主題

內(nèi)容

案例、實操、分析與探討

第一天  黑客猛于虎感知篇  主講人：張勝生 首席安全資深講師/CISSP、CISP金牌講師

大中型企業(yè)信息安全慘痛案例分析

1、黑客產(chǎn)業(yè)鏈與企業(yè)挑戰(zhàn)

n  重點：認識漏洞后果，加強安全開發(fā)意識

n  演示：信息安全真實場景再現(xiàn)

n  分析：業(yè)界常見信息安全脆弱點

n  探討：業(yè)界典型防護方式探討

2、服務器被入侵演示與分析

3、密碼被竊場景演示與分析

4、僵尸網(wǎng)絡場景演示與分析

黑客破壞企業(yè)應用系統(tǒng)場景重現(xiàn)與企業(yè)防范實踐

安全開發(fā)與企業(yè)安全生成關系，強化理解軟件漏洞在軟件運行中的破壞威力，應該掌握基本的安全原則，一切從安全意識出發(fā)，從我做起。

針對信息安全漏洞進行深入剖析，從軟件開發(fā)的角度認識安全漏洞。

n  重點：安全開發(fā)認知中我缺少了什么？我該做什么才能讓軟件安全起來？

n  演練：網(wǎng)絡攻擊過程重現(xiàn)

n  探討：應用系統(tǒng)開發(fā)如何應對網(wǎng)絡監(jiān)聽

n  案例：應用系統(tǒng)客戶端入侵案例重現(xiàn)與分析

n  案例：應用系統(tǒng)傳輸安全入侵案例重現(xiàn)與分析

n  案例：WEB與數(shù)據(jù)庫安全入侵案例重現(xiàn)與分析

n  案例：應用系統(tǒng)認證、授權、審計案例剖析

n  案例：某單位應用系統(tǒng)架構安全分析與整改

n  探討：軟件開發(fā)安全生命周期探討

1、網(wǎng)絡安全重要環(huán)節(jié)回顧

2、網(wǎng)絡安全隱患原理動畫

3、企業(yè)開發(fā)安全中經(jīng)常犯的錯誤分析

4、開發(fā)安全中原則與職責

5、企業(yè)軟件和開發(fā)中遇到的安全問題分析

6、金融系統(tǒng)安全架構案例剖析

7、企業(yè)中應用系統(tǒng)與數(shù)據(jù)庫安全隱患分析

8、企業(yè)中應用系統(tǒng)安全評估方法和流程

9、WEB系統(tǒng)安全評估實踐練習

10、數(shù)據(jù)庫安全漏洞利用及企業(yè)常見隱患分析

第二天、第三天  攻防實戰(zhàn)綜合案例演練分享

 主講人：張勝生 首席安全資深講師/CISSP、CISP金牌講師

電子商務系統(tǒng)黑客破壞場景重現(xiàn)與企業(yè)防范過程重現(xiàn)

業(yè)界常見漏洞分析OWASP TOP 10

n  安全漏洞與安全認知關系，如何加深認知水平，簡單有效防范漏洞的產(chǎn)生。

1、輸入驗證——SQL注入入侵分析與防范實踐重現(xiàn)

n  演練：電子商務系統(tǒng)SQL注入與代碼修補

n  演練：電子商務系統(tǒng)SQL注入防御繞過攻擊

n  演練：利用XSS在后臺增加管理員賬戶

n  演練：利用XSS實現(xiàn)釣魚攻擊

n  實操：電子商務系統(tǒng)XSS漏洞修補

n  演練：電子商務LINUX系統(tǒng)權限提升

n  演練：電子商務LINUX Rootkit安裝與檢測

n  實操：操作系統(tǒng)入侵痕跡分析與加固

n  實操：數(shù)據(jù)庫查詢漏洞利用及加固

n  實操：日志服務器搭建與入侵現(xiàn)象分析

2、輸入驗證——跨站入侵分析與防范實踐重現(xiàn)

3、輸入驗證——CSRF高級腳本入侵分析與防范實踐重現(xiàn)

4、輸入驗證——高級釣魚入侵分析與防范實踐重現(xiàn)

5、日志系統(tǒng)搭建與入侵痕跡分析重現(xiàn)

6、軟件安全開發(fā)中輸入驗證、輸出驗證的重要地位總結

郵件系統(tǒng)黑客破壞場景重現(xiàn)與企業(yè)防范實踐

1、“永遠不要相信客戶端”是個永恒的話題。

深度理解永遠不要相信客戶端

n  實操：郵件系統(tǒng)搭建與安全實踐

n  演練：郵件系統(tǒng)用戶cookie盜取與防御

n  演練：郵件系統(tǒng)用戶密碼釣魚與防御

n  演練：郵件系統(tǒng)安全規(guī)劃與部署

n  案例：《論網(wǎng)絡持久戰(zhàn)》場景講解

n  探討：中高級黑客與管理員戰(zhàn)爭的路線

2、郵件系統(tǒng)跨站獲取登錄信息入侵分析與防范實踐

3、郵件系統(tǒng)跨站獲取帳號密碼入侵分析與防御實踐

4、郵件系統(tǒng)WEB程序安全防御方案部署實踐

第四天 漏洞原理及安全開發(fā)、測試基礎篇

 主講人：張勝生 首席安全資深講師/CISSP、CISP金牌講師

漏洞原理及安全開發(fā)基礎篇

漏洞原理匯總

n  密碼原理實踐演示

n  專題：PKI技術架構與SSO方案

n  分享：應用系統(tǒng)密碼技術應用實例

n  專題：信息安全常見設備，如加密機、簽名驗簽服務器、SSL加速器、終端加密設備

n  工作中遇到的加解密原理及深度理解

安全基本原則

密碼學原理知識：對稱加密、非對稱加密、哈希算法、CA、LDAP、CRL、、密鑰管理

密碼學技術應用：常見弱加密、強加密，持續(xù)認證

密鑰管理體系與單雙向SSL加密

第五天 架構設計應用篇、規(guī)范制定升華篇

主講人：張勝生 首席安全資深講師/CISSP、CISP金牌講師

架構設計

應用篇

安全基本原則在威脅面分析中的沙盤推演

運用安全基本原則，講解通過案例分享與提問方式的沙盤推演，在應用系統(tǒng)安全架構層面進行講解，使參訓人員能夠掌握在不同場景下的安全方案制定。

安全原則運用與安全建模沙盤推演

架構設計沙盤推演

規(guī)范運用

升華篇

安全基本原則與如何應用系統(tǒng)安全開發(fā)技術規(guī)范

重點：升華到安全開發(fā)人員迫切需要運用企業(yè)自己的安全開發(fā)規(guī)范，深度認知安全開發(fā)基本原則，懂得安全開發(fā)基本原則的運用方式方法。

研討：應用系統(tǒng)安全開發(fā)生命周期隱患

推演：應用系統(tǒng)各個環(huán)節(jié)安全規(guī)范要素

案例：應用系統(tǒng)悲催的案例分析

體系：安全開發(fā)知識體系介紹及學習建議

升華：論信息安全持久戰(zhàn)

安全基本原則如何深入自己的開發(fā)習慣中？

安全開發(fā)知識體系及深化學習建議

論信息安全持久戰(zhàn)