《軟件安全與威脅》5天－老師

軟件安全與威脅
課程背景
近年來，我國互聯(lián)網(wǎng)蓬勃發(fā)展，網(wǎng)絡(luò)規(guī)模不斷擴大，網(wǎng)絡(luò)應(yīng)用水平不斷提高，成為推動經(jīng)濟發(fā)展和社會進步的巨大力量。與此同時，網(wǎng)絡(luò)和業(yè)務(wù)發(fā)展過程中也出現(xiàn)了許多新情況、新問題、新挑戰(zhàn)，尤其是當(dāng)前網(wǎng)絡(luò)安全問題頻發(fā)、網(wǎng)絡(luò)安全立法系統(tǒng)性不強、及時性不夠和立法規(guī)格不高，物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等新技術(shù)新應(yīng)用、數(shù)據(jù)和用戶信息泄露等的網(wǎng)絡(luò)安全問題日益突出。未來，我國將不斷加強網(wǎng)絡(luò)安全依法管理、科學(xué)管理，更加重視新技術(shù)新應(yīng)用安全問題，促進移動互聯(lián)網(wǎng)應(yīng)用生態(tài)環(huán)境優(yōu)化，加速構(gòu)建網(wǎng)絡(luò)安全保障體系，推動網(wǎng)絡(luò)安全相關(guān)技術(shù)和產(chǎn)業(yè)快速發(fā)展。
本課程通過教師講解、案例分析、小組討論、互動等授課方式，給學(xué)員系統(tǒng)的講解軟件安全知識，帶來全面的認(rèn)識和思考，讓軟件安全技術(shù)的學(xué)習(xí)變得妙趣橫生。整個課程主要先讓大家認(rèn)識什么是信息和信息安全，再由網(wǎng)絡(luò)攻擊現(xiàn)狀過渡到現(xiàn)實生活中企業(yè)如何在系統(tǒng)開發(fā)階段就加入安全要素，使學(xué)員深刻理解軟件安全的現(xiàn)實運用。
課程將通過大量的案例分析，介紹國內(nèi)外對于軟件安全這門技術(shù)的應(yīng)用和深入情況，使學(xué)員在理解了軟件安全這一概念后思維能夠從理論性的闡述中逐漸聯(lián)系實際應(yīng)用，以此全面了解網(wǎng)絡(luò)安全，使之貼合，做到理論和實際能緊密聯(lián)系，有效運用。
課程特點
授課形式：理論講解+案例分析+小組討論+互動答疑
突出理論特點，注重知識理解、案例分析與小組討論，其中理論講解60%，案例分析30%，討論10%。
課程收益
詳細(xì)了解信息安全、網(wǎng)絡(luò)安全的概念和體系。
詳細(xì)了解軟件安全威脅。
詳細(xì)了解軟件威脅建模。
詳細(xì)了解安全需求分析。
具備從網(wǎng)絡(luò)空間安全視角看待行業(yè)未來的發(fā)展的能力，理解網(wǎng)絡(luò)空間安全在行業(yè)運用中的關(guān)鍵。
課程模式
中文教學(xué)、面授
理論講解
案例分析
互動式答疑
受眾對象
項目經(jīng)理、開發(fā)人員
管理支持組織中復(fù)雜工作、重要工作的人員
希望提升自身職業(yè)能力的人員、其他對軟件安全感興趣的人員
時間安排
總學(xué)習(xí)時間為5天
授課教師
蘆效峰，北京郵電大學(xué)軟件安全中心副主任，
網(wǎng)絡(luò)空間安全學(xué)院副教授，碩士生導(dǎo)師
EXIN認(rèn)證云計算專家，
微軟認(rèn)證專家，
CCNA講師
課程內(nèi)容
軟件安全與威脅
第一階段 軟件安全意識 1天
信息安全基礎(chǔ)與保障
時長3小時
信息安全背景與原理
典型信息系統(tǒng)安全模型與框架
信息安全保障工作概況
信息安全保障工作基本內(nèi)容
軟件安全基礎(chǔ)
時長3小時
軟件安全
軟件安全現(xiàn)狀
軟件安全概念
軟件安全的屬性
軟件漏洞
軟件漏洞對系統(tǒng)的危害
軟件漏洞產(chǎn)生的原因
改善軟件的安全屬性
軟件安全開發(fā)生命周期
第二階段 安全模式進階 1天
網(wǎng)絡(luò)安全技術(shù)
本節(jié)要點：網(wǎng)絡(luò)攻擊防御的方法，時長3小時
防火墻
防火墻概述
防火墻技術(shù)
防火墻的體系結(jié)構(gòu)
入侵檢測技術(shù)
入侵檢測系統(tǒng)概述
入侵檢測系統(tǒng)的分類及技術(shù)
入侵檢測系統(tǒng)的實施
VPN
概念
功能
隧道技術(shù)
VPN類型
網(wǎng)絡(luò)層VPN：IPsec
應(yīng)用層VPN：SSL
密碼學(xué)基礎(chǔ)和訪問控制
本節(jié)要點：介紹密碼學(xué)知識和訪問控制，時長3小時
密碼學(xué)
對稱加密
非對稱加密
密碼的管理和分配
數(shù)字證書
數(shù)字簽名
訪問控制
訪問控制模型
訪問控制技術(shù)
第三階段 安全威脅進階 1天
安全威脅
時長3小時
STRIDE威脅模型
假冒
篡改
否認(rèn)
信息泄露
拒絕服務(wù)
權(quán)限提升
Web安全威脅
SQL注入
輸入確認(rèn)
XSS
跨站請求偽造
緩沖區(qū)溢出
惡意軟件
病毒
木馬
蠕蟲
僵尸
威脅建模
時長3小時
威脅建模
系統(tǒng)的威脅建模方法
軟件模型
發(fā)現(xiàn)威脅
攻擊樹
STRIDE變種
第四階段 安全軟件設(shè)計 1天
安全軟件開發(fā)模型
本節(jié)要點：一般軟件開發(fā)模型和微軟SDL，時長3小時
軟件開發(fā)模型
軟件開發(fā)模型
瀑布模型
原型模型
增量模型
敏捷模型
微軟安全開發(fā)模型SDL
安全設(shè)計與威脅防御
本節(jié)要點：介紹軟件安全設(shè)計指導(dǎo)原則，時長3小時
軟件安全指導(dǎo)原則
縱深防御
最小權(quán)限
多因素
隱私保護
軟件架構(gòu)安全
威脅防御
減緩?fù){
解決威脅的策略
驗證威脅是否解決
第五階段 安全軟件開發(fā) 1天
安全開發(fā)與自我保護
本節(jié)要點：介紹軟件安全測試知識和保護知識，時長3小時
軟件安全開發(fā)
軟件安全編碼
軟件安全測試
客戶端安全
靜態(tài)分析對抗
動態(tài)分析對抗
總結(jié)與技術(shù)交流

蘆效峰老師的其它課程