【课程背景】

当今经济运行、行业发展、工作生活等带来的大数据，像水、电、气一样，已经成为我们工作和生活的基本物质，关系到经济运行、社会发展、个人隐私等方方面面内容。数据的国内年复合增长率84%，数据的爆炸带动各行业的应用系统数量的与日俱增，从企业的数据中心应用，到互联网企业的大型移动应用，都无时无刻不在存储和管理着大量的数据资源，这些数据能够帮助个人、企业和社会更好地发展。

如何保证应用系统的安全性和可靠性？这个问题已经引起全社会的广泛关注。

安全测试是建立在功能测试基础上进行的测试，安全测试提供证据表明，在面对恶意攻击时，应用仍能充分满足它的需求，主要是对产品进行检验以验证是否符合安全需求定义和产品质量标准的过程

软件产品大多具备很强的实用性，尽管无法完全适用于某个行业，但它能够 覆盖绝大多数企业的绝大多数业务，并且一般实施软件周期通常不会太长，所以在时间紧任务重的情况下，要重点地验证软件性能，对于本企业的工作流程对软件做单元测试、压力测试及全面检测等。

软件的安全性是一个长期性连续不断的过程，围绕整个软件的项目生命周期。企业从系统上线、试运营到正式运行，甚至完全摆脱手工账，整个期间软件的安全性都是一个不容忽视的难题。验证软件安全性的**常用办法以上所述软件原型检测，因为系统软件是信息集成系统，所以在检测时，应该是全系统的检测，每个部门的人员都需要同时参与，这样才可以了解各个数据信息、功能和工作流程之间彼此的集成关联。

检测时，找出存在问题的方面，明确提出处理企业管理难题的方案，以便明确提出对软件的改进方案;然后再模拟运行，在基本上了解软件功能的基础上，按企业的工作流程模拟操作，挑选有代表性的业务，将各种各样需要的数据整理录入系统，按企业日常工作中常常遇到的难题，组织项目团队开展实战演练性模拟，并按照发现的难题及市场需求，由项目团队制订解决方案。

　　总的来说，综合检测系统软件是否稳定的办法。应用软件和共享数据结构间的这种关联决定了它一定要实施稳固的检测和监测流程才可以保证企业重要应用的正常运行。所以，确保应用系统的安全性以上所述在确保企业内部正常的工作的安全性。

【课程收益】

Ø 了解“安全监测”的内涵与关键功能点

Ø 了解“安全监测”的类型，及其在应用发开与使用中的定位

Ø 熟悉 “安全监测”常用的工具，与使用的场景

Ø 了解“移动应用”的检测方式

Ø 了解如何建立正确的“安全监测”系统化思维

【课程特色】分析理论，知其所以然；实战解析，能趋吉避凶

【课程对象】信息技术部门相关主管， 信息科技部首席/资深架构师，CIO（首席信息官），CTO（首席技术官），COO（首席运营官），信息科技部数据中心运维人员

【课程时间】6小时

【课程大纲】

一、 “安全测试”的内涵为何？

a) 安全测试的定义为何？

b) 安全测试的主要目的为何？

c) 安全测试与“通常测试”与“渗透测试”的差别为何？

d) 安全测试目前面临的挑战为何？

二、 “安全测试”的功能点有哪些？

a) 网络安全

b) 用户程序安全

c) 数据安全

d) 是否使用“第三方”评测软件？

三、 安全测试有哪些类型？

a) 跨站脚本（XSS, Cross Set Script）

i. 反射型跨站（Reflected XSS）

ii. 存储型跨站（Stored XSS）

iii. DOM 跨站（DOM-based XSS）

iv. 跨站请求伪造（CSRF）

b) 注入类

i. SQL 注入

ii. XML 注入

iii. URL 跳转

c) 文件类

i. 文件系统跨越

ii. 文件上传

iii. 文件下载

d) 系统命令

e) 控制类

i. 权限控制

ii. 访问控制

四、 业界常用的安全测试工具，以及其应用场景？

a) AppScan

b) BurpSuite

c) Nmap

d) salmap

五、 移动应用（Mobility Application）的安全监测有哪些方式？

a) 漏洞扫描

b) 渗透测试

c) 代码审计

d) 安全加固

e) 安全配置检查

f) 个人信息收集合规评估

六、 系统安全测试的正确思路为何？

a) 知道问什么要测试？

b) 了解运行的网络环境

c) 明确设置的范围

d) 做好测试计划

e) 使用合适的团队资源

f) 不要对过程进行干预

g) 注重结果

h) 全面沟通结果

七、 课程总结

a) 学员心得分享

b) 课程重点摘要

c) 答客问