Web软件开发工程师

时间地点：北京 2月18-19日 上海

课程费用：1900元/人（原价4000元/人），详见 公开课学习手册

培训对象： Web软件开发工程师

学员基础： 至少2年以上系统维护、管理经验。有实际项目经验。

课程关注的问题：

Web网站的攻击手段有哪些

如何预先检查可能存在的网站漏洞

如何建立完整的web网站防护措施

如何监视并报告当前正在发生的攻击

当攻击发生的时候，如何进行内层防护web网站

如何建立web网站资源的安全配置

如何进行安全连接加密

如何防止SQL注入攻击

如何防止阻塞攻击

如何防止密码破译

如何防止木马程序的注入

授课方式： 定制课程 + 案例讲解 + 小组讨论，60%案例讲解，40%实践演练

课程特点：

1、理论与实践相结合，解决你的实际问题。

2、真实案例的剖析，深入浅出的讲解，使你能学以致用。

培训内容：

Web 应用的体系结构和安全相关的问题

部署考虑

输入验证

身份验证

授权

配置管理

敏感数据

会话管理

加密

参数操作

异常管理

审核和记录

案例示范：某系统安全案例示范

识别安全问题

如何识别风险

如何保护资源

如何构建应用或服务级防御机制

如何实施认证与授权

如何防止身份盗用

如何定制访问控制策略

如何抵御来自内部和外部的攻击

如何检测恶意代码

如何克服服务中断

如何评估和测试防范措施

如何监视和审计威胁与弱点

案例实践：某系统安全问题识别

安全分析

各类攻击案例中攻击位置剖析

业务安全需求分析

环境安全需求分析

使用安全检查清单(Security Check List )标识安全点

威胁剖析与安全评估

安全风险分析

权衡分析

案例实践：某系统安全分析

安全设计

安全统一过程

安全的设计规范（金融行业PKI设计安全规范）

安全设计的视角

安全设计的模式

安全模型评估

案例实践：某系统安全设计

Web层安全模式

认证实施器

授权实施器

拦截验证器

SecureBaseAction

安全日志器（海量日志分析模型）

安全管道

安全服务代理

拦截Web代理

案例实践：某系统web层安全设计

业务层安全模式

审计拦截器

容器管理的安全

动态服务管理

混淆传输对象

策略代理

安全服务门面

安全会话对象

案例实践：某系统业务层安全设计

Web服务安全模式

消息拦截器网关

消息检查器

安全消息路由器

案例实践：某系统web安全服务模式

身份管理安全模式 断言构造器模式

单点登录代理

凭证令牌化器模式

案例实践：某系统身份管理安全模式

基于代码安全性设计

代码安全模型（代码脆弱性分析）

物理模块安全模型（防止非法修改）

资源使用安全模型

设计软件安全编码规范

代码安全分析工具

案例实践：某系统基于代码安全性设计

软件安全测试 软件安全测试用例分析与设计

软件安全的静态测试

测试软件安全漏洞的有效方法

安全测试的工具

案例实践：某系统安全测试

软件研发过程安全管理

软件研发过程文档安全管理（防止窃取）

Code Review中安全检查

研发人员安全能力方案

制定安全规范

案例实践：某系统软件研发过程安全管理

讲师介绍：

UML软件工程组织技术专家。

从事过10年以上相关实际工作，曾在著名IT企业就职，具备丰富的实践经验。

在多个大中型项目中成功实施了相关的工程技术实践，具备真实有效的能力，而不仅仅是“名气”。

具备深厚的理论功底，进行过专业系统化研究与学习。

丰富的授课经验，为多家大型企业授课，获得了客户的高度评价。

丰富的咨询经验，为多家企业客户咨询。

能够结合学员的需求，有效地讲授理论和实践经验，带领学员进行具体的实践演练。