Εμφάνιση απλής εγγραφής

Μέθοδοι αξιολόγησης της ασφάλειας λογισμικού εφαρμογών

dc.contributor.advisorΒασιλάκης, Κώστας
dc.contributor.authorΑλεξανδροπούλου, Μαρία
dc.date.accessioned2013-11-15T11:31:47Z
dc.date.available2013-11-15T11:31:47Z
dc.date.issued2011-02
dc.identifier.urihttp://amitos.library.uop.gr/xmlui/handle/123456789/931
dc.descriptionΜ.Δ.Ε. 1el
dc.description
dc.description.abstractΜια βασική ιδιότητα του λογισμικού είναι η ασφάλεια. Η ασφάλεια αποτελεί επιτακτική ανάγκη, ιδιαίτερα εξαιτίας της διασύνδεσης των υπολογιστών στο Διαδίκτυο, το οποίο αυξάνει τις πιθανές επιθέσεις από κακόβουλους επιτιθέμενους που βασίζονται σε ευπάθειες στο λογισμικό. Οι υπεύθυνοι της ασφάλειας πρέπει να ανιχνεύσουν τις απειλές που δεν μπορούν να δουν οι υπόλοιποι, να ποσοτικοποιήσουν τους κινδύνους που οι άλλοι δεν μπορούν κατανοήσουν, καθώς και να ανακαλύψουν τις ευπάθειες που κρύβονται στις εφαρμογές, στα δίκτυα και τα συστήματα του οργανισμού. Μια σημαντική πτυχή της διασφάλισης της ασφάλειας του λογισμικού είναι η αξιολόγησή της, ώστε να αναδειχθούν ευπάθειες και να ληφθούν κατάλληλα διορθωτικά μέτρα. Πρόκειται για μια μεγάλη διαδικασία που απαιτεί ένα διεξοδικό σχέδιο, λεπτομερείς οδηγίες, αυξημένες δεξιότητες και ένα καλό σύνολο εργαλείων. Ο απαραίτητος χρόνος και οι δεξιότητες για την αποτελεσματική αξιολόγηση της ασφάλειας δεν θα είναι ποτέ ελεύθερα διαθέσιμα, αλλά μια κατάλληλη μεθοδολογία και τα αντίστοιχα εργαλεία είναι εύκολα στη χρήση και ελεύθερα διαθέσιμα, χάρη στην κοινότητα ανοικτού κώδικα. Υπάρχουν πολλές μεθοδολογίες ανοικτού κώδικα που χρησιμοποιούνται σήμερα από τους ελεγκτές ασφάλειας για την αξιολόγηση της ασφάλειας λογισμικού εφαρμογών. Όλες αυτές οι μεθοδολογίες παρέχουν ένα σύνολο από λεπτομερείς οδηγίες ώστε να διεξαχθεί ένας έλεγχος ασφάλειας και κάθε μια μπορεί να έχει τα θετικά της σημεία αλλά και τις αδυναμίες της. Τα συμπεράσματα που προκύπτουν μετά τη διενέργεια ενός ελέγχου ασφάλειας χρησιμοποιώντας κάποια μεθοδολογία, μπορούν διασφαλίσουν τον οργανισμό από πολλές κακόβουλες επιθέσεις. Αντικείμενο της παρούσας μεταπτυχιακής εργασίας αποτελεί η διερεύνηση και η μελέτη των πιο δημοφιλών μεθοδολογιών αξιολόγησης της ασφάλειας λογισμικού ανοικτού κώδικα. Πραγματοποιείται, διεξοδική αναφορά σε αυτές τις μεθοδολογίες, καθώς και στο πλαίσιο που τις διέπει και παράλληλα, μελετώνται τα αντίστοιχα εργαλεία λογισμικού ανοικτού κώδικα που τις υποστηρίζουν. Η διάρθρωση της εργασίας έχει ως εξής: Το Κεφάλαιο 1 εισάγει τον αναγνώστη στις βασικές έννοιες που σχετίζονται με την ασφάλεια λογισμικού εφαρμογών και αναλύει τον όρο της αξιολόγησης της ασφάλειας. Στο Κεφάλαιο 2 περιγράφεται η μεθοδολογία OSSTMM (Open Source Security Testing Methodology) v2.2. Το Κεφάλαιο 3 ασχολείται με τη μεθοδολογία OWASP (Open Web Application Security Project) και συγκεκριμένα, στο υποκεφάλαιο 3.2 γίνεται αναφορά στον οδηγό OWASP Testing Guide v3 και στο υποκεφάλαιο 3.3 στο πρότυπο OWASP ASVS (Application Security Verification Standard). Στο Κεφάλαιο 4 περιγράφεται η μεθοδολογία Technical Guide to Information Security Testing and Assessment του NIST-SP 800-115 και στο Κεφάλαιο 5 αναλύεται η μεθοδολογία ISSAF (Information System Security Assessment Framework) 0.2. Στο Κεφάλαιο 6 πραγματοποιείται συγκριτική αξιολόγηση και εξάγονται συμπεράσματα σχετικά με τις μεθοδολογίες που αναλύθηκαν. Τέλος, επισημαίνεται ότι έχει ακολουθηθεί μία τυποποιημένη δομή για όλες τις μεθοδολογίες, ώστε να διευκολύνεται η σύγκριση των χαρακτηριστικών τους. Συγκεκριμένα, η δομή για κάθε μεθοδολογία (κεφάλαιο) είναι η ακόλουθη: • Γενικά - Βασικοί στόχοι της μεθοδολογίας. • Εμβέλεια. • Επίπεδα ασφάλειας, εφόσον υπάρχουν. • Βασική μεθοδολογία ασφάλειας. • Εργαλεία για την υποστήριξη της μεθοδολογίας.el
dc.format.extent175 σελ.el
dc.language.isoelel
dc.publisherΠανεπιστήμιο Πελοποννήσουel
dc.rightsΑναφορά Δημιουργού-Μη Εμπορική Χρήση-Όχι Παράγωγα Έργα 3.0 Ελλάδα*
dc.rights.urihttp://creativecommons.org/licenses/by-nc-nd/3.0/gr/*
dc.subjectΗλεκτρονικοί υπολογιστές -- Προγράμματαel
dc.subjectΑσφάλεια ηλεκτρονικών υπολογιστώνel
dc.titleΜέθοδοι αξιολόγησης της ασφάλειας λογισμικού εφαρμογώνel
dc.typeΜεταπτυχιακή διπλωματική εργασίαel
dc.contributor.departmentΤμήμα Επιστήμης και Τεχνολογίας Υπολογιστώνel
dc.contributor.facultyΣχολή Θετικών Επιστημών και Τεχνολογίαςel
dc.contributor.masterΕπιστήμη και Τεχνολογία Υπολογιστώνel
dc.subject.keywordΛογισμικόel
dc.subject.keywordΑσφάλειαel
dc.subject.keywordΑξιολόγησηel
dc.subject.keywordΕμβέλειαel
dc.subject.keywordΜεθοδολογία ασφάλειαςel
dc.subject.keywordΕργαλείαel
dc.description.abstracttranslatedA basic attribute of software is security. Security is of vital importance, especially because of the interconnection of computers in the Internet, which increases the possible attacks based on software vulnerabilities from malicious hackers. Those responsible for security should detect threats that others can’t see, quantify risks that others can’t understand, as well as reveal hidden vulnerabilities in the applications, networks and systems of the organization. An important aspect of software security assurance is its assessment, in order vulnerabilities to be detected and appropriate corrective countermeasures to be taken. This is a big process that requires a comprehensive plan, detailed instructions, strong skills, and a good set of tools. The time and skills necessary for effective security assessment will never be free, but an appropriate methodology and the corresponding tools are easy, freely available due to the open source community. There are many open source security methodologies which are used today by security auditors for the security assessment of the application software. All of these methodologies provide a set of detailed instructions in order a security testing to be conducted, and each one has its strong points and weaknesses. The conclusions resulting from the realisation of a security testing after using some methodology protect the organization from many malicious attacks. The purpose of the present master thesis constitutes the investigation and study of the most popular open source methodologies in software security assessment. An extensive report in these methodologies is made, as well as in their framework, and at the same time, the corresponding open source software tools that support them are under consideration. The structure of thesis is as follows: Chapter 1 introduces the basic notions that are related to the application software security and it analyzes the term of security assessment. In Chapter 2, OSSTMM (Open Source Security Testing Methodology) v2.2 methodology is described. Chapter 3 deals with OWASP (Open Web Application Security Project) methodology. More specifically, subchapter 3.2 refers to the guide of OWASP Testing Guide v3 and subchapter 3.3 refers to the standard of OWASP ASVS (Application Security Verification Standard). In Chapter 4, the Technical Guide to Information Security Testing and Assessment of NIST - SP 800-115 methodology is described and in Chapter 5, ISSAF (Information System Security Assessment Framework) 0.2 methodology is analyzed. In Chapter 6, a comparative assessment is made and conclusions are drawn from the methodologies that were analyzed. Finally, it is pointed out that a standardised structure for all methodologies has been followed in order to facilitate the comparison of their characteristics. Particularly, the structure for each methodology (chapter) is, as follows: • Overview - Basic objectives of methodology. • Scope. • Security levels, if they exist. • Basic security methodology. • Tools for the support of methodology.el


Αρχεία σε αυτό το τεκμήριο

Thumbnail
Όνομα:
358_000001m.pdf
Μέγεθος:
4.131Mb
Τύπος:
PDF
Προβολή/Άνοιγμα
Thumbnail
Όνομα:
license_rdf
Μέγεθος:
1.203Kb
Τύπος:
application/rdf+xml
Προβολή/Άνοιγμα

Αυτό το τεκμήριο εμφανίζεται στις ακόλουθες συλλογές

Εμφάνιση απλής εγγραφής

Αναφορά Δημιουργού-Μη Εμπορική Χρήση-Όχι Παράγωγα Έργα 3.0 Ελλάδα
Εκτός από όπου επισημαίνεται κάτι διαφορετικό, το τεκμήριο διανέμεται με την ακόλουθη άδεια:
Αναφορά Δημιουργού-Μη Εμπορική Χρήση-Όχι Παράγωγα Έργα 3.0 Ελλάδα