X

请留下联系方式,我们会和您取得联系

课程

课程介绍

安全架构与威胁建模,是系统设计,软件开发中的一个重要工作,只有清晰的知道企业面临的威胁,才能以最具成本效益的方式完成风险应对。不同于一般的只从纯粹安全开发技术角度着手的安全开发培训。本课程从架构、业务角度,帮助开发人员全面的理解和掌握安全架构和威胁建模的内功,不把目光局限在技术细节上,我们更会从流程和最佳实践的角度来讲解威胁建模,不仅仅是技术上正确,还要可以落地、可以实现。

培训对象

软件开发、需求设计、安全测试、安全管理人员。

课程收益

让软件工程师和安全开发专家,有能力综合平衡业务、架构、安全等各种需求,设计并实现高效简洁的安全问题解决方案。

知识概要

--基本概念;
--思想方法;
--实例讲解; 
--最佳实践; 
--测量指标。

课程大纲

模块

学习内容

第一天

基本概念

1) 安全架构和威胁建模的概念

2) 软件可靠性和安全性解决之道

a.资产 -- 系统中有价值的,需要保护的资源,可以是数据或服务

b.子系统 -- 系统的组成部分,可以按照功能模块以及信任边界来划分

c.信任边界 -- 子系统之间虚拟的墙,墙外是不可信的世界,墙内是相对可信的内部

d.数据流 -- 子系统、子模块之间的数据交换

e.威胁 -- 对于资产可能的攻击威胁

f. 缺陷 -- 系统自身存在的安全弱点

g.对策 -- 解决缺陷,消除威胁的措施

思想方法

1) 威胁建模最重要的概念是资产和信任边界

2) 威胁建模的本质就是从安全视角来绘制系统架构图和数据流图

第二天

实例讲解

以典型的实例来讲解威胁模型的绘制以及分析方法

a.一个典型的Web系统

b.一个典型的单用户Android移动端应用

c.一个IM工具

d.云原生安全威胁建模

最佳实践

威胁建模或者说安全架构的价值何在?如果判断是否需要使用?何时如何使用?

测量指标

1) 软件可靠性指标和安全要求的设计与实现

2) 渗透测试等攻防对抗技术辅助威胁建模

学员练习

1) 基于一个典型的网络游戏系统架构图,根据威胁建模的思想方法进行补充和修改

2) 安装和使用微软威胁建模工具,开源威胁建模工具

认证过程

无认证考试

开班信息

暂无开班信息

相关课程