• 企业培训
  • 团队领导力
  • 办公技能提升
  • 职业力提升
  • 更多培训咨询
  • 营销技巧
  • 关于PMP项目管理
  • PMP培训考试
  • 经典课程

    经典课程

    红黑演义之软件安全意识和安全验证技能提高课

    一、课程目标

    Ø  强化软件安全开发意识,提高安全认知水平。

    Ø  掌握软件安全开发的基本原则,将大部分的安全隐患通过认知提高而遏制。

    Ø  通过课程,让学员深刻了解应用软件安全开发与安全漏洞之间的因果关系。

    Ø  掌握安全开发基础知识和技能技巧,深入了解安全技术在软件开发中的应用。

    Ø  帮助开发人员掌握安全设计原则和技能,懂得应用系统安全开发技术规范。

    Ø  让学员形成结构化的信息安全知识体系,达到通过资料课后自主深化学习的能力。

    二、课程内容

    Ø  黑客猛于虎感知篇   

        深刻感知和深化了解黑客是如何攻击的,软件开发人员应该如何应对?

    Ø  红黑演义实战篇   

        重现黑客攻击过程,从对手角度深刻理解以往开发中有哪些致命漏洞,有哪些会给黑客带来突破口的地方?重现开展应用软件漏洞修补工作,通过沙盘案例分享,深度思考如何立体综合防御,软件设计、开发中有什么灵感?

    Ø  漏洞原理基础篇   

        本篇从形象生动的故事化加解密原理讲起,深入了解准运营商级别的安全如何设计,中间有哪些重要组成部分,它们之间是如何协同工作的,它们又怎么被黑客突破的?

    Ø  架构设计应用篇

        时间:本篇从国际、国内标准及运营商行业标准规范讲起,结合经典的运营商系统架构设计思路,通过学员提问方式,开展架构设计深度研讨。

    Ø  规范制定升华篇

    时间:本篇的目的是让学员能够从安全开发标准化角度思考问题,通过案例方式给现场学员分享,实现本次培训课程的升华。

    Ø  开发课程讲授内容的知识体系

        提供授课内容的知识体系,避免重复培训,方便开发人员查询,文图结合,提高知识吸收率,最大程度地将安全开发原则、安全原理和技术向开发人员普及。

    三、教学模式

    本课程提供一套“红黑演义攻防演练硬件平台”,通过现场版的“应用系统漏洞攻防场景”,对演练平台上的应用系统场景开展安全攻防测试实践,提高他们对各种隐患风险的识别和验证能力,课间让有条件的学员进行练习实践。

    通过“从工作中来,到工作去”的课程设计理念,从正反两方面再现攻防实战技术,正方即红方学员开展正面的应用系统开发与部署,重点讲解如何进行脆弱性识别,如何运用安全最佳实践对信息系统进行安全开发、安全加固;反面的是,黑方学员现场模拟黑客精密的犯罪过程,深入了解黑客入侵的思路和方法,快速提高安全开发和软件架构设计能力;红方学员再次充当应急响应技术人员,信息系统遭受到黑客入侵后,如何从应用系统的日志记录来发现黑客的行踪、入侵方式和攻击手段,研讨如何加强应用系统自身的安全认证、授权、审计功能。

    通过结合常见安全开发原则,对信息安全技术的深度讲解,深入剖析黑客攻击原理和攻击路线,切实提升学员对信息安全技术的跟踪能力、应对策略和反应能力;

     

        实践环境:应用系统安全开发与测试攻防演练硬件平台,课程中将配合大量实战案例,通过反复强调安全原则,不断刷新安全意识的认知深度。

     

    四、培训环境

    课程全程采用红方和黑客攻防对抗场景讲授与演练,攻防对抗场景为根据业界最新攻防动态而设计出来,授课老师采用专有的攻防服务器及防火墙,所有的服务器及防火墙统一部署在“红黑演义实战云端平台”上,提高授课效率,增加课程感受震撼力,呈现在信息系统上都有哪些安全原则一定要坚守,如何开展安全设计和编程。

    教师:分别模拟攻击者和企业安全人员,两类操作分别投影到屏幕上,让学员有临场感。

    五、课程内容

    主题

    内容

    案例、实操、分析与探讨

    第一天   国家形势和合规要求

    安全形势

    1、形势与《网络安全法》解读

    2、应用系统面临的政策合规挑战

    《网络安全法》普及

    《等级保护》2.0新变化

    基础知识普及

    大中型企业信息安全惨痛案例分析

    1、黑客产业链与企业挑战

    重点:认识漏洞后果,加强安全开发意识

    演示:信息安全真实场景再现

    分析:业界常见信息安全脆弱点

    探讨:业界经典防护方式探讨

    2、服务器被入侵演示与分析

    3、密码被窃场景演示与分析

    4、僵尸网络场景演示与分析

    论信息安全持久战

    门户业务系统被反复入侵故事技术情节分析

    重点:一步步黑客和防御方对抗技术环节

    演示:下棋般,双方对战到高手级

    分析:每一步如何防范,如何实现顶级防御

    第二天 黑客猛于虎感知篇 

    黑客破坏企业应用系统场景重现与企业防范实践

    安全开发与企业安全生成关系,强化理解软件漏洞在软件运行中的破坏威力,应该掌握基本的安全原则,一切从安全意识出发,从我做起。

    针对信息安全漏洞进行深入剖析,从软件开发的角度认识安全漏洞。

     

    重点:安全开发认知中我缺少了什么?我该做什么才能让软件安全起来?

    演练:网络攻击过程重现

    探讨:应用系统开发如何应对网络监听

    案例:应用系统客户端入侵案例重现与分析

    案例:应用系统传输安全入侵案例重现与分析

    案例:WEB与数据库安全入侵案例重现与分析

    案例:应用系统认证、授权、审计案例剖析

    案例:某单位应用系统架构安全分析与整改

    探讨:软件开发安全生命周期探讨

     

     

    1、网络安全重要环节回顾

    2、网络安全隐患原理动画

    3、企业开发安全中经常犯的错误分析

    4、开发安全中原则与职责

    5、企业软件和开发中遇到的安全问题分析

    6、运营商系统安全架构案例剖析

    7、企业中应用系统与数据库安全隐患分析

    8、企业中应用系统安全评估方法和流程

    9、WEB系统安全评估实践练习

    10、数据库安全漏洞利用及企业常见隐患分析

    第三天  攻防实战综合案例演练分享

    电子商务系统黑客破坏场景重现与企业防范过程重现

    业界常见漏洞分析OWASP TOP 10

    安全漏洞与安全认知关系,如何加深认知水平,简单有效防范漏洞的产生。

    1、输入验证——SQL注入入侵分析与防范实践重现

    演练:电子商务系统SQL注入与代码修补

    演练:电子商务系统SQL注入防御绕过攻击

    演练:利用XSS在后台增加管理员账户

    演练:利用XSS实现钓鱼攻击

    实操:电子商务系统XSS漏洞修补

    演练:电子商务LINUX系统权限提升

    演练:电子商务LINUX Rootkit安装与检测

    实操:操作系统入侵痕迹分析与加固

    实操:数据库查询漏洞利用及加固

    实操:日志服务器搭建与入侵现象分析

    2、输入验证——跨站入侵分析与防范实践重现

    3、输入验证——CSRF高级脚本入侵分析与防范实践重现

    4、输入验证——高级钓鱼入侵分析与防范实践重现

    5、日志系统搭建与入侵痕迹分析重现

    6、软件安全开发中输入验证、输出验证的重要地位总结

    第四天 邮件系统安全攻防实践案例

    邮件系统黑客破坏场景重现与企业防范实践

    1、“永远不要相信客户端”是个永恒的话题。

    深度理解永远不要相信客户端

    实操:邮件系统搭建与安全实践

    演练:邮件系统用户cookie盗取与防御

    演练:邮件系统用户密码钓鱼与防御

    演练:邮件系统安全规划与部署

    案例:《论网络持久战》场景讲解

    探讨:中高级黑客与管理员战争的路线

     

    2、邮件系统跨站获取登录信息入侵分析与防范实践

    3、邮件系统跨站获取帐号密码入侵分析与防御实践

    4、邮件系统WEB程序安全防御方案部署实践

    第五天 漏洞原理及安全开发、测试基础篇

    漏洞原理及安全开发基础篇

    漏洞原理汇总

    密码原理实践演示

    专题:PKI技术架构与SSO方案

    分享:应用系统密码技术应用实例

    专题:信息安全常见设备,如加密机、签名验签服务器、SSL加速器、终端加密设备

    n  工作中遇到的加解密原理及深度理解

    安全基本原则

    密码学原理知识:对称加密、非对称加密、哈希算法、CA、LDAP、CRL、、密钥管理

    密码学技术应用:常见弱加密、强加密,持续认证

    密钥管理体系与单双向SSL加密

    第六天 架构设计应用篇、规范制定升华篇

    架构设计

    应用篇

    安全基本原则在威胁面分析中的沙盘推演

    运用安全基本原则,讲解通过案例分享与提问方式的沙盘推演,在应用系统安全架构层面进行讲解,使参训人员能够掌握在不同场景下的安全方案制定。

    安全原则运用与安全建模沙盘推演

    架构设计沙盘推演

    规范运用

    升华篇

    安全基本原则与如何应用系统安全开发技术规范

    重点:升华到安全开发人员迫切需要运用企业自己的安全开发规范,深度认知安全开发基本原则,懂得安全开发基本原则的运用方式方法。

    研讨:应用系统安全开发生命周期隐患

    推演:应用系统各个环节安全规范要素

    案例:应用系统悲催的案例分析

    体系:安全开发知识体系介绍及学习建议

    升华:论信息安全持久战

    安全基本原则如何深入自己的开发习惯中?

    安全开发知识体系及深化学习建议

    论信息安全持久战

     

     

     

     

    在线咨询

    0591-87859000

    • 认证考试点击这里给我发消息  林老师
    • 企业内训点击这里给我发消息  王老师
    • 培训咨询点击这里给我发消息  沈老师