《軟件安全與威脅》

軟件安全與威脅
一、課程背景
近年來(lái),我國(guó)互聯(lián)網(wǎng)蓬勃發(fā)展,網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,網(wǎng)絡(luò)應(yīng)用水平不斷提高,成為推動(dòng) 經(jīng)濟(jì)發(fā)展和社會(huì)進(jìn)步的巨大力量。與此同時(shí),網(wǎng)絡(luò)和業(yè)務(wù)發(fā)展過(guò)程中也出現(xiàn)了許多新情況、 新問(wèn)題、新挑戰(zhàn),尤其是當(dāng)前網(wǎng)絡(luò)安全問(wèn)題頻發(fā)、網(wǎng)絡(luò)安全立法系統(tǒng)性不強(qiáng)、及時(shí)性不夠和 立法規(guī)格不高,物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等新技術(shù)新應(yīng)用、數(shù)據(jù)和用戶(hù)信息泄露等的網(wǎng)絡(luò)安 全問(wèn)題日益突出。未來(lái),我國(guó)將不斷加強(qiáng)網(wǎng)絡(luò)安全依法管理、科學(xué)管理,更加重視新技術(shù)新 應(yīng)用安全問(wèn)題,促進(jìn)移動(dòng)互聯(lián)網(wǎng)應(yīng)用生態(tài)環(huán)境優(yōu)化,加速構(gòu)建網(wǎng)絡(luò)安全保障體系,推動(dòng)網(wǎng)絡(luò) 安全相關(guān)技術(shù)和產(chǎn)業(yè)快速發(fā)展。
本課程通過(guò)教師講解、案例分析、小組討論、互動(dòng)等授課方式,給學(xué)員系統(tǒng)的講解軟件 安全知識(shí),帶來(lái)全面的認(rèn)識(shí)和思考,讓軟件安全技術(shù)的學(xué)習(xí)變得妙趣橫生。整個(gè)課程主要先 讓大家認(rèn)識(shí)什么是信息和信息安全,再由網(wǎng)絡(luò)攻擊現(xiàn)狀過(guò)渡到現(xiàn)實(shí)生活中企業(yè)如何在系統(tǒng)開(kāi) 發(fā)階段就加入安全要素,使學(xué)員深刻理解軟件安全的現(xiàn)實(shí)運(yùn)用。
課程將通過(guò)大量的案例分析,介紹國(guó)內(nèi)外對(duì)于軟件安全這門(mén)技術(shù)的應(yīng)用和深入情況,使 學(xué)員在理解了軟件安全這一概念后思維能夠從理論性的闡述中逐漸聯(lián)系實(shí)際應(yīng)用,以此全面 了解網(wǎng)絡(luò)安全,使之貼合,做到理論和實(shí)際能緊密聯(lián)系,有效運(yùn)用。
二、 課程特點(diǎn)
授課形式:理論講解+案例分析+小組討論+互動(dòng)答疑
突出理論特點(diǎn),注重知識(shí)理解、案例分析與小組討論,其中理論講解 60%,案例分析 30%,討論 10%。
三、 課程收益
1. 詳細(xì)了解信息安全、網(wǎng)絡(luò)安全的概念和體系。
2. 詳細(xì)了解軟件安全威脅。?
3. 詳細(xì)了解軟件安全意識(shí)。?
4. 詳細(xì)了解軟件安全需求分析。
5. 具備從網(wǎng)絡(luò)空間安全視角看待行業(yè)未來(lái)的發(fā)展的能力,理解網(wǎng)絡(luò)空間安全在行業(yè)運(yùn) 用中的關(guān)鍵。
四、 課程模式
1. 中文教學(xué)、面授
2. 理論講解?
3. 案例分析?
4. 互動(dòng)式答疑
五、 受眾對(duì)象
1. 項(xiàng)目經(jīng)理、開(kāi)發(fā)人員?
2. 管理支持組織中復(fù)雜工作、重要工作的人員?
3. 希望提升自身職業(yè)能力的人員、其他對(duì)軟件安全感興趣的人員
六、 時(shí)間安排
系統(tǒng)學(xué)習(xí) 4 個(gè)階段
七、 授課教師
蘆效峰,北京郵電大學(xué)軟件安全中心副主任,
網(wǎng)絡(luò)空間安全學(xué)院副教授,碩士生導(dǎo)師
EXIN 認(rèn)證云計(jì)算專(zhuān)家,
微軟認(rèn)證專(zhuān)家,
CCNA 講師
八、 課程內(nèi)容

軟件安全與威脅
第一階段 軟件安全意識(shí)
第一章 信息安全基礎(chǔ)與保障
時(shí)長(zhǎng) 4 小時(shí)
信息安全背景與原理?
典型信息系統(tǒng)安全模型與框架
信息安全保障工作概況?
信息安全保障工作基本內(nèi)容
第二章 軟件安全基礎(chǔ)
時(shí)長(zhǎng) 3 小時(shí)
軟件安全現(xiàn)狀
軟件安全概念
軟件安全的屬性
軟件漏洞
軟件漏洞對(duì)系統(tǒng)的危害
軟件漏洞產(chǎn)生的原因
改善軟件的安全屬性
軟件安全開(kāi)發(fā)生命周期
第二階段 安全模式進(jìn)階
第三章 網(wǎng)絡(luò)安全技術(shù)
本節(jié)要點(diǎn):網(wǎng)絡(luò)攻擊防御的方法,時(shí)長(zhǎng) 4 小時(shí)
1. 防火墻
防火墻概述
防火墻技術(shù)?
防火墻的體系結(jié)構(gòu)
入侵檢測(cè)技術(shù) ?
入侵檢測(cè)系統(tǒng)概述?
入侵檢測(cè)系統(tǒng)的分類(lèi)及技術(shù)
入侵檢測(cè)系統(tǒng)的實(shí)施 ?
VPN ?
概念?
功能?
隧道技術(shù)?
VPN類(lèi)型?
網(wǎng)絡(luò)層VPN:IPsec
應(yīng)用層VPN:SSL ?
第四章 密碼學(xué)基礎(chǔ)和訪問(wèn)控制
本節(jié)要點(diǎn):介紹密碼學(xué)知識(shí)和訪問(wèn)控制,時(shí)長(zhǎng) 3 小時(shí)
密碼學(xué) ?
對(duì)稱(chēng)加密?
非對(duì)稱(chēng)加密?
密碼的管理和分配
數(shù)字證書(shū)?
數(shù)字簽名 ?
訪問(wèn)控制 ?
訪問(wèn)控制模型 ?
訪問(wèn)控制技術(shù) ?
身份認(rèn)證 ?
第三階段 安全威脅進(jìn)階
第五章 安全威脅
時(shí)長(zhǎng) 4 小時(shí)
STRIDE 威脅模型 ?
假冒?
篡改?
否認(rèn)?
信息泄露
拒絕服務(wù)
權(quán)限提升 ?
Web 安全威脅 ?
SQL注入?
輸入確認(rèn)?
XSS?
跨站請(qǐng)求偽造 ?
3. 惡意軟件
病毒
木馬
蠕蟲(chóng)
僵尸
4. 黑客攻擊
第六章 威脅建模
時(shí)長(zhǎng) 3 小時(shí)
系統(tǒng)的威脅建模方法
軟件模型?
發(fā)現(xiàn)威脅?
攻擊樹(shù)
STRIDE變種
第四階段 安全軟件開(kāi)發(fā)
第七章 安全軟件開(kāi)發(fā)模型
本節(jié)要點(diǎn):一般軟件開(kāi)發(fā)模型和微軟 SDL,時(shí)長(zhǎng) 4 小時(shí)
軟件開(kāi)發(fā)生命周期
軟件開(kāi)發(fā)模型?
瀑布模型?
原型模型
增量模型?
敏捷模型?
微軟安全開(kāi)發(fā)模型SDL
第八章 安全設(shè)計(jì)與威脅防御
本節(jié)要點(diǎn):介紹軟件安全設(shè)計(jì)指導(dǎo)原則,時(shí)長(zhǎng) 3 小時(shí)
1. 軟件安全指導(dǎo)原則
縱深防御?
最小權(quán)限?
多因素?
隱私保護(hù)?
軟件架構(gòu)安全
2. 威脅防御
減緩?fù){?
解決威脅的策略
驗(yàn)證威脅是否解決
第九章 安全開(kāi)發(fā)與自我保護(hù)
本節(jié)要點(diǎn):介紹軟件安全測(cè)試知識(shí)和保護(hù)知識(shí),時(shí)長(zhǎng) 4 小時(shí)
1. 軟件安全開(kāi)發(fā)
軟件開(kāi)發(fā)編碼
軟件安全測(cè)試
2. 軟件自我保護(hù)
靜態(tài)分析對(duì)抗
動(dòng)態(tài)分析對(duì)抗
3. 總結(jié)與技術(shù)交流

蘆效峰老師的其它課程