دانلود پاورپوینت آشنایی با خدمات آزمایشگاه آپا و فرایند اجرایی انجام ممیزیبر اساس دستورالعمل استانداری خراسان رضوی

سمینار توجیهی نحوه انجام ممیزی توسط آزمایشگاه آپای در حوزه امنیت اطلاعات

عنوان های پاورپوینت  : 

آشنایی با خدمات آزمایشگاه آپا و فرایند اجرایی انجام ممیزیبر اساس دستورالعمل استانداری خراسان رضوی

سمینار توجیهی نحوه انجام ممیزی توسط آزمایشگاه آپای در حوزه امنیت اطلاعات

فهرست موضوعات

بی‌توجهی به امنیت اطلاعات تهدیدی بزرگ برای سازمانها

وضع موجود

چه باید کرد!

راه کار

گروه امداد فضای تبادل اطلاعات (CERT)

آزمایشگاه های آپا در دانشگاه های ایران

آپا: آگاهی رسانی، پشتیبانی و امداد حوادث رایانهای

در آزمایشگاه  آپای دانشگاه فردوسی مشهدفعالیت‌هایی زیر ارائه می‌شود:

پورتال اطلاع رسانی آپا

چارت آزمایشگاه آپای دانشگاه فردوسی مشهد

حوزه فعالیت های آزمایشگاه آپا

فعالیت ها

گزارش تصویری

خدمات آزمایشگاه آپا1 – آزمون نفوذپذیری (Penetration Testing)

خدمات آزمایشگاه آپا2 – صدور گواهینامه امنیتی(OWASP-ASVS-1A)

خدمات آزمایشگاه آپا3 – ارائه خدمات آموزشی

خدمات آزمایشگاه آپا4 – انجام فعالیت های پژوهشی

نوع آزمون

رئوس موضوعات آزمون نفوذ‌پذیری

در این آزمون‌ها موارد زیر مورد توجه قرار می‌گیرد

چرا برنامههای کاربردی(Web applications)  از اهمیت بالایی در حوزه امنیت فناوری اطلاعات برخوردار هستند؟

چرا برنامههای کاربردی(Web applications) آسیب‌پذیر هستند؟

استاندارد ممیزی امنیت در برنامه‏های کاربردی  (ASVS)

Open Web Application Security ProjectApplication Security Verification Standard

سطح یک سطح ممیزی خودکار Automated Verification

مثال معماری امن در سطح یک از OWASP ASVS

سطح دو سطح ممیزی دستی Manual Verification

 مثال معماری امن، در سطح دو از ASVS OWASP

Application Security Verification Techniques

سطح سه سطح ممیزی طراحی Design Verification

سطح چهار سطح ممیزی و بازبینی کد(ممیزی داخلی) Internal Verification

مثال معماری امن، در سطح چهار از ASVS OWASP

فرایند اجرایی انجام ممیزیبر اساس دستورالعمل استانداری خراسان رضوی

فرایند اجرایی انجام ممیزی بر اساس دستورالعمل استانداری خراسان رضویفرم های چهار گانه – فرم شماره 1 (فرم تکمیل اطلاعات اشخاص حقوقی)

فرایند اجرایی انجام ممیزی بر اساس دستورالعمل استانداری خراسان رضویفرم های چهار گانه – فرم شماره 2 (فرم تکمیل اطلاعات سایت وب سازمان)

فرایند اجرایی انجام ممیزی بر اساس دستورالعمل استانداری خراسان رضویفرم های چهار گانه – فرم شماره 3 (فرم تکمیل اطلاعات نرم‌افزارهای کاربردی)

فرایند اجرایی انجام ممیزی بر اساس دستورالعمل استانداری خراسان رضویفرم های چهار گانه – فرم شماره 4 (فرم تکمیل اطلاعات شبکه رایانهای)

فرایند اجرایی انجام ممیزیبر اساس دستورالعمل استانداری خراسان رضوی

ابلاغیه 38/64/51805 مورخ 1388/12/4 مدیرکل دفتر فناوری اطلاعات استانداری خراسان رضوی

فرایند اجرایی انجام ممیزیبر اساس دستورالعمل استانداری خراسان رضوی

قسمت ها و تکه های اتفاقی از فایل

وضع موجود

هر روز با فناوری های نوین روبرو هستیم که عمده آنها بر بستر ICT ارایه می‌شوند

طبق نظر سنجی‌ها 86 درصد از افراد سازمان ها از حداقل یکی از این فناوری های نوین استفاده می‌کنند

حجم درخواست ها از حوزه ICT رو به افزایش است و کارکنان حوزه ICT فرصت توجه به همه جنبههای فنی موضوعات را ندارند و سازمان ها به جهت درک ناصحیح از این حوزه حمایت لازم را از ایشان ندارند

حوزه فناوری اطلاعات و ارتباطات در بکارگیری کارکنان زبده در عرصه امنیت اطلاعات و ارتباطات دچار مشکل است به عبارتی مشکل نیروی انسانی متخصص مشکل شماره یک این حوزه است

وضع موجود(ادامه)

غالباً در سازمان ها بی‌توجهی به یکپارچهسازی و زیرساخت های نرم‌افزاری و سخت‌افزاری برای استقرار یک سیستم مدیریت امنیت اطلاعات مشاهده می‌شود

مدیران اغلب درک صحیح و دقیقی از فناوری اطلاعات ندارند

امکانات و اعتبارات لازم به این حوزه تعلق نمی‌گیرد

پرسنل فناوری اطلاعات از حوزه فعالیت خود رضایت چندانی ندارند

نگرانی از همسو نبودن برنامههای عملیاتی با برنامههای توسعه کشور

بی‌توجهی به بخش خصوصی به عنوان عامل مهم بخش توسعه فناوری اطلاعات و ارتباطات

وضع موجود(ادامه)

پورتال یا سایت وب سازمان

سیستم های نرم‌افزاری

سیستم های قدیمی مبتنی بر DOS و FoxPro

سیستم های ویندوزی تک کاربره

سیستم های ویندوزی تحت شبکه (Client/Server)

سیستم های تحت شبکه WebBase

شبکه سازمان

به لحاظ ساخت‌یافتگی، امنیت اطلاعات، نوع سرور و ….

ساختار سازمانی حوزه فناوری اطلاعات و مسایل مربوط

چه باید کرد!

فرهنگ‌سازی و آموزش در همه سطوح

ایجاد ساختار سازمانی مناسب CIO در سازمان

تامین منابع مالی مورد نیاز و بهبود زیرساخت های ارتباطی و سرمایهگذاری در حوزه فناوری اطلاعات و ارتباطات

کمک به رشد و توسعه مراکز تحقیقاتی و پژوهشی در این حوزه (Cert و….)

کمک به رشد و توسعه بخش خصوصی حوزه ICT

ایجاد و توسعه سیستم مدیریت امنیت اطلاعات در سازمان (ISMS)

تهیه قوانین، آئین‌نامهها، مقررات و دستورالعمل های مورد نیاز

نوع آزمون

جعبه سفید: زمانی که تیم مجوز دسترسی به همه شبکه را برای آزمون دارد و بر روی سیستم عامل، سخت‌افزار و جزئیات برنامههای کاربردی امکان آزمون وجود دارد. مثل موقعی که یک حمله کننده از جزئیات داخلی یک شبکه مطلع است

جعبه سیاه: آزمون مبتنی بر وب از راه دور بدون اطلاع داخلی است در واقع نقش یک حمله کننده را از بیرون بازی می‌کند

جعبه خاکستری: تیم آزمون به کمک شبیهسازی، نقش یک کارمند ناراضی را بازی می‌کند که یکسری دسترسی‌های معمولی و متعارف به شبکه داخلی دارد

رئوس موضوعات آزمون نفوذ‌پذیری

امنیت شبکه

امنیت سیستم عامل

امنیت وب سرور

امنیت پایگاه داده

امنیت برنامههای کاربردی

خط مشی تداوم کسب و کار(پشتیبان‌گیری از اطلاعات،آماده کردن شرایطی برای مکان، سخت‌افزار، نرم‌افزار، پرسنل و مستندات)

چرا برنامههای کاربردی(Web applications)  از اهمیت بالایی در حوزه امنیت فناوری اطلاعات برخوردار هستند؟

برنامههای کاربردی نقطه تمرکز حملهکنندگان هستند

Gartner می‌گوید 75 درصد حمله کنندگان در لایه برنامههای کاربردی هستند

Mitre  می‌گوید بیشترین آسیب‌پذیری گزارش شده به ترتیب XSSو SQL Injection  هستند

اغلب سایت ها آسیب‌پذیر هستند

Watchfire می‌گوید 90 درصد سایت ها در مقابل حملات برنامههای کاربردی حملهکنندگان آسیب‌پذیر هستند

Symantec می‌گوید 78 درصد کدهای مخرب مربوط به برنامههای کاربردی تحت وب است

Gartner می‌گوید حداقل 80 درصد سازمان ها حوادث امنیت اطلاعات را تجربه کردهاند

برنامههای کاربردی اهداف با ارزشی برای حملهکنندگان هستند

داده مشتری، کارت اعتباری، سرقت شناسه، تغییر سایت و غیرو

اغلب خواستهها بر بستر وب برآورده می‌شود

الزامات سازمانی و دولتی نظیر:

تکریم ارباب رجوع، کاهش سفر، همکاری بین سازمانی و …

چرا برنامههای کاربردی(Web applications) آسیب‌پذیر هستند؟

برنامهنویسان و توسعهدهندگان نرم‌افزارهای کاربردی آموزش کافی برای ایجاد کد امن ندیدهاند

در قراردادهای تهیه برنامههای کاربردی به موضوع امنیت اطلاعات و مباحث مربوط توجه نشده است

امنیت شبکه (فایروال، سیستم تشخیص نفوذ و…) امنیت برنامههای کاربردی را پوشش نمی‌دهند

سازمان ها عمدتاً به موضوع امنیت اطلاعات در برنامههای کاربردی بی‌توجهند و معمولاً اگر هم به آزمون نفوذ توجه کنند با تاخیر انجام می‌شود

عملیات آزمون نفوذ‌پذیری جامع نیست

و ……

Open Web Application Security ProjectApplication Security Verification Standard

نیاز به استانداردی برای ایجاد اعتماد و درجهای از اطمینان بین استفاده کنندگان و تولیدکنندگان برنامههای کاربردی (گواهینامه امنیتی نرم‌افزار)

OWASP انجمن اختصاصی آزادی است که هدفش ایجاد ساختار و تشکیلاتی است برای توسعه، خرید و حفاظت از برنامههای کاربردی قابل اعتماد

ASVS یک استاندارد برای ممیزی امنیت برنامههای کاربردی است و می‏تواند برای ایجاد سطحی از اطمینان در امنیت برنامه‏های کاربردی تحت وب استفاده شود.

در سطوح بالاتر در ASVS استفاده از ابزارها توصیه می‌شود، اما ابزارها باید مناسب قالب‏کاری برنامه کاربردی مورد استفاده باشند.

30 تا 70 درصد پروژه | پاورپوینت | سمینار | طرح های کارآفرینی و  توجیهی |  پایان-نامه |  پی دی اف  مقاله ( کتاب ) | نقشه | پلان طراحی |  های آماده به صورت رایگان میباشد ( word | pdf | docx | doc )