Разделы презентаций


Создание безопасных приложений с использованием средств разработки Microsoft

Содержание

Типичные методы обеспечения безопасностиМоделирование угрозСтатические анализаторы кодаАвтоматическое тестирование кодаCode reviewЕжедневная сборка с проверкой всех тестовМинимизация «поверхности атаки»

Слайды и текст этой презентации

Слайд 1Создание безопасных приложений с использованием средств разработки Microsoft
Константин Юштин
Microsoft

IT Academy Program
при Киевском Национальном университете имени Тараса Шевченко
канд.

физ.-мат. наук


Создание безопасных приложений с использованием средств разработки Microsoft Константин ЮштинMicrosoft IT Academy Program при Киевском Национальном университете

Слайд 2Типичные методы обеспечения безопасности
Моделирование угроз
Статические анализаторы кода
Автоматическое тестирование кода
Code review
Ежедневная

сборка с проверкой всех тестов
Минимизация «поверхности атаки»

Типичные методы обеспечения безопасностиМоделирование угрозСтатические анализаторы кодаАвтоматическое тестирование кодаCode reviewЕжедневная сборка с проверкой всех тестовМинимизация «поверхности атаки»

Слайд 3Статические анализаторы кода
Находят дополнительные ошибки во время компиляции
Приведения типов
Быстродействия
Безопасности
Операций с

памятью
Утилиты:
PREfast, Viva64
Ключи студии Visual Studio 2005 Team Edition for

Software Developers
/analyze
/GS
/Wp64
Статические анализаторы кодаНаходят дополнительные ошибки во время компиляцииПриведения типовБыстродействияБезопасностиОпераций с памятьюУтилиты:PREfast, Viva64 Ключи студии Visual Studio 2005

Слайд 4Моделирование угроз
Диаграммы потоков данных (data flow diagram, DFD).
Списки всех

сценариев использования приложения, списки уровней привилегий пользователей, списки защищаемых ценностей

(assets)
Возможные сценарии взлома
классификация по STRIDE
оценка по шкале опасности DREAD

Утилиты доступные с сайта www.microsoft.com:
Microsoft Threat Analysis & Modeling tool
Threat Modeling Tool
Моделирование угрозДиаграммы потоков данных (data flow diagram, DFD). Списки всех сценариев использования приложения, списки уровней привилегий пользователей,

Слайд 5Stride: Категоризация Угроз
Систематический обзор архитектуры с точки зрения атакующего
Определение ресурсов,

угроз, уязвимостей, механизмов защиты и рисков
Имеет большое значение для тестирования

безопасности
Stride: Категоризация УгрозСистематический обзор архитектуры с точки зрения атакующегоОпределение ресурсов, угроз, уязвимостей, механизмов защиты и рисковИмеет большое

Слайд 6Dread: оценка риска уязвимости
Damage potential: Какова величина ущерба при использовании

уязвимости?
Reproducibility: Насколько легко повторить атаку?
Exploitability: Насколько легко запустить

атаку?
Affected users: Какой ориентировочный процент пользователей затрагивается?
Discoverability: Насколько легко найти эту уязвимость?
Dread: оценка риска уязвимостиDamage potential: Какова величина ущерба при использовании уязвимости? Reproducibility: Насколько легко повторить атаку? Exploitability:

Слайд 7Расширенное тестирование
Visual Studio 2005 Team Edition for Testers
Visual Studio 2005

Team Edition for Database Professionals

Виды тестов
Модульные (Unit) тесты
Web

тесты
Нагрузочные (Load) тесты
Ручные (Manual) тесты
Внешние (Generic) тесты
Упорядоченные (Ordered) тесты
Расширенное тестированиеVisual Studio 2005 Team Edition for TestersVisual Studio 2005 Team Edition for Database ProfessionalsВиды тестов Модульные

Слайд 8Новые средства безопасности в Visual Studio 2005
Улучшенная защита от переполнения

буфера (/GS)
Статический анализ исходного кода (/analyze)
Динамический анализ (AppVerifier)
Безопасные стандартные библиотеки

(SafeCRT)
Встроенный FxCop
Отладка в зонах (Debug in Zones)
Улучшенная работы с исключениями
PermCalc – анализ требований безопасности
Новые средства безопасности в Visual Studio 2005Улучшенная защита от переполнения буфера (/GS)Статический анализ исходного кода (/analyze)Динамический анализ

Слайд 9Встроенный FxCop
FxCop - часть Visual Studio
Статический анализ управляемого кода
Можно выбрать

желаемые проверки в свойствах проекта
Находит проблемы
Безопасности
Быстродействия
Надежности

Встроенный FxCopFxCop - часть Visual StudioСтатический анализ управляемого кодаМожно выбрать желаемые проверки в свойствах проектаНаходит проблемыБезопасностиБыстродействияНадежности

Слайд 10Категории возможных проблем с кодом
Input validation
Authentication
Authorization
Configuration management
Sensitive data
Session management


Cryptography
Parameter manipulation
Exception management
Auditing and logging

Категории возможных проблем с кодомInput validationAuthenticationAuthorizationConfiguration managementSensitive data Session management CryptographyParameter manipulation Exception management Auditing and logging

Слайд 11Input Validation: Безопасные строковые функции
Содержатся в
Visual Studio 2005
Windows SDK

начиная с Microsoft Windows XP SP1
Windows Driver Kit (WDK)
Driver Development

Kit (DDK)

Input Validation: Безопасные строковые функцииСодержатся в Visual Studio 2005Windows SDK начиная с Microsoft Windows XP SP1Windows Driver Kit

Слайд 13Code access security .NET Framework
Права доступа код к системе с

фильтрацией:
Simple assembly name
Code location (URL)
Zone of origin
Strong assembly name
Cryptographic hash
Authenticode

signature

Декларативный запроса приложения прав для своей сборки
assembly: FileIOPermission(SecurityAction.RequestMinimum, Unrestricted=true)]
Code access security .NET FrameworkПрава доступа код к системе с фильтрацией:Simple assembly nameCode location (URL)Zone of originStrong

Слайд 15Аутентификация в .NET
Типы аутентификации в .NET Framework:
Windows
Generic
Custom

Аутентификация в .NETТипы аутентификации в .NET Framework:WindowsGenericCustom

Слайд 16Cryptography: криптографические функции
SQL Server 2005 - первая версия SQL сервера, в

которой появилась серьезная поддержка криптографии.

.NET Framework использует цифровую подпись для

сборок и специальные классы, реализующие симметричное и асимметричное шифрование в пространстве имен System.Security.Cryptography
Cryptography: криптографические функцииSQL Server 2005 - первая версия SQL сервера, в которой появилась серьезная поддержка криптографии..NET Framework

Слайд 17Достижения
Согласно внутренним исследованиям корпорации Microsoft, компьютеры с ОС Windows XP с пакетом обновления 2

(SP2) в 13—15 раз менее подвержены заражению вредоносным ПО, чем компьютеры под

управлением предыдущих версий Windows XP.
В Windows Server 2003 было обнаружено на 50 процентов меньше уязвимостей, чем в предыдущей версии, Windows Server 2000.
С момента выпуска в 2003 г. последней версии веб-сервера корпорации Microsoft, Internet Information Services 6.0, в нем было обнаружено только два уязвимых места.
В SQL Server 2005 не обнаружено ни одного дефекта с момента выпуска этого продукта в ноябре 2005 года.

(http://www.microsoft.com/rus/midsizebusiness/security/sdl.mspx)
ДостиженияСогласно внутренним исследованиям корпорации Microsoft, компьютеры с ОС Windows XP с пакетом обновления 2 (SP2) в 13—15 раз менее подвержены заражению вредоносным ПО,

Слайд 18

Вопросы ?
Константин Юштин
Microsoft IT Academy Program
при Киевском Национальном

университете имени Тараса Шевченко

Вопросы ? Константин ЮштинMicrosoft IT Academy Program при Киевском Национальном университете имени Тараса Шевченко

Обратная связь

Если не удалось найти и скачать доклад-презентацию, Вы можете заказать его на нашем сайте. Мы постараемся найти нужный Вам материал и отправим по электронной почте. Не стесняйтесь обращаться к нам, если у вас возникли вопросы или пожелания:

Email: Нажмите что бы посмотреть 

Что такое TheSlide.ru?

Это сайт презентации, докладов, проектов в PowerPoint. Здесь удобно  хранить и делиться своими презентациями с другими пользователями.


Для правообладателей

Яндекс.Метрика