உள்ளடக்கம் மறைக்க
1 AXIS பாதுகாப்பு மேம்பாட்டு மாதிரி மென்பொருள்
2 அறிமுகம்
3 சொற்களஞ்சியம்
4 ASDM முடிந்துவிட்டதுview
5 மென்பொருள் பாதுகாப்பு குழு (SSG)
6 ASDM நிர்வாகம்
7 ASDM நிலை அமைப்பு
8 கூறு நிலை
9 தீர்வு நிலை
10 ASDM செயல்பாடுகள்
11 ஆவணங்கள் / ஆதாரங்கள்
11.1 குறிப்புகள்
12 தொடர்புடைய இடுகைகள்

AXIS-லோகோ

AXIS பாதுகாப்பு மேம்பாட்டு மாதிரி மென்பொருள்

AXIS பாதுகாப்பு மேம்பாட்டு மாதிரி மென்பொருள்-fig1

அறிமுகம்

ASDM நோக்கங்கள்
ஆக்சிஸ் செக்யூரிட்டி டெவலப்மென்ட் மாடல் (ஏஎஸ்டிஎம்) என்பது ஆக்சிஸ் பயன்படுத்தும் செயல்முறை மற்றும் கருவிகளை வாழ்க்கைச் சுழற்சி முழுவதும் பாதுகாப்பு உள்ளமைக்கப்பட்ட மென்பொருளை உருவாக்க, ஆரம்பம் முதல் நீக்கம் வரை வரையறுக்கிறது.

ASDM முயற்சிகளை இயக்கும் முதன்மை நோக்கங்கள்

  • மென்பொருள் பாதுகாப்பை அச்சு மென்பொருள் மேம்பாட்டு நடவடிக்கைகளின் ஒருங்கிணைந்த பகுதியாக ஆக்குங்கள்.
  • Axis வாடிக்கையாளர்களுக்கு பாதுகாப்பு தொடர்பான வணிக அபாயங்களைக் குறைக்கவும்.
  • இன்க்ரெவை சந்திக்கவும்asinவாடிக்கையாளர்கள் மற்றும் கூட்டாளர்களின் பாதுகாப்புக் கருத்தில் விழிப்புணர்வு.
  • முன்கூட்டியே கண்டறிந்து சிக்கல்களைத் தீர்ப்பதன் காரணமாக செலவுக் குறைப்புக்கான சாத்தியத்தை உருவாக்குங்கள்
    ASDM ஸ்கோப் என்பது அச்சு தயாரிப்புகள் மற்றும் தீர்வுகளில் சேர்க்கப்பட்டுள்ள அச்சு மென்பொருளாகும். மென்பொருள் பாதுகாப்பு குழு (SSG) ASDM இன் உரிமையாளர் மற்றும் பராமரிப்பாளர்.

சொற்களஞ்சியம்

ஏ.எஸ்.டி.எம் அச்சு பாதுகாப்பு மேம்பாட்டு மாதிரி
எஸ்.எஸ்.ஜி மென்பொருள் பாதுகாப்பு குழு
நிலைபொருள் திசைமாற்றி குழு R&D நிர்வாகம்
செயற்கைக்கோள் மென்பொருள் பாதுகாப்பில் இயல்பான ஈடுபாடு கொண்ட டெவலப்பர்கள்
பாதிப்பு பலகை வெளிப்புற ஆராய்ச்சியாளர்களால் கண்டறியப்பட்ட பாதிப்புகள் தொடர்பான அச்சு தொடர்பு புள்ளி
பிழை பட்டை ஒரு தயாரிப்பு அல்லது தீர்வுக்கான பாதுகாப்பு இலக்கு
DFD தரவு ஓட்ட வரைபடம்

ASDM முடிந்துவிட்டதுview

ஏஎஸ்டிஎம் முக்கிய வளர்ச்சிக் கட்டங்களில் பல செயல்பாடுகளைக் கொண்டுள்ளது. பாதுகாப்பு நடவடிக்கைகள் கூட்டாக ASDM என அடையாளம் காணப்படுகின்றன.

AXIS பாதுகாப்பு மேம்பாட்டு மாதிரி மென்பொருள்-fig3

ASDM-ஐ நிர்வகிப்பதற்கும், காலப்போக்கில் கருவிப்பெட்டியை உருவாக்குவதற்கும் SSG பொறுப்பாகும். புதிய செயல்பாடுகள் மற்றும் மேம்பாடுகளை செயல்படுத்துவதற்கான ASDM சாலை வரைபடம் மற்றும் வெளியீட்டுத் திட்டம் உள்ளது.asinவளர்ச்சி அமைப்பு முழுவதும் ASDM முதிர்ச்சி. சாலை வரைபடம் மற்றும் வெளியீட்டுத் திட்டம் இரண்டும் SSG-க்கு சொந்தமானது, ஆனால் நடைமுறையில் உண்மையான செயல்படுத்தலுக்கான பொறுப்பு (அதாவது, வளர்ச்சி கட்டங்கள் தொடர்பான செயல்பாடுகளைச் செய்தல்) R&D குழுக்களிடம் ஒப்படைக்கப்பட்டுள்ளது.

மென்பொருள் பாதுகாப்பு குழு (SSG)

SSG என்பது பாதுகாப்பு தொடர்பான சிக்கல்களுக்கான மேம்பாட்டு நிறுவனங்களுக்கான முக்கிய உள் தொடர்பு நிறுவனமாகும். தேவைகள், வடிவமைப்பு, செயல்படுத்தல், சரிபார்ப்பு, போன்ற மேம்பாட்டுப் பகுதிகளில் பாதுகாப்புத் தலைவர்கள் மற்றும் சிறப்புப் பாதுகாப்பு அறிவைக் கொண்ட பிறரை உள்ளடக்கியது.
அத்துடன் குறுக்கு-செயல்பாட்டு DevOps செயல்முறைகள்.
வளர்ச்சி நிறுவனத்தில் பாதுகாப்பான வளர்ச்சி நடைமுறைகள் மற்றும் பாதுகாப்பு விழிப்புணர்வுக்காக ASDM இன் வளர்ச்சி மற்றும் பராமரிப்புக்கு SSG பொறுப்பு.

செயற்கைக்கோள்கள்
செயற்கைக்கோள்கள் மேம்பாட்டு அமைப்பின் உறுப்பினர்களாகும், அவை மென்பொருள் பாதுகாப்பு அம்சங்களுடன் தங்கள் நேரத்தின் ஒரு பகுதியை செலவிடுகின்றன. செயற்கைக்கோள்கள் இருப்பதற்கான காரணங்கள்:

  • பெரிய மத்திய SSG ஐ உருவாக்காமல் ASDM ஐ அளவிடவும்
  • மேம்பாட்டுக் குழுக்களுக்கு நெருக்கமான ASDM ஆதரவை வழங்கவும்
  • அறிவுப் பகிர்வை எளிதாக்குதல், எ.கா., சிறந்த நடைமுறைகள்
    ஒரு செயற்கைக்கோள் புதிய செயல்பாடுகளைச் செயல்படுத்தவும், வளர்ச்சிக் குழுக்களின் துணைக்குழுவில் ASDM ஐ பராமரிக்கவும் உதவும்.

ASDM செயல்பாடு வெளியீடு
ஒரு மேம்பாட்டுக் குழுவிற்கான ASDM செயல்பாடு பின்வருமாறுtagஎட் செயல்முறை:

  1. பங்கு-குறிப்பிட்ட பயிற்சி மூலம் குழு புதிய செயல்பாட்டிற்கு அறிமுகப்படுத்தப்பட்டது.
  2. குழுவால் நிர்வகிக்கப்படும் அமைப்பின் (கள்) தேர்ந்தெடுக்கப்பட்ட பகுதிகளுக்கு, எ.கா., இடர் மதிப்பீடு அல்லது அச்சுறுத்தல் மாடலிங் செய்ய, SSG குழுவுடன் இணைந்து செயல்படுகிறது.
  3. தினசரி வேலையில் கருவிப்பெட்டியை ஒருங்கிணைப்பது தொடர்பான கூடுதல் நடவடிக்கைகள் குழு மற்றும் செயற்கைக்கோள் நேரடி SSG ஈடுபாடு இல்லாமல் சுயாதீனமாக வேலை செய்யத் தயாராக இருக்கும் போது ஒப்படைக்கப்படும். இந்த கட்டத்தில், பணியானது ASDM நிலை மூலம் குழு மேலாளரால் நிர்வகிக்கப்படுகிறது.
    மாற்றியமைக்கப்பட்ட மற்றும்/அல்லது கூடுதல் செயல்பாடுகளுடன் ASDM இன் புதிய பதிப்புகள் கிடைக்கும்போது, ​​வெளியீடு மீண்டும் மீண்டும் செய்யப்படுகிறது. ஒரு குழுவுடன் SSG செலவிடும் நேரத்தின் அளவு செயல்பாடு மற்றும் குறியீட்டின் சிக்கலான தன்மையைப் பொறுத்தது. குழுவிற்கு வெற்றிகரமான ஒப்படைப்புக்கான ஒரு முக்கிய காரணியானது, குழுவுடன் மேலும் ASDM பணியைத் தொடரக்கூடிய உட்பொதிக்கப்பட்ட செயற்கைக்கோள் உள்ளது. SSG செயல்பாட்டிற்கு இணையாக செயற்கைக்கோள் கற்றல் மற்றும் ஒதுக்கீட்டை இயக்குகிறது.
    கீழே உள்ள படம் ரோல்அவுட் முறையை சுருக்கமாகக் கூறுகிறது.

    AXIS பாதுகாப்பு மேம்பாட்டு மாதிரி மென்பொருள்-fig4

ஒப்படைப்பதற்கான "முடிந்தது" என்பதன் SSG வரையறை:

  • பங்கு குறிப்பிட்ட பயிற்சி செய்யப்படுகிறது
  • செயற்கைக்கோள் ஒதுக்கப்பட்டது
  • ASDM செயல்பாட்டைச் செய்ய குழு தயாராக உள்ளது
  • தொடர்ச்சியான ASDM நிலை சந்திப்புகள் நிறுவப்பட்டன
    மூத்த நிர்வாகத்திற்கான நிலை அறிக்கைகளைச் சேகரிக்க SSG அணிகளின் உள்ளீட்டைப் பயன்படுத்துகிறது.

பிற SSG செயல்பாடுகள்
வெளியீட்டு நடவடிக்கைகளுக்கு இணையாக, SSG ஆனது புதிய பணியாளர்கள் மற்றும் மூத்த நிர்வாகத்தை இலக்காகக் கொண்டு பரந்த பாதுகாப்பு விழிப்புணர்வு பயிற்சி நடவடிக்கைகளை நடத்துகிறது. கூடுதலாக, SSG ஒட்டுமொத்த/கட்டிடக்கலை இடர் மதிப்பீட்டு நோக்கங்களுக்காக அச்சு தீர்வுகளின் பாதுகாப்பு வெப்ப வரைபடத்தை பராமரிக்கிறது. குறிப்பிட்ட தொகுதிகளுக்கான செயல்திறன்மிக்க பாதுகாப்பு பகுப்பாய்வு நடவடிக்கைகள் வெப்ப வரைபடத்தின் அடிப்படையில் செய்யப்படுகின்றன.

பாத்திரங்கள் மற்றும் பொறுப்புகள்
கீழே உள்ள அட்டவணையில் காட்டப்பட்டுள்ளபடி, ASDM திட்டத்தின் ஒரு பகுதியாக இருக்கும் சில முக்கிய நிறுவனங்கள் மற்றும் பாத்திரங்கள் உள்ளன. கீழே உள்ள அட்டவணை ASDM தொடர்பான பாத்திரங்கள் மற்றும் பொறுப்புகளை சுருக்கமாகக் கூறுகிறது.

பங்கு / நிறுவனம் பகுதி பொறுப்பு கருத்து
பாதுகாப்பு நிபுணர் எஸ்.எஸ்.ஜி ASDMஐ நிர்வகிக்கவும், கருவிப்பெட்டியை உருவாக்கி, ASDM வெளியீட்டை இயக்கவும் 100% SSGக்கு ஒதுக்கப்பட்டது
செயற்கைக்கோள் வளர்ச்சி வரி முதல் முறையாக ASDM ஐச் செயல்படுத்த SSGக்கு உதவுங்கள், குழுக்களுக்குப் பயிற்சி அளிக்கவும், பயிற்சிகளைச் செய்யவும் மற்றும் SSG இலிருந்து சுயாதீனமாக, குழுவானது தினசரி வேலையின் ஒரு பகுதியாக கருவிப்பெட்டியைத் தொடர்ந்து பயன்படுத்துவதை உறுதிசெய்யவும். மொத்த செயற்கைக்கோள்களின் எண்ணிக்கையைக் கட்டுப்படுத்த குறுக்கு குழு பொறுப்பு (பல அணிகள்) தேவை. ஆர்வமும் ஈடுபாடும் கொண்ட டெவலப்பர்கள், கட்டிடக் கலைஞர்கள், மேலாளர்கள், சோதனையாளர்கள் மற்றும் மென்பொருள் பாதுகாப்பில் இயல்பான ஈடுபாடு கொண்ட ஒத்த பாத்திரங்கள். செயற்கைக்கோள்கள் குறைந்தபட்சம் 20% நேரத்தை ASDM தொடர்பான வேலைகளுக்கு ஒதுக்குகின்றன.
மேலாளர்கள் வளர்ச்சி வரி ASDM நடைமுறைகளை செயல்படுத்துவதற்கான பாதுகாப்பான ஆதாரங்கள். டிரைவ் டிராக்கிங் மற்றும் ஏஎஸ்டிஎம் நிலை மற்றும் கவரேஜ் பற்றிய அறிக்கை. டெவலப்மெண்ட் குழுக்கள் ASDM செயல்படுத்தலைச் சொந்தமாக வைத்திருக்கின்றன, SSG ஒரு ஆதரவு ஆதாரமாக உள்ளது.
நிலைபொருள் ஸ்டீயரிங் குழு (FW SG) R&D நிர்வாகம் பாதுகாப்பு உத்தியை முடிவுசெய்து, முக்கிய SSG அறிக்கையிடல் சேனலாக செயல்படுகிறது. SSG FW SGக்கு வழக்கமான அடிப்படையில் அறிக்கை செய்கிறது.

ASDM நிர்வாகம்

நிர்வாக அமைப்பு பின்வரும் பகுதிகளைக் கொண்டுள்ளது:

  • ASDM செயல்பாடுகளுக்கு முன்னுரிமை அளிக்க உதவும் சிஸ்டம் ரிஸ்க் ஹீட்மேப்
  • பயிற்சி முயற்சிகளில் கவனம் செலுத்துவதற்கான திட்டம் மற்றும் நிலை
  • கருவிப்பெட்டியை உருவாக்குவதற்கான சாலை வரைபடம்
  • நிறுவனத்தில் ASDM செயல்பாடுகள் எவ்வளவு சிறப்பாக ஒருங்கிணைக்கப்பட்டுள்ளன என்பதை அளவிடுவதற்கான நிலை

ASDM அமைப்பு ஒரு தந்திரோபாய/செயல்பாட்டு கண்ணோட்டத்தில் இருந்தும் அதே போல் ஒரு மூலோபாய/நிர்வாகக் கண்ணோட்டத்திலிருந்தும் ஆதரிக்கப்படுகிறது.
படத்தில் வலது புறத்தில் உள்ள நிர்வாக வழிகாட்டுதல், அச்சு வணிக இலக்குகளுக்கு ஏற்ப உகந்த செயல்திறனுக்காக நிறுவனத்தை எவ்வாறு உருவாக்குவது என்பதில் கவனம் செலுத்துகிறது. ஃபார்ம்வேர் ஸ்டீயரிங் குரூப், சிடிஓ மற்றும் ப்ராடக்ட் மேனேஜ்மென்ட் ஆகியவற்றில் எஸ்எஸ்ஜி நிகழ்த்திய ஏஎஸ்டிஎம் நிலை அறிக்கை இதற்கு முக்கியமான உள்ளீடு ஆகும்.

AXIS பாதுகாப்பு மேம்பாட்டு மாதிரி மென்பொருள்-fig5

ASDM நிலை அமைப்பு

ASDM நிலை அமைப்பு இரண்டு முன்னோக்குகளைக் கொண்டுள்ளது: ஒரு குழு மையமாக எங்கள் குழு மற்றும் துறையின் கட்டமைப்பைப் பிரதிபலிக்கிறது, மேலும் ஒரு தீர்வு மையமாக நாம் சந்தைக்குக் கொண்டு வரும் தீர்வுகளில் கவனம் செலுத்துகிறது.
கீழே உள்ள படம் ASDM நிலை கட்டமைப்பை விளக்குகிறது.

குழு நிலை
குழு நிலை அதன் ASDM முதிர்வு, அவர்களின் பாதுகாப்பு பகுப்பாய்வு நடவடிக்கைகள் தொடர்பான அளவீடுகள் மற்றும் அவர்கள் பொறுப்பான கூறுகளின் பாதுகாப்பு நிலையின் ஒருங்கிணைப்பு ஆகியவற்றின் சுய மதிப்பீடு ஆகியவற்றைக் கொண்டுள்ளது.

AXIS பாதுகாப்பு மேம்பாட்டு மாதிரி மென்பொருள்-fig6

குழு தற்போது பயன்படுத்தும் ASDM பதிப்பாக ASDM முதிர்ச்சியை Axis வரையறுக்கிறது. ASDM உருவாகி வருவதால், ASDM பதிப்பை வரையறுத்துள்ளோம், இதில் ASDM இன் ஒவ்வொரு பதிப்பும் ஒரு தனித்துவமான செயல்பாடுகளைக் கொண்டுள்ளது. உதாரணமாகample, எங்களின் ASDM இன் முதல் பதிப்பு அச்சுறுத்தல் மாடலிங்கில் கவனம் செலுத்துகிறது.
பின்வரும் ASDM பதிப்புகளை Axis வரையறுத்துள்ளது:

ASDM பதிப்பு புதிய செயல்பாடுகள்
ஏஎஸ்டிஎம் 1.0 இடர் மதிப்பீடு மற்றும் அச்சுறுத்தல் மாதிரியாக்கம்
ஏஎஸ்டிஎம் 2.0 நிலையான குறியீடு மறுview
ஏஎஸ்டிஎம் 2.1 வடிவமைப்பு மூலம் தனியுரிமை
ஏஎஸ்டிஎம் 2.2 மென்பொருள் கலவை பகுப்பாய்வு
ஏஎஸ்டிஎம் 2.3 வெளிப்புற ஊடுருவல் சோதனை
ஏஎஸ்டிஎம் 2.4 பாதிப்பு ஸ்கேனிங் மற்றும் தீ பயிற்சி
ஏஎஸ்டிஎம் 2.5 தயாரிப்பு/தீர்வு பாதுகாப்பு நிலை

அவர்கள் பயன்படுத்தும் ASDM பதிப்பின் குழு உரிமையை வழங்குவது, புதிய ASDM பதிப்புகளை ஏற்றுக்கொள்வதற்கு லைன் மேனேஜர்தான் பொறுப்பு. எனவே SSG ஒரு மைய ASDM வெளியீட்டுத் திட்டத்தைத் தள்ளும் அமைப்பிற்குப் பதிலாக, அது இப்போது இழுத்தல் அடிப்படையிலானது மற்றும் மேலாளர்களால் கட்டுப்படுத்தப்படுகிறது.

கூறு நிலை

  • பிளாட்ஃபார்மில் உள்ள லினக்ஸ் பேய்கள் முதல் சர்வர் மென்பொருள் மூலம் கிளவுட் (மைக்ரோ) சேவைகள் வரை அனைத்து வகையான கட்டடக்கலை நிறுவனங்களையும் உள்ளடக்கியிருக்க வேண்டியதன் காரணமாக எங்களிடம் ஒரு பரந்த வரையறை உள்ளது.
  • ஒவ்வொரு குழுவும் தங்கள் சூழல் மற்றும் கட்டிடக்கலையில் அவர்களுக்கு வேலை செய்யும் ஒரு சுருக்க நிலை குறித்து தங்கள் சொந்த மனதை உருவாக்க வேண்டும். கட்டைவிரல் விதியாக, குழுக்கள் ஒரு புதிய சுருக்க நிலையைக் கண்டுபிடிப்பதைத் தவிர்க்க வேண்டும் மற்றும் அவர்கள் ஏற்கனவே தங்கள் அன்றாட வேலைகளில் எதைப் பயன்படுத்துகிறார்கள் என்பதை வைத்திருக்க வேண்டும்.
  • ஒவ்வொரு அணியும் தெளிவாக இருக்க வேண்டும் என்பது கருத்து view புதிய மற்றும் மரபு கூறுகளை உள்ளடக்கிய அனைத்து உயர்-ஆபத்து கூறுகள். மரபு கூறுகளில் இந்த அதிகரித்த ஆர்வத்திற்கான உந்துதல், தீர்வுகளுக்கான பாதுகாப்பு நிலையைப் பார்க்கும் நமது திறனுடன் இணைக்கப்பட்டுள்ளது. ஒரு தீர்வின் விஷயத்தில், புதிய மற்றும் பழைய தீர்வின் அனைத்துப் பகுதிகளின் பாதுகாப்பு நிலையிலும் தெரிவுநிலையைப் பெற விரும்புகிறோம்.
  • நடைமுறையில், ஒவ்வொரு குழுவும் தங்கள் கூறுகளின் பட்டியலைப் பார்த்து ஆபத்து மதிப்பீட்டைச் செய்ய வேண்டும்.
  • நாம் தெரிந்து கொள்ள வேண்டிய முதல் விஷயம், கூறு பாதுகாப்பு பகுப்பாய்வுக்கு உட்பட்டதா என்பதுதான். அது இல்லையென்றால், கூறுகளின் பாதுகாப்புத் தரம் பற்றி எங்களுக்கு எதுவும் தெரியாது.

நாங்கள் இதை சொத்து கவரேஜ் என்று அழைக்கிறோம் மற்றும் பின்வரும் கவரேஜ் நிலைகளை வரையறுத்துள்ளோம்:

கவரேஜ் விளக்கம்
பகுப்பாய்வு செய்யப்படவில்லை கூறு இன்னும் பகுப்பாய்வு செய்யப்படவில்லை
பகுப்பாய்வு நடந்து கொண்டிருக்கிறது கூறு பகுப்பாய்வு செய்யப்படுகிறது
பகுப்பாய்வு செய்யப்பட்டது கூறு பகுப்பாய்வு செய்யப்பட்டது

கூறுகளின் பாதுகாப்புத் தரத்தைப் பிடிக்க நாங்கள் பயன்படுத்தும் அளவீடுகள், கூறுகளுடன் இணைக்கப்பட்ட பின்னிணைப்பில் உள்ள பாதுகாப்புப் பணி உருப்படிகளை அடிப்படையாகக் கொண்டவை. இது செயல்படுத்தப்படாத எதிர் நடவடிக்கைகள், செயல்படுத்தப்படாத சோதனை வழக்குகள் மற்றும் கவனிக்கப்படாத பாதுகாப்பு பிழைகள்.

தீர்வு நிலை

தீர்வு நிலை தீர்வை உருவாக்கும் கூறுகளின் தொகுப்பிற்கான பாதுகாப்பு நிலையை ஒருங்கிணைக்கிறது.
தீர்வு நிலையின் முதல் பகுதி கூறுகளின் பகுப்பாய்வு கவரேஜ் ஆகும். தீர்வின் பாதுகாப்பு நிலை அறியப்பட்டதா அல்லது தெரியவில்லையா என்பதை தீர்வு உரிமையாளர்கள் புரிந்துகொள்ள இது உதவுகிறது. ஒரு கண்ணோட்டத்தில் குருட்டுப் புள்ளிகளை அடையாளம் காண உதவுகிறது. மீதமுள்ள தீர்வு நிலை, தீர்வின் பாதுகாப்புத் தரத்தைக் கைப்பற்றும் அளவீடுகளைக் கொண்டுள்ளது. கரைசலில் உள்ள கூறுகளுடன் இணைக்கப்பட்டுள்ள பாதுகாப்பு பணி உருப்படிகளைப் பார்த்து நாங்கள் அதைச் செய்கிறோம். பாதுகாப்பு நிலையின் முக்கிய அம்சம் தீர்வு உரிமையாளர்களால் வரையறுக்கப்பட்ட பிழைப் பட்டி ஆகும். தீர்வு உரிமையாளர்கள் தங்கள் தீர்வுக்கான பொருத்தமான பாதுகாப்பு அளவை வரையறுக்க வேண்டும். உதாரணமாகample, இதன் பொருள் என்னவென்றால், தீர்வு சந்தைக்கு வெளியிடப்படும் போது எந்த ஒரு சிறந்த முக்கியமான அல்லது அதிக தீவிரத்தன்மை கொண்ட வேலைப் பொருட்களை திறக்காமல் இருக்க வேண்டும்.

ASDM செயல்பாடுகள்

இடர் மதிப்பீடு
இடர் மதிப்பீட்டின் முக்கிய நோக்கம், குழுவிற்குள் பாதுகாப்பு வேலைகள் தேவைப்படும் வளர்ச்சி நடவடிக்கைகள் என்ன என்பதை வடிகட்டுவதாகும்.
புதிய தயாரிப்பு அல்லது ஏற்கனவே உள்ள தயாரிப்புகளில் சேர்க்கப்பட்ட/மாற்றியமைக்கப்பட்ட அம்சம் ஆபத்து வெளிப்பாட்டை அதிகரிக்கிறதா என்பதை மதிப்பிடுவதன் மூலம் இடர் மதிப்பீடு செய்யப்படுகிறது. இதில் தரவு தனியுரிமை அம்சங்கள் மற்றும் இணக்கத் தேவைகளும் அடங்கும் என்பதை நினைவில் கொள்ளவும். Exampபுதிய ஏபிஐகள், அங்கீகாரத் தேவைகளுக்கான மாற்றங்கள், புதிய மிடில்வேர் போன்றவை ஆபத்து தாக்கத்தை ஏற்படுத்தும் மாற்றங்கள்.

தரவு தனியுரிமை
நம்பிக்கை என்பது Axis இன் முக்கிய கவனம் செலுத்தும் பகுதியாகும், மேலும், எங்கள் தயாரிப்புகள், தீர்வுகள் மற்றும் சேவைகளால் சேகரிக்கப்பட்ட தனிப்பட்ட தரவுகளுடன் பணிபுரியும் போது சிறந்த நடைமுறைகளைப் பின்பற்றுவது முக்கியம்.
தரவு தனியுரிமை தொடர்பான அச்சு முயற்சிகளுக்கான நோக்கம் வரையறுக்கப்பட்டுள்ளது:

  • சட்டப்பூர்வ கடமைகளை நிறைவேற்றுங்கள்
  • ஒப்பந்தக் கடமைகளை நிறைவேற்றுங்கள்
  • வாடிக்கையாளர்கள் தங்கள் கடமைகளை நிறைவேற்ற உதவுங்கள்

தரவு தனியுரிமைச் செயல்பாட்டை இரண்டு துணைச் செயல்பாடுகளாகப் பிரிக்கிறோம்:

  • தரவு தனியுரிமை மதிப்பீடு
    • இடர் மதிப்பீட்டின் போது செய்யப்பட்டது
    • தரவு தனியுரிமை பகுப்பாய்வு தேவைப்பட்டால் அடையாளம் காணும்
  •  தரவு தனியுரிமை பகுப்பாய்வு
    • அச்சுறுத்தல் மாடலிங் போது, ​​பொருந்தும் போது முடிந்தது
    • தனிப்பட்ட தரவு மற்றும் தனிப்பட்ட தரவுக்கான அச்சுறுத்தல்களை அடையாளம் காட்டுகிறது
    • தனியுரிமை தேவைகளை வரையறுக்கிறது

அச்சுறுத்தல் மாடலிங்
அச்சுறுத்தல்களை அடையாளம் காணத் தொடங்குவதற்கு முன், அச்சுறுத்தல் மாதிரியின் நோக்கத்தை நாம் தீர்மானிக்க வேண்டும். நோக்கத்தை வெளிப்படுத்தும் ஒரு வழி, நாம் கருத்தில் கொள்ள வேண்டிய தாக்குபவர்களை விவரிப்பதாகும். இந்த அணுகுமுறை பகுப்பாய்வில் நாம் சேர்க்க வேண்டிய உயர் மட்ட தாக்குதல் மேற்பரப்புகளை அடையாளம் காண அனுமதிக்கும்.

AXIS பாதுகாப்பு மேம்பாட்டு மாதிரி மென்பொருள்-fig7

  • அச்சுறுத்தல் ஸ்கோப்பிங்கின் போது கவனம் செலுத்துவது, கணினியின் உயர்நிலை விளக்கத்தைப் பயன்படுத்தி நாங்கள் கையாள விரும்பும் தாக்குபவர்களைக் கண்டறிந்து வகைப்படுத்துவதாகும். அச்சுறுத்தல் மாதிரியைச் செய்யும்போது பயன்படுத்தப்படும் மிகவும் விரிவான பயன்பாட்டு வழக்கு விளக்கங்களை எளிதாக்குவதால், தரவு ஓட்ட வரைபடத்தைப் (DFD) பயன்படுத்தி விளக்கம் செய்யப்படுகிறது.
  • நாங்கள் அடையாளம் காணும் அனைத்து தாக்குபவர்களையும் கருத்தில் கொள்ள வேண்டும் என்று இது அர்த்தப்படுத்துவதில்லை, அச்சுறுத்தல் மாதிரியில் நாங்கள் உரையாற்றும் தாக்குதல் செய்பவர்கள் மீது நாங்கள் வெளிப்படையாகவும் இணக்கமாகவும் இருக்கிறோம் என்று அர்த்தம். எனவே, அடிப்படையில் நாங்கள் பரிசீலிக்கத் தேர்ந்தெடுக்கும் தாக்குபவர்கள், நாங்கள் மதிப்பிடும் அமைப்பின் பாதுகாப்பு அளவை வரையறுக்கும்.
    எங்கள் தாக்குபவர் விளக்கம் தாக்குபவர் திறன்கள் அல்லது உந்துதலில் காரணியாக இல்லை என்பதை நினைவில் கொள்ளவும். அச்சுறுத்தல் மாடலிங்கை முடிந்தவரை எளிமைப்படுத்தவும் நெறிப்படுத்தவும் இந்த அணுகுமுறையைத் தேர்ந்தெடுத்துள்ளோம்.

    AXIS பாதுகாப்பு மேம்பாட்டு மாதிரி மென்பொருள்-fig8

அச்சுறுத்தல் மாடலிங் மூன்று படிகளைக் கொண்டுள்ளது, அவை குழு பொருத்தமாக இருக்கும் என மீண்டும் செய்யலாம்:

  1. DFDகளின் தொகுப்பைப் பயன்படுத்தி கணினியை விவரிக்கவும்
  2. DFDகளைப் பயன்படுத்தி அச்சுறுத்தல்களைக் கண்டறிந்து அவற்றை முறைகேடு-வழக்கு பாணியில் விவரிக்கவும்
  3. 3. அச்சுறுத்தல்களுக்கான எதிர் நடவடிக்கைகள் மற்றும் சரிபார்ப்பை வரையறுக்கவும்
    அச்சுறுத்தல் மாடலிங் செயல்பாட்டின் விளைவு, முன்னுரிமை அளிக்கப்பட்ட அச்சுறுத்தல்கள் மற்றும் எதிர் நடவடிக்கைகளைக் கொண்ட அச்சுறுத்தல் மாதிரியாகும். எதிர் நடவடிக்கைகளுக்குத் தேவையான வளர்ச்சிப் பணிகள் ஜிரா டிக்கெட்டுகளை உருவாக்குவதன் மூலம் எதிர் நடவடிக்கையை செயல்படுத்துதல் மற்றும் சரிபார்த்தல் ஆகிய இரண்டின் மூலம் நிர்வகிக்கப்படுகின்றன.

    AXIS பாதுகாப்பு மேம்பாட்டு மாதிரி மென்பொருள்-fig9

நிலையான குறியீடு பகுப்பாய்வு
ASDM இல், குழுக்கள் நிலையான குறியீடு பகுப்பாய்வை மூன்று வழிகளில் பயன்படுத்தலாம்:

  • டெவலப்பர் பணிப்பாய்வு: டெவலப்பர்கள் தாங்கள் பணிபுரியும் குறியீட்டை பகுப்பாய்வு செய்கிறார்கள்
  • கெரிட் பணிப்பாய்வு: டெவலப்பர்கள் கெரிட்டில் கருத்துகளைப் பெறுகிறார்கள்
  • மரபுப் பணிப்பாய்வு: அதிக ஆபத்துள்ள மரபு கூறுகளை அணிகள் பகுப்பாய்வு செய்கின்றன

    AXIS பாதுகாப்பு மேம்பாட்டு மாதிரி மென்பொருள்-fig10

பாதிப்பு ஸ்கேனிங்
வழக்கமான பாதிப்பு ஸ்கேனிங், தயாரிப்புகளை பொதுமக்களுக்கு வெளியிடுவதற்கு முன், மென்பொருள் பாதிப்புகளை கண்டறிந்து, பேட்ச் செய்ய டெவலப்மென்ட் குழுக்களை அனுமதிக்கிறது, தயாரிப்பு அல்லது சேவையைப் பயன்படுத்தும்போது வாடிக்கையாளர்களின் ஆபத்தைக் குறைக்கிறது. ஒவ்வொரு வெளியீட்டு வன்பொருள், மென்பொருள்) அல்லது இயங்கும் அட்டவணையில் (சேவைகள்) திறந்த மூல மற்றும் வணிக பாதிப்பு ஸ்கேனிங் தொகுப்புகளைப் பயன்படுத்தி ஸ்கேனிங் செய்யப்படுகிறது. ஜிரா பிரச்சினை கண்காணிப்பு தளத்தில் டிக்கெட்டுகளை உருவாக்க ஸ்கேன்களின் முடிவுகள் பயன்படுத்தப்படுகின்றன. சிறப்பு டிக்கெட்டுகள் வழங்கப்படுகின்றன tag பாதிப்பு ஸ்கேன் மூலம் வந்ததாக மேம்பாட்டுக் குழுக்களால் அடையாளம் காணப்பட வேண்டும் மற்றும் அவர்களுக்கு உயர்ந்த முன்னுரிமை அளிக்கப்பட வேண்டும். அனைத்து பாதிப்பு ஸ்கேன் மற்றும் ஜிரா டிக்கெட்டுகள் கண்டறியும் மற்றும் தணிக்கை நோக்கங்களுக்காக மையமாக சேமிக்கப்படுகின்றன. முக்கியமான பாதிப்புகள் வெளியீட்டிற்கு முன் அல்லது ஒரு சிறப்பு சேவை வெளியீட்டில் மற்ற, முக்கியமற்ற பாதிப்புகளுடன் தீர்க்கப்பட வேண்டும்,
ஃபார்ம்வேர் அல்லது சாஃப்ட்வேர் வெளியீட்டு சுழற்சியுடன் சீரமைப்பில் கண்காணிக்கப்பட்டு தீர்க்கப்பட்டது. பாதிப்புகள் எவ்வாறு மதிப்பிடப்படுகின்றன மற்றும் நிர்வகிக்கப்படுகின்றன என்பது பற்றிய கூடுதல் தகவலுக்கு, பக்கம் 12 இல் பாதிப்பு மேலாண்மையைப் பார்க்கவும்

வெளிப்புற ஊடுருவல் சோதனை
தேர்ந்தெடுக்கப்பட்ட சந்தர்ப்பங்களில், மூன்றாம் தரப்பு ஊடுருவல் சோதனையானது Axis வன்பொருள் அல்லது மென்பொருள் தயாரிப்புகளில் செய்யப்படுகிறது. இந்தச் சோதனைகளை நடத்துவதன் முக்கிய நோக்கம், ஒரு குறிப்பிட்ட நேரப் புள்ளியில் மற்றும் ஒரு குறிப்பிட்ட நோக்கத்திற்கான பிளாட்ராமின் பாதுகாப்பு பற்றிய நுண்ணறிவு மற்றும் உத்தரவாதத்தை வழங்குவதாகும். ASDM உடனான எங்களின் முதன்மை இலக்குகளில் ஒன்று வெளிப்படைத்தன்மை ஆகும், எனவே எங்கள் தயாரிப்புகளில் வெளிப்புற ஊடுருவல் சோதனையை மேற்கொள்ள வாடிக்கையாளர்களை ஊக்குவிக்கிறோம், மேலும் சோதனை மற்றும் முடிவுகளை விளக்குவது தொடர்பான விவாதங்களுக்கு பொருத்தமான அளவுருக்களை வரையறுக்கும்போது ஒத்துழைப்பதில் நாங்கள் மகிழ்ச்சியடைகிறோம்.

பாதிப்பு மேலாண்மை
ஆக்சிஸ், 2021 முதல், பதிவுசெய்யப்பட்ட CVE பெயரிடும் அதிகாரம் (CNA) ஆகும், எனவே மூன்றாம் தரப்பு பாதிப்பு ஸ்கேனர்கள் மற்றும் பிற கருவிகளால் நுகர்வுக்காக MITER தரவுத்தளத்தில் நிலையான CVE அறிக்கைகளை வெளியிடும் திறன் கொண்டது. பாதிப்பு பலகை (VB) என்பது வெளிப்புற ஆராய்ச்சியாளர்களால் கண்டறியப்பட்ட பாதிப்புகளுக்கான உள் அச்சு தொடர்பு புள்ளியாகும். பற்றிய அறிக்கை
கண்டறியப்பட்ட பாதிப்புகள் மற்றும் அதைத் தொடர்ந்து சரிசெய்யும் திட்டங்கள் மூலம் தெரிவிக்கப்படுகின்றன product-security@axis.com மின்னஞ்சல் முகவரி.
பாதிப்பு வாரியத்தின் முக்கியப் பொறுப்பு, வணிகக் கண்ணோட்டத்தில் அறிக்கையிடப்பட்ட பாதிப்புகளை பகுப்பாய்வு செய்து முன்னுரிமை அளிப்பதாகும்.

  • SSG வழங்கிய தொழில்நுட்ப வகைப்பாடு
  • அச்சு சாதனம் செயல்படும் சூழலில் இறுதிப் பயனர்களுக்கு சாத்தியமான ஆபத்து
  • ஈடுசெய்யும் பாதுகாப்புக் கட்டுப்பாடுகள் கிடைப்பது ஒட்டுதல் இல்லாமல் மாற்று இடர் குறைப்பு)

VB CVE எண்ணைப் பதிவுசெய்து, பாதிப்புக்கு CVSS மதிப்பெண்ணை வழங்க நிருபருடன் இணைந்து பணியாற்றுகிறது. ஆக்சிஸ் பாதுகாப்பு அறிவிப்பு சேவை, பத்திரிகை வெளியீடுகள் மற்றும் செய்திக் கட்டுரைகள் மூலம் கூட்டாளர்களுக்கும் வாடிக்கையாளர்களுக்கும் வெளிப்புறத் தொடர்புகளை VB இயக்குகிறது.

AXIS பாதுகாப்பு மேம்பாட்டு மாதிரி மென்பொருள்-fig11

Axis Security Development Model © Axis Communications AB, 2022

ஆவணங்கள் / ஆதாரங்கள்

AXIS பாதுகாப்பு மேம்பாட்டு மாதிரி மென்பொருள் [pdf] பயனர் கையேடு
பாதுகாப்பு மேம்பாட்டு மாதிரி, மென்பொருள், பாதுகாப்பு மேம்பாட்டு மாதிரி மென்பொருள்

குறிப்புகள்

தொடர்புடைய இடுகைகள்

கருத்து தெரிவிக்கவும்

உங்கள் மின்னஞ்சல் முகவரி வெளியிடப்படாது. தேவையான புலங்கள் குறிக்கப்பட்டுள்ளன *