فروشگاه

توضیحات

ارزیابی امنیت نرم‌ افزار مبتنی بر سیستم مدیریت امنیت اطلاعات

با توجه به نیاز همیشگی به امنیت و همچنین ظهور مداوم حملات جدید،

همواره باید در ایجاد روش‌های جدید برای مقابله با تهدیدات امنیتی

و ارتقای سطح امنیت نرم‌افزارهای تولید شده تلاش کرد. داشتن نرم‌افزاری امن، صرفاً با برآورده کردن نیازهای امنیتی در مراحل مختلف چرخه حیات نرم‌افزار برقرار

نمی‌شود، بلکه توجه به مهندسی‌ساز بودن و بررسی‌های کیفیتی و

در نهایت ارزیابی‌های امنیتی کامل، خود موضوع مهمی است که

توجه صحیح به آن مالکان، سازندگان و مصرف‌کنندگان برنامه‌های کاربردی را در مسیر صحیحی برای کسب اطمینان از میزان امنیت برنامه مورد نظر قرار می‌دهد.

در راستای بالا بردن سطح امنیت نرم‌افزارها و مقابله با افرادی که

برای نقض امنیت تلاش می‌کنند، در این پایان نامه سعی بر آن است تا با توجه دادن

به اهمیت به کارگیری استاندارد و روش‌های چرخه حیات توسعه نرم‌افزار و اهمیت سنجش کیفی نرم‌افزار در چارچوب استاندارد و مدل‌های کیفی مطرح،

رویکردی به منظور ارزیابی امنیت نرم‌افزارها با بهره‌گیری از استانداردها و آزمون‌های امن

ارائه گردد و سپس تلاش‌هایی به منظور بهبود این رویکرد و پیاده‌سازی آن با اصول و استانداردهای جهانی انجام گرفته است.

 ارزیابی امنیت نرم‌ افزار مبتنی بر سیستم مدیریت امنیت اطلاعات

رویکرد ارائه شده در این نگارش، در دو قسمت بررسی شده است.

در هردو بخش این رویکرد، ارزیابی امنیتی انجام گرفته بر روی فعالیت‌های

چرخه حیات، بر اساس بخش سوم استاندارد ISO/IEC 15048 بوده و با استفاده از این استاندارد، اتخاذ فعالیت‌هایی امنیتی به منظور ارزیابی فعالیت‌های چرخه حیات پیشنهاد گردیده است. در بخش دوم این رویکرد، با

بکارگیری اصول ISMS، فعالیت‌های ارزیابی امنیتی، با قرارگرفتن در

چرخه PDCA بهبود یافته و بدین ترتیب ارزیابی امنیتی کامل‌تری بر روی فعالیت‌های

چرخه حیات توسعه نرم‌افزار انجام خواهد شد. نتایج و مقایسه هر

دو بخش این رویکرد نیز در نمونه مطالعاتی این تحقیق، نتیجه‌ ذکر شده را تصدیق می‌کند.

 

  ۱۲۰صفحه فایل ورد (Word) فونت ۱۴ منابع دارد +شکل و تصاویر

پس از پرداخت آنلاین میتوانید فایل کامل این پروژه را دانلود کنید

 ارزیابی امنیت نرم‌ افزار مبتنی بر سیستم مدیریت امنیت اطلاعات
ارزیابی امنیت نرم‌ افزار مبتنی بر سیستم مدیریت امنیت اطلاعات

 

 

فهرست مطالب

عنوان صفحه

چکیده ………………………………………………………………………………………………………………
۱
مقدمه ………………………………………...……………………………………………………………………. ۲

فصل اول: کلیات
۱-۱) طرح مسئله ……………………………………………………………………………………………… ۷
۱-۲) ضرورت انجام تحقیق ………………………………………………………………………………. ۹
۱-۳) اهداف تحقیق ………………………………………………………………………………………….. ۱۲

۱-۴) سؤالات تحقیق ………………………………………………………………………………………… ۱۳
۱-۵) تعاریف …………………………………………………………………………………………………… ۱۳

فصل دوم: مرور ادبیات و پیشینه تحقیق
۲-۱) مهندسی امنیت …………………………………………………………………………………………. ۱۷
۲-۱-۱) اهمیت مهندسی امنیت ……………………………………………………………….. ۱۸
۲-۱-۲) زمینه‌های فرآیند مهندسی امنیت ………………………………………………….. ۱۸

.

 ارزیابی امنیت نرم‌ افزار مبتنی بر سیستم مدیریت امنیت اطلاعات

۲-۲) فرآیند SDL …………………………………………………………………………………………….. 19
۲-۳) معرفی NIST …………………………………………………………………………………………… 20

۲-۴) معرفی OASIS …………………………………………………………………………………………… 21
۲-۵) مدل بلوغ قابلیت مهندسی امنیت سیستم‌ها ……………………………………………………… ۲۲
۲-۶) استانداردهای امنیتی …………………………………………………………………………………….. ۲۳
۲-۶-۱) استانداردهای اولیه مدیریت امنیت ………………………………………………….. ۲۴
۲-۶-۲) استاندارد ISO/IEC 15443 …………………………………………………………… 25
۲-۷) معرفی مقالاتی در زمینه امنیت نرم‌افزار …………………………………………………………… ۲۶

فصل سوم: روش کار و تحقیق

۳-۱) روش کار …………………………………………………………………………………………………… ۳۰
۳-۲) چرخه حیات توسعه نرم‌افزار ………………………………………………………………………… ۳۱
۳-۲-۱) اهمیت SDLC …………………………………………………………………………….. 32
۳-۲-۲) فازهای چرخه حیات توسعه نرم‌افزار ………………………………………………. ۳۳
۳-۲-۳) روش‌های تولید نرم‌افزار ………………………………………………………………… ۳۳
۳-۲-۴) امنیت در قالب مهندسی نرم‌افزار …………………………………………………….. ۳۵
۳-۲-۵) استاندارد ISO/IEC 12207 …………………………………………………………… 36
۳-۳) کیفیت ……………………………………………………………………………………………………….. ۳۸
۳-۳-۱) اهمیت کیفیت ………………………………………………………………………………. ۳۹
۳-۳-۲) کنترل کیفیت ……………………………………………………………………………….. ۴۰
۳-۳-۳) تضمین کیفیت ……………………………………………………………………………… ۴۲

 ارزیابی امنیت نرم‌ افزار مبتنی بر سیستم مدیریت امنیت اطلاعات

۳-۳-۴) تعریف مدل کیفیت نرم‌افزار …………………………………………………………… ۴۳
۳-۳-۴-۱) اجزای مدل کیفیت ……………………………………………………………. ۴۴
۳-۳-۴-۲) مدل‌های معروف کیفیت نرم‌افزار ………………………………………… ۴۴
۳-۳-۴-۲-۱) مدل McCall ………………………………………………………. 45
۳-۳-۴-۲-۲) مدل Boehm ……………………………………………………….. 46
۳-۳-۴-۲-۳) مدل Dromey ……………………………………………………… 47
۳-۳-۴-۲-۴) مدل FURPS ………………………………………………………. 48
۳-۳-۵) استاندارد ISO/IEC 9126 ……………………………………………………………… 49

 ارزیابی امنیت نرم‌ افزار مبتنی بر سیستم مدیریت امنیت اطلاعات

۳-۴-۱) فرآیند چرخه‌ حیات توسعه نرم‌افزار امن ………………………………………….. ۵۰
۳-۴-۲) متریک‌های امنیتی …………………………………………………………………………. ۵۱
۳-۴-۳) مهمترین عوامل برقراری امنیت ………………………………………………………. ۵۲
۳-۴-۳-۱) محرمانگی ……………………………………………………………………….. ۵۳
۳-۴-۳-۲) یکپارچگی ………………………………………………………………………. ۵۳
۳-۴-۳-۳) دسترس‌پذیری ………………………………………………………………….. ۵۴
۳-۴-۴) معرفی استاندارد ISO/IEC 15408 …………………………………………………. 54
۳-۴-۵) معرفی استاندارد ISO/IEC 27034 …………………………………………………. 58

فصل چهارم: رویکرد ارزیابی امنیتی پیشنهادی

۴-۱) آسیب‌پذیری و حملات ……………………………………………………………………………….. ۶۴
۴-۲) هدف رویکرد پیشنهادی ………………………………………………………………………………. ۶۶
۴-۳) رویکرد پیشنهادی به منظور ارزیابی امنیتی نرم‌افزار ………………………………………….. ۶۷
۴-۳-۱) سطح اول- لایه مهندسی نرم‌افزار ……………………………………………………. ۶۹
۴-۳-۲) سطح دوم- لایه سنجش کیفیت ………………………………………………………. ۷۱

۴-۳-۳) سطح سوم- لایه ارزیابی امنیتی ………………………………………………………. ۷۴
۴-۴) مزیت و ایراد رویکرد امنیتی پیشنهادی …………………………………………………………… ۷۶
۴-۵) پیاده‌سازی رویکرد ارزیابی امنیتی پیشنهادی بر اساس ISMS ……………………………. 76
۴-۶) ویژگی‌های رویکرد پیشنهادی ……………………………………………………………………….. ۸۰

فصل پنجم: مطالعه موردی رویکرد پیشنهادی
۵-۱) آشنایی کلی با سیستم برنامه‌ریزی منابع سازمانی ……………………………………………… ۸۴
۵-۱-۱) هدف سیستم ……………………………………………………………………………….. ۸۵
۵-۱-۲) امنیت در ERP …………………………………………………………………………….. 86

 ارزیابی امنیت نرم‌ افزار مبتنی بر سیستم مدیریت امنیت اطلاعات

۵-۲) روند مطالعه موردی …………………………………………………………………………………….. ۸۷
۵-۲-۱) فعالیت‌های ارزیابی امنیتی بر اساس بخش اول رویکرد ……………………… ۹۲
۵-۲-۲) فعالیت‌های ارزیابی امنیتی بر اساس بخش دوم رویکرد ……………………… ۹۳
۵-۳) مقایسه نتایج …………………………………………………………………………………………….. ۹۸

فصل ششم: نتیجه‌گیری و کارهای آتی

۶-۱) نتیجه‌گیری …………………………………………………………………………………………………. ۱۰۲
۶-۲) پیشنهاد برای کارهای آتی …………………………………………………………………………….. ۱۰۳

پیوست‌ها
پیوست الف) سیستم مدیریت امنیت اطلاعات (ISMS) …………………………………………….. 106

پیوست ب) سطوح تضمین ارزیابی از بخش سوم استاندارد ISO/IEC 15408 …………….. 116

منابع و مآخذ
فهرست منابع ……………………………………………………………………………………………………….. ۱۲۶

چکیده انگلیسی …………………………………………………………………………………………………
۱۲۸

فهرست شکل‌ها
صفحه
عنوان

شکل ۱-۱) دو گام اصلی در امن‌سازی نرم‌افزار ……………………………………………………
شکل ۳-۱) فازهای چرخه حیات توسعه نرم‌افزار…………………………………………………..
شکل ۳-۲) الگوی اصلی استاندارد ISO/IEC 12207 ……………………………………………
شکل ۳-۳) ابعاد امنیت ……………………………………………………………………………………..
شکل ۳-۴) روند ارزیابی تحت CC ……………………………………………………………………
شکل ۳-۵) ارزیابی و عوامل آن بر اساس CC ……………………………………………………..
شکل ۳-۶) رابطه عناصر اصلی استاندارد ISO/IEC 27034 با یکدیگر …………………….
شکل ۳-۷) ارتباط ISO/IEC 27034 با دیگر استانداردهای بین‌المللی …………………….

 ارزیابی امنیت نرم‌ افزار مبتنی بر سیستم مدیریت امنیت اطلاعات

شکل ۴-۱) وابستگی ساختار شکست کار SDLC، Quality و Security …………………
شکل ۴-۲) آمار آسیب‌پذیری نرم‌افزارهای گزارش شده به مرکز CERT تا اواخر ۲۰۰۸
شکل ۴-۳) الزامات یک ارزیابی امنیتی صحیح ……………………………………………………..
شکل ۴-۴) رویکرد ارزیابی امنیتی پیشنهادی ………………………………………………………..
شکل ۴-۵) فعالیت‌های فاز طراحی از چرخه حیات نرم‌افزار ………………………………….
شکل ۴-۶) پیاده‌سازی رویکرد ارزیابی امنیتی پیشنهادی بر اساس ISMS ………………..
شکل ۵-۱) مراحل پایه‌ای در انجام ارزیابی امنیتی رویکرد پیشنهادی………………………..

شکل ۵-۲) مقایسه وجود و عدم وجود لایه دوم رویکرد پیشنهادی در نتایج ارزیابی امنیتی……………………………………………………………………………………………………………….

۸۷

۹۹
۱۰۸ شکل الف-۱) چرخه PDCA …………………………………………………………………………….

فهرست جدول‌ها
صفحه
عنوان

جدول ۳-۱) رابطه بین فاکتورها و معیارها در مدل McCall …………………………………..

جدول ۳-۲) مخاطبان و چگونگی استفاده از بخش‌های استاندارد ISO/IEC 15408 …
جدول ۴-۱) انواع تکنیک‌های اندازه‌گیری کیفیت …………………………………………………
جدول ۴-۲) مقایسه ویژگی‌های کیفیت در مدل‌های کیفی معروف ………………………….
جدول ۴-۳) برخی از فعالیت‌های سنجش کیفیت فعالیت مستندسازی از فاز طراحی….
جدول ۴-۴) نحوه مستند کردن فعالیت‌های ارزیابی امنیتی مربوط به فعالیتی خاص در یکی از فازهای SDLC ……………………………………………………………………………………..

جدول ۴-۵) نگاشت ISMS و رویکرد ارزیابی امنیتی پیشنهادی …………………………….

جدول ۴-۶) نحوه مستند کردن فعالیت‌های ارزیابی امنیتی رویکرد پیشنهادی در ترکیب با PDCA ……………………………………………………………………………………………..
جدول ۴-۷) استانداردها و روش‌های مورد نظر به منظور استفاده در سطوح رویکرد پیشنهادی …………………………………………………………………………………………………………
جدول ۵-۱) جزئیاتی از فعالیت مستندسازی فاز طراحی ……………………………………….
جدول ۵-۲) تعیین ST مستند طراحی بر اساس بخش دوم CC ……………………………..
جدول ۵-۳) فعالیت‌های ارزیابی امنیتی بخش اول رویکرد پیشنهادی ………………………
جدول ۵-۴) فعالیت‌های ارزیابی امنیتی بخش دوم رویکرد پیشنهادی ……………………..
جدول ۵-۵) مؤلفه‌های قابل استفاده از CC به عنوان ASC در ISO/IEC 27034 ……..
جدول ۵-۶) مقایسه نتایج استفاده و عدم استفاده از رویکرد پیشنهادی …………………….

 ارزیابی امنیت نرم‌ افزار مبتنی بر سیستم مدیریت امنیت اطلاعات

جدول ۵-۷) اثر لایه دوم رویکرد پیشنهادی در نتایج ارزیابی …………………………………
جدول ب-۱) مؤلفه‌های سطح تضمین ارزیابی ۱ ………………………………………………….
جدول ب-۲) مؤلفه‌های سطح تضمین ارزیابی ۲ ………………………………………………….
جدول ب-۳) مؤلفه‌های سطح تضمین ارزیابی ۳ ………………………………………………….
جدول ب-۴) مؤلفه‌های سطح تضمین ارزیابی ۴ ………………………………………………….
جدول ب-۵) مؤلفه‌های سطح تضمین ارزیابی ۵ ………………………………………………….
جدول ب-۶) مؤلفه‌های سطح تضمین ارزیابی ۶ ………………………………………………….
جدول ب-۷) مؤلفه‌های سطح تضمین ارزیابی ۷ ………………………………………………….

 

مقدمه

امنیت همواره یکی از مسائل بسیار مهم در زمینه کامپیوتر، داده‌ها و اطلاعات است. در واقع امنیت دارای ماهیتی پیوسته و همیشگی است و همواره در طول زمان نیاز به وجود آن احساس می‌شود. امنیت نرم‌افزار به عنوان یکی از مباحث مهم در زمینه کامپیوتر، از این قاعده مستثنی نیست.

در واقع امنیت از سه فاکتور اصلی محرمانگی، یکپارچگی و دسترس‌پذیری تشکیل شده است. همواره برای نقض امنیت سیستم‌ها و سوء استفاده از آن‌ها،

تلاش‌هایی صورت می‌گیرد و در مقابل افرادی همواره برای برقراری امنیت، اقداماتی صورت خواهند داد. برخی از این اقدامات مثمر‌ثمر بوده و همچنین بسیاری از آن‌ها بی‌فایده بوده و نتایج دلخواه را دربر ندارند. زیرا این فعالیت‌ها اغلب پراکنده، مقطعی و بدون برنامه و ساختار منظم هستند. در واقع در بیشتر مواقع، مسائل امنیتی به عنوان یک راه‌ حل در نظر گرفته می‌شوند.

مالکان و تولیدکنندگان و ارزیابان همواره چرخ‌های حرکت فن‌آوری اطلاعات

از گذشته تا کنون بوده و در این تعامل تاریخی این افراد همواره با چالش‌های متنوعی روبرو بوده‌اند. مسئله مهم فهم و درک متقابل از مسئله و مشکل امنیت و سپس چگونگی حل معزل امنیت تحت هزینه زمانی و مالی مقرون به صرفه، دغدغه هر دو محرکه فن‌آوری اطلاعات و ارتباطات بوده است.

با توجه به اینکه سیستم‌ها همواره در معرض تهدیدات امنیتی هستند و از طرفی به امنیت نمی‌توان به طور مطلق نگریست، بدیهی است در هر زمان امکان بروز مشکلات امنیتی در کنار پیشرفت تکنولوژی وجود دارد. از این رو،

برای برای بالا بردن سطح امنیت در نرم‌افزارها، باید در کلیه مراحل تولید و توسعه محصول نرم‌افزاری نیازمندی‌های امنیتی سیستم را مد نظر قرار داد. حتی در صورت آشنایی توسعه دهندگان نرم‌افزار با مبانی کلی نرم‌افزار و

 ارزیابی امنیت نرم‌ افزار مبتنی بر سیستم مدیریت امنیت اطلاعات

دانستن تکنیک‌هایی برای برآورده کردن برخی نیازمندی‌های امنیتی و استفاده از برخی روش‌های طراحی امن، عدم وجود رویکرد و رویه‌ای کامل، به منظور تضمین برآورده شدن کلیه ملزومات برای دستیابی به امنیت، دستیابی به محصولی ایمن و قابل اعتماد را با مشکل مواجه می‌کند.

در این نگارش، سعی بر ارائه رویکردی با ثبات و همه جانبه که متکی بر استانداردهای تولید محصول است، داریم. در این روش روند ارزیابی امنیت با مورد توجه قرار دادن مهندسی‌ساز بودن محصول با توجه به توصیه‌های ISO/IEC 12207 و ارزیابی کیفی محصول بر اساس مدل McCall، با استفاده از

ISO/IEC 15408 بیان و در نهایت پیاده‌سازی بر اساس استاندارد ISO/IEC 27034 و چرخه PDCA انجام می‌شود. به دلیل گستردگی و پیچیدگی بسیار زیاد مبحث ارزیابی امنیت سیستم‌های کامپیوتری، برای محدود ساختن تحقیق و اخذ نتایج مناسب با توجه به فرصت چند ماهه، رویکرد اصلی این تحقیق استفاده از متن استاندارد و مطالعه برخی روش‌های بسیار مهم و معروف در این حوزه است.

هدف اصلی این پایان نامه ایجاد روشی بر مبنای اصول مهندسی

امنیت است که چگونگی ارزیابی محصول تحت معیارهای مشترک را بیان می‌کند، از آنجایی که از رهنمودهای استانداردهای ISO/IEC 12207 و ISO/IEC 15408 و ISO/IEC 27034 استفاده شده است، این رویکرد به شکلی کاملا

انعطاف‌پذیر عمل کرده و قابل انطباق با تغییر تکنولوژی، تغییر ساختار سازمانی، تغییر اهداف کسب و کار، تغییر خط مشی امنیت سازمان است.

به دلیل جدید بودن مبحث ارزیابی امنیت محصولات فنآوری، روش‌های زیادی در این حوزه مطرح نشده است، به همین دلیل سعی شده است تا با انتخاب متن استاندارد و رهنمود‌های آن روشی مورد استناد و مورد تأیید که

در تجارت نیز ارزش استفاده داشته باشد، ارائه شود. متأسفانه عدم امکانات در

 ارزیابی امنیت نرم‌ افزار مبتنی بر سیستم مدیریت امنیت اطلاعات

کشور و نبود آزمایشگاه معتبر CC و سازمان‌هایی که در این رابطه تحقیق و تفحص انجام دهند، چالشی بزرگ در پیاده‌سازی چنین تحقیق‌هایی بوده و

امید است که مسئولان و اساتید محترم فعال در حوزه امنیت سیستم‌های اطلاعاتی و ارتباطی بیش از پیش در این رابطه توجه داشته باشند و با عنایت حکیمانه خود کشور اسلامی عزیزمان را در این زمینه نیز همانند دیگر زمینه های علوم نوین، مستقل وصاحب نظر سازند.

این پایان‌نامه در ۶ فصل تدوین شده، بدین ترتیب که در فصل اول طرح مسئله،

ضرورت تحقیق، اهداف تحقیق و تعاریف کلی را بیان می‌کنیم. فصل دوم به مرور ادبیات و پیشینه تحقیق در زمینه امنیت و کارها و تلاش‌هایی که در این حوزه انجام شده می‌پردازد. در فصل سوم روش تحقیق این پایان‌نامه،

روش‌ها، استانداردها و مطالبی که این پایان‌نامه از آن‌ها بهره برده بیان می‌شود. در فصل چهارم به ارائه جامع رویکرد مورد نظر برای ارزیابی امنیت

نرم‌افزارها می‌پردازیم. فصل پنجم به مطالعه موردی برای بررسی رویکرد پیشنهادی پرداخته و در فصل ششم نتایج تحقیق و پیشنهادهایی برای

 ارزیابی امنیت نرم‌ افزار مبتنی بر سیستم مدیریت امنیت اطلاعات

فعالیت‌های بیشتر در آینده ارائه می‌شود.

 

فصل اول
کلیات

 

مقدمه

امنیت همواره یکی از موضوعات بحث برانگیز در زمینه کامپیوتر بوده و همواره

افرادی برای از بین بردن آن تلاش می‌کنند و همین امر موجب شده که انواع حملات امنیتی در این زمینه به وجود آید. از سوی دیگر، توسعه‌دهندگان سیستم‌های کامپیوتری نیز همواره در پی کشف راه‌هایی برای مقابله با این

تهدیدات و حملات هستند. متأسفانه در اکثر مواقع در هنگام ساخت سیستم‌های نرم‌افزاری، توجه کافی به برقرار بودن شرایط اصلی برای داشتن امنیت

نمی‌شود و توسعه‌دهندگان صرفاً به روش‌های موجود برای برقراری امنیت،

در اکثر موارد هم بعد از تولید، بسنده می‌کنند. در حالی که توجه به این مطلب

ضروریست که تا شرایط مناسب برقرار نباشد، رسیدن به هدف که همان رسیدن

به امنیت در سطح مطلوب است، امری ناممکن خواهد بود. بنابراین،

توجه به نیازهای امنیتی، نباید توسعه‌دهندگان را از دقت و رعایت ‌نیازهای الزامی برای داشتن امنیت، غافل سازد که این غفلت می‌تواند استفاده از

روش‌های امنیتی را بی اثر و یا کم اثر کند و عملا نتیجه دلخواه و مطلوبی در این زمینه حاصل نشود.

وجود آسیب‌پذیری‌های امنیتی متعدد در نرم‌افزارهای تولیدی و خسارت‌های

 ارزیابی امنیت نرم‌ افزار مبتنی بر سیستم مدیریت امنیت اطلاعات

فراوانی که به این دلیل به مشتریان و شرکت‌های تولید کننده محصولات وارد آمده است، توسعه‌دهندگان سیستم‌های نرم‌افزاری را وادار به استفاده

از روش‌هایی برای کاهش این مخاطرات امنیتی کرده است. از این‌رو، برای بالا بردن سطح امنیت در نرم‌افزارها، باید در تمام مراحل تولید و توسعه محصول

نرم‌افزاری، علاوه بر به کارگیری روش‌های امنیتی، پیش نیاز‌ها و نیازمندی‌های امنیتی را نیز به طور جدی مد نظر قرار داده و در همه فعالیت‌ها، ارزیابی‌های امنیتی به طور کامل انجام شوند.

 ارزیابی امنیت نرم‌ افزار مبتنی بر سیستم مدیریت امنیت اطلاعات

۱-۱) طرح مسئله

امنیت نرم‌افزار بر تشخیص خطرات بالقوه‌ای تأکید دارد و ممکن است بر نرم‌افزار تأثیر منفی داشته باشد و همچنین باعث خرابی کل سیستم شود. اگر خطرات در فرآیند مهندسی نرم‌افزار زود تشخیص داده شوند، اشکالات طراحی نرم‌افزار قابل تشخیص هستند و باعث حذف یا کنترل خطرات بالقوه می‌شوند ]۱[.
Leveson در مورد تأثیر نرم‌افزار در سیستم‌هایی با امنیت بحرانی می‌گوید: قبل از استفاده نرم‌افزار در سیستم‌هایی با امنیت بحرانی، اغلب با دستگاه‌های متداول مکانیکی و الکترونیکی (غیرقابل برنامه‌ریزی) کنترل می‌شدند. تکنیک‌های امنیت سیستم به روشی طراحی شده‌اند که بر اشکالات

تصادفی در این سیستم‌های غیرقابل برنامه‌ریزی غلبه نمایند. خطاهای ناشی از خطاهای ایجاد شده توسط انسان به طور کامل قبل از تحویل و عملیاتی شدن، قابل اجتناب یا حذف هستند.

 ارزیابی امنیت نرم‌ افزار مبتنی بر سیستم مدیریت امنیت اطلاعات

اهمیت امنیت نرم‌افزارها زمانی احساس می‌شود که خرابی این سیستم‌ها منجر به خسارات جانی و مالی گردد. از این‌رو قابلیت اطمینان در این

سیستم‌ها ضروری به نظر می‌رسد. برای حصول این اطمینان، نیازمند ارزیابی و اندازه‌گیری در تمام مراحل تولید نرم‌افزار و پس از آن، به منظور اطلاع از چگونگی روند پیشرفت محصولی با کیفیت و با امنیت هستیم ]۲[. با گسترش سیستم‌های اطلاعاتی و ارتباطی، حملات و تهدیدهای امنیتی علیه این

گونه سیستم‌ها نیز افزایش یافته و امروزه در نظر گرفتن جنبه‌های امنیتی در توسعه سیستم‌ها به عنوان یکی از کلیدی‌ترین موضوعات مطرح است. نقش فناوری اطلاعات فقط در صورتی در زندگی بشری موثر و کارآمد خواهد بود که امنیت این حوزه تأمین گردد. نقص‌های امنیتی فناوری علاوه بر اینکه

موجب کاهش اعتماد به تکنولوژی امروزی می‌شود، به عاملی برای تهدید و ایجاد مشکلات اقتصادی و اجتماعی جبران ناپذیر بشری نیز تبدیل خواهد شد.

 

 ارزیابی امنیت نرم‌ افزار مبتنی بر سیستم مدیریت امنیت اطلاعات

0 نقد و بررسی
وضعیت کالا : موجود است.
شناسه محصول : 2229
 ارزيابی امنيت نرم‌ افزار مبتنی بر سيستم مديريت امنيت اطلاعات

قیمت : تومان43,760