شناخت نحوه استقرار مناسب سازمان خود با کارشناسان؟

لورم ایپسوم یا طرحنما (به انگلیسی: Lorem ipsum) به متنی آزمایشی و بیمعنی در صنعت چاپ، صفحهآرایی و طراحی گرافیک گفته میشود. طراح گرافیک از این متن به عنوان عنصری از ترکیب بندی برای پر کردن صفحه و ارایه اولیه شکل ظاهری و کلی طرح سفارش گرفته شده استفاده می نماید،

امنیت

پوشش نیازهای متنوع، با حداکثر سرعت و کیفیت

امنیت پرگار

در طراحی و پیاده‌سازی نرم‌افزارهای تحت‌وب، همواره اولویت با امنیت اطلاعات و داده‌ها است؛ ملاحظات امنیتی در حوزۀ شبکه و سیستم‌عامل از یک سو و تدابیر امنیتی در معماری و فناوری سیستم از سوی دیگر حائز اهمیت اساسی هستند.

محصول پرگار که جدیدترین نسل از راهکارهای نرم‌‌افزاری شرکت برید است، با رعایت کامل اصول امنیتی در تمامی سطوح، طراحی و پیاده‌سازی شده است؛ پرگار علاوه‌برمعماری امن و ایجاد بسترهای امن ارتباطی، موفق به دریافت تأییدیه‌ها و گواهینامه‌های امنیتی معتبر از دستگاه‌های مربوطه نیز شده است و از مجموع اقدامات و فعالیت‌های شرکت بَرید می‌توان نتیجه گرفت که امنیت برای ما یک خط قرمز است.

معماری امن پرگار

امنیت بسترهای ارتباطی

گواهینامه‌های امنیتی

امنیت داده‌ها

استانداردها و گواهینامه‌های امنیتی

رعایت استاندارد OWASP

گواهینامه‌ی افتا

گواهینامه‌ی سازمان پدافند غیرعامل

پیاده‌سازی استانداردهای امضای دیجیتال

رعایت استاندارد OWASP:

در طراحی، اجرا و سنجش عملکرد محصول:
سیستم جامع پرگار، کاملاً بر اساس استاندارد OWASP طراحی و پیاده‌سازی شده است. استانداردی که رعایت آن منجر به بهبود سطح امنیت در شاخص‌های امنیتی متفاوت، از جمله: طراحی، معماری، کدنویسی‌ها و تست‌های نفوذ می‌شود و علاوه‌بر تمام مزایایی که از آنها نام برده شد، رعایت استاندارد OWASP به یکپارچگی محصول پرگار نیز کمک شایانی کرده است.

گواهینامه‌ی افتا:

در حوزه‌ی ارزیابی امنیتی محصول:
گواهینامه‌ی افتا (امنیت فضای تبادل اطلاعات) از سوی سازمان فناوری اطلاعات ایران صادر می‌شود. این سازمان که متولی ساماندهی نظام ملی مدیریتِ امنیت اطلاعات کشور است، به منظور حمایت و گسترش خدمات امنیت فضای تبادل اطلاعات، اقدام به ارزیابی و صدور گواهینامه‌هایی از این دست می‌کند. گواهینامه‌ی «ارزیابی امنیتی محصول» برای نسخه‌ی چهارم سامانه‌ی اتوماسیون اداری پرگار، با سطح یک، از نظام ارزیابی و اعتبار بخشی امنیت محصولات مرکز مدیریت راهبری افتا صادر شده است و در آزمایشگاه فناوری اطلاعات و ارتباطات ریاست جمهوری، به شماره ثبت ۱۵۹۳۳۱ و با شماره گواهی CBP-0874-9801 قابل رهگیری و صحت‌سنجی است.
در حوزه‌ی ارزیابی امنیتی خدمات فنی:
گواهینامه‌ی افتا در حوز‌ه‌ی «ارزیابی امنیتی خدمات فنی»، صلاحیت کارشناسان ارائه‌دهند‌ه‌ی خدمات فنی و فرآیندهای نصب و پشتیبانی تمامی محصولات شرکت بریدسامانه نوین را تأیید می‌کند. این گواهینامه با شماره‌ی ITO -NAMA-TS-0104 صادر شده و با همین شماره، قابل رویت و پیگیری است.

گواهینامه‌ی سازمان پدافند غیرعامل:

در حوزه‌ی ارزیابی امنیتی محصول:
بعد از اخذ تأییدیه‌ی بهره‌برداری از نرم‌افزار اتوماسیون اداری پرگار که از سازمان پدافند غیرعامل کشور صورت‌گرفت، گواهینامه‌ی امنیتی این سازمان در حوزه‌ی «ارزیابی امنیتی محصول» نیز برای محصول پرگار و شرکت برید صادر شد. اینکه در تمام سطوح و در تمام قدم‌های اجرایی، گواهینامه‌های لازم توسط شرکت برید با موفقیت اخذ شده است، خود نشان دهنده‌ی اهمیت بسیار بالای موضوع امنیت برای این شرکت است. از طرفی، مشتریان اصلی نرم‌افزار پرگار نیز مراکزی هستند که اهمیت زیادی برای امنیت اطلاعات خود قائل هستند و این دو مزید بر علت شده‌اند که محصول پرگار، در این زمینه، از پتانسیل‌های بالایی برخوردار باشد.

پیاده‌سازی استانداردهای امضای دیجیتال:

سیستم پرگار از امضاء دیجیتال (Digital Signature) مطابق با استانداردهای جهانی پشتیبانی می‌کند. و برای دریافت تاییدیه‌های امنیتی و تطبیق با استانداردهای بومی مربوط به این بخش از سیستم نیز توافقاتی با مرکز تجارت الکترونیک وزارت صمت به‌عمل آمده است و در حال حاضر، آزمایشگاه صنایع انفورماتیک در حال ارزیابی و انجام تست‌های امنیتی این بخش از سیستم می‌باشد.

با دریافت گواهینامه‌ها و رعایت استانداردها، تمام تلاش خود را برای آسودگی خیال شما کرده‌ایم.

ایمن‌سازی بسترهای ارتباطی

تفکیک لایه‌های معماری سیستم

ایمن‌سازی ارتباط بین سرویس‌دهنده‌های مختلف

هماهنگ‌سازی سرویس دهنده‌ها با دیواره‌های آتش (Firewalls)

ایمن‌سازی بسترهای ارتباطی در ایستگاه‌های کاری با وب‌سرورها

محفاظت‌های امنیتی در ایستگاه‌های کاری

تفکیک لایه‌های معماری سیستم:

یکسان بودن لایه‌های مختلف سیستم (بالاخص لایه‌ی Web Server و Application Server)، علاوه‌بر تداخل وظایف، ارتباط مستقیم میان وب‌سرور و پایگاه داده را فراهم می‌کند؛ این موضوع باعث می‌شود در حملات امنیتی ضمن در دسترس قرارگرفتن تنظیمات سیستم، حمله‌کننده بتواند به‌سادگی به اطلاعات سیستم (Database) دسترسی پیدا کند.
در معماری و پیاده‌سازی پرگار، لایه‌های سیستم به‌معنای واقعی از یکدیگر تفکیک شده‌اند و امکان پیاده‌سازی مکانیزم‌های پیشرفته‌ی امنیتی میان لایه‌های مختلف وجود دارد.

ایمن‌سازی ارتباط بین سرویس‌دهنده‌های مختلف:

میانِ لایه‌های مختلف فیزیکی سیستم و با توجه به ماهیت آنها، امکان برقراری ارتباط امن وجود دارد. ارتباط ایمن بین لایه‌ی Client و Web Server را می‌توان با پروتکل https به‌وجود آورد. بین Web Server و Application Server ارتباط امن با روش‌هایی از قبیل مجزاسازی شبکه Application Server ها یا استفاده از دیوارهای آتشِ نرم‌افزاری و سخت‌افزاری ایجاد می‌شود. بین Application Server و پایگاه داده نیز می‌توان از روش‌هایی از قبیل شبکه‌ی مستقل، ارتباط مستقیم و دیواره‌های آتش استفاده کرد. در بین سرورها، ایستگاه‌های کاری تنها نیاز به دسترسی به وب‌سرور دارند. بنابراین مابقی سرورها می‌توانند در یک منطقه‌ی امن و خارج از دسترس کاربران قرار بگیرند. تیم پشتیبانی فنی برید، در ‌ایمن‌سازی ارتباط بین سرویس‌دهنده‌ها در کنار مشتریان است و از ارائه‌ی هرگونه خدمات مشاوره فنی دریغ نمی‌کند.

هماهنگ‌سازی سرویس دهنده‌ها با دیواره‌های آتش(Firewalls):

سیستم جامع پرگار به‌گونه‌ای طراحی شده است که بین تمامی لایه‌های فیزیکی سیستم قابلیت استفاده از دیواره‌های آتش وجود دارد. دیواره‌های آتش همچنین بین Client و Web Server به منظور عدم دسترسی‌های غیرمجاز به Web Server این امکان را فراهم می‌کنند. ضمن اینکه به منظور محدودسازی، بین لایه‌های Web Server‌و Application Server ، دسترسی تنها از طریق Message Bus صورت می‌پذیرد و بین Application Server و Database نیز امکان تنظیم دیواره‌ی آتش فراهم می‌باشد.

ایمن‌سازی بسترهای ارتباطی در ایستگاه‌های کاری با وب‌سرورها:

در بحث ایجاد امنیت بسترهای ارتباطی، برای ارتباط بین ایستگاه‌های کاری و وب‌سرور از پروتکل Https استفاده می‌شود. در سیستم جامع پرگار یک مکانیزم امنیتی منسجم یکپارچه در تمامی لایه‌های سیستم از ایستگاه کاری تا لایه‌ی داده وجود دارد که از فناوری‌های مختلفی از جمله SAML در آن استفاده شده است و با امضای توکن‌های صادر شده امکان دستکاری در آنها را از بین می‌برد. باید در نظر داشت که کلیه‌ی کنترل‌های امنیتی در لایه‌ی Application Server صورت می‌گیرد و علاوه‌بر آن، کلیه‌ی سطوح دسترسی کاربران به داده‌ها در لایه‌ی Application Server و روی پرس‌و‌جوها اعمال می‌شوند. بنابراین حتی در صورت دسترسی مستقیم یک حمله‌کننده به لایه‌ی Application Server فقط به داده‌هایی امکان دسترسی داده می‌شود که در سطح دسترسی همان کاربر قرار دارد و از دسترسی به کل اطلاعات سیستم جلوگیری می‌شود. تیم پشتیبانی فنی برید نیز علاوه‌بر ارائه‌ی خدمات مشاوره تخصصی در این زمینه، بنا بر درخواست مشتریان نسبت به راه‌اندازی گواهینامه SSL و پروتکل HTTPS اقدام می‌کند.

محفاظت‌های امنیتی در ایستگاه‌های کاری:

پیاده‌سازی استاندارد واسط کاربری در پرگار باعث عدم نیاز به تغییر تنظیمات مرورگر شده است. تغییر این تنظیمات که معمولاً جنبه‌ی امنیتی نیز دارند علاوه بر سردرگمی کاربر، باعث ناامن شدن مرورگر و ایستگاه کاری کاربر می‌شود. برخی محدودیت‌های مرورگر نظیر اسکن و کار با توکن‌های سخت‌افزاری نیز با استفاده از استاندارد URL-Schema و ارتباط امن از طریق یک برنامۀ مجزا و بدون وابستگی به یک یا چند مرورگر خاص پشتیبانی می‌شود. در واسط کاربری پرگار به‌هیچ‌عنوان از تکنولوژی‌ها و کامپوننت‌های Server-Side استفاده نشده است؛ همین امر باعث شده است که امکان اجرای حملات اسکریپتی بر روی سرورهای پرگار به‌طور کامل از بین برود.

ایمن‌سازی داده‌ها

استفاده از پایگاه داده صرفاً جهت نگهداری اطلاعات

در پرگار، احراز هویت(Authentication)، به عنوان یک ماژول مستقل عمل می کند و سیستم‌های مختلف بر اساس نیاز به احراز هویت به این ماژول منتقل(Redirect) می‌شوند. کلیه‌ی روش‌های احراز هویت از قبیل Active Directory ، ورود با رمز یکبارمصرف، SSO و … به‌صورت متمرکز در این ماژول پیاده‌سازی و پشتیبانی می‌شوند. فرآیند احراز هویت پرگار با مکانیزم WS-Federation پیاده‌سازی شده است و در این مکانیزم مرجعی برای صدور توکن وجود دارد ( Active STS – Active Security Token Service) که درخواست‌کننده‌ی توکن (Passive STS) از طریق یک کانال امن و بر اساس مدعیات کاربر ( نام و نام‌ کاربری، رمز یکبارمصرف، تیکت SSO و …) آنها را بررسی‌ کرده و در صورت تصدیق، توکن( اطلاعات کاربر و نقش‌ها و دسترسی‌ها) را در فرمت SAML صادر می‌کند. توکن‌ها به امضای صادرکنندگان می‌رسند که به آن امضای الکترونیک گفته می‌شود و قابل تغییر نیستند. همچنین به‌منظور امنیت بیشتر و کارایی بهتر سیستم مؤلفه‌ای با نام STS Cache Service وظیفه‌ی نگهداری توکن‌های امنیتی را بر عهده دارد. استفاده از این روش احراز هویت، بالاترین سطح امنیت را برای استفاده از محصول فراهم می‌کند. بدیهی است که کلیه‌ی سیاست‌های امنیتی لازم مطابق استانداردهای بین المللی از قبیل OWASP در طراحی محصول پرگار نظر گرفته شده است و به کنترل‌های لازم برای حملات Brute Force نیز به‌صورت اساسی فکر شده است.

استفاده از پایگاه داده صرفاً جهت نگهداری اطلاعات:

در پرگار از Database صرفاً جهت نگهداری اطلاعات استفاده می‌شود؛ این یعنی به‌‌هیچ عنوان به‌منظور پوشش نیازمندی‌های کسب‌و‌کار از Procedure-Stored ، یا سایر ابزارهای پایگاه داده استفاده نشده است. همین ویژگی به‌خودی‌خود باعث می‌شود که بسیاری از تهدیدات نظیر SQL-Injection مدیریت و کنترل شوند.

ماژول احراز هویت(Authentication

Module)

احراز هویت چندعامله

هماهنگی با مکانیزم‌های SSO

نحوه‌ی نگهداری و حفاظت از داده‌های حجیم

در پرگار، احراز هویت(Authentication)، به عنوان یک ماژول مستقل عمل می کند و سیستم‌های مختلف بر اساس نیاز به احراز هویت به این ماژول منتقل(Redirect) می‌شوند. کلیه‌ی روش‌های احراز هویت از قبیل Active Directory ، ورود با رمز یکبارمصرف، SSO و … به‌صورت متمرکز در این ماژول پیاده‌سازی و پشتیبانی می‌شوند. فرآیند احراز هویت پرگار با مکانیزم WS-Federation پیاده‌سازی شده است و در این مکانیزم مرجعی برای صدور توکن وجود دارد ( Active STS – Active Security Token Service) که درخواست‌کننده‌ی توکن (Passive STS) از طریق یک کانال امن و بر اساس مدعیات کاربر ( نام و نام‌ کاربری، رمز یکبارمصرف، تیکت SSO و …) آنها را بررسی‌ کرده و در صورت تصدیق، توکن( اطلاعات کاربر و نقش‌ها و دسترسی‌ها) را در فرمت SAML صادر می‌کند. توکن‌ها به امضای صادرکنندگان می‌رسند که به آن امضای الکترونیک گفته می‌شود و قابل تغییر نیستند. همچنین به‌منظور امنیت بیشتر و کارایی بهتر سیستم مؤلفه‌ای با نام STS Cache Service وظیفه‌ی نگهداری توکن‌های امنیتی را بر عهده دارد. استفاده از این روش احراز هویت، بالاترین سطح امنیت را برای استفاده از محصول فراهم می‌کند. بدیهی است که کلیه‌ی سیاست‌های امنیتی لازم مطابق استانداردهای بین المللی از قبیل OWASP در طراحی محصول پرگار نظر گرفته شده است و به کنترل‌های لازم برای حملات Brute Force نیز به‌صورت اساسی فکر شده است.

احراز هویت چندعامله:

نیاز به افزایش ضریب امنیت محصول از یک سو و User Friendly بودن محصول از سوی دیگر، منجر به طراحی و اجرای احراز هویت چندعامله در محصول پرگار شده است. با امکان احراز هویت چندعامله، سازمان‌ها می‌توانند متناسب با نیازها و ‌سیاست‌های امنیتی خود، از هرکدام از روش‌های زیر، عملیات احراز هویت را در سیستم پرگار پیاده‌سازی کنند:

احراز هویت چندعامله

هماهنگی با مکانیزم‌های SSO

نحوه‌ی نگهداری و حفاظت از داده‌های حجیم

هماهنگی با مکانیزم‌های SSO:

به‌منظور همراهی و هماهنگی بیشتر با سیاست‌های امنیتی مشتریان، در پرگار امکان راه‌اندازی و هماهنگ‌سازی سیستم با مکانیزم‌های SSO فراهم شده است و علاوه‌بر آن، پرگار به صورت کامل از پروتکل‌های OAuth و CAS پشتیبانی می‌کند. سایر پروتکل‌های امنیتی نیز در صورت نیاز، قابلیت بررسی توسط تیم تخصصی امنیت محصول پرگار را دارند و امکان پیاده‌سازی آنها در سیستم وجود دارد.

نحوه‌ی نگهداری و حفاظت از داده‌های حجیم:

داده‌های حجیم از قبیل تصاویر، نامه‌ها، اسناد و انواع فایل‌های پیوست، از حساس‌ترین اطلاعات در سیستم‌های اتوماسیون سازمانی، اعم از مالی و اداری محسوب می‌شوند؛ این داده‌ها در وهله‌ی اول به خاطر ارزشمند بودنشان، اهداف بسیار مناسبی حملات سایبری به شمار می‌روند و ثانیاً حفاظت از آنها در اغلب نرم‌افزارهای کاربردی به درستی صورت نمی‌گیرد. به‌عنوان مثال نگهداری داده‌های حجیم روی File System بستر بسیار مناسبی برای تحت حمله قرارگرفتن سیستم‌هاست و انواع روش‌های حفاظت از آن نیز به دلیل ماهیت File System به راحتی قابل‌شکست خواهد بود. از طرف دیگر به دلیل جدا بودن مکانیزم‌های دسترسی در Filesystem از نحوه‌ی دسترسی در برنامه‌های کاربردی، امکان ایجاد حفره‌های امنیتی در نحوه‌ی دسترسی کاربران به این اسناد و اطلاعات وجود دارد. اغلب سیستم‌ها برای نگهداری این اطلاعات از مکانیزم‌های رمزنگاری استفاده می‌کنند اما از آنجایی که حمله‌کننده‌ها در زمان حملات سایبری به سرور دسترسی پیدا می‌کنند، این مکانیزم‌ها به‌سادگی قابل شکست و هک خواهند بود و متأسفانه بارها و بارها نمونه‌های بسیاری از این ضعف امنیتی، در حملات سایبری رخ داده در کشورمان مشاهده شده است. و نکته‌ی قابل توجه دیگر این است که حتی در هنگام تبدیل اطلاعات نیز این فایل‌ها به سادگی قابل مشاهده هستند. همین دلایل و ملاحظات امنیتی موجب شده است که در سیستم پرگار، کلیه‌ی اطلاعات حجیم صرفاً روی پایگاه داده نگهداری شوند و همین امر باعث خواهد شد این اطلاعات(که در اغلب موارد حساس‌ترین اطلاعات سیستم نیز هستند) از دسترسی و دیدرس حملات سایبری دور نگه داشته شوند.

تعدد امکانات سیستم پرگار برای احراز هویت، به شما این امکان را می‌دهد که سطح امنیتی مدنظرتان را برای استفاده از سیستم پیاده‌سازی کنید.

ایمنی اطلاعات

برای مدیریت و کاهش مخاطرات استفاده از Filesystemها در پایگاه دادۀ پرگار، می‌توان از امکانات Automatic Storage Management در پایگاه دادۀ Oracle استفاده کرد و استفاده از ASM باعث به‌وجود آمدن امنیت بسیار بالاتری برای پایگاه داده می‌شود. همچنین برای حفاظت بهتر از لایۀ داده، امکان راه‌اندازی سرورهای پایگاه داده بر روی سیستم عامل Linux نیز وجود دارد که این اقدام نیز می‌تواند تا حد بسیار زیادی امنیت پایگاه داده را در مقابل حملات سایبری تأمین کند.

برای نگهداری داده‌های حجیم در پایگاه و مدیریت حجم اطلاعات در پایگاه داده از روش‌های پیشرفته فشرده‌سازی (Compression) استفاده شده است و به‌منظور تسریع و تسهیل فرآیند پشتیبان‌گیری اطلاعات (Backup) نیز راهکارها و مکانیزم‌های پیشرفته‌ی پایگاه داده مانند Partitioning در نظر گرفته شده است.

سایر قابلیت‌های امنیتی سیستم پرگار

ذخیرۀ مستندات با فرمت PDF

در محصول پرگار، برای افزایش ضریب امنیت مستندات و بالا بودن قابلیت اتکاء مستندات، از استاندارد PDF (Portable Document Format) استفاده شده است.
مطابق با این استاندارد، تمام مستندات بعد از تأیید، به‌صورت PDF ایجاد و ذخیره می‌شوند و در هنگام مشاهده سند، صرفاً مستند مربوطه نمایش داده شده و از تولید مجدد آن در زمان مشاهده که باعث خدشه‌پذیری مستندات می‌گردد، پرهیز خواهد شد.
استفاده از این روش مزایای زیر را به همراه دارد:

مستندات PDF درتمامی پلتفرم‌ها امکان مشاهده و اعتبارسنجی دارند.
کاهش حجم تصاویر به دلیل نگهداری بصورت Text و افزایش کیفیت.
عدم تغییر نمای چاپی مستندات.

کنترل سطوح دسترسی (Authorization)

دسترسی کاربران در پرگار در هر عملیات به‌صورت مجزا و به‌صورت متمرکز در لایه‌ی Application Server انجام می‌شود. زیرساخت متمرکزی برای تعریف و اعمال دسترسی‌ها در پرگار پیاده‌سازی شده است؛ این زیرساخت امن، مطمئن و سریع امکان پشتیبانی از قابلیت‌های امنیتی زیر را دارد:

امکان تعریف دسترسی بر اساس Trustee های مختلف؛ از کاربران و جایگاه‌های سازمانی گرفته تا نقش‌های سیستمی و گروه‌های دسترسیِ تو در تو.
امکان پشتیبانی از انواع سطوح دسترسی نظیر عادی، محرمانه، سری و …
امکان پشتیبانی از دسترسی محدود بر اساس زمان امکان
امکان مدیریت توزیع‌شدۀ کاربران با استفاده از User Domain

قابلیت امضای الکترونیک

در سیستم پرگار امضای الکترونیک اسناد، چه در سطح سازمانی و چه در سطح امضاکنندگان اسناد بصورت کامل پیاده‌سازی شده است. مهمترین قابلیت پرگار در این زمینه نگهداری امضا بر روی خود مستندات است (امضاها در فرمت استاندارد PDF درج می‌شوند). این قابلیت امکان اعتبارسنجی مستندات پرگار در خارج از سیستم را نیز فراهم می‌کند.
با استفاده از امضا الکترونیک در پرگار، تمامی مستندات می‌توانند با کلید منحصربه‌فرد سازمان امضا شوند و در این صورت، امضا می‌تواند در حکم مهر سازمانی باشد. ضمن اینکه در پرگار، قابلیت امضا الکترونیک از عموم توکن‌های مرسوم در بازار نیز پشتیبانی می‌کند.

رویدادنگاری کامل سیستم

با استفاده از مکانیزم رویدادنگاری پرگار امکان کنترل و ردگیری تمامی رویدادهای سیستم در سطح Client و Services فراهم بوده و امکان مانیتور کاربران برای استعلام و صحت‌سنجی مکانیزم عدم انکار وجود دارد.
در سیستم پرگار، تمامی رویدادهایی که منجر به ارتباط کاربر با سرور شود به صورت متمرکز در لایه‌ی Application Server ثبت و ضبط می‌شود و به همین دلیل است که عملاً امکان دور زدن رویدادنگاری در لایه‌ی وب وجود ندارد.

بیش از ۲۰۰۰ سازمان، از ایمنی و امنیت محصولات شرکت برید راضی هستند.

راهکار یکپارچه پرگار

۰۲۱-۸۳۱۹۲۳۲۸

ارائه راهکارهای متنوع، خاص و متناسب برای شما