ارائه فرآیندی برای تست امنیت نرم افزارهای تحت شبکه های اینترانتی

بخشی از فهرست مطالب پروژه ارائه فرآیندی برای تست امنیت نرم افزارهای تحت شبکه های اینترانتی

چکیده

مقدمه

فصل اول : کلیات

۱-۱ هدف از طرح مسئله

۱-۲ سوالات تحقیق

۱-۳  پیشینه کار و تحقیق (مرور ادبیات)

۱-۳-۱  فرآیند تست امنیت نرم افزار : رویکرد فازبندی شده

۱-۳-۲  حرکت به سمت یکپارچه سازی چارچوب تست امنیت نرم افزار با توسعه نرم افزار

۱-۳-۳ معرفی یک روش تست امنیت نرم افزار بر اساس انواع آسیب پذیری ها

۱-۳-۴ فرآیند تست امنیت در چرخه حیات توسعه نرم افزار

۱-۳-۵  فرآیندی جهت تست امنیت

۱-۴  شاخص ها یا خصوصیات تست امنیت نرم افزارها

۱-۵  کاستی های کارهای ارائه شده توسط دیگران

۱-۶ روش کار و تحقیق

فصل دوم : روش کار

۲-۱  مفاهیم شبکه های اینترانت

۲-۱-۱ تعریف اینترانت

۲-۱-۲ مزایای اینترانت ها

۲-۱-۳ ساختار پایه ای اینترانت ها

۲-۱-۴ ضرورت توسعه اینترانت ها

۲-۱-۵ محدودیت های اینترانت ها

۲-۱-۶ کاربرد اینترانت ها

۲-۲  تفاوت شبکه های اینترانتی و اینترنتی

۲-۳  شناختی بر انواع معماری های شبکه های اینترانتی

۲-۴  امنیت شبکه های اینترانتی

۲-۴-۱  امنیت چیست ؟

۲-۴-۲  دیدگاههای مختلف در رابطه با امنیت

۲-۴-۳  مدیریت امنیت در شبکه های اینترانتی

۲-۵  امنیت نرم افزارها

۲-۶  نقص های امنیتی

۲-۶-۱ SSD در یک نرم افزار چیست؟

۲-۶-۲ دلایل ناشی

۲-۶-۳ روشهای اصلاح

۲-۶-۴ روشهای استفاده معکوس

۲-۷  آسیب پذیری های نرم افزار

۲-۷-۱ انواع آسیب پذیری ها

۲-۸  10 لیست برتر آسیب پذیری های سال

فصل سوم: مفاهیم تست امنیت نرم افزارها

۳-۱  بررسی نرم افزارهای مبتنی بر اینترانت

۳-۱-۱ طبقه بندی انواع نرم افزارهای مبتنی بر اینترانت

۳-۱-۲ خواص نرم افزارهای مبتنی بر اینترانت

۳-۲  امنیت در سیستم های  ERP

۳-۲-۱ سیستم برنامه ریزی منابع سازمانی ERP

۳-۲-۲ امنیت در سیستم های بزرگ سازمانی

۳-۲-۳ محورهای حفاظت برای برقراری امنیت

۳-۲-۴ دسترسی و کنترل آن در سیستم های ERP

۳-۲-۵  حفاظت از یکپارچگی و اعتبار اطلاعات

۳-۲-۶  ارزیابی امنیت سیستم های ERP

۳-۳  مشکلات امنیتی در سیستم های ERP

۳-۳-۱ مسائل و مشکلات امنیتی مشترک در سیستم های ERP

۳-۳-۲ استفاده جهانی از سیستم ERP

۳-۳-۳ متغیرها و مفهوم آن در امنیت

۳-۳-۴ پیاده سازی نرم افزار ERP

۳-۳-۵ رویکردهای متمرکز در مقابل رویکردهای غیرمتمرکز

۳-۴  مفاهیم تست امنیت نرم افزارها

۳-۴-۱ تست امنیت چیست؟

۳-۴-۲  ضرورت تست امنیت

۳-۴-۳  اهداف تست امنیت

۳-۴-۴  مدیریت ریسک و تست های امنیت

۳-۵  استانداردهای تست امنیت نرم افزارها

۳-۵-۱ استاندارد  27034 ISO/IEC

۳-۶  روشهای اصلی تست امنیت در نرم افزارهای مبتنی بر اینترانت

۳-۶-۱ تست امنیت رسمی

۳-۶-۲  تست امنیت مبتنی بر مدل

۳-۶-۳ تست امنیت مبتنی بر تزریق خطا

۳-۶-۴ تست فازی

۳-۶-۵ تست بررسی آسیب پذیری

۳-۶-۶ تست مبتنی بر صفت خاص

۳-۶-۷ تست امنیت مبتنی بر جعبه سفید

۳-۶-۸ تست امنیت مبتنی بر ریسک

۳-۷  طبقه بندی و عملکرد ابزارهای تست امنیت

فصل چهارم : ارائه فرآیندی برای تست امنیت نرم افزارهای تحت شبکه های اینترانتی

۴-۱ مفاهیم کلی در رابطه با فرآیند تست امنیت نرم افزارها

۴-۱-۱ چرخه حیات توسعه نرم افزار

۴-۲ فرآیند پیشنهادی برای تست امنیت نرم افزارهای تحت اینترانت

۴-۲-۱  تشریح فعالیتهای فرآیند ارائه شده

۴-۲-۲ یکپارچگی تست امنیت با چرخه حیات توسعه نرم افزار

۴-۲-۳ خصوصیات فرآیند پیشنهادی

بحث و نتیجه گیری

۵-۱ آماده سازی بستر تست

۵-۱-۱ خصوصیات یک شبکه برای راه اندازی سیستم ERP

۵-۱-۲ الگوی های مختلف استقرار سیستم ERP

۵-۲  کارهای آتی

منابع

فهرست اشکال

شکل ۱-۱ : یکپارچه سازی فرآیند چرخه حیات تست امنیت با فرآیند توسعه

شکل ۱-۲ : فرآیند طرح تست امنیت و استراتژی تست امنیت

شکل ۱-۳ : فرآیند طراحی موردهای تست امنیت

شکل ۱-۴ : فرآیند اجرای موارد تست امنیت

شکل ۱-۵ : فرآیند بدست آوردن نتایج تست امنیت

شکل ۱-۶ : فرآیند بدست آوردن متریک های تست امنیت

شکل ۱-۷ : فرآیند ارزیابی کیفی

شکل ۱-۸ : فعالیتهای موجود در مراحل توسعه نرم افزار

شکل ۱-۹ : سطح و تست و استراتژی تست

شکل ۱-۱۰:  نقشه مراحل توسعه نرم افزار

شکل ۱-۱۱: چارچوب تست امنیت نرم افزار

شکل ۱-۱۲ : چارچوب درخت تهدید تزریق SQL

شکل ۱-۱۳ : نمودار جریان داده فرآیند ورود

شکل ۱-۱۴ : درخت تهدید SQL Injection

شکل ۱-۱۵ : الگوریتم پیمایش درخت تهدید

شکل ۱-۱۶ : الگوریتم برای روند MyDFS

شکل ۱-۱۷ : جایگاه تست امنیت در چرخه حیات توسعه نرم افزار

شکل ۱-۱۸ : چرخه حیات تست امنیت

شکل ۱-۱۹ : رویکرد تست امنیت

شکل ۱-۲۰ : انواع تست های امنیت

شکل ۲-۱ : سیر تکاملی SSD

شکل ۲-۲ : مدل طبقه بندی CMR از SSD

شکل ۲-۳ : ۱۰ لیست برتر آسیب پذیریهای سال

شکل ۳-۱ : نمودار جریان فرآیند تست امنیت خودکار عملکردی

شکل ۴-۱ : چرخه‏ حیات توسعه نرم افزار

شکل ۴-۲ : فرآیند ارائه شده جهت تست امنیت نرم افزارها

شکل ۴-۳ : فرآیند ارائه شده جهت تست امنیت نرم افزارها با شرح فعالیتهای هر مرحله

شکل ۴-۴ : فرآیند تست امنیت در کل چرخه حیات توسعه نرم افزار

شکل ۴-۵ : خصوصیات فرآیند تست امنیت پیشنهادی

شکل ۵-۱ : ساختار کلی یک معماری سیستم ERP

فهرست جداول

جدول ۱-۱ : فهرست نقص ها بر اساس آمار CVE

جدول ۱-۲ : شاخص های تست امنیت در نمونه کارهای ارائه شده

جدول ۲-۱ : مقایسه تفاوت های اینترنت و اینترانت

مقدمه
امنیت نیز مثل هر مقوله ذهنی و اجتماعی دیگر در جهان دستخوش تغییر و دگرگونی شده است. عوامل و متغیرهای امنیت زدا در دنیایی که اطلاعات و ارتباطات مرزهای آن ها را در هم شکسته است، از نو تعریف می شود. امنیت در جهان واقعی چه در مقیاس فردی و چه در مقیاس اجتماعی آن، مفهومی پویاست که تحت تاثیر فرصت ها و تهدیدهای جدید ملی و بین المللی تبیین و تفسیر می شود.
در دنیای فناوری اطلاعات و ارتباطات با استفاده های گسترده از کامپیوتر، نرم افزارها پیچیده- تر و مقیاسشان بزرگتر شده و به طور فزاینده ای منجر به مشکلات امنیتی در حوزه نرم افزار می شوند. عصر اینترنت باعث شده است تا هم? برنامه های کاربردی ملزم به ایمن سازی شوند ولی این تنها مشکل نیست، زیرا نقص ها و آسیب پذیری های امنیتی جدید هنوز در برنامه های کاربردی با سرعت یکنواخت در حال شناسایی و کشف می باشند و به نظر می رسد که توسعه دهنده گان نرم افزار از این مسئله رنج می برند که حتی قادر به بدست آوردن تجربه از اشتباهات گذشته اش هم نیستند. از این رو نیاز به توسعه نرم افزار امن رو به افزایش است و بنابراین می بایست تکنیک های سهل تری را که قادرند ایمن سازی را در چرخه حیات توسعه نرم افزاری تضمین کنند مورد بحث قرار داد.
تبادل داده های الکترونیکی جهت انتقال داده ها و اطلاعات در درون سازمان از نیازهای اولیه سازمان می باشد. بطوریکه این تبادل اطلاعات مشتریان و تامین کنندگان را نیز پوشش می دهد. برای این منظور اینترنت با پروتکل کاربر پسند خود جهت بازیابی اطلاعات در مباحث مختلف به میان آمد. اگر اینترنت برای برقراری ارتباط با افراد و سازمان های خارج از حیطه عملیات شرکت مناسب می باشد باید برای ارتباطات داخلی نیز به همان اندازه خوب باشد. این استدلالی است که منجر به ایجاد اینترانت ها گردید. ویژگی های منحصر بفرد اینترانت مثل صرفه جویی در هزینه و زمان، تمرکز اطلاعات، ایجاد امکان اشتراک و سازماندهی اطلاعات از طریق صفحات وب، بهره گیری از آن برای انتشار منابع اطلاعاتی سازمان و غیره سبب شده است تا در بین سازمان ها عمومیت پیدا کند. نرم افزارهای مختلفی بروی شبکه های اینترانتی قابل اجرا می باشند که یک نمونه از این سیستم ها، سیستم برنامه ریزی منابع سازمانی است.
امروزه در جهان، استفاده از سیستم های برنامه ریزی منابع سازمانی یا به اختصار ERP  بسیار رواج یافته است. اینگونه سیستم ها در طی سالیان اخیر به سیستم های کاربردی اساسی برای بسیاری از سازمان های بزرگ و متوسط در سراسر جهان تبدیل شده اند. سیستم های ERP در بسیاری از کارخانجات و صنایع وابسته به آن ها به عنوان بستر اصلی پردازش تراکنش ها مورد استفاده قرار می گیرند. به همین دلیل، مقوله امنیت در این سیستم ها از اهمیت بالایی برخوردار است زیرا تقریبا تمام عملکرد تجاری سازمان هایی که از ERP استفاده می کنند به نحوی به عملکرد صحیح این سیستم ها وابسته می باشد. از آنجایی که در دنیای بسیار مرتبط جهان امروز، حیات تجاری شرکت ها بیش از پیش به فن آوری اطلاعات وابسته شده است، به همین ترتیب، حجم حملات به سیستم های اطلاعاتی روز به روز افزایش می یابد و سیستم های ERP نیز از این مشکل مستثنی نیستند. مشکل امنیت در سیستم های اطلاعاتی یک مسئله عمومی است. سالانه میلیون ها دلار توسط شرکت های کوچک و بزرگ در مقوله امنیت اطلاعات هزینه می شود ولی متاسفانه حملات کماکان ادامه دارند.
نقص امنیتی در حوزه فناوری اطلاعات موجب می شود که نه تنها مزایای بی شمار آن از بین برود بلکه به عامل تهدید کننده زندگی بشری نیز تبدیل شود. آنچه در  رابطه با توسعه محصولات نرم افزاری و فراگیر شدن استفاده از محصولات نرم افزاری در انواع صنایع، سازمانها، شرکتها و… حائز اهمیت می باشد این است که فراهم شدن امکانات جدید تنها باعث پیدایش محصولات نوین و راههای بهتر و کارآمدتر نشده است بلکه در کنار آن راههای سوء استفاده از فناوری هم فراهم شده است .
امنیت نرم افزار در مورد رفتار نرم افزار در برابر یک حمله مخرب می باشد، که حتی در دنیای واقعی، شکست های نرم افزاری معمولا خود به خود اتفاق می افتند. جای تعجب نیست که تاریخچه استاندارد تست نرم افزار فقط نگران این مسئله است زمانی که نرم افزار بطور غیر عمدی با شکست مواجه می شود، چه اتفاقی می افتد. امنیت همیشه مربوط به اطلاعات و خدمات محافظت شده، مهارت ها و منابع دشمنان، و هزینه های بالقوه فعالیت های تضمین شده نیست. امنیت یک تمرین در مدیریت ریسک است. تجزیه و تحلیل ریسک، به خصوص در سطح طراحی، می تواند به ما در شناسایی مشکلات بالقوه امنیتی و اثر آنها کمک کند. ریسکهای نرم افزار یکبار شناسایی و رتبه بندی شده ، سپس می توانند در راهنمایی تست امنیت نرم افزار کمک کنند. واقعیت این است که هرچه توسعه نرم افزار تکمیل تر شود، اعمال و در نظر گرفتن امنیت پر هزینه تر و زمانبرتر خواهد بود. بنابراین امنیت باید از ابتدای تولید سیستم در نظر گرفته شود و قسمتی از مشخصات و نیازمندی های کاربردی سیستم باشد.
بدیهی است که هیچ زمانی و تحت هیچ شرایطی تاکنون امنیت مطلق برای نرم افزارها حاصل نگردیده است یعنی ما به جرات نمی توانیم بگوییم که یک نرم افزار کاربردی ۱۰۰% ایمن می باشد اما تا جایی که ممکن است باید آسیب پذیری ها را به حداقل رسانده و امنیت را برقرار کنیم. پس اگر چه امنیت مطلق چه در محیط های واقعی و چه در محیط های مجازی دست نیافتنی است اما ایجاد سطحی از امنیت در حوزهء فناوری اطلاعات و ارتباطات که به اندازه کافی و متناسب با نیازها و سرمایه گذاری انجام شده باشد تقریبا در تمامی شرایط محیطی امکان پذیر است. مسئله حائز اهمیت این است که چگونه می توان میزان امنیت یک نرم افزار کاربردی مبتنی بر اینترانت را با در نظر گرفتن تهدیدات امنیتی شبکه اینترانت و نقاط آسیب پذیر نرم افزارها تا حدودی بالا برد. این امر جز با استفاده از روشهای منسجم تست امنیت در چرخه حیات تولید نرم افزار حاصل نمی گردد. نگرانی رو به رشدی در مورد تست امنیت وجود دارد، بدلیل اینکه به عنوان یک وسیله مهم جهت بهبود امنیت نرم افزار در نظر گرفته شده است. تست امنیت نرم افزارها، فرایندی است که توسط یک تیم واجد شرایط تست انجام می شود تا نرم افزار یا برنامه های کاربردی را به منظور شناسایی فرصت ها جهت بهبود در کنترل امنیت و اعتبار سنجی داده ها مورد ارزیابی قرار دهد. در واقع تست امنیت نرم افزار فرآیندی است برای شناسایی اینکه آیا ویژگی های امنیتی نرم افزار با طراحی سازگار می باشد. با انجام فرآیند تست امنیت نرم افزار باید به یکسری خصوصیات امنیتی رسید تا امن بودن سیستم را مطابق با نیازمندی های امنیتی سازمان تضمین نماید. خصوصیات امنیتی نرم افزار به طور عمده شامل محرمانه بودن داده ها، یکپارچگی، در دسترس بودن ، اعتبار ، مجوز، کنترل دسترسی، ممیزی، حفاظت از حریم خصوصی، مدیریت امنیت، و غیره می باشد.
بطورکلی این پایان نامه با هدف ارائه فرآیندی جامع، روشمند و قابل استفاده، ضمن تحلیل راهکارهای موجود از ویژگی های مثبت آنها استفاده نموده و در موارد لازم راهکارهایی ضروری را جهت پرکردن خلاءهای موجود تبیین می نماید. فرآیند پیشنهادی جهت تست امنیت نرم افزارهای مبتنی بر اینترانت از جمله سیستم های ERP با هدف قابلیت استفاده در سازمانها و شرکت های توسعه نرم افزاری به عنوان مبنایی جهت برقراری امنیت در سطح برنامه های کاربردی ارائه گردیده و سپس کلیه فعالیت ها، تخصص های مورد نیاز و ابزارهای لازم را از ابتدا تا انتهای فرآیند، به طور روشمند و سازمان یافته ارائه می نماید. این فرآیند نگاه وسیعتری به انواع آسیب پذیری ها و مشکلات امنیتی در سیستم های ERP داشته و در صدد به حداقل رساندن آنها مراحلی از فعالیت ها را طی می کند همچنین با در نظر گرفتن گام های تست امنیت در طول چرخه حیات توسعه نرم افزار از انتشار نقص ها به مراحل آتی توسعه نرم افزار جلوگیری می کند و همچنین اکثر خصوصیات و شاخص های تست امنیت را پوشش می دهد.با توجه به ویژگی های منحصر به فرد روش پیشنهادی، امکان راه اندازی مجموعه هایی اجرایی جهت تست امنیت نرم افزارهای مبتنی بر اینترانت  میسر خواهد بود.    
روال کلی تحقیق بدین شکل می باشد که در فصل اول به کلیات مسئله، سوالات تحقیق و مرور چند نمونه از کارهای ارائه شده در این زمینه اشاره خواهیم داشت. در فصل دوم در رابطه  با مفاهیم کلی شبکه های اینترانتی، تفاوتهای شبکه های اینترانت با شبکه اینترنت ، مفهوم امنیت در شبکه های اینترانتی، شناخت مفاهیم نقص های امنیتی وآسیب پذیریها و ۱۰ لیست برتر آسیب پذیری های سال ۲۰۱۳ مطالبی ارائه خواهیم نمود. در فصل سوم این تحقیق به بررسی انواع و خواص نرم افزارهای مبتنی بر اینترانت، شناخت سیستم هایERP ، اهمیت امنیت و مشکلات امنیتی در نرم افزارهایERP  که به عنوان نمونه ای از نرم افزارهای تحت اینترانت می باشند خواهیم پرداخت همچنین در رابطه با مفاهیم تست امنیت نرم افزارها، ضرورت و اهداف تست امنیت، استانداردهای تست امنیت نرم افزارها، انواع روشهای اصلی تست امنیت و طبقه بندی و عملکرد ابزراهای تست امنیت بحث و بررسی انجام خواهیم داد. در فصل چهارم فرآیند پیشنهادی خود را براساس فرضیات و مفاهیم شناخته شده در فصل های قبل ارائه خواهیم نمود. فرآیند پیشنهادی تمام فعالیت های موردنیاز در هر مرحله را شرح می دهد بدین صورت که فرآیند بصورت فازبندی شده همراه با جزئیات هر مرحله ارائه خواهد شد. بعد از مشخص شدن فعالیت های هر مرحله از فرآیند خصوصیات امنیتی فعالیت های مربوطه را می توان شناسایی نمود. در فصل پنجم نیز بستر تستی که لازم است تا فرآیند تست امنیت پیشنهادی قابل پیاده سازی باشد، انواع الگوهای استقرار سیستم های ERP  ، شرایط محیطی لازم جهت تست و پیش فرض ها معرفی می شوند.

بخشی از منابع و مراجع پروژه ارائه فرآیندی برای تست امنیت نرم افزارهای تحت شبکه های اینترانتی

[۱] Ahmad Khan, SH., Ahmad Khan, R., “Software Security Testing Process: Phased Approach”, in
      Department of Information Technology Babasaheb Bhimrao Ambedkar University (A Central
      University), IITM 2013, CCIS 276, pp. 211–217, © Springer-Verlag Berlin Heidelberg 2013.
[۲] Hafeizah Hassan, N., Rahayu Selamat, S., Sahib, SH., Hussin, B., “Towards Incorporation of
      Software Security Testing Framework in Software Development”, in Faculty of Information and
      Communication Technology, ICSECS 2011, Part I, CCIS 179, pp. 16–30, © Springer-Verlag Berlin
      Heidelberg 2011.
[۳] Song, H., Liang, W., Changyou, Z., Hong, Y., “A Software Security Testing Method Based On
      Typical Defects”, in International Conference on Computer Application and System Modeling
      (ICCASM), 2010.
[۴] “SECURITY TESTING PROCESS IN SDLC”, Khaja Shariff, 2009,
      http://www.stickyminds.com/sitewide.asp?Function=edetail& ObjectType=ART
       &ObjectId=15130&tth=DYN&tt=siteemail&iDyn=2 .
[۵] “What is Security Testing”,  http://www.softwaretestingsoftware.com/what-is-security-testing/
[۶] "Security policy and objectives", http://publib.boulder.ibm.com
[۷] Karppinen, K., Savola, R., Rapeli, M., Tikkala, E., “Security Objectives within a Security Testing
      Case Study”, in VTT Technical Research Centre of Finland, Oulu, Finland, Second International
      Conference on Availability, Reliability and Security, (ARES"07), IEEE 2007.
[۸] Ramezani Farkhani, T., Razzazi, M.R., “Examination and Classifi"cation of Security Requirements of
      Software Systems”, CEIT Dept., Amirkabir University of Technology, Tehran, Iran, Published by
      IEEE, 2006.
[۹] امیر حسین عبدالمجید، "اینترانت چیست و چه کاربردهایی در کتابخانه ها دارد؟"، منتشر شده درمجله الکترونیکی پژوهشگاه اطلاعات و مدارک علمی ایران، ۱۳۸۵.
[۱۱] دکتر محسن آیتی ، سید علیرضا محمدزاده، "امنیت انسانی و کاربرد فناوری های نوین اطلاعاتی و ارتباطی"، مجموعه مقاله های همایش بین المللی امنیت انسانی در غرب آسیا.
[۱۲] http://publib.boulder.ibm.com/infocenter/iseries/v5r3/topic/apis/netsec1.pdf
[۱۳] Lane Chen, K., Etnyre, V., Lee, H., " Security Management in Intranet Systems", Communications
        of the International Information Management Association, Volume 3 Issue 1.
[۱۴] محسن زاده، "خصوصیات کیفی نرم افزار"، درس مهندسی نرم افزار پیشرفته، واحد علوم تحقیقات.
 [15] Zhanwei, H., Song, H., Bin, H., Zhengping, R., “A Taxonomy of Software Security Defects for
        SST”, PLA Software Test and Evaluation Centre for Military Training PLA University of Science
        and Technology, 2010.
[۱۶] Andrew, A., Laurie, W., “One Technique is Not Enough: A Comparison of Vulnerability Discovery
        Techniques”, in International Symposium on ESEM, pp. 97 – 106, 01 December 2011.
[۱۷]  "2013 Top 10 List (OWASP)", available at : https://www.owasp.org/index.php/Top_10_2013-T10
[۱۸]  "What is client-server and web based testing and how to test these applications",
http://www.softwaretestinghelp.com/what-is-client-server-and-web-based-testing-and-how-to-test-these-applications/
[۱۹]  "Web-based Applications vs. Client-Server Software", www.theiqgroup.com
[۲۰] خندان، فرزاد، "امنیت در سیستم های برنامه ریزی منابع سازمان"، چهارمین همایش سالانه سیستم مدیریت امنیت
       اطلاعات، مرکز همایش های بین المللی صدا و سیما، آذر ۱۳۸۶
[۲۱] علیزاده، صابر، "مشکلات امنیتی در پیاده سازی سیستم های برنامه ریزی منابع سازمان (ERP)"، نخستین همایش تخصصی آموزشی مدیران پروژه¬های فناوری اطلاعات، اردیبهشت ۱۳۹۰
[۳۴] حاجعلی ایرانی، غلامعلی نژاد، "چکیده ای درباره ERP"، دانشگاه صنعتی امیرکبیر- دانشکده ریاضی و علوم کامپیوتر، مقاله مقطع کارشناسی، اسفند ۸۳.