شركت سيگما به عنوان پيشتاز حوزه خدمات الكترونيك و طراحی پورتال های سازمانی در كشور، براي دومين سال پياپي در همايش نظام اداري الكترونيك شركت نمود. از ابتكارات شركت سيگما در اين همايش برگزاري يك مسابقه با هدف ارتقاي سطح دانش امنيت مخاطبان بود كه از طريق طرح يك سوال پيامكي با هشت گزينه در خصوص "معتبرترين استاندارد امنيت وب سايت ها و معتبرترين ابزار ارزيابي امنيت وب سايت" بود كه در كليه گزينه ها انواع استانداردها و ابزارها بيان شده بود.
در متن زير پاسخ به سوال طرح شده آمده است:
بسمهتعالي
در حوزه امنيت چند گروه استاندارد به شرح زير وجود دارد:
1- استانداردهاي مديريتي مانند ISO27001 و BS7799
2- استانداردهاي فني نرمافزارها و سختافزارهاي مختلف (مانند سري NIST-SP800، X805، ISO7816 مربوط به كارت هوشمند،...)
3- استانداردهاي رمزنگاري (مانند AES، X509، ...)
4- استانداردهاي امنيت كدنويسي و وب و نرمافزارهاي سفارشي (مانند OWASP، PCI-DSS، ISO27034، ...)
از ميان استانداردهاي حوزه امنيت كدنويسي و وب و نرمافزارهاي سفارشي، استاندارد OWASP بيشترين سابقه و همچنين بيشترين دستورالعملها و ابزارها را در اختيار دارد. اگر به سايت http://www.owasp.org مراجعه نماييد، انواع ابزارها، اسلايدها، مستندات و چكليستها را ميتوانيد ملاحظه نماييد.
از طرف ديگر در حوزه ارزيابي امنيت چندين گروه ابزار به شرح زير وجود دارند:
1- ابزارهاي مخصوص بررسي يك نوع آسيبپذيري خاص (مانند SQLInject ME، ....)
2- ابزارهايي كه خود به عنوان يك پلتفرم جهت نصب شدن ابزارهاي بررسي آسيبپذيري نصب ميشوند (مانند BurpSuite، Fiddler2، ...)
3- ابزارهايي كه بصورت عمومي انواع آسيبپذيريها را اسكن ميكنند (مانند WebInspect، Acunetix، ...)
4- ابزارهايي كه ويژه ارزيابي كدهاي نوشته شده هستند (مانند Fortify، ...)
5- ابزارهاي ويژه ارزيابي امنيت شبكه و سيستمعامل (مانند Core Impact، GFI ، ...)
ابزار WebInspect كه در ابتدا توسط شركت SPI Dynamics ايجاد شد و توسط شركت HP خريداري شد، در حال حاضر قويترين ابزار ارزيابي امنيتي نرمافزارها ميباشد. ابزار ديگري كه در سطح تراز اول با اين ابزار قابل رقابت است ابزار Appscan از شركت IBM است. براي دريافت جزئيات مقايسهاي گزارشهاي موسسه Gartner كه بزرگترين موسسه مشاوره در حوزه فناوري اطلاعات است مراجعه فرماييد.