web应用安全架构设计培训
web应用安全架构设计培训
课程简介：
Web网站的攻击手段有哪些
如何预先检查可能存在的网站漏洞
如何建立完整的web网站防护措施
如何监视并报告当前正在发生的攻击
当攻击发生的时候，如何进行内层防护web网站
如何建立web网站资源的安全配置
如何进行安全连接加密
如何防止SQL注入攻击
如何防止阻塞攻击
如何防止密码破译
如何防止木马程序的注入
培训内容：
Web 应用的体系结构和安全相关的问题
部署考虑
输入验证
身份验证
授权
配置管理
敏感数据
会话管理
加密
参数操作
异常管理
审核和记录
案例示范：
识别安全问题
如何识别风险
如何保护资源
如何构建应用或服务级防御机制
如何实施认证与授权
如何防止身份盗用
如何定制访问控制策略
如何抵御来自内部和外部的攻击
如何检测恶意代码
如何克服服务中断
如何评估和测试防范措施
如何监视和审计威胁与弱点
案例实践：
安全分析
各类攻击案例中攻击位置剖析
业务安全需求分析
环境安全需求分析
使用安全检查清单(Security Check List )标识安全点
威胁剖析与安全评估
安全风险分析
权衡分析
案例实践：
安全设计
安全统一过程
安全的设计规范（金融行业PKI设计安全规范）
安全设计的视角
安全设计的模式
安全模型评估
案例实践：
Web层安全模式
认证实施器
授权实施器
拦截验证器
SecureBaseAction
安全日志器（海量日志分析模型）
安全管道
安全服务代理
拦截Web代理
案例实践：某系统web层安全设计
业务层安全模式
审计拦截器
容器管理的安全
动态服务管理
混淆传输对象
策略代理
安全服务门面
安全会话对象
案例实践：某系统业务层安全设计
Web服务安全模式
消息拦截器网关
消息检查器
安全消息路由器
案例实践：某系统web安全服务模式
身份管理安全模式
断言构造器模式
单点登录代理
凭证令牌化器模式
案例实践：某系统身份管理安全模式
基于代码安全性设计
代码安全模型（代码脆弱性分析）
物理模块安全模型（防止非法修改）
资源使用安全模型
设计软件安全编码规范
代码安全分析工具
案例实践：某系统基于代码安全性设计
软件安全测试
软件安全测试用例分析与设计
软件安全的静态测试
测试软件安全漏洞的有效方法
安全测试的工具
案例实践：某系统安全测试
软件研发过程安全管理
软件研发过程文档安全管理（防止窃取）
Code Review中安全检查
研发人员安全能力方案
制定安全规范
案例实践：某系统软件研发过程安全管理