پایان نامه رایگان با موضوع اعتبارسنجی، فناوری اطلاعات، سیستمهای اطلاعاتی

ایش دانهبندی از فرآیند به سرویس.
قابلیت ایجاد سریع فرآیندهای جدید و ترکیب مؤلفه‌های نرمافزاری موجود جهت رقابت با تغییرات بازار.
بهبود ارائه خدمات به مشتریان به دلیل عدم نگرانی از توان پشتیبانی فناوری اطلاعات از تصمیمات جدید کسبوکار.
تطبیق قابلیت استفاده مجدد.
اتصال به دادهها و سرویسهای خارجی.
ارائه و استفاده از بهترین گزینهها از میان مجموعهای از سرویسهای قابل استفاده.
مزایای معماری سرویسگرا از نگاه فناوری اطلاعات:
حضور فعالتر و مسئولانهتر فناوری اطلاعات در سازمانها.
کاهش زمان چرخه تولید و توسعه سیستمهای اطلاعاتی به خاطر استفاده از واحدهای قابل استفاده مجدد.
کاهش پیچیدگی و هزینه نگهداشت.
ارتقاء سیستمهای اطلاعاتی موجود به جای جایگزینی یکجای آن‌ها.
کاهش هزینه و زمان جهت پیکربندی مجدد.

2-3 امنیت نرمافزار
در این بخش ابتدا به بیان مفاهیم بنیادی امنیت با ارائه چند تعریف عام و خاص از آن میپردازیم و پس از کسب شناخت کافی از مفهوم امنیت مجدداً به معماری سرویسگرا و نیازهای امنیتی آن برخواهیم گشت سپس امنیت و استانداردهای امنیتی را در معماری سرویسگرا مورد بررسی قرار میدهیم.

2-3-1 مفاهیم پایهای امنیت
دانش عمومی «امنیت» را وضعیتی بدون خطر26 و ریسک27 تعریف میکند. به عبارتی وضعیتی فارغ از شبهه، تشویش یا نگرانی است. امنیت رایانه محدود است به توصیف شاخهای از علم کامپیوتر که با ریسکها، تهدیدها و مکانیزمهای مربوط به استفاده از سیستمهای محاسباتی سروکار دارد[27]. مفهوم امنیت در سیستمهای رایانهای اولیه که اغلب به صورت متمرکز بودند چندان اهمیتی نداشت. با گسترش استفاده از رایانه و چند کاربری شدن، نیاز به امنیت پررنگتر شد[28].
حال میخواهیم بدانیم هدف از تعبیر امنیت در حیطه نرمافزار چیست. اهداف امنیتی را میتوان مشخصهها و جنبههایی برای تضمین امنیت که توسط یک مدل دنبال میشود دانست. دیدگاهها و نظرات مختلفی برای اهداف امنیتی در نرمافزار وجود دارد. به عنوان مثال از دیدگاه بیوشاپ28 سه جنبه اساسی از امنیت رایانه عبارتند از: رازداری، جامعیت و دسترسپذیری29 [27]. در دیدگاهی دیگر، منزس30 هفده هدف اساسی برای امنیت اطلاعات بیان کرده است که در بین آن‌ها اهدافی مانند رازداری، جامعیت، تعیین هویت31 و اعتبارسنجی وجود دارد[27]. آقای هفنر32 در [27] استنباط میکند این اهداف امنیتی از چهار آرمان نهفته رازداری، جامعیت، اعتبارسنجی و عدم-انکار33 مشتق شدهاند. در برخی منابع، اصول و اهداف امنیتی را از هم جدا نمیدانند یا حداقل، برخی از اهداف امنیتی و اصول آنرا مشترک میدانند. در [29] هفت اصل امنیتی به عنوان مبنایی برای یک راهحل امنیتی مناسب در نظر گرفته شدهاست که عبارتند از : اعتبارسنجی، اختیارسنجی، جامعیت، دسترسپذیری، رازداری، ممیزی و عدم انکار. برخی از این اهداف با جنبههای وظیفهمندی امنیت مشترک هستند. این جنبهها طبق[30] شامل: اعتبارسنجی، اختیارسنجی، رازداری دادهها، حفاظت در مقابل حملات و محرمانگی34 هستند. اما آنچه در متون مختلف به عنوان اهداف امنیتی به طور مشترک آمده است همان سه هدف اساسی رازداری، جامعیت و دسترسپذیری است [15, 27, 29, 30]. در ادامه هرکدام از این اهداف را به طور مختصر شرح میدهیم.
رازداری: رازداری را عدم افشای اطلاعات برای فرآیندها، موجودیتها یا کاربران غیرمجاز تعریف میکنند[29]. از طرفی در [27] رازداری هدفی است که در آن دادهها باید تنها توسط موجودیت که مجوز مناسب دارد قابل خواندن باشد. در تعریفی سادهتر رازداری «محافظت از پوشیدگی دادههای حساس» است[30]. به عبارتی میتوان گفت یکی از اهداف امنیت در راستای حفاظت از افشای دادهها و توابع حساس سیستم برای کاربر و یا موجودیت غیرمجاز دربرگیرنده رازداری است.
جامعیت: ممانعت از تغییر یا تخریب یک منبع اطلاعاتی توسط کاربر یا موجودیت35 غیرمجاز است[29]. به عبارتی جامعیت هدفی است که طی دستاوردهای آن دادهها و اطلاعات نباید تغییر کنند مگر آنکه به طور صریح مجاز به تغییر باشند[27]. یعنی جامعیت تضمین میکند که محتوای پیام از لحظه خروج از مبدأ تا تحویل به گیرنده در مقصد، تغییری نکرده است[15]. در رازداری اجازه داده نمیشود که داده حساس توسط موجودیت غیرمجاز دیده شود، ولی در جامعیت اجازه تغییر و تحریف به موجودیت غیرمجاز داده نمیشود.
دسترسپذیری: به طور عام بیانگر آمادگی پیوسته سیستم به پاسخگویی درخواستهای معتبر و عدم انکار آنها میباشد. اما در بعد امنیت بیانگر حفاظت از منابع سازمان در مقابل تهدیدات انکار سرویسدهی است که ممکن است دسترسپذیری سیستم را مورد تأثیر قرار دهد[29]. امنیت در اهداف رازداری و جامعیت خود، مانع تحریف و دسترسهای غیرمجاز به منابع و دادههای حساس سازمان میشود و از سوی دیگر در هدف دسترسپذیری خود بیان میکند که نباید مانع دسترسیهای مجاز و پاسخدهی به درخواستهای معتبر شد و سیستم باید در هر حال برای پاسخگویی به این گونه درخواستها، در دسترس باشد.
برای دستیابی به هر کدام از این اهداف امنیتی میتوانیم از سیاستهای امنیتی که این اهداف را محقق میسازد استفاده نمود.

2-3-2 سیاستهای امنیتی
اهداف امنیتی یک ردهبندی نوعی از آرمانها را فراهم میکند که ممکن است برای رسیدن به نوع مشخصی از نیاز امنیتی سهیم باشند. آرمان امنیتی ممکن است بر اساس زمینه کاربردشان، معمولاً به دو صورت مطرح میشوند: این دو گونه، سیاست امنیتی و نیازهای امن
یتی هستند که در ادامه تشریح میکنیم. یک سیاست امنیتی، یک هدف امنیتی خاص یا ترکیبی از آن‌ها را محقق میسازد که به این صورت تعریف میشود: حکمی که مشخص میکند چه چیزی مجاز و چه چیزی غیرمجاز است. سیاستهای امنیتی به عنوان مدلهای نیمه رسمی تعریف میشوند. رسمی از آن جهت که می‌توان آن‌ها را به صورتی بیان کرد که برای پیکربندی مکانیزمهای امنیتی توسط ماشین، قابل قرائت و فهم باشند، و غیر رسمی از آن جهت که تعریف ریاضی برای آن‌ها ارائه نشده است. ایراد درستی که بر سیاست امنیتی وارد میشود این است که به دلیل نیمه رسمی بودن، نمیتوان آن را به طور غیر مبهم فرموله کرد. با این وجود، دیدگاه مطرح شده فعلی، بیشتر بر جنبههای اجرا پذیری و قابلیت استفاده تاکید دارد. یک سیاست رسمی، ممکن است از دقت بالایی برخوردار باشد یا تنها راه اثبات صحت یک سیاست در سطح مشخصی از دقت باشد، اما این مزایا با یک هزینه سربار بسیار بالایی همراه باشد که ممکن است در عمل چندان کاربردی نباشد. یک سیاست کارا را بر اساس یک توافق عام و تفسیر جامعه نرمافزاری که از آن استفاده میکند، تعریف میکنند. با این حال، مدلهای رسمی هر جا که لازم باشد، میتوانند با بسترهای مختلف یکپارچه شوند. در اساس، بین سیاستهای امنیتی پایهای و سیاستهای امنیتی پیشرفته تمایز وجود دارد. گونه دوم بر مبنای مدل رسمی سیاست است[27].
به عبارتی سیاست امنیتی قواعد سطح بالایی است بر اساس این که چه کنترل دسترسی باید تنظیم شود. همچنین مدل امنیتی یک ارائه رسمی از سیاست امنیتی و عملکرد آن است.

2-3-3 نیازمندیهای امنیتی
در مقابل سیاست امنیتی که برای مدیریت امنیت به عنوان مجموعهای از «چه چیزهایی مجاز و چه چیزهایی غیرمجاز است»، نیازمندیهای امنیتی روی مراحل اولیه مهندسی (مرحله جمعآوری اطلاعات تمرکز دارد). یک نیازمندی امنیتی، یک توضیح مفصلِ مستقل از زمینه برای یک هدف امنیتی است[27]. نیازمندی امنیتی یک هدف امنیتی را به چند توصیف مفصلتر بر اساس نتایج تحلیل امنیت، تقسیم میکند. نیازمندیهای امنیتی را میتوان به دو کلاس کلی دستهبندی کرد: نیازمندیهای وظیفهمندی و غیروظیفهمندی[30]. جنبههای وظیفهمندی امنیت عبارتند از:
الف) اعتبار سنجی یا تشخیص صحت هویت کاربران.
ب) اختیارسنجی یا تصمیم بر دادن یا ندادن اختیار برای انجام یک عمل توسط کاربر شناخته شده روی یک منبع مشخص.
ج) رازداری دادهها یا محافظت از محرمانه بودن دادههای مهم.
د) جامعیت داده یا تشخیص تحریف دادهها و اطمینان یافتن از آنکه هیچ کدام از فرستنده یا گیرنده نمیتوانند داده ارسالی یا دریافتی را تغییر دهند.
ه) حفاظت در مقابل حملات یا اطمینان یافتن از آنکه مهاجمها نمیتوانند روی کاربرد، کنترلی به دست آورند.
و) پوشیدگی یا اطمینان از این که برنامه کاربردی، پنهان بودن دادههای کاربران را نقض نمیکند.
جنبههای غیروظیفهمندی امنیت: این جنبهها از آنجا که به طور مستقیم با امنیت در ارتباط نیستند، غیروظیفهمندی نامیده میشوند و عبارتند از [30]:
الف) قابلیت تعامل: این مفهوم مختص به معماری سرویسگرا است و بیان میکند که راهحلهای امنیتی مختلف نباید سازگاری سرویسها را نقض کند.
ب) قابلیت مدیریت: نیاز است راهحل امنیتی از سرویسهای مختلف محافظت کند. یک معماری امنیتی خوب، باید به راحتی قابل مدیریت باشد.
ج) سادگی در توسعه: این جنبه برای تمامی راهحلهای امنیتی مشترک است. هر چقدر پیچیدگی توسعه راهحل امنیتی بالاتر باشد، امکان تطبیق آن با معماری مربوطه کمتر خواهد بود.
در منبعی دیگر این نیازمندیها به طور خلاصه در پنج مورد خلاصه شدهاند: تعیین هویت، اعتبارسنجی، اختیارسنجی، رازداری و جامعیت[15].

2-3-3-1 نیاز امنیتی اعتبارسنجی
به طور معمول، یک درخواست به منبع از نگاه امنیتی با ادعای یک هویت یا شناسه شروع می‌شود. درخواستکننده با ارائه یک شناسه یا اعتبار، هویت خود را معرفی میکند. سیستم بر اساس مکانیزمهای خاص، این هویت را شناسایی میکند. این همان فرآیند تعیین هویت است که خود جزء نیازهای امنیتی به شمار می‌آید، اما تعیین هویت به تنهایی کافی نیست. برای اطمینان از اینکه آیا هویت ادعا شده دارای اعتبار هست یا خیر فرآیند مکمل دیگری بنام اعتبارسنجی نیاز است. اعتبارسنجی فرآیندی است برای اثبات ادعای یک هویت ارائه شده. در فرآیند اعتبارسنجی، موجودیت یا کاربر درخواست کننده، همراه با شناسه خود، دلیل یا مدرکی ارائه میدهد تا گیرنده درخواست، اطمینان یابد که ادعای وی درست است[30].

2-3-3-2 نیاز امنیتی اختیارسنجی
اختیارسنجی که معمولاً آن را با کنترل دسترسی یکسان میدانند عبارت است از «فرآیند تعیین مجاز یا غیرمجاز بودن درخواست یک موجودیت از یک منبع مشخص»[31]. در تعریفی دیگر، کنترل دسترسی به صورت فرآیند وساطت بین هر درخواست به منابع و داده های نگهداری شده توسط یک سیستم و تعیین اینکه آیا درخواست باید تضمین شود یا انکار فرآیندی بیان شده است. در همان منبع، تعریف کاملتری آمده است: «فرآیندی است برای اعمال حفاظت که طی آن، هر دسترسی به سیستم و منابع آن باید کنترل شود و همه و تنها دسترسیهای مجاز می‌توانند انجام شوند» [27].
این در حالی است که [31] نگاه ظریف‌تری به فرآیند کنترل دسترسی دارد و آن را به این صورت تعریف می‌کند: فرآیندی است که طی آن عملیات و دسترسیهای کاربر مجاز بر منابع سیستم کنترل میشود و بر اساس قواعدی در مورد مجاز بودن آن تصمیم گرفته میشود. از ت
عریف اخیر میتوان دریافت که کنترل دسترسی یا اختیارسنجی فرآیندی است که بر مجموعه کاربران شناخته شده اعمال می‌شود. به عبارت ساده تر، اختیارسنجی همیشه بعد از اعتبارسنجی صورت می‌گیرد.

2-3-3-3 نیاز امنیتی رازداری
رازداری برای امنیت هم یک هدف به شمار می‌آید هم یک نیازمندی. منظور ما از نیازمندی رازداری «فراهم آوردن مکانیزمهایی برای محفوظ ماندن دادهها و اطلاعات حساس از دید موجودیتهای غیرمجاز» است. از آنجا که در تبادل دادهها در سیستمهای امروزی، به دلیل گستردگی و توزیع‌شدگی واسطهای زیادی بین فرستنده و گیرنده اطلاعات ایجاد شدهاست، نیاز است آن‌ها را در برابر مهاجمان و استفادهکنندگان غیرمجاز محافظت نمود. این نیاز، در قالب رازداری دیده میشود[30]. به عبارتی دیگر، نیاز به رازداری زمانی پررنگ‌تر میشود که قرار است داده یا اطلاعات حساسی از یک مبدأ به مقصد معینی ارسال شود و در این مسیر ارسال، واسطههای پیشبینی شده یا مهاجمان پیشبینی نشدهای وجود خواهد داشت که این دادهها برای آنها افشا شوند. با استفاده از سیاست رازداری می‌توان وضعیت‌هایی را از

Author: mitra4--javid

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *