[上海艾威]CISSP认证培训

课程时长：5天（7学时/天）

举办时间： 每月一期，15人以内小班互动授课

报名截止时间：开课前3个工作日

举办地点：上海人民广场黄河路355号二号楼（AVTECH培训教室）

课程对象：

CISSP资质的适合人员下列人员将非常适合进行CISSP认证：

l    企业信息安全主管

l    信息安全业内人士

l    IT或安全顾问人员

l    IT审计人员

l    安全设备厂商或服务提供商

l    信息安全类讲师或培训人员

l    信息安全事件调查人员

l    其他从事与信息安全相关工作的人员(如系统管理员、程序员等)

课程供应商：艾威培训中心

 

课程背景： 

国际信息安全管理认证培训课程（CISSP），是国际通用的一套网络信息安全管理体系，该课程将系统讲解系统、网络、风险管理，并对业务中的访问控制、密码学、灾难恢复等企业常碰到的安全问题进行研习。艾威国际信息安全管理认证培训内容涵盖ISC²十个知识领域，由浅入深的讲解。

本课程适合企业在职人员技能提升学习，通过艾威培训老师的讲师与实操演练，让大家更加有效的完成工作，提升企业效率。

课程收益：

掌握信息安全与风险管理的方法

掌握各类访问控制措施

掌握安全模型与设计

掌握电信与网络安全

掌握业务连续性与灾难恢复

掌握应用程序安全

掌握密码学

掌握法律、合规和调查

掌握物理与环境安全

掌握操作安全

课程大纲：

信息安全与风险管理

l  信息安全的基本概念和CIA三原则

l  信息安全管理的过程模型

l  信息安全计划、风险管理概念

l  风险管理过程、信息资产、威胁、弱点、残留风险的概念以及互相关系

l  定量和定性风险评估方法以及实施过程

l  风险消减策略和考虑因素、配置管理、变更管理、应急计划等风险管理相关活动

l  数据分类

l  安全方针、标准、指南和程序

l  人员安全、安全意识和培训等

访问控制

l  访问控制的要素和各类访问控制措施

l  身份识别与认证技术

l  口令

l  一次性口令

l  生物识别

l  SSO

l  访问控制技术与方法

l  MAC,DAC, 基于角色访问控制等

l  访问控制管理：集中式与分散式

l  访问控制*实践

l  最小特权

l  职责分离

l  典型的访问控制威胁：

l  口令攻击

l  拒绝服务

l  欺骗攻击

l  渗透测试等

安全模型与设计

l  计算机体系结构

l  计算机硬件软件构成

l  开放系统与封闭系统

l  保护机制的概念和各种类型

l  安全模型：BLP, BIBA, Clark Wilson

l  系统运行的安全模型

l  系统评测；认证和认可

l  各类评测标准

l  安全体系面临的威胁

l  隐蔽通道

l  后门

l  异步攻击等

电信与网络安全

l  开放系统互连参考模型OSI

l  网络通信基础

l  物理接连技术与特性

l  网络拓扑

l  信号传输类型

l  典型的网络通信协议 TCP/IP

l  局域网LAN技术、传输方式、介质访问与控制方式、实现方式、设备

l  城域网MAN技术、链路类型

l  广域网WAN技术、交换、协议、设备

l  远程访问安全与管理

l  网络通讯安全技术

l  数据传输保护

l  边界保护

l  IDS

l  高可用性保证

l  无线技术及安全

l  各种网络攻击手段与对策等

业务连续性与灾难恢复

l  BCP与DRP的基本概念

l  BCP与DRP的相互关系

l  BCP/DRP的作用

l  BCP/DRP的准备工作：目标、范围、责任、资源、计划、支持

l  业务影响分析BIA：基本概念和实施过程

l  确定恢复策略：关键活动、预算计划和考虑罂粟

l  开发计划：内容和格式

l  实施计划：备用站点，签署协议，人员培训

l  测试计划：测试目的，测试计划，测试方法

l  维护计划等

应用程序安全

l  软件应用环境：分布式和集中式系统

l  典型威胁

l  各种应用控制

l  数据库和数据仓库的安全行

l  基于知识的系统：专家系统和神经网络

l  系统开发控制

l  系统开发生命周期

l  如可在系统开发生命周期内考虑安全措施

l  软件开发过程模型

l  软件开发方法

l  软件保护机制和*实践等

密码学

l  密码学基本概念、目标、发展历史、技术和方法、应用领域

l  对称密码学简介、分类、DES等典型算法介绍

l  非对称密码学基本原理，RSA，ECC等典型算法介绍

l  对称密码学和非对称密码学对照比较

l  消息验证

l  数字签名

l  密码学应用

l  PKI

l  电子邮件安全

l  网络安全

l  电子商务

l  消息隐藏

l  密钥管理：密钥生成、交换、撤销、恢复等

l  密钥托管

l  密码学相关攻击手段等

法律、合规和调查

l  计算机犯罪的概念定义

l  计算机犯罪手段、经典案例

l  计算机相关法律的类型

l  知识产权保护、隐私保护、版权保护、进出口限制

l  计算机犯罪法

l  计算机道德话题

l  计算机犯罪调查

l  对计算机事件的定义

l  计算机辨析学

l  计算机犯罪证据类型、标准和生命周期等

物理与环境安全

l  物理与环境安全存在的问题

l  识别需要保护的物理资产

l  物理资产面临的威胁和风险

l  各种物理与安全环境控制措施

l  管理、技术和物理控制

l  场地设施的选择和建设

l  环境和生命安全

l  供电、空调、温度和湿度控制、防水、防火

l  人员安全考虑

l  硬件设备的安全等

操作安全

l  操作安全的定义

l  操作安全需要考虑的因素

l  控制措施的各种分类方式

l  操作安全*实践和管理原则：Due Care、最小特权、分离职责等

l  日常管理和系统操作事物：配置管理、事件管理、问题管理、变更管理、防病毒管理、介质管理、可信设备管理、可信恢复等

l  审计与监视：审计目标、概念、工具和技术等

课程讲师：
银 鹰

AVTECH（*）签约讲师

博士 通信与信息系统专业 上海交通电子工程系

CISSP (Certification for Information System Security Professional)

十余年IT和信息安全专业领域从业经验，在IT基础架构咨询和规划，信息系统安全评估和审计、安全咨询、方案设计、项目实施和项目管理方面有丰富的经验

授课风格：

ü  条例清晰，案例教学