软件安全意识培训

一、培训目标
提高软件开发人员的信息安全意识，加强信息安全攻防实战技能。

二、难点突破
如何提高软件开发人员的信息安全意识？在软件开发过程中应注意哪些安全隐患？

三、课程大纲
上篇：专家精讲课堂
第一部分、大型企业案例分析与场景重现
一、大中型企业信息安全惨痛案例分析
1、黑客产业链与企业挑战
2、服务器被入侵演示与分析
3、密码被窃场景演示与分析
4、僵尸网络场景演示与分析
二、黑客破坏企业应用系统场景重现与企业防范实践
1、网络安全重要环节回顾
2、网络安全隐患原理动画
3、企业开发安全中经常犯的错误分析
4、开发安全中原则与职责
5、企业软件和开发中遇到的安全问题分析
6、金融系统安全架构案例剖析
7、企业中应用系统与数据库安全隐患分析
8、企业中应用系统安全评估方法和流程
9、WEB系统安全评估实践练习
10、数据库安全漏洞利用及企业常见隐患分析

中篇：信息安全攻防实践
第二部分、企业业务系统攻防演练
一、电子商务系统黑客破坏场景重现与企业防范过程重现
1、输入验证——SQL注入入侵分析与防范实践重现
2、输入验证——跨站入侵分析与防范实践重现
3、输入验证——CSRF高级脚本入侵分析与防范实践重现
4、输入验证——高级钓鱼入侵分析与防范实践重现
5、日志系统搭建与入侵痕迹分析重现
6、软件安全开发中输入验证、输出验证的重要地位总结
二、邮件系统黑客破坏场景重现与企业防范实践
1、邮件系统跨站获取登录信息入侵分析与防范实践
2、邮件系统跨站获取帐号密码入侵分析与防御实践
3、邮件系统WEB程序安全防御方案部署实践
三、漏洞原理及安全开发基础篇
1、漏洞原理汇总
2、安全基本原则
3、密码学原理知识：对称加密、非对称加密、哈希算法、CA、LDAP、CRL、、密钥管理
4、密码学技术应用：常见弱加密、强加密，持续认证
5、密钥管理体系与单双向SSL加密

下篇：沙盘演练
第三部分、软件开发沙盘演练
一、架构设计应用篇
1、安全基本原则在威胁面分析中的沙盘推演
2、安全原则运用与安全建模沙盘推演
3、架构设计沙盘推演
二、规范运用升华篇
1、安全基本原则与如何应用系统安全开发技术规范
2、安全基本原则如何深入自己的开发习惯中？
3、安全开发知识体系及深化学习建议
4、论信息安全持久战

软件安全意识培训