امنیت
پوشش نیازهای متنوع، با حداکثر سرعت و کیفیت
پوشش نیازهای متنوع، با حداکثر سرعت و کیفیت
در طراحی و پیادهسازی نرمافزارهای تحتوب، همواره اولویت با امنیت اطلاعات و دادهها است؛ ملاحظات امنیتی در حوزۀ شبکه و سیستمعامل از یک سو و تدابیر امنیتی در معماری و فناوری سیستم از سوی دیگر حائز اهمیت اساسی هستند.
محصول پرگار که جدیدترین نسل از راهکارهای نرمافزاری شرکت برید است، با رعایت کامل اصول امنیتی در تمامی سطوح، طراحی و پیادهسازی شده است؛ پرگار علاوهبرمعماری امن و ایجاد بسترهای امن ارتباطی، موفق به دریافت تأییدیهها و گواهینامههای امنیتی معتبر از دستگاههای مربوطه نیز شده است و از مجموع اقدامات و فعالیتهای شرکت بَرید میتوان نتیجه گرفت که امنیت برای ما یک خط قرمز است.
در طراحی، اجرا و سنجش عملکرد محصول:
سیستم جامع پرگار، کاملاً بر اساس استاندارد OWASP طراحی و پیادهسازی شده است. استانداردی که رعایت آن منجر به بهبود سطح امنیت در شاخصهای امنیتی متفاوت، از جمله: طراحی، معماری، کدنویسیها و تستهای نفوذ میشود و علاوهبر تمام مزایایی که از آنها نام برده شد، رعایت استاندارد OWASP به یکپارچگی محصول پرگار نیز کمک شایانی کرده است.
در حوزهی ارزیابی امنیتی محصول:
گواهینامهی افتا (امنیت فضای تبادل اطلاعات) از سوی سازمان فناوری اطلاعات ایران صادر میشود. این سازمان که متولی ساماندهی نظام ملی مدیریتِ امنیت اطلاعات کشور است، به منظور حمایت و گسترش خدمات امنیت فضای تبادل اطلاعات، اقدام به ارزیابی و صدور گواهینامههایی از این دست میکند.
گواهینامهی «ارزیابی امنیتی محصول» برای نسخهی چهارم سامانهی اتوماسیون اداری پرگار، با سطح یک، از نظام ارزیابی و اعتبار بخشی امنیت محصولات مرکز مدیریت راهبری افتا صادر شده است و در آزمایشگاه فناوری اطلاعات و ارتباطات ریاست جمهوری، به شماره ثبت ۱۵۹۳۳۱ و با شماره گواهی CBP-0874-9801 قابل رهگیری و صحتسنجی است.
در حوزهی ارزیابی امنیتی خدمات فنی:
گواهینامهی افتا در حوزهی «ارزیابی امنیتی خدمات فنی»، صلاحیت کارشناسان ارائهدهندهی خدمات فنی و فرآیندهای نصب و پشتیبانی تمامی محصولات شرکت بریدسامانه نوین را تأیید میکند. این گواهینامه با شمارهی ITO -NAMA-TS-0104 صادر شده و با همین شماره، قابل رویت و پیگیری است.
در حوزهی ارزیابی امنیتی محصول:
بعد از اخذ تأییدیهی بهرهبرداری از نرمافزار اتوماسیون اداری پرگار که از سازمان پدافند غیرعامل کشور صورتگرفت، گواهینامهی امنیتی این سازمان در حوزهی «ارزیابی امنیتی محصول» نیز برای محصول پرگار و شرکت برید صادر شد.
اینکه در تمام سطوح و در تمام قدمهای اجرایی، گواهینامههای لازم توسط شرکت برید با موفقیت اخذ شده است، خود نشان دهندهی اهمیت بسیار بالای موضوع امنیت برای این شرکت است. از طرفی، مشتریان اصلی نرمافزار پرگار نیز مراکزی هستند که اهمیت زیادی برای امنیت اطلاعات خود قائل هستند و این دو مزید بر علت شدهاند که محصول پرگار، در این زمینه، از پتانسیلهای بالایی برخوردار باشد.
سیستم پرگار از امضاء دیجیتال (Digital Signature) مطابق با استانداردهای جهانی پشتیبانی میکند. و برای دریافت تاییدیههای امنیتی و تطبیق با استانداردهای بومی مربوط به این بخش از سیستم نیز توافقاتی با مرکز تجارت الکترونیک وزارت صمت بهعمل آمده است و در حال حاضر، آزمایشگاه صنایع انفورماتیک در حال ارزیابی و انجام تستهای امنیتی این بخش از سیستم میباشد.
با دریافت گواهینامهها و رعایت استانداردها، تمام تلاش خود را برای آسودگی خیال شما کردهایم.
یکسان بودن لایههای مختلف سیستم (بالاخص لایهی Web Server و Application Server)، علاوهبر تداخل وظایف، ارتباط مستقیم میان وبسرور و پایگاه داده را فراهم میکند؛ این موضوع باعث میشود در حملات امنیتی ضمن در دسترس قرارگرفتن تنظیمات سیستم، حملهکننده بتواند بهسادگی به اطلاعات سیستم (Database) دسترسی پیدا کند.
در معماری و پیادهسازی پرگار، لایههای سیستم بهمعنای واقعی از یکدیگر تفکیک شدهاند و امکان پیادهسازی مکانیزمهای پیشرفتهی امنیتی میان لایههای مختلف وجود دارد.
میانِ لایههای مختلف فیزیکی سیستم و با توجه به ماهیت آنها، امکان برقراری ارتباط امن وجود دارد. ارتباط ایمن بین لایهی Client و Web Server را میتوان با پروتکل https بهوجود آورد. بین Web Server و Application Server ارتباط امن با روشهایی از قبیل مجزاسازی شبکه Application Server ها یا استفاده از دیوارهای آتشِ نرمافزاری و سختافزاری ایجاد میشود. بین Application Server و پایگاه داده نیز میتوان از روشهایی از قبیل شبکهی مستقل، ارتباط مستقیم و دیوارههای آتش استفاده کرد. در بین سرورها، ایستگاههای کاری تنها نیاز به دسترسی به وبسرور دارند. بنابراین مابقی سرورها میتوانند در یک منطقهی امن و خارج از دسترس کاربران قرار بگیرند. تیم پشتیبانی فنی برید، در ایمنسازی ارتباط بین سرویسدهندهها در کنار مشتریان است و از ارائهی هرگونه خدمات مشاوره فنی دریغ نمیکند.
سیستم جامع پرگار بهگونهای طراحی شده است که بین تمامی لایههای فیزیکی سیستم قابلیت استفاده از دیوارههای آتش وجود دارد. دیوارههای آتش همچنین بین Client و Web Server به منظور عدم دسترسیهای غیرمجاز به Web Server این امکان را فراهم میکنند. ضمن اینکه به منظور محدودسازی، بین لایههای Web Serverو Application Server ، دسترسی تنها از طریق Message Bus صورت میپذیرد و بین Application Server و Database نیز امکان تنظیم دیوارهی آتش فراهم میباشد.
در بحث ایجاد امنیت بسترهای ارتباطی، برای ارتباط بین ایستگاههای کاری و وبسرور از پروتکل Https استفاده میشود. در سیستم جامع پرگار یک مکانیزم امنیتی منسجم یکپارچه در تمامی لایههای سیستم از ایستگاه کاری تا لایهی داده وجود دارد که از فناوریهای مختلفی از جمله SAML در آن استفاده شده است و با امضای توکنهای صادر شده امکان دستکاری در آنها را از بین میبرد. باید در نظر داشت که کلیهی کنترلهای امنیتی در لایهی Application Server صورت میگیرد و علاوهبر آن، کلیهی سطوح دسترسی کاربران به دادهها در لایهی Application Server و روی پرسوجوها اعمال میشوند. بنابراین حتی در صورت دسترسی مستقیم یک حملهکننده به لایهی Application Server فقط به دادههایی امکان دسترسی داده میشود که در سطح دسترسی همان کاربر قرار دارد و از دسترسی به کل اطلاعات سیستم جلوگیری میشود. تیم پشتیبانی فنی برید نیز علاوهبر ارائهی خدمات مشاوره تخصصی در این زمینه، بنا بر درخواست مشتریان نسبت به راهاندازی گواهینامه SSL و پروتکل HTTPS اقدام میکند.
پیادهسازی استاندارد واسط کاربری در پرگار باعث عدم نیاز به تغییر تنظیمات مرورگر شده است. تغییر این تنظیمات که معمولاً جنبهی امنیتی نیز دارند علاوه بر سردرگمی کاربر، باعث ناامن شدن مرورگر و ایستگاه کاری کاربر میشود. برخی محدودیتهای مرورگر نظیر اسکن و کار با توکنهای سختافزاری نیز با استفاده از استاندارد URL-Schema و ارتباط امن از طریق یک برنامۀ مجزا و بدون وابستگی به یک یا چند مرورگر خاص پشتیبانی میشود. در واسط کاربری پرگار بههیچعنوان از تکنولوژیها و کامپوننتهای Server-Side استفاده نشده است؛ همین امر باعث شده است که امکان اجرای حملات اسکریپتی بر روی سرورهای پرگار بهطور کامل از بین برود.
در پرگار، احراز هویت(Authentication)، به عنوان یک ماژول مستقل عمل می کند و سیستمهای مختلف بر اساس نیاز به احراز هویت به این ماژول منتقل(Redirect) میشوند. کلیهی روشهای احراز هویت از قبیل Active Directory ، ورود با رمز یکبارمصرف، SSO و … بهصورت متمرکز در این ماژول پیادهسازی و پشتیبانی میشوند. فرآیند احراز هویت پرگار با مکانیزم WS-Federation پیادهسازی شده است و در این مکانیزم مرجعی برای صدور توکن وجود دارد ( Active STS – Active Security Token Service) که درخواستکنندهی توکن (Passive STS) از طریق یک کانال امن و بر اساس مدعیات کاربر ( نام و نام کاربری، رمز یکبارمصرف، تیکت SSO و …) آنها را بررسی کرده و در صورت تصدیق، توکن( اطلاعات کاربر و نقشها و دسترسیها) را در فرمت SAML صادر میکند. توکنها به امضای صادرکنندگان میرسند که به آن امضای الکترونیک گفته میشود و قابل تغییر نیستند. همچنین بهمنظور امنیت بیشتر و کارایی بهتر سیستم مؤلفهای با نام STS Cache Service وظیفهی نگهداری توکنهای امنیتی را بر عهده دارد. استفاده از این روش احراز هویت، بالاترین سطح امنیت را برای استفاده از محصول فراهم میکند. بدیهی است که کلیهی سیاستهای امنیتی لازم مطابق استانداردهای بین المللی از قبیل OWASP در طراحی محصول پرگار نظر گرفته شده است و به کنترلهای لازم برای حملات Brute Force نیز بهصورت اساسی فکر شده است.
در پرگار از Database صرفاً جهت نگهداری اطلاعات استفاده میشود؛ این یعنی بههیچ عنوان بهمنظور پوشش نیازمندیهای کسبوکار از Procedure-Stored ، یا سایر ابزارهای پایگاه داده استفاده نشده است. همین ویژگی بهخودیخود باعث میشود که بسیاری از تهدیدات نظیر SQL-Injection مدیریت و کنترل شوند.
در پرگار، احراز هویت(Authentication)، به عنوان یک ماژول مستقل عمل می کند و سیستمهای مختلف بر اساس نیاز به احراز هویت به این ماژول منتقل(Redirect) میشوند. کلیهی روشهای احراز هویت از قبیل Active Directory ، ورود با رمز یکبارمصرف، SSO و … بهصورت متمرکز در این ماژول پیادهسازی و پشتیبانی میشوند. فرآیند احراز هویت پرگار با مکانیزم WS-Federation پیادهسازی شده است و در این مکانیزم مرجعی برای صدور توکن وجود دارد ( Active STS – Active Security Token Service) که درخواستکنندهی توکن (Passive STS) از طریق یک کانال امن و بر اساس مدعیات کاربر ( نام و نام کاربری، رمز یکبارمصرف، تیکت SSO و …) آنها را بررسی کرده و در صورت تصدیق، توکن( اطلاعات کاربر و نقشها و دسترسیها) را در فرمت SAML صادر میکند. توکنها به امضای صادرکنندگان میرسند که به آن امضای الکترونیک گفته میشود و قابل تغییر نیستند. همچنین بهمنظور امنیت بیشتر و کارایی بهتر سیستم مؤلفهای با نام STS Cache Service وظیفهی نگهداری توکنهای امنیتی را بر عهده دارد. استفاده از این روش احراز هویت، بالاترین سطح امنیت را برای استفاده از محصول فراهم میکند. بدیهی است که کلیهی سیاستهای امنیتی لازم مطابق استانداردهای بین المللی از قبیل OWASP در طراحی محصول پرگار نظر گرفته شده است و به کنترلهای لازم برای حملات Brute Force نیز بهصورت اساسی فکر شده است.
نیاز به افزایش ضریب امنیت محصول از یک سو و User Friendly بودن محصول از سوی دیگر، منجر به طراحی و اجرای احراز هویت چندعامله در محصول پرگار شده است. با امکان احراز هویت چندعامله، سازمانها میتوانند متناسب با نیازها و سیاستهای امنیتی خود، از هرکدام از روشهای زیر، عملیات احراز هویت را در سیستم پرگار پیادهسازی کنند:
احراز هویت چندعامله
هماهنگی با مکانیزمهای SSO
نحوهی نگهداری و حفاظت از دادههای حجیم
بهمنظور همراهی و هماهنگی بیشتر با سیاستهای امنیتی مشتریان، در پرگار امکان راهاندازی و هماهنگسازی سیستم با مکانیزمهای SSO فراهم شده است و علاوهبر آن، پرگار به صورت کامل از پروتکلهای OAuth و CAS پشتیبانی میکند. سایر پروتکلهای امنیتی نیز در صورت نیاز، قابلیت بررسی توسط تیم تخصصی امنیت محصول پرگار را دارند و امکان پیادهسازی آنها در سیستم وجود دارد.
دادههای حجیم از قبیل تصاویر، نامهها، اسناد و انواع فایلهای پیوست، از حساسترین اطلاعات در سیستمهای اتوماسیون سازمانی، اعم از مالی و اداری محسوب میشوند؛ این دادهها در وهلهی اول به خاطر ارزشمند بودنشان، اهداف بسیار مناسبی حملات سایبری به شمار میروند و ثانیاً حفاظت از آنها در اغلب نرمافزارهای کاربردی به درستی صورت نمیگیرد. بهعنوان مثال نگهداری دادههای حجیم روی File System بستر بسیار مناسبی برای تحت حمله قرارگرفتن سیستمهاست و انواع روشهای حفاظت از آن نیز به دلیل ماهیت File System به راحتی قابلشکست خواهد بود. از طرف دیگر به دلیل جدا بودن مکانیزمهای دسترسی در Filesystem از نحوهی دسترسی در برنامههای کاربردی، امکان ایجاد حفرههای امنیتی در نحوهی دسترسی کاربران به این اسناد و اطلاعات وجود دارد. اغلب سیستمها برای نگهداری این اطلاعات از مکانیزمهای رمزنگاری استفاده میکنند اما از آنجایی که حملهکنندهها در زمان حملات سایبری به سرور دسترسی پیدا میکنند، این مکانیزمها بهسادگی قابل شکست و هک خواهند بود و متأسفانه بارها و بارها نمونههای بسیاری از این ضعف امنیتی، در حملات سایبری رخ داده در کشورمان مشاهده شده است. و نکتهی قابل توجه دیگر این است که حتی در هنگام تبدیل اطلاعات نیز این فایلها به سادگی قابل مشاهده هستند. همین دلایل و ملاحظات امنیتی موجب شده است که در سیستم پرگار، کلیهی اطلاعات حجیم صرفاً روی پایگاه داده نگهداری شوند و همین امر باعث خواهد شد این اطلاعات(که در اغلب موارد حساسترین اطلاعات سیستم نیز هستند) از دسترسی و دیدرس حملات سایبری دور نگه داشته شوند.
تعدد امکانات سیستم پرگار برای احراز هویت، به شما این امکان را میدهد که سطح امنیتی مدنظرتان را برای استفاده از سیستم پیادهسازی کنید.
برای مدیریت و کاهش مخاطرات استفاده از Filesystemها در پایگاه دادۀ پرگار، میتوان از امکانات Automatic Storage Management در پایگاه دادۀ Oracle استفاده کرد و استفاده از ASM باعث بهوجود آمدن امنیت بسیار بالاتری برای پایگاه داده میشود. همچنین برای حفاظت بهتر از لایۀ داده، امکان راهاندازی سرورهای پایگاه داده بر روی سیستم عامل Linux نیز وجود دارد که این اقدام نیز میتواند تا حد بسیار زیادی امنیت پایگاه داده را در مقابل حملات سایبری تأمین کند.
برای نگهداری دادههای حجیم در پایگاه و مدیریت حجم اطلاعات در پایگاه داده از روشهای پیشرفته فشردهسازی (Compression) استفاده شده است و بهمنظور تسریع و تسهیل فرآیند پشتیبانگیری اطلاعات (Backup) نیز راهکارها و مکانیزمهای پیشرفتهی پایگاه داده مانند Partitioning در نظر گرفته شده است.
ذخیرۀ مستندات با فرمت PDF
در محصول پرگار، برای افزایش ضریب امنیت مستندات و بالا بودن قابلیت اتکاء مستندات، از استاندارد PDF (Portable Document Format) استفاده شده است.
مطابق با این استاندارد، تمام مستندات بعد از تأیید، بهصورت PDF ایجاد و ذخیره میشوند و در هنگام مشاهده سند، صرفاً مستند مربوطه نمایش داده شده و از تولید مجدد آن در زمان مشاهده که باعث خدشهپذیری مستندات میگردد، پرهیز خواهد شد.
استفاده از این روش مزایای زیر را به همراه دارد:
کنترل سطوح دسترسی (Authorization)
دسترسی کاربران در پرگار در هر عملیات بهصورت مجزا و بهصورت متمرکز در لایهی Application Server انجام میشود. زیرساخت متمرکزی برای تعریف و اعمال دسترسیها در پرگار پیادهسازی شده است؛ این زیرساخت امن، مطمئن و سریع امکان پشتیبانی از قابلیتهای امنیتی زیر را دارد:
قابلیت امضای الکترونیک
در سیستم پرگار امضای الکترونیک اسناد، چه در سطح سازمانی و چه در سطح امضاکنندگان اسناد بصورت کامل پیادهسازی شده است. مهمترین قابلیت پرگار در این زمینه نگهداری امضا بر روی خود مستندات است (امضاها در فرمت استاندارد PDF درج میشوند). این قابلیت امکان اعتبارسنجی مستندات پرگار در خارج از سیستم را نیز فراهم میکند.
با استفاده از امضا الکترونیک در پرگار، تمامی مستندات میتوانند با کلید منحصربهفرد سازمان امضا شوند و در این صورت، امضا میتواند در حکم مهر سازمانی باشد. ضمن اینکه در پرگار، قابلیت امضا الکترونیک از عموم توکنهای مرسوم در بازار نیز پشتیبانی میکند.
رویدادنگاری کامل سیستم
با استفاده از مکانیزم رویدادنگاری پرگار امکان کنترل و ردگیری تمامی رویدادهای سیستم در سطح Client و Services فراهم بوده و امکان مانیتور کاربران برای استعلام و صحتسنجی مکانیزم عدم انکار وجود دارد.
در سیستم پرگار، تمامی رویدادهایی که منجر به ارتباط کاربر با سرور شود به صورت متمرکز در لایهی Application Server ثبت و ضبط میشود و به همین دلیل است که عملاً امکان دور زدن رویدادنگاری در لایهی وب وجود ندارد.
بیش از ۲۰۰۰ سازمان، از ایمنی و امنیت محصولات شرکت برید راضی هستند.