معرفی و دانلود کتاب استانداردهای امنیت و پایداری در برنامههای کامپیوتری
برای دانلود قانونی کتاب استانداردهای امنیت و پایداری در برنامههای کامپیوتری و دسترسی به هزاران کتاب و کتاب صوتی دیگر، اپلیکیشن کتابراه را رایگان نصب کنید.
معرفی کتاب استانداردهای امنیت و پایداری در برنامههای کامپیوتری
کتاب استانداردهای امنیت و پایداری در برنامههای کامپیوتری، چالشهای موجود در برنامههای دسکتاپ را مورد بررسی قرار داده و سپس راهکارها و چکلیستهای موجود جهت امن نمودن آنها را معرفی میکند.
برنامههای کاربردی تحت وب برای شرکتها بسیار فریبندهاند. آنها دسترسی سریع به منابع شرکت را فراهم میکنند، رابط کاربر پسند دارند و گسترش کاربران از راه دور برای آنها آسان و بیدردسر است. بنا به بسیاری از همین دلایل، برنامههای کاربردی تحت وب میتوانند برای شرکت خطر امنیتی جدی ایجاد کنند. چرا که این دلایل برای کاربران غیرمجاز مزیت محسوب میشوند مثل: "دسترسی سریع"، "رابط کاربر پسند" و دسترسی "آسان" به اطلاعات شرکت.
افراد سودجو از آسیبپذیریهای امنیتی برای کسب دسترسی ممتاز به سیستمها استفاده میکنند. بسیاری از این آسیبپذیریها توسط بستههای امنیتی فروشنده از بین میروند که باید توسط بخشی که سیستمها را اداره میکند بر روی آنها نصب شوند. تمام سیستمهای حیاتی باید جدیدترین بستههای نرمافزاری را برای محافظت در مقابل سوء استفاده از اطلاعات حساس توسط افراد سودجو و بدافزارها دارا باشند.
در انتهای این کتاب چک لیستهای مربوط به هر چالش برای تأمین امنیت برنامههای کاربردی ارائه شده است.
در بخشی از کتاب استانداردهای امنیت و پایداری در برنامههای کامپیوتری میخوانیم:
کاربران مسوول فعالیتهای خود در یک سیستم کامپیوتری هستند. کاربران میتوانند مجوز دسترسی به منابع را دریافت کنند و اگر این مجوز به آنها داده شد، سیستمعامل یا برنامه کاربردی نیاز دارند که یک سابقه حسابرسی ایجاد کنند. این سابقه حسابرسی نشان دهنده سوابقی است درباره اینکه یک کاربر چه وقت و چگونه به یک منبع اطلاعاتی دسترسی داشته است.
از سوی دیگر، اگر کاربری برای دسترسی به منبعی تلاش کند و مجوز آن را نداشته باشد، باز هم سابقه حسابرسی، برای تشخیص تلاش برای نقض فرآیند صدور مجوز و در برخی موارد نقض خطمشیهای احراز هویت، لازم و ضروری است. حسابرسی فرآیند نگهداری سابقۀ فعالیتهای کاربران در سیستم است. از منظر امنیتی، حسابرسی ممکن است برای تشخیص فعالیتهای مجاز و غیر مجاز مفید باشد.
همچنین ممکن است اطلاعات مربوط به احراز هویتهای موفق و ناموفق در سیستم را نیز ارائه کند. بدون توجه به اینکه آیا فرآیندهای احراز هویت یا صدور مجوز موفقیتآمیز بودهاند یا خیر، حسابرسی باید انجام شود. یک کاربر ممکن است بتواند یا نتواند که در سیستم احراز هویت شود ولی به هر حال حسابرسی باید هم سابقۀ تلاشهای موفق و هم تلاشهای ناموفق را ثبت کند.
همچنین، اگر کاربری موفق به احراز هویت شود و تلاش کند تا به منبعی دست یابد، هم تلاشهای موفق و هم تلاشهای ناموفق باید توسط سیستم نظارت شود، و تلاشهای دسترسی و وضعیت آنها باید در فایلهای حسابرسی وجود داشته باشد. اگر صدور مجوز برای دسترسی به منبعی موفقیتآمیز بود، باید شناسۀ کاربری که به آن منبع دسترسی داشته، در سوابق حسابرسی وارد شود تا مدیران سیستم بتوانند دسترسیها را پیگیری و دنبال کنند.
فهرست مطالب کتاب
مقدمه
فصل اول: مقدمه و تعاریف
1-1 مقدمه
1-2 برنامه و برنامهنویسی
1-3 ارائهی گزارشی کامل از انواع برنامههای دسکتاپ
1-3-1 ویژگیهای برنامههای دسکتاپ
1-4 چرخهی حیات نرمافزار
1-4-1 بیان نیازهای مشتری
1-4-2 طراحی معماری
1-4-3 تولید
1-4-4 انتقال
1-4-5 بهرهبرداری و نگهداری
1-5 نرمافزارهای ALM
1-6 بخشهای مختلف مدیریت چرخهی حیات نرمافزار
1-7 برنامهنویسی امن
1-8 چکیدهی استانداردها
1-9 سطوح تصدیق امنیت نرمافزار
1-9-1 سطح صفر یا Cursory
1-9-2 سطح یک یا فرصتطلبانه
1-9-3 سطح دوم یا استاندارد
1-9-4 سطح سوم یا سطح پیشرفته
1-10 حوزههای امنیت نرمافزار
فصل دوم: احراز هویت
2-1 مقدمه
2-3-5 حدس زدن کلمه عبور
2-3-6 شنود و دریافت گواهینامهها از روی شبکه
2-3-7 پاسخ به احراز هویت
2-3-8 کاهش قدرت فرآیند احراز هویت
2-3-9 سرورهای فریبکار
2-3-10 حملات مرد میانی
2-3-11 دزدی نشست
2-3-12 Shoulder Surfing
2-3-13 واقعهنگار صفحه کلید، تروجانها و ویروسها
2-3-14 حملات آفلاین
2-3-15 مهندسی اجتماعی
2-3-16 جستجوی زبالهدانی و دزدی هویت
2-4 گواهینامههای احراز هویت
2-4-1 احراز هویت با کلمه عبور
2-4-2 آنالیز مقایسهای از روشهای احراز هویت
2-5 سرویسهای امن احراز هویت برای برنامههای وب
2-5-1 احراز هویت معاملات با ارزش با امضاء کردن معاملات
2-5-2 احراز هویت با سیستمهای چند فاکتوره
2-5-3 OAuth
2-5-4 OpenId
2-5-5 SAML
2-5-6 FIDO
2-6 نتیجه گیری و چک لیستها
2-6-1 شرایط لازم برای استفاده مناسب از کلمات عبور
2-6-2 اهداف وابسته به معماری
فصل سوم: کنترلهای مخرب
3-1 مقدمه
3-2 کد مخرب
3-3 انواع کدهای مخرب
3-3-1 بد افزار
3-3-2 ویروس
3-3-3 اسب تروجان
3-3-4 کرم
3-3-5 نرم افزار جاسوسی
3-3-6 ابزار تبلیغاتی مزاحم (اضافابزار)
3-3-7 کیلاگر
3-4 پیشگیری از کدهای مخرب در اشتراکافزارها و کالاهای آماده مصرف (COTS)
3-5 ابزار بررسی کدهای مخرب برای تشخیص و پیگیری
3-5-1 ITS4
3-5-2 RATS
3-6 تشخیص و پیشگیری از کد مخرب در حین توسعه
3-7 ابزار تشخیص خطاهای برنامهنویسی
7-3-1 CodeWizard
3-7-2 Insure++
3-7-3 Purify
3-8 برنامهنویسی امن
3-8-1 معماری
3-8-2 طراحی
3-8-3 بهکارگیری
3-8-4 تست
3-8-5 عملیاتها
3-9 راههای جلوگیری از کدهای مخرب
3-9-1 تحلیل استاتیک
3-9-2 تحلیل پویا
3-10 برای تشخیص کد مخرب از کجا آغاز کنیم
3-10-1 مهارت لازم در تشخیص کد مخرب
3-10-2 کنترلهای مورد نیاز برای محافظت در برابر کد مخرب
3-11 پیکربندی نرمافزار حفاظت از ویروس
3-12 مدلی برای سیستمهای دفاعی در برابر برنامههای مخرب
3-12-1 مولفه فنی
3-12-2 مولفه تحلیلی
3-12-3 فناوریهای واقعی در دست اجرا
3-12-4 مزایا و معایب روشهای تشخیص مختلف
3-13 چگونگی انتخاب حفاظت غیر امضایی
3-14 تهدیدها، حملات احتمالی
3-15 آسیبپذیری نسبت به ویروسها، مسئولیتهای مدیریتی
3-16 نتیجهگیری و چک لیست
3-16-1 موارد ضروری برای کارشناس امنیت
فصل چهارم: کنترل دسترسی
4-1 مقدمه
4-2 واژگان
4-3 مدلهای کنترل دسترسی
4-3-1 مدلهای کنترل دسترسی عمومی
4-3-2 کنترل دسترسی پنهانی
4-3-3 دیگر نمونههای کنترل دسترسی
4-3-4 کنترل دسترسی دادههای برون سپاری شده
4-3-5 کنترل دسترسی خودکار
4-3-6 MAC
4-3-7 کنترل دسترسی احتیاطی (DAC)
4-3-8 RBAC
4-3-9 DTE
4-4 نتیجهگیری و چک لیست
4-4-1 چک لیست
فصل پنجم: ارزیابی ورودی
5-1 مقدمه
5-2 روشهای موجود برای اعتبارسنجی ورودی
5-2-1 محدودیت زبان هدف (OCL)
5-2-2 بیان منظم
5-2-3 تزریق حمله SQL
5-2-4 زبان مدلسازی یکپارچه
5-2-5 اعتبارسنجی مدلها و استراتژیها
5-3 گزارش آسیبپذیری
5-3-1 جمعآوری دادهها
5-3-2 طبقهبندی آسیب پذیری
5-3-3 دسته بندی زبان برنامهنویسی
5-3-4 بردارهای حمله
5-4 تجزیه و تحلیل
5-4-1 زبانهای محبوب و آسیب پذیریهای گزارش شده
5-4-2 انتخاب زبان و اعتبار سنجی ورودی
5-4-3 Typecasting به عنوان یک دفاع ضمنی
5-4-4 اعتبار سنجی ورودی به عنوان یک دفاع صریح
5-4-5 نتایج اعتبار سنجی
5-5 اعتبارسنجی نادرست
5-5-1 بررسی قیدها
5-5-2 بررسی نوع
5-5-3 بررسی خطا
5-5-4 بررسی دادههای صحیح، نادرست
5-5-5 بررسی ورودی
5-5-6 طراحی اعتبارسنجی
5-6 روشهای مختلف برای ارزیابی ورودی
5-6-1 برنامهای برای قابلیت تشخیص و بازیابی از یک ورودی نادرست کاربر
5-6-2 دیدگاه عملی و ساده در ارزیابی ورودی
5-6-3 اعتبار سنجی ورودی در UML
5-7 نتیجهگیری و چک لیست
5-7-1 چک لیستها
فصل ششم: چک لیستها
6-1 مقدمه
6-2 ارزیابی ریسک
6-3 احراز هویت
6-4 اجازه و کنترل دسترسی
6-5 مدیریت Session
6-6 اعتبار سنجی ورودی و دادهها
6-7 Cross Site Scripting (XSS)
6-8 Command Injection Flaws
6-9 سرریز بافر (Buffer Overflows)
6-10 استفاده ناامن رمزنگاری
6-11 به حداقل رساندن احتمال وقوع خطا (Error Handling)
6-12 ورود به سیستم (Logging)
6-13 مدیریت از راه دور (Remote Administration Flaws)
6-13 برنامههای کاربردی تحت وب و تنظیمات سرور
6-14 نتیجهگیری
منابع
مشخصات کتاب الکترونیک
نام کتاب | کتاب استانداردهای امنیت و پایداری در برنامههای کامپیوتری |
نویسنده | علی صدیقی منش، محمد صدیقی منش، جواد باقری |
ناشر چاپی | انتشارات الهام نور |
سال انتشار | ۱۳۹۵ |
فرمت کتاب | EPUB |
تعداد صفحات | 288 |
زبان | فارسی |
شابک | 978-600-6947-20-4 |
موضوع کتاب | کتابهای امنیت شبکه |