Phoenix Soft Corp Ltd (PSCL Group), is a Registered company in UK, London, with Branches in USA, Spain, Austrlia, New Zealand, Turkey and UAE. working in Security Services, Information Technology Development, Web based programming and Financial solutions worldwide.

Phoenix Soft Corp Ltd
Every Thing For Every One
جمهوری اسلامی ایران
 welcome to Phoenix Soft Corp Ltd in IR   ایران , فارسی : Change 

  • صفحه اصلی
  • محصولات
  • خدمات
  • درباره ما
  • تماس با ما
  • رسانه
  • همکاری با ما

  • نظرسنجی
  • سایت های مرتبط
  • فروشگاه اینترنتی
  • سیستم مدیریت محتوا
  • سیستم مدیریت آگهی
  • سامانه ارسال پیام کوتاه
  • پرداخت الکترونیک
  • کارت های اعتباری
  • مشاوره امنیتی
  • خدمات میزبانی وب و ثبت دامنه
  • گرافیک و تبلیغات
  • خدمات ارزش افزوده و پیام کوتاه
  • مالی و تجاری
  • معرفی شرکت
  • اهداف و چشم اندازها
  • استراتژی شرکت
  • بیانیه رسالت
  • منشور اخلاقی
  • چارت سازمانی
  • سرمایه گذاران
  • توانمندی های شرکت
  • تماس با ما
  • سامانه پشتیبانی
  • پیشنهادات
  • انتقادات و شکایات
  • سوالات متداول
  • استخدام
  • مراحل پیوستن به شرکت ققنوس
  • زندگی در شرکت ققنوس
  • Preparing your CV/resume
  • کتابخانه دیجیتال
  • مقالات
  • گالری تصاویر
  • آرشیو تبلیغات
  • فرم ها و مدارک
  • گزارش سالیانه شرکت
  • تحقیقات و توسعه
  • خبرنامه

مشاوره امنیتی

اهدف و آرمان‌های شركت نرم افزاری ققنوس در جهت ایجاد محیط امن اطلاعاتی در محیط سایبر می‌باشد. این شرکت با همکاری تکنولوژیک با شرکتهائی نظیر وری ساین (VeriSign)، آر اس ای (RSA) و کومودو (COMODO) از آخرین اطلاعات امنیتی و تکنولوژی های استفاده نموده تا بالاترین استانداردهای امنیتی را بکار گیرد.

آن‌چه به‌طور معمول منشأ تهدیدات در سیستم‌های اطلاعاتی است ناشی از عدم وجود کنترل‌های لازم روی آن سیستم‌ها است. نمونه‌های واضح این سیستم‌ها، شبکه‌ها و خدمات عمومی روی شبکه به‌خصوص شبکه اینترنت است. گرچه آثار بیشتر تهدیدات روی سیستم‌های اطلاعاتی عمومی است ولی راه‌کارهای لازم برای برقراری امنیت نمی‌تواند تنها یک سیستم خاص را مورد توجه قرار دهد. تبادل سیستم‌های اطلاعاتی و حتی غیر اطلاعاتی در یک سازمان می‌تواند منجر به تهدیدات بالقوه‌ شود که یک راه‌کار مناسب باید تمامی این تهدیدات را در نظر گرفته باشد. بنابراین کنترل‌هایی که در سیستم‌های اطلاعاتی جدید به‌کار می‌رود باید با دانش گسترده‌ و کاملی نسبت به تکنولوژی جدید طراحی شده باشند.

در راستای نیل به این اهداف، شركت نرم افزاری ققنوس خدمات امنیتی زیر را با به‌كارگیری تكنولوژی و دانش روز ارائه می‌دهد.

§         ارزیابی امنیتی سیستم‌های اطلاعاتی و شبكه با هدف شناخت آسیب‌پذیری‌ها

§         اجرای آزمون نفوذ از داخل و خارج سازمان

 

§         ارائه نرم افزار های تحت وب برای VIP Authentication

§         ارائه طرح و راه‌حل‌های امنیتی

§         پیاده‌سازی، نگهداری و پشتیبانی از طرح امنیتی ارائه شده توسط امن‌افزار

§         خدمات مشاوره در زمینه امنیت شبكه

§         پیشنهاد توپولوژی امن شبكه و یا تزریق امنیت در شبكه موجود

§         نصب، پیكربندی و نگهداری ابزارهای امنیتی نظیر فایروال، IDS/IPS، Honeypot و آنتی‌ویروس

§         خدمات مشاوره‌ای در زمینه امن‌سازی برنامه‌های كاربردی

§         خدمات مشاوره‌ای در زمینه امن‌سازی سرویس‌ها و تجهیزات شبكه، سیستم‌عامل و پایگاه داده

§         امن‌سازی و پیكربندی امن سرویس‌ها و تجهیزات شبكه، سیستم‌عامل و پایگاه داده

§         خدمات مشاوره‌ای در زمینه مدیریت امنیت و استانداردهای مدیریت امنیت

§         خدمات مشاوره‌ای در زمینه مدیریت ریسك مبتنی بر استانداردهای مدیریت امنیت

§         تدوین سیاست امنیتی و مشاوره در زمینه راه‌اندازی ISMS

§         تدوین دستورالعمل‌ها، رهیافت‌ها و استانداردهای نگهداری و استمرار امنیت

§         ارزیابی و سنجش پیاده‌سازی سیاست امنیتی در سازمان

§         ارائه دستورالعمل‌های پیكربندی امن سرویس‌ها و تجهیزات شبكه، سیستم‌عامل و پایگاه داده

§         ارائه دوره‌های آموزش امنیت برای سه سطح مدیران، تیم فنی ISMS و كاربران نهایی

 

ارزیابی امنیتی

همزمان با گسترش تجارت الكترونیك و تبدیل روابط و تعاملات سنتی به روابط الكترونیكی، سازمان‌ها و كاربران این فن‌آوری به این سمت می‌روند كه در كنار استفاده از مزایای این فن‌آوری، خود را از خطرات احتمالی مصون نگه‌داشته و بر میزان امنیت سیستم‌های خود بیفزایند. اولین گام برای رسیدن به چنین مطلوبی تعیین سیاست‌های امنیت كامپیوتری سازمان می‌باشد.

یكی از مواردی كه در سیاست امنیتی سازمان لحاظ می‌شود، شناخت آسیب‌پذیری‌ها و مشكلات امنیتی سازمان و به عبارت دیگر ارزیابی امنیتی می‌باشد. ارزیابی امنیتی نقاط آسیب‌پذیری سیستم‌ها و شبكه‌های گوناگون را كشف كرده و زمینه لازم جهت بر طرف كردن آن‌ها را فراهم می‌آورد.

برای انجام ارزیابی امنیتی، متدولوژی‌های گوناگونی پیشنهاد شده است، متدولوژی مورد استفاده در شركت نرم افزاری ققنوس ، حاصل مطالعه و بررسی متدولوژی‌های مختلف به منظور تولید و استفاده از یك متدولوژی كامل و همه‌منظوره می‌باشد. تعدادی از پیمانه‌های اصلی این متدولوژی عبارتند از:

§         پویش شبكه

§         پویش آسیب‌پذیری‌ها

§         آزمون گذرواژه‌ها

§         آزمون رویدادنامه‌ها

§         آزمون بررسی جامعیت

§         آزمون برنامه‌های مخرب

§         آزمون كنترل‌های امنیتی

§         آزمون حملات از كاراندازی خدمات

§         آزمون War Dialing

§         آزمون War Driving

§         آزمون نفوذ واقعی

 

۱- پویش شبكه : در این مرحله با استفاده از ابزارهای گوناگون پویش شبكه و سرویس‌های شبكه‌ای، لیست میزبان‌ها و سرویس‌های فعال و درگاه‌های باز مشخص می‌شود. با مقایسه نتایج پویش با سیاست‌های امنیتی مورد نظر می‌توان موارد مغایر با سیاست‌های امنیتی را تشخیص داده و آن‌ها را برطرف نمود. این موارد انحراف می‌تواند ناشی از وجود میزبان‌های غیر مجاز یا بالابودن سرویس‌های غیرضروری بر روی ماشین‌های موجود باشد. هم‌چنین در صورت استفاده از ابزارهای ویژه پویش، می‌توان نوع سیستم‌عامل‌ها برنامه‌های كاربردی فعال بر روی‌ آن‌ها را نیز بدست آورد.

۲- پویش آسیب‌پذیری‌ها: در این مرحله با استفاده از برنامه‌های گوناگون پویش آسیب‌پذیری‌ها، علاوه بر شناخت میزبان‌ها و سرویس‌های فعال بر روی آن‌ها، نقاط آسیب‌پذیری موجود نیز كشف و گزارش می‌شود. ابزارهای پویش آسیب‌پذیری‌ها، به دو دسته مختلف تقسیم می‌شوند: مبتنی بر میزبان و مبتنی بر شبكه. ابزارهای مبتنی بر میزبان، با نصب و اجرا بر روی میزبان مورد نظر، اقدام به جستجو و كشف نقاط آسیب‌پذیری می‌نمایند. با توجه به سطح دسترسی ویژه‌ای كه این ابزارها از آن برخوردار می‌باشند، امكان كشف آسیب‌پذیری‌های یك میزبان را در سطح بالایی فراهم می‌آورند. از طرف دیگر، ابزارهای پویش مبتنی بر شبكه، با پویش میزبان مورد نظر و ارسال ترافیك سعی در كشف نقاط آسیب‌پذیری می‌نمایند. برای رسیدن به نتایج مطلوب، هر دو دسته ابزارهای پویش آسیب‌پذیری مورد استفاده واقع می‌شوند. از طرف دیگر، با توجه به وجود خطای مثبت غلط در خروجی این ابزارها نیاز به بررسی و تحلیل خروجی آن‌ها توسط كارشناسان‌ خبره وجود دارد. خروجی این مرحله از ارزیابی در برگیرنده اطلاعات مناسبی راجع به آسیب‌‌های موجود، علت بروز آسیب‌پذیری و شیوه برطرف كردن یا كاهش مشكلات آن‌ها می‌باشد. در حال حاضر، علاوه بر استفاده از ابزارهای پویش آسیب‌پذیری‌ها، به منظور شناخت و كشف آسیب‌پذیری سرویس‌های رایج و مشهور موجود، چك‌لیست‌های ویژه‌ای نیز توسط كارشناسان این شركت تولید شده است كه استفاده از آن‌ها كمك فراوانی به شناخت آسیب‌پذیری‌های یك میزبان یا سرویس خاص نموده و نقاط ضعف ابزارهای پویش را می‌پوشاند.

۳- آزمون گذرواژه‌ها: امنیت گذرواژه‌ها ارتباط مستقیمی با امنیت میزبان‌ها و سرویس‌های كاربردی دارد. چنانچه گذرواژه‌های مورد استفاده به راحتی قابل حدس‌زدن باشد و یا به صورت ساده و رمزنشده بر روی كانال‌های ارتباطی انتقال یابد، امكان كشف و سوءاستفاده از آن‌ها را فراهم می‌آورد. در این مرحله از ارزیابی، امکان استخراج گذرواژه‌ها با شنود کانال‌های ارتباطی بررسی می‌شود. هم‌چنین امکان حدس یا استخراج گذرواژه‌ها از روی فایل‌های ذخیره گذرواژه‌ها مورد بررسی قرار می‌گیرد. خروجی این مرحله، اطلاعات كاملی را راجع به میزان قوت گذرواژه‌های انتخابی و یا چگونگی شنود گذرواژه‌ها ارائه می‌دهد.

۴- آزمون رویدادنامه‌ها: سیستم‌عامل‌ها و برنامه‌های كاربردی گوناگون امكانات مختلفی را برای رویدادنگاری اطلاعات فراهم می‌آورند. مطالعه و تحلیل فایل‌های رویدادنگاری، اطلاعات مناسبی را راجع به عملكرد سیستم و مشكلات موجود در اختیار ارزیاب امنیتی قرار می‌دهد.

۵- آزمون بررسی جامعیت: بررسی جامعیت ‌فایل‌ها زمینه مناسب را برای پیدا كردن فایل‌های تغییریافته در اختیار ارزیاب امنیتی یا مدیر سیستم قرار می‌دهد.

۶- آزمون برنامه‌های مخرب: در حال حاضر بخش عمده‌ای از مشكلات كامپیوتری ناشی از گسترش ویروس‌ها و كرم‌های كامپیوتری می‌باشد. در این مرحله، چگونگی و سطح برخورد با برنامه‌های مخرب (اعم از ویروس‌، کرم و اسب‌تراوا)، قوت آنتی‌ویروس مورد استفاده و مكانیزم به‌روز رسانی آن مورد بررسی قرار می‌گیرد.

۷- آزمون كنترل‌های امنیتی: بررسی قابلیت‌های كنترل‌های امنیتی، چگونگی پیكربندی و مدیریت آن‌ها، در این مرحله از ارزیابی انجام می‌شود. این كنترل‌های امنیتی می‌تواند شامل تجهیزات شبكه‌ای (مسیریاب‌، سوئیچ‌)، حفاظ و سیستم تشخیص تهاجم باشد.

۸- آزمون حملات از كاراندازی خدمات: با توجه به عوارض سوء حملات از كاراندازی خدمات در برپایی سیستم‌ها، در این مرحله از ارزیابی، امكان انجام حملات از كاراندازی خدمات بر روی ماشین‌ها و سرویس‌های مختلف مورد بررسی قرار می‌گیرد.

۹- آزمون War Dialing: چنانچه از مودم در ساختار یك شبكه استفاده شده باشد، لازم است كه كنترل‌های امنیتی خاصی بر روی آن اعمال گردد، این مرحله از ارزیابی به بررسی نقاط ضعف‌های ناشی از وجود مودم می‌پردازد.

۱۰- آزمون War Driving: با توجه به گسترش استفاده از شبكه‌های بی‌سیم در سازمان‌ها و شبكه‌های مختلف لازم است كه مشكلات ناشی از آن نیز بررسی و مشخص گردد. این مرحله از ارزیابی به بررسی نقاط ضعف ناشی از وجود ارتباطات بی‌سیم می‌پردازد.

۱۱- آزمون نفوذ واقعی: در این مرحله از ارزیابی، شیوه‌های مختلف نفوذ به سیستم‌ها و شبكه‌های كامپیوتری از بیرون یا داخل سازمان بررسی و اجرا می‌شود. خروجی این مرحله از ارزیابی، اطلاعات كاملی را راجع به شیوه نفوذ، مراحل گوناگون انجام آن و طریقه گسترش دامنه نفوذ فراهم می‌آورد. به عبارت دیگر در این مرحله، ارزیاب امنیتی در جایگاه یك مهاجم واقعی با هدف نفوذ به شبكه یا سیستم‌های داخلی یك سازمان عمل می‌كند.

با انجام ارزیابی امنیتی در مراحل فوق، نقاط آسیب‌پذیری موجود كشف، علت بروز آن‌ها مشخص و چگونگی برطرف كردن یا كاهش مخاطرات آن‌ها گزارش می‌شود. این گزارش كمك فراوانی به مدیر سازمان در تولید، توسعه و مستندسازی سیاست‌های امنیتی یك سازمان خواهد نمود.

 

منوی اصلی

  • صفحه اصلی
  • محصولات
  • خدمات
  • اخبار
  • سامانه پشتیبانی
  • درباره ما
  • تماس با ما
  • سوالات متداول

Getting Started

  • همکاری با ما
  • سایت های مرتبط
  • نظرسنجی
صفحه اصلی | درباره ما | تماس با ما | حفظ حریم اطلاعات شخصی | شرایط استفاده از خدمات | قوانین دسترسی به سایت | نقشه سایت
© 2004 - 2009 . All Rights Reserved By Phoenix Soft Corp Ltd . Phoenix Logo, is a registered trade mark of PSCL.