amrdata 20 ارسال شده در تیر 90 به عنوان شرکت یا فردی که یک فروشگاه اینترنتی یا هر تجارت آنلاینی را رهبری میکنید، باید برای امنیت برند و سایت خود اهمیت ویژه ای قایل شوید. پس این ده نکته حیاتی را برای افزایش ضریب امنیتی سیستم خود، از دست ندهید: ۱- به جای سرورهای اشتراکی، از یک سرور اختصاصی برای سایت خود استفاده کنید اکثر شرکت های سرویس دهندهی هاست، فایلها و سایتهای زیادی را به صورت اشتراکی بر روی یک سرور قرار میدهند که علت اصلی این کار، افزایش درآمد است. بدین ترتیب سایتهای مختلفی بر روی یک سرور در حال سرویسگیری هستند و علاوه بر سخت افزار، برخی نرمافزارها و اسکریپتها برای اجرای برنامههای همه سایتها(مواردی مانند سرویسهای ایمیل و کنترل پنلها) در حال اجرا هستند. این بدین معنی است که فقط شما و شرکت شما به سرور مربوطه دسترسی ندارد و احتمالاً صدها شخص و کمپانی دیگر به این سرور دسترسیهایی دارند. اگر یکی از این مشتریان که سایتش به صورت مشترک با شما روی یک سرورقرار دارد، مسایل امنیتی را رعایت نکند و ه-ک شود، سایت و اطلاعات شما را نیز در معرض خطر قرار داده است. استفاده از یک سرور اشتراکی به این معنی است که فردی که برای دسترسی به اطلاعات شما تلاش میکند، بخاطر وجود سایتهای زیاد، انتخابهای زیادی برای دسترسی به سرور داشته باشد. در مقابل، استفاده از سرور اختصاصی، یک امتیاز امنیتی برای سایت شما محسوب میشود. وقتی شما از سرور اختصاصی استفاده کنید، فقط سایت شما است که به سرور و برنامههای آن دسترسی دارد. بدین ترتیب شما میتوانید به طور کامل بر سرور و برنامه تحت اجرای آن نظارت داشته و از امنیت سایت خود مطمئن باشید. ۲-همیشه گوش به زنگ بسته های به روزرسانی و وصلههای امنیتی برنامههای سرورتان باشید و به سرعت آنها را نصب کنید امنیت اطلاعات و سرور، که مهمترین مساله برای یک مشتری است، اغلب اوقات کمترین اهمیت را برای شرکتهای ارائه دهندهی هاست، دارد. (و حتی شاید برایشان مهم نباشد!) شرکتهای ارائه دهنده هاست، هنگام قرارداد می گویند که از امنترین و بهترین نرمافزارهای امنیتی برای حفاظت از اطلاعات سایت شما استفاده میکنند، اما اگر آنها برنامههای در حال اجرا را به روز نکنند و وصلههای امنیتی را روی آنها نصب ننمایند، سایت شما در برابر انواع خطرات آسیبپذیر خواهد بود. (دقت کنید که نصب وصلههای امنیتی باید در اولین فرصت و کمترین زمان ممکن انجام شود، زیرا هکر محترم هم همزمان با ارائه بسته امنیتی از سوراخ موجود در سایت تان مطلع خواهد شد!) وقتیکه شرکت ارائه دهنده یک نرمافزار، بستههای امنیتیای را برای ترمیم ایرادهای امنیتی نرمافزارش ارسال میکند، لازم است که این بستهها به سرعت نصب شوند تا مبادا هکر بتواند زودتر اقدام کند و به سایت شما نفوذ کرده و اطلاعات تان را به سرقت ببرد. پس در صورتهی مهم در مورد تغییراتی که بر روی سرور و سایت اعمال میشود (هرچند کوچک و کم اهمیت)، این است که بدانید دقیقاً چه کسی و در چه زمانی تغییر مزبور را انجام داده است. با استفاده از سیستم کنترل تغییرات، تصحیح خطاهای احتمالی سایت سادهتر و سریعتر انجام میشود. همچنین شما میتوانید هر گونه بدافزار و فایل مخرب احتمالی رادر سریعترین زمان ممکن شناسایی کنید. به یاد داشته باشید که فقط خطرات خارجی برای شما دردسر ساز نیستند؛ در صورتیکه شما دسترسیهای زیادی را برای همکاران و کارمندان غیرقابل اعتماد خود در نظر گرفته باشید، خطری که متوجه سایت شما است، از خطر هر هکری بیشتر است. پس علاوه بر بررسی مکرر فایلها و سایت خود، از درستکاری همکاران خود مطمئن شوید و حداقل دسترسیهای لازم را به آنها بدهید. ۶- از امنیت فیزیکی سرور و دادههای خود مطمئن شوید به همان اندازه که محدود کردن دسترسی به اسناد و مدارک شرکت تان اهمیت دارد، کنترل دسترسی به کامپیوتری که سایت تان روی آن میزبانی میشود هم مهم است. شاید سرور شما از امنیت بالا و سیستمهای رمزنگاری مناسبی برخوردار باشد، اما آیا در اتاق سرور هم قفل است؟ به یاد داشته باشید که در نهایت اطلاعات شما بر روی یک سری سختافزار ذخیره شدهاند. آیا میدانید شرکت هاستینگ شما با یک هارددیسک سوخته چه کار میکند؟ اگر آنها این هارددیسک را به طرز صحیحی نابود نکنند، ممکن است اطلاعات شما به دست چه کسانی بیفتد؟ به هر حال در صورتی که چنین اتفاقی بیافتد، شما بطور قانونی حقی برای شکایت ندارید. راه حل این است که قبل از انتخاب شرکت هاستینگ، مطمئن شوید که آن شرکت دارای گواهینامههای امنیتی ISO/IEC 27001 و 27002 باشد. فقط شرکتهایی که استانداردهای امنیت مجازی و فیزیکی اطلاعات مشتریان را رعایت میکنند، دارای این گواهینامهها هستند. پس در صورتی که شرکت ارائه دهنده فضای سایت شما دارای این دو گواهینامهی معتبر باشد، قابل اعتماد است. ۷- برای امنیت دادههای کاربران، با شرکت هاستینگ قرارداد رسمی ببندید مطمئناً شما برای فروش کالاها و خدماتی که به کاربران میدهید، اطلاعاتی همانند نام، ایمیل، آدرس، تلفن و .. را دریافت میکنید که این دادهها در هاست ذخیره میشوند. اما در صورتی که با وجود اقدامات امنیتی و حفاظتی، به هر دلیلی اطلاعات سایت شما دزدیده شود، تکلیف اطلاعات شخصی کاربران و خریداران شما (Personally Identifiable Information - PII) چیست؟ شاید جالب باشد که بدانید در بسیاری از کشورها حتی اگر شما هم در این زمینه مقصر نباشید و لو رفتن اطلاعات از طرف شرکت هاستینگ اتفاق افتاده باشد، باز هم مسئولیت حقوقی این مساله با شما است و باید پاسخگو باشید. اغلب شرکتهای هاستینگ معمولاً زیر بار مسئولیت این اطلاعات نمیروند و حتی در صورت ه-ک شدن سرورشان، مسئولیتی را متقبل نمی شوند. اما شما باید این نکته را هم در قراردادی رسمی که با شرکت هاستینگ میبندید، ذکر کنید. یعنی قرارداد باید طوری نوشته شود که مسئولیت امنیت این اطلاعات مهم مشخص باشد. ۸- پیادهسازی Code Sanitizing برای فیلدهای ورود اطلاعات code sanitizing اصطلاحی رایج به معنای پاکسازی کدها از اسکریپتها و کدهای مخرب است که اجازه ورود هر دادهای را به دیتابیس(پایگاه داده ها) نمیدهد، بلکه ابتدا کارکترها و رشتههای ورودی را بررسی میکند و در صورت وجود کد مخرب یا به درد نخور، آن را پاکسازی میکند و یا از ورود آن به پایگاه دادههای سایت، جلوگیری میکند. باید توجه داشته باشید، هر کجا که کاربر میتواند اطلاعات وارد کند، به صورت بالقوه میتواند حفره ورودی خطرناکی باشد. فرض کنید همه ورودیهای یک صفحه با نیتهای بدخواهانه و خرابکارانه پر شوند، بدین ترتیب، اگر code sanitizing را رعایت نکرده باشید، امکان دارد کاربران خواسته یا ناخواسته کارکتر یا رشتهای را وارد دیتابیس سایت شما کنند. با این وضع تصور کنید که یک دستور SQL اجرا شود و قسمتی از دادهها را پاک کند. بدون شک تحمل چنین فاجعهای برای هر مدیر سایتی غیرممکن است. پس برای جلوگیری از چنین مواردی، باید اصول code sanitizing را رعایت کنید، تا از خطر در امان بمانید. ۹- سایت خود را هم به لیست سایتهایی که روزانه مرور میکنید، اضافه نمایید لازم است که سایت خود را در بازههای زمانی مشخص بررسی کرده و وجود Malware و اسکریپتهای خطرناک در آن را کنترل کنید. برای این کار سرویسهای مختلفی (malware checking service) وجود دارد که به شما امکان بررسی سایت تان را میدهد. شما میتوانید با استفاده از سرویسهایی که به این منظور طراحی شدهاند، از وضعیت سلامت و امنیت سایت خود مطلع شوید. البته استفاده از بسیاری از این سرویسها مستلزم پرداخت هزینه خواهد بود که کار را برای ایران کمی مشکل می کند. اما گوگل سرویسی ساده و رایگان برای مرور سایت، ارائه میدهد که چنین مواردی را بررسی میکند و تا حدودی به مدیران سایت کمک مینماید. برای استفاده از این سرویس گوگل میتوانید به آدرس زیر مراجعه کرده و سایت خود را در انتهای لینک وارد کنید. [url=http://google.com/safebrowsing/diagnostic?site=]http://google.com/safebrowsing/diagnostic?site=[/url][i]www.yoursite.com [/i] ۱۰- همیشه ایمیلهایی را که از سرور شما فرستاده می شوند، اسکن کنید. در صورتی که هکر یا یکی از کارمندان تان، اقدام به ارسال ایمیلهای اسپم از سرور شما کند، سرور شما در لیست ارسال کنندههای اسپم قرار گرفته و از آن به بعد کلیه ایمیلهایی که از سرور شما ارسال میشود، در سرویس دهنده های عمومی و اختصاصی ایمیل مستقیماً به پوشه اسپم فرستاده شده و مشاهده نمی شوند. همچنین در صورتی که شما یکی از قربانیان هرزنامه ها (اسپم) باشید و این نکته امنیتی را به کار نبندید، ناخواسته به یکی از عاملان انتشار آن خواهید بود. پس همیشه و همه ایمیلهایی را که از سرورتان ارسال می گردند، با برنامههای مناسب کنترل کنید و اطمینان حاصل کنید که حاوی هیچ کد مخربی نیستند! منبع نقل قول به اشتراک گذاری این ارسال لینک به ارسال به اشتراک گذاری در سایت های دیگر
عبدالله عصمتی 35 ارسال شده در تیر 90 mall"> mall">۱ mall">۲-همیشه گوش به زنگ بسته های به روزرسانی و وصلههای امنیتی برنامههای سرورتان باشید و به سرعت آنها را نصب کنید امنیت اطلاعات و سرور، که مهمترین مساله برای یک مشتری است، اغلب اوقات کمترین اهمیت را برای شرکتهای ارائه دهندهی هاست، دارد. (و حتی شاید برایشان مهم نباشد!) شرکتهای ارائه دهنده هاست، هنگام قرارداد می گویند که از امنترین و بهترین نرمافزارهای امنیتی برای حفاظت از اطلاعات سایت شما استفاده میکنند، اما اگر آنها برنامههای در حال اجرا را به روز نکنند و وصلههای امنیتی را روی آنها نصب ننمایند، سایت شما در برابر انواع خطرات آسیبپذیر خواهد بود. (دقت کنید که نصب وصلههای امنیتی باید در اولین فرصت و کمترین زمان ممکن انجام شود، زیرا ه-ک ر محترم هم همزمان با ارائه بسته امنیتی از سوراخ موجود در سایت تان مطلع خواهد شد!) mall">وقتیکه شرکت ارائه دهنده یک نرمافزار، بستههای امنیتیای را برای ترمیم ایرادهای امنیتی نرمافزارش ارسال میکند، لازم است که این بستهها به سرعت نصب شوند تا مبادا ه-ک ر بتواند زودتر اقدام کند و به سایت شما نفوذ کرده و اطلاعات تان را به سرقت ببرد. پس در صورتهی مهم در مورد تغییراتی که بر روی سرور و سایت اعمال میشود (هرچند کوچک و کم اهمیت)، این است که بدانید دقیقاً چه کسی و در چه زمانی تغییر مزبور را انجام داده است. با استفاده از سیستم کنترل تغییرات، تصحیح خطاهای احتمالی سایت سادهتر و سریعتر انجام میشود. همچنین شما میتوانید هر گونه بدافزار و فایل مخرب احتمالی رادر سریعترین زمان ممکن شناسایی کنید. mall">به یاد داشته باشید که فقط خطرات خارجی برای شما دردسر ساز نیستند؛ در صورتیکه شما دسترسیهای زیادی را برای همکاران و کارمندان غیرقابل اعتماد خود در نظر گرفته باشید، خطری که متوجه سایت شما است، از خطر هر ه-ک ری بیشتر است. پس علاوه بر بررسی مکرر فایلها و سایت خود، از درستکاری همکاران خود مطمئن شوید و حداقل دسترسیهای لازم را به آنها بدهید. mall">۶- از امنیت فیزیکی سرور و دادههای خود مطمئن شوید به همان اندازه که محدود کردن دسترسی به اسناد و مدارک شرکت تان اهمیت دارد، کنترل دسترسی به کامپیوتری که سایت تان روی آن میزبانی میشود هم مهم است. mall">شاید سرور شما از امنیت بالا و سیستمهای رمزنگاری مناسبی برخوردار باشد، اما آیا در اتاق سرور هم قفل است؟ به یاد داشته باشید که در نهایت اطلاعات شما بر روی یک سری سختافزار ذخیره شدهاند. آیا میدانید شرکت هاستینگ شما با یک هارددیسک سوخته چه کار میکند؟ اگر آنها این هارددیسک را به طرز صحیحی نابود نکنند، ممکن است اطلاعات شما به دست چه کسانی بیفتد؟ mall">به هر حال در صورتی که چنین اتفاقی بیافتد، شما بطور قانونی حقی برای شکایت ندارید. راه حل این است که قبل از انتخاب شرکت هاستینگ، مطمئن شوید که آن شرکت دارای گواهینامههای امنیتی ISO/IEC 27001 و 27002 باشد. فقط شرکتهایی که استانداردهای امنیت مجازی و فیزیکی اطلاعات مشتریان را رعایت میکنند، دارای این گواهینامهها هستند. پس در صورتی که شرکت ارائه دهنده فضای سایت شما دارای این دو گواهینامهی معتبر باشد، قابل اعتماد است. mall"> منبع ببخشید پس از 3 تا 5 کجا هستند؟؟؟؟؟؟ موفق باشید:thankyou: نقل قول به اشتراک گذاری این ارسال لینک به ارسال به اشتراک گذاری در سایت های دیگر