د AXIS امنیت پرمختیا ماډل سافټویر کارن لارښود

د AXIS امنیت پرمختیا ماډل سافټویر

پیژندنه

د ASDM موخې
د محور امنیت پراختیا ماډل (ASDM) یو چوکاټ دی چې د اکسس لخوا د سافټویر رامینځته کولو لپاره کارول شوي پروسې او وسیلې تعریفوي چې د ژوند په اوږدو کې جوړ شوي امنیت سره ، له پیل څخه تر ختمیدو پورې.

د ASDM هڅو چلولو لومړنۍ موخې دي

• د سافټویر امنیت د اکسس سافټویر پراختیا فعالیتونو یوه مدغم برخه جوړه کړئ.
• د محور پیرودونکو لپاره د امنیت اړوند سوداګرۍ خطرونه کم کړئ.
• له انکر سره وګورئasinد پیرودونکو او شریکانو لخوا د امنیتي ملاحظاتو په اړه پوهاوی.
• د ستونزو د ژر کشف او حل له امله د لګښت کمولو احتمال رامینځته کړئ
  د ASDM سکوپ د محور سافټویر دی چې د محور محصولاتو او حلونو کې شامل دی. د سافټویر امنیت ګروپ (SSG) د ASDM مالک او ساتونکی دی.

لغت

ASDM ختم شوview

ASDM ډیری فعالیتونه لري چې د پراختیا په مهمو مرحلو کې خپریږي. امنیتي فعالیتونه په ټولیز ډول د ASDM په توګه پیژندل شوي.

SSG د ASDM د اداره کولو او د وخت په تیریدو سره د وسیلې بکس د پراختیا مسؤلیت لري. د ASDM یو سړک نقشه او د نوي فعالیتونو پلي کولو او زیاتوالي لپاره د رول آوټ پلان شتون لري.asinد پراختیایي سازمان په اوږدو کې د ASDM بشپړتیا. د سړک نقشه او د پلي کولو پلان دواړه د SSG ملکیت دي، مګر په عمل کې د حقیقي پلي کولو مسؤلیت (د بیلګې په توګه، د پراختیایي مرحلو پورې اړوند فعالیتونه ترسره کول) د R&D ټیمونو ته سپارل شوی.

د سافټویر امنیت ګروپ (SSG)

SSG د امنیت اړوند مسلو لپاره د پراختیایی سازمانونو سره د داخلي اړیکو اصلي بنسټ دی. پدې کې د امنیت رهبري او نور شامل دي چې په پرمختیایي برخو کې د امنیت متخصص پوهه لري لکه اړتیاوې ، ډیزاین ، پلي کول ، تصدیق ،
همدارنګه د کراس فنکشنل DevOps پروسې.
SSG په پرمختیایي سازمان کې د خوندي پرمختیایي کړنو او امنیتي پوهاوي لپاره د ASDM پراختیا او ساتنې مسولیت لري.

سپوږمکۍ
سپوږمکۍ د پراختیایی سازمان غړي دي چې د خپل وخت یوه برخه د سافټویر امنیت اړخونو سره کار کوي. د سپوږمکۍ د درلودلو لاملونه په لاندې ډول دي:

• د لوی مرکزي SSG جوړولو پرته ASDM پیمانه کړئ
• د پراختیایی ټیمونو سره نږدې د ASDM ملاتړ چمتو کړئ
• د پوهې شریکول اسانه کړئ، د بیلګې په توګه، غوره عملونه
  سپوږمکۍ به د پرمختیایي ټیمونو په یوه فرعي برخه کې د نوي فعالیتونو پلي کولو او د ASDM ساتلو کې مرسته وکړي.

د ASDM فعالیت رول آوټ
د پراختیایي ټیم لپاره د ASDM فعالیت رول آوټ داسې دیtagد زده کړې پروسه:

1. ټیم د رول ځانګړي روزنې له لارې نوي فعالیت ته معرفي کیږي.
2. SSG د ټیم سره یوځای کار کوي ترڅو فعالیت ترسره کړي، د بیلګې په توګه، د خطر ارزونه یا د ګواښ ماډلینګ، د سیسټم غوره برخو لپاره چې د ټیم لخوا اداره کیږي.
3. په ورځني کار کې د وسیلې بکس ادغام پورې اړوند نور فعالیتونه به ټیم او سپوږمکۍ ته وسپارل شي کله چې دوی د مستقیم SSG ښکیلتیا پرته په خپلواکه توګه کار کولو ته چمتو وي. پدې مرحله کې، کار د ټیم مدیر لخوا د ASDM حالت له لارې اداره کیږي.
   رول آوټ هغه وخت تکرار کیږي کله چې د ASDM نوې نسخې د تعدیل شوي او / یا اضافه فعالیتونو سره شتون ولري. د ټیم سره د SSG لخوا مصرف شوي وخت اندازه د فعالیت او کوډ پیچلتیا پورې خورا خورا تړاو لري. ټیم ته د بریالۍ سپارلو لپاره کلیدي فاکتور د یو ځای شوي سپوږمکۍ شتون دی چې کولی شي د ټیم سره د ASDM نور کار ته دوام ورکړي. SSG د فعالیت رول آوټ سره موازي د سپوږمکۍ زده کړې او دنده پرمخ وړي.
   لاندې انځور د رول آوټ میتودولوژي لنډیز کوي.

   

د سپارلو لپاره د SSG تعریف دا دی:

• د رول ځانګړي روزنه ترسره شوې
• سپوږمکۍ ټاکل شوې
• ټیم چمتو دی چې د ASDM فعالیت ترسره کړي
• د ASDM وضعیت تکراري غونډې جوړې شوې
  SSG د لوړ پوړو مدیریت په لور د وضعیت راپورونو راټولولو لپاره د ټیمونو څخه معلومات کاروي.

د SSG نور فعالیتونه
د رول آوټ فعالیتونو سره موازي، SSG د امنیتي پوهاوي پراخ روزنیز فعالیتونه ترسره کوي د بیلګې په توګه، نوي کارمندان او لوړ پوړي مدیریت. برسیره پردې، SSG د ټولیز / معماري خطر ارزونې موخو لپاره د محور حلونو خوندیتوب تودوخې نقشه ساتي. د ځانګړو ماډلونو لپاره د فعال امنیتي تحلیل فعالیتونه د تودوخې نقشې پراساس ترسره کیږي.

دندې او مسوولیتونه
لکه څنګه چې په لاندې جدول کې ښودل شوي، ځینې کلیدي ادارې او رولونه شتون لري چې د ASDM پروګرام برخه ده. لاندې جدول د ASDM په تړاو رول او مسؤلیتونه لنډیز کوي.

د ASDM حکومتداري

د حکومتولۍ سیسټم لاندې برخې لري:

• د سیسټم خطر تودوخې نقشه ترڅو د ASDM فعالیتونو لومړیتوب کې مرسته وکړي
• د روزنې په هڅو تمرکز کولو لپاره د رول آوټ پلان او وضعیت
• د وسیلې بکس د پراختیا لپاره د سړک نقشه
• وضعیت د اندازه کولو لپاره چې د ASDM فعالیتونه په سازمان کې څومره ښه مدغم شوي

په دې توګه د ASDM سیسټم د دواړو تاکتیکي / عملیاتي لید او همدارنګه د ستراتیژیک / اجرایوي لید څخه ملاتړ کیږي.
په انځور کې ښي خوا ته اجرایوي لارښود تمرکز لري چې څنګه د محور سوداګرۍ اهدافو سره سم د غوره اغیزمنتوب لپاره سازمان ته وده ورکړي. دې ته یو مهم انډول د ASDM وضعیت راپور ورکول دي چې د SSG لخوا د فرم ویئر سټیرینګ ګروپ ، CTO او محصول مدیریت په لور ترسره کیږي.

د ASDM وضعیت جوړښت

د ASDM وضعیت جوړښت دوه لیدونه لري: یو ټیم متمرکز زموږ د ټیم او ډیپارټمنټ جوړښت تقلید کوي ، او یو د حل مرکزي تمرکز په هغه حلونو تمرکز کوي چې موږ بازار ته راوړو.
لاندې انځور د ASDM وضعیت جوړښت څرګندوي.

د ټیم حالت
د ټیم حالت د ټیم د ASDM د بشپړتیا ځان ارزونه، د دوی د امنیتي تحلیلي فعالیتونو پورې اړوند میټریکونه او همدارنګه د هغو برخو د امنیت وضعیت راټولول چې دوی یې مسولیت لري.

Axis د ASDM پختتیا د ASDM نسخه په توګه تعریفوي چې ټیم اوس مهال کاروي. څرنګه چې ASDM وده کوي، موږ د ASDM نسخه تعریف کړې چیرې چې د ASDM هره نسخه د فعالیتونو یو ځانګړی سیټ لري. د مثال لپارهample، زموږ د ASDM لومړۍ نسخه د ګواښ ماډلینګ باندې تمرکز کوي.
محور د ASDM لاندې نسخې تعریف کړې:

د ټیم مالکیت ورکول د کوم ASDM نسخه دوی کاروي پدې معنی چې دا د لاین مدیر دی چې د ASDM نوي نسخو غوره کولو مسؤلیت لري. نو د دې پرځای چې SSG د مرکزي ASDM رول آوټ پلان فشار راوړي دا اوس د مدیرانو لخوا د پل پراساس او کنټرول کیږي.

د اجزاو حالت

• موږ د برخې پراخه تعریف لرو ځکه چې موږ اړتیا لرو په پلیټ فارم کې د لینکس شیطانانو څخه نیولې ټول ډوله معماري ادارې پوښو ، د سرور سافټویر له لارې کلاوډ (مائیکرو) خدماتو ته ټولې لارې.
• هر ټیم باید د خلاصون کچه خپل ذهن رامینځته کړي چې د دوی لپاره د دوی په چاپیریال او جوړښت کې کار کوي. د ګوتو د یوې قاعدې په توګه، ټیمونه باید د نوي تجرید کچې له ایجاد څخه ډډه وکړي او هغه څه وساتي چې دوی یې دمخه په ورځني کار کې کاروي.
• نظر دا دی چې هر ټیم باید روښانه وي view د دوی د ټولو لوړ خطر اجزاو څخه، چې په کې نوي او همدارنګه میراث اجزا شامل دي. د میراث اجزاو کې د دې زیاتې علاقې لپاره انګیزه زموږ د وړتیا سره تړلې ده چې د حل لپاره د امنیت حالت وګورو. د حل په صورت کې، موږ غواړو چې د حل د ټولو برخو امنیتي حالت ته د نوي او زوړ لید لید ولرو.
• په عمل کې دا پدې مانا ده چې هر ټیم باید د اجزاو لیست وګوري او د خطر ارزونه وکړي.
• لومړی شی چې موږ ورته اړتیا لرو پوه شو چې ایا برخې د امنیت تحلیل ترسره کړی. که دا نه وي، موږ واقعیا د برخې د امنیت کیفیت په اړه هیڅ نه پوهیږو.

موږ دې ته د ملکیت پوښښ وایو او لاندې پوښښ کچه یې تعریف کړې ده:

هغه میټریکونه چې موږ یې د برخې د امنیت کیفیت د نیولو لپاره کاروو هغه په ​​بیکلاګ کې د امنیتي کاري توکو پراساس دي چې د برخې سره تړلي دي. دا کیدی شي د مخنیوي اقدامات وي چې نه دي پلي شوي، د ازموینې قضیې چې نه دي اجرا شوي او امنیتي ستونزې چې په ګوته شوي ندي.

د حل حالت

د حل حالت د اجزاو د یوې سیټ لپاره د امنیت وضعیت راټولوي چې حل جوړوي.
د حل حالت لومړۍ برخه د اجزاو تحلیل پوښښ دی. دا د حل مالکینو سره مرسته کوي پوه شي چې ایا د حل امنیت حالت پیژندل شوی یا که نه. په یوه لید کې دا د ړندو ځایونو په پیژندلو کې مرسته کوي. د حل پاتې حالت میټریکونه لري چې د حل امنیت کیفیت نیسي. موږ دا د امنیتي کاري توکو په لټه کې کوو چې په حل کې اجزاو سره تړاو لري. د امنیت وضعیت یو مهم اړخ د بګ بار دی چې د حل مالکینو لخوا تعریف شوی. د حل مالکین باید د دوی د حل لپاره مناسب امنیت کچه ​​تعریف کړي. د مثال لپارهampد دې معنی دا ده چې حل باید د پام وړ مهم یا لوړ شدت کاري توکي شتون ونلري کله چې بازار ته خوشې شي.

د ASDM فعالیتونه

د خطر ارزونه
د خطر ارزونې اصلي موخه دا ده چې فلټر کړئ کوم پرمختیایي فعالیتونه چې په ټیم کې امنیتي کار ته اړتیا لري.
د خطر ارزونه د قضاوت په واسطه ترسره کیږي که چیرې یو نوی محصول یا په موجوده محصولاتو کې اضافه/تعدیل شوی خصوصیت د خطر افشا کیدو ته وده ورکړي. په یاد ولرئ چې پدې کې د معلوماتو محرمیت اړخونه او د اطاعت اړتیاوې هم شاملې دي. Exampهغه بدلونونه چې د خطر اغیزې لري نوي APIs، د واک اړتیاو کې بدلونونه، نوي منځني وسایل، او نور دي.

د معلوماتو محرمیت
باور د محور لپاره د تمرکز کلیدي ساحه ده او لکه څنګه چې، دا مهمه ده چې غوره عملونه تعقیب کړئ کله چې زموږ د محصولاتو، حلونو او خدماتو لخوا راټول شوي شخصي معلوماتو سره کار کوي.
د ډیټا محرمیت پورې اړوند د محور هڅو ساحه داسې تعریف شوې چې موږ کولی شو:

• قانوني مکلفیتونه پوره کړئ
• د قراردادي مکلفیتونو پوره کول
• د پیرودونکو سره د دوی مکلفیتونو پوره کولو کې مرسته وکړئ

موږ د معلوماتو محرمیت فعالیت په دوه فرعي فعالیتونو ویشو:

• د معلوماتو د محرمیت ارزونه
  • د خطر ارزونې پرمهال ترسره شوي
  • په ګوته کوي که د معلوماتو محرمیت تحلیل ته اړتیا وي
•  د معلوماتو محرمیت تحلیل
  • ترسره شوی، کله چې د تطبیق وړ وي، د ګواښ ماډلینګ پرمهال
  • شخصي معلومات او شخصي معلوماتو ته ګواښونه پیژني
  • د محرمیت اړتیاوې تعریفوي

د ګواښ ماډلینګ
مخکې له دې چې موږ د ګواښونو پیژندل پیل کړو، موږ باید د ګواښ ماډل د اندازې په اړه پریکړه وکړو. د ساحې د بیانولو یوه لاره د برید کونکو تشریح کول دي چې موږ ورته اړتیا لرو. دا طریقه به موږ ته اجازه درکړو چې د لوړې کچې برید سطحونه وپیژنو چې موږ باید په تحلیل کې شامل کړو.

• د ګواښ د اندازې په جریان کې تمرکز د برید کونکو موندلو او طبقه بندي کولو باندې دی چې موږ یې د سیسټم د لوړې کچې توضیحاتو په کارولو سره اداره کول غواړو. په غوره توګه توضیحات د ډیټا فلو ډیاګرام (DFD) په کارولو سره ترسره کیږي ځکه چې دا د کارونې د نورو مفصلو قضیې توضیحاتو سره اړیکه اسانه کوي چې د ګواښ ماډل ترسره کولو پرمهال کارول کیږي.
• دا پدې معنی نه ده چې ټول هغه بریدګر چې موږ یې پیژنو باید په پام کې ونیول شي، دا په ساده ډول د دې معنی لري چې موږ د برید کونکو په اړه واضح او ثابت یو چې موږ به د ګواښ ماډل کې په ګوته کړو. نو، په اصل کې هغه برید کونکي چې موږ یې په پام کې نیسو د هغه سیسټم امنیت کچه ​​تعریفوي چې موږ یې ارزونه کوو.
  په یاد ولرئ چې زموږ د برید کونکي توضیحات د برید کونکي وړتیا یا هڅونې کې فکتور نه کوي. موږ دا طریقه د امکان تر حده د ګواښ ماډلینګ ساده او ساده کولو لپاره غوره کړې.

  

د ګواښ ماډلینګ درې مرحلې لري چې تکرار کیدی شي لکه څنګه چې ټیم مناسب ګوري:

1. د DFDs سیټ په کارولو سره سیسټم تشریح کړئ
2. د ګواښونو پیژندلو لپاره DFDs وکاروئ او د ناوړه ګټه اخیستنې قضیې سټایل کې یې تشریح کړئ
3. 3. د ګواښونو د مخنیوي لپاره اقدامات او تصدیق تعریف کړئ
   د ګواښ ماډلینګ فعالیت پایله د ګواښ ماډل دی چې لومړیتوب لرونکي ګواښونه او ضد اقدامات لري. پرمختیایي کارونه چې د مخنیوي اقداماتو ته د رسیدو لپاره اړین دي د جیرا ټکټونو په جوړولو سره د مبارزې د پلي کولو او تایید لپاره اداره کیږي.

   

د جامد کوډ تحلیل
په ASDM کې، ټیمونه کولی شي د جامد کوډ تحلیل په دریو لارو کې وکاروي:

• د پراختیا کونکي کاري فلو: پراختیا کونکي هغه کوډ تحلیلوي چې دوی یې کار کوي
• د ګیریټ کاري فلو: پراختیا کونکي په ګیریټ کې فیډبیک ترلاسه کوي
• د میراث کاري جریان: ټیمونه د لوړ خطر میراث اجزا تحلیلوي

  

د زیان مننې سکینګ
د زیان مننې منظم سکین کول پراختیایی ټیمونو ته اجازه ورکوي چې د سافټویر زیانونه وپیژني او مخکې له دې چې محصولات خلکو ته خپاره شي ، د پیرودونکو خطر کموي کله چې محصول یا خدمت ځای په ځای کوي. سکین کول د هر خوشې کولو هارډویر، سافټویر) یا د چلولو مهال ویش (خدمتونو) کې د خلاصې سرچینې او سوداګریزې زیانمننې سکینګ کڅوړې دواړه په کارولو سره ترسره کیږي. د سکین پایلې د جیرا مسلې تعقیب پلیټ فارم کې د ټیکټونو رامینځته کولو لپاره کارول کیږي. ټکټونه ځانګړي ورکول کیږي tag د پرمختیایی ټیمونو لخوا د زیان مننې سکین څخه د پیژندلو وړ وي او دوی ته باید لوړ لومړیتوب ورکړل شي. د زیان مننې ټول سکینونه او د جیرا ټکټونه په مرکزي توګه د تعقیب او پلټنې موخو لپاره زیرمه شوي. جدي زیانونه باید د خوشې کیدو دمخه یا د ځانګړي خدماتو خوشې کولو کې د نورو غیر جدي زیانونو سره حل شي ،
د فرم ویئر یا سافټویر خوشې کولو دورې سره په ترتیب کې تعقیب او حل شوی. د ‏‎How vulnerabilities are scored and managed, Vulnerability management‎‏ پاڼې اړوند نور معلومات په فسبوک کې اوګورئ

د بهرنۍ ننوتلو ازموینه
په غوره قضیو کې، د دریمې ډلې د ننوتلو ازموینه د محور هارډویر یا سافټویر محصولاتو کې ترسره کیږي. د دې ازموینو د چلولو اصلي هدف په یو ځانګړي وخت او د یوې ځانګړې ساحې لپاره د پلاټرم امنیت په اړه بصیرت او ډاډ چمتو کول دي. د ASDM سره زموږ یو له لومړنیو اهدافو څخه شفافیت دی نو موږ خپل پیرودونکي هڅوو چې زموږ په محصولاتو کې د بهرني ننوتلو ازموینې ترسره کړي او موږ خوښ یو چې د ازموینې لپاره مناسب پیرامیټرې او همدارنګه د پایلو تشریح کولو بحثونو په اړه د خبرو اترو په اړه همکاري وکړو.

د زیان مننې مدیریت
Axis، له 2021 راهیسې، د CVE نومولو اداره (CNA) راجستر شوی او له همدې امله د دې وړتیا لري چې د دریمې ډلې د زیان مننې سکینرونو او نورو وسیلو لخوا مصرف لپاره د MITER ډیټابیس ته معیاري CVE راپورونه خپاره کړي. د زیان مننې بورډ (VB) د خارجي څیړونکو لخوا کشف شوي زیانمننې لپاره د داخلي محور د تماس نقطه ده. راپور ورکول
کشف شوي زیانمننې او د درملنې وروسته پالنونه د دې له لارې خبریږي product-security@axis.com بریښنا‌لیک.
د زیان مننې بورډ اصلي مسؤلیت د سوداګرۍ له نظره راپور شوي زیانمننې تحلیل او لومړیتوب ورکول دي.

• د SSG لخوا چمتو شوي تخنیکي طبقه بندي
• په چاپیریال کې د پای کاروونکو لپاره احتمالي خطر چې د محور وسیله فعالیت کوي
• د خسارې ورکولو شتون د امنیت کنټرول د پیچلو پرته د خطر کمولو بدیل)

VB د CVE شمیره راجستر کوي او له خبریال سره کار کوي ترڅو زیانمنونکي ته د CVSS نمرې ورکړي. VB د محور امنیت خبرتیا خدماتو، مطبوعاتي اعالمیو، او خبرونو مقالو له لارې شریکانو او پیرودونکو ته بهرنۍ اړیکه هم پرمخ وړي.

د محور امنیت پرمختیا ماډل © Axis Communications AB، 2022