课程收益
p 熟悉软件安全系统设计(安全SE)的最佳实践
p 系统掌握业界领先软件安全漏洞知识
p 熟悉常见针对WEB应用攻击的十大手段
p 软件安全测试与渗透测试方法方法论
p 软件安全设计的CHECKLIST
p 跨站点攻击测试要点
p 业界标杆企业(微软、华为)安全SE的角色和职责
讲师介绍
黎老师,共创力资深顾问,哈工大通信工程学士,软件安全设计专家,在云计算、信息安全,隐私安全保护方面有丰富的经验,有绿盟、微软和华为安全SE的工作经历,是软件网络安全设计的专家。
参加对象
研发副总、总工/系统工程师、安全SE、项目经理、研发骨干、测试工程师等。
课程大纲(简化版)
1、网络攻击面面观:(2H)
1.1什么是网络安全?
1.2七个纬度面展示和介绍黑客攻防,增加安全意识,了解常见攻击手法。
1.3网络安全能力中心知识全景图
1.4 网络安全架构设计的要求来源
1.5移动应用安全开发规范
1.6华为产品网络安全红线及解读
1.7 Web应用安全checklist
1.8 常见网络攻击方法及防御措施
2、加解密算法及建议:(3H)
2.1密码学应用基础
2.2密钥管理安全规范
2.3密码算法应用规范
2.4信息安全基石,能解决很多问题,实用的知识和方法介绍,为后面的设计打下基础
2.5华安解密之DDoS攻防
2.6网络安全漏洞典型案例:AES密钥硬编码漏洞
2.7网络安全漏洞典型案例:--WIFI设备WPS_PIN码线下暴力破解漏洞
2.8网络安全漏洞典型案例:--密码暴力破解漏洞案例
2.9网络安全漏洞典型案例:RST_PWD不遵循密码策略漏洞案例
3、访问控制和认证鉴权:(2H)
3.1常见的,多重的访问控制知识介绍,认证,授权和审计的基础知识,为后面的设计打下基础。
3.2 访问控制和认证鉴权的原理
3.3机机接口无认证问题排查指导书
3.4网络安全漏洞典型案例:认证模块漏洞
3.5网络安全漏洞典型案例:华为服务器产品HMM软件的IPMICommand命令中的越权漏洞
3.6网络安全漏洞典型案例:跨站伪造请求漏洞案例
3.7网络安全漏洞典型案例:权限控制漏洞案例
3.8网络安全漏洞典型案例:强制下线功能权限管理漏洞案例_
3.9网络安全漏洞典型案例:网页登陆鉴权漏洞案例
3.10典型的认证场景判例集
4、软件安全开发及过程:(2H)
4.1IPD流程下安全SE的活动:概念阶段分析安全策略
4.2IPD流程下安全SE的活动:计划阶段进行安全设计
4.3华为安全性架构设计方法示意图
4.4TR1: 安全性需求分析说明书评审
4.5TR2:系统架构设计说明书
4.6TR3: xx产品安全测试方案
4.7代码安全Review
4.8 TR5: 产品安全测试报告
4.9各种编程语言的编码规范(C++、JAVA、PHP、LINUX等)
5、威胁建模与安全设计:(3H)
5.1 STRIDE介绍,实践,安全需求和安全设计,开发测试
5.2STRIDE威胁建模——方法及流程
5.3STRIDE威胁建模——知识库介绍及使用
5.4中软安全测试场景库
5.5中软安全攻击模式库
5.6威胁建模基础
6、隐私保护及数据治理:(2H)
6.1隐私概念,数据生命周期,保护思想,数据治理及实用的红线基线。
6.2 什么是用户隐私?
6.3 OWASP_TOP10威胁和对策
6.4命令注入全景图
6.5企业如何保护用户隐私?
6.6企业如何保护数据安全?
深圳市共创力介绍:
深圳市共创力咨询是一家专注于研发管理领域研究、研发IT规划与实施、培训与咨询的服务机构,是国内最专业的产品研发管理咨询培训机构之一,我们为企业提供产品研发培训与咨询整体解决方案。我们将产品研发管理和IT紧密联系,在国内咨询培训业属于第一家。“管理离不开流程,流程的固化离不开IT(共创力咨询观点)”,我们融合国际先进的产品研发管理理念、方法和多年中国本土企业的实践经验,协助企业建立高效的产品研发管理体系和IT平台,推动企业持续创新和发展能力的提升,系统电话:0755-26905154/13631534010 易翠红。