معرفي به يک دوست
 
اين محصول را به دوستتان معرفي كنيد.

ارائه رويکردی جهت ارزيابی امنيت نرم‌ افزار مبتنی بر سيستم مديريت امنيت اطلاعات

ارائه رويکردی جهت ارزيابی امنيت نرم‌ افزار مبتنی بر سيستم مديريت امنيت اطلاعات
ارائه رويکردی جهت ارزيابی امنيت نرم‌ افزار مبتنی بر سيستم مديريت امنيت اطلاعات
170,000 ریال 
تخفیف 15 تا 30 درصدی برای همکاران، کافی نت ها و مشتریان ویژه _____________________________  
وضعيت موجودي: موجود است
تعداد:  
افزودن به ليست مقايسه | افزودن به محصولات مورد علاقه

تعداد صفحات: 142 صفحه _ فرمت WORD _ دانلود مطالب بلافاصله پس از پرداخت آنلاين

فهرست مطالب

چکيده
1
مقدمه 2

فصل اول: کليات   
1-1)    طرح مسئله 7
1-2)    ضرورت انجام تحقيق 9
1-3)    اهداف تحقيق 12
1-4)    سؤالات تحقيق 13
1-5)    تعاريف 13

فصل دوم: مرور ادبيات و پيشينه تحقيق   
2-1)    مهندسي امنيت 17
2-1-1)    اهميت مهندسي امنيت 18
2-1-2)    زمينه‌هاي فرآيند مهندسي امنيت 18
2-2)    فرآيند SDL 19
2-3)    معرفي NIST 20
2-4)    معرفي OASIS 21
2-5)    مدل بلوغ قابليت مهندسي امنيت سيستم‌ها 22
2-6)    استانداردهاي امنيتي 23
2-6-1)    استانداردهاي اوليه مديريت امنيت 24
2-6-2)    استاندارد ISO/IEC 15443 25
2-7)    معرفي مقالاتي در زمينه امنيت نرم‌افزار 26

فصل سوم: روش کار و تحقيق   
3-1)    روش کار 30
3-2)    چرخه حيات توسعه نرم‌افزار 31
3-2-1)    اهميت SDLC 32
3-2-2)    فازهاي چرخه حيات توسعه نرم‌افزار 33
3-2-3)    روش‌هاي توليد نرم‌افزار 33
3-2-4)    امنيت در قالب مهندسي نرم‌افزار 35
3-2-5)    استاندارد ISO/IEC 12207 36
3-3)    کيفيت 38
3-3-1)    اهميت کيفيت 39
3-3-2)    کنترل کيفيت 40
3-3-3)    تضمين کيفيت 42
3-3-4)    تعريف مدل کيفيت نرم‌افزار 43
3-3-4-1)    اجزاي مدل کيفيت 44
3-3-4-2)    مدل‌هاي معروف کيفيت نرم‌افزار 44
3-3-4-2-1)    مدل McCall 45
3-3-4-2-2)    مدل Boehm 46
3-3-4-2-3)    مدل Dromey 47
3-3-4-2-4)    مدل FURPS 48
3-3-5)    استاندارد ISO/IEC 9126 49
3-4)    امنيت 49
3-4-1)    فرآيند چرخه‌ حيات توسعه نرم‌افزار امن 50
3-4-2)    متريک‌هاي امنيتي 51
3-4-3)    مهمترين عوامل برقراري امنيت 52
3-4-3-1)    محرمانگي 53
3-4-3-2)    يکپارچگي 53
3-4-3-3)    دسترس‌پذيري 54
3-4-4)    معرفي استاندارد ISO/IEC 15408 54
3-4-5)    معرفي استاندارد ISO/IEC 27034 58

فصل چهارم: رويکرد ارزيابي امنيتي پيشنهادي   
4-1)    آسيب‌پذيري و حملات 64
4-2)    هدف رويکرد پيشنهادي 66
4-3)    رويکرد پيشنهادي به منظور ارزيابي امنيتي نرم‌افزار 67
4-3-1)    سطح اول- لايه مهندسي نرم‌افزار 69
4-3-2)    سطح دوم- لايه سنجش کيفيت 71
4-3-3)    سطح سوم- لايه ارزيابي امنيتي 74
4-4)    مزيت و ايراد رويکرد امنيتي پيشنهادي 76
4-5)    پياده‌سازي رويکرد ارزيابي امنيتي پيشنهادي بر اساس ISMS 76
4-6)    ويژگي‌هاي رويکرد پيشنهادي 80

فصل پنجم: مطالعه موردي رويکرد پيشنهادي   
5-1)    آشنايي کلي با سيستم برنامه‌ريزي منابع سازماني 84
5-1-1)    هدف سيستم 85
5-1-2)    امنيت در ERP 86
5-2)    روند مطالعه موردي 87
5-2-1)    فعاليت‌هاي ارزيابي امنيتي بر اساس بخش اول رويکرد 92
5-2-2)    فعاليت‌هاي ارزيابي امنيتي بر اساس بخش دوم رويکرد 93
5-3)    مقايسه نتايج 98

فصل ششم: نتيجه‌گيري و کارهاي آتي   
6-1)    نتيجه‌گيري 102
6-2)    پيشنهاد براي کارهاي آتي 103

پيوست‌ها   
پيوست الف) سيستم مديريت امنيت اطلاعات (ISMS) 106
پيوست ب) سطوح تضمين ارزيابي از بخش سوم استاندارد ISO/IEC 15408 116


منابع و مآخذ   
فهرست منابع 126

چکيده انگليسي
128



فهرست شکل‌ها


شکل 1-1) دو گام اصلي در امن‌سازي نرم‌افزار
شکل 3-1) فازهاي چرخه حيات توسعه نرم‌افزار
شکل 3-2) الگوي اصلي استاندارد ISO/IEC 12207
شکل 3-3) ابعاد امنيت
شکل 3-4) روند ارزيابي تحت CC
شکل 3-5) ارزيابي و عوامل آن بر اساس CC
شکل 3-6) رابطه عناصر اصلي استاندارد ISO/IEC 27034 با يکديگر
شکل 3-7) ارتباط ISO/IEC 27034 با ديگر استانداردهاي بين‌المللي
شکل 4-1) وابستگي ساختار شکست کار SDLC، Quality و Security
شکل 4-2) آمار آسيب‌پذيري نرم‌افزارهاي گزارش شده به مرکز CERT تا اواخر 2008
شکل 4-3) الزامات يک ارزيابي امنيتي صحيح
شکل 4-4) رويکرد ارزيابي امنيتي پيشنهادي
شکل 4-5) فعاليت‌هاي فاز طراحي از چرخه حيات نرم‌افزار
شکل 4-6) پياده‌سازي رويکرد ارزيابي امنيتي پيشنهادي بر اساس ISMS
شکل 5-1) مراحل پايه‌اي در انجام ارزيابي امنيتي رويکرد پيشنهادي
شکل 5-2) مقايسه وجود و عدم وجود لايه دوم رويکرد پيشنهادي در نتايج ارزيابي امنيتي

108    شکل الف-1) چرخه PDCA


فهرست جدول‌ها

جدول 3-1) رابطه بين فاکتورها و معيارها در مدل McCall
جدول 3-2) مخاطبان و چگونگي استفاده از بخش‌هاي استاندارد ISO/IEC 15408
جدول 4-1) انواع تکنيک‌هاي اندازه‌گيري کيفيت
جدول 4-2) مقايسه ويژگي‌هاي کيفيت در مدل‌هاي کيفي معروف
جدول 4-3) برخي از فعاليت‌هاي سنجش کيفيت فعاليت مستندسازي از فاز طراحي
جدول 4-4) نحوه مستند کردن فعاليت‌هاي ارزيابي امنيتي مربوط به فعاليتي خاص در يکي از فازهاي SDLC
جدول 4-5) نگاشت ISMS و رويکرد ارزيابي امنيتي پيشنهادي
جدول 4-6) نحوه مستند کردن فعاليت‌هاي ارزيابي امنيتي رويکرد پيشنهادي در ترکيب با PDCA
جدول 4-7) استانداردها و روش‌هاي مورد نظر به منظور استفاده در سطوح رويکرد پيشنهادي
جدول 5-1) جزئياتي از فعاليت مستندسازي فاز طراحي
جدول 5-2) تعيين ST مستند طراحي بر اساس بخش دوم CC
جدول 5-3) فعاليت‌هاي ارزيابي امنيتي بخش اول رويکرد پيشنهادي
جدول 5-4) فعاليت‌هاي ارزيابي امنيتي بخش دوم رويکرد پيشنهادي
جدول 5-5) مؤلفه‌هاي قابل استفاده از CC به عنوان ASC در ISO/IEC 27034
جدول 5-6) مقايسه نتايج استفاده و عدم استفاده از رويکرد پيشنهادي
جدول 5-7) اثر لايه دوم رويکرد پيشنهادي در نتايج ارزيابي
جدول ب-1) مؤلفه‌هاي سطح تضمين ارزيابي 1
جدول ب-2) مؤلفه‌هاي سطح تضمين ارزيابي 2
جدول ب-3) مؤلفه‌هاي سطح تضمين ارزيابي 3
جدول ب-4) مؤلفه‌هاي سطح تضمين ارزيابي 4
جدول ب-5) مؤلفه‌هاي سطح تضمين ارزيابي 5
جدول ب-6) مؤلفه‌هاي سطح تضمين ارزيابي 6
جدول ب-7) مؤلفه‌هاي سطح تضمين ارزيابي 7

 
چکيده

با توجه به نياز هميشگي به امنيت و همچنين ظهور مداوم حملات جديد، همواره بايد در ايجاد روش‌هاي جديد براي مقابله با تهديدات امنيتي و ارتقاي سطح امنيت نرم‌افزارهاي توليد شده تلاش کرد. داشتن نرم‌افزاري امن، صرفاً با برآورده کردن نيازهاي امنيتي در مراحل مختلف چرخه حيات نرم‌افزار برقرار نمي‌شود، بلکه توجه به مهندسي‌ساز بودن و بررسي‌هاي کيفيتي و در نهايت ارزيابي‌هاي امنيتي کامل، خود موضوع مهمي است که توجه صحيح به آن مالکان، سازندگان و مصرف‌کنندگان برنامه‌هاي کاربردي را در مسير صحيحي براي کسب اطمينان از ميزان امنيت برنامه مورد نظر قرار مي‌دهد.
در راستاي بالا بردن سطح امنيت نرم‌افزارها و مقابله با افرادي که براي نقض امنيت تلاش مي‌کنند، در اين پايان نامه سعي بر آن است تا با توجه دادن به اهميت به کارگيري استاندارد و روش‌هاي چرخه حيات توسعه نرم‌افزار و اهميت سنجش کيفي نرم‌افزار در چارچوب استاندارد و مدل‌هاي کيفي مطرح، رويکردي به منظور ارزيابي امنيت نرم‌افزارها با بهره‌گيري از استانداردها و آزمون‌هاي امنيت، ارائه گردد و سپس تلاش‌هايي به منظور بهبود اين رويکرد و پياده‌سازي آن با اصول و استانداردهاي جهاني انجام گرفته است.
رويکرد ارائه شده در اين نگارش، در دو قسمت بررسي شده است. در هردو بخش اين رويکرد، ارزيابي امنيتي انجام گرفته بر روي فعاليت‌هاي چرخه حيات، بر اساس بخش سوم استاندارد ISO/IEC 15048 بوده و با استفاده از اين استاندارد، اتخاذ فعاليت‌هايي امنيتي به منظور ارزيابي فعاليت‌هاي چرخه حيات پيشنهاد گرديده است. در بخش دوم اين رويکرد، با بکارگيري اصول ISMS، فعاليت‌هاي ارزيابي امنيتي، با قرارگرفتن در چرخه PDCA بهبود يافته و بدين ترتيب ارزيابي امنيتي کامل‌تري بر روي فعاليت‌هاي چرخه حيات توسعه نرم‌افزار انجام خواهد شد. نتايج و مقايسه هر دو بخش اين رويکرد نيز در نمونه مطالعاتي اين تحقيق، نتيجه‌ ذکر شده را تصديق مي‌کند.

 

مقدمه

امنيت همواره يکي از مسائل بسيار مهم در زمينه کامپيوتر، داده‌ها و اطلاعات است. در واقع امنيت داراي ماهيتي پيوسته و هميشگي است و همواره در طول زمان نياز به وجود آن احساس مي‌شود. امنيت نرم‌افزار به عنوان يکي از مباحث مهم در زمينه کامپيوتر، از اين قاعده مستثني نيست. در واقع امنيت از سه فاکتور اصلي محرمانگي، يکپارچگي و دسترس‌پذيري تشکيل شده است. همواره براي نقض امنيت سيستم‌ها و سوء استفاده از آن‌ها، تلاش‌هايي صورت مي‌گيرد و در مقابل افرادي همواره براي برقراري امنيت، اقداماتي صورت خواهند داد. برخي از اين اقدامات مثمر‌ثمر بوده و همچنين بسياري از آن‌ها بي‌فايده بوده و نتايج دلخواه را دربر ندارند. زيرا اين فعاليت‌ها اغلب پراکنده، مقطعي و بدون برنامه و ساختار منظم هستند. در واقع در بيشتر مواقع، مسائل امنيتي به عنوان يک راه‌ حل در نظر گرفته مي‌شوند.
مالکان و توليدکنندگان و ارزيابان همواره چرخ‌هاي حرکت فن‌آوري اطلاعات از گذشته تا کنون بوده و در اين تعامل تاريخي اين افراد همواره با چالش‌هاي متنوعي روبرو بوده‌اند. مسئله مهم فهم و درک متقابل از مسئله و مشکل امنيت و سپس چگونگي حل معزل امنيت تحت هزينه زماني و مالي مقرون به صرفه، دغدغه هر دو محرکه فن‌آوري اطلاعات و ارتباطات بوده است.
با توجه به اينکه سيستم‌ها همواره در معرض تهديدات امنيتي هستند و از طرفي به امنيت نمي‌توان به طور مطلق نگريست، بديهي است در هر زمان امکان بروز مشکلات امنيتي در کنار پيشرفت تکنولوژي وجود دارد. از اين رو، براي براي بالا بردن سطح امنيت در نرم‌افزارها، بايد در کليه مراحل توليد و توسعه محصول نرم‌افزاري نيازمندي‌هاي امنيتي سيستم را مد نظر قرار داد. حتي در صورت آشنايي توسعه دهندگان نرم‌افزار با مباني کلي نرم‌افزار و دانستن تکنيک‌هايي براي برآورده کردن برخي نيازمندي‌هاي امنيتي و استفاده از برخي روش‌هاي طراحي امن، عدم وجود رويکرد و رويه‌اي کامل، به منظور تضمين برآورده شدن کليه ملزومات براي دستيابي به امنيت، دستيابي به محصولي ايمن  و قابل اعتماد را با مشکل مواجه مي‌کند.


فهرست منابع

]1[ ناصر مديري، فاطمه کشاورز کوهجردي، "مفاهيم پيشرفته در مهندسي نرم افزار"، انتشارات گنج نفيس، 1389
]2[ ناصر مديري، رامين شيرواني، "مهندسي معماري امن نرم‌افزار"، انتشارات مهرگان قلم، 1390
]3[ ناصر مديري، ناصر ولي، "مهندسي ارزيابي امنيت سيستم هاي کامپيوتري، مهرگان قلم، 1391
]4[ ناصر ولي، "پيشنهاد چارچوبي براي پياده‌سازي و ارزيابي امنيت سيستم‌هاي اطلاعاتي و ارتباطي تحت استاندارد ISO/IEC 15408" پايان نامه دوره کارشناسي ارشد، دانشکده فني دانشگاه آزاد اسلامي واحد تهران شمال، زمستان 90
]5[ رامين شيرواني، " ارائه چارچوبي جهت شناسايي حفره هاي امنيتي نرم‌افزار" پايان نامه دوره کارشناسي ارشد، دانشکده فني دانشگاه آزاد اسلامي واحد تهران شمال، زمستان 90
]6[ سپيده غلامي، "پيشنهاد الگويي براي پايش متريک‌هاي فرايند توليد نرم‌افزار" پايان نامه دوره کارشناسي ارشد، دانشکده فني دانشگاه آزاد اسلامي واحد تهران شمال، پاييز 90
[7] https://www.oasis-open.org/ last visited on: 06/05/2013
[8] G.H. Walton, T.A. Longstaff, and R.C. Linger, "Computational Evaluation of Software Security Attributes", 42nd Hawaii International Conference on System Sciences (HICSS), pp.:1 - 10, Big Island, HI, Jan. 2009
[9] Shanai Ardi and Nahid Shahmehri, "Introducing Vulnerability Awareness to Common Criteria’s Security Targets", Fourth International Conference on Software Engineering Advances (ICSEA), pp.:419 - 424, Porto, Sept. 2009
[10] K. Taguchi, N. Yoshioka, T. Tobita and H. Kaneko, "Aligning Security Requirements and Security Assurance using the Common Criteria", Fourth IEEE International Conference on Secure Software Integration and Reliability Improvement (SSIRI), pp.:69 - 77, Singapore, June 2010
[11] Nasser Vali and Nasser Modiri, "Challenges and Opportunities in the Information Systems Security Evaluation and Position of ISO / IEC 15408",  Second International Conference on Software Engineering & Computer Systems (CSECS), pp.:321 - 334, Kuantan, Pahang,  Malaysia, June 2011
[12] Zhengping Ren a*, Song Huang, Yi Yao and Yu Hong, "Confidence Measures Analysis of Software Security Evaluation", International Conference on Advanced in Control Engineering and Information Science (CEIS), pp.:3505 – 3510, Dali, China, August 2011
[13] Ramin Shirvani, Nasser Modiri, "Software Architectural Considerations For The Development of Secure Software Systems",  The 7th International Conference on Networked Computing (INC), pp.:84-88, Gyeongsangbuk-do, South Korea, 2011  
[14] ISO/IEC 12207, Systems and software engineering -- Software life cycle processes, 2008
[15] Paul Clarkea, Rory V. O’Connor, "The influence of SPI on business success in software SMEs: An empirical study", Journal of Systems and Software, Volume 85, Issue 10, pp.:2356–2367, October 2012
[16] Common Criteria, ISO/IEC 15408, part: 1-2-3; Version 3.1, 2009
[17] ISO/IEC 27034, Information technology -- Security techniques -- Application security, part 1, 2011
[18] ISO/IEC 27001, Information technology -- Security techniques -- Information security management systems – Requirements, 2005
[19] http://www.cert.org/stats last visited on: 10/08/2013
[20] http://www.isi.org.ir/magezin/195/38.asp last visited on: 05/08/2013



 
Abstract

Due to the constant need for security and the continuous emergence of new attacks, always be tried to create new methods to deal with security threats and improving software security. Having secure software is not gained only by meeting the security needs at different stages of the software life cycle, but the software engineering and quality measurements are important issues that proper attention to them by owners, builders, and consumer applications will be them on the right track to ensure the security of the program.
In order to raise the level of software security and confront those who are trying to breach security, this thesis is an attempt to show the importance of applying standards and methods of software development life cycle and the  measurement of software quality, and finally presents an approach for evaluating software security using security testing standards. Then, efforts have been made to improve the implementation of this approach through methods and international standards.
The approach presented in this writing, has been studied in two Sections. In both these Sections, security evaluation was carried out on a SDLC activity, based on the ISO/IEC 15048 and using this standard, Adopting security activities have been conducted to evaluate the SDLC activities. In the second section of this approach, using the principles of ISMS, security activities are improved using PDCA cycle. Thus a complete security assessment will be done on the software development life cycle activities. Comparing the results of both of two sections in the case study sample confirms the improvement.

نظري براي اين محصول ثبت نشده است.


نوشتن نظر خودتان

براي نوشتن نظر وارد شويد.

محصولات
نظر سنجي
نظرتون در مورد ویکی پروژه چیه؟
  •   مراحل ثبت نام خیلی زیاده!
  •   مطلب درخواستیم رو نداشت!
  •   ایمیل نداشتم که ثبت نام کنم!
  •   مطلبی که میخواستم گرون بود!
نظرنتيجه