پرش به محتوای اصلی

اخبار

برگزاری کارگاه "مدیریت امنیت اطلاعات" با همکاری مرکز آپا دانشگاه شیراز

برگزاری کارگاه "مدیریت امنیت اطلاعات" با همکاری مرکز آپا دانشگاه شیراز

کارگاه آموزشی "مدیریت امنیت اطلاعات" توسط اداره کل ارتباطات و فناوری اطلاعات استان فارس با همکاری مرکز تخصصی آپا دانشگاه شیراز و با حضور مدیران و کارشناسان فناوری اطلاعات دستگاههای اجرایی استان فارس در روز سه شنبه 95/06/23 درمحل سالن امیرکبیر دانشکده مهندسی دانشگاه شیراز برگزار گردید.

در ابتدا دکتر هاشمی مدیرکل ارتباطات و فناوری اطلاعات استان فارس ضمن عرض سلام و خوشامدگویی به حاضرین، به کارگاه آموزشی برنامه نویسی امن که در روز شنبه مورخ 95/06/20 توسط اداره کل ارتباطات و فناوری اطلاعات استان برگزار گردید اشاره ای داشتند. ایشان سپس در خصوص مفاهیم ارزیابی امنیتی نرم افزار و اهمیت آن و لزوم توجه دستگاههای اجرایی به این موضوع مطالبی ارائه نمودند.

اهم مطالب ارائه شده توسط دکتر هاشمی به شرح ذیل می باشد:

امنیت از دیدگاه کلی به دوبخش زیرساخت و نرم افزار قابل تعریف می باشد. مولفه های زیر ساخت شامل شبکه ملی اطلاعات و مرکز تبادل اطلاعات (IXP) می باشد. در حال حاضر چهار IXP در کشور وجود دارد که یکی از آنها در استان فارس واقع شده است. از مزیت های استقرار IXP  در استان می توان به  کاهش هزینه لینک ها، مدیریت ترافیک محلی و امنیت بالاتر به دلیل عدم نیاز به اتصال دائمی به منابع خارجی و یا به عبارتی عدم خروج ترافیک به بیرون از استان اشاره کرد. اما مقوله نرم افزاری بخش امنیت را می توان به دو زیر مجموعه کدنویسی امن و تست نفوذ تقسیم بندی کرد. با استفاده از برنامه نویسی امن می توان هزینه ایمن سازی سامانه ها را در فازهای مختلف توسعه نرم افزار کاهش داد. اما تست نفوذ پذیری فرایند ارزیابی امنیتی یک نرم افزار بوسیله شبیه سازی حمله هایی است که می تواند توسط یک هکر صورت پذیرد.

شرکت norse در چین موفق به استقرار ابزارهایی در سراسر جهان شده است که با استفاده از این ابزارها قادر به مشاهده لحظه ای حملات به آدرس های مختلفی می باشد و بر این اساس اظهار شده است که در 10 روز اخیر هکرها 375 حمله موفق به سایت های .IR ثبت کرده اند. این آمارفقط شامل نفوذهایی است که به منظور تغییر محتوا صورت گرفته اند در حالیکه تعداد بسیار بیشتری نفوذ به منظور سوء استفاده وجود دارند که توسط هکرها اعلام نمی شوند. طبق آمار شرکت Kaspersky، ایران سیزدهمین کشور مورد حمله جهان است. آمار دیگر از Kaspersky نشان می دهد در سال 2016 تعداد حملات در ساعات اداری به دلیل عدم رعایت ملاحظات امنیتی کارمندان بیشتر بوده است.

خطرناکترین حمله در بین 10 حمله شناخته شده در بین هکرها SQL injection است که عملیاتی مانند استخراج اطلاعاتی شبیه نوع و ورژن پایگاه داده، استخراج اطلاعاتی مانند نام پایگاه داده، نام جداول و نام ستون ها، استخراج اطلاعات ذخیره شده در پایگاه داده، تغییر در اطلاعات پایگاه داده، اضافه کردن اطلاعات جدید به پایگاه داده و حذف اطلاعات از خطرات این نوع حملات می باشد.

یکی دیگر از حملات خطرناک XSS می باشد که از روش های نفوذ تزریق کد است. در این روش هکر مستقیم قربانی خود را مورد حمله قرار نمی دهد،  بلکه با سوء استفاده از یک آسیب پذیری موجود در وب سایتی که قربانی از آن بازدید می کند، کدهای مخرب جاوا اسکریپت برای قربانی اجرا می شود و اطلاعات مهم کاربری قربانی برای هکر ارسال می گردد.

لحاظ شدن تمامی مسایل امنیتی در خصوص یک سامانه نیز دلیل امن بودن سامانه نیست بلکه عوامل دیگری   می توانند امنیت آن را به خطر اندازند مانند سرور ناامن، سامانه ناامن دیگر روی سرور مشترک و ...

امنیت و نفوذ به سامانه ها، مانند بازی است که در آن علم دو طرف در حال تکمیل است و به همین دلیل است که هر روز شاهد حملات جدیدتر و خلاقانه تری به سامانه ها هستیم.

بنابراین با توجه به کشف روزانه آسیب پذیری های جدید، تست سامانه ها باید به صورت دوره ای انجام گرفته و در مقابل حملات جدید امن شوند.

و همه این موارد لزوم دقت نظر و توجه بیشتر دستگاهها به حوزه امنیت اطلاعات را می طلبد.

دکتر شیخی عضو هیات علمی و رئیس مرکز آپا دانشگاه شیراز در ادامه به تدریس مطالبی در خصوص تهدیدات امنیتی فضای مجازی پرداختند.

در ادامه دکتر حمزه عضو هیات علمی دانشگاه شیراز به ارائه مطالبی در خصوص مبانی امنیت در فضای سایبری پرداختند.

و در پایان دکتر سمیع عضو هیات علمی دانشگاه جهرم در خصوص سیسستم مدیریت امنیت اطلاعات (ISMS)
مطالبی به حاضرین ارائه نمودند.

 

 

۲۳ شهریور ۱۳۹۵ ۱۳:۵۰
تعداد بازدید: ۶۸۵

اظهارنظر

تعداد کاراکتر باقیمانده: 500
نظر خود را وارد کنید