অ্যাপ্লিকেশন সুরক্ষা এবং সফ্টওয়্যার সুরক্ষা: পার্থক্য কি?

মনিকা চক্রবর্তী

'অ্যাপ্লিকেশন সুরক্ষা' এবং 'সফ্টওয়্যার সুরক্ষা' শব্দটি প্রায়শই আন্তঃবিস্মরণীয়ভাবে ব্যবহৃত হয়। তবে দুজনের মধ্যে আসলেই পার্থক্য রয়েছে। তথ্য সুরক্ষা অগ্রণী গ্যারি ম্যাকগ্রা যুক্তি দিয়েছিলেন যে সফ্টওয়্যার সুরক্ষা একটি প্রতিক্রিয়াশীল পদ্ধতি যা সফ্টওয়্যার ইনস্টল হওয়ার পরে ঘটে। অন্যদিকে, সফ্টওয়্যার সুরক্ষা পূর্ব-স্থাপনার পর্যায়ে একটি সক্রিয় দৃষ্টিভঙ্গি জড়িত। সফ্টওয়্যারটির সুরক্ষা নিশ্চিত করতে সফটওয়্যার ডেভলপমেন্ট (এসডিএলসি) জীবনচক্রের সমস্ত পর্যায়ে সুরক্ষা স্থাপন করতে হবে। সুতরাং সফ্টওয়্যার সুরক্ষা অ্যাপ্লিকেশন সুরক্ষা নয় - এটি বিশাল।

সফ্টওয়্যার সুরক্ষার সাবসেট হিসাবে অ্যাপ্লিকেশন সুরক্ষা

আপনি জানেন যে অ্যাপ্লিকেশনগুলি ডেটা এবং ব্যবহারকারীর (বা অন্যান্য অ্যাপ্লিকেশন) মধ্যে লিঙ্ক are কোনও ব্যবহারকারী যদি উদাহরণস্বরূপ, কোনও রোগীর চিকিত্সার ডেটার বিশদ বিশ্লেষণ চান, তবে জটিল এবং সময়সাপেক্ষ ম্যানুয়াল গণনাগুলি এড়াতে সহজেই একটি অ্যাপ্লিকেশন ব্যবহার করে করা যেতে পারে। একইভাবে, অনলাইন অ্যাপ্লিকেশন বা মোবাইল অ্যাপ্লিকেশনগুলির মাধ্যমে অনলাইন ব্যাংকিং করা হয় এবং অ-আর্থিক তথ্য প্রক্রিয়াতে প্রেরণ, সংক্রমণ এবং সংরক্ষণ করা হয়। সফ্টওয়্যারটি ইন্টারনেটে সঞ্চারিত বা সংক্রমণিত কোনও তথ্যের গোপনীয়তা বা গোপনীয়তা স্বীকৃতি দেয় না। সুতরাং, ডেটা প্রক্রিয়াজাত হওয়ার সংবেদনশীলতার উপর ভিত্তি করে সফ্টওয়্যারটি ডিজাইন ও বিকাশ করা উচিত। যদি ডেটাটিকে "পাবলিক" হিসাবে শ্রেণীবদ্ধ করা হয় তবে এটি ব্যবহারকারীর অনুমোদনের প্রয়োজন ছাড়াই অ্যাক্সেস করা যায়। একটি উদাহরণ ওয়েবসাইটের যোগাযোগ পৃষ্ঠা বা নীতি পৃষ্ঠায় পাওয়া তথ্য। তবে, যদি অ্যাপ্লিকেশনটি ব্যবহারকারী প্রশাসন সম্পাদন করে তবে অবশ্যই সেই ডেটা অ্যাক্সেস করার জন্য একটি মাল্টি-ফ্যাক্টর প্রমাণীকরণ পদ্ধতি থাকতে হবে। অ্যাপ্লিকেশনটিতে প্রক্রিয়া করা ডেটার শ্রেণিবদ্ধকরণ অনুসারে, সুরক্ষিত কোডিং সম্পাদন করা ছাড়াও, ডেটা অবশ্যই প্রমাণীকরণ, অনুমোদিত এবং স্টোরেজ বা ট্রানজিটে সুরক্ষিত থাকতে হবে। সফটওয়্যার এবং সম্পর্কিত সংবেদনশীল তথ্য সুরক্ষার জন্য এটি এসডিএলসির প্রতিটি ধাপে পরিমাপ করা উচিত। এই ব্যবস্থাটি প্রাক-এবং উত্তর-পরবর্তী পর্যায়ে সমস্যাগুলিকে বিভক্ত করে। যাইহোক, সফ্টওয়্যার সুরক্ষা পূর্ব-স্থাপনার সমস্যাগুলি এবং সফ্টওয়্যার সুরক্ষা বিষয়বস্তু পোস্ট-মোতায়েনের সাথে সম্পর্কিত।

সফ্টওয়্যার সুরক্ষা (প্রাক বিতরণ) কার্যক্রমের মধ্যে রয়েছে:

- সুরক্ষিত সফ্টওয়্যার ডিজাইন - বিকাশকারীদের জন্য নিরাপদ কোডিং গাইডলাইনগুলি বিকাশ - বিতরণ পর্বের জন্য সুরক্ষিত কনফিগারেশন পদ্ধতি এবং মানসমূহ বিকাশ - নির্দেশাবলির সাথে সুরক্ষার সাথে সুরক্ষিত কোডিং - ব্যবহারকারীর ইনপুট এবং সম্পর্কিত সম্পর্কিত যাচাই করা হচ্ছে কোডিং কৌশল বাস্তবায়ন - ব্যবহারকারীর প্রমাণীকরণ - ব্যবহারকারী সেশন পরিচালনা - ফাংশন স্তর অ্যাক্সেস নিয়ন্ত্রণ - বিশ্রাম এবং ট্রানজিটের সময় ডেটা রক্ষার জন্য শক্তিশালী ক্রিপ্টোগ্রাফির ব্যবহার - তৃতীয় পক্ষের উপাদানগুলি পরীক্ষা করা - কোনও সফ্টওয়্যার ত্রুটিগুলি আটকানো

অ্যাপ্লিকেশন সুরক্ষা (পোস্ট-এসাইনমেন্ট) ক্রিয়াকলাপগুলির মধ্যে রয়েছে:

- হোস্টিং পরবর্তী সুরক্ষা পরীক্ষা - সফ্টওয়্যার পরিবেশের কনফিগারেশনের ঘাটতিগুলি সনাক্তকরণ - দূষিত কোড সনাক্তকরণ (পটভূমি, টাইম বোম দ্বারা উত্পাদিত) - প্যাচ / আধুনিকায়ন - আইপি ফিল্টারিং - ব্যবহৃত ফাইলগুলি মুছুন - সফ্টওয়্যার নীতি প্রয়োগ করুন পারফরম্যান্স বাড়ানোর জন্য রানটাইম প্রোগ্রামগুলি পর্যবেক্ষণ

আরও তথ্যের জন্য, বিল্ডিং সিকিউরিটি ম্যাচিউরিটি মডেল (বিএসআইএমএম) দেখুন।

পরিস্থিতি 1: ওয়েব অ্যাপ্লিকেশন সুরক্ষা ওয়েব অ্যাপ্লিকেশনগুলি প্রায়শই ক্লায়েন্ট-সার্ভার ভিত্তিক অ্যাপ্লিকেশন হয় যেখানে ব্রাউজার ক্লায়েন্ট হিসাবে কাজ করে, ব্যবহারকারীকে তথ্য সরবরাহের জন্য অনুরোধ প্রেরণ করে এবং সার্ভারের কাছ থেকে উত্তর পেয়ে থাকে। সুতরাং, ওয়েব অ্যাপ্লিকেশন সুরক্ষা ক্লায়েন্ট সংক্রান্ত সমস্যা, সার্ভার সুরক্ষা এবং বিশ্রাম এবং ট্রানজিটের সময় ডেটা সুরক্ষার সাথে সম্পর্কিত। ব্যবহারকারী ইন্টারফেস ডিজাইনের ক্ষেত্রে সতর্কতা অবলম্বন না করা হলে ক্লায়েন্ট-পার্শ্ব সমস্যাগুলি সমাধান করা আরও কঠিন difficult একটি উদাহরণ ডিওএম-ভিত্তিক সাইট-ভিত্তিক স্ক্রিপ্ট যেখানে জাভাস্ক্রিপ্ট ব্যবহার করে অন্য একটি ডিওএম বস্তু থেকে একটি ডিওএম অবজেক্টটি পরিবর্তন করা যেতে পারে। আধুনিক ব্রাউজারগুলি অ্যাপসের জন্য আরও সুরক্ষা সরবরাহ করে তবে অনেকগুলি প্রোগ্রাম উন্নত সামঞ্জস্যতা সমর্থন করে, যার মধ্যে রয়েছে বিস্তৃত ব্যবহারকারী, ব্রাউজারগুলির পুরানো সংস্করণ এবং নিরাপদ কম্পিউটারগুলি। অতএব, এই সমস্যাগুলি সমাধান করার সময়, নকশা পর্বের সময় ক্লায়েন্টের দ্বারা সুরক্ষা করা উচিত। অ্যাপ্লিকেশনটির কোডিং এবং পর্যায়ক্রমে কোডিংয়ের সময় সার্ভার-সাইডের উপাদানগুলি কাউন্টার পার্টস ব্যবহার করে সুরক্ষিত করা যায়। এটির জন্য সুরক্ষিত সিস্টেম / সার্ভার সফ্টওয়্যার ইনস্টলেশন প্রয়োজন। অ্যাপাচি টমক্যাট (৩.১ এবং তার আগের) এর মতো পুরানো সার্ভার সফ্টওয়্যার আর সরকারীভাবে সমর্থিত নয় এবং এই সংস্করণগুলির জন্য দুর্বলতার কথা জানিয়েছেন। এগুলি অবিলম্বে সর্বশেষ সংস্করণে আপডেট করা উচিত।

অন্যান্য সাধারণ অবকাঠামো সুরক্ষা দুর্বলতা:

- ভার্বোজ সার্ভার ব্যানার - স্থানীয়ভাবে এবং ট্রানজিটে ডেটা সংরক্ষণ করে এমন পৃষ্ঠাগুলি ক্যাশে করছে - সার্ভার-ব্যাকড এনক্রিপ্ট হওয়া বান্ডিলগুলি - কুকি দ্বারা প্রভাবিত ডোমেন নেটওয়ার্ক ঠিকানা - কুকি সুরক্ষা

দৃশ্য 2: মোবাইল অ্যাপ্লিকেশনগুলির সুরক্ষা

সুরক্ষা নকশা ব্যবহার করে স্মার্টফোন এবং ট্যাবলেটগুলির মতো বিভিন্ন অপারেটিং সিস্টেম এবং মোবাইল সিস্টেম আজ ওয়েব অ্যাপ্লিকেশনগুলির চেয়ে বেশি সাধারণ। এই ডিভাইসগুলিতে চলমান এই ডিভাইসগুলি এবং অ্যাপ্লিকেশনগুলি সেগুলি সংবেদনশীল তথ্য সংরক্ষণের জন্য মারাত্মক হুমকি তৈরি করতে পারে। ব্যবসায়িক ইমেল এবং ব্যক্তিগত পরিচিতিগুলি অবিশ্বস্ত নেটওয়ার্কের সংস্পর্শে আসতে পারে। এই প্রোগ্রামগুলি অনেকগুলি সমর্থন পরিষেবার সাথে যোগাযোগ করে interact ডিভাইসগুলি চুরি করা যেতে পারে। ম্যালওয়ার ইনস্টল করা সম্ভব। গোপনীয় তথ্য অ্যাক্সেস করতে বিপরীতে মোবাইল অ্যাপ্লিকেশন তৈরি করা যেতে পারে। এগুলি সম্ভাবনার কয়েকটি মাত্র। এছাড়াও, মোবাইল ডিভাইসে কিছু বিপণন অ্যাপ্লিকেশন ব্যক্তিগত বা পেশাদার তথ্য যেমন টেক্সট বার্তা, ফোন কল ইতিহাস এবং পরিচিতিগুলি সংগ্রহ করতে পারে।

মোবাইল-ভিত্তিক সফ্টওয়্যারগুলির ঝুঁকির কারণগুলির মধ্যে রয়েছে:

- অ্যাপ্লিকেশন এনকোডিং - অ্যাপ্লিকেশন মোতায়েন - অ্যাপ্লিকেশন কনফিগারেশন - ডিভাইস কনফিগারেশন

মোবাইল অ্যাপ্লিকেশনগুলি অভ্যন্তরীণ রুট / জেলব্রেক সনাক্তকরণ ক্ষমতা, বিপরীত প্রকৌশল সম্পূর্ণরূপে প্রতিরোধের, মাল্টি-ফেসিয়াল প্রমাণীকরণ, ফিঙ্গারপ্রিন্টিং, চিত্র এবং ভূ-অবস্থান সনাক্তকরণে সক্ষম হওয়া উচিত। নিরাপদ কোডিং নির্দেশাবলী অনুসরণ করার প্রয়োজনের কথা উল্লেখ না করা। বিভিন্ন মোবাইল ডিভাইস বিক্রেতাদের জন্য, অ্যাপ্লিকেশন স্টোরগুলি বিভিন্ন সুরক্ষা চেক ব্যবহার করে। বিতরণ প্রক্রিয়া চলাকালীন অ্যাপ্লিকেশনগুলি ভেঙে না গেছে তা নিশ্চিত করুন। সম্পূর্ণ প্রতিরোধের এই পর্যায়ে বিশেষভাবে গুরুত্বপূর্ণ। এই প্রোগ্রামগুলি চালিত ডিভাইসগুলি তাদের সফ্টওয়্যার ব্যবহার করে এবং নিরাপদে কনফিগার করা যায়। অ্যাপ্লিকেশন কোড সুরক্ষা, রুট / ম্যালওয়্যার সনাক্তকরণ, প্রমাণীকরণ এবং চ্যানেল যাচাইকরণের সাথে যুক্ত ডিভাইসগুলি কনফিগার করা অবশ্যই মোবাইল ডিভাইস কনফিগারেশন মান অনুযায়ী করা উচিত be এখানে মূল বিষয়টি কেবল একটি প্রোগ্রামকে জোর দেওয়ার মতো নয়; এই সমস্ত দক্ষতার জন্য মোবাইল সফ্টওয়্যারটিও ডিজাইন এবং সুরক্ষিতভাবে সমন্বয় করতে হবে। মোবাইল অ্যাপ্লিকেশনগুলিতে সুরক্ষা কার্যকর করা ওয়েব অ্যাপ্লিকেশনগুলির চেয়ে বেশি কঠিন। ওয়েব অ্যাপ্লিকেশনগুলির চেয়ে মোবাইল অ্যাপ্লিকেশনগুলিতে ডিক্রিপশন এবং ডিক্রিপশন (কোড ভাঙার জন্য নয়) এর মতো পদক্ষেপগুলি প্রয়োজনীয়।

অ্যাপ্লিকেশন পরীক্ষার ধরণ

পারফরম্যান্স ত্রুটিগুলি, নকশা এবং আর্কিটেকচার ত্রুটিগুলি এবং সুরক্ষিত কনফিগারেশন সনাক্ত করতে টেস্টিং ডিজাইন করা হয়েছে। সুরক্ষা চেকগুলির জন্য কার্যকর কিছু অ্যাপ্লিকেশনগুলি হ'ল:

  1. স্ট্যাটিক সফ্টওয়্যার সিকিউরিটি টেস্টিং (SAST) উত্স কোডের উপর দৃষ্টি নিবদ্ধ করে।
  2. ডায়নামিক অ্যাপ্লিকেশন সিকিউরিটি টেস্টিং (ডিএএসটি) সফ্টওয়্যার এবং অবকাঠামোগত দুর্বলতাগুলি সনাক্ত করতে ডিজাইন করা হয়েছে।
  3. ইন্টারেক্টিভ প্রাকটিক্যাল সিকিউরিটি টেস্ট (আইএএসটি) ডিএএসটি এবং এসএএসএস উভয়ের সংমিশ্রণ ব্যবহার করে এবং ডেটা প্রবাহ, ইনপুট / আউটপুট ইত্যাদি নির্ধারণের জন্য আচরণগত বিশ্লেষণ পরিচালনা করে।
  4. রানটিম স্ব-প্রতিরক্ষা (আরএএসপি) অ্যাপ্লিকেশনগুলিকে রানটাইম ইঞ্জিন সুরক্ষা বৈশিষ্ট্য যেমন সেশন সমাপ্তি, প্রোগ্রাম শাটডাউন, ক্র্যাশ রিপোর্টিং ইত্যাদি ব্যবহার করে নিজেকে সুরক্ষিত করার অনুমতি দেয়। ।

এটি লক্ষ করা গুরুত্বপূর্ণ যে অ্যাপ্লিকেশন সুরক্ষা সফ্টওয়্যার সুরক্ষার অনেকগুলি ক্ষেত্রে একটি।

সফ্টওয়্যার ঝুঁকিগুলির মধ্যে রয়েছে:

- কোনও ওয়েব / ওয়েব অ্যাপ্লিকেশন / অবকাঠামো নেই - নিরাপদ নকশা - ভুল সেটিংস - প্রযুক্তি সীমাবদ্ধতা - সংক্রমণ এনক্রিপশন - ব্যাক-এন্ড ডাটাবেস সুরক্ষা

আপনি উপরোক্ত দুটি পরিস্থিতিতে দেখতে পাচ্ছেন যে ওয়েব এবং মোবাইল অ্যাপ্লিকেশনগুলির পোস্ট-ডিপ্লোয়মেন্ট পর্বে অ্যাপ্লিকেশন পরীক্ষাটি বিভিন্ন উপায়ে পরিবর্তিত হয়। মোবাইল অ্যাপ্লিকেশনগুলি ওয়েব অ্যাপ্লিকেশনগুলির চেয়ে বেশি বিঘ্নিত হতে থাকে। এছাড়াও, মোবাইল অ্যাপ্লিকেশন সুরক্ষার জন্য মোবাইল ডিভাইস সুরক্ষা একটি গুরুত্বপূর্ণ উপাদান।

নেটওয়ার্ক সুরক্ষা এই সমস্তগুলির মধ্যে কোথায় ফিট করে?

সফটওয়্যার সুরক্ষা সম্পর্কে একটি বিস্তৃত ভুল ধারণা রয়েছে যেমন ফায়ারওয়ালগুলি প্রোগ্রাম বা প্রোগ্রাম যেমন ফায়ারওয়ালের কর্মক্ষমতা সীমাবদ্ধ করে। ব্যবসাগুলি নেটওয়ার্ক সুরক্ষা ব্যবস্থাগুলিতে প্রচুর অর্থ ব্যয় করে (যেমন রাউটারগুলি যা কোনও পৃথক কম্পিউটারের আইপি অ্যাড্রেস সরাসরি ইন্টারনেটে প্রদর্শিত হতে বাধা দেয়)।

অন্যান্য সাধারণ প্রতিরোধের মধ্যে রয়েছে:

- সাধারণ ফায়ারওয়ালস - এনক্রিপশন / ডিক্রিপশন প্রোগ্রাম - অ্যান্টিভাইরাস প্রোগ্রাম - স্পাইওয়্যার সনাক্তকরণ / নিষ্ক্রিয়করণ প্রোগ্রাম - বায়োমেট্রিক প্রমাণীকরণ সিস্টেম - ডেটা বিশ্লেষণ এবং ডেটা ক্ষতি রোধ সরঞ্জাম

২০১৫ সালের ভেরাইজন ডেটা লঙ্ঘন প্রতিবেদনটি বিভিন্ন ঘটনার মধ্যে ওয়েব অ্যাপের মাত্র 9.4% আক্রমণ দেখায়। সংস্থার সফটওয়্যার সিকিউরিটি ইনিশিয়েটিভ (এসএসআই) অ্যাপ্লিকেশন সুরক্ষার পরিধি ছাড়াই দেখা উচিত এবং সমস্ত ধরণের সফ্টওয়্যারগুলিতে সংহত করা উচিত।

[টুইটগুলি এই অপসারণ_হাইডেন_হ্যাশট্যাগস = "সত্য"] # অ্যাপসেক এবং # স্বস্যাক্স প্রায়শই আন্তঃবদলযোগ্যভাবে ব্যবহৃত হয়। তবে একটি বিগ পার্থক্য আছে। এখানে কেন: [/ টুইটগুলি]

অ্যাপ্লিকেশন সুরক্ষা এবং সফ্টওয়্যার সুরক্ষা: এটি সম্পূর্ণ করে

এই অ্যাপ্লিকেশনটি সুরক্ষিত করার জন্য নিরাপদে কোনও অ্যাপ্লিকেশন ডিজাইন করা এবং কোডিং করা একমাত্র উপায় নয়। অ্যাপ্লিকেশনটিতে চালিত অবকাঠামো, সার্ভার এবং নেটওয়ার্ক উপাদানগুলি অবশ্যই নিরাপদে সেট আপ করতে হবে। অ্যাপ্লিকেশনটিকে যথাসম্ভব সুরক্ষিত রাখার জন্য, অ্যাপ্লিকেশন এবং সার্ভার কনফিগারেশন, সংক্রমণ এনক্রিপশন, প্রমাণীকরণের ডেটা সঞ্চয় করা এবং যেখানে ডাটাবেস এবং এনক্রিপশন কীগুলি সঞ্চিত আছে সেখানে ডেটাবেস অ্যাক্সেস সহ এগুলির সমস্ত বিষয় বিবেচনা করা গুরুত্বপূর্ণ। সফটওয়্যার এবং সফ্টওয়্যার দ্বারা চালিত অবকাঠামো সর্বাধিক সুরক্ষা নিশ্চিত করতে সুরক্ষিত থাকতে হবে। এর মধ্যে রয়েছে সফ্টওয়্যার সুরক্ষা (নকশা, কোডিং এবং পরীক্ষার পর্যায়সমূহ) এবং ব্যবহারিক সুরক্ষা (পোস্ট প্লেসমেন্ট টেস্ট, মনিটরিং, ডিবাগিং, আপগ্রেডিং ইত্যাদি) includes সফ্টওয়্যার সুরক্ষা সংস্থার তথ্য সুরক্ষা, সম্পদ সুরক্ষা এবং জনসাধারণের তথ্যের গোপনীয়তা উন্নত করার একটি সামগ্রিক পদ্ধতির অন্তর্ভুক্ত; যদিও অ্যাপ্লিকেশন সুরক্ষা পুরো প্রক্রিয়া জুড়ে শুধুমাত্র একটি ডোমেন।

অ্যাপ্লিকেশন সুরক্ষা সফ্টওয়্যার সুরক্ষা যাত্রার প্রথম পদক্ষেপ। আরও জানুন।