参加培训
峰会介绍 峰会日程 议题征集 演讲者 峰会赞助 参加培训 展览 参会方式 合作媒体 酒店预订 议题投票
培训时间: 2011年11月10日-11日
编号 | 培训内容 | 培训时间 | 培训讲师 | 培训价格 |
---|---|---|---|---|
高端技术培训一 | 如何使用OWASP项目和工具提升企业安全 | 11月10日8:00-12:00 | Tobias Gondrom | 1500元 |
高端技术培训二 | 网银系统安全框架设计 | 11月10日14:00-18:00 | 张炜 | 1500元 |
高端技术培训三 | OWASP Top 10 及防治 | 11月11日8:00-12:00 | 王文君 | 1500元 |
高端技术培训四 |
安全开发之道 - 从源头解决和预防安全漏洞 |
11月11日14:00-18:00 | 李建蒙 | 1500元 |
基础安全培训一 | 应用安全培训 | 11月10日下午14:00-18:00 | Tony | 1500元 |
备注: OWASP中国高级会员及OWASP中国及峰会贡献者:9折; 团购(10人以上): 9折; 10月15日前报名9折。不享受双重折扣。
联系方式: ivy@owasp.org.cn 0755-88877909 QQ:1733972308
培训具体内容介绍:
1. 如何使用OWASP项目和工具提升企业安全(针对人群:CISO, 高级信息安全经理)语言:英文,视情况确定是否需要同传。
讲师:Tobias Gondrom是在英国和德国的IT安全和风险管理咨询公司总经理,他在软件开发、应用安全、加密、电子签名和全球标准化组织等方面有12年的工作经验,服务于美洲、欧洲,亚太区的金融、技术和政府部门的独立软件厂商和大型全球性企业。Tobias 曾任Open Text安全部门的全球主管(2005-2007年)和IXOS Software AG安全专责小组全球负责人(2000-2004),主要负责安全、风险和应急管理、引进和实施在美国、加大拿、英国和德国广发使用的安全开发周期SDLC。 2003年至今,Tobias是IFTF安全工作组主席,同时也是IETF安全局成员。2010年Tobias成为IETF安全局新成立的网络安全工作组主席。同时他还是OWASP德国分会前任主席(2007-2008)以及OWASP伦敦分会成员。 Tobias是国际标准RFC4998和RFC 6283的作者(证据记录语法)、许多安全和电子签名类网络标准和文档的合著者和贡献者、"Secure Electronic Archiving" (ISBN 3-87081-427-6)一书合作作者, 并经常出席各种会议,出现在各种刊物的文章中(例如,AppSec, ISSE, Moderner Staat,IETF,VOI-booklet “Electronic Signature“, iX等)。
内容:
Setting up and improving your global security organisation using mature OWASP projects and tools. Achieving cost-effective application security and bringing it all together on the management level. How to use and leverage OWASP and other common best practices to improve your security programs and organization. The workshop will also discuss a number of quick wins and how to use OWASP tools inside your organisation. The author has extensive experience of managing his own secure development organization as well as advising to improve a number of global secure development organisations and processes.
Topics:
- OWASP Top-10 - how to use within your organisation
- Risk management and threat modeling methods (OWASP risk analysis, ISO-27005,...)
- OWASP Secure Coding Practices - Quick Reference Guide
- Development Guide
- Training for developers (e.g. Webgoat)
- Maturity Models (SAMM)
- common APIs: ESAPI (Enterprise Security API)
- Measuring: ASVS (Application Security Verification Standard)
2. 网银系统安全框架设计
讲师:张炜:1987年毕业于北京大学力学系。OWASP美国辛辛那提社区会员。目前在一家国际集团银行北美IT中心任网络系统架构师。主要负责网上银行系统的分析设计和开发。之前曾在出版业和制造业公司负责年上亿美元交易的电子商务网络系统的设计和开发。有过十几年网络交易系统的开发和管理经验。另外,还曾研究过大型数据分析的算法和实现。现与家人居住在美国俄亥俄州的辛辛那提。喜欢打高尔夫、证券交易和社交。
培训内容简介
1. 培训内容简介
2. 银行业务系统的历史和发展
3. 银行业务系统安全的重要性
4. 网银应用系统的特殊性
5. 网银应用系统设计的特点
6. 银行网络应用的安全考虑
7. 银行业务网络构架图及安全考虑
8. 银行业务数据流程图及安全考虑
9. 银行业务工序流程图及安全考虑
10. 业务系统安全设计文档的撰写
o 高层设计
o 底层设计
11. 收集学员反馈
3. OWASP Top 10 及其防治
讲师王文君:现就职于HP软件上海实验室(HP Software Shanghai Engineering Lab),担任某产品的安全架构师。拥有10年的软件开发经验和4年的安全架构经验,在长期处理客户的安全诉求,联合国外第三方独立安全咨询公司做渗透测试以及HP安全软件(HP WebInspect, HP Fortify等)的使用中,总结出了一套行之有效的安全设计开发以及测试的经验。
现任OWASP中国AntiSamy Java组组长,组织过AntiSamy Java的培训,其浅显易懂的演讲风格和幽默的语言获得了学员们的好评。于2002年上海交通大学毕业,拥有电气工程硕士学位和电气工程/涉外会计双学士学位。
本课程将会讲述OWASP Top 10 ,Top 10的危害以及如何防治,Top 10实例剖析等,并结合web goat,esapi, hp web inspect等工具全方位的讲解。
培训刚要
· 用浅显易懂的例子介绍OWASP Top 10以及危害
· 如何利用ESAPI去处理这些安全漏洞
· 从QA的角度上如何发现一个安全漏洞(手工渗透测试,自动化工具WebInspect)
· 从DEV的角度上如何规避代码的安全漏洞(Daily build + Fortify)
通过本次培训,学员们可以获取以下技巧:
· 什么是OWASP Top 10
· 什么是OWASP ESAPI,它的设计原理以及用它防治Top 10,以及它的某些实现中的缺陷
· 如何使用静态分析工具去发现代码的安全漏洞
· 如何使用动态分析工具去发现系统的安全漏洞
· 作为一个QA,我该如何去做渗透测试
4. 安全开发之道 - 从源头解决和预防安全漏洞
讲师:李建蒙,2001年毕业之后在外资公司从事客户端和网站开发工作,04年被派往日本工作一年,回国之后加入华为技术有限公司,开发移动通讯平台,06年底加入思科公司,从事在线应用产品的后台开发和应用安全领域的工作。负责给部门开发人员C/C++开发规范和技巧的培训,有丰富的多平台多语言开发经验,专注于Fuzz测试和安全开发。 目前为思科CSG安全团队核心成员。
内容:
近年来,随着计算机系统尤其是互联网的迅速发展,信息系统越来越深入和广泛的渗透到人们工作和生活的各个方面,而随之相伴的,则是信息安全事件愈演愈烈,信息安全领域面临着更大的挑战 - 系统功能越丰富、越复杂,则引入安全漏洞的几率就越大,而且查找和修复的代价就越高。
对于软件安全,第一反应的对策可能是渗透测试或者安全评估,因为它看起来便捷易行,只要有足够的预算,找到第三方安全公司,很快就可以实施并且生效。但是如果缺乏行之有效的安全开发流程和技术方法,仅仅靠后期的安全评估和渗透测试,想全面、深入的提高系统安全将会是十分困难的任务。加强自身,从源头做起,从开发过程做起,同时辅以后期渗透测试,才能真正的实质性的改善系统安全水平。
在本培训中,作者将基于自身丰富的第一线安全开发实践经验,从安全需求、安全架构设计和安全编程的角度来讲解安全开发之道。培训讲重点关注安全开发技术层面,同时兼顾介绍安全开发流程。
1) 安全开发的重要性 The importance of secure development
1.1)安全漏洞简介 Brief introduction of security vulnerability
1.2)安全问题的起因 The cause of security issues
1.3) 为什么要安全开发 Why need secure development
2) 如何从流程上保证安全开发 How to do secure development by workflow?
2.0) 各个阶段问题的统计数据 Issue statistics of each stage
2.1)任务启动之前的准备 The preparation before the start of task
2.2) 产品需求分析阶段 Product Requirement analysis
2.3) 设计 Design
2.4)编程 Programming
2.5) 测试 Testing
2.6) 如何保证工作流程的措施得到实施 How to ensure the measures in workflow to be put into effect
2.7) 配置管理的重要性 The importance of Configure Management
4) 总结 Summary
5. 基础安全培训:应用安全培训
1.培训开始
1.1 讲师自我介绍
1.2 课程介绍 & 培训内容介绍
1.3 培训注意事项
2. WEB应用安全概论
2.1 信息安全发展趋势
2.2 应用系统介绍
2.3 应用安全现状分析
3. 代码安全测试介绍
3.1 代码手工测试介绍以及案例讲解
3.2 自动化测试介绍及案例讲解,配合相关工具使用(包括技术原理分析,误报排查)
3.3 代码安全修复策略分享(安全架构,安全策略评估,适用场景)
3.4 和学员进行交流,对存在的问题进行讨论
4. 软件安全开发生命周期(SDL)
4.1 介绍安全开发生命周期整个过程
安全需求分析
安全设计
安全编程
安全测试
安全部署
4.2 和学员进行交流,对存在的问题进行讨论