My knowledge base

понедельник, 28 мая 2012 г.

Пример сценария UML

Всё-таки UML - самый универсальный язык общения аналитиков с разработчиками. Как ни описывай проектировщикам варианты использования (business case, сценарий) в автоматизируемой предметной области, пока алгоритмически не опишешь кто (роль, актёр) что делает полного понимания не будет. UML здесь позволяет использовать мало букв.
В принципе ничего сложного в описании функциональных требований с использованием UML нет. Ниже приведен небольшой пример такого описания. Надо только перед передачей описания проектировщикам проверить своё описание а выполнение следующих требований:
  1. Не используется названия конкретных систем автоматизации, конкретного описания интерфейса. Не надо забивать голову проектировщика лишними деталями.
  2. Указано событие, в результате которого запускается сценарий.
  3. Указана конечная польза сценария для процесса, зачем он запускается.
  4. Изложить нормальный порядок действий и альтернативный сценарий на случай исключений (здесь исключения - проблема, а тоже нормальный вариант развития событий).
  5. Описаны роли, место и периодичность работы сценария
  6. Приведен глоссарий терминов.

Поиск уязвимостей сканером. Определение области контроля

Схема UML















































Главный раздел
Вариант использования
Определение области контроля (VM1)
Актеры
Менеджер активов (Сотрудник ИБ)
Цель
Сформировать перечень объектов для контроля уязвимостей
Краткое описание
Менеджер активов открывает вкладку управления активами и просматривает обнаруженные активы. При необходимости инициирует задание на сканирование. Назначает активам атрибуты и объединяет активы в группы
Тип
Базовый
Ссылки на другие варианты использования
Включает в себя:
·         Обнаружение ИТ-активов (сканирование)
·         Назначение нетехнических атрибутов
·         Группировку ИТ-активов

Типичный ход событий
Действия актёров
Отклик системы
1.       Менеджер активов указывает диапазон ip-адресов для сканирования.

Исключение 1: диапазон узлов уже задан пользователем или определен автоматически.

Исключение 2: информация об активах поступает из внешних систем или обнаруживается пассивным сканером.
2.       Система запрашивает профиль сканирования. Запускается окно настроек (Мастер настройки).
3.       Менеджер активов задает интервалы сканирования.
4.       Система формирует очередь сканирования.
5.       Менеджер активов анализирует полученные результаты сканирования и собирает организационную информацию об обнаруженных активах. 

Исключение 3: Менеджер активов получил неполную или недостоверную информацию об активе.
6.       Система предоставляет набор представлений (views) об обнаруженных активах.
7.       Менеджер активов формирует группы активов в соответствии с задачами ИБ

Исключение 4. Пользователь пытается выполнить недопустимую группировку.
8.       Система предоставляет вкладку настройки групп активов, в т.ч. с помощью правил

Обработка исключений
Исключения
Обработка
Исключение 1: диапазон узлов уже задан пользователем или определен автоматически
Система предоставляет информацию (отчёт) об автоматически добавленных активах. Новые активы добавляются в группу необработанных активов, пока их не обработает менеджер активов.
Исключение 2: информация об активах поступает из внешних систем или обнаруживается пассивным сканером
Система предоставляет информацию (отчёт) об автоматически добавленных активах. Новые активы добавляются в группу необработанных активов, пока их не обработает менеджер активов.  
Исключение 3: Менеджер активов получил неполную или недостоверную информацию об активе.
Менеджер активов может изменить правила сканирования, указать дополнительные правила идентификации и инициировать повторное сканирование.
Исключение 4. Пользователь пытается выполнить недопустимую группировку.
Система уведомляет о причинах недопустимости группировки. Пользователь или выполняет допустимую группировку или отказывается от операции.

четверг, 24 мая 2012 г.

Как распространять Microsoft SQL Express 2008 R2 в составе своих продуктов

Что  нам говорит Microsoft о распространении MS SQL Express в составе своих разработок? Да ничего особенного: можете распространять сколько угодно,  только пусть конечный пользователь примет с лицензионное соглашение с Microsoft и не забудьте в интерфейсе своего приложения писать, что вы используте СУБД от Microsoft.
Примерно так выглядят правила распространения.
·         Вы имеете право копировать и распространять код в форме объектного кода. Вы не имеете право изменять этот код. Кроме того, ваши программы должны включать полную копию программного продукта, включая установочные файлы.
·         Вы имеете право соединять распространяемый код в форме объектного кода со своими программами с целью разработать единую веб-программу и предоставить другим лицам онлайн доступ к этому единой веб-программе, при условии что распространяемый код используется только как часть ваших программ и во взаимодействии с ней.
Распространение третьими лицами. Вы имеете право разрешить распространителям вашей программы копировать и распространять распространяемый код как часть таких программ. 
Требования для распространения кода. Для любого распространяемого кода, вы должны
·         расширить этот код важным первичным функционалом в вашей программе;
·         обязать распространителей и внешних конечных пользователей согласиться с условиями, которые бы защищали этот код как минимум в той же мере, в какой его защищает настоящее соглашение;
·         отобразить действующее уведомление об авторском праве в вашей программе;
 Ограничения на Распространяемый код. Вы не имеете права
·         изменять какие-либо уведомления об авторском праве, товарных знаках или патентах, содержащиеся в распространяемом коде;
·         использовать торговые знаки Корпорации Microsoft в названиях ваших программ или использовать их каким-либо образом, который бы намекал на то, что ваши программы предоставлены Корпорацией Microsoft или при ее поддержке;
·         распространять распространяемый код для использования на платформах, отличных от платформ Windows;
·         включать распространяемый код в зловредные или незаконные программы, а также в программы, вводящие пользователя в заблуждение; или
·         изменять или распространять исходный код любого распространяемого кода так, чтобы на любую его часть распространились условия исключенной лицензии.


вторник, 22 мая 2012 г.

Premier Support for Developers


Для разработчиков оказывается тоже есть расширенная поддержка от Microsoft - называется Premier Support for Developers (PSfD). Вот примерно такие возможности

Возможность
Польза
Анализ процессов разработки и тестирования
Если у вас не самый высокий уровень, было бы полезно узнать проблемы и направления их решения.
Помощь в оценке архитекторы, дизайна  разрабатываемых или существующих приложений. В т.ч. анализ на безопасность.  
С новым продуктом вполне есть риски натолкнуться на ошибки (мир не идеален) как проектирования, так и разработки. Из-за ошибок могут быть сдвиги сроков выхода нового продукта и т.п.
Тестирование продуктов на площадке Microsoft (уже есть в Москве)
Двойное тестирование оно всегда лучше.
Обучение от сотрудников Microsoft как на нашей площадке, так и в помещениях MS. Кастомизированные курсы на заданную тему с продуктами Microsoft.  
Ленивых сотрудников можно обучить прямо в офисе и именно тому, что нужно.
Хотфиксы для средств разработки и тестирования, например.
Актуально, если разрабатываем в среде MS. Если попадем на критичную багу – получим хотфикс в первую очередь. Т.е. опять же снижение риска

Покупается пакет часов на год.

Microsoft ISV Royalty

Если вы выпускаете свой софт, который использует, скажем, Microsoft SQL Server, то в этом случае интересно обратить внимание на программу лицензирования для ISV: Microsoft ISV Royalty
Идея такая: можно продавать заказчику лицензию на свой продукт вместе с лицензией на Microsoft со скидкой. Причём перепродажей такого пакета программ может заниматься и ваш реселлер. Нужно только отправлять отчёты в MS в заданном формате Excel - один раз в месяц.
Размер скидки зависит от типа лицензирования: Full-Time (маленькая скидка) или Runtime (большааая скидка). В первом случае продукт MS можно использовать как для своего приложения, так и для другого в составе интегрированного решения. А Runtime только для своего софта, зато и скидка очень хорошая. Правда выбор лицензий типа Runtime ограничен: Microsoft SQL Server, Microsoft BizTalk Server и Microsoft Office Communications Server.  Но ведь SQL Server чаще всего и нужен.
Чтобы начать продавать свои заказчикам халявные лицензии MS, надо заключить прямой договор с MS или через одного из двух дистрибьюторов. Дальше надо отредактировать текст своего EULA, чтобы пользователь правильно пользовался лицензией MS - и всё.

пятница, 18 мая 2012 г.

Бесплатное решение для шифрования и подписи электронной почты

Ведь удобно шифровать (чтобы враги не прочитали) и подписывать (чтобы удостовериться в истинном авторстве письма) письма - в один клик. Для Outlook это можно настроить бесплатно, используя сервис от Comodo: Free Secure Email Certificate
Примерный порядок действий:
1. Настраивать удобнее из Internet Explorer, временно сделав его браузером по умолчанию. Тогда необходимы настройки делаются в несколько кликов
2. Чтобы проверить, что сертификат установлен правильно, надо открыть Internet Explorer, в свойствах обозревателя выбрать меню «Содержимое» и убедиться, что в личных сертификатах появился сертификат с электронным адресом, указанном при создании
3.Дальше надо убедиться, что установленный сертификат электронной почты доступен в клиенте электронной почты. Для этого в настройках Outlook надо открыть «Центр управления безопасностью »(Файл->Параметры), затем вкладку «Защита электронной почты».
4.  Дальнейшие настройки заключаются в настройке удобного меню Outlook для подписи и шифрования электронных писем. Для этого в настройках ленты надо выбрать «Основные вкладки» и во вкладке «Создать сообщение» создать новую группу, которую назвать, например, «Безопасность». В эту группу нужно добавить команды «Подписать» и «Шифровать».
Можно включить опцию автоматической подписи всех исходящих сообщений. Для этого надо активировать опцию «Добавлять цифровую подпись к исходящим сообщениям» в настройках центра управления безопасностью (Файл->Параметры).
5. Если сертификат электронной почты будет утерян, то прочитать зашифрованные письма будет невозможно. Чтобы избежать это неприятной ситуации, нужно создать и хранить в надежном месте копию личного сертификата. Для экспорта сертификата надо открыть свойства браузера Internet Explorer и открыть окно «Сертификаты». Далее надо выбрать личный  сертификат для электронной почты, нажать кнопку «Экспорт» и сохранить сертификат, используя стойкий пароль.  ЭТО ВАЖНО!
Если архивировать всё-таки забыли и потеряли сертификат и пароли отзыва, например, при переустановке ОС, то остается только отозвать старый сертификат на свой адрес электронной почты (через техподдержку Comodo) и получить новый сертификат. При этом письма зашифрованные старым сертификатом прочитать не получиться.

И напомню, что для того, чтобы отправить зашифрованное письмо адресату, надо сначала получить от адресата его открытый ключ. Для этого достаточно получить электоронное письмо от автора с его электронной подписью (иногда требуется ещё и  сохранить контакт в адресной книге Outlook).    



понедельник, 14 мая 2012 г.

Портал обмена данными для организации

Как можно безопасно обменяться файлами с партнёрами:
  • Отправить зашифрованный архив по почте или на флешке. Но: файлы больших объемов не пролезут по почте, а флешка - это оффлайн решение. К тому же надо выбрать стойкий пароль и механизм шифрования.
  • Воспользоваться публичными файлобменниками, типа narod.ru, что не особо безопасно.
  • Использовать корпоративные файлобменники. Но использовать готовое решение или разработать свой? Имхо, своя разработка простого и надежного как топор файобменника - лучший вариант.
Чем меньше заложить функций в свой файлобменник, тем лучше:
  • Вся передаваемая информация шифруется (TSL).
  • Авторизоваться на сайте могут только сотрудники собственной компании
  • Авторизованные пользователи имеют доступ только к файлам и папкам в собственном корневом каталоге.
  • Внутри корневого каталога авторизованный пользователь имеет полный доступ ко всем папкам и файлам.
  • Авторизованные пользователи могут дать ссылку, позволяющую загрузить файл в каталог другого пользователя. Т.е. в каталог, доступа к которому не имеет.
  • Любой пользователь, в т.ч. анонимный, может скачать файл, если знает уникальную ссылку для скачивания.
  • Любой пользователь, в т.ч. анонимный, может закачать файл, если знает уникальную ссылку для закачки.
  • Анонимный пользователь после загрузки файла не может получить к нему доступ, но знает ID загруженного им файла.
  • Файлы удаляются автоматически через заданный период. Период до удаления можно изменить.
  • Авторизованный пользователь может в пределах своего корневого каталога создавать каталоги, перемещать файлы в каталоги, удалять файлы, изменять время до автоматического удаления файла.
  • Авторизованный пользователь может генерировать ссылки на скачивание файла и ссылки для загрузки файла.
  • Должна быть возможность предоставить ссылку для загрузки нескольких файлов.
  • Авторизованный пользователь может предоставить доступ к своему каталогу другому авторизованному пользователю.
  • Все действия по скачиванию и загрузке файлов регистрируются в журнале.

пятница, 4 мая 2012 г.

Печать с двух сторон

Берегите природу - мать вашу! Для начала можно перейти на максимальное использование двухсторонней печати. По ИТ системам много всяких гайдов, которые удобно печатать на принтерах с поддержкой дублекса. Я обычно настраиваю двухстороннюю печать таким образом:

Получается удобная брошюра, на которую уходит в 4 раза меньше листов бумаги.

Рейтинг Gartner сканеров безопасности

Пока не вышла свежая статья 2012 года от Гартнер по инструментам для оценки защищенности, можно почитать статью 2011 года: http://www.gartner.com/technology/media-products/reprints/qualys/article1/article1.html