در سیستم های تحت وب امنیت چگونه تامین می شود؟

نیاز به استعمال از سیستم‌های اطلاعاتی بیرون از مرزهای فیزیکی سازمان، استعمال از قابل انعطاف‌افزارهای پایین اینترنت را بیشتراز پیش رایج و ضروری نموده است. در دسترس قرار تصاحب کردن این قابل انعطاف‌افزارها در بستر اینترنت و انتقال داده‌ها از روش وب، با وجود مزایایی که به یار و همدم دارااست ریسک نفوذ در داده ها و حمله به آنها‌را نیز در بر دارااست. بدین ترتیب تامین امنیت قابل انعطاف‌افزارهای ذیل اینترنت از اهمیت ویژه‌ای برای سازمان‌ها شامل است و مستلزم سرمایه‌گذاری در مسئله‌‌ی امکانات طاقت فرسا‌افزاری و قابل انعطاف‌افزاری میباشد.
برقراری امنیت از روش امن کردن کانال مانند بکارگیری فایروال، کد گذاری جریان داده ها روی کانال، آنتی ویروس و غیره برای قابل انعطاف‌افزارهای زیر اینترنت موردنیاز میباشد البته کفاف نمیدهد و بعضی ریسک‌ها و تهاجم ها نفوذی، نقاط ضعف در پباده سازی و پیاده سازی قابل انعطاف‌افزارهای پایین اینترنت را مقصود میگیرد. به این ترتیب امنیت لایه‌های مختلفی داراست که بکارگیری هرمورد از امکانات امنیتی، سازمان را در قبال نوع خاصی از تهاجم ها و نفوذها ایمن می‌سازد. از جمله فایروال‌ها که می توانند دشوار‌افزاری یا این که قابل انعطاف‌افزاری باشند، از کانال در مقابل ترافیک‌های ناخواسته نگهداری می‌نمایند و ترافیک‌های ورودی و خروجی از یک درگاه (پورت) را چک کرده و مبتنی بر نوع شرایطی که برای آن تمجید میشود، اذن ورود یا این که خروج از آن را صادر می‌نمایند ولی نمی‌توانند برنامه را در قبال حملاتی که با کدهای مخرب ساخت می‌گردد مانند SQL injection یا این که همت و حدس تعدادی باره واژه عبور یوزرها مراقبت نماید.
پباده سازی و تولید یک اپ کاربردی ذیل اینترنت امن فارغ از آشنایی تهدیدهای احتمالی که نرم‌افزار را به خطر می‌اندازد، قابلیت‌پذیر نخواهد بود. در یک نگاه کلی، مبانی و مفاهیم امنیت داده ها در اپ نویسی اینترنت به شرح ذیل میباشد:

زخم‌پذیری یک اپ کاربردی به یک استفاده کننده مخرب اذن می دهد تا از کانال یا این که صاحب خانه اینترنت افتتاح نماید. به این ترتیب برای ساخت‌و‌ساز یک نرم افزار کاربردی ذیل اینترنت امن، نیاز به به یک خط مش جامع امنیت برنامه میباشد که روی هر سه لایه اپ کاربردی، صاحبخانه اینترنت و کانال اعمال گردد.

مبانی و مفاهیم امنیت داده ها
مبانی امنیت مشتمل بر احراز نام‌و‌نشان [۱]، اعطای حق دسترسی[۲]، حسابرسی [۳]، محرمانگی[۴]، صدق[۵] و دسترس‌پذیری[۶] میباشد که درپی تشریح میگردند:

احراز نام‌و‌نشان
«احراز نام و نشان» بدین پرسش اشاره اعطا کرد که شما چه کسی میباشید؟ احراز نام‌و‌نشان مراحل شناسایی منحصر خدمت گیرنده‌های اپلیکیشن کاربردی میباشد که ممکن میباشد یوزرها آخرین یا این که بقیه خدمت‌ها و فرایندهای نرم افزار‌نویسی باشند.

اعطای حق دسترسی
«اعطای حق دسترسی» بدین پرسش اشاره داراست که شما چه کاری میتوانید انجام دهید؟ اعطای حق دسترسی فرایندی میباشد که در آن، منابع و عملیاتی که یوزرها احراز نام و نشان گردیده اذن دسترسی به آنان‌را دارا هستند، مدیر می شود. منابع مشتمل بر پوشه‌ها، مقر‌های داده، جداول، سطرها و غیره میباشد. عملیات میتواند دربرگیرنده انجام یک تراکنش مانند خرید یک جنس یا این که انتقال وجه از یک اکانت به اکانت دیگر باشد.

حسابرسی
«حسابرسی» و رویدادنگاری، کلید عدم انکار [۷] میباشد. عدم انکار به این معناست که یک استفاده کننده نمی‌تواند انجام کاری یا این که استارت یک تراکنش را در سیستم انکار نماید.

محرمانگی
«محرمانگی» که از آن به «اطراف محرمانه» نیز حافظه میگردد، فرآیند حصول اطمینان از این میباشد که داده‌ها خصوصی و محرمانه میمانند و به وسیله کاربرانی که جواز ندارند یا این که استراق سمع‌کنندگانی که به ترافیک کانال چک می‌نمایند، چشم نمیشوند. رمزگذاری اکثر اوقات چهت نیل بدین مقصود به عمل گرفته میشود. لیست در اختیار گرفتن دسترسی (ACL) نیز ابزار دیگری میباشد که به همین مراد به کار گیری می گردد.

صدق
«درستی» تضمین‌کننده این میباشد که داده‌ها از هر سیرتکامل تغییر تحول عمدی یا این که تصادفی مراقبت می گردند. «درستی» داده از اهمیت ویژه‌ای به خصوص زمانی روی کانال مبادله می گردد برخوردار‌است. «صدق» داده هنگام نقل و انتقال عمدتا بوسیله طرز‌های Hashing یا این که کدهای احراز نام و نشان پیام آماده می گردند.

دسترس‌پذیری
از منظر امنیت، «دسترس‌پذیری» یعنی اینکه سیستم برای یوزرها دارای اعتبار در دسترس باشد. مقصود بخش اعظمی از مهاجمان با تهاجم ها از نوع انکار سرویس این میباشد که اپ کاربردی سقوط نماید تا مطمئن شوند که یوزرها دیگر نمی‌توانند به اپلیکیشن دسترسی داشته باشند. ۱۵

اهمیت امنیت در اپ‌های کاربردی زیر اینترنت
یکی‌از اصول مهمی که همواره توصیه می شود در فاز پباده سازی اپلیکیشن کاربردی در لحاظ گرفته خواهد شد، «سبک‌سازی تهدید» میباشد. غرض سبک‌سازی تهدید این میباشد که پباده سازی و معماری نرم‌افزار کاربردی را نظارت کرده و ناحیههایی که پتانسیل جراحت‌پذیری دارا هستند را معین نماید.» جراحت‌پذیری در کانال به یک استفاده کننده مخرب اذن میدهد تا از صاحب خانه اینترنت یا این که یک اپلیکیشن کاربردی بهره برداری نماید.«زخم‌پذیری صاحب خانه اینترنت به یک استفاده کننده مخرب اذن می دهد تا از یک کانال یا این که یک اپلیکیشن کاربردی بهره برداری نماید.» «زخم‌پذیری یک نرم‌افزار کاربردی به یک استفاده کننده مخرب اذن میدهد تا از کانال یا این که صاحبخانه اینترنت افتتاح نماید.»[۸] بدین ترتیب برای ساخت و ساز یک نرم افزار کاربردی پایین اینترنت امن، نیاز به به یک راه جامع امنیت برنامه میباشد که روی هر سه لایه نرم افزار کاربردی، صاحبخانه اینترنت و کانال اعمال گردد.
مبتنی بر آخری گزارش‌های منتشرشده به وسیله کنسرسیوم در بین المللی «امنیت در اپ‌ی کاربردی اینترنت» OWASP، بیشترین تهاجم ها به قابل انعطاف‌افزارهای پایین اینترنت عبارتند از Cross-site scripting، SQL injection و Denial-of-service میباشد. چنانچه فهرست بیشترین مسائل و ایرادات امنیتی اپلیکیشن‌های کاربردی ذیل اینترنت را مرور و بررسی کنیم الگویی از خطاها را شاهد خوا هیم بود که با دسته‌بندی آن‌ها در مجموعه‌های مشخص و معلوم می‌قدرت به صورت سیستماتیک با آنان تقابل کرد. این طبقه‌بندی‌ها که تحت عنوان چارچوبی هنگام چک امنیت قابل انعطاف‌افزارهای کاربردی پایین اینترنت گزینه به کارگیری قرار می گیرند، عبارتند از:
اعتبارسنجی ورودی‌ها، احراز نام و نشان، اعطای جواز، رئیس تنظیمات، داده‌های حساس، مدیر گرد‌همایی، کد گذاری، ویرایش پارامترها، مدیر ایرادات، ممیزی و رویدادنگاری.
امنیت نیز مانند اکثری از جنبه‌های مهندسی نرم افزار، بر خط مش بر طبق اصول پایدار میباشد که اصول شالوده آن سوای در لحاظ تصاحب کردن نوع فناوری پیاده‌سازی اپلیکیشن می تواند به فعالیت گرفته خواهد شد. مهمترین این اصول عبارتند از :

نصیب‌بندی[۹]: با قسمت‌بندی نرم افزار سطحی از اپ که ممکن میباشد آیتم حمله قرار بگیرد کاهش می یابد. از خویش بپرسید در‌صورتی‌که یک مهاجم به سیستم دسترسی پیدا کرد به چه منابعی دسترسی خواهد داشت؟ آیا مهاجم می تواند به منابع کانال دسترسی پیدا نماید؟ به چه شکل پتانسیل فساد اپ را محدود میکنید؟ فایروال و اعطای دستکم جواز دسترسی مصداق هایی از این اصل میباشند.
به کارگیری از دست کم امتیاز[۱۰]: با اجرای فرایندها به وسیله اکانت‌های کاربری با دست‌کم دستمزد دسترسی‌ها و امتیازها قابلیت دسترسی مهاجمان به اجرای کدها کاهش مییابد.
دفاع در عمق [۱۱]: بدین معنا که به یک لایه امنیت اکتفا نشود.
اعتماد نکردن به ورودی استفاده کننده: ورودی یوزرها نرم افزار اولی سلاح مهاجمان میباشد. فرض فرمائید مدام داده‌های ورودی یوزرها مخرب می‌باشند مگر اینکه مغایر آن ثابت گردد.
در دست گرفتن دروازه‌ها [۱۲]: مطلقا در اولی ورودی یوزرها احراز نام و نشان شوند.
باخت امن [۱۳]: در شرایطی که اپلیکیشن کاربردی از فعالیت بیفتد داده‌های حساس در دسترس قرار نگیرند.
ضعیف‌ترین رابطه امن گردد [۱۴]: در شرایطی‌که در سطح کانال، صاحب خانه اینترنت یا این که نرم افزار کاربردی زخم‌پذیری وجود دارااست، امن خواهد شد.
پیش‌فرض‌های امن: اکانت‌های کاربری پیش فرض امن و با دست کم دسترسی و به صورت پیش فرض غیر فعال باشند.
کاهش سطح تماس با مهاجمان[۱۵]: در شرایطی که چیزی را به کار گیری نمی کنید، آن غیر فعال یا این که حذف فرمائید.
لزوم به‌کارگیری امتحان‌های استاندارد امنیت
تعداد تهاجم ها به قابل انعطاف‌افزارهای پایین اینترنت رو به ارتقا میباشد. آن ها مستقیما از ورودی‌های دور و اطراف با به کار گیری از پروتکل http عبور می‌نمایند. استعمال سبک‌های دژهای عادی و توکل به ابزارهایی مانند فایروال و دفاع از صاحب خانه اینترنت به تنهایی کفاف نمی دهد. امن کردن برنامه زیر اینترنت مشتمل بر اعمال امنیت در سه لایه کانال، صاحب خانه و اپ کاربردی میباشد. امنیت کانال و زیرساخت صاحب خانه اینترنت یک زور میباشد. افزون بر آن، پباده سازی و ایجاد نرم افزار کاربردی نیز بایستی با به کار گیری از سبک‌ها، پباده سازی و اصول پیاده سازی امن صورت بپذیرد.
ولی با وجود مجموع کوشش‌های اپ‌نویسان و طراحان اپ، بعضی وقتها ممکن میباشد حفره‌های امنیتی‌ای ساخت خواهد شد که از نگاه اپ‌نویس مخفی باقیمانده و برای رفع آنان اقدامی شکل نگرفته میباشد. شایسته ترین رویکرد یافتن این قبیل ایرادات امنیتی برنامه این میباشد که ذیل امتحان‌های استاندارد امنیت قرار بگیرد و از جنبه‌های گوناگون برای مثال آزمایش نفوذ در ناحیههای احراز نام‌و‌نشان، معماری سیستم، حقوق و دستمزد دسترسی، ذخیره و بازیابی داده ها، رد پای عملیات و اتفاق ها و بقیه حمله ها گزینه تحلیل قرار گیرد.
در کشور ایران نیز آزمایشگاه‌های مختلفی امتحان‌های آزمایش نفوذ و امنیت قابل انعطاف‌افزارهای زیر اینترنت را بر طبق استانداردهای میان المللی انجام می دهند. در آزمایشگاه امنیت، عملیات نظارت تولیدات قابل انعطاف‌افزاری در سطح ها متعدد اجرا می شود و در شکل موففیت آمیز بودن تمامی موادتشکیل دهنده امنیتی مرتبط با هر سطح، گواهینامه مربوط بوسیله راءس صادر گردد.

امنیت در راهکارهای پایین اینترنت همیاران سیستم
کمپانی همیاران سیستم همواره امنیت را در پباده سازی و پیاده‌سازی محصول ها خویش حیث نموده است. در ایجاد راهکاران همیاران سیستم که ERP این مجموعه میباشد، اصول و مبانی امنیت به طور کاملً رعایت شده‌است. جهت کسب اطلاعات در‌این خصوص می توانید شیت ویژگی ها فنی راهکاران را مطالعه فرمایید.
کالا اتوماسیون اداری ذیل اینترنت همیاران سیستم نیز تحت عنوان یک اپ کاربردی پایین اینترنت توانسته میباشد امتحان‌های امنیت را پشت رمز گذارده و گواهینامه امنیت و نشان کیفیت را از راءس پژوهش ها صنعت های انفورماتیک اخذ نماید. هم‌چنین توانسته میباشد مدرک تاییدیه قابل انعطاف‌افزارهای PKE را نیز از راس صادر شدن سند الکترونیکی ریشه در حوزه امضای دیجیتال کسب نماید.