توضیحات
عنوان فارسی: مدل سازی تهدید(رویکردی برای تجزیه و تحلیل امنیت نرم افزار)
- چکیده
- مقدمه
- فرآیند مدل سازی تهدید
- تجزیه نرم افزار
- دسته بندی تهدید
- نگاهی به لیست پروژه OWASP
- مدل سازی تهدیدهای امنیتی در راستای امن سازی معماری نرم افزار
- نتیجه گیری
- پشنهادات
چکیده
مدل سازی تهدید یک رویکرد برای تجزیه و تحلیل امنیت نرم افزار است. این رویکرد ساختار یافته است که شما را به شناسایی، تعیین کمیت، و پرداختن به خطرات امنیتی مرتبط با یک برنامه قادر می سازد .
مدل سازی تهدید رویکردی برای بررسی کد نیست،اما آن را تکمیل فرایند بررسی کد امنیتی نیزمی دانند. گنجاندن مدل سازی تهدید در [1] SDLC می تواند کمک و اطمینان رابرای برنامه هاکه با امنیت ساخته شده است و امنیت از همان ابتدا توسعه یافته است. همراه با اسناد و مدارک تولید به عنوان بخشی از فرایند مدل سازی تهدید، می تواند بررسی درک بیشتری از سیستم رامی دهد.
مدل سازی تهدیداجازه می دهد تا بررسی برای دیدن جایی که نقاط ورود به نرم افزار می باشد و تهدیدات مرتبط با هر نقطه ورود. مدل سازی گردد .مدل سازی تهدید مدرن به نظر می رسد در یک سیستم از دیدگاه یک مهاجم بالقوه، به عنوان مدافع است. رویکرد کنونی مدلسازی تهدید، رویکردی تدافعی است. این بدان معنا است که قبل از نوشته شدن کد، تهدیدات و اقدامات متقابل آنها مورد بررسی قرار میگیرد. به این ترتیب، برخلاف رویکرد خصمانه که مکانیزمهای دفاعی پس از اتمام توسعهی نرمافزار به صورت وصله به آن اضافه میشوند، مکانیزمهای دفاعی در رویکرد تدافعی درون کدهای نرمافزار قرار میگیرند. در این مقاله، ابتدا به بررسی رویکردهای موجود در مدلسازی تهدید میپردازیم. همچنین، به منظور درک هر چه بیشتر مفهوم مدلسازی تهدید و مراحل تولید “مدل تهدید” برای یک برنامهی کاربردی، یک مثال کمکی نیز در نظر گرفته شده است .
واژه های کلیدی: امنیت نرم افزار،معماری امن،مدل سازی تهدید،الگوهای امن،طبقه بندی
- مقدمه
رویکرد نرمافزار-محور از طراحی سیستم شروع میشود. در این رویکرد با استفاده از مدل سیستم، حملات موجود در برابر هر یک از عناصر مدل شناسایی میشود.
مایکروسافت یکی از مدافعان قوی این رویکرد در سالهای اخیر بوده است، به طوری که مدلسازی تهدید، بخش جداناپذیر در روند “چرخهی توسعهی امنیت ” مایکروسافت قرار دارد.
قبل از شروع تجزیه و تحلیل تهدید، باید درک درستی از تعریف کلی تهدید مورد نظر و خطرات احتمالی آن به دست آوریم. از دیدگاه مدیریت خطر، مدلسازی تهدید رویکردی سیستماتیک و استراتژیک برای شناسایی و برشمردن تهدیدات برنامه میباشد که هدف آن به حداقل رساندن خطر و اثرات تهدید است. تجزیه و تحلیل تهدیدات به منظور شناسایی و طبقهبندی نقاط ضعف بالقوهای است که میتواند مورد سوءاستفاده قرار گیرد.
فهرست تهدیدات موجود در[2] STRIDE به شناسایی تهدیدات از دیدگاه مهاجم کمک میکند. به وسیلهی تجزیه و تحلیل دقیق موارد کاربرد میتوان نقاط ضعفی که منجر به آسیبپذیریهای جدی در آینده میشوند را پیدا کرد. ابتدا موارد کاربرد یک جزء برنامه را پیدا میکنیم. سپس، به یافتن موارد سوءاستفاده میپردازیم. موارد سوءاستفاده باید به عنوان بخشی از فعالیتهای مهندسی امنیتی مورد نیاز شناخته شود. این موارد سوءاستفاده میتوانند نمایانگر چگونگی دور زدن اقدامات حفاظتی موجود و یا مشخصکنندهی مکانهای فاقد مکانیزم محافظتی باشند.
قدیمی ترین روش شناسی توسعه سیستم روش آبشاری (Waterfall) است که در حقیقت برآمده از همین مفهوم، “چرخه حیات توسعه سیستم” است شکل 1و هرچند که امروزه عملا یک روش منسوخ و قدیمی محسوب می شود اما در بسیاری از موارد مفاهیم و واژه نامه آن به منظور ارائه تصویری ولو کلی از نحوه جریان امور پروژه های توسعه سیستم مورد استفاده قرار می گیرد.
شکل1: چرخه حیات توسعه سیستم
در روش شناسی آبشاری تصویری ساده از فرآیند توسعه سیستم مطرح است.
- برنامه ریزی: نیازی، درخواستی، هدفی مطرح می شود، این احتمالا به تولید یک سند منجر خواهد شد که حوزه و دامنه مسئله را درون خود جای می دهد.
- تجزیه و تحلیل: سند دریافتی از مرحله قبل مبنای کار قرار می گیرد و توام با بررسی وضعیت جاری سند دیگری تولید می شود که به توصیف دقیق وضعیت موچود و محددیت های احتمالی و شرایط خاص مرتبط با موضوع می پردازد.
- طراحی: هر دو سند در یافتی از مراحل قبل مورد استفاده قرار می گیرند تا یک سیستم هدف در سطوح کلی و جزیی توصیف و به اصطلاح طراحی شود.
- اجرا: در طول یک فعالیت اجرایی با کمک سند طراحی دریافتی از مرحله قبل سیستم تولید، آزمایش، نصب و راهبری و نگاهداری می شد.
- فرآیند مدل سازی تهدید
جهت توسعه سیستم های امن استفاده از مدل سازی تهدید بسیار مهمتر از کد نویسی امن می باشد زیرا توسعه دهندگان نمی توانند سیستم ایمن را ایجاد نمایند تا زمانی که تهدیدات را شناسایی نکنند. شامل
- شناسایی و مستندسازی اطلاعات مدل تهدید
- شناسایی و مستندسازی وابستگیهای خارجی برنامه
- شناسایی و مستندسازی نقاط ورودی برنامه
- شناسایی و مستندسازی داراییهای برنامه
- شناسایی و مستندسازی سطوح اعتماد برنامه
- رسم نمودار جریان دادهها
2-1 تجزیه نرم افزار
اولین گام در فرایند مدل سازی تهدید به دست آوردن درک درستی از نرم افزار و چگونه آن با موجودیتهای خارجی درتعامل است.
هدف این مرحله جمع آوری اطلاعات و اسناد است. فرایند جمع آوری اطلاعات با استفاده از یک ساختار به وضوح تعریف شده، که تضمین اطلاعات صحیح جمع آوری شده است ، انجام خواهد شد
اطلاعات جمع آوری شده در سند مدل تهدید بصورت مستند به تولید نمودار جریان داده (DFDS [3]) برای نرم افزار استفاده می شود.شکل [2] DFDS نشان دادن مسیرهای مختلف از طریق سیستم است.
- برای دانلود فایل word کامل ترجمه از گزینه افزودن به سبد خرید بالا استفاده فرمایید.
- لینک دانلود فایل بلافاصله پس از خرید بصورت اتوماتیک برای شما ایمیل می گردد.
به منظور سفارش تحقیق مرتبط با رشته تخصصی خود بر روی کلید زیر کلیک نمایید.
سفارش تحقیق
دیدگاهها
هیچ دیدگاهی برای این محصول نوشته نشده است.