منظور از امنیت چیست؟
امنیت در واقع محافظت از سرمایه هاست. سرمایه ممکن است آیتم های محسوس همانند صفحات وب یا پایگاه داده مشتریان شما باشد و یا ممکن است آیتم محسوسی نباشد مثلا آبروی شرکت شما. امنیت یک مسیر است نه یک مقصد. همانگونه که شما زیرساخت ها و نرم افزارهای خود را آنالیز می کنید، تهدیدات ممکن را نیز در نظر میگیرید و متوجه می شوید که هر تهدید یک درجه ریسک دارد. امنیت درباره مدیریت ریسک ها و پیاده سازی راه حل های مناسب برای مقابله با آنها است.
در ادامه مطلب در مورد مبانی امنیت به گفتگو خواهیم پرداخت.
درگاه پرداخت ePayBank.ir تمهیدات امنیتی را در نرم افزار تحت وب خویش در نظر گرفته است و امنیت تراکنش های بانکی تضمین می گردند.مبانی امنیت :
امنیت در وب براساس نکات زیر پایه ریزی می شود:
- هویت سنجی : هویت سنجی، پرسش شما چه کسی هستید را مطرح می کند و به معنای پروسه معرفی کلاینت های نرم افزارها و سرویس های شما می باشد. کلاینت ها ممکن است کاربران، سرویس های دیگر، پروسه ها یا کامپیوترها باشند.
- حق دسترسی: حق دسترسی پرسش شما چه کاری میتوانید انجام دهید را مطرح می کند و به معنای پروسه مدیریت منابع و فرآیندهایی است که کلاینت های هویت سنجی شده میتوانند به آنها دسترسی داشته باشند. منابع عبارتند از فایل ها، پایگاه داده ها، جداول، ردیف ها و … به همراه منابع سطح سیستم همانند کلیدهای رجیستری و تنظیمات. فرآیندها عبارتند از انجام تراکنش ها، مانند خرید یک محصول، انتقال پول از یک حساب به حساب دیگر و یا افزایش موجودی یک مشتری.
- وقایع نگاری: وقایع نگاری شایسته در واقع کلید Non-repudiation است. Non-repudiation تضمین می کند که یک کاربر نمیتواند انجام یک عمل یا شروع تراکنش را انکار کند. برای مثال در یک سیستم تجارت الکترونیکی مکانیزم های Non-repudiation برای اطمینان حاصل کردن از این که یک کد مشتری نمیتواند سفارش 100 کپی از یک کتاب را انکار کند مورد نیاز است.
- محرمانگی: پروسه اطمینان از سری و محرمانه ماندن داده ها و عدم امکان مشاهده آنها توسط یک کاربر هویت سنجی نشده یا کسانی که داده ها را از طریق شبکه می دزدند می باشد. معمولا برای اعمال حریم خصوصی از رمز نگاری استفاده می شود. لیست های کنترل دسترسی ACL راه دیگری برای اعمال حریم خصوصی است.
- صحت داده ها : صحت داده ها تضمینی برای محافظت از دستکاری عمدی یا غیرعمدی داده ها می باشد. همانند حریم خصوصی، جامعیت نیز یک مساله کلیدی مخصوصا برای داده های فرستاده شده از طریق شبکه می باشد. جامعیت داده ها معمولا توسط تکنیک های درهمسازی و کدهای اعتبارسنجی پیام ها ارائه می شوند.
- دردسترس بودن : از نظر امنیتی، دسترسی به معنای قابل دسترس بودن سیستم برای کاربران قانونی است. هدف بسیاری از مهاجمین با حملات DOS، از کار انداختن یک نرم افزار یا اطمینان از سنگین شدن نرم افزار به صورتی که غیر قابل دسترسی شود می باشد.
در برنامه نویسی درگاه پرداخت ePayBank.ir مبانی امنیت و اصول امنیت شدیدا رعایت شده است.