ملاحظات حفاظتی برای امنیت سایت

تدابیر امنیتی در طراحی سایت با نرم افزار مانا در نظر گرفته شده است. کاربران در بدو ورود به سامانه ها و ماژول ها اعتبارسنجی(Authentication) می‌شوند و پس از ورود به آنها جهت دسترسی به بخشهای مختلف با توجه به سطح دسترسی که دارند اختیارسنجی(Authorization) می‌گردند.
تدابیر اتخاذ شده برای جلوگیری از هرگونه دسترسی غیرمجاز که ممکن است منجر به دستکاری، خرابکاری یا سرقت اطلاعات شود؛ در سه دسته زیر قرار می‌گیرند:

  1.  تدابیری جهت جلوگیری از ورود خرابکاران به سامانه ها و ماژول ها با تلاش برای بدست آوردن گذرواژه (Brute force)
  2.  تدابیری جهت جلوگیری برای تزریق دستور به کارگزار برنامه نویسی (Command Injection)
  3.  تدابیری جهت جلوگیری از سرقت اطلاعات در هنگام نقل و انتقال در شبکه (Eavesdropping attack)

 

در ادامه فهرستی از مجموعه تدابیر امنیتی در نظر گرفته شده در هر دسته را می‌آوریم:

  1.  تدابیری که جهت جلوگیری از ورود خرابکاران به سامانه ها و ماژول ها با تلاش برای بدست آوردن گذرواژه انجام می‌شود:
    •  حداقل طول گذرواژه در بخش اعتبارسنجی 8 کاراکترخواهد بود. این عدد قابل تنظیم بوده و تا 5 قابل کاهش است. 
    •  کلیه گذرواژه ها بصورت رمز شده با یک الگورتیم مناسب (یک طرفه مانند SHA1) در برنامه نویسی نگهداری می‌شوند. 
    •  در صورتیکه برای ورود به سامانه 5 بار گذرواژه اشتباه وارد شود، شناسه کاربری فرد برای مدت مشخصی مسدود می‌شود و پس از آن به صورت خودکار بازگشایی می‌شود. این عدد و نیز مدت زمان مسدود بودن قابل تنظیم است. 
    •  آخرین زمان ورود به سامانه پس از ورود به سامانه به اطلاع کاربر خواهد رسید.  
  2.  تدابیری جهت جلوگیری برای تزریق دستور به کارگزار برنامه نویسی : 
    •  جلوگیری از تزریق دستورات SQL از طریق مبادی ورودی اطلاعات 
    •  جلوگیری از تزریق دستورات SQL از طریق پارامترهای GET   
  3.  تدابیری جهت جلوگیری از سرقت اطلاعات در هنگام نقل و انتقال در شبکه: 
    •  هنگام اتصال کاربر به صفحه ورود به سامانه یک کانال حفاظت شده بوسیله SSL بین رایانه کاربر و کارگزار ایجاد می‌شود که کلیه نقل و انتقال اطلاعات از این کانال حفاظت شده بین این دو رایانه رد و بدل خواهد شد و این امر کشف اطلاعات ارسالی و دریافتی را برای کسانی که سعی در استراق سمع دارند، ناممکن خواهد کرد. برای این منظور لازم است تا گواهینامه SSL مناسب تهیه و نصب گردد.