软件架构安全设计培训专场 北京专场
- 活动地点:北京市海淀区海淀南路32号中信国安数码港四层C厅会议中心
- 活动时间:2008-5-20
- 参会费用:¥3600
欢迎您报名。
如果您有任何问题请致电:msup全国客户服务热线:800-818-8020转645
讲师简介:
活动简介:
信息安全已成为许多企业重点关注对象。 目前, 为防止信息系统免受侵扰而配置的网络安全硬件系统已进入成熟阶段, 然而, 信息系统的软件架构安全保护还仅处于早期实施阶段。 根据 Gartner 的分析报告, 近几年来, 多数系统的安全攻击事件都是起因于应用程序编码的设计缺陷。 因此, 应用软件系统的安全保护对企业和用户都已成为企业当前迫切需要解决的问题。为了尽量减少企业的风险及责任, 企业正在采取各种措施以防范软件中可能出现的安全缺陷。
本课程先提供一个综合的软件安全技术概观和一些实例来让你了解在软件开发或架构设计中哪部分最易出现安全漏洞, 进而遭到攻击. 课程接着由浅入深进一步传授给你软件安全开发必备的概念和技能, 帮助你开发安全的软件系统, 有效地抵卸外部对系统的侵入。一些最新的信息安全技术和标准将会贯穿整个课程讲授过程中,让你清楚地了解近几年来工业界安全技术的发展趋势。
活动安排:
无标题文档
谁能受益于本课程: |
| 企业软件架构师, 有一定安全要求的软件开发和测试人员、技术总监。 |
| 培训目标: |
| 本课程通过对软件安全薄弱环节的分析及安全保护技能的传授来达到以下学习目标: |
| .了解为什么现有的软件如此脆弱, 易受到各类攻击 |
| .了解软件系统的哪些部分最易招致外来的攻击 |
| .了解信息安全模型及常见安全保护方法和系统架构 |
| .用安全保护的技术来开发新的软件, 检查现有软件的安全漏洞. |
| .能够有效地测试出软件的安全漏洞 |
| |
|
|
1、什么是软件安全 |
1、安全政策及威胁模型 |
| 2、软件安全所涉及的区域 |
2、威胁模型类型 |
| 3、安全软件产品开发/使用链 |
3、攻击表面 |
| 4、2007InformationWeek 全球IT安
全调查 |
4、攻击表面边界最小化原则 |
| 5、软件供应商的责任 |
5、威胁模型 |
| 6、安全威胁和保护 |
6、威胁模型文件 |
| 7、软件安全保护链中各环节上的人
员责任 |
7、威胁模型驱动的安全产品开发/使用工作流 |
| |
8、安全漏洞的类型 |
| Topic 3 网络输入参数攻击及保
护方法 |
Topic 4 认证安全漏洞及保护方法 |
| 1、输出漏洞--泄漏系统信息 |
1、用户身份验证机制 |
| 2、防止系统的信息泄露 |
2、口令系统中存在的问题 |
| 3、输入参数注入型进攻 |
3、口令攻击-字典式进攻 |
| 4、SQL 输入参数注入攻击 |
4、口令政策及可能漏洞 |
| 5、SQL 注入攻击实例 |
5、口令在服务器端的存放 |
| 6、SQL注入攻击保护 |
6、应用软件使用的口令保护 |
| 7、OS命令注入攻击 |
7、网络上传输的口令保护 |
| 8、OS命令注入保护 |
8、XSS Cookie 劫持 |
| 9、其它命令注入攻击漏洞 |
9、更改口令软件的漏洞和保护 |
| 10、文件路径注入攻击 |
10、口令重置软件的漏洞和保护 |
| 11、文件路径注入的保护 |
11、Identity Theft - XST Attack |
| 12、跨站点脚本注入Cross Site Scripting (XSS) |
12、固定型 Cookie 进攻-钓鱼进攻 |
| 13、XSS攻击 |
13、单一登录间单介绍 |
| 14、XSS攻击的保护 |
14、安全认证小结 |
| 15、2007XSS攻击情况 |
|
| 16、在哪里验证输入参数来防范注入型进攻 |
|
| 17、应用软件层拒绝服务攻击(DoS, DDos) |
|
| 18、拒绝服务攻击实例 |
|
| 19、拒绝服务攻击的保护 |
|
| 20、缓冲区溢出攻击 |
|
| 21、缓冲区溢出攻击的保护 |
|
| 22、应用逻辑攻击 |
|
| 23、应用逻辑攻击实例和保护 |
|
| Topic 5 资源访问漏洞及保护方
法--授权 |
Topic 6 加密及密匙使用安全分析--保密 |
| 1、授权系统的漏洞 |
1、在攻击表面加密数据 |
| 2、2007 授权访问攻击的调查 |
2、数据加密基础 |
| 3、简单授权系统 |
3、混合加密基础 |
| 4、授权执行点漏洞 |
4、加密的安全性 |
| 5、授权执行点的保护 |
5、加密算法 |
| 6、授权漏洞的测试 |
6、加密攻击 |
| 7、多个授权执行点 |
(1)对加密数据的攻击 |
| 8、错误授权许可导致的漏洞 |
(2)在算法参数误用 的加密漏洞 |
| 9、设计安全可信的授权体系结构 |
(3)密匙的窃取 |
| 10、授权数据模型举例 |
7、密匙存储器(key store ) |
| 11、RBAC |
8、密匙库的口令保护 |
| 12、RBAC管理 |
9、密匙生命周期管理 |
| 13、动态角色机制 |
10、加密漏洞与威胁模型有关 |
| 14、责任分隔(segregation of dutySOD) |
11、联邦信息处理标准140 (FIPS) |
| 15、安全授权小结 |
12、硬件安全模块 (HSM) |
| |
13、加密安全小结 |
| Topic 7 数字签名及证书的安全
分析—完整性 |
Topic 8 身份管理系统架构介绍 |
| 1、篡改网络数据--中间者进攻 |
1、安全身份管理 |
| 2、数据和代码的完整性 |
2、身份管理的例子 |
| 3、篡改型安全攻击的调查 |
3、IDM 要解决的问题 |
| 4、使用数字签名保护完整性 |
4、IDM钩架 |
| 5、在哪里可能需要的完整性保护? |
5、联邦身份管理 |
| 6、数字签名举例 |
6、没有联邦SSO所存在的问题 |
| 7、X509证书 |
7、若不用联邦SSO, 每次访问一个新的关联网站
都需要登录 |
| 8、X509证书的使用 |
8、建立 IDP和SPs 之间的信任关系 |
| 9、使用SSL来保护网络数据的完整性 |
9、实例介绍 |
| 10、使用SSL来保护保密和完整性 |
|
| 11、证书生命周期管理 |
|
| 12、数据完整性漏洞与威胁模型有关 |
|
| 13、数据,代码完整性小结 |
|
|
|
|