سرویس امنیتی اسپریت پورتال، قابلیتی است که جهت استحکام امنیت پورتالهای سازمانی در مقابل نفوذهای خرابکارانه، شناسایی اقدامات مشکوک و جلوگیری از اجرای اسکریپتهای مخرب طراحی و توسعه یافتهاست. مدیریت امنیت و مجموعه ابزارهای مورد نیاز توسعهدهندگان در نرمافزار اسپریت پورتال از بدو شروع مراحل برنامهریزی سیستمی، با در اختیار داشتن شاخصهها و استانداردهای تبیینشده توسط مرکز مدیریت راهبردی افتا برای دریافت گواهی ISO/IEC/ISIRI15408، تمامی الزامات امنیتی را در توسعه سیستم، مورد لحاظ و پیادهسازی قرار دادهاند. علاوه بر این رویکرد، شرکت نیافام موفق به دریافت گواهی امنیتی OWASP از یکی از آزمایشگاههای مجاز مرکز افتا برای نرمافزار اسپریت پورتال شدهاست.
این سیستم شامل بخشهای اصلی ذیل میباشد:
- سرویس نظارت و مانیتورینگ دایرکتوریها
- سیستم مقابله با نفوذ شبکۀ TOR
- ارسال اعلانها و گزارشها
- و بسیار موارد دیگر که در ادامه ذکر شده است
سرویس نظارت و مانیتورینگ دایرکتوریها
سرویس امنیتی اسپریت پورتال شامل یک سرویس نظارت و مانیتورینگ دایرکتوریها میباشد که جهت کنترل اقدامات کاربران پیرامون فایلهای سیستم و جلوگیری از اجرای فایلهای مخرب در سیستم طراحی شدهاست. عملکرد این سیستم بدینگونه است که اسامی فایلهای اصلی پورتال را میشناسد و محتوای هششده (Hashed) آنها را که با الگوریتم SHA256 تغییر یافتهاست را تشخیص میدهد و این فایلها را بصورت Live مانیتور میکند، بدین معنی که تمامی تغییرات ایجاد شده همانند تغییر، انتقال و حذف فایلها، اعلانهایی را بوجود آورده و این اعلانها بصورت لحظهای (Real-Time) برای مسئولین مربوطه جهت بررسی ارسال میگردد و همچنین اگر فایل جدیدی به دایرکتوری های پورتال اضافه شود آن را گزارش میکند.
شبکه TOR، یک مسئله برای امنیت سایبری
شبکۀ TOR (The Onion-Routing) شبکهای است که به شبکۀ سیاه معروف است و امکان مخفیسازی هویت کاربران را در فضای اینترنت فراهم میآورد و از دسترسی سیستمهای نظارتی، مکانیاب و غیره به اطلاعات افرادی که به سیستمهای کامپیوتری نفوذ میکنند و به تبادل دیتا میپردازند جلوگیری میکند. این شبکه از سیستمهای کامپیوتری افرادی در سراسر دنیا تشکیل شده و امروزه واسطۀ قدرتمندی برای نفوذ، مبادلۀ کالاهای قاچاق و غیرقانونی و خرابکاری هکرها به حساب میآید چراکه روزانه صدها سیستم با IPهای مختلف به این شبکه افزوده میگردد بنابراین لیست ثابت و مشخصی از IPهای مورد استفادۀ این شبکه وجود ندارد.
برای جلوگیری از ورود افراد به سایتهای ایجاد شده با اسپریت پورتال، سرویس امنیتی پورتال، هر نیم ساعت یکبار با بررسی شبکه TOR، تمام IPهای موجود در Exit-Nodeهای این شبکه را شناسایی نموده و جهت مسدودشدن دسترسی به پورتال، به سرور معرفی میکند. همچنین به علت اینکه روزانه صدها IP قبلی شبکه TOR از این شبکه خارج میشود، درصورتی که این IPها پیش از این توسط سرویس امنیتی اسپریت پورتال مسدود شده باشد، از وضعیت Block خارج میگردند.
ارسال اعلانها و گزارشها
سرویس امنیتی اسپریت پورتال درصورت ردگیری رویدادهای مختلف، گزارشها و اعلانهای متنوعی را با درجههای متفاوت اولویت و اهمیت تهیه نموده و به مقاصد تعیینشده ارسال مینماید.
لیست عملیات کاربران پورتال
بواسطه این قابلیت اسپریت پورتال، لاگ تمام عملیات کاربران پورتال که شامل دسترسیها و اقدامات میشود، در قالب Data Table در سیستم ثبت و نگهداری میشود و مدیر پورتال میتواند همواره گزارش کاملی از اقدامات کاربران را در اختیار داشته باشد.
لیست عملیات مردود شده کاربران پورتال
بواسطۀ ابزارهای موجود در نرمافزار اسپریت پورتال، امکان محدود کردن دسترسیها و اقدامات متنوع کاربران سیستم توسط مدیر پورتال وجود دارد. ولیکن ممکن است برخی از کاربران با علم به اینکه دسترسی آنها به امکانی در نرمافزار محدود شده است، با اقداماتی درصدد تلاش برای اقداماتی برآیند که مجوز آن را ندارند و ریکوئستهایی را در این راستا به سرور ارسال کنند.
بواسطه قابلیتهای اسپریت پورتال، ریکوئستهای غیر مجاز مردود شده و با هدف شناسایی تلاشهای مخرب و مشکوک، لاگ تمام عملیات مردودشده کاربران پورتال و دسترسیهایی که از آنها سلبشده است، در سیستم ثبت و نگهداری میشود و مدیر پورتال میتواند همواره اطلاعات کاملی از آنها را در اختیار داشته باشد و خروجی مورد نظر خود را با امکانات فیلتر رکوردها در نرم افزار بدست آورد.
محافظت از لاگهای سیستمی در مقابل تخریب
بواسطۀ تمهیدات امنیتی نرم افزار اسپریت پورتال، هنگام ذخیرۀ لاگها، دیتای تمام فیلدها با هم جمع شده، بصورت یکطرفه هش شده و رمزنگاری میشوند. این تمهیدات، به منظور راستیآزمایی تقارن لاگهای درون دیتابیس با واقعیت رویدادها طراحی شدهاند چراکه افرادی که به دیتابیس دسترسی کامل دارند، میتوانند دیتای مربوط به لاگها را تغییر دهند و این مسئله وجود پتانسیل خرابکاری در سیستم را حفظ میکند. بدینترتیب با حفظ و ذخیره لاگهای واقعی در سیستم امنیتی پورتال، اعمال تغییرات در رکورد لاگهای مربوط به رویدادها همواره بواسطه سرویس امنیتی اسپریت پورتال، قابل شناسایی و پیگرد میباشد.
این سیستم دارای قابلیتهای بسیاری میباشد که در ادامه به بخشی از آن اشاره شده است:
- ثبت چکیدهی اعتبارسنجی (checksum) برای کلیه رکورد هایی که جنبه امنیتی دارند ( مانند لاگ عملیات کاربران، رکورد های اطلاعات اعضاء و ... ) بر اساس کلیه فیلد های رکورد توسط الگوریتم SHA512 و نمایش وضعیت اصالت داده ها در کنترل پانل
- قابلیت احراز هویت دو عاملی ( Two-Factor Authentication ) توسط google authenticator و یا ارسال کد ورود توسط پیام کوتاه
- قابلیت تعیین حداقل سختی گذرواژه از جمله ( طول گذرواژه، اجباری بودن ترکیب حروف بزرگ، کوچک، اعداد، کارکترهای خاص و ... ) و حداکثر طول عمر گذرواژه
- سرویس مقابله با نفوذ و آسیبرسانی از طریق شبکۀ TOR
- استفاده از توکن CSRF در کنترلپانل پورتال جهت بررسی اعتبار request ها جهت مقابله با حملات Cross-Site Request Forgery
- امکان تعیین طول عمر نشست ها ( لاگین ) و خروج خودکار از کنترل پانل بعد از اختار نهایی به کاربر
- امکان تعیین آدرس های IP مجاز جهت دسترسی به کنترل پانل
- امکان تعیین حداکثر تعداد نشستهای (Sessions) همزمان با یک نام کاربری
- امکان الزامی نمودن لاگین بر بستر SSL
- امکان تعیین حداکثر تعداد ریکوئست مجاز در یک بازه زمانی مشخص جهت جلوگیری از حملات Brute Force
- امکان تعیین حداکثر تعداد لاگ های عملیات کاربر و عملیات سیستم و مکانیزم رو نویسی لاگ ها پس از رسیدن به سقف تعداد مجاز بر روی قدیمیترین لاگ ها، جهت جلوگیری از سر ریز شدن رکوردهای ممیزی
- امکان تعیین حداکثر دفعات لاگین ناموفق مجاز برای یک کاربر و برای یک IP با قابلیت تعیین بازۀ زمانی اعمال محدودیتها پس از رسیدن به سقف مجار
- امکان فعال سازی اطلاع رسانی به ازای هر لاگین به کاربر، با قابلیت تعیین محدوده (فقط سوپر ادمین،کاربران ادمین و سوپر ادمین، کلیه کاربران) از طریق پیام کوتاه
- اطلاع رسانی به کاربر در صورت ورود کاربر دیگر به سیستم با نام کاربری ایشان
- بهرهمندی از بانک اطلاعاتی گستردۀ گذرواژههای رایج جهت جلوگیری از حملات Brute Force هکرها
- قابلیت جستجو در لاگ فایل های IIS در بازه زمانی مشخص
پورتال هوشمند سازمانی شرکت دانش بنیان نیافام ضامن امنیت و آرامش سازمانها