مبانی نظری و پیشینه تحقیق برای فصل دوم پایان نامه بررسي سيستم مديريت امنيت اطلاعات و توصيف انواع خطرات تهديد كننده سيستم هاي اطلاعات

 ۲- ادبيات تحقيق

۲-۱- پيشينه تحقيق

اخذ گواهینامه ISMS ^[1]از سال ۸۷ به صورت جدی در دستور کار بسیاری از سازمان‌ها و شرکت‌ها و اکثر دستگاههای دولتی قرار گرفته است. مطالعات انجام شده توسط مراجع بین‌المللی نشان می‌دهد بیش از ۷۰% مشکلات امنیتی به دلایل غیر فنی بوده و عمدتا ناشی از مسائل مدیریتی است. لذا پیاده سازی استاندارد ISMS موجب ارتقا و بهبود مستمر امنیت اطلاعات در سازمانها می گردد. تاکنون تحقیقات خاص و عمیقی در رابطه با همگونی و همسازگاری سیستم های مدیریت امنیت با سرویسگرا در ایران صورت نگرفته و حتی مقالات و کتب در این رابطه و سازگاری پیاده سازی این دو سیستم و معماری باهم صحبتی به میان نیامده است.

در زمینه امنیت اطلاعات در معماری سرویس­گرا، پژوهش­های متعددی انجام شده است، از آن دسته می‎توان به دسترسی چارچوب کنترل امنیت هوشمند و معماری سرویس­گرا[۱]، مشکلات سرویس‎دهی وب در طراحی معماری سرویس­گرا [۲]، معماری سرویس­گرا برای امنیت سیستم شبکه همراه [۳]، امنیت و کاربرد آن در برنامه‎های معماری سرویس­گرا [۴] اشاره کرد؛ اما اکثر این مطالعات با یک رویکرد فنی و هر کدام تنها به یک جنبه خاص امنیت این معماری پرداخته‎اند و کمابیش هیچکدام با یک دید کلی و یک رویکرد سیستمی به بررسی این موضوع نپرداخته‎اند.

الیمنی و همکاران در پژوهشی با عنوان «دسترسی چارچوب کنترل امنیت هوشمند و معماری سرویس­گرا»، بیان کردند یکی از مشکلات بزرگ گسترش معماری سیستم‎گرا چالش‎های امنیتی موجود در آن است؛ چراکه مسئولیت امنیت SOA به هر دو گروه ارائه‎دهندگان و مصرف‎کنندگان، وابسته است. آنان معتقدند در سال­های اخیر، تلاش‎های زیادی برای رفع این نواقص انجام شده است که از آن دسته، دسترسی به استاندارهای امنیتی شبکه وب که شامل WS-Security^[2] و WS-Policy^[3]، بوده است. در این پژوهش یک چارچوب هوشمند امنیتی پیشنهاد شده است که شامل دو عامل مهم در زمینه دست‎یابی به امنیت است: ۱٫ احراز هویت و امنیت خدمات (NSS^[4]) و ۲٫ سرویس مختار. در این پژوهش از سه نوع مختلف داده‎کاوی استفاده شده است: ۱٫ قوانین انجمن که به پیش‎بینی حمله‎ها کمک می‎کند؛ ۲٫ مکعب پردازش تحلیلی برخط برای مجوز استفاده و ۳٫ الگوریتم کاوش استخراجی که دسترسی به کنترل نمایندگی حقوق و سیستم خودکار را فراهم می‎کند[۱].

یو و تائو (۲۰۱۲) در پژوهشی با عنوان «مشکلات سرویس‎دهی وب در طراحی معماری سرویس­گرا» بیان کرده‎اند که با توسعه جهانی استفاده از فناوری SOA، مسائل امنیتی خدمات تارنما (وب‎سایت) که بر اساس پلت‎فرم ناهمگون شکل گرفته‎اند، به‎طور فزاینده‎ای برجسته و مهم خواهد شد. در این پژوهش دو راهکار امنیتی برای خدمات سرویس‎دهی ارائه شده است. [۲]

روسادو و همکاران (۲۰۱۱) در مطالعه‎ای با موضوع معماری سرویس­گرا برای امنیت سیستم شبکه همراه بیان کردند که امنیت در سیستم‎های شبکه همراه، بسیار ضروری است؛ در حالی‎که تأمین امنیت این سیستم‎ها به‎دلیل کمبود منابع در این دستگاه­ها، سخت و پیچیده است. در این پژوهش برای حفظ امنیت این سیستم‎ها، از مدلی بر اساس طراحی معماری سرویس­گرا استفاده شده است. این مدل تا اندازه‎ای محدودیت­های دسترسی به امنیت شبکه­های تلفن همراه را برآورده می‎کند؛ اما نتایج پژوهش نشان می­دهد که این مدل به‎طور کامل راهگشا نبوده است [۳].

زو و همکاران  در سال ۲۰۱۰ در پژوهشی با عنوان «امنیت و کاربرد در برنامه­های معماری سرویس­گرا؛ موضوعات تجارتی»، معتقدند با پیشرفت کاربرد محاسبات و طراحی معماری سرویس­گرا و گسترش استفاده از این خدمات، از برنامه­های کاربردی زیادی با توسعه مؤلفه­های نرم­افزاری و شبکه­های استاندارد، استفاده خواهد شد. این برنامه­ها به لحاظ هزینه و پتانسیل تولید نسبی بالاتر، به‎وسیله طراحی معماری سرویس­گرا تعدیل خواهند شد و تنها مشکل موجود، تأمین امنیت کاربری این برنامه‎ها و شبکه­ها است. در این پژوهش از یک الگوریتم ژنتیک برای یافتن مجموعه­ای بهینه از خدماتی که از پروسه­های تجاری این خدمات پشتیبانی کند، استفاده شده است. آنها معتقدند که کاربرد این روش در آینده گسترده‎تر خواهد شد.[۴]

۲-۲-معماری سرویس گرا

در این بخش قصد داریم به معرفی معماری سرویس گرا بپردازیم. برای این منظور ابتدا مفاهیمی مانند سرویس و معماری سرویس­گرا را تعریف می کنیم. سپس به سایر مفاهیم این معماری و اصول و مشخصه­های آن خواهیم پرداخت. مزایای استفاده از این معماری در ادامه بیان خواهد شد و در پایان به معرفی مبحث سرویسهای وب و استانداردها و پروتکلهای آن خواهیم پرداخت.

۲-۲-۱- سرویس چیست؟

در دنیای اطراف ما، مفهوم سرویس یا خدمت بسیار معمول و متعارف و قدمت آن به اندازه تاریخ تمدن بشر است. هر شخص که کار معینی را انجام می دهد، سرویسی ارائه میدهد. هر گروه از افراد که با هم کار مشخصی را انجام می دهند نیز سرویسی را ارائه می دهند. یک سازمان که وظایفی را در ارتباط با اهداف خود دنبال می کند به نوبه خود سرویس ارائه می دهد. هرگاه وظیفه یا عملکردی که ارائه می شود خوش تعریف بوده و بتواند نسبتاً از سایر وظایف مستقل باشد می تواند بطور مشخص در رده سرویس ها قرار بگیرد. گاهی نیاز به آن است که گروهی از سرویس دهندگان برای ارائه یک سرویس بزرگتر با هم همکاری کنند. برای مثال یک شرکت پخش برای ارائه سرویس های خود، از سرویس های ارائه شده توسط فروشنده، حمل کننده، هماهنگ کننده و غیره استفاده می کند.[۵]

….

….