فرآیند ارزیابی


 

 

فرآیند ارزیابی محصولات مطابق دستورالعمل‌های ارائه‌شده توسط سازمان فنآوری اطلاعات ایران و مرکز مدیریت راهبردی افتای ریاست جمهوری، همچنین جزئیات فعالیت‌ها در آزمایشگاه آزمون و ارزیابی تجهیزات شبکه و امنیت دانشگاه صنعتی شریف به شرح زیر است:

ادامه مطلب

هزینه آزمون‌های امنیت


 

هزینه آزمون‌های امنیت بر اساس نظام ارزیابی افتا شامل 2 بخش است، هزینه ارزیابی اسناد و هزینه ارزیابی محصول.

با توجه به تنوع محصولات امکان تعیین هزینه آزمون‌ها به صورت کلی فعلا امکان پذیر نیست و به ازای هر محصول با توجه به نوع محصول و بخش‌های مختلف و ویژگی‌های آن باید هزینه توسط کارشناسان بخش امنیت تعیین شود.

برای سایر آزمون‌های امنیت مانند قدرت تشخیص حملات IPS، آزمون نفوذ پذیری، Stress Test نیز هزینه آزمون با توجه به نوع و زمان آزمون باید توسط کارشناسان بخش امنیت تعیین گردد.

برای تعیین دقیق هزینه آزمون و دریافت پیش‌فاکتور لطفا با شماره 66166660-021 یا  رایانامه mail [[@]] netel.org یا بخش تماس با ما مکاتبه فرمایید.

ادامه مطلب

کسب گواهی تایید صلاحیت آزمایشگاه‌های ارزیابی امنیتی محصولات


آزمایشگاه آزمون وارزیابی تجهیزات شبکه دانشگاه صنعتی شریف موفق به کسب گواهی تایید صلاحیت آزمایشگاه‌های ارزیابی امنیتی محصولات در حوزه تجهیزات امنیت شبکه شد.

اکنون ما به عنوان آزمایشگاه همکار سازمان فناوری اطلاعات و مرکز افتا، دارای مجوز قانونی ارزیابی امنیتی تجهیزات شبکه طبق استاندارد ISO 15408 (common criteria) هستیم. 

تصویر گواهی در وب‌سایت سازمان فناوری اطلاعات ایران


ادامه مطلب

روش‌های آزمون تجهیزات امنیت شبکه


برای آزمون تجهیزات امنیت شبکه تا کنون روش استاندارد و جامعی ارائه نشده است، روش‌هایی مانند RFC 3511 فقط برای ارزیابی کارایی این تجهیزات پیشنهاد شده و سایر ویژگی‌های آنها را مورد آزمون قرار نمی‌دهد، برای آشنایی مختصر با استاندارد معیار مشترک Common Criteria و ویژگی‌ها و مشکلات آن می‌توانید به اینجا مراجع فرمایید.
متدولوژی‌های آزمون مانند ISSAF، OSSTMM و ... با هدف ارزیابی امنیت شبکه یک سازمان شامل وب‌سایت‌ها، سرورها، تجهیزات شبکه و... طراحی شده‌اند که گاهی بخش‌هایی از آنها برای ارزیابی یک دستگاه امنیت شبکه استفاده می‌شود، که به دلیل اینکه هدف اصلی این روش‌ها ارزیابی امنیت شبکه است نه آزمون تجهیزات شبکه استفاده از آنها به عنوان روش اصلی آزمون توصیه نمی‌شود.
در سراسر دنیا آزمایشگاه‌هایی مانند NSS labs, ICSA, Miercom وجود دارند که به صورت تخصصی محصولات سازندگان مختلف را مورد آزمون قرار می‌دهند بیشتر این آزمایشگاه‌ها اقدام به طراحی متدولوژی انحصاری خود برای ارزیابی این محصولات کرده‌اند که در ادامه نگاهی گذرا به روش‌های آزمون آزمایشگاه NSS خواهیم داشت.
آزمایشگاه NSS یکی از آزمایشگاه‌های معتبر آزمون تجهیزات امنیت شبکه  است. این آزمایشگاه‌ روش‌هایی برای آزمون انواع تجهیزات حفظ امنیت معرفی کرده است که در سطح جهانی توسط سازندگان و مدیران شبکه مورد پذیرش قرار دارد.
مواردی که در آزمون‌های آزمایشگاهNSS مورد آزمون قرار می‌گیرند عبارتند از:
اثربخشی امنیتی (Security effectiveness)
کارایی
پیکربندی و مدیریت
در شکل نیز نتایج آزمون پوشش حملات برحسب سال برای Forcepoint Stonesoft Next Generation Firewall 3301  را آورده‌ایم، همانطور که مشخص است این محصول به غیر از سال 2012 بقیه حملات مربوط سال‌های مختلف را به صورت کامل تشخیص می‌دهد. 

 

گزارش کامل را می توان از لینک زیر دریافت نمایید.
ngips_forcepoint-stonesoft-next-generation-firewall-3301.pdf [805.49 Kb] ( تعداد دانلود: 348)
گزارش آزمون Sophos UTM که توسط آزمایشگاه ICSA تست شده است را هم از لینک زیر می توانید دریافت کنید.
sophos_utm_fw_report_20140819.pdf [110.08 Kb] ( تعداد دانلود: 302)
برای آشنایی با روش پیشنهادی آزمایشگاه آزمون و ارزیابی تجهیزات شبکه دانشگاه صنعتی شریف به پیوند زیر مراجعه فرمایید.
آزمون‌های تجهیزات امنیت شبکه​​​

ادامه مطلب

آشنایی با استاندارد معیار مشترک Common Criteria


هدف از استاندارد ISO15408 موسوم به استاندارد معیار مشترک (CC)، ارائه روشی برای آزمون امنیتی است. روش معیار مشترک برای بهبود سازگاری در ارزیابی امنیتی محصولات و سیستم‌ها ارائه شده است. این روش یک تلاش جهانی برای تعریف روش ارزیابی امنیتی محصولات IT است که توسط هر دو مولفه مشتری و ارائه‌کننده محصولات شناخته شده است. به طور خلاصه، روش معیار مشترک یک راهنمای مفید برای توسعه محصولات و سیستم‌‌ها با توابع امنیتی مورد نیاز و خرید محصولات تجاری بر اساس این نیازمندی‌ها است. اعتبار اسناد تولیدشده و نتیجه آزمون توسط متخصصان آزمون بررسی می‌شود.
این استاندارد دارای سه بخش است. بخش اول، مفاهیم کلی و اصول ارزیابی امنیتی محصولات IT را تعریف و یک مدل کلی از ارزیابی را ارائه می‌کند. این بخش همچنین زیرساختی برای بیان اهداف امنیتی IT، انتخاب و تعریف نیازمندی‌های امنیتی IT و نوشتن توصیف سطح بالا برای محصولات و سیستم‌ها ارائه می‌کند. بخش دوم، مجموعه‌ای از اجزای عملکردی امنیتی را ارائه می‌کند که از آن به عنوان یک روش استاندارد برای بیان نیازمندی‌های امنیتی محصولات و سیستم‌های IT استفاده می‌شود. بخش سوم یک مجموعه از اجزای تضمین امنیتی ارائه می‌کند که می‌تواند به عنوان روش استاندارد بیان نیازمندی‌های اطمینان برای محصولات و سیستم‌های IT استفاده شوند. بنابراین، این استاندارد از دو بلوک اصلی شامل نیازمندی‌های عملکردی امنیتی و نیازمندی‌های تضمینی امنیت تشکیل شده است.
در بخش دوم از روش معیار مشترک یازده رده برای نیازمندی‌های عملکردی امنیتی تعریف شده است: ممیزی سازمانی[1]، هویت و احراز اصالت، منابع مورد استفاده، پشتیبانی رمزنگاری، مدیریت امنیتی، دسترسی به مقصد ارزیابی، ارتباطات، حریم خصوصی، کانال‌ها و مسیرهای قابل اعتماد، حفاظت از داده‌های کاربر و حفاظت از توابع امنیتی در مقصد ارزیابی.
در بخش سوم از روش معیار مشترک هشت رده برای تضمین امنیتی معرفی شده است: مدیریت پیکربندی، سند راهنمایی، ارزیابی آسیب‌پذیری، عملکرد[2] و انتقال[3]، پشتیبانی از چرخه عمر، تضمین نگهداری، توسعه و آزمون.
همچنین استاندارد معیار مشترک هفت بسته موسوم به سطوح تضمین ارزیابی(EAL)[4]ارائه می‌کند. این سطوح تضمین ارزیابی به ترتیب عبارتند از آزمون عملکرد، آزمون ساختار، آزمون کنترل و روشمندی، طراحی، آزمون و مرور روشمند، طراحی و آزمون نیمه‌رسمی، بازبینی طراحی و آزمون نیمه‌رسمی، بازبینی طراحی و آزمون رسمی. EAL1 پایین‌ترین سطح تضمین است و از EAL1 تا EAL4 به‌تدریج دقت و جزئیات ارزیابی افزایش می‌یابد.

بیان انتزاعی اصطلاحات و واژه‌های فنی در استاندارد CC زمینه را برای ایجاد ابهام در درک و تفسیر معنای دقیق نیازمندی‌های امنیتی فراهم آورده است. علاوه بر این استاندارد CEM استاندارد دیگری است که فرایند ارزیابی برمبنای CC را در قالب واحدهای کاری تعریف می‌کند. یکی از مهم‌ترین پیش‌نیازهای رسیدن به یک اجماع در فرایند ارزیابی، وجود یک دیدگاه یکسان نسبت به تغییر واحدهای کاری است. متاسفانه واحدهای کاری CEM تعریفی ساخت‌یافته ندارد، بنابراین اجرای هر واحد کاری بستگی زیادی به ادراک شخصی آزماینده دارد. همین نکته موجب بروز مشکلاتی ناشی از برداشت‌های متفاوت از روند دقیق ارزیابی می‌شود.
نکته دیگر زمان‌بر بودن فرایند ارزیابی است که خود موجب پرهزینه شدن این فرایند می‌شود.
اشکال دیگری که به‌کارگیری استاندارد CC دارد این است که نیازمند همکاری متقابل با تولیدکننده است و برای محصولات وارداتی که دسترسی به سازنده به دلایلی مانند تحریم و ... وجود ندارد، نمی توان از آن استفاده کرد.

[1] Audit

[2] Operation

[3] Delivery

[4] Evaluation Assurance Level


ادامه مطلب

آشنایی با RFC 3511


RFC 3511 شامل توصیه‌هایی برای ارزیابی کارایی حفاظ که البته قابل تعمیم به سایر ابزارها و تجهیزات امنیت شبکه نیز هست.  علاوه بر تعریف آزمون‌ها، این استاندارد ساختاری برای گزارش نتایج آزمون‌ها نیز ارائه می‌کند. در این استاندارد، چهار جنبه از آزمون کارایی حفاظ پوشش داده شده است: ارسال بسته، نرخ اتصال، تأخیر و فیلترینگ.
ابتدا پیکربندی حفاظ برای آزمون معرفی شده است. در یک پیکربندی، حفاظ از یک طرف به شبکه عمومی مانند اینترنت و از طرف دیگر به شبکه داخلی حفاظت شده متصل است. در پیکربندی دیگر، حفاظ از یک طرف به شبکه عمومی، از طرف دیگر به شبکه داخلی و از طرف سوم به سرورها متصل شده است. در مرحله بعد تمامی جریان‌های ترافیکی ممکن برای هر پیکربندی تعریف شده است. همچنین نحوه آزمون در صورت وجود چندین مشتری/سرویس‌دهنده، مترجم آدرس شبکه (NAT)، نحوه پیاده‌سازی قوانین کنترل دسترسی، حافظه نهان، احراز هویت و ملاحظات پشته TCP تشریح شده است.
این استاندارد شامل 10 آزمون مختلف است که در ادامه لیست آنها را آورده‌ایم و یکی از آنها را شرح خواهیم داد.
ادامه مطلب

دانستن فرآیند آزمون و هزینه‌ها حق شرکت‌هاست


مدیر آزمایشگاه آزمون و ارزیابی تجهیزات شبکه دانشگاه شریف گفت: دانستن فرآیند آزمون و هزینه‌ها حق شرکت‌هاست، با انحصاری بودن آزمایشگاه‌ها مخالفیم
دکتر جهانگیر: ما می‌کوشیم در کمترین زمان ممکن نتیجه و گزارش مربوط به تست کالا را به واردکنندگان تجهیزات شبکه ارائه کنیم و از افزایش این آزمایشگاه‌ها و تبادل تجربیات خود با دیگران استقبال می‌کنیم.

متن کامل مصاحبه در ادامه مطلب ...
ادامه مطلب

توانمندی‌های آزمایشگاه


توانمندی‌های آزمایشگاه آزمون و ارزیابی تجهیزات شبکه دانشگاه صنعتی شریف

این آزمایشگاه در سال 1388 با حمايت مركز تحقيقات مخابرات ايران تأسیس شده و داراي اعتبارنامه دائم براي تاييد نمونه از سوي سازمان تنظيم مقررات و ارتباطات راديويي و همين طور اعتبارنامه بين­‌المللي IEC/ISO 17025 است.

در این آزمایشگاه انواع سوییچ و مسیریاب شبکه از نظر کارایی و انطباق مورد ارزیابی قرار می‌گیرند تا کنون بیش از 1370 دستگاه سوییچ شبکه و بیش از  200 دستگاه مسیریاب شبکه از 100 سازنده مختلف مورد آزمون و ارزیابی قرارگرفته است.

این آزمایشگاه دارای 2 دستگاه آزماینده SPT9000A و N11U از شرکت Spirent است که توسط آن‌ها قادر به تولید ترافیک‌های واقعی شبکه مي­باشد. این دستگاه‌ها دارای 84 درگاه 1Gbps و 32 درگاه 10Gbps هستند و همچنین در آینده نزدیک قرار است درگاه‌های 40Gbps نیز روی این دستگاه‌ها نصب شوند.

همچنین با تجهیزات موجود در آزمایشگاه قادر به تولید ترافیک‌های لایه 7 شامل پروتکل‌ها HTTP, SMTP, POP3, FTP, … هستیم که از این ترافیک‌ها برای ارزیابی کارایی تجهیزاتی که در لایه كاربرد شبکه کار می‌کنند مانند IDS, IPS, UTM ,… می‌توان استفاده کرد. همچنین پایگاه حملات شبکه‌ای آزمایشگاه شامل بیش از 8 هزار حمله است که از آن‌ها می‌توان برای ارزیابی امنیتی سامانه‌های تشخیص و جلوگیری از نفوذ استفاده کرد.

با توجه به افزايش اخير دامنه اعتبارنامه ISO17025  آزمايشگاه به حوزه امنيت (تجهيزاتی مانند IDS, IPS, Firewall…) به‌زودي (پس از اخذ مجوزهاي رسمي از افتا و سازمان تنظيم مقررات) آزمون­هاي امنيت نيز ان‌شاءالله انجام خواهد شد.

1- برخي فعالیت‌ها­ي پژوهشي و پروژه‌های انجام شده در آزمایشگاه:

- طرح جامع آزمایشگاه‌های تأييد نمونه تجهيزات فناوري اطلاعات و ارتباطات برای سازمان تنظیم مقررات رادیویی

ادامه مطلب

آموزش استفاده از PGP



با استفاده از PGP (Pretty Good Privacy) شما مي‌توانيد محرمانگي پيغامها و فايلهايتان را با کمک رمزگزاری حفظ کنيد به‌طوري که فقط دريافت‌کنندگان مورد نظر شما بتوانند آنها را باز کنند و بخوانند. به علاوه مي‌توانيد پيام‌ها و فايل‌هايتان را امضاي ديجيتال کنيد تا دريافت‌کنندگان مطمئن شوند که متعلق به شما هستند. يک پيام امضاءشده، عدم تغيير محتويات آن را نيز تاييد مي‌کند.
در این مقاله سعی کردیم به زبانی ساده نحوه استفاده از PGP و افزایش امنیت ایمیل شخصی را توضیح دهیم.
ادامه مطلب

PGP چیست؟


با استفاده از PGP (Pretty Good Privacy) شما مي‌توانيد محرمانگي پيغامها و فايلهايتان را با کمک رمزگزاری حفظ کنيد به‌طوري که فقط دريافت‌کنندگان مورد نظر شما بتوانند آنها را باز کنند و بخوانند. به علاوه مي‌توانيد پيام‌ها و فايل‌هايتان را امضاي ديجيتال کنيد تا دريافت‌کنندگان مطمئن شوند که متعلق به شما هستند. يک پيام امضاءشده، عدم تغيير محتويات آن را نيز تاييد مي‌کند. 

ادامه مطلب