با سلام به همه دوستان عزیزی که به گرایش امنیت اطلاعات  سابق یا رایانش امن کنونی  علاقه مند هستند و تمایل دارند در دوره کارشناسی ارشد( و یا حتی کارشناسی) بر روی یکی از بخشهای این گرایش به شکل جدی تری فعالیت کنند. چه در دانشگاه و چه در محیط های مجازی بارها دوستان متعددی از بنده در مورد انتخاب زمینه مناسب برای پژوهش و یا حتی کارعملی در زمینه امنیت اطلاعات سؤال کرده اند.اگرچه بنده خود را در حدی نمی دانم که عنوان یک متخصص امنیت اطلاعات به آنها پاسخ دهم اما در حد بضاعت خود سعی می کنم زکات اندک دانشی که در این چند سال به لطف اساتید بزرگوار در این زمینه کسب نموده ام را ادا کنم. لذا در این پست سعی می کنم ماحصلی از پاسخ به نامه های دوستان را منتشر کنم و سعی کنم از این به بعد سوالات مطرح شده را به مرور در همین پست وب نوشت پاسخ دهم تا به شکل منسجمی پاسخ مناسب همراه با نقد و نظرات دوستان ارائه شود و برای سایر دوستانی که در سالهای آینده نیز این سوال را خواهند پرسید مرجع مناسبی ایجاد شود.از دوستان عزیز نیز تقاضا دارم در صورتی که در این زمینه سوال دارید در بخش نظرات همین پست سوال خود را مطرح کنید نه در بخش تماس با من یا از طریق ایمیل.



پژوهش در امنیت اطلاعات

برای مشاهده ادامه مطلب روی فلش قرمز بالای پست کلیک کنید.
ابتدا به همه دوستان عزیز شدیدا توصیه می کنم جهت اشراف به موضوعات کلی در حوزه امنیت اطلاعات جهت انجام کار پژوهشی به کنفرانس ها و مجلات مطرح حوزه امنیت اطلاعات که برخی از آنها را در ذیل آورده ام مراجعه نمایند و از نزدیک با موضوعات داغ  پژوهشی حوزه امنیت آشنا شوند.

 




S&P 

IEEE Symposium on Security and Privacy

CCS

ACM Conference on Computer and Communications Security

Crypto 

International Cryptology Conference

Eurocrypt

European Cryptology Conference

Security

Usenix Security Symposium

NDSS

ISOC Network and Distributed System Security Symposium

RAID

International Symposium on Recent Advances in Intrusion Detection

 

 

Asiacrypt

 

International Conference on the Theory and Application of Cryptology and Information Security

DIMVA

 

 

GI SIG SIDAR Conference on Detection of Intrusions and Malware and Vulnerability Assessment

 

 

 

بعد از بررسی موضوعات مطرح به لیستی مشابه ذیل می رسید که جهت انتخاب موضوع مورد پژوهش به چند نکته بد نیست توجه کنید:

·        

  • Systems security
    • Mobile systems security
    • Web security
    • Cloud computing security
    • Distributed systems security
    • Operating systems security
    • Storage security
  • Cryptographic implementation analysis and construction, applied cryptography
  • Language-based security
  • Hardware security
    • Embedded systems security
    • Methods for detection of malicious or counterfeit hardware
    • Randomness
    • Secure computer architectures
    • Side channels
  • Network security
    • Intrusion and anomaly detection and prevention
    • Network infrastructure security
    • Denial-of-service attacks and countermeasures
    • Wireless network security
  • Privacy-enhancing technologies, anonymity
    • Research on surveillance and censorship
  • Human-computer interaction, security, and privacy
  • Social issues and security
    • Research on computer security law and policy
    • Ethics of computer security research
    • Research on security education and training
  • Security analysis
    • Malware analysis
    • Analysis of network and security protocols
    • Attacks with novel insights, techniques, or results
    • Forensics and diagnostics for security
    • Automated security analysis of hardware designs and implementation
    • Automated security analysis of source code and binaries, program analysis
  • Security measurement studies
    • Measurements of fraud, malware, spam
    • Measurements of human behavior and security
  • Cyber-Physical Systems
    • Industrial Control System (ICS) security.
    • Security of embedded device.
    • Internet of Things ( IoT) Security.
    • Industrial Internet security
    • Smart Cities security
    • Smart Grid security
    • "Smart" Anything  security(e.g., Cars, Buildings, Homes, Manufacturing, Hospitals, Appliances)
  • Measurements of human behavior and security
  • Others
    • Security in electronic voting
    • Security in health care and medicine
    • Security in ubiquitous computing, sensors, actuators
    • Security in electronic commerce
    • etc.

  در انتخاب زمینه مورد تحقیق علاوه مهم ترین نکته علاقه شخصی و در کنار آن  در نظر گرفتن مهارت ها و سابقه علمی و مهارتی شما است چرا که در دوره ارشد فرصت زیادی برای یادگیری از صفر نیست و چنانچه بخواهید از صفر روی زمینه ای کار کنید نیازمند تلاش مضاعف و صرف زمان بیشتری است (اگر خارج از دوره کارشناسی ارشد می خواهید موضوعی را انتخاب کنید و زمان کافی دارید بحث اندکی متفاوت می شود).در کنار آن  به منابع  و آیتم های مورد نیاز جهت انجام این پژوهش باید توجه کنید به عنوان مثال کار بر روی برخی پروژه ها نیازمند سخت افزارها یا آزمایشگاههای خاص است یا به عنوان مثال کار کردن بر روی تحلیل یا تشخیص برخی بدافزارها نیازمند دیتاست هایی خاص است که به شکل عموم در دسترس نیستند.. در انتخاب موضوع یکی از جنبه های مورد اهمیت امکان انجام کار در بیرون از دانشگاه است (البته برای برخی دانشجویان که صرفا قصد تحصیل دارند و دغدغه مسائل اقتصادی را ندارند این مسئله چندان مورد اهمیت نیست) به عنوان مثال امروزه کار کردن روی برخی موضوعات مانند تست نفوذ و یا سیستم های تشخیص نفوذ و یا حتی بدافزارها  در بیرون از دانشگاهها هوادارن خاص خود را دارد در صورتی که کار کردن بر روی زمینه های مدل های فورمال اگرچه ارزش خاص خود را دارد اما در حال حاضر در ایران بازار کار خوبی ندارد و به تعبیری حیطه کاری آن نهایتا در حد پژوهشکده ها است (اما هم بسیار کم! البته در خارج از ایران اینگونه نیست و در بازه 5-15 سال آینده در ایران نیز تصور می کنم بتوان از آن کسب درآمد کرد).

فراموش نکنید زمنیه کاری اساتیدی که با آنها کار می کنید در مشخص نمودن زمینه کاری شما تاثیر بسزایی دارد و از طرفی می توانید از نزدیکان خود یا کسانی که به بر روی زمینه مورد نظر شما قبلا تجربه کار پژوهشی و یا غیر پژوهشی دارند راهنمایی بخواهید که این راهنمایی بهترین نوع راهنمایی است.

دوستی از طریق ایمیل سوال کرده بودند که حالا که قرار است بر روی گرایش امنیت اطلاعات وقت بگذارند در حوزه امنیت نرم افزار بهتر است وقت گذاشت یا سخت افزار، شبکه یا سیستم عامل؟! در پاسخ به این سوال تایید می کنم که در هرکدام از بخش های اشاره شده هم از لحاظ پژوهشی جای کار است هم از لحاظ کار فنی و بازار کار بنابراین بهتر است با توجه به پارامترهایی که در بالا اشاره کردم زمینه کاری خود را مشخص کنید. اما به این نکته نیز توجه کنید که معمولا بازار کار و  فضای آکادمیک (البته باز کار با اندکی تاخیر) عموما طالب موضوعات جدید مطرح شده و یا تکنولوژی های جدید مطرح شده اند. به عنوان مثال امروزه کار کردن بر روی سیستم عامل های گوشی های هوشمند یک زمینه مناسب است و یا در آینده نزدیک کار کردن بر روی محاسبات ابری و در ادامه پردازش داده های حجیم در قالب Big Data و غیره.

دوستان متعددی در زمینه دوره های آموزشی امنیت در مراکز مختلف سوال کرده اند . بنده به هیچ عنوان تبلیغ هیچ موسسه خاصی را نمی کنم اما به شما توصیه می کنم که چنانچه قصد دارید در موضوع خاصی دوره ای ببینید مطمئن شوید که اولا ایا این دوره از طریق پایگاههای مختلف تحت وب به شکل رایگان (از طریق دانشگاهها و یا سایت ها آموزش آنلاین) قابل ارائه نباشد و زمانی که واقعا  گذراندن دوره را احساس کردید  به چند نکته توجه کنید: اول اعتبار مرکز آموزشی، دوره های آن و گواهی نامه هایی که می دهد (صرفا به نام گواهی نامه اکتفا نکنید و اعتبار دوره های مطرح بین المللی را از طریق مراجع ذیصلاح بررسی کنید)، بعد از آن سابقه کاری و رزومه اساتید دوره را مد نظر قرار دهید و بعد از آن  شهرت آن مرکز را و آن دوره خاص را از افرادی که تجربه آموزش مشابه را داشتند حتما جویا شوید.


امیدوارم در حد بضاعت خود توانسته باشم که تجربیات خود را در اختیار شما عزیزان قرار دهم.

شاد و سربلند باشید و اگر این نوشته های اندکی برای شما مفید بود و لایق دانستید بنده حقیر را نیز دعا کنید.


مطالب مرتبط: 



توجه: این نوشته به مرور تکمیل می گردد


---

پاسخ به برخی سوالات مطرح شده از طریق ایمیل یا نظرات خصوصی(نظرات خصوصی با حفظ گمنامی و حذف برخی اطلاعات خصوصی مخاطبان به شکل عمومی منتشر شده است : علامت *** به معنای حذف اطلاعات خصوصی است) :

 (1)

با عرض سلام و خسته نباشید .خواستم اگه ممکنه در مورد کاری که یک متخصص رایانش امن انجام میدهد در سازمان یا ارگانی که استخدام میشود توضیح بدید ممنون میشم به علت اینکه طبق فرمایشات شما متخصص این رشته وظیفه هک کردن نداره و با هکر متفاوت هست و از طرفی نیازی به گذراندن دوره های ccna , ccnp نیست یعنی وظیفه ایجاد امنیت از نظر سخت افزاری در شبکه را ندارد این هست که کمی در مورد وظیف یک متخصص در این حیطه گیج شدم راهنمایی بفرمایید ممنون میشم....

سلام. ممنون.
به طور کلی افرادی در در سازمان ها یا شرکت ها در بخش امنیت فعالیت می کنند غالبا با توجه به محدوده و ماموریت های سازمان یا شرکت و عمق تخصصی آن در هر یک از حوزه های ذیل می تواند فعالیت کنند و طبیعی است که در هر حوزه فرد با توجه به نیازهای عملیاتی امکان دارد برخی دوره های خاص را نیز بگذراند؛ به عنوان مثال کسی که در حوزه امنیت شبکه کار می کند غالبا نیاز به دوره های ccna، ccnp، ccie، ecsa و غیره دارد.
  • امنیت شبکه
  • امنیت نرم افزارهای وب
  • امنیت نرم افزارهای stand alone
  • مراکز ارزیابی امنیتی
  • تست نفوذ (وب، شبکه و غیره)
  • امنیت سخت افزار
  • امنیت کارت های هوشمند
  • مراکز زیرساخت کلید عمومی ( PKI ) و  تجهیزات مرتبط با آن
  • تحلیل و تشخیص بدافزار
  • جرم شناسی رایانه ای(Forensic)
  • امنیت سامانه های سایبر-فیزیکی مانند سامانه های کنترل صنعتی و یا تجهیزات embedded
  • ممیزی و مدیریت امنیت اطلاعات(ISMS)
  • تیم های امداد و نجات رایانه ای(CSIRT)
  • مراکز SOC
  • و غیره

جهت اشراف به شرح وظایف هر یک از حوزه های بالا کافی است در مورد هر یک جست وجوی اندکی داشته باشید.

موفق باشید.


 (2)
سلام اقای دکتر من جدیدا با وبلاگ شما آشنا شدم و کاش زودتر وبلاگ شما رو میدیدم
من از امسال شروع کردم برای خوندن کنکور ارشد و امیدوارم بتونم گرایش رایانش امن رو بیارم
چندتا سوال داشتم با اینکه جستجو کردم به نتیجه ای نرسیدم البته جواب ها مبهم بود برای من گفتم از شما بپرسم و ایمیلم رو هم اخر مطلب مینویسم چون فکر کنم اینطوری راحتر بتونم باهاتون حرف بزنم یا به عبارتی اگر مایل باشید کمی از تجربیات خودتون رو در اختیار من قرار بدید
با اینکه دارم برای کنکور میخونم از الان به فکر یه مقاله هستم که بتونم از الان روش کار کنم حتی خیلی کم هم بتونم روش وقت بزارم ولی بشه روش کار میکنم تا بتونم بعد از اینکه وارد دانشگاه شدم به صورت جدیت دنبالش کن خودم موضوع ******** رو انتخاب کردم نمیدونم ایا این عنوان یا این مطلب میتونه خوب باشه یا به عبارتی مناسب هست  یا نه چون میبینم خیلی ها دنبال این موضوع هستن و نمیدونم راستش عنوان درستی هستش سوال بعدیم هم این هستش مشکلی برای افرادی که بخوان تو گرایش امنیت اطلاعات ارشد رو تو ایران باشن و دکترا رو بخوان خارج از ایران بخونن پیش نمیاد ؟
ممنون میشم کمی راهنماییم کنید مرسی 
سلام . نظر شخصی من این هست که  در دوره کنکور کامل وقتتون رو روی مطالعه دروس کنکوری بذارید چرا که اگر خوب تلاش کنید و در دانشگاه خوبی در گرایش امنیت قبول شوید بعدا فرصت کافی را برای  پژوهش و کار روی مقاله دارید. اما اگر مصر هستید که در قبل از قبولی در کنکور روی مقاله کار کنید حوزه پیشنهادی شما حوزه ای است  افراد متعددی در داخل و خارج بر روی آن کار می کنند(باید در مقاله مورد نظر دقیقا مسئله باز وسوال پژوهشیتون مشخص بشه!) و با جست و جوی کافی می تونید  با این افراد مشورت کنید و موضوع دقیق مقاله و پژوهشتون رو جلو ببرید.
:در مورد سوال دوم : به این سوال شما درنظرات این پست پاسخ داده بودم:
 تا کنون غالب دوستان امنیتی بنده(از پلی تکنیک) که تمایل داشتند برای PhD اپلای کنن  به راحتی و بدون کمترین مشکل این کار رو انجام داده اند. تنها شرایطی که می تونه درسر ساز بشه برای اپلای این هست که شما در داخل با سازمان های خاص که در لیست سیاه کشورهای دیگه هستند کار کنید و آنها به هر نحوی متوجه شوند. موفق باشید.