专题课程
【课程背景】
红黑演义之软件安全意识和安全验证技能提高课
一、课程目标
Ø 强化软件安全开发意识,提高安全认知水平。
Ø 掌握软件安全开发的基本原则,将大部分的安全隐患通过认知提高而遏制。
Ø 通过课程,让学员深刻了解应用软件安全开发与安全漏洞之间的因果关系。
Ø 掌握安全开发基础知识和技能技巧,深入了解安全技术在软件开发中的应用。
Ø 帮助开发人员掌握安全设计原则和技能,懂得应用系统安全开发技术规范。
Ø 让学员形成结构化的信息安全知识体系,达到通过资料课后自主深化学习的能力。
二、课程内容
Ø 黑客猛于虎感知篇
深刻感知和深化了解黑客是如何攻击的,软件开发人员应该如何应对?
Ø 红黑演义实战篇
重现黑客攻击过程,从对手角度深刻理解以往开发中有哪些致命漏洞,有哪些会给黑客带来突破口的地方?重现开展应用软件漏洞修补工作,通过沙盘案例分享,深度思考如何立体综合防御,软件设计、开发中有什么灵感?
Ø 漏洞原理基础篇
本篇从形象生动的故事化加解密原理讲起,深入了解准金融级别的安全如何设计,中间有哪些重要组成部分,它们之间是如何协同工作的,它们又怎么被黑客突破的?
Ø 架构设计应用篇
时间:本篇从国际、国内标准及金融行业标准规范讲起,结合经典的金融系统架构设计思路,通过学员提问方式,开展架构设计深度研讨。
Ø 规范制定升华篇
时间:本篇的目的是让学员能够从安全开发标准化角度思考问题,通过案例方式给现场学员分享,实现本次培训课程的升华。
Ø 开发课程讲授内容的知识体系
提供授课内容的知识体系,避免重复培训,方便开发人员查询,文图结合,提高知识吸收率,较大程度地将安全开发原则、安全原理和技术向开发人员普及。
三、教学模式
本课程提供一套“红黑演义攻防演练硬件平台”,通过现场版的“应用系统漏洞攻防场景”,对演练平台上的应用系统场景开展安全攻防测试实践,提高他们对各种隐患风险的识别和验证能力,课间让有条件的学员进行练习实践。
通过“从工作中来,到工作去”的课程设计理念,从正反两方面再现攻防实战技术,正方即红方学员开展正面的应用系统开发与部署,重点讲解如何进行脆弱性识别,如何运用安全典型实践对信息系统进行安全开发、安全加固;反面的是,黑方学员现场模拟黑客精密的犯罪过程,深入了解黑客入侵的思路和方法,快速提高安全开发和软件架构设计能力;红方学员再次充当应急响应技术人员,信息系统遭受到黑客入侵后,如何从应用系统的日志记录来发现黑客的行踪、入侵方式和攻击手段,研讨如何加强应用系统自身的安全认证、授权、审计功能。
通过结合常见安全开发原则,对信息安全技术的深度讲解,深入剖析黑客攻击原理和攻击路线,切实提升学员对信息安全技术的跟踪能力、应对策略和反应能力;
实践环境:应用系统安全开发与测试攻防演练硬件平台,课程中将配合大量实战案例,通过反复强调安全原则,不断刷新安全意识的认知深度。
课程内容
|
主题 |
内容 |
案例、实操、分析与探讨 |
||
|
第一天 黑客猛于虎感知篇 主讲人:张胜生 首席安全资深讲师/CISSP、CISP金牌讲师 |
||||
|
大中型企业信息安全惨痛案例分析 |
1、黑客产业链与企业挑战 |
n 重点:认识漏洞后果,加强安全开发意识 n 演示:信息安全真实场景再现 n 分析:业界常见信息安全脆弱点 n 探讨:业界典型防护方式探讨 |
||
|
2、服务器被入侵演示与分析 |
||||
|
3、密码被窃场景演示与分析 |
||||
|
4、僵尸网络场景演示与分析 |
||||
|
黑客破坏企业应用系统场景重现与企业防范实践 |
安全开发与企业安全生成关系,强化理解软件漏洞在软件运行中的破坏威力,应该掌握基本的安全原则,一切从安全意识出发,从我做起。 |
针对信息安全漏洞进行深入剖析,从软件开发的角度认识安全漏洞。
n 重点:安全开发认知中我缺少了什么?我该做什么才能让软件安全起来? n 演练:网络攻击过程重现 n 探讨:应用系统开发如何应对网络监听 n 案例:应用系统客户端入侵案例重现与分析 n 案例:应用系统传输安全入侵案例重现与分析 n 案例:WEB与数据库安全入侵案例重现与分析 n 案例:应用系统认证、授权、审计案例剖析 n 案例:某单位应用系统架构安全分析与整改 n 探讨:软件开发安全生命周期探讨
|
||
|
1、网络安全重要环节回顾 |
||||
|
2、网络安全隐患原理动画 |
||||
|
3、企业开发安全中经常犯的错误分析 |
||||
|
4、开发安全中原则与职责 |
||||
|
5、企业软件和开发中遇到的安全问题分析 |
||||
|
6、金融系统安全架构案例剖析 |
||||
|
7、企业中应用系统与数据库安全隐患分析 |
||||
|
8、企业中应用系统安全评估方法和流程 |
||||
|
9、WEB系统安全评估实践练习 |
||||
|
10、数据库安全漏洞利用及企业常见隐患分析 |
||||
|
第二天、第三天 攻防实战综合案例演练分享 主讲人:张胜生 首席安全资深讲师/CISSP、CISP金牌讲师 |
||||
|
电子商务系统黑客破坏场景重现与企业防范过程重现 |
业界常见漏洞分析OWASP TOP 10 |
n 安全漏洞与安全认知关系,如何加深认知水平,简单有效防范漏洞的产生。 |
||
|
1、输入验证——SQL注入入侵分析与防范实践重现 |
n 演练:电子商务系统SQL注入与代码修补 n 演练:电子商务系统SQL注入防御绕过攻击 n 演练:利用XSS在后台增加管理员账户 n 演练:利用XSS实现钓鱼攻击 n 实操:电子商务系统XSS漏洞修补 n 演练:电子商务LINUX系统权限提升 n 演练:电子商务LINUX Rootkit安装与检测 n 实操:操作系统入侵痕迹分析与加固 n 实操:数据库查询漏洞利用及加固 n 实操:日志服务器搭建与入侵现象分析 |
|||
|
2、输入验证——跨站入侵分析与防范实践重现 |
||||
|
3、输入验证——CSRF高级脚本入侵分析与防范实践重现 |
||||
|
4、输入验证——高级钓鱼入侵分析与防范实践重现 |
||||
|
5、日志系统搭建与入侵痕迹分析重现 |
||||
|
6、软件安全开发中输入验证、输出验证的重要地位总结 |
||||
|
邮件系统黑客破坏场景重现与企业防范实践 |
1、“永远不要相信客户端”是个永恒的话题。 |
深度理解永远不要相信客户端 n 实操:邮件系统搭建与安全实践 n 演练:邮件系统用户cookie盗取与防御 n 演练:邮件系统用户密码钓鱼与防御 n 演练:邮件系统安全规划与部署 n 案例:《论网络持久战》场景讲解 n 探讨:中高级黑客与管理员战争的路线
|
||
|
2、邮件系统跨站获取登录信息入侵分析与防范实践 |
||||
|
3、邮件系统跨站获取帐号密码入侵分析与防御实践 |
||||
|
4、邮件系统WEB程序安全防御方案部署实践 |
||||
|
第四天 漏洞原理及安全开发、测试基础篇 主讲人:张胜生 首席安全资深讲师/CISSP、CISP金牌讲师 |
||||
|
漏洞原理及安全开发基础篇 |
漏洞原理汇总 |
n 密码原理实践演示 n 专题:PKI技术架构与SSO方案 n 分享:应用系统密码技术应用实例 n 专题:信息安全常见设备,如加密机、签名验签服务器、SSL加速器、终端加密设备 n 工作中遇到的加解密原理及深度理解 |
||
|
安全基本原则 |
||||
|
密码学原理知识:对称加密、非对称加密、哈希算法、CA、LDAP、CRL、、密钥管理 |
||||
|
密码学技术应用:常见弱加密、强加密,持续认证 |
||||
|
密钥管理体系与单双向SSL加密 |
||||
|
第五天 架构设计应用篇、规范制定升华篇 主讲人:张胜生 首席安全资深讲师/CISSP、CISP金牌讲师 |
||||
|
架构设计 应用篇 |
安全基本原则在威胁面分析中的沙盘推演 |
运用安全基本原则,讲解通过案例分享与提问方式的沙盘推演,在应用系统安全架构层面进行讲解,使参训人员能够掌握在不同场景下的安全方案制定。 |
||
|
安全原则运用与安全建模沙盘推演 |
||||
|
架构设计沙盘推演 |
||||
|
规范运用 升华篇 |
安全基本原则与如何应用系统安全开发技术规范 |
重点:升华到安全开发人员迫切需要运用企业自己的安全开发规范,深度认知安全开发基本原则,懂得安全开发基本原则的运用方式方法。 研讨:应用系统安全开发生命周期隐患 推演:应用系统各个环节安全规范要素 案例:应用系统悲催的案例分析 体系:安全开发知识体系介绍及学习建议 升华:论信息安全持久战 |
||
|
安全基本原则如何深入自己的开发习惯中? |
||||
|
安全开发知识体系及深化学习建议 |
||||
|
论信息安全持久战 |
||||
- 上一篇:网络安全管理高级培训项目
- 下一篇:红黑演义之电商网站安全测试技能与沙盘实践演练
