আক্রান্তপ্রবণতা (কম্পিউটিং)
কম্পিউটার নিরাপত্তার ক্ষেত্রে, আক্রান্তপ্রবণতা বলতে এক ধরনের দুর্বলতাকে বোঝায় যা আক্রমণকারীকে সিস্টেমের তথ্যের নিরাপত্তা নিশ্চিতকরণ করার ক্ষমতা কমাতে সাহায্য করে। একে ইংরেজি ভাষায় ভালনেরাবিলিটি (Vulnerability) বলা হয়। কোনও আক্রান্তপ্রবণতা তিনটি উপাদান নিয়ে গঠিত হয়: প্রথমত, আলোচ্য কম্পিউটার ব্যবস্থাতে সংবেদনশীলতা বা ত্রুটি বিদ্যমান থাকতে হয়, সেই ত্রুটিতে আক্রমণকারীর প্রবেশাধিকার থাকতে হয়, এবং আক্রমণকারীর সেই ত্রুটিকে কাজে লাগানোর সামর্থ্য থাকতে হয়। [1] আক্রান্তপ্রবণতা আবিষ্কার করার জন্য আক্রমণকারীর কাছে কমপক্ষে একটি সরঞ্জাম অথবা পদ্ধতি থাকতে হবে, যা ব্যবহার করে আক্রমণকারী ব্যবস্থার দুর্বলতার সঙ্গে নিজেকে সংযুক্ত করতে পারবে। এ ক্ষেত্রে আক্রান্তপ্রবণতাকে আক্রমণ পৃষ্ঠ-ও (অ্যাটাক সার্ফেস) বলা হয়।
তথ্য নিরাপত্তা |
---|
একটি ধারাবাহিকের অংশ |
সম্পর্কিত নিরাপত্তা বিভাগ |
|
হুমকি |
|
প্রতিরক্ষা |
|
আক্রান্তপ্রবণতা ব্যবস্থাপনা একটি চক্রাকার প্রক্রিয়া। এ প্রক্রিয়ার মধ্যে রয়েছে আক্রান্তপ্রবণতা নির্ণয় করা, শ্রেণীভুক্ত করা, দূর করা এবং নির্বাপণ করা।[2] এই প্রক্রিয়া সাধারণত কম্পিউটিং সিস্টেমে সফটওয়্যার আক্রান্তপ্রবণতার ক্ষেত্রে প্রযোজ্য।
নিরাপত্তা ঝুঁকিকে ভুল করে আক্রান্তপ্রবণতা হিসাবে শ্রেণীবদ্ধ করা হতে পারে। আক্রান্তপ্রবণতা এবং ঝুঁকি উভয়ের অর্থ কাছাকাছি হওয়ার কারণে দ্বন্দ্বের সৃষ্টি হতে পারে। ঝুঁকি বলতে কোনও কারণে উল্লেখযোগ্য পরিমাণে ক্ষতির সম্ভাবনা থাকাকে বোঝায়। অন্য দিকে কিছু কিছু আক্রান্তপ্রবণাতে ঝুঁকি না-ও থাকতে পারে। যেমন যখন কোনও আক্রান্তপ্রবণ সম্পদের কোন মূল্য থাকে না, সেটি কোনও ঝুঁকি নয়। যখন কোন আক্রান্তপ্রবণতার এক বা একাধিক দৃষ্টান্ত থাকে এবং হামলা সম্পূর্ণরূপে বাস্তবায়ন করা যায়, তাকে সুযোগগ্রহণযোগ্য আক্রান্তপ্রবণতা হিসাবে শ্রেণিবদ্ধ করা হয় — এটি এমন এক ধরনের আক্রান্তপ্রবণতা, যার জন্য একটি সুযোগগ্রহণকারক (এক্সপ্লোয়েট) বিদ্যমান থাকে। একটি আক্রান্তপ্রবণতা আবিষ্কার হওয়া থেকে শুরু করে ঠিক করা পর্যন্ত সময়কালকে আক্রান্তপ্রবণ পর্ব ("উইন্ডো অফ ভালনেরাবিলিটি") বলা হয়।
নিরাপত্তা ত্রুটি (বাগ) একটি সংকীর্ণ ধারণা। এমন কিছু আক্রান্তপ্রবণতা আছে যা সফটওয়্যারের সাথে সম্পর্কিত নয়। হার্ডওয়্যার, ওয়েবসাইট, অথবা কর্মীদের দুর্বলতা এমন কিছু আক্রান্তপ্রবণতার উদাহরণ যা সফটওয়্যার নিরাপত্তা ত্রুটির সাথে সম্পর্কিত নয়।
প্রোগ্রামিং ভাষার যেসব নির্মাণ সহজভাবে ব্যবহার করা কঠিন, সেসব নির্মাণ আক্রান্তপ্রবণতার একটি বড় উৎস হতে পারে।
সংজ্ঞা
আই.এস.ও ২৭০০৫ অনুযায়ী আক্রান্তপ্রবণতা:
- এক বা একাধিক সম্পদের দুর্বলতা, যা এক বা একাধিক ভীতিপ্রদর্শনে ব্যবহারিত হতে পারে।
এক্ষেত্রে, সেই সম্পত্তির মূল্য থাকে একটি নির্দিষ্ট প্রতিষ্ঠানের, তার ব্যবসা সংক্রান্ত কাজে এবং তাদের ধারাবাহিকতায়, এবং তাদের প্রতিষ্ঠানের লক্ষ্যে এগিয়ে যাওয়ার তথ্যের নিকট [3]
আই.ই.টি.এফ আর.এফ.সি ২৮২৮ অনুযায়ী আক্রান্তপ্রবণতা:[4]
- একটি ব্যবস্থার নকশায় ত্রুটি বা দুর্বলতা, বাস্তবায়ন, বা কর্মপরিচালনা এবং ব্যবস্থাপনা, যা ব্যবস্থাটির নিরাপত্তা নীতি লঙ্ঘন করতে কাজে লাগতে পারে
মার্কিন যুক্তরাষ্ট্রের জাতীয় নিরাপত্তা ব্যবস্থা নিয়ে কমিটি ২৬ এপ্রিল ২০১০ তারিখে করা জাতীয় তথ্য নিশ্চিতকরণ শব্দকোষে সিএনএসএস নির্দেশ নং ৪০০৯ অনুযায়ী আক্রান্তপ্রবণতা:[5]
- আক্রান্তপ্রবণতা: — একটি তথ্যব্যবস্থায় দুর্বলতা, ব্যবস্থাটির নিরাপত্তাব্যবস্থা, অভ্যন্তরীণ নিয়ন্ত্রণ, বা বাস্তবায়ন করা যেতে পারে এমন কিছু
অনেক ন্যাশনাল ইনস্টিটিউট অফ স্ট্যান্ডার্ডস অ্যান্ড টেকনোলজির প্রকাশনী তাদের বিভিন্ন প্রকাশনার আইটি প্রতিযোগিতায়: FISMApedia[6] টার্ম[7] একটি তালিকা প্রদান করে। তাদের মধ্যে এসপি ৮০০-৩০,[8] একটি বৃহত্তর দেয়ঃ
- সিস্টেম সিকিউরিটি পদ্ধতি, নকশা, বাস্তবায়ন, বা অভ্যন্তরীণ নিয়ন্ত্রণণে একটি ত্রুটি বা দুর্বলতা যা ইচ্ছাকৃত ভাবে ব্যবহার করে নিরাপত্তা ভঙ্গ বা একটি সিস্টেমের নিরাপত্তা নীতি লঙ্ঘন করা যেতে পারে।
ENISA আক্রান্তপ্রবণতাকে সংজ্ঞায়িত [9] করেঃ
- নকশা, বা বাস্তবায়নে দুর্বলতার অস্তিত্ব একটি অপ্রত্যাশিত ও অনাকাঙ্ক্ষিত ঘটনার [G. 11] জন্ম দিতে পারে, এর সাথে জড়িত হতে পারে কম্পিউটার সিস্টেমের নিরাপত্তা, নেটওয়ার্ক, অ্যাপ্লিকেশন, বা প্রোটোকল। (ITSEC)
ওপেন গ্রুপ আক্রান্তপ্রবণতাকে সংজ্ঞায়িত [10] করেঃ
- একটি সম্ভাব্য হুমকি যা সে হুমকির মোকাবেলা করার ক্ষমতাকে অতিক্রম করে
তথ্য ঝুঁকির উৎপাদক বিশ্লেষণ, (এফএআইআর) আক্রান্তপ্রবণতাকে সংজ্ঞায়িত করেঃ [11]
- একটি সম্পদ যা হুমকিদাতার কার্যক্রম প্রতিহত করতে অক্ষমতার সম্ভাবনা
এফএআইআর অনুযায়ী, আক্রান্তপ্রবণতা শক্তি নিয়ন্ত্রণ করার সাথে সম্পর্কিত, যেমন একটি নির্দিষ্ট বলের বিপক্ষে নিজের নিয়ন্ত্রণের শক্তি যাচাই করা এবং হুমকির ক্ষমতার আন্দাজ করা, অর্থাৎ সম্ভাব্য বলের স্তর জেনে নেয়া যা একজন হুমকিদাতা প্রদান একটি সম্পদের বিরুদ্ধে প্রদান করতে পারে।
ISACA রিস্ক ইট ফ্রেকওয়ার্কে আক্রান্তপ্রবণতাকে নিম্নোক্তভাবে সংজ্ঞায়িত করেঃ
- নকশা, বাস্তবায়ন, পরিচালন বা অভ্যন্তরীণ নিয়ন্ত্রণে একটি দুর্বলতা
উপাত্ত এবং কম্পিউটার নিরাপত্তা: মানের ধারণা এবং পদের অভিধানের (স্টকটন প্রেস - আইএসবিএন 0-935859-17-9, লেখক ডেনিস লংলে এবং মাইকেল শেইন, আক্রান্তপ্রবণতাকে নিম্নোক্ত ভাবে সংজ্ঞায়িত করেনঃ
- ১) কম্পিউটার নিরাপত্তায় স্বয়ংক্রিয় সিস্টেম সিকিউরিটি, পদ্ধতি, প্রশাসনিক নিয়ন্ত্রণ, ইন্টারনেট নিয়ন্ত্রণ, ইত্যাদিতে একটি দুর্বলতা যা কোন হুমকিদাতা অননুমোদিত প্রবেশাধিকার লাভ করার জন্য অথবা সমালোচনামূলক প্রক্রিয়া ব্যাহত করার লক্ষে ব্যবহার করতে পারে। ২) কম্পিউটার নিরাপত্তায় শারীরিক বিন্যাস, সংগঠন, পদ্ধতি, কর্মচারীবৃন্দ, ব্যবস্থাপনা, প্রশাসন, হার্ডওয়্যার বা সফটওয়্যারে দুর্বলতা, যা এডিপি সিস্টেম বা কার্যকলাপে ক্ষতির কারণ হয়ে উঠতে পারে। ৩) কম্পিউটার নিরাপত্তায় সিস্টেমে কোনো দুর্বলতা বা ত্রুটি বিদ্যমান থাকলে, আক্রমণ বা ক্ষতিকারক ঘটনা বা আক্রমণকারী আক্রমণ করার সুযোগ পেয়ে যায়।
ম্যাট বিশপ এবং ডেভ বেইলি [12] কম্পিউটার আক্রান্তপ্রবণতার নিম্নোক্ত ব্যাখ্যা দেনঃ
- একটি কম্পিউটার সিস্টেম গঠিত হয়, যুক্তরাষ্ট্র বর্ণনা, বর্তমান কনফিগারেশন সত্ত্বা আপ যে কম্পিউটার সিস্টেম. সিস্টেম গণনা করে আবেদন মাধ্যমে রাষ্ট্র রূপান্তরের যে অবস্থা পরিবর্তন সিস্টেম. সব মার্কিন যুক্তরাষ্ট্র পৌঁছানো থেকে দেওয়া একটি প্রাথমিক অবস্থায় একটি সেট ব্যবহার করে, রাষ্ট্র রূপান্তরের মধ্যে পড়ে ক্লাস এর অনুমোদিত বা অননুমোদিত দ্বারা সংজ্ঞায়িত হিসাবে একটি নিরাপত্তা নীতি. এই কাগজ, সংজ্ঞা, এই শ্রেণীর ও স্থানান্তর বিবেচনা করা হয় সর্বজনবিদিত. একটি অরক্ষিত অবস্থায় একটি অনুমোদিত রাষ্ট্র, যা থেকে একটি অননুমোদিত অবস্থায় পৌঁছে যাবে ব্যবহার অনুমোদিত রাষ্ট্র রূপান্তরের. একটি সংকটাপন্ন অবস্থায় রাষ্ট্র, তাই পৌঁছেছেন. একটি আক্রমণ একটি ক্রম অনুমোদিত রাষ্ট্র রূপান্তরের, যা শেষ পর্যন্ত একটি সংকটাপন্ন অবস্থায়. সংজ্ঞা দ্বারা, একটি আক্রমণ শুরু হয় একটি ঝুঁকিপূর্ণ রাষ্ট্র. দুর্বলতার একটি চরিত্রায়ন একটি নাজুক অবস্থা যা থেকে এটি আলাদা, সব অ-প্রবন যুক্তরাষ্ট্র. যদি জেনেরিক, দুর্বলতা হতে পারে প্রভেদ অনেক ঝুঁকিপূর্ণ যুক্তরাষ্ট্র; যদি নির্দিষ্ট, এটা হতে পারে প্রভেদ শুধুমাত্র এক...
জাতীয় তথ্য নিশ্চিত প্রশিক্ষণ ও শিক্ষা কেন্দ্র আক্রান্তপ্রবণতাকে সংজ্ঞায়িত করে: [13][14]
আক্রান্তপ্রবণতা ও ঝুঁকি উৎপাদক প্রতিমানসমূহ
একটি সম্পদে (বাস্তবিক অথবা ধারণা) এক বা তার অধিক আক্রান্তপ্রবণতা থাকতে পারে যা একজন হুমকিদাতা তার হুমকি কার্যকর করার সময় কাজে লাগাতে পারবে।
সামগ্রিক ছবি প্রতিনিধিত্ব করে ঝুঁকির পরিস্থিতি এবং ঝুঁকির বিষয়গুলির। [15]
সাইট
আক্রান্তপ্রবণতা তাদের সম্পদের শ্রেণি অনুযায়ী শ্রেণীবদ্ধ করা হয়, যা সম্পর্কিতঃ [16]
- হার্ডওয়্যার
- আর্দ্রতার সংবেদনশীলতা
- ধুলোর সংবেদনশীলতা
- ময়লার সংবেদনশীলতা
- অরক্ষিত স্টোরেজের সংবেদনশীলতা
- সফ্টওয়্যার
- অপর্যাপ্ত টেস্টিং
- নিরীক্ষা পথের অভাব
- নেটওয়ার্ক
- অরক্ষিত যোগাযোগ লাইন
- অনিরাপদ নেটওয়ার্ক স্থাপত্য
- কর্মীদের
- অপর্যাপ্ত নিয়োগের প্রক্রিয়া
- অপর্যাপ্ত নিরাপত্তা সচেতনতা
- শারীরিক সাইট
- এলাকা সাপেক্ষে বন্যা
- অবিশ্বস্ত ক্ষমতার উৎস
- সাংগঠনিক
- নিয়মিত অডিটের অভাব
- ধারাবাহিক পরিকল্পনার অভাব
- নিরাপত্তার অভাবে
কারণসমূহ
- জটিলতা: বৃহৎ, জটিল সিস্টেম ত্রুটি এবং অনিচ্ছাকৃত প্রবেশের সম্ভাবনা বৃদ্ধি করে।
- ঘনিষ্ঠতা: সাধারন, সুপরিচিত কোড, সফটওয়্যার, অপারেটিং সিস্টেম, এবং/অথবা হার্ডওয়্যার; আক্রমণ কারীকে ব্যবহারকারী সম্পর্কে দুর্বলতা কাজে লাগানোর জন্য প্রয়োজনীয় জ্ঞান এবং সরঞ্জাম প্রদান করে থাকে। [17]
- সংযুক্ততা: অতিরিক্ত শারীরিক সংযোগ, সুবিধা, পোর্ট, প্রোটোকল এবং পরিষেবা এবং এ সকল প্রবেশের সময়কাল আক্রান্তপ্রবণতার পরিমাণ বাড়িয়ে দিতে পারে।
- পাসওয়ার্ড ব্যবস্থাপনা সংক্রান্ত ত্রুটিগুলি: কম্পিউটার দুর্বল পাসওয়ার্ড ব্যবহার করে, যা ব্রুট ফোর্স আক্রমণের মাধ্যমে নির্ণয় করা যায়। [18] কম্পিউটার ব্যবহারকারী কম্পিউটারের এমন স্থানে পাসওয়ার্ড সংরক্ষন করেন, যেখানে অন্য কোন প্রোগ্রাম প্রবেশ করতে পারে। ব্যবহারকারী একই পাসওয়ার্ড অনেক প্রোগ্রাম এবং ওয়েবসাইটে ব্যবহার করেন। [19]
গবেষণায় দেখা গেছে যে বেশিরভাগ তথ্যব্যবস্থায় সবচেয়ে ঝুঁকিপূর্ণ বিন্দুগুলি হচ্ছে ব্যবহারকারী (মানুষ), পরিচালক, নকশাবিদ, বা অন্যান্য ব্যক্তি।[20] তাই মানুষকে বিভিন্ন ভূমিকায় চিন্তা করা যেতে পারে; সম্পদ, হুমকিদাতা অথবা তথ্য সম্পদ হিসাবে. সামাজিক প্রকৌশল একটি ক্রমবর্ধমান নিরাপত্তা উদ্বেগ.
তথ্য নিরাপত্তার একটি প্রধান ধারণা গভীরতার মধ্যে প্রতিরক্ষা নীতির একটি মূল বিষয়ের সাথে মিলে জায়ঃ কয়েক স্তরের প্রতিরক্ষা সিস্টেম সেটআপ করা জাঃ
- সে কাজে লাগানোকে প্রতিরোধ করতে পারবে
- শনাক্ত এবং আক্রমণের পথিমধ্যে রোধ করতে পারবে
- হুমকিদাতাদের খুঁজে বের করা এবং তাদের বিরুদ্ধে আইনি ব্যবস্থা নেয়া
আক্রমণ শনাক্ত করতে যেসব শ্রেণীর সিস্টেম ব্যবহার করা হয়, অনুপ্রবেশের শনাক্তকরণ সিস্টেম তাদের মধ্যে একটি উদাহরণ।
আক্রান্তপ্রবণতা প্রকাশের তারিখ
একটি আক্রান্তপ্রবণতা প্রকাশের সময় বিভিন্ন সুরক্ষা গোষ্ঠী এবং ইন্ডাস্ট্রিতে ভিন্ন ভাবে সংজ্ঞায়িত করা হয়। তবে সবচেয়ে বেশি অভিহিত করা হয় 'এক ধরনের নিরাপত্তা তথ্য প্রকাশ যা নির্দিষ্ট দল দ্বারা প্রকাশিত হয়েছে' বলে। সাধারণত আক্রান্তপ্রবণতা তথ্যগুলি প্রকাশ করা হয় কোন নির্দিষ্ট মেইলিং তালিকায় অথবা কোন নিরাপত্তা ওয়েব সাইটে প্রকাশ করা হয় এবং নিরাপত্তাজনিত অ্যাডভাইসরি'র পরে ফলাফল প্রকাশ করা হয়।
প্রকাশের সময়ই হলো প্রথম তারিখ যখন একটি নিরাপত্তাজনিত আক্রান্তপ্রবণতা কোন একটি যোগাযোগ মাধ্যমে বা গণমাধ্যমে পরিপূর্ণ তথ্যসহ বর্ণনা করা হয়। এক্ষেত্রে নিম্নের শর্ত গুলো মেনে চলতে হয়ঃ
- তথ্য অবাধে জনসাধারণের জন্য উপলব্ধ হওয়া
- দুর্বলতার তথ্য একটি বিশ্বস্ত এবং স্বাধীন চ্যানেল / উৎস দ্বারা প্রকাশিত হওয়া
- দক্ষ বিশ্লেষকদের মাধ্যমে পর্যালোচনা করে আক্রান্তপ্রবণতার ঝুঁকির পরিমাণও প্রকাশ করা
আক্রান্তপ্রবণতার উদাহরণ
আক্রান্তপ্রবণতাকে নিচের বিষয়গুলির সাথে সম্পর্কিত করা যায়ঃ
- সিস্টেমের একটি প্রকৃত পরিবেশ
- কর্মচারীরা
- ব্যবস্থাপনা
- প্রতিষ্ঠানের মধ্যে প্রশাসন পদ্ধতি এবং নিরাপত্তা ব্যবস্থা
- ব্যবসায়িক অপারেশন এবং সেবা বিতরণ
- হার্ডওয়্যার
- সফ্টওয়্যার
- যোগাযোগে সরঞ্জাম ও সুবিধা
- এবং তাদের সমন্বয়.
এটা স্পষ্ট যে, একটি বিশুদ্ধ প্রযুক্তিগত প্রচেষ্টাও শারীরিকভাবে সম্পদ রক্ষা করতে পারবে নাঃ একজনের উচিত রক্ষণাবেক্ষণের জন্য এবং পর্যাপ্ত জ্ঞান সমৃদ্ধ কর্মিবৃন্দের সুবিধায় প্রবেশের ক্ষেত্রে প্রশাসনিক পদ্ধতি ব্যবহার করা। এবং সঠিক যত্নের সঙ্গে এটি অনুসরণ করতে অনুপ্রাণিত করা। দেখুনঃ সামাজিক প্রকৌশল (নিরাপত্তা)
আক্রান্তপ্রবণতা কাজে লাগানোর চারটি উদাহরণ:
- একজন আক্রমণকারী একটি উপচে পড়া দুর্বলতা খুঁজে বের করে এবং তা ব্যবহার করে সেখানে একটি ম্যালওয়্যার ইন্সটল করে। সে ম্যালওয়্যার ব্যবহার করে তার সংবেদনশীল তথ্য সে পেতে পারে;
- একজন আক্রমণকারী একটি ম্যালওয়্যার সংযুক্ত ইমেইল বার্তা খোলার জন্য ব্যবহারকারীকে বুঝাতে সক্ষম হয় ;
- একজন আক্রমণকারী একটি বিশেষ ভাবে তৈরি করা প্রোগ্রাম একটি থাম্ব ড্রাইভে নিয়ে তা তার কাঙ্ক্ষিত স্থানে আক্রমণ করে;
- এক ধরনের বিশেষ বন্যা কারো কম্পিউটার সিস্টেমকে ক্ষতিগ্রস্ত করে।
সফটওয়্যার আক্রান্তপ্রবণতা
সাধারণ ধরনের সফটওয়্যার সংক্রান্ত নিন্ম আক্রান্তপ্রবণতাগুলিতে রূপান্তরিত হতে পারে:
- মেমরি নিরাপত্তা লঙ্ঘন, যেমন:
- বাফার ওভারফ্লো এবং ওভার রিড
- ঝুলন্ত পয়েন্টার
- ইনপুট ভ্যালিডেশন ত্রুটি, যেমন:
- রেস শর্ত, যেমন:
- ব্যবহারের সময়-থেকে-সময়-এর পরীক্ষা বাগ
- সিমলিংক রেস
- বিশেষ সুযোগ-বিভ্রান্তি বাগ, যেমন:
- ওয়েব অ্যাপ্লিকেশনে ক্রস সাইট অনুরোধ জালিয়াতি
- ক্লিকজ্যাকিং
- FTP বাউন্স আক্রমণ
- বিশেষাধিকার উদ্দীপন
- ইউজার ইন্টারফেস ব্যর্থতা, যেমন:
কিছু কোডিং নির্দেশিকা উন্নত করা হয়েছে, এবং এই কোড নির্দেশিকা অনুসরন করে কিনা তা যাচাই করার জন্য অনেক স্ট্যাটিক কোড অ্যানালাইজার ব্যবহার করা হয়েছে।
আরও দেখুন
- ব্রাউজার নিরাপত্তা
- কম্পিউটার জরুরী ব্যবস্থা প্রত্যুত্তর দল
- তথ্য নিরাপত্তা
- ইন্টারনেট নিরাপত্তা
- মোবাইল নিরাপত্তা
- আক্রান্তপ্রবণতা অনুপুঙ্খ পরীক্ষক (স্ক্যানার)
তথ্যসূত্র
- "The Three Tenets of Cyber Security"। U.S. Air Force Software Protection Initiative। ২০০৯-০৬-০৫ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২০০৯-১২-১৫।
- Foreman, P: Vulnerability Management, page 1.
- British Standard Institute, Information technology -- Security techniques -- Management of information and communications technology security -- Part 1: Concepts and models for information and communications technology security management BS ISO/IEC 13335-1-2004
- Internet Engineering Task Force RFC 2828 Internet Security Glossary
- CNSS Instruction No. 4009 ওয়েব্যাক মেশিনে আর্কাইভকৃত ২৭ ফেব্রুয়ারি ২০১২ তারিখে dated 26 April 2010
- "FISMApedia"। fismapedia.org।
- "Term:Vulnerability"। fismapedia.org।
- NIST SP 800-30 Risk Management Guide for Information Technology Systems
- "Glossary"। europa.eu। ২৯ ফেব্রুয়ারি ২০১২ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ৯ ফেব্রুয়ারি ২০১৭।
- Technical Standard Risk Taxonomy ISBN 1-931624-77-1 Document Number: C081 Published by The Open Group, January 2009.
- "An Introduction to Factor Analysis of Information Risk (FAIR)", Risk Management Insight LLC, November 2006 ওয়েব্যাক মেশিনে আর্কাইভকৃত ১৮ নভেম্বর ২০১৪ তারিখে;
- Matt Bishop and Dave Bailey.
- Schou, Corey (1996).
- NIATEC Glossary
- "ISACA THE RISK IT FRAMEWORK (registration required)" (পিডিএফ)। ৫ জুলাই ২০১০ তারিখে মূল (পিডিএফ) থেকে আর্কাইভ করা। সংগ্রহের তারিখ ৯ ফেব্রুয়ারি ২০১৭।
- ISO/IEC, "Information technology -- Security techniques-Information security risk management" ISO/IEC FIDIS 27005:2008
- Krsul, Ivan (এপ্রিল ১৫, ১৯৯৭)। "Technical Report CSD-TR-97-026"। The COAST Laboratory Department of Computer Sciences, Purdue University। সাইট সিয়ারX 10.1.1.26.5435 ।
- Pauli, Darren (১৬ জানুয়ারি ২০১৭)। "Just give up: 123456 is still the world's most popular password"। The Register। সংগ্রহের তারিখ ২০১৭-০১-১৭।
- Kakareka, Almantas (২০০৯)। "23"। Vacca, John। Computer and Information Security Handbook। Morgan Kaufmann Publications। Elsevier Inc। পৃষ্ঠা 393। আইএসবিএন 978-0-12-374354-1।
- Kiountouzis, E. A.; Kokolakis, S. A.। Information systems security: facing the information society of the 21st century। London: Chapman & Hall, Ltd। আইএসবিএন 0-412-78120-4।
- "Warning Fatigue"। freedom-to-tinker.com।
- "সংরক্ষণাগারভুক্ত অনুলিপি"। ২১ অক্টোবর ২০০৭ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ১০ ফেব্রুয়ারি ২০১৭।
- "Jesse Ruderman » Race conditions in security dialogs"। squarefree.com।