• 2020/3/24至2020/3/29 杭州

• 2020/5/24至2020/5/29 武漢

一、   培訓(xùn)收益

通過此次課程培訓(xùn)，可使學(xué)習(xí)者獲得如下收益：

1.了解信息安全背景與趨勢；

2.了解最新的Android、MAC、OS系統(tǒng)安全漏洞；

3.了解最新電子商務(wù)、移動終端新型的攻擊技術(shù)；

4.理解網(wǎng)絡(luò)安全體系架構(gòu)的設(shè)計；

5.理解安全架構(gòu)的企業(yè)部署及指導(dǎo)應(yīng)用；

6.理解常見網(wǎng)絡(luò)安全威脅的類型、威脅手段及其危害；

7.掌握典型的黑客攻擊的方法及防范攻擊的技巧；

8.增強學(xué)員對信息安全的整體認識和防范能力；

9.采取案例、角色扮演等教學(xué)方式，注重信息安全管理實踐經(jīng)驗的傳遞；

10.以開放式風格授課，學(xué)員可以與講師討論各種信息安全管理的困惑，共同探討信息安全管理的最佳途徑；

11.不但可以獲取大量信息安全管理實踐經(jīng)驗，還能夠獲得權(quán)威機構(gòu)ISO 27001 Foundation認證證書。

12.在實際工作中提升企業(yè)的整體信息安全水平。

二、   培訓(xùn)特色

1.理論與實踐相結(jié)合、案例分析與行業(yè)應(yīng)用穿插進行；

2.專家精彩內(nèi)容解析、學(xué)員專題討論、分組研究；

3.通過全面知識理解、專題技能和實踐結(jié)合的授課方式。

三、   日程安排  

培訓(xùn)內(nèi)容   

工具演示和實驗   

第一天上午   

信息安全基本概念、黑客基本攻擊思路   

Ø  安全事件回顧

Ø  信息安全面臨的威脅

Ø  信息安全基礎(chǔ)

Ø  數(shù)據(jù)機密性

Ø  數(shù)據(jù)完整性

Ø  數(shù)據(jù)可用性

Ø  PGP安全加固應(yīng)用

Ø  黑客攻擊的一般流程

Ø  黑客攻擊的典型方式

Ø  攻防基礎(chǔ)概念和理論知識

Ø  入侵常用DOS命令

Ø  端口掃描技術(shù)

Ø  漏洞掃描技術(shù)   

1.黑客攻擊思路

2.黑客攻擊技術(shù)

3.Nmap端口掃描工具使用

4.常用DOS命令

5.DOS攻擊演示

6.構(gòu)建自己的攻防環(huán)境

7.nessus漏掃工具使用

8.PGP安全加固   

第一天下午   

網(wǎng)絡(luò)安全架構(gòu)設(shè)計

及網(wǎng)絡(luò)安全設(shè)備部署

Ø  網(wǎng)絡(luò)安全現(xiàn)狀分析

Ø  網(wǎng)絡(luò)安全體系架構(gòu)介紹

Ø  內(nèi)網(wǎng)安全架構(gòu)的設(shè)計

Ø  安全域的概念

Ø  認證前域

Ø  認證后域

Ø  隔離域

Ø  安全產(chǎn)品的部署

Ø  防火墻的基本原理

Ø  防火墻產(chǎn)品介紹

Ø  防火墻的配置

Ø  防火墻安全加固指南

Ø  企業(yè)防火墻應(yīng)用舉例

Ø  IDS基本原理

Ø  IDS部署

Ø  IPS原理

Ø  IDS、IPS的配置與部署

Ø  內(nèi)網(wǎng)安全監(jiān)控

Ø  審計系統(tǒng)的配置與部署   

1.內(nèi)網(wǎng)安全監(jiān)控和審計的配置

2.防火墻的部署

3.防火墻安全加固

5.IDS/IPS測試

6.網(wǎng)絡(luò)流量、網(wǎng)絡(luò)異常數(shù)據(jù)包的具體分析   

第二天上午   

網(wǎng)絡(luò)安全傳輸   

Ø  數(shù)據(jù)傳輸安全需求

Ø  數(shù)據(jù)傳輸?shù)臋C密性，完整性，認證

Ø  數(shù)據(jù)傳輸安全實現(xiàn)協(xié)議IPSEC

Ø  IPSec VPN技術(shù)原理

Ø  IPSEC VPN配置

Ø  計算機系統(tǒng)病毒防御

Ø  計算機系統(tǒng)木馬防御

Ø  計算機系統(tǒng)蠕蟲防御

Ø  大中型企業(yè)網(wǎng)絡(luò)信息安全加固指南

Ø  網(wǎng)絡(luò)故障診斷排除的思路和方法   

1.IPSec VPN傳輸安全測試

2.WEB VPN的配置

3.防病毒控制

4.系統(tǒng)備份及恢復(fù)   

第二天下午   

攻防實戰(zhàn)   

Ø  滲透測試的原理

Ø  系統(tǒng)掃描/漏洞掃描技術(shù)

Ø  口令破解技術(shù)

Ø  嗅探技術(shù)sniffer

Ø  數(shù)據(jù)包分析技術(shù)

Ø  IP地址欺騙攻擊與防御

Ø  ARP欺騙攻擊與防御

Ø  DHCP服務(wù)器攻擊與防御

Ø  DOS/DDOS攻擊與防御

Ø  遠程控制技術(shù)

Ø  緩沖區(qū)溢出攻擊

Ø  拒絕服務(wù)攻擊

Ø  社會工程學(xué)  

1.Winfo獲取windows系統(tǒng)信息

2.流光破解Windows口令

4.X-Scan漏洞掃描

5.Nessus開源漏掃

6.FTP、SQL、Telnet口令爆破

7.Sniffer 抓包分析

8.Wireshark對網(wǎng)絡(luò)協(xié)議

9.synFlood拒絕服務(wù)攻擊

10.smurf攻擊   

第三天上午   

WEB系統(tǒng)安全及其防范、移動安全   

Ø  Web系統(tǒng)簡介

Ø  Web系統(tǒng)安全隱患

Ø  網(wǎng)頁掛馬

Ø  SQL注入

Ø  Cookie欺騙

Ø  XSS跨站

Ø  釣魚攻擊

Ø  Web安全加固

Ø  電子郵件安全應(yīng)用舉例

Ø  銀行系統(tǒng)安全分析

Ø  USB-KEY技術(shù)應(yīng)用  

1.WEB站點安全指南

2.SQL注入突破網(wǎng)站驗證

3.Domain、Jsky、NBSI、HDSI、CASI等Web滲透工具的使用

4.上傳網(wǎng)站后門Webshell

5.利用XSS竊取其他用戶的Cookie信息

6.Web服務(wù)器安全加固

7.電子郵件安全測試   

第三天下午   

信息安全管理體及ISO 27001標準   

Ø  信息安全面臨的風險與挑戰(zhàn)

Ø  信息安全工作的誤區(qū)

Ø  信息安全管理體系ISMS/ISO27001的收益

Ø  IT風險與信息安全的關(guān)系

Ø  信息安全技術(shù)、流程、管理

Ø  ISO 27000標準族

Ø  ISO 27001標準發(fā)展歷史

Ø  信息安全管理體系基本要素

Ø  ISO 27001標準內(nèi)容條款   

資深講師講解+

案例分析  

第四天上午  

信息安全風險評估   

Ø  風險管理概述與基本概念及框架

Ø  信息資產(chǎn)分類與分級

Ø  風險識別、風險分析、風險評價、風險處置

Ø  風險評估案例與實操

Ø  現(xiàn)狀調(diào)研階段、制度審核、現(xiàn)場訪談、技術(shù)評估走查審核

Ø  風險評估實施工具

Ø  利用工具實施風險評估與管理  

結(jié)合ISMS（ISO27001）項目實施過程進行實戰(zhàn)講解

并輔以案例分析教學(xué)   

第四天下午  

信息安全風險評估流程   

Ø  信息安全風險評估流程

Ø  資產(chǎn)的分類

Ø  資產(chǎn)的機密性，完整性和可用性

Ø  威脅的識別

Ø  脆弱性的識別

Ø  風險分析

Ø  風險評估文檔

Ø  （一）某OA系統(tǒng)風險評估方案

Ø  （二）某業(yè)務(wù)信息系統(tǒng)風險評估方案

Ø  信息安全風險評估流程演示系統(tǒng)說明   

結(jié)合ISMS（ISO27001）項目實施過程進行實戰(zhàn)講解、并輔以案例分析教學(xué)   

第五天上午   

信息安全管理體系實施過程及

運行與審核   

Ø  信息安全管理體系文件編寫、體系建立、

Ø  信息安全管理體系管理評審

Ø  信息安全管理體系案例

Ø  ISMS體系運行與優(yōu)化

Ø  內(nèi)部審核/管理評審

Ø  項目階段總結(jié)與項目匯報   

資深講師講解+

案例分析   

第五天下午   

ISO27001信息安全控制措施及應(yīng)試輔導(dǎo)   

Ø  信息安全方針、策略與目標

Ø  信息安全組織架構(gòu)與職責

Ø  信息資產(chǎn)保護與信息分級

Ø  人力資源安全管理

Ø  物理環(huán)境與設(shè)備安全

Ø  通信安全

Ø  操作安全管理

Ø  密碼密鑰管理

Ø  訪問控制

Ø  符合性

Ø  關(guān)鍵控制措施實施案例

Ø  信息安全事故管理

Ø  業(yè)務(wù)連續(xù)性管理

Ø  模擬考試   

資深講師講解+

案例分析   

第六天  

學(xué)習(xí)考核與業(yè)內(nèi)經(jīng)驗交流   

四、   授課專家

商老師 信息安全專家、高級顧問、國家信息安全測評中心CISP認證講師。對安全理論、軟件安全開發(fā)流程、安全開發(fā)生命周期、安全開發(fā)技術(shù)有比較深入的研究，對系統(tǒng)安全、Web應(yīng)用安全、網(wǎng)絡(luò)安全、數(shù)據(jù)庫安全有比較豐富的知識積累。

袁老師 信息安全架構(gòu)設(shè)計、體系規(guī)劃、12年網(wǎng)絡(luò)工作經(jīng)驗，8年講師經(jīng)驗，曾就職于天津電信，神州數(shù)碼公司；國家注冊信息安全專家（CISSP和CISP）。

張老師 啟明星辰高級技術(shù)專家，長期致力于病毒與惡意代碼的分析、研究與反制技術(shù)。對操作系統(tǒng)內(nèi)核，人工智能，逆向分析,漏洞分析及利用等有一定的造詣，多次承擔、參與國家項目，并曾經(jīng)長期承擔安管中心等機構(gòu)的一些惡意代碼分析工作。

王老師  信息安全與IT服務(wù)管理領(lǐng)域?qū)＜? 持有CISP,NISP，初級等級保護測評師證書，網(wǎng)絡(luò)規(guī)劃設(shè)計師，NSACE講師，并取得中國信息安全測評中心頒發(fā)的CISI講師資格;中國計算機學(xué)會會員，擁有15年IT工作經(jīng)驗, 9年信息安全實踐經(jīng)驗。 涉及WEB管理，系統(tǒng)管理,網(wǎng)絡(luò)管理,IT治理與服務(wù)管理,信息安全與風險管理,等級保護測評項目,項目管理，滲透測試，信息產(chǎn)品安全管理，白盒黑盒安全測試等多方面工作。

五、   培訓(xùn)費用

培訓(xùn)費8800元/人（含培訓(xùn)費、場地費、資料費、學(xué)習(xí)期間午餐），食宿可統(tǒng)一安排，費用自理。請學(xué)員帶身份證復(fù)印件一張。

本課程由中國信息化培訓(xùn)中心頒發(fā)《高級信息安全工程師》證書，證書查詢網(wǎng)址：www.zpedu.org; 證書可作為專業(yè)技術(shù)人員職業(yè)能力考核的證明，以及專業(yè)技術(shù)人員崗位聘用、任職、定級和晉升職務(wù)的重要依據(jù)。

參加ISO27001國際認證，考試認證費：1700元/人RMB（257美金），考試需提前注冊，請在開班10天前付款。