24 H

第一天
一、信息安全评估概述
1.信息安全内涵
2.信息安全评估的意义
3.信息安全评估的方式
4.技术评估导入
5.认识技术风险，技术风险评估的作用，目的以及意义


二、物理网络技术评估
1.物理与环境层技术评估
2.网络层技术评估:网络层安全评估方法及工具。
3.主机及网络发现、BGP查询、DNS查询等枚举方法及工具。
演示与实验
ARP攻击与防范
DDoS攻击


第二天
三、主机层技术评估
1.主机层安全评估方法及工
2.Windows网络服务
3.UnixRPC服务等的评估方法及工具
4.系统层安全攻击与防范
演示与实验
1.系统破解
2.系统漏洞
3.系统后门


四、应用层和数据层安全评估
1.应用层安全评估方法及工具
2.DNS、Webserver、Webapplication、远程维护服务等具体应用的评估方法及工具
3.远程扫描，本地检查，无线检测和渗透测试基础，并通过实操使学员掌握相关评估技术
演示与实验
1.Web应用程序漏洞检测分析实验
2.Web网站Web网站SQL注入攻击获得控制权实验
3.跨站点脚本漏洞联网攻击实验
4.跨站脚本
5.COOKIES注入实例分析
6.Include安全
第三天
五、风险评估概述
1.风险评估导入，认识风险，风险评估的作用，目的以及意义
2.风险评估标准，常见风险评估标准，包括ISO/IEC13335，OCTAVE，NISTSP800-30，ISO/IEC27005，GB/T20984:2007，MicrosoftSecurityRiskManagementGuide
3.风险计算方法，常见的风险计算方法，包括定量方法、定性方法和半定量方法


六、风险识别
1.详细介绍资产识别方法
2.脆弱性分析威胁分析
3.业务影响分析
4.安全措施识别
演示与实验
1.资产识别
2.威胁识别
3.脆弱性识别
4.安全措施识别
第四天
七、风险分析
1.风险分析
2.风险评价
3.风险评估方法论：基线评估，详细评估和组合评估等方法
4.基于统计学的风险评估方法
演示与实验
风险分析矩阵
八、风险管理
1.风险管理原理
2.信息安全风险管理及其组成要素
3.风险处置方法、控制措施的选择，及常见控制措施
4.安全风险处置与接受原则与方法
5.风险评估演练：通过实战演练风险评估过程与方法


复习考试