پایان نامه رایگان با موضوع اعتبارسنجی، فناوری اطلاعات، سیستمهای اطلاعاتی

دانلود پایان نامه

ایش دانهبندی از فرآیند به سرویس.
قابلیت ایجاد سریع فرآیندهای جدید و ترکیب مؤلفه‌های نرمافزاری موجود جهت رقابت با تغییرات بازار.
بهبود ارائه خدمات به مشتریان به دلیل عدم نگرانی از توان پشتیبانی فناوری اطلاعات از تصمیمات جدید کسبوکار.
تطبیق قابلیت استفاده مجدد.
اتصال به دادهها و سرویسهای خارجی.
ارائه و استفاده از بهترین گزینهها از میان مجموعهای از سرویسهای قابل استفاده.
مزایای معماری سرویسگرا از نگاه فناوری اطلاعات:
حضور فعالتر و مسئولانهتر فناوری اطلاعات در سازمانها.
کاهش زمان چرخه تولید و توسعه سیستمهای اطلاعاتی به خاطر استفاده از واحدهای قابل استفاده مجدد.
کاهش پیچیدگی و هزینه نگهداشت.
ارتقاء سیستمهای اطلاعاتی موجود به جای جایگزینی یکجای آن‌ها.
کاهش هزینه و زمان جهت پیکربندی مجدد.

2-3 امنیت نرمافزار
در این بخش ابتدا به بیان مفاهیم بنیادی امنیت با ارائه چند تعریف عام و خاص از آن میپردازیم و پس از کسب شناخت کافی از مفهوم امنیت مجدداً به معماری سرویسگرا و نیازهای امنیتی آن برخواهیم گشت سپس امنیت و استانداردهای امنیتی را در معماری سرویسگرا مورد بررسی قرار میدهیم.

2-3-1 مفاهیم پایهای امنیت
دانش عمومی «امنیت» را وضعیتی بدون خطر26 و ریسک27 تعریف میکند. به عبارتی وضعیتی فارغ از شبهه، تشویش یا نگرانی است. امنیت رایانه محدود است به توصیف شاخهای از علم کامپیوتر که با ریسکها، تهدیدها و مکانیزمهای مربوط به استفاده از سیستمهای محاسباتی سروکار دارد[27]. مفهوم امنیت در سیستمهای رایانهای اولیه که اغلب به صورت متمرکز بودند چندان اهمیتی نداشت. با گسترش استفاده از رایانه و چند کاربری شدن، نیاز به امنیت پررنگتر شد[28].
حال میخواهیم بدانیم هدف از تعبیر امنیت در حیطه نرمافزار چیست. اهداف امنیتی را میتوان مشخصهها و جنبههایی برای تضمین امنیت که توسط یک مدل دنبال میشود دانست. دیدگاهها و نظرات مختلفی برای اهداف امنیتی در نرمافزار وجود دارد. به عنوان مثال از دیدگاه بیوشاپ28 سه جنبه اساسی از امنیت رایانه عبارتند از: رازداری، جامعیت و دسترسپذیری29 [27]. در دیدگاهی دیگر، منزس30 هفده هدف اساسی برای امنیت اطلاعات بیان کرده است که در بین آن‌ها اهدافی مانند رازداری، جامعیت، تعیین هویت31 و اعتبارسنجی وجود دارد[27]. آقای هفنر32 در [27] استنباط میکند این اهداف امنیتی از چهار آرمان نهفته رازداری، جامعیت، اعتبارسنجی و عدم-انکار33 مشتق شدهاند. در برخی منابع، اصول و اهداف امنیتی را از هم جدا نمیدانند یا حداقل، برخی از اهداف امنیتی و اصول آنرا مشترک میدانند. در [29] هفت اصل امنیتی به عنوان مبنایی برای یک راهحل امنیتی مناسب در نظر گرفته شدهاست که عبارتند از : اعتبارسنجی، اختیارسنجی، جامعیت، دسترسپذیری، رازداری، ممیزی و عدم انکار. برخی از این اهداف با جنبههای وظیفهمندی امنیت مشترک هستند. این جنبهها طبق[30] شامل: اعتبارسنجی، اختیارسنجی، رازداری دادهها، حفاظت در مقابل حملات و محرمانگی34 هستند. اما آنچه در متون مختلف به عنوان اهداف امنیتی به طور مشترک آمده است همان سه هدف اساسی رازداری، جامعیت و دسترسپذیری است [15, 27, 29, 30]. در ادامه هرکدام از این اهداف را به طور مختصر شرح میدهیم.
رازداری: رازداری را عدم افشای اطلاعات برای فرآیندها، موجودیتها یا کاربران غیرمجاز تعریف میکنند[29]. از طرفی در [27] رازداری هدفی است که در آن دادهها باید تنها توسط موجودیت که مجوز مناسب دارد قابل خواندن باشد. در تعریفی سادهتر رازداری «محافظت از پوشیدگی دادههای حساس» است[30]. به عبارتی میتوان گفت یکی از اهداف امنیت در راستای حفاظت از افشای دادهها و توابع حساس سیستم برای کاربر و یا موجودیت غیرمجاز دربرگیرنده رازداری است.
جامعیت: ممانعت از تغییر یا تخریب یک منبع اطلاعاتی توسط کاربر یا موجودیت35 غیرمجاز است[29]. به عبارتی جامعیت هدفی است که طی دستاوردهای آن دادهها و اطلاعات نباید تغییر کنند مگر آنکه به طور صریح مجاز به تغییر باشند[27]. یعنی جامعیت تضمین میکند که محتوای پیام از لحظه خروج از مبدأ تا تحویل به گیرنده در مقصد، تغییری نکرده است[15]. در رازداری اجازه داده نمیشود که داده حساس توسط موجودیت غیرمجاز دیده شود، ولی در جامعیت اجازه تغییر و تحریف به موجودیت غیرمجاز داده نمیشود.
دسترسپذیری: به طور عام بیانگر آمادگی پیوسته سیستم به پاسخگویی درخواستهای معتبر و عدم انکار آنها میباشد. اما در بعد امنیت بیانگر حفاظت از منابع سازمان در مقابل تهدیدات انکار سرویسدهی است که ممکن است دسترسپذیری سیستم را مورد تأثیر قرار دهد[29]. امنیت در اهداف رازداری و جامعیت خود، مانع تحریف و دسترسهای غیرمجاز به منابع و دادههای حساس سازمان میشود و از سوی دیگر در هدف دسترسپذیری خود بیان میکند که نباید مانع دسترسیهای مجاز و پاسخدهی به درخواستهای معتبر شد و سیستم باید در هر حال برای پاسخگویی به این گونه درخواستها، در دسترس باشد.
برای دستیابی به هر کدام از این اهداف امنیتی میتوانیم از سیاستهای امنیتی که این اهداف را محقق میسازد استفاده نمود.

2-3-2 سیاستهای امنیتی
اهداف امنیتی یک ردهبندی نوعی از آرمانها را فراهم میکند که ممکن است برای رسیدن به نوع مشخصی از نیاز امنیتی سهیم باشند. آرمان امنیتی ممکن است بر اساس زمینه کاربردشان، معمولاً به دو صورت مطرح میشوند: این دو گونه، سیاست امنیتی و نیازهای امن
یتی هستند که در ادامه تشریح میکنیم. یک سیاست امنیتی، یک هدف امنیتی خاص یا ترکیبی از آن‌ها را محقق میسازد که به این صورت تعریف میشود: حکمی که مشخص میکند چه چیزی مجاز و چه چیزی غیرمجاز است. سياستهاي امنيتي به عنوان مدلهاي نيمه رسمي تعريف ميشوند. رسمي از آن جهت كه می‌توان آن‌ها را به صورتي بيان كرد كه براي پيكربندي مكانيزمهاي امنيتي توسط ماشين، قابل قرائت و فهم باشند، و غير رسمي از آن جهت كه تعريف رياضي براي آن‌ها ارائه نشده است. ايراد درستي كه بر سياست امنيتي وارد ميشود اين است كه به دليل نيمه رسمي بودن، نميتوان آن را به طور غير مبهم فرموله كرد. با اين وجود، ديدگاه مطرح شده فعلي، بيشتر بر جنبههاي اجرا پذیری و قابليت استفاده تاكيد دارد. يك سياست رسمي، ممكن است از دقت بالايي برخوردار باشد يا تنها راه اثبات صحت يك سياست در سطح مشخصي از دقت باشد، اما اين مزايا با يك هزينه سربار بسيار بالايي همراه باشد كه ممكن است در عمل چندان كاربردي نباشد. يك سياست كارا را بر اساس يك توافق عام و تفسير جامعه نرمافزاري كه از آن استفاده ميكند، تعريف ميكنند. با اين حال، مدلهاي رسمي هر جا كه لازم باشد، ميتوانند با بسترهاي مختلف يكپارچه شوند. در اساس، بين سياستهاي امنيتي پايهای و سياستهاي امنيتي پيشرفته تمايز وجود دارد. گونه دوم بر مبناي مدل رسمي سياست است[27].
به عبارتی سیاست امنیتی قواعد سطح بالایی است بر اساس این که چه کنترل دسترسی باید تنظیم شود. همچنین مدل امنیتی یک ارائه رسمی از سیاست امنیتی و عملکرد آن است.

2-3-3 نیازمندیهای امنیتی
در مقابل سياست امنيتي كه براي مديريت امنيت به عنوان مجموعهاي از «چه چیزهایی مجاز و چه چیزهایی غیرمجاز است»، نيازمنديهاي امنيتي روي مراحل اوليه مهندسی (مرحله جمعآوري اطلاعات تمركز دارد). يك نيازمندي امنيتي، يك توضيح مفصلِ مستقل از زمينه براي يك هدف امنيتي است[27]. نيازمندي امنيتي يك هدف امنيتي را به چند توصيف مفصلتر بر اساس نتايج تحليل امنيت، تقسيم ميكند. نيازمنديهاي امنيتي را ميتوان به دو كلاس كلي دستهبندي كرد: نيازمنديهاي وظيفهمندي و غيروظيفهمندي[30]. جنبههاي وظيفهمندي امنيت عبارتند از:
الف) اعتبار سنجي يا تشخيص صحت هويت کاربران.
ب) اختيارسنجي يا تصميم بر دادن يا ندادن اختيار براي انجام يك عمل توسط كاربر شناخته شده روي يك منبع مشخص.
ج) رازداري دادهها يا محافظت از محرمانه بودن دادههاي مهم.
د) جامعيت داده يا تشخيص تحريف دادهها و اطمينان يافتن از آنكه هيچ كدام از فرستنده يا گيرنده نميتوانند داده ارسالي يا دريافتي را تغيير دهند.
ه) حفاظت در مقابل حملات يا اطمينان يافتن از آنكه مهاجمها نميتوانند روي كاربرد، كنترلي به دست آورند.
و) پوشيدگي يا اطمينان از این که برنامه كاربردي، پنهان بودن دادههاي كاربران را نقض نميكند.
جنبههاي غيروظيفهمندي امنيت: اين جنبهها از آنجا كه به طور مستقيم با امنيت در ارتباط نيستند، غيروظيفهمندي ناميده ميشوند و عبارتند از [30]:
الف) قابلیت تعامل: این مفهوم مختص به معماری سرویسگرا است و بیان میکند که راهحلهای امنیتی مختلف نباید سازگاری سرویسها را نقض کند.
ب) قابلیت مدیریت: نیاز است راهحل امنیتی از سرویسهای مختلف محافظت کند. یک معماری امنیتی خوب، باید به راحتی قابل مدیریت باشد.
ج) سادگی در توسعه: این جنبه برای تمامی راهحلهای امنیتی مشترک است. هر چقدر پیچیدگی توسعه راهحل امنیتی بالاتر باشد، امکان تطبیق آن با معماری مربوطه کمتر خواهد بود.
در منبعی دیگر این نیازمندیها به طور خلاصه در پنج مورد خلاصه شدهاند: تعیین هویت، اعتبارسنجی، اختیارسنجی، رازداری و جامعیت[15].

2-3-3-1 نیاز امنیتی اعتبارسنجی
به طور معمول، يك درخواست به منبع از نگاه امنيتي با ادعاي يك هويت يا شناسه شروع می‌شود. درخواستكننده با ارائه يك شناسه يا اعتبار، هويت خود را معرفي ميكند. سيستم بر اساس مكانيزمهاي خاص، اين هويت را شناسايي ميكند. اين همان فرآيند تعيين هويت است كه خود جزء نيازهاي امنيتي به شمار می‌آید، اما تعيين هويت به تنهايي كافي نيست. براي اطمينان از اينكه آيا هويت ادعا شده داراي اعتبار هست يا خير فرآيند مكمل ديگري بنام اعتبارسنجي نياز است. اعتبارسنجی فرآیندی است برای اثبات ادعای یک هویت ارائه شده. در فرآیند اعتبارسنجی، موجوديت يا كاربر درخواست كننده، همراه با شناسه خود، دليل يا مدركي ارائه ميدهد تا گيرنده درخواست، اطمينان يابد كه ادعاي وي درست است[30].

2-3-3-2 نیاز امنیتی اختیارسنجی
اختیارسنجی که معمولاً آن را با کنترل دسترسی یکسان میدانند عبارت است از «فرآیند تعیین مجاز یا غیرمجاز بودن درخواست یک موجودیت از یک منبع مشخص»[31]. در تعریفی دیگر، كنترل دسترسي به صورت فرآيند وساطت بين هر درخواست به منابع و داده هاي نگهداري شده توسط يك سيستم و تعيين اينكه آيا درخواست بايد تضمين شود يا انكار فرآيندي بيان شده است. در همان منبع، تعريف كاملتری آمده است: «فرآیندی است براي اعمال حفاظت كه طي آن، هر دسترسي به سيستم و منابع آن بايد كنترل شود و همه و تنها دسترسيهاي مجاز می‌توانند انجام شوند» [27].
اين در حالي است كه [31] نگاه ظریف‌تری به فرآيند كنترل دسترسي دارد و آن را به اين صورت تعريف می‌کند: فرآيندي است كه طي آن عمليات و دسترسيهاي كاربر مجاز بر منابع سيستم كنترل ميشود و بر اساس قواعدي در مورد مجاز بودن آن تصميم گرفته ميشود. از ت
عريف اخير ميتوان دريافت كه كنترل دسترسی یا اختيارسنجي فرآيندي است كه بر مجموعه كاربران شناخته شده اعمال می‌شود. به عبارت ساده تر، اختيارسنجي هميشه بعد از اعتبارسنجي صورت می‌گیرد.

2-3-3-3 نیاز امنیتی رازداری
رازداري براي امنيت هم يك هدف به شمار می‌آید هم يك نيازمندي. منظور ما از نيازمندي رازداري «فراهم آوردن مکانیزمهایی برای محفوظ ماندن دادهها و اطلاعات حساس از دید موجودیتهای غیرمجاز» است. از آنجا که در تبادل دادهها در سیستمهای امروزی، به دلیل گستردگی و توزیع‌شدگی واسطهای زیادی بین فرستنده و گیرنده اطلاعات ایجاد شدهاست، نیاز است آن‌ها را در برابر مهاجمان و استفادهکنندگان غیرمجاز محافظت نمود. اين نياز، در قالب رازداري ديده ميشود[30]. به عبارتي ديگر، نياز به رازداري زماني پررنگ‌تر ميشود كه قرار است داده يا اطلاعات حساسي از يك مبدأ به مقصد معيني ارسال شود و در اين مسير ارسال، واسطههاي پيشبيني شده يا مهاجمان پيشبيني نشدهاي وجود خواهد داشت كه اين دادهها براي آنها افشا شوند. با استفاده از سياست رازداري می‌توان وضعیت‌هایی را از

Author: mitra4--javid

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *