آزمایشگاه فناوری اطلاعات

آزمایشگاه فناوری اطلاعات

ارزیابی امنیت

ارزیابی کیفیت

PKI (PKE/CA)

کارت های هوشمند

امینت سخت افزار

سیستم‌های اتوماسیون و کنترل صنعتی

امنیت سورس کد

محصولات هوش مصنوعی

آزمایشگاه ارزیابی امنیت

آزمایشگاه امنیت مرکز تحقیقات صنایع انفورماتیک (RCII)، به‌عنوان نخستین آزمایشگاه امنیت فناوری اطلاعات در ایران، موفق به دستیابی به یک دستاورد مهم شده و به‌عنوان اولین مجموعه در کشور، گواهینامه ISO/IEC 17025 را دریافت کرده است.

استانداردها و روش‌شناسی‌های ارزیابی:

استانداردها، چارچوب‌ها و روش‌شناسی‌های زیر این امکان را برای RCII فراهم می‌کنند تا آسیب‌پذیری‌ها و ضعف‌های امنیتی را به‌صورت دقیق شناسایی کند و اطمینان یابد که تمامی محصولات فناوری اطلاعات مورد ارزیابی، با سخت‌گیرانه‌ترین استانداردهای امنیتی جهانی مطابقت دارند.

ISO/IEC 15408

آزمون‌های ارزیابی امنیت در RCII مطابق با استاندارد ISO/IEC 15408 که با عنوان «معیارهای مشترک» (Common Criteria – CC) شناخته می‌شود، انجام می‌گردد. این استاندارد شامل پنج بخش کلیدی است:

  • بخش 1: مقدمه‌ای بر مفاهیم امنیتی

    مبانی و اصول بنیادین امنیت فناوری اطلاعات را تشریح می‌نماید.

  • بخش 2: الزامات عملکردی امنیت

    ویژگی‌ها و قابلیت‌های امنیتی موردنیاز در محصولات فناوری اطلاعات را تعریف می‌نماید.

  • بخش 3: الزامات تضمین امنیت

    فرایندها و اقدامات لازم برای اطمینان از پیاده‌سازی و نگهداشت صحیح ویژگی‌های امنیتی را توضیح می‌دهد.

  • بخش 4: روش‌ها و فعالیت‌های ارزیابی

    چارچوبی برای تعیین روش‌ها و فعالیت‌های ارزیابی ارائه کرده و راهنمایی‌هایی برای ارزیابان در خصوص نحوه انجام ارزیابی‌ها فراهم می‌کند.

  • بخش 5: سطوح تضمین ارزیابی (EALs)

    سطوح از پیش تعریف‌شده تضمین را مشخص می‌کند که میزان عمق ارزیابی و آزمون محصولات فناوری اطلاعات را نشان می‌دهد. هرچه سطح بالاتر باشد، ارزیابی جامع‌تر خواهد بود.

مرکز تحقیقات صنایع انفورماتیک (RCII) برای ارزیابی امنیت محصولات فناوری اطلاعات از روش‌شناسی ارزیابی مشترک (CEM) استفاده می‌کند. این روش‌شناسی تضمین می‌کند که الزامات امنیتی استخراج‌شده از اهداف امنیتی، تهدیدات و آسیب‌پذیری‌های شناسایی‌شده هر محصول، به‌صورت دقیق و سخت‌گیرانه مورد آزمون قرار گیرند.

خدمات RCII در امنیت سایبری

در RCII، ما متعهد به ارائه راه‌حل‌های جامع امنیت سایبری برای حفاظت از دارایی‌های دیجیتال شما و تضمین یکپارچگی زیرساخت فناوری اطلاعات‌تان هستیم. تیم متخصصان ما مجهز به دانش و ابزارهای لازم برای مقابله با طیف وسیعی از چالش‌های امنیت سایبری است. 

سایر استانداردها و روش‌شناسی‌ها

علاوه بر استاندارد ISO/IEC 15408، RCII در فرایندهای ارزیابی امنیتی خود از استانداردها و بهترین رویه‌های شناخته‌شده صنعت نیز بهره می‌گیرد، ازجمله:

استانداردهای OWASP

استانداردهای OWASP مجموعه‌ای جامع و ساختاریافته از کنترل‌های امنیتی را ارائه می‌دهند که برای ارزیابی و اعتبارسنجی امنیت وب‌اپلیکیشن‌ها، اپلیکیشن‌های موبایل و سایر سامانه‌های نرم‌افزاری استفاده می‌شوند. این استانداردها کمک می‌کنند تا اطمینان حاصل شود که اپلیکیشن‌ها دارای الزامات ضروری امنیتی بوده و در مقابل طیف گسترده‌ای از تهدیدات محافظت می‌شوند.

وب‌اپلیکیشن:

  • ASVS

    (استاندارد تأیید امنیت اپلیکیشن OWASP)

  • WSTG

    (راهنمای آزمون امنیت وب‌اپلیکیشن OWASP)

اپلیکیشن موبایل:

  • MASVS

    (استاندارد تأیید امنیت اپلیکیشن موبایل OWASP)

  • MASTG

    (راهنمای آزمون امنیت اپلیکیشن موبایل OWASP)

پروژه‌های OWASP Top 10

این پروژه‌ها مهم‌ترین ریسک‌های امنیتی مرتبط با وب‌اپلیکیشن‌ها، اپلیکیشن‌های موبایل و APIها را معرفی می‌کنند؛ ازجمله:

  • OWASP Top 10:2021

  • OWASP Mobile Top 10:2024

  • OWASP API Security Top 10:2023

آزمایشگاه ارزیابی کیفیت

آزمایشگاه کیفیت مرکز تحقیقات صنایع انفورماتیک (RCII)، به عنوان پیشگام در حوزه آزمون کیفیت نرم‌افزار در ایران شناخته شده و موفق به دریافت گواهینامه ISO/IEC 17025 شده است؛ این استاندارد یک اعتبارنامه معتبر جهانی برای آزمایشگاه‌های انجام‌دهنده آزمون محسوب می‌شود. این گواهینامه، تعهد این آزمایشگاه را به تعالی و پیروی از بهترین رویه‌های بین‌المللی در تضمین کیفیت را نشان می‌دهد.

فرآیندهای آزمون کیفیت نرم‌افزار در آزمایشگاه مرکز تحقیقات صنایع انفورماتیک به‌صورت دقیق با استانداردها و متدولوژی‌های پیشرفته جهانی همسو بوده و چهارچوبی مدرن و پیشرفته برای آزمون ایجاد نموده‌  است. این مرکز نقش کلیدی در توسعه و پیاده‌سازی بسیاری از استانداردهای ملی داشته و به طور قابل توجهی در شکل‌دهی به فضای تضمین کیفیت نرم‌افزار در کشور تأثیرگذار بوده است.

در میان استانداردهای بین‌المللی کلیدی که در RCII به کار گرفته شده‌اند، می‌توان به استانداردهای سری ISO/IEC 25000 – معروف به SQuaRE (الزامات و ارزیابی کیفیت محصول نرم‌افزاری) – اشاره کرد که معیارهای جامع برای ارزیابی کیفیت محصول نرم‌افزاری است. این استانداردها مبنا و راهنمای فرآیندهای ارزیابی دقیق در آزمایشگاه بوده و با بهره‌گیری از ابزارهای پیشرفته آزمون، دقت، قابلیت اطمینان و انطباق کامل با استانداردهای کیفی نرم افزار را تضمین می‌کند. با اجرای این استانداردها، این مرکز اطمینان می‌یابد که محصولات نرم‌افزاری مورد آزمون، بالاترین سطح کیفیت و اطمینان را در سطح صنعت دارا هستند.

مهم‌ترین آزمون‌های کیفی که به صورت دقیق در آزمایشگاه کیفیت RCII انجام می‌شود:

  • آزمون عملکردی (Functional Testing)

    این آزمون تطابق سیستم با الزامات عملکردی مشخص‌شده را بررسی می‌کند تا مطمئن شود هر قابلیت طبق موارد کاربرد (Use Case) و قوانین کسب‌وکار تعریف‌شده به‌درستی عمل می‌کند.

  • آزمون کارایی (Performance Testing)

    این آزمون شاخص‌های کلیدی عملکرد مانند زمان پاسخ، توان عملیاتی و مصرف منابع را در شرایط مختلف تحلیل می‌کند تا اطمینان حاصل شود سیستم استانداردهای عملکردی را برآورده کرده و تحت بار عادی و اوج به‌صورت بهینه کار می‌کند.

  • آزمون بار (Load Testing)

    این آزمون قابلیت مقیاس‌پذیری و عملکرد سیستم را با شبیه‌سازی بالاترین تعدا کاربر و ظرفیت عملیاتی مجاز ارزیابی می‌کند تا توانایی سیستم در پایداری در مواجهه با حجم بالای کاربران همزمان، بررسی گردد.

  • آزمون تنش (Stress Testing)

    این آزمون میزان تاب‌آوری و مقاومت سیستم را از طریق سوق دادن آن به ظرفیت عملیاتی فراتر از حد مجاز می‌سنجد و رفتار سیستم در شرایط محدودیت منابع، خرابی سخت‌افزار یا جهش‌های ناگهانی تقاضا را برای اطمینان از افت عملکرد کنترل‌شده بررسی می‌کند.

  • آزمون حجم (Volume Testing)

    این آزمون توانایی سیستم در پردازش حجم بسیار زیادی از داده‌ها را با وارد کردن تعداد بالای رکورد و تراکنش بررسی کرده و از صحت داده‌ها و پایداری سیستم در شرایط بیشینه اطمینان حاصل می‌کند.

  • آزمون قابلیت تعامل (Interoperability Testing)

    این آزمون فرآیندی است برای اطمینان از اینکه دو یا چند سیستم، جزء یا برنامه نرم‌افزاری می‌توانند به‌شکل مؤثر با یکدیگر تبادل داده یا خدمت داشته باشند. هدف، تضمین تعامل بدون مشکل بین سامانه‌ها از بسترها یا فناوری‌های متفاوت، بدون خطاهایی مانند از دست‌دادن داده یا ناسازگاری است.

  • آزمون امنیت (Security Testing)

    این آزمون سازوکارهای کنترل دسترسی سیستم را با بررسی دقیق، تأیید می‌کند تا محرمانگی، صحت و دسترس‌پذیری داده‌ها با اطمینان از اعمال صحیح مجوزها و حفاظت در برابر آسیب‌پذیری‌ها حفظ گردد.

  • آزمون رابط کاربری (User Interface Testing)

    این آزمون تجربه کاربری سیستم را با ارزیابی سهولت جست‌وجو، یکپارچگی و دسترس‌پذیری رابط، بررسی می‌کند تا اطمینان حاصل شود رابط کاربری بهینه و مطابق با استانداردهای قابلیت استفاده است.

  • ارزیابی معماری نرم‌افزار (Software Architecture Evaluation)

    فرآیند ارزیابی طراحی و ساختار سیستم‌های نرم‌افزاری با هدف اطمینان از دستیابی به خصوصیات کیفی مانند عملکرد، امنیت، مقیاس‌پذیری و نگهداری‌پذیری است. این ارزیابی به شناسایی ریسک‌ها، نقاط قابل بهبود و تطابق معماری با اهداف کسب‌وکار و الزامات فنی کمک می‌کند.

آزمایشگاه ارزیابی نرم‌افزارهای صدور گواهی الکترونیکی (CA)

مرکز تحقیقات صنایع انفورماتیک (RCII) استانداردها و معیارهای ملی را برای برنامه های کاربردی مرجع صدور گواهی (CA) تدوین کرده است. این استانداردها تحت نظارت مرجع صدور گواهینامه ریشه دولتی (GRCA) جمهوری اسلامی ایران تدوین شده است. با توجه به دانش عمیق کارشناسان در این مرکز، آزمایشگاه PKI جهت ارزیابی برنامه های کاربردی CA راه اندازی شده است. این آزمایشگاه اولین و در حال حاضر آزمایشگاه منحصر به فرد PKI در ایران است که مورد تایید مرکز توسعه تجارت الکترونیکی قرار گرفته است.

مهمترین فعالیت‌های انجام شده در واحد ارزیابی نرم‌افزارهای صدور گواهی الکترونیکی (CA) :

تدوین الزامات عملیاتی نرم‌افزارهای CA
تدوین دستورالعمل آزمون‌های CA
راه‌اندازی زیرساخت سخت‌افزاری و نرم‌افزاری جهت ارزیابی محصولات CA

آزمایشگاه ارزیابی نرم‌افزارهای مجهز به زیرساخت کلیدعمومی (PKE)

مرکز تحقیقات صنایع انفورماتیک (RCII) استانداردها و معیارهای ملی را برای برنامه های کاربردی مجهز به زیرساخت کلیدعمومی (PKE) ایجاد کرده است. این معیارها تحت نظارت مرجع صدور گواهینامه ریشه دولتی (GRCA) جمهوری اسلامی ایران تدوین شده است. با توجه به دانش عمیق کارشناسان در این مرکز، آزمایشگاه PKE جهت ارزیابی برنامه های کاربردی مجهز به زیرساخت کلیدعمومی راه اندازی شده است. این آزمایشگاه اولین و در حال حاضر آزمایشگاه منحصر به فرد PKE در ایران است که مورد تایید مرکز توسعه تجارت الکترونیکی قرار گرفته است.

مهمترین دستاوردهای آزمایشگاه ارزیابی برنامه های کاربردی مجهز به زیرساخت کلید عمومی (PKE)

ارائه مشخصات کاربردی جهت برنامه های کاربردی PKE
ارائه دستورالعمل ها و رویه ها جهت ارزیابی برنامه های کاربردی PKE
ارائه نرم افزار و سخت افزار مورد نیاز جهت ارزیابی برنامه های کاربردی PKE
طراحی و توسعه ابزارهای مورد نیاز جهت ارزیابی برنامه های کاربردی PKE

استانداردها و موارد قابل ممیزی در برنامه های کاربردی زیرساخت کلید عمومی:

  • الزامات ملی

  • FIPS 196

    (احراز هویت)

  • CAVP

    وارسی الگوریتم های رمزنگاری

  • FIPS 140-2

    توکن

  • CMVP

  • CRL/OCSP

    بررسی وضعیت گواهی

  • پردازش زنجیره گواهی

  • ساختار مسیر گواهینامه

  • SSL

    بررسی توافق کلید SSL

  • بررسی امضای دیجیتال

  • PKCS#10

  • PKCS#11

  • PKCS#7

  • PKCS#5

آزمایشگاه ارزیابی کارت هوشمند

امروزه با افزایش استفاده از الگوریتم‌های رمزنگاری و قابلیت‌های رمزنگاری برای حفظ یکپارچگی و محرمانگی داده‌ها، استفاده از تجهیزات مانند ماژول‌های رمزنگاری سخت‌افزاری، توکن‌های سخت‌افزاری و کارت‌های هوشمند اجتناب‌ناپذیر خواهد بود. این محصولات که برای ذخیره‌سازی و تولید امن کلیدهای رمزنگاری استفاده می‌شوند، باید ارزیابی شده و با استانداردهای امنیتی و عملکردی خود مطابقت داشته باشند. در کارت‌های هوشمند، موارد زیر ممکن است رخ دهد:

دستکاری غیرمجاز داده‌های ذخیره‌شده در کارت (کارت Skimming)
کپی‌برداری غیرمجاز از مدار مجتمع تعبیه‌شده در کارت(کارت Spoofing)
انجام حملات کانال جانبی (Side-channel attacks) روی کارت‌های هوشمند
استانداردهای کارت هوشمند
ISO/IEC 7816
Global Platform
ISO/IEC 15408
Java Card Specification
  • Java Card RE Specification
  • Java Card VM Specification
  • Java Card API Specification
قابلیت‌های آزمون:
نحوه ارائه اپلت مبتنی بر Java Card و ایجاد Byte Code، کلاس‌ها و کتابخانه‌های پشتیبانی‌شده
بررسی چرخه عمر کارت هوشمند، اپلیکیشن و دامنه امنیتی (Security Domain)
بررسی پروتکل‌های ارتباطی
بررسی دستورات و پاسخ‌های APDU
بررسی الگوریتم‌های هش و رمزنگاری
بررسی پروتکل کانال امن (Secure Channel Protocol)
بررسی سطوح دسترسی به فایل‌ها
بررسی استاندارد امضای دیجیتال
بررسی تولید اعداد تصادفی
آزمون امنیتی عملکردی
  • آزمون رابط APDU
  • اعتبارسنجی کنترل دسترسی(PINها، احرازهویت)
  • آزمون توابع رمزنگاری
  • ایجاد کانال امن (مانند SCP03)
  • چرخه عمر امن اپلت (نصب، حذف، شخصی‌سازی)
تحلیل آسیب‌پذیری
  • آزمون Fuzz روی دستورات APDU
  • آزمون نقص‌های منطقی (مانند دور زدن احراز هویت)
آزمون نفوذ (پیشرفته)
  • مهندسی معکوس (در صورت امکان)
  • آزمون ضعف‌های رمزنگاری (مانند نشت کلید)
آزمایشگاه آزمون امنیت سخت‌افزار

آزمایشگاه امنیت سخت‌افزار یکی از آزمایشگاه‌های زیرمجموعه معاونت فناوری اطلاعات است که به‌صورت تخصصی در حوزه ارزیابی امنیتی تجهیزات سخت‌افزاری فعالیت می‌کند. تمرکز اصلی این آزمایشگاه بر شناسایی تهدیدات امنیتی در محصولات حوزه سخت‌افزار است. این آزمایشگاه با تکیه بر استانداردهای معتبر بین‌المللی، آزمون‌های ارزیابی امنیت را در دو حوزه «ارزیابی آسیب‌پذیری» و «ارزیابی انطباق بر اساس الزامات استاندارد» ارائه می‌دهد.

انواع محصولات قابل آزمون:

محصولات حوزه اینترنت اشیا (IoT)
تجهیزات تعبیه‌شده (Embedded Devices)
سرورها
استانداردهای ارزیابی امنیت سخت افزار

ارزیابی‌ها و آزمون‌های امنیتی در این آزمایشگاه بر اساس استانداردهای بین‌المللی زیر انجام می‌شود:

OWASP-IoT-Top-10
ETSI TS 103 646 (Test specification for foundational Security IoT-Profile)
ETSI EN 303 645 (Cyber Security for Consumer Internet of Things)

ارزیابی آسیب‌پذیری‌ها

ارزیابی آسیب‌پذیری فرآیندی است که در آن ضعف‌ها و مخاطرات امنیتی موجود در دستگاه‌ها و دارایی‌های سخت‌افزاری شناسایی می‌شوند. نتایج این ارزیابی به تیم‌های امنیتی، صاحبان سیستم و سایر ذینفعان کمک می‌کند تا آسیب‌پذیری‌ها را تحلیل کرده، اصلاحات لازم را انجام داده و سطح امنیتی سیستم‌ها را ارتقا دهند.

آزمایشگاه آزمون سیستم‌های اتوماسیون و کنترل صنعتی

آزمایشگاه امنیت سیستم‌های اتوماسیون و کنترل صنعتی (IACS) یکی از آزمایشگاه‌های زیرمجموعه معاونت فناوری اطلاعات است که به طور تخصصی در حوزه ارزیابی امنیتی فناوری عملیاتی (OT) که با عنوان «امنیت سایبری در صنعت بر اساس استاندارد ISA/IEC 62443  » فعالیت می‌کند.

در این آزمایشگاه، آزمون­هاي امنیتی مطابق با استاندارد IEC 62443 و با تمرکز بر موارد زیر انجام می‌شود:

:IEC 62443-4-2 الزامات امنیتی برای اجزای IACS (شامل PLC، HMI، RTU، IIoT، فایروال و غیره)
:IEC 62443-3-3 الزامات امنیتی برای سیستم‌های IACS (شبکه‌ها، ارتباطات، دسترسی کاربران، ثبت رویدادها و غیره)

آزمون بر اساس IEC 62443-4-2 (سطح مؤلفه)

این استاندارد الزامات فنی را برای، الزامات نرم‌افزار کاربردی (SAR)، الزامات دستگاه تعبیه‌شده (EDR)، الزامات دستگاه میزبان (HDR) و الزامات دستگاه شبکه (NDR) تعریف می‌کند. این آزمون­ها تأیید می‌کنند که الزامات فنی امنیتی برای مؤلفه­های کنترلی و اتوماسیون صنعتی، مطابق با الزامات امنیتی فنی (TSR) تعریف‌شده در بخش 2-4 هستند:

Component Requirement (CR) Description
Authentication & Identity (CR 1)
Ensure users/devices are who they say they are
Use Control (CR 2)
Limit access to functions/data
System Integrity (CR 3)
Protect against tampering
Data Confidentiality (CR 4)
Keep data private
Restricted Data Flow (CR 5)
Control communication paths
Timely Event Response (CR 6)
Detect & react to threats
Availability (CR 7)
Check DoS resistance or system recovery

آزمون بر اساس IEC 62443-3-3 (سطح سیستم)

IEC 62443-3-3  الزامات امنیت سایبری را در سطح سیستم تعریف کرده و الزامات فنی امنیتی را برای کل سیستم‌های IACS  مشخص می‌کند. این آزمون­ها تأیید می‌کنند که کل سیستم (شبکه‌ای از دستگاه‌ها) به‌صورت امن عمل کرده و انتظارات امنیت سایبری از منظر معماری و عملیاتی را برآورده می‌کند:

System Requirement (SR) Description
SR 1 – Identification & Authentication
System-wide user management
SR 2 – Use Control
Role-based access control across the system
SR 3 – System Integrity
Configuration hardening and secure boot
SR 4 – Confidentiality
Encrypted communications between zones
SR 5 – Restricted Data Flow
Segmentation using zones/conduits
SR 6 – Monitoring & Logging
Central log collection and event response
SR 7 – Resource Availability
Backup, failover, system resilience

سطوح امنیتی

هر دو استاندارد IEC 62443-3-3 (متمرکز بر امنیت سطح سیستم برای کل IACS ) و IEC 62443-4-2 (متمرکز بر الزامات فنی برای اجزاء منفرد) سطوح امنیتی (SLs) متناسب با حیطه خود را تعریف و به‌کار می‌گیرند:

Security Level Threat Actor Definition
SL 1
Casual or coincidental attacker
Protection against casual or coincidental violation
SL 2
Intentional attacker with simple means
Protection against intentional violation using simple means with low resources, generic skills and low motivation
SL 3
Sophisticated attacker with skills and moderate resources
Protection against intentional violation using sophisticated means with moderate resources, IACS specific skills and moderate motivation
SL 4
Highly motivated attacker with significant resources
Protection against intentional violation using sophisticated means with extended resources, IACS specific skills and high motivation

ارزیابی آسیب‌پذیری

ارزیابی آسیب‌پذیری در سیستم‌های اتوماسیون و کنترل صنعتی (IACS) / فناوری عملیاتی (OT)  فرآیند شناسایی، ارزیابی و اولویت‌بندی ضعف‌ها (آسیب‌پذیری‌ها) در سیستم‌های کنترل صنعتی است که می‌توانند توسط تهدیدات سایبری مورد بهره‌برداری قرار گیرند.

رویکرد ارزیابی آسیب‌پذیری در IACS/OT:

  • برنامه‌ریزی و تعیین محدوده

    تعیین اهداف، شناسایی سیستم‌ها/شبکه‌ها/تجهیزات در محدوده و مشارکت تیم‌های IT و OT

  • گزارش‌دهی و اصلاح/کاهش اثر

    مستندسازی یافته‌ها و اجرای راهکارهای کاهش اثر مبتنی بر ریسک

آزمایشگاه ارزیابی امنیت سورس کد

در عصری که تهدیدات سایبری به سرعت در حال تکامل هستند و سیستمهای فعال در صنایع گوناگون را هدف قرار میدهند، امنیت سایبری بیش از هر زمان دیگری حیاتی شده است. کدنویسی امن صِرفاً یک روشِ بهینۀ اجرایی نیست، بلکه عنصری بنیادین در راهبردی استوار برای امنیت سایبری محسوب میشود.

این آزمایشگاه متعهد به شناسایی آسیبپذیریها در سطح سورس کد است. ما با تحلیل و ارزیابی امنیت کد، به سازمانها کمک میکنیم تا از بروز افشاگریهای پرهزینه جلوگیری کرده و اعتماد به سیستمهای دیجیتال خود را تقویت کنند.

ارزیابی سورس کد نرم افزارهای سیستمی
ارزیابی سورس کد نرم افزارهای کاربردی
ارزیابی سورس کد برنامه های تحت وب و تلفن همراه
ارزیابی سورس کد سیستم افزار (فریمور) تجهیزات کنترل صنعتی و تجهیزات شبکه ای
ارزیابی سورس کد کیت های توسعه نرم افزار (SDK) و خدمات وب

این آزمایشگاه با بهره گیری از روشهای تحلیل ایستا و پویا، آسیبپذیریها و مسائل امنیتی موجود در سورس کد را شناسایی کرده و راهکارهای عملیاتی برای رفع و بهبود آنها ارائه میدهد.

استانداردهای ارزیابی سورس کد

اگرچه استاندارد ISO/IEC 15408 تمامی الزامات ارزیابی سورس کد، به ویژه در زمینۀ کدنویسی امن را پوشش نمیدهد، اما به عنوان استاندارد اصلی ارزیابی سورس کد در این آزمایشگاه مورد استفاده قرار میگیرد. ارزیابیها در سطح اطمینان EAL4 از معیارهای مشترک (Common Criteria) انجام میشود که نه تنها عملکرد امنیتی محصول، بلکه جنبه هایی همچون معماری امنیتی و فرایند طراحی و پیادهسازی را نیز مورد سنجش قرار میدهد. در ادامه، استانداردها، فهرستهای بازبینی و مراجع معتبر موجود برای ارزیابی امنیت سورس کد در این آزمایشگاه ارائه شده است.

استانداردهای مبتنی بر زبان برنامه نویسی

  • استاندارد کدنویسی SEI CERT C

    برای زبان برنامه نویسی C

  • استاندارد کدنویسی SEI CERT C++

    برای زبان برنامه نویسی C++

  • استاندارد کدنویسی امن CERT Oracle برای جاوا

    برای زبان برنامه نویسی Java

شمارش نقاط ضعف رایج (CWE)

برای زبانهای برنامه نویسی که فاقد استاندارد معتبر کد نویسی امن هستند، آزمایشگاه از CWE به عنوان مرجعی معتبر برای دسته بندی و گزارش انواع آسیب پذیریها استفاده میکند. از آنجا که CWE فهرستی از آسیب پذیریهای عمده در نرم افزارها را شامل میشود، این آسیب پذیریها به عنوان معیارهای ارزیابی در نظر گرفته میشوند. بهطور خاص، آسیب پذیریهایی نظیر تزریق (SQL Injection)، اسکریپت نویسی بین سایتی (XSS)، و اعتبارسنجی ورودی در سورس کد مورد بررسی قرار خواهند گرفت.

فهرست بازبینی OWASP

یکی دیگر از مراجع معتبر برای ارزیابی سورس کد، فهرست بازبینی OWASP است که به طور جامع آسیب پذیریهای متنوع در برنامه های نرمافزاری را پوشش میدهد. راهنمای مرجع سریع روشهای کدنویسی امن OWASP شامل ۱۴ بخش فرعی است که هر یک جنبه های از امنیت نرم افزار را پوشش میدهد.

این فهرست بازبینی شامل موضوعات زیر است:

  • اعتبارسنجی ورودی

    اعتبارسنجی داده ها، طول و محدودیت مقادیر

  • رمزگذاری خروجی

    استفاده از استانداردهای مشخص برای ارسال خروجی

  • احراز هویت و مدیریت گذرواژه

    بررسی الگوریتم های احراز هویت و مدیریت گذرواژه

  • مدیریت نشست

    ارزیابی فرایندهای مدیریت نشست

  • کنترل دسترسی

    بررسی روش های اعطای دسترسی و تغییر مجوزها

  • روشهای رمزنگاری

    ارزیابی روش های رمزگذاری و تولید کلید تصادفی

  • مدیریت خطا و لاگ‌نویسی

    بررسی نحوه مدیریت خطا و ثبت رویدادها

  • حفاظت از داده

    ارزیابی امنیت داده های حساس

  • امنیت ارتباطات

    بررسی امنیت ارتباطات مانند ( TLS)

  • پیکربندی سیستم

    ارزیابی روش های پیکربندی سیستم

  • امنیت پایگاه داده

    ارزیابی امنیت ارتباط با پایگاه داده

  • مدیریت فایل

    بررسی امنیت مدیریت فایل

  • مدیریت حافظه

    ارزیابی روش های مدیریت حافظه

  • روشهای عمومی کدنویسی

    استفاده از کد معتبر و آزمایش شده

آزمایشگاه ارزیابی محصولات هوش مصنوعی

آزمایشگاه‌های هوش مصنوعی، مراکز تخصصی و حیاتی برای پاسخگویی به رشد شتابان فناوری‌های هوشمند و ابزارهای مبتنی بر هوش مصنوعی هستند. با توجه به تأثیر روزافزون این فناوری‌ها بر افراد و جامعه، ارزیابی همه‌جانبه‌ی آن‌ها در ابعاد عملکرد، امنیت، اعتمادپذیری و ملاحظات اخلاقی، به یک ضرورت تبدیل شده است. در همین راستا، مرکز تحقیقات صنایع انفورماتیک آزمایشگاه پیشرفته هوش مصنوعی خود را راه‌اندازی کرده است. این آزمایشگاه با بهره ‌گیری از استانداردهای جهانی و تیم‌های متخصص، ارزیابی‌هایی ساختاریافته و قابل اتکا ارائه می‌دهد و ضمن پشتیبانی از نیازهای صنعت، توسعه ایمن و مسئولانه فناوری‌های هوش مصنوعی را ترویج می‌کند.

رویکرد آزمایشگاه

هدف از تأسیس آزمایشگاه هوش مصنوعی، ارائه چارچوبی ساختاریافته، علمی و قابل اتکا برای ارزیابی سیستم‌های هوش مصنوعی است. رسالت اصلی این آزمایشگاه، تضمین عملکرد، امنیت، اعتمادپذیری و هم‌ راستایی اخلاقی در ابزارها و فناوری‌های مبتنی بر هوش مصنوعی می‌باشد. برای دستیابی به این هدف، آزمایشگاه رویکردی چندرشته‌ای را در پیش گرفته که ارزیابی‌های فنی را با ملاحظات اخلاقی و حاکمیتی تلفیق می‌کند. فرایند ارزیابی ابعاد گوناگونی از جمله کیفیت داده، عملکرد کارکردی و تحلیل آسیب‌پذیری را پوشش می‌دهد و بر شفافیت و پاسخگویی تأکید دارد. این آزمایشگاه با هم ‌راستایی با بهترین شیوه‌های بین‌المللی و در عین حال تدوین متدولوژی‌های بومی‌سازی‌شده، می‌کوشد شکاف میان نوآوری و تضمین کیفیت را ترمیم کند و صنایع و نهادها را برای به‌کارگیری مسئولانه و اثربخش هوش مصنوعی توانمند سازد.

توانمندی‌های آزمایشگاه هوش مصنوعی

آزمایشگاه هوش مصنوعی با تکیه بر تیمی از متخصصان باتجربه در حوزه‌های مختلف هوش مصنوعی و سابقه درخشان در تدوین استانداردهای امنیتی و کیفی، خدمات ارزیابی جامعی را برای محصولات مبتنی بر هوش مصنوعی ارائه می‌دهد.

زمینه‌های تخصصی:

ارزیابی سیستم‌های یادگیری ماشین و یادگیری عمیق
ارزیابی سیستم‌های مبتنی بر پردازش زبان طبیعی (NLP)
ارزیابی سیستم‌های پردازش تصویر
ارزیابی الگوریتم‌های پردازش صوت و گفتار

 فرایند ارزیابی چندبعدی ما دربرگیرنده موارد زیر است:

بازبینی جامع عملکرد فنی و کیفی
تحلیل امنیتی و شناسایی آسیب ‌پذیری‌ها
سنجش کارایی و بهره‌وری
ارزیابی ملاحظات اخلاقی و انصاف الگوریتمی
ارزیابی استانداردهای حاکمیت داده
استانداردهای آزمایشگاه هوش مصنوعی

با توجه به ماهیت نوظهور و در حال تکامل ارزیابی سیستم‌های هوش مصنوعی، در حال حاضر یک استاندارد جامع، یکپارچه و واحد جهانی که منحصراً به این حوزه اختصاص داشته باشد، وجود ندارد. از این رو، آزمایشگاه هوش مصنوعی در پژوهشکده فناوری اطلاعات و ارتباطات، رویکردی منعطف و مبتنی بر تجربه را اتخاذ می‌کند که بر پایه ترکیبی از منابع موجود و دیدگاه‌های خبرگی استوار است. ارکان اصلی این رویکرد عبارتند از:

تدوین دستورالعمل‌های داخلی:

  • این آزمایشگاه بر اساس الزامات بومی، روندهای جهانی و تجربیات عملی حاصل از ارزیابی، اسناد مرجع اختصاصی خود را برای ارزیابی موارد زیر تدوین کرده و به‌طور مستمر توسعه می‌دهد

    عملکرد، امنیت، قابلیت اطمینان سیستم‌های هوشمند

  • این اسناد به ایجاد چارچوبی ساختاریافته، انطباق‌پذیر و معتبر برای ارزیابی محصولات مبتنی بر هوش مصنوعی کم

بهره‌گیری از استانداردها و اسناد مرتبط:

این آزمایشگاه از استانداردهای حوزه‌های مرتبط، به‌ویژه امنیت اطلاعات و ارزیابی نرم‌افزار، برای ساخت چارچوب‌های ارزیابی مستحکم استفاده می‌کند. در این زمینه، پروفایل‌های حفاظتی و بهترین شیوه‌های موجود در حوزه‌های پیشین نقشی کلیدی ایفا می‌کنند.

آزمایشگاه، استانداردهای بین‌المللی معتبر مرتبط با هوش مصنوعی را در فرایندهای ارزیابی خود ادغام می‌کند. از مهم‌ترین آن‌ها می‌توان به موارد زیر اشاره کرد:

  • ISO/IEC 24027

    معیارهای صحت برای مدل‌های یادگیری ماشین

  • ISO/IEC TR 24028

    معیارهای اعتمادپذیری برای هوش مصنوعی

  • ISO/IEC 23894

    ایمنی کارکردی سیستم‌های یادگیری ماشین

  • ISO/IEC 27001

    مدیریت امنیت اطلاعات (شامل سیستم‌های هوش مصنوعی)

  • ISO/IEC 23894

    مدیریت ریسک برای هوش مصنوعی و کاهش تهدیدات امنیتی

  • ISO/IEC 27550

    حفاظت از حریم خصوصی در سیستم‌های هوش مصنوعی

  • 10 ریسک برتر امنیتی یادگیری ماشین OWASP

مهم‌ترین ریسک‌های امنیتی در سیستم‌های یادگیری ماشین، شامل:

•   ML01: Input Manipulation Attack حمله دستکاری ورودی
•   ML02: Data Poisoning Attack حمله مسموم‌سازی داده
•   ML03: Model Inversion Attack حمله وارون‌سازی مدل
•   ML04: Membership Inference Attack حمله استنتاج عضویت
•   ML05: Model Theft سرقت مدل
•   ML06: AI Supply Chain Attacks حملات زنجیره تأمین هوش مصنوعی
•   ML07: Transfer Learning Attack حمله یادگیری انتقالی
•   ML08: Model Skewing اریب‌سازی مدل
•   ML09: Output Integrity Attack حمله یکپارچگی خروجی
•   ML10: Model Poisoning مسموم‌سازی مدل

  • 10 ریسک برتر و راهکارهای کاهش برای مدل‌های زبانی بزرگ و برنامه‌های هوش مصنوعی مولد( ۲۰۲۵)

•   LLM01: Prompt Injection تزریق پرامپت
•   LLM02: Sensitive  Information Disclosure افشای اطلاعات حساس 
•   LLM03: Supply Chain Vulnerabilities آسیب‌پذیری‌های زنجیره تأمین
•   LLM04: Data & Model Poisoning
•   LLM05: Improper Output Handling مسموم‌سازی داده و مدل
•   LLM06: Excessive Agency مدیریت نامناسب خروجی
•   LLM07: System Prompt Leakage عامل‌گری بیش از حد
•   LLM08: Vector & Embedding Weaknesses نشت پرامپت سیستمی
•   LLM09: Misinformation / Hallucination ضعف‌های برداری و تعبیه‌سازی
•   LLM10: Unbounded Consumption مصرف بی‌محدود

  • چارچوب‌ها و استانداردهای اخلاق و حاکمیت هوش مصنوعی

•   IEEE 7000 – Ethical Design in Intelligent Systems طراحی اخلاقی در سیستم‌های هوشمند
•   OECD AI Principles – Global AI Ethics and Governance اصول هوش مصنوعی OECD – اخلاق و حاکمیت جهانی هوش مصنوعی
•   NIST AI Risk Management Framework – Risk-Based Approach to AI Security and Fairness چارچوب مدیریت ریسک هوش مصنوعی NIST – رویکرد ریسک ‌محور به امنیت و انصاف هوش مصنوعی

آزمایشگاه هوش مصنوعی با ادغام این استانداردها و توسعه مستمر منابع داخلی، اطمینان حاصل می‌کند که ارزیابی‌هایش هم‌تراز با استانداردهای بین‌المللی، متناسب با نیازهای بومی و به لحاظ فنی قابل اتکا باقی بمانند.