ویژگی های امنیتی در نرم افزار CRM پیام گستر

1. اهمیت امنیت در نرم افزار CRM پیام گستر به عنوان یک راهکار تحت وب

نیاز به استفاده از سیستم های اطلاعاتی خارج از مرزهای سازمان و ضرورت در دسترس بودن اطلاعات برای مدیران مجموعه و کاربران گوناگون سیستم در تمام دستگاه ها از جمله کامپیوتر ها و ابزار های همراه، بهره گیری نرم افزار های تحت وب را بیش از پیش ضروری نموده است. امروزه در دسترس قرار گرفتن نرم افزار ها و اطلاعات بر روی ساختار وب و انتقال بخشی از داده ها بر بستر اینترنت، با وجود مزایایی فراوانی که دارد باید با احتیاط بیشتری مورد استفاده قرار بگیرد تا امنیت استفاده از آن ها تامین گردد.

بنابراین تامین امنیت نرم افزار های تحت وب از اهمیت ویژه ای برای ما در نرم افزار CRM پیام گستر برخوردار است و ما با سرمایه گذاری در زمینه تجهیزات و تکنولوژی های جدید نرم افزاری و سخت افزاری، دانش به روز دنیا در زمینه امنیت را به نرم افزار پیام گستر منتقل نموده ایم.

برقراری امنیت از طریق امن کردن شبکه مانند بکارگیری فایروال، رمزنگاری جریان اطلاعات روی شبکه، آنتی ویروس و غیره برای نرم افزار های تحت وب از سمت کاربر نرم افزار پیام گستر لازم است اما کافی نیست، به همین دلیل ما نهایت تلاش و دقت خود را به خرج داده ایم تا برخی ریسک ها و حملات نفوذی، نقاط ضعف در طراحی و پیاده سازی نرم افزار را به خوبی شناسایی و رفع کنیم. خوشبختانه تجربه خوب و حفظ امنیت هزاران کاربر نرم افزار پیام گستر، گواهی بر امن بودن آن می باشد.

امنیت در نرم افزار های تحت وب لایه های مختلفی دارد که بکارگیری هر کدام از تجهیزات امنیتی، سازمان شما را در برابر نوع خاصی از حملات و نفوذ ها ایمن می سازد. به عنوان مثال فایروال ها که می توانند سخت افزاری یا نرم افزاری باشند، از شبکه در مقابل ترافیک های ناخواسته محافظت می کنند و ترافیک های ورودی و خروجی از یک درگاه (پورت) را آنالیز کرده و بر اساس نوع قوانینی که برای آن تعریف می شود، اجازه ورود یا خروج از آن را صادر می نمایند اما نمی توانند نرم افزار را در برابر حملاتی که با کد های مخرب ایجاد می شود، محافظت کند.

طراحی و ساخت یک برنامه کاربردی تحت وب امن بدون شناخت تهدید های احتمالی که برنامه را به خطر می اندازد، امکان پذیر نخواهد بود. در یک نگاه کلی، مبانی و مفاهیم امنیت اطلاعات در برنامه نویسی وب به شرح زیر است:
آسیب پذیری یک برنامه کاربردی به یک کاربر مخرب اجازه می دهد تا از شبکه یا میزبان وب بهره برداری کند. بنابراین برای ساخت یک برنامه کاربردی تحت وب امن، نیاز به یک رویکرد جامع امنیت نرم افزار است که بر روی هر سه لایه برنامه کاربردی، میزبان وب و شبکه اعمال شود.

مبانی و مفاهیم امنیت اطلاعات در پیام گستر

مبانی امنیت مورد نظر ما در سیستم پیام گستر شامل 6 مورد احراز هویت، اعطای حق دسترسی، حسابرسی، محرمانگی، صحت و دسترس پذیری است که در ادامه تشریح می شوند:
• احراز هویت
احراز هویت فرآیند شناسایی منحصر به فرد سرویس گیرنده های نرم افزار کاربردی است که ممکن است کاربران نهایی یا سایر سرویس ها و فرآیند های برنامه نویسی باشند.
• حق دسترسی
اعطای حق دسترسی فرآیندی است که در آن، منابع و عملیاتی که کاربران احراز هویت شده اجازه دسترسی به آن ها را دارند، مدیریت می شود. منابع شامل فایل ها، پایگاه های داده، جداول، سطرها و غیره است. عملیات می تواند شامل انجام یک تراکنش مانند خرید یک محصول یا انتقال وجه از یک حساب به حساب دیگر باشد.
• حسابرسی
حسابرسی و رویداد نگاری کلید عدم انکار است. عدم انکار بدین معنا است که یک کاربر نمی تواند انجام کاری یا شروع یک تراکنش را در سیستم انکار کند.
• محرمانگی
محرمانگی که از آن به «حریم خصوصی» نیز یاد می شود، فرآیند حصول اطمینان از این است که داده ها محرمانه و خصوصی باقی خواهند ماند و توسط کاربرانی که مجوز ندارند یا استراق سمع کنندگانی که به ترافیک شبکه نظارت می کنند، دیده نمی شوند. رمز گذاری اغلب برای رسیدن به این هدف به کار گرفته می شود. لیست کنترل دسترسی (ACL) نیز ابزار دیگری است که به همین منظور استفاده می شود.
• صحت
صحت تضمین کننده این است که داده ها از هر گونه تغییر عمدی یا تصادفی محافظت می شوند. «صحت» داده از اهمیت ویژه ای به خصوص وقتی روی شبکه مبادله می شود برخوردار است. «صحت» داده هنگام نقل و انتقال عمدتا توسط روش های Hashing یا کد های احراز هویت پیام فراهم می شوند.
• دسترس پذیری
از منظر امنیت، «دسترس پذیری» یعنی این که سیستم برای کاربران معتبر در دسترس باشد. هدف بسیاری از مهاجمان با حملات از نوع انکار خدمت این است که برنامه کاربردی سقوط کند تا مطمئن شوند که کاربران دیگر نمی توانند به برنامه دسترسی داشته باشند.

2. رویکرد های کاربردی پیام گستر در مقوله امنیت

  • به روز ماندن و بهره گیری از آخرین نوآوری ها و فناوری های روز در امنیت سیستم های تحت وب
  • انعطاف پذیری در ساختار های امنیتی تناسب با ساختار های سازمان
  • به روز بودن و شناخت کامل و دقیق راهکار ها و فناوری های نوین امنیت در حوزه نرم افزار های تحت وب از جمله نرم افزار CRM و نرم افزار های اتوماسیون اداری
  • جلوگیری و حذف از پیچیدگی های غیر ضروری
  • ایجاد رابط کاربری با در نظر گرفتن ساختار های امنیتی و اعمال دسترسی ها و محدودیت ها
  • توجه ویژه به امنیت مکاتبات اداری، و داده های در گردش سازمان

3. مدل امنیتی نرم افزار پیام گستر در امنیت داده ها درون سازمان

مدل امنیتی در نرم افزار پیام گستر بدین صورت است که به عنوان یک نرم افزار تحت وب امن نه تنها حفاظت از تمامیت و امنیت داده ها را در اولویت خود قرار داده است، بلکه کارایی و دسترسی به داده های موجود در سیستم را به عنوان یکی از مهم ترین رویکرد ها در مدل امنیتی خود در نظر گرفته است.

هدف این مدل نتایج زیر را در بر خواهد داشت:
  • ارائه اطلاعات به کاربران به صورتی که تنها به اطلاعاتی که برای کار خود نیاز دارند دسترسی داشته باشند.
  • دسته بندی کاربران در نقش های مختلف و محدود کردن دسترسی های هر نقش بر اساس موضوعیت نقش.
  • پشتیبانی از به اشتراک گذاری داده ها که در نتیجه باعث می شود کاربران و تیم ها به داده های مورد نیازی که خود تولید نکرده اند، برای کار های خود دسترسی داشته باشند.
  • جلوگیری از دسترسی کاربران به رکورد هایی از سیستم که به آن ها متعلق ندارد یا با آن ها به اشتراک گذاشته نشده است.

امنیت بر مبنای نقش

امنیت بر مبنای نقش در نرم افزار پیام گستر بر روی گروه بندی مجموعه ای از امتیازات و توانمندی های کاربری که وظایف و مسئولیت های کاربر را شکل می دهند تمرکز کرده است.
پیام گستر با توجه به شناخت جامعی که از عملکرد نقش در امنیت سیستم دارد، در کنار مجموعه ای از نقش های امنیتی از پیش تعریف شده عرضه شده است. هر کدام از نقش ها مجموعه ای از حقوق و دسترسی ها را تعریف می کنند تا مدیریت نقش های کاربری و حفظ امنیت در سیستم را تسهیل نمایند.
همچنین، هر شرکت استفاده کننده از پیام گستر، می تواند برای خود نقش های منحصر به فردی را تعریف نماید تا نیاز های سازمان خود را بر اساس آن ها مرتفع سازند.

امنیت بر مبنای رکورد

امنیت بر اساس رکورد در پیام گستر، بر روی دسترسی بر روی رکورد های موجود در سیستم تمرکز می کند و شما بر اساس آن می توانید دسترسی ها را به صورت جزئی تر تقسیم کنید.

امنیت در سطح فیلد

در پیام گستر امنیت در سطح فیلد، دسترسی ها به فیلد های حیاتی کسب و کار را محدود می کند و فقط به بخش های مطمئن سازمان از نقش ها و تیم های برگزیده اجازه کار با آن فیلد ها را می دهد.
ترکیب این گزینه ها از امنیت بر مبنای نقش، رکورد و امنیت در سطح فیلد، حقوق دسترسی در سطح کلی را به کاربران بر اساس خواست شما در نرم افزار پیام گستر اعطا خواهد کرد.

4. رویکرد های فنی پیام گستر در مقوله امنیت

سیاست های تعریف و نگهداری کلمه عبور

ایجاد و مدیریت کلمات عبور (Password Policy)، امکان کنترل چگونگی ایجاد و مدیریت کلمات عبور برای افزایش امنیت را فراهم می کند. مثلا می توان حداکثر زمان استفاده از یک کلمه عبور را قبل از آن که کاربر مجبور به تغییر آن شود، تعیین نمود. تغییر کلمات عبور امکان نفوذ اشخاص غیر مجاز را به داخل سیستم کاهش می دهد. مجبور ساختن کاربران در تغییر کلمات عبور موجب می شود اگر یک کاربر غیر مجاز نام یک کاربر و کلمه عبور را به دست آورد، دیگر نتواند وارد سیستم شود.
تنظیمات دیگری نیز در Password Policy برای افزایش امنیت در پیام گستر وجود دارد. برای مثال، می توان برای کلمات عبور حداقل طول تعیین نمود. طولانی بودن کلمه رمز سبب می شود که تشخیص آن بسیار مشکل شود. ملزم ساختن کاربران به استفاده از کلمات عبور طولانی، الزام بکارگیری ترکیبی از حروف و اعداد در ایجاد کلمات عبور، تعیین سیاست هایی برای منقضی شدن کلمات عبور، جلوگیری از استفاده مجدد از کلمات عبور منقضی شده و تکراری و سایر سیاست های امنیتی موجب افزایش امنیت در نرم افزار پیام گستر خواهد شد.

سایر مواردی که در امنیت سیستم در نظر گرفته شده است عبارتند از:
  • مقابله با تهدیدهای امنیتی در وب از جمله SQL & code injection، Sniffing و ...
  • کد کردن محتوای فایل ها و نگهداری آن ها در داخل پایگاه داده
  • رویداد نگاری تمام وقایع سیستمی
  • امکان تعریف حقوق دسترسی در سطح Record Level به منابع سیستم
  • جلوگیری از ورود ربات به سیستم
  • امکان تعلیق و غیر فعال سازی کاربر
  • امکان تعیین رمز عبور جدید برای کاربران توسط مدیر سیستم
  • امکان تعریف پروفایل امنیتی جهت کنترل محدوده زمانی ورود به سیستم
  • امکان تعریف پروفایل امنیتی جهت کنترل IP کلاینت ها

واسطه هایی امن برای ارتباط با سایر نرم افزار های سازمان

واسطه ها مجموعه ای از استاندارد ها برای ایجاد ارتباط و انتقال داده ها میان برنامه های کاربردی هستند و بر اساس نیاز به یکپارچه سازی سیستم ها و فراخوانی توابع به وجود آمده اند.

استراتژی پیام گستر برای واسط ها و موارد امنیتی در پیاده سازی وب سرویس ها
  • اعتبار سنجی (Authentication) – تشخیص هویت کاربر در هر فراخوانی وب سرویس
  • اعمال سطح دسترسی (Authorization) - اعمال سطح دسترسی و محدودیت برای کاربران خاص با توجه به نقش تعریف شده آن ها
  • امن سازی پیام ها (Message Security) – رمزنگاری پیغام های ارسالی و همچنین بهره بردن از کانال های ارتباط امن با استفاده از SSL یا همان پروتکل HTTPS