سیاست ها و تدابیر اتخاذ شده جهت امنيت پژوهان

دوشنبه
97/6/12




 

سیاست ها و تدابیر  اتخاذ شده جهت امنيت پژوهان

  • بر اساس OWASP Top 10   سیاست و تدابیر  ذيل جهت امنيت پژوهان اتخاذ و تعبيه گرديده اند:

 

  • Injection

تمامی ورودی های نامطمئن با استفاده از ابزارهای مطمئن بررسی می شوند تا حاوی دستورات مخرب نباشند. در صورت برخورد با حملات اینچنینی، حمله مذکور با ذکر IP حمله کننده و شرح حمله به شرکت گزارش داده می شود.

 

  • Broken Authentication

نام کاربری و کلمه عبور کاربران از طریق کانال امنhttps  دریافت می گردند و همچنین چنانچه بعد از تعداد مشخصی، کلمه عبور اشتباه باشد، نام کاربری مذکور قفل خواهد شد و بدین ترتیب اجازه حدس زدن کلمه عبور توسط هکرها داده نخواهد شد. همه تلاش ها برای ورود موفق/غیرموفقLog  می شوند.

 

  • Sensitive Data Exposure

بخش هایی که حاوی داده های عملیاتی کاربران هست را می توان تنظیم کرد که اجازه دسترسی غیرمجاز به آنها سلب گردد همچنین این داده ها از طریق پروتکل https مبادله می شوند تا امکان سرقت آنها در حین تبادل از بین برود.

 

  • XML External Entities

مواردی که باعث این حمله می شوند، در پژوهان استفاده نشده اند.

 

  • Broken Access Control

سعی حداکثری شده است تا در هنگام تحویل پژوهان تمامی تنظیمات دسترسی کاربران و نقش های مختلف بدرستی تنظیم گردند تا اجازه هرگونه دسترسی غیرمجاز گرفته شود.

 

  • Security Misconfiguration

سعی شده است تنظیم پیش فرض دسترسی بر عدم دسترسی باشد و در صورت لزوم اجازه دسترسی صادر گردد تاکاربر بتواند به داده ها و یا عملکردها دسترسی داشته باشد. در ابزارهای استفاده شده سعی شده است که تنظیمات امن در نظر گرفته شوند و پیام های خطا حاوی داده حساس نباشند. در صورت بروز هر خطایی، متن خطا برای شرکت ارسال می گردد و برای کاربران نهایی یک پیام ساده خطا نمایش داده می شود.

 

 

  • Cross Site Scripting

تمامی ورودی های از منابع نامطمئن بررسی می شوند تا حاوی دستورات مخرب نباشند و اقدامات لازم برای بی اثر کردن این دستورات و Escaping انجام شده است؛ همچنین تنظیم گردیده که Session ID  از طریق دستورات جاوا اسکریپت قابل دسترسی نباشد.

 

  • Insecure Deserialization

مواردی که باعث این حمله می شوند، در پژوهان استفاده نشده اند.

 

  • Using Components with Known Vulnerabilities

تمامی کامپوننت ها و کتابخانه های استفاده شده مربوط به شرکت های معتبر و شناخته شده می باشند و از منابع امن دریافت گردیده و بروزرسانی می شوند.

 

  • Insufficient Logging & Monitoring

تمامی وقایعی که در سامانه اتفاق می افتند تا حد ممکن در سامانه ثبت می گردند از جمله: ورود و خروج موفق/ناموفق کاربران، مسدود شدن حساب کاربری، درخواست کلمه عبور، تغییر کلمه عبور، ثبت نام در سامانه، استفاده از توکن های نامعتبر، تغییر داده های عملیاتی در سطح فیلد به گونه ای که داده قبلی و جدید همزمان ثبت می گردند، حذف داده ها، گردش کار، تغییر در تنظیمات سامانه از طریق مرورگر، اطلاعات مربوط به خروج داده از سامانه، خطاهایی که در سامانه اتفاق می افتند و بطور کلی هر رویداد با اهمیت دیگر در سامانه ثبت می گردد.

 

علاوه بر موارد بالا، تمهیدات لازم برای مقابله با حملات زیر نیز در پژوهان اتخاذ شده است:

  1. Zero Byte Attack
  2. Session Fixation
  3. CSRF Attack

 

سایر تدابیر امنیتی اتخاذ شده به قرار ذيل هستند:

  1. امكان اعمال محدوديت بر روي «رمز عبور»، در خصوص تعداد كاراكترها، (مثلا: حداقل 6 کاراکتر) وجود دارد.
  2. امکان استفاده از ترکیب حروف انگلیسی، اعداد و کاراکترهای خاص در اسامی رمز وجود دارد.
  3. امکان تغییر کلمه عبور توسط کاربر وجود دارد.
  4. «رمز عبور» به صورت درهم، در پايگاه داده ذخيره مي‌شود.
  5. خطاهاي اتفاق افتاده به شرکت گزارش می شوند.
  6. زمان و نام كاربري تراكنش‌هاي مربوط به تغییرات داده، اعم از ايجاد، ويرايش و حذف، ثبت مي‌شود.
  7. زمان و نام كاربري تراكنش‌هاي مربوط به گردش کار سيستم ثبت مي‌شود.
  8. پایگاه داده به گونه ای طراحی شده است که اطلاعات غیر مجاز را قبول نمی کند برای مثال اگر يك فيلد اطلاعاتي از نوع تاريخ است فقط فرمت صحیح تاریخ پذیرفته می شود.
  9. امکان Upload فایل های اجرایی در پژوهان وجود ندارد.
  10. سطوح دسترسی افراد در سه سطح سامانه، درخت سازمانی و بر اساس نقش و مرحله در پژوهان تعبیه شده است و امکان فعال/ غیرفعال سازی هر کدام از این سطوح برای فرم های مختلف وجود دارد.
  11. امکان کنترل دسترسی خواندن و تغییر در سطح فیلد در پژوهان تعبیه شده است.