Skip to main content
ဤစာမျက်နှာသည် သတင်းအချက်အလက်စနစ်ဌာနဝန်ထမ်းများနှင့် လုံခြုံရေးစစ်ဆေးသူများအတွက် VoicePing ၏ လုံခြုံရေးအစီအမံများကို ရှင်းပြပါသည်။

လုံခြုံရေးစစ်ဆေးစာရင်း

VoicePing သည် အသေးစိတ်သတင်းအချက်အလက်လုံခြုံရေးစစ်ဆေးစာရင်းကို ထုတ်ဝေပါသည်။ VoicePing လုံခြုံရေးစာရွက်.pdf
အမျိုးအစားအကဲဖြတ်အချက်ဖော်ပြချက်အခြေအနေ
လုံခြုံရေးအများပြည်သူအသိအမှတ်ပြုမှုအခြေအနေISMS, P-Mark စသည်တို့ရရှိခြင်းISMS အသိအမှတ်ပြုမှု စီစဉ်ထားသည် (ပြင်ဆင်နေသည်)
လုံခြုံရေးတတိယပါတီအကဲဖြတ်မှုခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခြင်း၊ လုပ်ဆောင်ခြင်း၊ ဒေတာရယူခြင်းတို့အပေါ် အစီအမံများအကဲဖြတ်မှု-
လုံခြုံရေးသတင်းအချက်အလက်ကိုင်တွယ်မှုပတ်ဝန်းကျင်အသုံးပြုသူဒေတာဝင်ရောက်မှုကန့်သတ်ချက်AWS Security Groups မှတစ်ဆင့် သတ်မှတ် IP လိပ်စာများသို့ ကန့်သတ်ထားသည်
လုံခြုံရေးဆက်သွယ်ရေးကုဒ်ဝှက်အဆင့်ဆက်သွယ်ရေး၏ ကုဒ်ဝှက်အင်အားTLS 1.3 သာအသုံးပြုသည်
လုံခြုံရေးဗိုင်းရပ်စ်ကာကွယ်မှုဗိုင်းရပ်စ်စကန်ဖတ်ခြင်းAWS GuardDuty မှတစ်ဆင့် ခွင့်ပြုချက်မရှိသောလုပ်ဆောင်ချက်များကို စဉ်ဆက်မပြတ်ရှာဖွေခြင်း
ဒေတာကာကွယ်မှုအရန်ဒေတာကုဒ်ဝှက်ခြင်း၊ သိုလှောင်တည်နေရာAWS တိုကျိုဒေသ
ဒေတာကာကွယ်မှုကုမ္ပဏီများအကြား ဒေတာခွဲထားမှုကုမ္ပဏီများအကြား သတင်းအချက်အလက်သီးခြားထားမှုဒေတာဘေ့စ်မှတစ်ဆင့် ယုတ္တိခွဲထားမှု

ဒေတာကာကွယ်မှု

ဆက်သွယ်ရေးကုဒ်ဝှက်ခြင်း

  • အက်ပလီကေးရှင်းနှင့် အသံ/ဗီဒီယိုဒေတာသည် TLS 1.3 သာအသုံးပြုသည်
  • HTTPS ဆက်သွယ်ရေးကို မဖြစ်မနေအသုံးပြုရမည် (AWS ELB မှတစ်ဆင့် ပြင်ဆင်သတ်မှတ်ထားသည်)

အရန်သိမ်းခြင်း

  • အရန်သိမ်းသံသရာ: AWS Database မှတစ်ဆင့် လစဉ်အရန်သိမ်းခြင်း
  • သိမ်းဆည်းကာလ: ဆာဗာဝင်ရောက်မှုမှတ်တမ်းများကို S3 တွင် အမြဲတမ်းသိမ်းဆည်းထားသည်
  • BCP အစီအမံများ: AWS Database တွင် ဒေသစုံအဝေးထိန်းသိုလှောင်မှု

ဒေတာဝင်ရောက်မှုကန့်သတ်ချက်များ

  • ဒေတာဘေ့စ်နှင့် ဆာဗာဝင်ရောက်မှုကို AWS Security Groups မှတစ်ဆင့် သတ်မှတ် IP လိပ်စာများသို့ ကန့်သတ်ထားသည်
  • ကုမ္ပဏီများအကြား ဒေတာကို ဒေတာဘေ့စ်မှတစ်ဆင့် ယုတ္တိအရ ခွဲထားသည်

ရရှိနိုင်မှု

အချိန်ပြည့်လည်ပတ်မှု

  • ဝန်ဆောင်မှုအချိန်: မူအားဖြင့် နေ့ 365 ရက်၊ 24 နာရီ
  • SLA: 99.9% သို့မဟုတ် ထို့ထက်မြင့်
  • မှတ်တမ်း: 99.99% သို့မဟုတ် ထို့ထက်မြင့် (ဝန်ဆောင်မှုစတင်ကတည်းက မိနစ်ဆယ်ဂဏန်းထက်ကျော်သော ဆာဗာရပ်တန့်မှုမရှိပါ)

ဖြစ်ရပ်တုံ့ပြန်မှု

  • ရင်းမြစ်ကုဒ်ကွာခြားမှုအရန်သိမ်းခြင်းနှင့် DB အရန်သိမ်းခြင်းရရှိနိုင်ပြီး မည်သည့်အချိန်မဆို 24/7 ချက်ချင်း rollback (ပြန်လည်ရယူခြင်း) ဖြစ်နိုင်စေသည်
  • ဆာဗာလုပ်ငန်းစဉ်အားလုံးနှင့် စနစ်အခြေအနေများကို AWS CloudWatch သို့မဟုတ် ကျွန်ုပ်တို့၏ ကိုယ်ပိုင်သတိပေးစနစ်မှတစ်ဆင့် မြင်သာအောင်ပြသည်
  • ရပ်တန့်မှုတစ်စုံတစ်ရာဖြစ်ပါက သတိပေးအကြောင်းကြားချက်များ

စီစဉ်ထားသောထိန်းသိမ်းမှု

  • သောကြာနေ့တိုင်း 21:00 ခန့်တွင် အပ်ဒိတ်များစီစဉ်ထားပြီး စက္ကန့်အနည်းငယ်ချိတ်ဆက်မှုပြတ်တောက်နိုင်သည်
  • လုပ်ငန်းအချိန်များအတွင်း အပ်ဒိတ်လိုအပ်ပါက အီးမေးလ် သို့မဟုတ် စာသားချတ်ပံ့ပိုးမှု (Intercom) မှတစ်ဆင့် အချိန်နှင့်တစ်ပြေးညီအကြောင်းကြားချက်

ပံ့ပိုးမှုစနစ်

ဖြစ်ရပ်အကြောင်းကြားချက်များ

  • ဆက်သွယ်နည်းလမ်း: အီးမေးလ်နှင့် အက်ပ်အတွင်းစာသားချတ်ဝန်ဆောင်မှု (Intercom) မှတစ်ဆင့် အကြောင်းကြားခြင်း

အရေးပေါ်ဆက်သွယ်ရန်

  • စာသားချတ်ဝန်ဆောင်မှု (Intercom) သို့မဟုတ် ဆက်သွယ်ရန်ဖောင် မှတစ်ဆင့် ပံ့ပိုးမှုရရှိနိုင်သည်
  • လုပ်ငန်းအချိန် (9:00-18:00) အတွင်း 5 မိနစ်အတွင်း တုံ့ပြန်မှု

အသုံးပြုသူစီမံခန့်ခွဲမှု

အကောင့်စီမံခန့်ခွဲမှု

  • အသုံးပြုသူတစ်ဦးလျှင် အကောင့်တစ်ခု
  • အသုံးပြုသူများသည် နုတ်ထွက်ခြင်း သို့မဟုတ် လွှဲပြောင်းခြင်းအပေါ် အကောင့်ကို ရုပ်ပိုင်းဆိုင်ရာဖျက်နိုင်သည်

စကားဝှက်စီမံခန့်ခွဲမှု

  • အသုံးပြုသူများသည် စကားဝှက်ပြောင်းလဲနိုင်သည်
  • အီးမေးလ်တိုကင်မှတစ်ဆင့် အချက်နှစ်ချက်အထောက်အထားပြခြင်းရရှိနိုင်သည်

ဝဘ်အက်ပလီကေးရှင်းလုံခြုံရေး

VoicePing သည် အောက်ပါလုံခြုံရေးအစီအမံများကို အကောင်အထည်ဖော်သည်။

SQL Injection ကာကွယ်ခြင်း

  • Backend သည် ဒေတာဘေ့စ်လုပ်ဆောင်ချက်များအတွက် ORM middleware ကိုအသုံးပြုသည်
  • SQL statement တည်ဆောက်မှုအားလုံးသည် placeholder ကိုအသုံးပြုသည်
  • ဒေတာဘေ့စ်အကောင့်များကို သင့်လျော်သောခွင့်ပြုချက်များပေးထားသည် (လိုအပ်သော READ, WRITE ခွင့်ပြုချက်များသာရှိသောအကောင့်များ)

OS Command Injection ကာကွယ်ခြင်း

  • Shell အကောင်အထည်ဖော်ခြင်းကို အခြေခံအားဖြင့် မလုပ်ဆောင်ပါ
  • Shell-level logic လိုအပ်သောအခါ၊ အတည်ပြုထားသော လုံခြုံသောစာကြည့်တိုက်များမှတစ်ဆင့်သာ အကောင်အထည်ဖော်ခြင်း

Path Parameter/Directory Traversal ကာကွယ်ခြင်း

  • ဒေတာကို ပြင်ပ hosting သို့မဟုတ် ဒေတာဘေ့စ်တွင် သိမ်းဆည်းထားသည်
  • ဝဘ်ဆာဗာတွင် တိုက်ရိုက်ဖိုင်ဝင်ရောက်လုပ်ဆောင်ချက်မရှိပါ
  • ဖိုင်အမည်များသည် ကျပန်းအမည်များကိုအသုံးပြုပြီး ခန့်မှန်း၍မရပါ

Session စီမံခန့်ခွဲမှု

  • Session ID သည် ခန့်မှန်း၍မရသော၊ လုံလောက်သောအရှည်ရှိသော ကျပန်းစာကြောင်းကိုအသုံးပြုသည်
  • Session ID ကို Cookies တွင် သိမ်းဆည်းထားသည် (URL parameters တွင်မဟုတ်)
  • HTTPS ဆက်သွယ်ရေးအတွက် Cookies သည် Secure attribute ကိုအသုံးပြုသည်
  • လော့ဂ်အင်လိုအပ်သောစာမျက်နှာများကို အများပြည်သူဝင်ရောက်နိုင်သောစာမျက်နှာများနှင့် ခွဲထားသည်

Cross-Site Scripting (XSS) ကာကွယ်ခြင်း

  • လိုက်ဖက်သော frontend စာကြည့်တိုက်များကိုအသုံးပြုခြင်း
  • AWS ELB မှတစ်ဆင့် HTTPS မဖြစ်မနေအသုံးပြုရမည်
  • HTTP response header ၏ Content-Type field တွင် character encoding (charset) သတ်မှတ်ထားသည်
  • Cookies တွင် HttpOnly attribute ထည့်သွင်းထားသည်

CSRF ကာကွယ်ခြင်း

  • POST method မှတစ်ဆင့် Backend-side ဝင်ရောက်မှုထိန်းချုပ်မှု
  • Referer အတည်ပြုခြင်း
  • အရေးကြီးသောလုပ်ဆောင်ချက်များအတွက် မှတ်ပုံတင်ထားသောအီးမေးလ်လိပ်စာသို့ အလိုအလျောက်အီးမေးလ်အကြောင်းကြားချက်

HTTP Header Injection ကာကွယ်ခြင်း

  • Backend middleware တွင် header output API ကိုအသုံးပြုခြင်း

Clickjacking ကာကွယ်ခြင်း

  • X-Frame-Options header field output
  • တရားဝင် session မရှိဘဲ အကောင်အထည်ဖော်၍မရပါ
  • အရေးကြီးသောလုပ်ဆောင်ချက်များကို mouse တစ်ခုတည်းဖြင့် အကောင်အထည်ဖော်၍မရအောင် ဒီဇိုင်းထုတ်ထားသည်

Buffer Overflow ကာကွယ်ခြင်း

  • တိုက်ရိုက် memory ဝင်ရောက်မှုကိုခွင့်မပြုသော Node.js ကိုအသုံးပြုခြင်း
  • GitHub မှတစ်ဆင့် ပုံမှန်စာကြည့်တိုက်စစ်ဆေးခြင်း၊ အားနည်းချက်ရှိသောစာကြည့်တိုက်များအတွက် PR များဖန်တီးပြီး အချိန်မီအပ်ဒိတ်များ

ဝင်ရောက်မှုထိန်းချုပ်မှုနှင့် ခွင့်ပြုချက်

  • မန်နေဂျာအခွင့်ထူးများအတွက် အီးမေးလ်တိုကင်ဖြင့် အချက်နှစ်ချက်အထောက်အထားပြခြင်းရရှိနိုင်သည်
  • အထောက်အထားပြခြင်းအပြင် ခွင့်ပြုချက်ထိန်းချုပ်မှုကို အကောင်အထည်ဖော်ပြီး လော့ဂ်အင်ဝင်ထားသောအသုံးပြုသူများကို အခြားသူများအဖြစ် အယောင်ဆောင်ခြင်းမှ ကာကွယ်သည်
မေးခွန်းများရှိပါက ဤဖောင် မှတစ်ဆင့် ကျွန်ုပ်တို့ထံ ဆက်သွယ်ပါ။
## တရားဝင်လင့်များ

တရားဝင်ဝဘ်ဆိုက်

ကျွန်ုပ်တို့၏ တရားဝင်ဝဘ်ဆိုက်သို့ သွားရောက်ပါ

X (Twitter)

X တွင် ကျွန်ုပ်တို့ကို စောင့်ကြည့်ပါ

Facebook

Facebook တွင် Like နှိပ်ပါ

LinkedIn

LinkedIn တွင် ချိတ်ဆက်ပါ