信息安全管理体系(ISO27001)高级培训
发布日期:2015-01-09浏览:5032
-
课程时长
24 H课程大纲
第一天
一、信息安全评估概述
1.信息安全内涵
2.信息安全评估的意义
3.信息安全评估的方式
4.技术评估导入
5.认识技术风险,技术风险评估的作用,目的以及意义
二、物理网络技术评估
1.物理与环境层技术评估
2.网络层技术评估:网络层安全评估方法及工具。
3.主机及网络发现、BGP查询、DNS查询等枚举方法及工具。
演示与实验
ARP攻击与防范
DDoS攻击
第二天
三、主机层技术评估
1.主机层安全评估方法及工
2.Windows网络服务
3.UnixRPC服务等的评估方法及工具
4.系统层安全攻击与防范
演示与实验
1.系统破解
2.系统漏洞
3.系统后门
四、应用层和数据层安全评估
1.应用层安全评估方法及工具
2.DNS、Webserver、Webapplication、远程维护服务等具体应用的评估方法及工具
3.远程扫描,本地检查,无线检测和渗透测试基础,并通过实操使学员掌握相关评估技术
演示与实验
1.Web应用程序漏洞检测分析实验
2.Web网站Web网站SQL注入攻击获得控制权实验
3.跨站点脚本漏洞联网攻击实验
4.跨站脚本
5.COOKIES注入实例分析
6.Include安全
第三天
五、风险评估概述
1.风险评估导入,认识风险,风险评估的作用,目的以及意义
2.风险评估标准,常见风险评估标准,包括ISO/IEC13335,OCTAVE,NISTSP800-30,ISO/IEC27005,GB/T20984:2007,MicrosoftSecurityRiskManagementGuide
3.风险计算方法,常见的风险计算方法,包括定量方法、定性方法和半定量方法
六、风险识别
1.详细介绍资产识别方法
2.脆弱性分析威胁分析
3.业务影响分析
4.安全措施识别
演示与实验
1.资产识别
2.威胁识别
3.脆弱性识别
4.安全措施识别
第四天
七、风险分析
1.风险分析
2.风险评价
3.风险评估方法论:基线评估,详细评估和组合评估等方法
4.基于统计学的风险评估方法
演示与实验
风险分析矩阵
八、风险管理
1.风险管理原理
2.信息安全风险管理及其组成要素
3.风险处置方法、控制措施的选择,及常见控制措施
4.安全风险处置与接受原则与方法
5.风险评估演练:通过实战演练风险评估过程与方法
复习考试