منابع پایان نامه ارشد با موضوع فناوری اطلاعات، اعتبارسنجی، زیرساختها

دانلود پایان نامه ارشد

سيستم تعيين نمود كه در آن تنها موجودیت‌های اعتبارسنجي شده می‌توانند به اطلاعات دسترسي يابند. چنين سياستي، نيازمندي امنيتي رازداري را برطرف می‌سازند. با اين حال اين سياست بر اعتبارسنجي و اختيارسنجي به عنوان ابزارهايي براي تحقق كنترل دسترسي تكيه دارد. در حالی که اعتبارسنجي مكانيزمي براي اثبات و شناسايي ماهيت يك موجوديت است، اختيارسنجي يك مدل امنيتي مشخص براي چگونگي تضمين امتيازات مختلف برای موجوديتهاي اعتبارسنجي شده را محقق ميسازد [27].

2-3-3-4 نیاز امنیتی حفاظت از داده
به طور معمول در فعاليتهاي تجاري به واسطه قوانين يا قراردادها، افشاي اطلاعات محرمانه و شخصي مشتريان امري منع شده به شمار ميآيد. اين ممنوعيت بايد در برنامههاي كاربردي كه براي خودكارسازي فعاليتهاي تجاري انساني ايجاد شده‌اند، نيز اعمال شود[30]. به بياني ديگر، برنامههاي كاربردي تجاري، بايد با دقت طراحي، پيادهسازي و مديريت شوند تا از افشاي اطلاعات محرمانه كاربران جلوگيري شود. بنابراين يكي ديگر از نيازهاي امنيتي كه بايد در نظر گرفته شود، حفاظت از دادهها و اطلاعات محرمانه افراد است. رازداري و حفاظت داده مفاهيم مشابهي را پوشش ميدهند. تفاوتي كه بين آنها وجود دارد اين است كه در رازداري هدف پايبندي به حفظ محرمانگي دادهها در تبادلات بين واحدهاست. اما حفاظت از دادههاي محرمانه اساساً بر عدم افشاي اطلاعات محرمانه تاكيد دارد.
افشاي اطلاعات محرمانه، به دو دليل اساسي اما ساده رخ می‌دهد[30]:
1) نقص در قواعد كنترل دسترسي: به عنوان نمونه در برنامه كاربردي آموزش الكترونيكي، شناسه دانشجوياني كه براي كلاس ثبت نام نمودهاند نبايد در معرض عام قرار گيرد و تنها مدير سيستم بايد مجاز به دسترسي به آن‌ها باشد. اين مورد ممكن است منجر به دسترسيهاي ناصحيح توسط كاربران غيرمجاز شود. نقص در قواعد كنترل دسترسي را ميتوان با بازنگري دقيق و رسيدگيهاي امنيتي برطرف نمود. به بياني ديگر، بايد قواعد كنترل دسترسي به نحوي تعريف شوند كه محدوده اختيارات
هر قاعده مشخص و محدود باشد. در غیر این صورت كاربران مجازي كه به آن‌ها دسترسيهاي محدودي داده شده است، به واسطه تخصيص ناصحيح اختيارات به قواعد، ميتوانند اختيارات بيشتر از حد انتظاري را در سيستم داشته باشند. به عنوان نمونه در مورد انتساب ناصحيح اختيار به قاعده ميتوان به انتساب «امکان ویرایش نمرات دانشجو» به اختیار «مشاهده نمرات» اشاره کرد. در این حالت کسی كه داراي اختيار مشاهده نمرات باشد، ميتواند آن‌ها را نيز ويرايش كند كه طبيعتاً اين مطلوب نخواهد بود.
2) آسیب‌پذیری‌های به كار گرفته شده توسط مهاجمان: آسیب‌پذیری‌ها به طور كل يا در كد برنامه كاربردي قرار دارند يا ناشي از ضعف در روشهاي مديريتي هستند. به عنوان نمونه، خرابي در بررسي دادههاي ورودي كاربران قبل از اعمال در سيستم، ميتواند باعث شود كاربران بتوانند با استفاده از تزریق SQL، تغییر ناخواسته در اطلاعات مهم پایگاه داده ایجاد کنند. یا اشتباه در عدم تغییر کلمه عبور پیش فرض برای کاربر مدیر، تمامی دسترسیها روی دادهها را برای مهاجمان باز میگذارد. با استفاده از روشهاي صحيح مديريتي، بررسيهاي امنيتي و ابزار تشخيص تهاجم، ميتوان از اين مشكلات جلوگيري كرد[30].

2-3-3-5 نیاز امنیتی جامعیت
جامعيت يا يكپارچگي به طور ساده همان عدم تحريف دادههاست. اين نياز در پاسخ به هدف جامعيت ديده شدهاست. در [27] اين نياز به اين صورت بيان شده است: «هر سیستم اطلاعاتی لازم است از دادهها و منابع در مقابل افشای غیرمجاز (محرمانگی) و تغییر غیرمجاز یا ناصحیح (جامعیت) اطلاعات پیشگیری نماید، درحالی‌که به طور همزمان، باید دسترسپذیری برای کاربران مجاز را تضمین کند (اصل عدم انکار سرویسدهی)». در سيستمهايي مانند سيستمهاي مبتني بر معماري سرويسگرا كه تبادل اطلاعات از طريق پيام است، هنگامي كه يك برنامه كاربردي پيام يا اطلاعاتي را دريافت ميكند، لازم است اطمينان حاصل شود كه اين پيام دقيقاً هماني است كه فرستنده ارسال نموده و در فرآيند تبادل، توسط يك واسطه غيرمجاز دچار تغيير نشده است [30]. سياست جامعيت راههاي معتبري كه اطلاعات ممكن است تغيير كند و ماهيتهايي كه براي تغيير مجاز شوند را تعيين ميكند. جامعيت را از دو ديدگاه بررسي ميكنند: جامعيت داده‌ها و جامعیت مبدأ. جامعيت دادهها تضمين ميكند كه دادهها در معرض خطر قرار نگرفتهاند و بنابراين در يك بازه زماني مشخص ميتوان به آن اعتماد نمود، در حالی که جامعیت مبدأ تضمين ميكند كه اطلاعات در مورد گيرنده پيام صحيح هستند. هردو گونه توسط مباني رمزگذاری پيادهسازي شدهاند. در اينجا كاربرد رمزگذاري همان امضاي الكترونيكي است[27].
به طور كلي، مانند رازداري پيام، جامعيت نيز از طريق بهكارگيري اصول رمزگذاري در سطح پيام تحقق مييابد.

2-3-2 امنیت و معماری سرویسگرا
برنامههای کاربردی سرویسگرا نیاز دارند تا به منظور اداره بسیاری از نیازمندیهای امنیتی سنتی برای حفاظت از اطلاعات و اطمینان از آنکه دسترسی به منطق تنها برای آن‌هایی که مجاز هستند تضمین شدهاست. اما اصول امنیت از نگاه آی.بی.ام36 عبارتند از : هویت سنجی، اعتبارسنجی، اختیارسنجی، رازداری، جامعیت، بازرسی و تطبیق، مدیریت سیاستها و دسترسپذیری. ضمن آنکه این اصول در هر معماری، از جمله معماری سرویسگرا وجود دارند، از نظر آی.بی.ام برخی جنبهها و ملاحظات دیگر بین معماری سرویسگرا و امنیت هستند که باید مورد توجه قرار گیرند. به دلیل ماهیت سست اتصال عناصر معماری سرویسگرا و عملکرد آنها فراتر از مرزهای سازمانی، امنیت در این معماری دارای مشکلات بیشتری میباشد؛ لذا باید ملاحظات زیر را در نظر گرفت[32]:
امنیت یک نیازمندی کسبوکار است نه یک تکنولوژی. یعنی نیازهای امنیتی نیز مانند نیازهای وظبفهمندی یک کسبوکار باید در مراحل مختلف خودکارسازی منطق راهحل دیده شده و در مواقع لازم، اعمال شود.
محیط معماری سرویسگرا چالشهای امنیتی خود را به همراه دارد، و عبارتند از:
نیاز به انتشار شناسههای کاربران و سیستمها در طول محیط (مثلاً به منظور اعتبارسنجی یا اختیارسنجی). هر موجودیت در معماری سرویسگرا یک شناسه برای اعلام هویت خود دارد؛ لذا باید این شناسه را از مفهوم سرویس تفکیک نمود.
نیاز به مدیریت هویت و امنیت در بین طیف وسیعی از سیستمها و سرویسها که با ترکیبات مختلفی از تکنولوژیها و سیستمهای قدیم و جدید ساخته شدهاند.
حفاظت از دادهها در انتقالها تا رسیدن به مقصد.
نیاز به اجابت اثبات پذیری37 معماری در مقابل رشد مجموعههای شرکتها، صنایع و استانداردهای تنظیم شده.
امنیت باید به طور کامل چرخهحیات توسعه معماری سرویسگرا را ازجمله مراحل مدلسازی، یکپارچهسازی38، استقرار39 و مدیریت برنامههای کاربردی را احاطه کند (شکل2-7)[32].
همان‌طور که در شکل مشاهده میکنید، معماری سرویسگرا در بخشهای چرخه حیات خود نیازمند تدابیر و تدارکات امنیتی است.
در مرحله مدلسازی سیاستهای امنیت کسبوکار باید تعریف شوند و نیازمندیهای امنیتی و ایمنی برنامههای کاربردی مدلسازی شود. موجودیتهای درگیر در این مرحله، متصدی سیاستهای امنیت40، بازرس امنیتی41 و تحلیلگر کسبوکار42 هستند.

شکل 2-7 چرخه حیات معماری سرویسگرا از نگاه امنیتی آیبیام [32]
در مرحله یکپارچه سازی، سیاستهای امنیتی برنامه کاربردی اعلان میشوند. همچنین نسخه آزمایشی برنامه ایمن تست میشود. موجودیتهای این مرحله معماران امنیت، معماران برنامه کاربردی و برنامه‌نویس‌های کاربرد هستند.
مرحله استقرار شامل شکلدهی زیرساختها برای امنیت نرمافزار است که با یکپارچهسازی افراد، فرآیندها و اطلاعات همراه میباشد. مهم‌ترین موجودیتهای این مرحله مدیر برنامه کاربردی، مدیر امنیتی و توسعهدهندگان امنیتی هستند.
مرحله مدیریت به مدیریت برنامههای کاربردی، مدیریت بر شناسهها و نظارت به منظور تطبیق تاکید دارد. در این مرحله موجودیتهایی همچون مدیر فناوری اطلاعات، مدیر امنیتی و اپراتورها ایفای نقش میکنند.
اما برای تحقق اهداف و نیازمندیهای امنیتی در معماری سرویسگرا، شرکت آیبیام یک معماری منطقی نیز ارائه داده است (شکل2-8). در این معماری سطوح منطقی مختلفی دیده میشود که عبارتند از[32]:
سرویسهای امنیتی کسبوکار: این سرویسها جنبههای کلان و تجاری امنیت در سازمان را برای دستیابی به عملکرد موفق و ایمن در سازمان بیان میکنند. این جنبهها بر اساس معیارهای مشخص در صنعت مانند قوانین، ضوابط رقابتی بین سازمانها و غیره میباشند. به بیان سادهتر این سرویسها به پرسش «به چه چیزی باید دست یافت؟» پاسخ میدهند.
سرویسهای امنیتی فناوری اطلاعات: بلوکهای سازنده به صورت مجموعهای از سرویسها برای فراهم نمودن وظایف امنیتی است. بنابراین سرویسهای امنیتی چگونگی دستیابی به تعاریف بیان شده در سرویسهای امنیتی کسبوکار را تحقق میبخشند.

شکل 2-8 مدل مرجع امنیت معماری سرویسگرا از آیبیام [32]
مدیریت سیاستهای امنیتی: به عنوان بخشی از مدیریت سراسری سیاست، سیاستهای امنیتی باید از سرویسهای امنیتی کسبوکار استخراج شوند و به صورتی سازگار از طریق زیرساختهایی اعمال شوند. مدیریت سیاستهای امنیتی نه تنها مدیریت چرخهحیات سیاست امنیتی را فراهم میکنند، بلکه سیاستهای توزیع و تبدیل43 را نیز بیان میکنند. در واقع مدیریت سیاستهای امنیتی، پلی میان سرویسهای فناوری اطلاعات و سرویسهای امنیتی کسبوکار فراهم میکنند.
توانمندسازهای امنیتی: که عبارتند از فناوریهایی مانند رمزنگاری، کتاب راهنما و مخزن کلیدها که توسط سرویسهای امنیتی فناوری اطلاعات مورد استفاده قرار میگیرند تا وظایف خود را انجام دهند.
مدیریت سیاستهای امنیتی: بخشی از مدیریت سیاستهای کلی است و مستلزم بیان مدیریت کردن، اجرا کردن و نظارت بر سیاستهای امنیتی است. همچنین شامل توانایی تعریف سیاستها برای شناسایی و اجازه دسترسی متقاضیان برای دسترسی به خدمات، رواج دادن مفاهیم امنیتی منطبق با مدل اعتماد پایه در سراسر سرویس خواسته شده و حفاظت از اطلاعات میباشد. بنابراین عاملیت مدیریت سیاستهای امنیتی هسته اصلی فراهمکننده قابلیت امنیت در معماری سرویسگراست.
مدیریت ریسک و نظارت: ارائهدهنده مکانیزمهایی برای پیادهسازی و اعمال سیاستهای امنیتی در محیط مبتنی بر معماری سرویسگرای بزرگ‌تر میباشد. نظارت به مشتریان کمک میکند تا بتوانند به مدیریت معماری سرویسگرا در سراسر سازمان خود بپردازند. مدیریت خطر با فرآیند ارزیابی و ارزیابی خطر در محیط معماری سرویسگرا و استراتژی‌های در حال توسعه برای مدیریت این خطرها سروکار دارد.
همچنین دیدگاههای دیگری نیز در رابطه با امنیت معماری سرویسگرا موجود است. ارل در [15] نگاهی سادهتر و عملیاتیتر به امنیت در معماری سرویسگرا دارد. شاید در این دیدگاه امنیت تنها از نگاه پیادهسازی و اعمال سیاستها دیده شدهاست. او ادعا میکند که : «به طور مشخص، امنیت سطح پیام به عنوان مؤلفه اصلی راهحلهای سرویسگرا میباشد. اقدامات امنیتی میتوانند به صورت لایهای روی هر انتقال پیام قرار گیرد تا از محتوای پیام یا گیرنده پیام محافظت کند[15].»
بنابراین چارچوب WS-Security و توصیفات ملحق به آن، نیازمندیهای بنیادی کیفیت سرویس را انجام میدهند تا سازمانها را قادر سازند که از راهحلهای سرویسگرا برای پردازش دادههای حساس و محرمانه خود استفاده کنند و همچنین دسترسی به سرویس را در هر جا و هر اندازه که لازم شد محدود کنند. همان‌طور که در شکل 2-9 نشان داده شده است چارچوب امنیتی WS-Security از چارچوب WS-Policy نیز استفاده میکند.

شکل 2-9 جایگاه امنیت در معماری سرویسگرا [15]
در مدلی که در[33] ارائه شده است، با در نظر گرفتن سه لایه اساسی برای معماری سرویسگرا مبتنی بر وبسرویس، جنبههای امنیتی در سطح این لایهها توزیع و اعمال شدهاست. همان‌طور که در شکل 2-10 مشاهده میکنید، جنبههای اعتبارسنجی و اختیارسنجی را میتوان در لایههای امنیت فرآیند کسبوکار و امنیت وبسرویس اعمال نمود.

شکل 2-10 لایههای معماری سرویسگرا و

پایان نامه
Previous Entries منابع پایان نامه ارشد با موضوع اعتبارسنجی، فناوری اطلاعات، سیستمهای اطلاعاتی Next Entries منابع پایان نامه ارشد با موضوع فرآیند کسبوکار، سیستم مدیریت، فناوری اطلاعات