پایان نامه چالش های امنیتی و مدل ارزیابی ریسک امنیتی کاربردهای مشاپ

گزارش سمینار کارشناسی ارشد مشاپ ها بررسی چالش های امنیتی و ارایه مدلی برای ارزیابی ریسک امنیتی کاربردهای مشاپ

چکیده

در سالهای اخیر، ظهور فناوری مشاپهای سازمانی تحت وب که یکپارچه سازی موردی اطلاعات و سرویس ها را از چندین منبع مختلف امکان پذیر می سازد، روشی جدید را برای توسعه برنامه های کاربردی موقعیتی در سازمانها به ارمغان آورده است. مشاپ های سازمانی، کارگران دانش را قادر می سازند تا وظایف معمولشان در سازمان را که عموما شامل دسترسی، تحلیل و یکپارچه سازی اطلاعات از منابع مختلف است، بطور موثرتری انجام دهند. علاوه بر این، مشاپ های سازمانی، با ترکیب منابع داخل سازمان با منابع جهانی منتشر شده روی اینترنت، دید جدیدی را در مورد موقعیتی که در یک حوزه مشخص رخ داده است ایجاد می کنند. از جمله مزایای استفاده از مشاپ های سازمانی می توان به تصمیم بهتر، رضایت بالاتر کاربر، افزایش نوآوری، افزایش قابلیت استفاده و افزایش چابکی در سازمان اشاره کرد. با رشد استفاده از مشاپ ها چالش های امنیتی در استفاده از این فناوری جدید وب مورد توجه قرار گرفته است. گروه گارتنر: پتانسیل ریسک های امنیتی با اضافه شدن کاربران کسب و کار به جرگه توسعه دهندگان کاربردها با استفاده از مشاپ ها افزایش می یابد. از جمله مشکلات امنیتی در مشاپ های سازمانی می توان به مشکلات ناشی از توسعه دهندگان غیر حرفه ای، مساله انکار سرویس ، مساله جعل درخواست بین سایتی، مساله برنامه نویسی بین سایتی ٤ اشاره کرد. در واقع بسیاری از مشکلات ناشی از کاربرد مشاپ به دلیل لحاظ نشدن جنبه های استفاده جدید از فناوری های وب است و اغلب این مسائل نوظهور هستند و باید امکاناتی به فناوری های جدید اضافه شود تا از امنیت همه جانبه این کاربردها حمایت کرد. ما در این تحقیق تلاش داریم تا مدلی را برای ارزیابی ریسک امنیت کاربردهای مشاپ قبل از استفاده ارائه دهیم.

اهداف تحقیق

آسیب پذیری مشاپ های سازمانی به این دلیل است که غالبا توسط کاربران سازمانی ایجاد می شوند که دانش زیادی در زمینه امنیت ندارند و نیز مشاپها میتوانند با دیگران به اشتراک گذاشته شوند که ممکن است خارج دیواره آتش باشند و می توانند از ترکیب منابع مختلف و ناهمگن ایجاد شوند که ممکن است خارج دیواره آتش باشند و یا پروتکل های برقراری ارتباط متفاوتی داشته باشند.

به طور کلی سه دسته راه حل را می توان برای تامین امنیت مشاپ ها متصور شد.

1.روش هایی که هیچ تغییری در مرورگر وب ایجاد نمی کنند. مانند استفاده از proxy

2.توسعه هایی برای HTML که نیاز به تغییر در مرورگر وب دارند.

3.افزونه هایی برای مرورگر وب. مانند استفاده از Flash وGoogle Gears

هر یک از این روش ها، مزایا و معایب خاص خود را دارند. در این پﮋوهش تلاش می شود تا جنبه های امنیتی معمول و جنبه هایی که با رشد مشاپ ها ظهور خواهند کرد مورد بررسی قرار گیرد و راه حلی برای حل این چالش ها ارائه شود.

مقدمه

آن چه که امروز به عنوان مشاپ ها ارایه می شود، حاصل تجمیع فناوری های گوناگونی است که هر یک از این فناوری ها با بلوغ خود به پذیرش مشاپ ها کمک شایانی می کند. از جمله فناوری هایی که مشاپ ها بر آنها تکیه می کنند، می توان به معماری سرویس گرا، وب 2.0، وب معنایی اشاره کرد. در این فصل به معرفی مفاهیم پایه ای در زمینه مشاپ ها می پردازیم.

معماری سرویس گرا

اصطلاح معماری سرویس-گرا به سبکی از ساخت سیستم های توزیع شده مطمئن اشاره می کند که توانمندی را با عنوان سرویس ها ارائه می دهد در حالیکه تاکید بر اتصال ضعیف بین تعامل سرویس ها دارد.

معماری سرویس-گرا یک مدل معماری ارائه را در فناوری اطلاعات می دهد که با بالا بردن چابکی و کارایی هزینه کلیه هزینه های عمومی یک سازمان کاهش می دهد. این سبک از معماری با در نظر گرفتن سرویس ها بعنوان ابزار اصلی برای منطق راه حل ارائه شده، به اهداف مذکور می رسد. برای تحقق اهداف استراتﮋیکی همراه محاسبات سرویس- گرا، SOA از سرویس گرایی حمایت می کند. بعنوان گونه ای از تکنولوژی معماری٣پیاده سازی SOA ، می تواند شامل ترکیبی از تکنولوژی ها، محصولات، واسط های برنامه نویسی

کاربردها، پشتیبانی از توسعه های زیرساخت و دیگر بخشها باشد. نمای واقعی یک معماری سرویس گرای گسترش یافته در هر سازمان یکتا است. اما به هر حال، این نما با معرفی تکنولوژی ها و سکوهای جدید که مخصوصا از ایجاد، توسعه و ارزیابی راه حل های سرویس- گرا پشتیبانی می کند، مشخص می شود. در نتیجه ساخت یک تکنولوژی معماری پیرامون مدل معماری سرویس- گرا، محیطی مناسب برای منطق راه حل که اصول طراحی سرویسگرا را ایجاب می کند، فراهم می کند

امنیت در معماری سرویس گرا

نیازمندی های امنیتی برای معماری ها و راه حل های خودکارسازی، چیز جدیدی برای دنیای فناوری اطلاعات به شمار نمی آید .هر راه حل خودکار سازی نیازهای امنیتی مشخصی دارد که برای استفاده کارا از آن راه حل، باید پوشش داده شوند. بطور مشابه، برنامه های کاربردی سرویس گرا هم نیاز دارند تا بمنظور اداره بسیاری از نیازمندی های امنیتی سنتی برای حفاظت از اطلاعات و اطمینان از آنکه دسترسی به منطق تنها برای آنهایی که مجازند تضمین شده است، تجهیز شوند. بطور ساده ارتباط معماری سرویس گرا و اصول امنیتی را می توان در یک مثلث امنیتی مانند شکل 3 نشان داد .در این شکل، هر یک از اصول سه گانه امنیتی همراه با تکنولوژی های موجود برای تحقق آن ها از دیدگاه معماری سرویس گرا نشان داده شده است .معماری سرویس گرا نیز بصورت مجموعه ای از مشتریان، فراهم کنندگان، سرویس ها و داده ها است ...