امنیت داده و شبکه

Data and Network Security

شماره درس: ۴۰۴۴۲ تعداد واحد: ۳
مقطع: کارشناسی نوع درس: نظری
پیش‌نیاز: شبکه‌های کامپیوتری (۴۰۴۴۳) هم‌نیاز: –

اهداف درس

هدف از ارائه‌ی این درس آشنایی دانشجویان با مفاهیم اولیه‌ی امنیت، راه‌‌کارهای دفاعی و حملات در حوزه امنیت سیستم، وب، شبکه و موبایل است.

ریز مواد

  • مفاهیم و تعاریف اولیه
    • خط مشی امنیتی و مدل‌های کنترل دسترسی
    • کانال‌های پنهان، کنترل جریان اطلاعات
    • مدل‌های اختیاری (DAC) و مدلهای اجباری (MAC)
    • مدل‌های نقش-مبنا (RBAC)
  • امنیت سیستم
    • نحوه‌ی اجرای نرم‌افزارها و تعاملات آن‌ها با سیستم و نقاط ضعف
    • حملات و روش‌های دفاعی (control hijacking)
    • مدیریت امن کدهای قدیمی در حال استفاده (جعبه شنی، مجازی سازی، ایزوله سازی در لایه های مختلف)
    • روش‌های موجود برای توسعه امن کد (تحلیل ایستا، تحلیل پویا)
    • روش‌های نقض امنیت و Fuzzing
  • مدل امنیتی وب
    • امنیت نرم‌افزارهای کاربردی تحت وب (sql, XSS, CSRF)
    • مدیریت نشست های تحت وب (Cookies)
    • مفاهیم رمزنگاری متقارن و نامتقارن
    • کدهای احراز صحت پیام و توابع درهمساز
    • امنیت اطلاعات وب در حین تبادل (Https/SSL)
    • مکانیزم‌های دفاعی سمت مرورگر (SOP, CSP, CORS)
  • امنیت شبکه
    • تهدیدات امنیتی در پروتکل های شبکه (etc, routing, BGP, DNS, TCP)
    • ابزارهای دفاعی در شبکه (etc, IDS, VPN, Firewall)
    • حملات منع سرویس و راهکارهای دفاعی
    • محاسبات با اعتماد (Trusted Computing) و SGX
  • امنیت موبایل
    • امنیت سکوهای موبایل (iOS, Android)
    • تهدیدات در حوزه موبایل

ارزیابی

  • تمرین‌های نظری: ۸ نمره
  • آزمون‌های میان‌ترم و پایانی: ۱۰ نمره
  • آزمونک‌ها: ۲ نمره

مراجع

  1. Matt Bishop. Computer Security. Addison-Wesley, 2017.
  2. John Erickson. The Art of Exploitation 2nd Edition, No Starch Press, 2008.
  3. Robert C. Seacord. Secure Coding in C and C++. 2nd Edition, Pearson Education, 2005.
  4. A. Sotirov. Bypassing Browser Memory Protections. 2008.
  5. T. Garfinkel. Traps and Pitfalls: Practical Problems in System Call Interposition Based Security Tools. NDSS, 2003.
  6. Adam Barth, Collin Jackson, and John C. Mitchell. Securing Browser Frame Communication. Usenix, 2008.
  7. Adam Barth, Collin Jackson, Charles Reis, and the Google Chrome Team. The Security Architecture of the Chromium Browser. 2008.
  8. Bortz et al. Origin Cookies: Session Integrity for Web Applications. 2011.
  9. Enck, Ongtang, and McDaniel. Understanding Android Security. 2009.
  10. Allan Tomlinson. Introduction to the TPM: Smart Cards, Tokens, Security and Applications. 2008.
  11. Andrew Baumann, Marcus Peinado, and Galen Hunt. Shielding Applications from an Untrusted Cloud with Haven. OSDI 2014.