🌎جزئیات کامل امنیت سیستم

امنیت سیستم چگونه تامین می شود؟

در دنیای ارزهای دیجیتال امنیت حرف اول را می زند. ما اقدامات بسیار پیشرفته ای برای محافظت از داده های کاربران، تراکنشها و وجوه داخل پلتفرم انجام داده ایم. تست های امنیتی به طور مداوم برای بهبود امنیت نرم افزار، روی سیستم انجام می شود. ولت اختصاصی، احراز هویت چندلایه، رمزنگاری، ممیزی های امنیتی منظم، ذخیره سازی سرد دارایی‌ها، تعدادی از اقداماتی است که برای اطمینان از ایمنی دیتای کاربران اجرا می‌کنیم. بعضی از شرکت ها ادعا دارند که سایت آنها غیرقابل هک است. این ادعا در دنیای نرم افزار غیر حرفه‌ای است. تمام سایت های دنیا قابلیت هک دارند. سایت های بزرگی مثل بانک‌ها، سایت های دولتی و امنیتی، سایت بایننس و… تجربه حملات هکری را داشته‌اند. سوال درست این است که چه اقدامات امنیتی برای جلوگیری از هک شدن روی سیستم ما انجام شده است یا در صورت هک شدن چه اتفاقی برای دارایی و اطلاعات کاربران سیستم می‌افتد؟

سوال اول

ما در حال حاضر چه اقدامات امنیتی انجام داده ایم که هک شدن سیستم را سخت می کند؟

دریافت مهمترین گواهی نامه بین المللی ایزو

(ISO/IEC 27001: Information Security Management System)

اجرای استاندارهای بین المللی  ازجمله Open Web Application Security Project (OWASP)

زیرساخت منحصر به فرد توکن‌های ورود و ثبت نام

تست امنیت سیستم به صورت دوره‌ای

معماری چند لایه دیتابیس و ولت

لینک IP ها و همچنین OTP برای بخش های مخلتف سیستم

سوال دوم

در صورت هک شدن چه اتفاقی برای اطلاعات و دارایی های سایت می افتد؟

تمام دارایی های و اطلاعات مهم سیستم کاملا هش شده است. پس در صورت هک شدن به علت عدم دسترسی هکر به کلید، رمزگشایی امکان پذیر نیست و دیتا امن باقی می ماند

ما چندین سیستم بک آپ گیری داریم که از جمله می توان به Replica set ، Mirror و Section Time اشاره کرد

معماری جدید 5 لایه برای ولت ها: معماری ولت در سیستم ما بسیار منحصر بفرد و نوآورانه است که تمام اهداف امنیتی کارفرما را پوشش می‌دهد. به طوریکه علی رغم داینامیک بودن عملکردهای ولت، تمام دارایی‌های مستر ولت را در ولتی نگه می‌دارد که فقط در اختیار کارفرماست. پس در صورت هک شدن دارایی‌ها و اطلاعات اصلی داخل سایت نیست و هیچ نفوذی در آن اتفاق نمی افتد

در سایت صرافی آنلاین برخی دیتاها مثلا در زمان احراز هویت به صورت فایل عکس از طرف کاربر ارسال می‌شود. همینجا یک مشکل امنیتی بسیار مهم می‌تواند به وجود بیاد. چرا که بسیاری از بدافزارها و کدهای مخرب در قالب همین فایل‌ها وارد سرور اصلی سایت می‌شوند و به دیتاهای اصلی دسترسی پیدا می‌کنند. یکی از رایج ترین نوع نفوذهای امنیتی در سایتهای صرافی آنلاین همین است. ما این مشکل را ازطریق Object storage برطرف می‌کنیم. اینها فضاهای ذخیره‌سازی هستند که فایل‌های کاربران را داخل سرورهای مجزایی ذخیره می‌کنند. سیستم عامل ندارند و هیچ بدافزاری به این صورت امکان ارتباط مستقیم با سیستم را ندارند و یکی از مهمترین اتک ها از این طریق قابل مدیریت است.

در واقع ما با ارائه مجموعه‌‌ای از امکانات و ماژول‌های امنیتی، معماری اصولی و ضد گلوله، استفاده از آخرین متدهای Authorization، محدودیت‌های سیستمی، سطوح مختلف دسترسی و بسیاری راهکارهای امنیتی دیگر که بخشی از آن‌ها را در زیر شرح می‌دهیم، تلاش بر این داشتیم که ریسک‌های امنیتی را به حداقل رسانده تا کاربران تجربه بهتر و امنیت خاطر بیشتری داشته باشند

  • Authentication و Authorization به ‌صورت Modern Time Token
  • دارای سیستم Elastic Error Handling
  • Monitoring systems   با امکان ایجاد سیستم مراقبتی برای نیروی‌های فنی و ادمین‌ها
  • معماری چند لایه دیتابیس   Multi-layer Databaseو بخش Storage دیتابیس برای فایل‌های گرافیکی و آپلودی از یوزر (جدا از سیستم اصلی  به منظور حفظ امنیت)
  • رمزنگاری اطلاعات حساس از جمله دارایی ها و اطلاعات کاربران
  • امکان نگهداری 99% نقدینگی سیستم به‌صورت سرد (آفلاین) در Cold Storage
  • در نظر گرفتن استانداردها و پروتکل‌های امنیتی در طراحی سیستم و تستینگ کامل توسط کارفرما و تیم کارفرما قبل از راه‌اندازی پروژه
  • Transaction chain roll back feature   قابلیت چک کردن زنجیره تراکنش و رول‌بک آن در صورت بروز مشکل، در صورت ایجاد خطای محاسباتی و مشکل در فرآیند تراکنش‌های سیستم، کل فرآیند مخصوص آن به‌صورت اتوماتیک به مرحله قبل بازمی‌گردد
  • قابلیت Anti-Double Spending یا ضد پرداخت همزمان در سیستم
  • Transaction Queue system یا سیستم صف تراکنش‌ها
  • حفاظت کامل در برابر تراکنش‌های نامعتبر
  • امکان Authorization فرآیندهای حساس سیستم (مثل برداشت، ورود، تغییر لیست برداشت سفید، تغییرات اطلاعات کاربری و امکانات مهم ادمین) از طریق احراز چند

DISASTER PLANS:

۱

DB replicate/Secret backup سرور بک آپ+بک آپ محرمانه در یک سرور مجزا

۲

Frequent Backup & Roll back Feature قابلیت بک آپ مکرر و رول بک سیستم

۳

Special Solutions for Instant Liquidity Transfer

۴

Special Solutions for Wallet recovery through Smart contracts & heirs

۵

And lots of more classified solutions