لینک دانلود و خرید پایین توضیحات
فرمت فایل word و قابل ویرایش و پرینت
تعداد صفحات: 126
اصول امنیت برنامه های وب اینترنت و به دنبال آن وب ، دنیای نرم افزار را دستخوش تحولات فراوانی نموده است . ظهور نسل جدیدی از برنامه های کامپیوتری موسوم به "برنامه های وب " از جمله این تحولات عظیم است . پس از ارائه سرویس وب در سال 1991، وب سایت های متعددی ایجاد گردید . اینگونه سایت ها به منظور ارائه اطلاعات به مخاطبان خود از صفحات وب ایستا استفاده می کردند . در چنین وب سایت هائی ، امکان تعامل کاربر با برنامه وجود نداشت .با توجه به این که رویکرد فوق با ماهیت و یا روح نرم افزار چندان سازگار نمی باشد ، تلاش های گسترده ای در جهت ایجاد محتویات پویا انجام و متعاقب آن ، فن آوری های متعددی ایجاد گردید . به عنوان نمونه ، با پیاده سازی فن آوری CGI ( برگرفته از Common Gateway Interface ) ، امکان استفاده از برنامه های خارجی به منظور تولید محتویات پویا فراهم گردید . بدین ترتیب ، کاربران قادر به درج اطلاعات و ارسال آنها برای یک برنامه خارجی و یا اسکریپت سمت سرویس دهنده شدند . برنامه موجود در سمت سرویس دهنده پس از دریافت اطلاعات و انجام پردازش های تعریف شده ، نتایج را تولید و آنها را برای کاربر ارسال می نمود .رویکرد فوق ، به عنوان نقطه عطفی در برنامه های وب تلقی می گردد چراکه برای اولین مرتبه امکان تولید محتویات پویا در وب سایت ها فراهم گردید . از آن زمان تاکنون فن آوری های متعددی به منظور تولید برنامه های وب ایجاد شده است . PHP و ASP.NET نمونه هائی در این زمینه می باشند . صرفنظر از این که از کدام فن آوری به منظور ایجاد برنامه های وب استفاده می گردد ، ایمن سازی آنان از جمله اهداف مشترک تمامی پیاده کنندگان است .
امنیت برنامه های وب و برداشت های اولیه زمانی که در رابطه با امنیت برنامه های وب سخن به میان می آید ، تهاجم علیه یک سایت ، سرقت کارت های اعتباری ، بمباران وب سایت ها در جهت مستاصل کردن آنان به منظور ارائه خدمات و سرویس های تعریف شده ، ویروس ها ، تروجان ها ، کرم ها و ... در ذهن تداعی می گردد . صرفنظر از نوع برداشت ما در رابطه با موارد فوق ، می بایست بپذیریم که تهدیدات امنیتی متعددی متوجه برنامه های وب با توجه به ماهیت آنان می باشد . سازمان ها و یا موسساتی که از اینگونه برنامه ها استفاده می نمایند و یا در صدد طراحی و پیاده سازی آنان می باشند ، می بایست به این نکته مهم توجه نمایند که ایمن سازی یک برنامه وب ، محدود به بکارگیری یک فن آوری خاص نبوده و فرآیندی است مستمر که عوامل انسانی و غیرانسانی متعددی می توانند بر روی آن تاثیرگذار باشند .
امنیت برنامه های وب را می بایست با توجه به نوع معماری و رفتار آنان بررسی نمود .
برداشت های غیرواقعی از امنیت برنامه های وب متاسفانه به دلیل عدم شناخت لازم در خصوص ماهیت برنامه های وب از یک طرف و از سوی دیگر عدم آشنائی لازم با مفاهیم امنیت ، شاهد برداشت های نادرست در خصوص امنیت برنامه های وب می باشیم . اجازه دهید به چند نمونه در این خصوص اشاره نمائیم :
ما ایمن هستیم چون از یک فایروال استفاده می نمائیم . این تصور کاملا" اشتباه است و به نوع تهدید بستگی خواهد داشت . مثلا" یک فایروال قادر به تشخیص داده ورودی مخرب جهت ارسال به یک برنامه وب نمی باشد . فایروال ها دارای عملکردی قابل قبول در رابطه با اعمال محدودیت بر روی پورت ها می باشند و برخی از آنان می توانند همزمان با بررسی اطلاعات مبادله شده ، امکانات برجسته حفاظتی را ارائه نمایند . فایروال ها جزء لاینفک در یک فریمورک امنیتی می باشند ولی نمی توان آنان را به عنوان یک راهکار جامع به منظور ایجاد و برپائی یک محیط ایمن در نظر گرفت .
ما ایمن هستیم چون از SSL ( برگرفته ازSecure Sokets Layer ) استفاده می نمائیم . SSL برای رمزنگاری ترافیک موجود بر روی شبکه یک گزینه ایده آل است ولی قادر به بررسی داده ورودی یک برنامه نمی باشد .
ما ایمن هستیم چون از سیستم عاملی استفاده می نمائیم که نسبت به سایر سیستم های عامل دارای امنیت بیشتری است . استدلال فوق با فرض درست بودن اصل قضیه ، نادرست و غیرمنطقی است چراکه امنیت یک فرآیند است نه یک محصول . بنابراین با بکارگیری یک محصول خاص ( به عنوان نمونه یک سیستم عامل ) نمی توان این ادعا را داشت که ما به یک محیط ایمن به منظور ایجاد برنامه های وب دست یافته ایم .
با رد امنیت یک سیستم عامل نمی توان امنیت یک سیستم عامل دیگر را تائید نمود. ( من خوبم چون شما بد هستید ! )
امنیت چیست ؟ اولین رسالت امنیت ، حفاظت از سرمایه های یک سازمان است که ممکن است شامل آیتم های ملموسی نظیر یک صفحه وب و یا بانک اطلاعاتی مشتریان و یا آیتم های غیرملموسی نظیر شهرت و اعتبار یک سازمان باشد. امنیت یک مسیر است نه یک مقصد و به موازات تجزیه و تحلیل زیرساخت و برنامه های موجود ، می بایست اقدام به شناسائی تهدیدات و خطرات ناشی از آنان نمود . در واقع ، امنیت به مدیریت خطرات و پیاده سازی یک سیستم به منظور پاسخگوئی و مقابله با تهدیدات اشاره داشته و در ارتباط با عتاصر کلیدی زیر است :
Authentication ، فرآیندی است که به کمک آن به صورت منحصربفرد سرویس گیرندگان یک برنامه شناسائی می گردند . کاربران ، سرویس ها ، فرآیندها و کامپیوترها ، نمونه هائی از سرویس گیرندگان یک برنامه می باشند . در واقع ، authentication هویت استفاده کنندگان یک برنامه را بررسی می نماید .
Authorization ، فرآیندی است که به کمک آن دستیابی سرویس گیرندگان تائید شده به منابع و عملیاتی که قصد انجام آن را دارند بررسی و مجوز لازم صادر می گردد. فایل ها ، بانک های اطلاعاتی ، جداول ، سطرها ، منابع موجود در سطح سیستم نظیر کلیدهای ریجتسری و داده پیکربندی ، نمونه هائی از منابع مورد درخواست سرویس گیرندگان می باشند . انجام تراکنش هائی خاص نظیر خرید یک محصول ، واریز و انتقال پول از یک حساب به حساب دیگر و یا افزایش اعتبار یک کارت اعتباری از جمله عملیاتی می باشند که می بایست مجوز استفاده از آنان برای سرویس گیرندگان صادر گردد . در واقع ،
لینک دانلود و خرید پایین توضیحات
فرمت فایل word و قابل ویرایش و پرینت
تعداد صفحات: 126
اصول امنیت برنامه های وب اینترنت و به دنبال آن وب ، دنیای نرم افزار را دستخوش تحولات فراوانی نموده است . ظهور نسل جدیدی از برنامه های کامپیوتری موسوم به "برنامه های وب " از جمله این تحولات عظیم است . پس از ارائه سرویس وب در سال 1991، وب سایت های متعددی ایجاد گردید . اینگونه سایت ها به منظور ارائه اطلاعات به مخاطبان خود از صفحات وب ایستا استفاده می کردند . در چنین وب سایت هائی ، امکان تعامل کاربر با برنامه وجود نداشت .با توجه به این که رویکرد فوق با ماهیت و یا روح نرم افزار چندان سازگار نمی باشد ، تلاش های گسترده ای در جهت ایجاد محتویات پویا انجام و متعاقب آن ، فن آوری های متعددی ایجاد گردید . به عنوان نمونه ، با پیاده سازی فن آوری CGI ( برگرفته از Common Gateway Interface ) ، امکان استفاده از برنامه های خارجی به منظور تولید محتویات پویا فراهم گردید . بدین ترتیب ، کاربران قادر به درج اطلاعات و ارسال آنها برای یک برنامه خارجی و یا اسکریپت سمت سرویس دهنده شدند . برنامه موجود در سمت سرویس دهنده پس از دریافت اطلاعات و انجام پردازش های تعریف شده ، نتایج را تولید و آنها را برای کاربر ارسال می نمود .رویکرد فوق ، به عنوان نقطه عطفی در برنامه های وب تلقی می گردد چراکه برای اولین مرتبه امکان تولید محتویات پویا در وب سایت ها فراهم گردید . از آن زمان تاکنون فن آوری های متعددی به منظور تولید برنامه های وب ایجاد شده است . PHP و ASP.NET نمونه هائی در این زمینه می باشند . صرفنظر از این که از کدام فن آوری به منظور ایجاد برنامه های وب استفاده می گردد ، ایمن سازی آنان از جمله اهداف مشترک تمامی پیاده کنندگان است .
امنیت برنامه های وب و برداشت های اولیه زمانی که در رابطه با امنیت برنامه های وب سخن به میان می آید ، تهاجم علیه یک سایت ، سرقت کارت های اعتباری ، بمباران وب سایت ها در جهت مستاصل کردن آنان به منظور ارائه خدمات و سرویس های تعریف شده ، ویروس ها ، تروجان ها ، کرم ها و ... در ذهن تداعی می گردد . صرفنظر از نوع برداشت ما در رابطه با موارد فوق ، می بایست بپذیریم که تهدیدات امنیتی متعددی متوجه برنامه های وب با توجه به ماهیت آنان می باشد . سازمان ها و یا موسساتی که از اینگونه برنامه ها استفاده می نمایند و یا در صدد طراحی و پیاده سازی آنان می باشند ، می بایست به این نکته مهم توجه نمایند که ایمن سازی یک برنامه وب ، محدود به بکارگیری یک فن آوری خاص نبوده و فرآیندی است مستمر که عوامل انسانی و غیرانسانی متعددی می توانند بر روی آن تاثیرگذار باشند .
امنیت برنامه های وب را می بایست با توجه به نوع معماری و رفتار آنان بررسی نمود .
برداشت های غیرواقعی از امنیت برنامه های وب متاسفانه به دلیل عدم شناخت لازم در خصوص ماهیت برنامه های وب از یک طرف و از سوی دیگر عدم آشنائی لازم با مفاهیم امنیت ، شاهد برداشت های نادرست در خصوص امنیت برنامه های وب می باشیم . اجازه دهید به چند نمونه در این خصوص اشاره نمائیم :
ما ایمن هستیم چون از یک فایروال استفاده می نمائیم . این تصور کاملا" اشتباه است و به نوع تهدید بستگی خواهد داشت . مثلا" یک فایروال قادر به تشخیص داده ورودی مخرب جهت ارسال به یک برنامه وب نمی باشد . فایروال ها دارای عملکردی قابل قبول در رابطه با اعمال محدودیت بر روی پورت ها می باشند و برخی از آنان می توانند همزمان با بررسی اطلاعات مبادله شده ، امکانات برجسته حفاظتی را ارائه نمایند . فایروال ها جزء لاینفک در یک فریمورک امنیتی می باشند ولی نمی توان آنان را به عنوان یک راهکار جامع به منظور ایجاد و برپائی یک محیط ایمن در نظر گرفت .
ما ایمن هستیم چون از SSL ( برگرفته ازSecure Sokets Layer ) استفاده می نمائیم . SSL برای رمزنگاری ترافیک موجود بر روی شبکه یک گزینه ایده آل است ولی قادر به بررسی داده ورودی یک برنامه نمی باشد .
ما ایمن هستیم چون از سیستم عاملی استفاده می نمائیم که نسبت به سایر سیستم های عامل دارای امنیت بیشتری است . استدلال فوق با فرض درست بودن اصل قضیه ، نادرست و غیرمنطقی است چراکه امنیت یک فرآیند است نه یک محصول . بنابراین با بکارگیری یک محصول خاص ( به عنوان نمونه یک سیستم عامل ) نمی توان این ادعا را داشت که ما به یک محیط ایمن به منظور ایجاد برنامه های وب دست یافته ایم .
با رد امنیت یک سیستم عامل نمی توان امنیت یک سیستم عامل دیگر را تائید نمود. ( من خوبم چون شما بد هستید ! )
امنیت چیست ؟ اولین رسالت امنیت ، حفاظت از سرمایه های یک سازمان است که ممکن است شامل آیتم های ملموسی نظیر یک صفحه وب و یا بانک اطلاعاتی مشتریان و یا آیتم های غیرملموسی نظیر شهرت و اعتبار یک سازمان باشد. امنیت یک مسیر است نه یک مقصد و به موازات تجزیه و تحلیل زیرساخت و برنامه های موجود ، می بایست اقدام به شناسائی تهدیدات و خطرات ناشی از آنان نمود . در واقع ، امنیت به مدیریت خطرات و پیاده سازی یک سیستم به منظور پاسخگوئی و مقابله با تهدیدات اشاره داشته و در ارتباط با عتاصر کلیدی زیر است :
Authentication ، فرآیندی است که به کمک آن به صورت منحصربفرد سرویس گیرندگان یک برنامه شناسائی می گردند . کاربران ، سرویس ها ، فرآیندها و کامپیوترها ، نمونه هائی از سرویس گیرندگان یک برنامه می باشند . در واقع ، authentication هویت استفاده کنندگان یک برنامه را بررسی می نماید .
Authorization ، فرآیندی است که به کمک آن دستیابی سرویس گیرندگان تائید شده به منابع و عملیاتی که قصد انجام آن را دارند بررسی و مجوز لازم صادر می گردد. فایل ها ، بانک های اطلاعاتی ، جداول ، سطرها ، منابع موجود در سطح سیستم نظیر کلیدهای ریجتسری و داده پیکربندی ، نمونه هائی از منابع مورد درخواست سرویس گیرندگان می باشند . انجام تراکنش هائی خاص نظیر خرید یک محصول ، واریز و انتقال پول از یک حساب به حساب دیگر و یا افزایش اعتبار یک کارت اعتباری از جمله عملیاتی می باشند که می بایست مجوز استفاده از آنان برای سرویس گیرندگان صادر گردد . در واقع ،
لینک دانلود و خرید پایین توضیحات
فرمت فایل word و قابل ویرایش و پرینت
تعداد صفحات: 68
امنیت شغلی با رویکرد ایمنی و سلامت و نقش آن در نگهداری کارکنان سازمان
چکیده
این مقاله به بررسی یکی از عوامل مهم نگهداری کارکنان یعنی ایمنی و سلامت حرفهای میپردازد. در ابتدا تعریف و مفاهیم مربوط ارائه میشود و سپس روشهای متداول بررسی و اقدام در زمینه بهداشت و ایمنی محیط کار نام برده شده و به قوانین ایمنی و سلامت حرفهای در ایران اشاره میگردد. همچنین فرهنگ، سخت افزار و سیستمها که عوامل کلیدی در ایمنی و سلامت حرفهای هستند مورد بررسی قرار میگیرند. مواردی راهنما به منظور ارزیابی عملکرد ایمنی و سلامت ارائه میشود. انواع برنامههای ایمنی بر مبنای مشوق و برمبنای رفتار تحلیل میشوند. بعد از این مطالب استرس مرد بررسی قرار میگیرد. پس از تعریف استرس و عوامل بوجود آورنده آن، عواملی که بر آن اثر گذاشته و از آن اثر میپذیرند، بررسی شده و سپس راهکارهایی در چارچوب مدیریت استرس برای بهینه کردن آن ارائه میشود.
کلیدواژه : ایمنی و سلامت حرفه ای؛ امنیت شغلی؛ خطر بالقوه؛ بهداشت محیط کار؛ برنامه های ایمنی؛ استرس؛ فشار روانی؛ مدیریت استرس؛ ایمنی؛ شغل
1- مقدمه
یکی از رسالتهای اساسی مدیریت منابع انسانی نگهداری کارکنان توانمند میباشد. از آنجا که اقدامات نگهداری، مکملی بر سایر اقدامات و فرایندهای مدیریت منابع انسانی است، حتی اگر عملیات کارمندیابی، انتخاب، انتصاب و سایر اقدامات پرسنلی به نحو بایسته انجام شود بدون توجه کافی به امر نگهداری نتایج حاصل از اعمال مدیریت چندان چشمگیر نخواهد بود. نظام نگهداری منابع انسانی ابعاد متعددی را شامل میشود که میتوان آنها را به دو دسته تقسیم نمود: دسته اول در رابطه با حفظ و تقویت جسم کارکنان است مانند برقراری بهداشت و ایمنی در محیط کار، اجرای برانامههای ورزش و تندرستی و بعضی خدمات مشابه. دسته دوم شامل مواردی است که تقویتکننده روحیه علاقمندی کارکنان به کار و محیط کار میباشد مانند خدمات بیمه و بازنشستگی و خدمات پرسنلی. در صورت داشتن توجه و بکارگیری این موارد امنیت شغلی در کارکنان ایجاد شده و به رضایت شغلی آنها منتهی میشود که این امر خود از اهمیت بسزایی برخوردار است.در مقاله حاضر تأکید اصلی بر روی موارد دسته اول است به این صورت که در ابتدا در مورد اصطلاحات ایمنی و سلامت و جنبههای قانونی آن بحث میشود و در ادامه به برنامهها و راهکارهای مدیریت ایمنی و سلامت حرفهای پرداخته میشود. در قسمت دوم مقاله بحث سلامت کارکنان با توجه به عامل کلیدی استرس در محیط کار با تمرکز بر روی شناخت و بهینه سازی میزان استرس بررسی میشود. در پایان امید است که توجه و بکارگیری مطالب و راهکارهای این مقاله در افزایش ایمنی و سلامت محیط کار، بهینه سازی سطح استرس و ایجاد امنیت شغلی مناسب و در نهایت ایجاد رضایت شغلی موثر باشد که این نیز یکی از عواملی است که در بهبود مستمر و تعالی سازمانها باید در نظر گرفته شود.
2- امنیت شغلی1 در آینده
در آینده و در تجارت تغییرات سریع باعث کوچکتر شدن سازمانها میشود و سازمانها به سمت مجازی شدن پیش میروند. سازمانها به صورت یک هسته مرکزی در میآیند و سایر قسمتها و کارکنان به صورت موقت در اطراف آنها قرار میگیرند و اکثر مردم برای خود کار خواهند کرد. پرداختها به صورت قسمتی از سود خواهد شد و جای دستمزدهای ثابت را میگیرد. کارکنان خود را باید با قراردادهای نامعین و مستقل وفق دهند. در این شرایط کارکنان مجبورند
لینک دانلود و خرید پایین توضیحات
دسته بندی : وورد
نوع فایل : .doc ( قابل ویرایش و آماده پرینت )
تعداد صفحه : 14 صفحه
قسمتی از متن .doc :
جهانیشدن و امنیت ملی
منبع: ماهنامه زمانه شماره30
چکیده:
جهانیشدن فارغ از آنکه یک پروژه باشد یا پروسه، پدیدهای است که صرفنظر از عناصر اختیاری و کنترلشده آن، از برخی وجوه کاملا تحمیلی برخوردار است که حتی قدرتهای بزرگ را به تمکین وامیدارد و این مساله از آنجا ناشی میشود که پدیده جهانیشدن هنوز در کلیت خود برای هیچکس روشن نشده است. گریز مداوم جهانیشدن از کالبدشکافی محققانه و تنوع ادبیاتی موضوع جهانیشدن که ابهامات و تضادهای فراوانی را بر آن تحمیل کردهاست، دستیابی به یک تعریف و نظریه دقیق و روشن را ناممکن ساخته و آن را چونان پدیدهای نمایان میسازد که تا زمان تحقق کامل اساسا قابل شناخت نباشد.
اما بههرحال بسیاری از کشورهای جهان تکلیف خود را با این پدیده معین کردهاند و سهم خود را در بازیگری یا بازیگردانی در محیط آن معلوم ساختهاند. جهانیشدن هرچه باشد و هرموقع که تحقق یابد، مانند بسیاری دیگر از پدیدارهای تمدن بشری دارای وجوه منفعتبار و زیانبار خواهد بود و نرمی و زبری در آن آمیخته است. بنابراین توجه به اصل پدیده جهانیشدن تنها یک طرف معادله است، طرف دیگر آنکه میتواند صغری یا کبرای استدلال ما برای تایید یا نفی آن باشد، همانا منافع و امنیت ملی است.
نهتنها ما بلکه همه کشورهای جهان در حال سبکسنگیننمودن و توزین و تبیین جهانیشدن در قبال خود هستند و باتوجه به امکانات و شرایط ژئوپلیتیک خود، در حال پذیرفتن یا واگذارکردن نقشهای بازی در این صحنهاند. کشورهایی چون ایران که دارای امتیازات منطقهای عمدهای هستند بهطور ویژهای در معرض وجوه گستردهتری از منافع یا مضرات جهانیشدن واقع میشوند و تقریبا قادر به انزواگزینی یا جداسازی خود از سیطره جهانیسازی نخواهند بود. اما با بهکارگیری اندیشههای کاملا مطالعهشده و محققانه و با اتخاذ رویههای مدبرانه و هوشمندانه در رهبری و مدیریت کلان، میتوان در بهحداقلرساندن مضرات و بهحداکثررساندن منافع آن موثر بود.
جهانیشدن فرصتهای بیشماری را فراهم میکند، همچنانکه فرصتها و اختیارات بسیاری را نیز با خود میبرد؛ اما استفاده درست و بهموقع از فرصتهای بهدستآمده میتواند زیانهای ناشی از اختیارات و فرصتهای تلفشده را حتی تا چندبرابر جبران کند.
این امر بستگی زیادی به تحول مثبت در دیدگاه نظری ما نسبت به جهانیشدن و نیز پیدایش نوعی مدیریت هوشمندانه در سطوح کلان سیاستگذاری ملی و منطقهای خواهد داشت. آنچه را که ما تحت عنوان امنیت ملی و اعتلای فرهنگی جستجو میکنیم و هماکنون در معرض آسیبهای جدی پدیده جهانیشدن قرار گرفته است، موضوع اساسی برای همه کشورهای جهان از جمله کشورهای قدرتمند صنعتی غرب میباشد. ای بسا کشورهایی چون ایران با دستیابی به نظریهای اصولی و کارشناسانه درباب جهانیشدن بتوانند آینده این پدیده را از آن خود کنند و حتی بیشتر از غربیها منافع آن را کسب نمایند. مقاله زیر را ملاحظه فرمائید.
امنیت ملی کشورها تحت تاثیر متغیرهای بینالمللی و منطقهای که کانونهای بحران محسوب میشوند همواره مورد تهدید قرار دارد. هرچه بر دامنه گسترش جهانیشدن و ابعاد آن افزوده میشود، کشورهایی که در معرض آسیبپذیری بیشتری قرار دارند، این تهدیدات را در عرصههای مختلف سیاسی، اجتماعی، اقتصادی و فرهنگی با شدت هرچهبیشتری دریافت میکنند؛ بنابراین لازم است که درخصوص پدیده جهانیشدن به مثابه تهدیدی برای امنیت ملی کشورها، بررسی کارشناسی صورت گیرد. این مساله سوالات بسیاری را برمیانگیزد که برخی از این سوالات به ماهیت جهانیشدن و ابعاد آن مربوط میشود که در این مقاله، متغیر مستقل، فرضیه تبیینی خواهد بود و تاحدودی نیز به امکانات و موقعیت جغرافیایی و فرهنگی جوامع در تقابل با
لینک دانلود و خرید پایین توضیحات
فرمت فایل word و قابل ویرایش و پرینت
تعداد صفحات: 126
اصول امنیت برنامه های وب اینترنت و به دنبال آن وب ، دنیای نرم افزار را دستخوش تحولات فراوانی نموده است . ظهور نسل جدیدی از برنامه های کامپیوتری موسوم به "برنامه های وب " از جمله این تحولات عظیم است . پس از ارائه سرویس وب در سال 1991، وب سایت های متعددی ایجاد گردید . اینگونه سایت ها به منظور ارائه اطلاعات به مخاطبان خود از صفحات وب ایستا استفاده می کردند . در چنین وب سایت هائی ، امکان تعامل کاربر با برنامه وجود نداشت .با توجه به این که رویکرد فوق با ماهیت و یا روح نرم افزار چندان سازگار نمی باشد ، تلاش های گسترده ای در جهت ایجاد محتویات پویا انجام و متعاقب آن ، فن آوری های متعددی ایجاد گردید . به عنوان نمونه ، با پیاده سازی فن آوری CGI ( برگرفته از Common Gateway Interface ) ، امکان استفاده از برنامه های خارجی به منظور تولید محتویات پویا فراهم گردید . بدین ترتیب ، کاربران قادر به درج اطلاعات و ارسال آنها برای یک برنامه خارجی و یا اسکریپت سمت سرویس دهنده شدند . برنامه موجود در سمت سرویس دهنده پس از دریافت اطلاعات و انجام پردازش های تعریف شده ، نتایج را تولید و آنها را برای کاربر ارسال می نمود .رویکرد فوق ، به عنوان نقطه عطفی در برنامه های وب تلقی می گردد چراکه برای اولین مرتبه امکان تولید محتویات پویا در وب سایت ها فراهم گردید . از آن زمان تاکنون فن آوری های متعددی به منظور تولید برنامه های وب ایجاد شده است . PHP و ASP.NET نمونه هائی در این زمینه می باشند . صرفنظر از این که از کدام فن آوری به منظور ایجاد برنامه های وب استفاده می گردد ، ایمن سازی آنان از جمله اهداف مشترک تمامی پیاده کنندگان است .
امنیت برنامه های وب و برداشت های اولیه زمانی که در رابطه با امنیت برنامه های وب سخن به میان می آید ، تهاجم علیه یک سایت ، سرقت کارت های اعتباری ، بمباران وب سایت ها در جهت مستاصل کردن آنان به منظور ارائه خدمات و سرویس های تعریف شده ، ویروس ها ، تروجان ها ، کرم ها و ... در ذهن تداعی می گردد . صرفنظر از نوع برداشت ما در رابطه با موارد فوق ، می بایست بپذیریم که تهدیدات امنیتی متعددی متوجه برنامه های وب با توجه به ماهیت آنان می باشد . سازمان ها و یا موسساتی که از اینگونه برنامه ها استفاده می نمایند و یا در صدد طراحی و پیاده سازی آنان می باشند ، می بایست به این نکته مهم توجه نمایند که ایمن سازی یک برنامه وب ، محدود به بکارگیری یک فن آوری خاص نبوده و فرآیندی است مستمر که عوامل انسانی و غیرانسانی متعددی می توانند بر روی آن تاثیرگذار باشند .
امنیت برنامه های وب را می بایست با توجه به نوع معماری و رفتار آنان بررسی نمود .
برداشت های غیرواقعی از امنیت برنامه های وب متاسفانه به دلیل عدم شناخت لازم در خصوص ماهیت برنامه های وب از یک طرف و از سوی دیگر عدم آشنائی لازم با مفاهیم امنیت ، شاهد برداشت های نادرست در خصوص امنیت برنامه های وب می باشیم . اجازه دهید به چند نمونه در این خصوص اشاره نمائیم :
ما ایمن هستیم چون از یک فایروال استفاده می نمائیم . این تصور کاملا" اشتباه است و به نوع تهدید بستگی خواهد داشت . مثلا" یک فایروال قادر به تشخیص داده ورودی مخرب جهت ارسال به یک برنامه وب نمی باشد . فایروال ها دارای عملکردی قابل قبول در رابطه با اعمال محدودیت بر روی پورت ها می باشند و برخی از آنان می توانند همزمان با بررسی اطلاعات مبادله شده ، امکانات برجسته حفاظتی را ارائه نمایند . فایروال ها جزء لاینفک در یک فریمورک امنیتی می باشند ولی نمی توان آنان را به عنوان یک راهکار جامع به منظور ایجاد و برپائی یک محیط ایمن در نظر گرفت .
ما ایمن هستیم چون از SSL ( برگرفته ازSecure Sokets Layer ) استفاده می نمائیم . SSL برای رمزنگاری ترافیک موجود بر روی شبکه یک گزینه ایده آل است ولی قادر به بررسی داده ورودی یک برنامه نمی باشد .
ما ایمن هستیم چون از سیستم عاملی استفاده می نمائیم که نسبت به سایر سیستم های عامل دارای امنیت بیشتری است . استدلال فوق با فرض درست بودن اصل قضیه ، نادرست و غیرمنطقی است چراکه امنیت یک فرآیند است نه یک محصول . بنابراین با بکارگیری یک محصول خاص ( به عنوان نمونه یک سیستم عامل ) نمی توان این ادعا را داشت که ما به یک محیط ایمن به منظور ایجاد برنامه های وب دست یافته ایم .
با رد امنیت یک سیستم عامل نمی توان امنیت یک سیستم عامل دیگر را تائید نمود. ( من خوبم چون شما بد هستید ! )
امنیت چیست ؟ اولین رسالت امنیت ، حفاظت از سرمایه های یک سازمان است که ممکن است شامل آیتم های ملموسی نظیر یک صفحه وب و یا بانک اطلاعاتی مشتریان و یا آیتم های غیرملموسی نظیر شهرت و اعتبار یک سازمان باشد. امنیت یک مسیر است نه یک مقصد و به موازات تجزیه و تحلیل زیرساخت و برنامه های موجود ، می بایست اقدام به شناسائی تهدیدات و خطرات ناشی از آنان نمود . در واقع ، امنیت به مدیریت خطرات و پیاده سازی یک سیستم به منظور پاسخگوئی و مقابله با تهدیدات اشاره داشته و در ارتباط با عتاصر کلیدی زیر است :
Authentication ، فرآیندی است که به کمک آن به صورت منحصربفرد سرویس گیرندگان یک برنامه شناسائی می گردند . کاربران ، سرویس ها ، فرآیندها و کامپیوترها ، نمونه هائی از سرویس گیرندگان یک برنامه می باشند . در واقع ، authentication هویت استفاده کنندگان یک برنامه را بررسی می نماید .
Authorization ، فرآیندی است که به کمک آن دستیابی سرویس گیرندگان تائید شده به منابع و عملیاتی که قصد انجام آن را دارند بررسی و مجوز لازم صادر می گردد. فایل ها ، بانک های اطلاعاتی ، جداول ، سطرها ، منابع موجود در سطح سیستم نظیر کلیدهای ریجتسری و داده پیکربندی ، نمونه هائی از منابع مورد درخواست سرویس گیرندگان می باشند . انجام تراکنش هائی خاص نظیر خرید یک محصول ، واریز و انتقال پول از یک حساب به حساب دیگر و یا افزایش اعتبار یک کارت اعتباری از جمله عملیاتی می باشند که می بایست مجوز استفاده از آنان برای سرویس گیرندگان صادر گردد . در واقع ،