniki nəzarət
- Təhlükəsizliyin iqtisadiyyatı
- İqtisadi aspektlərdən iqtisadiyyatın gizliliyi və kompüter təhlükəsizliyi.
Metodologiyalar[redaktə | mənbəni redaktə et]
Kompüter sahələrindəki əsaslı texnoloji yeniliklər daha mürəkkəb sistemlər yaratmağa icazə verdiyi kimi bu da özü ilə birlikdə mürəkkəb təhlükəsizlik problemləri yaradır. Çünki yeni sistemlərdə təhlükəsizlik mühəndisləri nəinki sistemin riyazi və fiziki xüsusiyyətlərini aydınlaşdırmalı, həmçinin istifadəçilər üzərində olan sosial mühəndislik hücumlarını nəzərə almalıdırlar. Təhlükəsiz sistemlər həm texniki hücumlara, həmçinin sistemdən faydalanmaq istəyən saxtakarların təzyiq və hiylələrinə müqavimət göstərməlidir.
Veb tətbiqetmələr[redaktə | mənbəni redaktə et]
Microsoftun Şəbəkə Developer Modeli və Təhlükəsizlik Mühəndisliyi təcrübələri aşağıdakı fəaliyyətlərdən ibarətdir:
- Security Objectives
- Security Design Guidelines
- Security Modeling
- Security Architecture and Design Review
- Security Code Review
- Security Testing
- Security Tuning
- Security Deployment Review
Bu fəaliyyətlər proqramların yaşam döngülərində təhlükəsizlik hədəflərinin təmini üçün dizayn edilmişdir.
Fiziki [redaktə | mənbəni redaktə et]
- Tipik təhdid və insanlara və onların mülklərinə ola biləcək risklərin anlaşılması.
- Təhdidlər və əks tədbirlərin anlaşılması.
- Risk və təhdid analiz metodologiyalarının və təsisin fiziki təhlükəsizliyinin üstünlüklərinin anlaşılması.
- Metodologiyaların binalara, kritiki infrastrukturlara, limanlara, ictimai nəqliyyata və başqa təsislərə necə tətbiqinin anlaşılması.
- Qorumanın ümumi fiziki və texnoloji metodlarına və onların aydınlaşdırılması və təsirinin azaldılmasına baxış.
- Təhlükəsizlik ehtiyaclarını, öncəliklərini, baş verən təhdidləri və gərəkli büdcənin müəyyənləşdirilməsi..
Hədəf sərtləştirmə[redaktə | mənbəni redaktə et]
Hədəf nə olursa olsun, istənməyən və ya icazəsiz insanların qoşulmasının qarşısını almaq üçün müxtəlif üsullar var. Jersey barriers metodları daxil olmaqla, pillələr və başqa sağlam maneələr maşın və ya yük maşını partlayışının qarşısını almaq üçün yerləşdirilir. Ziyarətçi idarəsi metodunun inkişafı və yeni elektron kilidlər (Məsələn: barmaq izi oxunması, göz taranması və səslə identifikasiya) istifadəçilərin təsdiqlənməsində istifadə edilir.
Təhlukəsizlik Mühəndisi İşə qəbul edənlər[redaktə | mənbəni redaktə et]
- US Department of State, Bureau of Diplomatic Security (ABET certified institution degree in engineering or physics required)[3]
- Google[4]
- Financial Services Industry, Health Care Industry,[5] Energy Sector[6]
Tənqidlər[redaktə | mənbəni redaktə et]
Mühəndis adının istifadəsi[redaktə | mənbəni redaktə et]
Bəzi tənqidçilər bu sahənin və istifadə edilən metodologiyaların qeyri-rəsmi olduğu üçün və bu mühəndislərin mühəndislik dərəcələri olmadığı üçün Mühəndis adının daşımalarını uyğun görmürlər.
Həmçinin Bax[redaktə | mənbəni redaktə et]
Ayrıca Oxuyun[redaktə | mənbəni redaktə et]
- Ross Anderson (2001). Security Engineering. Wiley. ISBN 0-471-38922-6.
- Ross Anderson (2008). Security Engineering - A Guide to Building Dependable Distributed Systems. Wiley. ISBN 0-470-06852-3.
- Ross Anderson (2001). "Why Information Security is Hard - An Economic Perspective"
- Bruce Schneier (1995). Applied Cryptography (2nd ed.). Wiley. ISBN 0-471-11709-9.
- Bruce Schneier (2000). Secrets and Lies: Digital Security in a Networked World. Wiley. ISBN 0-471-25311-1.
- David A. Wheeler (2003). "Secure Programming for Linux and Unix HOWTO" Arxivləşdirilib 2007-04-28 at the Wayback Machine. Linux Documentation Project. Retrieved 2005-12-19.
Məqalə və qəzetlər[redaktə | mənbəni redaktə et]
- patterns & practices Security Engineering on Channel9
- patterns & practices Security Engineering on MSDN
- patterns & practices Security Engineering Explained
- Basic Target Hardening Arxivləşdirilib 2007-08-29 at the Wayback Machine from the Government of South Australia
İstinadlar[redaktə | mənbəni redaktə et]
- ↑ "Landscaping for security". Sunset. 1988. 2012-07-18 tarixində orijinalından arxivləşdirilib. İstifadə tarixi: 2016-05-03.
- ↑ "Arxivlənmiş surət" (PDF). 2022-05-31 tarixində arxivləşdirilib (PDF). İstifadə tarixi: 2016-05-03.
- ↑ "Arxivlənmiş surət". 2009-08-27 tarixində orijinalından arxivləşdirilib. İstifadə tarixi: 2016-05-03.
- ↑ "Arxivlənmiş surət". 2016-02-27 tarixində arxivləşdirilib. İstifadə tarixi: 2016-05-03.
- ↑ "Senior Healthcare Security Engineer Jobs". Indeed.com. 4 March 2016 tarixində arxivləşdirilib. İstifadə tarixi: 23 April 2014.
- ↑ "Network Security Engineer ― Information Technology Jobs at Duke Energy Corporation". Jobs.com. 24 April 2014 tarixində orijinalından arxivləşdirilib. İstifadə tarixi: 23 April 2014.