پایان نامه ارشد درمورد دسترسی به اطلاعات، منابع اطلاعاتی

دانلود پایان نامه ارشد

افزایش سطح حمله گردد. پیچیدگی در محیطهای مجازی نیز میتواند نسبت به همتایان سنتیاش چالش برانگیز باشد، که شرایط تضعیف در امنیت را بالا میبرد.
حفاظت شبکههای مجازی: اغلب پلتفرمهای مجازی این توانایی را دارند که تغییراتی را مبتنی بر نرم افزار ایجاد نمایند و شبکه را به عنوان بخشی از محیط مجازی پیاده سازی نمایند تا به ماشینهای مجازی اجازه دهند با میزبان مشابه به طور مستقیم و کارآمد ارتباط برقرار کنند. برای مثال، معماری شبکه مجازی VMware از شبکهای که در یک زیرشبکه شخصی برای ماشینهای مجازی ساخته شده است بدون نیاز به یک شبکه خارجی پشتیبانی میکند. عبور و مرور بر روی چنین شبکههایی قابل مشاهده نیست تا بتوانیم امنیت دستگاهها را همچون شبکههای فیزیکی برآورده سازیم. جهت جلوگیری از، از دست دادن نظارت و حفاظت در مقابل حملاتی که درون میزبان اتفاق میافتند، لازم است برخی از حمایتهای شبکههای فیزیکی را بر روی شبکههای مجازی ایجاد نماییم.
دادههای فرعی: در حالی که تمرکز حمایت به طور اصلی بر روی دادههای کاربردی قرار داده شده است، فراهم کنندگان سیستم جزئیاتی را در ارتباط با حسابهای کاربری استفاده کنندگان سرویس نگهداری میکنند که بسیار مهم بوده و میتوانند به مخاطره افتند و در حملات بعدی مورد استفاده قرار گیرند. یک مثال میتواند اطلاعات مربوط به پرداخت هزینههای کاربر باشد. برای مثال یک پایگاه داده از اطلاعات تماس کاربران از Salesforce.com دزدیده شد و از طریق این اطلاعات ایمیل کاربران سرویس مورد هدف حمله قرار گرفت و این اتفاق نشان داد که فراهم کنندگان سرویس نه تنها باید از دادهها نگهداری کنند بلکه دادههایی که در مورد خود افراد هست نیز باید مورد حمایت قرار گیرد.
نوع دیگری از دادههای فرعی تصاویر در ماشینهای مجازی میباشند. مخزن تصاویر نیز باید به دقت مدیریت و کنترل شده تا از بروز مشکلات جلوگیری شود. فراهم کننده تصویر بر روی ریسکها تمرکز دارد در حالی که یک تصویر میتواند شامل کد و دادههای اختصاصی باشد. یک حمله کننده میتواند با امتحان کردن تصاویر متوجه این موضوع شود که آیا میتواند به اطلاعات نفوذ کند یا راه مفری برای حمله پیدا کند.
حفاظت سمت کاربر: یک دفاع موفقیت آمیز امنیت را در هر دو سمت کاربر و زیرساخت وب سایت نیاز دارد. این موضوع اخیرا ً دارای اهمیت شده است و این در حالی است که در گذشته به آسانی چشم پوشی می شد. جستجوگر وب یک مولفهی کلیدی برای بسیاری از سرویسهای محاسباتی ابر میباشد و داشتن قابلیت دسترسی متنوع جهت اتصال به آنها جزء مشکلات امنیتی به حساب میآید. علاوه بر این، بسیاری از این جستجوگرها به صورت خودکار به روز رسانی نشده و این مسئله آسیب پذیریهای موجود را افزایش میدهد.
حفاظت سمت سرور: سرورها و برنامههای کاربردی مجازی نیاز دارند مشابه همتایان غیر مجازیشان در IaaS ابر ایمن باشند. پیرو سیاستها و فرایندهای سازمان، باید سیستم عامل و برنامههای کاربردی مطمئنی جهت تولید تصاویر در ماشین مجازی جهت گسترش اتفاق بیافتد و مراقبتهایی جهت انجام تنظیمات در محیطهای مجازی که تصاویر اجرا میشوند باید وجود داشته باشد. برای مثال، دیوارههای آتش مجازی میتوانند برای جداسازی گروههایی از ماشینهای مجازی از سایر گروههای میزبان شده استفاده شوند مانند سیستمهای تولید از سیستمهای توسعه یا سیستمهای توسعه از سیستمهای مقیم ابر. مدیریت با دقت تصاویر در ماشین مجازی جهت جلوگیری از گسترش تصاویری که شامل آسیب پذیریهایی هستند مهم خواهد بود.

مدیریت هویت رایانشابری
حساسیت دادهها و شخصی سازی اطلاعات به شدت تبدیل به یک نگرانی برای سازمانها شده است و دسترسی غیر مجاز به منابع اطلاعاتی در ابر به یک موضوع اصلی تبدیل شده است. یک دلیل این است که هویت سازمان و چارچوب سندیت به طور ذاتی در داخل ابر عمومیت پیدا نکرده است و ممکن است نیاز به تلاشی باشد تا چارچوب موجود را جهت پشتیبانی از سرویسهای ابر اصلاح نماییم. یک راه دیگر این است که دو سیستم مجزا جهت استفاده در کار مربوط به احراز هویت داشته باشیم، یکی برای سیستمهای داخلی سازمان و دیگری برای سیستمهای خارجی مبتنی بر ابر، که البته این کار دارای پیچیدگیهایی بوده و میتواند انجام این کار را در همهی زمانها غیر قابل انجام کند. فدراسیون شناسایی که با معرفی معماری سرویسگرا به شهرت رسیده است یکی از راه حلها است که میتواند از چندین روش انجام شود، به عنوان مثال از طریق زبان نشانه گذاری امنیت یا SAML
تصدیق: تعداد فراهم کنندگان سرویس که از زبان SAML پشتیبانی میکنند رو به افزایش میباشد و از آن برای مدیریت کاربران و تصدیق آنها قبل از فراهم کردن دسترسیشان به دادهها و برنامههای کاربردی استفاده میکنند. SAMLوسیلهای برای تبادل اطلاعات فراهم میکند، مانند ادعاهایشان مربوط به یک موضوع یا اطلاعات تشخیص هویت در محدودههایی که با هم کار میکنند. پیامهای درخواست شده و پاسخهای آنها نوعا بر روی پروتکل دسترسی شیء ساده (SOAP) ترسیم میشود، که برای فرمتش از XML استفاده میگردد.
اعتبار سنجی امنیتی پیام SOAP پیچیده بوده و باید به دقت جهت پیشگیری از حملات انجام شود. برخی حملات میتوانند با دستکاری پیامهای SOAP و تغییر در کد XML انجام شود.
کنترل دسترسی: به عنوان بخشی از مدیریت هویت علاوه بر تصدیق، قابلیت وفق دادن امتیاز به کاربر و داشتن کنترل بر روی میزان دسترسیشان به منابع لازم میباشد. استانداردهایی مانند زبان نشانه گذاری کنترل دسترسی eXtensible (XACML) میتوانند جهت کنترل دسترسی به منابع ابر به جای استفاده از واسطهای اختصاصی فراهم کنندهی سرویس به کار گرفته شود. XACML تمرکز بر روی مکانیزمی جهت اتخاذ تصمیماتی در مورد مجوزها دارد، که تمرکزات SAML بر روی مفاهیمی جهت انتقال هویت و تصمیمات شناسایی میان موجودیتهایی که همکاری میکنند را تعریف میکند. XACML قادر به کنترل واسطهای اختصاصی اغلب فراهم کنندگان است. پیامهای منتقل شده میان موجودیتهای XACML مستعد حمله به وسیلهی هکرها میباشند، که این موضوع حفاظت از تصمیمات درخواست شده و تصمیمات تصدیق هویت در برابر حملات را ضروری میسازد، این حملات میتوانند شامل افشاء غیر مجاز، پخش، حذف و ویرایش اطلاعات باشد.

جداسازی نرم افزار در رایانشابری
چند مستاجری بر روی تعدادی از پلتفرمها در سطح بالایی برای محاسبات ابر نیاز شده است، تا بتوانند به قابلیت انعطاف پذیری رویاییشان در تامین درخواستهای سرویسهای معتبر و بالا بردن بازده در هزینهها دست یابند. جهت رسیدن به مقیاسهای بالایی از مصرف خواسته شده، فراهم کننده سرویس مجبور است تحویل انعطاف پذیر و پویای سرویس و همچنین جداسازی آن از منابع کاربر را تضمین نماید. چند مستاجری در محاسبات ابر نوعا ً به وسیلهی تسهیم اجرای ماشینهای مجازی از کاربران مختلف بالقوه که بر روی سرور فیزیکی مشترک هستند انجام میشود.
پیچیدگی هایپروایزر: امنیت یک سیستم کامپیوتری وابسته به کیفیت هستهی اصلی نرم افزار زیرین که محدودهها و اجرای فرایندها را کنترل میکند میباشد. یک هایپروایزر یا ناظر ماشین مجازی برای اجرای چندین ماشین مجازی مهمان، سیستم عاملها و برنامههای کاربردی، به صورت یکجا و بر روی یک کامپیوتر میزبان طراحی شده است، و جداسازی میان ماشینهای مجازی مهمان را فراهم میآورد.
یک ناظر ماشین مجازی، در تئوری میتواند از یک سیستم عامل کوچکتر و با پیچیدگی کمتری باشد. سایز کوچک و سادگی، تحلیل و بهبود کیفیت امنیت را سادهتر میسازد، ارائهی یک ناظر ماشین مجازی بالقوه جهت نگهداری جداسازیهای قوی میان ماشینهای مجازی مهمان مناسب تر از سیستم عاملی است که برای جداسازی فرایندها میباشد. اگرچه، هایپروایزرهای مدرن (یا ناظرهای ماشین مجازی) میتوانند بزرگ و پیچیده باشند و این موضوع فواید آنها را در مقایسه با یک سیستم عامل خنثی خواهد کرد.
مسیرهای حمله: چند مستاجری در زیرساختهای ابر مبتنی بر ماشینهای مجازی، همراه با موشکافی در روش منابع فیزیکی که میان ماشینهای مجازی مهمان به اشتراک گذاشته شدهاند، میتواند منبع جدیدی از تهدیدات را ارائه دهد. اغلب تهدیدات جدی این است که کد مخرب میتواند راه مفری به محدودههای ناظر ماشین مجازی پیدا کرده و با هایپروایزر یا سایر ماشینهای مجازی مهمان تداخل کند. مسیرهای حمله به دو نوع مستقیم و غیر مستقیم تقسیم میشوند. به عنوان مثال در یک مسیر حملهی مستقیم، به وسیله راه اندازی چندین نمونه از چندین حساب کاربری و با استفاده از کاوشگران شبکه، آدرسهای IP و محدودهی نامهایی که جهت شناسایی الگوهای محل سرویس استفاده میشد، به دست میآید. یک محل به عنوان یک هدف مناسب پیدا شد، گام بعدی برای ماشین مجازی مهمان این است که یا از راه فرعی عبور کند یا به وسیله هایپروایزر بر محدودیتها غلبه کند یا سیستم و هایپروایزر را به کلی نابود سازد. ضعف در واسطهای برنامه نویسی قابل دسترس و دستورالعملهای پردازشی اهداف مشترکی جهت آشکار کردن آسیب پذیریها در راستای بهره برداری میباشند. در یک حمله غیرمستقیم نیز به عنوان مثال یک هکر میتواند دورههای فعالیت زیاد را تعیین کرده، نرخ ترافیک را تخمین بزند، و اقدام به تنظیم وقت جهت حملاتش کند تا رمز عبور و سایر دادههای سرور هدف را به دست آورد.

حفظ دادهها در رایانشابری
دادههای ذخیره شده در ابر نوعا ً در یک محیط مشترک همراه با دادههای سایر مشترکین مستقر میشوند، سازمانها دادههای تنظیم شده و حساس خود را به سمت ابر حرکت میدهند، بنابراین، باید دسترسی به این دادهها کنترل شده و امن نگه داشته شوند.
محافظت دادهها: محافظت دادهها این موضوع را تکرار میکند که فراهم کنندهی سرویس دلالتهای آشکاری جهت امنیت پیاده سازی میکند. محافظت، برداشتن دادههای حساس از یک دستگاه حافظه در موقعیتهای مختلف میباشد. مانند زمانی که یک دستگاه حافظه پاک شده یا به جایی دیگر جهت ذخیره شدن منتقل میشود. در محیط محاسباتی ابر، دادههای یک مشترک با دادههای مشترک دیگر در هم آمیخته میشوند که این کار میتواند موضوع را پیچیده کند. به عنوان مثال، با مهارتها و تجهیزات مناسب، این امکان به وجود آید که دادهها از درایوهای خراب که به طور صحیح به وسیله فراهم کننده سرویس مرتب نشدهاند، پس گرفته شوند.
محل دادهها: یکی از موضوعاتی که سازمانها را درگیر میسازد، مکان دادهها میباشد. استفاده از یک مرکز محاسباتی داخلی به سازمانها این اجازه را میدهد تا محیط محاسباتیشان را ساختار بندی کرده و مکان دادههای ذخیره شده را به همراه جزئیات و روش امنیتی استفاده شده جهت حفاظت دادهها را بدانند. در مقایسه، یک مشخصه از سرویسهای محاسباتی ابر این است که جزئیات اطلاعات محل دادههای سازمان برای مشترکین سرویس غیر قابل دسترس و غیر آشکار میباشد. چنین موقعیتی تعیین این موضوع را که آیا امنیت کافی در آن مکان وجود دارد یا خیر و اینکه آیا نیازمندیهای حقوقی و تنظیماتی رعایت شده است را مشکل میسازد. ممیزیهای خارجی و گواهیهای امنیتی میتوانند تا اندازهای این موضوع را کاهش دهند، اما آنها علاج عام برای این کار نیستند.
هنگامی که اطلاعات از مرز قومی عبور میکنند، حفاظت از دادهها را تحت قوانین و آئین نامههای خارجی به شدت مشکل میسازند. برای مثال، قدرتهای وسیع از Patriot Act در آمریکا نگرانیهای برخی از دولتهای خارجی را به علت داشتن قانونی که اجازهی دسترسی به اطلاعات شخصی مانند سوابق پزشکی را میدهد، بالا میبرد. محدودیت بر روی ارتباطات میان سیستمهای کامپیوتری که در کنار مرزهای ملی قرار دارند جهت طبقهبندی دادههای حساس، و همچنین نیازمندیها جهت حفاظت دادههای تهیه شده، باعث ایجاد قوانین و آئین نامههای امنیتی، منطقهای و ملی شده است. نگرانی اصلی در اینجاست که آیا قوانین در حوزهی قضایی مکانی که دادهها جمع آوری میشوند اجرا میشود، آیا درخواست این قوانین بعد از انتقال دادهها ادامه مییابد، و آیا قوانین در مقصد ریسکها و فواید اضافی ارائه میدهند.حفاظت تکنیکی، فیزیکی و اجرایی، مانند کنترل دسترسی، اغلب درخواست میشود. برای

پایان نامه
Previous Entries پایان نامه ارشد درمورد معماری سرویس گرا، منابع اطلاعاتی Next Entries پایان نامه ارشد درمورد سیستمهای اطلاعاتی، فناوری اطلاعات، مدیریت اطلاعات