درگاه اینترنتی

    گفت و گو با اپراتور

امنیت و تست نفوذ پذیری :


از روزگاران قدیم تا  به امروز بشر به فکر حفظ امنیت داشته های خود بوده است در سطح کلان امنیت کشور و جلوگیری از نفوذ بیگانگان به مرزهای داخلی تا حفظ یک اثر و ایده ی یک مخترع . از این رو همیشه هزینه ی بالایی صرف اموری می شود که به ارتقای امنیت بشر کمک کند ، بشر به این نتیجه رسیده که ایجاد امنیت جزئی جداناپذیر از زندگی اوست ،با پیشرفت تکنولوژی این نیاز در دنیای مجازی ( بستر جهانی اینترنت و شبکه های رایانه ای محلی)  بیش از پیش نمایان شد ، روش های نوین جعل و سوء استفاده ، سرقت اطلاعات ،  انواع خرابکاری های اطلاعاتی که شاید در 30 سال گذشته تصور آن نیز برای بشر غیر ممکن بوده است ، متاسفانه آن طور که میبایست در این سالها به ارتقای امنیت در این عرصه توجه کافی نشده است که نتیجه همین بی توجهی هزینه های سرسام آوریست که به شرکت ها و موسسات مجازی از قبیل بانک ها و سازمان های ارائه کننده خدمات از طریق اینترنت وارد شده است .

گروه انفورماتیک پارمیس با تجربه 7 سال فعالت در عرصه ارائه خدمات انفورماتیک و کسب تجربه های فراوان با بهره گیری از باتجربه ترین متخصصان فعال در حوزه امنیت اطلاعات  راه کار های نوینی را در خصوص ارتقاء سطح امنیت وب سایت ها وشبکه های رایانه ای ارائه نموده است ، در صورتی که شما هم از امنیت شبکه رایانه ای سازمان خود نگرانید و یا از خرابکاری و از بین رفتن وب سایت خود توسط هکر ها نگرانید پیشنهاد ما به شما  مشاوره با متخصصین واحد امنیت گروه انفورماتیک پارمیس است ، هکر ها و دزدان اطلاعات قبل از حمله به شما اطلاع نمی دهند پس بهتر است شما راه نفوذ آنها را سد کنید ، با ما تماس بگیرید ، بامشاورین ما به صورت رایگان گفت و گو کنید و از تجربیات و راهکار هایشان در این خصوص آگاه شوید .


مطلب را به اشتراک بگذارید :Ask!Facebook!Google!BuzzLive!Yahoo!

 
  • ارزیابی امنیتی و تست نفوذ پذیری

  • مشاوره پیاده سازی راهکار های امنیتی

  • تست نفوذ برنامه های کاربردی و وب سایت ها

  • آسیب پذیری های کشف شده

اهداف آزمون نفوذ

  • اطمينان از صحت پيكربندي امنيتي سيستمها
  • اطمينان از به روز بودن سيستمها و رايانه ها
  • اطمينان از ايمني در مقابل آخرين آسيب‌پذيريها
  • يافتن نقاط ضعف، پيش از سوء استفاده مهاجمان از آنها
  • كاهش هزينه هاي ترميم، با كاهش مخاطره نفوذ مهاجمان

 

جنبه‌هاي مختلف يك آزمون نفوذ

 

  1. پويش شبكه : در اين مرحله با استفاده از ابزارهاي گوناگون پويش شبكه و سرويس‌هاي شبكه‌اي، ليست ميزبان‌ها و سرويس‌هاي فعال و درگاه‌هاي باز مشخص مي‌شود. با مقايسه نتايج پويش با سياست‌هاي امنيتي مورد نظر مي‌توان موارد مغاير با سياست‌هاي امنيتي را تشخيص داده و آن‌ها را برطرف نمود. اين موارد انحراف مي‌تواند ناشي از وجود ميزبان‌هاي غير مجاز يا بالابودن سرويس‌هاي غيرضروري بر روي ماشين‌هاي موجود باشد. هم‌چنين در صورت استفاده از ابزارهاي ويژه پويش، مي‌توان نوع سيستم‌عامل‌ها برنامه‌هاي كاربردي فعال بر روي‌ آن‌ها را نيز بدست آورد.
  2. پويش آسيب‌پذيري‌ها: در اين مرحله با استفاده از برنامه‌هاي گوناگون پويش آسيب‌پذيري‌ها، علاوه بر شناخت ميزبان‌ها و سرويس‌هاي فعال بر روي آن‌ها، نقاط آسيب‌پذيري موجود نيز كشف و گزارش مي‌شود. ابزارهاي پويش آسيب‌پذيري‌ها، به دو دسته مختلف تقسيم مي‌شوند: مبتني بر ميزبان و مبتني بر شبكه. ابزارهاي مبتني بر ميزبان، با نصب و اجرا بر روي ميزبان مورد نظر، اقدام به جستجو و كشف نقاط آسيب‌پذيري مي‌نمايند. با توجه به سطح دسترسي ويژه‌اي كه اين ابزارها از آن برخوردار مي‌باشند، امكان كشف آسيب‌پذيري‌هاي يك ميزبان را در سطح بالايي فراهم مي‌آورند. از طرف ديگر، ابزارهاي پويش مبتني بر شبكه، با پويش ميزبان مورد نظر و ارسال ترافيك سعي در كشف نقاط آسيب‌پذيري مي‌نمايند. براي رسيدن به نتايج مطلوب، هر دو دسته ابزارهاي پويش آسيب‌پذيري مورد استفاده واقع مي‌شوند. از طرف ديگر، با توجه به وجود خطاي مثبت غلط در خروجي اين ابزارها نياز به بررسي و تحليل خروجي آن‌ها توسط كارشناسان‌ خبره وجود دارد. خروجي اين مرحله از ارزيابي در برگيرنده اطلاعات مناسبي راجع به آسيب‌‌هاي موجود، علت بروز آسيب‌پذيري و شيوه برطرف كردن يا كاهش مشكلات آن‌ها مي‌باشد. در حال حاضر، علاوه بر استفاده از ابزارهاي پويش آسيب‌پذيري‌ها، به منظور شناخت و كشف آسيب‌پذيري سرويس‌هاي رايج و مشهور موجود، چك‌ليست‌هاي ويژه‌اي نيز توسط كارشناسان اين شركت توليد شده است كه استفاده از آن‌ها كمك فراواني به شناخت آسيب‌پذيري‌هاي يك ميزبان يا سرويس خاص نموده و نقاط ضعف ابزارهاي پويش را مي‌پوشاند.
  3. آزمون گذرواژه‌ها: امنيت گذرواژه‌ها ارتباط مستقيمي با امنيت ميزبان‌ها و سرويس‌هاي كاربردي دارد. چنانچه گذرواژه‌هاي مورد استفاده به راحتي قابل حدس‌زدن باشد و يا به صورت ساده و رمزنشده بر روي كانال‌هاي ارتباطي انتقال يابد، امكان كشف و سوءاستفاده از آن‌ها را فراهم مي‌آورد. در اين مرحله از ارزيابي، امکان استخراج گذرواژه‌ها با شنود کانال‌هاي ارتباطي بررسي مي‌شود. هم‌چنين امکان حدس يا استخراج گذرواژه‌ها از روي فايل‌هاي ذخيره گذرواژه‌ها مورد بررسي قرار مي‌گيرد. خروجي اين مرحله، اطلاعات كاملي را راجع به ميزان قوت گذرواژه‌هاي انتخابي و يا چگونگي شنود گذرواژه‌ها ارائه مي‌دهد.
  4. آزمون رويدادنامه‌ها: سيستم‌عامل‌ها و برنامه‌هاي كاربردي گوناگون امكانات مختلفي را براي رويدادنگاري اطلاعات فراهم مي‌آورند. مطالعه و تحليل فايل‌هاي رويدادنگاري، اطلاعات مناسبي را راجع به عملكرد سيستم و مشكلات موجود در اختيار ارزياب امنيتي قرار مي‌دهد.
  5. آزمون بررسي جامعيت: بررسي جامعيت ‌فايل‌ها زمينه مناسب را براي پيدا كردن فايل‌هاي تغييريافته در اختيار ارزياب امنيتي يا مدير سيستم قرار مي‌دهد.
  6. آزمون برنامه‌هاي مخرب: در حال حاضر بخش عمده‌اي از مشكلات كامپيوتري ناشي از گسترش ويروس‌ها و كرم‌هاي كامپيوتري مي‌باشد. در اين مرحله، چگونگي و سطح برخورد با برنامه‌هاي مخرب (اعم از ويروس‌، کرم و اسب‌تراوا)، قوت آنتي‌ويروس مورد استفاده و مكانيزم به‌روز رساني آن مورد بررسي قرار مي‌گيرد.
  7. آزمون كنترل‌هاي امنيتي: بررسي قابليت‌هاي كنترل‌هاي امنيتي، چگونگي پيكربندي و مديريت آن‌ها، در اين مرحله از ارزيابي انجام مي‌شود. اين كنترل‌هاي امنيتي مي‌تواند شامل تجهيزات شبكه‌اي (مسيرياب‌، سوئيچ‌)، حفاظ و سيستم تشخيص تهاجم باشد.
  8. آزمون حملات از كاراندازي خدمات: با توجه به عوارض سوء حملات از كاراندازي خدمات در برپايي سيستم‌ها، در اين مرحله از ارزيابي، امكان انجام حملات از كاراندازي خدمات بر روي ماشين‌ها و سرويس‌هاي مختلف مورد بررسي قرار مي‌گيرد.
  9. آزمون War Dialing: چنانچه از مودم در ساختار يك شبكه استفاده شده باشد، لازم است كه كنترل‌هاي امنيتي خاصي بر روي آن اعمال گردد، اين مرحله از ارزيابي به بررسي نقاط ضعف‌هاي ناشي از وجود مودم مي‌پردازد.
  10. آزمون War Driving: با توجه به گسترش استفاده از شبكه‌هاي بي‌سيم در سازمان‌ها و شبكه‌هاي مختلف لازم است كه مشكلات ناشي از آن نيز بررسي و مشخص گردد. اين مرحله از ارزيابي به بررسي نقاط ضعف ناشي از وجود ارتباطات بي‌سيم مي‌پردازد.
  11. آزمون نفوذ واقعي: در اين مرحله از ارزيابي، شيوه‌هاي مختلف نفوذ به سيستم‌ها و شبكه‌هاي كامپيوتري از بيرون يا داخل سازمان بررسي و اجرا مي‌شود. خروجي اين مرحله از ارزيابي، اطلاعات كاملي را راجع به شيوه نفوذ، مراحل گوناگون انجام آن و طريقه گسترش دامنه نفوذ فراهم مي‌آورد. به عبارت ديگر در اين مرحله، ارزياب امنيتي در جايگاه يك مهاجم واقعي با هدف نفوذ به شبكه يا سيستم‌هاي داخلي يك سازمان عمل مي‌كند.

با انجام ارزيابي امنيتي در مراحل فوق، نقاط آسيب‌پذيري موجود كشف، علت بروز آن‌ها مشخص و چگونگي برطرف كردن يا كاهش مخاطرات آن‌ها گزارش مي‌شود. اين گزارش كمك فراواني به مدير سازمان در توليد، توسعه و مستندسازي سياست‌هاي امنيتي يك سازمان خواهد نمود

هر سيستم اطلاعاتي و شبکه کامپيوتري راهکارهاي امنيتي مخصوص به خود را دارد و اين راهکارها بر اساس سرويس‌هاي امنيتي مورد نياز آن شبکه تعريف مي‌شود. سرويس‌هاي امنيتي توسط استانداردهاي مختلفي بيان شده که شايد مهمترين آن استاندارد X.800 باشد . اين استاندارد براي امنيت هشت بعد مختلف قائل شده است که عبارتند از:

 

  • حفظ حريم خصوصي (Privacy)
  • قابليت دسترسي (Availability)
  • صحت داده‌ها (Data Integrity)
  • امنيت ارتباطات (Communication Security)
  • محرمانگي داده‌ها (Data Confidentiality)
  • انکارناپذيري (Non-Repudiation)
  • احراز اصالت (طرفين) (Authentication)
  • کنترل دستيابي (Access Control)

 

گروه انفورماتیک پارمیس آماده است با استفاده از کادر مجرب خود راهکارها و ارزيابي‌هاي امنيتي ذيل را بر اساس ابعاد امنيتي مورد نياز مشتريان خود ارائه نمايد.

 

  1. ارزیابی امنیتی سیستم‌های اطلاعاتی و شبكه با هدف شناخت آسیب‌پذیری‌ها
  2. اجرای آزمون نفوذ از داخل و خارج سازمان
  3. ارائه طرح و راه‌حل‌های امنیتی
  4. پیاده‌سازی، نگهداری و پشتیبانی از طرح امنیتی ارائه شده توسط امن‌افزار
  5. خدمات مشاوره در زمینه امنیت شبكه
  6. پیشنهاد توپولوژی امن شبكه و یا تزریق امنیت در شبكه موجود
  7. نصب، پیكربندی و نگهداری ابزارهای امنیتی نظیر فایروال، IDS/IPS، Honeypot و آنتی‌ویروس
  8. خدمات مشاوره‌ای در زمینه امن‌سازی سرویس‌ها و تجهیزات شبكه، سیستم‌عامل و پایگاه داده
  9. امن‌سازی و پیكربندی امن سرویس‌ها و تجهیزات شبكه، سیستم‌عامل و پایگاه داده
  10. خدمات مشاوره‌ای در زمینه مدیریت امنیت و استانداردهای مدیریت امنیت
  11. خدمات مشاوره‌ای در زمینه مدیریت ریسك مبتنی بر استانداردهای مدیریت امنیت
  12. تدوین سیاست امنیتی و مشاوره در زمینه راه‌اندازی ISMS
  13. تدوین دستورالعمل‌ها، رهیافت‌ها و استانداردهای نگهداری و استمرار امنیت
  14. ارزیابی و سنجش پیاده‌سازی سیاست امنیتی در سازمان
  15. ارائه دستورالعمل‌های پیكربندی امن سرویس‌ها و تجهیزات شبكه، سیستم‌عامل و پایگاه داده

پياده‌سازي نرم‌افزار داراي مراحل مختلفي است که بايستي نکات و مباحث امنيتي در هر يک از مراحل مذکور مد نظر گرفته شود. نرم‌افزارهاي مختلف رايانه‌اي از قبيل سيستم‌عامل‌ها، برنامه‌هاي سيستمي، و برنامه‌هاي كاربردي و وب سایت ها  هريك براي انجام مأموريت خاصي طراحي شده‌اند و در شرايط مختلف، انتظار عملكردهاي متفاوت اما پيش‌بيني نشده از تمام آنها مي‌رود. بدليل پيچيدگي‌هاي محيط رايانه‌اي امروز، پيش‌بيني تمام شرايط ممكن براي پديدآورندگان اين نرم‌افزارها ممكن نيست و لذا چنانچه بتوان آنها را در چنين شرايطي قرار داد، معمولاً مي‌توان انتظار عملكردهاي پيش‌بيني نشده‌اي از آنها داشت. در شرايطي كه بتوان اين عملكرد پيش‌بيني نشده را به سمت و سوي خاصي هدايت كرد، مي‌توان برنامه را به انجام كارهايي واداشت كه ممكن است با چارچوبهاي امنيتي سيستم مورد استفاده و يا سازمان سازگار نباشد.

 

از آنجاکه بسياري از شرکت‌هاي فعال در زمينه نوشتن نرم‌افزار با اين مباحث آشنا نمي‌باشند، لذا بسياري از نرم‌افزارهاي نوشته شده توسط آن‌ها به راحتي قابل هک و نفوذ است.

 

بررسی شرايط كاربرد وب سایت ها و برنامه هاي كاربردي و متن برنامه‌هاي مورد استفاده، باعث مي‌شود سازمانها درخصوص استحكام اين نرم‌افزارها نسبت به آسيب‌پذيريها و حقه‌هاي شناخته‌شده، آسوده‌خاطر باشند. طي اين خدمات، متخصصان پارمیس علاوه بر آزمون نرم‌افزار هنگام اجرا، متن برنامه كاربردي را نيز مورد بازبيني قرار مي‌دهند تا آسيب‌پذيريهاي بالقوه و عملكردهاي مشكوك آنرا شناسايي و درصورت امكان رفع كنند.

 

هزينه‌اي كه براي اين منظور توسط سازمان انجام مي‌شود، درحقيقت به منزله يك سرمايه‌گذاري مطمئن است كه مي‌تواند از درصد زيادي از حملات شناخته‌شده بر عليه نرم‌افزار، در زمان اجرا جلوگيري كند.

تاریخ نام نرم افزار ( وب سایت ) نوع آسیب پدیری
5/07/2012 سامانه پیامک SMSAFZAR SQL Injection

طراحی حرفه ای وب سایت

زیبایی ، قدرت مدیریت ، سرعت لود بالا و اوج گسترش پذیری با محصولات طراحی وب سایت گروه انفورماتیک پارمیس

 طراحی وب سایت اولین قدم در راستای ایجاد فرصت های تازه کسب و کار به شیوه نوین می باشد . در این خصوص طراحی وب سایت حرفه ای با قابلیت های مورد انتظار برای مشتری امر مهم می باشد .

از این رو حساسیت در انتخاب شرکت طراحی وب سایت امری اجتناب ناپذیر است,  معیارهایی از قبیل تجربه کاری شرکت , استفاده از تکنولوژی های نوین در طراحی وب سایت , استفاده از متخصصین فن در زمینه طراحی سایت می تواند مشتری را در تحقق اهداف خود یاری سازد.

گروه انفورماتیک پارمیس با هسته ای متشکل از برنامه نویسان و متخصص صاحب نام در زمینه تجارت الکترونیک از سال 1385 تا کنون توانسته در زمینه راه اندازی کسب و کارهای نوین , مشاوره در زمینه خدمات قابل ارائه در سیر جهانی اینترنت و خصوصا طراحی وب سایت گام های بلندی در راستای تحقق اهداف مشتری بردارد . هم اکنون افتخار همکاری با مشتریان صاحب نام در زمینه های مختلف تجارت الکترونیک به ویژه طراحی وب سایت را داریم که خود نشان از حسن انجام کار این گروه در ارائه خدمات به مشتری و پاسخ به اعتماد آنها می باشد .

در صورتی که شما قصد شروع تجارتی نوین در بستر اینترنت را دارید و یا اینکه به دنبال شرکتی حرفه ای جهت واگذاری طراحی وب سایت خود به آن شرکت را دارید قبل از اینکه متحمل هزینه های سنگین جهت طراحی وب سایت های غیر حرفه ای شوید جهت آنالیز تبدیل حرفه خود به یک وب سایت اینترنتی و شروع طراحی  وب سایتی حرفه ای با ما تماس بگیرید تا به صورت رایگان از مشاوره تیمی متخصص بهره مند شوید