بنابراین به منظور بدست آوردن درک درست از انواع مختلف شبکه ­های محلی و مزایا و معایب آنها یک دانش پایه از فناوری­های اساسی در این زمینه لازم است. البته ظهور شبکه ­های محلی در درون سازمان­ها یک چالش را برای مدیریت به منظور اطمینان از امنیت و ادامه دسترسی به اطلاعات و منابع محاسباتی لازم برای بقای کسب و کار و کسب مزیت رقابتی فراهم آورده است و باید در مقابل تهدیدات و حملاتی از قبیل ARP ^[۱۱۴]، جاسوسی و به منظور حفظ امنیت برای سیستم­ها و برنامه­هایی که از شبکه استفاده می­ کنند، کنترل و مدیریت شوند (ژانگ، دنگ، وی و دنگ^[۱۱۵]، ۲۰۱۲).

از سوی دیگر می­توان گفت که خطرات ذاتی زیادی در محیط شبکه ­های محلی وجود دارد، خطراتی در اشکال مختلف که شامل بلایای طبیعی تصادفی یا آسیب­های عمدی از قبیل تزریق پیام جعلی، رهگیری پیام توسط گیرندۀ غیرمجاز، اختلال در انتقال و تغییر مسیر انتقال داده به گروه ­های جعلی می­شوند.

امنیت سرور وب
سرور در واقع لینک سوم در مسیر مشتری _ اینترنت _ سرور است و از آن­جایی که دارای آسیب پذیری­ است، می ­تواند ابزاری برای سوء استفاده کسانی باشد که قصد تخریب یا بدست آوردن غیرقانونی اطلاعات را دارند. می­توان گفت که سرور وب یک برنامه کامپیوتری است که محتوا را بر روی شبکۀ جهانی وب تحویل می­دهد و شاملIIS ^[۱۱۶] و Apache می­باشد (ژانگ و همکاران، ۲۰۱۲). سرورهای وب هدف­های جذابی برای حملۀ هکرها می­باشند زیرا که صفحات وبی که سرورها ارائه می­ دهند درواقع یک تصویر اینترنتی از سازمان­ است و به طور طبیعی و بالقوه در دسترس افراد تعیین شده قرار دارد و باید در نظر داشت که هکرها به دنبال سوء استفاده از آسیب پذیری­های سرور و وب سایت­های توافق شده هستند (ناهاری و کراتز، ۲۰۱۱). در نتیجه، امنیت در آن به امن نگه داشتن داده ­ها و منابع از جاسوسی، نفوذ و سوء استفاده اشاره دارد.
یک محیط مجازی وب پیچیدگی شناسایی و تصدیق کاربران را افزایش می­دهد و سرور وب اولین نقطه­ای است که در آن تماس کاربر با محیط مجازی پایگاه داده صورت می­گیرد. سرور وب را می­توان به گونه ­ای پیکربندی کرد که خدمات امنیتی لازم را ارائه نماید. البته برای تقاضایی که نیاز به تصدیق دارد، می­توان از نام کاربری و کلمۀ عبور سنتی استفاده کرد. با این وجود، روش­های دیگر، شامل استفاده از گواهینامۀ دیجیتال، کوکی­های امن یا کارت­های الکترونیک هستند که می­توانند برای بالا بردن تصدیق به کار روند. برای اطمینان از این که کاربر جعلی نیست، مشتری می ­تواند سرور وب را از طریق گواهینامۀ دیجیتال تصدیق کند، این درواقع نشان دهندۀ یک مسیر مورد اعتماد بین کاربر و سرور وب می­باشد.
باید در نظر داشت که بیشتر نقض­های امنیتی که اتفاق می­افتند نتیجۀ از دست دادن درستی (صحت) در سرور وب هستند. اگر یک سرور وب به یک هکر اجازه دهد که کنترل­های اجرایی را از طریق نقص­های امنیتی بدست آورد، هیچ اندازه­ای از یکپارچگی (صحت) داده، نمی­تواند از اطلاعات سرور پایگاه داده حفاظت کند. بنابراین در ابتدا لازم است که از صحت تمام صفحات سرور وب و نرم­افزارهایی که برای چک کردن این صحت در یک دورۀ زمانی مشخص به­کار
می­روند، حفاظت کنیم. این موضوع همچنین به ما این اطمینان را می­دهد که هیچ محتوای بی­اعتباری به مشتری تحویل داده نشده است (بلانگر و همکاران، ۲۰۰۲).
تهدیدات سرور تجارت:
سرور تجارت همراه با سرور وب، به درخواست مرورگرهای وب از طریق پروتکل http و اسکریپت­های CGI پاسخ می­دهد و مجموعۀ نرم­افزارهای سرور تجارت شامل سرورftp، سرور پست الکترونیک، سرور ورود به سیستم از راه دور و سیستم عامل­ها برروی ماشین میزبان، است که هریک از این نرم­افزارها می­توانند دارای حفره­های امنیتی و خطاهای برنامه نویسی باشند (سنگوپتا و همکاران، ۲۰۰۵).

امنیت سیستم­عامل
گسترش شبکه‌های رایانه‌ای در سطح دنیا و امکان ارتباط همۀ کامپیوترها با یکدیگر، پتانسیل نفوذ به هر کامپیوتر از هر جای دنیا را فراهم نموده است و وجود نقطۀ ضعف یا آسیب‌پذیری در سیستم­عامل، راه نفوذ رایج‌تر و دردسترس‌تری را در اختیار مهاجمین قرار می‌دهد. براین اساس، امنیت سیستم­عامل به منزلۀ مهمترین مؤلفه در امنیت اطلاعات و شبکه‌های رایانه‌ای محسوب می‌شود. سیستم­عامل یک نرم­افزار است که برروی کامپیوترها اجرا شده، سخت­افزارهای کامپیوتری را مدیریت می­ کند و خدمات رایج برای اجرای کارآمد نرم­افزارهای کاربردی متعدد را ارائه می­دهد که البته امنیت آن باید از طریق به روز نگه داشتن سیستم با آخرین تعمیرات امنیتی تأمین گردد (پست و کاگن^[۱۱۷]، ۲۰۰۳). به طور کلی یک سیستم­عامل قابلیت ­های زیر را فراهم می ­آورد:
مدیریت محیط محاسباتی و پردازش
مدیریت اجزا سخت­افزار
تخصیص حافظه
ارائۀ برنامه ­های رابط برنامه­نویسی^[۱۱۸]
ارائۀ رابط برای تعامل کاربران با بسترهای محاسباتی
مدیریت فایل­ها و ذخیره­سازی داده ­ها (ناهاری و کراتز، ۲۰۱۱).
از آن­جایی که هکرها می­توانند اطلاعات اصلاحی را برای حمله به سیستم­هایی که به روز نشده­اند، مورد استفاده قرار دهند، فروشندگان سیستم­عامل (به ویژه مایکروسافت و UNIX/Linux و مشتقات آنها)، معمولاً اعلامیه­ها و راه­حل­هایی را که مورد نیاز است، منتشر می­ کنند. گاهی اوقات دو یا سه به روز رسانی ممکن است، در هر ماه توزیع شود که در آن موضوعات خاص درمورد تهدیدات سیستم عامل و همچنین فرایند کاهش تهدیدات کامپیوتری با تأکید بر نقاط ورودی، کارکنان و نیروهای خارجی در سازمان­های تجاری، مطرح می­ شود (پست و کاگن، ۲۰۰۳).
از سوی دیگر با توجه به این که مکانیزم­ های محافظت از سیستم عامل­های فعلی به جهت محافظت از الزامات درستی(صحت) و محرمانگی سیستم نهایی ناکافی می­باشند، برای حل این مشکل آژانس امنیت ملی^[۱۱۹] با شرکت محاسبۀ ایمنی^[۱۲۰]به منظور توسعۀ یک معماری کنترل دسترسی اجباری که دارای قدرت و انعطاف پذیری است، همکاری نمودند. البته از آن­جایی که سیستم­های نهایی باید قادر به جداسازی اطلاعات براساس محرمانگی و درستی لازم برای ایجاد امنیت سیستم باشند؛ مکانیزم­ های امنیت سیستم عامل پایه و اساس اطمینان از این­چنین جدایی­هایی هستند. متأسفانه سیستم عامل­های موجود فاقد ویژگی­های امنیتی مهم مورد نیاز برای اجرای جداسازی (کنترل دسترسی اجباری)، می­باشند. درنتیجه، مکانیزم­ های امنیتی نرم­افزار در حوزۀ دستکاری و دورزدن، دارای آسیب­پذیری بوده و همچنین برنامه ­های مخرب یا ناقص به راحتی می­توانند باعث شکست امنیت سیستم شوند (اسمالی و لوسکاکو^[۱۲۱]، ۲۰۰۱).
بنابراین در امنیت سیستم­عامل باید به این موضوعات رسیدگی شود و هدف اصلی باید کاهش ریسک تا زمان رسیدن به یک سطح قابل قبول باشد. در زیر برخی رویه­­های کلی اضافی برای حفاظت از سیستم­عامل مطرح گردیده است:
درک این­که استفاده از پلت­فرم محاسباتی محافظت شده باشد
بدست آوردن و نصب یک نسخۀ پاک و مورد اعتماد سیستم­عامل
ارزیابی و بستن پورت­های باز غیرضروری
نصب برنامه­هایی که برای عملکرد سیستم ضروری هستند
راه اندازی حساب کاربری امن
اطمینان در زمینۀ استفاده از کلمات عبور قوی
تنظیم روش­ها برای تصدیق هویت کاربران
تست پلت­فرم محاسباتی و محیطی برای عملیات مناسب (ناهاری و کراتز، ۲۰۱۱).

امنیت نرم­افزار^[۱۲۲]
امروزه آسیب­پذیری­ها و نقص­های مربوط به امنیت در نرم­افزار، به یکی از نگرانی­های عمده در صنعت نرم­افزاری تبدیل شده ­اند. اگرچه تلاش­هایی برای کاهش آسیب پذیری­های امنیتی در نرم­افزارها در حال انجام است و شامل پیشرفت در توسعه فرآیندها و ابزارها می­باشند، اما آسیب پذیری­ها و حوادث امنیتی رایانه که نتایج حاصل از بهره ­برداری آنها بسیار بالا است، همچنان پابرجا هستند.
در دهۀ گذشته، آسیب­پذیری­های نرم­افزار به شدت امنیت کامپیوتر را تهدید کرده است و باید در نظر داشت که کاربران مخرب می­توانند اطلاعات محرمانۀ درون برنامۀ هدف را بدست آورند و حتی آن را با بهره گرفتن از نقض­های طراحی، کنترل نمایند.
به عنوان مثال با نگاهی به بدنامی سرریز بافر می­توان دید که در آن حمله کنندگان می­توانند با بهره گرفتن از آسیب­پذیری نرم­افزار و دستکاری نرم­افزار ورودی، باعث بازنویسی مجموعه، به منظور کنترل جریان اجرای برنامه شوند (ژانگ، هوانگ، کی و گوان، ۲۰۱۲).
البته از آنجایی که در سال­های اخیر استفاده از برنامه ­های کاربردی تجارت الکترونیک به امری عادی در وب سایت­های فعلی تبدیل شده است که در این برنامه­ ها تمام اطلاعات محرمانه بوده یا دارای ارزش بازاری هستند، باید در هنگام انتقال برروی محیط باز اینترنت به دقت محافظت شوند؛ لذا در این راستا پژوهش­هایی انجام شده که نتایج آنها حاکی از این است که بر طرف کردن اشکالات امنیتی در مراحل اولیه و با بهره گرفتن از روش­های نوین، بسیار مؤثرتر و کارآمدتر از برطرف کردن آنها در مراحل پیشرفته­تر و با بهره گرفتن از روش­های سنتی می­باشد. لازم به ذکر است که روش­های متعددی در حوزۀ امنیت نرم­افزار مطرح گردیده که به بعضی از آنها در این قسمت اشاره می­ شود:
تجزیه و تحلیل آلودگی ^[۱۲۳]، یک روش رایج برای شناسایی رفتارهای مخرب در سال­های اخیر است. براساس این مفهوم، بعضی از داده ­ها از قبیل داده ­های وارد شده از سوی کاربر، قابل اعتماد نیستند و این تجزیه و تحلیل به منظور پیگیری داده­هایی که می­توانند برای آسیب زدن به نرم­افزارها مورد استفاده قرار گیرند و نظارت براقدامات مشکوک پیشنهاد گردیده است. از سوی دیگر از آنجا که بیشتر کاربران مخرب از طریق دستکاری ورودی به نرم­افزار حمله می­ کنند، یک روش بصری برای حفاظت از نرم افزار، نظارت بر ورودی از سوی کاربران به عنوان دادۀ مخرب می­باشد (ژانگ و همکاران، ۲۰۱۲).
تست­های غیرفعال، در مقاله­ای که توسط شاه­مهری، ممر، مانتیس دی اکا، بایرز، کاولی و آردی^[۱۲۴] (۲۰۱۲) منتشر شد؛ یک رویکرد مبتنی­بر مدلی جدید برای کشف شواهد آسیب­پذیری­های حاصل از اجرای نرم­افزار و یک تکنیک شناخته شده به عنوان تست­های غیرفعال^[۱۲۵] ارائه گردید و باید در نظر داشت که تست­های منفعل برای شناسایی خطاها بسیار مؤثر شناخته شده ­اند.
مدل هدف امنیتی،^[۱۲۶] در زمینۀ دستیابی به اهداف امنیتی نرم­افزار مطرح شده است، در این مدل هدف هرچیزی است که برروی امنیت یا برروی اهداف دیگر تأثیر می­ گذارد که برخی از این اهداف لزوماً خوب نمی­باشند. مدل ارائه شده در شکل (۲-۲) نشان دهندۀ روش­های متعددی است که در آن حملۀ جایگزین کردن نرم­افزار از قبیل گرفتن یک توسعه دهنده (برنامه نویس)، برای جایگزین کردن نرم­افزار بعد از شناسایی و نفوذ در آنها یا انجام آپلودهای غیرمجاز بعد از دسترسی به حساب کاربری یک برنامه نویس از طریق سرقت رمز عبور پایگاه داده که با یک حملۀ تزریق SQLصورت می‌گیرد، می ­تواند انجام شود.
شکل۲-۲ مدل هدف امنیتی برای حمله به منظور جا به ­جایی نرم­افزار (اقتباس از شاهمهری و همکاران، ۲۰۱۲)

امنیت پایگاه داده^[۱۲۷]
با گسترش روزافزون استفادۀ سازمان­ها از پایگاه­های داده در امور روزانه و تصمیم گیری­های سازمانی، نقش امنیت اطلاعات و داده ­ها اهمیت روزافزونی پیدا کرده و توسعۀ سریع کاربردهای مبتنی بر وب از سیستم­های پایگاه داده این مقوله را اهمیتی مضاعف بخشیده است. همچنین امروزه حفاظت از اطلاعات سازمانی نه تنها در ارتباط با کاربران خارجی که در برابر سوءاستفادۀ کاربران داخل سازمان نیز مورد توجه قرار می­گیرد.