توضیحات

رویکردی جهت عملیاتی نمودن امنیت در تولید سیستم‌های نرم‌ افزاری

امروزه با توجه به پیشرفتهایی که در زمینه فناوری اطلاعات وجود دارد، نرم افزارها یکی از بخش های عمومی در هر یک از سازمانها می باشد. نرم

افزارها دارای ابعاد مختلفی مانند، کیفیت، کمیت، قابلیت اطمینان و غیره می باشد که هر کدام از اینها به نوبه خود دارای اهمیت فراوانی هستند.

یکی از ابعاد دیگر نرم افزار امنیت هست و بخاطر اینکه نرم افزارها به همه داده هایی که در سازمانها وجود دارد، دسترسی دارند، و محافظت از داده ها دارای اهمیت فراوانی است، بحث امنیت در نرم افزار نیز از جایگاه خاصی برخوردار است.

در زمینه امنیت برای نرم افزار و اطلاعات، مدل و استانداردهای مختلفی وجود دارد مانند ISO/IEC27002، SSE-CMM و TSP-Security.

یکی دیگر از مدل ای که در زمینه امنیت نرم افزار مورد استفاده قرار می¬گیرد و در کارهایی که مورد استفاده قرار گرفته

رویکردی جهت عملیاتی نمودن امنیت در تولید سیستم‌های نرم‌ افزاری

، نتایج بهتری نسبت به مدل و استانداردهای دیگر تولید کرده، “فرآیندی برای امنیت محصولات نرم¬افزاری(PSSS)” است.

۵ فاز توسعه نرم افزار عبارتند از : فاز شناسایی، طراحی و توسعه، اجرا و ارزیابی، عملیات و نگه‌داری و بازنشستگی

در این پایان نامه سعی ما بر این است تا با مبنا قرار دادن PSSS و استفاده از کارهای سایر مدل و استانداردهای امنیت نرم¬افزار، هریک از کارهایی که

باید در هر کدام از فازهای توسعه نرم افزار انجام داد را نگاشت می دهیم تا در کنار کارهایی که برای توسعه نرم افزار است، امنیت نیز به عنوان بخشی

از توسعه نرم افزار در نظر گرفته شود تا کارها به صورت ایمن وارد فاز بعدی شود و به این ترتیب، در زمان توسعه امنیت را در نرم افزار بالا ببریم.

۱۶۰صفحه فایل ورد (Word) فونت ۱۴ منابع دارد +شکل و تصاویر

پس از پرداخت آنلاین میتوانید فایل کامل این پروژه را دانلود کنید

فهرست مطالب

فصل اول: کلیات
۱٫۱٫ مقدمه ۱۷
۱٫۲٫ شرح مسئله ۱۸
۱٫۳٫ انگیزه های پژوهش ۲۱
۱٫۴٫ اهداف پژوهش ۲۱
۱٫۵٫ ساختار پایان نامه ۲۱

فصل دوم: لزوم داشتن امنیت و فازهای نرم‌افزاری و فازهای نرم افزاری

۲٫۱٫ مقدمه ۲۵
۲٫۲٫ فضای سایبر ۲۶
۲٫۳٫ سیاست های به اشتراک گذاری فضای سایبر ۲۸
۲٫۴٫ سیاست های امن کردن محیط سایبر ۲۹
۲٫۵٫ مفهوم امنیت ۳۰
۲٫۶٫ تعریف امنیت ۳۳
۲٫۷٫ امنیت اطلاعات ۳۵
۲٫۸٫ بندهای سه گانه امنیت ۳۶
۲٫۸٫۱٫ محرمانگی ۳۶
 رمزگذاری ۳۷
 احراز هویت با چند فاکتور ۳۷
۲٫۸٫۲٫ یکپارچگی ۳۷
 امضاء دیجیتال ۳۸
 محدودکردن دسترسی بر اساس نقش ۳۸
 حسابرسی ۳۸
۲٫۸٫۳٫ در دسترس بودن ۳۹
 دیوار آتش ۴۰
 بازرسی ۴۰
۲٫۹٫ فازهای نرم افزار ۴۰
۲٫۹٫۱٫ فاز اول از توسعه نرم افزار، فاز شناسایی ۴۱
۲٫۹٫۱٫۱٫ موضوعات / اهداف ۴۳
۲٫۹٫۱٫۲٫افراد تاثیرگذار ۴۳
۲٫۹٫۱٫۳٫کارهایی که در این فاز باید انجام گیرد ۴۴

۲٫۹٫۲٫ فاز دوم از توسعه نرم افزار، فاز طراحی و توسعه ۴۵

۲٫۹٫۲٫۱٫ موضوعات / اهداف ۴۶
۲٫۹٫۲٫۲٫ افراد تاثیرگذار ۴۶
۲٫۹٫۲٫۳٫ کارهایی که در این فاز باید انجام گیرد ۴۶
۲٫۹٫۳٫ فاز سوم از توسعه نرم افزار، فازاجرا و ارزیابی ۴۸
۲٫۹٫۳٫۱٫ موضوعات / اهداف ۴۸
۲٫۹٫۳٫۲٫ افراد تاثیرگذار ۴۹
۲٫۹٫۳٫۳٫ کارهایی که در این فاز باید انجام گیرد ۴۹
۲٫۹٫۴٫ فاز چهارم از توسعه نرم افزار، فاز عملیات و نگه داری ۵۰
۲٫۹٫۴٫۱٫ موضوعات / اهداف ۵۱
۲٫۹٫۴٫۲٫ افراد تاثیرگذار ۵۱
۲٫۹٫۴٫۳٫ کارهایی که در این فاز باید انجام گیرد ۵۱

رویکردی جهت عملیاتی نمودن امنیت در تولید سیستم‌های نرم‌ افزاری

۲٫۹٫۵٫ فاز پنجم از توسعه نرم افزار، فاز بازنشستگی ۵۲
۲٫۹٫۵٫۱٫ موضوعات / اهداف ۵۲
۲٫۹٫۵٫۲٫ افراد تاثیرگذار ۵۳
۲٫۹٫۵٫۳٫ کارهایی که در این فاز باید انجام گیرد ۵۳
۱۰٫۲٫ خلاصه ۵۳

فصل ۳: مروری بر کارهای انجام شده
۳٫۱٫ مقدمه ۵۶
۳٫۲٫ مروری بر کارهای انجام شده ۵۷
۳٫۲٫۱٫ مدل OCTAVE 58
۳٫۲٫۱٫۱٫ ویژگی¬های کلیدی اکتاو ۵۹
۳٫۲٫۱٫۲٫ اکتاو بخشی از زنجیره ایمن سازی ۶۱
۳٫۲٫۲٫ استاندارد ISO/IEC 15408 62
۳٫۲٫۲٫۱٫ مخاطبان استاندارد ISO/IEC 15408 63
۳٫۲٫۲٫۲٫ دامنه کاربرد استاندارد ISO/IEC 15408 64
۳٫۲٫۳٫ استاندارد ISO/IEC 27002 66
۳٫۲٫۳٫۱٫ بخش های امنیتی ISO/IEC 27002 67
۳٫۲٫۴٫ مدل SSE-CMM 69
۳٫۲٫۵٫ مدل TSP – Security 71
۳٫۲٫۶٫ فرآیندی بر پشتیبنی از امنیت نرم افزار ۷۴
۳٫۲٫۶٫۱٫ گروه بندی کارها ۷۵
۳٫۳٫ محدودیت و چالش های موجود ۸۱
۳٫۳٫۱٫ چرا امنیت اهمیت دارد؟ ۸۲
۳٫۳٫۱٫۱٫ امنیت یکی از ملزومات جدی برای نرم‌افزار است ۸۲
۳٫۳٫۱٫۲٫ تولید نرم‌افزارهای امنیتی پیچیده ‌می‌‌باشد؛ ۸۳

۳٫۳٫۱٫۳٫ تعریف کلی از نرم‌افزار ایمن سخت است؛ ۸۴

۳٫۳٫۱٫۴٫ چرا راه حل‌های موجود به صورت گسترده مورد استفاده قرار نمی‌گیرند؛ ۸۴

۴٫۳٫ خلاصه ۸۵

فصل ۴٫ چارچوب پیشنهادی و نگاشت آن به فازهای توسعه نرم افزار
۴٫۱٫ مقدمه ۸۸
۴٫۲٫ کلیات چارجوب پیشنهادی ۸۹
۴٫۳٫ نگاشت چارچوب پیشنهادی به فازهای توسعه نرم افزار ۹۱
۴٫۳٫۱٫ فاز اول از توسعه نرم افزار- فاز شناسایی ۹۲
۴٫۳٫۱٫۱٫ برنامه ریزی اولیه برای امنیت ۹۳
۴٫۳٫۱٫۲٫ دسته بندی سیستم های اطلاعاتی ۹۶
۴٫۳٫۱٫۳٫ ارزیابی از تاثیر تجارت ۹۸
۴٫۳٫۱٫۴٫ارزیابی از تاثیر حریم خصوصی ۹۹

۴٫۳٫۱٫۵٫استفاده مطمئن از فرآیندهای توسعه سیستم های اطلاعاتی ۱۰۰

۴٫۳٫۲٫ فاز دوم از توسعه نرم افزار- فاز طراحی و توسعه ۱۰۱
۴٫۳٫۲٫۱٫ ارزیابی ریسک ۱۰۲
۴٫۳٫۲٫۲٫ انتخاب و مستند کردن کنترل های امنیتی ۱۰۳
۴٫۳٫۲٫۳٫ طراحی معماری امنیت ۱۰۵
۴٫۳٫۲٫۴٫ مهندسی کردن کنترل های امنیتی ۱۰۷
۴٫۳٫۲٫۵٫ تهیه مستندات امنیتی ۱۰۸
۴٫۳٫۲٫۶٫ انجام دادن تست ( برای توسعه عملکرد و امنیت ) ۱۰۹
۴٫۳٫۳٫ فاز سوم از توسعه نرم افزار- پیاده سازی و اجرا ۱۱۰
۴٫۳٫۳٫۱٫ اجاد یک برنامه ریزی دقیق برای C&A 111

رویکردی جهت عملیاتی نمودن امنیت در تولید سیستم‌های نرم‌ افزاری

۴٫۳٫۳٫۲٫ ادغام کردن امنیت درون سیستم یا محیط های ایجاد شده ۱۱۲
۴٫۳٫۳٫۳٫ ارزیابی امنیت سیستم ۱۱۳
۴٫۳٫۳٫۴٫ مجوز دادن به سیستم های اطلاعاتی ۱۱۴
۴٫۳٫۴٫ فاز چهار از توسعه نرم افزار- فاز عملیات و نگه داری ۱۱۵
۴٫۳٫۴٫۱٫ بررسی آمادگی عملیات برای اجرا ۱۱۶
۴٫۳٫۴٫۲٫ مدیریت و کنترل پیکربندی اجرا شده ۱۱۷
۴٫۳٫۴٫۳٫ نظارت مستمر بر نتایج ۱۱۸
۴٫۳٫۵٫ فاز پنجم از توسعه نرم افزار- فاز بازنشستگی ۱۱۹
۴٫۳٫۵٫۱٫ ساخت و اجرای برنامه ها برای بازنشسته کردن / انتقال ۱۲۰
۴٫۳٫۵٫۲٫ تضمین حفظ امنیت ۱۲۱

رویکردی جهت عملیاتی نمودن امنیت در تولید سیستم‌های نرم‌ افزاری

۴٫۳٫۵٫۳٫محافظت از رسانه ۱۲۲
۴٫۳٫۵٫۴٫کنارگذاشتن سخت افزار و نرم افزار ۱۲۳
۴٫۳٫۵٫۵٫ بستن سیستم ۱۲۴
۴٫۴٫ خلاصه ۱۲۵

فصل ۵٫ ارزیابی روش پیشنهادی
۵٫۱٫ مقدمه ۱۲۸
۲٫۵٫ معرفی روش ارزیابی ۱۲۹
۳٫۵٫ نتایج تولید شده ۱۲۹
۵٫۴٫ خلاصه ۱۳۷
مراجع ۱۳۹
ضمیمه ۱٫ مجموعه کارهایی که در PSSS انجام می¬گیرد. ۱۴۳
ضمیمه ۲٫ مجموعه کارهای پیشنهادی به تفکیک فازهای توسعه نرم افزار ۱۴۸
واژه نامه ۱۵۲

رویکردی جهت عملیاتی نمودن امنیت در تولید سیستم‌های نرم‌ افزاری

فهرست جداول
فصل ۲
جدول ۲٫۱٫ کارهایی در فاز آغازین انجام می¬گیرد. ۴۵
جدول ۲٫۲٫ کارهایی در فاز طراحی و توسعه انجام می¬گیرد. ۴۸
جدول ۲٫۳٫ کارهایی در فاز پیاده سازی و اجرا انجام می¬گیرد. ۵۰
جدول ۲٫۴٫ کارهایی در فاز فاز عملیات و نگه داری انجام می¬گیرد. ۵۲
جدول ۲٫۵٫ کارهایی در فاز بازنشستگی انجام می¬گیرد. ۵۳
فصل ۳
جدول ۱٫۳٫ تفاوت¬های اصلی بین اکتاو و روش¬های دیگر ۵۹
فصل ۵
جدول ۱٫۵٫ دسته¬بندی اطلاعاتی سیستم ۱۳۱
جدول ۲٫۵٫ تهدیدهای انسانی ۱۳۴
جدول ۳٫۵٫ آسیب¬پذیری¬های سیستم ۱۳۵
ضمیمه ۱
جدول ۱٫ مجموعه کارهایی که در PSSS انجام میگیرد ۱۴۷

فهرست شکل¬ها
فصل ۳
شکل۳٫۱٫ ابعاد سه¬گانه اکتاو ۵۸
شکل ۳٫۲٫ مراحل اکتاو ۶۱
شکل ۳٫۳٫ فعالیت¬های اکتاو و مدیریت خطر ۶۲
شکل ۳٫۴٫ حفره¬های گزارش شده توسط CERT- CC 83
فصل ۴
شکل ۴٫۱٫ چارچوب پیشنهادی ۹۵
ضمیمه ۲
شکل ۱٫ مجموعه کارهایی پیشنهادی به تفکیک فازهای توسعه نرم افزار ۱۴۹

….

فصل اول
کلیات

۱٫۱٫ مقدمه
به اشتراک‌گذاری اطلاعات برای دستیابی به داده‌ها یکی از بخش‌های مهم هر سازمان می‌باشد که از داده‌ها می‎خواهند به بهترین شکل ممکن استفاده کنند. اما در زمان به اشتراک‌گذاری اطلاعات و داده ها برای آن، ویژگی‌هایی از قبیل صحت و درستی داده، سرعت به اشتراک¬گذاری و چندین ویژگی دیگر را باید در نظر گرفت. در این بخش به لزوم توجه به امنیت، یکی از ویژگی‌هایی که باید در به اشتراک‌گذاری اطلاعات باید به آن توجه داشت، اشاره می‌کنیم.

۲٫۱٫ شرح مسئله
اطلاعات که با اشکال گوناگون ‌می‌‌تواند وجود داشته باشد، از دارایی‌های مهم سازمان و تجارت هستند مانند سایر دارایی‌های آن، و از میزان اهمیت زیادی برخورداراند و بخاطر اینکه، مابین بخش‌هایی که در سازمان و تجارت وجود دارد، به اشتراک گذاشته می‌شوند بیشترین نگرانی‌ها را دارند،

در نتیجه باید بگونه‌ای محافظت شوند. مخصوصا در محیطی که تعاملات تجارت رو به رشد است و داده‌ها به اشتراک گذاشته می‌شوند، از اهمیت بیشتری برخوردار است در نتیجه این افزایش تعاملات، اطلاعات در معرض انواع گوناگونی از تهدیدها و آسیب‌ها قرار می‌گیرد[۴].

سیر پیشرفت فناوری اطلاعات۱ (IT) و ارتباطات و نوآوری‌های حاصل از آن موجب افزایش چشمگیر بهره‌وری و پیدایش انواع جدیدی از خدمات شده است.

با بهبود روز افزون قدرت، ظرفیت و قیمت تجهیزات میکروالکترونیکی که به رشد سالیانه تقریباّ ۳۰ درصدی بهره‌وری نسبت به قیمت منجر شده، امکان

استفاده از این فناوری را برای همه میسر گردیده است. امروزه ما در دنیایی زندگی می‌کنیم که پردازش اطلاعات در آن ارزان و هزینه ارتباطی روبه

کاهش است و جهان به طور فزاینده‌ای در تبادل و تعامل می‌باشد.

با گسترش سیستم‌های اطلاعاتی و ارتباطی، حملات و تهدیدهای امنیتی علیه این گونه سیستم‌ها نیز افزایش یافته و در نظر گرفتن جنبه‌های امنیتی در توسعه سیستم‌ها به عنوان یکی از کلیدی‌ترین موضوعات مطرح

می‌باشد[۲]. تعداد این حملات به گونه‌ای است که در سال‌های گذشته بیش از ۳۵۰۰ آسیب به مرکز فوریت‌های کامپیوتری۲ (CERT/CC) در طول هر سال گزارش شده و همچنین در سال ۲۰۰۳ حدود ۱۴۰۰۰۰ رویداد امنیت به این مرکز ارائه گردیده است. این رویدادهای امنیتی به قدری بود که CERT

رویکردی جهت عملیاتی نمودن امنیت در تولید سیستم‌های نرم‌ افزاری

انتشار این آمارها را در سال ۲۰۰۴ متوقف کرد. وزارت دفاع آمریکا هم تعداد کامپیوترهایی که در آن کشور دارای حفره‌های امنیتی هستند را ۸۸% اعلام کرد که تعداد ۹۶% از آنها از وجود نقص در سیستم اطلاعی ندارند[۱۸]. بنابراین نقش IT تنها در صورتی در زندگی بشری پر رنگ‌تر خواهد بود که امنیت این حوزه تامین گردد. نقص امنیتی این فناوری موجب می‌شود که نه تنها مزایای بی‌شمار آن از بین برود بلکه به عامل تهدید کننده زندگی بشری نیز تبدیل شود[۱۰].

IT دارای بخش‌های مختلفی مانند منابع انسانی، سخت‌افزار، نرم‌افزار، داده، تجهیزات و پروتکل‌های ارتباطی، دستگاه‌های الکترونیکی و الکتریکی و غیره می‌باشد. که تمرکز بر روی تمامی‌ بخش‌هایIT در این مجال نمی‌گنجد. به همین خاطر در ادامه تنها در رابطه با بخشی از نرم‌افزار که نرم‌افزارهای کاربردی می‌باشند، متمرکز خواهیم شد.

امنیت یکی از ویژگی‌های غیرتابعی سیستم مانند قابلیت اطمینان یا کارایی می‌باشد که آن یکی از خواص سیستم را تعریف می‌کند که قابلیتی از سیستم، برای محافظت از خود در برابر حملات خارجی که ممکن است عمدی یا سهوی، پنهان‌سازی ماهیتی از اطلاعات یا منابع، جلوگیری از دستیابی‌های غیرمجاز برای افشاء‌سازی اطلاعات، قابلیت اعتماد به داده و منابع باشد را منعکس ‌می‌کند.[۷]

امنیت شرایطی است که در چارچوب آن فرد در مقابل خطرات، تهدیدها، و زیان‌های ناشی از زندگی اجتماعی مورد حمایت جمع قرار می‌گیرد. امنیت

رویکردی جهت عملیاتی نمودن امنیت در تولید سیستم‌های نرم‌ افزاری

نیازی بنیادی، پایدار و نسبی است که با توجه به دیدگاه‌های مختلف می‌تواند دارای میزان و درجه متفاوتی باشد و ذاتا به سختی شناسایی، ارزیابی و

در سیستم پیاده‌سازی می‌شود[۴]. مطابق گفته‌های Devanbu، امنیت شبیه زیبایی است که میزان سنجش آن به چشمان طرف بستگی دارد.[۱۱]

امنیت اطلاعات، محافظت از اطلاعات در برابر طیف گسترده‌ای از تهدیدها است که به منظور اطمینان از استمرار تجارت، کمینه کردن ریسک تجارت، حداکثر کردن آورده و فرصت‌های سرمایه‌گذاری و تجارت است.[۱]

نرم‌افزارها به داده‌ها در پایین ترین سطح دسترسی دارند و آنها را مابین کاربران در بخش‌های مختلف، به اشتراک می‌گذارند و به اشتراک‌گذاری اطلاعات، بیشترین نگرانی‌ها در همه سازمان‌ها به دنبال دارد. چرا که یکی از کلیدی‌ترین بخش‌های به اشتراک‌گذای اطلاعات، امنیت و محافظت از داده‌ها است.
نرم‌افزارها در بخش‌های مختلف می‌توانند دارای حفره‌های زیادی باشند[۱۳] دلایلی مانند

تجربه کم برنامه‌نویسان، در معرض خطر قرار گرفتن نرم‌افزارها از جانب سوء استفاده کنندگان، فاقد مهارت لازم افرادی که نرم‌افزارها را تست می‌کنند یا عدم داشتن منابع لازم برای تست نرم‌افزارها بر تعداد این حفره‌ها افزوده است[۱۲]. برای همین، امنیت مخصوصا برای سازمان‌ها و شرکت‌های بزرگ که دارای داده‌هایی با میزان حساسیت زیاد هستند، بیشترین نگرانی‌ها را به همراه دارد. از طرف دیگر، استفاده و تولیدکنندگان نرم‌افزار بیشتر از صنف

تجارند تا متخصصین، به همین خاطر به مسئله امنیت اطلاعات کمتر توجه نموده و برای کاهش هزینه‌ها، از کنار آن به سادگی می‌گذرند![۳]
نرم‌افزار ایمن، نرم‌افزاری است که نمی‌توان آن را وادار به اجرای وظایف ناخواسته کرد که آن روندی برای طراحی، ساخت و تست نرم‌افزار برای حفظ امنیت است.

رویکردی جهت عملیاتی نمودن امنیت در تولید سیستم‌های نرم‌ افزاری

امنیت در نرم‌افزار را می‌توان در دو بعد در نظر گرفت. بعد اول نرم‌افزاری را توسعه داد و محیط آن را به ترتیبی ایجاد کرد که نرم‌افزار، ایمن نگه داشته شود اما در بعد دوم خود نرم‌افزار به صورت ایمن توسعه داده ‌می‌شود و به همین خاطر امنیت در فازهای مختلفی که توسعه نرم‌افزار وجود دارد، درنظر گرفته ‌می‌شود.[۱۷]
در تحقیق پیش رو، با توجه به دیدگاه دوم یکی از مدل‌هایی که حاوی مجموعه فعالیت‌هایی است که به صورت تخصصی بر امنیت در نرم‌افزار متمرکز است را به فازهای مختلفی که در زمان توسعه نرم‌افزار وجود دارد، نگاشت داده می‌شود تا امنیت به عنوان بخشی از فازهایی که برای توسعه نرم‌افزار وجود دارد در نظر گرفته شود.

۳٫۱٫ انگیزه های پژوهش
مشکل عمده ای که در ایجاد امنیت برای نرم‌افزار وجود دارد این است که، استانداردهایی که برای این کار تعریف شده‌اند و مورد استفاده فرار می‎گیرند بیشتر آنها در رابطه با امنیت برای اطلاعات تعریف شده‌اند و به همین خاطر به مسئله امنیت در نرم‌افزار از یک سطح بالا نگاه می‎کنند و مدل هایی هم که به صورت تخصصی بر امنیت نرم‌افزار وجود دارد، پیچیده می‎باشند.

انگیزه برای انجام این کار پژوهشی، ایجاد امنیت در زمان ساخت نرم‌افزار با نگاشت دادن یکی از مدل‌های امنیت، که به صورت تخصصی بر روی نرم‌افزار متمرکز است به فازهای مختلف ساخت نرم‌افزار می‌باشد.

رویکردی جهت عملیاتی نمودن امنیت در تولید سیستم‌های نرم‌ افزاری

۴٫۱٫ اهداف پژوهش
هدف از این پژوهش این است که بتوان با استفاده چارچوبی که برای ساخت امنیت در فازهای مختلف نرم‌افزار پیشنهاد می‌شود، شرایطی را مهیا کرد تا در زمانی که نرم‌افزار در حال توسعه است امنیت نیز همزمان با ساخت نرم‌افزار در نظر گرفته شود تا در نهایت نرم‌افزاری که تولید می‌شود، ایمن باشد.
۵٫۱٫ ساختار پایان نامه
 در فصل دوم، در رابطه با لزوم به اشتراک‌گذاری داده ها، داده ها مابین چه بخش هایی به اشتراک گذاشته می‌شوند، داده ها چگونه باید به اشتراک گذاشته شوند و فازهای مختلفی که برای توسعه نرم‌افزار وجود دارد پرداخته می‌شود.
 در فصل سوم، مروری بر کارهایی که در رابطه با امنیت اطلاعات و نرم‌افزار است، خواهد شد.

 در فصل چهارم، به معرفی چارچوب پیشنهادی خواهیم پرداخت و به تشریح مجموعه کارهایی که در رابطه چارچوب پیشنهادی وجود دارد، پرداخته خواهد شد. تا در پایان کارهایی که پیشنهاد می‌شود، نرم‌افزار به صورت ایمن ساخته شود.
 در فصل پنجم، به ارزیابی روش پیشنهادی پراخته می‌شود و نتایج آزمایشات انجام شده را خواهیم دید.

فصل دوم
لزوم داشتن امنیت و فازهای نرم‌افزاری

۲٫۱٫ مقدمه
امروزه اینترنت و فضای سایبر بخشی از جزء جدانشدنی زندگی روزمره شده است. چرا که اغلب کارهایی که امروزه انجام می¬دهیم را می¬توان در محیط سایبر و اینترنت به راحتی انجام داد بدون اینکه هزینه چندانی داشته باشد. محیط سایبر و اینترنت بخاطر ویژگی هایی که دارند چه خارج و چه

داخل محدوده جغرافیایی افراد مختلفی می¬توانند به داده¬هایی که

در شبکه وجود دارد دسترسی داشته باشند. بنابراین باید شرایطی را پیش آورد که افراد به صورت کنترل شده به آنها دسترسی داشته باشند و برای اینکه این محدودیت¬ها را اعمال کنیم، باید تمامی بخش¬هایی که در شبکه وجود

دارد را ایمن کرد. بنابراین باید به مسئله امنیت توجه بیشتری داشت و اینکه امنیت چه مفهوم و تعریفی دارد، در چه شرایطی امنیت میتواند وجود داشته باشد و از چه بخش¬هایی تشکیل شده است.

نرم¬افزارها یکی از بخش¬هایی می¬باشند که در محیط سایبر وجود دارد و مانند اشیایی که باید برای ساخت و استفاده از آنها از مجموعه مراحلی گذشت، برای ساخت نرم¬افزار نیز باید از مجموعه مراحلی گذشت تا ب صورت ایده¬آل

بتوان از آن نرم¬افزار استفاده کرد. مجموعه مراحلی که برای اینکار است شامل ۵ مرحله شناسایی ، طراحی و توسعه، اجرا و ارزیابی، عملیات و نگهداری و فاز بازنشستگی. که در هر فاز باید کارهایی را که متناسب با آن می¬باشد انجام داد.

رویکردی جهت عملیاتی نمودن امنیت در تولید سیستم‌های نرم‌ افزاری

۲٫۲٫ فضای سایبر
سایبر به عنوان پیشوند برای فعالیت‌هایی که با کامپیوتر و الکترونیک در ارتباط هستند و فضای سایبر نیز فضایی غیرملموس و مجازی در شبکه‌های

بین‌المللی که در این محیط تمام اطلاعات راجع به فرهنگ‌ها، ملت‌ها، کشورها و به طورکلی هر آنچه که در کره خاکی به صورت ملموس و فیزیکی وجود

دارد، در فضای سایبر به شکل دیجیتال و صفر و یک، البته در صورتی که بتوان این تبدیل را انجام داد، وجود خواهد داشت. داده‎هایی که در فضای مجازی

وجود دارند قابل استفاده و در دسترس کاربرانی که از طریق کامپیوتر و اجزاء آن، دستگاه‌های الکتریکی، الکترونیکی، شبکه‌های بین‌المللی که به هم مرتبط هستند، می‌باشد. فضای مجازی دارای ۲ جنبه است که عبارتند از:

• زیرساخت‌ فیزیکی
سخت‌افزار و منابعی که دولت‌‌ها در اختیار دارند تا زمینه را برای ارسال و دریافت داده‌ها آماده کنند.

رویکردی جهت عملیاتی نمودن امنیت در تولید سیستم‌های نرم‌ افزاری

• زیر ساخت مجازی
داده‌هایی که در محیط سایبر به کمک زیر ساخت‌های فیزیکی، انتقال داده می‌شوند.
بنابه تعریف، زیر ساخت‌های فیزیکی در محیط سایبر از اهمیت زیادی برخوردار هستند و در واقع اگر زیر ساخت‌های فیزیکی وجود نداشته باشد، نمی‌توان درکل محیط سایبر را داشته باشیم. زیرساخت‌های محیط سایبر به صورت مستقیم زیر نظر دولت و حکومت‌های مرکزی می‌باشند که آنها نیز با توجه به

نیازها، منابع مالی، سیاست و خط ‌مشی که دارند این زیرساخت‌ها را ایجاد کرده تا در محدوده جغرافیایی خود به محیط سایبر تسلط داشته و آن را کنترل کند. همچنین زیرساخت‌ دولت‌های مختلف به هم وصل شده و با هم دیگر مرتبط هستند و به همین خاطر در محیط سایبر کاربران داده‌ها را از هر نقطه

می‌توانند به اشتراک بگذارند و این یعنی می‌توان داده‌ها را مابین کاربرانی که خارج از محدوده جغرافیایی یک کشور باشند ارسال گردد که این قدرت

سایبر را نشان می‌دهد. قدرتی که قابل مقایسه با انواع قدرت‌های سنتی مانند دریایی، هوایی، فضایی، زمینی از تمامی جهات مانند سرعت انتقال،

هزینه، صحت، اطمینان و غیره نیست. برای همین نیاز است که به محیط سایبر باید توجهی خاص و ویژه وجود داشته باشد. از جهت دیگر برای ورود به محیط جدید، در مقایسه با قدرت‌های سنتی، موانعی کم وجود دارد بخاطر این است که عوامل غیردولتی، دولت‌های کوچک و افراد براحتی می‌توانند وارد

این محیط شده و از آن استفاده کنند. برای همین هم در محیط سایبر قدرت مابین تعداد زیادی از افراد پخش شده و تفاوت قدرت در میان آنها خیلی کم است. به همین خاطر در مقایسه با قدرت‌های دیگر محیط سایبر دارای سه ویژگی¬ای است که آن را با حوزه‌های دیگر متمایز می‌کند که عبارتند از:
• تعداد کسانی که دراین حوزه هستند.

رویکردی جهت عملیاتی نمودن امنیت در تولید سیستم‌های نرم‌ افزاری

• ورود به این حوزه آسان است.
• برای پنهان شدن فرصت‌های زیادی وجود دارد.
سایبر و قدرت آن بسیاری از مسائل را تحت تأثیر قرار می‌دهد. محیط سایبر قادر به ایجاد، انتقال، دستکاری و استفاده از اطلاعات دیجییتالی است. به همین خاطر حوزه‌های مانند تجارت، اقتصاد، امنیت، مالکیت معنوی، تکنولوژی، فرهنگ، سیاست، دیپلماسی بخش‌هایی هستند که با محیط سایبر ارتباط تنگاتنگی دارند. امروزه افراد با استفاده از محیط سایبر به فروشگاه‌ها می‌روند و خرید می‌کنند، در دانشگاه‌های مجازی به سر کلاس می‌روند…………………………….

.۳٫۴٫۱٫ چرا راه حل‌های موجود به صورت گسترده مورد استفاده قرار نمی‌گیرند؛

• رهیافتهایی که امروزه برای ساخت سیستم‌های نرم‌افزاری که قابلیت اعتماد و اطمینان زیادی دارند از نیازهایی که برای قابلیت‌های اطمینان و امنیت است استخراج ‌می‌شوند. کارها چگونه انجام ‌می‌شوند و آنها چگونه به نیازهای زیادی که در همه سطوح وجود دارد از قبیل افراد، تیم پروژه و سازمان انتقال ‌می‌‌یابند.

رویکردی جهت عملیاتی نمودن امنیت در تولید سیستم‌های نرم‌ افزاری

• هزینه و نیازها یکی از بزرگترین موانع سازمانی است که برای تولید نرم‌افزارهای ایمن استفاده ‌می‌شود هرچند دلایل دیگری نیز وجود دارد مانند راحتی کاربر، عرضه سریع به بازار، قابلیت‌های اضافه تر و غیره.
• به دنبال افزایش آگاهی مشتریان و کاربران، تقاضا برای افزایش امنیت زیاد شده است اما مشخص نیست که چه تعدادی از آنها مایل به پرداخت هزینه‌های آن خواهند شد.

• براساس گزارش ماکروسافت، ۲۰% از معایبی که برای امنیت نرم‌افزار است ناشی از طراحی آن می‌باشد. برای اینکه از این نوع مسائل اجتناب شود به سطح بالایی از تخصص‌های امنیتی و طراحی نیاز است.
۳٫۴٫ خلاصه
در این بخش مدل و استانداردی که در زمینه امنیت اطلاعات وجود دارد، از قبیل مدل OCTAVE، SSE-CMM، PSSS و استانداردهایی از قبیل ISO/IEC 1508 یا ISO/IEC 27002 و مدلی که در رابطه با امنیت نرم‌افزار انجام شده TSP-Security آورده شد و در کنار آن محدودیت و چالش‌هایی که در این مدل‌ها وجود دارد به همراه دلایلی که چرا توسعه نرم‌افزارهای به صورت ایمن با وجود مدل و استانداردهایی که وجود دارد همچنان باید مورد توجه قرار گیرد، بیان گردید.

فصل چهارم
چارچوب پیشنهادی و
نگاشت آن به فازهای توسعه نرم افزار

۴٫۱٫ مقدمه
در کنارمدل و استانداردهایی که وجود دارد، PSSS به عنوان مدلی بای بالابردن امنیتدر نرم¬افزار نسبت به سایر مدل و استانداردها دارای کارایی بهتری است چرا که مجموعه کارهایی که در این مدل مورد استفاده قرار می¬گیرد بصورت تخصصی بر ایجاد امنیت در نرم‌افزار تمرکز دارد، دارای اهمیت ویژه‌ای

است و در بخش‌هایی که مورد استفاده قرار گرفته در مقایسه با مدل و استانداردهای دیگر نتایج خیلی بهتری را بخاطر اینکه مبانی ادرلکی آنها ابتدایی هستند و زیاد بر روی طراحی و تحلیل فازها تاکید ندارند، تولید می‌کنند.

مجموعه کارهایی که در PSSS وجود دارد را می¬توان در ۱۱ رده تقسیمبندی کرد که در هرکدام از این رده¬ها کارهای خاصی انجام می¬گیرد.

در این فصل هدف ما بر این است که با استفاده از چارچوب پیشنهادی و با مبنا قرار دادن کارهای PSSS آن را به فازهای توسعه نرم¬افزار نگاشت دهیم تا پس از توسعه نرم¬افزار، نرم¬افزاری ایمن داشته باشیم در بخش پایانی هم، چه کارهایی در هر کدام از فازهای توسعه نرم¬افزار باید انجام شود، آورده شده تا کارهایی که در هر فاز باید انجام گیرد به صراحت مشخص گردد.

۴٫۲٫ کلیات چارچوب پیشنهادی
در مقایسه‌ها با روش و استانداردهایی که در رابطه با امنیت محصولات نرم‌افزاری است چون PSSS بصورت تخصصی بر ایجاد امنیت در نرم‌افزار تمرکز دارد، دارای اهمیت ویژه‌ای است و در بخش‌هایی که مورد استفاده قرار گرفته

در مقایسه با مدل و استانداردهای دیگر نتایج خیلی بهتری را بخاطر اینکه مبانی ادرلکی آنها ابتدایی هستند و زیاد بر روی طراحی و تحلیل فازها تاکید ندارند، تولید می‌کنند هر چند در کنار این مزایا، معایبی نیز برای این روش وجود دارد که در بالا به آن اشاره کردیم[۵].

رویکردی جهت عملیاتی نمودن امنیت در تولید سیستم‌های نرم‌ افزاری

چرخه توسعه نرم‌افزار دارای فازهایی است که ورودی هرکدام از این فازها خروجی فاز قبلی است. پس اگر بتوانیم در هر فاز علاوه بر توسعه نرم‌افزار، مسائل امنیتی را در آن فاز انجام دهیم بعد از اینکه فازهای نرم‌افزار تمام شد ‌می‌توان نرم‌افزاری با امنیت تولید کرد. در هر فاز معیار و شاخص‌هایی که با

امنیت در ارتباط هستند وجود دارد و باید به آنها پاسخ داده شود و تا زمانیکه به این معیارها پاسخ داده نشود، وارد فاز بعدی نمی‌شود و از این رو بعد از اینکه فازهای توسعه نرم‌افزار به اتمام رسید، نرم‌افزاری با امنیت تولید ‌می‌شود.

در این پایان نامه با توجه به چارچوبی که در شکل ۲ پیشنهاد ‌می‌‌شود، با مبنا قرار دادن ویژگی‌های امنیتی که در [۵]ذکر شده به همراه دیگر مسائل امنیتی که در مدل‌ و استانداردهای امنیتی که در بالا به آنها اشاره کردیم، را با فازهای توسعه نرم افزار ادغام کرده و به صورت موازی با آن پیش می‌بریم تا
نرم‌افزاری که تولید می شود، نرم افزار ایمن باشد…………………..