توضیحات
رویکردی جهت عملیاتی نمودن امنیت در تولید سیستمهای نرم افزاری
امروزه با توجه به پیشرفتهایی که در زمینه فناوری اطلاعات وجود دارد، نرم افزارها یکی از بخش های عمومی در هر یک از سازمانها می باشد. نرم
افزارها دارای ابعاد مختلفی مانند، کیفیت، کمیت، قابلیت اطمینان و غیره می باشد که هر کدام از اینها به نوبه خود دارای اهمیت فراوانی هستند.
یکی از ابعاد دیگر نرم افزار امنیت هست و بخاطر اینکه نرم افزارها به همه داده هایی که در سازمانها وجود دارد، دسترسی دارند، و محافظت از داده ها دارای اهمیت فراوانی است، بحث امنیت در نرم افزار نیز از جایگاه خاصی برخوردار است.
در زمینه امنیت برای نرم افزار و اطلاعات، مدل و استانداردهای مختلفی وجود دارد مانند ISO/IEC27002، SSE-CMM و TSP-Security.
یکی دیگر از مدل ای که در زمینه امنیت نرم افزار مورد استفاده قرار می¬گیرد و در کارهایی که مورد استفاده قرار گرفته
رویکردی جهت عملیاتی نمودن امنیت در تولید سیستمهای نرم افزاری
، نتایج بهتری نسبت به مدل و استانداردهای دیگر تولید کرده، “فرآیندی برای امنیت محصولات نرم¬افزاری(PSSS)” است.
۵ فاز توسعه نرم افزار عبارتند از : فاز شناسایی، طراحی و توسعه، اجرا و ارزیابی، عملیات و نگهداری و بازنشستگی
در این پایان نامه سعی ما بر این است تا با مبنا قرار دادن PSSS و استفاده از کارهای سایر مدل و استانداردهای امنیت نرم¬افزار، هریک از کارهایی که
باید در هر کدام از فازهای توسعه نرم افزار انجام داد را نگاشت می دهیم تا در کنار کارهایی که برای توسعه نرم افزار است، امنیت نیز به عنوان بخشی
از توسعه نرم افزار در نظر گرفته شود تا کارها به صورت ایمن وارد فاز بعدی شود و به این ترتیب، در زمان توسعه امنیت را در نرم افزار بالا ببریم.
۱۶۰صفحه فایل ورد (Word) فونت ۱۴ منابع دارد +شکل و تصاویر
پس از پرداخت آنلاین میتوانید فایل کامل این پروژه را دانلود کنید
فهرست مطالب
فصل اول: کلیات
۱٫۱٫ مقدمه ۱۷
۱٫۲٫ شرح مسئله ۱۸
۱٫۳٫ انگیزه های پژوهش ۲۱
۱٫۴٫ اهداف پژوهش ۲۱
۱٫۵٫ ساختار پایان نامه ۲۱
فصل دوم: لزوم داشتن امنیت و فازهای نرمافزاری و فازهای نرم افزاری
۲٫۱٫ مقدمه ۲۵
۲٫۲٫ فضای سایبر ۲۶
۲٫۳٫ سیاست های به اشتراک گذاری فضای سایبر ۲۸
۲٫۴٫ سیاست های امن کردن محیط سایبر ۲۹
۲٫۵٫ مفهوم امنیت ۳۰
۲٫۶٫ تعریف امنیت ۳۳
۲٫۷٫ امنیت اطلاعات ۳۵
۲٫۸٫ بندهای سه گانه امنیت ۳۶
۲٫۸٫۱٫ محرمانگی ۳۶
رمزگذاری ۳۷
احراز هویت با چند فاکتور ۳۷
۲٫۸٫۲٫ یکپارچگی ۳۷
امضاء دیجیتال ۳۸
محدودکردن دسترسی بر اساس نقش ۳۸
حسابرسی ۳۸
۲٫۸٫۳٫ در دسترس بودن ۳۹
دیوار آتش ۴۰
بازرسی ۴۰
۲٫۹٫ فازهای نرم افزار ۴۰
۲٫۹٫۱٫ فاز اول از توسعه نرم افزار، فاز شناسایی ۴۱
۲٫۹٫۱٫۱٫ موضوعات / اهداف ۴۳
۲٫۹٫۱٫۲٫افراد تاثیرگذار ۴۳
۲٫۹٫۱٫۳٫کارهایی که در این فاز باید انجام گیرد ۴۴
۲٫۹٫۲٫ فاز دوم از توسعه نرم افزار، فاز طراحی و توسعه ۴۵
۲٫۹٫۲٫۱٫ موضوعات / اهداف ۴۶
۲٫۹٫۲٫۲٫ افراد تاثیرگذار ۴۶
۲٫۹٫۲٫۳٫ کارهایی که در این فاز باید انجام گیرد ۴۶
۲٫۹٫۳٫ فاز سوم از توسعه نرم افزار، فازاجرا و ارزیابی ۴۸
۲٫۹٫۳٫۱٫ موضوعات / اهداف ۴۸
۲٫۹٫۳٫۲٫ افراد تاثیرگذار ۴۹
۲٫۹٫۳٫۳٫ کارهایی که در این فاز باید انجام گیرد ۴۹
۲٫۹٫۴٫ فاز چهارم از توسعه نرم افزار، فاز عملیات و نگه داری ۵۰
۲٫۹٫۴٫۱٫ موضوعات / اهداف ۵۱
۲٫۹٫۴٫۲٫ افراد تاثیرگذار ۵۱
۲٫۹٫۴٫۳٫ کارهایی که در این فاز باید انجام گیرد ۵۱
رویکردی جهت عملیاتی نمودن امنیت در تولید سیستمهای نرم افزاری
۲٫۹٫۵٫ فاز پنجم از توسعه نرم افزار، فاز بازنشستگی ۵۲
۲٫۹٫۵٫۱٫ موضوعات / اهداف ۵۲
۲٫۹٫۵٫۲٫ افراد تاثیرگذار ۵۳
۲٫۹٫۵٫۳٫ کارهایی که در این فاز باید انجام گیرد ۵۳
۱۰٫۲٫ خلاصه ۵۳
فصل ۳: مروری بر کارهای انجام شده
۳٫۱٫ مقدمه ۵۶
۳٫۲٫ مروری بر کارهای انجام شده ۵۷
۳٫۲٫۱٫ مدل OCTAVE 58
۳٫۲٫۱٫۱٫ ویژگی¬های کلیدی اکتاو ۵۹
۳٫۲٫۱٫۲٫ اکتاو بخشی از زنجیره ایمن سازی ۶۱
۳٫۲٫۲٫ استاندارد ISO/IEC 15408 62
۳٫۲٫۲٫۱٫ مخاطبان استاندارد ISO/IEC 15408 63
۳٫۲٫۲٫۲٫ دامنه کاربرد استاندارد ISO/IEC 15408 64
۳٫۲٫۳٫ استاندارد ISO/IEC 27002 66
۳٫۲٫۳٫۱٫ بخش های امنیتی ISO/IEC 27002 67
۳٫۲٫۴٫ مدل SSE-CMM 69
۳٫۲٫۵٫ مدل TSP – Security 71
۳٫۲٫۶٫ فرآیندی بر پشتیبنی از امنیت نرم افزار ۷۴
۳٫۲٫۶٫۱٫ گروه بندی کارها ۷۵
۳٫۳٫ محدودیت و چالش های موجود ۸۱
۳٫۳٫۱٫ چرا امنیت اهمیت دارد؟ ۸۲
۳٫۳٫۱٫۱٫ امنیت یکی از ملزومات جدی برای نرمافزار است ۸۲
۳٫۳٫۱٫۲٫ تولید نرمافزارهای امنیتی پیچیده میباشد؛ ۸۳
۳٫۳٫۱٫۳٫ تعریف کلی از نرمافزار ایمن سخت است؛ ۸۴
۳٫۳٫۱٫۴٫ چرا راه حلهای موجود به صورت گسترده مورد استفاده قرار نمیگیرند؛ ۸۴
۴٫۳٫ خلاصه ۸۵
فصل ۴٫ چارچوب پیشنهادی و نگاشت آن به فازهای توسعه نرم افزار
۴٫۱٫ مقدمه ۸۸
۴٫۲٫ کلیات چارجوب پیشنهادی ۸۹
۴٫۳٫ نگاشت چارچوب پیشنهادی به فازهای توسعه نرم افزار ۹۱
۴٫۳٫۱٫ فاز اول از توسعه نرم افزار- فاز شناسایی ۹۲
۴٫۳٫۱٫۱٫ برنامه ریزی اولیه برای امنیت ۹۳
۴٫۳٫۱٫۲٫ دسته بندی سیستم های اطلاعاتی ۹۶
۴٫۳٫۱٫۳٫ ارزیابی از تاثیر تجارت ۹۸
۴٫۳٫۱٫۴٫ارزیابی از تاثیر حریم خصوصی ۹۹
۴٫۳٫۱٫۵٫استفاده مطمئن از فرآیندهای توسعه سیستم های اطلاعاتی ۱۰۰
۴٫۳٫۲٫ فاز دوم از توسعه نرم افزار- فاز طراحی و توسعه ۱۰۱
۴٫۳٫۲٫۱٫ ارزیابی ریسک ۱۰۲
۴٫۳٫۲٫۲٫ انتخاب و مستند کردن کنترل های امنیتی ۱۰۳
۴٫۳٫۲٫۳٫ طراحی معماری امنیت ۱۰۵
۴٫۳٫۲٫۴٫ مهندسی کردن کنترل های امنیتی ۱۰۷
۴٫۳٫۲٫۵٫ تهیه مستندات امنیتی ۱۰۸
۴٫۳٫۲٫۶٫ انجام دادن تست ( برای توسعه عملکرد و امنیت ) ۱۰۹
۴٫۳٫۳٫ فاز سوم از توسعه نرم افزار- پیاده سازی و اجرا ۱۱۰
۴٫۳٫۳٫۱٫ اجاد یک برنامه ریزی دقیق برای C&A 111
رویکردی جهت عملیاتی نمودن امنیت در تولید سیستمهای نرم افزاری
۴٫۳٫۳٫۲٫ ادغام کردن امنیت درون سیستم یا محیط های ایجاد شده ۱۱۲
۴٫۳٫۳٫۳٫ ارزیابی امنیت سیستم ۱۱۳
۴٫۳٫۳٫۴٫ مجوز دادن به سیستم های اطلاعاتی ۱۱۴
۴٫۳٫۴٫ فاز چهار از توسعه نرم افزار- فاز عملیات و نگه داری ۱۱۵
۴٫۳٫۴٫۱٫ بررسی آمادگی عملیات برای اجرا ۱۱۶
۴٫۳٫۴٫۲٫ مدیریت و کنترل پیکربندی اجرا شده ۱۱۷
۴٫۳٫۴٫۳٫ نظارت مستمر بر نتایج ۱۱۸
۴٫۳٫۵٫ فاز پنجم از توسعه نرم افزار- فاز بازنشستگی ۱۱۹
۴٫۳٫۵٫۱٫ ساخت و اجرای برنامه ها برای بازنشسته کردن / انتقال ۱۲۰
۴٫۳٫۵٫۲٫ تضمین حفظ امنیت ۱۲۱
رویکردی جهت عملیاتی نمودن امنیت در تولید سیستمهای نرم افزاری
۴٫۳٫۵٫۳٫محافظت از رسانه ۱۲۲
۴٫۳٫۵٫۴٫کنارگذاشتن سخت افزار و نرم افزار ۱۲۳
۴٫۳٫۵٫۵٫ بستن سیستم ۱۲۴
۴٫۴٫ خلاصه ۱۲۵
فصل ۵٫ ارزیابی روش پیشنهادی
۵٫۱٫ مقدمه ۱۲۸
۲٫۵٫ معرفی روش ارزیابی ۱۲۹
۳٫۵٫ نتایج تولید شده ۱۲۹
۵٫۴٫ خلاصه ۱۳۷
مراجع ۱۳۹
ضمیمه ۱٫ مجموعه کارهایی که در PSSS انجام می¬گیرد. ۱۴۳
ضمیمه ۲٫ مجموعه کارهای پیشنهادی به تفکیک فازهای توسعه نرم افزار ۱۴۸
واژه نامه ۱۵۲
رویکردی جهت عملیاتی نمودن امنیت در تولید سیستمهای نرم افزاری
فهرست جداول
فصل ۲
جدول ۲٫۱٫ کارهایی در فاز آغازین انجام می¬گیرد. ۴۵
جدول ۲٫۲٫ کارهایی در فاز طراحی و توسعه انجام می¬گیرد. ۴۸
جدول ۲٫۳٫ کارهایی در فاز پیاده سازی و اجرا انجام می¬گیرد. ۵۰
جدول ۲٫۴٫ کارهایی در فاز فاز عملیات و نگه داری انجام می¬گیرد. ۵۲
جدول ۲٫۵٫ کارهایی در فاز بازنشستگی انجام می¬گیرد. ۵۳
فصل ۳
جدول ۱٫۳٫ تفاوت¬های اصلی بین اکتاو و روش¬های دیگر ۵۹
فصل ۵
جدول ۱٫۵٫ دسته¬بندی اطلاعاتی سیستم ۱۳۱
جدول ۲٫۵٫ تهدیدهای انسانی ۱۳۴
جدول ۳٫۵٫ آسیب¬پذیری¬های سیستم ۱۳۵
ضمیمه ۱
جدول ۱٫ مجموعه کارهایی که در PSSS انجام میگیرد ۱۴۷
فهرست شکل¬ها
فصل ۳
شکل۳٫۱٫ ابعاد سه¬گانه اکتاو ۵۸
شکل ۳٫۲٫ مراحل اکتاو ۶۱
شکل ۳٫۳٫ فعالیت¬های اکتاو و مدیریت خطر ۶۲
شکل ۳٫۴٫ حفره¬های گزارش شده توسط CERT- CC 83
فصل ۴
شکل ۴٫۱٫ چارچوب پیشنهادی ۹۵
ضمیمه ۲
شکل ۱٫ مجموعه کارهایی پیشنهادی به تفکیک فازهای توسعه نرم افزار ۱۴۹
….
فصل اول
کلیات
۱٫۱٫ مقدمه
به اشتراکگذاری اطلاعات برای دستیابی به دادهها یکی از بخشهای مهم هر سازمان میباشد که از دادهها میخواهند به بهترین شکل ممکن استفاده کنند. اما در زمان به اشتراکگذاری اطلاعات و داده ها برای آن، ویژگیهایی از قبیل صحت و درستی داده، سرعت به اشتراک¬گذاری و چندین ویژگی دیگر را باید در نظر گرفت. در این بخش به لزوم توجه به امنیت، یکی از ویژگیهایی که باید در به اشتراکگذاری اطلاعات باید به آن توجه داشت، اشاره میکنیم.
۲٫۱٫ شرح مسئله
اطلاعات که با اشکال گوناگون میتواند وجود داشته باشد، از داراییهای مهم سازمان و تجارت هستند مانند سایر داراییهای آن، و از میزان اهمیت زیادی برخورداراند و بخاطر اینکه، مابین بخشهایی که در سازمان و تجارت وجود دارد، به اشتراک گذاشته میشوند بیشترین نگرانیها را دارند،
در نتیجه باید بگونهای محافظت شوند. مخصوصا در محیطی که تعاملات تجارت رو به رشد است و دادهها به اشتراک گذاشته میشوند، از اهمیت بیشتری برخوردار است در نتیجه این افزایش تعاملات، اطلاعات در معرض انواع گوناگونی از تهدیدها و آسیبها قرار میگیرد[۴].
سیر پیشرفت فناوری اطلاعات۱ (IT) و ارتباطات و نوآوریهای حاصل از آن موجب افزایش چشمگیر بهرهوری و پیدایش انواع جدیدی از خدمات شده است.
با بهبود روز افزون قدرت، ظرفیت و قیمت تجهیزات میکروالکترونیکی که به رشد سالیانه تقریباّ ۳۰ درصدی بهرهوری نسبت به قیمت منجر شده، امکان
استفاده از این فناوری را برای همه میسر گردیده است. امروزه ما در دنیایی زندگی میکنیم که پردازش اطلاعات در آن ارزان و هزینه ارتباطی روبه
کاهش است و جهان به طور فزایندهای در تبادل و تعامل میباشد.
با گسترش سیستمهای اطلاعاتی و ارتباطی، حملات و تهدیدهای امنیتی علیه این گونه سیستمها نیز افزایش یافته و در نظر گرفتن جنبههای امنیتی در توسعه سیستمها به عنوان یکی از کلیدیترین موضوعات مطرح
میباشد[۲]. تعداد این حملات به گونهای است که در سالهای گذشته بیش از ۳۵۰۰ آسیب به مرکز فوریتهای کامپیوتری۲ (CERT/CC) در طول هر سال گزارش شده و همچنین در سال ۲۰۰۳ حدود ۱۴۰۰۰۰ رویداد امنیت به این مرکز ارائه گردیده است. این رویدادهای امنیتی به قدری بود که CERT
رویکردی جهت عملیاتی نمودن امنیت در تولید سیستمهای نرم افزاری
انتشار این آمارها را در سال ۲۰۰۴ متوقف کرد. وزارت دفاع آمریکا هم تعداد کامپیوترهایی که در آن کشور دارای حفرههای امنیتی هستند را ۸۸% اعلام کرد که تعداد ۹۶% از آنها از وجود نقص در سیستم اطلاعی ندارند[۱۸]. بنابراین نقش IT تنها در صورتی در زندگی بشری پر رنگتر خواهد بود که امنیت این حوزه تامین گردد. نقص امنیتی این فناوری موجب میشود که نه تنها مزایای بیشمار آن از بین برود بلکه به عامل تهدید کننده زندگی بشری نیز تبدیل شود[۱۰].
IT دارای بخشهای مختلفی مانند منابع انسانی، سختافزار، نرمافزار، داده، تجهیزات و پروتکلهای ارتباطی، دستگاههای الکترونیکی و الکتریکی و غیره میباشد. که تمرکز بر روی تمامی بخشهایIT در این مجال نمیگنجد. به همین خاطر در ادامه تنها در رابطه با بخشی از نرمافزار که نرمافزارهای کاربردی میباشند، متمرکز خواهیم شد.
امنیت یکی از ویژگیهای غیرتابعی سیستم مانند قابلیت اطمینان یا کارایی میباشد که آن یکی از خواص سیستم را تعریف میکند که قابلیتی از سیستم، برای محافظت از خود در برابر حملات خارجی که ممکن است عمدی یا سهوی، پنهانسازی ماهیتی از اطلاعات یا منابع، جلوگیری از دستیابیهای غیرمجاز برای افشاءسازی اطلاعات، قابلیت اعتماد به داده و منابع باشد را منعکس میکند.[۷]
امنیت شرایطی است که در چارچوب آن فرد در مقابل خطرات، تهدیدها، و زیانهای ناشی از زندگی اجتماعی مورد حمایت جمع قرار میگیرد. امنیت
رویکردی جهت عملیاتی نمودن امنیت در تولید سیستمهای نرم افزاری
نیازی بنیادی، پایدار و نسبی است که با توجه به دیدگاههای مختلف میتواند دارای میزان و درجه متفاوتی باشد و ذاتا به سختی شناسایی، ارزیابی و
در سیستم پیادهسازی میشود[۴]. مطابق گفتههای Devanbu، امنیت شبیه زیبایی است که میزان سنجش آن به چشمان طرف بستگی دارد.[۱۱]
امنیت اطلاعات، محافظت از اطلاعات در برابر طیف گستردهای از تهدیدها است که به منظور اطمینان از استمرار تجارت، کمینه کردن ریسک تجارت، حداکثر کردن آورده و فرصتهای سرمایهگذاری و تجارت است.[۱]
نرمافزارها به دادهها در پایین ترین سطح دسترسی دارند و آنها را مابین کاربران در بخشهای مختلف، به اشتراک میگذارند و به اشتراکگذاری اطلاعات، بیشترین نگرانیها در همه سازمانها به دنبال دارد. چرا که یکی از کلیدیترین بخشهای به اشتراکگذای اطلاعات، امنیت و محافظت از دادهها است.
نرمافزارها در بخشهای مختلف میتوانند دارای حفرههای زیادی باشند[۱۳] دلایلی مانند
تجربه کم برنامهنویسان، در معرض خطر قرار گرفتن نرمافزارها از جانب سوء استفاده کنندگان، فاقد مهارت لازم افرادی که نرمافزارها را تست میکنند یا عدم داشتن منابع لازم برای تست نرمافزارها بر تعداد این حفرهها افزوده است[۱۲]. برای همین، امنیت مخصوصا برای سازمانها و شرکتهای بزرگ که دارای دادههایی با میزان حساسیت زیاد هستند، بیشترین نگرانیها را به همراه دارد. از طرف دیگر، استفاده و تولیدکنندگان نرمافزار بیشتر از صنف
تجارند تا متخصصین، به همین خاطر به مسئله امنیت اطلاعات کمتر توجه نموده و برای کاهش هزینهها، از کنار آن به سادگی میگذرند![۳]
نرمافزار ایمن، نرمافزاری است که نمیتوان آن را وادار به اجرای وظایف ناخواسته کرد که آن روندی برای طراحی، ساخت و تست نرمافزار برای حفظ امنیت است.
رویکردی جهت عملیاتی نمودن امنیت در تولید سیستمهای نرم افزاری
امنیت در نرمافزار را میتوان در دو بعد در نظر گرفت. بعد اول نرمافزاری را توسعه داد و محیط آن را به ترتیبی ایجاد کرد که نرمافزار، ایمن نگه داشته شود اما در بعد دوم خود نرمافزار به صورت ایمن توسعه داده میشود و به همین خاطر امنیت در فازهای مختلفی که توسعه نرمافزار وجود دارد، درنظر گرفته میشود.[۱۷]
در تحقیق پیش رو، با توجه به دیدگاه دوم یکی از مدلهایی که حاوی مجموعه فعالیتهایی است که به صورت تخصصی بر امنیت در نرمافزار متمرکز است را به فازهای مختلفی که در زمان توسعه نرمافزار وجود دارد، نگاشت داده میشود تا امنیت به عنوان بخشی از فازهایی که برای توسعه نرمافزار وجود دارد در نظر گرفته شود.
۳٫۱٫ انگیزه های پژوهش
مشکل عمده ای که در ایجاد امنیت برای نرمافزار وجود دارد این است که، استانداردهایی که برای این کار تعریف شدهاند و مورد استفاده فرار میگیرند بیشتر آنها در رابطه با امنیت برای اطلاعات تعریف شدهاند و به همین خاطر به مسئله امنیت در نرمافزار از یک سطح بالا نگاه میکنند و مدل هایی هم که به صورت تخصصی بر امنیت نرمافزار وجود دارد، پیچیده میباشند.
انگیزه برای انجام این کار پژوهشی، ایجاد امنیت در زمان ساخت نرمافزار با نگاشت دادن یکی از مدلهای امنیت، که به صورت تخصصی بر روی نرمافزار متمرکز است به فازهای مختلف ساخت نرمافزار میباشد.
رویکردی جهت عملیاتی نمودن امنیت در تولید سیستمهای نرم افزاری
۴٫۱٫ اهداف پژوهش
هدف از این پژوهش این است که بتوان با استفاده چارچوبی که برای ساخت امنیت در فازهای مختلف نرمافزار پیشنهاد میشود، شرایطی را مهیا کرد تا در زمانی که نرمافزار در حال توسعه است امنیت نیز همزمان با ساخت نرمافزار در نظر گرفته شود تا در نهایت نرمافزاری که تولید میشود، ایمن باشد.
۵٫۱٫ ساختار پایان نامه
در فصل دوم، در رابطه با لزوم به اشتراکگذاری داده ها، داده ها مابین چه بخش هایی به اشتراک گذاشته میشوند، داده ها چگونه باید به اشتراک گذاشته شوند و فازهای مختلفی که برای توسعه نرمافزار وجود دارد پرداخته میشود.
در فصل سوم، مروری بر کارهایی که در رابطه با امنیت اطلاعات و نرمافزار است، خواهد شد.
در فصل چهارم، به معرفی چارچوب پیشنهادی خواهیم پرداخت و به تشریح مجموعه کارهایی که در رابطه چارچوب پیشنهادی وجود دارد، پرداخته خواهد شد. تا در پایان کارهایی که پیشنهاد میشود، نرمافزار به صورت ایمن ساخته شود.
در فصل پنجم، به ارزیابی روش پیشنهادی پراخته میشود و نتایج آزمایشات انجام شده را خواهیم دید.
فصل دوم
لزوم داشتن امنیت و فازهای نرمافزاری
۲٫۱٫ مقدمه
امروزه اینترنت و فضای سایبر بخشی از جزء جدانشدنی زندگی روزمره شده است. چرا که اغلب کارهایی که امروزه انجام می¬دهیم را می¬توان در محیط سایبر و اینترنت به راحتی انجام داد بدون اینکه هزینه چندانی داشته باشد. محیط سایبر و اینترنت بخاطر ویژگی هایی که دارند چه خارج و چه
داخل محدوده جغرافیایی افراد مختلفی می¬توانند به داده¬هایی که
در شبکه وجود دارد دسترسی داشته باشند. بنابراین باید شرایطی را پیش آورد که افراد به صورت کنترل شده به آنها دسترسی داشته باشند و برای اینکه این محدودیت¬ها را اعمال کنیم، باید تمامی بخش¬هایی که در شبکه وجود
دارد را ایمن کرد. بنابراین باید به مسئله امنیت توجه بیشتری داشت و اینکه امنیت چه مفهوم و تعریفی دارد، در چه شرایطی امنیت میتواند وجود داشته باشد و از چه بخش¬هایی تشکیل شده است.
نرم¬افزارها یکی از بخش¬هایی می¬باشند که در محیط سایبر وجود دارد و مانند اشیایی که باید برای ساخت و استفاده از آنها از مجموعه مراحلی گذشت، برای ساخت نرم¬افزار نیز باید از مجموعه مراحلی گذشت تا ب صورت ایده¬آل
بتوان از آن نرم¬افزار استفاده کرد. مجموعه مراحلی که برای اینکار است شامل ۵ مرحله شناسایی ، طراحی و توسعه، اجرا و ارزیابی، عملیات و نگهداری و فاز بازنشستگی. که در هر فاز باید کارهایی را که متناسب با آن می¬باشد انجام داد.
رویکردی جهت عملیاتی نمودن امنیت در تولید سیستمهای نرم افزاری
۲٫۲٫ فضای سایبر
سایبر به عنوان پیشوند برای فعالیتهایی که با کامپیوتر و الکترونیک در ارتباط هستند و فضای سایبر نیز فضایی غیرملموس و مجازی در شبکههای
بینالمللی که در این محیط تمام اطلاعات راجع به فرهنگها، ملتها، کشورها و به طورکلی هر آنچه که در کره خاکی به صورت ملموس و فیزیکی وجود
دارد، در فضای سایبر به شکل دیجیتال و صفر و یک، البته در صورتی که بتوان این تبدیل را انجام داد، وجود خواهد داشت. دادههایی که در فضای مجازی
وجود دارند قابل استفاده و در دسترس کاربرانی که از طریق کامپیوتر و اجزاء آن، دستگاههای الکتریکی، الکترونیکی، شبکههای بینالمللی که به هم مرتبط هستند، میباشد. فضای مجازی دارای ۲ جنبه است که عبارتند از:
• زیرساخت فیزیکی
سختافزار و منابعی که دولتها در اختیار دارند تا زمینه را برای ارسال و دریافت دادهها آماده کنند.
رویکردی جهت عملیاتی نمودن امنیت در تولید سیستمهای نرم افزاری
• زیر ساخت مجازی
دادههایی که در محیط سایبر به کمک زیر ساختهای فیزیکی، انتقال داده میشوند.
بنابه تعریف، زیر ساختهای فیزیکی در محیط سایبر از اهمیت زیادی برخوردار هستند و در واقع اگر زیر ساختهای فیزیکی وجود نداشته باشد، نمیتوان درکل محیط سایبر را داشته باشیم. زیرساختهای محیط سایبر به صورت مستقیم زیر نظر دولت و حکومتهای مرکزی میباشند که آنها نیز با توجه به
نیازها، منابع مالی، سیاست و خط مشی که دارند این زیرساختها را ایجاد کرده تا در محدوده جغرافیایی خود به محیط سایبر تسلط داشته و آن را کنترل کند. همچنین زیرساخت دولتهای مختلف به هم وصل شده و با هم دیگر مرتبط هستند و به همین خاطر در محیط سایبر کاربران دادهها را از هر نقطه
میتوانند به اشتراک بگذارند و این یعنی میتوان دادهها را مابین کاربرانی که خارج از محدوده جغرافیایی یک کشور باشند ارسال گردد که این قدرت
سایبر را نشان میدهد. قدرتی که قابل مقایسه با انواع قدرتهای سنتی مانند دریایی، هوایی، فضایی، زمینی از تمامی جهات مانند سرعت انتقال،
هزینه، صحت، اطمینان و غیره نیست. برای همین نیاز است که به محیط سایبر باید توجهی خاص و ویژه وجود داشته باشد. از جهت دیگر برای ورود به محیط جدید، در مقایسه با قدرتهای سنتی، موانعی کم وجود دارد بخاطر این است که عوامل غیردولتی، دولتهای کوچک و افراد براحتی میتوانند وارد
این محیط شده و از آن استفاده کنند. برای همین هم در محیط سایبر قدرت مابین تعداد زیادی از افراد پخش شده و تفاوت قدرت در میان آنها خیلی کم است. به همین خاطر در مقایسه با قدرتهای دیگر محیط سایبر دارای سه ویژگی¬ای است که آن را با حوزههای دیگر متمایز میکند که عبارتند از:
• تعداد کسانی که دراین حوزه هستند.
رویکردی جهت عملیاتی نمودن امنیت در تولید سیستمهای نرم افزاری
• ورود به این حوزه آسان است.
• برای پنهان شدن فرصتهای زیادی وجود دارد.
سایبر و قدرت آن بسیاری از مسائل را تحت تأثیر قرار میدهد. محیط سایبر قادر به ایجاد، انتقال، دستکاری و استفاده از اطلاعات دیجییتالی است. به همین خاطر حوزههای مانند تجارت، اقتصاد، امنیت، مالکیت معنوی، تکنولوژی، فرهنگ، سیاست، دیپلماسی بخشهایی هستند که با محیط سایبر ارتباط تنگاتنگی دارند. امروزه افراد با استفاده از محیط سایبر به فروشگاهها میروند و خرید میکنند، در دانشگاههای مجازی به سر کلاس میروند…………………………….
.۳٫۴٫۱٫ چرا راه حلهای موجود به صورت گسترده مورد استفاده قرار نمیگیرند؛
• رهیافتهایی که امروزه برای ساخت سیستمهای نرمافزاری که قابلیت اعتماد و اطمینان زیادی دارند از نیازهایی که برای قابلیتهای اطمینان و امنیت است استخراج میشوند. کارها چگونه انجام میشوند و آنها چگونه به نیازهای زیادی که در همه سطوح وجود دارد از قبیل افراد، تیم پروژه و سازمان انتقال مییابند.
رویکردی جهت عملیاتی نمودن امنیت در تولید سیستمهای نرم افزاری
• هزینه و نیازها یکی از بزرگترین موانع سازمانی است که برای تولید نرمافزارهای ایمن استفاده میشود هرچند دلایل دیگری نیز وجود دارد مانند راحتی کاربر، عرضه سریع به بازار، قابلیتهای اضافه تر و غیره.
• به دنبال افزایش آگاهی مشتریان و کاربران، تقاضا برای افزایش امنیت زیاد شده است اما مشخص نیست که چه تعدادی از آنها مایل به پرداخت هزینههای آن خواهند شد.
• براساس گزارش ماکروسافت، ۲۰% از معایبی که برای امنیت نرمافزار است ناشی از طراحی آن میباشد. برای اینکه از این نوع مسائل اجتناب شود به سطح بالایی از تخصصهای امنیتی و طراحی نیاز است.
۳٫۴٫ خلاصه
در این بخش مدل و استانداردی که در زمینه امنیت اطلاعات وجود دارد، از قبیل مدل OCTAVE، SSE-CMM، PSSS و استانداردهایی از قبیل ISO/IEC 1508 یا ISO/IEC 27002 و مدلی که در رابطه با امنیت نرمافزار انجام شده TSP-Security آورده شد و در کنار آن محدودیت و چالشهایی که در این مدلها وجود دارد به همراه دلایلی که چرا توسعه نرمافزارهای به صورت ایمن با وجود مدل و استانداردهایی که وجود دارد همچنان باید مورد توجه قرار گیرد، بیان گردید.
فصل چهارم
چارچوب پیشنهادی و
نگاشت آن به فازهای توسعه نرم افزار
۴٫۱٫ مقدمه
در کنارمدل و استانداردهایی که وجود دارد، PSSS به عنوان مدلی بای بالابردن امنیتدر نرم¬افزار نسبت به سایر مدل و استانداردها دارای کارایی بهتری است چرا که مجموعه کارهایی که در این مدل مورد استفاده قرار می¬گیرد بصورت تخصصی بر ایجاد امنیت در نرمافزار تمرکز دارد، دارای اهمیت ویژهای
است و در بخشهایی که مورد استفاده قرار گرفته در مقایسه با مدل و استانداردهای دیگر نتایج خیلی بهتری را بخاطر اینکه مبانی ادرلکی آنها ابتدایی هستند و زیاد بر روی طراحی و تحلیل فازها تاکید ندارند، تولید میکنند.
مجموعه کارهایی که در PSSS وجود دارد را می¬توان در ۱۱ رده تقسیمبندی کرد که در هرکدام از این رده¬ها کارهای خاصی انجام می¬گیرد.
در این فصل هدف ما بر این است که با استفاده از چارچوب پیشنهادی و با مبنا قرار دادن کارهای PSSS آن را به فازهای توسعه نرم¬افزار نگاشت دهیم تا پس از توسعه نرم¬افزار، نرم¬افزاری ایمن داشته باشیم در بخش پایانی هم، چه کارهایی در هر کدام از فازهای توسعه نرم¬افزار باید انجام شود، آورده شده تا کارهایی که در هر فاز باید انجام گیرد به صراحت مشخص گردد.
۴٫۲٫ کلیات چارچوب پیشنهادی
در مقایسهها با روش و استانداردهایی که در رابطه با امنیت محصولات نرمافزاری است چون PSSS بصورت تخصصی بر ایجاد امنیت در نرمافزار تمرکز دارد، دارای اهمیت ویژهای است و در بخشهایی که مورد استفاده قرار گرفته
در مقایسه با مدل و استانداردهای دیگر نتایج خیلی بهتری را بخاطر اینکه مبانی ادرلکی آنها ابتدایی هستند و زیاد بر روی طراحی و تحلیل فازها تاکید ندارند، تولید میکنند هر چند در کنار این مزایا، معایبی نیز برای این روش وجود دارد که در بالا به آن اشاره کردیم[۵].
رویکردی جهت عملیاتی نمودن امنیت در تولید سیستمهای نرم افزاری
چرخه توسعه نرمافزار دارای فازهایی است که ورودی هرکدام از این فازها خروجی فاز قبلی است. پس اگر بتوانیم در هر فاز علاوه بر توسعه نرمافزار، مسائل امنیتی را در آن فاز انجام دهیم بعد از اینکه فازهای نرمافزار تمام شد میتوان نرمافزاری با امنیت تولید کرد. در هر فاز معیار و شاخصهایی که با
امنیت در ارتباط هستند وجود دارد و باید به آنها پاسخ داده شود و تا زمانیکه به این معیارها پاسخ داده نشود، وارد فاز بعدی نمیشود و از این رو بعد از اینکه فازهای توسعه نرمافزار به اتمام رسید، نرمافزاری با امنیت تولید میشود.
در این پایان نامه با توجه به چارچوبی که در شکل ۲ پیشنهاد میشود، با مبنا قرار دادن ویژگیهای امنیتی که در [۵]ذکر شده به همراه دیگر مسائل امنیتی که در مدل و استانداردهای امنیتی که در بالا به آنها اشاره کردیم، را با فازهای توسعه نرم افزار ادغام کرده و به صورت موازی با آن پیش میبریم تا
نرمافزاری که تولید می شود، نرم افزار ایمن باشد…………………..
بلافاصله بعد از پرداخت موفق میتوانید فایل کامل این پروژه را با سرعت و امنیت دانلود کنید
2 نقد وبررسی برای رویکردی جهت عملیاتی نمودن امنیت در تولید سیستمهای نرم افزاری
افزودن نقد و بررسی
رویکردی جهت عملیاتی نمودن امنیت در تولید سیستمهای نرم افزاری
رویکردی جهت عملیاتی نمودن امنیت در تولید سیستمهای نرم افزاری
قیمت : تومان129,000
مدیر سایت –
بسیار ممنونم
تیموریان –
خیلی لطف کردید پروژه خیلی خیلی خوبی بود