摘要: 详细介绍请查看:http://www.owasp.org.cn/OWASP_Conference/AppSec_2011/training 1. 如何使用OWASP项目和工具提升企业安全(针对人群:CISO, 高级信息安全经理)语言:英文,视情况确定是否需要...
详细介绍请查看:http://www.owasp.org.cn/OWASP_Conference/AppSec_2011/training
1. 如何使用OWASP项目和工具提升企业安全(针对人群:CISO, 高级信息安全经理)语言:英文,视情况确定是否需要同传。
内容:
Setting up and improving your global security organisation using mature OWASP projects and tools. Achieving cost-effective application security and bringing it all together on the management level. How to use and leverage OWASP and other common best practices to improve your security programs and organization. The workshop will also discuss a number of quick wins and how to use OWASP tools inside your organisation. The author has extensive experience of managing his own secure development organization as well as advising to improve a number of global secure development organisations and processes.
Topics:
- OWASP Top-10 - how to use within your organisation
- Risk management and threat modeling methods (OWASP risk analysis, ISO-27005,...)
- OWASP Secure Coding Practices - Quick Reference Guide
- Development Guide
- Training for developers (e.g. Webgoat)
- Maturity Models (SAMM)
- common APIs: ESAPI (Enterprise Security API)
- Measuring: ASVS (Application Security Verification Standard)
2. 网银系统安全框架设计
1. 培训内容简介
2. 银行业务系统的历史和发展
3. 银行业务系统安全的重要性
4. 网银应用系统的特殊性
5. 网银应用系统设计的特点
6. 银行网络应用的安全考虑
7. 银行业务网络构架图及安全考虑
8. 银行业务数据流程图及安全考虑
9. 银行业务工序流程图及安全考虑
10. 业务系统安全设计文档的撰写
o 高层设计
o 底层设计
11. 收集学员反馈
3. OWASP Top 10 及其防治
通过本次培训,学员们可以获取以下技巧:
· 什么是OWASP Top 10
· 什么是OWASP ESAPI,它的设计原理以及用它防治Top 10,以及它的某些实现中的缺陷
· 如何使用静态分析工具去发现代码的安全漏洞
· 如何使用动态分析工具去发现系统的安全漏洞
· 作为一个QA,我该如何去做渗透测试
4. 安全开发之道 - 从源头解决和预防安全漏洞
1) 安全开发的重要性
1.1)安全漏洞简介
1.2)安全问题的起因
1.3) 为什么要安全开发
2) 如何从流程上保证安全开发
2.0) 各个阶段问题的统计数据
2.1)任务启动之前的准备
2.2) 产品需求分析阶段
2.3) 设计
2.4)编程
2.5) 测试
2.6) 如何保证工作流程的措施得到实施
2.7) 配置管理的重要性
3) 总结 Summary
