ای آر پایانامه

چکیده
امروزه با توجه به پیشرفتهایی که در زمینه فناوری اطلاعات وجود دارد، نرم افزارها یکی از بخش¬های عمومی در هر یک از سازمانها می¬باشد. نرم¬افزارها دارای ابعاد مختلفی مانند، کیفیت، کمیت، قابلیت اطمینان و غیره می¬باشد که هر کدام از اینها به نوبه خود دارای اهمیت فراوانی هستند. یکی از ابعاد دیگر نرم¬افزار امنیت هست و بخاطر اینکه نرم¬افزارها به همه داده¬هایی که در سازمانها وجود دارد، دسترسی دارند، و محافظت از داده¬ها دارای اهمیت فراوانی است، بحث امنیت در نرم¬افزار نیز از جایگاه خاصی برخوردار است.
در زمینه امنیت برای نرم¬افزار و اطلاعات، مدل و استانداردهای مختلفی وجود دارد مانند ISO/IEC27002، SSE-CMM و TSP-Security.
یکی دیگر از مدل¬ای که در زمینه امنیت نرم¬افزار مورد استفاده قرار می¬گیرد و در کارهایی که مورد استفاده قرار گرفته، نتایج بهتری نسبت به مدل و استانداردهای دیگر تولید کرده، "فرآیندی برای امنیت محصولات نرم¬افزاری(PSSS)" است.
5 فاز توسعه نرم¬افزار عبارتند از : فاز شناسایی، طراحی و توسعه، اجرا و ارزیابی، عملیات و نگه‌داری و بازنشستگی
در این پایان¬نامه سعی ما بر این است تا با مبنا قرار دادن PSSS و استفاده از کارهای سایر مدل و استانداردهای امنیت نرم¬افزار، هریک از کارهایی که باید در هر کدام از فازهای توسعه نرم¬افزار انجام داد را نگاشت می¬دهیم تا در کنار کارهایی که برای توسعه نرم¬افزار است، امنیت نیز به عنوان بخشی از توسعه نرم¬افزار در نظر گرفته شود تا کارها به صورت ایمن وارد فاز بعدی شود و به این ترتیب، در زمان توسعه امنیت را در نرم¬افزار بالا ببریم.


فهرست مطالب
فصل اول: کلیات
1.1. مقدمه 17
1.2. شرح مسئله 18
1.3. انگیزه های پژوهش 21
1.4. اهداف پژوهش 21
1.5. ساختار پایان نامه 21

فصل دوم: لزوم داشتن امنیت و فازهای نرم‌افزاری و فازهای نرم افزاری
2.1. مقدمه 25
2.2. فضای سایبر 26
2.3. سیاست های به اشتراک گذاری فضای سایبر 28
2.4. سیاست های امن کردن محیط سایبر 29
2.5. مفهوم امنیت 30
2.6. تعریف امنیت 33
2.7. امنیت اطلاعات 35
2.8. بندهای سه گانه امنیت 36
2.8.1. محرمانگی 36
? رمزگذاری 37
? احراز هویت با چند فاکتور 37
2.8.2. یکپارچگی 37
? امضاء دیجیتال 38
? محدودکردن دسترسی بر اساس نقش 38
? حسابرسی 38
2.8.3. در دسترس بودن 39
? دیوار آتش 40
? بازرسی 40
2.9. فازهای نرم افزار 40
2.9.1. فاز اول از توسعه نرم افزار، فاز شناسایی 41
2.9.1.1. موضوعات / اهداف 43
2.9.1.2.افراد تاثیرگذار 43
2.9.1.3.کارهایی که در این فاز باید انجام گیرد 44
2.9.2. فاز دوم از توسعه نرم افزار، فاز طراحی و توسعه 45
2.9.2.1. موضوعات / اهداف 46
2.9.2.2. افراد تاثیرگذار 46
2.9.2.3. کارهایی که در این فاز باید انجام گیرد 46
2.9.3. فاز سوم از توسعه نرم افزار، فازاجرا و ارزیابی 48
2.9.3.1. موضوعات / اهداف 48
2.9.3.2. افراد تاثیرگذار 49
2.9.3.3. کارهایی که در این فاز باید انجام گیرد 49
2.9.4. فاز چهارم از توسعه نرم افزار، فاز عملیات و نگه داری 50
2.9.4.1. موضوعات / اهداف 51
2.9.4.2. افراد تاثیرگذار 51
2.9.4.3. کارهایی که در این فاز باید انجام گیرد 51
2.9.5. فاز پنجم از توسعه نرم افزار، فاز بازنشستگی 52
2.9.5.1. موضوعات / اهداف 52
2.9.5.2. افراد تاثیرگذار 53
2.9.5.3. کارهایی که در این فاز باید انجام گیرد 53
10.2. خلاصه 53

فصل 3: مروری بر کارهای انجام شده
3.1. مقدمه 56
3.2. مروری بر کارهای انجام شده 57
3.2.1. مدل OCTAVE 58
3.2.1.1. ویژگی¬های کلیدی اکتاو 59
3.2.1.2. اکتاو بخشی از زنجیره ایمن سازی 61
3.2.2. استاندارد ISO/IEC 15408 62
3.2.2.1. مخاطبان استاندارد ISO/IEC 15408 63
3.2.2.2. دامنه کاربرد استاندارد ISO/IEC 15408 64
3.2.3. استاندارد ISO/IEC 27002 66
3.2.3.1. بخش های امنیتی ISO/IEC 27002 67
3.2.4. مدل SSE-CMM 69
3.2.5. مدل TSP – Security 71
3.2.6. فرآیندی بر پشتیبنی از امنیت نرم افزار 74
3.2.6.1. گروه بندی کارها 75
3.3. محدودیت و چالش های موجود 81
3.3.1. چرا امنیت اهمیت دارد؟ 82
3.3.1.1. امنیت یکی از ملزومات جدی برای نرم‌افزار است 82
3.3.1.2. تولید نرم‌افزارهای امنیتی پیچیده ‌می‌‌باشد؛ 83
3.3.1.3. تعریف کلی از نرم‌افزار ایمن سخت است؛ 84
3.3.1.4. چرا راه حل‌های موجود به صورت گسترده مورد استفاده قرار نمی‌گیرند؛ 84
4.3. خلاصه 85

فصل 4. چارچوب پیشنهادی و نگاشت آن به فازهای توسعه نرم افزار
4.1. مقدمه 88
4.2. کلیات چارجوب پیشنهادی 89
4.3. نگاشت چارچوب پیشنهادی به فازهای توسعه نرم افزار 91
4.3.1. فاز اول از توسعه نرم افزار- فاز شناسایی 92
4.3.1.1. برنامه ریزی اولیه برای امنیت 93
4.3.1.2. دسته بندی سیستم های اطلاعاتی 96
4.3.1.3. ارزیابی از تاثیر تجارت 98
4.3.1.4.ارزیابی از تاثیر حریم خصوصی 99
4.3.1.5.استفاده مطمئن از فرآیندهای توسعه سیستم های اطلاعاتی 100
4.3.2. فاز دوم از توسعه نرم افزار- فاز طراحی و توسعه 101
4.3.2.1. ارزیابی ریسک 102
4.3.2.2. انتخاب و مستند کردن کنترل های امنیتی 103
4.3.2.3. طراحی معماری امنیت 105
4.3.2.4. مهندسی کردن کنترل های امنیتی 107
4.3.2.5. تهیه مستندات امنیتی 108
4.3.2.6. انجام دادن تست ( برای توسعه عملکرد و امنیت ) 109
4.3.3. فاز سوم از توسعه نرم افزار- پیاده سازی و اجرا 110
4.3.3.1. اجاد یک برنامه ریزی دقیق برای C&A 111
4.3.3.2. ادغام کردن امنیت درون سیستم یا محیط های ایجاد شده 112
4.3.3.3. ارزیابی امنیت سیستم 113
4.3.3.4. مجوز دادن به سیستم های اطلاعاتی 114
4.3.4. فاز چهار از توسعه نرم افزار- فاز عملیات و نگه داری 115
4.3.4.1. بررسی آمادگی عملیات برای اجرا 116
4.3.4.2. مدیریت و کنترل پیکربندی اجرا شده 117
4.3.4.3. نظارت مستمر بر نتایج 118
4.3.5. فاز پنجم از توسعه نرم افزار- فاز بازنشستگی 119
4.3.5.1. ساخت و اجرای برنامه ها برای بازنشسته کردن / انتقال 120
4.3.5.2. تضمین حفظ امنیت 121
4.3.5.3.محافظت از رسانه 122
4.3.5.4.کنارگذاشتن سخت افزار و نرم افزار 123
4.3.5.5. بستن سیستم 124
4.4. خلاصه 125

فصل 5. ارزیابی روش پیشنهادی
5.1. مقدمه 128
2.5. معرفی روش ارزیابی 129
3.5. نتایج تولید شده 129
5.4. خلاصه 137
مراجع 139
ضمیمه 1. مجموعه کارهایی که در PSSS انجام می¬گیرد. 143
ضمیمه 2. مجموعه کارهای پیشنهادی به تفکیک فازهای توسعه نرم افزار 148
واژه نامه 152



فهرست جداول
فصل 2
جدول 2.1. کارهایی در فاز آغازین انجام می¬گیرد. 45
جدول 2.2. کارهایی در فاز طراحی و توسعه انجام می¬گیرد. 48
جدول 2.3. کارهایی در فاز پیاده سازی و اجرا انجام می¬گیرد. 50
جدول 2.4. کارهایی در فاز فاز عملیات و نگه داری انجام می¬گیرد. 52
جدول 2.5. کارهایی در فاز بازنشستگی انجام می¬گیرد. 53
فصل 3
جدول 1.3. تفاوت¬های اصلی بین اکتاو و روش¬های دیگر 59
فصل 5
جدول 1.5. دسته¬بندی اطلاعاتی سیستم 131
جدول 2.5. تهدیدهای انسانی 134
جدول 3.5. آسیب¬پذیری¬های سیستم 135
ضمیمه 1
جدول 1. مجموعه کارهایی که در PSSS انجام میگیرد 147


فهرست شکل¬ها
فصل 3
شکل3.1. ابعاد سه¬گانه اکتاو 58
شکل 3.2. مراحل اکتاو 61
شکل 3.3. فعالیت¬های اکتاو و مدیریت خطر 62
شکل 3.4. حفره¬های گزارش شده توسط CERT- CC 83
فصل 4
شکل 4.1. چارچوب پیشنهادی 95
ضمیمه 2
شکل 1. مجموعه کارهایی پیشنهادی به تفکیک فازهای توسعه نرم افزار 149



فصل اول
کلیات

1.1. مقدمه
به اشتراک‌گذاری اطلاعات برای دستیابی به داده‌ها یکی از بخش‌های مهم هر سازمان می‌باشد که از داده‌ها می‎خواهند به بهترین شکل ممکن استفاده کنند. اما در زمان به اشتراک‌گذاری اطلاعات و داده ها برای آن، ویژگی‌هایی از قبیل صحت و درستی داده، سرعت به اشتراک¬گذاری و چندین ویژگی دیگر را باید در نظر گرفت. در این بخش به لزوم توجه به امنیت، یکی از ویژگی‌هایی که باید در به اشتراک‌گذاری اطلاعات باید به آن توجه داشت، اشاره می‌کنیم.



مراجع

[1] موسسه ملی و تحقیقات صنعتی ایران،2007، فناوری اطلاعات – فنون امنیتی – آیین کار مدیریت امنیت اطلاعات، ایران – تهران، جلد اول

[2]حمید رضا باقی، پویا جافریان، گلناز الهی، محمد رضا آیت ا... زاده شیرازی، بابک صادقیان"گسترشی برRUP برای توسعهء سیستم های امن" دانشکده مهندسی کامپیوتر و فناوری اطلاعات دانشگاه صنعتی امیر کبیر، کنفرانس سالانه انجمن کامپیوتر ایران، 1383

[3] منیر سادات شاه ولایتی، " تدابیر ایمنی پدافند غیر عامل در محیطهای IT "، پایان نامه کارشناسی ارشد، دانشگاه آزاد اسلامی واحد تهران جنوب دانشکده تحصیلات تکمیلی،1388.

[4] Gilbert, Chris, 2003 11, “Guidelines for an Information Sharing Policy”, SANS Institute - USA, version 1

[5] Francisco José Barreto Nunes1, Arnaldo Dias Belchior, “PSSS - Process to Support Software Security”, XXII Simpósio Brasileiro de Engenharia de Software. Oct 2008, 4th.

[6] Noopur Davis, Michael Howard, Watts Humphrey, 2004, “Processes to Produce Secure Software”, National Cyber Security, Volume 1

[7] Al Azzazi Ahmad, El Sheikh Asim, “Security Software Engineering: Do it the right way”, Conf. on Software Engineering, Parallel and Distributed Systems, 2007, 6th, 5.

[8] Joint endeavor by Information Assurance Technology Analysis Center (IATAC) with Data and Analysis Center for Software (DACS), 2007, “Software Security Assurance State-of-the-Art Report (SOAR)”, Woodland Park Road, First Publication.

[9] Watts S. Humphrey, November 2000, “the Team Software Process (TSP)”, Carnegie Mellon University – USA, 1

[10]A.Kumar, K.Negrat, A.M. Negrat, and A.Almarimi,”A Robust Watermarking using Blind Source Separation”, Proceedings of world academy of science, engineering and technology, vol.28, April 2008.

[11] Barnum, S.; McGraw, G., “Knowledge for software security”, Security & Privacy IEEE, March-April 2005, Volume: 3, Issue: 2,

[12] Gilliam, D.P, “Security Risks: Management and Mitigation in the Software life cycle”, IEEE International Workshops on Enabling Technologies: Infrastructure for Collaborative Enterprises (WETICE"04), 2005, 13th, 6

[13] Yasar, A.-U.-H.; Preuveneers, D.; Berbers, Y.; Bhatti, G.; “Reported flaws in Common Vulnerabilities and Exposures Database”, Multitopic Conference, 2008. INMIC 2008. IEEE International, Dec 2008, 11,

[14] Hopkinson John P. “the Relationship between the SSE-CMM and IT Security Guidance Documentation”, Principal Engineer, Security Architect EWA, 1999, 18

[15] David Gilliam, John Powell, Eric Haugh, Matt Bishop, “Addressing Software Security and Mitigation in the Life Cycle” Software Engineering Workshop, 2003. Proceedings. 28th Annual NASA, 8494821, Page 201 – 206

[16] Zeinab Moghbel, Nasser Modiri, ,”A Framework for Identifying Software Vulnerabilities within SDLC Phases”, (IJCSIS) International Journal of Computer Science and Information Security, 2010, vol 9

[17] James E. Purcell, “Defining and Understanding Security in the Software Development Life Cycle”, 2007

[18] www.sse-cmm.org/ last visit: September 2011
[19]www.cert.org/octave/ last visit: September 2011

[20] عصمت علی محمدملایری، "ارائه چارچوبی جهت ارزیابی کاستی ها و حفره های امنیتی کاربردهای نرم افزاری"، پایان نامه کارشناسی ارشد، دانشگاه آزاد اسلامی واحد تهران شمال، دانشکده تحصیلات تکمیلی،1388.

[21] ناصر مدیری - رامین شیروانی، 1390، "مهندسی معماری امن نرم افزار"، مهرگان قلم، تهران – ایران، جلد اول.



واژگان

آزادی مدنی Civil Liberty
آزمایش Test
آماده کردن اطلاعات امنیتی Provide security information
آموزش Education
اجتماعی Social
احراز هویت با چند فاکتور Multi-Factor Authentication
ادغام کردن امنیت درون سیستم / محیط‌های ایجاد شده
Integrate Security into Established Environments or Systems
ارزیابی آسیب‌پذیری امنیت Assess security vulnerability
ارزیابی امنیت سیستم Assess System Security
ارزیابی تاثیر تجارت Assess the business Impact
ارزیابی تاثیر حریم خصوصی Assess Privacy Impact
ارزیابی ریسک Assess Risk
ارسال / دریافت Send / Receive
ارنولد ولفزر Arnold Vlfzr
از بین بردن سخت‌افزار و نرم‌افزار Dispose of Hardware and Software
ازهابر Az•habr
استراتژیک Strategic
استفاده مطمئن از فرآیندهای توسعه سیستم‌های اطلاعاتی ایمن
Ensure Use of Secure Information System Development Processes
اسناد حمایتی Supporting Documents
اشتراک‌گذاری اطلاعات Information Sharing
اطلاعات دیجیتال Digital Information
اطلاعات حسابداری Accounting Information
اطلاعات حیاتی Vital Information
اطمینان Confidence
اطمینان از حفظ اطلاعات Ensure Information Preservation
افسر ارشد اطلاعات Chief Information Officer
افشاء Disclosure
اقتصاد Economy
الگوریتم Algorithm
الکترونیک Electronics
امضاء دیجیتال Digital signature
امنیت Security
امنیت اطلاعات Information Security
امنیت کامپیوتر Computer Security
امنیت فناوری اطلاعات Information Technology Security
امنیت محیطی و فیزیکی Physical and Environmental Security
امنیت ملی National Security
امنیت منابع انسانی Human Resources Security
انتخاب و مستند کردن کنترل‌های امنیتی Select and Document Security Controls
انجام دادن تست Doing Test
انتقال Transmission
اهمیت برنامه‌ریزی و کنترل سرمایه Capital Planning and Investment Control
ایان بلامی Ian Bellamy
ایده ایمن کردن کد The idea of a code of safe
ایمنی سایبر Cyber Safety
باری بوران Barry Boran
بازرسی Inspection
بانک اینترنتی Internet Bank
بازیابی Retrieval
بازیابی و اعتبارسنجی امنیت Security Recovery and Validation
بازی‌های تحت شبکه و کامپیوتری Network and Computer Games
بررسی آمادگی عملیات برای اجرا Review Operational Readiness
بررسی تابعی سیستم System Functional Review
بررسی جرائم الکترونیکی Review electronic crimes
بررسی عملکرد سیستم system Performance Review
بررسی عملکردهای مهم تهدید، ارزیابی و نقص
Operationally Critical Threat, Asset, and Vulnerability Evaluation
بررسی مالی در اواسط پروژِه Financial Review mid-project
بررسی معماری / طراحی Architecture/Design Review
بررسی وضعیت پروژه Project Status Review
برنامه‌ریزی اولیه امنیت Initiate Security Planning
برنامه‌ریزی تداوم تجارت Business continuity planning
برنامه‌ریزی دقیق برای C&A Create a Detailed Plan for C&A
برنامه‌نویسان حرفه ای Professional Programmers
برنامه‌های کاربردی Applications Programs
برنامه‌های کامپیوتری بزرگ Large computer programs
بستن سیستم Closure of System
پایداری هویتی Stability of identity
پایگاه داده Database
پردازش Processing
پردازش الکترونیکی داده Electronic data processing
پردازش خودکار داده ها Automated data processing
پروسه تیم نرم‌افزار The process software team
پروفایل محافظتی Protective profiles
پشتیبان گیری Backup
پیاده‌سازی و اجرا Implementation and enforcement
پیکربندی Configuration
تابع رمزگذاری Encryption function
تاثیر ارزیابی ریسک Assess security impact
تائید و اعتبار certification & accreditation
تجارت Business
تحقیقات Research
تست امنیت Security Testing
تضمین امنیت Security Assurance
تکنولوژی Technology
توسعه سیستم System Development
توسعه سیستم‌های اطلاعاتی Development of information systems
توصیف نیازهای امنیتی Describing the security needs
تهیه، توسعه و نگه‌داری سیستم‌های اطلاعاتی
Prepare, develop and maintain Information systems
تیم برنامه‌ریز Team planner
جان‌ ئی‌موزر John E. Moser
چرخه زندگی سیستم System life cycle
چارچوب Framework
چرخه حیات توسعه نرم‌افزار Software Development Life Cycle
حامیان اجرایی Executive Sponsor
حسابرسی Audit
حسابرسی سیستم‌های اطلاعاتی Information Systems Audit
حملات کامپیوتری Computer attacks
خود هدایت شده Self-directed
دارایی Asset
درگاه خروجی Outcoming
درگاه ورودی Incoming
دسترسی Access
دستکاری Manipulation
دستگاه‌های الکتریکی Electric devices
دومینیک دیوید Dominique David
دیپلماسی Diplomacy
دیجیتال Digital
دیوار آتشی Firewall
راهبرد Strategy
راندمان کاری Workflow efficiency
رسانه‌های ارتباطی Communication media
رمزگذاری Encryption
رمزگذاری نامتقارن Asymmetric encryption
روسو Russo
ریسک پروژه Project Risk
زمان بندی Scheduling
زیرساخت‌های حیاتی Critical infrastructure
زیرساخت‌های فیزیکی Physical infrastructure
زیرساخت‌های مجازی Virtual infrastructure
بازنشسته کردن / انتقال Disposal / transition
سازمان بین المللی برای اساندارد گذاری Information Organization for
Standardization
سازمان دولتی Governmental organizations
سازمان دهی امنیت اطلاعات Organization of information security
سازمان خصوصی Private organizations
سازمان غیردولتی Nongovernmental organization (NGO)
سایبر Cyber
سرعت انتفال Transfer speed
سیاست Policy
سیاست گذاری‌های امنیتی Security policy
سیاست‌های امن کردن محیط سایبر Policies to secure cyber space
سیستم‌های توزیع شده Distributed systems
سهامداران پروژه Project stakeholders
شبکه‌های بین المللی International networks
شبکه‌های کامپیوتری Computer Networks
شناسایی ریسک‌های امنیتی Identify security risks
شهروندان Citizens
طراحی Designing
طراحی سیستم System Design
طراحی معماری امنیت Design security architecture
کاربران نهایی End users
کامپیوتر Computer
کلید رمز Encryption key
کنترل بردهای کنترلی Control boards to control
کنترل دسترسی Access control
کیفیت Quality
فاز اجرا / ارزیابی phase Implementation / assessment
فاز بازنشستگی Phase Disposal
فاز توسعه / اکتساب Phase of Development/Acquisition
فاز شروع Phase Initiation
فاز عملیات / توسعه Phase Operations / Development
فازهای توسعه نرم‌افزار Phases of software development
فایل ثبت وقایع سیستم System log files
فرآیندی بر پشتیبانی امنیت نرم‌افزار Process to Support Software Security
فرآیندهای سازمانی Organizational processes
فرآیندهای تیم توسعه Tsp
فرآیندهای تیم توسعه – کارهای امنیتی Tsp – security
فرهنگ Culture
فضای سایبر Cyberspace
قابل دسترس بودن Availability
قابلیت حسابرسی Auditing capabilities
عدم انکار Non-repudiation
قدرت دریایی Naval power
قدرت زمینی Ground power
قدرت نظامی Military power
قدرت هوایی The Air Power
لارون مارتین Larun Martin
ماتریس تخصیص وظایف Allocation matrix functions
مالکان تجارت Business owners
متدولوژی Methodology
متخصصان امنیت Security experts
مدیر ارشد امور مالی Chief Financial Officer
مجازی Virtual
مجموعه جامع از برنامه‌ها Project Management Professionals
مجوز رسمی Authorizing Official
مجوز دادن به سیستم‌های اطلاعاتی Authorize the Information System
محافظت از رسانه ها Protect media
محدود کردن دسترسی براساس نقش Restrict access based on roles
محرمانگی Confidentiality
مدل تهدید امنیت The security threat
مدیر پروژه Project Manager
مدیریت پیکربندی Configuration Management
مدیریت تداوم تجارت Business Continuity Management
مدیریت حوادث امنیت اطلاعات Management of information
Security incidents
مدیریت دارایی ها Asset Management
مدیریت عملیات و ارتباطات Operations Management and Communication
مدیریت کردن امنیت Management security
مدیریت و کنترل پیکربندی اجرا شده
Management and Configuration Control is implemented
تیم مرکز فوریت‌های کامپیوتری Computer Emergency Response Teams
مستند کردن Documentation
مسئول امنیت اطلاعات Chief Information Officer
مسئول امنیت سیستم‌های اطلاعاتی Information System Security Officer
مسئولیت‌پذیر Responsible
مشتری Customer
معماری سازمانی Enterprise Architecture
منابع مالی Financial resources
موازی‌کاری Parallel
موسسات مالی Financial institutions
موسسه مهندسی نرم‌افزار Software Engineering Institute
مهندسی امنیت Security Engineering
نظارت مستمر بر نتایج Continuous monitoring of the results
نگه‌داری از رسانه Sanitization media
اهداف امنیتی Security Targets
یکپارچه‌بودن Integrated