امنیت
پوشش نیازهای متنوع، با حداکثر سرعت و کیفیت
امنیت پرگار
در طراحی و پیادهسازی نرمافزارهای تحتوب، همواره اولویت با امنیت اطلاعات و دادهها است؛ ملاحظات امنیتی در حوزۀ شبکه و سیستمعامل از یک سو و تدابیر امنیتی در معماری و فناوری سیستم از سوی دیگر حائز اهمیت اساسی هستند.
محصول پرگار که جدیدترین نسل از راهکارهای نرمافزاری شرکت برید است، با رعایت کامل اصول امنیتی در تمامی سطوح، طراحی و پیادهسازی شده است؛ پرگار علاوهبر معماری امن و ایجاد بسترهای امن ارتباطی، موفق به دریافت تأییدیهها و گواهینامههای امنیتی معتبر از دستگاههای مربوطه نیز شده است و از مجموع اقدامات و فعالیتهای شرکت بَرید میتوان نتیجه گرفت که امنیت برای ما یک خط قرمز است.
امنیت اطلاعات و دادهها در محصول پرگار شامل موارد زیر است:
- استانداردها و گواهینامههای امنیتی
- ایمنسازی بسترهای ارتباطی
- احراز هویت امن
- ایمنسازی دادهها
- سایر قابلیتهای امنیتی محصول پرگار
استانداردها و گواهینامههای امنیتی
گواهینامۀ افتا (ارزیابی امنیتی محصول)
گواهینامۀ افتا (امنیت فضای تبادل اطلاعات) از سوی سازمان فناوری اطلاعات ایران
صادر میشود؛ این سازمان که متولی ساماندهی نظام ملی مدیریتِ امنیت اطلاعات کشور
است، بهمنظور حمایت و گسترش خدمات امنیت فضای تبادل اطلاعات، اقدام به ارزیابی و
صدور گواهینامههایی از این دست میکند.
گواهینامۀ «ارزیابی امنیتی محصول» برای مجموعه سیستمهای جامع و یکپارچه پرگار،
توسط معاونت امنیت فضای تولید و تبادل اطلاعات(افتا) به شماره اعتباری
CBP-C116-0201 و تاریخ اعتبار تا ۱۴۰۴/۰۹/۲۹ صادر شده است.
برای رهگیری و صحتسنجی این گواهینامه، اینجا کلیک کنید.
قابلیت امضای دیجیتال
در سیستم پرگار، امضای دیجیتال اسناد، چه در سطح سازمان و چه در سطح امضاءکنندگان،
بهصورت کامل پیادهسازی شده است و مهمترین قابلیت پرگار این است که امضاها در
فرمت استاندارد PDF درج میشوند و این یعنی امضاء دقیقاً روی خودِ مستندات درج شده
است. قابلیتی که امکان اعتبارسنجی مستندات پرگار در خارج از سیستم را نیز فراهم
کرده است.
با استفاده از امضای دیجیتال، تمامی مستندات با کلیدی منحصربهفرد و یکتا که مختص
سازمان است امضاء میشوند و این امضاء بهاندازۀ مُهر سازمان، معتبر است. ضمن اینکه
قابلیت امضای الکترونیک در پرگار، از تمامی توکنهای مرسوم و رایج بازار نیز
پشتیبانی میکند.
ایمنسازی بسترهای ارتباطی
ایمنسازی ارتباط بین سرویسدهندههای مختلف:
میانِ لایههای مختلف فیزیکی سیستم و با توجه به ماهیت آنها، امکان برقراری ارتباط امن وجود دارد. ارتباط ایمن بین لایهی Client و Web Server را میتوان با پروتکل https بهوجود آورد. بین Web Server و Application Server ارتباط امن با روشهایی از قبیل مجزاسازی شبکه Application Server ها یا استفاده از دیوارهای آتشِ نرمافزاری و سختافزاری ایجاد میشود. بین Application Server و پایگاه داده نیز میتوان از روشهایی از قبیل شبکهی مستقل، ارتباط مستقیم و دیوارههای آتش استفاده کرد. در بین سرورها، ایستگاههای کاری تنها نیاز به دسترسی به وبسرور دارند. بنابراین مابقی سرورها میتوانند در یک منطقهی امن و خارج از دسترس کاربران قرار بگیرند. تیم پشتیبانی فنی برید، در ایمنسازی ارتباط بین سرویسدهندهها در کنار مشتریان است و از ارائهی هرگونه خدمات مشاوره فنی دریغ نمیکند.
هماهنگسازی سرویس دهندهها با دیوارههای آتش(Firewalls):
سیستم جامع پرگار بهگونهای طراحی شده است که بین تمامی لایههای فیزیکی سیستم قابلیت استفاده از دیوارههای آتش وجود دارد. دیوارههای آتش همچنین بین Client و Web Server به منظور عدم دسترسیهای غیرمجاز به Web Server این امکان را فراهم میکنند. ضمن اینکه به منظور محدودسازی، بین لایههای Web Serverو Application Server ، دسترسی تنها از طریق Message Bus صورت میپذیرد و بین Application Server و Database نیز امکان تنظیم دیوارهی آتش فراهم میباشد.
ایمنسازی بسترهای ارتباطی در ایستگاههای کاری با وبسرورها:
در بحث ایجاد امنیت بسترهای ارتباطی، برای ارتباط بین ایستگاههای کاری و وبسرور
از پروتکل Https استفاده میشود. در سیستم جامع پرگار یک مکانیزم امنیتی منسجم
یکپارچه در تمامی لایههای سیستم از ایستگاه کاری تا لایهی داده وجود دارد که از
فناوریهای مختلفی از جمله SAML در آن استفاده شده است و با امضای توکنهای صادر
شده امکان دستکاری در آنها را از بین میبرد. باید در نظر داشت که کلیهی کنترلهای
امنیتی در لایهی Application Server صورت میگیرد و علاوهبر آن، کلیهی سطوح
دسترسی کاربران به دادهها در لایهی Application Server و روی پرسوجوها اعمال
میشوند.
بنابراین حتی در صورت دسترسی مستقیم یک حملهکننده به لایهی Application Server
فقط به دادههایی امکان دسترسی داده میشود که در سطح دسترسی همان کاربر قرار دارد
و از دسترسی به کل اطلاعات سیستم جلوگیری میشود. تیم پشتیبانی فنی برید نیز
علاوهبر ارائهی خدمات مشاوره تخصصی در این زمینه، بنا بر درخواست مشتریان نسبت به
راهاندازی گواهینامه SSL و پروتکل HTTPS اقدام میکند.
محافظتهای امنیتی در ایستگاههای کاری:
پیادهسازی استاندارد واسط کاربری در پرگار باعث عدم نیاز به تغییر تنظیمات مرورگر شده است. تغییر این تنظیمات که معمولاً جنبهی امنیتی نیز دارند علاوه بر سردرگمی کاربر، باعث ناامن شدن مرورگر و ایستگاه کاری کاربر میشود. برخی محدودیتهای مرورگر نظیر اسکن و کار با توکنهای سختافزاری نیز با استفاده از استاندارد URL-Schema و ارتباط امن از طریق یک برنامۀ مجزا و بدون وابستگی به یک یا چند مرورگر خاص پشتیبانی میشود. در واسط کاربری پرگار بههیچعنوان از تکنولوژیها و کامپوننتهای Server-Side استفاده نشده است؛ همین امر باعث شده است که امکان اجرای حملات اسکریپتی بر روی سرورهای پرگار بهطور کامل از بین برود.
در واسط کاربری پرگار بههیچعنوان
از تکنولوژیها و کامپوننتهای Server-Side استفاده نشده است؛ همین امر باعث شده است که امکان اجرای حملات اسکریپتی بر روی سرورهای پرگار بهطور کامل از بین برود.
احراز هویت امن
ماژول احراز هویت (Module Authentication)
در پرگار احراز هویت(Authentication)، به عنوان یک ماژول مستقل عمل می کند و
سیستمهای مختلف بر اساس نیاز به احراز هویت به این ماژول منتقل (Redirect)
میشوند. کلیهی روشهای احراز هویت از قبیل Active Directory ، ورود با رمز
یکبارمصرف، SSO و … بهصورت متمرکز در این ماژول پیادهسازی و پشتیبانی میشوند.
فرآیند احراز هویت پرگار با مکانیزم WS-Federation پیادهسازی شده است و در این
مکانیزم مرجعی برای صدور توکن وجود دارد (Active STS – Active Security Token
Service) که درخواستکنندهی توکن (Passive STS) از طریق یک کانال امن و بر اساس
مدعیات کاربر (نام و نام کاربری، رمز یکبارمصرف، تیکت SSO و …) آنها را بررسی
کرده و در صورت تصدیق، توکن (اطلاعات کاربر و نقشها و دسترسیها) را در فرمت SAML
صادر میکند. توکنها به امضای صادرکنندگان میرسند که به آن امضای الکترونیک گفته
میشود و قابل تغییر نیستند. همچنین بهمنظور امنیت بیشتر و کارایی بهتر سیستم
مؤلفهای با نام STS Cache Service وظیفهی نگهداری توکنهای امنیتی را بر عهده
دارد. استفاده از این روش احراز هویت، بالاترین سطح امنیت را برای استفاده از محصول
فراهم میکند. بدیهی است که کلیهی سیاستهای امنیتی لازم مطابق استانداردهای بین
المللی از قبیل OWASP در طراحی محصول پرگار نظر گرفته شده است و به کنترلهای لازم
برای حملات Brute Force نیز بهصورت اساسی فکر شده است.
احراز هویت چند عامله
نیاز به افزایش ضریب امنیت محصول از یک سو و User Friendly بودن محصول از سوی دیگر، منجر به طراحی و اجرای احراز هویت چندعامله در محصول پرگار شده است. با امکان احراز هویت چندعامله، سازمانها میتوانند متناسب با نیازها و سیاستهای امنیتی خود، از هرکدام از روشهای "ورود با رمز عبور دائمی"، "ورود با رمز عبور یکبار مصرف (زماندار)"، "ورود با استفاده از توکن سخت افزاری"، "ورود با نامکاربری ویندوزی (Active Directory)" استفاده نمایند.
تعدد امکانات سیستم پرگار برای احراز هویت، به شما این امکان را میدهد که سطح امنیتی مدنظرتان را برای استفاده از سیستم پیادهسازی کنید.
هماهنگی با مکانیزمهای (SSO)
بهمنظور همراهی و هماهنگی بیشتر با سیاستهای امنیتی مشتریان، در پرگار امکان راهاندازی و هماهنگسازی سیستم با مکانیزمهای SSO فراهم شده است و علاوهبر آن، پرگار به صورت کامل از پروتکلهای OAuth و CAS پشتیبانی میکند. سایر پروتکلهای امنیتی نیز در صورت نیاز، قابلیت بررسی توسط تیم تخصصی امنیت محصول پرگار را دارند و امکان پیادهسازی آنها در سیستم وجود دارد.
ایمنسازی دادهها
تفکیک لایههای معماری سیستم:
یکسان بودن لایههای مختلف سیستم (بالاخص لایهی Web Server و Application Server)،
علاوهبر تداخل وظایف، ارتباط مستقیم میان وبسرور و پایگاه داده را فراهم میکند؛
این موضوع باعث میشود در حملات امنیتی ضمن در دسترس قرارگرفتن تنظیمات سیستم،
حملهکننده بتواند بهسادگی به اطلاعات سیستم (Database) دسترسی پیدا کند.
در معماری و پیادهسازی پرگار، لایههای سیستم بهمعنای واقعی از یکدیگر تفکیک
شدهاند و امکان پیادهسازی مکانیزمهای پیشرفتهی امنیتی میان لایههای مختلف وجود
دارد.
نحوهی نگهداری و حفاظت از دادههای حجیم
دادههای حجیم از قبیل تصاویر، نامهها، اسناد و انواع فایلهای پیوست، از
حساسترین اطلاعات در سیستمهای اتوماسیون سازمانی، اعم از مالی و اداری محسوب
میشوند؛ این دادهها بهخاطر ارزشمند بسیار زیادی که دارند، اهداف بسیار مناسبی
حملات سایبری بهشمار میروند و معمولاً حفاظت از آنها در اغلب نرمافزارهای
کاربردی بهدرستی صورت نمیگیرد (بهعنوان مثال نگهداری دادههای حجیم روی File
System بستر بسیار مناسبی برای تحت حمله قرارگرفتن سیستمهاست و انواع روشهای
حفاظت از آن نیز بهدلیل ماهیت File System بهراحتی قابلشکست خواهد بود). از طرف
دیگر بهدلیل جدابودن مکانیزمهای دسترسی در Filesystem از نحوۀ دسترسی در
Applicationها، امکان ایجاد حفرههای امنیتی در نحوۀ دسترسی کاربران به این اسناد و
اطلاعات وجود دارد.
اغلب سیستمها برای نگهداری این اطلاعات از مکانیزمهای رمزنگاری استفاده میکنند
اما از آنجایی که حملهکنندهها در زمان حملات سایبری به سرور دسترسی پیدا میکنند،
این مکانیزمها بهسادگی قابل شکست و Hack خواهند بود. (که متأسفانه بارها و بارها
نمونههای بسیاری از این ضعف امنیتی، در حملات سایبری رخداده در کشورمان مشاهده
شده است) و نکتۀ قابل توجه دیگر این است که حتی در هنگام تبدیل اطلاعات نیز این
فایلها بهسادگی قابل مشاهده هستند.
همین دلایل و ملاحظات امنیتی موجب شده است که در سیستم پرگار، کلیۀ اطلاعات حجیم
صرفاً در لایۀ پایگاه داده نگهداری شوند و معماری چندلایۀ محصول پرگار در کنار
تدابیر امنیتی متخصصان شرکت برید در زمینۀ امنیت، باعث شده است که این اطلاعات از
دسترس و دیدرس حملات سایبری دور نگه داشته شوند.
خدمات پایگاه داده برای ایمنی اطلاعات
مدیریت و کاهش مخاطرات استفاده از Filesystemها در پایگاه دادۀ پرگار، میتوان از امکانات Automatic Storage Management در پایگاه دادۀ Oracle استفاده کرد و استفاده از ASM باعث بهوجود آمدن امنیت بسیار بالاتری برای پایگاه داده میشود. همچنین برای حفاظت بهتر از لایۀ داده، امکان راهاندازی سرورهای پایگاه داده بر روی سیستم عامل Linux نیز وجود دارد که این اقدام نیز میتواند تا حد بسیار زیادی امنیت پایگاه داده را در مقابل حملات سایبری تأمین کند.
سایر قابلیتهای امنیتی سیستم پرگار
رویدادنگاری کامل سیستم
در پرگار، تمام Eventهایی که منجر به ارتباط کاربر با سرور شود، بهصورت متمرکز در
لایۀ Application Server ثبت و ضبط میشود و بههمین دلیل است که عملاً امکان
دورزدن رویدادنگاری در لایۀ Web وجود ندارد.
با استفاده از مکانیزم Audit Log، تمامی رویدادهای سیستم پرگار در سطح Client و
Service قابل کنترل و ردگیری هستند و همچنین امکان مانیتورکردن کاربران برای
استعلام و صحتسنجی بهواسطۀ مکانیزم عدم انکار، فراهم شده است.
ذخیرۀ مستندات با فرمت PDF
در محصول پرگار، برای افزایش ضریب امنیت مستندات و بالا بودن قابلیت اتکا مستندات، از استاندارد PDF (Portable Document Format) استفاده شده است. مطابق با این استاندارد، تمام مستندات بعد از تایید، به صورت PDF ایجاد و ذخیره میشوند و در هنگام مشاهده سند، صرفاً مستند مربوطه نمایش داده شده و از تولید مجدد آن در زمان مشاهده که باعث خدشهپذیری مستندات میگردد، پرهیز خواهد شد. موارد ذیل بخشی از مزایای استفاده از استاندارد PDF است:
- امکان مشاهده و اعتبارسنجی مستندات PDF در تمامی پلتفرمها
- کاهش حجم تصاویر به دلیل نگهداری بصورت Text و افزایش کیفیت
- عدم تغییر نمای چاپی مستندات
کنترل سطوح دسترسی (Authorization)
دسترسی کاربران در پرگار در هر عملیات بهصورت مجزا و بهصورت متمرکز در لایه Application Server انجام میشود. زیرساخت متمرکزی برای تعریف و اعمال دسترسیها در پرگار پیادهسازی شده است، این زیرساخت امن، مطمئن و سریع امکان پشتیبانی از قابلیتهای امنیتی زیر را دارد:
- تعریف دسترسی بر اساس Trusteeهای مختلف، از کاربران و جایگاههای سازمانی گرفته تا نقشهای سیستمی و گروههای دسترسی تو در تو
- پشتیبانی از انواع سطوح دسترسی نظیر عادی، محرمانه، سری و ...
- امکان پشتیبانی از دسترسی محدود بر اساس زمان
- امکان مدیریت توزیعشده کاربران با استفاده از User Domain
ارائـه راهـکارهای متنـوع، خـاص و متنـاسب برای شمـا