ورود به سایت

امنیت در مدیریت مکاتبات پرنیان

گسترش سازمان ها از یک سو و توسعه ابزارهای ارتباطی مانند گوشی های هوشمند، تبلت ها و ... از سوی دیگر ضرورت بهبود امنیت هنگام دسترسی به اطلاعات را هم وزن سهولت در دسترسی به اطلاعات افزایش داده است . به همین منظور در طراحی سیستم مدیریت مکاتبات پرنیان موضوع امنیت از جهات مختلف در نظر گرفته شده است. از امکان اعمال قوانین پیچیده در ایجاد کلمه عبور برای جلوگیری از ایجاد کلمات عبور ساده تا رمزنگاری در تبادل اطلاعات بین اجزای مختلف سیستم.

در سيستم اتوماسيون اداري پرنيان در راستاي بالا بردن سطح امنيت موارد زير پياده سازي شده است:

  • قابلیت تعیین میزان پیچیدگی کلمه عبور برای جلوگیری از استفاده از کلمه عبور ساده توسط کاربران
  • پشتیبانی از امضای دیجیتال و ارایه certificate به کاربران معتبر اتوماسیون برای استفاده از آن در هنگام ارسال نامه ها و رمز نگاری محتوای نامه و جلوگیری از تغییر و تحریف نامه در مسیر تبادل آن به مقصد
  • استفاده از تنها يک کانال ورودي براي ارتباط با سرور: عدم ارتباط مستقيم با بانک هاي اطلاعاتي سرور و يا سرويس هاي ديگر موجود در سرور مانند Active Directory و ... و پياده سازي به صورت سرويس گرا
  • عدم پياده سازي وب متد هاي مختلف براي operation هاي لازم و استفاده از تکنيک Dynamic Method Invocation براي فراخواني در خواست ها: بدين صورت نمي توان به نام متد ها و نوع و نام پارامتر هاي آن ها دست يافت و از طريق ديگر بجز برنامه پرنيان، آن ها را فراخواني کرد. استفاده از يک الگوي Xml اي در تمام تبادلات و عدم اطلاع از ساختار آن، پيچيدگي را براي دستيابي به اطلاعات بيشتر مي کند. اين پيكربندي ها بصورت غير ملموس توسط كاربران قابل اعمال است و مي توان از آن به عنوان يك كليد اطمينان براي عدم امكان برقراري مشتريهاي غير معتبر با سيستم استفاده كرد.
  • استفاده از رمزنگاري (Cryptography) : تمام درخواست ها در مجرا هاي خروجي از هر سمت، رمز نگاري (Encrypt) و در مجرا هاي ورودي در هر سمت رمزگشايي(Decrypt) مي شود. با اين تکنيک امکان بدست آوردن داده ها و ساختار عملياتي در طول مسير توسط sniffer ها ميسر نمي باشد. روش هاي ديگر مانند ايجاد کانال امن و امكان استفاده از تائيديه هويت دوگانه با استفاده از SSL بين سرويس دهنده ها و مشتري ها فراهم مي‌باشد. بدين صورت كه در صورت وجود يك CA داخلي در سازمان محترم مي توان سرويس دهنده ها را به صورتي پيكربندي كرد كه فقط به مشتري هايي كه داراي يك گواهي الكترونيك تائيد شده توسط CA مذكور هستند جواب داده و ارتباط برقرار كند به همين ترتيب مشتري ها را نيز مي توان به نحوي پيكربندي كرد كه فقط به سرويس دهنده اي با گواهي ديجيتال تائيد شده توسط CA مذكور پاسخ بدهند.
  • ايجاد پيام soap و پکيج ارسالي کاملا به صورت dynamic طوري که فقط از يک ساختار مشخص و پورت خاص سيستم بهره مي گيرد، لذا مي توان با نصب فايروال هاي قوي، تمام ارتباطات ديگر سرور را با دنياي خارج بست و فقط به پورت مربوطه اجازه عبور داده شود.
  • نگه داري تمام اطلاعات مربوط به در خواست و کاربر، در هر package مانند مشخصات کامل کاربر و کامپيوتر، IP ،زمان هاي ارسال و پاسخ و ...که در نهايت مي توان کاربران خاطي (هکر) و يا در خواست هاي نادرست را آديت نمود. زمان هاي انتظار در شبکه، زمان اجرا فرمان هم براي محاسبه کارايي سيستم در هر قسمت و براي هر سرويس يا عمليات قابل محاسبه است. همچنين قابليت اعمال انواع فيلر براي در خواست هاي مشکوک و يا black list در سيستم وجود دارد. با فعال کردن سيستم آديتينگ، تمام اين اطلاعاتات در بانک اطلاعاتي ذخيره مي شود و آمار هاي مختلف را در مورد زمان تاخير سمت سرويس ها و يا شبکه و غيره را مي دهد.
  • ايجاد سيستم يکپارچه کنترل خطا و کاهش احتمال ورود داده اشتباه در سيستم: که خطاهاي سيستمي و business اي همگي قابل تعريف و در منبعي با راهکار و دليل آن قابل نگه داري مي باشد و در صورت رخ دادن آن در سمت سرور، عملياتي به طور خودکار، پيام مناسب را براي کاربر نمايش و از بروز اتفاق هايي که ممکن است سبب ورود داده اشتباه به سيستم شود، جلوگيري مي کند. همچنين امکان پياده سازي سعي مجدد براي بعضي انواع خاص خطا،(مانند خطاي Timeout در سمت سرور) به صورت خودکار وجود دارد تا عمليات ادامه و قطع نشود.
  • استفاده از سيستم authentication و authorization واحد با استفاده از Active Directory براي مديريت ورود و دسترسي کاربران و عدم نگه داري اطلاعات حساس در جداول داده اي و عدم امکان نفوذ به اين ساختار توسط ديگران و در نتيجه عدم امکان استفاده ديگران از سيستم اتوماسيون پرنيان بدون داشتن مجوز هاي لازم در Active Directory.
  • امکان نصب ديوار آتش(Firewall) چه به صورت سخت افزاري و يا نرم افزاري براي بستن تمام پورت ها بجز پورت ارتباطي ميان سرويس دهنده و سرويس گيرنده و امکان نصب برروي شبکه جهاني بدون نياز به اتصال باز سرور به اينترنت براي تبادل داده
  • ارایه Certificate برای دسترسی از راه دور به منظور افزایش امنیت به کاربرانی که قرار است خارج از شبکه محلی به سیستم متصل شوند، گواهینامه های الکترونیکی داده می شود که بایستی علاوه بر نام کاربری و کلمه عبور برای اتصال به سیستم مورد استفاده قرار گیرد.
  • پشتیبانی از SSL برای افزایش ضریب امنیت در تعامل با سرور در محیط وب
در مدیریت مکاتبات پرنیان، داده ها به دو طريق ميان سرور ها و سرويس ها منتقل مي شود، ارتباط داخلي و ارتباطات ميان سرور و کلاينت.

ارتباطات داخلي

به هر نوع فراخواني سرويس ها و يا API ها در سرور اطلاق مي شود، مانند ارتباط با Active Directory و يا SharePoint که از طريق TCP/IP و با استفاده از پورت هاي معين در داخل سرور صورت مي‌گيرد. اين data transition ها، بدون کاهش امنيت و تاثير برکل سيستم انجام مي شود. همچنين با اضافه کردن API ها و کتابخانه هاي مختلف، مانند کتابخانه هايSharePoint ، دستورات و عمليات هاي لازم از سرور فراخواني مي شود. نکته اي که از اهميت بالا برخودار است، کارايي بالا و مطمئن سرويس هاي داخلي و ارتباطات سريع و آني بين آنها مي باشد لذا در اين لايه، هدف صرفا تاكيد بر امنيت تبادلات داده اي نبوده و بيشتر پايداري و کارايي بالا مد‌نظر قرار گرفته است. در اتوماسیون اداری پرنیان امكان استفاده از سرورهاي سخت افزاري و يا مجازي براي راه اندازي سرويس دهنده‌هاي مختلف فراهم شده است. به عنوان مثال جدا سازي سرور SharePoint و Active Directory و يا سرويس‌هاي ديگر پرنيان، خللي در ساختار و عملكرد سيستم ايجاد نمي‌کند. حتي با توزيع سرورها و استفاده از يک ارتباط گيگابيتي ميان سرور هاي مختلف در اين لايه، مي توان تاثير خوبي در کارايي سيستم مشاهده نمود. استفاده از بستر هاي توزيع شده و خوشه بندي هاي مناسب براي Application Server يا SQL Server و استفاده از Load Balancer نيز قابل اجرا و موثر مي‌باشد و به طور خلاصه، معماري سيستم توپولوژيهاي مختلف در پيكربندي سرورها را تضمين مي‌کند.

ارتباطات خارجي

به هر نوع ارتباط داده اي از بستر سرور به خارج(کلاينت ها) اطلاق مي شود. مهم ترين و اصلي ترين رخنه هاي امنيتي يک سيستم نرم افزاري در شبکه، در نوع ارتباط و کانال هاي ارتباطي ميان کاربران و سرور اصلي مي باشد. در اتوماسيون اداری پرنيان، با دانستن اين مورد سعي شده از روش هاي مناسب براي عدم نفوذ پذيري استفاده شود. در مواردي هم به علت عدم نياز و يا پيچيدگي هاي نالازم، پياده سازي صورت نگرفته، اما معماري سيستم به گونه اي مي باشد که در صورت نياز، امکان افزودن سيستم هاي ديگر امنيتي به سيستم فراهم است.