课程介绍:
中国网络安全审查技术与认证中心依据《信息安全人员认证准则》,发布了信息安全保障人员认证(CISAW)安全软件方向的考试和人员认证。
为满足CCRC《信息安全保障人员认证考试大纲》对软件安全开发保障人员认证的要求,软件安全开发保障人员的培训内容由软件安全开发模型、安全漏洞管理、安全功能设计、安全编码实践和软件安全测试等内容构成。
培训对象及学员基础:
主要面向政府**、各行业及企事业单位从事软件项目管理的人员;企业各部门的设计、开发、测试、技术服务等管理和技术人员;有兴趣致力于在软件安全开发方向发展的人员。
学员至少满足下面一项要求:
- 本科(含)以上学历, 1 年以上从事信息安全有关工作经历;
- 专科毕业,3 年以上从事信息安全有关的工作经历;
- 5 年以上从事信息安全有关的工作经历;
- 具有信息技术相关专业的初级技术职称,并且至少 1 年以上从事信息安全保障相关工作经历。
培训目标:
通过本课程的学习,能够确保与安全软件相关的从业人员对安全软件有一个全面的了解和广泛的认知,并且能够顺利获得相关认证,从而提升自己的安全软件方面的专业技能,助力职业生涯发展。
大纲内容:
日程
|
课程大纲
|
课程内容
|
***
上午
|
软件安全概述
|
了解软件安全的相关概念,了解软件安全的范畴及软件存在的安全问题。
|
软件安全开发模型
|
介绍三种软件开发模型和常用的软件开发方法,了解典型的软件安全开发模型,掌握CISAW软件安全开发模型。
|
***
下午
|
安全漏洞管理
|
了解漏洞的相关概念,介绍安全自动化协议,介绍典型的安全漏洞。
|
第二天
上午
|
安全功能设计
|
了解安全审计、安全通信、密码支持、用户数据保护、标识与识别(身份认证)、安全管理、隐私保护、安全功能的保护、资源利用、系统/子系统的访问记忆可信路径/信道等安全功能。
|
第二天
下午
|
常见安全问题
|
分别从整型、字符串、数组、指针、函数、多线程、文件、内存、面向对象、和web等方面介绍软件开发过程中常见的安全问题,并给出解决方案。
|
第三天
上午
|
软件安全编码实践
|
介绍软件开发过程中常见的安全漏洞,包括输入输出验证和数据合法性校验、声明和初始化、表达式、多线程编程和序列化等。
|
第三天
下午
|
软件安全测试
|
介绍软件安全测试的方法和过程,掌握软件安全测试的组织过程,结合例子介绍几种常见的测试工具。
|
第四天
上午
|
新技术风险
|
介绍软件开发过程中常见的安全漏洞,包括输入输出验证和数据合法性校验、声明和初始化、表达式、多线程编程和序列化等。
|
第四天
下午
|
软件安全风险评估和软件安全管理
|
介绍安全软件风险评估、运行维护管理和组织与人员管理。
|
第五天
上午
|
考前集训
|
对于《软件安全开发》知识点进行全面总结,帮助学员掌握学习重点。
|
第五天
下午
|
考试
|
根据具体情况安排
|