با سلام به همه علاقمندان به گرایش امنیت اطلاعات (رایانش امن).عزیزان متعددی در وب نوشت در مورد پیش نیاز های غیررسمی  ورود به گرایش امنیت اطلاعات(رایانش امن) در مقطع تحصیلات تکمیلی سوالاتی را مطرح کرده بودند و پیش بینی می کنم تا زمانی که به این سوال یک پاسخ تقریبا جامع ندهم این روند پرسش ها به شکل  سازماندهی نشده تکرار خواهد شد. از این رو (علیرغم مشغله بسیار) در این پست سعی کردم اطلاعات خودم را در این مورد در اختیار شما بزرگواران قرار دهم . امید است که مفید باشد. این پست نیز مانند غالب پست های وب نوشت من به مرور با پرسش و پاسخ تکمیل و به روز می شود.

ابتدا به همه دوستانی که پیش زمینه فکری درستی از جایگاه امنیت اطلاعات ندارند و تصور می کنند «امنیت» یعنی «هک کردن» عرض می کنم که این تصور کاملا اشتباه است و میان یک متخصص امنیت اطلاعات و یک هکر تفاوت های بسیاری وجود دارد که اگر فرصت شود در آینده در مورد آن پستی را در وب نوشت منتشر می کنم ; پس   با تصوری درست از جایگاه امنیت اطلاعات به دنبال پیش زمینه های آن باشید. بر اساس تجربیاتی که در مقطع کارشناسی ارشد و دکتری تخصصی در گرایش امنیت اطلاعات(رایانش امن) کسب کرده ام بنده برای ورود به مقاطع کارشناسی ارشد و یا دکتری تخصصی امنیت اطلاعات مطالعه موارد ذیل را برای کسانی که در رشته های مهندسی کامپیوتر و یا فناوری اطلاعات تحصیل کرده اند و کمترین دانش را در حوزه امنیت دارند توصیه می کنم:


  • مطالعه الفبای امنیت اطلاعات که همان اصول و سرویس های امنیتی (Security Services&Security Principles) و  مکانیزم های امنیتی است.
  • آشنایی با مفاهیم پایه ای نظیر امنیت اطلاعات،حمله، تهدید، آسیب پذیری امنیتی، تشخیص حمله، تحلیل  حمله ،مدیریت امنیت اطلاعات(ISMS)، تحلیل مخاطرات(risk) تست نفوذ و غیره.
  • مطالعه برخی حملات مطرح در حوزه امنیت سایبری که برخی از آنها را در ذیل آورده ام و راهکار های دفاعی در برابر آنها:
    • Sniffing
    • Spoofing
    • Fabrication
    • Distributed Denial of Service
    • Replay Attack
    • Web server/client attacks
    • etc.
  • مطالعه آسیب پذیری های مطرح امنیتی(security vulnerabilities) و آشنایی مقدماتی با ماهیت آنها. برای نمونه می توانید به OWASP  Top 10  ‌مراجعه کنید.
  • مطالعه  اجمالی انواع بدافزارها و انواع حملات آنها
  • مطالعه مقدماتی روشهای تشخیص بدافزارها (Malware detection methods)
  • مطالعه مقدماتی روشهای تشخیص نفوذ  (intrusion detection systems ) و تجهیزاتی مانند فایروال ها، هانی پات ها و UTM ها.
  • مطالعه مقدماتی  مفاهیم معماشناسی (cryptography)از جمله رمزنگاری متقاون و نامتقارن (symmetric cryptography vs asymmetric cryptography)، امضای رقمی (digital signature) و توابع درهم سازی(hash functions)
  • آشنایی با پروتکل های امنیتی توزیع کلید و زیرساخت PKI
  • آشنایی مقدماتی با Forensic رقمی
  • مطالعه دستورات اولیه و مرتبط با کاربردهای امنیتی و شبکه ای در نسخه های لینوکس (مثلا  Ubuntu یا Kali). اخیرا کتاب نفوذگری در شبکه( نوشته  دکتر احسان ملکیان) یه دستم رسید و  اجمالا مرور کردم،  مطالعه فصل سوم این کتاب (در میان کتاب ها البته فارسی) برای مقدمه کار در این موضوع خالی از لطف نیست. البته چنانچه بتوانید  مراجع انگلیسی را مطالعه کنید قطعا بهتر است. دوستانی که دوره های تخصصی شبکه مثل CCNA‌و یا CCNP را گذرانده اند دانش شبکه ای آنها کمک بسیاری به پیشرفت آنها در امنیت شبکه می کند اما گذراندن دوره های شبکه الزامی نیست.
  • تقویت مهارت برنامه نویسی خود در زبان هایی مانند جاوا،PHP و جاوا اسکریپت (و اندکی زبان های اسکریپ نویسی) که در برخی از دروس پروژه هایی را با استفاده از این زبان های باید انجام دهید.
  • تقویت زبان انگلیسی خود به ویژه در یادگیری واژگان حوزه عمومی مهندسی کامپیوتر و حوزه تخصصی امنیت سایبری و  افزایش مهارت خود در خواندن متون تخصصی این حوزه به ویژه مقالات علمی و کتب مرجع.
  • به طور کلی مطالعه برخی کتب مقدماتی در حوزه امنیت سایبری در این مرحله توصیه می شود که عموما غالب مباحث بالا را در خود پوشش می دهند از جمله کتاب های نمونه  می توانید به کتاب های ذیل مراجعه کنید:
  1. کتاب های مدرک CEH که مطالعه نسخه های اصلی آنها توصیه می شود (البته برخی ترجمه های فارسی نیز از آنها در کشور موجود است که ارزشمند هستند.)(البته برخی فیلم های آموزشی  این دوره نیز قابل تهیه است که برخی از آنها کیفیت مناسبی دارند)
  2. کتاب های ترجمه و تالیف فارسی منتشر شده در کشور نظیر نفوذگری در شبکه(  دکتر احسان ملکیان) که کتاب به نسبت ساده و مفیدی برای اغاز کار است و سپس مطالعه کتاب اصول امنیت سیستمها و شبکه‌های رایانه‌ای ( شهرام بختیاری ,  سعید قاضی‌مغربی) که کتابی است با عمق فنی بیشتر.

البته ناگفته نماند که غالب مباحث عنوان شده در بالا در قالب دروس  مختلف این رشته در دانشگاه به شکل نسبتا عمیقی تدریس می شود (در دانشگاههای مختلف کشور میزان عمق این مباحث  فرق می کند) و هدف بنده از بیان آنها صرفا مرور و آشنایی با آنها به عنوان پیش نیازی بسیار مفید و توصیه بنده برای ورود به رشته امنیت اطلاعات در دانشگاه های برتر است.



*** با عضویت در کانال تلگرام(MohammadMehdiAhmadian@) از مطالب بیشتر، فیلم ها و به روزرسانی ها مطلع شوید.***
*** با دنبال کردن کانال اینستاگرام( mmAhmadian@) از مطالب تصویری و ویدئویی و به روزرسانی ها مطلع شوید.***
*** با دنبال کردن کانال آپارات( mmAhmadian@) از ویدئوهای آموزشی و اطلاع رسانی ما مطلع شوید.***
*** در صورت فیلتر تلگرام،باعضویت در کانال سروش(mmAhmadian@) از مطالب بیشتر، فیلم ها و به روزرسانی ها مطلع شوید.***

پاسخ به برخی سوالات :


----

 (۱)
با سلام و خسته نباشید .اگر ممکن هست در مورد پیش نیازهای ورود به این رشته اطلاعاتی در اختیارم بگذارید ممنون میشم مثلا ایا نیازی به گذراند دوره های ccna ,ccnp‌هم هست برای موفق بودن در زمینه امنیت اطلاعات .


سلام. تشکر. به سوال شما در بالا  پاسخ داده شد.

----

 (۲)
سلام 

میخواستم بدونم قبل از اینکه وارد این رشته شد نیازه که فرد به مباحث امنیتی و کشف باگ و ... اشنا باشه یا نه ?
زبان های برنامه نویسی که تو دوره ارشد نیاز میشه رو اگه بگین ممنون میشم 
کسی بدون دانشی در مورد هک و امنیت با قبول شدن تو رشته امنیت اطلاعات میتونه جایگاهی تو بازار داشته باشه یا نه ?
ببخشید بخشی مربوط به پرسش و پاسخ پیدا نکردم 
خیلی ممنون

سلام.در مورد سوال انتهایی شما. بله می شود بدون دانش اولیه امنیتی (در بدو ورود به این گرایش) در این حوزه اما با تلاش کافی در طول تحصیل در بازار کار هم موفق بود. نمونه های بسیاری را سراغ دارم. خود بنده نیز در زمان ورود به این گرایش حداقل دانش را در این زمینه داشتم اما پیش از ورود به ارشد در زمانی که در خدمت سربازی هم بودم برخی مباحث بالا را مطالعه کردم.اما به چنین لیستی از پیش نیاز ها متاسفانه هرگز دسترسی نداشتم ; حال که شما به چنین لیست هایی دسترسی دارید حتما از آنها نهایت استفاده را بکنید; چرا که آشنایی شما با این مباحث کمک بسیاری در یادگیری بهتر مباحث در حین تدریس می کند. به امید اینکه در آینده کشورمان متخصصان امنیتی برتری نسبت به امروز داشته باشد.دست به دست هم به مهر، میهن خویش را کنیم آباد.

----

 (۳)
با عرض سلام و خسته نباشید خواستم بدونم ایا برای ورود به این رشته نیاز هست در مورد سخت افزار شبکه مثلا دوره های ccna اطلاعاتی داشته باشیم و اینکه ایا این رشته مرتبط با هک کردن است.در مشاغلی که یک فرد با این تخصص استخدام میشود حدود مسئولیت او تا چه حد است مثلا تامین امنیت یک بانک و...
 (۴)
با سلام و خسته نباشید
من لیسانس نرم افزار دارم و عاشق برنامه نویسی هستم و علاقه زیادی به مباحث امنیتی دارم خواستم بدونم برای اینکه در این رشته موفق باشیم به چه مواردی باید تسلط داشته باشیم مثلا مباحث سخت افزاری شبکه نیاز هست مثل دوره های ccna,ccnp و دوره های هک چون من در این زمینه اطلاعی ندارم . در مورد ریاضی روی چه مباحثی باید مسلط باشیم در این رشته . و اینکه ایا این رشته مرتبط با هک و نفوذ هست اگر ممکن است کمی در مورد حرفه هایی که با این رشته میتوان وارد انها شد مختصر توضیحی بفرمایید
ممنون از وقتی که میگذارید و راهنماییتون


سلام. تشکر.در قالب مطالب این پست و پست های مرتبط ذیل به سوال های شما پاسخ داده شد.پیروز باشید.

----

 (5)
من دارم در رشته حسابداری  تحصیل میکنم ولی به گرایش امنیت اطلاعات خیلی علاقه دارم و به صورت ازاد و خارج از رشته تحصیلیم کم و بیش اطلاعاتی بدست اوردم ولی متاسقانه با وجود تلاش زیاد و کلاس های انلاین نتونستم به یک جمع بندی و اطلاعات مفید و کاربردی دست پیدا کنم و اطلاعتم ناقص هست . تا این که با شما اشنا شدم و خواهشی ک دارم لطفا یکسری کتاب که برای بدست اوردن اطلاعات پایه و بعد حرفه ای که در این زمینه میتونه برام مفید باشه رو معرفی کنید 
با تشکر

سلام.  در محتوای این پست به سوال شما پاسخ داده شده است.

----

 (6)

سلام و عرض ادب خدمت جناب آقای دکتر احمدیان

من به تازگی برای آزمون سازمان بنادر و دریانوردی ثبت نام کردم تو منابع آزمون درسی با عنوان (مبانی حفاظت و امنیت اطلاعات ) وجود داره.من رشتم مدیریت بوده و هیچ آشنایی با این درس ندارم میشه محبت کنید راهنمایی کنید چه کتابی رو باید واسه این منبع واسه آزمون مطالعه کنم؟ممنون میشم اسم کتاب و نویسنده رو بهم بگید که تهیه کنم.بی نهایت سپاس


سلام و درود.  متاسفانه چون اطلاعاتی در مورد این سازمان و محتوا و طراحان آزمون آنها ندارم قطعا نمی توانم به درستی راهنمایی کنم . اما اگر بخواهم حداقل توصیه ای داشته باشم به کتب معرفی شده در این پست در بخش کتاب های ترجمه و تالیف فارسی منتشر شده می توانید مراجعه کنید؛نفوذگری در شبکه(  دکتر احسان ملکیان) و  کتاب اصول امنیت سیستمها و شبکه‌های رایانه‌ای ( شهرام بختیاری ,  سعید قاضی‌مغربی) که کتابی است با عمق فنی بیشتر. البته این کتب قاعدتا برای افرادی است که در رشته کامپیوتر و یا رشته ها مرتبط تحصیل کرده اند؛ شاید کتاب تهدید آسور (اگرچه برای شما کامل نیست!) اما مطالعه و درکش ساده تر باشد .موفق باشید.