دپارتمان امنیت نرمافزار:
تست و ارزیابی امنیت (Security) و ایمنی (Safety) سامانههای نرمافزاری، پایگاههای اطلاعاتی و پروتکلهای ارتباطی بر اساس الزامات استانداردی ISO/IEC-15408 به همراه تست نفوذ برنامههای کاربردی مطابق با چارچوبها و متدهای فنی-مهندسی OWASP & ASVS در کلاسهای مختلف تولیدی (Desktop, Client/Server, Web-Based, Mobile-App) از وظایف اصلی دپارتمان امنیت ایریانا میباشد.
این دپارتمان با اخذ مجوز فعالیت از سازمان فناوری اطلاعات ایران و مرکز مدیریت راهبردی افتا (ریاست جمهوری) و با اتکاء به تجربیات و سوابق قبلی، در حوزه بررسی و شناسایی نقاط آسیبپذیر و کشف حفرههای امنیتی سامانههای نرمافزاری در زمینههای کاربردی مختلف اعم از: سیستمهای اداری، تجاری، صنعتی، بانکداری، بیمه، حمل و نقل، اطلاعات جغرافیایی، کنترل دسترسی، تبادلات امن اطلاعاتی، ارتباطات ایمن، هوش کسب و کار، اینترنت اشیا (IoT)، دادههای بزرگ (Big-Data) و… مشغول فعالیت میباشد.
تست امنیت و ایمنی محصولات با استفاده از پروفایلهای حفاظتی (P.P : Protection Profile) ملی/بینالمللی بر اساس الزامات ابلاغی نهادهای ذیصلاح و یا به صورت سفارشی بر اساس درخواست مشتری با رعایت اصل عدم افشای اطلاعات (NDA : Non-Disclosure Agreement) از جمله خدمات کلیدی این دپارتمان میباشد.
برخی از این آزمونها عبارتند از:
- Hack & Crack
- کنترل محرمانگی و رازداری (CIA)
- کنترل مسئولیت پذیری (Responsibility & Accountability)
- تست دسترس پذیری (Accessibility)
- مدیریت امن نشستها (Session Management)
- عدم انکارپذیری (Non-repudiation)
- تزریق دستورات SQL-Injection
- Website Defacement
- انواع حملات: DoS, DDoS, XSS, MITM, Sniffing, Spoofing, …
- تسخیرهای کوتاه مدت / بلند مدت (براساس طراحی سناریوهای نفوذ)
لازم به ذکر است که گواهینامه امنیت محصولات نرمافزاری، نشان دهنده این است که سامانه مزبور بدون توجه به امنیت و ایمنی بستر و زیرساخت اجرایی، خودش به صورت خوداتکاء از حداقل مکانیزمهای لازم برای تابآوری و کار در یک محیط ناامن و غیرایمن برخوردار است (کف امنیتی).