课程大纲-蒋辉柏-《信息安全技术评估与风 险评估（四天）》.doc

信息安全管理体系（ISO27001）高级培训 课程大纲： 第一天 一、信息安全评估概述 1.信息安全内涵 2.信息安全评估的意义 3.信息安全评估的方式 4.技术评估导入 5.认识技术风险，技术风险评估的作用，目的以及意义 二、物理网络技术评估 1.物理与环境层技术评估 2.网络层技术评估:网络层安全评估方法及工具。 3.主机及网络发现、BGP查询、DNS查询等枚举方法及工具。 演示与实验? ARP攻击与防范 DDoS攻击 第二天 三、主机层技术评估 1.主机层安全评估方法及工 2.Windows网络服务 3.UnixRPC服务等的评估方法及工具 4.系统层安全攻击与防范 演示与实验 系统破解 系统漏洞 系统后门 四、应用层和数据层安全评估 1.应用层安全评估方法及工具 2.DNS、Webserver、Webapplication、远程维护服务等具体应用的评估方法及工具 3.远程扫描，本地检查，无线检测和渗透测试基础，并通过实操使学员掌握相关评估技术 演示与实验 Web应用程序漏洞检测分析实验 Web网站Web网站SQL注入攻击获得控制权实验 跨站点脚本漏洞联网攻击实验 跨站脚本 COOKIES注入实例分析 Include安全 第三天 五、风险评估概述 1.风险评估导入，认识风险，风险评估的作用，目的以及意义 2.风险评估标准，常见风险评估标准，包括ISO/IEC13335，OCTAVE，NISTSP800-30，ISO/IEC27005，GB/T20984:2007，MicrosoftSecurityRiskManagementGuide 3.风险计算方法，常见的风险计算方法，包括定量方法、定性方法和半定量方法 六、风险识别 1.详细介绍资产识别方法 2.脆弱性分析威胁分析 3.业务影响分析 4.安全措施识别 演示与实验 资产识别 威胁识别 脆弱性识别 安全措施识别 第四天 七、风险分析 1.风险分析 2.风险评价 3.风险评估方法论：基线评估，详细评估和组合评估等方法 4.基于统计学的风险评估方法 演示与实验 风险分析矩阵 八、风险管理 1.风险管理原理 2.信息安全风险管理及其组成要素 3.风险处置方法、控制措施的选择，及常见控制措施 4.安全风险处置与接受原则与方法 5.风险评估演练：通过实战演练风险评估过程与方法 复习考试