فرآیند ارزیابی محصولات مطابق دستورالعملهای ارائهشده توسط سازمان فنآوری اطلاعات ایران و مرکز مدیریت راهبردی افتای ریاست جمهوری، همچنین جزئیات فعالیتها در آزمایشگاه آزمون و ارزیابی تجهیزات شبکه و امنیت دانشگاه صنعتی شریف به شرح زیر است:
هزینه آزمونهای امنیت بر اساس نظام ارزیابی افتا شامل 2 بخش است، هزینه ارزیابی اسناد و هزینه ارزیابی محصول.
با توجه به تنوع محصولات امکان تعیین هزینه آزمونها به صورت کلی فعلا امکان پذیر نیست و به ازای هر محصول با توجه به نوع محصول و بخشهای مختلف و ویژگیهای آن باید هزینه توسط کارشناسان بخش امنیت تعیین شود.
برای سایر آزمونهای امنیت مانند قدرت تشخیص حملات IPS، آزمون نفوذ پذیری، Stress Test نیز هزینه آزمون با توجه به نوع و زمان آزمون باید توسط کارشناسان بخش امنیت تعیین گردد.
برای تعیین دقیق هزینه آزمون و دریافت پیشفاکتور لطفا با شماره 66166660-021 یا رایانامه mail [[@]] netel.org یا بخش تماس با ما مکاتبه فرمایید.
آزمایشگاه آزمون وارزیابی تجهیزات شبکه دانشگاه صنعتی شریف موفق به کسب گواهی تایید صلاحیت آزمایشگاههای ارزیابی امنیتی محصولات در حوزه تجهیزات امنیت شبکه شد.
اکنون ما به عنوان آزمایشگاه همکار سازمان فناوری اطلاعات و مرکز افتا، دارای مجوز قانونی ارزیابی امنیتی تجهیزات شبکه طبق استاندارد ISO 15408 (common criteria) هستیم.
برای آزمون تجهیزات امنیت شبکه تا کنون روش استاندارد و جامعی ارائه نشده است، روشهایی مانند RFC 3511 فقط برای ارزیابی کارایی این تجهیزات پیشنهاد شده و سایر ویژگیهای آنها را مورد آزمون قرار نمیدهد، برای آشنایی مختصر با استاندارد معیار مشترک Common Criteria و ویژگیها و مشکلات آن میتوانید به اینجا مراجع فرمایید. متدولوژیهای آزمون مانند ISSAF، OSSTMM و ... با هدف ارزیابی امنیت شبکه یک سازمان شامل وبسایتها، سرورها، تجهیزات شبکه و... طراحی شدهاند که گاهی بخشهایی از آنها برای ارزیابی یک دستگاه امنیت شبکه استفاده میشود، که به دلیل اینکه هدف اصلی این روشها ارزیابی امنیت شبکه است نه آزمون تجهیزات شبکه استفاده از آنها به عنوان روش اصلی آزمون توصیه نمیشود. در سراسر دنیا آزمایشگاههایی مانند NSS labs, ICSA, Miercom وجود دارند که به صورت تخصصی محصولات سازندگان مختلف را مورد آزمون قرار میدهند بیشتر این آزمایشگاهها اقدام به طراحی متدولوژی انحصاری خود برای ارزیابی این محصولات کردهاند که در ادامه نگاهی گذرا به روشهای آزمون آزمایشگاه NSS خواهیم داشت. آزمایشگاه NSS یکی از آزمایشگاههای معتبر آزمون تجهیزات امنیت شبکه است. این آزمایشگاه روشهایی برای آزمون انواع تجهیزات حفظ امنیت معرفی کرده است که در سطح جهانی توسط سازندگان و مدیران شبکه مورد پذیرش قرار دارد. مواردی که در آزمونهای آزمایشگاهNSS مورد آزمون قرار میگیرند عبارتند از: اثربخشی امنیتی (Security effectiveness) کارایی پیکربندی و مدیریت در شکل نیز نتایج آزمون پوشش حملات برحسب سال برای Forcepoint Stonesoft Next Generation Firewall 3301 را آوردهایم، همانطور که مشخص است این محصول به غیر از سال 2012 بقیه حملات مربوط سالهای مختلف را به صورت کامل تشخیص میدهد.
هدف از استاندارد ISO15408 موسوم به استاندارد معیار مشترک (CC)، ارائه روشی برای آزمون امنیتی است. روش معیار مشترک برای بهبود سازگاری در ارزیابی امنیتی محصولات و سیستمها ارائه شده است. این روش یک تلاش جهانی برای تعریف روش ارزیابی امنیتی محصولات IT است که توسط هر دو مولفه مشتری و ارائهکننده محصولات شناخته شده است. به طور خلاصه، روش معیار مشترک یک راهنمای مفید برای توسعه محصولات و سیستمها با توابع امنیتی مورد نیاز و خرید محصولات تجاری بر اساس این نیازمندیها است. اعتبار اسناد تولیدشده و نتیجه آزمون توسط متخصصان آزمون بررسی میشود. این استاندارد دارای سه بخش است. بخش اول، مفاهیم کلی و اصول ارزیابی امنیتی محصولات IT را تعریف و یک مدل کلی از ارزیابی را ارائه میکند. این بخش همچنین زیرساختی برای بیان اهداف امنیتی IT، انتخاب و تعریف نیازمندیهای امنیتی IT و نوشتن توصیف سطح بالا برای محصولات و سیستمها ارائه میکند. بخش دوم، مجموعهای از اجزای عملکردی امنیتی را ارائه میکند که از آن به عنوان یک روش استاندارد برای بیان نیازمندیهای امنیتی محصولات و سیستمهای IT استفاده میشود. بخش سوم یک مجموعه از اجزای تضمین امنیتی ارائه میکند که میتواند به عنوان روش استاندارد بیان نیازمندیهای اطمینان برای محصولات و سیستمهای IT استفاده شوند. بنابراین، این استاندارد از دو بلوک اصلی شامل نیازمندیهای عملکردی امنیتی و نیازمندیهای تضمینی امنیت تشکیل شده است. در بخش دوم از روش معیار مشترک یازده رده برای نیازمندیهای عملکردی امنیتی تعریف شده است: ممیزی سازمانی[1]، هویت و احراز اصالت، منابع مورد استفاده، پشتیبانی رمزنگاری، مدیریت امنیتی، دسترسی به مقصد ارزیابی، ارتباطات، حریم خصوصی، کانالها و مسیرهای قابل اعتماد، حفاظت از دادههای کاربر و حفاظت از توابع امنیتی در مقصد ارزیابی. در بخش سوم از روش معیار مشترک هشت رده برای تضمین امنیتی معرفی شده است: مدیریت پیکربندی، سند راهنمایی، ارزیابی آسیبپذیری، عملکرد[2] و انتقال[3]، پشتیبانی از چرخه عمر، تضمین نگهداری، توسعه و آزمون. همچنین استاندارد معیار مشترک هفت بسته موسوم به سطوح تضمین ارزیابی(EAL)[4]ارائه میکند. این سطوح تضمین ارزیابی به ترتیب عبارتند از آزمون عملکرد، آزمون ساختار، آزمون کنترل و روشمندی، طراحی، آزمون و مرور روشمند، طراحی و آزمون نیمهرسمی، بازبینی طراحی و آزمون نیمهرسمی، بازبینی طراحی و آزمون رسمی. EAL1 پایینترین سطح تضمین است و از EAL1 تا EAL4 بهتدریج دقت و جزئیات ارزیابی افزایش مییابد. بیان انتزاعی اصطلاحات و واژههای فنی در استاندارد CC زمینه را برای ایجاد ابهام در درک و تفسیر معنای دقیق نیازمندیهای امنیتی فراهم آورده است. علاوه بر این استاندارد CEM استاندارد دیگری است که فرایند ارزیابی برمبنای CC را در قالب واحدهای کاری تعریف میکند. یکی از مهمترین پیشنیازهای رسیدن به یک اجماع در فرایند ارزیابی، وجود یک دیدگاه یکسان نسبت به تغییر واحدهای کاری است. متاسفانه واحدهای کاری CEM تعریفی ساختیافته ندارد، بنابراین اجرای هر واحد کاری بستگی زیادی به ادراک شخصی آزماینده دارد. همین نکته موجب بروز مشکلاتی ناشی از برداشتهای متفاوت از روند دقیق ارزیابی میشود. نکته دیگر زمانبر بودن فرایند ارزیابی است که خود موجب پرهزینه شدن این فرایند میشود. اشکال دیگری که بهکارگیری استاندارد CC دارد این است که نیازمند همکاری متقابل با تولیدکننده است و برای محصولات وارداتی که دسترسی به سازنده به دلایلی مانند تحریم و ... وجود ندارد، نمی توان از آن استفاده کرد.
RFC 3511 شامل توصیههایی برای ارزیابی کارایی حفاظ که البته قابل تعمیم به سایر ابزارها و تجهیزات امنیت شبکه نیز هست. علاوه بر تعریف آزمونها، این استاندارد ساختاری برای گزارش نتایج آزمونها نیز ارائه میکند. در این استاندارد، چهار جنبه از آزمون کارایی حفاظ پوشش داده شده است: ارسال بسته، نرخ اتصال، تأخیر و فیلترینگ. ابتدا پیکربندی حفاظ برای آزمون معرفی شده است. در یک پیکربندی، حفاظ از یک طرف به شبکه عمومی مانند اینترنت و از طرف دیگر به شبکه داخلی حفاظت شده متصل است. در پیکربندی دیگر، حفاظ از یک طرف به شبکه عمومی، از طرف دیگر به شبکه داخلی و از طرف سوم به سرورها متصل شده است. در مرحله بعد تمامی جریانهای ترافیکی ممکن برای هر پیکربندی تعریف شده است. همچنین نحوه آزمون در صورت وجود چندین مشتری/سرویسدهنده، مترجم آدرس شبکه (NAT)، نحوه پیادهسازی قوانین کنترل دسترسی، حافظه نهان، احراز هویت و ملاحظات پشته TCP تشریح شده است. این استاندارد شامل 10 آزمون مختلف است که در ادامه لیست آنها را آوردهایم و یکی از آنها را شرح خواهیم داد.
مدیر آزمایشگاه آزمون و ارزیابی تجهیزات شبکه دانشگاه شریف گفت: دانستن فرآیند آزمون و هزینهها حق شرکتهاست، با انحصاری بودن آزمایشگاهها مخالفیم دکتر جهانگیر: ما میکوشیم در کمترین زمان ممکن نتیجه و گزارش مربوط به تست کالا را به واردکنندگان تجهیزات شبکه ارائه کنیم و از افزایش این آزمایشگاهها و تبادل تجربیات خود با دیگران استقبال میکنیم.
توانمندیهای آزمایشگاه آزمون و ارزیابی تجهیزات شبکه دانشگاه صنعتی شریف
این آزمایشگاه در سال 1388 با حمايت مركز تحقيقات مخابرات ايران تأسیس شده و داراي اعتبارنامه دائم براي تاييد نمونه از سوي سازمان تنظيم مقررات و ارتباطات راديويي و همين طور اعتبارنامه بينالمللي IEC/ISO 17025 است.
در این آزمایشگاه انواع سوییچ و مسیریاب شبکه از نظر کارایی و انطباق مورد ارزیابی قرار میگیرند تا کنون بیش از 1370 دستگاه سوییچ شبکه و بیش از 200 دستگاه مسیریاب شبکه از 100 سازنده مختلف مورد آزمون و ارزیابی قرارگرفته است.
این آزمایشگاه دارای 2 دستگاه آزماینده SPT9000A و N11U از شرکت Spirent است که توسط آنها قادر به تولید ترافیکهای واقعی شبکه ميباشد. این دستگاهها دارای 84 درگاه 1Gbps و 32 درگاه 10Gbps هستند و همچنین در آینده نزدیک قرار است درگاههای 40Gbps نیز روی این دستگاهها نصب شوند.
همچنین با تجهیزات موجود در آزمایشگاه قادر به تولید ترافیکهای لایه 7 شامل پروتکلها HTTP, SMTP, POP3, FTP, … هستیم که از این ترافیکها برای ارزیابی کارایی تجهیزاتی که در لایه كاربرد شبکه کار میکنند مانند IDS, IPS, UTM ,… میتوان استفاده کرد. همچنین پایگاه حملات شبکهای آزمایشگاه شامل بیش از 8 هزار حمله است که از آنها میتوان برای ارزیابی امنیتی سامانههای تشخیص و جلوگیری از نفوذ استفاده کرد.
با توجه به افزايش اخير دامنه اعتبارنامه ISO17025 آزمايشگاه به حوزه امنيت (تجهيزاتی مانند IDS, IPS, Firewall…) بهزودي (پس از اخذ مجوزهاي رسمي از افتا و سازمان تنظيم مقررات) آزمونهاي امنيت نيز انشاءالله انجام خواهد شد.
1- برخي فعالیتهاي پژوهشي و پروژههای انجام شده در آزمایشگاه:
- طرح جامع آزمایشگاههای تأييد نمونه تجهيزات فناوري اطلاعات و ارتباطات برای سازمان تنظیم مقررات رادیویی
با استفاده از PGP (Pretty Good Privacy) شما ميتوانيد محرمانگي پيغامها و فايلهايتان را با کمک رمزگزاری حفظ کنيد بهطوري که فقط دريافتکنندگان مورد نظر شما بتوانند آنها را باز کنند و بخوانند. به علاوه ميتوانيد پيامها و فايلهايتان را امضاي ديجيتال کنيد تا دريافتکنندگان مطمئن شوند که متعلق به شما هستند. يک پيام امضاءشده، عدم تغيير محتويات آن را نيز تاييد ميکند. در این مقاله سعی کردیم به زبانی ساده نحوه استفاده از PGP و افزایش امنیت ایمیل شخصی را توضیح دهیم.
با استفاده از PGP (Pretty Good Privacy) شما ميتوانيد محرمانگي پيغامها و فايلهايتان را با کمک رمزگزاری حفظ کنيد بهطوري که فقط دريافتکنندگان مورد نظر شما بتوانند آنها را باز کنند و بخوانند. به علاوه ميتوانيد پيامها و فايلهايتان را امضاي ديجيتال کنيد تا دريافتکنندگان مطمئن شوند که متعلق به شما هستند. يک پيام امضاءشده، عدم تغيير محتويات آن را نيز تاييد ميکند.