软件系统安全运营的守护神 – 系统安全测试方法与工具_苏忠彦_企业内训课程

软件系统安全运营的守护神 – 系统安全测试方法与工具

培训讲师：苏忠彦

讲师背景：
苏忠彦老师——企业数字化转型专家原华为云解决方案全球业务拓展资深总监暨总咨询架构师原赛门铁克（Symantec）大中国区咨询顾问部总经理原美国网域存储（Netapp）北亚区全球服务部总经理原易安信（EMC）世界存储公司大中国区专业顾问服务部详细>>

下载需求表打印本课程填写需求表在线咨询

课程咨询电话：

软件系统安全运营的守护神 – 系统安全测试方法与工具详细内容

软件系统安全运营的守护神 – 系统安全测试方法与工具

【课程对象】信息技术部门相关主管，信息科技部首席/资深架构师，CIO（首席信息官），CTO（首席技术官），COO（首席运营官），信息科技部数据中心运维人员

【课程时间】6小时

【课程背景】

当今经济运行、行业发展、工作生活等带来的大数据，像水、电、气一样，已经成为我们工作和生活的基本物质，关系到经济运行、社会发展、个人隐私等方方面面内容。数据的国内年复合增长率84%，数据的爆炸带动各行业的应用系统数量的与日俱增，从企业的数据中心应用，到互联网企业的大型移动应用，都无时无刻不在存储和管理着大量的数据资源，这些数据能够帮助个人、企业和社会更好地发展。

如何保证应用系统的安全性和可靠性？这个问题已经引起全社会的广泛关注。

安全测试是建立在功能测试基础上进行的测试，安全测试提供证据表明，在面对恶意攻击时，应用仍能充分满足它的需求，主要是对产品进行检验以验证是否符合安全需求定义和产品质量标准的过程

软件产品大多具备很强的实用性，尽管无法完全适用于某个行业，但它能够覆盖绝大多数企业的绝大多数业务，并且一般实施软件周期通常不会太长，所以在时间紧任务重的情况下，要重点地验证软件性能，对于本企业的工作流程对软件做单元测试、压力测试及全面检测等。

软件的安全性是一个长期性连续不断的过程，围绕整个软件的项目生命周期。企业从系统上线、试运营到正式运行，甚至完全摆脱手工账，整个期间软件的安全性都是一个不容忽视的难题。验证软件安全性的最常用办法以上所述软件原型检测，因为系统软件是信息集成系统，所以在检测时，应该是全系统的检测，每个部门的人员都需要同时参与，这样才可以了解各个数据信息、功能和工作流程之间彼此的集成关联。

检测时，找出存在问题的方面，明确提出处理企业管理难题的方案，以便明确提出对软件的改进方案;然后再模拟运行，在基本上了解软件功能的基础上，按企业的工作流程模拟操作，挑选有代表性的业务，将各种各样需要的数据整理录入系统，按企业日常工作中常常遇到的难题，组织项目团队开展实战演练性模拟，并按照发现的难题及市场需求，由项目团队制订解决方案。

　　总的来说，综合检测系统软件是否稳定的办法。应用软件和共享数据结构间的这种关联决定了它一定要实施稳固的检测和监测流程才可以保证企业重要应用的正常运行。所以，确保应用系统的安全性以上所述在确保企业内部正常的工作的安全性。

【课程收益】

了解“安全监测”的内涵与关键功能点
了解“安全监测”的类型，及其在应用发开与使用中的定位
熟悉 “安全监测”常用的工具，与使用的场景
了解“移动应用”的检测方式
了解如何建立正确的“安全监测”系统化思维

【课程特色】分析理论，知其所以然；实战解析，能趋吉避凶

【课程时间】6小时

【课程大纲】

“安全测试”的内涵为何？
1. 安全测试的定义为何？
2. 安全测试的主要目的为何？
3. 安全测试与“通常测试”与“渗透测试”的差别为何？
4. 安全测试目前面临的挑战为何？
“安全测试”的功能点有哪些？
1. 网络安全
2. 用户程序安全
3. 数据安全
4. 是否使用“第三方”评测软件？
安全测试有哪些类型？
1. 跨站脚本（XSS, Cross Set Script）
  1. 反射型跨站（Reflected XSS）
  2. 存储型跨站（Stored XSS）
  3. DOM 跨站（DOM-based XSS）
  4. 跨站请求伪造（CSRF）
2. 注入类
  1. SQL 注入
  2. XML 注入
  3. URL 跳转
3. 文件类
  1. 文件系统跨越
  2. 文件上传
  3. 文件下载
4. 系统命令
5. 控制类
  1. 权限控制
  2. 访问控制
业界常用的安全测试工具，以及其应用场景？
1. AppScan
2. BurpSuite
3. Nmap
4. salmap
移动应用（Mobility Application）的安全监测有哪些方式？
1. 漏洞扫描
2. 渗透测试
3. 代码审计
4. 安全加固
5. 安全配置检查
6. 个人信息收集合规评估
系统安全测试的正确思路为何？
1. 知道问什么要测试？
2. 了解运行的网络环境
3. 明确设置的范围
4. 做好测试计划
5. 使用合适的团队资源
6. 不要对过程进行干预
7. 注重结果
8. 全面沟通结果
课程总结
1. 学员心得分享
2. 课程重点摘要
3. 答客问

苏忠彦老师的其它课程

掌握基建技术优势– 探索5G时代数字化的新兴发展趋势 12.31

【课程对象】企业领导人，COO（首席运营官），CIO（首席信息官），CTO（首席技术官），CMO（首席市场营销官），信息科技部门相关主管，工程技术团队主管与相关成员，企业运维团队成员【课程时间】6小时【课程背景】数字经济的核心是知识经济。数字转型由消费端深入到供给侧，提升供需闭环效能，其核心是知识经济的效能提升，知识生产力工具的变革成为新动能。可以说，行业

讲师：苏忠彦详情

掌握基建优势科技 – 探索5G时代的新兴行业发展趋势 12.31

讲师：苏忠彦详情

启动数字经济发展新引擎 – 探索5G云网融合之应用 12.31

【课程对象】COO（首席运营官），CIO（首席信息官），CTO（首席技术官），CMO（首席市场营销官），信息科技部门相关主管及骨干成员，信息中心运维团队主管与骨干成员，企业运营团队主管与骨干成员【课程时间】6小时【课程背景】在电信市场，运营商正跳出饱和的ToC消费者市场，进军ToB政企市场这个目标市场，寻求新增长。因为5G、AI、云等技术成熟发展，正给行业

讲师：苏忠彦详情

从“花钱”到“赚钱” – ICT服务部门如何安全高效转身 12.31

【课程对象】信息科技运维部门主管，信息科技研发部门主管，信息科技首席/资深架构师，CIO（首席信息官）、CTO（首席技术官）、信息科技领域专家、CSO（首席安全官），IT资深软件设计师，企业安全架构师【课程时间】6小时【课程背景】发展数字经济已成为各国的战略重点。数字经济时代下，数字技术创新是核心驱动力，以网络化为重要载体，数字技术与实体经济融合，不断提高传

讲师：苏忠彦详情

助力企业逐鹿未来 – IT咨询顾问服务建设指南 12.31

【课程对象】CIO（首席信息官）、CTO（首席技术官）、项目总监，信息科技部技术总监，信息科技部门骨干成员，数据中心运维骨干成员【课程时间】6小时【课程背景】众所周知，随着数字化时代的发展，企业如果没有自己的IT规划，在未来的竞争中将明显处于劣势地位，因此不论怎么形容IT规划的重要性都不为过。但企业IT战略规划确是一个非常复杂的系统性工作，很多企业管理层、I

讲师：苏忠彦详情

助力企业逐鹿未来 – IT企业业务架构建构之路 12.31

讲师：苏忠彦详情

建立坚实又具弹性的基础架构 – Java 后端架构实战录 12.31

【课程对象】CIO（首席信息官），CTO（首席技术官），研发项目管理总监，研发团队成员，数据中心运维团队骨干成员，系统研发骨干成员，系统运维骨干成员【课程时间】6小时【课程背景】Java自1995年问世以来，因其卓越的通用性、高效性、平台移植性和安全性等特性，成为全球范围内应用范围最广的开发语言，而且即使历经二十余年发展仍然在行业内保持着“常青树”的地位。

讲师：苏忠彦详情

体现信息价值实现企业目标 – IT治理 12.31

【课程对象】项目管理总监，项目经理，市场营销主管，信息技术部门相关主管，信息科技部首席/资深架构师，CIO（首席信息官），CTO（首席技术官），CSO（首席安全官），COO（首席运营官）【课程时间】12小时【课程背景】开宗明义，IT治理就是要明确有关IT决策权的归属机制和有关IT责任的承担机制，以鼓励IT应用的期望行为的产生，以联接战略目标、业务目标和IT目

讲师：苏忠彦详情

数字化时代的门神 – 安全合规创造价值 12.31

【课程对象】项目管理总监，企业安全部门相关主管，企业运维部门相关主管，IT首席/资深架构师，CIO（首席信息官），CTO（首席技术官），CSO（首席安全官），战略规划部主管及骨干成员【课程时间】6小时【课程背景】数字化时代，数字空间成为物理空间的虚拟映射，两者虚实对应、协同交互。当物理世界的人、事、物等要素逐步数字化后，这意味着物理空间与数字空间之间的界限

讲师：苏忠彦详情

快速建立实用的人机界面 – Web 前端架构实战录 12.31

【课程对象】CIO（首席信息官），CTO（首席技术官），研发项目管理总监，研发团队成员，数据中心运维团队骨干成员，系统研发骨干成员，系统运维骨干成员【课程时间】6小时【课程背景】软件架构，是一种为了解决复杂问题的通用模式。软件架构，是关于软件系统的一系列有层次的技术决策的集合。换句话来说，当我们讨论架构的时候，不能只讨论某某架构，而是要包含其实施，以及后期