ده روش بالا بردن امنیت تجارت الکترونیکی

چهارشنبه 26 مرداد 1390

امنیت پرتال های تجارت الکترونیک، پورتال های سازمانی و وبسایت های صنعتی، از اهمیت بالایی برخوردار است. اگر برای امنیت وبسایت طراحی شده خود اهمیت قایلید مقاله افزایش امنیت پورتالهای وب را از دست ندهید.

1.    به جای سرورهای اشتراکی، از یک سرور اختصاصی برای , وبسایت طراحی شده ی خود استفاده کنید:‬‬
اکثر شرکت های سرویس دهنده‌ی هاست، فایل‌ها و وب سایت های طراحی شده ی زیادی را به صورت اشتراکی بر روی یک سرور قرار می‌دهند که علت اصلی این کار، افزایش درآمد است. بدین ترتیب وبسایت های طراحی شده ی مختلفی بر روی یک سرور در حال سرویس‌گیری هستند و علاوه بر سخت افزار، برخی نرم‌افزارها و اسکریپت‌ ها برای اجرای برنامه‌های همه وب سایت های طراحی شده (مواردی مانند سرویس‌های ایمیل و کنترل پنل‌ها) در حال اجرا هستند. این بدین معنی است که فقط شما و شرکت شما به سرور مربوطه دسترسی ندارد و احتمالاً صدها شخص و کمپانی دیگر به این سرور دسترسی‌هایی دارند. اگر یکی از این مشتریان که وب سایت طراحی شده اش به صورت مشترک با شما روی یک سرور قرار دارد ، مسایل امنیتی را رعایت نکند و هک شود، وب سایت طراحی شده و اطلاعات شما را نیز در معرض خطر قرار داده است.
استفاده از یک سرور اشتراکی به این معنی است که فردی که برای دسترسی به اطلاعات شما تلاش می‌کند، بخاطر وجود وب سایت های طراحی شده زیاد، انتخاب‌های زیادی برای دسترسی به سرور داشته باشد.
در مقابل، استفاده از سرور اختصاصی، یک امتیاز امنیتی برای وبسایت طراحی شده شما محسوب می‌شود. وقتی شما از سرور اختصاصی استفاده کنید، فقط وب سایت طراحی شده شما است که به سرور و برنامه‌های آن دسترسی دارد. بدین ترتیب شما می‌توانید به طور کامل بر سرور و برنامه تحت اجرای آن نظارت داشته و از امنیت وبسایت طراحی شده خود مطمئن باشید.

2.    همیشه گوش به زنگ بسته های به روزرسانی و وصله‌های امنیتی برنامه‌های سرورتان باشید و به سرعت آن‌ها را نصب کنید‬‬
امنیت اطلاعات و سرور، که مهمترین مساله برای یک مشتری است، اغلب اوقات کمترین اهمیت را برای شرکت‌ های ارائه دهنده‌ی هاست، دارد. (و حتی شاید برایشان مهم نباشد!)
شرکت‌های ارائه دهنده هاست ، هنگام قرارداد می گویند که از امن‌ترین و بهترین نرم‌افزارهای امنیتی برای حفاظت از اطلاعات وب سایت طراحی شده شما استفاده می‌کنند، اما اگر آن‌ها برنامه‌های در حال اجرا را به روز نکنند و وصله‌های امنیتی را روی آنها نصب ننمایند، وبسایت طراحی شده شما در برابر انواع خطرات آسیب‌پذیر خواهد بود. (دقت کنید که نصب وصله‌های امنیتی باید در اولین فرصت و کمترین زمان ممکن انجام شود، زیرا هکر محترم هم همزمان با ارائه بسته امنیتی از سوراخ موجود در وب سایت طراحی شده تان مطلع خواهد شد!)
وقتی‌که شرکت ارائه دهنده یک نرم‌افزار، بسته‌های امنیتی‌ای را برای ترمیم ایراد‌های امنیتی نرم‌افزارش ارسال می‌کند، لازم است که این بسته‌ها به سرعت نصب شوند تا مبادا هکر بتواند زودتر اقدام کند و به وب سایت طراحی شده شما نفوذ کرده و اطلاعات تان را به سرقت ببرد. پس در صورتی به دنبال یک شرکت مطمئن برای خرید هاست می گردید، باید بدانید که بررسی مرتب و نصب منظم و سریع بسته‌های امنیتی و به روز رسانی‌ها، از اهمیت خاصی برخوردار است. در صورتی که شرکت مذکور در به روز رسانی و نصب وصله‌های امنیتی کوتاهی کند، این امنیت وبسایت طراحی شده شما است که به خطر می‌افتد.

3.    از اجرای نرم افزار‌هایی که به آنها احتیاجی ندارید، پرهیز کنید‬‬
اکثر شرکت‌های هاستینگ، معمولاً تعدادی سرویس را به مشتریان پیشنهاد می‌دهند؛ اما باید دقت کنید، هر نرم‌افزاری که روی سرور شما در حال اجرا است، ممکن است راه نفوذی برای ورود هکرها و در نتیجه نابودی وب سایت طراحی شده شما باشد. برای مثال یکی از آسیب‌پذیرترین برنامه‌های ممکن، وب میل است. پس اگر سرویس‌دهنده نرم‌افزاری را به شما پیشنهاد می‌دهد که در عمل نیاز چندانی به آن ندارید، بهتر است که از نصب آن بر روی سرور اجتناب کنید. علاوه بر این بعضی برنامه‌ها هستند که سرویس‌دهنده‌ها به طور معمول آنها را نصب می کنند، در حالی‌که وقتی صحبت از امنیت به میان می‌آید، این برنامه‌ها به هیچ وجه مناسب نیستند؛ FTP مثال خوبی برای این نرم افزارها است که همه دارندگان وبسایت طراحی شده به آن نیاز دارند، اما در صورتی که از برنامه‌های FTP رمزنگاری نشده استفاده شود یک حفره امنیتی بزرگ در وب سایت طراحی شده شما ایجاد خواهد کرد. علاوه بر این هنگام استفاده از FTP بهتر است که محدودیت دسترسی برای IP های خاصی تعریف شود و بقیه کاربران به این سرویس دسترسی نداشته باشند.

4.    همیشه پیگیر تغییرات و به روز رسانی های سرور باشید‬‬
وقتی که امنیت وبسایت طراحی شده اهمیت پیدا می کند، شما نمی‌توانید اجازه دهید که هر کسی به فایل‌های وب سایت طراحی شده تان دسترسی داشته باشد، چرا که این عمل می‌تواند باعث ایجاد ناهنجاری و هرج و مرج در روند نگه داری اطلاعات حیاتی مشتریان تان شود. به همین دلیل باید تا حد ممکن دسترسی به سایت را محدود نموده و فقط در اختیار افراد معدودی گذاشتد. بهتر است یکی از کارمندان تان را مسئول پیگیری این امور نمایید تا همیشه از زمان و دلیل تغییراتی که شرکت هاستینگ در سرور اجاره ای تان می‌دهد با خبر باشد و شرکت فروش هاست موظف به ارائه جزئیات به این فرد باشد.
زیرا هر گونه تغییر بی مورد یا نامشخص در برنامه‌ها و فایل‌ها می‌تواند نشانه‌ای از یک خطر امنیتی باشد، به همین منظور باید به طور پیوسته و مستمر، وبسایت طراحی شده خود را مرور کرده و داده‌ها و برنامه‌ها را در سرور بررسی کنید.

5.    فرد مسئول پشتیبانی فنی سرورتان در شرکت ارائه هاست را شناسایی کنید و زمان انجام تغییرات را پیگیری کنید‬‬
نکته‌ی مهم در مورد تغییراتی که بر روی سرور و سایت اعمال می‌شود (هرچند کوچک و کم اهمیت)، این است که بدانید دقیقاً چه کسی و در چه زمانی تغییر مزبور را انجام داده است. با استفاده از سیستم کنترل تغییرات، تصحیح خطاهای احتمالی وب سایت طراحی شده ساده‌تر و سریعتر انجام می‌شود. همچنین شما می‌توانید هر گونه بدافزار و فایل مخرب احتمالی رادر سریعترین زمان ممکن شناسایی کنید.
به یاد داشته باشید که فقط خطرات خارجی برای شما دردسر ساز نیستند؛ در صورتیکه شما دسترسی‌های زیادی را برای همکاران و کارمندان غیرقابل اعتماد خود در نظر گرفته باشید، خطری که متوجه وب سایت طراحی شده شما است، از خطر هر هکری بیشتر است. پس علاوه بر بررسی مکرر فایلها و وبسایت طراحی شده خود، از درستکاری همکاران خود مطمئن شوید و حداقل دسترسی‌های لازم را به آنها بدهید.

6.    از امنیت فیزیکی سرور و داده‌های خود مطمئن شوید‬‬
به همان اندازه که محدود کردن دسترسی به اسناد و مدارک شرکت تان اهمیت دارد، کنترل دسترسی به کامپیوتری که وب سایت طراحی شده تان روی آن میزبانی می‌شود هم مهم است.

شاید سرور شما از امنیت بالا و سیستم‌های رمزنگاری مناسبی برخوردار باشد، اما آیا در اتاق سرور هم قفل است؟ به یاد داشته باشید که در نهایت اطلاعات شما بر روی یک سری سخت‌افزار ذخیره شده‌اند. آیا می‌دانید شرکت هاستینگ شما با یک هارددیسک سوخته چه کار می‌کند؟ اگر آنها این هارددیسک را به طرز صحیحی نابود نکنند، ممکن است اطلاعات شما به دست چه کسانی بیفتد؟

به هر حال در صورتی که چنین اتفاقی بیافتد، شما بطور قانونی حقی برای شکایت ندارید. راه حل این است که قبل از انتخاب شرکت هاستینگ، مطمئن شوید که آن شرکت دارای گواهینامه‌های امنیتی ISO‪/‬IEC 27001 و 27002 باشد. فقط شرکت‌هایی که استانداردهای امنیت مجازی و فیزیکی اطلاعات مشتریان را رعایت می‌کنند، دارای این گواهینامه‌ها هستند. پس در صورتی که شرکت ارائه دهنده فضای وب سایت طراحی شده شما دارای این دو گواهینامه‌ی معتبر باشد، قابل اعتماد است.‬‬‬

7.    برای امنیت داده‌های کاربران، با شرکت هاستینگ قرارداد رسمی ببندید‬‬
مطمئناً شما برای فروش کالاها و خدماتی که به کاربران می‌دهید، اطلاعاتی همانند نام، ایمیل، آدرس، تلفن و .. را دریافت می‌کنید که این داده‌ها در هاست ذخیره می‌شوند. اما در صورتی که با وجود اقدامات امنیتی و حفاظتی، به هر دلیلی اطلاعات سایت شما دزدیده شود، تکلیف اطلاعات شخصی کاربران و خریداران شما (Personally Identifiable Information) ‪-‬ PII چیست؟ شاید جالب باشد که بدانید در بسیاری از کشورها حتی اگر شما هم در این زمینه مقصر نباشید و لو رفتن اطلاعات از طرف شرکت هاستینگ اتفاق افتاده باشد، باز هم مسئولیت حقوقی این مساله با شما است و باید پاسخگو باشید.‬‬‬

اغلب شرکت‌های هاستینگ معمولاً زیر بار مسئولیت این اطلاعات نمی‌روند و حتی در صورت هک شدن سرورشان، مسئولیتی را متقبل نمی شوند. اما شما باید این نکته را هم در قراردادی رسمی که با شرکت هاستینگ می‌بندید، ذکر کنید. یعنی قرارداد باید طوری نوشته شود که مسئولیت امنیت این اطلاعات مهم مشخص باشد.

8.    پیاده‌سازی Code Sanitizing برای فیلدهای ورود اطلاعات‬‬
code sanitizing اصطلاحی رایج به معنای پاکسازی کدها از اسکریپت‌ها و کدهای مخرب است که اجازه ورود هر داده‌ای را به دیتابیس(پایگاه داده ها) نمی‌دهد‫، بلکه ابتدا کارکترها و رشته‌های ورودی را بررسی می‌کند و در صورت وجود کد مخرب یا به درد نخور، آن را پاکسازی می‌کند و یا از ورود آن به پایگاه داده‌های وب سایت طراحی شده سایت ، جلوگیری می‌کند.‬‬‬‬

باید توجه داشته باشید، هر کجا که کاربر می‌تواند اطلاعات وارد کند، به صورت بالقوه می‌تواند حفره ورودی خطرناکی باشد. فرض کنید همه ورودی‌های یک صفحه با نیت‌های بدخواهانه و خرابکارانه پر شوند، بدین ترتیب، اگر code sanitizing را رعایت نکرده باشید، امکان دارد کاربران خواسته یا ناخواسته کارکتر یا رشته‌ای را وارد دیتابیس وبسایت طراحی شده شما کنند. با این وضع تصور کنید که یک دستور SQL اجرا شود و قسمتی از داده‌ها را پاک کند. بدون شک تحمل چنین فاجعه‌ای برای هر مدیر وب سایت طراحی شده ای غیرممکن است. پس برای جلوگیری از چنین مواردی، باید اصول code sanitizing را رعایت کنید، تا از خطر در امان بمانید.

9.    وب سایت طراحی شده خود را هم به لیست وب سایت های طراحی شده ای که روزانه مرور می‌کنید، اضافه نمایید‬‬
لازم است که وب سایت طراحی شده خود را در بازه‌های زمانی مشخص بررسی کرده و وجود Malware و اسکریپت‌های خطرناک در آن را کنترل کنید. برای این کار سرویس‌های مختلفی ‪(malware checking service)‬ وجود دارد که به شما امکان بررسی وب سایت طراحی شده تان را می‌دهد. شما می‌توانید با استفاده از سرویس‌هایی که به این منظور طراحی شده‌اند، از وضعیت سلامت و امنیت وب سایت طراحی شده خود مطلع شوید. البته استفاده از بسیاری از  این سرویس‌ها مستلزم پرداخت هزینه خواهد بود که کار را برای ایران کمی مشکل می کند.‬‬‬

اما گوگل سرویسی ساده و رایگان برای مرور وب سایت طراحی شده ، ارائه می‌دهد که چنین مواردی را بررسی می‌کند و تا حدودی به مدیران وبسایت طراحی شده کمک می‌نماید. برای استفاده از این سرویس گوگل می‌توانید به آدرس زیر مراجعه کرده و وب سایت طراحی شده خود را در انتهای لینک وارد کنید.

http://google.com/safebrowsing/diagnostic?site=www.yoursite.com

10.    همیشه ایمیل‌هایی را که از سرور شما فرستاده می شوند، اسکن کنید.‬‬
در صورتی که هکر یا یکی از کارمندان تان، اقدام به ارسال ایمیل‌های اسپم از سرور شما کند، سرور شما در لیست ارسال کننده‌های اسپم قرار گرفته‫ و از آن به بعد کلیه ایمیل‌هایی که از سرور شما ارسال می‌شود، در سرویس دهنده های عمومی و اختصاصی ایمیل مستقیماً به پوشه اسپم فرستاده شده و مشاهده نمی شوند.‬‬‬

همچنین در صورتی که شما یکی از قربانیان هرزنامه ها (اسپم) باشید و این نکته امنیتی را به کار نبندید، ناخواسته به یکی از عاملان انتشار آن خواهید بود. پس همیشه و همه ایمیل‌هایی را که از سرورتان ارسال می گردند، با برنامه‌های مناسب کنترل کنید و اطمینان حاصل کنید که حاوی هیچ کد مخربی نیستند!‫‬‬‬

 

 


حسن چلونگر
 
تعداد مقالات 243 عدد
       
کپی رایت