时间模块大纲**天上午信息安全保障内容一：信息安全保障基础

1、信息安全概念

2、信息安全属性

3、信息安全视角

4、信息安全发展阶段

5、信息安全保障新领域

内容二：信息安全保障框架

1、基于时间的安全模型

2、信息保障技术框架

3、信息系统安全保障评估框架

4、企业安全架构**天下午法律法规与标准内容一：网络安全法律体系建设

1、计算机犯罪

2、我国立法体系

3、网络安全法

4、网络安全相关法规建设

内容二：国家网络安全政策

1、国家网络空间安全战略

2、网络安全等级保护相关政策

内容三：网络安全道德准则

1、道德约束

2、职业道德准则

内容四：信息安全标准

1、信息安全标准基础知识

2、我国信息安全相关标准第二天上午安全工程与运营内容一：信息安全工程

1、安全工程基础

2、信息安全工程理论基础

3、安全工程能力成熟度模型

4、SSE-CMM安全工程过程

5、SSE-CMM安全工程能力

内容二：安全运营

1、安全运营概述

2、安全运营管理方法

内容三：内容安全

1、内容安全基础

2、数字版权

3、信息保护

4、网络舆情

内容四：社会工程学攻击与人员培训教育

1、社会工程学攻击

2、培训及教育第二天下午计算环境安全内容一：操作系统安全

1、操作系统安全机制

2、操作系统安全配置要点

内容二：信息收集与系统攻击

1、信息收集

2、缓冲区溢出攻击

内容三：恶意代码防护

1、恶意代码预防

2、恶意代码检测与分析

3、恶意代码的清除

4、基于互联网的恶意代码防护

内容四：应用安全

1、Web应用安全

3、电子邮件安全

4、其他互联网应用

内容五：数据安全

1、数据库安全

2、数据泄漏防护

3、大数据安全第三天上午软件安全开发基础内容一：软件安全开发背景

1、软件的发展和安全问题

2、软件安全问题产生的原因

内容二：软件安全开发基础

1、整体安全

2、软件安全属性

3、风险管理和软件安全保障

4、安全策略、标准和**实践

5、企业应用程序和安全框架

6、法规、隐私和合规性

内容三：软件安全生命周期模型

1、软件安全生命周期开发模型

2、微软的SDL模型

3、McGraw的软件安全开发模型

4、OWASP的软件安全开发模型

5、NIST的软件安全开发模型第三天下午软件安全需求分析内容一：需求和安全需求

1、需求的概念及组成

2、安全需求概念及必要性

3、安全需求分析方法在实践中的应用

内容二：软件安全需求类型

1、安全需求来源及内容

2、核心软件安全需求

3、通用软件安全需求

4、运维安全需求

5、其他安全需求

内容三：软件安全需求获取（PNE）

1、安全需求获取的概念

2、头脑风暴

3、问卷调查和访谈

4、策略分解

5、数据分类

6、主/客体关系矩阵

7、用例和滥用案例建模

8、EA模型

内容四：软件安全需求跟踪矩阵第四天上午软件安全设计内容一：软件安全设计概述

1、软件设计的重要性

2、软件设计的概念和过程

3、软件安全设计的原则

4、平衡软件安全设计原则

内容二：软件安全设计要求

1、安全设计的好处

2、缺陷和Bug

3、核心安全属性设计

内容三：软件安全设计过程

1、受攻击面分析

2、威胁建模

3、软件安全设计方法

内容四：软件安全架构设计

1、软件架构设计的概念

2、软件安全架构的选择

3、软件架构的安全性考虑

4、安全架构与设计检查第四天下午安全编码内容一：软件安全编码的基本原则

内容二：通用安全编程准则

1、验证输入

2、对输出进行过滤和净化

3、避免缓冲区溢出

4、程序内部安全

5、安全调用组件

6、编码时禁止使用的函数

内容三：代码安全

1、C/C 代码安全规范

2、PHP安全编码规范

3、源代码审查工具

内容四：安全开发的其他方面第五天上午软件安全测试内容一：软件安全测试基础

1、软件测试

2、软件安全测试

3、软件测试和安全测试的区别

4、软件安全测试原则

5、软件安全测试流程

6、软件安全测试策略

内容二：代码分析

1、源代码分析

2、二进制文件分析

内容三：模糊测试

1、模糊测试简介

2、模糊测试过程

3、Web应用模糊测试实例

内容四：渗透测试

1、渗透测试简介

2、渗透测试的过程

3、更有效的渗透测试

内容五：全生命周期的软件安全测试第五天下午软件安全部署和软件安全开发项目管理内容一：软件安全部署

1、 软件安全部署概述

2、软件安全加固与软件安全安装

3、软件安全配置

内容二：软件安全开发项目管理

1、软件项目管理

2、软件安全开发过程的项目管理

内容三：软件安全开发应急响应管理

1、应急响应管理的概念和重要性

2、应急响应管理过程

内容四：软件供应链安全

1、软件供应链安全现状与趋势

2、软件供应链威胁建模

3、软件供应链污染技术

4、软件供应链安全防御技术

内容五：DevSecOps—整合安全开发与运营

1、DevSecOps面临的挑战

2、成功交付DevSecOps的十条建议考试【北京、上海、广州、深圳、成都、武汉】考试分上午、中午、下午

其余省份都是上午