بخشی از پاورپوینت
اسلاید 1 :
توسعه امن نرم افزار
بسم الله الرحمن الرحیم
اسلاید 2 :
گذشتــه.
سه ستون امنیت نرمافزار معرفی شد.
در ادامه: شرح ستون اول و دوم
اسلاید 3 :
مدیریت ریسک
اسلاید 4 :
مدیریت ریسک
اتفاق نظر همـــه روی این گــــــــزاره <<<<<امنیت یـــعنی مدیریت ریسک
زبانهای مختلف در بیان همین گزاره! << مدیریت ریسک ~ تحلیل ریسکــ~ مدل تهدید
فرآیند مدیریت ریسک مداوم و پیوسته ، یـــک ضـــرورتــــــ
RMF یک فعالیت در تمام طول چرخــه حیاتــــــــ چه پروژههای کوچک، چه پروژههای بزرگـــــ
RMF یک چارچوب مدیریت ریسک کـــــلی ( نه تنها برای ریسکهای امنیتی نرم افزار، بلکه برای موقعیتهای غیر نرمافزاری)
ایده اصلی :: شناسایی، رتبهبندی، پیگیری و درک ریسک امنیت نرمافزار با توجه به تغییرات در طول زمان
ارزیابی و توصیف تاثیرات، مرکزیت توجه مدیریت ریسک
خستهکننده بودن شناسایی ریسکهای جدی برای افراد فنی <<< توصیف آثار برای این افراد
RMF برای یک پروژه کوچک <<< یک عضو نیمهوقت در تیم
اسلاید 5 :
مراحل RMF
5 مرحله اصلی در طی یک فرآیند حلــقهبســــته
فهم زمینه تجارت
جمعآوری و اولویتبندی ریسکها
شناسایی ریسکهای تجاری و تکنیکی
تعریف استراتژی کاهش ریسک
انجام اقدامات مورد نیاز و اعتبارسنجی
اسلاید 6 :
فهم زمینه تجــــــارتــــــ
شناخت زمینه تجاری و اهداف برتر تجاری در آن زمینه خاص از طریق :
جمعآوری مصنوعات (شامل معماری سیستم، حساب های کاربری، مجوزها، محیطهای تعریف شده، مصنوعات نرمافزاری، مستندهای تولید شده به صورت خودکار، دادهها و .)
انجام بررسی درباره پروژه ( به دست آوردن یک خلاصه تک صفحهای <<< دید کلی برای دیدن جنگل! )
اسلاید 7 :
شناسایی ریسکهای تجـــــاری و تـکـــنیـــــکـی
اهداف تجاری :: ذاتا مبهم، عدم تبیین صریح
اهداف تجاری شامل افزایش در آمد، ارضای توافقنامههای تجاری(SLA)، بازگشت سرمایه(ROI)
ریسک تجاری :: به خطر افتادن هریک از اهداف تجاری از قبیل ضررهای مالی، تخریب نام و آبروی تجاری و یا نقض حقوق مشتریان یا محدودیتهای قانونی
ریسک فنی :: موقعیتی بر خلاف طرح یا پیادهسازی برنامهریزی شده سیستم مورد نظر
شناسایی ریسکهای فنی و نگاشـــت آنها به ریسکهای تجــاری >>>> فعالیت اصلی
اسلاید 8 :
ســنتز و اولویـتبنـدیـــ ریـــسکها
مطرح بودن تعداد زیادی از ریسکها برای هر سیستمی<<< صرف شناسایی اهمیت دارد اما . اولویت بندی به آنها ارزش می بخشد
اولویتبندی با توجه به اهداف تجاری مهمتر
معیارهای مربوط به ریسک شامل
احتمال ریسک
اثر ریسک
شدت ریسک
تعداد ریسکهای نوظهور و یا کاهش یافته در زمان
امکان خودکارسازی جمعآوری و نمایش این معیارها
اسلاید 9 :
تعریف راهــــبرد کاهـش ریســـک
تحلیلگران فنی ::
توانا در کشف مشکلات فنی
ناتوان در تعیین آنچه باید انجام گیرد
هیچ کس نمیخواهد تنها صورتی از مشکلات بدون راه حل را بشنود!
محکـــــ یک تحلیل ریسک با قوت راهبرد کاهش ریسک آن
شکستن همیشه ساده تر از ساخت چیزی ناشکستنی
لزوم در نظر گرفتن معیارهای تجاری مثل هزینه تخمینی، بازگشت سرمایه، اثربخشی روش و درصد پوشش ریسک
اسلاید 10 :
اعتبـــــارسنجی و انجام اقـــدامــاتــــــ مورد نیــاز
اعتبارسنجی این امر که ریسکهای غیرقابل پذیرش، مصنوعات نرمافزاری و فرآیندها را تهدید نمی کند.
این فرآیند اعتبار سنجی باید یک رویه قابل تکرار، قابل اندازهگیری و قابل وارسی باشد تا مرتبا جهت وارسی کیفیت مصنوعات قابل استفاده باشد.
اسلاید 11 :
اهمیت اندازه گیری در هر حوزه دانش
«وقتی شما میتوانید آنچه را میگویید اندازه بگیرید و در قالب اعداد آن را بیان کنید، درباره آن پدیده مقداری میدانید. وقتی نمی توانید با اعداد آن را بیان کنید چنان دانشی را ندارید و در حقیقت شاید مقدمه دانش مورد نیاز را داشته اید اما ..»
در باب اندازهگیری..
اسلاید 13 :
فعالیتــــــ داوطــــلبانــــــه
چرا RMF ؟
چارچوب های دیگر مدیریت ریسک با نگاهی متمرکز تر بر امنیت نرمافزار میشناسید؟
راهنمایی:
SSTRM http://web.securityinnovation.com/software-security-total-risk-management/
http://technet.microsoft.com/en-us/library/cc163143.aspx
اسلاید 16 :
آغاز مراحل چرخه مکگرا
اسلاید 17 :
دستورالعملهای صریح و مشخص به منظور دخیل کردن مهندسی امنیت در نیازمندیها، معماری، طراحی، کدزنی، اندازهگیری و نگهداری
معرفی شده در قالب مراحل و نقاط مشخص و قابل لمسی با نام Touchpoint
اجرای چرخهای و متناوب مراحل
قابل اعمال بودن این مراحل به هر فرآیند تولید نرمافزار
قابلیت استفاده از این مراحل در شرایط که حداقل مجموعه مصنوعاتی وجود داشته باشد هر پروژهای حداقل یک مصنوع کد را دارد.
اولویت برخی مراحل بر دیگران
اسلاید 18 :
سوال؟
ناهماهنگی در ترتیب تصویر و لیست معرفی شده مشاهده نمیشود؟
جواب؟
در ادامه .!
مراحل شامل :
مـــرور کــــــد
تحلیل ریسک معــــــمارانـــه
تســتـ نفـــــوذ
تستهای امنیتی ریــــسکمبـــنا
سناریوهای سوء کاربرد
نیازمندیهای امنیتی
اقدامات اپراتوری امنیت
اسلاید 19 :
مــــرور کــــــد
مثال :: سرریز بافر در خط 42 کد
ابزارهای مختلف تحلیل ایستا برای پویش کد منبع به منظور یافتن آســـیبپذیـــری
لازم ولـــــــی نـاکافــــی
بـرطرفــــ شــدن 50٪ نقصهـــا
اسلاید 20 :
تحلیل ریسک معـــمارانه
مصنــــوع مورد نظر در این مرحله : مشخصات سیستم و طراحی آن
طراحان، معماران وتحلیلگران <<<مستندسازی مفروضات به گونهای صریح، که شناسایی حملات ممکن باشد.
تحلیلگران امنیت <<< شناسایی و رتبهبندی عیوب معمارانه به منظور آغاز رویه کاهش ریسک
مثال :
افراز نامناسب و محافظت ضعیف از دادههای حساس
ناتوانی وبسرویس از احراز اصالت کد فراخوانیشده و کاربر آن؛
دخیل نبودن زمینه متناسب در اتخاذ تصمیمات کنترل دسترسی
