Information System Security培训

这种由讲师指导的 中国 现场培训（在线或现场）面向希望获得管理、管理、监控和维护 Fortinet 安全系统的基本技能的中级网路管理员。

在本次培训结束时，参与者将能够：

• 配置和管理 FortiGate 个防火墙。
• 使用 FortiAnalyzer 监控网路流量并管理事件。
• 通过 FortiManager 自动执行任务并管理策略。
• 应用预防性维护策略并解决网路问题。

这种以讲师为主导的中国现场培训（现场或远程）针对希望使用FortiGate 1100E有效管理和保护其网络环境的初级网络管理员。

在培训结束时，参与者将能够：

• 了解 FortiGate 1100E 的基本体系结构和功能。
• 了解如何在各种网络环境中部署 FortiGate 1100E。
• 获得基本配置和管理任务的实践经验。
• 了解安全策略、NAT 和 VPN。
• 学习监控和维护 FortiGate 1100E。

这种以讲师为主导的 中国（在线或现场）实时培训面向希望使用 FortiGate 防火墙管理和保护其网络的中级网络管理员。

在培训结束时，参与者将能够：

• 了解 Fortigate 的特性和功能，尤其是版本 7.4 中引入或增强的特性和功能。
• 配置和管理 FortiGate 设备并实施高级安全功能。
• 部署和管理高级安全措施，如 IPS、防病毒、Web 过滤和威胁管理。
• 监控网络活动、分析日志并生成报告以进行审核和合规性。

这种由讲师指导的现场培训<>（在线或现场）面向希望深入研究 Fortinet 产品线的技术方面和功能以有效推荐、销售和实施 Fortinet 安全解决方案的中级技术专业人员。

在培训结束时，参与者将能够：

• 深入了解 Fortinet 的高级安全解决方案和产品。
• 了解每个核心 Fortinet 产品的技术特性、优势和部署方案。
• 在各种环境中配置、管理和排除 Fortinet 解决方案故障。
• 应用 Fortinet 产品来应对复杂的安全挑战和要求。

这种以讲师为主导的中国现场培训（现场或远程）针对的是希望学习如何使用Cortex XDR来预防和阻止复杂攻击和威胁发生的安全专业人员。

在培训结束时，参与者将能够：

• 了解 Cortex XDR 的体系结构和组件。
• 创建和管理用于漏洞利用和恶意软件防护的配置文件。
• 分析行为威胁并监控响应操作。
• 执行基本的 Cortex 应用故障排除。

这种由讲师指导的现场培训中国（在线或现场）面向希望了解安全架构概念及其如何演变以满足组织网络安全需求的初级技术专业人员。

在培训结束时，参与者将能够：

• 了解网络安全的演变以及它如何塑造当前的安全技术。
• 使用 Fortinet 产品抵御特定类型的网络威胁和攻击。
• 了解 Fortinet 解决方案在协调应对网络事件方面的集成和自动化功能。

这种以讲师为主导的中国现场培训（现场或远程）面向希望学习如何对Palo Alto Networks“下一代防火墙进行故障排除的安全专业人员。

在培训结束时，参与者将能够：

• 了解下一代防火墙的架构。
• 使用防火墙工具调查和排查网络问题。
• 分析高级日志以解决实际情况。

这种由讲师指导的现场培训中国（在线或远程）面向希望学习网络安全概念和当前全球威胁形势的初级网络安全专业人员。

在培训结束时，参与者将能够：

• 了解当前的全球威胁形势，并确定网络对手的主要类型。
• 识别恶意软件的主要类型和网络攻击的机制。
• 了解网络安全的基础知识以及分层安全方法的重要性。
• 了解 Fortinet 的 Security Fabric 安全架构及其如何应对现代网络安全挑战。

这种以讲师为主导的中国现场培训（现场或远程）面向希望使用Fortigate 600E设备有效管理和保护网络的中级网络和安全专业人员，特别关注HA配置，以提高可靠性和性能。

在培训结束时，参与者将能够：

• 了解 Fortigate 600E 防火墙的功能、规格和工作原理。
• 执行 Fortigate 600E 的初始设置，包括设置接口、路由和初始防火墙策略等基本配置任务。
• 配置和管理高级安全功能，例如 SSL VPN、用户身份验证、防病毒、IPS、Web 过滤和反恶意软件功能，以抵御各种网络威胁。
• 对 HA 设置中的常见问题进行故障排除，并有效管理 HA 环境。

这种由 讲师指导的现场培训在 中国（在线或现场）面向服务技术人员、系统管理员或希望学习霍尼韦尔安全系统的正确安装、使用和管理的任何人。

在本次培训结束时，参与者将能够：

• 了解 Honeywell 安全系统和元件的概念。
• 正确安装和维护霍尼韦尔安全系统。
• 利用 Honeywell 维护工具和管理套件来控制安全系统。

这种以讲师为主导的中国现场培训（现场或远程）面向希望学习如何大规模管理防火墙的安全专业人员。

在培训结束时，参与者将能够：

• 设计、配置和管理 Panorama FireWall 管理服务器。
• 使用设备组管理策略。
将
• 网络配置部署到不同的防火墙。

EC-Council Certified DevSecOps Engineer (ECDE) 是一门实作课程，旨在让专业人员掌握在 DevOps 生命周期中嵌入安全性的技能，从而实现从规划到部署的安全软件开发。

这门由讲师主导的培训（线上或线下）针对中级软件和 DevOps 专业人员，他们希望将安全实践整合到 CI/CD 管道中，确保代码的安全合规交付。

在培训结束时，参与者将能够：

• 理解 DevSecOps 的原则与实践。
• 使用自动化工具保护 CI/CD 管道的每个阶段。
• 实施安全编码实践与漏洞扫描。
• 通过实作实验室与复习，为 ECDE 认证做好准备。

课程形式

• 互动式讲座与讨论。
• 在模拟管道中实作使用 DevSecOps 工具。
• 专注于安全开发与部署的指导练习。

课程定制选项

• 如需根据您团队的工作流程或工具链定制此课程的培训，请联系我们安排。

此由讲师指导的现场培训以 中国（现场或远程）进行，面向  希望了解软件许可基础知识、FlexNet 的主要功能以及如何实施和维护软件许可证管理解决方案的系统管理员。

在本次培训结束时，参与者将能够：

了解软件许可的基本概念。 管理 FlexNet 的核心组件和操作系统。 为最终用户创建各种许可证模型和类型、生成许可证密钥并激活软件许可证。 向最终用户添加、管理和分配许可证，监控许可证使用情况并确保合规性。

这项由讲师指导的现场培训<本地>（在线或现场）面向经验丰富的网路安全经理，他们希望获得作为 NSE4 Network Security 专业人员部署、管理和排除在 FortiOS 7.2 上运行的 Fortinet FortiGate 安全设备所需的知识和技能。

在本次培训结束时，参与者将能够：

• 了解 Fortinet 的产品群组以及 FortiOS 在网路安全中的作用。
• 实施有效的防火墙策略、安全配置档和网路位址转换 （NAT）。
• 利用安全服务并确保网路冗馀和故障转移。
• 实施安全最佳实践并优化安全策略以实现合规性和威胁缓解。

Offensive Security Certified Professional (OSCP) 是一个实践导向的培训课程，旨在帮助学员掌握与 OSCP 认证目标一致的实际渗透测试技能。

这项由讲师主导的培训（线上或线下）针对中级安全专业人士，他们希望通过道德黑客技术识别、利用和修复现代系统和网络中的漏洞。

在培训结束时，学员将能够：

• 进行信息收集、枚举和漏洞扫描。
• 使用高级渗透测试技术利用系统。
• 在受损系统上提升权限并维持访问。
• 撰写并报告专业的渗透测试报告。

课程形式

• 互动式讲座和讨论。
• 在实际渗透测试场景中动手使用 Kali Linux 工具。
• 专注于利用、权限提升和文档撰写的指导练习。

课程定制选项

• 如需根据团队环境或 OSCP 考试准备需求定制此课程，请联系我们安排。

这种以讲师为主导的中国现场培训（现场或远程）面向希望学习管理Palo Alto Networks“下一代防火墙基础知识的安全专业人员。

在培训结束时，参与者将能够：

• 配置和管理 Palo Alto Networks“防火墙的基本功能。
• 管理安全性和 NAT 策略。
• 管理威胁预防策略。
• 监控网络威胁和流量。

这种由讲师指导的现场中国（在线或现场）培训面向希望保护联网车辆免受网络攻击的工程师。

在培训结束时，参与者将能够：

• 在汽车系统中实施网络安全。
• 选择最合适的技术、工具和方法。

CISP全称是国家注册信息安全专业人员(Certified Information Security Professional)，是安全行业权威的安全资格认证。它由中国信息安全测评中心统一授权组织，中国信息安全测评中心授权培训机构进行具体培训实施。

CISP课程体系涉及十大知识域，分别包括：信息安全保障、网络安全监管、信息安全管理、业务连续性、安全工程与运营、安全评估、信息安全支撑技术、物理与网络通信安全、计算环境安全、软件安全开发，培训采用理论与实际相结合的教学方法。

CISP证书根据工作领域和实际岗位工作的需要，分为四类证书：

01、“注册信息安全工程师”，英文为Certified Information Security Engineer，简称CISE。证书持有人员主要从事信息安全技术领域的工作，具有从事信息系统安全集成、安全技术测试、安全加固和安全运维的基本知识和能力。

02、“注册信息安全管理员”，英文为Certified Information Security Officer，简称CISO。证书持有人员主要从事信息安全管理领域的工作，具有组织信息安全风险评估、信息安全总体规划编制、信息安全策略制度制定和监督落实的基本知识和能力。

03、“注册信息系统审计师”，英文为Certified Information System Auditor，简称CISA。证书持有人主要从事信息安全审计工作，在全面掌握信息安全基本知识技能的基础上，具有较强的信息安全风险评估、安全检查实践能力。

04、“注册信息安全开发人员”，英文为Certified Information Security Developer，简称CISD。证书持有人主要从事软件开发相关工作，在全面掌握信息安全基本知识技能的基础上，具有较强的信息系统安全开发能力、熟练掌握应用安全。

本课程专注于注册信息安全工程师（以上第01类）考试的培训。

Android 是一个面向手机和平板电脑等移动设备的开放平台。它具有多种安全功能，使开发安全软件更加容易，但也缺少其他手持平台中存在的某些安全方面。本课程全面概述了这些功能，并指出了与底层Linux、文件系统及整体环境相关的最关键缺陷，以及在使用权限和其他Android软件开发组件时需要注意的问题。

课程详细描述了本地代码和Java应用程序中典型的安全陷阱和漏洞，同时提供了避免和缓解这些问题的建议和最佳实践。在许多情况下，讨论的问题通过实际案例和案例研究加以支持。最后，我们简要介绍了如何使用安全测试工具来揭示与安全相关的编程错误。

参与者参加本课程后将能够：

• 理解安全、IT安全和安全编码的基本概念
• 学习Android上的安全解决方案
• 学习使用Android平台的各种安全功能
• 获取关于Android上Java最近漏洞的信息
• 了解典型的编码错误及其避免方法
• 理解Android上本地代码的漏洞
• 认识到本地代码中不安全缓冲区处理的严重后果
• 理解架构保护技术及其弱点
• 获取安全编码实践的来源和进一步阅读材料

受众

专业人士

目前有许多程式设计语言可用于将代码编译为 .NET 和 ASP.NET 框架。该环境为安全开发提供了强大的手段，但开发人员应该知道如何应用体系结构和编码级别的程式设计技术，以实现所需的安全功能并避免漏洞或限制其利用。

本课程旨在通过大量动手练习向开发人员传授如何防止不受信任的代码执行特权操作、通过强身份验证和授权保护资源、提供远端过程调用、处理会话、为某些功能介绍不同的实现等等。一个特殊部分专门用于配置和强化 .NET 和 ASP.NET 环境以确保安全性。

对密码学基础知识的简要介绍为理解各种演算法的用途和操作提供了一个通用的实践基线，在此基础上，本课程介绍了可在 .NET 中使用的加密功能。随后引入了一些最新的加密漏洞，这些漏洞都与某些加密演算法和加密协定以及侧通道攻击有关。

引入不同的漏洞首先会出现使用 .NET 时提交的一些典型程式设计问题，包括输入验证、错误处理或争用条件的错误类别。特别关注 XML 安全性，而 ASP.特定于 NET 的漏洞解决了一些特殊问题和攻击方法： 例如攻击 ViewState 或字串终止攻击。

参加本课程的学员将

• 了解安全、IT 安全和安全编码的基本概念
• 了解如何使用 .NET 开发环境的各种安全功能
• 对密码学有实际的了解
• 了解最近针对加密系统的一些攻击
• 获取有关 .NET 和 ASP.NET 中一些最新漏洞的资讯
• 了解典型的编码错误以及如何避免这些错误
• 获取有关使用安全测试工具的实用知识
• 获取有关安全编码实践的原始程式码和进一步阅读材料

观众

开发人员

实现安全的网路应用程式可能很困难，即使对于可能事先使用过各种加密构建块（例如加密和数位签名）的开发人员也是如此。为了让参与者了解这些加密原语的作用和用法，首先给出了安全通信的主要要求（安全确认、完整性、机密性、远端识别和匿名）的坚实基础，同时还介绍了可能破坏这些要求的典型问题以及实际解决方案。

由于网路安全的一个关键方面是密码学，因此还讨论了对称密码学、哈希、非对称密码学和密钥协定中最重要的加密演算法。这些元素不是提供深入的数学背景，而是从开发人员的角度进行讨论，展示了与加密使用相关的典型用例示例和实际考虑，例如公钥基础设施。介绍了安全通信的许多领域的安全协定，并深入讨论了最广泛使用的协定系列，例如 IPSEC 和 SSL/TLS。

讨论了与某些加密演算法和加密协定相关的典型加密漏洞，例如 BEAST、CRIME、TIME、BREACH、FREAK、Logjam、Padding oracle、Lucky Thirteen、POODLE 等，以及 RSA 计时攻击。在每种情况下，都会针对每个问题描述实际考虑和潜在后果，同样，无需深入数学细节。

最后，由于 XML 技术是网路应用程式数据交换的核心，因此描述了 XML 的安全方面。这包括在 Web 服务和 SOAP 消息中使用 XML 以及 XML 签名和 XML 加密等保护措施，以及这些保护措施中的弱点和 XML 特定的安全问题，例如 XML 注入、XML 外部实体 （XXE） 攻击、XML 炸弹和 XPath 注入。

参加本课程的学员将

• 了解安全、IT 安全和安全编码的基本概念
• 了解安全通信的要求
• 了解不同 OSI 层的网路攻击和防御
• 对密码学有实际的了解
• 了解基本安全协定
• 了解最近针对加密系统的一些攻击
• 获取有关一些最近的相关漏洞的资讯
• 了解 Web 服务的安全概念
• 获取有关安全编码实践的原始程式码和进一步阅读材料

观众

开发人员、专业人士

这个为期三天的课程涵盖了保护C / C++代码以防止可能利用内存管理和输入处理利用代码中的许多漏洞的恶意用户的基础知识，该课程涵盖了编写安全代码的原则。

即使是有经验的 Java 程式师也无法完全掌握 Java 提供的各种安全服务，同样也不知道与用 Java 编写的 Web 应用程式相关的不同漏洞。

该课程 - 除了介绍标准 Java 版的安全元件外 - 涉及 Java 企业版 （JEE） 和 Web 服务的安全问题。在讨论特定服务之前，先介绍加密和安全通信的基础。各种练习涉及 JEE 中的声明式和编程式安全技术，同时讨论了 Web 服务的传输层和端到端安全性。通过几个实践练习来介绍所有元件的使用，参与者可以亲自尝试所讨论的 API 和工具。

本课程还介绍并解释了 Java 语言和平台最常见和最严重的程式设计缺陷以及与Web相关的漏洞。除了 Java 程式师犯下的典型错误外，引入的安全漏洞还涵盖了特定于语言的问题和来自运行时环境的问题。所有漏洞和相关攻击都通过易于理解的练习进行演示，然后是推荐的编码指南和可能的缓解技术。

参加本课程的学员将

• 了解安全、IT 安全和安全编码的基本概念
• 了解 OWASP Top 10 之后的 Web 漏洞，并知道如何避免它们
• 了解 Web 服务的安全概念
• 学习使用 Java 开发环境的各种安全功能
• 对密码学有实际的了解
• 了解安全解决方案 Java EE
• 了解典型的编码错误以及如何避免这些错误
• 获取有关 Java 框架中一些最新漏洞的资讯
• 获取有关使用安全测试工具的实用知识
• 获取有关安全编码实践的原始程式码和进一步阅读材料

观众

开发人员

描述

Java语言和运行时环境（JRE）旨在摆脱其他语言（例如C / C++遇到的最常见的安全漏洞。然而，软件开发人员和架构师不仅应该知道如何使用Java环境的各种安全功能（积极的安全性），还应该了解与Java开发相关的众多漏洞（负面安全性）。

在介绍安全服务之前，先简要概述密码学的基础，为理解适用组件的目的和操作提供一个共同的基线。这些组件的使用通过几个实践练习呈现，参与者可以自己尝试讨论的API。

本课程还介绍并解释了Java语言和平台最常见和最严重的编程缺陷，包括Java程序员提出的典型错误以及特定于语言和环境的问题。所有漏洞和相关攻击都通过易于理解的练习进行演示，然后是推荐的编码指南和可能的缓解技术。

参加此课程的学员将

• 了解安全性，IT安全性和安全编码的基本概念
• 了解OWASP Top Ten之外的Web漏洞并知道如何避免它们
• 学习使用Java开发环境的各种安全功能
• 对密码学有实际的了解
• 了解典型的编码错误以及如何避免错误
• 获取有关Java框架中最近一些漏洞的信息
• 获取有关安全编码实践的资料和进一步阅读材料

听众

开发商

描述

除了使用 Java 元件的扎实知识外，即使对于经验丰富的 Java 程式员来说，也必须对伺服器端和用户端的Web相关漏洞、与用 Java 编写的Web应用程式相关的不同漏洞以及各种风险的后果有深入的了解。

通过介绍相关攻击来演示基于 Web 的一般漏洞，而推荐的编码技术和缓解方法在 Java 的上下文中解释，其最重要的目的是避免相关问题。此外，还特别关注用户端安全性，以解决 JavaScript、Ajax 和 HTML5 的安全问题。

本课程介绍了 Standard Java Edition 的安全元件，之前是密码学的基础知识，为理解适用元件的用途和操作提供了一个通用的基线。所有元件的使用都通过实践练习进行介绍，参与者可以亲自尝试所讨论的 API 和工具。

最后，本课程解释了 Java 语言和平台最常见和最严重的程式设计缺陷。除了 Java 程式师犯下的典型错误外，引入的安全漏洞还涵盖了特定于语言的问题和运行时环境引起的问题。所有漏洞和相关攻击都通过易于理解的练习进行演示，然后是推荐的编码指南和可能的缓解技术。

参加本课程的学员将

• 了解安全、IT 安全和安全编码的基本概念
• 了解 OWASP Top 10 之后的 Web 漏洞，并知道如何避免它们
• 了解用户端漏洞和安全编码实践
• 学习使用 Java 开发环境的各种安全功能
• 对密码学有实际的了解
• 了解典型的编码错误以及如何避免这些错误
• 获取有关 Java 框架中一些最新漏洞的资讯
• 获取有关使用安全测试工具的实用知识
• 获取有关安全编码实践的原始程式码和进一步阅读材料

观众

开发人员

参加本课程的中国学员将

• 了解安全、IT安全和安全编码的基本概念
• 学习OWASP十大漏洞之外的Web漏洞，并了解如何避免它们
• 学习客户端漏洞和安全编码实践
• 学习使用Java开发环境的各种安全功能
• 对加密学有实际理解
• 了解Web服务的安全概念
• 了解Java EE的安全解决方案
• 学习典型的编码错误及如何避免它们
• 获取有关Java框架中一些近期漏洞的信息
• 获得使用安全测试工具的实际知识
• 获取有关安全编码实践的资源和进一步阅读材料

现在有许多编程语言可以将代码编译到.NET和ASP.NET框架中。环境提供了强大的安全开发手段，但开发人员应该知道如何应用体系结构和编码级编程技术，以实现所需的安全功能，避免漏洞或限制其利用。

本课程的目的是通过大量实践练习教授开发人员如何防止不受信任的代码执行特权操作，通过强身份验证和授权保护资源，提供远程过程调用，处理会话，为某些功能引入不同的实现，以及许多更多。

引入不同的漏洞首先介绍使用.NET时提交的一些典型编程问题，而对ASP.NET漏洞的讨论也涉及各种环境设置及其影响。最后，ASP.NET特定漏洞的主题不仅涉及一些常规Web应用程序安全性挑战，还涉及特殊问题和攻击方法，如攻击ViewState或字符串终止攻击。

参加此课程的学员将

• 了解安全性，IT安全性和安全编码的基本概念
• 了解OWASP Top Ten之外的Web漏洞并知道如何避免它们
• 学习使用.NET开发环境的各种安全功能
• 获得使用安全测试工具的实用知识
• 了解典型的编码错误以及如何避免错误
• 获取有关.NET和ASP.NET中最近一些漏洞的信息
• 获取有关安全编码实践的资料和进一步阅读材料

听众

开发商

本课程介绍了一些常见的安全概念，概述了无论使用何种编程语言和平台，漏洞的本质，并解释了在软件开发生命周期的各个阶段如何处理与软件安全相关的风险。在不深入技术细节的情况下，课程重点介绍了各种软件开发技术中最有趣和最令人头痛的漏洞，并展示了安全测试的挑战，以及一些可以应用于发现代码中现有问题的技术和工具。

参加本课程的学员将：

• 理解安全、IT安全和安全编码的基本概念
• 理解Web服务器端和客户端的漏洞
• 认识到不安全的缓冲区处理的严重后果
• 了解开发环境和框架中的一些最新漏洞
• 学习典型的编码错误及如何避免它们
• 理解安全测试的方法和方法论

受众

管理人员

该课程为 PHP 开发人员提供了必要的基本技能，以使其应用程式能够抵御通过 Internet 的现代攻击。通过基于 PHP 的示例讨论了 Web 漏洞，这些示例超出了 OWASP 前十名，解决了各种注入攻击、脚本注入、针对 PHP 会话处理的攻击、不安全的直接物件引用、档上传问题等等。PHP 相关的漏洞被归类为标准漏洞类型，包括缺失或不正确的输入验证、不正确的错误和异常处理、安全功能的不当使用以及与时间和状态相关的问题。对于后者，我们讨论了诸如 open_basedir 规避、通过magic float拒绝服务或哈希表碰撞攻击等攻击。在所有情况下，参与者都将熟悉用于减轻入伍风险的最重要技术和功能。

特别关注用户端安全性，解决 JavaScript、Ajax 和 HTML5 的安全问题。引入了许多与 PHP 相关的扩展，例如用于加密的 hash、mcrypt 和 OpenSSL，或用于输入验证的 Ctype、ext/filter 和 HTML Purifier。最好的强化实践是与 PHP 配置（设置 php.ini）、Apache 和一般伺服器相关的。最后，概述了开发人员和测试人员可以使用的各种安全测试工具和技术，包括安全扫描器、渗透测试和漏洞利用包、嗅探器、代理伺服器、模糊工具和静态原始码分析器。

漏洞的引入和配置实践都得到了许多动手练习的支持，这些练习演示了成功攻击的后果，展示了如何应用缓解技术，并介绍了各种扩展和工具的使用。

参加本课程的学员将

• 了解安全、IT 安全和安全编码的基本概念
• 了解 OWASP Top 10 之后的 Web 漏洞，并知道如何避免它们
• 了解用户端漏洞和安全编码实践
• 对密码学有实际的了解
• 学习使用 PHP 的各种安全功能
• 了解典型的编码错误以及如何避免这些错误
• 了解 PHP 框架的最新漏洞
• 获取有关使用安全测试工具的实用知识
• 获取有关安全编码实践的原始程式码和进一步阅读材料

观众

开发人员

综合 SDL 核心培训通过 Microsoft 安全开发生命周期 (SDL) 深入探讨安全软件设计、开发和测试。该课程提供 SDL 基础构建的 100 级概述，随后介绍设计技术，以在开发过程的早期阶段检测和修复缺陷。

在处理开发阶段时，课程概述了管理代码和原生代码中典型的安全相关编程错误。针对讨论的漏洞，介绍了攻击方法及相关的缓解技术，并通过一系列实践练习为参与者提供即时黑客攻击的乐趣。在介绍不同的安全测试方法后，演示了各种测试工具的有效性。参与者可以通过一系列实践练习，将这些工具应用于已讨论的易受攻击的代码，从而了解这些工具的操作。

参与本课程的学员将 

了解安全、IT 安全和安全编码的基本概念

熟悉 Microsoft 安全开发生命周期的关键步骤

学习安全设计和开发实践

了解安全实施原则

理解安全测试方法

• 获取有关安全编码实践的来源和进一步阅读资料

目标受众

开发人员、经理

在熟悉漏洞和攻击方法之后，参与者将了解安全测试的一般方法和方法，以及可用于揭示特定漏洞的技术。安全测试应从收集有关系统的资讯（ToC，即评估目标）开始，然后进行彻底的威胁建模，揭示所有威胁并对其进行评级，从而得出最合适的风险分析驱动测试计划。

安全评估可以在 SDLC 的各个步骤进行，因此我们讨论了设计审查、代码审查、侦察和有关系统的资讯收集、测试实施以及测试和强化环境以实现安全部署。详细介绍了许多安全测试技术，例如污点分析和基于启发式的代码审查、静态代码分析、动态 Web 漏洞测试或模糊测试。介绍了各种类型的工具，这些工具可用于自动对软体产品进行安全评估，这也得到了许多练习的支援，我们在其中执行这些工具来分析已经讨论过的易受攻击的代码。许多现实生活中的案例研究支援更好地了解各种脆弱性。

本课程使测试人员和QA人员能够充分规划和精确执行安全测试，选择并使用最合适的工具和技术来发现隐藏的安全漏洞，从而提供可在第二天工作日应用的基本实践技能。

参加本课程的学员将

• 了解安全、IT 安全和安全编码的基本概念
• 了解 OWASP Top Ten 之后的 Web 漏洞，并知道如何避免它们
• 了解用户端漏洞和安全编码实践
• 了解安全测试方法和方法
• 获取有关使用安全测试技术和工具的实用知识
• 获取有关安全编码实践的原始程式码和进一步阅读材料

观众

开发人员、测试人员

保护可通过Web访问的应用程序需要精心准备的安全专业人员，他们始终了解当前的攻击方法和趋势。存在许多允许Web应用程序的舒适开发的技术和环境。人们不仅应该了解与这些平台相关的安全问题，还应该了解适用的所有常见漏洞，无论使用何种开发工具。

本课程概述了Web应用程序中适用的安全解决方案，特别关注理解要应用的最重要的加密解决方案。各种Web应用程序漏洞都出现在服务器端（遵循OWASP Top Ten）和客户端，通过相关攻击进行演示，然后是推荐的编码技术和缓解方法，以避免相关问题。安全编码的主题通过讨论输入验证领域中的一些典型的安全相关编程错误，安全功能的不正确使用和代码质量来完成。

测试在确保Web应用程序的安全性和健壮性方面起着非常重要的作用。可以应用各种方法 - 从高级审计到渗透测试再到道德黑客攻击 - 来查找不同类型的漏洞。但是，如果您想要超越容易找到的低调成果，安全测试应该得到妥善规划并妥善执行。请记住：安全测试人员应该理想地找到保护系统的所有错误，而对于攻击者来说，找到一个可利用的漏洞就足以渗透到系统中。

实践练习将有助于理解Web应用程序漏洞，编程错误以及最重要的缓解技术，以及从安全扫描程序，嗅探器，代理服务器，模糊测试工具到静态源代码分析器的各种测试工具的实际试用，本课程提供可在第二天在工作场所应用的基本实用技能。

参加此课程的学员将

• 了解安全性，IT安全性和安全编码的基本概念
• 了解OWASP Top Ten之外的Web漏洞并知道如何避免它们
• 了解客户端漏洞和安全编码实践
• 对密码学有实际的了解
• 了解安全测试方法和方法
• 掌握使用安全测试技术和工具的实用知识
• 了解各种平台，框架和库中的最新漏洞
• 获取有关安全编码实践的资料和进一步阅读材料

听众

开发人员，测试人员

本课程将帮助学员扫描、测试、破解他们自己的安全系统，获得当前基本安全系统的深入知识和实践经验。出席者了解边界防御的工作原理，然后被引导扫描和攻击他们自己的网路，没有真正的网路受到伤害，然后与会者将了解入侵者如何提升许可权以及可以采取哪些步骤来保护系统、入侵检测、策略创建、社会工程、DDoS 攻击、缓冲区溢出和病毒创建。    
 

在这个由讲师指导的中国现场课程中，参与者将学习如何制定适当的安全策略来应对DevOps安全挑战。

这个由讲师指导的 中国 现场培训介绍了在设计安全嵌入式系统时应考虑的系统架构、操作系统、网路、存储和加密问题。

在本课程结束时，参与者将对安全原则、关注点和技术有深入的了解。更重要的是，参与者将掌握开发安全可靠的嵌入式软体所需的技术。

这种由讲师指导的现场培训（线上或现场）面向希望使用 FortiGate NGFW 的高级安全驱动网路系统来保护其组织免受内部和外部威胁的安全工程师和系统管理员。

在培训结束时，参与者将能够：

• 安装并配置首选的 FortiGate NGFW 软体和硬体模型。
• 操作和使用 FortiGate NGFW 以提高系统管理任务的效率。
• 使用 FortiGate 功能管理各种形式的外部和内部威胁。
• 将 FortiGate Security Fabric 安全架构与整个 IT 基础架构集成，以提供快速的自动化保护。
• 通过独立且持续的 FortiGate 威胁情报，确保长期抵御攻击。
• 对与 FortiGate NGFW 相关的最常见防火墙系统设置错误进行故障排除。
• 在其他企业应用程式中实施 Fortinet 安全解决方案。

这种以讲师为主导的中国（在线或现场）现场培训针对希望使用 ___ 到 ___ 的 ___。

在培训结束时，参与者将能够：

• 安装和配置 ___。
• ___。 
• ___。 
• ___。 

在这个以讲师为主导的 中国 现场培训中，参与者将了解 Internet of Things (IoT) 架构并学习适用于其组织的不同物联网安全解决方案。

在培训结束时，参与者将能够：

• 了解IoT架构。
• 了解新出现的物联网安全威胁和解决方案。
• 在其组织中实施IoT安全技术。

在这个由讲师指导的 中国 现场培训中，参与者将在开发和部署基于样本 NB-IoT 的应用程式时了解 NB-IoT （也称为 LTE Cat NB1）的各个方面。

在培训结束时，参与者将能够：

• 确定 NB-IoT 的不同组成部分，以及如何组合在一起形成一个生态系统。
• 了解并解释 NB-IoT 设备中内置的安全功能。
• 开发一个简单的应用程式来跟踪 NB-IoT 个设备。

这种由讲师指导的现场培训（线上或现场）是针对希望使用 Nmap 保护其组织网路的软体测试人员。

在培训结束时，参与者将能够：

• 设置必要的测试环境以开始使用 Nmap。
• 扫描网路系统是否存在安全漏洞。
• 发现活跃和易受攻击的主机。

本课程将帮助学员扫描、测试、破解和保护 他们自己的系统。获得 对当前基本安全系统的深入了解和实践经验。出席者将了解边界防御的工作原理，然后被引导扫描和攻击他们自己的网路，没有真正的网路受到损害。然后，出席者将了解入侵者如何提升许可权以及可以采取哪些步骤来保护系统、入侵检测、策略创建、社会工程、DDoS 攻击、缓冲区溢出和病毒创建。

OpenVAS 是一个高级开源框架，由用于网路漏洞扫描和管理的多种服务和工具组成。

在这个由讲师指导的现场培训中，参与者将学习如何使用 OpenVAS 进行网路漏洞扫描。

在本次培训结束时，参与者将能够：

• 安装与设定OpenVAS
• 了解 OpenVAS 的基本特性和元件
• 使用 OpenVAS 配置和实施网路漏洞扫描
• 查看和解释 OpenVAS 个扫描结果

观众

• 网路工程师
• 网路管理员

课程形式

• 部分讲座、部分讨论、练习和大量动手实践

注意

• 要申请本课程的定制培训，请联系我们进行安排。

这种由讲师指导的现场培训 （线上或现场）面向寻求保护其 Web 应用程式和服务的开发人员、工程师和架构师。

在本次培训结束时，参与者将能够使用 OWASP 测试框架和工具集成、测试、保护和分析其 Web 应用程式和服务

这种以讲师为主导的中国现场培训（现场或远程）针对希望防止恶意软件侵入的开发人员 Palo Alto Networks.

在培训结束时，参与者将能够：

• 设置必要的开发环境以开始开发防火墙。
• 在云服务器中部署 Palo Alto 防火墙。
• 管理通过 Palo Alto 防火墙的数据包流。
• 解释 QoS 分类和类型。

公钥和私钥构成了公钥（非对称）加密的基础，它可以通过计算机网络实现安全通信和信息交换。这两个密钥的组合允许您保护传输的数据，维护其机密性并确保数字签名的真实性。公钥和私钥构成了公钥（非对称）加密的基础，它可以通过计算机网络实现安全通信和信息交换。这两个密钥的组合允许您保护传输的数据，维护其机密性并确保数字签名的真实性。

这个由 讲师指导的现场培训中国（在线或现场）面向系统管理员、系统工程师、安全架构师和安全分析师，他们希望编写、执行和部署 PowerShell 脚本和命令，以便在其组织中自动执行 Windows 安全管理。

在本次培训结束时，参与者将能够：

• 编写和执行 PowerShell 命令以简化 Windows 安全任务。
• 使用 PowerShell 远端执行命令，以在组织中的数千个系统上运行脚本。
• 配置并强化 Windows Server 和 Windows 防火墙，以保护系统免受恶意软体和攻击。
• 管理证书和身份验证以控制使用者访问和活动。

本课程在中国旨在帮助以下方面：

1. 帮助开发者掌握撰写安全编码的技巧
2. 帮助软体测试人员在应用程式发布到生产环境之前测试其安全性
3. 帮助软体架构师了解应用程式周围的风险
4. 帮助团队领导者为开发者设定安全基准
5. 帮助网站管理员配置伺服器以避免错误配置

本课程通过开放式Web应用程序安全项目（ OWASP ）测试方法，介绍了Java的安全编码概念和原理。 Open Web Application Security Project是一个在线社区，可以在Web应用程序安全性领域创建免费的文章，方法，文档，工具和技术。

本课程通过开放式Web应用程序安全项目（ OWASP ）测试方法介绍了ASP.net的安全编码概念和原理， OWASP是一个在线社区，可以在该领域创建免费的文章，方法，文档，工具和技术。 Web应用程序安全性。

本课程探讨了Dot Net Framework安全功能以及如何保护Web应用程序。

本课程探讨使用资讯安全策略和程式实施、监控和管理IT基础设施的技术技能。以及如何保护数据的机密性、完整性和可用性。    
 

描述：

本课程将使学员全面了解开发人员使用的安全概念、Web 应用程式概念和框架，以便能够利用和保护目标应用程式。在当今世界，这种情况正在迅速变化，因此使用的所有技术也都在快速变化，Web 应用程式 24/7 全天候受到骇客攻击。为了保护应用程式免受外部攻击者的攻击，人们必须了解构成 Web 应用程式的所有点点滴滴，例如 Web 应用程式开发中使用的框架、语言和技术，以及更多。问题在于，攻击者只需要知道一种闯入应用程式的方法，而开发人员（或系统管理员）必须知道所有可能的漏洞利用，以防止这种情况发生。正因为如此，拥有防弹安全的 Web 应用程式确实很困难，而且在大多数情况下，Web 应用程式很容易受到某些东西的攻击。网路犯罪分子和临时骇客经常利用这种情况，可以通过正确的规划、开发、Web 应用程式测试和配置来最大限度地减少这种情况。

目标：

为您提供了解和识别即时 Web 应用程式中可能的漏洞以及利用已识别漏洞所需的技能和知识。由于通过识别和利用阶段获得的知识，您应该能够保护 Web 应用程式免受类似的攻击。完成本课程后，参与者将能够理解和识别 OWASP 前 10 个漏洞，并将这些知识纳入 Web 应用程式保护方案。

观众：

开发人员、员警和其他执法人员、国防和军事人员、e-Business 安全专业人员、系统管理员、银行、保险和其他专业人员、Go政府机构、IT 经理、CISO、CTO。