الأمن من خلال الغموض

من ويكيبيديا، الموسوعة الحرة
اذهب إلى: تصفح، ‏ ابحث

الأمن من خلال الغموض, Security through obscurity, إحدى وسائل الهندسة الأمنية, و تعني تصميم نظام أمني يعمل بتحويل دلالة العبارة إلى معنى مغاير. ألأنظمة التي تعتمد على مبدأ السرية من خلال الغموض تعاني من ثغرات أمنية, من الوجهة النظرية و العملية. و يدعي أصحاب هذا المبدأ, أن المهاجم لن يستطيع اختراق النظام إلا في حالة معرفة عيوبه, و هو أمر مستبعد, حسب اعتقادهم. قد يستخدم نظام الأمن من خلال الغموض كوسيلة للدفاع في قياس العمق، في حين سيتم التخفيف من نقاط الضعف الأمنية المعروفة من خلال تدابير أخرى، الكشف العلني عن المنتجات والإصدارات في الاستخدام يجعل منها هدفا مبكرا لنقاط الضعف المكتشفة حديثا في تلك المنتجات والإصدارات. الخطوة الأولى للمهاجمين هو عادة جمع المعلومات, هذه الخطوة يتم تأخيرها من قبل الأمن من خلال الغموض. هذه التقنية تقف في مقابل الأمن من خلال التصميم security by design والأمن المفتوح open security، على الرغم من ذلك فالعديد من المشاريع في العالم الحقيقي تشمل عناصر من جميع هذه الاستراتيجيات. لم ينجح الأمن من خلال الغموض قط, في قبول الهندسة كمنهج لتأمين النظام، وذلك لتعارضها مع مبدأ "ابقه بسيطا" "Keep it simple, stupid" أنظر,KISS principle. يوصي معهد الولايات المتحدة الوطني للمعايير والتكنولوجيا National Institute of Standards and Technology باقتراحات محددة ضد الأمن من خلال الغموض في أكثر من وثيقة واحدة. نقلا عن احداها، "يجب أن لا يعتمد أمن النظام على سرية تنفيذه أو مكوناته". [1] , طبقا لمبادئ كيرشوف فإن ذلك يشبه القول " يمكن لصاحب البيت أن يترك الباب الخلفي مفتوحا، لأن اللص لن يراه".

المراجع[عدل]

  1. ^ "Guide to General Server Security". National Institute of Standards and Technology. July 2008. اطلع عليه بتاريخ 2 October 2011. 

أنظر أيضا[عدل]