 سمینار تخصصی امنیت در پورتال های سازمانی سمینار تخصصی امنیت در پورتال های سازمانی با هدف بررسی امنیت وب در حوزه پورتال های سازمانی، توسط شرکت سازه اطلاعات سامان در سالن شهید قندی وزارت ارتباطات و فن آوری ارتباطات برگزار شد.
در ابتدای این مراسم جعفر اسکندریان مدیر عامل شرکت سازه اطلاعات سامان، ضمن ارایه توضیحاتی در مورد شرکت و اهمیت امنیت در چرخه فعالیت های آن مجموعه، از دلایلی همچون طیف مشتریان، علاقه شرکت ها و مجموعه های امنیتی برای کشف آسیب پذیری ها و انگیزه های افراد بدخواه و سود جو، به عنوان مهم ترین فاکتورها در اهمیت دادن به موضوع امنیت، در شرکت سازه اطلاعات سامان اشاره کرد.
مدیر عامل شرکت سازه اطلاعات سامان در رابطه با انگیزه ها و ضرورت های برگزاری سمینار افزود: "بیش از ده سال تجربه در حوزه وب و امنیت و همکاری با مراکز علمی و دانشگاهی و همچنین نیاز روز افزون جامعه فن آوری اطلاعات به دانش های حوزه امنیت ما را برآن داشت که اقدام به برگزاری این سمینار نماییم."
مدیر عامل شرکت سازه اطلاعات سامان ، افزودن ضرورت ایجاد یک دیدگاه مشترک برای حل مسایل مشترک فی مابین کارفرما، پیمانکار و سایر ذینفعان موجود در این زمینه و همچنین گشودن باب تعامل گسترده تر با مشتریان، متخصصان و مراکز تخصصی امنیت در راستای ارتقاء و بهبود مستمر مقوله امنیت را از دیگر انگیزه ها و اهداف برگزاری این سمینار برشمرد.
وی از برقراری ارتباط با سایر مراکز تخصصی امنیت در کشور و برخورداری از مشاوره و همکاری آنان در دو بخش "بهبود عملکرد نرم افزار پورتال سامان از نقطه نظر امنیت" و "مشاوره و ارزیابی امنیتی در هر یک از پروژه های اجرایی" به عنوان یکی از مهمترین چشم اندازهای فعالیت های آتی اشاره کرد.
نهادینه کردن آموزش در حوزه امنیت برای سازمانهای مختلف، برقراری ساز و کارهای اجرایی برای آزمونهای منظم امنیتی در پروژه های اجرا شده و تشکیل کارگروه های فنی مرکب از کارشناسان سازمان های مختلف برای تبادل تجربیات و راهکارها در حوزه امنیت، از دیگر چشم اندازهای فعالیت های آتی بود که توسط اسکندریان برای حاضرین بیان شد.
سخنران اولین نشست سمینار، دکتر کاهانی مدیر آزمایشگاه آپای دانشگاه فردوسی مشهد و دانشیار گروه مهندسی کامپیوتر این دانشگاه بود. در این نشست، الزامات امنیت، استانداردهای ارزیابی امنیت و آزمون نفوذپذیری توسط وی ارایه شد.
دکتر کاهانی از پورتال به عنوان یک برنامه مبتنی بر وب که امکان دسترسی آسان و مجتمع به منابع و سرویس های سازمانی را برای کاربران داخلی و خارجی فراهم می سازد، نام برد.
روند کلی امنیت اطلاعات در سه دهه گذشته و همچنین انواع حملات و ریسکهای امنیتی هر یک به عنوان مقدمه شروع بحث، توسط دکتر کاهانی ارایه شد. وی اعلام کرد که بر اساس آمارهای رسمی، در سال 2008، حدود 75 درصد حملات برروی لایه برنامه کاربردی وب تمرکز داشته و مابقی 25 درصد مربوط به سایر لایه ها از جمله لایه شبکه می باشند. در مقابل 90 درصد هزینه های امنیتی برروی مسایلی مانند شبکه و سرویس دهنده صرف شده و تنها 10 درصد کل هزینه برروی لایه برنامه کابردی وب سرمایه گذاری شده است. یکی از مهمترین دلایل بروز این مسیله از دیدگاه وی، دشوارتر بودن رفع آسیب های امنیتی لایه کاربرد در مقابل سایر لایه ها و بخشها بیان شد.
مدیر فناوری اطلاعات دانشگاه فردوسی افزود بر اساس آمار اعلام شده توسط Watchfire نود درصد سایتها در مقابل حملاتی مانند SQL Injection و XSS آسیب پذیر هستند. سیستم ها و مکانیزم های امنیتی مرسوم مانند دیوارهای آتش به هیچ وجه امکان تشخیص چنین نوع حملاتی را نداشته و عملا داده های با ارزش سازمان و همچنین اعتبار آن در معرض خطرات بسیار جدی قرار دارند.
دکتر کاهانی، از علل اصلی این آسیب پذیری ها به عدم آموزش برنامه نویسان برای توسعه و تست امن کاربردها و عدم توانایی ابزارهای امنیتی شبکه برای مقابله با این دسته از حملات، نام برد. وی همچنین در رابطه با وضعیت فعلی موجود در کشور افزود: سازمانها و مجموعه های کارفرما معمولا برنامه های خود را بسیار دیر و در زمان استقرار تست می کنند. همچنین خلا ارتباطی زیادی بین برنامه نویسان و متصدیان امنیت در مورد رفع آسیب پذیری ها وجود دارد و سطح پوشش تست های امنیتی نیز به هیچ وجه کامل نیست.
دکتر کاهانی یکی از روشهای ارزیابی امنیتی کاربردهای مبتنی بر وی را "استاندارد تایید امنیت برنامه های مبتنی بر وب (ASVS)" بیان کرد. این استاندارد در سال 2009 توسط مجموعه OWASP ارایه شده است. این استاندارد چهار سطح سلسله مراتبی را برای تایید امنیت نرم افزار مبتنی بر وب معرفی می کند. در این استاندارد برای هر یک از سطوح، تأییدات لازم مربوطه، و روش انجام هر یک از تأییدات مشخص شده است. در ادامه نشست اول، استاندارد ASVS به صورت اختصار توسط دکتر کاهانی برای حاضرین معرفی شد.
معرفی آزمایشگاه ارزیابی امنیتی دانشگاه فردوسی مشهد، آزمایشگاه تخصصی آپا، از دیگر مباحث مطرح شده توسط دکتر کاهنی در نشست اول بود. حوزه فعالیت های این مجموعه انجام آزمون های نفوذ پذیری، برگزاری دوره های آموزشی به صورت حضوری و مجازی در موضوعات متنوع مربوط به امنیت و صدور گواهینامه امنیتی ASVS 1A+ توسط دکتر کاهانی معرفی شد.
در انتهای این نشست، فرهنگ سازی مناسب و ایجاد دغدغه امنیت فضای تبادل اطلاعات در سازمانهای دولتی استان و کشور، فعالشدن شرکتهای خصوصی برای ارتقای امنیتی نرمافزارهای تولیدی و جذب و همکاری تعدادی از کارشناسان و کارشناسان ارشد حوزه امنیت در آزمایشگاه آپا علیرغم نبود گرایش امنیت در دانشگاههای استان از دستاوردهای فعالیت های آزمایشگاه آپا توسط دکتر کاهانی برای حاضرین برشمرده شد.
در نشست دوم، موضوع محیط، زیر ساخت و نرم افزار پورتال به عنوان لایه های امنیت در پورتال توسط فرامرز کلانتری، رییس هیات مدیره شرکت سازه اطلاعات سامان، برای حاضرین ارایه شد.
کلانتری ضمن تأکید بر اهمیت حفاظت و تامین اطلاعات، از حرکت رو به رشد استفاده از وب، افزایش رغبت به نفوذ، حرفه یی شدن ابزارهای کمکی برای نفوذ و آسیب پذیر بودن اکثر سیستم ها به عنوان اهمیت این موضوع نام برد.
مفاهیم مرتبط با امنیت از جمله "حملات امنیتی"، "سرویس های امنیتی" و "مکانیزمهای امنیتی" توسط کلانتری برای حاضرین تشریح شد. معماری یک سیستم مبتنی بر وب و همچنین مشکلات موجود در این معماری که نتیجه آن بروز مشکلات شایع امنیتی موجود است، به عنوان یکی دیگر از مباحث در نشست دوم ارایه شد.
رییس هیات مدیره شرکت سازه اطلاعات سامان، امنیت را در لایه های مشتری، زیر ساخت و سیستم عامل، داده ها و اطلاعات، شبکه و کاربرد (نرم افزار) مورد بررسی قرار داد و به ازای هریک از لایه ها، روش های موجود برای امن ساختن آن لایه را نیز ارایه کرد.
در نهایت و در انتهای نشست دوم عوامل تاثیرگذار بر امنیت یک پورتال سازمانی توسط وی اشاره شد. از جمله این موارد کلانتری به موضوعاتی نظیر تست و تایید پورتال سازمانی، امن سازی زیر ساخت نصب پورتال، نصب و پیکربندی امن محصول روی سرویس دهنده، بهرگیری از ابزارهای مناسب امنیتی در کنار محصول پورتال سازمانی و پشتیبانی پیوسته محصول اشاره کرد.
در نشست سوم آرش شاهکار سرپرست تیم امنیتی مرکز آپای دانشگاه فردوسی، نگاهی گذرا برروی تهدیدهای امنیتی شایع وب داشت. در ابتدای این نشست شاهکار در مورد حساسیت های موجود در زمینه تهدیدهای امنیتی وب و همچنین میزان رشد این گونه تهدیدها در کنار کاهش نیاز هکرها به دانش سطح بالا اشاره کرد. وی اشاره کرد امروزه دانش مورد نیاز برای هک سایتها به دلیل وجود ابزارهای هک قدرتمند و هوشمند بسیار کمتر شده و در مقابل دانش مورد نیاز برنامه نویسان برای توسعه سیستم های امن بسیار بالاتر رفته است.
وی در ادامه سه حمله امنیتی SQL Injection، XSS و File inclusion را به صورت کلی و با ذکر مثالهایی برای حاضرین نمایش داد. شاهکار اضافه کرد روشهای فراوان و بسیار زیادی برای سوء استفاده از برنامه های وب و انجام حملات یاد شده وجود دارد که آشنایی با آنها برای توسعه یک سیستم امن، امری اجتناب ناپذیر خواهد بود.
در ادامه وی از اعتبار سنجی ورودی ها یا Input Validation به عنوان یکی از روشهای موجود برای جلوگیری از حملات یاد شده نام برد. در کنار این موضوع شاهکار بیان کرد که اینکار به تنهایی نمی تواند ضامن امن شدن یک سیستم را فراهم سازد.
در انتهای نشست، شاهکار از دیگر حوزه های آسیب پذیر مانند اهراز هویت، کنترل دسترسی، مدیریت جلسات و کنترل استثناها به عنوان بخشی از موضوعات موجود در این زمینه اشاره کرد.
در آخر این سمینار، رضا قلعه عضو هیات مدیره شرکت سازه اطلاعات سامان، در مورد راهکارهای مقابله با تهدیدهای امنیتی در پورتال سامان سخنرانی نمود. وی ضمن تاکید مجدد بر اهمیت امنیت در طراحی، پیاده سازی، استقرار و پشتیبانی یک پورتال سازمانی به عنوان یک کاربر مبتنی بر وب، سرویس ها و مکانیزمهای امنیتی مورد استفاده در پورتال سامان را در سه بخش حفاظت پایه، مقابله با نفوذهای امنیتی و بازگشت از خرابی مورد بررسی قرار داد.
وی در رابطه با مباحث مربوط به حفاظت پایه در رابطه با موضوعاتی نظیر احراز هویت، حقوق دسترسی و مدیریت کاربران، امنیت تبادل و نگه داری داده ها، امنیت دسترسی به داده ها و پیکربندی محیط و زیرساخت، سخنرانی کرد.
در ادامه وی از فعالیتهایی به منظور اعتبار سنجی ورودی ها، محافظت از کد منبع، شناسایی و برخورد با مهاجمان و مرکز امنیت پورتال سامان به عنوان مجموعه اقدامات انجام شده در رابطه با مقابله با نفوذهای امنیتی در پورتال سامان نام برد.
در انتهای مباحث مطرح شده در این نشست مجموعه راهکارهای تعبیه شده در پورتال سامان برای بازگشت از خرابی نظیر، کنترل فعال بودن پورتال، ممیزی و ثبت وقایع، Mirroring & Clustering و فرایند تهیه نسخه پشتیبان و پشتیبان گیری توسط وی، برای حاضرین ارایه شد.
 برگزار کنندگان
شرکت مهندسی سازه اطلاعات سامان با همکاری آزمایشگاه آپای دانشگاه فردوسی مشهد
دبیر علمی سیمنار
آقای دکتر محسن کاهانی (رییس آزمایشگاه آپای دانشگاه فردوسی مشهد)
دبیر اجرایی سمینار
آقای عبدالله لطفی
|
