جزوه رنگی و تایپ شده امنیت نرم افزار
کارشناسی ارشد کاردانی برای آزمون استخدامی دانشگاه علمی کاربردی دانشگاه آزاد پیام نور یاسر حسنپور استاد دکتر نوری مهر
؟ «». : :
()
()
/() ()
/:
: : : : 
: : ؟
() :
• • •
[1]
[2] از آسیب پذیری های احتمالی برای سازمان مربوطه ایجاد می شود تا قبل از بروز یک تهدید واقعی، آنها را برطرف کند. [3] مدلسازی تهدید، جنبه وسیعی از فضای سایبری، از جمله دستگاهها، برنامهها، سیستمها، شبکهها یا شرکتها را پوشش میدهد. مدلسازی تهدید سایبری میتواند سازمانها را با تلاشهای مربوط به امنیت سایبری به جزوه امنیت نرم افزار زیر آگاه کند: [4]
خلاصه pdf امنیت نرم افزار
نمایه سازی برنامه های فعلی امنیت سایبری
ملاحظاتی برای پیاده سازی های امنیتی آینده
تنظیم دسترسی
هدف از این نوع سیستم ها معمولاً محدود کردن دسترسی به رایانه ها یا داده ها و در عین حال امکان تعامل است. اغلب این شامل نظارت یا بررسی اعتبار، جداسازی سیستم ها از دسترسی و دید بر اساس اهمیت، و قرنطینه یا جداسازی خطرات درک شده است. یک مقایسه فیزیکی اغلب با یک سپر انجام می شود. نوعی حفاظت که استفاده از آن به شدت به ترجیحات صاحبان سیستم و تهدیدات درک شده وابسته است. ممکن است به تعداد زیادی از کاربران اجازه دسترسی نسبتاً سطح پایین با بررسیهای امنیتی محدود داده شود، اما مخالفت قابل توجهی نسبت به کاربرانی که تلاش میکنند به سمت مناطق بحرانی حرکت کنند اعمال میشود.
کنترل دسترسی
دیواره آتش
امنیت نرم افزاریکی از نگرانی های اصلی است که برای ساختن سیستم های نرم افزاری قابل اعتماد مورد نیاز است. در دهه های گذشته، ما شاهد افزایش علاقه به حوزه تحقیقاتی تست امنیت بوده ایم. چندین محقق این موضوع را با ارائه راهحلهای جدید از نظر مدلسازی امنیتی، توسعه ویژگیهای امنیتی، و مشخصات و پیادهسازی مکانیسمهای امنیتی که باید در سیستمهای نرمافزاری تعبیه شوند، مورد بررسی قرار دادهاند. به موازات ظهور نگرانی های امنیتی، تست امنیتی نیز علاقه قابل توجهی به دست آورده است زیرا باید به طور همزمان برای سخت شدن امنیت نرم افزار توسعه یابد. در واقع، تضمین اینکه مکانیسم های امنیتی موجود به درستی اجرا می شوند، بسیار مهم است.
کنترل دسترسی یکی از مهمترین و حیاتی ترین مکانیسم های امنیتی است. این تضمین می کند که فقط کاربران واجد شرایط می توانند به منابع محافظت شده در یک سیستم معین دسترسی داشته باشند. این فصل کتاب چشم انداز تست جزوه امنیت نرم افزار دسترسی را بررسی می کند و پیشرفت در رویکردهای تست کنترل دسترسی را نشان می دهد.
ما با ارائه پیشرفتهای اخیر در آزمایش کنترل دسترسی با بررسی مشارکتهای اخیر در این حوزه تحقیقاتی شروع میکنیم. ما مشارکتهای پژوهشی را بر اساس نحوه تناسب آنها در یک فرآیند تحقیق ارائه میکنیم. به طور خلاصه، فرآیند آزمایش کنترل دسترسی اجرا شده در یک سیستم یا برنامه معین از مراحل مختلف مشخص شده در شکل 1 پیروی می کند . اولین و مهمترین مرحله با هدف ایجاد مجموعه ای از موارد آزمایشی است که باید روی سیستم مورد آزمایش اعمال شوند.
رنامه های کاربردی دنیای واقعی، تعداد زیادی از موارد آزمایشی تولید می شود. به دلیل محدودیت بودجه، زمان و منابع، آزمایشکنندگان باید آزمونهایی را انتخاب کنند که باید از بین تمام تستهای تولید شده اجرا شوند. زیرمجموعه موارد آزمایشی که باید اجرا شوند بر اساس معیارهای مرتبط با کسب و کار با توجه به بودجه موجود، منابع محاسباتی و زمان تخصیص یافته به آزمایش تعریف میشوند. معمولاً دو گزینه وجود دارد، یا انتخاب تعداد ثابتی از آزمونها یا سفارش ( اولویتبندی ) آزمونها. هنگام اولویت بندیتستها، تستهایی که دارای بالاترین اولویت هستند، ابتدا اجرا میشوند تا منابعی که برای تست در دسترس هستند مانند زمان یا بودجه مصرف شود. در نهایت، زمانی که
▪
▪
هایی که کاربران را ملزم میکند قبل از نصب هر نرمافزاری روی دستگاههایشان مجوز بگیرند
▪
خطمشیهایی که کاربران را از اجازه دادن به دیگران برای استفاده از رایانه پس از ورود به سیستم منع میکند
البته در بسیاری از موارد، سیاست ها از طریق نرم افزار یا سخت افزار اعمال خواهند شد. به عنوان مثال، خط مشی ای که کاربران را از خاموش کردن رایانه منع می کند، می تواند توسط یک تنظیم Group Policy در شیء سیاست امنیتی محلی اعمال شود. سیاستی که کاربران را ملزم به تغییر گذرواژههای خود هر 30 روز یکبار میکند، میتواند با تنظیم گذرواژهها برای منقضی شدن پس از آن دوره زمانی اعمال شود.
راه حل های سخت افزاری
راهحلهای امنیتی مبتنی بر سختافزار شامل افزودن برخی دستگاههای فیزیکی مانند فایروال اختصاصی برای محافظت از شبکه، یا کارتخوان هوشمند برای احراز هویت ورود هستند . حذف فلاپی و درایوهای سی دی از رایانه های رومیزی برای جلوگیری از کپی غیرمجاز فایل ها به رسانه های قابل جابجایی یا معرفی ویروس ها نیز یک راه حل مبتنی بر سخت افزار است. سایر تجهیزات سخت افزاری امنیتی عبارتند از:
▪
دستگاه های ضبط ضربه کلید برای نظارت بر استفاده از رایانه
▪
توکن های سخت افزاری برای ذخیره کلیدهای امنیتی
▪
دستگاه های سخت افزاری رمزنگاری برای بارگذاری پردازش عملیات رمزنگاری
▪
دستگاه های احراز هویت بیومتریک مانند اسکنر اثر انگشت یا شبکیه چشم
راهحلهای سختافزاری ممکن است پرهزینهتر از راهحلهای نرمافزاری باشند، اما چندین مزیت را ارائه میکنند. امنیت سختافزار معمولاً امنتر است زیرا اطلاعات امنیتی مانند کلیدهای خصوصی کمتر در معرض دید قرار میگیرند و دستکاری سختافزار جزوه امنیت نرم افزار به نرمافزار دشوارتر است. راه حل های سخت افزاری نیز //() : “” (-) “”
فهرست مطالب