hamide_kh
شنبه 15 اسفند 1388, 17:52 عصر
سلام
با توجه به بحثی که در یکی از تاپیکهای همین انجمن وجود داشت و لزوم ایجاد یک تاپیک جدید در مورد نگهداری و دور نگاه داشتن جداول و ویو ها و پروسیجر ها و .... از دید کاربران معمولی من این تاپیک را را راه اندازی کردم تا دوستان بتونند امثال بنده را راهنمایی کنند
برای این که سر رشته بحث به دست دوستان بیاد من اون را در اینجا میذارم
اگر فردی به عنوان مثال دشمن بیاد و جدولها را پاک کنه به نظر شما از این کار چطور باید جلوگیری کرد؟
سلام.
بسیار خوب. سوال کاملا منطقی بنظر میرسه، اما لطفا قبل از اینکه من به این سوال پاسخ بدم، ابتدا بفرمایید که
سیستم مورد نظر چگونه Deploy شده؟
Web App هست یا Desktop App؟
اگر Desktop App هستش چگونه به دست مشتری رسیده؟
اگر Web App هستش، میزبان این بانک کی هست؟
چه کسانی اجازه استفاده از این نرم افزار رو دارن و تحت چه شرایطی؟
و بسیاری سوالات دیگه.
ببینید. وقتی شما میگید "دشمن"، باید این واژه رو معنی کنید. تعریف شما از واژه دشمن چیه؟ من سوال شما رو که خوندم، پیش خودم گفتم "قطعی برق" هم یک دشمن محسوب میشه. اما ممکنه شما تعریف دیگه ای از دشمن داشته باشید. این دشمن چطور به این بانک دسترسی داره؟ در واقع داده ها، از طریق چه Front End ای در معرض دست کاربران قرار میگیرن؟
لطفا سوال رو اینقدر "خاص" مطرح کنید، تا بتونم در چند پاراگراف بهش پاسخ بدم. در غیر اینصورت، من پاسخی برای سوال شما ندارم. به بیان دیگه، صحبت کردم در مورد امنیت سیستمی که بهش اشراف ندارم، مطلقا صحیح نیست.
پاورقی: پاسخ ساده انگارانه به سوال شما اینه که خوب، من از داده ها بصورت زمانبندی شده، Backup میگیرم، بنابراین هر وقت نیاز باشه میتونم داده ها رو به آخرین وضعیت پایدار برسونم. این پاسخ درسته، اما کاملا به Context ای بر میگرده که داریم در موردش صحبت می کنیم. امنیت، یه تیغ دو لبه هستش، که اگر اندکی روی این تیغ بلغزید، براحتی میتونید خودتون رو قربانی شده تصور کنید. آدمهای بدخواه (واژه بهتری هستش نسبت به دشمن)، بدنبال کوچکترین حفره امنیتی توی سیستم شما هستن. شما همونطور که نگران از دست رفتن داده هاتون در سطح بانک هستید، باید نگران "آسیب پذیری" در جزء جزء نقاط سیستم خودتون باشید. عموما افراد فکر میکنن که اگر بانکشون رو خیلی خیلی خوب محافظت کنن، دیگه افراد بدخواه نمیتونن به اونها صدمه بزنن. اما امنیت یک زنجیره هستش، که در این زنجیره، افراد بدخواه بدنبال گسستن یکی از حلقه های زنجیر هستن. وقتی حلقه ای گسسته شد، دیگه اهمیت نداره حلقه های دیگه چقدر قوی بوده باشند، چون دیگه زنجیری وجود نداره. اینهمه روضه خوندم که بگم برای ارزیابی یک سیستم از نظر امنیتی، ابتدا باید "تهدیدهای" میسر روی سیستم رو "مدل سازی" کنید. به چنین مدل سازی ای میگن Threat Modeling.
Threat Modeling روشهای متفاوتی داره و از دیدگاه مختلف، معانی متفاوتی میده:
از دید مهاجم، یا فرد بدخواه
از دید نرم افزار
از دید دارایی های موجود
و ...
مایکروسافت در SDL، روشهایی رو عنوان کرد که در حال حاضر برنامه های مایکروسافت بر اساس اون توسعه پیدا میکنن. توضیح این مطالب، حداقل چند جلد کتاب رو میتونه بخودش اختصاص بده که متاسفانه از حوصله بنده خارجه.
سلام خدمت شما دوست عزیز آقای موسوی
اول از تاخیری که داشتم عذخواهی کنم؟
ببنید بنده روی سیستمهای تجاری زیادی کار نکرده ام.
به عنوان شما برنامه ای را در نظر بگیرید که win application هست و بنده به ضورت حضوری خودم اون را راه اندازی می کنم و دیتا بیس روی سیستمی قرار داره که فردی اولا فضول(البته ببخشید) و ثانیا سنگ انداز و مشکل درست کن باهاش کار میکنه؟
حالا من چطور می تونم دسترسی هم چین فردی را به دیتابیس قطع و کوتاه کنم؟
اما در مورد مشکل برق که شما فرمودید فکر کنم میشه با بک آپ گرفتنهای به موقع حلش کرد ؟
و اما منتظر پاسخ دوستان علی الخصوص آقای موسوی هستیم
این هم لینک تاپیک قبلی
http://barnamenevis.org/forum/showthread.php?t=205510&page=2
با توجه به بحثی که در یکی از تاپیکهای همین انجمن وجود داشت و لزوم ایجاد یک تاپیک جدید در مورد نگهداری و دور نگاه داشتن جداول و ویو ها و پروسیجر ها و .... از دید کاربران معمولی من این تاپیک را را راه اندازی کردم تا دوستان بتونند امثال بنده را راهنمایی کنند
برای این که سر رشته بحث به دست دوستان بیاد من اون را در اینجا میذارم
اگر فردی به عنوان مثال دشمن بیاد و جدولها را پاک کنه به نظر شما از این کار چطور باید جلوگیری کرد؟
سلام.
بسیار خوب. سوال کاملا منطقی بنظر میرسه، اما لطفا قبل از اینکه من به این سوال پاسخ بدم، ابتدا بفرمایید که
سیستم مورد نظر چگونه Deploy شده؟
Web App هست یا Desktop App؟
اگر Desktop App هستش چگونه به دست مشتری رسیده؟
اگر Web App هستش، میزبان این بانک کی هست؟
چه کسانی اجازه استفاده از این نرم افزار رو دارن و تحت چه شرایطی؟
و بسیاری سوالات دیگه.
ببینید. وقتی شما میگید "دشمن"، باید این واژه رو معنی کنید. تعریف شما از واژه دشمن چیه؟ من سوال شما رو که خوندم، پیش خودم گفتم "قطعی برق" هم یک دشمن محسوب میشه. اما ممکنه شما تعریف دیگه ای از دشمن داشته باشید. این دشمن چطور به این بانک دسترسی داره؟ در واقع داده ها، از طریق چه Front End ای در معرض دست کاربران قرار میگیرن؟
لطفا سوال رو اینقدر "خاص" مطرح کنید، تا بتونم در چند پاراگراف بهش پاسخ بدم. در غیر اینصورت، من پاسخی برای سوال شما ندارم. به بیان دیگه، صحبت کردم در مورد امنیت سیستمی که بهش اشراف ندارم، مطلقا صحیح نیست.
پاورقی: پاسخ ساده انگارانه به سوال شما اینه که خوب، من از داده ها بصورت زمانبندی شده، Backup میگیرم، بنابراین هر وقت نیاز باشه میتونم داده ها رو به آخرین وضعیت پایدار برسونم. این پاسخ درسته، اما کاملا به Context ای بر میگرده که داریم در موردش صحبت می کنیم. امنیت، یه تیغ دو لبه هستش، که اگر اندکی روی این تیغ بلغزید، براحتی میتونید خودتون رو قربانی شده تصور کنید. آدمهای بدخواه (واژه بهتری هستش نسبت به دشمن)، بدنبال کوچکترین حفره امنیتی توی سیستم شما هستن. شما همونطور که نگران از دست رفتن داده هاتون در سطح بانک هستید، باید نگران "آسیب پذیری" در جزء جزء نقاط سیستم خودتون باشید. عموما افراد فکر میکنن که اگر بانکشون رو خیلی خیلی خوب محافظت کنن، دیگه افراد بدخواه نمیتونن به اونها صدمه بزنن. اما امنیت یک زنجیره هستش، که در این زنجیره، افراد بدخواه بدنبال گسستن یکی از حلقه های زنجیر هستن. وقتی حلقه ای گسسته شد، دیگه اهمیت نداره حلقه های دیگه چقدر قوی بوده باشند، چون دیگه زنجیری وجود نداره. اینهمه روضه خوندم که بگم برای ارزیابی یک سیستم از نظر امنیتی، ابتدا باید "تهدیدهای" میسر روی سیستم رو "مدل سازی" کنید. به چنین مدل سازی ای میگن Threat Modeling.
Threat Modeling روشهای متفاوتی داره و از دیدگاه مختلف، معانی متفاوتی میده:
از دید مهاجم، یا فرد بدخواه
از دید نرم افزار
از دید دارایی های موجود
و ...
مایکروسافت در SDL، روشهایی رو عنوان کرد که در حال حاضر برنامه های مایکروسافت بر اساس اون توسعه پیدا میکنن. توضیح این مطالب، حداقل چند جلد کتاب رو میتونه بخودش اختصاص بده که متاسفانه از حوصله بنده خارجه.
سلام خدمت شما دوست عزیز آقای موسوی
اول از تاخیری که داشتم عذخواهی کنم؟
ببنید بنده روی سیستمهای تجاری زیادی کار نکرده ام.
به عنوان شما برنامه ای را در نظر بگیرید که win application هست و بنده به ضورت حضوری خودم اون را راه اندازی می کنم و دیتا بیس روی سیستمی قرار داره که فردی اولا فضول(البته ببخشید) و ثانیا سنگ انداز و مشکل درست کن باهاش کار میکنه؟
حالا من چطور می تونم دسترسی هم چین فردی را به دیتابیس قطع و کوتاه کنم؟
اما در مورد مشکل برق که شما فرمودید فکر کنم میشه با بک آپ گرفتنهای به موقع حلش کرد ؟
و اما منتظر پاسخ دوستان علی الخصوص آقای موسوی هستیم
این هم لینک تاپیک قبلی
http://barnamenevis.org/forum/showthread.php?t=205510&page=2