شماره: IRCAR201506267
تاريخ: 20/05/94
معرفي
به منظور پشتيباني از دستگاه هاي BYOD و استفاده از برنامه هاي كاربردي در دسترس سازمان ها ضروري است تا قبل از نصب و استفاده از برنامه ها، آن ها را به خوبي بررسي كرده تا هرگونه آسيب پذيري شناسايي شود و سازمان ها بتوانند با كاهش مخاطرات، عملكرد كسب و كار خود را ارتقاء دهند. بسيار مهم است كه برنامه هاي كاربردي امن باشند و تنها كاري را كه مورد نظر است انجام دهند.
فرآيند ارزيابي برنامه ها شامل مراحل زير است:
- برنامه ريزي (در بخش اول مقاله به آن پرداخته شد)
- تست برنامه هاي كاربردي ( در اين بخش و بخش سوم به آن پرداخته مي شود)
- پذيرش يا رد برنامه كاربردي ( در بخش سوم به آن پرداخته مي شود)
در بخش اول از اين سري مقالات اولين گام از فرآيند ارزيابي برنامه ها (گام برنامه ريزي) شرح داده شد. در اين مقاله مرحله دوم توضيح داده مي شود. به عنوان بخشي از فرآيند برنامه ريزي، مسئوليت ها بايد به افراد متخصص تخصيص داده شود و گروهي براي تسهيل فرآيند تست برنامه مستقر گردد.
فرآيند تست برنامه بايد سازگار و براحتي قابل تكرار باشد تا خطاها و نتايج مثبت و منفي كاذب به حداقل برسد.
بايد بررسي كرد كه آيا رويه هاي تست تعيين شده براي برنامه كاربردي مورد نظر مناسب است يا خير. هم چنين بايد توجه داشت كه براي تست برنامه ها به منظور يافتن آسيب پذيري هاي آن از روش هاي مختلف استفاده مي شود.
تمامي مسائل شناسايي شده و توصيه ها بايد گزارش داده شود و يك ارزيابي ريسك براي اعتبارسنجي مراحل بعدي فرآيند بررسي بايد در نظر گرفته شود.
بايد در حين فرآيند بررسي ملاحظات زير را در نظر گرفت:
- آماده سازي رويه اي كه بتوان امنيت برنامه ها را ارزيابي كرد.
- فرآيند تست بايد پس از ارتقاء برنامه و پيش از نصب آن بر روي دستگاه سيار انجام گيرد.
- تست به روز رساني هاي برنامه كاربردي فراموش نشود. ( اين موضوع بسيار مهم است.)
- هنگام تست از يك خط مشي امن استفاده شود. (در صورت امكان از رمزگذاري براي انتقال و ذخيره سازي استفاده شود.)
- خط مشي هاي تعيين شده بايد با نيازمندي هاي امنيتي سازمان همراستا باشد. اين امر به خصوص هنگام مشخص كردن نيازمندي هاي امنيتي سازمان براي استفاده به عنوان مبناي فرآيند ارزيابي حائز اهميت است.
- اطمينان حاصل شود كه تست هاي پيشين به عنوان تست نهايي در نظر گرفته نشده است. ممكن است براي برنامه هاي مختلف نيازمندي امنيتي سازمان ها يا سطح پذيرش ريسك متفاوت باشد.
- تست برنامه ها مي تواند به صورت داخلي يا خارجي توسط خدمات، ابزار يا تست هاي دستي يا تركيبي از روش هاي مختلف انجام گيرد.
- فرآيند تست برنامه كاربردي
بررسي اوليه
تيم اختصاص يافته براي فرآيند تست برنامه بايد برنامه ها را به ترتيب براي فرآيند تست آماده كند. سپس برنامه ها بر اساس اولويت براي تحليگران فرستاده مي شود. تحليلگران ممكن است در داخل يا خارج از سازمان مستقر باشند.
گام اول در اين فرآيند بررسي اوليه برنامه مي باشد. در اين مرحله مشخص مي شود كه آيا روش هاي تست موجود براي ارزيابي اين برنامه مناسب است يا خير و هم چنين اغلب كد اصلي برنامه و منبع فايل برنامه در اختيار تحليلگر قرار مي گيرد. اين مساله با توجه به امنيت برنامه، فايل ها و كد ممكن است باعث نگراني شود به خصوص زماني كه از تحليلگر خارج از سازمان استفاده مي شود.
بايد در حين فرآيند بررسي اوليه به منظور اطمينان از عدم سوء استفاده و به مخاطره افتادن يكپارچگي و امنيت برنامه پارامترهاي پيشگيرانه اي در نظر گرفت. سازمان ها بايد اطمينان حاصل كنند كه در حين فرآيند تست انطباق برنامه با مجوز آن از بين نرود و مالكيت معنوي حفظ گردد. انتقال برنامه از طريق كانال هاي رمزگذاري شده، اطمينان از ذخيره امن برنامه و استفاده از پارامترهاي مناسب براي پيشگيري از دسترسي غيرمجاز در طول فرآيند تست به حفاظت از امنيت برنامه كمك خواهد كرد.
تست برنامه
قبل از كشف آسيب پذيري ها، مجموعه اي از الزامات امنيتي بايد براي برنامه تعيين شود. خروجي اين الزامات به عنوان مبنا استفاده مي شود و تعيين مي كنند كه آسيب پذيري يافت شده آيا الزامات را نقض مي كند يا خير. اين الزامات هنگام بررسي و ارزيابي امنيتي حائز اهميت هستند.
الزامات امنيتي توصيه شده در زير آمده است:
- انجام عملكردهاي مجاز
- پيشگيري از عملكردهاي غير مجاز
- محدود سازي مجوزها (برنامه بايد با حداقل مجوزهاي مورد نياز در دسترس قرار بگيرد)
- حفاظت از داده هاي حساس
- امن سازي كد برنامه (اطمينان حاصل شود كه كد برنامه براي فعاليت هاي مخرب استفاده نمي شود)
- تست به روز رساني هاي برنامه (به روز رساني هاي منتشر شده براي برنامه بايد پيش از نصب بر روي دستگاه مورد ارزيابي قرار گيرد.)
مطالب مرتبط:
ارزيابي امنيتي برنامه هاي كاربردي تلفن همراه (بخش اول) - برنامه ريزي (قسمت 2)
منابع:
http://www.windowsecurity.com/
- 7