امنیت داده و شبکه
| مدرس: دکتر کامبیز میزانیان | گواهینامه: رسمی دوزبانه |
| ترم: تابستان ۱۴۰۴ | پیشنیاز: – |
| زمان ارائه: یکشنبه و سهشنبه ۱۷:۰۰ تا ۱۸:۳۰ | محل برگزاری: کلاس مجازی |
اهداف درس
هدف از ارائهی این درس آشنایی دانشجویان با مفاهیم اولیهی امنیت، راهکارهای دفاعی و حملات در حوزه امنیت سیستم، وب، شبکه و موبایل است.
ریز مواد
- مفاهیم و تعاریف اولیه
- خط مشی امنیتی و مدلهای کنترل دسترسی
- کانالهای پنهان، کنترل جریان اطلاعات
- مدلهای اختیاری (DAC) و مدلهای اجباری (MAC)
- مدلهای نقش-مبنا (RBAC)
- مدل امنیتی وب
- امنیت نرمافزارهای کاربردی تحت وب (sql, XSS, CSRF)
- مدیریت نشست های تحت وب (Cookies)
- مفاهیم رمزنگاری متقارن و نامتقارن
- کدهای احراز صحت پیام و توابع درهمساز
- امنیت اطلاعات وب در حین تبادل (Https/SSL)
- مکانیزمهای دفاعی سمت مرورگر (SOP, CSP, CORS)
- امنیت شبکه
- تهدیدات امنیتی در پروتکل های شبکه (etc, routing, BGP, DNS, TCP)
- ابزارهای دفاعی در شبکه (etc, IDS, VPN, Firewall)
- حملات منع سرویس و راهکارهای دفاعی
- محاسبات با اعتماد (Trusted Computing) و SGX
- امنیت سیستم
- نحوهی اجرای نرمافزارها و تعاملات آنها با سیستم و نقاط ضعف
- حملات و روشهای دفاعی (control hijacking)
- مدیریت امن کدهای قدیمی در حال استفاده (جعبه شنی، مجازی سازی، ایزوله سازی در لایه های مختلف)
- روشهای موجود برای توسعه امن کد (تحلیل ایستا، تحلیل پویا)
- روشهای نقض امنیت و Fuzzing
- امنیت موبایل
- امنیت سکوهای موبایل (iOS, Android)
- تهدیدات در حوزه موبایل
ارزیابی
- تمرین و پروژه: ۶ نمره
- آزمون پایانی: ۱۴ نمره
منابع
- Matt Bishop. Computer Security. Addison-Wesley, 2017.
- John Erickson. The Art of Exploitation 2nd Edition, No Starch Press, 2008.
- Robert C. Seacord. Secure Coding in C and C++. 2nd Edition, Pearson Education, 2005.
- A. Sotirov. Bypassing Browser Memory Protections. 2008.
- T. Garfinkel. Traps and Pitfalls: Practical Problems in System Call Interposition Based Security Tools. NDSS, 2003.
- Adam Barth, Collin Jackson, and John C. Mitchell. Securing Browser Frame Communication. Usenix, 2008.
- Adam Barth, Collin Jackson, Charles Reis, and the Google Chrome Team. The Security Architecture of the Chromium Browser. 2008.
- Bortz et al. Origin Cookies: Session Integrity for Web Applications. 2011.
- Enck, Ongtang, and McDaniel. Understanding Android Security. 2009.
- Allan Tomlinson. Introduction to the TPM: Smart Cards, Tokens, Security and Applications. 2008.
- Andrew Baumann, Marcus Peinado, and Galen Hunt. Shielding Applications from an Untrusted Cloud with Haven. OSDI 2014.