جزوه تایپ شده تجزیه و تحلیل و طراحی سیستم
علمی کاربردی شمس السادات زاهدی دکتر علی امدئیان آلن دنیس علیامد مقدسی پیام نور دانشگاه علمی کاربردی آزاد کارشناسی
: ؟ ً ؟ ؟ ؟ ؟ً ؟ ؟ : ؟ ؟ ؟ ؟ ؟ ؟ -؟
؛ (ً )، 
-()، (+) :
: : : : : : ؛ : : ً () : نباید به طور پیش فرض فعال شود. اندازه گیری 80 درصد استفاده در یک محصول، اغلب دشوار است؛ زیرا برنامه ها برای افراد مختلف طراحی شده اند.باید توجه کنیم که آیا یک ویژگی، فیلمنامه کاربری اصلی/اولیه را برای همه پرسونا مطرح می کند. در صورت وجود، طراحی سیستم اوقات این ویژگی به عنوان ویژگی P1 شناخته می شود.
امن در استقرار
راهنمای استقرار: دستورالعمل های راهنمای استقرار، نحوه استقرار ایمن هر ویژگی از برنامه را، از جمله ارائه اطلاعاتی به کاربران که آن ها را قادر می سازد تا خطر امنیتی فعال سازی گزینه های پیش فرض (و در نتیجه افزایش سطح حمله) را ارزیابی کنند، مطرح می کند.
ابزارهای تجزیه و تحلیل و مدیریت: ابزارهای تجزیه و تحلیل جزوه تجزیه و تحلیل و طراحی سیستم و مدیریت، مدیران را قادر می سازد تا سطح امنیتی مطلوب را برای انتشار نرم افزار تعیین و پیکربندی کنند.
ابزارهای استقرار پچ (لک): ابزارهای استقرار به استقرار پچ کمک می کند.
ارتباطات
پاسخ امنیتی: تیم های توسعه، سریعاً به گزارش آسیب پذیری های امنیتی پاسخ می دهند و اطلاعات مربوط به به روزرسانی های امنیتی را ارسال می کنند.
مشارکت جوامع: تیم های توسعه دهنده، به صورت فعالانه با کاربران در ارتباط هستند تا به سؤالات مربوط به آسیب پذیری های امنیتی، به روزرسانی های امنیتی یا تغییرات در دیدگاه امنیتی پاسخ دهند.
تصویر 1-18
مدل فرآیند توسعه نرم افزار امن شبیه به آن چیزی () –() ً ً : ؛ : () ، () (). 
–()
؛ طریق موارد سوء استفاده یا مدل سازی تهدید؛ تدوین استراتژی های کاهش؛ و طبقه بندی و اولویت بندی الزامات امنیتی داوطلب را انجام دهید. مدل فرآیند SQUARE استخراج، طبقه بندی و اولویت بندی الزامات امنیتی برای سیستم های فشرده نرم افزاری را فراهم می کند. این مدل، برایجاد مفاهیم امنیتی در مراحل اولیه چرخه عمر توسعه تمرکز می کند. این فرایند در جدول 18.1 نشان داده شده است ، و سپس توضیحات مختصری از هر مرحله ارائه شده است.
2-4-18 فرایند SQUARE
فرایند SQUARE به بهترین وجه توسط مهندسان طراحی سیستم پروژه و کارشناسان امنیتی با مدیریت اجرایی حمایتی و سهامداران اعمال می شود. بیایید نگاهی به مراحل بیندازیم.
مرحله 1: توافق بر سر تعاریف. به منظور ایجاد سردرگمی معنایی، این مرحله به عنوان پیش نیاز مهندسی الزامات امنیتی مورد نیاز است. در یک پروژه مشخص، اعضای تیم، بر اساس تجربیات قبلی خود، تمایل دارند تعاریفی را در نظر داشته باشند، اما این تعاریف اغلب با یکدیگر متفاوت هستند. منابعی مانند موسسه مهندسان برق و الکترونیک (IEEE) و دانش مهندسی نرم افزار (SWEBOK)، مجموعه ای از تعاریف را جهت انتخاب یا اصلاح ارائه می دهند.
مرحله 2: دارایی ها و اهداف امنیتی را مشخص کنید. این مرحله در سطح سازمانی پروژه اتفاق می افتد و برای پشتیبانی از توسعه نرم افزار، مورد نیاز است. به عنوان مثال، ممکن است یک سهامدار در منابع انسانی، نگران حفظ محرمانه بودن سوابق پرسنل باشد، در حالی که یک سهامدار در یک منطقه تحقیقاتی می تواند در مورد اطمینان از دسترسی، تغییر یا سرقت اطلاعات پروژه تحقیقاتی نگران باشد.
مرحله 3: تولید مصنوعات.این جزوه تجزیه و تحلیل و طراحی سیستم ه برای پشتیبانی از کلیه فعالیت های مهندسی مورد نیاز در زمینه امنیت، لازم است. اغلب اوقات، سازمان ها اسناد کلیدی مورد نیاز برای پشتیبانی از تعریف الزامات را ندارند، یا ممکن است این اسناد، به روز نباشند. یعنی ممکن است زمان زیادی صرف عقب نشینی برای تلاش جهت به دست آوردن اسناد شود، یا تیم باید قبل از ادامه کار آن ها را به روز کند.
مرحله 4: ارزیابی خطرات احتمالی. این مرحله مستلزم یک متخصص در روش های ارزیابی خطرات احتمالی، حمایت سهامداران و پشتیبانی یک مهندس الزامات امنیتی است. روش های متعددی برای ارزیابی خطرات احتمالی وجود دارد، اما صرف جزوه طراحی معماری و شهرسازی از روشی که انتخاب می کنید، نتایج ارزیابی این خطرات، می تواند در شناسایی مخاطرات امنیتی با اولویت بالا کمک کند.
مرحله 5: روش استخراج را انتخاب کنید. این مرحله زمانی اهمیت پیدا می کند که سهامداران متعددی وجود داشته باشد. در صورت وجود سهامداران با زمینه های فرهنگی متفاوت، یک تکنیک استخراج رسمی تر، مانند روش الزامات شتابدهنده، طراحی برنامه مشترک، یا مصاحبه های ساختار یافته، می تواند در غلبه بر مسائل ارتباطی مؤثر باشد. در موارد دیگر، استخراج ممکن است به ملاقات با یک سهامدار اصلی برای درک الزامات امنیتی سهامداران، انجام شود.
مرحله 6: الزامات امنیتی را کشف و استخراج کنید. این مرحله شامل فرایند استخراج واقعی با طراحی سیستم از تکنیک انتخاب شده است. اکثر تکنیک های استخراج، راهنمایی های مفصلی در مورد نحوه کشف الزامات ارائه می دهند که اساس این راهنمایی ها، مصنوعاتی است که در مراحل اولیه ایجاد شده است.
تصویر 1-18
مرحه 7: الزامات را طبقه بندی کنید. این مرحله به مهندس الزامات امنیتی اجازه می دهد تا بین الزامات اساسی، اهداف (الزامات مورد نظر) و محدودیت های معماری که ممکن است وجود داشته باشد، تمایز قائل شود. این طبقه بندی همچنین به اولویت بندی فعالیت جزوه تجزیه و تحلیل و طراحی سیستم بعدی نیز کمک می کند.
مرحله 8. الزامات را اولویت بندی کنید. این مرحله به مرحله قبل بستگی دارد و همچنین ؛ ً -() ()، دید توسعه دهندگان، غیر ممکن هستند؛ اما در واقع حمله کنندگان می توانند باعث وقوع آن شوند. در اینجا چند سوال جزوه تجزیه و تحلیل و طراحی سیستم دارد که باید مورد توجه قرار گیرد: چگونه سیستم می تواند بین داده های ورودی معتبر و نامعتبر تمایز قائل شود؟ آیا می تواند تشخیص دهد که یک درخواست، از یک برنامه قانونی آمده است یا یک برنامه غیرقانونی؟ آیا یک عضو داخلی می تواند باعث خرابی سیستم شود؟ تلاش برای پاسخ به چنین سؤالاتی به توسعه دهندگان کمک می کنند تا مفروضات خود را تجزیه و تحلیل کنند و به آن ها امکان می دهد تا مشکلات را از قبل برطرف کنند. موارد سوء استفاده می توانند به شکل جدول یا نمودار باشند. شکل 18.3 نمونه ای از سوء استفاده را به تصویر کشیده است که نشان می دهد چگونه بدافزار DroidCleaner، می تواند با استفاده از یک برنامه ایمیل منبع باز به نام K-9، با موفقیت به تلفن همراه حمله کند. این موضوع، از یک گزارش بسیار بزرگتر استخراج شده است که اگر بخواهید، می توانید آن را مطالعه کنید. در این مورد سوء استفاده، کاربر ایمیل را در قسمت ذخیره سازی خارجی تلفن نگه می دارد. مهاجم با به خطر انداختن سیستم عامل، به فضای ذخیره سازی گوشی دسترسی پیدا می کند. یک راه متداول برای دسترسی مهاجم به تلفن، فریب کاربر برای نصب یک تروجان است، که کاربر در فرآیند نصب به طور ناخواسته به درایو، اجازه می دهد. سپس مهاجم می تواند از تروجان برای بارگیری فایل ها، از جمله فایل محتویات ایمیل استفاده کند. الگوهای حمله، می جزوه تجزیه و تحلیل و طراحی سیستم با ارائه نقشه ای برای ایجاد حمله، کمک کنند. به عنوان مثال، سرریز بافر یکی از انواع بهره برداری امنیتی است. مهاجمانی که از سرریز بافر استفاده می کنند، از () ؛
فهرست مطالب