در دنیای پیچیده IT امروزی، که شرکت‌ها از نرم ‌افزارهای بیشتری نسبت به قبل استفاده می‌کنند و چالش های امنیتی بیشتر از قبل وجود دارد، از طرفی دریافت گواهی نامه امنیت افتا برای اکثر نرم افزار های کاربردی و تحت شبکه الزامی شده، شرکت تحلیل اندیش کیمیا تصمیم گرفته تا برخی از تجربیات و دانش کارشناسان خود را در راستای افزایش سطح امنیت  سیستم های نرم افزاری بصورت یک دوره آموزشی ویدئویی در قالب 3 فصل در راستای استاندارد های امنیتی مرکز راهبردی افتا (امنیت فضای تولید و تبادل اطلاعات) و استاندارد های بین المللی OWASP (Open Web Application Security Project) ارائه دهد.

بنا بر این لازم است موارد مهمی در خصوص این دوره ذکر شود:

* هدف شرکت تحلیل اندیش کیمیا از تهیه این دوره صرفا انتقال تجربه در راستای افزایش سطح امنیتی محصولات نرم افزاری کشور عزیزمان، ایران می باشد و این تصمیم به سفارش یا ارتباطی با نهاد، سازمان، موسسه و… دیگری ندارد.

* با توجه به گستردگی موارد و نکات حوزه امنیت و منسوخ شدن تکنولوژی های مورد استفاده در توسعه نرم افزار و کشف چالش های امنیتی مختلف به مرور زمان، این شرکت تعهدی در خصوص تکمیل، جامع بودن این دوره ندارد و در صورت نیاز به رعایت 100% موارد امنیتی نرم افزار های خود با ما در تماس باشید.

* موارد مطرح شده به قصد افزایش امنیت سیستم های نرم افزاری خواهد بود و سوء استفاده از دانش و تجربیات منتقل شده به عهده شرکت تحلیل اندیش کیمیا نیست.

افتا چیست؟

افتا مخفف امنیت فضای تولید و تبادل اطلاعات می باشد که در واقع مرکزی با هدف امن سازی فضای تولید و تبادل اطلاعات است و دستورالعمل ها، آیین نامه ها و ضوابط حوزه امنیت را تهیه و ارائه می دهد که از این آدرس در دسترس می باشد.

الزامات امنیتی چیست؟

الزامات امنیتی برنامه های کاربردی تحت شبکه در واقع سندی است که توسط
مرکز افتا ارائه شده و شرکت های نرم افزاری متقاضی جهت دریافت گواهی افتا
باید آن را تکمیل و نسبت به پیاده سازی و  ارزیابی سامانه خود متناسب با آن
در آزمایشگاه امنیت نرم افزار اقدام کنند. در واقع فصل اول آموزش های ما
در جهت تشریح و ارائه پیشنهاداتی جهت چگونگی تکمیل این سند می باشد.

آزمایشگاه امنیت چیست؟

شرکت، موسسه، اداره یا مرکزی است که مورد تایید مرکز افتا بوده  و شرکت های نرم افزاری متقاضی دریافت گواهینامه امنیتی تمامی مراحل ارزیابی نرم افزار خود را با آزمایشگاه هماهنگ می کنند. در واقع آزمایشگاه پل ارتباطی بین شرکت های نرم افزاری و مرکز افتا می باشد.

لیست عناوین:

فصل اول: معرفی و بررسی سند الزامات امنیتی شامل:– مدیریت رکورد های ممیزی (لاگ)– اصول رمز نگاری و معرفی الگوریتم ها– مدیریت امنیت و نکات مورد نیاز احراز هویت کاربران– حفاظت از توابع امنیتی و داده های کاربری- موارد مربوط دسترسی به محصول و مدیریت سشن ها- بررسی پروتکل های امنیتی HTTPS, TLS فصل دوم: بررسی آسیب پذیری نرم افزار های تحت شبکه و OWASP شامل:
– جمع آوری اطلاعات (OTG-INFO)– بررسی خطاها و پیکربندی نادرست فایروال، وب سرویس  – پیکربندی و مدیریت استقرار (OTG-CONFIG)
— تحلیل پیکربندی و معماری پروژه و بدست آوردن اطلاعات از محصول – مدیریت هویت (OTG-IDENT)
— پیاده سازی مناسب دسترسی ها و سیاست های امنیتی اعمال شده برای کاربران – اصالت سنجی (OTG-AUTHN)
— بررسی عملکرد ساز و کار اصالت سنجی و دور زدن حساب های کاربری – مجاز شماری (OTG-AUTHZ)
— پیمایش مسیر پرونده ها و پوشه ها – مدیریت سشن (OTG-SESS)- اعتبار سنجی داده ها (OTG-INPVAL)- مدیریت خطا (OTG-ERR)- رمزنگاری (OTG-CRYPST)- منطق کسب و کار (OTG-BUSLOGIC)- سمت کلاینت (OTG-CLIENT)