《軟件安全與威脅》5天－老師

軟件安全與威脅
課程背景
近年來(lái)，我國(guó)互聯(lián)網(wǎng)蓬勃發(fā)展，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)應(yīng)用水平不斷提高，成為推動(dòng)經(jīng)濟(jì)發(fā)展和社會(huì)進(jìn)步的巨大力量。與此同時(shí)，網(wǎng)絡(luò)和業(yè)務(wù)發(fā)展過(guò)程中也出現(xiàn)了許多新情況、新問(wèn)題、新挑戰(zhàn)，尤其是當(dāng)前網(wǎng)絡(luò)安全問(wèn)題頻發(fā)、網(wǎng)絡(luò)安全立法系統(tǒng)性不強(qiáng)、及時(shí)性不夠和立法規(guī)格不高，物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等新技術(shù)新應(yīng)用、數(shù)據(jù)和用戶信息泄露等的網(wǎng)絡(luò)安全問(wèn)題日益突出。未來(lái)，我國(guó)將不斷加強(qiáng)網(wǎng)絡(luò)安全依法管理、科學(xué)管理，更加重視新技術(shù)新應(yīng)用安全問(wèn)題，促進(jìn)移動(dòng)互聯(lián)網(wǎng)應(yīng)用生態(tài)環(huán)境優(yōu)化，加速構(gòu)建網(wǎng)絡(luò)安全保障體系，推動(dòng)網(wǎng)絡(luò)安全相關(guān)技術(shù)和產(chǎn)業(yè)快速發(fā)展。
本課程通過(guò)教師講解、案例分析、小組討論、互動(dòng)等授課方式，給學(xué)員系統(tǒng)的講解軟件安全知識(shí)，帶來(lái)全面的認(rèn)識(shí)和思考，讓軟件安全技術(shù)的學(xué)習(xí)變得妙趣橫生。整個(gè)課程主要先讓大家認(rèn)識(shí)什么是信息和信息安全，再由網(wǎng)絡(luò)攻擊現(xiàn)狀過(guò)渡到現(xiàn)實(shí)生活中企業(yè)如何在系統(tǒng)開(kāi)發(fā)階段就加入安全要素，使學(xué)員深刻理解軟件安全的現(xiàn)實(shí)運(yùn)用。
課程將通過(guò)大量的案例分析，介紹國(guó)內(nèi)外對(duì)于軟件安全這門技術(shù)的應(yīng)用和深入情況，使學(xué)員在理解了軟件安全這一概念后思維能夠從理論性的闡述中逐漸聯(lián)系實(shí)際應(yīng)用，以此全面了解網(wǎng)絡(luò)安全，使之貼合，做到理論和實(shí)際能緊密聯(lián)系，有效運(yùn)用。
課程特點(diǎn)
授課形式：理論講解+案例分析+小組討論+互動(dòng)答疑
突出理論特點(diǎn)，注重知識(shí)理解、案例分析與小組討論，其中理論講解60%，案例分析30%，討論10%。
課程收益
詳細(xì)了解信息安全、網(wǎng)絡(luò)安全的概念和體系。
詳細(xì)了解軟件安全威脅。
詳細(xì)了解軟件威脅建模。
詳細(xì)了解安全需求分析。
具備從網(wǎng)絡(luò)空間安全視角看待行業(yè)未來(lái)的發(fā)展的能力，理解網(wǎng)絡(luò)空間安全在行業(yè)運(yùn)用中的關(guān)鍵。
課程模式
中文教學(xué)、面授
理論講解
案例分析
互動(dòng)式答疑
受眾對(duì)象
項(xiàng)目經(jīng)理、開(kāi)發(fā)人員
管理支持組織中復(fù)雜工作、重要工作的人員
希望提升自身職業(yè)能力的人員、其他對(duì)軟件安全感興趣的人員
時(shí)間安排
總學(xué)習(xí)時(shí)間為5天
授課教師
蘆效峰，北京郵電大學(xué)軟件安全中心副主任，
網(wǎng)絡(luò)空間安全學(xué)院副教授，碩士生導(dǎo)師
EXIN認(rèn)證云計(jì)算專家，
微軟認(rèn)證專家，
CCNA講師
課程內(nèi)容
軟件安全與威脅
第一階段 軟件安全意識(shí) 1天
信息安全基礎(chǔ)與保障
時(shí)長(zhǎng)3小時(shí)
信息安全背景與原理
典型信息系統(tǒng)安全模型與框架
信息安全保障工作概況
信息安全保障工作基本內(nèi)容
軟件安全基礎(chǔ)
時(shí)長(zhǎng)3小時(shí)
軟件安全
軟件安全現(xiàn)狀
軟件安全概念
軟件安全的屬性
軟件漏洞
軟件漏洞對(duì)系統(tǒng)的危害
軟件漏洞產(chǎn)生的原因
改善軟件的安全屬性
軟件安全開(kāi)發(fā)生命周期
第二階段 安全模式進(jìn)階 1天
網(wǎng)絡(luò)安全技術(shù)
本節(jié)要點(diǎn)：網(wǎng)絡(luò)攻擊防御的方法，時(shí)長(zhǎng)3小時(shí)
防火墻
防火墻概述
防火墻技術(shù)
防火墻的體系結(jié)構(gòu)
入侵檢測(cè)技術(shù)
入侵檢測(cè)系統(tǒng)概述
入侵檢測(cè)系統(tǒng)的分類及技術(shù)
入侵檢測(cè)系統(tǒng)的實(shí)施
VPN
概念
功能
隧道技術(shù)
VPN類型
網(wǎng)絡(luò)層VPN：IPsec
應(yīng)用層VPN：SSL
密碼學(xué)基礎(chǔ)和訪問(wèn)控制
本節(jié)要點(diǎn)：介紹密碼學(xué)知識(shí)和訪問(wèn)控制，時(shí)長(zhǎng)3小時(shí)
密碼學(xué)
對(duì)稱加密
非對(duì)稱加密
密碼的管理和分配
數(shù)字證書
數(shù)字簽名
訪問(wèn)控制
訪問(wèn)控制模型
訪問(wèn)控制技術(shù)
第三階段 安全威脅進(jìn)階 1天
安全威脅
時(shí)長(zhǎng)3小時(shí)
STRIDE威脅模型
假冒
篡改
否認(rèn)
信息泄露
拒絕服務(wù)
權(quán)限提升
Web安全威脅
SQL注入
輸入確認(rèn)
XSS
跨站請(qǐng)求偽造
緩沖區(qū)溢出
惡意軟件
病毒
木馬
蠕蟲
僵尸
威脅建模
時(shí)長(zhǎng)3小時(shí)
威脅建模
系統(tǒng)的威脅建模方法
軟件模型
發(fā)現(xiàn)威脅
攻擊樹(shù)
STRIDE變種
第四階段 安全軟件設(shè)計(jì) 1天
安全軟件開(kāi)發(fā)模型
本節(jié)要點(diǎn)：一般軟件開(kāi)發(fā)模型和微軟SDL，時(shí)長(zhǎng)3小時(shí)
軟件開(kāi)發(fā)模型
軟件開(kāi)發(fā)模型
瀑布模型
原型模型
增量模型
敏捷模型
微軟安全開(kāi)發(fā)模型SDL
安全設(shè)計(jì)與威脅防御
本節(jié)要點(diǎn)：介紹軟件安全設(shè)計(jì)指導(dǎo)原則，時(shí)長(zhǎng)3小時(shí)
軟件安全指導(dǎo)原則
縱深防御
最小權(quán)限
多因素
隱私保護(hù)
軟件架構(gòu)安全
威脅防御
減緩?fù){
解決威脅的策略
驗(yàn)證威脅是否解決
第五階段 安全軟件開(kāi)發(fā) 1天
安全開(kāi)發(fā)與自我保護(hù)
本節(jié)要點(diǎn)：介紹軟件安全測(cè)試知識(shí)和保護(hù)知識(shí)，時(shí)長(zhǎng)3小時(shí)
軟件安全開(kāi)發(fā)
軟件安全編碼
軟件安全測(cè)試
客戶端安全
靜態(tài)分析對(duì)抗
動(dòng)態(tài)分析對(duì)抗
總結(jié)與技術(shù)交流

蘆效峰老師的其它課程