دانلود کتاب آموزشی Systems Security Certified Practitioner (SSCP) جلد دوم

بخش 5. Cryptography (رمزنگاری)

فصل 1. مبانی رمزنگاری و تاریخچه:

• تعریف رمزنگاری و اهمیت آن در امنیت اطلاعات.
• تاریخچه رمزنگاری از دوران باستان تا عصر دیجیتال.
• اصطلاحات کلیدی: متن ساده (Plaintext)، متن رمز (Ciphertext)، کلید (Key).

فصل 2. الگوریتم‌های رمزنگاری:

• الگوریتم‌های متقارن (Symmetric Encryption):
  • تعریف و کاربردها.
  • مثال‌ها: AES، DES، 3DES، Blowfish.
• الگوریتم‌های نامتقارن (Asymmetric Encryption):
  • تعریف و کاربردها.
  • مثال‌ها: RSA، ECC، DSA.

فصل 3. رمزنگاری هش (Hashing):

• مفاهیم و کاربردهای هشینگ.
• الگوریتم‌های هشینگ: MD5، SHA-1، SHA-2، SHA-3.
• کاربردهای هش در احراز هویت و تضمین یکپارچگی داده‌ها.

فصل 4. مدیریت کلیدهای رمزنگاری:

• اصول مدیریت کلید (Key Management Principles).
• روش‌های توزیع و ذخیره‌سازی امن کلیدها.
• چرخه عمر کلیدها (Key Lifecycle).
• اهمیت امنیت کلیدهای خصوصی در رمزنگاری نامتقارن.

فصل 5. پروتکل‌های رمزنگاری:

• پروتکل‌های امن برای انتقال داده‌ها:
  • TLS/SSL.
  • IPsec.
• پروتکل‌های رمزنگاری برای ایمیل: S/MIME، PGP.
• پروتکل‌های رمزنگاری برای شبکه‌های بی‌سیم: WPA3، WPA2.

فصل 6. رمزنگاری داده در انتقال و ذخیره‌سازی:

• رمزنگاری داده‌ها در حالت استراحت (Data at Rest).
• رمزنگاری داده‌ها در حالت انتقال (Data in Transit).
• حفاظت از اطلاعات حساس در ذخیره‌سازها و پایگاه‌های داده.

فصل 7. کاربردهای عملی رمزنگاری:

• استفاده از رمزنگاری در احراز هویت.
• امضای دیجیتال (Digital Signature).
• گواهینامه‌های دیجیتال (Digital Certificates) و PKI.
• رمزنگاری در بلاک‌چین و ارزهای دیجیتال.

فصل 8. حملات علیه رمزنگاری:

• حملات بروت فورس (Brute Force Attacks).
• تحلیل رمز (Cryptanalysis).
• حملات مرد میانی (Man-in-the-Middle Attacks).
• روش‌های مقابله با این حملات.

فصل 9. استانداردها و قوانین مرتبط با رمزنگاری:

• استانداردهای رمزنگاری مانند FIPS 140-2 و ISO/IEC 19790.
• قوانین ملی و بین‌المللی در استفاده از رمزنگاری.

فصل 10. آینده رمزنگاری:

• مفاهیم رمزنگاری پسا کوانتومی (Post-Quantum Cryptography).
• الگوریتم‌های رمزنگاری مقاوم در برابر محاسبات کوانتومی.

بخش 6. Network and Communications Security (امنیت شبکه و ارتباطات)

فصل 1. اصول و مفاهیم امنیت شبکه

• اهمیت امنیت شبکه در دنیای دیجیتال
• مدل OSI و امنیت در هر لایه
• اصول دفاع در عمق (Defense in Depth)
• شناسایی دارایی‌ها و نقاط ضعف شبکه

فصل 2. پروتکل‌ها و استانداردهای امنیتی

• پروتکل‌های رمزنگاری (TLS، SSL)
• پروتکل‌های امن انتقال داده (HTTPS، SFTP، IPSec)
• مدیریت امنیت در پروتکل‌های VPN
• تفاوت‌ها و کاربردهای IPv4 و IPv6 در امنیت شبکه

فصل 3. تهدیدات و حملات شبکه‌ای

• انواع حملات شبکه‌ای (DDoS، Man-in-the-Middle، Spoofing)
• شناسایی و پیشگیری از حملات شنود (Packet Sniffing)
• حملات مبتنی بر DNS و راهکارهای مقابله
• تکنیک‌های پیشرفته حمله (APT – Advanced Persistent Threats)

فصل 4. فایروال‌ها و سیستم‌های تشخیص نفوذ (IDS/IPS)

• انواع فایروال‌ها (Packet-Filtering، Stateful، Application Layer)
• پیاده‌سازی و تنظیم فایروال‌ها برای حفاظت از شبکه
• تفاوت بین IDS و IPS
• تنظیمات و پیکربندی IDS/IPS برای شناسایی تهدیدات

فصل 5. امنیت شبکه‌های بی‌سیم (Wireless Network Security)

• استانداردهای امنیتی شبکه‌های بی‌سیم (WPA3، WPA2، WEP)
• تهدیدات رایج در شبکه‌های بی‌سیم (Rogue Access Points، Evil Twin)
• پیاده‌سازی شبکه‌های بی‌سیم ایمن
• مدیریت دسترسی در شبکه‌های بی‌سیم

فصل 6. امنیت ارتباطات از راه دور (Telecommunications Security)

• اصول امنیت در ارتباطات VoIP
• مدیریت امنیت در شبکه‌های MPLS
• امنیت در شبکه‌های 4G، 5G و IoT
• پیاده‌سازی امنیت در ارتباطات ویدئویی و کنفرانس‌ها

فصل 7. ابزارها و فناوری‌های امنیتی

• ابزارهای مانیتورینگ و تحلیل شبکه (Wireshark، SolarWinds)
• نقش SIEM در امنیت شبکه
• رمزنگاری و امنیت در شبکه (PKI، VPN)
• ابزارهای تست نفوذ شبکه

فصل 8. مدیریت و مانیتورینگ شبکه

• تنظیمات Logging و Monitoring در شبکه
• مدیریت تغییرات در تجهیزات شبکه
• بررسی منظم ترافیک شبکه برای شناسایی تهدیدات
• استفاده از ابزارهای هوش مصنوعی در مانیتورینگ امنیت

فصل 9. بررسی امنیتی معماری‌های شبکه

• امنیت در شبکه‌های سنتی (LAN/WAN)
• پیاده‌سازی Zero Trust Architecture
• طراحی و پیاده‌سازی DMZ برای حفاظت از سرویس‌ها
• امنیت در محیط‌های شبکه ابری (Cloud Networking Security)

فصل 10. آموزش و بهترین شیوه‌ها در امنیت شبکه

• ارتقاء آگاهی امنیتی کاربران شبکه
• بهترین شیوه‌های مدیریت دسترسی کاربران به منابع شبکه
• نحوه شناسایی و گزارش تهدیدات امنیتی
• اصول بازیابی و حفظ شبکه پس از حوادث امنیتی

بخش 7. Systems and Application Security (امنیت سیستم‌ها و برنامه‌ها)

فصل 1. اصول طراحی و پیاده‌سازی سیستم‌های امن

• طراحی معماری سیستم‌های ایمن
• شناسایی الزامات امنیتی در سیستم‌ها
• مدل‌سازی تهدیدات در سیستم‌های کاربردی
• اصول امنیت لایه‌ای (Layered Security Principles)

فصل 2. مدیریت آسیب‌پذیری‌ها و به‌روزرسانی‌ها

• شناسایی آسیب‌پذیری‌ها با ابزارهای امنیتی (مانند اسکنرهای آسیب‌پذیری)
• روش‌های اصلاح و وصله‌گذاری سیستم‌ها
• ارزیابی منظم امنیت سیستم‌ها
• ایجاد و مدیریت پایگاه داده آسیب‌پذیری‌ها

فصل 3. حفاظت از برنامه‌های کاربردی و نرم‌افزارها

• استفاده از فریمورک‌ها و ابزارهای ایمن در توسعه نرم‌افزار
• بررسی امنیت در رابط‌های کاربری (UI/UX Security)
• جلوگیری از تزریق کد (Code Injection Prevention)
• محافظت در برابر حملات سمت کلاینت و سرور

فصل 4. پیاده‌سازی اصول امنیتی در چرخه عمر توسعه نرم‌افزار (SDLC)

• امنیت در طراحی و تحلیل نیازمندی‌ها
• توسعه نرم‌افزار با رعایت استانداردهای امنیتی
• تست نفوذپذیری و ارزیابی کد
• مدیریت انتشار نرم‌افزار و نظارت پس از تولید

فصل 5. شناسایی و مدیریت بدافزارها

• انواع بدافزارها (ویروس، کرم، باج‌افزار، جاسوس‌افزار)
• تکنیک‌های شناسایی بدافزارها (Signature-based و Behavior-based)
• روش‌های حذف و پاکسازی بدافزارها
• به‌کارگیری ابزارهای ضدبدافزار و مدیریت Endpoint Security

فصل 6. امنیت در سیستم‌عامل‌ها

• مدیریت تنظیمات امنیتی سیستم‌عامل‌ها (Hardening)
• نظارت بر تغییرات فایل‌ها و فرآیندها
• پیاده‌سازی و مدیریت سیستم‌های چندکاربره ایمن
• ایمن‌سازی حافظه و فرآیندهای سیستم

فصل 7. مدیریت دسترسی به سیستم‌ها

• استفاده از روش‌های امن ورود به سیستم (Single Sign-On، Multi-Factor Authentication)
• نظارت و مدیریت دسترسی کاربران به منابع
• ایجاد لاگ‌ها و ممیزی دسترسی کاربران
• مقابله با دسترسی غیرمجاز از طریق کنترل‌های امنیتی

فصل 8. امنیت در سیستم‌های ابری و مجازی‌سازی

• ایمن‌سازی محیط‌های مجازی و ماشین‌های مجازی
• مدیریت امنیت سرویس‌های ابری (Cloud Security)
• نظارت و مدیریت ترافیک در محیط‌های مجازی
• اجرای سیاست‌های جداسازی منابع در محیط‌های ابری

فصل 9. مدیریت داده‌ها در سیستم‌های کاربردی

• رمزنگاری داده‌ها در حین انتقال و ذخیره‌سازی
• سیاست‌های مدیریت داده‌های حساس
• حفاظت از حریم خصوصی در برنامه‌های کاربردی
• مدیریت چرخه عمر داده‌ها (Data Lifecycle Management)

فصل 10. پایش و نظارت بر امنیت سیستم‌ها و برنامه‌ها

• نظارت بر لاگ‌ها و رویدادهای امنیتی
• پیاده‌سازی سیستم‌های هشدار و تشخیص تهدیدات
• تحلیل رفتار کاربران و سیستم‌ها
• شناسایی الگوهای غیرمعمول در ترافیک و فعالیت‌ها

اهداف دوره

• آشنایی با اصول و استانداردهای امنیت سایبری.
• توسعه توانایی در مدیریت امنیت عملیاتی و اجرای سیاست‌های امنیتی.
• کسب دانش برای پیاده‌سازی و مدیریت سیستم‌های ایمن.
• آمادگی برای آزمون بین‌المللی SSCP و دریافت گواهینامه.

پیش‌نیازها

• حداقل یک سال تجربه کاری مرتبط در یکی از هفت دامنه SSCP (یا معادل آن).
• در صورت نداشتن تجربه، امکان دریافت Associate of (ISC)² پس از قبولی در آزمون وجود دارد.

این دوره به‌عنوان یکی از مراحل اولیه برای ورود به حوزه امنیت اطلاعات مناسب است و شرکت‌کنندگان را برای مسئولیت‌های مرتبط با امنیت سایبری آماده می‌کند.