红黑演义之软件安全开发和技能进阶课
——实操演练与案例演练
一、课程目标
强化软件安全开发知识,提高安全认知水平。
掌握软件安全开发的原则,将大部分的安全隐患通过认知提高而遏制。
通过课程,让学员深刻了解应用软件安全开发与安全漏洞之间的因果关系。
掌握安全开发知识和技能技巧,深入掌握安全技术在软件开发中的应用。
帮助开发人员掌握安全设计原则和技能,懂得应用系统安全开发技术规范。
让学员形成结构化的信息安全知识体系,达到通过资料课后自主深化学习的能力。
二、课程内容
黑客猛于虎知识篇
深刻感知和深化了解安全开发与黑客攻击的关系,软件开发人员应该如何应对开发,如何具体落地实现?
红黑演义实战篇
通过演练设备平台,每2位学员4台服务器,重现黑客攻击的代码修复过程,从对手角度深刻理解以往开发中有哪些致命漏洞,有哪些会给黑客带来突破口的地方?重现开展应用软件漏洞修补工作,通过沙盘案例分享,深度思考如何立体综合防御,软件设计、开发中有什么需要改进的,应该如何构建软件安全架构,如何实现安全编码规范,就安全开发要点更进一步加强?
软件安全开发架构设计篇
本篇从形象生动的故事化加解密原理讲起,深入了解准金融级别的安全如何设计,中间有哪些重要组成部分,它们之间是如何协同工作的,它们又怎么被黑客突破的?如何通过威胁面分析,开展威胁建模,将分析进行拆解,通过开发中模块落地实现对风险的控制。
软件安全标准规范应用篇
本篇从国际、国内标准及金融行业标准规范讲起,结合经典的金融系统架构设计思路,通过学员提问方式,开展标准规范应用深度研讨,结合国家业务安全新标准和国家网络安全法,对标准化和规范化开发测试过程进行对标分析,找出差距指导落地。
软件安全开发升华篇
本篇的目的是让学员能够从安全开发实际案例思考问题,通过案例方式给现场学员分享,实现本次培训课程的升华。
三、教学模式
本课程提供一套“红黑演义安全开发攻防演练硬件平台”,通过现场版的“应用系统漏洞攻防场景”,对演练平台上的应用系统场景开展安全攻防测试实践,提高他们对各种隐患风险的识别和验证能力,课间让有条件的学员进行练习实践。
通过“从工作中来,到工作去”的课程设计理念,从正反两方面再现攻防实战技术,正方即红方学员开展正面的应用系统开发与部署,重点讲解如何进行脆弱性识别,如何运用安全最佳实践对信息系统进行安全开发、安全加固;反面的是,黑方学员现场模拟黑客精密的犯罪过程,深入了解黑客入侵的思路和方法,快速提高安全开发和软件架构设计能力;红方学员再次充当应急响应技术人员,信息系统遭受到黑客入侵后,如何从应用系统的日志记录来发现黑客的行踪、入侵方式和攻击手段,研讨如何加强应用系统自身的安全认证、授权、审计功能。
通过结合常见安全开发原则,对信息安全技术的深度讲解,深入剖析黑客攻击原理和攻击路线,切实提升学员对信息安全技术的跟踪能力、应对策略和反应能力;
实践环境:应用系统安全开发与测试攻防演练硬件平台,课程中将配合大量实战案例,通过反复强调安全原则,不断刷新安全意识的认知深度。
四、培训环境
课程全程采用红方和黑客攻防对抗场景讲授与演练,攻防对抗场景为根据业界软件安全开发最新攻防动态而设计出来,授课老师采用专有的攻防服务器及防火墙,所有的服务器及软件开发环境,提高授课效率,增加课程感受震撼力,呈现在信息系统上都有哪些安全原则一定要坚守,如何开展安全设计和编程。
教师:分别模拟攻击者和企业安全人员,两类操作分别投影到屏幕上,让学员有临场感。
五、课程内容
主题 | 内容 | 案例、实操、分析与探讨 |
第一天上午 黑客猛于虎知识篇 主讲人:张胜生首席安全资深讲师/CISSP、CISP金牌讲师 |
软件开发隐患分析与具体实例分析 | 安全开发与企业安全生成关系,强化理解软件漏洞在软件运行中的破坏威力,应该掌握基本的安全原则,一切从安全防御实际出发,从我做起。 | 针对信息安全漏洞进行深入剖析,从软件开发的角度认识安全漏洞。 n 重点:安全开发认知中我缺少了什么?我该做什么才能让软件安全起来? n 演练:网络攻击过程重现 n 探讨:应用系统开发如何应对网络监听 n 案例:应用系统客户端入侵案例重现与分析 n 案例:应用系统传输安全入侵案例重现与分析 n 案例:WEB与数据库安全入侵案例重现与分析 n 案例:应用系统认证、授权、审计案例剖析 n 案例:某单位应用系统架构安全分析与整改 n 探讨:软件开发安全生命周期探讨 |
1、网络安全重要环节回顾 |
2、安全开发隐患原理动画 |
3、企业开发安全中经常犯的错误分析 |
4、开发安全中原则与职责 |
5、企业软件和开发中遇到的安全问题分析 |
6、金融系统安全架构案例剖析 |
7、企业中应用系统与数据库安全隐患分析 |
8、企业中应用系统安全评估方法和流程 |
9、WEB系统安全评估实践练习 |
10、数据库安全漏洞利用及企业常见隐患分析 |
第一天下午 软件安全开发攻防实战综合案例演练 主讲人:张胜生 首席安全资深讲师/CISSP、CISP金牌讲师 |
电子商务系统黑客破坏场景重现与企业防范过程重现 | 业界常见漏洞分析OWASP TOP 10 | n 安全漏洞与安全认知关系,如何加深认知水平,简单有效防范漏洞的产生。 |
1、输入验证——SQL注入入侵分析与防范实践重现 | n 演练:电子商务系统SQL注入与代码修补 n 演练:电子商务系统SQL注入防御绕过攻击 n 演练:利用XSS在后台增加管理员账户 n 演练:利用XSS实现钓鱼攻击 n 实操:电子商务系统XSS漏洞修补 n 演练:电子商务LINUX系统权限提升 n 演练:电子商务LINUX Rootkit安装与检测 n 实操:操作系统入侵痕迹分析与加固 n 实操:数据库查询漏洞利用及加固 n 实操:日志服务器搭建与入侵现象分析 n 研讨:安全功能实现 |
2、输入验证——跨站入侵分析与防范实践重现 |
3、输入验证——CSRF高级脚本入侵分析与防范实践重现 |
4、输入验证——高级钓鱼入侵分析与防范实践重现 |
5、日志系统搭建与入侵痕迹分析重现 |
6、软件安全开发中输入验证、输出验证的重要地位总结 |
软件安全开发实例-代码漏洞与修复案例 | 1、信息系统跨站增加帐号入侵分析与防范实践 | 深度理解永远不要相信客户端 n 演练:信息系统用户cookie盗取与防御 n 演练:信息系统用户密码钓鱼与防御 n 演练:信息系统安全开发与测试 n 案例:《软件开发论网络持久战》场景讲解 n 探讨:软件安全开发和测试的技术防御实践路线 |
2、信息系统跨站获取帐号密码入侵分析与防御实践 |
3、信息系统WEB程序安全防御方案部署实践 |
第二天上午 漏洞原理及安全开发基础篇 主讲人:张胜生 首席安全资深讲师/CISSP、CISP金牌讲师 |
软件开发防破解、监听与逆向实践篇 | 安全基本原则 | n 密码原理实践演示 n 专题:PKI技术架构与SSO方案 n 分享:应用系统密码技术应用实例 n 专题:信息安全常见设备,如加密机、签名验签服务器 n 工作中遇到的加解密调用关系及深度理解 n 软件安全开发破解、监听案例研讨 |
密码学原理知识:对称加密、非对称加密、哈希算法、CA、LDAP、CRL、、密钥管理 |
密码学技术应用:常见弱加密、强加密,持续认证 |
密钥管理体系与单双向SSL加密 |
第二天下午 架构设计应用篇、规范制定升华篇 主讲人:张胜生 首席安全资深讲师/CISSP、CISP金牌讲师 |
软件安全架构设计应用篇 | 安全基本原则在威胁面分析中的沙盘推演 | 运用安全基本原则,讲解通过案例分享与提问方式的沙盘推演,在应用系统安全架构层面进行讲解,使参训人员能够掌握在不同场景下的安全方案制定。 |
安全原则运用与安全建模沙盘推演 |
架构设计沙盘推演 |
规范运用 升华篇 | 安全原则与如何应用系统安全开发技术规范 | 重点:升华到安全开发人员迫切需要运用企业自己的安全开发规范,深度认知安全开发基本原则,懂得安全开发基本原则的运用方式方法。 研讨:应用系统安全开发生命周期隐患 推演:应用系统各个环节安全规范要素 案例:应用系统悲催的案例分析 体系:论软件安全开发信息安全持久战 |
安全基本原则如何深入自己的开发习惯中? |
