تبلیغات
مهندسی کامپیوتر و فناوری اطلاعات(it) دانشگاه پیام نور گچساران

مهندسی کامپیوتر و فناوری اطلاعات(it) دانشگاه پیام نور گچساران
 
نویسندگان
نظر سنجی
از دانشگاه پیام نور راضی هستید؟



  امروزه با پیشرفت علم و تکنولوژی های مختلف، مخصوصاً موارد مرتبط با سیستم های کامپیوتری، سطح جدیدی از زندگی برای مردم به وجود آمده است. با پیشرفت تکنولوژی در زمینه ارتباطات و فناوری اطلاعات، سیستم های ارائه دهنده خدمات، جایگزین خدمات مبتنی بر انسان شده اند. از جمله بارزترین این نوع خدمات می توان به ارائه خدمات در قالب دولت الکترونیکی اشاره کرد. سازمان ها و ادارات اعم از دولتی و غیر دولتی، سعی در ارائه خدمات به مشتریان (ارباب رجوع) از راه دور دارند. بهترین روش برای ارائه این نوع از خدمات، ارائه سرویس های مورد نیاز بر بستر شبکه (اینترنت ویا اینترانت) است. در این جایگاه است که تولید برنامه ها به صورت تحت وب بهترین راه حل برای ارائه خدمت می باشد. برنامه های تحت وب به علت عدم وابستگی به سامانه های سمت کاربر، به صورت مستقل و با سرعت بالایی قابل ارائه هستند. در این نوع از برنامه ها، کاربران ملزم به داشتن سیستم های رایانه ای خاص نمی باشند. به عنوان مثال بسیاری از خدمات تحت وب از طریق گوشی های تلفن همراه قابل دسترس اند. کاربران مختلف برای استفاده از این خدمات تنها ملزم به داشتن یک مرورگر      (سازگار با برنامه تحت وب مورد نظر) و اتصال شبکه می باشند. متمرکز بودن سیستم، امکان مدیریت متمرکز، دسترسی 24 ساعته، عدم نیاز به سیستم های پیشرفته برای کاربران و ... باعث شده است تا سازمان های ارائه دهنده خدمات نیز رقبت بیشتری برای ارائه خدمت خود در این بستر داشته باشند. با توجه به تمام موارد گفته شده، اهمیت استفاده از این سیستم ها مشخص شده است. برنامه های کاربردی تحت وب به زبان های برنامه نویسی مختلفی از قبیل ASP Classic، ASP.NET، PHP، Java و ... تولید می شوند. استفاده از سیستم های رایانه ای به بخشی از زندگی ما تبدیل شده اند. خرید ها و پرداخت های اینترنتی، تحصیل الکترونیکی و دولت الکترونیک تنها نمونه هایی از این موارد است. همراه با تغییر سبک زندگی مردم عادی به سمت زندگی الکترونیکی، تغییر فعالیت خرابکاران و سارقان از حوزه دنیای واقعی به دنیای مجازی امری واضح است. اما جایگاه امنیت اطلاعات در برنامه های کاربردی تحت وب کجاست؟

 از یک سو به دلیل متمرکز بودن این سبک از بنامه ها که منجر به عدم دسترسی کاربران به منبع (Source) نرم افزار می شود، شاید این تصور پیش آید که امنیت این برنامه ها بیشتر از برنامه های رومیزی (Desktop Application) است، اما حقیقت خلاف این مطلب را ثابت می کند.

در برنامه های کاربردی تحت وب، به علت متمرکز بودن پایگاه های داده مورد استفاده، انگیزه نفوذ هکر ها بیشتر از موارد دیگر است. همچنین به دلیل عدم توجه بسیاری از برنامه نویسان، خطاهای مختلف کدنویسی و منطقی مختلفی با درجه خطر های زیاد، متوسط و کم، در برنامه ها به وجود می آید. در برنامه های رومیزی به علت وجود نرم افزار های امنیتی از قبیل آنتی ویروس، فایروال، سیستم های مجازی سازی و... ریسک سوء استفاده از این آسیب پذیری ها برای بدست آوردن اطلاعات کاربران نهایی قابل قبول به نظر می رسد، حال آنکه در برنامه های کاربردی تحت وب تمامی موارد در یک جا متمرکز شده است و عدم توجه برنامه نویسان و مدیران سیستم می تواند گاهاً خسارات جبران ناپذیری را وارد آورد.

همواره واژه امنیت شبکه، تست امنیت شبکه و کلمات مشابه را زیاد می شنویم. اما با توجه به موارد گفته شده امنیت در کدام لایه از اهمیت بیشتری برخوردار است؟

باتوجه به لیست هزینه های سازمان های مختلف می توان به این موضوع پی برد که بیشترین هزینه برای پیاده سازی امنیت در بخش های مرتبط با شبکه های رایانه ای انجام می پذیرد و  اکثر مدیران IT و مدیران بخش امنیت اطلاعات بودجه این بخش را صرف خریداری سخت افزار های امنیتی مربوط به امنیت شبکه مانند UTMهای امنیتی، فایروال ها، سیستم های تشخیص و جلوگیری از نفوذ و ... می کنند. با گشتی در اینترنت می توانید از قیمت های بالای این سیستم ها با خبر شوید. سیستم ها و دستگاه های چند ده میلیونی که قرار است آرامش خاطر و امنیت را برای ما فراهم می کنند. اما حقیقت چیز دیگریست. به جرعت می توان گفت که امنیت در لایه ای بالاتر، یعنی برنامه های کاربردی، با اهمیت تر است. در بسیاری از مواقع با خرید و تجهیز شبکه های رایانه ای دستیابی نفوذگران و خرابکاران اینترنتی به شبکه ها غیر ممکن می شود، اما در پس پرده اتفاقات دیگری در جریان است. سازمانی را تصور کنید که سرور وب آن در داخل سازمان است. اگر یک هکر به آن سیستم نفوذ کرده و دسترسی های لازم را کسب نماید، به عنوان یک کاربر (node) در شبکه محسوب می شود. با این توصیفات هزینه های چند ده میلیونی سازمان برای خرید و تجهیز فایروال ها و سایر سیستم ها عملاً بی فایده بوده و موارد امنیتی تعبیه شده به اصطلاح Bypass (دور زده) شده اند. اتفاقات خرابکارانه بعد از این فاز برای همه ما قابل تصور است. به تصویر زیر توجه کنید:

همانطور که در تصویر فوق مشاهده می شود، هر کدام از لایه های امنیتی بخشی از حملات را دفع می کنند (البته برای هرکدام از این موارد نیز راه های دور زدن یا به اصطلاح Bypass نیز وجود دارد که حوصله بحث خارج است). اما برای ارائه سرویس همواره یک راه دسترسی بایستی به برنامه تحت وب وجود داشته باشد (حفره موجود در دیواره ها). همانطور که مشاهده می کنید در صورتی که صحبتی از راه های دورزدن هریک از این لایه های امنیتی هم نزنیم، بسیاری از این حملات (تصویر فوق به صورت کلی است و تعداد محدودی از حملات را نشان می دهد که نماینده ای از یک خانواده از حملات می باشند) توسط این لایه های امنیتی دفع نمی شوند. 

نفوذگران با استفاده از نقطه ضعف های امنیتی موجود می‌توانند حملاتی را ترتیب دهند که نتایجی همچون منع خدمت و سرویس دهی، تغییر، سرقت و یا جعل اطلاعات شود.

با توجه به تمامی موارد گفته شده، اهمیت بحث امنیت اطلاعات در برنامه های کاربردی تحت وب روشن است، با همه این توصیفات چه باید کرد؟

در بخش بعدی و در ادامه مجموعه مباحث امنیت برنامه های کاربردی تحت وب، به ادامه بحث اهمیت هزینه ها و راهکار های مطرح در این زمینه خواهیم پرداخت.

امروزه با پیشرفت علم و تکنولوژی های مختلف، مخصوصاً موارد مرتبط با سیستم های کامپیوتری، سطح جدیدی از زندگی برای مردم به وجود آمده است. با پیشرفت تکنولوژی در زمینه ارتباطات و فناوری اطلاعات، سیستم های ارائه دهنده خدمات، جایگزین خدمات مبتنی بر انسان شده اند. از جمله بارزترین این نوع خدمات می توان به ارائه خدمات در قالب دولت الکترونیکی اشاره کرد. سازمان ها و ادارات اعم از دولتی و غیر دولتی، سعی در ارائه خدمات به مشتریان (ارباب رجوع) از راه دور دارند. بهترین روش برای ارائه این نوع از خدمات، ارائه سرویس های مورد نیاز بر بستر شبکه (اینترنت ویا اینترانت) است. در این جایگاه است که تولید برنامه ها به صورت تحت وب بهترین راه حل برای ارائه خدمت می باشد. برنامه های تحت وب به علت عدم وابستگی به سامانه های سمت کاربر، به صورت مستقل و با سرعت بالایی قابل ارائه هستند. در این نوع از برنامه ها، کاربران ملزم به داشتن سیستم های رایانه ای خاص نمی باشند. به عنوان مثال بسیاری از خدمات تحت وب از طریق گوشی های تلفن همراه قابل دسترس اند. کاربران مختلف برای استفاده از این خدمات تنها ملزم به داشتن یک مرورگر      (سازگار با برنامه تحت وب مورد نظر) و اتصال شبکه می باشند. متمرکز بودن سیستم، امکان مدیریت متمرکز، دسترسی 24 ساعته، عدم نیاز به سیستم های پیشرفته برای کاربران و ... باعث شده است تا سازمان های ارائه دهنده خدمات نیز رقبت بیشتری برای ارائه خدمت خود در این بستر داشته باشند. با توجه به تمام موارد گفته شده، اهمیت استفاده از این سیستم ها مشخص شده است. برنامه های کاربردی تحت وب به زبان های برنامه نویسی مختلفی از قبیل ASP Classic، ASP.NET، PHP، Java و ... تولید می شوند. استفاده از سیستم های رایانه ای به بخشی از زندگی ما تبدیل شده اند. خرید ها و پرداخت های اینترنتی، تحصیل الکترونیکی و دولت الکترونیک تنها نمونه هایی از این موارد است. همراه با تغییر سبک زندگی مردم عادی به سمت زندگی الکترونیکی، تغییر فعالیت خرابکاران و سارقان از حوزه دنیای واقعی به دنیای مجازی امری واضح است. اما جایگاه امنیت اطلاعات در برنامه های کاربردی تحت وب کجاست؟

 از یک سو به دلیل متمرکز بودن این سبک از بنامه ها که منجر به عدم دسترسی کاربران به منبع (Source) نرم افزار می شود، شاید این تصور پیش آید که امنیت این برنامه ها بیشتر از برنامه های رومیزی (Desktop Application) است، اما حقیقت خلاف این مطلب را ثابت می کند.

در برنامه های کاربردی تحت وب، به علت متمرکز بودن پایگاه های داده مورد استفاده، انگیزه نفوذ هکر ها بیشتر از موارد دیگر است. همچنین به دلیل عدم توجه بسیاری از برنامه نویسان، خطاهای مختلف کدنویسی و منطقی مختلفی با درجه خطر های زیاد، متوسط و کم، در برنامه ها به وجود می آید. در برنامه های رومیزی به علت وجود نرم افزار های امنیتی از قبیل آنتی ویروس، فایروال، سیستم های مجازی سازی و... ریسک سوء استفاده از این آسیب پذیری ها برای بدست آوردن اطلاعات کاربران نهایی قابل قبول به نظر می رسد، حال آنکه در برنامه های کاربردی تحت وب تمامی موارد در یک جا متمرکز شده است و عدم توجه برنامه نویسان و مدیران سیستم می تواند گاهاً خسارات جبران ناپذیری را وارد آورد.

همواره واژه امنیت شبکه، تست امنیت شبکه و کلمات مشابه را زیاد می شنویم. اما با توجه به موارد گفته شده امنیت در کدام لایه از اهمیت بیشتری برخوردار است؟

باتوجه به لیست هزینه های سازمان های مختلف می توان به این موضوع پی برد که بیشترین هزینه برای پیاده سازی امنیت در بخش های مرتبط با شبکه های رایانه ای انجام می پذیرد و  اکثر مدیران IT و مدیران بخش امنیت اطلاعات بودجه این بخش را صرف خریداری سخت افزار های امنیتی مربوط به امنیت شبکه مانند UTMهای امنیتی، فایروال ها، سیستم های تشخیص و جلوگیری از نفوذ و ... می کنند. با گشتی در اینترنت می توانید از قیمت های بالای این سیستم ها با خبر شوید. سیستم ها و دستگاه های چند ده میلیونی که قرار است آرامش خاطر و امنیت را برای ما فراهم می کنند. اما حقیقت چیز دیگریست. به جرعت می توان گفت که امنیت در لایه ای بالاتر، یعنی برنامه های کاربردی، با اهمیت تر است. در بسیاری از مواقع با خرید و تجهیز شبکه های رایانه ای دستیابی نفوذگران و خرابکاران اینترنتی به شبکه ها غیر ممکن می شود، اما در پس پرده اتفاقات دیگری در جریان است. سازمانی را تصور کنید که سرور وب آن در داخل سازمان است. اگر یک هکر به آن سیستم نفوذ کرده و دسترسی های لازم را کسب نماید، به عنوان یک کاربر (node) در شبکه محسوب می شود. با این توصیفات هزینه های چند ده میلیونی سازمان برای خرید و تجهیز فایروال ها و سایر سیستم ها عملاً بی فایده بوده و موارد امنیتی تعبیه شده به اصطلاح Bypass (دور زده) شده اند. اتفاقات خرابکارانه بعد از این فاز برای همه ما قابل تصور است. به تصویر زیر توجه کنید:

همانطور که در تصویر فوق مشاهده می شود، هر کدام از لایه های امنیتی بخشی از حملات را دفع می کنند (البته برای هرکدام از این موارد نیز راه های دور زدن یا به اصطلاح Bypass نیز وجود دارد که حوصله بحث خارج است). اما برای ارائه سرویس همواره یک راه دسترسی بایستی به برنامه تحت وب وجود داشته باشد (حفره موجود در دیواره ها). همانطور که مشاهده می کنید در صورتی که صحبتی از راه های دورزدن هریک از این لایه های امنیتی هم نزنیم، بسیاری از این حملات (تصویر فوق به صورت کلی است و تعداد محدودی از حملات را نشان می دهد که نماینده ای از یک خانواده از حملات می باشند) توسط این لایه های امنیتی دفع نمی شوند. 

نفوذگران با استفاده از نقطه ضعف های امنیتی موجود می‌توانند حملاتی را ترتیب دهند که نتایجی همچون منع خدمت و سرویس دهی، تغییر، سرقت و یا جعل اطلاعات شود.

با توجه به تمامی موارد گفته شده، اهمیت بحث امنیت اطلاعات در برنامه های کاربردی تحت وب روشن است، با همه این توصیفات چه باید کرد؟

در بخش بعدی و در ادامه مجموعه مباحث امنیت برنامه های کاربردی تحت وب، به ادامه بحث اهمیت هزینه ها و راهکار های مطرح در این زمینه خواهیم پرداخت.




[ جمعه 11 شهریور 1390 ] [ 03:06 ق.ظ ] [ میثم خادمی ]
.: Weblog Themes By Iran Skin :.

درباره وبلاگ

آمار سایت
بازدیدهای امروز : نفر
بازدیدهای دیروز : نفر
كل بازدیدها : نفر
بازدید این ماه : نفر
بازدید ماه قبل : نفر
تعداد نویسندگان : عدد
كل مطالب : عدد
آخرین بروز رسانی :
بیدفا


Email Icon by Parstools.com Email Icon by Parstools.com این صفحه را به اشتراک بگذارید