課程時(shí)長(zhǎng)：5天（7學(xué)時(shí)/天）

舉辦時(shí)間： 每月一期，15人以內(nèi)小班互動(dòng)授課

報(bào)名截止時(shí)間：開課前3個(gè)工作日

舉辦地點(diǎn)：上海人民廣場(chǎng)黃河路355號(hào)二號(hào)樓（AVTECH培訓(xùn)教室）

課程對(duì)象：

CISSP資質(zhì)的適合人員下列人員將非常適合進(jìn)行CISSP認(rèn)證：

l    企業(yè)信息安全主管

l    信息安全業(yè)內(nèi)人士

l    IT或安全顧問人員

l    IT審計(jì)人員

l    安全設(shè)備廠商或服務(wù)提供商

l    信息安全類講師或培訓(xùn)人員

l    信息安全事件調(diào)查人員

l    其他從事與信息安全相關(guān)工作的人員(如系統(tǒng)管理員、程序員等)

課程供應(yīng)商：艾威培訓(xùn)中心

 

課程背景： 

國(guó)際信息安全管理認(rèn)證培訓(xùn)課程（CISSP），是國(guó)際通用的一套網(wǎng)絡(luò)信息安全管理體系，該課程將系統(tǒng)講解系統(tǒng)、網(wǎng)絡(luò)、風(fēng)險(xiǎn)管理，并對(duì)業(yè)務(wù)中的訪問控制、密碼學(xué)、災(zāi)難恢復(fù)等企業(yè)常碰到的安全問題進(jìn)行研習(xí)。艾威國(guó)際信息安全管理認(rèn)證培訓(xùn)內(nèi)容涵蓋ISC²十個(gè)知識(shí)領(lǐng)域，由淺入深的講解。

本課程適合企業(yè)在職人員技能提升學(xué)習(xí)，通過艾威培訓(xùn)老師的講師與實(shí)操演練，讓大家更加有效的完成工作，提升企業(yè)效率。

課程收益：

掌握信息安全與風(fēng)險(xiǎn)管理的方法

掌握各類訪問控制措施

掌握安全模型與設(shè)計(jì)

掌握電信與網(wǎng)絡(luò)安全

掌握業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)

掌握應(yīng)用程序安全

掌握密碼學(xué)

掌握法律、合規(guī)和調(diào)查

掌握物理與環(huán)境安全

掌握操作安全

課程大綱：

信息安全與風(fēng)險(xiǎn)管理

l  信息安全的基本概念和CIA三原則

l  信息安全管理的過程模型

l  信息安全計(jì)劃、風(fēng)險(xiǎn)管理概念

l  風(fēng)險(xiǎn)管理過程、信息資產(chǎn)、威脅、弱點(diǎn)、殘留風(fēng)險(xiǎn)的概念以及互相關(guān)系

l  定量和定性風(fēng)險(xiǎn)評(píng)估方法以及實(shí)施過程

l  風(fēng)險(xiǎn)消減策略和考慮因素、配置管理、變更管理、應(yīng)急計(jì)劃等風(fēng)險(xiǎn)管理相關(guān)活動(dòng)

l  數(shù)據(jù)分類

l  安全方針、標(biāo)準(zhǔn)、指南和程序

l  人員安全、安全意識(shí)和培訓(xùn)等

訪問控制

l  訪問控制的要素和各類訪問控制措施

l  身份識(shí)別與認(rèn)證技術(shù)

l  口令

l  一次性口令

l  生物識(shí)別

l  SSO

l  訪問控制技術(shù)與方法

l  MAC,DAC, 基于角色訪問控制等

l  訪問控制管理：集中式與分散式

l  訪問控制*實(shí)踐

l  最小特權(quán)

l  職責(zé)分離

l  典型的訪問控制威脅：

l  口令攻擊

l  拒絕服務(wù)

l  欺騙攻擊

l  滲透測(cè)試等

安全模型與設(shè)計(jì)

l  計(jì)算機(jī)體系結(jié)構(gòu)

l  計(jì)算機(jī)硬件軟件構(gòu)成

l  開放系統(tǒng)與封閉系統(tǒng)

l  保護(hù)機(jī)制的概念和各種類型

l  安全模型：BLP, BIBA, Clark Wilson

l  系統(tǒng)運(yùn)行的安全模型

l  系統(tǒng)評(píng)測(cè)；認(rèn)證和認(rèn)可

l  各類評(píng)測(cè)標(biāo)準(zhǔn)

l  安全體系面臨的威脅

l  隱蔽通道

l  后門

l  異步攻擊等

電信與網(wǎng)絡(luò)安全

l  開放系統(tǒng)互連參考模型OSI

l  網(wǎng)絡(luò)通信基礎(chǔ)

l  物理接連技術(shù)與特性

l  網(wǎng)絡(luò)拓?fù)?span lang="EN-US">

l  信號(hào)傳輸類型

l  典型的網(wǎng)絡(luò)通信協(xié)議 TCP/IP

l  局域網(wǎng)LAN技術(shù)、傳輸方式、介質(zhì)訪問與控制方式、實(shí)現(xiàn)方式、設(shè)備

l  城域網(wǎng)MAN技術(shù)、鏈路類型

l  廣域網(wǎng)WAN技術(shù)、交換、協(xié)議、設(shè)備

l  遠(yuǎn)程訪問安全與管理

l  網(wǎng)絡(luò)通訊安全技術(shù)

l  數(shù)據(jù)傳輸保護(hù)

l  邊界保護(hù)

l  IDS

l  高可用性保證

l  無線技術(shù)及安全

l  各種網(wǎng)絡(luò)攻擊手段與對(duì)策等

業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)

l  BCP與DRP的基本概念

l  BCP與DRP的相互關(guān)系

l  BCP/DRP的作用

l  BCP/DRP的準(zhǔn)備工作：目標(biāo)、范圍、責(zé)任、資源、計(jì)劃、支持

l  業(yè)務(wù)影響分析BIA：基本概念和實(shí)施過程

l  確定恢復(fù)策略：關(guān)鍵活動(dòng)、預(yù)算計(jì)劃和考慮罌粟

l  開發(fā)計(jì)劃：內(nèi)容和格式

l  實(shí)施計(jì)劃：備用站點(diǎn)，簽署協(xié)議，人員培訓(xùn)

l  測(cè)試計(jì)劃：測(cè)試目的，測(cè)試計(jì)劃，測(cè)試方法

l  維護(hù)計(jì)劃等

應(yīng)用程序安全

l  軟件應(yīng)用環(huán)境：分布式和集中式系統(tǒng)

l  典型威脅

l  各種應(yīng)用控制

l  數(shù)據(jù)庫和數(shù)據(jù)倉庫的安全行

l  基于知識(shí)的系統(tǒng)：專家系統(tǒng)和神經(jīng)網(wǎng)絡(luò)

l  系統(tǒng)開發(fā)控制

l  系統(tǒng)開發(fā)生命周期

l  如可在系統(tǒng)開發(fā)生命周期內(nèi)考慮安全措施

l  軟件開發(fā)過程模型

l  軟件開發(fā)方法

l  軟件保護(hù)機(jī)制和*實(shí)踐等

密碼學(xué)

l  密碼學(xué)基本概念、目標(biāo)、發(fā)展歷史、技術(shù)和方法、應(yīng)用領(lǐng)域

l  對(duì)稱密碼學(xué)簡(jiǎn)介、分類、DES等典型算法介紹

l  非對(duì)稱密碼學(xué)基本原理，RSA，ECC等典型算法介紹

l  對(duì)稱密碼學(xué)和非對(duì)稱密碼學(xué)對(duì)照比較

l  消息驗(yàn)證

l  數(shù)字簽名

l  密碼學(xué)應(yīng)用

l  PKI

l  電子郵件安全

l  網(wǎng)絡(luò)安全

l  電子商務(wù)

l  消息隱藏

l  密鑰管理：密鑰生成、交換、撤銷、恢復(fù)等

l  密鑰托管

l  密碼學(xué)相關(guān)攻擊手段等

法律、合規(guī)和調(diào)查

l  計(jì)算機(jī)犯罪的概念定義

l  計(jì)算機(jī)犯罪手段、經(jīng)典案例

l  計(jì)算機(jī)相關(guān)法律的類型

l  知識(shí)產(chǎn)權(quán)保護(hù)、隱私保護(hù)、版權(quán)保護(hù)、進(jìn)出口限制

l  計(jì)算機(jī)犯罪法

l  計(jì)算機(jī)道德話題

l  計(jì)算機(jī)犯罪調(diào)查

l  對(duì)計(jì)算機(jī)事件的定義

l  計(jì)算機(jī)辨析學(xué)

l  計(jì)算機(jī)犯罪證據(jù)類型、標(biāo)準(zhǔn)和生命周期等

物理與環(huán)境安全

l  物理與環(huán)境安全存在的問題

l  識(shí)別需要保護(hù)的物理資產(chǎn)

l  物理資產(chǎn)面臨的威脅和風(fēng)險(xiǎn)

l  各種物理與安全環(huán)境控制措施

l  管理、技術(shù)和物理控制

l  場(chǎng)地設(shè)施的選擇和建設(shè)

l  環(huán)境和生命安全

l  供電、空調(diào)、溫度和濕度控制、防水、防火

l  人員安全考慮

l  硬件設(shè)備的安全等

操作安全

l  操作安全的定義

l  操作安全需要考慮的因素

l  控制措施的各種分類方式

l  操作安全*實(shí)踐和管理原則：Due Care、最小特權(quán)、分離職責(zé)等

l  日常管理和系統(tǒng)操作事物：配置管理、事件管理、問題管理、變更管理、防病毒管理、介質(zhì)管理、可信設(shè)備管理、可信恢復(fù)等

l  審計(jì)與監(jiān)視：審計(jì)目標(biāo)、概念、工具和技術(shù)等

課程講師：
銀 鷹

AVTECH（*）簽約講師

博士 通信與信息系統(tǒng)專業(yè) 上海交通電子工程系

CISSP (Certification for Information System Security Professional)

十余年IT和信息安全專業(yè)領(lǐng)域從業(yè)經(jīng)驗(yàn)，在IT基礎(chǔ)架構(gòu)咨詢和規(guī)劃，信息系統(tǒng)安全評(píng)估和審計(jì)、安全咨詢、方案設(shè)計(jì)、項(xiàng)目實(shí)施和項(xiàng)目管理方面有豐富的經(jīng)驗(yàn)

授課風(fēng)格：

ü  條例清晰，案例教學(xué)