ﺳﻤیﻨﺎﺭ ﺗﻮﺟیﻬی ﺗﺒﻴﻴﻦ ﻧﺤﻮﻩ ﺍﻧﺠﺎﻡ ﻣﻤﻴﺰﻱ ﺗﻮﺳﻂ

ﺳﻤیﻨﺎﺭ ﺗﻮﺟیﻬی ﺗﺒﻴﻴﻦ ﻧﺤﻮﻩ ﺍﻧﺠﺎﻡ ﻣﻤﻴﺰﻱ ﺗﻮﺳﻂ آﺰﻣﺎﻳﺸگﺎﻩ آپﺎﻱ ﺩﺍﻧﺸگﺎﻩ ﻓﺮﺩﻭﺳﻲ ﻣﺸﻬﺪ http: //cert. um. ac. ir cert@um. ac. ir

ﻓﻬﺮﺳﺖ ﻣﻮﺿﻮﻋﺎﺕ ﺿﺮﻭﺭﺕ ﺗﻮﺟﻪ ﺑﻪ ﺍﻣﻨﻴﺖ ﺍﻃﻼﻋﺎﺕ ﻣﺮﻭﺭﻱ ﺑﺮ ﻭﺿﻊ ﻣﻮﺟﻮﺩ ﺭﺍﻩﻛﺎﺭﻫﺎﻱ پﻴﺸﻨﻬﺎﺩﻱ آﺰﻣﻮﻥ ﻧﻔﻮﺫپﺬﻳﺮﻱ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ASVS OWASP ﻣﻌﺮﻓﻲ آﺰﻣﺎﻳﺸگﺎﻩ آپﺎ ﻧﺤﻮﻩ ﺗﻌﺎﻣﻞ ﺑﺎ آپﺎ ﺗﻮﺿﻴﺢ ﻓﺮﻡ ﻫﺎ

ﺑﻲﺗﻮﺟﻬﻲ ﺍﻣﻨیﺖ ﺍﻃﻼﻋﺎﺕ ﺗﻬﺪیﺪی ﺑﺰﺭگ ﺑﺮﺍی ﺳﺎﺯﻣﺎﻥ ﻫﺎ ﺑﻲﺗﻮﺟﻬﻲ ﺑﻪ ﺍﻣﻨیﺖ ﺍﻃﻼﻋﺎﺕ ﺗﻬﺪیﺪی ﺑﺰﺭگ ﺑﺮﺍی ﺳﺎﺯﻣﺎﻧﻬﺎ چﻪ ﻣیﺰﺍﻥ ﺍﺯ ﺍﻣﻨیﺖ ﺍﻃﻼﻋﺎﺕ ﺳﺎﺯﻣﺎﻥ ﺧﻮﺩ ﺍﻃﻤیﻨﺎﻥ ﺩﺍﺭیﺪ ؟ آیﺎ ﻣﻨﺎﺑﻊ ﺍﻃﻼﻋﺎﺗی )پﺎیگﺎﻩﻫﺎی ﺩﺍﺩﻩ( ﺳﺎﺯﻣﺎﻥ ﺧﻮﺩ ﺭﺍ ﺑﻪ ﺧﻮﺑی ﻣی ﺷﻨﺎﺳیﺪ ؟ آیﺎ ﺩﺳﺘﺮﺳی ﻭ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍیﻦ ﺍﻃﻼﻋﺎﺕ ﺑﻪ ﺧﻮﺑی کﻨﺘﺮﻝ ﻣیﺷﻮﺩ؟ آیﺎ ﺗﺎ ﺑﻪ ﺣﺎﻝ ﺑﻪ ﺍیﻦ ﻣﻮﺿﻮﻉ ﺍﻧﺪیﺸیﺪﻩﺍیﺪ کﻪ ﺩﺭ ﺻﻮﺭﺕ ﺍﻓﺸﺎی ﺍﻃﻼﻋﺎﺕ ﺣﺴﺎﺱ ﻣﻮﺟﻮﺩ ﺩﺭ پﺎیگﺎﻩﻫﺎی ﺩﺍﺩﻩ ﺷﻤﺎ چﻪ ﺍﺗﻔﺎﻗی ﺭﺥ ﻣی ﺩﻫﺪ؟ ﺍگﺮ ﺻﻔﺤﻪ ﺍﻭﻝ ﺳﺎﻳﺖ ﺳﺎﺯﻣﺎﻥ ﺷﻤﺎ ﺗﻐﻴﻴﺮ پﻴﺪﺍ ﻛﻨﺪ چﻪ ﺗﺒﻌﺎﺗﻲ ﺧﻮﺍﻫﺪ ﺩﺍﺷﺖ؟

Information Security – General trends Packet Forging/ Spoofing High Stealth Diagnostics Sniffers Sweepers Back Doors Exploiting Known Vulnerabilities Hijacking Sessions Disabling Audits Sophistication of Hacker Tools Password Cracking Self Replicating Code Password Guessing Technical Knowledge Required Low 1980 1990 2006

ﻭﺿﻊ ﻣﻮﺟﻮﺩ ﻫﺮ ﺭﻭﺯ ﺑﺎ ﻓﻨﺎﻭﺭﻱ ﻫﺎﻱ ﻧﻮﻳﻦ ﺭﻭﺑﺮﻭ ﻫﺴﺘﻴﻢ ﻛﻪ ﻋﻤﺪﻩ آﻨﻬﺎ ﺑﺮ ﺑﺴﺘﺮ ICT ﺍﺭﺍﻳﻪ ﻣﻲﺷﻮﻧﺪ ﻃﺒﻖ ﻧﻈﺮ ﺳﻨﺠﻲﻫﺎ 68 ﺩﺭﺻﺪ ﺍﺯ ﺍﻓﺮﺍﺩ ﺳﺎﺯﻣﺎﻥ ﻫﺎ ﺍﺯ ﺣﺪﺍﻗﻞ ﻳﻜﻲ ﺍﺯ ﺍﻳﻦ ﻓﻨﺎﻭﺭﻱ ﻫﺎﻱ ﻧﻮﻳﻦ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ ﺣﺠﻢ ﺩﺭﺧﻮﺍﺳﺖ ﻫﺎ ﺍﺯ ﺣﻮﺯﻩ ICT ﺭﻭ ﺑﻪ ﺍﻓﺰﺍﻳﺶ ﺍﺳﺖ ﻭ ﻛﺎﺭﻛﻨﺎﻥ ﺣﻮﺯﻩ ICT ﻓﺮﺻﺖ ﺗﻮﺟﻪ ﺑﻪ ﻫﻤﻪ ﺟﻨﺒﻪﻫﺎﻱ ﻓﻨﻲ ﻣﻮﺿﻮﻋﺎﺕ ﺭﺍ ﻧﺪﺍﺭﻧﺪ ﻭ ﺳﺎﺯﻣﺎﻥ ﻫﺎ ﺑﻪ ﺟﻬﺖ ﺩﺭﻙ ﻧﺎﺻﺤﻴﺢ ﺍﺯ ﺍﻳﻦ ﺣﻮﺯﻩ ﺣﻤﺎﻳﺖ ﻻﺯﻡ ﺭﺍ ﺍﺯ ﺍﻳﺸﺎﻥ ﻧﺪﺍﺭﻧﺪ ﺣﻮﺯﻩ ﻓﻨﺎﻭﺭﻱ ﺍﻃﻼﻋﺎﺕ ﻭ ﺍﺭﺗﺒﺎﻃﺎﺕ ﺩﺭ ﺑﻜﺎﺭگﻴﺮﻱ ﻛﺎﺭﻛﻨﺎﻥ ﺯﺑﺪﻩ ﺩﺭ ﻋﺮﺻﻪ ﺍﻣﻨﻴﺖ ﺍﻃﻼﻋﺎﺕ ﻭ ﺍﺭﺗﺒﺎﻃﺎﺕ ﺩچﺎﺭ ﻣﺸﻜﻞ ﺍﺳﺖ ﺑﻪ ﻋﺒﺎﺭﺗﻲ ﻣﺸﻜﻞ ﻧﻴﺮﻭﻱ ﺍﻧﺴﺎﻧﻲ ﻣﺘﺨﺼﺺ ﻣﺸﻜﻞ ﺷﻤﺎﺭﻩ ﻳﻚ ﺍﻳﻦ ﺣﻮﺯﻩ ﺍﺳﺖ

ﻭﺿﻊ ﻣﻮﺟﻮﺩ)ﺍﺩﺍﻣﻪ( ﻏﺎﻟﺒ ﺩﺭ ﺳﺎﺯﻣﺎﻥ ﻫﺎ ﺑﻲﺗﻮﺟﻬﻲ ﺑﻪ ﻳﻜپﺎﺭچﻪﺳﺎﺯﻱ ﻭ ﺯﻳﺮﺳﺎﺧﺖ ﻫﺎﻱ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ﻭ ﺳﺨﺖﺍﻓﺰﺍﺭﻱ ﺑﺮﺍﻱ ﺍﺳﺘﻘﺮﺍﺭ ﻳﻚ ﺳﻴﺴﺘﻢ ﻣﺪﻳﺮﻳﺖ ﺍﻣﻨﻴﺖ ﺍﻃﻼﻋﺎﺕ ﻣﺸﺎﻫﺪﻩ ﻣﻲﺷﻮﺩ ﻣﺪﻳﺮﺍﻥ ﺍﻏﻠﺐ ﺩﺭﻙ ﺻﺤﻴﺢ ﻭ ﺩﻗﻴﻘﻲ ﺍﺯ ﻓﻨﺎﻭﺭﻱ ﺍﻃﻼﻋﺎﺕ ﻧﺪﺍﺭﻧﺪ ﺍﻣﻜﺎﻧﺎﺕ ﻭ ﺍﻋﺘﺒﺎﺭﺍﺕ ﻻﺯﻡ ﺑﻪ ﺍﻳﻦ ﺣﻮﺯﻩ ﺗﻌﻠﻖ ﻧﻤﻲگﻴﺮﺩ پﺮﺳﻨﻞ ﻓﻨﺎﻭﺭﻱ ﺍﻃﻼﻋﺎﺕ ﺍﺯ ﺣﻮﺯﻩ ﻓﻌﺎﻟﻴﺖ ﺧﻮﺩ ﺭﺿﺎﻳﺖ چﻨﺪﺍﻧﻲ ﻧﺪﺍﺭﻧﺪ ﻧگﺮﺍﻧﻲ ﺍﺯ ﻫﻤﺴﻮ ﻧﺒﻮﺩﻥ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻋﻤﻠﻴﺎﺗﻲ ﺑﺎ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﺗﻮﺳﻌﻪ ﻛﺸﻮﺭ ﺑﻲﺗﻮﺟﻬﻲ ﺑﻪ ﺑﺨﺶ ﺧﺼﻮﺻﻲ ﺑﻪ ﻋﻨﻮﺍﻥ ﻋﺎﻣﻞ ﻣﻬﻢ ﺑﺨﺶ ﺗﻮﺳﻌﻪ ﻓﻨﺎﻭﺭﻱ ﺍﻃﻼﻋﺎﺕ ﻭ ﺍﺭﺗﺒﺎﻃﺎﺕ

ﻭﺿﻊ ﻣﻮﺟﻮﺩ)ﺍﺩﺍﻣﻪ( پﻮﺭﺗﺎﻝ ﻳﺎ ﺳﺎﻳﺖ ﻭﺏ ﺳﺎﺯﻣﺎﻥ ﺳﻴﺴﺘﻢ ﻫﺎﻱ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ﺳﻴﺴﺘﻢ ﻫﺎﻱ ﻗﺪﻳﻤﻲ ﻣﺒﺘﻨﻲ ﺑﺮ DOS ﻭ Fox. Pro ﻭﻳﻨﺪﻭﺯﻱ ﺗﻚ ﻛﺎﺭﺑﺮﻩ ﻭﻳﻨﺪﻭﺯﻱ ﺗﺤﺖ ﺷﺒﻜﻪ ) (Client/Server ﺗﺤﺖ ﺷﺒﻜﻪ Web. Base ﺷﺒﻜﻪ ﺳﺎﺯﻣﺎﻥ ﺑﻪ ﻟﺤﺎﻅ ﺳﺎﺧﺖﻳﺎﻓﺘگﻲ، ﺍﻣﻨﻴﺖ ﺍﻃﻼﻋﺎﺕ، ﻧﻮﻉ ﺳﺮﻭﺭ ﻭ. . ﺳﺎﺧﺘﺎﺭ ﺳﺎﺯﻣﺎﻧﻲ ﺣﻮﺯﻩ ﻓﻨﺎﻭﺭﻱ ﺍﻃﻼﻋﺎﺕ ﻭ ﻣﺴﺎﻳﻞ ﻣﺮﺑﻮﻁ

چﻪ ﺑﺎﻳﺪ ﻛﺮﺩ! ﻓﺮﻫﻨگﺳﺎﺯﻱ ﻭ آﻤﻮﺯﺵ ﺩﺭ ﻫﻤﻪ ﺳﻄﻮﺡ ﺍﻳﺠﺎﺩ ﺳﺎﺧﺘﺎﺭ ﺳﺎﺯﻣﺎﻧﻲ ﻣﻨﺎﺳﺐ CIO ﺩﺭ ﺳﺎﺯﻣﺎﻥ ﺗﺎﻣﻴﻦ ﻣﻨﺎﺑﻊ ﻣﺎﻟﻲ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﻭ ﺑﻬﺒﻮﺩ ﺯﻳﺮﺳﺎﺧﺖ ﻫﺎﻱ ﺍﺭﺗﺒﺎﻃﻲ ﻭ ﺳﺮﻣﺎﻳﻪگﺬﺍﺭﻱ ﺩﺭ ﺣﻮﺯﻩ ﻓﻨﺎﻭﺭﻱ ﺍﻃﻼﻋﺎﺕ ﻭ ﺍﺭﺗﺒﺎﻃﺎﺕ ﻛﻤﻚ ﺑﻪ ﺭﺷﺪ ﻭ ﺗﻮﺳﻌﻪ ﻣﺮﺍﻛﺰ ﺗﺤﻘﻴﻘﺎﺗﻲ ﻭ پژﻮﻫﺸﻲ ﺩﺭ ﺍﻳﻦ ﺣﻮﺯﻩ ) Cert ﻭ. . ( ﻛﻤﻚ ﺑﻪ ﺭﺷﺪ ﻭ ﺗﻮﺳﻌﻪ ﺑﺨﺶ ﺧﺼﻮﺻﻲ ﺣﻮﺯﻩ ICT ﺍﻳﺠﺎﺩ ﻭ ﺗﻮﺳﻌﻪ ﺳﻴﺴﺘﻢ ﻣﺪﻳﺮﻳﺖ ﺍﻣﻨﻴﺖ ﺍﻃﻼﻋﺎﺕ ﺩﺭ ﺳﺎﺯﻣﺎﻥ ) (ISMS ﺗﻬﻴﻪ ﻗﻮﺍﻧﻴﻦ، آﺌﻴﻦﻧﺎﻣﻪﻫﺎ، ﻣﻘﺮﺭﺍﺕ ﻭ ﺩﺳﺘﻮﺭﺍﻟﻌﻤﻞ ﻫﺎﻱ ﻣﻮﺭﺩ ﻧﻴﺎﺯ

ﺭﺍﻩکﺎﺭ ﺭﺍﻩ ﻛﺎﺭ آﺰﻣﻮﻥ ﻧﻔﻮﺫپﺬﻳﺮﻱ ﻭ ﺗﺎﺋﻴﺪﻳﻪ ﺍﻣﻨﻴﺘﻲ ﺍﺯ ﺟﻤﻠﻪ ﻓﻌﺎﻟﻴﺖ ﻫﺎﻳﻲ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﻓﺮآﻴﻨﺪ ﻣﺪﻳﺮﻳﺖ ﺍﻣﻨﻴﺖ ﺍﻃﻼﻋﺎﺕ ﺳﺎﺯﻣﺎﻥ ﺑﺎﻳﺪ ﺍﻧﺠﺎﻡ ﺷﻮﺩ ﺑﺴﺘﻪ ﺑﻪ ﻧﻮﻉ آﺰﻣﻮﻥ ﻣﻲﺗﻮﺍﻧﺪ ﻧگﺮﺵ ﺍﻭﻟﻴﻪﺍﻱ ﺍﺯ ﻭﺿﻌﻴﺖ ﺍﻣﻨﻴﺖ ﺍﻃﻼﻋﺎﺕ ﺳﺎﺯﻣﺎﻥ ﺑﺪﺳﺖ آﻮﺭﺩ

آﺰﻣﺎﻳﺸگﺎﻩ آپﺎ ﺩﺍﻧﺸگﺎﻩ ﻓﺮﺩﻭﺳﻲ ﻣﺸﻬﺪ

گﺮﻭﻩ ﺍﻣﺪﺍﺩ ﻓﻀﺎﻱ ﺗﺒﺎﺩﻝ ﺍﻃﻼﻋﺎﺕ ) (CERT • گﺮﻭﻩ ﺍﻣﺪﺍﺩ ﻓﻀﺎﻱ ﺗﺒﺎﺩﻝ ﺍﻃﻼﻋﺎﺕ ) (CERT ﺳﺎﺯﻣﺎﻧﻲ ﺍﺳﺖ ﻛﻪ ﻣﺴﺆﻮﻟﻴﺖ ﺩﺭﻳﺎﻓﺖ، ﺑﺮﺭﺳﻲ ﻭ پﺎﺳﺦ ﺑﻪ ﺣﻮﺍﺩﺙ ﺍﻣﻨﻴﺘﻲ ﺭﺍیﺎﻧﻪﺍی ﺭﺍ ﺑﺮ ﻋﻬﺪﻩ ﺩﺍﺭﺩ. • ﺍﻣﻨﻴﺖ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺭﺍیﺎﻧﻪﺍی ﺩﺭ ﺯﻣﻴﻨﻪﻫﺎﻱ ﻣﺨﺘﻠﻔﻲ چﻮﻥ ﺳﺎﻣﺎﻧﻪ ﻫﺎﻱ ﻧﺮﻡ ﺍﻓﺰﺍﺭﻱ، پﻮﺭﺗﺎﻝ، ﺷﺒﻜﻪ ﻫﺎﻱ ﺭﺍﻳﺎﻧﻪ ﺍﻱ، ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ، ﻛﺪﻫﺎﻱ ﻣﺨﺮﺏ، پﺎﻳگﺎﻩ ﺩﺍﺩﻩﻫﺎ، ﺭﻣﺰﻧگﺎﺭﻱ ﻭ ﻏﻴﺮﻩ ﻣﻮﺭﺩ ﺗﻮﺟﻪ ﻗﺮﺍﺭ ﺩﺍﺭﺩ. • ﻧﻘﻄﻪﺿﻌﻒﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺩﺭ ﻣﻮﺍﺭﺩ ﻓﻮﻕ، آﺴﻴﺐپﺬﻳﺮﻱﻫﺎﻳﻲ ﺭﺍ ﺑﺮﺍﻱ ﺳﻴﺴﺘﻢ ﺑﻪ ﻭﺟﻮﺩ ﻣﻲآﻮﺭﻧﺪ ﻭ ﺍﻣﻜﺎﻥ ﺳﻮﺀﺍﺳﺘﻔﺎﺩﻩ ﻭ ﺭﺧﺪﺍﺩ ﺍﺧﺘ ﻻﺕ ﺍﻣﻨﻴﺘﻲ ﺑﻪ ﻭﺟﻮﺩ ﻣﻲآﻴﺪ. ﻼ • گﺮﺩآﻮﺭﻱ ﻧﻴﺮﻭﻫﺎﻱ ﻣﺘﺨﺼﺺ ﺩﺭ ﺗﻤﺎﻡ ﺯﻣﻴﻨﻪﻫﺎ ﻭ ﺩﺍﺷﺘﻦ ﺗﻤﺎﻡ ﺗﺨﺼﺺﻫﺎ ﺩﺭ ﺗﺤﻠﻴﻞ ﻭ پﺎﺳﺦگﻮﻳﻲ ﺑﻪ ﺣﻮﺍﺩﺙ ﺑﺴﻴﺎﺭ ﺩﺷﻮﺍﺭ ﺍﺳﺖ؛ ﻟﺬﺍ ﻣﺮﺍﻛﺰ ﻭ آﺰﻣﺎﻳﺸگﺎﻩﻫﺎﻱ ﺩﺍﻧﺸگﺎﻫﻲ ﺑﺮﺍﻱ آگﺎﻫﻲ ﺭﺳﺎﻧﻲ، پﺸﺘﻴﺒﺎﻧﻲ ﻭ ﺍﻣﺪﺍﺩﺭﺳﺎﻧﻲ ﺩﺭ ﺯﻣﻴﻨﻪ ﺭﺧﺪﺍﺩ ﺣﻮﺍﺩﺙ ﺍﻣﻨﻴﺘﻲ ﺭﺍﻳﺎﻧﻪ ﺍﻱ ﺗﺎﺳﻴﺲ ﺷﺪﻩ ﺍﻧﺪ.

آﺰﻣﺎیﺸگﺎﻩ ﻫﺎی آپﺎ ﺩﺭ ﺩﺍﻧﺸگﺎﻩ ﻫﺎی ﺍیﺮﺍﻥ v آﺰﻣﺎیﺸگﺎﻩ آپﺎی ﺩﺍﻧﺸگﺎﻩ ﻓﺮﺩﻭﺳی ﻣﺸﻬﺪ )ﺳﺮﻭیﺲ ﻫﺎی ﺷﺒکﻪ ﻭ ﺗﺠﻬیﺰﺍﺕ ﺑی ﺳیﻢ( v آﺰﻣﺎیﺸگﺎﻩ آپﺎی ﺩﺍﻧﺸگﺎﻩ ﺻﻨﻌﺘی ﺷﺮیﻒ )پﺎیگﺎﻩ ﺩﺍﺩﻩ ﻫﺎ( v آﺰﻣﺎیﺸگﺎﻩ آپﺎی ﺩﺍﻧﺸگﺎﻩ ﺻﻨﻌﺘی ﺍﻣیﺮکﺒیﺮ )ﺳیﺴﺘﻢ ﻋﺎﻣﻞ( v آﺰﻣﺎیﺸگﺎﻩ آپﺎی ﺩﺍﻧﺸگﺎﻩ ﺻﻨﻌﺘی ﺍﺻﻔﻬﺎﻥ )ﺷﺒکﻪ( v آﺰﻣﺎیﺸگﺎﻩ آپﺎی ﺩﺍﻧﺸگﺎﻩ ﺍﻣﺎﻡ ﺣﺴیﻦ )ﺳیﺴﺘﻢ ﻫﺎی ﺭﻣﺰﻧگﺎﺭی( v آﺰﻣﺎیﺸگﺎﻩ آپﺎی ﺩﺍﻧﺸگﺎﻩ یﺰﺩ )ﻧﺮﻡ ﺍﻓﺰﺍﺭﻫﺎی کﺎﺭﺑﺮﺩی( v آﺰﻣﺎیﺸگﺎﻩ آپﺎی ﺩﺍﻧﺸگﺎﻩ ﺗﺮﺑیﺖ ﻣﺪﺭﺱ )ﻫﺮﺯﻧﺎﻣﻪ( v آﺰﻣﺎیﺸگﺎﻩ آپﺎی ﺩﺍﻧﺸگﺎﻩ ﺷیﺮﺍﺯ )ﺑﺪﺍﻓﺰﺍﺭ(

آپﺎ: آگﺎﻫﻲ ﺭﺳﺎﻧﻲ، پﺸﺘﻴﺒﺎﻧﻲ ﻭ ﺍﻣﺪﺍﺩ ﺣﻮﺍﺩﺙ ﺭﺍﻳﺎﻧﻪﺍﻱ q آپﺎ ﻳﻚ ﻣﺮﻛﺰ CERT ﺍﺳﺖ ﻛﻪ ﺗﻮﺳﻂ ﻣﺮﻛﺰ ﺗﺤﻘﻴﻘﺎﺕ ﻣﺨﺎﺑﺮﺍﺕ ﺍﻳﺮﺍﻥ ITRC ﺗﺎﺳﻴﺲ ﺷﺪﻩ ﺍﺳﺖ q آپﺎ ﻳﻚ ﻣﺮﻛﺰ ﺑﺮﺍﻱ ﻛﻤﻚ ﻭ ﺍﻣﺪﺍﺩ ﺑﻪ ﺣﻮﺍﺩﺙ ﺭﺍﻳﺎﻧﻪﺍﻱ ﻭ آﺴﻴﺐپﺬﻳﺮﻱﻫﺎ ﺩﺭ ﻓﻀﺎﻱ ﺳﺎﻳﺒﺮ ﺍﺳﺖ ﺍﻳﻦ ﻣﺮﻛﺰ ﺗﻼﺵ ﻣﻲﻛﻨﺪ ﺗﺎ ﺧﺪﻣﺎﺕ ﻣﻨﺎﺳﺒﻲ ﺭﺍ ﺩﺭ ﺍﻳﻦ ﺯﻣﻴﻨﻪ ﺍﺭﺍﻳﻪ ﻧﻤﺎﻳﺪ

ﺩﺭ آﺰﻣﺎﻳﺸگﺎﻩ آپﺎﻱ ﺩﺍﻧﺸگﺎﻩ ﻓﺮﺩﻭﺳﻲ ﻣﺸﻬﺪ ﻓﻌﺎﻟﻴﺖﻫﺎیﻲ ﺯﻳﺮ ﺍﺭﺍﺋﻪ ﻣﻲﺷﻮﺩ: • ﺷﻨﺎﺳﺎﻳﻲ ﺗﻬﺪﻳﺪﺍﺕ ﺭﺍﻳﺎﻧﻪﺍﻱ ﻭ ﻛﺸﻒ آﺴﻴﺐپﺬﻳﺮﻱﻫﺎ • ﺭﺳﻴﺪگﻲ ﻭ ﻛﻤﻚ ﺑﻪ ﺳﺎﺯﻣﺎﻥﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺩﺭ ﻫﻨگﺎﻡ ﺑﺮﻭﺯ ﺣﻮﺍﺩﺙ ﻧﺎﺷﻲ ﺍﺯ ﺣﻤﻼﺕ ﺭﺍﻳﺎﻧﻪﺍﻱ • آﺰﻣﻮﻥ ﻧﻔﻮﺫپﺬﻳﺮﻱ ﺑﺮ ﺭﻭﻱ ﺳﺎﻣﺎﻧﻪ ﻫﺎﻱ ﻧﺮﻡ ﺍﻓﺰﺍﺭﻱ ﻭ ﺷﺒﻜﻪ ﻫﺎﻱ ﺭﺍﻳﺎﻧﻪ ﺍﻱ • آﻤﻮﺯﺵ ﻫﺎﻱ ﻋﻤﻮﻣﻲ ﻭ ﺗﺨﺼﺼﻲ • ﺧﺪﻣﺎﺕ آگﺎﻫﻲﺭﺳﺎﻧﻲ ﻋﻤﻮﻣﻲ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻳﻦ ﺣﻮﺯﻩ

پﻮﺭﺗﺎﻝ ﺍﻃﻼﻉ ﺭﺳﺎﻧﻲ آپﺎ www. ircert. cc پﻮﺭﺗﺎﻝ ﻃﺮﺡ آپﺎ http: //cert. um. ac. ir پﻮﺭﺗﺎﻝ آپﺎﻱ ﺩﺍﻧﺸگﺎﻩ ﻓﺮﺩﻭﺳﻲ ﻣﺸﻬﺪ

چﺎﺭﺕ آﺰﻣﺎیﺸگﺎﻩ آپﺎی ﺩﺍﻧﺸگﺎﻩ ﻓﺮﺩﻭﺳی ﻣﺸﻬﺪ ﺭﺋیﺲ آﺰﻣﺎیﺸگﺎﻩ آپﺎ ﺩکﺘﺮ ﻣﺤﺴﻦ کﺎﻫﺎﻧی کﺎﺭﺷﻨﺎﺱ ﺍﺭﺷﺪ ﺩکﺘﺮ ﺳیﺪﺍﻣیﻦ ﺣﺴیﻨی ﻣﺪیﺮﺭﻭﺍﺑﻂ ﻋﻤﻮﻣی ﻣﻬﻨﺪﺱ ﺍﺣﺴﺎﻥ ﻃیﺮﺍﻧی ﺭﺍﺩ کﺎﺭﺷﻨﺎﺱ ﺍﺭﺷﺪ ﻣﻬﻨﺪﺱ ﺳﻌیﺪ ﺍﺑﺮیﺸﻤی ﻣﺪیﺮ ﺍﺟﺮﺍیی ﻣﻬﻨﺪﺱ ﺣﺴیﻦ ﺍﻓﺨﻤی ﻣﺪیﺮ ﻋﻤﻠیﺎﺕ ﺩکﺘﺮ ﻣﻬﺪی آﺒﺎﺩی

ﺣﻮﺯﻩ ﻓﻌﺎﻟیﺖ ﻫﺎی آﺰﻣﺎیﺸگﺎﻩ آپﺎ q ﺑﺮگﺰﺍﺭﻱ ﺩﻭﺭﻩ ﻫﺎﻱ آﻤﻮﺯﺷﻲ )ﻛﺎﺭگﺎﻩ، ﺳﻤﻴﻨﺎﺭ، ﻫﻤﺎﻳﺶ ﻭ ﻏﻴﺮﻩ( ﻋﻤﻮﻣﻲ ﻭ ﺗﺨﺼﺼﻲ ﺑﻪ ﺻﻮﺭﺕ ﺣﻀﻮﺭﻱ ﻭ ﻣﺠﺎﺯﻱ ﺩﺭﻣﻮﺿﻮﻉ ﻫﺎﻱ q q آگﺎﻫﻲ ﺭﺳﺎﻧﻲ ﺍﻣﻨﻴﺖ ﺭﺍﻳﺎﻧﻪ ﺍﻱ ﺍﻣﻨﻴﺖ ﻭﺏ ISMS ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎ ﻭ ﻗﻮﺍﻧﻴﻦ q آﺰﻣﻮﻥ ﻧﻔﻮﺫپﺬﻳﺮﻱ q ﺻﺪﻭﺭ گﻮﺍﻫﻴﻨﺎﻣﻪ ﺍﻣﻨﻴﺘﻲ Issuing OWASP ASVS L 1 A certificate q q ﺳﻤﻴﻨﺎﺭﻫﺎﻱ ﻣﻨﻈﻢ )ﻣﺨﺼﻮﺹ ﺍﻋﻀﺎ( q ﺧﺒﺮﻧﺎﻣﻪ ﺍﻟﻜﺘﺮﻭﻧﻴﻜﻲ

ﻓﻌﺎﻟﻴﺖ ﻫﺎ ﺟﺰﺋﻴﺎﺕ ﻋﻨﻮﺍﻥ ﻫﺎﻱ ﻓﻮﻕ ﺩﺭ پﻮﺭﺗﺎﻝ http: //cert. um. ac. ir ﻣﻨﺘﺸﺮ ﺷﺪﻩ ﺍﺳﺖ

گﺰﺍﺭﺵ ﺗﺼﻮیﺮی ﺣﻀﻮﺭ آﺰ آپﺎی ﻓﺮﺩﻭﺳی ﺩﺭ کﻨﻔﺮﺍﻧﺲ ﺍﻣﻨیﺖ ﺗﻬﺮﺍﻥ –ﺧﺮﺩﺍﺩ 8831 کﺎﺭگﺎﻩ آﻤﻮﺯﺷی ﺍﻣﻨیﺖ ﺩﺭ ﺷﺒکﻪ ﻫﺎی ﺭﺍیﺎﻧﻪ ﺍی – ﺩی 8831 ﺍﻓﺘﺘﺎﺣیﻪ آﺰ آپﺎی ﻓﺮﺩﻭﺳی – ﺩی 7831

گﺰﺍﺭﺵ ﺗﺼﻮیﺮی کﺎﺭگﺎﻩ آﻤﻮﺯﺷی ﺩیﻮﺍﺭﻩ آﺘﺶ ﺩﺭ ﻧﻤﺎیﺸگﺎﻩ 0102 – Comex ﺑﻬﻤﻦ 8831 -------------------- ﺳﻤیﻨﺎﺭﻫﺎی ﺗﺨﺼﺼی ﺑﺎ ﺣﻀﻮﺭ ﺍﻋﻀﺎی آﺰ آپﺎی ﻓﺮﺩﻭﺳی ﻫﺸﺘﻤیﻦ گﺮﺩﻫﻢ آیی کﺎﺭﺷﻨﺎﺳﺎﻥ ﻓﻨﺎﻭﺭی ﺍﻃﻼﻋﺎﺕ ﺍﺳﺘﺎﻥ ﺩﺭ ﻣﺤﻞ آﺰﻣﺎیﺸگﺎﻩ آپﺎ –آﺒﺎﻥ 8831 -------------------- کﺎﺭگﺎﻩ آﻤﻮﺯﺷی ﺩﺭ ﻧﻤﺎیﺸگﺎﻩ Comex 0102

گﺰﺍﺭﺵ ﺗﺼﻮیﺮی کﺎﺭگﺎﻩ آﻤﻮﺯﺷی ﺩﺭ ﻧﻤﺎیﺸگﺎﻩ 0102 Comex – ﺑﻬﻤﻦ 8831 -------------------- ﻏﺮﻓﻪ آﺰﻣﺎیﺸگﺎﻩ آپﺎی ﺩﺍﻧﺸگﺎﻩ ﻓﺮﺩﻭﺳی ﺩﺭ ﻧﻤﺎیﺸگﺎﻩ 0102 - Comex ﺑﻬﻤﻦ 8831

ﺧﺪﻣﺎﺕ آﺰﻣﺎﻳﺸگﺎﻩ آپﺎ ﺩﺍﻧﺸگﺎﻩ ﻓﺮﺩﻭﺳﻲ ﻣﺸﻬﺪ

ﺧﺪﻣﺎﺕ آﺰﻣﺎیﺸگﺎﻩ آپﺎ 1 – آﺰﻣﻮﻥ ﻧﻔﻮﺫپﺬیﺮی ) (Penetration Testing 1 -1 آﺰﻣﻮﻥ ﻧﻔﻮﺫپﺬیﺮی پﻮﺭﺗﺎﻝ یﺎ ﺳﺎیﺖ ﻭﺏ 2 -1 آﺰﻣﻮﻥ ﻧﻔﻮﺫپﺬیﺮی ﺑﺮﻧﺎﻣﻪ ﻫﺎی کﺎﺭﺑﺮﺩی ﺗﺤﺖ ﻭﺏ -3 -1 آﺰﻣﻮﻥ ﻧﻔﻮﺫپﺬیﺮی ﺷﺒکﻪ

ﺧﺪﻣﺎﺕ آﺰﻣﺎیﺸگﺎﻩ آپﺎ 2 – ﺻﺪﻭﺭ گﻮﺍﻫیﻨﺎﻣﻪ ﺍﻣﻨیﺘی) (OWASP-ASVS-1 A 1 -2 ﻧﺼﺐ ﺑﺮﻧﺎﻣﻪ کﺎﺭﺑﺮﺩی ﺑﺮ ﺭﻭی ﺳﺮﻭﺭﻫﺎی آپﺎ 2 -2 ﺑﺮﺭﺳی آﺰﻣﻮﻥ 1 A ﺗﻮﺳﻂ آپﺎ ﻭ ﺍﺭﺍﺋﻪ گﺰﺍﺭﺵ 3 -2 ﺭﻓﻊ ﺍﺷکﺎﻻﺕ ﺍﺣﺘﻤﺎﻟی -4 -2 ﺍﺭﺍﺋﻪ گﻮﺍﻫیﻨﺎﻣﻪ پﺲ ﺍﺯ ﺭﻓﻊ ﺍﺷکﺎﻻﺕ ﺍﺣﺘﻤﺎﻟی ﻭ ﻣﻮﻓﻘیﺖ ﺩﺭ آﺰﻣﻮﻥ

ﺧﺪﻣﺎﺕ آﺰﻣﺎیﺸگﺎﻩ آپﺎ 3 – ﺍﺭﺍﺋﻪ ﺧﺪﻣﺎﺕ آﻤﻮﺯﺷی 1 -3 ﺑﺮگﺰﺍﺭی ﺩﻭﺭﻩ ﻫﺎی آﻤﻮﺯﺷی ﺑﻪ ﺳﻔﺎﺭﺵ ﻣﺘﻘﺎﺿیﺎﻥ -2 -3 ﺑﺮگﺰﺍﺭی ﺩﻭﺭﻩ ﻫﺎی ﺍﺧﺘﺼﺎﺻی آﺰﻣﺎیﺸگﺎﻩ آپﺎ

ﺧﺪﻣﺎﺕ آﺰﻣﺎیﺸگﺎﻩ آپﺎ 4 – ﺍﻧﺠﺎﻡ ﻓﻌﺎﻟیﺖ ﻫﺎی پژﻮﻫﺸی 1 -4 ﺍﻧﺠﺎﻡ ﻓﻌﺎﻟیﺖ ﻫﺎی پژﻮﻫﺸی ﺩﺭ ﺣﻮﺯﻩ ﺍﻣﻨیﺖ ﻓﻀﺎی ﺗﺒﺎﺩﻝ ﺍﻃﻼﻋﺎﺕ ﺑﺮ ﺍﺳﺎﺱ ﺩﺭﺧﻮﺍﺳﺖ ﻣﺘﻘﺎﺿیﺎﻥ

آﺰﻣﻮﻥ ﻧﻔﻮﺫپﺬیﺮی ﻭ ﺻﺪﻭﺭ گﻮﺍﻫیﻨﺎﻣﻪ ﺍﻣﻨیﺘی

ﻧﻮﻉ آﺰﻣﻮﻥ ﺟﻌﺒﻪ ﺳﻔﻴﺪ: ﺯﻣﺎﻧﻲ ﻛﻪ ﺗﻴﻢ ﻣﺠﻮﺯ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﻫﻤﻪ ﺷﺒﻜﻪ ﺭﺍ ﺑﺮﺍﻱ آﺰﻣﻮﻥ ﺩﺍﺭﺩ ﻭ ﺑﺮ ﺭﻭﻱ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ، ﺳﺨﺖﺍﻓﺰﺍﺭ ﻭ ﺟﺰﺋﻴﺎﺕ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻛﺎﺭﺑﺮﺩﻱ ﺍﻣﻜﺎﻥ آﺰﻣﻮﻥ ﻭﺟﻮﺩ ﺩﺍﺭﺩ. ﻣﺜﻞ ﻣﻮﻗﻌﻲ ﻛﻪ ﻳﻚ ﺣﻤﻠﻪ ﻛﻨﻨﺪﻩ ﺍﺯ ﺟﺰﺋﻴﺎﺕ ﺩﺍﺧﻠﻲ ﻳﻚ ﺷﺒﻜﻪ ﻣﻄﻠﻊ ﺍﺳﺖ ﺟﻌﺒﻪ ﺳﻴﺎﻩ: آﺰﻣﻮﻥ ﻣﺒﺘﻨﻲ ﺑﺮ ﻭﺏ ﺍﺯ ﺭﺍﻩ ﺩﻭﺭ ﺑﺪﻭﻥ ﺍﻃﻼﻉ ﺩﺍﺧﻠﻲ ﺍﺳﺖ ﺩﺭ ﻭﺍﻗﻊ ﻧﻘﺶ ﻳﻚ ﺣﻤﻠﻪ ﻛﻨﻨﺪﻩ ﺭﺍ ﺍﺯ ﺑﻴﺮﻭﻥ ﺑﺎﺯﻱ ﻣﻲﻛﻨﺪ ﺟﻌﺒﻪ ﺧﺎﻛﺴﺘﺮﻱ: ﺗﻴﻢ آﺰﻣﻮﻥ ﺑﻪ ﻛﻤﻚ ﺷﺒﻴﻪﺳﺎﺯﻱ، ﻧﻘﺶ ﻳﻚ ﻛﺎﺭﻣﻨﺪ ﻧﺎﺭﺍﺿﻲ ﺭﺍ ﺑﺎﺯﻱ ﻣﻲﻛﻨﺪ ﻛﻪ ﻳﻜﺴﺮﻱ ﺩﺳﺘﺮﺳﻲﻫﺎﻱ ﻣﻌﻤﻮﻟﻲ ﻭ ﻣﺘﻌﺎﺭﻑ ﺑﻪ ﺷﺒﻜﻪ ﺩﺍﺧﻠﻲ ﺩﺍﺭﺩ

ﺭﺋﻮﺱ ﻣﻮﺿﻮﻋﺎﺕ آﺰﻣﻮﻥ ﻧﻔﻮﺫپﺬﻳﺮﻱ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ﺍﻣﻨﻴﺖ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺍﻣﻨﻴﺖ ﻭﺏ ﺳﺮﻭﺭ ﺍﻣﻨﻴﺖ پﺎﻳگﺎﻩ ﺩﺍﺩﻩ ﺍﻣﻨﻴﺖ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻛﺎﺭﺑﺮﺩﻱ ﺧﻂ ﻣﺸﻲ ﺗﺪﺍﻭﻡ ﻛﺴﺐ ﻭ ﻛﺎﺭ)پﺸﺘﻴﺒﺎﻥگﻴﺮﻱ ﺍﺯ ﺍﻃﻼﻋﺎﺕ،آﻤﺎﺩﻩ ﻛﺮﺩﻥ ﺷﺮﺍﻳﻄﻲ ﺑﺮﺍﻱ ﻣﻜﺎﻥ، ﺳﺨﺖﺍﻓﺰﺍﺭ، ﻧﺮﻡﺍﻓﺰﺍﺭ، پﺮﺳﻨﻞ ﻭ ﻣﺴﺘﻨﺪﺍﺕ(

ﺩﺭ ﺍﻳﻦ آﺰﻣﻮﻥﻫﺎ ﻣﻮﺍﺭﺩ ﺯﻳﺮ ﻣﻮﺭﺩ ﺗﻮﺟﻪ ﻗﺮﺍﺭ ﻣﻲگﻴﺮﺩ File System Security Password Policy Auditing Policy Patching Policy Anti-virus Policy Trust Policy Lockdown Policy

چﺮﺍ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻛﺎﺭﺑﺮﺩﻱ ) (Web applications ﺍﺯ ﺍﻫﻤﻴﺖ ﺑﺎﻻیی ﺩﺭ ﺣﻮﺯﻩ ﺍﻣﻨﻴﺖ ﻓﻨﺎﻭﺭﻱ ﺍﻃﻼﻋﺎﺕ ﺑﺮﺧﻮﺭﺩﺍﺭ ﻫﺴﺘﻨﺪ؟ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻛﺎﺭﺑﺮﺩﻱ ﻧﻘﻄﻪ ﺗﻤﺮﻛﺰ ﺣﻤﻠﻪﻛﻨﻨﺪگﺎﻥ ﻫﺴﺘﻨﺪ Gartner ﻣﻲگﻮﻳﺪ 57 ﺩﺭﺻﺪ ﺣﻤﻠﻪ ﻛﻨﻨﺪگﺎﻥ ﺩﺭ ﻻﻳﻪ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻛﺎﺭﺑﺮﺩﻱ ﻫﺴﺘﻨﺪ Mitre ﻣﻲگﻮﻳﺪ ﺑﻴﺸﺘﺮﻳﻦ آﺴﻴﺐپﺬﻳﺮﻱ گﺰﺍﺭﺵ ﺷﺪﻩ ﺑﻪ ﺗﺮﺗﻴﺐ XSS ﻭ SQL Injection ﻫﺴﺘﻨﺪ ﺍﻏﻠﺐ ﺳﺎﻳﺖ ﻫﺎ آﺴﻴﺐپﺬﻳﺮ ﻫﺴﺘﻨﺪ Watchfire ﻣﻲگﻮﻳﺪ 09 ﺩﺭﺻﺪ ﺳﺎﻳﺖ ﻫﺎ ﺩﺭ ﻣﻘﺎﺑﻞ ﺣﻤﻼﺕ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻛﺎﺭﺑﺮﺩﻱ ﺣﻤﻠﻪﻛﻨﻨﺪگﺎﻥ آﺴﻴﺐپﺬﻳﺮ ﻫﺴﺘﻨﺪ Symantec ﻣﻲگﻮﻳﺪ 87 ﺩﺭﺻﺪ ﻛﺪﻫﺎﻱ ﻣﺨﺮﺏ ﻣﺮﺑﻮﻁ ﺑﻪ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻛﺎﺭﺑﺮﺩﻱ ﺗﺤﺖ ﻭﺏ ﺍﺳﺖ Gartner ﻣﻲگﻮﻳﺪ ﺣﺪﺍﻗﻞ 08 ﺩﺭﺻﺪ ﺳﺎﺯﻣﺎﻥ ﻫﺎ ﺣﻮﺍﺩﺙ ﺍﻣﻨﻴﺖ ﺍﻃﻼﻋﺎﺕ ﺭﺍ ﺗﺠﺮﺑﻪ ﻛﺮﺩﻩﺍﻧﺪ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻛﺎﺭﺑﺮﺩﻱ ﺍﻫﺪﺍﻑ ﺑﺎ ﺍﺭﺯﺷﻲ ﺑﺮﺍﻱ ﺣﻤﻠﻪﻛﻨﻨﺪگﺎﻥ ﻫﺴﺘﻨﺪ ﺩﺍﺩﻩ ﻣﺸﺘﺮﻱ، ﻛﺎﺭﺕ ﺍﻋﺘﺒﺎﺭﻱ، ﺳﺮﻗﺖ ﺷﻨﺎﺳﻪ، ﺗﻐﻴﻴﺮ ﺳﺎﻳﺖ ﻭ ﻏﻴﺮﻭ ﺍﻏﻠﺐ ﺧﻮﺍﺳﺘﻪﻫﺎ ﺑﺮ ﺑﺴﺘﺮ ﻭﺏ ﺑﺮآﻮﺭﺩﻩ ﻣﻲﺷﻮﺩ ﺍﻟﺰﺍﻣﺎﺕ ﺳﺎﺯﻣﺎﻧﻲ ﻭ ﺩﻭﻟﺘﻲ ﻧﻈﻴﺮ: ﺗﻜﺮﻳﻢ ﺍﺭﺑﺎﺏ ﺭﺟﻮﻉ، ﻛﺎﻫﺶ ﺳﻔﺮ، ﻫﻤﻜﺎﺭﻱ ﺑﻴﻦ ﺳﺎﺯﻣﺎﻧﻲ ﻭ. . .

چﺮﺍ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻛﺎﺭﺑﺮﺩﻱ ) (Web applications آﺴﻴﺐپﺬﻳﺮ ﻫﺴﺘﻨﺪ؟ ﺑﺮﻧﺎﻣﻪﻧﻮﻳﺴﺎﻥ ﻭ ﺗﻮﺳﻌﻪﺩﻫﻨﺪگﺎﻥ ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﻛﺎﺭﺑﺮﺩﻱ آﻤﻮﺯﺵ ﻛﺎﻓﻲ ﺑﺮﺍﻱ ﺍﻳﺠﺎﺩ ﻛﺪ ﺍﻣﻦ ﻧﺪﻳﺪﻩﺍﻧﺪ ﺩﺭ ﻗﺮﺍﺭﺩﺍﺩﻫﺎﻱ ﺗﻬﻴﻪ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻛﺎﺭﺑﺮﺩﻱ ﺑﻪ ﻣﻮﺿﻮﻉ ﺍﻣﻨﻴﺖ ﺍﻃﻼﻋﺎﺕ ﻭ ﻣﺒﺎﺣﺚ ﻣﺮﺑﻮﻁ ﺗﻮﺟﻪ ﻧﺸﺪﻩ ﺍﺳﺖ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ )ﻓﺎﻳﺮﻭﺍﻝ، ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮﺫ ﻭ. . . ( ﺍﻣﻨﻴﺖ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻛﺎﺭﺑﺮﺩﻱ ﺭﺍ پﻮﺷﺶ ﻧﻤﻲﺩﻫﻨﺪ ﺳﺎﺯﻣﺎﻥ ﻫﺎ ﻋﻤﺪﺗ ﺑﻪ ﻣﻮﺿﻮﻉ ﺍﻣﻨﻴﺖ ﺍﻃﻼﻋﺎﺕ ﺩﺭ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻛﺎﺭﺑﺮﺩﻱ ﺑﻲﺗﻮﺟﻬﻨﺪ ﻭ ﻣﻌﻤﻮﻻ ﺍگﺮ ﻫﻢ ﺑﻪ آﺰﻣﻮﻥ ﻧﻔﻮﺫ ﺗﻮﺟﻪ ﻛﻨﻨﺪ ﺑﺎ ﺗﺎﺧﻴﺮ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ ﻋﻤﻠﻴﺎﺕ آﺰﻣﻮﻥ ﻧﻔﻮﺫپﺬﻳﺮﻱ ﺟﺎﻣﻊ ﻧﻴﺴﺖ ﻭ. . .

ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﻣﻤﻴﺰﻱ ﺍﻣﻨﻴﺖ ﺩﺭ ﺑﺮﻧﺎﻣﻬﻬﺎﻱ کﺎﺭﺑﺮﺩﻱ ) (ASVS

Open Web Application Security Project Application Security Verification Standard ﻧﻴﺎﺯ ﺑﻪ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻱ ﺑﺮﺍﻱ ﺍﻳﺠﺎﺩ ﺍﻋﺘﻤﺎﺩ ﻭ ﺩﺭﺟﻪﺍﻱ ﺍﺯ ﺍﻃﻤﻴﻨﺎﻥ ﺑﻴﻦ ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﻨﺪگﺎﻥ ﻭ ﺗﻮﻟﻴﺪﻛﻨﻨﺪگﺎﻥ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻛﺎﺭﺑﺮﺩﻱ )گﻮﺍﻫﻴﻨﺎﻣﻪ ﺍﻣﻨﻴﺘﻲ ﻧﺮﻡﺍﻓﺰﺍﺭ( OWASP ﺍﻧﺠﻤﻦ ﺍﺧﺘﺼﺎﺻﻲ آﺰﺍﺩﻱ ﺍﺳﺖ ﻛﻪ ﻫﺪﻓﺶ ﺍﻳﺠﺎﺩ ﺳﺎﺧﺘﺎﺭ ﻭ ﺗﺸﻜﻴﻼﺗﻲ ﺍﺳﺖ ﺑﺮﺍﻱ ﺗﻮﺳﻌﻪ، ﺧﺮﻳﺪ ﻭ ﺣﻔﺎﻇﺖ ﺍﺯ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻛﺎﺭﺑﺮﺩﻱ ﻗﺎﺑﻞ ﺍﻋﺘﻤﺎﺩ ASVS ﻳک ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺑﺮﺍﻱ ﻣﻤﻴﺰﻱ ﺍﻣﻨﻴﺖ ﺑﺮﻧﺎﻣﻪﻫﺎی کﺎﺭﺑﺮﺩﻱ ﺍﺳﺖ ﻭ ﻣﻴﺘﻮﺍﻧﺪ ﺑﺮﺍﻱ ﺍﻳﺠﺎﺩ ﺳﻄﺤﻲ ﺍﺯ ﺍﻃﻤﻴﻨﺎﻥ ﺩﺭ ﺍﻣﻨﻴﺖ ﺑﺮﻧﺎﻣﻬﻬﺎﻱ کﺎﺭﺑﺮﺩﻱ ﺗﺤﺖ ﻭﺏ ﺍﺳﺘﻔﺎﺩﻩ ﺷﻮﺩ. ﺩﺭ ﺳﻄﻮﺡ ﺑﺎﻻﺗﺮ ﺩﺭ ASVS ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﺑﺰﺍﺭﻫﺎ ﺗﻮﺻﻴﻪ ﻣﻲﺷﻮﺩ، ﺍﻣﺎ ﺍﺑﺰﺍﺭﻫﺎ ﺑﺎﻳﺪ ﻣﻨﺎﺳﺐ ﻗﺎﻟﺒکﺎﺭﻱ ﺑﺮﻧﺎﻣﻪ کﺎﺭﺑﺮﺩﻱ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﺑﺎﺷﻨﺪ.

ﺳﻄﻮﺡ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ OWASP ASVS ﺳﻄﺢ 1: ﻣﻤﻴﺰﻱ ﺧﻮﺩﻛﺎﺭ Automated Verification ﺳﻄﺢ 2: ﻣﻤﻴﺰﻱ ﺩﺳﺘﻲ Manual Verification ﺳﻄﺢ 3: ﻣﻤﻴﺰﻱ ﻃﺮﺍﺣﻲ Design Verification ﺳﻄﺢ 4: ﻣﻤﻴﺰﻱ ﻭ ﺑﺎﺯﺑﻴﻨﻲ کﺪ Internal Verification ﺍﻓﺰﺍﻳﺶ ﺍﻃﻤﻴﻨﺎﻥ ﺩﺭ ﺍﻣﻨﻴﺖ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻛﺎﺭﺑﺮﺩﻱ ﻳﺎ ﺳﺮﻭﻳﺲ

ü ﺳﻄﺢ 1: ﻭﺍﺭﺳﻲ ﺧﻮﺩکﺎﺭ : 1 A پﻮﻳﺶ پﻮﻳﺎ )ﻭﺍﺭﺳﻲ ﺧﻮﺩکﺎﺭ ﺟﺰﺋﻲ( : 1 B پﻮﻳﺶ کﺪ ﻣﻨﺒﻊ )ﻭﺍﺭﺳﻲ ﺧﻮﺩکﺎﺭ ﺟﺰﺋﻲ( ü ﺳﻄﺢ 2: ﻭﺍﺭﺳﻲ ﺩﺳﺘﻲ : 2 A آﺰﻣﻮﻥ ﺍﻣﻨﻴﺖ )ﻭﺍﺭﺳﻲ ﺩﺳﺘﻲ ﺟﺰﺋﻲ( : 2 B ﺑﺎﺯﺑﻴﻨﻲ کﺪ )ﻭﺍﺭﺳﻲ ﺩﺳﺘﻲ ﺟﺰﺋﻲ( ü ﺳﻄﺢ 3: ﻭﺍﺭﺳﻲ ﻃﺮﺍﺣﻲ ü ﺳﻄﺢ 4: ﻭﺍﺭﺳﻲ ﺩﺍﺧﻠﻲ

ﺍگﺮ ﺑﺮﻧﺎﻣﻪ کﺎﺭﺑﺮﺩﻱ ﺗﻤﺎﻡ ﻧﻴﺎﺯﻣﻨﺪﻳﻬﺎﻱ ﻳک ﺳﻄﺢ ﺭﺍ ﺑﺮآﻮﺭﺩﻩ کﻨﺪ، ﺑﻪ ﻋﻨﻮﺍﻥ ﺑﺮﻧﺎﻣﻪ کﺎﺭﺑﺮﺩﻱ ﺳﻄﺢ N ﺩﺭ OWASP ASVS ﺷﻨﺎﺧﺘﻪ ﻣﻴﺸﻮﺩ. N ﻧﺸﺎﻧﺪﻫﻨﺪﻩی ﺳﻄﺤﻲ ﺍﺳﺖ کﻪ ﺑﺮﻧﺎﻣﻪ کﺎﺭﺑﺮﺩﻱ ﺑﺎ آﻦ ﻣﻄﺎﺑﻘﺖ ﺩﺍﺭﺩ

ﺳﻄﺢ ﻳﻚ ﺳﻄﺢ ﻣﻤﻴﺰﻱ ﺧﻮﺩﻛﺎﺭ Automated Verification ﺩﺭ ﺍﻳﻦ ﺳﻄﺢ ﺑﻪ ﺍﻳﻦ ﺍﻃﻤﻴﻨﺎﻥ ﻣﻲﺭﺳﻴﻢ ﻛﻪ ﻛﻨﺘﺮﻝﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﻧﺪ ﺳﻄﺢ 1 A ﻛﻪ ﺑﻪ ﻣﻨﻈﻮﺭ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﺑﺰﺍﺭﻫﺎﻱ ﺧﻮﺩکﺎﺭ ﺑﺮﺍﻱ پﻮﻳﺶ آﺴﻴﺒپﺬﻳﺮﻱ ﺑﺮﻧﺎﻣﻪ کﺎﺭﺑﺮﺩﻱ ﺑﻪ کﺎﺭ ﻣﻴﺮﻭﺩ )ﺗﺤﻠﻴﻞ پﻮﻳﺎ( ﺳﻄﺢ 1 B ﻛﻪ ﺑﻪ ﻣﻨﻈﻮﺭ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﺑﺰﺍﺭﻫﺎﻱ ﺧﻮﺩکﺎﺭ ﺑﺮﺍﻱ پﻮﻳﺶ Source Code ﺑﻪ کﺎﺭ ﻣﻴﺮﻭﺩ )ﺗﺤﻠﻴﻞ ﺍﻳﺴﺘﺎ(

ﻣﺜﺎﻝ ﻣﻌﻤﺎﺭﻱ ﺍﻣﻦ ﺩﺭ ﺳﻄﺢ ﻳﻚ ﺍﺯ OWASP ASVS گﻮﺍﻫﻲ 1 A ﻳﺎ 1 B ﺑﻪ ﺗﻨﻬﺎﻳﻲ ﻧﻤﻲﺗﻮﺍﻧﻨﺪ ﺳﻄﺢ ﻳﻚ ﺭﺍ ﺗﻀﻤﻴﻦ ﻛﻨﺪ

ﺳﻄﺢ ﺩﻭ ﺳﻄﺢ ﻣﻤﻴﺰﻱ ﺩﺳﺘﻲ Manual Verification ﺳﻄﺢ : 2 A ﺩﺭ ﺍﻳﻦ ﺳﻄﺢ ﺑﻪ ﻃﻮﺭ ﺩﺳﺘﻲ آﺰﻣﻮﻥ ﻧﻔﻮﺫپﺬﻳﺮﻱ) (Penetration Testing ﺑﺮ ﻃﺒﻖ ﻧﻴﺎﺯﻣﻨﺪﻳﻬﺎﻱ ﺳﻄﺢ 2 A ﺭﻭﻱ ﺑﺮﻧﺎﻣﻪ کﺎﺭﺑﺮﺩﻱ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ ﺳﻄﺢ : 2 B ﺩﺭ ﺍﻳﻦ ﺳﻄﺢ ﺑﻪ ﻃﻮﺭ ﺩﺳﺘﻲ ﺑﺎﺯﺑﻴﻨﻲ کﺪ ﻣﻨﺒﻊ ) ( Code Review Source ﺑﺮ ﻃﺒﻖ ﻧﻴﺎﺯﻣﻨﺪﻳﻬﺎﻱ ﺳﻄﺢ 2 B ﺑﺮ ﺭﻭﻱ ﺑﺮﻧﺎﻣﻪ کﺎﺭﺑﺮﺩﻱ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ ﺳﻄﺢ 2 ﺍﻃﻤﻴﻨﺎﻥ ﻣﻴﺪﻫﺪ کﻪ کﻨﺘﺮﻟﻬﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻧﻪ ﺗﻨﻬﺎ ﺩﺭﺳﺖ کﺎﺭ ﻣﻴکﻨﻨﺪ ﺑﻠکﻪ ﺑﻪ ﺩﺭﺳﺘﻲ ﻧﻴﺰ ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻫﺎﻧﺪ

ﻣﺜﺎﻝ ﻣﻌﻤﺎﺭﻱ ﺍﻣﻦ، ﺩﺭ ﺳﻄﺢ ﺩﻭ ﺍﺯ OWASP ASVS گﻮﺍﻫﻲ 2 A ﻳﺎ 2 B ﺑﻪ ﺗﻨﻬﺎﻳﻲ ﻧﻤﻲﺗﻮﺍﻧﻨﺪ ﺳﻄﺢ ﺩﻭ ﺭﺍ ﺗﻀﻤﻴﻦ ﻛﻨﺪ

Application Security Verification Techniques Find Vulnerabilities Using the Running Application Find Vulnerabilities Using the Source Code Manual Application Penetration Testing Manual Security Code Review Automated Application Vulnerability Scanning Automated Static Code Analysis

ﺳﻄﺢ ﺳﻪ ﺳﻄﺢ ﻣﻤﻴﺰﻱ ﻃﺮﺍﺣﻲ Design Verification ﺳﻄﺢ ﺳﻪ ﺍﻃﻤﻴﻨﺎﻥ ﻣﻴﺪﻫﺪ کﻪ کﻨﺘﺮﻟﻬﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺑﻬﺪﺭﺳﺘﻲ کﺎﺭ ﻣﻴکﻨﻨﺪ ﻭ ﺩﺭ ﻫﺮ ﺟﺎﻳﻲ ﺍﺯ ﺑﺮﻧﺎﻣﻪ کﺎﺭﺑﺮﺩﻱ ﺑﺮﺍﻱ ﺍﺟﺮﺍﻱ ﺳﻴﺎﺳﺘﻬﺎﻱ ﺧﺎﺹ ﺑﺮﻧﺎﻣﻪ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻴﺸﻮﻧﺪ ﺍﺯ ﻳک ﺩﻳﺪ ﺳﻄﺢ ﺑﺎﻻ ﻣﺴﻴﺮ ﻳﺎ ﻣﺴﻴﺮﻫﺎﻳﻲ کﻪ ﺩﺭﺧﻮﺍﺳﺖ ﻳک کﺎﺭﺑﺮ ﻧﻬﺎﻳﻲ ﺍﺯ آﻨﻬﺎ ﻋﺒﻮﺭ ﻣﻴکﻨﺪ ﻣﻮﺭﺩ ﺑﺮﺭﺳﻲ ﻭ آﺰﻣﺎﻳﺶ ﻗﺮﺍﺭ ﻣﻲﺩﻫﺪ

ﺳﻄﺢ چﻬﺎﺭ ﺳﻄﺢ ﻣﻤﻴﺰﻱ ﻭ ﺑﺎﺯﺑﻴﻨﻲ ﻛﺪ)ﻣﻤﻴﺰﻱ ﺩﺍﺧﻠﻲ( Internal Verification ﺩﺭ ﺍﻳﻦ ﺳﻄﺢ ﺑﺎ ﺗﻮﺳﻌﻪ ﻣﺤﺪﻭﺩﻩ ﻣﻤﻴﺰﻱ ﻧﺴﺒﺖ ﺑﻪ ﺳﻄﺢ ﻗﺒﻞ ﺍﻳﻦ ﺍﻃﻤﻴﻨﺎﻥ ﺭﺍ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ کﻪ کﻨﺘﺮﻟﻬﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺑﻬﺪﺭﺳﺘﻲ کﺎﺭ ﻣﻴکﻨﻨﺪ ﻭ ﺩﺭ ﻫﺮ ﺟﺎﻳﻲ ﺍﺯ ﺑﺮﻧﺎﻣﻪ کﺎﺭﺑﺮﺩﻱ ﺑﺮﺍﻱ ﺍﺟﺮﺍﻱ ﺳﻴﺎﺳﺘﻬﺎﻱ ﺧﺎﺹ ﺑﺮﻧﺎﻣﻪ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻴﺸﻮﻧﺪ ﺩﺭ ﺍﻳﻦ ﺳﻄﺢ ﺑﺎ ﺟﺴﺘﺠﻮﻱ ﻛﺪ ﻣﺨﺮﺏ )ﻣﻨﻈﻮﺭ ﺑﺪﺍﻓﺰﺍﺭﻫﺎ ﻧﻴﺴﺘﻨﺪ( ﻭ آﺰﻣﺎﻳﺶ آﻦ ﺗﺸﺨﻴﺺ ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ ﻛﻪ ﻛﻨﺘﺮﻝﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ چگﻮﻧﻪ ﻛﺎﺭ ﻣﻲﻛﻨﻨﺪ

ﻣﺜﺎﻝ ﻣﻌﻤﺎﺭﻱ ﺍﻣﻦ، ﺩﺭ ﺳﻄﺢ چﻬﺎﺭ ﺍﺯ OWASP ASVS

ﻓﺮﺍیﻨﺪ ﺍﺟﺮﺍیی ﺍﻧﺠﺎﻡ ﻣﻤیﺰی ﺑﺮ ﺍﺳﺎﺱ ﺩﺳﺘﻮﺭﺍﻟﻌﻤﻞ ﺍﺳﺘﺎﻧﺪﺍﺭی ﺧﺮﺍﺳﺎﻥ ﺭﺿﻮی

ﻓﺮﺍیﻨﺪ ﺍﺟﺮﺍیی ﺍﻧﺠﺎﻡ ﻣﻤیﺰی ﺑﺮ ﺍﺳﺎﺱ ﺩﺳﺘﻮﺭﺍﻟﻌﻤﻞ ﺍﺳﺘﺎﻧﺪﺍﺭی ﺧﺮﺍﺳﺎﻥ ﺭﺿﻮی 1 ﺗکﻤیﻞ ﻓﺮﻡ ﻫﺎی چﻬﺎﺭگﺎﻧﻪ 1 -1 ﻓﺮﻡ ﻫﺎ ﺑﺎ ﺩﻗﺖ ﺗکﻤیﻞ ﺷﻮﻧﺪ ﻭ ﺣﺪﺍکﺜﺮ ﺗﺎ 52/21/8831 ﺍﺭﺳﺎﻝ ﺷﻮﻧﺪ. 2 -1 ﻓﺮﻡ ﻫﺎ ﺑﺎیﺪ ﺑﻪ ﺗﺎﺋیﺪ ﺑﺎﻻﺗﺮیﻦ ﻣﻘﺎﻡ ﻣﺴﺌﻮﻝ ﺳﺎﺯﻣﺎﻥ ﻣﺮﺑﻮﻁ ﺑﺮﺳﺪ ﻭ ﻫﻤﺮﺍﻩ ﺑﺎ ﻧﺎﻣﻪ ﺭﺳﻤی ﺑﻪ آﺰﻣﺎیﺸگﺎﻩ آپﺎ ﺍﺭﺳﺎﻝ ﺷﻮﻧﺪ. 3 -1 ﺩﻗﺖ ﻭ ﺳﺮﻋﺖ ﺩﺭ ﺍیﻦ ﻣﺮﺣﻠﻪ ﺩﺭ ﺍﺭﺯیﺎﺑی ﺳﺎﻟیﺎﻧﻪ ﺩﺳﺘگﺎﻩ ﻫﺎی ﺍﺟﺮﺍیی ﺍﺯ ﺳﻮی ﺍﺳﺘﺎﻧﺪﺍﺭی ﺧﺮﺍﺳﺎﻥ ﺭﺿﻮی ﻣﻮﺭﺩ ﺗﻮﺟﻪ ﻗﺮﺍﺭ ﻣی گیﺮﺩ.

ﻓﺮﺍیﻨﺪ ﺍﺟﺮﺍیی ﺍﻧﺠﺎﻡ ﻣﻤیﺰی ﺑﺮ ﺍﺳﺎﺱ ﺩﺳﺘﻮﺭﺍﻟﻌﻤﻞ ﺍﺳﺘﺎﻧﺪﺍﺭی ﺧﺮﺍﺳﺎﻥ ﺭﺿﻮی ﻓﺮﻡ ﻫﺎی چﻬﺎﺭ گﺎﻧﻪ – ﻓﺮﻡ ﺷﻤﺎﺭﻩ 1 )ﻓﺮﻡ ﺗﻜﻤﻴﻞ ﺍﻃﻼﻋﺎﺕ ﺍﺷﺨﺎﺹ ﺣﻘﻮﻗی( ﻣﺸﺨﺼﺎﺕ ﻋﻤﻮﻣی ﺳﺎﺯﻣﺎﻥ ﻣﺸﺨﺼﺎﺕ ﻧﻤﺎیﻨﺪﻩ ﺳﺎﺯﻣﺎﻥ ﻣﻬﺮ ﺳﺎﺯﻣﺎﻥ ﻭ ﺍﻣﻀﺎی ﻣﺪیﺮ ﻋﺎﻟی

ﻓﺮﺍیﻨﺪ ﺍﺟﺮﺍیی ﺍﻧﺠﺎﻡ ﻣﻤیﺰی ﺑﺮ ﺍﺳﺎﺱ ﺩﺳﺘﻮﺭﺍﻟﻌﻤﻞ ﺍﺳﺘﺎﻧﺪﺍﺭی ﺧﺮﺍﺳﺎﻥ ﺭﺿﻮی ﻓﺮﻡ ﻫﺎی چﻬﺎﺭ گﺎﻧﻪ – ﻓﺮﻡ ﺷﻤﺎﺭﻩ 2 )ﻓﺮﻡ ﺗﻜﻤﻴﻞ ﺍﻃﻼﻋﺎﺕ ﺳﺎﻳﺖ ﻭﺏ ﺳﺎﺯﻣﺎﻥ( ﺍﻃﻼﻋﺎﺕ ﻓﻨی ﺗﻮﺿیﺤﺎﺕ ﻣﻬﺮ ﺳﺎﺯﻣﺎﻥ ﻭ ﺍﻣﻀﺎی ﻣﺪیﺮ ﻋﺎﻟی

ﻓﺮﺍیﻨﺪ ﺍﺟﺮﺍیی ﺍﻧﺠﺎﻡ ﻣﻤیﺰی ﺑﺮ ﺍﺳﺎﺱ ﺩﺳﺘﻮﺭﺍﻟﻌﻤﻞ ﺍﺳﺘﺎﻧﺪﺍﺭی ﺧﺮﺍﺳﺎﻥ ﺭﺿﻮی ﻓﺮﻡ ﻫﺎی چﻬﺎﺭ گﺎﻧﻪ – ﻓﺮﻡ ﺷﻤﺎﺭﻩ 3 )ﻓﺮﻡ ﺗﻜﻤﻴﻞ ﺍﻃﻼﻋﺎﺕ ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎی کﺎﺭﺑﺮﺩی( ﺍﻃﻼﻋﺎﺕ ﻓﻨی ﺗﻮﺿیﺤﺎﺕ ﻣﻬﺮ ﺳﺎﺯﻣﺎﻥ ﻭ ﺍﻣﻀﺎی ﻣﺪیﺮ ﻋﺎﻟی

ﻓﺮﺍیﻨﺪ ﺍﺟﺮﺍیی ﺍﻧﺠﺎﻡ ﻣﻤیﺰی ﺑﺮ ﺍﺳﺎﺱ ﺩﺳﺘﻮﺭﺍﻟﻌﻤﻞ ﺍﺳﺘﺎﻧﺪﺍﺭی ﺧﺮﺍﺳﺎﻥ ﺭﺿﻮی ﻓﺮﻡ ﻫﺎی چﻬﺎﺭ گﺎﻧﻪ – ﻓﺮﻡ ﺷﻤﺎﺭﻩ 4 )ﻓﺮﻡ ﺗﻜﻤﻴﻞ ﺍﻃﻼﻋﺎﺕ ﺷﺒکﻪ ﺭﺍیﺎﻧﻪﺍی( ﺍﻃﻼﻋﺎﺕ ﺷﺒکﻪ ﺍﻃﻼﻋﺎﺕ ﻓﻨی ﺷﺒکﻪ ﺑﺮ ﺍﺳﺎﺱ ﻫﺮ ﺳﺎﺧﺘﻤﺎﻥ ﻣﻬﺮ ﺳﺎﺯﻣﺎﻥ ﻭ ﺍﻣﻀﺎی ﻣﺪیﺮ ﻋﺎﻟی

ﻓﺮﺍیﻨﺪ ﺍﺟﺮﺍیی ﺍﻧﺠﺎﻡ ﻣﻤیﺰی ﺑﺮ ﺍﺳﺎﺱ ﺩﺳﺘﻮﺭﺍﻟﻌﻤﻞ ﺍﺳﺘﺎﻧﺪﺍﺭی ﺧﺮﺍﺳﺎﻥ ﺭﺿﻮی 2 ﺍﻋﻼﻡ ﺑﺮآﻮﺭﺩ ﻫﺰیﻨﻪ، ﺯﻣﺎﻥ ﻭ ﺍﻭﻟﻮیﺖ ﻫﺎی ﻣﻤیﺰی پﻮﺭﺗﺎﻝ، ﺳﺎﻣﺎﻧﻪ ﻫﺎی ﻧﺮﻡ ﺍﻓﺰﺍﺭی ﻭ ﺷﺒکﻪ ﻣﺘﻘﺎﺿیﺎﻥ ﺣﺪﺍکﺜﺮ ﺗﺎ ﺗﺎﺭیﺦ ﺑیﺴﺖ ﻓﺮﻭﺩیﻦ 9831 ﻣﻮﺿﻮﻉ ﺍﺑﻼﻏیﻪ 50815/46/83 ﻣﻮﺭﺥ 4/21/8831 ﻣﺪیﺮکﻞ ﺩﻓﺘﺮ ﻓﻨﺎﻭﺭی ﺍﻃﻼﻋﺎﺕ ﺍﺳﺘﺎﻧﺪﺍﺭی ﺧﺮﺍﺳﺎﻥ ﺭﺿﻮی

ﺍﺑﻼﻏیﻪ 50815/46/83 ﻣﻮﺭﺥ 4/21/8831 ﻣﺪیﺮکﻞ ﺩﻓﺘﺮ ﻓﻨﺎﻭﺭی ﺍﻃﻼﻋﺎﺕ ﺍﺳﺘﺎﻧﺪﺍﺭی ﺧﺮﺍﺳﺎﻥ ﺭﺿﻮی

ﻓﺮﺍیﻨﺪ ﺍﺟﺮﺍیی ﺍﻧﺠﺎﻡ ﻣﻤیﺰی ﺑﺮ ﺍﺳﺎﺱ ﺩﺳﺘﻮﺭﺍﻟﻌﻤﻞ ﺍﺳﺘﺎﻧﺪﺍﺭی ﺧﺮﺍﺳﺎﻥ ﺭﺿﻮی 3 ﺍﻋﻼﻡ آﻤﺎﺩگی ﻭ ﺩﺭﺧﻮﺍﺳﺖ ﻣﺘﻘﺎﺿیﺎﻥ، ﺗﻨﻈیﻢ ﻗﺮﺍﺭﺩﺍﺩ ﻭ ﺍﻧﺠﺎﻡ کﺎﺭ -4 ﺍیﻦ ﻓﺮﺍیﻨﺪ ﺩﺭ ﻓﻮﺍﺻﻞ ﺯﻣﺎﻧی ﻣﺸﺨﺺ ﺗکﺮﺍﺭ ﺧﻮﺍﻫﺪ ﺷﺪ

ﺗﻤﺎﺱ ﺑﺎ آﺰﻣﺎیﺸگﺎﻩ آپﺎ ﻧﺸﺎﻧی: ﻣﺸﻬﺪ – ﻣیﺪﺍﻥ آﺰﺍﺩی – پﺮﺩیﺲ ﺩﺍﻧﺸگﺎﻩ ﻓﺮﺩﻭﺳی ﻣﺸﻬﺪ – ﺩﺍﻧﺸکﺪﻩ ﻣﻬﻨﺪﺳی – آﺰﻣﺎیﺸگﺎﻩ آپﺎ ﺗﻠﻔﻦ : 7714878 - 3717878 ﻧﻤﺎﺑﺮ : 1318878 ﻭﺏ گﺎﻩ : http: //cert. um. ac. ir پﺴﺖ ﺍﻟکﺘﺮﻭﻧیک : cert@um. ac. ir

ﺑﺎ ﺗﺸکﺮ ﺍﺯ ﺑﺬﻝ ﺗﻮﺟﻬﺘﺎﻥ پﺮﺳﺶ ﻭ پﺎﺳﺦ ؟