课程大纲:
企业信息安全培训
1、信息安全管理不是打补丁、杀病毒,信息安全管理需要企业有组织的全面管理。
2、尽管网络、系统、物理安全的重要性不言而喻,
但近年应用系统自身安全以及在运维过程中因为应急准备不足导致的信息安全事件逐年增多,
不仅为企业带来大量有形、无形资产损失,甚至直接危及企业各级管理人员职业前途。
这些都要求我们在深刻反思之后,考虑企业组织层面对系统开发全生命周期的设计。
安全开发生命周期
1、应用正在遭受攻击
2、攻击者动机和行为分析
3、安全开发生命周期过程的起源
4、威胁和应对办法
5、可度量的应用改进效果市场机会和案例分析
威胁建模
1、威胁建模的目标和任务
2、威胁建模的防御模型
3、威胁建模的攻击模型
4、STRIDE方法发现威胁
5、风险分析和度量动手实验市场机会和案例分析
应用安全性设计基础
缓冲区溢出
1、整数计算溢出
2、同义词
3、跨站脚本攻击
4、SQL注入