در سیستم های تحت وب امنیت چگونه تامین می شود؟
نیاز به استعمال از سیستمهای اطلاعاتی بیرون از مرزهای فیزیکی سازمان، استعمال از قابل انعطافافزارهای پایین اینترنت را بیشتراز پیش رایج و ضروری نموده است. در دسترس قرار تصاحب کردن این قابل انعطافافزارها در بستر اینترنت و انتقال دادهها از روش وب، با وجود مزایایی که به یار و همدم دارااست ریسک نفوذ در داده ها و حمله به آنهارا نیز در بر دارااست. بدین ترتیب تامین امنیت قابل انعطافافزارهای ذیل اینترنت از اهمیت ویژهای برای سازمانها شامل است و مستلزم سرمایهگذاری در مسئلهی امکانات طاقت فرساافزاری و قابل انعطافافزاری میباشد.
برقراری امنیت از روش امن کردن کانال مانند بکارگیری فایروال، کد گذاری جریان داده ها روی کانال، آنتی ویروس و غیره برای قابل انعطافافزارهای زیر اینترنت موردنیاز میباشد البته کفاف نمیدهد و بعضی ریسکها و تهاجم ها نفوذی، نقاط ضعف در پباده سازی و پیاده سازی قابل انعطافافزارهای پایین اینترنت را مقصود میگیرد. به این ترتیب امنیت لایههای مختلفی داراست که بکارگیری هرمورد از امکانات امنیتی، سازمان را در قبال نوع خاصی از تهاجم ها و نفوذها ایمن میسازد. از جمله فایروالها که می توانند دشوارافزاری یا این که قابل انعطافافزاری باشند، از کانال در مقابل ترافیکهای ناخواسته نگهداری مینمایند و ترافیکهای ورودی و خروجی از یک درگاه (پورت) را چک کرده و مبتنی بر نوع شرایطی که برای آن تمجید میشود، اذن ورود یا این که خروج از آن را صادر مینمایند ولی نمیتوانند برنامه را در قبال حملاتی که با کدهای مخرب ساخت میگردد مانند SQL injection یا این که همت و حدس تعدادی باره واژه عبور یوزرها مراقبت نماید.
پباده سازی و تولید یک اپ کاربردی ذیل اینترنت امن فارغ از آشنایی تهدیدهای احتمالی که نرمافزار را به خطر میاندازد، قابلیتپذیر نخواهد بود. در یک نگاه کلی، مبانی و مفاهیم امنیت داده ها در اپ نویسی اینترنت به شرح ذیل میباشد:
زخمپذیری یک اپ کاربردی به یک استفاده کننده مخرب اذن می دهد تا از کانال یا این که صاحب خانه اینترنت افتتاح نماید. به این ترتیب برای ساختوساز یک نرم افزار کاربردی ذیل اینترنت امن، نیاز به به یک خط مش جامع امنیت برنامه میباشد که روی هر سه لایه اپ کاربردی، صاحبخانه اینترنت و کانال اعمال گردد.
مبانی و مفاهیم امنیت داده ها
مبانی امنیت مشتمل بر احراز نامونشان [۱]، اعطای حق دسترسی[۲]، حسابرسی [۳]، محرمانگی[۴]، صدق[۵] و دسترسپذیری[۶] میباشد که درپی تشریح میگردند:
احراز نامونشان
«احراز نام و نشان» بدین پرسش اشاره اعطا کرد که شما چه کسی میباشید؟ احراز نامونشان مراحل شناسایی منحصر خدمت گیرندههای اپلیکیشن کاربردی میباشد که ممکن میباشد یوزرها آخرین یا این که بقیه خدمتها و فرایندهای نرم افزارنویسی باشند.
اعطای حق دسترسی
«اعطای حق دسترسی» بدین پرسش اشاره داراست که شما چه کاری میتوانید انجام دهید؟ اعطای حق دسترسی فرایندی میباشد که در آن، منابع و عملیاتی که یوزرها احراز نام و نشان گردیده اذن دسترسی به آنانرا دارا هستند، مدیر می شود. منابع مشتمل بر پوشهها، مقرهای داده، جداول، سطرها و غیره میباشد. عملیات میتواند دربرگیرنده انجام یک تراکنش مانند خرید یک جنس یا این که انتقال وجه از یک اکانت به اکانت دیگر باشد.
حسابرسی
«حسابرسی» و رویدادنگاری، کلید عدم انکار [۷] میباشد. عدم انکار به این معناست که یک استفاده کننده نمیتواند انجام کاری یا این که استارت یک تراکنش را در سیستم انکار نماید.
محرمانگی
«محرمانگی» که از آن به «اطراف محرمانه» نیز حافظه میگردد، فرآیند حصول اطمینان از این میباشد که دادهها خصوصی و محرمانه میمانند و به وسیله کاربرانی که جواز ندارند یا این که استراق سمعکنندگانی که به ترافیک کانال چک مینمایند، چشم نمیشوند. رمزگذاری اکثر اوقات چهت نیل بدین مقصود به عمل گرفته میشود. لیست در اختیار گرفتن دسترسی (ACL) نیز ابزار دیگری میباشد که به همین مراد به کار گیری می گردد.
صدق
«درستی» تضمینکننده این میباشد که دادهها از هر سیرتکامل تغییر تحول عمدی یا این که تصادفی مراقبت می گردند. «درستی» داده از اهمیت ویژهای به خصوص زمانی روی کانال مبادله می گردد برخورداراست. «صدق» داده هنگام نقل و انتقال عمدتا بوسیله طرزهای Hashing یا این که کدهای احراز نام و نشان پیام آماده می گردند.
دسترسپذیری
از منظر امنیت، «دسترسپذیری» یعنی اینکه سیستم برای یوزرها دارای اعتبار در دسترس باشد. مقصود بخش اعظمی از مهاجمان با تهاجم ها از نوع انکار سرویس این میباشد که اپ کاربردی سقوط نماید تا مطمئن شوند که یوزرها دیگر نمیتوانند به اپلیکیشن دسترسی داشته باشند. ۱۵
اهمیت امنیت در اپهای کاربردی زیر اینترنت
یکیاز اصول مهمی که همواره توصیه می شود در فاز پباده سازی اپلیکیشن کاربردی در لحاظ گرفته خواهد شد، «سبکسازی تهدید» میباشد. غرض سبکسازی تهدید این میباشد که پباده سازی و معماری نرمافزار کاربردی را نظارت کرده و ناحیههایی که پتانسیل جراحتپذیری دارا هستند را معین نماید.» جراحتپذیری در کانال به یک استفاده کننده مخرب اذن میدهد تا از صاحب خانه اینترنت یا این که یک اپلیکیشن کاربردی بهره برداری نماید.«زخمپذیری صاحب خانه اینترنت به یک استفاده کننده مخرب اذن می دهد تا از یک کانال یا این که یک اپلیکیشن کاربردی بهره برداری نماید.» «زخمپذیری یک نرمافزار کاربردی به یک استفاده کننده مخرب اذن میدهد تا از کانال یا این که صاحبخانه اینترنت افتتاح نماید.»[۸] بدین ترتیب برای ساخت و ساز یک نرم افزار کاربردی پایین اینترنت امن، نیاز به به یک راه جامع امنیت برنامه میباشد که روی هر سه لایه نرم افزار کاربردی، صاحبخانه اینترنت و کانال اعمال گردد.
مبتنی بر آخری گزارشهای منتشرشده به وسیله کنسرسیوم در بین المللی «امنیت در اپی کاربردی اینترنت» OWASP، بیشترین تهاجم ها به قابل انعطافافزارهای پایین اینترنت عبارتند از Cross-site scripting، SQL injection و Denial-of-service میباشد. چنانچه فهرست بیشترین مسائل و ایرادات امنیتی اپلیکیشنهای کاربردی ذیل اینترنت را مرور و بررسی کنیم الگویی از خطاها را شاهد خوا هیم بود که با دستهبندی آنها در مجموعههای مشخص و معلوم میقدرت به صورت سیستماتیک با آنان تقابل کرد. این طبقهبندیها که تحت عنوان چارچوبی هنگام چک امنیت قابل انعطافافزارهای کاربردی پایین اینترنت گزینه به کارگیری قرار می گیرند، عبارتند از:
اعتبارسنجی ورودیها، احراز نام و نشان، اعطای جواز، رئیس تنظیمات، دادههای حساس، مدیر گردهمایی، کد گذاری، ویرایش پارامترها، مدیر ایرادات، ممیزی و رویدادنگاری.
امنیت نیز مانند اکثری از جنبههای مهندسی نرم افزار، بر خط مش بر طبق اصول پایدار میباشد که اصول شالوده آن سوای در لحاظ تصاحب کردن نوع فناوری پیادهسازی اپلیکیشن می تواند به فعالیت گرفته خواهد شد. مهمترین این اصول عبارتند از :
نصیببندی[۹]: با قسمتبندی نرم افزار سطحی از اپ که ممکن میباشد آیتم حمله قرار بگیرد کاهش می یابد. از خویش بپرسید درصورتیکه یک مهاجم به سیستم دسترسی پیدا کرد به چه منابعی دسترسی خواهد داشت؟ آیا مهاجم می تواند به منابع کانال دسترسی پیدا نماید؟ به چه شکل پتانسیل فساد اپ را محدود میکنید؟ فایروال و اعطای دستکم جواز دسترسی مصداق هایی از این اصل میباشند.
به کارگیری از دست کم امتیاز[۱۰]: با اجرای فرایندها به وسیله اکانتهای کاربری با دستکم دستمزد دسترسیها و امتیازها قابلیت دسترسی مهاجمان به اجرای کدها کاهش مییابد.
دفاع در عمق [۱۱]: بدین معنا که به یک لایه امنیت اکتفا نشود.
اعتماد نکردن به ورودی استفاده کننده: ورودی یوزرها نرم افزار اولی سلاح مهاجمان میباشد. فرض فرمائید مدام دادههای ورودی یوزرها مخرب میباشند مگر اینکه مغایر آن ثابت گردد.
در دست گرفتن دروازهها [۱۲]: مطلقا در اولی ورودی یوزرها احراز نام و نشان شوند.
باخت امن [۱۳]: در شرایطی که اپلیکیشن کاربردی از فعالیت بیفتد دادههای حساس در دسترس قرار نگیرند.
ضعیفترین رابطه امن گردد [۱۴]: در شرایطیکه در سطح کانال، صاحب خانه اینترنت یا این که نرم افزار کاربردی زخمپذیری وجود دارااست، امن خواهد شد.
پیشفرضهای امن: اکانتهای کاربری پیش فرض امن و با دست کم دسترسی و به صورت پیش فرض غیر فعال باشند.
کاهش سطح تماس با مهاجمان[۱۵]: در شرایطی که چیزی را به کار گیری نمی کنید، آن غیر فعال یا این که حذف فرمائید.
لزوم بهکارگیری امتحانهای استاندارد امنیت
تعداد تهاجم ها به قابل انعطافافزارهای پایین اینترنت رو به ارتقا میباشد. آن ها مستقیما از ورودیهای دور و اطراف با به کار گیری از پروتکل http عبور مینمایند. استعمال سبکهای دژهای عادی و توکل به ابزارهایی مانند فایروال و دفاع از صاحب خانه اینترنت به تنهایی کفاف نمی دهد. امن کردن برنامه زیر اینترنت مشتمل بر اعمال امنیت در سه لایه کانال، صاحب خانه و اپ کاربردی میباشد. امنیت کانال و زیرساخت صاحب خانه اینترنت یک زور میباشد. افزون بر آن، پباده سازی و ایجاد نرم افزار کاربردی نیز بایستی با به کار گیری از سبکها، پباده سازی و اصول پیاده سازی امن صورت بپذیرد.
ولی با وجود مجموع کوششهای اپنویسان و طراحان اپ، بعضی وقتها ممکن میباشد حفرههای امنیتیای ساخت خواهد شد که از نگاه اپنویس مخفی باقیمانده و برای رفع آنان اقدامی شکل نگرفته میباشد. شایسته ترین رویکرد یافتن این قبیل ایرادات امنیتی برنامه این میباشد که ذیل امتحانهای استاندارد امنیت قرار بگیرد و از جنبههای گوناگون برای مثال آزمایش نفوذ در ناحیههای احراز نامونشان، معماری سیستم، حقوق و دستمزد دسترسی، ذخیره و بازیابی داده ها، رد پای عملیات و اتفاق ها و بقیه حمله ها گزینه تحلیل قرار گیرد.
در کشور ایران نیز آزمایشگاههای مختلفی امتحانهای آزمایش نفوذ و امنیت قابل انعطافافزارهای زیر اینترنت را بر طبق استانداردهای میان المللی انجام می دهند. در آزمایشگاه امنیت، عملیات نظارت تولیدات قابل انعطافافزاری در سطح ها متعدد اجرا می شود و در شکل موففیت آمیز بودن تمامی موادتشکیل دهنده امنیتی مرتبط با هر سطح، گواهینامه مربوط بوسیله راءس صادر گردد.
امنیت در راهکارهای پایین اینترنت همیاران سیستم
کمپانی همیاران سیستم همواره امنیت را در پباده سازی و پیادهسازی محصول ها خویش حیث نموده است. در ایجاد راهکاران همیاران سیستم که ERP این مجموعه میباشد، اصول و مبانی امنیت به طور کاملً رعایت شدهاست. جهت کسب اطلاعات دراین خصوص می توانید شیت ویژگی ها فنی راهکاران را مطالعه فرمایید.
کالا اتوماسیون اداری ذیل اینترنت همیاران سیستم نیز تحت عنوان یک اپ کاربردی پایین اینترنت توانسته میباشد امتحانهای امنیت را پشت رمز گذارده و گواهینامه امنیت و نشان کیفیت را از راءس پژوهش ها صنعت های انفورماتیک اخذ نماید. همچنین توانسته میباشد مدرک تاییدیه قابل انعطافافزارهای PKE را نیز از راس صادر شدن سند الکترونیکی ریشه در حوزه امضای دیجیتال کسب نماید.
2020-10-24 16:17
nice!(0)
コメント(0)
コメント 0