《系统安全测试方法与工具使用》_苏忠彦_企业内训课程

《系统安全测试方法与工具使用》

培训讲师：苏忠彦

讲师背景：
苏忠彦老师——企业数字化转型专家原华为云解决方案全球业务拓展资深总监暨总咨询架构师原赛门铁克（Symantec）大中国区咨询顾问部总经理原美国网域存储（Netapp）北亚区全球服务部总经理原易安信（EMC）世界存储公司大中国区专业顾问服务部详细>>

下载需求表打印本课程填写需求表在线咨询

课程咨询电话：

《系统安全测试方法与工具使用》详细内容

《系统安全测试方法与工具使用》

《软件系统安全运营的守护神 – 系统安全测试方法与工具》
主讲：苏忠彦
【课程背景】
当今经济运行、行业发展、工作生活等带来的大数据，像水、电、气一样，已经成为我们工作和生活的基本物质，关系到经济运行、社会发展、个人隐私等方方面面内容。数据的国内年复合增长率84%，数据的爆炸带动各行业的应用系统数量的与日俱增，从企业的数据中心应用，到互联网企业的大型移动应用，都无时无刻不在存储和管理着大量的数据资源，这些数据能够帮助个人、企业和社会更好地发展。
如何保证应用系统的安全性和可靠性？这个问题已经引起全社会的广泛关注。
安全测试是建立在功能测试基础上进行的测试，安全测试提供证据表明，在面对恶意攻击时，应用仍能充分满足它的需求，主要是对产品进行检验以验证是否符合安全需求定义和产品质量标准的过程
软件产品大多具备很强的实用性，尽管无法完全适用于某个行业，但它能够覆盖绝大多数企业的绝大多数业务，并且一般实施软件周期通常不会太长，所以在时间紧任务重的情况下，要重点地验证软件性能，对于本企业的工作流程对软件做单元测试、压力测试及全面检测等。
软件的安全性是一个长期性连续不断的过程，围绕整个软件的项目生命周期。企业从系统上线、试运营到正式运行，甚至完全摆脱手工账，整个期间软件的安全性都是一个不容忽视的难题。验证软件安全性的最常用办法以上所述软件原型检测，因为系统软件是信息集成系统，所以在检测时，应该是全系统的检测，每个部门的人员都需要同时参与，这样才可以了解各个数据信息、功能和工作流程之间彼此的集成关联。
检测时，找出存在问题的方面，明确提出处理企业管理难题的方案，以便明确提出对软件的改进方案;然后再模拟运行，在基本上了解软件功能的基础上，按企业的工作流程模拟操作，挑选有代表性的业务，将各种各样需要的数据整理录入系统，按企业日常工作中常常遇到的难题，组织项目团队开展实战演练性模拟，并按照发现的难题及市场需求，由项目团队制订解决方案。
　　总的来说，综合检测系统软件是否稳定的办法。应用软件和共享数据结构间的这种关联决定了它一定要实施稳固的检测和监测流程才可以保证企业重要应用的正常运行。所以，确保应用系统的安全性以上所述在确保企业内部正常的工作的安全性。
【课程收益】
了解“安全监测”的内涵与关键功能点
了解“安全监测”的类型，及其在应用发开与使用中的定位
熟悉 “安全监测”常用的工具，与使用的场景
了解“移动应用”的检测方式
了解如何建立正确的“安全监测”系统化思维【课程特色】分析理论，知其所以然；实战解析，能趋吉避凶
【课程对象】信息技术部门相关主管，信息科技部首席/资深架构师，CIO（首席信息官），CTO（首席技术官），COO（首席运营官），信息科技部数据中心运维人员
【课程时间】6小时
【课程大纲】
“安全测试”的内涵为何？
安全测试的定义为何？
安全测试的主要目的为何？
安全测试与“通常测试”与“渗透测试”的差别为何？
安全测试目前面临的挑战为何？
“安全测试”的功能点有哪些？
网络安全
用户程序安全
数据安全
是否使用“第三方”评测软件？
安全测试有哪些类型？
跨站脚本（XSS, Cross Set Script）
反射型跨站（Reflected XSS）
存储型跨站（Stored XSS）
DOM 跨站（DOM-based XSS）
跨站请求伪造（CSRF）
注入类
SQL 注入
XML 注入
URL 跳转
文件类
文件系统跨越
文件上传
文件下载
系统命令
控制类
权限控制
访问控制
业界常用的安全测试工具，以及其应用场景？
AppScanBurpSuiteNmap
salmap移动应用（Mobility Application）的安全监测有哪些方式？
漏洞扫描
渗透测试
代码审计
安全加固
安全配置检查
个人信息收集合规评估
系统安全测试的正确思路为何？
知道问什么要测试？
了解运行的网络环境
明确设置的范围
做好测试计划
使用合适的团队资源
不要对过程进行干预
注重结果
全面沟通结果
课程总结
学员心得分享
课程重点摘要
答客问

苏忠彦老师的其它课程

如何利用现代信息科技，提升企业云转型成功的机会 03.13

夯实大数据如何利用现代信息科技，提升企业云转型成功的机会？主讲：苏忠彦【课程背景】很多公司在产品、市场和服务上面，可以实现突破现状的方法并不多，一般都是需要通过现代信息化的方式来提高公司经营效益。企业开始考虑转型时，上云是比较好的捷径，而且云计算服务商提供的云主机优势较为明显，被很多企业偏爱。什么是企业上云？企业上云是指企业可通过网络便捷地按需使用资源（包括

讲师：苏忠彦详情

如何利用现代ICT科技，提升企业云转型成功的机会 03.13

夯实大数据如何利用现代ICT科技，提升企业云转型成功的机会？主讲：苏忠彦【课程背景】很多公司在产品、市场和服务上面，可以实现突破现状的方法并不多，一般都是需要通过现代信息化的方式来提高公司经营效益。企业开始考虑转型时，上云是比较好的捷径，而且云计算服务商提供的云主机优势较为明显，被很多企业偏爱。什么是企业上云？企业上云是指企业可通过网络便捷地按需使用资源（包

讲师：苏忠彦详情

《如何利用现代信息科技，提升企业云转型成功的机会》 03.13

讲师：苏忠彦详情

《物联网+边缘计算》 03.13

《物联网+边缘计算》主讲：苏忠彦【课程背景】物联网概念自本世纪初提出以来，在全球范围内迅速得到认可，并成为新一轮科技革命与产业变革的核心驱动力。物联网产业被称为继计算机、互联网之后世界信息产业发展的第三次浪潮，深刻改变着传统产业形态和人们的生活方式，催生了大量新技术、新产品、新模式，引发了全球数字经济浪潮。基于边缘计算的物联网（如EC-IoT、EdgeCom

讲师：苏忠彦详情

掌握基建技术优势– 探索5G时代数字化的新兴发展趋势 12.31

【课程对象】企业领导人，COO（首席运营官），CIO（首席信息官），CTO（首席技术官），CMO（首席市场营销官），信息科技部门相关主管，工程技术团队主管与相关成员，企业运维团队成员【课程时间】6小时【课程背景】数字经济的核心是知识经济。数字转型由消费端深入到供给侧，提升供需闭环效能，其核心是知识经济的效能提升，知识生产力工具的变革成为新动能。可以说，行业

讲师：苏忠彦详情

掌握基建优势科技 – 探索5G时代的新兴行业发展趋势 12.31

讲师：苏忠彦详情

启动数字经济发展新引擎 – 探索5G云网融合之应用 12.31

【课程对象】COO（首席运营官），CIO（首席信息官），CTO（首席技术官），CMO（首席市场营销官），信息科技部门相关主管及骨干成员，信息中心运维团队主管与骨干成员，企业运营团队主管与骨干成员【课程时间】6小时【课程背景】在电信市场，运营商正跳出饱和的ToC消费者市场，进军ToB政企市场这个目标市场，寻求新增长。因为5G、AI、云等技术成熟发展，正给行业

讲师：苏忠彦详情

从“花钱”到“赚钱” – ICT服务部门如何安全高效转身 12.31

【课程对象】信息科技运维部门主管，信息科技研发部门主管，信息科技首席/资深架构师，CIO（首席信息官）、CTO（首席技术官）、信息科技领域专家、CSO（首席安全官），IT资深软件设计师，企业安全架构师【课程时间】6小时【课程背景】发展数字经济已成为各国的战略重点。数字经济时代下，数字技术创新是核心驱动力，以网络化为重要载体，数字技术与实体经济融合，不断提高传

讲师：苏忠彦详情

助力企业逐鹿未来 – IT咨询顾问服务建设指南 12.31

【课程对象】CIO（首席信息官）、CTO（首席技术官）、项目总监，信息科技部技术总监，信息科技部门骨干成员，数据中心运维骨干成员【课程时间】6小时【课程背景】众所周知，随着数字化时代的发展，企业如果没有自己的IT规划，在未来的竞争中将明显处于劣势地位，因此不论怎么形容IT规划的重要性都不为过。但企业IT战略规划确是一个非常复杂的系统性工作，很多企业管理层、I