软件安全意识加强与技能提高课

课程目标

课程内容

课时

• 通过案例分析讲解信息安全的重要性

• 掌握黑客破坏企业应用系统防御实践

• 掌握电子商务系统黑客破坏防御实践

• 掌握邮件系统黑客破坏防御实践

• 掌握漏洞原理及安全开发基础

• 运用安全基本原则，讲解通过案例分享与提问方式的沙盘推演，在应用系统安全架构层面进行讲解，使参训人员能够掌握在不同场景下的安全方案制定

大中型企业信息安全惨痛案例分析

1、黑客产业链与企业挑战

6小时

2、服务器被入侵演示与分析

3、密码被窃场景演示与分析

4、僵尸网络场景演示与分析

演示：信息安全真实场景再现

分析：业界常见信息安全脆弱点

探讨：业界典型防护方式探讨

黑客破坏企业应用系统场景重现与企业防范实践

网络安全重要环节回顾

网络安全隐患原理动画

企业开发安全中经常犯的错误分析

开发安全中原则与职责

企业软件和开发中遇到的安全问题分析

金融系统安全架构案例剖析

适用对象

企业中应用系统与数据库安全隐患分析

6小时

企业CIO、CSO、CTO、项目经理及技术骨干

企业中应用系统安全评估方法和流程

WEB系统安全评估实践练习

演练：网络攻击过程重现

探讨：应用系统开发如何应对网络监听

案例：应用系统客户端入侵案例重现与分析

案例：应用系统传输安全入侵案例重现与分析

案例：WEB与数据库安全入侵案例重现与分析

案例：应用系统认证、授权、审计案例剖析

案例：某单位应用系统架构安全分析与整改

探讨：软件开发安全生命周期探讨

电子商务系统黑客破坏场景重现与企业防范过程重现

输入验证——SQL注入入侵分析与防范实践重现

输入验证——跨站入侵分析与防范实践重现

输入验证——CSRF高级脚本入侵分析与防范实践重现

输入验证——高级钓鱼入侵分析与防范实践重现

日志系统搭建与入侵痕迹分析重现

软件安全开发中输入验证、输出验证的重要地位总结

演练：电子商务系统SQL注入与代码修补

演练：电子商务系统SQL注入防御绕过攻击

演练：利用XSS在后台增加管理员账户

演练：利用XSS实现钓鱼攻击

实操：电子商务系统XSS漏洞修补

演练：电子商务LINUX系统权限提升

演练：电子商务LINUX Rootkit安装与检测

实操：操作系统入侵痕迹分析与加固

实操：数据库查询漏洞利用及加固

实操：日志服务器搭建与入侵现象分析

邮件系统黑客破坏场景重现与企业防范实践

“永远不要相信客户端”是个永恒的话题。

实操：邮件系统搭建与安全实践

演练：邮件系统用户cookie盗取与防御

演练：邮件系统用户密码钓鱼与防御

演练：邮件系统安全规划与部署

案例：《论网络持久战》场景讲解

探讨：中高级黑客与管理员战争的路线

6小时

邮件系统跨站获取登录信息入侵分析与防范实践

邮件系统跨站获取账号密码入侵分析与防御实践

邮件系统WEB程序安全防御方案部署实践

漏洞原理及安全开发基础篇

漏洞原理汇总

安全基本原则

密码学原理知识：对称加密、非对称加密、哈希算法、CA、LDAP、CRL、、密钥管理

密码原理实践演示

专题：PKI技术架构与SSO方案

分享：应用系统密码技术应用实例

专题：信息安全常见设备，如加密机、签名验签服务器、SSL加速器、终端加密设备

工作中遇到的加解密原理及深度理解

课时合计

18小时