یكی از مهمترین جنبه های تولید نرم افزارهای سازمانی توجه به جنبه های مختلف امنیت و رویداد نگاری نرم افزار و اطلاعات می باشد. حساسیت و اهمیت این موضوع به قدری است كه لزوما باید از روشهای آزموده شده و مطمئن استفاده نمود.
امروز نیاز به امنیت، تولید کنندگان محصولات نرم افزاری و سازمان هایی که از این محصولات استفاده میکنند را وارد میکند تا تدابیر لازم جهت مقابله با هرگونه سوء استفاده و خرابکاری و یا افشای اطلاعات حساس را در محصولات خود در نظر بگیرند.
امنیت یک مسیر است نه یک هدف چرا که هر روز ممکن است آسیب پذیریهای جدید کشف و مورد سوء استفاده کاربران بدخواه قرار گیرد. بنابراین لازم است در گام اول تولیدکنندگان محصولات نرم افزاری با کمک متخصصین امنیت نرم افزار و در نظر گرفتن موارد امنیتی بصورت کلان و در حوزه های طراحی، معماری و پیاده سازی نرم افزار و همچنین استفاده از سرویسها و مکانیزمهای امنیتی مورد نیاز، خسارت ناشی از حمله کاربران بدخواه به سیستم را کاهش دهند.
سیستم ساز برسا از جنبه های گوناگون مقوله امنیت و رویداد نگاری را مورد تحلیل و بررسی قرار داده و برای هر قسمت راهكار مناسب آن را ارائه نموده است. در ادامه برخی از این ویژگیها بصورت خلاصه مورد بررسی قرار میگیرد.

تولید تمامی بخشهای سیستم ساز در درون شركت برسا
از جمله موارد مهم كه در امنیت و رویداد نگاری كلی نرم افزارهای تولیدی و سیستم ساز مورد توجه میباشد این است كه تمامی بخشهای سیستم ساز بطور كامل در درون شركت برسا نوین رای ساخته شده و كدهای منبع تمامی آنها وجود دارد. حتی كنترلهای واسط كاربری نیز تماما در درون شركت تولید شده و كد منبع آنها وجود دارد.
این امر تضمین میكند كه هیچگونه مشكل و یا شك و شبهه ای در استفاده از زیرساختهای سیستم ساز وجود نداشته و سازمان ها و شركتها میتوانند با طیب خاطر از امكانات آن استفاده نمایند.
امنیت یک هویت چندوجهی و دارای ابعاد گوناگون و مختلف میباشد که در یک برنامه جامع امنیت به تمامی این ابعاد توجه شده و همگی در بستر یکپارچه امنیت قرار گیرند.
برخی از جنبه های مهم امنیتی زیرساخت سیستم ساز به شرح ذیل میباشد.
-
تصدیق هویت و اعتبارسنجی (Authentication)
یكی از نمودهای اصلی امنیت در نرم افزار داشتن نام كاربری و رمز عبور برای هر كاربر میباشد. در زیرساخت سیستم ساز برسا هر كاربر برای ورود به سیستم بایستی دارای نام كاربری و رمزعبور مربوط به خود باشد. بنابراین هر شخص پس از ورود به سیستم شناخته شده و تمامی فعالیتهای وی قابل ردگیری خواهد بود.
برای ذخیره نمودن رمزهای عبور از یك روش غیرقابل بازگشت رمزنگاری استفاده شده است كه بوسیله آن رمزعبور كاربران ذخیره شده و هیچ كس (حتی مدیر سیستم) قادر به شناسایی رمز نخواهد بود. از مزایای دیگر زیرساخت امنیت در سیستم ساز این است كه كاربر با یكبار ورود میتواند از تمامی امكانات مجاز خود استفاده نماید و برای استفاده از امكانات زیرسیستم های مختلف نیازی به ورود مجدد در هر زیرسیستم را نخواهد داشت.
-
تصدیق حقوق دسترسی (Authorization)
یكی دیگر از جنبه های مهم امنیت در سیستم های نرم افزاری و خصوصا سازمانی تعیین میزان دسترسی هر كاربر به بخشهای مختلف برنامه و اطلاعات است.
در هر سازمانی منابع اطلاعاتی و همچنین امكانات برنامه دارای ارزش خاص خود هستند كه طبق سطوح تعریف شده سازمان، فقط عده خاصی حق اطلاع و یا تغییر آنها را خواهند داشت. بنابراین برای صحت عملكرد یك سامانه سازمانی این بحث از اهمیت خاصی برخوردار است كه بتواند حدود مجاز هر كاربر از لحاظ دسترسی و یا تغییر اطلاعات را مشخص و كنترل نمود.
در سیستم ساز برسا یكی از منعطف ترین و كاربردی ترین روشهای تعریف، نگهداری و كنترل دسترسیها استفاده شده است كه قابلیتهای فراوانی را در اختیار تولید كنندگان قرار میدهد تا بسادگی و با كمترین هزینه بتوانند از زیرساخت كنترل دسترسیها استفاده نمایند. این زیرساخت در پروژه های مختلف مورد استفاده قرارگرفته و به بستری كامل و قابل اطمینان برای چك دسترسیها تبدیل گردیده است.
-
رمزنگاری اطلاعات (Data Encryption)
یكی از عناصر مهم در حفاظت اطلاعات سازمان رمزنگاری اطلاعات میباشد. این امر برای حفاظت از بخشهای حیاتی اطلاعات و تضمین عدم دسترسی افراد غیرمجاز به اطلاعات از اهمیت خاصی برخوردار است.
رمزنگاری در زیرساخت سیستم ساز میتواند در بخشهای مختلف مورد استفاده قرار گیرد كه مهمترین آنها عبارتند از:-
رمزنگاری اطلاعات اتصال به پایگاه داده : با توجه به اینكه تمامی اطلاعات سازمان در پایگاه داده ذخیره میشود، زیرساخت سیستم ساز اطلاعات اتصال به پایگاه داده را رمز كرده تا هیچ كاربری نتواند از این اطلاعات به منظور اتصال به پایگاه داده استفاده نماید.
-
رمزنگاری برخی داده های مهم در برنامه : در بخشهایی كه اطلاعات بسیار مهم و محرمانه هستند میتوان مكانیزمهایی را برای رمزنمودن اطلاعات قبل از ذخیره در پایگاه داده مورد استفاده قرار داد. در صورت این نوع رمزنگاری حتی درصورتیكه كاربری اطلاعات اتصال به پایگاه داده را در اختیار داشته باشد نمیتواند از اطلاعات استفاده نماید.
-
رمزنگاری اطلاعات برای انتقال بر روی شبكه : زیرساخت سیستم ساز این امكان را فراهم می آورد كه سازمان بتواند برای ارتباط بین كلاینتها و سرور از یك بستر كاملا امن و تضمین شده استفاده نماید تا اگر احیانا شخصی از درون و یا بیرون سازمان اطلاعات بین كلاینت و سرور را پایش میكند، نتواند از آن استفاده نماید.
-
-
بررسی صحت ورودی و خروجی
در موضوع امنیت جامع توجه به صحت ورودی و خروجی اطلاعات بسیار حائز اهمیت میباشد. خصوصا این که مقادیر وارد شده توسط کاربر منجر به ایجاد اشکال در فراخوانیهای دیتابیس، اعتبارسنجیها و .. نگردد.
سیستم باید قوانین مشخص اعتبارسنجی برای فیلدهای اطلاعاتی را پوشش داده و علاوه بر آن در تمامی مراحل سیستم این قوانین به دقت در سطح واسط کاربری و در سطح منطقهای سمت سرور چک و کنترل شود.
-
رمزنگاری اطلاعات
در مقوله رمزنگاری استفاده از کلیدهای عمومی و اختصاصی، روشهای رمزنگاری مصوب، نحوه ذخیره سازی اطلاعات و انتقال اطلاعات بر روی شبکه، امکان تنظیم رمز نگاری اطلاعات کاربران، نگهداری رمزهای عبور، نگهداری اطلاعات مهم در فضای وب و … مورد بررسی قرار میگیرد که یکی از جنبه های مهم امنیت سیستم های اطلاعاتی را شامل میشود.
-
مدیریت خطاها و استثنائات
قطعا مدیریت خطاها بسیار در ردیابی مشکلات امنیتی و حل آنها تاثیر بسزایی دارد. برخی از انواع حمله های سایبری مبتنی بر ایجاد اخلال در اجرای کد برنامه میباشد که منجر به تولید خطا در عملکرد سیستم گشته و از طریق ثبت این موارد و ردیابی آنها میتوان احتمال وقوع موارد امنیتی را مدیریت کرد.
-
امضا دیجیتال و انکار ناپذیری
سیستم های اطلاعاتی پس از گسترده شدن جای خود را در روالهای تعاملی سازمانها بازکرده و منجر به استفاده وسیع در سطح سازمانها خواهند گشت. نکته حائز اهمیت این است که در تعاملات سازمانی اتفاقات ثبت شده در سیستم قابل اطمینان و به دور از امکان انکار شدن باشند.
به نحوی که اگر یک کاربر در سیستم عملی را انجام داد به هیچ وجه نتواند اجرای آن مورد در سیستم را منکر شده و از پذیرفتن تبعات آن اجتناب نماید.
-
طراحی، معماری و کدنویسی
قطعا امنیت چیزی نیست که بتوان بصورت یک عامل بیرونی به یک برنامه سازمانی القا نمود. بلکه امنیت باید در تمامی مراحل طراحی و تولید سیستم مورد نظر بوده و عملا نرم افزار با یک نگاه امنیتی دقیق و صحیح طراحی و تولید گشته باشد.
از این رو توجه به معماری امن و نحوه کدنویسی مبتنی بر قواعد امنیتی از مسائل تاثیرگزار در امنیت جامع سیستم های اطلاعاتی است.
-
رویدادنگاری فعالیتهای كاربران و ردگیری (Log & Audit)
از عوامل مهم در جلوگیری و یا كشف دسترسیهای غیرمجاز و یا كنترل كاربران ثبت رویدادهای كاری كاربران(كارهای انجام شده توسط هر كابر از زمان ورود به نرم افزار) میباشد. سیستم ساز با ابزار لازم در زمینه رویدادنگاری این امكان را فراهم می آورد كه كلیه فعالیتهای كاربران در سیستم ثبت شده و در آینده توسط مدیر سیستم قابل كنترل و بررسی باشد.
علاوه بر آن به دلیل آنكه ممكن است رویدادها حجم زیادی را اشغال نمایند تمهیدات لازم برای آرشیو آنها نیز لحاظ شده است.
-
امنیت دیتابیس
دیتابیس به عنوان ذخیره گاه کلیه اطلاعات سیستم مهمترین عنصر در موضوع امنیت محسوب میشود. چراکه اگر نرم افزار دارای مکانیزمهای امنیتی قوی باشد اما دسترسی به پایگاه داده بصورت مستقیم برای حمله کنندگان فراهم باشد عملا کلیه روشهای امنیتی بی اثر بوده و مهاجمان میتوانند مستقیما به اطلاعات دسترسی پیدا کنند.
بنابراین در نظر داشتن مکانیزمهای امنیتی پایگاه داده از عوامل تاثیرگزار در جامعیت روشهای امنیتی سیستم میباشد.
-
موارد نصب و بروزرسانی
داشتن روالهای مدون نصب و راه اندازی و بهنگام سازی خودکار نیز در زمره رده بندیهای امنیتی سیستم قرار گرفته و وجود نقص در این روشها میتواند منجر به بروز مشکلات امنیتی خاص در سیستم های اطلاعاتی گردد.
-
تاییدات امنیتی
یکی از مهمترین طیف مشتریان سیستم ساز برسا، سازمانها و نهادهای امنیتی و نظامی میباشند که به این زیرساخت اعتماد کرده و از آن بصورت وسیع در توسعه سامانه های اطلاعاتی استفاده نموده اند. انتخاب وسیع سیستم ساز توسط این نهادها عمدتا به دلایل ذیل اتفاق افتاده است.
-
پیاده سازی ملاحظات امنیتی مورد نظر
قطعا یکی از نکات حائز اهمیت در استفاده از این محصول، تاییدات امنیتی متعددی است که این سامانه ها از نهادهای مختلف امنیتی به دست آورده است و امکانات متعددی برای حفاظت از اطلاعات و عملکرد سیستم ها در آن لحاظ شده است.
-
ثبت شرکت برسا در لیست تامین کنندگان حوزه نظامی
شرکت برسا دارای تاییدات لازم برای کار با حوزه نظامی کشور را دارا میباشد.