Jak pisałem kilka tygodni temu przygotowałem trochę większy tekst. Tym razem na temat  modelowania zagrożeń systemów informatycznych.

Co tydzień w każdą środę będę publikował  jedną cześć. Łącznie będzie poza tym wpisem 3 części. Zapraszam do lektury.

Wprowadzenie

Każda firma lub instytucja wytwarzająca oprogramowanie powinna przeanalizować wymagania dotyczące bezpieczeństwa stawiane przed ich aplikacjami. Jedną z metod wspomagających wspomnianą analizę jest zastosowanie takich technik, które będą już w fazie projektowania, umożliwiały przeciwdziałanie zagrożeniom.

Należy zauważyć iż im bardziej konkretny produkt jest wystawiony na potencjalne zagrożenia oraz im bardziej wartościowe informacje przetwarza, tym większe wyzwanie stoi przed zespołem zajmujących się bezpieczeństwem tego produktu. Co więcej większość oprogramowania sprzedawanego klientom lub używanego przez organizacje albo biznes powinna przechodzić przez proces analizy bezpieczeństwa. Wyjątek od tej reguły mogą stanowić niektóre proste gry lub aplikacje rozrywkowe, które nie przetwarzają ważnych danych i/lub nie kontaktują się z Internetem.

Do grupy tej można zaliczyć także aplikacje o ściśle określonej funkcjonalności (np. aplikacje do jednorazowej analizy danych lub jednorazowej transformacji danych)[1] . Jednak nawet oprogramowanie tego typu powinno być przeanalizowane pod kątem bezpieczeństwa dla platformy w której jest uruchamiane, np. czy nie tworzy plików wykonywalnych które da się modyfikować.

Celem niniejszych wpisów jest prezentacja moich rozważań na temat modelowania zagrożeń w języku UML na bazie metodyki Security Development Lifecycle, (SDL). Postaram się zaprezentować możliwości wykorzystania języka UML jako źródła wymagań zwiększających poziom bezpieczeństwa aplikacji.

Jak pisałem wcześniej tekst składa się z 4 części: Za tydzień opiszę pokrótce działania proponowane w SDL w zakresie modelowania zagrożeń. Natomiast  za dwa tygodnie zaprezentuję pewne rozwiązanie wsparte przykładem modelu sklepu internetowego propozycję użycia metodyki z wykorzystaniem Enterprise Architect (firmy Sparx Systems) oraz języka UML. Ostatni wpis, za trzy tygodnie, będzie stanowił podsumowanie.

Zapraszam do lektury.


[1]Howard M., Lipner S. Cykl projektowania zabezpieczeń. Microsoft Press, 2006

Zostaw odpowiedź

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Możesz użyć tych HTML tagów i atrybutów: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Close