معرفی و دانلود کتاب استانداردهای امنیت و پایداری در برنامه‌های کامپیوتری

معرفی کتاب استانداردهای امنیت و پایداری در برنامه‌های کامپیوتری

کتاب استانداردهای امنیت و پایداری در برنامه‌های کامپیوتری، چالش‌های موجود در برنامه‌های دسکتاپ را مورد بررسی قرار داده و سپس راهکارها و چک‌لیست‌های موجود جهت امن نمودن آن‌ها را معرفی می‌کند.

برنامه‌های کاربردی تحت وب برای شرکت‌ها بسیار فریبنده‌اند. آن‌ها دسترسی سریع به منابع شرکت را فراهم می‌کنند، رابط کاربر پسند دارند و گسترش کاربران از راه دور برای آن‌ها آسان و بی‌دردسر است. بنا به بسیاری از همین دلایل، برنامه‌های کاربردی تحت وب می‌توانند برای شرکت خطر امنیتی جدی ایجاد کنند. چرا که این دلایل برای کاربران غیرمجاز مزیت محسوب می‌شوند مثل: "دسترسی سریع"، "رابط کاربر پسند" و دسترسی "آسان" به اطلاعات شرکت.

افراد سودجو از آسیب‌پذیری‌های امنیتی برای کسب دسترسی ممتاز به سیستم‌ها استفاده می‌کنند. بسیاری از این آسیب‌پذیری‌ها توسط بسته‌های امنیتی فروشنده از بین می‌روند که باید توسط بخشی که سیستم‌ها را اداره می‌کند بر روی آن‌ها نصب شوند. تمام سیستم‌های حیاتی باید جدیدترین بسته‌های نرم‌افزاری را برای محافظت در مقابل سوء استفاده از اطلاعات حساس توسط افراد سودجو و بدافزارها دارا باشند.

در انتهای این کتاب چک لیست‌های مربوط به هر چالش برای تأمین امنیت برنامه‌های کاربردی ارائه شده است.

در بخشی از کتاب استانداردهای امنیت و پایداری در برنامه‎های کامپیوتری می‌خوانیم:

کاربران مسوول فعالیت‌های خود در یک سیستم کامپیوتری هستند. کاربران می‌توانند مجوز دسترسی به منابع را دریافت کنند و اگر این مجوز به آن‌ها داده شد، سیستم‌عامل یا برنامه کاربردی نیاز دارند که یک سابقه حسابرسی ایجاد کنند. این سابقه حسابرسی نشان دهنده سوابقی است درباره اینکه یک کاربر چه وقت و چگونه به یک منبع اطلاعاتی دسترسی داشته است.

از سوی دیگر، اگر کاربری برای دسترسی به منبعی تلاش کند و مجوز آن را نداشته باشد، باز هم سابقه حسابرسی، برای تشخیص تلاش برای نقض فرآیند صدور مجوز و در برخی موارد نقض خط‌مشی‌های احراز هویت، لازم و ضروری است. حسابرسی فرآیند نگهداری سابقۀ فعالیت‌های کاربران در سیستم است. از منظر امنیتی، حسابرسی ممکن است برای تشخیص فعالیت‌های مجاز و غیر مجاز مفید باشد.

همچنین ممکن است اطلاعات مربوط به احراز هویت‌های موفق و ناموفق در سیستم را نیز ارائه کند. بدون توجه به اینکه آیا فرآیندهای احراز هویت یا صدور مجوز موفقیت‌آمیز بوده‌اند یا خیر، حسابرسی باید انجام شود. یک کاربر ممکن است بتواند یا نتواند که در سیستم احراز هویت شود ولی به هر‌ حال حسابرسی باید هم سابقۀ تلاش‌های موفق و هم تلاش‌های ناموفق را ثبت کند.

همچنین، اگر کاربری موفق به احراز هویت شود و تلاش کند تا به منبعی دست یابد، هم تلاش‌های موفق و هم تلاش‌های ناموفق باید توسط سیستم نظارت شود، و تلاش‌های دسترسی و وضعیت آن‌ها باید در فایل‌های حسابرسی وجود داشته باشد. اگر صدور مجوز برای دسترسی به منبعی موفقیت‌آمیز بود، باید شناسۀ کاربری که به آن منبع دسترسی داشته، در سوابق حسابرسی وارد شود تا مدیران سیستم بتوانند دسترسی‌ها را پیگیری و دنبال کنند.

فهرست مطالب کتاب

مقدمه
فصل اول: مقدمه و تعاریف
1-1 مقدمه
1-2 برنامه و برنامه‌نویسی
1-3 ارائه‌ی گزارشی کامل از انواع برنامه‌های دسکتاپ
1-3-1 ویژگی‌های برنامه‌های دسکتاپ
1-4 چرخه‌ی حیات نرم‌افزار
1-4-1 بیان نیازهای مشتری
1-4-2 طراحی معماری
1-4-3 تولید
1-4-4 انتقال
1-4-5 بهره‌برداری و نگهداری
1-5 نرم‌افزارهای ALM
1-6 بخش‌های مختلف مدیریت چرخه‌ی حیات نرم‌افزار
1-7 برنامه‌نویسی امن
1-8 چکیده‌ی استانداردها
1-9 سطوح تصدیق امنیت نرم‌افزار
1-9-1 سطح صفر یا Cursory
1-9-2 سطح یک یا فرصت‌طلبانه
1-9-3 سطح دوم یا استاندارد
1-9-4 سطح سوم یا سطح پیشرفته
1-10 حوزه‌های امنیت نرم‌افزار
فصل دوم: احراز هویت
2-1 مقدمه
2-3-5 حدس زدن کلمه عبور
2-3-6 شنود و دریافت گواهی‌نامه‌ها از روی شبکه
2-3-7 پاسخ به احراز هویت
2-3-8 کاهش قدرت فرآیند احراز هویت
2-3-9 سرورهای فریبکار
2-3-10 حملات مرد میانی
2-3-11 دزدی نشست
2-3-12 Shoulder Surfing
2-3-13 واقعه‌نگار صفحه کلید، تروجان‌ها و ویروس‌ها
2-3-14 حملات آفلاین
2-3-15 مهندسی اجتماعی
2-3-16 جستجوی زباله‌دانی و دزدی هویت
2-4 گواهی‌نامه‌های احراز هویت
2-4-1 احراز هویت با کلمه عبور
2-4-2 آنالیز مقایسه‌ای از روشهای احراز هویت
2-5 سرویس‌های امن احراز هویت برای برنامه‌های وب
2-5-1 احراز هویت معاملات با ارزش با امضاء کردن معاملات
2-5-2 احراز هویت با سیستم‌های چند فاکتوره
2-5-3 OAuth
2-5-4 OpenId
2-5-5 SAML
2-5-6 FIDO
2-6 نتیجه گیری و چک لیست‌ها
2-6-1 شرایط لازم برای استفاده مناسب از کلمات عبور
2-6-2 اهداف وابسته به معماری
فصل سوم: کنترل‌های مخرب
3-1 مقدمه
3-2 کد مخرب
3-3 انواع کد‌های مخرب
3-3-1 بد افزار
3-3-2 ویروس
3-3-3 اسب تروجان
3-3-4 کرم
3-3-5 نرم افزار جاسوسی
3-3-6 ابزار تبلیغاتی مزاحم (اضاف‌ابزار)
3-3-7 کیلاگر
3-4 پیشگیری از کد‌های مخرب در اشتراک‌افزارها و کالاهای آماده مصرف (COTS)
3-5 ابزار بررسی کدهای مخرب برای تشخیص و پیگیری
3-5-1 ITS4
3-5-2 RATS
3-6 تشخیص و پیشگیری از کد مخرب در حین توسعه
3-7 ابزار تشخیص خطاهای برنامه‌نویسی
7-3-1 CodeWizard
3-7-2 Insure++
3-7-3 Purify
3-8 برنامه‌نویسی امن
3-8-1 معماری
3-8-2 طراحی
3-8-3 به‌کارگیری
3-8-4 تست
3-8-5 عملیات‌ها
3-9 راه‌های جلوگیری از کدهای مخرب
3-9-1 تحلیل استاتیک
3-9-2 تحلیل پویا
3-10 برای تشخیص کد مخرب از کجا آغاز کنیم
3-10-1 مهارت لازم در تشخیص کد مخرب
3-10-2 کنترل‌های مورد نیاز برای محافظت در برابر کد مخرب
3-11 پیکربندی نرم‌افزار حفاظت از ویروس
3-12 مدلی برای سیستم‌های دفاعی در برابر برنامه‌های مخرب
3-12-1 مولفه فنی
3-12-2 مولفه تحلیلی
3-12-3 فناوری‌های واقعی در دست اجرا
3-12-4 مزایا و معایب روش‌های تشخیص مختلف
3-13 چگونگی انتخاب حفاظت غیر امضایی
3-14 تهدیدها، حملات احتمالی
3-15 آسیب‌پذیری نسبت به ویروس‌ها، مسئولیت‌های مدیریتی
3-16 نتیجه‌گیری و چک لیست
3-16-1 موارد ضروری برای کارشناس امنیت
فصل چهارم: کنترل دسترسی
4-1 مقدمه
4-2 واژگان
4-3 مدل‌های کنترل دسترسی
4-3-1 مدل‌های کنترل دسترسی عمومی
4-3-2 کنترل دسترسی پنهانی
4-3-3 دیگر نمونه‌های کنترل دسترسی
4-3-4 کنترل دسترسی داده‌های برون سپاری شده
4-3-5 کنترل دسترسی خودکار
4-3-6 MAC
4-3-7 کنترل دسترسی احتیاطی (DAC)
4-3-8 RBAC
4-3-9 DTE
4-4 نتیجه‌گیری و چک لیست
4-4-1 چک لیست
فصل پنجم: ارزیابی ورودی
5-1 مقدمه
5-2 روش‌های موجود برای اعتبارسنجی ورودی
5-2-1 محدودیت زبان هدف (OCL)
5-2-2 بیان منظم
5-2-3 تزریق حمله SQL
5-2-4 زبان مدل‌سازی یکپارچه
5-2-5 اعتبارسنجی مدل‌ها و استراتژی‌ها
5-3 گزارش آسیب‌پذیری
5-3-1 جمع‌آوری داده‌ها
5-3-2 طبقه‌بندی آسیب پذیری
5-3-3 دسته بندی زبان برنامه‌نویسی
5-3-4 بردارهای حمله
5-4 تجزیه و تحلیل
5-4-1 زبانهای محبوب و آسیب پذیریهای گزارش شده
5-4-2 انتخاب زبان و اعتبار سنجی ورودی
5-4-3 Typecasting به عنوان یک دفاع ضمنی
5-4-4 اعتبار سنجی ورودی به عنوان یک دفاع صریح
5-4-5 نتایج اعتبار سنجی
5-5 اعتبارسنجی نادرست
5-5-1 بررسی قیدها
5-5-2 بررسی نوع
5-5-3 بررسی خطا
5-5-4 بررسی داده‌های صحیح، نادرست
5-5-5 بررسی ورودی
5-5-6 طراحی اعتبارسنجی
5-6 روشهای مختلف برای ارزیابی ورودی
5-6-1 برنامهای برای قابلیت تشخیص و بازیابی از یک ورودی نادرست کاربر
5-6-2 دیدگاه عملی و ساده در ارزیابی ورودی
5-6-3 اعتبار سنجی ورودی در UML
5-7 نتیجهگیری و چک لیست
5-7-1 چک لیست‌ها
فصل ششم: چک لیست‌ها
6-1 مقدمه
6-2 ارزیابی ریسک
6-3 احراز هویت
6-4 اجازه و کنترل دسترسی
6-5 مدیریت Session
6-6 اعتبار سنجی ورودی و داده‌ها
6-7 Cross Site Scripting (XSS)
6-8 Command Injection Flaws
6-9 سرریز بافر (Buffer Overflows)
6-10 استفاده ناامن رمزنگاری
6-11 به حداقل رساندن احتمال وقوع خطا (Error Handling)
6-12 ورود به سیستم (Logging)
6-13 مدیریت از راه دور (Remote Administration Flaws)
6-13 برنامه‌های کاربردی تحت وب و تنظیمات سرور
6-14 نتیجه‌گیری
منابع