پایان نامه ارائه یک چارچوب تعامل پذیر معماری امنیت اطلاعات در کاربردهای فرا درون سازمانی

تعداد صفحات: 218 فرمت فایل: word کد فایل: 10001984
سال: 1389 مقطع: مشخص نشده دسته بندی: پایان نامه مهندسی فناوری اطلاعات IT
قیمت قدیم:۲۸,۴۰۰ تومان
قیمت: ۲۶,۳۰۰ تومان
دانلود فایل
  • خلاصه
  • فهرست و منابع
  • خلاصه پایان نامه ارائه یک چارچوب تعامل پذیر معماری امنیت اطلاعات در کاربردهای فرا درون سازمانی

    پایان نامه کارشناسی ارشد

    مهندسی فن آوری اطلاعات گرایش فن آوری اطلاعات  

    چکیده 

    امنیت اطلاعات، در دوره کوتاهی که از عمرش می گذرد، دچار تغییرات زیادی شده است؛ هنگامی که به عنوان یک ویژگی کیفی نرم افزار تعریف شد، سه محور مهم داشت: محرمانگی، درستی و دسترسی پذیری1. به تدریج حوزه امنیت اطلاعات بزرگ تر شد و نیازمندی هایی که باید پاسخگوی  آنها می بود، از حوزه نرم افزار و حتی از حوزه مهندسی نیز خارج شدند. با این تغییر  مرزبندیها،  روشهایی که برای پشتیبانی از امنیت اطلاعات توسعه  مییابند، عموما بر سر یک دوراهی، محدوده خود را تبیین  میکنند: یا تبدیل به  روشهای جزءنگری می شوند که یک نیازمندی خاص در حوزه امنیت اطلاعات را با تمام جزئیات پوشش می دهد (مانند  روشهای کنترل دسترسی، رمزنگاری و ...)، یا یک رویکرد کل نگر را انتخاب می کنند و سعی دارند قالبی با سطح انتزاع زیاد و جزئیات کم برای پوشش جنبه های مختلف امنیت اطلاعات ارائه دهند.

    معماری امنیت اطلاعات سازمانی[1] که عموما در قالب یک چارچوب معماری سازمانی ارائه می شود، یکی از مهم ترین رویکردهای کل نگر در زمینه امنیت اطلاعات سازمان است و به عنوان محدوده اولیه این تحقیق مشخص شده است. مطالعه کارهای انجام شده زمینه امنیت اطلاعات سازمانی، نشان دادند که تعامل پذیری به عنوان یک ویژگی کیفی معماری سازمانی، ارتباط تنگاتنگی با امنیت اطلاعات داشته و تاثیرات مثبت و منفی بسیاری بر آن دارد. امن کردن تعاملات و ارتباطات درون سازمانی و برون سازمانی در واقع یکی از  جنبههای مهم امنیت اطلاعات سازمانی است که غالبا به صورت غیرمستقیم و پراکنده به آن پرداخته  میشود.  

    در این تحقیق، سعی شده است با جداسازی دغدغه تعامل پذیری در یک چارچوب EISA و مشخص ساختن نقاط اشتراک و افتراق آن با امنیت اطلاعات، چارچوبی ارائه شود که بتواند هر دو جنبه امنیت و  تعاملپذیری را بهبود بخشد. چارچوب پیشنهادی که با عنوان [2]iEISA معرفی شده است، یک چارچوب ترکیبی است که دو چارچوب مرجع دارد: یکی در زمینه امنیت اطلاعات سازمانی و دیگری در زمینه   تعاملپذیری. چارچوب مرجع امنیت اطلاعات سازمانی با مطالعه مهم ترین کارهای انجام شده موجود و ارزیابی  آنها با توجه به  نیازمندیهای مساله انتخاب  شدهاست و چارچوب مرجع  تعاملپذیری خود یک چارچوب ترکیبی است که با توجه به معیارهای تعامل پذیری سازمانی، توسعه یافته است.  

    iEISA، به منظور عدم درگیر شدن با مسائل فنی و پیاده سازی، تنها در دو سطح از انتزاع معرفی شده است:             معماری زمینه ای[3] و معماری مفهومی[4].    مهمترین              فرآوردههای این دو معماری مانند مدل حرفه، مدل ریسک های حرفه، مدل فرآیندهای حرفه و .... با توجه به معیارهای مشخص شده تعامل پذیری و امنیت توسعه یافته اند. این معیارها در نهایت به ارزیابی چارچوب و مقایسه آن با سایر چارچوب ها و        مدلهای مشابه کمک می کنند. 

    واژگان کلیدی: معماری امنیت اطلاعات سازمانی، معماری سازمانی، تعامل پذیری، چارچوب معماری، مدیریت امنیت اطلاعات.

                                           

          1-    فصل اول: معرفی  

            

    1-1- مقدمه 

    معماری امنیت اطلاعات سازمانی که به اختصار EISA6 خوانده می شود، اولین بار توسط گارتنر [2] به منظور ایجاد یک برنامه موثر امنیت اطلاعات در سازمان پیشنهاد شد. هدف از EISA فراهم ساختن چارچوبی بود که سازمان بتواند بر اساس آن، نیازمندی های امنیت  اطلاعات حرفه را شناسایی کرده، تحلیل، ارزیابی و  اولویتبندی ریسک ها و نیازمندی های امنیت اطلاعات را انجام دهد و در مورد بهترین  راه حلهای پیاده سازی امنیت یکپارچه سازمانی برای مدیریت  ریسکهای اطلاعاتی خاص سازمان،  تصمیمگیری نماید.  

    طبق تعریف اولیه گارتنر[2]، مدل مرجع EISA یک چارچوب معماری سازمانی[5]  است؛          سایر چارچوب هایی که تاکنون برای EISA ارائه شده اند، یا مستقیما بر پایه چارچوب های شناخته شده معماری سازمانی بنا شده اند و  یا چارچوب هایی لایه بندی شده ای هستند که با دارا بودن دیدهای مختلف مشابهت های زیادی با چارچوب های معماری سازمانی دارند.

    مطالعه کارهایی که در زمینه امنیت اطلاعات سازمان، انجام شده است، نشان داده که امنیت اطلاعات، مبحث بسیار گسترده ای است و در عین حال  پیچیدگیهای بسیاری نیز دارد. این دو ویژگی باعث شده اند که کارهای بسیار پراکنده ای در این زمینه شکل بگیرند که هر یک تمرکز بر یک جنبه خاص از امنیت اطلاعات دارد و در سطح انتزاع کاملاً مشخصی تعریف شده اند. این وسعت و پیچیدگی در حدی است که استانداردهای بسیاری در حوزه امنیت اطلاعات ارائه  شدهاند و هر یک تنها یک جنبه خاص را پوشش داده است حتی گاهی خانواده ای از این استانداردها برای پوشش دادنِ تنها یک جنبه از امنیت اطلاعات ارائه شده است. این پراکندگی در  راهحل های امنیت اطلاعات، انگیزه اصلی اولین توسعه دهندگان تفکر EISA بود تا چارچوبی جامع ارائه دهند که نقشه راهی برای مدیریت و پیاده سازی راه حل های امنیتی لازم برای اطلاعات سازمان باشند. EISA  زیرمجموعهای از یک چارچوب معماری سازمانی عمومی نیست زیرا پراکندگی جنبه های امنیت در تمام سطرها و  ستونهای چنین چارچوبی باید لحاظ می شد. لذا چارچوبی مجزا برای EISA به وجود آمد که  مهم ترین نمونه های آن در این تحقیق به طور مفصل تشریح خواهند شد. 

    مطالعه چارچوب های EISA به ما نشان داد که بخش مهمی از ویژگی های امنیت در تعاملات درون سازمانی و فرا سازمانی، نمود پیدا می کنند و مجزا نکردن تعامل پذیری در چارچوب EISA، باعث می شود که در هر بار ظهور امنیت در تعاملات سازمانی،  راهحل های متفاوت و گاه متناقضی ارائه شود. از طرف دیگر دو ویژگی کیفی تعامل پذیری و امنیت دارای ناسازگاری هایی هستند که بهبود یکی،

                                                      6

     Enterprise Information Security Architecture (EISA)

    اثرات منفی بر بهبود دیگری خواهد داشت. تا وقتی که تعامل پذیری به عنوان یک ویژگی کیفی مجزا در چارچوب EISA بررسی نشود، این دو معضل وجود خواهند داشت. 

    در این تحقیق، به ترکیب این دو ویژگی کیفی در قالب یک چارچوب معماری سازمانی پرداخته شده است و هدف اصلی آن بهبود تعامل پذیری در بستر یک چارچوب EISA است. در ادامه این فصل توضیحات بیشتری راجع به دلایل و محدوده این پژهش ارائه می شود. 

     

    1-2- انگیزه و سابقه انجام تحقیق  

    تصور اولیه در مورد امنیت اطلاعات سازمان ها، مبتنی بر اصل جداسازی بود. جداسازی، یک استراتژی محدودکننده است . سیرتحول  انگاره های8 امنیت (شکل 1-1) نشان می دهد که      استراتژیهای محدودکننده     نمیتوانند کارآمد باشند [3] و به خصوص درمدل های امنیت با توجه به ماهیت محدودکننده امنیت باید در مصرف چنین     استراتژیهایی تا حد ممکن صرفه جویی کرد. 

    (نمودار و تصاویر در فایل اصلی موجود است)

    آن چه در شکل 1 -1 مشاهده  میشود، نشان  میدهد که: در تفکر اولیه (شکل الف) که به مدل "پوست تخم مرغی امنیت" معروف است، اعتقاد بر این است که در یک محیط امن، باید جداسازی کاملی بین محیط امن و ناامن صورت گیرد و هیچ راه نفوذی نباید وجود داشته باشد. ناکارآمدی واضح این مدل، منجر به مدل "پوست تخم مرغی امنیت همراه با یک دروازده" (شکل ب) شد. در این مدل هرگونه ارتباط با محیط بیرون باید از طریق این دروازه صورت  میگرفت. مشکل این مدل نقطه شکست (نفوذ) مرکزی9 بود، یعنی چنانچه نفوذی به درون سازمان صورت  میگرفت، نفوذگر می توانست به تمام قسمت ها دسترسی داشته باشد. به طور همزمان با این مدل، یک مدل دیگر نیز برای حل مشکل مدل اولیه پوست تخم مرغی امنیت، به وجود آمد: مدل لانه زنبوری امنیت (شکل پ)، در مدل لانه زنبوری، هر بخش از سازمان یک سلول شده و ارتباطات خودش را تنظیم  میکند و سازمان مجموعه ای از  سلولها است که یک کندو را تشکیل می دهند. اما در این مدل، هر سلول (بخش سازمان) مسئول تامین امنیت خود بود و سربار ناشی از تکرار مسئولیت ها و نیز ناهماهنگی های موجود در سازمان قابل قبول نبود. آخرین مدلی که ارائه شده است، "مدل ترکیبی لانه زنبوری و پوست تخم مرغی امنیت" ( شکل ت) است که اجازه  میدهد هر بخش از سازمان  مکانیزمهای امنیتی خاص خود را داشته باشد اما در عین حال سیاست ها و مکانیزم های امنیتی عمومی نیز در کل سازمان وجود داشته باشد. 

    بررسی این سیر تحول، نشان داد که تعاملات و ارتباطات سازمانی تا چه حد بر تعیین  استراتژیهای امنیت اطلاعات سازمان  میتوانند موثر باشند و انگیزه انجام این تحقیق، نشان دادن تاثیر توجه همزمان به تعامل پذیری و امنیت اطلاعات سازمانی است. 

     

    سابقه معماری امنیت اطلاعات در سازمان 

    همان طور که گفته شد، EISA اولین بار توسط گارتنر پیشنهاد شد. چارچوب های پشنهاد شده برای EISA که بر اساس معماری پایه زکمن هستند، عموما سه سطح اصلی مشترک دارند: سطح مفهومی[1]، سطح منطقی[2] و سطح فیزیکی/پیاده سازی[3]. 

    دو چارچوب اصلی که در زمینه EISA تاکنون ارائه  شدهاند  چارچوبهای SABSA [3, 4] و Gartner [2] هستند. چارچوب Gartner  ایدههای انتزاعی تری از EISA را  بهدست  میدهد و مستندات و جزئیات بیشتری از آن در دسترس نیست. اما چارچوب

    SABSA به عنوان یک چارچوب مبتنی بر ریسک و کاملا عملیاتی شناخته  میشود و کلیه مستندات آن در [1] موجود است.  

                                                      9

     Single Point of Failure

              سایر  فعالیتها در زمینه معماری امنیت اطلاعات سازمانی با دو رویکرد کاملا مستقل زیر انجام شده اند: 

    رویکرد فنی: این رویکرد شامل راه حل های فنی برای مقابله با آسیب پذیری ها و ریسک های عملیاتی خاص است. محصولات این رویکرد عموما با مشکلات زیر همراه هستند:

    جنبه سازمانی ندارند و  آسیبپذیری های سازمان را در نظر  نمیگیرند.

    برای سیستم های اطلاعاتی با مرزهای مشخص و محدود یا  سیستمهای اطلاعاتی مجزا از هم طراحی شدهاند.  

    نیازمندی های بازبودن13 و چابکی14 مربوط به  محیطهای تعاملی حرفه را پوشش  نمیدهند.

    تلاش هایی برای سازمان دهی پایین به بالای راه حل های امنیتی به صورت محدود انجام گرفته است. از آن جمله می توان به [2] اشاره کرد که مکانیزم ها و راه حل های امنیتی را در سه سطح (پایین، میانی و بالا) دسته بندی کرده است. اما عدم ارتباط با منطق حرفه سازمان و عدم  بررسی یکپارچه   این راه حل ها از مشکلات رویکرد صرفا فنی به این مساله است. 

     

    رویکرد استانداردها: استانداردهای زیادی در زمینه امنیت اطلاعات در  سازمانها تدوین شده اند، ISAFF ،ISO 27000، NIST ،SoGP و Cisco از این جمله هستند. این استانداردها با رویکردهای جامع تری به موضوع پرداخته اند اما از استاندارد تا چارچوب و معماری فاصله زیادی وجود دارد. استاندارد، نمی تواند به عنوان نقشه راه قرار گیرد و خطوط کلی مسیر را مشخص کند.

     

    نیاز به پشتیبانی از تعامل پذیری 

     تعاملپذیری15، قابلیت برقراری ارتباط و تعامل افراد،  سیستمها و سازمان هاست که از طریق آن به صورت کارا و موثری بتوانند به مبادله و استفاده از اطلاعات یکدیگر بپردازند[5].  مهمترین مسائل در  تعاملپذیری توافق گیرنده و فرستنده اطلاعات بر سر پروتکل ارتباطی، معنای پیام ها و تکنولوژی مورد استفاده است.  

    افزایش محدودیت های اقتصادی و افزایش  فرصتهای فن آوری اطلاعات و ارتباطات باعث شده تا ساختار سازمان ها به ساختارهای جدیدتر مانند: 

                                                      13

     openness

    1415  Interoperability Agility

    سازمان های شبکه ای 

    زنجیره های تامین 

    سازمان های مجازی 

    سازمان های تجاری متعامل

    بوم شناسی حرفه16   

    تبدیل شوند. نیاز به تعامل بین فرآیندهای حرفه و سیستم های اطلاعاتی در چنین شرایطی ضرورت بسیار زیادی پیدا می کند. یک مجموعه استراتژی مناسب برای  تعاملپذیری، باید بتواند ارتباطات درون سازمانی و فراسازمانی را تسهیل بخشد. می توان گفت تعامل پذیری از 5 جنبه مهم قابل بررسی است [6]: 

    تعامل پذیری فنی: مربوط به  تعاملپذیر بودن سیستم هاست و سعی می کند از طریق استانداردها،  توافقنامه ها،  مترجمها و یا پل[4]ها از  تعاملپذیری سیستم ها، پشتیبانی کند. 

    تعامل پذیری سازمانی: بر روی فرآیندهای حرفه و مسائل پذیرش کاربران متمرکز است و سعی  میکند ارتباطات و انتقال اطلاعات و دانش درون سازمانی را تسهیل کند. 

    تعامل  پذیری معنایی : قابلیت سیستم های کامپیوتری برای تبادل اطلاعات و تفسیر مناسب اطلاعات در سیستم گیرنده به گونه ای که با منظور فرستنده مطابقت داشته باشد. در حالت تعامل پذیری معنایی استنتاج هایی که از اطلاعات تبادل شده توسط هر دو سیستم انجام می شود، یکسان است.  

    دو جنبه دیگرِ تعامل پذیری، " تعاملپذیری در سیاست ها عمومی و حقوقی " و "تاثیرات  تفاوتهای سیاسی، اقتصادی، فرهنگی و اجتماعی کشورهای  سازمانهای متعامل" هستند که خارج از حیطه این تحقیق قرار دارند. 

    استفاده از سیستم های اطلاعاتی آگاه از فرآیندهای حرفه[5] در بسیاری از شرکت های دارای تعاملات زیاد، مزایا و ارزش افزونه برای آن سازمان به همراه دارد. 

    مشکلی که وجود دارد این است که فرآیندهای حرفه که در تعاملات بین سازمانی استفاده می شوند، برای مبادله داده ها و انجام تعاملات قابلیت تقسیم شدن ندارند. از طرف دیگر برخی از سازمان ها، به بهانه تعاملات بین سازمانی، سعی می کنند فوت و فن و دانش سازمانی شرکایشان را یاد بگیرند  و یا به طور غیرقانونی به اطلاعات حیاتی این سازمان ها دست پیدا کنند. هدف پیدا کردن و پایه گذاری مجموعه ای از سیاست های امنیتی است که از یک طرف بتواند از هر کدام از شرکا حمایت کند و از طرف دیگر بتوان تجربه جمعی را از طریق افزایش تعاملات تبدیل به سرمایه کند تا بهره وری بهبود یابد. 

    در این راستا فعالیت های خوبی در زمینه ایجاد ارتباط بین امنیت معماری سرویس گرا و فرآیندهای متعامل حرفه19 انجام شده است. بهترین و جدیدترین نمونه در [4] انجام شده است. که اتفاقا با نگرشی کل نگر به مساله پرداخته است. اما خلاء نگرش سازمانی و عدم پوشش همه جانبه، همچنان در این روش ها مشهود است و هنوز  میتوان این  روشها را در طبقه   تلاشهای پایین به بالا قرار داد. 

    در این پروژه تحقیقاتی تمرکز بر رویکرد و نگرش بالا به پایین و سازمانی است. چارچوب های معماری سازمانی مانند [6]FEAF [7]و زکمن [8]  مهمترین  چارچوبهای مرجع (اما کلی و عمومی) در این پروژه هستند. چارچوب زکمن به عنوان پایه و مرجع سایر  چارچوبها و FEAF به عنوان چارچوبی که بر معماری  سرویسگرا تاکید دارد و از این رو بخشی از مباحث  تعاملپذیری را مورد توجه قرار داده است. چارچوب SABSA به عنوان جامع ترین چارچوب EISA نیز یکی از  چارچوبهای مرجع در این تحقیق است.

    تعامل پذیری در این چارچوب به طور محدود بررسی شده است. 

     

    1-3- پرسش های تحقیق 

              تحقیقات انجام شده در این پروژه، در صدد  پاسخگویی به  پرسشهای زیر هستند: 

    چه کارهایی تا کنون در زمینه EISA انجام شده است؟ کدام یک رویکرد جامع و کلی داشته و کدام یک در محدوده خاصی به تعریف مساله پرداخته اند؟ کدام یک را می توان به عنوان مرجعی برای ادامه کار انتخاب کرد؟ چارچوب مرجع EISA چه ویژگی هایی باید داشته باشد؟ 

    آیا مدل ها و  چارچوبهایی که تا کنون در زمینه EISA ارائه شده اند برای برآورده ساختن اهداف  تعاملپذیری کفایت می کنند؟ در صورت عدم کفایت، چه  ضعفهایی در  آنها وجود دارد؟ 

    کدام تحقیقات تا به حال مساله تعامل پذیری سازمانی را محور قرار داده اند؟ چگونه  میتوان به یک چارچوب مرجع برای تعامل پذیری رسید که بتواند در بهبود دادن چارچوب EISA از این منظر موثر باشد؟                                            

    چارچوب بهبود یافته EISA در هر سلول چهخروجیهایی خواهد داشت و نسبت به چارچوب مرجع چه      تفاوتهایی دارد؟ 

    چگونه  میتوان چارچوب بهبود یافته EISA را ارزیابی کرد؟ معیارهای این ارزیابی چه هستند؟  

     

    Abstract

     

    Information security, has experienced lots of changes during its short life: At first, it was introduced as a software quality attribute, which had three important dimensions: confidentiality, integrity and availability[1]. Gradually, the scope of information security grew and its requirements extended beyond the boundaries of software or even engineering scope. As a sequence of this change in borders and domain, approaches which aimed to support information security were faced with the dilemma of choosing between partial or holistic approach. Partial methods, focus on a specific information security problem and try to cover all the details (some examples are: access control methods, cryptography methods and so on.). On the other hand, holistic approaches try to provide a framework which is in a high abstraction level and low details, such a framework aims to cover all aspects of information security.  

    Enterprise information security architecture[2], which is usually described as an enterprise architecture framework, is one of the most important holistic approaches and the initial field of interest in this research. Review of enterprise information security researches has shown that interoperability as an enterprise architecture quality attribute, is very close to information security and has lots of positive and negative effects on it. To secure inter/intra enterprise collaborations and communications, is actually an important aspect of enterprise information security; which is often addressed indirectly or in a scattered manner.

    This research tries to separate the concern of interoperability within an EISA framework and identifies similarities and differentiations between these concerns. the proposed framework is entitled iEISA173 and is a basically a combination of two reference framework: an EISA framework which is chosen by evaluating the related works and a hybrid reference framework for interoperability that is developed according to enterprise interoperability criteria.

    iEISA framework has only two abstraction level: contextual architecture and conceptual architecture; the main reason is to avoid involving in technical or implementation issues. The framework contains the most important products such as business model, business risk model, business process model and so on; which are developed according to the specified interoperability and security criteria. Finally, iEISA is evaluated and compared to other similar works, based on these criteria.

     

    Keywords: EISA, Enterprise Architecture (EA), Interoperability, Architecture Framework, Information Security Management.

  • فهرست و منابع پایان نامه ارائه یک چارچوب تعامل پذیر معماری امنیت اطلاعات در کاربردهای فرا درون سازمانی

    فهرست:

    فصل اول: معرفی  ................................................................................................................................................  1 

    1-        مقدمه     ............................................................... .  ............................................................... .  .......................................................  2 

              1- 2-                    انگیزه و سابقه انجام تحقیق   ................................   ................................   ................................   ..................................................  3 

              1- 3-                   پرسش های تحقیق   ............................................................... .    ................................   ................................  .................................  8 

              1- 4-                    تعریف مساله و محدوده تحقیق   ............................................................... .    ................................   ............................................  9 

              1- 5-                    روش انجام تحقیق و ارزیابی آن    ................................   ................................   ................................  ........................................  10 

              1- 6-                   کاربردها و استفاده کنندگان   ................................   ................................   ................................  ..............................................  12 

              1- 7-                   ساختار پایان نامه   ................................   ................................     ............................................................... .   .................................  13 

    فصل دوم: آشنایی با ادبیات تحقیق .............................................................................................................. 14 

    1-        مقدمه     ............................................................... .  ............................................................... .  ....................................................  15 

              2- 2-                    امنیت اطلاعات سازمانی  ............................... .    ............................................................... .    .....................................................  15 

              2- 3-                     تعامل پذیری ............................... .    ............................................................... .    ................................  .........................................  18 

              2- 4-                   سایر مفاهیم مرتبط   ................................   ................................   ................................   .............................................................  19 

              2- 5-                    جمع بندی   ................................   ................................   ................................   ............................................................... .............  20 

    فصل سوم: چارچوب ها و  مدلهای معماری امنیت اطلاعات سازمانی  .......................................................... 21 

    1-        مقدمه     ............................................................... .  ............................................................... .  ....................................................  22 

              3- 2-                   چارچوب ها و  مدلهای کل نگر در مقایسه با چارچوب های جزءنگر   ............................................................... .............  24 

                   3- 2- 1-                            روشهای جزءنگر   ................................  ................................   ................................  ...............................................  25 

                   3- 2- 2-                       چارچوب های کل نگر   ................................  ................................   ................................  ........................................  28 

                   3- 2- 3-                      نقد و مقایسه چارچوب های کل نگر  ................................   ................................  ................................................  81 

              3- 3-                    جمع بندی   ................................   ................................   ................................   ............................................................... .............  83 

    فصل چهارم: چارچوب ها و مدل های تعامل پذیری  ...................................................................................... 84 

    1-        مقدمه     ............................................................... .  ............................................................... .  ....................................................  85  

              4- 2-                   تعریف تعامل پذیری   ................................  ................................   ................................   .............................................................  86 

              4- 3-                       مدلها و چارچوب های تعامل پذیری ............................... .   ............................................................... .................................  88 

      89  ............................................................        ................................    ................................    ................................    LISI مدل                        -1 -3 -4

                   4- 3- 2-                       مدل بلوغ تعامل پذیری سازمانی   ............................................................... .    ......................................................  91 

                   4- 3- 3-                        چارچوب تعامل پذیری ائتلافی   ................................  ................................   .........................................................  93 

                   4- 3- 4-                        مدل  تعاملپذیری SOSI   ................................  ................................   ................................ ....................................  95 

                   4- 3- 5-                        چارچوب تعامل پذیری AIF) Athena)  ............................... .  ............................................................... ............  98 

                   4- 3- 6-                        مدل مرجع ترکیبی  تعاملپذیری   ............................................................... .   .................................................  100 

              4- 4-                   جمع بندی   ................................   ................................   ................................   ................................ ..........................................  104 

    هشت

          5 -                فصل پنجم: چارچوب پیشنهادی برای IEISA  ............................................................................................ 105 

    1-        مقدمه     ............................................................... .  ............................................................... .  .................................................  106 

              5- 2-                  معماری زمی نهای  ................................   ................................    ............................................................... ...............................  108 

    2- 1-                  سلول what (مدل حرفه)        ................................       ............................................................... ...............................  109 

                   5- 2- 2-                       سلول why (مدل ریسک های حرفه )   ................................  ............................................................... ..........  119 

                   5- 2- 3-                        سلول How (مدل فرآیندهای حرفه)   ................................  ................................ ..........................................  121 

                   5- 2- 4-                        سلول Who (مدل روابط و ساختارها)  ............................... . ............................................................... .........  123 

                   5- 2- 5-                        سلول Where (مدل جغرافیایی حرفه)  ............................... .  ................................ ......................................  124 

                   5- 2- 6-                       سلول When (مدل وابستگی های زمانی)   ................................  ................................ ..................................  124 

                   5- 2- 7-                            جمعبندی   ................................ ................................   ................................  .........................................................  124 

              5- 3-                    معماری لایه مفهومی   ................................   ................................   ................................  .......................................................  126 

                   5- 3- 1-                        سلول What (نمایه  مشخصههای حرفه)   ................................ ................................ ....................................  126 

                   5- 3- 2-                        سلول Why (اهداف کنترلی)   ................................   ................................  ........................................................  127 

                   5- 3- 3-                        سلول How (فرآیندهای حرفه)    ............................................................... .   ...................................................  128 

                   5- 3- 4-                       سلول Who (مدل موجودیت های حرفه)   ................................  ................................ ...................................  132 

                   5- 3- 5-                       سلول Where (مدل حوزه های امنیت)  ............................... . ................................ ......................................  133 

                   5- 3- 6-                      سلول When  (طول عمر و سررسید های حرفه)  ................................  .....................................................  134 

    4-    جمع بندی            ................................       ................................       ................................       ................................       ..........................................  135 

    فصل ششم: ارزیابی ..................................................................................................................................... 137 

    1-        مقدمه     ............................................................... .  ............................................................... .  .................................................  138 

              6- 2-                    ارزیابی با قوانین عمومی حاکم بر  چارچوبهای معماری سازمانی   ................................ ...........................................  139 

              6- 3-                    مطالعه موردی   ................................   ................................   ................................   ................................ ...................................  142 

    3- 1-                  سازمان انتخابی       ................................       ................................       ................................       ...............................................  142 

                   6- 3- 2-                      فرآوردههای معماری زمی نهای   ................................  ................................  ......................................................  143 

                   6- 3- 3-                       فرآورده های معماری مفهومی   ................................  ................................  .......................................................  152 

                   6- 3- 4-                        جمعبندی مطالعه موردی  ............................... .   ............................................................... ..............................  156 

              6- 4-                   ارزیابی مقایسه ای   ................................  ................................    ............................................................... ...............................  163 

                   6- 4- 1-                        ابزار مورد استفاده  ................................   ................................   ................................   ................................ ...........  164 

                   6- 4- 2-                        تعیین هدف و معیارها   ................................   ................................   ................................ ....................................  164 

                   6- 4- 3-                       جداول مقایسه ای مرحله اول   ................................   ................................  ........................................................  165 

                   6- 4- 4-                        مقایسه نهایی   ................................    ............................................................... .   ...................................................  168 

    4- 5-               تحلیل نتایج           ................................       ................................       ................................       .....................................................  169 

    فصل هفتم: جمعبندی  .................................................................................................................................. 171 

    نه هشت

    1-        مقدمه     ............................................................... .  ............................................................... .  .................................................  172 

              7- 2-                    مروری بر پایاننامه     ............................................................... .    ................................  ...........................................................  172 

              7- 3-                    بازبینی اهداف تحقیق   ................................   ................................   ................................  ......................................................  173 

              7- 4-                   محدودی تهای IEISA  ................................   ................................   ................................  ........................................................  175 

              7- 5-                   پاسخ به ابهامات IEISA   ................................   ................................   ................................  .....................................................  175 

    5- 1-                  نگاشت لای ههای زمی نهای و مفهومی به لایه های منطقی و پی ادهسازی           ................................................  175 

                   7- 5- 2-                      پی شنیازها و ورودی های iEISA   ................................  ................................  ....................................................  177 

                   7- 5- 3-                         جامعیت iEISA  ............................... .   ............................................................... .   .................................................  178 

                   7- 5- 4-                       قابلیت پیاده سازی چارچوب   ................................   ................................  ........................................................  179 

              7- 6-                    پیشنهادات و کارهای آتی  ............................... .  ................................   ................................ ................................................  180  

          8 -                پیوستها  ....................................................................................................................................................... 181 

              8- 1-                   فهرست کوته نوشت ها  ................................   ................................   ................................  ....................................................  181 

              8- 2-                   فهرست برگردان ها   ............................................................... .     ............................................................... .............................  182 

              8- 3-                   فرم ارزیابی سازمان مورد مطالعه بر طبق موارد ISMS   ................................  ................................................................  183 

    4-    مقالات مستخرج از پایان نامه   ................................       ................................       ............................................................... ..........  196 

    مراجع  ............................................................................................................................................................  197  

     

    منبع:

    - مقالات مستخرج از پایان نامه 

    .1         Shariati, M., F. Bahmani, and F. Shams, Enterprise Information Security, A Review of Architectures and Frameworks from Interoperability Perspective, in World Conference on Information Technology. 2010, Elsevier: Turkey.

     

    .2         Shariati, M., F. Bahmani, and F. Shams, Information Security Frameworks and Architectures, In the context of enterprises, in World Conference on Internet Security (World-CIS 2011). 2011,

                                    IEEE: London, UK.                                              

    ATHENA Integrated Project (507849). 2005, Framework for the Establishment and Management Methodology, Deliverable DA1.4.

    Scholtz, T., Structure and Content of an Enterprise Information Security Architecture. 2006, Gartner Inc.

    Sherwood, J., A. Clark, and D. Lynas, Enterprise Security Architecture: A Business-Driven Approach. 2005: CMP Books.

    Sherwood, J., A. Clark, and D. Lynas, Enterprise security architecture whitepaper. SABSA Limited, 2009.

              ۵.             رضایی, بھبود مکانیزم ھای ھمکنش پذیری برای ایجاد قابلیت تجمیع در زمان اجرا در سامانه ھای فوق وسیع.

    ١٣٨٨, گروه مھندسی کامپیوتر- دانشگاه آزاد اسلامی، واحد علوم و تحقیقات.

    Baird, S.A., Government Role and the Interoperability Ecosystem. Journal of Law and Policy for the Information Society, Vol. 5, No. 2, p. 219, Summer 2009.

    FEA Consolidated Reference Model Document, F. Agency, Editor. 2005, Federal CIO Council 

    Zachman, J.A., The Zachman Framework: A Primer for Enterprise Engineering and Manufacturing. 2003, Zachman International.

    Grossman, I., FEMA Takes a New Enterprise Architecture Approach to Support DHS. 2009, Department of Homeland Security.

    BS 7799, B.G. (BSI), Editor. 1995, United Kingdom Government's Department of Trade and Industry (DTI): United Kingdom.

    ISO/IEC 17799. 2000, International Organization for Standardization (ISO) and by the International Electrotechnical Commission (IEC).

    ISO/IEC TR 13335- Guidelines for the management of IT Security 2001, International

    Organization for Standardization (ISO) and by the International Electrotechnical Commission (IEC).

    ISO/IEC 27000-series (ISMS Family of Standards). 2009, International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC).

    Standard of Good Practice(SoGP). 1996, Information Security Forum (ISF).

    OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security. 2002, OECD Council 

    Rees, J., B. Subhajyoti, and E. Spafford, PFIRES: A Policy Framework for Information Security. Communications of the ACM, 2003. 46(7): p. 101-106.

    Pilz, A. "Policy-Maker": a toolkit for policy-based security management. in Network Operations and Management Symposium, 2004. NOMS 2004. IEEE/IFIP. 2004.

    Galiasso, P., et al. Policy mediation for multi-enterprise environments. in Computer Security Applications, 2000. ACSAC '00. 16th Annual Conference. 2000.

    Alam, M. and M.U. Bokhari. Information Security Policy Architecture. in Conference on Computational Intelligence and Multimedia Applications, 2007. International Conference on. 2007.

    Claycomb, W. and D. Shin. Enabling mobility in enterprise security management. in Performance, Computing, and Communications Conference, 2006. IPCCC 2006. 25th IEEE International. 2006.

    Schumacher, M. and D. Witte, Secure Enterprise SOA, Known and New Security Challenges. Datenschutz und Datensicherheit, 2007. 31: p. 652-655.

    Gutiérrez, C., E. Fernández-Medina, and M. Piattini, Web Services Enterprise Security Architecture : A Case Study. ACM 1-59593-234-8/05/0011, 2005.

    Nakamur, Y., S. Hada, and R. Neyama. Towards the integration of Web services security on enterprise environments. in Applications and the Internet (SAINT) Workshops, 2002. Proceedings. 2002 Symposium on. 2002.

    Nagaratnam, N., P. Janson, and J. Dayka, The Security Architecture for Open Grid Services. 2002.

    Harrisson, M.A., W.L. Ruzzo, and J.D. Ullman, Protection in operating systems. ACM 159593-234-8/05/0011, 1976.

    Lampson, B.W., Protection. Proc. 5th Annual Princeton Conf. on Information Science and Systems, 1971: p. 437-443.

    Bell, D.E. and L.J. LaPadula, Secure computer systems: mathematical foundations. ESDTR-73-278 Vol, 1973.

    Nyamchama, M. and S. Osborn, Information flow Analysis in Role-Based Security Systems, in International Conference on Computing and Information. 1994.

    Axel, K., et al., Observations on the role life-cycle in the context of enterprise security management, in Proceedings of the seventh ACM symposium on Access control models and technologies. 2002, ACM: Monterey, California, USA.

    Megaache, S., T. Karran, and G.R.R. Justo. A role-based security architecture for business intelligence. in Technology of Object-Oriented Languages and Systems, 2000. TOOLS 34. Proceedings. 34th International Conference on. 2000.

    Huin, L. and D. Boulanger. An Agent-Based Architecture to Add Security in a Cooperative Information System. in Signal-Image Technologies and Internet-Based System, 2007. SITIS '07. Third International IEEE Conference on. 2007.

    Aagedal, J.O., et al. Model-based risk assessment to improve enterprise security. in Enterprise Distributed Object Computing Conference, 2002. EDOC '02. Proceedings. Sixth International. 2002.

    Buck, K., P. Das, and D. Hanf. Applying ROI Analysis to Support SOA Information Security Investment Decisions. in Technologies for Homeland Security, 2008 IEEE Conference on. 2008.

    Johansson, E. and P. Johnson, Assessment of Enterprise Information Security - An Architecture Theory Diagram Definition in CSER 2005. 2005: Hoboken, NJ, USA.

    Martin, C. and K.A. Abuosba. Utilizing a Service Oriented Architecture for Information Security Evaluation and Quantification. in Business-Driven IT Management, 2007. BDIM '07. 2nd IEEE/IFIP International Workshop on. 2007.

    Stephenson, P., S-TRAIS : A Method for Security Requirements Engineering Using a Standards-Based Network Security Reference Model.

    Menzel, M., I. Thomas, and C. Meinel. Security Requirements Specification in ServiceOriented Business Process Management. in Availability, Reliability and Security, 2009. ARES '09. International Conference on. 2009.

    Hall, G., Identifying and Managing Internal Security Threats in Enterprise Systems. 2009.

    Sengupta, A., C. Mazumdar, and A. Bagchi. A formal methodology for detection of vulnerabilities in an enterprise information system. in Risks and Security of Internet and Systems (CRiSIS), 2009 Fourth International Conference on. 2009.

    Kreizman, G. and B. Robertson, Incorporating Security into the Enterprise Architecture Process. 2006, Gartner, Inc.

    Anderson, J.A. and V. Rachamadugu. Managing Security and Privacy Integration across Enterprise Business Process and Infrastructure. in IEEE International Conference on Services Computing (SCC '08). 2008.

    Korhonen, J.J., M. Yildiz, and J. Mykkanen. Governance of Information Security Elements in Service-Oriented Enterprise Architecture. in Pervasive Systems, Algorithms, and Networks (ISPAN), 2009 10th International Symposium on. 2009.

    Jianguang, S. and C. Yan. Intelligent Enterprise Information Security Architecture Based on Service Oriented Architecture. in Future Information Technology and Management Engineering, 2008. FITME '08. International Seminar on. 2008.

    Ramachandran, J., Designing security architecture solutions. 2002: Wiley Computer Publishing.

    (OISSG), O.I.S.S.G., Information Systems Security Assessment Framework (ISSAF) 2006.

    GAO, Department of Homeland Security Enterprise Architecture (DHS), D.o.H. Security, Editor. 2006.

    Shariati, M., F. Bahmani, and F. Shams, Enterprise Information Security, A Review of Architectures and Frameworks from Interoperability Perspective, in World Conference on Information Technology. 2010, Elsevier: Turkey.

    Smith, D.B., Guide to Interoperability. 2009, Software Engineering Institute, Carnegie Mellon University.

    C4ISR, Levels of Information Systems Interoperability (LISI), in C4ISR Interoperability Working Group. 1998 US Department of Defense: Washington. D.C.

    Clark, T., Jones, R., Organizational Interoperability Maturity Model for c2, in Proc. of the 1999 Command and Control Research and Technology Symposium. 1999: Whashington 

    Tolk, A., Beyond Technical Interoperability – Introducing a Reference Model for Measures of Merit for Coalition Interoperability in 8th International Command and  Control Research and Technology Symposium(ICCRTS). 2003: Washgington, D.C.

    Morris, E., et al., Systerns of Systems Interoperability (SOSI) : Final Report. 2004, Software Engineering Institute, Carnegie Mellon University.

    ATHENAConsortium, ATHENA Interoperability Framework (AIF). 2006, European

    Commission through the ATHENA IP (Advanced Technologies for interoperability of Heterogeneous Enterprise Networks and their Applications Integrated Project).

    ۵۴. رضوی, ارائه چارچوبی نوین جھت تحلیل ویژگی ھای کیفی معماری سازمانی. ١٣٨٩, گروه مھندسی کامپیوتر- دانشگاه آزاد اسلامی، واحد علوم و تحقیقات.

    Carney, D., D. Fisher, and P. Place, Topics in Interoperability: System-of-Systems Evolution. 2005, Software Engineering Institute, Carnegie Mellon University.

    Berre, A.J., et al., The ATHENA Interoperability Framework. Enterprise Interoperability II,

    New Challenges and Approaches, (R.J. Goncalves, J.P. Muller, K. Mertins, M. Zelm, Eds.) Springer Verlag London, 2007: p. 569—580.

    Knothe, T. and R. Jochem, Quality Criteria for Enterprise Modeling in the context of networked Enterprises. Enterprise Interoperability II, New Challenges and Approaches Springer Verlag London, 2007: p. 149—158.

    Zwegers, A., Interoperability Developments for Enterprise Application and Software - roadmaps, in eGovernmentInteroperabilityWorkshop. 2003: Brussels.

    ٩۵. دارا, ع., ارائه یک مدل تلفیقی برای تضمین امنیت معماری سرویس گرا. ١٣٨٩, دانشگاه آزاد اسلامی واحد علوم و تحقیقات گروه مھندسی کامپیوتر  

    Kang, M., J. Park, and J. Froscher. Access Control Mechanisms for Inter-Organizational Workflow. in Proceedings of the 6zh ACM Symposium on Access Control Models and Technologies (SACMAT ’01). 2001.

    Menzel, M., C. Wolter, and C. Meinel, Access Control for Cross-Organizational Web Service Composition. Journal of Information Assurance and Security, 2007: p. 155–160.

    ISO/IEC (1996) Information Technology - Open Systems Interconnection - Security Frameworks for Open Systems: Confidentiality Framework (Adopted ISO/IEC 10181-5.  Volume,  

    Sowa, J.F. and J.A. Zachman, Extending and formalizing the framework for information systems architecture. IBM Systems Journal, 1992. 31: p. 590-616.

    Saaty, T., The Analytic Hierarchy Process: Planning, Priority Setting, Resource Allocation.

    1980 McGraw-Hill.

ثبت سفارش
عنوان محصول
قیمت