تنظیمات امنیتی

معرفی بخش امنیت

بخش “تنظیمات امنیت” در ایزی‌پورتال، که در منوی مدیریتی سایت قرار دارد، مجموعه‌ای جامع از گزینه‌ها را برای پیکربندی و تقویت جنبه‌های امنیتی وب‌سایت شما ارائه می‌دهد. این تنظیمات شامل انتخاب “سامانه احراز هویت پیش‌فرض” (مانند ایزی‌پورتال، اکتیو دایرکتوری، یا سرویس‌های اجتماعی)، تعیین “مدیر اصلی سایت” برای دریافت اعلان‌های سیستمی، و فعال‌سازی گزینه‌هایی مانند “الزام به تکمیل پروفایل معتبر برای ورود” و استفاده از “کد امنیتی” (کپچا) در صفحات ورود، بازیابی و تغییر کلمه عبور می‌باشد.

همچنین، امکان “فیلتر IP” برای محدود کردن دسترسی ورود به IP های خاص یا یک بازه مشخص (مفید برای شبکه‌های داخلی سازمانی) در دسترس است. در بخش “تنظیمات مدیریت اعضا”، سیاست‌های مربوط به کلمه عبور با جزئیات قابل تنظیم هستند، از جمله “مدت اعتبار لینک بازنشانی کلمه عبور”، فعال‌سازی “تاریخچه کلمه عبور” برای جلوگیری از استفاده مجدد از رمز های اخیر، استفاده از لیست “کلمات عبور ممنوع”، “سنجش قوت کلمه عبور” هنگام تعریف آن، “اجبار به خروج از سایت پس از تغییر رمز عبور”، و تنظیم “انقضای کلمه عبور” پس از یک دوره زمانی مشخص همراه با ارسال ایمیل هشدار به کاربر.

علاوه بر این، “تنظیمات ثبت نام” چهار حالت مختلف برای فرآیند عضویت کاربران (از غیرفعال کردن کامل ثبت نام تا ثبت نام عمومی یا نیازمند تأیید ایمیل) ارائه می‌دهد و امکان سفارشی‌سازی فیلدهای فرم ثبت نام، اعتبارسنجی نام کاربری و ایمیل با استفاده از عبارات باقاعده (Regular Expressions)، تعریف لیست کلمات ممنوعه برای نام کاربری، اطلاع‌رسانی به مدیر هنگام ثبت نام کاربر جدید، و فعال‌سازی کپچا هنگام ثبت نام را نیز فراهم می‌کند.

علاوه بر تنظیماتی که مستقیماً از طریق رابط کاربری در دسترس هستند، برخی پیکربندی‌های امنیتی حساس‌تر مانند فرمت ذخیره‌سازی کلمه عبور و حداقل طول آن، در فایل web.config سایت مدیریت می‌شوند.

ابزار داخلی “بررسی امنیت” (Security Check) در ایزی‌پورتال یک چک لیست جامع برای ارزیابی وضعیت امنیتی سایت بر اساس استانداردها، نمایش فایل‌ها و تنظیمات اخیراً ویرایش شده (که می‌تواند برای شناسایی دستکاری‌های غیرمجاز مفید باشد)، گزارش فعالیت کاربران و مدیران ارشد، و همچنین ارائه بولتن امنیتی مربوط به نسخه ایزی‌پورتال نصب شده و آسیب‌پذیری‌های شناخته‌شده آن را ارائه می‌دهد.

از دیگر “تنظیمات امنیتی بیشتر” که در این بخش یافت می‌شود، می‌توان به فعال‌سازی “حالت عیب‌یابی” (Debug Mode) برای توسعه‌دهندگان، تنظیم “محدود کردن تعداد تلاش‌های ورود اشتباه” (Lockout) جهت جلوگیری از حملات Brute-force با قفل کردن موقت حساب کاربری پس از چند بار ورود ناموفق، و همچنین تعیین “حداکثر حجم مجاز آپلود فایل” و “پسوندهای فایل مجاز برای آپلود” (با دقت بسیار برای جلوگیری از آپلود فایل‌های اجرایی خطرناک مانند aspx یا php) اشاره کرد.

صحت سنجی فایل‌ها هنگام بارگذاری:

در پلت‌فرم دی‌ان‌ان امکان تعیین پسوند فایل‌های مجاز به بارگذاری (white list) وجود دارد و صحت‌سنجی پسوند فایل‌های بارگذاری شده در سراسر سایت به صورت جامع و یکپارچه بررسی می شود؛ اگرچه این بررسی صرفا در سطح پسوند فایل است. با توجه به اینکه ممکن است کد مخرب داخل یک فایل با پسوند مجاز گنجانده شود، قابلیت صحت‌سنجی محتوای فایل‌ها هنگام بارگذاری در سراسر سایت به منظور تضمین بارگذاری فایل هایی با محتوای مجاز، به ایزی پورتال اضافه شده است.

مدیریت تعداد درخواست ارسالی به سایت:

یکی از روش‌های متداولی که می‌تواند به اختلال در عملکرد سایت‌ها منجر شود، حمله (DDoS) است. در این نوع حمله، تعداد بسیار زیادی درخواست به طور همزمان و در یک بازه زمانی کوتاه به سرور هدف ارسال می‌شود، به گونه‌ای که سرور قادر به پاسخگویی به ترافیک واقعی کاربران نخواهد بود. اگرچه می‌توان این موضوع را در لایه فایروال و یا IIS مدیریت کرد، اما با فرض از کار افتادن دو مرحله قبل، قابلیت مدیریت تعداد درخواست ارسالی به سایت در ایزی پورتال پیاده سازی شده است. با استفاده از این ویژگی می توان تعداد درخواست مجاز در مدت زمان مشخص را تنظیم نمود.

رمزنگاری نوع SHA-256:

رمزنگاری پیش‌فرض در پلت‌فرم دی‌ان‌ان، DES3 است که از آن جهت حفظ محرمانگی و جلوگیری از دسترسی غیرمجاز به داده‌ها استفاده می شود. در ایزی پورتال نوع رمزنگاری به AES (SHA-256) ارتقاء یافته است که از آن جهت تأیید هویت و جامعیت داده‌ها استفاده می‌شود، به‌طوری ‌که بتوان از خود ماهیت داده‌ها و صحت ارسال آن‌ها از طرف فرستنده‌ی معتبر اطمینان حاصل نمود.

قابلیت ها

تنظیمات ورود و احراز هویت

انتخاب سامانه احراز هویت: انتخاب سامانه پیش‌فرض برای احراز هویت کاربران
تعیین نقش مدیر ارشد: تعیین نقش کاربری که به عنوان مدیر ارشد سیستم شناخته می‌شود
فعال‌سازی کپچا: فعال‌سازی کد امنیتی (Captcha) برای فرم‌های ورود، بازیابی و تغییر رمز عبور
استفاده از ایمیل: امکان استفاده از ایمیل به جای نام کاربری برای ورود به سیستم
تنظیم اعتبارسنجی: تنظیم حداقل طول و قوانین اعتبارسنجی برای نام کاربری و ایمیل
نوع ثبت‌نام: تعیین نوع فرآیند ثبت‌نام کاربران (عمومی، خصوصی، نیازمند تأیید)

سیاست‌های کلمه عبور

کلمه عبور پیچیده: امکان فعال‌سازی الزام به انتخاب کلمه عبور پیچیده
بازنشانی کلمه عبور: امکان فعال یا غیرفعال‌سازی بازنشانی کلمه عبور برای اعضاء
حداقل طول: امکان تعیین کردن حداقل طول کلمه عبور
کاراکترهای غیر الفبایی: امکان تعیین کردن تعداد کاراکتر غیر الفبایی در کلمه عبور
تعداد تلاش ناموفق: امکان تعیین کردن تعداد تلاش ناموفق برای ورود به حساب کاربری
مدت زمان قفل: امکان تعیین کردن مدت زمان قفل شدن حساب کاربری پس از تعداد مشخص تلاش ناموفق
خاتمه نشست: خاتمه دادن به نشست کاربر (خروج از حساب کاربری) درصورت تغییر آدرس IP

فیلترینگ IP و دسترسی

فیلترینگ IP: فعال‌سازی قابلیت فیلترینگ بر اساس آدرس IP برای ورود کاربران
اطلاع از وضعیت: اطلاع از وضعیت کلی فعال یا غیرفعال بودن فیلترینگ IP
افزودن قانون جدید: افزودن یک قانون جدید برای مجاز کردن (Whitelist) یا مسدود کردن (Blacklist) یک IP
مدیریت قوانین: مشاهده و ویرایش لیست قوانین فیلترینگ IP تعریف شده
حذف قانون: حذف یک قانون فیلتر IP از لیست

تنظیمات پیشرفته امنیتی

تکمیل پروفایل: الزامی کردن تکمیل بودن پروفایل کاربری به عنوان شرط ورود به سایت
پنهان کردن دکمه ورود: پنهان کردن دکمه ورود برای کاربران ناشناس
مدت زمان نشست: تعیین مدت زمان نشست (Session) کاربران قبل از خروج خودکار
مدیریت قفل شدن: تنظیم سیاست قفل شدن حساب کاربری پس از تعداد مشخصی تلاش ناموفق برای ورود
مدیریت Regex: مدیریت و پیکربندی عبارت منطقی (Regex) برای سنجش قدرت رمز عبور

بررسی امنیت

ابزار «بررسی امنیت» به صورت خودکار سیستم را برای یافتن آسیب‌پذیری‌ها و تنظیمات نادرست اسکن کرده و یک گزارش عملی ارائه می‌دهد.

ویژگی‌های بررسی امنیت

اجرای بررسی خودکار: اجرای مجموعه‌ای از بررسی‌های خودکار برای ارزیابی وضعیت امنیتی سایت
مشاهده آزمون‌ها: مشاهده نام و هدف هر آزمون امنیتی انجام شده
بررسی نتایج: بررسی نتیجه هر آزمون (قبول، رد، هشدار یا نیاز به بررسی)
دریافت راهنمایی: دریافت توضیحات و راهنمایی‌های فنی برای رفع مشکلات امنیتی شناسایی‌شده
شناسایی آسیب‌پذیری‌ها: شناسایی آسیب‌پذیری‌های متداول در تنظیمات، فایل‌ها و حساب‌های کاربری

بولتن امنیتی

از طریق «بولتن امنیتی»، مدیران می‌توانند فعالیت‌های حساس مانند تغییرات در فایل‌ها و عملکرد کاربران ارشد را رصد کرده و از آخرین اعلان‌های امنیتی رسمی مطلع شوند.

ویژگی‌های بولتن امنیتی

مشاهده اعلان‌ها: مشاهده لیست اعلان‌ها و بولتن‌های امنیتی منتشر شده توسط توسعه‌دهنده سیستم
اطلاع از آسیب‌پذیری‌ها: اطلاع از آخرین آسیب‌پذیری‌های شناسایی شده و سطح بحرانی بودن آن‌ها
دریافت اطلاعات حملات: دریافت اطلاعات در مورد نوع حملات امنیتی (مانند XSS, SSRF, DoS)
پیگیری شناسه‌ها: پیگیری شناسه‌های منحصر به فرد هر بولتن امنیتی برای ارجاع

مدیریت لاگ‌ها

بخش «مدیریت لاگ‌ها» یک ابزار مدیریتی دوگانه و قدرتمند برای نظارت و پیکربندی رویدادهای سیستم است.

ویژگی‌های مدیریت لاگ‌ها

حذف گزارش‌ها: حذف کلیه گزارش‌های ثبت شده در سیستم
حذف یا ایمیل: حذف یا ایمیل کردن گزارش‌های انتخاب شده
فیلتر گزارش‌ها: فیلتر کردن گزارش‌ها بر اساس سایت یا نوع لاگ ثبت شده
مشاهده جزئیات: مشاهده جزئیات فنی و کامل هر رویداد ثبت شده
بررسی خلاصه: بررسی خلاصه، تاریخ، نوع و کاربر مرتبط با هر گزارش
راهنمای رنگی: استفاده از راهنمای رنگی برای تشخیص سریع نوع رویدادها

تنظیمات لاگ‌ها

ایجاد قانون جدید: ایجاد یک قانون یا تنظیم جدید برای یک نوع لاگ خاص
ویرایش تنظیمات: ویرایش تنظیمات مربوط به نحوه ثبت یک نوع لاگ
فعال/غیرفعال کردن: فعال یا غیرفعال کردن ثبت گزارش برای یک رویداد سیستمی مشخص
مدیریت انواع رویدادها: مشاهده و مدیریت انواع رویدادهایی که در سیستم قابل ثبت شدن هستند

مراحل بعدی

پس از آشنایی با تنظیمات امنیتی، می‌توانید بخش تنظیمات SEO را مطالعه کنید تا با ابزارهای بهینه‌سازی موتورهای جستجو آشنا شوید.