اعتباران انفورماتیک / امنیت

نمونه‌های امنیت نرم‌افزار

  • jPKI
  • نرم‌افزار GIS راه‌آهن جمهوری اسلامی ایران
  • بررسی امنیت اتوماسیون اداری فرزین و آیکن
  • نرم‌افزار بارنامه
  • نرم‌افزار ایران‌کد
  • BPMS زیرساختی راه‌آهن
  • OWASP PHP ESAPI
  • OWASP ASVS استاندارد بررسی امنیتی نرم‌افزار
  • OWASP TOP 10 Farsi
  • و ...

شرکت

امنیت اطلاعات :

امنیت نرم‌افزار

معضل موجود : مدیران ارشد سازمان‌ها بر این باورند که امنیت تنها یک مقوله سخت‌افزاریست و در قبال پرداخت هزینه برای امنیت باید سخت‌افزاری مانند Firewall تهیه نمایند. متاسفانه واقعیت اینطور نیست و چند ده برابر هزینه امنیت سخت‌افزار همواره معطوف امنیت نرم‌افزاریست که خروجی قابل دیدی نیز ندارد. اکثر نفوذگران ۹۰ درصد تلاش خود را معطوف نفوذ به انواع نرم‌افزارهای موجود بر روی یک سیستم می‌کنند و سپس به نفوذ به بستر و سخت‌افزار می‌‌انیشند و بیش از ۹۵٪ نفوذگران نیز در مرحله اول موفق می‌شوند .

متاسفانه سازمان‌ها قبل از اینکه به آنها نفوذ شود و اطلاعات حساس و حیاتی را از دست دهند (آنهم نفوذی که مشخص گردد، زیرا ممکن است مدتها تحت نفوذ باشند بدون اینکه اطلاع داشته باشند) به نیاز امنیت نرم‌افزاری خود فکر نمی‌کنند. قسمت قابل توجهی از توسعه یک نرم‌افزار سازمانی، امنیت آن است که تقریبا در ۹۹٪ موارد به طور کامل رعایت نمی‌شود، زیرا توسعه دهندگان نرم‌افزار دانش امنیتی کافی ندارند و اصلا با بسیاری از پایه‌های اصول امنیتی آشنا نیستند. همچنین همواره امنیت کارایی را کاهش می‌دهد و توسعه دهندگان علاقمند نیستند تا به هیچ قیمتی کارایی سیستم خود را کاهش دهند.

بن بست : تجربیات اعتباران نشان‌داده که در اکثر موارد پس از تحویل یک سیستم سازمانی، چندین برابر کل هزینه سیستم خرج شده تا امنیت سیستم تضمین گردد. در صورتی که فرآیند توسعه نرم‌افزار سازمانی (SDLC) تحت نظر متخصصین توسعه نرم‌افزار امن و با مد نظر داشتن امنیت صورت نپذیرد، برای اصلاح سیستم باید چندین برابر هزینه گردد.

خدمات امنیت نرم‌افزار اعتباران

توسعه نرم‌افزار امن سازمانی

در چرخه توسعه نرم‌افزار معمولا عنصر امنیت که با توجه به گستره سیستم‌های اطلاعاتی امروزی حساس‌ترین عنصر است، می‌لنگد. این امر به دلیل عدم وجود متخصصین امنیتی کافی در بازار و همچنین عدم احساس نیاز به استفاده از اینچنین متخصصانی در سازمان‌هاست که معمولا صدمات جدی به کل ساختار سازمان وارد می‌نماید و باعث مشکلات اعتباری مختلفی می‌شود. متخصصین متبحر اعتباران با چندین جلسه مشارکت در توسعه‌ نرم‌افزار و در صورت لزوم آموزش مبانی لازم به تیم توسعه، هزینه‌های امن کردن یک سیستم سازمانی پس از توسعه را به یک دهم کاهش می‌دهند و سیستمی امن و یکپارچه برای سازمان شما به ارمغان می‌آورند.

امنیت وب

دلایلی که بر همه آشنایان انفورماتیک بارز است باعث شده تا سیستم‌های سازمانی امروزی بر بستر وب هرچه بیشتر سوار شوند. وب به دلیل خواص انحصاری خویش، امنیتی دوچندان می‌طلبد و حوزه امنیت آن نیز به شدت گسترده است، به طوری که بسیاری از اصول امنیت نرم‌افزار صرفا برای سیستم‌های وبی پا به عرصه وجود نهاده‌اند.

در این راستا اعتباران به عنوان پیشتاز امنیت وب و تنها عضو فعال ایران در معتبرترین انجمن بین‌المللی امنیت وب OWASP مفتخر است خدمات امنیت وب با سطح استاندارد بین‌المللی و گواهینامه‌های معتبر ارائه نماید. همچنین کارگاه‌های متعدد و آموزش امنیت وب نیز در دستور کار این بخش قرار دارند. توجه داشته باشید که برای کسب نتایج بهتر از سرویس توسعه‌ نرم‌افزار امن سازمانی اسفاده نمایید و تنها هنگامی که سیستم وبی موجودی احتیاج به بررسی و تضمین امنیتی دارد از این خدمت بهره بجویید.

معماری امنیت نرم‌افزار

در طراحی اولیه فنی یک نرم‌افزار، معماری مهمترین مرحله است. در این راستا اعتباران در خدمتی منحصر به فرد معماری نرم‌افزار شما را به صورت امن طراحی کرده، چک لیستی از موارد در اختیار قرار می‌دهد تا پیشرفت برنامه را در راستای امنیتی نیز بسنجید.

تست نفوذ CEH

تست نفوذ، آخرین چاره سنجش امنیت یک سازمان است. در تست نفوذ سازمان (سیستم سازمانی)‌ به صورت جعبه سیاه در نظر گرفته شده و سعی در نفوذ اخلاقی به آن می‌شود تا نقاط ضعف تا جای ممکن کشف گردند. از آنجایی که در این روش گروه امنیتی دقیقا مشابه یک نفوذگر عمل می‌کند و تمامی جوانب را می‌سنجد، هم اطمینان حاصل شده از نتیجه کامل نیست و هم هزینه تلاش برای یافتن نقاط ضعف بسیار گزاف خواهد شد، ولی در موارد خاصی تنها راه حل موجود است.

سخت‌سازی بستر

بسیاری از سیستم‌های عامل و بسترهایی که نرم‌افزارها و سازمان‌ها بر روی آنها بنا می‌شوند، از امنیت کامل برخوردار نیستند در حالی که توسعه دهندگان نرم‌افزار با این فرض بستر را انتخاب می کنند که رخنه ناپذیر است. نسخ خاصی از سیستم عامل‌های متن باز مانند لینوکس اکنون موجودند که سخت‌سازی شده‌اند و از نظر امنیتی بسیار قابل اتکا هستند. اعتباران نیز می‌تواند بستر نرم‌افزاری شما را تا جای ممکن محکم سازی نماید تا از آسیب‌های احتمالی در امان بمانید.

بررسی زیرساخت رمزنگاری

رمزنگاری علمیست قدیمی و بسیار دشوار که زیرساخت امنیت اطلاعات را تشکیل می‌دهد. متاسفانه فرض امنیت اطلاعات بر آنست که زیرساخت رمزنگاری مطمئن و غیرقابل رخنه است در حالی که عملا چنین نیست و به عنوان مثال الگوریتم MD5 سالهاست که شکسته شده ولی هنوز در اکثر سخت‌افزارها و نرم‌افزارها استفاده می‌گردد. در این خدمت، اعتباران با بررسی زیرساخت رمزنگاری سازمان و تکنولوژی‌های به کار رفته، گواهی مربوطه را صادر می‌نماید.

زیرساخت امضای دیجیتال و کلید عمومی

از نیازهای مبرم امروزه سازمان‌ها، زیرساخت کلید عمومی و امضای دیجیتال برای تمامی اسناد است. اعتباران مفتخر است تنها شرکت ایرانی موفق به تولید CA استاندارد و متن باز کارا بوده و محصول jPKI که زیرمجموعه ای از jFramework است را در این زمینه عرضه می‌نماید. همچنین مقدور است که از تمامی سولوشن‌های موجود دیگر استفاده نموده، یک زیرساخت یکپارچه کلید عمومی درون سازمانی و بین سازمانی تشکیل شود.

احراز هویت چند محوره

از دیگر نیازهای سازمان‌های امروزی، احراز هویت چند محوره است. در اینگونه احراز هویت جهت امنیت بیشتر، علاوه بر استفاده از رمز عبور به عنوان تک محور احراز هویت، از روشهایی مانند اسکن قرنیه، اسکن اثر انگشت، اسکن و تشخیص صورت انسان، توکن‌های سخت‌افزاری و تشخیص صدا به صورت موازی جهت بالابردن ضریب اطمینان استفاده می گردد. همچنین استفاده از نرم‌افزار صندوق، محصول اعتباران که خود تجربه موفقی در این زمینه و جهت رفع نیازها است نیز در سازمان بسترسازی مي‌گردد.

تولید نرم‌افزار و زیرساخت امنیتی سفارشی

با داشتن تجربه‌های متعدد در این زمینه، هرگونه نرم‌افزار و بستر خصوصی جهت رفع نیازهای امنیتی قابل توسعه و پیاده‌سازی در سازمان خواهد بود. برای مثال به نمونه‌های امنیتی توجه فرمایید.


تمرکز فعالیت‌های امنیتی شرکت اعتباران بر روی امنیت نرم‌افزار است، بنابراین توصیه می‌شود از بخش امنیت نرم‌افزار نیز دیدن فرمایید.
سوال یا پیشنهاد دارید؟ همین امروز با ما تماس بگیرید .
کارشناسان و متخصصین شرکت در کمتر از ۲۴ ساعت پاسخ کامل و شفاف شما را خواهند داد.