ভালনেরাবিলিটি (কম্পিউটিং)

উইকিপিডিয়া, মুক্ত বিশ্বকোষ থেকে
সরাসরি যাও: পরিভ্রমণ, অনুসন্ধান

{{কাজ চলছে}}  {{কাজ চলছে}}   {{কাজ চলছে}}  

কম্পিউটার নিরাপত্তার ক্ষেত্রে, ভালনেরাবিলিটি এক ধরণের দুর্বলতা যা আক্রমণকারীকে সিস্টেমের তথ্যের নিরাপত্তা নিশ্চিতকরণ করার ক্ষমতা কমাতে সাহায্য করে। ভালনেরাবিলিটির তিনটি উপাদান রয়েছে: একটি সিস্টেমের সংবেদনশীলতা বা ক্রুটি নির্ণয় করা, সেই ক্রুটিতে আক্রমণকারীর প্রবেশাধিকার, এবং আক্রমণকারী সেই ক্রুটিকে কাজে লাগানোর সামর্থ্য। [১] ভালনেরাবিলিটি আবিষ্কার করার জন্য আক্রমণকারীর কাছে কমপক্ষে একটি টুল অথবা পদ্ধতি থাকতে হবে, যা ব্যবহার করে আক্রমণকারী সিস্টেমের দুর্বলতার সঙ্গে নিজেকে সংযুক্ত করতে পারবে। এ ক্ষেত্রে ভালনেরাবিলিটিকে এটাক সার্ফেস বা আক্রমণ পৃষ্ঠ-ও বলা হয়। 

ভালনেরাবিলিটি ব্যবস্থাপনা একটি চক্রাকার প্রক্রিয়া। এ প্রক্রিয়ার মধ্যে রয়েছে নির্ণয় করা, শ্রেণীভুক্ত করা, দূর করা এবং নির্বাপণ করা। [২] এই প্রক্রিয়া সাধারণত কম্পিউটিং সিস্টেমে সফটওয়্যার ভালনেরাবিলিটির ক্ষেত্রে প্রযোজ্য। 

নিরাপত্তা ঝুঁকিকেও ভালনেরাবিলিটি হিসাবে শ্রেণীবদ্ধ করা যেতে পারে। ভালনেরাবিলিটি এবং ঝুঁকি উভয়ের অর্থ প্রায় একই হওয়ার কারনে দন্ধের সৃষ্টি হতে পারে। ঝুঁকি বলতে বুঝায় কোন কারনে উল্লেখযোগ্য পরিমানে ক্ষতির সম্ভাবনা থাকা। অন্য দিকে কোন কোন ভালনেরাবিলিটিতে ঝুঁকি থাকে না; উদাহরণস্বরূপ, যখন ভালনেরাবিলিটি আক্রান্ত সম্পদের কোন মূল্য থাকে না। যখন কোন ভালনেরাবিলিটির এক বা একাধিক দৃষ্টান্ত থাকে এবং হামলা সম্পূর্ণরূপে বাস্তবায়ন করা যায়, তাকে এক্সপ্লোয়েটেবল ভালনেরাবিলিটি হিসাবে শ্রেণিবদ্ধ করা হয় — একটি ভালনেরাবিলিটি, যার জন্য একটি এক্সপ্লোয়েট বিদ্যমান থাকে। একটি ভালনেরাবিলিটি আবিষ্কার হওয়া থেকে শুরু করে ঠিক করা পর্যন্ত সময়কালকে উইন্ডো অফ ভালনেরাবিলিটি বলা হয়।

নিরাপত্তা বাগ (নিরাপত্তা ত্রুটি) একটি সংকীর্ণ ধারণাঃ এমন কিছু ভালনেরাবিলিটি আছে যা সফটওয়্যার এর সাথে সম্পর্কিত নয়। হার্ডওয়্যার, সাইট, অথবা কর্মীদের দুর্বলতা এমন কিছু ভালনেরাবিলিটির উদাহরণ যা সফটওয়্যার নিরাপত্তা বাগ নয়। 

প্রোগ্রামিং ল্যাংগুয়েজ এর যেসব নির্মাণ সহজ ভাবে ব্যবহার করা কঠিন, সেসব নির্মাণ ভালনেরাবিলিটির একটি বড় উৎস হতে পারে।   

সংজ্ঞা[সম্পাদনা]

ISO 27005 অনুযায়ী ভালনেরাবিলিটিঃ  

এক বা একাধিক সম্পদের দুর্বলতা, যা এক বা একাধিক ভীতিপ্রদর্শনে ব্যবহারিত হতে পারে। 

এক্ষেত্রে, সেই সম্পত্তির মূল্য থাকে একটি নির্দিষ্ট প্রতিষ্ঠানের, তার ব্যবসা সংক্রান্ত কাজে এবং তাদের ধারাবাহিকতায়, এবং তাদের প্রতিষ্ঠানের লক্ষ্যে এগিয়ে যাওয়ার তথ্যের নিকট  [৩]

IETF RFC 2828 অনুযায়ী ভালনেরাবিলিটিঃ [৪]

একটি সিস্টেম এর নকশায় ত্রুটি বা দুর্বলতা, বাস্তবায়ন, বা অপারেশন এবং ব্যবস্থাপনা, যা সিস্টেম এর নিরাপত্তা নীতি লঙ্ঘন করতে কাজে লাগতে পারে 

মার্কিন যুক্তরাষ্ট্র এর জাতীয় নিরাপত্তা ব্যবস্থা নিয়ে কমিটি ২৬ এপ্রিল ২০১০ এ করা জাতীয় তথ্য নিশ্চিতকরণ শব্দকোষে সিএনএসএস নির্দেশ নং ৪০০৯ অনুযায়ী ভালনেরাবিলিটিঃ [৫]

ভালনেরাবিলিটিঃ —  একটি তথ্য পদ্ধতিতে দুর্বলতা, সিস্টেমের নিরাপত্তা পদ্ধতি, অভ্যন্তরীণ নিয়ন্ত্রণ, বা বাস্তবায়ন করা যেতে পারে এমন  কিছু

অনেক ন্যাশনাল ইনস্টিটিউট অফ স্ট্যান্ডার্ডস অ্যান্ড টেকনোলজির প্রকাশনী তাদের বিভিন্ন প্রকাশনার আইটি প্রতিযোগিতায়: FISMApedia[৬] টার্ম[৭] একটি তালিকা প্রদান করে। তাদের মধ্যে এসপি ৮০০-৩০,[৮] একটি বৃহত্তর দেয়ঃ 

সিস্টেম সিকিউরিটি পদ্ধতি, নকশা, বাস্তবায়ন, বা অভ্যন্তরীণ নিয়ন্ত্রণণে একটি ত্রুটি বা দুর্বলতা যা ইচ্ছাকৃত ভাবে ব্যবহার করে নিরাপত্তা ভঙ্গ বা একটি সিস্টেমের নিরাপত্তা নীতি লঙ্ঘন করা যেতে পারে। 

ENISA ভালনেরাবিলিটিকে সংজ্ঞায়িত [৯] করেঃ 

নকশা, বা বাস্তবায়নে দুর্বলতার অস্তিত্ব একটি অপ্রত্যাশিত  ও অনাকাঙ্খিত ঘটনার [G. 11] জন্ম দিতে পারে, এর সাথে জড়িত হতে পারে কম্পিউটার সিস্টেমের নিরাপত্তা, নেটওয়ার্ক, অ্যাপ্লিকেশন, বা প্রোটোকল। (ITSEC)

ওপেন গ্রুপ ভালনেরাবিলিটিকে সংজ্ঞায়িত [১০] করেঃ

একটি সম্ভাব্য হুমকি যা সে হুমকির মোকাবেলা করার ক্ষমতাকে অতিক্রম করে

তথ্য ঝুঁকির ফ্যাক্টর বিশ্লেষণ, (এফএআইআর) ভালনেরাবিলিটিকে সংজ্ঞায়িত করেঃ [১১]

একটি সম্পদ যা হুমকিদাতার কার্যক্রম প্রতিহত করতে অক্ষমতার সম্ভাবনা

এফএআইআর অনুযায়ী, ভালনেরাবিলিটি শক্তি নিয়ন্ত্রন করার সাথে সম্পর্কিত, যেমন একটি নির্দিষ্ট বলের বিপক্ষে নিজের নিয়ন্ত্রনের শক্তি যাচাই করা এবং হুমকির ক্ষমতার আন্দাজ করা, অর্থাৎ সম্ভাব্য বলের স্তর জেনে নেয়া যা একজন হুমকিদাতা প্রদান একটি সম্পদের বিরুদ্ধে প্রদান করতে পারে।

ISACA রিস্ক ইট ফ্রেকওয়ার্কে ভালনেরাবিলিটিকে নিম্নোক্ত ভাবে সংজ্ঞায়িত করেঃ

নকশা, বাস্তবায়ন, পরিচালন বা অভ্যন্তরীণ নিয়ন্ত্রনে একটি দুর্বলতা

ডেটা এবং কম্পিউটার নিরাপত্তা: মানের ধারণা এবং পদের অভিধানের (স্টকটন প্রেস - আইএসবিএন 0-935859-17-9, লেখক ডেনিস লংলে এবং মাইকেল শেইন, ভালনেরাবিলিটিকে নিম্নোক্ত ভাবে সংজ্ঞায়িত করেনঃ 

১) কম্পিউটার নিরাপত্তায় স্বয়ংক্রিয় সিস্টেম সিকিউরিটি, পদ্ধতি, প্রশাসনিক নিয়ন্ত্রণ, ইন্টারনেট নিয়ন্ত্রণ, ইত্যাদিতে একটি দুর্বলতা যা কোন হুমকিদাতা অননুমোদিত  প্রবেশাধিকার লাভ করার জন্য  অথবা  সমালোচনামূলক প্রক্রিয়া ব্যাহত করার লক্ষে ব্যবহার করতে পারে। ২) কম্পিউটার নিরাপত্তায় শারীরিক বিন্যাস, সংগঠন, পদ্ধতি, কর্মচারীবৃন্দ, ব্যবস্থাপনা, প্রশাসন, হার্ডওয়্যার বা সফটওয়্যারে দুর্বলতা, যা এডিপি সিস্টেম বা কার্যকলাপে ক্ষতির কারন হয়ে উঠতে পারে। ৩) কম্পিউটার নিরাপত্তায় সিস্টেমে কোনো দুর্বলতা বা ত্রুটি বিদ্যমান থাকলে, আক্রমণ বা ক্ষতিকারক ঘটনা বা আক্রমণকারী আক্রমন করার সুযোগ পেয়ে যায়।  

ম্যাট বিশপ এবং ডেভ বেইলি [১২] কম্পিউটার ভালনেরাবিলিটির নিম্নোক্ত ব্যাখ্যা দেনঃ 

একটি কম্পিউটার সিস্টেম গঠিত হয়, যুক্তরাষ্ট্র বর্ণনা, বর্তমান কনফিগারেশন সত্ত্বা আপ যে কম্পিউটার সিস্টেম. সিস্টেম গণনা করে আবেদন মাধ্যমে রাষ্ট্র রূপান্তরের যে অবস্থা পরিবর্তন সিস্টেম. সব মার্কিন যুক্তরাষ্ট্র পৌঁছানো থেকে দেওয়া একটি প্রাথমিক অবস্থায় একটি সেট ব্যবহার করে, রাষ্ট্র রূপান্তরের মধ্যে পড়ে ক্লাস এর অনুমোদিত বা অননুমোদিত দ্বারা সংজ্ঞায়িত হিসাবে একটি নিরাপত্তা নীতি. এই কাগজ, সংজ্ঞা, এই শ্রেণীর ও স্থানান্তর বিবেচনা করা হয় সর্বজনবিদিত. একটি অরক্ষিত অবস্থায় একটি অনুমোদিত রাষ্ট্র, যা থেকে একটি অননুমোদিত অবস্থায় পৌঁছে যাবে ব্যবহার অনুমোদিত রাষ্ট্র রূপান্তরের. একটি সংকটাপন্ন অবস্থায় রাষ্ট্র, তাই পৌঁছেছেন. একটি আক্রমণ একটি ক্রম অনুমোদিত রাষ্ট্র রূপান্তরের, যা শেষ পর্যন্ত একটি সংকটাপন্ন অবস্থায়. সংজ্ঞা দ্বারা, একটি আক্রমণ শুরু হয় একটি ঝুঁকিপূর্ণ রাষ্ট্র. দুর্বলতার একটি চরিত্রায়ন একটি নাজুক অবস্থা যা থেকে এটি আলাদা, সব অ-প্রবন যুক্তরাষ্ট্র. যদি জেনেরিক, দুর্বলতা হতে পারে প্রভেদ অনেক ঝুঁকিপূর্ণ যুক্তরাষ্ট্র; যদি নির্দিষ্ট, এটা হতে পারে প্রভেদ শুধুমাত্র এক...

জাতীয় তথ্য নিশ্চিত প্রশিক্ষণ ও শিক্ষা কেন্দ্র ভালনেরাবিলিটিকে সংজ্ঞায়িত করে: [১৩][১৪]

Vulnerability and risk factor models[সম্পাদনা]

একটি সম্পদে (বাস্তবিক অথবা ধারনা) এক বা তার অধিক ভালনেরাবিলিটি থাকতে পারে যা একজন হুমকিদাতা তার হুমকি কার্যকর করার সময় কাজে লাগাতে পারবে। 

OWASP: হুমকিদাতা এবং ব্যবসায়িক প্রভাবের মধ্যকার সম্পর্ক

সামগ্রিক ছবি প্রতিনিধিত্ব করে ঝুঁকির পরিস্থিতি এবং ঝুঁকির বিষয়গুলির। [১৫]

সাইট[সম্পাদনা]

ভালনেরাবিলিটি তাদের সম্পদের শ্রেণি অনুযায়ী শ্রেণীবদ্ধ করা হয়, যা সম্পর্কিতঃ [১৬]

  • হার্ডওয়্যার
    • আর্দ্রতার সংবেদনশীলতা 
    • ধুলোর সংবেদনশীলতা  
    • ময়লার  সংবেদনশীলতা 
    • অরক্ষিত স্টোরেজের সংবেদনশীলতা 
  • সফ্টওয়্যার
    • অপর্যাপ্ত টেস্টিং
    • নিরীক্ষা পথের অভাব
  • নেটওয়ার্ক
    • অরক্ষিত যোগাযোগ লাইন
    • অনিরাপদ নেটওয়ার্ক স্থাপত্য
  • কর্মীদের
    • অপর্যাপ্ত নিয়োগের প্রক্রিয়া
    • অপর্যাপ্ত নিরাপত্তা সচেতনতা
  • শারীরিক সাইট
    • এলাকা সাপেক্ষে বন্যা
    • অবিশ্বস্ত ক্ষমতার উৎস
  • সাংগঠনিক
    • নিয়মিত অডিটের অভাব
    • ধারাবাহিক পরিকল্পনার অভাব
    • নিরাপত্তার অভাবে 

কারণ সমূহ [সম্পাদনা]

  • জটিলতা: বৃহৎ, জটিল সিস্টেম ত্রুটি এবং অনিচ্ছাকৃত প্রবেশের সম্ভাবনা বৃদ্ধি করে।
  • ঘনিষ্ঠতা: সাধারন, সুপরিচিত কোড, সফটওয়্যার, অপারেটিং সিস্টেম, এবং/অথবা হার্ডওয়্যার; আক্রমন কারীকে ব্যবহারকারী সম্পর্কে দুর্বলতা কাজে লাগানোর জন্য প্রয়োজনীয় জ্ঞান এবং সরঞ্জাম প্রদান করে থাকে। [১৭]
  • কানেক্টিভিটি: অতিরিক্ত শারীরিক সংযোগ, সুবিধা, পোর্ট, প্রোটোকল এবং পরিষেবা এবং এ সকল প্রবেশের সময়কাল ভালনেরাবিলিটির পরিমাণ বাড়িয়ে দিতে পারে। 
  • পাসওয়ার্ড ব্যবস্থাপনা সংক্রান্ত ত্রুটিগুলি: কম্পিউটার দুর্বল পাসওয়ার্ড ব্যবহার করে, যা ব্রুট ফোরস আক্রমনের মাধ্যমে নির্ণয় করা যায়। [১৮] কম্পিউটার ব্যবহারকারী কম্পিউটারের এমন স্থানে পাসওয়ার্ড সংরক্ষন করেন, যেখানে অন্য কোন প্রোগ্রাম প্রবেশ করতে পারে। ব্যবহারকারী একই পাসওয়ার্ড অনেক প্রোগ্রাম এবং ওয়েবসাইটে ব্যবহার করেন। [১৯]

গবেষণা দেখানো হয়েছে যে বেশিরভাগ ইনফরমেশন সিস্টেমে সবচেয়ে ঝুঁকিপূর্ণ পয়েন্ট হচ্ছে ব্যবহারকারী (মানুষ), অপারেটর, ডিজাইনার, বা অন্যান্য মানুসঃ [২০] তাই মানুষকে বিভিন্ন ভূমিকায় চিন্তা করা যেতে পারে; সম্পদ, হুমকিদাতা অথবা তথ্য সম্পদ হিসাবে. সামাজিক প্রকৌশল একটি ক্রমবর্ধমান নিরাপত্তা উদ্বেগ.

তথ্য নিরাপত্তার একটি প্রধান ধারনা গভীরতার মধ্যে প্রতিরক্ষা নীতির একটি মূল বিষয়ের সাথে মিলে জায়ঃ কয়েক স্তরের প্রতিরক্ষা সিস্টেম সেটআপ করা জাঃ 

  • সে কাজে লাগানোকে প্রতিরোধ করতে পারবে
  • সনাক্ত এবং আক্রমনের পথিমধ্যে রোধ করতে পারবে
  • হুমকিদাতাদের খুঁজে বের করা এবং তাদের বিরুদ্ধে আইনি ব্যবস্থা নেয়া 

আক্রমন সনাক্ত করতে যেসব শ্রেণীর সিস্টেম ব্যবহার করা হয়, অনুপ্রবেশের সনাক্তকরণ সিস্টেম তাদের মধ্যে একটি উদাহরণ। 

ভালনেরাবিলিটি প্রকাশের তারিখ[সম্পাদনা]

একটি ভালনেরাবিলিটি প্রকাশের সময় বিভিন্ন সুরক্ষা গোষ্ঠী এবং ইন্ডাস্ট্রিতে ভিন্ন ভাবে সংজ্ঞায়িত করা হয়। তবে সবচেয়ে বেশি অভিহিত করা হয় 'এক ধরণের নিরাপত্তা তথ্য প্রকাশ যা নির্দিষ্ট দল দ্বারা প্রকাশিত হয়েছে' বলে। সাধারনত ভালনেরাবিলিটি তথ্য গুলো প্রকাশ করা হয় কোন নির্দিষ্ট মেইলিং তালিকায় অথবা কোন নিরাপত্তা ওয়েব সাইটে প্রকাশ করা হয় এবং নিরাপত্তাজনিত অ্যাডভাইসরি'র পরে ফলাফল প্রকাশ করা হয়।

প্রকাশের সময়ই হলো প্রথম তারিখ যখন একটি নিরাপত্তা ভালনেরাবিলিটি কোন একটি মাধ্যমে পরিপূর্ণ তথ্য সহ বর্ণনা করা হয়। এক্ষেত্রে নিম্নের শর্ত গুলো মেনে চলতে হয়ঃ 

  • তথ্য অবাধে জনসাধারণের জন্য উপলব্ধ হওয়া
  • দুর্বলতার তথ্য একটি বিশ্বস্ত এবং স্বাধীন চ্যানেল / উৎস দ্বারা প্রকাশিত হওয়া
  • দক্ষ বিশ্লেষকদের মাধ্যমে পর্যালোচনা করে ভালনেরাবিলিটির ঝুঁকির পরিমাণও প্রকাশ করা

ভালনেরাবিলিটি এর উদাহরণ [সম্পাদনা]

ভালনেরাবিলিটিকে নিচের বিষয় গুলোর সাথে সম্পর্কিত করা যায়ঃ 

  • সিস্টেমের একটি প্রকৃত পরিবেশ 
  • কর্মচারীরা 
  • ব্যবস্থাপনা
  • প্রতিষ্ঠানের মধ্যে প্রশাসন পদ্ধতি এবং নিরাপত্তা ব্যবস্থা 
  • ব্যবসায়িক অপারেশন এবং সেবা বিতরণ
  • হার্ডওয়্যার
  • সফ্টওয়্যার
  • যোগাযোগে সরঞ্জাম ও সুবিধা
  • এবং তাদের সমন্বয়. 

এটা স্পষ্ট যে, একটি বিশুদ্ধ প্রযুক্তিগত প্রচেষ্টাও শারীরিকভাবে সম্পদ রক্ষা করতে পারবে নাঃ একজনের উচিৎ রক্ষণাবেক্ষণের জন্য এবং পর্যাপ্ত জ্ঞান সমৃদ্ধ কর্মিবৃন্দের সুবিধায় প্রবেশের ক্ষেত্রে প্রশাসনিক পদ্ধতি ব্যবহার করা। এবং সঠিক যত্নের সঙ্গে এটি অনুসরণ করতে অনুপ্রাণিত করা। দেখুনঃ সামাজিক প্রকৌশল (নিরাপত্তা)

ভালনেরাবিলিটি কাজে লাগানোর চারটি উদাহরণঃ 

  • একজন আক্রমণকারী একটি উপচে পড়া দুর্বলতা খুঁজে বের করে এবং তা ব্যবহার করে সেখানে একটি ম্যালওয়্যার ইন্সটল করে। সে ম্যালওয়্যার ব্যবহার করে তার সংবেদনশীল তথ্য সে পেতে পারে;
  • একজন আক্রমণকারী একটি ম্যালওয়্যার সংযুক্ত ইমেইল বার্তা খোলার জন্য ব্যবহারকারীকে বুঝাতে সক্ষম হয় ;
  • একজন আক্রমণকারী একটি বিশেষ ভাবে তৈরি করা প্রোগ্রাম একটি থাম্ব ড্রাইভে নিয়ে তা তার কাঙ্খিত স্থানে আক্রমন করে;
  • এক ধরণের বিশেষ বন্যা কারো কম্পিউটার সিস্টেমকে ক্ষতিগ্রস্ত করে। 

সফটওয়্যার ভালনেরাবিলিটি গুলো [সম্পাদনা]

সাধারণ ধরনের সফটওয়্যার সংক্রান্ত নিন্ম ভালনেরাবিলিটি গুলোতে রূপান্তরিত হতে পারে:

  • মেমরি নিরাপত্তা লঙ্ঘন, যেমন:
    • বাফার ওভারফ্লো এবং ওভার রিড
    • ঝুলন্ত পয়েন্টার
  • ইনপুট ভ্যালিডেশন ত্রুটি, যেমন:
    • ফরম্যাট স্ট্রিং আক্রমন
    • এসকিউএল ইনজেকশন
    • কোড ইনজেকশন
    • ই-মেইল ইনজেকশন
    • ডাইরেক্টরি ট্র্যাভেরসাল
    • ক্রস সাইট স্ক্রিপ্টিং এর মধ্যে ওয়েব অ্যাপ্লিকেশন
    • HTTP-র হেডার ইনজেকশন
    • HTTP প্রতিক্রিয়া বিভাজন
  • রেস শর্ত, যেমন:
    • ব্যবহারের সময়-থেকে-সময়-এর পরীক্ষা বাগ
    • সিমলিংক রেস
  • বিশেষ সুযোগ-বিভ্রান্তি বাগ, যেমন:
    • ওয়েব অ্যাপ্লিকেশনে ক্রস সাইট অনুরোধ জালিয়াতি 
    • ক্লিকজ্যাকিং
    • FTP বাউন্স আক্রমণ
  • বিশেষাধিকার উদ্দীপন
  • ইউজার ইন্টারফেস ব্যর্থতা, যেমন:
    • সতর্কতা ক্লান্তি [২১] বা ব্যবহারকারী কন্ডিশন
    •  ভুক্তভোগীকেই দোষারোপ করা, তাকে সম্পূর্ণ তথ্য না দিয়েই কোন নিরাপত্তার সিদ্ধান্ত নিতে বলা। [২২]
    • রেস শর্ত [২৩][২৪]

কিছু কোডিং নির্দেশিকা উন্নত করা হয়েছে, এবং এই কোড নির্দেশিকা অনুসরন করে কিনা তা যাচাই করার জন্য অনেক স্ট্যাটিক কোড অ্যানালাইজার ব্যবহার করা হয়েছে। 

আরো দেখুন[সম্পাদনা]

  • ব্রাউজার সিকিউরিটি
  • কম্পিউটার ইমারজেন্সি রেসপন্স টিম
  • তথ্য নিরাপত্তা
  • ইন্টারনেট নিরাপত্তা
  • মোবাইল নিরাপত্তা
  • ভালনেরাবিলিটি স্ক্যানার

তথ্যসূত্র[সম্পাদনা]

  1. "The Three Tenets of Cyber Security"। U.S. Air Force Software Protection Initiative। সংগৃহীত ২০০৯-১২-১৫ 
  2. Foreman, P: Vulnerability Management, page 1.
  3. British Standard Institute, Information technology -- Security techniques -- Management of information and communications technology security -- Part 1: Concepts and models for information and communications technology security management BS ISO/IEC 13335-1-2004
  4. Internet Engineering Task Force RFC 2828 Internet Security Glossary
  5. CNSS Instruction No. 4009 dated 26 April 2010
  6. "FISMApedia"fismapedia.org 
  7. "Term:Vulnerability"fismapedia.org 
  8. NIST SP 800-30 Risk Management Guide for Information Technology Systems
  9. "Glossary"europa.eu 
  10. Technical Standard Risk Taxonomy ISBN 1-931624-77-1 Document Number: C081 Published by The Open Group, January 2009.
  11. "An Introduction to Factor Analysis of Information Risk (FAIR)", Risk Management Insight LLC, November 2006;
  12. Matt Bishop and Dave Bailey.
  13. Schou, Corey (1996).
  14. NIATEC Glossary
  15. ISACA THE RISK IT FRAMEWORK (registration required) আর্কাইভ July 5, 2010, at the Wayback Machine.
  16. ISO/IEC, "Information technology -- Security techniques-Information security risk management" ISO/IEC FIDIS 27005:2008
  17. Krsul, Ivan (এপ্রিল ১৫, ১৯৯৭)। "Technical Report CSD-TR-97-026"। The COAST Laboratory Department of Computer Sciences, Purdue University। 
  18. Pauli, Darren (১৬ জানুয়ারি ২০১৭)। "Just give up: 123456 is still the world's most popular password"The Register। সংগৃহীত ২০১৭-০১-১৭ 
  19. Kakareka, Almantas (২০০৯)। "23"। in Vacca, John। Computer and Information Security Handbook। Morgan Kaufmann Publications। Elsevier Inc। পৃ: ৩৯৩। আইএসবিএন 978-0-12-374354-1 
  20. Kiountouzis, E. A.; Kokolakis, S. A.। Information systems security: facing the information society of the 21st century। London: Chapman & Hall, Ltd। আইএসবিএন 0-412-78120-4 
  21. "Warning Fatigue"freedom-to-tinker.com 
  22. [১] আর্কাইভ October 21, 2007, at the Wayback Machine.
  23. "Jesse Ruderman  » Race conditions in security dialogs"squarefree.com 
  24. "lcamtuf's blog"lcamtuf.blogspot.com