回到首页 中心介绍
 

首页 >> 最新动态 - 高级信息安全技术专业人员培训班的通知

高级信息安全技术专业人员培训班的通知

 
关于举办2016年第0201期
“高级信息安全技术专业人员培训班”的通知
 
各单位信息化系统、数字化系统建设、信息安全运维和信息安全专业技术人员:
     随着信息化的全面纵深发展,信息安全保障已成为国家信息安全保障工作的重要一环。各单位对信息系统的依赖程度及系统安全运行需求的日益提升,对信息系统管理及运行人员的信息安全保障技术能力和综合素质也提出了更高的要求。为全面提升信息安全人员技能水平,满足各单位信息安全规划、建设、维护人才培养的需要,提升信息安全从业人员的工作技能水平,我单位特举办“高级信息安全功防技术专业人员培训班”。现将有关事项通知如下:
 
一、    主办单位
     主办单位:工业和信息化部电子第五研究所
                  中国赛宝实验室软件测评中心
二、    培训对象
     各党政机关单位、企事业单位信息化系统、数字化系统建设、运维和管理等安全技术管理人员和专业技术人员。

三、    培训内容与课程安排
时间
主题
培训内容
第一天
信息安全概述
1、信息安全基础
Ø  最近的几个攻击事件的分析
Ø  信息安全基本常识
Ø  信息安全形势和任务
2、信息安全组织
Ø  国际信息安全组织
Ø  国内信息安全组织
3、信息安全标准
Ø  国际信息安全标准
u  CC
u  TCSEC
u  ITSEC
u  BS 7799(ISO/IEC17799)
Ø  国内信息安全标准
u  GB/T 18336-2008
u  GB/T 22239-2008
u  GB/T 20271-2006
4、信息安全政策法规
Ø  《保守国家秘密法》
Ø  《电子签名法》
Ø  《计算机信息系统安全保护条例》
Ø  《商用密码管理条例》
Ø  《计算机信息系统安全保护等级划分准则》
5、信息安全测评
Ø  等级保护
u  等级保护介绍
u  等级保护标准
u  等级保护测试流程
Ø  风险评估
u  风险评估介绍
u  风险评估标准
u  风险评估测试流程
第二天
安全攻击技术
1、攻击过程
Ø  信息收集
Ø  漏洞扫描
Ø  漏洞利用
Ø  痕迹清除
2、攻击方法
Ø  Google Hacking
Ø  钓鱼
Ø  邮件欺骗
Ø  木马、病毒、蠕虫
Ø  中间人攻击
Ø  密码暴力破解
Ø  DoS(Syn Flood、ICMP Flood、UDP Flood)
Ø  社会工程学
Ø  Web应用层攻击
3、攻击工具
Ø  Google Hacking
Ø  Whios
Ø  SuperScan
Ø  Nmap
Ø  Xscan
Ø  Cain
Ø  WireShark
Ø  Metasploit
Ø  BackTrack
4、WEB攻击技术
Ø  OWASP Top 10介绍
Ø  SQL注入(原理、检查方法、预防方法)
u  SQL MAP工具使用
Ø  跨站脚本(XSS)(原理、检查方法、预防方法)
Ø  跨站点请求伪造(CSRF)(原理、检查方法、预防方法)
Ø  文件上传(原理、检查方法、预防方法)
Ø  不安全的对象直接引用
Ø  未加密登录请求
Ø  URL查询字符串篡改、POST数据篡改、Cookie篡改、HTTP头篡改
u  WebScarab、Burp、FireBug、IE开发人员工具
5、WEB漏洞扫描工具APPSCAN培训
Ø  安装方法
Ø  功能介绍
Ø  扫描配置
Ø  扫描执行
Ø  结果分析
Ø  报告生成
6、WebGoat安全测试综合演练
Ø  WebGoat介绍
Ø  WebGoat演练
第三天
安全防护技术
1、安全防护设备
Ø  防火墙
u  防火墙介绍
u  防火墙类型
u  防火墙原理
u  防火墙配置
Ø  入侵检测系统
u  入侵检测系统介绍
u  入侵检测系统原理
u  IDS与IPS的区别
u  串连模式和镜像模式的区别
Ø  DDOS防护设备
u  DDOS防护设备介绍
u  DDOS防护设备原理
Ø  密罐设备
u  什么是蜜罐
u  蜜罐的作用
u  蜜罐的原理
2、安全防护技术
Ø  身份鉴别(口令、短信验证码、指纹、声音、虹膜)
u  Windows口令策略(复杂度、登录锁定)
u  Linux口令策略
Ø  访问控制
u  Widows访问控制机制
u  Linux访问控制机制
Ø  加密(加密解密、DES、AES、RSA、对称密码、非对称密码)
u  通信加密
u  存储加密
3、安全审计技术
Ø  为什么要进行审计
Ø  审计的方法
u  本机开启审计工具
u  网络审计系统
u  数据库审计系统
Ø  审计策略
u  Windows审计策略配置
u  Linux审计策略配置
Ø  如何对日志进行分析
4、安全加固
Ø  重命名系统账户
Ø  禁用不必要的账户
Ø  选择安全的文件系统
Ø  关闭默认共享
Ø  关闭不必要的服务
Ø  及时更新系统补丁和杀毒软件病毒库
第四天
构建企业应用安全防御体系
1、SDL安全开发生命周期
Ø  SDL介绍
Ø  微软SDL简史
Ø  软件安全开发生命周期过程
u  需求分析->安全风险评估
u  设计->安全威胁建模
u  开发->内部安全审核
u  测试->投产前安全审核
u  部署->投产后安全监控
2、安全设计
Ø  安全风险评估
Ø  安全威胁建模及工具应用
Ø  如何减少攻击面
Ø  信息安全存储设计
Ø  密码安全管理设计
Ø  认证与授权安全设计
Ø  Session安全设计
Ø  文件上传安全设计
3、安全开发
Ø  OWASP安全编码规范
Ø  CERT安全编码规范与案例分析
Ø  代码安全分析与审查
Ø  代码安全分析工具Fortify的应用
Ø  AltoroJ项目演练
4、构建企业应用安全防御体系
Ø  企业应用安全监控
Ø  构建Web应用安全防火墙
Ø  持续集成框架与安全测试自动化
Ø  构建企业安全开发知识库
Ø  构建企业安全开发管理体系
 
四、    讲师介绍
      讲师介绍 :黄老师
      等保高级测评师、信息安全审评员、信息安全测评师/工程师、TSQ专家组成员。具有多年的信息安全领域相关的工作和培训经验,其参与过国企、政府、教育部门的相关项目都获得了优良的评价,具有全面的培训能力和经验,完全满足用户对信息安全培训的需求。
  擅长领域:
  在信息安全领域有资深的工作经验,企业信息安全主管,有多年甲方信息安全管理经验。曾参与重点信息安全项目研发与规划。精通网络技术、信息安全技术,长期从事企业信息安全建设,对国内大中型企业,尤其是央企、金融行业的信息安全管理及规划、设计、实施有较丰富的经验。除具有丰富的信息安全实践经验外,对网络安全,开发安全,风险评估,事件处置,IT风险管理体系结构设计,攻击原理分析有深入的研究。
      信息安全测试及培训等服务包括:
      广东省委、广州市委、广东省经信委、广东省财政厅、广东省劳动和社会保障厅、广东省交通厅、广东省水利厅、广州市科技和信息化局、广州市工商局、广州市民政局、广州市交委、第16届亚洲运动会(广州)、第26届世界大学生夏季运动会(深圳)、南方电网总部、贵州电网、广发银行、招商银行、广发证券、南粤银行、优视科技(UC)、云电同方、康拓普。
 
     讲师介绍:贺老师
      高级信息安全测评师, 软件评测师,高级讲师,企业信息化与信息安全首席咨询顾问,国际注册信息系统审计师(CISA),BS7799主任审核员,国际信息系统审计与控制协会会员,管理信息系统硕士。  
 
五、    证书获取
     参加相关培训并通过考试的学员,可以获得:
     1.中国赛宝实验室颁发的信息安全技术专业人员培训证书。该证书可作为专业技术人员职业能力考核的证明,以及专业技术人员岗位聘用、任职、定级和晋升职务的重要依据。
     注:请您带一寸彩照2张(背面注明姓名)、身份证复印件一张。
 
六、    培训时间和地点
     培训时间:2016年2月5日- 2016年3月13日(周末班)
     培训地址:双方协定,可安排赛宝实验室或客户单位。
 
七、    报名方式及培训费用
      1.请各相关单位尽快确定参加培训人员,请于2016年3月4日前通过下列方式之一报名:
      E-mail/传真报名:
      将报名回执发送到 13434256966@qq.com,或传真到020-87237466,以上两种方式均以收到邮件回复为准。
     电话报名:
     孙冲 020-87237432,13434256966。
     2. 费用:培训认证费4800元/人
    (含培训费、考试费、证书费,培训服务发票)
     培训费用在开班前3天内汇至指定账号:
     账户名称:工业和信息化部电子第五研究所72
     开户行:  中信银行广州分行
     帐号:    7443020183100002212
     培训现场缴纳:现金或支票。
 
工业和信息化部电子第五研究所
中国赛宝实验室软件评测中心
二0一六年二月二十二日
 
上一条:高级软件性能测试工程师培训开班通知
下一条:我所成功中标广发银行信息系统安全等保测评项目