فهرست توصیه‌های امنیت نرم‌افزار در شبکه‌های اجتماعی


توصیه شماره 1: کنترل محتوای مطالب کاربران شبکه‌های اجتماعی باید دارای مکانیزم‌هایی برای کنترل محتوای مطالب کاربران باشند؛ به گونه‌ای که در صورت شناسایی محتوای مجرمانه و یا مغایر با قوانین شبکه، بتوان در اسرع وقت آن را حذف کرد. این مکانیزم‌ها باید در داخل سامانه اصلی (و نه به صورت افزونه یا امکانات جانبی) قرار گیرند. راه‌کار اول: پیاده‌سازی امکان گزارش محتوای نامناسب یا کاربر متخلف برای کلیه کاربران و بازدیدکنندگان شبکه و تخصیص نیروی انسانی مناسب برای رسیدگی دوره‌ای (ترجیحا روزمره) به این گزارش‌ها و حذف محتوای نامناسب و تعلیق یا اخراج کاربر متخلف بر اساس قوانین مصوب شبکه. راه‌کار دوم: تخصیص نیروی انسانی مناسب برای مشاهده و بررسی مطالب کاربران، پیش از انتشار در شبکه و تایید یا رد انتشار آن‌ها (در مواردی که وجود محتوای مجرمانه یا غیرمجاز در شبکه، حتی برای مدت‌زمان کوتاه قابل پذیرش نیست و یا محتوایی که در بخش‌های حساس و پربازدید قرار دارد). راه‌کار پیشرفته: استفاده از الگوریتم‌های تشخیص خودکار محتوای مجرمانه و نشانه‌گذاری آن‌ها، علاوه بر تخصیص نیروی انسانی مناسب جهت کنترل نتایج و آموزش و بهبود الگوریتم‌ها.
توصیه شماره 2: آشنایی با قانون جرائم رایانه‌ای مدیران و توسعه‌دهندگان شبکه‌های اجتماعی داخلی باید پیش از شروع به هرگونه فعالیت در خصوص راه‌اندازی شبکه اجتماعی یا هر کسب‌وکار رایانه‌ای دیگر، متن کامل قانون جرائم رایانه‌ای کشور را به دقت مطالعه کرده، از محتوای آن آگاه شده و تعهد به اجرای آن دهند. همچنین در زمان تولید و حیات سامانه باید الزاماتی که در این قانون برای متولیان وب‌گاه‌ها مشخص شده است را فراهم نمایند.
توصیه شماره 3: منع دسترسی به اطلاعات ورود کاربران اطلاعات ورود کاربران نظیر متن گذرواژه، محتوای داخل توکن امنیتی و هر داده‌ای که می‌توان با آگاهی از آن وارد سامانه شد، دارایی شخصی کاربر محسوب شده، به کلی محرمانه بوده و تحت هیچ شرایطی نباید توسط هیچ‌یک از کارکنان شبکه اجتماعی قابل رؤیت باشد. هر فرآیند یا پردازشی در سامانه که نیاز به مشاهده اطلاعات ورود کاربران داشته باشد، غیرمجاز بوده و باید به گونه‌ای بازطراحی شود که این نیاز از آن حذف شود. ورود به حساب کاربر: برای مشاهده اطلاعات یک کاربر خاص توسط مدیر شبکه جهت توسعه، رفع ایرادات و بهبود سامانه، می‌توان ضمن حفظ امنیت سامانه و حریم خصوصی کاربران، پای‌بندی به سیاست‌ها و قوانین و اعلام قبلی به کاربر، امکاناتی فراهم کرد تا مدیر بدون آگاهی از گذرواژه کاربر، بتواند وارد حساب کاربری او شده و یا صفحات را مشابه آن‌چه برای وی نمایش داده می‌شود، مشاهده کند.
توصیه شماره 4: شرایط میزبانی داخلی از شبکه اجتماعی در صورتی که میزبانی از نرم‌افزار یا داده‌های شبکه اجتماعی به صورت داخلی انجام شده و برون‌سپاری نشود، متولی شبکه اجتماعی موظف است در حکم ارائه‌دهنده خدمات میزبانی، الزامات مطرح در مواد ۳۲ الی ۵۱ قانون جرائم رایانه‌ای و همچنین الزامات موجود در آیین‌نامه جمع‌آوری ادله الکترونیکی را رعایت کرده و نسبت به ذخیره اطلاعات تا مدت‌زمان مقرر در قانون و همکاری با مراجع قضایی در خصوص حفظ، توقیف، تفتیش و شنود اطلاعات یا سامانه‌ها اقدام کند.
توصیه شماره 5: ارائه اطلاعات به مراجع قضایی در راستای اجرای ماده ۳۱ آیین‌نامه جمع‌آوری ادله الکترونیکی، در صورت صدور حکم قضایی برای حفظ، توقیف، تفتیش یا شنود اطلاعات یا سامانه‌های یک شبکه اجتماعی، متولی آن موظف است اقدامات لازم در جهت ارائه دسترسی به اطلاعات یا سامانه‌های مذکور در احکام قضایی صادره را انجام داده و با مجریان قضایی مربوطه همکاری کند.
توصیه شماره 6: ثبت‌نام در سامانه ساماندهی پایگاه‌های اینترنتی متولیان شبکه‌های اجتماعی موظف هستند تارنمای مربوط به شبکه اجتماعی خود را نزد واحدهایی که قوانین و ضوابط اجرایی معرفی کرده‌اند، نظیر سامانه ساماندهی پایگاه‌های اینترنتی، متعلق به مرکز فناوری اطلاعات و رسانه‌های دیجیتال به ثبت برسانند.
توصیه شماره 7: آگاهی از قانون تجارت الکترونیکی متولیان شبکه‌های اجتماعی باید پیش از شروع فعالیت‌های اجرایی خود، نسبت به آگاهی از قانون تجارت الکترونیکی اقدام کرده و در مدت‌زمان توسعه و فعالیت شبکه اجتماعی، الزامات موجود در این قانون را رعایت نمایند. بخش‌های مرتبط با رعایت حقوق مؤلف، قواعد تبلیغ و نشان‌های تجاری از جمله مواردی هستند که احتمال مواجهه شبکه‌های اجتماعی با آن‌ها بیشتر بوده و در نتیجه توجه ویژه‌ای طلب می‌کنند. تبصره: ممکن است بخش‌هایی از قانون تجارت الکترونیکی، در یک برهه زمانی، به دلیل نبود زیرساخت‌ها و امکانات لازم قابل اجرا نبوده و موقتا لازم‌الاجرا نباشد. در چنین مواردی، متولیان شبکه‌های اجتماعی باید در نظر داشته باشند که به محض فراهم‌آمدن شرایط لازم و اعلام مراجع ذی‌صلاح مبنی بر لزوم رعایت این بندها، اقدامات لازم در جهت تحقق این الزامات را به انجام برسانند.
توصیه شماره 8: آگاهی و پای‌بندی به الزامات پلیس فتا متولیان شبکه‌های اجتماعی موظفند پیش از شروع فعالیت‌های اجرایی در راستای تولید و توسعه شبکه اجتماعی خود، با مراجعه به پایگاه اطلاع‌رسانی پلیس فتا از قوانین جاری و ابلاغیه‌های این نهاد پلیس آگاهی یافته و الزامات اعلام‌شده توسط آن را رعایت کنند. همچنین در تمام طول حیات سامانه، باید فرآیند آگاهی از آخرین وضعیت قوانین و الزامات این نهاد پلیس را به صورت دوره‌ای تکرار نمایند.
توصیه شماره 9: دریافت گواهی‌نامه رسمی متولیان شبکه‌های اجتماعی موظفند ملزومات قانونی را برای سامانه خود تهیه کنند. منظور از ملزومات قانونی، گواهی‌نامه، نشان اطمینان یا هر تاییدیه رسمی دیگری است که اخذ آن برای واحدهای فنی یا تجاری که شامل شبکه‌های اجتماعی می‌شوند، توسط قانون یا مراجع ذی‌صلاح الزامی شده باشد. مجموعه این ملزومات ممکن است در طول زمان و به فراخور قوانین جدید تغییر یابد. نماد اعتماد الکترونیکی: در حال حاضر نماد اعتماد الکترونیکی که توسط مرکز تجارت الکترونیکی، وابسته به وزارت صنعت، معدن و تجارت صادر می‌شود، تنها گواهی‌نامه‌ای است که بر اساس قانون و توسط نهادهای دولتی و پلیس فتا برای کسب‌وکارهای رایانه‌ای الزامی شناخته شده است.
توصیه شماره 10: کسب استاندارد ISO 27001 شایسته است که متولیان شبکه‌های اجتماعی نسبت به آشنایی و در صورت علاقه‌مندی، کسب استاندارد بین‌المللی ISO/IEC 27001 اقدام کنند. این امر می‌تواند به صورت مستقیم و یا از طریق شرکت‌های مشاور در این حوزه انجام شود. کسب استاندارد ISO/IEC 27001 به خصوص برای سازمان‌ها و شرکت‌های بزرگ که قصد برپایی شبکه‌های اجتماعی سازمانی دارند توصیه می‌گردد.
توصیه شماره 11: شناسایی دارایی‌ها بر اساس استاندارد ISO/IEC 27002، متولیان شبکه‌های اجتماعی موظفند تا دارایی‌های خود را شناسایی و فهرست کرده، برای هرکدام فرد یا افرادی را تحت عنوان صاحب مشخص کرده و مسئولیت‌های مرتبط با دارایی را به صاحب آن تخصیص دهند. منظور از دارایی، هر چیزی است که دارای اهمیت باشد؛ اطلاعات، نرم‌افزار، سخت‌افزار، خدمات و افراد.
توصیه شماره 12: دسته‌بندی دارایی‌ها مطابق با استاندارد ISO/IEC 27002، متولیان شبکه‌های اجتماعی وظیفه دارند دارایی‌های فهرست‌شده را با توجه به حساسیت آن‌ها و منطبق با نیازمندی‌های قانونی و سیاست‌های امنیتی خود دسته‌بندی کنند. همچنین دارایی‌ها در صورت تغییر مقدار، افزایش یا کاهش اهمیت، تغییر قوانین و سیاست‌ها و به صورت دوره‌ای دسته‌بندی می‌شوند.
توصیه شماره 13: مدیریت رسانه‌ها متولیان شبکه‌های اجتماعی موظف هستند رسانه‌ها و حامل‌های اطلاعاتی خود را بر اساس دستورالعمل استاندارد ISO/IEC 27002، مدیریت کنند. هرگونه رسانه‌ای که به عنوان دارایی سازمان یا شرکت متولی شبکه اجتماعی تلقی شود و یا داده‌هایی بر روی آن ذخیره شود که جزو دارایی‌های مجموعه باشند، مشمول این الزام خواهد بود. این الزام به خصوص زمانی اهمیت ویژه پیدا می‌کند که داده‌های شبکه اجتماعی در داخل مجموعه میزبانی شوند.
توصیه شماره 14: نگه‌داری از دارایی‌ها در مناطق حفاظت‌شده بر اساس استاندارد ISO/IEC 27002، متولیان شبکه‌های اجتماعی باید بر اساس مفاد سیاست‌های امنیتی خود و مطابق با قوانین و ضوابط اجرایی، مکان‌هایی را به عنوان منطقه حفاظت‌شده تعبیه کرده و دارایی‌های حساس خود را تنها در این مناطق نگه‌داری نمایند. تجهیزات لازم و سطح امنیت قابل قبول برای این مناطق یا بر اساس قوانین و ضوابط اجرایی مصوب از سوی مراجع ذی‌صلاح مشخص می‌شود و یا به عهده خود متولی است. به طور ویژه، شبکه‌های اجتماعی که قصد دارند از کارگزارها و داده‌های خود به صورت داخلی میزبانی کنند، لازم است تمامی کارگزارها و میزبان‌های پایگاه‌داده خود را در رده دارایی‌های حساس طبقه‌بندی کرده و آن‌ها را در مناطق حفاظت‌شده، با شرایط محیطی مناسب نگه‌داری کنند.
توصیه شماره 15: ثبت و کنترل دسترسی کاربران مطابق با سند استاندارد ISO/IEC 27002، متولیان شبکه‌های اجتماعی باید بستری فراهم کنند تا در آن، برای هر منبع داده‌ای یا هر خدمت سامانه، دسترسی‌های مناسب تعریف شده و اجرای هر عملی بر روی منبع مذکور، نیازمند داشتن دسترسی مرتبط باشد. همچنین مدیران سامانه باید در این بستر تعریف شده و دسترسی‌های لازم به آن‌ها اعطا شود. سطوح دسترسی اعطا‌شده به مدیران باید به صورت دوره‌ای مورد بازبینی قرار گرفته و در صورت تشخیص مبنی بر عدم نیاز یک کاربر به یک دسترسی خاص، در اسرع وقت دسترسی مربوطه از وی بازپس‌گیری شود. دسترسی کاربران عادی شبکه اجتماعی به اطلاعات باید بر اساس سیاست‌های امنیتی باشد و این سیاست‌ها نیز به صورت دوره‌ای به‌روزرسانی شوند.
توصیه شماره 16: اصل کمینه اطلاعات و دسترسی بر اساس الزام ISO/IEC 27002، مدیران و کارکنان شبکه‌های اجتماعی باید به کمینه اطلاعات لازم دسترسی داشته و از کمترین حد دسترسی لازم برخوردار باشند. منظور از کمینه اطلاعات لازم، کمترین حدی از اطلاعات است که بدون آگاهی از آن‌ها، امکان اجرای وظیفه و یا استفاده از خدمات مجاز سامانه برای فرد وجود نداشته باشند. کمترین دسترسی هم به معنی دسترسی به منابعی است که برای استفاده از خدمات سامانه و یا انجام وظایف به آن‌ها نیاز است.
توصیه شماره 17: پیاده‌سازی بستر مدیریت دسترسی شبکه‌های اجتماعی باید بستر مدیریت دسترسی خود را به گونه‌ای پیاده‌سازی کنند تا مطابق با استاندارد ISO/IEC 27002، گزینه مدیریت دسترسی‌ در آن به صورت صریح و مستقل وجود داشته باشد، برای انواع اطلاعات دسترسی‌های لازم تعریف شود و کاربران پیش از دسترسی به منابع احراز هویت شده باشند. برنامه‌های کاربردی که به سامانه متصل شده و امکان بازنویسی دسترسی‌ها را دارند باید به صورت دقیق شناسایی و احراز هویت شوند، حدود اختیارات آن‌ها کنترل و محدود شده و تمامی فعالیت‌های آن‌ها به صورت کامل واقعه‌نگاری شود تا قابل ردیابی باشد.
توصیه شماره 18: فرآیند ثبت‌نام کاربران فرآیند ثبت‌نام در شبکه‌های اجتماعی باید منطبق با الزامات موجود در سند استاندارد ISO/IEC 27002 باشد؛ شرایط و ضوابط عضویت در سامانه به شکلی سازگار با قوانین و سیاست‌های امنیتی تدوین شوند، به صورت واضح در معرض دید کاربر قرار بگیرند، کاربر متقاضی به صراحت اعلام کند که این شرایط را مطالعه کرده و پذیرفته است و پیش از تکمیل ثبت‌نام کاربر، با سازوکاری مشخص و قابل قبول از نظر سیاست‌های امنیتی و قوانین، هویت و صحت اطلاعات وی تایید شود. راه‌کار عمومی: ساده‌ترین روش برای تایید اطلاعات کاربران که در صورت نبود روش‌های پیشرفته‌تر، شبکه‌های اجتماعی ملزم به اجرای آن هستند، ارسال شماره فعال‌سازی به تلفن همراه کاربر و یا ارسال رایانامه‌ای حاوی پیوندی برای فعال‌سازی برای وی است. راه‌کار سازمانی: روش‌های پیشرفته‌تری که سازمان‌ها و شرکت‌ها می‌توانند از آن‌ها استفاده کنند، تایید اطلاعات کاربران بر اساس تطبیق با پایگاه‌های داده موجود و یا استعلام اطلاعات از مراجع ذی‌صلاح است. در صورت نیاز قانونی یا تاکید سیاست‌های امنیتی بر استفاده از این‌گونه روش‌ها، استفاده از راه‌کار عمومی به تنهایی کفایت نکرده و لازم است از روش‌های قابل قبول استفاده شود. این مورد به صورت ویژه، اشاره به شبکه‌های اجتماعی سازمانی داشته و در مورد آن‌ها توصیه می‌شود.
توصیه شماره 19: احراز هویت کاربران بر اساس استاندارد ISO/IEC 27002، شبکه‌های اجتماعی باید سازوکاری برای احراز هویت کاربران خود داشته باشند. این سازوکار باید به گونه‌ای پیاده‌سازی شده باشد که از ورود کاربران غیرمجاز جلوگیری کرده، پیش از احراز هویت و در حین آن کمترین اطلاعات از سامانه فاش شده و اطلاعات ورود کاربران محرمانه بوده و قابل مشاهده و شنود نباشد. تایید دو مرحله‌ای: شبکه‌های اجتماعی می‌توانند از سازوکار تایید دو مرحله‌ای برای افزایش امنیت کاربران خود در زمان احراز هویت استفاده کنند. ابزارهای قابل قبول در تایید دو مرحله‌ای، رایانامه و شماره تلفن همراهی است که کاربر در زمان ثبت‌نام خود اعلام کرده باشد.
توصیه شماره 20: مدیریت گذرواژه‌ها شبکه‌های اجتماعی موظف هستند گذرواژه کاربران خود را مطابق با الزامات موجود در سند استاندارد ISO/IEC 27002 مدیریت نمایند. کنترل ساختار گذرواژه، امکان تغییر آن توسط کاربر و ذخیره آن به صورت درهم‌سازی‌شده از جمله الزامات مدیریت گذرواژه هستند. شایان ذکر است، هر عبارت محرمانه که برای احراز هویت مورد استفاده قرار بگیرد در حکم گذرواژه است؛ خواه به صورت متن باشد یا به صورت اطلاعات داخل کارت‌های هوشمند، توکن‌های امنیتی یا غیره. انقضای گذرواژه: یکی از امکاناتی که شبکه‌های اجتماعی می‌توانند برای افزایش امنیت گذرواژه کاربران خود فراهم کنند، انقضای دوره‌ای گذرواژه است. در این روش اگر کاربران در مدت‌زمان معین اقدام به تعویض گذرواژه خود نکنند، گذرواژه آن‌ها به صورت خودکار منقضی شده و ورود مجدد آن‌ها به سامانه منوط به تعویض گذرواژه خود خواهد بود.
توصیه شماره 21: توسعه امن نرم‌افزار به متولیان شبکه‌های اجتماعی اکیدا توصیه می‌شود تا نرم‌افزارهای خود را به صورت امن توسعه دهند. تولید و توسعه امن نرم‌افزار عبارت است از جذب نیروهای متخصص امنیتی و استفاده از آنان در فرآیند توسعه نرم‌افزار، کسب دانش امنیت نرم‌افزار و آموزش آن به نیروهای فنی و توسعه‌دهندگان، توجه به نیازمندی‌های امنیتی در کنار نیازمندی‌های کیفی دیگر، مدیریت و مهار ریسک‌های امنیتی، معماری و طراحی بر اساس نیازمندی‌های امنیتی استخراج‌شده، پیاده‌سازی امن، مرور کد و آزمون‌های امنیتی و در نهایت، تدوین طرح‌های آمادگی برای پاسخ‌گویی به حوادث امنیتی. شایان ذکر است، توصیه به تولید امن نرم‌افزار به این معنی نیست که از نرم‌افزارهای آماده استفاده نشود؛ بلکه اظهار می‌دارد، حتی در صورت استفاده از برنامه‌های آماده، اولا آزمون‌های امنیتی مطابق با دستوراتی که در منابع شناخته‌شده امنیت نرم‌افزار وجود دارد، بر روی آن‌ها انجام شود، ثانیا بخش‌هایی از نرم‌افزار که توسط خود مجموعه توسعه می‌یابد و زیرساختی که نرم‌افزارهای آماده را به یکدیگر متصل می‌کند، به صورت امن توسعه یابند و ثالثا به‌روزرسانی‌های امنیتی برای تمامی این نرم‌افزارها مورد توجه قرار گیرد.
توصیه شماره 22: چارچوب توسعه امن شایسته است تا متولیان شبکه‌های اجتماعی، در صورت اقدام به شروع فرآیند توسعه امن نرم‌افزار، از چارچوب‌های شناخته‌شده و مناسب برای این منظور استفاده نمایند. چارچوبی مناسب محسوب می‌شود که با استفاده از دانش روز امنیت نرم‌افزار طراحی شده باشد، توسط تیم‌های متخصص پشتیبانی شود، استفاده از ابزارهای تخصصی برای آزمون و کنترل کیفی را در دستور کار قرار دهد و با پیشرفت دانش و تولید ابزارهای جدید، به‌روزرسانی شود.
توصیه شماره 23: استفاده از ابزارهای دانش‌محور مرور دستی کد: شایسته است تا اعضای تیم امنیت نرم‌افزار به صورت دوره‌ای و یا موردی اقدام به مرور کدهای برنامه‌نویسان مختلف نموده، آن‌ها را از ایرادات خود آگاه ساخته و همچنین ضمن مستندسازی موارد شایع، راه‌کارهای پیش‌گیری از آن‌ها را به اطلاع عمومی اعضای تیم برسانند. به خصوص در مورد مؤلفه‌هایی که حساسیت بالاتری دارند، اکیدا توصیه می‌شود تا مرور دستی با جدیت انجام پذیرد. مرور خودکار کد: برنامه‌نویسان می‌توانند به صورت دوره‌ای (برای مثال، پس از پایان هر روز کاری و یا پایان برنامه‌نویسی یک مؤلفه نرم‌افزاری) اقدام به اجرای ابزارهای مرور امنیتی کرده و از سطح امنیتی کد خود مطلع شوند. تعیین ابزارهای مرور کد به عهده اعضای متخصص در تیم امنیت است؛ با این حال، استفاده از ابزارهای به‌روز و حرفه‌ای، با قابلیت یادگیری و تعامل با کاربر توصیه می‌شود.
توصیه شماره 24: تیم مدیریت دانش امنیتی توصیه می‌شود تا متولیان شبکه‌های اجتماعی، در حین فرآیند توسعه امن نرم‌افزار خود اقدام به برپایی یک تیم فنی مختص فعالیت‌های مرتبط با حوزه امنیت نرم‌افزار نموده و از نیروهای متخصص و باتجربه به این منظور استفاده نمایند. وظیفه این تیم، کسب دانش و انتقال آن به نیروهای فنی، تشخیص نیازمندی‌های امنیتی و انتخاب ابزارهای امنیتی مناسب برای استفاده در حین تولید نرم‌افزار و تهیه اقلام آموزشی نظیر الگوهای طراحی، برنامه‌نویسی و آزمون امن برای استفاده توسط تیم توسعه خواهد بود.
توصیه شماره 25: آموزش امنیتی برای تیم فنی متولیان شبکه‌های اجتماعی به منظور بهره‌برداری هرچه بیشتر از فرآیند توسعه امن نرم‌افزار می‌توانند دوره‌های آموزش امنیت برای توسعه‌دهندگان و اعضای فنی تیم خود برگزار نمایند. فهرستی پیشنهادی برای سرفصل دوره‌های آموزشی به شرح زیر است: 1. طراحی امن: شامل اصول نظری امنیت، شناخت سطح بالای تهدیدات و روش‌های دفاعی 2. برنامه‌نویسی امن: شامل آسیب‌پذیری‌های سطح کد، الگوهای برنامه‌نویسی امن و ابزارهای آن 3. آزمون‌های امنیتی: شامل معرفی مفاهیم و ابزارهای آزمون نفوذ و آزمون‌های امنیتی مشابه 4. حریم خصوصی در نرم‌افزار: شناخت اصول حریم خصوصی و الگوهای پیاده‌سازی نرم‌افزاری آن محتوای آموزشی این دوره‌ها توسط اعضای تیم امنیت که در الزام شماره 24 معرفی شدند تدوین می‌شود.
توصیه شماره 26: مدیریت ریسک به متولیان شبکه‌های اجتماعی اکیدا توصیه می‌شود تا در صورت اقدام به شروع فرآیند توسعه امن برای تولید نرم‌افزار شبکه اجتماعی خود، از چارچوب مدیریت ریسک برای شناسایی، رتبه‌بندی و مهار ریسک‌های نرم‌افزاری استفاده کرده و به این ترتیب، در تمام طول فرآیند مذکور، پیگیر سطح کیفی امنیت نرم‌افزار خود باشند. چارچوب پیشنهادی برای مدیریت ریسک که از روش موجود در چارچوب توسعه امن McGraw الگوبرداری کرده به شرح زیر است: 1. فهم محیط کسب‌وکاری: در اولین گام از مدیریت ریسک، شایسته است تا متولیان شبکه‌های اجتماعی، محیط کسب‌وکار شبکه اجتماعی خود را به وسیله ابزارها و روش‌های موجود و متداول تحلیل و شناسایی کرده و مجموعه اهداف کسب‌وکاری تیم تولید و توسعه شبکه اجتماعی را استخراج نمایند. 2. شناسایی ریسک‌های کسب‌وکاری و فنی: در گام دوم از چرخه مدیریت ریسک، باید تمامی ریسک‌های متوجه نرم‌افزار را شناسایی کرده و برای بیان کمی آن‌ها راه‌کاری اندیشید. به این منظور، شایسته است متولیان شبکه‌های اجتماعی ضمن شناسایی ریسک‌های کسب‌وکار، با هم‌فکری کارشناسان فنی و توسعه‌دهندگان، ریسک‌های فنی را نیز شناسایی کرده و بر اساس دانش خود و مراجعه به منابع معتبر، این ریسک‌ها را با راه‌کاری مناسب، به صورت عددی و با معیاری مشابه ریسک‌های کسب‌وکار بیان کنند. خروجی به دست آمده، فهرستی از ریسک‌ها و روشی واحد برای اندازه‌گیری آن‌ها خواهد بود. 3. تشریح و رتبه‌بندی ریسک‌ها: به متولیان شبکه‌های اجتماعی توصیه می‌شود تا پس از شناسایی محیط کسب‌وکار و شناسایی ریسک‌های مختلف که متوجه نرم‌افزار شبکه اجتماعی هستند، «شدت» این ریسک‌ها را بر اساس میزان تهدیدی که برای اهداف کسب‌وکاری ایجاد می‌کنند و همچنین اهمیت اهداف کسب‌وکاری که هدف تهدید قرار گرفته‌اند، محاسبه کنند. سپس فهرستی از ریسک‌ها که بر اساس شدت مرتب شده‌اند، فراهم کرده و برای مراحل بعدی از آن استفاده نمایند. 4. تعیین راهبردهای مهار ریسک: در ادامه فرآیند تحلیل و مدیریت ریسک، شایسته است تا متولیان شبکه‌های اجتماعی، ریسک‌های شناسایی‌شده در مراحل قبل را مورد مطالعه و بررسی قرار داده و مجموعه‌ای از راهبردهای اجرایی برای کاهش این ریسک‌ها تهیه و تدوین نمایند. راهبردهای مذکور به همراه روش‌های ارزیابی میزان موفقیت هریک از آن‌ها به عنوان خروجی این گام تلقی می‌شود. 5. اجرای اصلاحات و ارزیابی: در گام آخر از فرآیند تحلیل و مدیریت ریسک، به متولیان شبکه‌های اجتماعی توصیه می‌شود تا با شروع از شدیدترین ریسک‌ها که در حین اجرای فعالیت‌های مرتبط با گام سوم مشخص شده‌اند، راهبردهای مهار ریسک که در مرحله گذشته تدوین شده‌اند را اجرا نموده و سپس فرآیند تحلیل و مدیریت ریسک را تکرار نمایند. تکرار این فرآیند شامل شناسایی ریسک‌های جدید، اولویت‌بندی مجدد ریسک‌ها، تدوین راهبردهای مهار با توجه به وضعیت کنونی محیط و اجرای اصلاحات متناسب با راهبردهای آتی است.
توصیه شماره 27: مرور کد مرور دستی کد: شایسته است تا اعضای تیم امنیت نرم‌افزار به صورت دوره‌ای و یا موردی اقدام به مرور کدهای برنامه‌نویسان مختلف نموده، آن‌ها را از ایرادات خود آگاه ساخته و همچنین ضمن مستندسازی موارد شایع، راه‌کارهای پیش‌گیری از آن‌ها را به اطلاع عمومی اعضای تیم برسانند. به خصوص در مورد مؤلفه‌هایی که حساسیت بالاتری دارند، اکیدا توصیه می‌شود تا مرور دستی با جدیت انجام پذیرد. مرور خودکار کد: برنامه‌نویسان می‌توانند به صورت دوره‌ای (برای مثال، پس از پایان هر روز کاری و یا پایان برنامه‌نویسی یک مؤلفه نرم‌افزاری) اقدام به اجرای ابزارهای مرور امنیتی کرده و از سطح امنیتی کد خود مطلع شوند. تعیین ابزارهای مرور کد به عهده اعضای متخصص در تیم امنیت است؛ با این حال، استفاده از ابزارهای به‌روز و حرفه‌ای، با قابلیت یادگیری و تعامل با کاربر توصیه می‌شود.
توصیه شماره 28: برنامه‌نویسی استاندارد و امن به منظور تکمیل تلاش تیم متخصص امنیت نرم‌افزار و نهادینه‌سازی برنامه‌نویسی امن در میان تیم توسعه، شایسته است تا متولیان شبکه‌های اجتماعی، از استانداردهای برنامه‌نویسی امن که توسط واحد امنیت تیم خود تدوین شده‌اند حمایت کرده و توسعه‌دهندگان را ملزم به رعایت آن‌ها نمایند. همچنین با حمایت لازم از تیم امنیت، این امکان را برای آنان فراهم کنند تا با مرور کدهای برنامه‌نویسان، ایرادات امنیتی را شناسایی کرده و آن‌ها را ملزم به اصلاح این ایرادات نمایند.
توصیه شماره 29: اجرای آزمون‌های امنیتی شایسته است تا متولیان شبکه‌های اجتماعی از طراحی و اجرای آزمون‌های امنیتی ریسک‌محور در طول فرآیند توسعه نرم‌افزار حمایت نمایند. تیم امنیت وظیفه طراحی این آزمون‌ها را به عهده دارد که به این منظور، نیازمند نتایج تحلیل ریسک است. اجرای این آزمون‌ها به دست تیم امنیت و با همکاری برنامه‌نویسان و اعضای تیم توسعه انجام می‌شود و نتایج آن پس از تحلیل، باعث به‌روزرسانی وضعیت ریسک‌ها شده و همچنین دستورات و توصیه‌های تازه‌ای را برای برنامه‌نویسان ایجاب خواهد کرد. حمایت از اجرای این فرآیند، پیش‌گیری از مقاومت‌های احتمالی و مدیریت ارتباط صحیح میان بخش‌های درگیر وظیفه‌ای است که متولیان شبکه‌های اجتماعی به عهده خواهند داشت.
توصیه شماره 30: آزمون نفوذ متخصصین امنیت که در فرآیند تولید نرم‌افزار همکاری دارند، می‌توانند با بررسی وضعیت امنیتی نرم‌افزار در حال تولید و همچنین روش‌ها و ابزارهای در دسترس، ابتدا ابزارها، سناریوها و مؤلفه‌های هدف برای آزمون نفوذ را تعیین کرده و سپس اقدام به اجرای آزمون‌های نفوذ نمایند. ابزارها و روش‌ها باید متعارف و کارآمد باشند و کسانی که برای اجرای آزمون نفوذ انتخاب می‌شوند، باید از دانش کافی در این زمینه برخوردار بوده و حتی‌الامکان، از خارج مجموعه تولید و توسعه نرم‌افزار انتخاب شده باشند.
توصیه شماره 31: برنامه جامع پاسخ‌گویی به حوادث امنیتی به متولیان شبکه‌های اجتماعی توصیه می‌شود تا به منظور تکمیل و ثمربخشی تلاش‌های سازمان خود در راستای اجرای فرآیند توسعه امن نرم‌افزار، برنامه‌های اجرایی جامعی تدوین کرده و یا در صورت توانایی، تیم‌های فنی متخصص تشکیل دهند تا مدیریت پاسخ‌گویی به حوادث امنیتی برای نرم‌افزار شبکه اجتماعی را به آن‌ها واگذار نمایند. نتیجه اجرای این فعالیت‌ها، تشکیل روندهای اجرایی و تعیین مسئولیت‌های مرتبط با اجرای آن‌ها هستند، به گونه‌ای که در کوتاه‌ترین زمان و با کمترین هزینه، بتوان نرم‌افزاری که مورد حمله قرار گرفته و یا دچار نقص امنیتی شده است را به حالت اجرایی بازگرداند.
توصیه شماره 32: انتخاب سیستم‌عامل برای رایانه میزبان باید بر روی رایانه‌هایی که به عنوان میزبان برای پایگاه‌داده و یا نرم‌افزار شبکه اجتماعی در نظر گرفته شده‌اند، سیستم‌عاملی نصب کرد که از نظر امنیتی مورد تایید عموم و افراد متخصص امنیت باشد. همچنین تیم‌های فنی گسترده و باتجربه‌ای برای پیگیری آسیب‌پذیری‌های آن و ارائه مستمر اصلاحات و بسته‌های به‌روزرسانی برای آن فعالیت نمایند. ضمن آن‌که باید نسخه مورد استفاده، توسط تولیدکننده به عنوان نسخه مناسب برای استفاده در کارگزار معرفی شده باشد و شامل ابزارهای لازم و شناخته‌شده باشد؛ برای مثال ابزار مدیریت کاربران، کنترل دسترسی به منابع و مدیریت واسط‌ها و ارتباطات شبکه.
توصیه شماره 33: تنظیمات امنیتی سیستم‌عامل 1. سیستم‌عامل رایانه‌های میزبان و همچنین نرم‌افزارهای نصب‌شده بر روی آن باید بر اساس برنامه‌ای مدون، به صورت متناوب از لحاظ به‌روزرسانی بررسی شده و بسته‌های به‌روزرسانی امنیتی که توسط تولیدکنندگان این محصولات عرضه می‌شوند، در اسرع وقت دریافت شده و نصب شوند. 2. باید برای کاربران مختلفی که نیاز به استفاده از سیستم‌عامل کارگزار دارند، نقش‌ها و سطوح دسترسی لازم به منابع موجود بر روی رایانه میزبان مشخص شده و به برای هرکدام به صورت مجزا بر روی سیستم‌عامل نام کاربری مشخصی تخصیص یابد. سطح دسترسی هر کاربر بر روی حداقل لازم تنظیم شود و از فعالیت‌های کاربران و اعمال تغییرات آن‌ها بر روی منابع، واقعه‌نگاری شود. 3. در نهایت باید تمامی فایل‌ها و نرم‌افزارهای مرتبط با وب‌گاه شبکه اجتماعی، در مسیرهای مناسبی از حافظه ثانویه، ذخیره و نصب شده و حداقل دسترسی لازم به هریک از آن‌ها داده شود. به این ترتیب می‌توان احتمال تغییر غیرمجاز در فایل‌ها و نرم‌افزارهای شبکه اجتماعی را تا حد ممکن کاهش داد.
توصیه شماره 34: نرم‌افزارهای امنیتی و دیوار آتش رایانه‌های میزبان شبکه اجتماعی باید توسط نرم‌افزارهای استاندارد و قابل اطمینان دیوار آتش محافظت شوند. نرم‌افزاری برای دیوار آتش مناسب است که توسط تیم‌های فنی معتبری پشتیبانی شده و در میان متخصصین حوزه امنیت، شناخته‌شده بوده و از نظر کیفی مورد تایید باشد. دیوار آتش را باید به گونه‌ای پیکربندی کرد تا کمترین تعداد از درگاه‌های ورودی و خروجی، فقط به منظور رفع نیازمندی نرم‌افزارهای شبکه اجتماعی (که بر اساس اسناد نیازمندی‌ها و سیاست‌های امنیتی مشخص خواهد شد) باز بوده و درگاه‌های دیگر به کلی مسدود باشند؛ ضمن آن‌که باید به صورت برنامه‌ریزی‌شده، به‌روزرسانی شود. همچنین نرم‌افزارهای امنیتی مثل ضدبدافزار مناسب باید مورد استفاده قرار بگیرند. نرم‌افزاری مناسب استفاده است که پشتیبانی فنی داشته باشد، نسخه اصل بوده و به دلیل قفل‌شکسته بودن، دارای حفره‌های امنیتی نباشد، امکان به‌روزرسانی آن وجود داشته باشد و به صورت مدون و متناوب به‌روزرسانی شود.
توصیه شماره 35: امنیت کارگزار وب نرم‌افزاری که برای کارگزاری وب در رایانه میزبان راه‌اندازی می‌شود، باید از نظر امنیتی مورد تایید بوده و عاری از آسیب‌پذیری‌های حاد امنیتی باشد، توسط شرکت معتبری تولید شده و پشتیبانی شود و در نهایت، به صورت مداوم و بر اساس برنامه‌ریزی قبلی، به‌روزرسانی شود. همچنین تنظیمات کنترل دسترسی، پروتکل‌های رمزنگاری و دیگر موارد امنیتی در آن باید به گونه‌ای باشد که امکان دسترسی به مسیرهای غیرمجاز برای کاربران را به کلی مسدود نموده و در صورت لزوم استفاده از پروتکل‌های رمزنگاری، اطلاعات را با الگوریتم‌های رمزنگاری امن و معتبر، رمز کند.
توصیه شماره 36: رمزنگاری ارتباطات شبکه ارتباطاتی که از طریق شبکه‌های عمومی نظیر اینترنت با رایانه‌های میزبان شبکه اجتماعی انجام می‌شود، باید به صورت رمزنگاری‌شده و همراه با مکانیزم‌های تامین یکپارچگی و احراز اصالت باشد. روش‌های رمزنگاری و همچنین مکانیزم‌های امنیتی دیگر که در این ارتباطات مورد استفاده قرار می‌گیرند، باید از دید نهادهای امنیتی شناخته‌شده و معتبر، مورد تایید بوده و استاندارد باشند. پروتکل TLS: پس از انتشار استاندارد RFC 7568 مبنی بر منسوخ‌شدن نسخه سوم SSL، تنها روش معتبر برای ارتباطات امن تحت شبکه، استفاده از پروتکل TLS است و تا زمانی که جایگزینی برای این روش معرفی نشده و توسط مراجع ذی‌صلاح، تایید نشده است، استفاده از TLS الزامی است. توجه: پیاده‌سازی پروتکل‌های مذکور در داخل سازمان، ممنوعیتی ندارد اما به هیچ عنوان توصیه نمی‌شود.
توصیه شماره 37: دریافت گواهی هویت برای وب‌گاه متولیان شبکه‌های اجتماعی، باید ارتباطات وب‌گاه شبکه اجتماعی خود را بر روی پروتکل‌های امن (نظیر HTTPS) قرار داده و برای آن، گواهی هویت تهیه کنند. گواهی‌نامه اخذشده باید در پروتکل انتخابی در الزام شماره 36 قابل استفاده بوده و همچنین مرورگرهای وب متداول و پراستفاده، از آن پشتیبانی نمایند. گواهی‌نامه X.509: در نسخه‌های ۱.۰، ۱.۱ و ۱.۲ از پروتکل TLS که در الزام شماره 36 معرفی شد، تنها گواهی‌نامه X.509 مجاز شمرده شده است. بنابراین تا زمانی که جایگزینی برای آن معرفی نشده است، دریافت گواهی‌نامه‌هایی از این دسته برای وب‌گاه‌های شبکه‌های اجتماعی الزامی است.
توصیه شماره 38: امنیت کارگزار پایگاه‌داده مدیران فنی شبکه‌های اجتماعی که مسئولیت طراحی، مدیریت و نگه‌داری پایگاه‌های داده را دارند، موظف هستند برای تامین امنیت پایگاه‌داده، شرایط زیر را فراهم نمایند: 1. برای سامانه مدیریت پایگاه‌داده، گزینه‌ای را انتخاب نمایند که از نظر قوت تیم توسعه و پشتیبانی، مکانیزم‌های امنیتی پیاده‌سازی‌شده، ابزارهای کنترل دسترسی، امکان به‌روزرسانی و دیگر جنبه‌های امنیتی، در جامعه فنی مقبولیت داشته و از متخصصین حوزه امنیت امتیاز خوبی به دست آورده باشد. 2. پس از انتخاب نرم‌افزار پایگاه‌داده، برای استفاده از آن کاربرانی با سطوح دسترسی مختلف تعریف کنند و تنظیمات امنیتی پایگاه‌داده را با دقت و به گونه‌ای انجام دهند که تنها دسترسی‌های لازم برای کاربران وجود داشته باشد و از دسترسی‌های بیش از حد جلوگیری شود. 3. نرم‌افزار پایگاه‌داده را به صورت مستمر و به شکل برنامه‌ریزی‌شده به‌روزرسانی نمایند. 4. داده‌ها را به شکلی طبقه‌بندی کرده و در پایگاه‌داده قرار دهند که بخش‌های مختلف سامانه، تا حد امکان از یکدیگر جدا بوده و اجازه دسترسی به آن‌ها نیز، به صورت جداگانه به کاربران لازم اعطا شود. 5. کارگزار پایگاه‌داده را به گونه‌ای برپا کنند که کمترین سطح دسترسی لازم از خارج به آن وجود داشته باشد. در صورتی که نیاز است پایگاه‌داده بر روی میزبان جداگانه‌ای قرار گیرد، از آن توسط نرم‌افزارهای امنیتی مختلف نظیر دیوار آتش محافظت شده و تنها دسترسی‌های لازم به آن مجاز شمرده شود.
توصیه شماره 39: جلوگیری از آسیب‌پذیری تزریق توسعه‌دهندگان شبکه‌های اجتماعی در نظر داشته باشند که برای جلوگیری از بروز آسیب‌پذیری در برابر حملات تزریق، باید تمام ورودی‌ها اعتبارسنجی شده و در صورت وجود داده‌های دستوری غیرمجاز، اجازه ورود آن‌ها به سامانه داده نشود. از سوی دیگر، کلیه توابع و واسط‌هایی که داده‌های ورودی خود را پردازش کرده و اجرا می‌نمایند، نباید به صورت مستقیم استفاده شوند؛ بلکه باید توسط واسط‌های نرم‌افزاری مناسبی لفافه‌بندی شوند تا ورودی‌ها، پیش از اجرای این توابع اعتبارسنجی و در صورت نیاز، نمادبندی شوند. برای واسط‌های اعتبارسنجی و نمادبندی، بهتر است از ابزارهای متداول و استاندارد استفاده شود و پیاده‌سازی این واسط‌ها به صورت داخلی به هیچ عنوان توصیه نمی‌شود.
توصیه شماره 40: امنیت احراز اصالت و مدیریت نشست توسعه‌دهندگان شبکه‌های اجتماعی موظفند برای احراز اصالت و مدیریت نشست وب‌گاه خود، از ابزارها و روش‌های شناخته‌شده، متداول و امن استفاده نمایند؛ به شکلی که نیازمندی‌های زیر برآورده شوند: 1. کمترین میزان از اطلاعات حساس کاربر در نشست وی ذخیره شود. 2. تولید شناسه نشست توسط روش‌های امن تولید مقدار تصادفی انجام شود. 3. شناسه نشست فقط از طریق کوکی تبادل شده و در آدرس، سرآیند درخواست و پارامتر‌های متفرقه ارسال نشود.
توصیه شماره 41: جلوگیری از آسیب‌پذیری نبشته سایت قلابی (XSS) توسعه‌دهندگان شبکه‌های اجتماعی، باید پیش از نمایش محتوای هریک از صفحات وب، تمامی فیلدهایی که به عنوان ورودی به سامانه داده شده‌اند را اعتبارسنجی و نمادبندی کنند تا امکان تزریق نبشته‌های اجرایی به هیچ‌یک از صفحات وب‌گاه وجود نداشته باشد. برای واسط‌های اعتبارسنجی و نمادبندی، بهتر است از ابزارهای متداول و استاندارد استفاده شود و پیاده‌سازی این واسط‌ها به صورت داخلی به هیچ عنوان توصیه نمی‌شود.
توصیه شماره 42: جلوگیری از جعل درخواست بین‌سایتی (CSRF) لازم است توسعه‌دهندگان شبکه‌های اجتماعی، با استفاده از مکانیزم‌های متداول، شناخته‌شده و امن، نسبت به جلوگیری از حملات CSRF اقدام نمایند. تشخیص امنیت مکانیزم مورد استفاده، بر اساس نظرات و تحلیل‌های علمی است که توسط متخصصان و فعالان حوزه امنیت ارائه می‌شود. همچنین شایان ذکر است، پیاده‌سازی مکانیزم مقابله با CSRF در داخل سازمان، به هیچ عنوان توصیه نمی‌گردد. توکن‌های امنیتی برای مقابله با CSRF: روشی که برای مقابله با CSRF پیشنهاد می‌شود، تولید توکن‌های امنیتی، ارسال آن‌ها به همراه اطلاعات جلسه برای کاربر و اعتبارسنجی توکن در کنار هر درخواست است. در پیاده‌سازی این روش توجه به نکات زیر ضروری است: 1. تولید توکن باید با روش‌های امن و استاندارد تولید مقدار تصادفی انجام شود. 2. توکن باید تاریخ انقضا داشته باشد و طول عمر آن، از حد زمان معمول یک جلسه تجاوز نکند. 3. هر درخواستی که منجر به اعمال تغییرات حساس در وب‌گاه شود، باید همراه با توکن صحیح باشد.

توصیه شماره 1: کنترل محتوای مطالب کاربران

شبکه‌های اجتماعی باید دارای مکانیزم‌هایی برای کنترل محتوای مطالب کاربران باشند؛ به گونه‌ای که در صورت شناسایی محتوای مجرمانه و یا مغایر با قوانین شبکه، بتوان در اسرع وقت آن را حذف کرد. این مکانیزم‌ها باید در داخل سامانه اصلی (و نه به صورت افزونه یا امکانات جانبی) قرار گیرند.
راه‌کار اول: پیاده‌سازی امکان گزارش محتوای نامناسب یا کاربر متخلف برای کلیه کاربران و بازدیدکنندگان شبکه و تخصیص نیروی انسانی مناسب برای رسیدگی دوره‌ای (ترجیحا روزمره) به این گزارش‌ها و حذف محتوای نامناسب و تعلیق یا اخراج کاربر متخلف بر اساس قوانین مصوب شبکه.
راه‌کار دوم: تخصیص نیروی انسانی مناسب برای مشاهده و بررسی مطالب کاربران، پیش از انتشار در شبکه و تایید یا رد انتشار آن‌ها (در مواردی که وجود محتوای مجرمانه یا غیرمجاز در شبکه، حتی برای مدت‌زمان کوتاه قابل پذیرش نیست و یا محتوایی که در بخش‌های حساس و پربازدید قرار دارد).
راه‌کار پیشرفته: استفاده از الگوریتم‌های تشخیص خودکار محتوای مجرمانه و نشانه‌گذاری آن‌ها، علاوه بر تخصیص نیروی انسانی مناسب جهت کنترل نتایج و آموزش و بهبود الگوریتم‌ها.

توصیه شماره 2: آشنایی با قانون جرائم رایانه‌ای

مدیران و توسعه‌دهندگان شبکه‌های اجتماعی داخلی باید پیش از شروع به هرگونه فعالیت در خصوص راه‌اندازی شبکه اجتماعی یا هر کسب‌وکار رایانه‌ای دیگر، متن کامل قانون جرائم رایانه‌ای کشور را به دقت مطالعه کرده، از محتوای آن آگاه شده و تعهد به اجرای آن دهند. همچنین در زمان تولید و حیات سامانه باید الزاماتی که در این قانون برای متولیان وب‌گاه‌ها مشخص شده است را فراهم نمایند.

توصیه شماره 3: منع دسترسی به اطلاعات ورود کاربران

اطلاعات ورود کاربران نظیر متن گذرواژه، محتوای داخل توکن امنیتی و هر داده‌ای که می‌توان با آگاهی از آن وارد سامانه شد، دارایی شخصی کاربر محسوب شده، به کلی محرمانه بوده و تحت هیچ شرایطی نباید توسط هیچ‌یک از کارکنان شبکه اجتماعی قابل رؤیت باشد. هر فرآیند یا پردازشی در سامانه که نیاز به مشاهده اطلاعات ورود کاربران داشته باشد، غیرمجاز بوده و باید به گونه‌ای بازطراحی شود که این نیاز از آن حذف شود.
ورود به حساب کاربر: برای مشاهده اطلاعات یک کاربر خاص توسط مدیر شبکه جهت توسعه، رفع ایرادات و بهبود سامانه، می‌توان ضمن حفظ امنیت سامانه و حریم خصوصی کاربران، پای‌بندی به سیاست‌ها و قوانین و اعلام قبلی به کاربر، امکاناتی فراهم کرد تا مدیر بدون آگاهی از گذرواژه کاربر، بتواند وارد حساب کاربری او شده و یا صفحات را مشابه آن‌چه برای وی نمایش داده می‌شود، مشاهده کند.

توصیه شماره 4: شرایط میزبانی داخلی از شبکه اجتماعی

در صورتی که میزبانی از نرم‌افزار یا داده‌های شبکه اجتماعی به صورت داخلی انجام شده و برون‌سپاری نشود، متولی شبکه اجتماعی موظف است در حکم ارائه‌دهنده خدمات میزبانی، الزامات مطرح در مواد ۳۲ الی ۵۱ قانون جرائم رایانه‌ای و همچنین الزامات موجود در آیین‌نامه جمع‌آوری ادله الکترونیکی را رعایت کرده و نسبت به ذخیره اطلاعات تا مدت‌زمان مقرر در قانون و همکاری با مراجع قضایی در خصوص حفظ، توقیف، تفتیش و شنود اطلاعات یا سامانه‌ها اقدام کند.

توصیه شماره 5: ارائه اطلاعات به مراجع قضایی

در راستای اجرای ماده ۳۱ آیین‌نامه جمع‌آوری ادله الکترونیکی، در صورت صدور حکم قضایی برای حفظ، توقیف، تفتیش یا شنود اطلاعات یا سامانه‌های یک شبکه اجتماعی، متولی آن موظف است اقدامات لازم در جهت ارائه دسترسی به اطلاعات یا سامانه‌های مذکور در احکام قضایی صادره را انجام داده و با مجریان قضایی مربوطه همکاری کند.

توصیه شماره 6: ثبت‌نام در سامانه ساماندهی پایگاه‌های اینترنتی

متولیان شبکه‌های اجتماعی موظف هستند تارنمای مربوط به شبکه اجتماعی خود را نزد واحدهایی که قوانین و ضوابط اجرایی معرفی کرده‌اند، نظیر سامانه ساماندهی پایگاه‌های اینترنتی، متعلق به مرکز فناوری اطلاعات و رسانه‌های دیجیتال به ثبت برسانند.

توصیه شماره 7: آگاهی از قانون تجارت الکترونیکی

متولیان شبکه‌های اجتماعی باید پیش از شروع فعالیت‌های اجرایی خود، نسبت به آگاهی از قانون تجارت الکترونیکی اقدام کرده و در مدت‌زمان توسعه و فعالیت شبکه اجتماعی، الزامات موجود در این قانون را رعایت نمایند. بخش‌های مرتبط با رعایت حقوق مؤلف، قواعد تبلیغ و نشان‌های تجاری از جمله مواردی هستند که احتمال مواجهه شبکه‌های اجتماعی با آن‌ها بیشتر بوده و در نتیجه توجه ویژه‌ای طلب می‌کنند. تبصره: ممکن است بخش‌هایی از قانون تجارت الکترونیکی، در یک برهه زمانی، به دلیل نبود زیرساخت‌ها و امکانات لازم قابل اجرا نبوده و موقتا لازم‌الاجرا نباشد. در چنین مواردی، متولیان شبکه‌های اجتماعی باید در نظر داشته باشند که به محض فراهم‌آمدن شرایط لازم و اعلام مراجع ذی‌صلاح مبنی بر لزوم رعایت این بندها، اقدامات لازم در جهت تحقق این الزامات را به انجام برسانند.

توصیه شماره 8: آگاهی و پای‌بندی به الزامات پلیس فتا

متولیان شبکه‌های اجتماعی موظفند پیش از شروع فعالیت‌های اجرایی در راستای تولید و توسعه شبکه اجتماعی خود، با مراجعه به پایگاه اطلاع‌رسانی پلیس فتا از قوانین جاری و ابلاغیه‌های این نهاد پلیس آگاهی یافته و الزامات اعلام‌شده توسط آن را رعایت کنند. همچنین در تمام طول حیات سامانه، باید فرآیند آگاهی از آخرین وضعیت قوانین و الزامات این نهاد پلیس را به صورت دوره‌ای تکرار نمایند.

توصیه شماره 9: دریافت گواهی‌نامه رسمی

متولیان شبکه‌های اجتماعی موظفند ملزومات قانونی را برای سامانه خود تهیه کنند. منظور از ملزومات قانونی، گواهی‌نامه، نشان اطمینان یا هر تاییدیه رسمی دیگری است که اخذ آن برای واحدهای فنی یا تجاری که شامل شبکه‌های اجتماعی می‌شوند، توسط قانون یا مراجع ذی‌صلاح الزامی شده باشد. مجموعه این ملزومات ممکن است در طول زمان و به فراخور قوانین جدید تغییر یابد. نماد اعتماد الکترونیکی: در حال حاضر نماد اعتماد الکترونیکی که توسط مرکز تجارت الکترونیکی، وابسته به وزارت صنعت، معدن و تجارت صادر می‌شود، تنها گواهی‌نامه‌ای است که بر اساس قانون و توسط نهادهای دولتی و پلیس فتا برای کسب‌وکارهای رایانه‌ای الزامی شناخته شده است.

توصیه شماره 10: کسب استاندارد ISO 27001

شایسته است که متولیان شبکه‌های اجتماعی نسبت به آشنایی و در صورت علاقه‌مندی، کسب استاندارد بین‌المللی ISO/IEC 27001 اقدام کنند. این امر می‌تواند به صورت مستقیم و یا از طریق شرکت‌های مشاور در این حوزه انجام شود. کسب استاندارد ISO/IEC 27001 به خصوص برای سازمان‌ها و شرکت‌های بزرگ که قصد برپایی شبکه‌های اجتماعی سازمانی دارند توصیه می‌گردد.

توصیه شماره 11: شناسایی دارایی‌ها

بر اساس استاندارد ISO/IEC 27002، متولیان شبکه‌های اجتماعی موظفند تا دارایی‌های خود را شناسایی و فهرست کرده، برای هرکدام فرد یا افرادی را تحت عنوان صاحب مشخص کرده و مسئولیت‌های مرتبط با دارایی را به صاحب آن تخصیص دهند. منظور از دارایی، هر چیزی است که دارای اهمیت باشد؛ اطلاعات، نرم‌افزار، سخت‌افزار، خدمات و افراد.

توصیه شماره 12: دسته‌بندی دارایی‌ها

مطابق با استاندارد ISO/IEC 27002، متولیان شبکه‌های اجتماعی وظیفه دارند دارایی‌های فهرست‌شده را با توجه به حساسیت آن‌ها و منطبق با نیازمندی‌های قانونی و سیاست‌های امنیتی خود دسته‌بندی کنند. همچنین دارایی‌ها در صورت تغییر مقدار، افزایش یا کاهش اهمیت، تغییر قوانین و سیاست‌ها و به صورت دوره‌ای دسته‌بندی می‌شوند.

توصیه شماره 13: مدیریت رسانه‌ها

متولیان شبکه‌های اجتماعی موظف هستند رسانه‌ها و حامل‌های اطلاعاتی خود را بر اساس دستورالعمل استاندارد ISO/IEC 27002، مدیریت کنند. هرگونه رسانه‌ای که به عنوان دارایی سازمان یا شرکت متولی شبکه اجتماعی تلقی شود و یا داده‌هایی بر روی آن ذخیره شود که جزو دارایی‌های مجموعه باشند، مشمول این الزام خواهد بود. این الزام به خصوص زمانی اهمیت ویژه پیدا می‌کند که داده‌های شبکه اجتماعی در داخل مجموعه میزبانی شوند.

توصیه شماره 14: نگه‌داری از دارایی‌ها در مناطق حفاظت‌شده

بر اساس استاندارد ISO/IEC 27002، متولیان شبکه‌های اجتماعی باید بر اساس مفاد سیاست‌های امنیتی خود و مطابق با قوانین و ضوابط اجرایی، مکان‌هایی را به عنوان منطقه حفاظت‌شده تعبیه کرده و دارایی‌های حساس خود را تنها در این مناطق نگه‌داری نمایند. تجهیزات لازم و سطح امنیت قابل قبول برای این مناطق یا بر اساس قوانین و ضوابط اجرایی مصوب از سوی مراجع ذی‌صلاح مشخص می‌شود و یا به عهده خود متولی است. به طور ویژه، شبکه‌های اجتماعی که قصد دارند از کارگزارها و داده‌های خود به صورت داخلی میزبانی کنند، لازم است تمامی کارگزارها و میزبان‌های پایگاه‌داده خود را در رده دارایی‌های حساس طبقه‌بندی کرده و آن‌ها را در مناطق حفاظت‌شده، با شرایط محیطی مناسب نگه‌داری کنند.

توصیه شماره 15: ثبت و کنترل دسترسی کاربران

مطابق با سند استاندارد ISO/IEC 27002، متولیان شبکه‌های اجتماعی باید بستری فراهم کنند تا در آن، برای هر منبع داده‌ای یا هر خدمت سامانه، دسترسی‌های مناسب تعریف شده و اجرای هر عملی بر روی منبع مذکور، نیازمند داشتن دسترسی مرتبط باشد. همچنین مدیران سامانه باید در این بستر تعریف شده و دسترسی‌های لازم به آن‌ها اعطا شود. سطوح دسترسی اعطا‌شده به مدیران باید به صورت دوره‌ای مورد بازبینی قرار گرفته و در صورت تشخیص مبنی بر عدم نیاز یک کاربر به یک دسترسی خاص، در اسرع وقت دسترسی مربوطه از وی بازپس‌گیری شود. دسترسی کاربران عادی شبکه اجتماعی به اطلاعات باید بر اساس سیاست‌های امنیتی باشد و این سیاست‌ها نیز به صورت دوره‌ای به‌روزرسانی شوند.

توصیه شماره 16: اصل کمینه اطلاعات و دسترسی

بر اساس الزام ISO/IEC 27002، مدیران و کارکنان شبکه‌های اجتماعی باید به کمینه اطلاعات لازم دسترسی داشته و از کمترین حد دسترسی لازم برخوردار باشند. منظور از کمینه اطلاعات لازم، کمترین حدی از اطلاعات است که بدون آگاهی از آن‌ها، امکان اجرای وظیفه و یا استفاده از خدمات مجاز سامانه برای فرد وجود نداشته باشند. کمترین دسترسی هم به معنی دسترسی به منابعی است که برای استفاده از خدمات سامانه و یا انجام وظایف به آن‌ها نیاز است.

توصیه شماره 17: پیاده‌سازی بستر مدیریت دسترسی

شبکه‌های اجتماعی باید بستر مدیریت دسترسی خود را به گونه‌ای پیاده‌سازی کنند تا مطابق با استاندارد ISO/IEC 27002، گزینه مدیریت دسترسی‌ در آن به صورت صریح و مستقل وجود داشته باشد، برای انواع اطلاعات دسترسی‌های لازم تعریف شود و کاربران پیش از دسترسی به منابع احراز هویت شده باشند. برنامه‌های کاربردی که به سامانه متصل شده و امکان بازنویسی دسترسی‌ها را دارند باید به صورت دقیق شناسایی و احراز هویت شوند، حدود اختیارات آن‌ها کنترل و محدود شده و تمامی فعالیت‌های آن‌ها به صورت کامل واقعه‌نگاری شود تا قابل ردیابی باشد.

توصیه شماره 18: فرآیند ثبت‌نام کاربران

فرآیند ثبت‌نام در شبکه‌های اجتماعی باید منطبق با الزامات موجود در سند استاندارد ISO/IEC 27002 باشد؛ شرایط و ضوابط عضویت در سامانه به شکلی سازگار با قوانین و سیاست‌های امنیتی تدوین شوند، به صورت واضح در معرض دید کاربر قرار بگیرند، کاربر متقاضی به صراحت اعلام کند که این شرایط را مطالعه کرده و پذیرفته است و پیش از تکمیل ثبت‌نام کاربر، با سازوکاری مشخص و قابل قبول از نظر سیاست‌های امنیتی و قوانین، هویت و صحت اطلاعات وی تایید شود.
راه‌کار عمومی: ساده‌ترین روش برای تایید اطلاعات کاربران که در صورت نبود روش‌های پیشرفته‌تر، شبکه‌های اجتماعی ملزم به اجرای آن هستند، ارسال شماره فعال‌سازی به تلفن همراه کاربر و یا ارسال رایانامه‌ای حاوی پیوندی برای فعال‌سازی برای وی است.
راه‌کار سازمانی: روش‌های پیشرفته‌تری که سازمان‌ها و شرکت‌ها می‌توانند از آن‌ها استفاده کنند، تایید اطلاعات کاربران بر اساس تطبیق با پایگاه‌های داده موجود و یا استعلام اطلاعات از مراجع ذی‌صلاح است. در صورت نیاز قانونی یا تاکید سیاست‌های امنیتی بر استفاده از این‌گونه روش‌ها، استفاده از راه‌کار عمومی به تنهایی کفایت نکرده و لازم است از روش‌های قابل قبول استفاده شود. این مورد به صورت ویژه، اشاره به شبکه‌های اجتماعی سازمانی داشته و در مورد آن‌ها توصیه می‌شود.

توصیه شماره 19: احراز هویت کاربران

بر اساس استاندارد ISO/IEC 27002، شبکه‌های اجتماعی باید سازوکاری برای احراز هویت کاربران خود داشته باشند. این سازوکار باید به گونه‌ای پیاده‌سازی شده باشد که از ورود کاربران غیرمجاز جلوگیری کرده، پیش از احراز هویت و در حین آن کمترین اطلاعات از سامانه فاش شده و اطلاعات ورود کاربران محرمانه بوده و قابل مشاهده و شنود نباشد.
تایید دو مرحله‌ای: شبکه‌های اجتماعی می‌توانند از سازوکار تایید دو مرحله‌ای برای افزایش امنیت کاربران خود در زمان احراز هویت استفاده کنند. ابزارهای قابل قبول در تایید دو مرحله‌ای، رایانامه و شماره تلفن همراهی است که کاربر در زمان ثبت‌نام خود اعلام کرده باشد.

توصیه شماره 20: مدیریت گذرواژه‌ها

شبکه‌های اجتماعی موظف هستند گذرواژه کاربران خود را مطابق با الزامات موجود در سند استاندارد ISO/IEC 27002 مدیریت نمایند. کنترل ساختار گذرواژه، امکان تغییر آن توسط کاربر و ذخیره آن به صورت درهم‌سازی‌شده از جمله الزامات مدیریت گذرواژه هستند. شایان ذکر است، هر عبارت محرمانه که برای احراز هویت مورد استفاده قرار بگیرد در حکم گذرواژه است؛ خواه به صورت متن باشد یا به صورت اطلاعات داخل کارت‌های هوشمند، توکن‌های امنیتی یا غیره.
انقضای گذرواژه: یکی از امکاناتی که شبکه‌های اجتماعی می‌توانند برای افزایش امنیت گذرواژه کاربران خود فراهم کنند، انقضای دوره‌ای گذرواژه است. در این روش اگر کاربران در مدت‌زمان معین اقدام به تعویض گذرواژه خود نکنند، گذرواژه آن‌ها به صورت خودکار منقضی شده و ورود مجدد آن‌ها به سامانه منوط به تعویض گذرواژه خود خواهد بود.

توصیه شماره 21: توسعه امن نرم‌افزار

به متولیان شبکه‌های اجتماعی اکیدا توصیه می‌شود تا نرم‌افزارهای خود را به صورت امن توسعه دهند. تولید و توسعه امن نرم‌افزار عبارت است از جذب نیروهای متخصص امنیتی و استفاده از آنان در فرآیند توسعه نرم‌افزار، کسب دانش امنیت نرم‌افزار و آموزش آن به نیروهای فنی و توسعه‌دهندگان، توجه به نیازمندی‌های امنیتی در کنار نیازمندی‌های کیفی دیگر، مدیریت و مهار ریسک‌های امنیتی، معماری و طراحی بر اساس نیازمندی‌های امنیتی استخراج‌شده، پیاده‌سازی امن، مرور کد و آزمون‌های امنیتی و در نهایت، تدوین طرح‌های آمادگی برای پاسخ‌گویی به حوادث امنیتی.
شایان ذکر است، توصیه به تولید امن نرم‌افزار به این معنی نیست که از نرم‌افزارهای آماده استفاده نشود؛ بلکه اظهار می‌دارد، حتی در صورت استفاده از برنامه‌های آماده، اولا آزمون‌های امنیتی مطابق با دستوراتی که در منابع شناخته‌شده امنیت نرم‌افزار وجود دارد، بر روی آن‌ها انجام شود، ثانیا بخش‌هایی از نرم‌افزار که توسط خود مجموعه توسعه می‌یابد و زیرساختی که نرم‌افزارهای آماده را به یکدیگر متصل می‌کند، به صورت امن توسعه یابند و ثالثا به‌روزرسانی‌های امنیتی برای تمامی این نرم‌افزارها مورد توجه قرار گیرد.

توصیه شماره 22: چارچوب توسعه امن

شایسته است تا متولیان شبکه‌های اجتماعی، در صورت اقدام به شروع فرآیند توسعه امن نرم‌افزار، از چارچوب‌های شناخته‌شده و مناسب برای این منظور استفاده نمایند. چارچوبی مناسب محسوب می‌شود که با استفاده از دانش روز امنیت نرم‌افزار طراحی شده باشد، توسط تیم‌های متخصص پشتیبانی شود، استفاده از ابزارهای تخصصی برای آزمون و کنترل کیفی را در دستور کار قرار دهد و با پیشرفت دانش و تولید ابزارهای جدید، به‌روزرسانی شود.

توصیه شماره 23: استفاده از ابزارهای دانش‌محور

مرور دستی کد: شایسته است تا اعضای تیم امنیت نرم‌افزار به صورت دوره‌ای و یا موردی اقدام به مرور کدهای برنامه‌نویسان مختلف نموده، آن‌ها را از ایرادات خود آگاه ساخته و همچنین ضمن مستندسازی موارد شایع، راه‌کارهای پیش‌گیری از آن‌ها را به اطلاع عمومی اعضای تیم برسانند. به خصوص در مورد مؤلفه‌هایی که حساسیت بالاتری دارند، اکیدا توصیه می‌شود تا مرور دستی با جدیت انجام پذیرد.
مرور خودکار کد: برنامه‌نویسان می‌توانند به صورت دوره‌ای (برای مثال، پس از پایان هر روز کاری و یا پایان برنامه‌نویسی یک مؤلفه نرم‌افزاری) اقدام به اجرای ابزارهای مرور امنیتی کرده و از سطح امنیتی کد خود مطلع شوند. تعیین ابزارهای مرور کد به عهده اعضای متخصص در تیم امنیت است؛ با این حال، استفاده از ابزارهای به‌روز و حرفه‌ای، با قابلیت یادگیری و تعامل با کاربر توصیه می‌شود.

توصیه شماره 24: تیم مدیریت دانش امنیتی

توصیه می‌شود تا متولیان شبکه‌های اجتماعی، در حین فرآیند توسعه امن نرم‌افزار خود اقدام به برپایی یک تیم فنی مختص فعالیت‌های مرتبط با حوزه امنیت نرم‌افزار نموده و از نیروهای متخصص و باتجربه به این منظور استفاده نمایند. وظیفه این تیم، کسب دانش و انتقال آن به نیروهای فنی، تشخیص نیازمندی‌های امنیتی و انتخاب ابزارهای امنیتی مناسب برای استفاده در حین تولید نرم‌افزار و تهیه اقلام آموزشی نظیر الگوهای طراحی، برنامه‌نویسی و آزمون امن برای استفاده توسط تیم توسعه خواهد بود.

توصیه شماره 25: آموزش امنیتی برای تیم فنی

متولیان شبکه‌های اجتماعی به منظور بهره‌برداری هرچه بیشتر از فرآیند توسعه امن نرم‌افزار می‌توانند دوره‌های آموزش امنیت برای توسعه‌دهندگان و اعضای فنی تیم خود برگزار نمایند. فهرستی پیشنهادی برای سرفصل دوره‌های آموزشی به شرح زیر است:
1. طراحی امن: شامل اصول نظری امنیت، شناخت سطح بالای تهدیدات و روش‌های دفاعی
2. برنامه‌نویسی امن: شامل آسیب‌پذیری‌های سطح کد، الگوهای برنامه‌نویسی امن و ابزارهای آن
3. آزمون‌های امنیتی: شامل معرفی مفاهیم و ابزارهای آزمون نفوذ و آزمون‌های امنیتی مشابه
4. حریم خصوصی در نرم‌افزار: شناخت اصول حریم خصوصی و الگوهای پیاده‌سازی نرم‌افزاری آن
محتوای آموزشی این دوره‌ها توسط اعضای تیم امنیت که در الزام شماره 24 معرفی شدند تدوین می‌شود.

توصیه شماره 26: مدیریت ریسک

به متولیان شبکه‌های اجتماعی اکیدا توصیه می‌شود تا در صورت اقدام به شروع فرآیند توسعه امن برای تولید نرم‌افزار شبکه اجتماعی خود، از چارچوب مدیریت ریسک برای شناسایی، رتبه‌بندی و مهار ریسک‌های نرم‌افزاری استفاده کرده و به این ترتیب، در تمام طول فرآیند مذکور، پیگیر سطح کیفی امنیت نرم‌افزار خود باشند.
چارچوب پیشنهادی برای مدیریت ریسک که از روش موجود در چارچوب توسعه امن McGraw الگوبرداری کرده به شرح زیر است:
1. فهم محیط کسب‌وکاری: در اولین گام از مدیریت ریسک، شایسته است تا متولیان شبکه‌های اجتماعی، محیط کسب‌وکار شبکه اجتماعی خود را به وسیله ابزارها و روش‌های موجود و متداول تحلیل و شناسایی کرده و مجموعه اهداف کسب‌وکاری تیم تولید و توسعه شبکه اجتماعی را استخراج نمایند.
2. شناسایی ریسک‌های کسب‌وکاری و فنی: در گام دوم از چرخه مدیریت ریسک، باید تمامی ریسک‌های متوجه نرم‌افزار را شناسایی کرده و برای بیان کمی آن‌ها راه‌کاری اندیشید. به این منظور، شایسته است متولیان شبکه‌های اجتماعی ضمن شناسایی ریسک‌های کسب‌وکار، با هم‌فکری کارشناسان فنی و توسعه‌دهندگان، ریسک‌های فنی را نیز شناسایی کرده و بر اساس دانش خود و مراجعه به منابع معتبر، این ریسک‌ها را با راه‌کاری مناسب، به صورت عددی و با معیاری مشابه ریسک‌های کسب‌وکار بیان کنند. خروجی به دست آمده، فهرستی از ریسک‌ها و روشی واحد برای اندازه‌گیری آن‌ها خواهد بود.
3. تشریح و رتبه‌بندی ریسک‌ها: به متولیان شبکه‌های اجتماعی توصیه می‌شود تا پس از شناسایی محیط کسب‌وکار و شناسایی ریسک‌های مختلف که متوجه نرم‌افزار شبکه اجتماعی هستند، «شدت» این ریسک‌ها را بر اساس میزان تهدیدی که برای اهداف کسب‌وکاری ایجاد می‌کنند و همچنین اهمیت اهداف کسب‌وکاری که هدف تهدید قرار گرفته‌اند، محاسبه کنند. سپس فهرستی از ریسک‌ها که بر اساس شدت مرتب شده‌اند، فراهم کرده و برای مراحل بعدی از آن استفاده نمایند.
4. تعیین راهبردهای مهار ریسک: در ادامه فرآیند تحلیل و مدیریت ریسک، شایسته است تا متولیان شبکه‌های اجتماعی، ریسک‌های شناسایی‌شده در مراحل قبل را مورد مطالعه و بررسی قرار داده و مجموعه‌ای از راهبردهای اجرایی برای کاهش این ریسک‌ها تهیه و تدوین نمایند. راهبردهای مذکور به همراه روش‌های ارزیابی میزان موفقیت هریک از آن‌ها به عنوان خروجی این گام تلقی می‌شود.
5. اجرای اصلاحات و ارزیابی: در گام آخر از فرآیند تحلیل و مدیریت ریسک، به متولیان شبکه‌های اجتماعی توصیه می‌شود تا با شروع از شدیدترین ریسک‌ها که در حین اجرای فعالیت‌های مرتبط با گام سوم مشخص شده‌اند، راهبردهای مهار ریسک که در مرحله گذشته تدوین شده‌اند را اجرا نموده و سپس فرآیند تحلیل و مدیریت ریسک را تکرار نمایند. تکرار این فرآیند شامل شناسایی ریسک‌های جدید، اولویت‌بندی مجدد ریسک‌ها، تدوین راهبردهای مهار با توجه به وضعیت کنونی محیط و اجرای اصلاحات متناسب با راهبردهای آتی است.

توصیه شماره 27: مرور کد

توصیه شماره 28: برنامه‌نویسی استاندارد و امن

به منظور تکمیل تلاش تیم متخصص امنیت نرم‌افزار و نهادینه‌سازی برنامه‌نویسی امن در میان تیم توسعه، شایسته است تا متولیان شبکه‌های اجتماعی، از استانداردهای برنامه‌نویسی امن که توسط واحد امنیت تیم خود تدوین شده‌اند حمایت کرده و توسعه‌دهندگان را ملزم به رعایت آن‌ها نمایند. همچنین با حمایت لازم از تیم امنیت، این امکان را برای آنان فراهم کنند تا با مرور کدهای برنامه‌نویسان، ایرادات امنیتی را شناسایی کرده و آن‌ها را ملزم به اصلاح این ایرادات نمایند.

توصیه شماره 29: اجرای آزمون‌های امنیتی

شایسته است تا متولیان شبکه‌های اجتماعی از طراحی و اجرای آزمون‌های امنیتی ریسک‌محور در طول فرآیند توسعه نرم‌افزار حمایت نمایند. تیم امنیت وظیفه طراحی این آزمون‌ها را به عهده دارد که به این منظور، نیازمند نتایج تحلیل ریسک است. اجرای این آزمون‌ها به دست تیم امنیت و با همکاری برنامه‌نویسان و اعضای تیم توسعه انجام می‌شود و نتایج آن پس از تحلیل، باعث به‌روزرسانی وضعیت ریسک‌ها شده و همچنین دستورات و توصیه‌های تازه‌ای را برای برنامه‌نویسان ایجاب خواهد کرد. حمایت از اجرای این فرآیند، پیش‌گیری از مقاومت‌های احتمالی و مدیریت ارتباط صحیح میان بخش‌های درگیر وظیفه‌ای است که متولیان شبکه‌های اجتماعی به عهده خواهند داشت.

توصیه شماره 30: آزمون نفوذ

متخصصین امنیت که در فرآیند تولید نرم‌افزار همکاری دارند، می‌توانند با بررسی وضعیت امنیتی نرم‌افزار در حال تولید و همچنین روش‌ها و ابزارهای در دسترس، ابتدا ابزارها، سناریوها و مؤلفه‌های هدف برای آزمون نفوذ را تعیین کرده و سپس اقدام به اجرای آزمون‌های نفوذ نمایند. ابزارها و روش‌ها باید متعارف و کارآمد باشند و کسانی که برای اجرای آزمون نفوذ انتخاب می‌شوند، باید از دانش کافی در این زمینه برخوردار بوده و حتی‌الامکان، از خارج مجموعه تولید و توسعه نرم‌افزار انتخاب شده باشند.

توصیه شماره 31: برنامه جامع پاسخ‌گویی به حوادث امنیتی

به متولیان شبکه‌های اجتماعی توصیه می‌شود تا به منظور تکمیل و ثمربخشی تلاش‌های سازمان خود در راستای اجرای فرآیند توسعه امن نرم‌افزار، برنامه‌های اجرایی جامعی تدوین کرده و یا در صورت توانایی، تیم‌های فنی متخصص تشکیل دهند تا مدیریت پاسخ‌گویی به حوادث امنیتی برای نرم‌افزار شبکه اجتماعی را به آن‌ها واگذار نمایند. نتیجه اجرای این فعالیت‌ها، تشکیل روندهای اجرایی و تعیین مسئولیت‌های مرتبط با اجرای آن‌ها هستند، به گونه‌ای که در کوتاه‌ترین زمان و با کمترین هزینه، بتوان نرم‌افزاری که مورد حمله قرار گرفته و یا دچار نقص امنیتی شده است را به حالت اجرایی بازگرداند.

توصیه شماره 32: انتخاب سیستم‌عامل برای رایانه میزبان

باید بر روی رایانه‌هایی که به عنوان میزبان برای پایگاه‌داده و یا نرم‌افزار شبکه اجتماعی در نظر گرفته شده‌اند، سیستم‌عاملی نصب کرد که از نظر امنیتی مورد تایید عموم و افراد متخصص امنیت باشد. همچنین تیم‌های فنی گسترده و باتجربه‌ای برای پیگیری آسیب‌پذیری‌های آن و ارائه مستمر اصلاحات و بسته‌های به‌روزرسانی برای آن فعالیت نمایند. ضمن آن‌که باید نسخه مورد استفاده، توسط تولیدکننده به عنوان نسخه مناسب برای استفاده در کارگزار معرفی شده باشد و شامل ابزارهای لازم و شناخته‌شده باشد؛ برای مثال ابزار مدیریت کاربران، کنترل دسترسی به منابع و مدیریت واسط‌ها و ارتباطات شبکه.

توصیه شماره 33: تنظیمات امنیتی سیستم‌عامل

1. سیستم‌عامل رایانه‌های میزبان و همچنین نرم‌افزارهای نصب‌شده بر روی آن باید بر اساس برنامه‌ای مدون، به صورت متناوب از لحاظ به‌روزرسانی بررسی شده و بسته‌های به‌روزرسانی امنیتی که توسط تولیدکنندگان این محصولات عرضه می‌شوند، در اسرع وقت دریافت شده و نصب شوند.
2. باید برای کاربران مختلفی که نیاز به استفاده از سیستم‌عامل کارگزار دارند، نقش‌ها و سطوح دسترسی لازم به منابع موجود بر روی رایانه میزبان مشخص شده و به برای هرکدام به صورت مجزا بر روی سیستم‌عامل نام کاربری مشخصی تخصیص یابد. سطح دسترسی هر کاربر بر روی حداقل لازم تنظیم شود و از فعالیت‌های کاربران و اعمال تغییرات آن‌ها بر روی منابع، واقعه‌نگاری شود.
3. در نهایت باید تمامی فایل‌ها و نرم‌افزارهای مرتبط با وب‌گاه شبکه اجتماعی، در مسیرهای مناسبی از حافظه ثانویه، ذخیره و نصب شده و حداقل دسترسی لازم به هریک از آن‌ها داده شود. به این ترتیب می‌توان احتمال تغییر غیرمجاز در فایل‌ها و نرم‌افزارهای شبکه اجتماعی را تا حد ممکن کاهش داد.

توصیه شماره 34: نرم‌افزارهای امنیتی و دیوار آتش

رایانه‌های میزبان شبکه اجتماعی باید توسط نرم‌افزارهای استاندارد و قابل اطمینان دیوار آتش محافظت شوند. نرم‌افزاری برای دیوار آتش مناسب است که توسط تیم‌های فنی معتبری پشتیبانی شده و در میان متخصصین حوزه امنیت، شناخته‌شده بوده و از نظر کیفی مورد تایید باشد. دیوار آتش را باید به گونه‌ای پیکربندی کرد تا کمترین تعداد از درگاه‌های ورودی و خروجی، فقط به منظور رفع نیازمندی نرم‌افزارهای شبکه اجتماعی (که بر اساس اسناد نیازمندی‌ها و سیاست‌های امنیتی مشخص خواهد شد) باز بوده و درگاه‌های دیگر به کلی مسدود باشند؛ ضمن آن‌که باید به صورت برنامه‌ریزی‌شده، به‌روزرسانی شود. همچنین نرم‌افزارهای امنیتی مثل ضدبدافزار مناسب باید مورد استفاده قرار بگیرند. نرم‌افزاری مناسب استفاده است که پشتیبانی فنی داشته باشد، نسخه اصل بوده و به دلیل قفل‌شکسته بودن، دارای حفره‌های امنیتی نباشد، امکان به‌روزرسانی آن وجود داشته باشد و به صورت مدون و متناوب به‌روزرسانی شود.

توصیه شماره 35: امنیت کارگزار وب

نرم‌افزاری که برای کارگزاری وب در رایانه میزبان راه‌اندازی می‌شود، باید از نظر امنیتی مورد تایید بوده و عاری از آسیب‌پذیری‌های حاد امنیتی باشد، توسط شرکت معتبری تولید شده و پشتیبانی شود و در نهایت، به صورت مداوم و بر اساس برنامه‌ریزی قبلی، به‌روزرسانی شود.
همچنین تنظیمات کنترل دسترسی، پروتکل‌های رمزنگاری و دیگر موارد امنیتی در آن باید به گونه‌ای باشد که امکان دسترسی به مسیرهای غیرمجاز برای کاربران را به کلی مسدود نموده و در صورت لزوم استفاده از پروتکل‌های رمزنگاری، اطلاعات را با الگوریتم‌های رمزنگاری امن و معتبر، رمز کند.

توصیه شماره 36: رمزنگاری ارتباطات شبکه

ارتباطاتی که از طریق شبکه‌های عمومی نظیر اینترنت با رایانه‌های میزبان شبکه اجتماعی انجام می‌شود، باید به صورت رمزنگاری‌شده و همراه با مکانیزم‌های تامین یکپارچگی و احراز اصالت باشد. روش‌های رمزنگاری و همچنین مکانیزم‌های امنیتی دیگر که در این ارتباطات مورد استفاده قرار می‌گیرند، باید از دید نهادهای امنیتی شناخته‌شده و معتبر، مورد تایید بوده و استاندارد باشند.
پروتکل TLS: پس از انتشار استاندارد RFC 7568 مبنی بر منسوخ‌شدن نسخه سوم SSL، تنها روش معتبر برای ارتباطات امن تحت شبکه، استفاده از پروتکل TLS است و تا زمانی که جایگزینی برای این روش معرفی نشده و توسط مراجع ذی‌صلاح، تایید نشده است، استفاده از TLS الزامی است.
توجه: پیاده‌سازی پروتکل‌های مذکور در داخل سازمان، ممنوعیتی ندارد اما به هیچ عنوان توصیه نمی‌شود.

توصیه شماره 37: دریافت گواهی هویت برای وب‌گاه

متولیان شبکه‌های اجتماعی، باید ارتباطات وب‌گاه شبکه اجتماعی خود را بر روی پروتکل‌های امن (نظیر HTTPS) قرار داده و برای آن، گواهی هویت تهیه کنند. گواهی‌نامه اخذشده باید در پروتکل انتخابی در الزام شماره 36 قابل استفاده بوده و همچنین مرورگرهای وب متداول و پراستفاده، از آن پشتیبانی نمایند.
گواهی‌نامه X.509: در نسخه‌های ۱.۰، ۱.۱ و ۱.۲ از پروتکل TLS که در الزام شماره 36 معرفی شد، تنها گواهی‌نامه X.509 مجاز شمرده شده است. بنابراین تا زمانی که جایگزینی برای آن معرفی نشده است، دریافت گواهی‌نامه‌هایی از این دسته برای وب‌گاه‌های شبکه‌های اجتماعی الزامی است.

توصیه شماره 38: امنیت کارگزار پایگاه‌داده

مدیران فنی شبکه‌های اجتماعی که مسئولیت طراحی، مدیریت و نگه‌داری پایگاه‌های داده را دارند، موظف هستند برای تامین امنیت پایگاه‌داده، شرایط زیر را فراهم نمایند:
1. برای سامانه مدیریت پایگاه‌داده، گزینه‌ای را انتخاب نمایند که از نظر قوت تیم توسعه و پشتیبانی، مکانیزم‌های امنیتی پیاده‌سازی‌شده، ابزارهای کنترل دسترسی، امکان به‌روزرسانی و دیگر جنبه‌های امنیتی، در جامعه فنی مقبولیت داشته و از متخصصین حوزه امنیت امتیاز خوبی به دست آورده باشد.
2. پس از انتخاب نرم‌افزار پایگاه‌داده، برای استفاده از آن کاربرانی با سطوح دسترسی مختلف تعریف کنند و تنظیمات امنیتی پایگاه‌داده را با دقت و به گونه‌ای انجام دهند که تنها دسترسی‌های لازم برای کاربران وجود داشته باشد و از دسترسی‌های بیش از حد جلوگیری شود.
3. نرم‌افزار پایگاه‌داده را به صورت مستمر و به شکل برنامه‌ریزی‌شده به‌روزرسانی نمایند.
4. داده‌ها را به شکلی طبقه‌بندی کرده و در پایگاه‌داده قرار دهند که بخش‌های مختلف سامانه، تا حد امکان از یکدیگر جدا بوده و اجازه دسترسی به آن‌ها نیز، به صورت جداگانه به کاربران لازم اعطا شود.
5. کارگزار پایگاه‌داده را به گونه‌ای برپا کنند که کمترین سطح دسترسی لازم از خارج به آن وجود داشته باشد. در صورتی که نیاز است پایگاه‌داده بر روی میزبان جداگانه‌ای قرار گیرد، از آن توسط نرم‌افزارهای امنیتی مختلف نظیر دیوار آتش محافظت شده و تنها دسترسی‌های لازم به آن مجاز شمرده شود.

توصیه شماره 39: جلوگیری از آسیب‌پذیری تزریق

توسعه‌دهندگان شبکه‌های اجتماعی در نظر داشته باشند که برای جلوگیری از بروز آسیب‌پذیری در برابر حملات تزریق، باید تمام ورودی‌ها اعتبارسنجی شده و در صورت وجود داده‌های دستوری غیرمجاز، اجازه ورود آن‌ها به سامانه داده نشود. از سوی دیگر، کلیه توابع و واسط‌هایی که داده‌های ورودی خود را پردازش کرده و اجرا می‌نمایند، نباید به صورت مستقیم استفاده شوند؛ بلکه باید توسط واسط‌های نرم‌افزاری مناسبی لفافه‌بندی شوند تا ورودی‌ها، پیش از اجرای این توابع اعتبارسنجی و در صورت نیاز، نمادبندی شوند.
برای واسط‌های اعتبارسنجی و نمادبندی، بهتر است از ابزارهای متداول و استاندارد استفاده شود و پیاده‌سازی این واسط‌ها به صورت داخلی به هیچ عنوان توصیه نمی‌شود.

توصیه شماره 40: امنیت احراز اصالت و مدیریت نشست

توسعه‌دهندگان شبکه‌های اجتماعی موظفند برای احراز اصالت و مدیریت نشست وب‌گاه خود، از ابزارها و روش‌های شناخته‌شده، متداول و امن استفاده نمایند؛ به شکلی که نیازمندی‌های زیر برآورده شوند:
1. کمترین میزان از اطلاعات حساس کاربر در نشست وی ذخیره شود.
2. تولید شناسه نشست توسط روش‌های امن تولید مقدار تصادفی انجام شود.
3. شناسه نشست فقط از طریق کوکی تبادل شده و در آدرس، سرآیند درخواست و پارامتر‌های متفرقه ارسال نشود.

توصیه شماره 41: جلوگیری از آسیب‌پذیری نبشته سایت قلابی (XSS)

توسعه‌دهندگان شبکه‌های اجتماعی، باید پیش از نمایش محتوای هریک از صفحات وب، تمامی فیلدهایی که به عنوان ورودی به سامانه داده شده‌اند را اعتبارسنجی و نمادبندی کنند تا امکان تزریق نبشته‌های اجرایی به هیچ‌یک از صفحات وب‌گاه وجود نداشته باشد.
برای واسط‌های اعتبارسنجی و نمادبندی، بهتر است از ابزارهای متداول و استاندارد استفاده شود و پیاده‌سازی این واسط‌ها به صورت داخلی به هیچ عنوان توصیه نمی‌شود.

توصیه شماره 42: جلوگیری از جعل درخواست بین‌سایتی (CSRF)

لازم است توسعه‌دهندگان شبکه‌های اجتماعی، با استفاده از مکانیزم‌های متداول، شناخته‌شده و امن، نسبت به جلوگیری از حملات CSRF اقدام نمایند. تشخیص امنیت مکانیزم مورد استفاده، بر اساس نظرات و تحلیل‌های علمی است که توسط متخصصان و فعالان حوزه امنیت ارائه می‌شود. همچنین شایان ذکر است، پیاده‌سازی مکانیزم مقابله با CSRF در داخل سازمان، به هیچ عنوان توصیه نمی‌گردد.
توکن‌های امنیتی برای مقابله با CSRF: روشی که برای مقابله با CSRF پیشنهاد می‌شود، تولید توکن‌های امنیتی، ارسال آن‌ها به همراه اطلاعات جلسه برای کاربر و اعتبارسنجی توکن در کنار هر درخواست است. در پیاده‌سازی این روش توجه به نکات زیر ضروری است:
1. تولید توکن باید با روش‌های امن و استاندارد تولید مقدار تصادفی انجام شود.
2. توکن باید تاریخ انقضا داشته باشد و طول عمر آن، از حد زمان معمول یک جلسه تجاوز نکند.
3. هر درخواستی که منجر به اعمال تغییرات حساس در وب‌گاه شود، باید همراه با توکن صحیح باشد.

مقصد:
تصویر امنیتی:

امروز	: 776
دیروز	: 481
مجموعا	: 3818367

ارسال ایمیل

فهرست توصیه‌های امنیت نرم‌افزار در شبکه‌های اجتماعی

توصیه شماره 5: ارائه اطلاعات به مراجع قضایی