信息安全认证培训
信息安全作为我国信息化建设健康发展的重要因素,关系到贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会及建设创新型社会等国家战略举措的实施,是国家安全的重要组成部分。在信息系统安全保障工作中,人是最核心、也是最活跃的因素,人员的信息安全意识、知识与技能已经成为保障信息系统安全稳定运行的重要基本要素之一。为了加快信息安全人才的培养,中国信息安全测评中心依据中编办批准开展“信息安全人员培训与资质认证”的职能,推出了代表国家对信息安全专业人员能力认可的CISP和对信息化工作人员信息安全基本能力认可的CISM。CISP与CISM是对我国网络基础设施和重要信息系统的信息安全专业人员开展在职培训的重要形式,多年来为落实我国有关政策“加快信息安全人才培养,增强全民信息安全意识”的指导精神,构建信息安全人才体系发挥了巨大作用。
一、课程时间
CISP 注册信息安全员 | 3月7/8/14/15日 | 周末面授 |
CISP 注册信息安全员 | 5月16/17/22/23日 | 周末面授 |
CISP-PTE 渗透测试专业 | 4月11/12/18/19/25/26/5月9/10日 | 周末面授 |
CISSP 注册信息系统安全认证专家 | 3月23-27日 | 脱产班面授 |
二、考试安排
CISP 纸质试卷,国家信息安全测评中心指定考期
CISP-PTE 实操考试,国测指定考点
三、培训目标:(CISP)
• 信息安全保障 (安全概念、保障框架、保障工作内容与方法等)
• 信息安全规划 (密码学、身份鉴别、访问控制等)
• 安全设计与实现 (物理环境安全、网络安全、系统及应用数据安全等)
• 安全运营 (安全运维、业务连续性、灾难备份等 )
• 安全管理 (体系建设、控制措施、社会工程学等 )
• 安全评估 (评估标准、信息系统审计)
• 软件开发安全 (生命周期、需求及设计、安全实现与测试、管理过程等)
• 法律法规、政策与标准(规章与道德、网络安全政策、标准体系)
四、知识框架及内容:
知识框架
内容介绍
模块名称 | 课程内容 |
信息安全保障 | 1. 信息安全概念 2. 安全保障框架模型 3. 信息安全保障工作内容与方法 4. 信息安全工程 5. 安全保障新领域 |
信息安全规划 | 1. 风险管理 2. 密码学 3. 身份鉴别 4. 访问控制 |
安全设计与实现 | 1. 物理和环境安全 2. 网络和通信安全 3. 系统环境安全 4. 应用与数据安全 |
安全运营 | 1. 安全运维 2. 内容安全 3. 业务连续性管理 4. 灾难备份 5. 大数据安全 |
安全管理 | 5. 安全管理体系建设 6. 安全管理控制措施 7. 社会工程学 |
安全评估 | 8. 安全评估基础 9. 安全评估标准 10. 信息系统审计 |
软件安全开发 | 11. 软件安全开发生命周期 12. 软件安全需求及设计 13. 软件安全实现 14. 软件安全测试 15. 软件安全开发管理过程 |
法律法规、政策与标准 | 16. 法律法规规章及道德 17. 网络安全政策 18. 信息安全标准 19. 等级保护标准体系 |
CISP-PTE课程设置
日期 | 知识类 | 章节 | 考核标准及知识点 |
第一天 | 攻防基础 | 考试介绍和课程安排 | |
培训课件和场景准备 | (培训中同步分发给学员) | ||
攻防趋势技术要点概览 | 业界和国内外重点和核心 | ||
攻防渗透基础 | 踩点扫描、漏洞发现等 | ||
第二天 | 网络安全 | 网络安全概述 | 协议基础和wireshark分析 |
网络设备安全 | FW/IDS/WAF等 | ||
网络攻防命令 | Win/linux/路由交换等 | ||
外网突破概述 | 介绍主要的几个方法 | ||
内网渗透概述 | 简述内网渗透的技术 | ||
第三天 | WEB 安全基础 | HTTP 协议 | HTTP 协议基础知识 |
注入漏洞 | SQL 注入的基础知识 | ||
XML 实体注入基础知识 | |||
RFI远程文件包含漏洞的原理和修复方法 | |||
LFI本地文件包含漏洞的原理和修复方法 | |||
RCE 远程代码执行漏洞的原理和修复方法 | |||
XSS 漏洞 | 存储型 XSS 漏洞发现与防范 | ||
反射型 XSS 漏洞发现与防范 | |||
Dom 型 XSS 漏洞发现与防范 | |||
第四天 | CSRF 漏洞 | CSRF 跨站请求伪造漏洞的分析与利用 | |
SSRF 漏洞 | SSRF 服务端请求伪造漏洞的分析与利用 | ||
文件处理漏洞 | 任意文件上传漏洞产生的原因与修复方法 | ||
任意文件读取漏洞产生的原因与修复方法 | |||
访问控制漏洞 | 垂直越权漏洞的分析与利用 | ||
水平越权漏洞的分析与利用 | |||
会话管理漏洞 | 会话固定漏洞的产生原因和防范 | ||
会话劫持漏洞的产生原因和防范 | |||
Cookie 欺骗漏洞的产生原因和防范 | |||
第五天 | 操作系统安全 | Windows 系统安全 | 账户密码弱口令风险 |
账户的分组和权限 | |||
NTFS 文件系统权限的设置 | |||
Windows 日志的种类和审计方法 | |||
第三方应用和服务存在的漏洞 | |||
Windows 权限提升方法 | |||
Linux 系统安全 | 检查用户空口令的方法 | ||
设置账户认证失败锁定次数和时间 | |||
检查除root以外的UID为0的用户 | |||
查找系统中存在的SUID和SGID程序 | |||
查找任何人都有写权限的目录和文件 | |||
第三方应用和服务可能存在的漏洞 | |||
Linux 权限提升方法 | |||
系统日志的分类和审计方法 | |||
第六天 | 中间件安全 | Apache | Apache 服务器权限配置 |
Apache 服务器文件解析漏洞 | |||
Apache 服务器日志审计方法 | |||
Apache 服务器 Web 目录权限的设置 | |||
IIS | IIS6 文件解析漏洞利用 | ||
IIS6 写权限漏洞的利用 | |||
IIS6 短文件名漏洞 | |||
IIS7 FastCGI方式调用PHP存在的解析漏洞 | |||
IIS 日志审计方法 | |||
Tomcat | Tomcat 管理账号密码修改方法 | ||
Tomcat 通过后台获取权限的方法 | |||
Tomcat 服务器启动权限设置 | |||
Tomcat 日志审计方法 | |||
Weblogic | Weblogic 反序列化漏洞 | ||
Weblogic 管理后台弱口令风险 | |||
Weblogic 服务端请求伪造漏洞 | |||
Weblogic 日志审计方法 | |||
JBoss | JBoss 反序列化漏洞 | ||
JBoss jmx-console/web-console未授权访问 | |||
JBoss jmx Invoker 远程命令执行 | |||
JBoss 日志审计方法 | |||
Websphere | Websphere 账号管理授权 | ||
Websphere 反序列化漏洞 | |||
Websphere 管理后台弱口令风险 | |||
Websphere 日志审计方法 | |||
第七天 | 数据库安全 | Mssql 数据库安全 | Mssql 数据库的查询语法 |
Mssql 数据库账户密码存在弱口令的风险 | |||
Mssql 数据库服务器启动权限的设置 | |||
Mssql 数据库的角色与权限的分配 | |||
Mssql 数据库中常用的存储过程 | |||
Mssql 数据库备份和日志备份方法 | |||
Mssql 存储过程提权的方法 | |||
Mysql 数据库安全 | Mysql 数据库的查询语法 | ||
Mysql 账户密码弱口令风险 | |||
Mysql 创建用户并指定数据库授权 | |||
Mysql 读取文件和导出文件的方法 | |||
Mysql 提权的方法 | |||
Oracle 数据库安全 | Oracle 数据库的查询语法 | ||
Oracle 数据库执行系统命令的方法 | |||
Oracle 数据库账号权限的分配 | |||
Oracle 数据库账号密码策略配置 | |||
Oracle 数据库日志审计 | |||
Redis 数据库安全 | Redis 数据库未授权访问的危害 | ||
Redis 数据库启动权限的设置 | |||
Redis 写入文件的方法 | |||
第八天 | 综合串讲演练 | 前期课程总结 | 串联思路和题型解读 |
考试模拟(多套) | 快速熟悉考试流程和题眼 | ||
考后复盘 | 针对技术缺陷和不足进行点评 | ||
技术答疑 | 温习重点和思路发散 |
五、报名方式
1、请扫描下方二维码填写,提交;
2、具体报名事项咨询请联系:
联系人 :徐 静
联系方式:13349904406
办公电话:027-87788818
联络邮箱:hb_insa@163.com
办公地址:武汉市洪山区野芷湖西路创意天地3号楼高层5楼
编辑:湖北省信息网络安全协会
热烈欢迎黄冈市公安局网安支队领导莅临我会指导工作
湖北省信息网络安全协会组织召开了2019年会筹备会
交流 | 协会领导与陕西省信息网络安全协会座谈交流
培训 | 洪山区中小学幼儿园教师网络安全培训圆满落幕
等保测评专委会第三次会议——自律公约出台
协会代表慰问军运会坚守网安一线的工作人员
军运会 | 助力网络安全保障工作的“幕后英雄”
协会代表走访副会长单位——梆梆安全
民营企业家刑事法律风险防控知识讲座圆满成功
网络安全知识进校园——走进华中农业大学附属学校
等保测评专委会第二次会议
国家网络安全宣传周 | 涨知识啦!这些安全小知识还不快拿小本本记下!
