安全进阶提升训练营课程

  课程天数：2天

  课程介绍

     从企业安全风险面分析入手，帮助企业建立全面的风险认知。再针对不同的风险面，提供相应的问题解决思路及最佳实践方案，帮助企业建立完整的企业安全防护思想。

  课程收益

     增强学员对企业安全整体认识和防范能力，黑客攻击的方法及防范攻击的技巧和防范能力；注重对安全加固、安全测试、安全运维等多种实践经验的传递、提升工作中整体解决方案的思路。

  培训对象

     企业技术架构师；

     企业运维架构师、工程师；

     企业数据管理人员、IT系统高级工程师；

     企业对安全感兴趣的人员；

  课程大纲

课题一：WEB应用安全详解篇

一、课程目标：

•  了解常见的安全漏洞；

•  了解漏洞的危害和影响，以及可能造成的危害等级；

•  对经典漏洞熟悉解决方案，通过不同层次的解决方案来解决漏洞；

二、课程内容：

1、web安全漏洞讲解

1.1、SQL注入漏洞的成因；

1.2、SQL注入的多种解决方案（1）；

1.3、身份认证安全；

1.4、身份认证安全的多种解决方案（1）；

1.5、跨站脚本攻击的原理及防护；

1.6、不安全的对象引用；

1.7、配置错误；

1.8、敏感信息泄漏；

1.9、缺少访问控制（水平权限漏洞和垂直权限漏洞）；

1.10、跨站请求伪造；

1.11、已知漏洞的组件；

2、安全漏洞的危害评定

2.1、安全漏洞危害评定角度；

2.2、安全漏洞的响应机制建立；

课题二：网络安全加固篇

一、课程目标：

•  了解常见的安全加固方法；

•  通过一种漏洞的多种解决方案了解解决方案从代码层、组件层、数据库层、网络层的解决办法；

二、课程内容：

1、系统安全加固

1.1、系统安全加固的重点讲解；

1.2、windows系统安全加固；

1.3、linux系统安全加固；

2、组件安全

2.1、组件安全（组件安全检测系统）；

2.2、SQL注入的多种解决方案（2）；

3、数据库安全

3.1、数据库安全讲解；

3.2、数据库安全核心；

3.3、SQL注入的多种解决方案（2）；

课题三：安全测试技术篇

一、课程目标：

•  了解安全测试技术；

•  代码安全不同层级的解决方案；

二、课程内容：

1、安全测试技术

1.1、白盒测试讲解；

1.2、黑盒测试讲解；

1.3、灰盒测试讲解；

1.4、以上三种测试对比；

1.5、渗透测试和安全测试的区别；

1.6、渗透测试常见的手段；

2、代码安全

2.1、企业级如何防止代码安全问题；

2.2、代码安全解决不了的问题；

2.3、避免代码安全的架构（SQL注入类）；

课题四：安全运维知识篇

一、课程目标：

•  了解安全运维常见的安全检测手段；

•  了解安全运维的检测重点；

•  实例说明安全防护；

•  通过身份认证系统贯穿讲解不同等级的安全防护；

二、课程内容：

1、安全运维扫描

1.1、端口扫描类工具及原理介绍；

1.2、漏洞扫描类工具及原理介绍；

2、安全运维需求

2.1、到底需要检测什么？（账户、账号、端口、数据库）；

2.2、到底该怎么检测？

2.3、检测工具介绍；

2.4、HW的安全防护；

2.5、身份认证的多种解决方案（2）；