راهنمای جامع پیاده‌سازی امنیت پیشرفته در پراجکت سرور

نویسنده : آیسان بهرمند
ارسال شده در: 23 فوریه 2026
ارسال دیدگاه: 0

امنیت پیشرفته در پراجکت سرور

در این مقاله، به بررسی دقیق مفاهیم امنیت پیشرفته در پراجکت سرور می‌پردازیم و راهکارهایی عملی برای پیاده‌سازی سطوح دسترسی ارائه می‌دهیم.

ابتدا با دو معماری اصلی امنیتی یعنی حالت شیرپوینت و حالت پراجکت سرور آشنا شده و تأثیر هر یک را بر روی تنظیمات و نحوه مدیریت دسترسی‌ها بررسی می‌کنیم. در ادامه، فرایند مدیریت کاربران، گروه‌های امنیتی و دسته‌بندی‌های دسترسی را با ذکر جزییات کامل شرح داده و نشان می‌دهیم که چگونه می‌توان با رعایت اصل کمترین دسترسی، سطحی از امنیت را ایجاد کرد که هم انعطاف‌پذیر باشد و هم از اطلاعات حساس پروژه‌ها به بهترین شکل محافظت کند.

همچنین به پیکربندی امنیت در سطح سایت، پایگاه داده و سرور پرداخته و اهمیت اقدامات تکمیلی مانند احراز هویت چندعاملی را تبیین می‌کنیم. در بخش بعدی، استراتژی‌های حرفه‌ای پشتیبان‌گیری و بازیابی اطلاعات را به عنوان آخرین سنگر دفاعی معرفی کرده و انواع روش‌ها و نکات کلیدی ذخیره‌سازی امن نسخ‌های پشتیبان را تشریح می‌نماییم. در نهایت، بر اهمیت نظارت مستمر، ممیزی دوره‌ای دسترسی‌ها، مدیریت به‌روزرسانی‌های امنیتی و آموزش کاربران به عنوان ارکان اصلی حفظ امنیت پایدار در درازمدت تأکید می‌کنیم.

1. انتخاب و پیکربندی معماری امنیتی

1.1. شناخت دو حالت اصلی امنیتی در پراجکت سرور

در نخستین گام برای برقراری امنیت در پراجکت سرور، باید با دو حالت کلی آن آشنا شوید. پراجکت سرور بر بستر شیرپوینت اجرا می‌شود و به همین دلیل، از بدو نصب می‌تواند از دو ساختار امنیتی متفاوت بهره ببرد. حالت پیش‌فرض، «حالت امنیتی شیرپوینت» نام دارد که در آن، مدیریت تمامی دسترسی‌ها و سطوح مجوزها به گروه‌های تعریف شده در شیرپوینت واگذار می‌گردد. در این حالت، بخش سنتی امنیت در تنظیمات سرور پروژه دیده نمی‌شود و سادگی مدیریت، مهمترین ویژگی آن به حساب می‌آید .

در مقابل، «حالت امنیتی پراجکت سرور» قرار دارد که یادآور نسخه‌های قدیمی‌تر این نرم‌افزار است. با فعال‌سازی این حالت، بخش جدیدی با عنوان «امنیت» به تنظیمات سرور اضافه می‌شود که امکان تعریف گروه‌های امنیتی اختصاصی و دسته‌بندی‌های دسترسی (Categories) را با جزییات بسیار بالا فراهم می‌کند. انتخاب میان این دو حالت، تأثیر مستقیمی بر نحوه مدیریت کاربران، پروژه‌ها و منابع داشته و باید در همان مراحل ابتدایی راه‌اندازی سرور و با آگاهی کامل از نیازهای سازمان انجام شود .

1.2. روش تغییر حالت امنیتی از طریق پوسته فرمان

تغییر حالت امنیتی پراجکت سرور از طریق رابط کاربری گرافیکی معمولی امکان‌پذیر نیست و مدیران فنی سامانه برای این کار باید از ابزار قدرتمند پوسته فرمان شیرپوینت (SharePoint Management Shell) استفاده کنند. این کار با اجرای یک دستور ساده اما بسیار مهم انجام می‌گیرد که نیازمند دانش اولیه کار با خط فرمان و دقت بالا در وارد کردن پارامترها است. برای تغییر از حالت شیرپوینت به حالت پراجکت سرور، باید دستور Set-SPPRojectPermissionMode را همراه با آدرس وب‌گاه پروژه (PWA) و حساب کاربری مدیر سامانه وارد کرد .

به عنوان مثال، دستور Set-SPPRojectPermissionMode –Url http://your_server_name/pwa -AdministratorAccount domain\admin_user -Mode ProjectServer باعث فعال شدن حالت امنیتی پیشرفته پراجکت سرور می‌شود. نکته بسیار حیاتی در این فرایند این است که با اجرای این دستور، تمامی تنظیمات امنیتی قبلی پاک خواهند شد. بنابراین، لازم است پیش از انجام این کار، از ساختار امنیتی موجود یک نسخه پشتیبان تهیه کرده و یا برنامه دقیقی برای بازآفرینی دسترسی‌ها در حالت جدید داشته باشید .

1.3. تأثیر حالت امنیتی بر روی تنظیمات سرور

انتخاب هر یک از دو حالت امنیتی، مستقیماً بر روی گزینه‌ها و منوهایی که در بخش تنظیمات سرور (Server Settings) مشاهده می‌کنید، تأثیر می‌گذارد. در حالت امنیتی شیرپوینت، گزینه‌های مربوط به «گروه‌های امنیتی» و «دسته‌بندی‌های امنیتی» که در نسخه‌های قبلی پراجکت سرور وجود داشت، به طور کامل از دید کاربر پنهان می‌شوند. همچنین قابلیت نمایندگی (Delegation) که به کاربران اجازه می‌دهد از طرف دیگران اقدام کنند، در این حالت غیرفعال است .

با فعال‌سازی حالت امنیتی پراجکت سرور، نه تنها بخش امنیت با تمام امکاناتش نمایان می‌شود، بلکه گزینه‌های جدیدی نیز برای مدیریت بهتر کاربران اضافه می‌گردد. برای مثال، بخش «همگام‌سازی کاربران» (User Sync) که در حالت شیرپوینت وجود ندارد، در این حالت فعال می‌شود. این تغییرات نشان می‌دهد که انتخاب معماری امنیتی مناسب، یک تصمیم استراتژیک است که چگونگی تعامل مدیران فنی با سامانه را برای ماه‌ها و سال‌های آینده مشخص می‌کند .

1.4. ملاحظات تصمیم‌گیری برای انتخاب حالت امنیتی

تصمیم‌گیری در مورد اینکه کدام حالت امنیتی برای سازمان شما مناسب‌تر است، نیازمند بررسی دقیق نیازمندی‌ها و سناریوهای مدیریت پروژه در سازمان است. اگر سازمان شما تازه‌کار با پراجکت سرور است و به دنبال یک راه‌حل ساده و سریع برای مدیریت دسترسی کاربران خود می‌گردد، حالت امنیتی شیرپوینت می‌تواند انتخاب مناسبی باشد. این حالت با پیچیدگی‌های کمتری همراه بوده و مدیران می‌توانند به سرعت گروه‌های شیرپوینتی خود را به کاربران پراجکت سرور متصل کنند .

اما اگر سازمان شما سال‌هاست که از پراجکت سرور استفاده می‌کند و به کنترل دقیق و موشکافانه بر روی دسترسی کاربران به پروژه‌ها و منابع مختلف نیاز دارد، حالت امنیتی پراجکت سرور گزینه‌ای اجتناب‌ناپذیر است. این حالت برای سازمان‌هایی با پروژه‌های پیچیده و تیم‌های متنوع که نیاز به سطح‌بندی دسترسی بر اساس نقش‌های خاص (مثلاً فقط مشاهده‌کننده یک پروژه خاص) دارند، طراحی شده و انعطاف‌پذیری بسیار بالایی را فراهم می‌کند .

1.5. گام‌های نخستین پس از انتخاب معماری امنیتی

پس از انتخاب و اعمال حالت امنیتی مورد نظر، نخستین اقدام، بازبینی و تنظیم مجوزهای پایه‌ای است. در حالت شیرپوینت، باید به سراغ مدیریت گروه‌های شیرپوینت در مجموعه سایت اصلی رفته و دسترسی‌های مورد نیاز مانند «طراح» (Design) یا «کنترل کامل» را برای کاربرانی که نیاز به مدیریت وب‌گاه پروژه دارند، تنظیم کنید . در این حالت، توجه به این نکته ضروری است که اعطای دسترسی‌های سطح بالا مانند «طراح» به همه کاربران، یک اشتباه رایج اما خطرناک است.

در صورت انتخاب حالت امنیتی پراجکت سرور، باید برنامه‌ریزی برای ایجاد «گروه‌های امنیتی» را آغاز کنید. این گروه‌ها باید منعکس‌کننده نقش‌های سازمانی مانند «مدیران پروژه»، «مسئولان منابع» یا «اعضای تیم» باشند. سپس، مجوزهای اولیه هر گروه (مثلاً توانایی ایجاد پروژه یا مشاهده همه پروژه‌ها) در همین مرحله تعریف می‌شود تا زیرساخت اولیه امنیتی سامانه شکل بگیرد .

همچنین بخوانید: تحلیل SWOT در مدیریت پروژه با پراجکت سرور

2. مدیریت کاربران، گروه‌ها و سطوح دسترسی

2.1. فرایند ایجاد و مدیریت کاربران در سامانه

مدیریت کاربران هسته مرکزی هر سامانه امنیتی را تشکیل می‌دهد. در پراجکت سرور، این فرایند با ورود به وب‌گاه پروژه (PWA) و مراجعه به بخش «تنظیمات سرور» و سپس «مدیریت کاربران» آغاز می‌شود. در این بخش، مدیر سامانه قادر است کاربران جدیدی را تعریف کرده یا اطلاعات کاربران موجود را ویرایش نماید. برای ایجاد یک کاربر جدید، کلیک بر روی گزینه «کاربر جدید» فرمی را باز می‌کند که باید در آن اطلاعات هویتی فرد مانند نام و نام کاربری (که معمولاً حساب Active Directory اوست) درج گردد .

پس از ثبت اطلاعات اولیه، مهم‌ترین بخش کار یعنی تخصیص مجوزها آغاز می‌شود. در این مرحله، مدیر سامانه با انتخاب گروه‌های امنیتی مناسب از لیست، دسترسی‌های لازم را به کاربر اعطا می‌کند. این روش باعث می‌شود که کاربر به طور خودکار تمام مجوزهایی که به آن گروه تعلق گرفته است را دریافت کند و نیازی به تنظیم دستی و تکتک مجوزها برای هر فرد نباشد. این رویکرد نه تنها سرعت کار را افزایش می‌دهد، بلکه از بروز خطاها و ناسازگاری‌های امنیتی نیز جلوگیری می‌کند .

2.2. مفهوم و کاربرد گروه‌های امنیتی (Security Groups)

گروه‌های امنیتی در پراجکت سرور، ابزاری برای جمع‌آوری کاربرانی با وظایف و مسئولیت‌های مشابه هستند. به جای اینکه به تک‌تک کاربرانی که در یک تیم یا با یک نقش مشخص کار می‌کنند، مجوزها را به صورت جداگانه تخصیص دهیم، یک گروه امنیتی برای آن نقش خاص ایجاد کرده و کاربران را به آن گروه اضافه می‌کنیم. برای مثال، می‌توان گروهی به نام «برنامه‌ریزان پروژه» ایجاد کرد و تمام افرادی که وظیفه برنامه‌ریزی و زمان‌بندی پروژه‌ها را دارند، در این گروه قرار داد .

ایجاد یک گروه امنیتی جدید نیز از طریق بخش «امنیت» در تنظیمات سرور و با انتخاب گزینه «مدیریت گروه‌ها» انجام می‌شود. پس از کلیک بر روی «گروه جدید»، باید نام و توضیحاتی برای گروه وارد کرده و سپس مجوزهای مورد نظر را برای آن انتخاب کرد. مجوزها، اجازه انجام عملیات خاصی مانند «ایجاد پروژه جدید» یا «مشاهده همه پروژه‌ها» را به اعضای گروه می‌دهند. پس از ذخیره گروه، می‌توان با ویرایش آن، کاربران مورد نظر را از بخش «کاربران در این گروه» به آن اضافه کرد .

2.3. دسته‌های امنیتی (Categories) و نقش آن‌ها در کنترل دسترسی دقیق

اگر گروه‌های امنیتی مشخص کنند که یک کاربر چه کارهایی می‌تواند انجام دهد (مثلاً مدیر پروژه است)، دسته‌های امنیتی (Categories) تعیین می‌کنند که آن کاربر بر روی چه چیزهایی می‌تواند آن کارها را انجام دهد (مثلاً بر روی کدام پروژه‌ها). دسته‌ها، اشیایی مانند پروژه‌ها، منابع یا وظایف خاص را در بر می‌گیرند و به گروه‌های امنیتی اجازه می‌دهند تا به آن مجموعه از اشیا دسترسی پیدا کنند. این سطح از تفکیک، امکان پیاده‌سازی سناریوهای پیچیده امنیتی را فراهم می‌کند .

برای مثال، می‌توان یک دسته امنیتی به نام «پروژه‌های محرمانه» ایجاد کرد و پروژه‌های خاصی را در آن قرار داد. سپس، تنها گروه امنیتی «مدیران ارشد» را به این دسته اضافه نمود. با این کار، فقط مدیران ارشد می‌توانند پروژه‌های محرمانه را ببینند و سایر مدیران پروژه حتی از وجود چنین پروژه‌هایی بی‌اطلاع خواهند بود. ایجاد دسته‌های جدید نیز از طریق بخش «امنیت» و گزینه «مدیریت دسته‌ها» امکان‌پذیر است .

2.4. مراحل تخصیص کاربران به گروه‌ها و گروه‌ها به دسته‌ها

فرایند تخصیص دسترسی در پراجکت سرور به صورت زنجیره‌ای است. ابتدا کاربران به گروه‌های امنیتی اضافه می‌شوند. سپس گروه‌های امنیتی به دسته‌های امنیتی متصل می‌شوند تا مشخص شود هر گروه به کدام مجموعه از پروژه‌ها یا منابع دسترسی دارد. برای اضافه کردن کاربران به یک گروه، پس از ورود به بخش «مدیریت گروه‌ها» و انتخاب گروه مورد نظر، با کلیک بر روی «ویرایش»، به بخش «کاربران در این گروه» رفته و نام کاربران را جستجو و به لیست اضافه می‌کنیم .

در گام بعدی، برای اتصال گروه‌ها به دسته‌ها، وارد بخش «مدیریت دسته‌ها» شده و دسته مورد نظر را برای ویرایش باز می‌کنیم. در بخش «گروه‌ها در این دسته»، می‌توان گروه‌های امنیتی که باید به پروژه‌ها یا منابع آن دسته دسترسی داشته باشند را انتخاب و اضافه کرد. این ساختار سلسله‌مراتبی، اگرچه در نگاه اول پیچیده به نظر می‌رسد، اما در عمل بسیار انعطاف‌پذیر و قدرتمند است و امکان تعریف دقیق ترین سطوح دسترسی را به مدیران سامانه می‌دهد .

2.5. سطح‌بندی دسترسی‌ها و رعایت اصل کمترین دسترسی

یکی از اصول طلایی در علم امنیت فناوری اطلاعات، اصل «کمترین دسترسی» است. بر اساس این اصل، هر کاربر در سامانه تنها باید به حداقل اطلاعات و قابلیت‌هایی دسترسی داشته باشد که برای انجام وظایف شغلی خود به آن نیاز دارد. رعایت این اصل در پراجکت سرور با استفاده از گروه‌ها و دسته‌های امنیتی به خوبی قابل پیاده‌سازی است. به عنوان مثال، یک عضو تیم که صرفاً باید وظایف محوله خود را به‌روزرسانی کند، نیازی به دیدن لیست کامل منابع سازمان یا برنامه ریزی کلی پروژه ندارد .

با تعریف دقیق گروه‌ها و دسته‌ها، می‌توان اطمینان حاصل کرد که اطلاعات حساس پروژه‌ها تنها در اختیار افراد مجاز قرار می‌گیرد. مدیران پروژه به اطلاعات پروژه‌های خود دسترسی کامل دارند، اما لزوماً نباید به پروژه‌های یکدیگر دسترسی داشته باشند. به همین ترتیب، واحد مالی سازمان می‌تواند از طریق دسته‌بندی مناسب، فقط به اطلاعات هزینه‌ای پروژه‌ها دسترسی پیدا کند، بدون اینکه نیاز به دیدن جزئیات فنی و زمان‌بندی آن‌ها داشته باشد .

3. پیکربندی پیشرفته امنیت در سطح سایت و برنامه وب

3.1. مدیریت دسترسی به شیرپوینت دیزاینر (SharePoint Designer)

شیرپوینت دیزاینر ابزاری قدرتمند برای ایجاد و ویرایش گردش کارها و شخصی‌سازی سایت‌های شیرپوینتی است. با توجه به قدرت بالای این ابزار، مدیریت دسترسی به آن از اهمیت امنیتی ویژه‌ای برخوردار است. در شیرپوینت 2016 و پراجکت سرور مبتنی بر آن، می‌توان سطح دسترسی کاربران به شیرپوینت دیزاینر را به دقت کنترل کرد. این کار از طریق تنظیمات مجموعه سایت و گزینه «تنظیمات شیرپوینت دیزاینر» در بخش مدیریت مجموعه سایت انجام می‌پذیرد .

در این بخش، مدیران می‌توانند تعیین کنند که چه کسانی اجازه استفاده از شیرپوینت دیزاینر را دارند. گزینه‌های مختلفی مانند «فعال سازی شیرپوینت دیزاینر» که به صاحبان سایت و کاربران دارای مجوز طراحی اجازه استفاده از این ابزار را می‌دهد، قابل تنظیم است. همچنین گزینه‌های پیشرفته‌تری مانند «جداسازی صفحات از تعریف سایت» یا «سفارشی‌سازی صفحات اصلی و طرح‌بندی صفحات» وجود دارد که بهتر است فقط در مواقع ضروری و توسط افراد متخصص فعال شوند تا از بروز مشکلات امنیتی و فنی در آینده جلوگیری گردد .

3.2. تنظیمات امنیتی در سطح پایگاه داده (SQL Server)

پراجکت سرور تمامی اطلاعات حیاتی خود از جمله پروژه‌ها، منابع، وظایف و تنظیمات امنیتی را در پایگاه داده SQL Server ذخیره می‌کند. بنابراین، ایمن‌سازی این پایگاه داده، یکی از ارکان اصلی امنیت کل سامانه محسوب می‌شود. اولین و مهم‌ترین گام، محدود کردن دسترسی به سرور پایگاه داده است. تنها اکانت‌های سرویس مربوط به پراجکت سرور و شیرپوینت و همچنین تیم پشتیبانی پایگاه داده باید قادر به اتصال به آن باشند و از به اشتراک گذاشتن این اطلاعات با دیگران خودداری شود .

علاوه بر کنترل دسترسی، استفاده از مکانیزم‌های رمزنگاری برای ارتباط بین سرور برنامه (Application Server) و سرور پایگاه داده نیز توصیه می‌شود. فعال‌سازی SSL برای ارتباطات SQL Server باعث می‌شود تا داده‌های رد و بدل شده بین این دو سرور به صورت رمز شده منتقل شده و در برابر استراق سمع در شبکه محافظت شوند. همچنین، تنظیم و پیکربندی منظم پشتیبان‌گیری از پایگاه داده، به عنوان یک راهکار دفاعی در برابر از دست رفتن اطلاعات ناشی از حملات یا خرابی‌های فنی، امری حیاتی است .

3.3. کنترل دسترسی فیزیکی و مجازی به سرورها

امنیت یک سامانه تنها به تنظیمات نرم‌افزاری خلاصه نمی‌شود و کنترل دسترسی فیزیکی به سرورها نیز به همان اندازه حائز اهمیت است. اگر سرورهای سازمان به صورت فیزیکی در محل شرکت قرار دارند، باید در فضایی امن، با قفسه‌های قفل‌دار و مجهز به سیستم‌های نظارت تصویری و کنترل تردد نگهداری شوند. دسترسی به این اتاق سرور نیز باید به حداقل افراد مجاز و مشخصی محدود گردد و از ورود افراد غیرمسئول به شدت جلوگیری به عمل آید .

در صورتی که سازمان از سرورهای مجازی در بستر ابر یا مراکز داده استفاده می‌کند، مسئولیت امنیت فیزیکی با ارائه‌دهنده سرویس است، اما امنیت منطقی ماشین‌های مجازی همچنان بر عهده سازمان خواهد بود. در این حالت، باید از قوی بودن رمزهای عبور کاربران، فعال بودن فایروال و اعمال آخرین به‌روزرسانی‌های امنیتی بر روی سیستمعامل سرور مجازی اطمینان حاصل کرد. همچنین، استفاده از شبکه‌های خصوصی مجازی (VPN) برای دسترسی مدیران به سرورها از راه دور، یک لایه امنیتی دیگر به این ارتباطات اضافه می‌کند.

3.4. مدیریت نشست‌ها و کوکی‌های مرورگر

از آنجایی که کاربران عمدتاً از طریق مرورگر وب و با اتصال به وب‌گاه پروژه (PWA) با پراجکت سرور کار می‌کنند، تنظیمات مرتبط با نشست‌های کاربری در مرورگر نیز بر امنیت سامانه تأثیرگذار است. فعال‌سازی گزینه HTTPS برای وب‌گاه پروژه، اولین و ضروری‌ترین اقدام در این حوزه است. HTTPS باعث رمزنگاری تمام اطلاعات رد و بدل شده بین مرورگر کاربر و سرور شده و از سرقت اطلاعاتی مانند نام کاربری و رمز عبور در مسیر شبکه جلوگیری می‌کند .

مدیران سامانه باید تنظیمات مربوط به زمان منقضی شدن نشست‌های کاربری را نیز پیکربندی کنند. تعیین یک بازه زمانی کوتاه‌تر برای منقضی شدن خودکار نشست‌های بی‌کاربر، می‌تواند خطر سوءاستفاده از نشست‌های فعال در صورت به سرقت رفتن کوکی مرورگر کاربر یا فراموش کردن خروج از سیستم در رایانه‌های عمومی را کاهش دهد. همچنین، سیاست‌های مربوط به مدیریت کوکی‌ها و کش مرورگر نیز می‌تواند در افزایش امنیت مؤثر باشد.

3.5. احراز هویت چندعاملی (Multi-Factor Authentication)

یکی از پیشرفته‌ترین و مؤثرترین روش‌ها برای افزایش امنیت سامانه‌های حساسی مانند پراجکت سرور، پیاده‌سازی احراز هویت چندعاملی است. این روش، ورود به سیستم را صرفاً به دانستن نام کاربری و رمز عبور محدود نکرده و به یک عامل تأیید هویت دیگر نیز نیاز دارد. این عامل دوم می‌تواند یک کد پیامک شده به تلفن همراه کاربر، یک تماس تلفنی، یک کلید سخت‌افزاری یا یک کد تولید شده توسط یک برنامه احراز هویت بر روی گوشی هوشمند باشد .

با فعال‌سازی احراز هویت چندعاملی، حتی اگر رمز عبور یک کاربر به هر دلیلی فاش شود، مهاجم بدون داشتن عامل دوم (مثلاً گوشی تلفن کاربر) قادر به ورود به سامانه نخواهد بود. این لایه امنیتی قدرتمند، محافظت بسیار مؤثری در برابر حملات فیشینگ و سرقت رمز عبور ایجاد کرده و به ویژه برای حساب‌های کاربری با دسترسی بالا مانند مدیران سامانه و مدیران پروژه، امری حیاتی و ضروری است.

4. پیاده‌سازی سیاست‌های پشتیبان‌گیری و بازیابی اطلاعات

4.1. تدوین استراتژی پشتیبان‌گیری متناسب با نیاز سازمان

پشتیبان‌گیری از اطلاعات، آخرین خط دفاعی در برابر انواع تهدیدات است. تدوین یک استراتژی جامع پشتیبان‌گیری، نخستین گام در این مسیر بوده و باید بر اساس نیازهای واقعی سازمان و حساسیت اطلاعات پروژه‌ها شکل بگیرد. در این استراتژی باید مشخص شود که دقیقاً از چه اطلاعاتی باید پشتیبان تهیه شود. آیا صرفاً از پایگاه‌های داده پراجکت سرور نسخه پشتیبان تهیه شود، یا تنظیمات سرور و فایل‌های برنامه نیز باید شامل پشتیبان‌گیری شوند؟ همچنین باید مسیرهای دقیق ذخیره‌سازی این اطلاعات در سرور شناسایی و مستندسازی گردد .

علاوه بر محتوای پشتیبان، بازه زمانی تهیه آن نیز از اهمیت بالایی برخوردار است. برای یک سازمان با پروژه‌های پویا و به‌روزرسانی‌های روزانه، تهیه پشتیبان روزانه می‌تواند یک ضرورت باشد، در حالی که برای یک سازمان با پروژه‌های با تغییرات کم، پشتیبان‌گیری هفتگی ممکن است کافی باشد. همچنین باید مشخص شود که چه تعداد از نسخ‌های پشتیبان قدیمی باید نگهداری شود تا در صورت نیاز به اطلاعات یک ماه یا یک سال قبل، امکان بازیابی آن‌ها وجود داشته باشد .

4.2. انواع روش‌های پشتیبان‌گیری و کاربرد هر یک

آشنایی با انواع روش‌های پشتیبان‌گیری به مدیران کمک می‌کند تا بهترین ترکیب را برای سازمان خود انتخاب کنند. «پشتیبان‌گیری کامل» (Full Backup) ساده‌ترین نوع است که در آن از تمامی داده‌های انتخابی یک نسخه کامل تهیه می‌شود. این روش، بازیابی اطلاعات را بسیار ساده می‌کند، اما زمان‌بر بوده و حجم فضای ذخیره‌سازی زیادی اشغال می‌کند. معمولاً این نوع پشتیبان‌گیری در فواصل زمانی طولانی‌تر، مثلاً هفته‌ای یک بار، انجام می‌شود .

در مقابل، «پشتیبان‌گیری افزایشی» (Incremental Backup) تنها از داده‌هایی نسخه پشتیبان تهیه می‌کند که از آخرین پشتیبان‌گیری (چه کامل و چه افزایشی) تغییر کرده‌اند. این روش بسیار سریع و کم‌حجم است، اما بازیابی اطلاعات در این روش نیازمند داشتن آخرین نسخه پشتیبان کامل و تمام نسخ‌های افزایشی پس از آن است که فرایند بازیابی را کمی پیچیده‌تر می‌کند. روش سوم، «پشتیبان‌گیری تفاضلی» (Differential Backup) است که از تمام تغییرات نسبت به آخرین پشتیبان کامل، یک نسخه واحد تهیه می‌کند و از نظر سرعت و حجم، حد واسط دو روش دیگر قرار می‌گیرد .

4.3. مکان‌های امن برای ذخیره‌سازی نسخه‌های پشتیبان

انتخاب محل ذخیره‌سازی نسخ‌های پشتیبان، به همان اندازه خود فرایند پشتیبان‌گیری اهمیت دارد. ذخیره‌سازی پشتیبان‌ها بر روی همان سرور اصلی، ساده‌ترین گزینه است، اما در صورت بروز حمله سایبری، خرابی دیسک یا آتش‌سوزی، نسخ پشتیبان نیز همراه با اطلاعات اصلی از بین خواهند رفت. بنابراین، این گزینه به هیچ‌وجه برای پشتیبان‌گیری‌های اصلی توصیه نمی‌شود و تنها می‌تواند برای بازیابی‌های سریع و موقتی کاربرد داشته باشد .

یک راهکار حرفه‌ای و امن، ذخیره‌سازی پشتیبان‌ها بر روی یک سرور دیگر، ترجیحاً در یک مکان جغرافیایی متفاوت است. این کار می‌تواند یک سرور مجازی دیگر در مرکز داده‌ای دورتر یا یک سرویس ذخیره‌سازی ابری معتبر باشد. همچنین استفاده از دستگاه‌های ذخیره‌سازی قابل حمل مانند هارددیسک‌های اکسترنال برای نگهداری پشتیبان‌ها در مکانی امن و دور از محل استقرار سرور اصلی (مثلاً در گاوصندوق یک اتاق دیگر) نیز می‌تواند به عنوان یک لایه اضافی برای حفاظت در برابر بلایای طبیعی و سرقت فیزیکی در نظر گرفته شود .

4.4. تست بازیابی اطلاعات؛ ضمانت اجرایی پشتیبان‌گیری

تهیه منظم نسخه‌های پشتیبان، تنها نیمی از راه است و نیم دیگر، اطمینان از سالم بودن این نسخ‌ها و قابلیت بازیابی اطلاعات از روی آن‌ها می‌باشد. بارها پیش آمده که سازمان‌ها پس از وقوع یک فاجعه متوجه شده‌اند که فایل‌های پشتیبان آن‌ها خراب بوده و یا فرایند بازیابی به درستی کار نمی‌کند. برای جلوگیری از این اتفاق، انجام دوره‌ای «تمرین بازیابی» (Recovery Drill) ضروری است. در این تمرین، در یک محیط آزمایشی یا با صرف نظر کردن از بخشی از فضای دیسک، فرایند بازیابی اطلاعات از روی نسخ پشتیبان به طور کامل شبیه‌سازی می‌شود .

این تست‌ها باید به صورت منظم (مثلاً هر سه ماه یک بار) و برای سناریوهای مختلف، مانند بازیابی یک پروژه خاص که به اشتباه حذف شده یا بازیابی کل سامانه پس از یک حمله گسترده، انجام شوند. نتیجه این تست‌ها باید مستند شده و در صورت مشاهده هرگونه مشکل یا خطا، فرایند پشتیبان‌گیری یا بازیابی مورد بازبینی و اصلاح قرار گیرد تا در زمان بحران واقعی، با اطمینان کامل بتوان به نسخ‌های پشتیبان تکیه کرد.

4.5. مستندسازی فرایندها و تعیین مسئولیت‌ها

یک سیاست پشتیبان‌گیری موفق، نیازمند مستندسازی دقیق و شفاف تمامی مراحل و همچنین تعیین مسئولیت‌های مشخص برای تیم فناوری اطلاعات است. در این مستندات باید به طور کامل شرح داده شود که چه نوع پشتیبان‌گیری با چه بازه زمانی از کدام بخش‌ها تهیه می‌شود، محل ذخیره‌سازی آن‌ها کجاست، رمز عبور دسترسی به این فایل‌ها چیست و فرایند بازیابی اطلاعات به چه ترتیبی انجام می‌گیرد. این مستندات باید در مکانی امن و دور از دسترس افراد غیرمجاز نگهداری شوند .

همچنین باید به طور واضح مشخص شود که مسئولیت انجام پشتیبان‌گیری روزانه، نظارت بر اجرای صحیح آن، تست دوره‌ای بازیابی و به‌روزرسانی مستندات بر عهده کدام یک از اعضای تیم فناوری اطلاعات است. با تعیین این مسئولیت‌ها و برگزاری جلسات منظم برای بازبینی وضعیت پشتیبان‌گیری، می‌توان اطمینان حاصل کرد که این فرایند حیاتی به درستی اجرا شده و سازمان در برابر حوادث پیش‌بینی‌نشده ایمن خواهد بود.

همچنین بخوانید: داشبورد سفارشی در پراجکت سرور

5. ممیزی، نظارت و به‌روزرسانی مستمر امنیت

5.1. فعال‌سازی و بررسی گزارش‌های رویداد (Audit Logs)

پراجکت سرور و شیرپوینت قابلیت ثبت رویدادهای مختلف را دارند که می‌توان از آن‌ها برای ممیزی و نظارت بر فعالیت‌های کاربران استفاده کرد. این گزارش‌ها که به آن‌ها «لاگ» (Log) نیز گفته می‌شود، می‌توانند اطلاعات ارزشمندی در مورد اینکه چه کسی، چه زمانی، چه عملی را بر روی کدام پروژه یا منبع انجام داده است، در اختیار مدیران قرار دهند. فعال‌سازی این قابلیت، به ویژه برای رویدادهای مهم امنیتی مانند تلاش‌های ناموفق برای ورود به سیستم، تغییر در مجوزهای کاربری، حذف پروژه‌ها یا تغییر در تنظیمات سرور، ضروری است .

مدیران فنی باید به صورت دوره‌ای (مثلاً هفته‌ای یک بار) این گزارش‌ها را بررسی کرده و به دنبال الگوها و نشانه‌های مشکوک باشند. برای مثال، تعداد زیادی تلاش ناموفق برای ورود به سیستم از یک آدرس آی‌پی خاص، یا تغییر دسترسی یک کاربر در ساعت‌های غیراداری، می‌تواند زنگ خطری برای یک حمله احتمالی باشد. بررسی منظم این گزارش‌ها به شناسایی زودهنگام تهدیدات و جلوگیری از گسترش نفوذ کمک شایانی می‌کند.

5.2. نظارت بر عملکرد سرور و شناسایی ناهنجاری‌ها

نظارت بر عملکرد سرور، یکی دیگر از جنبه‌های مهم حفظ امنیت است. افزایش ناگهانی مصرف پردازنده (CPU) یا حافظه (RAM) در سرور، می‌تواند نشانه‌ای از اجرای یک بدافزار یا حمله سایبری باشد. ابزارهای نظارتی مختلفی وجود دارند که می‌توانند این معیارها را به طور لحظه‌ای پایش کرده و در صورت بروز ناهنجاری، به مدیران سیستم هشدار دهند. این هشدارها می‌توانند از طریق ایمیل یا پیامک ارسال شوند تا تیم فنی در سریع‌ترین زمان ممکن بتواند واکنش نشان دهد .

علاوه بر منابع سخت‌افزاری، باید بر روی سرویس‌ها و برنامه‌های در حال اجرا بر روی سرور نیز نظارت کرد. اطمینان از اینکه سرویس‌های غیرضروری بر روی سرور فعال نیستند و پورت‌های اضافی بسته هستند، سطح حمله را کاهش می‌دهد. همچنین بررسی لاگ‌های فایروال برای شناسایی تلاش‌های اسکن پورت یا ارتباطات غیرمجاز از بیرون شبکه، اطلاعات مفیدی را برای تحلیل وضعیت امنیتی فراهم می‌کند.

5.3. مدیریت وصله‌ها و به‌روزرسانی‌های امنیتی (Patch Management)

شرکت مایکروسافت به طور منظم وصله‌های امنیتی (Security Patches) را برای محصولات خود از جمله پراجکت سرور، شیرپوینت، ویندوز سرور و SQL Server منتشر می‌کند. این وصله‌ها، نقاط ضعف امنیتی کشف شده را برطرف کرده و سرور را در برابر حملات شناخته شده محافظت می‌کنند. تأخیر در نصب این به‌روزرسانی‌ها، سرور را در معرض خطرات جدی قرار می‌دهد، زیرا مهاجمان دائماً در حال اسکن شبکه‌ها برای یافتن سیستم‌هایی هستند که این وصله‌ها را نصب نکرده‌اند.

تدوین یک فرایند مدیریت وصله، ضروری است. در این فرایند، ابتدا باید وصله‌های جدید در یک محیط آزمایشی (غیر از محیط عملیاتی) نصب و تست شوند تا از عدم تداخل آن‌ها با برنامه‌ها و تنظیمات خاص سازمان اطمینان حاصل شود. پس از تأیید در محیط آزمایشی، می‌توان وصله‌ها را در یک بازه زمانی مشخص (مثلاً آخر هفته) بر روی سرور اصلی اعمال کرد. مستندسازی وصله‌های نصب شده نیز برای پیگیری و ممیزی‌های بعدی مفید خواهد بود.

5.4. بازبینی دوره‌ای دسترسی‌ها و حذف دسترسی‌های غیرضروری

با گذشت زمان، نقش و مسئولیت کاربران در سازمان تغییر می‌کند. یک کارمند ممکن است از یک تیم به تیم دیگر منتقل شود، ارتقاء مقام یافته و یا از سازمان جدا شود. اگر دسترسی‌های قبلی این افراد در پراجکت سرور به‌روزرسانی یا حذف نشود، به مرور زمان شاهد انباشته شدن دسترسی‌های غیرضروری خواهیم بود که یک خطر امنیتی بزرگ محسوب می‌شود. یک حساب کاربری متعلق به فردی که دیگر در سازمان نیست، می‌تواند هدفی آسان برای مهاجمان باشد .

به همین دلیل، انجام بازبینی دوره‌ای (مثلاً هر شش ماه یک بار) دسترسی‌های تمام کاربران یک ضرورت است. در این بازبینی، مدیران هر واحد سازمانی باید لیست کاربران تیم خود و سطوح دسترسی آن‌ها را تأیید کنند. دسترسی‌های افراد بازنشسته یا جدا شده از سازمان باید فوراً غیرفعال و حذف شود. همچنین دسترسی کاربرانی که تغییر نقش داده‌اند، باید با نقش جدید آن‌ها تطبیق داده شده و دسترسی‌های قبلی و غیرمرتبط از حساب آن‌ها گرفته شود.

5.5. آموزش و ارتقای آگاهی امنیتی کاربران

قوی‌ترین دیوارهای آتشین و پیچیده‌ترین تنظیمات امنیتی نیز در نهایت توسط کاربران استفاده می‌شوند و یک کاربر ناآگاه می‌تواند پرقدرت‌ترین سد دفاعی را فرو بریزد. کلیک بر روی لینک‌های مخرب در ایمیل‌های فیشینگ، انتخاب رمزهای عبور ساده و تکراری، یا به اشتراک گذاشتن اطلاعات حساب کاربری با دیگران، از جمله اشتباهات رایجی هستند که امنیت سامانه را به خطر می‌اندازند. بنابراین، آموزش و ارتقای سطح آگاهی امنیتی کاربران، یکی از کلیدی‌ترین اقدامات پیشگیرانه است .

این آموزش‌ها باید به صورت دوره‌ای برگزار شده و مباحثی مانند نحوه انتخاب رمز عبور قوی، شناسایی ایمیل‌های فیشینگ، اهمیت لاگ‌اوت کردن از سیستم در پایان کار و گزارش هرگونه فعالیت مشکوک را پوشش دهد. ایجاد یک فرهنگ امنیتی در سازمان که در آن همه کاربران خود را در قبال حفاظت از اطلاعات مسئول بدانند، بهترین سرمایه‌گذاری برای تضمین امنیت بلندمدت سامانه‌های حیاتی مانند پراجکت سرور خواهد بود.

❓سوالات متداول

1. تفاوت اصلی بین حالت امنیتی شیرپوینت و حالت امنیتی پراجکت سرور چیست؟

در حالت امنیتی شیرپوینت، مدیریت دسترسی کاربران کاملاً در اختیار گروه‌ها و سطوح دسترسی تعریف شده در شیرپوینت است و بخش امنیت سنتی پراجکت سرور در تنظیمات دیده نمی‌شود. این حالت برای سازمان‌هایی مناسب است که تازه با پراجکت سرور کار می‌کنند و یا ساختار امنیتی ساده‌تری دارند. در مقابل، حالت امنیتی پراجکت سرور، همان سیستم امنیتی کلاسیک و پیشرفته‌تر نسخه‌های قبلی را فعال می‌کند که شامل گروه‌های امنیتی و دسته‌بندی‌های دسترسی (Categories) است و امکان کنترل دقیق‌تری روی دیده‌شدن پروژه‌ها و منابع فراهم می‌آورد .

2. چگونه می‌توانم دسترسی یک کاربر جدید را برای ورود به پراجکت سرور ایجاد کنم؟

برای این کار، ابتدا باید با دسترسی مدیر سامانه (ادمین) وارد بخش وب‌گاه پروژه (Project Web App یا PWA) شوید. سپس از طریق آیکون چرخ‌دنده و انتخاب گزینه «تنظیمات سرور» (Server Settings)، به بخش «امنیت» (Security) بروید. در این بخش، گزینه «مدیریت کاربران» (Manage Users) را انتخاب کرده و روی «کاربر جدید» (New User) کلیک کنید. در فرم باز شده، اطلاعات کاربر مانند نام و حساب کاربری او را وارد کرده و سپس با انتخاب گروه‌های امنیتی مناسب، مجوزهای لازم را به وی اعطا کنید و در نهایت تغییرات را ذخیره نمایید .

3. گروه امنیتی و دسته امنیتی چه تفاوتی با هم دارند و هر کدام چه کاربردی دارند؟

گروه‌های امنیتی برای جمع‌آوری کاربرانی با نقش‌های مشابه مانند «مدیران پروژه» یا «مسئولان مالی» ایجاد می‌شوند و مجوزهای پایه‌ای به آنها تعلق می‌گیرد. در مقابل، دسته‌های امنیتی (Categories) مشخص می‌کنند که هر گروه به چه پروژه‌ها، منابع یا وظایف خاصی دسترسی داشته باشد. به عبارت ساده‌تر، گروه مشخص می‌کند که یک فرد چه نقشی دارد (مثلاً مدیر پروژه است) و دسته مشخص می‌کند که آن فرد به کدام پروژه‌ها با آن نقش دسترسی پیدا کند (مثلاً فقط پروژه‌های حوزه فناوری اطلاعات) .

4. چرا باید از پروژه‌ها و تنظیمات پراجکت سرور به طور منظم پشتیبان تهیه کنم و بهترین روش آن چیست؟

پشتیبان‌گیری برای مقابله با حوادثی مانند خطای انسانی (حذف اشتباه اطلاعات)، حملات بدافزارها (باج‌افزارها)، خرابی سخت‌افزاری سرور یا بروز باگ در حین اعمال به‌روزرسانی‌ها ضروری است. بهترین روش، استفاده از یک استراتژی ترکیبی است. می‌توان از روش «پشتیبان‌گیری کامل» (Full Backup) در فواصل زمانی معین (مثلاً هفته‌ای یک بار) و از روش «پشتیبان‌گیری افزایشی» (Incremental Backup) در فواصل کوتاه‌تر (مثلاً روزانه) استفاده کرد تا هم سرعت بازیابی اطلاعات بالا باشد و هم فضای ذخیره‌سازی بهینه مصرف شود .

5. آیا تنظیمات امنیتی پس از ارتقاء پراجکت سرور به نسخه جدیدتر حفظ می‌شود؟

به طور کلی، مایکروسافت سعی می‌کند سازگاری نسخه‌های مختلف را حفظ کند، اما ارتقاء یک فرایند حساس است و ممکن است برخی تنظیمات به دلیل تغییر در ساختار یا معماری نسخه جدید دچار مشکل شوند. به همین دلیل، قبل از هرگونه اقدام به ارتقاء، تهیه یک نسخه پشتیبان کامل از تمامی پایگاه‌های داده و تنظیمات سرور الزامی است. همچنین بهتر است فرایند ارتقاء ابتدا در یک محیط آزمایشی (غیر از محیط عملیاتی) شبیه‌سازی شود تا از صحیح کار کردن تمام بخش‌ها، به‌ویژه ماژول‌های امنیتی، اطمینان حاصل شود.

جمع بندی نهایی

همانطور که در این مقاله به تفصیل بیان شد، برقراری امنیت در پراجکت سرور فرایندی فراتر از یک تنظیم ساده است و نیازمند درک عمیقی از معماری آن و همچنین برنامه‌ریزی دقیق و مدون می‌باشد. از انتخاب حالت امنیتی مناسب در همان ابتدای کار گرفته تا طراحی دقیق گروه‌ها و دسته‌های امنیتی بر اساس نیازهای منحصر به فرد سازمان، همگی گام‌هایی حیاتی در جهت حفظ اطلاعات حساس پروژه‌ها به شمار می‌روند.

با به کارگیری یک سیاست پشتیبان‌گیری منظم و هوشمندانه و همچنین رعایت اصول اولیه اما کلیدی در سطح پایگاه داده، می‌توان یک استراتژی دفاعی چندلایه ایجاد کرد که در برابر طیف وسیعی از تهدیدات داخلی و خارجی مقاومت کرده و تضمین‌کننده تداوم کسب و کار سازمان باشد. به خاطر داشته باشید که امنیت یک مقصد نیست، بلکه یک سفر مداوم است و مستلزم بازبینی و به‌روزرسانی مستمر با توجه به تغییرات سازمان و ظهور تهدیدات جدید می‌باشد.

برای آشنایی بیشتر با مبانی و مفاهیم پایه‌ای مدیریت پروژه و استانداردهای مرتبط با آن که به درک بهتر کاربرد پراجکت سرور کمک می‌کند، می‌توانید به وب‌سایت مؤسسه مدیریت پروژه (PMI) به آدرس www.pmi.org مراجعه کنید.

آیسان بهرمند

بازدید: